信息安全相关法律问题4.pptVIP

信息安全相关法律问题 2003.4 各国信息安全立法的特点 信息安全立法内容 我国信息安全法律体系 各国信息安全立法的特点 信息安全问题不仅是一个信息领域的问题，更是一个全社会的综合集成系统。 内容广泛 包括保护信息的保密性、完整性、可用性、可控性和防抵赖性的规范 有关信息主体的权利和义务的规范 保护国家利益和社会公共利益的规范 各国信息安全立法的特点 不仅制定了专门的信息安全立法，而且制定或修改了相关的法律，如通信自由法、个人隐私法等。 重视信息安全的保障和公民信息自由保护的平衡（1997年，美国联邦最高法院以《正当通信法案》抵触美宪法第一修正案所保障的言论自由为由裁定该法无效）。 各国信息安全立法的特点 各国在信息安全立法方面都有一种紧迫感，特别是9.11事件以后。 一方面加紧制定信息安全立法，一方面也努力使之与现有的法律相协调。 各国信息安全立法的特点 以国家信息安全的组织保障为原则 各国在其信息安全法律政策中，无不明确规定了国家信息安全工作的管理机构以及各个机构的职责范围，在各个层次上都力求做到分工负责、各司其责。如美国的《计算机安全法》明确规定，由商务部所属的国家标准和技术局(NIST)负责有关敏感信息的信息安全工作，具体负责主持制定和推广计算机安全标准和指导方针，为联邦政府解决各种信息安全问题，其中包括安全规划、风险管理、应急计划、安全教育培训、网络安全加密技术、身份认证、智能卡应用、计算机病毒检测与防治等等；由国防部所属的国家安全局(NSA)负责例如“国家安全系统”，即由政府及其合同单位或代理机构管理的信息系统中保密信息的信息安全工作，其中包括国家保密信息、美国宪法2315款第102项(Warner修正案)规定的信息、涉及谍报(Intelligence)的信息、涉及与国家安全有关的秘密活动(Crypt—logic)的信息、涉及军队指挥和控制的佰息、涉及属于武器和武器系统设备的信息以及对于完成军事或情报任务至关重要的设备的信息等等。 各国信息安全立法的特点 以国家信息安全的全面保障为基础 信息安全是个巨大的系统工程，需要各方面力量的综合协调，更需要涉及信息活动的人员、信息系统的实体、信息系统的运行和系统中的信息的安全。因此，信息安全保障应当以全面、严密为基础。如美国政府关于国家信息安全保障的行动策略主要有，制定信息资源安全管理的全面政策。实施风险评估、安全规划、运行安全和各种验证的方法；出版了《信息系统安全产品和服务自录》；对信息系统的各个环节以及各机构信息安全管理工作的效率加以评估；全力支持对安全措施的投入；协调各个机构的信息安全工作；监督政府信息安全管理原则、标准、指导方针的制定和推广工作；强化计算机信息系统人员的安全法律培训等等。 各国信息安全立法的特点 以国家信息安全的技术防范为核心 技术保护是基础和前提，法律保护只是技术保护的手段。，因而各国信息安全立法都以国家信息安全的技术防范为核心。20世纪80年代，美国率先在计算机保密模型(BellLa Padula模型)的基础上，制定了《可估计算机系统安全评价准则》(TCSEC)，随后又制定了关于网络系统、数据库等方面的系列安全解释，形成了安全信息系统体系结构的最早原则。20世纪90年代初，欧洲英、法、德、荷四国共同提出了包括保密性、完整性、可用性等性质的《信息技术安全评价准则》(ITSFC)。近年来，美国国家安全局、美国国家技术标准研究所和加、英、法、德、荷等六国七方共同提出了《信息技术安全评价通用准则》(CC　　for　　ITSEC)，综合了国际上已有的评价准则和技术标准的精华，给出了信息安全保护的框架和原则要求。 各国信息安全立法的特点 以国家信息安全的技术标准为内容 将技术标准纳入国家信息安全保障的政策法律体系范畴，赋予技术标准以国家意志的属性，使其具有强制实施的法律效力，是世界各国的一致行动。美国从20世纪70年代初就开始制定信息技术的安全标准，现在已经形成了由国家标准化协会制定的国家标准(ANSI)、由国家标准局制定的联邦信息处理安全标准(FIPS)以及由国防部(DOD)制定的信息安全指令和标准三位一体的国家信息安全标准体系，从不同的角度规范国家的信息安全。欧盟除了发布前已所述的《信息技术安全性评测标准》(ITSEC)之外，还有由欧洲计算机厂商协会规定的被欧洲国家共同执行的计算机信息安全标准。 信息安全立法内容 信息安全法律是调整信息安全领域内各 社会关系的法律法规的总称。从范围上看信 息安全法律涉及行政法、刑法、民法、诉讼 法等多个法律部类，共同构成信息安全的法 律保障体系。 信息安全立法内容 信息安全法 在信息安全法律体系中处于主导地位。 规定不同级别的信息系统所必须具备的最小安全保护要求。 规定某些重要的信息系统建成后，未