I. 법률
이 법은 중국에서 네트워크를 구축, 운영, 유지 및 사용하는 소유자, 관리자 및 네트워크 서비스 제공 업체 (이하 "운영자"라고 함)에게 적용됩니다. 이 법의 핵심 사항은 다음과 같습니다.
(1) 운영자는 사용자에게 네트워크 접속, 도메인 이름 등록, 전화망 접속, 정보 공개 및 인스턴트 메시징과 같은 서비스를 제공 할 때 이용자의 신원을 확인해야합니다.
(2) 개인 정보 및 중요 데이터는 중국에 저장되어야합니다. 데이터 내보내기는 규제 기관의 검토를 받아야합니다.
3 운영자는 공안 기관 및 국가 보안 당국에 기술 지원 및 원조를 제공하여야한다.
(4) 해외 기관, 조직 또는 개인이 중국의 중요 정보 인프라를 침범, 방해, 파괴 또는 손상시켜 심각한 결과를 초래하는 경우 위반자는 법률에 따라 법적 책임을 져야합니다. 공안 기관 및 관련 부서는 기관, 조직 또는 개인에 대해 재산을 동결하거나 기타 필요한 제재 조치를 취할 수 있습니다.
2. 네트워크 정보 보호 강화 결정 (2012) 关于 加强 网络 信息 保护 的 决定
이 결정은 중국에서 처음으로 개인 정보의 수집 및 사용에 대한 규칙과 네트워크 서비스 공급자의 개인 정보 보호 의무를 설정합니다.
이후 2018 년에 발표 된 사이버 보안법은 대부분의 결정 내용을 채택했습니다.
결정은 사이버 보안에 대한 중국의 첫 번째 규칙이며 다음과 같은 핵심 사항이 있습니다.
(1) 컴퓨터 시스템을 해킹하거나 파괴하는 것은 범죄에 해당합니다.
(2) 국가 권력을 전복시키고, 국가 단결과 국적 단결을 파괴하고, 국가 비밀을 훔치고, 인터넷에 정보를 게시하여 컬트 활동에 참여하는 것은 범죄에 해당합니다.
(3) 인터넷상에서 타인의 정당한 권리를 침해하는 것은 범죄입니다.
II. 행정 규정
1. 컴퓨터 정보 네트워크에 대한 국제 연결을위한 보안 보호를위한 관리 조치 (2011) 计算机 信息 网络 国际 联网 安全 保护 管理 办法
법안의 핵심 사항은 다음과 같습니다.
(1) 공안부는 중국의 컴퓨터 네트워크와 국제 인터넷 간의 연결을 보호 할 책임이 있습니다.
(2) 어떠한 단체도 국제 인터넷을 사용하여 불법 콘텐츠를 게시하거나 컴퓨터 보안을 위협해서는 안됩니다.
2. 중국 컴퓨터 정보 시스템 보안 보호 규정 (2011) 计算机 信息 系统 安全 保护 条例
법안의 핵심 사항은 다음과 같습니다.
(1) 규정은 중국 영토 내에서 컴퓨터 정보 시스템의 보안을 보호하는 것을 목표로합니다.
(2) 공안부는이 분야의 관할 기관이며, 그 기능과 권한에는 관련 보안 보호 감독이 포함됩니다. 컴퓨터 보안을 위협하는 불법 행위를 조사하고 처벌합니다.
3. 사이버 보안 수준에 관한 규정 (의견 모집 초안) (공식 공표 안 함) (2018) (网络 安全 等级 保护 条例)
공안부는 사이버 보안법 제 27 조에 의거 2018 년 21 월 XNUMX 일 '사이버 보안 수준에 관한 규정'초안을 작성하고 국민 의견 수렴을위한 초안을 발표했다. 현재 초안은 아직 공식적으로 공표 된 법률이 아닙니다.
초안의 핵심 사항은 다음과 같습니다.
(1) 네트워크 시스템은 국가 안보, 경제 건설, 사회 생활에서의 중요성에 따라 XNUMX 가지 보안 보호 수준으로 나눌 것입니다.
네트워크 시스템의 중요성은 15 단계에서 XNUMX 단계로 점차 증가합니다. (제 XNUMX 조)
서로 다른 수준의 네트워크 시스템은 다음과 같이 해당 수준에서 네트워크 시스템의 네트워크 보안 사고가 발생할 경우 관련 이해 관계가 손상 될 수있는 정도를 나타냅니다.
1 단계 : 국가 안보, 사회 질서 및 공익이 위험에 처하지 않습니다.
2 단계 : 사회 질서와 공익이 위태 롭고 국가 안보가 위태 롭지 않습니다.
3 단계 : 사회 질서와 공익이 심각한 위험에 처하거나 국가 안보가 위험에 처할 것입니다.
4 단계 : 사회 질서와 공익이 특히 심각하게 위태롭게되거나 국가 안보가 심각하게 위태로워집니다.
5 단계 : 국가 안보가 특히 심각한 위험에 처해 있습니다.
(2) 네트워크 운영자는 계획 및 설계 단계에서 네트워크의 보안 보호 수준을 결정하고 전문가 및 관할 당국이 그 수준을 확인해야합니다. 레벨이 확인 된 후 네트워크 운영자는 공안 기관에도 파일을 제출해야합니다. (제 16 조, 제 17 조, 제 18 조)
(3) 네트워크 사업자는 필요한 보안 의무를 수행해야하며, 레벨 3 이상의 네트워크 사업자도 특별한 보안 보호 의무를 수행해야합니다. (제 20 조 및 제 21 조)
(4) 네트워크 사업자가 구매 한 네트워크 제품 및 서비스가 국가 안보에 영향을 미칠 수있는 경우 해당 제품 및 서비스는 규제 당국이 조직 한 국가 안보 검토를 거쳐야합니다. (제 28 조)
(5) Level 3 이상의 네트워크는 국내에서 유지되어야하며, 해외에서는 원격 기술 유지가 허용되지 않습니다. (제 29 조)
(6) 네트워크 운영자는 네트워크 보안 모니터링 및 조기 경보 정보 및 네트워크 보안 사고를 규제 당국에보고하고, 중요한 데이터 및 개인 정보 보안 보호 메커니즘을 구축하고, 네트워크 보안 비상 계획을 수립하고 실행해야합니다. (제 30 조, 31 조, 32 조)
III. 부서 규정
1. 중국의 사이버 보안 검토 조치 (2020) 网络 安全 审查 办法
이 조치는 중요한 정보 인프라 운영자 (이하 "운영자"라고 함)의 네트워크 제품 및 서비스 구매가 국가 안보에 영향을 미치는지 감독하는 것을 목표로합니다. 법안의 핵심 사항은 다음과 같습니다.
(1) 사업자의 네트워크 상품 및 서비스 구매가 국가 안보에 영향을 미치거나 영향을 미칠 수있는 경우 사업자는 중국 사이버 우주청 산하 네트워크 보안 심 사실에 신고하여 네트워크 보안 심사를 받아야합니다.
(2) 네트워크 제품 또는 서비스에는 컴퓨터, 서버, 저장 장치, 데이터베이스, 소프트웨어 및 클라우드 서비스가 포함됩니다.
(3) 네트워크 보안 심사 실은 다음과 같은 위험성을 검토합니다. 해당 제품 또는 서비스를 사용하는 시설이 훼손되는지 여부 데이터 유출 여부; 그러한 제품 또는 서비스의 공급 경로가 안전하고 안정적인지 여부 그러한 제품 또는 서비스의 공급 업체가 중국 법률을 준수하는지 여부.
2. 클라우드 컴퓨팅 서비스를위한 보안 평가 방법 (2019) 云 计算 服务 安全 评估 办法
이 보안 평가 방법은 당사국 및 정부 기관 및 주요 정보 인프라 운영자가 구매 한 클라우드 컴퓨팅 서비스의 보안 및 제어 가능성을 평가하는 것을 목표로합니다. 요점은 다음과 같습니다.
(1) 클라우드 컴퓨팅 서비스의 보안 평가는 다음 사항에 중점을 둡니다. (i) 클라우드 플랫폼 운영자의 기본 정보; (ii) 클라우드 서비스 제공 업체의 배경 및 안정성 (ii) 클라우드 플랫폼 기술, 제품 및 서비스 공급망의 보안 (vi) 클라우드 서비스 제공 업체의 보안 관리 능력 및 보안 조치 (v) 고객 데이터 마이그레이션의 타당성 및 편의성; (iv) 클라우드 서비스 제공 업체의 비즈니스 연속성.
(2) 클라우드 서비스 제공 업체는 당사국 및 정부 기관 및 주요 정보 인프라 운영자에게 클라우드 컴퓨팅 서비스를 제공하는 클라우드 플랫폼에 대한 보안 평가를 신청할 수 있습니다.
3. 공안 기관의 사이버 보안 감독 · 감독 규정 (2018) 公安 机关 互联网 安全 监督 检查 规定
이 규정은 인터넷 서비스 제공 업체와 인터넷 사용자의 사이버 보안 의무 이행에 대해 공공 보안 기관이 보안 감독 및 검사를 수행하는 방법을 지정하는 것을 목표로합니다.
4. 컴퓨터 정보 네트워크에 대한 국제 연결을위한 보안 보호를위한 관리 조치 (2011) 计算机 信息 网络 国际 联网 安全 保护 管理 办法
법안의 핵심 사항은 다음과 같습니다.
(1) 공안부는 중국의 컴퓨터 네트워크와 국제 인터넷 간의 연결을 보호 할 책임이 있습니다.
(2) 어떠한 단체도 국제 인터넷을 사용하여 불법 콘텐츠를 게시하거나 컴퓨터 보안을 위협해서는 안됩니다.
5. 사이버 보안을위한 기술적 조치에 관한 규정 (2006) 互联网 安全 保护 技术 措施 规定
이 규정 인터넷 서비스 제공자와 인터넷 사용자를 감독하여 사이버 보안을위한 기술적 조치를 취하고 사이버 보안을위한 기술적 조치의 정상적인 기능을 보장하는 것을 목표로합니다. 공안 기관의 공공 정보망 보안 감독 부는 사이버 보안을위한 기술적 조치의 이행을 감독한다.
IV. 정책
1. 공공 인터넷 안전 비상 사태에 대한 비상 계획 (2017) 公共 互联网 网络 安全 突发 事件 应急 预案
이 비상 계획은 공공 인터넷 안전 비상을위한 비상 조직 시스템 및 작업 메커니즘을 구축하는 것을 목표로합니다.
2. 공공 인터넷 사이버 보안 위협 모니터링 및 처리 방안 (2017) 公共 互联网 网络 安全 威胁 监测 与 处置 办法
이 조치는 공용 인터넷의 사이버 보안 위협에 대한 작업 모니터링 및 처리를 강화하고 보안 위험을 제거하고 공격을 중지하며 피해를 방지하고 보안 위험을 줄이는 것을 목표로합니다. 공용 인터넷의 사이버 보안에 대한 위협은 공용 인터넷에 존재하거나 확산되는 네트워크 리소스, 악성 프로그램, 보안 위험 또는 보안 사고를 의미하며, 대중에게 해를 끼치거나 이미 초래했을 수 있습니다.
3. 중요 네트워크 장비 및 독점 사이버 보안 제품 카탈로그 (2017 년 첫 번째 배치) 网络 关键 设备 和 网络 安全 专用 产品 目录 (第 一批)
카탈로그에는 15 가지 유형의 장비 및 제품이 나열되어 있습니다. 중국의 사이버 보안법은 공격, 침입, 간섭 및 손상으로부터 중요한 정보 인프라를 보호해야합니다. 카탈로그는 중요한 정보 인프라에 속하는 장비 및 제품의 종류를 지정합니다.
4. 인터넷 정보 보안 관리 시스템의 사용 및 운영 유지 관리를위한 관리 조치 (2016 년 시범 구현 용) 互联网 信息 安全 管理 系统 使用 及 运行 维护 管理 办法 (试行)
이 조치는 인터넷 데이터 센터 (인터넷 리소스 협업 서비스 포함), 인터넷 액세스 서비스, 콘텐츠 전달 네트워크 및 기타 인터넷 사용 및 운영 유지 관리 서비스에 관여하는 지역 규제 당국 및 인터넷 액세스 기업을위한 행정 업무를 안내하는 것을 목표로합니다. 정보 보안 관리 시스템.
5. 국가 네트워크 보안 표준화 강화에 대한 몇 가지 의견 (2016) 关于 加强 国家 网络 安全 标准化 工作 的 若干 意见
이 의견은 통일되고 권위있는 국가 네트워크 보안 표준 시스템 및 표준화 메커니즘의 구축을 촉진하는 것을 목표로합니다. 요점은 다음과 같습니다.
(1) 네트워크 보안 표준 시스템을 구축하고 지속적으로 개선합니다.
(2) 사이버 공간에 대한 국제 규칙 및 국제 표준 규칙의 제정에 적극 참여한다.
6. 사이버 보안을위한 징계 개발 및 인재 양성에 대한 의견 (2016 년) 关于 加强 网络 安全 学科 建设 和 人才 培养 的 意见
이 의견은 중국 사이버 보안 아카데미의 분야 개발 및 인재 교육을 강화하는 것을 목표로합니다.
7. 당 및 정부 기관 웹 사이트 안전 관리 강화에 관한 공지 (2014) 关于 加强 党政 机关 网站 安全 管理 的 通知
이 공지는 모든 정부 부서가 공식 웹 사이트의 보안 보호를 개선 할 것을 촉구하기위한 것입니다.
8. 산업 인터넷 보안 강화를위한 지침 의견 공지 (2019) 加强 工业 互联网 安全 工作 的 指导 意见 的 通知
이 고시는 3 년 말까지 중국이 산업 인터넷 보안 시스템을 처음으로 구축하도록 홍보하기 위해 2020 개 부분으로 나뉘어 있습니다.
V. 기술 표준
1. 네트워크 보안 수준 보호 평가 요구 사항 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. 네트워크 보안 수준 보호 기본 요구 사항 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. 네트워크 보안 수준 보호 보안 설계 요구 사항 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Unsplash의 Jéan Béller (https://unsplash.com/@jeanbeller)의 사진