證券期貨業網路與信息安全信息通報暫行辦法

① 信息安全法律法規

截至2008年與信息安全直接相關的法律有65部。
涉及網路與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域，從形式看，有法律、相關的決定、司法解釋及相關文件、行政法規、法規性文件、部門規章及相關文件、地方性法規與地方政府規章及相關文件多個層次。與此同時，與信息安全相關的司法和行政管理體系迅速完善。但整體來看，與美國、歐盟等先進國家與地區比較，我們在相關法律方面還欠體系化、覆蓋面與深度。缺乏相關的基本法，信息安全在法律層面的缺失對於信息安全保障形成重大隱患。
一. 2000年以前
1.1 中華人民共和國保守國家秘密法
1.2 中華人民共和國計算機信息系統安全保護條例
1.3 中華人民共和國國家安全法
1.4 計算機信息網路國際聯網管理暫行規定
1.5 計算機信息網路國際聯網安全保護管理辦法
1.6 計算機信息系統安全專用產品檢測和銷售許可證管理辦法
1.7 涉及國家秘密的通信、辦公自動化和計算機信息系統審批暫行辦法
1.8 商用密碼管理條例
1.9 科學技術保密規定
1.10 中華人民共和國反不正當競爭法
1.11 關於禁止侵犯商業秘密行為的若干規定
1.12 加強科技人員流動中技術秘密管理的若干意見
1.13 廣東省技術秘密保護條例
二. 2000年
2.1 計算機病毒防治管理辦法
2.2 計算機信息系統國際聯網保密管理規定
2.3 互聯網信息服務管理辦法
2.4 中華人民共和國電信條例
2.5 全國人大常委會關於維護互聯網安全的決定
2.6 聯網單位安全員管理辦法
三. 2001年
3.1 計算機軟體保護條例
四. 2002年
4.1 信息安全產品測評認證管理辦法
五. 2003年
5.1 廣東省電子政務信息安全管理暫行辦法
六. 2004年
6.1 中華人民共和國電子簽名法
七. 2005年
7.1 互聯網安全保護技術措施規定
7.2 商用密碼產品銷售管理規定
7.3 電子認證服務密碼管理辦法
7.4 商用密碼科研管理規定
7.5 商用密碼產品生產管理規定
7.6 證券期貨業信息安全保障管理暫行辦法
7.7 電子認證服務管理辦法
八. 2006年
8.1 關於加強新技術產品使用保密管理的通知
8.2 信息網路傳播權保護條例
九. 2007年
9.1 商用密碼產品使用管理規定
9.2 信息安全等級保護管理辦法
9.3 境外組織和個人在華使用密碼產品管理辦法

② 證券期貨業信息系統安全等級せ疽哪些單位適用

根據《信息安全等級保護管理辦法》：
信息系統建設完成後，運營、使用單位或者其主管部門應當選擇符合規定條件的測評，依據《信息系統安全等級保護測評要求》等技術標准，定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評，第五級信息系統應當依據特殊安全需求進行等級測評。
涉密信息系統建設使用單位在系統工程實施結束後，應當向保密工作部門提出申請，由國家保密局授權的系統測評依據國家保密標准BMB22-2007《涉及國家秘密的計算機信息系統分級保護測評指南》，對涉密信息系統進行安全保密測評。
涉密信息系統發生涉密等級、連接范圍、環境設施、主要應用、安全保密管理責任單位變更時，其建設使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據實際情況，決定是否對其重新進行測評和審批。
國家和地方各級保密工作部門依法對各地區、各部門涉密信息系統分級保護工作實施監督管理，並對秘密級、機密級信息系統每兩年至少進行一次保密檢查或者系統測評，對絕密級信息系統每年至少進行一次保密檢查或者系統測評
各級密碼管理部門可以定期或者不定期對信息系統等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，對重要涉密信息系統的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。
第三級以上信息系統運營、使用單位違反規定，未按規定開展系統安全技術測評的，由公安機關、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正；逾期不改正的，給予警告，並向其上級主管部門通報情況，建議對其直接負責的主管人員和其他直接責任人員予以處理，並及時反饋處理結果

③ 信息安全相關法律法規 都有哪些

1、1996年發布《中國公用計算機互聯網國際聯網管理辦法》。

2、 1994年2月發布《中華人民共和國計算機信息系統安全保護條例》。

3、1996年2月發布《中華人民共和國計算機信息網路國際聯網管理暫行規定》。

4、 1997年12月發布《中華人民共和國計算機信息網路國際聯網管理暫行規定》實施

5、新《刑法》第185和第286條。

信息安全問題日趨多樣化，客戶需要解決的信息安全問題不斷增多，解決這些問題所需要的信息安全手段不斷增加。確保計算機信息系統和網路的安全，特別是國家重要基礎設施信息系統的安全，已成為信息化建設過程中必須解決的重大問題。

正是在這樣的背景下，信息安全被提到了空前的高度。國家也從戰略層次對信息安全的建設提出了指導要求。

(3)證券期貨業網路與信息安全信息通報暫行辦法擴展閱讀：

信息安全與技術的關系可以追溯到遠古。埃及人在石碑上鐫刻了令人費解的象形文字；斯巴達人使用一種稱為密碼棒的工具傳達軍事計劃，羅馬時代的凱撒大帝是加密函的古代將領之一，「凱撒密碼」據傳是古羅馬凱撒大帝用來保護重要軍情的加密系統。

它是一種替代密碼，通過將字母按順序推後 3 位起到加密作用，如將字母 A 換作字母 D， 將字母 B 換作字母 E。英國計算機科學之父阿蘭·圖靈在英國布萊切利庄園幫助破解了 德國海軍的 Enigma 密電碼，改變了二次世界大戰的進程。美國 NIST 將信息安全控制分 為 3 類。

（1）技術，包括產品和過程（例如防火牆、防病毒軟體、侵入檢測、加密技術）。

（2）操作，主要包括加強機制和方法、糾正運行缺陷、各種威脅造成的運行缺陷、物 理進入控制、備份能力、免予環境威脅的保護。

（3）管理，包括使用政策、員工培訓、業務規劃、基於信息安全的非技術領域。 信息系統安全涉及政策法規、教育、管理標准、技術等方面，任何單一層次的安全措 施都不能提供全方位的安全，安全問題應從系統工程的角度來考慮。圖 8-1 給出了 NSTISSC 安全模型。

④ 互聯網網路安全信息通報實施辦法的附件二： 信息分級規范

一、預警信息分級
1、一級（紅色）預警信息：可能導致發生特別重大網路安全事件的信息為一級預警信息。
2、二級（橙色）預警信息：可能導致發生重大網路安全事件的信息為二級預警信息。
3、三級（黃色）預警信息：可能導致發生較大網路安全事件的信息為三級預警信息。
4、四級（藍色）預警信息：可能導致發生一般網路安全事件的信息為四級預警信息。
二、事件信息分級 分類 對象 特別重大事件 重大事件 較大事件 一般事件 IP業務 互聯網接入（含寬頻、窄帶接入，固定、移動或無線接入） 基礎電信業務經營者本單位全國網內100萬以上互聯網接入用戶無法正常訪問互聯網1小時以上。 基礎電信業務經營者本單位全國網內10萬以上互聯網接入用戶無法正常訪問互聯網1小時以上。 基礎電信業務經營者本單位某省、直轄市、自治區網內5萬以上互聯網接入用戶無法正常訪問互聯網1小時以上。 基礎電信業務經營者本單位某省、直轄市、自治區網內1～5萬互聯網接入用戶無法正常訪問互聯網1小時以上。 專線接入 N/A 基礎電信業務經營者本單位專線接入業務500埠以上阻斷1小時以上。 基礎電信業務經營者本單位專線接入業務100埠以上阻斷1小時以上。 基礎電信業務經營者本單位專線接入業務20埠以上阻斷1小時以上。 重要信息系統數據通信 N/A 造成某個全國級重要信息系統用戶數據通信中斷1小時以上。 造成某個省級重要信息系統用戶數據通信中斷1小時以上。 造成某個地市級重要信息系統用戶數據通信中斷1小時以上。 基礎IP網路 國際互聯 50%以上國際互聯帶寬電路阻斷1小時以上。 30%以上國際互聯帶寬電路阻斷1小時以上。 10%以上國際互聯帶寬電路阻斷1小時以上。 國際互聯設備、電路阻斷，但未造成上述嚴重後果。 國內骨幹網互聯 某個全網直連點1個以上互聯單位方向全阻1小時以上。 某全網直連點1個互聯單位方向網間直連（或某個交換中心）全阻1小時以上。 交換中心1個互聯單位方向全阻1小時以上。 直連設備、電路阻斷，但未造成上述嚴重後果。 運營單位IP網 2個以上省網（或2個以上3.2級以上城域網）脫網或嚴重擁塞1小時以上。 1個省網（或1個以上3.1級以上城域網）脫網或嚴重擁塞1小時以上。 1個以上城域網（3.1級以下）脫網或嚴重擁塞1小時以上。 IP骨幹網重要節點或鏈路阻斷，但未造成上述嚴重後果。 IDC N/A 3.1級以上IDC全阻或嚴重擁塞1小時以上。 2級IDC全阻或嚴重擁塞1小時以上。 其它IDC全阻或嚴重擁塞1小時以上。 域名系統 國際根鏡像和gTLD鏡像伺服器 N/A N/A 國際根和通用頂級域名鏡像伺服器解析服務癱瘓。 N/A 國家頂級域名(.CN) 國家域名解析系統癱瘓，對全國互聯網用戶的域名解析服務失效。 國家域名解析系統半數及以上頂級節點解析成功率低於50%或解析響應時間高於5秒；國家域名頂級節點解析數據缺失或出錯超過0.1%；國家域名解析系統重點域名相關解析數據出錯。 國家域名解析系統半數以下頂級節點解析成功率低於50%或解析響應時間高於5秒；國家域名頂級節點解析數據缺失或出錯超過0.01%；國家域名系統注冊服務不可用4小時以上。 國家域名系統注冊服務性能下降或查詢服務不可用。 域名注冊服務機構管理的權威域和遞歸解析伺服器 1家或多家重點注冊服務機構域名解析服務癱瘓。 1家或多家重點注冊服務機構域名解析服務性能下降，解析成功率低於50%或解析響應時間高於5秒，或解析數據缺失或出錯，超過1%。注冊服務機構域名系統核心資料庫丟失或非正常修改，並影響到國家域名核心資料庫導致產生國家頂級域名重大事件。 1家或多家注冊服務機構域名解析服務性能下降，解析成功率低於80%或解析響應時間高於5秒，或解析數據缺失或出錯，超過0.1%。 1家或多家注冊服務機構域名注冊系統服務不可用。 基礎和增值運營企業的權威域域名解析伺服器 N/A 重點域名解析權威伺服器癱瘓1小時以上。 N/A N/A 基礎運營企業的遞歸伺服器 N/A 為一個或多個省份提供服務的遞歸伺服器癱瘓1小時以上。 N/A N/A 基礎電信運營企業網上營業廳、移動WAP業務、門戶網站 系統癱瘓或故障，造成業務中斷1個小時以上，或造成100萬以上用戶數據丟失、泄漏。 系統癱瘓或故障，造成業務中斷1個小時以下，或造成10萬以上用戶數據丟失、泄漏。 系統癱瘓或故障，造成業務中斷或造成1萬以上用戶數據丟失、泄漏。 系統癱瘓或故障，但未造成上述嚴重後果。 公共互聯網環境 計算機病毒事件、蠕蟲事件、木馬事件、僵屍網路事件 涉及全國范圍或省級行政區域的大范圍病毒和蠕蟲傳播事件，或單個木馬和僵屍網路規模達100萬個以上IP，對社會造成特別重大影響。 涉及全國范圍或省級行政區域的大范圍病毒和蠕蟲傳播事件，或同一時期存在一個或多個木馬和僵屍網路總規模達50萬個以上IP，對社會造成重大影響。 涉及全國范圍或省級行政區域的大范圍病毒和蠕蟲傳播事件，或同一時期存在一個或多個木馬和僵屍網路總規模達10萬個以上IP，對社會造成較大影響。 涉及全國范圍或省級行政區域的大范圍病毒和蠕蟲傳播事件、木馬和僵屍網路事件等，對社會造成一定影響，但未造成上述嚴重後果。 域名劫持事件、網路仿冒事件、網頁篡改事件 N/A 發生涉及重點域名、重要信息系統網站的域名劫持、仿冒、篡改事件，導致10萬以上網站用戶受影響，或造成重大社會影響。 發生涉及重點域名、重要信息系統網站的域名劫持、仿冒、篡改事件，導致1萬以上網站用戶受影響，或造成較大社會影響。 其他域名劫持、網路仿冒、網頁篡改事件，造成一定社會影響，但未造成上述嚴重後果。 網頁掛馬事件 發生涉及重要信息系統網站、重要門戶網站的網頁掛馬事件，受影響網站用戶達100萬人以上，造成特別重大社會影響。 發生涉及重要信息系統網站、重要門戶網站的網頁掛馬事件，受影響網站用戶達10萬人以上，造成重大社會影響。 發生涉及重要信息系統網站、重要門戶網站的網頁掛馬事件，受影響網站用戶達1萬人以上，造成較大社會影響。 其他網頁掛馬事件，但未造成上述嚴重後果。 拒絕服務攻擊事件 N/A 發生涉及全國級重要信息系統的拒絕服務攻擊，造成重大社會影響。 發生涉及省級重要信息系統的拒絕服務攻擊，造成較大社會影響。 其他拒絕服務攻擊，造成一定社會影響。 後門漏洞事件、非授權訪問事件、垃圾郵件事件及其他網路安全事件 N/A 發生涉及全國級重要信息系統的後門漏洞事件、非授權訪問事件、垃圾郵件事件及其他網路安全事件，造成重大社會影響。 發生涉及省級重要信息系統的後門漏洞事件、非授權訪問事件、垃圾郵件事件及其他網路安全事件，造成較大社會影響。 發生的後門漏洞事件、非授權訪問事件、垃圾郵件事件及其他網路安全事件，造成一定社會影響。 〔注〕：
1、嚴重擁塞是指鏈路時延>110ms或丟包率超過8%。
2、本辦法中重要信息系統指政府部門、軍隊以及銀行、海關、稅務、電力、鐵路、證券、保險、民航等關系國計民生的重要行業使用的信息系統。
3、「信息分級規范」中所稱「以上」包括本數，所稱「以下」不包括本數。

⑤ 證券期貨業網路與信息安全事件應急預案 是否有效

應急預案是有，但是還沒觸發過，有沒有效不能提前下定論。
就像A股市場熔斷機制一樣，推出前都叫好，推出沒幾天就叫停了

⑥ 我國信息安全保密法律體系具有哪些特徵

目前我國信息安全法律體系的主要特點
通過對目前我國現行信息安全相關法律法規的整理分析，我們可以初步概括出目前我國信息安全法律體系的主要特點：
1、信息安全法律法規體系初步形成
目前我國現行法律法規及規章中，與信息安全直接相關的是65部，它們涉及網路與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域，在文件形式上，有法律、有關法律問題的決定、司法解釋及相關文件、行政法規、法規性文件、部門規章及相關文件、地方性法規與地方政府規章及相關文件多個層次。
其中，全面規范信息安全的法律法規有18部，包括94年的《中華人民共和國計算機信息系統安全保護條例》等法規，也包括2003年的《廣東省計算機信息系統安全保護管理規定》，98年的《重慶市計算機信息系統安全保護條例》等地方法規；側重於互聯網安全的有7部，包括2000年《全國人民代表大會常務委員會關於維護互聯網安全的決定》等法律層面的文件，也包括97年的《計算機信息網路國際聯網安全保護管理辦法》等部門規章；側重於信息安全系統與產品的有3部，包括97年的《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》等部門規章；側重於保密的有10部，既包括89年的《中華人民共和國保守國家秘密法》等法律，也包括98年的《計算機信息系統保密管理暫行規定》、2000年的《計算機信息系統國際聯網保密管理規定》、97年的《農業部計算機信息網路系統安全保密管理暫行規定》等部門規章；側重於密碼管理及應用的有5部，包括99年的《商用密碼管理條例》等法規，也包括2005年的《電子認證服務管理辦法》、《電子認證服務密碼管理辦法》等部門規章，還包括2002年的《上海市數字認證管理辦法》、2001年的《海南省數字證書認證管理試行辦法》等地方法規或規章；側重於計算機病毒與危害性程序防治的有9部，包括2000年的《計算機病毒防治管理辦法》等部門規章，也包括94年的《北京市計算機信息系統病毒預防和控制管理辦法》、2002年的《天津市預防和控制計算機病毒辦法》等地方法規或規章；側重於特定領域信息安全的有9部，包括98年的《金融機構計算機信息安全保護工作暫行規定》、2003年的《鐵路計算機信息系統安全保護辦法》、2005年的《證券期貨業信息安全保障管理暫行辦法》等部門規章，也包括2003年的《廣東省電子政務信息安全管理暫行辦法》等地方法規或規章；側重於信息安全監管的有3部，包括2004年的《上海市信息系統安全測評管理辦法》等地方法規或規章；側重於信息安全犯罪處罰的主要是我國刑法第285條、286條、287條等相關規定。
總體來看，這些信息安全法律法規或多或少所體現的我國信息安全的基本原則可以簡單歸納為國家安全、單位安全和個人安全相結合的原則，等級保護的原則，保障信息權利的原則，救濟原則，依法監管的原則，技術中立原則，權利與義務統一的原則；而基本制度可以簡單歸納為統一領導與分工負責制度，等級保護制度，技術檢測與風險評估制度，安全產品認證制度，生產銷售許可制度，信息安全通報制度，備份制度等。
2、與信息安全相關的司法和行政管理體系迅速完善
有了《中華人民共和國刑法》第217、218、285、286、287、288條、《全國人民代表大會常務委員會關於維護互聯網安全的決定》、《中華人民共和國計算機信息系統安全保護條例》、《電信條例》、《互聯網信息服務管理辦法》等法律依據，有了《最高人民法院最高人民檢察院關於辦理利用互聯網、移動通訊端、聲訊台製作、復制、出版、販賣、傳播、淫穢電子信息刑事案件具體應用法律若干問題的解釋》等司法解釋，一些危害信息安全的案例迅速得到裁判，如廣州市中級人民法院裁判的呂薛文破壞計算機信息系統案、烏魯木齊市中級人民法院裁判的何朴利用其擔任銀行計算機操作員的職務便利貪污巨額公款案等，震懾了違法犯罪分子，維護了計算機信息網路的正常秩序。
經過多年的工作，在我國信息安全行政管理方面，信息安全保障體系建設也已初見成效，與信息安全法律法規體系相配套的標准體系建設、應急處理體系建設、等級保護體系建設、電子認證體系建設、安全測評體系建設、計算機病毒疫情調查和控制體系建設以及違法和不良信息舉報制度建設等都得到較快的發展，為電子政務、電子商務及信息化做出了貢獻。
3、目前法律規定中法律少而規章等偏多，缺乏信息安全的基本法。
雖然可以說目前我國信息安全的法律體系已初步形成，但還很不成熟，在這一體系中，部門規章、地方法規及規章等佔了絕大多數，而法律、法規只佔到65部中的8部，為12%。部門規章、地方法規及規章等效力層級較低，適用范圍有限，相互之間可能產生沖突，也不能作為法院裁判的依據，直接影響了這些措施的效果。並且十分關鍵的是，目前我們還沒有一部信息安全的基本法，對於信息安全的基本法，我們理解為一部確立信息安全的基本原則、基本制度及一些核心內容的法律，而我們前面提到的很多規定都應是從這部法律的基本框架中延伸出來的，只有有了這部法律，我們的信息安全法律體系才能說是有了主幹。國外類似的法律如美國2002年的《聯邦信息安全管理法》、87年的《計算機安全法案》、俄羅斯95年的《聯邦信息、信息化和信息保護法》等。
4、相關法律規定篇幅偏小，行為規范較簡單。
我國現有信息安全相關法律規定普遍存在的問題是篇幅較小，規定得比較籠統，比如《全國人民代表大會常務委員會關於維護互聯網安全的決定》共7條，《中華人民共和國計算機信息系統安全保護條例》共31條，《中華人民共和國計算機信息網路國際聯網管理暫行規定》共17條，《計算機信息網路國際聯網安全保護管理辦法》（公安部）共25條，《互聯網信息服務管理辦法》共27條，《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》（公安部）共26條，《商用密碼管理條例》共27條，《計算機信息系統國際聯網保密管理規定》（國家保密局）共20條，《計算機病毒防治管理辦法》（公安部）為22條。
此外，總體看來，目前這些法律法規主要存在三個方面有待完善的地方：第一，這些法律法規主要內容集中在對物理環境的要求、行政管理的要求等方面，對於涉及信息安全的行為規范一般都規定的比較簡單，在具體執行上指引性還不是很強；第二，目前這些法律法規普遍在處罰措施方面規定得不夠具體，導致在信息安全領域實施處罰時法律依據的不足；第三，在一些特定的信息化應用領域，如電子商務、電子政務、網上支付等，相應的信息安全規范相對欠缺，有待於進一步發展。
5、與信息安全相關的其他法律有待完善
在建立健全信息安全法律體系的同時，與信息安全相關的其他法律法規的出台和完善也非常必要，如電信法、個人數據保護法等，這些法律法規與信息安全法律體系一起構成我國信息安全大的法律環境並且互為支撐、缺一不可。
在這里，我們還可以簡單理一下這個大信息安全法律環境的脈絡：
首先，從權利的角度看，信息安全中涉及的個人權利主要包括通信秘密、言論自由、隱私權、著作權及相關知識產權，而與通信秘密、言論自由相關的法律是憲法、國家安全法和警察法，與隱私權相關的法律是民法通則，與著作權及相關知識產權相關的法律是著作權法、合同法，此外，還可能涉及的法律有行政許可法、行政處罰法和國家賠償法；信息安全中涉及的單位的權利主要包括商業秘密、技術秘密、著作權及相關知識產權等，而與商業秘密、技術秘密相關的法律有反不正當競爭法、技術合同法，與著作權及相關知識產權相關的法律有著作權法、合同法，此外，還可能涉及的法律有行政許可法、行政處罰法和國家賠償法；再從國家的角度看，信息安全涉及國家安全、保密和金融安全等，與國家安全相關的法律是國家安全法，與保密相關的法律是保守國家秘密法，與金融安全相關的法律是銀行法。
其次，從應用的角度看，與信息安全相鄰或相交的領域包括：電信、無線電、集成電路、計算機軟體與系統集成、網路及網路信息服務、電子商務與現代物流、電子政務、信息資源公開、利用等。在這些領域我們又可以看到電信條例、無線電管理條例、集成電路布圖設計保護條例、計算機軟體保護條例、中華人民共和國計算機信息網路國際聯網管理暫行規定、互聯網信息服務管理辦法、互聯網上網服務營業場所管理條例、電子簽名法等一系列法律、法規、部門規章及地方法規、規章。