学习一下《中华人民共和国计算机信息系统安全保护条例》

“法治兴则民族兴,法治强则国家强。”[1]

那么，对应到我们网络安全行业，如果我们想把事业做兴做强，也是需要懂法的吧。

最近我在帮客户写各种网络安全相关制度，制度中总是要引《中华人民共和国计算机信息系统安全保护条例》，我琢磨着既然引用了不能不熟悉相关要求，所以我开个帖子一起聊聊。

我们国家与国际互联网进行全功能连接是在什么时候呢？

是1994年4月20日这一天，我们成为了国际互联网大家庭中的第77个成员。

连接之后，属于我们的信息时代就开启了。

同年,我国第一部涉及互联网的行政法规《中华人民共和国计算机信息系统安全保护条例》发布。该条例适用于中华人民共和国境内的所有计算机信息系统，包括联网和未联网的计算机系统。但未联网的微型计算机的安全保护办法另行制定‌。

嗯，这个行政法规应该算是开山祖师了。why?

首先，它是我国发布的第一部涉及互联网管理的行政法规。这部条例的出台，标志着中国在互联网管理方面迈出了重要的一步，为后续互联网的健康发展奠定了法律基础。

其次，《中华人民共和国计算机信息系统安全保护条例》的发布，明确了计算机信息系统安全保护的基本原则和要求，包括保障计算机及其相关设备、设施（含网络）的安全，运行环境的安全，以及信息的安全。

然后，条例还强调了重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全，并规定了公安部主管全国计算机信息系统安全保护工作，国家安全部、国家保密局和国务院其他有关部门在各自职责范围内做好相关工作。

这部条例的实施，对于预防和打击利用计算机信息系统进行的违法犯罪活动，保护国家信息安全，促进计算机技术的应用和发展，都起到了重要作用。

因此，将其视为中国互联网安全管理领域的“开山祖师”并不为过，它为中国互联网的规范化管理提供了重要的法律依据和指导。

这么多年了，《中华人民共和国计算机信息系统安全保护条例》肯定是有更新的。‌该条例由中华人民共和国国务院于1994年2月18日发布，并于2011年1月8日根据《国务院关于废止和修改部分行政法规的决定》进行了修订‌。

修订后的条例主要对部分条款进行了调整和完善，以确保条例的适应性和有效性。具体修订内容包括：

• 明确了计算机信息系统的定义和范围‌。

• 强化了计算机信息系统的安全保护措施，包括安全等级保护、机房建设标准、国际联网备案等‌。

• 规定了计算机信息系统的使用单位在发生安全事件时的报告义务‌。

现在把2011年这个条例一起以问答的形式学习一下：

问答角色有两个，小海龟是一个萌新，又菜又爱学，小猫鱼是一个有点经验的信息安全工程师，又菜又爱教。

懵懂的小海龟：小猫鱼，你说的这个条例是谁颁布的啊？

胸有成竹的小猫鱼：它是国务院颁布的行政法规？

懵懂的小海龟：啥是行政法规？

胸有成竹的小猫鱼：行政法规是中国法律体系中的重要一环，它是由国家最高行政机关——国务院根据宪法和法律的授权制定的。行政法规的法律效力仅次于宪法和法律，高于地方性法规、规章等。

懵懂的小海龟：哦，那接着说吧，这个行政法规目的是啥？

胸有成竹的小猫鱼：目的嘛，是保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行。

懵懂的小海龟：我就听到了第一句话，是保护安全的，那主要有哪些规定呢？

胸有成竹的小猫鱼：首先，这个法规对啥是计算机信息系统做了说明。你不是老是不清楚怎么判断哪些设备属于系统范围，哪些不属于吗?

懵懂的小海龟：嗯，我在做等保的时候是有点懵，老是不知道哪些应该算在要测的系统内。

胸有成竹的小猫鱼：该条例所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

懵懂的小海龟：唉，虽然你一字不漏的背下来了，但是说了等于没说，我听不懂。

胸有成竹的小猫鱼：比如一个网站所有相关的服务器、网络设备、安全设备、运维终端、中间件、web应用程序等为这个网站功能服务的都可以看成是一个信息系统。

懵懂的小海龟：那一个网站非常大，有好多功能我可以看成几个信息系统吗？

胸有成竹的小猫鱼：额，看情况吧，如果真的特别大，分细也没毛病吧。

懵懂的小海龟：。。。。。。。。

胸有成竹的小猫鱼：这个条例其实是有重点的，重点维护的是国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

懵懂的小海龟：哦，说说条例的其他部分吧。

胸有成竹的小猫鱼：条例主要有安全保护制度、安全监督和法律责任。

懵懂的小海龟：细节呢？

胸有成竹的小猫鱼：制度层面，应当遵守法律、行政法规和国家其他有关规定，主要强调了要做等级保护，计算机机房应当符合国家标准和国家有关规定，计算机信息系统的使用单位应当建立健全安全管理制度等。

懵懂的小海龟：哦，我们公司就不是所有系统都做等级保护了，也没啥健全的安全管理制度，小公司啊，要合规成本那么高，活不下来。

胸有成竹的小猫鱼：对于小公司来说，确实可能会面临资源有限、预算紧张等问题，然而，合规并不意味着一定要承担高昂的成本，而是要找到适合自身实际情况的解决方案。

懵懂的小海龟：咋做？

胸有成竹的小猫鱼：可以根据自身情况，制定适合自己的安全管理制度和保护措施。可以利用开源软件、云服务等成本效益高的工具和服务来提高安全性。等保也可以先做关键系统。然后培训员工，让员工安全意识提高，还可以外包一些安全工作。

懵懂的小海龟：大概明白了，就是慢慢一步步做呗。安全监督呢？

胸有成竹的小猫鱼：安全监督是公安机关负责的，猫鱼在白板上画了一个表：

懵懂的小海龟：嗯，等保也是公安部主管的。

胸有成竹的小猫鱼：最后还有一些法律责任，一般是公安机关警告警告，停机整顿；严重的需要行政处罚；违反治安管理行为的按照《中华人民共和国治安管理处罚法》进行处罚；造成财产损失的，依法承担民事责任；构成犯罪，依法追究刑事责任。

懵懂的小海龟：好像懂了，又好像没懂，法律圈圈有点多。

胸有成竹的小猫鱼：没事，浅聊一下，慢慢来，吃饭不也是一口口吃吗。

懵懂的小海龟：我饿了，猫鱼，今天请我吃饭吧？

胸有成竹的小猫鱼：why?

懵懂的小海龟：我当你的忠实听众接近20分钟了，我的生命的切片都给你了。

胸有成竹的小猫鱼：。。。。。。。。。人家是魔鬼的步伐，你是魔鬼的 逻辑。

懵懂的小海龟：哈哈，你暴露年龄了。

图片来自网络

嗯，最后把人民政府官网上的条文搬过来，方便大家阅读：

中华人民共和国计算机信息系统安全保护条例　　（1994年2月18日中华人民共和国国务院令第147号发布　根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订）第一章　总　　则　　第一条　为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行，制定本条例。　　第二条　本条例所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。　　第三条　计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。　　第四条　计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。　　第五条　中华人民共和国境内的计算机信息系统的安全保护，适用本条例。　　未联网的微型计算机的安全保护办法，另行制定。　　第六条　公安部主管全国计算机信息系统安全保护工作。　　国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。　　第七条　任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。第二章　安全保护制度　　第八条　计算机信息系统的建设和应用，应当遵守法律、行政法规和国家其他有关规定。　　第九条　计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。　　第十条　计算机机房应当符合国家标准和国家有关规定。　　在计算机机房附近施工，不得危害计算机信息系统的安全。　　第十一条　进行国际联网的计算机信息系统，由计算机信息系统的使用单位报省级以上人民政府公安机关备案。　　第十二条　运输、携带、邮寄计算机信息媒体进出境的，应当如实向海关申报。　　第十三条　计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。　　第十四条　对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。　　第十五条　对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由公安部归口管理。　　第十六条　国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。第三章　安 全 监 督　　第十七条　公安机关对计算机信息系统安全保护工作行使下列监督职权：　　（一）监督、检查、指导计算机信息系统安全保护工作；　　（二）查处危害计算机信息系统安全的违法犯罪案件；　　（三）履行计算机信息系统安全保护工作的其他监督职责。　　第十八条　公安机关发现影响计算机信息系统安全的隐患时，应当及时通知使用单位采取安全保护措施。　　第十九条　公安部在紧急情况下，可以就涉及计算机信息系统安全的特定事项发布专项通令。第四章　法 律 责 任　　第二十条　违反本条例的规定，有下列行为之一的，由公安机关处以警告或者停机整顿：　　（一）违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的；　　（二）违反计算机信息系统国际联网备案制度的；　　（三）不按照规定时间报告计算机信息系统中发生的案件的；　　（四）接到公安机关要求改进安全状况的通知后，在限期内拒不改进的；　　（五）有危害计算机信息系统安全的其他行为的。　　第二十一条　计算机机房不符合国家标准和国家其他有关规定的，或者在计算机机房附近施工危害计算机信息系统安全的，由公安机关会同有关单位进行处理。　　第二十二条　运输、携带、邮寄计算机信息媒体进出境，不如实向海关申报的，由海关依照《中华人民共和国海关法》和本条例以及其他有关法律、法规的规定处理。　　第二十三条　故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15万元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。　　第二十四条　违反本条例的规定，构成违反治安管理行为的，依照《中华人民共和国治安管理处罚法》的有关规定处罚；构成犯罪的，依法追究刑事责任。　　第二十五条　任何组织或者个人违反本条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担民事责任。　　第二十六条　当事人对公安机关依照本条例所作出的具体行政行为不服的，可以依法申请行政复议或者提起行政诉讼。　　第二十七条　执行本条例的国家公务员利用职权，索取、收受贿赂或者有其他违法、失职行为，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，给予行政处分。第五章　附　　则　　第二十八条　本条例下列用语的含义：　　计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。　　计算机信息系统安全专用产品，是指用于保护计算机信息系统安全的专用硬件和软件产品。　　第二十九条　军队的计算机信息系统安全保护工作，按照军队的有关法规执行。　　第三十条　公安部可以根据本条例制定实施办法。　　第三十一条　本条例自发布之日起施行。

Hi 我是网信知识瓦工小猫鱼，开通这个微信公众号的目的就是为传播网信知识添砖加瓦的。很多文章来自于我结合实际工作经验并在阅读巨人们写的文章和书籍的基础上的随意发挥，我深知自己专业水平极其有限，由于精力和性格的原因，对整个版图的个别模块也仅仅是浅尝则止的状态，有错漏请大家不吝留言指出。

另外，我们还整了一个微信群，在里面大家可以分享交流学习，想入群的可以关注我这个号，有入群菜单。

不规范的参考文章：

【1】2022年2月16日出版的第4期《求是》杂志发表中共中央总书记、国家主席、中央军委主席习近平的重要文章 《坚持走中国特色社会主义法治道路，更好推进中国特色社会主义法治体系建设》

THE END

原文始发于微信公众号（透明魔方）：学习一下《中华人民共和国计算机信息系统安全保护条例》