一文全览 信息安全合规认证法律法规

安全合规认证

ISO/IEC 27001

ISO/IEC 27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保障组织信息安全管理体系的持续运行。获得ISO/IEC 27001认证证书，表明能够提供一个符合国际公认信息安全标准的云环境。

PDF下载：ISO27001 遵从性指南

PCI DSS

PCI DSS全称Payment Card Industry Data Security Standard，即支付卡行业数据安全标准，ISA、JCB和万事达等五家国际信用卡组织共同建立的一套支付卡行业数据安全标准，致力于保护持卡人的数据安全。世界上最权威、最严格的金融机构认证。

PCI DSS包含建立并维护安全的网络和系统、保护帐户数据、维护漏洞管理计划、实施强效访问控制措施、定期监控并测试网络、维护信息安全政策这六大领域内容，具体囊括12项具体安全标准要求，为保护持卡人数据及敏感验证数据的技术和操作提供基准。

PDF下载：PCI DSS 实践指南

CSA STAR

CSA——Cloud Security Alliance，云安全联盟作为业界权威组织，致力于在云计算环境下为业界提供最佳安全解决方案。

CSA STAR认证是由英国标准协会(BSI)和云安全联盟（CSA）联合推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题。CSA STAR以ISO/IEC 27001认证为基础，结合云端安全控制矩阵CCM的要求，运用BSI提供的成熟度模型和评估方法，综合评估组织云端安全管理和技术能力。

2021年CSA推出CCM V4新标准，CCM V4包括17个控制域和197个控制目标，对CCM V3.0.1内容做了大幅更新，覆盖来自云计算新技术、新控制、安全责任矩阵的要求，改善控制项的问责制，增强互操作性及与其它标准的兼容性，涵盖了云计算技术的安全领域。

PDF下载：CSA CCM 遵从性指南

NIST

NIST CSF，是由美国国家标准与技术研究所（National Institute of Standards and Technology，简称NIST）制定的网络安全框架（Cybersecurity Framework，简称CSF），旨在为寻求加强网络安全防御的组织提供指导，目前已成为全球认可的权威安全评估体系。

NIST CSF由标准、指南和管理网络安全相关风险的最佳实践三部分组成，其核心内容可以概括为经典的IPDRR能力模型，即风险识别能力（Identify）、安全防御能力（Protect）、安全检测能力（Detect）、安全响应能力（Response）和安全恢复能力（Recovery）五大能力。这个能力框架实现了网络安全“事前、事中、事后”的全过程覆盖，帮助企业主动识别、预防、发现、响应安全风险。

PDF下载：NIST CSF 实践指南

HIPAA

美国《健康保险流通与责任法案》（HIPAA）于1996年颁布。该法案涵盖一系列保障 PHI（受保护健康信息）的安全性和隐私性的控制要求，以加强信息共享并提高医疗保 健系统的效率和质量。

PDF下载：HIPAA 遵从性指南

PDPA

新加坡于2012年10月15日颁布了《个人数据保护法 2012》（PDPA），该法于2014年7月2日生效。新加坡PDPA整体规范了组织对个人数据的收集、使用和披露， 保障个人对其个人数据保护的权利并承认组织出于合理的目的收集、使用和披露个人数据的需要。

PDF下载：新加坡 PDPA 遵从性指南

网络安全实践指南

基础设施安全是构筑多维全栈安全防护体系的核心组成部分。参考业界最佳实践在数据中心、网络等基础设施的设计和管理上充分考虑安全性与合规性。

PDF下载：网络安全白皮书

数据安全实践指南

需要高度重数据资产，把数据保护作为安全策略的核心。遵循数据安全生命周期管理的业界先进标准，在身份认证、权限管理、访问控制、数据隔离、传输安全、存储安全、数据删除、物理销毁等方面，采用优秀技术、实践和流程，建立切实有效的数据保护能力。

PDF下载：数据安全白皮书

法律法规及监管要求

网络安全法

《网络安全法》规定，导致危害网络安全等后果的，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员进行处罚。

• 中华人民共和国网络安全法-中共中央网络安全和信息化委员会办公室 (cac.gov.cn)
• 中华人民共和国网络安全法中国政府网 (www.gov.cn)

数据安全法

《数据安全法》规定，未履行数据安全保护义务的， 责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员进行处罚。

• 中华人民共和国数据安全法_中国人大网 (npc.gov.cn)
• 中华人民共和国数据安全法_中国政府网 (www.gov.cn)

个人信息保护法

《个人信息保护法》规定，企业需要设置个人信息保护负责人，对个人信息处理风险进行事先评估和防控，最高罚款5000万元或上一年度营业额5%，直接负责的主管和直接责任人进行处罚。

• 中华人民共和国个人信息保护法_中国人大网 (npc.gov.cn)
• 中华人民共和国个人信息保护法_中国政府网 (www.gov.cn)

网络安全等级保护

网络安全等级保护（简称等保）是公安部用于指导国内各组织单位进行网络安全建设的依据，目前已成为各行业广泛遵循的通用安全标准。

等保等级由低到高分为五级，主要依据系统受破坏后危害的范围和严重程度。目前1级系统因影响小，基本不需备案；5级系统目前还不存在，只是理想状态。这里主要介绍2-4级：

• 2级，受到破坏，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。需国家信息安全监管部门对该级信息系统信息安全等保工作进行指导。

• 3级，受到破坏，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。需国家监管部门进行监督、检查。

• 4级，受到破坏，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。需国家监管部门进行强制监督、检查。

信息安全技术 网络安全等级保护基本要求

信息安全技术 网络安全等级保护测评要求

信息安全技术 网络安全等级保护安全设计技术要求)

网络安全保护义务

2017年6月1日，《网络安全法》正式施行，明确了网络使用者和运营者的权利和责任。

2021年9月1日，《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》正式施行；

2021年11月1日，《中华人民共和国个人信息保护法》正式实施。

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

等级保护制度要求，网络运营者设置专门安全管理机构和负责人，落实网络安全防护措施、保护重要数据。

违反《网络安全法》规定，导致危害网络安全等后果的, 责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员进行罚款。

执法案例

淘宝网、BOSS直聘，因为合规问题，受到行政处罚。蘑菇街、虾米音乐，因为不合规问题，受到暂停业务、暂停用户注册的处罚。
淘宝网，部分店铺存在售卖破坏计算机信息系统工具、售卖违禁管制物品、贩卖非法VPN工具、贩卖网络账号，对淘宝网提出警告并责令其改正；

• BOSS直聘，BOSS直聘在为用户提供信息发布服务过程中，违规为未提供真实身份信息的用户提供了信息发布服务；未采取有效措施对用户发布传输的信息进行严格管理，导致违法违规信息扩散。东北大学毕业生李某在 BOSS直聘遭遇招聘诈骗、深陷传销组织致死事件引发社会广泛关注。经调查，北京市网信办相关负责人表示，BOSS直聘的上述问题已违反《中华人民共和国网络安全法》第24条、第48条规定 ，要求该网站整改网站招聘信息。
• 同花顺金融网，责令开展专项检查，暂停相关业务，追究有关人员责任；
• 豆瓣网、蘑菇街互动网、虾米音乐网，暂停新用户注册７天。
• 沃尔玛，网络系统存在可利用的网络安全漏洞共十九项，未及时处置系统漏洞。违反了《中华人民共和国网络安全法》第二十五条、第五十九条第一款之规定，处罚结果为决定给予警告的行政处罚，并责令改正。

• 网络安全法执法案例汇总
• 2020年网络安全等级保护执法典型案例汇总
• 2021年网络安全典型执法案例

刑法

非法侵入计算机信息系统罪 - 1台 （国家事务、国防建设、尖端科学技术领域）

非法控制计算机信息系统罪 - 20台

非法获取计算机信息系统数据罪 - 违法数据条目数量：个人 500、政务 100、其他 2000条

破坏计算机信息系统罪 - 10台删除 20台修改

非法利用信息网络罪 - 违法所得五千元以上

帮助信息网络犯罪活动罪 - 违法所得五千元以上

《中华人民共和国刑法》
其任务是用刑罚以保卫国家安全，保卫人民民主专政的政权和社会主义制度，保护公私财产，保护公民的权利，维护社会秩序，保障社会主义建设事业的顺利进行。违反刑法的行为是为犯罪。在2015年《刑法修正案（九）》公布后，第二百八十五条至第二百八十七条，共列七种犯罪。

第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

第二百八十六条 【破坏计算机信息系统罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。

第二百八十六条 之一 【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

(一)致使违法信息大量传播的;

(二)致使用户信息泄露，造成严重后果的;

(三)致使刑事案件证据灭失，情节严重的;

(四)有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

第二百八十七条 【利用计算机实施犯罪的提示性规定】利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。

第二百八十七条 之一 【非法利用信息网络罪】利用信息网络实施下列行为之一，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金：

(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;

(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;

(三)为实施诈骗等违法犯罪活动发布信息的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。

有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

第二百八十七条 之二 【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。

有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释（2011年）
第一条　非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：

（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

（三）非法控制计算机信息系统二十台以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；

（二）其他情节特别严重的情形。

明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。

第二条　具有下列情形之一的程序、工具，应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”：

（一）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的；

（二）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的；

（三）其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

第三条　提供侵入、非法控制计算机信息系统的程序、工具，具有下列情形之一的，应当认定为刑法第二百八十五条第三款规定的“情节严重”：

（一）提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的；

（二）提供第（一）项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的；

（三）明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的；

（四）明知他人实施第（三）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的；

（五）违法所得五千元以上或者造成经济损失一万元以上的；

（六）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（五）项规定标准五倍以上的；

（二）其他情节特别严重的情形。

第四条　破坏计算机信息系统功能、数据或者应用程序，具有下列情形之一的，应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”：

（一）造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的；

（二）对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的；

（三）违法所得五千元以上或者造成经济损失一万元以上的；

（四）造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的；

（五）造成其他严重后果的。

实施前款规定行为，具有下列情形之一的，应当认定为破坏计算机信息系统“后果特别严重”：

（一）数量或者数额达到前款第（一）项至第（三）项规定标准五倍以上的；

（二）造成为五百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的；

（三）破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序，致使生产、生活受到严重影响或者造成恶劣社会影响的；

（四）造成其他特别严重后果的。

第五条　具有下列情形之一的程序，应当认定为刑法第二百八十六条第三款规定的“计算机病毒等破坏性程序”：

（一）能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的；

（二）能够在预先设定条件下自动触发，并破坏计算机系统功能、数据或者应用程序的；

（三）其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序。

第六条　故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，具有下列情形之一的，应当认定为刑法第二百八十六条第三款规定的“后果严重”：

（一）制作、提供、传输第五条第（一）项规定的程序，导致该程序通过网络、存储介质、文件等媒介传播的；

（二）造成二十台以上计算机系统被植入第五条第（二）、（三）项规定的程序的；

（三）提供计算机病毒等破坏性程序十人次以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）造成其他严重后果的。

实施前款规定行为，具有下列情形之一的，应当认定为破坏计算机信息系统“后果特别严重”：

（一）制作、提供、传输第五条第（一）项规定的程序，导致该程序通过网络、存储介质、文件等媒介传播，致使生产、生活受到严重影响或者造成恶劣社会影响的；

（二）数量或者数额达到前款第（二）项至第（四）项规定标准五倍以上的；

（三）造成其他特别严重后果的。

第七条　明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权，而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒，违法所得五千元以上的，应当依照刑法第三百一十二条第一款的规定，以掩饰、隐瞒犯罪所得罪定罪处罚。

实施前款规定行为，违法所得五万元以上的，应当认定为刑法第三百一十二条第一款规定的“情节严重”。

单位实施第一款规定行为的，定罪量刑标准依照第一款、第二款的规定执行。

第八条　以单位名义或者单位形式实施危害计算机信息系统安全犯罪，达到本解释规定的定罪量刑标准的，应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。

第九条　明知他人实施刑法第二百八十五条、第二百八十六条规定的行为，具有下列情形之一的，应当认定为共同犯罪，依照刑法第二百八十五条、第二百八十六条的规定处罚：

（一）为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具，违法所得五千元以上或者提供十人次以上的；

（二）为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助，违法所得五千元以上的；

（三）通过委托推广软件、投放广告等方式向其提供资金五千元以上的。

实施前款规定行为，数量或者数额达到前款规定标准五倍以上的，应当认定为刑法第二百八十五条、第二百八十六条规定的“情节特别严重”或者“后果特别严重”。

第十条　对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论，并结合案件具体情况认定。

第十一条　本解释所称“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。

本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。

本解释所称“经济损失”，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。

网络安全监管单位

• 网信办
• 工信部
• 网安
• 网络违法犯罪举报网址：https://www.12377.cn/ https://www.12321.cn/

• 督察部门（受理群众电话、网络举报，督导“扫黑除恶”专项斗争进展）
• 刑侦部门（刑侦部门作为主力军，要广泛搜集涉黑涉恶违法犯罪线索，研究打击对策，侦办涉黑涉恶案件，实施专案打击，确保打掉一批涉黑恶犯罪团伙）
• 治安部门（各派出所加强对娱乐、物流等行业和高危人员的管控，并从黄赌案件中发现打击）
• 经侦部门（经济领域）
• 网安部门（打击网络黑产犯罪，重拳打击电信网络诈骗、网络赌博、网络水军等突出违法犯罪团伙手机黑卡、网络黑号源头。）
• 禁毒部门（毒品犯罪）
• 交管部门（车牌驾驶证管理）
• 技侦部门（利用科学仪器或技术手段收集、保全证据，或对已收集的证据进行分析鉴定的活动）
• 国保部门（国保支队主要承担维护本地社会政治稳定和国内安全保卫基础调查、情报信息、秘密力量建设、重点对象和阵地控制等基础性工作。负责侦破危害国家安全和社会政治稳定的有关案事件）
• 法制部门（负责指导、监督、检查全市公安法制建设和执法工作）
• 技术侦查的措施通常包括：电子侦听、电话监听、电子监控、秘密拍照、录像、进行邮件检查等秘密的专门技术手段。广义的技术侦察措施还包括：无线电侦察、航空侦察、卫星侦察等。