I. Undang-undang
1. Undang-undang Keselamatan Siber China (2017) 网络 安全 法
Undang-undang ini berlaku untuk pemilik, pengelola dan penyedia layanan jaringan (selanjutnya disebut sebagai "operator") yang membangun, mengoperasikan, memelihara dan menggunakan jaringan di China. Perkara utama Undang-Undang ini merangkumi:
(1) Pengendali harus memverifikasi identitas pengguna ketika menyediakan perkhidmatan seperti akses jaringan, pendaftaran nama domain, akses jaringan telepon, atau pelepasan maklumat dan pesanan segera untuk pengguna.
(2) Maklumat peribadi dan data penting mesti disimpan di China. Pengeksportan data harus ditinjau oleh pengawal selia.
(3) Pengendali harus memberikan sokongan teknikal dan bantuan kepada organ keselamatan awam dan pihak keselamatan nasional.
(4) Jika ada institusi luar negeri, organisasi atau individu menyerang, mengganggu, mengganggu, memusnahkan atau merosakkan infrastruktur maklumat kritikal China, menyebabkan akibat yang serius, pelanggar akan dikenakan tanggung jawab hukum sesuai dengan undang-undang. Organ keselamatan awam dan jabatan yang berkaitan boleh memutuskan untuk membekukan harta benda atau mengambil tindakan sanksi lain yang diperlukan terhadap institusi, organisasi atau individu.
2. Keputusan Mengukuhkan Perlindungan Maklumat Rangkaian (2012) 关于 加强 网络 信息 保护 的 决定
Keputusan menetapkan, untuk pertama kalinya di China, peraturan untuk pengumpulan dan penggunaan informasi pribadi dan kewajiban penyedia perkhidmatan rangkaian untuk melindungi informasi pribadi.
Undang-undang Keselamatan Siber, yang kemudian diundangkan pada tahun 2018, telah menerima sebagian besar isi Keputusan tersebut.
3. Keputusan Mengekalkan Keselamatan Internet (2000) 关于 维护 互联网 安全 的 决定
Keputusan itu adalah peraturan pertama China mengenai keselamatan siber, dengan perkara utama seperti berikut:
(1) Meretas atau merosakkan sistem komputer adalah suatu kejahatan.
(2) Menjatuhkan kuasa negara, menghancurkan perpaduan nasional dan kesatuan kebangsaan, mencuri rahsia negara dan terlibat dalam kegiatan yang melibatkan pemujaan dengan menerbitkan maklumat di Internet merupakan suatu kejahatan.
(3) Melanggar hak sah orang lain di Internet merupakan suatu kejahatan.
II. Peraturan Pentadbiran
Perkara utama Langkah-langkah tersebut merangkumi:
(1) Kementerian Keamanan Umum bertanggung jawab melindungi hubungan antara jaringan komputer di China dan Internet antarabangsa.
(2) Tidak ada entiti yang akan menggunakan Internet antarabangsa untuk menerbitkan kandungan haram atau membahayakan keselamatan komputer.
Perkara utama Langkah-langkah tersebut merangkumi:
(1) Peraturan ini bertujuan untuk melindungi keamanan sistem informasi komputer di wilayah China.
(2) Kementerian Keamanan Umum adalah pihak berwenang dalam bidang ini, yang fungsi dan kuasanya termasuk mengawasi perlindungan keamanan yang relevan; menyiasat dan menghukum tindakan haram yang membahayakan keselamatan komputer.
Pada 27 Juni 2018, Kementerian Keamanan Umum berdasarkan Artikel 21 Undang-Undang Keamanan Siber, menyusun "Peraturan tentang Tingkat Perlindungan Keamanan Siber" dan mengumumkan rancangannya untuk meminta pendapat dari masyarakat. Setakat ini, draf tersebut belum menjadi undang-undang yang diundangkan secara rasmi.
Titik inti draf adalah seperti berikut:
(1) Sistem jaringan akan dibagi menjadi lima tingkat perlindungan keamanan sesuai dengan kepentingannya dalam keamanan nasional, pembangunan ekonomi, dan kehidupan sosial.
Kepentingan sistem rangkaian secara beransur-ansur meningkat dari tahap pertama ke tahap kelima. (Artikel 15)
Sistem rangkaian dengan tahap yang berbeza menunjukkan sejauh mana kepentingan yang relevan dapat dirugikan sekiranya berlaku insiden keselamatan rangkaian sistem rangkaian pada tahap tersebut, seperti berikut:
Tahap 1: Keselamatan negara, ketertiban sosial dan kepentingan awam tidak akan terancam;
Tahap 2: Ketertiban sosial dan kepentingan awam akan terancam, dan keselamatan negara tidak akan terancam;
Tahap 3: Ketertiban sosial dan kepentingan awam akan terancam serius, atau keselamatan negara akan terancam;
Tahap 4: Ketertiban sosial dan kepentingan awam akan sangat terancam, atau keselamatan negara akan terancam teruk;
Tahap 5: Keselamatan negara sangat terancam.
(2) Pengendali rangkaian harus menentukan tingkat perlindungan keamanan jaringan selama tahap perencanaan dan perancangan, dan para ahli dan pihak berwenang harus mengesahkan levelnya. Setelah tahap disahkan, pengendali rangkaian juga harus membuat fail dengan organ keselamatan awam. (Artikel 16, 17, 18)
(3) Pengendali rangkaian harus melaksanakan kewajiban keselamatan yang diperlukan, dan operator jaringan di atas Tingkat 3 juga harus melaksanakan kewajiban perlindungan keamanan khusus. (Artikel 20 dan 21)
(4) Jika produk dan perkhidmatan rangkaian yang dibeli oleh operator rangkaian dapat mempengaruhi keamanan nasional, produk dan perkhidmatan tersebut harus menjalani tinjauan keamanan nasional yang diatur oleh pihak berwajib. (Artikel 28)
(5) Rangkaian di atas Tahap 3 harus dikekalkan di dalam negara, dan penyelenggaraan teknikal jarak jauh tidak dibenarkan di luar negeri. (Artikel 29)
(6) Pengendali rangkaian harus melaporkan pemantauan keselamatan jaringan dan informasi peringatan dini dan insiden keselamatan rangkaian kepada pihak berwenang, menetapkan mekanisme perlindungan keselamatan data dan maklumat penting, dan merumuskan dan melaksanakan rencana kecemasan keselamatan jaringan. (Artikel 30, 31, 32)
III. Peraturan Jabatan
1. Langkah-langkah Kajian Keselamatan Siber China (2020) 网络 安全 审查 办法
Langkah-langkah ini bertujuan untuk mengawasi apakah pembelian produk dan perkhidmatan rangkaian oleh pengendali infrastruktur maklumat penting (selanjutnya disebut sebagai "operator") mempengaruhi keamanan nasional. Perkara utama Langkah-langkah tersebut merangkumi:
(1) Jika pembelian produk dan perkhidmatan jaringan oleh operator mempengaruhi atau dapat mempengaruhi keamanan nasional, operator harus melaporkan ke kantor tinjauan keamanan jaringan yang berafiliasi dengan Pentadbiran Cyberspace of China untuk tinjauan keselamatan jaringan.
(2) Produk atau perkhidmatan jaringan meliputi komputer, pelayan, perangkat penyimpanan, pangkalan data, perisian dan perkhidmatan cloud.
(3) Pejabat tinjauan keselamatan rangkaian akan mengkaji risiko berikut: adakah kemudahan yang menggunakan produk atau perkhidmatan tersebut akan mengalami kerosakan; adakah data akan dibocorkan; sama ada saluran bekalan produk atau perkhidmatan tersebut selamat dan stabil; sama ada pembekal produk atau perkhidmatan tersebut mematuhi undang-undang China.
2. Kaedah Penilaian Keselamatan untuk Perkhidmatan Pengkomputeran Awan (2019) 云 计算 服务 安全 评估 办法
Kaedah Penilaian Keselamatan ini bertujuan untuk menilai keselamatan dan kebolehkendalian perkhidmatan pengkomputeran awan yang dibeli oleh pihak dan organ kerajaan dan pengendali infrastruktur maklumat utama. Perkara utama adalah seperti berikut:
(1) Penilaian keselamatan perkhidmatan pengkomputeran awan akan tertumpu pada perkara berikut: (i) maklumat asas pengendali platform awan; (ii) latar belakang dan kestabilan penyedia perkhidmatan awan; (ii) keselamatan teknologi, produk dan rantaian bekalan perkhidmatan platform awan; (vi) kemampuan pengurusan keselamatan dan langkah-langkah keselamatan penyedia perkhidmatan awan; (v) kelayakan dan kemudahan migrasi data pelanggan; (iv) kesinambungan perniagaan penyedia perkhidmatan awan.
(2) Penyedia perkhidmatan awan dapat mengajukan permohonan penilaian keamanan di platform awan yang menyediakan perkhidmatan pengkomputeran awan kepada pihak dan organ pemerintah dan operator infrastruktur maklumat utama.
Peraturan ini bertujuan untuk menentukan bagaimana seharusnya organ keselamatan awam melakukan pengawasan dan pemeriksaan keamanan atas pemenuhan kewajiban keselamatan siber oleh pengguna penyedia perkhidmatan dan pengguna Internet.
Perkara utama Langkah-langkah tersebut merangkumi:
(1) Kementerian Keamanan Umum bertanggung jawab melindungi hubungan antara jaringan komputer di China dan Internet antarabangsa.
(2) Tidak ada entiti yang akan menggunakan Internet antarabangsa untuk menerbitkan kandungan haram atau membahayakan keselamatan komputer.
5. Peraturan mengenai Langkah-langkah Teknikal untuk Keselamatan Siber (2006) 安全 安全 保护 技术 措施 规定
Peraturan ini bertujuan untuk mengawasi penyedia perkhidmatan Internet dan pengguna Internet untuk mengambil langkah-langkah teknis untuk keselamatan siber, dan untuk memastikan fungsi normal langkah-langkah teknikal untuk keselamatan siber. Bahagian pengawasan keselamatan rangkaian maklumat awam organ keselamatan awam bertanggungjawab untuk mengawasi pelaksanaan langkah-langkah teknikal untuk keselamatan siber.
IV. Dasar
1. Pelan Kontinjensi mengenai Kecemasan Keselamatan Internet Awam (2017) 公共 互联网 网络 安全 突发 事件 应急 预案
Rencana Kontingensi ini bertujuan untuk mewujudkan sistem organisasi kecemasan dan mekanisme kerja untuk Kecemasan Keselamatan Internet Awam.
Langkah-langkah ini bertujuan untuk meningkatkan pemantauan dan penanganan pekerjaan untuk ancaman keamanan siber Internet awam, untuk menghilangkan risiko keamanan, menghentikan serangan, menghindari bahaya, dan mengurangi risiko keamanan. Ancaman terhadap keselamatan siber Internet awam merujuk kepada sumber rangkaian, program jahat, risiko keselamatan atau insiden keselamatan yang wujud atau tersebar di Internet awam, dan boleh menyebabkan atau telah menyebabkan bahaya kepada orang ramai.
Katalog menyenaraikan 15 jenis peralatan dan produk. Undang-undang Keselamatan Siber China memerlukan perlindungan infrastruktur maklumat kritikal dari serangan, pencerobohan, gangguan, dan kerosakan. Katalog menentukan jenis peralatan dan produk yang termasuk dalam infrastruktur maklumat kritikal.
Langkah-langkah ini bertujuan untuk membimbing pekerjaan administratif untuk pihak berkuasa tempatan dan perusahaan akses Internet yang terlibat di pusat data Internet (termasuk perkhidmatan kolaborasi sumber Internet), perkhidmatan akses Internet, rangkaian penyampaian kandungan, dan perkhidmatan lain dalam mengelola penggunaan dan penyelenggaraan operasi Internet sistem pengurusan keselamatan maklumat.
Pendapat ini bertujuan untuk mempromosikan pembentukan sistem standard keselamatan dan mekanisme standardisasi rangkaian nasional yang bersatu dan berwibawa. Perkara utama adalah seperti berikut:
(1) Membentuk dan meningkatkan sistem standard keselamatan rangkaian secara berterusan.
(2) Berpartisipasi secara aktif dalam penyusunan peraturan antarabangsa dan peraturan standard antarabangsa untuk dunia maya.
Pendapat ini bertujuan untuk memperkukuhkan pengembangan disiplin dan latihan bakat Akademi Keselamatan Siber China.
Pemberitahuan ini bertujuan untuk mendesak semua jabatan kerajaan untuk meningkatkan perlindungan keselamatan di laman web rasmi mereka.
Pemberitahuan ini dibahagikan kepada 3 bahagian, dengan tujuan untuk mempromosikan China untuk awalnya mewujudkan sistem keselamatan Internet perindustrian pada akhir tahun 2020.
V. Standard Teknikal
1. Keperluan Penilaian Perlindungan Tahap Keselamatan Rangkaian 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. Keperluan Asas Perlindungan Tahap Keselamatan Rangkaian 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Keperluan Reka Bentuk Keselamatan Tahap Keselamatan Rangkaian 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Foto oleh Jéan Béller (https://unsplash.com/@jeanbeller) di Unsplash