I. Hukum
1. Hukum Keamanan Siber Tiongkok (2017) 网络 安全 法
Undang-Undang ini berlaku untuk pemilik, manajer, dan penyedia layanan jaringan (selanjutnya disebut sebagai "operator") yang membangun, mengoperasikan, memelihara, dan menggunakan jaringan di China. Poin-poin kunci dari Undang-undang ini meliputi:
(1) Operator harus memverifikasi identitas pengguna saat menyediakan layanan seperti akses jaringan, pendaftaran nama domain, akses jaringan telepon, atau rilis informasi dan pesan instan untuk pengguna.
(2) Informasi pribadi dan data penting harus disimpan di Tiongkok. Ekspor data harus ditinjau oleh regulator.
(3) Operator harus memberikan dukungan teknis dan bantuan kepada organ keamanan publik dan otoritas keamanan nasional.
(4) Jika institusi, organisasi, atau serangan individu di luar negeri, mengganggu, mengganggu, menghancurkan, atau merusak infrastruktur informasi penting China, yang menyebabkan konsekuensi serius, pelanggar harus dikenai tanggung jawab hukum sesuai dengan hukum. Badan keamanan publik dan departemen terkait dapat memutuskan untuk membekukan properti atau mengambil tindakan sanksi lain yang diperlukan terhadap lembaga, organisasi, atau individu.
2. Keputusan Penguatan Perlindungan Jaringan Informasi (2012) 关于 加强 网络 信息 保护 的 决定
Keputusan tersebut menetapkan, untuk pertama kalinya di China, aturan pengumpulan dan penggunaan informasi pribadi dan kewajiban penyedia layanan jaringan untuk melindungi informasi pribadi.
Undang-Undang Keamanan Siber, yang kemudian diundangkan pada tahun 2018, telah mengadopsi sebagian besar isi Keputusan tersebut.
3. Keputusan tentang Menjaga Keamanan Internet (2000) 关于 维护 互联网 安全 的 决定
Keputusan tersebut adalah aturan pertama China tentang keamanan siber, dengan poin-poin penting sebagai berikut:
(1) Meretas atau menghancurkan sistem komputer merupakan kejahatan.
(2) Menumbangkan kekuasaan negara, menghancurkan persatuan nasional dan persatuan bangsa-bangsa, mencuri rahasia negara dan terlibat dalam kegiatan yang melibatkan aliran sesat dengan mempublikasikan informasi di Internet merupakan kejahatan.
(3) Melanggar hak sah orang lain di Internet merupakan kejahatan.
II. Peraturan Administratif
Poin-poin penting dari Tindakan tersebut meliputi:
(1) Kementerian Keamanan Publik bertanggung jawab untuk melindungi koneksi antara jaringan komputer di China dan Internet internasional.
(2) Tidak ada entitas yang boleh menggunakan Internet internasional untuk mempublikasikan konten ilegal atau membahayakan keamanan komputer.
2. Peraturan tentang Perlindungan Keamanan Sistem Informasi Komputer China (2011) 计算机 信息 系统 安全 保护 条例
Poin-poin penting dari Tindakan tersebut meliputi:
(1) Peraturan ini bertujuan untuk melindungi keamanan sistem informasi komputer di wilayah Tiongkok.
(2) Kementerian Keamanan Umum merupakan otoritas yang berwenang di bidang ini yang fungsi dan kewenangannya meliputi pengawasan perlindungan keamanan terkait; menyelidiki dan menghukum tindakan ilegal yang membahayakan keamanan komputer.
Pada 27 Juni 2018, Kementerian Keamanan Publik berdasarkan Pasal 21 UU Keamanan Siber, menyusun “Peraturan Tingkat Perlindungan Keamanan Siber” dan mengumumkan drafnya untuk meminta pendapat dari publik. Hingga saat ini, RUU tersebut belum diundangkan secara resmi.
Poin inti dari draf tersebut adalah sebagai berikut:
(1) Sistem jaringan dibagi menjadi lima tingkat perlindungan keamanan menurut kepentingannya dalam keamanan nasional, konstruksi ekonomi, dan kehidupan sosial.
Pentingnya sistem jaringan secara bertahap meningkat dari tingkat pertama ke tingkat kelima. (Pasal 15)
Sistem jaringan pada tingkat yang berbeda menunjukkan sejauh mana kepentingan yang relevan dapat dirugikan jika terjadi insiden keamanan jaringan dari sistem jaringan pada tingkat tersebut, sebagai berikut:
Tingkat 1: Keamanan nasional, ketertiban sosial dan kepentingan umum tidak akan terancam;
Tingkat 2: Ketertiban sosial dan kepentingan umum akan terancam, dan keamanan nasional tidak akan terancam;
Tingkat 3: Ketertiban sosial dan kepentingan umum akan sangat terancam, atau keamanan nasional akan terancam;
Tingkat 4: Ketertiban sosial dan kepentingan umum akan sangat terancam, atau keamanan nasional akan sangat terancam;
Tingkat 5: Keamanan nasional sangat terancam.
(2) Operator jaringan harus menentukan tingkat perlindungan keamanan jaringan selama tahap perencanaan dan desain, dan para ahli dan otoritas yang kompeten harus mengkonfirmasi tingkatnya. Setelah level dikonfirmasi, operator jaringan juga harus mengajukan kepada organ keamanan publik. (Pasal 16, 17, 18)
(3) Operator jaringan harus melakukan kewajiban keamanan yang diperlukan, dan operator jaringan di atas Level 3 juga harus melakukan kewajiban perlindungan keamanan khusus. (Pasal 20 dan 21)
(4) Jika produk dan layanan jaringan yang dibeli oleh operator jaringan dapat mempengaruhi keamanan nasional, produk dan layanan tersebut harus menjalani tinjauan keamanan nasional yang diselenggarakan oleh otoritas pengatur. (Pasal 28)
(5) Jaringan di atas Level 3 harus dipelihara di dalam negeri, dan pemeliharaan teknis jarak jauh tidak diperbolehkan di luar negeri. (Pasal 29)
(6) Operator jaringan harus melaporkan pemantauan keamanan jaringan dan informasi peringatan dini dan insiden keamanan jaringan kepada pihak berwenang, menetapkan mekanisme perlindungan keamanan data dan informasi pribadi yang penting, dan merumuskan dan menjalankan rencana darurat keamanan jaringan. (Pasal 30, 31, 32)
III. Peraturan Departemen
1. Tindakan Tinjauan Keamanan Siber Tiongkok (2020) 网络 安全 审查 办法
Tindakan ini bertujuan untuk mengawasi apakah pembelian produk dan layanan jaringan oleh operator infrastruktur informasi penting (selanjutnya disebut sebagai "operator") mempengaruhi keamanan nasional. Poin-poin penting dari Tindakan tersebut meliputi:
(1) Jika pembelian produk dan layanan jaringan oleh operator memengaruhi atau dapat memengaruhi keamanan nasional, operator harus melapor ke kantor tinjauan keamanan jaringan yang berafiliasi dengan Administrasi Ruang Siber Tiongkok untuk tinjauan keamanan jaringan.
(2) Produk atau layanan jaringan termasuk komputer, server, perangkat penyimpanan, database, perangkat lunak, dan layanan cloud.
(3) Kantor tinjauan keamanan jaringan akan meninjau risiko berikut: apakah fasilitas yang menggunakan produk atau layanan tersebut akan rusak; apakah data akan bocor; apakah saluran pasokan produk atau layanan tersebut aman dan stabil; apakah pemasok produk atau layanan tersebut mematuhi hukum China.
2. Metode Penilaian Keamanan untuk Layanan Komputasi Awan (2019) 云 计算 服务 安全 评估 办法
Metode Penilaian Keamanan ini bertujuan untuk menilai keamanan dan pengendalian layanan komputasi awan yang dibeli oleh Pihak dan organ pemerintah serta operator infrastruktur informasi utama. Poin utamanya adalah sebagai berikut:
(1) Penilaian keamanan layanan komputasi awan akan fokus pada hal-hal berikut: (i) informasi dasar operator platform awan; (ii) latar belakang dan stabilitas penyedia layanan cloud; (ii) keamanan teknologi platform cloud, produk dan rantai pasokan layanan; (vi) kemampuan manajemen keamanan dan langkah-langkah keamanan penyedia layanan cloud; (v) kelayakan dan kenyamanan migrasi data pelanggan; (iv) kelangsungan bisnis penyedia layanan cloud.
(2) Penyedia layanan cloud dapat mengajukan penilaian keamanan pada platform cloud yang menyediakan layanan komputasi cloud kepada Pihak dan organ pemerintah serta operator infrastruktur informasi utama.
Peraturan ini bertujuan untuk menjelaskan bagaimana seharusnya badan keamanan publik melakukan pengawasan dan inspeksi keamanan atas pemenuhan kewajiban keamanan siber oleh penyedia layanan Internet dan pengguna Internet.
Poin-poin penting dari Tindakan tersebut meliputi:
(1) Kementerian Keamanan Publik bertanggung jawab untuk melindungi koneksi antara jaringan komputer di China dan Internet internasional.
(2) Tidak ada entitas yang boleh menggunakan Internet internasional untuk mempublikasikan konten ilegal atau membahayakan keamanan komputer.
5. Peraturan tentang Tindakan Teknis untuk Keamanan Siber (2006) 互联网 安全 保护 技术 措施 规定
Peraturan ini bertujuan untuk mengawasi penyedia layanan Internet dan pengguna Internet untuk mengambil tindakan teknis untuk keamanan siber, dan untuk memastikan fungsi normal dari tindakan teknis untuk keamanan siber. Departemen pengawasan keamanan jaringan informasi publik dari organ keamanan publik bertanggung jawab untuk mengawasi pelaksanaan langkah-langkah teknis untuk keamanan siber.
IV. Kebijakan
1. Rencana Kontinjensi tentang Darurat Keamanan Internet Publik (2017) 公共 互联网 网络 安全 突发 事件 应急 预案
Rencana Kontinjensi ini bertujuan untuk membangun sistem organisasi darurat dan mekanisme kerja Darurat Keamanan Internet Publik.
Tindakan tersebut bertujuan untuk meningkatkan pemantauan dan penanganan pekerjaan untuk ancaman terhadap keamanan siber Internet publik, untuk menghilangkan risiko keamanan, menghentikan serangan, menghindari bahaya, dan mengurangi risiko keamanan. Ancaman terhadap keamanan siber Internet publik mengacu pada sumber daya jaringan, program jahat, risiko keamanan, atau insiden keamanan yang ada atau menyebar di Internet publik, dan dapat menyebabkan atau telah menyebabkan kerugian bagi publik.
Katalog mencantumkan 15 jenis peralatan dan produk. Undang-Undang Keamanan Siber Tiongkok mensyaratkan perlindungan infrastruktur informasi penting dari serangan, gangguan, gangguan, dan kerusakan. Katalog menentukan jenis peralatan dan produk yang termasuk dalam infrastruktur informasi kritis.
Tindakan ini bertujuan untuk memandu pekerjaan administratif untuk otoritas pengatur lokal dan perusahaan akses Internet yang terlibat dalam pusat data Internet (termasuk layanan kolaborasi sumber daya Internet), layanan akses Internet, jaringan pengiriman konten, dan layanan lain dalam mengelola penggunaan dan pemeliharaan operasional Internet. sistem manajemen keamanan informasi.
Pendapat ini bertujuan untuk mendorong pembentukan sistem standar keamanan jaringan nasional yang bersatu dan berwibawa serta mekanisme standarisasi. Poin utamanya adalah sebagai berikut:
(1) Membangun dan terus meningkatkan sistem standar keamanan jaringan.
(2) Berperan aktif dalam perumusan aturan internasional dan aturan standar internasional untuk dunia maya.
Pendapat ini bertujuan untuk memperkuat pengembangan disiplin dan pelatihan bakat Akademi Keamanan Siber China.
Pemberitahuan ini bertujuan untuk mendesak semua departemen pemerintah untuk meningkatkan perlindungan keamanan situs web resmi mereka.
Pemberitahuan ini dibagi menjadi 3 bagian, dengan tujuan untuk mempromosikan China agar awalnya membangun sistem keamanan Internet industri pada akhir tahun 2020.
V. Standar Teknis
1. Persyaratan Evaluasi Perlindungan Tingkat Keamanan Jaringan 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. Persyaratan Dasar Perlindungan Tingkat Keamanan Jaringan 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Persyaratan Desain Keamanan Perlindungan Tingkat Keamanan Jaringan 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Foto oleh Jéan Béller (https://unsplash.com/@jeanbeller) di Unsplash