Portal de leyes de China - CJO

Encuentre las leyes y los documentos públicos oficiales de China en inglés

InglésÁrabeChino (simplificado)HolandésFrancésAlemánHindiItalianoJaponésCoreanoPortuguésRusoEspañolSuecoHebreoIndonesioVietnamitaTailandésTurcoMalay

Lista de verificación: reglas de seguridad cibernética en China

Agosto 31, 2020 16: 37: 10

 


I. Leyes

1. Ley de ciberseguridad de China (2017) 网络 安全 法

Esta Ley es aplicable a los propietarios, gerentes y proveedores de servicios de red (en lo sucesivo denominados "operadores") que construyen, operan, mantienen y utilizan redes en China. Los puntos clave de esta Ley incluyen:

(1) Los operadores deberán verificar la identidad del usuario cuando brinden servicios tales como acceso a la red, registro de nombre de dominio, acceso a la red telefónica o divulgación de información y mensajería instantánea para el usuario.

(2) La información personal y los datos importantes deben almacenarse en China. La exportación de datos estará sujeta a la revisión del regulador.

(3) Los operadores proporcionarán apoyo técnico y asistencia a los órganos de seguridad pública y las autoridades de seguridad nacional.

(4) Cuando cualquier institución, organización o individuo en el extranjero ataque, se entrometa, perturbe, destruya o dañe de alguna otra manera las infraestructuras de información crítica de China, causando alguna consecuencia grave, el infractor estará sujeto a responsabilidad legal de conformidad con la ley. Los órganos de seguridad pública y los departamentos pertinentes pueden decidir congelar la propiedad o tomar cualquier otra medida de sanción necesaria contra la institución, organización o individuo.

2. Decisión sobre el fortalecimiento de la protección de la información de la red (2012) 关于 加强 网络 信息 保护 的 决定

La Decisión establece, por primera vez en China, las reglas para la recopilación y el uso de información personal y las obligaciones de los proveedores de servicios de red para proteger la información personal.

La Ley de Ciberseguridad, promulgada posteriormente en 2018, ha adoptado la mayor parte del contenido de la Decisión.

3. Decisión sobre el mantenimiento de la seguridad de Internet (2000) 关于 维护 互联网 安全 的 决定

La Decisión es la primera regla de China sobre ciberseguridad, con los siguientes puntos clave:

(1) Hackear o destruir el sistema informático constituye un delito.

(2) Subvertir el poder estatal, destruir la unidad nacional y la unidad de las nacionalidades, robar los secretos de estado y participar en actividades de culto mediante la publicación de información en Internet constituyen un delito.

(3) La infracción de los derechos legítimos de otros en Internet constituye un delito.

II.Regulaciones administrativas

1. Medidas administrativas para la protección de la seguridad de las conexiones internacionales a las redes de información informática (2011) 计算机 信息 网络 国际 联网 安全 保护 管理 办法 

Los puntos clave de las Medidas incluyen:

(1) El Ministerio de Seguridad Pública es responsable de proteger la conexión entre la red informática en China y la Internet internacional.

(2) Ninguna entidad utilizará Internet internacional para publicar contenido ilegal o poner en peligro la seguridad informática.

2. Reglamento sobre la protección de la seguridad del sistema de información informática de China (2011) 计算机 信息 系统 安全 保护 条例

Los puntos clave de las Medidas incluyen:

(1) El Reglamento tiene como objetivo proteger la seguridad de los sistemas de información informática dentro del territorio de China.

(2) El Ministerio de Seguridad Pública es la autoridad competente en este campo, cuyas funciones y poderes incluyen supervisar la protección de seguridad pertinente; investigar y sancionar los actos ilícitos que pongan en peligro la seguridad informática.

3. Reglamento sobre los niveles de protección de la seguridad cibernética (Borrador para la solicitud de comentarios) (no promulgado oficialmente) (2018) (网络 安全 等级 保护 条例)

El 27 de junio de 2018, el Ministerio de Seguridad Pública con base en el artículo 21 de la Ley de Ciberseguridad, elaboró ​​el “Reglamento sobre Niveles de Protección de Ciberseguridad” y anunció su borrador para solicitar opiniones de la ciudadanía. Hasta el momento, el proyecto aún no se ha convertido en una ley promulgada oficialmente.

Los puntos centrales del borrador son los siguientes:

(1) El sistema de red se dividirá en cinco niveles de protección de seguridad de acuerdo con su importancia en la seguridad nacional, la construcción económica y la vida social.

La importancia del sistema de red aumenta gradualmente desde el primer nivel hasta el quinto nivel. (Artículo 15)

Los sistemas de red de diferentes niveles indican el grado en que los intereses relevantes pueden verse perjudicados en el caso de un incidente de seguridad de la red del sistema de red en ese nivel, de la siguiente manera:

Nivel 1: No se pondrán en peligro la seguridad nacional, el orden social y los intereses públicos;

Nivel 2: Se pondrán en peligro el orden social y los intereses públicos, y no se pondrá en peligro la seguridad nacional;

Nivel 3: el orden social y los intereses públicos se verán seriamente amenazados o la seguridad nacional estará en peligro;

Nivel 4: El orden social y los intereses públicos se verán particularmente en peligro, o la seguridad nacional se verá seriamente amenazada;

Nivel 5: La seguridad nacional está particularmente en peligro.

(2) El operador de la red determinará el nivel de protección de seguridad de la red durante la etapa de planificación y diseño, y los expertos y las autoridades competentes confirmarán su nivel. Una vez confirmado el nivel, el operador de la red también debe presentar una solicitud ante el órgano de seguridad pública. (Artículos 16, 17, 18)

(3) Los operadores de red deben cumplir las obligaciones de seguridad necesarias, y los operadores de redes por encima del Nivel 3 también deben cumplir obligaciones especiales de protección de la seguridad. (Artículos 20 y 21)

(4) Si los productos y servicios de red adquiridos por los operadores de red pueden afectar a la seguridad nacional, dichos productos y servicios deben someterse a revisiones de seguridad nacional organizadas por las autoridades reguladoras. (Artículo 28)

(5) Las redes por encima del Nivel 3 se mantendrán dentro del país y no se permitirá el mantenimiento técnico remoto en el extranjero. (Artículo 29)

(6) Los operadores de red deben notificar el monitoreo de la seguridad de la red y la información de alerta temprana y los incidentes de seguridad de la red a las autoridades reguladoras, establecer mecanismos importantes de protección de seguridad de datos e información personal, y formular y ejecutar planes de emergencia de seguridad de la red. (Artículos 30, 31, 32)

III.Regulaciones departamentales

1. Medidas de revisión de la ciberseguridad de China (2020) 网络 安全 审查 办法

Las Medidas tienen como objetivo supervisar si la compra de productos y servicios de red por parte de operadores de infraestructura de información crítica (en adelante denominados “operadores”) afecta la seguridad nacional. Los puntos clave de las Medidas incluyen:

(1) Si la compra de productos y servicios de red por parte de los operadores afecta o puede afectar la seguridad nacional, los operadores deberán informar a la oficina de revisión de seguridad de la red afiliada a la Administración del Ciberespacio de China para la revisión de la seguridad de la red.

(2) Los productos o servicios de red incluyen computadoras, servidores, dispositivos de almacenamiento, bases de datos, software y servicios en la nube.

(3) La oficina de revisión de seguridad de la red revisará los siguientes riesgos: si se dañarán las instalaciones que utilizan dichos productos o servicios; si los datos se filtrarán; si el canal de suministro de dichos productos o servicios es seguro y estable; si el proveedor de dichos productos o servicios cumple con las leyes chinas.

2. Métodos de evaluación de seguridad para servicios de computación en la nube (2019) 云 计算 服务 安全 评估 办法 

Estos métodos de evaluación de la seguridad tienen como objetivo evaluar la seguridad y la capacidad de control de los servicios de computación en la nube adquiridos por el Partido y los órganos gubernamentales y los operadores clave de la infraestructura de la información. Los puntos clave son los siguientes:

(1) La evaluación de la seguridad de los servicios de computación en la nube se centrará en lo siguiente: (i) la información básica de los operadores de la plataforma en la nube; (ii) los antecedentes y la estabilidad de los proveedores de servicios en la nube; (ii) la seguridad de la tecnología de la plataforma en la nube, los productos y la cadena de suministro de servicios; (vi) la capacidad de gestión de la seguridad y las medidas de seguridad de los proveedores de servicios en la nube; (v) la viabilidad y conveniencia de la migración de datos de clientes; (iv) la continuidad del negocio de los proveedores de servicios en la nube.
(2) Los proveedores de servicios en la nube pueden solicitar la evaluación de la seguridad en plataformas en la nube que brindan servicios de computación en la nube al Partido y a los órganos gubernamentales y a los operadores clave de la infraestructura de la información.

3. Reglamento sobre supervisión e inspección de la ciberseguridad por los órganos de seguridad pública (2018) 公安 机关 互联网 安全 监督 检查 规定

Este Reglamento tiene como objetivo especificar cómo deben los órganos de seguridad pública llevar a cabo la supervisión e inspección de la seguridad sobre el cumplimiento por parte de los proveedores de servicios de Internet y los usuarios de Internet de las obligaciones de seguridad cibernética.

4. Medidas administrativas para la protección de la seguridad de las conexiones internacionales a las redes de información informática (2011) 计算机 信息 网络 国际 联网 安全 保护 管理 办法 

Los puntos clave de las Medidas incluyen:

(1) El Ministerio de Seguridad Pública es responsable de proteger la conexión entre la red informática en China y la Internet internacional.

(2) Ninguna entidad utilizará Internet internacional para publicar contenido ilegal o poner en peligro la seguridad informática.

5.Reglamento sobre medidas técnicas para la ciberseguridad (2006) 互联网 安全 保护 技术 措施 规定 

Este Reglamento tienen como objetivo supervisar a los proveedores de servicios de Internet y a los usuarios de Internet para que tomen medidas técnicas para la ciberseguridad, y para garantizar el funcionamiento normal de las medidas técnicas para la ciberseguridad. El departamento de supervisión de seguridad de la red de información pública del órgano de seguridad pública es el encargado de supervisar la implementación de las medidas técnicas de ciberseguridad.

IV. Políticas

1. Planes de contingencia sobre emergencias de seguridad pública en Internet (2017) 公共 互联网 网络 安全 突发 事件 应急 预案

Estos Planes de Contingencia tienen como objetivo establecer un sistema de organización de emergencia y un mecanismo de trabajo para Emergencias de Seguridad Pública en Internet.

2. Medidas de seguimiento y tratamiento de las amenazas a la ciberseguridad de la Internet pública (2017) 公共 互联网 网络 安全 威胁 监测 与 处置 办法

Las Medidas tienen como objetivo mejorar el seguimiento y la gestión del trabajo en busca de amenazas a la ciberseguridad de la Internet pública, eliminar los riesgos de seguridad, detener los ataques, evitar daños y reducir los riesgos de seguridad. Las amenazas a la ciberseguridad de la Internet pública se refieren a recursos de red, programas maliciosos, riesgos de seguridad o incidentes de seguridad que existen o se propagan en la Internet pública y que pueden causar o ya han causado daños al público.

3. El catálogo de equipos de red críticos y productos exclusivos de ciberseguridad (The First Batch, 2017) 网络 关键 设备 和 网络 安全 专用 产品 目录 (第 一批)

El catálogo enumera 15 tipos de equipos y productos. La Ley de Ciberseguridad de China requiere la protección de la infraestructura de información crítica contra ataques, intrusiones, interferencias y daños. El Catálogo especifica qué tipo de equipos y productos pertenecen a la infraestructura de información crítica.

4. Medidas administrativas para el uso y mantenimiento operativo de los sistemas de gestión de seguridad de la información de Internet (para implementación de prueba, 2016) 互联网 信息 安全 管理 系统 使用 及 运行 维护 管理 办法 (试行)

Estas Medidas tienen como objetivo guiar el trabajo administrativo de las autoridades reguladoras locales y las empresas de acceso a Internet que participan en centros de datos de Internet (incluidos los servicios de colaboración de recursos de Internet), servicios de acceso a Internet, redes de entrega de contenido y otros servicios en la gestión del uso y mantenimiento operativo de Internet. sistemas de gestión de seguridad de la información.

5. Varios dictámenes sobre el fortalecimiento de la estandarización de la seguridad de las redes nacionales (2016) 关于 加强 国家 网络 安全 标准化 工作 的 若干 意见

Estos Dictámenes tienen como objetivo promover el establecimiento de un sistema de estándares de seguridad de red nacional unificado y autorizado y un mecanismo de estandarización. Los puntos clave son los siguientes:

(1) Establecer y mejorar continuamente el sistema estándar de seguridad de la red.

(2) Participar activamente en la formulación de reglas internacionales y reglas estándar internacionales para el ciberespacio.

6. Opiniones sobre el desarrollo de la disciplina y la formación de talentos para la ciberseguridad (2016) 关于 加强 网络 安全 学科 建设 和 人才 培养 的 意见

Estas opiniones tienen como objetivo fortalecer el desarrollo de la disciplina y la formación de talentos de la Academia de Ciberseguridad de China.

7. Aviso sobre el fortalecimiento de la gestión de la seguridad de los sitios web del Partido y los órganos gubernamentales (2014) 关于 加强 党政 机关 网站 安全 管理 的 通知

Este Aviso tiene como objetivo instar a todos los departamentos gubernamentales a mejorar la protección de seguridad de sus sitios web oficiales.

8. Aviso de opiniones orientativas sobre el fortalecimiento de la seguridad industrial en Internet (2019) 加强 工业 互联网 安全 工作 的 指导 意见 的 通知

Este Aviso se divide en 3 partes, con el objetivo de promover que China establezca inicialmente un sistema de seguridad industrial en Internet para fines de 2020.

 

V. Norma técnica

1. Requisitos de evaluación de la protección del nivel de seguridad de la red 信息 安全 技术 网络 安全 等级 保护 测评 要求

 

2. Requisitos básicos de protección del nivel de seguridad de la red 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求

 

3. Requisitos de diseño de seguridad de protección de nivel de seguridad de red 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求

 

 

 

Foto de Jéan Béller (https://unsplash.com/@jeanbeller) en Unsplash