Çin Yasaları Portalı - CJO

Çin yasalarını ve resmi genel belgeleri İngilizce olarak bulun

İngilizceArapçaBasitleştirilmiş Çince)FlemenkçeFransızcaAlmancaHintçeİtalyanJaponcaKoreliPortekizceRusçaİspanyolcaİsveççeİbraniceEndonezceVietnamTaylandTürkceMalaya

Kontrol Listesi: Çin'deki Siber Güvenlik Kuralları

31 Ağu 2020 16:37:10

 


I. Kanunlar

1. Çin Siber Güvenlik Hukuku (2017) 网络 安全 法

Bu Yasa, Çin'de ağlar inşa eden, işleten, sürdüren ve kullanan sahipler, yöneticiler ve ağ hizmeti sağlayıcıları (bundan böyle "operatörler" olarak anılacaktır) için geçerlidir. Bu Kanunun kilit noktaları şunları içerir:

(1) Operatörler, ağ erişimi, alan adı kaydı, telefon ağı erişimi veya kullanıcı için bilgi yayınlama ve anlık mesajlaşma gibi hizmetleri sağlarken kullanıcının kimliğini doğrulamalıdır.

(2) Kişisel bilgiler ve önemli veriler Çin'de saklanmalıdır. Veri ihracı, düzenleyicinin incelemesine tabi olacaktır.

(3) İşletmeciler, kamu güvenlik organlarına ve milli güvenlik makamlarına teknik destek ve yardım sağlar.

(4) Herhangi bir denizaşırı kurum, kuruluş veya bireysel saldırının, Çin'in kritik bilgi altyapılarına izinsiz girmesi, rahatsız etmesi, yok etmesi veya başka şekilde zarar vermesi ve herhangi bir ciddi sonuca yol açması durumunda, ihlal eden kişi yasalara uygun olarak yasal sorumluluğa tabi olacaktır. Kamu güvenlik organları ve ilgili daireler, kurum, kuruluş veya bireye ait malların dondurulmasına veya gerekli diğer yaptırımların alınmasına karar verebilir.

2. Ağ Bilgisinin Korunmasının Güçlendirilmesine Dair Karar (2012) 关于 加强 网络 信息 保护 的 决定

Karar, Çin'de ilk kez, kişisel bilgilerin toplanması ve kullanılması ile ilgili kuralları ve şebeke servis sağlayıcılarının kişisel bilgileri koruma yükümlülüklerini belirler.

2018 yılında yürürlüğe giren Siber Güvenlik Yasası, Kararın çoğu içeriğini kabul etti.

3. İnternet Güvenliğinin Sürdürülmesine İlişkin Karar (2000) 关于 维护 互联网 安全 的 决定

Karar, Çin'in siber güvenlikle ilgili ilk kuralıdır ve kilit noktaları aşağıdaki gibidir:

(1) Bilgisayar sistemini hacklemek veya yok etmek suç teşkil eder.

(2) Devlet iktidarını alt üst etmek, milli birliği ve millet birliğini bozmak, devlet sırlarını çalmak ve internette bilgi yayınlayarak kült içeren faaliyetlerde bulunmak suç teşkil etmektedir.

(3) İnternette başkalarının meşru haklarını ihlal etmek suç teşkil eder.

II.İdari Yönetmelikler

1. Bilgisayar Bilgi Ağlarına Uluslararası Bağlantılar İçin Güvenliği Korumaya Yönelik İdari Tedbirler (2011) 计算机 信息 网络 国际 联网 安全 保护 管理 办法 

Önlemlerin temel noktaları şunları içerir:

(1) Kamu Güvenliği Bakanlığı, Çin'deki bilgisayar ağı ile uluslararası İnternet arasındaki bağlantının korunmasından sorumludur.

(2) Hiçbir kuruluş, uluslararası İnternet'i yasa dışı içerik yayınlamak veya bilgisayar güvenliğini tehlikeye atmak için kullanamaz.

2. Çin Bilgisayar Bilgi Sisteminin Güvenliğini Koruma Yönetmeliği (2011) 计算机 信息 系统 安全 保护 条例

Önlemlerin temel noktaları şunları içerir:

(1) Yönetmelikler, Çin topraklarındaki bilgisayar bilgi sistemlerinin güvenliğini korumayı amaçlamaktadır.

(2) Kamu Güvenliği Bakanlığı, görev ve yetkileri ilgili güvenlik korumasının denetlenmesini içeren bu alandaki yetkili makamdır; bilgisayar güvenliğini tehlikeye atan yasadışı eylemleri araştırmak ve cezalandırmak.

3. Siber Güvenlik Koruması Düzeylerine İlişkin Düzenlemeler (Yorum İsteme Taslağı) (resmi olarak ilan edilmemiştir) (2018) (网络 安全 等级 保护 条例)

27 Haziran 2018 tarihinde, Siber Güvenlik Kanunu'nun 21. maddesine dayalı olarak Kamu Güvenliği Bakanlığı, “Siber Güvenlik Koruma Düzeylerine İlişkin Yönetmelik” taslağını hazırlayarak kamuoyundan görüş alınması için hazırladığı taslağı duyurdu. Şu an itibariyle, taslak henüz resmi olarak yayımlanmış bir yasa haline gelmemiştir.

Taslağın temel noktaları aşağıdaki gibidir:

(1) Ağ sistemi, milli güvenlik, ekonomik yapı ve sosyal yaşamdaki önemine göre beş güvenlik koruma kademesine ayrılacaktır.

Ağ sisteminin önemi, birinci seviyeden beşinci seviyeye doğru giderek artmaktadır. (Madde 15)

Farklı seviyelerdeki ağ sistemleri, aşağıdaki gibi, o seviyedeki ağ sisteminin bir ağ güvenliği olayı durumunda ilgili çıkarların ne ölçüde zarar görebileceğini gösterir:

Seviye 1: Ulusal güvenlik, sosyal düzen ve kamu çıkarları tehlikeye atılmayacaktır;

Seviye 2: Sosyal düzen ve kamu çıkarları tehlikeye girecek ve ulusal güvenlik tehlikeye girmeyecektir;

Seviye 3: Sosyal düzen ve kamu çıkarları ciddi şekilde tehlikeye girecek veya ulusal güvenlik tehlikeye girecek;

Seviye 4: Sosyal düzen ve kamu çıkarları özellikle ciddi şekilde tehlikeye girecek veya ulusal güvenlik ciddi şekilde tehlikeye girecek;

Seviye 5: Ulusal güvenlik özellikle ciddi şekilde tehlike altındadır.

(2) Şebeke operatörü, planlama ve tasarım aşamasında şebekenin güvenlik koruma seviyesini belirler ve uzmanlar ve yetkili makamlar, şebekenin seviyesini teyit eder. Seviye onaylandıktan sonra, ağ operatörü ayrıca kamu güvenlik organına başvurmalıdır. (Madde 16, 17, 18)

(3) Ağ operatörleri gerekli güvenlik yükümlülüklerini yerine getirmeli ve Seviye 3'ün üzerindeki ağların operatörleri de özel güvenlik koruma yükümlülüklerini yerine getirmelidir. (Madde 20 ve 21)

(4) Ağ operatörleri tarafından satın alınan ağ ürünleri ve hizmetleri ulusal güvenliği etkileyebiliyorsa, bu tür ürünler ve hizmetler düzenleyici makamlar tarafından organize edilen ulusal güvenlik incelemelerine tabi tutulmalıdır. (Madde 28)

(5) Seviye 3'ün üzerindeki ağlar ülke içinde muhafaza edilecek ve denizaşırı ülkelerde uzaktan teknik bakıma izin verilmeyecektir. (Madde 29)

(6) Ağ operatörleri, ağ güvenliği izleme ve erken uyarı bilgileri ve ağ güvenliği olaylarını düzenleyici makamlara rapor etmeli, önemli verileri ve kişisel bilgi güvenliği koruma mekanizmaları oluşturmalı ve ağ güvenliği acil durum planlarını formüle etmeli ve uygulamalıdır. (Madde 30, 31, 32)

III. Bölüm Yönetmeliği

1. Çin'in Siber Güvenlik İnceleme Önlemleri (2020) 网络 安全 审查 办法

Önlemler, kritik bilgi altyapısı operatörleri (bundan böyle "operatörler" olarak anılacaktır) tarafından ağ ürünleri ve hizmetlerinin satın alınmasının ulusal güvenliği etkileyip etkilemediğini denetlemeyi amaçlamaktadır. Önlemlerin temel noktaları şunları içerir:

(1) Operatörler tarafından ağ ürünleri ve hizmetlerinin satın alınması ulusal güvenliği etkiliyor veya etkileyebiliyorsa, operatörler, ağ güvenliği incelemesi için Çin Siber Uzay İdaresi'ne bağlı ağ güvenliği inceleme ofisine rapor verecektir.

(2) Ağ ürünleri veya hizmetleri, bilgisayarlar, sunucular, depolama cihazları, veritabanları, yazılım ve bulut hizmetlerini içerir.

(3) Ağ güvenliği inceleme ofisi aşağıdaki riskleri gözden geçirecektir: bu tür ürünleri veya hizmetleri kullanan tesislerin zarar görüp görmeyeceği; verilerin sızdırılıp sızdırılmayacağı; bu tür ürün veya hizmetlerin tedarik kanalının güvenli ve istikrarlı olup olmadığı; bu tür ürün veya hizmetlerin tedarikçisinin Çin yasalarına uyup uymadığı.

2. Bulut Bilişim Hizmetleri için Güvenlik Değerlendirme Yöntemleri (2019) 云 计算 服务 安全 评估 办法 

Bu Güvenlik Değerlendirme Yöntemleri, Taraf ve hükümet organları ve önemli bilgi altyapısı operatörleri tarafından satın alınan bulut bilişim hizmetlerinin güvenliğini ve kontrol edilebilirliğini değerlendirmeyi amaçlamaktadır. Kilit noktalar aşağıdaki gibidir:

(1) Bulut bilişim hizmetlerinin güvenlik değerlendirmesi aşağıdakilere odaklanacaktır: (i) bulut platformu operatörlerinin temel bilgileri; (ii) bulut hizmeti sağlayıcılarının geçmişi ve istikrarı; (ii) bulut platformu teknolojisi, ürünleri ve hizmet tedarik zincirinin güvenliği; (vi) bulut hizmeti sağlayıcılarının güvenlik yönetimi yeteneği ve güvenlik önlemleri; (v) müşteri veri geçişinin fizibilitesi ve rahatlığı; (iv) bulut hizmeti sağlayıcılarının iş sürekliliği.
(2) Bulut hizmeti sağlayıcıları, Tarafa ve hükümet organlarına ve önemli bilgi altyapısı operatörlerine bulut bilişim hizmetleri sağlayan bulut platformlarında güvenlik değerlendirmesi için başvurabilir.

3. Kamu Güvenlik Organları Tarafından Siber Güvenlik Denetimi ve Denetimi Hakkında Yönetmelik (2018) 公安 机关 互联网 安全 监督 检查 规定

Bu Yönetmelik, siber güvenlik yükümlülüklerinin İnternet servis sağlayıcıları ve İnternet kullanıcıları tarafından yerine getirilmesi konusunda kamu güvenlik organlarının nasıl güvenlik denetimi ve teftiş yapması gerektiğini belirlemeyi amaçlamaktadır.

4. Bilgisayar Bilgi Ağlarına Uluslararası Bağlantılar İçin Güvenliği Korumaya Yönelik İdari Tedbirler (2011) 计算机 信息 网络 国际 联网 安全 保护 管理 办法 

Önlemlerin temel noktaları şunları içerir:

(1) Kamu Güvenliği Bakanlığı, Çin'deki bilgisayar ağı ile uluslararası İnternet arasındaki bağlantının korunmasından sorumludur.

(2) Hiçbir kuruluş, uluslararası İnternet'i yasa dışı içerik yayınlamak veya bilgisayar güvenliğini tehlikeye atmak için kullanamaz.

5. Siber Güvenlik için Teknik Önlemlere İlişkin Yönetmelik (2006) 互联网 安全 保护 技术 措施 规定 

Bu Yönetmelikler İnternet servis sağlayıcılarını ve İnternet kullanıcılarını siber güvenlik için teknik önlemler almaları için denetlemeyi ve siber güvenlik için teknik önlemlerin normal işlevini sağlamayı amaçlamaktadır. Kamu güvenliği organının kamu bilgi ağı güvenlik denetim bölümü, siber güvenlik için teknik önlemlerin uygulanmasını denetlemekten sorumludur.

IV. Politikalar

1. Kamu İnternet Güvenliği Acil Durum Planları (2017) 公共 互联网 网络 安全 突发 事件 应急 预案

Bu Beklenmedik Durum Planları, bir acil durum organizasyon sistemi ve Kamu İnternet Güvenliği Acil Durum için çalışma mekanizması oluşturmayı amaçlamaktadır.

2. Kamu İnternetinin Siber Güvenliğine Yönelik Tehditlerin İzlenmesi ve Yönetilmesine İlişkin Önlemler (2017) 公共 互联网 网络 安全 威胁 监测 与 处置 办法

Önlemler, kamuya açık internetin siber güvenliğine yönelik tehditler için işin izlenmesini ve ele alınmasını geliştirmeyi, güvenlik risklerini ortadan kaldırmayı, saldırıları durdurmayı, zararı önlemeyi ve güvenlik risklerini azaltmayı amaçlamaktadır. Halka açık İnternetin siber güvenliğine yönelik tehditler, halka açık İnternette var olan veya yayılan ve halka zarar verebilecek veya halihazırda zarar vermiş olabilecek ağ kaynaklarına, kötü niyetli programlara, güvenlik risklerine veya güvenlik olaylarına atıfta bulunur.

3. Kritik Ağ Ekipmanı ve Özel Siber Güvenlik Ürünleri Kataloğu (The First Batch, 2017) 网络 关键 设备 和 网络 安全 专用 产品 目录 (第 一批)

Katalog, 15 tip ekipman ve ürünü listeler. Çin Siber Güvenlik Yasası, kritik bilgi altyapısının saldırılardan, izinsiz girişlerden, müdahalelerden ve hasarlardan korunmasını gerektirir. Katalog, kritik bilgi altyapısına ait ne tür ekipman ve ürünleri belirtir.

4. İnternet Bilgi Güvenliği Yönetim Sistemlerinin Kullanımı ve Operasyonel Bakımına Yönelik İdari Tedbirler (Deneme Uygulaması için, 2016) 信息 信息 安全 管理 系统 使用 及 运行 维护 管理 办法 (试行)

Bu Önlemler, İnternet veri merkezleri (İnternet kaynak işbirliği hizmetleri dahil), İnternet erişim hizmetleri, içerik dağıtım ağları ve İnternetin kullanımının ve operasyonel bakımının yönetilmesinde diğer hizmetlerle uğraşan yerel düzenleyici makamlar ve İnternet erişim girişimleri için idari işlere rehberlik etmeyi amaçlamaktadır. bilgi güvenliği yönetim sistemleri.

5. Ulusal Ağ Güvenliği Standardizasyonunun Güçlendirilmesi Üzerine Birkaç Görüş (2016) 关于 加强 国家 网络 安全 标准化 工作 的 若干 意见

Bu Görüşler, birleşik ve yetkili bir ulusal ağ güvenliği standart sistemi ve standardizasyon mekanizmasının kurulmasını teşvik etmeyi amaçlamaktadır. Kilit noktalar aşağıdaki gibidir:

(1) Ağ güvenlik standart sistemini kurun ve sürekli iyileştirin.

(2) Siber uzay için uluslararası kuralların ve uluslararası standart kuralların oluşturulmasına aktif olarak katılın.

6. Disiplin Geliştirme ve Siber Güvenlik için Yetenek Eğitimi Konusundaki Görüşler (2016) 关于 加强 网络 安全 学科 建设 和 人才 培养 的 意见

Bu Görüşler, Çin Siber Güvenlik Akademisinin disiplin gelişimini ve yetenek eğitimini güçlendirmeyi amaçlamaktadır.

7. Parti ve Hükümet Organlarının Web Sitelerinin Güvenlik Yönetiminin Güçlendirilmesine İlişkin Bildirim (2014) 关于 加强 党政 机关 网站 安全 管理 的 通知

Bu Bildirim, tüm devlet dairelerini resmi web sitelerinin güvenlik korumasını iyileştirmeye teşvik etmeyi amaçlamaktadır.

8. Endüstriyel İnternet Güvenliğinin Güçlendirilmesine Yönelik Yol Gösterici Görüş Bildirimi (2019) 加强 工业 互联网 安全 工作 的 指导 意见 的 通知

Bu Bildirim, Çin'in 3'nin sonuna kadar başlangıçta endüstriyel bir İnternet güvenlik sistemi kurmasını teşvik etmek amacıyla 2020 bölüme ayrılmıştır.

 

V. Teknik Standart

1. Ağ Güvenlik Seviyesi Koruma Değerlendirme Gereksinimleri 信息 安全 技术 网络 安全 等级 保护 测评 要求

 

2. Ağ Güvenlik Seviyesi Koruması Temel Gereksinimleri 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求

 

3. Ağ Güvenlik Seviyesi Koruması Güvenlik Tasarım Gereksinimleri 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求

 

 

 

Fotoğraf: Jéan Béller (https://unsplash.com/@jeanbeller) Unsplash'ta