信息安全法律法规

《计算机信息系统安全保护条例》

第七条 任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和共鸣合法利益的活动，不得危害计算机信息学习通的安全。

第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经岂可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以5000元以下的罚款，对单位处以1.5w元以下的罚款；由违法所得的，除予以没收外，可以处以违法所得1-3倍罚款。

时刻谨记：

1.没有看到授权盖章材料，无论是甲方还是乙方领导的口头要求，都绝不轻易做渗透，保护自己。（即使是SRC、众测、攻防也会规定具体范围，超舞规定范围的测试和手段、影响业务正常运行、脱裤、种木马等都是违法犯罪行为)

2.不被不明利益诱惑，凡是使用到安全技术的都要问清楚用途，避免自己误入歧途

3.禁止公开分享没有打码的实战记录、工具链接，所有发表于论坛或者是通讯工具的图片、文字、报告，都应该注意打码

4.禁止公开发布0day以及POC，枪打出头鸟。

《网络安全法》

1.网络运营者应确定网络安全负责人

2.关键信息基础设施的运营者应设置专门安全管理机构和安全管理负责人，并对改负责人进行安全背景审查

关键信息技术基础设施运营者应每年至少一次自行或委托网络安全服务机构对网络的安全性和可能存在的风险进行检测评估，并将检测评估情况和改进措施报送相关部门

以上法规，产生了甲方对乙方安全机构的大量需求，也推动了甲方自身安全团队建设发展。（乙方服务评估、合规、等保测评、渗透测试以及甲方自身安全建设、安全运营、安全风控）

《数据安全法》

重要数据处理者应明确数据安全负责人和管理机构

重要数据处理者按照规定对数据处理活动定期开展风险评估，并应向有关主管部门报送风险评估报告

这部分的法律对甲方自身处理数据产生了硬性要求，也提供了跟多的岗位和方向。（考取数据安全相关证书很有用，人才稀缺）

《个人信息保护法》

属于下属情况的，个人信息处理者应当事前进行个人信息安泊湖影响评估，并记录处理情况，且该个人信息保护影响评估报告和处理情况记录应至少保存三年。（此处省略）

处理个人信息达到规定数量的个人信息处理者应指定个人信息保护负责人

与数据安全法类似，侧重于保护公民个人信息，对甲方提出硬性要求。

注明

笔记参考【day1渗透测试常识讲解】https://www.bilibili.com/video/BV1E8411j7zo?vd_source=1311095642ea390a8ea03eafcd020243