01我国信息安全法律法规及电力行业制度要求.ppt

学习时长 80分钟2015 05 19 我国信息安全法律法规及电力行业制度要求 1 国家信息安全法治总体情况 合规概述 信息安全法规与政策 课程内容目录 中国南方电网有限责任公司 2 3 5 4 信息安全标准 5 5 电力行业信息安全推进情况 1国家信息安全法治总体情况 我国信息安全法律法规及电力行业制度要求 1 1我国信息安全法律法规体系框架1 2我国信息安全法治建设进程1 3国家信息安全保障体系 国家信息安全法治总体情况 中国南方电网有限责任公司 1 1我国信息安全法律法规体系框架 法律 法规 计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例 中办27号文公安部 等级保护相关规定 发改委 国新办 互联网新闻信息服务 保密局 保密等 国务院各部委 宪法 刑法 部分条款 国家安全法 部分条款 保守国家秘密法电子签名法 中国南方电网有限责任公司 1 2我国信息安全法治建设进程 国家信息安全法治总体情况 1 3国家信息安全保障体系 国家信息安全法治总体情况 信息安全技术与产业支撑平台 信息安全基础设施 信息安全法律法规与政策环境 信息安全人才培训教育体系 信息安全组织机构及管理体系 信息安全标准与规范 1 3国家信息安全保障体系 信息安全法治建设的意义 信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度 信息安全保障体系的建设 信息安全相关行为的规范 信息安全中各方权利义务明确违反信息安全的行为 并对其行为进行相应的处罚等信息安全不再只是个技术问题 而更多地是个商业和法律问题 安全漏洞 信息犯罪的本质 信息安全产业的逐渐形成和成熟 需要必要的规范 保护国家信息主权和社会公共利益是信息安全立法的首要目标 狭义的信息安全 广义的信息安全 国家信息安全法治总体情况 1 3国家信息安全保障体系 我国信息安全法治建设的初步成效 展望 初步成效 法律法规体系初步构建 但体系化与有效性等方面仍有待进一步完善 与信息安全相关的司法和行政管理体系迅速完善 法律少而规章等偏多 缺乏信息安全的基本法 法律法规的内容篇幅偏小 行为规范较简单 展望 需要一部信息安全的基本法 国家信息安全法 或先出台 信息安全条例 信息安全的基本原则与基本制度 信息安全的主要核心内容 进一步完善各领域的信息安全专门法 信息安全的监管模式和认证体系 面向信息安全各类主体和客体 信息安全常态管理 等级保护制度等 信息安全应急管理 预警 监测 通报和应急处理等 网络与信息系统全生命周期的信息安全 特定领域的信息安全 国家信息安全法治总体情况 2合规概述 我国信息安全法律法规及电力行业制度要求 2 1什么是合规2 2合规与遵守法律的区别2 3相关法规分析 合规概述 2 1什么是合规 定义及目标 合规 简而言之就是要符合法律 法规 政策及相关规则 标准的约定 在信息安全领域内 等级保护 计算机安全产品销售许可 密码管理等 是典型的合规性要求 合规管理的目标 是为了满足监管要求 避免在企业自身发展过程中因与法律 规则和准则不一致而可能遭受法律制裁 监管机构处罚以及财务与声誉的损失 实现稳健经营 合规概述 2 1什么是合规 法律与法规的区别 制定主体不同 法律的制定者是全国人大 法规可以是多个主体 效力和影响力不同 法律的效力和影响力远大于法规 适用范围不同 法律一般是全国通用 法规分全国范围或某一单位区域适用 承担的责任不同 违反法律须承担相应的刑事 民事责任 合规概述 2 2合规与遵守法律的区别 合规是遵循法律法规 监管要求 规则 自律性组织制定的有关准则 整理融合后适用于企业自身业务活动的行为准则 合规概述 2 3相关法规分析 3信息安全法规与政策 我国信息安全法律法规及电力行业制度要求 3 1信息安全法规3 2信息安全政策 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律了解 中华人民共和国宪法 有关信息安全的内容了解 中华人民共和国刑法 有关信息安全犯罪的规定了解 中华人民共和国治安管理处罚法 有关信息安全的内容掌握 中华人民共和国保守国家秘密法 的主要内容掌握 全国人民代表大会常务委员会关于维护互联网安全的决定 的内容理解 中华人民共和国电子签名法 的意义和作用了解 中华人民共和国侵权责任法 有关信息安全的内容 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律 公民的通信自由和通信秘密受法律的保护 除因国家安全或者追查刑事犯罪的需要 由公安机关或者检察机关依照法律规定的程序对通信进行检查外 任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密 宪法 第二章公民的基本权利和义务第40条 法律 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律 285条 非法侵入计算机信息系统罪 非法获取计算机信息系统数据 非法控制计算机信息系统罪 提供侵入 非法控制计算机信息系统程序 工具罪 286条 破坏计算机信息系统罪 287条 利用计算机实施犯罪的提示性规定 253条 出售 非法提供公民个人信息罪 非法获取公民个人信息罪 刑法 第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285 286 287条 法律 刑法 第四章侵犯公民人身权利 民主权利罪第253条 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律 有下列行为之一的 处以治安管理处罚 一 违反国家规定 侵入计算机信息系统 造成危害的 二 违反国家规定 对计算机信息系统功能进行删除 修改 增加 干扰 造成计算机信息系统不能正常运行的 三 违反国家规定 对计算机信息系统中存储 处理 传输的数据和应用程序进行删除 修改 增加的 四 故意制作 传播计算机病毒等破坏性程序 影响计算机信息系统正常运行的 治安管理处罚法 其他规定 与非法信息传等播相关 第42 47 68条 治安管理处罚法 第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条 法律 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律 主旨 总则 目的 保守国家秘密 维护国家安全和利益 国家秘密是关系国家安全和利益 依照法定程序确定 在一定时间内只限一定范围的人员知悉的事项 国家秘密受法律保护 一切单位和公民都有保守国家秘密的义务 国家保密行政管理部门主管全国的保密工作 保密工作责任制 健全保密管理制度 完善保密防护措施 开展保密宣传教育 加强保密检查 国家秘密的范围 国家事务 国防武装 外交外事 政党秘密 国民经济和社会发展 科学技术 维护国家安全的活动 经保密主管部门确定的事项等国家秘密的密级绝密 最重要的国家秘密 保密期限不超过30年 机密 重要的国家秘密 保密期限不超过20年 秘密 一般的国家秘密 保密期限不超过10年 法律 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律 法律责任 第48条人员处分及追究刑责 一 非法获取 持有国家秘密载体的 二 买卖 转送或者私自销毁国家秘密载体的 三 通过普通邮政 快递等无保密措施的渠道传递国家秘密载体的 四 邮寄 托运国家秘密载体出境 或者未经有关主管部门批准 携带 传递国家秘密载体出境的 五 非法复制 记录 存储国家秘密的 六 在私人交往和通信中涉及国家秘密的 七 在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的 八 将涉密计算机 涉密存储设备接入互联网及其他公共信息网络的 九 在未采取防护措施的情况下 在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的 十 使用非涉密计算机 非涉密存储设备存储 处理国家秘密信息的 十一 擅自卸载 修改涉密信息系统的安全技术程序 管理程序的 十二 将未经安全技术处理的退出使用的涉密计算机 涉密存储设备赠送 出售 丢弃或者改作其他用途的 有前款行为尚不构成犯罪 且不适用处分的人员 由保密行政管理部门督促其所在机关 单位予以处理 法律 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律 互联网日益广泛的应用 对于加快我国国民经济 科学技术的发展和社会服务信息化进程具有重要作用 如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注 互联网的运行安全 侵入 破坏性程序 攻击 中断服务等 国家安全和社会稳定 有害信息 窃取 泄露国家秘密 煽动 非法组织等 市场经济秩序和社会管理秩序 销售伪劣产品 虚假宣传 损害商业信誉 侵犯知识产权 扰乱金融秩序 淫秽内容服务等 个人 法人和其他组织的人身 财产等合法权利 侮辱或诽谤他人 非法处理他人信息数据 侵犯通信自有和通信秘密 盗窃 诈骗 敲诈勒索等 构成犯罪的 依照刑法有关规定追究刑事责任构成民事侵权的 依法承担民事责任尚不构成犯罪的 治安管理处罚 行政处罚 行政处分或纪律处分 法律 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律 2005年4月1日正式施行的 电子签名法 被称为 中国首部真正意义上的信息化法律 自此电子签名与传统手写签名和盖章具有同等的法律效力 为了规范电子签名行为 确立电子签名的法律效力 维护有关各方的合法权益 制定本法 民事活动中的合同或者其他文件 单证等文书 电子签名和数据电文不适用的文书 国际惯例 涉及证明人身关系的 涉及不动产权益转让的 涉及停止公共事业服务的 法律法规所规定的不适用电子文书的其他情形 法律 信息安全法规与政策 3 1信息安全相关法规 信息安全相关国家法律 为保护民事主体的合法权益 明确侵权责任 预防并制裁侵权行为 促进社会和谐稳定 制定本法 侵害民事权益 应当依照本法承担侵权责任 本法所称民事权益 包括生命权 健康权 姓名权 名誉权 荣誉权 肖像权 隐私权 婚姻自主权 监护权 所有权 用益物权 担保物权 著作权 专利权 商标专用权 发现权 股权 继承权等人身 财产权益 第36条网络用户 网络服务提供者利用网络侵害他人民事权益的 应当承担侵权责任 网络用户利用网络服务实施侵权行为的 被侵权人有权通知网络服务提供者采取删除 屏蔽 断开链接等必要措施 网络服务提供者接到通知后未及时采取必要措施的 对损害的扩大部分与该网络用户承担连带责任 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益 未采取必要措施的 与该网络用户承担连带责任 法律 信息安全法规与政策 3 1信息安全相关法规 信息安全相关行政法规和部门规章了解信息安全相关行政法规 掌握涉及信息安全的相关内容了解信息安全相关部门规章 掌握涉及信息安全的相关内容 信息安全法规与政策 3 1信息安全相关法规 信息安全相关行政法规和部门规章 行政法规 计算机信息系统 安全保护 主管部门 保障计算机及其相关的和配套的设备 设施 含网络 的安全 运行环境的安全 保障信息的安全 保障计算机功能的正常发挥 以维护计算机信息系统的安全运行 公安部主管全国计算机信息系统安全保护工作 含安全监督职权 国家安全部 国家保密局和国务院其他有关部门 在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作 保护制度 计算机信息系统实行安全等级保护 使用单位应当建立健全安全管理制度 安全专用产品 硬件 软件 的销售实行许可证制度 是指由计算机及其相关的和配套的设备 设施 含网络 构成的 按照一定的应用目标和规则对信息进行采集 加工 存储 传输 检索等处理的人机系统 信息安全法规与政策 3 1信息安全相关法规 信息安全相关行政法规和部门规章 行政法规 商用密码 是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品 商用密码技术属于国家秘密 主管部门 国家密码管理委员会及其办公室主管全国的商用密码管理工作 国家对商用密码产品的科研 生产 销售和使用实行专控管理 管理要点 商密产品由国家密码管理机构分别指定单位进行科研 生产和检测 商密产品销售单位应有国家密码管理机构颁发的 商用密码产品销售许可证 必须如实登记备案直接使用商用密码产品的用户信息和产品用途 不得使用自行研制的或者境外生产的密码产品 不得转让其使用的商用密码产品 含故障维修 报废销毁 信息安全法规与政策 3 1信息安全相关法规 信息安全相关行政法规和部门规章 适用范围 适用于采集 存储 处理 传递 输出国家秘密信息的计算机信息系统 主管部门 国家保密局主管全国计算机信息系统的保密工作 管理要点 涉密系统 保密设施 保密措施 访问控制 数据保护等涉密信息 密级标识 物理隔离等涉密媒体 各类计算机媒体 含打印输出等 涉密场所 控制区 防电磁信息泄漏 其他物理安全等系统管理 领导负责制 管理制度 保密检查 人员培训和考核等 部门规章 信息安全法规与政策 3 1信息安全相关法规 信息安全相关行政法规和部门规章 验收评价 项目建设单位应在完成项目建设任务后的半年内 组织完成建设项目的信息安全风险评估和初步验收工作 运行管理 项目建设单位或其委托的专业机构应按照风险评估的相关规定 对建成项目进行信息安全风险评估 检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性 保障信息安全目标的实现 设计方案 在 项建和可研 的项目建设方案中应包含 安全系统建设方案 在 初设 的项目设计方案中应包含 安全系统设计 部门规章 信息安全法规与政策 3 1信息安全相关法规 国外信息安全相关法规简介 国外信息安全法律法规简介 以美国为例 信息自由法 FreedomofInformationActof1966 FOIA 爱国者法 USAPatriotofActof2001 联邦信息安全管理法案 FederalInformationSecurityManagementActof2002 FISMA 属于 电子政务法 theE GovernmentActof2002 的第三部分 公众公司会计改革与投资者保护法 又名 萨班斯 奥克斯利法 Sarbanes OxleyActof2002 信息安全法规与政策 3 1信息安全相关法规 国外信息安全相关法规简介 美国对政府信息进行立法保护的首要原则是向公众公开原则 也叫信息公开原则 是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由 但也需要保障国家的安全 因此 该法利用 例外 的立法方式 将需要保护的信息加以列举 是 9 11 事件以后美国为保障国家安全颁布的最为重要的一部法律 也是目前争议最大的一部法律 从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止 侦破和打击恐怖主义活动 使美国人民能够生活在安全的环境中 由于该法赋予联邦政府的权力过大 引起美国国内民权人士的担忧 并产生诉案 该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查 给出了 信息安全 的定义对国家信息安全管理职责的授权国家标准与技术局 NIST 为联邦政府使用的系统制定安全标准与指南管理与预算办公室 OMB 主任对安全政策 原则 标准 指南等的制定 执行 包括遵守 情况进行监督 法律 信息安全法规与政策 3 2信息安全相关政策 国家信息安全保障总体情况 掌握国家有关政策对信息安全保障工作的总体方针和要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作 信息安全法规与政策 3 1信息安全相关政策 国家信息安全保障总体情况 依托2003年的27号文 总体纲领 明确了信息安全保障工作的总体要求 工作原则和重点工作内容围绕信息安全保障体系 广度结合深度 制定 发布并落实了一些典型的信息安全政策 风险评估 等级保护 电子政务类 应急预案等 其他领域 灾难备份 管理体系 监控 应急 信任体系 产品和服务认证 人员培训和认证等 十一五 期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成 统一的 信息安全服务资质管理体制基于信息安全服务类的标准 政策带动标准 标准支撑政策 统一安全服务行业的企业资质和人员资质由 狭义信息安全 向 广义信息安全 延伸IT服务 外包 的信息安全保障新技术 新应用下的信息安全保障 信息安全法规与政策 3 2信息安全相关政策 国家信息安全保障总体情况 标志着我国信息安全保障工作有了总体纲领提出要在5年内建设中国信息安全保障体系 坚持积极防御 综合防范的方针 全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全 创建安全健康的网络环境 保障和促进信息化发展 保护公众利益 维护国家安全 立足国情 以我为主 坚持技术与管理并重 正确处理安全和发展的关系 以安全保发展 在发展中求安全 统筹规划 突出重点 强化基础工作 明确国家 企业 个人的责任和义务 充分发挥各方面的积极性 共同构筑国家信息安全保障体系 信息安全法规与政策 3 2信息安全相关政策 信息安全相关国家政策 了解信息安全相关国家政策 掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系 熟悉信息安全等级保护相关政策 信息安全法规与政策 3 2信息安全相关政策 信息安全相关国家政策 信息安全风险评估 基于风险管理 基本工作要求 相关保障 应贯穿于网络和信息系统建设运行的全过程 设计 验收 运维 定期组织实施网络与信息系统自评估 并积极配合有关部门的检查评估 参照标准 信息安全风险评估规范 GB T20984 2007 信息安全风险管理指南 GB Z24364 2009 服务资质 对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务 要由国家专控的队伍来承担 系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施 信息安全法规与政策 3 2信息安全相关政策 信息安全相关国家政策 明确职责 强化人员培训 完善安全措施和手段 组织信息安全和保密基本技能培训 开展信息安全和保密形势分析深入学习宣传信息安全 五禁止 规定 管理制度 技术手段 加强信息安全检查 详见 政府信息系统安全检查办法 把信息安全和保密工作列入重要议事日程 明确一名主管领导谁主管谁负责 谁运行谁负责 谁使用谁负责 信息安全法规与政策 3 2信息安全相关法规 信息安全相关国家政策 背景 2003年 国务院成立应急办 颁布了 国家突发公共卫生事件应急条例 2006年 国家突发公共事件总体应急预案 4大类公共事件 国家网络与信息安全事件应急预案 2007年 制定发布 国家突发事件应对法 预案要点 网络与信息安全事件的分类分级参照标准 信息安全事件分类分级指南 GB Z20986 应急流程 预防预警 应急处置 后期处置参照标准 信息安全事件管理指南 GB Z20985 组织体系和应急保障 应急队伍 经费 物资 通信 科技 监督管理 宣传教育 培训 演练 责任与奖惩 信息安全法规与政策 3 2信息安全相关政策 信息安全相关国家政策 依据和目的 风险评估的主要内容 两类信息系统的工作开展 分析信息系统资产的重要程度 评估信息系统面临的安全威胁 存在的脆弱性 已有的安全措施和残余风险的影响等 涉密信息系统参照 分级保护 进行系统测评并履行审批手续非涉密信息系统参照 等级保护 完成等级测评和风险评估工作 并形成相关报告 相关要点 对信息安全风险评估机构的指定 1家 3家 信息安全风险评估经费计入该项目总投资投入运行后 应定期开展信息安全风险评估 国家电子政务工程建设项目管理暂行办法 国家发改委令 2007 第55号三部委联合发文 发改委 公安部 保密局将 信息安全风险评估 作为项目验收的重要内容 按要求提交一系列文档 信息安全法规与政策 3 2信息安全相关法规 信息安全相关国家政策 依据 关于加强政府信息系统安全和保密管理工作的通知 国办发 2008 17号 检查范围和检查重点 各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统 业务系统 网站系统等 每半年要进行一次全面的安全检查 国务院各部门和地方政府的办公系统 重要业务系统 门户网站以及重要新闻网站 要作为检查重点 检查方式 各单位自查 统一组织抽查 安全检测 按需 工信部负责协调 指导 监督 公安 安全 保密 密码等部门按职责分工 2009年度政府信息系统安全检查指南 工信部协 2009 168号 2010年度政府信息系统安全检查指南 工信部协 2010 143号 信息安全法规与政策 3 2信息安全相关法规 信息安全相关国家政策 工业控制系统信息安全事关工业生产运行 国家经济安全和人民生命财产安全 为切实加强工业控制系统信息安全管理 经国务院同意 现就有关事项通知如下 充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导 信息安全法规与政策 3 2信息安全相关法规 信息安全相关国家政策 GB17859 1999 计算机信息系统安全保护等级划分准则 第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级 信息安全法规与政策 3 2信息安全相关政策 信息安全相关国家政策 信息安全等级保护法规政策体系 信息安全法规与政策 3 2信息安全相关法规 信息安全相关国家政策 通知 是政策 管理办法 属于部门规章四部委联合发文 公安部 保密局 密码管理局 原国信办国家信息安全等级保护坚持 自主定级 自主保护 的原则信息系统的安全保护等级分为五级实施与管理具体实施等级保护工作参照标准 信息系统安全等级保护实施指南 确定安全保护等级参照标准 信息系统安全等级保护定级指南 系统建设参照标准 信息系统安全等级保护基本要求 等等级测评参照标准 信息系统安全等级保护测评要求 二级以上系统的备案要求 由公安机关颁发备案证明 三级以上系统的定期自查 测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求涉密信息系统按分级保护管理 略 对信息安全等级保护的密码实行分类分级管理 略 信息安全法规与政策 3 2信息安全相关法规 信息安全相关国家政策 信息和信息系统的安全保护等级 及其适用范围 第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据根据信息和信息系统在国家安全 经济建设 社会生活中的重要程度 遭到破坏后对国家安全 社会秩序 公共利益以及公民 法人和其他组织的合法权益的危害程度实施要求完善标准 分类指导 管理规范和技术标准 科学定级 严格备案 专家评审委员会 三级以上系统备案 建设整改 落实措施 信息系统 已有 新建 改建 扩建 自查自纠 落实要求 运营 使用单位及其主管部门 建立制度 加强管理 运营 使用单位及其主管部门 监督检查 完善保护 公安机关重点对第三 第四级系统 信息安全法规与政策 3 2信息安全相关政策 国外信息安全相关政策简介 了解美国信息安全相关政策概况 信息安全法规与政策 3 2信息安全相关法规 信息安全相关国家政策 国外信息安全国家政策简介 以美国为例 克林顿政府IATFV1 0 1998年 V3 1 2002年 V4 0 Now 2000年 总统国家安全战略报告 首次将信息安全列入 布什政府911之后 成立本土安全部 国土安全部 国家KIP委员会2002年 国家保障数字空间安全策略 国家安全战略报告 2003年 网络空间安全国家战略计划 奥巴马政府上任之初 60天信息安全评估项目2009年 美国网络安全评估 2010年 网络战司令部正式运行 4信息安全标准体系 我国信息安全法律法规及电力行业制度要求 4 1标准化概述4 2标准介绍4 3信息安全检查评估 信息安全法规与政策 4 1标准化概述 信息安全标准化概念 了解标准和标准化的基本概念和作用 信息安全法规与政策 4 1标准化概述 信息安全标准化概念 标准为了在一定范围内获得最佳秩序 经协商一致制定并由公认机构批准 共同使用的和重复使用的一种规范性文件 标准化 GB T20000 1 2002 为了在一定范围内获得最佳秩序 对现实问题或潜在问题制定共同使用和重复使用的条款的活动 国际标准由国际标准化组织或国际标准组织通过并公开发布的标准国家标准由国家标准机构通过并公开发布的标准国际标准化组织 ISO 其成员资格向每个国家的有关国家机构开放的标准化组织国家标准机构在国家层面上承认的 有资格成为相应的国际和区域标准组织的国家成员的标准机构 中国国家标准化管理委员会 信息安全法规与政策 4 1标准化概述 信息安全标准化概念 特点标准化的对象 共同的 可重复的事物标准化的动态性标准化的相对性标准化的效益原则简化 统一 协调 优化作用标准是进行贸易的基本条件标准能够提高企业的经济效益标准能够提高国民经济效益代码GB强制性国家标准GB T推荐性国家标准GB Z国家标准化指导性技术文件 标准能打破技术壁垒 标准也能成为新的技术壁垒 信息安全法规与政策 4 1标准化概述 信息安全标准化组织 了解国际信息安全标准化组织及其工作了解国外典型国家信息安全标准化组织及其工作熟悉我国信息安全标准化组织及其工作 信息安全法规与政策 4 1标准化概述 信息安全标准化组织 信息安全管理体系工作组 密码与安全机制工作组 安全评估准则工作组 安全控制与服务工作组 身份管理与隐私技术工作组 国际标准提案 ISMS审核指南 国际标准提案 三元实体鉴别 国际标准 信息安全事件管理 合作编辑 国际标准提案 基于三元实体鉴别的访问控制方法 信息安全法规与政策 4 1标准化概述 信息安全标准化组织 ANSINCITS T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准 EDI NIST负责联邦政府非密敏感信息FIPSDOD负责涉密信息NSA国防部指令 DODDI 如TCSEC IEEESILSP1363 信息安全法规与政策 4 1标准化概述 信息安全标准化组织 1984年 成立数据加密技术分委员 后来改为信息技术安全分技术委员会2002年4月 为加强信息安全标准的协调工作 国家标准委决定成立全国信息安全标准化技术委员会 信安标委 TC260 由国家标准委直接领导 对口ISO IECJTC1SC27 秘书处设在中国电子技术标准化研究所 委员会由30多个部门和单位的49名领导和专家组成目前共有工作组成员单位165家 其中企业120家TC260各部门的职责秘书处 是委员会的常设办事机构 负责委员会的日常事务工作信息安全标准体系与协调工作组 WG1 研究信息安全标准体系 需求 跟踪国际标准发展动态 提出新工作项目及设立新工作组的建议 协调各工作组项目涉密信息系统安全保密标准工作组 WG2 研究提出涉密信息系统安全保密标准体系 制定涉密保密相关标准密码技术标准工作组 WG3 研究提出商用密码技术标准体系 制定商用密码相关标准鉴别与授权工作组 WG4 研究提出鉴别与授权标准体系 制定鉴别与授权相关标准信息安全评估工作组 WG5 研究提出测评标准体系 制定测评相关标准通信安全标准工作组 WG6 研究提出通信安全标准体系 制定通信安全相关标准信息安全管理工作组 WG7 研究提出信息安全管理标准体系 制定信息安全管理相关标准 信息安全法规与政策 4 2标准介绍 信息安全国家标准 了解我国信息安全标准体系框架掌握信息安全等级保护标准体系 熟悉信息安全等级保护相关标准 信息安全法规与政策 4 2标准介绍 信息安全标准体系框架 信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体 是编制信息安全标准制订 修订计划的重要依据 是促进信息安全领域内的标准组成趋向科学化合理化的手段 是一幅现有 应有和预计制定的信息安全标准的蓝图 并随着科学技术的发展不断地完善和更新 我国信息安全标准体系 是在总结各工作组对本领域标准体系研究成果的基础上形成的 是全国安全标准化技术委员会各工作组共同的工作成果 是在跟踪分析了国际信息安全标准的发展动态和国内信息安全标准需求的基础上 提出的标准体系框架和标准体系表 我国信息安全技术标准从总体上划分为六大类 每类按照标准所涉及的主要内容细分若干小类 信息安全法规与政策 4 2标准介绍 信息安全等级保护标准体系 基础类 计算机信息系统安全保护等级划分准则 GB17859 1999 信息系统安全等级保护实施指南 GB T25058 2010应用类定级 信息系统安全保护等级定级指南 GB T22240 2008建设 信息系统安全等级保护基本要求 GB T22239 2008 信息系统通用安全技术要求 GB T20271 2006 信息系统等级保护安全设计技术要求 GB T25070 2010测评 信息系统安全等级保护测评要求 GB T28448 2012 信息系统安全等级保护测评过程指南 GB T28449 2012管理 信息系统安全管理要求 GB T20269 2006 信息系统安全工程管理要求 GB T20282 2006 信息安全法规与政策 4 2标准介绍 信息安全等级保护标准体系 技术类GB T21052 2007信息安全技术信息系统物理安全技术要求GB T20270 2006信息安全技术网络基础安全技术要求GB T20272 2006信息安全技术操作系统安全技术要求GB T20273 2006信息安全技术数据库管理系统安全技术要求其他信息产品 信息安全产品相关标准 其他类GB T20984 2007信息安全技术信息安全风险评估规范GB Z24364 2009信息安全技术信息安全风险管理指南GB T24363 2009信息安全技术信息安全应急响应计划规范GB Z20285 2007信息安全技术信息安全事件管理指南GB Z20986 2007信息安全技术信息安全事件分类分级指南GB T20988 2007信息安全技术信息系统灾难恢复规范 信息安全法规与政策 4 2标准介绍 信息安全国外标准 了解国际信息安全标准体系了解国外典型国家信息安全标准体系了解与自身工作密切相关的信息安全国际标准 信息安全标准体系 4 2标准介绍 信息安全国外标准 信息安全标准体系 4 2标准介绍 信息安全国外标准 信息安全法规与政策 4 2标准介绍 信息安全国外标准 ISO27000标准族 SP800系列标准介绍参见 CISP0301信息安全管理体系 ISO27001标准的详细内容参见 CISP0301信息安全管理体系 ISO27002标准的详细内容参见 CISP0303信息安全管基本措施 CISP0304信息安全管重要管理过程 信息安全法规与政策 4 3信息安全检查评估 安全技术评估标准发展历史 了解安全技术评估标准发展过程理解GB T18336 信息技术安全性评估准则 CC 的特点 信息安全法规与政策 4 3信息安全检查评估 安全标准的发展 信息安全法规与政策 4 3信息安全检查评估 国外安全评测标准 美国的安全评测标准 TCSEC 1970年由美国国防科学委员会提出 1985年公布 主要军用 延用至民用 安全级从高到低分A B C D四级 级下再分小类 A1 B3 B2 B1 C2 C1 D 分级分类主要依据四个准则 安全策略 可控性 保证能力 文档局限性集中考虑数据保密性 而忽略了数据完整性 系统可用性等 将安全功能和安全保证混在一起安全功能规定得过为严格 不便于实际开发和测评欧洲的安全评测标准 ITSEC 以超越TCSEC为目的 将安全概念分为功能与功能评估两部分 功能分F1 F10共10级 1 5级对应于TCSEC的D到A 6 10级加上了以下概念 F6 数据和程序的完整性F7 系统可用性F8 数据通信完整性F9 数据通信保密性F10 包括机密性和完整性的网络安全评估准则分为6级 E1 E6与TCSEC的不同安全被定义为保密性 完整性 可用性功能和质量 保证分开对产品和系统的评估都适用 提出评估对象 TOE 的概念产品 能够被集成在不同系统中的软件或硬件包 系统 具有一定用途 处于给定操作环境的特殊安全装置 信息安全法规与政策 4 3信息安全检查评估 国外安全评测标准 加拿大的评测标准 CTCPEC 1989年公布 专为政府需求而设计与ITSEC类似 将安全分为功能性需求和保证性需要两部分功能性要求分为四个大类 a机密性b完整性c可用性d可控性在每种安全需求下又分小类0 5级 表示安全性上的差别美国联邦准则 FC 对TCSEC的升级1992年12月公布引入了 保护轮廓 PP 这一重要概念 每个轮廓都包括功能部分 开发保证部分和评测部分分级方式与TCSEC不同 吸取了ITSEC CTCPEC中的优点供美国政府用 民用和商用 信息安全法规与政策 4 3信息安全检查评估 国外安全评测标准 国际标准化组织统一现有多种准则的努力结果 1999年正式成为国际标准ISO IEC15408 充分突出 保护轮廓 将评估过程分 功能 和 保证 两部分 CC基于风险管理理论 对安全模型 安全概念和安全功能进行了全面系统描绘 强化了评估保证 是目前最全面的评价准则 国际上认同的表达IT安全的体系结构 一组规则集一种评估方法 其评估结果国际互认通用的表达方式 便于理解灵活的架构 可以定义自己的要求扩展CC要求通用评估方法 CEM 是CC标准出版后 为了在评估中应用CC而提供的一种通用方法 是与CC配套的文档 信息安全法规与政策 4 3信息安全检查评估 信息安全技术评估准则 了解评估标准体系了解信息技术产品安全性评估的基本过程 信息安全法规与政策 4 3信息安全检查评估 信息安全技术评估准则 GB T18336 2008 信息技术安全技术信息技术安全性评估准则 idtISO IEC15408 2005 GB T18336 1 2008 简介和一般模型GB T18336 2 2008 安全功能要求GB T18336 3 2008 安全保证要求目标读者TOE 评估对象 的客户TOE的开发者TOE的评估者其他系统管理员和系统安全管理员内部和外部审计员安全架构师和设计师认可者评估发起者评估管理机构 ISO15408 1 2009ISO15408 2 2008ISO15408 3 2008 信息安全法规与政策 4 3信息安全检查评估 信息安全技术评估准则 评估对象 TOE TargetofEvaluation 产品 系统 子系统保护轮廓 PP ProtectionProfile 表达一类产品或系统的用户需求 组合安全功能要求和安全保证要求 安全标准 示例 包过滤防火墙安全技术要求 GB18019 安全目标 ST SecurityTarget 某一款产品对某一PP要求的具体实现 实用方案功能 Function 规范IT产品和系统的安全行为 应做的事保证 Assurance 对功能产生信心的方法组件 Component 安全要求不能再分的构件块包 Package 若干功能或保证要求的组合评估保证级 EAL EvaluationAssuranceLevel 预定义的保证包 公认的广泛适用的一组保证要求 EAL1 EAL7 信息安全标准体系 4 3信息安全检查评估 信息安全评估技术准则 评估PP PP评估结果 PP分类 已评估的PP 评估ST ST评估结果 评估TOE TOE评估结果 证书分类 已评估的TOE 5电力行业信息安全推进情况 我国信息安全法律法规及电力行业制度要求 5 1 电监信息 2007 34号 5 2 国能安全 2014 317号 5 3 发改委14号令 5 1关于开展电力行业信息系统安全等级保护定级工作的通知 电监信息 2007 34号 电力行业信息安全推进情况 必要性 背景及目的 为贯彻落实公安部 国家保密局 国家密码管理局 国务院信息化工作办公室 关于印发的通知 公通字 2007 43号 和 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861号 要求 提高电力行业网络和信息系统的信息安全保护能力和水平 定于2007年8月至10月在电力行业组织开展信息系统安全等级保护定级工作 2007年11月 国家电监会下发了 电力行业信息系统安全等级保护定级工作指导意见 实施 具体步骤包括 1 开展定级备案 2 通过等级保护测评 发现与国家技术 管理要求的不符合项 3 依据总体方案 等级保护不符合项 编制本单位等级保护实施方案 4 根据等级保护实施方案开展建设 具体包括 安全域划分 与实现 产品采购与部署 安全加固 应用改造 等级保护管理建设 5 等级保护测评验证建设效果 电力工业的特点决定了电力信息安全不仅具有一般计算机信息网络信息安全的特征 而且还具有电力实时运行控制系统信息安全的特征 电力系统的信息安全是一项多领域 复杂的大型系统工程 5 2电力行业网络与信息安全管理办法 国能安全 2014 317号 电力行业信息安全推进情况 依据 目标 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系 提高网络与信息安全防护能力 保障网络与信息安全 促进信息化工作健康发展 原则 电力行业网络与信息安全工作坚持 积极防御 综合防范 的方针 遵循 统一领导 分级负责 统筹规划 突出重点 的原则 为加强电力行业网络与信息安全监督管理 规范电力行业网络与信息安全工作 根据 中华人民共和国计算机信息系统安全保护条例 及国家有关规定 制定本办法 5 2电力行业网络与信息安全管理办法 国能安全 2014 317号 电力行业信息安全推进情况 主管机构职责 工作内容 一 一组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针 政策和重大部署 并与电力生产安全监督管理工作相衔接 二 组织制定电力行业网络与信息安全的发展战略和总体规划 三 组织制定电力行业网络与信息安全等级保护 风险评估 信息通报 应急处置 事件调查与处理 工控设备安全性检测 专业人员管理 容灾备份 安全审计 信任体系建设等方面的政策规定及技术规范 并监督实施 四 组织制定电力行业网络与信息安全应急预案 督促 指导电力企业网络与信息安全应急工作 组织或参加信息安全事件的调查与处理 五 组织建立电力行业网络与信息安全工作评价与考核机制 督促电力企业落实网络与信息安全责任 保障网络与信息安全经费 开展网络与信息安全工程建设等工作 六 组织开展电力行业网络与信息安全信息通报 从业人员技能培训考核等工作 七 组织开展电力行业网络与信息安全的技术研发工作 八 电力行业网络与信息安全监督管理的其它事项 国家能源局是电力行业网络与信息安全主管部门 履行电力行业网络与信息安全监督管理职责 国家能源局派出机构根据国家能源局的授权 负责具体实施本辖区电力企业网络与信息安全监督管理 5 2电力行业网络与信息安全管理办法 国能安全 2014 317号 电力行业信息安全推进情况 企业职责 工作内容 第七条电力企业主要负责人是本单位网络与信息安全的第一责任人 电力企业应当建立健全网络与信息安全管理制度体系 成立工作领导机构 明确责任部门 设立专兼职岗位 定义岗位职责 明确人员分工和技能要求 建立健全网络与信息安全责任制 第八条电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求 对本单位的网络与信息系统进行安全保护 第九条电力企业应当选用符合国家有关规定 满足网络与信息安全要求的信息技术产品和服务 开展信息系统安全建设或改建工作 第十条电力企业规划设计信息系统时 应明确系统的安全保护需求 设计合理的总体安全方案 制定安全实施计划 负责信息系统安全建设工程的实施 第十一条电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作 未达到要求的应当及时进行整改 第十二条电力企业应当按照国家有关规定开展信息安全风险评估工作 建立健全信息安全风险评估的自评估和检查评估制度 完善信息安全风险管理机制 电力企业是本单位网络与信息安全的责任主体 负责本单位的网络与信息安全工作 5 2电力行业网络与信息安全管理办法 国能安全 2014 317号 电力行业信息安全推进情况 企业职责 工作内容 第十三条电力企业应当按照网络与信息安全通报制度的规定 建立健全本单位信息通报机制 开展信息安全通报预警工作 及时向国家能源局或其派出机构报告有关情况 第十四条电力企业应当按照电力行业网络与信息安全应急预案 制定或修订本单位网络与信息安全应急预案 定期开展应急演练 第十五条电力企业发生信息安全事件后 应当及时采取有效措施降低损害程度 防止事态扩大 尽可能保护好现场 按规定做好信息上报工作 第十六条电力企业应当按照国家有关规定 建立健全容灾备份制度 对关键系统和核心数据进行有效备份 第十七条电力企业应当建立网络与信息安全资金保障制度 有效保障信息系统安全建设 运维 检查 等级测评和安全评估 应急及其它的信息安全资金 第十八条电力企业应当加强信息安全从业人员考核和管理 从业人员应当定期接受相应的政策规范和专业技能培训 并经培训合格后上岗 电力企业是本单位网络与信息安全的责任主体 负责本单位的网络与信息安全工作 5 2电力行业网络与信息安全管理办法 国能安全 2014 317号 电力行业信息安全推进情况 检查监督 检查措施 第二十条国家能源局及其派出机构进行监督检查和事件调查时 可以采取下列措施 一 进入电力企业进行检查 二 询问相关单位的工作人员 要求其对有关检查事项作出说明 三 查阅 复制与检查事项有关的文件 资料 对可能被转移 隐匿 损毁的文件 资料予以封存 四 对检查中发现的问题 责令其当场改正或者限期改正 国家能源局及其派出机构依法对电力企业网络与信息安全工作进行监督检查 5 3 电力监控系统安全防护规定 发改委14号令 电力行业信息安全推进情况 必要性 背景 5号令 电力行业作为关系国计民生的重要基础行业 同时也是技术 资金密集型行业 在注重信息化建设的同时 对于网络安全工作也历来高度重视 并由原电监会于2004年发布了第5号令 电力二次系统安全防护规定 以下简称 5号令 并随后陆续下发了相关配套文件 5号令的核心是 安全分区 网络专用 横向隔离 纵向认证 的电力监控系统安全防护总体策略 其主要内容为 合理划分安全分区 扩充完善电力调度专用数据网 采取必要的安全防护技术和防护设备 剥离非生产性业务 实现电力调度数据网络与其他网络的物理隔离 有效提高电力监控系统抵御黑客 病毒 恶意代码等各种形式的恶意破坏和攻击的能力 5号令确定的安全防护总体策略的效果主要体现在 一是5号令正式实施以来 全国电力监控系统未再发生因受到恶意信息攻击而导致的电力安全事件 二是在北京奥运会 上海世博会 广州亚运会等重要保电时期 电力监控系统安全防护体系经受住了来自境内外各种敌对势力的高密度 高强度的恶意网络渗透和攻击的严峻考验 确保了各项重要活动期间的电力可靠供应 电力监控系统的安全防护是电力行业网络安全工作的一个重要组成部分 当今世界 信息技术革命日新月异 对国际政治 经济 文化 社会 军事等领域发展产生了深刻影响 加强网络安全工作 能更好地保证各种信息技术的安全和合理应用 对于促进国民经济的快速 健康和安全发展具有重要意义 5 3 电力监控系统安全防护规定 发改委14号令 电力行业信息安全推进情况 14号令重点解决的突出问题 在原有电监会5号令的基础上 发改委第14号令重点解决以下两方面的问题 一是在技术层面