CISP0信息安全标准与法律法规

信息安全法规、政策和标准,培训机构培训讲师,课程内容（1）,课程内容（2）,3,课程内容（3）,4,课程内容（1）,信息安全法律法规政策,知识体,知识域,信息安全相关法规,知识子域,信息安全相关政策,知识域：信息安全相关法规,知识子域：国家信息安全法治总体情况了解信息安全法治建设的意义了解我国信息安全法律法规体系框架,6,信息安全法治建设的意义,信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚等信息安全不再只是个技术问题，而更多地是个商业和法律问题-安全漏洞、信息犯罪的本质？信息安全产业的逐渐形成和成熟，需要必要的规范,保护国家信息主权和社会公共利益是信息安全立法的首要目标,7,狭义的信息安全广义的信息安全,我国信息安全法律法规体系框架,8,宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法.,计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例.,公安部（安全专用产品等）原信产部（互联网域名等）国新办（互联网新闻信息服务）保密局（保密等）.,多级立法,国务院各部委,北京市信息化促进条例、辽宁省计算机信息系统安全管理条例.,北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法.,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）,我国信息安全法治建设的发展历程,通信保密安全,计算机系统安全,网络信息系统安全,1994年,2000年,2003年,保守国家秘密法（1989）（2010年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86,计算机信息系统安全保护条例（1994）计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99,关于维护互联网安全的决定（2000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-00,9,我国信息安全法治建设的初步成效、展望,初步成效法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善与信息安全相关的司法和行政管理体系迅速完善法律少而规章等偏多，缺乏信息安全的基本法法律法规的内容篇幅偏小，行为规范较简单展望需要一部信息安全的基本法国家信息安全法（或先出台信息安全条例）信息安全的基本原则与基本制度信息安全的主要核心内容进一步完善各领域的信息安全专门法信息安全的监管模式和认证体系（面向信息安全各类主体和客体）信息安全常态管理（等级保护制度等）信息安全应急管理（预警、监测、通报和应急处理等）网络与信息系统全生命周期的信息安全特定领域的信息安全.,10,课程内容（1）,信息安全法律法规政策,知识体,知识域,信息安全相关法规,知识子域,信息安全相关政策,知识域：信息安全相关法规,知识子域：信息安全相关国家法律了解中华人民共和国宪法有关信息安全的内容了解中华人民共和国刑法有关信息安全犯罪的规定了解中华人民共和国治安管理处罚法有关信息安全的内容掌握中华人民共和国保守国家秘密法的主要内容掌握全国人民代表大会常务委员会关于维护互联网安全的决定的内容理解中华人民共和国电子签名法的意义和作用了解中华人民共和国侵权责任法有关信息安全的内容,12,宪法中的有关规定,宪法第二章公民的基本权利和义务第40条公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。,法律,13,刑法中的有关规定（1）,刑法第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处以刑罚。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处以刑罚。提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。,法律,14,刑法中的有关规定（2）,刑法第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条286条：破坏计算机信息系统罪。违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处以刑罚。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。287条：利用计算机实施犯罪的提示性规定。利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,15,法律,16,刑法第四章侵犯公民人身权利、民主权利罪第253条：出售、非法提供公民个人信息罪；非法获取公民个人信息罪国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处以刑罚。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。,刑法中的有关规定（3）,治安管理处罚法中的有关规定,治安管理处罚法第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条有下列行为之一的，处以治安管理处罚：（一）违反国家规定，侵入计算机信息系统，造成危害的；（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。治安管理处罚法其他规定（与非法信息传等播相关）：第42、47、68条,法律,17,保守国家秘密法（保密法1）,主旨（总则）目的：保守国家秘密，维护国家安全和利益。国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查。国家秘密的范围国家事务、国防武装、外交外事、政党秘密国民经济和社会发展、科学技术维护国家安全的活动、经保密主管部门确定的事项等国家秘密的密级绝密-最重要的国家秘密，保密期限不超过30年；机密-重要的国家秘密，保密期限不超过20年；秘密-一般的国家秘密，保密期限不超过10年。,法律,18,保守国家秘密法（保密法2）,法律责任（第48条人员处分及追究刑责）（一）非法获取、持有国家秘密载体的；（二）买卖、转送或者私自销毁国家秘密载体的；（三）通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的；（四）邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国家秘密载体出境的；（五）非法复制、记录、存储国家秘密的；（六）在私人交往和通信中涉及国家秘密的；（七）在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的；（八）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的；（九）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的；（十）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的；（十一）擅自卸载、修改涉密信息系统的安全技术程序、管理程序的；（十二）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理。,法律,19,全国人大关于维护互联网安全的决定,背景互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。互联网安全的范畴（法律约束力）互联网的运行安全（侵入、破坏性程序、攻击、中断服务等）国家安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等）市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等）个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等）法律责任构成犯罪的，依照刑法有关规定追究刑事责任构成民事侵权的，依法承担民事责任尚不构成犯罪的：治安管理处罚/行政处罚/行政处分或纪律处分,法律,20,电子签名法（1）,意义2005年4月1日正式施行的电子签名法，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。目的为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益，制定本法。适用范围民事活动中的合同或者其他文件、单证等文书。电子签名和数据电文不适用的文书（国际惯例）：涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。监督管理国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。,法律,21,电子签名法（2）,电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务电子认证服务应具备相适应的人员、资金、场所、技术和设备条件，以及国家密码管理机构同意使用密码的证明文件；应向国务院信息产业主管部门申请，后者依法审查并征求商务主管部门等有关部门的意见后，对予以许可的颁发电子认证许可证书，再持该证向工商部门办理企业登记，并将其电子认证业务规则，向国务院信息产业主管部门备案。,法律,22,对电子认证服务提供者的其他要求保证证书内容在有效期内完整、准确；拟暂停或者终止电子认证服务的要求；妥善保存与认证相关的信息，信息保存期限（至少为证书失效后五年）。,第四章法律责任电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。,电子签名法（3）,电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得；并酌情罚款。电子认证服务提供者暂停或者终止电子认证服务，未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的，由国务院信息产业主管部门对其直接负责的主管人员酌情处以罚款。电子认证服务提供者不遵守认证业务规则、未妥这善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门。伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民事责任。依照本法负责电子认证服务业监督管理工作的部门的工作人员，不依法履行行政许可、监督管理职责的，依法给予行政处分；构成犯罪的，依法追究刑事责任。,23,侵权责任法,目的：为保护民事主体的合法权益，明确侵权责任，预防并制裁侵权行为，促进社会和谐稳定，制定本法。适用范围：侵害民事权益，应当依照本法承担侵权责任。（本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。）第四章关于责任主体的特殊规定第36条网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。,法律,24,课程内容（1）,信息安全法律法规政策,知识体,知识域,信息安全相关法规,知识子域,信息安全相关政策,知识域：信息安全相关法规,知识子域：信息安全相关行政法规和部门规章了解信息安全相关行政法规，掌握涉及信息安全的相关内容了解信息安全相关部门规章，掌握涉及信息安全的相关内容,26,计算机信息系统安全保护条例,计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。安全保护保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。主管部门公安部主管全国计算机信息系统安全保护工作（含安全监督职权）。国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。安全保护制度（要点）计算机信息系统实行安全等级保护。使用单位应当建立健全安全管理制度。安全专用产品（硬件、软件）的销售实行许可证制度。,行政法规,27,商用密码管理条例,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术属于国家秘密。主管部门国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家对商用密码产品的科研、生产、销售和使用实行专控管理。管理要点商密产品由国家密码管理机构分别指定单位进行科研、生产和检测。商密产品销售单位应有国家密码管理机构颁发的商用密码产品销售许可证。必须如实登记备案直接使用商用密码产品的用户信息和产品用途。不得使用自行研制的或者境外生产的密码产品。不得转让其使用的商用密码产品（含故障维修、报废销毁）。,行政法规,28,其它一些行政法规,行政法规中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国电信条例互联网信息服务管理办法互联网上网服务营业场所管理条例信息网络传播权保护条例.,行政法规,29,计算机信息系统安全专用产品检测和销售许可证管理办法,两个必须安全专用产品的生产者在其产品进入市场销售之前,必须申领计算机信息系统安全专用产品销售许可证。安全专用产品的生产者申领销售许可证,必须对其产品进行安全功能检测和认定。检测（机构）检测机构对产品（样品）的安全功能和性能进行检测。检测机构应保守检测产品的技术秘密，并不得非法占有他人科技成果，不得从事与检测产品有关的开发和对外咨询业务。销售许可证（主管部门）由公安部计算机管理监察部门颁发安全专用产品销售许可证（两年内有效）、“销售许可”标记（生产者应当在固定位置标明该标记）。安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录,由公安部计算机管理监察部门定期发布。,部门规章,30,计算机信息系统保密管理暂行规定,适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。主管部门国家保密局主管全国计算机信息系统的保密工作。管理要点涉密系统-保密设施、保密措施、访问控制、数据保护等涉密信息-密级标识、物理隔离等涉密媒体-各类计算机媒体（含打印输出等）涉密场所-控制区、防电磁信息泄漏、其他物理安全等系统管理-领导负责制、管理制度、保密检查、人员培训和考核等,部门规章,31,国家电子政务工程建设项目管理暂行办法,国家发改委令2007第55号对国家电子政务工程建设项目有明确的信息安全要求验收评价管理项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。项建书、可研报告、初步设计方案在“项建和可研”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”,部门规章,其他一些部门规章,公安部互联网安全保护技术措施规定计算机病毒防治管理办法信息安全等级保护管理办法计算机信息网络国际联网安全保护管理办法金融机构计算机信息系统安全保护工作暂行规定（公安部、中国人民银行）,33,原信息产业部信息系统工程监理暂行规定电子认证服务管理办法互联网电子邮件服务管理办法,铁道部铁路计算机信息网络国际联网保密管理暂行规定铁路计算机信息系统安全保护办法,国家保密局中华人民共和国保守国家秘密法实施办法科学技术保密规定计算机信息系统国际联网保密管理规定涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法涉及国家秘密的计算机信息系统集成资质管理办法（试行）,34,国家密码管理局商用密码科研管理规定，公告（第4号）2006年1月1日起施行商用密码产品生产管理规定，公告（第5号）2006年1月1日起施行商用密码产品销售管理规定，公告（第6号）2006年1月1日起施行商用密码产品使用管理规定，公告（第8号）2007年5月1日起施行电子认证服务密码管理办法，公告（第17号）2009年10月28日公布，2009年12月1日起施行，原办法（公告第2号）同时废止,课程内容（1）,信息安全法律法规政策,知识体,知识域,信息安全相关法规,知识子域,信息安全相关政策,知识域：信息安全相关法规,知识子域：信息安全相关地方法规、规章和行业规定了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容,36,地方法规,北京市信息化促进条例（2007年9月14日通过并公布，自2007年12月1日起施行）澳门特区打击电脑犯罪法（2009-06-26公布，2009-07-26生效）辽宁省计算机信息系统安全管理条例湖南省信息化条例重庆市计算机信息系统安全保护条例.,37,地方规章,北京市微博客发展管理若干规定（2011年12月16日公布并施行）北京市公共服务网络与信息系统安全管理规定北京市党政机关计算机网络与信息安全管理办法上海市公共信息系统安全测评管理办法天津市公共计算机信息网络安全保护规定黑龙江省计算机信息系统安全管理规定辽宁省计算机信息保密管理规定大连市人民政府公共信息网络管理暂行规定四川省计算机信息系统安全保护管理办法山西省计算机安全管理规定山东省计算机信息系统安全管理办法安徽省计算机信息系统安全保护办法河南省计算机信息系统安全保护暂行办法,38,地方规章,广东省计算机信息系统安全保护管理规定广东省电子政务信息安全管理暂行办法广东省互联网上网服务营业场所管理办法广东省计算机信息系统安全保护管理规定实施细则（试行）广东省通信短信息服务管理办法（试行）深圳经济特区计算机信息系统公共安全管理规定福建省互联网上网服务营业场所管理规定江苏省互联网网络与信息安全管理暂行规定云南省网络与信息系统安全监察管理规定江西省计算机信息系统安全保护办法杭州市计算机信息系统安全保护管理办法.,39,行业规定,40,中国银监会电子银行业务管理办法电子银行安全评估指引银行业金融机构信息系统风险管理指引中国证监会网上证券委托暂行管理办法证券期货业信息安全保障管理暂行办法证券公司集中交易安全管理技术指引期货公司信息公示管理规定（自2009年11月16日起施行）深圳证券交易所交易异常情况处理实施细则（试行）上海证券交易所交易异常情况处理实施细则（试行）.,课程内容（1）,信息安全法律法规政策,知识体,知识域,信息安全相关法规,知识子域,信息安全相关政策,知识域：信息安全相关法规,知识子域：国外信息安全相关法规简介了解美国信息安全相关法规概况,42,国外信息安全法律法规简介,国外信息安全法律法规简介（以美国为例）信息自由法（FreedomofInformationActof1966，FOIA）爱国者法（USAPatriotofActof2001）联邦信息安全管理法案（FederalInformationSecurityManagementActof2002，FISMA）属于电子政务法（theE-GovernmentActof2002）的第三部分公众公司会计改革与投资者保护法，又名萨班斯-奥克斯利法（Sarbanes-OxleyActof2002）国内外信息安全法治体系的差距分析体系性广度深度.,43,信息自由法爱国者法,信息自由法美国对政府信息进行立法保护的首要原则是向公众公开原则（也叫信息公开原则），是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由，但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举,44,爱国者法是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律，也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中。由于该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉案。该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查,联邦信息安全管理法案电子政务法公众公司会计改革与投资者保护法,联邦信息安全管理法案给出了“信息安全”的定义对国家信息安全管理职责的授权国家标准与技术局（NIST）为联邦政府使用的系统制定安全标准与指南管理与预算办公室（OMB）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督,45,电子政务法该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定,公众公司会计改革与投资者保护法主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全。该法案要求公众公司保证其内部金融控制的准确性，规定由证券交易委员会（SEC）制定规则，强制要求公众公司年度报告中包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴定报告。,课程内容（1）,信息安全法律法规政策,知识体,知识域,信息安全相关法规,知识子域,信息安全相关政策,知识域：信息安全相关政策,知识子域：国家信息安全保障总体情况掌握国家有关政策对信息安全保障工作的总体方针和要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作,47,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）,意义标志着我国信息安全保障工作有了总体纲领提出要在5年内建设中国信息安全保障体系总体方针和要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。主要原则立足国情，以我为主，坚持技术与管理并重；正确处理安全和发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,48,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）,主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制,十一五：试点十二五：普及推广,49,我国信息安全政策的初步成效、后续展望,初步成效依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等后续展望“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障,十一五：试点十二五：普及推广,50,课程内容（1）,信息安全法律法规政策,知识体,知识域,信息安全相关法规,知识子域,信息安全相关政策,知识域：信息安全相关政策,知识子域：信息安全相关国家政策了解信息安全相关国家政策，掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系，熟悉信息安全等级保护相关政策,52,关于开展信息安全风险评估工作的意见（国信办20065号）,信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估相关保障参照标准:信息安全风险评估规范（GB/T20984-2007）、信息安全风险管理指南（GB/Z24364-2009）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）,53,关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）,明确职责把信息安全和保密工作列入重要议事日程，明确一名主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责强化人员培训组织信息安全和保密基本技能培训，开展信息安全和保密形势分析深入学习宣传信息安全“五禁止”规定完善安全措施和手段管理制度+技术手段加强信息安全检查详见政府信息系统安全检查办法,54,关于印发国家网络与信息安全事件应急预案的通知（国办函2008168号）,背景2003年：国务院成立应急办，颁布了国家突发公共卫生事件应急条例2006年：国家突发公共事件总体应急预案（4大类公共事件）国家网络与信息安全事件应急预案2007年：制定发布国家突发事件应对法预案要点网络与信息安全事件的分类分级参照标准：信息安全事件分类分级指南（GB/Z20986）应急流程：预防预警应急处置后期处置参照标准：信息安全事件管理指南（GB/Z20985）组织体系和应急保障应急队伍、经费、物资、通信、科技。监督管理宣传教育、培训、演练、责任与奖惩,55,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）,依据和目的国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号三部委联合发文：发改委、公安部、保密局将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档）风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等两类信息系统的工作开展涉密信息系统参照“分级保护”，进行系统测评并履行审批手续非涉密信息系统参照“等级保护”，完成等级测评和风险评估工作，并形成相关报告相关要点对信息安全风险评估机构的指定（1家+3家）信息安全风险评估经费计入该项目总投资投入运行后，应定期开展信息安全风险评估,56,关于印发政府信息系统安全检查办法的通知（国办发200928号）,依据关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）检查范围和检查重点各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。检查方式各单位自查+统一组织抽查+安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南（工信部协2009168号）2010年度政府信息系统安全检查指南（工信部协2010143号）,57,政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序（暂行）,58,工业和信息化部公告（2011年第21号）鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务机构申请信息安全管理体系认证时，应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。服务机构申请信息安全管理体系认证（含再认证）时，应经工业和信息化部安全审查同意。工业和信息化部负责安全审查的管理工作，包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。,附表1：政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表附表2：政府部门信息技术外包服务机构信息安全管理体系认证情况备案表,关于加强工业控制系统信息安全管理的通知（工信部协2011451号）,工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导,59,知识域：信息安全相关政策,知识子域：信息安全相关国家政策了解信息安全相关国家政策，掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系，熟悉信息安全等级保护相关政策,60,等级保护,中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB17859-1999计算机信息系统安全保护等级划分准则第一级:用户自主保护级；第二级:系统审计保护级；第三级:安全标记保护级；第四级:结构化保护级；第五级:访问验证保护级；,61,信息安全等级保护法规政策体系,62,关于信息安全等级保护工作的实施意见（公字通200466号）,信息和信息系统的安全保护等级（及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度实施要求完善标准,分类指导（管理规范和技术标准）科学定级,严格备案（专家评审委员会。三级以上系统备案）建设整改,落实措施（信息系统：已有、新建、改建、扩建）自查自纠,落实要求（运营、使用单位及其主管部门）建立制度,加强管理（运营、使用单位及其主管部门）监督检查,完善保护（公安机关重点对第三、第四级系统）,63,关于印发的通知（公字通200743号）,通知是政策，管理办法属于部门规章四部委联合发文：公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级实施与管理具体实施等级保护工作参照标准：信息系统安全等级保护实施指南确定安全保护等级参照标准：信息系统安全等级保护定级指南系统建设参照标准：信息系统安全等级保护基本要求等等级测评参照标准：信息系统安全等级保护测评要求二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求涉密信息系统按分级保护管理（略）对信息安全等级保护的密码实行分类分级管理（略）,64,关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）,背景根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作定级范围电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；市(地)级以上党政机关的重要网站和办公信息系统；涉及国家秘密的信息系统(涉密信息系统)。工作内容摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）,65,关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429号）,工作目标力争在2012年底前完成已定级信息系统(不含涉密信息系统)安全建设整改工作工作内容开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求信息安全等级保护安全建设整改工作指南参照标准：信息系统安全等级保护基本要求信息系统安全建设整改工作基本流程（管理建设、技术建设）信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类）,66,关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）,工作目标提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行工作内容积极稳妥地推动等级测评机构建设确保测评机构的水平和能力符合测评工作要求督促备案单位开展信息系统等级测评工作信息安全等级保护测评工作管理规范（试行）信息系统安全等级测评报告模版（试行）另有政策：公信安20091487号,67,其他一些信息安全相关国家政策,关于加强国家重要信息系统灾难备份工作的意见(信安通200411号)教育部办公厅关于开展信息系统安全等级保护工作的通知（教办厅函200980号）关于进一步加强政府网站安全保障工作的通知（国办秘函20105号）中国云计算安全政策与法律蓝皮书（2011）,68,课程内容（1）,信息安全法律法规政策,知识体,知识域,信息安全相关法规,知识子域,信息安全相关政策,知识域：信息安全相关政策,知识子域：国外信息安全相关政策简介了解美国信息安全相关政策概况,70,国外信息安全政策简介,国外信息安全国家政策简介（以美国为例）克林顿政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：总统国家安全战略报告（首次将信息安全列入）布什政府911之后，成立本土安全部（国土安全部）、国家KIP委员会2002年：国家保障数字空间安全策略、国家安全战略报告2003年：网络空间安全国家战略计划奥巴马政府上任之初：60天信息安全评估项目2009年：美国网络安全评估2010年：网络战司令部正式运行国内外信息安全国家政策的差距分析体系性和持续性、关注重点、执行力度.,71,奥巴马政府的新举措,上台不久就亲自主导了一个60天的信息安全评估项目，2009年5月公布了美国网络安全评估报告，评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，并提出行动计划（最高层领导、数字化能力、安全责任、信息共享和事件反应机制5大方面）。成立了网络安全办公室，任命了“网络沙皇”为网络安全协调官。参议院向国会提交了网络安全法议案。2010年6月，美国国防部正式成立了由战略司令部领导的网络战司令部（主要进行数字战争，防护针对美军计算机网络的安全威胁）。司令部将于2010年10月正式运行。促使政府对外公布国家网络安全综合计划（即信息安全曼哈顿计划）的概要，实行政策透明，以获得民众对政策的理解。,72,课程内容（2）,73,信息安全标准,知识体,知识域,信息安全标准化概述,知识子域,信息安全相关标准,信息安全评估标准,知识域：安全标准化概述,知识子域：信息安全标准化概念了解标准和标准化的基本概念和作用,74,标准和标准化相关基本概念,标准为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。标准化（GB/T20000.1-2002）为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动。国际标准由国际标准化组织或国际标准组织通过并公开发布的标准国家标准由国家标准机构通过并公开发布的标准国际标准化组织（ISO）其成员资格向每个国家的有关国家机构开放的标准化组织国家标准机构在国家层面上承认的，有资格成为相应的国际和区域标准组织的国家成员的标准机构（中国国家标准化管理委员会）,75,标准化的特点、原则；标准的作用,特点标准化的对象：共同的、可重复的事物标准化的动态性标准化的相对性标准化的效益原则简化统一协调优化,76,标准能打破技术壁垒，标准也能成为新的技术壁垒,作用标准是进行贸易的基本条件标准能够提高企业的经济效益标准能够提高国民经济效益,我国国家标准的代码,GB强制性国家标准GB/T推荐性国家标准GB/Z国家标准化指导性技术文件,77,课程内容（2）,78,信息安全标准,知识体,知识域,信息安全标准化概述,知识子域,信息安全相关标准,信息安全评估标准,知识域：信息安全标准化概述,知识子域：信息安全标准化组织了解国际信息安全标准化组织及其工作了解国外典型国家信息安全标准化组织及其工作熟悉我国信息安全标准化组织及其工作,79,国际信息安全标准化组织,ISO/IECJTC1SC27信息技术安全技术,信息安全管理体系工作组,密码与安全机制工作组,安全评估准则工作组,安全控制与服务工作组,身份管理与隐私技术工作组,国际标准提案ISMS审核指南,国际标准提案三元实体鉴别,国际标准信息安全事件管理合作编辑,国际标准提案基于三元实体鉴别的访问控制方法,80,美国标准化组织,ANSINCITS-T4制定IT安全技术标准X9制定金融业务标准X12制定商业交易标准(EDI)NIST负责联邦政府非密敏感信息FIPSDOD负责涉密信息NSA国防部指令（DODDI）（如TCSEC）IEEESILSP1363,81,我国标准化组织,1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委，TC260），由国家标准委直接领导，对口ISO/IECJTC1SC27；秘书处设在中国电子技术标准化研究所；委员会由30多个部门和单位的49名领导和专家组成目前共有工作组成员单位165家，其中企业120家国标委高新函20041号文决定，自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作。,82,TC260各部门的职责,秘书处：是委员会的常设办事机构，负责委员会的日常事务工作信息安全标准体系与协调工作组（WG1）：研究信息安全标准体系、需求；跟踪国际标准发展动态；提出新工作项目及设立新工作组的建议；协调各工作组项目涉密信息系统安全保密标准工作组（WG2）：研究提出涉密信息系统安全保密标准体系；制定涉密保密相关标准密码技术标准工作组（WG3）：研究提出商用密码技术标准体系；制定商用密码相关标准鉴别与授权工作组（WG4）：研究提出鉴别与授权标准体系；制定鉴别与授权相关标准信息安全评估工作组（WG5）：研究提出测评标准体系；制定测评相关标准通信安全标准工作组（WG6）：研究提出通信安全标准体系；制定通信安全相关标准信息安全管理工作组（WG7）：研究提出信息安全管理标准体系；制定信息安全管理相关标准,83,课程内容（2）,84,信息安全标准,知识体,知识域,信息安全标准化概述,知识子域,信息安全相关标准,信息安全评估标准,知识域：信息安全相关标准,知识子域：信息安全国家标准了解我国信息安全标准体系框架掌握信息安全等级保护标准体系，熟悉信息安全等级保护相关标准,85,信息安全标准体系,信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准制订/修订计划的重要依据，是促进信息安全领域内的标准组成趋向科学化合理化的手段；是一幅现有、应有和预计制定的信息安全标准的蓝图，并随着科学技术的发展不断地完善和更新。,86,我国信息安全标准体系框架,我国信息安全标准体系，是在总结各工作组对本领域标准体系研究成果的基础上形成的，是全国安全标准化技术委员会各工作组共同的工作成果。是在跟踪分析了国际信息安全标准的