第16章--信息安全管理与法律法规-yVIP

版权所有，盗版必纠,第16章信息安全管理与法律法规,版权所有，盗版必纠,概论,保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。而日常提及信息安全时，多是在技术相关的领域，例如入侵检测技术、防火墙技术、反病毒技术、加密技术、VPN技术等等。这是因为信息安全技术和产品的采纳，能够快速见到直接效益，同时，技术和产品的发展水平也相对较高，此外，技术厂商对市场的培育，不断提升着人们对信息安全技术和产品的认知度。虽然在面对信息安全事件时总是在叹息：“道高一尺、魔高一丈”，在反思自身技术的不足，实质上人们此时忽视的是另外两个层面的保障。本章来讲述信息安全管理与法律法规的相关知识。,版权所有，盗版必纠,目录,第16章信息安全管理与法律法规16.1信息系统安全管理16.1.1信息安全管理概述16.1.2信息安全管理模式16.1.3信息安全管理体系的作用16.1.4构建信息安全管理体系步骤16.1.5BS7799、ISO/IEC17799和ISO2700116.1.6信息安全产品测评认证16.2信息安全相关法律法规16.2.1国内信息安全相关法律法规16.2.2国外信息安全相关法律法规作业题,版权所有，盗版必纠,16.1信息系统安全管理,俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度，相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。,16.1.1信息安全管理概述,信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的安全性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、Dos攻击、黑客等手段造成的信息灾难已变得更加普遍。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的，仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到信息安全管理的支持。确定应采取哪些控制方式则需要周密计划，并注意细节。信息安全管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑，则成本会更低、效率会更高。,版权所有，盗版必纠,16.1.2信息安全管理模式,在信息安全管理方面，BS7799标准提供了指导性建议，即基于PDCA（Plan、Do、Check和Act，即戴明环）的持续改进的管理模式，如图16.1所示。,16.1.2信息安全管理模式,信息安全管理体系（InformationSecurityManagementSystem，简称ISMS）,版权所有，盗版必纠,16.1.2信息安全管理模式,PDCA（Plan、Do、Check和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19世纪30年代构想的，后来被戴明（EdwardsDeming）采纳、宣传并运用于持续改善产品质量的过程当中。随着全面质量管理理念的深入发展，PDCA最终得以普及。作为一种抽象模型，PDCA把相关的资源和活动抽象为过程进行管理，而不是针对单独的管理要素开发单独的管理模式，这样的循环具有广泛的通用性，因而很快从质量管理体系（QMS）延伸到其他各个管理领域，包括环境管理体系（EMS）、职业健康安全管理体系（OHSMS）和信息安全管理体系（ISMS）。,版权所有，盗版必纠,16.1.2信息安全管理模式,为了实现ISMS，组织应该在计划（Plan）阶段通过风险评估来了解安全需求，然后根据需求设计解决方案；在实施（Do）阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查（Check）阶段予以监视和审查；一旦发现问题，需要在措施（Act）阶段予以解决，以便改进ISMS。通过这样的过程周期，组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。,版权所有，盗版必纠,16.1.2信息安全管理模式,概括起来，PDCA模型具有以下特点，同时也是信息安全管理工作的特点：PDCA顺序进行，依靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环，持续改进；组织中的每个部门，甚至每个人，在履行相关职责时，都是基于PDCA这个过程的，如此一来，对管理问题的解决就成了大环套小环并层层递进的模式；每经过一次PDCA循环，都要进行总结，巩固成绩，改进不足，同时提出新的目标，以便进入下一次更高级的循环。,Page11,PDCA特点,大环套小环，小环保大环，推动大循环PDCA循环作为信息安全管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。,Page12,PDCA特点(续),不断前进、不断提高PDCA循环就像爬楼梯一样，一个循环运转结束，信息安全管理的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。,P,D,C,A,信息安全管理水平,螺旋上升的PDCA,版权所有，盗版必纠,16.1.3信息安全管理体系的作用,任何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安全技术，实际上在信息安全管理方面都还存在漏洞，例如：缺少信息安全管理论坛，安全导向不明确，管理支持不明显；缺少跨部门的信息安全协调机制；保护特定资产以及完成特定安全过程的职责还不明确；雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；组织信息系统管理制度不够健全；组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；,版权所有，盗版必纠,16.1.3信息安全管理体系的作用,组织信息系统备份设备仍有欠缺；组织信息系统安全防范技术投入欠缺；软件知识产权保护欠缺；计算机房、办公场所等物理防范措施欠缺；档案、记录等缺少可靠贮存场所；缺少一旦发生意外时的保证生产经营连续性的措施和计划。,版权所有，盗版必纠,16.1.3信息安全管理体系的作用,其实，组织可以参照信息安全管理模型，按照先进的信息安全管理标准BS7799标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，就可以从根本上保证业务的连续性。,版权所有，盗版必纠,16.1.3信息安全管理体系的作用,组织建立、实施与保持信息安全管理体系将会产生如下作用：强化员工的信息安全意识，规范组织信息安全行为；对组织的关键信息资产进行全面系统的保护，维持竞争优势；在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；使组织的生意伙伴和客户对组织充满信心，如果通过体系认证，表明体系符合标准，就可以证明组织有能力保障重要信息，提高组织的知名度与信任度；促使管理层坚持贯彻信息安全保障体系。,16.1.4构建信息安全管理体系步骤,1.建立一个完整的信息安全管理体系步骤建立一个完整的信息安全管理体系可以采用如下步骤：(1)定义范围(2)定义方针(3)确定风险评估的方法(4)识别风险(5)评估风险(6)识别并评估风险处理的措施(7)为处理风险选择控制目标和控制措施(8)准备适用性声明,举例：本公司按GB/T22080-2008idtISO/IEC27001:2005建立信息安全管理体系。根据公司风险评估的结果和风险可接受水平，GB/T22080-2008idtISO/IEC27001:2005附录A的下列条款被选择（或不选择)用于本公司信息安全管理体系，共删除X条控制措施。,版权所有，盗版必纠,16.1.4构建信息安全管理体系步骤,2.构建信息安全管理体系的关键因素构建一个成功的信息安全管理体系的关键成功因素在于：(1)最高领导层对管理体系的承诺；(2)体系与整个组织文化的一致性，与业务营运目标的一致性；(3)理清职责权限；(4)有效的宣传、培训，提升意识，不仅要针对内部员工，也要针对合作伙伴、供应商、外包服务商等。(5)盘清信息资产、明确信息安全的要求，明晰风险评估和处理的方法和流程；(6)均衡的测量监控体系，持续监控各种变化，从监控结果中寻求持续改进的机会。,版权所有，盗版必纠,16.1.4构建信息安全管理体系步骤,3.HTP模型一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看，信息安全可以由以下HTP模型来描述：人员与管理(Humanandmanagement)、技术与产品(Technologyandproducts)、流程与体系(ProcessandFramework)，如图16.2所示。,版权所有，盗版必纠,16.1.4构建信息安全管理体系步骤,版权所有，盗版必纠,16.1.4构建信息安全管理体系步骤,人特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线。统计结果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成得，70%-80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。与人相关的安全问题涉及面很广，从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。组织实现信息安全应采用“适度防范”(Rightsizing)的原则，就是在风险评估的前提下，引入恰当的控制措施，使组织的风险降到可以接受的水平，保证组织的业务的连续性和商业价值最大化就达到了安全的目的。,版权所有，盗版必纠,16.1.4构建信息安全管理体系步骤,信息安全是一个多层面、多因素的、综合的、动态的过程。一方面，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在顾此失彼的问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提高安全水平。正确的做法是遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性；另一方面，这个安全体系还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变。因此实现信息安全需要完整的体系来保证。,版权所有，盗版必纠,16.1.5BS7799、ISO/IEC17799和ISO27001,1.信息安全管理标准的产生1995年2月，英国标准协会(BSI)就提出制定信息安全管理标准，并迅速于1995年5月制订完成，且于1999年重新修改了该标准。BS7799分为两个部分:BS7799-1，信息安全管理实施规则；BS7799-2信息安全管理体系规范；其中BS7799-1:1999于2000年12月通过ISO/IECJTC1(国际标准化组织和国际电工委员会的联合技术委员会)认可，正式成为国际标准，即ISO/IEC17799:2000信息技术-信息安全管理实施细则。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2:2002替代了BS7799-2:1999。,16.1.5BS7799、ISO/IEC17799和ISO27001,BS7799-1(ISO/IEC17799:2000)信息安全管理实施细则是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最佳惯例。BS7799-2信息安全管理体系规范规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。BS7799-2明确提出信息安全管理要求，BS7799-1则对应给出了通用的控制方法(措施)，因此，BS7799-2才是认证的依据，严格的说组织获得的认证是获得了BS7799-2的认证，BS7799-1为BS7799-2的具体实施提供了指南，但标准中的控制目标、控制方式的要求并非信息安全管理的全部，组织可以根据需要考虑另外的控制目标和控制方式。ISO组织在2005年对ISO17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005国际标准。,2.BS7799-1:1999信息安全管理实施细则内容介绍BS7799-1:1999(ISO/IEC17799:2000)标准在正文前设立了“前言”和“介绍”，其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明。标准中介绍，信息安全(Informationsecurity)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。标准对“为什么需要信息安全”时介绍，信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程序控制的适当支持。,版权所有，盗版必纠,该标准的正文规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。这127个控制措施被分成10个方面，成为组织实施信息安全管理的实用指南，这十个方面分别是:(1)安全方针:制定信息安全方针，为信息安全提供管理指导和支持。(2)组织安全:建立信息安全基础设施，来管理组织范围内的信息安全;维持被第三方所访问的组织的信息处理设施和信息资产的安全，以及当信息处理外包给其他组织时，维护信息的安全。,16.1.5BS7799、ISO/IEC17799和ISO27001,版权所有，盗版必纠,16.1.5BS7799、ISO/IEC17799和ISO27001,(3)资产的分类与控制:核查所有信息资产，以维护组织资产的适当保护，并做好信息分类，确保信息资产受到适当程度的保护。(4)人员安全:注意工作职责定义和人力资源中的安全，以减少人为差错、盗窃、欺诈或误用设施的风险;做好用户培训，确保用户知道信息安全威胁和事务，并准备好在其正常工作过程中支持组织的安全政策;制定对安全事故和故障的响应流程，使安全事故和故障的损害减到最小，并监视事故和从事故中学习。(5)物理和环境的安全:定义安全区域，以避免对业务办公场所和信息的未授权访问、损坏和干扰;保护设备的安全，防止信息资产的丢失、损坏或泄露和业务活动的中断;同时还要做好一般控制，以防止信息和信息处理设施的泄露或盗窃。,版权所有，盗版必纠,16.1.5BS7799、ISO/IEC17799和ISO27001,(6)通信和操作管理:制定操作规程和职责，确保信息处理设施的正确和安全操作;建立系统规划和验收准则，将系统故障的风险减低到最小;防范恶意软件，保护软件和信息的完整性;建立内务规程，以维护信息处理和通信服务的完整性和可用性;确保信息在网络中的安全，以及保护其支持基础设施;建立媒体处置和安全的规程，防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。(7)访问控制:制定访问控制的业务要求，以控制对信息的访问;建立全面的用户访问管理，避免信息系统的未授权访问;让用户了解他对维护有效访问控制的职责，防止未授权用户的访问;对网络访问加以控制，保护网络服务;建立操作系统级的访问控制，防止对计算机的未授权访问;建立应用访问控制，防止未授权用户访问保存在信息系统中的信息;监视系统访问和使用，检测未授权的活动;当使用移动计算和远程工作时，也要确保信息安全。,16.1.5BS7799、ISO/IEC17799和ISO27001,(8)系统开发和维护:标识系统的安全要求，确保安全被构建在信息系统内;控制应用系统的安全，防止应用系统中用户数据的丢失、被修改或误用;使用密码控制，保护信息的保密性、真实性或完整性；控制对系统文件的访问，确保按安全方式进行IT项目和支持活动；严格控制开发和支持过程，维护应用系统软件和信息的安全。(9)业务持续性管理:目的为了减少业务活动的中断，使关键业务过程免受主要故障或天灾的影响。(10)符合性:信息系统的设计、操作、使用和管理要符合法律要求，避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求;定期审查安全政策和技术符合性，确保系统符合组织安全政策和标准;还要控制系统审核，使系统审核过程的效力最大化，干扰最小化。,版权所有，盗版必纠,16.1.5BS7799、ISO/IEC17799和ISO27001,3.BS7799-2:2002信息安全管理体系规范简介BS7799-2:2002标准详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。标准中提出了应该如何建立信息安全管理体系的步骤：,版权所有，盗版必纠,16.1.5BS7799、ISO/IEC17799和ISO27001,(1)定义信息安全策略。信息安全策略是组织信息安全的最高方针，需要根据组织内各个部门的实际情况，分别制订不同的信息安全策略。例如，规模较小的组织单位可能只有一个信息安全策略，并适用于组织内所有部门、员工;而规模大的集团组织则需要制订一个信息安全策略文件，分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂，并形成书面文件，发给组织内的所有成员。同时要对所有相关员工进行信息安全策略的培训，对信息安全负有特殊责任的人员要进行特殊的培训，以使信息安全方针真正植根于组织内所有员工的脑海并落实到实际工作中。,版权所有，盗版必纠,16.1.5BS7799、ISO/IEC17799和ISO27001,(2)定义ISMS的范围。ISMS的范围确定需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、或者在个别部门或领域构架ISMS。在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。(3)进行信息安全风险评估。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素，组织在进行信息资产风险评估时，需要将直接后果和潜在后果一并考虑。,版权所有，盗版必纠,16.1.5BS7799、ISO/IEC17799和ISO27001,(4)信息安全风险管理。根据风险评估的结果进行相应的风险管理。信息安全风险管理主要包括以下几种措施:降低风险:在考虑转嫁风险前，应首先考虑采取措施降低风险;避免风险:有些风险很容易避免，例如通过采用不同的技术、更改操作流程、采用简单的技术措施等;转嫁风险:通常只有当风险不能被降低或避免、且被第三方(被转嫁方)接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险。接受风险:用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。,版权所有，盗版必纠,16.1.5BS7799、ISO/IEC17799和ISO27001,(5)确定管制目标和选择管制措施。管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。由于信息安全是一个动态的系统工程，组织应实时对选择的管制目标和管制措施加以校验和调整，以适应变化了的情况，使组织的信息资产得到有效、经济、合理的保护。(6)准备信息安全适用性声明。信息安全适用性声明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备，一方面是为了向组织内的员工声明对信息安全面对的风险的态度，在更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统地审视了组织的信息安全系统，并将所有有必要管制的风险控制在能够被接受的范围内。,版权所有，盗版必纠,16.1.6信息安全产品测评认证,信息技术已经成为应用面极广、渗透性很强的战略性技术。信息安全产品和信息系统固有的敏感性和特殊性，直接影响国家的安全利益和经济利益。各国政府纷纷采取颁布标准，实行测评和认证制度等方式，对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效的控制。美、英、德、法、澳、加、荷、韩等国家先后建立了国家信息安全测评认证体系。我国为适应全球信息化的发展趋势，顺应进入WTO的客观要求，于1997年依循国际惯例正式启动信息安全测评认证工作，并于1998年底，正式建立我国的信息安全测评认证体系，如图所示。,版权所有，盗版必纠,版权所有，盗版必纠,16.1.6信息安全产品测评认证,其中，国家信息安全测评认证管理委员会是经国务院产品质量监督行政主管部门授权，代表国家对中国信息安全产品测评认证中心运作的独立性和在测评认证活动中的公正性、科学性和规范性实施监督管理的机构。其成员由信息安全相关的管理部门、使用部门和研制开发部门三方面的代表组成。管理委员会下设专家委员会和投诉与申诉委员会。中国信息安全产品测评认证中心（以下简称国家中心）是代表国家具体实施信息安全测评认证的实体机构。根据国家授权，依据产品标准和国家质量认证的法律、法规结合信息安全产品的特点开展测评认证工作。授权测评机构是认证中心根据业务发展和管理需要而授权成立的、具有测试评估能力的独立机构。,版权所有，盗版必纠,16.1.6信息安全产品测评认证,所有授权测评机构均须通过中国实验室国家认可委员会（CNAL）的认可，并经国家中心的现场审核，审核合格者，国家中心方可批准，并正式授权。到目前为止，国家中心根据发展需要，已批准筹建了14家授权测评机构。其中，上海测评中心、计算机测评中心、东北测评中心、华中测评中心、深圳测评中心已获得正式授权；西南测评中心、身份认证产品与技术测评中心等5个授权测评机构已挂牌试运行；其它4个授权测评机构正处于筹建阶段。这14家授权测评机构为：,版权所有，盗版必纠,16.1.6信息安全产品测评认证,中国信息安全产品测评认证中心上海测评中心（正式授权）中国信息安全产品测评认证中心计算机测评中心（正式授权）中国信息安全产品测评认证中心华中测评中心（正式授权）中国信息安全产品测评认证中心东北测评中心（正式授权）中国信息安全产品测评认证中心深圳测评中心（正式授权）中国信息安全产品测评认证中心西南测评中心（试运行期间）中国信息安全产品测评认证中心云南测评中心（试运行期间）,版权所有，盗版必纠,16.1.6信息安全产品测评认证,中国信息安全产品测评认证中心重庆测评中心（试运行期间）中国信息安全产品测评认证中心互操作性测评中心（试运行期间）中国信息安全产品测评认证中心身份认证产品与技术测评中心（试运行期间）中国信息安全产品测评认证中心山东测评中心（筹建期间）中国信息安全产品测评认证中心通讯安全测评中心（筹建期间）中国信息安全产品测评认证中心西北测评中心（筹建期间）中国信息安全产品测评认证中心河南测评中心（筹建期间）,产品认证申请（见word文档）,版权所有，盗版必纠,版权所有，盗版必纠,16.2信息安全相关法律法规,16.2.1国内信息安全相关法律法规国内主要的信息安全相关法律法规如下：信息网络传播权保护条例网络信息安全等级保护制度信息安全等级保护管理办法(试行)互联网信息服务管理办法中华人民共和国电信条例中华人民共和国计算机信息系统安全保护条例,版权所有，盗版必纠,16.2.1国内信息安全相关法律法规,公用电信网间互联管理规定联网单位安全员管理办法（试行）文化部关于加强网络文化市场管理的通知证券期货业信息安全保障管理暂行办法中国互联网络域名管理办法科学技术保密规定计算机信息系统国际联网保密管理规定计算机软件保护条例,版权所有，盗版必纠,16.2.1国内信息安全相关法律法规,国家信息化领导小组关于我国电子政务建设指导意见电子认证服务密码管理办法互联网IP地址备案管理办法计算机病毒防治管理办法中华人民共和国电子签名法认证咨询机构管理办法中华人民共和国认证认可条例,版权所有，盗版必纠,16.2.1国内信息安全相关法律法规,认证培训机构管理办法中华人民共和国产品质量法中华人民共和国产品质量认证管理条例商用密码管理条例网上证券委托暂行管理办法信息安全产品测评认证管理办法产品质量认证收费管理办法,版权所有，盗版必纠,16.2.2国外信息安全相关法律法规,1990年美国人JohnPerryBarlow第一个使用“CyberSpace”一词来表示网络世界。因此现在国际上一般用“Cyberlaw”或者“CyberspaceLaw”来表示网络法。但是由于相对于传统法规建设而言，网络立法发展时间很短，所以现在有关网络案件的审理，大多