第16章信息安全管理与法律法规

1、版权所有，盗版必纠 第16章 信息安全管理与法律法规 李 剑 北京邮电大学信息安全中心 E-mail: 电话版权所有，盗版必纠 概论 保障信息安全有三个支柱，一个是技术、一个是管理、一 个是法律法规。而日常提及信息安全时，多是在技术相关 的领域，例如入侵检测技术、防火墙技术、反病毒技术、 加密技术、VPN技术等等。这是因为信息安全技术和产品 的采纳，能够快速见到直接效益，同时，技术和产品的发 展水平也相对较高，此外，技术厂商对市场的培育，不断 提升着人们对信息安全技术和产品的认知度。虽然在面对 信息安全事件时总是在叹息：“道高一尺、魔高一丈”， 在反思自身技术的不足，

2、实质上人们此时忽视的是另外两 个层面的保障。本章来讲述信息安全管理与法律法规的相 关知识。 版权所有，盗版必纠 目录 第16章 信息安全管理与法律法规 16.1 信息系统安全管理 16.1.1 信息安全管理概述 16.1.2 信息安全管理模式 16.1.3 信息安全管理体系的作用 16.1.4 构建信息安全管理体系步骤 16.1.5 BS 7799、ISO/IEC 17799和ISO 27001 16.1.6 信息安全产品测评认证 16.2 信息安全相关法律法规 16.2.1 国内信息安全相关法律法规 16.2.2 国外信息安全相关法律法规 思考题 版权所有，盗版必纠 16.1 信息系统安全管

3、理 俗话说“三分技术七分管理”。目前组织普遍采 用现代通信、计算机、网络技术来构建组织的信 息系统。但大多数组织的最高管理层对信息资产 所面临的威胁的严重性认识不足，缺乏明确的信 息安全方针、完整的信息安全管理制度，相应的 管理措施不到位，如系统的运行、维护、开发等 岗位不清，职责不分，存在一人身兼数职的现象。 这些都是造成信息安全事件的重要原因。缺乏系 统的管理思想也是一个重要的问题。所以，需要 一个系统的、整体规划的信息安全管理体系，从 预防控制的角度出发，保障组织的信息系统与业 务之安全与正常运作。 版权所有，盗版必纠 16.1.1 信息安全管理概述 信息、信息处理过程及对信息起支持作用

4、的信息系统和信息网络都是 重要的商务资产。信息的安全性对保持竞争优势、资金流动、效益、 法律符合性和商业形象都是至关重要的。然而，越来越多的组织及其 信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水 灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、 Dos攻击、 黑客等手段造成的信息灾难已变得更加普遍，有计划而不易被察觉。 组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏， 公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。 许多信息系统本身就不是按照安全系统的要求来设计的，仅依靠技术 手段来实现信息安全有其局限性，所以信息安全的实现必须得到信息 安全管理的

5、支持。确定应采取哪些控制方式则需要周密计划，并注意 细节。信息安全管理至少需要组织中的所有雇员的参与，此外还需要 供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计 阶段就将安全要求和控制一体化考虑，则成本会更低、效率会更高。 版权所有，盗版必纠 16.1.2 信息安全管理模式 在信息安全管理方面，BS 7799 标准提供 了指导性建议，即基于PDCA（Plan、Do、 Check 和Act，即戴明环）的持续改进的 管理模式，如图16.1 所示。 版权所有，盗版必纠 16.1.2 信息安全管理模式 版权所有，盗版必纠 16.1.2 信息安全管理模式 PDCA（Plan、Do、Chec

6、k 和Act）是管理学惯用的一个 过程模型，最早是由休哈特（Walter Shewhart）于19 世纪30 年代构想的，后来被戴明（Edwards Deming） 采纳、宣传并运用于持续改善产品质量的过程当中。随着 全面质量管理理念的深入发展，PDCA 最终得以普及。 作为一种抽象模型，PDCA 把相关的资源和活动抽象为过 程进行管理，而不是针对单独的管理要素开发单独的管理 模式，这样的循环具有广泛的通用性，因而很快从质量管 理体系（QMS）延伸到其他各个管理领域，包括环境管 理体系（EMS）、职业健康安全管理体系（OHSMS）和 信息安全管理体系（ISMS）。 版权所有，盗版必纠 16.1

7、.2 信息安全管理模式 为了实现ISMS，组织应该在计划（Plan）阶段 通过风险评估来了解安全需求，然后根据需求设 计解决方案；在实施（Do）阶段将解决方案付诸 实现；解决方案是否有效？是否有新的变化？应 该在检查（Check）阶段予以监视和审查；一旦 发现问题，需要在措施（Act）阶段予以解决，以 便改进ISMS。通过这样的过程周期，组织就能将 确切的信息安全需求和期望转化为可管理的信息 安全体系。 版权所有，盗版必纠 16.1.2 信息安全管理模式 概括起来，PDCA 模型具有以下特点，同时也是 信息安全管理工作的特点： PDCA 顺序进行，依靠组织的力量来推动，像车 轮一样向前进，周而

8、复始，不断循环，持续改进； 组织中的每个部门，甚至每个人，在履行相关职 责时，都是基于PDCA 这个过程的，如此一来， 对管理问题的解决就成了大环套小环并层层递进 的模式； 每经过一次PDCA 循环，都要进行总结，巩固成 绩，改进不足，同时提出新的目标，以便进入下 一次更高级的循环。 版权所有，盗版必纠 任何组织，不论它在信息技术方面如何努力以及采纳如何 新的信息安全技术，实际上在信息安全管理方面都还存在 漏洞，例如： 缺少信息安全管理论坛，安全导向不明确，管理支持不明 显； 缺少跨部门的信息安全协调机制； 保护特定资产以及完成特定安全过程的职责还不明确； 雇员信息安全意识薄弱，缺少防范意识，

9、外来人员很容易 直接进入生产和工作场所； 组织信息系统管理制度不够健全； 组织信息系统主机房安全存在隐患，如：防火设施存在问 题，与危险品仓库同处一幢办公楼等； 版权所有，盗版必纠 组织信息系统备份设备仍有欠缺； 组织信息系统安全防范技术投入欠缺； 软件知识产权保护欠缺； 计算机房、办公场所等物理防范措施欠缺； 档案、记录等缺少可靠贮存场所； 缺少一旦发生意外时的保证生产经营连续 性的措施和计划。 版权所有，盗版必纠 其实，组织可以参照信息安全管理模型， 按照先进的信息安全管理标准 BS7799 标 准建立组织完整的信息安全管理体系并实 施与保持，达到动态的、系统的、全员参 与、制度化的、以预

10、防为主的信息安全管 理方式，用最低的成本，达到可接受的信 息安全水平，就可以从根本上保证业务的 连续性。 组织建立、实施与保持信息安全 管理体系将会产生如下作用： 版权所有，盗版必纠 强化员工的信息安全意识，规范组织信息安全行 为； 对组织的关键信息资产进行全面系统的保护，维 持竞争优势； 在信息系统受到侵袭时，确保业务持续开展并将 损失降到最低程度； 使组织的生意伙伴和客户对组织充满信心，如果 通过体系认证，表明体系符合标准，证明组织有 能力保障重要信息，提高组织的知名度与信任度； 促使管理层坚持贯彻信息安全保障体系。 版权所有，盗版必纠 16.1.4 构建信息安全管理体系步骤 1. 建立一

11、个完整的信息安全管理体系步骤建立一个完整的信息安全管理体系步骤 建立一个完整的信息安全管理体系可以采用如下步骤： (1) 定义范围 (2) 定义方针 (3) 确定风险评估的方法 (4) 识别风险 (5) 评估风险 (6) 识别并评估风险处理的措施 (7) 为处理风险选择控制目标和控制措施 (8) 准备适用性声明 版权所有，盗版必纠 16.1.4 构建信息安全管理体系步骤 2. 构建信息安全管理体系的关键因素构建信息安全管理体系的关键因素 构建一个成功的信息安全管理体系的关键成功因素在 于： (1) 最高领导层对管理体系的承诺； (2) 体系与整个组织文化的一致性，与业务营运目标的一 致性； (

12、3) 理清职责权限； (4) 有效的宣传、培训，提升意识，不仅要针对内部员工， 也要针对合作伙伴、供应商、外包服务商等。 (5) 盘清信息资产、明确信息安全的要求，明晰风险评估 和处理的方法和流程； (6) 均衡的测量监控体系，持续监控各种变化，从监控结 果中寻求持续改进的机会。 版权所有，盗版必纠 16.1.4 构建信息安全管理体系步骤 3. HTP模型模型 信息安全的建设是一个系统工程，它需求对信息系统的各个环节进行 统一的综合考虑、规划和构架，并要时时兼顾组织内不断发生的变化， 任何环节上的安全缺陷都会对系统构成威胁。可以引用管理学上的木 桶原理加以说明。木桶原理指的是：一个木桶由许多块

13、木板组成，如 果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的 木板，而取决于最短的那块木板。这个原理同样适用信息安全。一个 组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节 决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、 交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生 各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要 实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶” 的所有木板都要达到一定的长度。从宏观的角度来看，信息安全可以 由以下HTP模型来描述：人员与管理(Human and management)、 技术与

14、产品(Technology and products)、流程与体系(Process and Framework)，如图16.2所示。 版权所有，盗版必纠 16.1.4 构建信息安全管理体系步骤 版权所有，盗版必纠 16.1.4 构建信息安全管理体系步骤 其中人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。 人特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的 安全防线。统计结果表明，在所有的信息安全事故中，只有20%-30%是由 于黑客入侵或其他外部原因造成得，70%-80%是由于内部员工的疏忽或有 意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全

15、 问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠 防线”转变的。以往的各种安全模型，其最大的缺陷是忽略了对人的因素的 考虑，在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的 因素更重要。与人相关的安全问题涉及面很广，从国家的角度考虑有法律、 法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教 育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看 有职业要求、个人隐私、行为学、心理学等问题。在信息安全的技术防范措 施上，可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可 信服务、安全服务、备份恢复、PKI服务、取证、网络入侵

16、陷阱、主动反击 等多种技术与产品来保护信息系统安全，但不应把部署所有安全产品与技术 和追求信息安全的零风险为目标，安全成本太高，安全也就失去其意义。组 织实现信息安全应采用“适度防范”(Rightsizing)的原则，就是在风险评估 的前提下，引入恰当的控制措施，使组织的风险降到可以接受的水平，保证 组织的业务的连续性和商业价值最大化就达到了安全的目的。 版权所有，盗版必纠 16.1.4 构建信息安全管理体系步骤 信息安全不是一个孤立静止的概念，信息安全是一个多层 面、多因素的、综合的、动态的过程。一方面，如果组织 凭着一时的需要，想当然去制定一些控制措施和引入某些 技术产品，都难免存在挂一漏

17、万、顾此失彼的问题，使得 信息安全这只“木桶”出现若干“短木块”，从而无法提 高安全水平。正确的做法是遵循国内外相关信息安全标准 与最佳实践过程，考虑到组织对信息安全的各个层面的实 际需求，在风险分析的基本上引入恰当控制，建立合理安 全管理体系，从而保证组织赖以生存的信息资产的安全性、 完整性和可用性；另一方面，这个安全体系统还应当随着 组织环境的变化、业务发展和信息技术提高而不断改进， 不能一劳永逸，一成不变。因此实现信息安全需要完整的 体系来保证。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 1. 信息安全管理标准的产生信息安全管理标准的产生 199

18、5年2月，英国标准协会(BSI)就提出制定信息安全管 理标准，并迅速于1995年5月制订完成，且于1999年重 新修改了该标准。BS7799分为两个部分:BS7799-1， 信息安全管理实施规则；BS7799-2信息安全管理 体系规范；其中BS7799-1:1999于2000年12月通过 ISO/IECJTC1(国际标准化组织和国际电工委员会的联合 技术委员会)认可，正式成为国际标准，即 ISO/IEC17799:2000信息技术-信息安全管理实施细 则。这是通过ISO表决最快的一个标准，足见世界各国 对该标准的关注和接受程度。而在2002年9月5日英国标 准化协会又发布了新版本BS7799-

19、2:2002替代了 BS7799-2:1999。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 BS7799-1(ISO/IEC 1799:2000)信息安全管理实施细则是组 织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制 定其信息安全策略和进行有效的信息安全控制提供了一个大众化的最 佳惯例。BS7799-2信息安全管理体系规范规定了建立、实施和 文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需 要应实施安全控制的要求。正如该标准的适用范围介绍的一样，本标 准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系， 进行有

20、效的信息安全风险管理，确保商务可持续性发展;作为寻求信 息安全管理体系第三方认证的标准。BS7799-2明确提出信息安全管 理要求，BS7799-1则对应给出了通用的控制方法(措施)，因此， BS7799-2才是认证的依据，严格的说组织获得的认证是获得了 BS7799-2的认证，BS7799-1为BS7799-2的具体实施提供了指南， 但标准中的控制目标、控制方式的要求并非信息安全管理的全部，组 织可以根据需要考虑另外的控制目标和控制方式。 ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005 年被采用为ISO 27001:2005国际标准。 版权所有，盗版必纠 B

21、S 7799、ISO/IEC 17799和ISO 27001 2. BS7799-1:1999信息安全管理实施细则信息安全管理实施细则内容介绍内容介绍 BS7799-1:1999(ISO/IEC 1799:2000)标准在正文前设立了“前言” 和“介绍”，其“介绍”中“对什么是信息安全、为什么需要信息安全、如 何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成 功因素、制定自己的准则”等内容作了说明，标准中介绍，信息安全 (Information security)是指信息的保密性(Confidentiality)、完整性 (Integrity)和可用性(Availabilit

22、y)的保持。保密性定义为保障信息仅仅为那 些被授权使用的人获取。完整性定义为保护信息及其处理方法的准确性和完 整性。可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资 产。标准对“为什么需要信息安全”时介绍，信息、信息处理过程及对信息 起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完 整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都 是至关重要的。然而，越来越多的组织及其信息系统和网络面临着包括计算 机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病 毒、计算机入侵、DOS攻击等手段造成的信息灾难已变得更加普遍，有计划 而不易被察觉

23、。组织对信息系统和信息服务的依赖意味着更易受到安全威胁 的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难 度。许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技 术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程 序控制的适当支持。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 该标准的正文规定了127个安全控制措施来帮助 组织识别在运作过程中对信息安全有影响的元素， 组织可以根据适用的法律法规和章程加以选择和 使用，或者增加其他附加控制。这127个控制措 施被分成10个方面，成为组织实施信息安全管理 的实用指

24、南，这十个方面分别是: (1)安全方针:制定信息安全方针，为信息安全提 供管理指导和支持。 (2)组织安全:建立信息安全基础设施，来管理组 织范围内的信息安全; 维持被第三方所访问的组 织的信息处理设施和信息资产的安全，以及当信 息处理外包给其他组织时，维护信息的安全。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 (3)资产的分类与控制:核查所有信息资产，以维护组织资 产的适当保护，并做好信息分类，确保信息资产受到适当 程度的保护。 (4)人员安全:注意工作职责定义和人力资源中的安全，以 减少人为差错、盗窃、欺诈或误用设施的风险;做好用户 培训，确保用户

25、知道信息安全威胁和事务，并准备好在其 正常工作过程中支持组织的安全政策;制定对安全事故和 故障的响应流程，使安全事故和故障的损害减到最小，并 监视事故和从事故中学习。 (5)物理和环境的安全:定义安全区域，以避免对业务办公 场所和信息的未授权访问、损坏和干扰;保护设备的安全， 防止信息资产的丢失、损坏或泄露和业务活动的中断;同 时还要做好一般控制，以防止信息和信息处理设施的泄露 或盗窃。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 (6)通信和操作管理:制定操作规程和职责，确保信息处理设施的正确 和安全操作;建立系统规划和验收准则，将系统故障的风险减低到

26、最 小;防范恶意软件，保护软件和信息的完整性;建立内务规程，以维护 信息处理和通信服务的完整性和可用性;确保信息在网络中的安全， 以及保护其支持基础设施;建立媒体处置和安全的规程，防止资产损 坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改 或误用。 (7)访问控制:制定访问控制的业务要求，以控制对信息的访问;建立 全面的用户访问管理，避免信息系统的未授权访问;让用户了解他对 维护有效访问控制的职责，防止未授权用户的访问;对网络访问加以 控制，保护网络服务;建立操作系统级的访问控制，防止对计算机的 未授权访问;建立应用访问控制，防止未授权用户访问保存在信息系 统中的信息;监视系统访

27、问和使用，检测未授权的活动;当使用移动计 算和远程工作时，也要确保信息安全。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 (8)系统开发和维护:标识系统的安全要求，确保安全被构 建在信息系统内;控制应用系统的安全，防止应用系统中 用户数据的丢失、被修改或误用;使用密码控制，保护信 息的保密性、真实性或完整性；控制对系统文件的访问， 确保按安全方式进行IT项目和支持活动；严格控制开发和 支持过程，维护应用系统软件和信息的安全。 (9)业务持续性管理:目的为了减少业务活动的中断，使关 键业务过程免受主要故障或天灾的影响。 (10)符合性:信息系统的设计、操作

28、、使用和管理要符合 法律要求，避免任何犯罪、违反民法、违背法规、规章或 合约义务以及任何安全要求;定期审查安全政策和技术符 合性，确保系统符合组织安全政策和标准;还要控制系统 审核，使系统审核过程的效力最大化，干扰最小化。(待 续) 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 3. BS7799-2:2002信息安全管理体信息安全管理体 系规范系规范内容介绍内容介绍 BS7799-2:2002标准详细说明了建 立、实施和维护信息安全管理系统(ISMS) 的要求，指出实施组织需遵循某一风险评 估来鉴定最适宜的控制对象，并对自己的 需求采取适当的控制。本部分

29、提出了应该 如何建立信息安全管理体系的步骤： 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 (1) 定义信息安全策略。 信息安全策略是组织信息安全的最高方针，需要根据 组织内各个部门的实际情况，分别制订不同的信息安全策 略。例如，规模较小的组织单位可能只有一个信息安全策 略，并适用于组织内所有部门、员工;而规模大的集团组 织则需要制 订一个信息安全策略文件，分别适用于不同的子公司 或各分支机构。信息安全策略应该简单明了、通俗易懂， 并形成书面文件，发给组织内的所有成员。同时要对所有 相关员工进行信息安全策略的培训，对信息安全负有特殊 责任的人员要进行特殊的

30、培训，以使信息安全方针真正植 根于组织内所有员工的脑海并落实到实际工作中。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 (2) 定义ISMS的范围。 ISMS的范围确定需要重点进行信息安全管理的领域，组织需要 根据自己的实际情况，在整个组织范围内、或者在个别部门或领域构 架ISMS。在本阶段，应将组织划分成不同的信息安全控制领域，以 易于组织对有不同需求的领域进行适当的信息安全管理。 (3) 进行信息安全风险评估。 信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护 资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保 护需求相一致。风险评

31、估主要对ISMS范围内的信息资产进行鉴定和 估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已 存在的或规划的安全管制措施进行鉴定。风险评估主要依赖于商业信 息和系统的性质、使用信息的商业目的、所采用的系统环境等因素， 组织在进行信息资产风险评估时，需要将直接后果和潜在后果一并考 虑。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 (4) 信息安全风险管理。 根据风险评估的结果进行相应的风险管理。信息安全 风险管理主要包括以下几种措施: 降低风险:在考虑转嫁风险前，应首先考虑采取措施降低 风险; 避免风险:有些风险很容易避免，例如通过采用不同的技

32、 术、更改操作流程、采用简单的技术措施等; 转嫁风险:通常只有当风险不能被降低或避免、且被第三 方(被转嫁方)接受时才被采用。一般用于那些低概率、但 一旦风险发生时会对组织产生重大影响的风险。 接受风险:用于那些在采取了降低风险和避免风险措施后， 出于实际和经济方面的原因，只要组织进行运营，就必然 存在并必须接受的风险。 版权所有，盗版必纠 BS 7799、ISO/IEC 17799和ISO 27001 (5) 确定管制目标和选择管制措施。 管制目标的确定和管制措施的选择原则是费用不超过 风险所造成的损失。由于信息安全是一个动态的系统工程， 组织应实时对选择的管制目标和管制措施加以校验和调整，

33、 以适应变化了的情况，使组织的信息资产得到有效、经济、 合理的保护。 (6) 准备信息安全适用性声明。 信息安全适用性声明纪录了组织内相关的风险管制目 标和针对每种风险所采取的各种控制措施。信息安全适用 性声明的准备，一方面是为了向组织内的员工声明对信息 安全面对的风险的态度，在更大程度上则是为了向外界表 明组织的态度和作为，以表明组织已经全面、系统地审视 了组织的信息安全系统，并将所有有必要管制的风险控制 在能够被接受的范围内。 版权所有，盗版必纠 16.1.6 信息安全产品测评认证 信息技术已经成为应用面极广、渗透性很强的战略性技术。 信息安全产品和信息系统固有的敏感性和特殊性，直接影 响

34、国家的安全利益和经济利益。各国政府纷纷采取颁布标 准，实行测评和认证制度等方式，对信息安全产品的研制、 生产、销售、使用和进出口实行严格、有效的控制。美、 英、德、法、澳、加、荷、韩等国家先后建立了国家信息 安全测评认证体系。 我国为适应全球信息化的发展趋势，顺应进入WTO的 客观要求，于1997年依循国际惯例正式启动信息安全测 评认证工作，并于1998年底，正式建立我国的信息安全 测评认证体系，如图所示。 版权所有，盗版必纠 16.1.6 信息安全产品测评认证 版权所有，盗版必纠 16.1.6 信息安全产品测评认证 其中，国家信息安全测评认证管理委员会是经国务院产品 质量监督行政主管部门授权

35、，代表国家对中国信息安全产 品测评认证中心运作的独立性和在测评认证活动中的公正 性、科学性和规范性实施监督管理的机构。其成员由信息 安全相关的管理部门、使用部门和研制开发部门三方面的 代表组成。管理委员会下设专家委员会和投诉与申诉委员 会。 中国信息安全产品测评认证中心（以下简称国家中心） 是代表国家具体实施信息安全测评认证的实体机构。根据 国家授权，依据产品标准和国家质量认证的法律、法规结 合信息安全产品的特点开展测评认证工作。 授权测评机构是认证中心根据业务发展和管理需要而授 权成立的、具有测试评估能力的独立机构。 版权所有，盗版必纠 16.1.6 信息安全产品测评认证 国家中心根据业务发

36、展和管理需要而授权成立的、 具有测试、评估能力的独立机构。 所有授权测 评机构均须通过中国实验室国家认可委员会 （CNAL）的认可，并经国家中心的现场审核， 审核合格者， 国家中心方可批准，并正式授权。 到目前为止，国家中心根据发展需要，已批准筹 建了14家授权测评机构。其中，上海测评中心、 计算机测评中心、东北测评中心、华中测评中心、 深圳测评中心已获得正式授权；西南测评中心、 身份认证产品与技术测评中心等5个授权测评机构 已挂牌试运行；其它4个授权测评机构正处于筹建 阶段。这14家授权测评机构为： 版权所有，盗版必纠 16.1.6 信息安全产品测评认证 中国信息安全产品测评认证中心上海测评

37、中心 （正式授 权） 中国信息安全产品测评认证中心计算机测评中心 （正式 授权） 中国信息安全产品测评认证中心华中测评中心 （正式授 权） 中国信息安全产品测评认证中心东北测评中心 （正式授 权） 中国信息安全产品测评认证中心深圳测评中心（正式授权） 中国信息安全产品测评认证中心西南测评中心（试运行期 间） 中国信息安全产品测评认证中心云南测评中心（试运行期 间） 版权所有，盗版必纠 16.1.6 信息安全产品测评认证 中国信息安全产品测评认证中心重庆测评中心（试运行期 间） 中国信息安全产品测评认证中心互操作性测评中心（试运 行期间） 中国信息安全产品测评认证中心身份认证产品与技术测评 中心

38、（试运行期间） 中国信息安全产品测评认证中心山东测评中心（筹建期间） 中国信息安全产品测评认证中心通讯安全测评中心（筹建 期间） 中国信息安全产品测评认证中心西北测评中心（筹建期间） 中国信息安全产品测评认证中心河南测评中心（筹建期间） 版权所有，盗版必纠 16.2 信息安全相关法律法规 16.2.1 国内信息安全相关法律法规 国内主要的信息安全相关法律法规如下： 信息网络传播权保护条例 20062020年国家信息化发展战略 网络信息安全等级保护制度 信息安全等级保护管理办法(试行) 互联网信息服务管理办法 中华人民共和国电信条例 中华人民共和国计算机信息系统安全保护条例 版权所有，盗版必纠

39、16.2.1 国内信息安全相关法律法规 公用电信网间互联管理规定 联网单位安全员管理办法（试行） 文化部关于加强网络文化市场管理的通知 证券期货业信息安全保障管理暂行办法 中国互联网络域名管理办法 科学技术保密规定 计算机信息系统国际联网保密管理规定 计算机软件保护条例 版权所有，盗版必纠 16.2.1 国内信息安全相关法律法规 国家信息化领导小组关于我国电子政务建 设指导意见 电子认证服务密码管理办法 互联网IP地址备案管理办法 计算机病毒防治管理办法 中华人民共和国电子签名法 认证咨询机构管理办法 中华人民共和国认证认可条例 版权所有，盗版必纠 16.2.1 国内信息安全相关法律法规 认证

40、培训机构管理办法 中华人民共和国产品质量法 中华人民共和国产品质量认证管理条例 商用密码管理条例 网上证券委托暂行管理办法 信息安全产品测评认证管理办法 产品质量认证收费管理办法 版权所有，盗版必纠 16.2.2 国外信息安全相关法律法规 1990年美国人John Perry Barlow第一个 使用“CyberSpace”一词来表示网络世界。 因此现在国际上一般用“Cyberlaw”或者 “Cyberspace Law”来表示网络法。但是 由于相对于传统法规建设而言，网络立法 发展时间很短，所以现在有关网络案件的 审理，大多是依据传统法律与新制定的网 络法规的结合进行的。下面是一些主要的 法律。 版权所有，盗版必纠 16.2.2 国外信息安全相关法律法规 1) 美国数字时代版权法。美国国会于1998 年10月12日通过，28日克林顿签署生成法律。 该法是为了贯彻执行世界知识产权保护组织 (WIPO) 1996年12月签订的条约，要求公共图 书馆、学校、教育机构等各种团体和个人，不得 非