slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
信息 安全法规、政策和 标准 PowerPoint Presentation
Download Presentation
信息 安全法规、政策和 标准

Loading in 2 Seconds...

play fullscreen
1 / 124

信息 安全法规、政策和 标准 - PowerPoint PPT Presentation


  • 243 Views
  • Uploaded on

信息 安全法规、政策和 标准. 培训机构 培训讲师. 国外信息安全相关政策简介. 国家信息安全法治总体情况. 国家信息安 全 保障 总 体情况. 信 息 安 全相关行政法规和部门规章. 信 息安 全相关地方法规、规章和行业规定. 国外信息安全相关法规简介. 信 息安 全 相 关国家政策. 信 息安 全 相 关国家法律. 课程内容( 1 ). 信息安全 相关 法 规. 信息 安全 法规与政策. 信息安全 相关政 策. 知识域. 知识体. 知识子域. 安 全技术评估标准发展历史. 信 息安 全 标准化概念. 信 息安 全标准化组织.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '信息 安全法规、政策和 标准' - ezekiel-phelps


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

信息安全法规、政策和标准

培训机构

培训讲师

slide2

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

信息安全相关地方法规、规章和行业规定

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全

法规与政策

信息安全

相关政策

知识域

知识体

知识子域

slide3

安全技术评估标准发展历史

信息安全标准化概念

信息安全标准化组织

信息安全国家标准

信息安全国外标准

信息技术安全性评估准则

课程内容(2)

信息安全

标准化概述

信息安全

相关标准

信息安全

标准

信息安全

评估标准

知识体

知识域

知识子域

slide4

CISP职业道德准则

计算机使用道德规范

因特网使用道德规范

信息安全从业人员基本道德规范

课程内容(3)

信息安全从业

人员道德规范

道德规范

通行道德规范

知识域

知识体

知识子域

slide5

信息安全相关地方法规、规章和行业规定

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全法律法规政策

信息安全

相关政策

知识域

知识体

知识子域

slide6
知识域:信息安全相关法规
  • 知识子域: 国家信息安全法治总体情况
    • 了解信息安全法治建设的意义
    • 了解我国信息安全法律法规体系框架
slide7
信息安全法治建设的意义
  • 信息安全法律环境是信息安全保障体系中的必要环节
  • 明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务
  • 明确违反信息安全的行为,并对其行为进行相应的处罚等
  • 信息安全不再只是个技术问题,而更多地是个商业和法律问题---安全漏洞、信息犯罪的本质?
  • 信息安全产业的逐渐形成和成熟,需要必要的规范

保护国家信息主权和社会公共利益是

信息安全立法的首要目标

狭义的信息安全广义的信息安全

slide8
我国信息安全法律法规体系框架

多级立法

宪法、刑法(部分条款)

国家安全法(部分条款)

保守国家秘密法

电子签名法

...

计算机信息系统安全保护条例

互联网信息服务管理办法

商用密码管理条例

...

北京市信息化促进条例、辽宁省计算机信息系统安全管理条例

...

国务院各部委

公安部(安全专用产品等)

原信产部(互联网域名等)

国新办(互联网新闻信息服务)

保密局(保密等)

...

北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法...

slide9
我国信息安全法治建设的发展历程

通信保密安全

计算机系统

安全

网络信息系统安全

1994年

2000年

2003年

保守国家秘密法(1989)

(2010年修订)

中央关于加强密码工作的决定

计算机信息系统安全保护条例(草案)-86

计算机信息系统安全保护条例(1994)

计算机信息系统安全专用产品检测和销售许可证管理办法-97

计算机信息网络国际联网安全保护管理办法-97

计算机信息系统保密管理暂行规定-98

商用密码管理条例-99

关于维护互联网安全

的决定(2000)

互联网信息服务管理办法

计算机病毒防治管理办法

计算机信息系统国际联网保密管理规定

-00

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)

slide10
我国信息安全法治建设的初步成效、展望
  • 初步成效
    • 法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善
    • 与信息安全相关的司法和行政管理体系迅速完善
    • 法律少而规章等偏多,缺乏信息安全的基本法
    • 法律法规的内容篇幅偏小,行为规范较简单
  • 展望
    • 需要一部信息安全的基本法《国家信息安全法》(或先出台《信息安全条例》)
      • 信息安全的基本原则与基本制度
      • 信息安全的主要核心内容
    • 进一步完善各领域的信息安全专门法
      • 信息安全的监管模式和认证体系(面向信息安全各类主体和客体)
      • 信息安全常态管理(等级保护制度等)
      • 信息安全应急管理(预警、监测、通报和应急处理等)
      • 网络与信息系统全生命周期的信息安全
      • 特定领域的信息安全
      • ...
slide11

信息安全相关地方法规、规章和行业规定

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全法律法规政策

信息安全

相关政策

知识域

知识体

知识子域

slide12
知识域:信息安全相关法规
  • 知识子域: 信息安全相关国家法律
    • 了解《中华人民共和国宪法》有关信息安全的内容
    • 了解《中华人民共和国刑法》有关信息安全犯罪的规定
    • 了解《中华人民共和国治安管理处罚法》有关信息安全的内容
    • 掌握《中华人民共和国保守国家秘密法》的主要内容
    • 掌握《全国人民代表大会常务委员会关于维护互联网安全的决定》的内容
    • 理解《中华人民共和国电子签名法》的意义和作用
    • 了解《中华人民共和国侵权责任法》有关信息安全的内容
slide13
《宪法》中的有关规定
  • 《宪法》 第二章公民的基本权利和义务第40条
    • 公民的通信自由和通信秘密受法律的保护。
    • 除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。

法律

slide14
《刑法》中的有关规定(1)
  • 《刑法》 第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条
    • 285条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。
      • 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处以刑罚。
      • 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处以刑罚。
      • 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

法律

slide15
《刑法》中的有关规定(2)
  • 《刑法》 第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条
    • 286条:破坏计算机信息系统罪。
      • 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处以刑罚。
      • 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
      • 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
    • 287条:利用计算机实施犯罪的提示性规定。
      • 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

法律

slide16
《刑法》中的有关规定(3)
  • 《刑法》第四章 侵犯公民人身权利、民主权利罪 第253条:出售、非法提供公民个人信息罪;非法获取公民个人信息罪
    • 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处以刑罚。
    • 窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
    • 单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
slide17
《治安管理处罚法》中的有关规定
  • 《治安管理处罚法》 第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条
    • 有下列行为之一的,处以治安管理处罚:
      • (一)违反国家规定,侵入计算机信息系统,造成危害的;
      • (二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;
      • (三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;
      • (四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。
  • 《治安管理处罚法》 其他规定(与非法信息传等播相关):第42、47、68条

法律

slide18
《保守国家秘密法》(保密法 1)

法律

  • 主旨(总则)
    • 目的:保守国家秘密,维护国家安全和利益。
    • 国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
    • 国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。
    • 国家保密行政管理部门主管全国的保密工作。
    • 保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。
  • 国家秘密的范围
    • 国家事务、国防武装、外交外事、政党秘密
    • 国民经济和社会发展、科学技术
    • 维护国家安全的活动、经保密主管部门确定的事项等
  • 国家秘密的密级
    • 绝密---最重要的国家秘密,保密期限不超过30年;
    • 机密---重要的国家秘密,保密期限不超过20年;
    • 秘密---一般的国家秘密,保密期限不超过10年。
slide19
《保守国家秘密法》(保密法 2)

法律

  • 法律责任(第48条人员处分及追究刑责)
    • (一)非法获取、持有国家秘密载体的;
    • (二)买卖、转送或者私自销毁国家秘密载体的;
    • (三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;
    • (四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;
    • (五)非法复制、记录、存储国家秘密的;
    • (六)在私人交往和通信中涉及国家秘密的;
    • (七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;
    • (八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;
    • (九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;
    • (十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;
    • (十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;
    • (十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。
    • 有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。
slide20
《全国人大关于维护互联网安全的决定》
  • 背景
    • 互联网日益广泛的应用,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。
  • 互联网安全的范畴(法律约束力)
    • 互联网的运行安全(侵入、破坏性程序、攻击、中断服务等)
    • 国家安全和社会稳定(有害信息、窃取/泄露国家秘密、煽动、非法组织等)
    • 市场经济秩序和社会管理秩序(销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等)
    • 个人、法人和其他组织的人身、财产等合法权利(侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等)
  • 法律责任
    • 构成犯罪的,依照刑法有关规定追究刑事责任
    • 构成民事侵权的,依法承担民事责任
    • 尚不构成犯罪的:治安管理处罚 / 行政处罚 / 行政处分或纪律处分

法律

slide21
《电子签名法》(1)

法律

  • 意义
    • 2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。
  • 目的
    • 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。
  • 适用范围
    • 民事活动中的合同或者其他文件、单证等文书。
    • 电子签名和数据电文不适用的文书(国际惯例):涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。
  • 监督管理
    • 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。
slide22
《电子签名法》(2)

法律

  • 电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务
    • 电子认证服务应具备相适应的人员、资金、场所、技术和设备条件,以及国家密码管理机构同意使用密码的证明文件;
    • 应向国务院信息产业主管部门申请,后者依法审查并征求商务主管部门等有关部门的意见后,对予以许可的颁发电子认证许可证书,再持该证向工商部门办理企业登记,并将其电子认证业务规则,向国务院信息产业主管部门备案。
  • 对电子认证服务提供者的其他要求
    • 保证证书内容在有效期内完整、准确;
    • 拟暂停或者终止电子认证服务的要求;
    • 妥善保存与认证相关的信息,信息保存期限(至少为证书失效后五年)。
  • 第四章 法律责任
    • 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
slide23
《电子签名法》(3)
  • 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
  • 未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;并酌情罚款。
  • 电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员酌情处以罚款。
  • 电子认证服务提供者不遵守认证业务规则、未妥这善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。
  • 伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。
  • 依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
slide24
《侵权责任法》
  • 目的:为保护民事主体的合法权益,明确侵权责任,预防并制裁侵权行为,促进社会和谐稳定,制定本法。
  • 适用范围:侵害民事权益,应当依照本法承担侵权责任。(本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。)
  • 第四章 关于责任主体的特殊规定

第36条 网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。

    • 网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。
    • 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。

法律

slide25

信息安全相关地方法规、规章和行业规定

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全法律法规政策

信息安全

相关政策

知识域

知识体

知识子域

slide26
知识域:信息安全相关法规
  • 知识子域: 信息安全相关行政法规和部门规章
    • 了解信息安全相关行政法规,掌握涉及信息安全的相关内容
    • 了解信息安全相关部门规章,掌握涉及信息安全的相关内容
slide27
《计算机信息系统安全保护条例》
  • 计算机信息系统
    • 是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
  • 安全保护
    • 保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
  • 主管部门
    • 公安部主管全国计算机信息系统安全保护工作(含安全监督职权)。
    • 国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
  • 安全保护制度(要点)
    • 计算机信息系统实行安全等级保护。
    • 使用单位应当建立健全安全管理制度。
    • 安全专用产品(硬件、软件)的销售实行许可证制度。

行政法规

slide28
《商用密码管理条例》
  • 商用密码
    • 是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
    • 商用密码技术属于国家秘密。
  • 主管部门
    • 国家密码管理委员会及其办公室主管全国的商用密码管理工作。
    • 国家对商用密码产品的科研、生产、销售和使用实行专控管理。
  • 管理要点
    • 商密产品由国家密码管理机构分别指定单位进行科研、生产和检测。
    • 商密产品销售单位应有国家密码管理机构颁发的《商用密码产品销售许可证》。
    • 必须如实登记备案直接使用商用密码产品的用户信息和产品用途。
    • 不得使用自行研制的或者境外生产的密码产品。
    • 不得转让其使用的商用密码产品(含故障维修、报废销毁)。

行政法规

slide29
其它一些行政法规

行政法规

  • 《中华人民共和国计算机信息网络国际联网管理暂行规定》
  • 《中华人民共和国电信条例》
  • 《互联网信息服务管理办法》
  • 《互联网上网服务营业场所管理条例》
  • 《信息网络传播权保护条例》
  • ...

行政法规

slide30
《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机信息系统安全专用产品检测和销售许可证管理办法》
  • 两个必须
    • 安全专用产品的生产者在其产品进入市场销售之前, 必须申领《计算机信息系统安全专用产品销售许可证》。
    • 安全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认定。
  • 检测(机构)
    • 检测机构对产品(样品)的安全功能和性能进行检测。
    • 检测机构应保守检测产品的技术秘密,并不得非法占有他人科技成果,不得从事与检测产品有关的开发和对外咨询业务。
  • 销售许可证(主管部门)
    • 由公安部计算机管理监察部门颁发安全专用产品销售许可证(两年内有效)、“销售许可”标记(生产者应当在固定位置标明该标记)。
    • 安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录, 由公安部计算机管理监察部门定期发布。

部门规章

slide31
《计算机信息系统保密管理暂行规定》
  • 适用范围
    • 适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。
  • 主管部门
    • 国家保密局主管全国计算机信息系统的保密工作。
  • 管理要点
    • 涉密系统---保密设施、保密措施、访问控制、数据保护等
    • 涉密信息---密级标识、物理隔离等
    • 涉密媒体---各类计算机媒体(含打印输出等)
    • 涉密场所---控制区、防电磁信息泄漏、其他物理安全等
    • 系统管理---领导负责制、管理制度、保密检查、人员培训和考核等

部门规章

slide32
国家电子政务工程建设项目管理暂行办法
    • 国家发改委令[2007]第55号
    • 对国家电子政务工程建设项目有明确的信息安全要求
  • 验收评价管理
    • 项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。
  • 运行管理
    • 项目建设单位或其委托的专业机构应按照风险评估的相关规定, 对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。
  • 项建书、可研报告、初步设计方案
    • 在“项建和可研”的项目建设方案中应包含“安全系统建设方案”
    • 在“初设”的项目设计方案中应包含“安全系统设计”

部门规章

slide33
其他一些部门规章
  • 公安部
    • 《互联网安全保护技术措施规定》
    • 《计算机病毒防治管理办法》
    • 《信息安全等级保护管理办法》
    • 《计算机信息网络国际联网安全保护管理办法》
    • 《金融机构计算机信息系统安全保护工作暂行规定》(公安部、中国人民银行)
  • 原信息产业部
    • 《信息系统工程监理暂行规定》
    • 《电子认证服务管理办法》
    • 《互联网电子邮件服务管理办法》
  • 铁道部
    • 《铁路计算机信息网络国际联网保密管理暂行规定》
    • 《铁路计算机信息系统安全保护办法》
slide34

国家保密局

    • 《中华人民共和国保守国家秘密法实施办法》
    • 《科学技术保密规定》
    • 《计算机信息系统国际联网保密管理规定》
    • 《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》
    • 《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》
  • 国家密码管理局
    • 《商用密码科研管理规定》,公告(第4号)2006年1月1日起施行
    • 《商用密码产品生产管理规定》,公告(第5号)2006年1月1日起施行
    • 《商用密码产品销售管理规定》,公告(第6号) 2006年1月1日起施行
    • 《商用密码产品使用管理规定》,公告(第8号)2007年5月1日起施行
    • 《电子认证服务密码管理办法》,公告(第17号)2009年10月28日公布,2009年12月1日起施行,原办法(公告第2号)同时废止
slide35

信息安全相关地方法规、规章和行业规定

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全法律法规政策

信息安全

相关政策

知识域

知识体

知识子域

slide36
知识域:信息安全相关法规
  • 知识子域: 信息安全相关地方法规、规章和行业规定
      • 了解信息安全相关地方法规,掌握自身所在地方或密切相关地方涉及信息安全的相关内容
      • 了解信息安全相关地方规章,掌握自身所在地方或密切相关地方涉及信息安全的相关内容
      • 了解信息安全相关行业规定,掌握自身所在行业或密切相关行业涉及信息安全的相关内容
slide37
地方法规
  • 《北京市信息化促进条例》( 2007年9月14日通过并公布,自2007年12月1日起施行)
  • 《澳门特区打击电脑犯罪法》(2009-06-26公布,2009-07-26生效)
  • 《辽宁省计算机信息系统安全管理条例》
  • 《湖南省信息化条例》
  • 《重庆市计算机信息系统安全保护条例》
  • ...
slide38
地方规章
    • 《北京市微博客发展管理若干规定》(2011年12月16日公布并施行)
    • 《北京市公共服务网络与信息系统安全管理规定》
    • 《北京市党政机关计算机网络与信息安全管理办法》
    • 《上海市公共信息系统安全测评管理办法》
    • 《天津市公共计算机信息网络安全保护规定》
    • 《黑龙江省计算机信息系统安全管理规定》
    • 《辽宁省计算机信息保密管理规定》
    • 《大连市人民政府公共信息网络管理暂行规定》
  • 《四川省计算机信息系统安全保护管理办法》
  • 《山西省计算机安全管理规定》
  • 《山东省计算机信息系统安全管理办法》
  • 《安徽省计算机信息系统安全保护办法》
  • 《河南省计算机信息系统安全保护暂行办法》
slide39
地方规章
    • 《广东省计算机信息系统安全保护管理规定》
    • 《广东省电子政务信息安全管理暂行办法》
  • 《广东省互联网上网服务营业场所管理办法》
  • 《广东省计算机信息系统安全保护管理规定实施细则(试行) 》
  • 《广东省通信短信息服务管理办法(试行) 》
    • 《深圳经济特区计算机信息系统公共安全管理规定》
  • 《福建省互联网上网服务营业场所管理规定》
  • 《江苏省互联网网络与信息安全管理暂行规定》
  • 《云南省网络与信息系统安全监察管理规定》
  • 《江西省计算机信息系统安全保护办法》
  • 《杭州市计算机信息系统安全保护管理办法》
  • ...
slide40
行业规定
  • 中国银监会
    • 《电子银行业务管理办法》
    • 《电子银行安全评估指引》
    • 《银行业金融机构信息系统风险管理指引》
  • 中国证监会
    • 《网上证券委托暂行管理办法》
    • 《证券期货业信息安全保障管理暂行办法》
    • 《证券公司集中交易安全管理技术指引》
    • 《期货公司信息公示管理规定》(自2009年11月16日起施行)
    • 《深圳证券交易所交易异常情况处理实施细则(试行)》
    • 《上海证券交易所交易异常情况处理实施细则(试行)》
  • ...
slide41

信息安全相关地方法规、规章和行业规定

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全法律法规政策

信息安全

相关政策

知识域

知识体

知识子域

slide42
知识域:信息安全相关法规
  • 知识子域: 国外信息安全相关法规简介
    • 了解美国信息安全相关法规概况
slide43
国外信息安全法律法规简介
  • 国外信息安全法律法规简介(以美国为例)
    • 《信息自由法》(Freedom of Information Act of 1966,FOIA)
    • 《爱国者法》(USA Patriot of Act of 2001)
    • 《联邦信息安全管理法案》(Federal Information Security Management Act of 2002, FISMA)
      • 属于《电子政务法》(the E-Government Act of 2002)的第三部分
    • 《公众公司会计改革与投资者保护法》,又名《萨班斯-奥克斯利法》(Sarbanes-Oxley Act of 2002)
  • 国内外信息安全法治体系的差距分析
    • 体系性
    • 广度
    • 深度
    • ...
slide44
《信息自由法》《爱国者法》
  • 《信息自由法》
    • 美国对政府信息进行立法保护的首要原则是向公众公开原则(也叫信息公开原则),是构成其他信息安全保护法律的基础
    • 该法案主要是保障公民的个人自由,但也需要保障国家的安全,因此,该法利用“例外”的立法方式,将需要保护的信息加以列举
  • 《爱国者法》
    • 是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律,也是目前争议最大的一部法律。
    • 从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动,使美国人民能够生活在安全的环境中。
    • 由于该法赋予联邦政府的权力过大,引起美国国内民权人士的担忧,并产生诉案。
      • 该法还对美国现有的十几部法律做出了修改
      • 政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查
slide45
《联邦信息安全管理法案》《电子政务法》《公众公司会计改革与投资者保护法》《联邦信息安全管理法案》《电子政务法》《公众公司会计改革与投资者保护法》
  • 《联邦信息安全管理法案》
    • 给出了“信息安全”的定义
    • 对国家信息安全管理职责的授权
      • 国家标准与技术局(NIST)为联邦政府使用的系统制定安全标准与指南
      • 管理与预算办公室(OMB)主任对安全政策、原则、标准、指南等的制定、执行(包括遵守)情况进行监督
  • 《电子政务法》
    • 该法对联邦政府信息技术管理和规划的每一个方面,从危机管理到电子档案及查询索引都做了规定
  • 《公众公司会计改革与投资者保护法》
    • 主要目的是加强对上市公司内部金融信息的监管,以维护金融市场的秩序和安全。
    • 该法案要求公众公司保证其内部金融控制的准确性,规定由证券交易委员会(SEC)制定规则,强制要求公众公司年度报告中包含内部控制报告及其评价,并要求会计师事务所对公司管理层做出的评价出具鉴定报告。
slide46

信息安全相关地方法规、规章和行业规定

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全法律法规政策

信息安全

相关政策

知识域

知识体

知识子域

slide47
知识域:信息安全相关政策
  • 知识子域:国家信息安全保障总体情况
    • 掌握国家有关政策对信息安全保障工作的总体方针和要求
    • 掌握国家有关政策规定的加强信息安全保障工作主要原则
    • 掌握国家有关政策规定需要重点加强的信息安全保障工作
2003 27
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
  • 意义
    • 标志着我国信息安全保障工作有了总体纲领
    • 提出要在5年内建设中国信息安全保障体系
  • 总体方针和要求
    • 坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
  • 主要原则
    • 立足国情,以我为主,坚持技术与管理并重;
    • 正确处理安全和发展的关系,以安全保发展,在发展中求安全;
    • 统筹规划,突出重点,强化基础工作;
    • 明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
2003 271
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
  • 主要任务(重点加强的安全保障工作)
    • 实行信息安全等级保护
    • 加强以密码技术为基础的信息保护和网络信任体系建设
    • 建设和完善信息安全监控体系
    • 重视信息安全应急处理工作
    • 加强信息安全技术研究开发,推进信息安全产业发展
    • 加强信息安全法制建设和标准化建设
    • 加快信息安全人才培养,增强全民信息安全意识
    • 保证信息安全资金
    • 加强对信息安全保障工作的领导,建立健全信息安全管理责任制

十一五:试点十二五:普及推广

slide50
我国信息安全政策的初步成效、后续展望
  • 初步成效
    • 依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求、工作原则和重点工作内容
    • 围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的信息安全政策(风险评估、等级保护、电子政务类、应急预案等)
    • 其他领域:灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等
  • 后续展望
    • “十一五”期间发布的各项政策均将进入落实期
    • 由电子政务领域向其他领域拓展
    • 尽快形成“统一的”信息安全服务资质管理体制
      • 基于信息安全服务类的标准(政策带动标准,标准支撑政策)
      • 统一安全服务行业的企业资质和人员资质
    • 由“狭义信息安全”向“广义信息安全”延伸
      • IT服务(外包)的信息安全保障
      • 新技术、新应用下的信息安全保障

十一五:试点十二五:普及推广

slide51

信息安全相关地方法规、规章和行业规定

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全法律法规政策

信息安全

相关政策

知识域

知识体

知识子域

slide52
知识域:信息安全相关政策
  • 知识子域:信息安全相关国家政策
    • 了解信息安全相关国家政策,掌握风险评估等涉及信息安全的相关内容
    • 掌握信息安全等级保护政策体系,熟悉信息安全等级保护相关政策
2006 5
关于开展信息安全风险评估工作的意见(国信办[2006]5号)关于开展信息安全风险评估工作的意见(国信办[2006]5号)
  • 信息安全风险评估(基于风险管理)
    • 系统分析网络与信息系统所面临的威胁及其存在的脆弱性
    • 评估安全事件一旦发生可能造成的危害程度
    • 提出有针对性的抵御威胁的防护对策和整改措施
  • 基本工作要求
    • 应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维)
    • 定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估
  • 相关保障
    • 参照标准:《信息安全风险评估规范》(GB/T 20984-2007)、

《信息安全风险管理指南》 (GB/Z 24364-2009)

    • 服务资质(对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务,要由国家专控的队伍来承担)
2008 17
关于加强政府信息系统安全和保密管理工作的通知(国办发[2008]17号)关于加强政府信息系统安全和保密管理工作的通知(国办发[2008]17号)
  • 明确职责
    • 把信息安全和保密工作列入重要议事日程,明确一名主管领导
    • 谁主管谁负责、谁运行谁负责、谁使用谁负责
  • 强化人员培训
    • 组织信息安全和保密基本技能培训,开展信息安全和保密形势分析
    • 深入学习宣传信息安全“五禁止”规定
  • 完善安全措施和手段
    • 管理制度+技术手段
  • 加强信息安全检查
    • 详见《政府信息系统安全检查办法》
2008 168
关于印发国家网络与信息安全事件应急预案的通知(国办函[2008]168号)关于印发国家网络与信息安全事件应急预案的通知(国办函[2008]168号)
  • 背景
    • 2003年:国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》
    • 2006年:《国家突发公共事件总体应急预案》(4大类公共事件)

《国家网络与信息安全事件应急预案》

    • 2007年:制定发布《国家突发事件应对法》
  • 预案要点
    • 网络与信息安全事件的分类分级
      • 参照标准:《信息安全事件分类分级指南》(GB/Z 20986)
    • 应急流程:预防预警—应急处置—后期处置
      • 参照标准:《信息安全事件管理指南》(GB/Z 20985)
    • 组织体系和应急保障
      • 应急队伍、经费、物资、通信、科技。。。
  • 监督管理
    • 宣传教育、培训、演练、责任与奖惩
2008 2071
关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)
  • 依据和目的
    • 《国家电子政务工程建设项目管理暂行办法》---国家发改委令[2007]第55号
    • 三部委联合发文:发改委、公安部、保密局
    • 将“信息安全风险评估”作为项目验收的重要内容(按要求提交一系列文档)
  • 风险评估的主要内容
    • 分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等
  • 两类信息系统的工作开展
    • 涉密信息系统参照“分级保护”,进行系统测评并履行审批手续
    • 非涉密信息系统参照“等级保护”,完成等级测评和风险评估工作,并形成相关报告
  • 相关要点
    • 对信息安全风险评估机构的指定(1家+3家)
    • 信息安全风险评估经费计入该项目总投资
    • 投入运行后,应定期开展信息安全风险评估
2009 28
关于印发政府信息系统安全检查办法的通知(国办发[2009]28号)关于印发政府信息系统安全检查办法的通知(国办发[2009]28号)
  • 依据
    • 《关于加强政府信息系统安全和保密管理工作的通知》(国办发[2008]17号)
  • 检查范围和检查重点
    • 各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等,每半年要进行一次全面的安全检查。
    • 国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站,要作为检查重点。
  • 检查方式
    • 各单位自查 + 统一组织抽查 + 安全检测(按需)
    • 工信部负责协调、指导、监督,公安/安全/保密/密码等部门按职责分工
    • 《2009年度政府信息系统安全检查指南》(工信部协[2009]168号)
    • 《2010年度政府信息系统安全检查指南》(工信部协[2010]143号)
slide58
政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序(暂行)政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序(暂行)
  • 工业和信息化部公告(2011年第21号)
    • 鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务机构申请信息安全管理体系认证时,应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。
    • 鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
    • 服务机构申请信息安全管理体系认证(含再认证)时,应经工业和信息化部安全审查同意。
    • 工业和信息化部负责安全审查的管理工作,包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。

附表1:政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表附表2:政府部门信息技术外包服务机构信息安全管理体系认证情况备案表

2011 451
关于加强工业控制系统信息安全管理的通知(工信部协[2011]451号)关于加强工业控制系统信息安全管理的通知(工信部协[2011]451号)
  • 工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为切实加强工业控制系统信息安全管理,经国务院同意,现就有关事项通知如下:
    • 充分认识加强工业控制系统信息安全管理的重要性和紧迫性
    • 明确重点领域工业控制系统信息安全管理要求
    • 建立工业控制系统安全测评检查和漏洞发布制度
    • 进一步加强工业控制系统信息安全工作的组织领导
slide60
知识域:信息安全相关政策
  • 知识子域:信息安全相关国家政策
    • 了解信息安全相关国家政策,掌握风险评估等涉及信息安全的相关内容
    • 掌握信息安全等级保护政策体系,熟悉信息安全等级保护相关政策
slide61
等级保护
  • 《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令)
    • 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
  • GB 17859-1999《计算机信息系统安全保护等级划分准则》
    • 第一级:用户自主保护级;
    • 第二级:系统审计保护级;
    • 第三级:安全标记保护级;
    • 第四级:结构化保护级;
    • 第五级:访问验证保护级;
2004 66
关于信息安全等级保护工作的实施意见(公字通[2004]66号)关于信息安全等级保护工作的实施意见(公字通[2004]66号)
  • 信息和信息系统的安全保护等级(及其适用范围)
    • 第一级为自主保护级
    • 第二级为指导保护级
    • 第三级为监督保护级
    • 第四级为强制保护级
    • 第五级为专控保护级
  • 定级依据
    • 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度
  • 实施要求
    • 完善标准,分类指导(管理规范和技术标准)
    • 科学定级,严格备案(专家评审委员会。三级以上系统备案)
    • 建设整改,落实措施(信息系统:已有、新建、改建、扩建)
    • 自查自纠,落实要求(运营、 使用单位及其主管部门)
    • 建立制度,加强管理(运营、 使用单位及其主管部门)
    • 监督检查,完善保护(公安机关重点对第三、第四级系统)
2007 43
关于印发<信息安全等级保护管理办法>的通知(公字通[2007]43号)关于印发<信息安全等级保护管理办法>的通知(公字通[2007]43号)
  • 《通知》是政策,《管理办法》属于部门规章
    • 四部委联合发文:公安部、保密局、密码管理局、原国信办
    • 国家信息安全等级保护坚持“自主定级、自主保护”的原则
    • 信息系统的安全保护等级分为五级
  • 实施与管理
    • 具体实施等级保护工作参照标准:《信息系统安全等级保护实施指南》
    • 确定安全保护等级参照标准:《信息系统安全等级保护定级指南》
    • 系统建设参照标准:《信息系统安全等级保护基本要求》等
    • 等级测评参照标准:《信息系统安全等级保护测评要求》
    • 二级以上系统的备案要求(由公安机关颁发备案证明)
    • 三级以上系统的定期自查、测评和检查要求
    • 三级以上系统的信息安全产品选择使用要求
    • 三级以上系统等级保护测评机构的选择要求
  • 涉密信息系统按分级保护管理(略)
  • 对信息安全等级保护的密码实行分类分级管理(略)
2007 861
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
  • 背景
    • 根据国家网络与信息安全协调小组2007年的工作部署, 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作
  • 定级范围
    • 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
    • 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;
    • 市(地)级以上党政机关的重要网站和办公信息系统;
    • 涉及国家秘密的信息系统(涉密信息系统)。
  • 工作内容
    • 摸底调查、确定等级(等级报告)、评审与审批、备案及管理(备案表)
2009 1429
关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
  • 工作目标
    • 力争在2012年底前完成已定级信息系统(不含涉密信息系统)安全建设整改工作
  • 工作内容
    • 开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平
    • 开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力
    • 开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求
    • 《信息安全等级保护安全建设整改工作指南》
    • 参照标准:《信息系统安全等级保护基本要求》
    • 信息系统安全建设整改工作基本流程(管理建设、技术建设)
    • 信息安全等级保护主要标准简要说明及相互间的关系(基础类、应用类、产品类和其他类)
2010 303
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号)关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号)
  • 工作目标
    • 提高测评机构能力,规范测评活动,确保信息安全等级保护安全建设整改工作顺利进行
  • 工作内容
    • 积极稳妥地推动等级测评机构建设
    • 确保测评机构的水平和能力符合测评工作要求
    • 督促备案单位开展信息系统等级测评工作
    • 《信息安全等级保护测评工作管理规范(试行)》
    • 《信息系统安全等级测评报告模版(试行)》
    • 另有政策:公信安[2009]1487号
slide68
其他一些信息安全相关国家政策
    • 《关于加强国家重要信息系统灾难备份工作的意见》(信安通[2004]11号)
    • 《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号)
    • 《关于进一步加强政府网站安全保障工作的通知》(国办秘函[2010]5号)
  • 《中国云计算安全政策与法律蓝皮书(2011)》
slide69

信息安全相关地方法规、规章和行业规定

国外信息安全相关政策简介

国家信息安全法治总体情况

国家信息安全保障总体情况

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

信息安全相关国家政策

信息安全相关国家法律

课程内容(1)

信息安全

相关法规

信息安全法律法规政策

信息安全

相关政策

知识域

知识体

知识子域

slide70
知识域:信息安全相关政策
  • 知识子域:国外信息安全相关政策简介
    • 了解美国信息安全相关政策概况
slide71
国外信息安全政策简介
  • 国外信息安全国家政策简介(以美国为例)
    • 克林顿政府
      • IATF V1.0(1998年) V3.1(2002年) V4.0(Now)
      • 2000年:《总统国家安全战略报告》(首次将信息安全列入)
    • 布什政府
      • 911之后,成立本土安全部(国土安全部)、国家KIP委员会
      • 2002年:《国家保障数字空间安全策略》、《国家安全战略报告》
      • 2003年:《网络空间安全国家战略计划》
    • 奥巴马政府
      • 上任之初:60天信息安全评估项目
      • 2009年:《美国网络安全评估》
      • 2010年:网络战司令部正式运行
  • 国内外信息安全国家政策的差距分析
    • 体系性和持续性、关注重点、执行力度...
slide72
奥巴马政府的新举措
  • 上台不久就亲自主导了一个60天的信息安全评估项目,2009年5月公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,并提出行动计划(最高层领导、数字化能力、安全责任、信息共享和事件反应机制5大方面)。
  • 成立了网络安全办公室,任命了“网络沙皇”为网络安全协调官。参议院向国会提交了《网络安全法》议案。
  • 2010年6月,美国国防部正式成立了由战略司令部领导的网络战司令部(主要进行数字战争,防护针对美军计算机网络的安全威胁)。司令部将于2010年10月正式运行。
  • 促使政府对外公布《国家网络安全综合计划》(即信息安全曼哈顿计划)的概要,实行政策透明,以获得民众对政策的理解。
slide73

安全技术评估标准发展历史

信息安全标准化概念

信息安全标准化组织

信息安全国家标准

信息安全国外标准

信息技术安全性评估准则

课程内容(2)

信息安全

标准化概述

信息安全

相关标准

信息安全

标准

信息安全

评估标准

知识体

知识域

知识子域

slide74
知识域:安全标准化概述
  • 知识子域:信息安全标准化概念
    • 了解标准和标准化的基本概念和作用
slide75
标准和标准化相关基本概念
  • 标准
    • 为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。
  • 标准化(GB/T 20000.1-2002)
    • 为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动。
  • 国际标准
    • 由国际标准化组织或国际标准组织通过并公开发布的标准
  • 国家标准
    • 由国家标准机构通过并公开发布的标准
  • 国际标准化组织(ISO)
    • 其成员资格向每个国家的有关国家机构开放的标准化组织
  • 国家标准机构
    • 在国家层面上承认的,有资格成为相应的国际和区域标准组织的国家成员的标准机构(中国国家标准化管理委员会)
slide76
标准化的特点、原则;标准的作用

特点

  • 标准化的对象:共同的、可重复的事物
  • 标准化的动态性
  • 标准化的相对性
  • 标准化的效益

原则

  • 简化
  • 统一
  • 协调
  • 优化

作用

  • 标准是进行贸易的基本条件
  • 标准能够提高企业的经济效益
  • 标准能够提高国民经济效益

标准能打破技术壁垒,标准也能成为新的技术壁垒

slide77
我国国家标准的代码
  • GB 强制性国家标准
  • GB/T 推荐性国家标准
  • GB/Z 国家标准化指导性技术文件
slide78

安全技术评估标准发展历史

信息安全标准化概念

信息安全标准化组织

信息安全国家标准

信息安全国外标准

信息技术安全性评估准则

课程内容(2)

信息安全

标准化概述

信息安全

相关标准

信息安全

标准

信息安全

评估标准

知识体

知识域

知识子域

slide79
知识域:信息安全标准化概述
  • 知识子域:信息安全标准化组织
    • 了解国际信息安全标准化组织及其工作
    • 了解国外典型国家信息安全标准化组织及其工作
    • 熟悉我国信息安全标准化组织及其工作
slide80
国际信息安全标准化组织
  • ISO/IEC JTC1 SC27
    • 信息技术 安全技术

国际标准提案《ISMS审核指南》

国际标准《信息安全事件管理》合作编辑

安全评估准则工作组

信息安全管理体系工作组

国际标准提案《三元实体鉴别》

安全控制与服务工作组

身份管理与隐私技术工作组

密码与安全机制工作组

国际标准提案《基于三元实体鉴别的访问控制方法》

slide81
美国标准化组织
  • ANSI
    • NCITS-T4 制定IT安全技术标准
    • X9 制定金融业务标准
    • X12 制定商业交易标准 (EDI)
  • NIST
    • 负责联邦政府非密敏感信息
    • FIPS
  • DOD
    • 负责涉密信息
    • NSA
    • 国防部指令(DODDI)(如TCSEC)
  • IEEE
    • SILS
    • P1363
slide82
我国标准化组织
  • 1984年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会
  • 2002年4月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术委员会(信安标委,TC260),由国家标准委直接领导,对口ISO/IEC JTC1 SC27;秘书处设在中国电子技术标准化研究所;委员会由30多个部门和单位的49名领导和专家组成
  • 目前共有工作组成员单位165家,其中企业120家
  • 国标委高新函[2004]1号文决定,自2004年1月起,各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调一致后由信息安全标委会组织申报;在国家标准制定过程中,标准工作组或主要起草单位要与信息安全标委会积极合作,并由信息安全标委会完成国家标准送审、报批工作。
tc260
TC260各部门的职责
  • 秘书处:是委员会的常设办事机构,负责委员会的日常事务工作
  • 信息安全标准体系与协调工作组(WG1):研究信息安全标准体系、需求;跟踪国际标准发展动态;提出新工作项目及设立新工作组的建议;协调各工作组项目
  • 涉密信息系统安全保密标准工作组(WG2):研究提出涉密信息系统安全保密标准体系;制定涉密保密相关标准
  • 密码技术标准工作组(WG3):研究提出商用密码技术标准体系;制定商用密码相关标准
  • 鉴别与授权工作组(WG4):研究提出鉴别与授权标准体系;制定鉴别与授权相关标准
  • 信息安全评估工作组(WG5):研究提出测评标准体系;制定测评相关标准
  • 通信安全标准工作组(WG6):研究提出通信安全标准体系;制定通信安全相关标准
  • 信息安全管理工作组( WG7):研究提出信息安全管理标准体系;制定信息安全管理相关标准
slide84

信息安全国外标准

安全技术评估标准发展历史

信息安全标准化概念

信息安全标准化组织

信息安全国家标准

信息技术安全性评估准则

课程内容(2)

信息安全

标准化概述

信息安全

相关标准

信息安全

标准

信息安全

评估标准

知识体

知识域

知识子域

slide85
知识域:信息安全相关标准
  • 知识子域:信息安全国家标准
    • 了解我国信息安全标准体系框架
    • 掌握信息安全等级保护标准体系,熟悉信息安全等级保护相关标准
slide86
信息安全标准体系
  • 信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准制订/修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学化合理化的手段;是一幅现有、应有和预计制定的信息安全标准的蓝图,并随着科学技术的发展不断地完善和更新。
slide87
我国信息安全标准体系框架
  • 我国信息安全标准体系,是在总结各工作组对本领域标准体系研究成果的基础上形成的,是全国安全标准化技术委员会各工作组共同的工作成果。
  • 是在跟踪分析了国际信息安全标准的发展动态和国内信息安全标准需求的基础上,提出的标准体系框架和标准体系表。
  • 我国信息安全技术标准从总体上划分为六大类,每类按照标准所涉及的主要内容细分若干小类。
slide88
知识域:信息安全相关标准
  • 知识子域:信息安全国家标准
    • 了解我国信息安全标准体系框架
    • 掌握信息安全等级保护标准体系,熟悉信息安全等级保护相关标准
slide89

slide90
十大标准
  • 基础类
    • 《计算机信息系统安全保护等级划分准则》GB 17859-1999
    • 《信息系统安全等级保护实施指南》GB/T 25058-2010
  • 应用类
    • 定级:《信息系统安全保护等级定级指南》GB/T 22240-2008
    • 建设:《信息系统安全等级保护基本要求》GB/T 22239-2008

《信息系统通用安全技术要求》GB/T 20271-2006

《信息系统等级保护安全设计技术要求》GB/T 25070-2010

    • 测评:《信息系统安全等级保护测评要求》 GB/T 28448-2012

《信息系统安全等级保护测评过程指南》 GB/T 28449-2012

    • 管理:《信息系统安全管理要求》GB/T 20269-2006

《信息系统安全工程管理要求》GB/T 20282-2006

slide91
其它相关标准
  • 技术类
    • GB/T 21052-2007 信息安全技术信息系统物理安全技术要求
    • GB/T 20270-2006 信息安全技术网络基础安全技术要求
    • GB/T 20272-2006 信息安全技术操作系统安全技术要求
    • GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求
    • 其他信息产品、信息安全产品相关标准...
  • 其他类
    • GB/T 20984-2007 信息安全技术信息安全风险评估规范
    • GB/Z 24364-2009信息安全技术信息安全风险管理指南
    • GB/T 24363-2009信息安全技术信息安全应急响应计划规范
    • GB/Z 20285-2007 信息安全技术信息安全事件管理指南
    • GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南
    • GB/T 20988-2007 信息安全技术信息系统灾难恢复规范
gb t 22240 2008
定级指南--GB/T 22240-2008

等级保护定级方法

业务信息安全

信息系统安全

系统服务安全

保护对象

受侵害的客体

客体:

社会关系

一般流程

对客体的侵害程度

1、确定定级对象(系统边界)

等级确定

2、确定业务信息安全受到破坏时所侵害的客体

5、确定系统服务安全受到破坏时所侵害的客体

3、综合评定对客体的侵害程度

6、综合评定对客体的侵害程度

4、业务信息安全等级

7、系统服务安全等级

8、定级对象的安全保护等级

8=MAX(4,7)

gb t 25058 2010
实施指南--GB/T 25058-2010

国家管理部门(4家)

信息系统定级

信息系统主管部门

总体安全规划

等级变更

信息系统运营、使用单位

安全设计与实施

信息安全服务机构

局部调整

安全运行维护

信息安全等级测评机构

信息系统终止

信息安全产品供应商

gb t 28449 2012
测评过程指南 - GB/T 28449-2012

项目启动、信息收集和分析、工具和表单准备

测评准备

文档

测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发、测评方案编制

方案编制

现场测评准备(一般包括:访谈、文档审查、配置检查、工具测试和实地察看)、现场测评和结果记录、结果确认和资料归还

R&R

现场测评

分析与报告编制

单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制

slide97

信息安全国外标准

安全技术评估标准发展历史

信息安全标准化概念

信息安全标准化组织

信息安全国家标准

信息技术安全性评估准则

课程内容(2)

信息安全

标准化概述

信息安全

相关标准

信息安全

标准

信息安全

评估标准

知识体

知识域

知识子域

slide98
知识域:信息安全相关标准
  • 知识子域:信息安全国外标准
    • 了解国际信息安全标准体系
    • 了解国外典型国家信息安全标准体系
    • 了解与自身工作密切相关的信息安全国际标准
slide99
国际信息安全标准体系框架

国际信息安全标准体系

信息安全管理体系标准

密码技术与安全机制标准

安全评价准则标准

安全控制与服务标准

身份管理与隐私保护技术标准

身份管理相关标准

词汇标准

为实现保密性、完整性和可用性而开发的各种安全机制标准

安全评价标准

针对潜在/显现信息安全问题的标准

ISO 27000

ISO 24760

ISO 15408

ISO 18045

...

ISO 27032

要求标准

生物识别相关标准

针对已知信息安全问题的标准

ISO 27001

ISO 27006

安全功能和保证规范

指南标准

ISO 29144

ISO 27033

ISO 27002

ISO 27003

隐私保护相关标准

ISO 19790

ISO 24759

...

针对信息安全违反和损害的标准

ISO 18033

ISO 19772

...

相关标准

ISO 29100

ISO 27037

slide100
国外典型国家信息安全标准体系框架
  •  美国国家标准和技术协会(NIST)从风险管理的各个阶段、环节的需要为出发点,开发了一系列的信息安全标准规范文件SP-800系列:

FIPS 200/

SP 800-53

SP 800-37/

SP 800-53A

起始点

FIPS 199/

SP 800-60

Security Control Monitoring

安全控制措施监视

Security Categorization

安全分类

Security Control Selection

安全控制措施选择

SP 800-53/

SP 800-30

SP 800-37

风险

管理

Security Authorization

安全授权

Security Control Refinement

安全控制措施改进

SP 800-53A

SP 800-70

SP 800-18

Security Control Assessment

安全控制措施评估

Security Control Implementation

安全控制措施实施

Security Control Documentation安全控制措施文档编制

iso 27000 sp 800
ISO 27000标准族、SP 800系列标准
  • ISO 27000标准族、SP 800系列标准介绍参见《CISP0301信息安全管理体系》。
  • ISO 27001标准的详细内容参见《CISP0301信息安全管理体系》。
  • ISO 27002标准的详细内容参见《CISP0303信息安全管基本措施》、 《CISP0304信息安全管重要管理过程》。
slide102

安全技术评估标准发展历史

信息安全标准化概念

信息安全标准化组织

信息安全国家标准

信息安全国外标准

信息技术安全性评估准则

课程内容(2)

信息安全

标准化概述

信息安全

相关标准

信息安全

标准

信息安全

评估标准

知识体

知识域

知识子域

slide103
知识域:信息安全评估标准
  • 安全技术评估标准发展历史
    • 了解安全技术评估标准发展过程
    • 理解GB/T18336《信息技术安全性评估准则》(CC)的特点
  • 信息技术安全性评估准则
    • 了解CC的结构
    • 理解CC的术语(TOE、PP、ST、EAL)和基本思想
    • 了解使用CC进行信息技术产品安全性评估的基本过程
    • 了解通用评估方法(CEM)
slide104
安全标准的发展

ITSEC

1991

CTCPEC

1993

CC 2.0

1998

CC 1.0

1996

CD

1997

FCD

1998

TCSEC

1985

FC

1992

ISO15408 2005

ISO15408 1999

GB 17859

1999

GB/T 18336 2001

GIB 2646

1996

GB/T 18336 2008

tcsec itsec
美国的安全评测标准(TCSEC)、欧洲的安全评测标准(ITSEC)美国的安全评测标准(TCSEC)、欧洲的安全评测标准(ITSEC)
  • 美国的安全评测标准(TCSEC)
    • 1970年由美国国防科学委员会提出。1985年公布。主要军用,延用至民用。
    • 安全级从高到低分A、B、C、D四级,级下再分小类(A1、B3、B2、B1、C2、C1、D)
    • 分级分类主要依据四个准则:安全策略、可控性、保证能力、文档
    • 局限性
  • 集中考虑数据保密性,而忽略了数据完整性、系统可用性等;
  • 将安全功能和安全保证混在一起
  • 安全功能规定得过为严格,不便于实际开发和测评
  • 欧洲的安全评测标准(ITSEC)
    • 以超越TCSEC为目的,将安全概念分为功能与功能评估两部分。
    • 功能分F1-F10共10级。1-5级对应于TCSEC的D到A。6-10级加上了以下概念:
      • F6:数据和程序的完整性 F7:系统可用性 F8:数据通信完整性 F9:数据通信保密性
      • F10:包括机密性和完整性的网络安全
    • 评估准则分为6级:E1~E6
    • 与TCSEC的不同
  • 安全被定义为保密性、完整性、可用性
  • 功能和质量/保证分开
  • 对产品和系统的评估都适用,提出评估对象(TOE)的概念
    • 产品:能够被集成在不同系统中的软件或硬件包;
    • 系统:具有一定用途、处于给定操作环境的特殊安全装置
ctcpec fc
加拿大的评测标准(CTCPEC)、美国联邦准则(FC)
  • 加拿大的评测标准(CTCPEC)
    • 1989年公布,专为政府需求而设计
    • 与ITSEC类似,将安全分为功能性需求和保证性需要两部分
    • 功能性要求分为四个大类:
      • a机密性 b完整性 c可用性 d可控性
      • 在每种安全需求下又分小类0-5级,表示安全性上的差别
  • 美国联邦准则(FC)
    • 对TCSEC的升级1992年12月公布
    • 引入了“保护轮廓(PP)”这一重要概念
    • 每个轮廓都包括功能部分、开发保证部分和评测部分
    • 分级方式与TCSEC不同,吸取了ITSEC、CTCPEC中的优点
    • 供美国政府用,民用和商用
slide107
通用准则(CC )
  • 国际标准化组织统一现有多种准则的努力结果;
  • 1999年正式成为国际标准ISO/IEC 15408;
  • 充分突出“保护轮廓”,将评估过程分“功能”和“保证”两部分;
  • CC 基于风险管理理论,对安全模型、安全概念和安全功能进行了全面系统描绘,强化了评估保证;
  • 是目前最全面的评价准则。
  • 国际上认同的表达IT安全的体系结构,一组规则集
  • 一种评估方法,其评估结果国际互认
  • 通用的表达方式,便于理解
  • 灵活的架构,可以定义自己的要求扩展CC要求
  • 通用评估方法(CEM)是CC标准出版后,为了在评估中应用CC而提供的一种通用方法。是与CC配套的文档。
slide108
知识域:信息安全评估标准
  • 安全技术评估标准发展历史
    • 了解安全技术评估标准发展过程
    • 理解GB/T18336《信息技术安全性评估准则》(CC)的优点
  • 信息技术安全性评估准则
    • 了解CC的结构
    • 理解CC的术语(TOE、PP、ST、EAL)和基本思想
    • 了解使用CC进行信息技术产品安全性评估的基本过程
    • 了解通用评估方法(CEM)
gb t 18336 iso 15408
GB/T 18336(ISO 15408)
  • GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》(idt ISO/IEC 15408:2005)
    • GB/T 18336.1-2008:简介和一般模型
    • GB/T 18336.2-2008:安全功能要求
    • GB/T 18336.3-2008:安全保证要求
  • 目标读者
    • TOE(评估对象)的客户
    • TOE的开发者
    • TOE的评估者
    • 其他
      • 系统管理员和系统安全管理员
      • 内部和外部审计员
      • 安全架构师和设计师
      • 认可者
      • 评估发起者
      • 评估管理机构
  • ISO 15408-1:2009
  • ISO 15408-2:2008
  • ISO 15408-3:2008
slide110
CC中的关键概念
  • 评估对象—TOE(Target of Evaluation):产品、系统、子系统
  • 保护轮廓—PP (Protection Profile) :表达一类产品或系统的用户需求;组合安全功能要求和安全保证要求;安全标准(示例:《包过滤防火墙安全技术要求》(GB 18019))
  • 安全目标—ST(Security Target):某一款产品对某一PP要求的具体实现;实用方案
  • 功能(Function):规范IT产品和系统的安全行为,应做的事
  • 保证(Assurance):对功能产生信心的方法
  • 组件(Component):安全要求不能再分的构件块
  • 包(Package):若干功能或保证要求的组合
  • 评估保证级—EAL(Evaluation Assurance Level):预定义的保证包;公认的广泛适用的一组保证要求;EAL1~EAL7
slide113
评估环境

评估准则

评估方法

评估方案

评估

批准/ 证明

证书/

注册

最终评估结果

slide114
评估流程图

PP评估

结果

已评估

的PP

评估PP

PP分类

ST评估

结果

评估ST

已评估

的TOE

评估TOE

TOE评估

结果

证书分类

slide115

CISP职业道德准则

计算机使用道德规范

因特网使用道德规范

信息安全从业人员基本道德规范

课程内容(3)

信息安全从业

人员道德规范

道德规范

通行道德规范

知识体

知识域

知识子域

slide116
知识域:信息安全从业人员道德规范
  • 知识子域:信息安全从业人员基本道德规范
    • 理解信息安全从业人员应遵守的道德规范
    • 知识子域:CISP职业道德准则
    • 理解《CISP职业道德准则》
slide117
信息安全从业人员基本道德规范
  • 荣誉和耻辱,是荣辱观中的一对基本范畴,是指社会对人们行为褒贬评价以及人们对这种评价的自我感受。
  • 胡锦涛总书记提出的以“八荣八耻”为核心的社会主义荣辱观,是对中华民族历久弥新的民族精神和传统美德的提炼和升华,具有很强的时代性和针对性。
      • 结合社会主义荣辱观理解信息安全从业人员应遵守的道德规范
slide118
CISP职业道德准则
  • 一、维护国家、社会和公众的信息安全
    • 1)自觉维护国家信息安全,拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为;
    • 2)自觉维护网络社会安全,拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为;
    • 3)自觉维护公众信息安全,拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为。
  • 二、诚实守信,遵纪守法
    • 1)不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为;
    • 2)不利用个人的信息安全技术能力实施或组织各种违法犯罪行为;
    • 3)不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。
slide119
CISP职业道德准则
  • 三、努力工作,尽职尽责
    • 1)热爱信息安全工作岗位,充分认识信息安全专业工作的责任和使命;
    • 2)为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献;
    • 3)帮助和指导信息安全同行提升信息安全保障知识和能力,为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助。
  • 四、发展自身,维护荣誉
    • 1)通过持续学习保持并提升自身的信息安全知识;
    • 2)利用日常工作、学术交流等各种方式保持和提升信息安全实践能力;
    • 3)以CISP身份为荣,积极参与各种证后活动,避免任何损害CISP声誉形象的行为。
slide120

CISP职业道德准则

计算机使用道德规范

因特网使用道德规范

信息安全从业人员基本道德规范

课程内容(3)

信息安全从业

人员道德规范

道德规范

通行道德规范

知识体

知识域

知识子域

slide121
知识域:通行道德规范
    • 知识子域:计算机使用道德规范
    • 了解作为计算机普通用户应当遵守的基本道德规范
  • 知识子域:因特网使用道德规范
    • 了解中国互联网协会《文明上网自律公约》的主要内容
slide122
计算机道德十戒
  • 计算机道德协会(Computer Ethics Institute)以圣经旧约(摩西十戒)的形式为计算机伦理规定了“十戒”
    • 不应使用计算机危害他人。
    • 不应干涉他人的计算机工作。
    • 不应窥探他人的计算机文件。
    • 不应使用计算机进行盗窃活动。
    • 不应使用计算机做伪证。
    • 不应拷贝或使用没有付费的版权所有软件。
    • 不应在未经授权或在没有适当补偿的情况下使用他人的计算机资源。
    • 不应挪用他人的智力成果。
    • 应该注意你编写的程序或设计的系统所造成的社会后果。
    • 使用计算机时应该总是考虑到他人并尊重他们。
slide123
中国互联网协会《文明上网自律公约》
  • 适用范围:互联网从业者(文明办网)、广大网民(文明上网)
  • 是作为提倡“八荣八耻”荣辱观的具体落实:
    • 自觉遵纪守法,倡导社会公德,促进绿色网络建设;
    • 提倡先进文化,摒弃消极颓废,促进网络文明健康;
    • 提倡自主创新,摒弃盗版剽窃,促进网络应用繁荣;
    • 提倡互相尊重,摒弃造谣诽谤,促进网络和谐共处;
    • 提倡诚实守信,摒弃弄虚作假,促进网络安全可信;
    • 提倡社会关爱,摒弃低俗沉迷,促进少年健康成长;
    • 提倡公平竞争,摒弃尔虞我诈,促进网络百花齐放;
    • 提倡人人受益,消除数字鸿沟,促进信息资源共享。