Download
1 / 124
1.24k likes | 1.49k Views
信息 安全法规、政策和 标准. 培训机构 培训讲师. 国外信息安全相关政策简介. 国家信息安全法治总体情况. 国家信息安 全 保障 总 体情况. 信 息 安 全相关行政法规和部门规章. 信 息安 全相关地方法规、规章和行业规定. 国外信息安全相关法规简介. 信 息安 全 相 关国家政策. 信 息安 全 相 关国家法律. 课程内容( 1 ). 信息安全 相关 法 规. 信息 安全 法规与政策. 信息安全 相关政 策. 知识域. 知识体. 知识子域. 安 全技术评估标准发展历史. 信 息安 全 标准化概念. 信 息安 全标准化组织.
E N D
信息安全法规、政策和标准 培训机构 培训讲师
国外信息安全相关政策简介 国家信息安全法治总体情况 国家信息安全保障总体情况 信息安全相关行政法规和部门规章 信息安全相关地方法规、规章和行业规定 国外信息安全相关法规简介 信息安全相关国家政策 信息安全相关国家法律 课程内容(1) 信息安全 相关法规 信息安全 法规与政策 信息安全 相关政策 知识域 知识体 知识子域
安全技术评估标准发展历史 信息安全标准化概念 信息安全标准化组织 信息安全国家标准 信息安全国外标准 信息技术安全性评估准则 课程内容(2) 信息安全 标准化概述 信息安全 相关标准 信息安全 标准 信息安全 评估标准 知识体 知识域 知识子域
CISP职业道德准则 计算机使用道德规范 因特网使用道德规范 信息安全从业人员基本道德规范 课程内容(3) 信息安全从业 人员道德规范 道德规范 通行道德规范 知识域 知识体 知识子域
信息安全相关地方法规、规章和行业规定 国外信息安全相关政策简介 国家信息安全法治总体情况 国家信息安全保障总体情况 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 信息安全相关国家政策 信息安全相关国家法律 课程内容(1) 信息安全 相关法规 信息安全法律法规政策 信息安全 相关政策 知识域 知识体 知识子域
知识域:信息安全相关法规 • 知识子域: 国家信息安全法治总体情况 • 了解信息安全法治建设的意义 • 了解我国信息安全法律法规体系框架
信息安全法治建设的意义 • 信息安全法律环境是信息安全保障体系中的必要环节 • 明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务 • 明确违反信息安全的行为,并对其行为进行相应的处罚等 • 信息安全不再只是个技术问题,而更多地是个商业和法律问题---安全漏洞、信息犯罪的本质? • 信息安全产业的逐渐形成和成熟,需要必要的规范 保护国家信息主权和社会公共利益是 信息安全立法的首要目标 狭义的信息安全广义的信息安全
我国信息安全法律法规体系框架 多级立法 宪法、刑法(部分条款) 国家安全法(部分条款) 保守国家秘密法 电子签名法 ... 计算机信息系统安全保护条例 互联网信息服务管理办法 商用密码管理条例 ... 北京市信息化促进条例、辽宁省计算机信息系统安全管理条例 ... 国务院各部委 公安部(安全专用产品等) 原信产部(互联网域名等) 国新办(互联网新闻信息服务) 保密局(保密等) ... 北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法...
我国信息安全法治建设的发展历程 通信保密安全 计算机系统 安全 网络信息系统安全 1994年 2000年 2003年 保守国家秘密法(1989) (2010年修订) 中央关于加强密码工作的决定 计算机信息系统安全保护条例(草案)-86 计算机信息系统安全保护条例(1994) 计算机信息系统安全专用产品检测和销售许可证管理办法-97 计算机信息网络国际联网安全保护管理办法-97 计算机信息系统保密管理暂行规定-98 商用密码管理条例-99 关于维护互联网安全 的决定(2000) 互联网信息服务管理办法 计算机病毒防治管理办法 计算机信息系统国际联网保密管理规定 -00 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
我国信息安全法治建设的初步成效、展望 • 初步成效 • 法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善 • 与信息安全相关的司法和行政管理体系迅速完善 • 法律少而规章等偏多,缺乏信息安全的基本法 • 法律法规的内容篇幅偏小,行为规范较简单 • 展望 • 需要一部信息安全的基本法《国家信息安全法》(或先出台《信息安全条例》) • 信息安全的基本原则与基本制度 • 信息安全的主要核心内容 • 进一步完善各领域的信息安全专门法 • 信息安全的监管模式和认证体系(面向信息安全各类主体和客体) • 信息安全常态管理(等级保护制度等) • 信息安全应急管理(预警、监测、通报和应急处理等) • 网络与信息系统全生命周期的信息安全 • 特定领域的信息安全 • ...
信息安全相关地方法规、规章和行业规定 国外信息安全相关政策简介 国家信息安全法治总体情况 国家信息安全保障总体情况 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 信息安全相关国家政策 信息安全相关国家法律 课程内容(1) 信息安全 相关法规 信息安全法律法规政策 信息安全 相关政策 知识域 知识体 知识子域
知识域:信息安全相关法规 • 知识子域: 信息安全相关国家法律 • 了解《中华人民共和国宪法》有关信息安全的内容 • 了解《中华人民共和国刑法》有关信息安全犯罪的规定 • 了解《中华人民共和国治安管理处罚法》有关信息安全的内容 • 掌握《中华人民共和国保守国家秘密法》的主要内容 • 掌握《全国人民代表大会常务委员会关于维护互联网安全的决定》的内容 • 理解《中华人民共和国电子签名法》的意义和作用 • 了解《中华人民共和国侵权责任法》有关信息安全的内容
《宪法》中的有关规定 • 《宪法》 第二章公民的基本权利和义务第40条 • 公民的通信自由和通信秘密受法律的保护。 • 除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。 法律
《刑法》中的有关规定(1) • 《刑法》 第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条 • 285条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。 • 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处以刑罚。 • 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处以刑罚。 • 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。 法律
《刑法》中的有关规定(2) • 《刑法》 第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条 • 286条:破坏计算机信息系统罪。 • 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处以刑罚。 • 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 • 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 • 287条:利用计算机实施犯罪的提示性规定。 • 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。 法律
《刑法》中的有关规定(3) • 《刑法》第四章 侵犯公民人身权利、民主权利罪 第253条:出售、非法提供公民个人信息罪;非法获取公民个人信息罪 • 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处以刑罚。 • 窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。 • 单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《治安管理处罚法》中的有关规定 • 《治安管理处罚法》 第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条 • 有下列行为之一的,处以治安管理处罚: • (一)违反国家规定,侵入计算机信息系统,造成危害的; • (二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的; • (三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的; • (四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。 • 《治安管理处罚法》 其他规定(与非法信息传等播相关):第42、47、68条 法律
《保守国家秘密法》(保密法 1) 法律 • 主旨(总则) • 目的:保守国家秘密,维护国家安全和利益。 • 国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。 • 国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。 • 国家保密行政管理部门主管全国的保密工作。 • 保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。 • 国家秘密的范围 • 国家事务、国防武装、外交外事、政党秘密 • 国民经济和社会发展、科学技术 • 维护国家安全的活动、经保密主管部门确定的事项等 • 国家秘密的密级 • 绝密---最重要的国家秘密,保密期限不超过30年; • 机密---重要的国家秘密,保密期限不超过20年; • 秘密---一般的国家秘密,保密期限不超过10年。
《保守国家秘密法》(保密法 2) 法律 • 法律责任(第48条人员处分及追究刑责) • (一)非法获取、持有国家秘密载体的; • (二)买卖、转送或者私自销毁国家秘密载体的; • (三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的; • (四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的; • (五)非法复制、记录、存储国家秘密的; • (六)在私人交往和通信中涉及国家秘密的; • (七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的; • (八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的; • (九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的; • (十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的; • (十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的; • (十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。 • 有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。
《全国人大关于维护互联网安全的决定》 • 背景 • 互联网日益广泛的应用,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。 • 互联网安全的范畴(法律约束力) • 互联网的运行安全(侵入、破坏性程序、攻击、中断服务等) • 国家安全和社会稳定(有害信息、窃取/泄露国家秘密、煽动、非法组织等) • 市场经济秩序和社会管理秩序(销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等) • 个人、法人和其他组织的人身、财产等合法权利(侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等) • 法律责任 • 构成犯罪的,依照刑法有关规定追究刑事责任 • 构成民事侵权的,依法承担民事责任 • 尚不构成犯罪的:治安管理处罚 / 行政处罚 / 行政处分或纪律处分 法律
《电子签名法》(1) 法律 • 意义 • 2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。 • 目的 • 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。 • 适用范围 • 民事活动中的合同或者其他文件、单证等文书。 • 电子签名和数据电文不适用的文书(国际惯例):涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。 • 监督管理 • 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。
《电子签名法》(2) 法律 • 电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务 • 电子认证服务应具备相适应的人员、资金、场所、技术和设备条件,以及国家密码管理机构同意使用密码的证明文件; • 应向国务院信息产业主管部门申请,后者依法审查并征求商务主管部门等有关部门的意见后,对予以许可的颁发电子认证许可证书,再持该证向工商部门办理企业登记,并将其电子认证业务规则,向国务院信息产业主管部门备案。 • 对电子认证服务提供者的其他要求 • 保证证书内容在有效期内完整、准确; • 拟暂停或者终止电子认证服务的要求; • 妥善保存与认证相关的信息,信息保存期限(至少为证书失效后五年)。 • 第四章 法律责任 • 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
《电子签名法》(3) • 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。 • 未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;并酌情罚款。 • 电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员酌情处以罚款。 • 电子认证服务提供者不遵守认证业务规则、未妥这善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。 • 伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。 • 依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
《侵权责任法》 • 目的:为保护民事主体的合法权益,明确侵权责任,预防并制裁侵权行为,促进社会和谐稳定,制定本法。 • 适用范围:侵害民事权益,应当依照本法承担侵权责任。(本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。) • 第四章 关于责任主体的特殊规定 第36条 网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。 • 网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。 • 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。 法律
信息安全相关地方法规、规章和行业规定 国外信息安全相关政策简介 国家信息安全法治总体情况 国家信息安全保障总体情况 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 信息安全相关国家政策 信息安全相关国家法律 课程内容(1) 信息安全 相关法规 信息安全法律法规政策 信息安全 相关政策 知识域 知识体 知识子域
知识域:信息安全相关法规 • 知识子域: 信息安全相关行政法规和部门规章 • 了解信息安全相关行政法规,掌握涉及信息安全的相关内容 • 了解信息安全相关部门规章,掌握涉及信息安全的相关内容
《计算机信息系统安全保护条例》 • 计算机信息系统 • 是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 • 安全保护 • 保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。 • 主管部门 • 公安部主管全国计算机信息系统安全保护工作(含安全监督职权)。 • 国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。 • 安全保护制度(要点) • 计算机信息系统实行安全等级保护。 • 使用单位应当建立健全安全管理制度。 • 安全专用产品(硬件、软件)的销售实行许可证制度。 行政法规
《商用密码管理条例》 • 商用密码 • 是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 • 商用密码技术属于国家秘密。 • 主管部门 • 国家密码管理委员会及其办公室主管全国的商用密码管理工作。 • 国家对商用密码产品的科研、生产、销售和使用实行专控管理。 • 管理要点 • 商密产品由国家密码管理机构分别指定单位进行科研、生产和检测。 • 商密产品销售单位应有国家密码管理机构颁发的《商用密码产品销售许可证》。 • 必须如实登记备案直接使用商用密码产品的用户信息和产品用途。 • 不得使用自行研制的或者境外生产的密码产品。 • 不得转让其使用的商用密码产品(含故障维修、报废销毁)。 行政法规
其它一些行政法规 行政法规 • 《中华人民共和国计算机信息网络国际联网管理暂行规定》 • 《中华人民共和国电信条例》 • 《互联网信息服务管理办法》 • 《互联网上网服务营业场所管理条例》 • 《信息网络传播权保护条例》 • ... 行政法规
《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机信息系统安全专用产品检测和销售许可证管理办法》 • 两个必须 • 安全专用产品的生产者在其产品进入市场销售之前, 必须申领《计算机信息系统安全专用产品销售许可证》。 • 安全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认定。 • 检测(机构) • 检测机构对产品(样品)的安全功能和性能进行检测。 • 检测机构应保守检测产品的技术秘密,并不得非法占有他人科技成果,不得从事与检测产品有关的开发和对外咨询业务。 • 销售许可证(主管部门) • 由公安部计算机管理监察部门颁发安全专用产品销售许可证(两年内有效)、“销售许可”标记(生产者应当在固定位置标明该标记)。 • 安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录, 由公安部计算机管理监察部门定期发布。 部门规章
《计算机信息系统保密管理暂行规定》 • 适用范围 • 适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。 • 主管部门 • 国家保密局主管全国计算机信息系统的保密工作。 • 管理要点 • 涉密系统---保密设施、保密措施、访问控制、数据保护等 • 涉密信息---密级标识、物理隔离等 • 涉密媒体---各类计算机媒体(含打印输出等) • 涉密场所---控制区、防电磁信息泄漏、其他物理安全等 • 系统管理---领导负责制、管理制度、保密检查、人员培训和考核等 部门规章
国家电子政务工程建设项目管理暂行办法 • 国家发改委令[2007]第55号 • 对国家电子政务工程建设项目有明确的信息安全要求 • 验收评价管理 • 项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。 • 运行管理 • 项目建设单位或其委托的专业机构应按照风险评估的相关规定, 对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。 • 项建书、可研报告、初步设计方案 • 在“项建和可研”的项目建设方案中应包含“安全系统建设方案” • 在“初设”的项目设计方案中应包含“安全系统设计” 部门规章
其他一些部门规章 • 公安部 • 《互联网安全保护技术措施规定》 • 《计算机病毒防治管理办法》 • 《信息安全等级保护管理办法》 • 《计算机信息网络国际联网安全保护管理办法》 • 《金融机构计算机信息系统安全保护工作暂行规定》(公安部、中国人民银行) • 原信息产业部 • 《信息系统工程监理暂行规定》 • 《电子认证服务管理办法》 • 《互联网电子邮件服务管理办法》 • 铁道部 • 《铁路计算机信息网络国际联网保密管理暂行规定》 • 《铁路计算机信息系统安全保护办法》
国家保密局 • 《中华人民共和国保守国家秘密法实施办法》 • 《科学技术保密规定》 • 《计算机信息系统国际联网保密管理规定》 • 《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》 • 《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》 • 国家密码管理局 • 《商用密码科研管理规定》,公告(第4号)2006年1月1日起施行 • 《商用密码产品生产管理规定》,公告(第5号)2006年1月1日起施行 • 《商用密码产品销售管理规定》,公告(第6号) 2006年1月1日起施行 • 《商用密码产品使用管理规定》,公告(第8号)2007年5月1日起施行 • 《电子认证服务密码管理办法》,公告(第17号)2009年10月28日公布,2009年12月1日起施行,原办法(公告第2号)同时废止
信息安全相关地方法规、规章和行业规定 国外信息安全相关政策简介 国家信息安全法治总体情况 国家信息安全保障总体情况 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 信息安全相关国家政策 信息安全相关国家法律 课程内容(1) 信息安全 相关法规 信息安全法律法规政策 信息安全 相关政策 知识域 知识体 知识子域
知识域:信息安全相关法规 • 知识子域: 信息安全相关地方法规、规章和行业规定 • 了解信息安全相关地方法规,掌握自身所在地方或密切相关地方涉及信息安全的相关内容 • 了解信息安全相关地方规章,掌握自身所在地方或密切相关地方涉及信息安全的相关内容 • 了解信息安全相关行业规定,掌握自身所在行业或密切相关行业涉及信息安全的相关内容
地方法规 • 《北京市信息化促进条例》( 2007年9月14日通过并公布,自2007年12月1日起施行) • 《澳门特区打击电脑犯罪法》(2009-06-26公布,2009-07-26生效) • 《辽宁省计算机信息系统安全管理条例》 • 《湖南省信息化条例》 • 《重庆市计算机信息系统安全保护条例》 • ...
地方规章 • 《北京市微博客发展管理若干规定》(2011年12月16日公布并施行) • 《北京市公共服务网络与信息系统安全管理规定》 • 《北京市党政机关计算机网络与信息安全管理办法》 • 《上海市公共信息系统安全测评管理办法》 • 《天津市公共计算机信息网络安全保护规定》 • 《黑龙江省计算机信息系统安全管理规定》 • 《辽宁省计算机信息保密管理规定》 • 《大连市人民政府公共信息网络管理暂行规定》 • 《四川省计算机信息系统安全保护管理办法》 • 《山西省计算机安全管理规定》 • 《山东省计算机信息系统安全管理办法》 • 《安徽省计算机信息系统安全保护办法》 • 《河南省计算机信息系统安全保护暂行办法》
地方规章 • 《广东省计算机信息系统安全保护管理规定》 • 《广东省电子政务信息安全管理暂行办法》 • 《广东省互联网上网服务营业场所管理办法》 • 《广东省计算机信息系统安全保护管理规定实施细则(试行) 》 • 《广东省通信短信息服务管理办法(试行) 》 • 《深圳经济特区计算机信息系统公共安全管理规定》 • 《福建省互联网上网服务营业场所管理规定》 • 《江苏省互联网网络与信息安全管理暂行规定》 • 《云南省网络与信息系统安全监察管理规定》 • 《江西省计算机信息系统安全保护办法》 • 《杭州市计算机信息系统安全保护管理办法》 • ...
行业规定 • 中国银监会 • 《电子银行业务管理办法》 • 《电子银行安全评估指引》 • 《银行业金融机构信息系统风险管理指引》 • 中国证监会 • 《网上证券委托暂行管理办法》 • 《证券期货业信息安全保障管理暂行办法》 • 《证券公司集中交易安全管理技术指引》 • 《期货公司信息公示管理规定》(自2009年11月16日起施行) • 《深圳证券交易所交易异常情况处理实施细则(试行)》 • 《上海证券交易所交易异常情况处理实施细则(试行)》 • ...
信息安全相关地方法规、规章和行业规定 国外信息安全相关政策简介 国家信息安全法治总体情况 国家信息安全保障总体情况 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 信息安全相关国家政策 信息安全相关国家法律 课程内容(1) 信息安全 相关法规 信息安全法律法规政策 信息安全 相关政策 知识域 知识体 知识子域
知识域:信息安全相关法规 • 知识子域: 国外信息安全相关法规简介 • 了解美国信息安全相关法规概况
国外信息安全法律法规简介 • 国外信息安全法律法规简介(以美国为例) • 《信息自由法》(Freedom of Information Act of 1966,FOIA) • 《爱国者法》(USA Patriot of Act of 2001) • 《联邦信息安全管理法案》(Federal Information Security Management Act of 2002, FISMA) • 属于《电子政务法》(the E-Government Act of 2002)的第三部分 • 《公众公司会计改革与投资者保护法》,又名《萨班斯-奥克斯利法》(Sarbanes-Oxley Act of 2002) • 国内外信息安全法治体系的差距分析 • 体系性 • 广度 • 深度 • ...
《信息自由法》《爱国者法》 • 《信息自由法》 • 美国对政府信息进行立法保护的首要原则是向公众公开原则(也叫信息公开原则),是构成其他信息安全保护法律的基础 • 该法案主要是保障公民的个人自由,但也需要保障国家的安全,因此,该法利用“例外”的立法方式,将需要保护的信息加以列举 • 《爱国者法》 • 是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律,也是目前争议最大的一部法律。 • 从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动,使美国人民能够生活在安全的环境中。 • 由于该法赋予联邦政府的权力过大,引起美国国内民权人士的担忧,并产生诉案。 • 该法还对美国现有的十几部法律做出了修改 • 政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查
《联邦信息安全管理法案》《电子政务法》《公众公司会计改革与投资者保护法》《联邦信息安全管理法案》《电子政务法》《公众公司会计改革与投资者保护法》 • 《联邦信息安全管理法案》 • 给出了“信息安全”的定义 • 对国家信息安全管理职责的授权 • 国家标准与技术局(NIST)为联邦政府使用的系统制定安全标准与指南 • 管理与预算办公室(OMB)主任对安全政策、原则、标准、指南等的制定、执行(包括遵守)情况进行监督 • 《电子政务法》 • 该法对联邦政府信息技术管理和规划的每一个方面,从危机管理到电子档案及查询索引都做了规定 • 《公众公司会计改革与投资者保护法》 • 主要目的是加强对上市公司内部金融信息的监管,以维护金融市场的秩序和安全。 • 该法案要求公众公司保证其内部金融控制的准确性,规定由证券交易委员会(SEC)制定规则,强制要求公众公司年度报告中包含内部控制报告及其评价,并要求会计师事务所对公司管理层做出的评价出具鉴定报告。
信息安全相关地方法规、规章和行业规定 国外信息安全相关政策简介 国家信息安全法治总体情况 国家信息安全保障总体情况 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 信息安全相关国家政策 信息安全相关国家法律 课程内容(1) 信息安全 相关法规 信息安全法律法规政策 信息安全 相关政策 知识域 知识体 知识子域
知识域:信息安全相关政策 • 知识子域:国家信息安全保障总体情况 • 掌握国家有关政策对信息安全保障工作的总体方针和要求 • 掌握国家有关政策规定的加强信息安全保障工作主要原则 • 掌握国家有关政策规定需要重点加强的信息安全保障工作
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) • 意义 • 标志着我国信息安全保障工作有了总体纲领 • 提出要在5年内建设中国信息安全保障体系 • 总体方针和要求 • 坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。 • 主要原则 • 立足国情,以我为主,坚持技术与管理并重; • 正确处理安全和发展的关系,以安全保发展,在发展中求安全; • 统筹规划,突出重点,强化基础工作; • 明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) • 主要任务(重点加强的安全保障工作) • 实行信息安全等级保护 • 加强以密码技术为基础的信息保护和网络信任体系建设 • 建设和完善信息安全监控体系 • 重视信息安全应急处理工作 • 加强信息安全技术研究开发,推进信息安全产业发展 • 加强信息安全法制建设和标准化建设 • 加快信息安全人才培养,增强全民信息安全意识 • 保证信息安全资金 • 加强对信息安全保障工作的领导,建立健全信息安全管理责任制 十一五:试点十二五:普及推广
我国信息安全政策的初步成效、后续展望 • 初步成效 • 依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求、工作原则和重点工作内容 • 围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的信息安全政策(风险评估、等级保护、电子政务类、应急预案等) • 其他领域:灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等 • 后续展望 • “十一五”期间发布的各项政策均将进入落实期 • 由电子政务领域向其他领域拓展 • 尽快形成“统一的”信息安全服务资质管理体制 • 基于信息安全服务类的标准(政策带动标准,标准支撑政策) • 统一安全服务行业的企业资质和人员资质 • 由“狭义信息安全”向“广义信息安全”延伸 • IT服务(外包)的信息安全保障 • 新技术、新应用下的信息安全保障 十一五:试点十二五:普及推广
