XXXX版-CISP0501信息安全法规、政策和标准_v30oyx.pptx

信息安全法规、政策和标准信息安全法规、政策和标准培训机构名称讲师姓名版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容（课程内容（1 1）信息安全信息安全法规与政策法规与政策知识体知识体知识域知识域信息安全信息安全法规法规知识子域知识子域我国信息安全法规体系框架我国信息安全法规体系框架信息安全信息安全政策政策信息安全相关国家法律信息安全相关国家法律信息安全相关行政法规和部门规章信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国外典型信息安全相关法规简介国家信息安全政策概况国家信息安全政策概况信息安全相关国家政策信息安全相关国家政策国外信息安全相关政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定信息安全相关地方法规、规章和行业规定课程内容（课程内容（2 2）3信息安全信息安全标准标准知识体知识体知识域知识域信息安全信息安全标准基础标准基础知识子域知识子域信息安全信息安全标准化组织标准化组织信息安全信息安全标准体系标准体系我国国家标准的类型和代码我国国家标准的类型和代码国际信息安全标准化组织国际信息安全标准化组织国外信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系我国信息安全标准体系国际信息安全标准体系国际信息安全标准体系基础标准基础标准密码技术标准密码技术标准信息安全等级保护标准体系信息安全等级保护标准体系管理标准管理标准标准化的特点和原则标准化的特点和原则标准的作用标准的作用我国信息安全我国信息安全典型标准介绍典型标准介绍技术与机制标准技术与机制标准保密技术标准保密技术标准测评标准测评标准课程内容（课程内容（3 3）4知识体知识体知识域知识域知识子域知识子域信息安全信息安全道德规范道德规范信息技术信息技术通行道德规范通行道德规范信息安全从业信息安全从业人员道德规范人员道德规范CISP职业道德准则职业道德准则计算机使用道德规范计算机使用道德规范互联网使用道德规范互联网使用道德规范信息安全从业人员基本道德规范信息安全从业人员基本道德规范知识域：信息安全法规知识域：信息安全法规v知识子域：我国信息安全法规体系框架了解信息安全法治建设的意义了解我国信息安全法律法规体系框架5信息安全法治建设的意义信息安全法治建设的意义v信息安全法律环境是信息安全保障体系中的必要环节v明确信息安全的基本原则和基本制度、信息安全事物中各方权利义务v明确违反信息安全的行为，并对其行为进行相应的处罚v信息安全不再只是个技术问题，而更多地是个商业和法律问题v信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范6我国的多级立法体系结构我国的多级立法体系结构7多级立法我国信息安全法律法规体系框架我国信息安全法律法规体系框架v在多级立法的体制下，我国已经先后颁布了一些包含信息安全相关内容的法律、法规、规章等8全国人大及其常委会国务院地方人大及常委会地方人民政府法律行政 法规地方性法规地方政府规章部门 规章宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法.计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例.公安部（安全专用产品等）原信产部（互联网域名等）国新办（互联网新闻信息服务）保密局（保密等）.国务院各部委北京市信息化促进条例、辽宁省计算机信息系统安全管理条例.北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法.国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）我国信息安全法治建设的发展历程我国信息安全法治建设的发展历程通信保密安全通信保密安全计算机系统计算机系统安全安全网络信息系统网络信息系统安全安全1994年2000年2003年保守国家秘密法保守国家秘密法（19891989）（20102010年修订）年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86计算机信息系统计算机信息系统 安全保护条例（安全保护条例（19941994）计算机信息系统安全专用产品检测和销售许可证管理办法-97 计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全关于维护互联网安全的决定（的决定（20002000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-009知识域：信息安全法规知识域：信息安全法规v知识子域：信息安全相关国家法律了解信息保护相关法律理解国家秘密的概念、基本范围和密级划分，以及保护国家秘密相关法律的要求 理解商业秘密的概念、基本范围，以及保护商业秘密相关法律的要求理解个人信息的概念、基本范围，以及保护个人信息相关法律的要求理解网络违法犯罪的概念，了解打击网络违法犯罪相关法律了解在保护国家秘密、维护公共安全、规范电子签名行为等方面，我国从法律层面明确的信息安全相关工作的主管/监管机构及其具体职权10我国信息安全法律我国信息安全法律分类分类v我国信息安全法律分类信息保护相关法律打击网络违法犯罪相关法律信息安全管理相关法律11信息保护相关法律信息保护相关法律v信息保护相关法律保护国家秘密相关法律保守国家秘密法、刑法、全国人民代表大会常务委员会关于维护互联网安全的决定等保护商业秘密相关法律反不正当竞争法、合同法、劳动法、刑事诉讼法、民事诉讼法等保护个人信息相关法律宪法、居民身份证法、护照法、民法通则、全国人民代表大会常务委员会关于维护互联网安全的决定、全国人民代表大会常务委员会关于加强网络信息保护的决定等12国家秘密国家秘密v国家秘密13国家安全和利益在一定时间内只限一定范围的人员知悉依照法定程序确定国家秘密的基本范围国家秘密的基本范围v主要包括产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项国家事务重大决策中的秘密事项国防建设和武装力量活动中的秘密事项外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项国民经济和社会发展中的秘密事项科学技术中的秘密事项维护国家安全活动和追查刑事犯罪中的秘密事项党政秘密中符合上述各项内容的事项其他经国家保密行政管理部门确定的秘密事项14国家秘密的保密期限国家秘密的保密期限v国家秘密的保密期限，除另有规定外绝密级不超过三十年机密级不超过二十年秘密级不超过十年v另有规定主要是指在保密事项范围中明确规定某类国家秘密事项保密期限为“长期”的情况这些国家秘密事项长期关系国家安全和利益，即使定为三十年的最长保密期限，也难以满足保密需求不能确定保密期限的国家秘密，应当确定解密条件15国家秘密的密级国家秘密的密级划分划分密级密级描述描述泄露后果泄露后果绝密最重要的国家秘密泄露会使国家安全和利益遭受特别严重的损害机密重要的国家秘密泄露会使国家安全和利益遭受严重的损害秘密一般的国家秘密泄露会使国家安全和利益遭受损害16保守国家秘密法保守国家秘密法v主旨（总则）主旨（总则）目的：保守国家秘密，维护国家安全和利益国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务国家保密行政管理部门主管全国的保密工作保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查v主要内容主要内容对我国国家秘密的定密程序、解密制度和保密期限等作出了明确规定明确了国家秘密相关的保密制度明确了国家秘密的监督管理部门明确了对危害国家秘密安全的行为要追究的法律责任法律17商业秘密商业秘密v商业秘密不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息技术信息类商业秘密未公开的设计、程序、产品配方、制作工艺等完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据针对技术问题的技术诀窍经营信息类商业秘密经营策略、产销策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息18保护商业秘密相关法律保护商业秘密相关法律（1 1）v反不正当竞争法认定了侵犯商业秘密的不正当竞争行为，并对经营者侵犯商业秘密的行为进行了禁止v合同法和劳动合同法有对商业秘密/技术秘密进行保护的条款v合同法技术合同的内容应包括“技术情报和资料的保密”相关条款技术秘密转让合同的让与人和受让人均应承担保密义务19保护商业秘密相关法律保护商业秘密相关法律（2 2）v劳动合同法用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项v刑事诉讼法涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理v民事诉讼法对涉及商业秘密的证据应当保密，需要在法庭出示的，不得在公开开庭时出示人民法院审理民事案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理20个人信息个人信息v个人信息有关一个可识别的自然人的任何信息姓名、职位、电话号码等可在适当范围内公开的信息健康体检报告、医疗记录、通话记录等不愿公开的个人隐私信息系统所特有的账号、口令等用于进行用户标识和身份鉴别的信息21宪法中的有关规定宪法中的有关规定v宪法宪法 第二章第二章 公民的基本权利和义务公民的基本权利和义务 第第4040条条公民的通信自由和通信秘密受法律的保护除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密法律22非法使用非法使用/滥用个人信息滥用个人信息v非法使用/滥用个人信息、侵犯个人隐私的行为未经他人同意，擅自公布他人的隐私材料以书面、口头形式宣扬他人隐私窃取或者以其他非法方式获取公民个人电子信息出售或者非法向他人提供公民个人电子信息网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息对在业务活动中经被收集者同意收集的公民个人电子信息没有采取必要的保密措施医疗机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料、健康体检报告等行为23打击网络违法犯罪相关法律打击网络违法犯罪相关法律v网络违法犯罪狭义指以计算机网络为违法犯罪对象而实施的危害网络空间的行为广义是以计算机网络为违法犯罪工具或者为违法犯罪对象而实施的危害网络空间的行为，应当包括违反国家规定，直接危害网络安全及网络正常秩序的各种违法/犯罪行为v相关法律关于维护互联网安全的决定治安管理处罚法刑法24网络违法网络违法/犯罪行为犯罪行为v网络违法/犯罪行为破坏互联网运行安全的行为破坏国家安全和社会稳定的行为破坏社会主义市场经济秩序和社会管理秩序的行为侵犯个人、法人和其他组织的人身、财产等合法权利的行为利用互联网实施以上四类所列行为以外的违法/犯罪行为25信息安全主管信息安全主管/监管机构（监管机构（1 1）v保护国家秘密中华人民共和国保守国家秘密法由国家保密行政管理部门主管全国的保密工作县级以上地方各级保密行政管理部门主管本行政区域的保密工作国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作中央国家机关在其职权范围内，管理或者指导本系统的保密工作国家保密行政管理部门的最高机构是国家保密局26信息安全主管信息安全主管/监管机构（监管机构（2 2）v维护公共安全人民警察法和治安管理处罚法公安部门负责全国的治安管理工作县级以上地方各级人民政府公安机关负责本行政区域内的治安管理工作27信息安全主管信息安全主管/监管机构（监管机构（3 3）v规范电子签名行为中华人民共和国电子签名法电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务；从事电子认证服务，应当向国务院信息产业主管部门提出申请工业和信息化部28知识域：信息安全法规知识域：信息安全法规v知识子域：信息安全相关行政法规和部门规章了解信息安全相关行政法规，掌握涉及信息安全的相关内容了解信息安全相关部门规章，掌握涉及信息安全的相关内容29信息安全相关行政法规信息安全相关行政法规v计算机信息系统安全保护条例v商用密码管理条例v其他中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国电信条例互联网信息服务管理办法互联网上网服务营业场所管理条例信息网络传播权保护条例 .30计算机信息系统安全保护条例计算机信息系统安全保护条例安全保护保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行主管部门公安部主管全国计算机信息系统安全保护工作（含安全监督职权）国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作安全保护制度计算机信息系统实行安全等级保护使用单位应当建立健全安全管理制度安全专用产品（硬件、软件）的销售实行许可证制度31v国务院令第147号，1994年2月18日发布施行商用密码管理条例商用密码管理条例商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品商用密码技术属于国家秘密主管部门国家密码管理委员会及其办公室主管全国的商用密码管理工作国家对商用密码产品的科研、生产、销售和使用实行专控管理管理要点商密产品销售单位应先获得商用密码产品销售许可证任何单位或者个人不得销售境外的密码产品不得使用自行研制的或者境外生产的密码产品不得转让其使用的商用密码产品（含故障维修、报废销毁）32v国务院令第273号，1999年10月7日发布施行信息安全相关部门规章信息安全相关部门规章v计算机信息系统安全专用产品检测和销售许可证管理办法 v计算机信息系统保密管理暂行规定v国家电子政务工程建设项目管理暂行办法33计算机信息系统安全专用产品计算机信息系统安全专用产品 检测和销售许可证管理办法检测和销售许可证管理办法两个必须安全专用产品在进入市场销售之前,必须申领计算机信息系统安全专用产品销售许可证申领销售许可证时,必须对产品进行安全功能检测和认定检测（机构）检测机构对产品（样品）的安全功能和性能进行检测检测机构应保守检测产品的技术秘密，并不得非法占有他人科技成果，不得从事与检测产品有关的开发和对外咨询业务销售许可证（主管部门）由公安部计算机管理监察部门颁发安全专用产品销售许可证（两年内有效）、“销售许可”标记安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录,由公安部计算机管理监察部门发布34v公安部令第32号，1997年12月12日施行计算机信息系统保密管理暂行规定计算机信息系统保密管理暂行规定适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统主管部门国家保密局主管全国计算机信息系统的保密工作管理要点涉密系统-保密设施、保密措施、访问控制、数据保护等涉密信息-密级标识、物理隔离等涉密媒体-各类计算机媒体（含打印输出等）涉密场所-控制区、防电磁信息泄漏、其他物理安全等系统管理-领导负责制、管理制度、保密检查、人员培训和考核等35v国家保密局,国保发19981号,1998年2月26日发布施行国家电子政务工程建设项目管理暂行国家电子政务工程建设项目管理暂行办法办法项目建议书、可行性研究报告、初步设计方案在“项建和可研”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”验收评价管理项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现36v国家发改委令2007第55号,2007年9月1日起施行知识域：信息安全法规知识域：信息安全法规v知识子域：信息安全相关地方法规、地方规章和行业规定了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容37地方法规地方法规v北京市信息化促进条例2007年9月14日公布，自2007年12月1日起施行适用于北京市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动v上海市公共信息系统安全测评管理办法2006年5月7日公布，2006年7月1日起施行适用于上海市行政区域内的公共信息系统安全测评管理活动，具体规定涉及测评的管理部门、责任制度、测评年度计划、新建系统的测评、测评机构、测评协议、测评要求、安全事项告知与协助义务、测评报告、安全整改，对测评机构违法行为的处理等方面v辽宁省计算机信息系统安全管理条例v重庆市计算机信息系统安全保护条例v.38地方规章地方规章v北京市微博客发展管理若干规定（2011年12月16日公布并施行）v北京市公共服务网络与信息系统安全管理规定v北京市党政机关计算机网络与信息安全管理办法v上海市公共信息系统安全测评管理办法v天津市公共计算机信息网络安全保护规定v黑龙江省计算机信息系统安全管理规定v辽宁省计算机信息保密管理规定v大连市人民政府公共信息网络管理暂行规定v四川省计算机信息系统安全保护管理办法v山西省计算机安全管理规定山东省计算机信息系统安全管理办法安徽省计算机信息系统安全保护办法河南省计算机信息系统安全保护暂行办法39地方规章地方规章v广东省计算机信息系统安全保护管理规定v广东省电子政务信息安全管理暂行办法v广东省互联网上网服务营业场所管理办法v广东省计算机信息系统安全保护管理规定实施细则（试行）v广东省通信短信息服务管理办法（试行）深圳经济特区计算机信息系统公共安全管理规定v福建省互联网上网服务营业场所管理规定v江苏省互联网网络与信息安全管理暂行规定v云南省网络与信息系统安全监察管理规定江西省计算机信息系统安全保护办法杭州市计算机信息系统安全保护管理办法.40行业规定行业规定41v中国银监会电子银行业务管理办法电子银行安全评估指引银行业金融机构信息系统风险管理指引v中国证监会网上证券委托暂行管理办法证券期货业信息安全保障管理暂行办法证券公司集中交易安全管理技术指引期货公司信息公示管理规定（自2009年11月16日起施行）深圳证券交易所交易异常情况处理实施细则（试行）上海证券交易所交易异常情况处理实施细则（试行）v.知识域：信息安全法规知识域：信息安全法规v知识子域：国外典型信息安全相关法规简介了解美国信息安全相关法规概况42国外信息安全法律法规简介国外信息安全法律法规简介v国外信息安全法律法规简介（以美国为例）信息自由法（Freedom of Information Act of 1966，FOIA）爱国者法（USA Patriot of Act of 2001）联邦信息安全管理法案（Federal Information Security Management Act of 2002，FISMA）公众公司会计改革与投资者保护法43信息自由法信息自由法v信息自由法美国对政府信息进行立法保护的首要原则是向公众公开原则（也叫信息公开原则），是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由，但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举44爱国者法爱国者法v爱国者法是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律，也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中由于该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉案该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行调查45联邦信息安全管理法案联邦信息安全管理法案v联邦信息安全管理法案对国家信息安全管理职责的授权国家标准与技术局（NIST）为联邦政府使用的系统制定安全标准与指南管理与预算办公室（OMB）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督属于电子政务法的第三部分,电子政务法该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定46公众公司会计改革与投资者保护法公众公司会计改革与投资者保护法v公众公司会计改革与投资者保护法又名萨班斯-奥克斯利法主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全该法案要求公众公司保证其内部金融控制的准确性，规定由证券交易委员会（SEC）制定规则，强制要求公众公司年度报告中包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴定报告47知识域：信息安全政策知识域：信息安全政策v知识子域：国家信息安全政策概况了解国家有关政策提出的加强信息安全保障工作的方针和总体要求理解国家有关政策规定的加强信息安全保障工作的主要原则理解国家有关政策规定的需要重点加强的信息安全保障工作48我国信息安全保障工作我国信息安全保障工作总体文件总体文件v国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号明确了我国信息安全保障工作的方针和总体要求加强信息安全保障工作的主要原则需要重点加强的信息安全保障工作27号文的发布具有重大意义它标志着我国信息安全保障工作有了总体纲领我国最近十余年的信息安全保障工作都是围绕此政策性文件来展开和推进的促进了我国信息安全保障建设的各项工作49国家信息化领导小组关于加强信息安全国家信息化领导小组关于加强信息安全保障工作的意见保障工作的意见v总体方针和要求坚持积极防御、综合防范的方针全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全v主要原则立足国情，以我为主，坚持技术与管理并重正确处理安全和发展的关系，以安全保发展，在发展中求安全统筹规划，突出重点，强化基础工作明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系50国家信息化领导小组关于加强信国家信息化领导小组关于加强信息安全保障工作的意见息安全保障工作的意见v主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制51我国信息安全政策的初步成效、后续展望我国信息安全政策的初步成效、后续展望v初步成效依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等v后续展望“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障52知识域：信息安全政策知识域：信息安全政策v知识子域：信息安全相关国家政策了解信息安全相关国家政策理解风险评估、保密管理、应急处理、安全检查和工控安全等涉及信息安全的相关内容理解信息安全等级保护政策体系，了解信息安全等级保护相关政策53信息安全相关的政策信息安全相关的政策v风险评估相关政策v保密管理相关政策v应急处理相关政策v安全检查相关政策v工控安全相关政策v等级保护相关政策v加强信息安全保障相关政策v物联网安全相关政策54关于开展信息安全风险评估工作的意见关于开展信息安全风险评估工作的意见（国信办（国信办2006520065号）号）v信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施v基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）信息安全风险评估分自评估、检查评估两形式,应以自评估为主，自评估和检查评估相互结合、互为补充v相关保障参照标准:信息安全风险评估规范（GB/T 20984-2007）、信息安全风险管理指南（GB/Z 24364-2009）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）55风险评估相关政策关于关于加强国家电子政务工程建设项目信息加强国家电子政务工程建设项目信息安全安全风险评估工作风险评估工作的通知的通知（发改高技发改高技2008207120082071号）号）v依据和目的国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号目的是为了贯彻落实中办发200327号文，加强基础信息网络和重要信息系统安全保障，加强和规范国家电子政务工程建设项目信息安全风险评估工作v风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等v两类信息系统的工作开展涉密信息系统参照“分级保护”非涉密信息系统参照“等级保护”v相关要点要求将“信息安全风险评估”作为电子政务项目验收的重要内容对信息安全风险评估机构的指定（1家+3家）投入运行后，应定期开展信息安全风险评估56风险评估相关政策关于加强政府信息系统安全和保密管关于加强政府信息系统安全和保密管理工作的通知（国办发理工作的通知（国办发200817200817号）号）v加强组织领导，明确安全责任把信息安全和保密工作列入重要议事日程，明确主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责v强化教育培训，提高安全意识和防护技能组织信息安全和保密基本技能培训深入学习宣传信息安全“五禁止”规定v建立健全安全管理制度，完善安全措施和手段管理制度+技术手段v做好信息安全检查工作，依法追究责任详见政府信息系统安全检查办法57保密管理相关政策关于印发国家网络与信息安全事件应急预关于印发国家网络与信息安全事件应急预案的通知（国办函案的通知（国办函20081682008168号）号）v背景2003年：国务院成立应急办，颁布了国家突发公共卫生事件应急条例2006年：国家突发公共事件总体应急预案（4大类公共事件）国家网络与信息安全事件应急预案2007年：制定发布国家突发事件应对法2008年，国务院办公厅发布本通知（国办函2008168号）v预案要点网络与信息安全事件的分类分级参照标准：信息安全事件分类分级指南（GB/Z 20986）应急流程阶段：预防预警应急处置后期处置参照标准：信息安全事件管理指南（GB/Z 20985）组织体系和应急保障应急队伍、经费、物资、通信、科技。v监督管理宣传教育、培训、演练、责任与奖惩58应急处理相关政策关于印发政府信息系统安全检查办法关于印发政府信息系统安全检查办法的通知（国办发的通知（国办发200928200928号）号）v概述依据关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）v检查范围v各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。v检查重点国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。v检查方式各单位自查+统一组织抽查+安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南（工信部协2009168号）2010年度政府信息系统安全检查指南（工信部协2010143号）2011年度政府信息系统安全检查指南（工信部协2011214号）59安全检查相关政策关于加强工业控制系统信息安全管理的关于加强工业控制系统信息安全管理的通知（工信部协通知（工信部协20114512011451号）号）v基本情况工信部协2011451号，2011年9月29日发布强调了工业控制系统信息安全的重要性工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全v四个方面要求充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导60工控安全相关政策等级保护等级保护相关政策相关政策v信息安全等级保护的提出中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB 17859-1999计算机信息系统安全保护等级划分准则定义了安全保护等级的五个级别61信息安全等级保护法规政策体系信息安全等级保护法规政策体系62依据和指导文件依据和指导文件v等级保护工作的法律依据和政策依据中华人民共和国计算机信息系统安全保护条例国家信息化领导小组关于加强信息安全保障工作的意见v为等级保护工作的开展提供宏观指导和约束关于信息安全等级保护工作的实施意见信息安全等级保护管理办法63关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见（公字通（公字通200466200466号）号）v信息和信息系统的安全保护等级（及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级v定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度v实施要求完善标准,分类指导（管理规范和技术标准）科学定级,严格备案（专家评审委员会）建设整改,落实措施（信息系统：已有、新建、改建、扩建）自查自纠,落实要求（运营、使用单位及其主管部门）建立制度,加强管理（运营、使用单位及其主管部门）监督检查,完善保护（公安机关重点对第三、第四级系统监督检查）64关于印发关于印发 的的通知（公字通通知（公字通200743200743号）号）v通知是政策，管理办法属于部门规章联合发文：公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级v实施与管理具体实施等级保护工作 参照标准：信息系统安全等级保护实施指南确定安全保护等级 参照标准：信息系统安全等级保护定级指南系统建设 参照标准：信息系统安全等级保护基本要求等等级测评 参照标准：信息系统安全等级保护测评要求二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求v涉密信息系统按分级保护管理v对信息安全等级保护的密码实行分类分级管理65关于开展全国重要信息系统安全等级保护定关于开展全国重要信息系统安全等级保护定级工作的通知（公信安级工作的通知（公信安20078612007861号）号）v背景根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作v定级范围电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统市(地)级以上党政机关的重要网站和办公信息系统涉及国家秘密的信息系统(涉密信息系统)v工作内容摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）66关于开展信息安全等级保护安全建设整改工关于开展信息安全等级保护安全建设整改工作的指导意见（公信安作的指导意见（公信安2009142920091429号）号）v工作目标力争在2012年底前完成已定级信息系统(不含涉密信息系统)安全建设整改工作v工作内容开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求信息安全等级保护安全建设整改工作指南参照标准：信息系统安全等级保护基本要求信息系统安全建设整改工作基本流程（管理建设、技术建设）信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类）67国务院关于大力推进信息化发展和切实国务院关于大力推进信息化发展和切实保障信息安全的若干意见保障信息安全的若干意见（国发国发201223201223号号）v指导思想坚持积极利用、科学发展、依法管理、确保安全，加强统筹协调和顶层设计，健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全，促进经济平稳较快发展和社会和谐稳定v主要目标国家信息安全保障体系基本形成，重要信息系统和基础信息网络安全防护能力明显增强，信息化装备的安全可控水平明显提高，信息安全等级保护等基础性工作明显加强v近期主要任务健全安全防护和管理，保障重点领域信息安全加快能力建设，提升网络与信息安全保障水平完善政策措施68加强信息安全保障相关政策国务院关于推进物联网有序健康发展的国务院关于推进物联网有序健康发展的指导意见指导意见 （国发（国发201320137 7号号)v为推进物联网有序健康发展提出了指导思想、基本原则和发展目标，明确了主要任务和保障措施v指导思想要求以保障安全为前提，强化标准规范，有序推进物联网持续健康发展v基本原则安全可控69物联网安全相关政策知识域：信息安全政策知识域：信息安全政策v知识子域：国外信息安全相关政策了解美国信息安全相关政策概况70国外信息安全政策简介国外信息安全政策简介v国外信息安全国家政策简介（以美国为例）美国各届政府对信息安全均很重视，发布了若干与信息安全相关的政策与系列举措克林顿政府IATF V1.0（1998年）V3.1（2002年）V4.0（Now）2000年：总统国家安全战略报告（首次将信息安全列入）布什政府911之后，成立本土安全部（国土安全部）、国家KIP委员会2002年：国家保障数字空间安全策略、国家安全战略报告2003年：网络空间安全国家战略计划奥巴马政府上任之初：60天信息安全评估项目2009年：美国网络安全评估2010年：网络战司令部正式运行71奥巴马政府的新举措奥巴马政府的新举措v上台不久就亲自主导了一个60天的信息安全评估项目，2009年5月公布了美国网络安全评估报告，评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，并提出行动计划（最高层领导、数字化能力、安全责任、信息共享和事件反应机制5大方面）v成立了网络安全办公室，任命了“网络沙皇”为网络安全协调官。参议院向国会提交了网络安全法议案v2010年6月，美国国防部正式成立了由战略司令部领导的网络战司令部（主要进行数字战争，防护针对美军计算机网络的安全威胁）。司令部将于2010年10月正式运行v促使政府对外公布国家网络安全综合计划（即信息安全曼哈顿计划）的概要，实行政策透明，以获得民众对政策的理解72知识域：知识域：信息安全标准基础信息安全标准基础v知识子域：标准的作用理解标准和标准化相关的基本概念了解标准的作用v知识子域：标准化的特点和原则了解标准化的特点了解标准化工作应遵循的原则v知识子域：我国国家标准的类型和代码了解强制性、推荐性和标准化指导性技术文件三类国家标准及其代码了解各类标准的特点73标准和标准化相关基本概念标准和标准化相关基本概念v标准为了在一定范围内获得最佳秩序，经协商一致制定并由公认