CISP0信息安全標準與法律法規(guī)

信息安全法規(guī)、政策和標準,培訓機構(gòu)培訓講師,課程內(nèi)容（1）,課程內(nèi)容（2）,3,課程內(nèi)容（3）,4,課程內(nèi)容（1）,信息安全法律法規(guī)政策,知識體,知識域,信息安全相關(guān)法規(guī),知識子域,信息安全相關(guān)政策,知識域：信息安全相關(guān)法規(guī),知識子域：國家信息安全法治總體情況了解信息安全法治建設(shè)的意義了解我國信息安全法律法規(guī)體系框架,6,信息安全法治建設(shè)的意義,信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)明確信息安全的基本原則和基本制度、信息安全保障體系的建設(shè)、信息安全相關(guān)行為的規(guī)范、信息安全中各方權(quán)利義務(wù)明確違反信息安全的行為，并對其行為進行相應(yīng)的處罰等信息安全不再只是個技術(shù)問題，而更多地是個商業(yè)和法律問題-安全漏洞、信息犯罪的本質(zhì)？信息安全產(chǎn)業(yè)的逐漸形成和成熟，需要必要的規(guī)范,保護國家信息主權(quán)和社會公共利益是信息安全立法的首要目標,7,狹義的信息安全廣義的信息安全,我國信息安全法律法規(guī)體系框架,8,憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法.,計算機信息系統(tǒng)安全保護條例互聯(lián)網(wǎng)信息服務(wù)管理辦法商用密碼管理條例.,公安部（安全專用產(chǎn)品等）原信產(chǎn)部（互聯(lián)網(wǎng)域名等）國新辦（互聯(lián)網(wǎng)新聞信息服務(wù)）保密局（保密等）.,多級立法,國務(wù)院各部委,北京市信息化促進條例、遼寧省計算機信息系統(tǒng)安全管理條例.,北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定、上海市公共信息系統(tǒng)安全測評管理辦法.,國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）,我國信息安全法治建設(shè)的發(fā)展歷程,通信保密安全,計算機系統(tǒng)安全,網(wǎng)絡(luò)信息系統(tǒng)安全,1994年,2000年,2003年,保守國家秘密法（1989）（2010年修訂）中央關(guān)于加強密碼工作的決定計算機信息系統(tǒng)安全保護條例（草案）-86,計算機信息系統(tǒng)安全保護條例（1994）計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法-97計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法-97計算機信息系統(tǒng)保密管理暫行規(guī)定-98商用密碼管理條例-99,關(guān)于維護互聯(lián)網(wǎng)安全的決定（2000）互聯(lián)網(wǎng)信息服務(wù)管理辦法計算機病毒防治管理辦法計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定-00,9,我國信息安全法治建設(shè)的初步成效、展望,初步成效法律法規(guī)體系初步構(gòu)建，但體系化與有效性等方面仍有待進一步完善與信息安全相關(guān)的司法和行政管理體系迅速完善法律少而規(guī)章等偏多，缺乏信息安全的基本法法律法規(guī)的內(nèi)容篇幅偏小，行為規(guī)范較簡單展望需要一部信息安全的基本法國家信息安全法（或先出臺信息安全條例）信息安全的基本原則與基本制度信息安全的主要核心內(nèi)容進一步完善各領(lǐng)域的信息安全專門法信息安全的監(jiān)管模式和認證體系（面向信息安全各類主體和客體）信息安全常態(tài)管理（等級保護制度等）信息安全應(yīng)急管理（預(yù)警、監(jiān)測、通報和應(yīng)急處理等）網(wǎng)絡(luò)與信息系統(tǒng)全生命周期的信息安全特定領(lǐng)域的信息安全.,10,課程內(nèi)容（1）,信息安全法律法規(guī)政策,知識體,知識域,信息安全相關(guān)法規(guī),知識子域,信息安全相關(guān)政策,知識域：信息安全相關(guān)法規(guī),知識子域：信息安全相關(guān)國家法律了解中華人民共和國憲法有關(guān)信息安全的內(nèi)容了解中華人民共和國刑法有關(guān)信息安全犯罪的規(guī)定了解中華人民共和國治安管理處罰法有關(guān)信息安全的內(nèi)容掌握中華人民共和國保守國家秘密法的主要內(nèi)容掌握全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定的內(nèi)容理解中華人民共和國電子簽名法的意義和作用了解中華人民共和國侵權(quán)責任法有關(guān)信息安全的內(nèi)容,12,憲法中的有關(guān)規(guī)定,憲法第二章公民的基本權(quán)利和義務(wù)第40條公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。,法律,13,刑法中的有關(guān)規(guī)定（1）,刑法第六章妨礙社會管理秩序罪第一節(jié)擾亂公共秩序罪第285、286、287條285條：非法侵入計算機信息系統(tǒng)罪；非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪；提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪。違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處以刑罰。違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處以刑罰。提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴重的，依照前款的規(guī)定處罰。,法律,14,刑法中的有關(guān)規(guī)定（2）,刑法第六章妨礙社會管理秩序罪第一節(jié)擾亂公共秩序罪第285、286、287條286條：破壞計算機信息系統(tǒng)罪。違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處以刑罰。違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰。287條：利用計算機實施犯罪的提示性規(guī)定。利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。,15,法律,16,刑法第四章侵犯公民人身權(quán)利、民主權(quán)利罪第253條：出售、非法提供公民個人信息罪；非法獲取公民個人信息罪國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處以刑罰。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰。,刑法中的有關(guān)規(guī)定（3）,治安管理處罰法中的有關(guān)規(guī)定,治安管理處罰法第三章違反治安管理的行為和處罰第一節(jié)擾亂公共秩序的行為和處罰第29條有下列行為之一的，處以治安管理處罰：（一）違反國家規(guī)定，侵入計算機信息系統(tǒng)，造成危害的；（二）違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的；（三）違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的；（四）故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統(tǒng)正常運行的。治安管理處罰法其他規(guī)定（與非法信息傳等播相關(guān)）：第42、47、68條,法律,17,保守國家秘密法（保密法1）,主旨（總則）目的：保守國家秘密，維護國家安全和利益。國家秘密是關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項。國家秘密受法律保護。一切單位和公民都有保守國家秘密的義務(wù)。國家保密行政管理部門主管全國的保密工作。保密工作責任制：健全保密管理制度，完善保密防護措施，開展保密宣傳教育，加強保密檢查。國家秘密的范圍國家事務(wù)、國防武裝、外交外事、政黨秘密國民經(jīng)濟和社會發(fā)展、科學技術(shù)維護國家安全的活動、經(jīng)保密主管部門確定的事項等國家秘密的密級絕密-最重要的國家秘密，保密期限不超過30年；機密-重要的國家秘密，保密期限不超過20年；秘密-一般的國家秘密，保密期限不超過10年。,法律,18,保守國家秘密法（保密法2）,法律責任（第48條人員處分及追究刑責）（一）非法獲取、持有國家秘密載體的；（二）買賣、轉(zhuǎn)送或者私自銷毀國家秘密載體的；（三）通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的；（四）郵寄、托運國家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準，攜帶、傳遞國家秘密載體出境的；（五）非法復(fù)制、記錄、存儲國家秘密的；（六）在私人交往和通信中涉及國家秘密的；（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密的；（八）將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；（九）在未采取防護措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進行信息交換的；（十）使用非涉密計算機、非涉密存儲設(shè)備存儲、處理國家秘密信息的；（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；（十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計算機、涉密存儲設(shè)備贈送、出售、丟棄或者改作其他用途的。有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機關(guān)、單位予以處理。,法律,19,全國人大關(guān)于維護互聯(lián)網(wǎng)安全的決定,背景互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對于加快我國國民經(jīng)濟、科學技術(shù)的發(fā)展和社會服務(wù)信息化進程具有重要作用。如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關(guān)注。互聯(lián)網(wǎng)安全的范疇（法律約束力）互聯(lián)網(wǎng)的運行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等）國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等）市場經(jīng)濟秩序和社會管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽、侵犯知識產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等）個人、法人和其他組織的人身、財產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）法律責任構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責任構(gòu)成民事侵權(quán)的，依法承擔民事責任尚不構(gòu)成犯罪的：治安管理處罰/行政處罰/行政處分或紀律處分,法律,20,電子簽名法（1）,意義2005年4月1日正式施行的電子簽名法，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。目的為了規(guī)范電子簽名行為，確立電子簽名的法律效力，維護有關(guān)各方的合法權(quán)益，制定本法。適用范圍民事活動中的合同或者其他文件、單證等文書。電子簽名和數(shù)據(jù)電文不適用的文書（國際慣例）：涉及證明人身關(guān)系的、涉及不動產(chǎn)權(quán)益轉(zhuǎn)讓的、涉及停止公共事業(yè)服務(wù)的、法律法規(guī)所規(guī)定的不適用電子文書的其他情形。監(jiān)督管理國務(wù)院信息產(chǎn)業(yè)主管部門依照本法制定電子認證服務(wù)業(yè)的具體管理辦法，對電子認證服務(wù)提供者依法實施監(jiān)督管理。,法律,21,電子簽名法（2）,電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)電子認證服務(wù)應(yīng)具備相適應(yīng)的人員、資金、場所、技術(shù)和設(shè)備條件，以及國家密碼管理機構(gòu)同意使用密碼的證明文件；應(yīng)向國務(wù)院信息產(chǎn)業(yè)主管部門申請，后者依法審查并征求商務(wù)主管部門等有關(guān)部門的意見后，對予以許可的頒發(fā)電子認證許可證書，再持該證向工商部門辦理企業(yè)登記，并將其電子認證業(yè)務(wù)規(guī)則，向國務(wù)院信息產(chǎn)業(yè)主管部門備案。,法律,22,對電子認證服務(wù)提供者的其他要求保證證書內(nèi)容在有效期內(nèi)完整、準確；擬暫?；蛘呓K止電子認證服務(wù)的要求；妥善保存與認證相關(guān)的信息，信息保存期限（至少為證書失效后五年）。,第四章法律責任電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密未及時告知有關(guān)各方、并終止使用電子簽名制作數(shù)據(jù)，未向電子認證服務(wù)提供者提供真實、完整和準確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務(wù)提供者造成損失的，承擔賠償責任。,電子簽名法（3）,電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務(wù)提供者提供的電子簽名認證服務(wù)從事民事活動遭受損失，電子認證服務(wù)提供者不能證明自己無過錯的，承擔賠償責任。未經(jīng)許可提供電子認證服務(wù)的，由國務(wù)院信息產(chǎn)業(yè)主管部門責令停止違法行為；有違法所得的，沒收違法所得；并酌情罰款。電子認證服務(wù)提供者暫?；蛘呓K止電子認證服務(wù)，未在暫?；蛘呓K止服務(wù)六十日前向國務(wù)院信息產(chǎn)業(yè)主管部門報告的，由國務(wù)院信息產(chǎn)業(yè)主管部門對其直接負責的主管人員酌情處以罰款。電子認證服務(wù)提供者不遵守認證業(yè)務(wù)規(guī)則、未妥這善保存與認證相關(guān)的信息，或者有其他違法行為的，由國務(wù)院信息產(chǎn)業(yè)主管部門責令限期改正；逾期未改正的，吊銷電子認證許可證書，其直接負責的主管人員和其他直接責任人員十年內(nèi)不得從事電子認證服務(wù)。吊銷電子認證許可證書的，應(yīng)當予以公告并通知工商行政管理部門。偽造、冒用、盜用他人的電子簽名，構(gòu)成犯罪的，依法追究刑事責任；給他人造成損失的，依法承擔民事責任。依照本法負責電子認證服務(wù)業(yè)監(jiān)督管理工作的部門的工作人員，不依法履行行政許可、監(jiān)督管理職責的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責任。,23,侵權(quán)責任法,目的：為保護民事主體的合法權(quán)益，明確侵權(quán)責任，預(yù)防并制裁侵權(quán)行為，促進社會和諧穩(wěn)定，制定本法。適用范圍：侵害民事權(quán)益，應(yīng)當依照本法承擔侵權(quán)責任。（本法所稱民事權(quán)益，包括生命權(quán)、健康權(quán)、姓名權(quán)、名譽權(quán)、榮譽權(quán)、肖像權(quán)、隱私權(quán)、婚姻自主權(quán)、監(jiān)護權(quán)、所有權(quán)、用益物權(quán)、擔保物權(quán)、著作權(quán)、專利權(quán)、商標專用權(quán)、發(fā)現(xiàn)權(quán)、股權(quán)、繼承權(quán)等人身、財產(chǎn)權(quán)益。）第四章關(guān)于責任主體的特殊規(guī)定第36條網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當承擔侵權(quán)責任。網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為的，被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡(luò)服務(wù)提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網(wǎng)絡(luò)用戶承擔連帶責任。網(wǎng)絡(luò)服務(wù)提供者知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔連帶責任。,法律,24,課程內(nèi)容（1）,信息安全法律法規(guī)政策,知識體,知識域,信息安全相關(guān)法規(guī),知識子域,信息安全相關(guān)政策,知識域：信息安全相關(guān)法規(guī),知識子域：信息安全相關(guān)行政法規(guī)和部門規(guī)章了解信息安全相關(guān)行政法規(guī)，掌握涉及信息安全的相關(guān)內(nèi)容了解信息安全相關(guān)部門規(guī)章，掌握涉及信息安全的相關(guān)內(nèi)容,26,計算機信息系統(tǒng)安全保護條例,計算機信息系統(tǒng)是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。安全保護保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。主管部門公安部主管全國計算機信息系統(tǒng)安全保護工作（含安全監(jiān)督職權(quán)）。國家安全部、國家保密局和國務(wù)院其他有關(guān)部門，在國務(wù)院規(guī)定的職責范圍內(nèi)做好計算機信息系統(tǒng)安全保護的有關(guān)工作。安全保護制度（要點）計算機信息系統(tǒng)實行安全等級保護。使用單位應(yīng)當建立健全安全管理制度。安全專用產(chǎn)品（硬件、軟件）的銷售實行許可證制度。,行政法規(guī),27,商用密碼管理條例,商用密碼是指對不涉及國家秘密內(nèi)容的信息進行加密保護或者安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。商用密碼技術(shù)屬于國家秘密。主管部門國家密碼管理委員會及其辦公室主管全國的商用密碼管理工作。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾怼９芾硪c商密產(chǎn)品由國家密碼管理機構(gòu)分別指定單位進行科研、生產(chǎn)和檢測。商密產(chǎn)品銷售單位應(yīng)有國家密碼管理機構(gòu)頒發(fā)的商用密碼產(chǎn)品銷售許可證。必須如實登記備案直接使用商用密碼產(chǎn)品的用戶信息和產(chǎn)品用途。不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品（含故障維修、報廢銷毀）。,行政法規(guī),28,其它一些行政法規(guī),行政法規(guī)中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定中華人民共和國電信條例互聯(lián)網(wǎng)信息服務(wù)管理辦法互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例信息網(wǎng)絡(luò)傳播權(quán)保護條例.,行政法規(guī),29,計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法,兩個必須安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進入市場銷售之前,必須申領(lǐng)計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證。安全專用產(chǎn)品的生產(chǎn)者申領(lǐng)銷售許可證,必須對其產(chǎn)品進行安全功能檢測和認定。檢測（機構(gòu)）檢測機構(gòu)對產(chǎn)品（樣品）的安全功能和性能進行檢測。檢測機構(gòu)應(yīng)保守檢測產(chǎn)品的技術(shù)秘密，并不得非法占有他人科技成果，不得從事與檢測產(chǎn)品有關(guān)的開發(fā)和對外咨詢業(yè)務(wù)。銷售許可證（主管部門）由公安部計算機管理監(jiān)察部門頒發(fā)安全專用產(chǎn)品銷售許可證（兩年內(nèi)有效）、“銷售許可”標記（生產(chǎn)者應(yīng)當在固定位置標明該標記）。安全專用產(chǎn)品的檢測通告和經(jīng)安全功能檢測確認的安全專用產(chǎn)品目錄,由公安部計算機管理監(jiān)察部門定期發(fā)布。,部門規(guī)章,30,計算機信息系統(tǒng)保密管理暫行規(guī)定,適用范圍適用于采集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統(tǒng)。主管部門國家保密局主管全國計算機信息系統(tǒng)的保密工作。管理要點涉密系統(tǒng)-保密設(shè)施、保密措施、訪問控制、數(shù)據(jù)保護等涉密信息-密級標識、物理隔離等涉密媒體-各類計算機媒體（含打印輸出等）涉密場所-控制區(qū)、防電磁信息泄漏、其他物理安全等系統(tǒng)管理-領(lǐng)導負責制、管理制度、保密檢查、人員培訓和考核等,部門規(guī)章,31,國家電子政務(wù)工程建設(shè)項目管理暫行辦法,國家發(fā)改委令2007第55號對國家電子政務(wù)工程建設(shè)項目有明確的信息安全要求驗收評價管理項目建設(shè)單位應(yīng)在完成項目建設(shè)任務(wù)后的半年內(nèi),組織完成建設(shè)項目的信息安全風險評估和初步驗收工作。運行管理項目建設(shè)單位或其委托的專業(yè)機構(gòu)應(yīng)按照風險評估的相關(guān)規(guī)定,對建成項目進行信息安全風險評估,檢驗其網(wǎng)絡(luò)和信息系統(tǒng)對安全環(huán)境變化的適應(yīng)性及安全措施的有效性,保障信息安全目標的實現(xiàn)。項建書、可研報告、初步設(shè)計方案在“項建和可研”的項目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案”在“初設(shè)”的項目設(shè)計方案中應(yīng)包含“安全系統(tǒng)設(shè)計”,部門規(guī)章,其他一些部門規(guī)章,公安部互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定計算機病毒防治管理辦法信息安全等級保護管理辦法計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定（公安部、中國人民銀行）,33,原信息產(chǎn)業(yè)部信息系統(tǒng)工程監(jiān)理暫行規(guī)定電子認證服務(wù)管理辦法互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法,鐵道部鐵路計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保密管理暫行規(guī)定鐵路計算機信息系統(tǒng)安全保護辦法,國家保密局中華人民共和國保守國家秘密法實施辦法科學技術(shù)保密規(guī)定計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)管理辦法（試行）,34,國家密碼管理局商用密碼科研管理規(guī)定，公告（第4號）2006年1月1日起施行商用密碼產(chǎn)品生產(chǎn)管理規(guī)定，公告（第5號）2006年1月1日起施行商用密碼產(chǎn)品銷售管理規(guī)定，公告（第6號）2006年1月1日起施行商用密碼產(chǎn)品使用管理規(guī)定，公告（第8號）2007年5月1日起施行電子認證服務(wù)密碼管理辦法，公告（第17號）2009年10月28日公布，2009年12月1日起施行，原辦法（公告第2號）同時廢止,課程內(nèi)容（1）,信息安全法律法規(guī)政策,知識體,知識域,信息安全相關(guān)法規(guī),知識子域,信息安全相關(guān)政策,知識域：信息安全相關(guān)法規(guī),知識子域：信息安全相關(guān)地方法規(guī)、規(guī)章和行業(yè)規(guī)定了解信息安全相關(guān)地方法規(guī)，掌握自身所在地方或密切相關(guān)地方涉及信息安全的相關(guān)內(nèi)容了解信息安全相關(guān)地方規(guī)章，掌握自身所在地方或密切相關(guān)地方涉及信息安全的相關(guān)內(nèi)容了解信息安全相關(guān)行業(yè)規(guī)定，掌握自身所在行業(yè)或密切相關(guān)行業(yè)涉及信息安全的相關(guān)內(nèi)容,36,地方法規(guī),北京市信息化促進條例（2007年9月14日通過并公布，自2007年12月1日起施行）澳門特區(qū)打擊電腦犯罪法（2009-06-26公布，2009-07-26生效）遼寧省計算機信息系統(tǒng)安全管理條例湖南省信息化條例重慶市計算機信息系統(tǒng)安全保護條例.,37,地方規(guī)章,北京市微博客發(fā)展管理若干規(guī)定（2011年12月16日公布并施行）北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定北京市黨政機關(guān)計算機網(wǎng)絡(luò)與信息安全管理辦法上海市公共信息系統(tǒng)安全測評管理辦法天津市公共計算機信息網(wǎng)絡(luò)安全保護規(guī)定黑龍江省計算機信息系統(tǒng)安全管理規(guī)定遼寧省計算機信息保密管理規(guī)定大連市人民政府公共信息網(wǎng)絡(luò)管理暫行規(guī)定四川省計算機信息系統(tǒng)安全保護管理辦法山西省計算機安全管理規(guī)定山東省計算機信息系統(tǒng)安全管理辦法安徽省計算機信息系統(tǒng)安全保護辦法河南省計算機信息系統(tǒng)安全保護暫行辦法,38,地方規(guī)章,廣東省計算機信息系統(tǒng)安全保護管理規(guī)定廣東省電子政務(wù)信息安全管理暫行辦法廣東省互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理辦法廣東省計算機信息系統(tǒng)安全保護管理規(guī)定實施細則（試行）廣東省通信短信息服務(wù)管理辦法（試行）深圳經(jīng)濟特區(qū)計算機信息系統(tǒng)公共安全管理規(guī)定福建省互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理規(guī)定江蘇省互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全管理暫行規(guī)定云南省網(wǎng)絡(luò)與信息系統(tǒng)安全監(jiān)察管理規(guī)定江西省計算機信息系統(tǒng)安全保護辦法杭州市計算機信息系統(tǒng)安全保護管理辦法.,39,行業(yè)規(guī)定,40,中國銀監(jiān)會電子銀行業(yè)務(wù)管理辦法電子銀行安全評估指引銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引中國證監(jiān)會網(wǎng)上證券委托暫行管理辦法證券期貨業(yè)信息安全保障管理暫行辦法證券公司集中交易安全管理技術(shù)指引期貨公司信息公示管理規(guī)定（自2009年11月16日起施行）深圳證券交易所交易異常情況處理實施細則（試行）上海證券交易所交易異常情況處理實施細則（試行）.,課程內(nèi)容（1）,信息安全法律法規(guī)政策,知識體,知識域,信息安全相關(guān)法規(guī),知識子域,信息安全相關(guān)政策,知識域：信息安全相關(guān)法規(guī),知識子域：國外信息安全相關(guān)法規(guī)簡介了解美國信息安全相關(guān)法規(guī)概況,42,國外信息安全法律法規(guī)簡介,國外信息安全法律法規(guī)簡介（以美國為例）信息自由法（FreedomofInformationActof1966，F(xiàn)OIA）愛國者法（USAPatriotofActof2001）聯(lián)邦信息安全管理法案（FederalInformationSecurityManagementActof2002，F(xiàn)ISMA）屬于電子政務(wù)法（theE-GovernmentActof2002）的第三部分公眾公司會計改革與投資者保護法，又名薩班斯-奧克斯利法（Sarbanes-OxleyActof2002）國內(nèi)外信息安全法治體系的差距分析體系性廣度深度.,43,信息自由法愛國者法,信息自由法美國對政府信息進行立法保護的首要原則是向公眾公開原則（也叫信息公開原則），是構(gòu)成其他信息安全保護法律的基礎(chǔ)該法案主要是保障公民的個人自由，但也需要保障國家的安全，因此，該法利用“例外”的立法方式，將需要保護的信息加以列舉,44,愛國者法是“9.11”事件以后美國為保障國家安全頒布的最為重要的一部法律，也是目前爭議最大的一部法律。從法律上授予美國國內(nèi)執(zhí)法機構(gòu)和國際情報機構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動，使美國人民能夠生活在安全的環(huán)境中。由于該法賦予聯(lián)邦政府的權(quán)力過大，引起美國國內(nèi)民權(quán)人士的擔憂，并產(chǎn)生訴案。該法還對美國現(xiàn)有的十幾部法律做出了修改政府可以對國外銀行和對私人存戶達到100萬美元以上的賬戶進行盡職調(diào)查,聯(lián)邦信息安全管理法案電子政務(wù)法公眾公司會計改革與投資者保護法,聯(lián)邦信息安全管理法案給出了“信息安全”的定義對國家信息安全管理職責的授權(quán)國家標準與技術(shù)局（NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標準與指南管理與預(yù)算辦公室（OMB）主任對安全政策、原則、標準、指南等的制定、執(zhí)行（包括遵守）情況進行監(jiān)督,45,電子政務(wù)法該法對聯(lián)邦政府信息技術(shù)管理和規(guī)劃的每一個方面，從危機管理到電子檔案及查詢索引都做了規(guī)定,公眾公司會計改革與投資者保護法主要目的是加強對上市公司內(nèi)部金融信息的監(jiān)管，以維護金融市場的秩序和安全。該法案要求公眾公司保證其內(nèi)部金融控制的準確性，規(guī)定由證券交易委員會（SEC）制定規(guī)則，強制要求公眾公司年度報告中包含內(nèi)部控制報告及其評價，并要求會計師事務(wù)所對公司管理層做出的評價出具鑒定報告。,課程內(nèi)容（1）,信息安全法律法規(guī)政策,知識體,知識域,信息安全相關(guān)法規(guī),知識子域,信息安全相關(guān)政策,知識域：信息安全相關(guān)政策,知識子域：國家信息安全保障總體情況掌握國家有關(guān)政策對信息安全保障工作的總體方針和要求掌握國家有關(guān)政策規(guī)定的加強信息安全保障工作主要原則掌握國家有關(guān)政策規(guī)定需要重點加強的信息安全保障工作,47,國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）,意義標志著我國信息安全保障工作有了總體綱領(lǐng)提出要在5年內(nèi)建設(shè)中國信息安全保障體系總體方針和要求堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。主要原則立足國情，以我為主，堅持技術(shù)與管理并重；正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作；明確國家、企業(yè)、個人的責任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。,48,國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）,主要任務(wù)（重點加強的安全保障工作）實行信息安全等級保護加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展加強信息安全法制建設(shè)和標準化建設(shè)加快信息安全人才培養(yǎng)，增強全民信息安全意識保證信息安全資金加強對信息安全保障工作的領(lǐng)導，建立健全信息安全管理責任制,十一五：試點十二五：普及推廣,49,我國信息安全政策的初步成效、后續(xù)展望,初步成效依托2003年的27號文（總體綱領(lǐng)），明確了信息安全保障工作的總體要求、工作原則和重點工作內(nèi)容圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風險評估、等級保護、電子政務(wù)類、應(yīng)急預(yù)案等）其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認證、人員培訓和認證等后續(xù)展望“十一五”期間發(fā)布的各項政策均將進入落實期由電子政務(wù)領(lǐng)域向其他領(lǐng)域拓展盡快形成“統(tǒng)一的”信息安全服務(wù)資質(zhì)管理體制基于信息安全服務(wù)類的標準（政策帶動標準，標準支撐政策）統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資質(zhì)由“狹義信息安全”向“廣義信息安全”延伸IT服務(wù)（外包）的信息安全保障新技術(shù)、新應(yīng)用下的信息安全保障,十一五：試點十二五：普及推廣,50,課程內(nèi)容（1）,信息安全法律法規(guī)政策,知識體,知識域,信息安全相關(guān)法規(guī),知識子域,信息安全相關(guān)政策,知識域：信息安全相關(guān)政策,知識子域：信息安全相關(guān)國家政策了解信息安全相關(guān)國家政策，掌握風險評估等涉及信息安全的相關(guān)內(nèi)容掌握信息安全等級保護政策體系，熟悉信息安全等級保護相關(guān)政策,52,關(guān)于開展信息安全風險評估工作的意見（國信辦20065號）,信息安全風險評估（基于風險管理）系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性評估安全事件一旦發(fā)生可能造成的危害程度提出有針對性的抵御威脅的防護對策和整改措施基本工作要求應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程（設(shè)計、驗收、運維）定期組織實施網(wǎng)絡(luò)與信息系統(tǒng)自評估，并積極配合有關(guān)部門的檢查評估相關(guān)保障參照標準:信息安全風險評估規(guī)范（GB/T20984-2007）、信息安全風險管理指南（GB/Z24364-2009）服務(wù)資質(zhì)（對于涉及國計民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估技術(shù)服務(wù)，要由國家?？氐年犖閬沓袚?53,關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知（國辦發(fā)200817號）,明確職責把信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導誰主管誰負責、誰運行誰負責、誰使用誰負責強化人員培訓組織信息安全和保密基本技能培訓，開展信息安全和保密形勢分析深入學習宣傳信息安全“五禁止”規(guī)定完善安全措施和手段管理制度+技術(shù)手段加強信息安全檢查詳見政府信息系統(tǒng)安全檢查辦法,54,關(guān)于印發(fā)國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知（國辦函2008168號）,背景2003年：國務(wù)院成立應(yīng)急辦，頒布了國家突發(fā)公共衛(wèi)生事件應(yīng)急條例2006年：國家突發(fā)公共事件總體應(yīng)急預(yù)案（4大類公共事件）國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案2007年：制定發(fā)布國家突發(fā)事件應(yīng)對法預(yù)案要點網(wǎng)絡(luò)與信息安全事件的分類分級參照標準：信息安全事件分類分級指南（GB/Z20986）應(yīng)急流程：預(yù)防預(yù)警應(yīng)急處置后期處置參照標準：信息安全事件管理指南（GB/Z20985）組織體系和應(yīng)急保障應(yīng)急隊伍、經(jīng)費、物資、通信、科技。監(jiān)督管理宣傳教育、培訓、演練、責任與獎懲,55,關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風險評估工作的通知（發(fā)改高技20082071號）,依據(jù)和目的國家電子政務(wù)工程建設(shè)項目管理暫行辦法-國家發(fā)改委令2007第55號三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局將“信息安全風險評估”作為項目驗收的重要內(nèi)容（按要求提交一系列文檔）風險評估的主要內(nèi)容分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風險的影響等兩類信息系統(tǒng)的工作開展涉密信息系統(tǒng)參照“分級保護”，進行系統(tǒng)測評并履行審批手續(xù)非涉密信息系統(tǒng)參照“等級保護”，完成等級測評和風險評估工作，并形成相關(guān)報告相關(guān)要點對信息安全風險評估機構(gòu)的指定（1家+3家）信息安全風險評估經(jīng)費計入該項目總投資投入運行后，應(yīng)定期開展信息安全風險評估,56,關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國辦發(fā)200928號）,依據(jù)關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知（國辦發(fā)200817號）檢查范圍和檢查重點各級政府及其部門對自行運行和維護管理以及委托其他機構(gòu)進行和維護管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進行一次全面的安全檢查。國務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點。檢查方式各單位自查+統(tǒng)一組織抽查+安全檢測（按需）工信部負責協(xié)調(diào)、指導、監(jiān)督，公安/安全/保密/密碼等部門按職責分工2009年度政府信息系統(tǒng)安全檢查指南（工信部協(xié)2009168號）2010年度政府信息系統(tǒng)安全檢查指南（工信部協(xié)2010143號）,57,政府部門信息技術(shù)外包服務(wù)機構(gòu)申請信息安全管理體系認證安全審查程序（暫行）,58,工業(yè)和信息化部公告（2011年第21號）鼓勵服務(wù)機構(gòu)按照信息安全管理體系相關(guān)標準加強信息安全建設(shè)。服務(wù)機構(gòu)申請信息安全管理體系認證時，應(yīng)選擇國家認證認可監(jiān)督管理委員會批準開展信息安全管理體系認證的認證機構(gòu)。鼓勵政府部門優(yōu)先選用通過信息安全管理體系認證的信息技術(shù)服務(wù)機構(gòu)提供外包服務(wù)。服務(wù)機構(gòu)申請信息安全管理體系認證（含再認證）時，應(yīng)經(jīng)工業(yè)和信息化部安全審查同意。工業(yè)和信息化部負責安全審查的管理工作，包括發(fā)布審查程序、制定審查標準、組織開展審查、發(fā)布審查結(jié)果等。,附表1：政府部門信息技術(shù)外包服務(wù)機構(gòu)申請信息安全管理體系認證安全審查申請表附表2：政府部門信息技術(shù)外包服務(wù)機構(gòu)信息安全管理體系認證情況備案表,關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)2011451號）,工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全，為切實加強工業(yè)控制系統(tǒng)信息安全管理，經(jīng)國務(wù)院同意，現(xiàn)就有關(guān)事項通知如下：充分認識加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度進一步加強工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導,59,知識域：信息安全相關(guān)政策,知識子域：信息安全相關(guān)國家政策了解信息安全相關(guān)國家政策，掌握風險評估等涉及信息安全的相關(guān)內(nèi)容掌握信息安全等級保護政策體系，熟悉信息安全等級保護相關(guān)政策,60,等級保護,中華人民共和國計算機信息系統(tǒng)安全保護條例（1994年國務(wù)院147號令）第九條計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定。GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則第一級:用戶自主保護級；第二級:系統(tǒng)審計保護級；第三級:安全標記保護級；第四級:結(jié)構(gòu)化保護級；第五級:訪問驗證保護級；,61,信息安全等級保護法規(guī)政策體系,62,關(guān)于信息安全等級保護工作的實施意見（公字通200466號）,信息和信息系統(tǒng)的安全保護等級（及其適用范圍）第一級為自主保護級第二級為指導保護級第三級為監(jiān)督保護級第四級為強制保護級第五級為?？乇Ｗo級定級依據(jù)根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度實施要求完善標準,分類指導（管理規(guī)范和技術(shù)標準）科學定級,嚴格備案（專家評審委員會。三級以上系統(tǒng)備案）建設(shè)整改,落實措施（信息系統(tǒng)：已有、新建、改建、擴建）自查自糾,落實要求（運營、使用單位及其主管部門）建立制度,加強管理（運營、使用單位及其主管部門）監(jiān)督檢查,完善保護（公安機關(guān)重點對第三、第四級系統(tǒng)）,63,關(guān)于印發(fā)的通知（公字通200743號）,通知是政策，管理辦法屬于部門規(guī)章四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國信辦國家信息安全等級保護堅持“自主定級、自主保護”的原則信息系統(tǒng)的安全保護等級分為五級實施與管理具體實施等級保護工作參照標準：信息系統(tǒng)安全等級保護實施指南確定安全保護等級參照標準：信息系統(tǒng)安全等級保護定級指南系統(tǒng)建設(shè)參照標準：信息系統(tǒng)安全等級保護基本要求等等級測評參照標準：信息系統(tǒng)安全等級保護測評要求二級以上系統(tǒng)的備案要求（由公安機關(guān)頒發(fā)備案證明）三級以上系統(tǒng)的定期自查、測評和檢查要求三級以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求三級以上系統(tǒng)等級保護測評機構(gòu)的選擇要求涉密信息系統(tǒng)按分級保護管理（略）對信息安全等級保護的密碼實行分類分級管理（略）,64,關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安2007861號）,背景根據(jù)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組2007年的工作部署,公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作定級范圍電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)；鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)；市(地)級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)；涉及國家秘密的信息系統(tǒng)(涉密信息系統(tǒng))。工作內(nèi)容摸底調(diào)查、確定等級（等級報告）、評審與審批、備案及管理（備案表）,65,關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見（公信安20091429號）,工作目標力爭在2012年底前完成已定級信息系統(tǒng)(不含涉密信息系統(tǒng))安全建設(shè)整改工作工作內(nèi)容開展信息安全等級保護安全管理制度建設(shè),提高信息系統(tǒng)安全管理水平開展信息安全等級保護安全技術(shù)措施建設(shè),提高信息系統(tǒng)安全保護能力開展信息系統(tǒng)安全等級測評,使信息系統(tǒng)安全保護狀況逐步達到等級保護要求信息安全等級保護安全建設(shè)整改工作指南參照標準：信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全建設(shè)整改工作基本流程（管理建設(shè)、技術(shù)建設(shè)）信息安全等級保護主要標準簡要說明及相互間的關(guān)系（基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類）,66,關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知（公信安2010303號）,工作目標提高測評機構(gòu)能力，規(guī)范測評活動，確保信息安全等級保護安全建設(shè)整改工作順利進行工作內(nèi)容積極穩(wěn)妥地推動等級測評機構(gòu)建設(shè)確保測評機構(gòu)的水平和能力符合測評工作要求督促備案單位開展信息系統(tǒng)等級測評工作信息安全等級保護測評工作管理規(guī)范（試行）信息系統(tǒng)安全等級測評報告模版（試行）另有政策：公信安20091487號,67,其他一些信息安全相關(guān)國家政策,關(guān)于加強國家重要信息系統(tǒng)災(zāi)難備份工作的意見(信安通200411號)教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知（教辦廳函200980號）關(guān)于進一步加強政府網(wǎng)站安全保障工作的通知（國辦秘函20105號）中國云計算安全政策與法律藍皮書（2011）,68,課程內(nèi)容（1）,信息安全法律法規(guī)政策,知識體,知識域,信息安全相關(guān)法規(guī),知識子域,信息安全相關(guān)政策,知識域：信息安全相關(guān)政策,知識子域：國外信息安全相關(guān)政策簡介了解美國信息安全相關(guān)政策概況,70,國外信息安全政策簡介,國外信息安全國家政策簡介（以美國為例）克林頓政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：總統(tǒng)國家安全戰(zhàn)略報告（首次將信息安全列入）布什政府911之后，成立本土安全部（國土安全部）、國家KIP委員會2002年：國家保障數(shù)字空間安全策略、國家安全戰(zhàn)略報告2003年：網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃奧巴馬政府上任之初：60天信息安全評估項目2009年：美國網(wǎng)絡(luò)安全評估2010年：網(wǎng)絡(luò)戰(zhàn)司令部正式運行國內(nèi)外信息安全國家政策的差距分析體系性和持續(xù)性、關(guān)注重點、執(zhí)行力度.,71,奧巴馬政府的新舉措,上臺不久就親自主導了一個60天的信息安全評估項目，2009年5月公布了美國網(wǎng)絡(luò)安全評估報告，評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標準，指出了存在的問題，并提出行動計劃（最高層領(lǐng)導、數(shù)字化能力、安全責任、信息共享和事件反應(yīng)機制5大方面）。成立了網(wǎng)絡(luò)安全辦公室，任命了“網(wǎng)絡(luò)沙皇”為網(wǎng)絡(luò)安全協(xié)調(diào)官。參議院向國會提交了網(wǎng)絡(luò)安全法議案。2010年6月，美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導的網(wǎng)絡(luò)戰(zhàn)司令部（主要進行數(shù)字戰(zhàn)爭，防護針對美軍計算機網(wǎng)絡(luò)的安全威脅）。司令部將于2010年10月正式運行。促使政府對外公布國家網(wǎng)絡(luò)安全綜合計劃（即信息安全曼哈頓計劃）的概要，實行政策透明，以獲得民眾對政策的理解。,72,課程內(nèi)容（2）,73,信息安全標準,知識體,知識域,信息安全標準化概述,知識子域,信息安全相關(guān)標準,信息安全評估標準,知識域：安全標準化概述,知識子域：信息安全標準化概念了解標準和標準化的基本概念和作用,74,標準和標準化相關(guān)基本概念,標準為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構(gòu)批準，共同使用的和重復(fù)使用的一種規(guī)范性文件。標準化（GB/T20000.1-2002）為了在一定范圍內(nèi)獲得最佳秩序，對現(xiàn)實問題或潛在問題制定共同使用和重復(fù)使用的條款的活動。國際標準由國際標準化組織或國際標準組織通過并公開發(fā)布的標準國家標準由國家標準機構(gòu)通過并公開發(fā)布的標準國際標準化組織（ISO）其成員資格向每個國家的有關(guān)國家機構(gòu)開放的標準化組織國家標準機構(gòu)在國家層面上承認的，有資格成為相應(yīng)的國際和區(qū)域標準組織的國家成員的標準機構(gòu)（中國國家標準化管理委員會）,75,標準化的特點、原則；標準的作用,特點標準化的對象：共同的、可重復(fù)的事物標準化的動態(tài)性標準化的相對性標準化的效益原則簡化統(tǒng)一協(xié)調(diào)優(yōu)化,76,標準能打破技術(shù)壁壘，標準也能成為新的技術(shù)壁壘,作用標準是進行貿(mào)易的基本條件標準能夠提高企業(yè)的經(jīng)濟效益標準能夠提高國民經(jīng)濟效益,我國國家標準的代碼,GB強制性國家標準GB/T推薦性國家標準GB/Z國家標準化指導性技術(shù)文件,77,課程內(nèi)容（2）,78,信息安全標準,知識體,知識域,信息安全標準化概述,知識子域,信息安全相關(guān)標準,信息安全評估標準,知識域：信息安全標準化概述,知識子域：信息安全標準化組織了解國際信息安全標準化組織及其工作了解國外典型國家信息安全標準化組織及其工作熟悉我國信息安全標準化組織及其工作,79,國際信息安全標準化組織,ISO/IECJTC1SC27信息技術(shù)安全技術(shù),信息安全管理體系工作組,密碼與安全機制工作組,安全評估準則工作組,安全控制與服務(wù)工作組,身份管理與隱私技術(shù)工作組,國際標準提案ISMS審核指南,國際標準提案三元實體鑒別,國際標準信息安全事件管理合作編輯,國際標準提案基于三元實體鑒別的訪問控制方法,80,美國標準化組織,ANSINCITS-T4制定IT安全技術(shù)標準X9制定金融業(yè)務(wù)標準X12制定商業(yè)交易標準(EDI)NIST負責聯(lián)邦政府非密敏感信息FIPSDOD負責涉密信息NSA國防部指令（DODDI）（如TCSEC）IEEESILSP1363,81,我國標準化組織,1984年，成立數(shù)據(jù)加密技術(shù)分委員，后來改為信息技術(shù)安全分技術(shù)委員會2002年4月，為加強信息安全標準的協(xié)調(diào)工作，國家標準委決定成立全國信息安全標準化技術(shù)委員會（信安標委，TC260），由國家標準委直接領(lǐng)導，對口ISO/IECJTC1SC27；秘書處設(shè)在中國電子技術(shù)標準化研究所；委員會由30多個部門和單位的49名領(lǐng)導和專家組成目前共有工作組成員單位165家，其中企業(yè)120家國標委高新函20041號文決定，自2004年1月起，各有關(guān)部門在申報信息安全國家標準計劃項目時，必須經(jīng)信息安全標委會提出工作意見，協(xié)調(diào)一致后由信息安全標委會組織申報；在國家標準制定過程中，標準工作組或主要起草單位要與信息安全標委會積極合作，并由信息安全標委會完成國家標準送審、報批工作。,82,TC260各部門的職責,秘書處：是委員會的常設(shè)辦事機構(gòu)，負責委員會的日常事務(wù)工作信息安全標準體系與協(xié)調(diào)工作組（WG1）：研究信息安全標準體系、需求；跟蹤國際標準發(fā)展動態(tài)；提出新工作項目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項目涉密信息系統(tǒng)安全保密標準工作組（WG2）：研究提出涉密信息系統(tǒng)安全保密標準體系；制定涉密保密相關(guān)標準密碼技術(shù)標準工作組（WG3）：研究提出商用密碼技術(shù)標準體系；制定商用密碼相關(guān)標準鑒別與授權(quán)工作組（WG4）：研究提出鑒別與授權(quán)標準體系；制定鑒別與授權(quán)相關(guān)標準信息安全評估工作組（WG5）：研究提出測評標準體系；制定測評相關(guān)標準通信安全標準工作組（WG6）：研究提出通信安全標準體系；制定通信安全相關(guān)標準信息安全管理工作組（WG7）：研究提出信息安全管理標準體系；制定信息安全管理相關(guān)標準,83,課程內(nèi)容（2）,84,信息安全標準,知識體,知識域,信息安全標準化概述,知識子域,信息安全相關(guān)標準,信息安全評估標準,知識域：信息安全相關(guān)標準,知識子域：信息安全國家標準了解我國信息安全標準體系框架掌握信息安全等級保護標準體系，熟悉信息安全等級保護相關(guān)標準,85,信息安全標準體系,信息安全標準體系是由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標準組成的科學有機整體，是編制信息安全標準制訂/修訂計劃的重要依據(jù)，是促進信息安全領(lǐng)域內(nèi)的標準組成趨向科學化合理化的手段；是一幅現(xiàn)有、應(yīng)有和預(yù)計制定的信息安全標準的藍圖，并隨著科學技術(shù)的發(fā)展不斷地完善和更新。,86,我國信息安全標準體系框架,我國信息安全標準體系，是在總結(jié)各工作組對本領(lǐng)域標準體系研究成果的基礎(chǔ)上形成的，是全國安全標準化技術(shù)委員會各工作組共同的工作成果。是在跟蹤分析了國際信息安全標準的