信息安全等级保护制度的主要内容和要求课件

信息安全等级保护制度的主要内信息安全等级保护制度的主要内容和要求容和要求北京市电子产品质量检测中心北京市电子产品质量检测中心王春雷王春雷信息安全等级保护制度的主要内容和要求北京市电子产品质量检测中1目目 录录一、国外关键基础设施保护政策一、国外关键基础设施保护政策二、我国信息安全政策法规综述二、我国信息安全政策法规综述三、等级保护制度的主要内容三、等级保护制度的主要内容四、等级保护政策体系和标准体系四、等级保护政策体系和标准体系五、等级保护工作的具体内容和要求五、等级保护工作的具体内容和要求目 录2一、国外关键基础设施保护政策一、国外关键基础设施保护政策一、国外关键基础设施保护政策3信息安全保障工作概况信息安全保障工作概况知识子域：国外信息安全保障情况知识子域：国外信息安全保障情况了解发达国家信息安全状况和信息安全保障的主要举措了解发达国家信息安全方面主要动态知识子域：我国信息安全保障工作总体情况知识子域：我国信息安全保障工作总体情况了解我国信息安全保障工作发展阶段理解国家信息安全保障基本原则了解国家信息安全保障建设主要内容信息安全保障工作概况知识子域：国外信息安全保障情况4发达国家信息安全保障的主要举措发达国家信息安全保障的主要举措信息安全是国家安全的重要组成部分已成为世界各国的共识;各国纷纷出台自己的信息安全战略和政策，加强自身的国家信息安全保障体系建设。发达国家信息安全保障的主要举措信息安全是国家安全的重要组成部5国外信息安全保障体系的最新趋势国外信息安全保障体系的最新趋势战略：发布网络安全战略、政策评估报告、推进计划等文件政治：通过设立网络安全协调机构、设立协调官，强化集中领导和综合协调军事：陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题外交：信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或双边谈判的实质性内容科技：各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位关键基础设施仍然是信息安全保障的最核心内容国外信息安全保障体系的最新趋势战略：发布网络安全战略、政策评6美国信息安全保障战略美国信息安全保障战略：一个轮回：一个轮回 三届政府三届政府 四个文件四个文件798年克林顿政府年克林顿政府PDD6300年信息系统保护国家计划年信息系统保护国家计划 01年布什政府年布什政府PCIPB 03年保护网际空间国家战略年保护网际空间国家战略 1998年5月，克林顿政府发布了第63号总统令（PDD63）：克林顿政府对关键基础设施保护的政策 2000年1月，克林顿政府发布了信息系统保护国家计划V1.0，提出了美国政府在21世纪之初若干年的网络空间安全发展规划。2001年10月16日，布什政府意识到了911之后信息安全的严峻性，发布了第13231号行政令信息时代的关键基础设施保护，宣布成立“总统关键基础设施保护委员会”，简称PCIPB，代表政府全面负责国家的网络空间安全工作2003年2月，在征求国民意见的基础上，发布了保护网际空间的国家战略的正式版本，对原草案版本做了大篇幅的改动，重点突出国家政府层面上的战略任务，这是一个非常大的跨越 2010年3月2日，奥巴马政府部分解密了CNCI，包括3个重要目标，12个倡议 美国信息安全保障战略：一个轮回 三届政府 四个文件7网络空间7美国美国CNCICNCI：网络：网络“曼哈顿计划曼哈顿计划”2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI)。三道防线三道防线建立第一线防御：减少当前漏洞和隐患，预防入侵；全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁；强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。十二项任务十二项任务美国CNCI：网络“曼哈顿计划”2008年1月2日发布的国家8美国信息安全保障组织机构美国信息安全保障组织机构网络安全协调官：负责领导白宫“网络安全办公室”，制定和发布国家信息安全政策首任网络安全协调官霍华德施密特，被喻为“网络沙皇”国土安全部（国土安全部（DHSDHS）、国家安全局（）、国家安全局（NSANSA）、国防部（）、国防部（DODDOD）、）、联邦调查局（联邦调查局（FBIFBI）、中央情况报局（）、中央情况报局（CIACIA）、国家标准技术研）、国家标准技术研究所（究所（NISTNIST）等）等6 6个机构具体执行不同的分管职责个机构具体执行不同的分管职责公私合作机构公私合作机构:国家基础设施顾问委员会（国家基础设施顾问委员会（NIACNIAC）、信息共）、信息共享和分析中心（享和分析中心（ISACISAC）、网络安全全国联盟（）、网络安全全国联盟（NCSANCSA）等等）等等美国信息安全保障组织机构网络安全协调官：负责领导白宫“网络安9美国信息安全保障基本做法美国信息安全保障基本做法1993年克林顿政府提出兴建“国家信息基础设施”（信息高速公路），1998年首次提出信息安全的概念和意义；1998年5月国家安全局制定了信息保障技术框架；2000年公布首个信息系统保护国家计划；2002年下半年，以国土安全战略为引导，布什政府逐步出台一系列国家安全政策，将信息保障战略纳入总体国家战略之中：美国信息安全保障基本做法1993年克林顿政府提出兴建“国家信10美国信息安全保障的重点对象美国信息安全保障的重点对象2001年美国出台美国爱国者法案，定义“关键基础实施”的含义；2003年12月发布国土安全总统令/HSPD-7确定了17个关键基础设施；2008年3月国土安全部将关键制造业类为第18项关键基础设施；目前美国的关键基础设施和主要资源部门；美国信息安全保障的重点对象2001年美国出台美国爱国者法案11美国信息安全保障基本做法美国信息安全保障基本做法20052005年美国建立了国家漏洞库（年美国建立了国家漏洞库（NVDNVD），利用技术优势掌），利用技术优势掌握全球最全面的信息安全漏洞信息握全球最全面的信息安全漏洞信息20082008年年1 1月月8 8日，布什以第日，布什以第5454号国家安全总统令和第号国家安全总统令和第2323号号国土安全总统令的形式签署国土安全总统令的形式签署国家网络安全综合计划国家网络安全综合计划这项计划高度强调国家意志，被称为信息安全的“曼哈顿计划；目标：保护没有网络安全，防止美国遭到敌对的电子攻击，并能对敌方展开在线攻击；预算：高达300-400亿美元；属于高度机密，2010年3月奥巴马政府公开了其部分内容；要求美国政府与安全有关的部门参与实施；美国信息安全保障基本做法2005年美国建立了国家漏洞库（NV12英国信息安全保障体系建设动态英国信息安全保障体系建设动态全面紧跟美国，全面紧跟美国，20092009年年6 6月，英国发布首份国家网络安月，英国发布首份国家网络安全战略全战略，宣布成立，宣布成立“网络安全办公室网络安全办公室”和和“网络安全运网络安全运行中心行中心”，提出建立新的网络管理机构的具体措施。，提出建立新的网络管理机构的具体措施。注重信息安全标准组织建设，重视将本国标准向海外推广，注重信息安全标准组织建设，重视将本国标准向海外推广，积极参与国际信息安全标准制定。积极参与国际信息安全标准制定。英国BSI 7799标准享誉全球，已成为国际标准，并主导ISO/IEC 27000系列标准强化网络监控，规定警方和国家安全、税务等监察部门有强化网络监控，规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统，成为西方大国中唯一权监控电子邮件和移动电话等系统，成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家的政府可以要求网络用户交出加密资料密钥的国家英国信息安全保障体系建设动态全面紧跟美国，2009年6月，英13英国信息安全保障的重点对象英国信息安全保障的重点对象英国国计民生不可或缺的许多关键服务依赖信息技术，有10个部分被认为是在提供“基本服务”。英国信息安全保障的重点对象英国国计民生不可或缺的许多关键服务14英国信息安全保障基本做法英国信息安全保障基本做法立法工作立法工作1984年制定数据保护法1990年出台反计算机滥用法1997年实施电信诈骗法2000年出台信息自由法1998年贸易和工业部发表加强竞争力白皮书：确定了英国建设信年贸易和工业部发表加强竞争力白皮书：确定了英国建设信息社会的方式息社会的方式2005年英国政府制定发表了信息保障管理框架：作为信息安全保年英国政府制定发表了信息保障管理框架：作为信息安全保障战略。障战略。英国信息安全保障基本做法立法工作15英国信息安全保障基本做法英国信息安全保障基本做法2009年6月，英国政府推出首份国家网络安全战略，宣布成立“网络安全办公室”和“网络安全运行中心”，提出了建立网络管理机制的具体措施英国建立了两个国家级的计算机应急响应小组英国建立了两个国家级的计算机应急响应小组英国政府计算机响应小组英国国防部计算机应急响应小组注重政府信息系统安全注重政府信息系统安全采用网络逻辑隔离、PKI等安全技术加强政务外网安全构建支持“身份联合管理”的内部电子邮件系统注重标准制定，注重标准制定，BS7799是国际信息安全管理标准是国际信息安全管理标准ISO27000的前身的前身注重网络监管注重网络监管是唯一政府可以要求网络用户交出加密密钥的国家英国信息安全保障基本做法2009年6月，英国政府推出首份国16英国信息安全保障组织机构英国信息安全保障组织机构国家基础设施安全协调中心负责信息安全工作的跨部门机构运行着英国的计算机应急响应小组信息保障中央主办局和民事应急局信息保障中央主办局和民事应急局负责信息安全工作负责信息安全工作的重要政府机构的重要政府机构英国信息安全保障组织机构国家基础设施安全协调中心17世界上第一个建立电子政务标准的国家。世界上第一个建立电子政务标准的国家。1991年，德国在内政部下建立信息安全局（年，德国在内政部下建立信息安全局（BSI），负责处理），负责处理与网络空间相关的所有问题。与网络空间相关的所有问题。重视关键基础设施信息安全保障，建立日尔曼人的重视关键基础设施信息安全保障，建立日尔曼人的“基线基线”防防御。御。1997年建立部际关键基础设施工作组；年建立部际关键基础设施工作组；2005年出台信息基础设施保护计划和关键基础设施保年出台信息基础设施保护计划和关键基础设施保护的基线保护概念护的基线保护概念德国信息安全保障体系建设动态德国信息安全保障体系建设动态世界上第一个建立电子政务标准的国家。1991年，德国在内18法国信息安全保障体系建设动态法国信息安全保障体系建设动态20032003年年1212月总理办公室提出强化信息系统安全国家计划月总理办公室提出强化信息系统安全国家计划并得到政府批准实施，四大目标：并得到政府批准实施，四大目标：确保国家领导通信安全；确保政府信息通信安全；建立计算机反共济能力；将法国信息系统安全纳入欧盟颞部法国安全政策范围。20092009年年7 7月月7 7日，成立国家级日，成立国家级“网络和信息安全局网络和信息安全局”，置于，置于总理领导之下，隶属国防部。总理领导之下，隶属国防部。法国信息安全保障体系建设动态2003年12月总理办公室提出19其他西方国家信息安全保障体系建设动态其他西方国家信息安全保障体系建设动态加拿大：加拿大：2004年提出了国家安全政策；2004年11月发布国家关键基础设施保护战略；2010年10月3日，发布加拿大网络安全战略。澳大利亚：澳大利亚：把信息网络技术作为国家经济和社会发展的重要推动力量。制定并采取一系列与信息安全有关的政策和措施，把建立安全可靠的网络空间作为信息安全保障的战略目标。其他西方国家信息安全保障体系建设动态加拿大：20俄罗斯信息安全保障体系建设动态俄罗斯信息安全保障体系建设动态重点保护对象：重点保护对象：经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾害响应机构：机构：俄罗斯联邦安全理事会；俄罗斯联邦安全局（国家安全管理机关，信息安全工作主管和执法机关）；俄罗斯技术和出口控制局；俄罗斯联邦保卫局、信息技术和通信部基本做法：基本做法：俄罗斯国家安全纲要作为信息安全战略；注重安全测评；实施信息安全分级管理。俄罗斯信息安全保障体系建设动态重点保护对象：21亚太地区信息安全保障体系建设动态亚太地区信息安全保障体系建设动态日本：日本：实施了实施了“保障型保障型”信息安全战略；信息安全战略；强调强调“信息安全保障是日本综合安全保障体系的核心信息安全保障是日本综合安全保障体系的核心”。韩国：韩国：将信息安全视为使馆国防安全的重大战略问题，不断加大将信息安全视为使馆国防安全的重大战略问题，不断加大信息安全保障系统管理力度，加快信息安全系统的建设步信息安全保障系统管理力度，加快信息安全系统的建设步伐；伐；在在2010年建立信息安全司令部，以维护韩国的国家网络安年建立信息安全司令部，以维护韩国的国家网络安全。全。亚太地区信息安全保障体系建设动态日本：实施了“保障型”信息22日本日本重点保护对象：重点保护对象：通信、政府和行政管理服务、金融、民航、铁路、后勤保通信、政府和行政管理服务、金融、民航、铁路、后勤保障、电力、天然气、医疗服务、水障、电力、天然气、医疗服务、水机构：机构：日本日本IT战略本部、国家信息安全中心、信息安全政策理事会、战略本部、国家信息安全中心、信息安全政策理事会、经济贸易产业省、国家警察厅经济贸易产业省、国家警察厅基本做法：基本做法：1992年建立国家计算机应急响应协调中心；年建立国家计算机应急响应协调中心；2001年实施建设先进信息和电信网络社会基本法，同年实施建设先进信息和电信网络社会基本法，同年公布确保电子政务实施过程中的信息安全行动方案；年公布确保电子政务实施过程中的信息安全行动方案；2003年经济经济贸易产业省开发多种信息安全评估系统；年经济经济贸易产业省开发多种信息安全评估系统；2004年国家警察厅在每个地区局建立反高科技犯罪科；年国家警察厅在每个地区局建立反高科技犯罪科；2005年成立国家信息安全中心以美国网络空间安全国家年成立国家信息安全中心以美国网络空间安全国家战略为蓝本，发布日本计算机安全战略。战略为蓝本，发布日本计算机安全战略。日本重点保护对象：通信、政府和行政管理服务、金融、民航、铁23印度印度重点保护对象：重点保护对象：银行和金融、保险、民航、电信、原子能、电力、邮政、铁路、太空、石油和天然气、国防、执法机关机构：机构：国家信息委员会、国家信息安全协调中心、信息基础设施保护中心、信息技术局、印度计算机应急响应小组基本做法：基本做法：2000年，颁布信息安全法；积极推广互联网和IT基础设施建设等；2009年印度政府宣布开发“中央监控系统”，直接连接国内所有通信服务商，实现对印度境内所有电话和互联网通信的监听印度重点保护对象：24分析总结分析总结重点保护对象重点保护对象各国之间历史、国情、文化不同，具体的重点保护各国之间历史、国情、文化不同，具体的重点保护对象也有所差异，但共同特点是将与国家安全、社对象也有所差异，但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安会稳定和民生密切相关的关键基础设施作为信息安全保障的重点；全保障的重点；国际关键信息基础设施保护手册（国际关键信息基础设施保护手册（CIIP Handbook）2008/2009显示，所有国家最常被提显示，所有国家最常被提到的关键部门都是现代化社会的核心部门，也是被到的关键部门都是现代化社会的核心部门，也是被破坏后可能造成极大规模灾害的部门；破坏后可能造成极大规模灾害的部门；其中银行和金融被全部其中银行和金融被全部24个接受个接受CIIP调查的国家列调查的国家列为国家关键基础设施。为国家关键基础设施。分析总结重点保护对象各国之间历史、国情、文化不同，具体的25分析总结分析总结信息安全组织机构信息安全组织机构少数国家在中央政府一级设立机构专门负责处理网络少数国家在中央政府一级设立机构专门负责处理网络信息安全问题，如美国；大多数国家信息安全管理职信息安全问题，如美国；大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担；能由不同政府部门的多个机构和单位共同承担；机构单位的设立，以及机构在信息安全管理中的影响机构单位的设立，以及机构在信息安全管理中的影响力，受到民防传统、资源配置、历史经验以及决策者力，受到民防传统、资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响；对信息安全威胁总体认识程度的影响；两种观念在机构设置问题上具有较大影响力：两种观念在机构设置问题上具有较大影响力：执法机关强调信息安全属于防范敌对势力入侵及网络执法机关强调信息安全属于防范敌对势力入侵及网络犯罪的范畴犯罪的范畴经营基础设施的部门将调信息安全属于技术问题或经经营基础设施的部门将调信息安全属于技术问题或经济成本问题济成本问题在现实信息安全威胁性质的决定下，前一种观念在大在现实信息安全威胁性质的决定下，前一种观念在大多数国家成为主流多数国家成为主流分析总结信息安全组织机构少数国家在中央政府一级设立机构专26分析总结分析总结基本做法基本做法将信息安全视为国家安全的重要组成部分是主流将信息安全视为国家安全的重要组成部分是主流积极推动信息安全立法和标准规范建设是主流积极推动信息安全立法和标准规范建设是主流重视对基础网络和重要信息系统的监管和安全测评重视对基础网络和重要信息系统的监管和安全测评是主流是主流普遍重视信息安全事件应急响应普遍重视信息安全事件应急响应普遍认识到公共私营合作伙伴关系的重要性，一方普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源面政府加强管理力度，一方面充分利用社会资源分析总结基本做法将信息安全视为国家安全的重要组成部分是主27二、二、我国信息安全政策法规综述我国信息安全政策法规综述二、我国信息安全政策法规综述28课程内容课程内容29信息信息安全法安全法规与政规与政策策知识知识体体知识知识域域信息安全信息安全法律法规法律法规知识子域知识子域国家信息安全法治总体情况国家信息安全法治总体情况等级保护有关政策规范等级保护有关政策规范风险评估有关政策规范风险评估有关政策规范信息安全信息安全国家政策国家政策现行重要信息安全法规现行重要信息安全法规电子政务与重要信息系统信息电子政务与重要信息系统信息安全政策安全政策国家信息安全保障总体方针国家信息安全保障总体方针课程内容29信息安全法规与政策知识体知识域信息安全知识子域国29知识域：信息安全相关法律知识域：信息安全相关法律知识子域：知识子域：国家信息安全法治总体情况国家信息安全法治总体情况了解信息安全法治建设的意义了解信息安全法治建设的意义了解我国信息安全法律法规体系框架了解我国信息安全法律法规体系框架知识子域：知识子域：现行重要信息安全法规现行重要信息安全法规掌握保守国家秘密法的主要内容掌握保守国家秘密法的主要内容理解电子签名法的意义和作用理解电子签名法的意义和作用了解刑法有关信息安全犯罪的规定了解刑法有关信息安全犯罪的规定了解全国人大常委会关于维护互联网安全的决定了解全国人大常委会关于维护互联网安全的决定30知识域：信息安全相关法律知识子域：国家信息安全法治总体情况30国家法律体系国家法律体系国国务院院各各部部委委多级立法31国家法律体系国务院各部委多级立法3131法律、政策的定义法律、政策的定义法律（法律（LawLaw）-国家制定或认可的，由国家强制力保证国家制定或认可的，由国家强制力保证实施的，以规定当事人权利和义务为内容的具有普遍约束实施的，以规定当事人权利和义务为内容的具有普遍约束力的社会规范。力的社会规范。政策（政策（PolicyPolicy）-国家国家或或政党组织等，以权威形式标准政党组织等，以权威形式标准化地规定在一定的时期内，应该达到的目标、遵循的行动化地规定在一定的时期内，应该达到的目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。骤和具体措施。32法律、政策的定义法律（Law）-国家制定或认可的，由32法律和政策的区别法律和政策的区别政策有党的政策、国家政策之分，有总政策、基本政策和具体政策之别。政策在成为法律之前，表现为决定、决议、纲领、宣言、通知、纪要等形式。33法律和政策的区别政策有党的政策、国家政策之分，有总政策、基本33国家信息安全保障体系国家信息安全保障体系信息安全技术与产业支撑平台信息安全技术与产业支撑平台信息安全基础设施信息安全基础设施信息安全法律法规与政策环境信息安全法律法规与政策环境信信息息安安全全人人才才培培训训教教育育体体系系信息安全组织机构及管理体系信息安全组织机构及管理体系信信息息安安全全标标准准与与规规范范34国家信息安全保障体系信息安全技术与产业支撑平台信息安全基础设34信息安全在国家安全中的地位信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保密工作，并从敏感党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。之下。党的十六届四中全会将信息安全与政治安全、经济安全、党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素文化安全并列为国家安全的重要组成要素信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。-胡锦涛35信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保35我国的信息安全管理体制我国的信息安全管理体制目前，我国信息安全管理格局是一个多方目前，我国信息安全管理格局是一个多方“齐抓共管齐抓共管”的的体制，各相关主管部门分别执行各自的安全职能，共同维体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全护国家的信息安全国家信息化领导小组（国家网络与信息安全协调小组）国家信息化领导小组（国家网络与信息安全协调小组）工信部工信部公安部公安部国家安全部国家安全部国家保密局国家保密局国家密码管理委员会国家密码管理委员会等等等等36我国的信息安全管理体制目前，我国信息安全管理格局是一个多方“36我国的信息安全基础设施我国的信息安全基础设施中国信息安全测评中心中国信息安全测评中心(CNITSEC)(CNITSEC)中国信息安全认证中心中国信息安全认证中心(ISCCC)(ISCCC)国家计算机网络应急技术处理协调中心（国家计算机网络应急技术处理协调中心（CNCERT/CCCNCERT/CC）国家计算机病毒应急处理中心国家计算机病毒应急处理中心全国信息安全标准化技术委员会（全国信息安全标准化技术委员会（TC260TC260）等等等等37我国的信息安全基础设施中国信息安全测评中心(CNITSEC)37信息安全法治建设的意义信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的必要环节信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利的建设、信息安全相关行为的规范、信息安全中各方权利义务义务明确违反信息安全的行为，并对其行为进行相应的处罚等明确违反信息安全的行为，并对其行为进行相应的处罚等保护国家信息主权和社会公共利益是信息安全立法的首要目标38信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的38信息安全法治建设的意义信息安全法治建设的意义信息安全不再只是个技术问题，而更多地是个商业和法律信息安全不再只是个技术问题，而更多地是个商业和法律问题问题-安全漏洞、信息犯罪的本质？安全漏洞、信息犯罪的本质？信息安全产业的逐渐形成和成熟，需要必要的规范信息安全产业的逐渐形成和成熟，需要必要的规范信息安全法治建设涉及的主体：信息安全主管部门、各类信息安全法治建设涉及的主体：信息安全主管部门、各类ITIT产品和服务的安全（产品和服务的安全（ITSPITSP）、信息安全类产品和服务）、信息安全类产品和服务（ISSPISSP）、信息及信息系统的拥有者和使用者）、信息及信息系统的拥有者和使用者信息安全法治建设涉及的客体：信息数据、信息系统信息安全法治建设涉及的客体：信息数据、信息系统狭义的信息安全 广义的信息安全39信息安全法治建设的意义信息安全不再只是个技术问题，而更多地是39我国信息安全法治建设的初步成效我国信息安全法治建设的初步成效法律法规体系初步构建，但体系化与有效性等方面仍有待法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善进一步完善法律少而规章等偏多，缺乏信息安全的基本法法律少而规章等偏多，缺乏信息安全的基本法与信息安全相关的司法和行政管理体系迅速完善与信息安全相关的司法和行政管理体系迅速完善法律法律法规的内容法规的内容篇幅偏小，行为规范较简单篇幅偏小，行为规范较简单40我国信息安全法治建设的初步成效法律法规体系初步构建，但体系化40我国信息安全法治建设展望我国信息安全法治建设展望需要一部信息安全的基本法需要一部信息安全的基本法国家信息安全法国家信息安全法 （或先出台信息安全条例）（或先出台信息安全条例）信息安全的基本原则与基本制度信息安全的主要核心内容进一步完善各领域的信息安全专门法进一步完善各领域的信息安全专门法信息安全的监管模式和认证体系（面向信息安全各类主体和客体）信息安全常态管理（等级保护制度等）信息安全应急管理（预警、监测、通报和应急处理等）网络与信息系统全生命周期的信息安全信息内容安全特定领域的信息安全（电子政务、电子商务、行业信息化等）组织信息资产的基本法律地位个人信息保护的基本规范信息安全犯罪41我国信息安全法治建设展望需要一部信息安全的基本法国家信息安41宪法中的有关规定宪法中的有关规定宪法宪法 第二章第二章 公民的基本权利和义务公民的基本权利和义务 第第4040条条公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。法律42宪法中的有关规定宪法 第二章 公民的基本权利和义务 42刑法中的有关规定（刑法中的有关规定（1 1）刑法刑法 第六章第六章 妨碍社会管理秩序罪妨碍社会管理秩序罪 第一节第一节 扰乱公扰乱公共秩序罪共秩序罪 第第285285、286286、287287条条285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。法律43刑法中的有关规定（1）刑法 第六章 妨碍社会管理秩序43刑法中的有关规定（刑法中的有关规定（2 2）刑法刑法 第六章第六章 妨碍社会管理秩序罪妨碍社会管理秩序罪 第一节第一节 扰乱公扰乱公共秩序罪共秩序罪 第第285285、286286、287287条条286条：破坏计算机信息系统罪。违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。287条：利用计算机实施犯罪的提示性规定。利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。44法律刑法中的有关规定（2）刑法 第六章 妨碍社会管理秩序44治安管理处罚法中的有关规定治安管理处罚法中的有关规定治安管理处罚法治安管理处罚法 第三章第三章 违反治安管理的行为和处罚违反治安管理的行为和处罚 第一节第一节 扰乱公共秩序的行为和处罚扰乱公共秩序的行为和处罚 第第2929条条有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：（一）违反国家规定，侵入计算机信息系统，造成危害的；（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。治安管理处罚法治安管理处罚法 其他规定（与非法信息传等播相关）：其他规定（与非法信息传等播相关）：第第4242、4747、6868条条法律45治安管理处罚法中的有关规定治安管理处罚法 第三章 违45全国人大关于维护互联网安全的决定全国人大关于维护互联网安全的决定背景背景互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。互联网安全的范畴（法律约束力）互联网安全的范畴（法律约束力）互联网的运行安全（侵入、破坏性程序、攻击、中断服务等）国家安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等）市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等）个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等）法律责任法律责任构成犯罪的，依照刑法有关规定追究刑事责任构成民事侵权的，依法承担民事责任尚不构成犯罪的：治安管理处罚/行政处罚/行政处分或纪律处分 法律46全国人大关于维护互联网安全的决定背景法律4646计算机信息系统安全保护条例计算机信息系统安全保护条例计算机信息系统计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。安全保护安全保护保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。主管部门主管部门公安部主管全国计算机信息系统安全保护工作（含安全监督职权）。国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。安全保护制度（要点）安全保护制度（要点）计算机信息系统实行安全等级保护。使用单位应当建立健全安全管理制度。安全专用产品（硬件、软件）的销售实行许可证制度。行政法规47计算机信息系统安全保护条例计算机信息系统行政法规4747其他一些行政法规和部门规章其他一些行政法规和部门规章行政法规行政法规电信条例计算机信息网络国际互联网管理暂行规定计算机信息网络国际联网安全保护管理办法互联网信息服务管理办法部门规章部门规章中国互联网域名管理办法（原信产部）互联网IP地址备案管理办法（原信产部）电子认证服务管理办法（原信产部）互联网电子邮件服务管理办法（原信产部）互联网安全保护技术措施规定（公安部）计算机病毒防治管理办法（公安部）信息安全等级保护管理办法（公安部）计算机信息系统国际互联网保密管理规定（保密局）互联网新闻信息服务管理规定（国新办、原信产部）48其他一些行政法规和部门规章行政法规4848一些地方性法规一些地方性法规北京市信息化促进条例（第五章北京市信息化促进条例（第五章 信息安全保障）信息安全保障）北京市公共服务网络与信息系统安全管理规定北京市公共服务网络与信息系统安全管理规定北京市北京市党政机关党政机关计算机网络与信息安全管理办法计算机网络与信息安全管理办法广东省计算机信息系统安全保护管理规定广东省计算机信息系统安全保护管理规定广东省电子政务信息安全管理暂行办法广东省电子政务信息安全管理暂行办法上海市公共信息系统安全测评管理办法上海市公共信息系统安全测评管理办法 。49一些地方性法规北京市信息化促进条例（第五章 信息安全保障49知识域：信息安全国家政策知识域：信息安全国家政策知识子域：国家信息安全管理总体方针知识子域：国家信息安全管理总体方针 掌握国家有关政策对信息安全保障工作的总体要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作知识子域：电子政务及重要信息系统信息安全政策知识子域：电子政务及重要信息系统信息安全政策了解关于加强政府信息系统安全和保密管理工作的四项基本要求：明确职责、强化人员培训、完善安全措施和手段、加强信息安全检查50知识域：信息安全国家政策知识子域：国家信息安全管理总体方针 50国家信息化领导小组关于加强信息安全保障工作的意见（中国家信息化领导小组关于加强信息安全保障工作的意见（中办发办发200327200327号）号）1 1意义意义标志着我国信息安全保障工作有了总体纲领提出要在5年内建设中国信息安全保障体系总体要求总体要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。主要原则主要原则立足国情，以我为主，坚持技术与管理并重；正确处理安全和发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。51国家信息化领导小组关于加强信息安全保障工作的意见（中办发51国家信息化领导小组关于加强信息安全保障工国家信息化领导小组关于加强信息安全保障工作的意见作的意见（中办发（中办发200327号）号）2主要任务（重点加强的安全保障工作）主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制信息安全与国家安全信息安全与国家安全27号文：信息安全已成为国家安全的重要组成部分十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全十一五：试点 十二五：普及推广52国家信息化领导小组关于加强信息安全保障工作的意见（中办发52国家电子政务工程建设项目管理暂行办法国家电子政务工程建设项目管理暂行办法本身不是政策，属于法律法规本身不是政策，属于法律法规部门规章-国家发改委令2007第55号对国家电子政务工程建设项目有明确的信息安全要求第六章第六章 验收评价管理验收评价管理项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。第七章第七章 运行管理运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。项建书、可研报告、初步设计方案项建书、可研报告、初步设计方案在“项建和可研”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”国家电子政务工程建设项目管理暂行办法本身不是政策，属于法律法53关于加强政府信息安全和保密管理工作的通知关于加强政府信息安全和保密管理工作的通知（国办（国办发发200817号）号）明确职责明确职责把信息安全和保密工作列入重要议事日程，明确一名主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责强化人员培训强化人员培训组织信息安全和保密基本技能培训，开展信息安全和保密形势分析深入学习宣传信息安全“五禁止”规定完善安全措施和手完善安全措施和手段段管理制度+技术手段加强信息安全检查加强信息安全检查详见政府信息系统安全检查办法54关于加强政府信息安全和保密管理工作的通知（国办发200854关于印发政府信息系统安全检查办法的通知关于印发政府信息系统安全检查办法的通知（国办（国办发发200928号）号）1依据依据关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）检查范围和检查重点检查范围和检查重点各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。检查方式检查方式各单位自查+统一组织抽查+安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南（工信部协2009168号）2010年度政府信息系统安全检查指南（工信部协2010143号）55关于印发政府信息系统安全检查办法的通知（国办发2009255关于印发政府信息系统安全检查办法的通知关于印发政府信息系统安全检查办法的通知（国（国办发办发200928号）号）2检查内容检查内容安全制度落实情况-人员、制度、经费等安全防范措施落实情况-各类技术措施应急响应机制建设情况-应急预案制定和演练、应急队伍、事故处置、数据/系统备份等信息技术产品和服务国产化情况-终端/OA/信息安全产品国产情况、信息安全服务外包情况等安全教育培训情况-参加、掌握、持证等情况责任追究情况安全隐患排查及整改情况安全形势、安全风险评估状况56关于印发政府信息系统安全检查办法的通知（国办发20092562010年度政府信息系统安全检查指南年度政府信息系统安全检查指南（工信部协（工信部协2010143号）号）检查内容（检查指南比检查办法更细化，以检查内容（检查指南比检查办法更细化，以20102010年为例）年为例）信息安全组织机构日常信息安全管理（人员、资产、运维）等级保护与风险评估 技术防护手段建设（网络边界、信息安全产品、服务器、网络设备、终端计算机和移动存储设备、门户网站、密码技术、网络信任措施）应急管理工作开展（应急预案、应急演练、应急技术支援队伍、灾难备份、应急处置）信息技术产品和信息安全产品使用 信息安全服务 信息安全教育培训 信息安全经费保障 安全隐患排查及整改 572010年度政府信息系统安全检查指南（工信部协201057关于印发国家网络与信息安全事件应急预案的通关于印发国家网络与信息安全事件应急预案的通知知（国办函（国办函2008168号）号）背景背景2003年：国务院成立应急办，颁布了国家突发公共卫生事件应急条例2004年：国家突发公共事件总体应急预案（4大类公共安全）国家网络与信息安全事件应急预案2007年：制定发布国家突发事件应对法预案要点预案要点网络与信息安全事件的分类分级参照标准：信息安全事件分类分级指南（GB/Z 20986）应急流程：预防预警应急处置后期处置参照标准：信息安全事件管理指南（GB/Z 20985）组织体系和应急保障应急队伍、经费、物资、通信、科技。监督管理监督管理宣传教育、培训、演练、责任与奖惩58关于印发国家网络与信息安全事件应急预案的通知（国办函20058知识域：信息安全国家政策知识域：信息安全国家政策知识子域：风险评估有关政策规范知识子域：风险评估有关政策规范了解国家有关政策对信息安全风险评估工作提出的要求了解国家有关政策对电子政务工程及国家重要信息系统建设项目风险评估专控队伍的规定知识子域：等级保护有关政策规范知识子域：等级保护有关政策规范了解信息安全等级保护管理办法的有关要求知识子域：国知识子域：国家密码管理政策家密码管理政策了解我国对密码的管理政策要求59知识域：信息安全国家政策知识子域：风险评估有关政策规范5959关于开展信息安全风险评估的意见关于开展信息安全风险评估的意见（国信办（国信办20065号）号）信息安全风险评估（基于风险管理）信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施基本工作要求基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估相关保障相关保障参照标准:信息安全风险评估规范（GB/T 20984）、信息安全风险管理规范（制定中）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）60关于开展信息安全风险评估的意见（国信办20065号）信息60关于加强国家电子政务工程建设项目信息安全风关于加强国家电子政务工程建设项目信息安全风险评估工作的通知险评估工作的通知（发改高技（发改高技20082071号）号）依据和目的依据和目的国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号三部委联合发文：发改委、公安部、保密局将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档）风险评估的主要内容风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等两类信息系统的工作开展两类信息系统的工作开展涉密信息系统参照“分级保护”，进行系统测评并履行审批手续非涉密信息系统参照“等级保护”，完成等级测评和风险评估工作，并形成相关报告相关要点相关要点对信息安全风险评估机构的指定（1家+3家）信息安全风险评估经费计入该项目总投资投入运行后，应定期开展信息安全风险评估61关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（61关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见（公字通（公字通200466号）号）1信息安全等级保护信息安全等级保护是保障和促进信息化建设健康发展的一项基本制度核心是对信息安全分等级、按标准进行建设、管理和监督公安机关负责信息安全等级保护工作的监督、检查、指导保密/密码/信息化工作部门各自的职责分工信息和信息系统的安全保护等级（信息和信息系统的安全保护等级（及其适用范围及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度62关于信息安全等级保护工作的实施意见（公字通20046662关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见（公字通（公字通200466号）号）2实施要求实施要求完善标准,分类指导（管理规范和技术标准）科学定级,严格备案（专家评审委员会。三级以上系统备案）建设整改,落实措施（信息系统：已有、新建、改建、扩建）自查自纠,落实要求（运营、使用单位及其主管部门）建立制度,加强管理（运营、使用单位及其主管部门）监督检查,完善保护（公安机关重点对第三、第四级系统）其他等级要求其他等级要求国家对信息安全产品的使用实行分等级管理信息安全事件实行分等级响应、处置的制度63关于信息安全等级保护工作的实施意见（公字通20046663关于印发关于印发的通知的通知（公字通（公字通200743号）号）通知是政策，管理办法属于法律法规通知是政策，管理办法属于法律法规四部委联合发文：公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级实施与管理实施与管理具体实施等级保护工作 参照标准：信息系统安全等级保护实施指南确定安全保护等级 参照标准：信息系统安全等级保护定级指南系统建设 参照标准：信息系统安全等级保护基本要求等等级测评 参照标准：信息系统安全等级保护测评要求二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求涉密信息系统涉密信息系统按按分级保护管理（分级保护管理（略略）对信息安全等级保护的密码实行分类分级管理（对信息安全等级保护的密码实行分类分级管理（略略）64关于印发的通知（公字通200764关于开展信息安全等级保护安全建设整改工作的关于开展信息安全等级保护安全建设整改工作的指导意见指导意见（公信安（公信安20091429号）号）工作目标工作目标力争在2012年底前完成已定级信息系统(不含涉密信息系统)安全建设整改工作工作内容工作内容开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求信息安全等级保护安全建设整改工作指南参照标准：信息系统安全等级保护基本要求信息系统安全建设整改工作基本流程（管理建设、技术建设）信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类）65关于开展信息安全等级保护安全建设整改工作的指导意见（公信安65关于推动信息安全等级保护测评体系建设和开展关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知等级测评工作的通知（公信安（公信安2010303号）号）工作目标工作目标提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行 工作内容工作内容积极稳妥地推动等级测评机构建设确保测评机构的水平和能力符合测评工作要求督促备案单位开展信息系统等级测评工作 信息安全等级保护测评工作管理规范（试行）信息系统安全等级测评报告模版（试行）另有政策：公信安20091487号 66关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知66我国信息安全政策的初步成效我国信息安全政策的初步成效依托依托20032003年的年的2727号文（总体纲领），明确了信息安全保障工号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广度结合深度，制定、发布并落实围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）务类、应急预案等）其他领域：灾难备份、管理体系、监控、应急、信任体系、其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等产品和服务认证、人员培训和认证等67我国信息安全政策的初步成效依托2003年的27号文（总体纲领67我国信息安全政策的后续展望我国信息安全政策的后续展望“十一五十一五”期间发布的各项政策均将进入落实期期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展由电子政务领域向其他领域拓展关系到国计民生的行业公共服务类商业性、一般业务类尽快形成尽快形成“统一的统一的”信息安全服务资质管理体制信息安全服务资质管理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障68我国信息安全政策的后续展望“十一五”期间发布的各项政策均将进68三