CISP0501信息安全法规政策和标准含网络安全课件

信息安全法规、政策和标准版本：3.0发布日期：2014-12-1生效日期：2015-1-1信息安全法规、政策和标准版本：3.0一二请在这里输入您的主要叙述内容整体概述三请在这里输入您的主要叙述内容请在这里输入您的主要叙述内容一二请在这里输入您的主要叙述内容整体概述三请在这里输入您的主课程内容（1 1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定课程内容（1）信息安全知识体知识域信息安全知识子域我国信息安课程内容（2 2）信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准4课程内容（2）信息安全知识体知识域信息安全知识子域信息安全信课程内容（3 3）知识体知识域知识子域信息安全道德规范信息技术通行道德规范信息安全从业人员道德规范CISP职业道德准则计算机使用道德规范互联网使用道德规范信息安全从业人员基本道德规范5课程内容（3）知识体知识域知识子域信息安全信息技术信息安全从知识域：信息安全法规v知识子域：我国信息安全法规体系框架了解信息安全法治建设的意义了解我国信息安全法律法规体系框架6知识域：信息安全法规知识子域：我国信息安全法规体系框架6信息安全法治建设的意义v信息安全法律环境是信息安全保障体系中的必要环节v明确信息安全的基本原则和基本制度、信息安全事物中各方权利义务v明确违反信息安全的行为，并对其行为进行相应的处罚v信息安全不再只是个技术问题，而更多地是个商业和法律问题v信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范7信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的我国的多级立法体系结构多级立法8我国的多级立法体系结构多级立法8我国信息安全法律法规体系框架v在多级立法的体制下，我国已经先后颁布了一些包含信息安全相关内容的法律、法规、规章等宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法.计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例.公安部（安全专用产品等）原信产部（互联网域名等）国新办（互联网新闻信息服务）保密局（保密等）.国务院各部委北京市信息化促进条例、辽宁省计算机信息系统安全管理条例.北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法.9我国信息安全法律法规体系框架在多级立法的体制下，我国已经先后国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）我国信息安全法治建设的发展历程通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法（1989）（2010年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86计算机信息系统安全保护条例（1994）计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全的决定（2000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-002017年网络安全法（2016.11.7）2013年下半年提上日程，2014年形成草案，15年初形成征求意见稿，15年6月一审，16年6月二审、10月31日三审、11月7日人大通过，2017年6月1日施行154票赞成、0票反对、1票弃权互联网安全10国家信息化领导小组关于加强信息安全保障工作的意见（中办发知识域：信息安全法规v知识子域：信息安全相关国家法律了解信息保护相关法律理解国家秘密的概念、基本范围和密级划分，以及保护国家秘密相关法律的要求 理解商业秘密的概念、基本范围，以及保护商业秘密相关法律的要求理解个人信息的概念、基本范围，以及保护个人信息相关法律的要求理解网络违法犯罪的概念，了解打击网络违法犯罪相关法律了解在保护国家秘密、维护公共安全、规范电子签名行为等方面，我国从法律层面明确的信息安全相关工作的主管/监管机构及其具体职权11知识域：信息安全法规知识子域：信息安全相关国家法律11我国信息安全法律分类v我国信息安全法律分类信息保护相关法律打击网络违法犯罪相关法律信息安全管理相关法律12我国信息安全法律分类我国信息安全法律分类12信息保护相关法律v信息保护相关法律保护国家秘密相关法律保守国家秘密法、刑法、全国人民代表大会常务委员会关于维护互联网安全的决定等保护商业秘密相关法律反不正当竞争法、合同法、劳动法、刑事诉讼法、民事诉讼法等保护个人信息相关法律宪法、居民身份证法、护照法、民法通则、全国人民代表大会常务委员会关于维护互联网安全的决定、全国人民代表大会常务委员会关于加强网络信息保护的决定等13信息保护相关法律信息保护相关法律13国家秘密v国家秘密14国家秘密国家秘密14国家秘密的基本范围v主要包括产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项国家事务重大决策中的秘密事项国防建设和武装力量活动中的秘密事项外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项国民经济和社会发展中的秘密事项科学技术中的秘密事项维护国家安全活动和追查刑事犯罪中的秘密事项党政秘密中符合上述各项内容的事项其他经国家保密行政管理部门确定的秘密事项15国家秘密的基本范围主要包括产生于政治、国防军事、外交外事、经国家秘密的保密期限v国家秘密的保密期限，除另有规定外绝密级不超过三十年机密级不超过二十年秘密级不超过十年v另有规定主要是指在保密事项范围中明确规定某类国家秘密事项保密期限为“长期”的情况这些国家秘密事项长期关系国家安全和利益，即使定为三十年的最长保密期限，也难以满足保密需求不能确定保密期限的国家秘密，应当确定解密条件16国家秘密的保密期限国家秘密的保密期限，除另有规定外16国家秘密的密级划分密级描述泄露后果绝密最重要的国家秘密泄露会使国家安全和利益遭受特别严重的损害机密重要的国家秘密泄露会使国家安全和利益遭受严重的损害秘密一般的国家秘密泄露会使国家安全和利益遭受损害17国家秘密的密级划分密级描述泄露后果绝密最重要的国家秘密泄露会保守国家秘密法v主旨（总则）目的：保守国家秘密，维护国家安全和利益国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务国家保密行政管理部门主管全国的保密工作保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查v主要内容对我国国家秘密的定密程序、解密制度和保密期限等作出了明确规定明确了国家秘密相关的保密制度明确了国家秘密的监督管理部门明确了对危害国家秘密安全的行为要追究的法律责任法律18保守国家秘密法主旨（总则）法律18商业秘密v商业秘密不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息技术信息类商业秘密未公开的设计、程序、产品配方、制作工艺等完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据针对技术问题的技术诀窍经营信息类商业秘密经营策略、产销策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息19商业秘密商业秘密19保护商业秘密相关法律（1 1）v反不正当竞争法认定了侵犯商业秘密的不正当竞争行为，并对经营者侵犯商业秘密的行为进行了禁止v合同法和劳动合同法有对商业秘密/技术秘密进行保护的条款v合同法技术合同的内容应包括“技术情报和资料的保密”相关条款技术秘密转让合同的让与人和受让人均应承担保密义务20保护商业秘密相关法律（1）反不正当竞争法20保护商业秘密相关法律（2 2）v劳动合同法用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项v刑事诉讼法涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理v民事诉讼法对涉及商业秘密的证据应当保密，需要在法庭出示的，不得在公开开庭时出示人民法院审理民事案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理21保护商业秘密相关法律（2）劳动合同法21个人信息v个人信息有关一个可识别的自然人的任何信息姓名、职位、电话号码等可在适当范围内公开的信息健康体检报告、医疗记录、通话记录等不愿公开的个人隐私信息系统所特有的账号、口令等用于进行用户标识和身份鉴别的信息22个人信息个人信息22宪法中的有关规定v宪法 第二章 公民的基本权利和义务 第4040条公民的通信自由和通信秘密受法律的保护除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密法律23宪法中的有关规定宪法 第二章 公民的基本权利和义务 非法使用/滥用个人信息v非法使用/滥用个人信息、侵犯个人隐私的行为未经他人同意，擅自公布他人的隐私材料以书面、口头形式宣扬他人隐私窃取或者以其他非法方式获取公民个人电子信息出售或者非法向他人提供公民个人电子信息网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息对在业务活动中经被收集者同意收集的公民个人电子信息没有采取必要的保密措施医疗机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料、健康体检报告等行为24非法使用/滥用个人信息非法使用/滥用个人信息、侵犯个人隐私的打击网络违法犯罪相关法律v网络违法犯罪狭义指以计算机网络为违法犯罪对象而实施的危害网络空间的行为广义是以计算机网络为违法犯罪工具或者为违法犯罪对象而实施的危害网络空间的行为，应当包括违反国家规定，直接危害网络安全及网络正常秩序的各种违法/犯罪行为v相关法律关于维护互联网安全的决定治安管理处罚法刑法25打击网络违法犯罪相关法律网络违法犯罪25网络违法/犯罪行为v网络违法/犯罪行为破坏互联网运行安全的行为破坏国家安全和社会稳定的行为破坏社会主义市场经济秩序和社会管理秩序的行为侵犯个人、法人和其他组织的人身、财产等合法权利的行为利用互联网实施以上四类所列行为以外的违法/犯罪行为26网络违法/犯罪行为网络违法/犯罪行为26信息安全主管/监管机构（1 1）v保护国家秘密中华人民共和国保守国家秘密法由国家保密行政管理部门主管全国的保密工作县级以上地方各级保密行政管理部门主管本行政区域的保密工作国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作中央国家机关在其职权范围内，管理或者指导本系统的保密工作国家保密行政管理部门的最高机构是国家保密局27信息安全主管/监管机构（1）保护国家秘密27信息安全主管/监管机构（2 2）v维护公共安全人民警察法和治安管理处罚法公安部门负责全国的治安管理工作县级以上地方各级人民政府公安机关负责本行政区域内的治安管理工作28信息安全主管/监管机构（2）维护公共安全28信息安全主管/监管机构（3 3）v规范电子签名行为中华人民共和国电子签名法电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务；从事电子认证服务，应当向国务院信息产业主管部门提出申请工业和信息化部29信息安全主管/监管机构（3）规范电子签名行为29网络安全法（1 1）v中华人民共和国网络安全法（20162016年1111月7 7日第十二届全国人民代表大会常务委员会第二十四次会议通过）共7章79条第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节一般规定第二节关键信息基础设施的运行安全第四章 网络信息安全 第五章 监测预警与应急处置 第六章 法律责任 第七章 附 则 30网络安全法（1）中华人民共和国网络安全法30网络安全法（2 2）v六大突出亮点：第一，明确了网络空间主权的原则第二，明确了网络产品和服务提供者的安全义务第三，明确了网络运营者的安全义务第四，进一步完善了个人信息保护规则第五，建立了关键信息基础设施安全保护制度第六，确立了关键信息基础设施重要数据跨境传输的规则31网络安全法（2）六大突出亮点：31网络安全法（3 3）v1、国家承担的责任义务 第三条 国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。（明确原则、方针）第四条 国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。（解决顶层设计问题）32网络安全法（3）1、国家承担的责任义务 32网络安全法（4 4）第五条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。（国家承担主要任务，解决行业自身力量不足问题）第六条 国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。（表明国际合作态度）33网络安全法（4）第五条 国家采取措施，监测、防御、处置来源于网络安全法（5 5）第十二条 国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。(未成年人保护）第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。（强化标准体系建设）34网络安全法（5）第十二条 国家保护公民、法人和其他组织依法使网络安全法（6 6）第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。（解决投入不足问题）第十七条 国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。（社会广泛参与服务）第十八条 国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。（鼓励和支持创新）35网络安全法（6）第十六条 国务院和省、自治区、直辖市人民政府网络安全法（7 7）第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。（多种形式教育）第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。（解决人才不足问题）36网络安全法（7）第十九条 各级人民政府及其有关部门应当组织开网络安全法（8 8）v2、职责任务 第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。（重要条款。部门分工，本法与其他法律的关系）县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。37网络安全法（8）2、职责任务 37网络安全法（9 9）第十一条 网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。（行业自律）第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门 有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。38网络安全法（9）第十一条 网络相关行业组织按照章程，加强行业网络安全法（1010）v3、国家网络安全等级保护制度第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。39网络安全法（10）3、国家网络安全等级保护制度39网络安全法（1111）v4、网络运营者基本责任义务 第九条 网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。第十条 建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。（保护重点）40网络安全法（11）4、网络运营者基本责任义务 40网络安全法（1212）第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（日志留存）（四）采取数据分类、重要数据备份和加密等措施；（数据安全）41网络安全法（12）第二十一条 国家实行网络安全等级保护制度。网络安全法（1313）第二十四条 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。（实名制要求）国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。（网络身份认证）42网络安全法（13）第二十四条 网络运营者为用户办理网络接入、网络安全法（1414）第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。（应急预案、应急处置）第二十六条 开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。（第三方服务要守法）43网络安全法（14）第二十五条 网络运营者应当制定网络安全事件网络安全法（1515）v5 5、关键信息基础设施的运行安全 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（CII必须落实国家等级保护制度，突出保护重点）国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。44网络安全法（15）5、关键信息基础设施的运行安全 44网络安全法（1616）第三十二条 按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。（制定规划）第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。（三同步原则）45网络安全法（16）第三十二条 按照国务院规定的职责分工，负责网络安全法（1717）第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（重点措施）（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练（五）法律、行政法规规定的其他义务。46网络安全法（17）第三十四条 除本法第二十一条的规定外，关键网络安全法（1818）第三十五条 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。（非常态的网络产品和服务的国家安全审查）第三十六条 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。（外包服务安全，防范服务商）第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。（等级测评，风险评估，渗透测试）47网络安全法（18）第三十五条 关键信息基础设施的运营者采购网网络安全法（1919）v6、数据境内存储和跨境提供 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。（数据留存和提供）v7、网络产品、服务要求 第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。48网络安全法（19）6、数据境内存储和跨境提供 48网络安全法（2020）第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。（禁止网络犯罪和支持协助犯罪）v8 8、网络信息安全 第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。49网络安全法（20）第二十七条 任何个人和组织不得从事非法侵入网络安全法（2121）第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。（强化个人信息保护）第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。（网络运营者对个人信息保护责任）50网络安全法（21）第四十一条 网络运营者收集、使用个人信息，网络安全法（2222）第四十五条 依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供(监管人员责任）第四十六条 任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。第四十七条 网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告（违法信息传播的阻断义务）第四十八条 任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。（禁止传播违法信息）51网络安全法（22）第四十五条 依法负有网络安全监督管理职责的网络安全法（2323）第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责。发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。v9 9、监测预警与应急处置 第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。（将信息通报制度上升为法律）52网络安全法（23）第五十条 国家网信部门和有关部门依法履行网网络安全法（2424）第五十五条 发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。（事件应急处置）第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。（约谈）53网络安全法（24）第五十五条 发生网络安全事件，应当立即启动网络安全法（2525）v法律责任 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。54网络安全法（25）法律责任 54网络安全法（2626）第六十九条 网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正;拒不改正或者情节严重的，处五万元以上五十万元以下罚款;对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：(一)未将网络安全风险、网络安全事件向有关主管部门报告的;(二)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的;(三)拒绝、阻碍有关部门依法实施的监督检查的;(四)拒不向公安机关、国家安全机关提供技术支持和协助的。（对网络运营者未履行职责、义务进行处罚）55网络安全法（26）第六十九条 网络运营者违反本法规定，有下列知识域：信息安全法规v知识子域：信息安全相关行政法规和部门规章了解信息安全相关行政法规，掌握涉及信息安全的相关内容了解信息安全相关部门规章，掌握涉及信息安全的相关内容解读网络安全法，熟悉最新要求56知识域：信息安全法规知识子域：信息安全相关行政法规和部门规章信息安全相关行政法规v计算机信息系统安全保护条例v商用密码管理条例v其他中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国电信条例互联网信息服务管理办法互联网上网服务营业场所管理条例信息网络传播权保护条例 .57信息安全相关行政法规计算机信息系统安全保护条例57计算机信息系统安全保护条例保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行公安部主管全国计算机信息系统安全保护工作（含安全监督职权）国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作计算机信息系统实行安全等级保护使用单位应当建立健全安全管理制度安全专用产品（硬件、软件）的销售实行许可证制度v国务院令第147号，1994年2月18日发布施行58计算机信息系统安全保护条例安全保护保障计算机及其相关的和商用密码管理条例是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品商用密码技术属于国家秘密国家密码管理委员会及其办公室主管全国的商用密码管理工作国家对商用密码产品的科研、生产、销售和使用实行专控管理商密产品销售单位应先获得商用密码产品销售许可证任何单位或者个人不得销售境外的密码产品不得使用自行研制的或者境外生产的密码产品不得转让其使用的商用密码产品（含故障维修、报废销毁）v国务院令第273号，1999年10月7日发布施行59商用密码管理条例商用密码是指对不涉及国家秘密内容的信息进信息安全相关部门规章v计算机信息系统安全专用产品检测和销售许可证管理办法 v计算机信息系统保密管理暂行规定v国家电子政务工程建设项目管理暂行办法60信息安全相关部门规章计算机信息系统安全专用产品检测和销售许计算机信息系统安全专用产品 检测和销售许可证管理办法v公安部令第32号，1997年12月12日施行61计算机信息系统安全专用产品 检测和销售许可证管理办法计算机信息系统保密管理暂行规定v国家保密局,国保发19981号,1998年2月26日发布施行62计算机信息系统保密管理暂行规定国家保密局,国保发199国家电子政务工程建设项目管理暂行办法v国家发改委令2007第55号,2007年9月1日起施行63国家电子政务工程建设项目管理暂行办法国家发改委令200知识域：信息安全法规v知识子域：信息安全相关地方法规、地方规章和行业规定了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容64知识域：信息安全法规知识子域：信息安全相关地方法规、地方规章地方法规v北京市信息化促进条例2007年9月14日公布，自2007年12月1日起施行适用于北京市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动v上海市公共信息系统安全测评管理办法2006年5月7日公布，2006年7月1日起施行适用于上海市行政区域内的公共信息系统安全测评管理活动，具体规定涉及测评的管理部门、责任制度、测评年度计划、新建系统的测评、测评机构、测评协议、测评要求、安全事项告知与协助义务、测评报告、安全整改，对测评机构违法行为的处理等方面v辽宁省计算机信息系统安全管理条例v重庆市计算机信息系统安全保护条例v.65地方法规北京市信息化促进条例65地方规章v北京市微博客发展管理若干规定（2011年12月16日公布并施行）v北京市公共服务网络与信息系统安全管理规定v北京市党政机关计算机网络与信息安全管理办法v上海市公共信息系统安全测评管理办法v天津市公共计算机信息网络安全保护规定v黑龙江省计算机信息系统安全管理规定v辽宁省计算机信息保密管理规定v大连市人民政府公共信息网络管理暂行规定v四川省计算机信息系统安全保护管理办法v山西省计算机安全管理规定v山东省计算机信息系统安全管理办法v安徽省计算机信息系统安全保护办法v河南省计算机信息系统安全保护暂行办法66地方规章北京市微博客发展管理若干规定（2011年12月1地方规章v广东省计算机信息系统安全保护管理规定v广东省电子政务信息安全管理暂行办法v广东省互联网上网服务营业场所管理办法v广东省计算机信息系统安全保护管理规定实施细则（试行）v广东省通信短信息服务管理办法（试行）v深圳经济特区计算机信息系统公共安全管理规定v福建省互联网上网服务营业场所管理规定v江苏省互联网网络与信息安全管理暂行规定v云南省网络与信息系统安全监察管理规定v江西省计算机信息系统安全保护办法v杭州市计算机信息系统安全保护管理办法v.67地方规章广东省计算机信息系统安全保护管理规定67行业规定v中国银监会电子银行业务管理办法电子银行安全评估指引银行业金融机构信息系统风险管理指引v中国证监会网上证券委托暂行管理办法证券期货业信息安全保障管理暂行办法证券公司集中交易安全管理技术指引期货公司信息公示管理规定（自2009年11月16日起施行）深圳证券交易所交易异常情况处理实施细则（试行）上海证券交易所交易异常情况处理实施细则（试行）v.68行业规定中国银监会68知识域：信息安全法规v知识子域：国外典型信息安全相关法规简介了解美国信息安全相关法规概况69知识域：信息安全法规知识子域：国外典型信息安全相关法规简介6国外信息安全法律法规简介v国外信息安全法律法规简介（以美国为例）信息自由法（FreedomofInformationActof1966，FOIA）爱国者法（USAPatriotofActof2001）联邦信息安全管理法案（FederalInformationSecurityManagementActof2002，FISMA）公众公司会计改革与投资者保护法70国外信息安全法律法规简介国外信息安全法律法规简介（以美国为例信息自由法v信息自由法美国对政府信息进行立法保护的首要原则是向公众公开原则（也叫信息公开原则），是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由，但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举71信息自由法信息自由法71爱国者法v爱国者法是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律，也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中由于该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉案该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行调查72爱国者法爱国者法72联邦信息安全管理法案v联邦信息安全管理法案对国家信息安全管理职责的授权国家标准与技术局（NIST）为联邦政府使用的系统制定安全标准与指南管理与预算办公室（OMB）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督属于电子政务法的第三部分,电子政务法该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定73联邦信息安全管理法案联邦信息安全管理法案73公众公司会计改革与投资者保护法v公众公司会计改革与投资者保护法又名萨班斯-奥克斯利法主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全该法案要求公众公司保证其内部金融控制的准确性，规定由证券交易委员会（SEC）制定规则，强制要求公众公司年度报告中包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴定报告74公众公司会计改革与投资者保护法公众公司会计改革与投资者知识域：信息安全政策v知识子域：国家信息安全政策概况了解国家有关政策提出的加强信息安全保障工作的方针和总体要求理解国家有关政策规定的加强信息安全保障工作的主要原则理解国家有关政策规定的需要重点加强的信息安全保障工作75知识域：信息安全政策知识子域：国家信息安全政策概况75我国信息安全保障工作总体文件v国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号明确了我国信息安全保障工作的方针和总体要求加强信息安全保障工作的主要原则需要重点加强的信息安全保障工作27号文的发布具有重大意义它标志着我国信息安全保障工作有了总体纲领我国最近十余年的信息安全保障工作都是围绕此政策性文件来展开和推进的促进了我国信息安全保障建设的各项工作76我国信息安全保障工作总体文件国家信息化领导小组关于加强信息国家信息化领导小组关于加强信息安全保障工作的意见v总体方针和要求坚持积极防御、综合防范的方针全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全v主要原则立足国情，以我为主，坚持技术与管理并重正确处理安全和发展的关系，以安全保发展，在发展中求安全统筹规划，突出重点，强化基础工作明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系77国家信息化领导小组关于加强信息安全保障工作的意见总体方针国家信息化领导小组关于加强信息安全保障工作的意见v主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制78国家信息化领导小组关于加强信息安全保障工作的意见主要任务我国信息安全政策的初步成效、后续展望v初步成效依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等v后续展望“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障79我国信息安全政策的初步成效、后续展望初步成效79知识域：信息安全政策v知识子域：信息安全相关国家政策了解信息安全相关国家政策理解风险评估、保密管理、应急处理、安全检查和工控安全等涉及信息安全的相关内容理解信息安全等级保护政策体系，了解信息安全等级保护相关政策80知识域：信息安全政策知识子域：信息安全相关国家政策80信息安全相关的政策v风险评估相关政策v保密管理相关政策v应急处理相关政策v安全检查相关政策v工控安全相关政策v等级保护相关政策v加强信息安全保障相关政策v物联网安全相关政策81信息安全相关的政策风险评估相关政策81关于开展信息安全风险评估工作的意见（国信办2006520065号）v信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施v基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）信息安全风险评估分自评估、检查评估两形式,应以自评估为主，自评估和检查评估相互结合、互为补充v相关保障参照标准:信息安全风险评估规范（GB/T 20984-2007）、信息安全风险管理指南（GB/Z 24364-2009）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）风险评估相关政策82关于开展信息安全风险评估工作的意见（国信办20065号关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技2008207120082071号）v依据和目的国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号目的是为了贯彻落实中办发200327号文，加强基础信息网络和重要信息系统安全保障，加强和规范国家电子政务工程建设项目信息安全风险评估工作v风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等v两类信息系统的工作开展涉密信息系统参照“分级保护”非涉密信息系统参照“等级保护”v相关要点要求将“信息安全风险评估”作为电子政务项目验收的重要内容对信息安全风险评估机构的指定（1家+3家）投入运行后，应定期开展信息安全风险评估风险评估相关政策83关于加强国家电子政务工程建设项目信息安全风险评估工作的通知关于加强政府信息系统安全和保密管理工作的通知（国办发200817200817号）v加强组织领导，明确安全责任把信息安全和保密工作列入重要议事日程，明确主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责v强化教育培训，提高安全意识和防护技能组织信息安全和保密基本技能培训深入学习宣传信息安全“五禁止”规定v建立健全安全管理制度，完善安全措施和手段管理制度+技术手段v做好信息安全检查工作，依法追究责任详见政府信息系统安全检查办法保密管理相关政策84关于加强政府信息系统安全和保密管理工作的通知（国办发200关于印发国家网络与信息安全事件应急预案的通知（国办函20081682008168号）v背景2003年：国务院成立应急办，颁布了国家突发公共卫生事件应急条例2006年：国家突发公共事件总体应急预案（4大类公共事件）国家网络与信息安全事件应急预案2007年：制定发布国家突发事件应对法2008年，国务院办公厅发布本通知（国办函2008168号）v预案要点网络与信息安全事件的分类分级参照标准：信息安全事件分类分级指南（GB/Z 20986）应急流程阶段：预防预警应急处置后期处置参照标准：信息安全事件管理指南（GB/Z 20985）组织体系和应急保障应急队伍、经费、物资、通信、科技。v监督管理宣传教育、培训、演练、责任与奖惩应急处理相关政策85关于印发国家网络与信息安全事件应急预案的通知（国办函200关于印发政府信息系统安全检查办法的通知（国办发200928200928号）v概述依据关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）v检查范围v各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。v检查重点国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。v检查方式各单位自查+统一组织抽查+安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南（工信部协2009168号）2010年度政府信息系统安全检查指南（工信部协2010143号）2011年度政府信息系统安全检查指南（工信部协2011214号）安全检查相关政策86关于印发政府信息系统安全检查办法的通知（国办发20092关于加强工业控制系统信息安全管理的通知（工信部协20114512011451号）v基本情况工信部协2011451号，2011年9月29日发布强调了工业控制系统信息安全的重要性工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全v四个方面要求充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导工控安全相关政策87关于加强工业控制系统信息安全管理的通知（工信部协2011等级保护相关政策v信息安全等级保护的提出中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB 17859-1999计算机信息系统安全保护等级划分准则定义了安全保护等级的五个级别88等级保护相关政策信息安全等级保护的提出88信息安全等级保护法规政策体系89信息安全等级保护法规政策体系89依据和指导文件v等级保护工作的法律依据和政策依据中华人民共和国计算机信息系统安全保护条例国家信息化领导小组关于加强信息安全保障工作的意见v为等级保护工作的开展提供宏观指导和约束关于信息安全等级保护工作的实施意见信息安全等级保护管理办法90依据和指导文件等级保护工作的法律依据和政策依据90关于信息安全等级保护工作的实施意见（公字通200466200466号）v信息和信息系统的安全保护等级（及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级v定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度v实施要求完善标准,分类指导（管理规范和技术标准）科学定级,严格备案（专家评审委员会）建设整改,落实措施（信息系统：已有、新建、改建、扩建）自查自纠,落实要求（运营、使用单位及其主管部门）建立制度,加强管理（运营、使用单位及其主管部门）监督检查,完善保护（公安机关重点对第三、第四级系统监督检查）91关于信息安全等级保护工作的实施意见（公字通200466关于印发 的通知（公字通200743200743号）v通知是政策，管理办法属于部门规章联合发文：公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级v实施与管理具体实施等级保护工作 参照标准：信息系统安全等级保护实施指南确定安全保护等级 参照标准：信息系统安全等级保护定级指南系统建设 参照标准：信息系统安全等级保护基本要求等等级测评 参照标准：信息系统安全等级保护测评要求二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求v涉密信息系统按分级保护管理v对信息安全等级保护的密码实行分类分级管理92关于印发的通知（公字通2007关于开展全国重要信息系统安全等级保护定级工作的通知（公信安20078612007861号）v背景根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作v定级范围电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行