信息安全法律法规培训

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2016/12/11,#,信息安全法规与政策,培训机构名称,讲师名字,课程内容,2,信息安全法规与政策,知识体,知识域,信息安全,法律法规,知识子域,国家信息安全法治总体情况,等级保护有关政策规范,风险评估有关政策规范,信息安全,国家政策,现行重要信息安全法规,电子政务与重要信息系统信息安全政策,国家信息安全保障总体方针,道德规范,信息安全从业,人员道德规范,通行道德规范,CISP,职业道德准则,计算机使用道德规范,因特网使用道德规范,信息安全从业人员基本道德规范,知识域：信息安全相关法律,知识子域： 国家信息安全法治总体情况,了解信息安全法治建设的意义,了解我国信息安全法律法规体系框架,知识子域： 现行重要信息安全法规,掌握保守国家秘密法的主要内容,理解电子签名法的意义和作用,了解刑法有关信息安全犯罪的规定,了解全国人大常委会关于维护互联网安全的决定,3,基本概念,法律法规,国家政策,道德规范,标准,制度,4,法律、政策和,道德,的定义,法律（,Law,）,-,国家制定或认可的,，由国家强制力保证实施的，以规定当事人权利和义务为内容的具有普遍约束力的社会规范,。,政策（,Policy,）,-,国家,或,政党组织等，以权威形式标准化地规定在一定的时期内，应该达到的目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。,道德规范（,Ethic,）,-,一定,社会或阶级用以调整人们之间利益关系的行为准则，也是评价人们行为善恶,的标准。,5,国家,法律体系,6,法律,行政 法规,地方性法规,地方政府规章,部门 规章,全国人大 及其常委会,国务院,地方人大 及常委会,地方人民政府,国务院各部委,多级立法,法律和政策的区别,法律,政策,一旦制定，就比较稳定，长期有效，不允许经常更改,是,针对一定的问题制定的，一旦问题解决，或环境发生变化，政策就需要终止或修正,具有统一的实行标准和很强的可操作性,只是一定的规范、原则，要实施还需要将其具体化，转换成执行细则,法律,必须是公开的，面向社会公布的,政策,文件可以是公开的，也可以是“内部”的,7,政策有党的政策、国家政策之分，有总政策、基本政策和具体政策之别,。,政策在成为法律之,前,，,表现为,决,定、决议、纲领、宣言、通知、,纪要等形式。,法律和道德的区别,法律,道德,法律是国家意志的统一体现，有严密的逻辑体系，有不同的位阶和效力,尽管道德也可以按需分类，但,不具有法律那样的严谨的结构体系,法律都可以文字形式表现出来,道德的内容则主要存在于人们的道德意识中，表现于人们的言行上,违法犯罪的后果有明确规定，是一种“硬约束”,不道德行为的后果，是自我谴责和舆论压力，是一种“软约束”。,8,职业道德,是指符合职业特点要求的准则、情操、品质等,，,是职业义务,、职业责任以及职业行为,上的道德准则。,其他一些概念,标准（,Standard,）,-,原意为“标靶”（即：参照物），,为,了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文,件,。（,标准宜以科学、,技术,和实践经验,的综合成果为基础,，以促进最佳的共同效益为,目的,）,制度（,System,）,-,要求大家共同遵守的办事规程,或行动准则，,是国家法律、法令、政策的具体化，是人们行动的准则和依据,。（指导,+,约束,、,鞭策,+,激励、规范,+,程序,）,9,国家信息安全保障体系,10,信息安全技术与产业支撑平台,信,息安全基础设施,信息安全法律法规与政策环境,信,息,安,全,人,才,培,训,教,育,体,系,信息安全组织机构及管理体系,信,息,安,全,标,准,与,规,范,信息安全在国家安全中,的地位,党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。,党的十六届四中,全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成,要素,11,信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。,-胡锦涛,我国的信息安全管理体制,目前,，我国信息安全管理格局是一个多方“齐抓共管”的,体制，各相关主管部门分别执,行各自的安全职能，共同维护国家的信息,安全,国家信息化领导小组（国家网络与信息安全协调小组）,工信部,公安部,国家安全部,国家保密局,国家密码管理委员会,等等,12,我国的信息安全基础设施,中国信息安全测评中心,(CNITSEC),中国信息安全认证中心,(ISCCC),国家计算机网络应急技术处理协调中心（,CNCERT/CC,）,国家计算机病毒应急处,理,中心,全国,信息,安全标准化技术委员会（,TC260,）,等等,13,信息安全法治建设的意义,信息,安全法律环境是信息安全保障体系中的必要环节,明确,信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息,安全中各方权利义务,明确违反信息安全的行为，并对其行为进行相应的处罚,等,14,保护国家信息主权和社会公共利益是,信息安全立法的首要目标,信息安全法治建设的意义,信息安全不再只是个技术问题，,而更多地是个商业和法律问题,-,安全漏洞、信息犯罪的本质？,信息安全产业的逐渐形成和成熟，需要必要的规范,信息安全法治建设涉及的主体：,信息安全主管部门、各类,IT,产品和服务的,安全（,ITSP,）、,信息,安全类产品和服务（,ISSP,）、,信息及信息系统的拥有者和,使用者,信息安全法治建设涉及的客体,：,信息数据、,信息系统,15,狭义的信息安全,广义的信息安全,我国信息安全法律法规体系框架,16,法律,行政 法规,地方性法规,地方政府规章,部门 规章,全国人大 及其常委会,国务院,地方人大 及常委会,地方人民政府,宪法、刑法（部分条款）,国家安全法（部分条款）,保守国家秘密法,电子签名法,。,计算机信息系统安全保护条例,互联网信息服务管理办法,商用密码管理条例,。,。,公安部（安全专用产品等）,原信产部（互联网域名等）,国新办（互联网新闻信息服务）,保密局（保密等）,。,。,我国信息安全法治建设的发展历程,通信保密安全,计算机系统,安全,网络信息系统安全,1994,年,2000,年,2003,年,保守,国家,秘密法（,1989,）,（2010,年修订）,中央关于加强密码,工作的决,定,计算机信息系统安全保护,条例（,草案,）,-,86,计算机信息系统,安全保护条例（,1994,）,计算机信息系统,安全专用产品检测和销售许可证管理办法,-,97,计算机信息网络国际联网安全保护管理办法,-97,计算机信息系统保密管理暂行规,定,-98,商用密码管理,条例,-99,关于维护互联网安全,的决定（,2000,）,互联网信息服务管理办法,计算机病毒防治管理办法,计算机信息系统国际联网保密管理规,定,-00,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发,200327,号）,我国信息安全法治建设的初步成效,法律法规体系初步构,建，但体系化与有效,性等方面仍有待进一步完善,法律,少而规章等偏多，缺乏信息安全的,基本法,与,信息安全相关的司法和行政管理体系迅速完,善,法律,法规的内容,篇幅偏,小，行为规范较简单,18,截至,2008,年与信息安全直接相关的法律有,65,部,涉及网络与信息系统,安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息,安全犯罪制裁等多个领域。,我国信息安全法治建设展望,需要一部信息安全的,基本法,国家信息安全法,（或先出台,信息安全条例,）,信息安全的基本原则,与,基本,制度,信息安全的主要核心,内容,进一步完善各领域的信息安全专门法,信,息,安全的监管模式和认证体系（,面向信息安全各类主体和客体,）,信,息,安全,常态管理（,等级保护,制度等）,信息安全,应急管理（,预警、,监测、,通报和应急处理,等）,网络与信息系统,全生命周期,的信,息,安全,信,息内容,安全,特定领域的,信息,安全,（,电子政务、电子商务、,行业信息化等）,组织,信息,资产,的基本法律地位,个人信息保护,的,基本规范,信息安全犯罪,19,宪法,中的有关规定,宪法,第二章,公民的基本权利和义务,第,40,条,公民的通信自由和通信秘密受,法律的保护,。,除因,国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密,。,20,法律,刑法,中的有关规定（,1,）,刑法,第六章,妨碍社会管理秩序罪,第一节,扰乱公共秩序罪,第,285,、,286,、,287,条,285,条：,非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具,罪。,违反国家规,定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役,。,违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，,并处罚金。,提供专门用于,侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，,依照前款的规定处罚。,21,法律,刑法,中的有关规定（,2,）,刑法,第六章,妨碍社会管理秩序罪,第一节,扰乱公共秩序罪,第,285,、,286,、,287,条,286,条：,破坏计算机信息系统,罪。,违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑,。,违反国家规,定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚,。,故意,制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚,。,287,条,：,利用计算机实施犯罪的提示性规,定。,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,22,法律,治安管理处罚法,中的有关规定,治安管理处罚法,第三章,违反治安管理的行为和处罚,第一节,扰乱公共秩序的行为和处罚,第,29,条,有,下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：,（一）违反国家规定，侵入计算机信息系统，造成危害的；,（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；,（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；,（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的,。,治安管理处罚法,其他规定（与非法信息传等播相关）：第,42,、,47,、,68,条,23,法律,国家安全,法,中的有关规定,国家安全,法,第二章,国家,安全机关在国家安全工,作中的职权,第,10,、,11,条,第,10,条,国家安全机关因侦察危害国家安全行为的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施,。,第,11,条,国家安全机关为维护国家安全的需要，可以查验组织和个人的电子通信工具、器材等设备、设施。,24,法律,保守国家秘密法,（保密法,1,）,演进,保守国家秘密暂行条例,（,1951,年）,保守国家秘密法,（,1989,年）,保守国家秘密法,（,2010,年修订，,4,月,29,日修订，,10,月,1,日施行）,主旨（总则）,目的：,保守,国家秘密，维护国家安全和,利益。,国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项,。,国家秘密受法律保护。,一切国家机关,、武装力量、政党、社会团体、企业事业单位和公民都有保守国家,秘密的义务。,国家保密行政管理部门主管全国的保密工作,。,国家机关和涉及,国家秘密的单位（以下简称机关、单位）管理本机关和本单位的保密工作,。,保密工作责,任制：健全,保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查。,25,法律,保守国家秘密法,（保密法,2,）,国家秘密的范围,国家事务、,国防,武装,、外交,外事、政党秘密,国民经济和社会发展、科学技术,维护国家安全的活动、经保密主管部门确定的事项等,国家秘密的密级,绝密,-,是最重要的国家秘密，泄露会使国家安全和利益遭受特别严,重的损害；,保密期限不超过,30,年；,机密,-,是重要的国家秘密，泄露会使国家安全和利益遭受严,重的损害；,保密,期限不超过,20,年；,秘密,-,是一般的国家秘密，泄露会使国家,安全和利益遭受损害；,保密,期限不超过,1,0,年。,国家秘密的其他基本属性,定密权限（,定密责任人,）、保密期限,、,解密条件、知悉范围,国家秘密载体、国家秘密标志,26,法律,保守国家秘密法,（保密法,3,）,保密制度,对国家秘密载体的行为要求；,对属于国家秘密的设备、产品的行为要求；,对存储、处理国家秘密的计算机信息系统的要求,-,分级保护；,对组织和个人的行为要求（涉密信息系统管理、国家秘密载体管理、公开发布信息、各类涉密采购、涉密人员分类管理、保密教育培训、保密协议等）；,对,公共信息网络及,其他传媒,的行为要求；,对,互联网及,其他公共信息网络运营商、,服务商,的行为要求。,监督管理,国家保密行政管理部门依照法律、行政法规的规定，,制定保密规章和国家保密标准。,组织,开展保密宣传教育、保密检查、保密技术防护和泄密案件查处,工作，,对机关、单位,的保密工作进行指导和监督。,27,法律,保守国家秘密法,（保密法,4,）,法律责任,（第,48,条,人员处分及追究刑责）,（一）非法获取、持有国家秘密载体的；,（二）买卖、转送或者私自销毁国家秘密载体的；,（三）通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的；,（四）邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国家秘密载体出境的；,（五）非法复制、记录、存储国家秘密的；,（六）在私人交往和通信中涉及国家秘密的；,（七）在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的；,（八）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的；,（九）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的；,（十）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的；,（十一）擅自卸载、修改涉密信息系统的安全技术程序、管理程序的；,（十二）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。,有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理。,28,法律,全国人大关于维护互联网安全的决定,背景,互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注,。,互联网安全的范畴（法律约束力）,互联网的运行,安全（,侵入、破坏性程序、攻击、中断服务等,）,国家安全和社会稳,定（,有害信息、窃取,/,泄露国家秘密、煽动、非法组织等,）,市场经济秩序和社会管理,秩序（,销售伪劣产品,/,虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等,）,个人、法人和其他组织的人身、财产等合法权,利（,侮辱或诽谤他人、非法处理他人信息数据,/,侵犯通信自有和通信秘密、盗窃,/,诈骗,/,敲诈勒索等,）,法律责任,构成犯罪的，依照刑法有关规定追究刑事责,任,构成民事侵权的，依法承担民事责,任,尚不构成犯罪的：治安管理处罚,/,行政处罚,/,行政处分或纪律处分,29,法律,电子签名法,（,1,）,意义,2005,年,4,月,1,日正式施行的,电子签名法,，被,称为,“中国首部真正意义上的信息化法律,”，,自此电子签名与传统手写签名和盖章具有同等的法律效力,。,数据电文和电子签名,数据电文,-,是,指以电子,、光学、磁或者类似手段生成、发送、接收或者储存的信,息。,电子签名,-,是,指数据电,文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。,适用范围,民事活动中的合同或者其他文件、,单证等文书。,电子签名和数据电文不适用的文书（国际惯例）：涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。,30,法律,电子签名法,（,2,）,数据电文,的原件形式要求,能够有效地表现所载内容并可供随时调取查用；,能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性,。,数据电文的文件保存要求,能够有效地表现所载内容并可供随时调取查用；,数据电文的格式与其生成、发送或者接收时的格式相同，或者格式不相同但是能够准确表现原来生成、发送或者接收的内容；,能够识别数据电文的发件人、收件人以及发送、接收的时间,。,数据电,文的重要属性,作为证据的真实性（数据电文生成,/,存储,/,传递的可靠性、对保持,内容完整性的可靠性、对鉴别,发,件人的可靠性等）,发件人发送（发送时间、发送地点）、收件人收讫（接收时间、接收地点）,31,法律,电子签名法,（,3,）,可靠电子签名的四个要件,电子签名制作数据用于电子签名时，属于电子签名人专有；,签署时电子签名制作数据仅由电子签名人控制；,签署后对电子签名的任何改动能够被发现；,签署后对数据电文内容和形式的任何改动能够被发现,。,电子签名,需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务,电子认证服务应具备相适应的人员、资金、场所、技术和设备条件，以及国家密码管理机构同意使用密码的证明文件；,应向国务院信息产业主管部门申请，后者依法审查并征求商务主管部门等有关部门的意见后，对予以许可的颁发电子认证许可证书，再持该证向工商部门办理企业登记，并将其,电子认证业务规则,，并向国务院信息产业主管部门备案,。,32,法律,电子签名法,（,4,）,电子认证服务,提供者签发,的电子签名认证证书,内容,电子认证服务提供者名称；,证书持有人名称；,证书序列号；,证书有效期；,证书持有人的电子签名验证数据；,电子认证服务提供者的电子签名；,国务院信息产业主管部门规定的其他内容,。,对,电子认证服务提供者,的其他要求,保证证书内容在有效期内完整、准确；,拟,暂停,或,者终止电子认证服务,的要求,；,妥善保存与认证相关的信息，,信息保存期限（,至少为,证书失效,后,五年）。,33,法律,计算机信息系统安全保护条例,计算机信息系统,是指由计算机及其相关的和配套的设备、设施,(,含网络,),构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统,。,安全保护,保障计算机及其相关的和配套的设备、设施,(,含网络,),的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行,。,主管部门,公安部主管全国计算机信息系统安全保护,工作（含安全监督,职权,）。,国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作,。,安全保护制度,（要点）,计算机信息系统实行安全等级保护。,使用单位应当建立健全安全管理制度。,安全专用产品（,硬件、软件,）的销售实行许可证制度。,34,行政法规,商用密码管理,条例,商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品,。,商用密码技术属于国家秘密,。,主管部门,国家密码管理委员会及其办公室主管,全国的商用密码管理工作,。,国家对商用密码产品的,科研、生产、销售和使用实行专控管理,。,管理要点,商密产品由国家密码管理机构,分别,指定单位,进行科研、,生产,和检测,。,商密产品,销售单位应有,国家密码管理机构,颁发的,商用密码产品销售许可证,。,必须如实登记,备案,直接使用商用密码产品的用户,信息和产品用途。,不得使用自行研制的或者境外生产的密码产品,。,不得转让,其,使用的商用密码产品（,含故障维修、报废销毁,）。,35,行政法规,计算机信息系统安全专用产品,检测和销售许可证管理办法,两个必须,安全专用产品的生产者在其产品进入市场销售之前,必须申领,计算机信息系统,安全专用产品销售许可证,。,安全,全专用产,品的生产者申领销售许可证,必须对其产品进行,安全功能检测和认,定,。,检测（机构）,检测机构,对产品（样品）的安全功能和性能进行检测。,检测机构应,保守检测产,品的技术,秘密,，,并不得,非法占有他人科技,成果,，,不得从事与检测产,品有关的开发和对外咨询业务,。,销售许可证（主管部门）,由,公安部计算机管理监察部门颁发,安全专用产品,销售许可证（,两年内有效,）,、,“,销售许可”,标记（,生产者应,当在固定位置标明,该标记,）。,安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录,由公安部计算机管理监察部门,定期,发,布。,36,部门规章,计算机信息系统保密管理暂行规定,适用范围,适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统,。,主管部门,国家保密局主管全国计算机信息系统的保密工作,。,管理要点,涉密系统-,保密设施、保密措施、访问控制、数据保护等,涉密信息-,密级标识、,物理隔离等,涉密媒体,-,各类,计算机,媒体（,含打印输出等,）,涉密场所-,控制区、,防电磁信息泄漏、,其他物理安全等,系统管理,-,领导负责制、,管理,制度、保密检查、,人员培训和考核等,37,部门规章,其他一些行政法规和部门规章,行政法规,电信条例,计算机信息网络国际互联网管理暂行规定,计算机信息网络国际联网安全保护管理办法,互联网信息服务管理办法,部门规章,中国,互联网域名管理办法,（原信产部）,互联网,IP,地址备案管理办法,（原信产部）,电子认证服务管理办法,（原信产部,）,互联网电子邮件服务管理办法,（原信产部）,互联网安全保护技术措施规定,（公安部）,计算机病毒防治管理办法,（公安部）,信息安全等级保护管理办法,（公安部）,计算机信息系统国际互联网保密管理规定（保密局）,互联网新闻信息服务管理规,定,（国新办、原信产部）,38,一些地方性法规,北京市信息化促进条例,（第五章,信息安全保障）,北京市公共服务网络与信息系统安全管理规定,北京市党政机关计算机网络与信息安全管理办法,广东省计算机信息系统安全保护管理规定,广东省电子政务,信息,安全管理暂行办法,上海市公共信息系统安全测评管理办法,。,39,北京市信息化促进条例,第五章,信息安全保障（第,32-37,条）,按照国家和本市有关规定实行安全等级保护制度,按照等级保护管理规范和技术标准，开展网络与信息系统的安全建设（改建）、测评和保障,制定网络与信息安全事件应急预案，定期进行演练,组建公共服务网络与信息系统信息安全应急救援服务体系,任何单位和个人不得利用网络与信息系统从事危害国家安全，扰乱公共秩序，损害公民、法人和其他组织的合法权益，危害网络与信息系统安全以及散布、传播违法信息等活动,涉及国家秘密的信息化工程的管理，按照国家保密有关规定执行,40,广东省计算机信息系统安全保护管理规定,计算机信息系统使用单位应当确定计算机安全管理责任人，建立健全安全保护制度，落实安全保护技术措施，保障本单位计算机信息系统安全，并协助公安机关做好安全保护管理工作,。,安全保护制度（第,8,条）：计算机机房安全管理制度；安全管理责任人、信息审查员的任免和安全责任制度；网络安全漏洞检测和系统升级管理制度；操作权限管理制度；用户登记制度；信息发布审查、登记、保存、清除和备份制度，信息群发服务管理制度,。,安全技术措施（第,9,条）：系统重要部分的冗余或备份措施；计算机病毒防治措施；网络攻击防范、追踪措施；安全审计和预警措施；系统运行和用户使用日志记录保存,60,日以上措施；记录用户主叫电话号码和网络地址的措施；身份登记和识别确认措施；信息群发限制和有害数据防治措施。,41,广东省计算机信息系统安全保护管理规定,任何单位和个人不得利用计算机信息系统从事下列行为（第,11,条）：制作、复制、查阅、传播有害信息；侵犯他人隐私，窃取他人帐号，假冒他人名义发送信息，或者向他人发送垃圾信息；以盈利或者非正常使用为目的，未经允许向第三方公开他人电子邮箱地址；未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据；危害计算机信息系统安全的其他行为,。,重点,安全保护单位（,第,14,条,）：县级以上国家机关、国防单位；银行、证券、能源、交通、邮电通信单位；国家及省重点科研、教育单位；国有大中型企业；互联单位、接入单位及重点网站；向公众提供上网服务的场所,。,其他重要规定：,公安机关、国家,安全机关的职权；,对,重大安全,事故,的处置和报告；,安全专用产品,和密码产品的管理,；安全服务资质,的申请；罚则等等。,42,上海市公共信息系统安全测评管理办法,依据有关,信息安全标准、规范，对本市承担公共管理职,能的机构以及,提供社会公共服务,的单位的计算机信息系统,，进行安全保障性能测试、评估的活动,。,新建系统,的测评（,第,7,条,）：,应当在系统建设前将安全设计方案报送市信息委审查；市信息委应当在,15,日内提出审查意见。新建的公共信息系统试运行结束后,30,日内，应当进行安全测评,。,安全整改（第,13,条）：,应当根据测评报告的整改建议，对公共信息系统采取,安全整改措施。完成,安全整改后,15,日内，应当将整改情况报送,市信息委,及其主管部门,备案。,动态复测（第,15,条）：,每两年进行一次复测；系统的网络结构、信息处理流程等发生重大变更的，应当及时进行复测,。,43,国外信息安全法律法规简介,国外信息安全法律法规简介（以美国为例）,信息自由法,（,1966,年）,爱国者法,（,2001,年）,联邦信息安全管理法案,（,FISMA,，,2002,年）,属于,电子政务法,的第三部分,给出了信息安全的定义,国内外信息安全法治体系的差距分析,体系性,广度,深度,。,。,44,联邦政府信息保密分类标准,（,艾森豪威尔总统发布行政命令,10501,号，,1953,年,）,机,密级（,Confidential,）：根据合理的预期，公布以后可能会损害国家,安全的材料,。,秘密级,（,Secret,）：被用来保护披露后预计可能会严重危害国家安全的,材料,。,绝密,级（,Top Secret,）：是用于保护公开后预计可能会给国家安全带来异乎寻常之危害的,材料。,另,：,总统档,案法,（,Presidential Record Act of 1978,）,白宫幕僚向总统出谋划策的文件要该届政府结束,12,年之后才能公开,政府联邦机构（中情局等除外）须在,2000,年,4,月之前公开含有历史材料且时逾,25,年的保密档案,45,信息自由法,Freedom of Information Act of 1966，FOIA,美国对政府信息进行立法保护的首要原则是向公众公开原则,（,也叫信息公开原则,），是构成其,他信息安全保护法律的基础,该法案,主要,是保障公民的个人,自由,但,也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护,的信息加以列举：,国家安全问题；,内务材料；,法律规定豁免的材料；,商业秘密；,工作文件（当事人特权性材料）；,个人隐私文件；,执法档案；,金融机构材料；,地质数据。,46,保护美国关键基础设施,克林顿,总统令,PDD-63,，,1998,年,第一次,就美国信息安全战略的完整概念、意义、长期与短期,目标等作了说明,，,对,由国防部提出的“信息保障”作了,新的解释,，,并对下一步,的信息安全工作做了指示,。,最迟不晚于,2000,年,，,美国应当实现初步,的信息保障,能力。,从发布之,日起,五年后,，,美国将建立并保持对国家关键基础设施进行保护的能力,，,以防止下,述职能,被有预谋的行为破坏,：,联邦,政府履行其重要的国家安全责任并确保公众,健康和,安全,;,州和地方政府维持有序运转,提供最起码,的重要公共服务,;,私营部门确保经济有序运行以及,提供重要电信,、能源,、金融和运输的正常服务,。,要求,这些关键功能如遭到的任何破坏或操纵,必须将其控制在历时短、频率小、可控、,地域上可隔离以及对,美国的利益损害,最小。,47,爱国者法,USA Patriot of Act of 2001,是,“,9.11”,事件以后美国为保障国家安全颁布的最为重要的一件法律，也是目前争议最大的一部,法律。,从,法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在,安全的环境中,。,由于,该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉案,。,该法,还对美国现有的十几部法律做出了修改,政府可以对国外银行和对私人存户达,到,100,万美元,以上的账户进行尽职调查,48,联邦信息安全管理法案,Federal Information Security Management Act of 2002， FISMA,给出了“信息安全”的定义：,保护,信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁，以确保信息的完整性、保密性,和可用性,完,整性指,防止不恰当的信息修改和破坏，也包括确保信息的不可否认性和可认证,性,保密性指对信息访问和公开,的授权限制，包括对个人隐私和私有信,息的保护,可用性指对,信息的及时和可靠的访问,对,国家,信息,安全管理职责,恶授权,国家标准与技术局,（,NIST,）为联邦政府使用的系统制定安全标准与,指南,管理与预算办公室,（,OMB,）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）,情况进行监督,49,电子政务法,电子政务法,（the E-Government Act of 2002）,FISMA,是该法案的第,3,部分,该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定,50,美国企业改革法案,（Sarbanes-Oxley Act of 2002）,，,又名,公众公司会计改革与投资者保护法,，,简称,萨班斯,-,奥克斯利法,。,主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全,。,要求某些公司保证,其内部金融控制的准确性，证券交易委员会（,SEC,）有权制定标准并执行这些规则，与其他对金融组织拥有管辖权的机构负责对金融组织计算机系统上的有关个人金融信息隐私的规则的执,行,。,51,知识域：信息安全国家政策,知识子域：国家信息安全管理总体方针,掌握国家有关政策对信息安全保障工作的总体要求,掌握国家有关政策规定的加强信息安全保障工作主要原则,掌握国家有关政策规定需要重点加强的信息安全保障工作,知识子域：电子政务及重要信息系统信息安全政策,了解关于加强政府信息系统安全和保密管理工作的四项基本要求：明确职责、强化人员培训、完善安全措施和手段、加强信息安全检查,52,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发,200327,号）,1,意义,标志着我国信息安全保障工作有了总体纲领,提出要在,5,年内建设中国信息安全保障体系,总体要求,坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。,主要原则,立足国情，以我为主，坚持技术与管理并重；,正确处理安全和发展的关系，以安全保发展，在发展中求安全；,统筹规划，突出重点，强化基础工作；,明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,53,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发,200327,号）,2,主要任务（,重点加强的安全保障工作,）,实行信息安全等级保护,加强以密码技术为基础的信息保护和网络信任体系建设,建设和完善信息安全监控体系,重视信息安全应急处理工作,加强信息安全技术研究开发，推进信息安全产业发展,加强信息安全法制建设和标准化建设,加快信息安全人才培养，增强全民信息安全意识,保证信息安全资金,加强对信息安全保障工作的领导，建立健全信息安全管理责任制,信息安全与国家安全,27,号文：信息安全已成为国家安全的重要组成部分,十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全,54,十一五：试点,十二五：普及推广,国家电子政务工程建设项目管理暂行办法,本身不是政策，属于法律法规,部门规章,-,国家发改委令,2007,第,55,号,对国家电子政务工程建设项目有明确的信息安全要求,第六章 验收评价管理,项目建设单位应在完成项目建设任务后的半年内,组织完成建设项,目的信息安全风险评估和初步验收工作,。,第七章 运行,管理,项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化,的适应,性及安全措施的有效性,保障信息安全目标的实现,。,项建书、可研报告、初步设计方案,在“项建和可研”的项目建设方案中应包含“安全系统建设方案”,在“初设”的项目设计方案中应包含,“,安全系统设计”,关于加强政府信息安全和保密管理工作的通知（,国,办发,200817,号）,明确职责,把,信息安全和保密工作列入重要议事,日程，明确一名主管领导,谁主管谁负责,、谁运行谁负责、,谁使用谁负责,强化人员培训,组织,信息安全和保密,基本技能培训，,开展信息安全和保密形势分析,深入学习宣传信息安全“五禁止”规,定,完善安全措施和,手段,管理制度,+,技术手段,加强信息,安全检查,详见,政府信息系统安全检查办法,56,关于印发政府信息系统安全检查办法的通知（,国,办发,200928,号）,1,依据,关于加强政府信息系统安全和保密管理工作的通知,（国办发,200817,号）,检查范围和检查重点,各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。,国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。,检查方式,各单位自查 + 统一组织抽查 +,安全检测（按需）,工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工,2009,年度政府信息系统安全检查指南,（工信部协,2009168,号,）,2010,年度,政府信息系统安全检查指南,（工信部协,2010143,号,）,57,关于印发政府信息系统安全检查办法的通知（,国,办发,200928,号）,2,检查内容,安全制度落实情况,-,人员、制度、经费等,安全防范措施落实情况,-,各类技术措施,应急响应机制建设情况,-,应急,预案制定和演练、应急队伍、事故处置、数据/系统备份等,信息技术产品和服务国产化情况,-,终端,/OA/,信息安全产品国产情况、信息安全服务外包情况等,安全教育培训情况,-,参加、掌握、持证等情况,责任追究情况,安全隐患排查及整改情况,安全形势、安全风险评估状况,58,2010,年度政府信息系统安全检查,指南,（,工信部协,2010143,号）,检查内容（检查指南比检查办法更细化，以2010年为例）,信息,安全组织机构,日常信息安全管理,（人员、资产、运维）,等级保护与风险评估,技术防护手段建设,（网络边界、信息安全产品、服务器、网络设备、终端计算机和移动存储设备、门户网站、密码技术、网络信任措施）,应急管理工作开展,（应急预案、应急演练、应急技术支援队伍、灾难备份、应急处置）,信息技术产品和信息安全产品使用,信息安全服务,信息安全教育培训,信息安全经费保障,安全隐患排查及整改,59,关于印发国家网络与信息安全事件应急预案的通知（,国,办函,2008168,号）,背景,2003,年：国务院成立应急办，颁布了,国家突发公共卫生事件应急条例,2004,年：,国家突发公共事件总体应急预案,（,4,大类公共安全）,国家网络与信息安全事件应急预案,2007,年：制定发布,国家突发事件应对法,预案要点,网络与信息安全事件的分类分级,参照标准：,信息安全事件分类分级指南,（,GB/Z,20986,）,应急流程：预防预警,应急处置,后期处置,参照标准：,信息安全事件管理指南,（,GB/Z 20985,）,组织体系和应急保障,应急队伍、经费、物资、通信、科技。,监督管理,宣传教育、培训、演练、,责任与奖惩,60,知识域：信息安全国家政策,知识子域：风险评估有关政策规范,了解国家有关政策对信息安全风险评估工作提出的要求,了解国家有关政策对电子政务工程及国家重要信息系统建设项目风险评估专控队伍的规定,知识子域：等级保护有关政策规范,了解信息安全等级保护管理办法的有关要求,知识子域：国家密码管理政策,了解我国对密码的管理政策要求,61,关于开展信息安全风险评估,的意见,（,国信,办,20065,号）,信息安全风险评估,（基于风险管理）,系统分析网络与信息系统所面临,的威胁及其存在的,脆弱性,评估,安全事件一旦发生可能造成的危害,程度,提出有针对性的抵御威胁的防护对策和整改措施,基本工作要求,应贯穿于网络和信息系统建设运行的全过,程（,设计、验收、运维,）,定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估,相关保障,参照标准:,信息安全风险评估规范,（,GB/T 20984,）,、,信息安全风险管理规范,（制定中）,服务资质（,对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担,）,62,关于,加强国家电子政务工程建设项目信息安全,风险评估工作,的通知,（,发改高技,20082071,号）,依据和目的,国家电子政务工程建设项目管理暂行办法,-,国,家发改委令,2007,第,55,号,三部委联合发文：发改委、公安部、保密局,将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档）,风险评估的主要内容,分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响,等,两类信息系统的工作开展,涉密信息系统参照“分级保护”，,进行系统测评并履行审批手续,非涉密信息系统参照“等级保护”，,完成等级测评和风险评估工作，,并形成,相关报告,相关,要点,对信息安全风险评估机构的指定（,1,家,+3,家）,信息安全风险评估经费计入该项,目总投资,投入运行后,，应定期开展,信息安全风险评估,63,关于信息安全等级保护工作的,实施意见,（,公字通,200466,号）,1,信息安全等级保护,是,保障和促进信息化建设健康发,展的一项基本,制度,核心是对信息安全分等级、,按标准进行建设,、,管理和监督,公安机关负责信息安全等级保护工作的监督、检查、,指导,保密,/,密码,/,信息化工作部门各自的职责分工,信息,和信息系统的,安全保护等级（,及其适用范围,）,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级,定级依据,根据信息和信息系统在,国家安全、经济建设、社会生活中的,重要,程度,;,遭到破坏后对国家安全、社会秩序、公共利益以及公民,、法人和,其他组织的合法权益的危害程度,64,关于信息安全等级保护工作的,实施意见,（,公字通,200466,号）,2,实施要求,完善标准,分类指导（,管理规范和技术标准,）,科学定级,严格备,案（专家评审委员会。,三级以上系统备案,）,建设整改,落实措施（,信息系统：已有、,新建,、改建、,扩建）,自查自纠,落实,要求（,运营、 使用单位及其主管部门,）,建立制度,加强,管理,（运营、 使用单位及其主管部门）,监督检查,完善保护（公安机关,重点对,第三,、,第四级,系统,）,其他等级要求,国家对信息安全产品的使用实行分等级,管理,信息安全事件实行分等级响应、处置的制度,65,关于印发,的通知（,公字通,200743,号）,通知是,政策,，管理办法属,于法律法,规,四,部委联合发,文,：公,安部、保,密局、密码管理局、原国信办,国家信息,安全等级保护坚持“自主定级、自主保护”的原则,信息系统的,安全保护等级分为五级,实施与管理,具体实施等级保护,工作,参照标准：,信息系统,安全等级保护实施,指南,确定安全保护等级,参照标准：,信息,系统安全等级保护定级指南,系统建设,参照标准,：,信息,系统,安全等级保护,基本要求,等,等级测评,参照标准,：,信息,系统,安全等级保护,测评要求,二级以上系统的备案要求（由公安机关颁发,备案证明,）,三级以上系统的定期自查、测评和检查要求,三级以上系统的信息安全产品选择使用要求,三级以上系统,等级保护测评机构,的选择要求,涉,密信息系统,按,分级保护管理（,略,）,对信息安全等级保护的密码实行分类分级,管理（,略,）,66,关于开展全国重要信息系统安全等级保护定级工作的,通知,（,公信安,2007861,号）,背景,根据国家网络与信息,安全协调小组,2007,年,的工作部署,公安部、国家保密局、国家密码管理局、国务,院信息化工作办公室定于,2007,年,7,月至,10,月,在全国范围内组织开,展重要信息系统,安全等级保护定级工作,定级范围,电信、广电行业的公用通信网、,广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、,互联网接入服务单位,、数据中心等单位,的重要信息系统；,铁路、银行、海关、税务、民航、电力、证券、保险,、外交,、科技、发展改革、国防科技、公安、人事劳动和社会保障,、财,政、审计、商务、水利、国土资源、能源、交通、文化、教育,、统计,、工商行政管理、邮政等行业、部门的生产、调度、管理,、办公等重要信息系统；,市,(,地,),级以上党政机关,的重要网站和办公信息系统,；,涉及国家秘密的信息系统,(,涉密信息系统,),。,工作内容,摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）,67,关于开展信息安全等级保护安全建设整改工作的,指导意见,（,公信安,20091429,号）,工作目标,力争在,2012,年,底前完成已定级信息系统,(,不,含,涉密信息系统,),安全建设整改工作,工作内容,开展信息安全等级保护安全管理制度建设,提高信息系统,安全管理,水平,开展信息安全等级保护安全技术措施建设,提高信息系统,安全保护,能力,开展信息系统安全等级测评,使信息系统,安全保护状况逐步达到等级保护要求,信息安全等级保护安全建设整改工作指南,参照标准：,信息系统安全等级保护基本要求,信息系统安全建设整改工作基本流,程（,管理建设、技术建设,）,信息安全,等级保护,主要,标准,简要说明及相互间,的关系（,基础类、应用类、,产品类和其他类）,68,关于,推动,信息安全等级保护测评体系建设和开展等级测评工作的通知（,公信安,2010303,号）,工作目标,提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行,工作内容,积极稳妥地推动等级测评机构建设,确保测评机构的水平和能力符合测评工作,要求,督促备案单位开展信息系统等级测评工作,信息安全等级保护测评工作管理规范（试行）,信息系统安全等级测评报告模版（试行）,另有政策：,公,信安,2009,1487,号,69,我国信息安全,政策,的初步成效,依托,2003,年的,27,号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容,围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）,其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等,70,十一五：试点,十二五：普及推广,我国信息安全政策的后续展望,“十一五”期间发布的各项政策均将进入落实期,由电子政务领域向,其他,领域拓展,关,系到国计民生的行,业,公共服务类,商业性、一般业务类,尽快形成“统一的”信息安全服务资质管理体制,基于信息安全服务类的标准（政策带动标准，标准支撑政策）,统一安全服务行业的企业资质和人员资质,由“狭义信息安全”向“广义信息安全”延伸,IT服,务（外包）的,信息,安,全保,障,新技术、新应用下的信息安全保障,71,其他一些信息安全政策,国家（电子政务）信息安全政策,关于加强,国家重要信息系统灾难备份,工作的意见,(,信安通,200411,号,),关于进一步加强政府网站,安全保障工作的通知（,国,办秘函,20105,号,）,。,。,行业类信息安全政策,。,。,地方性,信,息安全,政策（讲师自选）,。,。,72,国外信息安全政策简介,国外信息安全国家政策简介（以美国为例）,克林顿政府,IATF V1.0,（,1998,年）,V3.1,（,2002,年）,V4.0,（,Now,）,2000,年：,总统国家安全战略报告,（首次将信息安全列入）,布什政府,911,之后，成立,本土安全部（国土安全部,）、国家,KIP,委员会,2002,年：,国家保障数字空间安全策略,、,国家安全战略报告,2003,年：,网络空间安全国家战略计划,奥巴马政府,上任之初：,60,天信息安全评估项目,2009,年：,美国网络安全评估,2010,年：网络战司令部正式运行,国内外信息安全国家政策的差距分析,体系性和持续性、,关注重点,、,执行力度,。,。,73,信息保障技术框架,(IATF),由国家安全局制定，,是信息保障技术领域中最系统