• / 124
  • 下载费用:23 金币  

CISP0信息安全标准与法律法规

关 键 词:
信息安全法规 信息安全标准
资源描述:
信息安全法规、政策和标准 培训机构 培训讲师 课程内容(1) 信息安全 法规与政策 知识体知识域 信息安全 相关法规 知识子域 国家信息安全法治总体情况 信息安全 相关政策 信息安全相关国家法律 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介 信息安全相关地方法规、规章和行业规定 课程内容(2) 3 信息安全 标准 知识体 知识域 信息安全 标准化概述 知识子域 信息安全标准化概念 信息安全 相关标准 信息安全标准化组织 信息安全 评估标准 信息安全国家标准 安全技术评估标准发展历史 信息技术安全性评估准则 信息安全国外标准 课程内容(3) 4 知识体知识域 知识子域 道德规范 信息安全从业 人员道德规范 通行道德规范 CISP职业道德准则 计算机使用道德规范 因特网使用道德规范 信息安全从业人员基本道德规范 课程内容(1) 信息安全法 律法规政策 知识体知识域 信息安全 相关法规 知识子域 国家信息安全法治总体情况 信息安全 相关政策 信息安全相关国家法律 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介 信息安全相关地方法规、规章和行业规定 知识域:信息安全相关法规 v知识子域: 国家信息安全法治总体情况 § 了解信息安全法治建设的意义 § 了解我国信息安全法律法规体系框架 6 信息安全法治建设的意义 v 信息安全法律环境是信息安全保障体系中的必要环节 v 明确信息安全的基本原则和基本制度、信息安全保障体系 的建设、信息安全相关行为的规范、信息安全中各方权利 义务 v 明确违反信息安全的行为,并对其行为进行相应的处罚等 v 信息安全不再只是个技术问题,而更多地是个商业和法律 问题---安全漏洞、信息犯罪的本质? v 信息安全产业的逐渐形成和成熟,需要必要的规范 保护国家信息主权和社会公共利益是 信息安全立法的首要目标 7 狭义的信息安全  广义的信息安全 我国信息安全法律法规体系框架 8 全国人 大及其 常委会 国务院 地方人 大及常 委会 地方人 民政府 法律 行政 法规 地方性 法规 地方政 府规章 部 门 规 章 宪法、刑法(部分条款) 国家安全法(部分条款) 保守国家秘密法 电子签名法 . 计算机信息系统安全保护条例 互联网信息服务管理办法 商用密码管理条例 . 公安部(安全专用产品等) 原信产部(互联网域名等) 国新办(互联网新闻信息服务 ) 保密局(保密等) . 多级立法 国 务 院 各 部 委 北京市信息化促进条例、辽 宁省计算机信息系统安全管 理条例 . 北京市公共服务网络与信息 系统安全管理规定、上海市 公共信息系统安全测评管理 办法 . 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 我国信息安全法治建设的发展历程 通信保密安全 计算机系统 安全 网络信息系统 安全 1994年2000年2003年 保守国家秘密法(1989 ) (2010年修订) 中央关于加强密码工作 的决定 计算机信息系统安全保 护条例(草案)-86 计算机信息系统 安全保护条例(1994) 计算机信息系统安全专 用产品检测和销售许可 证管理办法-97 计算机信息网络国际联 网安全保护管理办法-97 计算机信息系统保密管 理暂行规定-98 商用密码管理条例-99 关于维护互联网安全 的决定(2000) 互联网信息服务管理办法 计算机病毒防治管理办法 计算机信息系统国际联网 保密管理规定 -00 9 我国信息安全法治建设的初步成效、展望 v初步成效 § 法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善 § 与信息安全相关的司法和行政管理体系迅速完善 § 法律少而规章等偏多,缺乏信息安全的基本法 § 法律法规的内容篇幅偏小,行为规范较简单 v展望 § 需要一部信息安全的基本法《国家信息安全法》(或先出台《信息安全 条例》) ü 信息安全的基本原则与基本制度 ü 信息安全的主要核心内容 § 进一步完善各领域的信息安全专门法 ü 信息安全的监管模式和认证体系(面向信息安全各类主体和客体) ü 信息安全常态管理(等级保护制度等) ü 信息安全应急管理(预警、监测、通报和应急处理等) ü 网络与信息系统全生命周期的信息安全 ü 特定领域的信息安全 ü . 10 课程内容(1) 信息安全法 律法规政策 知识体知识域 信息安全 相关法规 知识子域 国家信息安全法治总体情况 信息安全相关地方法规、规章和行业规定 信息安全 相关政策 信息安全相关国家法律 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介 知识域:信息安全相关法规 v知识子域: 信息安全相关国家法律 § 了解《中华人民共和国宪法》有关信息安全的内容 § 了解《中华人民共和国刑法》有关信息安全犯罪的规定 § 了解《中华人民共和国治安管理处罚法》有关信息安全的内容 § 掌握《中华人民共和国保守国家秘密法》的主要内容 § 掌握《全国人民代表大会常务委员会关于维护互联网安全的决 定》的内容 § 理解《中华人民共和国电子签名法》的意义和作用 § 了解《中华人民共和国侵权责任法》有关信息安全的内容 12 《宪法》中的有关规定 v《宪法》 第二章 公民的基本权利和义务 第40条 § 公民的通信自由和通信秘密受法律的保护。 § 除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关 依照法律规定的程序对通信进行检查外,任何组织或者个人不得以 任何理由侵犯公民的通信自由和通信秘密。 法律 13 《刑法》中的有关规定(1) v《刑法》 第六章 妨碍社会管理秩序罪 第一节 扰 乱公共秩序罪 第285、286、287条 § 285条:非法侵入计算机信息系统罪;非法获取计算机信息系统数 据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息 系统程序、工具罪。 • 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算 机信息系统的,处以刑罚。 • 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技 术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者 对该计算机信息系统实施非法控制,情节严重的,处以刑罚。 • 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明 知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提 供程序、工具,情节严重的,依照前款的规定处罚。 法律 14 《刑法》中的有关规定(2) v《刑法》 第六章 妨碍社会管理秩序罪 第一节 扰 乱公共秩序罪 第285、286、287条 § 286条:破坏计算机信息系统罪。 • 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰 ,造成计算机信息系统不能正常运行,后果严重的,处以刑罚。 • 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应 用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定 处罚。 • 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行 ,后果严重的,依照第一款的规定处罚。 § 287条:利用计算机实施犯罪的提示性规定。 • 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或 者其他犯罪的,依照本法有关规定定罪处罚。 15 法律 16 v 《刑法》第四章 侵犯公民人身权利、民主权利罪 第 253条:出售、非法提供公民个人信息罪;非法获取公 民个人信息罪 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违 反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个 人信息,出售或者非法提供给他人,情节严重的,处以刑罚。 窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规 定处罚。 单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和 其他直接责任人员,依照各该款的规定处罚。 《刑法》中的有关规定(3) 《治安管理处罚法》中的有关规定 v《治安管理处罚法》 第三章 违反治安管理的行为和 处罚 第一节 扰乱公共秩序的行为和处罚 第29条 § 有下列行为之一的,处以治安管理处罚: • (一)违反国家规定,侵入计算机信息系统,造成危害的; • (二)违反国家规定,对计算机信息系统功能进行删除、修改、增加 、干扰,造成计算机信息系统不能正常运行的; • (三)违反国家规定,对计算机信息系统中存储、处理、传输的数据 和应用程序进行删除、修改、增加的; • (四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系 统正常运行的。 v《治安管理处罚法》 其他规定(与非法信息传等播相 关):第42、47、68条 法律 17 《保守国家秘密法》(保密法 1) v主旨(总则) § 目的:保守国家秘密,维护国家安全和利益。 § 国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限 一定范围的人员知悉的事项。 § 国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。 § 国家保密行政管理部门主管全国的保密工作。 § 保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传 教育,加强保密检查。 v国家秘密的范围 § 国家事务、国防武装、外交外事、政党秘密 § 国民经济和社会发展、科学技术 § 维护国家安全的活动、经保密主管部门确定的事项等 v国家秘密的密级 § 绝密---最重要的国家秘密,保密期限不超过30年; § 机密---重要的国家秘密,保密期限不超过20年; § 秘密---一般的国家秘密,保密期限不超过10年。 法律 18 《保守国家秘密法》(保密法 2) v法律责任(第48条 人员处分及追究刑责) §(一)非法获取、持有国家秘密载体的; §(二)买卖、转送或者私自销毁国家秘密载体的; §(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的; §(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国 家秘密载体出境的; §(五)非法复制、记录、存储国家秘密的; §(六)在私人交往和通信中涉及国家秘密的; §(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递 国家秘密的; §(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的; §(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络 之间进行信息交换的; §(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的; §(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的; §(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售 、丢弃或者改作其他用途的。 §有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在 机关、单位予以处理。 法律 19 《全国人大关于维护互联网安全的决定》 v背景 § 互联网日益广泛的应用,对于加快我国国民经济、科学技术的发展和社会服 务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已 经引起全社会的普遍关注。 v互联网安全的范畴(法律约束力) § 互联网的运行安全(侵入、破坏性程序、攻击、中断服务等) § 国家安全和社会稳定(有害信息、窃取/泄露国家秘密、煽动、非法组织等) § 市场经济秩序和社会管理秩序(销售伪劣产品/虚假宣传、损害商业信誉、侵 犯知识产权、扰乱金融秩序、淫秽内容服务等) § 个人、法人和其他组织的人身、财产等合法权利(侮辱或诽谤他人、非法处 理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等) v法律责任 § 构成犯罪的,依照刑法有关规定追究刑事责任 § 构成民事侵权的,依法承担民事责任 § 尚不构成犯罪的:治安管理处罚 / 行政处罚 / 行政处分或纪律处分 法律 20 《电子签名法》(1) v意义 § 2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的 信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。 v目的 § 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权 益,制定本法。 v适用范围 § 民事活动中的合同或者其他文件、单证等文书。 § 电子签名和数据电文不适用的文书(国际惯例):涉及证明人身关系的、涉 及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用 电子文书的其他情形。 v监督管理 § 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对 电子认证服务提供者依法实施监督管理。 法律 21 《电子签名法》(2) v电子签名需要第三方认证的,由依法设立的电子认证服务 提供者提供认证服务 § 电子认证服务应具备相适应的人员、资金、场所、技术和设备条件,以及国家 密码管理机构同意使用密码的证明文件; § 应向国务院信息产业主管部门申请,后者依法审查并征求商务主管部门等有关 部门的意见后,对予以许可的颁发电子认证许可证书,再持该证向工商部门办 理企业登记,并将其电子认证业务规则,向国务院信息产业主管部门备案。 法律 22 v对电子认证服务提供者的其他要求 § 保证证书内容在有效期内完整、准确; § 拟暂停或者终止电子认证服务的要求; § 妥善保存与认证相关的信息,信息保存期限(至少为证书失效后五年)。 v第四章 法律责任 § 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有 关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实 、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务 提供者造成损失的,承担赔偿责任。 《电子签名法》(3) § 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服 务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿 责任。 § 未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有 违法所得的,没收违法所得;并酌情罚款。 § 电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前 向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主 管人员酌情处以罚款。 § 电子认证服务提供者不遵守认证业务规则、未妥这善保存与认证相关的信息,或者 有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊 销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事 电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门 。 § 伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成 损失的,依法承担民事责任。 § 依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许 可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。 23 《侵权责任法》 v 目的:为保护民事主体的合法权益,明确侵权责任,预防并 制裁侵权行为,促进社会和谐稳定,制定本法。 v 适用范围:侵害民事权益,应当依照本法承担侵权责任。( 本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、 婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发 现权、股权、继承权等人身、财产权益。) v 第四章 关于责任主体的特殊规定 第36条 网络用户、网络服务提供者利用网络侵害他人民事权益 的,应当承担侵权责任。 § 网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者 采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时 采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。 § 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必 要措施的,与该网络用户承担连带责任。 法律 24 课程内容(1) 信息安全法 律法规政策 知识体知识域 信息安全 相关法规 知识子域 国家信息安全法治总体情况 信息安全相关地方法规、规章和行业规定 信息安全 相关政策 信息安全相关国家法律 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介 知识域:信息安全相关法规 v知识子域: 信息安全相关行政法规和部门规章 § 了解信息安全相关行政法规,掌握涉及信息安全的 相关内容 § 了解信息安全相关部门规章,掌握涉及信息安全的 相关内容 26 《计算机信息系统安全保护条例》 v计算机信息系统 § 是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的 应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系 统。 v安全保护 § 保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安 全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统 的安全运行。 v主管部门 § 公安部主管全国计算机信息系统安全保护工作(含安全监督职权)。 § 国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围 内做好计算机信息系统安全保护的有关工作。 v安全保护制度(要点) § 计算机信息系统实行安全等级保护。 § 使用单位应当建立健全安全管理制度。 § 安全专用产品(硬件、软件)的销售实行许可证制度。 行政法规 27 《商用密码管理条例》 v商用密码 § 是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术 和密码产品。 § 商用密码技术属于国家秘密。 v主管部门 § 国家密码管理委员会及其办公室主管全国的商用密码管理工作。 § 国家对商用密码产品的科研、生产、销售和使用实行专控管理。 v管理要点 § 商密产品由国家密码管理机构分别指定单位进行科研、生产和检测。 § 商密产品销售单位应有国家密码管理机构颁发的《商用密码产品销售许可证》。 § 必须如实登记备案直接使用商用密码产品的用户信息和产品用途。 § 不得使用自行研制的或者境外生产的密码产品。 § 不得转让其使用的商用密码产品(含故障维修、报废销毁)。 行政法规 28 其它一些行政法规 行政法规 v 《中华人民共和国计算机信息网络国际联网管理暂行规定》 v 《中华人民共和国电信条例》 v 《互联网信息服务管理办法》 v 《互联网上网服务营业场所管理条例》 v 《信息网络传播权保护条例》 v . 行政法规 29 《计算机信息系统安全专用产品 检测和销售许可证管理办法》 v两个必须 § 安全专用产品的生产者在其产品进入市场销售之前, 必须申领《计算机信息系 统安全专用产品销售许可证》。 § 安全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认 定。 v检测(机构) § 检测机构对产品(样品)的安全功能和性能进行检测。 § 检测机构应保守检测产品的技术秘密,并不得非法占有他人科技成果,不得从 事与检测产品有关的开发和对外咨询业务。 v销售许可证(主管部门) § 由公安部计算机管理监察部门颁发安全专用产品销售许可证(两年内有效)、 “销售许可”标记(生产者应当在固定位置标明该标记)。 § 安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录, 由公安 部计算机管理监察部门定期发布。 部门规章 30 《计算机信息系统保密管理暂行规定》 v适用范围 § 适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。 v主管部门 § 国家保密局主管全国计算机信息系统的保密工作。 v管理要点 § 涉密系统---保密设施、保密措施、访问控制、数据保护等 § 涉密信息---密级标识、物理隔离等 § 涉密媒体---各类计算机媒体(含打印输出等) § 涉密场所---控制区、防电磁信息泄漏、其他物理安全等 § 系统管理---领导负责制、管理制度、保密检查、人员培训和考核等 部门规章 31 国家电子政务工程建设项目管理暂行办法 § 国家发改委令[2007]第55号 § 对国家电子政务工程建设项目有明确的信息安全要求 v 验收评价管理 § 项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安 全风险评估和初步验收工作。 v 运行管理 § 项目建设单位或其委托的专业机构应按照风险评估的相关规定, 对建成项目 进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安 全措施的有效性,保障信息安全目标的实现。 v 项建书、可研报告、初步设计方案 § 在“项建和可研”的项目建设方案中应包含“安全系统建设方案” § 在“初设”的项目设计方案中应包含“安全系统设计” 部门规章 其他一些部门规章 v公安部 § 《互联网安全保护技术措施规定》 § 《计算机病毒防治管理办法》 § 《信息安全等级保护管理办法》 § 《计算机信息网络国际联网安全保护管理办法》 § 《金融机构计算机信息系统安全保护工作暂行规定》(公安部、中国人民银行) 33 v原信息产业部 § 《信息系统工程监理暂行规定》 § 《电子认证服务管理办法》 § 《互联网电子邮件服务管理办法》 v铁道部 § 《铁路计算机信息网络国际联网保密管理暂行规定》 § 《铁路计算机信息系统安全保护办法》 v国家保密局 § 《中华人民共和国保守国家秘密法实施办法》 § 《科学技术保密规定》 § 《计算机信息系统国际联网保密管理规定》 § 《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》 § 《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》 34 v国家密码管理局 § 《商用密码科研管理规定》,公告(第4号)2006年1月1日起施行 § 《商用密码产品生产管理规定》,公告(第5号)2006年1月1日起施行 § 《商用密码产品销售管理规定》,公告(第6号) 2006年1月1日起施行 § 《商用密码产品使用管理规定》,公告(第8号)2007年5月1日起施行 § 《电子认证服务密码管理办法》,公告(第17号)2009年10月28日公布, 2009年12月1日起施行,原办法(公告第2号)同时废止 课程内容(1) 信息安全法 律法规政策 知识体知识域 信息安全 相关法规 知识子域 国家信息安全法治总体情况 信息安全相关地方法规、规章和行业规定 信息安全 相关政策 信息安全相关国家法律 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介 知识域:信息安全相关法规 v知识子域: 信息安全相关地方法规、规章和行业 规定 •了解信息安全相关地方法规,掌握自身所在地方或密切相关地 方涉及信息安全的相关内容 •了解信息安全相关地方规章,掌握自身所在地方或密切相关地 方涉及信息安全的相关内容 •了解信息安全相关行业规定,掌握自身所在行业或密切相关行 业涉及信息安全的相关内容 36 地方法规 v 《北京市信息化促进条例》( 2007年9月14日通过并公布,自2007年 12月1日起施行) v 《澳门特区打击电脑犯罪法》(2009-06-26公布,2009-07-26生效) v 《辽宁省计算机信息系统安全管理条例》 v 《湖南省信息化条例》 v 《重庆市计算机信息系统安全保护条例》 v . 37 地方规章 v 《北京市微博客发展管理若干规定》(2011年12月16日公布并施行) v 《北京市公共服务网络与信息系统安全管理规定》 v 《北京市党政机关计算机网络与信息安全管理办法》 v 《上海市公共信息系统安全测评管理办法》 v 《天津市公共计算机信息网络安全保护规定》 v 《黑龙江省计算机信息系统安全管理规定》 v 《辽宁省计算机信息保密管理规定》 v 《大连市人民政府公共信息网络管理暂行规定》 v 《四川省计算机信息系统安全保护管理办法》 v 《山西省计算机安全管理规定》 v 《山东省计算机信息系统安全管理办法》 v 《安徽省计算机信息系统安全保护办法》 v 《河南省计算机信息系统安全保护暂行办法》 38 地方规章 v 《广东省计算机信息系统安全保护管理规定》 v 《广东省电子政务信息安全管理暂行办法》 v 《广东省互联网上网服务营业场所管理办法》 v 《广东省计算机信息系统安全保护管理规定实施细则(试行) 》 v 《广东省通信短信息服务管理办法(试行) 》 v 《深圳经济特区计算机信息系统公共安全管理规定》 v 《福建省互联网上网服务营业场所管理规定》 v 《江苏省互联网网络与信息安全管理暂行规定》 v 《云南省网络与信息系统安全监察管理规定》 v 《江西省计算机信息系统安全保护办法》 v 《杭州市计算机信息系统安全保护管理办法》 v . 39 行业规定 40 v中国银监会 § 《电子银行业务管理办法》 § 《电子银行安全评估指引》 § 《银行业金融机构信息系统风险管理指引》 v中国证监会 § 《网上证券委托暂行管理办法》 § 《证券期货业信息安全保障管理暂行办法》 § 《证券公司集中交易安全管理技术指引》 § 《期货公司信息公示管理规定》(自2009年11月16日起施行) § 《深圳证券交易所交易异常情况处理实施细则(试行)》 § 《上海证券交易所交易异常情况处理实施细则(试行)》 v . 课程内容(1) 信息安全法 律法规政策 知识体知识域 信息安全 相关法规 知识子域 国家信息安全法治总体情况 信息安全相关地方法规、规章和行业规定 信息安全 相关政策 信息安全相关国家法律 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介 知识域:信息安全相关法规 v知识子域: 国外信息安全相关法规简介 § 了解美国信息安全相关法规概况 42 国外信息安全法律法规简介 v国外信息安全法律法规简介(以美国为例) § 《信息自由法》(Freedom of Information Act of 1966,FOIA) § 《爱国者法》(USA Patriot of Act of 2001) § 《联邦信息安全管理法案》(Federal Information Security Management Act of 2002, FISMA) ü属于《电子政务法》(the E-Government Act of 2002)的第三部分 § 《公众公司会计改革与投资者保护法》,又名《萨班斯-奥克斯利法 》(Sarbanes-Oxley Act of 2002) v国内外信息安全法治体系的差距分析 § 体系性 § 广度 § 深度 § . 43 《信息自由法》《爱国者法》 v《信息自由法》 § 美国对政府信息进行立法保护的首要原则是向公众公开原则 (也叫 信息公开原则),是构成其他信息安全保护法律的基础 § 该法案主要是保障公民的个人自由,但也需要保障国家的安全,因 此,该法利用“例外”的立法方式,将需要保护的信息加以列举 44 v《爱国者法》 § 是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律 ,也是目前争议最大的一部法律。 § 从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相 应的设施以防止、侦破和打击恐怖主义活动,使美国人民能够生活在 安全的环境中。 § 由于该法赋予联邦政府的权力过大,引起美国国内民权人士的担忧, 并产生诉案。 • 该法还对美国现有的十几部法律做出了修改 • 政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查 《联邦信息安全管理法案》《电子政务法》 《公众公司会计改革与投资者保护法》 v 《联邦信息安全管理法案》 § 给出了“信息安全”的定义 § 对国家信息安全管理职责的授权 ü 国家标准与技术局(NIST)为联邦政府使用的系统制定安全标准与指南 ü 管理与预算办公室(OMB)主任对安全政策、原则、标准、指南等的制定、执行(包 括遵守)情况进行监督 45 v 《电子政务法》 § 该法对联邦政府信息技术管理和规划的每一个方面,从危机管理 到电子档案及查询索引都做了规定 v 《公众公司会计改革与投资者保护法》 § 主要目的是加强对上市公司内部金融信息的监管,以维护金融市场的秩 序和安全。 § 该法案要求公众公司保证其内部金融控制的准确性,规定由证券交易委 员会(SEC)制定规则,强制要求公众公司年度报告中包含内部控制报 告及其评价,并要求会计师事务所对公司管理层做出的评价出具鉴定报 告。 课程内容(1) 信息安全法 律法规政策 知识体知识域 信息安全 相关法规 知识子域 国家信息安全法治总体情况 信息安全相关地方法规、规章和行业规定 信息安全 相关政策 信息安全相关国家法律 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介 知识域:信息安全相关政策 v知识子域:国家信息安全保障总体情况 § 掌握国家有关政策对信息安全保障工作的总体方针和 要求 § 掌握国家有关政策规定的加强信息安全保障工作主要 原则 § 掌握国家有关政策规定需要重点加强的信息安全保障 工作 47 《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号) v意义 § 标志着我国信息安全保障工作有了总体纲领 § 提出要在5年内建设中国信息安全保障体系 v总体方针和要求 § 坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基 础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信 息化发展,保护公众利益,维护国家安全。 v主要原则 § 立足国情,以我为主,坚持技术与管理并重; § 正确处理安全和发展的关系,以安全保发展,在发展中求安全; § 统筹规划,突出重点,强化基础工作; § 明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑 国家信息安全保障体系。 48 《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号) v主要任务(重点加强的安全保障工作) § 实行信息安全等级保护 § 加强以密码技术为基础的信息保护和网络信任体系建设 § 建设和完善信息安全监控体系 § 重视信息安全应急处理工作 § 加强信息安全技术研究开发,推进信息安全产业发展 § 加强信息安全法制建设和标准化建设 § 加快信息安全人才培养,增强全民信息安全意识 § 保证信息安全资金 § 加强对信息安全保障工作的领导,建立健全信息安全管理责任制 十一五:试点  十二五:普及推广 49 我国信息安全政策的初步成效、后续展望 v初步成效 § 依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求 、工作原则和重点工作内容 § 围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的 信息安全政策(风险评估、等级保护、电子政务类、应急预案等) § 其他领域:灾难备份、管理体系、监控、应急、信任体系、产品和服务认 证、人员培训和认证等 v后续展望 § “十一五”期间发布的各项政策均将进入落实期 § 由电子政务领域向其他领域拓展 § 尽快形成“统一的”信息安全服务资质管理体制 ü 基于信息安全服务类的标准(政策带动标准,标准支撑政策) ü 统一安全服务行业的企业资质和人员资质 § 由“狭义信息安全”向“广义信息安全”延伸 ü IT服务(外包)的信息安全保障 ü 新技术、新应用下的信息安全保障 十一五:试点  十二五:普及推广 50 课程内容(1) 信息安全法 律法规政策 知识体知识域 信息安全 相关法规 知识子域 国家信息安全法治总体情况 信息安全相关地方法规、规章和行业规定 信息安全 相关政策 信息安全相关国家法律 信息安全相关行政法规和部门规章 国外信息安全相关法规简介 国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介 知识域:信息安全相关政策 v知识子域:信息安全相关国家政策 § 了解信息安全相关国家政策,掌握风险评估等涉及信息 安全的相关内容 § 掌握信息安全等级保护政策体系,熟悉信息安全等级保 护相关政策 52 关于开展信息安全风险评估工作的意见 (国信办[2006]5号) v信息安全风险评估(基于风险管理) § 系统分析网络与信息系统所面临的威胁及其存在的脆弱性 § 评估安全事件一旦发生可能造成的危害程度 § 提出有针对性的抵御威胁的防护对策和整改措施 v基本工作要求 § 应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维) § 定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估 v相关保障 § 参照标准:《信息安全风险评估规范》(GB/T 20984-2007)、 《信息安全风险管理指南》 (GB/Z 24364-2009) § 服务资质(对于涉及国计民生的基础网络和重要信息系统的风险评估技术服 务,要由国家专控的队伍来承担) 53 关于加强政府信息系统安全和保密管 理工作的通知(国办发[2008]17号) v明确职责 § 把信息安全和保密工作列入重要议事日程,明确一名主管领导 § 谁主管谁负责、谁运行谁负责、谁使用谁负责 v强化人员培训 § 组织信息安全和保密基本技能培训,开展信息安全和保密形势分析 § 深入学习宣传信息安全“五禁止”规定 v完善安全措施和手段 § 管理制度+技术手段 v加强信息安全检查 § 详见《政府信息系统安全检查办法》 54 关于印发国家网络与信息安全事件应急预 案的通知(国办函[2008]168号) v背景 § 2003年:国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》 § 2006年:《国家突发公共事件总体应急预案》(4大类公共事件) 《国家网络与信息安全事件应急预案》 § 2007年:制定发布《国家突发事件应对法》 v预案要点 § 网络与信息安全事件的分类分级 • 参照标准:《信息安全事件分类分级指南》(GB/Z 20986) § 应急流程:预防预警—应急处置—后期处置 • 参照标准:《信息安全事件管理指南》(GB/Z 20985) § 组织体系和应急保障 • 应急队伍、经费、物资、通信、科技。。。 v监督管理 § 宣传教育、培训、演练、责任与奖惩 55 关于加强国家电子政务工程建设项目信息安 全风险评估工作的通知(发改高技[2008]2071号) v依据和目的 § 《国家电子政务工程建设项目管理暂行办法》---国家发改委令[2007]第55号 § 三部委联合发文:发改委、公安部、保密局 § 将“信息安全风险评估”作为项目验收的重要内容(按要求提交一系列文档) v风险评估的主要内容 § 分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性 、已有的安全措施和残余风险的影响等 v两类信息系统的工作开展 § 涉密信息系统参照“分级保护”,进行系统测评并履行审批手续 § 非涉密信息系统参照“等级保护”,完成等级测评和风险评估工作,并形成相 关报告 v 相关要点 § 对信息安全风险评估机构的指定(1家+3家) § 信息安全风险评估经费计入该项目总投资 § 投入运行后,应定期开展信息安全风险评估 56 关于印发政府信息系统安全检查办法 的通知(国办发[2009]28号) v依据 § 《关于加强政府信息系统安全和保密管理工作的通知》(国办发[2008]17号) v检查范围和检查重点 § 各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的 办公系统、业务系统、网站系统等,每半年要进行一次全面的安全检查。 § 国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻 网站,要作为检查重点。 v检查方式 § 各单位自查 + 统一组织抽查 + 安全检测(按需) § 工信部负责协调、指导、监督,公安/安全/保密/密码等部门按职责分工 § 《2009年度政府信息系统安全检查指南》(工信部协[2009]168号) § 《2010年度政府信息系统安全检查指南》(工信部协[2010]143号) 57 政府部门信
展开阅读全文
  麦档网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:CISP0信息安全标准与法律法规
链接地址:https://www.maidoc.com/p-15698507.html

当前资源信息

a****

编号: 20180823233435634137

类型: 共享资源

格式: PPTX

大小: 1.31MB

上传时间: 2019-11-09

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2018-2020 maidoc.com版权所有  文库上传用户QQ群:3303921 

麦档网为“文档C2C模式”,即用户上传的文档所得金币直接给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的金币归上传人(含作者)所有。
备案号:蜀ICP备17040478号-3  
川公网安备:51019002001290号 

本站提供办公文档学习资料考试资料文档下载


收起
展开