《我国信息安全法律法规及电力行业制度要求crco.ppt》由会员分享,可在线阅读,更多相关《我国信息安全法律法规及电力行业制度要求crco.ppt(85页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、学习时长:学习时长:8080分钟分钟制作时间:制作时间:2015/05/192015/05/19我国信息安全法律法规我国信息安全法律法规及电力行业制度要求及电力行业制度要求中国南方电网有限责任公司中国南方电网有限责任公司1 1国家信息安全法治总体情况国家信息安全法治总体情况合规概述合规概述信息安全法规与政策信息安全法规与政策课程内容目录课程内容目录 中国南方电网有限责任公司中国南方电网有限责任公司2 23 35 54 4信息安全标准信息安全标准5 55 5电力行业信息安全推进情况电力行业信息安全推进情况1 1 国家信息安全法治总体情况国家信息安全法治总体情况我国信息安全法律法规及电力行业制度要
2、求我国信息安全法律法规及电力行业制度要求1.1 1.1 我国信息安全法律法规体系框架我国信息安全法律法规体系框架1.2 1.2 我国信息安全法治建设进程我国信息安全法治建设进程1.3 1.3 国家信息安全保障体系国家信息安全保障体系国家信息安全法治总体情况国家信息安全法治总体情况中国南方电网有限责任公司中国南方电网有限责任公司1.1 1.1 我国信息安全法律法规体系框架我国信息安全法律法规体系框架法律法规地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章部门规章计算机信息系统安全保护条例计算机信息系统安全保护条例互联网信息服务管理办法互联网信息服务管理办法商
3、用密码管理条例商用密码管理条例中办中办27号文号文公安部(等级保护相关规定)公安部(等级保护相关规定)发改委发改委()()国新办(互联网新闻信息服务)国新办(互联网新闻信息服务)保密局(保密等)保密局(保密等).国务院各部委宪法、刑法(部分条款)宪法、刑法(部分条款)国家安全法(部分条款)国家安全法(部分条款)保守国家秘密法保守国家秘密法电子签名法电子签名法.中国南方电网有限责任公司中国南方电网有限责任公司1.2 1.2 我国信息安全法治建设进程我国信息安全法治建设进程国家信息安全法治总体情况国家信息安全法治总体情况通讯保密安全保守国家秘密法(1989)(2010年修订)中央关于加强密码工作的
4、决定计算机信息系统安全保护条例(草案)-86计算机系统安全计算机信息系统安全保护条例(1994)计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99网络信息系统安全关于维护互联网安全的决定(2000)互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定全面信息安全保障国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号2005年9月国信办文件关于转发电子政务信息安全等级保护实施指南的通知国信办200425号2006年1月四部委会签关于印发信息安全
5、等级保护管理办法的通知公通字20067号2005年公安部标准基本要求定级指南实施指南测评准则2004年11月四部委会签关于信息安全等级保护工作的实施意见公通字200466号国家级技术标准国家级政策文件2007年8月电监会签发关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息200734号)行业级政策文件1.3 1.3 国家信息安全保障体系国家信息安全保障体系国家信息安全法治总体情况国家信息安全法治总体情况信息安全技术与产业支撑平台信息安全基础设施信息安全法律法规与政策环境信息安全人才培训教育体系信息安全组织机构及管理体系信息安全标准与规范1.3 1.3 国家信息安全保障体系国家信息安
6、全保障体系-信息安全法治建设的意义l信息安全法律环境是信息安全保障体系中的必要环节l明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务l明确违反信息安全的行为,并对其行为进行相应的处罚等l信息安全不再只是个技术问题,而更多地是个商业和法律问题-安全漏洞、信息犯罪的本质?l信息安全产业的逐渐形成和成熟,需要必要的规范保护国家信息主权和社会公共利益是信息安全立法的首要目标狭义的信息安全广义的信息安全国家信息安全法治总体情况国家信息安全法治总体情况1.3 1.3 国家信息安全保障体系国家信息安全保障体系-我国信息安全法治建设的初步成我国信息安全法
7、治建设的初步成效、展望效、展望初步成效初步成效法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善;与信息安全相关的司法和与信息安全相关的司法和行政管理体系迅速完善行政管理体系迅速完善;法律少而规章等偏多,缺乏信息安全的基本法法律少而规章等偏多,缺乏信息安全的基本法;法律法规的内容篇幅偏小,法律法规的内容篇幅偏小,行为规范较简单行为规范较简单展望展望需要一部信息安全的基本法需要一部信息安全的基本法国家信息安全法国家信息安全法(或先出台(或先出台信息安全条例信息安全条例);信息安全的基信息安全的基本原则与基本制度本原则与基本制度
8、;信息安全的主要核心内容信息安全的主要核心内容;进一步完善各领域的信息安全专门法进一步完善各领域的信息安全专门法;信息安全的监管信息安全的监管模式和认证体系(面向信息安全各类主体和客体)模式和认证体系(面向信息安全各类主体和客体);信息安全常态管理(等级保护制度等)信息安全常态管理(等级保护制度等);信息安信息安全应急管理(预警、监测、通报和应急处理等)全应急管理(预警、监测、通报和应急处理等);网络与信息系统全生命周期的信息安全网络与信息系统全生命周期的信息安全;特定领域特定领域的信息安全的信息安全国家信息安全法治总体情况国家信息安全法治总体情况2 2 合规概述合规概述我国信息安全法律法规及
9、电力行业制度要求我国信息安全法律法规及电力行业制度要求2.1 2.1 什么是合规什么是合规2.2 2.2 合规与遵守法律的区别合规与遵守法律的区别2.3 2.3 相关法规分析相关法规分析合规概述合规概述2.1 2.1 什么是合规什么是合规-定义及目标定义及目标合规合规简而言之就是要符合简而言之就是要符合法律、法规、政策及相关规则、标准法律、法规、政策及相关规则、标准的约定。在信息安全领域内,等级保的约定。在信息安全领域内,等级保护、计算机安全产品销售许可、密码管理等,是典型的合规性要求护、计算机安全产品销售许可、密码管理等,是典型的合规性要求。合规管理的目标合规管理的目标是为了满足监管要求是为
10、了满足监管要求,避免在企业自身发展过程中因与法律、规则和准则不一致而可能遭受法律避免在企业自身发展过程中因与法律、规则和准则不一致而可能遭受法律制裁、监管机构处罚以及财务与声誉的损失制裁、监管机构处罚以及财务与声誉的损失,实现稳健经营。实现稳健经营。合规概述合规概述2.1 2.1 什么是合规什么是合规-法律与法规的区别法律与法规的区别制定主体不同法律的制定者是全国人大;法规可以是多个主体。效力和影响力不同法律的效力和影响力远大于法规。适用范围不同法律一般是全国通用;法规分全国范围或某一单位区域适用。承担的责任不同违反法律须承担相应的刑事、民事责任。合规概述合规概述2.2 2.2 合规与遵守法律
11、的区别合规与遵守法律的区别法律合规法律是国家意志的统一体现,有严密的逻辑体系,有不同的位阶和效力合规是遵守法律、监管规定、国际惯例和事物标准,不同时期不同的要求法律都可以文字形式表现出来合规以判别、评估、咨询、监控并报告体现违法犯罪的后果有明确规定,是一种“硬约束”不合规行为的后果,即包含“软约束”又包含“硬约束”。合规是遵循法律法规、监管要求、规则、自律性组织制定的有关准则、整理融合后适用于企业自身业务活动的行为准则。合规概述合规概述2.3 2.3 相关法规分析相关法规分析Cobit5国外标准国内标准行业要求内部制度合规库ITILISO27001指标评价实施GBT22239等级保护基本要求.
12、GBT284489等级保护测评要求ISO27001信息安全管理体系要求能源局电力行业信息安全检查方案中央企业商业秘密信息系统安全技术指引电力行业等级保护基本要求中央企业信息化水平评价指标体系信息系统应用开发安全技术规范信息安全工作执行标准要求IT主流设备安全基线体系要求检查落实3 3 信息安全法规与政策信息安全法规与政策我国信息安全法律法规及电力行业制度要求我国信息安全法律法规及电力行业制度要求3.1 3.1 信息安全法规信息安全法规3.2 3.2 信息安全政策信息安全政策信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规信息安全相关国家法律了解中华人民共和国
13、宪法有关信息安全的内容了解中华人民共和国刑法有关信息安全犯罪的规定了解中华人民共和国治安管理处罚法有关信息安全的内容掌握中华人民共和国保守国家秘密法的主要内容掌握全国人民代表大会常务委员会关于维护互联网安全的决定的内容理解中华人民共和国电子签名法的意义和作用了解中华人民共和国侵权责任法有关信息安全的内容信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律公民的通信自由和通信秘密受法律的保护。公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察除因国家安全或者追查刑事犯罪的需要,由公
14、安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。得以任何理由侵犯公民的通信自由和通信秘密。宪法宪法 第二章第二章 公民的基本权利和义务公民的基本权利和义务 第第4040条条宪法宪法中的有关规定中的有关规定法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律285285条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计
15、算机信息系统罪;提供侵入、非法控制计算机信息系统程序、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。工具罪。286286条:破坏计算机信息系统罪。条:破坏计算机信息系统罪。287287条:利用计算机实施犯罪的提示性规定。条:利用计算机实施犯罪的提示性规定。253253条:出售、非法提供公民个人信息罪;非法获取公民个人信息罪条:出售、非法提供公民个人信息罪;非法获取公民个人信息罪刑法刑法 第六章第六章 妨碍社会管理秩序罪妨碍社会管理秩序罪 第一节第一节 扰乱公共秩序扰乱公共秩序罪罪 第第285285、286286、287287条条刑法刑法中的有关规定(中的有关规定(1
16、1)法律法律刑法刑法第四章第四章 侵犯公民人身权利、民主权利罪侵犯公民人身权利、民主权利罪 第第253253条条信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律有下列行为之一的,处以治安管理处罚:有下列行为之一的,处以治安管理处罚:(一)违反国家规定,侵入计算机信息系统,造成危害的;(一)违反国家规定,侵入计算机信息系统,造成危害的;(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的
17、;不能正常运行的;(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;增加的;(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。治安管理处罚法治安管理处罚法 其他规定(与非法信息传等播相关):第其他规定(与非法信息传等播相关):第4242、4747、6868条条治安管理处罚法治安管理处罚法 第三章第三章 违反治安管理的行为和处罚违反治安管理的行为和处罚 第一节第一节 扰乱
18、公共秩序的行为和处罚扰乱公共秩序的行为和处罚 第第2929条条治安管理处罚法治安管理处罚法中的有关规定中的有关规定法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律主旨(总则)主旨(总则)目的:保守国家秘密,维护国家安全和利益。目的:保守国家秘密,维护国家安全和利益。国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行
19、政管理部门主管全国的保密工作。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。国家秘密的范围:国家事务、国防武装、外交外事、政党秘密;国民经济和社会发展、科学技术;维护国家安全国家秘密的范围:国家事务、国防武装、外交外事、政党秘密;国民经济和社会发展、科学技术;维护国家安全的活动、经保密主管部门确定的事项等的活动、经保密主管部门确定的事项等国家秘密的密级国家秘密的密级绝密绝密-最
20、重要的国家秘密,保密期限不超过最重要的国家秘密,保密期限不超过3030年;年;机密机密-重要的国家秘密,保密期限不超过重要的国家秘密,保密期限不超过2020年;年;秘密秘密-一般的国家秘密,保密期限不超过一般的国家秘密,保密期限不超过1010年。年。保守国家秘密法保守国家秘密法(保密法)(保密法)(1 1)法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律法律责任(第法律责任(第4848条条 人员处分及追究刑责)人员处分及追究刑责)(一)非法获取、持有国家秘密载体的;(一)非法获取、持有国家秘密载体的;(二)买
21、卖、转送或者私自销毁国家秘密载体的;(二)买卖、转送或者私自销毁国家秘密载体的;(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;(五)非法复制、记录、存储国家秘密的;(五)非法复制、记录、存储国家秘密的;(六)在私人交往和通信中涉及国家秘密的;(六)在私人交往和通信中涉及国家秘密的;(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无
22、线通信中传递国家秘密的;(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;(十一)擅自卸载、修改涉密信息系统的安全技术程序、管
23、理程序的;(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。保守国家秘密法保守国家秘密法(保密法)(保密法)(2 2)法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法
24、规-信息安全相关国家法律信息安全相关国家法律全国人大关于维护互联网安全的决定全国人大关于维护互联网安全的决定背景背景法律法律约束力约束力法律责任法律责任 互联网日益广泛的应用,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。互联网的运行安全(侵入、破坏性程序、攻击、中断服务等)国家安全和社会稳定(有害信息、窃取/泄露国家秘密、煽动、非法组织等)市场经济秩序和社会管理秩序(销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等)个人、法人和其他组织的人身、财产等合法权利(侮辱或诽谤他人
25、、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等)构成犯罪的,依照刑法有关规定追究刑事责任 构成民事侵权的,依法承担民事责任 尚不构成犯罪的:治安管理处罚/行政处罚/行政处分或纪律处分法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律电子签名法电子签名法意义意义目的目的适用范围适用范围 2005年4月1日正式施行的电子签名法,被称为“中国首部真正中国首部真正意义上的信息化法律意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。为了规范电子签名行为,确立电子签名的法律效
26、力,维护有关各方的合法权益,制定本法。民事活动中的合同或者其他文件、单证等文书。电子签名和数据电文不适用的文书(国际惯例):涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律侵权责任法侵权责任法目的目的适用范围适用范围关于责任关于责任主体的特主体的特殊规定殊规定 为保护民事主体的合法权益,明确侵权责任,预防并制裁侵权行为,促进社会和谐稳定,制定本法。侵害民事权益,应当依照本法承担侵权责任。(本法所称民事权
27、益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。)第第36条网络用户、网络服务提供者利用网络侵害他人民事权益的,应条网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。当承担侵权责任。网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与
28、该网络用户承担连带责任。法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规信息安全相关行政法规和部门规章了解信息安全相关行政法规,掌握涉及信息安全的相关内容了解信息安全相关部门规章,掌握涉及信息安全的相关内容信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关行政法规和部门规章信息安全相关行政法规和部门规章行政法规行政法规计算机信息系统安全保护条例计算机信息系统安全保护条例计算机信计算机信息系统息系统安全保护安全保护主管部门主管部门保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障
29、信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。公安部主管全国计算机信息系统安全保护工作(含安全监督职权)。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。保护制度保护制度计算机信息系统实行安全等级保护。使用单位应当建立健全安全管理制度。安全专用产品(硬件、软件)的销售实行许可证制度。是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相
30、关行政法规和部门规章信息安全相关行政法规和部门规章行政法规行政法规商用密码管理条例商用密码管理条例商用密码商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术属于国家秘密。主管部门主管部门国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家对商用密码产品的科研、生产、销售和使用实行专控管理。管理要点管理要点商密产品由国家密码管理机构分别指定单位进行科研、生产和检测;商密产品销售单位应有国家密码管理机构颁发的商用密码产品销售许可证;必须如实登记备案直接使用商用密码产品的用户信息和产品用途;不得使用自行研制的或者境外生产的密码产品;不得转让
31、其使用的商用密码产品(含故障维修、报废销毁)。信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关行政法规和部门规章信息安全相关行政法规和部门规章计算机信息系统保密管理暂行规定计算机信息系统保密管理暂行规定适用范围适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。主管部门主管部门国家保密局主管全国计算机信息系统的保密工作。管理要点管理要点涉密系统-保密设施、保密措施、访问控制、数据保护等涉密信息-密级标识、物理隔离等涉密媒体-各类计算机媒体(含打印输出等)涉密场所-控制区、防电磁信息泄漏、其他物理安全等系统管理-领导负责制、管
32、理制度、保密检查、人员培训和考核等。部门规章部门规章信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关行政法规和部门规章信息安全相关行政法规和部门规章国家电子政务工程建设项目管理暂行办法国家电子政务工程建设项目管理暂行办法验收评价验收评价项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。运行管理运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。设计方案设计方案在“项建和可研
33、”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”部门规章部门规章信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规国外信息安全相关法规简介国外信息安全法律法规简介(以美国为例)信息自由法(FreedomofInformationActof1966,FOIA)爱国者法(USAPatriotofActof2001)联邦信息安全管理法案(FederalInformationSecurityManagementActof2002,FISMA)属于电子政务法(theE-GovernmentActof2002)的第三部分公众公司
34、会计改革与投资者保护法,又名萨班斯-奥克斯利法(Sarbanes-OxleyActof2002)信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-国外信息安全相关法规简介国外信息安全相关法规简介以美国为例以美国为例信息自信息自由法由法爱国者爱国者法法联邦信联邦信息安全管息安全管理法案理法案美国对政府信息进行立法保护的首要原则是向公众公开原则(也叫信息公开原则),是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由,但也需要保障国家的安全,因此,该法利用“例外”的立法方式,将需要保护的信息加以列举是“9.11”事件以后美国为保障国家安全颁布的最为重要
35、的一部法律,也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动,使美国人民能够生活在安全的环境中。由于该法赋予联邦政府的权力过大,引起美国国内民权人士的担忧,并产生诉案。该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查给出了“信息安全”的定义对国家信息安全管理职责的授权国家标准与技术局(NIST)为联邦政府使用的系统制定安全标准与指南管理与预算办公室(OMB)主任对安全政策、原则、标准、指南等的制定、执行(包括遵守)情况进行监督法律法律信息安全法规与政策信息安全
36、法规与政策3.2 3.2 信息安全相关政策信息安全相关政策国家信息安全保障总体情况掌握国家有关政策对信息安全保障工作的总体方针和要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关政策信息安全相关政策-国家信息安全保障总体情况国家信息安全保障总体情况我国信息安全政策的初步成效、后续展望我国信息安全政策的初步成效、后续展望初步成效初步成效后续展望后续展望依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系,广度结合深度,
37、制定、发布并落实了一些典型的信息安全政策(风险评估、等级保护、电子政务类、应急预案等)其他领域:灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准(政策带动标准,标准支撑政策)统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务(外包)的信息安全保障新技术、新应用下的信息安全保障信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-国家信息安全保障总体情况国家信息安全保障总
38、体情况国家信息化领导小组关于加强信息安全保障工作的国家信息化领导小组关于加强信息安全保障工作的意见意见(中办发(中办发200327200327号)号)意义意义总体方针总体方针和要求和要求主要原则主要原则标志着我国信息安全保障工作有了总体纲领提出要在5年内建设中国信息安全保障体系坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。立足国情,以我为主,坚持技术与管理并重;正确处理安全和发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础工作;明确国家、企业、个人的
39、责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策信息安全相关国家政策了解信息安全相关国家政策,掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系,熟悉信息安全等级保护相关政策信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-信息安全相关国家政策信息安全相关国家政策关于开展信息安全风险评估工作的意见(国信办关于开展信息安全风险评估工作的意见(国信办2006520065号)号)信息安全风险信息安全风险评估(基于风评估(基于风险管理)险管理)基本工作
40、基本工作要求要求相关保障相关保障应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维)定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估参照标准:信息安全风险评估规范(GB/T20984-2007)、信息安全风险管理指南(GB/Z24364-2009)服务资质服务资质对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务,要由国家专控的队伍来承担系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-信息安全相关国家
41、政策信息安全相关国家政策关于加强政府信息系统安全和保密管理工作的通知关于加强政府信息系统安全和保密管理工作的通知(国办发(国办发200817200817号)号)明确职责明确职责强化人员强化人员培训培训完善安全措完善安全措施和手段施和手段组织信息安全和保密基本技能培训,开展信息安全和保密形势分析深入学习宣传信息安全“五禁止”规定管理制度+技术手段加强信息加强信息安全检查安全检查详见政府信息系统安全检查办法把信息安全和保密工作列入重要议事日程,明确一名主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国
42、家政策信息安全相关国家政策关于印发国家网络与信息安全事件应急预案的通知关于印发国家网络与信息安全事件应急预案的通知(国办函(国办函20081682008168号)号)背景背景2003年:国务院成立应急办,颁布了国家突发公共卫生事件应急条例2006年:国家突发公共事件总体应急预案(4大类公共事件)国家网络与信息安全事件应急预案2007年:制定发布国家突发事件应对法预案要点预案要点网络与信息安全事件的分类分级参照标准:信息安全事件分类分级指南(GB/Z20986)应急流程:预防预警应急处置后期处置参照标准:信息安全事件管理指南(GB/Z20985)组织体系和应急保障;应急队伍、经费、物资、通信、科
43、技。监督管理监督管理宣传教育、培训、演练、责任与奖惩信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-信息安全相关国家政策信息安全相关国家政策关于加强国家电子政务工程建设项目信息安全风险评关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技估工作的通知(发改高技2008207120082071号)号)依据和目的依据和目的风险评估的主风险评估的主要内容要内容两类信息系统两类信息系统的工作开展的工作开展分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等涉密信息系统参照“分级保护”,进行系统测评并
44、履行审批手续非涉密信息系统参照“等级保护”,完成等级测评和风险评估工作,并形成相关报告相关要点相关要点对信息安全风险评估机构的指定(1家+3家)信息安全风险评估经费计入该项目总投资投入运行后,应定期开展信息安全风险评估)国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号三部委联合发文:发改委、公安部、保密局将“信息安全风险评估”作为项目验收的重要内容(按要求提交一系列文档)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策关于印发政府信息系统安全检查办法的通知(国办发关于印发政府信息系统安全检查办法的通
45、知(国办发200928200928号)号)依据依据关于加强政府信息系统安全和保密管理工作的通知(国办发200817号)检查范围和检查范围和检查重点检查重点各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等,每半年要进行一次全面的安全检查。国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站,要作为检查重点。检查方式检查方式各单位自查+统一组织抽查+安全检测(按需)工信部负责协调、指导、监督,公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南(工信部协2009168号)2010年度政府信息系统安全检查指南
46、(工信部协2010143号)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策工业控制系统信息安全事关工业生产运行、国家经济安全和人工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为切实加强工业控制系统信息安全管理,经国务民生命财产安全,为切实加强工业控制系统信息安全管理,经国务院同意,现就有关事项通知如下:院同意,现就有关事项通知如下:充分认识加强工业控制系统信息安全管理的重要性和紧迫性充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求明确重点领域工业控
47、制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导进一步加强工业控制系统信息安全工作的组织领导关于加强工业控制系统信息安全管理的通知(工信部关于加强工业控制系统信息安全管理的通知(工信部协协20114512011451号)号)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策GB 17859-1999GB 17859-1999计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则第一级第一级:用户自主保护级
48、;用户自主保护级;第二级第二级:系统审计保护级;系统审计保护级;第三级第三级:安全标记保护级;安全标记保护级;第四级第四级:结构化保护级;结构化保护级;第五级第五级:访问验证保护级;访问验证保护级;等级保护等级保护 中华人民共和国计算机信息系统安全保中华人民共和国计算机信息系统安全保护条例护条例(19941994年国务院年国务院147147号令)号令)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-信息安全相关国家政策信息安全相关国家政策(信息安全等级保护法规政策体系)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信
49、息安全相关国家政策信息安全相关国家政策关于印发关于印发 的通知(公字的通知(公字通通200743200743号)号)通知是政策,管理办法属于部门规章通知是政策,管理办法属于部门规章四部委联合发文:公安部、保密局、密码管理局、原国信办四部委联合发文:公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持国家信息安全等级保护坚持“自主定级、自主保护自主定级、自主保护”的原则的原则信息系统的安全保护等级分为五级信息系统的安全保护等级分为五级实施与管理实施与管理具体实施等级保护工作具体实施等级保护工作 参照标准:信息系统安全等级保护实施指南参照标准:信息系统安全等级保护实施指南确定安全保护等级确
50、定安全保护等级 参照标准:信息系统安全等级保护定级指南参照标准:信息系统安全等级保护定级指南系统建设系统建设 参照标准:信息系统安全等级保护基本要求等参照标准:信息系统安全等级保护基本要求等等级测评等级测评 参照标准:信息系统安全等级保护测评要求参照标准:信息系统安全等级保护测评要求二级以上系统的备案要求(由公安机关颁发备案证明)二级以上系统的备案要求(由公安机关颁发备案证明)三级以上系统的定期自查、测评和检查要求三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求三级以上系统等级保护测评机构的