CISP信息安全法规、政策和标准v3.0.pptx

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,课程内容（,1,）,信息,安全,法规与政策,知识体,知识域,信息安全,法规,知识子域,我国信息安全法规体系框架,信息安全,政策,信,息安,全,相,关国家法律,信息安全相关行政法规和部门规章,国外典型信息安全相关法规简介,国家信息安全政策概况,信,息安,全,相,关国家政策,国外信息安全相关政策,信,息安,全相关地方法规、规章和行业规定,课程内容,（,2,）,2,信息安全,标准,知识体,知识域,信息,安全,标准,基础,知识子域,信息,安全,标准化,组织,信息,安全,标准,体系,我国国家标准的类型和代码,国际信息安全标准化组织,国外信息安全标准化组织,我国信息安全标准化组织,我国信息,安全标准体系,国际信息安全标准体系,基础标准,密码技术标准,信息安全等级保护标准体系,管理标准,标准化的特点和原则,标准的作用,我国信息,安全,典型,标准介绍,技术与机制标准,保密技术标准,测评,标准,课程内容（,3,）,3,知识体,知识域,知识子域,信息安全,道德,规范,信息技术,通行,道德规范,信息安全,从业,人员,道德规范,CISP,职业道德准则,计算机使用道德规范,互联网,使用道德规范,信息安全从业人员基本道德规范,知识域：信息安全法规,知识,子域：我国信息安全法规体系框架,了解,信息安全法治建设的意义,了解,我国信息安全法律法规体系框架,4,信息安全法治建设的意义,信息安全法律环境是信息安全保障体系中的必要环节,明确信息安全的基本原则和基本制度、信息安全事物中各方权利义务,明确违反信息安全的行为，并对其行为进行相应的处罚,信息安全不再只是个技术问题，而更多地是个商业和法律,问题,信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范,5,我国的多级立法体系结构,6,多级立法,知识域：信息安全法规,知识子域：信息安全相关国家法律,了解信息保护相关法律,理解国家秘密的概念、基本范围和密级划分，以及保护国家秘密相关法律的要求,理解商业秘密的概念、基本范围，以及保护商业秘密相关法律的要求,理解个人信息的概念、基本范围，以及保护个人信息相关法律的要求,理解网络违法犯罪的概念，了解打击网络违法犯罪相关法律,了解在保护国家秘密、维护公共安全、规范电子签名行为等方面，我国从法律层面明确的信息安全相关工作的主管,/,监管机构及其具体职权,9,我国信息安全,法律,分类,我国信息安全法律,分类,信息保护,相关,法律,打击,网络违法,犯罪,相关法律,信息安全,管理,相关,法律,10,信息保护相关法律,信息保护相关,法律,保护国家秘密相关,法律,保守,国家秘密法,、,刑法,、,全国人民代表大会常务委员会关于维护互联网安全的决定,等,保护商业秘密相关,法律,反,不正当竞争法,、,合同法,、,劳动法,、,刑事诉讼法、民事诉讼法,等,保护个人信息相关,法律,宪法,、,居民身份证法,、,护照法,、,民法通则,、,全国人民代表大会常务委员会关于维护互联网安全的决定,、,全国人民代表大会常务委员会关于加强网络信息保护的决定,等,11,国家秘密,国家,秘密,12,国家安全和利益,在一定时间内只限一定范围的人员知悉,依照法定程序确定,国家秘密的基本范围,主要,包括产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密,事项,国家,事务重大决策中的秘密,事项,国防,建设和武装力量活动中的秘密,事项,外交,和外事活动中的秘密事项以及对外承担保密义务的秘密,事项,国民经济,和社会发展中的秘密,事项,科学技术,中的秘密,事项,维护,国家安全活动和追查刑事犯罪中的秘密,事项,党政,秘密中符合上述各项内容的,事项,其他,经国家保密行政管理部门确定的秘密,事项,13,国家秘密的保密期限,国家秘密的保密期限，除另有规定,外,绝密,级不超过,三十年,机,密级不超过,二十年,秘密,级不超过,十年,另,有,规定,主要,是指在保密事项范围中明确规定某类国家秘密事项保密期限为“长期”的,情况,这些,国家秘密,事项长期,关系国家安全和利益，,即使定,为三十年的最长保密期限，也难以满足保密,需求,不能,确定保密期限的国家秘密，应当确定解密,条件,14,国家秘密的,密级,划分,密级,描述,泄露后果,绝密,最重要的国家秘密,泄露会使国家安全和利益遭受特别严重的损害,机密,重要的国家秘密,泄露会使国家安全和利益遭受严重的损害,秘密,一般的国家秘密,泄露会使国家安全和利益遭受损害,15,保守国家秘密法,主旨（总则）,目的：,保守国家秘密，维护国家安全和利益,国家秘密受法律保护。,一切单位和公民都有保守国家秘密的义务,国家保密行政管理部门,主管全国的保密工作,保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查,主要内容,对我国国家秘密的定密程序、解密制度和保密期限等作出了明确,规定,明确,了国家秘密相关的保密,制度,明确,了国家秘密的监督管理,部门,明确,了对危害国家秘密安全的行为要追究的,法律责任,法律,16,商业秘密,商业,秘密,不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营,信息,技术信息类商业,秘密,未,公开的设计、程序、产品配方、制作,工艺,等,完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术,数据,针对技术问题的技术,诀窍,经营信息类商业,秘密,经营,策略、产销策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息,17,保护商业秘密相关,法律,（,1,）,反不正当竞争法,认定,了侵犯商业秘密的不正当竞争行为，并对经营者侵犯商业秘密的行为进行了,禁止,合同法,和,劳动合同法,有,对商业秘密,/,技术秘密进行保护,的条款,合同法,技术,合同的内容应包括“技术情报和资料的保密”相关,条款,技术,秘密转让合同的让与人和受让人均应承担保密,义务,18,保护商业秘密相关法律,（,2,）,劳动合同法,用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项,刑事诉讼法,涉及,商业秘密的案件，当事人申请不公开审理的，可以不公开,审理,民事诉讼法,对,涉及商业秘密的证据应当保密，需要在法庭出示的，不得在公开开庭时,出示,人民法院,审理民事案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理,19,个人信息,个人,信息,有关,一个可识别的自然人的任何,信息,姓名、职位、电话号码等可在适当范围内公开的,信息,健康,体检报告、医疗记录、通话记录等不愿公开的个人,隐私,信息系统,所特有的账号、口令等用于进行用户标识和身份鉴别的信息,20,宪法,中的有关规定,宪法,第二章,公民的基本权利和义务,第,40,条,公民的通信自由和通信秘密受法律的保护,除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密,法律,21,非法使用,/,滥用个人信息,非法使用,/,滥用个人信息、侵犯个人隐私的,行为,未经,他人同意，擅自公布他人的隐私,材料,以,书面、口头形式宣扬他人,隐私,窃取,或者以其他非法方式获取公民个人电子,信息,出售,或者非法向他人提供公民个人电子,信息,网络,服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子,信息,对,在业务活动中经被收集者同意收集的公民个人电子信息没有采取必要的保密,措施,医疗,机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料、健康体检报告等行为,22,打击网络违法犯罪相关法律,网络违法,犯罪,狭义,指以计算机网络为违法犯罪对象而实施的危害网络空间的行为,广义,是,以计算机网络为违法犯罪工具或者为违法犯罪对象而实施的危害网络空间的行为，应当包括违反国家规定，直接危害网络安全及网络正常秩序的各种违法,/,犯罪行为,相关法律,关于维护互联网安全的决定,治安管理处罚法,刑法,23,网络违法,/,犯罪行为,网络违法,/,犯罪行为,破坏互联网运行安全的,行为,破坏国家安全和社会稳定的,行为,破坏社会主义市场经济秩序和社会管理秩序的,行为,侵犯个人、法人和其他组织的人身、财产等合法权利的,行为,利用互联网实施以上四类所列行为以外的违法,/,犯罪行为,24,信息安全主管,/,监管机构（,1,）,保护国家,秘密,中华人民共和国保守国家秘密法,由,国家保密行政管理部门主管全国的保密,工作,县,级以上地方各级保密行政管理部门主管本行政区域的保密,工作,国家机关,和涉及国家秘密的单位管理本机关和本单位的保密,工作,中央,国家机关在其职权范围内，管理或者指导本系统的保密,工作,国家,保密行政管理部门的最高机构是国家保密,局,25,信息安全主管,/,监管机构,（,2,）,维护,公共,安全,人民警察法,和,治安管理处罚法,公安部门负责全国的治安管理,工作,县,级以上地方各级人民政府公安机关负责本行政区域内的治安管理工作,26,信息安全主管,/,监管机构,（,3,）,规范电子签名,行为,中华人民共和国电子签名法,电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务；从事电子认证服务，应当向国务院信息产业主管部门提出,申请,工业和信息化部,27,知识域：信息安全法规,知识子域：信息安全相关行政法规和部门规章,了解信息安全相关行政法规，掌握涉及信息安全的相关内容,了解信息安全相关部门规章，掌握涉及信息安全的相关内容,28,信息安全相关行政法规,计算机信息系统安全保护条例,商用密码管理条例,其他,中华人民共和国计算机信息网络国际联网管理暂行规定,中华人民共和国电信条例,互联网信息服务管理办法,互联网上网服务营业场所管理条例,信息网络传播权保护条例,.,29,计算机信息系统安全保护条例,安全保护,保障计算机及其相关的和配套的设备、设施,(,含网络,),的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行,主管部门,公安部主管全国计算机信息系统安全保护工作（含安全监督职权）,国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作,安全保护制度,计算机信息系统实行安全等级保护,使用单位应当建立健全安全管理制度,安全专用产品（硬件、软件）的销售实行许可证制度,30,国务院令第,147,号，,1994,年,2,月,18,日发布,施行,商用密码管理条例,商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品,商用密码技术属于国家秘密,主管部门,国家密码管理委员会及其办公室主管全国的商用密码管理工作,国家对商用密码产品的科研、生产、销售和使用实行专控管理,管理要点,商密产品销售单位应先获得,商用密码产品销售许可证,任何单位或者个人不得销售境外的密码产品,不得使用自行研制的或者境外生产的密码产品,不得转让其使用的商用密码产品（含故障维修、报废销毁）,31,国务院令第,273,号，,1999,年,10,月,7,日发布施行,信息安全相关部门规章,计算机信息系统安全专用产品检测和销售许可证管理办法,计算机信息系统保密管理暂行规定,国家电子政务工程建设项目管理暂行办法,32,计算机信息系统安全专用产品 检测和销售许可证管理办法,两个必须,安全专用产品,在,进入市场销售之前,必须申领,计算机信息系统安全专用产品销售许可证,申领销售许可证,时,必须对产品进行安全功能检测和认定,检测（机构）,检测机构对产品（样品）的安全功能和性能进行检测,检测机构应,保守检测产品的技术秘密,，,并不得非法占有他人科技成果，不得从事与检测产品有关的开发和对外咨询业务,销售许可证（主管部门）,由,公安部计算机管理监察部门颁发安全专用产品销售许可证（两年内有效）,、,“销售许可”标记,安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录,由公安部计算机管理监察部门发布,33,公安部令第,32,号，,1997,年,12,月,12,日施行,计算机信息系统保密管理暂行规定,适用范围,适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统,主管部门,国家保密局主管全国计算机信息系统的保密工作,管理要点,涉密系统-,保密设施、保密措施、访问控制、数据保护等,涉密信息-,密级标识、,物理隔离等,涉密媒体,-,各类,计算机媒体（,含打印输出等,）,涉密场所-,控制区、,防电磁信息泄漏、,其他物理安全等,系统管理,-,领导负责制、管理制度、保密检查、,人员培训和考核等,34,国家保密,局,国保发,1998,1,号,1998,年,2,月,26,日发布施行,国家电子政务工程建设项目管理暂行办法,项目建议书,、,可行性研究报告,、初步设计方案,在“项建和可研”的项目建设方案中应包含“安全系统建设方案”,在“初设”的项目设计方案中应包含“安全系统设计”,验收评价管理,项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作,运行管理,项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现,35,国家发改委令,2007,第,55,号,2007,年,9,月,1,日起施行,知识域：信息安全法规,知识子域：信息安全相关地方法规、地方规章和行业规定,了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容,了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容,了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容,36,地方法规,北京市信息化促进条例,2007,年,9,月,14,日公布,，自,2007,年,12,月,1,日起,施行,适用于北京市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动,上海市公共信息系统安全测评管理办法,2006,年,5,月,7,日公布，,2006,年,7,月,1,日起,施行,适用于,上海市行政区域内的公共信息系统安全测评管理活动，具体规定涉及测评的管理部门、责任制度、测评年度计划、新建系统的测评、测评机构、测评协议、测评要求、安全事项告知与协助义务、测评报告、安全整改，对测评机构违法行为的处理等方面,辽宁省计算机信息系统安全管理条例,重庆市计算机信息系统安全保护条例,.,37,地方规章,北京市微博客发展管理若干规定,（,2011,年,12,月,16,日公布并施行,）,北京市公共服务网络与信息系统安全管理规定,北京市党政机关计算机网络与信息安全管理办法,上海市公共信息系统安全测评管理办法,天津市公共计算机信息网络安全保护规定,黑龙江省计算机信息系统安全管理规定,辽宁省计算机信息保密管理规定,大连市人民政府公共信息网络管理暂行规定,四,川省计算机信息系统安全保护管理办,法,山,西省计算机安全管理规,定,山,东省计算机信息系统安全管理办,法,安,徽省计算机信息系统安全保护办,法,河,南省计算机信息系统安全保护暂行办,法,38,地方规章,广东省计算机信息系统安全保护管理规定,广东省电子政务信息安全管理暂行办法,广,东省互联网上网服务营业场所管理办,法,广,东省计算机信息系统安全保护管理规定实施细则（试行,）,广东省通信短信息服务管理办法（试行）,深圳经济特区计算机信息系统公共安全管理规定,福建省互联网上网服务营业场所管理规定,江,苏省互联网网络与信息安全管理暂行规,定,云,南省网络与信息系统安全监察管理规,定,江,西省计算机信息系统安全保护办,法,杭,州市计算机信息系统安全保护管理办,法,.,39,行业规定,40,中国银监会,电子银行业务管理办法,电子银行安全评估指引,银行业金融机构信息系统风险管理指引,中国证监会,网上证券委托暂行管理办法,证券期货业信息安全保障管理暂行办法,证券公司集中交易安全管理技术指引,期货公司信息公示管理规定,（自,2009,年,11,月,16,日起施行）,深圳证券交易所交易异常情况处理实施细则（试行）,上海证券交易所交易异常情况处理实施细则（试行）,.,知识域：信息安全法规,知识子域：,国外典型信息安全相关法规简介,了解美国信息安全相关法规概况,41,国外信息安全法律法规简介,国外信息安全法律法规简介（以美国为例）,信息自由法,（,Freedom of Information Act of 1966，FOIA,）,爱国者法,（,USA Patriot of Act of 2001,）,联邦信息安全管理法案,（,Federal Information Security Management Act of 2002，FISMA,）,公众公司会计改革与投资者保护法,42,信息自由法,信息自由法,美国对政府信息进行立法保护的首要原则是向公众公开原则,（也叫信息公开原则），是构成其他信息安全保护法律的基础,该法案,主要是保障公民的个人自由,，,但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举,43,爱国者法,爱国者法,是“,9.11”,事件以后美国为保障国家安全颁布的最为重要的一,部,法律，也是目前争议最大的一部法律。,从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境,中,由于该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉,案,该法,还对美国现有的十几部法律做出了修改,政府可以对国外银行和对私人存户达到,100,万美元以上的账户进行调查,44,联邦信息安全管理法案,联邦信息安全管理法案,对,国家信息安全管理职责,的授权,国家标准与技术局（,NIST,）为联邦政府使用的系统制定安全标准与指南,管理与预算办公室（,OMB,）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督,属于电子政务法的第三部分,电子政务法,该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定,45,公众公司会计改革与投资者保护法,公众公司会计改革与投资者保护法,又名萨班斯,-,奥克斯利法,主要目的是加强对上市公司内部,金融,信息的监管，以维护金融市场的秩序和安全,该法案要求公众公司保证其内部金融控制的准确性，规定由证券交易委员会（,SEC,）制定规则，强制要求公众公司年度报告中包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴定报告,46,知识域：信息安全政策,知识子域：国家信息安全政策概况,了解国家有关政策提出的加强信息安全保障工作的方针和总体要求,理解国家有关政策规定的加强信息安全保障工作的主要原则,理解国家有关政策规定的需要重点加强的信息安全保障工作,47,我国信息安全保障,工作,总体文件,国家信息化领导小组关于加强信息安全保障工作的意见,中,办发,200327,号,明确了我国信息安全保障工作的方针和总体,要求,加强,信息安全保障工作的主要,原则,需要,重点加强的信息安全保障,工作,27,号文的发布,具有重大,意义,它,标志着我国信息安全保障工作有了总体,纲领,我国,最近十余年的信息安全保障工作都是围绕此政策性文件来展开和推进,的,促进,了我国信息安全保障建设的各项工作,48,国家信息化领导小组关于加强信息安全保障工作的意见,总体,方针和,要求,坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全,主要原则,立足国情，以我为主，坚持技术与管理并重,正确处理安全和发展的关系，以安全保发展，在发展中求安全,统筹规划，突出重点，强化基础工作,明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系,49,国家信息化领导小组关于加强信息安全保障工作的意见,主要任务（重点加强的安全保障工作）,实行信息安全等级保护,加强以密码技术为基础的信息保护和网络信任体系建设,建设和完善信息安全监控体系,重视信息安全应急处理工作,加强信息安全技术研究开发，推进信息安全产业发展,加强信息安全法制建设和标准化建设,加快信息安全人才培养，增强全民信息安全意识,保证信息安全资金,加强对信息安全保障工作的领导，建立健全信息安全管理责任制,50,我国信息安全,政策,的初步成效、后续展望,初步成效,依托,2003,年的,27,号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容,围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）,其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等,后续展望,“十一五”期间发布的各项政策均将进入落实,期,由电子政务领域向其他,领域拓,展,尽快形成“统一的”,信息安全服务资质管理体制,基于信息安全服务类的标准（政策带动标准，标准支撑政策）,统一安全服务行业的企业资质和人员资,质,由“狭义信息安全”向“广义信息安全”延伸,IT服务（外包）的,信息,安全保障,新技术、,新应用下的信息安全保障,51,知识域：信息安全政策,知识,子域：信息安全相关国家政策,了解,信息安全相关国家政策,理解,风险评估、保密管理、应急处理、安全检查和工控安全等涉及信息安全的相关内容,理解,信息安全等级保护政策体系,，了解信息,安全等级保护相关政策,52,信息安全相关的政策,风险评估相关,政策,保密管理相关,政策,应急处理相关,政策,安全检查相关,政策,工控安全相关,政策,等级保护相关,政策,加强信息安全保障相关,政策,物联网安全相关政策,53,关于开展信息安全风险评估工作,的意见,（,国信,办,20065,号）,信息安全风险评估,（基于风险管理）,系统分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,基本工作要求,应贯穿于网络和信息系统建设运行的全过程（,设计、验收、运维,）,信息,安全风险评估分自评估、检查评估两形式,应以自评估为主，自评估和检查评估相互结合、互为补充,相关保障,参照标准:,信息安全风险评估规范,（,GB/T 20984-2007,）,、,信息安全风险管理指南,（,GB/Z 24364-2009,）,服务资质（,对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担,）,54,风险评估相关政策,关于,加强国家电子政务工程建设项目信息安全,风险评估工作,的通知,（,发改高技,20082071,号）,依据和目的,国家电子政务工程建设项目管理暂行办法,-,国,家发改委令,2007,第,55,号,目的,是为了贯彻,落实中,办发,200327,号,文,，,加强基础信息网络和重要信息系统安全保障，加强和规范国家电子政务工程建设项目信息安全风险评估工作,风险评估的主要内容,分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等,两类信息系统的工作开展,涉密信息系统参照“分级保护”,非涉密信息系统参照“等级保护”,相关,要点,要求将“信息安全风险评估”作为电子政务项目验收的重要,内容,对信息安全风险评估机构的指定（,1,家,+3,家）,投入运行后，应定期开展信息安全风险评估,55,风险评估相关政策,关于加强政府信息系统安全和保密管理工作的通知（,国,办发,200817,号）,加强组织领导，明确安全责任,把,信息安全和保密工作列入重要议事日程，明确主管领导,谁主管谁负责、谁运行谁负责、谁使用谁负责,强化教育培训，提高安全意识和防护技能,组织信息安全和保密基本技能,培训,深入,学习宣传信息安全“五禁止”规定,建立健全安全管理制度，完善安全措施和手段,管理制度,+,技术手段,做好信息安全检查工作，依法追究责任,详见,政府信息系统安全检查办法,56,保密管理相关政策,关于印发国家网络与信息安全事件应急预案的通知（,国,办函,2008168,号）,背景,2003,年：国务院成立应急办，颁布了,国家突发公共卫生事件应急条例,2006,年：,国家突发公共事件总体应急预案,（,4,大类公共事件）,国家网络与信息安全事件应急预案,2007,年：制定发布,国家突发事件应对法,2008,年，国务院办公厅,发布,本,通知,（国办函,2008168,号）,预案要点,网络与信息安全事件的分类分级,参照标准：,信息安全事件分类分级指南,（,GB/Z,20986,）,应急流程,阶段,：预防预警,应急处置,后期处置,参照标准：,信息安全事件管理指南,（,GB/Z 20985,）,组织体系和应急保障,应急队伍、经费、物资、通信、科技。,监督管理,宣传教育、培训、演练、,责任与奖惩,57,应急处理相关政策,关于印发政府信息系统安全检查办法的通知（,国,办发,200928,号）,概述,依据,关于加强政府信息系统安全和保密管理工作的通知,（国办发,200817,号）,检查范围,各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。,检查重点,国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。,检查方式,各单位自查+统一组织抽查+,安全检测（按需）,工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工,2009,年度政府信息系统安全检查指南,（工信部协,2009168,号）,2010,年度政府信息系统安全检查指南,（工信部协,2010143,号）,2011,年度政府信息系统安全检查指南（工信部协,2011214,号）,58,安全检查相关政策,关于加强工业控制系统信息安全管理的通知（工信部协,2011451,号）,基本情况,工信部协,2011451,号,，,2011,年,9,月,29,日,发布,强调,了工业控制系统信息安全的重要性,工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,四,个方面要求,充分认识加强工业控制系统信息安全管理的重要性和紧迫性,明确重点领域工业控制系统信息安全管理要求,建立工业控制系统安全测评检查和漏洞发布制度,进一步加强工业控制系统信息安全工作的组织,领导,59,工控安全相关政策,等级保护,相关政策,信息安全等级保护的提出,中华人民共和国计算机信息系统安全保护条例,（,1994,年国务院,147,号令）,第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。,GB 17859-1999,计算机信息系统安全保护等级划分准则,定义,了,安全保护等级,的,五个,级别,60,信息安全等级保护法规政策体系,61,依据和指导文件,等级保护工作的,法律,依据和政策,依据,中华人民共和国计算机信息系统安全保护条例,国家信息化领导小组关于加强信息安全保障工作的意见,为,等级,保护工作,的,开展提供宏观指导和,约束,关于信息安全等级保护工作的实施意见,信息安全等级保护管理办法,62,关于信息安全等级保护工作的,实施意见,（,公字通,200466,号）,信息和信息系统的安全保护等级（,及其适用范围,）,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级,定级依据,根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,实施要求,完善标准,分类指导（管理规范和技术标准）,科学定级,严格备案（专家评审,委员会）,建设整改,落实措施（,信息系统：已有、,新建、改建、扩建）,自查自纠,落实要求（运营、使用单位及其主管部门）,建立制度,加强管理（运营、使用单位及其主管部门）,监督检查,完善保护（公安机关,重点对,第三、第四级,系统,监督检查,）,63,关于印发,的通知（,公字通,200743,号）,通知是政策，管理办法属于,部门规章,联合发文：公安部、保密局、密码管理局、原国信办,国家信息安全等级保护坚持“自主定级、自主保护”的原则,信息系统的安全保护等级分为五级,实施与管理,具体实施等级保护工作,参照标准：,信息系统安全等级保护实施指南,确定安全保护等级,参照标准：,信息,系统安全等级保护定级指南,系统建设,参照标准：,信息,系统安全等级保护,基本要求,等,等级测评,参照标准：,信息,系统安全等级保护,测评要求,二级以上系统的备案要求（由公安机关颁发,备案证明,）,三级以上系统的定期自查、测评和检查要求,三级以上系统的信息安全产品选择使用要求,三级以上系统,等级保护测评机构,的选择要求,涉密信息系统,按,分级保护管理,对信息安全等级保护的密码实行分类分级管理,64,关于开展全国重要信息系统安全等级保护定级工作的,通知,（,公信安,2007861,号）,背景,根据国家网络与信息,安全协调小组,2007,年,的工作部署,公安部、国家保密局、国家密码管理局、国务,院信息化工作办公室定于,2007,年,7,月至,10,月,在全国范围内组织开,展重要信息系统,安全等级保护定级工作,定级范围,电信、广电行业的公用通信网、,广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、,互联网接入服务单位,、数据中心等单位,的重要信息系统,铁路、银行、海关、税务、民航、电力、证券、保险,、外交,、科技、发展改革、国防科技、公安、人事劳动和社会保障,、财,政、审计、商务、水利、国土资源、能源、交通、文化、教育,、统计,、工商行政管理、邮政等行业、部门的生产、调度、管理,、办公等重要信息系统,市,(,地,),级以上党政机关,的重要网站和办公信息系统,涉及国家秘密的信息系统,(,涉密信息系统,),工作内容,摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）,65,关于开展信息安全等级保护安全建设整改工作的,指导意见,（,公信安,20091429,号）,工作目标,力争在,2012,年,底前完成已定级信息系统,(,不,含,涉密信息系统,),安全建设整改工作,工作内容,开展信息安全等级保护安全管理制度建设,提高信息系统,安全管理,水平,开展信息安全等级保护安全技术措施建设,提高信息系统,安全保护,能力,开展信息系统安全等级测评,使信息系统,安全保护状况逐步达到等级保护要求,信息安全等级保护安全建设整改工作指南,参照标准：,信息系统安全等级保护基本要求,信息系统安全建设整改工作基本流,程（,管理建设、技术建设,）,信息安全,等级保护,主要,标准,简要说明及相互间,的关系（,基础类、应用类、,产品类和其他类）,66,国务院关于大力推进信息化发展和切实保障信息安全的若干意见,（,国发,201223,号,）,指导思想,坚持,积极利用、科学发展、依法管理、确保安全，加强统筹协调和顶层设计，健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全，促进经济平稳较快发展和社会和谐,稳定,主要目标,国家信息安全保障体系基本形成，重要信息系统和基础信息网络安全防护能力明显增强，信息化装备的安全可控水平明显提高，信息安全等级保护等基础性工作明显加强,近期主要任务,健全,安全防护和管理，保障重点领域信息,安全,加快,能力建设，提升网络与信息安全保障,水平,完善,政策,措施,67,加强信息安全保障相关政策,国务院关于推进物联网有序健康发展的指导意见,（国发,2013,7,号,),为推进物联网有序健康发展提出了指导思想、基本原则和发展目标，明确了主要任务和保障措施,指导思想,要求,以保障安全为前提，强化标准规范，有序推进物联网持续健康,发展,基本原则,安全可控,68,物联网安全相关政策,知识域：信息安全政策,知识子域：,国外,信息安全,相关政策,了解美国信息安全相关政策概况,69,国外信息安全政策简介,国外信息安全国家政策简介（以美国为例）,美国各届,政府对信息安全均很,重视,，,发布,了若干与信息安全相关的政策与系列,举措,克林顿政府,IATF V1.0,（,1998,年）,V3.1,（,2002,年）,V4.0,（,Now,）,2000,年：,总统国家安全战略报告,（首次将信息安全列入）,布什政府,911,之后，成立本土安全部（国土安全部）、国家,KIP,委员会,2002,年：,国家保障数字空间安全策略,、,国家安全战略报告,2003,年：,网络空间安全国家战略计划,奥巴马政府,上任之初：,60,天信息安全评估项目,2009,年：,美国网络安全评估,2010,年：网络战司令部正式运行,70,奥巴马政府的,新,举措,上台不久就亲自主导了一个,60,天的信息安全评估项目,，,2009,年,5,月公布了,美国网络安全评估,报告,，,评估了美国政府在网络空间的安全战略、策略和标准,，,指出了存在的问题,，,并,提出行动计划（最高层领导、数字化能力、安全责任、信息共享和事件反应机制,5,大方面）,成立了网络安全办公室，任命了“网络沙皇”为网络安全协调官。参议院向国会提交了,网络安全法,议案,2010,年,6,月,，,美国国防部正式成立了由战略司令部领导的网络战司令部（主要进行数字战争,，,防护针对美军计算机网络的安全威胁）。司令部将于,2010,年,10,月正式运行,促使政府对外公布,国家网络安全综合计划,（即信息安全曼哈顿计划）的概要，实行政策透明，以获得民众对政策的理解,71,知识域：,信息,安全标准基础,知识子域：标准的作用,理解标准和标准化相关的基本概念,了解标准的作用,知识子域：标准化的特点和原则,了解标准化的特点,了解标准化工作应遵循的原则,知识子域：我国国家标准的类型和代码,了解强制性、推荐性和标准化指导性技术文件三类国家标准及其代码,了解各类标准的特点,72,标准和标准化相关基本概念,标准,为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件,标准化（,GB/T 20000.1-2002,）,为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动,国际标准,由国际标准化组织或国际标准组织通过并公开发布的标准,国家标准,由国家标准机构通过并公开发布的标准,国际标准化组织（,ISO,）,其成员资格向每个国家的有关国家机构开放的标准化组织,国家标准机构,在国家层面上承认的，有资格成为相应的国际和区域标准组织的国家成员的标准机构（中国国家标准化管理委员会）,73,标准的作用,作用,标准是进行贸易的基本条件,标准能够提高企业的经济效益,标准能够提高国民经济效益,标准既能打破技术壁垒，也能成为新的技术壁垒,74,标准化的特点,特点,标准化的,对象是共同,的、可重复的,事物,不是,孤立的一件事、一个事物,标准化的,动态性,随着,科技的进步和社会的发展而不断变化,发展,标准化的,相对性,原有标准随着社会发展和环境变化，需要更新,标准化的效益,通过应用体现,经济,和,社会效益,75,标准化工作应遵循的原则,原则,简化,统一,协调,优化,76,我国国家标准的代码,按,标准层次分,强制性国家标准（,GB,）,推荐性国家标准（,GB/T,）,国家标准化指导性技术文件（,GB/Z,）,77,除了国家标准，还有行业标准、地方标准等。,知识域,：信息安全标准化,组织,知识,子域：国际信息安全标准化组织,了解,国际信息安全标准化组织及其工作,知识,子域：国外信息安全标准化组织,了解,国外典型信息安全标准化组织及其工作,知识,子域：我国信息安全标准化组织,了解,我国信息安全标准化组织及其工作,78,国际,主要,的信息安全标准化组织,国际标准化组织（,ISO,）,International,Organization for,Sta