1、學(xué)習(xí)時長：80分鐘制作時間：2015/05/19我國信息安全法律法規(guī)及電力行業(yè)制度要求中國南方電網(wǎng)有限責(zé)任公司1國家信息安全法治總體情況合規(guī)概述信息安全法規(guī)與政策課程內(nèi)容目錄 中國南方電網(wǎng)有限責(zé)任公司2354信息安全標(biāo)準(zhǔn)55電力行業(yè)信息安全推進(jìn)情況1 國家信息安全法治總體情況我國信息安全法律法規(guī)及電力行業(yè)制度要求1.1 我國信息安全法律法規(guī)體系框架1.2 我國信息安全法治建設(shè)進(jìn)程1.3 國家信息安全保障體系國家信息安全法治總體情況中國南方電網(wǎng)有限責(zé)任公司1.1 我國信息安全法律法規(guī)體系框架法律法規(guī)地方人民政府地方人大及常委會國務(wù)院全國人大及其常委會法律行政 法規(guī)地方性法規(guī)地方政府規(guī)章部門 規(guī)章

2、計算機(jī)信息系統(tǒng)安全保護(hù)條例互聯(lián)網(wǎng)信息服務(wù)管理辦法商用密碼管理條例中辦27號文公安部（等級保護(hù)相關(guān)規(guī)定）發(fā)改委（）國新辦（互聯(lián)網(wǎng)新聞信息服務(wù)）保密局（保密等）.國務(wù)院各部委憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法.中國南方電網(wǎng)有限責(zé)任公司1.2 我國信息安全法治建設(shè)進(jìn)程國家信息安全法治總體情況通訊保密安全保守國家秘密法（1989）（2010年修訂）中央關(guān)于加強(qiáng)密碼工作的決定計算機(jī)信息系統(tǒng)安全保護(hù)條例（草案）-86計算機(jī)系統(tǒng)安全計算機(jī)信息系統(tǒng) 安全保護(hù)條例（1994）計算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法-97 計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法-97計

3、算機(jī)信息系統(tǒng)保密管理暫行規(guī)定-98商用密碼管理條例-99網(wǎng)絡(luò)信息系統(tǒng)安全關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定（2000）互聯(lián)網(wǎng)信息服務(wù)管理辦法計算機(jī)病毒防治管理辦法計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定全面信息安全保障國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號2005年9月國信辦文件 關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息安全等級保護(hù)實施指南的通知 國信辦200425號2006年1月四部委會簽 關(guān)于印發(fā)信息安全等級保護(hù)管理辦法的通知 公通字20067號2005年 公安部標(biāo)準(zhǔn)基本要求定級指南實施指南測評準(zhǔn)則2004年11月四部委會簽關(guān)于信息安全等級保護(hù)工作的實施意見公通字200466號國家級技術(shù)標(biāo)準(zhǔn)國

4、家級政策文件2007年8月電監(jiān)會簽發(fā)關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作的通知（電監(jiān)信息200734號） 行業(yè)級政策文件1.3 國家信息安全保障體系國家信息安全法治總體情況信息安全技術(shù)與產(chǎn)業(yè)支撐平臺信息安全基礎(chǔ)設(shè)施信息安全法律法規(guī)與政策環(huán)境信息安全人才培訓(xùn)教育體系信息安全組織機(jī)構(gòu)及管理體系信息安全標(biāo)準(zhǔn)與規(guī)范1.3 國家信息安全保障體系-信息安全法治建設(shè)的意義信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)明確信息安全的基本原則和基本制度、信息安全保障體系的建設(shè)、信息安全相關(guān)行為的規(guī)范、信息安全中各方權(quán)利義務(wù)明確違反信息安全的行為，并對其行為進(jìn)行相應(yīng)的處罰等信息安全不再只是個技術(shù)問題，而更

5、多地是個商業(yè)和法律問題-安全漏洞、信息犯罪的本質(zhì)？信息安全產(chǎn)業(yè)的逐漸形成和成熟，需要必要的規(guī)范保護(hù)國家信息主權(quán)和社會公共利益是信息安全立法的首要目標(biāo)狹義的信息安全 廣義的信息安全國家信息安全法治總體情況1.3 國家信息安全保障體系-我國信息安全法治建設(shè)的初步成效、展望初步成效法律法規(guī)體系初步構(gòu)建，但體系化與有效性等方面仍有待進(jìn)一步完善;與信息安全相關(guān)的司法和行政管理體系迅速完善;法律少而規(guī)章等偏多，缺乏信息安全的基本法;法律法規(guī)的內(nèi)容篇幅偏小，行為規(guī)范較簡單展望需要一部信息安全的基本法國家信息安全法（或先出臺信息安全條例）;信息安全的基本原則與基本制度;信息安全的主要核心內(nèi)容;進(jìn)一步完善各領(lǐng)域

6、的信息安全專門法;信息安全的監(jiān)管模式和認(rèn)證體系（面向信息安全各類主體和客體）;信息安全常態(tài)管理（等級保護(hù)制度等）;信息安全應(yīng)急管理（預(yù)警、監(jiān)測、通報和應(yīng)急處理等）;網(wǎng)絡(luò)與信息系統(tǒng)全生命周期的信息安全;特定領(lǐng)域的信息安全國家信息安全法治總體情況2 合規(guī)概述我國信息安全法律法規(guī)及電力行業(yè)制度要求2.1 什么是合規(guī)2.2 合規(guī)與遵守法律的區(qū)別2.3 相關(guān)法規(guī)分析合規(guī)概述2.1 什么是合規(guī)-定義及目標(biāo)合規(guī)簡而言之就是要符合法律、法規(guī)、政策及相關(guān)規(guī)則、標(biāo)準(zhǔn)的約定。在信息安全領(lǐng)域內(nèi)，等級保護(hù)、計算機(jī)安全產(chǎn)品銷售許可、密碼管理等，是典型的合規(guī)性要求。合規(guī)管理的目標(biāo)是為了滿足監(jiān)管要求,避免在企業(yè)自身發(fā)展過程中

7、因與法律、規(guī)則和準(zhǔn)則不一致而可能遭受法律制裁、監(jiān)管機(jī)構(gòu)處罰以及財務(wù)與聲譽(yù)的損失,實現(xiàn)穩(wěn)健經(jīng)營。合規(guī)概述2.1 什么是合規(guī)-法律與法規(guī)的區(qū)別制定主體不同法律的制定者是全國人大；法規(guī)可以是多個主體。效力和影響力不同法律的效力和影響力遠(yuǎn)大于法規(guī)。適用范圍不同法律一般是全國通用；法規(guī)分全國范圍或某一單位區(qū)域適用。承擔(dān)的責(zé)任不同違反法律須承擔(dān)相應(yīng)的刑事、民事責(zé)任。合規(guī)概述2.2 合規(guī)與遵守法律的區(qū)別法律合規(guī)法律是國家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系，有不同的位階和效力合規(guī)是遵守法律、監(jiān)管規(guī)定、國際慣例和事物標(biāo)準(zhǔn)，不同時期不同的要求法律都可以文字形式表現(xiàn)出來合規(guī)以判別、評估、咨詢、監(jiān)控并報告體現(xiàn)違法犯罪的

8、后果有明確規(guī)定，是一種“硬約束”不合規(guī)行為的后果，即包含“軟約束”又包含“硬約束”。合規(guī)是遵循法律法規(guī)、監(jiān)管要求、規(guī)則、自律性組織制定的有關(guān)準(zhǔn)則、整理融合后適用于企業(yè)自身業(yè)務(wù)活動的行為準(zhǔn)則。合規(guī)概述2.3 相關(guān)法規(guī)分析Cobit 5國外標(biāo)準(zhǔn)國內(nèi)標(biāo)準(zhǔn)行業(yè)要求內(nèi)部制度合規(guī)庫ITILISO27001指標(biāo)評價實施GBT 22239等級保護(hù)基本要求.GBT 284489 等級保護(hù)測評要求ISO27001信息安全管理體系要求能源局電力行業(yè)信息安全檢查方案中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引電力行業(yè)等級保護(hù)基本要求中央企業(yè)信息化水平評價指標(biāo)體系信息系統(tǒng)應(yīng)用開發(fā)安全技術(shù)規(guī)范信息安全工作執(zhí)行標(biāo)準(zhǔn)要求IT主流設(shè)備

9、安全基線體系要求檢查落實3 信息安全法規(guī)與政策我國信息安全法律法規(guī)及電力行業(yè)制度要求3.1 信息安全法規(guī)3.2 信息安全政策信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)信息安全相關(guān)國家法律了解中華人民共和國憲法有關(guān)信息安全的內(nèi)容了解中華人民共和國刑法有關(guān)信息安全犯罪的規(guī)定了解中華人民共和國治安管理處罰法有關(guān)信息安全的內(nèi)容掌握中華人民共和國保守國家秘密法的主要內(nèi)容掌握全國人民代表大會常務(wù)委員會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定的內(nèi)容理解中華人民共和國電子簽名法的意義和作用了解中華人民共和國侵權(quán)責(zé)任法有關(guān)信息安全的內(nèi)容信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家法律公民的通信自由和通信秘密受法

10、律的保護(hù)。除因國家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。憲法 第二章 公民的基本權(quán)利和義務(wù) 第40條憲法中的有關(guān)規(guī)定法律信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家法律285條：非法侵入計算機(jī)信息系統(tǒng)罪；非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計算機(jī)信息系統(tǒng)罪；提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪。286條：破壞計算機(jī)信息系統(tǒng)罪。287條：利用計算機(jī)實施犯罪的提示性規(guī)定。253條：出售、非法提供公民個人信息罪；非法獲取公民個人信息罪刑法 第六章 妨礙社會管理秩序罪 第

11、一節(jié) 擾亂公共秩序罪 第285、286、287條刑法中的有關(guān)規(guī)定（1）法律刑法第四章 侵犯公民人身權(quán)利、民主權(quán)利罪 第253條信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家法律有下列行為之一的，處以治安管理處罰：（一）違反國家規(guī)定，侵入計算機(jī)信息系統(tǒng)，造成危害的；（二）違反國家規(guī)定，對計算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計算機(jī)信息系統(tǒng)不能正常運行的；（三）違反國家規(guī)定，對計算機(jī)信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的；（四）故意制作、傳播計算機(jī)病毒等破壞性程序，影響計算機(jī)信息系統(tǒng)正常運行的。治安管理處罰法 其他規(guī)定（與非法信息傳等播相關(guān)）：第

12、42、47、68條治安管理處罰法 第三章 違反治安管理的行為和處罰 第一節(jié) 擾亂公共秩序的行為和處罰 第29條治安管理處罰法中的有關(guān)規(guī)定法律信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家法律主旨（總則）目的：保守國家秘密，維護(hù)國家安全和利益。國家秘密是關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項。國家秘密受法律保護(hù)。一切單位和公民都有保守國家秘密的義務(wù)。國家保密行政管理部門主管全國的保密工作。保密工作責(zé)任制：健全保密管理制度，完善保密防護(hù)措施，開展保密宣傳教育，加強(qiáng)保密檢查。國家秘密的范圍：國家事務(wù)、國防武裝、外交外事、政黨秘密；國民經(jīng)濟(jì)和社會發(fā)

13、展、科學(xué)技術(shù)；維護(hù)國家安全的活動、經(jīng)保密主管部門確定的事項等國家秘密的密級絕密-最重要的國家秘密，保密期限不超過30年；機(jī)密-重要的國家秘密，保密期限不超過20年；秘密-一般的國家秘密，保密期限不超過10年。保守國家秘密法（保密法）（1）法律信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家法律法律責(zé)任（第48條 人員處分及追究刑責(zé)）（一）非法獲取、持有國家秘密載體的；（二）買賣、轉(zhuǎn)送或者私自銷毀國家秘密載體的；（三）通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的；（四）郵寄、托運國家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國家秘密載體出境的；（五）非法復(fù)制、記錄、

14、存儲國家秘密的；（六）在私人交往和通信中涉及國家秘密的；（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密的；（八）將涉密計算機(jī)、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；（九）在未采取防護(hù)措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換的；（十）使用非涉密計算機(jī)、非涉密存儲設(shè)備存儲、處理國家秘密信息的；（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；（十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計算機(jī)、涉密存儲設(shè)備贈送、出售、丟棄或者改作其他用途的。有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機(jī)關(guān)、單

15、位予以處理。保守國家秘密法（保密法）（2）法律信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家法律全國人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定背景法律約束力法律責(zé)任 互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對于加快我國國民經(jīng)濟(jì)、科學(xué)技術(shù)的發(fā)展和社會服務(wù)信息化進(jìn)程具有重要作用。如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關(guān)注。 互聯(lián)網(wǎng)的運行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等） 國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等） 市場經(jīng)濟(jì)秩序和社會管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽(yù)、侵犯知識產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等） 個人、法人和其他組織的人身、財產(chǎn)等合法

16、權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等） 構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責(zé)任 構(gòu)成民事侵權(quán)的，依法承擔(dān)民事責(zé)任 尚不構(gòu)成犯罪的：治安管理處罰 / 行政處罰 / 行政處分或紀(jì)律處分法律信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家法律電子簽名法意義目的適用范圍 2005年4月1日正式施行的電子簽名法，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。 為了規(guī)范電子簽名行為，確立電子簽名的法律效力，維護(hù)有關(guān)各方的合法權(quán)益，制定本法。 民事活動中的合同或者其他文件、單證等文書。 電子簽

17、名和數(shù)據(jù)電文不適用的文書（國際慣例）：涉及證明人身關(guān)系的、涉及不動產(chǎn)權(quán)益轉(zhuǎn)讓的、涉及停止公共事業(yè)服務(wù)的、法律法規(guī)所規(guī)定的不適用電子文書的其他情形。法律信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家法律侵權(quán)責(zé)任法目的適用范圍關(guān)于責(zé)任主體的特殊規(guī)定 為保護(hù)民事主體的合法權(quán)益，明確侵權(quán)責(zé)任，預(yù)防并制裁侵權(quán)行為，促進(jìn)社會和諧穩(wěn)定，制定本法。 侵害民事權(quán)益，應(yīng)當(dāng)依照本法承擔(dān)侵權(quán)責(zé)任。（本法所稱民事權(quán)益，包括生命權(quán)、健康權(quán)、姓名權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)、肖像權(quán)、隱私權(quán)、婚姻自主權(quán)、監(jiān)護(hù)權(quán)、所有權(quán)、用益物權(quán)、擔(dān)保物權(quán)、著作權(quán)、專利權(quán)、商標(biāo)專用權(quán)、發(fā)現(xiàn)權(quán)、股權(quán)、繼承權(quán)等人身、財產(chǎn)權(quán)益。）第36條網(wǎng)絡(luò)用

18、戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。 網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為的，被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡(luò)服務(wù)提供者接到通知后未及時采取必要措施的，對損害的擴(kuò)大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。 網(wǎng)絡(luò)服務(wù)提供者知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。法律信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)信息安全相關(guān)行政法規(guī)和部門規(guī)章了解信息安全相關(guān)行政法規(guī)，掌握涉及信息安全的相關(guān)內(nèi)容了解信息安全相關(guān)部門規(guī)章，掌握涉及信息安全的相關(guān)內(nèi)容信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)行政

19、法規(guī)和部門規(guī)章行政法規(guī)計算機(jī)信息系統(tǒng)安全保護(hù)條例計算機(jī)信息系統(tǒng)安全保護(hù)主管部門保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運行。公安部主管全國計算機(jī)信息系統(tǒng)安全保護(hù)工作（含安全監(jiān)督職權(quán)）。國家安全部、國家保密局和國務(wù)院其他有關(guān)部門，在國務(wù)院規(guī)定的職責(zé)范圍內(nèi)做好計算機(jī)信息系統(tǒng)安全保護(hù)的有關(guān)工作。保護(hù)制度計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。使用單位應(yīng)當(dāng)建立健全安全管理制度。安全專用產(chǎn)品（硬件、軟件）的銷售實行許可證制度。是指由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息

20、進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)行政法規(guī)和部門規(guī)章行政法規(guī)商用密碼管理條例商用密碼是指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。商用密碼技術(shù)屬于國家秘密。主管部門國家密碼管理委員會及其辦公室主管全國的商用密碼管理工作。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾?。管理要點商密產(chǎn)品由國家密碼管理機(jī)構(gòu)分別指定單位進(jìn)行科研、生產(chǎn)和檢測；商密產(chǎn)品銷售單位應(yīng)有國家密碼管理機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品銷售許可證；必須如實登記備案直接使用商用密碼產(chǎn)品的用戶信息和產(chǎn)品用途；不得使用自行研制的或者境

21、外生產(chǎn)的密碼產(chǎn)品；不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品（含故障維修、報廢銷毀）。信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)行政法規(guī)和部門規(guī)章計算機(jī)信息系統(tǒng)保密管理暫行規(guī)定適用范圍適用于采集、存儲、處理、傳遞、輸出國家秘密信息的計算機(jī)信息系統(tǒng)。主管部門國家保密局主管全國計算機(jī)信息系統(tǒng)的保密工作。管理要點涉密系統(tǒng)-保密設(shè)施、保密措施、訪問控制、數(shù)據(jù)保護(hù)等涉密信息-密級標(biāo)識、物理隔離等涉密媒體-各類計算機(jī)媒體（含打印輸出等）涉密場所-控制區(qū)、防電磁信息泄漏、其他物理安全等系統(tǒng)管理-領(lǐng)導(dǎo)負(fù)責(zé)制、管理制度、保密檢查、人員培訓(xùn)和考核等。部門規(guī)章信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-信息安全相關(guān)

22、行政法規(guī)和部門規(guī)章國家電子政務(wù)工程建設(shè)項目管理暫行辦法驗收評價項目建設(shè)單位應(yīng)在完成項目建設(shè)任務(wù)后的半年內(nèi),組織完成建設(shè)項目的信息安全風(fēng)險評估和初步驗收工作。運行管理項目建設(shè)單位或其委托的專業(yè)機(jī)構(gòu)應(yīng)按照風(fēng)險評估的相關(guān)規(guī)定, 對建成項目進(jìn)行信息安全風(fēng)險評估,檢驗其網(wǎng)絡(luò)和信息系統(tǒng)對安全環(huán)境變化的適應(yīng)性及安全措施的有效性,保障信息安全目標(biāo)的實現(xiàn)。設(shè)計方案在“項建和可研”的項目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案”在“初設(shè)”的項目設(shè)計方案中應(yīng)包含“安全系統(tǒng)設(shè)計”部門規(guī)章信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)國外信息安全相關(guān)法規(guī)簡介國外信息安全法律法規(guī)簡介（以美國為例）信息自由法（Freedom of

23、Information Act of 1966，F(xiàn)OIA）愛國者法（USA Patriot of Act of 2001）聯(lián)邦信息安全管理法案（Federal Information Security Management Act of 2002， FISMA）屬于電子政務(wù)法（the E-Government Act of 2002）的第三部分公眾公司會計改革與投資者保護(hù)法，又名薩班斯-奧克斯利法（Sarbanes-Oxley Act of 2002）信息安全法規(guī)與政策3.1 信息安全相關(guān)法規(guī)-國外信息安全相關(guān)法規(guī)簡介以美國為例信息自由法愛國者法聯(lián)邦信息安全管理法案美國對政府信息進(jìn)行立法保護(hù)的

24、首要原則是向公眾公開原則 （也叫信息公開原則），是構(gòu)成其他信息安全保護(hù)法律的基礎(chǔ)該法案主要是保障公民的個人自由，但也需要保障國家的安全，因此，該法利用“例外”的立法方式，將需要保護(hù)的信息加以列舉是“9.11”事件以后美國為保障國家安全頒布的最為重要的一部法律，也是目前爭議最大的一部法律。從法律上授予美國國內(nèi)執(zhí)法機(jī)構(gòu)和國際情報機(jī)構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動，使美國人民能夠生活在安全的環(huán)境中。由于該法賦予聯(lián)邦政府的權(quán)力過大，引起美國國內(nèi)民權(quán)人士的擔(dān)憂，并產(chǎn)生訴案。該法還對美國現(xiàn)有的十幾部法律做出了修改政府可以對國外銀行和對私人存戶達(dá)到100萬美元以上的賬戶進(jìn)行盡職調(diào)查

25、給出了“信息安全”的定義對國家信息安全管理職責(zé)的授權(quán)國家標(biāo)準(zhǔn)與技術(shù)局（NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標(biāo)準(zhǔn)與指南管理與預(yù)算辦公室（OMB）主任對安全政策、原則、標(biāo)準(zhǔn)、指南等的制定、執(zhí)行（包括遵守）情況進(jìn)行監(jiān)督法律信息安全法規(guī)與政策3.2 信息安全相關(guān)政策國家信息安全保障總體情況掌握國家有關(guān)政策對信息安全保障工作的總體方針和要求掌握國家有關(guān)政策規(guī)定的加強(qiáng)信息安全保障工作主要原則掌握國家有關(guān)政策規(guī)定需要重點加強(qiáng)的信息安全保障工作信息安全法規(guī)與政策3.1 信息安全相關(guān)政策-國家信息安全保障總體情況我國信息安全政策的初步成效、后續(xù)展望初步成效后續(xù)展望依托2003年的27號文（總體綱領(lǐng)），明確了信

26、息安全保障工作的總體要求、工作原則和重點工作內(nèi)容圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風(fēng)險評估、等級保護(hù)、電子政務(wù)類、應(yīng)急預(yù)案等）其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認(rèn)證、人員培訓(xùn)和認(rèn)證等“十一五”期間發(fā)布的各項政策均將進(jìn)入落實期由電子政務(wù)領(lǐng)域向其他領(lǐng)域拓展盡快形成“統(tǒng)一的”信息安全服務(wù)資質(zhì)管理體制基于信息安全服務(wù)類的標(biāo)準(zhǔn)（政策帶動標(biāo)準(zhǔn)，標(biāo)準(zhǔn)支撐政策）統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資質(zhì)由“狹義信息安全”向“廣義信息安全”延伸IT服務(wù)（外包）的信息安全保障新技術(shù)、新應(yīng)用下的信息安全保障信息安全法規(guī)與政策3.2 信息安全相關(guān)政策-

27、國家信息安全保障總體情況國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號） 意義總體方針和要求主要原則標(biāo)志著我國信息安全保障工作有了總體綱領(lǐng)提出要在5年內(nèi)建設(shè)中國信息安全保障體系堅持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全。立足國情，以我為主，堅持技術(shù)與管理并重；正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強(qiáng)化基礎(chǔ)工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。信息安全法規(guī)

28、與政策3.2 信息安全相關(guān)政策信息安全相關(guān)國家政策了解信息安全相關(guān)國家政策，掌握風(fēng)險評估等涉及信息安全的相關(guān)內(nèi)容掌握信息安全等級保護(hù)政策體系，熟悉信息安全等級保護(hù)相關(guān)政策信息安全法規(guī)與政策3.2 信息安全相關(guān)政策-信息安全相關(guān)國家政策關(guān)于開展信息安全風(fēng)險評估工作的意見（國信辦20065號）信息安全風(fēng)險評估（基于風(fēng)險管理）基本工作要求相關(guān)保障應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程（設(shè)計、驗收、運維）定期組織實施網(wǎng)絡(luò)與信息系統(tǒng)自評估，并積極配合有關(guān)部門的檢查評估參照標(biāo)準(zhǔn):信息安全風(fēng)險評估規(guī)范（GB/T 20984-2007）、 信息安全風(fēng)險管理指南 （GB/Z 24364-2009）服務(wù)資質(zhì)對于涉

29、及國計民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估技術(shù)服務(wù)，要由國家專控的隊伍來承擔(dān)系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性評估安全事件一旦發(fā)生可能造成的危害程度提出有針對性的抵御威脅的防護(hù)對策和整改措施信息安全法規(guī)與政策3.2 信息安全相關(guān)政策-信息安全相關(guān)國家政策關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知（國辦發(fā)200817號）明確職責(zé)強(qiáng)化人員培訓(xùn)完善安全措施和手段組織信息安全和保密基本技能培訓(xùn)，開展信息安全和保密形勢分析深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定管理制度+技術(shù)手段加強(qiáng)信息安全檢查詳見政府信息系統(tǒng)安全檢查辦法把信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導(dǎo)誰主管誰負(fù)責(zé)、

30、誰運行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)信息安全法規(guī)與政策3.2 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家政策關(guān)于印發(fā)國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知（國辦函2008168號）背景2003年：國務(wù)院成立應(yīng)急辦，頒布了國家突發(fā)公共衛(wèi)生事件應(yīng)急條例2006年：國家突發(fā)公共事件總體應(yīng)急預(yù)案（4大類公共事件） 國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案2007年：制定發(fā)布國家突發(fā)事件應(yīng)對法預(yù)案要點網(wǎng)絡(luò)與信息安全事件的分類分級參照標(biāo)準(zhǔn)：信息安全事件分類分級指南（GB/Z 20986）應(yīng)急流程：預(yù)防預(yù)警應(yīng)急處置后期處置參照標(biāo)準(zhǔn)：信息安全事件管理指南（GB/Z 20985）組織體系和應(yīng)急保障；應(yīng)急隊伍、經(jīng)費、物資、通信、科技。監(jiān)督管理

31、宣傳教育、培訓(xùn)、演練、責(zé)任與獎懲信息安全法規(guī)與政策3.2 信息安全相關(guān)政策-信息安全相關(guān)國家政策關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技20082071號）依據(jù)和目的風(fēng)險評估的主要內(nèi)容兩類信息系統(tǒng)的工作開展分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風(fēng)險的影響等涉密信息系統(tǒng)參照“分級保護(hù)”，進(jìn)行系統(tǒng)測評并履行審批手續(xù)非涉密信息系統(tǒng)參照“等級保護(hù)”，完成等級測評和風(fēng)險評估工作，并形成相關(guān)報告相關(guān)要點對信息安全風(fēng)險評估機(jī)構(gòu)的指定（1家+3家）信息安全風(fēng)險評估經(jīng)費計入該項目總投資投入運行后，應(yīng)定期開展信息安全風(fēng)險評估）國家電子

32、政務(wù)工程建設(shè)項目管理暫行辦法-國家發(fā)改委令2007第55號三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局將“信息安全風(fēng)險評估”作為項目驗收的重要內(nèi)容（按要求提交一系列文檔）信息安全法規(guī)與政策3.2 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家政策關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國辦發(fā)200928號）依據(jù)關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知（國辦發(fā)200817號）檢查范圍和檢查重點各級政府及其部門對自行運行和維護(hù)管理以及委托其他機(jī)構(gòu)進(jìn)行和維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進(jìn)行一次全面的安全檢查。國務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點

33、。檢查方式各單位自查 + 統(tǒng)一組織抽查 + 安全檢測（按需）工信部負(fù)責(zé)協(xié)調(diào)、指導(dǎo)、監(jiān)督，公安/安全/保密/密碼等部門按職責(zé)分工2009年度政府信息系統(tǒng)安全檢查指南（工信部協(xié)2009168號）2010年度政府信息系統(tǒng)安全檢查指南（工信部協(xié)2010143號）信息安全法規(guī)與政策3.2 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家政策工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟(jì)安全和人民生命財產(chǎn)安全，為切實加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理，經(jīng)國務(wù)院同意，現(xiàn)就有關(guān)事項通知如下：充分認(rèn)識加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度進(jìn)一步

34、加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導(dǎo)關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)2011451號）信息安全法規(guī)與政策3.2 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家政策GB 17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則第一級:用戶自主保護(hù)級；第二級:系統(tǒng)審計保護(hù)級；第三級:安全標(biāo)記保護(hù)級；第四級:結(jié)構(gòu)化保護(hù)級；第五級:訪問驗證保護(hù)級；等級保護(hù) 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例（1994年國務(wù)院147號令）信息安全法規(guī)與政策3.2 信息安全相關(guān)政策-信息安全相關(guān)國家政策（信息安全等級保護(hù)法規(guī)政策體系）信息安全法規(guī)與政策3.2 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家政策關(guān)于印發(fā)的通知

35、（公字通200743號）通知是政策，管理辦法屬于部門規(guī)章四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國信辦國家信息安全等級保護(hù)堅持“自主定級、自主保護(hù)”的原則信息系統(tǒng)的安全保護(hù)等級分為五級實施與管理具體實施等級保護(hù)工作 參照標(biāo)準(zhǔn)：信息系統(tǒng)安全等級保護(hù)實施指南確定安全保護(hù)等級 參照標(biāo)準(zhǔn)：信息系統(tǒng)安全等級保護(hù)定級指南系統(tǒng)建設(shè) 參照標(biāo)準(zhǔn)：信息系統(tǒng)安全等級保護(hù)基本要求等等級測評 參照標(biāo)準(zhǔn)：信息系統(tǒng)安全等級保護(hù)測評要求二級以上系統(tǒng)的備案要求（由公安機(jī)關(guān)頒發(fā)備案證明）三級以上系統(tǒng)的定期自查、測評和檢查要求三級以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求三級以上系統(tǒng)等級保護(hù)測評機(jī)構(gòu)的選擇要求涉密信息系統(tǒng)按分級保護(hù)管

36、理（略）對信息安全等級保護(hù)的密碼實行分類分級管理（略）信息安全法規(guī)與政策3.2 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家政策關(guān)于信息安全等級保護(hù)工作的實施意見（公字通200466號）信息和信息系統(tǒng)的安全保護(hù)等級（及其適用范圍）第一級為自主保護(hù)級第二級為指導(dǎo)保護(hù)級第三級為監(jiān)督保護(hù)級第四級為強(qiáng)制保護(hù)級第五級為?？乇Ｗo(hù)級定級依據(jù)根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度實施要求完善標(biāo)準(zhǔn),分類指導(dǎo)（管理規(guī)范和技術(shù)標(biāo)準(zhǔn)）科學(xué)定級,嚴(yán)格備案（專家評審委員會。三級以上系統(tǒng)備案）建設(shè)整改,落實措施（信息系統(tǒng)：已有

37、、新建、改建、擴(kuò)建）自查自糾,落實要求（運營、 使用單位及其主管部門）建立制度,加強(qiáng)管理（運營、 使用單位及其主管部門）監(jiān)督檢查,完善保護(hù)（公安機(jī)關(guān)重點對第三、第四級系統(tǒng)）信息安全法規(guī)與政策3.2 信息安全相關(guān)政策國外信息安全相關(guān)政策簡介了解美國信息安全相關(guān)政策概況信息安全法規(guī)與政策3.2 信息安全相關(guān)法規(guī)-信息安全相關(guān)國家政策國外信息安全國家政策簡介（以美國為例）國外信息安全國家政策簡介（以美國為例）克林頓政府IATF V1.0（1998年） V3.1（2002年） V4.0（Now）2000年：總統(tǒng)國家安全戰(zhàn)略報告（首次將信息安全列入）布什政府911之后，成立本土安全部（國土安全部）、國家

38、KIP委員會2002年：國家保障數(shù)字空間安全策略、國家安全戰(zhàn)略報告2003年：網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃奧巴馬政府上任之初：60天信息安全評估項目2009年：美國網(wǎng)絡(luò)安全評估2010年：網(wǎng)絡(luò)戰(zhàn)司令部正式運行4 信息安全標(biāo)準(zhǔn)體系我國信息安全法律法規(guī)及電力行業(yè)制度要求4.1 標(biāo)準(zhǔn)化概述4.2 標(biāo)準(zhǔn)介紹4.3 信息安全檢查評估信息安全法規(guī)與政策4.1 標(biāo)準(zhǔn)化概述信息安全標(biāo)準(zhǔn)化概念了解標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的基本概念和作用信息安全法規(guī)與政策4.1 標(biāo)準(zhǔn)化概述-信息安全標(biāo)準(zhǔn)化概念標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化相關(guān)基本概念標(biāo)準(zhǔn)為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)化（G

39、B/T 20000.1-2002）為了在一定范圍內(nèi)獲得最佳秩序，對現(xiàn)實問題或潛在問題制定共同使用和重復(fù)使用的條款的活動。國際標(biāo)準(zhǔn)由國際標(biāo)準(zhǔn)化組織或國際標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)由國家標(biāo)準(zhǔn)機(jī)構(gòu)通過并公開發(fā)布的標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)化組織（ISO）其成員資格向每個國家的有關(guān)國家機(jī)構(gòu)開放的標(biāo)準(zhǔn)化組織國家標(biāo)準(zhǔn)機(jī)構(gòu)在國家層面上承認(rèn)的，有資格成為相應(yīng)的國際和區(qū)域標(biāo)準(zhǔn)組織的國家成員的標(biāo)準(zhǔn)機(jī)構(gòu)（中國國家標(biāo)準(zhǔn)化管理委員會）信息安全法規(guī)與政策4.1 標(biāo)準(zhǔn)化概述-信息安全標(biāo)準(zhǔn)化概念標(biāo)準(zhǔn)化的特點、原則；標(biāo)準(zhǔn)的作用及代碼特點標(biāo)準(zhǔn)化的對象：共同的、可重復(fù)的事物標(biāo)準(zhǔn)化的動態(tài)性標(biāo)準(zhǔn)化的相對性標(biāo)準(zhǔn)化的效益原則簡化、統(tǒng)一、協(xié)調(diào)、

40、優(yōu)化作用標(biāo)準(zhǔn)是進(jìn)行貿(mào)易的基本條件標(biāo)準(zhǔn)能夠提高企業(yè)的經(jīng)濟(jì)效益標(biāo)準(zhǔn)能夠提高國民經(jīng)濟(jì)效益代碼GB 強(qiáng)制性國家標(biāo)準(zhǔn)GB/T 推薦性國家標(biāo)準(zhǔn)GB/Z 國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件標(biāo)準(zhǔn)能打破技術(shù)壁壘，標(biāo)準(zhǔn)也能成為新的技術(shù)壁壘信息安全法規(guī)與政策4.1 標(biāo)準(zhǔn)化概述信息安全標(biāo)準(zhǔn)化組織了解國際信息安全標(biāo)準(zhǔn)化組織及其工作了解國外典型國家信息安全標(biāo)準(zhǔn)化組織及其工作熟悉我國信息安全標(biāo)準(zhǔn)化組織及其工作信息安全法規(guī)與政策4.1 標(biāo)準(zhǔn)化概述-信息安全標(biāo)準(zhǔn)化組織國際信息安全標(biāo)準(zhǔn)化組織 ISO/IEC JTC1信息安全管理體系工作組密碼與安全機(jī)制工作組安全評估準(zhǔn)則工作組安全控制與服務(wù)工作組身份管理與隱私技術(shù)工作組國際標(biāo)準(zhǔn)提案ISMS

41、審核指南國際標(biāo)準(zhǔn)提案三元實體鑒別國際標(biāo)準(zhǔn)信息安全事件管理合作編輯國際標(biāo)準(zhǔn)提案基于三元實體鑒別的訪問控制方法信息安全法規(guī)與政策4.1 標(biāo)準(zhǔn)化概述-信息安全標(biāo)準(zhǔn)化組織美國標(biāo)準(zhǔn)化組織ANSINCITS-T4 制定IT安全技術(shù)標(biāo)準(zhǔn)X9 制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12 制定商業(yè)交易標(biāo)準(zhǔn) (EDI)NIST負(fù)責(zé)聯(lián)邦政府非密敏感信息FIPSDOD負(fù)責(zé)涉密信息NSA國防部指令（DODDI）（如TCSEC）IEEESILSP1363信息安全法規(guī)與政策4.1 標(biāo)準(zhǔn)化概述-信息安全標(biāo)準(zhǔn)化組織我國標(biāo)準(zhǔn)化組織 1984年，成立數(shù)據(jù)加密技術(shù)分委員，后來改為信息技術(shù)安全分技術(shù)委員會 2002年4月，為加強(qiáng)信息安全標(biāo)準(zhǔn)的協(xié)調(diào)工作，國

42、家標(biāo)準(zhǔn)委決定成立全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（信安標(biāo)委，TC260），由國家標(biāo)準(zhǔn)委直接領(lǐng)導(dǎo)，對口ISO/IEC JTC1 SC27；秘書處設(shè)在中國電子技術(shù)標(biāo)準(zhǔn)化研究所；委員會由30多個部門和單位的49名領(lǐng)導(dǎo)和專家組成目前共有工作組成員單位165家，其中企業(yè)120家TC260各部門的職責(zé)秘書處：是委員會的常設(shè)辦事機(jī)構(gòu)，負(fù)責(zé)委員會的日常事務(wù)工作信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）：研究信息安全標(biāo)準(zhǔn)體系、需求；跟蹤國際標(biāo)準(zhǔn)發(fā)展動態(tài)；提出新工作項目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項目涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組（WG2）：研究提出涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)體系；制定涉密保密相關(guān)標(biāo)準(zhǔn)密碼技術(shù)標(biāo)準(zhǔn)工作

43、組（WG3）：研究提出商用密碼技術(shù)標(biāo)準(zhǔn)體系；制定商用密碼相關(guān)標(biāo)準(zhǔn)鑒別與授權(quán)工作組（WG4）：研究提出鑒別與授權(quán)標(biāo)準(zhǔn)體系；制定鑒別與授權(quán)相關(guān)標(biāo)準(zhǔn)信息安全評估工作組（WG5）：研究提出測評標(biāo)準(zhǔn)體系；制定測評相關(guān)標(biāo)準(zhǔn)通信安全標(biāo)準(zhǔn)工作組（WG6）：研究提出通信安全標(biāo)準(zhǔn)體系；制定通信安全相關(guān)標(biāo)準(zhǔn)信息安全管理工作組（ WG7）：研究提出信息安全管理標(biāo)準(zhǔn)體系；制定信息安全管理相關(guān)標(biāo)準(zhǔn)信息安全法規(guī)與政策4.2 標(biāo)準(zhǔn)介紹信息安全國家標(biāo)準(zhǔn)了解我國信息安全標(biāo)準(zhǔn)體系框架掌握信息安全等級保護(hù)標(biāo)準(zhǔn)體系，熟悉信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)信息安全法規(guī)與政策4.2 標(biāo)準(zhǔn)介紹-信息安全標(biāo)準(zhǔn)體系框架信息安全標(biāo)準(zhǔn)體系 信息安全標(biāo)準(zhǔn)體系是

44、由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標(biāo)準(zhǔn)組成的科學(xué)有機(jī)整體，是編制信息安全標(biāo)準(zhǔn)制訂/修訂計劃的重要依據(jù)，是促進(jìn)信息安全領(lǐng)域內(nèi)的標(biāo)準(zhǔn)組成趨向科學(xué)化合理化的手段；是一幅現(xiàn)有、應(yīng)有和預(yù)計制定的信息安全標(biāo)準(zhǔn)的藍(lán)圖，并隨著科學(xué)技術(shù)的發(fā)展不斷地完善和更新。我國信息安全標(biāo)準(zhǔn)體系，是在總結(jié)各工作組對本領(lǐng)域標(biāo)準(zhǔn)體系研究成果的基礎(chǔ)上形成的，是全國安全標(biāo)準(zhǔn)化技術(shù)委員會各工作組共同的工作成果。是在跟蹤分析了國際信息安全標(biāo)準(zhǔn)的發(fā)展動態(tài)和國內(nèi)信息安全標(biāo)準(zhǔn)需求的基礎(chǔ)上，提出的標(biāo)準(zhǔn)體系框架和標(biāo)準(zhǔn)體系表。我國信息安全技術(shù)標(biāo)準(zhǔn)從總體上劃分為六大類，每類按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容細(xì)分若干小類。信息安全法規(guī)與政策4.2 標(biāo)準(zhǔn)介紹-信息安全等

45、級保護(hù)標(biāo)準(zhǔn)體系等級保護(hù)標(biāo)準(zhǔn)體系（10大標(biāo)準(zhǔn)）基礎(chǔ)類計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB 17859-1999信息系統(tǒng)安全等級保護(hù)實施指南GB/T 25058-2010 應(yīng)用類定級：信息系統(tǒng)安全保護(hù)等級定級指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級保護(hù)基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求GB/T 25070-2010 測評：信息系統(tǒng)安全等級保護(hù)測評要求 GB/T 28448-2012 信息系統(tǒng)安全等級保護(hù)測評過程指南 GB/T 28449-2012管理：信息系統(tǒng)安全管理要求GB/T 20

46、269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 信息安全法規(guī)與政策4.2 標(biāo)準(zhǔn)介紹-信息安全等級保護(hù)標(biāo)準(zhǔn)體系等級保護(hù)標(biāo)準(zhǔn)體系（其他標(biāo)準(zhǔn)）技術(shù)類GB/T 21052-2007 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品相關(guān)標(biāo)準(zhǔn).其他類GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范GB/Z 24364-2009信息安全技術(shù) 信息安

47、全風(fēng)險管理指南GB/T 24363-2009信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計劃規(guī)范GB/Z 20285-2007 信息安全技術(shù) 信息安全事件管理指南GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級指南GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范信息安全法規(guī)與政策4.2 標(biāo)準(zhǔn)介紹信息安全國外標(biāo)準(zhǔn)了解國際信息安全標(biāo)準(zhǔn)體系了解國外典型國家信息安全標(biāo)準(zhǔn)體系了解與自身工作密切相關(guān)的信息安全國際標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)體系4.2 標(biāo)準(zhǔn)介紹-信息安全國外標(biāo)準(zhǔn)國際信息安全標(biāo)準(zhǔn)體系信息安全管理體系標(biāo)準(zhǔn)密碼技術(shù)與安全機(jī)制標(biāo)準(zhǔn)安全評價準(zhǔn)則標(biāo)準(zhǔn)安全控制與服務(wù)標(biāo)準(zhǔn)身份管理與隱私保護(hù)技術(shù)標(biāo)

48、準(zhǔn)詞匯標(biāo)準(zhǔn)要求標(biāo)準(zhǔn)指南標(biāo)準(zhǔn)相關(guān)標(biāo)準(zhǔn)為實現(xiàn)保密性、完整性和可用性而開發(fā)的各種安全機(jī)制標(biāo)準(zhǔn)安全評價標(biāo)準(zhǔn)安全功能和保證規(guī)范針對潛在/顯現(xiàn)信息安全問題的標(biāo)準(zhǔn)針對已知信息安全問題的標(biāo)準(zhǔn)針對信息安全違反和損害的標(biāo)準(zhǔn)身份管理相關(guān)標(biāo)準(zhǔn)生物識別相關(guān)標(biāo)準(zhǔn)隱私保護(hù)相關(guān)標(biāo)準(zhǔn)ISO 27000ISO 27001ISO 27006ISO 27002ISO 27003ISO 18033ISO 19772.ISO 15408ISO 18045 .ISO 19790ISO 24759 .ISO 27032ISO 27033ISO 27037ISO 24760ISO 29144ISO 29100等級保護(hù)標(biāo)準(zhǔn)體系（其他標(biāo)準(zhǔn)）信息安

49、全標(biāo)準(zhǔn)體系4.2 標(biāo)準(zhǔn)介紹-信息安全國外標(biāo)準(zhǔn)Security Control Monitoring安全控制措施監(jiān)視Security Categorization安全分類Security Control Selection安全控制措施選擇Security Control Refinement安全控制措施改進(jìn)Security Control Documentation安全控制措施文檔編制Security Control Implementation安全控制措施實施Security Control Assessment安全控制措施評估Security Authorization安全授權(quán) 起始點風(fēng)險管

50、理SP 800-37/SP 800-53AFIPS 199/SP 800-60FIPS 200/SP 800-53SP 800-53/SP 800-30SP 800-18SP 800-70SP 800-53ASP 800-37國外典型國家信息安全標(biāo)準(zhǔn)體系框架-SP800信息安全法規(guī)與政策4.2 標(biāo)準(zhǔn)介紹-信息安全國外標(biāo)準(zhǔn)ISO 27000標(biāo)準(zhǔn)族ISO 27000標(biāo)準(zhǔn)族、SP 800系列標(biāo)準(zhǔn)介紹參見CISP0301信息安全管理體系。ISO 27001標(biāo)準(zhǔn)的詳細(xì)內(nèi)容參見CISP0301信息安全管理體系。ISO 27002標(biāo)準(zhǔn)的詳細(xì)內(nèi)容參見CISP0303信息安全管基本措施、 CISP0304信息安

51、全管重要管理過程。信息安全法規(guī)與政策4.3 信息安全檢查評估安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史 了解安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展過程理解GB/T18336信息技術(shù)安全性評估準(zhǔn)則（CC）的特點信息安全法規(guī)與政策4.3 信息安全檢查評估-安全標(biāo)準(zhǔn)的發(fā)展安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史ITSEC 1991CC 1.01996ISO15408 1999CC 2.01998GB/T 18336 2001CD1997GIB 2646 1996GB 17859 1999ISO15408 2005TCSEC 1985FC 1992CTCPEC 1993GB/T 18336 2008FCD1998信息安全法規(guī)與政策4.3 信息安全檢查評

52、估-國外安全評測標(biāo)準(zhǔn)美國的安全評測標(biāo)準(zhǔn)(TCSEC)、歐洲的安全評測標(biāo)準(zhǔn)(ITSEC)美國的安全評測標(biāo)準(zhǔn)(TCSEC)1970年由美國國防科學(xué)委員會提出。1985年公布。主要軍用，延用至民用。安全級從高到低分A、B、C、D四級，級下再分小類(A1、B3、B2、B1、C2、C1、D)分級分類主要依據(jù)四個準(zhǔn)則：安全策略、可控性、保證能力、文檔局限性集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過為嚴(yán)格，不便于實際開發(fā)和測評歐洲的安全評測標(biāo)準(zhǔn)(ITSEC)以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。功能分F1-F10共10級。15級對

53、應(yīng)于TCSEC的D到A。610級加上了以下概念：F6：數(shù)據(jù)和程序的完整性 F7：系統(tǒng)可用性 F8：數(shù)據(jù)通信完整性 F9：數(shù)據(jù)通信保密性F10：包括機(jī)密性和完整性的網(wǎng)絡(luò)安全評估準(zhǔn)則分為6級：E1E6與TCSEC的不同安全被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開對產(chǎn)品和系統(tǒng)的評估都適用，提出評估對象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置信息安全法規(guī)與政策4.3 信息安全檢查評估-國外安全評測標(biāo)準(zhǔn)加拿大的評測標(biāo)準(zhǔn)(CTCPEC)、美國聯(lián)邦準(zhǔn)則(FC) 加拿大的評測標(biāo)準(zhǔn)(CTCPEC)1989年公布，專為政府需求而設(shè)計與

54、ITSEC類似，將安全分為功能性需求和保證性需要兩部分功能性要求分為四個大類：a機(jī)密性 b完整性 c可用性 d可控性在每種安全需求下又分小類05級，表示安全性上的差別美國聯(lián)邦準(zhǔn)則(FC)對TCSEC的升級1992年12月公布引入了“保護(hù)輪廓（PP）”這一重要概念每個輪廓都包括功能部分、開發(fā)保證部分和評測部分分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點供美國政府用，民用和商用信息安全法規(guī)與政策4.3 信息安全檢查評估-國外安全評測標(biāo)準(zhǔn)通用準(zhǔn)則（CC ）國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1999年正式成為國際標(biāo)準(zhǔn)ISO/IEC 15408；充分突出“保護(hù)輪廓”，將評估過

55、程分“功能”和“保證”兩部分；CC 基于風(fēng)險管理理論，對安全模型、安全概念和安全功能進(jìn)行了全面系統(tǒng)描繪，強(qiáng)化了評估保證；是目前最全面的評價準(zhǔn)則。國際上認(rèn)同的表達(dá)IT安全的體系結(jié)構(gòu)，一組規(guī)則集一種評估方法，其評估結(jié)果國際互認(rèn)通用的表達(dá)方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴(kuò)展CC要求通用評估方法(CEM)是CC標(biāo)準(zhǔn)出版后，為了在評估中應(yīng)用CC而提供的一種通用方法。是與CC配套的文檔。信息安全法規(guī)與政策4.3 信息安全檢查評估信息安全技術(shù)評估準(zhǔn)則了解評估標(biāo)準(zhǔn)體系了解信息技術(shù)產(chǎn)品安全性評估的基本過程信息安全法規(guī)與政策4.3 信息安全檢查評估-信息安全技術(shù)評估準(zhǔn)則GB/T 18336（ISO 1

56、5408）GB/T 18336-2008信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則（idt ISO/IEC 15408:2005）GB/T 18336.1-2008：簡介和一般模型GB/T 18336.2-2008：安全功能要求GB/T 18336.3-2008：安全保證要求目標(biāo)讀者TOE（評估對象）的客戶TOE的開發(fā)者TOE的評估者其他系統(tǒng)管理員和系統(tǒng)安全管理員內(nèi)部和外部審計員安全架構(gòu)師和設(shè)計師認(rèn)可者評估發(fā)起者評估管理機(jī)構(gòu)ISO 15408-1:2009ISO 15408-2:2008ISO 15408-3:2008信息安全法規(guī)與政策4.3 信息安全檢查評估-信息安全技術(shù)評估準(zhǔn)則評估中的關(guān)鍵

57、概念評估對象TOE(Target of Evaluation)：產(chǎn)品、系統(tǒng)、子系統(tǒng)保護(hù)輪廓PP (Protection Profile) ：表達(dá)一類產(chǎn)品或系統(tǒng)的用戶需求；組合安全功能要求和安全保證要求；安全標(biāo)準(zhǔn)(示例：包過濾防火墻安全技術(shù)要求（GB 18019）安全目標(biāo)ST(Security Target)：某一款產(chǎn)品對某一PP要求的具體實現(xiàn)；實用方案功能(Function)：規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事保證(Assurance)：對功能產(chǎn)生信心的方法組件(Component)：安全要求不能再分的構(gòu)件塊包(Package)：若干功能或保證要求的組合評估保證級EAL(Evaluatio

58、n Assurance Level）：預(yù)定義的保證包；公認(rèn)的廣泛適用的一組保證要求；EAL1EAL7信息安全標(biāo)準(zhǔn)體系4.3 信息安全檢查評估-信息安全評估技術(shù)準(zhǔn)則評估PPPP評估 結(jié)果PP分類已評估 的PP評估STST評估 結(jié)果評估TOETOE評估結(jié)果證書分類已評估 的TOE評估流程5 電力行業(yè)信息安全推進(jìn)情況我國信息安全法律法規(guī)及電力行業(yè)制度要求5.1 “電監(jiān)信息200734號”5.2 “國能安全2014317號”5.3 （發(fā)改委14號令）5.1關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作的通知 “電監(jiān)信息200734號”電力行業(yè)信息安全推進(jìn)情況必要性背景及目的 為貫徹落實公安部、國家保密局

59、、國家密碼管理局、國務(wù)院信息化工作辦公室關(guān)于印發(fā)的通知(公通字200743號)和關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知(公信安2007861號)要求，提高電力行業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的信息安全保護(hù)能力和水平，定于2007年8月至10月在電力行業(yè)組織開展信息系統(tǒng)安全等級保護(hù)定級工作。2007年11月，國家電監(jiān)會下發(fā)了電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指導(dǎo)意見。實施具體步驟包括：（1）開展定級備案；（2）通過等級保護(hù)測評，發(fā)現(xiàn)與國家技術(shù)、管理要求的不符合項；（3）依據(jù)總體方案、等級保護(hù)不符合項，編制本單位等級保護(hù)實施方案；（4）根據(jù)等級保護(hù)實施方案開展建設(shè)，具體包括：安全域劃分、與實現(xiàn)，產(chǎn)

60、品采購與部署，安全加固，應(yīng)用改造，等級保護(hù)管理建設(shè)；（5）等級保護(hù)測評驗證建設(shè)效果。 電力工業(yè)的特點決定了電力信息安全不僅具有一般計算機(jī)信息網(wǎng)絡(luò)信息安全的特征，而且還具有電力實時運行控制系統(tǒng)信息安全的特征。電力系統(tǒng)的信息安全是一項多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。5.2 電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法“國能安全2014317號”電力行業(yè)信息安全推進(jìn)情況依據(jù)目標(biāo) 電力行業(yè)網(wǎng)絡(luò)與信息安全工作的目標(biāo)是建立健全網(wǎng)絡(luò)與信息安全保障體系和工作責(zé)任體系，提高網(wǎng)絡(luò)與信息安全防護(hù)能力，保障網(wǎng)絡(luò)與信息安全，促進(jìn)信息化工作健康發(fā)展。原則 電力行業(yè)網(wǎng)絡(luò)與信息安全工作堅持“積極防御、綜合防范”的方針，遵循“統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)