1、信息安全法規(guī)與政策,培訓(xùn)機構(gòu)名稱 講師名字,2,課程內(nèi)容,信息安全法規(guī)與政策,知識體,知識域,信息安全 法律法規(guī),知識子域,信息安全 國家政策,道德規(guī)范,信息安全從業(yè) 人員道德規(guī)范,通行道德規(guī)范,3,知識域：信息安全相關(guān)法律,知識子域： 國家信息安全法治總體情況 了解信息安全法治建設(shè)的意義 了解我國信息安全法律法規(guī)體系框架 知識子域： 現(xiàn)行重要信息安全法規(guī) 掌握保守國家秘密法的主要內(nèi)容 理解電子簽名法的意義和作用 了解刑法有關(guān)信息安全犯罪的規(guī)定 了解全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定,4,基本概念,法律法規(guī) 國家政策 道德規(guī)范 標準 制度,5,法律、政策和道德的定義,法律（Law）-國家制

2、定或認可的，由國家強制力保證實施的，以規(guī)定當事人權(quán)利和義務(wù)為內(nèi)容的具有普遍約束力的社會規(guī)范。 政策（Policy）-國家或政黨組織等，以權(quán)威形式標準化地規(guī)定在一定的時期內(nèi)，應(yīng)該達到的目標、遵循的行動原則、完成的明確任務(wù)、實行的工作方式、采取的一般步驟和具體措施。 道德規(guī)范（Ethic）-一定社會或階級用以調(diào)整人們之間利益關(guān)系的行為準則，也是評價人們行為善惡的標準。,6,國家法律體系,國務(wù)院各部委,多級立法,7,法律和政策的區(qū)別,政策有黨的政策、國家政策之分，有總政策、基本政策和具體政策之別。 政策在成為法律之前，表現(xiàn)為決定、決議、綱領(lǐng)、宣言、通知、紀要等形式。,8,法律和道德的區(qū)別,職業(yè)道德是

3、指符合職業(yè)特點要求的準則、情操、品質(zhì)等， 是職業(yè)義務(wù)、職業(yè)責(zé)任以及職業(yè)行為上的道德準則。,9,其他一些概念,標準（Standard）-原意為“標靶”（即：參照物），為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構(gòu)批準，共同使用的和重復(fù)使用的一種規(guī)范性文件。（標準宜以科學(xué)、技術(shù)和實踐經(jīng)驗的綜合成果為基礎(chǔ)，以促進最佳的共同效益為目的） 制度（System）-要求大家共同遵守的辦事規(guī)程或行動準則，是國家法律、法令、政策的具體化，是人們行動的準則和依據(jù)。（指導(dǎo)+約束、鞭策+激勵、規(guī)范+程序）,10,國家信息安全保障體系,信息安全技術(shù)與產(chǎn)業(yè)支撐平臺,信息安全基礎(chǔ)設(shè)施,信息安全法律法規(guī)與政策環(huán)境,

4、信 息 安 全 人 才 培 訓(xùn) 教 育 體 系,信息安全組織機構(gòu)及管理體系,信 息 安 全 標 準 與 規(guī) 范,11,信息安全在國家安全中的地位,黨和國家長期以來一直十分重視安全保密工作，并從敏感性、特殊性和戰(zhàn)略性的高度，至始至終置于黨的絕對領(lǐng)導(dǎo)之下。 黨的十六屆四中全會將信息安全與政治安全、經(jīng)濟安全、文化安全并列為國家安全的重要組成要素,信息安全是個大問題。必須把安全問題放到至關(guān)重要的位置上，認真加以考慮和解決。 -胡錦濤,12,我國的信息安全管理體制,目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，各相關(guān)主管部門分別執(zhí)行各自的安全職能，共同維護國家的信息安全 國家信息化領(lǐng)導(dǎo)小組（國

5、家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組） 工信部 公安部 國家安全部 國家保密局 國家密碼管理委員會 等等,13,我國的信息安全基礎(chǔ)設(shè)施,中國信息安全測評中心(CNITSEC) 中國信息安全認證中心(ISCCC) 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC） 國家計算機病毒應(yīng)急處理中心 全國信息安全標準化技術(shù)委員會（TC260） 等等,14,信息安全法治建設(shè)的意義,信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié) 明確信息安全的基本原則和基本制度、信息安全保障體系的建設(shè)、信息安全相關(guān)行為的規(guī)范、信息安全中各方權(quán)利義務(wù) 明確違反信息安全的行為，并對其行為進行相應(yīng)的處罰等,保護國家信息主權(quán)和社會公共利

6、益是 信息安全立法的首要目標,15,信息安全法治建設(shè)的意義,信息安全不再只是個技術(shù)問題，而更多地是個商業(yè)和法律問題-安全漏洞、信息犯罪的本質(zhì)？ 信息安全產(chǎn)業(yè)的逐漸形成和成熟，需要必要的規(guī)范 信息安全法治建設(shè)涉及的主體：信息安全主管部門、各類IT產(chǎn)品和服務(wù)的安全（ITSP）、信息安全類產(chǎn)品和服務(wù)（ISSP）、信息及信息系統(tǒng)的擁有者和使用者 信息安全法治建設(shè)涉及的客體：信息數(shù)據(jù)、信息系統(tǒng),狹義的信息安全 廣義的信息安全,16,我國信息安全法律法規(guī)體系框架,憲法、刑法（部分條款） 國家安全法（部分條款） 保守國家秘密法 電子簽名法 。,計算機信息系統(tǒng)安全保護條例 互聯(lián)網(wǎng)信息服務(wù)管理辦法 商用密碼管理

7、條例 。,公安部（安全專用產(chǎn)品等） 原信產(chǎn)部（互聯(lián)網(wǎng)域名等） 國新辦（互聯(lián)網(wǎng)新聞信息服務(wù)） 保密局（保密等） 。,我國信息安全法治建設(shè)的發(fā)展歷程,通信保密安全,計算機系統(tǒng) 安全,網(wǎng)絡(luò)信息系統(tǒng)安全,1994年,2000年,2003年,保守國家秘密法（1989） （2010年修訂） 中央關(guān)于加強密碼工作的決定 計算機信息系統(tǒng)安全保護條例（草案）-86,計算機信息系統(tǒng) 安全保護條例（1994） 計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法-97 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法-97 計算機信息系統(tǒng)保密管理暫行規(guī)定-98 商用密碼管理條例-99,關(guān)于維護互聯(lián)網(wǎng)安全 的決定（2000） 互

8、聯(lián)網(wǎng)信息服務(wù)管理辦法 計算機病毒防治管理辦法 計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 -00,國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）,18,我國信息安全法治建設(shè)的初步成效,法律法規(guī)體系初步構(gòu)建，但體系化與有效性等方面仍有待進一步完善 法律少而規(guī)章等偏多，缺乏信息安全的基本法 與信息安全相關(guān)的司法和行政管理體系迅速完善 法律法規(guī)的內(nèi)容篇幅偏小，行為規(guī)范較簡單,截至2008年與信息安全直接相關(guān)的法律有65部 涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個領(lǐng)域。,19

9、,我國信息安全法治建設(shè)展望,需要一部信息安全的基本法國家信息安全法 （或先出臺信息安全條例） 信息安全的基本原則與基本制度 信息安全的主要核心內(nèi)容 進一步完善各領(lǐng)域的信息安全專門法 信息安全的監(jiān)管模式和認證體系（面向信息安全各類主體和客體） 信息安全常態(tài)管理（等級保護制度等） 信息安全應(yīng)急管理（預(yù)警、監(jiān)測、通報和應(yīng)急處理等） 網(wǎng)絡(luò)與信息系統(tǒng)全生命周期的信息安全 信息內(nèi)容安全 特定領(lǐng)域的信息安全（電子政務(wù)、電子商務(wù)、行業(yè)信息化等） 組織信息資產(chǎn)的基本法律地位 個人信息保護的基本規(guī)范 信息安全犯罪,20,憲法中的有關(guān)規(guī)定,憲法 第二章 公民的基本權(quán)利和義務(wù) 第40條 公民的通信自由和通信秘密受法律

10、的保護。 除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。,法律,21,刑法中的有關(guān)規(guī)定（1）,刑法 第六章 妨礙社會管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條 285條：非法侵入計算機信息系統(tǒng)罪；非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪；提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪。 違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。 違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲

11、取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。 提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴重的，依照前款的規(guī)定處罰。,法律,22,刑法中的有關(guān)規(guī)定（2）,刑法 第六章 妨礙社會管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條 286條：破壞計算機信息系統(tǒng)罪。 違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)

12、不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。 違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰。 故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰。 287條：利用計算機實施犯罪的提示性規(guī)定。 利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。,法律,23,治安管理處罰法中的有關(guān)規(guī)定,治安管理處罰法 第三章 違反治安管理的行為和處罰 第一節(jié) 擾亂公共秩序的行為和處罰 第29條 有

13、下列行為之一的，處五日以下拘留；情節(jié)較重的，處五日以上十日以下拘留： （一）違反國家規(guī)定，侵入計算機信息系統(tǒng)，造成危害的； （二）違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的； （三）違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的； （四）故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統(tǒng)正常運行的。 治安管理處罰法 其他規(guī)定（與非法信息傳等播相關(guān)）：第42、47、68條,法律,24,國家安全法中的有關(guān)規(guī)定,國家安全法 第二章 國家安全機關(guān)在國家安全工作中的職權(quán) 第10、11條 第10條 國家安全機

14、關(guān)因偵察危害國家安全行為的需要，根據(jù)國家有關(guān)規(guī)定，經(jīng)過嚴格的批準手續(xù)，可以采取技術(shù)偵察措施。 第11條 國家安全機關(guān)為維護國家安全的需要，可以查驗組織和個人的電子通信工具、器材等設(shè)備、設(shè)施。,法律,25,保守國家秘密法（保密法 1）,演進 保守國家秘密暫行條例（1951年） 保守國家秘密法（1989年） 保守國家秘密法（2010年修訂，4月29日修訂，10月1日施行） 主旨（總則） 目的：保守國家秘密，維護國家安全和利益。 國家秘密是關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項。 國家秘密受法律保護。一切國家機關(guān)、武裝力量、政黨、社會團體、企業(yè)事業(yè)單位和公民都

15、有保守國家秘密的義務(wù)。 國家保密行政管理部門主管全國的保密工作。 國家機關(guān)和涉及國家秘密的單位（以下簡稱機關(guān)、單位）管理本機關(guān)和本單位的保密工作。 保密工作責(zé)任制：健全保密管理制度，完善保密防護措施，開展保密宣傳教育，加強保密檢查。,法律,26,保守國家秘密法（保密法 2）,國家秘密的范圍 國家事務(wù)、國防武裝、外交外事、政黨秘密 國民經(jīng)濟和社會發(fā)展、科學(xué)技術(shù) 維護國家安全的活動、經(jīng)保密主管部門確定的事項等 國家秘密的密級 絕密-是最重要的國家秘密，泄露會使國家安全和利益遭受特別嚴重的損害；保密期限不超過30年； 機密-是重要的國家秘密，泄露會使國家安全和利益遭受嚴重的損害；保密期限不超過20年

16、； 秘密-是一般的國家秘密，泄露會使國家安全和利益遭受損害；保密期限不超過10年。 國家秘密的其他基本屬性 定密權(quán)限（定密責(zé)任人）、保密期限、解密條件、知悉范圍 國家秘密載體、國家秘密標志,法律,27,保守國家秘密法（保密法 3）,保密制度 對國家秘密載體的行為要求； 對屬于國家秘密的設(shè)備、產(chǎn)品的行為要求； 對存儲、處理國家秘密的計算機信息系統(tǒng)的要求-分級保護； 對組織和個人的行為要求（涉密信息系統(tǒng)管理、國家秘密載體管理、公開發(fā)布信息、各類涉密采購、涉密人員分類管理、保密教育培訓(xùn)、保密協(xié)議等）； 對公共信息網(wǎng)絡(luò)及其他傳媒的行為要求； 對互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)運營商、服務(wù)商的行為要求。 監(jiān)督管

17、理 國家保密行政管理部門依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國家保密標準。 組織開展保密宣傳教育、保密檢查、保密技術(shù)防護和泄密案件查處工作，對機關(guān)、單位的保密工作進行指導(dǎo)和監(jiān)督。,法律,28,保守國家秘密法（保密法 4）,法律責(zé)任（第48條 人員處分及追究刑責(zé)） （一）非法獲取、持有國家秘密載體的； （二）買賣、轉(zhuǎn)送或者私自銷毀國家秘密載體的； （三）通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的； （四）郵寄、托運國家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準，攜帶、傳遞國家秘密載體出境的； （五）非法復(fù)制、記錄、存儲國家秘密的； （六）在私人交往和通信中涉及國家秘密的； （七）在互

18、聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密的； （八）將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的； （九）在未采取防護措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進行信息交換的； （十）使用非涉密計算機、非涉密存儲設(shè)備存儲、處理國家秘密信息的； （十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的； （十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計算機、涉密存儲設(shè)備贈送、出售、丟棄或者改作其他用途的。 有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機關(guān)、單位予以處理。,法律,29,全國人大關(guān)于維護互聯(lián)網(wǎng)安全的

19、決定,背景 互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對于加快我國國民經(jīng)濟、科學(xué)技術(shù)的發(fā)展和社會服務(wù)信息化進程具有重要作用。如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關(guān)注。 互聯(lián)網(wǎng)安全的范疇（法律約束力） 互聯(lián)網(wǎng)的運行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等） 國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等） 市場經(jīng)濟秩序和社會管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽、侵犯知識產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等） 個人、法人和其他組織的人身、財產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等） 法律責(zé)任 構(gòu)成犯罪的，依照刑

20、法有關(guān)規(guī)定追究刑事責(zé)任 構(gòu)成民事侵權(quán)的，依法承擔民事責(zé)任 尚不構(gòu)成犯罪的：治安管理處罰 / 行政處罰 / 行政處分或紀律處分,法律,30,電子簽名法（1）,意義 2005年4月1日正式施行的電子簽名法，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。 數(shù)據(jù)電文和電子簽名 數(shù)據(jù)電文-是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。 電子簽名-是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。 適用范圍 民事活動中的合同或者其他文件、單證等文書。 電子簽名和數(shù)據(jù)電文不適用的文書（國際慣例）：涉及證明人身

21、關(guān)系的、涉及不動產(chǎn)權(quán)益轉(zhuǎn)讓的、涉及停止公共事業(yè)服務(wù)的、法律法規(guī)所規(guī)定的不適用電子文書的其他情形。,法律,31,電子簽名法（2）,數(shù)據(jù)電文的原件形式要求 能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用； 能夠可靠地保證自最終形成時起，內(nèi)容保持完整、未被更改。但是，在數(shù)據(jù)電文上增加背書以及數(shù)據(jù)交換、儲存和顯示過程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性。 數(shù)據(jù)電文的文件保存要求 能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用； 數(shù)據(jù)電文的格式與其生成、發(fā)送或者接收時的格式相同，或者格式不相同但是能夠準確表現(xiàn)原來生成、發(fā)送或者接收的內(nèi)容； 能夠識別數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收的時間。 數(shù)據(jù)電文的重要屬性

22、 作為證據(jù)的真實性（數(shù)據(jù)電文生成/存儲/傳遞的可靠性、對保持內(nèi)容完整性的可靠性、對鑒別發(fā)件人的可靠性等） 發(fā)件人發(fā)送（發(fā)送時間、發(fā)送地點）、收件人收訖（接收時間、接收地點）,法律,32,電子簽名法（3）,可靠電子簽名的四個要件 電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有； 簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制； 簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)； 簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。 電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù) 電子認證服務(wù)應(yīng)具備相適應(yīng)的人員、資金、場所、技術(shù)和設(shè)備條件，以及國家密碼管理機構(gòu)同意使用密碼的證明文件； 應(yīng)向國務(wù)

23、院信息產(chǎn)業(yè)主管部門申請，后者依法審查并征求商務(wù)主管部門等有關(guān)部門的意見后，對予以許可的頒發(fā)電子認證許可證書，再持該證向工商部門辦理企業(yè)登記，并將其電子認證業(yè)務(wù)規(guī)則，并向國務(wù)院信息產(chǎn)業(yè)主管部門備案。,法律,33,電子簽名法（4）,電子認證服務(wù)提供者簽發(fā)的電子簽名認證證書內(nèi)容 電子認證服務(wù)提供者名稱； 證書持有人名稱； 證書序列號； 證書有效期； 證書持有人的電子簽名驗證數(shù)據(jù)； 電子認證服務(wù)提供者的電子簽名； 國務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。 對電子認證服務(wù)提供者的其他要求 保證證書內(nèi)容在有效期內(nèi)完整、準確； 擬暫停或者終止電子認證服務(wù)的要求； 妥善保存與認證相關(guān)的信息，信息保存期限（至少為

24、證書失效后五年）。,法律,34,計算機信息系統(tǒng)安全保護條例,計算機信息系統(tǒng) 是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。 安全保護 保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。 主管部門 公安部主管全國計算機信息系統(tǒng)安全保護工作（含安全監(jiān)督職權(quán)）。 國家安全部、國家保密局和國務(wù)院其他有關(guān)部門，在國務(wù)院規(guī)定的職責(zé)范圍內(nèi)做好計算機信息系統(tǒng)安全保護的有關(guān)工作。 安全保護制度（要點） 計算機信息系統(tǒng)實行安全等

25、級保護。 使用單位應(yīng)當建立健全安全管理制度。 安全專用產(chǎn)品（硬件、軟件）的銷售實行許可證制度。,行政法規(guī),35,商用密碼管理條例,商用密碼 是指對不涉及國家秘密內(nèi)容的信息進行加密保護或者安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。 商用密碼技術(shù)屬于國家秘密。 主管部門 國家密碼管理委員會及其辦公室主管全國的商用密碼管理工作。 國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾怼?管理要點 商密產(chǎn)品由國家密碼管理機構(gòu)分別指定單位進行科研、生產(chǎn)和檢測。 商密產(chǎn)品銷售單位應(yīng)有國家密碼管理機構(gòu)頒發(fā)的商用密碼產(chǎn)品銷售許可證。 必須如實登記備案直接使用商用密碼產(chǎn)品的用戶信息和產(chǎn)品用途。 不得使用自行研制的或者

26、境外生產(chǎn)的密碼產(chǎn)品。 不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品（含故障維修、報廢銷毀）。,行政法規(guī),36,計算機信息系統(tǒng)安全專用產(chǎn)品 檢測和銷售許可證管理辦法,兩個必須 安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進入市場銷售之前, 必須申領(lǐng)計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證。 安全全專用產(chǎn)品的生產(chǎn)者申領(lǐng)銷售許可證, 必須對其產(chǎn)品進行安全功能檢測和認定。 檢測（機構(gòu)） 檢測機構(gòu)對產(chǎn)品（樣品）的安全功能和性能進行檢測。 檢測機構(gòu)應(yīng)保守檢測產(chǎn)品的技術(shù)秘密，并不得非法占有他人科技成果，不得從事與檢測產(chǎn)品有關(guān)的開發(fā)和對外咨詢業(yè)務(wù)。 銷售許可證（主管部門） 由公安部計算機管理監(jiān)察部門頒發(fā)安全專用產(chǎn)品銷售許可證（兩年內(nèi)有效）、“銷

27、售許可”標記（生產(chǎn)者應(yīng)當在固定位置標明該標記）。 安全專用產(chǎn)品的檢測通告和經(jīng)安全功能檢測確認的安全專用產(chǎn)品目錄, 由公安部計算機管理監(jiān)察部門定期發(fā)布。,部門規(guī)章,37,計算機信息系統(tǒng)保密管理暫行規(guī)定,適用范圍 適用于采集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統(tǒng)。 主管部門 國家保密局主管全國計算機信息系統(tǒng)的保密工作。 管理要點 涉密系統(tǒng)-保密設(shè)施、保密措施、訪問控制、數(shù)據(jù)保護等 涉密信息-密級標識、物理隔離等 涉密媒體-各類計算機媒體（含打印輸出等） 涉密場所-控制區(qū)、防電磁信息泄漏、其他物理安全等 系統(tǒng)管理-領(lǐng)導(dǎo)負責(zé)制、管理制度、保密檢查、人員培訓(xùn)和考核等,部門規(guī)章,38,其他一

28、些行政法規(guī)和部門規(guī)章,行政法規(guī) 電信條例 計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 互聯(lián)網(wǎng)信息服務(wù)管理辦法 部門規(guī)章 中國互聯(lián)網(wǎng)域名管理辦法（原信產(chǎn)部） 互聯(lián)網(wǎng)IP地址備案管理辦法（原信產(chǎn)部） 電子認證服務(wù)管理辦法（原信產(chǎn)部） 互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法（原信產(chǎn)部） 互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定（公安部） 計算機病毒防治管理辦法（公安部） 信息安全等級保護管理辦法（公安部） 計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定（保密局） 互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定（國新辦、原信產(chǎn)部）,39,一些地方性法規(guī),北京市信息化促進條例（第五章 信息安全保障） 北京市公共服務(wù)網(wǎng)絡(luò)與信息

29、系統(tǒng)安全管理規(guī)定 北京市黨政機關(guān)計算機網(wǎng)絡(luò)與信息安全管理辦法 廣東省計算機信息系統(tǒng)安全保護管理規(guī)定 廣東省電子政務(wù)信息安全管理暫行辦法 上海市公共信息系統(tǒng)安全測評管理辦法 。,40,北京市信息化促進條例,第五章 信息安全保障（第32-37條） 按照國家和本市有關(guān)規(guī)定實行安全等級保護制度 按照等級保護管理規(guī)范和技術(shù)標準，開展網(wǎng)絡(luò)與信息系統(tǒng)的安全建設(shè)（改建）、測評和保障 制定網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案，定期進行演練 組建公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)信息安全應(yīng)急救援服務(wù)體系 任何單位和個人不得利用網(wǎng)絡(luò)與信息系統(tǒng)從事危害國家安全，擾亂公共秩序，損害公民、法人和其他組織的合法權(quán)益，危害網(wǎng)絡(luò)與信息系統(tǒng)安全以及散

30、布、傳播違法信息等活動 涉及國家秘密的信息化工程的管理，按照國家保密有關(guān)規(guī)定執(zhí)行,41,廣東省計算機信息系統(tǒng)安全保護管理規(guī)定,計算機信息系統(tǒng)使用單位應(yīng)當確定計算機安全管理責(zé)任人，建立健全安全保護制度，落實安全保護技術(shù)措施，保障本單位計算機信息系統(tǒng)安全，并協(xié)助公安機關(guān)做好安全保護管理工作。 安全保護制度（第8條）：計算機機房安全管理制度；安全管理責(zé)任人、信息審查員的任免和安全責(zé)任制度；網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度；操作權(quán)限管理制度；用戶登記制度；信息發(fā)布審查、登記、保存、清除和備份制度，信息群發(fā)服務(wù)管理制度。 安全技術(shù)措施（第9條）：系統(tǒng)重要部分的冗余或備份措施；計算機病毒防治措施；網(wǎng)絡(luò)攻

31、擊防范、追蹤措施；安全審計和預(yù)警措施；系統(tǒng)運行和用戶使用日志記錄保存60日以上措施；記錄用戶主叫電話號碼和網(wǎng)絡(luò)地址的措施；身份登記和識別確認措施；信息群發(fā)限制和有害數(shù)據(jù)防治措施。,42,廣東省計算機信息系統(tǒng)安全保護管理規(guī)定,任何單位和個人不得利用計算機信息系統(tǒng)從事下列行為（第11條）：制作、復(fù)制、查閱、傳播有害信息；侵犯他人隱私，竊取他人帳號，假冒他人名義發(fā)送信息，或者向他人發(fā)送垃圾信息；以盈利或者非正常使用為目的，未經(jīng)允許向第三方公開他人電子郵箱地址；未經(jīng)允許修改、刪除、增加、破壞計算機信息系統(tǒng)的功能、程序及數(shù)據(jù)；危害計算機信息系統(tǒng)安全的其他行為。 重點安全保護單位（第14條）：縣級以上國家

32、機關(guān)、國防單位；銀行、證券、能源、交通、郵電通信單位；國家及省重點科研、教育單位；國有大中型企業(yè)；互聯(lián)單位、接入單位及重點網(wǎng)站；向公眾提供上網(wǎng)服務(wù)的場所。 其他重要規(guī)定：公安機關(guān)、國家安全機關(guān)的職權(quán)；對重大安全事故的處置和報告；安全專用產(chǎn)品和密碼產(chǎn)品的管理；安全服務(wù)資質(zhì)的申請；罰則等等。,43,上海市公共信息系統(tǒng)安全測評管理辦法,依據(jù)有關(guān)信息安全標準、規(guī)范，對本市承擔公共管理職能的機構(gòu)以及提供社會公共服務(wù)的單位的計算機信息系統(tǒng)，進行安全保障性能測試、評估的活動。 新建系統(tǒng)的測評（第7條）：應(yīng)當在系統(tǒng)建設(shè)前將安全設(shè)計方案報送市信息委審查；市信息委應(yīng)當在15日內(nèi)提出審查意見。新建的公共信息系統(tǒng)試運

33、行結(jié)束后30日內(nèi)，應(yīng)當進行安全測評。 安全整改（第13條）：應(yīng)當根據(jù)測評報告的整改建議，對公共信息系統(tǒng)采取安全整改措施。完成安全整改后15日內(nèi)，應(yīng)當將整改情況報送市信息委及其主管部門備案。 動態(tài)復(fù)測（第15條）：每兩年進行一次復(fù)測；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、信息處理流程等發(fā)生重大變更的，應(yīng)當及時進行復(fù)測。,44,國外信息安全法律法規(guī)簡介,國外信息安全法律法規(guī)簡介（以美國為例） 信息自由法（1966年） 愛國者法（2001年） 聯(lián)邦信息安全管理法案（FISMA，2002年） 屬于電子政務(wù)法的第三部分 給出了信息安全的定義 國內(nèi)外信息安全法治體系的差距分析 體系性 廣度 深度 。,45,聯(lián)邦政府信息保密分類

34、標準,（艾森豪威爾總統(tǒng)發(fā)布行政命令10501號，1953年） 機密級（Confidential）：根據(jù)合理的預(yù)期，公布以后可能會損害國家安全的材料。 秘密級（Secret）：被用來保護披露后預(yù)計可能會嚴重危害國家安全的材料。 絕密級（Top Secret）：是用于保護公開后預(yù)計可能會給國家安全帶來異乎尋常之危害的材料。 另：總統(tǒng)檔案法（Presidential Record Act of 1978） 白宮幕僚向總統(tǒng)出謀劃策的文件要該屆政府結(jié)束12年之后才能公開 政府聯(lián)邦機構(gòu)（中情局等除外）須在2000年4月之前公開含有歷史材料且時逾25年的保密檔案,46,信息自由法,Freedom of In

35、formation Act of 1966，F(xiàn)OIA 美國對政府信息進行立法保護的首要原則是向公眾公開原則 （也叫信息公開原則），是構(gòu)成其他信息安全保護法律的基礎(chǔ) 該法案主要是保障公民的個人自由,但也需要保障國家的安全，因此，該法利用“例外”的立法方式，將需要保護的信息加以列舉： 國家安全問題； 內(nèi)務(wù)材料； 法律規(guī)定豁免的材料； 商業(yè)秘密； 工作文件（當事人特權(quán)性材料）； 個人隱私文件； 執(zhí)法檔案； 金融機構(gòu)材料； 地質(zhì)數(shù)據(jù)。,47,保護美國關(guān)鍵基礎(chǔ)設(shè)施,克林頓總統(tǒng)令PDD-63，1998年 第一次就美國信息安全戰(zhàn)略的完整概念、意義、長期與短期目標等作了說明，對由國防部提出的“信息保障”作了新

36、的解釋，并對下一步的信息安全工作做了指示。 最遲不晚于2000年，美國應(yīng)當實現(xiàn)初步的信息保障能力。 從發(fā)布之日起五年后，美國將建立并保持對國家關(guān)鍵基礎(chǔ)設(shè)施進行保護的能力，以防止下述職能被有預(yù)謀的行為破壞： 聯(lián)邦政府履行其重要的國家安全責(zé)任并確保公眾健康和安全; 州和地方政府維持有序運轉(zhuǎn),提供最起碼的重要公共服務(wù); 私營部門確保經(jīng)濟有序運行以及提供重要電信、能源、金融和運輸?shù)恼７?wù)。 要求這些關(guān)鍵功能如遭到的任何破壞或操縱,必須將其控制在歷時短、頻率小、可控、地域上可隔離以及對美國的利益損害最小。,48,愛國者法,USA Patriot of Act of 2001 是“9.11”事件以后美國

37、為保障國家安全頒布的最為重要的一件法律，也是目前爭議最大的一部法律。 從法律上授予美國國內(nèi)執(zhí)法機構(gòu)和國際情報機構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動，使美國人民能夠生活在安全的環(huán)境中。 由于該法賦予聯(lián)邦政府的權(quán)力過大，引起美國國內(nèi)民權(quán)人士的擔憂，并產(chǎn)生訴案。 該法還對美國現(xiàn)有的十幾部法律做出了修改 政府可以對國外銀行和對私人存戶達到100萬美元以上的賬戶進行盡職調(diào)查,49,聯(lián)邦信息安全管理法案,Federal Information Security Management Act of 2002， FISMA 給出了“信息安全”的定義：保護信息和信息系統(tǒng)以避免未授權(quán)的訪問、

38、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性 完整性指防止不恰當?shù)男畔⑿薷暮推茐?，也包括確保信息的不可否認性和可認證性 保密性指對信息訪問和公開的授權(quán)限制，包括對個人隱私和私有信息的保護 可用性指對信息的及時和可靠的訪問 對國家信息安全管理職責(zé)惡授權(quán) 國家標準與技術(shù)局（NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標準與指南 管理與預(yù)算辦公室（OMB）主任對安全政策、原則、標準、指南等的制定、執(zhí)行（包括遵守）情況進行監(jiān)督,50,電子政務(wù)法,電子政務(wù)法（the E-Government Act of 2002） FISMA是該法案的第3部分 該法對聯(lián)邦政府信息技術(shù)管理和規(guī)劃的每一個

39、方面，從危機管理到電子檔案及查詢索引都做了規(guī)定,51,美國企業(yè)改革法案,（Sarbanes-Oxley Act of 2002），又名公眾公司會計改革與投資者保護法，簡稱薩班斯-奧克斯利法。 主要目的是加強對上市公司內(nèi)部金融信息的監(jiān)管，以維護金融市場的秩序和安全。 要求某些公司保證其內(nèi)部金融控制的準確性，證券交易委員會（SEC）有權(quán)制定標準并執(zhí)行這些規(guī)則，與其他對金融組織擁有管轄權(quán)的機構(gòu)負責(zé)對金融組織計算機系統(tǒng)上的有關(guān)個人金融信息隱私的規(guī)則的執(zhí)行。,52,知識域：信息安全國家政策,知識子域：國家信息安全管理總體方針 掌握國家有關(guān)政策對信息安全保障工作的總體要求 掌握國家有關(guān)政策規(guī)定的加強信息安

40、全保障工作主要原則 掌握國家有關(guān)政策規(guī)定需要重點加強的信息安全保障工作 知識子域：電子政務(wù)及重要信息系統(tǒng)信息安全政策 了解關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的四項基本要求：明確職責(zé)、強化人員培訓(xùn)、完善安全措施和手段、加強信息安全檢查,53,國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）1,意義 標志著我國信息安全保障工作有了總體綱領(lǐng) 提出要在5年內(nèi)建設(shè)中國信息安全保障體系 總體要求 堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。 主要原則 立

41、足國情，以我為主，堅持技術(shù)與管理并重； 正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全； 統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作； 明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。,54,國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）2,主要任務(wù)（重點加強的安全保障工作） 實行信息安全等級保護 加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè) 建設(shè)和完善信息安全監(jiān)控體系 重視信息安全應(yīng)急處理工作 加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展 加強信息安全法制建設(shè)和標準化建設(shè) 加快信息安全人才培養(yǎng)，增強全民信息安全意識 保證信

42、息安全資金 加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制 信息安全與國家安全 27號文：信息安全已成為國家安全的重要組成部分 十六屆四中全會：確保國家的政治安全、經(jīng)濟安全、文化安全和信息安全,十一五：試點 十二五：普及推廣,國家電子政務(wù)工程建設(shè)項目管理暫行辦法,本身不是政策，屬于法律法規(guī) 部門規(guī)章-國家發(fā)改委令2007第55號 對國家電子政務(wù)工程建設(shè)項目有明確的信息安全要求 第六章 驗收評價管理 項目建設(shè)單位應(yīng)在完成項目建設(shè)任務(wù)后的半年內(nèi),組織完成建設(shè)項目的信息安全風(fēng)險評估和初步驗收工作。 第七章 運行管理 項目建設(shè)單位或其委托的專業(yè)機構(gòu)應(yīng)按照風(fēng)險評估的相關(guān)規(guī)定, 對建成項目進行信

43、息安全風(fēng)險評估,檢驗其網(wǎng)絡(luò)和信息系統(tǒng)對安全環(huán)境變化的適應(yīng)性及安全措施的有效性,保障信息安全目標的實現(xiàn)。 項建書、可研報告、初步設(shè)計方案 在“項建和可研”的項目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案” 在“初設(shè)”的項目設(shè)計方案中應(yīng)包含“安全系統(tǒng)設(shè)計”,56,關(guān)于加強政府信息安全和保密管理工作的通知（國辦發(fā)200817號）,明確職責(zé) 把信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導(dǎo) 誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé) 強化人員培訓(xùn) 組織信息安全和保密基本技能培訓(xùn)，開展信息安全和保密形勢分析 深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定 完善安全措施和手段 管理制度+技術(shù)手段 加強信息安全檢查 詳見政

44、府信息系統(tǒng)安全檢查辦法,57,關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國辦發(fā)200928號）1,依據(jù) 關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知（國辦發(fā)200817號） 檢查范圍和檢查重點 各級政府及其部門對自行運行和維護管理以及委托其他機構(gòu)進行和維護管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進行一次全面的安全檢查。 國務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點。 檢查方式 各單位自查 + 統(tǒng)一組織抽查 + 安全檢測（按需） 工信部負責(zé)協(xié)調(diào)、指導(dǎo)、監(jiān)督，公安/安全/保密/密碼等部門按職責(zé)分工 2009年度政府信息系統(tǒng)安全檢查指南（工信部協(xié)200

45、9168號） 2010年度政府信息系統(tǒng)安全檢查指南（工信部協(xié)2010143號）,58,關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國辦發(fā)200928號）2,檢查內(nèi)容 安全制度落實情況-人員、制度、經(jīng)費等 安全防范措施落實情況-各類技術(shù)措施 應(yīng)急響應(yīng)機制建設(shè)情況-應(yīng)急預(yù)案制定和演練、應(yīng)急隊伍、事故處置、數(shù)據(jù)/系統(tǒng)備份等 信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況-終端/OA/信息安全產(chǎn)品國產(chǎn)情況、信息安全服務(wù)外包情況等 安全教育培訓(xùn)情況-參加、掌握、持證等情況 責(zé)任追究情況 安全隱患排查及整改情況 安全形勢、安全風(fēng)險評估狀況,59,2010年度政府信息系統(tǒng)安全檢查指南 （工信部協(xié)2010143號）,檢查內(nèi)容（檢查

46、指南比檢查辦法更細化，以2010年為例） 信息安全組織機構(gòu) 日常信息安全管理 （人員、資產(chǎn)、運維） 等級保護與風(fēng)險評估 技術(shù)防護手段建設(shè) （網(wǎng)絡(luò)邊界、信息安全產(chǎn)品、服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端計算機和移動存儲設(shè)備、門戶網(wǎng)站、密碼技術(shù)、網(wǎng)絡(luò)信任措施） 應(yīng)急管理工作開展 （應(yīng)急預(yù)案、應(yīng)急演練、應(yīng)急技術(shù)支援隊伍、災(zāi)難備份、應(yīng)急處置） 信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用 信息安全服務(wù) 信息安全教育培訓(xùn) 信息安全經(jīng)費保障 安全隱患排查及整改,60,關(guān)于印發(fā)國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知（國辦函2008168號）,背景 2003年：國務(wù)院成立應(yīng)急辦，頒布了國家突發(fā)公共衛(wèi)生事件應(yīng)急條例 2004年：國家突發(fā)公共

47、事件總體應(yīng)急預(yù)案（4大類公共安全） 國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案 2007年：制定發(fā)布國家突發(fā)事件應(yīng)對法 預(yù)案要點 網(wǎng)絡(luò)與信息安全事件的分類分級 參照標準：信息安全事件分類分級指南（GB/Z 20986） 應(yīng)急流程：預(yù)防預(yù)警應(yīng)急處置后期處置 參照標準：信息安全事件管理指南（GB/Z 20985） 組織體系和應(yīng)急保障 應(yīng)急隊伍、經(jīng)費、物資、通信、科技。 監(jiān)督管理 宣傳教育、培訓(xùn)、演練、責(zé)任與獎懲,61,知識域：信息安全國家政策,知識子域：風(fēng)險評估有關(guān)政策規(guī)范 了解國家有關(guān)政策對信息安全風(fēng)險評估工作提出的要求 了解國家有關(guān)政策對電子政務(wù)工程及國家重要信息系統(tǒng)建設(shè)項目風(fēng)險評估?？仃犖榈囊?guī)定 知識子

48、域：等級保護有關(guān)政策規(guī)范 了解信息安全等級保護管理辦法的有關(guān)要求 知識子域：國家密碼管理政策 了解我國對密碼的管理政策要求,62,關(guān)于開展信息安全風(fēng)險評估的意見 （國信辦20065號）,信息安全風(fēng)險評估（基于風(fēng)險管理） 系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性 評估安全事件一旦發(fā)生可能造成的危害程度 提出有針對性的抵御威脅的防護對策和整改措施 基本工作要求 應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程（設(shè)計、驗收、運維） 定期組織實施網(wǎng)絡(luò)與信息系統(tǒng)自評估，并積極配合有關(guān)部門的檢查評估 相關(guān)保障 參照標準:信息安全風(fēng)險評估規(guī)范（GB/T 20984）、信息安全風(fēng)險管理規(guī)范（制定中） 服務(wù)資質(zhì)

49、（對于涉及國計民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估技術(shù)服務(wù)，要由國家?？氐年犖閬沓袚?63,關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技20082071號）,依據(jù)和目的 國家電子政務(wù)工程建設(shè)項目管理暫行辦法-國家發(fā)改委令2007第55號 三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局 將“信息安全風(fēng)險評估”作為項目驗收的重要內(nèi)容（按要求提交一系列文檔） 風(fēng)險評估的主要內(nèi)容 分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風(fēng)險的影響等 兩類信息系統(tǒng)的工作開展 涉密信息系統(tǒng)參照“分級保護”，進行系統(tǒng)測評并履行審批手續(xù) 非涉密信息系統(tǒng)參照

50、“等級保護”，完成等級測評和風(fēng)險評估工作，并形成相關(guān)報告 相關(guān)要點 對信息安全風(fēng)險評估機構(gòu)的指定（1家+3家） 信息安全風(fēng)險評估經(jīng)費計入該項目總投資 投入運行后，應(yīng)定期開展信息安全風(fēng)險評估,64,關(guān)于信息安全等級保護工作的實施意見 （公字通200466號）1,信息安全等級保護 是保障和促進信息化建設(shè)健康發(fā)展的一項基本制度 核心是對信息安全分等級、按標準進行建設(shè)、管理和監(jiān)督 公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo) 保密/密碼/信息化工作部門各自的職責(zé)分工 信息和信息系統(tǒng)的安全保護等級（及其適用范圍） 第一級為自主保護級 第二級為指導(dǎo)保護級 第三級為監(jiān)督保護級 第四級為強制保護級 第五

51、級為?？乇Ｗo級 定級依據(jù) 根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,65,關(guān)于信息安全等級保護工作的實施意見 （公字通200466號）2,實施要求 完善標準,分類指導(dǎo)（管理規(guī)范和技術(shù)標準） 科學(xué)定級,嚴格備案（專家評審委員會。三級以上系統(tǒng)備案） 建設(shè)整改,落實措施（信息系統(tǒng)：已有、新建、改建、擴建） 自查自糾,落實要求（運營、 使用單位及其主管部門） 建立制度,加強管理（運營、 使用單位及其主管部門） 監(jiān)督檢查,完善保護（公安機關(guān)重點對第三、第四級系統(tǒng)） 其他等級要求 國家對信息安全產(chǎn)品的

52、使用實行分等級管理 信息安全事件實行分等級響應(yīng)、處置的制度,66,關(guān)于印發(fā)的通知（公字通200743號）,通知是政策，管理辦法屬于法律法規(guī) 四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國信辦 國家信息安全等級保護堅持“自主定級、自主保護”的原則 信息系統(tǒng)的安全保護等級分為五級 實施與管理 具體實施等級保護工作 參照標準：信息系統(tǒng)安全等級保護實施指南 確定安全保護等級 參照標準：信息系統(tǒng)安全等級保護定級指南 系統(tǒng)建設(shè) 參照標準：信息系統(tǒng)安全等級保護基本要求等 等級測評 參照標準：信息系統(tǒng)安全等級保護測評要求 二級以上系統(tǒng)的備案要求（由公安機關(guān)頒發(fā)備案證明） 三級以上系統(tǒng)的定期自查、測評和檢查要

53、求 三級以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求 三級以上系統(tǒng)等級保護測評機構(gòu)的選擇要求 涉密信息系統(tǒng)按分級保護管理（略） 對信息安全等級保護的密碼實行分類分級管理（略）,67,關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（公信安2007861號）,背景 根據(jù)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組2007年的工作部署, 公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作 定級范圍 電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)； 鐵

54、路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)； 市(地)級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)； 涉及國家秘密的信息系統(tǒng)(涉密信息系統(tǒng))。 工作內(nèi)容 摸底調(diào)查、確定等級（等級報告）、評審與審批、備案及管理（備案表）,68,關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見（公信安20091429號）,工作目標 力爭在2012年底前完成已定級信息系統(tǒng)(不含涉密信息系統(tǒng))安全建設(shè)整改工作 工作內(nèi)容 開展信息安

55、全等級保護安全管理制度建設(shè),提高信息系統(tǒng)安全管理水平 開展信息安全等級保護安全技術(shù)措施建設(shè),提高信息系統(tǒng)安全保護能力 開展信息系統(tǒng)安全等級測評,使信息系統(tǒng)安全保護狀況逐步達到等級保護要求 信息安全等級保護安全建設(shè)整改工作指南 參照標準：信息系統(tǒng)安全等級保護基本要求 信息系統(tǒng)安全建設(shè)整改工作基本流程（管理建設(shè)、技術(shù)建設(shè)） 信息安全等級保護主要標準簡要說明及相互間的關(guān)系（基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類）,69,關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知（公信安2010303號）,工作目標 提高測評機構(gòu)能力，規(guī)范測評活動，確保信息安全等級保護安全建設(shè)整改工作順利進行 工作內(nèi)容 積極

56、穩(wěn)妥地推動等級測評機構(gòu)建設(shè) 確保測評機構(gòu)的水平和能力符合測評工作要求 督促備案單位開展信息系統(tǒng)等級測評工作 信息安全等級保護測評工作管理規(guī)范（試行） 信息系統(tǒng)安全等級測評報告模版（試行） 另有政策：公信安20091487號,70,我國信息安全政策的初步成效,依托2003年的27號文（總體綱領(lǐng)），明確了信息安全保障工作的總體要求、工作原則和重點工作內(nèi)容 圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風(fēng)險評估、等級保護、電子政務(wù)類、應(yīng)急預(yù)案等） 其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認證、人員培訓(xùn)和認證等,十一五：試點 十二五：普及推廣,71

57、,我國信息安全政策的后續(xù)展望,“十一五”期間發(fā)布的各項政策均將進入落實期 由電子政務(wù)領(lǐng)域向其他領(lǐng)域拓展 關(guān)系到國計民生的行業(yè) 公共服務(wù)類 商業(yè)性、一般業(yè)務(wù)類 盡快形成“統(tǒng)一的”信息安全服務(wù)資質(zhì)管理體制 基于信息安全服務(wù)類的標準（政策帶動標準，標準支撐政策） 統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資質(zhì) 由“狹義信息安全”向“廣義信息安全”延伸 IT服務(wù)（外包）的信息安全保障 新技術(shù)、新應(yīng)用下的信息安全保障,72,其他一些信息安全政策,國家（電子政務(wù)）信息安全政策 關(guān)于加強國家重要信息系統(tǒng)災(zāi)難備份工作的意見(信安通200411號) 關(guān)于進一步加強政府網(wǎng)站安全保障工作的通知（國辦秘函20105號） 。 行

58、業(yè)類信息安全政策 。 地方性信息安全政策（講師自選） 。,73,國外信息安全政策簡介,國外信息安全國家政策簡介（以美國為例） 克林頓政府 IATF V1.0（1998年） V3.1（2002年） V4.0（Now） 2000年：總統(tǒng)國家安全戰(zhàn)略報告（首次將信息安全列入） 布什政府 911之后，成立本土安全部（國土安全部）、國家KIP委員會 2002年：國家保障數(shù)字空間安全策略、國家安全戰(zhàn)略報告 2003年：網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃 奧巴馬政府 上任之初：60天信息安全評估項目 2009年：美國網(wǎng)絡(luò)安全評估 2010年：網(wǎng)絡(luò)戰(zhàn)司令部正式運行 國內(nèi)外信息安全國家政策的差距分析 體系性和持續(xù)性、關(guān)注重點、執(zhí)行力度。,74,信息保障技術(shù)框架(IATF),由國家安全局制定，是信息保障技術(shù)領(lǐng)域中最系統(tǒng)的研究 1998年：V1.0、1999年：V2.0 2000年：V3.0、2002年：V3.1 Now：V4.0 為保護美國政府和工業(yè)界的信息與信息基礎(chǔ)設(shè)施提供了技術(shù)指南 認為信息保障要靠人操作好技術(shù)來實現(xiàn) 定義了“信息保障”的系統(tǒng)開發(fā)過程，對系統(tǒng)中硬件和