信息安全法律法规培训课件

1、信息安全法规与政策,培训机构名称 讲师名字,1,信息安全法律法规培训,课程内容,2,信息安全法规与政策,知识体,知识域,信息安全 法律法规,知识子域,信息安全 国家政策,道德规范,信息安全从业 人员道德规范,通行道德规范,信息安全法律法规培训,知识域：信息安全相关法律,知识子域： 国家信息安全法治总体情况 了解信息安全法治建设的意义 了解我国信息安全法律法规体系框架 知识子域： 现行重要信息安全法规 掌握保守国家秘密法的主要内容 理解电子签名法的意义和作用 了解刑法有关信息安全犯罪的规定 了解全国人大常委会关于维护互联网安全的决定,3,信息安全法律法规培训,基本概念,法律法规 国家政策 道德规

2、范 标准 制度,4,信息安全法律法规培训,法律、政策和道德的定义,法律（Law）-国家制定或认可的，由国家强制力保证实施的，以规定当事人权利和义务为内容的具有普遍约束力的社会规范。 政策（Policy）-国家或政党组织等，以权威形式标准化地规定在一定的时期内，应该达到的目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。 道德规范（Ethic）-一定社会或阶级用以调整人们之间利益关系的行为准则，也是评价人们行为善恶的标准,5,信息安全法律法规培训,国家法律体系,6,国务院各部委,多级立法,信息安全法律法规培训,法律和政策的区别,7,政策有党的政策、国家政策之分，有总

3、政策、基本政策和具体政策之别。 政策在成为法律之前，表现为决定、决议、纲领、宣言、通知、纪要等形式,信息安全法律法规培训,法律和道德的区别,8,职业道德是指符合职业特点要求的准则、情操、品质等， 是职业义务、职业责任以及职业行为上的道德准则,信息安全法律法规培训,其他一些概念,标准（Standard）-原意为“标靶”（即：参照物），为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件。（标准宜以科学、技术和实践经验的综合成果为基础，以促进最佳的共同效益为目的） 制度（System）-要求大家共同遵守的办事规程或行动准则，是国家法律、法令、政策的具体

4、化，是人们行动的准则和依据。（指导+约束、鞭策+激励、规范+程序,9,信息安全法律法规培训,国家信息安全保障体系,10,信息安全技术与产业支撑平台,信息安全基础设施,信息安全法律法规与政策环境,信 息 安 全 人 才 培 训 教 育 体 系,信息安全组织机构及管理体系,信 息 安 全 标 准 与 规 范,信息安全法律法规培训,信息安全在国家安全中的地位,党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。 党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素,11,信息安全是个大问题。必须把安全问题放到至关

5、重要的位置上，认真加以考虑和解决。 -胡锦涛,信息安全法律法规培训,我国的信息安全管理体制,目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全 国家信息化领导小组（国家网络与信息安全协调小组） 工信部 公安部 国家安全部 国家保密局 国家密码管理委员会 等等,12,信息安全法律法规培训,我国的信息安全基础设施,中国信息安全测评中心(CNITSEC) 中国信息安全认证中心(ISCCC) 国家计算机网络应急技术处理协调中心（CNCERT/CC） 国家计算机病毒应急处理中心 全国信息安全标准化技术委员会（TC260） 等等,13,信息

6、安全法律法规培训,信息安全法治建设的意义,信息安全法律环境是信息安全保障体系中的必要环节 明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务 明确违反信息安全的行为，并对其行为进行相应的处罚等,14,保护国家信息主权和社会公共利益是 信息安全立法的首要目标,信息安全法律法规培训,信息安全法治建设的意义,信息安全不再只是个技术问题，而更多地是个商业和法律问题-安全漏洞、信息犯罪的本质？ 信息安全产业的逐渐形成和成熟，需要必要的规范 信息安全法治建设涉及的主体：信息安全主管部门、各类IT产品和服务的安全（ITSP）、信息安全类产品和服务（ISS

7、P）、信息及信息系统的拥有者和使用者 信息安全法治建设涉及的客体：信息数据、信息系统,15,狭义的信息安全 广义的信息安全,信息安全法律法规培训,我国信息安全法律法规体系框架,16,宪法、刑法（部分条款） 国家安全法（部分条款） 保守国家秘密法 电子签名法,计算机信息系统安全保护条例 互联网信息服务管理办法 商用密码管理条例,公安部（安全专用产品等） 原信产部（互联网域名等） 国新办（互联网新闻信息服务） 保密局（保密等）,信息安全法律法规培训,我国信息安全法治建设的发展历程,通信保密安全,计算机系统 安全,网络信息系统安全,1994年,2000年,2003年,保守国家秘密法（1989） （2

8、010年修订） 中央关于加强密码工作的决定 计算机信息系统安全保护条例（草案）-86,计算机信息系统 安全保护条例（1994） 计算机信息系统安全专用产品检测和销售许可证管理办法-97 计算机信息网络国际联网安全保护管理办法-97 计算机信息系统保密管理暂行规定-98 商用密码管理条例-99,关于维护互联网安全 的决定（2000） 互联网信息服务管理办法 计算机病毒防治管理办法 计算机信息系统国际联网保密管理规定 -00,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号,17,信息安全法律法规培训,我国信息安全法治建设的初步成效,法律法规体系初步构建，但体系化与有效性等方

9、面仍有待进一步完善 法律少而规章等偏多，缺乏信息安全的基本法 与信息安全相关的司法和行政管理体系迅速完善 法律法规的内容篇幅偏小，行为规范较简单,18,截至2008年与信息安全直接相关的法律有65部 涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,信息安全法律法规培训,我国信息安全法治建设展望,需要一部信息安全的基本法国家信息安全法 （或先出台信息安全条例） 信息安全的基本原则与基本制度 信息安全的主要核心内容 进一步完善各领域的信息安全专门法 信息安全的监管模式和认证体系（面向信息安全

10、各类主体和客体） 信息安全常态管理（等级保护制度等） 信息安全应急管理（预警、监测、通报和应急处理等） 网络与信息系统全生命周期的信息安全 信息内容安全 特定领域的信息安全（电子政务、电子商务、行业信息化等） 组织信息资产的基本法律地位 个人信息保护的基本规范 信息安全犯罪,19,信息安全法律法规培训,宪法中的有关规定,宪法 第二章 公民的基本权利和义务 第40条 公民的通信自由和通信秘密受法律的保护。 除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密,20,法律,信息安全法律法规培训,刑法

11、中的有关规定（1,刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。 违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，

12、并处罚金。 提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚,21,法律,信息安全法律法规培训,刑法中的有关规定（2,刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条 286条：破坏计算机信息系统罪。 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除

13、、修改、增加的操作，后果严重的，依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 287条：利用计算机实施犯罪的提示性规定。 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚,22,法律,信息安全法律法规培训,治安管理处罚法中的有关规定,治安管理处罚法 第三章 违反治安管理的行为和处罚 第一节 扰乱公共秩序的行为和处罚 第29条 有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留： （一）违反国家规定，侵入计算机信息系统，造成危害的； （二）违反国家规定，对

14、计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的； （三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的； （四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。 治安管理处罚法 其他规定（与非法信息传等播相关）：第42、47、68条,23,法律,信息安全法律法规培训,国家安全法中的有关规定,国家安全法 第二章 国家安全机关在国家安全工作中的职权 第10、11条 第10条 国家安全机关因侦察危害国家安全行为的需要，根据国家有关规定，经过严格的批准手续，可以采取技术侦察措施。 第11条 国家安全机关为维护国

15、家安全的需要，可以查验组织和个人的电子通信工具、器材等设备、设施,24,法律,信息安全法律法规培训,保守国家秘密法（保密法 1,演进 保守国家秘密暂行条例（1951年） 保守国家秘密法（1989年） 保守国家秘密法（2010年修订，4月29日修订，10月1日施行） 主旨（总则） 目的：保守国家秘密，维护国家安全和利益。 国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。 国家秘密受法律保护。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。 国家保密行政管理部门主管全国的保密工作。 国家机关和涉及国家秘密的单位（以下简称机

16、关、单位）管理本机关和本单位的保密工作。 保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查,25,法律,信息安全法律法规培训,保守国家秘密法（保密法 2,国家秘密的范围 国家事务、国防武装、外交外事、政党秘密 国民经济和社会发展、科学技术 维护国家安全的活动、经保密主管部门确定的事项等 国家秘密的密级 绝密-是最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害；保密期限不超过30年； 机密-是重要的国家秘密，泄露会使国家安全和利益遭受严重的损害；保密期限不超过20年； 秘密-是一般的国家秘密，泄露会使国家安全和利益遭受损害；保密期限不超过10年。 国家

17、秘密的其他基本属性 定密权限（定密责任人）、保密期限、解密条件、知悉范围 国家秘密载体、国家秘密标志,26,法律,信息安全法律法规培训,保守国家秘密法（保密法 3,保密制度 对国家秘密载体的行为要求； 对属于国家秘密的设备、产品的行为要求； 对存储、处理国家秘密的计算机信息系统的要求-分级保护； 对组织和个人的行为要求（涉密信息系统管理、国家秘密载体管理、公开发布信息、各类涉密采购、涉密人员分类管理、保密教育培训、保密协议等）； 对公共信息网络及其他传媒的行为要求； 对互联网及其他公共信息网络运营商、服务商的行为要求。 监督管理 国家保密行政管理部门依照法律、行政法规的规定，制定保密规章和国家

18、保密标准。 组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作，对机关、单位的保密工作进行指导和监督,27,法律,信息安全法律法规培训,保守国家秘密法（保密法 4,法律责任（第48条 人员处分及追究刑责） （一）非法获取、持有国家秘密载体的； （二）买卖、转送或者私自销毁国家秘密载体的； （三）通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的； （四）邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国家秘密载体出境的； （五）非法复制、记录、存储国家秘密的； （六）在私人交往和通信中涉及国家秘密的； （七）在互联网及其他公共信息网络或者未采取保密措施的有线和无

19、线通信中传递国家秘密的； （八）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的； （九）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的； （十）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的； （十一）擅自卸载、修改涉密信息系统的安全技术程序、管理程序的； （十二）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。 有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理,28,法律,信息安全法律法规培训,全国人大关于维护互联网安全的决定,背景 互联网日益广泛的应

20、用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。 互联网安全的范畴（法律约束力） 互联网的运行安全（侵入、破坏性程序、攻击、中断服务等） 国家安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等） 市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等） 个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等） 法律责任 构成犯罪的，依照刑法有关规定追究刑事责任 构成民

21、事侵权的，依法承担民事责任 尚不构成犯罪的：治安管理处罚 / 行政处罚 / 行政处分或纪律处分,29,法律,信息安全法律法规培训,电子签名法（1,意义 2005年4月1日正式施行的电子签名法，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。 数据电文和电子签名 数据电文-是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。 电子签名-是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。 适用范围 民事活动中的合同或者其他文件、单证等文书。 电子签名和数据电文不适用的文书（国际惯例）：涉及证明人身关系的、涉

22、及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形,30,法律,信息安全法律法规培训,电子签名法（2,数据电文的原件形式要求 能够有效地表现所载内容并可供随时调取查用； 能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。 数据电文的文件保存要求 能够有效地表现所载内容并可供随时调取查用； 数据电文的格式与其生成、发送或者接收时的格式相同，或者格式不相同但是能够准确表现原来生成、发送或者接收的内容； 能够识别数据电文的发件人、收件人以及发送、接收的时间。 数据电文的

23、重要属性 作为证据的真实性（数据电文生成/存储/传递的可靠性、对保持内容完整性的可靠性、对鉴别发件人的可靠性等） 发件人发送（发送时间、发送地点）、收件人收讫（接收时间、接收地点,31,法律,信息安全法律法规培训,电子签名法（3,可靠电子签名的四个要件 电子签名制作数据用于电子签名时，属于电子签名人专有； 签署时电子签名制作数据仅由电子签名人控制； 签署后对电子签名的任何改动能够被发现； 签署后对数据电文内容和形式的任何改动能够被发现。 电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务 电子认证服务应具备相适应的人员、资金、场所、技术和设备条件，以及国家密码管理机构同意使用

24、密码的证明文件； 应向国务院信息产业主管部门申请，后者依法审查并征求商务主管部门等有关部门的意见后，对予以许可的颁发电子认证许可证书，再持该证向工商部门办理企业登记，并将其电子认证业务规则，并向国务院信息产业主管部门备案,32,法律,信息安全法律法规培训,电子签名法（4,电子认证服务提供者签发的电子签名认证证书内容 电子认证服务提供者名称； 证书持有人名称； 证书序列号； 证书有效期； 证书持有人的电子签名验证数据； 电子认证服务提供者的电子签名； 国务院信息产业主管部门规定的其他内容。 对电子认证服务提供者的其他要求 保证证书内容在有效期内完整、准确； 拟暂停或者终止电子认证服务的要求； 妥

25、善保存与认证相关的信息，信息保存期限（至少为证书失效后五年,33,法律,信息安全法律法规培训,计算机信息系统安全保护条例,计算机信息系统 是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 安全保护 保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。 主管部门 公安部主管全国计算机信息系统安全保护工作（含安全监督职权）。 国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保

26、护的有关工作。 安全保护制度（要点） 计算机信息系统实行安全等级保护。 使用单位应当建立健全安全管理制度。 安全专用产品（硬件、软件）的销售实行许可证制度,34,行政法规,信息安全法律法规培训,商用密码管理条例,商用密码 是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 商用密码技术属于国家秘密。 主管部门 国家密码管理委员会及其办公室主管全国的商用密码管理工作。 国家对商用密码产品的科研、生产、销售和使用实行专控管理。 管理要点 商密产品由国家密码管理机构分别指定单位进行科研、生产和检测。 商密产品销售单位应有国家密码管理机构颁发的商用密码产品销售许可证。

27、必须如实登记备案直接使用商用密码产品的用户信息和产品用途。 不得使用自行研制的或者境外生产的密码产品。 不得转让其使用的商用密码产品（含故障维修、报废销毁,35,行政法规,信息安全法律法规培训,计算机信息系统安全专用产品 检测和销售许可证管理办法,两个必须 安全专用产品的生产者在其产品进入市场销售之前, 必须申领计算机信息系统安全专用产品销售许可证。 安全全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认定。 检测（机构） 检测机构对产品（样品）的安全功能和性能进行检测。 检测机构应保守检测产品的技术秘密，并不得非法占有他人科技成果，不得从事与检测产品有关的开发和对外咨询业务

28、。 销售许可证（主管部门） 由公安部计算机管理监察部门颁发安全专用产品销售许可证（两年内有效）、“销售许可”标记（生产者应当在固定位置标明该标记）。 安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录, 由公安部计算机管理监察部门定期发布,36,部门规章,信息安全法律法规培训,计算机信息系统保密管理暂行规定,适用范围 适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。 主管部门 国家保密局主管全国计算机信息系统的保密工作。 管理要点 涉密系统-保密设施、保密措施、访问控制、数据保护等 涉密信息-密级标识、物理隔离等 涉密媒体-各类计算机媒体（含打印输出等） 涉密场所-控

29、制区、防电磁信息泄漏、其他物理安全等 系统管理-领导负责制、管理制度、保密检查、人员培训和考核等,37,部门规章,信息安全法律法规培训,其他一些行政法规和部门规章,行政法规 电信条例 计算机信息网络国际互联网管理暂行规定 计算机信息网络国际联网安全保护管理办法 互联网信息服务管理办法 部门规章 中国互联网域名管理办法（原信产部） 互联网IP地址备案管理办法（原信产部） 电子认证服务管理办法（原信产部） 互联网电子邮件服务管理办法（原信产部） 互联网安全保护技术措施规定（公安部） 计算机病毒防治管理办法（公安部） 信息安全等级保护管理办法（公安部） 计算机信息系统国际互联网保密管理规定（保密局）

30、 互联网新闻信息服务管理规定（国新办、原信产部,38,信息安全法律法规培训,一些地方性法规,北京市信息化促进条例（第五章 信息安全保障） 北京市公共服务网络与信息系统安全管理规定 北京市党政机关计算机网络与信息安全管理办法 广东省计算机信息系统安全保护管理规定 广东省电子政务信息安全管理暂行办法 上海市公共信息系统安全测评管理办法,39,信息安全法律法规培训,北京市信息化促进条例,第五章 信息安全保障（第32-37条） 按照国家和本市有关规定实行安全等级保护制度 按照等级保护管理规范和技术标准，开展网络与信息系统的安全建设（改建）、测评和保障 制定网络与信息安全事件应急预案，定期进行演练 组建

31、公共服务网络与信息系统信息安全应急救援服务体系 任何单位和个人不得利用网络与信息系统从事危害国家安全，扰乱公共秩序，损害公民、法人和其他组织的合法权益，危害网络与信息系统安全以及散布、传播违法信息等活动 涉及国家秘密的信息化工程的管理，按照国家保密有关规定执行,40,信息安全法律法规培训,广东省计算机信息系统安全保护管理规定,计算机信息系统使用单位应当确定计算机安全管理责任人，建立健全安全保护制度，落实安全保护技术措施，保障本单位计算机信息系统安全，并协助公安机关做好安全保护管理工作。 安全保护制度（第8条）：计算机机房安全管理制度；安全管理责任人、信息审查员的任免和安全责任制度；网络安全漏洞

32、检测和系统升级管理制度；操作权限管理制度；用户登记制度；信息发布审查、登记、保存、清除和备份制度，信息群发服务管理制度。 安全技术措施（第9条）：系统重要部分的冗余或备份措施；计算机病毒防治措施；网络攻击防范、追踪措施；安全审计和预警措施；系统运行和用户使用日志记录保存60日以上措施；记录用户主叫电话号码和网络地址的措施；身份登记和识别确认措施；信息群发限制和有害数据防治措施,41,信息安全法律法规培训,广东省计算机信息系统安全保护管理规定,任何单位和个人不得利用计算机信息系统从事下列行为（第11条）：制作、复制、查阅、传播有害信息；侵犯他人隐私，窃取他人帐号，假冒他人名义发送信息，或者向他人

33、发送垃圾信息；以盈利或者非正常使用为目的，未经允许向第三方公开他人电子邮箱地址；未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据；危害计算机信息系统安全的其他行为。 重点安全保护单位（第14条）：县级以上国家机关、国防单位；银行、证券、能源、交通、邮电通信单位；国家及省重点科研、教育单位；国有大中型企业；互联单位、接入单位及重点网站；向公众提供上网服务的场所。 其他重要规定：公安机关、国家安全机关的职权；对重大安全事故的处置和报告；安全专用产品和密码产品的管理；安全服务资质的申请；罚则等等,42,信息安全法律法规培训,上海市公共信息系统安全测评管理办法,依据有关信息安全标准、规范

34、，对本市承担公共管理职能的机构以及提供社会公共服务的单位的计算机信息系统，进行安全保障性能测试、评估的活动。 新建系统的测评（第7条）：应当在系统建设前将安全设计方案报送市信息委审查；市信息委应当在15日内提出审查意见。新建的公共信息系统试运行结束后30日内，应当进行安全测评。 安全整改（第13条）：应当根据测评报告的整改建议，对公共信息系统采取安全整改措施。完成安全整改后15日内，应当将整改情况报送市信息委及其主管部门备案。 动态复测（第15条）：每两年进行一次复测；系统的网络结构、信息处理流程等发生重大变更的，应当及时进行复测,43,信息安全法律法规培训,国外信息安全法律法规简介,国外信息

35、安全法律法规简介（以美国为例） 信息自由法（1966年） 爱国者法（2001年） 联邦信息安全管理法案（FISMA，2002年） 属于电子政务法的第三部分 给出了信息安全的定义 国内外信息安全法治体系的差距分析 体系性 广度 深度,44,信息安全法律法规培训,联邦政府信息保密分类标准,艾森豪威尔总统发布行政命令10501号，1953年） 机密级（Confidential）：根据合理的预期，公布以后可能会损害国家安全的材料。 秘密级（Secret）：被用来保护披露后预计可能会严重危害国家安全的材料。 绝密级（Top Secret）：是用于保护公开后预计可能会给国家安全带来异乎寻常之危害的材料。

36、另：总统档案法（Presidential Record Act of 1978） 白宫幕僚向总统出谋划策的文件要该届政府结束12年之后才能公开 政府联邦机构（中情局等除外）须在2000年4月之前公开含有历史材料且时逾25年的保密档案,45,信息安全法律法规培训,信息自由法,Freedom of Information Act of 1966，FOIA 美国对政府信息进行立法保护的首要原则是向公众公开原则 （也叫信息公开原则），是构成其他信息安全保护法律的基础 该法案主要是保障公民的个人自由,但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举： 国家安全问题； 内

37、务材料； 法律规定豁免的材料； 商业秘密； 工作文件（当事人特权性材料）； 个人隐私文件； 执法档案； 金融机构材料； 地质数据,46,信息安全法律法规培训,保护美国关键基础设施,克林顿总统令PDD-63，1998年 第一次就美国信息安全战略的完整概念、意义、长期与短期目标等作了说明，对由国防部提出的“信息保障”作了新的解释，并对下一步的信息安全工作做了指示。 最迟不晚于2000年，美国应当实现初步的信息保障能力。 从发布之日起五年后，美国将建立并保持对国家关键基础设施进行保护的能力，以防止下述职能被有预谋的行为破坏： 联邦政府履行其重要的国家安全责任并确保公众健康和安全; 州和地方政府维持有

38、序运转,提供最起码的重要公共服务; 私营部门确保经济有序运行以及提供重要电信、能源、金融和运输的正常服务。 要求这些关键功能如遭到的任何破坏或操纵,必须将其控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小,47,信息安全法律法规培训,爱国者法,USA Patriot of Act of 2001 是“9.11”事件以后美国为保障国家安全颁布的最为重要的一件法律，也是目前争议最大的一部法律。 从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中。 由于该法赋予联邦政府的权力过大，引起美国国内民权人士的

39、担忧，并产生诉案。 该法还对美国现有的十几部法律做出了修改 政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查,48,信息安全法律法规培训,联邦信息安全管理法案,Federal Information Security Management Act of 2002， FISMA 给出了“信息安全”的定义：保护信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁，以确保信息的完整性、保密性和可用性 完整性指防止不恰当的信息修改和破坏，也包括确保信息的不可否认性和可认证性 保密性指对信息访问和公开的授权限制，包括对个人隐私和私有信息的保护 可用性指对信息的及时和可靠的

40、访问 对国家信息安全管理职责恶授权 国家标准与技术局（NIST）为联邦政府使用的系统制定安全标准与指南 管理与预算办公室（OMB）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督,49,信息安全法律法规培训,电子政务法,电子政务法（the E-Government Act of 2002） FISMA是该法案的第3部分 该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定,50,信息安全法律法规培训,美国企业改革法案,Sarbanes-Oxley Act of 2002），又名公众公司会计改革与投资者保护法，简称萨班斯-奥克斯利法。 主要

41、目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全。 要求某些公司保证其内部金融控制的准确性，证券交易委员会（SEC）有权制定标准并执行这些规则，与其他对金融组织拥有管辖权的机构负责对金融组织计算机系统上的有关个人金融信息隐私的规则的执行,51,信息安全法律法规培训,知识域：信息安全国家政策,知识子域：国家信息安全管理总体方针 掌握国家有关政策对信息安全保障工作的总体要求 掌握国家有关政策规定的加强信息安全保障工作主要原则 掌握国家有关政策规定需要重点加强的信息安全保障工作 知识子域：电子政务及重要信息系统信息安全政策 了解关于加强政府信息系统安全和保密管理工作的四项基本要求：

42、明确职责、强化人员培训、完善安全措施和手段、加强信息安全检查,52,信息安全法律法规培训,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）1,意义 标志着我国信息安全保障工作有了总体纲领 提出要在5年内建设中国信息安全保障体系 总体要求 坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。 主要原则 立足国情，以我为主，坚持技术与管理并重； 正确处理安全和发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础工作； 明确国家、企业、个人

43、的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系,53,信息安全法律法规培训,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）2,主要任务（重点加强的安全保障工作） 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 信息安全与国家安全 27号文：信息安全已成为国家安全的重要组成部

44、分 十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全,54,十一五：试点 十二五：普及推广,信息安全法律法规培训,国家电子政务工程建设项目管理暂行办法,本身不是政策，属于法律法规 部门规章-国家发改委令2007第55号 对国家电子政务工程建设项目有明确的信息安全要求 第六章 验收评价管理 项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。 第七章 运行管理 项目建设单位或其委托的专业机构应按照风险评估的相关规定, 对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。 项

45、建书、可研报告、初步设计方案 在“项建和可研”的项目建设方案中应包含“安全系统建设方案” 在“初设”的项目设计方案中应包含“安全系统设计,55,信息安全法律法规培训,关于加强政府信息安全和保密管理工作的通知（国办发200817号,明确职责 把信息安全和保密工作列入重要议事日程，明确一名主管领导 谁主管谁负责、谁运行谁负责、谁使用谁负责 强化人员培训 组织信息安全和保密基本技能培训，开展信息安全和保密形势分析 深入学习宣传信息安全“五禁止”规定 完善安全措施和手段 管理制度+技术手段 加强信息安全检查 详见政府信息系统安全检查办法,56,信息安全法律法规培训,关于印发政府信息系统安全检查办法的通

46、知（国办发200928号）1,依据 关于加强政府信息系统安全和保密管理工作的通知（国办发200817号） 检查范围和检查重点 各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。 国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。 检查方式 各单位自查 + 统一组织抽查 + 安全检测（按需） 工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工 2009年度政府信息系统安全检查指南（工信部协2009168号） 2010年度政府信息系统安全检查指南（工信部协201

47、0143号,57,信息安全法律法规培训,关于印发政府信息系统安全检查办法的通知（国办发200928号）2,检查内容 安全制度落实情况-人员、制度、经费等 安全防范措施落实情况-各类技术措施 应急响应机制建设情况-应急预案制定和演练、应急队伍、事故处置、数据/系统备份等 信息技术产品和服务国产化情况-终端/OA/信息安全产品国产情况、信息安全服务外包情况等 安全教育培训情况-参加、掌握、持证等情况 责任追究情况 安全隐患排查及整改情况 安全形势、安全风险评估状况,58,信息安全法律法规培训,2010年度政府信息系统安全检查指南（工信部协2010143号,检查内容（检查指南比检查办法更细化，以20

48、10年为例） 信息安全组织机构 日常信息安全管理 （人员、资产、运维） 等级保护与风险评估 技术防护手段建设 （网络边界、信息安全产品、服务器、网络设备、终端计算机和移动存储设备、门户网站、密码技术、网络信任措施） 应急管理工作开展 （应急预案、应急演练、应急技术支援队伍、灾难备份、应急处置） 信息技术产品和信息安全产品使用 信息安全服务 信息安全教育培训 信息安全经费保障 安全隐患排查及整改,59,信息安全法律法规培训,关于印发国家网络与信息安全事件应急预案的通知（国办函2008168号,背景 2003年：国务院成立应急办，颁布了国家突发公共卫生事件应急条例 2004年：国家突发公共事件总体

49、应急预案（4大类公共安全） 国家网络与信息安全事件应急预案 2007年：制定发布国家突发事件应对法 预案要点 网络与信息安全事件的分类分级 参照标准：信息安全事件分类分级指南（GB/Z 20986） 应急流程：预防预警应急处置后期处置 参照标准：信息安全事件管理指南（GB/Z 20985） 组织体系和应急保障 应急队伍、经费、物资、通信、科技。 监督管理 宣传教育、培训、演练、责任与奖惩,60,信息安全法律法规培训,知识域：信息安全国家政策,知识子域：风险评估有关政策规范 了解国家有关政策对信息安全风险评估工作提出的要求 了解国家有关政策对电子政务工程及国家重要信息系统建设项目风险评估专控队伍

50、的规定 知识子域：等级保护有关政策规范 了解信息安全等级保护管理办法的有关要求 知识子域：国家密码管理政策 了解我国对密码的管理政策要求,61,信息安全法律法规培训,关于开展信息安全风险评估的意见（国信办20065号,信息安全风险评估（基于风险管理） 系统分析网络与信息系统所面临的威胁及其存在的脆弱性 评估安全事件一旦发生可能造成的危害程度 提出有针对性的抵御威胁的防护对策和整改措施 基本工作要求 应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维） 定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估 相关保障 参照标准:信息安全风险评估规范（GB/T 20984）、信息安全

51、风险管理规范（制定中） 服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担,62,信息安全法律法规培训,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号,依据和目的 国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号 三部委联合发文：发改委、公安部、保密局 将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档） 风险评估的主要内容 分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等 两类信息系统的工作开展 涉密信息系统参照“分级保护

52、”，进行系统测评并履行审批手续 非涉密信息系统参照“等级保护”，完成等级测评和风险评估工作，并形成相关报告 相关要点 对信息安全风险评估机构的指定（1家+3家） 信息安全风险评估经费计入该项目总投资 投入运行后，应定期开展信息安全风险评估,63,信息安全法律法规培训,关于信息安全等级保护工作的实施意见（公字通200466号）1,信息安全等级保护 是保障和促进信息化建设健康发展的一项基本制度 核心是对信息安全分等级、按标准进行建设、管理和监督 公安机关负责信息安全等级保护工作的监督、检查、指导 保密/密码/信息化工作部门各自的职责分工 信息和信息系统的安全保护等级（及其适用范围） 第一级为自主保

53、护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 定级依据 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,64,信息安全法律法规培训,关于信息安全等级保护工作的实施意见（公字通200466号）2,实施要求 完善标准,分类指导（管理规范和技术标准） 科学定级,严格备案（专家评审委员会。三级以上系统备案） 建设整改,落实措施（信息系统：已有、新建、改建、扩建） 自查自纠,落实要求（运营、 使用单位及其主管部门） 建立制度,加强管理（运营、 使用单位及其主管部门）

54、 监督检查,完善保护（公安机关重点对第三、第四级系统） 其他等级要求 国家对信息安全产品的使用实行分等级管理 信息安全事件实行分等级响应、处置的制度,65,信息安全法律法规培训,关于印发的通知（公字通200743号,通知是政策，管理办法属于法律法规 四部委联合发文：公安部、保密局、密码管理局、原国信办 国家信息安全等级保护坚持“自主定级、自主保护”的原则 信息系统的安全保护等级分为五级 实施与管理 具体实施等级保护工作 参照标准：信息系统安全等级保护实施指南 确定安全保护等级 参照标准：信息系统安全等级保护定级指南 系统建设 参照标准：信息系统安全等级保护基本要求等 等级测评 参照标准：信息系

55、统安全等级保护测评要求 二级以上系统的备案要求（由公安机关颁发备案证明） 三级以上系统的定期自查、测评和检查要求 三级以上系统的信息安全产品选择使用要求 三级以上系统等级保护测评机构的选择要求 涉密信息系统按分级保护管理（略） 对信息安全等级保护的密码实行分类分级管理（略,66,信息安全法律法规培训,关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号,背景 根据国家网络与信息安全协调小组2007年的工作部署, 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作 定级范围 电信、广电行业

56、的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统； 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统； 市(地)级以上党政机关的重要网站和办公信息系统； 涉及国家秘密的信息系统(涉密信息系统)。 工作内容 摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表,67,信息安全法律法规培训,关于开展信息安全等级保护安全建设整改工

57、作的指导意见（公信安20091429号,工作目标 力争在2012年底前完成已定级信息系统(不含涉密信息系统)安全建设整改工作 工作内容 开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平 开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力 开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求 信息安全等级保护安全建设整改工作指南 参照标准：信息系统安全等级保护基本要求 信息系统安全建设整改工作基本流程（管理建设、技术建设） 信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类,68,信息安全法律法规培训,关于推动信息安全等级保护

58、测评体系建设和开展等级测评工作的通知（公信安2010303号,工作目标 提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行 工作内容 积极稳妥地推动等级测评机构建设 确保测评机构的水平和能力符合测评工作要求 督促备案单位开展信息系统等级测评工作 信息安全等级保护测评工作管理规范（试行） 信息系统安全等级测评报告模版（试行） 另有政策：公信安20091487号,69,信息安全法律法规培训,我国信息安全政策的初步成效,依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容 围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典

59、型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等） 其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等,70,十一五：试点 十二五：普及推广,信息安全法律法规培训,我国信息安全政策的后续展望,十一五”期间发布的各项政策均将进入落实期 由电子政务领域向其他领域拓展 关系到国计民生的行业 公共服务类 商业性、一般业务类 尽快形成“统一的”信息安全服务资质管理体制 基于信息安全服务类的标准（政策带动标准，标准支撑政策） 统一安全服务行业的企业资质和人员资质 由“狭义信息安全”向“广义信息安全”延伸 IT服务（外包）的信息安全保障 新技术、新应用下的信息安

60、全保障,71,信息安全法律法规培训,其他一些信息安全政策,国家（电子政务）信息安全政策 关于加强国家重要信息系统灾难备份工作的意见(信安通200411号) 关于进一步加强政府网站安全保障工作的通知（国办秘函20105号） 。 行业类信息安全政策 。 地方性信息安全政策（讲师自选）,72,信息安全法律法规培训,国外信息安全政策简介,国外信息安全国家政策简介（以美国为例） 克林顿政府 IATF V1.0（1998年） V3.1（2002年） V4.0（Now） 2000年：总统国家安全战略报告（首次将信息安全列入） 布什政府 911之后，成立本土安全部（国土安全部）、国家KIP委员会 2002年：