信息安全相关政策解读

1、信息安全相关政策解读课程内容（1）信息安全相关政策国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知识域：信息安全相关政策知识子域：国家信息安全保障总体情况 掌握国家有关政策对信息安全保障工作的总体方针和要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作3国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）意义标志着我国信息安全保障工作有了总体纲领提出要在5年内建设中国信息安全保障体系总体方针和要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全

2、健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。主要原则立足国情，以我为主，坚持技术与管理并重；正确处理安全和发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。4国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快

3、信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制十一五：试点 十二五：普及推广5我国信息安全政策的初步成效、后续展望初步成效依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等后续展望“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管

4、理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障十一五：试点 十二五：普及推广6课程内容（1）信息安全相关政策国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知识域：信息安全相关政策知识子域：信息安全相关国家政策了解信息安全相关国家政策，掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系，熟悉信息安全等级保护相关政策8关于开展信息安全风险评估工作的意见（国信办20065号）信息安全风险评估（基于风险管理）系统分析网

5、络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估相关保障参照标准:信息安全风险评估规范（GB/T 20984-2007）、 信息安全风险管理指南 （GB/Z 24364-2009）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）9关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）明确职责把信息安全和保密工作列入重要议事日程，明确

6、一名主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责强化人员培训组织信息安全和保密基本技能培训，开展信息安全和保密形势分析深入学习宣传信息安全“五禁止”规定完善安全措施和手段管理制度+技术手段加强信息安全检查详见政府信息系统安全检查办法10关于印发国家网络与信息安全事件应急预案的通知（国办函2008168号）背景2003年：国务院成立应急办，颁布了国家突发公共卫生事件应急条例2006年：国家突发公共事件总体应急预案（4大类公共事件） 国家网络与信息安全事件应急预案2007年：制定发布国家突发事件应对法预案要点网络与信息安全事件的分类分级参照标准：信息安全事件分类分级指南（GB/Z 20986）

7、应急流程：预防预警应急处置后期处置参照标准：信息安全事件管理指南（GB/Z 20985）组织体系和应急保障应急队伍、经费、物资、通信、科技。监督管理宣传教育、培训、演练、责任与奖惩11关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）依据和目的国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号三部委联合发文：发改委、公安部、保密局将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档）风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等两类信息系统的工作开展涉密

8、信息系统参照“分级保护”，进行系统测评并履行审批手续非涉密信息系统参照“等级保护”，完成等级测评和风险评估工作，并形成相关报告相关要点对信息安全风险评估机构的指定（1家+3家）信息安全风险评估经费计入该项目总投资投入运行后，应定期开展信息安全风险评估12关于印发政府信息系统安全检查办法的通知（国办发200928号）依据关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）检查范围和检查重点各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重

9、要新闻网站，要作为检查重点。检查方式各单位自查 + 统一组织抽查 + 安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南（工信部协2009168号）2010年度政府信息系统安全检查指南（工信部协2010143号）13政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序（暂行）14工业和信息化部公告（2011年第21号）鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务机构申请信息安全管理体系认证时，应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。鼓励政府部门优先选用通过信息安全管

10、理体系认证的信息技术服务机构提供外包服务。服务机构申请信息安全管理体系认证（含再认证）时，应经工业和信息化部安全审查同意。工业和信息化部负责安全审查的管理工作，包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。附表1：政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表附表2：政府部门信息技术外包服务机构信息安全管理体系认证情况备案表关于加强工业控制系统信息安全管理的通知（工信部协2011451号）工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：充分认识加强工业控制系统信息安

11、全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导15知识域：信息安全相关政策知识子域：信息安全相关国家政策了解信息安全相关国家政策，掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系，熟悉信息安全等级保护相关政策16等级保护中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB 17859-1999计算机信息系统安全保护等级划分准则第一级:用户自主保护级

12、；第二级:系统审计保护级；第三级:安全标记保护级；第四级:结构化保护级；第五级:访问验证保护级；17信息安全等级保护法规政策体系18关于信息安全等级保护工作的实施意见（公字通200466号）信息和信息系统的安全保护等级（及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度实施要求完善标准,分类指导（管理规范和技术标准）科学定级,严格备案（专家评审委员会。三级以上系统备案）建设整改,落实措施（

13、信息系统：已有、新建、改建、扩建）自查自纠,落实要求（运营、 使用单位及其主管部门）建立制度,加强管理（运营、 使用单位及其主管部门）监督检查,完善保护（公安机关重点对第三、第四级系统）19关于印发的通知（公字通200743号）通知是政策，管理办法属于部门规章四部委联合发文：公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级实施与管理具体实施等级保护工作 参照标准：信息系统安全等级保护实施指南确定安全保护等级 参照标准：信息系统安全等级保护定级指南系统建设 参照标准：信息系统安全等级保护基本要求等等级测评 参照标准：信息系统安

14、全等级保护测评要求二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求涉密信息系统按分级保护管理（略）对信息安全等级保护的密码实行分类分级管理（略）20关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）背景根据国家网络与信息安全协调小组2007年的工作部署, 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作定级范围电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经

15、营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；市(地)级以上党政机关的重要网站和办公信息系统；涉及国家秘密的信息系统(涉密信息系统)。工作内容摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）21关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20091429号）工作目标力争在2012年底前完成已定级信

16、息系统(不含涉密信息系统)安全建设整改工作工作内容开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求信息安全等级保护安全建设整改工作指南参照标准：信息系统安全等级保护基本要求信息系统安全建设整改工作基本流程（管理建设、技术建设）信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类）22关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）工作目标提高测评机构能力，规范测评活动，确保信息安全等级保护

17、安全建设整改工作顺利进行 工作内容积极稳妥地推动等级测评机构建设确保测评机构的水平和能力符合测评工作要求督促备案单位开展信息系统等级测评工作 信息安全等级保护测评工作管理规范（试行）信息系统安全等级测评报告模版（试行）另有政策：公信安20091487号 23其他一些信息安全相关国家政策关于加强国家重要信息系统灾难备份工作的意见(信安通200411号)教育部办公厅关于开展信息系统安全等级保护工作的通知（教办厅函200980号）关于进一步加强政府网站安全保障工作的通知（国办秘函20105号）中国云计算安全政策与法律蓝皮书（2011）24课程内容（1）信息安全相关政策国家信息安全保障总体情况信息安全

18、相关国家政策国外信息安全相关政策简介知识域：信息安全相关政策知识子域：国外信息安全相关政策简介了解美国信息安全相关政策概况26国外信息安全政策简介国外信息安全国家政策简介（以美国为例）克林顿政府IATF V1.0（1998年） V3.1（2002年） V4.0（Now）2000年：总统国家安全战略报告（首次将信息安全列入）布什政府911之后，成立本土安全部（国土安全部）、国家KIP委员会2002年：国家保障数字空间安全策略、国家安全战略报告2003年：网络空间安全国家战略计划奥巴马政府上任之初：60天信息安全评估项目2009年：美国网络安全评估2010年：网络战司令部正式运行国内外信息安全国家政策的差距分析体系性和持续性、关注重点、执行力度.27奥巴马政府的新举措上台不久就亲自主导了一个60天的信息安全评估