版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、学习时长:80分钟制作时间:2015/05/19我国信息安全法律法规及电力行业制度要求中国南方电网有限责任公司1国家信息安全法治总体情况合规概述信息安全法规与政策课程内容目录 中国南方电网有限责任公司2354信息安全标准55电力行业信息安全推进情况1 国家信息安全法治总体情况我国信息安全法律法规及电力行业制度要求1.1 我国信息安全法律法规体系框架1.2 我国信息安全法治建设进程1.3 国家信息安全保障体系国家信息安全法治总体情况中国南方电网有限责任公司1.1 我国信息安全法律法规体系框架法律法规地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政 法规地方性法规地方政府规章部门 规章
2、计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例中办27号文公安部(等级保护相关规定)发改委()国新办(互联网新闻信息服务)保密局(保密等).国务院各部委宪法、刑法(部分条款)国家安全法(部分条款)保守国家秘密法电子签名法.中国南方电网有限责任公司1.2 我国信息安全法治建设进程国家信息安全法治总体情况通讯保密安全保守国家秘密法(1989)(2010年修订)中央关于加强密码工作的决定计算机信息系统安全保护条例(草案)-86计算机系统安全计算机信息系统 安全保护条例(1994)计算机信息系统安全专用产品检测和销售许可证管理办法-97 计算机信息网络国际联网安全保护管理办法-97计
3、算机信息系统保密管理暂行规定-98商用密码管理条例-99网络信息系统安全关于维护互联网安全的决定(2000)互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定全面信息安全保障国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号2005年9月国信办文件 关于转发电子政务信息安全等级保护实施指南的通知 国信办200425号2006年1月四部委会签 关于印发信息安全等级保护管理办法的通知 公通字20067号2005年 公安部标准基本要求定级指南实施指南测评准则2004年11月四部委会签关于信息安全等级保护工作的实施意见公通字200466号国家级技术标准国
4、家级政策文件2007年8月电监会签发关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息200734号) 行业级政策文件1.3 国家信息安全保障体系国家信息安全法治总体情况信息安全技术与产业支撑平台信息安全基础设施信息安全法律法规与政策环境信息安全人才培训教育体系信息安全组织机构及管理体系信息安全标准与规范1.3 国家信息安全保障体系-信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为,并对其行为进行相应的处罚等信息安全不再只是个技术问题,而更
5、多地是个商业和法律问题-安全漏洞、信息犯罪的本质?信息安全产业的逐渐形成和成熟,需要必要的规范保护国家信息主权和社会公共利益是信息安全立法的首要目标狭义的信息安全 广义的信息安全国家信息安全法治总体情况1.3 国家信息安全保障体系-我国信息安全法治建设的初步成效、展望初步成效法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善;与信息安全相关的司法和行政管理体系迅速完善;法律少而规章等偏多,缺乏信息安全的基本法;法律法规的内容篇幅偏小,行为规范较简单展望需要一部信息安全的基本法国家信息安全法(或先出台信息安全条例);信息安全的基本原则与基本制度;信息安全的主要核心内容;进一步完善各领域
6、的信息安全专门法;信息安全的监管模式和认证体系(面向信息安全各类主体和客体);信息安全常态管理(等级保护制度等);信息安全应急管理(预警、监测、通报和应急处理等);网络与信息系统全生命周期的信息安全;特定领域的信息安全国家信息安全法治总体情况2 合规概述我国信息安全法律法规及电力行业制度要求2.1 什么是合规2.2 合规与遵守法律的区别2.3 相关法规分析合规概述2.1 什么是合规-定义及目标合规简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内,等级保护、计算机安全产品销售许可、密码管理等,是典型的合规性要求。合规管理的目标是为了满足监管要求,避免在企业自身发展过程中
7、因与法律、规则和准则不一致而可能遭受法律制裁、监管机构处罚以及财务与声誉的损失,实现稳健经营。合规概述2.1 什么是合规-法律与法规的区别制定主体不同法律的制定者是全国人大;法规可以是多个主体。效力和影响力不同法律的效力和影响力远大于法规。适用范围不同法律一般是全国通用;法规分全国范围或某一单位区域适用。承担的责任不同违反法律须承担相应的刑事、民事责任。合规概述2.2 合规与遵守法律的区别法律合规法律是国家意志的统一体现,有严密的逻辑体系,有不同的位阶和效力合规是遵守法律、监管规定、国际惯例和事物标准,不同时期不同的要求法律都可以文字形式表现出来合规以判别、评估、咨询、监控并报告体现违法犯罪的
8、后果有明确规定,是一种“硬约束”不合规行为的后果,即包含“软约束”又包含“硬约束”。合规是遵循法律法规、监管要求、规则、自律性组织制定的有关准则、整理融合后适用于企业自身业务活动的行为准则。合规概述2.3 相关法规分析Cobit 5国外标准国内标准行业要求内部制度合规库ITILISO27001指标评价实施GBT 22239等级保护基本要求.GBT 284489 等级保护测评要求ISO27001信息安全管理体系要求能源局电力行业信息安全检查方案中央企业商业秘密信息系统安全技术指引电力行业等级保护基本要求中央企业信息化水平评价指标体系信息系统应用开发安全技术规范信息安全工作执行标准要求IT主流设备
9、安全基线体系要求检查落实3 信息安全法规与政策我国信息安全法律法规及电力行业制度要求3.1 信息安全法规3.2 信息安全政策信息安全法规与政策3.1 信息安全相关法规信息安全相关国家法律了解中华人民共和国宪法有关信息安全的内容了解中华人民共和国刑法有关信息安全犯罪的规定了解中华人民共和国治安管理处罚法有关信息安全的内容掌握中华人民共和国保守国家秘密法的主要内容掌握全国人民代表大会常务委员会关于维护互联网安全的决定的内容理解中华人民共和国电子签名法的意义和作用了解中华人民共和国侵权责任法有关信息安全的内容信息安全法规与政策3.1 信息安全相关法规-信息安全相关国家法律公民的通信自由和通信秘密受法
10、律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。宪法 第二章 公民的基本权利和义务 第40条宪法中的有关规定法律信息安全法规与政策3.1 信息安全相关法规-信息安全相关国家法律285条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。286条:破坏计算机信息系统罪。287条:利用计算机实施犯罪的提示性规定。253条:出售、非法提供公民个人信息罪;非法获取公民个人信息罪刑法 第六章 妨碍社会管理秩序罪 第
11、一节 扰乱公共秩序罪 第285、286、287条刑法中的有关规定(1)法律刑法第四章 侵犯公民人身权利、民主权利罪 第253条信息安全法规与政策3.1 信息安全相关法规-信息安全相关国家法律有下列行为之一的,处以治安管理处罚:(一)违反国家规定,侵入计算机信息系统,造成危害的;(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。治安管理处罚法 其他规定(与非法信息传等播相关):第
12、42、47、68条治安管理处罚法 第三章 违反治安管理的行为和处罚 第一节 扰乱公共秩序的行为和处罚 第29条治安管理处罚法中的有关规定法律信息安全法规与政策3.1 信息安全相关法规-信息安全相关国家法律主旨(总则)目的:保守国家秘密,维护国家安全和利益。国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。国家秘密的范围:国家事务、国防武装、外交外事、政党秘密;国民经济和社会发
13、展、科学技术;维护国家安全的活动、经保密主管部门确定的事项等国家秘密的密级绝密-最重要的国家秘密,保密期限不超过30年;机密-重要的国家秘密,保密期限不超过20年;秘密-一般的国家秘密,保密期限不超过10年。保守国家秘密法(保密法)(1)法律信息安全法规与政策3.1 信息安全相关法规-信息安全相关国家法律法律责任(第48条 人员处分及追究刑责)(一)非法获取、持有国家秘密载体的;(二)买卖、转送或者私自销毁国家秘密载体的;(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;(五)非法复制、记录、
14、存储国家秘密的;(六)在私人交往和通信中涉及国家秘密的;(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单
15、位予以处理。保守国家秘密法(保密法)(2)法律信息安全法规与政策3.1 信息安全相关法规-信息安全相关国家法律全国人大关于维护互联网安全的决定背景法律约束力法律责任 互联网日益广泛的应用,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。 互联网的运行安全(侵入、破坏性程序、攻击、中断服务等) 国家安全和社会稳定(有害信息、窃取/泄露国家秘密、煽动、非法组织等) 市场经济秩序和社会管理秩序(销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等) 个人、法人和其他组织的人身、财产等合法
16、权利(侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等) 构成犯罪的,依照刑法有关规定追究刑事责任 构成民事侵权的,依法承担民事责任 尚不构成犯罪的:治安管理处罚 / 行政处罚 / 行政处分或纪律处分法律信息安全法规与政策3.1 信息安全相关法规-信息安全相关国家法律电子签名法意义目的适用范围 2005年4月1日正式施行的电子签名法,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。 民事活动中的合同或者其他文件、单证等文书。 电子签
17、名和数据电文不适用的文书(国际惯例):涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。法律信息安全法规与政策3.1 信息安全相关法规-信息安全相关国家法律侵权责任法目的适用范围关于责任主体的特殊规定 为保护民事主体的合法权益,明确侵权责任,预防并制裁侵权行为,促进社会和谐稳定,制定本法。 侵害民事权益,应当依照本法承担侵权责任。(本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。)第36条网络用
18、户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。 网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。法律信息安全法规与政策3.1 信息安全相关法规信息安全相关行政法规和部门规章了解信息安全相关行政法规,掌握涉及信息安全的相关内容了解信息安全相关部门规章,掌握涉及信息安全的相关内容信息安全法规与政策3.1 信息安全相关法规-信息安全相关行政
19、法规和部门规章行政法规计算机信息系统安全保护条例计算机信息系统安全保护主管部门保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。公安部主管全国计算机信息系统安全保护工作(含安全监督职权)。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。保护制度计算机信息系统实行安全等级保护。使用单位应当建立健全安全管理制度。安全专用产品(硬件、软件)的销售实行许可证制度。是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息
20、进行采集、加工、存储、传输、检索等处理的人机系统。信息安全法规与政策3.1 信息安全相关法规-信息安全相关行政法规和部门规章行政法规商用密码管理条例商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术属于国家秘密。主管部门国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家对商用密码产品的科研、生产、销售和使用实行专控管理。管理要点商密产品由国家密码管理机构分别指定单位进行科研、生产和检测;商密产品销售单位应有国家密码管理机构颁发的商用密码产品销售许可证;必须如实登记备案直接使用商用密码产品的用户信息和产品用途;不得使用自行研制的或者境
21、外生产的密码产品;不得转让其使用的商用密码产品(含故障维修、报废销毁)。信息安全法规与政策3.1 信息安全相关法规-信息安全相关行政法规和部门规章计算机信息系统保密管理暂行规定适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。主管部门国家保密局主管全国计算机信息系统的保密工作。管理要点涉密系统-保密设施、保密措施、访问控制、数据保护等涉密信息-密级标识、物理隔离等涉密媒体-各类计算机媒体(含打印输出等)涉密场所-控制区、防电磁信息泄漏、其他物理安全等系统管理-领导负责制、管理制度、保密检查、人员培训和考核等。部门规章信息安全法规与政策3.1 信息安全相关法规-信息安全相关
22、行政法规和部门规章国家电子政务工程建设项目管理暂行办法验收评价项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定, 对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。设计方案在“项建和可研”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”部门规章信息安全法规与政策3.1 信息安全相关法规国外信息安全相关法规简介国外信息安全法律法规简介(以美国为例)信息自由法(Freedom of
23、Information Act of 1966,FOIA)爱国者法(USA Patriot of Act of 2001)联邦信息安全管理法案(Federal Information Security Management Act of 2002, FISMA)属于电子政务法(the E-Government Act of 2002)的第三部分公众公司会计改革与投资者保护法,又名萨班斯-奥克斯利法(Sarbanes-Oxley Act of 2002)信息安全法规与政策3.1 信息安全相关法规-国外信息安全相关法规简介以美国为例信息自由法爱国者法联邦信息安全管理法案美国对政府信息进行立法保护的
24、首要原则是向公众公开原则 (也叫信息公开原则),是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由,但也需要保障国家的安全,因此,该法利用“例外”的立法方式,将需要保护的信息加以列举是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律,也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动,使美国人民能够生活在安全的环境中。由于该法赋予联邦政府的权力过大,引起美国国内民权人士的担忧,并产生诉案。该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查
25、给出了“信息安全”的定义对国家信息安全管理职责的授权国家标准与技术局(NIST)为联邦政府使用的系统制定安全标准与指南管理与预算办公室(OMB)主任对安全政策、原则、标准、指南等的制定、执行(包括遵守)情况进行监督法律信息安全法规与政策3.2 信息安全相关政策国家信息安全保障总体情况掌握国家有关政策对信息安全保障工作的总体方针和要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作信息安全法规与政策3.1 信息安全相关政策-国家信息安全保障总体情况我国信息安全政策的初步成效、后续展望初步成效后续展望依托2003年的27号文(总体纲领),明确了信
26、息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的信息安全政策(风险评估、等级保护、电子政务类、应急预案等)其他领域:灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准(政策带动标准,标准支撑政策)统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务(外包)的信息安全保障新技术、新应用下的信息安全保障信息安全法规与政策3.2 信息安全相关政策-
27、国家信息安全保障总体情况国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号) 意义总体方针和要求主要原则标志着我国信息安全保障工作有了总体纲领提出要在5年内建设中国信息安全保障体系坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。立足国情,以我为主,坚持技术与管理并重;正确处理安全和发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。信息安全法规
28、与政策3.2 信息安全相关政策信息安全相关国家政策了解信息安全相关国家政策,掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系,熟悉信息安全等级保护相关政策信息安全法规与政策3.2 信息安全相关政策-信息安全相关国家政策关于开展信息安全风险评估工作的意见(国信办20065号)信息安全风险评估(基于风险管理)基本工作要求相关保障应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维)定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估参照标准:信息安全风险评估规范(GB/T 20984-2007)、 信息安全风险管理指南 (GB/Z 24364-2009)服务资质对于涉
29、及国计民生的基础网络和重要信息系统的风险评估技术服务,要由国家专控的队伍来承担系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施信息安全法规与政策3.2 信息安全相关政策-信息安全相关国家政策关于加强政府信息系统安全和保密管理工作的通知(国办发200817号)明确职责强化人员培训完善安全措施和手段组织信息安全和保密基本技能培训,开展信息安全和保密形势分析深入学习宣传信息安全“五禁止”规定管理制度+技术手段加强信息安全检查详见政府信息系统安全检查办法把信息安全和保密工作列入重要议事日程,明确一名主管领导谁主管谁负责、
30、谁运行谁负责、谁使用谁负责信息安全法规与政策3.2 信息安全相关法规-信息安全相关国家政策关于印发国家网络与信息安全事件应急预案的通知(国办函2008168号)背景2003年:国务院成立应急办,颁布了国家突发公共卫生事件应急条例2006年:国家突发公共事件总体应急预案(4大类公共事件) 国家网络与信息安全事件应急预案2007年:制定发布国家突发事件应对法预案要点网络与信息安全事件的分类分级参照标准:信息安全事件分类分级指南(GB/Z 20986)应急流程:预防预警应急处置后期处置参照标准:信息安全事件管理指南(GB/Z 20985)组织体系和应急保障;应急队伍、经费、物资、通信、科技。监督管理
31、宣传教育、培训、演练、责任与奖惩信息安全法规与政策3.2 信息安全相关政策-信息安全相关国家政策关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)依据和目的风险评估的主要内容两类信息系统的工作开展分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等涉密信息系统参照“分级保护”,进行系统测评并履行审批手续非涉密信息系统参照“等级保护”,完成等级测评和风险评估工作,并形成相关报告相关要点对信息安全风险评估机构的指定(1家+3家)信息安全风险评估经费计入该项目总投资投入运行后,应定期开展信息安全风险评估)国家电子
32、政务工程建设项目管理暂行办法-国家发改委令2007第55号三部委联合发文:发改委、公安部、保密局将“信息安全风险评估”作为项目验收的重要内容(按要求提交一系列文档)信息安全法规与政策3.2 信息安全相关法规-信息安全相关国家政策关于印发政府信息系统安全检查办法的通知(国办发200928号)依据关于加强政府信息系统安全和保密管理工作的通知(国办发200817号)检查范围和检查重点各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等,每半年要进行一次全面的安全检查。国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站,要作为检查重点
33、。检查方式各单位自查 + 统一组织抽查 + 安全检测(按需)工信部负责协调、指导、监督,公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南(工信部协2009168号)2010年度政府信息系统安全检查指南(工信部协2010143号)信息安全法规与政策3.2 信息安全相关法规-信息安全相关国家政策工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为切实加强工业控制系统信息安全管理,经国务院同意,现就有关事项通知如下:充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步
34、加强工业控制系统信息安全工作的组织领导关于加强工业控制系统信息安全管理的通知(工信部协2011451号)信息安全法规与政策3.2 信息安全相关法规-信息安全相关国家政策GB 17859-1999计算机信息系统安全保护等级划分准则第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;等级保护 中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令)信息安全法规与政策3.2 信息安全相关政策-信息安全相关国家政策(信息安全等级保护法规政策体系)信息安全法规与政策3.2 信息安全相关法规-信息安全相关国家政策关于印发的通知
35、(公字通200743号)通知是政策,管理办法属于部门规章四部委联合发文:公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级实施与管理具体实施等级保护工作 参照标准:信息系统安全等级保护实施指南确定安全保护等级 参照标准:信息系统安全等级保护定级指南系统建设 参照标准:信息系统安全等级保护基本要求等等级测评 参照标准:信息系统安全等级保护测评要求二级以上系统的备案要求(由公安机关颁发备案证明)三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求涉密信息系统按分级保护管
36、理(略)对信息安全等级保护的密码实行分类分级管理(略)信息安全法规与政策3.2 信息安全相关法规-信息安全相关国家政策关于信息安全等级保护工作的实施意见(公字通200466号)信息和信息系统的安全保护等级(及其适用范围)第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度实施要求完善标准,分类指导(管理规范和技术标准)科学定级,严格备案(专家评审委员会。三级以上系统备案)建设整改,落实措施(信息系统:已有
37、、新建、改建、扩建)自查自纠,落实要求(运营、 使用单位及其主管部门)建立制度,加强管理(运营、 使用单位及其主管部门)监督检查,完善保护(公安机关重点对第三、第四级系统)信息安全法规与政策3.2 信息安全相关政策国外信息安全相关政策简介了解美国信息安全相关政策概况信息安全法规与政策3.2 信息安全相关法规-信息安全相关国家政策国外信息安全国家政策简介(以美国为例)国外信息安全国家政策简介(以美国为例)克林顿政府IATF V1.0(1998年) V3.1(2002年) V4.0(Now)2000年:总统国家安全战略报告(首次将信息安全列入)布什政府911之后,成立本土安全部(国土安全部)、国家
38、KIP委员会2002年:国家保障数字空间安全策略、国家安全战略报告2003年:网络空间安全国家战略计划奥巴马政府上任之初:60天信息安全评估项目2009年:美国网络安全评估2010年:网络战司令部正式运行4 信息安全标准体系我国信息安全法律法规及电力行业制度要求4.1 标准化概述4.2 标准介绍4.3 信息安全检查评估信息安全法规与政策4.1 标准化概述信息安全标准化概念了解标准和标准化的基本概念和作用信息安全法规与政策4.1 标准化概述-信息安全标准化概念标准和标准化相关基本概念标准为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。标准化(G
39、B/T 20000.1-2002)为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动。国际标准由国际标准化组织或国际标准组织通过并公开发布的标准国家标准由国家标准机构通过并公开发布的标准国际标准化组织(ISO)其成员资格向每个国家的有关国家机构开放的标准化组织国家标准机构在国家层面上承认的,有资格成为相应的国际和区域标准组织的国家成员的标准机构(中国国家标准化管理委员会)信息安全法规与政策4.1 标准化概述-信息安全标准化概念标准化的特点、原则;标准的作用及代码特点标准化的对象:共同的、可重复的事物标准化的动态性标准化的相对性标准化的效益原则简化、统一、协调、
40、优化作用标准是进行贸易的基本条件标准能够提高企业的经济效益标准能够提高国民经济效益代码GB 强制性国家标准GB/T 推荐性国家标准GB/Z 国家标准化指导性技术文件标准能打破技术壁垒,标准也能成为新的技术壁垒信息安全法规与政策4.1 标准化概述信息安全标准化组织了解国际信息安全标准化组织及其工作了解国外典型国家信息安全标准化组织及其工作熟悉我国信息安全标准化组织及其工作信息安全法规与政策4.1 标准化概述-信息安全标准化组织国际信息安全标准化组织 ISO/IEC JTC1信息安全管理体系工作组密码与安全机制工作组安全评估准则工作组安全控制与服务工作组身份管理与隐私技术工作组国际标准提案ISMS
41、审核指南国际标准提案三元实体鉴别国际标准信息安全事件管理合作编辑国际标准提案基于三元实体鉴别的访问控制方法信息安全法规与政策4.1 标准化概述-信息安全标准化组织美国标准化组织ANSINCITS-T4 制定IT安全技术标准X9 制定金融业务标准X12 制定商业交易标准 (EDI)NIST负责联邦政府非密敏感信息FIPSDOD负责涉密信息NSA国防部指令(DODDI)(如TCSEC)IEEESILSP1363信息安全法规与政策4.1 标准化概述-信息安全标准化组织我国标准化组织 1984年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会 2002年4月,为加强信息安全标准的协调工作,国
42、家标准委决定成立全国信息安全标准化技术委员会(信安标委,TC260),由国家标准委直接领导,对口ISO/IEC JTC1 SC27;秘书处设在中国电子技术标准化研究所;委员会由30多个部门和单位的49名领导和专家组成目前共有工作组成员单位165家,其中企业120家TC260各部门的职责秘书处:是委员会的常设办事机构,负责委员会的日常事务工作信息安全标准体系与协调工作组(WG1):研究信息安全标准体系、需求;跟踪国际标准发展动态;提出新工作项目及设立新工作组的建议;协调各工作组项目涉密信息系统安全保密标准工作组(WG2):研究提出涉密信息系统安全保密标准体系;制定涉密保密相关标准密码技术标准工作
43、组(WG3):研究提出商用密码技术标准体系;制定商用密码相关标准鉴别与授权工作组(WG4):研究提出鉴别与授权标准体系;制定鉴别与授权相关标准信息安全评估工作组(WG5):研究提出测评标准体系;制定测评相关标准通信安全标准工作组(WG6):研究提出通信安全标准体系;制定通信安全相关标准信息安全管理工作组( WG7):研究提出信息安全管理标准体系;制定信息安全管理相关标准信息安全法规与政策4.2 标准介绍信息安全国家标准了解我国信息安全标准体系框架掌握信息安全等级保护标准体系,熟悉信息安全等级保护相关标准信息安全法规与政策4.2 标准介绍-信息安全标准体系框架信息安全标准体系 信息安全标准体系是
44、由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准制订/修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学化合理化的手段;是一幅现有、应有和预计制定的信息安全标准的蓝图,并随着科学技术的发展不断地完善和更新。我国信息安全标准体系,是在总结各工作组对本领域标准体系研究成果的基础上形成的,是全国安全标准化技术委员会各工作组共同的工作成果。是在跟踪分析了国际信息安全标准的发展动态和国内信息安全标准需求的基础上,提出的标准体系框架和标准体系表。我国信息安全技术标准从总体上划分为六大类,每类按照标准所涉及的主要内容细分若干小类。信息安全法规与政策4.2 标准介绍-信息安全等
45、级保护标准体系等级保护标准体系(10大标准)基础类计算机信息系统安全保护等级划分准则GB 17859-1999信息系统安全等级保护实施指南GB/T 25058-2010 应用类定级:信息系统安全保护等级定级指南GB/T 22240-2008 建设:信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求GB/T 25070-2010 测评:信息系统安全等级保护测评要求 GB/T 28448-2012 信息系统安全等级保护测评过程指南 GB/T 28449-2012管理:信息系统安全管理要求GB/T 20
46、269-2006 信息系统安全工程管理要求GB/T 20282-2006 信息安全法规与政策4.2 标准介绍-信息安全等级保护标准体系等级保护标准体系(其他标准)技术类GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求GB/T 20270-2006 信息安全技术 网络基础安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求其他信息产品、信息安全产品相关标准.其他类GB/T 20984-2007 信息安全技术 信息安全风险评估规范GB/Z 24364-2009信息安全技术 信息安
47、全风险管理指南GB/T 24363-2009信息安全技术 信息安全应急响应计划规范GB/Z 20285-2007 信息安全技术 信息安全事件管理指南GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范信息安全法规与政策4.2 标准介绍信息安全国外标准了解国际信息安全标准体系了解国外典型国家信息安全标准体系了解与自身工作密切相关的信息安全国际标准信息安全标准体系4.2 标准介绍-信息安全国外标准国际信息安全标准体系信息安全管理体系标准密码技术与安全机制标准安全评价准则标准安全控制与服务标准身份管理与隐私保护技术标
48、准词汇标准要求标准指南标准相关标准为实现保密性、完整性和可用性而开发的各种安全机制标准安全评价标准安全功能和保证规范针对潜在/显现信息安全问题的标准针对已知信息安全问题的标准针对信息安全违反和损害的标准身份管理相关标准生物识别相关标准隐私保护相关标准ISO 27000ISO 27001ISO 27006ISO 27002ISO 27003ISO 18033ISO 19772.ISO 15408ISO 18045 .ISO 19790ISO 24759 .ISO 27032ISO 27033ISO 27037ISO 24760ISO 29144ISO 29100等级保护标准体系(其他标准)信息安
49、全标准体系4.2 标准介绍-信息安全国外标准Security Control Monitoring安全控制措施监视Security Categorization安全分类Security Control Selection安全控制措施选择Security Control Refinement安全控制措施改进Security Control Documentation安全控制措施文档编制Security Control Implementation安全控制措施实施Security Control Assessment安全控制措施评估Security Authorization安全授权 起始点风险管
50、理SP 800-37/SP 800-53AFIPS 199/SP 800-60FIPS 200/SP 800-53SP 800-53/SP 800-30SP 800-18SP 800-70SP 800-53ASP 800-37国外典型国家信息安全标准体系框架-SP800信息安全法规与政策4.2 标准介绍-信息安全国外标准ISO 27000标准族ISO 27000标准族、SP 800系列标准介绍参见CISP0301信息安全管理体系。ISO 27001标准的详细内容参见CISP0301信息安全管理体系。ISO 27002标准的详细内容参见CISP0303信息安全管基本措施、 CISP0304信息安
51、全管重要管理过程。信息安全法规与政策4.3 信息安全检查评估安全技术评估标准发展历史 了解安全技术评估标准发展过程理解GB/T18336信息技术安全性评估准则(CC)的特点信息安全法规与政策4.3 信息安全检查评估-安全标准的发展安全技术评估标准发展历史ITSEC 1991CC 1.01996ISO15408 1999CC 2.01998GB/T 18336 2001CD1997GIB 2646 1996GB 17859 1999ISO15408 2005TCSEC 1985FC 1992CTCPEC 1993GB/T 18336 2008FCD1998信息安全法规与政策4.3 信息安全检查评
52、估-国外安全评测标准美国的安全评测标准(TCSEC)、欧洲的安全评测标准(ITSEC)美国的安全评测标准(TCSEC)1970年由美国国防科学委员会提出。1985年公布。主要军用,延用至民用。安全级从高到低分A、B、C、D四级,级下再分小类(A1、B3、B2、B1、C2、C1、D)分级分类主要依据四个准则:安全策略、可控性、保证能力、文档局限性集中考虑数据保密性,而忽略了数据完整性、系统可用性等;将安全功能和安全保证混在一起安全功能规定得过为严格,不便于实际开发和测评欧洲的安全评测标准(ITSEC)以超越TCSEC为目的,将安全概念分为功能与功能评估两部分。功能分F1-F10共10级。15级对
53、应于TCSEC的D到A。610级加上了以下概念:F6:数据和程序的完整性 F7:系统可用性 F8:数据通信完整性 F9:数据通信保密性F10:包括机密性和完整性的网络安全评估准则分为6级:E1E6与TCSEC的不同安全被定义为保密性、完整性、可用性功能和质量/保证分开对产品和系统的评估都适用,提出评估对象(TOE)的概念产品:能够被集成在不同系统中的软件或硬件包;系统:具有一定用途、处于给定操作环境的特殊安全装置信息安全法规与政策4.3 信息安全检查评估-国外安全评测标准加拿大的评测标准(CTCPEC)、美国联邦准则(FC) 加拿大的评测标准(CTCPEC)1989年公布,专为政府需求而设计与
54、ITSEC类似,将安全分为功能性需求和保证性需要两部分功能性要求分为四个大类:a机密性 b完整性 c可用性 d可控性在每种安全需求下又分小类05级,表示安全性上的差别美国联邦准则(FC)对TCSEC的升级1992年12月公布引入了“保护轮廓(PP)”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分分级方式与TCSEC不同,吸取了ITSEC、CTCPEC中的优点供美国政府用,民用和商用信息安全法规与政策4.3 信息安全检查评估-国外安全评测标准通用准则(CC )国际标准化组织统一现有多种准则的努力结果;1999年正式成为国际标准ISO/IEC 15408;充分突出“保护轮廓”,将评估过
55、程分“功能”和“保证”两部分;CC 基于风险管理理论,对安全模型、安全概念和安全功能进行了全面系统描绘,强化了评估保证;是目前最全面的评价准则。国际上认同的表达IT安全的体系结构,一组规则集一种评估方法,其评估结果国际互认通用的表达方式,便于理解灵活的架构,可以定义自己的要求扩展CC要求通用评估方法(CEM)是CC标准出版后,为了在评估中应用CC而提供的一种通用方法。是与CC配套的文档。信息安全法规与政策4.3 信息安全检查评估信息安全技术评估准则了解评估标准体系了解信息技术产品安全性评估的基本过程信息安全法规与政策4.3 信息安全检查评估-信息安全技术评估准则GB/T 18336(ISO 1
56、5408)GB/T 18336-2008信息技术 安全技术 信息技术安全性评估准则(idt ISO/IEC 15408:2005)GB/T 18336.1-2008:简介和一般模型GB/T 18336.2-2008:安全功能要求GB/T 18336.3-2008:安全保证要求目标读者TOE(评估对象)的客户TOE的开发者TOE的评估者其他系统管理员和系统安全管理员内部和外部审计员安全架构师和设计师认可者评估发起者评估管理机构ISO 15408-1:2009ISO 15408-2:2008ISO 15408-3:2008信息安全法规与政策4.3 信息安全检查评估-信息安全技术评估准则评估中的关键
57、概念评估对象TOE(Target of Evaluation):产品、系统、子系统保护轮廓PP (Protection Profile) :表达一类产品或系统的用户需求;组合安全功能要求和安全保证要求;安全标准(示例:包过滤防火墙安全技术要求(GB 18019)安全目标ST(Security Target):某一款产品对某一PP要求的具体实现;实用方案功能(Function):规范IT产品和系统的安全行为,应做的事保证(Assurance):对功能产生信心的方法组件(Component):安全要求不能再分的构件块包(Package):若干功能或保证要求的组合评估保证级EAL(Evaluatio
58、n Assurance Level):预定义的保证包;公认的广泛适用的一组保证要求;EAL1EAL7信息安全标准体系4.3 信息安全检查评估-信息安全评估技术准则评估PPPP评估 结果PP分类已评估 的PP评估STST评估 结果评估TOETOE评估结果证书分类已评估 的TOE评估流程5 电力行业信息安全推进情况我国信息安全法律法规及电力行业制度要求5.1 “电监信息200734号”5.2 “国能安全2014317号”5.3 (发改委14号令)5.1关于开展电力行业信息系统安全等级保护定级工作的通知 “电监信息200734号”电力行业信息安全推进情况必要性背景及目的 为贯彻落实公安部、国家保密局
59、、国家密码管理局、国务院信息化工作办公室关于印发的通知(公通字200743号)和关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)要求,提高电力行业网络和信息系统的信息安全保护能力和水平,定于2007年8月至10月在电力行业组织开展信息系统安全等级保护定级工作。2007年11月,国家电监会下发了电力行业信息系统安全等级保护定级工作指导意见。实施具体步骤包括:(1)开展定级备案;(2)通过等级保护测评,发现与国家技术、管理要求的不符合项;(3)依据总体方案、等级保护不符合项,编制本单位等级保护实施方案;(4)根据等级保护实施方案开展建设,具体包括:安全域划分、与实现,产
60、品采购与部署,安全加固,应用改造,等级保护管理建设;(5)等级保护测评验证建设效果。 电力工业的特点决定了电力信息安全不仅具有一般计算机信息网络信息安全的特征,而且还具有电力实时运行控制系统信息安全的特征。电力系统的信息安全是一项多领域、复杂的大型系统工程。5.2 电力行业网络与信息安全管理办法“国能安全2014317号”电力行业信息安全推进情况依据目标 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。原则 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 《高血压规范化诊治》课件
- 2024年度食用菌产业投资基金销售合同3篇
- 2025年南阳货运上岗证模拟考试题
- 2025年洛阳货运考试题库
- 四川省遂宁市射洪市射洪中学校2023-2024学年八年级上学期10月月考物理试题
- 2024年版高层管理人员岗位责任合同
- 任务4:整本书阅读梳理知识点
- 2024年时尚新品发布摊位租赁合同新品推广合作协议3篇
- 2024年版工地建筑工人工期合同
- 2025房地产买卖合同逐条详解
- 中华传统文化与人生修养智慧树知到期末考试答案2024年
- 小班新生家长会活动方案及流程
- (正式版)JBT 3135-2024 镀银圆铜线
- ASME-第九卷焊接和钎焊评定标准-资料
- 2024年度人力资源管理的核心招聘与配置
- 2024年安徽芜湖市特种设备监督检验中心编外招聘6人历年高频考题难、易错点模拟试题(共500题)附带答案详解
- 《银行柜面业务处理》课件
- 浙教版劳动二年级上册全册教案
- 河北省对口升学农林类农学方向考核试题及答案
- 心衰的健康宣教内容
- 2024年学习解读廉政廉洁专题教育课件
评论
0/150
提交评论