CIS信息安全法规政策和标准-v

信息安全法规、政策和标准培训机构名称讲师姓名版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定课程内容（2）3信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准课程内容（3）4知识体知识域知识子域信息安全道德规范信息技术通行道德规范信息安全从业人员道德规范CISP职业道德准则计算机使用道德规范互联网使用道德规范

信息安全从业人员基本道德规范知识域：信息安全法规知识子域：我国信息安全法规体系框架了解信息安全法治建设的意义了解我国信息安全法律法规体系框架5信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全事物中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚信息安全不再只是个技术问题，而更多地是个商业和法律问题信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范6我国的多级立法体系结构7多级立法我国信息安全法律法规体系框架在多级立法的体制下，我国已经先后颁布了一些包含信息安全相关内容的法律、法规、规章等8法律行政法规地方性法规地方政府规章部门规章全国人大及其常委会国务院地方人大及常委会地方人民政府宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法...计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例...公安部（安全专用产品等）原信产部（互联网域名等）国新办（互联网新闻信息服务）保密局（保密等）...国务院各部委北京市信息化促进条例、辽宁省计算机信息系统安全管理条例...北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法

...《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）我国信息安全法治建设的发展历程通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法（1989）（2010年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86计算机信息系统

安全保护条例（1994）计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全的决定（2000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-009知识域：信息安全法规知识子域：信息安全相关国家法律了解信息保护相关法律理解国家秘密的概念、基本范围和密级划分，以及保护国家秘密相关法律的要求理解商业秘密的概念、基本范围，以及保护商业秘密相关法律的要求理解个人信息的概念、基本范围，以及保护个人信息相关法律的要求理解网络违法犯罪的概念，了解打击网络违法犯罪相关法律了解在保护国家秘密、维护公共安全、规范电子签名行为等方面，我国从法律层面明确的信息安全相关工作的主管/监管机构及其具体职权10我国信息安全全法律分类我国信息安全全法律分类信息保护相关法律打击网络违法犯罪相关法律信息安全管理相关法律11信息保护相关关法律信息保护相关关法律保护国家秘密密相关法律《保守国家秘密法》、《刑法》、《全国人民代表表大会常务委委员会关于维维护互联网安安全的决定》等保护商业秘密密相关法律《反不正当竞争法法》、《合同法》、《劳动法》、《刑事诉讼法法》、《民事事诉讼法》等保护个人信息息相关法律《宪法》、《居民身份证证法》、《护照法》、《民法通则》》、《全国人民代代表大会常务务委员会关于于维护互联网网安全的决定定》、《全国人民代代表大会常务务委员会关于于加强网络信信息保护的决决定》等12国家秘密国家秘密13国家安全和利益在一定时间内只限一定范围的人员知悉依照法定程序确定国家秘密的基基本范围主要包括产生于政政治、国防军军事、外交外外事、经济、、科技和政法法等领域的秘秘密事项国家事务重大决策策中的秘密事项国防建设和武装力力量活动中的的秘密事项外交和外事活动中中的秘密事项项以及对外承承担保密义务务的秘密事项国民经济和社会发展中中的秘密事项科学技术中的秘密事项维护国家家安安全全活活动动和和追追查查刑刑事事犯犯罪罪中中的的秘秘密密事项项党政政秘密密中中符符合合上上述述各各项项内内容容的的事项项其他他经国国家家保保密密行行政政管管理理部部门门确确定定的的秘秘密密事项14国家秘秘密的的保密密期限限国家秘秘密的的保密密期限限，除除另有有规定定外绝密级不超超过三十年年机密级不不超过过二十年年秘密级不超超过十年另有规定主要是指在在保密密事项项范围围中明明确规规定某某类国国家秘秘密事事项保保密期期限为为“长长期””的情况这些国家秘秘密事项长长期关系国国家安安全和和利益益，即使定定为三十十年的的最长长保密密期限限，也也难以以满足足保密密需求不能确定保保密期期限的的国家家秘密密，应应当确确定解解密条件15国家秘秘密的的密级划分密级描述泄露后果绝密最重要的国家秘密泄露会使国家安全和利益遭受特别严重的损害机密重要的国家秘密泄露会使国家安全和利益遭受严重的损害秘密一般的国家秘密泄露会使国家安全和利益遭受损害16《保守国国家秘秘密法法》主旨（（总则则）目的：：保守国国家秘秘密，，维护护国家家安全全和利利益国家秘秘密受受法律律保护护。一切单单位和和公民民都有有保守守国家家秘密密的义义务国家保保密行行政管管理部部门主管全全国的的保密密工作作保密工工作责责任制制：健健全保保密管管理制制度，，完善善保密密防护护措施施，开开展保保密宣宣传教教育，，加强强保密密检查查主要内内容对我国国国家家秘密密的定定密程程序、、解密密制度度和保保密期期限等等作出出了明明确规定明确了国家家秘密密相关关的保保密制度明确了国家家秘密密的监监督管管理部门明确了对危危害国国家秘秘密安安全的的行为为要追追究的的法律责责任法律17商业秘秘密商业秘密不为公公众所所知悉悉、能能为权权利人人带来来经济济利益益、具具有实实用性性并经经权利利人采采取保保密措措施的的技术术信息息和经经营信息技术信信息类类商业业秘密未公开的的设计计、程程序、、产品品配方方、制制作工艺等完整的的技术术方案案、开开发过过程中中的阶阶段性性技术术成果果以及及取得得的有有价值值的技技术数据针对技技术问问题的的技术术诀窍经营信信息类类商业业秘密经营策略、、产销销策略略、管管理诀诀窍、、客户户名单单、货货源情情报、、招投投标中中的标标底及及标书书内容容等信信息18保护商商业秘秘密相相关法律（1）《反不不正当当竞争争法》》认定了侵犯犯商业业秘密密的不不正当当竞争争行为为，并并对经经营者者侵犯犯商业业秘密密的行行为进进行了了禁止《合同同法》》和《劳动动合同同法》》有对商业业秘密密/技术秘秘密进进行保保护的条款款《合同同法》》技术合同的的内容容应包包括““技术术情报报和资资料的的保密密”相相关条款技术秘密转转让合合同的的让与与人和和受让让人均均应承承担保保密义务19保护商商业秘秘密相相关法法律（2）《劳动动合同同法》》用人单单位与与劳动动者可可以在在劳动动合同同中约约定保保守用用人单单位的的商业业秘密密和与与知识识产权权相关关的保保密事事项《刑事事诉讼讼法》》涉及商业秘秘密的的案件件，当当事人人申请请不公公开审审理的的，可可以不不公开开审理《民事事诉讼讼法》》对涉及商商业秘秘密的的证据据应当当保密密，需需要在在法庭庭出示示的，，不得得在公公开开开庭时时出示人民法法院审理民民事案案件，，涉及及商业业秘密密的案案件，，当事事人申申请不不公开开审理理的，，可以以不公公开审审理20个人信信息个人信息有关一个可可识别别的自自然人人的任任何信息姓名、、职位位、电电话号号码等等可在在适当当范围围内公公开的的信息健康体检报报告、、医疗疗记录录、通通话记记录等等不愿愿公开开的个个人隐私信息系系统所特有有的账账号、、口令令等用用于进进行用用户标标识和和身份份鉴别别的信信息21《宪法》中的有有关规规定《宪法》第二章章公民的的基本本权利利和义义务第40条公民的的通信信自由由和通通信秘秘密受受法律律的保保护除因国家家安全或或者追查查刑事犯犯罪的需需要，由由公安机机关或者者检察机机关依照照法律规规定的程程序对通通信进行行检查外外，任何何组织或或者个人人不得以以任何理理由侵犯犯公民的的通信自自由和通通信秘密密法律22非法使用/滥用个人信息息非法使用/滥用个人信息息、侵犯个人人隐私的行为未经他人同意，擅擅自公布他人人的隐私材料以书面、口头形形式宣扬他人人隐私窃取或者以其他非非法方式获取取公民个人电电子信息出售或者非法向他他人提供公民民个人电子信息网络服务提供者和和其他企业事事业单位在业业务活动中未未经被收集者者同意就收集集、使用公民民个人电子信息对在业务活动中中经被收集者者同意收集的的公民个人电电子信息没有有采取必要的的保密措施医疗机构及其医务务人员泄露患患者隐私或者者未经患者同同意公开其病病历资料、健健康体检报告告等行为23打击网络违法法犯罪相关法法律网络违法犯罪狭义指以计算机网网络为违法犯犯罪对象而实实施的危害网网络空间的行行为广义是以计算机网络络为违法犯罪罪工具或者为为违法犯罪对对象而实施的的危害网络空空间的行为，，应当包括违违反国家规定定，直接危害害网络安全及及网络正常秩秩序的各种违违法/犯罪行为相关法律《关于维护互互联网安全的的决定》《治安管理处处罚法》《刑法》24网络违法/犯罪行为网络违法/犯罪罪行行为为破坏坏互互联联网网运运行行安安全全的的行为为破坏坏国国家家安安全全和和社社会会稳稳定定的的行为为破坏坏社社会会主主义义市市场场经经济济秩秩序序和和社社会会管管理理秩秩序序的的行为为侵犯犯个个人人、、法法人人和和其其他他组组织织的的人人身身、、财财产产等等合合法法权权利利的的行为为利用用互互联联网网实实施施以以上上四四类类所所列列行行为为以以外外的的违违法法/犯罪行行为25信息安安全主主管/监管机机构（（1）保护国国家秘密《中华华人民民共和和国保保守国国家秘秘密法法》由国家保保密行行政管管理部部门主主管全全国的的保密密工作县级以上上地方方各级级保密密行政政管理理部门门主管管本行行政区区域的的保密密工作国家机机关和涉及及国家家秘密密的单单位管管理本本机关关和本本单位位的保保密工作中央国家机机关在在其职职权范范围内内，管管理或或者指指导本本系统统的保保密工作国家保密行行政管管理部部门的的最高高机构构是国国家保保密局26信息安安全主主管/监管机机构（2）维护公共安全《人民民警察察法》》和《治安安管理理处罚罚法》》公安部部门负负责全全国的的治安安管理理工作县级以上上地方方各级级人民民政府府公安安机关关负责责本行行政区区域内内的治治安管管理工工作27信息安安全主主管/监管机机构（3）规范电电子签签名行为《中华华人民民共和和国电电子签签名法法》电子签签名需需要第第三方方认证证的，，由依依法设设立的的电子子认证证服务务提供供者提提供认认证服服务；；从事事电子子认证证服务务，应应当向向国务务院信信息产产业主主管部部门提提出申请工业和和信息息化部部28知识域域：信信息安安全法法规知识子子域：：信息息安全全相关关行政政法规规和部部门规规章了解信信息安安全相相关行行政法法规，，掌握握涉及及信息息安全全的相相关内内容了解信信息安安全相相关部部门规规章，，掌握握涉及及信息息安全全的相相关内内容29信息安安全相相关行行政法法规《计算算机信信息系系统安安全保保护条条例》》《商用用密码码管理理条例例》其他《中华人人民共共和国国计算算机信信息网网络国国际联联网管管理暂暂行规规定》《中华人人民共共和国国电信信条例例》《互联网网信息息服务务管理理办法法》《互联网网上网网服务务营业业场所所管理理条例例》《信息网网络传传播权权保护护条例例》...30《计算机机信息息系统统安全全保护护条例例》安全保保护保障计计算机机及其其相关关的和和配套套的设设备、、设施施(含网络络)的安全全，运运行环环境的的安全全，保保障信信息的的安全全，保保障计计算机机功能能的正正常发发挥，，以维维护计计算机机信息息系统统的安安全运运行主管部部门公安部部主管管全国国计算算机信信息系系统安安全保保护工工作（（含安安全监监督职职权））国家安安全部部、国国家保保密局局和国国务院院其他他有关关部门门，在在国务务院规规定的的职责责范围围内做做好计计算机机信息息系统统安全全保护护的有有关工工作安全保保护制制度计算机机信息息系统统实行行安全全等级级保护护使用单单位应应当建建立健健全安安全管管理制制度安全专专用产产品（（硬件件、软软件））的销销售实实行许许可证证制度度31国务院院令第第147号，1994年2月18日发布施行《商用密码码管理条例例》商用密码是指对不涉涉及国家秘秘密内容的的信息进行行加密保护护或者安全全认证所使使用的密码码技术和密密码产品商用密码技技术属于国国家秘密主管部门国家密码管管理委员会会及其办公公室主管全全国的商用用密码管理理工作国家对商用用密码产品品的科研、、生产、销销售和使用用实行专控控管理管理要点商密产品销销售单位应应先获得《商用密码产产品销售许许可证》任何单位或或者个人不不得销售境境外的密码码产品不得使用自自行研制的的或者境外外生产的密密码产品不得转让其其使用的商商用密码产产品（含故故障维修、、报废销毁毁）32国务院令第第273号，1999年10月7日发布施行行信息安全相相关部门规规章《计算机信信息系统安安全专用产产品检测和和销售许可可证管理办办法》《计算机机信息系系统保密密管理暂暂行规定定》《国家电电子政务务工程建建设项目目管理暂暂行办法法》33《计算机信信息系统统安全专专用产品品检检测和和销售许许可证管管理办法法》两个必须安全专用产品在进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》申领销售许可证时,必须对产品进行安全功能检测和认定检测（机构）检测机构对产品（样品）的安全功能和性能进行检测检测机构应保守检测产品的技术秘密，并不得非法占有他人科技成果，不得从事与检测产品有关的开发和对外咨询业务销售许可证（主管部门）由公安部计算机管理监察部门颁发安全专用产品销售许可证（两年内有效）、“销售许可”标记安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录,由公安部计算机管理监察部门发布34公安部令令第32号，1997年12月12日施行《计算机信信息系统统保密管管理暂行行规定》适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统主管部门国家保密局主管全国计算机信息系统的保密工作管理要点涉密系统---保密设施、保密措施、访问控制、数据保护等涉密信息---密级标识、物理隔离等涉密媒体---各类计算机媒体（含打印输出等）涉密场所---控制区、防电磁信息泄漏、其他物理安全等系统管理---领导负责制、管理制度、保密检查、人员培训和考核等35国家保密密局,国保发［1998］1号,1998年2月26日发布施施行《国家电子子政务工工程建设设项目管管理暂行行办法》项目建议书、可行性研究报告、初步设计方案在“项建和可研”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”验收评价管理项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现36国家发改改委令[2007]第55号,2007年9月1日起施行行知识域：：信息安安全法规规知识子域域：信息息安全相相关地方方法规、、地方规规章和行行业规定定了解信息息安全相相关地方方法规，，掌握自自身所在在地方或或密切相相关地方方涉及信信息安全全的相关关内容了解信息息安全相相关地方方规章，，掌握自自身所在在地方或或密切相相关地方方涉及信信息安全全的相关关内容了解信息息安全相相关行业业规定，，掌握自自身所在在行业或或密切相相关行业业涉及信信息安全全的相关关内容37地方法规规《北京市信信息化促促进条例例》2007年9月14日公布，自2007年12月1日起施行适用于北北京市信信息化工工程建设设、信息息资源开开发利用用、信息息技术推推广应用用、信息息安全保保障以及及相关管管理活动动《上海市市公共信信息系统统安全测测评管理理办法》》2006年5月7日公布，，2006年7月1日起施行适用于上海市行行政区域域内的公公共信息息系统安安全测评评管理活活动，具具体规定定涉及测测评的管管理部门门、责任任制度、、测评年年度计划划、新建建系统的的测评、、测评机机构、测测评协议议、测评评要求、、安全事事项告知知与协助助义务、、测评报报告、安安全整改改，对测测评机构构违法行行为的处处理等方方面《辽宁省计计算机信信息系统统安全管管理条例例》《重庆市计计算机信信息系统统安全保保护条例例》...38地方规章章《北京市微微博客发发展管理理若干规规定》（2011年12月16日公布并并施行）《北京市公共服服务网络与信信息系统安全全管理规定》《北京市党政机机关计算机网网络与信息安安全管理办法法》《上海市公共信信息系统安全全测评管理办办法》《天津市市公共共计算算机信信息网网络安安全保保护规规定》《黑龙龙江江省省计计算算机机信信息息系系统统安安全全管管理理规规定定》《辽宁省计计算机信信息保密密管理规规定》《大连市人人民政府府公共信信息网络络管理暂暂行规定定》《四川省计算算机信息息系统安安全保护护管理办办法》《山西省计算算机安全全管理规规定》《山东省计算算机信息息系统安安全管理理办法》《安徽省计算算机信息息系统安安全保护护办法》《河南省计算算机信息息系统安安全保护护暂行办办法》39地方规章章《广东省计计算机信信息系统统安全保保护管理理规定》《广东省电电子政务务信息安安全管理理暂行办办法》《广东省互互联网网上网网服务务营业业场所所管理理办法》《广东省计计算机机信息息系统统安全全保护护管理理规定定实施施细则则（试试行）》《广东省通信信短信息服服务管理办办法（试行行）》《深圳经济特特区计算机机信息系统统公共安全全管理规定定》《福建省互联联网上网服服务营业场场所管理规规定》《江苏省互联网网网络与信信息安全管管理暂行规规定》《云南省网络与与信息系统统安全监察察管理规定》《江西省计算机机信息系统统安全保护护办法》《杭州市计算机机信息系统统安全保护护管理办法》...40行业规定41中国银监会会《电子银行业业务管理办办法》《电子银行安安全评估指指引》《银行业金融融机构信息息系统风险险管理指引引》中国证监会会《网上证券委委托暂行管管理办法》《证券期货业业信息安全全保障管理理暂行办法法》《证券公司集集中交易安安全管理技技术指引》《期货公司信信息公示管管理规定》（自2009年11月16日起施行））《深圳证券交交易所交易易异常情况况处理实施施细则（试试行）》《上海证券交交易所交易易异常情况况处理实施施细则（试试行）》...知识域：信信息安全法法规知识子域：：国外典型信信息安全相相关法规简简介了解美国信信息安全相相关法规概概况42国外信息安安全法律法法规简介国外信息安安全法律法法规简介（（以美国为为例）《信息自由法法》（FreedomofInformationActof1966，FOIA）《爱国者法》（USAPatriotofActof2001）《联邦信息安安全管理法法案》（FederalInformationSecurityManagementActof2002，FISMA）《公众公司会会计改革与与投资者保保护法》43《信息自由法法》《信息自由法法》美国对政府府信息进行行立法保护护的首要原原则是向公公众公开原原则（也叫信息息公开原则则），是构构成其他信信息安全保保护法律的的基础该法案主要是保障障公民的个个人自由，但也需要保保障国家的的安全，因因此，该法法利用“例例外”的立立法方式，，将需要保保护的信息息加以列举举44《爱国者法》《爱国者法》是“9.11””事件以后美美国为保障障国家安全全颁布的最最为重要的的一部法律，也是是目前争议议最大的一一部法律。。从法律上授授予美国国国内执法机机构和国际际情报机构构非常广泛泛的权力和和相应的设设施以防止止、侦破和和打击恐怖怖主义活动动，使美国国人民能够够生活在安安全的环境境中由于该法赋赋予联邦政政府的权力力过大，引引起美国国国内民权人人士的担忧忧，并产生生诉案该法还对美国现现有的十几几部法律做做出了修改改政府可以对对国外银行行和对私人人存户达到到100万美元以上上的账户进进行调查45《联邦信息安安全管理法法案》《联邦信息安安全管理法法案》对国家信息安安全管理职职责的授权国家标准与与技术局（（NIST）为联邦政政府使用的的系统制定定安全标准准与指南管理与预算算办公室（（OMB）主任对安安全政策、、原则、标标准、指南南等的制定定、执行（（包括遵守守）情况进进行监督属于《电子子政务法》》的第三部部分,《电子政务务法》该法对联邦邦政府信息息技术管理理和规划的的每一个方方面，从危危机管理到到电子档案案及查询索索引都做了了规定46《公众公司会会计改革与与投资者保保护法》《公众公司会会计改革与与投资者保保护法》又名《萨班班斯-奥克斯利法法》主要目的是是加强对上上市公司内内部金融信息的监管管，以维护护金融市场场的秩序和和安全该法案要求求公众公司司保证其内内部金融控控制的准确确性，规定定由证券交交易委员会会（SEC）制定规则则，强制要要求公众公公司年度报报告中包含含内部控制制报告及其其评价，并并要求会计计师事务所所对公司管管理层做出出的评价出出具鉴定报报告47知识域：信息息安全政策知识子域：国国家信息安全全政策概况了解国家有关关政策提出的的加强信息安安全保障工作作的方针和总总体要求理解国家有关关政策规定的的加强信息安安全保障工作作的主要原则则理解国家有关关政策规定的的需要重点加加强的信息安安全保障工作作48我国信息安全全保障工作总体文件《国家信息化领领导小组关于于加强信息安安全保障工作作的意见》中办发[2003]27号明确了我国信信息安全保障障工作的方针针和总体要求加强信息安全保障障工作的主要要原则需要重点加强的信信息安全保障障工作27号文的发布具有重大意义它标志着我国信信息安全保障障工作有了总总体纲领我国最近十余年的的信息安全保保障工作都是是围绕此政策策性文件来展展开和推进的促进了我国信息安安全保障建设设的各项工作作49《国家信息化领领导小组关于于加强信息安安全保障工作作的意见》总体方针和要求坚持积极防御御、综合防范范的方针全面提高信息息安全防护能能力重点保障基础础信息网络和和重要信息系系统安全创建安全健康康的网络环境境，保障和促促进信息化发发展，保护公公众利益，维维护国家安全全主要原则立足国情，以以我为主，坚坚持技术与管管理并重正确处理安全全和发展的关关系，以安全全保发展，在在发展中求安安全统筹规划，突突出重点，强强化基础工作作明确国家、企企业、个人的的责任和义务务，充分发挥挥各方面的积积极性，共同同构筑国家信信息安全保障障体系50《国家家信信息息化化领领导导小小组组关关于于加加强强信信息息安安全全保保障障工工作作的的意意见见》主要要任任务务（（重重点点加加强强的的安安全全保保障障工工作作））实行行信信息息安安全全等等级级保保护护加强强以以密密码码技技术术为为基基础础的的信信息息保保护护和和网网络络信信任任体体系系建建设设建设设和和完完善善信信息息安安全全监监控控体体系系重视视信信息息安安全全应应急急处处理理工工作作加强强信信息息安安全全技技术术研研究究开开发发，，推推进进信信息息安安全全产产业业发发展展加强强信信息息安安全全法法制制建建设设和和标标准准化化建建设设加快快信信息息安安全全人人才才培培养养，，增增强强全全民民信信息息安安全全意意识识保证证信信息息安安全全资资金金加强强对对信信息息安安全全保保障障工工作作的的领领导导，，建建立立健健全全信信息息安安全全管管理理责责任任制制51我国国信信息息安安全全政策策的初初步步成成效效、、后后续续展展望望初步步成成效效依托托2003年的的27号文文（（总总体体纲纲领领）），，明明确确了了信信息息安安全全保保障障工工作作的的总总体体要要求求、、工工作作原原则则和和重重点点工工作作内内容容围绕绕信信息息安安全全保保障障体体系系，，广广度度结结合合深深度度，，制制定定、、发发布布并并落落实实了了一一些些典典型型的的信信息息安安全全政政策策（（风风险险评评估估、、等等级级保保护护、、电电子子政政务务类类、、应应急急预预案案等等））其他他领领域域：：灾灾难难备备份份、、管管理理体体系系、、监监控控、、应应急急、、信信任任体体系系、、产产品品和和服服务务认认证证、、人人员员培培训训和和认认证证等等后续续展展望望“十十一一五五””期期间间发发布布的的各各项项政政策策均均将将进进入入落落实实期由电电子子政政务务领领域域向向其其他他领域域拓拓展尽快快形形成成““统统一一的的””信息息安安全全服服务务资资质质管管理理体体制制基于于信信息息安安全全服服务务类类的的标标准准（（政政策策带带动动标标准准，，标标准准支支撑撑政政策策））统一安全服服务行业的的企业资质质和人员资资质由“狭义信信息安全””向“广义义信息安全全”延伸IT服务（（外包）的的信息安全保障新技术、新应用下的的信息安全全保障52知识域：信信息安全政政策知识子域：信息息安全相关关国家政策策了解信息安全相相关国家政政策理解风险评估、、保密管理理、应急处处理、安全全检查和工工控安全等等涉及信息息安全的相相关内容理解信息安全等等级保护政政策体系，了解信息息安全等级保保护相关政政策53信息安全相相关的政策策风险评估相相关政策保密管理相相关政策应急处理相相关政策安全检查相相关政策工控安全相相关政策等级保护相相关政策加强信息安安全保障相相关政策物联网安全全相关政策策54关于开展信信息安全风风险评估工工作的意见（国信办[2006]5号）信息安全风风险评估（基于风险险管理）系统分析网网络与信息息系统所面面临的威胁胁及其存在在的脆弱性性评估安全事事件一旦发发生可能造造成的危害害程度提出有针对对性的抵御御威胁的防防护对策和和整改措施施基本工作要要求应贯穿于网网络和信息息系统建设设运行的全全过程（设计、验收、、运维）信息安全风险评估估分自评估、、检查评估两两形式,应以自评估为为主，自评估估和检查评估估相互结合、、互为补充相关保障参照标准:《信息安全风险险评估规范》（GB/T20984-2007）、《信息安全风险险管理指南》（GB/Z24364-2009）服务资质（对于涉及国计计民生的基础础网络和重要要信息系统的的风险评估技技术服务，要要由国家专控控的队伍来承承担）55风险评估相关关政策《关于加强国家电子子政务工程建建设项目信息息安全风险评估工作作的通知》（发改高技[2008]2071号）依据和目的《国家电子政务务工程建设项项目管理暂行行办法》---国家发改委令[2007]第55号目的是为了贯彻落实中办发[2003]27号文，加强基础信息息网络和重要要信息系统安安全保障，加加强和规范国国家电子政务务工程建设项项目信息安全全风险评估工工作风险评估的主主要内容分析信息系统统资产的重要要程度，评估估信息系统面面临的安全威威胁、存在的的脆弱性、已已有的安全措措施和残余风风险的影响等等两类信息系统统的工作开展展涉密信息系统统参照“分级级保护”非涉密信息系系统参照“等等级保护”相关要点要求将“信息息安全风险评评估”作为电电子政务项目目验收的重要要内容对信息安全风风险评估机构构的指定（1家+3家）投入运行后，，应定期开展展信息安全风风险评估56风险评估相关关政策关于加强政府府信息系统安安全和保密管管理工作的通通知（国办发[2008]17号）加强组织领导导，明确安全全责任把信息安全和保保密工作列入入重要议事日日程，明确主主管领导谁主管谁负责责、谁运行谁谁负责、谁使使用谁负责强化教育培训训，提高安全全意识和防护护技能组织信息安全全和保密基本本技能培训深入学习宣传信息息安全“五禁禁止”规定建立健全安全全管理制度，，完善安全措措施和手段管理制度+技术手段做好信息安全全检查工作，，依法追究责责任详见《政府信息系统统安全检查办办法》57保密管理相关关政策关于印发国家家网络与信息息安全事件应应急预案的通通知（国办函[2008]168号）背景2003年：国务院成成立应急办，，颁布了《国家突发公共共卫生事件应应急条例》2006年：《国家突发公共共事件总体应应急预案》（4大类公共事件件）《国家网络与信信息安全事件件应急预案》2007年：制定发布布《国家突发事件件应对法》2008年，国务院办办公厅发布本通知（国办函[2008]168号）预案要点网络与信息安安全事件的分分类分级参照标准：《信息安全事件件分类分级指指南》（GB/Z20986）应急流程阶段：预防预警—应急处置—后期处置参照标准：《信息安全事件件管理指南》（GB/Z20985）组织体系和应应急保障应急队伍、经经费、物资、、通信、科技技。。。监督管理宣传教育、培培训、演练、、责任与奖惩58应急处理相关关政策关于印发政府府信息系统安安全检查办法法的通知（国办发[2009]28号））概述述依据据《关于于加加强强政政府府信信息息系系统统安安全全和和保保密密管管理理工工作作的的通通知知》（国国办办发发[2008]17号））检查查范范围围各级级政政府府及及其其部部门门对对自自行行运运行行和和维维护护管管理理以以及及委委托托其其他他机机构构进进行行和和维维护护管管理理的的办办公公系系统统、、业业务务系系统统、、网网站站系系统统等等，，每每半半年年要要进进行行一一次次全全面面的的安安全全检检查查。。检查查重重点点国务务院院各各部部门门和和地地方方政政府府的的办办公公系系统统、、重重要要业业务务系系统统、、门门户户网网站站以以及及重重要要新新闻闻网网站站，，要要作作为为检检查查重重点点。。检查查方方式式各单单位位自自查查+统统一一组组织织抽抽查查+安全全检检测测（（按按需需））工信信部部负负责责协协调调、、指指导导、、监监督督，，公公安安/安安全全/保保密密/密密码码等等部部门门按按职职责责分分工工《2009年度度政政府府信信息息系系统统安安全全检检查查指指南南》（工工信信部部协协[2009]168号））《2010年度度政政府府信信息息系系统统安安全全检检查查指指南南》（工工信信部部协协[2010]143号））《2011年度度政政府府信信息息系系统统安安全全检检查查指指南南》》（（工工信信部部协协[2011]214号））59安全全检检查查相相关关政政策策关于于加加强强工工业业控控制制系系统统信信息息安安全全管管理理的的通通知知（（工工信信部部协协[2011]451号））基本本情情况况工信信部部协协[2011]451号，2011年9月29日发布布强调调了工工业业控控制制系系统统信信息息安安全全的的重重要要性性工业业控控制制系系统统信信息息安安全全事事关关工工业业生生产产运运行行、、国国家家经经济济安安全全和和人人民民生生命命财财产产安安全全四个方方面面要要求求充分分认认识识加加强强工工业业控控制制系系统统信信息息安安全全管管理理的的重重要要性性和和紧紧迫迫性性明确确重重点点领领域域工工业业控控制制系系统统信信息息安安全全管管理理要要求求建立立工工业业控控制制系系统统安安全全测测评评检检查查和和漏漏洞洞发发布布制制度度进一一步步加加强强工工业业控控制制系系统统信信息息安安全全工工作作的的组组织织领导60工控安全相关关政策等级保护相关政策信息安全等级级保护的提出出《中华人民共和和国计算机信信息系统安全全保护条例》（1994年国务院147号令）第九条计算算机信息系统统实行安全等等级保护。安安全等级的划划分标准和安安全等级保护护的具体办法法，由公安部部会同有关部部门制定。GB17859-1999《计算机信息系系统安全保护护等级划分准准则》定义了安全保护等级级的五个级别61信息安全等级级保护法规政政策体系62依据和指导文文件等级保护工作作的法律依据和政策依据《中华人民共共和国计算机机信息系统安安全保护条例例》《国家信息化化领导小组关关于加强信息息安全保障工工作的意见》》为等级保护工作的开展提供宏观观指导和约束《关于信息安安全等级保护护工作的实施施意见》《信息安全等等级保护管理理办法》63关于信息安全全等级保护工工作的实施意见（公字通[2004]66号）信息和信息系系统的安全保保护等级（及其适用范围围）第一级为自主主保护级第二级为指导导保护级第三级为监督督保护级第四级为强制制保护级第五级为专控控保护级定级依据根据信息和信信息系统在国国家安全、经经济建设、社社会生活中的的重要程度遭到破坏后对对国家安全、、社会秩序、、公共利益以以及公民、法法人和其他组组织的合法权权益的危害程程度实施要求完善标准,分类指导（管管理规范和技技术标准）科学定级,严格备案（专专家评审委员会）建设整改,落实措施（信息系统：已已有、新建、改建、、扩建）自查自纠,落实要求（运运营、使用用单位及其主主管部门）建立制度,加强管理（运运营、使用用单位及其主主管部门）监督检查,完善保护（公公安机关重点对第三、第四级级系统监督检查）64关于印发<信息安全等级级保护管理办办法>的通知（公字通[2007]43号）《通知》是政政策，《管理理办法》属于于部门规章联合发文：公公安部、保密密局、密码管管理局、原国国信办国家信息安全全等级保护坚坚持“自主定定级、自主保保护”的原则则信息系统的安安全保护等级级分为五级实施与管理具体实施等级级保护工作参照标准：《信息系统安全全等级保护实实施指南》确定安全保护护等级参照标准：《信息系统安全等级级保护定级指指南》系统建设参照标准：《信息系统安全等级级保护基本要求》等等级测评参照标准：《信息系统安全等级级保护测评要求》二级以上系统统的备案要求求（由公安机机关颁发备案证明）三级以上系统统的定期自查查、测评和检检查要求三级以上系统统的信息安全全产品选择使使用要求三级以上系统统等级保护测评评机构的选择要求涉密信息系统统按分级保护管理理对信息安全等等级保护的密密码实行分类类分级管理65关于开展全国国重要信息系系统安全等级级保护定级工工作的通知（公信安[2007]861号）背景根据国家网络络与信息安全协调小组组2007年的工作部署,公安部、国家家保密局、国国家密码管理理局、国务院信息化工作作办公室定于于2007年7月至10月在全国范围内内组织开展重要信息系系统安全等级保护护定级工作定级范围电信、广电行行业的公用通通信网、广播电视传输输网等基础信信息网络,经营性公众互互联网信息服服务单位、互联网接入服服务单位、数据中心等等单位的重要信息系系统铁路、银行、、海关、税务务、民航、电电力、证券、、保险、外交、科技、发展展改革、国防防科技、公安安、人事劳动动和社会保障障、财政、审计、商商务、水利、、国土资源、、能源、交通通、文化、教教育、统计、工商行政管管理、邮政等等行业、部门门的生产、调调度、管理、办公等重要要信息系统市(地)级以上党政机机关的重要网站和和办公信息系系统涉及国家秘密密的信息系统统(涉密信息系统统)工作内容摸底调查、确确定等级（等等级报告）、、评审与审批批、备案及管管理（备案表表）66关于开展信息息安全等级保保护安全建设设整改工作的的指导意见（公信安[2009]1429号）工作目标力争在2012年底前完成已定定级信息系统统(不含涉密信息系统统)安全建设整改改工作工作内容开展信息安全全等级保护安安全管理制度度建设,提高信息系统统安全管理水平开展信息安全全等级保护安安全技术措施施建设,提高信息系统统安全保护能力开展信息系统统安全等级测测评,使信息系统安全保护状况况逐步达到等等级保护要求求《信息安全等级级保护安全建建设整改工作作指南》参照标准：《信息系统安全全等级保护基基本要求》信息系统安全全建设整改工工作基本流程（管理建设、技技术建设）信息安全等级保护主要标准简要说明及相相互间的关系（基础类、应用用类、产品类和其他他类）67《国务院关于于大力推进信信息化发展和和切实保障信信息安全的若若干意见》（国发[2012]23号）指导思想坚持积极利用、科科学发展、依依法管理、确确保安全，加加强统筹协调调和顶层设计计，健全信息息安全保障体体系，切实增增强信息安全全保障能力，，维护国家信信息安全，促促进经济平稳稳较快发展和和社会和谐稳定主要目标国家信息安全全保障体系基基本形成，重重要信息系统统和基础信息息网络安全防防护能力明显显增强，信息息化装备的安安全可控水平平明显提高，，信息安全等等级保护等基基础性工作明明显加强近期主要任务务健全安全防护和管管理，保障重重点领域信息息安全加快能力建设，提提升网络与信信息安全保障障水平完善政策措施68加强信息安全全保障相关政政策《国务院关于于推进物联网网有序健康发发展的指导意意见》（国发〔2013〕7号)为推进物联网网有序健康发发展提出了指指导思想、基基本原则和发发展目标，明明确了主要任任务和保障措措施指导思想要求以保障安全为为前提，强化化标准规范，，有序推进物物联网持续健健康发展基本原则安全可控69物联网安全相相关政策知识域：信息息安全政策知识子域：国外信息安全相关政策了解美国信息息安全相关政政策概况70国外信息安全全政策简介国外信息安全全国家政策简简介（以美国国为例）美国各届政府对信息安安全均很重视，发布了若干与信息息安全相关的的政策与系列列举措克林顿政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：《总统国家安全全战略报告》（首次将信息息安全列入））布什政府911之后，成立本本土安全部（（国土安全部部）、国家KIP委员会2002年：《国家保障数字字空间安全策策略》、《国家安全战略略报告》2003年：《网络空间安全全国家战略计计划》奥巴马政府上任之初：60天信息安全评评估项目2009年：《美国网络安全全评估》2010年：网络战司司令部正式运运行71奥巴马政府的的新举措上台不久就亲亲自主导了一一个60天的信息安全全评估项目，2009年5月公布了《美国网络安全全评估》报告，评估了美国政政府在网络空空间的安全战战略、策略和和标准，指出了存在的的问题，并提出行动计划划（最高层领领导、数字化化能力、安全全责任、信息息共享和事件件反应机制5大方面）成立了网络安安全办公室，，任命了“网网络沙皇”为为网络安全协协调官。参议议院向国会提提交了《网络安全法》议案2010年6月，美国国防部正正式成立了由由战略司令部部领导的网络络战司令部（（主要进行数数字战争，防护针对美军军计算机网络络的安全威胁胁）。司令部部将于2010年10月正式运行促使政府对外外公布《国家网络安全全综合计划》（即信息安全全曼哈顿计划划）的概要，，实行政策透透明，以获得得民众对政策策的理解72知识域：信息安全标准基础础知识子域：标标准的作用理解标准和标标准化相关的的基本概念了解标准的作作用知识子域：标标准化的特点点和原则了解标准化的的特点了解标准化工工作应遵循的的原则知识子域：我我国国家标准准的类型和代代码了解强制性、、推荐性和标标准化指导性性技术文件三三类国家标准准及其代码了解各类标准准的特点73标准和标准化化相关基本概概念标准为了在一定范范围内获得最最佳秩序，经经协商一致制制定并由公认认机构批准，，共同使用的的和重复使用用的一种规范范性文件标准化（GB/T20000.1-2002）为了在一定范范围内获得最最佳秩序，对对现实问题或或潜在问题制制定共同使用用和重复使用用的条款的活活动国际标准由国际标准化化组织或国际际标准组织通通过并公开发发布的标准国家标准由国家标准机机构通过并公公开发布的标标准国际标准化组组织（ISO）其成员资格向向每个国家的的有关国家机机构开放的标标准化组织国家标准机构构在国家层面上上承认的，有有资格成为相相应的国际和和区域标准组组织的国家成成员的标准机机构（中国国国家标准化管管理委员会））74标准的作用作用标准是进行贸贸易的基本条条件标准能够提高高企业的经济济效益标准能够提高高国民经济效效益标准既能打破破技术壁垒，，也能成为新新的技术壁垒垒75标准化的特点点特点标准化的对象是共同的、可重复的的事物不是孤立的一件事事、一个事物物标准化的动态性随着科技的进步和和社会的发展展而不断变化化发展标准化的相对性原有标准随着着社会发展和和环境变化，，需要更新标准化的效益益通过应用体现现经济和社会效益76标准化工作应应遵循的原则则原则简化统一协调优化77我国国家标准准的代码按标准层次分强制性国家标标准（GB）推荐性国家标标准（GB/T）国家标准化指指导性技术文文件（GB/Z）78除了国家标准准，还有行业业标准、地方方标准等。知识域：信息安全标标准化组织知识子域：国际信信息安全标准准化组织了解国际信息安全全标准化组织织及其工作知识子域：国外信信息安全标准准化组织了解国外典型信息息安全标准化化组织及其工工作知识子域：我国信信息安全标准准化组织了解我国信息安全全标准化组织织及其工作79国际主要的信息安全标标准化组织国际标准化组组织（ISO）InternationalOrganizationforStandardization成立于1947年，是最大的非政府性标标准化专门机机构国际电工委员员会（IEC）InternationalElectrotechnicalCommission成立于1906年，是成立最早的的国际标准化化机构Internet工程任务组（（IETF）InternetEngineeringTaskForce成立于1986年，以RFC文件形式发布标准准规范ISO/IECJTC1SC27ISO和IEC联合技术委员会--信息安全标准化的的分技术委员员会国际电信联盟（ITU）及国际电信联盟盟远程通信标标准化组织（ITU-T）80国际信息安全全标准化组织织ISO/IECJTC1SC27信息技术安安全技术信息安全管理理体系工作组组密码与安全机机制工作组安全评估准则则工作组安全控制与服服务工作组身份管理与隐隐私技术工作作组81美国标准化组组织ANSI美国国家标准准协会（AmericanNationalStandardsInstitute）分技术委员会会T4负责IT安全技术标准准化工作，对对口JTC1的SC27X9制定金融业务务标准、X12制定商业交易易标准(EDI)NIST美国国家标准准与技术研究院（NationalInstituteofStandardsandTechnology）负责联邦政府府非密敏感信信息FIPSIEEE美国电气和电电子工程师协协会（InstituteofElectricalandElectronicsEngineers）P136382其他区域性信息安全标准准化组织ECMA欧洲计算机制制造联合会（EuropeanComputerManufacturersAssociation）由主流厂商组成研究信息和通讯技技术方面的标标准并发布有有关技术报告ETSI欧洲电信标准准协会（EuropeanTelecommunicationsStandardsInstitute，）非赢利性的电电信标准化组组织ASTAP亚太地区电信信标准化机构构（Asia-PacificTelecommunityStandardizationProgram）该组织和ETSI与ITU、ISO和IEC等标准化组织织协调合作，，推动全世界界的标准化活活动83我国标准化组组织中国国家标准准化管理委员会是我国最高级别别的国家标准准机构全国信息安全全标准化技术术委员会（TC260)1984年，成立数据据加密技术分分委员，后来来改为信息技技术安全分技技术委员会2002年4月，为加强信息息安全标准的的协调工作，，国家标准委委决定成立全国信息安全全标准化技术术委员会（信信安标委，TC260），由国家标准准委直接领导导，对口ISO/IECJTC1SC27国家标准化管管理委员会高新函[2004]1号文决定：自2004年1月起，各有关关部门在申报报信息安全国国家标准计划划项目时，必必须经信息安安全标委会提提出工作意见见，协调一致致后由信息安安全标委会组组织申报；在在国家标准制制定过程中，，标准工作组组或主要起草草单位要与信信息安全标委委会积极合作作，并由信息息安全标委会会完成国家标标准送审、报报批工作84全国信息安全全标准化技术术委员会TC260信息安全标准体系系与协调工作作组（WGl）涉密信息系统安安全保密工作作组（WG2）密码技术工作组（（WG3）鉴别与授权工作组组（W