信息安全管理与法律法规精品ppt课件

管理制度篇信息平安概念平安没有紧急、不受威逼、不出事故。平安理念以风险大小来划分平安与否没有确定的平安和零风险风险可接受即可视为平安风险大小与平安投入的平衡信息平安木桶原理短板理论，系统的平安性取决于系统的最薄弱环节，加强其平安，才能提高整体平安性。“信息平安”问题“信息系统”平安问题信息担忧全引发的其他平安问题信息系统平安的疼惜目标与所属组织的平安利益是完全一样的，具体体现为对信息的疼惜、对系统的疼惜和对信息运用的监管。广义的信息平安信息平安属性信息平安属性保密性Confidentiality完整性Integrity可用性Availability不行否认性（抗抵赖）Non-repudiation真实性Authentication可控性/可治理性Controllability/Governability牢靠性Reliability…信息平安风险评估资产（疼惜对象）软件、硬件、数据、人、业务、声誉（品牌）脆弱性（隐患的关键因素）软件、硬件、制度、人威逼（威逼源与行为）外部(如黑客攻击)、内部，有意、无意、自然、人为可能性（动机和实力）蓄谋、偶然，难度后果本身价值、干脆和间接影响信息平安的对策（管理部分）国家层面法律法规、政策、国家标准社会层面道德行业层面行规、行业标准组织层面规章制度个人最脆弱的环节培训、意识、行为规范信息平安技术与管理技术必需与管理结合技术有局限性，不是万能的，须要管理弥补技术须要管理来实施和保障很多（底层）技术不行控技术的发展须要管理来调整以适应技术可能被利用内部缘由的信息平安问题比重大信息平安分类分级疼惜对信息和信息系统进行分级疼惜是体现统筹规划、主动防范、突出重点的信息平安疼惜原则的重大措施。最有效和科学的方法是在维护平安、健康、有序的网络运行环境的同时，以分级分类的方式确保信息和信息系统平安既合符政策规范，又满足实际需求。实现平安成本与信息系统重要性的平衡。

等级疼惜内容信息系统分等级疼惜信息平安产品分等级管理信息平安事务分等级响应、处置定级要素与平安疼惜等级的关系等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查保护国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查保护等级疼惜的原则自主定级、自主疼惜与国家监管相统一谁主管谁负责，谁运营谁负责信息平安管理体系标准ISO/IEC27000概述和词汇

ISO/IEC27001信息平安管理体系要求

ISO/IEC27002信息平安管理体系好用规则

ISO/IEC27003信息平安管理体系实施指南

ISO/IEC27004信息平安管理度量

ISO/IEC27005信息平安风险管理

ISO/IEC27006ISMS认证机构的认可要求ISO/IEC27007信息平安管理体系审核指南风险评估与处理依据组织需求，识别、量化风险。其结果用于指导并确定适当的管理措施及其优先级风险评估应定期/不定期进行风险处置规避降低转嫁接受信息平安管理好用规则GB/T22081-200811个方面，39个限制目标，133个限制措施11个方面（限制目标数）信息平安方针（1）信息平安的各方（2）资产管理（2）人力资源平安（3）物理和环境平安（2）通信和操作管理（10）访问限制（7）信息系统获得、开发和维护（6）信息平安事务管理（2）业务连续性管理（1）符合性（3）人力资源平安任用前角色和职责（清晰定义并传达）人员背景审查（身份、信用、专业水平）任用条款和条件（合同明确平安职责）人力资源平安（2）任用中管理者要求各方清晰并恪守职责信息平安意识、教化和培训纪律处理过程（证据与分级处理）人力资源平安（3）任用的终止或变更终止职责（明确责任并传达）资产的归还撤销访问权物理和环境平安平安区域物理平安周边（门、墙等）物理入口限制（各处出入者标识、记录与限制）办公室、房间和设施的平安疼惜（隐藏性）外部和环境威逼的平安防护（灾难预防）在平安区工作（隐秘、受控、上锁、拒摄录）公共访问、交接区平安（授权访问、进出的货物检查/登记/隔离）物理和环境平安（2）设备平安设备和疼惜（设备防灾/盗疼惜、处理信息的疼惜）支持性设施（电、水、温度、湿度等）布缆平安（防窃听和损坏）设备维护（保证连续可用）组织场所外的设备平安（看管、正确运用）设备的平安处置或再利用（残余信息防重用）资产的移动（有授权、人员、时间、记录、返回核查）通信和操作管理（5）备份信息备份（规程、记录、比例/频率、异地、同疼惜等级存放环境、测试备份信息及复原规程）通信和操作管理（7）介质处置可移动介质的管理（规程、授权、记录、防重用、存储平安、介质老化、少用）介质的处置（敏感信息及部件、大量介质信息综合可能变敏感）信息处理规程（介质分级并标识、信息访问与接收限制并记录）系统文件平安（存储与传输平安、授权访问）通信和操作管理（10）监视审计记录（审计项）监视系统的运用（运用规程、评审监视结果）日志信息的疼惜（完整性、访问限制）管理员和操作员日志（记录、评审）故障日志（记录、分析、评估订正措施）时钟同步（统一时间、时间漂移核查和校准）信息平安事务管理报告信息平安事态和弱点报告信息平安事态（上报规程、明确上报点、反馈、报告必要的事项、违规的纪律规定）报告平安弱点（尽快报告事务、不宜证明可疑的脆弱点）信息平安事务管理（2）信息平安事务和改进的管理职责和规程（建立处理各种平安事务的规程、应急支配、事务分析与处置、收集和疼惜证据、复原措施应授权，记录，报告和确认其效果）对信息平安事务的总结（建立事务类型、数量和损失的量化机制、监视、改进措施和方针）证据的收集（内部规程、法律效力、证据的质量和完备性、电子证据应是可信的副本、留意保存证据、跨域证据）业务连续性管理业务连续性管理的信息平安方面在业务连续性管理过程中包含信息平安业务连续性和风险评估（信息平安事务发生的概率和后果，对业务连续性的影响）制定和实施包含信息平安的连续性支配（在要求的时间和水平上复原、支配更新）业务连续性支配框架（支配项协调一样、支配项的优先级、各项的责任人、平安要求、启动条件、各种运行状况的规程及所需资源、培训）测试、维护和再评估业务连续性支配（各环节测试和完整的演练）符合性符合法律要求可用法律的识别（明确并满足法规合同等的要求、形成文件并刚好更新）学问产权（不侵扰版权、识别有学问产权要求的资产、维护产权证据、防止超限运用、核查）疼惜组织的记录（按要求保存记录、分类、介质有效期、记录保存期可用）数据疼惜和个人信息的隐私防止滥用信息处理设施（告知将监视不当运用并处理、通告各方访问范围）密码限制措施的规则（运用合法的密码、合理运用密码技术）符合性（2）符合平安策略和标准以及技术符合性符合平安策略和标准（平安规程正确执行、定期评审、订正措施也要评审）技术符合性核查（专家通过人工或工具核查、渗透测试和脆弱性评估要谨慎）符合性（3）信息系统审计考虑信息系统审计限制措施（最小化对系统的干扰、确定审计范围、审计对软件和数据只读、供应审计资源、记录全部访问、时间戳、规程形成文件、审计独立）信息系统审计工具的疼惜（审计工具和数据独立并加以疼惜，防止滥用和被破坏）个人计算机（信息）平安常见问题一、随意安装外来/盗版程序，打开外来文件二、误操作三、上不明网站四、口令过于简洁五、介质疏于管理六、随意留个人信息七、防盗防丢失措施不够…如何改进？业务网络信息系统网络类型的划分涉密网络如电子政务内网，是存储、处理和传输涉及国家隐私信息的计算机信息系统或网络。非涉密网络，如电子政务外网互联网信息的存在形态和运行方式变更1、存储介质的多样化、便携化2、信息的存载与疼惜方式数据化、系统化3、信息泄漏渠道增多，形式隐藏，隐患严峻涉密笔记本电脑泄密移动存储介质交叉运用泄密无线局域网泄密手机泄密数字复印机泄密主要的违规现象1、不该连的连，非法外联2、不该存的存，连接互联网存储、处理3、不该用的用，如涉密移动介质交叉运用4、不该发的发，对发布的信息未严格审查33标准的分类/性质执行强制性《中华人民共和国标准化法》规定，保障人体健康、人身、财产平安的标准和法律、行政法规规定强制执行的标准是强制性标准，其它标准是举荐性标准。强制性GB178591999计算机信息系统平安疼惜等级划分准则举荐性指导性对标准化工作的原则和一些具体做法的统一规定。例如：产品型号编制规则、各类标准编制导则等34CC的组成第1部分“简介和一般模型”正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架；附录部分主要介绍PP和ST的基本内容；第2部分“平安功能要求”按“类—子类—组件”的方式提出平安功能要求，每一个类除正文以外，还有对应的提示性附录作进一步说明；第3部分“平安保证要求”定义了评估保证级，介绍了PP和ST的评估，并按“类—子类—组件”方式提出平安保证要求。35功能要求结构举例以平安审计为例审计事务响应（处理、记录、告警）审计记录产生（审计事务、身份关联）审计事务选择审计记录查阅（权限、选择性查阅）审计记录分析（维护、攻击检测）审计记录存储（可用性、完整性、防新记录丢失）36保证要求结构举例以脆弱性评定为例隐藏信道分析开发者：分析和文档评估者：测试误用开发者：文档说明白各种状况的处理评估者：测试TOE功能强度开发者：分析强度评估者：测试确认脆弱性分析开发者：脆弱性分析及处置评估者：穿透性测试以确认脆弱性已正确处置法律法规（1）概述立法（人大/国务院：制定、修改、废止）司法（依法审理和评判案件：检察院、法院）执法（执行法律：法院、检察院、公安部、平安部、工商局、税务局等）法律分类适用性：民法、刑法和行政法——民事责任、刑事责任和行政责任法律法规（2）法律法规的作用指引作用（规范）评判作用（判决）预料作用（震慑、警示）教化作用（引以为戒）强制作用（惩戒）信息平安法律法规（2）信息平安法律法规概述信息平安现状与立法的必要性法人与公民的合法权益（法人与公民的财产权、学问产权、公民的人身权-肖像与隐私等）信息平安的特殊性（数字出版限制、学问产权、国家信息主权限制、签名法律效力、电子取证等）网民的权利和义务信息平安法律法规（3）信息平安法律法规概述信息平安法律的主要内容信息系统的规划与建设信息系统的管理与经营信息系统的平安学问产权疼惜/个人数据疼惜传统犯罪在计算机上的延长电子商务/电子政务/电子化业务计算机犯罪/证据与诉讼信息平安法律法规条款普适性法律法规宪法刑法国家平安法保守国家隐私法…信息平安法律法规计算机犯罪相关法律电子商务（电子签名法）计算机信息系统平安疼惜国际互联网平安管理国际互联网服务管理…刑法与计算机相关的条款传统犯罪通过计算机实施利用信息技术非法传播信息利用信息技术传播非法信息利用信息技术从事非法活动针对计算机系统的犯罪利用信息技术侵入或攻击计算机系统利用信息技术获得或破坏计算机系统信息刑法中惩治计算机犯罪条款非法侵入计算机信息系统罪《中华人民共和国刑法》第285条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”犯罪手段？其他计算机可以侵入？本罪属行为犯刑法中惩治计算机犯罪条款破坏计算机信息系统功能罪《刑法》第286条第1款规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严峻的，处五年以下有期徒刑或者拘役；后果特殊严峻的，处五年以上有期徒刑。”犯罪动机？计算机信息系统的功能有哪些？什么行为可能触犯该条款？本罪属结果犯刑法中惩治计算机犯罪条款破坏计算机信息系统数据、应用程序罪《中华人民共和国刑法》第286条第2款规定：“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严峻的，依照前款的规定惩处。”刑法中惩治计算机犯罪条款有意制作、传播计算机病毒等破坏性程序罪《刑法》第286第3款规定：“有意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严峻的，依照第一款的规定惩处。”该罪与破坏计算机信息系统功能罪可能重叠破坏性程序硬件设备（接入时激活）炸弹逻辑炸弹（时间、程序等条件激活）贪欲程序（消耗资源）木马蠕虫刑法中惩治计算机犯罪条款适用于一切利用计算机实施的其他犯罪《刑法》第287条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家隐私或者其他犯罪的，依照本法有关规定定罪惩处。”保守国家隐私法制订《中华人民共和国保守国家隐私法》是为保守国家隐私，维护国家的平安和利益，保障改革开放和社会主义建设事业的顺当进行。该法第2条对国家隐私作了明确定义，即国家隐私是关系国家的平安和利益，依照法定程序确定，在确定时间内只限确定范围的人员知悉的事项。一切国家机关、武装力气、政党、社会团体、企业事业单位和公民都有保守国家隐私的义务。保守国家隐私的工作，实行主动防范、突出重点、既确保国家隐私又便利各项工作的方针。保守国家隐私法国家隐私的范围和密级国家隐私的密级分为“绝密”、“机密”、“隐私”三级“绝密”是最重要的国家隐私，泄露会使国家的平安和利益遭遇特殊严峻的损害“机密”是重要的国家隐私，泄露会使国家的平安和利益遭遇严峻的损害“隐私”是一般的国家隐私，泄露会使国家的平安和利益遭遇损害。保守国家隐私法国家隐私的保密期限限定必要的期限或确定解密的条件一般，绝密30年，机密20年，隐私10年。依据工作须要确定公开的，正式公布时即视为解密。保守国家隐私法国家隐私的知悉范围应当依据工作须要限定在最小范围。限定到具体人员或限定到机关、单位，由机关、单位限定到具体人员。国家隐私的知悉范围以外的人员，因工作须要知悉国家隐私的，应当经过机关、单位负责人批准。保守国家隐私法隐私标记国家隐私的载体以及属于国家隐私的设备、产品，应当做出国家隐私标记。不属于国家隐私的，不应当做出国家隐私标记。保密期限未满而须要解密时，应以能够明显识别的方式标明“解密”字样，表明该项国家隐私事项已被解密。保守国家隐私法保密制度从事国家隐私载体制作、复制、修理、销毁，涉密信息系统集成，或者武器装备科研生产等涉及国家隐私业务的企业事业单位，应当经过保密审查，并取得相应资质，具体方法由国务院规定。保守国家隐私法法律责任（1）违反本法规定，有下列行为之一的，依法赐予处分；构成犯罪的，依法追究刑事责任：（一）非法获得、持有国家隐私载体的；（二）买卖、转送或者私自销毁国家隐私载体的；（三）通过一般邮政、快递等无保密措施的渠道传递国家隐私载体的；（四）邮寄、托运隐私载体出境，或未经有关主管部门批准，携带、传递国家隐私载体出境；（五）非法复制、记录、存储国家隐私的；（六）在私人交往和通信中涉及国家隐私的；保守国家隐私法法律责任（2）（七）在互联网及其他公共信息网络或者未实行保密措施的有线和无线通信中传递国家隐私的；（八）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的；（九）在未实行防护措施的状况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的；（十）运用非涉密计算机、非涉密存储设备存储、处理国家隐私信息的；（十一）擅自卸载、修改涉密信息系统的平安技术程序、管理程序的；（十二）将未经平安技术处理的退出访用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。涉密信息系统管理涉及国家隐私信息系统的分级疼惜管理

系统应当依据国家信息平安等级疼惜的基本要求，依据国家保密工作部门有关涉密信息系统分级疼惜的管理规定和技术标准，结合系统实际状况进行疼惜。系统依据所处理信息的最高密级，由低到高分为隐私、机密、绝密三个等级。非涉密信息系统不得处理国家隐私信息。商用密码管理条例商用密码，是指对不涉及国家隐私内容的信息进行加密疼惜或者平安认证所运用的密码技术和密码产品。商用密码产品，是指接受密码技术对不涉及国家隐私内容的信息进行加密疼惜或平安认证的产品。商用密码技术属于国家隐私。国家对商用密码产品的科研、生产、销售和运用实行专控管理。计算机信息系统平安疼惜作为我国第一个关于信息系统平安方面的法规，《中华人民共和国计算机信息系统平安疼惜条例》国务院令第147号，94年2月18日发布，分五章共31条，目的是疼惜信息系统的平安，促进计算机的应用和发展。主要内容：公安部主管全国计算机信息系统平安疼惜工作；计算机信息系统实行平安等级疼惜；健全平安管理制度；信息系统平安专用产品的销售实行许可证制度；公安机关行使监督职权，包括监督、检查、指导和查处危害信息系统平安的违法犯罪案件等。国际互联网平安管理－联网管理《中华人民共和国计算机信息网络国际联网管理暂行规定》体现了国家对国际联网实行统筹规划、统一标准、分级管理、促进发展的原则，主要内容如下：国务院信息化工作领导小组负责协调、解决有关国际联网工作中的重大问题。互联网络必需运用国家公用电信网供应的国际出入口信道。接入网络必需通过互联网络进行国际联网。用户的计算机或者网络必需通过接入网络进行国际联网。新建互联网络，必需报经国务院批准。拟从事国际联网经营活动或非经营活动的接入单位应具备确定的条件并报批。国际出入口信道供应单位、互联单位和接入单位应建立相应的网管中心。国际互联网平安管理－保密管理国家保密局发布、自2000年1月1日起施行的《计算机信息系统国际联网保密管理规定》共4章20条。主要内容如下：计算机信息系统国际联网的保密管理，实行限制源头、归口管理、分级负责、突出重点、有利发展的原则。涉及国家隐私的计算机信息系统，不得干脆或间接地与国际互联网或其他公共信息网络相联接，必需实行物理隔离。上网信息的保密管理坚持“谁上网谁负责”的原则。各级保密工作部门和机构接到举报或检查发觉网上有泄密状况时，应当立刻组织查处，并督促有关部门刚好实行补救措施，监督有关单位限期删除网上涉及国家隐私的信息。常见案例

制作计算机病毒、木马案电子银行账户被盗案黑客入侵、攻击、巧取豪夺案利用网络操纵股票案网络钓鱼案盗用QQ诈骗案网络（电子邮件、QQ、网页等）诈骗、勒索案利用网络散布虚假、诽谤信息案泄露个人隐私、国家隐私案传播淫秽、反动信息案不道德行为缘由(1)无知(2)心存侥幸(3)现实的无奈(4)无聊、低俗(5)恶搞(6)引起关注(7)广告营销有违道德案例1利用计算机的机时问题侵扰软件、作品的学问产权个人的计算行为影响到他人的合法访问编写或运行恶意代码黑客扫描系统漏洞及非法访问垃圾信息、垃圾邮件个人隐私信息公开和贩卖有违道德案例2曝隐私——冠希艳照门人肉搜寻——魔兽铜须门裸聊——建裸聊网站、与网友裸聊照片视频篡改营销炒作——明星绯闻、陶然居报复？炒作？——兽兽门有违道德案例3哗众取宠——网上乞钱，网络微博晒私奔供应虚假信息和造谣网上污言