信息安全法律法规15

课程安排总课时：32课时第一章信息安全法概述4学时第二章纯正的计算机犯罪4学时第三章不纯正的计算机犯罪4学时第四章电子证据及计算机取证4学时第五章与信息安全相关的热点问题12学时第六章计算机安全与道德规范2学时第七章计算机犯罪对策2学时biti_statute@口令：12345678第一页，共30页。教材及参考书教材：《信息安全法教程》第二版麦永浩袁翔珠著武汉大学出版社2010.6参考书：《信息安全法研究》马民虎主编陕西人民出版社2004.11《网络法学》张楚主编高等教育出版2003.5《法律基础》教育部社科司组编高等教育出版社2003.7第二页，共30页。第七章计算机安全等级保护北京信息科技大学刘凯

第三页，共30页。主要内容

概述我国计算机等级保护的主要内容我国计算机安全保护等级标准解读《信息安全等级保护管理办法》

第四页，共30页。第一节我国计算机安全等级保护等保和重要性等保的相关法律1994年,《保护条例》中提出2001年，《划分准则》（GB17859-1999）开始执行2003年，《意见》提出加紧等保制度的建设2004年，《实施意见》重申等保的意义并部署操作办法2006年，《管理办法》规定了主要部门的职能第五页，共30页。第一节我国计算机安全等级保护主要内容1.对信息系统按业务安全应用域和区实行分级保护：第一级级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专控保护级2.对系统中使用的信息安全产品实行按分级许可管理3.对等级系统的安全服务资质分级许可管理4.对信息系统中发生的信息安全事件分等级响应、处置第六页，共30页。第二节我国计算机安全保护等级标准国外等级保护的发展历程1985年，美国国防部公布《可信计算机评估标准》（TCSEC）1990年，英、德、法、荷提出《信息技术安全评估标准》（ITSEC）1991年，六国七方开始制定《通用安全评估准则》（CC）计划，1996年1月公布CC1.0版；1998年公布CC2.0版，1999年ISO接受CC为国际标准ISO/IEC15408第七页，共30页。第二节我国计算机安全保护等级标准我国等保的标准体系及相互关系基础性标准构建过程控制标准测评过程控制标准运行过程控制标准基本思想以信息安全五个属性为基本内容，从5个层面，按5个等级的不同要求，要别对三个过程，实现对不同信息类别按不同要求进行分等级安全保护的总体目标。第八页，共30页。第二节我国计算机安全保护等级标准划分准则第1级，系统自主保护级第2级，系统审计保护级第3级，安全标记保护级第4级，结构化保护级第5级，访问验证保护级第九页，共30页。第三节解读《信息安全等级保护管理办法》1.总则公安机关负责信息安全等级保护工作的监督、检查、指导国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导涉及其它职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理国信办及地方信息化领导小组办事机构负责等级保护工作的部门间的协调第十页，共30页。第三节解读《信息安全等级保护管理办法》2.等级划分与保护信息系统的等级保护分为以下五级；第一级，不损害国家安全、社会秩序和公共利益第二级，不损害国家安全第三级，社会秩序和公共利益受严重损害，或国家安全受到损害第四级，社会秩序和公共利益受特别严重损害，或国家安全受到严重损害第五级，对国家安全造成特别严重损害第十一页，共30页。第三节解读《信息安全等级保护管理办法》3.等级保护的实施与管理信息系统建设过程中，应参照有关标准信息系统建设完成后，按要求定期进行测评，三级系统至少每年一次；四级至少每半年一次；第五级系统应依据特殊安全需求进行安全测评。二级以上系统应到所在地市级以上公安机关备案公安机关应当对第三级、第四级系统进行定期检查对第五级系统，应当由国家指定的专门部门进行检查对三级以上安全产品，和等保测评机构进行规定第十二页，共30页。第三节解读《信息安全等级保护管理办法》涉密系统的分级保护管理依据等保的基本要求，按国家保密部门有关涉密系统分级保护的管理规定和技术标准；非涉密系统不得处理国家秘密信息涉密系统按处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级涉密系统建设需要具有涉密集成资质的单位承担对应于秘密、机密和绝密，其保护水平总体上不低于等保的第三级、第四级、第五级的水平。涉密系统的安全产品原则上应当选择国产品第十三页，共30页。第三节解读《信息安全等级保护管理办法》等保的密码管理国家密码管理部门对信息安全等级保护的密码实行分类分级管理。必须采用经密码办批准的密码产品；不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。测评机构需由国家密码管理局认可，其它任何部门、单位和个人不得对密码进行评测和监控第十四页，共30页。第三节解读《信息安全等级保护管理办法》法律责任三级以上信息系统运营、使用单位违反本法规定，需要进行相关处理，造成严重损害的，由相关部门依据有关法律、法规给以处理。信息安全监管部门及其工作人员在履行监管职责中，玩忽职守、滥用职权、徇私舞弊的，依法给予行政处分；构成犯罪的，依法追究刑事责任。附则180日内确定等保级别；新建系统在设计阶段确定级别第十五页，共30页。第八章技术法规和技术标准北京信息科技大学刘凯

第十六页，共30页。主要内容

概述网络与信息安全标准研究现状信息安全管理标准信息安全评估标准信息安全服务资质评估准则信息安全测评认证标准信息安全产品评估标准第十七页，共30页。概述信息安全标准的基础性、规范性作用保证信息安全产品和系统的一致性、可靠性、可控性信息安全标准体系主要包括基础标准：术语、体系结构、模型和框架等技术标准：各类安全技术标准管理标准：系统安全管理、等级保护、工程、评估和运行等方面测评标准：评估基础、产品评估、系统评估我国2002年成立信息安全标委，TC260，CISTC）第十八页，共30页。第一节网络与信息安全标准研究现状信息安全标准组织简介国际ISO/IEOJTC1所属SC27（安全技术分委会）IEC（国际电工委员会）ITU（国际电信联盟）IETF（互联网工作任务组）国内CITS（信息技术安全标准化技术委员会）CCSA（中国通信标准化协会）下辖的网络与信息安全技术工作委员会第十九页，共30页。第2节信息安全管理标准发展1995BS7799-11998BS7799-22000.12ISO177992005.10～ISO27001～2700５基于风险管理的思想，指导组织建立信息安全管理体系ISMS。ISMS系统化：安全风险评估、预防控制为主程序化：强调全过程和动态控制文化化：遵守国家有关法律法规和其他合同方要求第二十页，共30页。第2节信息安全管理标准主要内容第一部分：１０大管理要项；３６个执行目标；１２７个控制方法第10要项：法律符合性．信息系统的设计、操作和使用均需符合法规（刑法、民法、知识产权法等）。第二部分：ISO/IEC27001：2005用于认证目的，可以帮助组织建立和维护ISMS适用于所有类型的组织要求组织通过风险评估的方法，建立、实施、运行、监视、评审、保持和改进其ISMS基于“PDCA”过程模型，进行管理和控制第二十一页，共30页。第三节信息安全评估标准1985TCSEC机密性1991年ITSEC机密性、完整性、可用性1996年CC（1999年ISO15408，GB18336）安全功能、安全保障1996年ISO13335保密性、完整性、可用性、审计性、认证性、可靠性以风险为核心的安全模型1999年GB17895-1999（等级保护）第二十二页，共30页。第四节信息安全服务资质评估标准适用范围有关概念信息安全服务信息安全服务提供者信息安全服务资质等级信息安全工程过程能力级别信息安全服务评估组织信息安全服务类型安全工程、安全测试和监控、安全相关施工、安全咨询和教育、方案试验、其它服务第二十三页，共30页。第四节信息安全服务资质评估标准提供信息安全服务的基本资格要求提供信息安全服务的基本能力要求组织与管理要求技术能力要求人员构成与素质要求设备、实施与环境要求等等信息安全工程过程及能力级别信息安全工程是一组与信息安全相关的工程过程的集合，至少包括11个基本过程；能力级别可以反映组织的成熟程度，可以划分5个级别信息安全服务资质等级划分第二十四页，共30页。第五节信息安全测评认证标准测评认证工作体系三个层次：信息安全认证管理委员会、信息安全测评认证中心、测评分支机构信息安全测评认证中心第二十五页，共30页。第六节信息安全产品评估标准信息安全产品广义：具备安全功能的产品狭义：具有安全功能的专用产品2005年以来的国家标准见书p232第二十六页，共30页。小结1、实施等保的意义?等保标准体系的理解2、《信息安全等级保护管理办法》的主要内容3、信息安全标准●——重要知识点第二十七页，共30页。第二十八页，共30页。附录1十大重要标准计算机信息系统安全等级保护划分准则（GB17859-1999）（基础类标准）信息系统安全等级保护实施指南（GB/T25058-2010）（基础类标准）信息系统安全保护等级定级指南（GB/T22240-2008）（应用类定级标准）信息系统安全等级保护基本要求（GB/T22239-2008）（应用类建设标准）信息系统通用安全技术要求（GB/T20271-2006）（应用类建设标准）信息系统等级保护安全设计技术要求（GB/T25070-2010）（应用类建设标准）信息系统安全等级保护测评要求（GB/T28448-2012）（应用类测评标准）信息系统安全等级保护测评过程指南（GB/T28449-2012）（应用类测评标准）信息系统安全管理要求（GB/T20269-2006）（应用类管理标准）信息系统安全工程管理要求（GB/T20282-2006）（应用类管理标准）第二十九页，共30页。附录2其它相关标准GB/T21052-2007信息安全技术信息系统物理安全技术要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T202