CISP0501信息安全法规政策和标准含网络安全课件

信息安全法规、政策和标准版本：3.0发布日期：2014-12-1生效日期：2015-1-1一二请在这里输入您的主要叙述内容整体概述三请在这里输入您的主要叙述内容请在这里输入您的主要叙述内容课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定课程内容（2）信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准4课程内容（3）知识体知识域知识子域信息安全道德规范信息技术通行道德规范信息安全从业人员道德规范CISP职业道德准则计算机使用道德规范互联网使用道德规范

信息安全从业人员基本道德规范5知识域：信息安全法规知识子域：我国信息安全法规体系框架了解信息安全法治建设的意义了解我国信息安全法律法规体系框架6信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全事物中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚信息安全不再只是个技术问题，而更多地是个商业和法律问题信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范7我国的多级立法体系结构多级立法8我国信息安全法律法规体系框架在多级立法的体制下，我国已经先后颁布了一些包含信息安全相关内容的法律、法规、规章等宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法...计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例...公安部（安全专用产品等）原信产部（互联网域名等）国新办（互联网新闻信息服务）保密局（保密等）...国务院各部委北京市信息化促进条例、辽宁省计算机信息系统安全管理条例...北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法...9《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）我国信息安全法治建设的发展历程通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法（1989）（2010年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86计算机信息系统安全保护条例（1994）计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全的决定（2000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-002017年网络安全法（2016.11.7）2013年下半年提上日程，2014年形成草案，15年初形成征求意见稿，15年6月一审，16年6月二审、10月31日三审、11月7日人大通过，2017年6月1日施行154票赞成、0票反对、1票弃权互联网安全10知识域：信息安全法规知识子域：信息安全相关国家法律了解信息保护相关法律理解国家秘密的概念、基本范围和密级划分，以及保护国家秘密相关法律的要求理解商业秘密的概念、基本范围，以及保护商业秘密相关法律的要求理解个人信息的概念、基本范围，以及保护个人信息相关法律的要求理解网络违法犯罪的概念，了解打击网络违法犯罪相关法律了解在保护国家秘密、维护公共安全、规范电子签名行为等方面，我国从法律层面明确的信息安全相关工作的主管/监管机构及其具体职权11我国信息安全法律分类我国信息安全法律分类信息保护相关法律打击网络违法犯罪相关法律信息安全管理相关法律12信息保护相关法律信息保护相关法律保护国家秘密相关法律《保守国家秘密法》、《刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等保护商业秘密相关法律《反不正当竞争法》、《合同法》、《劳动法》、《刑事诉讼法》、《民事诉讼法》等保护个人信息相关法律《宪法》、《居民身份证法》、《护照法》、《民法通则》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等13国家秘密国家秘密14国家秘密的基本范围主要包括产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项国家事务重大决策中的秘密事项国防建设和武装力量活动中的秘密事项外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项国民经济和社会发展中的秘密事项科学技术中的秘密事项维护国家安全活动和追查刑事犯罪中的秘密事项党政秘密中符合上述各项内容的事项其他经国家保密行政管理部门确定的秘密事项15国家秘密的保密期限国家秘密的保密期限，除另有规定外绝密级不超过三十年机密级不超过二十年秘密级不超过十年另有规定主要是指在保密事项范围中明确规定某类国家秘密事项保密期限为“长期”的情况这些国家秘密事项长期关系国家安全和利益，即使定为三十年的最长保密期限，也难以满足保密需求不能确定保密期限的国家秘密，应当确定解密条件16国家秘密的密级划分密级描述泄露后果绝密最重要的国家秘密泄露会使国家安全和利益遭受特别严重的损害机密重要的国家秘密泄露会使国家安全和利益遭受严重的损害秘密一般的国家秘密泄露会使国家安全和利益遭受损害17《保守国家秘密法》主旨（总则）目的：保守国家秘密，维护国家安全和利益国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务国家保密行政管理部门主管全国的保密工作保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查主要内容对我国国家秘密的定密程序、解密制度和保密期限等作出了明确规定明确了国家秘密相关的保密制度明确了国家秘密的监督管理部门明确了对危害国家秘密安全的行为要追究的法律责任法律18商业秘密商业秘密不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息技术信息类商业秘密未公开的设计、程序、产品配方、制作工艺等完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据针对技术问题的技术诀窍经营信息类商业秘密经营策略、产销策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息19保护商业秘密相关法律（1）《反不正当竞争法》认定了侵犯商业秘密的不正当竞争行为，并对经营者侵犯商业秘密的行为进行了禁止《合同法》和《劳动合同法》有对商业秘密/技术秘密进行保护的条款《合同法》技术合同的内容应包括“技术情报和资料的保密”相关条款技术秘密转让合同的让与人和受让人均应承担保密义务20保护商业秘密相关法律（2）《劳动合同法》用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项《刑事诉讼法》涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理《民事诉讼法》对涉及商业秘密的证据应当保密，需要在法庭出示的，不得在公开开庭时出示人民法院审理民事案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理21个人信息个人信息有关一个可识别的自然人的任何信息姓名、职位、电话号码等可在适当范围内公开的信息健康体检报告、医疗记录、通话记录等不愿公开的个人隐私信息系统所特有的账号、口令等用于进行用户标识和身份鉴别的信息22《宪法》中的有关规定《宪法》第二章

公民的基本权利和义务

第40条公民的通信自由和通信秘密受法律的保护除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密法律23非法使用/滥用个人信息非法使用/滥用个人信息、侵犯个人隐私的行为未经他人同意，擅自公布他人的隐私材料以书面、口头形式宣扬他人隐私窃取或者以其他非法方式获取公民个人电子信息出售或者非法向他人提供公民个人电子信息网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息对在业务活动中经被收集者同意收集的公民个人电子信息没有采取必要的保密措施医疗机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料、健康体检报告等行为24打击网络违法犯罪相关法律网络违法犯罪狭义指以计算机网络为违法犯罪对象而实施的危害网络空间的行为广义是以计算机网络为违法犯罪工具或者为违法犯罪对象而实施的危害网络空间的行为，应当包括违反国家规定，直接危害网络安全及网络正常秩序的各种违法/犯罪行为相关法律《关于维护互联网安全的决定》《治安管理处罚法》《刑法》25网络违法/犯罪行为网络违法/犯罪行为破坏互联网运行安全的行为破坏国家安全和社会稳定的行为破坏社会主义市场经济秩序和社会管理秩序的行为侵犯个人、法人和其他组织的人身、财产等合法权利的行为利用互联网实施以上四类所列行为以外的违法/犯罪行为26信息安全主管/监管机构（1）保护国家秘密《中华人民共和国保守国家秘密法》由国家保密行政管理部门主管全国的保密工作县级以上地方各级保密行政管理部门主管本行政区域的保密工作国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作中央国家机关在其职权范围内，管理或者指导本系统的保密工作国家保密行政管理部门的最高机构是国家保密局27信息安全主管/监管机构（2）维护公共安全《人民警察法》和《治安管理处罚法》公安部门负责全国的治安管理工作县级以上地方各级人民政府公安机关负责本行政区域内的治安管理工作28信息安全主管/监管机构（3）规范电子签名行为《中华人民共和国电子签名法》电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务；从事电子认证服务，应当向国务院信息产业主管部门提出申请工业和信息化部29网络安全法（1）《中华人民共和国网络安全法》（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过）共7章79条第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则30网络安全法（2）六大突出亮点：第一，明确了网络空间主权的原则第二，明确了网络产品和服务提供者的安全义务第三，明确了网络运营者的安全义务第四，进一步完善了个人信息保护规则第五，建立了关键信息基础设施安全保护制度第六，确立了关键信息基础设施重要数据跨境传输的规则31网络安全法（3）1、国家承担的责任义务第三条国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。（明确原则、方针）第四条国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。（解决顶层设计问题）32网络安全法（4）第五条国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。（国家承担主要任务，解决行业自身力量不足问题）

第六条国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。（表明国际合作态度）

33网络安全法（5）第十二条国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。第十三条国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。(未成年人保护）

第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。（强化标准体系建设）34网络安全法（6）第十六条国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。（解决投入不足问题）第十七条国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。（社会广泛参与服务）第十八条国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。（鼓励和支持创新）35网络安全法（7）第十九条各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。（多种形式教育）第二十条国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。（解决人才不足问题）36网络安全法（8）2、职责任务第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。（重要条款。部门分工，本法与其他法律的关系）县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。37网络安全法（9）第十一条网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。（行业自律）第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。38网络安全法（10）3、国家网络安全等级保护制度第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。39网络安全法（11）4、网络运营者基本责任义务第九条网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。（保护重点）40网络安全法（12）第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（日志留存）（四）采取数据分类、重要数据备份和加密等措施；（数据安全）41网络安全法（13）第二十四条网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。（实名制要求）国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。（网络身份认证）42网络安全法（14）第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。（应急预案、应急处置）第二十六条开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。（第三方服务要守法）43网络安全法（15）5、关键信息基础设施的运行安全第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（CII必须落实国家等级保护制度，突出保护重点）

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。44网络安全法（16）第三十二条按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。（制定规划）第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。（三同步原则）45网络安全法（17）第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（重点措施）（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练

（五）法律、行政法规规定的其他义务。46网络安全法（18）第三十五条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。（非常态的网络产品和服务的国家安全审查）第三十六条关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。（外包服务安全，防范服务商）

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。（等级测评，风险评估，渗透测试）47网络安全法（19）6、数据境内存储和跨境提供第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。（数据留存和提供）7、网络产品、服务要求第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。48网络安全法（20）第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。（禁止网络犯罪和支持协助犯罪）8、网络信息安全第四十条网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。49网络安全法（21）第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。（强化个人信息保护）第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。（网络运营者对个人信息保护责任）50网络安全法（22）第四十五条依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供(监管人员责任）第四十六条任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。第四十七条网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告（违法信息传播的阻断义务）

第四十八条任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。（禁止传播违法信息）51网络安全法（23）第五十条国家网信部门和有关部门依法履行网络信息安全监督管理职责。发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。9、监测预警与应急处置第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。（将信息通报制度上升为法律）52网络安全法（24）第五十五条发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。（事件应急处置）第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。（约谈）53网络安全法（25）法律责任第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。54网络安全法（26）第六十九条网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正;拒不改正或者情节严重的，处五万元以上五十万元以下罚款;对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：(一)未将网络安全风险、网络安全事件向有关主管部门报告的;(二)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的;(三)拒绝、阻碍有关部门依法实施的监督检查的;(四)拒不向公安机关、国家安全机关提供技术支持和协助的。（对网络运营者未履行职责、义务进行处罚）55知识域：信息安全法规知识子域：信息安全相关行政法规和部门规章了解信息安全相关行政法规，掌握涉及信息安全的相关内容了解信息安全相关部门规章，掌握涉及信息安全的相关内容解读网络安全法，熟悉最新要求56信息安全相关行政法规《计算机信息系统安全保护条例》《商用密码管理条例》其他《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国电信条例》《互联网信息服务管理办法》《互联网上网服务营业场所管理条例》《信息网络传播权保护条例》...57《计算机信息系统安全保护条例》安全保护保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行主管部门公安部主管全国计算机信息系统安全保护工作（含安全监督职权）国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作安全保护制度计算机信息系统实行安全等级保护使用单位应当建立健全安全管理制度安全专用产品（硬件、软件）的销售实行许可证制度国务院令第147号，1994年2月18日发布施行58《商用密码管理条例》商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品商用密码技术属于国家秘密

主管部门国家密码管理委员会及其办公室主管全国的商用密码管理工作国家对商用密码产品的科研、生产、销售和使用实行专控管理管理要点商密产品销售单位应先获得《商用密码产品销售许可证》任何单位或者个人不得销售境外的密码产品不得使用自行研制的或者境外生产的密码产品不得转让其使用的商用密码产品（含故障维修、报废销毁）国务院令第273号，1999年10月7日发布施行59信息安全相关部门规章《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机信息系统保密管理暂行规定》《国家电子政务工程建设项目管理暂行办法》60《计算机信息系统安全专用产品

检测和销售许可证管理办法》公安部令第32号，1997年12月12日施行61《计算机信息系统保密管理暂行规定》国家保密局,国保发［1998］1号,1998年2月26日发布施行62《国家电子政务工程建设项目管理暂行办法》国家发改委令[2007]第55号,

2007年9月1日起施行63知识域：信息安全法规知识子域：信息安全相关地方法规、地方规章和行业规定了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容64地方法规《北京市信息化促进条例》2007年9月14日公布，自2007年12月1日起施行适用于北京市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动《上海市公共信息系统安全测评管理办法》2006年5月7日公布，2006年7月1日起施行适用于上海市行政区域内的公共信息系统安全测评管理活动，具体规定涉及测评的管理部门、责任制度、测评年度计划、新建系统的测评、测评机构、测评协议、测评要求、安全事项告知与协助义务、测评报告、安全整改，对测评机构违法行为的处理等方面《辽宁省计算机信息系统安全管理条例》《重庆市计算机信息系统安全保护条例》...65地方规章《北京市微博客发展管理若干规定》（2011年12月16日公布并施行）《北京市公共服务网络与信息系统安全管理规定》《北京市党政机关计算机网络与信息安全管理办法》《上海市公共信息系统安全测评管理办法》《天津市公共计算机信息网络安全保护规定》《黑龙江省计算机信息系统安全管理规定》《辽宁省计算机信息保密管理规定》《大连市人民政府公共信息网络管理暂行规定》《四川省计算机信息系统安全保护管理办法》《山西省计算机安全管理规定》《山东省计算机信息系统安全管理办法》《安徽省计算机信息系统安全保护办法》《河南省计算机信息系统安全保护暂行办法》66地方规章《广东省计算机信息系统安全保护管理规定》《广东省电子政务信息安全管理暂行办法》《广东省互联网上网服务营业场所管理办法》《广东省计算机信息系统安全保护管理规定实施细则（试行）》《广东省通信短信息服务管理办法（试行）》《深圳经济特区计算机信息系统公共安全管理规定》《福建省互联网上网服务营业场所管理规定》《江苏省互联网网络与信息安全管理暂行规定》《云南省网络与信息系统安全监察管理规定》《江西省计算机信息系统安全保护办法》《杭州市计算机信息系统安全保护管理办法》

...67行业规定中国银监会《电子银行业务管理办法》《电子银行安全评估指引》《银行业金融机构信息系统风险管理指引》中国证监会《网上证券委托暂行管理办法》《证券期货业信息安全保障管理暂行办法》《证券公司集中交易安全管理技术指引》《期货公司信息公示管理规定》（自2009年11月16日起施行）《深圳证券交易所交易异常情况处理实施细则（试行）》《上海证券交易所交易异常情况处理实施细则（试行）》...68知识域：信息安全法规知识子域：国外典型信息安全相关法规简介了解美国信息安全相关法规概况69国外信息安全法律法规简介国外信息安全法律法规简介（以美国为例）《信息自由法》（FreedomofInformationActof1966，FOIA）《爱国者法》（USAPatriotofActof2001）《联邦信息安全管理法案》（FederalInformationSecurityManagementActof2002，FISMA）《公众公司会计改革与投资者保护法》70《信息自由法》《信息自由法》美国对政府信息进行立法保护的首要原则是向公众公开原则

（也叫信息公开原则），是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由，但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举71《爱国者法》《爱国者法》是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律，也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中由于该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉案该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行调查72《联邦信息安全管理法案》《联邦信息安全管理法案》对国家信息安全管理职责的授权国家标准与技术局（NIST）为联邦政府使用的系统制定安全标准与指南管理与预算办公室（OMB）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督属于《电子政务法》的第三部分,《电子政务法》该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定73《公众公司会计改革与投资者保护法》《公众公司会计改革与投资者保护法》又名《萨班斯-奥克斯利法》主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全该法案要求公众公司保证其内部金融控制的准确性，规定由证券交易委员会（SEC）制定规则，强制要求公众公司年度报告中包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴定报告74知识域：信息安全政策知识子域：国家信息安全政策概况了解国家有关政策提出的加强信息安全保障工作的方针和总体要求理解国家有关政策规定的加强信息安全保障工作的主要原则理解国家有关政策规定的需要重点加强的信息安全保障工作75我国信息安全保障工作总体文件《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号明确了我国信息安全保障工作的方针和总体要求加强信息安全保障工作的主要原则需要重点加强的信息安全保障工作27号文的发布具有重大意义它标志着我国信息安全保障工作有了总体纲领我国最近十余年的信息安全保障工作都是围绕此政策性文件来展开和推进的促进了我国信息安全保障建设的各项工作76《国家信息化领导小组关于加强信息安全保障工作的意见》总体方针和要求坚持积极防御、综合防范的方针全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全主要原则立足国情，以我为主，坚持技术与管理并重正确处理安全和发展的关系，以安全保发展，在发展中求安全统筹规划，突出重点，强化基础工作明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系77《国家信息化领导小组关于加强信息安全保障工作的意见》主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制78我国信息安全政策的初步成效、后续展望初步成效依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等后续展望“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障79知识域：信息安全政策知识子域：信息安全相关国家政策了解信息安全相关国家政策理解风险评估、保密管理、应急处理、安全检查和工控安全等涉及信息安全的相关内容理解信息安全等级保护政策体系，了解信息安全等级保护相关政策80信息安全相关的政策风险评估相关政策保密管理相关政策应急处理相关政策安全检查相关政策工控安全相关政策等级保护相关政策加强信息安全保障相关政策物联网安全相关政策81关于开展信息安全风险评估工作的意见

（国信办[2006]5号）信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）信息安全风险评估分自评估、检查评估两形式,应以自评估为主，自评估和检查评估相互结合、互为补充相关保障参照标准:《信息安全风险评估规范》（GB/T20984-2007）、 《信息安全风险管理指南》（GB/Z24364-2009）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）风险评估相关政策82《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）依据和目的《国家电子政务工程建设项目管理暂行办法》---国家发改委令[2007]第55号目的是为了贯彻落实中办发[2003]27号文，加强基础信息网络和重要信息系统安全保障，加强和规范国家电子政务工程建设项目信息安全风险评估工作风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等两类信息系统的工作开展涉密信息系统参照“分级保护”非涉密信息系统参照“等级保护”相关要点要求将“信息安全风险评估”作为电子政务项目验收的重要内容对信息安全风险评估机构的指定（1家+3家）投入运行后，应定期开展信息安全风险评估风险评估相关政策83关于加强政府信息系统安全和保密管理工作的通知（国办发[2008]17号）加强组织领导，明确安全责任把信息安全和保密工作列入重要议事日程，明确主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责强化教育培训，提高安全意识和防护技能组织信息安全和保密基本技能培训深入学习宣传信息安全“五禁止”规定建立健全安全管理制度，完善安全措施和手段管理制度+技术手段做好信息安全检查工作，依法追究责任详见《政府信息系统安全检查办法》保密管理相关政策84关于印发国家网络与信息安全事件应急预案的通知（国办函[2008]168号）背景2003年：国务院成立应急办，颁布了《国家突发公共卫生事件应急条例》2006年：《国家突发公共事件总体应急预案》（4大类公共事件）

《国家网络与信息安全事件应急预案》2007年：制定发布《国家突发事件应对法》2008年，国务院办公厅发布本通知（国办函[2008]168号）预案要点网络与信息安全事件的分类分级参照标准：《信息安全事件分类分级指南》（GB/Z20986）应急流程阶段：预防预警—应急处置—后期处置参照标准：《信息安全事件管理指南》（GB/Z20985）组织体系和应急保障应急队伍、经费、物资、通信、科技。。。监督管理宣传教育、培训、演练、责任与奖惩应急处理相关政策85关于印发政府信息系统安全检查办法的通知（国办发[2009]28号）概述依据《关于加强政府信息系统安全和保密管理工作的通知》（国办发[2008]17号）检查范围各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。检查重点国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。检查方式各单位自查+统一组织抽查+安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工《2009年度政府信息系统安全检查指南》（工信部协[2009]168号）《2010年度政府信息系统安全检查指南》（工信部协[2010]143号）《2011年度政府信息系统安全检查指南》（工信部协[2011]214号）安全检查相关政策86关于加强工业控制系统信息安全管理的通知（工信部协[2011]451号）基本情况工信部协[2011]451号，2011年9月29日发布强调了工业控制系统信息安全的重要性工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全四个方面要求充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导工控安全相关政策87等级保护相关政策信息安全等级保护的提出《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB17859-1999《计算机信息系统安全保护等级划分准则》定义了安全保护等级的五个级别88信息安全等级保护法规政策体系89依据和指导文件等级保护工作的法律依据和政策依据《中华人民共和国计算机信息系统安全保护条例》《国家信息化领导小组关于加强信息安全保障工作的意见》为等级保护工作的开展提供宏观指导和约束《关于信息安全等级保护工作的实施意见》《信息安全等级保护管理办法》90关于信息安全等级保护工作的实施意见

（公字通[2004]66号）信息和信息系统的安全保护等级（及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度实施要求完善标准,分类指导（管理规范和技术标准）科学定级,严格备案（专家评审委员会）建设整改,落实措施（信息系统：已有、新建、改建、扩建）自查自纠,落实要求（运营、使用单位及其主管部门）建立制度,加强管理（运营、使用单位及其主管部门）监督检查,完善保护（公安机关重点对第三、第四级系统监督检查）91关于印发<信息安全等级保护管理办法>的通知（公字通[2007]43号）《通知》是政策，《管理办法》属于部门规章联合发文：公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级实施与管理具体实施等级保护工作

参照标准：《信息系统安全等级保护实施指南》确定安全保护等级

参照标准：《信息系统安全等级保护定级指南》系统建设

参照标准：《信息系统安全等级保护基本要求》等等级测评

参照标准：《信息系统安全等级保护测评要求》二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求涉密信息系统按分级保护管理对信息安全等级保护的密码实行分类分级管理92关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）背景根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作定级范围电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统市(地)级以上党政机关的重要网站和办公信息系统涉及国家秘密的信息系统(涉密信息系统)工作内容摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）93关于开展信息安全等级保护安全建设整改工作的指导意见（公信安[2009]1429号）工作目标力争在2012年底前完成已定级信息系统(不含涉密信息系统)安全建设整改工作工作内容开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求《信息安全等级保护安全建设整改工作指南》参照标准：《信息系统安全等级保护基本要求》信息系统安全建设整改工作基本流程（管理建设、技术建设）信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类）94《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）指导思想坚持积极利用、科学发展、依法管理、确保安全，加强统筹协调和顶层设计，健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全，促进经济平稳较快发展和社会和谐稳定主要目标国家信息安全保障体系基本形成，重要信息系统和基础信息网络安全防护能力明显增强，信息化装备的安全可控水平明显提高，信息安全等级保护等基础性工作明显加强近期主要任务健全安全防护和管理，保障重点领域信息安全加快能力建设，提升网络与信息安全保障水平完善政策措施加强信息安全保障相关政策95《国务院关于推进物联网有序健康发展的指导意见》（国发〔2013〕7号)为推进物联网有序健康发展提出了指导思想、基本原则和发展目标，明确了主要任务和保障措施指导思想要求以保障安全为前提，强化标准规范，有序推进物联网持续健康发展基本原则安全可控物联网安全相关政策96知识域：信息安全政策知识子域：国外信息安全相关政策了解美国信息安全相关政策概况97国外信息安全政策简介国外信息安全国家政策简介（以美国为例）美国各届政府对信息安全均很重视，发布了若干与信息安全相关的政策与系列举措克林顿政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：《总统国家安全战略报告》（首次将信息安全列入）布什政府911之后，成立本土安全部（国土安全部）、国家KIP委员会2002年：《国家保障数字空间安全策略》、《国家安全战略报告》2003年：《网络空间安全国家战略计划》奥巴马政府上任之初：60天信息安全评估项目2009年：《美国网络安全评估》2010年：网络战司令部正式运行98奥巴马政府的新举措上台不久就亲自主导了一个60天的信息安全评估项目，2009年5月公布了《美国网络安全评估》报告，评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，并提出行动计划（最高层领导、数字化能力、安全责任、信息共享和事件反应机制5大方面）成立了网络安全办公室，任命了“网络沙皇”为网络安全协调官。参议院向国会提交了《网络安全法》议案2010年6月，美国国防部正式成立了由战略司令部领导的网络战司令部（主要进行数字战争，防护针对美军计算机网络的安全威胁）。司令部将于2010年10月正式运行促使政府对外公布《国家网络安全综合计划》（即信息安全曼哈顿计划）的概要，实行政策透明，以获得民众对政策的理解99知识域：信息安全标准基础知识子域：标准的作用理解标准和标准化相关的基本概念了解标准的作用知识子域：标准化的特点和原则了解标准化的特点了解标准化工作应遵循的原则知识子域：我国国家标准的类型和代码了解强制性、推荐性和标准化指导性技术文件三类国家标准及其代码了解各类标准的特点100标准和标准化相关基本概念标准为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件标准化（GB/T20000.1-2002）为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动国际标准由国际标准化组织或国际标准组织通过并公开发布的标准国家标准由国家标准机构通过并公开发布的标准国际标准化组织（ISO）其成员资格向每个国家的有关国家机构开放的标准化组织国家标准机构在国家层面上承认的，有资格成为相应的国际和区域标准组织的国家成员的标准机构（中国国家标准化管理委员会）101标准的作用作用标准是进行贸易的基本条件标准能够提高企业的经济效益标准能够提高国民经济效益标准既能打破技术壁垒，也能成为新的技术壁垒102标准化的特点特点标准化的对象是共同的、可重复的事物不是孤立的一件事、一个事物标准化的动态性随着科技的进步和社会的发展而不断变化发展标准化的相对性原有标准随着社会发展和环境变化，需要更新标准化的效益通过应用体现经济和社会效益103标准化工作应遵循的原则原则简化统一协调优化104我国国家标准的代码按标准层次分强制性国家标准（GB）推荐性国家标准（GB/T）国家标准化指导性技术文件（GB/Z）除了国家标准，还有行业标准、地方标准等。105知识域：信息安全标准化组织知识子域：国际信息安全标准化组织了解国际信息安全标准化组织及其工作知识子域：国外信息安全标准化组织了解国外典型信息安全标准化组织及其工作知识子域：我国信息安全标准化组织了解我国信息安全标准化组织及其工作106国际主要的信息安全标准化组织国际标准化组织（ISO）InternationalOrganizationforStandardization成立于1947年，是最大的非政府性标准化专门机构国际电工委员会（IEC）InternationalElectrotechnicalCommission成立于1906年，是成立最早的国际标准化机构Internet工程任务组（IETF）InternetEngineeringTaskForce成立于1986年，以RFC文件形式发布标准规范ISO/IECJTC1SC27ISO和IEC联合技术委员会--信息安全标准化的分技术委员会国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T）107国际信息安全标准化组织ISO/IECJTC1SC27信息技术安全技术信息安全管理体系工作组密码与安全机制工作组安全评估准则工作组安全控制与服务工作组身份管理与隐私技术工作组108美国标准化组织ANSI美国国家标准协会（AmericanNationalStandardsInstitute）分技术委员会T4负责IT安全技术标准化工作，对口JTC1的SC27X9制定金融业务标准、X12制定商业交易标准(EDI)NIST美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology）负责联邦政府非密敏感信息FIPSIEEE美国电气和电子工程师协会（InstituteofElectricalandElectronicsEngineers）P1363109其他区域性信息安全标准化组织ECMA欧洲计算机制造联合会（EuropeanComputerManufacturersAssociation）由主流厂商组成研究信息和通讯技术方面的标准并发布有关技术报告ETSI欧洲电信标准协会（EuropeanTelecommunicationsStandardsInstitute，）非赢利性的电信标准化组织ASTAP亚太地区电信标准化机构（Asia-PacificTelecommunityStandardizationProgram）该组织和ETSI与ITU、ISO和IEC等标准化组织协调合作，推动全世界的标准化活动110我国标准化组织中国国家标准化管理委员会是我国最高级别的国家标准机构全国信息安全标准化技术委员会（TC260)www.TC260.org1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委，TC260），由国家标准委直接领导，对口ISO/IECJTC1SC27国家标准化管理委员会高新函[2004]1号文决定：自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作111全国信息安全标准化技术委员会TC260信息安全标准体系与协调工作组（WGl）涉密信息系统安全保密工作组（WG2）密码技术工作组（WG3）鉴别与授权工作组（WG4）信息安全评估工作组（WG5）-产品相关通信安全标准工作组（WG6）信息安全管理工作组（WG7）-管理相关112知识域：信息安全标准体系知识子域：我国信息安全标准体系了解我国信息安全标准体系框架知识子域：信息安全等级保护标准体系理解信息安全等级保护标准体系理解在信息安全等级保护建设的各阶段应遵循的标准知识子域：国际信息安全标准体系了解国际信息安全标准体系框架113信息安全标准体系信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体是编制信息安全标准制订/修订计划的重要依据是促进信息安全领域内的标准组成趋向科学化、合理化的手段是一幅现有、应有和预计制定的信息安全标准的蓝图，并随着科学技术的发展不断地完善和更新114我国信息安全标准体系115信息安全等级保护标准体系116信息安全等级保护十大标准基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/T25058-2010应用类117其它相关标准技术类GB/T21052-2007信息安全技术

信息系统物理安全技术要求GB/T20270-2006信息安全技术

网络基础安全技术要求GB/T20272-2006信息安全技术

操作系统安全技术要求GB/T20273-2006信息安全技术

数据库管理系统安全技术要求其他信息产品、信息安全产品相关标准...其他类GB/T20984-2007信息安全技术

信息安全风险评估规范GB/Z24364-2009信息安全技术

信息安全风险管理指南GB/T24363-2009信息安全技术

信息安全应急响应计划规范GB/Z20285-2007信息安全技术

信息安全事件管理指南GB/Z20986-2007信息安全技术

信息安全事件分类分级指南GB/T20988-2007信息安全技术

信息系统灾难恢复规范

1187、系统服务安全等级定级指南－－GB/T22240-2008保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护定级方法保护对象对客体的侵害程度客体：社会关系受侵害的客体信息系统安全系统服务安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8＝MAX（4，7）1、确定定级对象（系统边界）一般流程等级确定119控制点控制项安全要求类层面一级二级三级四级一级二级三级四级技术要求物理安全71010109193233网络安全36779183332主机安全46796193236应用安全479117193136数据安全及备份恢复233324811管理要求安全管理制度2333371114安全管理机构4555492020人员安全管理45557111618系统建设管理99111120284548系统运维管理912131318416270合计/4866737785175290318级差//1874/9011528基本要求－－GB/T22239-2008120实施指南－－GB/T25058-2010等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止国家管理部门（4家）信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商121测评要求--GB/T28448-2012测评强度信息系统安全等级第一级第二级第三级第四级访谈广度种类和数量上抽样，种类和数量都较少种类和数量上抽样，种类和数量都较多数量上抽样，基本覆盖数量上抽样，基本覆盖深度简要充分较全面全面检查广度种类和数量上抽样，种类和数量都较少种类和数量上抽样，种类和数量都较多数量上抽样，基本覆盖数量上抽样，基本覆盖深度简要充分较全面全面测试广度种类和数量、范围上抽样，种类和数量都较少，范围小种类和数量、范围上抽样，种类和数量都较多,范围大数量、范围上抽样，基本覆盖数量、范围上抽样，基本覆盖深度功能测试/性能测试功能测试/性能测试功能测试/性能测试，渗透测试功能测试/性能测试，渗透测试122测评过程指南-GB/T28449-2012方案编制测评准备分析与报告编制现场测评项目启动、信息收集和分析、工具和表单准备测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发、测评方案编制现场测评准备（一般包括：访谈、文档审查、配置检查、工具测试和实地察看）、现场测评和结果记录、结果确认和资料归还单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制文档R&R123国际信息安全标准体系框架国际信息安全标准体系信息安全管理体系标准密码技术与安全机制标准安全评价准则标准安全控制与服务标准身份管理与隐私保护技术标准词汇标准要求标准指南标准相关标准为实现保密性、完整性和可用性而开发的各种安全机制标准安全评价标准安全功能和保证规范针对潜在/显现信息安全问题的标准针对已知信息安全问题的标准针对信息安全违反和损害的标准身份管理相关标准生物识别相关标准隐私保护相关标准ISO27000ISO27001ISO27006ISO27002ISO27003ISO18033ISO19772...ISO15408ISO18045...ISO19790ISO24759...ISO27032ISO27033ISO27037ISO24760ISO29144ISO29100124知识域：我国信息安全典型标准介绍知识子域：基础标准了解已发布的基础标准及其适用范围知识子域：技术与机制标准了解已发布的技术与机制标准及其适用范围知识子域：管理标准了解已发布的管理标准及其适用范围125知识域：我国信息安全典型标准介绍知识子域：测评标准了解已发布的测评标准及其适用范围了解《信息技术安全性评估准则》的结构理解相关概念（TOE、PP、ST、EAL）了解《信息系统安全保障评估框架》的意义和结构知识子域：密码技术标准了解已发布的密码技术标准及其适用范围126基础标准GB/T25069–2010《信息安全技术术语》定义信息安全领域相关术语分为一般概念术语、信息安全技术术语、信息安全管理术语三类GB/T9387.1-1998《信息技术

开放系统互连

基本参考模型

第1部分：基本模型》

idtISO/IEC7498-1:1994GB/T9387.2-1995《信息处理系统

开放系统互连

基本参考模型

第2部分：安全体系结构》idtISO749