信息安全法规、政策和标准

信息安全法规、政策和标准版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定课程内容（2）3信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准课程内容（3）4知识体知识域知识子域信息安全道德规范信息技术通行道德规范信息安全从业人员道德规范CISP职业道德准则计算机使用道德规范互联网使用道德规范

信息安全从业人员基本道德规范课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定知识域：信息安全法规知识子域：我国信息安全法规体系框架了解信息安全法治建设的意义了解我国信息安全法律法规体系框架6信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全事物中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚信息安全不再只是个技术问题，而更多地是个商业和法律问题信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范7我国的多级立法体系结构8多级立法我国信息安全法律法规体系框架在多级立法的体制下，我国已经先后颁布了一些包含信息安全相关内容的法律、法规、规章等9法律行政法规地方性法规地方政府规章部门规章全国人大及其常委会国务院地方人大及常委会地方人民政府宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法...计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例...公安部（安全专用产品等）原信产部（互联网域名等）国新办（互联网新闻信息服务）保密局（保密等）...国务院各部委北京市信息化促进条例、辽宁省计算机信息系统安全管理条例...北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法

...《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）我国信息安全法治建设的发展历程通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法（1989）（2010年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86计算机信息系统

安全保护条例（1994）计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全的决定（2000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-0010课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定知识域：信息安全法规知识子域：信息安全相关国家法律了解信息保护相关法律理解国家秘密的概念、基本范围和密级划分，以及保护国家秘密相关法律的要求理解商业秘密的概念、基本范围，以及保护商业秘密相关法律的要求理解个人信息的概念、基本范围，以及保护个人信息相关法律的要求理解网络违法犯罪的概念，了解打击网络违法犯罪相关法律了解在保护国家秘密、维护公共安全、规范电子签名行为等方面，我国从法律层面明确的信息安全相关工作的主管/监管机构及其具体职权12我国信息安全法律分类我国信息安全法律分类信息保护相关法律打击网络违法犯罪相关法律信息安全管理相关法律13信息保护相关法律信息保护相关法律保护国家秘密相关法律《保守国家秘密法》、《刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等保护商业秘密相关法律《反不正当竞争法》、《合同法》、《劳动法》、《刑事诉讼法》、《民事诉讼法》等保护个人信息相关法律《宪法》、《居民身份证法》、《护照法》、《民法通则》、

《全国人民代表大会常务委员会关于维护互联网安全的决定》、

《全国人民代表大会常务委员会关于加强网络信息保护的决定》等14国家秘密国家秘密15国家安全和利益在一定时间内只限一定范围的人员知悉依照法定程序确定国家秘密的基本范围主要包括产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项国家事务重大决策中的秘密事项国防建设和武装力量活动中的秘密事项外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项国民经济和社会发展中的秘密事项科学技术中的秘密事项维护国家安全活动和追查刑事犯罪中的秘密事项党政秘密中符合上述各项内容的事项其他经国家保密行政管理部门确定的秘密事项16国家秘密的保密期限国家秘密的保密期限，除另有规定外绝密级不超过三十年机密级不超过二十年秘密级不超过十年另有规定主要是指在保密事项范围中明确规定某类国家秘密事项保密期限为“长期”的情况这些国家秘密事项长期关系国家安全和利益，即使定为三十年的最长保密期限，也难以满足保密需求不能确定保密期限的国家秘密，应当确定解密条件17国家秘密的密级划分密级描述泄露后果绝密最重要的国家秘密泄露会使国家安全和利益遭受特别严重的损害机密重要的国家秘密泄露会使国家安全和利益遭受严重的损害秘密一般的国家秘密泄露会使国家安全和利益遭受损害18《保守国家秘密法》主旨（总则）目的：保守国家秘密，维护国家安全和利益国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务国家保密行政管理部门主管全国的保密工作保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查主要内容对我国国家秘密的定密程序、解密制度和保密期限等作出了明确规定明确了国家秘密相关的保密制度明确了国家秘密的监督管理部门明确了对危害国家秘密安全的行为要追究的法律责任法律19商业秘密商业秘密不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息技术信息类商业秘密未公开的设计、程序、产品配方、制作工艺等完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据针对技术问题的技术诀窍经营信息类商业秘密经营策略、产销策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息20保护商业秘密相关法律（1）《反不正当竞争法》认定了侵犯商业秘密的不正当竞争行为，并对经营者侵犯商业秘密的行为进行了禁止《合同法》和《劳动合同法》有对商业秘密/技术秘密进行保护的条款《合同法》技术合同的内容应包括“技术情报和资料的保密”相关条款技术秘密转让合同的让与人和受让人均应承担保密义务21保护商业秘密相关法律（2）《劳动合同法》用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项《刑事诉讼法》涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理《民事诉讼法》对涉及商业秘密的证据应当保密，需要在法庭出示的，不得在公开开庭时出示人民法院审理民事案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理22个人信息个人信息有关一个可识别的自然人的任何信息姓名、职位、电话号码等可在适当范围内公开的信息健康体检报告、医疗记录、通话记录等不愿公开的个人隐私信息系统所特有的账号、口令等用于进行用户标识和身份鉴别的信息23《宪法》中的有关规定《宪法》第二章

公民的基本权利和义务

第40条公民的通信自由和通信秘密受法律的保护除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密法律24非法使用/滥用个人信息非法使用/滥用个人信息、侵犯个人隐私的行为未经他人同意，擅自公布他人的隐私材料以书面、口头形式宣扬他人隐私窃取或者以其他非法方式获取公民个人电子信息出售或者非法向他人提供公民个人电子信息网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息对在业务活动中经被收集者同意收集的公民个人电子信息没有采取必要的保密措施医疗机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料、健康体检报告等行为25打击网络违法犯罪相关法律网络违法犯罪狭义指以计算机网络为违法犯罪对象而实施的危害网络空间的行为广义是以计算机网络为违法犯罪工具或者为违法犯罪对象而实施的危害网络空间的行为，应当包括违反国家规定，直接危害网络安全及网络正常秩序的各种违法/犯罪行为相关法律《关于维护互联网安全的决定》《治安管理处罚法》《刑法》26网络违法/犯罪行为网络违法/犯罪行为破坏互联网运行安全的行为破坏国家安全和社会稳定的行为破坏社会主义市场经济秩序和社会管理秩序的行为侵犯个人、法人和其他组织的人身、财产等合法权利的行为利用互联网实施以上四类所列行为以外的违法/犯罪行为27信息安全主管/监管机构（1）保护国家秘密《中华人民共和国保守国家秘密法》由国家保密行政管理部门主管全国的保密工作县级以上地方各级保密行政管理部门主管本行政区域的保密工作国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作中央国家机关在其职权范围内，管理或者指导本系统的保密工作国家保密行政管理部门的最高机构是国家保密局28信息安全主管/监管机构（2）维护公共安全《人民警察法》和《治安管理处罚法》公安部门负责全国的治安管理工作县级以上地方各级人民政府公安机关负责本行政区域内的治安管理工作29信息安全主管/监管机构（3）规范电子签名行为《中华人民共和国电子签名法》电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务；从事电子认证服务，应当向国务院信息产业主管部门提出申请工业和信息化部30课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定知识域：信息安全法规知识子域：信息安全相关行政法规和部门规章了解信息安全相关行政法规，掌握涉及信息安全的相关内容了解信息安全相关部门规章，掌握涉及信息安全的相关内容32信息安全相关行政法规《计算机信息系统安全保护条例》《商用密码管理条例》其他《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国电信条例》《互联网信息服务管理办法》《互联网上网服务营业场所管理条例》《信息网络传播权保护条例》...33《计算机信息系统安全保护条例》安全保护保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行主管部门公安部主管全国计算机信息系统安全保护工作（含安全监督职权）国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作安全保护制度计算机信息系统实行安全等级保护使用单位应当建立健全安全管理制度安全专用产品（硬件、软件）的销售实行许可证制度34国务院令第147号，1994年2月18日发布施行《商用密码管理条例》商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品商用密码技术属于国家秘密

主管部门国家密码管理委员会及其办公室主管全国的商用密码管理工作国家对商用密码产品的科研、生产、销售和使用实行专控管理管理要点商密产品销售单位应先获得《商用密码产品销售许可证》任何单位或者个人不得销售境外的密码产品不得使用自行研制的或者境外生产的密码产品不得转让其使用的商用密码产品（含故障维修、报废销毁）35国务院令第273号，1999年10月7日发布施行信息安全相关部门规章《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机信息系统保密管理暂行规定》《国家电子政务工程建设项目管理暂行办法》36《计算机信息系统安全专用产品

检测和销售许可证管理办法》两个必须安全专用产品在进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》申领销售许可证时,必须对产品进行安全功能检测和认定检测（机构）检测机构对产品（样品）的安全功能和性能进行检测检测机构应保守检测产品的技术秘密，并不得非法占有他人科技成果，不得从事与检测产品有关的开发和对外咨询业务销售许可证（主管部门）由公安部计算机管理监察部门颁发安全专用产品销售许可证（两年内有效）、“销售许可”标记安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录,由公安部计算机管理监察部门发布37公安部令第32号，1997年12月12日施行《计算机信息系统保密管理暂行规定》适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统主管部门国家保密局主管全国计算机信息系统的保密工作管理要点涉密系统---保密设施、保密措施、访问控制、数据保护等涉密信息---密级标识、物理隔离等涉密媒体---各类计算机媒体（含打印输出等）涉密场所---控制区、防电磁信息泄漏、其他物理安全等系统管理---领导负责制、管理制度、保密检查、人员培训和考核等38国家保密局,国保发［1998］1号,1998年2月26日发布施行《国家电子政务工程建设项目管理暂行办法》项目建议书、可行性研究报告、初步设计方案在“项建和可研”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”验收评价管理项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现39国家发改委令[2007]第55号,

2007年9月1日起施行课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定知识域：信息安全法规知识子域：信息安全相关地方法规、地方规章和行业规定了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容41地方法规《北京市信息化促进条例》2007年9月14日公布，自2007年12月1日起施行适用于北京市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动《上海市公共信息系统安全测评管理办法》2006年5月7日公布，2006年7月1日起施行适用于上海市行政区域内的公共信息系统安全测评管理活动，具体规定涉及测评的管理部门、责任制度、测评年度计划、新建系统的测评、测评机构、测评协议、测评要求、安全事项告知与协助义务、测评报告、安全整改，对测评机构违法行为的处理等方面《辽宁省计算机信息系统安全管理条例》《重庆市计算机信息系统安全保护条例》...42地方规章《北京市微博客发展管理若干规定》（2011年12月16日公布并施行）《北京市公共服务网络与信息系统安全管理规定》《北京市党政机关计算机网络与信息安全管理办法》《上海市公共信息系统安全测评管理办法》《天津市公共计算机信息网络安全保护规定》《黑龙江省计算机信息系统安全管理规定》《辽宁省计算机信息保密管理规定》《大连市人民政府公共信息网络管理暂行规定》《四川省计算机信息系统安全保护管理办法》《山西省计算机安全管理规定》《山东省计算机信息系统安全管理办法》《安徽省计算机信息系统安全保护办法》《河南省计算机信息系统安全保护暂行办法》43地方规章《广东省计算机信息系统安全保护管理规定》《广东省电子政务信息安全管理暂行办法》《广东省互联网上网服务营业场所管理办法》《广东省计算机信息系统安全保护管理规定实施细则（试行）》《广东省通信短信息服务管理办法（试行）》《深圳经济特区计算机信息系统公共安全管理规定》《福建省互联网上网服务营业场所管理规定》《江苏省互联网网络与信息安全管理暂行规定》《云南省网络与信息系统安全监察管理规定》《江西省计算机信息系统安全保护办法》《杭州市计算机信息系统安全保护管理办法》

...44行业规定45中国银监会《电子银行业务管理办法》《电子银行安全评估指引》《银行业金融机构信息系统风险管理指引》中国证监会《网上证券委托暂行管理办法》《证券期货业信息安全保障管理暂行办法》《证券公司集中交易安全管理技术指引》《期货公司信息公示管理规定》（自2009年11月16日起施行）《深圳证券交易所交易异常情况处理实施细则（试行）》《上海证券交易所交易异常情况处理实施细则（试行）》...课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定知识域：信息安全法规知识子域：国外典型信息安全相关法规简介了解美国信息安全相关法规概况47国外信息安全法律法规简介国外信息安全法律法规简介（以美国为例）《信息自由法》（FreedomofInformationActof1966，FOIA）《爱国者法》（USAPatriotofActof2001）《联邦信息安全管理法案》（FederalInformationSecurityManagementActof2002，FISMA）《公众公司会计改革与投资者保护法》48《信息自由法》《信息自由法》美国对政府信息进行立法保护的首要原则是向公众公开原则

（也叫信息公开原则），是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由，但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举49《爱国者法》《爱国者法》是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律，也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中由于该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉案该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行调查50《联邦信息安全管理法案》《联邦信息安全管理法案》对国家信息安全管理职责的授权国家标准与技术局（NIST）为联邦政府使用的系统制定安全标准与指南管理与预算办公室（OMB）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督属于《电子政务法》的第三部分,《电子政务法》该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定51《公众公司会计改革与投资者保护法》《公众公司会计改革与投资者保护法》又名《萨班斯-奥克斯利法》主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全该法案要求公众公司保证其内部金融控制的准确性，规定由证券交易委员会（SEC）制定规则，强制要求公众公司年度报告中包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴定报告52课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定知识域：信息安全政策知识子域：国家信息安全政策概况了解国家有关政策提出的加强信息安全保障工作的方针和总体要求理解国家有关政策规定的加强信息安全保障工作的主要原则理解国家有关政策规定的需要重点加强的信息安全保障工作54我国信息安全保障工作总体文件《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号明确了我国信息安全保障工作的方针和总体要求加强信息安全保障工作的主要原则需要重点加强的信息安全保障工作27号文的发布具有重大意义它标志着我国信息安全保障工作有了总体纲领我国最近十余年的信息安全保障工作都是围绕此政策性文件来展开和推进的促进了我国信息安全保障建设的各项工作55《国家信息化领导小组关于加强信息安全保障工作的意见》总体方针和要求坚持积极防御、综合防范的方针全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全主要原则立足国情，以我为主，坚持技术与管理并重正确处理安全和发展的关系，以安全保发展，在发展中求安全统筹规划，突出重点，强化基础工作明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系56《国家信息化领导小组关于加强信息安全保障工作的意见》主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制57我国信息安全政策的初步成效、后续展望初步成效依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等后续展望“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障58课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定知识域：信息安全政策知识子域：信息安全相关国家政策了解信息安全相关国家政策理解风险评估、保密管理、应急处理、安全检查和工控安全等涉及信息安全的相关内容理解信息安全等级保护政策体系，了解信息安全等级保护相关政策60信息安全相关的政策风险评估相关政策保密管理相关政策应急处理相关政策安全检查相关政策工控安全相关政策等级保护相关政策加强信息安全保障相关政策物联网安全相关政策61关于开展信息安全风险评估工作的意见

（国信办[2006]5号）信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）信息安全风险评估分自评估、检查评估两形式,应以自评估为主，自评估和检查评估相互结合、互为补充相关保障参照标准:《信息安全风险评估规范》（GB/T20984-2007）、 《信息安全风险管理指南》（GB/Z24364-2009）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）62风险评估相关政策《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）依据和目的《国家电子政务工程建设项目管理暂行办法》---国家发改委令[2007]第55号目的是为了贯彻落实中办发[2003]27号文，加强基础信息网络和重要信息系统安全保障，加强和规范国家电子政务工程建设项目信息安全风险评估工作风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等两类信息系统的工作开展涉密信息系统参照“分级保护”非涉密信息系统参照“等级保护”相关要点要求将“信息安全风险评估”作为电子政务项目验收的重要内容对信息安全风险评估机构的指定（1家+3家）投入运行后，应定期开展信息安全风险评估63风险评估相关政策关于加强政府信息系统安全和保密管理工作的通知（国办发[2008]17号）加强组织领导，明确安全责任把信息安全和保密工作列入重要议事日程，明确主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责强化教育培训，提高安全意识和防护技能组织信息安全和保密基本技能培训深入学习宣传信息安全“五禁止”规定建立健全安全管理制度，完善安全措施和手段管理制度+技术手段做好信息安全检查工作，依法追究责任详见《政府信息系统安全检查办法》64保密管理相关政策关于印发国家网络与信息安全事件应急预案的通知（国办函[2008]168号）背景2003年：国务院成立应急办，颁布了《国家突发公共卫生事件应急条例》2006年：《国家突发公共事件总体应急预案》（4大类公共事件）

《国家网络与信息安全事件应急预案》2007年：制定发布《国家突发事件应对法》2008年，国务院办公厅发布本通知（国办函[2008]168号）预案要点网络与信息安全事件的分类分级参照标准：《信息安全事件分类分级指南》（GB/Z20986）应急流程阶段：预防预警—应急处置—后期处置参照标准：《信息安全事件管理指南》（GB/Z20985）组织体系和应急保障应急队伍、经费、物资、通信、科技。。。监督管理宣传教育、培训、演练、责任与奖惩65应急处理相关政策关于印发政府信息系统安全检查办法的通知（国办发[2009]28号）概述依据《关于加强政府信息系统安全和保密管理工作的通知》（国办发[2008]17号）检查范围各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。检查重点国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。检查方式各单位自查+统一组织抽查+安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工《2009年度政府信息系统安全检查指南》（工信部协[2009]168号）《2010年度政府信息系统安全检查指南》（工信部协[2010]143号）《2011年度政府信息系统安全检查指南》（工信部协[2011]214号）66安全检查相关政策关于加强工业控制系统信息安全管理的通知（工信部协[2011]451号）基本情况工信部协[2011]451号，2011年9月29日发布强调了工业控制系统信息安全的重要性工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全四个方面要求充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导67工控安全相关政策等级保护相关政策信息安全等级保护的提出《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB17859-1999《计算机信息系统安全保护等级划分准则》定义了安全保护等级的五个级别68信息安全等级保护法规政策体系69依据和指导文件等级保护工作的法律依据和政策依据《中华人民共和国计算机信息系统安全保护条例》《国家信息化领导小组关于加强信息安全保障工作的意见》为等级保护工作的开展提供宏观指导和约束《关于信息安全等级保护工作的实施意见》《信息安全等级保护管理办法》70关于信息安全等级保护工作的实施意见

（公字通[2004]66号）信息和信息系统的安全保护等级（及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度实施要求完善标准,分类指导（管理规范和技术标准）科学定级,严格备案（专家评审委员会）建设整改,落实措施（信息系统：已有、新建、改建、扩建）自查自纠,落实要求（运营、使用单位及其主管部门）建立制度,加强管理（运营、使用单位及其主管部门）监督检查,完善保护（公安机关重点对第三、第四级系统监督检查）71关于印发<信息安全等级保护管理办法>的通知（公字通[2007]43号）《通知》是政策，《管理办法》属于部门规章联合发文：公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级实施与管理具体实施等级保护工作

参照标准：《信息系统安全等级保护实施指南》确定安全保护等级

参照标准：《信息系统安全等级保护定级指南》系统建设

参照标准：《信息系统安全等级保护基本要求》等等级测评

参照标准：《信息系统安全等级保护测评要求》二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求涉密信息系统按分级保护管理对信息安全等级保护的密码实行分类分级管理72关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）背景根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作定级范围电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统市(地)级以上党政机关的重要网站和办公信息系统涉及国家秘密的信息系统(涉密信息系统)工作内容摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）73关于开展信息安全等级保护安全建设整改工作的指导意见（公信安[2009]1429号）工作目标力争在2012年底前完成已定级信息系统(不含涉密信息系统)安全建设整改工作工作内容开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求《信息安全等级保护安全建设整改工作指南》参照标准：《信息系统安全等级保护基本要求》信息系统安全建设整改工作基本流程（管理建设、技术建设）信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类）74《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）指导思想坚持积极利用、科学发展、依法管理、确保安全，加强统筹协调和顶层设计，健全信息安全保障体系，切实增强信息安全保障能力，维护国家信息安全，促进经济平稳较快发展和社会和谐稳定主要目标国家信息安全保障体系基本形成，重要信息系统和基础信息网络安全防护能力明显增强，信息化装备的安全可控水平明显提高，信息安全等级保护等基础性工作明显加强近期主要任务健全安全防护和管理，保障重点领域信息安全加快能力建设，提升网络与信息安全保障水平完善政策措施75加强信息安全保障相关政策《国务院关于推进物联网有序健康发展的指导意见》

（国发〔2013〕7号)为推进物联网有序健康发展提出了指导思想、基本原则和发展目标，明确了主要任务和保障措施指导思想要求以保障安全为前提，强化标准规范，有序推进物联网持续健康发展基本原则安全可控76物联网安全相关政策课程内容（1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定知识域：信息安全政策知识子域：国外信息安全相关政策了解美国信息安全相关政策概况78国外信息安全政策简介国外信息安全国家政策简介（以美国为例）美国各届政府对信息安全均很重视，发布了若干与信息安全相关的政策与系列举措克林顿政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：《总统国家安全战略报告》（首次将信息安全列入）布什政府911之后，成立本土安全部（国土安全部）、国家KIP委员会2002年：《国家保障数字空间安全策略》、《国家安全战略报告》2003年：《网络空间安全国家战略计划》奥巴马政府上任之初：60天信息安全评估项目2009年：《美国网络安全评估》2010年：网络战司令部正式运行79奥巴马政府的新举措上台不久就亲自主导了一个60天的信息安全评估项目，2009年5月公布了《美国网络安全评估》报告，评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，并提出行动计划（最高层领导、数字化能力、安全责任、信息共享和事件反应机制5大方面）成立了网络安全办公室，任命了“网络沙皇”为网络安全协调官。参议院向国会提交了《网络安全法》议案2010年6月，美国国防部正式成立了由战略司令部领导的网络战司令部（主要进行数字战争，防护针对美军计算机网络的安全威胁）。司令部将于2010年10月正式运行促使政府对外公布《国家网络安全综合计划》（即信息安全曼哈顿计划）的概要，实行政策透明，以获得民众对政策的理解80课程内容（2）81信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准知识域：信息安全标准基础知识子域：标准的作用理解标准和标准化相关的基本概念了解标准的作用知识子域：标准化的特点和原则了解标准化的特点了解标准化工作应遵循的原则知识子域：我国国家标准的类型和代码了解强制性、推荐性和标准化指导性技术文件三类国家标准及其代码了解各类标准的特点82标准和标准化相关基本概念标准为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件标准化（GB/T20000.1-2002）为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动国际标准由国际标准化组织或国际标准组织通过并公开发布的标准国家标准由国家标准机构通过并公开发布的标准国际标准化组织（ISO）其成员资格向每个国家的有关国家机构开放的标准化组织国家标准机构在国家层面上承认的，有资格成为相应的国际和区域标准组织的国家成员的标准机构（中国国家标准化管理委员会）83标准的作用作用标准是进行贸易的基本条件标准能够提高企业的经济效益标准能够提高国民经济效益标准既能打破技术壁垒，也能成为新的技术壁垒84标准化的特点特点标准化的对象是共同的、可重复的事物不是孤立的一件事、一个事物标准化的动态性随着科技的进步和社会的发展而不断变化发展标准化的相对性原有标准随着社会发展和环境变化，需要更新标准化的效益通过应用体现经济和社会效益85标准化工作应遵循的原则原则简化统一协调优化86我国国家标准的代码按标准层次分强制性国家标准（GB）推荐性国家标准（GB/T）国家标准化指导性技术文件（GB/Z）87除了国家标准，还有行业标准、地方标准等。课程内容（2）88信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准知识域：信息安全标准化组织知识子域：国际信息安全标准化组织了解国际信息安全标准化组织及其工作知识子域：国外信息安全标准化组织了解国外典型信息安全标准化组织及其工作知识子域：我国信息安全标准化组织了解我国信息安全标准化组织及其工作89国际主要的信息安全标准化组织国际标准化组织（ISO）InternationalOrganizationforStandardization成立于1947年，是最大的非政府性标准化专门机构国际电工委员会（IEC）InternationalElectrotechnicalCommission成立于1906年，是成立最早的国际标准化机构Internet工程任务组（IETF）InternetEngineeringTaskForce成立于1986年，以RFC文件形式发布标准规范ISO/IECJTC1SC27ISO和IEC联合技术委员会--信息安全标准化的分技术委员会国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T）90国际信息安全标准化组织ISO/IECJTC1SC27信息技术安全技术信息安全管理体系工作组密码与安全机制工作组安全评估准则工作组安全控制与服务工作组身份管理与隐私技术工作组91美国标准化组织ANSI美国国家标准协会（AmericanNationalStandardsInstitute）分技术委员会T4负责IT安全技术标准化工作，对口JTC1的SC27X9制定金融业务标准、X12制定商业交易标准(EDI)NIST美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology）负责联邦政府非密敏感信息FIPSIEEE美国电气和电子工程师协会（InstituteofElectricalandElectronicsEngineers）P136392其他区域性信息安全标准化组织ECMA欧洲计算机制造联合会（EuropeanComputerManufacturersAssociation）由主流厂商组成研究信息和通讯技术方面的标准并发布有关技术报告ETSI欧洲电信标准协会（EuropeanTelecommunicationsStandardsInstitute，）非赢利性的电信标准化组织ASTAP亚太地区电信标准化机构（Asia-PacificTelecommunityStandardizationProgram）该组织和ETSI与ITU、ISO和IEC等标准化组织协调合作，推动全世界的标准化活动93我国标准化组织中国国家标准化管理委员会是我国最高级别的国家标准机构全国信息安全标准化技术委员会（TC260)1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委，TC260），由国家标准委直接领导，对口ISO/IECJTC1SC27国家标准化管理委员会高新函[2004]1号文决定：自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作94全国信息安全标准化技术委员会TC260信息安全标准体系与协调工作组（WGl）涉密信息系统安全保密工作组（WG2）密码技术工作组（WG3）鉴别与授权工作组（WG4）信息安全评估工作组（WG5）通信安全标准工作组（WG6）信息安全管理工作组（WG7）95课程内容（2）96信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准知识域：信息安全标准体系知识子域：我国信息安全标准体系了解我国信息安全标准体系框架知识子域：信息安全等级保护标准体系理解信息安全等级保护标准体系理解在信息安全等级保护建设的各阶段应遵循的标准知识子域：国际信息安全标准体系了解国际信息安全标准体系框架97信息安全标准体系信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体是编制信息安全标准制订/修订计划的重要依据是促进信息安全领域内的标准组成趋向科学化、合理化的手段是一幅现有、应有和预计制定的信息安全标准的蓝图，并随着科学技术的发展不断地完善和更新98我国信息安全标准体系99信息安全等级保护标准体系100信息安全等级保护十大标准基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/T25058-2010应用类101定级阶段《信息系统安全保护等级定级指南》GB/T22240-2008建设/整改阶段《信息系统安全等级保护基本要求》GB/T22239-2008《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》GB/T25070-2010

测评阶段《信息系统安全等级保护测评要求》GB/T28448-2012《信息系统安全等级保护测评过程指南》GB/T28449-2012管理《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-2006其它相关标准102技术类GB/T21052-2007信息安全技术

信息系统物理安全技术要求GB/T20270-2006信息安全技术

网络基础安全技术要求GB/T20272-2006信息安全技术

操作系统安全技术要求GB/T20273-2006信息安全技术

数据库管理系统安全技术要求其他信息产品、信息安全产品相关标准...其他类GB/T20984-2007信息安全技术

信息安全风险评估规范GB/Z24364-2009信息安全技术

信息安全风险管理指南GB/T24363-2009信息安全技术

信息安全应急响应计划规范GB/Z20285-2007信息安全技术

信息安全事件管理指南GB/Z20986-2007信息安全技术

信息安全事件分类分级指南GB/T20988-2007信息安全技术

信息系统灾难恢复规范

7、系统服务安全等级定级指南－－GB/T22240-2008保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护定级方法保护对象对客体的侵害程度客体：社会关系受侵害的客体信息系统安全系统服务安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8＝MAX（4，7）1、确定定级对象（系统边界）一般流程等级确定103控制点控制项安全要求类层面一级二级三级四级一级二级三级四级技术要求物理安全71010109193233网络安全36779183332主机安全46796193236应用安全479117193136数据安全及备份恢复233324811管理要求安全管理制度2333371114安全管理机构4555492020人员安全管理45557111618系统建设管理99111120284548系统运维管理912131318416270合计/4866737785175290318级差//1874/9011528基本要求－－GB/T22239-2008104实施指南－－GB/T25058-2010等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止国家管理部门（4家）信息系统主管部门信息系统运营、使用单位信息安全服务机构信息安全等级测评机构信息安全产品供应商105测评要求--GB/T28448-2012测评强度信息系统安全等级第一级第二级第三级第四级访谈广度种类和数量上抽样，种类和数量都较少种类和数量上抽样，种类和数量都较多数量上抽样，基本覆盖数量上抽样，基本覆盖深度简要充分较全面全面检查广度种类和数量上抽样，种类和数量都较少种类和数量上抽样，种类和数量都较多数量上抽样，基本覆盖数量上抽样，基本覆盖深度简要充分较全面全面测试广度种类和数量、范围上抽样，种类和数量都较少，范围小种类和数量、范围上抽样，种类和数量都较多,范围大数量、范围上抽样，基本覆盖数量、范围上抽样，基本覆盖深度功能测试/性能测试功能测试/性能测试功能测试/性能测试，渗透测试功能测试/性能测试，渗透测试106测评过程指南-GB/T28449-2012方案编制测评准备分析与报告编制现场测评项目启动、信息收集和分析、工具和表单准备测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发、测评方案编制现场测评准备（一般包括：访谈、文档审查、配置检查、工具测试和实地察看）、现场测评和结果记录、结果确认和资料归还单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制107文档R&R国际信息安全标准体系框架108国际信息安全标准体系信息安全管理体系标准密码技术与安全机制标准安全评价准则标准安全控制与服务标准身份管理与隐私保护技术标准词汇标准要求标准指南标准相关标准为实现保密性、完整性和可用性而开发的各种安全机制标准安全评价标准安全功能和保证规范针对潜在/显现信息安全问题的标准针对已知信息安全问题的标准针对信息安全违反和损害的标准身份管理相关标准生物识别相关标准隐私保护相关标准ISO27000ISO27001ISO27006ISO27002ISO27003ISO18033ISO19772...ISO15408ISO18045...ISO19790ISO24759...ISO27032ISO27033ISO27037ISO24760ISO29144ISO29100课程内容（2）109信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准知识域：我国信息安全典型标准介绍知识子域：基础标准了解已发布的基础标准及其适用范围知识子域：技术与机制标准了解已发布的技术与机制标准及其适用范围知识子域：管理标准了解已发布的管理标准及其适用范围110知识域：我国信息安全典型标准介绍知识子域：测评标准了解已发布的测评标准及其适用范围了解《信息技术安全性评估准则》的结构理解相关概念（TOE、PP、ST、EAL）了解《信息系统安全保障评估框架》的意义和结构知识子域：密码技术标准了解已发布的密码技术标准及其适用范围111基础标准GB/T25069–2010《信息安全技术术语》定义信息安全领域相关术语分为一般概念术语、信息安全技术术语、信息安全管理术语三类GB/T9387.1-1998《信息技术

开放系统互连

基本参考模型

第1部分：基本模型》

idtISO/IEC7498-1:1994GB/T9387.2-1995《信息处理系统

开放系统互连

基本参考模型

第2部分：安全体系结构》idtISO7498-2:1989解决开放系统互联中安全问题的一致性方法112技术与机制标准GB/T28455-2012《引入可信第三方的实体鉴别及接入架构规范》标识与鉴别标准提出一套适用于网络访问控制和身份管理，并具有普遍适用性的实体鉴别与安全接入的协议和结构GB/T28447-2012《电子认证服务机构运营管理规范》授权与访问控制标准规定了电子认证服务机构在业务运营、认证系统运行、物理环境与设施安全、业务连续性、审计与改进等方面应遵循的要求GB/T21052-2007《信息系统物理安全技术要求》物理安全标准将物理安全按照五个不同级别分别描述要求GB4943.1-2011《信息技术设备

安全

第1部分：通用要求》物理安全标准旨在减小设备在安装、操作和维修时的危险113管理标准GB/T22080-2008《信息安全管理体系

要求》idtISO/IEC27001:2005为建立、实施、运行、监视、评审、保持和改进ISMS进行了规范GB/Z24364-2009《信息安全风险管理指南》规范信息安全风险管理的内容和过程为信息系统生命周期不同阶段的信息安全风险管理提供指导GB/T20282-2006《信息安全技术

信息系统安全工程管理要求》对信息系统安全工程中所涉及到的需求方、实施方与第三方工程实施的指导，各方可以此为依据建立安全工程管理体系按照GB17859-1999划分的五个安全保护等级，规定了信息系统安全工程管理的不同要求114测评标准GB/T18336《信息技术

安全技术

信息技术安全性评估准则》为信息技术产品和系统的安全功能及其保证措施的安全评估提出了通用要求可作为评估IT产品和系统安全性的基础准则适用于用户、开发者和评估者GB/T20274《信息系统安全保障评估框架》用于描述和评估信息系统安全保障内容、能力的通用框架将信息系统作为评估对象，从技术、管理、工程等多个方面描述115GB/T18336《信息技术

安全技术

信息技术安全性评估准则》分三部分GB/T18336.1-2008《第1部分：简介和一般模型》ISO/IEC15408-1:2009定义了IT安全性评估的一般概念和原理，并提出了评估的一般模型GB/T18336.2-2008《第2部分：安全功能要求》ISO/IEC15408-2:2008规定了一系列功能组件族和类，作为表达评估对象（TOE）功能要求的标准方法GB/T18336.3-2008《第3部分：安全保证要求》ISO/IEC15408-3:2008规定了一系列保证组件族和类，作为表达TOE保证要求的标准方法定义了保护轮廓（PP）和安全目标（ST）的评估准则，提出了评估保证级别（EvaluationAssuranceLevel，EAL）116《信息技术安全性评估准则》的发展117ITSEC1991CC1.01996ISO154081999CC2.01998GB/T183362001CD1997GB178591999ISO154082005TCSEC1985FC1992CTCPEC1993GB/T183362008FCD1998对《信息技术安全性评估准则》的理解发展国际标准化组织统一现有多种准则的努力结果1999年正式成为国际标准ISO/IEC15408特点定义了“保护轮廓”和“安全目标”将评估过程分“功能”和“保证”两部分基于风险管理理论，对安全模型、安全概念和安全功能进行了全面系统描绘，强化了保证评估优点通用的表达方式，便于理解是目前最全面的评价