法律法规政策与标准-v4

课程名称讲师姓名机构名称版本：4.0课程内容2法律法规政策与标准知识域知识子域法律法规及道德信息安全标准等级保护政策网络安全政策知识子域：法律法规规章及道德我国立法体系了解我国多级立法体系的构成；了解法律、法规、政策的区别；网络安全法了解网络安全法出台背景；了解网络安全法中定义的网络、网络安全等基本概念及网络空间主权原则；理解网络运行安全制度、关键基础设施保护制度、等级保护制度、网络安全审查制度的相关要求了解网络安全法与其他法律法规衔接；3我国的多级立法体系结构在多级立法的体制下，我国已经先后颁布了一些包含信息安全相关内容的法律、法规、规章等4宪法、刑法（部分条款）网络安全法国家安全法（部分条款）保守国家秘密法电子签名法等计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例...网信办（互联网新闻信息服务）公安部（安全专用产品等）工信部部（互联网域名等）保密局（保密等）...北京市信息化促进条例、重庆市计算机信息系统安全保护条例...北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法

...《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》各国网络安全立法的重点制度对传统的网络安全制度进行立法修正机构职责和管理制度监测预警及应急处置机制对近几年涌现的新问题进行应对关键基础设施保护数据安全防护（跨境数据流动、数据泄露处置等）云计算等新技术、新业务引发的安全问题等5网络安全立法演变为全球范围内的利益协调与国家主权斗争网络安全法出台背景6《网络安全法》基本概念网络、网络安全网络空间安全关键基础设施网络运营者个人信息网络数据……7

网络空间

已成为领土、领海、领空、太空之外的“第五空间”或人类“第二类生存空间”成为国家主权延伸的新疆域网络安全法主要结构七章79条8第一章总则明确网络空间主权原则9第二章网络安全支持与促进建立和完善网络安全标准体系建设统筹规划，扶持网络安全产业（产品、服务等）推动社会化网络安全服务体系建设鼓励开发数据安全保护和利用技术、创新网络安全管理方式开展经常性网络安全宣传教育支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流10第三章网络运行安全明确要求落实网络安全等级保护制度11第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第三章网络运行安全明确网络运营者的安全义务12第三章网络运行安全明确网络产品、服务提供者的安全义务13第三章网络运行安全明确一般性安全保护义务14第三章网络运行安全关键信息基础设施保护15第三章网络运行安全关键信息基础设施保护16第三章网络运行安全关键基础设施运营中产生的数据必须境内存储2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法（征求意见稿）》公开征求意见的通知。明确了个人信息和重要数据出境的范围有50万人以上的个人信息数据量超过1000GB7大重要领域数据等数据出境评估原则评估7个方面主要内容17第三章网络运行安全明确我国实行网络安全审查制度2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法（试行）》。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门（网络安全审查委员会）、审查的机构（国家统一认定网络安全审查第三方机构）和对党政机关和重点行业的审查工作提出要求。并于2017年6月1日同《网络安全法》一同实施。18第四章网络信息安全重视对个人信息保护19第四章网络信息安全规范信息管理20第四章网络信息安全确定信息管理中相关职责21第四章网络信息安全2017年05月02日国家互联网信息办公室正式发布《互联网新闻信息服务管理规定》（国信办1号令），于6月1日同《网络安全法》一起实施。规范了：互联网新闻信息服务的范围互联网新闻信息服务的6项许可条件互联网新闻信息服务提供者的责任义务网信部门对互联网新闻信息服务的监督检查要求相关法律责任22第四章网络信息安全同日国家互联网信息办公室一并发布《互联网信息内容管理行政执法程序规定》（国信办2号令），于6月1日同《网络安全法》一起实施。规范了：互联网信息内容管理部门行政执法依据管辖范围立案流程调查取证过程听证及约谈机制处罚决定及执行办法等23第五章监测预警与应急处置工作制度化、法制化24第六章法律责任对违反《网络安全法》的行为，第六章规定了民事责任、行政责任、刑事责任25《网络安全法》与其他相关法律衔接保密法涉及国家秘密事项，优先适用《保密法》追究其法律责任存储、处理国家秘密的计算机信息系统按照涉密程度实行分级保护反恐法有关反恐的网络通信管制实施优先适用《反恐法》的规定刑法其他相关法律26知识子域：法律法规规章及道德其他法律网络安全相关条文

理解刑法修正案（七）与刑法修正案（九）中网络安全相关条款及变动；了解《国家安全法》提出总体国家安全观、明确网络与信息安全保障体系、制定网络信息技术产品和服务审查制度等相关概念；了解《保密法》中密级分级、涉密载体标志、涉密信息系统分级保护制度、涉密设备不连接互联网、网络运营者责任、涉密企业审查等相关要求；了解《电子签名法》、《反恐怖主义法》、《民法总则》、《密码法》等相关法律中网络安全相关条款要求；27《刑法》修正案（七）扩大处罚范围增加“非法获取计算机信息系统数据罪、非法控制计算机信息系统罪和提供非法侵入或者控制计算机信息系统专用程序、工具罪”增加新的规定28《刑法》修正案（九）修改个人信息保护相关要求变化一：不需特殊身份皆可被追刑责变化二：获取方式不限弥补追责空白变化三：最高刑提至7年加大处罚力度加重网络安全服务商管理责任“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：29《刑法》修正案（九）加重网络服务商的安全管理责任，网络服务商单位主管可能犯“网络渎职罪”面临三年以下有期徒刑在刑法第二百八十六条后增加一条，作为第二百八十六条之一：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

“（一）致使违法信息大量传播的；

“（二）致使用户信息泄露，造成严重后果的；

“（三）致使刑事案件证据灭失，情节严重的；

“（四）有其他严重情节的。

“单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”30《国家安全法》2015年7月审议通过，对政治安全、国土安全、军事安全、文化安全、科技安全等11个领域的国家安全任务进行了明确网络与信息安全保障体系网络信息技术产品和服务审查制度31总体国家安全观：走出一条中国特色国家安全道路，构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。

-习近平

《保守国家秘密法》2010年4月修订通过，10月正式实施国家秘密基本范围包括产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项国家秘密保密期限（除另有规定外）绝密级不超过三十年机密级不超过二十年秘密级不超过十年32知识子域：法律法规规章及道德网络安全违法责任了解网络安全行政违法行为、行政违法责任的概念，行政处罚的类型及违反网络安全管理相关规定的行政处罚；了解刑事责任及其构成、常见网络安全犯罪等概念；了解网络安全民事责任及构成、常见民事责任风险；知识子域：CISP职业道德理解CISP职业道德33行政违法责任及相关处罚行政违法及相关处罚行政主体（自然人或法人）的违法行为《网络安全法》中的违法处罚网络运营者违法行政处罚关键信息基础设施的运营者违法行政处罚刑事违法及相关处罚依据国家刑事法律规定，对犯罪分子依照刑事法律的规定追究的法律责任刑法中的网络安全相关刑事违法处罚出售或者提供公民个人信息罪、非法侵入计算机信息系统罪等多种34CISP职业道德准则（1）一、维护国家、社会和公众的信息安全1）自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为2）自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为3）自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为二、诚实守信，遵纪守法1）不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为2）不利用个人的信息安全技术能力实施或组织各种违法犯罪行为3）不在公众网络传播反动、暴力、黄色、低俗信息及非法软件35CISP职业道德准则（2）三、努力工作，尽职尽责1）热爱信息安全工作岗位，充分认识信息安全专业工作的责任和使命2）为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献3）帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助四、发展自身，维护荣誉1）通过持续学习保持并提升自身的信息安全知识2）利用日常工作、学术交流等各种方式保持和提升信息安全实践能力3）以CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为36知识子域：网络安全政策网络空间安全战略了解27号文中关于网络安全的总体方针和要求、主要原则、主要任务及实施成效；了解国家信息化发展战略中定义的指导思想、战略方针和战略目标，我国信息化发展的战略重点及信息化发展的主要保障措施；了解十三五规划中对网络空间安全的指导原则；37我国信息安全保障工作总体文件《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号明确了我国信息安全保障工作的方针和总体要求加强信息安全保障工作的主要原则需要重点加强的信息安全保障工作27号文的发布具有重大意义它标志着我国信息安全保障工作有了总体纲领我国最近十余年的信息安全保障工作都是围绕此政策性文件来展开和推进的促进了我国信息安全保障建设的各项工作38《国家信息化领导小组关于加强信息安全保障工作的意见》总体方针和要求坚持积极防御、综合防范的方针全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全主要原则立足国情，以我为主，坚持技术与管理并重正确处理安全和发展的关系，以安全保发展，在发展中求安全统筹规划，突出重点，强化基础工作明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系39《国家信息化领导小组关于加强信息安全保障工作的意见》主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制40国家信息化发展战略我国信息化发展的基本形势当前我国信息安全保障工作逐步加强指导思想和战略方针和战略目标要高度重视信息安全，正确处理安全与发展之间的关系，以安全保发展，在发展中求安全。争取到2020年，国家信息安全保障水平大幅提高。信息安全的长效机制基本形成，国家信息安全保障体系较为完善，信息安全保障能力显著增强。我国信息化发展的战略重点要建设国家信息安全保障体系大力增强国家信息安全保障能力。我国信息化发展的主要保障措施制定产业政策、推进法制建设、制定法律法规41“十三五”规划在2016年03月17日发布的《中华人民共和国国民经济和社会发展第十三个五年规划纲要》中单独列出一章来阐述“强化信息安全保障”。主要实现以下四个主要目标：1）加强数据资源安全保护2）科学实施网络空间治理3）全面保障重要信息系统安全4）实施网络安全保障方面的重大工程42知识子域：信息安全标准信息安全标准基础了解标准的基本概念及标准的作用、标准化的特点及原则等；了解国际信息安全标准化组织和我国信息安全标准化组织；了解国际信息安全标准化体系及我国信息安全标准化体系相关概念；我国网络安全相关标准了解我国信息安全相关标准43信息安全标准相关概念标准和标准化主要国际标准化组织国际标准化组织（ISO）国际电工委员会（IEC）Internet工程任务组（IETF）国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T）44国际信息安全标准化组织ISO/IECJTC1SC27信息技术安全技术信息安全管理体系工作组密码与安全机制工作组安全评估准则工作组安全控制与服务工作组身份管理与隐私技术工作组45我国标准化组织中国国家标准化管理委员会是我国最高级别的国家标准机构全国信息安全标准化技术委员会（TC260)1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委，TC260），由国家标准委直接领导，对口ISO/IECJTC1SC27国家标准化管理委员会高新函[2004]1号文决定：自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作46全国信息安全标准化技术委员会TC260组织结构47国际信息安全标准体系48我国信息安全标准体系49信息安全等级保护标准体系50知识子域：等级保护标准体系等级保护政策发展过程了解等级保护政策的发展过程等级保护标准体系了解等级保护标准体系的构成，包括安全等级类标准、方法指导类标准、状况分析类标准、基线要求类标准等级保护实施流程了解等级已经建设的信息系统保护工作流程和新建信息系统等级保护工作流程；掌握定级、备案、差距分析、建设整改、等级测评、定期复查等每个流程工作的内容及要求；51等级保护标准体系52等级保护标准体系1)安全等级类标准作用：如何确定等级保护等级进行了详细规定GB/T22240-2008《信息安全技术信息系统安全保护等级保护定级指南》及行业定级细则2)方法指导类标准作用：如何开展等级保护工作做了详细规定。GB/T25058-2010《信息安全技术_信息系统安全等级保护实施指南》等3)状况分析类标准作用：如何开展等级保护测评工作做出了详细规定GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》等4)基线要求类标准作用：对开展等级保护工作中涉及到具体技术、管理进行要求GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》等53等级保护实施流程547、系统服务安全等级定级指南－－GA/T22240保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级55等级保护定级方法保护对象对客体的侵害程度客体：社会关系受侵害的客体信息系统安全系统服务安全业务信息安全3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体4、业务信息安全等级8、定级对象的安全保护等级8＝MAX（4，7）1、确定定级对象（系统边界）一般流程等级确定即将修订为GA/T20-XXXX《信息安全技术网络安全保护等级保护定级指南》定级报告目录56等级保护备案根据2007年公安部网络安全保卫局发布的《信息安全等级保护备案工作实施细则》，在完成行业主管部门审核后，对于拟定二级（含二级）以上的定级对象应向设区的市级以上（即地级以上）公安机关网络警察部门提交《等级保护定级报告》和《等级保护备案表》，一式两份。对于定为一级的定级对象不需要备案。备案表包括四张子表：表一单位基本情况（每单位一份）表二信息系统情况（每个系统一份）表三信息系统定级情况（每个系统一份）表四第三级以上信息系统提交材料情况（每个三级以上系统一份，如果没有不需要提交）公安机关收到《定级报告》和《备案表》后进行审核，如果审核合格将出具《信息系统安全等级保护备案证明》57等级保护差距分析目的：发现系统当前安全状况与《等级保护基本要求》之间差距，指导下一步整改工作流程：差距分析流程与等级保护测评一致报告：在完成差距分析后一般形成《等级保护差距分析报告》，格式一般参考《等级保护测评报告》，为下一阶段开展等级保护安全建设整改工作提出建设整改需求。58等级保护建设整改依据：GB/T25070-2010《信息系统等级保护安全设计技术要求》流程：依据《等级保护差距分析报告》中提出的安全建设整改需求，设计《等级保护安全建设整改方案》，并根据单位实际的资金、技术、人员配备情况分阶段地开展等级保护建设整改工作。报告：建设整改前，需要编制《等级保护安全建设整改方案》，提出建设整改目标和步骤。在完成整改后，由建设单位开展验收工作，验证是否达到方案要求59知识域：等级保护标准体系60等级保护要求体系了解等级保护通用技术要求和通用管理要求；了解等级保护针对移动互联、云计算、大数据、物联网和工业控制的扩展要求；等级保护测评了解等级保护测评目标、流程、方法等相关知识；了解测评机构及人员管理依据、要求；等级保护要求体系GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》在2008年发布实施后被广泛使用，但随着新技术的发展，该标准在适用性、时效性、可操作性等方面需要完善为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展，需对GB/T22239-2008进行修订，修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求。61等级保护要求体系62等级保护通用技术要求1）物理和环境安全对保护对象机房的物理位置选择、机房访问控制、防盗、防破坏、防雷、防火、防水、防潮、防静电、温湿度控制、电力供应和电磁防护要求进行了详细要求。2）网络和通信安全对保护对象的网络通信提出了网络架构安全、通信传输、网络边界防护、网络访问控制、网络入侵防范、网络恶意代码防范、网络审计和网络集中管控提出了详细要求。3）设备和计算安全对保护对象的服务器和计算环境（如操作系统和数据库管理系统）的身份鉴别、访问控制、安全审计（保护操作系统审计和数据库管理系统操作审计）、主机入侵防范、主机恶意代码防范和操作系统和数据库资源访问控制提出了详细要求。4）应用和数据安全对保护对象的应用系统和数据的身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护提出了详细要求。63等级保护通用管理要求1）安全策略和管理制度对保护对象运营者的安全策略、安全管理制度、安全管理制度的制定和发布、安全管理制度的定期评审和修订提出了详细要求。2）安全管理机构和人员对保护对象的运营者的安全岗位设置、安全专兼职人员配备、安全责任授权和审批、对外沟通和合作、安全审查和检查、安全专兼职人员录用、离岗、全员安全意识教育和培训、外部人员访问等提出了详细要求。3）安全建设管理依据对保护对象生命周期管理，对保护对象在定级、总体规划、设计实施三个阶段的定级备案、方案设计、产品采购使用、自行软件开发、外包软件开发、工程实施、验收测试、系统交付、等级测评、服务供应商管理提出了详细要求。4）安全运维管理依据对保护对象生命周期管理，对保护对象在运行维护和终止阶段的物理环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管