CISP信息安全标准与法律法规解读

123培训机构培训讲师课程内容〔1〕信息安全法规与政策知识体知识域信息安全相关法规知识子域国家信息安全法治总体情况信息安全相关政策信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介信息安全相关地方法规、规章和行业规定课程内容〔2〕3信息安全标准知识体知识域信息安全标准化概述知识子域信息安全标准化概念信息安全相关标准信息安全标准化组织信息安全评估标准信息安全国家标准安全技术评估标准发展历史信息技术安全性评估准则信息安全国外标准课程内容〔3〕4知识体知识域知识子域道德规范信息安全从业人员道德规范通行道德规范CISP职业道德准则计算机使用道德规范因特网使用道德规范

信息安全从业人员基本道德规范课程内容〔1〕知识体知识域信息平安相关法规知识子域国家信息安全法治总体情况信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介信息安全相关地方法规、规章和行业规定知识域：信息平安相关法规知识子域：国家信息平安法治总体情况了解信息平安法治建设的意义了解我国信息平安法律法规体系框架6信息平安法治建设的意义保护国家信息主权和社会公共利益是信息平安立法的首要目标7狭义的信息平安广义的信息平安我国信息平安法律法规体系框架8法律行政法规地方性法规地方政府规章部门规章全国人大及其常委会国务院地方人大及常委会地方人民政府计算机信息系统平安保护条例互联网信息效劳管理方法商用密码管理条例...多级立法北京市信息化促进条例、辽宁省计算机信息系统平安管理条例...北京市公共效劳网络与信息系统平安管理规定、上海市公共信息系统平安测评管理方法...?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕我国信息平安法治建设的开展历程通信保密平安计算机系统平安网络信息系统平安1994年2000年2003年保守国家秘密法〔1989〕〔2021年修订〕中央关于加强密码工作的决定计算机信息系统平安保护条例〔草案〕-86计算机信息系统平安保护条例〔1994〕计算机信息系统平安专用产品检测和销售许可证管理方法-97计算机信息网络国际联网平安保护管理方法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网平安的决定〔2000〕互联网信息效劳管理方法计算机病毒防治管理方法计算机信息系统国际联网保密管理规定-009我国信息平安法治建设的初步成效、展望初步成效法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善与信息平安相关的司法和行政管理体系迅速完善法律少而规章等偏多，缺乏信息平安的根本法法律法规的内容篇幅偏小，行为标准较简单展望需要一部信息平安的根本法?国家信息平安法?〔或先出台?信息平安条例?〕信息平安的根本原那么与根本制度信息平安的主要核心内容进一步完善各领域的信息平安专门法信息平安的监管模式和认证体系〔面向信息平安各类主体和客体〕信息平安常态管理〔等级保护制度等〕信息平安应急管理〔预警、监测、通报和应急处理等〕网络与信息系统全生命周期的信息平安特定领域的信息平安...10课程内容〔1〕知识体知识域信息平安相关法规知识子域国家信息安全法治总体情况信息安全相关地方法规、规章和行业规定信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知识域：信息平安相关法规12?宪法?中的有关规定法律13?刑法?中的有关规定〔1〕法律14?刑法?中的有关规定〔2〕15法律16?刑法?中的有关规定〔3〕?治安管理处分法?中的有关规定?治安管理处分法?第三章违反治安管理的行为和处分第一节扰乱公共秩序的行为和处分第29条有以下行为之一的，处以治安管理处分：〔一〕违反国家规定，侵入计算机信息系统，造成危害的；〔二〕违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；〔三〕违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；〔四〕成心制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。?治安管理处分法?其他规定〔与非法信息传等播相关〕：第42、47、68条法律17?保守国家秘密法?〔保密法1〕法律18?保守国家秘密法?〔保密法2〕法律19?全国人大关于维护互联网平安的决定?法律20?电子签名法?〔1〕法律21?电子签名法?〔2〕法律22对电子认证效劳提供者的其他要求保证证书内容在有效期内完整、准确；拟暂停或者终止电子认证效劳的要求；妥善保存与认证相关的信息，信息保存期限〔至少为证书失效后五年〕。第四章法律责任电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证效劳提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证效劳提供者造成损失的，承担赔偿责任。?电子签名法?〔3〕23法律24课程内容〔1〕知识体知识域信息平安相关法规知识子域国家信息安全法治总体情况信息安全相关地方法规、规章和行业规定信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知识域：信息平安相关法规知识子域：信息平安相关行政法规和部门规章了解信息平安相关行政法规，掌握涉及信息平安的相关内容了解信息平安相关部门规章，掌握涉及信息平安的相关内容26?计算机信息系统平安保护条例?行政法规27?商用密码管理条例?行政法规28其它一些行政法规行政法规29?计算机信息系统平安专用产品

检测和销售许可证管理方法?部门规章30?计算机信息系统保密管理暂行规定?适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。主管部门国家保密局主管全国计算机信息系统的保密工作。管理要点涉密系统---保密设施、保密措施、访问控制、数据保护等涉密信息---密级标识、物理隔离等涉密媒体---各类计算机媒体〔含打印输出等〕涉密场所---控制区、防电磁信息泄漏、其他物理平安等系统管理---领导负责制、管理制度、保密检查、人员培训和考核等部门规章31国家电子政务工程建设工程管理暂行方法国家发改委令[2007]第55号对国家电子政务工程建设工程有明确的信息平安要求验收评价管理工程建设单位应在完成工程建设任务后的半年内,组织完成建设工程的信息平安风险评估和初步验收工作。运行管理工程建设单位或其委托的专业机构应按照风险评估的相关规定,对建成工程进行信息平安风险评估,检验其网络和信息系统对平安环境变化的适应性及平安措施的有效性,保障信息平安目标的实现。项建书、可研报告、初步设计方案在“项建和可研〞的工程建设方案中应包含“平安系统建设方案〞在“初设〞的工程设计方案中应包含“平安系统设计〞部门规章其他一些部门规章33原信息产业部?信息系统工程监理暂行规定??电子认证效劳管理方法??互联网电子邮件效劳管理方法?铁道部?铁路计算机信息网络国际联网保密管理暂行规定??铁路计算机信息系统平安保护方法?34国家密码管理局?商用密码科研管理规定?，公告〔第4号〕2006年1月1日起施行?商用密码产品生产管理规定?，公告〔第5号〕2006年1月1日起施行?商用密码产品销售管理规定?，公告〔第6号〕2006年1月1日起施行?商用密码产品使用管理规定?，公告〔第8号〕2007年5月1日起施行?电子认证效劳密码管理方法?，公告〔第17号〕2021年10月28日公布，2021年12月1日起施行，原方法〔公告第2号〕同时废止课程内容〔1〕知识体知识域信息平安相关法规知识子域国家信息安全法治总体情况信息安全相关地方法规、规章和行业规定信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知识域：信息平安相关法规知识子域：信息平安相关地方法规、规章和行业规定了解信息平安相关地方法规，掌握自身所在地方或密切相关地方涉及信息平安的相关内容了解信息平安相关地方规章，掌握自身所在地方或密切相关地方涉及信息平安的相关内容了解信息平安相关行业规定，掌握自身所在行业或密切相关行业涉及信息平安的相关内容36地方法规37地方规章38地方规章?广东省计算机信息系统平安保护管理规定??广东省电子政务信息平安管理暂行方法??广东省互联网上网效劳营业场所管理方法??广东省计算机信息系统平安保护管理规定实施细那么〔试行〕??广东省通信短信息效劳管理方法〔试行〕??深圳经济特区计算机信息系统公共平安管理规定??福建省互联网上网效劳营业场所管理规定??江苏省互联网网络与信息平安管理暂行规定??云南省网络与信息系统平安监察管理规定??江西省计算机信息系统平安保护方法??杭州市计算机信息系统平安保护管理方法?...39行业规定40课程内容〔1〕知识体知识域信息平安相关法规知识子域国家信息安全法治总体情况信息安全相关地方法规、规章和行业规定信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知识域：信息平安相关法规知识子域：国外信息平安相关法规简介了解美国信息平安相关法规概况42国外信息平安法律法规简介43?信息自由法??爱国者法??信息自由法?美国对政府信息进行立法保护的首要原那么是向公众公开原那么〔也叫信息公开原那么〕，是构成其他信息平安保护法律的根底该法案主要是保障公民的个人自由，但也需要保障国家的平安，因此，该法利用“例外〞的立法方式，将需要保护的信息加以列举4445课程内容〔1〕知识体知识域信息平安相关法规知识子域国家信息安全法治总体情况信息安全相关地方法规、规章和行业规定信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介47?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕48?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕十一五：试点

十二五：普及推广49十一五：试点

十二五：普及推广50课程内容〔1〕知识体知识域信息平安相关法规知识子域国家信息安全法治总体情况信息安全相关地方法规、规章和行业规定信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介52关于开展信息平安风险评估工作的意见

〔国信办[2006]5号〕53关于加强政府信息系统平安和保密管理工作的通知〔国办发[2021]17号〕5455关于加强国家电子政务工程建设工程信息平安风险评估工作的通知〔发改高技[2021]2071号〕565758关于加强工业控制系统信息平安管理的通知〔工信部协[2021]451号〕5960等级保护6162关于信息平安等级保护工作的实施意见

〔公字通[2004]66号〕6364关于开展全国重要信息系统平安等级保护定级工作的通知〔公信安[2007]861号〕65关于开展信息平安等级保护平安建设整改工作的指导意见〔公信安[2021]1429号〕66关于推动信息平安等级保护测评体系建设和开展等级测评工作的通知〔公信安[2021]303号〕6768课程内容〔1〕知识体知识域信息平安相关法规知识子域国家信息安全法治总体情况信息安全相关地方法规、规章和行业规定信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介7071奥巴马政府的新举措72课程内容〔2〕73信息平安标准知识体知识域信息平安标准化概述知识子域信息安全标准化概念信息平安相关标准信息安全标准化组织信息平安评估标准信息安全国家标准安全技术评估标准发展历史信息技术安全性评估准则信息安全国外标准知识域：平安标准化概述知识子域：信息平安标准化概念了解标准和标准化的根本概念和作用74标准和标准化相关根本概念75标准化的特点、原那么；标准的作用特点标准化的对象：共同的、可重复的事物标准化的动态性标准化的相对性标准化的效益原那么简化统一协调优化76作用标准是进行贸易的根本条件标准能够提高企业的经济效益标准能够提高国民经济效益我国国家标准的代码77课程内容〔2〕78信息平安标准知识体知识域信息平安标准化概述知识子域信息安全标准化概念信息平安相关标准信息安全标准化组织信息平安评估标准信息安全国家标准安全技术评估标准发展历史信息技术安全性评估准则信息安全国外标准知识域：信息平安标准化概述知识子域：信息平安标准化组织了解国际信息平安标准化组织及其工作了解国外典型国家信息平安标准化组织及其工作熟悉我国信息平安标准化组织及其工作79国际信息平安标准化组织信息平安管理体系工作组密码与平安机制工作组平安评估准那么工作组平安控制与效劳工作组国际标准提案?ISMS审核指南?国际标准提案?三元实体鉴别?国际标准?信息平安事件管理?合作编辑国际标准提案?基于三元实体鉴别的访问控制方法?80美国标准化组织81我国标准化组织82TC260各部门的职责83课程内容〔2〕84信息平安标准知识体知识域信息平安标准化概述知识子域信息安全标准化概念信息平安相关标准信息安全标准化组织信息平安评估标准信息安全国外标准信息安全国家标准安全技术评估标准发展历史信息技术安全性评估准则知识域：信息平安相关标准知识子域：信息平安国家标准了解我国信息平安标准体系框架掌握信息平安等级保护标准体系，熟悉信息平安等级保护相关标准85信息平安标准体系86我国信息平安标准体系框架87知识域：信息平安相关标准知识子域：信息平安国家标准了解我国信息平安标准体系框架掌握信息平安等级保护标准体系，熟悉信息平安等级保护相关标准8889

十大标准90其它相关标准917、系统效劳平安等级定级指南－－GB/T22240-2021保护对象受到破坏时受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护定级方法保护对象对客体的侵害程度客体：社会关系受侵害的客体信息系统平安系统效劳平安业务信息平安3、综合评定对客体的侵害程度2、确定业务信息平安受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统效劳平安受到破坏时所侵害的客体4、业务信息平安等级8、定级对象的平安保护等级8＝MAX〔4，7〕1、确定定级对象〔系统边界〕一般流程等级确定92控制点控制项安全要求类层面一级二级三级四级一级二级三级四级技术要求物理安全71010109193233网络安全36779183332主机安全46796193236应用安全479117193136数据安全及备份恢复233324811管理要求安全管理制度2333371114安全管理机构4555492020人员安全管理45557111618系统建设管理99111120284548系统运维管理912131318416270合计/4866737785175290318级差//1874/9011528根本要求－－GB/T22239-202193实施指南－－GB/T25058-2021等级变更局部调整信息系统定级总体平安规划平安设计与实施平安运行维护信息系统终止国家管理部门〔4家〕信息系统主管部门信息系统运营、使用单位信息平安效劳机构信息平安等级测评机构信息平安产品供给商94测评要求--GB/T28448-2021测评强度信息系统安全等级第一级第二级第三级第四级访谈广度种类和数量上抽样，种类和数量都较少种类和数量上抽样，种类和数量都较多数量上抽样，基本覆盖数量上抽样，基本覆盖深度简要充分较全面全面检查广度种类和数量上抽样，种类和数量都较少种类和数量上抽样，种类和数量都较多数量上抽样，基本覆盖数量上抽样，基本覆盖深度简要充分较全面全面测试广度种类和数量、范围上抽样，种类和数量都较少，范围小种类和数量、范围上抽样，种类和数量都较多,范围大数量、范围上抽样，基本覆盖数量、范围上抽样，基本覆盖深度功能测试/性能测试功能测试/性能测试功能测试/性能测试，渗透测试功能测试/性能测试，渗透测试95测评过程指南-GB/T28449-2021方案编制测评准备分析与报告编制现场测评工程启动、信息收集和分析、工具和表单准备测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发、测评方案编制现场测评准备〔一般包括：访谈、文档审查、配置检查、工具测试和实地观察〕、现场测评和结果记录、结果确认和资料归还单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制96文档R&R课程内容〔2〕97信息平安标准知识体知识域信息平安标准化概述知识子域信息安全标准化概念信息平安相关标准信息安全标准化组织信息平安评估标准信息安全国外标准信息安全国家标准安全技术评估标准发展历史信息技术安全性评估准则知识域：信息平安相关标准知识子域：信息平安国外标准了解国际信息平安标准体系了解国外典型国家信息平安标准体系了解与自身工作密切相关的信息平安国际标准98国际信息平安标准体系框架99国际信息平安标准体系信息平安管理体系标准平安评价准那么标准平安控制与效劳标准词汇标准要求标准指南标准相关标准为实现保密性、完整性和可用性而开发的各种平安机制标准平安评价标准平安功能和保证标准针对潜在/显现信息平安问题的标准针对信息平安问题的标准针对信息平安违反和损害的标准身份管理相关标准生物识别相关标准隐私保护相关标准ISO27000ISO27001ISO27006ISO27002ISO27003ISO18033ISO19772...ISO15408ISO18045...ISO19790ISO24759...ISO27032ISO27033ISO27037ISO24760ISO29144ISO29100国外典型国家信息平安标准体系框架100SecurityControlMonitoring平安控制措施监视SecurityCategorization平安分类SecurityControlSelection平安控制措施选择SecurityControlRefinement平安控制措施改进SecurityControlDocumentation平安控制措施文档编制SecurityControlImplementation平安控制措施实施SecurityControlAssessment平安控制措施评估SecurityAuthorization平安授权

起始点风险管理SP800-37/SP800-53AFIPS199/SP800-60FIPS200/SP800-53SP800-53/SP800-30SP800-18SP800-70SP800-53ASP800-37ISO27000标准族、SP800系列标准101ISO27000标准族、SP800系列标准介绍参见?CISP0301信息平安管理体系?。ISO27001标准的详细内容参见?CISP0301信息平安管理体系?。ISO27002标准的详细内容参见?CISP0303信息平安管根本措施?、?CISP0304信息平安管重要管理过程?。课程内容〔2〕102信息平安标准知识体知识域信息平安标准化概述知识子域信息安全标准化概念信息平安相关标准信息安全标准化组织信息平安评估标准信息安全国家标准安全技术评估标准发展历史信息技术安全性评估准则信息安全国外标准知识域：信息平安评估标准103平安标准的开展104ITSEC1991CC1.01996ISO154081999CC2.01998GB/T183362001CD1997GIB26461996GB178591999ISO154082005TCSEC1985FC1992CTCPEC1993GB/T183362021FCD1998平安被定义为保密性、完整性、可用性功能和质量/保证分开对产品和系统的评估都适用，提出评估对象〔TOE〕的概念产品：能够被集成在不同系统中的软件或硬件包；系统：具有一定用途、处于给定操作环境的特殊平安装置美国的平安评测标准(TCSEC)、

欧洲的平安评测标准(ITSEC)105集中考虑数据保密性，而忽略了数据完整性、系统可用性等；将平安功能和平安保证混在一起平安功能规定得过为严格，不便于实际开发和测评加拿大的评测标准(CTCPEC)、

美国联邦准那么(FC)106美国联邦准那么(FC)对TCSEC的升级1992年12月公布引入了“保护轮廓〔PP〕〞这一重要概念每个轮廓都包括功能局部、开发保证局部和评测局部分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点供美国政府用，民用和商用通用准那么〔CC〕国际标准化组织统一现有多种准那么的努力结果；1999年正式成为国际标准ISO/IEC15408；充分突出“保护轮廓〞，将评估过程分“功能〞和“保证〞两局部；CC基于风险管理理论，对平安模型、平安概念和平安功能进行了全面系统描绘，强化了评估保证；是目前最全面的评价准那么。国际上认同的表达IT平安的体系结构，一组规那么集一种评估方法，其评估结果国际互认通用的表达方式，便于理解灵活的架构，可以定义自己的要求扩展CC要求通用评估方法(CEM)是CC标准出版后，为了在评估中应用CC而提供的一种通用方法。是与CC配套的文档。107知识域：信息平安评估标准108GB/T18336〔ISO15408〕109ISO15408-1:2021ISO15408-2:2021ISO15408-3:2021CC中的关键概念110平安功能要求类、平安保障要求类111评估保证级别〔EAL〕112评估环境评估准那么评估方法最终评估结果评估方案评估批准/证明证书/注册113评估流程图评估PPPP评估