CISP0501信息安全法规政策和标准含网络安全课件.ppt_163文库

资源描述

1、信息安全法规、政策和标准版本：3.0发布日期：2014-12-1生效日期：2015-1-1一二请在这里输入您的主要叙述内容整体概述三请在这里输入您的主要叙述内容请在这里输入您的主要叙述内容课程内容（1 1）信息安全法规与政策知识体知识域信息安全法规知识子域我国信息安全法规体系框架信息安全政策信息安全相关国家法律信息安全相关行政法规和部门规章国外典型信息安全相关法规简介国家信息安全政策概况信息安全相关国家政策国外信息安全相关政策信息安全相关地方法规、规章和行业规定4课程内容（2 2）信息安全标准知识体知识域信息安全标准基础知识子域信息安全标准化组织信息安全标准体系我国国家标准的类型和代码国际信息

2、安全标准化组织国外信息安全标准化组织我国信息安全标准化组织我国信息安全标准体系国际信息安全标准体系基础标准密码技术标准信息安全等级保护标准体系管理标准标准化的特点和原则标准的作用我国信息安全典型标准介绍技术与机制标准保密技术标准测评标准5课程内容（3 3）知识体知识域知识子域信息安全道德规范信息技术通行道德规范信息安全从业人员道德规范CISP职业道德准则计算机使用道德规范互联网使用道德规范信息安全从业人员基本道德规范6知识域：信息安全法规v知识子域：我国信息安全法规体系框架了解信息安全法治建设的意义了解我国信息安全法律法规体系框架7信息安全法治建设的意义v 信息安全法律环境是信息安全保障

3、体系中的必要环节v 明确信息安全的基本原则和基本制度、信息安全事物中各方权利义务v 明确违反信息安全的行为，并对其行为进行相应的处罚v 信息安全不再只是个技术问题，而更多地是个商业和法律问题v 信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范8我国的多级立法体系结构多级立法9我国信息安全法律法规体系框架v在多级立法的体制下，我国已经先后颁布了一些包含信息安全相关内容的法律、法规、规章等宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法.计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例.公安部（安全专用产品等）原信产部（互联网域名等）国新办（互联网新闻信息

4、服务）保密局（保密等）.国务院各部委北京市信息化促进条例、辽宁省计算机信息系统安全管理条例.北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法 .10国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）我国信息安全法治建设的发展历程通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法（1989）（2010年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86计算机信息系统安全保护条例（1994）计算机信息系统安全专用产品检测和销售许可证管理办法-97 计算机信息网络国际联网安全保护管理办法-97

5、计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全的决定（2000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-002017年网络安全法（2016.11.7）2013年下半年提上日程，2014年形成草案，15年初形成征求意见稿，15年6月一审，16年6月二审、10月31日三审、11月7日人大通过，2017年6月1日施行154票赞成、0票反对、1票弃权互联网安全11知识域：信息安全法规v知识子域：信息安全相关国家法律了解信息保护相关法律理解国家秘密的概念、基本范围和密级划分，以及保护国家秘密相关法律的要求理解商业秘密的概念、基本

6、范围，以及保护商业秘密相关法律的要求理解个人信息的概念、基本范围，以及保护个人信息相关法律的要求理解网络违法犯罪的概念，了解打击网络违法犯罪相关法律了解在保护国家秘密、维护公共安全、规范电子签名行为等方面，我国从法律层面明确的信息安全相关工作的主管/监管机构及其具体职权12我国信息安全法律分类v我国信息安全法律分类信息保护相关法律打击网络违法犯罪相关法律信息安全管理相关法律13信息保护相关法律v信息保护相关法律保护国家秘密相关法律保守国家秘密法、刑法、全国人民代表大会常务委员会关于维护互联网安全的决定等保护商业秘密相关法律反不正当竞争法、合同法、劳动法、刑事诉讼法、民事诉讼法

7、等保护个人信息相关法律宪法、居民身份证法、护照法、民法通则、全国人民代表大会常务委员会关于维护互联网安全的决定、全国人民代表大会常务委员会关于加强网络信息保护的决定等14国家秘密v国家秘密15国家秘密的基本范围v主要包括产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项国家事务重大决策中的秘密事项国防建设和武装力量活动中的秘密事项外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项国民经济和社会发展中的秘密事项科学技术中的秘密事项维护国家安全活动和追查刑事犯罪中的秘密事项党政秘密中符合上述各项内容的事项其他经国家保密行政管理部门确定的秘密事项16国家秘密

8、的保密期限v国家秘密的保密期限，除另有规定外绝密级不超过三十年机密级不超过二十年秘密级不超过十年v另有规定主要是指在保密事项范围中明确规定某类国家秘密事项保密期限为“长期”的情况这些国家秘密事项长期关系国家安全和利益，即使定为三十年的最长保密期限，也难以满足保密需求不能确定保密期限的国家秘密，应当确定解密条件17国家秘密的密级划分密级描述泄露后果绝密最重要的国家秘密泄露会使国家安全和利益遭受特别严重的损害机密重要的国家秘密泄露会使国家安全和利益遭受严重的损害秘密一般的国家秘密泄露会使国家安全和利益遭受损害18保守国家秘密法v主旨（总则）目的：保守国家秘密，维护国家安全和利益国家

9、秘密受法律保护。一切单位和公民都有保守国家秘密的义务国家保密行政管理部门主管全国的保密工作保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查v主要内容对我国国家秘密的定密程序、解密制度和保密期限等作出了明确规定明确了国家秘密相关的保密制度明确了国家秘密的监督管理部门明确了对危害国家秘密安全的行为要追究的法律责任法律19商业秘密v商业秘密不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息技术信息类商业秘密未公开的设计、程序、产品配方、制作工艺等完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术

10、数据针对技术问题的技术诀窍经营信息类商业秘密经营策略、产销策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息20保护商业秘密相关法律（1 1）v反不正当竞争法认定了侵犯商业秘密的不正当竞争行为，并对经营者侵犯商业秘密的行为进行了禁止v合同法和劳动合同法有对商业秘密/技术秘密进行保护的条款v合同法技术合同的内容应包括“技术情报和资料的保密”相关条款技术秘密转让合同的让与人和受让人均应承担保密义务21保护商业秘密相关法律（2 2）v劳动合同法用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项v刑事诉讼法涉及商业秘密的案件，当事人申请不

11、公开审理的，可以不公开审理v民事诉讼法对涉及商业秘密的证据应当保密，需要在法庭出示的，不得在公开开庭时出示人民法院审理民事案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理22个人信息v个人信息有关一个可识别的自然人的任何信息姓名、职位、电话号码等可在适当范围内公开的信息健康体检报告、医疗记录、通话记录等不愿公开的个人隐私信息系统所特有的账号、口令等用于进行用户标识和身份鉴别的信息23宪法中的有关规定v宪法第二章公民的基本权利和义务第4040条公民的通信自由和通信秘密受法律的保护除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行

12、检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密法律24非法使用/ /滥用个人信息v非法使用/滥用个人信息、侵犯个人隐私的行为未经他人同意，擅自公布他人的隐私材料以书面、口头形式宣扬他人隐私窃取或者以其他非法方式获取公民个人电子信息出售或者非法向他人提供公民个人电子信息网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息对在业务活动中经被收集者同意收集的公民个人电子信息没有采取必要的保密措施医疗机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料、健康体检报告等行为25打击网络违法犯罪相关法律v网络违法犯罪狭义指以计算

13、机网络为违法犯罪对象而实施的危害网络空间的行为广义是以计算机网络为违法犯罪工具或者为违法犯罪对象而实施的危害网络空间的行为，应当包括违反国家规定，直接危害网络安全及网络正常秩序的各种违法/犯罪行为v相关法律关于维护互联网安全的决定治安管理处罚法刑法26网络违法/ /犯罪行为v网络违法/犯罪行为破坏互联网运行安全的行为破坏国家安全和社会稳定的行为破坏社会主义市场经济秩序和社会管理秩序的行为侵犯个人、法人和其他组织的人身、财产等合法权利的行为利用互联网实施以上四类所列行为以外的违法/犯罪行为27信息安全主管/ /监管机构（1 1）v保护国家秘密中华人民共和国保守国家秘密法由国

14、家保密行政管理部门主管全国的保密工作县级以上地方各级保密行政管理部门主管本行政区域的保密工作国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作中央国家机关在其职权范围内，管理或者指导本系统的保密工作国家保密行政管理部门的最高机构是国家保密局28信息安全主管/ /监管机构（2 2）v维护公共安全人民警察法和治安管理处罚法公安部门负责全国的治安管理工作县级以上地方各级人民政府公安机关负责本行政区域内的治安管理工作29信息安全主管/ /监管机构（3 3）v规范电子签名行为中华人民共和国电子签名法电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务；从事电子认证

15、服务，应当向国务院信息产业主管部门提出申请工业和信息化部30网络安全法（1 1）v中华人民共和国网络安全法（20162016年1111月7 7日第十二届全国人民代表大会常务委员会第二十四次会议通过）共7章79条第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则 31网络安全法（2 2）v六大突出亮点：第一，明确了网络空间主权的原则第二，明确了网络产品和服务提供者的安全义务第三，明确了网络运营者的安全义务第四，进一步完善了个人信息保护规则第五，

16、建立了关键信息基础设施安全保护制度第六，确立了关键信息基础设施重要数据跨境传输的规则32网络安全法（3 3）v1、国家承担的责任义务第三条国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。（明确原则、方针）第四条国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。（解决顶层设计问题）33网络安全法（4 4）第五条国家采取措施，监测、防御、处置来源于中华人民共和国

17、境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。（国家承担主要任务，解决行业自身力量不足问题）第六条国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。（表明国际合作态度） 34网络安全法（5 5）第十二条国家保护公民、法人和其他组织依法使

18、用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。第十三条国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。(未成年人保护）第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。（强化标准体系建设） 35网络安全法（6 6）第十六条国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全

19、技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。（解决投入不足问题）第十七条国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。（社会广泛参与服务）第十八条国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。（鼓励和支持创新） 36网络安全法（7 7）第十九条各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，

20、并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。（多种形式教育）第二十条国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。（解决人才不足问题） 37网络安全法（8 8）v2、职责任务第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。（重要条款。部门分工，本法与其他法律的关系）县级以上地方人民政府有关部门的网络安全保护和

21、监督管理职责，按照国家有关规定确定。 38网络安全法（9 9）第十一条网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。（行业自律）第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。 39网络安全法（1010）v3、国家网络安全等级保护制度第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护

22、义务第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 40网络安全法（1111）v4、网络运营者基本责任义务第九条网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障

23、网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。（保护重点） 41网络安全法（1212）第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（日志留存

24、）（四）采取数据分类、重要数据备份和加密等措施；（数据安全） 42网络安全法（1313）第二十四条网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。（实名制要求）国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。（网络身份认证） 43网络安全法（1414）第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、

25、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。（应急预案、应急处置）第二十六条开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。（第三方服务要守法） 44网络安全法（1515）v5 5、关键信息基础设施的运行安全第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，

26、实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。（CII必须落实国家等级保护制度，突出保护重点）国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 45网络安全法（1616）第三十二条按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。（制定规划）第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。（三同步原则） 46网络安全法（1717）第三十四条除本

27、法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（重点措施）（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练（五）法律、行政法规规定的其他义务。 47网络安全法（1818）第三十五条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。（非常态的网络产品和服务的国家安全审查）第三十六条关键信息基础设施的运

28、营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。（外包服务安全，防范服务商）第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。（等级测评，风险评估，渗透测试） 48网络安全法（1919）v 6、数据境内存储和跨境提供第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行

29、安全评估；法律、行政法规另有规定的，依照其规定。（数据留存和提供） v 7、网络产品、服务要求第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。 49网络安全法（2020）第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及

30、防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。（禁止网络犯罪和支持协助犯罪） v8 8、网络信息安全第四十条网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。 50网络安全法（2121）第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的

31、约定，处理其保存的个人信息。（强化个人信息保护）第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。（网络运营者对个人信息保护责任） 51网络安全法（2222）第四十五条依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露

32、、出售或者非法向他人提供(监管人员责任）第四十六条任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。第四十七条网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告（违法信息传播的阻断义务）第四十八条任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法

33、规禁止发布或者传输的信息。（禁止传播违法信息） 52网络安全法（2323）第五十条国家网信部门和有关部门依法履行网络信息安全监督管理职责。发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。 v9 9、监测预警与应急处置第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。（将信息通报制度上升为法律） 53网络安全法（2424）第五十五

34、条发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。（事件应急处置）第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。（约谈） 54网络安全法（2525）v法律责任第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正

35、，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。55网络安全法（2626）第六十九条网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正;拒不改正或者情节严重的，处五万元以上五十万元以下罚款;对直接负责的主管人员和其他直接责任人员，处一万元以上十万

36、元以下罚款： (一)未将网络安全风险、网络安全事件向有关主管部门报告的; (二)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的; (三)拒绝、阻碍有关部门依法实施的监督检查的; (四)拒不向公安机关、国家安全机关提供技术支持和协助的。（对网络运营者未履行职责、义务进行处罚） 56知识域：信息安全法规v知识子域：信息安全相关行政法规和部门规章了解信息安全相关行政法规，掌握涉及信息安全的相关内容了解信息安全相关部门规章，掌握涉及信息安全的相关内容解读网络安全法，熟悉最新要求57信息安全相关行政法规v计算机信息系统安全保护条例v商用密码管理条例v其他

37、中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国电信条例互联网信息服务管理办法互联网上网服务营业场所管理条例信息网络传播权保护条例 .58计算机信息系统安全保护条例v国务院令第147号，1994年2月18日发布施行59商用密码管理条例v国务院令第273号，1999年10月7日发布施行60信息安全相关部门规章v计算机信息系统安全专用产品检测和销售许可证管理办法 v计算机信息系统保密管理暂行规定v国家电子政务工程建设项目管理暂行办法61计算机信息系统安全专用产品检测和销售许可证管理办法v公安部令第32号，1997年12月12日施行62计算机信息系统保密管理暂行规定v 国家

38、保密局,国保发19981号,1998年2月26日发布施行63国家电子政务工程建设项目管理暂行办法v 国家发改委令2007第55号, 2007年9月1日起施行64知识域：信息安全法规v知识子域：信息安全相关地方法规、地方规章和行业规定了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容65地方法规v 北京市信息化促进条例 2007年9月14日公布，自2007年12月1日起施行适用于北京市信息化工程建设、信息资

39、源开发利用、信息技术推广应用、信息安全保障以及相关管理活动v 上海市公共信息系统安全测评管理办法 2006年5月7日公布，2006年7月1日起施行适用于上海市行政区域内的公共信息系统安全测评管理活动，具体规定涉及测评的管理部门、责任制度、测评年度计划、新建系统的测评、测评机构、测评协议、测评要求、安全事项告知与协助义务、测评报告、安全整改，对测评机构违法行为的处理等方面v 辽宁省计算机信息系统安全管理条例v 重庆市计算机信息系统安全保护条例v .66地方规章v 北京市微博客发展管理若干规定（2011年12月16日公布并施行）v 北京市公共服务网络与信息系统安全管理规定v 北京市党政机关计算机

40、网络与信息安全管理办法v 上海市公共信息系统安全测评管理办法v 天津市公共计算机信息网络安全保护规定v 黑龙江省计算机信息系统安全管理规定v 辽宁省计算机信息保密管理规定v 大连市人民政府公共信息网络管理暂行规定v 四川省计算机信息系统安全保护管理办法v 山西省计算机安全管理规定v 山东省计算机信息系统安全管理办法v 安徽省计算机信息系统安全保护办法v 河南省计算机信息系统安全保护暂行办法67地方规章v 广东省计算机信息系统安全保护管理规定v 广东省电子政务信息安全管理暂行办法v 广东省互联网上网服务营业场所管理办法v 广东省计算机信息系统安全保护管理规定实施细则（试行） v 广东省通信短信息

41、服务管理办法（试行） v 深圳经济特区计算机信息系统公共安全管理规定v 福建省互联网上网服务营业场所管理规定v 江苏省互联网网络与信息安全管理暂行规定v 云南省网络与信息系统安全监察管理规定v 江西省计算机信息系统安全保护办法v 杭州市计算机信息系统安全保护管理办法v .68行业规定v中国银监会电子银行业务管理办法电子银行安全评估指引银行业金融机构信息系统风险管理指引v中国证监会网上证券委托暂行管理办法证券期货业信息安全保障管理暂行办法证券公司集中交易安全管理技术指引期货公司信息公示管理规定（自2009年11月16日起施行）深圳证券交易所交易异常情况处理实施细则（试行）上海证

42、券交易所交易异常情况处理实施细则（试行）v . .69知识域：信息安全法规v知识子域：国外典型信息安全相关法规简介了解美国信息安全相关法规概况70国外信息安全法律法规简介v国外信息安全法律法规简介（以美国为例）信息自由法（Freedom of Information Act of 1966，FOIA）爱国者法（USA Patriot of Act of 2001）联邦信息安全管理法案（Federal Information Security Management Act of 2002， FISMA）公众公司会计改革与投资者保护法71信息自由法v信息自由法美国对政府信息进行立法保护

43、的首要原则是向公众公开原则（也叫信息公开原则），是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由，但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举72爱国者法v爱国者法是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律，也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中由于该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉案该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100

44、万美元以上的账户进行调查73联邦信息安全管理法案v联邦信息安全管理法案对国家信息安全管理职责的授权国家标准与技术局（NIST）为联邦政府使用的系统制定安全标准与指南管理与预算办公室（OMB）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督属于电子政务法的第三部分,电子政务法该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定74公众公司会计改革与投资者保护法v公众公司会计改革与投资者保护法又名萨班斯-奥克斯利法主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全该法案要求公众公司保证其内部金融控制的准确性，规定

45、由证券交易委员会（SEC）制定规则，强制要求公众公司年度报告中包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴定报告75知识域：信息安全政策v知识子域：国家信息安全政策概况了解国家有关政策提出的加强信息安全保障工作的方针和总体要求理解国家有关政策规定的加强信息安全保障工作的主要原则理解国家有关政策规定的需要重点加强的信息安全保障工作76我国信息安全保障工作总体文件v国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号明确了我国信息安全保障工作的方针和总体要求加强信息安全保障工作的主要原则需要重点加强的信息安全保障工作 27号文的发布具有重大

46、意义它标志着我国信息安全保障工作有了总体纲领我国最近十余年的信息安全保障工作都是围绕此政策性文件来展开和推进的促进了我国信息安全保障建设的各项工作77国家信息化领导小组关于加强信息安全保障工作的意见v总体方针和要求坚持积极防御、综合防范的方针全面提高信息安全防护能力重点保障基础信息网络和重要信息系统安全创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全v主要原则立足国情，以我为主，坚持技术与管理并重正确处理安全和发展的关系，以安全保发展，在发展中求安全统筹规划，突出重点，强化基础工作明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息

47、安全保障体系78国家信息化领导小组关于加强信息安全保障工作的意见v主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制79我国信息安全政策的初步成效、后续展望v初步成效依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广

48、度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等v后续展望 “十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸 IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障80知识域：信息安全政策v知识子域：信息安全相关国家政策了解信息安全相关国家政策理解

49、风险评估、保密管理、应急处理、安全检查和工控安全等涉及信息安全的相关内容理解信息安全等级保护政策体系，了解信息安全等级保护相关政策81信息安全相关的政策v风险评估相关政策v保密管理相关政策v应急处理相关政策v安全检查相关政策v工控安全相关政策v等级保护相关政策v加强信息安全保障相关政策v物联网安全相关政策82关于开展信息安全风险评估工作的意见（国信办2006520065号）v信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施v基本工作要求应贯穿于网络和信息系统建设运行的全过

50、程（设计、验收、运维）信息安全风险评估分自评估、检查评估两形式,应以自评估为主，自评估和检查评估相互结合、互为补充v相关保障参照标准:信息安全风险评估规范（GB/T 20984-2007）、信息安全风险管理指南（GB/Z 24364-2009）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）风险评估相关政策83关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技2008207120082071号）v依据和目的国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号目的是为了贯彻落实中办发200327号文，加

展开阅读全文