CISP2018_信息安全监管_v4.1

信息安全监管讲师姓名机构名称版本：4.1课程内容2网络安全监管知识域知识子域网络安全法律体系建设网络安全道德准则信息安全标准国家网络安全政策知识子域：网络安全法律体系建设计算机犯罪了解计算机犯罪的概念、特征及计算机犯罪的发展趋势。我国立法体系了解我国多级立法机制及相关职能；了解立法分类（法律、行政法规及地方性法规）。3计算机犯罪计算机犯罪的概念计算机犯罪的特点多样化复杂化国际化计算机犯罪的趋势从无意识到有组织从个体侵害到国家威胁跨越计算机本身的实施能力低龄化成为法律制约难题4立法是网络空间治理的基础工作我国采取多级立法机制我国立法体系5法律行政法规地方性法规地方政府规章全国人大及其常委会国务院地方人大及其常委会地方人民政府部门规章国务院各部委法律解释司法解释两高知识子域：网络安全法律体系建设6网络安全法了解网络安全法出台背景；了解网络安全法中定义的网络、网络安全等基本概念及网络空间主权原则；理解网络运行安全制度、关键基础设施保护制度、等级保护制度、网络安全审查制度的相关要求。网络安全相关法规建设了解行政违法相关概念及相关行政处罚；了解刑事责任、常见网络安全犯罪及量刑等概念；了解民事违法相关概念及违法民事处罚；了解国家安全法、保密法、电子签名法、反恐怖主义法、密码法中网络安全相关条款。各国网络安全立法的重点制度对传统的网络安全制度进行立法修正机构职责和管理制度监测预警及应急处置机制对近几年涌现的新问题进行应对关键基础设施保护数据安全防护（跨境数据流动、数据泄露处置等）云计算等新技术、新业务引发的安全问题等7网络安全立法演变为全球范围内的利益协调与国家主权斗争网络安全法出台背景8《网络安全法》基本概念网络、网络安全网络空间安全关键信息基础设施网络运营者个人信息网络数据……9网络空间已成为领土、领海、领空、太空之外的“第五空间”或人类“第二类生存空间”成为国家主权延伸的新疆域网络安全法主要结构七章79条10第一章总则明确网络空间主权原则11第二章网络安全支持与促进建立和完善网络安全标准体系建设统筹规划，扶持网络安全产业（产品、服务等）推动社会化网络安全服务体系建设鼓励开发数据安全保护和利用技术、创新网络安全管理方式开展经常性网络安全宣传教育支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流12第三章网络运行安全明确要求落实网络安全等级保护制度13第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第三章网络运行安全明确网络运营者的安全义务14第三章网络运行安全明确网络产品、服务提供者的安全义务15第三章网络运行安全明确一般性安全保护义务16第三章网络运行安全关键信息基础设施保护17第三章网络运行安全关键信息基础设施保护18第三章网络运行安全关键基础设施运营中产生的数据必须境内存储2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法（征求意见稿）》公开征求意见的通知。明确了个人信息和重要数据出境的范围•有50万人以上的个人信息•数据量超过1000GB•7大重要领域数据等数据出境评估原则评估7个方面主要内容19第三章网络运行安全明确我国实行网络安全审查制度2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法（试行）》。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门（网络安全审查委员会）、审查的机构（国家统一认定网络安全审查第三方机构）和对党政机关和重点行业的审查工作提出要求。并于2017年6月1日同《网络安全法》一同实施。20第四章网络信息安全重视对个人信息保护21第四章网络信息安全规范信息管理22第四章网络信息安全确定信息管理中相关职责23第四章网络信息安全2017年05月02日国家互联网信息办公室正式发布《互联网新闻信息服务管理规定》（国信办1号令），于6月1日同《网络安全法》一起实施。规范了：互联网新闻信息服务的范围互联网新闻信息服务的6项许可条件互联网新闻信息服务提供者的责任义务网信部门对互联网新闻信息服务的监督检查要求相关法律责任24第四章网络信息安全同日国家互联网信息办公室一并发布《互联网信息内容管理行政执法程序规定》（国信办2号令），于6月1日同《网络安全法》一起实施。规范了：互联网信息内容管理部门行政执法依据管辖范围立案流程调查取证过程听证及约谈机制处罚决定及执行办法等25第五章监测预警与应急处置工作制度化、法制化26第六章法律责任对违反《网络安全法》的行为，第六章规定了民事责任、行政责任、刑事责任27网络安全相关法规行政法相关法规民法相关法规刑法相关法规出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等其他网络安全相关法规及条款国家安全法保密法电子签名法反恐怖主义法密码法28知识子域：国家网络安全政策国家网络空间安全战略了解国家网络空间安全战略中总结的七种新机遇、六大严峻挑战及网络空间“和平、安全、开放、合作、有序”的发展战略目标；了解国家网络空间战略提出的四项基本原则和九大任务；国家网络安全等保政策了解我国网络安全等级保护相关政策。29国家网络空间安全战略七种新机遇六大严峻挑战发展战略目标四项原则九大任务30网络安全等级保护政策《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护GB17859正式细化等级保护要求，划分五个级别《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发网络安全法明确我国实行网络安全等级保护制度31知识子域：网络安全道德准则道德约束了解道德的概念、道德与法律的差异；理解道德约束相关概念。职业道德准则理解信息安全从业人员遵守职业道德的重要性；了解目前国际团体和组织制作的职业道德规范文件；理解《CISP职业道德准则》的要求；32道德约束道德的概念一定社会或阶级用以调整人们之间利益关系的行为准则，也是评价人们行为善恶的标准道德和法律道德没有严谨的结构体系，法律是国家意志统一体系，有严密的逻辑道德约束道德约束是建立在完善的法律基础上惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一培训与教育是不可获取的增强员工道德意识的途径33计算机职业道德准则职业道德的概念著名的计算机职业伦理守则美国计算机学会职业伦理守则、英国计算机学会伦理守则、计算机伦理十诫CISP职业道德准则维护国家、社会和公众的信息安全诚实守信、遵纪守法努力工作，尽职尽责发展自身，维护荣誉34知识子域：信息安全标准信息安全标准基础了解标准的基本概念及标准的作用、标准化的特点及原则等；了解国际信息安全标准化组织和我国信息安全标准化组织；了解我国标准分类及信息安全标准体系。我国信息安全标准了解我国信息安全标准体系分类及基础标准、技术与机制、管理与服务标准、测评标准构成；35标准标准为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件标准类型国际标准国家标准行业标准地方标准36标准化标准化：为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动标准化的基本特点标准化是一项活动标准化的对象：物、事、人标准化是一个动态的概念标准化是一个相对的概念标准化的效益只有应用后才能体现标准化工作原则：简化、统一、协调、优化37标准化组织主要国际标准化组织国际标准化组织（ISO）国际电工委员会（IEC）Internet工程任务组（IETF）国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T）国家标准化组织（美国）美国国家标准化协会（ANSI）美国国家标准技术研究院（NIST）38我国标准化组织中国国家标准化管理委员会是我国最高级别的国家标准机构全国信息安全标准化技术委员会（TC260)1984年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会2002年4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委，TC260），由国家标准委直接领导，对口ISO/IECJTC1SC27国家标准化管理委员会高新函[2004]1号文决定：自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作39全国信息安全标准化技术委员会TC260组织结构40我国标准分类GB强制性国家标准一经颁布必须贯彻执行，违反则构成经济或法律方面的责任GB/T推荐性国家标准自愿采用的标准，共同遵守的技术依据，严格贯彻执行GB/Z国家标准指导性技术文件由于技术发展过程中或其他理由，将来可能达成一致意见指导性技术文件实施后3年内必须进行复审41我国信息安全标准体系42基础类标准安全术语类测评基础类管理基础类物理安全类安全模型类安全体系架构类43技术与机制标准密码技术鉴别机制授权机制电子签名公钥基础设施通信安全技术涉密系统通用技术要求44管理与服务标准涉密服务安全控制与服务网络安全管理行业/领域安全管理45测评标准密码产品通用产品安全保密产品通用系统涉密信息系统通信安全政府安全检查安全能力评估46知识子域：信息安全标准等级保护标准族了解网络安全等级保护标准体系；掌握等级保护实施流程中定级、备案的工作要求并了解等级保护整改、测评相关要求；了解等级保护2.0的相关变化。47信息安全等级保护标准体系48信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统安全等级保护实施指南信息系统安全等级安全设计技术要求信息系统安全等级保护建设基线要求状况分析方法指导安全等级信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求信息系统通用安全技术要求其他产品类标准网络和终端设备隔离部件技术要求数据库管理系统安全技术要求操作系统安全技术要求信息系统安全管理要求信息系统物理安全技术要求网络基础安全要求其他技术类标准信息系统安全工程管理要求其他管理类标准计算机信息系统安全保护等级划分准则（GB17859）技术类管理类产品类信息安全等级保护标准体系安全等级类：主要对如何进行信息系统定级做出指导GB/T22240-2008《信息安全技术信息系统安全保护等级保护定级指南》各类行业定级准则方法指导类：对如何开展等级保护工作做了详细规定GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》GB/T25070-2010《信息系统等级保护安全设计技术要求》等49信息安全等级保护标准体系状况分析类：对如何开展等级保护测评工作做出了详细规定GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》GB/T28449-2012《信息安全技术信息系统