信息安全相关政策解读.pptx

信息安全相关政策解读.pptx

《信息安全相关政策解读.pptx》由会员分享，可在线阅读，更多相关《信息安全相关政策解读.pptx（29页珍藏版）》请在冰豆网上搜索。

信息安全相关政策解信息安全相关政策解读读课课程内容（程内容

（1）信息安全信息安全相关政策相关政策国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知知识识域：

信息安全相关政策域：

信息安全相关政策3知识子域：

国家信息安全保障总体情况掌握国家有关政策对信息安全保障工作的总体方针和要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作国家信息化国家信息化领导领导小小组组关于加关于加强强信息安全信息安全保障工作的意保障工作的意见见（中（中办办发发200327号）号）4意义标志着我国信息安全保障工作有了总体纲领提出要在5年内建设中国信息安全保障体系总体方针和要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

主要原则立足国情，以我为主，坚持技术与管理并重；正确处理安全和发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。

国家信息化国家信息化领导领导小小组组关于加关于加强强信息安全信息安全保障工作的意保障工作的意见见（中（中办办发发200327号）号）5主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制十一五：

试点十二五：

普及推广我国信息安全政策的初步成效、后我国信息安全政策的初步成效、后续续展望展望6初步成效依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）其他领域：

灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等后续展望“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务（外包）的信息安全保障新技术、新应用下的信息安全保障十一五：

试点十二五：

普及推广课课程内容（程内容

（1）信息安全信息安全相关政策相关政策国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知知识识域：

信息安全相关政策域：

信息安全相关政策8知识子域：

信息安全相关国家政策了解信息安全相关国家政策，掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系，熟悉信息安全等级保护相关政策关于开展信息安全关于开展信息安全风险评风险评估工作的意估工作的意见见（国信（国信办办20065号）号）9信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估相关保障参照标准:

信息安全风险评估规范（GB/T20984-2007）、信息安全风险管理指南（GB/Z24364-2009）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）理工作的通知（国理工作的通知（国办办发发200817号号）10明确职责把信息安全和保密工作列入重要议事日程，明确一名主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责强化人员培训组织信息安全和保密基本技能培训，开展信息安全和保密形势分析深入学习宣传信息安全“五禁止”规定完善安全措施和手段管理制度+技术手段加强信息安全检查详见政府信息系统安全检查办法关于印关于印发发国家网国家网络络与信息安全事件与信息安全事件应应急急预预案的通知（国案的通知（国办办函函2008168号）号）11背景2003年：

国务院成立应急办，颁布了国家突发公共卫生事件应急条例2006年：

国家突发公共事件总体应急预案（4大类公共事件）国家网络与信息安全事件应急预案2007年：

制定发布国家突发事件应对法预案要点网络与信息安全事件的分类分级参照标准：

信息安全事件分类分级指南（GB/Z20986）应急流程：

预防预警应急处置后期处置参照标准：

信息安全事件管理指南（GB/Z20985）组织体系和应急保障应急队伍、经费、物资、通信、科技。

监督管理宣传教育、培训、演练、责任与奖惩关于加关于加强强国家国家电电子政子政务务工程建工程建设项设项目信息安目信息安全全风险评风险评估工作的通估工作的通知知（发发改高技改高技20082071号）号）12依据和目的国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号三部委联合发文：

发改委、公安部、保密局将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档）风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等两类信息系统的工作开展涉密信息系统参照“分级保护”，进行系统测评并履行审批手续非涉密信息系统参照“等级保护”，完成等级测评和风险评估工作，并形成相关报告相关要点对信息安全风险评估机构的指定（1家+3家）信息安全风险评估经费计入该项目总投资投入运行后，应定期开展信息安全风险评估关于印关于印发发政府信息系政府信息系统统安全安全检查办检查办法法的通知（国的通知（国办办发发200928号）号）13依据关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）检查范围和检查重点各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。

国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。

检查方式各单位自查+统一组织抽查+安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南（工信部协2009168号）2010年度政府信息系统安全检查指南（工信部协2010143号）政府部政府部门门信息技信息技术术外包服外包服务务机构申机构申请请信息信息安全管理体系安全管理体系认证认证安全安全审查审查程序（程序（暂暂行）行）14工业和信息化部公告（2011年第21号）鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。

服务机构申请信息安全管理体系认证时，应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。

鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。

服务机构申请信息安全管理体系认证（含再认证）时，应经工业和信息化部安全审查同意。

工业和信息化部负责安全审查的管理工作，包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。

附表1：

政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表附表2：

政府部门信息技术外包服务机构信息安全管理体系认证情况备案表关于加关于加强强工工业业控制系控制系统统信息安全管理的信息安全管理的通知（工信部通知（工信部协协2011451号）号）15工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：

充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导知知识识域：

信息安全相关政策域：

信息安全相关政策16知识子域：

信息安全相关国家政策了解信息安全相关国家政策，掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系，熟悉信息安全等级保护相关政策等等级级保保护护17中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）第九条计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

GB17859-1999计算机信息系统安全保护等级划分准则第一级:

用户自主保护级；第二级:

系统审计保护级；第三级:

安全标记保护级；第四级:

结构化保护级；第五级:

访问验证保护级；信息安全等信息安全等级级保保护护法法规规政策体系政策体系18关于信息安全等关于信息安全等级级保保护护工作的工作的实实施意施意见见（公字通（公字通200466号）号）19信息和信息系统的安全保护等级（及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度实施要求完善标准,分类指导（管理规范和技术标准）科学定级,严格备案（专家评审委员会。

三级以上系统备案）建设整改,落实措施（信息系统：

已有、新建、改建、扩建）自查自纠,落实要求（运营、使用单位及其主管部门）建立制度,加强管理（运营、使用单位及其主管部门）监督检查,完善保护（公安机关重点对第三、第四级系统）关于印关于印发发的的通知（公字通知（公字通通200743号）号）20通知是政策，管理办法属于部门规章四部委联合发文：

公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级实施与管理参照标准：

信息系统安全等级保护定级指南参照标准：

信息系统安全等级保护基本要求等参照标准：

信息系统安全等级保护测评要求具体实施等级保护工作参照标准：

信息系统安全等级保护实施指南确定安全保护等级系统建设等级测评二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求涉密信息系统按分级保护管理（略）对信息安全等级保护的密码实行分类分级管理（略）关于开展全国重要信息系关于开展全国重要信息系统统安全等安全等级级保保护护定定级级工作的通知（公信工作的通知（公信安安2007861号）号）21背景根据国家网络与信息安全协调小组2007年的工作部署,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作定级范围电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；市（地）级以上党政机关的重要网站和办公信息系统；涉及国家秘密的信息系统（涉密信息系统）。

工作内容摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）关于开展信息安全等关于开展信息安全等级级保保护护安全建安全建设设整改工整改工作的指作的指导导意意见见（公信（公信安安20091429号）号）22工作目标力争在2012年底前完成已定级信息系统（不含涉密信息系统）安全建设整改工作工作内容开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设,提高信息系统安全保