CISP管理部分- 2、网络安全监管
1.1 网络安全法律体系建设
我国立法体系
网络安全法律体系建设-网络安全法
1.2 国家网络安全政策
国家网络空间安全战略
网络安全等级保护政策
1.3 网络安全道德准则
CISP职业道德准则
维护国家、社会和公众的信息安全
诚实守信、遵纪守法
努力工作,尽职尽责
发展自身,维护荣誉
1.4 信息安全标准
v 标准
§为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件
v 标准类型
§国际标准
§国家标准
§行业标准
§地方标准
v 主要国际标准化组织
§国际标准化组织(ISO)
§国际电工委员会(IEC)
§Internet工程任务组(IETF)
§国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)
v 国家标准化组织(美国)
§美国国家标准化协会(ANSI)
§美国国家标准技术研究院(NIST)
我国标准化组织:
v 中国国家标准化管理委员会
§是我国最高级别的国家标准机构
v 全国信息安全标准化技术委员会(TC260)
§1984年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会
§2002年4月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术委员会(信安标委,TC260),由国家标准委直接领导,对口ISO/IEC JTC1 SC27
§国家标准化管理委员会高新函[2004]1号文决定:自2004年1月起,各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调一致后由信息安全标委会组织申报;在国家标准制定过程中,标准工作组或主要起草单位要与信息安全标委会积极合作,并由信息安全标委会完成国家标准送审、报批工作
我国标准分类:GB 强制性国家标准、GB/T 推荐性国家标准、GB/Z 国家标准指导性技术文件
1.4.1 我国信息安全标准体系
1.4.2 信息安全等级保护标准体系
等保基本要求
1.4.3 等级保护工作流程
v 定级
v 备案
v 差距分析
v 建设整改
v 验收测评
v 定期复查
1.4.3.1 定级与备案
1.4.3.2 差距分析
目的:发现系统当前安全状况与《等级保护基本要求》之间差距,指导下一步整改工作
流程:差距分析流程与等级保护测评一致
报告:在完成差距分析后一般形成《等级保护差距分析报告》,格式一般参考《等级保护测评报告》,为下一阶段开展等级保护安全建设整改工作提出建设整改需求。
1.4.3.3 建设整改
依据:GB/T25070-2010《信息系统等级保护安全设计技术要求》
流程:依据《等级保护差距分析报告》中提出的安全建设整改需求,设计《等级保护安全建设整改方案》,并根据单位实际的资金、技术、人员配备情况分阶段地开展等级保护建设整改工作。
报告:建设整改前,需要编制《等级保护安全建设整改方案》,提出建设整改目标和步骤。在完成整改后,由建设单位开展验收工作,验证是否达到方案要求
