信息安全管理——网络安全监管

一、网络安全法律体系建设

1、计算机犯罪

定义：狭义（信息系统为目标）和广义（包括狭义和其他目标）之分

特点：多样性、复杂化、国际化、不对称性

趋势：从无意识到有组织、从个体侵害到国家威胁、跨越计算机本身的实施能力、低龄化成为法律制约难题

2、我国立法体系

立法是网络空间治理的基础工作

我国采取多级立法机制

3、网络安全法

重要性：网络安全立法演变为全球范围内的利益协调与国家主权斗争

网络安全法出台背景：

网络安全法主要结构：包括7章79条：总则、网络安全支持与促进、网络运行安全、网络信息安全、网络安全监测预警与应急处置、法律责任、附则

基本内容：

第一章  总则
1）网络空间主权的原则
2）国家网信部门统筹协调（中国共产党中央网络安全和信息化委员会）
3）特定情况下域外适用效力

第二章  网络安全支持与促进
1）网络安全建设和发展的法律支持
2）网络安全建设和发展政策和工作依据

第三章 网络运行安全
1、一般规定（要落实等级保护制度）
1）网络运营者义务（甲方）：
a、管理制度及责任；
b、技术防护与日志6个月；
c、数据保护；
d、实名制；
e、应急预案制定及响应；
f、安全协助和支持。

2）产品和服务提供者义务（乙方）：
a、强制标准；CC标准   1-7级别
b、告知补救；
c、安全维护；
d、个人信息保护。

3）一般性义务（各方）：
a、信息发布的安全；
b、禁止的危害行为；
c、信息使用规则。

2、关键信息基础设施保护（强调：在1、一般规定 基础上进一步的要求）
1）人的安全：人员安全审查、培训教育和考核；
2）数据安全：数据出境的国家安全评估；
3）产品服务安全：产品和服务采购，可能影响国家安全的，则需要进行安全审查；
4）网络与系统安全：一年一次的风险检测评估；
5）应急处理：应急预案的制定、定期演练及应急处置。

第四章  网络信息安全
1）个人信息的保护：采集、告知、同意、保护、修改等方面要求。
2）规范信息管理：从主体及行为的角度规范管理。
3）各主体的职责

第五章 监测预警与应急处置
1）国家：网信部门统筹该工作。
2）行业：国务院各部门各司其职。
3）地方：地方网信部门和地方政府。
4）组织：组织单位。

第6章 法律责任
1）民事责任
2）行政责任
3）刑事责任

第7章 附则（术语的解释等）

二、国家网络安全政策 

1、中央办公厅2003年第27号文

全称：《国家信息化领导小组关于加强信息安全保障工作的意见》

总体方针和要求：积极防御（主动性），综合防范（全面系统）

目标和要求：全面提高信息安全防护能力，保护公众利益，维护国家安全

原则：立足国情、以我为主、技管并重；
           正确处理安全和发展的关系；
           统筹规划、突出重点、强化基础工作；（基础工作：人才培养、立法立标、监督检查、组               织架构）
发挥国家、企业和个人的作用。

重大意义：标志着我国信息安全保障工作有了总体纲领

主要任务（重点加强的安全保障工作）：

       实现信息安全等级保护；                                                                                                                   加强密码技术为基础的信息保护和网络信任体系建设；                                                                     建设和完善信息安全监控体系；                                                                                                         重视信息安全应急处理工作；                                                                                                             加强信息安全技术研究开发，推进信息请安全产业发展；                                                                 加强信息安全法治建设和标准化建设；                                                                                               加快信息安全人才培养，增强全民信息安全意识；                                                                             保证信息安全资金；                                                                                                                           加强安全保障工作领导，建立健全信息安全管理责任制           

2、国家网络空间安全战略

时间：2016年12月27日

基本内容：

1）七种新机遇   六大严峻挑战
2）五项目标：1-和平、2-安全、3-开放、4-合作、5-有序。最终目标是为了构建网络空间命运共同体。
3）四项原则：1-尊重维护网络空间主权；2-和平利用网络空间；3-依法治理网络空间；4-统筹网络安全与发展。 

3、网络安全等级保护政策

《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护 

GB 17859正式细化等级保护要求，划分五个级别

《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发

网络安全法明确我国实行网络安全等级保护制度   

 2007年等保1.0    2019年12月1日等保2.0

三、道德准则

道德的概念：一定社会或阶级用以调整人们之间利益关系的行为准则，也是评价人们行为善恶的标准

道德和法律：道德没有严谨的结构体系，法律是国家意志统一体系，有严密的逻辑

道德约束：道德约束是建立在完善的法律基础上；惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一；培训与教育是不可获取的增强员工道德意识的途径

掌握CISP道德规范的四个部分：1）维护国家、社会和公众的信息安全；2）诚实守信、遵纪守法 ；3）努力工作，尽职尽责；4）发展自身，维护荣誉

四、安全标准

1、标准

定义：为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件

标准类型：国际标准、国家标准、行业标准、地方标准

2、标准化基础

定义：为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动

标准化的基本特点：1-标准化是一项活动；2-标准化的对象：物、事、人；3-标准化是一个动态的概念；3-标准化是一个相对的概念；4-标准化的效益只有应用后才能体现

标准化工作原则：简化、统一、协调、优化

标准化组织：国际标准化组织（ISO）、国际电工委员会（IEC）、Internet工程任务组（IETF）、国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T）等

ISO/IEC JTC1 SC27的工作组（5个）：
WG1信息安全管理体系的标准制定的,例如，iso/iec 27001-27005。
WG3是安全评估标准的制定，例如，iso/iec 15408（EAL1-7）。

我国的标准化:
标准化机构：国家标准化管理委员会（隶属于国家市场监督管理总局）
标准化组织：TC260（全国信息安全标准化技术委员会）
TC260包括8工作组，WG2涉密；WG5评估；WG7管理；SWG-BDS大数据安全标准。