信息安全监管

安全政策

中央办公厅2003的27号文件

《国家信息化领导小组关于加强信息安全保障工作的意见》

方针:积极防御,综合防范

目标、要求:全面提高信息安全防护能力,保护公众利益,维护国家安全

4大原则:

立足国情,以我为主,技管并重;

正确处理安全和发展的关系;

统筹规划、突出重点、强化基础工作;

发挥国家、企业和个人作用;

9大任务:

实行信息安全等级保护

加强密码技术为基础的信息保护和网络信任体系建设;

建设和完善信息安全监控体系;

重视信息安全应急处理工作;

加强信息安全技术研究开发,推进信息安全产业发展

加强信息安全法制建设和标准化建设;

加快信息安全人才培养,增强全民信息安全意识;

保证信息安全资金

加强安全保障工作领导,建立健全信息安全管理责任制;

以上9条不涉及(国产化、自主创新、知识产权、隐私保护)

网络空间安全战略

2016年12月27日发布和实施

5大战略目标:和平、安全、开放、合作、有序

四项原则:

尊重维护网络空间主权

和平利用网络空间,

依法治理网络空间,

统筹网络安全与发展

安全法律

计算机犯罪:多样性、复杂性、国际化、不对称性

网络安全法

核心概念:人类第二类生产生活空间,国家主权延伸的疆域

网络安全法7章79条

信息安全监管_第1张图片

第一章 总则:

1、网络空间主权的原则

2、国家网信部门统筹协调(中国共产党中央网络安全和信息化委员会)

3、特定情况下域外适用效力

第二章 网络安全支持与促进

网络安全建设和发展的法律支持、政策和工作依据

第三章 网络运行安全

1、一般规定--等级保护制度

1,网络运营者义务---甲方---6条

        管理制度及责任;

        技术防护与日志6个月

        数据保护;

       实名制

       应急预案制定及相应;

       安全协助和支持

2,产品和服务提供者义务---乙方---4条

     强制标准;

     告知补救;

     安全维护;

     个人信息保护

3,一般性义务---双方---3条

     信息发布安全;

    危害行为的禁止;

    执法人员信息使用规则。

2、关键信息基础设施保护

1,人的安全:专职转岗,人员安全审查,培训教育和考核;

2,数据安全:数据出境的国家安全评估

3,产品和服务安全:产品和服务采购,可能影响国家安全的,则需要进行安全审查

       超过100万用户个人信息的网络平台运营者赴国外上市,需要经过安全审查;

4,网络与系统安全:一年一次的风险监测评估;

5,应急处理:应急预案的制定,定期演练及应急处理;

第四章 网络信息安全

1、个人信息的保护:采集,告知,同意,保护,修改等方面要求;

      原则:合法,正当,必要

2、规范信息管理:从主体行为的角度规范管理;

      主体有市场主体和监督主体;

      行为有建立网站,发布信息,发送邮件,提供应用软件

3、各主体的职责。

第五章 监测预警与应急处置

1,国家:网信部门统筹该工作;

2,行业:国务院各部门各司其职;

3,地方:地方网信部门地方政府

4,组织:组织单位;

第六章 法律责任

1,民事责任;

2,行政责任;

3,刑事责任。

相关法律法规:

刑法,保守国家秘密法,密码法,国家安全法,反电信网络诈骗法,

电子签名法,数据安全法,个人信息保护法,网络安全审查方法,关键信息基础设施保护条例。

国家秘密保密期限:秘密级10年,机密级20年,绝密级30年

密码法:核心密码,普通密码,商用密码(对应绝密,机密,不属于国家秘密)

第七章 附则

其他与网络安全有关的法律

道德准则

法律需要建立在道德约束的基础之上

《CISP职业道德准则》四部分:

1,维护国家,社会和公众的信息安全;

2,诚实守信,遵纪守法;

3,努力工作,尽职尽责;

4,发展自身,维护荣誉。

安全标准

标准基础

标准对象:人,事,物

标准概念:动态,相对,应用后体现

工作原则:简化,统一,协调,优化

国家标准组织:

国际标准化组织ISO,国际电工委员会IEC,Internet工程任务组IETF,

国际电信联盟ITU,ITU通信标准化组织ITU-I

国际标准化分工 ISO/IEC JTC1 SC27的5个工作组:

信息安全监管_第2张图片

WG1信息安全管理体系标准制定的,例如,iso/iec 27001-27005。

WG3是安全评估标准制定,例如,iso/iec 15408(EAL1-7)

我国标准

标准化机构:国家标准化管理委员会--隶属于市场监督管理总局

标准化组织:全国准化技术员会TC260

TC260包括8个工作组

信息安全监管_第3张图片

标准分类:

国标:GB 强制国家标准, GB/T 推荐国家标准, GB/Z国家标准指导性文件(3年内复审);

行业标准:GB/T公安标准;JT/T交通标准;YD/T通信标准;

地方标准:DB/T,DB/Z地方推荐标准或指标标准;

企业标准:QB/T

等级保护标准

流程:定级备案,建设整改,等级测评

定级:

GB/T 22240-2020原理(122-234-345)

定级原理---业务信息和系统服务两个方面进行定级

信息安全监管_第4张图片

网络安全等级保护基本要求2.0,2019年12月1日生效

通用要求:71项要求

    技术要求:物理环境、通信网络、区域边界、计算环境和管理中心。采用IATF结构,比等保1.0技术要求多可信验证、个人信息保护、集中管控

    管理要求:管理人员、管理机构、管理制度、建设管理和运维管理。和等保1.0相当的

扩展要求:1-4级--云计算16,移动互联网9,工控安全8,物联网9

信息安全监管_第5张图片

测评标准

GB/T 28448-2019《网络安全等级保护测评要求》2019.12.01生效

GB/T 28449-2012《信息系统安全等级保护测评过程指南》

     二级及上定级备案不测评;三级1年测评1次;四级半年测评1次

报告:公安部同意模板编制的《等级保护测评报告》

测评结论:定性,定量

     定性---符合,基本符合,不符合

     定量--->90,80-89,70-79,<70;评分包括累计得分制和满分减分制。

测评机构:公安部等级保护评估中心授权的测评机构

测评人员:初,中,高级测评师

签字:高级测评师对《等级保护测评报告》进行签字

等保测评工作2022年开始逐步移交质量检验部门

你可能感兴趣的:(网络,安全)