中央办公厅2003的27号文件
《国家信息化领导小组关于加强信息安全保障工作的意见》
方针:积极防御,综合防范
目标、要求:全面提高信息安全防护能力,保护公众利益,维护国家安全
立足国情,以我为主,技管并重;
正确处理安全和发展的关系;
统筹规划、突出重点、强化基础工作;
发挥国家、企业和个人作用;
实行信息安全等级保护;
加强密码技术为基础的信息保护和网络信任体系建设;
建设和完善信息安全监控体系;
重视信息安全应急处理工作;
加强信息安全技术研究开发,推进信息安全产业发展;
加强信息安全法制建设和标准化建设;
加快信息安全人才培养,增强全民信息安全意识;
保证信息安全资金;
加强安全保障工作领导,建立健全信息安全管理责任制;
以上9条不涉及(国产化、自主创新、知识产权、隐私保护)
2016年12月27日发布和实施
5大战略目标:和平、安全、开放、合作、有序
四项原则:
尊重维护网络空间主权,
和平利用网络空间,
依法治理网络空间,
统筹网络安全与发展。
计算机犯罪:多样性、复杂性、国际化、不对称性
核心概念:人类第二类生产生活空间,国家主权延伸的疆域
网络安全法7章79条
1、网络空间主权的原则
2、国家网信部门统筹协调(中国共产党中央网络安全和信息化委员会)
3、特定情况下域外适用效力
网络安全建设和发展的法律支持、政策和工作依据
1,网络运营者义务---甲方---6条
管理制度及责任;
技术防护与日志6个月;
数据保护;
实名制;
应急预案制定及相应;
安全协助和支持。
2,产品和服务提供者义务---乙方---4条
强制标准;
告知补救;
安全维护;
个人信息保护;
3,一般性义务---双方---3条
信息发布安全;
危害行为的禁止;
执法人员信息使用规则。
1,人的安全:专职转岗,人员安全审查,培训教育和考核;
2,数据安全:数据出境的国家安全评估;
3,产品和服务安全:产品和服务采购,可能影响国家安全的,则需要进行安全审查;
超过100万用户个人信息的网络平台运营者赴国外上市,需要经过安全审查;
4,网络与系统安全:一年一次的风险监测评估;
5,应急处理:应急预案的制定,定期演练及应急处理;
1、个人信息的保护:采集,告知,同意,保护,修改等方面要求;
原则:合法,正当,必要
2、规范信息管理:从主体及行为的角度规范管理;
主体有市场主体和监督主体;
行为有建立网站,发布信息,发送邮件,提供应用软件
3、各主体的职责。
1,国家:网信部门统筹该工作;
2,行业:国务院各部门各司其职;
3,地方:地方网信部门和地方政府;
4,组织:组织单位;
1,民事责任;
2,行政责任;
3,刑事责任。
相关法律法规:
刑法,保守国家秘密法,密码法,国家安全法,反电信网络诈骗法,
电子签名法,数据安全法,个人信息保护法,网络安全审查方法,关键信息基础设施保护条例。
国家秘密保密期限:秘密级10年,机密级20年,绝密级30年
密码法:核心密码,普通密码,商用密码(对应绝密,机密,不属于国家秘密)
其他与网络安全有关的法律
法律需要建立在道德约束的基础之上
《CISP职业道德准则》四部分:
1,维护国家,社会和公众的信息安全;
2,诚实守信,遵纪守法;
3,努力工作,尽职尽责;
4,发展自身,维护荣誉。
标准对象:人,事,物
标准概念:动态,相对,应用后体现
工作原则:简化,统一,协调,优化
国家标准组织:
国际标准化组织ISO,国际电工委员会IEC,Internet工程任务组IETF,
国际电信联盟ITU,ITU通信标准化组织ITU-I
国际标准化分工 ISO/IEC JTC1 SC27的5个工作组:
WG1信息安全管理体系标准制定的,例如,iso/iec 27001-27005。
WG3是安全评估标准制定,例如,iso/iec 15408(EAL1-7)
标准化机构:国家标准化管理委员会--隶属于市场监督管理总局
标准化组织:全国信息安全标准化技术委员会TC260
TC260包括8个工作组
标准分类:
国标:GB 强制国家标准, GB/T 推荐国家标准, GB/Z国家标准指导性文件(3年内复审);
行业标准:GB/T公安标准;JT/T交通标准;YD/T通信标准;
地方标准:DB/T,DB/Z地方推荐标准或指标标准;
企业标准:QB/T
流程:定级备案,建设整改,等级测评
GB/T 22240-2020原理(122-234-345)
定级原理---业务信息和系统服务两个方面进行定级
通用要求:71项要求
技术要求:物理环境、通信网络、区域边界、计算环境和管理中心。采用IATF结构,比等保1.0技术要求多可信验证、个人信息保护、集中管控。
管理要求:管理人员、管理机构、管理制度、建设管理和运维管理。和等保1.0相当的。
扩展要求:1-4级--云计算16,移动互联网9,工控安全8,物联网9
GB/T 28448-2019《网络安全等级保护测评要求》2019.12.01生效
GB/T 28449-2012《信息系统安全等级保护测评过程指南》
二级及上定级备案不测评;三级1年测评1次;四级半年测评1次
报告:公安部同意模板编制的《等级保护测评报告》
测评结论:定性,定量
定性---符合,基本符合,不符合
定量---优>90,良80-89,中70-79,差<70;评分包括累计得分制和满分减分制。
测评机构:公安部等级保护评估中心授权的测评机构
测评人员:初,中,高级测评师
签字:高级测评师对《等级保护测评报告》进行签字
等保测评工作2022年开始逐步移交质量检验部门