信息安全等级保护制度主要内容和要求课件.ppt

1、信息安全等级保护制度的主要内信息安全等级保护制度的主要内容和要求容和要求北京市电子产品质量检测中心北京市电子产品质量检测中心王春雷王春雷目目 录录 一、国外关键基础设施保护政策一、国外关键基础设施保护政策 二、我国信息安全政策法规综述二、我国信息安全政策法规综述 三、等级保护制度的主要内容三、等级保护制度的主要内容 四、等级保护政策体系和标准体系四、等级保护政策体系和标准体系 五、等级保护工作的具体内容和要求五、等级保护工作的具体内容和要求一、国外关键基础设施保护政策一、国外关键基础设施保护政策信息安全保障工作概况信息安全保障工作概况 知识子域：国外信息安全保障情况知识子域：国外信息安全保障情

2、况 了解发达国家信息安全状况和信息安全保障的主要举措 了解发达国家信息安全方面主要动态 知识子域：我国信息安全保障工作总体情况知识子域：我国信息安全保障工作总体情况 了解我国信息安全保障工作发展阶段 理解国家信息安全保障基本原则 了解国家信息安全保障建设主要内容发达国家信息安全保障的主要举措发达国家信息安全保障的主要举措信息安全是国家安全的重要组成部分已成为世界各国的共识;各国纷纷出台自己的信息安全战略和政策，加强自身的国家信息安全保障体系建设。国外信息安全保障体系的最新趋势国外信息安全保障体系的最新趋势战略：发布网络安全战略、政策评估报告、推进计划等文件政治：通过设立网络安全协调机构、设立协

3、调官，强化集中领导和综合协调军事：陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题外交：信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或双边谈判的实质性内容科技：各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位关键基础设施仍然是信息安全保障的最核心内容美国信息安全保障战略：一个轮回美国信息安全保障战略：一个轮回 三届政府三届政府 四个文件四个文件798年克林顿政府年克林顿政府PDD6300年信息系统保护国家计划年信息系统保护国家计划 01年布什政府年布什

4、政府PCIPB 03年保护网际空间国家战略年保护网际空间国家战略 1998年5月，克林顿政府发布了第63号总统令（PDD63）：克林顿政府对关键基础设施保护的政策 2000年1月，克林顿政府发布了信息系统保护国家计划V1.0，提出了美国政府在21世纪之初若干年的网络空间安全发展规划。2001年10月16日，布什政府意识到了911之后信息安全的严峻性，发布了第13231号行政令信息时代的关键基础设施保护，宣布成立“总统关键基础设施保护委员会”，简称PCIPB，代表政府全面负责国家的网络空间安全工作2003年2月，在征求国民意见的基础上，发布了保护网际空间的国家战略的正式版本，对原草案版本做了大篇

5、幅的改动，重点突出国家政府层面上的战略任务，这是一个非常大的跨越 2010年3月2日，奥巴马政府部分解密了CNCI，包括3个重要目标，12个倡议 美国美国CNCICNCI：网络：网络“曼哈顿计划曼哈顿计划”2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI)。三道防线三道防线 建立第一线防御：减少当前漏洞和隐患，预防入侵；全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁；强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。十二项任务十二项任务美国信息安全保障组织机构美国信息安全保障组织机构网络安全协调官：负责领

6、导白宫“网络安全办公室”，制定和发布国家信息安全政策 首任网络安全协调官霍华德施密特，被喻为“网络沙皇”国土安全部（国土安全部（DHSDHS）、国家安全局（）、国家安全局（NSANSA）、国防部（）、国防部（DODDOD）、）、联邦调查局（联邦调查局（FBIFBI）、中央情况报局（）、中央情况报局（CIACIA）、国家标准技术）、国家标准技术研究所（研究所（NISTNIST）等）等6 6个机构具体执行不同的分管职责个机构具体执行不同的分管职责公私合作机构公私合作机构:国家基础设施顾问委员会（国家基础设施顾问委员会（NIACNIAC）、信息共）、信息共享和分析中心（享和分析中心（ISACISAC

7、）、网络安全全国联盟（）、网络安全全国联盟（NCSANCSA）等等）等等美国信息安全保障基本做法美国信息安全保障基本做法 1993年克林顿政府提出兴建“国家信息基础设施”（信息高速公路），1998年首次提出信息安全的概念和意义；1998年5月国家安全局制定了信息保障技术框架；2000年公布首个信息系统保护国家计划；2002年下半年，以国土安全战略为引导，布什政府逐步出台一系列国家安全政策，将信息保障战略纳入总体国家战略之中：美国信息安全保障的重点对象美国信息安全保障的重点对象2001年美国出台美国爱国者法案，定义“关键基础实施”的含义；2003年12月发布国土安全总统令/HSPD-7确定了17

8、个关键基础设施；2008年3月国土安全部将关键制造业类为第18项关键基础设施；目前美国的关键基础设施和主要资源部门；美国信息安全保障基本做法美国信息安全保障基本做法20052005年美国建立了国家漏洞库（年美国建立了国家漏洞库（NVDNVD），利用技术优势掌），利用技术优势掌握全球最全面的信息安全漏洞信息握全球最全面的信息安全漏洞信息20082008年年1 1月月8 8日，布什以第日，布什以第5454号国家安全总统令和第号国家安全总统令和第2323号号国土安全总统令的形式签署国土安全总统令的形式签署国家网络安全综合计划国家网络安全综合计划 这项计划高度强调国家意志，被称为信息安全的“曼哈顿计划

9、；目标：保护没有网络安全，防止美国遭到敌对的电子攻击，并能对敌方展开在线攻击；预算：高达300-400亿美元；属于高度机密，2010年3月奥巴马政府公开了其部分内容；要求美国政府与安全有关的部门参与实施；英国信息安全保障体系建设动态英国信息安全保障体系建设动态 全面紧跟美国，全面紧跟美国，20092009年年6 6月，英国发布首份国家月，英国发布首份国家网络安网络安全战略全战略，宣布成立，宣布成立“网络安全办公室网络安全办公室”和和“网络安全运网络安全运行中心行中心”，提出建立新的网络管理机构的具体措施。，提出建立新的网络管理机构的具体措施。注重信息安全标准组织建设，重视将本国标准向海外推广注

10、重信息安全标准组织建设，重视将本国标准向海外推广，积极参与国际信息安全标准制定。，积极参与国际信息安全标准制定。英国BSI 7799标准享誉全球，已成为国际标准，并主导ISO/IEC 27000系列标准 强化网络监控，规定警方和国家安全、税务等监察部门有强化网络监控，规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统，成为西方大国中唯一权监控电子邮件和移动电话等系统，成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家的政府可以要求网络用户交出加密资料密钥的国家英国信息安全保障的重点对象英国信息安全保障的重点对象 英国国计民生不可或缺的许多关键服务依赖信息技术，有10

11、个部分被认为是在提供“基本服务”。英国信息安全保障基本做法英国信息安全保障基本做法立法工作立法工作 1984年制定数据保护法 1990年出台反计算机滥用法 1997年实施电信诈骗法 2000年出台信息自由法1998年贸易和工业部发表年贸易和工业部发表加强竞争力白皮书加强竞争力白皮书：确定了英国建设信：确定了英国建设信息社会的方式息社会的方式2005年英国政府制定发表了年英国政府制定发表了信息保障管理框架信息保障管理框架：作为信息安全保：作为信息安全保障战略。障战略。英国信息安全保障基本做法英国信息安全保障基本做法2009年6月，英国政府推出首份国家网络安全战略，宣布成立“网络安全办公室”和“网

12、络安全运行中心”，提出了建立网络管理机制的具体措施英国建立了两个国家级的计算机应急响应小组英国建立了两个国家级的计算机应急响应小组 英国政府计算机响应小组 英国国防部计算机应急响应小组注重政府信息系统安全注重政府信息系统安全 采用网络逻辑隔离、PKI等安全技术加强政务外网安全 构建支持“身份联合管理”的内部电子邮件系统注重标准制定，注重标准制定，BS7799是国际信息安全管理标准是国际信息安全管理标准ISO27000的前身的前身注重网络监管注重网络监管 是唯一政府可以要求网络用户交出加密密钥的国家英国信息安全保障组织机构英国信息安全保障组织机构国家基础设施安全协调中心 负责信息安全工作的跨部门

13、机构 运行着英国的计算机应急响应小组信息保障中央主办局和民事应急局信息保障中央主办局和民事应急局负责信息安全工作负责信息安全工作的重要政府机构的重要政府机构世界上第一个建立电子政务标准的国家。世界上第一个建立电子政务标准的国家。1991年，德国在内政部下建立信息安全局（年，德国在内政部下建立信息安全局（BSI），负责处理），负责处理与网络空间相关的所有问题。与网络空间相关的所有问题。重视关键基础设施信息安全保障，建立日尔曼人的重视关键基础设施信息安全保障，建立日尔曼人的“基线基线”防御。防御。1997年建立部际关键基础设施工作组；年建立部际关键基础设施工作组；2005年出台年出台信息基础设施保

14、护计划信息基础设施保护计划和和关键基础设施保关键基础设施保护的基线保护概念护的基线保护概念德国信息安全保障体系建设动态德国信息安全保障体系建设动态法国信息安全保障体系建设动态法国信息安全保障体系建设动态20032003年年1212月总理办公室提出月总理办公室提出强化信息系统安全国家计划强化信息系统安全国家计划并得到政府批准实施，四大目标：并得到政府批准实施，四大目标：确保国家领导通信安全；确保政府信息通信安全；建立计算机反共济能力；将法国信息系统安全纳入欧盟颞部法国安全政策范围。20092009年年7 7月月7 7日，成立国家级日，成立国家级“网络和信息安全局网络和信息安全局”，置于，置于总理

15、领导之下，隶属国防部。总理领导之下，隶属国防部。其他西方国家信息安全保障体系建设动态其他西方国家信息安全保障体系建设动态加拿大：加拿大：2004年提出了国家安全政策；2004年11月发布国家关键基础设施保护战略；2010年10月3日，发布加拿大网络安全战略。澳大利亚：澳大利亚：把信息网络技术作为国家经济和社会发展的重要推动力量。制定并采取一系列与信息安全有关的政策和措施，把建立安全可靠的网络空间作为信息安全保障的战略目标。俄罗斯信息安全保障体系建设动态重点保护对象：重点保护对象：经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾害响应机构：机构：俄罗斯联邦安全理事会；俄罗斯联

16、邦安全局（国家安全管理机关，信息安全工作主管和执法机关）；俄罗斯技术和出口控制局；俄罗斯联邦保卫局、信息技术和通信部基本做法：基本做法：俄罗斯国家安全纲要作为信息安全战略；注重安全测评；实施信息安全分级管理。亚太地区信息安全保障体系建设动态亚太地区信息安全保障体系建设动态日本：日本：实施了实施了“保障型保障型”信息安全战略；信息安全战略；强调强调“信息安全保障是日本综合安全保障体系的核心信息安全保障是日本综合安全保障体系的核心”。韩国：韩国：将信息安全视为使馆国防安全的重大战略问题，不断加大将信息安全视为使馆国防安全的重大战略问题，不断加大信息安全保障系统管理力度，加快信息安全系统的建设步信息

17、安全保障系统管理力度，加快信息安全系统的建设步伐；伐；在在2010年建立信息安全司令部，以维护韩国的国家网络安年建立信息安全司令部，以维护韩国的国家网络安全。全。日本日本重点保护对象：重点保护对象：通信、政府和行政管理服务、金融、民航、铁路、后勤保通信、政府和行政管理服务、金融、民航、铁路、后勤保障、电力、天然气、医疗服务、水障、电力、天然气、医疗服务、水机构：机构：日本日本IT战略本部、国家信息安全中心、信息安全政策理事会战略本部、国家信息安全中心、信息安全政策理事会、经济贸易产业省、国家警察厅、经济贸易产业省、国家警察厅基本做法：基本做法：1992年建立国家计算机应急响应协调中心；年建立国

18、家计算机应急响应协调中心；2001年实施年实施建设先进信息和电信网络社会基本法建设先进信息和电信网络社会基本法，同，同年公布年公布确保电子政务实施过程中的信息安全行动方案；确保电子政务实施过程中的信息安全行动方案；2003年经济经济贸易产业省开发多种信息安全评估系统；年经济经济贸易产业省开发多种信息安全评估系统；2004年国家警察厅在每个地区局建立反高科技犯罪科；年国家警察厅在每个地区局建立反高科技犯罪科；2005年成立国家信息安全中心以美国年成立国家信息安全中心以美国网络空间安全国家网络空间安全国家战略战略为蓝本，发布为蓝本，发布日本计算机安全战略日本计算机安全战略。印度印度重点保护对象：重

19、点保护对象：银行和金融、保险、民航、电信、原子能、电力、邮政、铁路、太空、石油和天然气、国防、执法机关机构：机构：国家信息委员会、国家信息安全协调中心、信息基础设施保护中心、信息技术局、印度计算机应急响应小组基本做法：基本做法：2000年，颁布信息安全法；积极推广互联网和IT基础设施建设等；2009年印度政府宣布开发“中央监控系统”，直接连接国内所有通信服务商，实现对印度境内所有电话和互联网通信的监听分析总结分析总结重点保护对象重点保护对象各国之间历史、国情、文化不同，具体的重点保各国之间历史、国情、文化不同，具体的重点保护对象也有所差异，但共同特点是将与国家安全护对象也有所差异，但共同特点是

20、将与国家安全、社会稳定和民生密切相关的关键基础设施作为、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点；信息安全保障的重点；国际关键信息基础设施保护手册（国际关键信息基础设施保护手册（CIIP Handbook）2008/2009显示，所有国家最常被提显示，所有国家最常被提到的关键部门都是现代化社会的核心部门，也是到的关键部门都是现代化社会的核心部门，也是被破坏后可能造成极大规模灾害的部门；被破坏后可能造成极大规模灾害的部门；其中银行和金融被全部其中银行和金融被全部24个接受个接受CIIP调查的国家列调查的国家列为国家关键基础设施。为国家关键基础设施。分析总结分析总结信息安全组织机

21、构信息安全组织机构少数国家在中央政府一级设立机构专门负责处理网络少数国家在中央政府一级设立机构专门负责处理网络信息安全问题，如美国；大多数国家信息安全管理职信息安全问题，如美国；大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担；能由不同政府部门的多个机构和单位共同承担；机构单位的设立，以及机构在信息安全管理中的影响机构单位的设立，以及机构在信息安全管理中的影响力，受到民防传统、资源配置、历史经验以及决策者力，受到民防传统、资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响；对信息安全威胁总体认识程度的影响；两种观念在机构设置问题上具有较大影响力：两种观念在机构设置问题

22、上具有较大影响力：执法机关强调信息安全属于防范敌对势力入侵及网络执法机关强调信息安全属于防范敌对势力入侵及网络犯罪的范畴犯罪的范畴经营基础设施的部门将调信息安全属于技术问题或经经营基础设施的部门将调信息安全属于技术问题或经济成本问题济成本问题在现实信息安全威胁性质的决定下，前一种观念在大在现实信息安全威胁性质的决定下，前一种观念在大多数国家成为主流多数国家成为主流分析总结分析总结基本做法基本做法 将信息安全视为国家安全的重要组成部分是主流将信息安全视为国家安全的重要组成部分是主流 积极推动信息安全立法和标准规范建设是主流积极推动信息安全立法和标准规范建设是主流 重视对基础网络和重要信息系统的监

23、管和安全测评重视对基础网络和重要信息系统的监管和安全测评是主流是主流 普遍重视信息安全事件应急响应普遍重视信息安全事件应急响应 普遍认识到公共私营合作伙伴关系的重要性，一方普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源面政府加强管理力度，一方面充分利用社会资源二、我国信息安全政策法规综述我国信息安全政策法规综述课程内容课程内容29信息信息安全法安全法规与政规与政策策知识知识体体知识知识域域信息安全信息安全法律法规法律法规知识子域知识子域国家信息安全法治总体情况国家信息安全法治总体情况等级保护有关政策规范等级保护有关政策规范风险评估有关政策规范风险评估有关

24、政策规范信息安全信息安全国家政策国家政策现行重要信息安全法规现行重要信息安全法规电子政务与重要信息系统信息电子政务与重要信息系统信息安全政策安全政策国家信息安全保障总体方针国家信息安全保障总体方针知识域：信息安全相关法律知识域：信息安全相关法律 知识子域：国家信息安全法治总体情况 了解信息安全法治建设的意义了解信息安全法治建设的意义 了解我国信息安全法律法规体系框架了解我国信息安全法律法规体系框架 知识子域：现行重要信息安全法规 掌握保守国家秘密法的主要内容掌握保守国家秘密法的主要内容 理解电子签名法的意义和作用理解电子签名法的意义和作用 了解刑法有关信息安全犯罪的规定了解刑法有关信息安全犯罪

25、的规定 了解全国人大常委会关于维护互联网安全的决定了解全国人大常委会关于维护互联网安全的决定30国家国家法律体系法律体系国务院各部委多级立法31法律、政策的定义法律、政策的定义 法律（法律（LawLaw）-国家制定或认可的，由国家强制力保证国家制定或认可的，由国家强制力保证实施的，以规定当事人权利和义务为内容的具有普遍约束实施的，以规定当事人权利和义务为内容的具有普遍约束力的社会规范。力的社会规范。政策（政策（PolicyPolicy）-国家国家或或政党组织等，以权威形式标准政党组织等，以权威形式标准化地规定在一定的时期内，应该达到的目标、遵循的行动化地规定在一定的时期内，应该达到的目标、遵循

26、的行动原则、完成的明确任务、实行的工作方式、采取的一般步原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。骤和具体措施。32法律和政策的区别法律和政策的区别法律政策一旦制定，就比较稳定，长期有效，不一旦制定，就比较稳定，长期有效，不允许经常更改允许经常更改是是针对一定的问题制定的，一旦问题解针对一定的问题制定的，一旦问题解决，或环境发生变化，政策就需要终止决，或环境发生变化，政策就需要终止或修正或修正具有统一的实行标准和很强的可操作性具有统一的实行标准和很强的可操作性只是一定的规范、原则，要实施还需要只是一定的规范、原则，要实施还需要将其具体化，转换成执行细则将其具体化，转换成执

27、行细则法律法律必须是公开的，面向社会公布的必须是公开的，面向社会公布的政策政策文件可以是公开的，也可以是文件可以是公开的，也可以是“内内部部”的的政策有党的政策、国家政策之分，有总政策、基本政策和具体政策之别。政策在成为法律之前，表现为决定、决议、纲领、宣言、通知、纪要等形式。33国家信息安全保障体系国家信息安全保障体系信息安全技术与产业支撑平台信息安全技术与产业支撑平台信息安全基础设施信息安全基础设施信息安全法律法规与政策环境信息安全法律法规与政策环境信信息息安安全全人人才才培培训训教教育育体体系系信息安全组织机构及管理体系信息安全组织机构及管理体系信信息息安安全全标标准准与与规规范范34信

28、息安全在国家安全中信息安全在国家安全中的地位的地位 党和国家长期以来一直十分重视安全保密工作，并从敏感党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。之下。党的十六届四中全会将信息安全与政治安全、经济安全、党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素文化安全并列为国家安全的重要组成要素信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。-胡锦涛35我国的信息安全管理体制我国的信息安全管理体制 目前，我国信息安全管理格局是一

29、个多方目前，我国信息安全管理格局是一个多方“齐抓共管齐抓共管”的的体制，各相关主管部门分别执行各自的安全职能，共同维体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全护国家的信息安全 国家信息化领导小组（国家网络与信息安全协调小组）国家信息化领导小组（国家网络与信息安全协调小组）工信部工信部 公安部公安部 国家安全部国家安全部 国家保密局国家保密局 国家密码管理委员会国家密码管理委员会 等等等等36我国的信息安全基础设施我国的信息安全基础设施 中国信息安全测评中心中国信息安全测评中心(CNITSEC)(CNITSEC)中国信息安全认证中心中国信息安全认证中心(ISCCC)(IS

30、CCC)国家计算机网络应急技术处理协调中心（国家计算机网络应急技术处理协调中心（CNCERT/CCCNCERT/CC）国家计算机病毒应急处理中心国家计算机病毒应急处理中心 全国信息安全标准化技术委员会（全国信息安全标准化技术委员会（TC260TC260）等等等等37信息安全法治建设的意义信息安全法治建设的意义 信息安全法律环境是信息安全保障体系中的必要环节信息安全法律环境是信息安全保障体系中的必要环节 明确信息安全的基本原则和基本制度、信息安全保障体系明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利的建设、信息安全相关行为的规范、信息安全中各

31、方权利义务义务 明确违反信息安全的行为，并对其行为进行相应的处罚等明确违反信息安全的行为，并对其行为进行相应的处罚等保护国家信息主权和社会公共利益是信息安全立法的首要目标38信息安全法治建设的意义信息安全法治建设的意义 信息安全不再只是个技术问题，而更多地是个商业和法律信息安全不再只是个技术问题，而更多地是个商业和法律问题问题-安全漏洞、信息犯罪的本质？安全漏洞、信息犯罪的本质？信息安全产业的逐渐形成和成熟，需要必要的规范信息安全产业的逐渐形成和成熟，需要必要的规范 信息安全法治建设涉及的主体：信息安全主管部门、各类信息安全法治建设涉及的主体：信息安全主管部门、各类ITIT产品和服务的安全（产

32、品和服务的安全（ITSPITSP）、信息安全类产品和服务（）、信息安全类产品和服务（ISSPISSP）、信息及信息系统的拥有者和使用者）、信息及信息系统的拥有者和使用者 信息安全法治建设涉及的客体信息安全法治建设涉及的客体：信息数据、信息系统信息数据、信息系统狭义的信息安全 广义的信息安全39我国信息安全法治建设的初步成效我国信息安全法治建设的初步成效 法律法规体系初步构建，但体系化与有效性等方面仍有待法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善进一步完善 法律少而规章等偏多，缺乏信息安全的基本法法律少而规章等偏多，缺乏信息安全的基本法 与信息安全相关的司法和行政管理体系迅速完

33、善与信息安全相关的司法和行政管理体系迅速完善 法律法律法规的内容法规的内容篇幅偏小，行为规范较简单篇幅偏小，行为规范较简单40我国信息安全法治建设展望我国信息安全法治建设展望 需要一部信息安全的基本法需要一部信息安全的基本法国家信息安全法国家信息安全法 （或先出台（或先出台信息安全条例信息安全条例）信息安全的基本原则与基本制度 信息安全的主要核心内容 进一步完善各领域的信息安全专门法进一步完善各领域的信息安全专门法 信息安全的监管模式和认证体系（面向信息安全各类主体和客体）信息安全常态管理（等级保护制度等）信息安全应急管理（预警、监测、通报和应急处理等）网络与信息系统全生命周期的信息安全 信息

34、内容安全 特定领域的信息安全（电子政务、电子商务、行业信息化等）组织信息资产的基本法律地位 个人信息保护的基本规范 信息安全犯罪41宪法宪法中的有关规定中的有关规定 宪法宪法 第二章第二章 公民的基本权利和义务公民的基本权利和义务 第第4040条条 公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。法律42刑法刑法中的有关规定（中的有关规定（1 1）刑法刑法 第六章第六章 妨碍社会管理秩序罪妨碍社会管理秩序罪 第一节第一节 扰乱公扰乱公共秩序罪共秩序罪

35、第第285285、286286、287287条条 285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、

36、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。法律43刑法刑法中的有关规定（中的有关规定（2 2）刑法刑法 第六章第六章 妨碍社会管理秩序罪妨碍社会管理秩序罪 第一节第一节 扰乱公扰乱公共秩序罪共秩序罪 第第285285、286286、287287条条 286条：破坏计算机信息系统罪。违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删

37、除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。287条：利用计算机实施犯罪的提示性规定。利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。44法律治安管理处罚法治安管理处罚法中的有关规定中的有关规定 治安管理处罚法治安管理处罚法 第三章第三章 违反治安管理的行为和处罚违反治安管理的行为和处罚 第一节第一节 扰乱公共秩序的行为和处罚扰乱公共秩序的行为和处罚 第第2929条条 有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：

38、（一）违反国家规定，侵入计算机信息系统，造成危害的；（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。治安管理处罚法治安管理处罚法 其他规定（与非法信息传等播相关）其他规定（与非法信息传等播相关）：第：第4242、4747、6868条条法律45全国人大关于维护互联网安全的决定全国人大关于维护互联网安全的决定 背景背景 互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和

39、社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。互联网安全的范畴（法律约束力）互联网安全的范畴（法律约束力）互联网的运行安全（侵入、破坏性程序、攻击、中断服务等）国家安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等）市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等）个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等）法律责任法律责任 构成犯罪的，依照刑法有关规定追究刑事责任 构成民事侵权的，依法承

40、担民事责任 尚不构成犯罪的：治安管理处罚/行政处罚/行政处分或纪律处分 法律46计算机信息系统安全保护条例计算机信息系统安全保护条例 计算机信息系统计算机信息系统 是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。安全保护安全保护 保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。主管部门主管部门 公安部主管全国计算机信息系统安全保护工作（含安全监督职权）。国家安全部、国家保密局和国务院其他有关部门，在国务院规定

41、的职责范围内做好计算机信息系统安全保护的有关工作。安全保护制度安全保护制度（要点）（要点）计算机信息系统实行安全等级保护。使用单位应当建立健全安全管理制度。安全专用产品（硬件、软件）的销售实行许可证制度。行政法规47其他一些行政法规和部门规章其他一些行政法规和部门规章 行政法规行政法规 电信条例 计算机信息网络国际互联网管理暂行规定 计算机信息网络国际联网安全保护管理办法 互联网信息服务管理办法 部门规章部门规章 中国互联网域名管理办法（原信产部）互联网IP地址备案管理办法（原信产部）电子认证服务管理办法（原信产部）互联网电子邮件服务管理办法（原信产部）互联网安全保护技术措施规定（公安部）计算

42、机病毒防治管理办法（公安部）信息安全等级保护管理办法（公安部）计算机信息系统国际互联网保密管理规定（保密局）互联网新闻信息服务管理规定（国新办、原信产部）48一些地方性法规一些地方性法规 北京市信息化促进条例北京市信息化促进条例（第五章（第五章 信息安全保障）信息安全保障）北京市公共服务网络与信息系统安全管理规定北京市公共服务网络与信息系统安全管理规定 北京市北京市党政机关党政机关计算机网络与信息安全管理办法计算机网络与信息安全管理办法 广东省计算机信息系统安全保护管理规定广东省计算机信息系统安全保护管理规定 广东省电子政务信息安全管理暂行办法广东省电子政务信息安全管理暂行办法 上海市公共信息

43、系统安全测评管理办法上海市公共信息系统安全测评管理办法 。49知识域：信息安全国家政策知识域：信息安全国家政策 知识子域：国家信息安全管理总体方针知识子域：国家信息安全管理总体方针 掌握国家有关政策对信息安全保障工作的总体要求 掌握国家有关政策规定的加强信息安全保障工作主要原则 掌握国家有关政策规定需要重点加强的信息安全保障工作 知识子域：电子政务及重要信息系统信息安全政策知识子域：电子政务及重要信息系统信息安全政策 了解关于加强政府信息系统安全和保密管理工作的四项基本要求：明确职责、强化人员培训、完善安全措施和手段、加强信息安全检查50国家信息化领导小组关于加强信息安全保障工作的意见国家信息

44、化领导小组关于加强信息安全保障工作的意见（中（中办发办发200327200327号）号）1 1 意义意义 标志着我国信息安全保障工作有了总体纲领 提出要在5年内建设中国信息安全保障体系 总体要求总体要求 坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。主要原则主要原则 立足国情，以我为主，坚持技术与管理并重；正确处理安全和发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全

45、保障体系。51国家信息化领导小组关于加强信息安全保障国家信息化领导小组关于加强信息安全保障工作的意见工作的意见（中办发（中办发200327号）号）2 主要任务（主要任务（重点加强的安全保障工作重点加强的安全保障工作）实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 信息安全与国家安全信息安全与国家安全 27号文：信息安全

46、已成为国家安全的重要组成部分 十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全十一五：试点 十二五：普及推广52国家电子政务工程建设项目管理暂行办法国家电子政务工程建设项目管理暂行办法 本身不是政策，属于法律法规本身不是政策，属于法律法规 部门规章-国家发改委令2007第55号 对国家电子政务工程建设项目有明确的信息安全要求 第六章第六章 验收评价管理验收评价管理 项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。第七章第七章 运行管理运行管理 项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检

47、验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。项建书、可研报告、初步设计方案项建书、可研报告、初步设计方案 在“项建和可研”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”关于加强政府信息安全和保密管理工作的通知关于加强政府信息安全和保密管理工作的通知（国国办发办发200817号）号）明确职责明确职责 把信息安全和保密工作列入重要议事日程，明确一名主管领导 谁主管谁负责、谁运行谁负责、谁使用谁负责 强化人员培训强化人员培训 组织信息安全和保密基本技能培训，开展信息安全和保密形势分析 深入学习宣传信息安全“五禁止”规

48、定 完善安全措施和手完善安全措施和手段段 管理制度+技术手段 加强信息安全检查加强信息安全检查 详见政府信息系统安全检查办法54关于印发政府信息系统安全检查办法的通知关于印发政府信息系统安全检查办法的通知（国国办办发发200928号）号）1 依据依据 关于加强政府信息系统安全和保密管理工作的通知（国办发200817号）检查范围和检查重点检查范围和检查重点 各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。检查方式检查方式 各

49、单位自查+统一组织抽查+安全检测（按需）工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工 2009年度政府信息系统安全检查指南（工信部协2009168号）2010年度政府信息系统安全检查指南（工信部协2010143号）55关于印发政府信息系统安全检查办法的通知关于印发政府信息系统安全检查办法的通知（国国办发办发200928号）号）2 检查内容检查内容 安全制度落实情况-人员、制度、经费等 安全防范措施落实情况-各类技术措施 应急响应机制建设情况-应急预案制定和演练、应急队伍、事故处置、数据/系统备份等 信息技术产品和服务国产化情况-终端/OA/信息安全产品国产情况、信息安全服

50、务外包情况等 安全教育培训情况-参加、掌握、持证等情况 责任追究情况 安全隐患排查及整改情况 安全形势、安全风险评估状况562010年度政府信息系统安全检查指南年度政府信息系统安全检查指南（工信部协（工信部协2010143号）号）检查内容（检查指南比检查办法更细化，以检查内容（检查指南比检查办法更细化，以20102010年为例）年为例）信息安全组织机构 日常信息安全管理（人员、资产、运维）等级保护与风险评估 技术防护手段建设（网络边界、信息安全产品、服务器、网络设备、终端计算机和移动存储设备、门户网站、密码技术、网络信任措施）应急管理工作开展（应急预案、应急演练、应急技术支援队伍、灾难备份、应