本帖最后由 新手727241 于 2020-6-16 17:15 编辑
第一节 信息安全法律法规 1. 立法体系: 1.1 立法分工:某公司立法机构、国务院和地方人大是法规制定机构、地方政府制定规章制度。 1.2 法律体系:宪法—基本法(民法、行政法、刑法)—专门法—法规(条例、管理办法/规定、暂行)—规章制度。 1.3 专门法:《网络安全法》、《保守国家秘密法》、《国家安全法》、《国家反间谍法》、《反恐怖主义法》、《治安管理处罚法》、《合同法》、《劳动合同法》、《人民警察法》、《密码法》等。 1.4 法规:《计算机信息系统保护条例》(2017年6月1日以前有效)、《商用密码管理条例》(2018年以前有效)、《个人信息保护管理规定》。 2. 网络安全法: 2.1 总则: 1)网络空间的主权的理解。 2)工作分工。 2.2 发展与促进: 1)内容:产业、标准、人才、产品与服务。 2)目的:网络安全政策制定与执行有法可依。 2.3 网络运行安全: 1)一般规定: —实行等级保护 —网络运营者的义务:a.日志6个月;b.责任制;c.实名制。 —网络产品、服务提供者的安全义务:a.强制标准;b.补救措施。 —一般性安全保护义务:a.发布信息;b.个人信息。 2)关键信息基础设施的保护 —范围 —机制(分工) —国务院负责条例制定 —运营者义务 —特殊要求: a.人员安全审查;b.数据跨境流通评估;c.产品和服务安全审查;d.每一年开展一次风险评估。 2.4 网络信息安全 1)个人信息保护 2)规范信息安全的管理 a.按照主体和行为规范;b.按照主体类型规范。 2.5 监测预警和应急处置 — 分工:网信、国务院主管部门、省级政府等。 2.6 法律责任:民事、行政、刑事责任。 3.有关法律 3.1 保守国家秘密法: — 不同级别均有严格的程序。 — 保密期限—绝密30年、机密20年、秘密10年。 3.2 刑法的要求:了解。 3.3 国家安全法的要求:理解总体国家安全观。 4.网络安全职业道德 第二节 网络安全政策 1. 国家网络空间安全战略 2. 某公司2003年27号文件 2.1 方针:积极防御、综合防范。 2.2 原则: — 立足国情、以我为主;技管并重; — 安全保发展和发展求安全; — 统筹协调、突出重点、加强基础工作; — 明确国家、企业、个人的责任和义务。 2.3 内容:等保、密码、监控、应急、产业、法制标准、人才培养、资金保障、工作领导等9项工作。 3. 十三五规划与网络安全实现以下四个主要目标: 1)加强数据资源安全保护 2)科学实施网络空间治理 3)全面保障重要信息系统安全 4)实施网络安全保障方面的重大工程 第三节 网络安全标准 1. 国际标准化组织 — 国际标准化组织(ISO) — 国际电工委员会(IEC) — Internet工程任务组(IETF) — 国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T) 2. ISO/IEC JTC1 SC27信息技术 安全技术 2.1 工作组分工: — WG1安全管理标准:以ISO/IEC 27000系列标准为代表。 — WG3安全评估标准;以ISO/IEC 15408标准(CC)为代表。 — 其他。 2.2 制定的标准如下 3. 全国信息安全标准化技术委员会(TC260) 3.1 工作组分工:WG1体系及协调;WG2保密标准;WG7管理标准;大数据特别工作组。 3.2 制定的标准如下: 4. 等级保护标准体系 4.1 总体实施流程: — 新建:定级-建设整改-测评-备案—检查维护 — 已建:定级-备案-(差距分析)建设整改-测评-检查维护 4.2 定级标准:GB/T 22240 —级别:1-5级 —客体:公民法人和组织合法权益;社会秩序和公共利益;国家安全。 —程度:一般损害、严重损害、特别严重损害。 —分类:服务安全、信息安全。 4.2 建设整改要求—安全要求 —通用安全要求:技术(4类)和管理(4类)。 1)技术部分:物理与环境安全、网络与通信安全、计算环境安全、应用和数据安全。 2)管理部分:安全策略和制度、机构和人员管理、系统建设管理、系统运维管理。 —扩展要求: 1)移动互联网(1-4) 2)大数据(1-4) 3)云计算(2-4) 4)工业控制(1-4) 5)物联网(1-4) 4.3 测评标准: — 测评依据 1)GB/T 28448-2012《信息系统安全等级保护测评要求》 2)GB/T 28449-2012《信息系统安全等级保护测评过程指南》 — 测评频率 1)三级系统一年测评一次。 2)四级系统半年测评一次。 3)跨省或全国系统由主管部门组织测评机构进行测评。 — 测评执行 1)测评结果:符合、基本符合、不符合。 2)测评机构和人员:测评师(高、中、初),报告由高级测评师签字。 4.4 检查维护阶段: — 定期自查:由运营单位自行检查。 — 定期等级测评:由第三方等级保护测评机构检测。 — 定期监督检查:由公安机关定期检查。 — 等级变更管理:业务或系统发生变化时,需要进行等级重新确认或进行重新定级,然后到等级保护建设流程的已建设系统第一个阶段。 |