2015版-cisp0501信息安全法规、政策和标准_v3.0

《2015版-cisp0501信息安全法规、政策和标准_v3.0》由会员分享，可在线阅读，更多相关《2015版-cisp0501信息安全法规、政策和标准_v3.0（119页珍藏版）》请在金锄头文库上搜索。

1、信息安全法规、政策和标准,培训机构名称 讲师姓名,版本：3.0 发布日期：2014-12-1 生效日期：2015-1-1,课程内容（1）,课程内容（2）,3,信息安全 标准,知识体,知识域,信息安全 标准基础,知识子域,信息安全 标准化组织,信息安全 标准体系,我国信息安全 典型标准介绍,课程内容（3）,4,知识体,知识域,知识子域,信息安全 道德规范,信息技术 通行道德规范,信息安全从业 人员道德规范,知识域：信息安全法规,知识子域：我国信息安全法规体系框架 了解信息安全法治建设的意义 了解我国信息安全法律法规体系框架,5,信息安全法治建设的意义,信息安全法律环境是信息安全保障体系中的必要环

2、节 明确信息安全的基本原则和基本制度、信息安全事物中各方权利义务 明确违反信息安全的行为，并对其行为进行相应的处罚 信息安全不再只是个技术问题，而更多地是个商业和法律问题 信息安全产业的逐渐形成和成熟，需要必要的强制约束与规范,6,我国的多级立法体系结构,7,多级立法,我国信息安全法律法规体系框架,在多级立法的体制下，我国已经先后颁布了一些包含信息安全相关内容的法律、法规、规章等,8,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）,我国信息安全法治建设的发展历程,通信保密安全,计算机系统 安全,网络信息系统安全,1994年,2000年,2003年,保守国家秘密法（19

3、89） （2010年修订） 中央关于加强密码工作的决定 计算机信息系统安全保护条例（草案）-86,计算机信息系统 安全保护条例（1994） 计算机信息系统安全专用产品检测和销售许可证管理办法-97 计算机信息网络国际联网安全保护管理办法-97 计算机信息系统保密管理暂行规定-98 商用密码管理条例-99,关于维护互联网安全 的决定（2000） 互联网信息服务管理办法 计算机病毒防治管理办法 计算机信息系统国际联网保密管理规定 -00,9,知识域：信息安全法规,知识子域：信息安全相关国家法律 了解信息保护相关法律 理解国家秘密的概念、基本范围和密级划分，以及保护国家秘密相关法律的要求 理解商业秘

4、密的概念、基本范围，以及保护商业秘密相关法律的要求 理解个人信息的概念、基本范围，以及保护个人信息相关法律的要求 理解网络违法犯罪的概念，了解打击网络违法犯罪相关法律 了解在保护国家秘密、维护公共安全、规范电子签名行为等方面，我国从法律层面明确的信息安全相关工作的主管/监管机构及其具体职权,10,我国信息安全法律分类,我国信息安全法律分类 信息保护相关法律 打击网络违法犯罪相关法律 信息安全管理相关法律,11,信息保护相关法律,信息保护相关法律 保护国家秘密相关法律 保守国家秘密法、刑法、全国人民代表大会常务委员会关于维护互联网安全的决定等 保护商业秘密相关法律 反不正当竞争法、合同法、劳动法

5、、 刑事诉讼法、民事诉讼法等 保护个人信息相关法律 宪法、居民身份证法、护照法、民法通则、 全国人民代表大会常务委员会关于维护互联网安全的决定、 全国人民代表大会常务委员会关于加强网络信息保护的决定等,12,国家秘密,国家秘密,13,国家秘密的基本范围,主要包括产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项 国家事务重大决策中的秘密事项 国防建设和武装力量活动中的秘密事项 外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项 国民经济和社会发展中的秘密事项 科学技术中的秘密事项 维护国家安全活动和追查刑事犯罪中的秘密事项 党政秘密中符合上述各项内容的事项 其他经国家保密行

6、政管理部门确定的秘密事项,14,国家秘密的保密期限,国家秘密的保密期限，除另有规定外 绝密级不超过三十年 机密级不超过二十年 秘密级不超过十年 另有规定 主要是指在保密事项范围中明确规定某类国家秘密事项保密期限为“长期”的情况 这些国家秘密事项长期关系国家安全和利益，即使定为三十年的最长保密期限，也难以满足保密需求 不能确定保密期限的国家秘密，应当确定解密条件,15,国家秘密的密级划分,16,保守国家秘密法,主旨（总则） 目的：保守国家秘密，维护国家安全和利益 国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务 国家保密行政管理部门主管全国的保密工作 保密工作责任制：健全保密管理制度，完

7、善保密防护措施，开展保密宣传教育，加强保密检查 主要内容 对我国国家秘密的定密程序、解密制度和保密期限等作出了明确规定 明确了国家秘密相关的保密制度 明确了国家秘密的监督管理部门 明确了对危害国家秘密安全的行为要追究的法律责任,法律,17,商业秘密,商业秘密 不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息 技术信息类商业秘密 未公开的设计、程序、产品配方、制作工艺等 完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据 针对技术问题的技术诀窍 经营信息类商业秘密 经营策略、产销策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书

8、内容等信息,18,保护商业秘密相关法律（1）,反不正当竞争法 认定了侵犯商业秘密的不正当竞争行为，并对经营者侵犯商业秘密的行为进行了禁止 合同法和劳动合同法 有对商业秘密/技术秘密进行保护的条款 合同法 技术合同的内容应包括“技术情报和资料的保密”相关条款 技术秘密转让合同的让与人和受让人均应承担保密义务,19,保护商业秘密相关法律（2）,劳动合同法 用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项 刑事诉讼法 涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理 民事诉讼法 对涉及商业秘密的证据应当保密，需要在法庭出示的，不得在公开开庭时出示 人民法

9、院审理民事案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理,20,个人信息,个人信息 有关一个可识别的自然人的任何信息 姓名、职位、电话号码等可在适当范围内公开的信息 健康体检报告、医疗记录、通话记录等不愿公开的个人隐私 信息系统所特有的账号、口令等用于进行用户标识和身份鉴别的信息,21,宪法中的有关规定,宪法 第二章 公民的基本权利和义务 第40条 公民的通信自由和通信秘密受法律的保护 除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密,法律,22,非法使用/滥用个人信息,非

10、法使用/滥用个人信息、侵犯个人隐私的行为 未经他人同意，擅自公布他人的隐私材料 以书面、口头形式宣扬他人隐私 窃取或者以其他非法方式获取公民个人电子信息 出售或者非法向他人提供公民个人电子信息 网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息 对在业务活动中经被收集者同意收集的公民个人电子信息没有采取必要的保密措施 医疗机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料、健康体检报告等行为,23,打击网络违法犯罪相关法律,网络违法犯罪 狭义 指以计算机网络为违法犯罪对象而实施的危害网络空间的行为 广义 是以计算机网络为违法犯罪工具或者为违法犯罪对

11、象而实施的危害网络空间的行为，应当包括违反国家规定，直接危害网络安全及网络正常秩序的各种违法/犯罪行为 相关法律 关于维护互联网安全的决定 治安管理处罚法 刑法,24,网络违法/犯罪行为,网络违法/犯罪行为 破坏互联网运行安全的行为 破坏国家安全和社会稳定的行为 破坏社会主义市场经济秩序和社会管理秩序的行为 侵犯个人、法人和其他组织的人身、财产等合法权利的行为 利用互联网实施以上四类所列行为以外的违法/犯罪行为,25,信息安全主管/监管机构（1）,保护国家秘密 中华人民共和国保守国家秘密法 由国家保密行政管理部门主管全国的保密工作 县级以上地方各级保密行政管理部门主管本行政区域的保密工作 国家

12、机关和涉及国家秘密的单位管理本机关和本单位的保密工作 中央国家机关在其职权范围内，管理或者指导本系统的保密工作 国家保密行政管理部门的最高机构是国家保密局,26,信息安全主管/监管机构（2）,维护公共安全 人民警察法和治安管理处罚法 公安部门负责全国的治安管理工作 县级以上地方各级人民政府公安机关负责本行政区域内的治安管理工作,27,信息安全主管/监管机构（3）,规范电子签名行为 中华人民共和国电子签名法 电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务；从事电子认证服务，应当向国务院信息产业主管部门提出申请 工业和信息化部,28,知识域：信息安全法规,知识子域：信息安全相

13、关行政法规和部门规章 了解信息安全相关行政法规，掌握涉及信息安全的相关内容 了解信息安全相关部门规章，掌握涉及信息安全的相关内容,29,信息安全相关行政法规,计算机信息系统安全保护条例 商用密码管理条例 其他 中华人民共和国计算机信息网络国际联网管理暂行规定 中华人民共和国电信条例 互联网信息服务管理办法 互联网上网服务营业场所管理条例 信息网络传播权保护条例 .,30,计算机信息系统安全保护条例,安全保护,保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行,主管部门,公安部主管全国计算机信息系统安全

14、保护工作（含安全监督职权） 国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作,安全保护制度,计算机信息系统实行安全等级保护 使用单位应当建立健全安全管理制度 安全专用产品（硬件、软件）的销售实行许可证制度,31,国务院令第147号，1994年2月18日发布施行,商用密码管理条例,商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品 商用密码技术属于国家秘密,主管部门,国家密码管理委员会及其办公室主管全国的商用密码管理工作 国家对商用密码产品的科研、生产、销售和使用实行专控管理,管理要点,商密产品销售单

15、位应先获得商用密码产品销售许可证 任何单位或者个人不得销售境外的密码产品 不得使用自行研制的或者境外生产的密码产品 不得转让其使用的商用密码产品（含故障维修、报废销毁）,32,国务院令第273号，1999年10月7日发布施行,信息安全相关部门规章,计算机信息系统安全专用产品检测和销售许可证管理办法 计算机信息系统保密管理暂行规定 国家电子政务工程建设项目管理暂行办法,33,计算机信息系统安全专用产品 检测和销售许可证管理办法,34,公安部令第32号，1997年12月12日施行,计算机信息系统保密管理暂行规定,35,国家保密局,国保发19981号,1998年2月26日发布施行,国家电子政务工程建

16、设项目管理暂行办法,36,国家发改委令2007第55号, 2007年9月1日起施行,知识域：信息安全法规,知识子域：信息安全相关地方法规、地方规章和行业规定 了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容 了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容 了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容,37,地方法规,北京市信息化促进条例 2007年9月14日公布，自2007年12月1日起施行 适用于北京市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动 上海市公共信息系统安全测评管理办法 2006年5月7日公布，2006年7月1日起施行 适用于上海市行政区域内的公共信息系统安全测评管理活动，具体规定涉及测评的管