《信息安全管理课件》由会员分享,可在线阅读,更多相关《信息安全管理课件(49页珍藏版)》请在金锄头文库上搜索。
1、第11章信息安全管理李剑北京邮电大学信息安全中心E-mail: 010862123461信息安全管理目录一.信息系统安全管理概述二.信息安全管理模式三.建立信息安全管理体系的意义四.BS 7799、ISO 17799和ISO 27001 五.信息安全相关法律法规2信息安全管理一个故事一个故事如何笔记本电脑“死机”,所针对的方法不是只有重新安装机器一种方法。(1). 检测系统软件(2). 检测系统软件,进行恢复处理。3信息安全管理概概述述信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入
2、侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。4信息安全管理概概述述安全问题所带来的损失远大于交易的账面损失,它可分为3类,包括直接损失、间接损失和法律损失:n直接损失:丢失订单,减少直接收入,损失生产率;n间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;n法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。5信息安全管理概概述述俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临
3、的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度,相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。6信息安全管理概概述述这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。目前,在信息安全管理体系方面,英国标准BS 7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS 7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995信息安全管理实施细则
4、,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。7信息安全管理概概述述这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。目前,在信息安全管理体系方面,英国标准BS 7799已经成为世界上应用最广泛与典型的信息安全管理标准。BS 7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995信息安全管理实施细则,它提供了一套综
5、合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。8信息安全管理概概述述 1998年英国公布标准的第二部分BS 7799-2信息安全管理体系规范,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。9信息安全管理概概述述 2000年12月,BS
6、7799-1:1999信息安全管理实施细则通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC17799-1:2000信息技术信息安全管理实施细则。2002年9月5日,BS 7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时BS 7799-2:1999被废止。BS 7799标准得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。10信息安全管理概概述述 2005年11月,ISO27001:2005出版,取代了之前的BS 7799-2:2002,今后,7799系列标准的编号将会发生一定的改变,更改为ISO27001系列。在某些行业如IC和软件外包,信
7、息安全管理体系认证已成为一些客户的要求条件之一。本章来介绍有关信息系统管理的一些知识。11信息安全管理12.1 信息系统安全管理概述长久以来,很多人自觉不自觉地都会陷入技术决定一切的误区当中,尤其是那些出身信息技术行业的管理者和操作者。最早的时候,人们把信息安全的希望寄托在加密技术上面,认为一经加密,什么安全问题都可以解决。随着互联网的发展,在一段时期又常听到“防火墙决定一切”的论调。及至更多安全问题的涌现,入侵检测、PKI、VPN 等新的技术应用被接二连三地提了出来,但无论怎么变化,还是离不开技术统领信息安全的路子。12信息安全管理12.1 信息系统安全管理概述可这样的思路能够真正解决安全问
8、题吗?也许可以解决一部分,但却解决不了根本。实际上,对安全技术和产品的选择运用,这只是信息安全实践活动中的一部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底,信息安全并不是技术过程,而是管理过程。13信息安全管理12.1 信息系统安全管理概述之所以有这样的认识误区,原因是多方面的,从安全产品提供商的角度来看,既然侧重在于产品销售,自然从始至终向客户灌输的都是以技术和产品为核心的理念。而从客户角度来看,只有产品是有形的,是看得见摸得着的,对决
9、策投资来说,这是至关重要的一点,而信息安全的其他方面,比如无形的管理过程,自然是遭致忽略。14信息安全管理12.1 信息系统安全管理概述正是因为有这样的错误认识,就经常看到:许多组织使用了防火墙、IDS、安全扫描等设备,但却没有制定一套以安全策略为核心的管理措施,致使安全技术和产品的运用非常混乱,不能做到长期有效和更新。即使组织制定有安全策略,却没有通过有效的实施和监督机制去执行,使得策略空有其文成了摆设而未见效果。15信息安全管理12.1 信息系统安全管理概述实际上对待技术和管理的关系应该有充分理性的认识:技术是实现安全目标的手段,管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段
10、的整个过程,是实现信息安全目标的必由之路。16信息安全管理12.1 信息系统安全管理概述在现实的信息安全管理决策当中,必须关注以下几点:n应该制定信息安全方针和多层次的安全策略,以便为各项信息安全管理活动提供指引和支持;n应该通过风险评估来充分发掘组织真实的信息安全需求;n应该遵循预防为主的理念;n应该加强人员安全意识和教育;n管理层应该足够重视并提供切实有效的支持;n应该持有动态管理、持续改进的思想;n应该以业务持续发展为目标,达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。17信息安全管理12.2 信息安全管理模式在信息安全管理方面,BS 7799 标准提供了指导性建议,即基于
11、PDCA(Plan、Do、Check 和Act,即戴明环)的持续改进的管理模式,如图12.1 所示。18信息安全管理12.2 信息安全管理模式nPDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特(Walter Shewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。随着全面质量管理理念的深入发展,PDCA 最终得以普及。n作为一种抽象模型,PDCA 把相关的资源和活动抽象为过程进行管理,而不是针对单独的管理要素开发单独的管理模式,这样的循环具有广泛的通用性,因而很快从质量管理
12、体系(QMS)延伸到其他各个管理领域,包括环境管理体系(EMS)、职业健康安全管理体系(OHSMS)和信息安全管理体系(ISMS)。19信息安全管理12.2 信息安全管理模式n为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。20信息安全管理12.2 信息安全管理模式概括起来,PDC
13、A 模型具有以下特点,同时也是信息安全管理工作的特点:nPDCA 顺序进行,依靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环,持续改进;n组织中的每个部门,甚至每个人,在履行相关职责时,都是基于PDCA 这个过程的,如此一来,对管理问题的解决就成了大环套小环并层层递进的模式;n每经过一次PDCA 循环,都要进行总结,巩固成绩,改进不足,同时提出新的目标,以便进入下一次更高级的循环。21信息安全管理12.3 建立信息安全管理体系的意义组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS 7799标准建立组织完整的信息安全管理体系并实施与保持,达到动态的,系统的,全员参与,制度化
14、的,以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。组织建立,实施与保持信息安全管理体系将会产生如下作用: 22信息安全管理12.3 建立信息安全管理体系的意义n强化员工的信息安全意识,规范组织信息安全行为;n对组织的关键信息资产进行全面系统的保护,维持竞争优势;n在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;n使组织的生意伙伴和客户对组织充满信心;n如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;n促使管理层坚持贯彻信息安全保障体系。23信息安全管理12.4 BS 7799、ISO 177
15、99和ISO 27001在信息安全管理的标准方面,目前有3个非常著名的标准,即BS 7799、ISO 17799和ISO 2007。这一节介绍它们之间的关系和主要内容。n1BS 7799、ISO 17799和和ISO 27001概述概述nBS 7799是英国标准协会(BSI,British Standards Institute)针对信息安全管理而制定的一个标准,最早始于1995年,后来几经改版,成为了目前由两部分内容构成的并且被广泛接受的信息安全管理标准。n BS 7799分两个部分,第一部分,也就是被ISO组织吸纳成为ISO/IEC 17799:2005标准的部分,是信息安全管理实施细则(
16、Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员作为参考使用,分11个标题,定义了133项安全控制(最佳惯例)。24信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n BS 7799标准的第二部分内容,即最新的ISO/IEC 27001:2005,是建立信息安全管理体系的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用I
17、SO/IEC 17799,其最终目的在于建立适合企业需要的信息安全管理体系。n虽然BS 7799最初是以所谓的“英国标准(British Standard)”而推出的,但并非只适用于英国,BS 7799(目前准确来说应该是ISO/IEC 17799:2005和ISO/IEC 27001:2005)所包含的最佳惯例可以在不同的法律和文化背景下实施。由于BS 7799两个部分都已经先后转化成正式的国际标准,从发展眼光来看,今后几年时间里,以该标准为参照的信息安全相关活动,势必在全球范围内广泛开展起来。25信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n顺便提及的是,英
18、国标准协会(BSI)是世界上最早的全国性标准化机构,同时也是国际标准化组织的核心成员之一,它不受政府控制但得到了政府的大力支持。BSI制定和修订的许多英国标准最终都转化成了国际标准,其在ISO中的贡献率达到了17,包括ISO 9000质量管理体系(源自BS 5750)、ISO 14000环境管理体系(源自BS 7750)和OHSAS 18000职业健康和安全管理体系(源自BS 8800)等。26信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n2. BS 7799的发展历程的发展历程n BS 7799 从诞生到现在只不过10年的事情,但基本上可以看出一个标准“源于生
19、活,高于生活”的发展特点,也就是说,一个真正普遍适用并能被普遍接受的标准,必然是能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的。n BS 7799 最初是由英国贸工部(DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。负责标准开发和管理工作的BSI-DISC Committee BDD/2 是由来自贸易和工业部门的众多代表共同组成的,其成员在各自的领域都具有足够的影响力,包括金融业的英国保险协会、渣打会计协会、汇丰银行等,通信行业有大英电讯公司,还有像壳牌、联合利华、毕马威(KPMG)等这样的跨国机构。27
20、信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n 1995 年,BS 7799-1:1995信息安全管理实施细则首次出版(其前身是1993 年发布的PD 0005),它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。n在随后一段时间里,电子商务的发展引发客户、供应商、贸易伙伴间对各自信息保护能力的信任问题,促使第三方认证成为一个急需。信息安全管理遵循一套最佳惯例,但怎样做的?执行程度如何?是否完备?这就需要有一个共同的尺度来进行衡量。28信息安全管理12.4 BS 7799、ISO 17799和ISO 27
21、001n1998 年,BS 7799-2:1998信息安全管理体系规范公布,这是对BS 7799-1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。至此,BS 7799 标准初步成型。n1999 年4 月,BS 7799 的两个部分被重新修订和扩展,形成了一个完整版的BS 7799:1999。n新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。29信息安全管理12.4 BS 7799、ISO 17799和I
22、SO 27001n由于BS 7799 日益得到国际认同,使用的国家也越来越多,2000 年12 月,国际标准化组织ISO/IEC JTC 1/SC27 工作组认可BS 7799-1:1999,正式将其转化为国际标准,即所颁布的ISO/IEC 17799:2000信息技术信息安全管理实施细则。作为一个全球通用的标准,ISO/IEC 17799 并不局限于IT,也不依赖于专门的技术,它是由长期积累的一些最佳实践构成的,是市场驱动的结果。n 2002 年,BSI 对BS 7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,以此作为建立、实施、持续改进信息安全管理体系的依据,同时,新版
23、本的调整更显示了与ISO9001:2000、ISO14001:1996 等其他管理标准以及经济合作与开发组织(OECD)基本原则的一致性,体现了管理体系融合的趋势。2004 年9 月5 日,BS 7799-2:2002 正式发布,随即提交ISO 并迈入“快速通道”,可望近期正式成为国际标准。30信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n在BSI 的官方网站()上对BS 7799 是这么介绍的:nISO/IEC 17799 Code of practice for Information Security ManagementnBS 7799-2:2002 S
24、pecification for Information Security Management31信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n3. BS 7799 的现状的现状n虽然BS 7799 目前还没有完全成为国际标准,但经过一段时间广泛的实施、评审和讨论,BS 7799 作为通用的信息安全管理标准,已经逐渐被全球接受,目前已有二十多个国家和地区引用BS 7799 作为国家标准,并有41 个国家和地区开展了此项业务,其中包括:n澳大利亚/新西兰(前国标AS/NZS 4444,现在国标AS/NZS 7799)n巴西n捷克n芬兰n爱尔兰n冰岛n荷兰(SPE
25、 20003)n挪威n意大利n瑞典(SS 627799)n日本(JIS X 5080,相当于BS 7799-1)n印度32信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n我国的台湾和香港地区也已经采用并推广了BS 7799 标准。在中国台湾,BS 7799-1:1999 被引用为CNS 17799,而BS 7799-2:2002 则被引用为CNS 17800。在中国大陆,BS 7799 标准的国标化一直是个热点议题,而相关的ISMS 认证工作正在试点运行。33信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n其实,如果单从BSI 网站对
26、在线采购BS 7799 标准的组织分布来看,就能大概看出BS 7799 目前在全球的受关注情况,如图12.2所示。34信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n4. BS 7799-1 主要内容主要内容nBS 7799-1:1999(即ISO/IEC 17799:2000),信息安全管理实施细则(Code of Practice for Information Security Management),从10个方面定义了127 项控制措施,可供信息安全管理体系实施者参考使用,这10 个方面是:n安全策略(Security policy);n组织安全(Orga
27、nization security);n资产分类和控制(Asset classification and control);n人员安全(Personnel security);n物理和环境安全(Physical and environmental security);n通信和操作管理(Communication and operation management);n访问控制(Access control);n系统开发和维护(System development and maintenance);n业务连续性管理(Business continuity management);n符合性(Comp
28、liance)。35信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n这其中,除了访问控制、系统开发与维护、通信与操作管理这3个方面跟信息安全技术关系更紧密之外,其他7个方面更侧重于组织整体的管理和运营操作,由此也可以看出,信息安全中“三分靠技术、七分靠管理”的思想还是有所依据的。36信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n5. BS 7799-2的主要内容的主要内容n BS 7799-2是建立信息安全管理系统的一套规范,其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到B
29、SI 最终的认证(对依据BS 7799-2建立的ISMS 进行认证),还有一系列相应的注册认证过程。作为一套管理标准,BS 7799-2指导相关人员怎样去应用ISO/IEC 17799,其最终目的还在于建立适合企业需要的信息安全管理系统。37信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n BS 7799 标准之所以能被广为接受,一方面是它提供了一套普遍适用且行之有效的全面的安全控制措施,而更重要的,还在于它提出了建立信息安全管理体系的目标,这和人们对信息安全管理认识的加强是相适应的。与以往技术为主的安全体系不同,BS 7799-2 提出的信息安全管理体系是一个系
30、统化、程序化和文档化的管理体系,这其中,技术措施只是作为依据安全需求有选择有侧重地实现安全目标的手段而已。38信息安全管理12.4 BS 7799、ISO 17799和ISO 27001n BS 7799-2 标准指出ISMS 应该包含这些内容:用于组织信息资产风险管理、确保组织信息安全,包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。n BS 7799-2 标准要求的建立ISMS 框架的过程:制定信息安全策略,确定体系范围,明确管理职责,通过风险评估确定控制目标和控制方式。体系一旦建立,组织应该实施、维护和持续改进ISMS,保持体系的有效性。39信息安全
31、管理12.4 BS 7799、ISO 17799和ISO 27001n BS 7799-2 非常强调信息安全管理过程中文件化的工作,ISMS 的文件体系应该包括安全策略、适用性声明文件(选择与未选择的控制目标和控制措施)、实施安全控制所需的程序文件、ISMS 管理和操作程序,以及组织围绕ISMS 开展的所有活动的证明材料。40信息安全管理12.5 信息安全相关法律法规n在信息安全法律法规方面,国内外都有许多。本章概要介绍其中主要的一些法律法规情况。n12.5.1 国内信息安全相关法律法规n国内信息安全相关法律法规主要有如下几个。n(1) 计算机及信息系统安全法规,计算机软件保护条例,1991年
32、5月24日国务院第八十三次常务会议通过1991年6月4日中华人民共和国国务院令第84号发布。n(2) 中华人民共和国计算机信息系统安全保护条例,1994年2月18日中华人民共和国国务院令147号发布,1994年2月18日中华人民共和国国务院令147号发布。n(3) 计算机信息系统安全专用产品检测和销售许可证管理办法,1997年6月28日公安部部长办公会议通过,1997年12月12日施行,中华人民共和国公安部令第32号发布。n中华人民共和国计算机信息系统安全保护条例。41信息安全管理12.5 信息安全相关法律法规n(4) 计算机信息网络国际联网安全保护管理办法,1997年12月11日国务院批准1
33、997年12月30日公安部发布)n(5) 计算机病毒防治管理办法,中华人民共和国公安部令第51号令,2000年4月26日。n(6) 国家信息化领导小组关于加强信息安全保障工作的意见(中办发2003年27号文件),2003年9月7日中共中央办公厅、国务院办公厅发出通知,并要求各地结合实际认真贯彻落实。42信息安全管理12.5.2 国外信息安全相关法律法规n 1990年美国人John Perry Barlow第一个使用“CyberSpace”一词来表示网络世界。因此现在国际上一般用“Cyberlaw”或者“Cyberspace Law”来表示网络法。但是由于相对于传统法规建设而言,网络立法发展时间
34、很短,所以现在有关网络案件的审理,大多是依据传统法律与新制定的网络法规的结合进行的。下面是一些主要的法律。n(1) 美国数字时代版权法。美国国会于1998年10月12日通过,28日克林顿签署生成法律。该法是为了贯彻执行世界知识产权保护组织(WIPO) 1996年12月签订的条约,要求公共图书馆、学校、教育机构等各种团体和个人,不得非法拷贝、生产或传播包括商业软件在内的各种信息资料。n(2) 欧盟数据库指令,1996年3月欧共体制定。该指令主要为了保护数据库版权。n(3) 欧盟电信方面隐私保护指令。1997年12月欧共体制定。该指令主要为了保护电信传送过程中的个人数据。43信息安全管理12.5.
35、2 国外信息安全相关法律法规n(4) 美国儿童网络隐私保护法。2000年4月21日正式生效。该法保护13岁以下网童的隐私,要求网站在向13岁以下儿童询问个人信息时,必须先得到其家长的同意。n(5) 俄罗斯联邦信息、信息化和信息保护法。1995年制定。该法明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任。n(6) 日本特定电信服务提供商损害责任限制及要求公开发送者身份信息法。2002年5月制定。该法规定了电信服务提供商的必要责任,使服务提供商可以采取迅速、恰当的措施,处理在互联网网站、BBS上发布信息时发生的侵权行为。n(7) 美国儿童上网保护法案。1998年制定。该法案保护儿童免受
36、互联网上可能对其生理和心理产生不良影响的内容的伤害,防止青少年通过网络接受色情信息,建议用.kids域名来表示专门的适合儿童的网站。44信息安全管理12.5.2 国外信息安全相关法律法规n(8) 英国三R安全规则。1996年制定。其中“三R”分别代表:分级认定、举报告发、承担责任。该规则旨在从网络上消除儿童色情内容和其他有害信息,对提供网络服务的机构、终端用户和编发信息的网络新闻组,尤其对网络提供者作了明确的职责分工。n(9) 美国禁止电子盗窃法案。1997年12月16日克林顿签署。该法案主要针对使用网络上未经认证的计算机进行的严重犯罪,比如蓄意破坏和欺诈。n(10) 日本反黑客法。2000年
37、2月13日起开始实施。该法主要保护个人数据的安全与自由传送。该法规定擅自使用他人身份及密码侵入电脑网络的行为都将被视为违法犯罪行为,最高可判处10年监禁。45信息安全管理12.5.2 国外信息安全相关法律法规n(11) 美国反垃圾邮件法案。2000年7月18日通过。该法案专门对滥发邮件行为进行了规范和惩治。要求任何未经允许的商业邮件必须注明有效的回邮地址,以便于用户决定是否从邮件目录中接收该邮件。n(12) 美国禁止网络盗版商标法案。1999年10月制定。该法案主要针对网络上侵犯商标权的问题。46信息安全管理12.5.2 国外信息安全相关法律法规n(11) 美国反垃圾邮件法案。2000年7月18日通过。该法案专门对滥发邮件行为进行了规范和惩治。要求任何未经允许的商业邮件必须注明有效的回邮地址,以便于用户决定是否从邮件目录中接收该邮件。n(12) 美国禁止网络盗版商标法案。1999年10月制定。该法案主要针对网络上侵犯商标权的问题。47信息安全管理总结这里主要给大家介绍了信息安全管理的相关知识。欢迎大家提问?48信息安全管理返回Thanks For Attendance!Thanks For Attendance!致 谢49信息安全管理
