安全政策

中央办公厅2003的27号文件

《国家信息化领导小组关于加强信息安全保障工作的意见》

方针：积极防御，综合防范

目标、要求：全面提高信息安全防护能力，保护公众利益，维护国家安全

4大原则：

立足国情，以我为主，技管并重；

正确处理安全和发展的关系；

统筹规划、突出重点、强化基础工作；

发挥国家、企业和个人作用；

9大任务：

实行信息安全等级保护；

加强密码技术为基础的信息保护和网络信任体系建设；

建设和完善信息安全监控体系；

重视信息安全应急处理工作；

加强信息安全技术研究开发，推进信息安全产业发展；

加强信息安全法制建设和标准化建设；

加快信息安全人才培养，增强全民信息安全意识；

保证信息安全资金；

加强安全保障工作领导，建立健全信息安全管理责任制；

以上9条不涉及(国产化、自主创新、知识产权、隐私保护）

网络空间安全战略

2016年12月27日发布和实施

5大战略目标：和平、安全、开放、合作、有序

四项原则：

尊重维护网络空间主权，

和平利用网络空间，

依法治理网络空间，

统筹网络安全与发展。

安全法律

计算机犯罪：多样性、复杂性、国际化、不对称性

网络安全法

核心概念：人类第二类生产生活空间，国家主权延伸的疆域

网络安全法7章79条

第一章 总则：

1、网络空间主权的原则

2、国家网信部门统筹协调（中国共产党中央网络安全和信息化委员会）

3、特定情况下域外适用效力

第二章 网络安全支持与促进

网络安全建设和发展的法律支持、政策和工作依据

第三章 网络运行安全

1、一般规定--等级保护制度

1，网络运营者义务---甲方---6条

        管理制度及责任；

        技术防护与日志6个月；

        数据保护；

       实名制；

       应急预案制定及相应；

       安全协助和支持。

2，产品和服务提供者义务---乙方---4条

     强制标准；

     告知补救；

     安全维护；

     个人信息保护；

3，一般性义务---双方---3条

     信息发布安全；

    危害行为的禁止；

    执法人员信息使用规则。

2、关键信息基础设施保护

1，人的安全：专职转岗，人员安全审查，培训教育和考核；

2，数据安全：数据出境的国家安全评估；

3，产品和服务安全：产品和服务采购，可能影响国家安全的，则需要进行安全审查；

       超过100万用户个人信息的网络平台运营者赴国外上市，需要经过安全审查；

4，网络与系统安全：一年一次的风险监测评估；

5，应急处理：应急预案的制定，定期演练及应急处理；

第四章 网络信息安全

1、个人信息的保护：采集，告知，同意，保护，修改等方面要求；

      原则：合法，正当，必要

2、规范信息管理：从主体及行为的角度规范管理；

      主体有市场主体和监督主体；

      行为有建立网站，发布信息，发送邮件，提供应用软件

3、各主体的职责。

第五章 监测预警与应急处置

1，国家：网信部门统筹该工作；

2，行业：国务院各部门各司其职；

3，地方：地方网信部门和地方政府；

4，组织：组织单位；

第六章 法律责任

1，民事责任；

2，行政责任；

3，刑事责任。

相关法律法规：

刑法，保守国家秘密法，密码法，国家安全法，反电信网络诈骗法，

电子签名法，数据安全法，个人信息保护法，网络安全审查方法，关键信息基础设施保护条例。

国家秘密保密期限：秘密级10年，机密级20年，绝密级30年

密码法：核心密码，普通密码，商用密码（对应绝密，机密，不属于国家秘密）

第七章 附则

其他与网络安全有关的法律

道德准则

法律需要建立在道德约束的基础之上

《CISP职业道德准则》四部分：

1，维护国家，社会和公众的信息安全；

2，诚实守信，遵纪守法；

3，努力工作，尽职尽责；

4，发展自身，维护荣誉。

安全标准

标准基础

标准对象：人，事，物

标准概念：动态，相对，应用后体现

工作原则：简化，统一，协调，优化

国家标准组织：

国际标准化组织ISO，国际电工委员会IEC，Internet工程任务组IETF，

国际电信联盟ITU，ITU通信标准化组织ITU-I

国际标准化分工 ISO/IEC JTC1 SC27的5个工作组：

WG1信息安全管理体系标准制定的,例如，iso/iec 27001-27005。

WG3是安全评估标准制定，例如，iso/iec 15408（EAL1-7）

我国标准

标准化机构：国家标准化管理委员会--隶属于市场监督管理总局

标准化组织：全国信息安全标准化技术委员会TC260

TC260包括8个工作组

标准分类：

国标：GB 强制国家标准， GB/T 推荐国家标准， GB/Z国家标准指导性文件(3年内复审)；

行业标准：GB/T公安标准；JT/T交通标准；YD/T通信标准；

地方标准：DB/T,DB/Z地方推荐标准或指标标准；

企业标准：QB/T

等级保护标准

流程：定级备案，建设整改，等级测评

定级：

GB/T 22240-2020原理（122-234-345）

定级原理---业务信息和系统服务两个方面进行定级

网络安全等级保护基本要求2.0,2019年12月1日生效

通用要求：71项要求

    技术要求：物理环境、通信网络、区域边界、计算环境和管理中心。采用IATF结构，比等保1.0技术要求多可信验证、个人信息保护、集中管控。

    管理要求：管理人员、管理机构、管理制度、建设管理和运维管理。和等保1.0相当的。

扩展要求：1-4级--云计算16，移动互联网9，工控安全8，物联网9

测评标准

GB/T 28448-2019《网络安全等级保护测评要求》2019.12.01生效

GB/T 28449-2012《信息系统安全等级保护测评过程指南》

     二级及上定级备案不测评；三级1年测评1次；四级半年测评1次

报告：公安部同意模板编制的《等级保护测评报告》

测评结论：定性，定量

     定性---符合，基本符合，不符合

     定量---优>90,良80-89，中70-79，差<70；评分包括累计得分制和满分减分制。

测评机构：公安部等级保护评估中心授权的测评机构

测评人员：初，中，高级测评师

签字：高级测评师对《等级保护测评报告》进行签字

等保测评工作2022年开始逐步移交质量检验部门