网络安全监管
- 网络安全法律体系建设
- 计算机犯罪、信息安全等基本概念
- 我国立法体系及网络安全法
- 我国的立法体系
- 网络安全法
- 出台背景
- 基本概念
- 安全法主要结构
- 第一章 总则
- 第二章 网络安全支持与促进
- 第三章 网络运行安全
- 第四章 网络信息安全
- 第五章 监测预警与应急处置
- 第六章 法律责任
- 国家网络安全政策
- 网络空间安全国家战略
- 网络安全法相关保护
- 网络安全道德与准则
- 道德的约束
- 职业道德准则
- 网络安全标准
- 标准与标准化
- 标准
- 标准化
- 标准化组织
- 我国标准化组织
- 标准机构与标准体系
- 全国信息安全标准化技术委员会
- 我国分类标准
- 国家网络安全标准体系
- 信息安全等级保护标准体系
- 等级保护工作流程
- 定级与备案
- 差距分析
- 建设整改
- 等级保护要求体系
- 等级保护扩展要求
网络安全法律体系建设
计算机犯罪、信息安全等基本概念
计算机犯罪概念:
针对计算机信息系统,对国家、团体或个人造成危害的行为
计算机犯罪特点:
多样化
复杂化
国际化
计算机犯罪的趋势
从无意识到有组织
从个体侵害到国家威胁
跨越计算机本身的实施能力
低龄化成为法律制约难题
我国立法体系及网络安全法
我国的立法体系
立法是网络空间治理的基础工作
我国采取多级立法机制
网络安全法
网络安全立法演变为全球范围内的利益协调与国家主权斗争
出台背景
草案到正式出台经历了三次审议,两次公开征求意见和修改
基本概念
网络空间 已成为领土、领海、领空、太空之外的“第五空间”或人类“第二类生存空间”成为国家主权延伸的新疆域
安全法主要结构
七章79条
第一章 总则
明确网络空间主权原则
第二章 网络安全支持与促进
建立和完善网络安全标准体系建设
统筹规划,扶持网络安全产业(产品、服务等)
推动社会化网络安全服务体系建设
鼓励开发数据安全保护和利用技术、创新网络安全管理方式
开展经常性网络安全宣传教育
支持企业和高等学校、职业学校等教育培训机构
开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流
第三章 网络运行安全
明确要求落实网络安全等级保护制度
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
明确网络运营者的安全义务
明确网络产品、服务提供者的安全义务
明确一般性安全保护义务
关键信息基础设施保护
关键基础设施运营中产生的数据必须境内存储
2017年04月10日国家互联网信息办公室发布关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知。明确了
个人信息和重要数据出境的范围
• 有50万人以上的个人信息
• 数据量超过1000GB
• 7大重要领域数据等
数据出境评估原则
评估7个方面主要内容
明确我国实行网络安全审查制度
2017年05月02日中央网信办正式发布《网络产品和服务安全审查办法(试行)》。其中就审查的目的、需要审查的网络产品和服务的范围、网络安全审查的管理部门(网络安全审查委员会)、审查的机构(国家统一认定网络安全审查第三方机构)和对党政机关和重点行业的审查工作提出要求。并于2017年6月1日同《网络安全法》一同实施.
第四章 网络信息安全
重视对个人信息保护
规范信息管理
确定信息管理中相关职责
2017年05月02日国家互联网信息办公室正式发布《互联网新闻信息服务管理规定》(国信办1号令),于6月1日同《网络安全法》一起实施。规范了:
互联网新闻信息服务的范围
互联网新闻信息服务的6项许可条件
互联网新闻信息服务提供者的责任义务
网信部门对互联网新闻信息服务的监督检查要求
相关法律责任
同日国家互联网信息办公室一并发布**《互联网信息内容管理行政执法程序规定》 (国信办2号令)**,于6月1日同《网络安全法》一起实施。规范了:
互联网信息内容管理部门行政执法依据
管辖范围
立案流程
调查取证过程
听证及约谈机制
处罚决定及执行办法等
第五章 监测预警与应急处置
工作制度化、法制化
第六章 法律责任
对违反《 网络安全法》 的行为,第六章规定了民事责任、行政责任、刑事责任
行政法相关法规
民法相关法规
刑法相关法规
出售或者提供公民个人信息罪、非法侵入计算机信息系统罪、网络服务渎职罪等
其他网络安全相关法规及条款
国家安全法
保密法
电子签名法
反恐怖主义法
密码法
国家网络安全政策
网络空间安全国家战略
全文:http://www.cac.gov.cn/2016-12/27/c_1120195926.htm?from=singlemessage
网络安全法相关保护
《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护
GB 17859正式细化等级保护要求,划分五个级别
《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发
网络安全法明确我国实行网络安全等级保护制度
网络安全道德与准则
道德的约束
道德的概念
一定社会或阶级用以调整人们之间利益关系的行为准则,也是评价人们行为善恶的标准
道德和法律
道德没有严谨的结构体系,法律是国家意志统一体系,有严密的逻辑
道德约束
道德约束是建立在完善的法律基础上
惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一
培训与教育是不可或缺的增强员工道德意识的途径
职业道德准则
职业道德的概念
广义的职业道德是指从业人员在职业活动中应该遵循的行为准则,涵盖了从业人员与服务对象、职业与职工、职业与职业之间的关系。狭义的职业道德是指在一定职业活动中应遵循的、体现一定职业特征的、调整一定职业关系的职业行为准则和规范。
著名的计算机职业伦理守则
美国计算机学会职业伦理守则、英国计算机学会伦理守则、计算机伦理十诫
CISP职业道德准则
维护国家、社会和公众的信息安全
诚实守信、遵纪守法
努力工作,尽职尽责
发展自身,维护荣誉
网络安全标准
标准与标准化
标准
为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件
标准类型
国际标准
国家标准
行业标准
地方标准
标准化
为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动
标准化的基本特点
标准化是一项活动
标准化的对象:物、事、人
标准化是一个动态的概念
标准化是一个相对的概念
标准化的效益只有应用后才能体现
标准化工作原则:简化、统一、协调、优化
标准化组织
主要国际标准化组织
国际标准化组织(ISO)
国际电工委员会(IEC)
Internet工程任务组(IETF)
国际电信联盟(ITU)及国际电信联盟远程通
信标准化组织(ITU-T)
国家标准化组织(美国)
美国国家标准化协会(ANSI)
美国国家标准技术研究院(NIST)
我国标准化组织
中国国家标准化管理委员会
是我国最高级别的国家标准机构
全国信息安全标准化技术委员会(TC260)
1984年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会, 2002年4月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术委员会(信安标委,TC260),由国家标准委直接领导,对口ISO/IEC JTC1 SC27
国家标准化管理委员会高新函[2004]1号文决定:自2004年1月起,各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调一致后由信息安全标委会组织申报;在国家标准制定过程中,标准工作组或主要起草单位要与信息安全标委会积极合作,并由信息安全标委会完成国家标准送审
、报批工作
标准机构与标准体系
全国信息安全标准化技术委员会
我国分类标准
GB 强制性国家标准
一经颁布必须贯彻执行,违反则构成经济或法律方面的责任
GB/T 推荐性国家标准
自愿采用的标准,共同遵守的技术依据,严格贯彻执行
GB/Z 国家标准指导性技术文件
由于技术发展过程中或其他理由,将来可能达成一致意见指导性技术文件
实施后3年内必须进行复审
国家网络安全标准体系
基础类标准
安全术语类
测评基础类
管理基础类
物理安全类
安全模型类
安全体系架构类
技术与机制标准
密码技术
鉴别机制
授权机制
电子签名
公钥基础设施
通信安全技术
涉密系统通用技术要求
管理与服务标准
涉密服务
安全控制与服务
网络安全管理
行业/领域安全管理
测评标准
密码产品
通用产品
安全保密产品
通用系统
涉密信息系统
通信安全
政府安全检查
安全能力评估
信息安全等级保护标准体系
安全等级类:主要对如何进行信息系统定级做出指导
GB/T22240-2008 《信息安全技术 信息系统安全保护等级保护定级指南》
各类行业定级准则
方法指导类:对如何开展等级保护工作做了详细规定
GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》
GB/T25070-2010《信息系统等级保护安全设计技术要求》等
状况分析类:对如何开展等级保护测评工作做出了详细规定
GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》
GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等
基线要求类:分技术类、管理类和产品类等标准,分别对某些专门技术、管理和产品的进行要求
例如:GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》、GB/T20271-2006《信息系统通用安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》
等级保护工作流程
定级
备案
差距分析
建设整改
验收测评
定期复查
定级与备案
差距分析
目的:发现系统当前安全状况与《等级保护基本要求》之间差距,指导下一步整改工作
流程:差距分析流程与等级保护测评一致
报告:在完成差距分析后一般形成《等级保护差距分析报告》,格式一般参考《等级保护测评报告》,为下一阶段开展等级保护安全建设整改工作提出建设整改需求。
建设整改
依据:GB/T25070-2010《信息系统等级保护安全设计技术要求》
流程:依据《等级保护差距分析报告》中提出的安全建设整改需求,设计《等级保护安全建设整改方案》,并根据单位实际的资金、技术、人员配备情况分阶段地开展等级保护建设整改工作。
报告:建设整改前,需要编制《等级保护安全建设整改方案》,提出建设整改目标和步骤。在完成整改后,由建设单位开展验收工作,验证是否达到方案要求
等级保护要求体系
等级保护扩展要求
云计算安全要求
移动互联网安全
物联网安全
工业控制系统安全
![分布式事务 [面试]](https://img-blog.csdnimg.cn/img_convert/bf251045f2ee4ff65eb19e2884b14b82.jpeg)
