信息安全管理与法律法规.pptVIP

信息安全概念 安全 没有危险、不受威胁、不出事故。 安全理念 以风险大小来划分安全与否 没有绝对的安全和零风险 风险可接受即可视为安全 风险大小与安全投入的平衡 信息安全木桶原理 短板理论，系统的安全性取决于系统的最薄弱环节，加强其安全，才能提高整体安全性。 广义的信息安全 “信息安全”问题 “信息系统”安全问题 信息不安全引发的其他安全问题 信息系统安全的保护目标与所属组织的安全利益是完全一致的，具体体现为对信息的保护、对系统的保护和对信息使用的监管。 信息安全属性 信息安全属性 保密性Confidentiality 完整性Integrity 可用性Availability 不可否认性（抗抵赖）Non-repudiation 真实性Authentication 可控性/可治理性Controllability/Governability 可靠性Reliability… 信息安全风险评估 资产（保护对象） 软件、硬件、数据、人、业务、声誉（品牌） 脆弱性（隐患的关键因素） 软件、硬件、制度、人 威胁（威胁源与行为） 外部(如黑客攻击)、内部，有意、无意、自然、人为 可能性（动机和能力） 蓄谋、偶然，难度 后果 本身价值、直接和间接影响 信息安全的对策（管理部分） 国家层面 法律法规、政策、国家标准 社会层面 道德 行业层面 行规、行业标准 组织层面 规章制度 个人 最脆弱的环节 培训、意识、行为规范 信息安全技术与管理 技术必须与管理结合 技术有局限性，不是万能的，需要管理弥补 技术需要管理来实施和保障 很多（底层）技术不可控 技术的发展需要管理来调整以适应 技术可能被利用 内部原因的信息安全问题比重大 法律法规（1） 概述 立法（人大/国务院：制定、修改、废止） 司法（依法审理和评判案件：检察院、法院） 执法（执行法律：法院、检察院、公安部、安全部、工商局、税务局等） 法律分类 适用性：民法、刑法和行政法——民事责任、刑事责任和行政责任 法律法规（2） 法律法规的作用 指引作用（规范） 评判作用（判决） 预测作用（震慑、警示） 教育作用（引以为戒） 强制作用（惩戒） 信息安全法律法规（2） 信息安全法律法规概述 信息安全现状与立法的必要性 法人与公民的合法权益（法人与公民的财产权、知识产权、公民的人身权-肖像与隐私等） 信息安全的特殊性（数字出版限制、知识产权、国家信息主权控制、签名法律效力、电子取证等） 网民的权利和义务 信息安全法律法规（3） 信息安全法律法规概述 信息安全法律的主要内容 信息系统的规划与建设 信息系统的管理与经营 信息系统的安全 知识产权保护/个人数据保护 传统犯罪在计算机上的延伸 电子商务/电子政务/电子化业务 计算机犯罪/证据与诉讼 信息安全法律法规条款 普适性法律法规 宪法 刑法 国家安全法 保守国家秘密法 … 信息安全法律法规 计算机犯罪相关法律 电子商务（电子签名法） 计算机信息系统安全保护 国际互联网安全管理 国际互联网服务管理 … 刑 法 与计算机相关的条款 传统犯罪通过计算机实施 利用信息技术非法传播信息 利用信息技术传播非法信息 利用信息技术从事非法活动 针对计算机系统的犯罪 利用信息技术侵入或攻击计算机系统 利用信息技术获取或破坏计算机系统信息 刑法中惩治计算机犯罪条款 非法侵入计算机信息系统罪 《中华人民共和国刑法》第285条规定：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。” 犯罪手段？ 其他计算机可以侵入？ 本罪属行为犯 刑法中惩治计算机犯罪条款 破坏计算机信息系统功能罪 《刑法》第286条第1款规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。” 犯罪动机？ 计算机信息系统的功能有哪些？ 什么行为可能触犯该条款？ 本罪属结果犯 刑法中惩治计算机犯罪条款 破坏计算机信息系统数据、应用程序罪 《中华人民共和国刑法》第286条第2款规定：“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。” 刑法中惩治计算机犯罪条款 故意制作、传播计算机病毒等破坏性程序罪 《刑法》第286第3款规定：“故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。” 该罪与破坏计算机信息系统功能罪可能重叠 破坏性程序 硬件设备（接入时激活）炸弹 逻辑炸弹（时间、程序等条件激活） 贪婪程序（消耗资源） 木马 蠕虫 刑法中惩治计算机犯罪条款 适用于一切利用计算机实施的其他犯罪