第22讲_信息安全管理策略与法律法规.pptVIP

信息安全法律法规 我国信息安全法制建设的基本原则 要实现我国信息安全立法工作的有序进行，必须首先明确信息安全法制建设的基本原则。法律原则是法律的基础性原理，是立法主体进行立法活动的重要依据，体现着立法的内在精神。信息安全法制建设必须在基本原则的指导下进行，这样才能准确把握信息安全的客观规律，更好地发挥信息安全法律的保障作用。 通过保障安全促进发展的原则。 积极预防原则。 重点保护原则。 谁主管、谁负责和协同原则。 信息安全法律法规 其他国家的信息安全立法情况 美国的信息安全立法 美国规范信息安全的法律经历了一个从预防为主到先发制人、以控制硬件设备到控制网络信息内容的演化过程。总体而言，美国当前有关信息安全立法的发展趋势是要扩大政府部门在网络监管中的权限，明确其职责和任务，以满足应对与日俱增的信息安全风险的需求。 俄罗斯的信息安全立法 从整体上来看，俄罗斯的信息安全立法将保护范围从只侧重国家机关的信息安全保护逐步扩大到对公民、组织和社会的信息安全保护，在不断发展中寻求着各方利益的平衡。 欧盟的信息安全立法 欧盟的信息安全法律框架经历了一个逐步完善的过程。欧盟通过一系列的战略突出了数字时代信息安全的重要性，在战略布局下，欧盟通过统一立法、各成员国独立立法、专项立法等多层次组成，既强调了欧盟整体利益，又照顾到了各个成员国的具体实际。 实践 查找并学习我国的信息安全法律法规 第22讲 信息安全管理 1. 信息安全管理标准 2. 信息安全管理策略 3. 信息安全法律法规 全国信息安全标准化技术委员会简称（ ），其编号为（ ），直属国家标准化管理委员会，下设（ ）个工作组。 （ ）下属的信息安全分技术委员会 国际标准化组织的英文缩写是（ ）。 国际电工委员会的英文缩写是（ ）。 TC260 信安标委 信息技术联合技术委员会 ISO IEC 7 课前检查 新课引入 ？为什么会导致这些事故发生 信息安全管理策略 信息安全管理策略也称信息安全方针，是组织对信息和信息处理设施进行管理、保护和分配的准则和规划，以及使信息系统免遭入侵和破坏而必须采取的措施。 它告诉组织成员在日常的工作中什么是必须做的，什么是可以做的，什么是不可以做的；哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全方面的行为规范。 信息安全管理策略 一个成功的安全策略应当遵循： 1）综合平衡(综合考虑需求、风险、代价等诸多因素)。 2）整体优化(利用系统工程思想，使系统总体性能最优)。 3）易于操作和确保可靠。 第 * 页 / 　 在制定信息安全管理策略时，要严格遵守以下主要原则。 1）目的性。策略是为组织完成自己的信息安全使命而制定的，策略应该反映组织的整体利益和可持续发展的要求。 2）适用性。策略应该反映组织的真实环境和信息安全的发展水平。 3）可行性。策略应该具有切实可行性，其目标应该可以实现，并容易测量和审核。没有可行性的策略不仅浪费时间还会引起政策混乱。 4）经济性。策略应该经济合理，过分复杂和草率都是不可取的。 5）完整性。能够反映组织的所有业务流程的安全需要。 6）一致性。策略的一致性包括下面三个层次：①和国家、地方的法律法规保持一致；②和组织己有的策略、方针保持一致；③整体安全策略保持一致，要反映企业对信息安全的一般看法。 7）弹性。策略不仅要满足当前的组织要求，还要满足组织和环境在未来一段时间内发展的要求。 制定策略的原则 第 * 页 / 　 理论上，一个完整的策略体系应该保障组织信息的机密性、可用性和完整性。信息安全策略应包含下列一些内容： 1）适用范围。包括人员范围和时效性，例如“本规定适用于所有员工”，“适用于工作时间和非工作时间”。不仅要消除本该受到约束的员工有认为自己是个例外的想法，也保证策略不至于被误解是针对某个员工的；同时也告诉员工本规定在什么时间发挥效力。 2）目标。例如，“为确保企业的经营、技术等机密信息不泄漏，维护企业的经济利益，根据国家有关法律，结合企业实际，特制定本条例。”明确了信息安全保护对公司是有着重要意义的，而且与国家的法律法规是一致的。主题明确的策略可能会有更加确切、详细的目标，如防病毒策略的目标可以是：“为了正确执行对计算机病毒（蠕虫、特洛伊木马、黑客恶意程序）的预防、侦测和清除过程，特制定本策略”。 策略的主要内容 第 * 页 / 3）策略主题。通常一个组织可能会考虑开发下列主题的信息安全管理策略：①设