CISP-V4.0-02-《法律法规标准》知识点讲解复习总结.docxVIP

CISP01-信息安全法律法规和标准 信息安全法律法规 立法体系： 分工：全国人大立法机构、国务院和地方人大是法规制定机构、地方地方是规章制度。 法律：宪法—基本法（民法、行政法、刑法）—专门法—法规——规章制度。 专门法：《网络安全法》、《保守国家秘密法》、《国家安全法》、《国家反间谍法》、《反恐怖主义法》、《治安管理处罚法》、《合同法》、《劳动合同法》、《人民警察法》。 法规：《计算机信息系统保护条例》（2017年以前有效）、《商用密码管理条例》（2018年以前有效）、《个人信息保护管理规定》。 网络安全法： 2.1 总则：网络空间的主权的理解。 2.2 发展与促进：产业、标准、人才、产品与服务。 2.3 网络运行安全： 1）一般规定： —实行等级保护 —网络运营者的义务 —网络产品、服务提供者的安全义务 —一般性安全保护义务 关键信息基础设施的保护 —范围 —机制（分工） —国务院负责条例制定 —运营者义务 2.4 网络信息安全 1）个人信息保护 2）规范信息安全的管理 2.5 监测预警和应急处置 2.6 法律责任：民事、行政、刑事责任。 3.有关法律 3.1 保守国家秘密法：绝密30年、机密20年、秘密10年 3.2 刑法的要求 3.3 国家安全法的要求。 4.网络安全职业道德 网络安全政策 国家网络空间安全战略 中央办公厅2003年27号文件 2.1 方针：积极防御、综合防范。 2.2 原则：立足国情和以我为主；技管并重；安全保发展和发展求安全。 2.3 内容：等保、密码、监控、应急、产业、法制标准、人才培养、资金保障、工作领导。 3. 十三五规划与网络安全实现以下四个主要目标： 1）加强数据资源安全保护 2）科学实施网络空间治理 3）全面保障重要信息系统安全 4）实施网络安全保障方面的重大工程 网络安全标准 标准化组织 国际标准化组织（ISO） 国际电工委员会（IEC） Internet工程任务组（IETF） 国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T） ISO/IEC JTC1 SC27信息技术 安全技术 2.1 工作组分工：WG1安全管理标准；WG3安全评估标准；及其他。 2.2 制定的标准如下 全国信息安全标准化技术委员会（TC260) 3.1 工作组分工：WG1体系及协调；WG2保密标准；WG7管理标准。 3.2 制定的标准如下： 等级保护标准体系 4.1 总体实施的标准：定级-备案-建设整改-测评-检查和维护（分新建和已有系统）。 4.2 定级标准：GA/T 22240 —级别：1-5级 —客体：公民法人和组织；社会秩序和公共利益；国家安全。 —程度：一般、严重、特别严重。 —分类：服务安全、信息安全。 4.2 整改实施要求—安全要求 —通用安全要求：技术（4类）和管理（4类）。 —扩展要求：移动互联网、大数据、云计算、工业控制、物联网。 4.3 测评标准： GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》 GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》 测评人员要求：测评师（高、中、初），报告由高级测评师签字。 4.4 维护检查阶段： — 定期自查：由运营单位自行检查 — 定期等级测评：由第三方等级保护测评机构检测 — 定期监督检查：由公安机关定期检查 — 频率：均为三级系统一年一次、四级系统半年一次。 （END）