信息安全管理（第二章 信息安全管理标准与法律法规）.pptVIP

信息安全管理体系(ISMS)标准 ISMS认证 关于ISMS认证的标准ISO/IEC27001目前是唯一的。我们讨论的ISMS不仅仅包括体系本身，而且还包括ISMS的认证。 ISO/IEC 27001：2005标准是设计用于认证目的。它可帮助组织建立和维护ISMS。 ISMS的认证在某种程度上来说是ISMS不可或缺的一部分，是ISMS应用活动的自然延伸和结果。 信息安全管理体系(ISMS)标准 我国的信息安全标准化技术委员会 为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立全国信息安全标准化技术委员会（简称“信息安全标委会”，委员会编号为TC260，网址为：/）。 该技术委员会的成立标志着我国信息安全标准化工作，步入了“归口管理、协调发展”的新时期，是我国在信息安全的专业领域内，从事信息安全标准化工作的技术工作组织。 信息安全管理体系(ISMS)标准 美国的ISMS标准 美国国家标准（ANSI） 美国联邦信息处理安全标准（FIPS） 美国国防部的信息安全指令和标准（DODDI） 美国电气电工工程师协会（IEEE） ISO/IEC27000系列标准 ISO/IEC 27000系列共包括10个标准，此标准在国际上也处于研究与制订过程中。截至2008年4月10日，ISO/IEC JTC1/SC27/WG1正在制定中的标准包括7个，分别是： ISO/IEC27000 信息安全管理体系基础和术语 ISO/IEC27001 信息安全管理体系 要求 ISO/IEC27002 信息安全管理实用规则 ISO/IEC27003 信息安全管理体系实施指南 ISO/IEC27004 信息安全管理测量 ISO/IEC27005 信息安全风险管理 ISO/IEC27006 信息安全体系认证机构的认可要求 ISO/IEC27000系列标准 我国信息安全法律法规体系 目前我国现行法律法规及规章中，与信息安全有关的已有近百部，它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域，在文件形式上，有法律、有关法律问题的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次，初步形成了我国信息安全的法律体系。 ISO/IEC27000系列标准 通过对目前我国现行信息安全相关法律法规的整理分析，我们可以初步概括出目前我国信息安全法律体系的主要特点： 信息安全法律法规体系初步形成 与信息安全相关的司法和行政管理体系迅速完善 目前法律规定中法律少而规章等偏多，缺乏信息安全的基本法。 相关法律规定篇幅偏小，行为规范较简单。 与信息安全相关的其他法律有待完善 ISO/IEC27000系列标准 信息安全法律法规的法律地位 信息安全立法的必要性和紧迫性 （1）没有信息安全就没有完全意义上的国家安全。 （2）国家对信息资源的支配和控制能力，将决定国家的主权和命运。 （3）对信息的强有力的控制是打赢未来信息战的保证。 （4）信息安全保障能力是21世纪综合国力、经济竞争力和生成发展能力的重要组成部分。 ISO/IEC27000系列标准 信息安全法律规范的作用 （1） 指引作用：是指法律作为一种行为规范，为人们提供了某种行为模式，指引人们可以这样行为，必须这样行为或不得这样行为。 （2） 评价作用：是指法律具有判断、衡量他人行为是否合法或违法以及违法性质和程序的作用。 （3） 预测作用：是指当事人可以根据法律预先估计到他们相互将如何行为以及某行为在法律上的后果。 （4） 教育作用：是指通过法律的实施对一般人今后的行为所产生的影响。 （5）强制作用：是指法律对违法行为具有制裁、惩罚的作用。 ISO/IEC27000系列标准 信息安全法律法规的基本原则 谁主管谁负责的原则 突出重点的原则 预防为主的原则 安全审计的原则 风险管理的原则 ISO/IEC27000系列标准 信息系统安全相关法律法规谁主管谁负责的原则 国外信息安全法律法规 美国信息安全法律法规 政府信息安全法律 个人隐私信息安全法律 商业组织信息安全法律 ISO/IEC27000系列标准 英国信息安全法律法规 英国于1996年9月23日由互联网络服务提供商协会（ISPA）执委会、伦敦互联网络交换中心、互联网络安全基金会等部门提出并实施三R规则，分别代表“分级认定、检举揭发和承担责任”。 法国信息安全法律法规 在法国， 1992年通过、1994年生效的