CISM注冊(cè)信息安全員0101信息安全保障基礎(chǔ)_V30(XXXX0123)

1、信息安全保障基礎(chǔ)中國(guó)信息安全測(cè)評(píng)中心版本：3.01課程內(nèi)容信息安全保障基礎(chǔ)信息安全保障理論及實(shí)踐信息安全法規(guī)政策標(biāo)準(zhǔn)信息安全保障基礎(chǔ)知識(shí)重點(diǎn)信息安全政策解讀信息安全標(biāo)準(zhǔn)知識(shí)信息安全保障模型我國(guó)信息安全保障工作實(shí)踐重點(diǎn)信息安全法律法規(guī)解讀2知識(shí)域：信息安全保障基礎(chǔ)知識(shí)理解信息安全的典型安全威脅理解信息安全問(wèn)題產(chǎn)生的根源掌握信息安全三個(gè)基本要素（保密性、完整性和可用性）的概念和含義了解信息安全發(fā)展的階段及各階段主要特點(diǎn)理解信息安全保障的概念和內(nèi)涵3信息和信息安全信息消息，泛指人類(lèi)社會(huì)傳播的一切內(nèi)容有意義的數(shù)據(jù)在計(jì)算機(jī)系統(tǒng)中，信息通常以文字、聲音、圖像或數(shù)據(jù)的形式展現(xiàn)出來(lái)，它是按一定方式排列起來(lái)的、

2、有意義的符號(hào)序列信息安全關(guān)注信息自身的安全4什么是信息安全 保持信息的保密性、完整性和可用性，即防止未經(jīng)授權(quán)使用信息、防止對(duì)信息的非法修改和破壞、確保及時(shí)可靠地使用信息。（CIA）5保密性保密性Confidentiality（C）也稱(chēng)機(jī)密性確保信息沒(méi)有泄漏，不被沒(méi)有授權(quán)的個(gè)人、組織和計(jì)算機(jī)程序使用保密性需求舉例國(guó)家秘密企業(yè)或研究機(jī)構(gòu)的核心知識(shí)產(chǎn)權(quán)銀行賬號(hào)等個(gè)人信息6完整性完整性Integrity（I）確保信息沒(méi)有遭到篡改或破壞信息保持原樣，未受損壞沒(méi)有丟失、被篡改或被破壞完整性需求舉例通信數(shù)據(jù)原樣傳送到對(duì)方信息未被插入、增加、刪除、修改7可用性可用性Availability（A）確保擁有授權(quán)的

3、用戶(hù)或程序可以及時(shí)、正常使用信息可用性需求舉例網(wǎng)站能支撐大量用戶(hù)訪(fǎng)問(wèn)，正常提供服務(wù)系統(tǒng)未受病毒影響，可以正常使用系統(tǒng)能防御攻擊者攻擊，穩(wěn)定可用8為什么會(huì)有信息安全問(wèn)題？為什么會(huì)有信息安全問(wèn)題？總有黑客來(lái)攻擊總有新病毒傳播某些軟件配置錯(cuò)誤操作系統(tǒng)被發(fā)現(xiàn)了新的漏洞領(lǐng)導(dǎo)不重視，施工人員不認(rèn)真寫(xiě)代碼的程序員沒(méi)有獲得安全證書(shū).這些都對(duì)，怎么才能羅列完全？根本原因是什么？9信息系統(tǒng)安全問(wèn)題產(chǎn)生的根本原因內(nèi)因系統(tǒng)自身的脆弱性外因來(lái)自惡意攻擊者的攻擊來(lái)自自然災(zāi)害的破壞10安全問(wèn)題根源內(nèi)因示例復(fù)雜性導(dǎo)致脆弱性凡是人做的東西總會(huì)存在問(wèn)題11安全問(wèn)題根源外因示例12安全問(wèn)題根源外因示例來(lái)自大自然的威脅雷擊、地震、火

4、災(zāi)和洪水等自然災(zāi)害電力、空調(diào)等被電磁脈沖破壞信息系統(tǒng)機(jī)房和設(shè)備遭受破壞13信息安全的地位和作用信息網(wǎng)絡(luò)已逐漸成為經(jīng)濟(jì)繁榮、社會(huì)穩(wěn)定和國(guó)家發(fā)展的基礎(chǔ)信息化深刻影響著全球經(jīng)濟(jì)的整合、國(guó)家戰(zhàn)略的調(diào)整和安全觀念的轉(zhuǎn)變信息安全適用于所有信息技術(shù)領(lǐng)域?qū)W習(xí)、游戲、網(wǎng)絡(luò)購(gòu)物、電子郵件信息化辦公、電子商務(wù)電子政務(wù)、電力供應(yīng)、工業(yè)控制系統(tǒng)核設(shè)施、軍事情報(bào)系統(tǒng)從單純的技術(shù)性問(wèn)題變成事關(guān)國(guó)家安全的全球性問(wèn)題14信息安全發(fā)展階段COMSEC通信安全COMPUSEC計(jì)算機(jī)安全I(xiàn)NFOSEC信息系統(tǒng)安全I(xiàn)A信息安全保障15CS/IA網(wǎng)絡(luò)空間安全/信息安全保障15通信安全16計(jì)算機(jī)安全17信息系統(tǒng)安全18信息安全保障19階段

5、年代安全威脅安全措施通信安全20世紀(jì)，4070年代搭線(xiàn)竊聽(tīng)、密碼學(xué)分析加密計(jì)算機(jī)安全20世紀(jì)，70-90年代非法訪(fǎng)問(wèn)、惡意代碼、脆弱口令等安全操作系統(tǒng)設(shè)計(jì)技術(shù)（TCB）信息系統(tǒng)安全20世紀(jì)，90年代后網(wǎng)絡(luò)入侵、病毒破壞、信息對(duì)抗等防火墻、防病毒、漏洞掃描、入侵檢測(cè)、PKI、VPN等信息安全保障今天，黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等技術(shù)安全保障體系安全管理體系人員意識(shí)/培訓(xùn)/教育信息安全發(fā)展各階段特點(diǎn)2020信息安全保障概念發(fā)展第一次定義1996年，美國(guó)國(guó)防部DoD指令5-3600.1（DoDD 5-3600.1）中，給出了信息安全保障的定義中國(guó)中辦發(fā)27號(hào)文國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加

6、強(qiáng)信息安全保障工作的意見(jiàn)，是信息安全保障工作的綱領(lǐng)性文件目前，信息安全保障的概念已逐漸被全世界信息安全領(lǐng)域所接受美國(guó)英國(guó)日本21信息安全保障含義保障目標(biāo)信息系統(tǒng)業(yè)務(wù)和使命安全保障措施防止信息泄露、修改和破壞檢測(cè)入侵行為，實(shí)施響應(yīng)和改進(jìn)措施同傳統(tǒng)信息安全概念相比較強(qiáng)調(diào)檢測(cè)和響應(yīng)，強(qiáng)調(diào)動(dòng)態(tài)安全注重對(duì)信息系統(tǒng)進(jìn)行全生命周期的保護(hù)關(guān)注技術(shù)、管理、規(guī)范等方面要求實(shí)現(xiàn)風(fēng)險(xiǎn)管控的目標(biāo)22新階段網(wǎng)絡(luò)空間安全/信息安全保障CS/IA：Cyberspace Security/Information Assurance威脅有組織網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)恐怖主義、網(wǎng)絡(luò)空間軍事對(duì)抗、APT共識(shí)：網(wǎng)絡(luò)安全問(wèn)題上升到國(guó)家安全的重要程

7、度2009年，在美國(guó)帶動(dòng)下，世界各國(guó)信息安全政策、技術(shù)和實(shí)踐等發(fā)生重大變革核心思想：從傳統(tǒng)防御的信息保障（IA），發(fā)展到“威懾”為主的防御、攻擊和情報(bào)三位一體的信息保障/網(wǎng)絡(luò)安全（IA/CS）的網(wǎng)空安全網(wǎng)絡(luò)防御-Defense（運(yùn)維）網(wǎng)絡(luò)攻擊-Offense（威懾）網(wǎng)絡(luò)利用-Exploitation（情報(bào)）23知識(shí)體：信息安全保障理論及實(shí)踐知識(shí)域：信息安全保障模型了解信息系統(tǒng)、風(fēng)險(xiǎn)、保障和使命之間的關(guān)系掌握信息系統(tǒng)安全保障模型，理解其保障要素、生命周期和安全特征的內(nèi)容和含義理解PDCA模型內(nèi)容和特點(diǎn)了解信息保障技術(shù)框架（IATF）的核心要素和焦點(diǎn)區(qū)域24信息系統(tǒng)、風(fēng)險(xiǎn)、保障和使命風(fēng)險(xiǎn)可能導(dǎo)致信

8、息安全問(wèn)題影響信息系統(tǒng)業(yè)務(wù)使命保障制定策略、執(zhí)行措施降低風(fēng)險(xiǎn)、保障使命使命信息系統(tǒng)業(yè)務(wù)使命貫穿整個(gè)生命周期25什么是信息安全風(fēng)險(xiǎn)外在威脅利用信息系統(tǒng)存在的脆弱性，致其損失或破壞對(duì)系統(tǒng)價(jià)值造成損害的可能性 信息系統(tǒng)威脅防護(hù)措施脆弱性風(fēng)險(xiǎn)利用對(duì)抗導(dǎo)致增加減少作用于26信息系統(tǒng)為什么需要安全保障組織機(jī)構(gòu)的使命/業(yè)務(wù)目標(biāo)實(shí)現(xiàn)越來(lái)越依賴(lài)于信息系統(tǒng)信息系統(tǒng)成為組織機(jī)構(gòu)生存和發(fā)展的關(guān)鍵因素信息系統(tǒng)的安全風(fēng)險(xiǎn)也成為組織風(fēng)險(xiǎn)的一部分為了保障組織機(jī)構(gòu)完成其使命，必須加強(qiáng)信息安全保障，抵抗這些風(fēng)險(xiǎn)27信息系統(tǒng)安全保障定義 信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保

9、障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。 28信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第一部分：簡(jiǎn)介和一般模型 (GB/T 20274.1-2006 )信息系統(tǒng)安全保障模型-保障評(píng)估框架29信息系統(tǒng)安全保障模型特點(diǎn)安全特征保證其所創(chuàng)建、傳輸、存儲(chǔ)和處理信息的保密性、完整性和可用性。生命周期應(yīng)貫穿信息系統(tǒng)的整個(gè)生命周期，包括計(jì)劃組織、開(kāi)發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段保障要素由合格的信息安全專(zhuān)業(yè)人員，使用合格的信息安全技術(shù)和產(chǎn)品，通過(guò)規(guī)范、可持續(xù)性改進(jìn)的工程過(guò)程能力和管理能力

10、進(jìn)行建設(shè)和運(yùn)行維護(hù)，保障信息系統(tǒng)安全7/21/202230信息系統(tǒng)安全保障含義解釋?zhuān)?）出發(fā)點(diǎn)和核心在信息系統(tǒng)所處的運(yùn)行環(huán)境里，以風(fēng)險(xiǎn)和策略為出發(fā)點(diǎn)，即從信息系統(tǒng)所面臨的風(fēng)險(xiǎn)出發(fā)制定組織機(jī)構(gòu)信息系統(tǒng)安全保障策略動(dòng)態(tài)安全，綜合保障信息系統(tǒng)生命周期通過(guò)在信息系統(tǒng)生命周期中從技術(shù)、管理、工程和人員等方面提出安全保障要求 31信息系統(tǒng)安全保障含義解釋?zhuān)?）確保信息的安全特征確保信息的保密性、完整性和可用性特征，從而實(shí)現(xiàn)和貫徹組織機(jī)構(gòu)策略并將風(fēng)險(xiǎn)降低到可接受的程度保護(hù)資產(chǎn)達(dá)到保護(hù)組織機(jī)構(gòu)信息和信息系統(tǒng)資產(chǎn)最終保障使命從而保障組織機(jī)構(gòu)實(shí)現(xiàn)其使命的最終目的 32如何保障信息系統(tǒng)安全？信息是依賴(lài)于承載它的信息

11、技術(shù)系統(tǒng)存在的需要在技術(shù)層面部署完善的控制措施信息系統(tǒng)需要規(guī)劃、建設(shè)、使用和維護(hù)需要通過(guò)有效的管理手段來(lái)約束和保證今天系統(tǒng)安全了明天未必安全需要貫穿系統(tǒng)生命周期的工程過(guò)程信息安全的對(duì)抗，歸根結(jié)底是人員的對(duì)抗需要建設(shè)高素質(zhì)的人才隊(duì)伍33信息安全保障體系構(gòu)成的要素信息安全技術(shù)體系信息安全管理體系信息安全工程過(guò)程高素質(zhì)的人員隊(duì)伍34信息系統(tǒng)安全保障技術(shù)要素安全技術(shù)體系架構(gòu)根據(jù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的結(jié)果和系統(tǒng)安全策略的要求，并參考相關(guān)標(biāo)準(zhǔn)和最佳實(shí)踐，建立的符合組織機(jī)構(gòu)信息技術(shù)系統(tǒng)安全發(fā)展規(guī)劃的整體安全技術(shù)體系框架主要內(nèi)容密碼技術(shù)訪(fǎng)問(wèn)控制技術(shù)審計(jì)和監(jiān)控技術(shù)網(wǎng)絡(luò)安全技術(shù)35舉例：信息安全技術(shù)體系36信息系統(tǒng)安

12、全保障管理要素覆蓋整個(gè)生命周期以風(fēng)險(xiǎn)和策略為核心五方面的管理內(nèi)容37相關(guān)方信息安全需求&期待實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMSPlan計(jì)劃Do實(shí)施Act改進(jìn)Check檢查開(kāi)發(fā)、維護(hù)&改進(jìn)循環(huán)相關(guān)方受控的信息安全Plan計(jì)劃（建立ISMS環(huán)境）根據(jù)組織機(jī)構(gòu)的整體策略和目標(biāo)，建立同控制風(fēng)險(xiǎn)和改進(jìn)信息安全相關(guān)的安全策略、目的、目標(biāo)、過(guò)程和流程以交付結(jié)果。Do做（設(shè)計(jì)&實(shí)施）實(shí)施和操作策略（過(guò)程和流程）Check檢查（監(jiān)控&審核）通過(guò)策略、目的和實(shí)踐經(jīng)驗(yàn)測(cè)量和評(píng)估過(guò)程執(zhí)行，并將結(jié)果匯報(bào)給決策人。Act行動(dòng)（改進(jìn)）建立糾正和預(yù)防行動(dòng)以進(jìn)一步改進(jìn)過(guò)程的執(zhí)行建立ISMS監(jiān)視&評(píng)審ISMS信息安全管理體系建

13、設(shè)38信息系統(tǒng)安全保障工程要素將信息安全手段動(dòng)態(tài)作用于信息系統(tǒng)的工作過(guò)程基于信息系統(tǒng)生命周期建立信息系統(tǒng)安全工程生命周期在生命周期每個(gè)階段融入安全措施，從而有效、科學(xué)的實(shí)現(xiàn)信息系統(tǒng)安全保障目標(biāo)計(jì)劃組織開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄將安全措施融入信息系統(tǒng)生命周期39科學(xué)的信息安全工程過(guò)程40高素質(zhì)的人員隊(duì)伍信息安全對(duì)抗歸根結(jié)底是人與人的對(duì)抗，保障信息安全不僅需要專(zhuān)業(yè)信息技術(shù)人員，還需要信息系統(tǒng)普通使用者提高安全意識(shí)，加強(qiáng)個(gè)人防范能力 41基于信息系統(tǒng)生命周期的信息安全保障在信息系統(tǒng)生命周期模型中，將信息系統(tǒng)的整個(gè)生命周期抽象成計(jì)劃組織、開(kāi)發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段42信息系統(tǒng)安全保障

14、模型理解43信息系統(tǒng)安全保障43A計(jì)劃實(shí)施檢查改進(jìn)PDCPDCA循環(huán)44 按照PDCA的順序依次進(jìn)行，一次完整的PDCA可以看成組織在管理上的一個(gè)周期，每經(jīng)過(guò)一次PDCA循環(huán)，組織的管理體系都會(huì)得到一定程度的完善。44PDCA循環(huán)PDCA也稱(chēng)“戴明環(huán)”，由美國(guó)質(zhì)量管理專(zhuān)家戴明提出P（Plan）：計(jì)劃確定方針和目標(biāo)，確定活動(dòng)計(jì)劃D（Do）：實(shí)施實(shí)際去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容C（Check）：檢查總結(jié)執(zhí)行計(jì)劃的結(jié)果，找出問(wèn)題A（Act）：改進(jìn)采取糾正和預(yù)防措施進(jìn)一步提高過(guò)程質(zhì)量45PDCA循環(huán)的特點(diǎn)特點(diǎn)一循序漸進(jìn)，周而復(fù)始按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車(chē)輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán) 特點(diǎn)二層

15、層循環(huán)，環(huán)環(huán)相扣組織中的每個(gè)部分，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題特點(diǎn)三不斷循環(huán)，不斷提高每通過(guò)一次PDCA 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA 循環(huán)46PDCA循環(huán)，能夠提供一種優(yōu)秀的過(guò)程方法，以實(shí)現(xiàn)持續(xù)改進(jìn)遵循PDCA循環(huán)，能使任何一項(xiàng)活動(dòng)都有效地進(jìn)行PDCA循環(huán)的作用4747信息保障技術(shù)框架信息保障技術(shù)框架（IATF）Information Assurance Technical Framework美國(guó)國(guó)家安全局制定描述美國(guó)信息保障的指導(dǎo)性文件，為保護(hù)美國(guó)政府和工業(yè)界的信息與信息基礎(chǔ)設(shè)施提供技術(shù)支持研究歷史1998年，2.0版，網(wǎng)絡(luò)安全框架1

16、999年，2.0版，更名為信息保障技術(shù)框架2000年，3.0版2002年，3.1版，擴(kuò)展了“縱深防御”，強(qiáng)調(diào)信息保障戰(zhàn)略48信息系統(tǒng)安全保障模型-IATF49IATF理解三個(gè)核心要素人、技術(shù)和操作（Operation，也稱(chēng)為運(yùn)行）強(qiáng)調(diào)信息安全保障要靠人操作好技術(shù)來(lái)實(shí)現(xiàn)。四個(gè)焦點(diǎn)區(qū)域保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)區(qū)域邊界、保護(hù)計(jì)算環(huán)境和支撐性基礎(chǔ)設(shè)施部署多層防御措施，形成縱深防御能力50知識(shí)體：信息安全保障理論及實(shí)踐知識(shí)域：我國(guó)信息安全保障工作實(shí)踐理解我國(guó)信息安全工作的發(fā)展階段劃分情況了解我國(guó)信息安全保障工作的目標(biāo)和主要內(nèi)容了解我國(guó)信息安全保障工作實(shí)踐成果51我國(guó)信息安全保障工作發(fā)展階段52階段主要工

17、作2001-2002啟動(dòng)國(guó)家信息化小組重組網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立2003-2005逐步展開(kāi)積極推進(jìn)國(guó)家出臺(tái)指導(dǎo)政策召開(kāi)第一次全國(guó)信息安全保障會(huì)議發(fā)布國(guó)家信息安全戰(zhàn)略國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組召開(kāi)多次會(huì)議2006-2013深化落實(shí)信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得新成果信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估取得新進(jìn)展2013年至今新時(shí)期十八屆三中全會(huì)決定中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組52啟動(dòng)階段（2001-2002）2001年至2002年是我國(guó)網(wǎng)絡(luò)與信息安全事件頻發(fā)且性質(zhì)嚴(yán)重的時(shí)期國(guó)家信息化領(lǐng)導(dǎo)小組重組，網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成立我國(guó)信息安全保障工作正式啟動(dòng)期間重要事件來(lái)自境外邪教組織、敵對(duì)勢(shì)力的

18、破壞各種政治謠言、反動(dòng)宣傳和社會(huì)敏感熱點(diǎn)問(wèn)題日益增多 網(wǎng)絡(luò)系統(tǒng)、重要信息系統(tǒng)自身存在諸多安全隱患 53積極推進(jìn)階段（2003-2005）2003年至2005年國(guó)家信息安全保障體系建設(shè)逐步展開(kāi)和推進(jìn)的階段國(guó)家出臺(tái)指導(dǎo)政策，發(fā)布國(guó)家信息安全戰(zhàn)略信息安全保障各項(xiàng)工作積極推進(jìn)期間重要事件2003年7月，關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)27號(hào)文件）國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組多次會(huì)議重視信息安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)信任體系以及保密和密碼工作54深化落實(shí)階段（2006年至2013）2006年至2013年深化落實(shí)階段各項(xiàng)信息安全保障工作邁出了新的堅(jiān)實(shí)步伐信息安全法律法規(guī)、標(biāo)準(zhǔn)化和人才培養(yǎng)工作取得了新成果期間重

19、要成果等級(jí)保護(hù)工作取得重要進(jìn)展 信息安全風(fēng)險(xiǎn)評(píng)估工作更加深入制定了大量信息安全標(biāo)準(zhǔn)規(guī)范建設(shè)了一批信息安全基礎(chǔ)設(shè)施加強(qiáng)了互聯(lián)網(wǎng)信息內(nèi)容安全管理55新時(shí)期新階段（2013年至今）2013年至今，中央進(jìn)一步推動(dòng)信息安全發(fā)展2013年，中國(guó)共產(chǎn)黨十八屆三中全會(huì)的決定要堅(jiān)持積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，加大依法管理網(wǎng)絡(luò)力度，完善互聯(lián)網(wǎng)管理領(lǐng)導(dǎo)體制2014年2月，成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會(huì)及軍事等各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問(wèn)題推動(dòng)國(guó)家網(wǎng)絡(luò)安全和信息化各方面建設(shè),增強(qiáng)我國(guó)信息安全保障能力56工作目標(biāo)我國(guó)信息安全保障工作應(yīng)當(dāng)在“積極防御、綜合防范”的

20、方針指導(dǎo)下，全面提高信息安全防護(hù)能力，并重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，達(dá)到保障和促進(jìn)信息化發(fā)展，為企業(yè)和公眾合法利益構(gòu)建安全可信的網(wǎng)絡(luò)信息傳播秩序和保護(hù)互聯(lián)網(wǎng)知識(shí)產(chǎn)權(quán)的工作目標(biāo)。要求立足國(guó)情，以我為主堅(jiān)持管理與技術(shù)并重正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系國(guó)家信息安全保障工作目標(biāo)5757我國(guó)信息安全保障工作的主要內(nèi)容 建立健全國(guó)家信息安全組織與管理體制機(jī)制，加強(qiáng)信息安全工作的組織保障 建立健全信息安全法律法規(guī)體系，推進(jìn)信息安全法制建設(shè) 建立完善信息安全標(biāo)準(zhǔn)體系，加強(qiáng)信息安全標(biāo)準(zhǔn)化工作 加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信

21、息安全產(chǎn)業(yè)發(fā)展 建設(shè)信息安全基礎(chǔ)設(shè)施，提供國(guó)家信息安全保障能力支撐 建立信息安全人才培養(yǎng)體系，加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng) 58信息安全保障工作實(shí)踐成果我國(guó)信息安全保障實(shí)踐成果信息安全標(biāo)準(zhǔn)化應(yīng)急處理與信息通報(bào)等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估災(zāi)難恢復(fù)人才培養(yǎng)59重要實(shí)踐成果標(biāo)準(zhǔn)化工作信息安全標(biāo)準(zhǔn)化2002年4月，成立“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)”簡(jiǎn)稱(chēng)“全國(guó)信安標(biāo)委”，代號(hào)為T(mén)C260制定了多項(xiàng)信息安全標(biāo)準(zhǔn)自2004年1月起，各有關(guān)部門(mén)在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)全國(guó)信安標(biāo)委提出工作意見(jiàn)，協(xié)調(diào)一致后由全國(guó)信安標(biāo)委組織申報(bào)。60重要實(shí)踐成果應(yīng)急處理和通報(bào)工作應(yīng)急處理與信息通報(bào)2002年9月，

22、成立“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心”，簡(jiǎn)稱(chēng)“國(guó)家互聯(lián)網(wǎng)應(yīng)急中心”，英文簡(jiǎn)稱(chēng)是CNCERT或CNCERT/CC2003年，“國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組”2004年，“國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心”61重要實(shí)踐成果等級(jí)保護(hù)等級(jí)保護(hù)1994年，國(guó)務(wù)院147號(hào)令中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例2004年，發(fā)布關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200466號(hào)）全面啟動(dòng)等級(jí)保護(hù)的實(shí)施工作發(fā)布了多項(xiàng)等級(jí)保護(hù)有關(guān)政策和標(biāo)準(zhǔn)62重要實(shí)踐成果風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估2003年，國(guó)務(wù)院信息辦啟動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估的調(diào)研、試點(diǎn)和標(biāo)準(zhǔn)編寫(xiě)等工作2006年1月，發(fā)布關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn) （國(guó)

23、信辦20065號(hào)）組織風(fēng)險(xiǎn)評(píng)估專(zhuān)控隊(duì)伍對(duì)全國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)進(jìn)行檢查63重要實(shí)踐成果災(zāi)難恢復(fù)災(zāi)難恢復(fù)隨著數(shù)據(jù)大集中的發(fā)展，國(guó)家對(duì)災(zāi)難恢復(fù)工作高度重視，越來(lái)越多的單位和部門(mén)認(rèn)識(shí)到災(zāi)難恢復(fù)的重要性和必要性2002年4月，銀監(jiān)會(huì)頒布了商業(yè)銀行內(nèi)部控制指引，其中第八章計(jì)算機(jī)信息系統(tǒng)的內(nèi)部控制規(guī)定，商業(yè)銀行應(yīng)當(dāng)建立計(jì)算機(jī)安全應(yīng)急系統(tǒng)2004年9月，印發(fā)關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知（信安通200411號(hào)2005年4月，下發(fā)重要信息系統(tǒng)災(zāi)難恢復(fù)指南64重要實(shí)踐成果人才培養(yǎng)人才培養(yǎng)2001年，武漢大學(xué)，信息安全本科專(zhuān)業(yè)2005年，教育部發(fā)文加強(qiáng)信息安全學(xué)科體系建設(shè)目前，我國(guó)信息安全專(zhuān)業(yè)教育

24、已基本形成了從專(zhuān)科、本科、碩士、博士到博士后的正規(guī)高等教育人才培養(yǎng)體系除正規(guī)大學(xué)教育外，我國(guó)信息安全非學(xué)歷教育已基本形成了以各種認(rèn)證為核心，輔以職業(yè)技能培訓(xùn)的信息安全人才培訓(xùn)體系2002年，CISP2005年，CISM65知識(shí)體：信息安全法規(guī)政策標(biāo)準(zhǔn)知識(shí)域：重點(diǎn)信息安全法律法規(guī)解讀了解我國(guó)信息安全法律體系情況理解中華人民共和國(guó)保守國(guó)家秘密法中主要條款了解中華人民共和國(guó)刑法、中華人民共和國(guó)電子簽名法關(guān)于信息安全的重要條款66我國(guó)法律法規(guī)體系多級(jí)立法的法律體系法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門(mén)規(guī)章共同構(gòu)成了以中華人民共和國(guó)憲法為基礎(chǔ)的統(tǒng)一的法律體系67我國(guó)信息安全法律體系68保守國(guó)家秘密法（保

25、密法 1）演進(jìn)保守國(guó)家秘密暫行條例（1951年）保守國(guó)家秘密法（1989年）保守國(guó)家秘密法（2010年修訂，4月29日修訂，10月1日施行）主旨（總則）目的：保守國(guó)家秘密，維護(hù)國(guó)家安全和利益國(guó)家秘密是關(guān)系國(guó)家安全和利益，依照法定程序確定，在一定時(shí)間內(nèi)只限一定范圍的人員知悉的事項(xiàng)國(guó)家秘密受法律保護(hù)。一切國(guó)家機(jī)關(guān)、武裝力量、政黨、社會(huì)團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國(guó)家秘密的義務(wù)國(guó)家保密行政管理部門(mén)主管全國(guó)的保密工作國(guó)家機(jī)關(guān)和涉及國(guó)家秘密的單位（以下簡(jiǎn)稱(chēng)機(jī)關(guān)、單位）管理本機(jī)關(guān)和本單位的保密工作保密工作責(zé)任制：健全保密管理制度，完善保密防護(hù)措施，開(kāi)展保密宣傳教育，加強(qiáng)保密檢查法律6969保守國(guó)家秘密

26、法（保密法 2）國(guó)家秘密的范圍國(guó)家事務(wù)、國(guó)防武裝、外交外事、政黨秘密?chē)?guó)民經(jīng)濟(jì)和社會(huì)發(fā)展、科學(xué)技術(shù)維護(hù)國(guó)家安全的活動(dòng)、經(jīng)保密主管部門(mén)確定的事項(xiàng)等國(guó)家秘密的密級(jí)絕密-是最重要的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受特別嚴(yán)重的損害；保密期限不超過(guò)30年機(jī)密-是重要的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受?chē)?yán)重的損害；保密期限不超過(guò)20年秘密-是一般的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受損害；保密期限不超過(guò)10年國(guó)家秘密的其他基本屬性定密權(quán)限（定密責(zé)任人）、保密期限、解密條件、知悉范圍國(guó)家秘密載體、國(guó)家秘密標(biāo)志法律7070保守國(guó)家秘密法（保密法 3）保密制度對(duì)國(guó)家秘密載體的行為要求對(duì)屬于國(guó)家秘密的設(shè)備、產(chǎn)品

27、的行為要求對(duì)存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)的要求-分級(jí)保護(hù)對(duì)組織和個(gè)人的行為要求（涉密信息系統(tǒng)管理、國(guó)家秘密載體管理、公開(kāi)發(fā)布信息、各類(lèi)涉密采購(gòu)、涉密人員分類(lèi)管理、保密教育培訓(xùn)、保密協(xié)議等）對(duì)公共信息網(wǎng)絡(luò)及其他傳媒的行為要求對(duì)互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商、服務(wù)商的行為要求監(jiān)督管理國(guó)家保密行政管理部門(mén)依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國(guó)家保密標(biāo)準(zhǔn)組織開(kāi)展保密宣傳教育、保密檢查、保密技術(shù)防護(hù)和泄密案件查處工作，對(duì)機(jī)關(guān)、單位的保密工作進(jìn)行指導(dǎo)和監(jiān)督法律7171刑法中的有關(guān)規(guī)定（1）刑法 第六章 妨礙社會(huì)管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條285條：非法侵入計(jì)算機(jī)

28、信息系統(tǒng)罪；非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪；提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金提供專(zhuān)門(mén)用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、

29、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰法律7272刑法中的有關(guān)規(guī)定（2）刑法 第六章 妨礙社會(huì)管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條286條：破壞計(jì)算機(jī)信息系統(tǒng)罪違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款的規(guī)定處罰287條：利用計(jì)算機(jī)實(shí)施犯罪的

30、提示性規(guī)定利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰73法律73中華人民共和國(guó)電子簽名法意義2005年4月1日正式施行的中華人民共和國(guó)電子簽名法，被稱(chēng)為“中國(guó)首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫(xiě)簽名和蓋章具有同等的法律效力適用范圍民事活動(dòng)中的合同或者其他文件、單證等文書(shū)不適用范圍（國(guó)際慣例）：涉及證明人身關(guān)系的、涉及不動(dòng)產(chǎn)權(quán)益轉(zhuǎn)讓的、涉及停止公共事業(yè)服務(wù)的、法律法規(guī)所規(guī)定的不適用電子文書(shū)的其他情形法律74全國(guó)人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定背景互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對(duì)于加快我國(guó)國(guó)民經(jīng)濟(jì)、科學(xué)技術(shù)的發(fā)展和社會(huì)服務(wù)信息化進(jìn)程具有重

31、要作用。如何保障互聯(lián)網(wǎng)的運(yùn)行安全和信息安全問(wèn)題已經(jīng)引起全社會(huì)的普遍關(guān)注互聯(lián)網(wǎng)安全的范疇（法律約束力）互聯(lián)網(wǎng)的運(yùn)行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等）國(guó)家安全和社會(huì)穩(wěn)定（有害信息、竊取/泄露國(guó)家秘密、煽動(dòng)、非法組織等）市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)管理秩序（銷(xiāo)售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽(yù)、侵犯知識(shí)產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等）個(gè)人、法人和其他組織的人身、財(cái)產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）法律責(zé)任構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責(zé)任構(gòu)成民事侵權(quán)的，依法承擔(dān)民事責(zé)任尚不構(gòu)成犯罪的：治安管理處罰 / 行政處罰 / 行政處分或

32、紀(jì)律處分 75法律75知識(shí)體：信息安全法規(guī)政策標(biāo)準(zhǔn)知識(shí)域：重點(diǎn)信息安全政策解讀理解國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)的重要性和有關(guān)內(nèi)容了解中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例的有關(guān)內(nèi)容了解國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)的有關(guān)內(nèi)容76國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)）意義標(biāo)志著我國(guó)信息安全保障工作有了總體綱領(lǐng)提出要在5年內(nèi)建設(shè)中國(guó)信息安全保障體系總體要求堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家

33、安全信息安全與國(guó)家安全27號(hào)文：信息安全已成為國(guó)家安全的重要組成部分十六屆四中全會(huì)：確保國(guó)家的政治安全、經(jīng)濟(jì)安全、文化安全和信息安全77中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國(guó)務(wù)院147號(hào)令）國(guó)務(wù)院147號(hào)令1994年2月，國(guó)務(wù)院發(fā)布是我國(guó)在信息系統(tǒng)安全保護(hù)方面最早制定的一部政策性法規(guī)，也是我國(guó)信息系統(tǒng)安全保護(hù)最基本的一部法規(guī)規(guī)定了安全等級(jí)保護(hù)制度國(guó)際互聯(lián)網(wǎng)備案制度信息系統(tǒng)安全產(chǎn)品銷(xiāo)售許可證制度78關(guān)于加強(qiáng)政府信息安全和保密管理工作的通知（國(guó)辦發(fā)200817號(hào)）加強(qiáng)組織領(lǐng)導(dǎo)，明確安全責(zé)任重視信息安全和保密工作，明確主管領(lǐng)導(dǎo)誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)強(qiáng)化教育培訓(xùn)，提高安全意識(shí)和

34、防護(hù)技能組織信息安全和保密基本技能培訓(xùn)深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定完善安全措施和手段管理制度+技術(shù)手段做好信息安全檢查工作，依法追究責(zé)任詳見(jiàn)政府信息系統(tǒng)安全檢查辦法79國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)（國(guó)發(fā)201223號(hào)）重要意義調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，轉(zhuǎn)變發(fā)展方式，保障和改善民生健全信息安全保障體系，切實(shí)增強(qiáng)信息安全保障能力，維護(hù)國(guó)家信息安全主要目標(biāo)重點(diǎn)領(lǐng)域信息化水平明顯提高下一代信息基礎(chǔ)設(shè)施初步建成國(guó)家信息安全保障體系基本形成重要信息系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)能力明顯增強(qiáng)信息化裝備的安全可控水平明顯提高信息安全等級(jí)保護(hù)等基礎(chǔ)性工作明顯加強(qiáng)80國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)（國(guó)發(fā)201223號(hào)）保障重點(diǎn)領(lǐng)域信息安全確保重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)安全加強(qiáng)政府和涉密信息系統(tǒng)安全管理保障工業(yè)控