我國信息安全法律法規(guī)及電力行業(yè)制度要求課件

學習時長：80分鐘制作時間：2015/05/19我國信息安全法律法規(guī)及電力行業(yè)制度要求中國南方電網有限責任公司學習時長：80分鐘我國信息安全法律法規(guī)及電力行業(yè)制度要求中國1國家信息安全法治總體情況合規(guī)概述信息安全法規(guī)與政策課程內容目錄中國南方電網有限責任公司2354信息安全標準55電力行業(yè)信息安全推進情況1國家信息安全法治總體情況合規(guī)概述信息安全法規(guī)與政策課程內容1國家信息安全法治總體情況我國信息安全法律法規(guī)及電力行業(yè)制度要求1.1我國信息安全法律法規(guī)體系框架1.2我國信息安全法治建設進程1.3國家信息安全保障體系1國家信息安全法治總體情況我國信息安全法律法規(guī)及電力行業(yè)國家信息安全法治總體情況中國南方電網有限責任公司1.1我國信息安全法律法規(guī)體系框架法律法規(guī)地方人民政府地方人大及常委會國務院全國人大及其常委會法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章計算機信息系統安全保護條例互聯網信息服務管理辦法商用密碼管理條例中辦27號文公安部（等級保護相關規(guī)定）發(fā)改委（）國新辦（互聯網新聞信息服務）保密局（保密等）...國務院各部委憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法...國家信息安全法治總體情況中國南方電網有限責任公司1.1我中國南方電網有限責任公司1.2我國信息安全法治建設進程國家信息安全法治總體情況通訊保密安全保守國家秘密法（1989）（2010年修訂）中央關于加強密碼工作的決定計算機信息系統安全保護條例（草案）-86計算機系統安全計算機信息系統

安全保護條例（1994）計算機信息系統安全專用產品檢測和銷售許可證管理辦法-97計算機信息網絡國際聯網安全保護管理辦法-97計算機信息系統保密管理暫行規(guī)定-98商用密碼管理條例-99網絡信息系統安全關于維護互聯網安全的決定（2000）互聯網信息服務管理辦法計算機病毒防治管理辦法計算機信息系統國際聯網保密管理規(guī)定全面信息安全保障《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號2005年9月國信辦文件《關于轉發(fā)《電子政務信息安全等級保護實施指南》的通知》國信辦[2004]25號2006年1月四部委會簽《關于印發(fā)《信息安全等級保護管理辦法的通知》公通字[2006]7號2005年公安部標準《基本要求》《定級指南》《實施指南》《測評準則》2004年11月四部委會簽《關于信息安全等級保護工作的實施意見》公通字[2004]66號國家級技術標準國家級政策文件2007年8月電監(jiān)會簽發(fā)《關于開展電力行業(yè)信息系統安全等級保護定級工作的通知》（電監(jiān)信息[2007]34號）行業(yè)級政策文件中國南方電網有限責任公司1.2我國信息安全法治建設進程國1.3國家信息安全保障體系國家信息安全法治總體情況信息安全技術與產業(yè)支撐平臺信息安全基礎設施信息安全法律法規(guī)與政策環(huán)境信息安全人才培訓教育體系信息安全組織機構及管理體系信息安全標準與規(guī)范1.3國家信息安全保障體系國家信息安全法治總體情況信息安1.3國家信息安全保障體系-信息安全法治建設的意義信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)明確信息安全的基本原則和基本制度、信息安全保障體系的建設、信息安全相關行為的規(guī)范、信息安全中各方權利義務明確違反信息安全的行為，并對其行為進行相應的處罰等信息安全不再只是個技術問題，而更多地是個商業(yè)和法律問題---安全漏洞、信息犯罪的本質？信息安全產業(yè)的逐漸形成和成熟，需要必要的規(guī)范保護國家信息主權和社會公共利益是信息安全立法的首要目標狹義的信息安全

廣義的信息安全國家信息安全法治總體情況1.3國家信息安全保障體系-信息安全法治建設的意義信息安1.3國家信息安全保障體系---我國信息安全法治建設的初步成效、展望初步成效法律法規(guī)體系初步構建，但體系化與有效性等方面仍有待進一步完善;與信息安全相關的司法和行政管理體系迅速完善;法律少而規(guī)章等偏多，缺乏信息安全的基本法;法律法規(guī)的內容篇幅偏小，行為規(guī)范較簡單展望需要一部信息安全的基本法《國家信息安全法》（或先出臺《信息安全條例》）;信息安全的基本原則與基本制度;信息安全的主要核心內容;進一步完善各領域的信息安全專門法;信息安全的監(jiān)管模式和認證體系（面向信息安全各類主體和客體）;信息安全常態(tài)管理（等級保護制度等）;信息安全應急管理（預警、監(jiān)測、通報和應急處理等）;網絡與信息系統全生命周期的信息安全;特定領域的信息安全國家信息安全法治總體情況1.3國家信息安全保障體系---我國信息安全法治建設的初2合規(guī)概述我國信息安全法律法規(guī)及電力行業(yè)制度要求2.1什么是合規(guī)2.2合規(guī)與遵守法律的區(qū)別2.3相關法規(guī)分析2合規(guī)概述我國信息安全法律法規(guī)及電力行業(yè)制度要求2.1合規(guī)概述2.1什么是合規(guī)---定義及目標合規(guī)簡而言之就是要符合法律、法規(guī)、政策及相關規(guī)則、標準的約定。在信息安全領域內，等級保護、計算機安全產品銷售許可、密碼管理等，是典型的合規(guī)性要求。合規(guī)管理的目標是為了滿足監(jiān)管要求,避免在企業(yè)自身發(fā)展過程中因與法律、規(guī)則和準則不一致而可能遭受法律制裁、監(jiān)管機構處罰以及財務與聲譽的損失,實現穩(wěn)健經營。合規(guī)概述2.1什么是合規(guī)---定義及目標合規(guī)簡而言之就是合規(guī)概述2.1什么是合規(guī)---法律與法規(guī)的區(qū)別制定主體不同法律的制定者是全國人大；法規(guī)可以是多個主體。效力和影響力不同法律的效力和影響力遠大于法規(guī)。適用范圍不同法律一般是全國通用；法規(guī)分全國范圍或某一單位區(qū)域適用。承擔的責任不同違反法律須承擔相應的刑事、民事責任。合規(guī)概述2.1什么是合規(guī)---法律與法規(guī)的區(qū)別制定主體不同合規(guī)概述2.2合規(guī)與遵守法律的區(qū)別法律合規(guī)法律是國家意志的統一體現，有嚴密的邏輯體系，有不同的位階和效力合規(guī)是遵守法律、監(jiān)管規(guī)定、國際慣例和事物標準，不同時期不同的要求法律都可以文字形式表現出來合規(guī)以判別、評估、咨詢、監(jiān)控并報告體現違法犯罪的后果有明確規(guī)定，是一種“硬約束”不合規(guī)行為的后果，即包含“軟約束”又包含“硬約束”。合規(guī)是遵循法律法規(guī)、監(jiān)管要求、規(guī)則、自律性組織制定的有關準則、整理融合后適用于企業(yè)自身業(yè)務活動的行為準則。合規(guī)概述2.2合規(guī)與遵守法律的區(qū)別法律合規(guī)法律是國家意志合規(guī)概述2.3相關法規(guī)分析Cobit5國外標準國內標準行業(yè)要求內部制度合規(guī)庫ITILISO27001指標評價實施GBT22239等級保護基本要求.GBT284489等級保護測評要求ISO27001信息安全管理體系要求能源局電力行業(yè)信息安全檢查方案中央企業(yè)商業(yè)秘密信息系統安全技術指引電力行業(yè)等級保護基本要求中央企業(yè)信息化水平評價指標體系信息系統應用開發(fā)安全技術規(guī)范信息安全工作執(zhí)行標準要求IT主流設備安全基線體系要求檢查落實合規(guī)概述2.3相關法規(guī)分析Cobit5國外標準國內標準3信息安全法規(guī)與政策我國信息安全法律法規(guī)及電力行業(yè)制度要求3.1信息安全法規(guī)3.2信息安全政策3信息安全法規(guī)與政策我國信息安全法律法規(guī)及電力行業(yè)制度要信息安全法規(guī)與政策3.1信息安全相關法規(guī)信息安全相關國家法律了解《中華人民共和國憲法》有關信息安全的內容了解《中華人民共和國刑法》有關信息安全犯罪的規(guī)定了解《中華人民共和國治安管理處罰法》有關信息安全的內容掌握《中華人民共和國保守國家秘密法》的主要內容掌握《全國人民代表大會常務委員會關于維護互聯網安全的決定》的內容理解《中華人民共和國電子簽名法》的意義和作用了解《中華人民共和國侵權責任法》有關信息安全的內容信息安全法規(guī)與政策3.1信息安全相關法規(guī)信息安全相關國家信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關國家法律公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規(guī)定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密?！稇椃ā返诙鹿竦幕緳嗬土x務第40條《憲法》中的有關規(guī)定法律信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關國家法律285條：非法侵入計算機信息系統罪；非法獲取計算機信息系統數據、非法控制計算機信息系統罪；提供侵入、非法控制計算機信息系統程序、工具罪。286條：破壞計算機信息系統罪。287條：利用計算機實施犯罪的提示性規(guī)定。253條：出售、非法提供公民個人信息罪；非法獲取公民個人信息罪《刑法》第六章妨礙社會管理秩序罪第一節(jié)擾亂公共秩序罪第285、286、287條《刑法》中的有關規(guī)定（1）法律《刑法》第四章侵犯公民人身權利、民主權利罪第253條信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關國家法律有下列行為之一的，處以治安管理處罰：（一）違反國家規(guī)定，侵入計算機信息系統，造成危害的；（二）違反國家規(guī)定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行的；（三）違反國家規(guī)定，對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的；（四）故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統正常運行的。《治安管理處罰法》其他規(guī)定（與非法信息傳等播相關）：第42、47、68條《治安管理處罰法》第三章違反治安管理的行為和處罰第一節(jié)擾亂公共秩序的行為和處罰第29條《治安管理處罰法》中的有關規(guī)定法律信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關國家法律主旨（總則）目的：保守國家秘密，維護國家安全和利益。國家秘密是關系國家安全和利益，依照法定程序確定，在一定時間內只限一定范圍的人員知悉的事項。國家秘密受法律保護。一切單位和公民都有保守國家秘密的義務。國家保密行政管理部門主管全國的保密工作。保密工作責任制：健全保密管理制度，完善保密防護措施，開展保密宣傳教育，加強保密檢查。國家秘密的范圍：國家事務、國防武裝、外交外事、政黨秘密；國民經濟和社會發(fā)展、科學技術；維護國家安全的活動、經保密主管部門確定的事項等國家秘密的密級絕密---最重要的國家秘密，保密期限不超過30年；機密---重要的國家秘密，保密期限不超過20年；秘密---一般的國家秘密，保密期限不超過10年。《保守國家秘密法》（保密法）（1）法律信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關國家法律法律責任（第48條人員處分及追究刑責）（一）非法獲取、持有國家秘密載體的；（二）買賣、轉送或者私自銷毀國家秘密載體的；（三）通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的；（四）郵寄、托運國家秘密載體出境，或者未經有關主管部門批準，攜帶、傳遞國家秘密載體出境的；（五）非法復制、記錄、存儲國家秘密的；（六）在私人交往和通信中涉及國家秘密的；（七）在互聯網及其他公共信息網絡或者未采取保密措施的有線和無線通信中傳遞國家秘密的；（八）將涉密計算機、涉密存儲設備接入互聯網及其他公共信息網絡的；（九）在未采取防護措施的情況下，在涉密信息系統與互聯網及其他公共信息網絡之間進行信息交換的；（十）使用非涉密計算機、非涉密存儲設備存儲、處理國家秘密信息的；（十一）擅自卸載、修改涉密信息系統的安全技術程序、管理程序的；（十二）將未經安全技術處理的退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或者改作其他用途的。有前款行為尚不構成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機關、單位予以處理。《保守國家秘密法》（保密法）（2）法律信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關國家法律《全國人大關于維護互聯網安全的決定》背景法律約束力法律責任互聯網日益廣泛的應用，對于加快我國國民經濟、科學技術的發(fā)展和社會服務信息化進程具有重要作用。如何保障互聯網的運行安全和信息安全問題已經引起全社會的普遍關注?；ヂ摼W的運行安全（侵入、破壞性程序、攻擊、中斷服務等）國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等）市場經濟秩序和社會管理秩序（銷售偽劣產品/虛假宣傳、損害商業(yè)信譽、侵犯知識產權、擾亂金融秩序、淫穢內容服務等）個人、法人和其他組織的人身、財產等合法權利（侮辱或誹謗他人、非法處理他人信息數據/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）構成犯罪的，依照刑法有關規(guī)定追究刑事責任構成民事侵權的，依法承擔民事責任尚不構成犯罪的：治安管理處罰/行政處罰/行政處分或紀律處分法律信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關國家法律《電子簽名法》意義目的適用范圍2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統手寫簽名和蓋章具有同等的法律效力。為了規(guī)范電子簽名行為，確立電子簽名的法律效力，維護有關各方的合法權益，制定本法。民事活動中的合同或者其他文件、單證等文書。電子簽名和數據電文不適用的文書（國際慣例）：涉及證明人身關系的、涉及不動產權益轉讓的、涉及停止公共事業(yè)服務的、法律法規(guī)所規(guī)定的不適用電子文書的其他情形。法律信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關國家法律《侵權責任法》目的適用范圍關于責任主體的特殊規(guī)定為保護民事主體的合法權益，明確侵權責任，預防并制裁侵權行為，促進社會和諧穩(wěn)定，制定本法。侵害民事權益，應當依照本法承擔侵權責任。（本法所稱民事權益，包括生命權、健康權、姓名權、名譽權、榮譽權、肖像權、隱私權、婚姻自主權、監(jiān)護權、所有權、用益物權、擔保物權、著作權、專利權、商標專用權、發(fā)現權、股權、繼承權等人身、財產權益。）第36條網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任。網絡用戶利用網絡服務實施侵權行為的，被侵權人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。網絡服務提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任。網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任。法律信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)信息安全相關行政法規(guī)和部門規(guī)章了解信息安全相關行政法規(guī)，掌握涉及信息安全的相關內容了解信息安全相關部門規(guī)章，掌握涉及信息安全的相關內容信息安全法規(guī)與政策3.1信息安全相關法規(guī)信息安全相關行政信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關行政法規(guī)和部門規(guī)章行政法規(guī)《計算機信息系統安全保護條例》計算機信息系統安全保護主管部門保障計算機及其相關的和配套的設備、設施(含網絡)的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統的安全運行。公安部主管全國計算機信息系統安全保護工作（含安全監(jiān)督職權）。國家安全部、國家保密局和國務院其他有關部門，在國務院規(guī)定的職責范圍內做好計算機信息系統安全保護的有關工作。保護制度計算機信息系統實行安全等級保護。使用單位應當建立健全安全管理制度。安全專用產品（硬件、軟件）的銷售實行許可證制度。是指由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關行政法規(guī)和部門規(guī)章行政法規(guī)《商用密碼管理條例》商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。商用密碼技術屬于國家秘密。

主管部門國家密碼管理委員會及其辦公室主管全國的商用密碼管理工作。國家對商用密碼產品的科研、生產、銷售和使用實行?？毓芾怼９芾硪c商密產品由國家密碼管理機構分別指定單位進行科研、生產和檢測；商密產品銷售單位應有國家密碼管理機構頒發(fā)的《商用密碼產品銷售許可證》；必須如實登記備案直接使用商用密碼產品的用戶信息和產品用途；不得使用自行研制的或者境外生產的密碼產品；不得轉讓其使用的商用密碼產品（含故障維修、報廢銷毀）。信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關行政法規(guī)和部門規(guī)章《計算機信息系統保密管理暫行規(guī)定》適用范圍適用于采集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統。主管部門國家保密局主管全國計算機信息系統的保密工作。管理要點涉密系統---保密設施、保密措施、訪問控制、數據保護等涉密信息---密級標識、物理隔離等涉密媒體---各類計算機媒體（含打印輸出等）涉密場所---控制區(qū)、防電磁信息泄漏、其他物理安全等系統管理---領導負責制、管理制度、保密檢查、人員培訓和考核等。部門規(guī)章信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相關行政法規(guī)和部門規(guī)章國家電子政務工程建設項目管理暫行辦法驗收評價項目建設單位應在完成項目建設任務后的半年內,組織完成建設項目的信息安全風險評估和初步驗收工作。運行管理項目建設單位或其委托的專業(yè)機構應按照風險評估的相關規(guī)定,對建成項目進行信息安全風險評估,檢驗其網絡和信息系統對安全環(huán)境變化的適應性及安全措施的有效性,保障信息安全目標的實現。設計方案在“項建和可研”的項目建設方案中應包含“安全系統建設方案”在“初設”的項目設計方案中應包含“安全系統設計”部門規(guī)章信息安全法規(guī)與政策3.1信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.1信息安全相關法規(guī)國外信息安全相關法規(guī)簡介國外信息安全法律法規(guī)簡介（以美國為例）《信息自由法》（FreedomofInformationActof1966，FOIA）《愛國者法》（USAPatriotofActof2001）《聯邦信息安全管理法案》（FederalInformationSecurityManagementActof2002，FISMA）屬于《電子政務法》（theE-GovernmentActof2002）的第三部分《公眾公司會計改革與投資者保護法》，又名《薩班斯-奧克斯利法》（Sarbanes-OxleyActof2002）信息安全法規(guī)與政策3.1信息安全相關法規(guī)國外信息安全相關信息安全法規(guī)與政策3.1信息安全相關法規(guī)---國外信息安全相關法規(guī)簡介以美國為例《信息自由法》《愛國者法》《聯邦信息安全管理法案》美國對政府信息進行立法保護的首要原則是向公眾公開原則（也叫信息公開原則），是構成其他信息安全保護法律的基礎該法案主要是保障公民的個人自由，但也需要保障國家的安全，因此，該法利用“例外”的立法方式，將需要保護的信息加以列舉是“9.11”事件以后美國為保障國家安全頒布的最為重要的一部法律，也是目前爭議最大的一部法律。從法律上授予美國國內執(zhí)法機構和國際情報機構非常廣泛的權力和相應的設施以防止、偵破和打擊恐怖主義活動，使美國人民能夠生活在安全的環(huán)境中。由于該法賦予聯邦政府的權力過大，引起美國國內民權人士的擔憂，并產生訴案。該法還對美國現有的十幾部法律做出了修改政府可以對國外銀行和對私人存戶達到100萬美元以上的賬戶進行盡職調查給出了“信息安全”的定義對國家信息安全管理職責的授權國家標準與技術局（NIST）為聯邦政府使用的系統制定安全標準與指南管理與預算辦公室（OMB）主任對安全政策、原則、標準、指南等的制定、執(zhí)行（包括遵守）情況進行監(jiān)督法律信息安全法規(guī)與政策3.1信息安全相關法規(guī)---國外信息安信息安全法規(guī)與政策3.2信息安全相關政策國家信息安全保障總體情況掌握國家有關政策對信息安全保障工作的總體方針和要求掌握國家有關政策規(guī)定的加強信息安全保障工作主要原則掌握國家有關政策規(guī)定需要重點加強的信息安全保障工作信息安全法規(guī)與政策3.2信息安全相關政策國家信息安全保障信息安全法規(guī)與政策3.1信息安全相關政策---國家信息安全保障總體情況我國信息安全政策的初步成效、后續(xù)展望初步成效后續(xù)展望依托2003年的27號文（總體綱領），明確了信息安全保障工作的總體要求、工作原則和重點工作內容圍繞信息安全保障體系，廣度結合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風險評估、等級保護、電子政務類、應急預案等）其他領域：災難備份、管理體系、監(jiān)控、應急、信任體系、產品和服務認證、人員培訓和認證等“十一五”期間發(fā)布的各項政策均將進入落實期由電子政務領域向其他領域拓展盡快形成“統一的”信息安全服務資質管理體制基于信息安全服務類的標準（政策帶動標準，標準支撐政策）統一安全服務行業(yè)的企業(yè)資質和人員資質由“狹義信息安全”向“廣義信息安全”延伸IT服務（外包）的信息安全保障新技術、新應用下的信息安全保障信息安全法規(guī)與政策3.1信息安全相關政策---國家信息安信息安全法規(guī)與政策3.2信息安全相關政策---國家信息安全保障總體情況《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）意義總體方針和要求主要原則標志著我國信息安全保障工作有了總體綱領提出要在5年內建設中國信息安全保障體系堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統安全，創(chuàng)建安全健康的網絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。立足國情，以我為主，堅持技術與管理并重；正確處理安全和發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全；統籌規(guī)劃，突出重點，強化基礎工作；明確國家、企業(yè)、個人的責任和義務，充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系。信息安全法規(guī)與政策3.2信息安全相關政策---國家信息安信息安全法規(guī)與政策3.2信息安全相關政策信息安全相關國家政策了解信息安全相關國家政策，掌握風險評估等涉及信息安全的相關內容掌握信息安全等級保護政策體系，熟悉信息安全等級保護相關政策信息安全法規(guī)與政策3.2信息安全相關政策信息安全相關國家信息安全法規(guī)與政策3.2信息安全相關政策---信息安全相關國家政策關于開展信息安全風險評估工作的意見（國信辦[2006]5號）信息安全風險評估（基于風險管理）基本工作要求相關保障應貫穿于網絡和信息系統建設運行的全過程（設計、驗收、運維）定期組織實施網絡與信息系統自評估，并積極配合有關部門的檢查評估參照標準:《信息安全風險評估規(guī)范》（GB/T20984-2007）、

《信息安全風險管理指南》（GB/Z24364-2009）服務資質對于涉及國計民生的基礎網絡和重要信息系統的風險評估技術服務，要由國家?？氐年犖閬沓袚到y分析網絡與信息系統所面臨的威脅及其存在的脆弱性評估安全事件一旦發(fā)生可能造成的危害程度提出有針對性的抵御威脅的防護對策和整改措施信息安全法規(guī)與政策3.2信息安全相關政策---信息安全相信息安全法規(guī)與政策3.2信息安全相關政策---信息安全相關國家政策關于加強政府信息系統安全和保密管理工作的通知（國辦發(fā)[2008]17號）明確職責強化人員培訓完善安全措施和手段組織信息安全和保密基本技能培訓，開展信息安全和保密形勢分析深入學習宣傳信息安全“五禁止”規(guī)定管理制度+技術手段加強信息安全檢查詳見《政府信息系統安全檢查辦法》把信息安全和保密工作列入重要議事日程，明確一名主管領導誰主管誰負責、誰運行誰負責、誰使用誰負責信息安全法規(guī)與政策3.2信息安全相關政策---信息安全相信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相關國家政策關于印發(fā)國家網絡與信息安全事件應急預案的通知（國辦函[2008]168號）背景2003年：國務院成立應急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應急條例》2006年：《國家突發(fā)公共事件總體應急預案》（4大類公共事件）

《國家網絡與信息安全事件應急預案》2007年：制定發(fā)布《國家突發(fā)事件應對法》

預案要點網絡與信息安全事件的分類分級參照標準：《信息安全事件分類分級指南》（GB/Z20986）應急流程：預防預警—應急處置—后期處置參照標準：《信息安全事件管理指南》（GB/Z20985）組織體系和應急保障；應急隊伍、經費、物資、通信、科技。。。監(jiān)督管理宣傳教育、培訓、演練、責任與獎懲信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.2信息安全相關政策---信息安全相關國家政策關于加強國家電子政務工程建設項目信息安全風險評估工作的通知（發(fā)改高技[2008]2071號）依據和目的風險評估的主要內容兩類信息系統的工作開展分析信息系統資產的重要程度，評估信息系統面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風險的影響等涉密信息系統參照“分級保護”，進行系統測評并履行審批手續(xù)非涉密信息系統參照“等級保護”，完成等級測評和風險評估工作，并形成相關報告相關要點對信息安全風險評估機構的指定（1家+3家）信息安全風險評估經費計入該項目總投資投入運行后，應定期開展信息安全風險評估）《國家電子政務工程建設項目管理暫行辦法》---國家發(fā)改委令[2007]第55號三部委聯合發(fā)文：發(fā)改委、公安部、保密局將“信息安全風險評估”作為項目驗收的重要內容（按要求提交一系列文檔）信息安全法規(guī)與政策3.2信息安全相關政策---信息安全相信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相關國家政策關于印發(fā)政府信息系統安全檢查辦法的通知（國辦發(fā)[2009]28號）依據《關于加強政府信息系統安全和保密管理工作的通知》（國辦發(fā)[2008]17號）檢查范圍和檢查重點各級政府及其部門對自行運行和維護管理以及委托其他機構進行和維護管理的辦公系統、業(yè)務系統、網站系統等，每半年要進行一次全面的安全檢查。國務院各部門和地方政府的辦公系統、重要業(yè)務系統、門戶網站以及重要新聞網站，要作為檢查重點。檢查方式各單位自查+統一組織抽查+安全檢測（按需）工信部負責協調、指導、監(jiān)督，公安/安全/保密/密碼等部門按職責分工《2009年度政府信息系統安全檢查指南》（工信部協[2009]168號）《2010年度政府信息系統安全檢查指南》（工信部協[2010]143號）信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相關國家政策工業(yè)控制系統信息安全事關工業(yè)生產運行、國家經濟安全和人民生命財產安全，為切實加強工業(yè)控制系統信息安全管理，經國務院同意，現就有關事項通知如下：充分認識加強工業(yè)控制系統信息安全管理的重要性和緊迫性明確重點領域工業(yè)控制系統信息安全管理要求建立工業(yè)控制系統安全測評檢查和漏洞發(fā)布制度進一步加強工業(yè)控制系統信息安全工作的組織領導關于加強工業(yè)控制系統信息安全管理的通知（工信部協[2011]451號）信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相關國家政策GB17859-1999《計算機信息系統安全保護等級劃分準則》第一級:用戶自主保護級；第二級:系統審計保護級；第三級:安全標記保護級；第四級:結構化保護級；第五級:訪問驗證保護級；等級保護《中華人民共和國計算機信息系統安全保護條例》（1994年國務院147號令）信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.2信息安全相關政策---信息安全相關國家政策（信息安全等級保護法規(guī)政策體系）信息安全法規(guī)與政策3.2信息安全相關政策---信息安全相信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相關國家政策關于印發(fā)<信息安全等級保護管理辦法>的通知（公字通[2007]43號）《通知》是政策，《管理辦法》屬于部門規(guī)章四部委聯合發(fā)文：公安部、保密局、密碼管理局、原國信辦國家信息安全等級保護堅持“自主定級、自主保護”的原則信息系統的安全保護等級分為五級實施與管理具體實施等級保護工作參照標準：《信息系統安全等級保護實施指南》確定安全保護等級參照標準：《信息系統安全等級保護定級指南》系統建設參照標準：《信息系統安全等級保護基本要求》等等級測評參照標準：《信息系統安全等級保護測評要求》二級以上系統的備案要求（由公安機關頒發(fā)備案證明）三級以上系統的定期自查、測評和檢查要求三級以上系統的信息安全產品選擇使用要求三級以上系統等級保護測評機構的選擇要求涉密信息系統按分級保護管理（略）對信息安全等級保護的密碼實行分類分級管理（略）信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相關國家政策關于信息安全等級保護工作的實施意見（公字通[2004]66號）信息和信息系統的安全保護等級（及其適用范圍）第一級為自主保護級第二級為指導保護級第三級為監(jiān)督保護級第四級為強制保護級第五級為?？乇Ｗo級定級依據根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度實施要求完善標準,分類指導（管理規(guī)范和技術標準）科學定級,嚴格備案（專家評審委員會。三級以上系統備案）建設整改,落實措施（信息系統：已有、新建、改建、擴建）自查自糾,落實要求（運營、使用單位及其主管部門）建立制度,加強管理（運營、使用單位及其主管部門）監(jiān)督檢查,完善保護（公安機關重點對第三、第四級系統）信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相信息安全法規(guī)與政策3.2信息安全相關政策國外信息安全相關政策簡介了解美國信息安全相關政策概況信息安全法規(guī)與政策3.2信息安全相關政策國外信息安全相關信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相關國家政策國外信息安全國家政策簡介（以美國為例）國外信息安全國家政策簡介（以美國為例）克林頓政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：《總統國家安全戰(zhàn)略報告》（首次將信息安全列入）布什政府911之后，成立本土安全部（國土安全部）、國家KIP委員會2002年：《國家保障數字空間安全策略》、《國家安全戰(zhàn)略報告》2003年：《網絡空間安全國家戰(zhàn)略計劃》奧巴馬政府上任之初：60天信息安全評估項目2009年：《美國網絡安全評估》2010年：網絡戰(zhàn)司令部正式運行信息安全法規(guī)與政策3.2信息安全相關法規(guī)---信息安全相4信息安全標準體系我國信息安全法律法規(guī)及電力行業(yè)制度要求4.1標準化概述4.2標準介紹4.3信息安全檢查評估4信息安全標準體系我國信息安全法律法規(guī)及電力行業(yè)制度要求信息安全法規(guī)與政策4.1標準化概述信息安全標準化概念了解標準和標準化的基本概念和作用信息安全法規(guī)與政策4.1標準化概述信息安全標準化概念了解信息安全法規(guī)與政策4.1標準化概述---信息安全標準化概念標準和標準化相關基本概念標準為了在一定范圍內獲得最佳秩序，經協商一致制定并由公認機構批準，共同使用的和重復使用的一種規(guī)范性文件。標準化（GB/T20000.1-2002）為了在一定范圍內獲得最佳秩序，對現實問題或潛在問題制定共同使用和重復使用的條款的活動。國際標準由國際標準化組織或國際標準組織通過并公開發(fā)布的標準國家標準由國家標準機構通過并公開發(fā)布的標準國際標準化組織（ISO）其成員資格向每個國家的有關國家機構開放的標準化組織國家標準機構在國家層面上承認的，有資格成為相應的國際和區(qū)域標準組織的國家成員的標準機構（中國國家標準化管理委員會）信息安全法規(guī)與政策4.1標準化概述---信息安全標準化概信息安全法規(guī)與政策4.1標準化概述---信息安全標準化概念標準化的特點、原則；標準的作用及代碼特點標準化的對象：共同的、可重復的事物標準化的動態(tài)性標準化的相對性標準化的效益原則簡化、統一、協調、優(yōu)化作用標準是進行貿易的基本條件標準能夠提高企業(yè)的經濟效益標準能夠提高國民經濟效益代碼GB強制性國家標準GB/T推薦性國家標準GB/Z國家標準化指導性技術文件標準能打破技術壁壘，標準也能成為新的技術壁壘信息安全法規(guī)與政策4.1標準化概述---信息安全標準化概信息安全法規(guī)與政策4.1標準化概述信息安全標準化組織了解國際信息安全標準化組織及其工作了解國外典型國家信息安全標準化組織及其工作熟悉我國信息安全標準化組織及其工作信息安全法規(guī)與政策4.1標準化概述信息安全標準化組織了解信息安全法規(guī)與政策4.1標準化概述---信息安全標準化組織國際信息安全標準化組織ISO/IECJTC1信息安全管理體系工作組密碼與安全機制工作組安全評估準則工作組安全控制與服務工作組身份管理與隱私技術工作組國際標準提案《ISMS審核指南》國際標準提案《三元實體鑒別》國際標準《信息安全事件管理》合作編輯國際標準提案《基于三元實體鑒別的訪問控制方法》信息安全法規(guī)與政策4.1標準化概述---信息安全標準化組信息安全法規(guī)與政策4.1標準化概述---信息安全標準化組織美國標準化組織ANSINCITS-T4制定IT安全技術標準X9制定金融業(yè)務標準X12制定商業(yè)交易標準(EDI)NIST負責聯邦政府非密敏感信息FIPSDOD負責涉密信息NSA國防部指令（DODDI）（如TCSEC）IEEESILSP1363信息安全法規(guī)與政策4.1標準化概述---信息安全標準化組信息安全法規(guī)與政策4.1標準化概述---信息安全標準化組織我國標準化組織1984年，成立數據加密技術分委員，后來改為信息技術安全分技術委員會2002年4月，為加強信息安全標準的協調工作，國家標準委決定成立全國信息安全標準化技術委員會（信安標委，TC260），由國家標準委直接領導，對口ISO/IECJTC1SC27；秘書處設在中國電子技術標準化研究所；委員會由30多個部門和單位的49名領導和專家組成目前共有工作組成員單位165家，其中企業(yè)120家TC260各部門的職責秘書處：是委員會的常設辦事機構，負責委員會的日常事務工作信息安全標準體系與協調工作組（WG1）：研究信息安全標準體系、需求；跟蹤國際標準發(fā)展動態(tài)；提出新工作項目及設立新工作組的建議；協調各工作組項目涉密信息系統安全保密標準工作組（WG2）：研究提出涉密信息系統安全保密標準體系；制定涉密保密相關標準密碼技術標準工作組（WG3）：研究提出商用密碼技術標準體系；制定商用密碼相關標準鑒別與授權工作組（WG4）：研究提出鑒別與授權標準體系；制定鑒別與授權相關標準信息安全評估工作組（WG5）：研究提出測評標準體系；制定測評相關標準通信安全標準工作組（WG6）：研究提出通信安全標準體系；制定通信安全相關標準信息安全管理工作組（WG7）：研究提出信息安全管理標準體系；制定信息安全管理相關標準信息安全法規(guī)與政策4.1標準化概述---信息安全標準化組信息安全法規(guī)與政策4.2標準介紹信息安全國家標準了解我國信息安全標準體系框架掌握信息安全等級保護標準體系，熟悉信息安全等級保護相關標準信息安全法規(guī)與政策4.2標準介紹信息安全國家標準了解我國信息安全法規(guī)與政策4.2標準介紹---信息安全標準體系框架信息安全標準體系信息安全標準體系是由信息安全領域內具有內在聯系的標準組成的科學有機整體，是編制信息安全標準制訂/修訂計劃的重要依據，是促進信息安全領域內的標準組成趨向科學化合理化的手段；是一幅現有、應有和預計制定的信息安全標準的藍圖，并隨著科學技術的發(fā)展不斷地完善和更新。我國信息安全標準體系，是在總結各工作組對本領域標準體系研究成果的基礎上形成的，是全國安全標準化技術委員會各工作組共同的工作成果。是在跟蹤分析了國際信息安全標準的發(fā)展動態(tài)和國內信息安全標準需求的基礎上，提出的標準體系框架和標準體系表。我國信息安全技術標準從總體上劃分為六大類，每類按照標準所涉及的主要內容細分若干小類。信息安全法規(guī)與政策4.2標準介紹---信息安全標準體系框信息安全法規(guī)與政策4.2標準介紹---信息安全等級保護標準體系等級保護標準體系（10大標準）基礎類《計算機信息系統安全保護等級劃分準則》GB17859-1999《信息系統安全等級保護實施指南》GB/T25058-2010應用類定級：《信息系統安全保護等級定級指南》GB/T22240-2008建設：《信息系統安全等級保護基本要求》GB/T22239-2008《信息系統通用安全技術要求》GB/T20271-2006《信息系統等級保護安全設計技術要求》GB/T25070-2010測評：《信息系統安全等級保護測評要求》GB/T28448-2012《信息系統安全等級保護測評過程指南》GB/T28449-2012管理：《信息系統安全管理要求》GB/T20269-2006《信息系統安全工程管理要求》GB/T20282-2006信息安全法規(guī)與政策4.2標準介紹---信息安全等級保護標信息安全法規(guī)與政策4.2標準介紹---信息安全等級保護標準體系等級保護標準體系（其他標準）技術類GB/T21052-2007信息安全技術信息系統物理安全技術要求GB/T20270-2006信息安全技術網絡基礎安全技術要求GB/T20272-2006信息安全技術操作系統安全技術要求GB/T20273-2006信息安全技術數據庫管理系統安全技術要求其他信息產品、信息安全產品相關標準...其他類GB/T20984-2007信息安全技術信息安全風險評估規(guī)范GB/Z24364-2009信息安全技術信息安全風險管理指南GB/T24363-2009信息安全技術信息安全應急響應計劃規(guī)范GB/Z20285-2007信息安全技術信息安全事件管理指南GB/Z20986-2007信息安全技術信息安全事件分類分級指南GB/T20988-2007信息安全技術信息系統災難恢復規(guī)范信息安全法規(guī)與政策4.2標準介紹---信息安全等級保護標信息安全法規(guī)與政策4.2標準介紹信息安全國外標準了解國際信息安全標準體系了解國外典型國家信息安全標準體系了解與自身工作密切相關的信息安全國際標準信息安全法規(guī)與政策4.2標準介紹信息安全國外標準了解國際信息安全標準體系4.2標準介紹---信息安全國外標準國際信息安全標準體系信息安全管理體系標準密碼技術與安全機制標準安全評價準則標準安全控制與服務標準身份管理與隱私保護技術標準詞匯標準要求標準指南標準相關標準為實現保密性、完整性和可用性而開發(fā)的各種安全機制標準安全評價標準安全功能和保證規(guī)范針對潛在/顯現信息安全問題的標準針對已知信息安全問題的標準針對信息安全違反和損害的標準身份管理相關標準生物識別相關標準隱私保護相關標準ISO27000ISO27001ISO27006ISO27002ISO27003ISO18033ISO19772...ISO15408ISO18045...ISO19790ISO24759...ISO27032ISO27033ISO27037ISO24760ISO29144ISO29100等級保護標準體系（其他標準）信息安全標準體系4.2標準介紹---信息安全國外標準國際信息安全標準體系4.2標準介紹---信息安全國外標準SecurityControlMonitoring安全控制措施監(jiān)視SecurityCategorization安全分類SecurityControlSelection安全控制措施選擇SecurityControlRefinement安全控制措施改進SecurityControlDocumentation安全控制措施文檔編制SecurityControlImplementation安全控制措施實施SecurityControlAssessment安全控制措施評估SecurityAuthorization安全授權

起始點風險管理SP800-37/SP800-53AFIPS199/SP800-60FIPS200/SP800-53SP800-53/SP800-30SP800-18SP800-70SP800-53ASP800-37國外典型國家信息安全標準體系框架---SP800信息安全標準體系4.2標準介紹---信息安全國外標準Se信息安全法規(guī)與政策4.2標準介紹---信息安全國外標準ISO27000標準族ISO27000標準族、SP800系列標準介紹參見《CISP0301信息安全管理體系》。ISO27001標準的詳細內容參見《CISP0301信息安全管理體系》。ISO27002標準的詳細內容參見《CISP0303信息安全管基本措施》、《CISP0304信息安全管重要管理過程》。信息安全法規(guī)與政策4.2標準介紹---信息安全國外標準I信息安全法規(guī)與政策4.3信息安全檢查評估安全技術評估標準發(fā)展歷史了解安全技術評估標準發(fā)展過程理解GB/T18336《信息技術安全性評估準則》（CC）的特點信息安全法規(guī)與政策4.3信息安全檢查評估安全技術評估標準信息安全法規(guī)與政策4.3信息安全檢查評估---安全標準的發(fā)展安全技術評估標準發(fā)展歷史ITSEC1991CC1.01996ISO154081999CC2.01998GB/T183362001CD1997GIB26461996GB178591999ISO154082005TCSEC1985FC1992CTCPEC1993GB/T183362008FCD1998信息安全法規(guī)與政策4.3信息安全檢查評估---安全標準的信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評測標準美國的安全評測標準(TCSEC)、歐洲的安全評測標準(ITSEC)美國的安全評測標準(TCSEC)1970年由美國國防科學委員會提出。1985年公布。主要軍用，延用至民用。安全級從高到低分A、B、C、D四級，級下再分小類(A1、B3、B2、B1、C2、C1、D)分級分類主要依據四個準則：安全策略、可控性、保證能力、文檔局限性集中考慮數據保密性，而忽略了數據完整性、系統可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過為嚴格，不便于實際開發(fā)和測評歐洲的安全評測標準(ITSEC)以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。功能分F1-F10共10級。1－5級對應于TCSEC的D到A。6－10級加上了以下概念：F6：數據和程序的完整性F7：系統可用性F8：數據通信完整性F9：數據通信保密性F10：包括機密性和完整性的網絡安全評估準則分為6級：E1～E6與TCSEC的不同安全被定義為保密性、完整性、可用性功能和質量/保證分開對產品和系統的評估都適用，提出評估對象（TOE）的概念產品：能夠被集成在不同系統中的軟件或硬件包；系統：具有一定用途、處于給定操作環(huán)境的特殊安全裝置信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評測標準加拿大的評測標準(CTCPEC)、美國聯邦準則(FC)加拿大的評測標準(CTCPEC)1989年公布，專為政府需求而設計與ITSEC類似，將安全分為功能性需求和保證性需要兩部分功能性要求分為四個大類：a機密性b完整性c可用性d可控性在每種安全需求下又分小類0－5級，表示安全性上的差別美國聯邦準則(FC)對TCSEC的升級1992年12月公布引入了“保護輪廓（PP）”這一重要概念每個輪廓都包括功能部分、開發(fā)保證部分和評測部分分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點供美國政府用，民用和商用信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評測標準通用準則（CC）國際標準化組織統一現有多種準則的努力結果；1999年正式成為國際標準ISO/IEC15408；充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分；CC基于風險管理理論，對安全模型、安全概念和安全功能進行了全面系統描繪，強化了評估保證；是目前最全面的評價準則。國際上認同的表達IT安全的體系結構，一組規(guī)則集一種評估方法，其評估結果國際互認通用的表達方式，便于理解靈活的架構，可以定義自己的要求擴展CC要求通用評估方法(CEM)是CC標準出版后，為了在評估中應用CC而提供的一種通用方法。是與CC配套的文檔。信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評信息安全法規(guī)與政策4.3信息安全檢查評估信息安全技術評估準則了解評估標準體系了解信息技術產品安全性評估的基本過程信息安全法規(guī)與政策4.3信息安全檢查評估信息安全技術評估信息安全法規(guī)與政策4.3信息安全檢查評估---信息安全技術評估準則GB/T18336（ISO15408）GB/T18336-2008《信息技術安全技術信息技術安全性評估準則》（idtISO/IEC15408:2005）GB/T18336.1-2008：簡介和一般模型GB/T18336.2-2008：安全功能要求GB/T18336.3-2008：安全保證要求目標讀者TOE（評估對象）的客戶TOE的開發(fā)者TOE的評估者其他系統管理員和系統安全管理員內部和外部審計員安全架構師和設計師認可者評估發(fā)起者評估管理機構ISO15408-1:2009ISO15408-2:2008ISO15408-3:2008信息安全法規(guī)與政策4.3信息安全檢查評估---信息安全技信息安全法規(guī)與政策4.3信息安全檢查評估---信息安全技術評估準則評估中的關鍵概念評估對象—TOE(TargetofEvaluation)：產品、系統、子系統保護輪廓—PP(ProtectionProfile)：表達一類產品或系統的用戶需求；組合安全功能要求和安全保證要求；安全標準(示例：《包過濾防火墻安全技術要求》（GB18019））安全目標—ST(SecurityTarget)：某一款產品對某一PP要求的具體實現；實用方案功能(Function)：規(guī)范IT產品和系統的安全行為，應做的事保證(Assurance)：對功能產生信心的方法組件(Component)：安全要求不能再分的構件塊包(Package)：若干功能或保證要求的組合評估保證級—EAL(EvaluationAssuranceLevel）：預定義的保證包；公認的廣泛適用的一組保證要求；EAL1～EAL7信息安全法規(guī)與政策4.3信息安全檢查評估---信息安全技信息安全標準體系4.3信息安全檢查評估---信息安全評估技術準則評估PPPP評估結果PP分類已評估

的PP評估STST評估結果評估TOETOE評估結果證書分類已評估的TOE評估流程信息安全標準體系4.3信息安全檢查評估---信息安全評估5電力行業(yè)信息安全推進情況我國信息安全法律法規(guī)及電力行業(yè)制度要求5.1“電監(jiān)信息〔2007〕34號”5.2“國能安全[2014]317號”5.3（發(fā)改委14號令）5電力行業(yè)信息安全推進情況我國信息安全法律法規(guī)及電力行業(yè)5.1關于開展電力行業(yè)信息系統安全等級保護定級工作的通知“電監(jiān)信息〔2007〕34號”電力行業(yè)信息安全推進情況必要性背景及目的為貫徹落實公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于印發(fā)<信息安全等級保護管理辦法>的通知》(公通字[2007]43號)和《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)要求，提高電力行業(yè)網絡和信息系統的信息安全保護能力和水平，定于2007年8月至10月在電力行業(yè)組織開展信息系統安全等級保護定級工作。2007年11月，國家電監(jiān)會下發(fā)了《電力行業(yè)信息系統安全等級保護定級工作指導意見》。實施具體步驟包括：（1）開展定級備案；（2）通過等級保護測評，發(fā)現與國家技術、管理要求的不符合項；（3）依據總體方案、等級保護不符合項，編制本單位等級保護實施方案；（4）根據等級保護實施方案開展建設，具體包括：安全域劃分、與實現，產品采購與部署，安全加固，應用改造，等級保護管理建設；（5）等級保護測評驗證建設效果。電力工業(yè)的特點決定了電力信息安全不僅具有一般計算機信息網絡信息安全的特征，而且還具有電力實時運行控制系統信息安全的特征。電力系統的信息安全是一項多領域、復雜的大型系統工程。5.1關于開展電力行業(yè)信息系統安全等級保護定級工作的通知5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況依據目標電力行業(yè)網絡與信息安全工作的目標是建立健全網絡與信息安全保障體系和工作責任體系，提高網絡與信息安全防護能力，保障網絡與信息安全，促進信息化工作健康發(fā)展。原則電力行業(yè)網絡與信息安全工作堅持“積極防御、綜合防范”的方針，遵循“統一領導、分級負責，統籌規(guī)劃、突出重點”的原則。為加強電力行業(yè)網絡與信息安全監(jiān)督管理，規(guī)范電力行業(yè)網絡與信息安全工作，根據《中華人民共和國計算機信息系統安全保護條例》及國家有關規(guī)定，制定本辦法。5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況主管機構職責工作內容（一）一組織落實國家關于基礎信息網絡和重要信息系統安全保障工作的方針、政策和重大部署，并與電力生產安全監(jiān)督管理工作相銜接；（二）組織制定電力行業(yè)網絡與信息安全的發(fā)展戰(zhàn)略和總體規(guī)劃；（三）組織制定電力行業(yè)網絡與信息安全等級保護、風險評估、信息通報、應急處置、事件調查與處理、工控設備安全性檢測、專業(yè)人員管理、容災備份、安全審計、信任體系建設等方面的政策規(guī)定及技術規(guī)范，并監(jiān)督實施；（四）組織制定電力行業(yè)網絡與信息安全應急預案，督促、指導電力企業(yè)網絡與信息安全應急工作，組織或參加信息安全事件的調查與處理；（五）組織建立電力行業(yè)網絡與信息安全工作評價與考核機制，督促電力企業(yè)落實網絡與信息安全責任、保障網絡與信息安全經費、開展網絡與信息安全工程建設等工作；（六）組織開展電力行業(yè)網絡與信息安全信息通報、從業(yè)人員技能培訓考核等工作；（七）組織開展電力行業(yè)網絡與信息安全的技術研發(fā)工作；（八）電力行業(yè)網絡與信息安全監(jiān)督管理的其它事項。國家能源局是電力行業(yè)網絡與信息安全主管部門，履行電力行業(yè)網絡與信息安全監(jiān)督管理職責。國家能源局派出機構根據國家能源局的授權，負責具體實施本轄區(qū)電力企業(yè)網絡與信息安全監(jiān)督管理。5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況企業(yè)職責工作內容第七條電力企業(yè)主要負責人是本單位網絡與信息安全的第一責任人。電力企業(yè)應當建立健全網絡與信息安全管理制度體系,成立工作領導機構，明確責任部門，設立專兼職崗位，定義崗位職責，明確人員分工和技能要求,建立健全網絡與信息安全責任制。第八條電力企業(yè)應當按照電力監(jiān)控系統安全防護規(guī)定及國家信息安全等級保護制度的要求，對本單位的網絡與信息系統進行安全保護。第九條電力企業(yè)應當選用符合國家有關規(guī)定、滿足網絡與信息安全要求的信息技術產品和服務，開展信息系統安全建設或改建工作。第十條電力企業(yè)規(guī)劃設計信息系統時，應明確系統的安全保護需求，設計合理的總體安全方案，制定安全實施計劃，負責信息系統安全建設工程的實施。第十一條電力企業(yè)應當按照國家有關規(guī)定開展電力監(jiān)控系統安全防護評估和信息安全等級測評工作，未達到要求的應當及時進行整改。第十二條電力企業(yè)應當按照國家有關規(guī)定開展信息安全風險評估工作，建立健全信息安全風險評估的自評估和檢查評估制度，完善信息安全風險管理機制。電力企業(yè)是本單位網絡與信息安全的責任主體，負責本單位的網絡與信息安全工作。5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況企業(yè)職責工作內容第十三條電力企業(yè)應當按照網絡與信息安全通報制度的規(guī)定，建立健全本單位信息通報機制，開展信息安全通報預警工作，及時向國家能源局或其派出機構報告有關情況。第十四條電力企業(yè)應當按照電力行業(yè)網絡與信息安全應急預案，制定或修訂本單位網絡與信息安全應急預案，定期開展應急演練。第十五條電力企業(yè)發(fā)生信息安全事件后，應當及時采取有效措施降低損害程度，防止事態(tài)擴大，盡可能保護好現場，按規(guī)定做好信息上報工作。第十六條電力企業(yè)應當按照國家有關規(guī)定，建立健全容災備份制度，對關鍵系統和核心數據進行有效備份。第十七條電力企業(yè)應當建立網絡與信息安全資金保障制度，有效保障信息系統安全建設、運維、檢查、等級測評和安全評估、應急及其它的信息安全資金。第十八條電力企業(yè)應當加強信息安全從業(yè)人員考核和管理。從業(yè)人員應當定期接受相應的政策規(guī)范和專業(yè)技能培訓，并經培訓合格后上崗。電力企業(yè)是本單位網絡與信息安全的責任主體，負責本單位的網絡與信息安全工作。5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況檢查監(jiān)督檢查措施第二十條國家能源局及其派出機構進行監(jiān)督檢查和事件調查時，可以采取下列措施：（一）進入電力企業(yè)進行檢查；（二）詢問相關單位的工作人員，要求其對有關檢查事項作出說明；（三）查閱、復制與檢查事項有關的文件、資料，對可能被轉移、隱匿、損毀的文件、資料予以封存；（四）對檢查中發(fā)現的問題，責令其當場改正或者限期改正。國家能源局及其派出機構依法對電力企業(yè)網絡與信息安全工作進行監(jiān)督檢查。5.2電力行業(yè)網絡與信息安全管理辦法“國能安全[2014]5.3《電力監(jiān)控系統安全防護規(guī)定》（發(fā)改委14號令）電力行業(yè)信息安全推進情況必要性背景（“5號令”）電力行業(yè)作為關系國計民生的重要基礎行業(yè)，同時也是技術、資金密集型行業(yè)，在注重信息化建設的同時，對于網絡安全工作也歷來高度重視。并由原電監(jiān)會于2004年發(fā)布了第5號令《電力二次系統安全防護規(guī)定》（以下簡稱“5號令”），并隨后陸續(xù)下發(fā)了相關配套文件。5號令的核心是“安全分區(qū)、網絡專用、橫向隔離、縱向認證”的電力監(jiān)控系統安全防護總體策略，其主要內容為：合理劃分安全分區(qū)，擴充完善電力調度專用數據網，采取必要的安全防護技術和防護設備，剝離非生產性業(yè)務，實現電力調度數據網絡與其他網絡的物理隔離，有效提高電力監(jiān)控系統抵御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊的能力。

5號令確定的安全防護總體策略的效果主要體現在：一是5號令正式實施以來，全國電力監(jiān)控系統未再發(fā)生因受到惡意信息攻擊而導致的電力安全事件；二是在北京奧運會、上海世博會、廣州亞運會等重要保電時期，電力監(jiān)控系統安全防護體系經受住了來自境內外各種敵對勢力的高密度、高強度的惡意網絡滲透和攻擊的嚴峻考驗，確保了各項重要活動期間的電力可靠供應。電力監(jiān)控系統的安全防護是電力行業(yè)網絡安全工作的一個重要組成部分。當今世界，信息技術革命日新月異，對國際政治、經濟、文化、社會、軍事等領域發(fā)展產生了深刻影響；加強網絡安全工作，能更好地保證各種信息技術的安全和合理應用，對于促進國民經濟的快速、健康和安全發(fā)展具有重要意義。5.3《電力監(jiān)控系統安全防護規(guī)定》（發(fā)改委14號令）電力行5.3《電力監(jiān)控系統安全防護規(guī)定》（發(fā)改委14號令）電力行業(yè)信息安全推進情況14號令重點解決的突出問題在原有電監(jiān)會5號令的基礎上，發(fā)改委第14號令重點解決以下兩方面的問題：一是在技術層面：

隨著分布式能源、配網自動化、智能電網等新技術的快速發(fā)展和應用，電力監(jiān)控系統使用無線公網進行數據通信的情況日益普遍，需要制定相應的安全防護措施；伊朗布什爾核電站遭受“震網”蠕蟲病毒攻擊事件，反映出對于生產控制大區(qū)內部電力工控系統和設備的安全管理工作需要進一步加強；工作實踐中反映出的關于設備遠程維護的防護措施、智能變電站的安全防護措施、非控制區(qū)的縱向邊界防護強度等方面的實際問題也需要進一步明確和規(guī)范。二是在管理層面：2007年以來公安部、工信部等國家部委相繼印發(fā)了《信息安全等級保護管理辦法》、《關于加強工業(yè)控制系統信息安全管理的通知》等相關文件，電力監(jiān)控系統作為電力行業(yè)信息系統和工業(yè)控制系統的一個重要組成部分，有必要根據上述文件的相關要求，結合電力生產的實際，對《規(guī)定》進行相應的修訂和完善；需要根據國務院機構改革情況，以及關于簡政放權工作的有關要求，對《規(guī)定》進行相應的調整和完善。5.3《電力監(jiān)控系統安全防護規(guī)定》（發(fā)改委14號令）電力行5.3《電力監(jiān)控系統安全防護規(guī)定》（發(fā)改委14號令）電力行業(yè)信息安全推進情況14號令的重要補充和修訂在原有電監(jiān)會5號令的基礎上，發(fā)改委第14號令提出了相關的規(guī)定和要求：在技術方面：一是針對配電網、分布式電源廣泛使用無線公網進行數據通信的實際情況，提出了在生產控制大區(qū)內設置“安全接入區(qū)”的理念，并明確了相關的技術規(guī)定和要求，進一步拓寬了電力二次系統安全防護體系的覆蓋范圍（第七條、第八條）；二是針對近期發(fā)現的生產控制大區(qū)內部分二次設備（如部分品牌的PLC設備、工業(yè)交換機等）存在漏洞和風險的問題，從設備選型及配置、漏洞及風險整改等方面提出了相關的要求，使電力監(jiān)控系統安全防護體系從重點強化“邊界防護”向“縱深防御”發(fā)展（第十二條）；在管理方面：一是將公安部、工信部關于信息系統、工業(yè)控制系統安全防護的有關規(guī)定和要求在《規(guī)定》中予以體現（第二條、第十二條）；二是根據機構改革情況、職責調整以及相關工作開展情況，對原《規(guī)定》中部分表述進行了更新和修訂，比如：“電監(jiān)會”、“電力監(jiān)管機構”根據機構改革情況分別更新為“國家能源局”、“國家能源局