CISM注冊信息安全員0101信息安全保障基礎_V30(XXXX0123)

1、信息安全保障基礎中國信息安全測評中心版本：3.01課程內容信息安全保障基礎信息安全保障理論及實踐信息安全法規(guī)政策標準信息安全保障基礎知識重點信息安全政策解讀信息安全標準知識信息安全保障模型我國信息安全保障工作實踐重點信息安全法律法規(guī)解讀2知識域：信息安全保障基礎知識理解信息安全的典型安全威脅理解信息安全問題產生的根源掌握信息安全三個基本要素（保密性、完整性和可用性）的概念和含義了解信息安全發(fā)展的階段及各階段主要特點理解信息安全保障的概念和內涵3信息和信息安全信息消息，泛指人類社會傳播的一切內容有意義的數據在計算機系統(tǒng)中，信息通常以文字、聲音、圖像或數據的形式展現出來，它是按一定方式排列起來的、

2、有意義的符號序列信息安全關注信息自身的安全4什么是信息安全 保持信息的保密性、完整性和可用性，即防止未經授權使用信息、防止對信息的非法修改和破壞、確保及時可靠地使用信息。（CIA）5保密性保密性Confidentiality（C）也稱機密性確保信息沒有泄漏，不被沒有授權的個人、組織和計算機程序使用保密性需求舉例國家秘密企業(yè)或研究機構的核心知識產權銀行賬號等個人信息6完整性完整性Integrity（I）確保信息沒有遭到篡改或破壞信息保持原樣，未受損壞沒有丟失、被篡改或被破壞完整性需求舉例通信數據原樣傳送到對方信息未被插入、增加、刪除、修改7可用性可用性Availability（A）確保擁有授權的

3、用戶或程序可以及時、正常使用信息可用性需求舉例網站能支撐大量用戶訪問，正常提供服務系統(tǒng)未受病毒影響，可以正常使用系統(tǒng)能防御攻擊者攻擊，穩(wěn)定可用8為什么會有信息安全問題？為什么會有信息安全問題？總有黑客來攻擊總有新病毒傳播某些軟件配置錯誤操作系統(tǒng)被發(fā)現了新的漏洞領導不重視，施工人員不認真寫代碼的程序員沒有獲得安全證書.這些都對，怎么才能羅列完全？根本原因是什么？9信息系統(tǒng)安全問題產生的根本原因內因系統(tǒng)自身的脆弱性外因來自惡意攻擊者的攻擊來自自然災害的破壞10安全問題根源內因示例復雜性導致脆弱性凡是人做的東西總會存在問題11安全問題根源外因示例12安全問題根源外因示例來自大自然的威脅雷擊、地震、火

4、災和洪水等自然災害電力、空調等被電磁脈沖破壞信息系統(tǒng)機房和設備遭受破壞13信息安全的地位和作用信息網絡已逐漸成為經濟繁榮、社會穩(wěn)定和國家發(fā)展的基礎信息化深刻影響著全球經濟的整合、國家戰(zhàn)略的調整和安全觀念的轉變信息安全適用于所有信息技術領域學習、游戲、網絡購物、電子郵件信息化辦公、電子商務電子政務、電力供應、工業(yè)控制系統(tǒng)核設施、軍事情報系統(tǒng)從單純的技術性問題變成事關國家安全的全球性問題14信息安全發(fā)展階段COMSEC通信安全COMPUSEC計算機安全INFOSEC信息系統(tǒng)安全IA信息安全保障15CS/IA網絡空間安全/信息安全保障15通信安全16計算機安全17信息系統(tǒng)安全18信息安全保障19階段

5、年代安全威脅安全措施通信安全20世紀，4070年代搭線竊聽、密碼學分析加密計算機安全20世紀，70-90年代非法訪問、惡意代碼、脆弱口令等安全操作系統(tǒng)設計技術（TCB）信息系統(tǒng)安全20世紀，90年代后網絡入侵、病毒破壞、信息對抗等防火墻、防病毒、漏洞掃描、入侵檢測、PKI、VPN等信息安全保障今天，黑客、恐怖分子、信息戰(zhàn)、自然災難、電力中斷等技術安全保障體系安全管理體系人員意識/培訓/教育信息安全發(fā)展各階段特點2020信息安全保障概念發(fā)展第一次定義1996年，美國國防部DoD指令5-3600.1（DoDD 5-3600.1）中，給出了信息安全保障的定義中國中辦發(fā)27號文國家信息化領導小組關于加

6、強信息安全保障工作的意見，是信息安全保障工作的綱領性文件目前，信息安全保障的概念已逐漸被全世界信息安全領域所接受美國英國日本21信息安全保障含義保障目標信息系統(tǒng)業(yè)務和使命安全保障措施防止信息泄露、修改和破壞檢測入侵行為，實施響應和改進措施同傳統(tǒng)信息安全概念相比較強調檢測和響應，強調動態(tài)安全注重對信息系統(tǒng)進行全生命周期的保護關注技術、管理、規(guī)范等方面要求實現風險管控的目標22新階段網絡空間安全/信息安全保障CS/IA：Cyberspace Security/Information Assurance威脅有組織網絡犯罪、網絡恐怖主義、網絡空間軍事對抗、APT共識：網絡安全問題上升到國家安全的重要程

7、度2009年，在美國帶動下，世界各國信息安全政策、技術和實踐等發(fā)生重大變革核心思想：從傳統(tǒng)防御的信息保障（IA），發(fā)展到“威懾”為主的防御、攻擊和情報三位一體的信息保障/網絡安全（IA/CS）的網空安全網絡防御-Defense（運維）網絡攻擊-Offense（威懾）網絡利用-Exploitation（情報）23知識體：信息安全保障理論及實踐知識域：信息安全保障模型了解信息系統(tǒng)、風險、保障和使命之間的關系掌握信息系統(tǒng)安全保障模型，理解其保障要素、生命周期和安全特征的內容和含義理解PDCA模型內容和特點了解信息保障技術框架（IATF）的核心要素和焦點區(qū)域24信息系統(tǒng)、風險、保障和使命風險可能導致信

8、息安全問題影響信息系統(tǒng)業(yè)務使命保障制定策略、執(zhí)行措施降低風險、保障使命使命信息系統(tǒng)業(yè)務使命貫穿整個生命周期25什么是信息安全風險外在威脅利用信息系統(tǒng)存在的脆弱性，致其損失或破壞對系統(tǒng)價值造成損害的可能性 信息系統(tǒng)威脅防護措施脆弱性風險利用對抗導致增加減少作用于26信息系統(tǒng)為什么需要安全保障組織機構的使命/業(yè)務目標實現越來越依賴于信息系統(tǒng)信息系統(tǒng)成為組織機構生存和發(fā)展的關鍵因素信息系統(tǒng)的安全風險也成為組織風險的一部分為了保障組織機構完成其使命，必須加強信息安全保障，抵抗這些風險27信息系統(tǒng)安全保障定義 信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風險分析，制定并執(zhí)行相應的安全保

9、障策略，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風險到可接受的程度，從而保障系統(tǒng)實現組織機構的使命。 28信息安全技術 信息系統(tǒng)安全保障評估框架 第一部分：簡介和一般模型 (GB/T 20274.1-2006 )信息系統(tǒng)安全保障模型-保障評估框架29信息系統(tǒng)安全保障模型特點安全特征保證其所創(chuàng)建、傳輸、存儲和處理信息的保密性、完整性和可用性。生命周期應貫穿信息系統(tǒng)的整個生命周期，包括計劃組織、開發(fā)采購、實施交付、運行維護和廢棄五個階段保障要素由合格的信息安全專業(yè)人員，使用合格的信息安全技術和產品，通過規(guī)范、可持續(xù)性改進的工程過程能力和管理能力

10、進行建設和運行維護，保障信息系統(tǒng)安全7/21/202230信息系統(tǒng)安全保障含義解釋（1）出發(fā)點和核心在信息系統(tǒng)所處的運行環(huán)境里，以風險和策略為出發(fā)點，即從信息系統(tǒng)所面臨的風險出發(fā)制定組織機構信息系統(tǒng)安全保障策略動態(tài)安全，綜合保障信息系統(tǒng)生命周期通過在信息系統(tǒng)生命周期中從技術、管理、工程和人員等方面提出安全保障要求 31信息系統(tǒng)安全保障含義解釋（2）確保信息的安全特征確保信息的保密性、完整性和可用性特征，從而實現和貫徹組織機構策略并將風險降低到可接受的程度保護資產達到保護組織機構信息和信息系統(tǒng)資產最終保障使命從而保障組織機構實現其使命的最終目的 32如何保障信息系統(tǒng)安全？信息是依賴于承載它的信息

11、技術系統(tǒng)存在的需要在技術層面部署完善的控制措施信息系統(tǒng)需要規(guī)劃、建設、使用和維護需要通過有效的管理手段來約束和保證今天系統(tǒng)安全了明天未必安全需要貫穿系統(tǒng)生命周期的工程過程信息安全的對抗，歸根結底是人員的對抗需要建設高素質的人才隊伍33信息安全保障體系構成的要素信息安全技術體系信息安全管理體系信息安全工程過程高素質的人員隊伍34信息系統(tǒng)安全保障技術要素安全技術體系架構根據系統(tǒng)安全風險評估的結果和系統(tǒng)安全策略的要求，并參考相關標準和最佳實踐，建立的符合組織機構信息技術系統(tǒng)安全發(fā)展規(guī)劃的整體安全技術體系框架主要內容密碼技術訪問控制技術審計和監(jiān)控技術網絡安全技術35舉例：信息安全技術體系36信息系統(tǒng)安

12、全保障管理要素覆蓋整個生命周期以風險和策略為核心五方面的管理內容37相關方信息安全需求&期待實施和運行ISMS保持和改進ISMSPlan計劃Do實施Act改進Check檢查開發(fā)、維護&改進循環(huán)相關方受控的信息安全Plan計劃（建立ISMS環(huán)境）根據組織機構的整體策略和目標，建立同控制風險和改進信息安全相關的安全策略、目的、目標、過程和流程以交付結果。Do做（設計&實施）實施和操作策略（過程和流程）Check檢查（監(jiān)控&審核）通過策略、目的和實踐經驗測量和評估過程執(zhí)行，并將結果匯報給決策人。Act行動（改進）建立糾正和預防行動以進一步改進過程的執(zhí)行建立ISMS監(jiān)視&評審ISMS信息安全管理體系建

13、設38信息系統(tǒng)安全保障工程要素將信息安全手段動態(tài)作用于信息系統(tǒng)的工作過程基于信息系統(tǒng)生命周期建立信息系統(tǒng)安全工程生命周期在生命周期每個階段融入安全措施，從而有效、科學的實現信息系統(tǒng)安全保障目標計劃組織開發(fā)采購實施交付運行維護廢棄將安全措施融入信息系統(tǒng)生命周期39科學的信息安全工程過程40高素質的人員隊伍信息安全對抗歸根結底是人與人的對抗，保障信息安全不僅需要專業(yè)信息技術人員，還需要信息系統(tǒng)普通使用者提高安全意識，加強個人防范能力 41基于信息系統(tǒng)生命周期的信息安全保障在信息系統(tǒng)生命周期模型中，將信息系統(tǒng)的整個生命周期抽象成計劃組織、開發(fā)采購、實施交付、運行維護和廢棄五個階段42信息系統(tǒng)安全保障

14、模型理解43信息系統(tǒng)安全保障43A計劃實施檢查改進PDCPDCA循環(huán)44 按照PDCA的順序依次進行，一次完整的PDCA可以看成組織在管理上的一個周期，每經過一次PDCA循環(huán)，組織的管理體系都會得到一定程度的完善。44PDCA循環(huán)PDCA也稱“戴明環(huán)”，由美國質量管理專家戴明提出P（Plan）：計劃確定方針和目標，確定活動計劃D（Do）：實施實際去做，實現計劃中的內容C（Check）：檢查總結執(zhí)行計劃的結果，找出問題A（Act）：改進采取糾正和預防措施進一步提高過程質量45PDCA循環(huán)的特點特點一循序漸進，周而復始按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環(huán) 特點二層

15、層循環(huán)，環(huán)環(huán)相扣組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題特點三不斷循環(huán)，不斷提高每通過一次PDCA 循環(huán)，都要進行總結，提出新目標，再進行第二次PDCA 循環(huán)46PDCA循環(huán)，能夠提供一種優(yōu)秀的過程方法，以實現持續(xù)改進遵循PDCA循環(huán)，能使任何一項活動都有效地進行PDCA循環(huán)的作用4747信息保障技術框架信息保障技術框架（IATF）Information Assurance Technical Framework美國國家安全局制定描述美國信息保障的指導性文件，為保護美國政府和工業(yè)界的信息與信息基礎設施提供技術支持研究歷史1998年，2.0版，網絡安全框架1

16、999年，2.0版，更名為信息保障技術框架2000年，3.0版2002年，3.1版，擴展了“縱深防御”，強調信息保障戰(zhàn)略48信息系統(tǒng)安全保障模型-IATF49IATF理解三個核心要素人、技術和操作（Operation，也稱為運行）強調信息安全保障要靠人操作好技術來實現。四個焦點區(qū)域保護網絡和基礎設施、保護區(qū)域邊界、保護計算環(huán)境和支撐性基礎設施部署多層防御措施，形成縱深防御能力50知識體：信息安全保障理論及實踐知識域：我國信息安全保障工作實踐理解我國信息安全工作的發(fā)展階段劃分情況了解我國信息安全保障工作的目標和主要內容了解我國信息安全保障工作實踐成果51我國信息安全保障工作發(fā)展階段52階段主要工

17、作2001-2002啟動國家信息化小組重組網絡與信息安全協(xié)調小組成立2003-2005逐步展開積極推進國家出臺指導政策召開第一次全國信息安全保障會議發(fā)布國家信息安全戰(zhàn)略國家網絡與信息安全協(xié)調小組召開多次會議2006-2013深化落實信息安全法律法規(guī)、標準化和人才培養(yǎng)工作取得新成果信息安全等級保護和風險評估取得新進展2013年至今新時期十八屆三中全會決定中央網絡安全和信息化領導小組52啟動階段（2001-2002）2001年至2002年是我國網絡與信息安全事件頻發(fā)且性質嚴重的時期國家信息化領導小組重組，網絡與信息安全協(xié)調小組成立我國信息安全保障工作正式啟動期間重要事件來自境外邪教組織、敵對勢力的

18、破壞各種政治謠言、反動宣傳和社會敏感熱點問題日益增多 網絡系統(tǒng)、重要信息系統(tǒng)自身存在諸多安全隱患 53積極推進階段（2003-2005）2003年至2005年國家信息安全保障體系建設逐步展開和推進的階段國家出臺指導政策，發(fā)布國家信息安全戰(zhàn)略信息安全保障各項工作積極推進期間重要事件2003年7月，關于加強信息安全保障工作的意見（中辦發(fā)27號文件）國家網絡與信息安全協(xié)調小組多次會議重視信息安全風險評估、網絡信任體系以及保密和密碼工作54深化落實階段（2006年至2013）2006年至2013年深化落實階段各項信息安全保障工作邁出了新的堅實步伐信息安全法律法規(guī)、標準化和人才培養(yǎng)工作取得了新成果期間重

19、要成果等級保護工作取得重要進展 信息安全風險評估工作更加深入制定了大量信息安全標準規(guī)范建設了一批信息安全基礎設施加強了互聯網信息內容安全管理55新時期新階段（2013年至今）2013年至今，中央進一步推動信息安全發(fā)展2013年，中國共產黨十八屆三中全會的決定要堅持積極利用、科學發(fā)展、依法管理、確保安全的方針，加大依法管理網絡力度，完善互聯網管理領導體制2014年2月，成立中央網絡安全和信息化領導小組統(tǒng)籌協(xié)調涉及經濟、政治、文化、社會及軍事等各個領域的網絡安全和信息化重大問題推動國家網絡安全和信息化各方面建設,增強我國信息安全保障能力56工作目標我國信息安全保障工作應當在“積極防御、綜合防范”的

20、方針指導下，全面提高信息安全防護能力，并重點保障基礎信息網絡和重要信息系統(tǒng)安全，達到保障和促進信息化發(fā)展，為企業(yè)和公眾合法利益構建安全可信的網絡信息傳播秩序和保護互聯網知識產權的工作目標。要求立足國情，以我為主堅持管理與技術并重正確處理安全與發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系國家信息安全保障工作目標5757我國信息安全保障工作的主要內容 建立健全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障 建立健全信息安全法律法規(guī)體系，推進信息安全法制建設 建立完善信息安全標準體系，加強信息安全標準化工作 加強信息安全技術研究開發(fā)，推進信

21、息安全產業(yè)發(fā)展 建設信息安全基礎設施，提供國家信息安全保障能力支撐 建立信息安全人才培養(yǎng)體系，加快信息安全學科建設和信息安全人才培養(yǎng) 58信息安全保障工作實踐成果我國信息安全保障實踐成果信息安全標準化應急處理與信息通報等級保護風險評估災難恢復人才培養(yǎng)59重要實踐成果標準化工作信息安全標準化2002年4月，成立“全國信息安全標準化技術委員會”簡稱“全國信安標委”，代號為TC260制定了多項信息安全標準自2004年1月起，各有關部門在申報信息安全國家標準計劃項目時，必須經全國信安標委提出工作意見，協(xié)調一致后由全國信安標委組織申報。60重要實踐成果應急處理和通報工作應急處理與信息通報2002年9月，

22、成立“國家計算機網絡應急技術處理協(xié)調中心”，簡稱“國家互聯網應急中心”，英文簡稱是CNCERT或CNCERT/CC2003年，“國家網絡與信息安全協(xié)調小組”2004年，“國家網絡與信息安全信息通報中心”61重要實踐成果等級保護等級保護1994年，國務院147號令中華人民共和國計算機信息系統(tǒng)安全保護條例2004年，發(fā)布關于信息安全等級保護工作的實施意見（公通字200466號）全面啟動等級保護的實施工作發(fā)布了多項等級保護有關政策和標準62重要實踐成果風險評估風險評估2003年，國務院信息辦啟動了信息安全風險評估的調研、試點和標準編寫等工作2006年1月，發(fā)布關于開展信息安全風險評估工作的意見 （國

23、信辦20065號）組織風險評估?？仃犖閷θ珖A信息網絡和重要信息系統(tǒng)進行檢查63重要實踐成果災難恢復災難恢復隨著數據大集中的發(fā)展，國家對災難恢復工作高度重視，越來越多的單位和部門認識到災難恢復的重要性和必要性2002年4月，銀監(jiān)會頒布了商業(yè)銀行內部控制指引，其中第八章計算機信息系統(tǒng)的內部控制規(guī)定，商業(yè)銀行應當建立計算機安全應急系統(tǒng)2004年9月，印發(fā)關于做好重要信息系統(tǒng)災難備份工作的通知（信安通200411號2005年4月，下發(fā)重要信息系統(tǒng)災難恢復指南64重要實踐成果人才培養(yǎng)人才培養(yǎng)2001年，武漢大學，信息安全本科專業(yè)2005年，教育部發(fā)文加強信息安全學科體系建設目前，我國信息安全專業(yè)教育

24、已基本形成了從?？?、本科、碩士、博士到博士后的正規(guī)高等教育人才培養(yǎng)體系除正規(guī)大學教育外，我國信息安全非學歷教育已基本形成了以各種認證為核心，輔以職業(yè)技能培訓的信息安全人才培訓體系2002年，CISP2005年，CISM65知識體：信息安全法規(guī)政策標準知識域：重點信息安全法律法規(guī)解讀了解我國信息安全法律體系情況理解中華人民共和國保守國家秘密法中主要條款了解中華人民共和國刑法、中華人民共和國電子簽名法關于信息安全的重要條款66我國法律法規(guī)體系多級立法的法律體系法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章共同構成了以中華人民共和國憲法為基礎的統(tǒng)一的法律體系67我國信息安全法律體系68保守國家秘密法（保

25、密法 1）演進保守國家秘密暫行條例（1951年）保守國家秘密法（1989年）保守國家秘密法（2010年修訂，4月29日修訂，10月1日施行）主旨（總則）目的：保守國家秘密，維護國家安全和利益國家秘密是關系國家安全和利益，依照法定程序確定，在一定時間內只限一定范圍的人員知悉的事項國家秘密受法律保護。一切國家機關、武裝力量、政黨、社會團體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務國家保密行政管理部門主管全國的保密工作國家機關和涉及國家秘密的單位（以下簡稱機關、單位）管理本機關和本單位的保密工作保密工作責任制：健全保密管理制度，完善保密防護措施，開展保密宣傳教育，加強保密檢查法律6969保守國家秘密

26、法（保密法 2）國家秘密的范圍國家事務、國防武裝、外交外事、政黨秘密國民經濟和社會發(fā)展、科學技術維護國家安全的活動、經保密主管部門確定的事項等國家秘密的密級絕密-是最重要的國家秘密，泄露會使國家安全和利益遭受特別嚴重的損害；保密期限不超過30年機密-是重要的國家秘密，泄露會使國家安全和利益遭受嚴重的損害；保密期限不超過20年秘密-是一般的國家秘密，泄露會使國家安全和利益遭受損害；保密期限不超過10年國家秘密的其他基本屬性定密權限（定密責任人）、保密期限、解密條件、知悉范圍國家秘密載體、國家秘密標志法律7070保守國家秘密法（保密法 3）保密制度對國家秘密載體的行為要求對屬于國家秘密的設備、產品

27、的行為要求對存儲、處理國家秘密的計算機信息系統(tǒng)的要求-分級保護對組織和個人的行為要求（涉密信息系統(tǒng)管理、國家秘密載體管理、公開發(fā)布信息、各類涉密采購、涉密人員分類管理、保密教育培訓、保密協(xié)議等）對公共信息網絡及其他傳媒的行為要求對互聯網及其他公共信息網絡運營商、服務商的行為要求監(jiān)督管理國家保密行政管理部門依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國家保密標準組織開展保密宣傳教育、保密檢查、保密技術防護和泄密案件查處工作，對機關、單位的保密工作進行指導和監(jiān)督法律7171刑法中的有關規(guī)定（1）刑法 第六章 妨礙社會管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條285條：非法侵入計算機

28、信息系統(tǒng)罪；非法獲取計算機信息系統(tǒng)數據、非法控制計算機信息系統(tǒng)罪；提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸的數據，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、

29、工具，情節(jié)嚴重的，依照前款的規(guī)定處罰法律7272刑法中的有關規(guī)定（2）刑法 第六章 妨礙社會管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條286條：破壞計算機信息系統(tǒng)罪違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規(guī)定處罰故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，依照第一款的規(guī)定處罰287條：利用計算機實施犯罪的

30、提示性規(guī)定利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規(guī)定定罪處罰73法律73中華人民共和國電子簽名法意義2005年4月1日正式施行的中華人民共和國電子簽名法，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力適用范圍民事活動中的合同或者其他文件、單證等文書不適用范圍（國際慣例）：涉及證明人身關系的、涉及不動產權益轉讓的、涉及停止公共事業(yè)服務的、法律法規(guī)所規(guī)定的不適用電子文書的其他情形法律74全國人大關于維護互聯網安全的決定背景互聯網日益廣泛的應用，對于加快我國國民經濟、科學技術的發(fā)展和社會服務信息化進程具有重

31、要作用。如何保障互聯網的運行安全和信息安全問題已經引起全社會的普遍關注互聯網安全的范疇（法律約束力）互聯網的運行安全（侵入、破壞性程序、攻擊、中斷服務等）國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等）市場經濟秩序和社會管理秩序（銷售偽劣產品/虛假宣傳、損害商業(yè)信譽、侵犯知識產權、擾亂金融秩序、淫穢內容服務等）個人、法人和其他組織的人身、財產等合法權利（侮辱或誹謗他人、非法處理他人信息數據/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）法律責任構成犯罪的，依照刑法有關規(guī)定追究刑事責任構成民事侵權的，依法承擔民事責任尚不構成犯罪的：治安管理處罰 / 行政處罰 / 行政處分或

32、紀律處分 75法律75知識體：信息安全法規(guī)政策標準知識域：重點信息安全政策解讀理解國家信息化領導小組關于加強信息安全保障工作的意見的重要性和有關內容了解中華人民共和國計算機信息系統(tǒng)安全保護條例的有關內容了解國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見的有關內容76國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）意義標志著我國信息安全保障工作有了總體綱領提出要在5年內建設中國信息安全保障體系總體要求堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網絡環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家

33、安全信息安全與國家安全27號文：信息安全已成為國家安全的重要組成部分十六屆四中全會：確保國家的政治安全、經濟安全、文化安全和信息安全77中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院147號令）國務院147號令1994年2月，國務院發(fā)布是我國在信息系統(tǒng)安全保護方面最早制定的一部政策性法規(guī)，也是我國信息系統(tǒng)安全保護最基本的一部法規(guī)規(guī)定了安全等級保護制度國際互聯網備案制度信息系統(tǒng)安全產品銷售許可證制度78關于加強政府信息安全和保密管理工作的通知（國辦發(fā)200817號）加強組織領導，明確安全責任重視信息安全和保密工作，明確主管領導誰主管誰負責、誰運行誰負責、誰使用誰負責強化教育培訓，提高安全意識和

34、防護技能組織信息安全和保密基本技能培訓深入學習宣傳信息安全“五禁止”規(guī)定完善安全措施和手段管理制度+技術手段做好信息安全檢查工作，依法追究責任詳見政府信息系統(tǒng)安全檢查辦法79國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)201223號）重要意義調整經濟結構，轉變發(fā)展方式，保障和改善民生健全信息安全保障體系，切實增強信息安全保障能力，維護國家信息安全主要目標重點領域信息化水平明顯提高下一代信息基礎設施初步建成國家信息安全保障體系基本形成重要信息系統(tǒng)和基礎網絡安全防護能力明顯增強信息化裝備的安全可控水平明顯提高信息安全等級保護等基礎性工作明顯加強80國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)201223號）保障重點領域信息安全確保重要信息系統(tǒng)和基礎信息網絡安全加強政府和涉密信息系統(tǒng)安全管理保障工業(yè)控