信息安全法規(guī)與政策講座

信息安全法規(guī)與政策講座課程內(nèi)容2信息安全法規(guī)與政策知識(shí)體知識(shí)域信息安全知識(shí)子域國(guó)家信息安全法治總體情況等級(jí)保護(hù)有關(guān)政策規(guī)范風(fēng)險(xiǎn)評(píng)估有關(guān)政策規(guī)范信息安全現(xiàn)行重要信息安全法規(guī)電子政務(wù)與重要信息系統(tǒng)信息安全政策國(guó)家信息安全保障總體方針道德規(guī)范信息安全從業(yè)CISP職業(yè)道德準(zhǔn)則計(jì)算機(jī)使用道德規(guī)范因特網(wǎng)使用道德規(guī)范

信息安全從業(yè)人員基本道德規(guī)范知識(shí)域：信息安全相關(guān)法律知識(shí)子域：國(guó)家信息安全法治總體情況了解信息安全法治建設(shè)的意義了解我國(guó)信息安全法律法規(guī)體系框架知識(shí)子域：現(xiàn)行重要信息安全法規(guī)掌握《保守國(guó)家秘密法》的主要內(nèi)容理解《電子簽名法》的意義和作用了解《刑法》有關(guān)信息安全犯罪的規(guī)定了解《全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》3基本概念法律法規(guī)國(guó)家政策道德規(guī)范標(biāo)準(zhǔn)制度4法律、政策和道德的定義法律（Law）-----國(guó)家制定或認(rèn)可的，由國(guó)家強(qiáng)制力保證實(shí)施的，以規(guī)定當(dāng)事人權(quán)利和義務(wù)為內(nèi)容的具有普遍約束力的社會(huì)規(guī)范。政策（Policy）----國(guó)家或政黨組織等，以權(quán)威形式標(biāo)準(zhǔn)化地規(guī)定在一定的時(shí)期內(nèi)，應(yīng)該達(dá)到的目標(biāo)、遵循的行動(dòng)原則、完成的明確任務(wù)、實(shí)行的工作方式、采取的一般步驟和具體措施。道德規(guī)范（Ethic）-----一定社會(huì)或階級(jí)用以調(diào)整人們之間利益關(guān)系的行為準(zhǔn)則，也是評(píng)價(jià)人們行為善惡的標(biāo)準(zhǔn)。5國(guó)家法律體系法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章全國(guó)人大及其常委會(huì)國(guó)務(wù)院地方人大及常委會(huì)地方人民政府國(guó)務(wù)院各部委多級(jí)立法6法律和政策的區(qū)別法律政策一旦制定，就比較穩(wěn)定，長(zhǎng)期有效，不允許經(jīng)常更改是針對(duì)一定的問(wèn)題制定的，一旦問(wèn)題解決，或環(huán)境發(fā)生變化，政策就需要終止或修正具有統(tǒng)一的實(shí)行標(biāo)準(zhǔn)和很強(qiáng)的可操作性只是一定的規(guī)范、原則，要實(shí)施還需要將其具體化，轉(zhuǎn)換成執(zhí)行細(xì)則法律必須是公開(kāi)的，面向社會(huì)公布的政策文件可以是公開(kāi)的，也可以是“內(nèi)部”的政策有黨的政策、國(guó)家政策之分，有總政策、基本政策和具體政策之別。政策在成為法律之前，表現(xiàn)為決定、決議、綱領(lǐng)、宣言、通知、紀(jì)要等形式。7法律和道德的區(qū)別法律道德法律是國(guó)家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系，有不同的位階和效力盡管道德也可以按需分類，但不具有法律那樣的嚴(yán)謹(jǐn)?shù)慕Y(jié)構(gòu)體系法律都可以文字形式表現(xiàn)出來(lái)道德的內(nèi)容則主要存在于人們的道德意識(shí)中，表現(xiàn)于人們的言行上違法犯罪的后果有明確規(guī)定，是一種“硬約束”不道德行為的后果，是自我譴責(zé)和輿論壓力，是一種“軟約束”。職業(yè)道德是指符合職業(yè)特點(diǎn)要求的準(zhǔn)則、情操、品質(zhì)等，是職業(yè)義務(wù)、職業(yè)責(zé)任以及職業(yè)行為上的道德準(zhǔn)則。8其他一些概念標(biāo)準(zhǔn)（Standard）-----原意為“標(biāo)靶”（即：參照物），為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。（標(biāo)準(zhǔn)宜以科學(xué)、技術(shù)和實(shí)踐經(jīng)驗(yàn)的綜合成果為基礎(chǔ)，以促進(jìn)最佳的共同效益為目的）制度（System）----要求大家共同遵守的辦事規(guī)程或行動(dòng)準(zhǔn)則，是國(guó)家法律、法令、政策的具體化，是人們行動(dòng)的準(zhǔn)則和依據(jù)。（指導(dǎo)+約束、鞭策+激勵(lì)、規(guī)范+程序）9國(guó)家信息安全保障體系信息安全技術(shù)與產(chǎn)業(yè)支撐平臺(tái)信息安全基礎(chǔ)設(shè)施信息安全法律法規(guī)與政策環(huán)境信息安全人才培訓(xùn)教育體系信息安全組織機(jī)構(gòu)及管理體系信息安全標(biāo)準(zhǔn)與規(guī)范10信息安全在國(guó)家安全中的地位黨和國(guó)家長(zhǎng)期以來(lái)一直十分重視安全保密工作，并從敏感性、特殊性和戰(zhàn)略性的高度，至始至終置于黨的絕對(duì)領(lǐng)導(dǎo)之下。黨的十六屆四中全會(huì)將信息安全與政治安全、經(jīng)濟(jì)安全、文化安全并列為國(guó)家安全的重要組成要素信息安全是個(gè)大問(wèn)題。必須把安全問(wèn)題放到至關(guān)重要的位置上，認(rèn)真加以考慮和解決。---胡錦濤11我國(guó)的信息安全管理體制目前，我國(guó)信息安全管理格局是一個(gè)多方“齊抓共管”的體制，各相關(guān)主管部門分別執(zhí)行各自的安全職能，共同維護(hù)國(guó)家的信息安全國(guó)家信息化領(lǐng)導(dǎo)小組（國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組）工信部公安部國(guó)家安全部國(guó)家保密局國(guó)家密碼管理委員會(huì)等等12我國(guó)的信息安全基礎(chǔ)設(shè)施中國(guó)信息安全測(cè)評(píng)中心(CNITSEC)中國(guó)信息安全認(rèn)證中心(ISCCC)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）等等13信息安全法治建設(shè)的意義信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)明確信息安全的基本原則和基本制度、信息安全保障體系的建設(shè)、信息安全相關(guān)行為的規(guī)范、信息安全中各方權(quán)利義務(wù)明確違反信息安全的行為，并對(duì)其行為進(jìn)行相應(yīng)的處罰等保護(hù)國(guó)家信息主權(quán)和社會(huì)公共利益是信息安全立法的首要目標(biāo)14信息安全法治建設(shè)的意義信息安全不再只是個(gè)技術(shù)問(wèn)題，而更多地是個(gè)商業(yè)和法律問(wèn)題---安全漏洞、信息犯罪的本質(zhì)？信息安全產(chǎn)業(yè)的逐漸形成和成熟，需要必要的規(guī)范信息安全法治建設(shè)涉及的主體：信息安全主管部門、各類IT產(chǎn)品和服務(wù)的安全（ITSP）、信息安全類產(chǎn)品和服務(wù)（ISSP）、信息及信息系統(tǒng)的擁有者和使用者信息安全法治建設(shè)涉及的客體：信息數(shù)據(jù)、信息系統(tǒng)狹義的信息安全

廣義的信息安全15我國(guó)信息安全法律法規(guī)體系框架法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章全國(guó)人大及其常委會(huì)國(guó)務(wù)院地方人大及常委會(huì)地方人民政府憲法、刑法（部分條款）國(guó)家安全法（部分條款）保守國(guó)家秘密法電子簽名法。。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例互聯(lián)網(wǎng)信息服務(wù)管理辦法商用密碼管理?xiàng)l例。。公安部（安全專用產(chǎn)品等）原信產(chǎn)部（互聯(lián)網(wǎng)域名、電子認(rèn)證服務(wù)管理辦法等）國(guó)新辦（互聯(lián)網(wǎng)新聞信息服務(wù)）保密局（保密等）。。16貴州省信息化條例貴州省人民政府令頒布省級(jí)信息安全工程和政府投資信息化工程立項(xiàng)前審查行政許可我國(guó)信息安全法治建設(shè)的發(fā)展歷程通信保密安全計(jì)算機(jī)系統(tǒng)安全網(wǎng)絡(luò)信息系統(tǒng)安全1994年2000年2003年保守國(guó)家秘密法（1989）（2010年修訂）中央關(guān)于加強(qiáng)密碼工作的決定計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（草案）-86計(jì)算機(jī)信息系統(tǒng)

安全保護(hù)條例（1994）計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法-97計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法-97計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定-98商用密碼管理?xiàng)l例-99關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定（2000）互聯(lián)網(wǎng)信息服務(wù)管理辦法計(jì)算機(jī)病毒防治管理辦法計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定-00《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）我國(guó)信息安全法治建設(shè)的初步成效法律法規(guī)體系初步構(gòu)建，但體系化與有效性等方面仍有待進(jìn)一步完善法律少而規(guī)章等偏多，缺乏信息安全的基本法與信息安全相關(guān)的司法和行政管理體系迅速完善法律法規(guī)的內(nèi)容篇幅偏小，行為規(guī)范較簡(jiǎn)單截至2008年與信息安全直接相關(guān)的法律有65部

涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域。18我國(guó)信息安全法治建設(shè)展望需要一部信息安全的基本法《國(guó)家信息安全法》（或先出臺(tái)《信息安全條例》）信息安全的基本原則與基本制度信息安全的主要核心內(nèi)容進(jìn)一步完善各領(lǐng)域的信息安全專門法信息安全的監(jiān)管模式和認(rèn)證體系（面向信息安全各類主體和客體）信息安全常態(tài)管理（等級(jí)保護(hù)制度等）信息安全應(yīng)急管理（預(yù)警、監(jiān)測(cè)、通報(bào)和應(yīng)急處理等）網(wǎng)絡(luò)與信息系統(tǒng)全生命周期的信息安全信息內(nèi)容安全特定領(lǐng)域的信息安全（電子政務(wù)、電子商務(wù)、行業(yè)信息化等）組織信息資產(chǎn)的基本法律地位個(gè)人信息保護(hù)的基本規(guī)范信息安全犯罪19《憲法》中的有關(guān)規(guī)定《憲法》第二章

公民的基本權(quán)利和義務(wù)

第40條公民的通信自由和通信秘密受法律的保護(hù)。除因國(guó)家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密。法律20《刑法》中的有關(guān)規(guī)定（1）《刑法》第六章

妨礙社會(huì)管理秩序罪

第一節(jié)

擾亂公共秩序罪

第285、286、287條285條：非法侵入計(jì)算機(jī)信息系統(tǒng)罪；非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪；提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪。違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。法律21《刑法》中的有關(guān)規(guī)定（2）《刑法》第六章

妨礙社會(huì)管理秩序罪

第一節(jié)

擾亂公共秩序罪

第285、286、287條286條：破壞計(jì)算機(jī)信息系統(tǒng)罪。違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。287條：利用計(jì)算機(jī)實(shí)施犯罪的提示性規(guī)定。利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。22法律《刑法》中的有關(guān)規(guī)定（3）第一章危害國(guó)家安全罪111條為境外竊取、刺探、收買、非法提供國(guó)家秘密、情報(bào)罪為境外的機(jī)構(gòu)、組織、人員竊取、刺探、收買、非法提供國(guó)家秘密或者情報(bào)的，處五年以上十年以下有期徒刑；情節(jié)特別嚴(yán)重的，處十年以上有期徒刑或者無(wú)期徒刑；情節(jié)較輕的，處五年以下有期徒刑、拘役、管制或者剝奪政治權(quán)利。第六章妨害社會(huì)管理秩序罪第一節(jié)擾亂公共秩序罪282條非法獲取國(guó)家秘密罪；非法持有國(guó)家絕密、機(jī)密文件、資料、物品罪以竊取、刺探、收買方法，非法獲取國(guó)家秘密的，處三年以下有期徒刑、拘役、管制或者剝奪政治權(quán)利；情節(jié)嚴(yán)重的，處三年以上七年以下有期徒刑。非法持有屬于國(guó)家絕密、機(jī)密的文件、資料或者其他物品，拒不說(shuō)明來(lái)源與用途的，處三年以下有期徒刑、拘役或者管制。23《刑法》中的有關(guān)規(guī)定（3）第九章瀆職罪398條

故意泄露國(guó)家秘密罪；過(guò)失泄露國(guó)家秘密罪國(guó)家機(jī)關(guān)工作人員違反保守國(guó)家秘密法的規(guī)定，故意或者過(guò)失泄露國(guó)家秘密，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑。非國(guó)家機(jī)關(guān)工作人員犯前款罪的，依照前款的規(guī)定酌情處罰。24《治安管理處罰法》中的有關(guān)規(guī)定《治安管理處罰法》第三章

違反治安管理的行為和處罰

第一節(jié)

擾亂公共秩序的行為和處罰

第29條有下列行為之一的，處五日以下拘留；情節(jié)較重的，處五日以上十日以下拘留：（一）違反國(guó)家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)，造成危害的；（二）違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的；（三）違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的；（四）故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行的?！吨伟补芾硖幜P法》其他規(guī)定（與非法信息傳播等相關(guān)）：第42、47、68條法律25《國(guó)家安全法》中的有關(guān)規(guī)定《國(guó)家安全法》第二章

國(guó)家安全機(jī)關(guān)在國(guó)家安全工作中的職權(quán)

第10、11條第10條國(guó)家安全機(jī)關(guān)因偵察危害國(guó)家安全行為的需要，根據(jù)國(guó)家有關(guān)規(guī)定，經(jīng)過(guò)嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施。第11條國(guó)家安全機(jī)關(guān)為維護(hù)國(guó)家安全的需要，可以查驗(yàn)組織和個(gè)人的電子通信工具、器材等設(shè)備、設(shè)施。法律26《保守國(guó)家秘密法》（保密法1）演進(jìn)《保守國(guó)家秘密暫行條例》（1951年）《保守國(guó)家秘密法》（1989年）《保守國(guó)家秘密法》（2010年修訂，4月29日修訂，10月1日施行）主旨（總則）目的：保守國(guó)家秘密，維護(hù)國(guó)家安全和利益。國(guó)家秘密是關(guān)系國(guó)家安全和利益，依照法定程序確定，在一定時(shí)間內(nèi)只限一定范圍的人員知悉的事項(xiàng)。國(guó)家秘密受法律保護(hù)。一切國(guó)家機(jī)關(guān)、武裝力量、政黨、社會(huì)團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國(guó)家秘密的義務(wù)。國(guó)家保密行政管理部門主管全國(guó)的保密工作。國(guó)家機(jī)關(guān)和涉及國(guó)家秘密的單位（以下簡(jiǎn)稱機(jī)關(guān)、單位）管理本機(jī)關(guān)和本單位的保密工作。保密工作責(zé)任制：健全保密管理制度，完善保密防護(hù)措施，開(kāi)展保密宣傳教育，加強(qiáng)保密檢查。法律27《保守國(guó)家秘密法》（保密法2）國(guó)家秘密的范圍國(guó)家事務(wù)、國(guó)防武裝、外交外事、政黨秘密國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展、科學(xué)技術(shù)維護(hù)國(guó)家安全的活動(dòng)、經(jīng)保密主管部門確定的事項(xiàng)等國(guó)家秘密的密級(jí)絕密---是最重要的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受特別嚴(yán)重的損害；保密期限不超過(guò)30年；機(jī)密---是重要的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受嚴(yán)重的損害；保密期限不超過(guò)20年；秘密---是一般的國(guó)家秘密，泄露會(huì)使國(guó)家安全和利益遭受損害；保密期限不超過(guò)10年。國(guó)家秘密的其他基本屬性定密權(quán)限（定密責(zé)任人）、保密期限、解密條件、知悉范圍國(guó)家秘密載體、國(guó)家秘密標(biāo)志法律28《保守國(guó)家秘密法》（保密法3）保密制度對(duì)國(guó)家秘密載體的行為要求；對(duì)屬于國(guó)家秘密的設(shè)備、產(chǎn)品的行為要求；對(duì)存儲(chǔ)、處理國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)的要求---分級(jí)保護(hù)；對(duì)組織和個(gè)人的行為要求（涉密信息系統(tǒng)管理、國(guó)家秘密載體管理、公開(kāi)發(fā)布信息、各類涉密采購(gòu)、涉密人員分類管理、保密教育培訓(xùn)、保密協(xié)議等）；對(duì)公共信息網(wǎng)絡(luò)及其他傳媒的行為要求；對(duì)互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)運(yùn)營(yíng)商、服務(wù)商的行為要求。監(jiān)督管理國(guó)家保密行政管理部門依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國(guó)家保密標(biāo)準(zhǔn)。組織開(kāi)展保密宣傳教育、保密檢查、保密技術(shù)防護(hù)和泄密案件查處工作，對(duì)機(jī)關(guān)、單位的保密工作進(jìn)行指導(dǎo)和監(jiān)督。法律29《保守國(guó)家秘密法》（保密法4）法律責(zé)任（第48條

人員處分及追究刑責(zé)）（一）非法獲取、持有國(guó)家秘密載體的；（二）買賣、轉(zhuǎn)送或者私自銷毀國(guó)家秘密載體的；（三）通過(guò)普通郵政、快遞等無(wú)保密措施的渠道傳遞國(guó)家秘密載體的；（四）郵寄、托運(yùn)國(guó)家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國(guó)家秘密載體出境的；（五）非法復(fù)制、記錄、存儲(chǔ)國(guó)家秘密的；（六）在私人交往和通信中涉及國(guó)家秘密的；（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無(wú)線通信中傳遞國(guó)家秘密的；（八）將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；（九）在未采取防護(hù)措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換的；（十）使用非涉密計(jì)算機(jī)、非涉密存儲(chǔ)設(shè)備存儲(chǔ)、處理國(guó)家秘密信息的；（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；（十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備贈(zèng)送、出售、丟棄或者改作其他用途的。有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機(jī)關(guān)、單位予以處理。法律30《全國(guó)人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》背景互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對(duì)于加快我國(guó)國(guó)民經(jīng)濟(jì)、科學(xué)技術(shù)的發(fā)展和社會(huì)服務(wù)信息化進(jìn)程具有重要作用。如何保障互聯(lián)網(wǎng)的運(yùn)行安全和信息安全問(wèn)題已經(jīng)引起全社會(huì)的普遍關(guān)注。互聯(lián)網(wǎng)安全的范疇（法律約束力）互聯(lián)網(wǎng)的運(yùn)行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等）國(guó)家安全和社會(huì)穩(wěn)定（有害信息、竊取/泄露國(guó)家秘密、煽動(dòng)、非法組織等）市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽(yù)、侵犯知識(shí)產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等）個(gè)人、法人和其他組織的人身、財(cái)產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）法律責(zé)任構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責(zé)任構(gòu)成民事侵權(quán)的，依法承擔(dān)民事責(zé)任尚不構(gòu)成犯罪的：治安管理處罰/行政處罰/行政處分或紀(jì)律處分

法律31《電子簽名法》（1）意義2005年4月1日正式施行的《電子簽名法》，被稱為“中國(guó)首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫(xiě)簽名和蓋章具有同等的法律效力。數(shù)據(jù)電文和電子簽名數(shù)據(jù)電文---是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。電子簽名---是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。適用范圍民事活動(dòng)中的合同或者其他文件、單證等文書(shū)。電子簽名和數(shù)據(jù)電文不適用的文書(shū)（國(guó)際慣例）：涉及證明人身關(guān)系的、涉及不動(dòng)產(chǎn)權(quán)益轉(zhuǎn)讓的、涉及停止公共事業(yè)服務(wù)的、法律法規(guī)所規(guī)定的不適用電子文書(shū)的其他情形。法律32《電子簽名法》（2）數(shù)據(jù)電文的原件形式要求能夠有效地表現(xiàn)所載內(nèi)容并可供隨時(shí)調(diào)取查用；能夠可靠地保證自最終形成時(shí)起，內(nèi)容保持完整、未被更改。但是，在數(shù)據(jù)電文上增加背書(shū)以及數(shù)據(jù)交換、儲(chǔ)存和顯示過(guò)程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性。數(shù)據(jù)電文的文件保存要求能夠有效地表現(xiàn)所載內(nèi)容并可供隨時(shí)調(diào)取查用；數(shù)據(jù)電文的格式與其生成、發(fā)送或者接收時(shí)的格式相同，或者格式不相同但是能夠準(zhǔn)確表現(xiàn)原來(lái)生成、發(fā)送或者接收的內(nèi)容；能夠識(shí)別數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收的時(shí)間。數(shù)據(jù)電文的重要屬性作為證據(jù)的真實(shí)性（數(shù)據(jù)電文生成/存儲(chǔ)/傳遞的可靠性、對(duì)保持內(nèi)容完整性的可靠性、對(duì)鑒別發(fā)件人的可靠性等）發(fā)件人發(fā)送（發(fā)送時(shí)間、發(fā)送地點(diǎn)）、收件人收訖（接收時(shí)間、接收地點(diǎn)）法律33《電子簽名法》（3）可靠電子簽名的四個(gè)要件電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有；簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制；簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)；簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)。電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)電子認(rèn)證服務(wù)應(yīng)具備相適應(yīng)的人員、資金、場(chǎng)所、技術(shù)和設(shè)備條件，以及國(guó)家密碼管理機(jī)構(gòu)同意使用密碼的證明文件；應(yīng)向國(guó)務(wù)院信息產(chǎn)業(yè)主管部門申請(qǐng)，后者依法審查并征求商務(wù)主管部門等有關(guān)部門的意見(jiàn)后，對(duì)予以許可的頒發(fā)電子認(rèn)證許可證書(shū)，再持該證向工商部門辦理企業(yè)登記，并將其電子認(rèn)證業(yè)務(wù)規(guī)則，并向國(guó)務(wù)院信息產(chǎn)業(yè)主管部門備案。法律34《電子簽名法》（4）電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書(shū)內(nèi)容電子認(rèn)證服務(wù)提供者名稱；證書(shū)持有人名稱；證書(shū)序列號(hào)；證書(shū)有效期；證書(shū)持有人的電子簽名驗(yàn)證數(shù)據(jù)；電子認(rèn)證服務(wù)提供者的電子簽名；國(guó)務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。對(duì)電子認(rèn)證服務(wù)提供者的其他要求保證證書(shū)內(nèi)容在有效期內(nèi)完整、準(zhǔn)確；擬暫?；蛘呓K止電子認(rèn)證服務(wù)的要求；妥善保存與認(rèn)證相關(guān)的信息，信息保存期限（至少為證書(shū)失效后五年）。法律35《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》計(jì)算機(jī)信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。安全保護(hù)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。主管部門公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作（含安全監(jiān)督職權(quán)）。國(guó)家安全部、國(guó)家保密局和國(guó)務(wù)院其他有關(guān)部門，在國(guó)務(wù)院規(guī)定的職責(zé)范圍內(nèi)做好計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的有關(guān)工作。安全保護(hù)制度（要點(diǎn)）計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。使用單位應(yīng)當(dāng)建立健全安全管理制度。安全專用產(chǎn)品（硬件、軟件）的銷售實(shí)行許可證制度。行政法規(guī)36《商用密碼管理?xiàng)l例》商用密碼是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。商用密碼技術(shù)屬于國(guó)家秘密。主管部門國(guó)家密碼管理委員會(huì)及其辦公室主管全國(guó)的商用密碼管理工作。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行?？毓芾?。管理要點(diǎn)商密產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)分別指定單位進(jìn)行科研、生產(chǎn)和檢測(cè)。商密產(chǎn)品銷售單位應(yīng)有國(guó)家密碼管理機(jī)構(gòu)頒發(fā)的《商用密碼產(chǎn)品銷售許可證》。必須如實(shí)登記備案直接使用商用密碼產(chǎn)品的用戶信息和產(chǎn)品用途。不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品（含故障維修、報(bào)廢銷毀）。行政法規(guī)37《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品

檢測(cè)和銷售許可證管理辦法》兩個(gè)必須安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進(jìn)入市場(chǎng)銷售之前,必須申領(lǐng)《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》。安全全專用產(chǎn)品的生產(chǎn)者申領(lǐng)銷售許可證,必須對(duì)其產(chǎn)品進(jìn)行安全功能檢測(cè)和認(rèn)定。檢測(cè)（機(jī)構(gòu)）檢測(cè)機(jī)構(gòu)對(duì)產(chǎn)品（樣品）的安全功能和性能進(jìn)行檢測(cè)。檢測(cè)機(jī)構(gòu)應(yīng)保守檢測(cè)產(chǎn)品的技術(shù)秘密，并不得非法占有他人科技成果，不得從事與檢測(cè)產(chǎn)品有關(guān)的開(kāi)發(fā)和對(duì)外咨詢業(yè)務(wù)。銷售許可證（主管部門）由公安部計(jì)算機(jī)管理監(jiān)察部門頒發(fā)安全專用產(chǎn)品銷售許可證（兩年內(nèi)有效）、“銷售許可”標(biāo)記（生產(chǎn)者應(yīng)當(dāng)在固定位置標(biāo)明該標(biāo)記）。安全專用產(chǎn)品的檢測(cè)通告和經(jīng)安全功能檢測(cè)確認(rèn)的安全專用產(chǎn)品目錄,由公安部計(jì)算機(jī)管理監(jiān)察部門定期發(fā)布。部門規(guī)章38《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》適用范圍適用于采集、存儲(chǔ)、處理、傳遞、輸出國(guó)家秘密信息的計(jì)算機(jī)信息系統(tǒng)。主管部門國(guó)家保密局主管全國(guó)計(jì)算機(jī)信息系統(tǒng)的保密工作。管理要點(diǎn)涉密系統(tǒng)---保密設(shè)施、保密措施、訪問(wèn)控制、數(shù)據(jù)保護(hù)等涉密信息---密級(jí)標(biāo)識(shí)、物理隔離等涉密媒體---各類計(jì)算機(jī)媒體（含打印輸出等）涉密場(chǎng)所---控制區(qū)、防電磁信息泄漏、其他物理安全等系統(tǒng)管理---領(lǐng)導(dǎo)負(fù)責(zé)制、管理制度、保密檢查、人員培訓(xùn)和考核等部門規(guī)章39其他一些行政法規(guī)和部門規(guī)章行政法規(guī)《電信條例》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)管理暫行規(guī)定》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》部門規(guī)章《中國(guó)互聯(lián)網(wǎng)域名管理辦法》（原信產(chǎn)部）《互聯(lián)網(wǎng)IP地址備案管理辦法》（原信產(chǎn)部）《電子認(rèn)證服務(wù)管理辦法》（原信產(chǎn)部）《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》（原信產(chǎn)部）《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部）《計(jì)算機(jī)病毒防治管理辦法》（公安部）《信息安全等級(jí)保護(hù)管理辦法》（公安部）《計(jì)算機(jī)信息系統(tǒng)國(guó)際互聯(lián)網(wǎng)保密管理規(guī)定》（保密局）《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》（國(guó)新辦、原信產(chǎn)部）40一些地方性法規(guī)《貴州省信息化條例》（第六章信息安全保障）《北京市信息化促進(jìn)條例》（第五章信息安全保障）《北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定》《北京市黨政機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理辦法》《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理規(guī)定》《廣東省電子政務(wù)信息安全管理暫行辦法》《上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法》。。41《貴州省信息化條例》(8章49條，5個(gè)方面大內(nèi)容，與信息安全有關(guān)條款15條，占30%）第二十條信息安全工程和政府投資的信息化工程，批準(zhǔn)立項(xiàng)前，應(yīng)當(dāng)經(jīng)信息化行政主管部門審查，符合信息化有關(guān)規(guī)劃和信息安全管理要求的，方可按照建設(shè)項(xiàng)目程序辦理相關(guān)手續(xù)。（已列為行政許可）第六章信息安全保障（第34-40）建立信息安全應(yīng)急處理協(xié)調(diào)機(jī)制。任何單位和個(gè)人不得利用網(wǎng)絡(luò)與信息系統(tǒng)從事危害國(guó)家安全，擾亂公共秩序，損害公民、法人和其他組織的合法權(quán)益，危害網(wǎng)絡(luò)與信息系統(tǒng)安全以及散布、傳播違法信息等活動(dòng)。加強(qiáng)信息發(fā)布管理，遏制不良信息傳播。按照國(guó)家和本省有關(guān)規(guī)定實(shí)行安全等級(jí)保護(hù)制度。信息化工程應(yīng)進(jìn)行相應(yīng)的安全系統(tǒng)方案設(shè)計(jì)和建設(shè)，信息安全工程和政府投資的信息化工程投入使用前，應(yīng)當(dāng)通過(guò)信息系統(tǒng)安全測(cè)評(píng)。制定應(yīng)急預(yù)案，并定期演練。各級(jí)政府信息化行政主管部門應(yīng)當(dāng)組織對(duì)重點(diǎn)信息網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全檢查。42《北京市信息化條例》第五章

信息安全保障（第32--37條）按照國(guó)家和本市有關(guān)規(guī)定實(shí)行安全等級(jí)保護(hù)制度按照等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開(kāi)展網(wǎng)絡(luò)與信息系統(tǒng)的安全建設(shè)（改建）、測(cè)評(píng)和保障制定網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案，定期進(jìn)行演練組建公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)信息安全應(yīng)急救援服務(wù)體系任何單位和個(gè)人不得利用網(wǎng)絡(luò)與信息系統(tǒng)從事危害國(guó)家安全，擾亂公共秩序，損害公民、法人和其他組織的合法權(quán)益，危害網(wǎng)絡(luò)與信息系統(tǒng)安全以及散布、傳播違法信息等活動(dòng)涉及國(guó)家秘密的信息化工程的管理，按照國(guó)家保密有關(guān)規(guī)定執(zhí)行43廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理規(guī)定計(jì)算機(jī)信息系統(tǒng)使用單位應(yīng)當(dāng)確定計(jì)算機(jī)安全管理責(zé)任人，建立健全安全保護(hù)制度，落實(shí)安全保護(hù)技術(shù)措施，保障本單位計(jì)算機(jī)信息系統(tǒng)安全，并協(xié)助公安機(jī)關(guān)做好安全保護(hù)管理工作。安全保護(hù)制度（第8條）：計(jì)算機(jī)機(jī)房安全管理制度；安全管理責(zé)任人、信息審查員的任免和安全責(zé)任制度；網(wǎng)絡(luò)安全漏洞檢測(cè)和系統(tǒng)升級(jí)管理制度；操作權(quán)限管理制度；用戶登記制度；信息發(fā)布審查、登記、保存、清除和備份制度，信息群發(fā)服務(wù)管理制度。安全技術(shù)措施（第9條）：系統(tǒng)重要部分的冗余或備份措施；計(jì)算機(jī)病毒防治措施；網(wǎng)絡(luò)攻擊防范、追蹤措施；安全審計(jì)和預(yù)警措施；系統(tǒng)運(yùn)行和用戶使用日志記錄保存60日以上措施；記錄用戶主叫號(hào)碼和網(wǎng)絡(luò)地址的措施；身份登記和識(shí)別確認(rèn)措施；信息群發(fā)限制和有害數(shù)據(jù)防治措施。44廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理規(guī)定任何單位和個(gè)人不得利用計(jì)算機(jī)信息系統(tǒng)從事下列行為（第11條）：制作、復(fù)制、查閱、傳播有害信息；侵犯他人隱私，竊取他人帳號(hào)，假冒他人名義發(fā)送信息，或者向他人發(fā)送垃圾信息；以盈利或者非正常使用為目的，未經(jīng)允許向第三方公開(kāi)他人電子郵箱地址；未經(jīng)允許修改、刪除、增加、破壞計(jì)算機(jī)信息系統(tǒng)的功能、程序及數(shù)據(jù)；危害計(jì)算機(jī)信息系統(tǒng)安全的其他行為。重點(diǎn)安全保護(hù)單位（第14條）：縣級(jí)以上國(guó)家機(jī)關(guān)、國(guó)防單位；銀行、證券、能源、交通、郵電通信單位；國(guó)家及省重點(diǎn)科研、教育單位；國(guó)有大中型企業(yè)；互聯(lián)單位、接入單位及重點(diǎn)網(wǎng)站；向公眾提供上網(wǎng)服務(wù)的場(chǎng)所。其他重要規(guī)定：公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)的職權(quán)；對(duì)重大安全事故的處置和報(bào)告；安全專用產(chǎn)品和密碼產(chǎn)品的管理；安全服務(wù)資質(zhì)的申請(qǐng)；罰則等等。45上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法依據(jù)有關(guān)信息安全標(biāo)準(zhǔn)、規(guī)范，對(duì)本市承擔(dān)公共管理職能的機(jī)構(gòu)以及提供社會(huì)公共服務(wù)的單位的計(jì)算機(jī)信息系統(tǒng)，進(jìn)行安全保障性能測(cè)試、評(píng)估的活動(dòng)。新建系統(tǒng)的測(cè)評(píng)（第7條）：應(yīng)當(dāng)在系統(tǒng)建設(shè)前將安全設(shè)計(jì)方案報(bào)送市信息委審查；市信息委應(yīng)當(dāng)在15日內(nèi)提出審查意見(jiàn)。新建的公共信息系統(tǒng)試運(yùn)行結(jié)束后30日內(nèi)，應(yīng)當(dāng)進(jìn)行安全測(cè)評(píng)。安全整改（第13條）：應(yīng)當(dāng)根據(jù)測(cè)評(píng)報(bào)告的整改建議，對(duì)公共信息系統(tǒng)采取安全整改措施。完成安全整改后15日內(nèi)，應(yīng)當(dāng)將整改情況報(bào)送市信息委及其主管部門備案。動(dòng)態(tài)復(fù)測(cè)（第15條）：每?jī)赡赀M(jìn)行一次復(fù)測(cè)；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、信息處理流程等發(fā)生重大變更的，應(yīng)當(dāng)及時(shí)進(jìn)行復(fù)測(cè)。46國(guó)外信息安全法律法規(guī)簡(jiǎn)介國(guó)外信息安全法律法規(guī)簡(jiǎn)介（以美國(guó)為例）《信息自由法》（1966年）《愛(ài)國(guó)者法》（2001年）《聯(lián)邦信息安全管理法案》（FISMA，2002年）屬于《電子政務(wù)法》的第三部分給出了信息安全的定義國(guó)內(nèi)外信息安全法治體系的差距分析體系性廣度深度。。47聯(lián)邦政府信息保密分類標(biāo)準(zhǔn)（艾森豪威爾總統(tǒng)發(fā)布行政命令10501號(hào)，1953年）秘密級(jí)（Confidential）：根據(jù)合理的預(yù)期，公布以后可能會(huì)損害國(guó)家安全的材料。機(jī)密級(jí)（Secret）：被用來(lái)保護(hù)披露后預(yù)計(jì)可能會(huì)嚴(yán)重危害國(guó)家安全的材料。絕密級(jí)（TopSecret）：是用于保護(hù)公開(kāi)后預(yù)計(jì)可能會(huì)給國(guó)家安全帶來(lái)異乎尋常之危害的材料。另：《總統(tǒng)檔案法》（PresidentialRecordActof1978）白宮幕僚向總統(tǒng)出謀劃策的文件要該屆政府結(jié)束12年之后才能公開(kāi)政府聯(lián)邦機(jī)構(gòu)（中情局等除外）須在2000年4月之前公開(kāi)含有歷史材料且時(shí)逾25年的保密檔案48《信息自由法》FreedomofInformationActof1966，F(xiàn)OIA美國(guó)對(duì)政府信息進(jìn)行立法保護(hù)的首要原則是向公眾公開(kāi)原則

（也叫信息公開(kāi)原則），是構(gòu)成其他信息安全保護(hù)法律的基礎(chǔ)該法案主要是保障公民的個(gè)人自由,但也需要保障國(guó)家的安全，因此，該法利用“例外”的立法方式，將需要保護(hù)的信息加以列舉：國(guó)家安全問(wèn)題；內(nèi)務(wù)材料；法律規(guī)定豁免的材料；商業(yè)秘密；工作文件（當(dāng)事人特權(quán)性材料）；個(gè)人隱私文件；執(zhí)法檔案；金融機(jī)構(gòu)材料；地質(zhì)數(shù)據(jù)。49《保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施》克林頓總統(tǒng)令PDD-63，1998年第一次就美國(guó)信息安全戰(zhàn)略的完整概念、意義、長(zhǎng)期與短期目標(biāo)等作了說(shuō)明，對(duì)由國(guó)防部提出的“信息保障”作了新的解釋，并對(duì)下一步的信息安全工作做了指示。最遲不晚于2000年，美國(guó)應(yīng)當(dāng)實(shí)現(xiàn)初步的信息保障能力。從發(fā)布之日起五年后，美國(guó)將建立并保持對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)的能力，以防止下述職能被有預(yù)謀的行為破壞：聯(lián)邦政府履行其重要的國(guó)家安全責(zé)任并確保公眾健康和安全;州和地方政府維持有序運(yùn)轉(zhuǎn),提供最起碼的重要公共服務(wù);私營(yíng)部門確保經(jīng)濟(jì)有序運(yùn)行以及提供重要電信、能源、金融和運(yùn)輸?shù)恼７?wù)。要求這些關(guān)鍵功能如遭到的任何破壞或操縱,必須將其控制在歷時(shí)短、頻率小、可控、地域上可隔離以及對(duì)美國(guó)的利益損害最小。50《愛(ài)國(guó)者法》USAPatriotofActof2001是“9.11”事件以后美國(guó)為保障國(guó)家安全頒布的最為重要的一件法律，也是目前爭(zhēng)議最大的一部法律。從法律上授予美國(guó)國(guó)內(nèi)執(zhí)法機(jī)構(gòu)和國(guó)際情報(bào)機(jī)構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動(dòng)，使美國(guó)人民能夠生活在安全的環(huán)境中。由于該法賦予聯(lián)邦政府的權(quán)力過(guò)大，引起美國(guó)國(guó)內(nèi)民權(quán)人士的擔(dān)憂，并產(chǎn)生訴案。該法還對(duì)美國(guó)現(xiàn)有的十幾部法律做出了修改政府可以對(duì)國(guó)外銀行和對(duì)私人存戶達(dá)到100萬(wàn)美元以上的賬戶進(jìn)行盡職調(diào)查51《聯(lián)邦信息安全管理法案》FederalInformationSecurityManagementActof2002，F(xiàn)ISMA給出了“信息安全”的定義：保護(hù)信息和信息系統(tǒng)以避免未授權(quán)的訪問(wèn)、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性完整性指防止不恰當(dāng)?shù)男畔⑿薷暮推茐?，也包括確保信息的不可否認(rèn)性和可認(rèn)證性保密性指對(duì)信息訪問(wèn)和公開(kāi)的授權(quán)限制，包括對(duì)個(gè)人隱私和私有信息的保護(hù)可用性指對(duì)信息的及時(shí)和可靠的訪問(wèn)對(duì)國(guó)家信息安全管理職責(zé)的授權(quán)國(guó)家標(biāo)準(zhǔn)與技術(shù)局（NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標(biāo)準(zhǔn)與指南管理與預(yù)算辦公室（OMB）主任對(duì)安全政策、原則、標(biāo)準(zhǔn)、指南等的制定、執(zhí)行（包括遵守）情況進(jìn)行監(jiān)督52電子政務(wù)法《電子政務(wù)法》（theE-GovernmentActof2002）FISMA是該法案的第3部分該法對(duì)聯(lián)邦政府信息技術(shù)管理和規(guī)劃的每一個(gè)方面，從危機(jī)管理到電子檔案及查詢索引都做了規(guī)定53《美國(guó)企業(yè)改革法案》（Sarbanes-OxleyActof2002），又名《公眾公司會(huì)計(jì)改革與投資者保護(hù)法》，簡(jiǎn)稱《薩班斯-奧克斯利法》。主要目的是加強(qiáng)對(duì)上市公司內(nèi)部金融信息的監(jiān)管，以維護(hù)金融市場(chǎng)的秩序和安全。要求某些公司保證其內(nèi)部金融控制的準(zhǔn)確性，證券交易委員會(huì)（SEC）有權(quán)制定標(biāo)準(zhǔn)并執(zhí)行這些規(guī)則，與其他對(duì)金融組織擁有管轄權(quán)的機(jī)構(gòu)負(fù)責(zé)對(duì)金融組織計(jì)算機(jī)系統(tǒng)上的有關(guān)個(gè)人金融信息隱私的規(guī)則的執(zhí)行。54知識(shí)域：信息安全國(guó)家政策知識(shí)子域：國(guó)家信息安全管理總體方針

掌握國(guó)家有關(guān)政策對(duì)信息安全保障工作的總體要求掌握國(guó)家有關(guān)政策規(guī)定的加強(qiáng)信息安全保障工作主要原則掌握國(guó)家有關(guān)政策規(guī)定需要重點(diǎn)加強(qiáng)的信息安全保障工作知識(shí)子域：電子政務(wù)及重要信息系統(tǒng)信息安全政策了解關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的四項(xiàng)基本要求：明確職責(zé)、強(qiáng)化人員培訓(xùn)、完善安全措施和手段、加強(qiáng)信息安全檢查55《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）1意義標(biāo)志著我國(guó)信息安全保障工作有了總體綱領(lǐng)提出要在5年內(nèi)建設(shè)中國(guó)信息安全保障體系總體要求堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。主要原則立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重；正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。56《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）2主要任務(wù)（重點(diǎn)加強(qiáng)的安全保障工作）實(shí)行信息安全等級(jí)保護(hù)加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí)保證信息安全資金加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制信息安全與國(guó)家安全27號(hào)文：信息安全已成為國(guó)家安全的重要組成部分十六屆四中全會(huì)：確保國(guó)家的政治安全、經(jīng)濟(jì)安全、文化安全和信息安全十一五：試點(diǎn)

十二五：普及推廣57國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法本身不是政策，屬于法律法規(guī)部門規(guī)章---國(guó)家發(fā)改委令[2007]第55號(hào)對(duì)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目有明確的信息安全要求第六章驗(yàn)收評(píng)價(jià)管理項(xiàng)目建設(shè)單位應(yīng)在完成項(xiàng)目建設(shè)任務(wù)后的半年內(nèi),組織完成建設(shè)項(xiàng)目的信息安全風(fēng)險(xiǎn)評(píng)估和初步驗(yàn)收工作。第七章運(yùn)行管理項(xiàng)目建設(shè)單位或其委托的專業(yè)機(jī)構(gòu)應(yīng)按照風(fēng)險(xiǎn)評(píng)估的相關(guān)規(guī)定,對(duì)建成項(xiàng)目進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,檢驗(yàn)其網(wǎng)絡(luò)和信息系統(tǒng)對(duì)安全環(huán)境變化的適應(yīng)性及安全措施的有效性,保障信息安全目標(biāo)的實(shí)現(xiàn)。項(xiàng)建書(shū)、可研報(bào)告、初步設(shè)計(jì)方案在“項(xiàng)建和可研”的項(xiàng)目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案”在“初設(shè)”的項(xiàng)目設(shè)計(jì)方案中應(yīng)包含“安全系統(tǒng)設(shè)計(jì)”關(guān)于加強(qiáng)政府信息安全和保密管理工作的通知（國(guó)辦發(fā)[2008]17號(hào)）明確職責(zé)把信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導(dǎo)誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)強(qiáng)化人員培訓(xùn)組織信息安全和保密基本技能培訓(xùn)，開(kāi)展信息安全和保密形勢(shì)分析深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定完善安全措施和手段管理制度+技術(shù)手段加強(qiáng)信息安全檢查詳見(jiàn)《政府信息系統(tǒng)安全檢查辦法》59關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國(guó)辦發(fā)[2009]28號(hào)）1依據(jù)《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》（國(guó)辦發(fā)[2008]17號(hào)）檢查范圍和檢查重點(diǎn)各級(jí)政府及其部門對(duì)自行運(yùn)行和維護(hù)管理以及委托其他機(jī)構(gòu)進(jìn)行和維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進(jìn)行一次全面的安全檢查。國(guó)務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點(diǎn)。檢查方式各單位自查+統(tǒng)一組織抽查+安全檢測(cè)（按需）工信部負(fù)責(zé)協(xié)調(diào)、指導(dǎo)、監(jiān)督，公安/安全/保密/密碼等部門按職責(zé)分工《2009年度政府信息系統(tǒng)安全檢查指南》（工信部協(xié)[2009]168號(hào)）《2010年度政府信息系統(tǒng)安全檢查指南》（工信部協(xié)[2010]143號(hào)）60關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國(guó)辦發(fā)[2009]28號(hào)）2檢查內(nèi)容安全制度落實(shí)情況---人員、制度、經(jīng)費(fèi)等安全防范措施落實(shí)情況---各類技術(shù)措施應(yīng)急響應(yīng)機(jī)制建設(shè)情況---應(yīng)急預(yù)案制定和演練、應(yīng)急隊(duì)伍、事故處置、數(shù)據(jù)/系統(tǒng)備份等信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況---終端/OA/信息安全產(chǎn)品國(guó)產(chǎn)情況、信息安全服務(wù)外包情況等安全教育培訓(xùn)情況---參加、掌握、持證等情況責(zé)任追究情況安全隱患排查及整改情況安全形勢(shì)、安全風(fēng)險(xiǎn)評(píng)估狀況612010年度政府信息系統(tǒng)安全檢查指南

（工信部協(xié)[2010]143號(hào)）檢查內(nèi)容（檢查指南比檢查辦法更細(xì)化，以2010年為例）信息安全組織機(jī)構(gòu)日常信息安全管理（人員、資產(chǎn)、運(yùn)維）等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估技術(shù)防護(hù)手段建設(shè)（網(wǎng)絡(luò)邊界、信息安全產(chǎn)品、服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備、門戶網(wǎng)站、密碼技術(shù)、網(wǎng)絡(luò)信任措施）應(yīng)急管理工作開(kāi)展（應(yīng)急預(yù)案、應(yīng)急演練、應(yīng)急技術(shù)支援隊(duì)伍、災(zāi)難備份、應(yīng)急處置）信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用信息安全服務(wù)信息安全教育培訓(xùn)信息安全經(jīng)費(fèi)保障安全隱患排查及整改62關(guān)于印發(fā)國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知（國(guó)辦函[2008]168號(hào)）背景2003年：國(guó)務(wù)院成立應(yīng)急辦，頒布了《國(guó)家突發(fā)公共衛(wèi)生事件應(yīng)急條例》2004年：《國(guó)家突發(fā)公共事件總體應(yīng)急預(yù)案》（4大類公共安全）2007年：制定發(fā)布《國(guó)家突發(fā)事件應(yīng)對(duì)法》2008年：《國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》預(yù)案要點(diǎn)網(wǎng)絡(luò)與信息安全事件的分類分級(jí)參照標(biāo)準(zhǔn)：《信息安全事件分類分級(jí)指南》（GB/Z20986）應(yīng)急流程：預(yù)防預(yù)警—應(yīng)急處置—后期處置參照標(biāo)準(zhǔn)：《信息安全事件管理指南》（GB/Z20985）組織體系和應(yīng)急保障應(yīng)急隊(duì)伍、經(jīng)費(fèi)、物資、通信、科技。。監(jiān)督管理宣傳教育、培訓(xùn)、演練、責(zé)任與獎(jiǎng)懲63知識(shí)域：信息安全國(guó)家政策知識(shí)子域：風(fēng)險(xiǎn)評(píng)估有關(guān)政策規(guī)范了解國(guó)家有關(guān)政策對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作提出的要求了解國(guó)家有關(guān)政策對(duì)電子政務(wù)工程及國(guó)家重要信息系統(tǒng)建設(shè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估?？仃?duì)伍的規(guī)定知識(shí)子域：等級(jí)保護(hù)有關(guān)政策規(guī)范了解《信息安全等級(jí)保護(hù)管理辦法》的有關(guān)要求知識(shí)子域：國(guó)家密碼管理政策了解我國(guó)對(duì)密碼的管理政策要求64關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的意見(jiàn)

（國(guó)信辦[2006]5號(hào)）信息安全風(fēng)險(xiǎn)評(píng)估（基于風(fēng)險(xiǎn)管理）系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性評(píng)估安全事件一旦發(fā)生可能造成的危害程度提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施基本工作要求應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程（設(shè)計(jì)、驗(yàn)收、運(yùn)維）定期組織實(shí)施網(wǎng)絡(luò)與信息系統(tǒng)自評(píng)估，并積極配合有關(guān)部門的檢查評(píng)估相關(guān)保障參照標(biāo)準(zhǔn):《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984）、《信息安全風(fēng)險(xiǎn)管理規(guī)范》（制定中）服務(wù)資質(zhì)（對(duì)于涉及國(guó)計(jì)民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估技術(shù)服務(wù)，要由國(guó)家?？氐年?duì)伍來(lái)承擔(dān)）65關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技[2008]2071號(hào)）依據(jù)和目的《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》---國(guó)家發(fā)改委令[2007]第55號(hào)三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局將“信息安全風(fēng)險(xiǎn)評(píng)估”作為項(xiàng)目驗(yàn)收的重要內(nèi)容（按要求提交一系列文檔）風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容分析信息系統(tǒng)資產(chǎn)的重要程度，評(píng)估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等兩類信息系統(tǒng)的工作開(kāi)展涉密信息系統(tǒng)參照“分級(jí)保護(hù)”，進(jìn)行系統(tǒng)測(cè)評(píng)并履行審批手續(xù)非涉密信息系統(tǒng)參照“等級(jí)保護(hù)”，完成等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作，并形成相關(guān)報(bào)告相關(guān)要點(diǎn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)的指定（1家+3家）信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)費(fèi)計(jì)入該項(xiàng)目總投資投入運(yùn)行后，應(yīng)定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估66關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)

（公字通[2004]66號(hào)）1信息安全等級(jí)保護(hù)是保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度核心是對(duì)信息安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)保密/密碼/信息化工作部門各自的職責(zé)分工信息和信息系統(tǒng)的安全保護(hù)等級(jí)（及其適用范圍）第一級(jí)為自主保護(hù)級(jí)第二級(jí)為指導(dǎo)保護(hù)級(jí)第三級(jí)為監(jiān)督保護(hù)級(jí)第四級(jí)為強(qiáng)制保護(hù)級(jí)第五級(jí)為?？乇Ｗo(hù)級(jí)定級(jí)依據(jù)根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度;遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度67關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)

（公字通[2004]66號(hào)）2實(shí)施要求完善標(biāo)準(zhǔn),分類指導(dǎo)（管理規(guī)范和技術(shù)標(biāo)準(zhǔn)）科學(xué)定級(jí),嚴(yán)格備案（專家評(píng)審委員會(huì)。三級(jí)以上系統(tǒng)備案）建設(shè)整改,落實(shí)措施（信息系統(tǒng)：已有、新建、改建、擴(kuò)建）自查自糾,落實(shí)要求（運(yùn)營(yíng)、使用單位及其主管部門）建立制度,加強(qiáng)管理（運(yùn)營(yíng)、使用單位及其主管部門）監(jiān)督檢查,完善保護(hù)（公安機(jī)關(guān)重點(diǎn)對(duì)第三、第四級(jí)系統(tǒng)）其他等級(jí)要求國(guó)家對(duì)信息安全產(chǎn)品的使用實(shí)行分等級(jí)管理信息安全事件實(shí)行分等級(jí)響應(yīng)、處置的制度68關(guān)于印發(fā)<信息安全等級(jí)保護(hù)管理辦法>的通知（公字通[2007]43號(hào)）《通知》是政策，《管理辦法》屬于法律法規(guī)四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國(guó)信辦國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持“自主定級(jí)、自主保護(hù)”的原則信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)實(shí)施與管理具體實(shí)施等級(jí)保護(hù)工作

參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》確定安全保護(hù)等級(jí)

參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》系統(tǒng)建設(shè)

參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等等級(jí)測(cè)評(píng)

參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》二級(jí)以上系統(tǒng)的備案要求（由公安機(jī)關(guān)頒發(fā)備案證明）三級(jí)以上系統(tǒng)的定期自查、測(cè)評(píng)和檢查要求三級(jí)以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求三級(jí)以上系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的選擇要求涉密信息系統(tǒng)按分級(jí)保護(hù)管理（略）對(duì)信息安全等級(jí)保護(hù)的密碼實(shí)行分類分級(jí)管理（略）69關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安[2007]861號(hào)）背景根據(jù)國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組2007年的工作部署,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室定于2007年7月至10月在全國(guó)范圍內(nèi)組織開(kāi)展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作定級(jí)范圍電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)；鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國(guó)防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國(guó)土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)；市(地)級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)；涉及國(guó)家秘密的信息系統(tǒng)(涉密信息系統(tǒng))。工作內(nèi)容摸底調(diào)查、確定等級(jí)（等級(jí)報(bào)告）、評(píng)審與審批、備案及管理（備案表）70關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)（公信安[2009]1429號(hào)）工作目標(biāo)力爭(zhēng)在2012年底前完成已定級(jí)信息系統(tǒng)(不含涉密信息系統(tǒng))安全建設(shè)整改工作工作內(nèi)容開(kāi)展信息安全等級(jí)保護(hù)安全管理制度建設(shè),提高信息系統(tǒng)安全管理水平開(kāi)展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè),提高信息系統(tǒng)安全保護(hù)能力開(kāi)展信息系統(tǒng)安全等級(jí)測(cè)評(píng),使信息系統(tǒng)安全保護(hù)狀況逐步達(dá)到等級(jí)保護(hù)要求《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》信息系統(tǒng)安全建設(shè)整改工作基本流程（管理建設(shè)、技術(shù)建設(shè)）信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明及相互間的關(guān)系（基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類）71關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知（公信安[2010]303號(hào)）工作目標(biāo)提高測(cè)評(píng)機(jī)構(gòu)能力，規(guī)范測(cè)評(píng)活動(dòng)，確保信息安全等級(jí)保護(hù)安全建設(shè)整改工作順利進(jìn)行工作內(nèi)容積極穩(wěn)妥地推動(dòng)等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)確保測(cè)評(píng)機(jī)構(gòu)的水平和能力符合測(cè)評(píng)工作要求督促備案單位開(kāi)展信息系統(tǒng)等級(jí)測(cè)評(píng)工作《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范（試行）》《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》另有政策：公信安[2009]1487號(hào)72我國(guó)信息安全政策的初步成效依托2003年的27號(hào)文（總體綱領(lǐng)），明確了信息安全保障工作的總體要求、工作原則和重點(diǎn)工作內(nèi)容圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實(shí)了一些典型的信息安全政策（風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、電子政務(wù)類、應(yīng)急預(yù)案等）其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認(rèn)證、人員培訓(xùn)和認(rèn)證等十一五：試點(diǎn)

十二五：普及推廣73我國(guó)信息安全政策的后續(xù)展望“十一五”期間發(fā)布的各項(xiàng)政策均將進(jìn)入落實(shí)期由電子政務(wù)領(lǐng)域向其他領(lǐng)域拓展關(guān)系到國(guó)計(jì)民生的行業(yè)公共服務(wù)類商業(yè)性、一般業(yè)務(wù)類盡快形成“統(tǒng)一的”信息安全服務(wù)資質(zhì)管理體制基于信息安全服務(wù)類的標(biāo)準(zhǔn)（政策帶動(dòng)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)支撐政策）統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資質(zhì)由“狹義信息安全”向“廣義信息安全”延伸IT服務(wù)（外包）的信息安全保障新技術(shù)、新應(yīng)用下的信息安全保障74其他一些信息安全政策國(guó)家（電子政務(wù)）信息安全政策關(guān)于加強(qiáng)國(guó)家重要信息系統(tǒng)災(zāi)難備份工作的意見(jiàn)(信安通[2004]11號(hào))關(guān)于進(jìn)一步加強(qiáng)政府網(wǎng)站安全保障工作的通知（國(guó)辦秘函[2010]5號(hào)）行業(yè)類信息安全政策六部委關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知（工信部聯(lián)協(xié)[2010]394號(hào)）工信部政府部門信息技術(shù)外包服務(wù)機(jī)構(gòu)

政府部門信息技術(shù)外包服務(wù)機(jī)構(gòu)申請(qǐng)信息安全管理體系認(rèn)證安全審查程序（中華人民共和國(guó)工業(yè)和信息化部公告2011年第21號(hào)）關(guān)于信息安全產(chǎn)品實(shí)施政府采購(gòu)的通知（財(cái)庫(kù)[2010]48號(hào)）關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)[2011]451號(hào)）地方性信息安全政策。。75國(guó)外信息安全政策簡(jiǎn)介國(guó)外信息安全國(guó)家政策簡(jiǎn)介（以美國(guó)為例）克林頓政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：《總統(tǒng)國(guó)家安全戰(zhàn)略報(bào)告》（首次將信息安全列入）布什政府911之后，成立本土安全部（國(guó)土安全部）、國(guó)家KIP委員會(huì)2002年：《國(guó)家保障數(shù)字空間安全策略》、《國(guó)家安全戰(zhàn)略報(bào)告》2003年：《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略計(jì)劃》奧巴馬政府上任之初：60天信息安全評(píng)估項(xiàng)目2009年：《美國(guó)網(wǎng)絡(luò)安全評(píng)估》2010年：網(wǎng)絡(luò)戰(zhàn)司令部正式運(yùn)行國(guó)內(nèi)外信息安全國(guó)家政策的差距分析體系性和持續(xù)性、關(guān)注重點(diǎn)、執(zhí)行力度。。76《信息保障技術(shù)框架(IATF)》由國(guó)家安全局制定，是信息保障技術(shù)領(lǐng)域中最系統(tǒng)的研究1998年：V1.0、1999年：V2.02000年：V3.0、2002年：V3.1Now：V4.0為保護(hù)美國(guó)政府和工業(yè)界的信息與信息基礎(chǔ)設(shè)施提供了技術(shù)指南認(rèn)為信息保障要靠人操作好技術(shù)來(lái)實(shí)現(xiàn)定義了“信息保障”的系統(tǒng)開(kāi)發(fā)過(guò)程，對(duì)系統(tǒng)中硬件和軟件的安全提出要求提出了“深度防御戰(zhàn)略”，確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施、區(qū)域設(shè)施、計(jì)算環(huán)境和支撐性基礎(chǔ)設(shè)施的深度防御目標(biāo)77《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略計(jì)劃》2003年是美國(guó)第一份專門針對(duì)信息安全而推出的國(guó)家安全戰(zhàn)略文本，標(biāo)志著國(guó)家信息安全政策的獨(dú)立地位得到最終確認(rèn)。系統(tǒng)地確定了國(guó)家信息安全政策的三個(gè)基本要素，即：國(guó)家信息安全的8大目標(biāo)(利益)、面臨的主要威脅以及保障手段。確保關(guān)鍵基礎(chǔ)設(shè)施免遭網(wǎng)絡(luò)攻擊減少國(guó)家在網(wǎng)絡(luò)安全方面的漏洞降低網(wǎng)絡(luò)攻擊的損失，縮短網(wǎng)絡(luò)恢復(fù)時(shí)間建立國(guó)家網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)系統(tǒng)需要有長(zhǎng)期減少安全威脅或減少漏洞的計(jì)劃建立國(guó)家網(wǎng)絡(luò)安全技術(shù)交流和培訓(xùn)計(jì)劃重點(diǎn)保護(hù)聯(lián)邦政府網(wǎng)絡(luò)（即涉密網(wǎng)）的安全加強(qiáng)國(guó)際間的網(wǎng)絡(luò)安全合作對(duì)美國(guó)網(wǎng)絡(luò)空間面臨的威脅和脆弱性進(jìn)行了闡述，提出了5大優(yōu)先發(fā)展方面和47項(xiàng)行動(dòng)建議，規(guī)定了聯(lián)邦政府有關(guān)部門、州和地方政府、私人企業(yè)和機(jī)構(gòu)以及普通公民的基本職責(zé)和行動(dòng)方向。奧巴馬政府的新舉措上臺(tái)不久就親自主導(dǎo)了一個(gè)60天的信息安全評(píng)估項(xiàng)目，2009年5月公布了《美國(guó)網(wǎng)絡(luò)安全評(píng)估》報(bào)告，評(píng)估了美國(guó)政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問(wèn)題，并提出行動(dòng)計(jì)劃（最高層領(lǐng)導(dǎo)、數(shù)字化能力、安全責(zé)任、信息共享和事件反應(yīng)機(jī)制5大方面）。成立了網(wǎng)絡(luò)安全辦公室，任命了“網(wǎng)絡(luò)沙皇”為網(wǎng)絡(luò)安全協(xié)調(diào)官。參議院向國(guó)會(huì)提交了《網(wǎng)絡(luò)安全法》議案。2010年6月，美國(guó)國(guó)防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部（主要進(jìn)行數(shù)字戰(zhàn)爭(zhēng)，防護(hù)針對(duì)美軍計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅）。司令部將于2010年10月正式運(yùn)行。促使政府對(duì)外公布《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》（即信息安全曼哈頓計(jì)劃）的概要，實(shí)行政策透明，以獲得民眾對(duì)政策的理解。79《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）》

（信息安全曼哈頓計(jì)劃）1基本假設(shè)：如果“電子珍珠港”事件發(fā)生，將會(huì)使整個(gè)社會(huì)陷入混亂，從而嚴(yán)重威脅到美國(guó)的國(guó)家利益。（漏洞百出的計(jì)算機(jī)網(wǎng)絡(luò)又將會(huì)高度放大這種風(fēng)險(xiǎn)）《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》是由小布什政府于2008年1月以雙總統(tǒng)令的方式發(fā)布的，高度、強(qiáng)度和廣度體現(xiàn)了強(qiáng)烈的國(guó)家意志，在未來(lái)5-7年內(nèi)，預(yù)算投入高達(dá)300-400億美元，總牽頭部門為國(guó)土安全部，又稱為信息安全的“曼哈頓計(jì)劃”。2010年3月，奧巴馬政府對(duì)該計(jì)劃的部分內(nèi)容進(jìn)行了解密（3大目標(biāo)）。建立應(yīng)對(duì)當(dāng)前緊迫威脅的防線---解決現(xiàn)實(shí)問(wèn)題全面應(yīng)對(duì)各類威脅---解決失泄密問(wèn)題和供應(yīng)鏈安全問(wèn)題強(qiáng)化未來(lái)網(wǎng)絡(luò)安全環(huán)境80《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）》

（信息安全曼哈頓計(jì)劃）22010年3月，奧巴馬政府對(duì)該計(jì)劃的部分內(nèi)容進(jìn)行了解密（12項(xiàng)提議）。通過(guò)“可信互聯(lián)網(wǎng)連接”，將聯(lián)邦政府網(wǎng)絡(luò)系統(tǒng)作為單一網(wǎng)絡(luò)加以管理部署一個(gè)覆蓋整個(gè)聯(lián)邦政府的網(wǎng)絡(luò)入侵感應(yīng)系統(tǒng)在所有聯(lián)邦機(jī)構(gòu)中安裝網(wǎng)絡(luò)入侵防御系統(tǒng)協(xié)調(diào)和引導(dǎo)相關(guān)研發(fā)工作實(shí)現(xiàn)網(wǎng)絡(luò)安全行動(dòng)中心的互聯(lián)互通，提高對(duì)網(wǎng)絡(luò)威脅的感知能力制定并執(zhí)行政府網(wǎng)絡(luò)反情報(bào)計(jì)劃增強(qiáng)涉密網(wǎng)絡(luò)安全加強(qiáng)網(wǎng)絡(luò)教育在技術(shù)、戰(zhàn)略和計(jì)劃等各方面保持長(zhǎng)期、大幅度的領(lǐng)先地位制定有效的威懾戰(zhàn)略和計(jì)劃建立全方位的全球供應(yīng)鏈風(fēng)險(xiǎn)管理機(jī)制界定聯(lián)邦政府在維護(hù)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全方面的作用81美國(guó)信息安全管理體制審計(jì)總署（GAO）：為國(guó)會(huì)工作的、獨(dú)立的、無(wú)黨派的機(jī)構(gòu)，負(fù)責(zé)核查與信息安全相關(guān)的公共基金的使用情況，評(píng)估聯(lián)邦政府信息安全的項(xiàng)目和工作。行政管理和預(yù)算局（OMB）：負(fù)責(zé)制定和監(jiān)督政府部門有關(guān)信息安全的政策、原則、標(biāo)準(zhǔn)和指導(dǎo)方針。對(duì)政府機(jī)關(guān)的信息安全項(xiàng)目進(jìn)行一年一度的評(píng)價(jià)。國(guó)防部（DOD）：由其下屬的國(guó)家安全局（NSA）和全國(guó)計(jì)算機(jī)安全中心負(fù)責(zé)國(guó)家信息保障事務(wù)。國(guó)家安全局主要負(fù)責(zé)保密信息系統(tǒng)(國(guó)家安全系統(tǒng))的信息安全工作。國(guó)土安全部（DHS）：是“911”后新組建的部門，主要負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和計(jì)算機(jī)安全、信息管理標(biāo)準(zhǔn)的制定、信息共享等。國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）：隸屬于商務(wù)部，它協(xié)助政府和產(chǎn)業(yè)界進(jìn)行各類安全技術(shù)的開(kāi)發(fā)、推廣應(yīng)用，還負(fù)責(zé)制定安全技術(shù)和安全產(chǎn)品的國(guó)家和國(guó)際標(biāo)準(zhǔn)。82知識(shí)域：信息安全從業(yè)人員道德規(guī)范知識(shí)子域：信息安全從業(yè)人員基本道德規(guī)范理解信息安全從業(yè)人員應(yīng)遵守的道德規(guī)范知識(shí)子域：CISP職業(yè)準(zhǔn)則理解《CISP職業(yè)道德準(zhǔn)則》83信息安全從業(yè)人員基本道德規(guī)范榮譽(yù)和恥辱，是榮辱觀中的一對(duì)基本范疇，是指社會(huì)對(duì)人們行為褒貶評(píng)價(jià)以及人們對(duì)這種評(píng)價(jià)的自我感受。胡錦濤總書(shū)記提出的以“八榮八恥”為核心的社會(huì)主義榮辱觀，是對(duì)中華民族歷久彌新的民族精神和傳統(tǒng)美德的提煉和升華，具有很強(qiáng)的時(shí)代性和針對(duì)性。結(jié)合社會(huì)主義榮辱觀理解信息安全從業(yè)人員應(yīng)遵守的道德規(guī)范84CISP職業(yè)道德準(zhǔn)則一、維護(hù)國(guó)家、社會(huì)和公眾的信息安全1）自覺(jué)維護(hù)國(guó)家信息安全，拒絕并抵制泄露國(guó)家秘密和破壞國(guó)家信息基礎(chǔ)設(shè)施的行為；2）自覺(jué)維護(hù)網(wǎng)絡(luò)社會(huì)安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會(huì)和諧的行為；3）自覺(jué)維護(hù)公眾信息安全，拒絕并抵制通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個(gè)人隱私的行為。85CISP職業(yè)道德準(zhǔn)則二、誠(chéng)實(shí)守信，遵紀(jì)守法1）不通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、誹謗、弄虛作假等違反誠(chéng)信原則的行為；2）不利用個(gè)人的信息安全技術(shù)能力實(shí)施或組織各種違法犯罪行為；3）不在公眾網(wǎng)絡(luò)傳播反動(dòng)、暴力、黃色、低俗信息及非法軟件。86CISP職業(yè)道德準(zhǔn)則三、努力工作，盡職盡責(zé)1）熱愛(ài)信息安全工作崗位，充分認(rèn)識(shí)信息安全專業(yè)工作的責(zé)任和使命；2）為發(fā)現(xiàn)和消除本單位或雇主的信息系統(tǒng)安全風(fēng)險(xiǎn)做出應(yīng)有的努力和貢獻(xiàn)；3）幫助和指導(dǎo)信息安全同行提升信息安全保障知識(shí)和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)地提出應(yīng)對(duì)信息安全問(wèn)題的建議和幫助。87CISP職業(yè)道德準(zhǔn)則四、發(fā)展自身，維護(hù)榮譽(yù)1）通過(guò)持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識(shí)；2）利用日常工作、學(xué)術(shù)交流等各種方式保持和提升信息安全實(shí)踐能力；3）以CISP身份為榮，積極參與各種證后活動(dòng)，避免任何損害CISP聲譽(yù)形象的行為。88國(guó)際信息安全職業(yè)聯(lián)盟(ISC)2

職業(yè)道德準(zhǔn)則（CodeofEthics）89信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(ISACA)

職業(yè)道德規(guī)范（CodeofEthics）適用范圍：ISACA會(huì)員、CISA、CISM、CGEIT、CRISC等1.支持實(shí)施和鼓勵(lì),適當(dāng)及有效的企業(yè)信息系統(tǒng)治理標(biāo)準(zhǔn)和和技術(shù),包括審計(jì)、控制、安全和風(fēng)險(xiǎn)管理等范疇。2.以客觀、盡責(zé)的專業(yè)標(biāo)準(zhǔn)履行職責(zé)。3.以合法的方式為利益相關(guān)者服務(wù),同時(shí)保持高標(biāo)準(zhǔn)的行為和品格,也絕不參與抹黑行業(yè)或協(xié)會(huì)的行為。4.維護(hù)其在履行職責(zé)時(shí)獲取的信息的隱私性和機(jī)密性,除非是合法性的披露,否則資料不得用于個(gè)人利益或釋放到不適當(dāng)?shù)娜耸俊?.在各自的領(lǐng)域保持競(jìng)爭(zhēng)力,并同意僅參與那些能夠按照所具備的技能、知識(shí)和能