ISO27001信息安全法律法规一览表
ISO27001 XX-ISMS-OP-02-001 相关方的需求和期望(信息安全方面)一览表
3
税务局、财务审计方
对涉及到的财务审计报告及财务报表等机密信息予以保密。
相关法律、法规。
4
政府部门
对接触到的知识产权予以保护,详见《信息安全有关法规符合性评价》。
相关法律、法规。
5
电话、网络、云服务提供方
对电话服务、网络服务的提供方信息予以保密
1.签订保密协议。
6
相关方的需求和期望(信息安全方面)一览表
序号
相关方
信息安全要求
应对措施
1
第二、三方审查机构
1.对前期业绩合同金额予以保密。
2.对审查过程中涉及的审查机构有关信息予以保密。
1.在合提供合同业绩时,对金额部分打马赛克。
2.对投标文件设置密码解压。
2
供方
对供方的单位基本信息、产品核心技术信息、价格等予以保密。
客户
对客户信息、合同条款及概算等予以保密。
1.在合同中列出
7Hale Waihona Puke 公司员工对员工个人信息、劳动合同等予以保密。
签订保密协议。
编制:日期:
审核:日期:
2020年IS027001信息安全法律法规及相关要求清单
中华人民共和国电子商务法
2018/8/31
2019/1/1
全国人大常委会
25
寄递服务用户个人信息安全管理规定
2014/3/19 2014/3/19
国家邮政局
26
人民银行关于银行业金融机构做好个人金融信息保护工作的通知
2011/5/1
2011/5/1
中国人民银行
第 2 页,共 3 页
备注
2020年IS027001信息安全法律法规及相关要求清单
2013/3/1
国务院
17
计算机信息网络国际联网安全保护管理办法
2011/1/8
2011/1/8
公安部
18
计算机病毒防治管理办法
2000/3/30 2000/4/26
公安部
19
网络产品和服务安全审查办法
2017/6/1
2017/6/1
国家互联网信息办公室
20
中华人民共和国居民身份证法
2011/10/29 2012/1/1
2015/5/19 2015/6/30
工业和信息化部
13
网络出版服务管理规定(国家新闻岀版广电总局、工业和信息化部令第5号)
2016/3/10
2016/3/10
国家新闻出版广电总局和工业和 信 息化部联合发布
第 1 页,共 3 页
2020年IS027001信息安全法律法规及相关要求清单
序号 14 15
2020年IS027001信息安全法律法规及相关要求清单
序号 1
类别
中华人民共和国宪法修正案
法律名称
颁布时间 实施时间 2019/3/11 2019/3/11
颁布部门 全国人大常委会
ISO IEC 27001-2013信息安全管理体系法律法规要求符合性评价表
2004.03.12
国家知识产权局
符合
26
中华人民共和国著作权法
1990.09.07
1991.06.01
全国人大常委会
符合
27
中华人民共和国著作权法实施条例
2002.08.02
2002.9.15
国务院第359号令
符合
28
科学技术保密规定
1995.01.06
1995.01.06
国家科委、国家保密局
2003.01.07
2003.2.10
国家广播电影电视总局
符合
16
互联网电子公告服务管理规定
2000.10.08
2000.10.08
信息产业部
符合
17
信息系统工程监理工程师资格管理办法
2003年颁布
2003.04.01
信息产业部
符合
18
信息系统工程监理单位资质管理办法
2003年颁布
2003.04.01
2012
2012
符合
43
44
GB/T 12505-1990计算机软件配置管理计划规范
2012
2012
符合
44
45
GB/T 19001-2008质量管理体系 要求
2009
2009
符合
45
46
GB/T 14079-1993软件维护指南
1993
1993
符合
46
47
卫医政发(2010)114号基于Web的嵌入式监控系统
1997.12.12
1997.12.12
公安部第32号令
符合
9
计算机病毒防治管理办法
ISO27001文件-信息安全管理体系规范
信息安全管理体系规范(Part I)(信息安全管理实施细则)目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全?对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。
信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。
信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。
无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。
信息安全的主要特征在于保护其-保密性:确保只有那些经过授权的人员可以接触信息-完整性:保护信息和信息处理办法的准确性和完整性-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。
信息安全法律法规清单
信息安全法律法规清单《信息安全法律法规清单》Chapter 1 总则1.1 信息安全法律法规的概述1.2 信息安全的基本概念和原则1.3 信息安全法律法规的适用范围Chapter 2 信息安全管理体系2.1 信息安全管理体系的建立和运行2.2 信息安全责任与组织2.3 信息安全培训与意识提升2.4 信息安全事件处置与应急预案Chapter 3 信息安全工作的审核与评估3.1 信息安全工作的审核机制3.2 信息安全风险评估与管理3.3 信息安全合规性审核与认证Chapter 4 信息安全技术要求4.1 信息系统的网络与安全设施4.2 信息系统的访问控制与身份认证4.3 信息系统的加密与解密4.4 信息系统的漏洞管理与补丁安装4.5 信息系统的日志审计与追踪4.6 信息系统的备份与恢复Chapter 5 信息安全事件与应急处理5.1 信息安全事件的识别与分类5.2 信息安全事件的发生与处理程序5.3 信息安全应急处理的组织与指挥机制5.4 信息安全事件的调查与证据保全Chapter 6 个人信息保护6.1 个人信息的概念与范围6.2 个人信息的收集与使用6.3 个人信息的存储与传输6.4 个人信息的安全保护6.5 个人信息泄露与违法处理Chapter 7 互联网安全管理7.1 网络数据交换的安全管理7.2 互联网应用程序开发与管理7.3 网络服务提供者责任与违法处理7.4 云计算与大数据安全管理附件:附件一:信息安全法律法规相关法律文件附件二:信息安全管理体系示意图附件三:信息安全事件处置流程图附件四:个人信息保护合规自查表格法律名词及注释:1. 信息安全:指在计算机技术和网络环境下,保护信息的机密性、完整性和可用性的所有措施。
2. 信息安全事件:指发生在信息系统中的导致或可能导致信息泄露、破坏、丢失或其他不正常状态的事件。
3. 个人信息:指以电子或其他方式记录的与特定自然人的相关信息。
4. 个人信息保护:指对个人信息进行合法、合理、安全的处理和保护,防止个人信息被非法获取和使用。
2020年IS027001信息安全法律法规及相关要求清单
全国人大常委会 全国人大常委会
4
中华人民共和国民法
2017/3/15 2017/10/1
全国人大常委会
5
中华人民共和国国家安全法2Biblioteka 15/7/12015/7/1
全国人大常委会
6
中华人民共和国网络安全法
2016/11/7
2017/6/1
全国人大常委会
7
全国人民代表大会常务委员会关于加强网络信息保护的决定
中华人民共和国电子商务法
2018/8/31
2019/1/1
全国人大常委会
25
寄递服务用户个人信息安全管理规定
2014/3/19 2014/3/19
国家邮政局
26
人民银行关于银行业金融机构做好个人金融信息保护工作的通知
2011/5/1
2011/5/1
中国人民银行
第 2 页,共 3 页
备注
2020年IS027001信息安全法律法规及相关要求清单
2020年IS027001信息安全法律法规及相关要求清单
序号 1
类别
中华人民共和国宪法修正案
法律名称
颁布时间 实施时间 2019/3/11 2019/3/11
颁布部门 全国人大常委会
备注
2
中华人民共和国侵权责任法
基础法律
3
中华人民共和国刑法修正案
2009/12/26 2010/7/1 2015/8/29 2015/11/1
类别
法律名称 最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干 问题的解释
中华人民共和国计算机软件保护条例
颁布时间 实施时间
2017/4/26
2017/7/6
ISO27001-2013信息安全管理体系要求
目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色,职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。
采用信息安全管理体系是组织的一项战略性决策。
组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。
所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。
重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。
信息安全管理体系的实施要与组织的需要相符合。
本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。
信息安全相关法规清单
信息安全相关法规清单信息安全相关法规清单1. 《中华人民共和国网络安全法》1.1 网络基础设施安全保护1.1.1 运营者责任运营者应建立健全网络安全管理制度,采取技术措施、制定数据安全措施和应急预案等,保障网络安全。
1.1.2 重要信息基础设施安全保护针对重要信息基础设施,运营者应建立网络安全保护制度和技术防护措施。
1.2 个人信息保护1.2.1 数据收集和使用运营者在收集、使用个人信息时,应取得同意,并明确告知目的、方式和范围。
1.2.2 个人信息安全保护运营者应采取合理的技术措施和其他必要措施,保障个人信息安全。
1.3 威胁情报分享1.3.1 鼓励组织之间共享网络攻击信息,并及时采取相应措施进行防御。
2. 《中华人民共和国电子商务法》2.1 电子商务平台经营者责任2.1.1 平台经营者应加强技术防控和信息安全管理,保障信息安全。
2.2 网络交易安全2.2.1 平台经营者应加强对网络交易活动的监管,防范虚假交易和网络欺诈等违法行为。
3. 《中华人民共和国个人信息保护法(草案)》3.1 个人信息的定义与范围3.1.1 确定个人信息的界定范围和保护原则。
3.2 个人信息的处理3.2.1 个人信息的合法获取和使用规定个人信息收集、存储、使用等方面的要求。
3.2.2 个人信息安全保护的义务个人信息处理者应采取合理安全措施,防止个人信息泄露、丢失、损毁等。
4. 《中华人民共和国计算机信息系统安全保护条例》4.1 信息系统安全管理4.1.1 确立信息系统安全管理制度,建立信息安全责任制。
4.2 信息系统安全保护4.2.1 确保信息系统的可靠性和稳定性,实施监控、发现和防御等措施。
5. 《航空器民用无线电通信设备和系统技术要求》5.1 无线电通信设备安全性要求5.1.1 无线电设备需满足航空器民用通信的安全性要求。
附件清单:附件1:《中华人民共和国网络安全法》全文附件2:《中华人民共和国电子商务法》全文附件3:《中华人民共和国个人信息保护法(草案)》全文附件4:《中华人民共和国计算机信息系统安全保护条例》全文附件5:《航空器民用无线电通信设备和系统技术要求》全文法律名词及注释:1. 运营者:指互联网信息服务提供者、网络接入服务提供者等法律规定的网络服务提供者。
ISO27001:2013信息安全法律法规清单及合规性评价
36
地质灾害防止条例
2003.11.24
2004.03.01
国务院394号
符合
37
电力安全生产监管办法
2004.03.09
2004.03.09
国家电力监管委员会第2号
符合
劳 动 类
38
中华人民共和国劳动法
1994.07.05
1995.1.1
华人民共和国主席令第二十八号
符合
39
失业保险条例
1998.12.26
信息安全法律法规清单及合规性评价
文件编号:XX-D-40-01
序号
法律、法规及其他要求名称
颁布时间
实施时间
颁布部门
符合性评价
备注
信 息 化 类
1
全国人大常委会关于维护互联网安全的决定
2000.12.28
2000.12.28
全国人大常委会
符合
2
中华人民共和国计算机信息系统安全保护条例
1994.02.18
1994.02.18
国务院第147号令
符合
3
中华人民共和国计算机信息网络国际联网管理暂行规定
1996.02.01
1996.02.01
国务院第195号令
符合
4
中华人民共和国计算机软件保护条例
2001.12.20
2002.01.01
国务院第339号令
符合
5
中华人民共和国信息网络传播权保护条例
2006.05.10
2006.07.01
国务院第468号令
符合
6
中华人民共和国计算机信息网络国际联网管理暂行规定实施办法
1998.02.13
ISO27001法律法规清单
1
2
3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
27
28 29 30 31 32
法律法规及标准名称
颁布单位
颁布日期
中华人民共和国国家安全法
中华人民共和国主席令第 68号
1993-02-22
中华人民共和国公安部、
信息安全等级保护管理办法 国家保密局、国家密码管 2007-06-22
信息安全技术 信息系统安全 工程管理要求
国家质1
信息安全技术 信息系统安全 等级保护基本要求(报批稿)
中华人民共和国公安部
2007-06-27
信息技术安全技术 信息安全 事件管理指南
国家质量监督检验检疫总 局
2007-06-14
实施日期
1993-02-22
2007-06-22
国家质量监督检验检疫总 局
2007-06-14
信息安全技术 网络基础安全 技术要求
国家质量监督检验检疫总 局
2006-05-31
信息安全技术 信息安全事件 分类分级指南
国家质量监督检验检疫总 局
2007-06-14
信息安全技术 入侵检测系统 技术要求和测试评价方法
国家质量监督检验检疫总 局
2006-05-31
中华人民共和国公安部
1994-04-21
电子计算机机房设计规范
国家技术监督局、中华人 民共和国建设部
1993-02-17
商用密码科研管理规定
国家密码管理局
2005-12-11
国务院关于修改〈外商投资电 信企业管理规定〉的决定
中华人民共和国国务院
2008-09-10
ISO27001信息安全管理体系新旧版本标准条款对照表
ISO27001:2013
ISO27001:2005
A.5 信息安全方针
A.5 信息安全方针
A.5.1 信息安全管理指引
A.5.1 信息安全管理指引
目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。
目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。
A.5.1.1 信息安全方针
应定义信息安全方针,信息安全方针文件应经 过管理层批准,并向所有员工和相关方发布和 A.5.1.1 沟通。
信息安全方针
信息安全方针文件应由管理者批准、发布并传达给 所有员工和外部相关方。
A.5.1.2 信息安全方针的评审
应定期或在发生重大的变化时评审方针文件, A.5.1.2
目标:在组织内管理信息安全。
管理者应通过清晰的说明、可证实的承诺、明确的
A.6.1.1 信息安全的角色和职责 应定义和分配所有信息安全职责。
A.6.1.1 信息安全的管理承诺 信息安全职责分配及确认,来积极支持组织内的安
全。
A.6.1.2 职责分离
有冲突的职责和责任范围应分离,以减少对组 A.6.1.2 信息安全协调
措施。
处理与顾客有关的安全 应在2
问题
定的安全要求。
涉及访问、处理或管理组织的信息或信息处理设施
处理第三方协议中的安 以及与之通信的第三方协议,或在信息处理设施中
A.6.2.3
全问题
增加产品或服务的第三方协议,应涵盖所有相关的
安全要求。
A.6.2 移动设备和远程办公
应保持与特定权益团体、其他安全专家组和专业协 A.6.1.7 与特定权益团体的联系
ISO27001信息安全法律法规一览表
ISO27001信息安全法律法规一览表序号通用法律法规名称来源说明生效/实施日期01中华人民共和国专利法1984年3月12日第六届全国人民代表大会常务委员会第四次会议通过根据1992年9月4日第七届全国人民代表大会常务委员会第二十七次会议《关于修改⟨中华人民共和国专利法⟩的决定》第一次修正根据2000年8月25日第九届全国人民代表大会常务委员会第十七次会议《关于修改⟨中华人民共和国专利法⟩的决定》第二次修正根据2008年12月27日第十一届全国人民代表大会常务委员会第六次会议《关于修改⟨中华人民共和国专利法⟩的决定》第三次修正)1985.04.0102中华人民共和国质量法中华人民共和国主席令(第三十三号)由中华人民共和国第九届全国人民代表大会常务委员会第十六次会议于2000年7月8日通过,自2000年9月1日起施行。
2000.09.0103中华人民共和国会计法中华人民共和国主席令(第二十四号)由中华人民共和国第九届全国人民代表大会常务委员会第十二次会议于1999年10月31日修订通过,自2000年7月1日起施行。
2000.07.0104中华人民共和国公司法根据2012年12月28日第十二届全国人民代表大会常务委员会第六次会议通过《关于修改<中华人民共和国海洋环境保护法>等七部法律的决定》第三次修正,于2014年3月1日起实施 )1994.07.0105中华人民共和国合同法由中华人民共和国第九届全国人民代表大会第二次会议于1999年3月15日通过,自1999年10月1日起施行。
1999.10.0106中华人民共和国商标法1982年8月23日第五届全国人民代表大会常务委员会第二十四次会议通过。
1993年2月22日第七届全国人民代表大会常务委员会第三十次会议第一次修正。
2001年10月27日第九届全国人民代表大会常务委员会第二十四次会议第二次修正。
根据2013年8月30日第十二届全国人民代表大会常务委员会第四次会议《关于修改〈中华人民共和国商标法〉的决定》第三次修正)1983.03.0107中华人民共和国档案法1987年9月5日第六届全国人民代表大会常务委员会第二十二次会议通过。
信息安全记录表-ISO27001体系
不符合项报告及纠正报告单分布表
HW-ISMS-IR-04-03
纠正预防措施报告
5
信息安全事件管理程序
HW-ISMS-IR-05-01
信息安全事件调查处理报告2017-02-15(行政人事部)
HW-ISMS-IR-05-02
信息安全事件调查处理报告2017-06-02 (营销中心)
HW-ISMS-IR-06-03
业务持续性管理计划测试报告-恶意攻击
HW-ISMS-IR-06-04
业务持续性管理计划评审报告
HW-ISMS-IR-06-05
业务持续性管理计划恶意攻击应急演练表
HW-ISMS-IR-06-06
业务持续性演练计划恶意攻击预案
HW-ISMS-IR-06-07
业务持续性演练计划
HW-ISMS-IR-11-02
内部审核计划
HW-ISMS-IR-11-03
内部审核计划
HW-ISMS-IR-11-04
审核组长(成员)任命书
HW-ISMS-IR-11-05
内部审核员评定表
HW-ISMS-IR-11-06
信息安全重要岗位评定表
HW-ISMS-IR-11-07
内部审核报告
HW-ISMS-IR-11-08
相关方保密协议
9
网络设备安全配置管理程序
HW-ISMS-IR-09-01
网络设备安全配置表
10
信息处理设施使用与维护管理程序
HW-ISMS-IR-10-01
信息处理设施移交记录
HW-ISMS-IR-10-02
第三方物理访问申请授权表
HW-ISMS-IR-10-03
采购申请单及验收报告
27001信息安全管理体系各领域条款内容及目标和对应控制措施汇总表
目标:确保系统的完整性。
A.12.5.1 运营系统的软件安装
应建立程序对运营中的系统的软件安装进行控制。
A.12.6 技术漏洞管理
目标:防止技术漏洞被利用 A.12.6.1 管理技术漏洞 A.12.6.2 软件安装限制
应及时获得组织所使用的信息系统的技术漏洞的信息,对漏洞进行评估,并采取适当 的措施去解决相关风险。
A.9.2.5 用户访问权限的评审 A.9.2.6 撤销或调整访问权限 A.9.3 用户责任
资产所有者应定期审查用户访问权限。
在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其 信息和信息处理设施的访问权限。
目标:用户应保护他们的认证信息。
A.9.3.1 认证信息的使用
应要求用户遵循组织的做法使用其认证信息。
A.13.1.1 网络控制 A.13.1.2 网络服务安全 A.13.1.3 网络隔离
应对网络进行管理和控制,以保护系统和应用程序的信息。 应识别所有网络服务的安全机制、服务等级和管理要求,并包括在网络服务协议中, 无论这种服务是由内部提供的还是外包的。 应在网络中按组(GROUP)隔离信息服务、用户和信息系统。
应建立并实施用户软件安装规则。
A.12.7 信息系统审计的考虑因素
目标:最小审计活动对系统运行影响。 A.12.7.1 信息系统审核控制 A.13 通信安全
应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可,以最小化中断业务 过程。
A.13.1 网络安全管理
目标:确保网络及信息处理设施中信息的安全。
A.6.2.1 移动设备策略
应采取安全策略和配套的安全措施控制使用移动设备带来的风险。
A.6.2.2 远程办公
信息安全法律法规清单
信息安全法律法规清单信息安全法律法规清单一、引言信息安全法律法规是指国家和地方制定的用于管理和保护信息安全的法律法规。
随着信息技术与互联网的快速发展,信息安全问题日益突出,为了保护个人和社会的信息安全,各国不断制定和完善相关法规。
本文将详细介绍我国现行的信息安全法律法规。
二、中华人民共和国宪法中华人民共和国宪法是我国的最高法律,它保障了公民的信息权利和国家机关的信息安全责任。
宪法第二十六条明确规定:“中华人民共和国保护公民的个人信息”,并且禁止非法获取、使用、公开他人的个人信息。
此外,宪法还规定国家保障信息网络的安全。
三、网络安全法《网络安全法》是我国信息安全的基本法律,于2022年6月1日施行。
该法明确了国家对网络安全的责任、网络运营者的义务、网络信息的保护等内容。
《网络安全法》还规定了网络产品和服务提供者应当采取的安全措施,并明确了相关行业的监管要求。
四、电子商务法《电子商务法》是我国电子商务领域的基本法律,于2022年1月1日正式实施。
该法规定了电子商务经营者的信息安全管理义务,包括信息安全管理制度的建立、数据安全保护措施的采取等。
此外,该法还明确了违法行为的处罚条款。
五、反恶意程序法《反恶意程序法》是我国针对恶意程序(如计算机病毒、木马程序等)制定的专门法律,于2022年5月1日生效。
该法规定了恶意程序的定义和分类,明确了相关单位和个人的安全责任和义务,并对恶意程序的生产、传播、使用等行为进行了严厉的处罚。
六、数据安全管理办法《数据安全管理办法》是由国家互联网信息办公室制定的一项行政法规,于2022年5月1日正式实施。
该办法明确了对数据的分类管理要求,对关键数据、个人信息等进行了特殊保护,并规定了相关单位和个人的安全责任和义务。
七、通信保密法《通信保密法》是我国通信行业的基本法律,于2022年12月1日起施行。
该法规定了通信保密的原则和范围,保护了公民和组织的通信秘密和通信自由。
此外,该法还规定了通信业务经营者的安全保密义务。
信息安全法规清单
信息安全法规清单1. 导言信息安全是当代社会的重要命题,对于国家、企事业单位以及个人而言都具有重要意义。
因此,为了维护信息安全,各国都制定了相应的法规和政策。
本文将就信息安全法规进行一一解读,以帮助读者了解和掌握相关法规。
2. 信息安全法2.1 信息安全法的背景和作用信息安全法是中华人民共和国立法机关制定的一部重要法律,于2016年6月1日正式实施。
该法旨在加强对信息安全的管理,提高信息系统安全水平,维护国家安全和社会稳定。
信息安全法为信息控制、监管和惩处提供了法律基础,对于促进信息领域的健康发展起到了重要作用。
2.2 信息安全法的核心原则信息安全法确立了一些核心原则,以保障国家和个人的信息安全。
这些原则包括:1.法律面前人人平等原则:所有组织和个人在信息安全方面都必须遵守法律法规,不得有特权和豁免;2.自愿与强制相结合原则:重要信息基础设施运营者和关键信息基础设施运营者有义务履行信息安全保护义务,同时可以依法要求其他组织和个人配合履行信息安全保护义务;3.防范为主和威慑惩治相结合原则:加强防范措施,预防信息泄露和网络攻击,同时对违法行为给予威慑和严惩;4.技术规范和创新并重原则:注重技术标准的制定和创新,提高信息系统的安全性和灵活性。
3. 信息安全管理制度3.1 信息安全管理制度的定义信息安全管理制度是为了规范信息安全管理工作,确保信息系统和数据的安全运行而制定的一系列制度和规范。
合理有效的信息安全管理制度是保障信息系统安全的基础和前提。
3.2 信息安全管理制度的组成要素信息安全管理制度通常包括以下要素:1.信息安全管理责任制度:明确责任主体,分工和责任,确保信息安全管理的有效实施;2.信息安全管理规范制度:明确信息安全管理的要求和标准,包括组织安全、技术安全、物理安全等;3.信息安全管理流程制度:制定信息安全管理流程,确保安全管理工作有序进行,包括信息分类、风险评估、事件处理等;4.信息安全管理控制制度:制定信息安全管理的控制措施,包括访问控制、安全审计、安全备份等。
ISO27001文件-信息安全BPO培训之信息安全规定
公司通过ISO27001:2005体系来对信息安全做管理,通过体系的贯彻公司在信息安全方面制定了很多规章制度,这些制度规定需要在座的学习并遵守。
现在以ISMS为主线开始我们的培训;ISMS关注11安全控制域,39个控制目标,139个控制措施。
ISO 27001 控制范围目标控制措施安全政策 1 2安全管理的组织工作 2 11资产管理 2 5人力资源安全 3 9实体及环境安全 2 13通讯及操作管理 10 33进入及使用控制7 25系统发展及维护 6 16信息安全事故管理 2 5营运持续性计划 1 5符合性 3 1039 1341. 安全政策:公司为完成这项工作所做的指导性纲领,这主要体现在《信息安全手册》中,我们要学习和熟记的是信息安全的方针和目标;方针:“优质、高效、安全、规范”目标:1) 大面积内网中断时间每年累计不超过100分钟;2) 大规模病毒爆发每年不超过4次;3) 重要信息设备丢失每年不超过1起;4) 机密和绝密信息泄漏事件每年不超过2次;5) 客户针对信息安全事件的投诉每年不超过2次;6) 全员参与信息安全意识活动的比例每年不低于80%。
2. 安全管理的组织工作:这主要是公司为信息安全管理的实施组建相关的职能部门,并对相关人员赋予信息安全方面的权利以保障工作顺利进行。
在此我们要熟知公司信息安全相关的组织机构,在《信息安全组织建设规定》中明确了这样的组织。
3. 资产安全管理:识别公司所有需要保护的信息资产(信息以及信息的承载体硬件资产)并对其进行价值和风险评估,为制定安全措施提供依据。
我们所关注的资产包括两方面:信息和承载信息的硬件资产,信息一般包括:客户资料,产品数据、工作产生的信息、特别是工作中接触到的一些客户的客户秘密信息。
承载信息的硬件资产包括:电脑(台式和笔记本)、硬盘、U盘、磁盘、光盘以及一切能储存电子数据的介质。
关于对资产的评估不再这里多讲,会有专门的培训。
4. 人力资源安全:对人员从招聘时到离职的安全审查、培训管理。
ISO27001体系法律法规清单
序号
法律、法规及其他要求名称
颁布时间
实施时间
颁布部门
符合性评价
备注
信 息 化 类
1
全国人大常委会关于维护互联网安全的决定
2000.12.28
2000.12.28
全国人大常委会
符合
2
中华人民共和国计算机信息系统安全保护条例
1994.02.18
1997.12.12
1997.12.12
公安部第32号令
符合
9
计算机病毒防治管理办法
2000.04.26
2000.04.26
公安部第51号令
符合
10
恶意软件定义
2007.06.27
2007.06.27
中国互联网协会
符合
11
抵制恶意软件自律公约
2007.06.27
2007.06.27
中国互联网协会
符合
GB50057-94
符合
70
《低压配电设计规范》
GB50054-95
符合
71
《通讯机房静电防护通则》
YD/T754-95
符合
72
《环境电磁卫生标准》
GB9175-88
符合
73
《电磁辐射防护规定》
GB8702-88
符合
74
《电子计算机机房工程施工及验收规范》
SJ/T30003-93
符合
音视频设备
76
《终端的声学特性技术要求》
2010
2010
符合
47
48
GA/T671-2006信息安全技术终端计算机系统安全等级技术要求
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO27001信息安全法律法规一览表序号通用法律法规名称来源说明生效/实施日期01中华人民共和国专利法1984年3月12日第六届全国人民代表大会常务委员会第四次会议通过根据1992年9月4日第七届全国人民代表大会常务委员会第二十七次会议《关于修改⟨中华人民共和国专利法⟩的决定》第一次修正根据2000年8月25日第九届全国人民代表大会常务委员会第十七次会议《关于修改⟨中华人民共和国专利法⟩的决定》第二次修正根据2008年12月27日第十一届全国人民代表大会常务委员会第六次会议《关于修改⟨中华人民共和国专利法⟩的决定》第三次修正)1985.04.0102中华人民共和国质量法中华人民共和国主席令(第三十三号)由中华人民共和国第九届全国人民代表大会常务委员会第十六次会议于2000年7月8日通过,自2000年9月1日起施行。
2000.09.0103中华人民共和国会计法中华人民共和国主席令(第二十四号)由中华人民共和国第九届全国人民代表大会常务委员会第十二次会议于1999年10月31日修订通过,自2000年7月1日起施行。
2000.07.0104中华人民共和国公司法根据2012年12月28日第十二届全国人民代表大会常务委员会第六次会议通过《关于修改<中华人民共和国海洋环境保护法>等七部法律的决定》第三次修正,于2014年3月1日起实施 )1994.07.0105中华人民共和国合同法由中华人民共和国第九届全国人民代表大会第二次会议于1999年3月15日通过,自1999年10月1日起施行。
1999.10.0106中华人民共和国商标法1982年8月23日第五届全国人民代表大会常务委员会第二十四次会议通过。
1993年2月22日第七届全国人民代表大会常务委员会第三十次会议第一次修正。
2001年10月27日第九届全国人民代表大会常务委员会第二十四次会议第二次修正。
根据2013年8月30日第十二届全国人民代表大会常务委员会第四次会议《关于修改〈中华人民共和国商标法〉的决定》第三次修正)1983.03.0107中华人民共和国档案法1987年9月5日第六届全国人民代表大会常务委员会第二十二次会议通过。
根据1996年7月5日第八届全国人民代表大会常务委员会第二十次会议《关于修改<中华人民共和国档案法>的决定》修正。
1988.01.0108 中华人民共和国刑法1979年7月1日第五届全国人民代表大会第二次会议通过。
《中华人民共和国刑法修正案(八)》(发布日期:2011年2月25日实施日期:2011年5月1日)修正或修改1997 .10 .0109中华人民共和国消防法1998年4月29日第九届全国人民代表大会常务委员会第二次会议通过,2008年10月28日第十一届全国人民代表大会常务委员会第五次会议修订2009.05.0110中华人民共和国民法通则中华人民共和国主席令第三十七号《中华人民共和国民法通则》已由中华人民共和国第六届全国人民代表大会第四次会议于一九八六年四月十二日通过,现予公布,自一九八七年一月一日起施行。
1987.01.0111中华人民共和国劳动法1994年7月5日第八届全国人民代表大会常务委员会第八次会议通过。
1995.01.0112中华人民共和国劳动合同法2007年6月29日第十届全国人民代表大会常务委员会第二十八次会议通过。
2008.01.0113 中华人民共和国国家1993年2月22日第七届全国人民代表大会常务委员会第三十次1993.02.22安全法会议通过,1993年2月22日中华人民共和国主席令第68号公布。
14中华人民共和国标准化法1988年12月29日第七届全国人民代表大会常务委员会第五次会议通过,1988年12月29日中华人民共和国主席令第11号公布。
1989.04.0115中华人民共和国治安管理处罚条例《中华人民共和国治安管理处罚条例》现在已变成《中华人民共和国治安管理处罚法》2005年8月28日公布,2006年3月1日起实施1987.01.0116中华人民共和国消费者权益保护法全国人民代表大会常务委员会关于修改<中华人民共和国消费者权益保护法>的决定》已由中华人民共和国第十二届全国人民代表大会常务委员会第五次会议于2013年10月25日通过,现予公布,自2014年3月15日起施行。
1994.04.0117中华人民共和国著作权法1990年9月7日第七届全国人民代表大会常务委员会第十五次会议通过,根据2001年10月27日第九届全国人民代表大会常务委员会第二十四次会议《关于修改〈中华人民共和国著作权法〉的决定》修正,根据2010年2月26日第十一届全国人民代表大会常务委员会第十三次会议《关于修改〈中华人民共和国著作权法〉的决定》第二次修正。
1991.06.0118关于互联网中文域名管理的通告随着我国社会和经济的不断发展,提高计算机和网络的普及应用程度,合理扩大利用互联网,己成为推进国民经济和社会信息化的重要任务。
2001.01.0119 维护互联网安全的决定2000年12月28日,第九届全国人民代表大会常务委员会第十九次会议通过《全国人民代表大会常务委员会关于维护互联网安全的决定》。
2000.12.28.20 商用密码管理条例为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,制定商用密码管理条例。
本条例为中华人民共和国国务院令第273号,自1999年10月7日发布之日起实施。
1999.10.0721计算机病毒防治管理办法中华人民共和国公安部令第51号《计算机病毒防治管理办法》已经2000年3月30日公安部部长办公会议通过,现予发布施行。
公安部部长贾春旺二○○○年四月二十六日2000.04.2622 计算机软件保护条例中华人民共和国国务院令第339号现公布《计算机软件保护条例》,自2002年1月1日起施行。
总理朱镕基二2002.01.0100一年十二月二十日23 软件产品管理办法《软件产品管理办法》已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过,现予公布,自2009年4月10日起施行。
原中华人民共和国信息产业部2000年10月27日发布的《软件产品管理办法》(中华人民共和国信息产业部令第5号)同时废止。
2009.04.1024互联网信息服务管理办法《互联网信息服务管理办法》经2000年9月20日国务院第31次常务会议通过,2009年9月25日公布施行。
该办法共二十七条,自公布之日起施行。
2009.09.2525中华人民共和国电子签名法第十八号《中华人民共和国电子签名法》已由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,现予公布,自2005年4月1日起施行。
2005.04.0126中华人民共和国技术进出口管理条例为了规范技术进出口管理,维护技术进出口秩序,促进国民经济和社会发展,根据《中华人民共和国对外贸易法》及其他有关法律的有关规定制定。
经2001年10月31日国务院第46次常务会议通过,由中华人民共和国国务院于2002年1月1日颁布施行。
共计五章五十五条。
2002.01.0127中华人民共和国计算机信息系统安全保护条例中华人民共和国国务院令第147号,自发布之日起施行。
总理李鹏1994年2月18日1994.02.1828中华人民共和国保守国家秘密法实施条例自2014年3月1日起施行。
总理李克强201429计算机信息系统安全专用产品分类原则1997-04-21 发布1997-07-01实施公安部发布1997.04.2130计算机信息系统国际联网保密管理规定计算机信息系统国际联网保密管理规定,国家颁布的关于计算机信息希望国际互联网的保密内容的管理规定第一条为了加强计算机信息系统国际联网的保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》和国家有关法规的规定,制定本规定。
第二条计算机信息系统国际联网,是指中华人民共和国境内的计算机信息系统为实现信息的国际交流,同外国的计算机信息网络相联接。
第三条凡进行国际联网的个人、法人和其他组织(以下统称用户),互联单位和2000.01.01接入单位,都应当遵守本规定。
31计算机信息网络国际联网安全保护管理办法《计算机信息网络国际联网安全保护管理办法》是由中华人民共和国国务院于1997年12月11日批准,公安部于1997年12月16日颁布,于1997年12月30日实施,法规文号为公安部令〔第33号〕,效力级别为行政法规。
1997.12.3032 GA/T 390-2002 计算机信息系统安全等级保护通用技术要求中华人民共和国公安部发布2002.07.1833 GB/Z 20985-2007信息技术安全技术信息安全事件管理指南中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2007.06.1634强制性产品认证管理规定国家质量监督检验检疫总局2009.9.1 35ISO9000:2008质量管理体系标准TC176(TC176指质量管理体系技术委员会)制定的所有国际标准200836 中华人民共和国宪法2004年3月14日第十届全国人民代表大会第二次会议通过的《中华人民共和国宪法修正案》修正)1982年37中华人民共和国侵权责任法中华人民共和国第十一届全国人民代表大会常务委员会第十二次会议于2009年12月26日通过,现予公布,自2010年7月1日起施行2010年38中华人民共和国招标投标法999年8月30日第九届全国人民代表大会常务委员会第十一次会议通过1999年8月30日中华人民共和国主席令第二十一号公布自2000年1月1日起施行2000年39中华人民共和国招标投标法条例《中华人民共和国招标投标法实施条例》已经2011年11月30日国务院第183次常务会议通过,现予公布,自2012年2月1日起施行2012。