信息安全相关政策解读
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
▪ 对信息安全风险评估机构的指定(1家+3家) ▪ 信息安全风险评估经费计入该项目总投资 ▪ 投入运行后,应定期开展信息安全风险评估
9
关于加强政府信息系统安全和保密管 理工作的通知(国办发[2008]17号 )
❖ 明确职责
▪ 把信息安全和保密工作列入重要议事日程,明确一名主管领导 ▪ 谁主管谁负责、谁运行谁负责、谁使用谁负责
❖ 强化人员培训
▪ 组织信息安全和保密基本技能培训,开展信息安全和保密形势分析 ▪ 深入学习宣传信息安全“五禁止”规定
❖ 风险评估的主要内容
▪ 分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性 、已有的安全措施和残余风险的影响等
❖ 两类信息系统的工作开展
▪ 涉密信息系统参照“分级保护”,进行系统测评并履行审批手续 ▪ 非涉密信息系统参照“等级保护”,完成等级测评和风险评估工作,并形成相
关报告
❖ 相关要点
▪ 由“狭义信息安全”向“广义信息安全”延伸
✓ IT服务(外包)的信息安全保障
✓ 新技术、新应用下的信息安全保障
6
课程内容(1)
信息安全 相关政策
国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介
知识域:信息安全相关政策
❖ 知识子域:信息安全相关国家政策
▪ 了解信息安全相关国家政策,掌握风险评估等涉及信息 安全的相关内容
十一五:试点 十二五:普及推广
5
我国信息安全政策的初步成效、后续展望
❖ 初步成效
▪ 依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求 、工作原则和重点工作内容
▪ 围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的 信息安全政策(风险评估、等级保护、电子政务类、应急预案等)
❖ 基本工作要求
▪ 应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维) ▪ 定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估
❖ 相关保障
▪ 参照标准:《信息安全风险评估规范》(GB/T 20984-2007)、 《信息安全风险管理指南》 (GB/Z 24364-2009)
▪ 服务资质(对于涉及国计民生的基础网络和重要信息系统的风险评估技术服 务,要由国家专控的队伍来承担)
▪ 掌握信息安全等级保护政策体系,熟悉信息安全等级保 护相关政策
8
关于开展信息安全风险评估工作的意见 (国信办[2006]5号)
❖ 信息安全风险评估(基于风险管理)
▪ 系统分析网络与信息系统所面临的威胁及其存在的脆弱性 ▪ 评估安全事件一旦发生可能造成的危害程度 ▪ 提出有针对性的抵御威胁的防护对策和整改措施
❖ 主要任务(重点加强的安全保障工作)
▪ 实行信息安全等级保护 ▪ 加强以密码技术为基础的信息保护和网络信任体系建设 ▪ 建设和完善信息安全监控体系 ▪ 重视信息安全应急处理工作 ▪ 加强信息安全技术研究开发,推进信息安全产业发展 ▪ 加强信息安全法制建设和标准化建设 ▪ 加快信息安全人才培养,增强全民信息安全意识 ▪ 保证信息安全资金 ▪ 加强对信息安全保障工作的领导,建立健全信息安全管理责任制
❖ 完善安全措施和手段
▪ 管理制度+技术手段
❖ 加强信息安全检查
▪ 详见《政府信息系统安全检查办法》
10
关于印发国家网络与信息安全事件应急预 案的通知(国办函[2008]168号)
❖ 背景
▪ 2003年:国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》 ▪ 2006年:《国家突发公共事件总体应急预案》(4大类公共事件)
信息安全相关政策解读
课程内容(1)
信息安全 相关政策
国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介
知识域:信息安全相关政策
❖ 知识子域:国家信息安全保障总体情况
▪ 掌握国家有关政策对信息安全保障工作的总体方针和 要求
▪ 掌握国家有关政策规定的加强信息安全保障工作主要 原则
▪ 其他领域:灾难备份、管理体系、监控、应急、信任体系、产品和服务认
证、人员培训和认证等
❖ 后续展望
十一五:试点 十二五:普及推广
▪ “十一五”期间发布的各项政策均将进入落实期
▪ 由电子政务领域向其他领域拓展
▪ 尽快形成“统一的”信息安全服务资质管理体制
✓ 基于信息安全服务类的标准(政策带动标准,标准支撑政策) ✓ 统一安全服务行业的企业资质和人员资质
❖ 主要原则
▪ 立足国情,以我为主,坚持技术与管理并重; ▪ 正确处理安全和发展的关系,以安全保发展,在发展中求安全; ▪ 统筹规划,突出重点,强化基础工作; ▪ 明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑
国家信息安全保障体系。
4
《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)
▪ 掌握国家有关政策规定需要重点加强的信息安全保障 工作
3
《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)
❖ 意义
▪ 标志着我国信息安全保障工作有了总体纲领 ▪ 提出要在5年内建设中国信息安全保障体系
❖ 总体方针和要求
▪ 坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基 础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信 息化发展,保护公众利益,维护国家安全。
《国家网络与信息安全事件应急预案》 ▪ 2007年:制定发布《国家突发事件应对法》
❖ 预案要点
▪ 网络与信息安全事件的分类分级
• 参照标准:《信息安全事件分类分级指南》(GB/Z 20986)
▪ 应急流百度文库:预防预警—应急处置—后期处置
• 参照标准:《信息安全事件管理指南》(GB/Z 20985)
▪ 组织体系和应急保障
• 应急队伍、经费、物资、通信、科技。。。
❖ 监督管理
▪ 宣传教育、培训、演练、责任与奖惩
11
关于加强国家电子政务工程建设项目信息安 全风险评估工作的通知(发改高技[2008]2071号)
❖ 依据和目的
▪ 《国家电子政务工程建设项目管理暂行办法》---国家发改委令[2007]第55号 ▪ 三部委联合发文:发改委、公安部、保密局 ▪ 将“信息安全风险评估”作为项目验收的重要内容(按要求提交一系列文档)
9
关于加强政府信息系统安全和保密管 理工作的通知(国办发[2008]17号 )
❖ 明确职责
▪ 把信息安全和保密工作列入重要议事日程,明确一名主管领导 ▪ 谁主管谁负责、谁运行谁负责、谁使用谁负责
❖ 强化人员培训
▪ 组织信息安全和保密基本技能培训,开展信息安全和保密形势分析 ▪ 深入学习宣传信息安全“五禁止”规定
❖ 风险评估的主要内容
▪ 分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性 、已有的安全措施和残余风险的影响等
❖ 两类信息系统的工作开展
▪ 涉密信息系统参照“分级保护”,进行系统测评并履行审批手续 ▪ 非涉密信息系统参照“等级保护”,完成等级测评和风险评估工作,并形成相
关报告
❖ 相关要点
▪ 由“狭义信息安全”向“广义信息安全”延伸
✓ IT服务(外包)的信息安全保障
✓ 新技术、新应用下的信息安全保障
6
课程内容(1)
信息安全 相关政策
国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介
知识域:信息安全相关政策
❖ 知识子域:信息安全相关国家政策
▪ 了解信息安全相关国家政策,掌握风险评估等涉及信息 安全的相关内容
十一五:试点 十二五:普及推广
5
我国信息安全政策的初步成效、后续展望
❖ 初步成效
▪ 依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求 、工作原则和重点工作内容
▪ 围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的 信息安全政策(风险评估、等级保护、电子政务类、应急预案等)
❖ 基本工作要求
▪ 应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维) ▪ 定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估
❖ 相关保障
▪ 参照标准:《信息安全风险评估规范》(GB/T 20984-2007)、 《信息安全风险管理指南》 (GB/Z 24364-2009)
▪ 服务资质(对于涉及国计民生的基础网络和重要信息系统的风险评估技术服 务,要由国家专控的队伍来承担)
▪ 掌握信息安全等级保护政策体系,熟悉信息安全等级保 护相关政策
8
关于开展信息安全风险评估工作的意见 (国信办[2006]5号)
❖ 信息安全风险评估(基于风险管理)
▪ 系统分析网络与信息系统所面临的威胁及其存在的脆弱性 ▪ 评估安全事件一旦发生可能造成的危害程度 ▪ 提出有针对性的抵御威胁的防护对策和整改措施
❖ 主要任务(重点加强的安全保障工作)
▪ 实行信息安全等级保护 ▪ 加强以密码技术为基础的信息保护和网络信任体系建设 ▪ 建设和完善信息安全监控体系 ▪ 重视信息安全应急处理工作 ▪ 加强信息安全技术研究开发,推进信息安全产业发展 ▪ 加强信息安全法制建设和标准化建设 ▪ 加快信息安全人才培养,增强全民信息安全意识 ▪ 保证信息安全资金 ▪ 加强对信息安全保障工作的领导,建立健全信息安全管理责任制
❖ 完善安全措施和手段
▪ 管理制度+技术手段
❖ 加强信息安全检查
▪ 详见《政府信息系统安全检查办法》
10
关于印发国家网络与信息安全事件应急预 案的通知(国办函[2008]168号)
❖ 背景
▪ 2003年:国务院成立应急办,颁布了《国家突发公共卫生事件应急条例》 ▪ 2006年:《国家突发公共事件总体应急预案》(4大类公共事件)
信息安全相关政策解读
课程内容(1)
信息安全 相关政策
国家信息安全保障总体情况 信息安全相关国家政策 国外信息安全相关政策简介
知识域:信息安全相关政策
❖ 知识子域:国家信息安全保障总体情况
▪ 掌握国家有关政策对信息安全保障工作的总体方针和 要求
▪ 掌握国家有关政策规定的加强信息安全保障工作主要 原则
▪ 其他领域:灾难备份、管理体系、监控、应急、信任体系、产品和服务认
证、人员培训和认证等
❖ 后续展望
十一五:试点 十二五:普及推广
▪ “十一五”期间发布的各项政策均将进入落实期
▪ 由电子政务领域向其他领域拓展
▪ 尽快形成“统一的”信息安全服务资质管理体制
✓ 基于信息安全服务类的标准(政策带动标准,标准支撑政策) ✓ 统一安全服务行业的企业资质和人员资质
❖ 主要原则
▪ 立足国情,以我为主,坚持技术与管理并重; ▪ 正确处理安全和发展的关系,以安全保发展,在发展中求安全; ▪ 统筹规划,突出重点,强化基础工作; ▪ 明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑
国家信息安全保障体系。
4
《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)
▪ 掌握国家有关政策规定需要重点加强的信息安全保障 工作
3
《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)
❖ 意义
▪ 标志着我国信息安全保障工作有了总体纲领 ▪ 提出要在5年内建设中国信息安全保障体系
❖ 总体方针和要求
▪ 坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基 础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信 息化发展,保护公众利益,维护国家安全。
《国家网络与信息安全事件应急预案》 ▪ 2007年:制定发布《国家突发事件应对法》
❖ 预案要点
▪ 网络与信息安全事件的分类分级
• 参照标准:《信息安全事件分类分级指南》(GB/Z 20986)
▪ 应急流百度文库:预防预警—应急处置—后期处置
• 参照标准:《信息安全事件管理指南》(GB/Z 20985)
▪ 组织体系和应急保障
• 应急队伍、经费、物资、通信、科技。。。
❖ 监督管理
▪ 宣传教育、培训、演练、责任与奖惩
11
关于加强国家电子政务工程建设项目信息安 全风险评估工作的通知(发改高技[2008]2071号)
❖ 依据和目的
▪ 《国家电子政务工程建设项目管理暂行办法》---国家发改委令[2007]第55号 ▪ 三部委联合发文:发改委、公安部、保密局 ▪ 将“信息安全风险评估”作为项目验收的重要内容(按要求提交一系列文档)