信息安全管理CISP-网络安全监管
信息安全管理(CISP)—— 网络安全监管
目录
一、网络安全监管知识框架
网络安全政策
中央办公厅2003年发的27号文
总体方针和要求:积极防御(主动性),综合防范(全面系统)
目标和要求:全面提高信息安全防护能力,保护公众利益,维护国家安全。
原则:
立足国情、以我为主、技管并重;
正确处理安全和发展的关系;
统筹规划、突出重点、强化基础工作;哪些是基础工作:
人才培、养、立法立标、监督检查、组织架构
发挥国家、企业和个人的作用。
二、网络安全法律体系建设
知识框架
计算机犯罪
定义:狭义(信息系统为目标)和广义(包括狭义和其他目标)之分。
计算机犯罪特点:多样性、复杂化、国际化、不对称性。
特点:多样化、复杂化、国际化
趋势:从无意识到有组织、从个体侵害到国家威胁、跨越计算机本身的实施能力、低龄化成为法律制约难题
ps:这一部分了解一下就好,毕竟网络安全问题大家都是有目共睹哒
wan重点制度
网络安全立法演变为全球范围内的利益协调与国家的主权斗争
对传统的网络安全制度进行立法修正:机构职责和管理制度、监测预警及应急处置机制
对新问题进行应对: 关键基础设施保护 、数据安全防护、新技术业务引发的安全问题
主权原则
网络空间已成为领土、领海、领空、太空之外的第五空间或人类第二类生存空间成为国家主权延申的新疆域
网络安全法总则部分确立了网络主权原则:确立网络空间主权原则、明确网络安全管理体制及职责分工、明确特定情况下的域外适用效力
网络安全支持与促进
建立和完善网络安全标准体系建设
扶持网络安全产业
推动社会化网络安全服务体系建设
鼓励开发数据安全保护和利用技术、创新网络安全管理方式
开展经常性网络安全宣传教育
采取多种方式培养安全人才
ps:完善标准体系、扶持安全产业、推动体系建设、开创新技术新管理方式、安全宣传、培养人才
网络运行安全
明确要求落实网络安全等级保护制度
明确网络运营者的安全义务
内部安全管理(确定负责人)
安全技术措施(留存日志不少于6个月)
数据安全管理(重要数据备份加密)
网络身份管理(真实身份信息)
应急预案机制(补救措施)
安全协助义务(提供技术支持)
明确网络产品、服务提供者的安全义务
强制标准义务(国家标准)
告知补救义务(补救并告知用户、主管部门)
安全维护义务(维护在约定期限内不得停止)
个人信息保护(法律法规)
明确一般性安全保护义务
安全信息发布、禁止危害行为、信息使用规则
关键信息基础设施保护
人员安全管理、数据境内留存、应急预案机制、安全采购措施、风险评估机制
个人信息和重要数据出境范围:
50万以上的个人信息、数据量超过1000GB、七大重要领域数据等
明确我国实行网络安全审查制度
《网络产品和服务安全审查办法(试行)》于2017年6月1日与《网络安全法》一同实施
信息网络安全
《互联网新闻信息服务管理规定》于17年6月1日于《网络安全法》一同实施
互联网新闻信息服务的范围、六项许可条件、责任义务、监督检查要求、法律责任
《互联网信息内容管理行政执法程序规定》 于17年6月1日于《网络安全法》一同实施
执法依据、管辖范围、立案流程、取证过程、听证\约谈机制、处罚决定与执行办法
监测预警与应急响应处置
工作制度化、法制化
国家网信部门:统筹网络安全信息收集、分析和通报,统一发布网络安全监测预警信息;制定网络安全事件应急预案,定期组织演练
负责关键基础设施安全保护工作部门
省级以上人民政府有关部门
网络运营者
法律责任
图片来源:NISP二级课件V4.2标准版
其他网络安全相关法规及条款:国家安全法、保密法、电子签名法、反恐怖主义法、密码法
三、国家网络安全政策
国家网络空间安全战略:七种新机遇、六大严峻挑战、发展战略目标、四项原则、九大任务
国家安全等级保护制度
网络安全法明确我国实行网络安全等级保护制度
等保不规范亲人两行泪
四、网络安全道德准测
计算机职业道德准则
计算机职业伦理守则:美国计算机学会职业伦理守则、英国计算机学会伦理守则、计算机伦理视诫
CISP职业道德准则:
维护国家、社会和公众的信息安全
诚实守信、遵纪守法
努力工作、尽职尽责
发展自身、维护荣誉
五、信息安全标准
标准类型
国际标准、国家标准、行业标准、地方标准
标准化
标准化对象:人、物、事。
标准化概念:动态、相对、应用效益,简化、统一、协调、优化。
标准化组织:ISO\IEC\IETF\ITU等。
国际标准化组织(ISO)
我国标准化组织
国家标准化管理委员会、信息安全标准化技术委员会(TC260)对口ISO
组织结构:
图片来源同上
WG1信息安全管理体系的标准制定的,例如,iso/iec 27001-27005。
WG3是安全评估标准的制定,例如,iso/iec 15408(EAL1-7)。