搜索
信息安全法规、政策和标准培训机构培训讲师课程内容(1)信息安全法规与政策知识体知识域信息安全相关法规知识子域国家信息安全法治总体情况信息安全相关政策信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介信息安全相关地方法规、规章和行业规定课程内容(2)3信息安全标准知识体知识域信息安全标准化概述知识子域信息安全标准化概念信息安全相关标准信息安全标准化组织信息安全评估标准信息安全国家标准安全技术评估标准发展历史信息技术安全性评估准则信息安全国外标准课程内容(3)4知识体知识域知识子域道德规范信息安全从业人员道德规范通行道德规范CISP职业道德准则计算机使用道德规范因特网使用道德规范信息安全从业人员基本道德规范课程内容(1)信息安全法律法规政策知识体知识域信息安全相关法规知识子域国家信息安全法治总体情况信息安全相关政策信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介信息安全相关地方法规、规章和行业规定知识域:信息安全相关法规知识子域:国家信息安全法治总体情况了解信息安全法治建设的意义了解我国信息安全法律法规体系框架6信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为,并对其行为进行相应的处罚等信息安全不再只是个技术问题,而更多地是个商业和法律问题---安全漏洞、信息犯罪的本质?信息安全产业的逐渐形成和成熟,需要必要的规范保护国家信息主权和社会公共利益是信息安全立法的首要目标7狭义的信息安全广义的信息安全我国信息安全法律法规体系框架8地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章部门规章宪法、刑法(部分条款)国家安全法(部分条款)保守国家秘密法电子签名法...计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例...公安部(安全专用产品等)原信产部(互联网域名等)国新办(互联网新闻信息服务)保密局(保密等)...多级立法国务院各部委北京市信息化促进条例、辽宁省计算机信息系统安全管理条例...北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理办法...《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)我国信息安全法治建设的发展历程通信保密安全计算机系统安全网络信息系统安全1994年2000年2003年保守国家秘密法(1989)(2010年修订)中央关于加强密码工作的决定计算机信息系统安全保护条例(草案)-86计算机信息系统安全保护条例(1994)计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99关于维护互联网安全的决定(2000)互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定-009我国信息安全法治建设的初步成效、展望初步成效法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善与信息安全相关的司法和行政管理体系迅速完善法律少而规章等偏多,缺乏信息安全的基本法法律法规的内容篇幅偏小,行为规范较简单展望需要一部信息安全的基本法《国家信息安全法》(或先出台《信息安全条例》)信息安全的基本原则与基本制度信息安全的主要核心内容进一步完善各领域的信息安全专门法信息安全的监管模式和认证体系(面向信息安全各类主体和客体)信息安全常态管理(等级保护制度等)信息安全应急管理(预警、监测、通报和应急处理等)网络与信息系统全生命周期的信息安全特定领域的信息安全...10课程内容(1)信息安全法律法规政策知识体知识域信息安全相关法规知识子域国家信息安全法治总体情况信息安全相关地方法规、规章和行业规定信息安全相关政策信息安全相关国家法律信息安全相关行政法规和部门规章国外信息安全相关法规简介国家信息安全保障总体情况信息安全相关国家政策国外信息安全相关政策简介知识域:信息安全相关法规知识子域:信息安全相关国家法律了解《中华人民共和国宪法》有关信息安全的内容了解《中华人民共和国刑法》有关信息安全犯罪的规定了解《中华人民共和国治安管理处罚法》有关信息安全的内容掌握《中华人民共和国保守国家秘密法》的主要内容掌握《全国人民代表大会常务委员会关于维护互联网安全的决定》的内容理解《中华人民共和国电子签名法》的意义和作用了解《中华人民共和国侵权责任法》有关信息安全的内容12《宪法》中的有关规定《宪法》第二章公民的基本权利和义务第40条公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。法律13《刑法》中的有关规定(1)《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条285条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。•违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处以刑罚。•违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处以刑罚。•提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。法律14《刑法》中的有关规定(2)《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条286条:破坏计算机信息系统罪。•违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处以刑罚。•违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。•故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。287条:利用计算机实施犯罪的提示性规定。•利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。15法律16《刑法》第四章侵犯公民人身权利、民主权利罪第253条:出售、非法提供公民个人信息罪;非法获取公民个人信息罪国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处以刑罚。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。《刑法》中的有关规定(3)《治安管理处罚法》中的有关规定《治安管理处罚法》第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条有下列行为之一的,处以治安管理处罚:•(一)违反国家规定,侵入计算机信息系统,造成危害的;•(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;•(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;•(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。《治安管理处罚法》其他规定(与非法信息传等播相关):第42、47、68条法律17《保守国家秘密法》(保密法1)主旨(总则)目的:保守国家秘密,维护国家安全和利益。国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。国家秘密的范围国家事务、国防武装、外交外事、政党秘密国民经济和社会发展、科学技术维护国家安全的活动、经保密主管部门确定的事项等国家秘密的密级绝密---最重要的国家秘密,保密期限不超过30年;机密---重要的国家秘密,保密期限不超过20年;秘密---一般的国家秘密,保密期限不超过10年。法律18《保守国家秘密法》(保密法2)法律责任(第48条人员处分及追究刑责)(一)非法获取、持有国家秘密载体的;(二)买卖、转送或者私自销毁国家秘密载体的;(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;(五)非法复制、记录、存储国家秘密的;(六)在私人交往和通信中涉及国家秘密的;(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。法律19《全国人大关于维护互联网安全的决定》背景互联网日益广泛的应用,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。互联网安全的范畴(法律约束力)互联网的运行安全(侵入、破坏性程序、攻击、中断服务等)国家安全和社会稳定(有害信息、窃取/泄露国家秘密、煽动、非法组织等)市场经济秩序和社会管理秩序(销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等)个人、法人和其他组织的人身、财产等合法权利(侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等)法律责任构成犯罪的,依照刑法有关规定追究刑事责任构成民事侵权的,依法承担民事责任尚不构成犯罪的:治安管理处罚/行政处罚/行政处分或纪律处分法律20《电子签名法》(1)意义2005年4月1日正式施行的《电子签名法》,被称为“中国首部真正意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。目的为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。适用范围民事活动中的合同或者其他文件、单证等文书。电子签名和数据电文不适用的文书(国际惯例):涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。监督管理国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。法律21《电子签名法》(2)电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务电子认证服务应具备相适应的人员、资金、场所、技术和设备条件,以及国家密码管理机构同意使用密码的证明文件;应向国务院信息产业主管部门申请,后者依法审查并征求商务主管部门等有关部门的意见后,对予以许可的颁发电子认证许可证书,再持该证向工商部门办理企业登记,