01我国信息安全法律法规及电力行业制度要求

学习时长：80分钟制作时间：2015/05/19我国信息安全法律法规及电力行业制度要求中国南方电网有限责任公司1国家信息安全法治总体情况合规概述信息安全法规与政策课程内容目录中国南方电网有限责任公司2354信息安全标准55电力行业信息安全推进情况中国南方电网有限责任公司1国家信息安全法治总体情况我国信息安全法律法规及电力行业制度要求1.1我国信息安全法律法规体系框架1.2我国信息安全法治建设进程1.3国家信息安全保障体系国家信息安全法治总体情况中国南方电网有限责任公司1.1我国信息安全法律法规体系框架法律法规地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章部门规章计算机信息系统安全保护条例互联网信息服务管理办法商用密码管理条例中办27号文公安部（等级保护相关规定）发改委（）国新办（互联网新闻信息服务）保密局（保密等）...国务院各部委宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法...中国南方电网有限责任公司1.2我国信息安全法治建设进程国家信息安全法治总体情况通讯保密安全保守国家秘密法（1989）（2010年修订）中央关于加强密码工作的决定计算机信息系统安全保护条例（草案）-86计算机系统安全计算机信息系统安全保护条例（1994）计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99网络信息系统安全关于维护互联网安全的决定（2000）互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定全面信息安全保障《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》国信办[2004]25号2006年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》公通字[2006]7号2005年公安部标准《基本要求》《定级指南》《实施指南》《测评准则》2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号国家级技术标准国家级政策文件2007年8月电监会签发《关于开展电力行业信息系统安全等级保护定级工作的通知》（电监信息[2007]34号）行业级政策文件中国南方电网有限责任公司1.3国家信息安全保障体系国家信息安全法治总体情况信息安全技术与产业支撑平台信息安全基础设施信息安全法律法规与政策环境信息安全人才培训教育体系信息安全组织机构及管理体系信息安全标准与规范中国南方电网有限责任公司1.3国家信息安全保障体系-信息安全法治建设的意义信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务明确违反信息安全的行为，并对其行为进行相应的处罚等信息安全不再只是个技术问题，而更多地是个商业和法律问题---安全漏洞、信息犯罪的本质？信息安全产业的逐渐形成和成熟，需要必要的规范保护国家信息主权和社会公共利益是信息安全立法的首要目标狭义的信息安全广义的信息安全国家信息安全法治总体情况中国南方电网有限责任公司1.3国家信息安全保障体系---我国信息安全法治建设的初步成效、展望初步成效法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善;与信息安全相关的司法和行政管理体系迅速完善;法律少而规章等偏多，缺乏信息安全的基本法;法律法规的内容篇幅偏小，行为规范较简单展望需要一部信息安全的基本法《国家信息安全法》（或先出台《信息安全条例》）;信息安全的基本原则与基本制度;信息安全的主要核心内容;进一步完善各领域的信息安全专门法;信息安全的监管模式和认证体系（面向信息安全各类主体和客体）;信息安全常态管理（等级保护制度等）;信息安全应急管理（预警、监测、通报和应急处理等）;网络与信息系统全生命周期的信息安全;特定领域的信息安全国家信息安全法治总体情况中国南方电网有限责任公司2合规概述我国信息安全法律法规及电力行业制度要求2.1什么是合规2.2合规与遵守法律的区别2.3相关法规分析中国南方电网有限责任公司合规概述2.1什么是合规---定义及目标合规简而言之就是要符合法律、法规、政策及相关规则、标准的约定。在信息安全领域内，等级保护、计算机安全产品销售许可、密码管理等，是典型的合规性要求。合规管理的目标是为了满足监管要求,避免在企业自身发展过程中因与法律、规则和准则不一致而可能遭受法律制裁、监管机构处罚以及财务与声誉的损失,实现稳健经营。中国南方电网有限责任公司合规概述2.1什么是合规---法律与法规的区别制定主体不同法律的制定者是全国人大；法规可以是多个主体。效力和影响力不同法律的效力和影响力远大于法规。适用范围不同法律一般是全国通用；法规分全国范围或某一单位区域适用。承担的责任不同违反法律须承担相应的刑事、民事责任。中国南方电网有限责任公司合规概述2.2合规与遵守法律的区别法律合规法律是国家意志的统一体现，有严密的逻辑体系，有不同的位阶和效力合规是遵守法律、监管规定、国际惯例和事物标准，不同时期不同的要求法律都可以文字形式表现出来合规以判别、评估、咨询、监控并报告体现违法犯罪的后果有明确规定，是一种“硬约束”不合规行为的后果，即包含“软约束”又包含“硬约束”。合规是遵循法律法规、监管要求、规则、自律性组织制定的有关准则、整理融合后适用于企业自身业务活动的行为准则。中国南方电网有限责任公司合规概述2.3相关法规分析Cobit5国外标准国内标准行业要求内部制度合规库ITILISO27001指标评价实施GBT22239等级保护基本要求.GBT284489等级保护测评要求ISO27001信息安全管理体系要求能源局电力行业信息安全检查方案中央企业商业秘密信息系统安全技术指引电力行业等级保护基本要求中央企业信息化水平评价指标体系信息系统应用开发安全技术规范信息安全工作执行标准要求IT主流设备安全基线体系要求检查落实中国南方电网有限责任公司3信息安全法规与政策我国信息安全法律法规及电力行业制度要求3.1信息安全法规3.2信息安全政策中国南方电网有限责任公司信息安全法规与政策3.1信息安全相关法规信息安全相关国家法律了解《中华人民共和国宪法》有关信息安全的内容了解《中华人民共和国刑法》有关信息安全犯罪的规定了解《中华人民共和国治安管理处罚法》有关信息安全的内容掌握《中华人民共和国保守国家秘密法》的主要内容掌握《全国人民代表大会常务委员会关于维护互联网安全的决定》的内容理解《中华人民共和国电子签名法》的意义和作用了解《中华人民共和国侵权责任法》有关信息安全的内容中国南方电网有限责任公司信息安全法规与政策3.1信息安全相关法规---信息安全相关国家法律公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。《宪法》第二章公民的基本权利和义务第40条《宪法》中的有关规定中国南方电网有限责任公司信息安全法规与政策3.1信息安全相关法规---信息安全相关国家法律285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。286条：破坏计算机信息系统罪。287条：利用计算机实施犯罪的提示性规定。253条：出售、非法提供公民个人信息罪；非法获取公民个人信息罪《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条《刑法》中的有关规定（1）《刑法》第四章侵犯公民人身权利、民主权利罪第253条中国南方电网有限责任公司信息安全法规与政策3.1信息安全相关法规---信息安全相关国家法律有下列行为之一的，处以治安管理处罚：（一）违反国家规定，侵入计算机信息系统，造成危害的；（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。《治安管理处罚法》其他规定（与非法信息传等播相关）：第42、47、68条《治安管理处罚法》第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条《治安管理处罚法》中的有关规定中国南方电网有限责任公司信息安全法规与政策3.1信息安全相关法规---信息安全相关国家法律主旨（总则）目的：保守国家秘密，维护国家安全和利益。国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查。国家秘密的范围：国家事务、国防武装、外交外事、政党秘密；国民经济和社会发展、科学技术；维护国家安全的活动、经保密主管部门确定的事项等国家秘密的密级绝密---最重要的国家秘密，保密期限不超过30年；机密---重要的国家秘密，保密期限不超过20年；秘密---一般的国家秘密，保密期限不超过10年。《保守国家秘密法》（保密法）（1）中国南方电网有限责任公司信息安全法规与政策3.1信息安全相关法规---信息安全相关国家法律法律责任（第48条人员处分及追究刑责）（一）非法获取、持有国家秘密载体的；（二）买卖、转送或者私自销毁国家秘密载体的；（三）通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的；（四）邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国家秘密载体出境的；（五）非法复制、记录、存储国家秘密的；（六）在私人交往和通信中涉及国家秘密的；（七）在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的；（八）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的；（九）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的；（十）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的；（十一）擅自卸载、修改涉密信息系统的安全技术程序、管理程序的；（十二）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在机关、单位予以处理。《保守国家秘密法》（保密法）（2）中国南方电网有限责任公司信息安全法规与政策3.1信息安全相关法规---信息安全相关国家法律《全国人大关于维护互联网安全的决定》背景法律约束力法律责任互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。互联网的运行安全（侵入、破坏性程序、攻击、中断服务等）国家安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等）市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等）个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等）构成犯罪的，依照刑法有关规定追究刑事责任构成民事侵权的，依法承担民事责任尚不构成犯罪的：治安管理处罚/行政处罚/行政处分或纪律处分中国南方电网有限责任公司信息安全法规与政策3.1信息安全相关法规---信息安全相关国家法律《电子签名法》意义目的适用范围2005年4月1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。为了规范电子签名行为，确立电子签名的法律效力，维