信息安全导论(2法律法规与标准).ppt

* 国际标准ISO/IEC 17799:2005 国际标准ISO/IEC 17799:2005《信息技术－安全技术－信息安全管理实践规范》 描述了信息安全管理领域的最佳惯例，由11个独立的部分组成 安全方针 信息安全组织 资产管理 人力资源安全 物理与环境安全 通信和运作管理 访问控制 信息系统的获取、开发及维护 信息安全事故管理 业务连续性管理 符合性 * 上述11个方面，除了三个与技术密切相关之外，其他方面更侧重于组织整体的管理和运营操作 体现了信息安全“三分技术，七分管理”、“管理与技术并重”的理念 * 国际标准ISO/IEC 27001:2005 国际标准ISO/IEC 27001:2005《信息技术－安全技术－信息安全管理体系要求》 是一个系统化、程序化和文档化的管理体系，其中，技术措施只是作为依据安全需求有选择有侧重地实现安全目标的手段而已 信息安全管理认证的国际标准 * 《电子签名法》 《电子签名法》通过立法将电子商务等活动中运用电子签名的手段规范化。 实施该法的目的是真正确立电子签名的特别认证业务及其它相关事项，确保电子签名的顺利进行，促进电磁方式的信息流通与处理。 该法有3个要点： 确立电磁记录即电子文件生效的判定； 引入与认证业务相关的任意认定制度； 引入指定调查机构制度。 * 7.3.3 其他情况 《禁止不正当存取行为法》 日本在2000年正式实行《禁止不正当存取行为法》，以加强对网络黑客行为的处罚力度。 《因特网事业伦理准则》 《准则》要求因特网检索提供商与用户签订禁止传递违法和有害信息的使用合同 《准则》还规定服务公司应承担设置用户投诉窗口的义务，以解决可能出现的纠纷和对因特网服务商进行约束 用《伦理准则》对互联网进行管理，很符合日本国情，对我国也有启发意义 * 9.11后相关工作 网络安全保障方面：修改了《信息通信网络安全可靠性标准》，包括增加设备容量，加强对骚扰邮件的防范，加强国际合作，全面提升反网络攻击的能力。 日本IT战略本部为确保电子政务实施的安全，于2001年10月公布了《确保电子政务实施过程中的信息安全行动方案》，该方案包括以下内容：制定有效的信息安全政策，推进密码标准化，建立信息系统监视机制，建立完善紧急应对机制，公务员要掌握一定的网络安全知识和相关技术，加强网络安全相关软件的开发，确保技术开发的时效性和有效性。 * 9.11后相关工作（续） 建立了电子商务的安全管理机制，依据国际通用的测评认证标准，建立与国际标准接轨的评估、认证体系。 日本还加强了与网络相关的技术开发与研究工作 2004年，日本信息安全促进机构制定了政府部门及相关机构的《信息安全标准》 2005年4月25日，日本成立了“国家信息安全中心”，隶属于信息技术安全局。 * 标准内容提要 1、标准的定义 2、标准的分级 3、标准的分类 4、与计算机信息系统安全等级保护相关的标准 5、信息安全国际标准 * 1 标准的定义 国际标准化组织定义：由有关各方根据科学技术成就与先进经验，共同合作起草，一致或基本上同意的技术规范或其他公开文件，其目的在于促进最佳的公共利益，并由标准化团体批准 我国定义：标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础，经有关方面协调一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据 * 2 标准的分级 我国标准分为四级 国家标准：由国务院标准化行政主管部门负责组织制定和审批 行业标准：由国务院有关行政主管部门负责制定和审批，并报国务院标准化行政主管部门备案 地方标准：由省级政府标准化行政主管部门负责制定和审批，并报国务院标准化行政主管部门和国务院有关行政主管部门备案 企业标准：由企业法人代表或法人代表授权的主管领导批准、发布，由企业法人代表授权的部门统一管理，企业产品标准应向当地标准化行政主管部门和有关行政主管部门备案 * 3 标准的分类 按标准发生作用的范围和审批标准级别来分 国家标准 行业标准 地方标准 企业标准 按标准的约束性来分 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分 * 3 标准的分类 按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 强制性标准：保障人体健康、人身、财产安全的国家标准或行业标准和法律及行政法规规定强制执行的标准。必须执行，不符合的产品禁止生产、销售和进口 推荐性标准：相对于强制性标准的其他标准。鼓励企业自行采用 按标准在标准系统中的地位和作用来分 按标准化对象在生产过程中的作用来分 按标准的性质来分 * 3 标准的分类 按标准发生作用的范围和审批标准级别来分 按标准的约束性来分 按标准在标准系统中的地位和作用来分 基础标准：一定范围内作为其他标准的基础并普遍使用的标准，具