信息安全法律法规15-2016幻灯片.ppt

信息安全法律和法规(第15讲） 北京信息科技大学 刘凯 liukai@ 课程安排 总课时：32课时 第一章 信息安全法概述 4学时 第二章 纯正的计算机犯罪 4学时 第三章 不纯正的计算机犯罪 4学时 第四章电子证据及计算机取证 4学时 第五章 与信息安全相关的热点问题 12学时 第六章 计算机安全与道德规范 2学时 第七章 计算机犯罪对策 2学时 biti_statute@ 口令教材及参考书 教材： 《信息安全法教程》第二版 麦永浩 袁翔珠 著 武汉大学出版社 2010.6 参考书： 《信息安全法研究》 马民虎 主编 陕西人民出版社 2004.11 《网络法学》 张楚 主编 高等教育出版 2003.5 《法律基础》 教育部社科司 组编 高等教育出版社 2003.7 第七章 计算机安全等级保护 北京信息科技大学 刘凯 liukai@ 主要内容 概述 我国计算机等级保护的主要内容 我国计算机安全保护等级标准 解读《信息安全等级保护管理办法》 第一节 我国计算机安全等级保护 等保和重要性 等保的相关法律 1994年,《保护条例》中提出 2001年，《划分准则》（GB17859-1999）开始执行 2003年，《意见》提出加紧等保制度的建设 2004年，《实施意见》重申等保的意义并部署操作办法 2006年，《管理办法》规定了主要部门的职能 第一节 我国计算机安全等级保护 主要内容 1.对信息系统按业务安全应用域和区实行分级保护：第一级级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专控保护级 2.对系统中使用的信息安全产品实行按分级许可管理 3.对等级系统的安全服务资质分级许可管理 4.对信息系统中发生的信息安全事件分等级响应、处置 第二节 我国计算机安全保护等级标准 国外等级保护的发展历程 1985年，美国国防部公布《可信计算机评估标准》（TCSEC） 1990年，英、德、法、荷提出《信息技术安全评估标准》（ITSEC） 1991年，六国七方开始制定《通用安全评估准则》（CC）计划，1996年1月公布CC1.0版；1998年公布CC2.0版，1999年ISO接受CC为国际标准ISO/IEC15408 第二节 我国计算机安全保护等级标准 我国等保的标准体系及相互关系 基础性标准 构建过程控制标准 测评过程控制标准 运行过程控制标准 基本思想 以信息安全五个属性为基本内容，从5个层面，按5个等级的不同要求，要别对三个过程，实现对不同信息类别按不同要求进行分等级安全保护的总体目标。 第二节 我国计算机安全保护等级标准 划分准则 第1级，系统自主保护级 第2级，系统审计保护级 第3级，安全标记保护级 第4级，结构化保护级 第5级，访问验证保护级 第三节解读《信息安全等级保护管理办法》 1. 总则 公安机关负责信息安全等级保护工作的监督、检查、指导 国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导 国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导 涉及其它职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理 国信办及地方信息化领导小组办事机构负责等级保护工作的部门间的协调 第三节解读《信息安全等级保护管理办法》 2.等级划分与保护 信息系统的等级保护分为以下五级； 第一级，不损害国家安全、社会秩序和公共利益 第二级，不损害国家安全 第三级，社会秩序和公共利益受严重损害，或国家安全受到损害 第四级，社会秩序和公共利益受特别严重损害，或国家安全受到严重损害 第五级，对国家安全造成特别严重损害 第三节解读《信息安全等级保护管理办法》 3. 等级保护的实施与管理 信息系统建设过程中，应参照有关标准 信息系统建设完成后，按要求定期进行测评，三级系统至少每年一次；四级至少每半年一次；第五级系统应依据特殊安全需求进行安全测评。 二级以上系统应到所在地市级以上公安机关备案 公安机关应当对第三级、第四级系统进行定期检查 对第五级系统，应当由国家指定的专门部门进行检查 对三级以上安全产品，和等保测评机构进行规定 第三节解读《信息安全等级保护管理办法》 涉密系统的分级保护管理 依据等保的基本要求，按国家保密部门有关涉