资源预览内容
第1页 / 共85页
第2页 / 共85页
第3页 / 共85页
第4页 / 共85页
第5页 / 共85页
第6页 / 共85页
第7页 / 共85页
第8页 / 共85页
第9页 / 共85页
第10页 / 共85页
亲,该文档总共85页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
学习时长:学习时长:8080分钟分钟制作时间:制作时间:2015/05/192015/05/19我国信息安全法律法规我国信息安全法律法规及电力行业制度要求及电力行业制度要求中国南方电网有限责任公司中国南方电网有限责任公司1 1国家信息安全法治总体情况国家信息安全法治总体情况合规概述合规概述信息安全法规与政策信息安全法规与政策课程内容目录课程内容目录 中国南方电网有限责任公司中国南方电网有限责任公司2 23 35 54 4信息安全标准信息安全标准5 55 5电力行业信息安全推进情况电力行业信息安全推进情况1 1 国家信息安全法治总体情况国家信息安全法治总体情况我国信息安全法律法规及电力行业制度要求我国信息安全法律法规及电力行业制度要求1.1 1.1 我国信息安全法律法规体系框架我国信息安全法律法规体系框架1.2 1.2 我国信息安全法治建设进程我国信息安全法治建设进程1.3 1.3 国家信息安全保障体系国家信息安全保障体系国家信息安全法治总体情况国家信息安全法治总体情况中国南方电网有限责任公司中国南方电网有限责任公司1.1 1.1 我国信息安全法律法规体系框架我国信息安全法律法规体系框架法律法规地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章部门规章计算机信息系统安全保护条例计算机信息系统安全保护条例互联网信息服务管理办法互联网信息服务管理办法商用密码管理条例商用密码管理条例中办中办27号文号文公安部(等级保护相关规定)公安部(等级保护相关规定)发改委发改委()()国新办(互联网新闻信息服务)国新办(互联网新闻信息服务)保密局(保密等)保密局(保密等).国务院各部委宪法、刑法(部分条款)宪法、刑法(部分条款)国家安全法(部分条款)国家安全法(部分条款)保守国家秘密法保守国家秘密法电子签名法电子签名法.中国南方电网有限责任公司中国南方电网有限责任公司1.2 1.2 我国信息安全法治建设进程我国信息安全法治建设进程国家信息安全法治总体情况国家信息安全法治总体情况通讯保密安全保守国家秘密法(1989)(2010年修订)中央关于加强密码工作的决定计算机信息系统安全保护条例(草案)-86计算机系统安全计算机信息系统安全保护条例(1994)计算机信息系统安全专用产品检测和销售许可证管理办法-97计算机信息网络国际联网安全保护管理办法-97计算机信息系统保密管理暂行规定-98商用密码管理条例-99网络信息系统安全关于维护互联网安全的决定(2000)互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网保密管理规定全面信息安全保障国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号2005年9月国信办文件关于转发电子政务信息安全等级保护实施指南的通知国信办200425号2006年1月四部委会签关于印发信息安全等级保护管理办法的通知公通字20067号2005年公安部标准基本要求定级指南实施指南测评准则2004年11月四部委会签关于信息安全等级保护工作的实施意见公通字200466号国家级技术标准国家级政策文件2007年8月电监会签发关于开展电力行业信息系统安全等级保护定级工作的通知(电监信息200734号)行业级政策文件1.3 1.3 国家信息安全保障体系国家信息安全保障体系国家信息安全法治总体情况国家信息安全法治总体情况信息安全技术与产业支撑平台信息安全基础设施信息安全法律法规与政策环境信息安全人才培训教育体系信息安全组织机构及管理体系信息安全标准与规范1.3 1.3 国家信息安全保障体系国家信息安全保障体系- -信息安全法治建设的意义l信息安全法律环境是信息安全保障体系中的必要环节l明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务l明确违反信息安全的行为,并对其行为进行相应的处罚等l信息安全不再只是个技术问题,而更多地是个商业和法律问题-安全漏洞、信息犯罪的本质?l信息安全产业的逐渐形成和成熟,需要必要的规范保护国家信息主权和社会公共利益是信息安全立法的首要目标狭义的信息安全广义的信息安全国家信息安全法治总体情况国家信息安全法治总体情况1.3 1.3 国家信息安全保障体系国家信息安全保障体系-我国信息安全法治建设的初步成我国信息安全法治建设的初步成效、展望效、展望初步成效初步成效法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善法律法规体系初步构建,但体系化与有效性等方面仍有待进一步完善; ;与信息安全相关的司法和与信息安全相关的司法和行政管理体系迅速完善行政管理体系迅速完善; ;法律少而规章等偏多,缺乏信息安全的基本法法律少而规章等偏多,缺乏信息安全的基本法; ;法律法规的内容篇幅偏小,法律法规的内容篇幅偏小,行为规范较简单行为规范较简单展望展望需要一部信息安全的基本法需要一部信息安全的基本法国家信息安全法国家信息安全法(或先出台(或先出台信息安全条例信息安全条例); ;信息安全的基信息安全的基本原则与基本制度本原则与基本制度; ;信息安全的主要核心内容信息安全的主要核心内容; ;进一步完善各领域的信息安全专门法进一步完善各领域的信息安全专门法; ;信息安全的监管信息安全的监管模式和认证体系(面向信息安全各类主体和客体)模式和认证体系(面向信息安全各类主体和客体); ;信息安全常态管理(等级保护制度等)信息安全常态管理(等级保护制度等); ;信息安信息安全应急管理(预警、监测、通报和应急处理等)全应急管理(预警、监测、通报和应急处理等); ;网络与信息系统全生命周期的信息安全网络与信息系统全生命周期的信息安全; ;特定领域特定领域的信息安全的信息安全国家信息安全法治总体情况国家信息安全法治总体情况2 2 合规概述合规概述我国信息安全法律法规及电力行业制度要求我国信息安全法律法规及电力行业制度要求2.1 2.1 什么是合规什么是合规2.2 2.2 合规与遵守法律的区别合规与遵守法律的区别2.3 2.3 相关法规分析相关法规分析合规概述合规概述2.1 2.1 什么是合规什么是合规-定义及目标定义及目标合规合规简而言之就是要符合简而言之就是要符合法律、法规、政策及相关规则、标准法律、法规、政策及相关规则、标准的约定。在信息安全领域内,等级保的约定。在信息安全领域内,等级保护、计算机安全产品销售许可、密码管理等,是典型的合规性要求护、计算机安全产品销售许可、密码管理等,是典型的合规性要求。合规管理的目标合规管理的目标是为了满足监管要求是为了满足监管要求, ,避免在企业自身发展过程中因与法律、规则和准则不一致而可能遭受法律避免在企业自身发展过程中因与法律、规则和准则不一致而可能遭受法律制裁、监管机构处罚以及财务与声誉的损失制裁、监管机构处罚以及财务与声誉的损失, ,实现稳健经营。实现稳健经营。合规概述合规概述2.1 2.1 什么是合规什么是合规-法律与法规的区别法律与法规的区别制定主体不同法律的制定者是全国人大;法规可以是多个主体。效力和影响力不同法律的效力和影响力远大于法规。适用范围不同法律一般是全国通用;法规分全国范围或某一单位区域适用。承担的责任不同违反法律须承担相应的刑事、民事责任。合规概述合规概述2.2 2.2 合规与遵守法律的区别合规与遵守法律的区别法律合规法律是国家意志的统一体现,有严密的逻辑体系,有不同的位阶和效力合规是遵守法律、监管规定、国际惯例和事物标准,不同时期不同的要求法律都可以文字形式表现出来合规以判别、评估、咨询、监控并报告体现违法犯罪的后果有明确规定,是一种“硬约束”不合规行为的后果,即包含“软约束”又包含“硬约束”。合规是遵循法律法规、监管要求、规则、自律性组织制定的有关准则、整理融合后适用于企业自身业务活动的行为准则。合规概述合规概述2.3 2.3 相关法规分析相关法规分析Cobit5国外标准国内标准行业要求内部制度合规库ITILISO27001指标评价实施GBT22239等级保护基本要求.GBT284489等级保护测评要求ISO27001信息安全管理体系要求能源局电力行业信息安全检查方案中央企业商业秘密信息系统安全技术指引电力行业等级保护基本要求中央企业信息化水平评价指标体系信息系统应用开发安全技术规范信息安全工作执行标准要求IT主流设备安全基线体系要求检查落实3 3 信息安全法规与政策信息安全法规与政策我国信息安全法律法规及电力行业制度要求我国信息安全法律法规及电力行业制度要求3.1 3.1 信息安全法规信息安全法规3.2 3.2 信息安全政策信息安全政策信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规信息安全相关国家法律了解中华人民共和国宪法有关信息安全的内容了解中华人民共和国刑法有关信息安全犯罪的规定了解中华人民共和国治安管理处罚法有关信息安全的内容掌握中华人民共和国保守国家秘密法的主要内容掌握全国人民代表大会常务委员会关于维护互联网安全的决定的内容理解中华人民共和国电子签名法的意义和作用了解中华人民共和国侵权责任法有关信息安全的内容信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律公民的通信自由和通信秘密受法律的保护。公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。得以任何理由侵犯公民的通信自由和通信秘密。宪法宪法 第二章第二章 公民的基本权利和义务公民的基本权利和义务 第第4040条条宪法宪法中的有关规定中的有关规定法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律285285条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、条:非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪。工具罪。286286条:破坏计算机信息系统罪。条:破坏计算机信息系统罪。287287条:利用计算机实施犯罪的提示性规定。条:利用计算机实施犯罪的提示性规定。253253条:出售、非法提供公民个人信息罪;非法获取公民个人信息罪条:出售、非法提供公民个人信息罪;非法获取公民个人信息罪刑法刑法 第六章第六章 妨碍社会管理秩序罪妨碍社会管理秩序罪 第一节第一节 扰乱公共秩序扰乱公共秩序罪罪 第第285285、286286、287287条条刑法刑法中的有关规定(中的有关规定(1 1)法律法律刑法刑法第四章第四章 侵犯公民人身权利、民主权利罪侵犯公民人身权利、民主权利罪 第第253253条条信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律有下列行为之一的,处以治安管理处罚:有下列行为之一的,处以治安管理处罚:(一)违反国家规定,侵入计算机信息系统,造成危害的;(一)违反国家规定,侵入计算机信息系统,造成危害的;(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;不能正常运行的;(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;增加的;(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。治安管理处罚法治安管理处罚法 其他规定(与非法信息传等播相关):第其他规定(与非法信息传等播相关):第4242、4747、6868条条治安管理处罚法治安管理处罚法 第三章第三章 违反治安管理的行为和处罚违反治安管理的行为和处罚 第一节第一节 扰乱公共秩序的行为和处罚扰乱公共秩序的行为和处罚 第第2929条条治安管理处罚法治安管理处罚法中的有关规定中的有关规定法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律主旨(总则)主旨(总则)目的:保守国家秘密,维护国家安全和利益。目的:保守国家秘密,维护国家安全和利益。国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。保密工作责任制:健全保密管理制度,完善保密防护措施,开展保密宣传教育,加强保密检查。国家秘密的范围:国家事务、国防武装、外交外事、政党秘密;国民经济和社会发展、科学技术;维护国家安全国家秘密的范围:国家事务、国防武装、外交外事、政党秘密;国民经济和社会发展、科学技术;维护国家安全的活动、经保密主管部门确定的事项等的活动、经保密主管部门确定的事项等国家秘密的密级国家秘密的密级绝密绝密-最重要的国家秘密,保密期限不超过最重要的国家秘密,保密期限不超过3030年;年;机密机密-重要的国家秘密,保密期限不超过重要的国家秘密,保密期限不超过2020年;年;秘密秘密-一般的国家秘密,保密期限不超过一般的国家秘密,保密期限不超过1010年。年。保守国家秘密法保守国家秘密法(保密法)(保密法)(1 1)法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律法律责任(第法律责任(第4848条条 人员处分及追究刑责)人员处分及追究刑责)(一)非法获取、持有国家秘密载体的;(一)非法获取、持有国家秘密载体的;(二)买卖、转送或者私自销毁国家秘密载体的;(二)买卖、转送或者私自销毁国家秘密载体的;(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;(三)通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的;(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;(四)邮寄、托运国家秘密载体出境,或者未经有关主管部门批准,携带、传递国家秘密载体出境的;(五)非法复制、记录、存储国家秘密的;(五)非法复制、记录、存储国家秘密的;(六)在私人交往和通信中涉及国家秘密的;(六)在私人交往和通信中涉及国家秘密的;(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;(七)在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的;(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;(八)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的;(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;(九)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换的;(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;(十)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的;(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;(十一)擅自卸载、修改涉密信息系统的安全技术程序、管理程序的;(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。(十二)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。有前款行为尚不构成犯罪,且不适用处分的人员,由保密行政管理部门督促其所在机关、单位予以处理。保守国家秘密法保守国家秘密法(保密法)(保密法)(2 2)法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律全国人大关于维护互联网安全的决定全国人大关于维护互联网安全的决定背景背景法律法律约束力约束力法律责任法律责任 互联网日益广泛的应用,对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。 互联网的运行安全(侵入、破坏性程序、攻击、中断服务等) 国家安全和社会稳定(有害信息、窃取/泄露国家秘密、煽动、非法组织等) 市场经济秩序和社会管理秩序(销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等) 个人、法人和其他组织的人身、财产等合法权利(侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等) 构成犯罪的,依照刑法有关规定追究刑事责任 构成民事侵权的,依法承担民事责任 尚不构成犯罪的:治安管理处罚 / 行政处罚 / 行政处分或纪律处分法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律电子签名法电子签名法意义意义目的目的适用范围适用范围 2005年4月1日正式施行的电子签名法,被称为“中国首部真正中国首部真正意义上的信息化法律意义上的信息化法律”,自此电子签名与传统手写签名和盖章具有同等的法律效力。 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。 民事活动中的合同或者其他文件、单证等文书。 电子签名和数据电文不适用的文书(国际惯例):涉及证明人身关系的、涉及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关国家法律信息安全相关国家法律侵权责任法侵权责任法目的目的适用范围适用范围关于责任关于责任主体的特主体的特殊规定殊规定 为保护民事主体的合法权益,明确侵权责任,预防并制裁侵权行为,促进社会和谐稳定,制定本法。 侵害民事权益,应当依照本法承担侵权责任。(本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。)第第36条网络用户、网络服务提供者利用网络侵害他人民事权益的,应条网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。当承担侵权责任。 网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。法律法律信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规信息安全相关行政法规和部门规章了解信息安全相关行政法规,掌握涉及信息安全的相关内容了解信息安全相关部门规章,掌握涉及信息安全的相关内容信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关行政法规和部门规章信息安全相关行政法规和部门规章行政法规行政法规计算机信息系统安全保护条例计算机信息系统安全保护条例计算机信计算机信息系统息系统安全保护安全保护主管部门主管部门保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。公安部主管全国计算机信息系统安全保护工作(含安全监督职权)。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。保护制度保护制度计算机信息系统实行安全等级保护。使用单位应当建立健全安全管理制度。安全专用产品(硬件、软件)的销售实行许可证制度。是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关行政法规和部门规章信息安全相关行政法规和部门规章行政法规行政法规商用密码管理条例商用密码管理条例商用密码商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术属于国家秘密。主管部门主管部门国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家对商用密码产品的科研、生产、销售和使用实行专控管理。管理要点管理要点商密产品由国家密码管理机构分别指定单位进行科研、生产和检测;商密产品销售单位应有国家密码管理机构颁发的商用密码产品销售许可证;必须如实登记备案直接使用商用密码产品的用户信息和产品用途;不得使用自行研制的或者境外生产的密码产品;不得转让其使用的商用密码产品(含故障维修、报废销毁)。信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关行政法规和部门规章信息安全相关行政法规和部门规章计算机信息系统保密管理暂行规定计算机信息系统保密管理暂行规定适用范围适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。主管部门主管部门国家保密局主管全国计算机信息系统的保密工作。管理要点管理要点涉密系统-保密设施、保密措施、访问控制、数据保护等涉密信息-密级标识、物理隔离等涉密媒体-各类计算机媒体(含打印输出等)涉密场所-控制区、防电磁信息泄漏、其他物理安全等系统管理-领导负责制、管理制度、保密检查、人员培训和考核等。部门规章部门规章信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-信息安全相关行政法规和部门规章信息安全相关行政法规和部门规章国家电子政务工程建设项目管理暂行办法国家电子政务工程建设项目管理暂行办法验收评价验收评价项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。运行管理运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。设计方案设计方案在“项建和可研”的项目建设方案中应包含“安全系统建设方案”在“初设”的项目设计方案中应包含“安全系统设计”部门规章部门规章信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规国外信息安全相关法规简介国外信息安全法律法规简介(以美国为例)信息自由法(FreedomofInformationActof1966,FOIA)爱国者法(USAPatriotofActof2001)联邦信息安全管理法案(FederalInformationSecurityManagementActof2002,FISMA)属于电子政务法(theE-GovernmentActof2002)的第三部分公众公司会计改革与投资者保护法,又名萨班斯-奥克斯利法(Sarbanes-OxleyActof2002)信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关法规信息安全相关法规-国外信息安全相关法规简介国外信息安全相关法规简介以美国为例以美国为例信息自信息自由法由法爱国者爱国者法法联邦信联邦信息安全管息安全管理法案理法案美国对政府信息进行立法保护的首要原则是向公众公开原则 (也叫信息公开原则),是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由,但也需要保障国家的安全,因此,该法利用“例外”的立法方式,将需要保护的信息加以列举是“9.11”事件以后美国为保障国家安全颁布的最为重要的一部法律,也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动,使美国人民能够生活在安全的环境中。由于该法赋予联邦政府的权力过大,引起美国国内民权人士的担忧,并产生诉案。该法还对美国现有的十几部法律做出了修改政府可以对国外银行和对私人存户达到100万美元以上的账户进行尽职调查给出了“信息安全”的定义对国家信息安全管理职责的授权国家标准与技术局(NIST)为联邦政府使用的系统制定安全标准与指南管理与预算办公室(OMB)主任对安全政策、原则、标准、指南等的制定、执行(包括遵守)情况进行监督法律法律信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策国家信息安全保障总体情况掌握国家有关政策对信息安全保障工作的总体方针和要求掌握国家有关政策规定的加强信息安全保障工作主要原则掌握国家有关政策规定需要重点加强的信息安全保障工作信息安全法规与政策信息安全法规与政策3.1 3.1 信息安全相关政策信息安全相关政策-国家信息安全保障总体情况国家信息安全保障总体情况我国信息安全政策的初步成效、后续展望我国信息安全政策的初步成效、后续展望初步成效初步成效后续展望后续展望依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求、工作原则和重点工作内容围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的信息安全政策(风险评估、等级保护、电子政务类、应急预案等)其他领域:灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等“十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制基于信息安全服务类的标准(政策带动标准,标准支撑政策)统一安全服务行业的企业资质和人员资质由“狭义信息安全”向“广义信息安全”延伸IT服务(外包)的信息安全保障新技术、新应用下的信息安全保障信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-国家信息安全保障总体情况国家信息安全保障总体情况国家信息化领导小组关于加强信息安全保障工作的国家信息化领导小组关于加强信息安全保障工作的意见意见(中办发(中办发200327200327号)号) 意义意义总体方针总体方针和要求和要求主要原则主要原则标志着我国信息安全保障工作有了总体纲领提出要在5年内建设中国信息安全保障体系坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。立足国情,以我为主,坚持技术与管理并重;正确处理安全和发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策信息安全相关国家政策了解信息安全相关国家政策,掌握风险评估等涉及信息安全的相关内容掌握信息安全等级保护政策体系,熟悉信息安全等级保护相关政策信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-信息安全相关国家政策信息安全相关国家政策关于开展信息安全风险评估工作的意见(国信办关于开展信息安全风险评估工作的意见(国信办2006520065号)号)信息安全风险信息安全风险评估(基于风评估(基于风险管理)险管理)基本工作基本工作要求要求相关保障相关保障应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维)定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估参照标准:信息安全风险评估规范(GB/T20984-2007)、信息安全风险管理指南(GB/Z24364-2009)服务资质服务资质对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务,要由国家专控的队伍来承担系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-信息安全相关国家政策信息安全相关国家政策关于加强政府信息系统安全和保密管理工作的通知关于加强政府信息系统安全和保密管理工作的通知(国办发(国办发200817200817号)号)明确职责明确职责强化人员强化人员培训培训完善安全措完善安全措施和手段施和手段组织信息安全和保密基本技能培训,开展信息安全和保密形势分析深入学习宣传信息安全“五禁止”规定管理制度+技术手段加强信息加强信息安全检查安全检查详见政府信息系统安全检查办法把信息安全和保密工作列入重要议事日程,明确一名主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策关于印发国家网络与信息安全事件应急预案的通知关于印发国家网络与信息安全事件应急预案的通知(国办函(国办函20081682008168号)号)背景背景2003年:国务院成立应急办,颁布了国家突发公共卫生事件应急条例2006年:国家突发公共事件总体应急预案(4大类公共事件)国家网络与信息安全事件应急预案2007年:制定发布国家突发事件应对法预案要点预案要点网络与信息安全事件的分类分级参照标准:信息安全事件分类分级指南(GB/Z20986)应急流程:预防预警应急处置后期处置参照标准:信息安全事件管理指南(GB/Z20985)组织体系和应急保障;应急队伍、经费、物资、通信、科技。监督管理监督管理宣传教育、培训、演练、责任与奖惩信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-信息安全相关国家政策信息安全相关国家政策关于加强国家电子政务工程建设项目信息安全风险评关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技估工作的通知(发改高技2008207120082071号)号)依据和目的依据和目的风险评估的主风险评估的主要内容要内容两类信息系统两类信息系统的工作开展的工作开展分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等涉密信息系统参照“分级保护”,进行系统测评并履行审批手续非涉密信息系统参照“等级保护”,完成等级测评和风险评估工作,并形成相关报告相关要点相关要点对信息安全风险评估机构的指定(1家+3家)信息安全风险评估经费计入该项目总投资投入运行后,应定期开展信息安全风险评估)国家电子政务工程建设项目管理暂行办法-国家发改委令2007第55号三部委联合发文:发改委、公安部、保密局将“信息安全风险评估”作为项目验收的重要内容(按要求提交一系列文档)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策关于印发政府信息系统安全检查办法的通知(国办发关于印发政府信息系统安全检查办法的通知(国办发200928200928号)号)依据依据关于加强政府信息系统安全和保密管理工作的通知(国办发200817号)检查范围和检查范围和检查重点检查重点各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等,每半年要进行一次全面的安全检查。国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站,要作为检查重点。检查方式检查方式各单位自查+统一组织抽查+安全检测(按需)工信部负责协调、指导、监督,公安/安全/保密/密码等部门按职责分工2009年度政府信息系统安全检查指南(工信部协2009168号)2010年度政府信息系统安全检查指南(工信部协2010143号)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策工业控制系统信息安全事关工业生产运行、国家经济安全和人工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为切实加强工业控制系统信息安全管理,经国务民生命财产安全,为切实加强工业控制系统信息安全管理,经国务院同意,现就有关事项通知如下:院同意,现就有关事项通知如下:充分认识加强工业控制系统信息安全管理的重要性和紧迫性充分认识加强工业控制系统信息安全管理的重要性和紧迫性明确重点领域工业控制系统信息安全管理要求明确重点领域工业控制系统信息安全管理要求建立工业控制系统安全测评检查和漏洞发布制度建立工业控制系统安全测评检查和漏洞发布制度进一步加强工业控制系统信息安全工作的组织领导进一步加强工业控制系统信息安全工作的组织领导关于加强工业控制系统信息安全管理的通知(工信部关于加强工业控制系统信息安全管理的通知(工信部协协20114512011451号)号)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策GB 17859-1999GB 17859-1999计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则第一级第一级: :用户自主保护级;用户自主保护级;第二级第二级: :系统审计保护级;系统审计保护级;第三级第三级: :安全标记保护级;安全标记保护级;第四级第四级: :结构化保护级;结构化保护级;第五级第五级: :访问验证保护级;访问验证保护级;等级保护等级保护 中华人民共和国计算机信息系统安全保中华人民共和国计算机信息系统安全保护条例护条例(19941994年国务院年国务院147147号令)号令)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策-信息安全相关国家政策信息安全相关国家政策(信息安全等级保护法规政策体系)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策关于印发关于印发 的通知(公字的通知(公字通通200743200743号)号)通知是政策,管理办法属于部门规章通知是政策,管理办法属于部门规章四部委联合发文:公安部、保密局、密码管理局、原国信办四部委联合发文:公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持国家信息安全等级保护坚持“自主定级、自主保护自主定级、自主保护”的原则的原则信息系统的安全保护等级分为五级信息系统的安全保护等级分为五级实施与管理实施与管理具体实施等级保护工作具体实施等级保护工作 参照标准:信息系统安全等级保护实施指南参照标准:信息系统安全等级保护实施指南确定安全保护等级确定安全保护等级 参照标准:信息系统安全等级保护定级指南参照标准:信息系统安全等级保护定级指南系统建设系统建设 参照标准:信息系统安全等级保护基本要求等参照标准:信息系统安全等级保护基本要求等等级测评等级测评 参照标准:信息系统安全等级保护测评要求参照标准:信息系统安全等级保护测评要求二级以上系统的备案要求(由公安机关颁发备案证明)二级以上系统的备案要求(由公安机关颁发备案证明)三级以上系统的定期自查、测评和检查要求三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求三级以上系统等级保护测评机构的选择要求涉密信息系统按分级保护管理(略)涉密信息系统按分级保护管理(略)对信息安全等级保护的密码实行分类分级管理(略)对信息安全等级保护的密码实行分类分级管理(略)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策关于信息安全等级保护工作的实施意见(公字通关于信息安全等级保护工作的实施意见(公字通200466200466号)号)信息和信息系统的安全保护等级(及其适用范围)信息和信息系统的安全保护等级(及其适用范围)第一级为自主保护级第一级为自主保护级第二级为指导保护级第二级为指导保护级第三级为监督保护级第三级为监督保护级第四级为强制保护级第四级为强制保护级第五级为专控保护级第五级为专控保护级定级依据定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度; ;遭到破坏后对国家遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度实施要求实施要求完善标准完善标准, ,分类指导(管理规范和技术标准)分类指导(管理规范和技术标准)科学定级科学定级, ,严格备案(专家评审委员会。三级以上系统备案)严格备案(专家评审委员会。三级以上系统备案)建设整改建设整改, ,落实措施(信息系统:已有、新建、改建、扩建)落实措施(信息系统:已有、新建、改建、扩建)自查自纠自查自纠, ,落实要求(运营、落实要求(运营、 使用单位及其主管部门)使用单位及其主管部门)建立制度建立制度, ,加强管理(运营、加强管理(运营、 使用单位及其主管部门)使用单位及其主管部门)监督检查监督检查, ,完善保护(公安机关重点对第三、第四级系统)完善保护(公安机关重点对第三、第四级系统)信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关政策信息安全相关政策国外信息安全相关政策简介了解美国信息安全相关政策概况信息安全法规与政策信息安全法规与政策3.2 3.2 信息安全相关法规信息安全相关法规-信息安全相关国家政策信息安全相关国家政策国外信息安全国家政策简介(以美国为例)国外信息安全国家政策简介(以美国为例)国外信息安全国家政策简介(以美国为例)国外信息安全国家政策简介(以美国为例)克林顿政府克林顿政府IATF V1.0IATF V1.0(19981998年)年) V3.1V3.1(20022002年)年) V4.0V4.0(NowNow)20002000年:年:总统国家安全战略报告总统国家安全战略报告(首次将信息安全列入)(首次将信息安全列入)布什政府布什政府911911之后,成立本土安全部(国土安全部)、国家之后,成立本土安全部(国土安全部)、国家KIPKIP委员会委员会20022002年:年:国家保障数字空间安全策略国家保障数字空间安全策略、国家安全战略报告国家安全战略报告20032003年:年:网络空间安全国家战略计划网络空间安全国家战略计划奥巴马政府奥巴马政府上任之初:上任之初:6060天信息安全评估项目天信息安全评估项目20092009年:年:美国网络安全评估美国网络安全评估20102010年:网络战司令部正式运行年:网络战司令部正式运行4 4 信息安全标准体系信息安全标准体系我国信息安全法律法规及电力行业制度要求我国信息安全法律法规及电力行业制度要求4.1 4.1 标准化概述标准化概述4.2 4.2 标准介绍标准介绍4.3 4.3 信息安全检查评估信息安全检查评估信息安全法规与政策信息安全法规与政策4.1 4.1 标准化概述标准化概述信息安全标准化概念了解标准和标准化的基本概念和作用信息安全法规与政策信息安全法规与政策4.1 4.1 标准化概述标准化概述-信息安全标准化概念信息安全标准化概念标准和标准化相关基本概念标准和标准化相关基本概念标准标准为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复为了在一定范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。使用的一种规范性文件。标准化(标准化(GB/T 20000.1-2002GB/T 20000.1-2002)为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动。的活动。国际标准国际标准由国际标准化组织或国际标准组织通过并公开发布的标准由国际标准化组织或国际标准组织通过并公开发布的标准国家标准国家标准由国家标准机构通过并公开发布的标准由国家标准机构通过并公开发布的标准国际标准化组织(国际标准化组织(ISOISO)其成员资格向每个国家的有关国家机构开放的标准化组织其成员资格向每个国家的有关国家机构开放的标准化组织国家标准机构国家标准机构在国家层面上承认的,有资格成为相应的国际和区域标准组织的国家成员的标准机构(中在国家层面上承认的,有资格成为相应的国际和区域标准组织的国家成员的标准机构(中国国家标准化管理委员会)国国家标准化管理委员会)信息安全法规与政策信息安全法规与政策4.1 4.1 标准化概述标准化概述-信息安全标准化概念信息安全标准化概念标准化的特点、原则;标准的作用及代码标准化的特点、原则;标准的作用及代码特点特点标准化的对象:共同的、可重复的事物标准化的对象:共同的、可重复的事物标准化的动态性标准化的动态性标准化的相对性标准化的相对性标准化的效益标准化的效益原则原则简化、统一、协调、优化简化、统一、协调、优化作用作用标准是进行贸易的基本条件标准是进行贸易的基本条件标准能够提高企业的经济效益标准能够提高企业的经济效益标准能够提高国民经济效益标准能够提高国民经济效益代码代码GB GB 强制性国家标准强制性国家标准GB/T GB/T 推荐性国家标准推荐性国家标准GB/Z GB/Z 国家标准化指导性技术文件国家标准化指导性技术文件标准能打破技术壁标准能打破技术壁垒,标准也能成为垒,标准也能成为新的技术壁垒新的技术壁垒信息安全法规与政策信息安全法规与政策4.1 4.1 标准化概述标准化概述信息安全标准化组织了解国际信息安全标准化组织及其工作了解国外典型国家信息安全标准化组织及其工作熟悉我国信息安全标准化组织及其工作信息安全法规与政策信息安全法规与政策4.1 4.1 标准化概述标准化概述-信息安全标准化组织信息安全标准化组织国际信息安全标准化组织国际信息安全标准化组织 ISO/IEC JTC1ISO/IEC JTC1信息安全管理体系工作组信息安全管理体系工作组密码与安全机制工作组密码与安全机制工作组安全评估准则工作组安全评估准则工作组安全控制与服务工作组安全控制与服务工作组身份管理与隐私技术工作组身份管理与隐私技术工作组国际标准提案国际标准提案ISMSISMS审核审核指南指南国际标准提案国际标准提案三元实体鉴别三元实体鉴别国际标准国际标准信息安全事件管理信息安全事件管理合作编辑合作编辑国际标准提案国际标准提案基于三元实体鉴别基于三元实体鉴别的访问控制方法的访问控制方法信息安全法规与政策信息安全法规与政策4.1 4.1 标准化概述标准化概述-信息安全标准化组织信息安全标准化组织美国标准化组织美国标准化组织ANSIANSINCITS-T4 NCITS-T4 制定制定ITIT安全技术标准安全技术标准X9 X9 制定金融业务标准制定金融业务标准X12 X12 制定商业交易标准制定商业交易标准 (EDI)(EDI)NISTNIST负责联邦政府非密敏感信息负责联邦政府非密敏感信息FIPSFIPSDODDOD负责涉密信息负责涉密信息NSANSA国防部指令(国防部指令(DODDIDODDI)(如)(如TCSECTCSEC)IEEEIEEESILSSILSP1363P1363信息安全法规与政策信息安全法规与政策4.1 4.1 标准化概述标准化概述-信息安全标准化组织信息安全标准化组织我国标准化组织我国标准化组织 1984 1984年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会 20022002年年4 4月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术委员会(信安标委,委员会(信安标委,TC260TC260),由国家标准委直接领导,对口),由国家标准委直接领导,对口ISO/IEC JTC1 SC27ISO/IEC JTC1 SC27;秘书处设在;秘书处设在中国电子技术标准化研究所;委员会由中国电子技术标准化研究所;委员会由3030多个部门和单位的多个部门和单位的4949名领导和专家组成名领导和专家组成目前共有工作组成员单位目前共有工作组成员单位165165家,其中企业家,其中企业120120家家TC260TC260各部门的职责各部门的职责秘书处:是委员会的常设办事机构,负责委员会的日常事务工作秘书处:是委员会的常设办事机构,负责委员会的日常事务工作信息安全标准体系与协调工作组(信息安全标准体系与协调工作组(WG1WG1):研究信息安全标准体系、需求;跟踪国际标准发展):研究信息安全标准体系、需求;跟踪国际标准发展动态;提出新工作项目及设立新工作组的建议;协调各工作组项目动态;提出新工作项目及设立新工作组的建议;协调各工作组项目涉密信息系统安全保密标准工作组(涉密信息系统安全保密标准工作组(WG2WG2):研究提出涉密信息系统安全保密标准体系;制定):研究提出涉密信息系统安全保密标准体系;制定涉密保密相关标准涉密保密相关标准密码技术标准工作组(密码技术标准工作组(WG3WG3):研究提出商用密码技术标准体系;制定商用密码相关标准):研究提出商用密码技术标准体系;制定商用密码相关标准鉴别与授权工作组(鉴别与授权工作组(WG4WG4):研究提出鉴别与授权标准体系;制定鉴别与授权相关标准):研究提出鉴别与授权标准体系;制定鉴别与授权相关标准信息安全评估工作组(信息安全评估工作组(WG5WG5):研究提出测评标准体系;制定测评相关标准):研究提出测评标准体系;制定测评相关标准通信安全标准工作组(通信安全标准工作组(WG6WG6):研究提出通信安全标准体系;制定通信安全相关标准):研究提出通信安全标准体系;制定通信安全相关标准信息安全管理工作组(信息安全管理工作组( WG7WG7):研究提出信息安全管理标准体系;制定信息安全管理相关标准):研究提出信息安全管理标准体系;制定信息安全管理相关标准信息安全法规与政策信息安全法规与政策4.2 4.2 标准介绍标准介绍信息安全国家标准了解我国信息安全标准体系框架掌握信息安全等级保护标准体系,熟悉信息安全等级保护相关标准信息安全法规与政策信息安全法规与政策4.2 4.2 标准介绍标准介绍-信息安全标准体系框架信息安全标准体系框架信息安全标准体系信息安全标准体系 信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准制订信息安全标准制订/ /修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学化合理修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学化合理化的手段;是一幅现有、应有和预计制定的信息安全标准的蓝图,并随着科学技术的发展不断化的手段;是一幅现有、应有和预计制定的信息安全标准的蓝图,并随着科学技术的发展不断地完善和更新。地完善和更新。我国信息安全标准体系,是在总结各工作组对本领域标我国信息安全标准体系,是在总结各工作组对本领域标准体系研究成果的基础上形成的,是全国安全标准化技准体系研究成果的基础上形成的,是全国安全标准化技术委员会各工作组共同的工作成果。术委员会各工作组共同的工作成果。是在跟踪分析了国际信息安全标准的发展动态和国内信是在跟踪分析了国际信息安全标准的发展动态和国内信息安全标准需求的基础上,提出的标准体系框架和标准息安全标准需求的基础上,提出的标准体系框架和标准体系表。体系表。我国信息安全技术标准从总体上划分为六大类,每类按我国信息安全技术标准从总体上划分为六大类,每类按照标准所涉及的主要内容细分若干小类。照标准所涉及的主要内容细分若干小类。信息安全法规与政策信息安全法规与政策4.2 4.2 标准介绍标准介绍-信息安全等级保护标准体系信息安全等级保护标准体系等级保护标准体系(等级保护标准体系(1010大标准)大标准)基础类基础类计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则GB 17859-1999GB 17859-1999信息系统安全等级保护实施指南信息系统安全等级保护实施指南GB/T 25058-2010 GB/T 25058-2010 应用类应用类定级:信息系统安全保护等级定级指南定级:信息系统安全保护等级定级指南GB/T 22240-2008 GB/T 22240-2008 建设:信息系统安全等级保护基本要求建设:信息系统安全等级保护基本要求GB/T 22239-2008 GB/T 22239-2008 信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20271-2006 GB/T 20271-2006 信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求GB/T 25070-2010 GB/T 25070-2010 测评:信息系统安全等级保护测评要求测评:信息系统安全等级保护测评要求 GB/T 28448-2012 GB/T 28448-2012 信息系统安全等级保护测评过程指南信息系统安全等级保护测评过程指南 GB/T 28449-2012 GB/T 28449-2012管理:信息系统安全管理要求管理:信息系统安全管理要求GB/T 20269-2006 GB/T 20269-2006 信息系统安全工程管理要求信息系统安全工程管理要求GB/T 20282-2006 GB/T 20282-2006 信息安全法规与政策信息安全法规与政策4.2 4.2 标准介绍标准介绍-信息安全等级保护标准体系信息安全等级保护标准体系等级保护标准体系(其他标准)等级保护标准体系(其他标准)技术类技术类GB/T 21052-2007 GB/T 21052-2007 信息安全技术信息安全技术 信息系统物理安全技术要求信息系统物理安全技术要求GB/T 20270-2006 GB/T 20270-2006 信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求GB/T 20272-2006 GB/T 20272-2006 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求GB/T 20273-2006 GB/T 20273-2006 信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求其他信息产品、信息安全产品相关标准其他信息产品、信息安全产品相关标准.其他类其他类GB/T 20984-2007 GB/T 20984-2007 信息安全技术信息安全技术 信息安全风险评估规范信息安全风险评估规范GB/Z 24364-2009GB/Z 24364-2009信息安全技术信息安全技术 信息安全风险管理指南信息安全风险管理指南GB/T 24363-2009GB/T 24363-2009信息安全技术信息安全技术 信息安全应急响应计划规范信息安全应急响应计划规范GB/Z 20285-2007 GB/Z 20285-2007 信息安全技术信息安全技术 信息安全事件管理指南信息安全事件管理指南GB/Z 20986-2007 GB/Z 20986-2007 信息安全技术信息安全技术 信息安全事件分类分级指南信息安全事件分类分级指南GB/T 20988-2007 GB/T 20988-2007 信息安全技术信息安全技术 信息系统灾难恢复规范信息系统灾难恢复规范信息安全法规与政策信息安全法规与政策4.2 4.2 标准介绍标准介绍信息安全国外标准了解国际信息安全标准体系了解国外典型国家信息安全标准体系了解与自身工作密切相关的信息安全国际标准信息安全标准体系信息安全标准体系4.2 4.2 标准介绍标准介绍-信息安全国外标准信息安全国外标准国际信息安全标准体系信息安全管理体系标准密码技术与安全机制标准安全评价准则标准安全控制与服务标准身份管理与隐私保护技术标准词汇标准要求标准指南标准相关标准为实现保密性、完整性和可用性而开发的各种安全机制标准安全评价标准安全功能和保证规范针对潜在/显现信息安全问题的标准针对已知信息安全问题的标准针对信息安全违反和损害的标准身份管理相关标准生物识别相关标准隐私保护相关标准ISO 27000ISO 27001ISO 27006ISO 27002ISO 27003ISO 18033ISO 19772.ISO 15408ISO 18045 .ISO 19790ISO 24759 .ISO 27032ISO 27033ISO 27037ISO 24760ISO 29144ISO 29100等级保护标准体系(其他标准)等级保护标准体系(其他标准)信息安全标准体系信息安全标准体系4.2 4.2 标准介绍标准介绍-信息安全国外标准信息安全国外标准Security Control Monitoring安全控制措施监视Security Categorization安全分类Security Control Selection安全控制措施选择Security Control Refinement安全控制措施改进Security Control Documentation安全控制措施文档编制Security Control Implementation安全控制措施实施Security Control Assessment安全控制措施评估Security Authorization安全授权 起始点风险风险管理管理SP 800-37/SP 800-53AFIPS 199/SP 800-60FIPS 200/SP 800-53SP 800-53/SP 800-30SP 800-18SP 800-70SP 800-53ASP 800-37国外典型国家信息安全标准体系框架国外典型国家信息安全标准体系框架-SP800-SP800信息安全法规与政策信息安全法规与政策4.2 4.2 标准介绍标准介绍-信息安全国外标准信息安全国外标准ISO 27000ISO 27000标准族标准族ISO 27000ISO 27000标准族、标准族、SP 800SP 800系列标准介绍参见系列标准介绍参见CISP0301CISP0301信息安全管理体系信息安全管理体系。ISO 27001ISO 27001标准的详细内容参见标准的详细内容参见CISP0301CISP0301信息安全管理体系信息安全管理体系。ISO 27002ISO 27002标准的详细内容参见标准的详细内容参见CISP0303CISP0303信息安全管基本措施信息安全管基本措施、 CISP0304CISP0304信信息安全管重要管理过程息安全管重要管理过程。信息安全法规与政策信息安全法规与政策4.3 4.3 信息安全检查评估信息安全检查评估安全技术评估标准发展历史了解安全技术评估标准发展过程理解GB/T18336信息技术安全性评估准则(CC)的特点信息安全法规与政策信息安全法规与政策4.3 4.3 信息安全检查评估信息安全检查评估-安全标准的发展安全标准的发展安全技术评估标准发展历史安全技术评估标准发展历史ITSEC ITSEC 19911991CC 1.0CC 1.019961996ISO15408 ISO15408 19991999CC 2.0CC 2.019981998GB/T 18336 GB/T 18336 20012001CDCD19971997GIB 2646 GIB 2646 19961996GB 17859 GB 17859 19991999ISO15408 ISO15408 20052005TCSECTCSEC 1985 1985FC FC 19921992CTCPEC CTCPEC 19931993GB/T 18336 GB/T 18336 20082008FCDFCD19981998信息安全法规与政策信息安全法规与政策4.3 4.3 信息安全检查评估信息安全检查评估-国外安全评测标准国外安全评测标准美国的安全评测标准美国的安全评测标准(TCSEC)(TCSEC)、欧洲的安全评测标准、欧洲的安全评测标准(ITSEC)(ITSEC)美国的安全评测标准美国的安全评测标准(TCSEC)(TCSEC)19701970年由美国国防科学委员会提出。年由美国国防科学委员会提出。19851985年公布。主要军用,延用至民用。年公布。主要军用,延用至民用。安全级从高到低分安全级从高到低分A A、B B、C C、D D四级,级下再分小类四级,级下再分小类(A1(A1、B3B3、B2B2、B1B1、C2C2、C1C1、D)D)分级分类主要依据四个准则:安全策略、可控性、保证能力、文档分级分类主要依据四个准则:安全策略、可控性、保证能力、文档局限性局限性集中考虑数据保密性,而忽略了数据完整性、系统可用性等;集中考虑数据保密性,而忽略了数据完整性、系统可用性等;将安全功能和安全保证混在一起将安全功能和安全保证混在一起安全功能规定得过为严格,不便于实际开发和测评安全功能规定得过为严格,不便于实际开发和测评欧洲的安全评测标准欧洲的安全评测标准(ITSEC)(ITSEC)以超越以超越TCSECTCSEC为目的,将安全概念分为功能与功能评估两部分。为目的,将安全概念分为功能与功能评估两部分。功能分功能分F1-F10F1-F10共共1010级。级。1 15 5级对应于级对应于TCSECTCSEC的的D D到到A A。6 61010级加上了以下概念:级加上了以下概念:F6F6:数据和程序的完整性:数据和程序的完整性 F7 F7:系统可用性:系统可用性 F8 F8:数据通信完整性:数据通信完整性 F9 F9:数据通信保密性:数据通信保密性F10F10:包括机密性和完整性的网络安全:包括机密性和完整性的网络安全评估准则分为评估准则分为6 6级:级:E1E1E6E6与与TCSECTCSEC的不同的不同安全被定义为保密性、完整性、可用性安全被定义为保密性、完整性、可用性功能和质量功能和质量/ /保证分开保证分开对产品和系统的评估都适用,提出评估对象(对产品和系统的评估都适用,提出评估对象(TOETOE)的概念)的概念产品:能够被集成在不同系统中的软件或硬件包;产品:能够被集成在不同系统中的软件或硬件包;系统:具有一定用途、处于给定操作环境的特殊安全装置系统:具有一定用途、处于给定操作环境的特殊安全装置信息安全法规与政策信息安全法规与政策4.3 4.3 信息安全检查评估信息安全检查评估-国外安全评测标准国外安全评测标准加拿大的评测标准加拿大的评测标准(CTCPEC)(CTCPEC)、美国联邦准则、美国联邦准则(FC) (FC) 加拿大的评测标准加拿大的评测标准(CTCPEC)(CTCPEC)19891989年公布,专为政府需求而设计年公布,专为政府需求而设计与与ITSECITSEC类似,将安全分为功能性需求和保证性需要两部分类似,将安全分为功能性需求和保证性需要两部分功能性要求分为四个大类:功能性要求分为四个大类:a a机密性机密性 b b完整性完整性 c c可用性可用性 d d可控性可控性在每种安全需求下又分小类在每种安全需求下又分小类0 05 5级,表示安全性上的差别级,表示安全性上的差别美国联邦准则美国联邦准则(FC)(FC)对对TCSECTCSEC的升级的升级19921992年年1212月公布月公布引入了引入了“保护轮廓(保护轮廓(PPPP)”这一重要概念这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分每个轮廓都包括功能部分、开发保证部分和评测部分分级方式与分级方式与TCSECTCSEC不同,吸取了不同,吸取了ITSECITSEC、CTCPECCTCPEC中的优点中的优点供美国政府用,民用和商用供美国政府用,民用和商用信息安全法规与政策信息安全法规与政策4.3 4.3 信息安全检查评估信息安全检查评估-国外安全评测标准国外安全评测标准通用准则(通用准则(CC CC )国际标准化组织统一现有多种准则的努力结果;国际标准化组织统一现有多种准则的努力结果;19991999年正式成为国际标准年正式成为国际标准ISO/IEC 15408ISO/IEC 15408;充分突出充分突出“保护轮廓保护轮廓”,将评估过程分,将评估过程分“功能功能”和和“保证保证”两部分;两部分;CC CC 基于风险管理理论,对安全模型、安全概念和安全功能进行了全基于风险管理理论,对安全模型、安全概念和安全功能进行了全面系统描绘,强化了评估保证;面系统描绘,强化了评估保证;是目前最全面的评价准则。是目前最全面的评价准则。国际上认同的表达国际上认同的表达ITIT安全的体系结构,一组规则集安全的体系结构,一组规则集一种评估方法,其评估结果国际互认一种评估方法,其评估结果国际互认通用的表达方式,便于理解通用的表达方式,便于理解灵活的架构,可以定义自己的要求扩展灵活的架构,可以定义自己的要求扩展CCCC要求要求通用评估方法通用评估方法(CEM)(CEM)是是CCCC标准出版后,为了在评估中应用标准出版后,为了在评估中应用CCCC而提供的而提供的一种通用方法。是与一种通用方法。是与CCCC配套的文档。配套的文档。信息安全法规与政策信息安全法规与政策4.3 4.3 信息安全检查评估信息安全检查评估信息安全技术评估准则了解评估标准体系了解信息技术产品安全性评估的基本过程信息安全法规与政策信息安全法规与政策4.3 4.3 信息安全检查评估信息安全检查评估-信息安全技术评估准则信息安全技术评估准则GB/T 18336GB/T 18336(ISO 15408ISO 15408)GB/T 18336-2008GB/T 18336-2008信息技术信息技术 安全技术安全技术 信息技术安全性评估准则信息技术安全性评估准则(idt ISO/IEC idt ISO/IEC 15408:200515408:2005)GB/T 18336.1-2008GB/T 18336.1-2008:简介和一般模型:简介和一般模型GB/T 18336.2-2008GB/T 18336.2-2008:安全功能要求:安全功能要求GB/T 18336.3-2008GB/T 18336.3-2008:安全保证要求:安全保证要求目标读者目标读者TOETOE(评估对象)的客户(评估对象)的客户TOETOE的开发者的开发者TOETOE的评估者的评估者其他其他系统管理员和系统安全管理员系统管理员和系统安全管理员内部和外部审计员内部和外部审计员安全架构师和设计师安全架构师和设计师认可者认可者评估发起者评估发起者评估管理机构评估管理机构ISO15408-1:2009ISO15408-2:2008ISO15408-3:2008信息安全法规与政策信息安全法规与政策4.3 4.3 信息安全检查评估信息安全检查评估-信息安全技术评估准则信息安全技术评估准则评估中的关键概念评估中的关键概念评估对象评估对象TOE(Target of Evaluation)TOE(Target of Evaluation):产品、系统、子系统:产品、系统、子系统保护轮廓保护轮廓PP (Protection Profile) PP (Protection Profile) :表达一类产品或系统的用户需求;组合安全功:表达一类产品或系统的用户需求;组合安全功能要求和安全保证要求;安全标准能要求和安全保证要求;安全标准( (示例:示例:包过滤防火墙安全技术要求包过滤防火墙安全技术要求(GB 18019GB 18019)安全目标安全目标ST(Security Target)ST(Security Target):某一款产品对某一:某一款产品对某一PPPP要求的具体实现;实用方案要求的具体实现;实用方案功能功能(Function)(Function):规范:规范ITIT产品和系统的安全行为,应做的事产品和系统的安全行为,应做的事保证保证(Assurance)(Assurance):对功能产生信心的方法:对功能产生信心的方法组件组件(Component)(Component):安全要求不能再分的构件块:安全要求不能再分的构件块包包(Package)(Package):若干功能或保证要求的组合:若干功能或保证要求的组合评估保证级评估保证级EAL(Evaluation Assurance LevelEAL(Evaluation Assurance Level):预定义的保证包;公认的广泛适用):预定义的保证包;公认的广泛适用的一组保证要求;的一组保证要求;EAL1EAL1EAL7EAL7信息安全标准体系信息安全标准体系4.3 4.3 信息安全检查评估信息安全检查评估-信息安全评估技术准则信息安全评估技术准则评估评估PPPP评估评估 结果结果PP分类分类已评估已评估 的的PP评估评估STST评估评估 结果结果评估评估TOETOETOE评估评估评估评估结果结果结果结果证书分类证书分类已评估已评估 的的TOE评估流程评估流程5 5 电力行业信息安全推进情况电力行业信息安全推进情况我国信息安全法律法规及电力行业制度要求我国信息安全法律法规及电力行业制度要求5.1 5.1 “电监信息电监信息200720073434号号”5.2 5.2 “国能安全国能安全20143172014317号号”5.3 5.3 (发改委(发改委1414号令)号令)5.15.1关于开展电力行业信息系统安全等级保护定级工作的通知关于开展电力行业信息系统安全等级保护定级工作的通知 “电监信息电监信息200720073434号号”电力行业信息安全推进情况电力行业信息安全推进情况必要性背景及目的为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室关于印发的通知(公通字200743号)和关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)要求,提高电力行业网络和信息系统的信息安全保护能力和水平,定于2007年8月至10月在电力行业组织开展信息系统安全等级保护定级工作。2007年11月,国家电监会下发了电力行业信息系统安全等级保护定级工作指导意见。实施具体步骤包括:(1)开展定级备案;(2)通过等级保护测评,发现与国家技术、管理要求的不符合项;(3)依据总体方案、等级保护不符合项,编制本单位等级保护实施方案;(4)根据等级保护实施方案开展建设,具体包括:安全域划分、与实现,产品采购与部署,安全加固,应用改造,等级保护管理建设;(5)等级保护测评验证建设效果。电力工业的特点决定了电力信息安全不仅具有一般计算机信息网络信息安全的特征,而且还具有电力实时运行控制系统信息安全的特征。电力系统的信息安全是一项多领域、复杂的大型系统工程。5.2 5.2 电力行业网络与信息安全管理办法电力行业网络与信息安全管理办法“国能安全国能安全20143172014317号号”电力行业信息安全推进情况电力行业信息安全推进情况依据目标电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。原则电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据中华人民共和国计算机信息系统安全保护条例及国家有关规定,制定本办法。5.2 5.2 电力行业网络与信息安全管理办法电力行业网络与信息安全管理办法“国能安全国能安全20143172014317号号”电力行业信息安全推进情况电力行业信息安全推进情况主管机构职责工作内容(一)一组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)组织制定电力行业网络与信息安全的发展战略和总体规划;(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;(七)组织开展电力行业网络与信息安全的技术研发工作;(八)电力行业网络与信息安全监督管理的其它事项。国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。5.2 5.2 电力行业网络与信息安全管理办法电力行业网络与信息安全管理办法“国能安全国能安全20143172014317号号”电力行业信息安全推进情况电力行业信息安全推进情况企业职责工作内容第七条电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系,成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求,建立健全网络与信息安全责任制。第八条电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。第九条电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。第十条电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。第十一条电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。第十二条电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。5.2 5.2 电力行业网络与信息安全管理办法电力行业网络与信息安全管理办法“国能安全国能安全20143172014317号号”电力行业信息安全推进情况电力行业信息安全推进情况企业职责工作内容第十三条电力企业应当按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信息安全通报预警工作,及时向国家能源局或其派出机构报告有关情况。第十四条电力企业应当按照电力行业网络与信息安全应急预案,制定或修订本单位网络与信息安全应急预案,定期开展应急演练。第十五条电力企业发生信息安全事件后,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。第十六条电力企业应当按照国家有关规定,建立健全容灾备份制度,对关键系统和核心数据进行有效备份。第十七条电力企业应当建立网络与信息安全资金保障制度,有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。第十八条电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。5.2 5.2 电力行业网络与信息安全管理办法电力行业网络与信息安全管理办法“国能安全国能安全20143172014317号号”电力行业信息安全推进情况电力行业信息安全推进情况检查监督检查措施第二十条国家能源局及其派出机构进行监督检查和事件调查时,可以采取下列措施:(一)进入电力企业进行检查;(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;(四)对检查中发现的问题,责令其当场改正或者限期改正。国家能源局及其派出机构依法对电力企业网络与信息安全工作进行监督检查。5.3 5.3 电力监控系统安全防护规定电力监控系统安全防护规定(发改委(发改委1414号令)号令)电力行业信息安全推进情况电力行业信息安全推进情况必要性背景(“5号令”)电力行业作为关系国计民生的重要基础行业,同时也是技术、资金密集型行业,在注重信息化建设的同时,对于网络安全工作也历来高度重视。并由原电监会于2004年发布了第5号令电力二次系统安全防护规定(以下简称“5号令”),并随后陆续下发了相关配套文件。5号令的核心是“安全分区、网络专用、横向隔离、纵向认证”的电力监控系统安全防护总体策略,其主要内容为:合理划分安全分区,扩充完善电力调度专用数据网,采取必要的安全防护技术和防护设备,剥离非生产性业务,实现电力调度数据网络与其他网络的物理隔离,有效提高电力监控系统抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击的能力。5号令确定的安全防护总体策略的效果主要体现在:一是5号令正式实施以来,全国电力监控系统未再发生因受到恶意信息攻击而导致的电力安全事件;二是在北京奥运会、上海世博会、广州亚运会等重要保电时期,电力监控系统安全防护体系经受住了来自境内外各种敌对势力的高密度、高强度的恶意网络渗透和攻击的严峻考验,确保了各项重要活动期间的电力可靠供应。电力监控系统的安全防护是电力行业网络安全工作的一个重要组成部分。当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响;加强网络安全工作,能更好地保证各种信息技术的安全和合理应用,对于促进国民经济的快速、健康和安全发展具有重要意义。5.3 5.3 电力监控系统安全防护规定电力监控系统安全防护规定(发改委(发改委1414号令)号令)电力行业信息安全推进情况电力行业信息安全推进情况14号令重点解决的突出问题在原有电监会5号令的基础上,发改委第14号令重点解决以下两方面的问题:一是在技术层面:随着分布式能源、配网自动化、智能电网等新技术的快速发展和应用,电力监控系统使用无线公网进行数据通信的情况日益普遍,需要制定相应的安全防护措施;伊朗布什尔核电站遭受“震网”蠕虫病毒攻击事件,反映出对于生产控制大区内部电力工控系统和设备的安全管理工作需要进一步加强;工作实践中反映出的关于设备远程维护的防护措施、智能变电站的安全防护措施、非控制区的纵向边界防护强度等方面的实际问题也需要进一步明确和规范。二是在管理层面:2007年以来公安部、工信部等国家部委相继印发了信息安全等级保护管理办法、关于加强工业控制系统信息安全管理的通知等相关文件,电力监控系统作为电力行业信息系统和工业控制系统的一个重要组成部分,有必要根据上述文件的相关要求,结合电力生产的实际,对规定进行相应的修订和完善;需要根据国务院机构改革情况,以及关于简政放权工作的有关要求,对规定进行相应的调整和完善。5.3 5.3 电力监控系统安全防护规定电力监控系统安全防护规定(发改委(发改委1414号令)号令)电力行业信息安全推进情况电力行业信息安全推进情况14号令的重要补充和修订在原有电监会5号令的基础上,发改委第14号令提出了相关的规定和要求:在技术方面:一是针对配电网、分布式电源广泛使用无线公网进行数据通信的实际情况,提出了在生产控制大区内设置“安全接入区”的理念,并明确了相关的技术规定和要求,进一步拓宽了电力二次系统安全防护体系的覆盖范围(第七条、第八条);二是针对近期发现的生产控制大区内部分二次设备(如部分品牌的PLC设备、工业交换机等)存在漏洞和风险的问题,从设备选型及配置、漏洞及风险整改等方面提出了相关的要求,使电力监控系统安全防护体系从重点强化“边界防护”向“纵深防御”发展(第十二条);在管理方面:一是将公安部、工信部关于信息系统、工业控制系统安全防护的有关规定和要求在规定中予以体现(第二条、第十二条);二是根据机构改革情况、职责调整以及相关工作开展情况,对原规定中部分表述进行了更新和修订,比如:“电监会”、“电力监管机构”根据机构改革情况分别更新为“国家能源局”、“国家能源局及其派出机构”,“上级信息安全主管部门”根据国家能源局“三定”方案中关于简政放权的要求修订为“本企业上级专业管理部门、信息安全管理部门”(第十四条)。5.3 5.3 电力监控系统安全防护规定电力监控系统安全防护规定(发改委(发改委1414号令)号令)电力行业信息安全推进情况电力行业信息安全推进情况下一步工作关键环节电力监控系统安全防护工作的总体思路是从边界防护逐步向纵深防御发展,下一步的工作思路主要包括(但不限于):一是进一步扩展安全防护体系的覆盖范围,包括:加强对110千伏及以下低压配电网的安全防护;加强对电力负荷管理系统、用电管理系统等相关系统的安全防护;进一步规范和加强核电站电力监控系统的安全防护;进一步规范和加强对风电、光伏等可再生/分布式能源电力监控系统的安全防护;进一步规范和加强对智能变电站等新技术、新应用的安全防护工作。二是强化纵深防御,包括:积极推进电力监控系统的国产化工作;继续推进电力工控设备信息安全漏洞的检测和整改工作;不断推进电力企业内网监视平台的建设工作;扎实推进电力监控系统安全防护评估工作和电力行业信息安全等级保护测评工作(两项工作同步完成,不增加企业重复工作量),形成电力监控系统安全防护体系的不断改进和持续完善机制;积极研发并逐步推广应用基于可信计算技术的系统安全免疫。5.3 5.3 电力监控系统安全防护规定电力监控系统安全防护规定(发改委(发改委1414号令)号令)电力行业信息安全推进情况电力行业信息安全推进情况与国家等保工作的关系息系统安全等级保护是在国家范围内推行的对于网络与信息安全的一项基本制度,它主要针对通用的计算机信息系统,从技术与管理等方面提出了普遍适用的措施、规定和要求。电力监控系统安全防护主要针对与电力生产、供应密切相关的电力监控系统,并根据其具体功能及实际特点,有针对性提出了相关的安全防护措施。总体来看,电力监控系统安全防护的防护强度基本满足或超过相应等级信息系统安全等级保护的要求,并且对于电力监控系统,其相关安全防护措施更加具有系统性、整体性、针对性和可操作性。举一个最简单的例子,对于一个部署在省级调度机构的电能量计量系统,按照信息系统安全等级保护的规定和要求,可以定级为三级系统,只需按照等级保护三级系统的要求采取相关的各项管理和技术措施即可,比如物理防护、网络隔离等。但是,在电力监控系统安全防护体系中,则会结合电力行业的实际特点,提出更加完整、具体的规定和要求,比如按照“安全分区”的要求,这个系统应该摆放在哪个安全区;按照“横向隔离”或者“纵向认证”的要求,这个系统应该在与其有数据交互的其他业务系统或者本系统的终端之间采取哪些安全防护措施,这些都会有更加明确的规定。可以这么说,信息系统安全等级保护的有关规定和要求是一个通用的、基本的门槛,而电力监控系统安全防护根据电力行业的特点,对其予以了细化、补充、完善和加强。本课程介绍的主要内容有:课程回顾课程回顾 中国南方电网有限责任公司中国南方电网有限责任公司国家信息安全法治总体情况信息安全合规概述信息安全法规与政策信息安全标准电力行业信息安全推进情况关键词:(XXXX技能)(XXXX能力)(XXXX方法)谢谢谢谢中国南方电网有限责任公司中国南方电网有限责任公司
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号