信息安全法规、政策和标准

信息安全法规、政策和标准

培训机构培训讲师

课程内容（ 1 ）

信息安全法规与政策

知识体知识域

信息安全相关法规

知识子域

国家信息安全法治总体情况

信息安全相关政策

信息安全相关国家法律

信息安全相关行政法规和部门规章

国外信息安全相关法规简介

国家信息安全保障总体情况

信息安全相关国家政策

国外信息安全相关政策简介

信息安全相关地方法规、规章和行业规定


3

信息安全标准

知识体知识域

信息安全标准化概述

知识子域

信息安全标准化概念

信息安全相关标准

信息安全标准化组织

信息安全评估标准

信息安全国家标准

安全技术评估标准发展历史

信息技术安全性评估准则

信息安全国外标准


4

知识体知识域知识子域

道德规范

信息安全从业人员道德规范

通行道德规范

CISP 职业道德准则

计算机使用道德规范

因特网使用道德规范

信息安全从业人员基本道德规范


信息安全法律法规政策

知识体知识域


知识子域










知识域：信息安全相关法规

知识子域：国家信息安全法治总体情况了解信息安全法治建设的意义了解我国信息安全法律法规体系框架

6

信息安全法治建设的意义

信息安全法律环境是信息安全保障体系中的必要环节明确信息安全的基本原则和基本制度、信息安全保障体系

的建设、信息安全相关行为的规范、信息安全中各方权利义务

明确违反信息安全的行为，并对其行为进行相应的处罚等信息安全不再只是个技术问题，而更多地是个商业和法律

问题 --- 安全漏洞、信息犯罪的本质？信息安全产业的逐渐形成和成熟，需要必要的规范

保护国家信息主权和社会公共利益是信息安全立法的首要目标

7

狭义的信息安全广义的信息安全

我国信息安全法律法规体系框架

8

地方人民政府

地方人大及常

委会

国务院

全国人大及其常委会

法律

行政法规

地方性法规

地方政府规章

部门规章

宪法、刑法（部分条款）国家安全法（部分条款）

保守国家秘密法电子签名法

...

计算机信息系统安全保护条例互联网信息服务管理办法

商用密码管理条例...

公安部（安全专用产品等）原信产部（互联网域名等）国新办（互联网新闻信息服

务）保密局（保密等）

...

多级立法

国务院各部委

北京市信息化促进条例、辽宁省计算机信息系统安全管

理条例...

北京市公共服务网络与信息系统安全管理规定、上海市公共信息系统安全测评管理

办法 ...

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27 号）

我国信息安全法治建设的发展历程

通信保密安全计算机系统安全

网络信息系统安全

1994年

2000年

2003年保守国家秘密法

（ 1989 ）（ 2010 年修订）

中央关于加强密码工作的决定

计算机信息系统安全保护条例（草案） -86

计算机信息系统安全保护条例（ 1994 ）

计算机信息系统安全专用产品检测和销售许可

证管理办法 -97 计算机信息网络国际联

网安全保护管理办法 -97计算机信息系统保密管

理暂行规定 -98商用密码管理条例 -99

关于维护互联网安全的决定（ 2000 ）

互联网信息服务管理办法计算机病毒防治管理办法计算机信息系统国际联网

保密管理规定-00

9

我国信息安全法治建设的初步成效、展望初步成效

法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善与信息安全相关的司法和行政管理体系迅速完善法律少而规章等偏多，缺乏信息安全的基本法法律法规的内容篇幅偏小，行为规范较简单

展望需要一部信息安全的基本法《国家信息安全法》（或先出台《信息安全

条例》）信息安全的基本原则与基本制度信息安全的主要核心内容

进一步完善各领域的信息安全专门法信息安全的监管模式和认证体系（面向信息安全各类主体和客体）信息安全常态管理（等级保护制度等）信息安全应急管理（预警、监测、通报和应急处理等）网络与信息系统全生命周期的信息安全特定领域的信息安全 ...

10



知识体知识域


知识子域











知识子域：信息安全相关国家法律了解《中华人民共和国宪法》有关信息安全的内容了解《中华人民共和国刑法》有关信息安全犯罪的规定了解《中华人民共和国治安管理处罚法》有关信息安全的内容掌握《中华人民共和国保守国家秘密法》的主要内容掌握《全国人民代表大会常务委员会关于维护互联网安全的决

定》的内容理解《中华人民共和国电子签名法》的意义和作用了解《中华人民共和国侵权责任法》有关信息安全的内容

12

《宪法》中的有关规定

《宪法》第二章公民的基本权利和义务第 40 条公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关

依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。

法律 13

《刑法》中的有关规定（ 1 ）

《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第 285 、 286 、 287 条 285 条：非法侵入计算机信息系统罪；非法获取计算机信息系统

数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。

• 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处以刑罚。

• 违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处以刑罚。

• 提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

法律 14


《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第 285 、 286 、 287 条 286 条：破坏计算机信息系统罪。

• 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处以刑罚。

• 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

• 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

287 条：利用计算机实施犯罪的提示性规定。• 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或

者其他犯罪的，依照本法有关规定定罪处罚。

15法律

16

《刑法》第四章侵犯公民人身权利、民主权利罪第253 条：出售、非法提供公民个人信息罪；非法获取公民个人信息罪国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违

反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处以刑罚。

窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。


《治安管理处罚法》中的有关规定

《治安管理处罚法》第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第 29 条有下列行为之一的，处以治安管理处罚：

• （一）违反国家规定，侵入计算机信息系统，造成危害的；

• （二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；

• （三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；

• （四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。

《治安管理处罚法》其他规定（与非法信息传等播相关）：第 42 、 47 、 68 条

法律17

《保守国家秘密法》（保密法 1 ）

主旨（总则）目的：保守国家秘密，维护国家安全和利益。国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限

一定范围的人员知悉的事项。国家秘密受法律保护。一切单位和公民都有保守国家秘密的义务。国家保密行政管理部门主管全国的保密工作。保密工作责任制：健全保密管理制度，完善保密防护措施，开展保密宣传教育，加强保密检查。

国家秘密的范围国家事务、国防武装、外交外事、政党秘密国民经济和社会发展、科学技术维护国家安全的活动、经保密主管部门确定的事项等

国家秘密的密级绝密 ---最重要的国家秘密，保密期限不超过 30 年；机密 --- 重要的国家秘密，保密期限不超过 20 年；秘密 --- 一般的国家秘密，保密期限不超过 10 年。

法律

18

《保守国家秘密法》（保密法 2 ）

法律责任（第 48 条人员处分及追究刑责）（一）非法获取、持有国家秘密载体的；（二）买卖、转送或者私自销毁国家秘密载体的；（三）通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的；（四）邮寄、托运国家秘密载体出境，或者未经有关主管部门批准，携带、传递国

家秘密载体出境的；（五）非法复制、记录、存储国家秘密的；（六）在私人交往和通信中涉及国家秘密的；（七）在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递

国家秘密的；（八）将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的；（九）在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络

之间进行信息交换的；（十）使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息的；（十一）擅自卸载、修改涉密信息系统的安全技术程序、管理程序的；（十二）将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出

售、丢弃或者改作其他用途的。有前款行为尚不构成犯罪，且不适用处分的人员，由保密行政管理部门督促其所在

机关、单位予以处理。

法律

19

《全国人大关于维护互联网安全的决定》背景

互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。

互联网安全的范畴（法律约束力）互联网的运行安全（侵入、破坏性程序、攻击、中断服务等）国家安全和社会稳定（有害信息、窃取 /泄露国家秘密、煽动、非法组织

等）市场经济秩序和社会管理秩序（销售伪劣产品 /虚假宣传、损害商业信誉、

侵犯知识产权、扰乱金融秩序、淫秽内容服务等）个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处

理他人信息数据 / 侵犯通信自有和通信秘密、盗窃 /诈骗 /敲诈勒索等）法律责任

构成犯罪的，依照刑法有关规定追究刑事责任构成民事侵权的，依法承担民事责任尚不构成犯罪的：治安管理处罚 / 行政处罚 / 行政处分或纪律处分

法律20

《电子签名法》（ 1 ）

意义 2005 年 4月 1日正式施行的《电子签名法》，被称为“中国首部真正意义上的信息化法律”，自此电子签名与传统手写签名和盖章具有同等的法律效力。

目的为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益，制定本法。

适用范围民事活动中的合同或者其他文件、单证等文书。电子签名和数据电文不适用的文书（国际惯例）：涉及证明人身关系的、涉

及不动产权益转让的、涉及停止公共事业服务的、法律法规所规定的不适用电子文书的其他情形。

监督管理国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对

电子认证服务提供者依法实施监督管理。

法律

21

《电子签名法》（ 2 ）

电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务电子认证服务应具备相适应的人员、资金、场所、技术和设备条件，以及国家

密码管理机构同意使用密码的证明文件；应向国务院信息产业主管部门申请，后者依法审查并征求商务主管部门等有关

部门的意见后，对予以许可的颁发电子认证许可证书，再持该证向工商部门办理企业登记，并将其电子认证业务规则，向国务院信息产业主管部门备案。

法律

22

对电子认证服务提供者的其他要求保证证书内容在有效期内完整、准确；拟暂停或者终止电子认证服务的要求；妥善保存与认证相关的信息，信息保存期限（至少为证书失效后五年）。

第四章法律责任电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有

关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。

《电子签名法》（ 3 ）电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服

务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。

未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得；并酌情罚款。

电子认证服务提供者暂停或者终止电子认证服务，未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的，由国务院信息产业主管部门对其直接负责的主管人员酌情处以罚款。

电子认证服务提供者不遵守认证业务规则、未妥这善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门。

伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民事责任。

依照本法负责电子认证服务业监督管理工作的部门的工作人员，不依法履行行政许可、监督管理职责的，依法给予行政处分；构成犯罪的，依法追究刑事责任。

23

《侵权责任法》

目的：为保护民事主体的合法权益，明确侵权责任，预防并制裁侵权行为，促进社会和谐稳定，制定本法。

适用范围：侵害民事权益，应当依照本法承担侵权责任。（本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。）

第四章关于责任主体的特殊规定第 36 条　网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的，对损害的扩大部分与该网络用户承担连带责任。

网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。

法律24



知识体知识域


知识子域











知识子域：信息安全相关行政法规和部门规章了解信息安全相关行政法规，掌握涉及信息安全的

相关内容了解信息安全相关部门规章，掌握涉及信息安全的

相关内容

26

《计算机信息系统安全保护条例》计算机信息系统

是指由计算机及其相关的和配套的设备、设施 (含网络 )构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

安全保护保障计算机及其相关的和配套的设备、设施 (含网络 ) 的安全，运行环境的

安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。

主管部门公安部主管全国计算机信息系统安全保护工作（含安全监督职权）。国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。

安全保护制度（要点）计算机信息系统实行安全等级保护。使用单位应当建立健全安全管理制度。安全专用产品（硬件、软件）的销售实行许可证制度。行政法规

27

《商用密码管理条例》

商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术

和密码产品。商用密码技术属于国家秘密。

主管部门国家密码管理委员会及其办公室主管全国的商用密码管理工作。国家对商用密码产品的科研、生产、销售和使用实行专控管理。

管理要点商密产品由国家密码管理机构分别指定单位进行科研、生产和检测。商密产品销售单位应有国家密码管理机构颁发的《商用密码产品销售许可证》。必须如实登记备案直接使用商用密码产品的用户信息和产品用途。不得使用自行研制的或者境外生产的密码产品。不得转让其使用的商用密码产品（含故障维修、报废销毁）。

行政法规28

其它一些行政法规

行政法规《中华人民共和国计算机信息网络国际联网管理暂行规定》

《中华人民共和国电信条例》

《互联网信息服务管理办法》

《互联网上网服务营业场所管理条例》

《信息网络传播权保护条例》

...

行政法规29

《计算机信息系统安全专用产品检测和销售许可证管理办法》

两个必须安全专用产品的生产者在其产品进入市场销售之前 , 必须申领《计算机信息系

统安全专用产品销售许可证》。安全专用产品的生产者申领销售许可证 , 必须对其产品进行安全功能检测和认

定。

检测（机构）检测机构对产品（样品）的安全功能和性能进行检测。检测机构应保守检测产品的技术秘密，并不得非法占有他人科技成果，不得从

事与检测产品有关的开发和对外咨询业务。

销售许可证（主管部门）由公安部计算机管理监察部门颁发安全专用产品销售许可证（两年内有效）、“销售许可”标记（生产者应当在固定位置标明该标记）。

安全专用产品的检测通告和经安全功能检测确认的安全专用产品目录 , 由公安部计算机管理监察部门定期发布。

部门规章30

《计算机信息系统保密管理暂行规定》

适用范围适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。

主管部门国家保密局主管全国计算机信息系统的保密工作。

管理要点涉密系统 --- 保密设施、保密措施、访问控制、数据保护等涉密信息 --- 密级标识、物理隔离等涉密媒体 --- 各类计算机媒体（含打印输出等）涉密场所 ---控制区、防电磁信息泄漏、其他物理安全等系统管理 --- 领导负责制、管理制度、保密检查、人员培训和考核等

部门规章31

国家电子政务工程建设项目管理暂行办法国家发改委令 [2007] 第 55 号对国家电子政务工程建设项目有明确的信息安全要求

验收评价管理项目建设单位应在完成项目建设任务后的半年内 , 组织完成建设项目的信息

安全风险评估和初步验收工作。

运行管理项目建设单位或其委托的专业机构应按照风险评估的相关规定 , 对建成项目

进行信息安全风险评估 , 检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性 , 保障信息安全目标的实现。

项建书、可研报告、初步设计方案在“项建和可研”的项目建设方案中应包含“安全系统建设方案” 在“初设”的项目设计方案中应包含“安全系统设计”

部门规章

其他一些部门规章

公安部《互联网安全保护技术措施规定》《计算机病毒防治管理办法》《信息安全等级保护管理办法》《计算机信息网络国际联网安全保护管理办法》《金融机构计算机信息系统安全保护工作暂行规定》（公安部、中国人民银行）

33

原信息产业部《信息系统工程监理暂行规定》《电子认证服务管理办法》《互联网电子邮件服务管理办法》

铁道部《铁路计算机信息网络国际联网保密管理暂行规定》《铁路计算机信息系统安全保护办法》

国家保密局《中华人民共和国保守国家秘密法实施办法》《科学技术保密规定》《计算机信息系统国际联网保密管理规定》《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》《涉及国家秘密的计算机信息系统集成资质管理办法（试行）》

34

国家密码管理局《商用密码科研管理规定》，公告（第 4号） 2006 年 1月 1日起施行《商用密码产品生产管理规定》，公告（第 5号） 2006 年 1月 1日起施

行《商用密码产品销售管理规定》，公告（第 6号） 2006 年 1月 1日起施

行《商用密码产品使用管理规定》，公告（第 8号） 2007 年 5月 1日起施

行《电子认证服务密码管理办法》，公告（第 17号） 2009 年 10月 28日

公布， 2009 年 12月 1日起施行，原办法（公告第 2号）同时废止



知识体知识域


知识子域











知识子域：信息安全相关地方法规、规章和行业规定

• 了解信息安全相关地方法规，掌握自身所在地方或密切相关地方涉及信息安全的相关内容

• 了解信息安全相关地方规章，掌握自身所在地方或密切相关地方涉及信息安全的相关内容

• 了解信息安全相关行业规定，掌握自身所在行业或密切相关行业涉及信息安全的相关内容

36

地方法规

《北京市信息化促进条例》（ 2007 年 9月 14日通过并公布，自2007 年 12月 1日起施行）

《澳门特区打击电脑犯罪法》（ 2009-06-26 公布， 2009-07-26生效）

《辽宁省计算机信息系统安全管理条例》《湖南省信息化条例》《重庆市计算机信息系统安全保护条例》 ...

37

地方规章

《北京市微博客发展管理若干规定》（ 2011 年 12月 16日公布并施行）

《北京市公共服务网络与信息系统安全管理规定》《北京市党政机关计算机网络与信息安全管理办法》《上海市公共信息系统安全测评管理办法》《天津市公共计算机信息网络安全保护规定》《黑龙江省计算机信息系统安全管理规定》《辽宁省计算机信息保密管理规定》《大连市人民政府公共信息网络管理暂行规定》《四川省计算机信息系统安全保护管理办法》《山西省计算机安全管理规定》《山东省计算机信息系统安全管理办法》《安徽省计算机信息系统安全保护办法》《河南省计算机信息系统安全保护暂行办法》

38

地方规章

《广东省计算机信息系统安全保护管理规定》《广东省电子政务信息安全管理暂行办法》《广东省互联网上网服务营业场所管理办法》《广东省计算机信息系统安全保护管理规定实施细则（试行）》《广东省通信短信息服务管理办法（试行）》《深圳经济特区计算机信息系统公共安全管理规定》《福建省互联网上网服务营业场所管理规定》《江苏省互联网网络与信息安全管理暂行规定》《云南省网络与信息系统安全监察管理规定》《江西省计算机信息系统安全保护办法》《杭州市计算机信息系统安全保护管理办法》 ...

39

行业规定

40

中国银监会《电子银行业务管理办法》《电子银行安全评估指引》《银行业金融机构信息系统风险管理指引》

中国证监会《网上证券委托暂行管理办法》《证券期货业信息安全保障管理暂行办法》《证券公司集中交易安全管理技术指引》《期货公司信息公示管理规定》（自 2009 年 11月 16日起施

行）《深圳证券交易所交易异常情况处理实施细则（试行）》《上海证券交易所交易异常情况处理实施细则（试行）》

...



知识体知识域


知识子域











知识子域：国外信息安全相关法规简介了解美国信息安全相关法规概况

42

国外信息安全法律法规简介

国外信息安全法律法规简介（以美国为例）《信息自由法》（ Freedom of Information Act of 1966 ， FOIA ）《爱国者法》（ USA Patriot of Act of 2001 ）《联邦信息安全管理法案》（ Federal Information Security Management Act

of 2002 ， FISMA ）属于《电子政务法》（ the E-Government Act of 2002 ）的第三部分

《公众公司会计改革与投资者保护法》，又名《萨班斯 -奥克斯利法》（ Sarbanes-Oxley Act of 2002 ）

国内外信息安全法治体系的差距分析体系性广度深度 ...

43

《信息自由法》《爱国者法》

《信息自由法》美国对政府信息进行立法保护的首要原则是向公众公开原则（也叫

信息公开原则），是构成其他信息安全保护法律的基础该法案主要是保障公民的个人自由，但也需要保障国家的安全，因此，该法利用“例外”的立法方式，将需要保护的信息加以列举

44

《爱国者法》是“ 9.11” 事件以后美国为保障国家安全颁布的最为重要的一部法

律，也是目前争议最大的一部法律。从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相

应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中。

由于该法赋予联邦政府的权力过大，引起美国国内民权人士的担忧，并产生诉案。

• 该法还对美国现有的十几部法律做出了修改• 政府可以对国外银行和对私人存户达到 100万美元以上的账户进行尽职调

查

《联邦信息安全管理法案》《电子政务法》《公众公司会计改革与投资者保护法》

《联邦信息安全管理法案》给出了“信息安全”的定义对国家信息安全管理职责的授权

国家标准与技术局（ NIST ）为联邦政府使用的系统制定安全标准与指南管理与预算办公室（ OMB ）主任对安全政策、原则、标准、指南等的制定、执行

（包括遵守）情况进行监督

45

《电子政务法》该法对联邦政府信息技术管理和规划的每一个方面，从危机管理到电子档案及查询索引都做了规定

《公众公司会计改革与投资者保护法》主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩

序和安全。该法案要求公众公司保证其内部金融控制的准确性，规定由证券交易委

员会（ SEC ）制定规则，强制要求公众公司年度报告中包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴定报告。



知识体知识域


知识子域










知识域：信息安全相关政策

知识子域：国家信息安全保障总体情况掌握国家有关政策对信息安全保障工作的总体方针和

要求掌握国家有关政策规定的加强信息安全保障工作主要

原则掌握国家有关政策规定需要重点加强的信息安全保障

工作

47

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27号）

意义标志着我国信息安全保障工作有了总体纲领提出要在 5年内建设中国信息安全保障体系

总体方针和要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

主要原则立足国情，以我为主，坚持技术与管理并重；正确处理安全和发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑

国家信息安全保障体系。

48

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发 [2003]27号）

主要任务（重点加强的安全保障工作）实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设和标准化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制

十一五：试点十二五：普及推广

49

我国信息安全政策的初步成效、后续展望

初步成效依托 2003 年的 27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容

围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）

其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等

后续展望 “十一五”期间发布的各项政策均将进入落实期由电子政务领域向其他领域拓展尽快形成“统一的”信息安全服务资质管理体制

基于信息安全服务类的标准（政策带动标准，标准支撑政策）统一安全服务行业的企业资质和人员资质

由“狭义信息安全”向“广义信息安全”延伸 IT 服务（外包）的信息安全保障新技术、新应用下的信息安全保障

十一五：试点十二五：普及推广

50



知识体知识域


知识子域











知识子域：信息安全相关国家政策了解信息安全相关国家政策，掌握风险评估等涉及信息

安全的相关内容掌握信息安全等级保护政策体系，熟悉信息安全等级保

护相关政策

52

关于开展信息安全风险评估工作的意见（国信办 [2006]5 号）

信息安全风险评估（基于风险管理）系统分析网络与信息系统所面临的威胁及其存在的脆弱性评估安全事件一旦发生可能造成的危害程度提出有针对性的抵御威胁的防护对策和整改措施

基本工作要求应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估

相关保障参照标准 : 《信息安全风险评估规范》（ GB/T 20984-2007 ）、

《信息安全风险管理指南》（ GB/Z 24364-2009 ）服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服

务，要由国家专控的队伍来承担）

53

关于加强政府信息系统安全和保密管理工作的通知（国办发 [2008]17号）

明确职责把信息安全和保密工作列入重要议事日程，明确一名主管领导谁主管谁负责、谁运行谁负责、谁使用谁负责

强化人员培训组织信息安全和保密基本技能培训，开展信息安全和保密形势分析深入学习宣传信息安全“五禁止”规定

完善安全措施和手段管理制度 + 技术手段

加强信息安全检查详见《政府信息系统安全检查办法》

54

关于印发国家网络与信息安全事件应急预案的通知（国办函 [2008]168 号）

背景 2003 年：国务院成立应急办，颁布了《国家突发公共卫生事件应急条例》 2006 年：《国家突发公共事件总体应急预案》（ 4 大类公共事件）《国家网络与信息安全事件应急预案》 2007 年：制定发布《国家突发事件应对法》

预案要点网络与信息安全事件的分类分级

• 参照标准：《信息安全事件分类分级指南》（ GB/Z 20986 ）应急流程：预防预警—应急处置—后期处置

• 参照标准：《信息安全事件管理指南》（ GB/Z 20985 ）组织体系和应急保障

• 应急队伍、经费、物资、通信、科技。。。

监督管理宣传教育、培训、演练、责任与奖惩

55

关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技 [2008]2071 号）

依据和目的《国家电子政务工程建设项目管理暂行办法》 --- 国家发改委令 [2007] 第 55

号三部委联合发文：发改委、公安部、保密局将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档）

风险评估的主要内容分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱

性、已有的安全措施和残余风险的影响等两类信息系统的工作开展

涉密信息系统参照“分级保护”，进行系统测评并履行审批手续非涉密信息系统参照“等级保护”，完成等级测评和风险评估工作，并形成相

关报告相关要点

对信息安全风险评估机构的指定（ 1 家 +3 家）信息安全风险评估经费计入该项目总投资投入运行后，应定期开展信息安全风险评估56

关于印发政府信息系统安全检查办法的通知（国办发 [2009]28 号）

依据《关于加强政府信息系统安全和保密管理工作的通知》（国办发 [2008]17

号）

检查范围和检查重点各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的

办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻

网站，要作为检查重点。

检查方式各单位自查 + 统一组织抽查 + 安全检测（按需）工信部负责协调、指导、监督，公安 / 安全 / 保密 / 密码等部门按职责分工《 2009年度政府信息系统安全检查指南》（工信部协 [2009]168 号）《 2010年度政府信息系统安全检查指南》（工信部协 [2010]143 号）

57

政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查程序（暂行）

58

工业和信息化部公告（ 2011 年第 21号）• 鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务

机构申请信息安全管理体系认证时，应选择国家认证认可监督管理委员会批准开展信息安全管理体系认证的认证机构。

• 鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。

• 服务机构申请信息安全管理体系认证（含再认证）时，应经工业和信息化部安全审查同意。

• 工业和信息化部负责安全审查的管理工作，包括发布审查程序、制定审查标准、组织开展审查、发布审查结果等。

附表 1 ：政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表附表 2 ：政府部门信息技术外包服务机构信息安全管理体系认证情况备案表

59

关于加强工业控制系统信息安全管理的通知（工信部协 [2011]451 号）

工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：• 充分认识加强工业控制系统信息安全管理的重要性和紧迫性

• 明确重点领域工业控制系统信息安全管理要求

• 建立工业控制系统安全测评检查和漏洞发布制度

• 进一步加强工业控制系统信息安全工作的组织领导


知识子域：信息安全相关国家政策了解信息安全相关国家政策，掌握风险评估等涉及信息

安全的相关内容掌握信息安全等级保护政策体系，熟悉信息安全等级保

护相关政策

60

等级保护

《中华人民共和国计算机信息系统安全保护条例》（ 1994 年国务院 147号令）第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

GB 17859-1999 《计算机信息系统安全保护等级划分准则》第一级 : 用户自主保护级；第二级 : 系统审计保护级；第三级 : 安全标记保护级；第四级 :结构化保护级；第五级 :访问验证保护级；

61

信息安全等级保护法规政策体系

62

关于信息安全等级保护工作的实施意见（公字通 [2004]66 号）

信息和信息系统的安全保护等级（及其适用范围）第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级

定级依据根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度 ;遭到破坏后对

国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度

实施要求完善标准 ,分类指导（管理规范和技术标准）科学定级 , 严格备案（专家评审委员会。三级以上系统备案）建设整改 ,落实措施（信息系统：已有、新建、改建、扩建）自查自纠 ,落实要求（运营、使用单位及其主管部门）建立制度 , 加强管理（运营、使用单位及其主管部门）监督检查 , 完善保护（公安机关重点对第三、第四级系统）

63

关于印发 < 信息安全等级保护管理办法 >的通知（公字通 [2007]43 号）

《通知》是政策，《管理办法》属于部门规章四部委联合发文：公安部、保密局、密码管理局、原国信办国家信息安全等级保护坚持“自主定级、自主保护”的原则信息系统的安全保护等级分为五级

实施与管理具体实施等级保护工作参照标准：《信息系统安全等级保护实施指南》确定安全保护等级参照标准：《信息系统安全等级保护定级指南》系统建设参照标准：《信息系统安全等级保护基本要求》等等级测评参照标准：《信息系统安全等级保护测评要求》二级以上系统的备案要求（由公安机关颁发备案证明）三级以上系统的定期自查、测评和检查要求三级以上系统的信息安全产品选择使用要求三级以上系统等级保护测评机构的选择要求

涉密信息系统按分级保护管理（略）对信息安全等级保护的密码实行分类分级管理（略）

64

关于开展全国重要信息系统安全等级保护定级工作的通知（公信安 [2007]861 号）

背景根据国家网络与信息安全协调小组 2007年的工作部署 , 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于 2007年 7月至 10月在全国范围内组织开展重要信息系统安全等级保护定级工作

定级范围电信、广电行业的公用通信网、广播电视传输网等基础信息网络 ,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；

铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；

市 (地 ) 级以上党政机关的重要网站和办公信息系统；涉及国家秘密的信息系统 (涉密信息系统 ) 。

工作内容摸底调查、确定等级（等级报告）、评审与审批、备案及管理（备案表）

65

关于开展信息安全等级保护安全建设整改工作的指导意见（公信安 [2009]1429 号）

工作目标力争在 2012年底前完成已定级信息系统 ( 不含涉密信息系统 ) 安全建设整改

工作

工作内容开展信息安全等级保护安全管理制度建设 , 提高信息系统安全管理水平开展信息安全等级保护安全技术措施建设 , 提高信息系统安全保护能力开展信息系统安全等级测评 ,使信息系统安全保护状况逐步达到等级保护要求

《信息安全等级保护安全建设整改工作指南》参照标准：《信息系统安全等级保护基本要求》信息系统安全建设整改工作基本流程（管理建设、技术建设）信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类）

66

关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安 [2010]303号）

工作目标提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行

工作内容积极稳妥地推动等级测评机构建设确保测评机构的水平和能力符合测评工作要求督促备案单位开展信息系统等级测评工作

《信息安全等级保护测评工作管理规范（试行）》

《信息系统安全等级测评报告模版（试行）》另有政策：公信安 [2009]1487号

67

其他一些信息安全相关国家政策

《关于加强国家重要信息系统灾难备份工作的意见》 ( 信安通 [2004]11 号 )

《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函[2009]80号）《关于进一步加强政府网站安全保障工作的通知》（国办秘函 [2010]5号）《中国云计算安全政策与法律蓝皮书（ 2011 ）》

68



知识体知识域


知识子域











知识子域：国外信息安全相关政策简介了解美国信息安全相关政策概况

70

国外信息安全政策简介

国外信息安全国家政策简介（以美国为例）克林顿政府

• IATF V1.0 （ 1998 年） V3.1 （ 2002 年） V4.0 （ Now ）• 2000 年：《总统国家安全战略报告》（首次将信息安全列入）

布什政府• 911之后，成立本土安全部（国土安全部）、国家 KIP 委员会• 2002 年：《国家保障数字空间安全策略》、《国家安全战略报告》• 2003 年：《网络空间安全国家战略计划》

奥巴马政府• 上任之初： 60天信息安全评估项目• 2009 年：《美国网络安全评估》• 2010 年：网络战司令部正式运行

国内外信息安全国家政策的差距分析体系性和持续性、关注重点、执行力度 ...

71

奥巴马政府的新举措

上台不久就亲自主导了一个 60天的信息安全评估项目， 2009年 5月公布了《美国网络安全评估》报告，评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，并提出行动计划（最高层领导、数字化能力、安全责任、信息共享和事件反应机制 5大方面）。

成立了网络安全办公室，任命了“网络沙皇”为网络安全协调官。参议院向国会提交了《网络安全法》议案。

2010 年 6月，美国国防部正式成立了由战略司令部领导的网络战司令部（主要进行数字战争，防护针对美军计算机网络的安全威胁）。司令部将于 2010年 10月正式运行。

促使政府对外公布《国家网络安全综合计划》（即信息安全曼哈顿计划）的概要，实行政策透明，以获得民众对政策的理解。

72


73

信息安全标准

知识体知识域


知识子域









知识域：安全标准化概述

知识子域：信息安全标准化概念了解标准和标准化的基本概念和作用

74

标准和标准化相关基本概念

标准为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，

共同使用的和重复使用的一种规范性文件。标准化（ GB/T 20000.1-2002 ）

为了在一定范围内获得最佳秩序，对现实问题或潜在问题制定共同使用和重复使用的条款的活动。

国际标准由国际标准化组织或国际标准组织通过并公开发布的标准

国家标准由国家标准机构通过并公开发布的标准

国际标准化组织（ ISO ）其成员资格向每个国家的有关国家机构开放的标准化组织

国家标准机构在国家层面上承认的，有资格成为相应的国际和区域标准组织的国家成

员的标准机构（中国国家标准化管理委员会）75

标准化的特点、原则；标准的作用

特点标准化的对象：共同的、可重复的事物标准化的动态性标准化的相对性标准化的效益

原则简化统一协调优化

76

标准能打破技术壁垒，标准也能成为

新的技术壁垒

作用标准是进行贸易的基本条件标准能够提高企业的经济效益标准能够提高国民经济效益

我国国家标准的代码

GB 强制性国家标准GB/T 推荐性国家标准GB/Z 国家标准化指导性技术文件

77


78

信息安全标准

知识体知识域


知识子域









知识域：信息安全标准化概述

知识子域：信息安全标准化组织了解国际信息安全标准化组织及其工作了解国外典型国家信息安全标准化组织及其工作熟悉我国信息安全标准化组织及其工作

79

国际信息安全标准化组织ISO/IEC JTC1 SC27

信息技术安全技术

信息安全管理体系工作组

密码与安全机制工作组

安全评估准则工作组

安全控制与服务工作组

身份管理与隐私技术工作组

国际标准提案《 ISMS审核指南》

国际标准提案《三元实体鉴别》

国际标准《信息安全事件管理》合作编辑

国际标准提案《基于三元实体鉴别的访问控制方法》

80

美国标准化组织

ANSI NCITS-T4 制定 IT 安全技术标准 X9 制定金融业务标准 X12 制定商业交易标准 (EDI)

NIST 负责联邦政府非密敏感信息 FIPS

DOD 负责涉密信息 NSA 国防部指令（ DODDI ）（如 TCSEC ）

IEEE SILS P1363

81

我国标准化组织

1984 年，成立数据加密技术分委员，后来改为信息技术安全分技术委员会

2002 年 4月，为加强信息安全标准的协调工作，国家标准委决定成立全国信息安全标准化技术委员会（信安标委， TC260 ），由国家标准委直接领导，对口 ISO/IEC JTC1 SC27；秘书处设在中国电子技术标准化研究所；委员会由 30多个部门和单位的 49 名领导和专家组成

目前共有工作组成员单位 165 家，其中企业 120 家国标委高新函 [2004]1号文决定，自 2004 年 1月起，各有

关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申报；在国家标准制定过程中，标准工作组或主要起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作。

82

TC260 各部门的职责

秘书处：是委员会的常设办事机构，负责委员会的日常事务工作信息安全标准体系与协调工作组（ WG1 ）：研究信息安全标准体

系、需求；跟踪国际标准发展动态；提出新工作项目及设立新工作组的建议；协调各工作组项目

涉密信息系统安全保密标准工作组（ WG2 ）：研究提出涉密信息系统安全保密标准体系；制定涉密保密相关标准

密码技术标准工作组（ WG3 ）：研究提出商用密码技术标准体系；制定商用密码相关标准

鉴别与授权工作组（ WG4 ）：研究提出鉴别与授权标准体系；制定鉴别与授权相关标准

信息安全评估工作组（ WG5 ）：研究提出测评标准体系；制定测评相关标准

通信安全标准工作组（ WG6 ）：研究提出通信安全标准体系；制定通信安全相关标准

信息安全管理工作组（ WG7 ）：研究提出信息安全管理标准体系；制定信息安全管理相关标准

83


84

信息安全标准

知识体知识域


知识子域









知识域：信息安全相关标准

知识子域：信息安全国家标准了解我国信息安全标准体系框架

掌握信息安全等级保护标准体系，熟悉信息安全等级保护相关标准

85

信息安全标准体系

信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准制订 /修订计划的重要依据，是促进信息安全领域内的标准组成趋向科学化合理化的手段；是一幅现有、应有和预计制定的信息安全标准的蓝图，并随着科学技术的发展不断地完善和更新。

86

我国信息安全标准体系框架

我国信息安全标准体系，是在总结各工作组对本领域标准体系研究成果的基础上形成的，是全国安全标准化技术委员会各工作组共同的工作成果。

是在跟踪分析了国际信息安全标准的发展动态和国内信息安全标准需求的基础上，提出的标准体系框架和标准体系表。

87

我国信息安全技术标准从总体上划分为六大类，每类按照标准所涉及的主要内容细分若干小类。


知识子域：信息安全国家标准了解我国信息安全标准体系框架

掌握信息安全等级保护标准体系，熟悉信息安全等级保护相关标准

88

十大标准

基础类《计算机信息系统安全保护等级划分准则》 GB 17859-1999 《信息系统安全等级保护实施指南》 GB/T 25058-2010

应用类定级：《信息系统安全保护等级定级指南》 GB/T 22240-2008 建设：《信息系统安全等级保护基本要求》 GB/T 22239-2008

《信息系统通用安全技术要求》 GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 GB/T 25070-2010 测评：《信息系统安全等级保护测评要求》 GB/T 28448-2012 《信息系统安全等级保护测评过程指南》 GB/T 28449-2012 管理：《信息系统安全管理要求》 GB/T 20269-2006 《信息系统安全工程管理要求》 GB/T 20282-2006

90

其它相关标准

91

技术类 GB/T 21052-2007 信息安全技术信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术网络基础安全技术要求 GB/T 20272-2006 信息安全技术操作系统安全技术要求 GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求其他信息产品、信息安全产品相关标准 ...

其他类 GB/T 20984-2007 信息安全技术信息安全风险评估规范 GB/Z 24364-2009 信息安全技术信息安全风险管理指南 GB/T 24363-2009 信息安全技术信息安全应急响应计划规范 GB/Z 20285-2007 信息安全技术信息安全事件管理指南 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南 GB/T 20988-2007 信息安全技术信息系统灾难恢复规范

7 、系统服务安全等级

定级指南－－ GB/T 22240-2008

保护对象受到破坏时受侵害的客体

对客体的侵害程度

一般损害严重损害特别严重损害

公民、法人和其他组织的合法权益

第一级第二级第二级

社会秩序、公共利益第二级第三级第四级

国家安全第三级第四级第五级

等级保护定级方法

保护对象

对客体的侵害程度客体：

社会关系

受侵害的客体

信息系统安全系统服务安全

业务信息安全

3 、综合评定对客体的侵害程度

2 、确定业务信息安全受到破坏时所侵害的客体

6 、综合评定对客体的侵害程度

5 、确定系统服务安全受到破坏时所侵害的客体

4 、业务信息安全等级

8 、定级对象的安全保护等级

8＝MAX （ 4 ， 7 ）

1 、确定定级对象（系统边界）

一般流程

等级确定

92

控制点控制项

安全要求类层面一级二级三级四级一级二级三级四级

技术要求物理安全 7 10 10 10 9 19 32 33

网络安全 3 6 7 7 9 18 33 32

主机安全 4 6 7 9 6 19 32 36

应用安全 4 7 9 11 7 19 31 36

数据安全及备份恢复

2 3 3 3 2 4 8 11

管理要求安全管理制度 2 3 3 3 3 7 11 14

安全管理机构 4 5 5 5 4 9 20 20

人员安全管理 4 5 5 5 7 11 16 18

系统建设管理 9 9 11 11 20 28 45 48

系统运维管理 9 12 13 13 18 41 62 70

合计 / 48 66 73 77 85 175 290 318

级差 / / 18 7 4 / 90 115 28

基本要求－－ GB/T 22239-2008

93

实施指南－－ GB/T 25058-2010

等级变更

局部调整

信息系统定级

总体安全规划

安全设计与实施

安全运行维护

信息系统终止

国家管理部门（ 4 家）

信息系统主管部门

信息系统运营、使用单位

信息安全服务机构

信息安全等级测评机构

信息安全产品供应商

94

测评要求 -- GB/T 28448-2012

测评强度信息系统安全等级

第一级第二级第三级第四级

访谈

广度种类和数量上抽样，种类和数量都较少

种类和数量上抽样，种类和数量都较多

数量上抽样，基本覆盖


深度简要充分较全面全面

检查

广度种类和数量上抽样，种类和数量都较少

种类和数量上抽样，种类和数量都较多



深度简要充分较全面全面

测试

广度

种类和数量、范围上抽样，种类和数量都较少，范围小

种类和数量、范围上抽样，种类和数量都较多 , 范围大

数量、范围上抽样，基本覆盖

数量、范围上抽样，基本覆盖

深度功能测试 / 性能测试功能测试 / 性能测试

功能测试 / 性能测试，渗透测试

功能测试 / 性能测试，渗透测试

95

测评过程指南 - GB/T 28449-2012

方案编制

测评准备

分析与报告编制

现场测评

项目启动、信息收集和分析、工具和表单准备

测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发、测评方案编制

现场测评准备（一般包括：访谈、文档审查、配置检查、工具测试和实地察看）、现场测评和结果记录、结果确认和资料归还

单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制

96

文档

R&R


97

信息安全标准

知识体知识域


知识子域










知识子域：信息安全国外标准了解国际信息安全标准体系了解国外典型国家信息安全标准体系了解与自身工作密切相关的信息安全国际标准

98

国际信息安全标准体系框架

99

国际信息安全标准体系

信息安全管理体系标准

密码技术与安全机制标准

安全评价准则标准

安全控制与服务标准

身份管理与隐私保护技术标

准

词汇标准

要求标准

指南标准

相关标准

为实现保密性、完整性和可用性而开发的各种安全机制标准

安全评价标准

安全功能和保证规

范

针对潜在 /显现信息安全问题

的标准

针对已知信息安全问题

的标准

针对信息安全违反和损害的标准

身份管理相关标准

生物识别相关标准

隐私保护相关标准

ISO 27000

ISO 27001ISO 27006

ISO 27002ISO 27003 ISO 18033

ISO 19772...

ISO 15408ISO 18045 ...

ISO 19790ISO 24759 ...

ISO 27032

ISO 27033

ISO 27037

ISO 24760

ISO 29144

ISO 29100

国外典型国家信息安全标准体系框架

100

美国国家标准和技术协会 (NIST)从风险管理的各个阶段、环节的需要为出发点，开发了一系列的信息安全标准规范文件 SP-800 系列：

Security Control Monitoring

安全控制措施监视

Security Categorization

安全分类

Security Control Selection

安全控制措施选择

Security Control Refinement

安全控制措施改进

Security Control Documentation安全控制措施文档编制

Security Control Implementation安全控制措施实施

Security Control Assessment

安全控制措施评估

Security Authorization安全授权

起始点

风险管理

SP 800-37/SP 800-53A

FIPS 199/SP 800-60

FIPS 200/SP 800-53

SP 800-53/SP 800-30

SP 800-18SP 800-70SP 800-53A

SP 800-37

ISO 27000 标准族、 SP 800 系列标准

101

ISO 27000标准族、 SP 800 系列标准介绍参见《 CISP0301 信息安全管理体系》。

ISO 27001标准的详细内容参见《 CISP0301 信息安全管理体系》。

ISO 27002标准的详细内容参见《 CISP0303 信息安全管基本措施》、《 CISP0304 信息安全管重要管理过程》。


102

信息安全标准

知识体知识域


知识子域









知识域：信息安全评估标准

安全技术评估标准发展历史了解安全技术评估标准发展过程理解 GB/T18336 《信息技术安全性评估准则》（ CC ）的特点

信息技术安全性评估准则了解 CC 的结构理解 CC 的术语（ TOE 、 PP 、 ST 、 EAL ）和基本思想了解使用 CC 进行信息技术产品安全性评估的基本过程了解通用评估方法（ CEM ）

103

安全标准的发展

104

ITSEC 1991

CC 1.01996

ISO15408 1999

CC 2.01998

GB/T 18336 2001

CD1997

GIB 2646 1996

GB 17859 1999

ISO15408 2005

TCSEC 1985

FC 1992

CTCPEC 1993

GB/T 18336 2008

FCD1998

• 安全被定义为保密性、完整性、可用性• 功能和质量 / 保证分开• 对产品和系统的评估都适用，提出评估对象（ TOE ）的概念

产品：能够被集成在不同系统中的软件或硬件包；系统：具有一定用途、处于给定操作环境的特殊安全装置

美国的安全评测标准 (TCSEC) 、欧洲的安全评测标准 (ITSEC)

美国的安全评测标准 (TCSEC) 1970 年由美国国防科学委员会提出。 1985 年公布。主要军用，延用至民用。安全级从高到低分 A 、 B 、 C 、 D四级，级下再分小类

(A1 、 B3 、 B2 、 B1 、 C2 、 C1 、 D) 分级分类主要依据四个准则：安全策略、可控性、保证能力、文档局限性

105

集中考虑数据保密性，而忽略了数据完整性、系统可用性等；

将安全功能和安全保证混在一起安全功能规定得过为严格，不便于实际开发和测评欧洲的安全评测标准 (ITSEC)

以超越 TCSEC 为目的，将安全概念分为功能与功能评估两部分。功能分 F1-F10 共 10 级。 1－ 5 级对应于 TCSEC 的 D到 A。 6－ 10 级加上了

以下概念：• F6 ：数据和程序的完整性 F7 ：系统可用性 F8 ：数据通信完整性 F9 ：数据通信保密

性• F10 ：包括机密性和完整性的网络安全

评估准则分为 6 级： E1～ E6 与 TCSEC 的不同

加拿大的评测标准 (CTCPEC) 、美国联邦准则 (FC)

加拿大的评测标准 (CTCPEC) 1989 年公布，专为政府需求而设计与 ITSEC 类似，将安全分为功能性需求和保证性需要两部分功能性要求分为四个大类：

• a 机密性 b 完整性 c可用性 d可控性• 在每种安全需求下又分小类 0－ 5 级，表示安全性上的差别

106

美国联邦准则 (FC) 对 TCSEC 的升级 1992 年 12月公布引入了“保护轮廓（ PP ）”这一重要概念每个轮廓都包括功能部分、开发保证部分和评测部分分级方式与 TCSEC 不同，吸取了 ITSEC 、 CTCPEC 中的优点供美国政府用，民用和商用

通用准则（ CC ）

国际标准化组织统一现有多种准则的努力结果； 1999 年正式成为国际标准 ISO/IEC 15408；充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部

分； CC 基于风险管理理论，对安全模型、安全概念和安全功能进行

了全面系统描绘，强化了评估保证；是目前最全面的评价准则。国际上认同的表达 IT 安全的体系结构，一组规则集一种评估方法，其评估结果国际互认通用的表达方式，便于理解灵活的架构，可以定义自己的要求扩展 CC 要求通用评估方法 (CEM) 是 CC标准出版后，为了在评估中应用 CC

而提供的一种通用方法。是与 CC配套的文档。

107

知识域：信息安全评估标准

安全技术评估标准发展历史了解安全技术评估标准发展过程理解 GB/T18336 《信息技术安全性评估准则》（ CC ）的优点

信息技术安全性评估准则了解 CC 的结构理解 CC 的术语（ TOE 、 PP 、 ST 、 EAL ）和基本思想了解使用 CC 进行信息技术产品安全性评估的基本过程了解通用评估方法（ CEM ）

108

GB/T 18336 （ ISO 15408 ）

GB/T 18336-2008 《信息技术安全技术信息技术安全性评估准则》（ idt ISO/IEC 15408:2005 ） GB/T 18336.1-2008 ：简介和一般模型 GB/T 18336.2-2008 ：安全功能要求 GB/T 18336.3-2008 ：安全保证要求

目标读者 TOE （评估对象）的客户 TOE 的开发者 TOE 的评估者其他

系统管理员和系统安全管理员内部和外部审计员安全架构师和设计师认可者评估发起者评估管理机构

109

ISO 15408-1:2009 ISO 15408-2:2008 ISO 15408-3:2008

CC 中的关键概念

评估对象— TOE(Target of Evaluation) ：产品、系统、子系统保护轮廓— PP (Protection Profile) ：表达一类产品或系统的用户

需求；组合安全功能要求和安全保证要求；安全标准 (示例：《包过滤防火墙安全技术要求》（ GB 18019 ））

安全目标— ST(Security Target) ：某一款产品对某一 PP 要求的具体实现；实用方案

功能 (Function) ：规范 IT 产品和系统的安全行为，应做的事保证 (Assurance) ：对功能产生信心的方法组件 (Component) ：安全要求不能再分的构件块包 (Package) ：若干功能或保证要求的组合评估保证级— EAL(Evaluation Assurance Level ）：预定义的保证包；公认的广泛适用的一组保证要求； EAL1～ EAL7

110

安全功能要求类、安全保障要求类

111

保证类保证子类缩写名称

ACM 类：配置管理

CM自动化 ACM_AUT CM 能力 ACM_CAP CM 范围 ACM_SCP

ADO类：交付和运行

分发 ADO_DEL 安装、生成和启动 ADO_IGS

ADV类：开发

功能规范 ADV_FSP 高层设计 ADV_HLD 实现表示 ADV_IMP TSF内部 ADV_INT 低层设计 ADV_LLD 表示对应性 ADV_RCR 安全策略模型 ADV_SPM

AGD类：指导性文件

管理员指南 AGD_ADM 用户指南 AGD_USR

ALC类：生命周期支持

开发安全 ALC_DVS 缺陷纠正 ALC_FLR 生命周期定义 ALC_LCD 工具和技术 ALC_TAT

ATE类：测试

覆盖面 ATE_COV 深度 ATE_DPT

功能测试 ATE_FUN

独立性测试 ATE_IND

AVA类：脆弱性评定

隐蔽信道分析 AVA_CCA

误用 AVA_MSU

TOE安全功能强度 AVA_SOF

脆弱性分析 AVA_VLA

功能类所含子类数

安全审计(FAU) 6

通信(FCO) 2

密码支持(FCS) 2

用户数据保护(FDP) 13

标识和鉴别(FIA) 6 安全管理(FMT) 6 隐私(FPR) 4

TOE安全功能保护(FPT)

16

资源利用(FRU) 3 TOE访问(FTA) 6 可信路径/信道

(FTP) 2

保证类保证族评估保证级别（EAL）的保证组件

EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7

配置管理

ACM_AUT 1 1 2 2

ACM_CAP 1 2 3 4 4 5 5

ACM_SCP 1 2 3 3

分发与操作 ADO_DEL 1 1 2 2 2 3 ADO_I GS 1 1 1 1 1 1 1

开发

ADV_FSP 1 1 1 2 3 3 4 ADV_HLD 1 2 2 3 4 5 ADV_I MP 1 2 3 3 ADV_I NT 1 2 3 ADV_LLD 1 1 2 3 ADV_RCR 1 1 1 1 2 2 3 ADV_SPM 1 3 3 3

指导性文件 AGD_ADM 1 1 1 1 1 1 1 AGD_USR 1 1 1 1 1 1 1

生命周期支持

ALC_DVS 1 1 1 2 2

ALC_FLR

ALC_LCD 1 2 2 3

ALC_TAT 1 2 3 3

测试

ATE_COV 1 2 2 2 3 3 ATE_DPT 1 1 2 2 3 ATE_FUN 1 1 1 1 2 2 ATE_I ND 1 2 2 2 2 2 3

脆弱性评定

AVA_CCA 1 2 2 AVA_MSU 1 2 2 3 3 AVA_SOF 1 1 1 1 1 1 AVA_VLA 1 1 2 3 4 4

评估保证级别（ EAL ）

112

评估环境

评估准则

评估方法

最终评估结果

评估方案

评估批准 / 证明

证书 / 注册

113

评估流程图

评估 PP PP 评估结果

PP 分类

已评估的 PP

评估ST

ST 评估结果

评估TOE

TOE 评估结果证书分类已评估

的TOE

114


115


道德规范

信息安全从业人员道德规范

通行道德规范





知识域：信息安全从业人员道德规范

知识子域：信息安全从业人员基本道德规范理解信息安全从业人员应遵守的道德规范

知识子域： CISP 职业道德准则理解《 CISP 职业道德准则》

116


荣誉和耻辱，是荣辱观中的一对基本范畴，是指社会对人们行为褒贬评价以及人们对这种评价的自我感受。

胡锦涛总书记提出的以“八荣八耻”为核心的社会主义荣辱观，是对中华民族历久弥新的民族精神和传统美德的提炼和升华，具有很强的时代性和针对性。

结合社会主义荣辱观理解信息安全从业人员应遵守的道德规范

117


一、维护国家、社会和公众的信息安全 1 ）自觉维护国家信息安全，拒绝并抵制泄露国家秘密和破坏国家

信息基础设施的行为； 2 ）自觉维护网络社会安全，拒绝并抵制通过计算机网络系统谋取

非法利益和破坏社会和谐的行为； 3 ）自觉维护公众信息安全，拒绝并抵制通过计算机网络系统侵犯

公众合法权益和泄露个人隐私的行为。

118

二、诚实守信，遵纪守法 1 ）不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违

反诚信原则的行为； 2 ）不利用个人的信息安全技术能力实施或组织各种违法犯罪行

为； 3 ）不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。


三、努力工作，尽职尽责 1 ）热爱信息安全工作岗位，充分认识信息安全专业工作的责任

和使命； 2 ）为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献；

3 ）帮助和指导信息安全同行提升信息安全保障知识和能力，为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助。

119

四、发展自身，维护荣誉 1 ）通过持续学习保持并提升自身的信息安全知识； 2 ）利用日常工作、学术交流等各种方式保持和提升信息安全实践能力；

3 ）以 CISP身份为荣，积极参与各种证后活动，避免任何损害CISP声誉形象的行为。


120


道德规范

信息安全从业人员道德规范 CISP 职业道德准则




通行道德规范

知识域：通行道德规范

知识子域：计算机使用道德规范了解作为计算机普通用户应当遵守的基本道德规

范

知识子域：因特网使用道德规范了解中国互联网协会《文明上网自律公约》的主

要内容

121

计算机道德十戒

计算机道德协会（ Computer Ethics Institute ）以圣经旧约（摩西十戒）的形式为计算机伦理规定了“十戒” 不应使用计算机危害他人。不应干涉他人的计算机工作。不应窥探他人的计算机文件。不应使用计算机进行盗窃活动。不应使用计算机做伪证。不应拷贝或使用没有付费的版权所有软件。不应在未经授权或在没有适当补偿的情况下使用他人的计算机资源。不应挪用他人的智力成果。应该注意你编写的程序或设计的系统所造成的社会后果。使用计算机时应该总是考虑到他人并尊重他们。

122

中国互联网协会《文明上网自律公约》

适用范围：互联网从业者（文明办网）、广大网民（文明上网）

是作为提倡“八荣八耻”荣辱观的具体落实：自觉遵纪守法，倡导社会公德，促进绿色网络建设；提倡先进文化，摒弃消极颓废，促进网络文明健康；提倡自主创新，摒弃盗版剽窃，促进网络应用繁荣；提倡互相尊重，摒弃造谣诽谤，促进网络和谐共处；提倡诚实守信，摒弃弄虚作假，促进网络安全可信；提倡社会关爱，摒弃低俗沉迷，促进少年健康成长；提倡公平竞争，摒弃尔虞我诈，促进网络百花齐放；提倡人人受益，消除数字鸿沟，促进信息资源共享。

123

谢谢，请提问题！

信息 安全法规、政策和 标准

Documents

信息安全法规、政策和标准