信息安全标准与法律法规5
信息安全与法律法规
信息安全与法律法规随着互联网的快速发展和技术的进步,信息安全问题愈发凸显出来。
信息安全不仅仅是个人隐私,也关系到国家的稳定和社会的和谐。
为了保护信息安全,各个国家都制定了相应的法律法规来规范信息的收集、存储、传输和使用。
本文将探讨信息安全与法律法规的关系,并分析其中存在的挑战和解决方案。
一、信息安全的重要性1.1 个人隐私保护在数字化时代,我们的个人信息被广泛收集和使用。
手机号码、身份证号码、银行账户等个人敏感信息都可能遭受黑客攻击和泄露。
如果个人信息落入不法之徒手中,将产生巨大损失,包括身份盗用、财产损失等。
因此,保护个人隐私是信息安全的基本要求。
1.2 国家安全保卫信息安全不仅仅是个人问题,也是国家安全的重要组成部分。
国家机密、军事信息、经济数据等重要信息如果遭到窃取或篡改,将直接影响国家的安全和稳定。
因此,保护国家的信息安全是国家安全战略的重要一环。
1.3 社会稳定和经济发展信息安全的破坏会造成社会的混乱和不安定。
恶意网络攻击、数据泄露和网络诈骗等事件会影响人们对互联网和电子商务的信任,进而阻碍社会的信息化进程和经济的发展。
因此,信息安全与社会的稳定和经济的繁荣密切相关。
二、相关法律法规的存在为了保护信息安全,各个国家都制定了相应的法律法规。
这些法律法规主要涉及到以下几个方面:2.1 国家安全法律法规国家安全是信息安全的基础。
各国都需要制定相应的法律法规来维护国家的安全。
这些法律法规通常覆盖了信息安全的方方面面,包括网络安全保护、网络攻击的预防和处罚、信息的收集和使用等。
2.2 个人隐私保护法律法规为了保护个人隐私,各个国家都制定了相应的法律法规来规范个人信息的收集、使用和保护。
这些法律法规通常要求个人信息的收集和使用必须得到个人的同意,并规定了个人信息的安全保护措施和个人信息泄露的处理方式。
2.3 数据保护法律法规数据是信息的核心,保护数据的安全对信息安全尤为重要。
各国都制定了数据保护相关的法律法规来规范数据的收集、存储和传输。
网络安全的法律法规和标准
网络安全的法律法规和标准网络安全是我们必须要关注的问题,随着信息化时代的加速发展,互联网已经成为了人们日常生活中必不可少的一部分,但是如何保证网络安全,保护我们在网络世界中的权益,就成为了一个亟待解决的问题。
在这篇文章中,我们将会介绍网络安全的法律法规和标准,以帮助读者更好的理解网络安全的相关政策。
一、相关法律法规1、《网络安全法》2017年的《网络安全法》是我国在网络安全领域颁布的最高法律,其宗旨是“维护网络安全,保障国家安全和社会公共利益,促进网络经济和社会信息化健康发展。
”该法律的主要内容包括网络基础设施保护、网络运营者责任、网络安全保护措施和网络安全事件应急等方面。
其中,网络基础设施保护的重点是对关键信息基础设施的保护,涉及到了电力、交通、水利等公共基础设施。
网络运营者则需承担网络安全的主体责任,包括但不限于制定网络安全管理制度和技术措施、对网络信息安全承担法律责任等。
此外,该法律还明确了网络安全保护措施和网络安全事件应急的具体规定,以确保网络安全问题及时得到解决。
2、《个人信息保护法》2021年,我国《个人信息保护法》正式实施,该法律的颁布填补了我国在个人信息保护方面的空白,为保护个人信息提供了法律依据。
该法律明确了个人信息的定义,并规定了个人信息处理的要求和限制。
对于个人信息的处理,必须保证信息处理的合法性、必要性和安全性,并且应当征得个人的同意。
对于任何未经授权获得的个人信息,处理者都应该及时删除或者销毁。
此外,该法律还对个人信息的保护体系、侵权赔偿等方面进行了规定。
3、《电子商务法》《电子商务法》是我国针对电子商务颁布的一项法律,旨在保护电子商务经营者和消费者的合法权益,推动电子商务领域的健康发展。
该法律规定了电子商务经营者的基本义务,包括提供真实、准确、完整的信息、保证交易安全等。
对于违反该法律规定的行为,将会面临行政处罚、经济赔偿等惩罚措施。
二、相关标准1、ISO/IEC 27001ISO/IEC 27001是关于信息安全管理系统(ISMS)的国际标准,旨在提供一套适用于各种类型和大小的组织的信息安全管理框架,防止信息资产的丢失、泄露、破坏或窃取等问题。
信息安全法律法规我国的标准
2021/5/9
12
强制保护级 (B级)
✓ B类系统中的客体必须携带敏感标记(安全等级) ✓ TCB应维护完整的敏感标记,并在此基础上执行一系列
强制访问控制规则
➢ 标记安全保护级(B1级) ➢ 结构保护级(B2级) ➢ 强制安全区域级(B3级)
2021/5/9
17
中国的等级保护体系
2021/5/9
18
1989年公安部开始设计起草法律和标准,在起草过 程中经过长期的对国内外广泛的调查和研究,特别 是对国外的法律法规、政府政策、标准和计算机犯 罪的研究,使我们认识到要从法律、管理和技术三 个方面着手;采取的措施要从国家制度的角度来看 问题,对信息安全要实行等级保护制度。
32
1.法律规范:国家制定和完善信息安全等级保护政策、法 律规范以及组织实施规则和方法,完善信息安全保护法律体系;
2.管理与技术规范:制定符合国情的标准,建立等级保护体 系;
3.实施过程控制:明确落实系统拥有者的安全责任制,系 统拥有者按法律规定和安全等级标准的要求进行信息系统的建 设和管理,并承担应急管理责任,在信息系统生命周期内进行 自管、自查、自评,建立安全管理体系。安全产品的研发者提 供符合安全等级标准要求的技术产品。
试支持安全管理员职能 扩充审计机制,当发生与安全相关的事件时发出信号 提供系统恢复机制 系统具有很高的抗渗透能力
2021/5/9
27
需要实施安全等级保护的信息系统为:
- 党政系统(党委、政府); - 金融系统(银行、保险、证券); - 财税系统(财政、税务、工商); - 经贸系统(商业贸易、海关); - 电信系统(邮电、电信、广播、电视); - 能源系统(电力、热力、燃气、煤炭、油料); - 交通运输系统(航空、航天、铁路、公路、水运、海运); - 供水系统(水利及水源供给); - 社会应急服务系统(医疗、消防、紧急救援); - 教育科研系统(教育、科研、尖端科技); - 国防建设系统;
个人信息安全规范规定(3篇)
第1篇第一条为了规范个人信息处理活动,保护个人信息权益,维护网络空间秩序,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,制定本规范。
第二条本规范适用于在中国境内开展个人信息处理活动的组织和个人,包括但不限于政府机关、企事业单位、社会组织、个体工商户等。
第三条个人信息处理活动应当遵循以下原则:1. 合法、正当、必要原则:收集、使用个人信息,应当遵循合法、正当、必要的原则,不得违反法律法规的规定。
2. 明确告知原则:收集、使用个人信息,应当向个人信息主体明确告知收集、使用的目的、方式和范围。
3. 最小化原则:收集、使用个人信息,应当限于实现处理目的的最小范围,不得过度收集、使用个人信息。
4. 安全保护原则:采取必要措施,确保个人信息安全,防止个人信息泄露、损毁、篡改。
5. 主体参与原则:个人信息主体对其个人信息享有知情权、决定权,个人信息处理活动应当尊重个人信息主体的权利。
第二章个人信息收集第四条收集个人信息,应当遵循以下要求:1. 明确目的:收集个人信息前,应当明确收集的目的,并确保收集的个人信息与目的具有直接关联。
2. 明确方式:收集个人信息,应当采取合法、正当的方式,不得采用欺骗、误导等手段。
3. 明确范围:收集个人信息,应当限于实现处理目的的最小范围,不得过度收集。
4. 明确同意:收集敏感个人信息,应当取得个人信息主体的明示同意。
第五条收集个人信息,应当采取以下措施:范围,并取得个人信息主体的同意。
2. 最小化原则:在收集个人信息时,应当遵循最小化原则,只收集实现处理目的所必需的个人信息。
3. 敏感个人信息:收集敏感个人信息,应当采取更严格的安全保护措施。
第三章个人信息使用第六条使用个人信息,应当遵循以下要求:1. 合法使用:使用个人信息,应当遵循合法、正当、必要的原则,不得违反法律法规的规定。
2. 明确目的:使用个人信息,应当限于实现处理目的,不得超出收集目的。
信息安全使用条例规定(3篇)
第1篇第一章总则第一条为了加强信息安全保护,维护国家安全和社会公共利益,保障网络空间安全,促进网络技术的健康发展,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,结合我国实际情况,制定本规定。
第二条本规定适用于中华人民共和国境内开展的信息安全使用活动,包括但不限于网络信息、数据、个人信息等。
第三条信息安全使用遵循以下原则:(一)依法保护:信息安全使用活动应当遵守国家法律法规,尊重社会公德,不得损害国家利益、公共利益和他人合法权益。
(二)安全可靠:信息处理、传输、存储和使用过程中,应当采取必要的安全措施,确保信息安全。
(三)技术创新:鼓励技术创新,提高信息安全防护能力。
(四)协同治理:国家、企业、社会组织和公众共同参与信息安全治理。
第四条国家网信部门负责全国信息安全使用工作的统筹协调和监督管理。
地方各级网信部门按照职责分工,负责本行政区域内信息安全使用工作的监督管理。
第二章信息安全使用要求第五条信息处理:(一)网络信息内容提供者应当对所提供的信息内容进行审核,确保其真实、合法、合规。
(二)数据处理者应当建立健全数据安全管理制度,对数据进行分类分级保护,采取必要的安全措施,防止数据泄露、篡改、毁损。
(三)个人信息处理者应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
第六条信息传输:(一)网络运营者应当采取必要的技术措施,保障网络传输安全,防止信息泄露、篡改、破坏。
(二)跨境传输个人信息,应当符合国家有关规定,采取必要的安全保护措施。
第七条信息存储:(一)网络运营者应当采取必要的安全措施,保障信息存储安全,防止信息泄露、篡改、破坏。
(二)对重要数据、个人信息等敏感信息,应当采取加密存储措施。
第八条信息使用:(一)网络信息内容提供者、数据处理者、个人信息处理者等在使用信息时,应当遵守法律法规,不得利用信息从事违法犯罪活动。
信息安全标准与法律法规-PPT
利用网络的 行为引发的 法律问题
攻击
泄密
恶意代码
传播不良信息
管理失误
利用网络进行违法活 动的通信指挥
散布谣言,制造恐慌 动乱
针对网络的 行为引发的 法律问题
网络上实施经济犯罪 网络上实施民事侵权
24
1.2 信息安全涉及的法律问题
三种法律关系 1.行政法律关系
解决有关部门依法行政、依法管理网络的问题
什么是网络信息安全?这样一个看似简单的问题却难有令 人满意的答案。目前业界、学术界、政策部门对信息安全 的定义似乎还没有形成统一的认识。所以也衍生出了许多 不同的概念,比如网络安全、计算机安全、系统安全、应 用安全、运行安全、媒体安全、内容安全等等;
教科书上的定义:网络安全从其本质上来讲是网络上的信 息安全. 它涉及的领域相当广泛. 从广义来说,凡是涉及到 网络上信息的保密性、完整性、可用性、真实性和可控性的 相关技术与原理,都是网络安全所要研究的领域。
安全专家说:信息是一种资产,它意味着一种风险.教科 书上的定义“就是客观世界中各种事物的变化和特征的最 新反映,是客观事物之间联系的表征,也是客观事物状态 经过传递后的再现”。 (包括三点:差异、特征、传递) 信息自身不能独立存在,必须依附于某种物质载体。信源、 信宿、信道是信息的三大要素。 信息可以被—创建,输入,存储,输出,传输(发送,接收, 截取),处理(编码,解码,计算),销毁。 信息系统是信息采集、存储、加工、分析和传输的工具, 它是各种方法、过程、技术按一定规律构成的一个有机整 体。
5
目前相关热点话题
区块链!区块链!!区块链!!! 充其量只是个保证信息安全的加密 共享系统 ……
6
第一部分 总论
第1章 信息安全概述与涉及的法律问题 1.1 信息安全概述
信息安全法律法规解析
信息安全法律法规解析随着互联网的普及和信息技术的迅猛发展,信息安全问题日益凸显。
为了保护个人信息、维护国家安全和社会稳定,中国各级政府陆续颁布了一系列的信息安全法律法规。
本文将对相关法律法规进行解析,以帮助大家更好地了解和遵守信息安全法律法规。
一、《网络安全法》《网络安全法》于2017年6月1日正式施行,被誉为中国信息安全领域的“宪法”。
该法律针对网络空间安全的重大问题进行了系统规定,包括网络基础设施安全、网络运营安全、网络信息安全、个人信息保护等。
此外,该法明确了网络安全监管的责任分工和机制,要求网络运营者加强信息安全管理,保护用户个人信息的安全。
二、《个人信息保护法》《个人信息保护法》是中国国家人大常委会正在制定的一部关于个人信息保护的基础性法律。
该法旨在规定个人信息的收集、使用、储存的条件和限制,明确了个人信息的保护责任和义务。
此外,该法还明确了对个人信息泄露和滥用行为的处罚,为保护个人信息提供了法律的保障。
预计《个人信息保护法》将于近期颁布实施。
三、《中华人民共和国刑法》《中华人民共和国刑法》是中国最高刑法法规,其中包含了一些与信息安全相关的罪行和刑责。
比如,非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪等。
该刑法保护了计算机信息和网络安全,对于违法犯罪行为进行了打击和惩处,维护了信息安全的秩序。
四、《中华人民共和国网络安全法实施条例》《中华人民共和国网络安全法实施条例》是《网络安全法》的具体实施细则。
该条例对网络安全的具体要求和实施方法进行了详细规定,包括网络安全保护的技术标准、网络安全事件的应急处置等。
此外,该条例还规定了网络运营者的责任和义务,要求其制定并实施网络安全管理制度,保障网络信息的安全。
信息安全法律法规的出台,无疑给互联网行业和个人信息保护带来了更加严格的要求。
对于个人而言,我们应该增强信息安全意识,加强密码保护和网络账号管理,尽量避免在未知或不可信的网站上输入个人敏感信息。
《信息安全标准与法律法规》参考题
《信息安全标准与法律法规》参考题一、填空题(每空1分,共10分)1.我国的立法组织有国务院、全国和各地区人大2.美国的立法、行政、司法分别由国会、总统、法院掌管。
3.我国司法组织中的两大系统:人民法院、人民检察院。
4.信息安全工作的风险主要来自信息系统中存在的脆弱点。
5.《中华人民XX国计算机信息系统安全保护条例》中明确了我国计算机信息系统安全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
6.公安机关在信息安全等级保护工作中的职责是监督、检查、指导。
7.互联网信息服务分为经营性互联网信息服务和非经营性互联网信息服务两类。
8.信息系统安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件。
9.安全专用产品在进入市场销售之前必须申领《计算机信息系统安全专用产品销售许可证》。
10.我国的标准分为:国家标准、行业标准、地方标准、企业标准四个级别。
11.计算机信息系统保护应采取的各项通用技术要求包括安全功能技术要求和安全保证技术要求两个方面。
二、选择题(每题1分,共30分)1.有一信息系统其适用X围为涉与国家安全、社会秩序和公共利益,其损害会对国家安全、社会秩序和公共利益造成损害,则该信息系统的安全等级为:CA第一级 B第二级 C第三级 D第四级 E第五级2.以下不属于信息安全的基本属性的是EA完整性 B可用性 C可控性 DXX性 E安全性3.以下哪项不属于信息安全的三大支柱:BEA信息安全技术 B黑客诱骗技术 C信息安全法律法规D信息安全标准 E信息安全管理制度4.以下哪个是我国的最高立法组织:AA全国人大与其常委会 B 国务院C 区人大 D 人民法院5.美国最高立法机关是:CA参议院B 众议院C美国国会D 法院6.我国的执法组织包括:A人民法院B人民检察院C公安部D安全部E工商行政管理局F税务局7.我国在信息系统安全保护方面最早制定的一部法规,也是最基本的一部法规是:AA《中华人民XX国计算机信息系统安全保护条例》B《计算机信息网络国际联网安全保护管理办法》C《信息安全等级保护管理办法》D《计算机信息系统安全保护等级划分准则》8.以下哪个选项属于《中华人民XX国计算机信息系统安全保护条例》适用的X围:CDA未联网的微型计算机B军队的计算机C中华人民XX国境内的计算机D任何组织和个人9.在信息系统安全保护的五个等级中,下面那些级别的适用X围为一般的信息系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第9章 信息安全国际标准
1. ISO/IEC27002的由来
上个世纪90年代末,人们开始意识到管理在解决信息 安全问题中的作用。1993年9月,由英国贸工部(DTI) 组织许多企业参与编写了一个信息安全管理的文本-“信 息安全管理实用规则(Code of practice for information security management)”,1995年2月,在该文本的基 础上,英国发布了国家标准BS7799-1:1995。1999年英 国对该标准进行了修订后发布1999年版,2000年12月被 采纳成为国际标准,即ISO/IEC17799:2000。2005年6月 15日,该标准被修订发布为ISO/IEC17799:2005。2007 年4月正式更名为ISO/IEC 27002。
测评认证标准 “桔皮书”(TCSEC) 信息产品通用测评准则(CC/ISO 15408) 安全系统工程能力成熟度模型(SSE-CMM)
第9章 信息安全国际标准
管理标准 信息安全管理标准(ISO 13335) 信息安全管理体系标准(ISO 17799,由英 国标准协会的BS7799演进而来)
第9章 信息安全国际标准
3. ISO/IEC27002的主要内容
ISO/IEC27002:2005是一个通用的信息安全控制措施集, 这些控制措施涵盖了信息安全的方方面面,是解决信息安 全问题的最佳实践。 标准从什么是信息安全、为什么需要信息安全、如何建立 安全要求和选择控制等问题入手,循序渐进,从11个方面 提出了39个信息安全控制目标和133个控制措施。每一个 具体控制措施,标准还给出了详细的实施方面的信息,以 方便标准的用户使用。 值得注意的是,标准中推荐的这133个控制措施,并非信 息安全控制措施的全部。组织可以根据自己的情况选择使 用标准以外的控制措施来实现组织的信息安全目标。
第9章 信息安全国际标准
1.
ISO/IEC27002的由来
组织对信息安全的要求是随着组织业务对信息技术尤其是 网络技术的应用而来的。人们在解决信息安全问题以满足 信息安全要求的过程中,经历了由“重技术轻管理”到 “技术和管理并重”的两个不同阶段。 当信息安全问题开始出现的初期,人们解决信息安全问题 的主要途径就是安装和使用信息安全产品,如加密机、防 火墙、入侵检测设备等。信息安全技术和产品的应用,一 定程度上解决了部分信息安全问题。但是人们发现仅仅靠 这些产品和技术还不够,即使采购和使用了足够先进、足 够多的信息安全产品,仍然无法避免一些信息安全事件的 发生。与组织中个人有关的信息安全问题、信息安全成本 和效益的平衡、信息安全目标、业务连续性、信息安全相 关法规符合性等,这些问题与信息安全的要求都密切相关, 而仅仅通过产品和技术是无法解决的。
8.1 概述
2.标准的分级和分类
按标准发生作用的范围和审批标准级别来分类:国家标准、 行业标准、地方标准和企业标准 。 按标准的约束性分类:强制性标准和推荐性标准。 按标准在标准系统中的地位和作用分类:基础标准和一般 标准。 按标准化对象在生产过程中的作用分类:产品标准 ,原材料 标准,零部件标准,工艺和工艺设备标准,设备维修标准, 检验和试验方法标准等。 按标准的性质分类:技术标准,管理标准和工作标准。
第9章 信息安全国际标准
2. ISO/IEC27002的范围 ISO/IEC27002为组织实施信息安全管理提供 建议,供一个组织中负责信息安全工作的人员使 用。该标准适用于各个领域、不同类型、不同规 模的组织。对于标准中提出的任何一项具体的信 息安全控制措施,组织应考虑本国的法律法规以 及组织的实际情况来选择使用。参照本标准,组 织可以开发自己的信息安全准则和有效的安全管 理方法,并提供不同组织间的信任。
8.1 概述 3.信息安全标准
基础类标准
如:GB17859-1999《计算机信息系统安全保护等级划分准则》
应用类标准 如:GBT 20271-2006 《信息系统通用安全技术要求》 GB/T 22240-2008 《信息系统安全等级保护定级指南》
产品类标准 其它类标准
第三部分 信息安全标准
第9章 信息安全国际标准
5.我国采用ISO/IEC17799情况的说明
我国政府主管部门十分重视信息安全管理国家标准的制定。 2002年,全国信息安全标准化技术委员会 () 成立之初,其第七工作组(WG7)就开始 了ISO/IEC17799的研究和制标工作。 2005年6月15日,我国发布了国家标准“GB/T197162005信息安全管理实用规则”,修改采用 ISO/IEC17799:2000。 2006年,根据ISMS国际标准的发展和我国的实际需要, 全国信息安全标准化技术委员会又提出了GB/T19716-2005的 修订计划和对应ISO/IEC27001:2005等相关ISMS标准的制定 和研究计划。相信不久,对应最新ISMS国际标准的国家标准 就会发布,以供大家遵照使用。
第三部分 信息安全标准
第8章 我国的信息安全标准 第9章 信息安全国际标准
第四部分 中华人民共和国网络安全法
第三部分 信息安全标准
第8章 我国的信息安全标准
8.1 概述
8.1 概述
1.标准的定义:按国家标准GB/T 39351—83定义:标准是对重复性事物和概
念所做的统一规定,它以科学、技术和实践经验 的综合为基础,经过有关方面协商一致,由主管 机构批准,以特定的形式发布,作为共同遵守的 准则和依据 。 2.标准的分级和分类 我国标准分为四级:国家标准、行业标准、地方 标准和企业标准 。
第9章 信息安全国际标准
4. ISO/IEC27002的使用说明
ISO/IEC27002:2005作为信息安全管理的最佳实践,它的 应用既有专用性的特点,也有通用性特点。 说它具有专用性,是因为作为信息安全管理体系标准族 (ISMS标准)中的一员,目前它与ISMS的要求标准 ISO/IEC27001:2005是组合使用的,ISO/IEC27001:2005 中的规范性附录A就是ISO/IEC27002:2005的控制目标和 控制措施集。对于期望建设和实施ISMS的组织,应根据 ISO/IEC27001:2005的要求,选择ISMS范围,制定信息 安全方针和目标,实施风险评估,根据风险评估的结果, 选择控制目标和控制措施,制定和实施风险处理计划,执 行内部审核和管理评审,以持续改进。
第9章 信息安全国际标准
信息安全管理实用规则 :ISO/IEC 27002
第9章 信息安全国际标准
ISO/IEC27002是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一(当 时称之为ISO/IEC17799,2007年4月正式更名为 ISO/IEC 27002)。它从信息安全的诸多方面, 总结了一百多项信息安全控制措施,并给出了详 细的实施指南,为组织采取控制措施、实现信息 安全目标提供了选择,是信息安全的最佳实践。
谢谢大家!
第9章 信息安全国际标准
互操S,3DES, IDEA以及被普遍看好的AES 非对称加密标准RSA VPN标准IPSec 传输层加密标准SSL 数字证书标准X.509 安全电子邮件标准S-MIME 安全电子交易标准SET 通用脆弱性描述标准CVE
第9章 信息安全国际标准
第9章 信息安全国际标准
第9章 信息安全国际标准
目前,国际上有影响的信息安全标准体系: 1.ISO/IEC的国际标准13335,27000系列; 2.美国国家标准和技术委员会(NIST)的特 别出版物系列; 3.英国标准组织(BSI)的7799系列。
第9章 信息安全国际标准
标准的类型 ◇互操作标准 ◇测评认证标准 ◇管理标准
第9章 信息安全国际标准
4. ISO/IEC27002的使用说明
ISO/IEC27002:2005的通用性,体现在标准中提 出的控制措施是从信息安全工作实践中总结出来 的,是最佳实践。任何规模、任何性质的有信息 安全要求的组织,不管其是否建设ISMS,都可以 从标准中找到适合自己使用的控制措施来满足其 信息安全要求。 另外,ISO/IEC27002:2005中提出的控制目标和 控制措施,对一个具体的组织并不一定全部适用, 也不一定就是信息安全控制措施的全部。任何组 织还可以根据具体情况选择ISO/IEC27002:2005 以外的控制目标和控制措施。
信息安全标准与法律法规
数计/软件学院 钟尚平
讲授内容
第一部分 总论
第1章 信息安全概述与涉及的法律问题 第2章 立法,司法和执法组织 第3章 信息安全法律规范
第二部分 信息安全法律法规
第4章 信息系统安全保护相关法律法规 第5章 互联网络管理相关法律法规 第6章 其它有关信息安全的法律法规 第7章 依法实践,保障信息安全
第9章 信息安全国际标准
3. ISO/IEC27002的主要内容
三、风险评估和处理部分。 该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。 四、控制措施部分(5~15章)。 这是标准的主体部分,包括11个控制措施章节,分别是:
安全方针(控制目标:1个,控制措施: 2个) 信息安全组织(控制目标:2个,控制措施:11个) 资产管理(控制目标:2个,控制措施: 5个) 人力资源安全(控制目标:3个,控制措施:9个) 物理和环境安全(控制目标:2个,控制措施:13个) 通信和操作管理(控制目标:10个,控制措施:32个) 访问控制(控制目标:7个,控制措施:25个) 信息系统获取、开发和维护(控制目标:6个,控制措施:16个) 信息安全事件管理(控制目标:2个,控制措施:5个) 业务连续性管理(控制目标:1个,控制措施: 5个) 15符合性(控制目标:3个,控制措施:10个)