信息安全监管知识点
《网络安全监管》知识点串讲
一、网络安全政策
1. 中央办公厅2003的27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》
1)方针:1-积极防御、2-综合防范。
2)目标和要求:全面提高信息安全防护能力,保护公众利益,维护国家安全。
3)原则:立足国情、以我为主、技管并重;正确处理安全和发展的关系;统筹规划、突出重点、强化基础工作;发挥国家、企业和个人的作用。
4)9项工作内容:不包括(1-国产化、2-自主创新、3-知识产权、4、隐私保护)。
1-实行信息安全等级保护
2-加强密码技术为基础的信息保护和网络信任体系建设
3-建设和完善信息安全监控体系
4-重视信息安全应急处理工作
5-加强信息安全技术研究开发,推进信息安全产业发展
6-加强信息安全法制建设和标准化建设
7-加快信息安全人才培养,增强全民信息安全意识
8-保证信息安全资金
9-加强安全保障工作领导,建立健全信息安全管理责任制
2. 网络空间安全战略2016年12月27日
1)五项目标:1-和平、2-安全、3-开放、4-合作、5-有序。最终目标是为了构建网络空间命运共同体。
2)四项原则:1-尊重维护网络空间主权;2-和平利用网络空间;3-依法治理网络空间;4-统筹网络安全与发展。
二、网络安全法律
1. 计算机犯罪
1)定义:狭义(信息系统为目标)和广义(包括狭义和其他目标)之分。
2)计算机犯罪特点:多样性、复杂化、国际化、不对称性。
2. 我国的多级立法机制(总分结构)及法律体系的构成。
3. 网络安全法包括7章79条:总则、网络安全支持与促进、网络运行安全、网络信息安全、网络安全监测预警与应急处置、法律责任、附则。
第一章 总则
1)网络空间主权的原则
2)国家网信部门统筹协调(中国共产党中央网络安全和信息化委员会)
3)特定情况下域外适用效力
第二章 网络安全支持与促进
1)网络安全建设和发展的法律支持
2)网络安全建设和发展政策和工作依据
第三章 网络运行安全
3.1 一般规定(等级保护制度)
1)网络运营者义务(甲方):1管理制度及责任;2技术防护与日志6个月;3数据保护;4实名制;5应急预案制定及响应;6安全协助和支持。
2)产品和服务提供者义务(乙方):1强制标准;2告知补救;3安全维护;4个人信息保护。
3)一般性义务(各方):信息发布的安全;禁止的危害行为;信息使用规则。
3.2 关键信息基础设施保护(强调:在3.1《一般规定》基础上进一步的要求)
1)人的安全:人员安全审查、培训教育和考核;
2)数据安全:数据出境的国家安全评估;
3)产品服务安全:产品和服务采购,可能影响国家安全的,则需要进行安全审查;
4)网络与系统安全:一年一次的风险检测评估;
5)应急处理:应急预案的制定、定期演练及应急处置。
第四章 网络信息安全
1)个人信息的保护:采集、告知、同意、保护、修改等方面要求。
2)规范信息管理:从主体及行为的角度规范管理。
3)各主体的职责
第5章 监测预警与应急处置
1)国家:网信部门统筹该工作。
2)行业:国务院各部门各司其职。
3)地方:地方网信部门和地方政府。
4)组织:组织单位。
第6章 法律责任
1)民事责任
2)行政责任
3)刑事责任
第7章 附则(术语的解释等)
其他与网络安全有关的法律(参考教材)
三、道德准则
1、道德的内涵。
2、掌握CISP道德规范的四个部分:
1)维护国家、社会和公众的信息安全
2)诚实守信、遵纪守法 *
3)努力工作,尽职尽责
4)发展自身,维护荣誉
———————————————————————
四、安全标准
1. 标准化基础
1)标准化对象:人、物、事。
2)标准化概念:动态、相对、应用效益,简化、统一、协调、优化。
3)标准化组织:ISOIECIETFITU等。
4)ISO/IEC JTC1 SC27的工作组(5个):WG1信息安全管理体系的标准制定的,例如,iso/iec 27001-27005。WG3是安全评估标准的制定,例如,iso/iec 15408(EAL1-7)。
2. 我国的标准化
1)标准化机构:国家标准化管理委员会(隶属于国家市场监督管理总局)
2)标准化组织:TC260(全国信息安全标准化技术委员会)
3)TC260包括8工作组,WG2涉密;WG5评估;WG7管理;SWG-BDS大数据安全标准。
3. 等级保护标准
3.1 流程:定级备案、建设整改、等级测评。
3.2 定级:
1)GB/T 22240-2020原理(122-234-345)或GA/T 1389-2017原理(123-234-345)
2)GB定级原理,从业务信息和系统服务两个方面进行定级。
| 保护对象受到破坏时受侵害的客体 | 对客体的侵害程度 | ||
|---|---|---|---|
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
3.3 网络安全等级保护基本要求(2.0)
1)2019年12月1日生效的通用要求(71点):
—技术要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。采用IATF结构,比等保1.0技术要求多可信验证、个人信息保护、安全管理中心。
—管理要求包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。总体上和等级保护1.0是相当的。
2)扩展要求:1-4级(云计算16点、工控安全9点、物联网8点、移动互联安全9点),扩展要求整体是比等级保护1.0增加的内容。
3.4 测评标准(依据现有发布的规定)
1)GB/T 28448-2019《网络安全等级保护测评要求》(2019.12.01生效)
2)GB/T 28449-2012《信息系统安全等级保护测评过程指南》
3)公通字2007年43文:二级及上定级备案;三级1年测评1次;四级每半年测评1次;
4)公安网安2020年1960号文:二级及上定级备案;四级与三级一样都是一年测评一次。
5)现实问题:二级测评不统一,是因为标准选择、地方政策、商业活动因素所导致的。
6)考试注意:按照法规考二级不测评,从实践去考二级需要测评(但频率不一致)。
7)测评结论:符合、基本符合和不符合,评分机制 优、良、中、差(70分以下不通过)。
8)测评人员:初级、中级和高级测评师,其中高级测评师需要对测评报告签字。
兼顾到考试大纲、教材、过去的考题,以及现在的发展,如下强调一下:
1)第一个强调的:网络安全法中关键信息基础设施保护的要求是建立在一般要求的基础上的,先满足一般要求,然后满足关键信息基础设施要求,比如一般要求中要求制定应急响应预案,而关键信息基础设施中进一步要求周期演练。但实际工作要注意,都是需要演练,演练是判断预案是否可行的一个方式。
2)第二个强调的:等级保护基本要求的考试可能性,如果出题考的是通用要求中的技术和管理各4个子类,那么按照各四类解答(因为出题是按照“网络安全等级保护基本要求(征求意见稿)出题的”)。如果涉及到各为5个子类的,请按照我给大家补充的最新知识点中的5个子类解答。
更新: 2025-03-11 12:28:52
原文: http://www.yuque.com/yuhui.net/network/xc4flq7bowdh7isk
评论(0)
暂无评论