信息安全法規(guī)與政策講座

信息安全法規(guī)與政策講座課程內(nèi)容2信息安全法規(guī)與政策知識體知識域信息安全知識子域國家信息安全法治總體情況等級保護(hù)有關(guān)政策規(guī)范風(fēng)險評估有關(guān)政策規(guī)范信息安全現(xiàn)行重要信息安全法規(guī)電子政務(wù)與重要信息系統(tǒng)信息安全政策國家信息安全保障總體方針道德規(guī)范信息安全從業(yè)CISP職業(yè)道德準(zhǔn)則計算機使用道德規(guī)范因特網(wǎng)使用道德規(guī)范

信息安全從業(yè)人員基本道德規(guī)范知識域：信息安全相關(guān)法律知識子域：國家信息安全法治總體情況了解信息安全法治建設(shè)的意義了解我國信息安全法律法規(guī)體系框架知識子域：現(xiàn)行重要信息安全法規(guī)掌握《保守國家秘密法》的主要內(nèi)容理解《電子簽名法》的意義和作用了解《刑法》有關(guān)信息安全犯罪的規(guī)定了解《全國人大常委會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》3基本概念法律法規(guī)國家政策道德規(guī)范標(biāo)準(zhǔn)制度4法律、政策和道德的定義法律（Law）-----國家制定或認(rèn)可的，由國家強制力保證實施的，以規(guī)定當(dāng)事人權(quán)利和義務(wù)為內(nèi)容的具有普遍約束力的社會規(guī)范。政策（Policy）----國家或政黨組織等，以權(quán)威形式標(biāo)準(zhǔn)化地規(guī)定在一定的時期內(nèi)，應(yīng)該達(dá)到的目標(biāo)、遵循的行動原則、完成的明確任務(wù)、實行的工作方式、采取的一般步驟和具體措施。道德規(guī)范（Ethic）-----一定社會或階級用以調(diào)整人們之間利益關(guān)系的行為準(zhǔn)則，也是評價人們行為善惡的標(biāo)準(zhǔn)。5國家法律體系法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章全國人大及其常委會國務(wù)院地方人大及常委會地方人民政府國務(wù)院各部委多級立法6法律和政策的區(qū)別法律政策一旦制定，就比較穩(wěn)定，長期有效，不允許經(jīng)常更改是針對一定的問題制定的，一旦問題解決，或環(huán)境發(fā)生變化，政策就需要終止或修正具有統(tǒng)一的實行標(biāo)準(zhǔn)和很強的可操作性只是一定的規(guī)范、原則，要實施還需要將其具體化，轉(zhuǎn)換成執(zhí)行細(xì)則法律必須是公開的，面向社會公布的政策文件可以是公開的，也可以是“內(nèi)部”的政策有黨的政策、國家政策之分，有總政策、基本政策和具體政策之別。政策在成為法律之前，表現(xiàn)為決定、決議、綱領(lǐng)、宣言、通知、紀(jì)要等形式。7法律和道德的區(qū)別法律道德法律是國家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系，有不同的位階和效力盡管道德也可以按需分類，但不具有法律那樣的嚴(yán)謹(jǐn)?shù)慕Y(jié)構(gòu)體系法律都可以文字形式表現(xiàn)出來道德的內(nèi)容則主要存在于人們的道德意識中，表現(xiàn)于人們的言行上違法犯罪的后果有明確規(guī)定，是一種“硬約束”不道德行為的后果，是自我譴責(zé)和輿論壓力，是一種“軟約束”。職業(yè)道德是指符合職業(yè)特點要求的準(zhǔn)則、情操、品質(zhì)等，是職業(yè)義務(wù)、職業(yè)責(zé)任以及職業(yè)行為上的道德準(zhǔn)則。8其他一些概念標(biāo)準(zhǔn)（Standard）-----原意為“標(biāo)靶”（即：參照物），為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。（標(biāo)準(zhǔn)宜以科學(xué)、技術(shù)和實踐經(jīng)驗的綜合成果為基礎(chǔ)，以促進(jìn)最佳的共同效益為目的）制度（System）----要求大家共同遵守的辦事規(guī)程或行動準(zhǔn)則，是國家法律、法令、政策的具體化，是人們行動的準(zhǔn)則和依據(jù)。（指導(dǎo)+約束、鞭策+激勵、規(guī)范+程序）9國家信息安全保障體系信息安全技術(shù)與產(chǎn)業(yè)支撐平臺信息安全基礎(chǔ)設(shè)施信息安全法律法規(guī)與政策環(huán)境信息安全人才培訓(xùn)教育體系信息安全組織機構(gòu)及管理體系信息安全標(biāo)準(zhǔn)與規(guī)范10信息安全在國家安全中的地位黨和國家長期以來一直十分重視安全保密工作，并從敏感性、特殊性和戰(zhàn)略性的高度，至始至終置于黨的絕對領(lǐng)導(dǎo)之下。黨的十六屆四中全會將信息安全與政治安全、經(jīng)濟(jì)安全、文化安全并列為國家安全的重要組成要素信息安全是個大問題。必須把安全問題放到至關(guān)重要的位置上，認(rèn)真加以考慮和解決。---胡錦濤11我國的信息安全管理體制目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，各相關(guān)主管部門分別執(zhí)行各自的安全職能，共同維護(hù)國家的信息安全國家信息化領(lǐng)導(dǎo)小組（國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組）工信部公安部國家安全部國家保密局國家密碼管理委員會等等12我國的信息安全基礎(chǔ)設(shè)施中國信息安全測評中心(CNITSEC)中國信息安全認(rèn)證中心(ISCCC)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）國家計算機病毒應(yīng)急處理中心全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）等等13信息安全法治建設(shè)的意義信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)明確信息安全的基本原則和基本制度、信息安全保障體系的建設(shè)、信息安全相關(guān)行為的規(guī)范、信息安全中各方權(quán)利義務(wù)明確違反信息安全的行為，并對其行為進(jìn)行相應(yīng)的處罰等保護(hù)國家信息主權(quán)和社會公共利益是信息安全立法的首要目標(biāo)14信息安全法治建設(shè)的意義信息安全不再只是個技術(shù)問題，而更多地是個商業(yè)和法律問題---安全漏洞、信息犯罪的本質(zhì)？信息安全產(chǎn)業(yè)的逐漸形成和成熟，需要必要的規(guī)范信息安全法治建設(shè)涉及的主體：信息安全主管部門、各類IT產(chǎn)品和服務(wù)的安全（ITSP）、信息安全類產(chǎn)品和服務(wù)（ISSP）、信息及信息系統(tǒng)的擁有者和使用者信息安全法治建設(shè)涉及的客體：信息數(shù)據(jù)、信息系統(tǒng)狹義的信息安全

廣義的信息安全15我國信息安全法律法規(guī)體系框架法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章全國人大及其常委會國務(wù)院地方人大及常委會地方人民政府憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法。。計算機信息系統(tǒng)安全保護(hù)條例互聯(lián)網(wǎng)信息服務(wù)管理辦法商用密碼管理條例。。公安部（安全專用產(chǎn)品等）原信產(chǎn)部（互聯(lián)網(wǎng)域名、電子認(rèn)證服務(wù)管理辦法等）國新辦（互聯(lián)網(wǎng)新聞信息服務(wù)）保密局（保密等）。。16貴州省信息化條例貴州省人民政府令頒布省級信息安全工程和政府投資信息化工程立項前審查行政許可我國信息安全法治建設(shè)的發(fā)展歷程通信保密安全計算機系統(tǒng)安全網(wǎng)絡(luò)信息系統(tǒng)安全1994年2000年2003年保守國家秘密法（1989）（2010年修訂）中央關(guān)于加強密碼工作的決定計算機信息系統(tǒng)安全保護(hù)條例（草案）-86計算機信息系統(tǒng)

安全保護(hù)條例（1994）計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法-97計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法-97計算機信息系統(tǒng)保密管理暫行規(guī)定-98商用密碼管理條例-99關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定（2000）互聯(lián)網(wǎng)信息服務(wù)管理辦法計算機病毒防治管理辦法計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定-00《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）我國信息安全法治建設(shè)的初步成效法律法規(guī)體系初步構(gòu)建，但體系化與有效性等方面仍有待進(jìn)一步完善法律少而規(guī)章等偏多，缺乏信息安全的基本法與信息安全相關(guān)的司法和行政管理體系迅速完善法律法規(guī)的內(nèi)容篇幅偏小，行為規(guī)范較簡單截至2008年與信息安全直接相關(guān)的法律有65部

涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個領(lǐng)域。18我國信息安全法治建設(shè)展望需要一部信息安全的基本法《國家信息安全法》（或先出臺《信息安全條例》）信息安全的基本原則與基本制度信息安全的主要核心內(nèi)容進(jìn)一步完善各領(lǐng)域的信息安全專門法信息安全的監(jiān)管模式和認(rèn)證體系（面向信息安全各類主體和客體）信息安全常態(tài)管理（等級保護(hù)制度等）信息安全應(yīng)急管理（預(yù)警、監(jiān)測、通報和應(yīng)急處理等）網(wǎng)絡(luò)與信息系統(tǒng)全生命周期的信息安全信息內(nèi)容安全特定領(lǐng)域的信息安全（電子政務(wù)、電子商務(wù)、行業(yè)信息化等）組織信息資產(chǎn)的基本法律地位個人信息保護(hù)的基本規(guī)范信息安全犯罪19《憲法》中的有關(guān)規(guī)定《憲法》第二章

公民的基本權(quán)利和義務(wù)

第40條公民的通信自由和通信秘密受法律的保護(hù)。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。法律20《刑法》中的有關(guān)規(guī)定（1）《刑法》第六章

妨礙社會管理秩序罪

第一節(jié)

擾亂公共秩序罪

第285、286、287條285條：非法侵入計算機信息系統(tǒng)罪；非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪；提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪。違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。法律21《刑法》中的有關(guān)規(guī)定（2）《刑法》第六章

妨礙社會管理秩序罪

第一節(jié)

擾亂公共秩序罪

第285、286、287條286條：破壞計算機信息系統(tǒng)罪。違反國家規(guī)定，對計算機信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，依照前款的規(guī)定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴(yán)重的，依照第一款的規(guī)定處罰。287條：利用計算機實施犯罪的提示性規(guī)定。利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關(guān)規(guī)定定罪處罰。22法律《刑法》中的有關(guān)規(guī)定（3）第一章危害國家安全罪111條為境外竊取、刺探、收買、非法提供國家秘密、情報罪為境外的機構(gòu)、組織、人員竊取、刺探、收買、非法提供國家秘密或者情報的，處五年以上十年以下有期徒刑；情節(jié)特別嚴(yán)重的，處十年以上有期徒刑或者無期徒刑；情節(jié)較輕的，處五年以下有期徒刑、拘役、管制或者剝奪政治權(quán)利。第六章妨害社會管理秩序罪第一節(jié)擾亂公共秩序罪282條非法獲取國家秘密罪；非法持有國家絕密、機密文件、資料、物品罪以竊取、刺探、收買方法，非法獲取國家秘密的，處三年以下有期徒刑、拘役、管制或者剝奪政治權(quán)利；情節(jié)嚴(yán)重的，處三年以上七年以下有期徒刑。非法持有屬于國家絕密、機密的文件、資料或者其他物品，拒不說明來源與用途的，處三年以下有期徒刑、拘役或者管制。23《刑法》中的有關(guān)規(guī)定（3）第九章瀆職罪398條

故意泄露國家秘密罪；過失泄露國家秘密罪國家機關(guān)工作人員違反保守國家秘密法的規(guī)定，故意或者過失泄露國家秘密，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑。非國家機關(guān)工作人員犯前款罪的，依照前款的規(guī)定酌情處罰。24《治安管理處罰法》中的有關(guān)規(guī)定《治安管理處罰法》第三章

違反治安管理的行為和處罰

第一節(jié)

擾亂公共秩序的行為和處罰

第29條有下列行為之一的，處五日以下拘留；情節(jié)較重的，處五日以上十日以下拘留：（一）違反國家規(guī)定，侵入計算機信息系統(tǒng)，造成危害的；（二）違反國家規(guī)定，對計算機信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的；（三）違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的；（四）故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統(tǒng)正常運行的?！吨伟补芾硖幜P法》其他規(guī)定（與非法信息傳播等相關(guān)）：第42、47、68條法律25《國家安全法》中的有關(guān)規(guī)定《國家安全法》第二章

國家安全機關(guān)在國家安全工作中的職權(quán)

第10、11條第10條國家安全機關(guān)因偵察危害國家安全行為的需要，根據(jù)國家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵察措施。第11條國家安全機關(guān)為維護(hù)國家安全的需要，可以查驗組織和個人的電子通信工具、器材等設(shè)備、設(shè)施。法律26《保守國家秘密法》（保密法1）演進(jìn)《保守國家秘密暫行條例》（1951年）《保守國家秘密法》（1989年）《保守國家秘密法》（2010年修訂，4月29日修訂，10月1日施行）主旨（總則）目的：保守國家秘密，維護(hù)國家安全和利益。國家秘密是關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項。國家秘密受法律保護(hù)。一切國家機關(guān)、武裝力量、政黨、社會團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務(wù)。國家保密行政管理部門主管全國的保密工作。國家機關(guān)和涉及國家秘密的單位（以下簡稱機關(guān)、單位）管理本機關(guān)和本單位的保密工作。保密工作責(zé)任制：健全保密管理制度，完善保密防護(hù)措施，開展保密宣傳教育，加強保密檢查。法律27《保守國家秘密法》（保密法2）國家秘密的范圍國家事務(wù)、國防武裝、外交外事、政黨秘密國民經(jīng)濟(jì)和社會發(fā)展、科學(xué)技術(shù)維護(hù)國家安全的活動、經(jīng)保密主管部門確定的事項等國家秘密的密級絕密---是最重要的國家秘密，泄露會使國家安全和利益遭受特別嚴(yán)重的損害；保密期限不超過30年；機密---是重要的國家秘密，泄露會使國家安全和利益遭受嚴(yán)重的損害；保密期限不超過20年；秘密---是一般的國家秘密，泄露會使國家安全和利益遭受損害；保密期限不超過10年。國家秘密的其他基本屬性定密權(quán)限（定密責(zé)任人）、保密期限、解密條件、知悉范圍國家秘密載體、國家秘密標(biāo)志法律28《保守國家秘密法》（保密法3）保密制度對國家秘密載體的行為要求；對屬于國家秘密的設(shè)備、產(chǎn)品的行為要求；對存儲、處理國家秘密的計算機信息系統(tǒng)的要求---分級保護(hù)；對組織和個人的行為要求（涉密信息系統(tǒng)管理、國家秘密載體管理、公開發(fā)布信息、各類涉密采購、涉密人員分類管理、保密教育培訓(xùn)、保密協(xié)議等）；對公共信息網(wǎng)絡(luò)及其他傳媒的行為要求；對互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)運營商、服務(wù)商的行為要求。監(jiān)督管理國家保密行政管理部門依照法律、行政法規(guī)的規(guī)定，制定保密規(guī)章和國家保密標(biāo)準(zhǔn)。組織開展保密宣傳教育、保密檢查、保密技術(shù)防護(hù)和泄密案件查處工作，對機關(guān)、單位的保密工作進(jìn)行指導(dǎo)和監(jiān)督。法律29《保守國家秘密法》（保密法4）法律責(zé)任（第48條

人員處分及追究刑責(zé)）（一）非法獲取、持有國家秘密載體的；（二）買賣、轉(zhuǎn)送或者私自銷毀國家秘密載體的；（三）通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的；（四）郵寄、托運國家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國家秘密載體出境的；（五）非法復(fù)制、記錄、存儲國家秘密的；（六）在私人交往和通信中涉及國家秘密的；（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密的；（八）將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；（九）在未采取防護(hù)措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換的；（十）使用非涉密計算機、非涉密存儲設(shè)備存儲、處理國家秘密信息的；（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；（十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計算機、涉密存儲設(shè)備贈送、出售、丟棄或者改作其他用途的。有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機關(guān)、單位予以處理。法律30《全國人大關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》背景互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對于加快我國國民經(jīng)濟(jì)、科學(xué)技術(shù)的發(fā)展和社會服務(wù)信息化進(jìn)程具有重要作用。如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關(guān)注。互聯(lián)網(wǎng)安全的范疇（法律約束力）互聯(lián)網(wǎng)的運行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等）國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等）市場經(jīng)濟(jì)秩序和社會管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽、侵犯知識產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等）個人、法人和其他組織的人身、財產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）法律責(zé)任構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責(zé)任構(gòu)成民事侵權(quán)的，依法承擔(dān)民事責(zé)任尚不構(gòu)成犯罪的：治安管理處罰/行政處罰/行政處分或紀(jì)律處分

法律31《電子簽名法》（1）意義2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。數(shù)據(jù)電文和電子簽名數(shù)據(jù)電文---是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。電子簽名---是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。適用范圍民事活動中的合同或者其他文件、單證等文書。電子簽名和數(shù)據(jù)電文不適用的文書（國際慣例）：涉及證明人身關(guān)系的、涉及不動產(chǎn)權(quán)益轉(zhuǎn)讓的、涉及停止公共事業(yè)服務(wù)的、法律法規(guī)所規(guī)定的不適用電子文書的其他情形。法律32《電子簽名法》（2）數(shù)據(jù)電文的原件形式要求能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用；能夠可靠地保證自最終形成時起，內(nèi)容保持完整、未被更改。但是，在數(shù)據(jù)電文上增加背書以及數(shù)據(jù)交換、儲存和顯示過程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性。數(shù)據(jù)電文的文件保存要求能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用；數(shù)據(jù)電文的格式與其生成、發(fā)送或者接收時的格式相同，或者格式不相同但是能夠準(zhǔn)確表現(xiàn)原來生成、發(fā)送或者接收的內(nèi)容；能夠識別數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收的時間。數(shù)據(jù)電文的重要屬性作為證據(jù)的真實性（數(shù)據(jù)電文生成/存儲/傳遞的可靠性、對保持內(nèi)容完整性的可靠性、對鑒別發(fā)件人的可靠性等）發(fā)件人發(fā)送（發(fā)送時間、發(fā)送地點）、收件人收訖（接收時間、接收地點）法律33《電子簽名法》（3）可靠電子簽名的四個要件電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)電子認(rèn)證服務(wù)應(yīng)具備相適應(yīng)的人員、資金、場所、技術(shù)和設(shè)備條件，以及國家密碼管理機構(gòu)同意使用密碼的證明文件；應(yīng)向國務(wù)院信息產(chǎn)業(yè)主管部門申請，后者依法審查并征求商務(wù)主管部門等有關(guān)部門的意見后，對予以許可的頒發(fā)電子認(rèn)證許可證書，再持該證向工商部門辦理企業(yè)登記，并將其電子認(rèn)證業(yè)務(wù)規(guī)則，并向國務(wù)院信息產(chǎn)業(yè)主管部門備案。法律34《電子簽名法》（4）電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書內(nèi)容電子認(rèn)證服務(wù)提供者名稱；證書持有人名稱；證書序列號；證書有效期；證書持有人的電子簽名驗證數(shù)據(jù)；電子認(rèn)證服務(wù)提供者的電子簽名；國務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。對電子認(rèn)證服務(wù)提供者的其他要求保證證書內(nèi)容在有效期內(nèi)完整、準(zhǔn)確；擬暫?；蛘呓K止電子認(rèn)證服務(wù)的要求；妥善保存與認(rèn)證相關(guān)的信息，信息保存期限（至少為證書失效后五年）。法律35《計算機信息系統(tǒng)安全保護(hù)條例》計算機信息系統(tǒng)是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。安全保護(hù)保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護(hù)計算機信息系統(tǒng)的安全運行。主管部門公安部主管全國計算機信息系統(tǒng)安全保護(hù)工作（含安全監(jiān)督職權(quán)）。國家安全部、國家保密局和國務(wù)院其他有關(guān)部門，在國務(wù)院規(guī)定的職責(zé)范圍內(nèi)做好計算機信息系統(tǒng)安全保護(hù)的有關(guān)工作。安全保護(hù)制度（要點）計算機信息系統(tǒng)實行安全等級保護(hù)。使用單位應(yīng)當(dāng)建立健全安全管理制度。安全專用產(chǎn)品（硬件、軟件）的銷售實行許可證制度。行政法規(guī)36《商用密碼管理條例》商用密碼是指對不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。商用密碼技術(shù)屬于國家秘密。主管部門國家密碼管理委員會及其辦公室主管全國的商用密碼管理工作。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾?。管理要點商密產(chǎn)品由國家密碼管理機構(gòu)分別指定單位進(jìn)行科研、生產(chǎn)和檢測。商密產(chǎn)品銷售單位應(yīng)有國家密碼管理機構(gòu)頒發(fā)的《商用密碼產(chǎn)品銷售許可證》。必須如實登記備案直接使用商用密碼產(chǎn)品的用戶信息和產(chǎn)品用途。不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品（含故障維修、報廢銷毀）。行政法規(guī)37《計算機信息系統(tǒng)安全專用產(chǎn)品

檢測和銷售許可證管理辦法》兩個必須安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進(jìn)入市場銷售之前,必須申領(lǐng)《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》。安全全專用產(chǎn)品的生產(chǎn)者申領(lǐng)銷售許可證,必須對其產(chǎn)品進(jìn)行安全功能檢測和認(rèn)定。檢測（機構(gòu)）檢測機構(gòu)對產(chǎn)品（樣品）的安全功能和性能進(jìn)行檢測。檢測機構(gòu)應(yīng)保守檢測產(chǎn)品的技術(shù)秘密，并不得非法占有他人科技成果，不得從事與檢測產(chǎn)品有關(guān)的開發(fā)和對外咨詢業(yè)務(wù)。銷售許可證（主管部門）由公安部計算機管理監(jiān)察部門頒發(fā)安全專用產(chǎn)品銷售許可證（兩年內(nèi)有效）、“銷售許可”標(biāo)記（生產(chǎn)者應(yīng)當(dāng)在固定位置標(biāo)明該標(biāo)記）。安全專用產(chǎn)品的檢測通告和經(jīng)安全功能檢測確認(rèn)的安全專用產(chǎn)品目錄,由公安部計算機管理監(jiān)察部門定期發(fā)布。部門規(guī)章38《計算機信息系統(tǒng)保密管理暫行規(guī)定》適用范圍適用于采集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統(tǒng)。主管部門國家保密局主管全國計算機信息系統(tǒng)的保密工作。管理要點涉密系統(tǒng)---保密設(shè)施、保密措施、訪問控制、數(shù)據(jù)保護(hù)等涉密信息---密級標(biāo)識、物理隔離等涉密媒體---各類計算機媒體（含打印輸出等）涉密場所---控制區(qū)、防電磁信息泄漏、其他物理安全等系統(tǒng)管理---領(lǐng)導(dǎo)負(fù)責(zé)制、管理制度、保密檢查、人員培訓(xùn)和考核等部門規(guī)章39其他一些行政法規(guī)和部門規(guī)章行政法規(guī)《電信條例》《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》部門規(guī)章《中國互聯(lián)網(wǎng)域名管理辦法》（原信產(chǎn)部）《互聯(lián)網(wǎng)IP地址備案管理辦法》（原信產(chǎn)部）《電子認(rèn)證服務(wù)管理辦法》（原信產(chǎn)部）《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》（原信產(chǎn)部）《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部）《計算機病毒防治管理辦法》（公安部）《信息安全等級保護(hù)管理辦法》（公安部）《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》（保密局）《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》（國新辦、原信產(chǎn)部）40一些地方性法規(guī)《貴州省信息化條例》（第六章信息安全保障）《北京市信息化促進(jìn)條例》（第五章信息安全保障）《北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定》《北京市黨政機關(guān)計算機網(wǎng)絡(luò)與信息安全管理辦法》《廣東省計算機信息系統(tǒng)安全保護(hù)管理規(guī)定》《廣東省電子政務(wù)信息安全管理暫行辦法》《上海市公共信息系統(tǒng)安全測評管理辦法》。。41《貴州省信息化條例》(8章49條，5個方面大內(nèi)容，與信息安全有關(guān)條款15條，占30%）第二十條信息安全工程和政府投資的信息化工程，批準(zhǔn)立項前，應(yīng)當(dāng)經(jīng)信息化行政主管部門審查，符合信息化有關(guān)規(guī)劃和信息安全管理要求的，方可按照建設(shè)項目程序辦理相關(guān)手續(xù)。（已列為行政許可）第六章信息安全保障（第34-40）建立信息安全應(yīng)急處理協(xié)調(diào)機制。任何單位和個人不得利用網(wǎng)絡(luò)與信息系統(tǒng)從事危害國家安全，擾亂公共秩序，損害公民、法人和其他組織的合法權(quán)益，危害網(wǎng)絡(luò)與信息系統(tǒng)安全以及散布、傳播違法信息等活動。加強信息發(fā)布管理，遏制不良信息傳播。按照國家和本省有關(guān)規(guī)定實行安全等級保護(hù)制度。信息化工程應(yīng)進(jìn)行相應(yīng)的安全系統(tǒng)方案設(shè)計和建設(shè)，信息安全工程和政府投資的信息化工程投入使用前，應(yīng)當(dāng)通過信息系統(tǒng)安全測評。制定應(yīng)急預(yù)案，并定期演練。各級政府信息化行政主管部門應(yīng)當(dāng)組織對重點信息網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全檢查。42《北京市信息化條例》第五章

信息安全保障（第32--37條）按照國家和本市有關(guān)規(guī)定實行安全等級保護(hù)制度按照等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開展網(wǎng)絡(luò)與信息系統(tǒng)的安全建設(shè)（改建）、測評和保障制定網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案，定期進(jìn)行演練組建公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)信息安全應(yīng)急救援服務(wù)體系任何單位和個人不得利用網(wǎng)絡(luò)與信息系統(tǒng)從事危害國家安全，擾亂公共秩序，損害公民、法人和其他組織的合法權(quán)益，危害網(wǎng)絡(luò)與信息系統(tǒng)安全以及散布、傳播違法信息等活動涉及國家秘密的信息化工程的管理，按照國家保密有關(guān)規(guī)定執(zhí)行43廣東省計算機信息系統(tǒng)安全保護(hù)管理規(guī)定計算機信息系統(tǒng)使用單位應(yīng)當(dāng)確定計算機安全管理責(zé)任人，建立健全安全保護(hù)制度，落實安全保護(hù)技術(shù)措施，保障本單位計算機信息系統(tǒng)安全，并協(xié)助公安機關(guān)做好安全保護(hù)管理工作。安全保護(hù)制度（第8條）：計算機機房安全管理制度；安全管理責(zé)任人、信息審查員的任免和安全責(zé)任制度；網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度；操作權(quán)限管理制度；用戶登記制度；信息發(fā)布審查、登記、保存、清除和備份制度，信息群發(fā)服務(wù)管理制度。安全技術(shù)措施（第9條）：系統(tǒng)重要部分的冗余或備份措施；計算機病毒防治措施；網(wǎng)絡(luò)攻擊防范、追蹤措施；安全審計和預(yù)警措施；系統(tǒng)運行和用戶使用日志記錄保存60日以上措施；記錄用戶主叫號碼和網(wǎng)絡(luò)地址的措施；身份登記和識別確認(rèn)措施；信息群發(fā)限制和有害數(shù)據(jù)防治措施。44廣東省計算機信息系統(tǒng)安全保護(hù)管理規(guī)定任何單位和個人不得利用計算機信息系統(tǒng)從事下列行為（第11條）：制作、復(fù)制、查閱、傳播有害信息；侵犯他人隱私，竊取他人帳號，假冒他人名義發(fā)送信息，或者向他人發(fā)送垃圾信息；以盈利或者非正常使用為目的，未經(jīng)允許向第三方公開他人電子郵箱地址；未經(jīng)允許修改、刪除、增加、破壞計算機信息系統(tǒng)的功能、程序及數(shù)據(jù)；危害計算機信息系統(tǒng)安全的其他行為。重點安全保護(hù)單位（第14條）：縣級以上國家機關(guān)、國防單位；銀行、證券、能源、交通、郵電通信單位；國家及省重點科研、教育單位；國有大中型企業(yè)；互聯(lián)單位、接入單位及重點網(wǎng)站；向公眾提供上網(wǎng)服務(wù)的場所。其他重要規(guī)定：公安機關(guān)、國家安全機關(guān)的職權(quán)；對重大安全事故的處置和報告；安全專用產(chǎn)品和密碼產(chǎn)品的管理；安全服務(wù)資質(zhì)的申請；罰則等等。45上海市公共信息系統(tǒng)安全測評管理辦法依據(jù)有關(guān)信息安全標(biāo)準(zhǔn)、規(guī)范，對本市承擔(dān)公共管理職能的機構(gòu)以及提供社會公共服務(wù)的單位的計算機信息系統(tǒng)，進(jìn)行安全保障性能測試、評估的活動。新建系統(tǒng)的測評（第7條）：應(yīng)當(dāng)在系統(tǒng)建設(shè)前將安全設(shè)計方案報送市信息委審查；市信息委應(yīng)當(dāng)在15日內(nèi)提出審查意見。新建的公共信息系統(tǒng)試運行結(jié)束后30日內(nèi)，應(yīng)當(dāng)進(jìn)行安全測評。安全整改（第13條）：應(yīng)當(dāng)根據(jù)測評報告的整改建議，對公共信息系統(tǒng)采取安全整改措施。完成安全整改后15日內(nèi)，應(yīng)當(dāng)將整改情況報送市信息委及其主管部門備案。動態(tài)復(fù)測（第15條）：每兩年進(jìn)行一次復(fù)測；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、信息處理流程等發(fā)生重大變更的，應(yīng)當(dāng)及時進(jìn)行復(fù)測。46國外信息安全法律法規(guī)簡介國外信息安全法律法規(guī)簡介（以美國為例）《信息自由法》（1966年）《愛國者法》（2001年）《聯(lián)邦信息安全管理法案》（FISMA，2002年）屬于《電子政務(wù)法》的第三部分給出了信息安全的定義國內(nèi)外信息安全法治體系的差距分析體系性廣度深度。。47聯(lián)邦政府信息保密分類標(biāo)準(zhǔn)（艾森豪威爾總統(tǒng)發(fā)布行政命令10501號，1953年）秘密級（Confidential）：根據(jù)合理的預(yù)期，公布以后可能會損害國家安全的材料。機密級（Secret）：被用來保護(hù)披露后預(yù)計可能會嚴(yán)重危害國家安全的材料。絕密級（TopSecret）：是用于保護(hù)公開后預(yù)計可能會給國家安全帶來異乎尋常之危害的材料。另：《總統(tǒng)檔案法》（PresidentialRecordActof1978）白宮幕僚向總統(tǒng)出謀劃策的文件要該屆政府結(jié)束12年之后才能公開政府聯(lián)邦機構(gòu)（中情局等除外）須在2000年4月之前公開含有歷史材料且時逾25年的保密檔案48《信息自由法》FreedomofInformationActof1966，F(xiàn)OIA美國對政府信息進(jìn)行立法保護(hù)的首要原則是向公眾公開原則

（也叫信息公開原則），是構(gòu)成其他信息安全保護(hù)法律的基礎(chǔ)該法案主要是保障公民的個人自由,但也需要保障國家的安全，因此，該法利用“例外”的立法方式，將需要保護(hù)的信息加以列舉：國家安全問題；內(nèi)務(wù)材料；法律規(guī)定豁免的材料；商業(yè)秘密；工作文件（當(dāng)事人特權(quán)性材料）；個人隱私文件；執(zhí)法檔案；金融機構(gòu)材料；地質(zhì)數(shù)據(jù)。49《保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施》克林頓總統(tǒng)令PDD-63，1998年第一次就美國信息安全戰(zhàn)略的完整概念、意義、長期與短期目標(biāo)等作了說明，對由國防部提出的“信息保障”作了新的解釋，并對下一步的信息安全工作做了指示。最遲不晚于2000年，美國應(yīng)當(dāng)實現(xiàn)初步的信息保障能力。從發(fā)布之日起五年后，美國將建立并保持對國家關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)的能力，以防止下述職能被有預(yù)謀的行為破壞：聯(lián)邦政府履行其重要的國家安全責(zé)任并確保公眾健康和安全;州和地方政府維持有序運轉(zhuǎn),提供最起碼的重要公共服務(wù);私營部門確保經(jīng)濟(jì)有序運行以及提供重要電信、能源、金融和運輸?shù)恼７?wù)。要求這些關(guān)鍵功能如遭到的任何破壞或操縱,必須將其控制在歷時短、頻率小、可控、地域上可隔離以及對美國的利益損害最小。50《愛國者法》USAPatriotofActof2001是“9.11”事件以后美國為保障國家安全頒布的最為重要的一件法律，也是目前爭議最大的一部法律。從法律上授予美國國內(nèi)執(zhí)法機構(gòu)和國際情報機構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動，使美國人民能夠生活在安全的環(huán)境中。由于該法賦予聯(lián)邦政府的權(quán)力過大，引起美國國內(nèi)民權(quán)人士的擔(dān)憂，并產(chǎn)生訴案。該法還對美國現(xiàn)有的十幾部法律做出了修改政府可以對國外銀行和對私人存戶達(dá)到100萬美元以上的賬戶進(jìn)行盡職調(diào)查51《聯(lián)邦信息安全管理法案》FederalInformationSecurityManagementActof2002，F(xiàn)ISMA給出了“信息安全”的定義：保護(hù)信息和信息系統(tǒng)以避免未授權(quán)的訪問、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性完整性指防止不恰當(dāng)?shù)男畔⑿薷暮推茐?，也包括確保信息的不可否認(rèn)性和可認(rèn)證性保密性指對信息訪問和公開的授權(quán)限制，包括對個人隱私和私有信息的保護(hù)可用性指對信息的及時和可靠的訪問對國家信息安全管理職責(zé)的授權(quán)國家標(biāo)準(zhǔn)與技術(shù)局（NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標(biāo)準(zhǔn)與指南管理與預(yù)算辦公室（OMB）主任對安全政策、原則、標(biāo)準(zhǔn)、指南等的制定、執(zhí)行（包括遵守）情況進(jìn)行監(jiān)督52電子政務(wù)法《電子政務(wù)法》（theE-GovernmentActof2002）FISMA是該法案的第3部分該法對聯(lián)邦政府信息技術(shù)管理和規(guī)劃的每一個方面，從危機管理到電子檔案及查詢索引都做了規(guī)定53《美國企業(yè)改革法案》（Sarbanes-OxleyActof2002），又名《公眾公司會計改革與投資者保護(hù)法》，簡稱《薩班斯-奧克斯利法》。主要目的是加強對上市公司內(nèi)部金融信息的監(jiān)管，以維護(hù)金融市場的秩序和安全。要求某些公司保證其內(nèi)部金融控制的準(zhǔn)確性，證券交易委員會（SEC）有權(quán)制定標(biāo)準(zhǔn)并執(zhí)行這些規(guī)則，與其他對金融組織擁有管轄權(quán)的機構(gòu)負(fù)責(zé)對金融組織計算機系統(tǒng)上的有關(guān)個人金融信息隱私的規(guī)則的執(zhí)行。54知識域：信息安全國家政策知識子域：國家信息安全管理總體方針

掌握國家有關(guān)政策對信息安全保障工作的總體要求掌握國家有關(guān)政策規(guī)定的加強信息安全保障工作主要原則掌握國家有關(guān)政策規(guī)定需要重點加強的信息安全保障工作知識子域：電子政務(wù)及重要信息系統(tǒng)信息安全政策了解關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的四項基本要求：明確職責(zé)、強化人員培訓(xùn)、完善安全措施和手段、加強信息安全檢查55《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）1意義標(biāo)志著我國信息安全保障工作有了總體綱領(lǐng)提出要在5年內(nèi)建設(shè)中國信息安全保障體系總體要求堅持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全。主要原則立足國情，以我為主，堅持技術(shù)與管理并重；正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。56《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）2主要任務(wù)（重點加強的安全保障工作）實行信息安全等級保護(hù)加強以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)建設(shè)和完善信息安全監(jiān)控體系重視信息安全應(yīng)急處理工作加強信息安全技術(shù)研究開發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展加強信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)加快信息安全人才培養(yǎng)，增強全民信息安全意識保證信息安全資金加強對信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制信息安全與國家安全27號文：信息安全已成為國家安全的重要組成部分十六屆四中全會：確保國家的政治安全、經(jīng)濟(jì)安全、文化安全和信息安全十一五：試點

十二五：普及推廣57國家電子政務(wù)工程建設(shè)項目管理暫行辦法本身不是政策，屬于法律法規(guī)部門規(guī)章---國家發(fā)改委令[2007]第55號對國家電子政務(wù)工程建設(shè)項目有明確的信息安全要求第六章驗收評價管理項目建設(shè)單位應(yīng)在完成項目建設(shè)任務(wù)后的半年內(nèi),組織完成建設(shè)項目的信息安全風(fēng)險評估和初步驗收工作。第七章運行管理項目建設(shè)單位或其委托的專業(yè)機構(gòu)應(yīng)按照風(fēng)險評估的相關(guān)規(guī)定,對建成項目進(jìn)行信息安全風(fēng)險評估,檢驗其網(wǎng)絡(luò)和信息系統(tǒng)對安全環(huán)境變化的適應(yīng)性及安全措施的有效性,保障信息安全目標(biāo)的實現(xiàn)。項建書、可研報告、初步設(shè)計方案在“項建和可研”的項目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案”在“初設(shè)”的項目設(shè)計方案中應(yīng)包含“安全系統(tǒng)設(shè)計”關(guān)于加強政府信息安全和保密管理工作的通知（國辦發(fā)[2008]17號）明確職責(zé)把信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導(dǎo)誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)強化人員培訓(xùn)組織信息安全和保密基本技能培訓(xùn)，開展信息安全和保密形勢分析深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定完善安全措施和手段管理制度+技術(shù)手段加強信息安全檢查詳見《政府信息系統(tǒng)安全檢查辦法》59關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國辦發(fā)[2009]28號）1依據(jù)《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》（國辦發(fā)[2008]17號）檢查范圍和檢查重點各級政府及其部門對自行運行和維護(hù)管理以及委托其他機構(gòu)進(jìn)行和維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進(jìn)行一次全面的安全檢查。國務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點。檢查方式各單位自查+統(tǒng)一組織抽查+安全檢測（按需）工信部負(fù)責(zé)協(xié)調(diào)、指導(dǎo)、監(jiān)督，公安/安全/保密/密碼等部門按職責(zé)分工《2009年度政府信息系統(tǒng)安全檢查指南》（工信部協(xié)[2009]168號）《2010年度政府信息系統(tǒng)安全檢查指南》（工信部協(xié)[2010]143號）60關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國辦發(fā)[2009]28號）2檢查內(nèi)容安全制度落實情況---人員、制度、經(jīng)費等安全防范措施落實情況---各類技術(shù)措施應(yīng)急響應(yīng)機制建設(shè)情況---應(yīng)急預(yù)案制定和演練、應(yīng)急隊伍、事故處置、數(shù)據(jù)/系統(tǒng)備份等信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況---終端/OA/信息安全產(chǎn)品國產(chǎn)情況、信息安全服務(wù)外包情況等安全教育培訓(xùn)情況---參加、掌握、持證等情況責(zé)任追究情況安全隱患排查及整改情況安全形勢、安全風(fēng)險評估狀況612010年度政府信息系統(tǒng)安全檢查指南

（工信部協(xié)[2010]143號）檢查內(nèi)容（檢查指南比檢查辦法更細(xì)化，以2010年為例）信息安全組織機構(gòu)日常信息安全管理（人員、資產(chǎn)、運維）等級保護(hù)與風(fēng)險評估技術(shù)防護(hù)手段建設(shè)（網(wǎng)絡(luò)邊界、信息安全產(chǎn)品、服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端計算機和移動存儲設(shè)備、門戶網(wǎng)站、密碼技術(shù)、網(wǎng)絡(luò)信任措施）應(yīng)急管理工作開展（應(yīng)急預(yù)案、應(yīng)急演練、應(yīng)急技術(shù)支援隊伍、災(zāi)難備份、應(yīng)急處置）信息技術(shù)產(chǎn)品和信息安全產(chǎn)品使用信息安全服務(wù)信息安全教育培訓(xùn)信息安全經(jīng)費保障安全隱患排查及整改62關(guān)于印發(fā)國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知（國辦函[2008]168號）背景2003年：國務(wù)院成立應(yīng)急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》2004年：《國家突發(fā)公共事件總體應(yīng)急預(yù)案》（4大類公共安全）2007年：制定發(fā)布《國家突發(fā)事件應(yīng)對法》2008年：《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》預(yù)案要點網(wǎng)絡(luò)與信息安全事件的分類分級參照標(biāo)準(zhǔn)：《信息安全事件分類分級指南》（GB/Z20986）應(yīng)急流程：預(yù)防預(yù)警—應(yīng)急處置—后期處置參照標(biāo)準(zhǔn)：《信息安全事件管理指南》（GB/Z20985）組織體系和應(yīng)急保障應(yīng)急隊伍、經(jīng)費、物資、通信、科技。。監(jiān)督管理宣傳教育、培訓(xùn)、演練、責(zé)任與獎懲63知識域：信息安全國家政策知識子域：風(fēng)險評估有關(guān)政策規(guī)范了解國家有關(guān)政策對信息安全風(fēng)險評估工作提出的要求了解國家有關(guān)政策對電子政務(wù)工程及國家重要信息系統(tǒng)建設(shè)項目風(fēng)險評估?？仃犖榈囊?guī)定知識子域：等級保護(hù)有關(guān)政策規(guī)范了解《信息安全等級保護(hù)管理辦法》的有關(guān)要求知識子域：國家密碼管理政策了解我國對密碼的管理政策要求64關(guān)于開展信息安全風(fēng)險評估的意見

（國信辦[2006]5號）信息安全風(fēng)險評估（基于風(fēng)險管理）系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性評估安全事件一旦發(fā)生可能造成的危害程度提出有針對性的抵御威脅的防護(hù)對策和整改措施基本工作要求應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程（設(shè)計、驗收、運維）定期組織實施網(wǎng)絡(luò)與信息系統(tǒng)自評估，并積極配合有關(guān)部門的檢查評估相關(guān)保障參照標(biāo)準(zhǔn):《信息安全風(fēng)險評估規(guī)范》（GB/T20984）、《信息安全風(fēng)險管理規(guī)范》（制定中）服務(wù)資質(zhì)（對于涉及國計民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估技術(shù)服務(wù)，要由國家?？氐年犖閬沓袚?dān)）65關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技[2008]2071號）依據(jù)和目的《國家電子政務(wù)工程建設(shè)項目管理暫行辦法》---國家發(fā)改委令[2007]第55號三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局將“信息安全風(fēng)險評估”作為項目驗收的重要內(nèi)容（按要求提交一系列文檔）風(fēng)險評估的主要內(nèi)容分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風(fēng)險的影響等兩類信息系統(tǒng)的工作開展涉密信息系統(tǒng)參照“分級保護(hù)”，進(jìn)行系統(tǒng)測評并履行審批手續(xù)非涉密信息系統(tǒng)參照“等級保護(hù)”，完成等級測評和風(fēng)險評估工作，并形成相關(guān)報告相關(guān)要點對信息安全風(fēng)險評估機構(gòu)的指定（1家+3家）信息安全風(fēng)險評估經(jīng)費計入該項目總投資投入運行后，應(yīng)定期開展信息安全風(fēng)險評估66關(guān)于信息安全等級保護(hù)工作的實施意見

（公字通[2004]66號）1信息安全等級保護(hù)是保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項基本制度核心是對信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督公安機關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)保密/密碼/信息化工作部門各自的職責(zé)分工信息和信息系統(tǒng)的安全保護(hù)等級（及其適用范圍）第一級為自主保護(hù)級第二級為指導(dǎo)保護(hù)級第三級為監(jiān)督保護(hù)級第四級為強制保護(hù)級第五級為專控保護(hù)級定級依據(jù)根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度67關(guān)于信息安全等級保護(hù)工作的實施意見

（公字通[2004]66號）2實施要求完善標(biāo)準(zhǔn),分類指導(dǎo)（管理規(guī)范和技術(shù)標(biāo)準(zhǔn)）科學(xué)定級,嚴(yán)格備案（專家評審委員會。三級以上系統(tǒng)備案）建設(shè)整改,落實措施（信息系統(tǒng)：已有、新建、改建、擴建）自查自糾,落實要求（運營、使用單位及其主管部門）建立制度,加強管理（運營、使用單位及其主管部門）監(jiān)督檢查,完善保護(hù)（公安機關(guān)重點對第三、第四級系統(tǒng)）其他等級要求國家對信息安全產(chǎn)品的使用實行分等級管理信息安全事件實行分等級響應(yīng)、處置的制度68關(guān)于印發(fā)<信息安全等級保護(hù)管理辦法>的通知（公字通[2007]43號）《通知》是政策，《管理辦法》屬于法律法規(guī)四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國信辦國家信息安全等級保護(hù)堅持“自主定級、自主保護(hù)”的原則信息系統(tǒng)的安全保護(hù)等級分為五級實施與管理具體實施等級保護(hù)工作

參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護(hù)實施指南》確定安全保護(hù)等級

參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護(hù)定級指南》系統(tǒng)建設(shè)

參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護(hù)基本要求》等等級測評

參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護(hù)測評要求》二級以上系統(tǒng)的備案要求（由公安機關(guān)頒發(fā)備案證明）三級以上系統(tǒng)的定期自查、測評和檢查要求三級以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求三級以上系統(tǒng)等級保護(hù)測評機構(gòu)的選擇要求涉密信息系統(tǒng)按分級保護(hù)管理（略）對信息安全等級保護(hù)的密碼實行分類分級管理（略）69關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知（公信安[2007]861號）背景根據(jù)國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組2007年的工作部署,公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護(hù)定級工作定級范圍電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)；鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)；市(地)級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)；涉及國家秘密的信息系統(tǒng)(涉密信息系統(tǒng))。工作內(nèi)容摸底調(diào)查、確定等級（等級報告）、評審與審批、備案及管理（備案表）70關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安[2009]1429號）工作目標(biāo)力爭在2012年底前完成已定級信息系統(tǒng)(不含涉密信息系統(tǒng))安全建設(shè)整改工作工作內(nèi)容開展信息安全等級保護(hù)安全管理制度建設(shè),提高信息系統(tǒng)安全管理水平開展信息安全等級保護(hù)安全技術(shù)措施建設(shè),提高信息系統(tǒng)安全保護(hù)能力開展信息系統(tǒng)安全等級測評,使信息系統(tǒng)安全保護(hù)狀況逐步達(dá)到等級保護(hù)要求《信息安全等級保護(hù)安全建設(shè)整改工作指南》參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護(hù)基本要求》信息系統(tǒng)安全建設(shè)整改工作基本流程（管理建設(shè)、技術(shù)建設(shè)）信息安全等級保護(hù)主要標(biāo)準(zhǔn)簡要說明及相互間的關(guān)系（基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類）71關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知（公信安[2010]303號）工作目標(biāo)提高測評機構(gòu)能力，規(guī)范測評活動，確保信息安全等級保護(hù)安全建設(shè)整改工作順利進(jìn)行工作內(nèi)容積極穩(wěn)妥地推動等級測評機構(gòu)建設(shè)確保測評機構(gòu)的水平和能力符合測評工作要求督促備案單位開展信息系統(tǒng)等級測評工作《信息安全等級保護(hù)測評工作管理規(guī)范（試行）》《信息系統(tǒng)安全等級測評報告模版（試行）》另有政策：公信安[2009]1487號72我國信息安全政策的初步成效依托2003年的27號文（總體綱領(lǐng)），明確了信息安全保障工作的總體要求、工作原則和重點工作內(nèi)容圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風(fēng)險評估、等級保護(hù)、電子政務(wù)類、應(yīng)急預(yù)案等）其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認(rèn)證、人員培訓(xùn)和認(rèn)證等十一五：試點

十二五：普及推廣73我國信息安全政策的后續(xù)展望“十一五”期間發(fā)布的各項政策均將進(jìn)入落實期由電子政務(wù)領(lǐng)域向其他領(lǐng)域拓展關(guān)系到國計民生的行業(yè)公共服務(wù)類商業(yè)性、一般業(yè)務(wù)類盡快形成“統(tǒng)一的”信息安全服務(wù)資質(zhì)管理體制基于信息安全服務(wù)類的標(biāo)準(zhǔn)（政策帶動標(biāo)準(zhǔn)，標(biāo)準(zhǔn)支撐政策）統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資質(zhì)由“狹義信息安全”向“廣義信息安全”延伸IT服務(wù)（外包）的信息安全保障新技術(shù)、新應(yīng)用下的信息安全保障74其他一些信息安全政策國家（電子政務(wù)）信息安全政策關(guān)于加強國家重要信息系統(tǒng)災(zāi)難備份工作的意見(信安通[2004]11號)關(guān)于進(jìn)一步加強政府網(wǎng)站安全保障工作的通知（國辦秘函[2010]5號）行業(yè)類信息安全政策六部委關(guān)于加強信息安全管理體系認(rèn)證安全管理的通知（工信部聯(lián)協(xié)[2010]394號）工信部政府部門信息技術(shù)外包服務(wù)機構(gòu)

政府部門信息技術(shù)外包服務(wù)機構(gòu)申請信息安全管理體系認(rèn)證安全審查程序（中華人民共和國工業(yè)和信息化部公告2011年第21號）關(guān)于信息安全產(chǎn)品實施政府采購的通知（財庫[2010]48號）關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)[2011]451號）地方性信息安全政策。。75國外信息安全政策簡介國外信息安全國家政策簡介（以美國為例）克林頓政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：《總統(tǒng)國家安全戰(zhàn)略報告》（首次將信息安全列入）布什政府911之后，成立本土安全部（國土安全部）、國家KIP委員會2002年：《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》2003年：《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃》奧巴馬政府上任之初：60天信息安全評估項目2009年：《美國網(wǎng)絡(luò)安全評估》2010年：網(wǎng)絡(luò)戰(zhàn)司令部正式運行國內(nèi)外信息安全國家政策的差距分析體系性和持續(xù)性、關(guān)注重點、執(zhí)行力度。。76《信息保障技術(shù)框架(IATF)》由國家安全局制定，是信息保障技術(shù)領(lǐng)域中最系統(tǒng)的研究1998年：V1.0、1999年：V2.02000年：V3.0、2002年：V3.1Now：V4.0為保護(hù)美國政府和工業(yè)界的信息與信息基礎(chǔ)設(shè)施提供了技術(shù)指南認(rèn)為信息保障要靠人操作好技術(shù)來實現(xiàn)定義了“信息保障”的系統(tǒng)開發(fā)過程，對系統(tǒng)中硬件和軟件的安全提出要求提出了“深度防御戰(zhàn)略”，確定了包括網(wǎng)絡(luò)與基礎(chǔ)設(shè)施、區(qū)域設(shè)施、計算環(huán)境和支撐性基礎(chǔ)設(shè)施的深度防御目標(biāo)77《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃》2003年是美國第一份專門針對信息安全而推出的國家安全戰(zhàn)略文本，標(biāo)志著國家信息安全政策的獨立地位得到最終確認(rèn)。系統(tǒng)地確定了國家信息安全政策的三個基本要素，即：國家信息安全的8大目標(biāo)(利益)、面臨的主要威脅以及保障手段。確保關(guān)鍵基礎(chǔ)設(shè)施免遭網(wǎng)絡(luò)攻擊減少國家在網(wǎng)絡(luò)安全方面的漏洞降低網(wǎng)絡(luò)攻擊的損失，縮短網(wǎng)絡(luò)恢復(fù)時間建立國家網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)系統(tǒng)需要有長期減少安全威脅或減少漏洞的計劃建立國家網(wǎng)絡(luò)安全技術(shù)交流和培訓(xùn)計劃重點保護(hù)聯(lián)邦政府網(wǎng)絡(luò)（即涉密網(wǎng)）的安全加強國際間的網(wǎng)絡(luò)安全合作對美國網(wǎng)絡(luò)空間面臨的威脅和脆弱性進(jìn)行了闡述，提出了5大優(yōu)先發(fā)展方面和47項行動建議，規(guī)定了聯(lián)邦政府有關(guān)部門、州和地方政府、私人企業(yè)和機構(gòu)以及普通公民的基本職責(zé)和行動方向。奧巴馬政府的新舉措上臺不久就親自主導(dǎo)了一個60天的信息安全評估項目，2009年5月公布了《美國網(wǎng)絡(luò)安全評估》報告，評估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問題，并提出行動計劃（最高層領(lǐng)導(dǎo)、數(shù)字化能力、安全責(zé)任、信息共享和事件反應(yīng)機制5大方面）。成立了網(wǎng)絡(luò)安全辦公室，任命了“網(wǎng)絡(luò)沙皇”為網(wǎng)絡(luò)安全協(xié)調(diào)官。參議院向國會提交了《網(wǎng)絡(luò)安全法》議案。2010年6月，美國國防部正式成立了由戰(zhàn)略司令部領(lǐng)導(dǎo)的網(wǎng)絡(luò)戰(zhàn)司令部（主要進(jìn)行數(shù)字戰(zhàn)爭，防護(hù)針對美軍計算機網(wǎng)絡(luò)的安全威脅）。司令部將于2010年10月正式運行。促使政府對外公布《國家網(wǎng)絡(luò)安全綜合計劃》（即信息安全曼哈頓計劃）的概要，實行政策透明，以獲得民眾對政策的理解。79《國家網(wǎng)絡(luò)安全綜合計劃（CNCI）》

（信息安全曼哈頓計劃）1基本假設(shè)：如果“電子珍珠港”事件發(fā)生，將會使整個社會陷入混亂，從而嚴(yán)重威脅到美國的國家利益。（漏洞百出的計算機網(wǎng)絡(luò)又將會高度放大這種風(fēng)險）《國家網(wǎng)絡(luò)安全綜合計劃》是由小布什政府于2008年1月以雙總統(tǒng)令的方式發(fā)布的，高度、強度和廣度體現(xiàn)了強烈的國家意志，在未來5-7年內(nèi)，預(yù)算投入高達(dá)300-400億美元，總牽頭部門為國土安全部，又稱為信息安全的“曼哈頓計劃”。2010年3月，奧巴馬政府對該計劃的部分內(nèi)容進(jìn)行了解密（3大目標(biāo)）。建立應(yīng)對當(dāng)前緊迫威脅的防線---解決現(xiàn)實問題全面應(yīng)對各類威脅---解決失泄密問題和供應(yīng)鏈安全問題強化未來網(wǎng)絡(luò)安全環(huán)境80《國家網(wǎng)絡(luò)安全綜合計劃（CNCI）》

（信息安全曼哈頓計劃）22010年3月，奧巴馬政府對該計劃的部分內(nèi)容進(jìn)行了解密（12項提議）。通過“可信互聯(lián)網(wǎng)連接”，將聯(lián)邦政府網(wǎng)絡(luò)系統(tǒng)作為單一網(wǎng)絡(luò)加以管理部署一個覆蓋整個聯(lián)邦政府的網(wǎng)絡(luò)入侵感應(yīng)系統(tǒng)在所有聯(lián)邦機構(gòu)中安裝網(wǎng)絡(luò)入侵防御系統(tǒng)協(xié)調(diào)和引導(dǎo)相關(guān)研發(fā)工作實現(xiàn)網(wǎng)絡(luò)安全行動中心的互聯(lián)互通，提高對網(wǎng)絡(luò)威脅的感知能力制定并執(zhí)行政府網(wǎng)絡(luò)反情報計劃增強涉密網(wǎng)絡(luò)安全加強網(wǎng)絡(luò)教育在技術(shù)、戰(zhàn)略和計劃等各方面保持長期、大幅度的領(lǐng)先地位制定有效的威懾戰(zhàn)略和計劃建立全方位的全球供應(yīng)鏈風(fēng)險管理機制界定聯(lián)邦政府在維護(hù)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全方面的作用81美國信息安全管理體制審計總署（GAO）：為國會工作的、獨立的、無黨派的機構(gòu)，負(fù)責(zé)核查與信息安全相關(guān)的公共基金的使用情況，評估聯(lián)邦政府信息安全的項目和工作。行政管理和預(yù)算局（OMB）：負(fù)責(zé)制定和監(jiān)督政府部門有關(guān)信息安全的政策、原則、標(biāo)準(zhǔn)和指導(dǎo)方針。對政府機關(guān)的信息安全項目進(jìn)行一年一度的評價。國防部（DOD）：由其下屬的國家安全局（NSA）和全國計算機安全中心負(fù)責(zé)國家信息保障事務(wù)。國家安全局主要負(fù)責(zé)保密信息系統(tǒng)(國家安全系統(tǒng))的信息安全工作。國土安全部（DHS）：是“911”后新組建的部門，主要負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和計算機安全、信息管理標(biāo)準(zhǔn)的制定、信息共享等。國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）：隸屬于商務(wù)部，它協(xié)助政府和產(chǎn)業(yè)界進(jìn)行各類安全技術(shù)的開發(fā)、推廣應(yīng)用，還負(fù)責(zé)制定安全技術(shù)和安全產(chǎn)品的國家和國際標(biāo)準(zhǔn)。82知識域：信息安全從業(yè)人員道德規(guī)范知識子域：信息安全從業(yè)人員基本道德規(guī)范理解信息安全從業(yè)人員應(yīng)遵守的道德規(guī)范知識子域：CISP職業(yè)準(zhǔn)則理解《CISP職業(yè)道德準(zhǔn)則》83信息安全從業(yè)人員基本道德規(guī)范榮譽和恥辱，是榮辱觀中的一對基本范疇，是指社會對人們行為褒貶評價以及人們對這種評價的自我感受。胡錦濤總書記提出的以“八榮八恥”為核心的社會主義榮辱觀，是對中華民族歷久彌新的民族精神和傳統(tǒng)美德的提煉和升華，具有很強的時代性和針對性。結(jié)合社會主義榮辱觀理解信息安全從業(yè)人員應(yīng)遵守的道德規(guī)范84CISP職業(yè)道德準(zhǔn)則一、維護(hù)國家、社會和公眾的信息安全1）自覺維護(hù)國家信息安全，拒絕并抵制泄露國家秘密和破壞國家信息基礎(chǔ)設(shè)施的行為；2）自覺維護(hù)網(wǎng)絡(luò)社會安全，拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)謀取非法利益和破壞社會和諧的行為；3）自覺維護(hù)公眾信息安全，拒絕并抵制通過計算機網(wǎng)絡(luò)系統(tǒng)侵犯公眾合法權(quán)益和泄露個人隱私的行為。85CISP職業(yè)道德準(zhǔn)則二、誠實守信，遵紀(jì)守法1）不通過計算機網(wǎng)絡(luò)系統(tǒng)進(jìn)行造謠、欺詐、誹謗、弄虛作假等違反誠信原則的行為；2）不利用個人的信息安全技術(shù)能力實施或組織各種違法犯罪行為；3）不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件。86CISP職業(yè)道德準(zhǔn)則三、努力工作，盡職盡責(zé)1）熱愛信息安全工作崗位，充分認(rèn)識信息安全專業(yè)工作的責(zé)任和使命；2）為發(fā)現(xiàn)和消除本單位或雇主的信息系統(tǒng)安全風(fēng)險做出應(yīng)有的努力和貢獻(xiàn)；3）幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力，為有需要的人謹(jǐn)慎負(fù)責(zé)地提出應(yīng)對信息安全問題的建議和幫助。87CISP職業(yè)道德準(zhǔn)則四、發(fā)展自身，維護(hù)榮譽1）通過持續(xù)學(xué)習(xí)保持并提升自身的信息安全知識；2）利用日常工作、學(xué)術(shù)交流等各種方式保持和提升信息安全實踐能力；3）以CISP身份為榮，積極參與各種證后活動，避免任何損害CISP聲譽形象的行為。88國際信息安全職業(yè)聯(lián)盟(ISC)2

職業(yè)道德準(zhǔn)則（CodeofEthics）89信息系統(tǒng)審計和控制協(xié)會(ISACA)

職業(yè)道德規(guī)范（CodeofEthics）適用范圍：ISACA會員、CISA、CISM、CGEIT、CRISC等1.支持實施和鼓勵,適當(dāng)及有效的企業(yè)信息系統(tǒng)治理標(biāo)準(zhǔn)和和技術(shù),包括審計、控制、安全和風(fēng)險管理等范疇。2.以客觀、盡責(zé)的專業(yè)標(biāo)準(zhǔn)履行職責(zé)。3.以合法的方式為利益相關(guān)者服務(wù),同時保持高標(biāo)準(zhǔn)的行為和品格,也絕不參與抹黑行業(yè)或協(xié)會的行為。4.維護(hù)其在履行職責(zé)時獲取的信息的隱私性和機密性,除非是合法性的披露,否則資料不得用于個人利益或釋放到不適當(dāng)?shù)娜耸俊?.在各自的領(lǐng)域保持競爭力,并同意僅參與那些能夠按照所具備的技能、知識和能