我國信息安全法律法規(guī)及電力行業(yè)制度要求

學(xué)習(xí)時長：80分鐘2015/05/19我國信息安全法律法規(guī)及電力行業(yè)制度要求1國家信息安全法治總體情況合規(guī)概述信息安全法規(guī)與政策課程內(nèi)容目錄中國南方電網(wǎng)有限責(zé)任公司2354信息安全標(biāo)準(zhǔn)55電力行業(yè)信息安全推進情況1國家信息安全法治總體情況我國信息安全法律法規(guī)及電力行業(yè)制度要求1.1我國信息安全法律法規(guī)體系框架1.2我國信息安全法治建設(shè)進程1.3國家信息安全保障體系國家信息安全法治總體情況中國南方電網(wǎng)有限責(zé)任公司1.1我國信息安全法律法規(guī)體系框架法律法規(guī)地方人民政府地方人大及常委會國務(wù)院全國人大及其常委會法律行政法規(guī)地方性法規(guī)地方政府規(guī)章部門規(guī)章計算機信息系統(tǒng)安全保護條例互聯(lián)網(wǎng)信息服務(wù)管理辦法商用密碼管理條例中辦27號文公安部（等級保護相關(guān)規(guī)定）發(fā)改委（）國新辦（互聯(lián)網(wǎng)新聞信息服務(wù)）保密局（保密等）...國務(wù)院各部委憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法...中國南方電網(wǎng)有限責(zé)任公司1.2我國信息安全法治建設(shè)進程國家信息安全法治總體情況通訊保密安全保守國家秘密法（1989）（2010年修訂）中央關(guān)于加強密碼工作的決定計算機信息系統(tǒng)安全保護條例（草案）-86計算機系統(tǒng)安全計算機信息系統(tǒng)

安全保護條例（1994）計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法-97計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法-97計算機信息系統(tǒng)保密管理暫行規(guī)定-98商用密碼管理條例-99網(wǎng)絡(luò)信息系統(tǒng)安全關(guān)于維護互聯(lián)網(wǎng)安全的決定（2000）互聯(lián)網(wǎng)信息服務(wù)管理辦法計算機病毒防治管理辦法計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定全面信息安全保障《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號2005年9月國信辦文件《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級保護實施指南》的通知》國信辦[2004]25號2006年1月四部委會簽《關(guān)于印發(fā)《信息安全等級保護管理辦法的通知》公通字[2006]7號2005年公安部標(biāo)準(zhǔn)《基本要求》《定級指南》《實施指南》《測評準(zhǔn)則》2004年11月四部委會簽《關(guān)于信息安全等級保護工作的實施意見》公通字[2004]66號國家級技術(shù)標(biāo)準(zhǔn)國家級政策文件2007年8月電監(jiān)會簽發(fā)《關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》（電監(jiān)信息[2007]34號）行業(yè)級政策文件1.3國家信息安全保障體系國家信息安全法治總體情況信息安全技術(shù)與產(chǎn)業(yè)支撐平臺信息安全基礎(chǔ)設(shè)施信息安全法律法規(guī)與政策環(huán)境信息安全人才培訓(xùn)教育體系信息安全組織機構(gòu)及管理體系信息安全標(biāo)準(zhǔn)與規(guī)范1.3國家信息安全保障體系-信息安全法治建設(shè)的意義信息安全法律環(huán)境是信息安全保障體系中的必要環(huán)節(jié)明確信息安全的基本原則和基本制度、信息安全保障體系的建設(shè)、信息安全相關(guān)行為的規(guī)范、信息安全中各方權(quán)利義務(wù)明確違反信息安全的行為，并對其行為進行相應(yīng)的處罰等信息安全不再只是個技術(shù)問題，而更多地是個商業(yè)和法律問題---安全漏洞、信息犯罪的本質(zhì)？信息安全產(chǎn)業(yè)的逐漸形成和成熟，需要必要的規(guī)范保護國家信息主權(quán)和社會公共利益是信息安全立法的首要目標(biāo)狹義的信息安全

廣義的信息安全國家信息安全法治總體情況1.3國家信息安全保障體系---我國信息安全法治建設(shè)的初步成效、展望初步成效法律法規(guī)體系初步構(gòu)建，但體系化與有效性等方面仍有待進一步完善;與信息安全相關(guān)的司法和行政管理體系迅速完善;法律少而規(guī)章等偏多，缺乏信息安全的基本法;法律法規(guī)的內(nèi)容篇幅偏小，行為規(guī)范較簡單展望需要一部信息安全的基本法《國家信息安全法》（或先出臺《信息安全條例》）;信息安全的基本原則與基本制度;信息安全的主要核心內(nèi)容;進一步完善各領(lǐng)域的信息安全專門法;信息安全的監(jiān)管模式和認證體系（面向信息安全各類主體和客體）;信息安全常態(tài)管理（等級保護制度等）;信息安全應(yīng)急管理（預(yù)警、監(jiān)測、通報和應(yīng)急處理等）;網(wǎng)絡(luò)與信息系統(tǒng)全生命周期的信息安全;特定領(lǐng)域的信息安全國家信息安全法治總體情況2合規(guī)概述我國信息安全法律法規(guī)及電力行業(yè)制度要求2.1什么是合規(guī)2.2合規(guī)與遵守法律的區(qū)別2.3相關(guān)法規(guī)分析合規(guī)概述2.1什么是合規(guī)---定義及目標(biāo)合規(guī)簡而言之就是要符合法律、法規(guī)、政策及相關(guān)規(guī)則、標(biāo)準(zhǔn)的約定。在信息安全領(lǐng)域內(nèi)，等級保護、計算機安全產(chǎn)品銷售許可、密碼管理等，是典型的合規(guī)性要求。合規(guī)管理的目標(biāo)是為了滿足監(jiān)管要求,避免在企業(yè)自身發(fā)展過程中因與法律、規(guī)則和準(zhǔn)則不一致而可能遭受法律制裁、監(jiān)管機構(gòu)處罰以及財務(wù)與聲譽的損失,實現(xiàn)穩(wěn)健經(jīng)營。合規(guī)概述2.1什么是合規(guī)---法律與法規(guī)的區(qū)別制定主體不同法律的制定者是全國人大；法規(guī)可以是多個主體。效力和影響力不同法律的效力和影響力遠大于法規(guī)。適用范圍不同法律一般是全國通用；法規(guī)分全國范圍或某一單位區(qū)域適用。承擔(dān)的責(zé)任不同違反法律須承擔(dān)相應(yīng)的刑事、民事責(zé)任。合規(guī)概述2.2合規(guī)與遵守法律的區(qū)別法律合規(guī)法律是國家意志的統(tǒng)一體現(xiàn)，有嚴(yán)密的邏輯體系，有不同的位階和效力合規(guī)是遵守法律、監(jiān)管規(guī)定、國際慣例和事物標(biāo)準(zhǔn)，不同時期不同的要求法律都可以文字形式表現(xiàn)出來合規(guī)以判別、評估、咨詢、監(jiān)控并報告體現(xiàn)違法犯罪的后果有明確規(guī)定，是一種“硬約束”不合規(guī)行為的后果，即包含“軟約束”又包含“硬約束”。合規(guī)是遵循法律法規(guī)、監(jiān)管要求、規(guī)則、自律性組織制定的有關(guān)準(zhǔn)則、整理融合后適用于企業(yè)自身業(yè)務(wù)活動的行為準(zhǔn)則。合規(guī)概述2.3相關(guān)法規(guī)分析Cobit5國外標(biāo)準(zhǔn)國內(nèi)標(biāo)準(zhǔn)行業(yè)要求內(nèi)部制度合規(guī)庫ITILISO27001指標(biāo)評價實施GBT22239等級保護基本要求.GBT284489等級保護測評要求ISO27001信息安全管理體系要求能源局電力行業(yè)信息安全檢查方案中央企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引電力行業(yè)等級保護基本要求中央企業(yè)信息化水平評價指標(biāo)體系信息系統(tǒng)應(yīng)用開發(fā)安全技術(shù)規(guī)范信息安全工作執(zhí)行標(biāo)準(zhǔn)要求IT主流設(shè)備安全基線體系要求檢查落實3信息安全法規(guī)與政策我國信息安全法律法規(guī)及電力行業(yè)制度要求3.1信息安全法規(guī)3.2信息安全政策信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)信息安全相關(guān)國家法律了解《中華人民共和國憲法》有關(guān)信息安全的內(nèi)容了解《中華人民共和國刑法》有關(guān)信息安全犯罪的規(guī)定了解《中華人民共和國治安管理處罰法》有關(guān)信息安全的內(nèi)容掌握《中華人民共和國保守國家秘密法》的主要內(nèi)容掌握《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》的內(nèi)容理解《中華人民共和國電子簽名法》的意義和作用了解《中華人民共和國侵權(quán)責(zé)任法》有關(guān)信息安全的內(nèi)容信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)國家法律公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密?！稇椃ā返诙鹿竦幕緳?quán)利和義務(wù)第40條《憲法》中的有關(guān)規(guī)定法律信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)國家法律285條：非法侵入計算機信息系統(tǒng)罪；非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪；提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪。286條：破壞計算機信息系統(tǒng)罪。287條：利用計算機實施犯罪的提示性規(guī)定。253條：出售、非法提供公民個人信息罪；非法獲取公民個人信息罪《刑法》第六章妨礙社會管理秩序罪第一節(jié)擾亂公共秩序罪第285、286、287條《刑法》中的有關(guān)規(guī)定（1）法律《刑法》第四章侵犯公民人身權(quán)利、民主權(quán)利罪第253條信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)國家法律有下列行為之一的，處以治安管理處罰：（一）違反國家規(guī)定，侵入計算機信息系統(tǒng)，造成危害的；（二）違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行的；（三）違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的；（四）故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統(tǒng)正常運行的?！吨伟补芾硖幜P法》其他規(guī)定（與非法信息傳等播相關(guān)）：第42、47、68條《治安管理處罰法》第三章違反治安管理的行為和處罰第一節(jié)擾亂公共秩序的行為和處罰第29條《治安管理處罰法》中的有關(guān)規(guī)定法律信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)國家法律主旨（總則）目的：保守國家秘密，維護國家安全和利益。國家秘密是關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項。國家秘密受法律保護。一切單位和公民都有保守國家秘密的義務(wù)。國家保密行政管理部門主管全國的保密工作。保密工作責(zé)任制：健全保密管理制度，完善保密防護措施，開展保密宣傳教育，加強保密檢查。國家秘密的范圍：國家事務(wù)、國防武裝、外交外事、政黨秘密；國民經(jīng)濟和社會發(fā)展、科學(xué)技術(shù)；維護國家安全的活動、經(jīng)保密主管部門確定的事項等國家秘密的密級絕密---最重要的國家秘密，保密期限不超過30年；機密---重要的國家秘密，保密期限不超過20年；秘密---一般的國家秘密，保密期限不超過10年?！侗Ｊ貒颐孛芊ā罚ūＣ芊ǎ?）法律信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)國家法律法律責(zé)任（第48條人員處分及追究刑責(zé)）（一）非法獲取、持有國家秘密載體的；（二）買賣、轉(zhuǎn)送或者私自銷毀國家秘密載體的；（三）通過普通郵政、快遞等無保密措施的渠道傳遞國家秘密載體的；（四）郵寄、托運國家秘密載體出境，或者未經(jīng)有關(guān)主管部門批準(zhǔn)，攜帶、傳遞國家秘密載體出境的；（五）非法復(fù)制、記錄、存儲國家秘密的；（六）在私人交往和通信中涉及國家秘密的；（七）在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密的；（八）將涉密計算機、涉密存儲設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)的；（九）在未采取防護措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進行信息交換的；（十）使用非涉密計算機、非涉密存儲設(shè)備存儲、處理國家秘密信息的；（十一）擅自卸載、修改涉密信息系統(tǒng)的安全技術(shù)程序、管理程序的；（十二）將未經(jīng)安全技術(shù)處理的退出使用的涉密計算機、涉密存儲設(shè)備贈送、出售、丟棄或者改作其他用途的。有前款行為尚不構(gòu)成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機關(guān)、單位予以處理?！侗Ｊ貒颐孛芊ā罚ūＣ芊ǎ?）法律信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)國家法律《全國人大關(guān)于維護互聯(lián)網(wǎng)安全的決定》背景法律約束力法律責(zé)任互聯(lián)網(wǎng)日益廣泛的應(yīng)用，對于加快我國國民經(jīng)濟、科學(xué)技術(shù)的發(fā)展和社會服務(wù)信息化進程具有重要作用。如何保障互聯(lián)網(wǎng)的運行安全和信息安全問題已經(jīng)引起全社會的普遍關(guān)注?；ヂ?lián)網(wǎng)的運行安全（侵入、破壞性程序、攻擊、中斷服務(wù)等）國家安全和社會穩(wěn)定（有害信息、竊取/泄露國家秘密、煽動、非法組織等）市場經(jīng)濟秩序和社會管理秩序（銷售偽劣產(chǎn)品/虛假宣傳、損害商業(yè)信譽、侵犯知識產(chǎn)權(quán)、擾亂金融秩序、淫穢內(nèi)容服務(wù)等）個人、法人和其他組織的人身、財產(chǎn)等合法權(quán)利（侮辱或誹謗他人、非法處理他人信息數(shù)據(jù)/侵犯通信自有和通信秘密、盜竊/詐騙/敲詐勒索等）構(gòu)成犯罪的，依照刑法有關(guān)規(guī)定追究刑事責(zé)任構(gòu)成民事侵權(quán)的，依法承擔(dān)民事責(zé)任尚不構(gòu)成犯罪的：治安管理處罰/行政處罰/行政處分或紀(jì)律處分法律信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)國家法律《電子簽名法》意義目的適用范圍2005年4月1日正式施行的《電子簽名法》，被稱為“中國首部真正意義上的信息化法律”，自此電子簽名與傳統(tǒng)手寫簽名和蓋章具有同等的法律效力。為了規(guī)范電子簽名行為，確立電子簽名的法律效力，維護有關(guān)各方的合法權(quán)益，制定本法。民事活動中的合同或者其他文件、單證等文書。電子簽名和數(shù)據(jù)電文不適用的文書（國際慣例）：涉及證明人身關(guān)系的、涉及不動產(chǎn)權(quán)益轉(zhuǎn)讓的、涉及停止公共事業(yè)服務(wù)的、法律法規(guī)所規(guī)定的不適用電子文書的其他情形。法律信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)國家法律《侵權(quán)責(zé)任法》目的適用范圍關(guān)于責(zé)任主體的特殊規(guī)定為保護民事主體的合法權(quán)益，明確侵權(quán)責(zé)任，預(yù)防并制裁侵權(quán)行為，促進社會和諧穩(wěn)定，制定本法。侵害民事權(quán)益，應(yīng)當(dāng)依照本法承擔(dān)侵權(quán)責(zé)任。（本法所稱民事權(quán)益，包括生命權(quán)、健康權(quán)、姓名權(quán)、名譽權(quán)、榮譽權(quán)、肖像權(quán)、隱私權(quán)、婚姻自主權(quán)、監(jiān)護權(quán)、所有權(quán)、用益物權(quán)、擔(dān)保物權(quán)、著作權(quán)、專利權(quán)、商標(biāo)專用權(quán)、發(fā)現(xiàn)權(quán)、股權(quán)、繼承權(quán)等人身、財產(chǎn)權(quán)益。）第36條網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。網(wǎng)絡(luò)用戶利用網(wǎng)絡(luò)服務(wù)實施侵權(quán)行為的，被侵權(quán)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等必要措施。網(wǎng)絡(luò)服務(wù)提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。網(wǎng)絡(luò)服務(wù)提供者知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。法律信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)信息安全相關(guān)行政法規(guī)和部門規(guī)章了解信息安全相關(guān)行政法規(guī)，掌握涉及信息安全的相關(guān)內(nèi)容了解信息安全相關(guān)部門規(guī)章，掌握涉及信息安全的相關(guān)內(nèi)容信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)行政法規(guī)和部門規(guī)章行政法規(guī)《計算機信息系統(tǒng)安全保護條例》計算機信息系統(tǒng)安全保護主管部門保障計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運行環(huán)境的安全，保障信息的安全，保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。公安部主管全國計算機信息系統(tǒng)安全保護工作（含安全監(jiān)督職權(quán)）。國家安全部、國家保密局和國務(wù)院其他有關(guān)部門，在國務(wù)院規(guī)定的職責(zé)范圍內(nèi)做好計算機信息系統(tǒng)安全保護的有關(guān)工作。保護制度計算機信息系統(tǒng)實行安全等級保護。使用單位應(yīng)當(dāng)建立健全安全管理制度。安全專用產(chǎn)品（硬件、軟件）的銷售實行許可證制度。是指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)行政法規(guī)和部門規(guī)章行政法規(guī)《商用密碼管理條例》商用密碼是指對不涉及國家秘密內(nèi)容的信息進行加密保護或者安全認證所使用的密碼技術(shù)和密碼產(chǎn)品。商用密碼技術(shù)屬于國家秘密。

主管部門國家密碼管理委員會及其辦公室主管全國的商用密碼管理工作。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾?。管理要點商密產(chǎn)品由國家密碼管理機構(gòu)分別指定單位進行科研、生產(chǎn)和檢測；商密產(chǎn)品銷售單位應(yīng)有國家密碼管理機構(gòu)頒發(fā)的《商用密碼產(chǎn)品銷售許可證》；必須如實登記備案直接使用商用密碼產(chǎn)品的用戶信息和產(chǎn)品用途；不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品；不得轉(zhuǎn)讓其使用的商用密碼產(chǎn)品（含故障維修、報廢銷毀）。信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)行政法規(guī)和部門規(guī)章《計算機信息系統(tǒng)保密管理暫行規(guī)定》適用范圍適用于采集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統(tǒng)。主管部門國家保密局主管全國計算機信息系統(tǒng)的保密工作。管理要點涉密系統(tǒng)---保密設(shè)施、保密措施、訪問控制、數(shù)據(jù)保護等涉密信息---密級標(biāo)識、物理隔離等涉密媒體---各類計算機媒體（含打印輸出等）涉密場所---控制區(qū)、防電磁信息泄漏、其他物理安全等系統(tǒng)管理---領(lǐng)導(dǎo)負責(zé)制、管理制度、保密檢查、人員培訓(xùn)和考核等。部門規(guī)章信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---信息安全相關(guān)行政法規(guī)和部門規(guī)章國家電子政務(wù)工程建設(shè)項目管理暫行辦法驗收評價項目建設(shè)單位應(yīng)在完成項目建設(shè)任務(wù)后的半年內(nèi),組織完成建設(shè)項目的信息安全風(fēng)險評估和初步驗收工作。運行管理項目建設(shè)單位或其委托的專業(yè)機構(gòu)應(yīng)按照風(fēng)險評估的相關(guān)規(guī)定,對建成項目進行信息安全風(fēng)險評估,檢驗其網(wǎng)絡(luò)和信息系統(tǒng)對安全環(huán)境變化的適應(yīng)性及安全措施的有效性,保障信息安全目標(biāo)的實現(xiàn)。設(shè)計方案在“項建和可研”的項目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案”在“初設(shè)”的項目設(shè)計方案中應(yīng)包含“安全系統(tǒng)設(shè)計”部門規(guī)章信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)國外信息安全相關(guān)法規(guī)簡介國外信息安全法律法規(guī)簡介（以美國為例）《信息自由法》（FreedomofInformationActof1966，F(xiàn)OIA）《愛國者法》（USAPatriotofActof2001）《聯(lián)邦信息安全管理法案》（FederalInformationSecurityManagementActof2002，F(xiàn)ISMA）屬于《電子政務(wù)法》（theE-GovernmentActof2002）的第三部分《公眾公司會計改革與投資者保護法》，又名《薩班斯-奧克斯利法》（Sarbanes-OxleyActof2002）信息安全法規(guī)與政策3.1信息安全相關(guān)法規(guī)---國外信息安全相關(guān)法規(guī)簡介以美國為例《信息自由法》《愛國者法》《聯(lián)邦信息安全管理法案》美國對政府信息進行立法保護的首要原則是向公眾公開原則（也叫信息公開原則），是構(gòu)成其他信息安全保護法律的基礎(chǔ)該法案主要是保障公民的個人自由，但也需要保障國家的安全，因此，該法利用“例外”的立法方式，將需要保護的信息加以列舉是“9.11”事件以后美國為保障國家安全頒布的最為重要的一部法律，也是目前爭議最大的一部法律。從法律上授予美國國內(nèi)執(zhí)法機構(gòu)和國際情報機構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動，使美國人民能夠生活在安全的環(huán)境中。由于該法賦予聯(lián)邦政府的權(quán)力過大，引起美國國內(nèi)民權(quán)人士的擔(dān)憂，并產(chǎn)生訴案。該法還對美國現(xiàn)有的十幾部法律做出了修改政府可以對國外銀行和對私人存戶達到100萬美元以上的賬戶進行盡職調(diào)查給出了“信息安全”的定義對國家信息安全管理職責(zé)的授權(quán)國家標(biāo)準(zhǔn)與技術(shù)局（NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標(biāo)準(zhǔn)與指南管理與預(yù)算辦公室（OMB）主任對安全政策、原則、標(biāo)準(zhǔn)、指南等的制定、執(zhí)行（包括遵守）情況進行監(jiān)督法律信息安全法規(guī)與政策3.2信息安全相關(guān)政策國家信息安全保障總體情況掌握國家有關(guān)政策對信息安全保障工作的總體方針和要求掌握國家有關(guān)政策規(guī)定的加強信息安全保障工作主要原則掌握國家有關(guān)政策規(guī)定需要重點加強的信息安全保障工作信息安全法規(guī)與政策3.1信息安全相關(guān)政策---國家信息安全保障總體情況我國信息安全政策的初步成效、后續(xù)展望初步成效后續(xù)展望依托2003年的27號文（總體綱領(lǐng)），明確了信息安全保障工作的總體要求、工作原則和重點工作內(nèi)容圍繞信息安全保障體系，廣度結(jié)合深度，制定、發(fā)布并落實了一些典型的信息安全政策（風(fēng)險評估、等級保護、電子政務(wù)類、應(yīng)急預(yù)案等）其他領(lǐng)域：災(zāi)難備份、管理體系、監(jiān)控、應(yīng)急、信任體系、產(chǎn)品和服務(wù)認證、人員培訓(xùn)和認證等“十一五”期間發(fā)布的各項政策均將進入落實期由電子政務(wù)領(lǐng)域向其他領(lǐng)域拓展盡快形成“統(tǒng)一的”信息安全服務(wù)資質(zhì)管理體制基于信息安全服務(wù)類的標(biāo)準(zhǔn)（政策帶動標(biāo)準(zhǔn)，標(biāo)準(zhǔn)支撐政策）統(tǒng)一安全服務(wù)行業(yè)的企業(yè)資質(zhì)和人員資質(zhì)由“狹義信息安全”向“廣義信息安全”延伸IT服務(wù)（外包）的信息安全保障新技術(shù)、新應(yīng)用下的信息安全保障信息安全法規(guī)與政策3.2信息安全相關(guān)政策---國家信息安全保障總體情況《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）意義總體方針和要求主要原則標(biāo)志著我國信息安全保障工作有了總體綱領(lǐng)提出要在5年內(nèi)建設(shè)中國信息安全保障體系堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。立足國情，以我為主，堅持技術(shù)與管理并重；正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作；明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。信息安全法規(guī)與政策3.2信息安全相關(guān)政策信息安全相關(guān)國家政策了解信息安全相關(guān)國家政策，掌握風(fēng)險評估等涉及信息安全的相關(guān)內(nèi)容掌握信息安全等級保護政策體系，熟悉信息安全等級保護相關(guān)政策信息安全法規(guī)與政策3.2信息安全相關(guān)政策---信息安全相關(guān)國家政策關(guān)于開展信息安全風(fēng)險評估工作的意見（國信辦[2006]5號）信息安全風(fēng)險評估（基于風(fēng)險管理）基本工作要求相關(guān)保障應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程（設(shè)計、驗收、運維）定期組織實施網(wǎng)絡(luò)與信息系統(tǒng)自評估，并積極配合有關(guān)部門的檢查評估參照標(biāo)準(zhǔn):《信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）、

《信息安全風(fēng)險管理指南》（GB/Z24364-2009）服務(wù)資質(zhì)對于涉及國計民生的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估技術(shù)服務(wù)，要由國家?？氐年犖閬沓袚?dān)系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性評估安全事件一旦發(fā)生可能造成的危害程度提出有針對性的抵御威脅的防護對策和整改措施信息安全法規(guī)與政策3.2信息安全相關(guān)政策---信息安全相關(guān)國家政策關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知（國辦發(fā)[2008]17號）明確職責(zé)強化人員培訓(xùn)完善安全措施和手段組織信息安全和保密基本技能培訓(xùn)，開展信息安全和保密形勢分析深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定管理制度+技術(shù)手段加強信息安全檢查詳見《政府信息系統(tǒng)安全檢查辦法》把信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導(dǎo)誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)信息安全法規(guī)與政策3.2信息安全相關(guān)法規(guī)---信息安全相關(guān)國家政策關(guān)于印發(fā)國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案的通知（國辦函[2008]168號）背景2003年：國務(wù)院成立應(yīng)急辦，頒布了《國家突發(fā)公共衛(wèi)生事件應(yīng)急條例》2006年：《國家突發(fā)公共事件總體應(yīng)急預(yù)案》（4大類公共事件）

《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》2007年：制定發(fā)布《國家突發(fā)事件應(yīng)對法》

預(yù)案要點網(wǎng)絡(luò)與信息安全事件的分類分級參照標(biāo)準(zhǔn)：《信息安全事件分類分級指南》（GB/Z20986）應(yīng)急流程：預(yù)防預(yù)警—應(yīng)急處置—后期處置參照標(biāo)準(zhǔn)：《信息安全事件管理指南》（GB/Z20985）組織體系和應(yīng)急保障；應(yīng)急隊伍、經(jīng)費、物資、通信、科技。。。監(jiān)督管理宣傳教育、培訓(xùn)、演練、責(zé)任與獎懲信息安全法規(guī)與政策3.2信息安全相關(guān)政策---信息安全相關(guān)國家政策關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技[2008]2071號）依據(jù)和目的風(fēng)險評估的主要內(nèi)容兩類信息系統(tǒng)的工作開展分析信息系統(tǒng)資產(chǎn)的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風(fēng)險的影響等涉密信息系統(tǒng)參照“分級保護”，進行系統(tǒng)測評并履行審批手續(xù)非涉密信息系統(tǒng)參照“等級保護”，完成等級測評和風(fēng)險評估工作，并形成相關(guān)報告相關(guān)要點對信息安全風(fēng)險評估機構(gòu)的指定（1家+3家）信息安全風(fēng)險評估經(jīng)費計入該項目總投資投入運行后，應(yīng)定期開展信息安全風(fēng)險評估）《國家電子政務(wù)工程建設(shè)項目管理暫行辦法》---國家發(fā)改委令[2007]第55號三部委聯(lián)合發(fā)文：發(fā)改委、公安部、保密局將“信息安全風(fēng)險評估”作為項目驗收的重要內(nèi)容（按要求提交一系列文檔）信息安全法規(guī)與政策3.2信息安全相關(guān)法規(guī)---信息安全相關(guān)國家政策關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（國辦發(fā)[2009]28號）依據(jù)《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》（國辦發(fā)[2008]17號）檢查范圍和檢查重點各級政府及其部門對自行運行和維護管理以及委托其他機構(gòu)進行和維護管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進行一次全面的安全檢查。國務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點。檢查方式各單位自查+統(tǒng)一組織抽查+安全檢測（按需）工信部負責(zé)協(xié)調(diào)、指導(dǎo)、監(jiān)督，公安/安全/保密/密碼等部門按職責(zé)分工《2009年度政府信息系統(tǒng)安全檢查指南》（工信部協(xié)[2009]168號）《2010年度政府信息系統(tǒng)安全檢查指南》（工信部協(xié)[2010]143號）信息安全法規(guī)與政策3.2信息安全相關(guān)法規(guī)---信息安全相關(guān)國家政策工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全，為切實加強工業(yè)控制系統(tǒng)信息安全管理，經(jīng)國務(wù)院同意，現(xiàn)就有關(guān)事項通知如下：充分認識加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度進一步加強工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導(dǎo)關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知（工信部協(xié)[2011]451號）信息安全法規(guī)與政策3.2信息安全相關(guān)法規(guī)---信息安全相關(guān)國家政策GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》第一級:用戶自主保護級；第二級:系統(tǒng)審計保護級；第三級:安全標(biāo)記保護級；第四級:結(jié)構(gòu)化保護級；第五級:訪問驗證保護級；等級保護《中華人民共和國計算機信息系統(tǒng)安全保護條例》（1994年國務(wù)院147號令）信息安全法規(guī)與政策3.2信息安全相關(guān)政策---信息安全相關(guān)國家政策（信息安全等級保護法規(guī)政策體系）信息安全法規(guī)與政策3.2信息安全相關(guān)法規(guī)---信息安全相關(guān)國家政策關(guān)于印發(fā)<信息安全等級保護管理辦法>的通知（公字通[2007]43號）《通知》是政策，《管理辦法》屬于部門規(guī)章四部委聯(lián)合發(fā)文：公安部、保密局、密碼管理局、原國信辦國家信息安全等級保護堅持“自主定級、自主保護”的原則信息系統(tǒng)的安全保護等級分為五級實施與管理具體實施等級保護工作參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護實施指南》確定安全保護等級參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護定級指南》系統(tǒng)建設(shè)參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護基本要求》等等級測評參照標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護測評要求》二級以上系統(tǒng)的備案要求（由公安機關(guān)頒發(fā)備案證明）三級以上系統(tǒng)的定期自查、測評和檢查要求三級以上系統(tǒng)的信息安全產(chǎn)品選擇使用要求三級以上系統(tǒng)等級保護測評機構(gòu)的選擇要求涉密信息系統(tǒng)按分級保護管理（略）對信息安全等級保護的密碼實行分類分級管理（略）信息安全法規(guī)與政策3.2信息安全相關(guān)法規(guī)---信息安全相關(guān)國家政策關(guān)于信息安全等級保護工作的實施意見（公字通[2004]66號）信息和信息系統(tǒng)的安全保護等級（及其適用范圍）第一級為自主保護級第二級為指導(dǎo)保護級第三級為監(jiān)督保護級第四級為強制保護級第五級為?？乇Ｗo級定級依據(jù)根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度實施要求完善標(biāo)準(zhǔn),分類指導(dǎo)（管理規(guī)范和技術(shù)標(biāo)準(zhǔn)）科學(xué)定級,嚴(yán)格備案（專家評審委員會。三級以上系統(tǒng)備案）建設(shè)整改,落實措施（信息系統(tǒng)：已有、新建、改建、擴建）自查自糾,落實要求（運營、使用單位及其主管部門）建立制度,加強管理（運營、使用單位及其主管部門）監(jiān)督檢查,完善保護（公安機關(guān)重點對第三、第四級系統(tǒng)）信息安全法規(guī)與政策3.2信息安全相關(guān)政策國外信息安全相關(guān)政策簡介了解美國信息安全相關(guān)政策概況信息安全法規(guī)與政策3.2信息安全相關(guān)法規(guī)---信息安全相關(guān)國家政策國外信息安全國家政策簡介（以美國為例）國外信息安全國家政策簡介（以美國為例）克林頓政府IATFV1.0（1998年）V3.1（2002年）V4.0（Now）2000年：《總統(tǒng)國家安全戰(zhàn)略報告》（首次將信息安全列入）布什政府911之后，成立本土安全部（國土安全部）、國家KIP委員會2002年：《國家保障數(shù)字空間安全策略》、《國家安全戰(zhàn)略報告》2003年：《網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃》奧巴馬政府上任之初：60天信息安全評估項目2009年：《美國網(wǎng)絡(luò)安全評估》2010年：網(wǎng)絡(luò)戰(zhàn)司令部正式運行4信息安全標(biāo)準(zhǔn)體系我國信息安全法律法規(guī)及電力行業(yè)制度要求4.1標(biāo)準(zhǔn)化概述4.2標(biāo)準(zhǔn)介紹4.3信息安全檢查評估信息安全法規(guī)與政策4.1標(biāo)準(zhǔn)化概述信息安全標(biāo)準(zhǔn)化概念了解標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的基本概念和作用信息安全法規(guī)與政策4.1標(biāo)準(zhǔn)化概述---信息安全標(biāo)準(zhǔn)化概念標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化相關(guān)基本概念標(biāo)準(zhǔn)為了在一定范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構(gòu)批準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。標(biāo)準(zhǔn)化（GB/T20000.1-2002）為了在一定范圍內(nèi)獲得最佳秩序，對現(xiàn)實問題或潛在問題制定共同使用和重復(fù)使用的條款的活動。國際標(biāo)準(zhǔn)由國際標(biāo)準(zhǔn)化組織或國際標(biāo)準(zhǔn)組織通過并公開發(fā)布的標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)由國家標(biāo)準(zhǔn)機構(gòu)通過并公開發(fā)布的標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)化組織（ISO）其成員資格向每個國家的有關(guān)國家機構(gòu)開放的標(biāo)準(zhǔn)化組織國家標(biāo)準(zhǔn)機構(gòu)在國家層面上承認的，有資格成為相應(yīng)的國際和區(qū)域標(biāo)準(zhǔn)組織的國家成員的標(biāo)準(zhǔn)機構(gòu)（中國國家標(biāo)準(zhǔn)化管理委員會）信息安全法規(guī)與政策4.1標(biāo)準(zhǔn)化概述---信息安全標(biāo)準(zhǔn)化概念標(biāo)準(zhǔn)化的特點、原則；標(biāo)準(zhǔn)的作用及代碼特點標(biāo)準(zhǔn)化的對象：共同的、可重復(fù)的事物標(biāo)準(zhǔn)化的動態(tài)性標(biāo)準(zhǔn)化的相對性標(biāo)準(zhǔn)化的效益原則簡化、統(tǒng)一、協(xié)調(diào)、優(yōu)化作用標(biāo)準(zhǔn)是進行貿(mào)易的基本條件標(biāo)準(zhǔn)能夠提高企業(yè)的經(jīng)濟效益標(biāo)準(zhǔn)能夠提高國民經(jīng)濟效益代碼GB強制性國家標(biāo)準(zhǔn)GB/T推薦性國家標(biāo)準(zhǔn)GB/Z國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件標(biāo)準(zhǔn)能打破技術(shù)壁壘，標(biāo)準(zhǔn)也能成為新的技術(shù)壁壘信息安全法規(guī)與政策4.1標(biāo)準(zhǔn)化概述信息安全標(biāo)準(zhǔn)化組織了解國際信息安全標(biāo)準(zhǔn)化組織及其工作了解國外典型國家信息安全標(biāo)準(zhǔn)化組織及其工作熟悉我國信息安全標(biāo)準(zhǔn)化組織及其工作信息安全法規(guī)與政策4.1標(biāo)準(zhǔn)化概述---信息安全標(biāo)準(zhǔn)化組織國際信息安全標(biāo)準(zhǔn)化組織ISO/IECJTC1信息安全管理體系工作組密碼與安全機制工作組安全評估準(zhǔn)則工作組安全控制與服務(wù)工作組身份管理與隱私技術(shù)工作組國際標(biāo)準(zhǔn)提案《ISMS審核指南》國際標(biāo)準(zhǔn)提案《三元實體鑒別》國際標(biāo)準(zhǔn)《信息安全事件管理》合作編輯國際標(biāo)準(zhǔn)提案《基于三元實體鑒別的訪問控制方法》信息安全法規(guī)與政策4.1標(biāo)準(zhǔn)化概述---信息安全標(biāo)準(zhǔn)化組織美國標(biāo)準(zhǔn)化組織ANSINCITS-T4制定IT安全技術(shù)標(biāo)準(zhǔn)X9制定金融業(yè)務(wù)標(biāo)準(zhǔn)X12制定商業(yè)交易標(biāo)準(zhǔn)(EDI)NIST負責(zé)聯(lián)邦政府非密敏感信息FIPSDOD負責(zé)涉密信息NSA國防部指令（DODDI）（如TCSEC）IEEESILSP1363信息安全法規(guī)與政策4.1標(biāo)準(zhǔn)化概述---信息安全標(biāo)準(zhǔn)化組織我國標(biāo)準(zhǔn)化組織1984年，成立數(shù)據(jù)加密技術(shù)分委員，后來改為信息技術(shù)安全分技術(shù)委員會2002年4月，為加強信息安全標(biāo)準(zhǔn)的協(xié)調(diào)工作，國家標(biāo)準(zhǔn)委決定成立全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（信安標(biāo)委，TC260），由國家標(biāo)準(zhǔn)委直接領(lǐng)導(dǎo)，對口ISO/IECJTC1SC27；秘書處設(shè)在中國電子技術(shù)標(biāo)準(zhǔn)化研究所；委員會由30多個部門和單位的49名領(lǐng)導(dǎo)和專家組成目前共有工作組成員單位165家，其中企業(yè)120家TC260各部門的職責(zé)秘書處：是委員會的常設(shè)辦事機構(gòu)，負責(zé)委員會的日常事務(wù)工作信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）：研究信息安全標(biāo)準(zhǔn)體系、需求；跟蹤國際標(biāo)準(zhǔn)發(fā)展動態(tài)；提出新工作項目及設(shè)立新工作組的建議；協(xié)調(diào)各工作組項目涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組（WG2）：研究提出涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)體系；制定涉密保密相關(guān)標(biāo)準(zhǔn)密碼技術(shù)標(biāo)準(zhǔn)工作組（WG3）：研究提出商用密碼技術(shù)標(biāo)準(zhǔn)體系；制定商用密碼相關(guān)標(biāo)準(zhǔn)鑒別與授權(quán)工作組（WG4）：研究提出鑒別與授權(quán)標(biāo)準(zhǔn)體系；制定鑒別與授權(quán)相關(guān)標(biāo)準(zhǔn)信息安全評估工作組（WG5）：研究提出測評標(biāo)準(zhǔn)體系；制定測評相關(guān)標(biāo)準(zhǔn)通信安全標(biāo)準(zhǔn)工作組（WG6）：研究提出通信安全標(biāo)準(zhǔn)體系；制定通信安全相關(guān)標(biāo)準(zhǔn)信息安全管理工作組（WG7）：研究提出信息安全管理標(biāo)準(zhǔn)體系；制定信息安全管理相關(guān)標(biāo)準(zhǔn)信息安全法規(guī)與政策4.2標(biāo)準(zhǔn)介紹信息安全國家標(biāo)準(zhǔn)了解我國信息安全標(biāo)準(zhǔn)體系框架掌握信息安全等級保護標(biāo)準(zhǔn)體系，熟悉信息安全等級保護相關(guān)標(biāo)準(zhǔn)信息安全法規(guī)與政策4.2標(biāo)準(zhǔn)介紹---信息安全標(biāo)準(zhǔn)體系框架信息安全標(biāo)準(zhǔn)體系信息安全標(biāo)準(zhǔn)體系是由信息安全領(lǐng)域內(nèi)具有內(nèi)在聯(lián)系的標(biāo)準(zhǔn)組成的科學(xué)有機整體，是編制信息安全標(biāo)準(zhǔn)制訂/修訂計劃的重要依據(jù)，是促進信息安全領(lǐng)域內(nèi)的標(biāo)準(zhǔn)組成趨向科學(xué)化合理化的手段；是一幅現(xiàn)有、應(yīng)有和預(yù)計制定的信息安全標(biāo)準(zhǔn)的藍圖，并隨著科學(xué)技術(shù)的發(fā)展不斷地完善和更新。我國信息安全標(biāo)準(zhǔn)體系，是在總結(jié)各工作組對本領(lǐng)域標(biāo)準(zhǔn)體系研究成果的基礎(chǔ)上形成的，是全國安全標(biāo)準(zhǔn)化技術(shù)委員會各工作組共同的工作成果。是在跟蹤分析了國際信息安全標(biāo)準(zhǔn)的發(fā)展動態(tài)和國內(nèi)信息安全標(biāo)準(zhǔn)需求的基礎(chǔ)上，提出的標(biāo)準(zhǔn)體系框架和標(biāo)準(zhǔn)體系表。我國信息安全技術(shù)標(biāo)準(zhǔn)從總體上劃分為六大類，每類按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容細分若干小類。信息安全法規(guī)與政策4.2標(biāo)準(zhǔn)介紹---信息安全等級保護標(biāo)準(zhǔn)體系等級保護標(biāo)準(zhǔn)體系（10大標(biāo)準(zhǔn)）基礎(chǔ)類《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級保護實施指南》GB/T25058-2010應(yīng)用類定級：《信息系統(tǒng)安全保護等級定級指南》GB/T22240-2008建設(shè)：《信息系統(tǒng)安全等級保護基本要求》GB/T22239-2008《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》GB/T25070-2010測評：《信息系統(tǒng)安全等級保護測評要求》GB/T28448-2012《信息系統(tǒng)安全等級保護測評過程指南》GB/T28449-2012管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006《信息系統(tǒng)安全工程管理要求》GB/T20282-2006信息安全法規(guī)與政策4.2標(biāo)準(zhǔn)介紹---信息安全等級保護標(biāo)準(zhǔn)體系等級保護標(biāo)準(zhǔn)體系（其他標(biāo)準(zhǔn)）技術(shù)類GB/T21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他信息產(chǎn)品、信息安全產(chǎn)品相關(guān)標(biāo)準(zhǔn)...其他類GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險管理指南GB/T24363-2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計劃規(guī)范GB/Z20285-2007信息安全技術(shù)信息安全事件管理指南GB/Z20986-2007信息安全技術(shù)信息安全事件分類分級指南GB/T20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范信息安全法規(guī)與政策4.2標(biāo)準(zhǔn)介紹信息安全國外標(biāo)準(zhǔn)了解國際信息安全標(biāo)準(zhǔn)體系了解國外典型國家信息安全標(biāo)準(zhǔn)體系了解與自身工作密切相關(guān)的信息安全國際標(biāo)準(zhǔn)信息安全標(biāo)準(zhǔn)體系4.2標(biāo)準(zhǔn)介紹---信息安全國外標(biāo)準(zhǔn)國際信息安全標(biāo)準(zhǔn)體系信息安全管理體系標(biāo)準(zhǔn)密碼技術(shù)與安全機制標(biāo)準(zhǔn)安全評價準(zhǔn)則標(biāo)準(zhǔn)安全控制與服務(wù)標(biāo)準(zhǔn)身份管理與隱私保護技術(shù)標(biāo)準(zhǔn)詞匯標(biāo)準(zhǔn)要求標(biāo)準(zhǔn)指南標(biāo)準(zhǔn)相關(guān)標(biāo)準(zhǔn)為實現(xiàn)保密性、完整性和可用性而開發(fā)的各種安全機制標(biāo)準(zhǔn)安全評價標(biāo)準(zhǔn)安全功能和保證規(guī)范針對潛在/顯現(xiàn)信息安全問題的標(biāo)準(zhǔn)針對已知信息安全問題的標(biāo)準(zhǔn)針對信息安全違反和損害的標(biāo)準(zhǔn)身份管理相關(guān)標(biāo)準(zhǔn)生物識別相關(guān)標(biāo)準(zhǔn)隱私保護相關(guān)標(biāo)準(zhǔn)ISO27000ISO27001ISO27006ISO27002ISO27003ISO18033ISO19772...ISO15408ISO18045...ISO19790ISO24759...ISO27032ISO27033ISO27037ISO24760ISO29144ISO29100等級保護標(biāo)準(zhǔn)體系（其他標(biāo)準(zhǔn)）信息安全標(biāo)準(zhǔn)體系4.2標(biāo)準(zhǔn)介紹---信息安全國外標(biāo)準(zhǔn)SecurityControlMonitoring安全控制措施監(jiān)視SecurityCategorization安全分類SecurityControlSelection安全控制措施選擇SecurityControlRefinement安全控制措施改進SecurityControlDocumentation安全控制措施文檔編制SecurityControlImplementation安全控制措施實施SecurityControlAssessment安全控制措施評估SecurityAuthorization安全授權(quán)

起始點風(fēng)險管理SP800-37/SP800-53AFIPS199/SP800-60FIPS200/SP800-53SP800-53/SP800-30SP800-18SP800-70SP800-53ASP800-37國外典型國家信息安全標(biāo)準(zhǔn)體系框架---SP800信息安全法規(guī)與政策4.2標(biāo)準(zhǔn)介紹---信息安全國外標(biāo)準(zhǔn)ISO27000標(biāo)準(zhǔn)族ISO27000標(biāo)準(zhǔn)族、SP800系列標(biāo)準(zhǔn)介紹參見《CISP0301信息安全管理體系》。ISO27001標(biāo)準(zhǔn)的詳細內(nèi)容參見《CISP0301信息安全管理體系》。ISO27002標(biāo)準(zhǔn)的詳細內(nèi)容參見《CISP0303信息安全管基本措施》、《CISP0304信息安全管重要管理過程》。信息安全法規(guī)與政策4.3信息安全檢查評估安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史了解安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展過程理解GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》（CC）的特點信息安全法規(guī)與政策4.3信息安全檢查評估---安全標(biāo)準(zhǔn)的發(fā)展安全技術(shù)評估標(biāo)準(zhǔn)發(fā)展歷史ITSEC1991CC1.01996ISO154081999CC2.01998GB/T183362001CD1997GIB26461996GB178591999ISO154082005TCSEC1985FC1992CTCPEC1993GB/T183362008FCD1998信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評測標(biāo)準(zhǔn)美國的安全評測標(biāo)準(zhǔn)(TCSEC)、歐洲的安全評測標(biāo)準(zhǔn)(ITSEC)美國的安全評測標(biāo)準(zhǔn)(TCSEC)1970年由美國國防科學(xué)委員會提出。1985年公布。主要軍用，延用至民用。安全級從高到低分A、B、C、D四級，級下再分小類(A1、B3、B2、B1、C2、C1、D)分級分類主要依據(jù)四個準(zhǔn)則：安全策略、可控性、保證能力、文檔局限性集中考慮數(shù)據(jù)保密性，而忽略了數(shù)據(jù)完整性、系統(tǒng)可用性等；將安全功能和安全保證混在一起安全功能規(guī)定得過為嚴(yán)格，不便于實際開發(fā)和測評歐洲的安全評測標(biāo)準(zhǔn)(ITSEC)以超越TCSEC為目的，將安全概念分為功能與功能評估兩部分。功能分F1-F10共10級。1－5級對應(yīng)于TCSEC的D到A。6－10級加上了以下概念：F6：數(shù)據(jù)和程序的完整性F7：系統(tǒng)可用性F8：數(shù)據(jù)通信完整性F9：數(shù)據(jù)通信保密性F10：包括機密性和完整性的網(wǎng)絡(luò)安全評估準(zhǔn)則分為6級：E1～E6與TCSEC的不同安全被定義為保密性、完整性、可用性功能和質(zhì)量/保證分開對產(chǎn)品和系統(tǒng)的評估都適用，提出評估對象（TOE）的概念產(chǎn)品：能夠被集成在不同系統(tǒng)中的軟件或硬件包；系統(tǒng)：具有一定用途、處于給定操作環(huán)境的特殊安全裝置信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評測標(biāo)準(zhǔn)加拿大的評測標(biāo)準(zhǔn)(CTCPEC)、美國聯(lián)邦準(zhǔn)則(FC)加拿大的評測標(biāo)準(zhǔn)(CTCPEC)1989年公布，專為政府需求而設(shè)計與ITSEC類似，將安全分為功能性需求和保證性需要兩部分功能性要求分為四個大類：a機密性b完整性c可用性d可控性在每種安全需求下又分小類0－5級，表示安全性上的差別美國聯(lián)邦準(zhǔn)則(FC)對TCSEC的升級1992年12月公布引入了“保護輪廓（PP）”這一重要概念每個輪廓都包括功能部分、開發(fā)保證部分和評測部分分級方式與TCSEC不同，吸取了ITSEC、CTCPEC中的優(yōu)點供美國政府用，民用和商用信息安全法規(guī)與政策4.3信息安全檢查評估---國外安全評測標(biāo)準(zhǔn)通用準(zhǔn)則（CC）國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的努力結(jié)果；1999年正式成為國際標(biāo)準(zhǔn)ISO/IEC15408；充分突出“保護輪廓”，將評估過程分“功能”和“保證”兩部分；CC基于風(fēng)險管理理論，對安全模型、安全概念和安全功能進行了全面系統(tǒng)描繪，強化了評估保證；是目前最全面的評價準(zhǔn)則。國際上認同的表達IT安全的體系結(jié)構(gòu)，一組規(guī)則集一種評估方法，其評估結(jié)果國際互認通用的表達方式，便于理解靈活的架構(gòu)，可以定義自己的要求擴展CC要求通用評估方法(CEM)是CC標(biāo)準(zhǔn)出版后，為了在評估中應(yīng)用CC而提供的一種通用方法。是與CC配套的文檔。信息安全法規(guī)與政策4.3信息安全檢查評估信息安全技術(shù)評估準(zhǔn)則了解評估標(biāo)準(zhǔn)體系了解信息技術(shù)產(chǎn)品安全性評估的基本過程信息安全法規(guī)與政策4.3信息安全檢查評估---信息安全技術(shù)評估準(zhǔn)則GB/T18336（ISO15408）GB/T18336-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》（idtISO/IEC15408:2005）GB/T18336.1-2008：簡介和一般模型GB/T18336.2-2008：安全功能要求GB/T18336.3-2008：安全保證要求目標(biāo)讀者TOE（評估對象）的客戶TOE的開發(fā)者TOE的評估者其他系統(tǒng)管理員和系統(tǒng)安全管理員內(nèi)部和外部審計員安全架構(gòu)師和設(shè)計師認可者評估發(fā)起者評估管理機構(gòu)ISO15408-1:2009ISO15408-2:2008ISO15408-3:2008信息安全法規(guī)與政策4.3信息安全檢查評估---信息安全技術(shù)評估準(zhǔn)則評估中的關(guān)鍵概念評估對象—TOE(TargetofEvaluation)：產(chǎn)品、系統(tǒng)、子系統(tǒng)保護輪廓—PP(ProtectionProfile)：表達一類產(chǎn)品或系統(tǒng)的用戶需求；組合安全功能要求和安全保證要求；安全標(biāo)準(zhǔn)(示例：《包過濾防火墻安全技術(shù)要求》（GB18019））安全目標(biāo)—ST(SecurityTarget)：某一款產(chǎn)品對某一PP要求的具體實現(xiàn)；實用方案功能(Function)：規(guī)范IT產(chǎn)品和系統(tǒng)的安全行為，應(yīng)做的事保證(Assurance)：對功能產(chǎn)生信心的方法組件(Component)：安全要求不能再分的構(gòu)件塊包(Package)：若干功能或保證要求的組合評估保證級—EAL(EvaluationAssuranceLevel）：預(yù)定義的保證包；公認的廣泛適用的一組保證要求；EAL1～EAL7信息安全標(biāo)準(zhǔn)體系4.3信息安全檢查評估---信息安全評估技術(shù)準(zhǔn)則評估PPPP評估結(jié)果PP分類已評估

的PP評估STST評估結(jié)果評估TOETOE評估結(jié)果證書分類已評估的TOE評估流程5電力行業(yè)信息安全推進情況我國信息安全法律法規(guī)及電力行業(yè)制度要求5.1“電監(jiān)信息〔2007〕34號”5.2“國能安全[2014]317號”5.3（發(fā)改委14號令）5.1關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知“電監(jiān)信息〔2007〕34號”電力行業(yè)信息安全推進情況必要性背景及目的為貫徹落實公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室《關(guān)于印發(fā)<信息安全等級保護管理辦法>的通知》(公通字[2007]43號)和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》(公信安[2007]861號)要求，提高電力行業(yè)網(wǎng)絡(luò)和信息系統(tǒng)的信息安全保護能力和水平，定于2007年8月至10月在電力行業(yè)組織開展信息系統(tǒng)安全等級保護定級工作。2007年11月，國家電監(jiān)會下發(fā)了《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見》。實施具體步驟包括：（1）開展定級備案；（2）通過等級保護測評，發(fā)現(xiàn)與國家技術(shù)、管理要求的不符合項；（3）依據(jù)總體方案、等級保護不符合項，編制本單位等級保護實施方案；（4）根據(jù)等級保護實施方案開展建設(shè)，具體包括：安全域劃分、與實現(xiàn)，產(chǎn)品采購與部署，安全加固，應(yīng)用改造，等級保護管理建設(shè)；（5）等級保護測評驗證建設(shè)效果。電力工業(yè)的特點決定了電力信息安全不僅具有一般計算機信息網(wǎng)絡(luò)信息安全的特征，而且還具有電力實時運行控制系統(tǒng)信息安全的特征。電力系統(tǒng)的信息安全是一項多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。5.2電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況依據(jù)目標(biāo)電力行業(yè)網(wǎng)絡(luò)與信息安全工作的目標(biāo)是建立健全網(wǎng)絡(luò)與信息安全保障體系和工作責(zé)任體系，提高網(wǎng)絡(luò)與信息安全防護能力，保障網(wǎng)絡(luò)與信息安全，促進信息化工作健康發(fā)展。原則電力行業(yè)網(wǎng)絡(luò)與信息安全工作堅持“積極防御、綜合防范”的方針，遵循“統(tǒng)一領(lǐng)導(dǎo)、分級負責(zé)，統(tǒng)籌規(guī)劃、突出重點”的原則。為加強電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理，規(guī)范電力行業(yè)網(wǎng)絡(luò)與信息安全工作，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》及國家有關(guān)規(guī)定，制定本辦法。5.2電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況主管機構(gòu)職責(zé)工作內(nèi)容（一）一組織落實國家關(guān)于基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全保障工作的方針、政策和重大部署，并與電力生產(chǎn)安全監(jiān)督管理工作相銜接；（二）組織制定電力行業(yè)網(wǎng)絡(luò)與信息安全的發(fā)展戰(zhàn)略和總體規(guī)劃；（三）組織制定電力行業(yè)網(wǎng)絡(luò)與信息安全等級保護、風(fēng)險評估、信息通報、應(yīng)急處置、事件調(diào)查與處理、工控設(shè)備安全性檢測、專業(yè)人員管理、容災(zāi)備份、安全審計、信任體系建設(shè)等方面的政策規(guī)定及技術(shù)規(guī)范，并監(jiān)督實施；（四）組織制定電力行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，督促、指導(dǎo)電力企業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急工作，組織或參加信息安全事件的調(diào)查與處理；（五）組織建立電力行業(yè)網(wǎng)絡(luò)與信息安全工作評價與考核機制，督促電力企業(yè)落實網(wǎng)絡(luò)與信息安全責(zé)任、保障網(wǎng)絡(luò)與信息安全經(jīng)費、開展網(wǎng)絡(luò)與信息安全工程建設(shè)等工作；（六）組織開展電力行業(yè)網(wǎng)絡(luò)與信息安全信息通報、從業(yè)人員技能培訓(xùn)考核等工作；（七）組織開展電力行業(yè)網(wǎng)絡(luò)與信息安全的技術(shù)研發(fā)工作；（八）電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理的其它事項。國家能源局是電力行業(yè)網(wǎng)絡(luò)與信息安全主管部門，履行電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理職責(zé)。國家能源局派出機構(gòu)根據(jù)國家能源局的授權(quán)，負責(zé)具體實施本轄區(qū)電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理。5.2電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況企業(yè)職責(zé)工作內(nèi)容第七條電力企業(yè)主要負責(zé)人是本單位網(wǎng)絡(luò)與信息安全的第一責(zé)任人。電力企業(yè)應(yīng)當(dāng)建立健全網(wǎng)絡(luò)與信息安全管理制度體系,成立工作領(lǐng)導(dǎo)機構(gòu)，明確責(zé)任部門，設(shè)立專兼職崗位，定義崗位職責(zé)，明確人員分工和技能要求,建立健全網(wǎng)絡(luò)與信息安全責(zé)任制。第八條電力企業(yè)應(yīng)當(dāng)按照電力監(jiān)控系統(tǒng)安全防護規(guī)定及國家信息安全等級保護制度的要求，對本單位的網(wǎng)絡(luò)與信息系統(tǒng)進行安全保護。第九條電力企業(yè)應(yīng)當(dāng)選用符合國家有關(guān)規(guī)定、滿足網(wǎng)絡(luò)與信息安全要求的信息技術(shù)產(chǎn)品和服務(wù)，開展信息系統(tǒng)安全建設(shè)或改建工作。第十條電力企業(yè)規(guī)劃設(shè)計信息系統(tǒng)時，應(yīng)明確系統(tǒng)的安全保護需求，設(shè)計合理的總體安全方案，制定安全實施計劃，負責(zé)信息系統(tǒng)安全建設(shè)工程的實施。第十一條電力企業(yè)應(yīng)當(dāng)按照國家有關(guān)規(guī)定開展電力監(jiān)控系統(tǒng)安全防護評估和信息安全等級測評工作，未達到要求的應(yīng)當(dāng)及時進行整改。第十二條電力企業(yè)應(yīng)當(dāng)按照國家有關(guān)規(guī)定開展信息安全風(fēng)險評估工作，建立健全信息安全風(fēng)險評估的自評估和檢查評估制度，完善信息安全風(fēng)險管理機制。電力企業(yè)是本單位網(wǎng)絡(luò)與信息安全的責(zé)任主體，負責(zé)本單位的網(wǎng)絡(luò)與信息安全工作。5.2電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況企業(yè)職責(zé)工作內(nèi)容第十三條電力企業(yè)應(yīng)當(dāng)按照網(wǎng)絡(luò)與信息安全通報制度的規(guī)定，建立健全本單位信息通報機制，開展信息安全通報預(yù)警工作，及時向國家能源局或其派出機構(gòu)報告有關(guān)情況。第十四條電力企業(yè)應(yīng)當(dāng)按照電力行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，制定或修訂本單位網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，定期開展應(yīng)急演練。第十五條電力企業(yè)發(fā)生信息安全事件后，應(yīng)當(dāng)及時采取有效措施降低損害程度，防止事態(tài)擴大，盡可能保護好現(xiàn)場，按規(guī)定做好信息上報工作。第十六條電力企業(yè)應(yīng)當(dāng)按照國家有關(guān)規(guī)定，建立健全容災(zāi)備份制度，對關(guān)鍵系統(tǒng)和核心數(shù)據(jù)進行有效備份。第十七條電力企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)與信息安全資金保障制度，有效保障信息系統(tǒng)安全建設(shè)、運維、檢查、等級測評和安全評估、應(yīng)急及其它的信息安全資金。第十八條電力企業(yè)應(yīng)當(dāng)加強信息安全從業(yè)人員考核和管理。從業(yè)人員應(yīng)當(dāng)定期接受相應(yīng)的政策規(guī)范和專業(yè)技能培訓(xùn)，并經(jīng)培訓(xùn)合格后上崗。電力企業(yè)是本單位網(wǎng)絡(luò)與信息安全的責(zé)任主體，負責(zé)本單位的網(wǎng)絡(luò)與信息安全工作。5.2電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法“國能安全[2014]317號”電力行業(yè)信息安全推進情況檢查監(jiān)督檢查措施第二十條國家能源局及其派出機構(gòu)進行監(jiān)督檢查和事件調(diào)查時，可以采取下列措施：（一）進入電力企業(yè)進行檢查；（二）詢問相關(guān)單位的工作人員，要求其對有關(guān)檢查事項作出說明；（三）查閱、復(fù)制與檢查事項有關(guān)的文件、資料，對可能被轉(zhuǎn)移、隱匿、損毀的文件、資料予以封存；（四）對檢查中發(fā)現(xiàn)的問題，責(zé)令其當(dāng)場改正或者限期改正。國家能源局及其派出機構(gòu)依法對電力企業(yè)網(wǎng)絡(luò)與信息安全工作進行監(jiān)督檢查。5.3《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委14號令）電力行業(yè)信息安全推進情況必要性背景（“5號令”）電力行業(yè)作為關(guān)系國計民生的重要基礎(chǔ)行業(yè)，同時也是技術(shù)、資金密集型行業(yè)，在注重信息化建設(shè)的同時，對于網(wǎng)絡(luò)安全工作也歷來高度重視。并由原電監(jiān)會于2004年發(fā)布了第5號令《電力二次系統(tǒng)安全防護規(guī)定》（以下簡稱“5號令”），并隨后陸續(xù)下發(fā)了相關(guān)配套文件。5號令的核心是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的電力監(jiān)控系統(tǒng)安全防護總體策略，其主要內(nèi)容為：合理劃分安全分區(qū)，擴充完善電力調(diào)度專用數(shù)據(jù)網(wǎng)，采取必要的安全防護技術(shù)和防護設(shè)備，剝離非生產(chǎn)性業(yè)務(wù)，實現(xiàn)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的物理隔離，有效提高電力監(jiān)控系統(tǒng)抵御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊的能力。

5號令確定的安全防護總體策略的效果主要體現(xiàn)在：一是5號令正式實施以來，全國電力監(jiān)控系統(tǒng)未再發(fā)生因受到惡意信息攻擊而導(dǎo)致的電力安全事件；二是在北京奧運會、上海世博會、廣州亞運會等重要保電時期，電力監(jiān)控系統(tǒng)安全防護體系經(jīng)受住了來自境內(nèi)外各種敵對勢力的高密度、高強度的惡意網(wǎng)絡(luò)滲透和攻擊的嚴(yán)峻考驗，確保了各項重要活動期間的電力可靠供應(yīng)。電力監(jiān)控系統(tǒng)的安全防護是電力行業(yè)網(wǎng)絡(luò)安全工作的一個重要組成部分。當(dāng)今世界，信息技術(shù)革命日新月異，對國際政治、經(jīng)濟、文化、社會、軍事等領(lǐng)域發(fā)展產(chǎn)生了深刻影響；加強網(wǎng)絡(luò)安全工作，能更好地保證各種信息技術(shù)的安全和合理應(yīng)用，對于促進國民經(jīng)濟的快速、健康和安全發(fā)展具有重要意義。5.3《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委14號令）電力行業(yè)信息安全推進情況14號令重點解決的突出問題在原有電監(jiān)會5號令的基礎(chǔ)上，發(fā)改委第14號令重點解決以下兩方面的問題：一是在技術(shù)層面：

隨著分布式能源、配網(wǎng)自動化、智能電網(wǎng)等新技術(shù)的快速發(fā)展和應(yīng)用，電力監(jiān)控系統(tǒng)使用無線公網(wǎng)進行數(shù)據(jù)通信的情況日益普遍，需要制定相應(yīng)的安全防護措施；伊朗布什爾核電站遭受“震網(wǎng)”蠕蟲病毒攻擊事件，反映出對于生產(chǎn)控制大區(qū)內(nèi)部電力工控系統(tǒng)和設(shè)備的安全管理工作需要進一步加強；工作實踐中反映出的關(guān)于設(shè)備遠程維護的防護措施、智能變電站的安全防護措施、非控制區(qū)的縱向邊界防護強度等方面的實際問題也需要進一步明確和規(guī)范。二是在管理層面：2007年以來公安部、工信部等國家部委相繼印發(fā)了《信息安全等級保護管理辦法》、《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》等相關(guān)文件，電力監(jiān)控系統(tǒng)作為電力行業(yè)信息系統(tǒng)和工業(yè)控制系統(tǒng)的一個重要組成部分，有必要根據(jù)上述文件的相關(guān)要求，結(jié)合電力生產(chǎn)的實際，對《規(guī)定》進行相應(yīng)的修訂和完善；需要根據(jù)國務(wù)院機構(gòu)改革情況，以及關(guān)于簡政放權(quán)工作的有關(guān)要求，對《規(guī)定》進行相應(yīng)的調(diào)整和完善。5.3《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委14號令）電力行業(yè)信息安全推進情況14號令的重要補充和修訂在原有電監(jiān)會5號令的基礎(chǔ)上，發(fā)改委第14號令提出了相關(guān)的規(guī)定和要求：在技術(shù)方面：一是針對配電網(wǎng)、分布式電源廣泛使用無線公網(wǎng)進行數(shù)據(jù)通信的實際情況，提出了在生產(chǎn)控制大區(qū)內(nèi)設(shè)置“安全接入?yún)^(qū)”的理念，并明確了相關(guān)的技術(shù)規(guī)定和要求，進一步拓寬了電力二次系統(tǒng)安全防護體系的覆蓋范圍（第七條、第八條）；二是針對近期發(fā)現(xiàn)的生產(chǎn)控制大區(qū)內(nèi)部分二次設(shè)備（如部分品牌的PLC設(shè)備、工業(yè)交換機等）存在漏洞和風(fēng)險的問題，從設(shè)備選型及配置、漏洞及風(fēng)險整改等方面提出了相關(guān)的要求，使電力監(jiān)控系統(tǒng)安全防護體系從重點強化“邊界防護”向“縱深防御”發(fā)展（第十二條）；在管理方面：一是將公安部、工信部關(guān)于信息系統(tǒng)、工業(yè)控制系統(tǒng)安全防護的有關(guān)規(guī)定和要求在《規(guī)定》中予以體現(xiàn)（第二條、第十二條）；二是根據(jù)機構(gòu)改革情況、職責(zé)調(diào)整以及相關(guān)工作開展情況，對原《規(guī)定》中部分表述進行了更新和修訂，比如：“電監(jiān)會”、“電力監(jiān)管機構(gòu)”根據(jù)機構(gòu)改革情況分別更新為“國家能源局”、“國家能源局及其派出機構(gòu)”，“上級信息安全主管部門”根據(jù)國家能源局“三定”方案中關(guān)于簡政放權(quán)的要求修訂為“本企業(yè)上級專業(yè)管理部門、信息安全管理部門”（第十四條）。5.3《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委14號令）電力行業(yè)信息安全推進情況下一步工作關(guān)鍵環(huán)節(jié)電力監(jiān)控系統(tǒng)安全防護工作的總體思路是從邊界防護逐步向縱深防御發(fā)展，下一步的工作思路主要包括（但不限于）：

一是進一步擴展安全防護體系的覆蓋范圍，包括：加強對110千伏及以下低壓配電網(wǎng)的安全防護；加強對電力負荷管理系統(tǒng)、用電管理系統(tǒng)等相關(guān)系統(tǒng)的安全防護；進一步規(guī)范和加強核電站電力監(jiān)控系統(tǒng)的安全防護；進一步規(guī)范和加強對風(fēng)電、光伏等可再生/分布式能源電力監(jiān)控系統(tǒng)的安全防護；進一步規(guī)范和加強對智能變電站等新技術(shù)、新應(yīng)用的安全防護工作。二是強化縱深防御，包括：積極推進電力監(jiān)控系統(tǒng)的國產(chǎn)化工作；繼續(xù)推進電力工控設(shè)備信息安全漏洞的檢測和整改工作；不斷推進電力企業(yè)內(nèi)網(wǎng)監(jiān)視平臺的建設(shè)工作；扎實推進電力監(jiān)控系統(tǒng)安全防護評估工作和電力行業(yè)信息安全等級保護測評工作（兩項工作同步完成，不增加企業(yè)重復(fù)工作量），形成電力監(jiān)控系統(tǒng)安全防護體系的不斷改進和持續(xù)完善機制；積極研發(fā)并逐步推廣應(yīng)用基于可信計算技術(shù)的系統(tǒng)安全免疫。5.3《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委14號令）電力行業(yè)信息安全推進情況與國家等保工作的關(guān)系息系統(tǒng)安全等級保護是在國家范圍內(nèi)推行的對于網(wǎng)絡(luò)與信息安全的一項基本制度，它主要針對通用的計算機信息系統(tǒng)，從技術(shù)與管理等方面提出了普遍適用的措施、規(guī)定和要求。電力監(jiān)控系統(tǒng)安全防護主要針對與電力生產(chǎn)、供應(yīng)密切相關(guān)的電力監(jiān)控系統(tǒng)，并根據(jù)其具體功能及實際特點，有針對性提出了相關(guān)的安全防護措施?？傮w來看，電力監(jiān)控系統(tǒng)安全防護的防護強度基本滿足或超過相應(yīng)等級信息系統(tǒng)安全等級保護的要求，并且對于電力監(jiān)控系統(tǒng)，其相關(guān)安全防護措施更加具有系統(tǒng)性、整體性、針對性和可操作性。舉一個最簡單的例子，對于一個部署在省級調(diào)度機構(gòu)的電能量計量系統(tǒng)，按照信息系統(tǒng)安全等級保護的規(guī)定和要求，可以定級為三級系統(tǒng)，只需按照等級保護三級系統(tǒng)的要求采取相關(guān)的各項管理和技術(shù)措施即可，比如物理防護、網(wǎng)絡(luò)隔離等。但是，在電力監(jiān)控系統(tǒng)安全防護體系中，則會結(jié)合電力行業(yè)的實際特點，提出更加完整、具體的規(guī)定和要求，比如按照“安全分區(qū)”的要求，這個系統(tǒng)應(yīng)該擺放在哪個安全區(qū)；按照“橫向隔離”或者“縱向認證”的要求，這個系統(tǒng)應(yīng)該在與其有數(shù)據(jù)交互的其他業(yè)務(wù)系統(tǒng)或者本系統(tǒng)的終端之間采取哪些安全防護措施，這些都會有更加明確的規(guī)定?？梢赃@么說，信息系統(tǒng)安全等級保護的有關(guān)規(guī)定和要求是一個通用的、基本的門檻，而電力監(jiān)控系統(tǒng)安全防護根據(jù)電力行業(yè)的特點，對其予以了細化、補充、完善和加強。本課程介紹的主要內(nèi)容有：課程回顧中國南方電網(wǎng)有限責(zé)任公司國家信息安全法治總體情況信息安全合規(guī)概述信息安全法規(guī)與政策信息安全標(biāo)準(zhǔn)電力行業(yè)信息安全推進情況關(guān)鍵詞：（XXXX技能）（XXXX能力）（XXXX方法）謝謝中國南方電網(wǎng)有限責(zé)任公司兒童慢性咳嗽與處理1急性咳嗽，時間短于4周單擊此處添加文本具體內(nèi)容2亞急性咳嗽，時間介于4－8周單擊此處添加文本具體內(nèi)容3慢性咳嗽，時間超過8周單擊此處添加文本具體內(nèi)容一.定義CONTENTSONE1二.咳嗽感受器與部位三種感受器

RARlike（快速適應(yīng)性感受器，機械刺激為主）

Nociceptive（傷害感受器，化學(xué)刺激為主）

Polymodal（咳嗽感受器，機械刺激與酸）有髓神經(jīng)纖維口咽部、喉、支氣管樹、外耳道與鼓膜A

神經(jīng)纖維C神經(jīng)纖維C類神經(jīng)纖維感受器(VR1)無髓神經(jīng)纖維通過釋放神經(jīng)多肽，刺激RARs主要位于支氣管Opioidreceptor阿片受體,有μ、κ、δ和σ亞型麻醉鎮(zhèn)痛劑通過某些肽類物質(zhì)(如β-內(nèi)啡肽)及μ阿片受體抑制咳嗽呼吸道中也存在μ受體,參與了芬太尼誘發(fā)嗆咳過程慢性咳嗽經(jīng)常（16~62%）同時由一種以上病因引起UACS，哮喘，GERD是各年齡慢性咳嗽最常見的三種原因慢性咳嗽是57%哮喘和75%GERD的唯一癥狀大多數(shù)慢性咳嗽能明確病因，使治療有效率達84~98%三.慢性咳嗽的常見病因上呼吸道咳嗽綜合癥(UACS)

慢性鼻竇炎慢性鼻炎，包括過敏性鼻炎增殖體肥大吸入綜合癥

胃食道反流病(GERD)

會厭功能障礙支氣管源性疾病哮喘綜合征病毒感染后咳嗽心因性疾病兒童慢性咳嗽(胸片正常)的常見原因常見的支氣管源性疾病是兒童慢性咳嗽的第一大原因支氣管哮喘咳嗽變異性哮喘(CVA)

非哮喘性嗜酸細胞性支氣管炎(NAEB)<一>哮喘綜合征有慢性氣道炎癥，氣道高反應(yīng)，肺功能異常有咳嗽及喘息發(fā)作，以夜間和清晨為重有特應(yīng)性家族史對糖皮質(zhì)激素，抗白三烯受體拮抗藥及支氣管擴張藥有效1.支氣管哮喘有慢性氣道炎癥，氣道高反應(yīng)，肺功能大多正常；中央氣道慢性炎癥和支氣管反應(yīng)增高平滑肌收縮刺激肌梭內(nèi)咳嗽感受器以咳嗽為主，偶爾有喘息發(fā)作以夜間和清晨為重對糖皮質(zhì)激素，抗白三烯受體拮抗藥，支氣管擴張藥有效2.咳嗽變異性哮喘又稱過敏性咳嗽有慢性氣道炎癥，痰液嗜酸細胞>2.5~5%無氣道高反應(yīng)和肺功能異常僅有咳嗽，無喘息發(fā)作對糖皮質(zhì)激素，抗白三烯受體拮抗藥有效；支氣管擴張藥無效3.嗜酸細胞性支氣管炎激素敏感性咳嗽常用的相關(guān)檢查支氣管舒張試驗支氣管激發(fā)試驗3％NaCl霧化吸入誘導(dǎo)咳嗽痰液咳出或吸出處理后計數(shù)嗜酸細胞數(shù)痰液嗜酸細胞>2