【文章內容簡介】 echnical Framework ? 美國國家安全局制定 ? 描述 美國信息保障的指導性文件，為保護美國政府和工業(yè)界的信息與信息基礎設施提供技術 支持 ?研究歷史 ? 1998年 ， ， 《 網絡安全框架 》 ? 1999年， ，更名為 《 信息保障技術框架 》 ? 2023年， ? 2023年， ， 擴展了“縱深防御”，強調信息保障 戰(zhàn)略 48 信 息系統安 全保障模型 IATF 49 IATF理解 ?三 個核心要素 ? 人 、技術和操作（ Operation，也稱為運行 ） ? 強調 信息安全保障要靠人操作好技術來實現。 ?四 個焦點區(qū)域 ? 保護 網絡和基礎設施、保護區(qū)域邊界、保護計算環(huán)境和支撐性基礎 設施 ? 部署 多層防御措施，形成縱深防御 能力 50 知識體：信息安全保障理論及實踐 ?知 識域 ： 我國信息安全 保障 工作 實踐 ? 理解 我國信息安全工作的發(fā)展階段劃分情況 ? 了解 我國信息安全保障工作的目標和主要內容 ? 了解 我國信息安全保障工作實踐成果 51 52 我國信息安全保障工作發(fā)展階段 階段 主要工作 20232023 啟動 國家信息化小組重組 網絡與信息安全協調小組成立 20232023 逐步展開 積極推進 國家出臺指導政策 召開第一次全國信息安全保障會議 發(fā)布國家信息安全戰(zhàn)略 國家網絡與信息安全協調小組召開多次會議 20232023 深化落實 信息安全法律法規(guī)、標準化和人才培養(yǎng)工作取得新成果 信息安全等級保護和風險評估取得新進展 2023年至今 新時期 十八屆三中全會 《 決定 》 中央網絡安全和信息化領導小組 啟動階段（ 20232023） ?2023年至 2023年 ? 是我國網絡與信息安全事件頻發(fā)且性質嚴重的時期 ? 國家信息化領導小組重組，網絡與信息安全協調小組成立 ? 我國信息安全保障工作正式啟動 ?期間重要事件 ? 來自境外邪教組織、敵對勢力的破壞 ? 各種政治謠言、反動宣傳和社會敏感熱點問題日益增多 ? 網絡系統、重要信息系統自身存在諸多安全隱患 53 積極推進階段（ 20232023） ?2023年至 2023年 ? 國家信息安全保障體系建設逐步展開和推進的階段 ? 國家出臺指導政策，發(fā)布國家信息安全戰(zhàn)略 ? 信息安全保障各項工作積極推進 ?期間重要事件 ? 2023年 7月 ， 《 關于加強信息安全保障工作的意見》 （中辦發(fā) 27號 文件） ? 國家 網絡與信息安全協調 小組多次會議 ? 重視 信息安全風險評估、網絡信任體系以及保密和密碼 工作 54 深化落實階段（ 2023年至 2023） ?2023年至 2023年 ? 深化落實階段 ? 各項信息安全保障工作邁出了新的堅實步伐 ? 信息安全法律法規(guī)、標準化和人才培養(yǎng)工作取得了新成果 ?期間重要 成果 ? 等級保護工作取得重要進展 ? 信息安全風險評估工作更加深入 ? 制定了大量信息安全標準規(guī)范 ? 建設了一批信息安全基礎設施 ? 加強了互聯網信息內容安全管理 55 新時期新階段（ 2023年至今） ?2023年至今，中央進一步推動信息安全發(fā)展 ? 2023年，中國共產黨十八屆三中全會的 《 決定 》 ? 要堅持積極利用、科學發(fā)展、依法管理、確保安全的方針，加大依法管理網絡力度，完善互聯網管理領導體制 ? 2023年 2月，成立中央網絡安全和信息化領導小組 ? 統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網絡安全和信息化重大問題 ? 推動國家網絡安全和信息化各方面建設 ,增強我國信息安全保障能力 56 57 ? 工作目標 ? 我國 信息安全保障工作應當在“積極防御、綜合防范”的方針指導下，全面提高信息安全防護能力，并重點保障基礎信息網絡和重要信息系統安全，達到保障和促進信息化發(fā)展，為企業(yè)和公眾合法利益構建安全可信的網絡信息傳播秩序和保護互聯網知識產權的工作目標。 ? 要求 ? 立足國情，以我為主 ? 堅持管理與技術并重 ? 正確處理安全與發(fā)展的關系，以安全保發(fā)展，在發(fā)展中求安全 ? 充分發(fā)揮各方面的積極性，共同構筑國家信息安全保障體系 國家信息安全 保障工作目標 58 我國信息安全保障工作的主要內容 ? 建立健全國家信息安全組織與管理體制機制，加強信息安全工作的組織保障 ? 建立健全信息安全法律法規(guī)體系，推進信息安全法制建設 ? 建立完善信息安全標準體系，加強信息安全標準化工作 ? 加強 信息安全技術研究開發(fā)，推進信息安全產業(yè)發(fā)展 ? 建設信息安全基礎設施，提供國家信息安全保障能力支撐 ? 建立信息安全人才培養(yǎng)體系，加快信息安全學科建設和信息安全人才培養(yǎng) 信息安全保障工作實踐成果 ?我國信息 安全 保障實踐成果 ? 信息 安全標準 化 ? 應急 處理與信息 通報 ? 等級保護 ? 風險評估 ? 災難恢復 ? 人才 培養(yǎng) 59 重要實踐成果 —— 標準化工作 ?信息安全標準化 ? 2023年 4月 ，成立“ 全國信息安全標準化技術委員會 ” ? 簡稱 “全國信安標委”，代號為 TC260 ? 制定了多項信息安全標準 60 自 2023年 1月起，各有關部門在申報信息安全國家標準計劃項目時，必須經全國信安標委提出工作意見，協調一致后由全國信安標委組織 申報。 重要實踐成果 —— 應急處理和通報工作 ?應急處理與信息通報 ? 2023年 9月，成立“國家計算機網絡應急技術處理協調中心 ”，簡稱“國家互聯網應急中心”，英文簡稱是 CNCERT或 CNCERT/CC ? 2023年 ，“ 國家網絡與信息安全協調小組 ” ? 2023年 ，“ 國家網絡與信息安全信息通報中心 ” 61 重要實踐 成果 —— 等級保護 ?等級保護 ? 1994年，國務院 147號令 《 中華人民共和國計算機信息系統安全保護條例 》 ? 2023年 ， 發(fā)布 《關于信息安全等級保護工作的實施意見》 （公通字 [2023]66號 ） ? 全面 啟動等級 保護的實施 工作 ? 發(fā)布了多項等級保護有關政策和標準 62 重要實踐成果 —— 風險評估 ?風險評估 ? 2023年，國務院 信息辦啟動了信息安全風險評估的調研、試點和標準編寫等工作 ? 2023年 1月， 發(fā)布 《關于開展信息安全風險評估工作的意見》 （國信辦 [2023]5號） ? 組織風險評估?？仃犖閷θ珖A信息網絡和重要信息系統進行 檢查 63 重要實踐 成果 —— 災難恢復 ?災難 恢復 ? 隨著數據大集中的發(fā)展，國家對災難恢復工作高度重視，越來越多的單位和部門認識到災難恢復的重要性和必要性 ? 2023年 4月，銀監(jiān)會頒布了《商業(yè)銀行內部控制指引》，其中第八章《計算機信息系統的內部控制》規(guī)定，商業(yè)銀行應當建立計算機安全 應急系統 ? 2023年 9月 ，印發(fā)《關于做好重要信息系統災難備份工作的通知》 （信安通 [2023]11號 ? 2023年 4月 ，下發(fā)《重要信息系統災難恢復指南》 64 重要實踐成果 —— 人才培養(yǎng) ?人才培養(yǎng) ? 2023年 ，武漢大學， 信息 安全本科專業(yè) ? 2023年，教育部 發(fā)文 加強信息安全學科體系 建設 ? 目前， 我國信息安全專業(yè)教育已基本形成了從?？啤⒈究?、碩士、博士到博士后的正規(guī)高等教育人才培養(yǎng)體系 ? 除正規(guī)大學教育外，我國信息安全非學歷教育已基本形成了以各種認證為核心，輔以職業(yè)技能培訓的信息安全人才培訓 體系 ? 2023年， CISP ? 2023年， CISM 65 知識體 ：信息安全法規(guī)政策標準 ?知識域：重點信息安全 法律 法規(guī) 解讀 ? 了解我國信息安全法律體系情況 ? 理解 《 中華人民共和國保守國家秘密法 》 中主要條款 ? 了解 《 中華人民共和國 刑法》 、 《 中華人民共和國 電子簽名法》 關于信息安全的重要 條款 66 我國法律法規(guī)體系 ?多級 立法的法律 體系 ? 法律 ? 行政法規(guī) ? 地方性法規(guī) ? 地方政府 規(guī)章 ? 部門 規(guī)章 ?共同 構成了以 《中華人民共和國憲法》為 基礎的統一的法律體系 67 我國 信息 安全法律體系 ? 《 中華人民共和國 憲法 》 、 《 中華人民共和國 刑法 》 ? 《 中華人民共和國 保守國家秘密法 》 、 《 中華人名共和國 電子簽名法 》 ? 《 全國人大常委會關于維護互聯網安全的決定 》 法律