【文章內(nèi)容簡(jiǎn)介】 證服務(wù)管理辦法 》 （原信產(chǎn)部） ? 《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法 》 （原信產(chǎn)部） ? 《 互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定 》（公安部） ? 《計(jì)算機(jī)病毒防治管理辦法 》 （公安部） ? 《 信息安全等級(jí)保護(hù)管理辦法 》 （公安部） ? 《計(jì)算機(jī)信息系統(tǒng)國(guó)際互聯(lián)網(wǎng)保密管理規(guī)定》（保密局） ? 《 互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定 》 （國(guó)新辦、原信產(chǎn)部） 40 一些地方性法規(guī) ?《 貴州省信息化條例 》 （第六章 信息安全保障） ?《 北京市信息化促進(jìn)條例 》 （第五章 信息安全保障） ?《 北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定 》 ?《 北京市黨政機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理辦法 》 ?《廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理規(guī)定》 ?《 廣東省電子政務(wù)信息安全管理暫行辦法 》 ?《 上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法 》 ? 。 41 《 貴州省信息化條例 》 ?(8章 49條， 5個(gè)方面大內(nèi)容，與信息安全有關(guān)條款 15條，占 30%） ? 第二十條 信息安全工程和政府投資的信息化工程，批準(zhǔn)立項(xiàng)前，應(yīng)當(dāng)經(jīng)信息化行政主管部門審查，符合信息化有關(guān)規(guī)劃和信息安全管理要求的，方可按照建設(shè)項(xiàng)目程序辦理相關(guān)手續(xù)。（已列為行政許可） ? 第六章 信息安全保障（第 3440） ? 建立信息安全應(yīng)急處理協(xié)調(diào)機(jī)制。 ? 任何單位和個(gè)人不得利用網(wǎng)絡(luò)與信息系統(tǒng)從事危害國(guó)家安全，擾亂公共秩序，損害公民、法人和其他組織的合法權(quán)益，危害網(wǎng)絡(luò)與信息系統(tǒng)安全以及散布、傳播違法信息等活動(dòng)。 ? 加強(qiáng)信息發(fā)布管理，遏制不良信息傳播。 ? 按照國(guó)家和本省有關(guān)規(guī)定實(shí)行安全等級(jí)保護(hù)制度。 ? 信息化工程應(yīng)進(jìn)行相應(yīng)的安全系統(tǒng)方案設(shè)計(jì)和建設(shè)，信息安全工程和政府投資的信息化工程投入使用前，應(yīng)當(dāng)通過(guò)信息系統(tǒng)安全測(cè)評(píng)。 ? 制定應(yīng)急預(yù)案，并定期演練。 ? 各級(jí)政府信息化行政主管部門應(yīng)當(dāng)組織對(duì)重點(diǎn)信息網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行安全檢查。 42 上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法 ? 依據(jù)有關(guān)信息安全標(biāo)準(zhǔn)、規(guī)范，對(duì)本市承擔(dān)公共管理職能的機(jī)構(gòu)以及提供社會(huì)公共服務(wù)的單位的計(jì)算機(jī)信息系統(tǒng)，進(jìn)行安全保障性能測(cè)試、評(píng)估的活動(dòng)。 ? 新建系統(tǒng)的測(cè)評(píng)（ 第 7條 ）：應(yīng)當(dāng)在系統(tǒng)建設(shè)前將安全設(shè)計(jì)方案報(bào)送市信息委審查；市信息委應(yīng)當(dāng)在 15日內(nèi)提出審查意見(jiàn)。新建的公共信息系統(tǒng)試運(yùn)行結(jié)束后 30日內(nèi)，應(yīng)當(dāng)進(jìn)行安全測(cè)評(píng)。 ? 安全整改（第 13條）： 應(yīng)當(dāng)根據(jù)測(cè)評(píng)報(bào)告的整改建議，對(duì)公共信息系統(tǒng)采取安全整改措施。完成安全整改后 15日內(nèi)，應(yīng)當(dāng)將整改情況報(bào)送市信息委 及其主管部門 備案。 ? 動(dòng)態(tài)復(fù)測(cè)（第 15條）： 每?jī)赡赀M(jìn)行一次復(fù)測(cè)；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、信息處理流程等發(fā)生重大變更的，應(yīng)當(dāng)及時(shí)進(jìn)行復(fù)測(cè)。 46 國(guó)外信息安全法律法規(guī)簡(jiǎn)介 ?國(guó)外信息安全法律法規(guī)簡(jiǎn)介（以美國(guó)為例） ? 《 信息自由法 》 （ 1966年） ? 《 愛(ài)國(guó)者法 》 （ 2023年） ? 《 聯(lián)邦信息安全管理法案 》 （ FISMA， 2023年） ? 屬于 《 電子政務(wù)法 》 的第三部分 ? 給出了信息安全的定義 ?國(guó)內(nèi)外信息安全法治體系的差距分析 ? 體系性 ? 廣度 ? 深度 ? 。 。 47 聯(lián)邦政府信息保密分類標(biāo)準(zhǔn) ?（ 艾森豪威爾總統(tǒng)發(fā)布行政命令 10501號(hào)， 1953年 ） ? 秘 密級(jí)（ Confidential）：根據(jù)合理的預(yù)期，公布以后可能會(huì)損害國(guó)家安全的材料。 ? 機(jī) 密級(jí)（ Secret）：被用來(lái)保護(hù)披露后預(yù)計(jì)可能會(huì)嚴(yán)重危害國(guó)家安全的材料。 ? 絕密級(jí)（ Top Secret）：是用于保護(hù)公開(kāi)后預(yù)計(jì)可能會(huì)給國(guó)家安全帶來(lái)異乎尋常之危害的材料。 ?另 ：《 總統(tǒng)檔案法 》 （ Presidential Record Act of 1978） ? 白宮幕僚向總統(tǒng)出謀劃策的文件要該屆政府結(jié)束 12年之后才能公開(kāi) ? 政府聯(lián)邦機(jī)構(gòu)（中情局等除外）須在 2023年 4月之前公開(kāi)含有歷史材料且時(shí)逾 25年的保密檔案 48 《 信息自由法 》 ?Freedom of Information Act of 1966， FOIA ?美國(guó)對(duì)政府信息進(jìn)行立法保護(hù)的首要原則是向公眾公開(kāi)原則 （也叫信息公開(kāi)原則），是構(gòu)成其他信息安全保護(hù)法律的基礎(chǔ) ?該法案 主要是保障公民的個(gè)人自由 ,但也需要保障國(guó)家的安全，因此，該法利用“例外”的立法方式，將需要保護(hù)的信息加以列舉： ? 國(guó)家安全問(wèn)題； ? 內(nèi)務(wù)材料； ? 法律規(guī)定豁免的材料； ? 商業(yè)秘密； ? 工作文件（當(dāng)事人特權(quán)性材料）； ? 個(gè)人隱私文件； ? 執(zhí)法檔案； ? 金融機(jī)構(gòu)材料； ? 地質(zhì)數(shù)據(jù)。 49 《保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施》 ?克林頓 總統(tǒng)令 PDD63， 1998年 ?第一次就美國(guó)信息安全戰(zhàn)略的完整概念、意義、長(zhǎng)期與短期目標(biāo)等作了說(shuō)明 ， 對(duì)由國(guó)防部提出的“信息保障”作了新的解釋， 并對(duì)下一步的信息安全工作做了指示。 ?最遲不晚于 2023年 ， 美國(guó)應(yīng)當(dāng)實(shí)現(xiàn)初步的信息保障能力。 ?從發(fā)布之日起五年后 ， 美國(guó)將建立并保持對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)的能力 ， 以防止下 述職能 被有預(yù)謀的行為破壞 ： ? 聯(lián)邦政府履行其重要的國(guó)家安全責(zé)任并確保公眾健康和安全 。 ? 州和地方政府維持有序運(yùn)轉(zhuǎn) ,提供最起碼的重要公共服務(wù) 。 ? 私營(yíng)部門確保經(jīng)濟(jì)有序運(yùn)行以及提供重要電信、能源、金融和運(yùn)輸?shù)恼７?wù)。 ? 要求 這些關(guān)鍵功能如遭到的任何破壞或操縱 ,必須將其控制在歷時(shí)短、頻率小、可控、地域上可隔離以及對(duì)美國(guó)的利益損害最小。 50 《 愛(ài)國(guó)者法 》 ?USA Patriot of Act of 2023 ?是“ ” 事件以后美國(guó)為保障國(guó)家安全頒布的最為重要的一件法律，也是目前爭(zhēng)議最大的一部法律。 ?從法律上授予美國(guó)國(guó)內(nèi)執(zhí)法機(jī)構(gòu)和國(guó)際情報(bào)機(jī)構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動(dòng)，使美國(guó)人民能夠生活在安全的環(huán)境中。 ?由于該法賦予聯(lián)邦政府的權(quán)力過(guò)大，引起美國(guó)國(guó)內(nèi)民權(quán)人士的擔(dān)憂，并產(chǎn)生訴案。 ? 該法 還對(duì)美國(guó)現(xiàn)有的十幾部法律做出了修改 ? 政府可以對(duì)國(guó)外銀行和對(duì)私人存戶達(dá)到 100萬(wàn)美元以上的賬戶進(jìn)行盡職調(diào)查 51 《 聯(lián)邦信息安全管理法案 》 ?Federal Information Security Management Act of 2023， FISMA ?給出了“信息安全”的定義： 保護(hù)信息和信息系統(tǒng)以避免未授權(quán)的訪問(wèn)、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性 ? 完整性指防止不恰當(dāng)?shù)男畔⑿薷暮推茐?，也包括確保信息的不可否認(rèn)性和可認(rèn)證性 ? 保密性指對(duì)信息訪問(wèn)和公開(kāi)的授權(quán)限制，包括對(duì)個(gè)人隱私和私有信息的保護(hù) ? 可用性指對(duì)信息的及時(shí)和可靠的訪問(wèn) ?對(duì) 國(guó)家信息安全管理職責(zé) 的授權(quán) ? 國(guó)家標(biāo)準(zhǔn)與技術(shù)局（ NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標(biāo)準(zhǔn)與指南 ? 管理與預(yù)算辦公室（ OMB）主任對(duì)安全政策、原則、標(biāo)準(zhǔn)、指南等的制定、執(zhí)行（包括遵守）情況進(jìn)行監(jiān)督 52 電子政務(wù)法 ?《電子政務(wù)法》 （ the EGovernment Act of 2023） ? FISMA是該法案的第 3部分 ? 該法對(duì)聯(lián)邦政府信息技術(shù)管理和規(guī)劃的每一個(gè)方面，從危機(jī)管理到電子檔案及查詢索引都做了規(guī)定 53 《 美國(guó)企業(yè)改革法案 》 ?（ SarbanesOxley Act of 2023） ， 又名 《 公眾公司會(huì)計(jì)改革與投資者保護(hù)法 》 ，簡(jiǎn)稱 《 薩班斯 奧克斯利法 》 。 ?主要目的是加強(qiáng)對(duì)上市公司內(nèi)部金融信息的監(jiān)管，以維護(hù)金融市場(chǎng)的秩序和安全。 ?要求某些公司保證其內(nèi)部金融控制的準(zhǔn)確性，證券交易委員會(huì)（ SEC）有權(quán)制定標(biāo)準(zhǔn)并執(zhí)行這些規(guī)則，與其他對(duì)金融組織擁有管轄權(quán)的機(jī)構(gòu)負(fù)責(zé)對(duì)金融組織計(jì)算機(jī)系統(tǒng)上的有關(guān)個(gè)人金融信息隱私的規(guī)則的執(zhí)行。 54 知識(shí)域：信息安全國(guó)家政策 ?知識(shí)子域：國(guó)家信息安全管理總體方針 ? 掌握國(guó)家有關(guān)政策對(duì)信息安全保障工作的總體要求 ? 掌握國(guó)家有關(guān)政策規(guī)定的加強(qiáng)信息安全保障工作主要原則 ? 掌握國(guó)家有關(guān)政策規(guī)定需要重點(diǎn)加強(qiáng)的信息安全保障工作 ?知識(shí)子域：電子政務(wù)及重要信息系統(tǒng)信息安全政策 ? 了解關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的四項(xiàng)基本要求：明確職責(zé)、強(qiáng)化人員培訓(xùn)、完善安全措施和手段、加強(qiáng)信息安全檢查 55 《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 》 （中辦發(fā) [2023]27號(hào)） 1 ?意義 ? 標(biāo)志著我國(guó)信息安全保障工作有了總體綱領(lǐng) ? 提出要在 5年內(nèi)建設(shè)中國(guó)信息安全保障體系 ?總體要求 ? 堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。 ?主要原則 ? 立足國(guó)情，以我為主，堅(jiān)持技術(shù)與管理并重； ? 正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全； ? 統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作； ? 明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。 56 《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 》 （中辦發(fā) [2023]27號(hào)） 2 ?主要任務(wù)（ 重點(diǎn)加強(qiáng)的安全保障工作 ） ? 實(shí)行信息安全等級(jí)保護(hù) ? 加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè) ? 建設(shè)和完善信息安全監(jiān)控體系 ? 重視信息安全應(yīng)急處理工作 ? 加強(qiáng)信息安全技術(shù)研究開(kāi)發(fā)，推進(jìn)信息安全產(chǎn)業(yè)發(fā)展 ? 加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè) ? 加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識(shí) ? 保證信息安全資金 ? 加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制 ?信息安全與國(guó)家安全 ? 27號(hào)文：信息安全已成為國(guó)家安全的重要組成部分 ? 十六屆四中全會(huì)：確保國(guó)家的政治安全、經(jīng)濟(jì)安全、文化安全和信息安全 十一五：試點(diǎn) ? 十二五：普及推廣 57 國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法 ?本身不是政策，屬于法律法規(guī) ? 部門規(guī)章 國(guó)家發(fā)改委令 [2023]第 55號(hào) ? 對(duì)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目有明確的信息安全要求 ?第六章 驗(yàn)收評(píng)價(jià)管理 ? 項(xiàng)目建設(shè)單位應(yīng)在完成項(xiàng)目建設(shè)任務(wù)后的半年內(nèi) ,組織完成建設(shè)項(xiàng)目的信息安全風(fēng)險(xiǎn)評(píng)估和初步驗(yàn)收工作。 ?第七章 運(yùn)行管理 ? 項(xiàng)目建設(shè)單位或其委托的專業(yè)機(jī)構(gòu)應(yīng)按照風(fēng)險(xiǎn)評(píng)估的相關(guān)規(guī)定 , 對(duì)建成項(xiàng)目進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估 ,檢驗(yàn)其網(wǎng)絡(luò)和信息系統(tǒng)對(duì)安全環(huán)境變化的適應(yīng)性及安全措施的有效性 ,保障信息安全目標(biāo)的實(shí)現(xiàn)。 ?項(xiàng)建書、可研報(bào)告、初步設(shè)計(jì)方案 ? 在“項(xiàng)建和可研”的項(xiàng)目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案” ? 在“初設(shè)”的項(xiàng)目設(shè)計(jì)方案中應(yīng)包含“安全系統(tǒng)設(shè)計(jì)” 關(guān)于加強(qiáng)政府信息安全和保密管理工作的通知（ 國(guó) 辦發(fā) [2023]17號(hào)） ?明確職責(zé) ? 把 信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導(dǎo) ? 誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé) ?強(qiáng)化人員培訓(xùn) ? 組織信息安全和保密基本技能培訓(xùn)，開(kāi)展信息安全和保密形勢(shì)分析 ? 深入學(xué)習(xí)宣傳信息安全“五禁止”規(guī)定 ?完善安全措施和手段 ? 管理制度 +技術(shù)手段 ?加強(qiáng)信息安全檢查 ? 詳見(jiàn) 《 政府信息系統(tǒng)安全檢查辦法 》 59 關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（ 國(guó) 辦發(fā) [2023]28號(hào)） 1 ?依據(jù) ? 《 關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知 》 （國(guó)辦發(fā) [2023]17號(hào)） ?檢查范圍和檢查重點(diǎn) ? 各級(jí)政府及其部門對(duì)自行運(yùn)行和維護(hù)管理以及委托其他機(jī)構(gòu)進(jìn)行和維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進(jìn)行一次全面的安全檢查。 ? 國(guó)務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點(diǎn)。 ?檢查方式 ? 各單位自查 + 統(tǒng)一組織抽查 + 安全檢測(cè)（按需） ? 工信部負(fù)責(zé)協(xié)調(diào)、指導(dǎo)、監(jiān)督，公安 /安全 /保密 /密碼等部門按職責(zé)分工 ? 《 2023年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2023]168號(hào)） ? 《 2023年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2023]143號(hào)） 60 關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（ 國(guó) 辦發(fā) [2023]28號(hào)） 2 ?檢查內(nèi)容 ? 安全制度落實(shí)情況 人員、制度、經(jīng)費(fèi)等 ? 安全防范措施落實(shí)情況 各類技術(shù)措施 ? 應(yīng)急響應(yīng)機(jī)制建設(shè)情況 應(yīng)急 預(yù)案制定和演練、應(yīng)急隊(duì)伍、事故處置、數(shù)據(jù) /系統(tǒng)備份等 ? 信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況 終端 /OA/信息安全產(chǎn)品國(guó)產(chǎn)情況、信息安全服務(wù)外包情況等 ? 安全教育培訓(xùn)情況 參加、掌握、持證等情況 ? 責(zé)任追究情況 ? 安全隱患排查及整改情況