【文章內(nèi)容簡介】 證服務(wù)管理辦法 》 （原信產(chǎn)部） ? 《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法 》 （原信產(chǎn)部） ? 《 互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定 》（公安部） ? 《計算機病毒防治管理辦法 》 （公安部） ? 《 信息安全等級保護管理辦法 》 （公安部） ? 《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》（保密局） ? 《 互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定 》 （國新辦、原信產(chǎn)部） 40 一些地方性法規(guī) ?《 貴州省信息化條例 》 （第六章 信息安全保障） ?《 北京市信息化促進條例 》 （第五章 信息安全保障） ?《 北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定 》 ?《 北京市黨政機關(guān)計算機網(wǎng)絡(luò)與信息安全管理辦法 》 ?《廣東省計算機信息系統(tǒng)安全保護管理規(guī)定》 ?《 廣東省電子政務(wù)信息安全管理暫行辦法 》 ?《 上海市公共信息系統(tǒng)安全測評管理辦法 》 ? 。 41 《 貴州省信息化條例 》 ?(8章 49條， 5個方面大內(nèi)容，與信息安全有關(guān)條款 15條，占 30%） ? 第二十條 信息安全工程和政府投資的信息化工程，批準立項前，應(yīng)當經(jīng)信息化行政主管部門審查，符合信息化有關(guān)規(guī)劃和信息安全管理要求的，方可按照建設(shè)項目程序辦理相關(guān)手續(xù)。（已列為行政許可） ? 第六章 信息安全保障（第 3440） ? 建立信息安全應(yīng)急處理協(xié)調(diào)機制。 ? 任何單位和個人不得利用網(wǎng)絡(luò)與信息系統(tǒng)從事危害國家安全，擾亂公共秩序，損害公民、法人和其他組織的合法權(quán)益，危害網(wǎng)絡(luò)與信息系統(tǒng)安全以及散布、傳播違法信息等活動。 ? 加強信息發(fā)布管理，遏制不良信息傳播。 ? 按照國家和本省有關(guān)規(guī)定實行安全等級保護制度。 ? 信息化工程應(yīng)進行相應(yīng)的安全系統(tǒng)方案設(shè)計和建設(shè)，信息安全工程和政府投資的信息化工程投入使用前，應(yīng)當通過信息系統(tǒng)安全測評。 ? 制定應(yīng)急預案，并定期演練。 ? 各級政府信息化行政主管部門應(yīng)當組織對重點信息網(wǎng)絡(luò)和信息系統(tǒng)進行安全檢查。 42 上海市公共信息系統(tǒng)安全測評管理辦法 ? 依據(jù)有關(guān)信息安全標準、規(guī)范，對本市承擔公共管理職能的機構(gòu)以及提供社會公共服務(wù)的單位的計算機信息系統(tǒng)，進行安全保障性能測試、評估的活動。 ? 新建系統(tǒng)的測評（ 第 7條 ）：應(yīng)當在系統(tǒng)建設(shè)前將安全設(shè)計方案報送市信息委審查；市信息委應(yīng)當在 15日內(nèi)提出審查意見。新建的公共信息系統(tǒng)試運行結(jié)束后 30日內(nèi)，應(yīng)當進行安全測評。 ? 安全整改（第 13條）： 應(yīng)當根據(jù)測評報告的整改建議，對公共信息系統(tǒng)采取安全整改措施。完成安全整改后 15日內(nèi)，應(yīng)當將整改情況報送市信息委 及其主管部門 備案。 ? 動態(tài)復測（第 15條）： 每兩年進行一次復測；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、信息處理流程等發(fā)生重大變更的，應(yīng)當及時進行復測。 46 國外信息安全法律法規(guī)簡介 ?國外信息安全法律法規(guī)簡介（以美國為例） ? 《 信息自由法 》 （ 1966年） ? 《 愛國者法 》 （ 2023年） ? 《 聯(lián)邦信息安全管理法案 》 （ FISMA， 2023年） ? 屬于 《 電子政務(wù)法 》 的第三部分 ? 給出了信息安全的定義 ?國內(nèi)外信息安全法治體系的差距分析 ? 體系性 ? 廣度 ? 深度 ? 。 。 47 聯(lián)邦政府信息保密分類標準 ?（ 艾森豪威爾總統(tǒng)發(fā)布行政命令 10501號， 1953年 ） ? 秘 密級（ Confidential）：根據(jù)合理的預期，公布以后可能會損害國家安全的材料。 ? 機 密級（ Secret）：被用來保護披露后預計可能會嚴重危害國家安全的材料。 ? 絕密級（ Top Secret）：是用于保護公開后預計可能會給國家安全帶來異乎尋常之危害的材料。 ?另 ：《 總統(tǒng)檔案法 》 （ Presidential Record Act of 1978） ? 白宮幕僚向總統(tǒng)出謀劃策的文件要該屆政府結(jié)束 12年之后才能公開 ? 政府聯(lián)邦機構(gòu)（中情局等除外）須在 2023年 4月之前公開含有歷史材料且時逾 25年的保密檔案 48 《 信息自由法 》 ?Freedom of Information Act of 1966， FOIA ?美國對政府信息進行立法保護的首要原則是向公眾公開原則 （也叫信息公開原則），是構(gòu)成其他信息安全保護法律的基礎(chǔ) ?該法案 主要是保障公民的個人自由 ,但也需要保障國家的安全，因此，該法利用“例外”的立法方式，將需要保護的信息加以列舉： ? 國家安全問題； ? 內(nèi)務(wù)材料； ? 法律規(guī)定豁免的材料； ? 商業(yè)秘密； ? 工作文件（當事人特權(quán)性材料）； ? 個人隱私文件； ? 執(zhí)法檔案； ? 金融機構(gòu)材料； ? 地質(zhì)數(shù)據(jù)。 49 《保護美國關(guān)鍵基礎(chǔ)設(shè)施》 ?克林頓 總統(tǒng)令 PDD63， 1998年 ?第一次就美國信息安全戰(zhàn)略的完整概念、意義、長期與短期目標等作了說明 ， 對由國防部提出的“信息保障”作了新的解釋， 并對下一步的信息安全工作做了指示。 ?最遲不晚于 2023年 ， 美國應(yīng)當實現(xiàn)初步的信息保障能力。 ?從發(fā)布之日起五年后 ， 美國將建立并保持對國家關(guān)鍵基礎(chǔ)設(shè)施進行保護的能力 ， 以防止下 述職能 被有預謀的行為破壞 ： ? 聯(lián)邦政府履行其重要的國家安全責任并確保公眾健康和安全 。 ? 州和地方政府維持有序運轉(zhuǎn) ,提供最起碼的重要公共服務(wù) 。 ? 私營部門確保經(jīng)濟有序運行以及提供重要電信、能源、金融和運輸?shù)恼７?wù)。 ? 要求 這些關(guān)鍵功能如遭到的任何破壞或操縱 ,必須將其控制在歷時短、頻率小、可控、地域上可隔離以及對美國的利益損害最小。 50 《 愛國者法 》 ?USA Patriot of Act of 2023 ?是“ ” 事件以后美國為保障國家安全頒布的最為重要的一件法律，也是目前爭議最大的一部法律。 ?從法律上授予美國國內(nèi)執(zhí)法機構(gòu)和國際情報機構(gòu)非常廣泛的權(quán)力和相應(yīng)的設(shè)施以防止、偵破和打擊恐怖主義活動，使美國人民能夠生活在安全的環(huán)境中。 ?由于該法賦予聯(lián)邦政府的權(quán)力過大，引起美國國內(nèi)民權(quán)人士的擔憂，并產(chǎn)生訴案。 ? 該法 還對美國現(xiàn)有的十幾部法律做出了修改 ? 政府可以對國外銀行和對私人存戶達到 100萬美元以上的賬戶進行盡職調(diào)查 51 《 聯(lián)邦信息安全管理法案 》 ?Federal Information Security Management Act of 2023， FISMA ?給出了“信息安全”的定義： 保護信息和信息系統(tǒng)以避免未授權(quán)的訪問、使用、泄漏、破壞、修改或者銷毀，以確保信息的完整性、保密性和可用性 ? 完整性指防止不恰當?shù)男畔⑿薷暮推茐模舶ù_保信息的不可否認性和可認證性 ? 保密性指對信息訪問和公開的授權(quán)限制，包括對個人隱私和私有信息的保護 ? 可用性指對信息的及時和可靠的訪問 ?對 國家信息安全管理職責 的授權(quán) ? 國家標準與技術(shù)局（ NIST）為聯(lián)邦政府使用的系統(tǒng)制定安全標準與指南 ? 管理與預算辦公室（ OMB）主任對安全政策、原則、標準、指南等的制定、執(zhí)行（包括遵守）情況進行監(jiān)督 52 電子政務(wù)法 ?《電子政務(wù)法》 （ the EGovernment Act of 2023） ? FISMA是該法案的第 3部分 ? 該法對聯(lián)邦政府信息技術(shù)管理和規(guī)劃的每一個方面，從危機管理到電子檔案及查詢索引都做了規(guī)定 53 《 美國企業(yè)改革法案 》 ?（ SarbanesOxley Act of 2023） ， 又名 《 公眾公司會計改革與投資者保護法 》 ，簡稱 《 薩班斯 奧克斯利法 》 。 ?主要目的是加強對上市公司內(nèi)部金融信息的監(jiān)管，以維護金融市場的秩序和安全。 ?要求某些公司保證其內(nèi)部金融控制的準確性，證券交易委員會（ SEC）有權(quán)制定標準并執(zhí)行這些規(guī)則，與其他對金融組織擁有管轄權(quán)的機構(gòu)負責對金融組織計算機系統(tǒng)上的有關(guān)個人金融信息隱私的規(guī)則的執(zhí)行。 54 知識域：信息安全國家政策 ?知識子域：國家信息安全管理總體方針 ? 掌握國家有關(guān)政策對信息安全保障工作的總體要求 ? 掌握國家有關(guān)政策規(guī)定的加強信息安全保障工作主要原則 ? 掌握國家有關(guān)政策規(guī)定需要重點加強的信息安全保障工作 ?知識子域：電子政務(wù)及重要信息系統(tǒng)信息安全政策 ? 了解關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的四項基本要求：明確職責、強化人員培訓、完善安全措施和手段、加強信息安全檢查 55 《 國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見 》 （中辦發(fā) [2023]27號） 1 ?意義 ? 標志著我國信息安全保障工作有了總體綱領(lǐng) ? 提出要在 5年內(nèi)建設(shè)中國信息安全保障體系 ?總體要求 ? 堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進信息化發(fā)展，保護公眾利益，維護國家安全。 ?主要原則 ? 立足國情，以我為主，堅持技術(shù)與管理并重； ? 正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全； ? 統(tǒng)籌規(guī)劃，突出重點，強化基礎(chǔ)工作； ? 明確國家、企業(yè)、個人的責任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系。 56 《 國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見 》 （中辦發(fā) [2023]27號） 2 ?主要任務(wù)（ 重點加強的安全保障工作 ） ? 實行信息安全等級保護 ? 加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè) ? 建設(shè)和完善信息安全監(jiān)控體系 ? 重視信息安全應(yīng)急處理工作 ? 加強信息安全技術(shù)研究開發(fā)，推進信息安全產(chǎn)業(yè)發(fā)展 ? 加強信息安全法制建設(shè)和標準化建設(shè) ? 加快信息安全人才培養(yǎng)，增強全民信息安全意識 ? 保證信息安全資金 ? 加強對信息安全保障工作的領(lǐng)導，建立健全信息安全管理責任制 ?信息安全與國家安全 ? 27號文：信息安全已成為國家安全的重要組成部分 ? 十六屆四中全會：確保國家的政治安全、經(jīng)濟安全、文化安全和信息安全 十一五：試點 ? 十二五：普及推廣 57 國家電子政務(wù)工程建設(shè)項目管理暫行辦法 ?本身不是政策，屬于法律法規(guī) ? 部門規(guī)章 國家發(fā)改委令 [2023]第 55號 ? 對國家電子政務(wù)工程建設(shè)項目有明確的信息安全要求 ?第六章 驗收評價管理 ? 項目建設(shè)單位應(yīng)在完成項目建設(shè)任務(wù)后的半年內(nèi) ,組織完成建設(shè)項目的信息安全風險評估和初步驗收工作。 ?第七章 運行管理 ? 項目建設(shè)單位或其委托的專業(yè)機構(gòu)應(yīng)按照風險評估的相關(guān)規(guī)定 , 對建成項目進行信息安全風險評估 ,檢驗其網(wǎng)絡(luò)和信息系統(tǒng)對安全環(huán)境變化的適應(yīng)性及安全措施的有效性 ,保障信息安全目標的實現(xiàn)。 ?項建書、可研報告、初步設(shè)計方案 ? 在“項建和可研”的項目建設(shè)方案中應(yīng)包含“安全系統(tǒng)建設(shè)方案” ? 在“初設(shè)”的項目設(shè)計方案中應(yīng)包含“安全系統(tǒng)設(shè)計” 關(guān)于加強政府信息安全和保密管理工作的通知（ 國 辦發(fā) [2023]17號） ?明確職責 ? 把 信息安全和保密工作列入重要議事日程，明確一名主管領(lǐng)導 ? 誰主管誰負責、誰運行誰負責、誰使用誰負責 ?強化人員培訓 ? 組織信息安全和保密基本技能培訓，開展信息安全和保密形勢分析 ? 深入學習宣傳信息安全“五禁止”規(guī)定 ?完善安全措施和手段 ? 管理制度 +技術(shù)手段 ?加強信息安全檢查 ? 詳見 《 政府信息系統(tǒng)安全檢查辦法 》 59 關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（ 國 辦發(fā) [2023]28號） 1 ?依據(jù) ? 《 關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知 》 （國辦發(fā) [2023]17號） ?檢查范圍和檢查重點 ? 各級政府及其部門對自行運行和維護管理以及委托其他機構(gòu)進行和維護管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等，每半年要進行一次全面的安全檢查。 ? 國務(wù)院各部門和地方政府的辦公系統(tǒng)、重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站以及重要新聞網(wǎng)站，要作為檢查重點。 ?檢查方式 ? 各單位自查 + 統(tǒng)一組織抽查 + 安全檢測（按需） ? 工信部負責協(xié)調(diào)、指導、監(jiān)督，公安 /安全 /保密 /密碼等部門按職責分工 ? 《 2023年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2023]168號） ? 《 2023年度政府信息系統(tǒng)安全檢查指南 》 （工信部協(xié) [2023]143號） 60 關(guān)于印發(fā)政府信息系統(tǒng)安全檢查辦法的通知（ 國 辦發(fā) [2023]28號） 2 ?檢查內(nèi)容 ? 安全制度落實情況 人員、制度、經(jīng)費等 ? 安全防范措施落實情況 各類技術(shù)措施 ? 應(yīng)急響應(yīng)機制建設(shè)情況 應(yīng)急 預案制定和演練、應(yīng)急隊伍、事故處置、數(shù)據(jù) /系統(tǒng)備份等 ? 信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況 終端 /OA/信息安全產(chǎn)品國產(chǎn)情況、信息安全服務(wù)外包情況等 ? 安全教育培訓情況 參加、掌握、持證等情況 ? 責任追究情況 ? 安全隱患排查及整改情況