信息安全法律法规与管理.pptVIP

信息安全管理与法律法规法律篇 什么是信息安全？ “信息安全”问题 “信息系统”安全问题 信息不安全引发的其他安全问题 信息安全管理概述 什么是信息安全 信息安全的影响 信息安全风险评估 信息安全的对策 信息安全技术的特点 信息安全管理的特点 信息安全的概念 安全 没有危险、不受威胁、不出事故。 信息安全 一般是指网络信息的必威体育官网网址性、完整性、真实性、可用性和不可抵赖性.必威体育官网网址性是指其内容不会被未授权的第三方非法窃取 信息安全是指信息在采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等能否得到良好保护的一种状态 保证己方信息系统的正常运行,从而实现己方的信息交流的完整性、可用性、可靠性和必威体育官网网址性.同时,能够有效地遏制、削弱、破坏、反击对己方信息及信息系统的攻击和破坏行为 向合法服务对象提供准确、及时、可靠的信息服务,而对于其他的非授权用户要保持最大限度的信息的不透明性、不可获取性、不可干扰性和不可破坏性等 信息安全风险评估 资产 软件、硬件、数据 脆弱性 软件、硬件、制度、人 威胁 外部、内部，有意、无意 可能性 蓄谋、偶然，难度 后果 价值、影响 信息安全属性 信息安全的属性 必威体育官网网址性Confidentiality 完整性Integrity 可用性Availability 不可否认性（抗抵赖）Nonreputiation 真实性Authenticity 可控性/可治理性Controllability/Governability 可靠性… 信息安全的影响 国家安全 主权安全：国家独立、领土完整、政权统一，… 综合安全：大范围的政治、经济、文化安全，… 社会公共安全 地方政治、经济、文化安全、治安稳定，… 行业 行业信誉，… 组织 组织形象信誉、业务，… 个人 隐私、财产、人身安全、名誉，… 信息安全的对策 国家层面 法律法规、政策、标准 社会层面 道德 行业层面 行规 组织层面 规章制度 个人 培训、意识、行为规范 信息安全的特点 全面性 各种OS、应用环境、各个层次 基础性 从底层（硬件CPU、软件OS）基础上构建安全体系 整体性 整体防御：防（防范）、测（检测） 、控（控制）、管（管理）、攻（攻击） 、评（评估） 挂万漏一都会酿成大错 信息安全技术的特点（1） 信息安全技术应用广泛 硬件、OS、应用软件、物理环境、… 信息安全技术不断发展 密码、病毒查杀、漏洞扫描与挖掘、防火墙、入侵检测、蜜罐、信息隐藏、身份鉴别、网络隔离、容灾备份、可信计算、移动安全、无线安全、云安全、网军、影子网络、… 信息安全技术的特点（2） 管理与技术的结合 技术不是万能的 技术需要管理来保障 底层不可控 技术可能被利用 信息安全管理 基本概念 社会组织中，为了实现预期的目标，以人为中心进行的协调活动（计划、组织、控制、奖惩等）。 人 最主要的因素，主观能动性。 全方位、全过程的系列活动 全生命周期，各层面。 信息安全管理层次 法律/法规 国家按照统治阶级的利益和意志制定和认可、并由国家强制力保障其实施的行为规范的总和。 道德 依靠社会舆论、传统习惯、教育和人的信念的力量去调整人与人、个人与社会之间关系的一种特殊的行为规范。 标准 衡量事物的准则或作为准则的事物，包含技术规范或其他被一致地用作规则、指南或角色定义的精确的准则，以便保证材料、产品、过程和服务合乎一定的目的。 组织制度 法律法规（1） 法律 广义上讲，法律泛指一切规范性文件；狭义上讲，仅指全国人大及其常委会制定的规范性文件。 法律法规（2） 法规 主要指（国务院）行政法规、地方性（人大及常委会）法规、民族自治法规及经济特区法规等。 法律法规（3） 规章 行政性法律规范文件，主要指国务院组成部门及直属机构，省、自治区、直辖市人民政府及省、自治区政府所在地的市和经国务院批准的较大的市和人民政府，在职权范围内，为执行法律、法规，需要制定的事项或属于本行政区域的具体行政管理事项而制定的规范性文件。 法律法规（4） 概述 立法（人大/国务院：制定、修改、废止） 司法（依法审理和评判案件：检察院、法院） 执法（执行法律：法院、检察院、公安部、安全部、工商局、税务局等） 法律分类 适用性：民法、刑法和行政法——民事责任、刑事责任和行政责任 法律法规（5） 法律法规的作用 指引作用（规范） 评判作用（判决） 预测作用（震慑、警示） 教育作用（引以为戒） 强制作用（惩戒） 信息安全法律法规（1） 信息安全法 信息安全法是调整信息主体在维护信息安全过程中所产生的社会关系的法律规范的总称。 2011年3月的政协会议上，几名委员分别不约而同地提出要重视国家信息安全，制定《信息安全法》，改变目前国内信息安全产业监管无序的现状，防止互联网的不正当竞争