信息安全工程师综合知识大纲考点：网络信息安全法律与政策文件.pdf

信息安全工程师综合知识大纲考点：网络信息安全法律

与政策文件

【考点重要程度】：了解、熟悉。主要是对网络信息安全基本法律、网络安

全等级保护、网络产品和服务审查这3个知识点重点了解下。

【考点内容】：

网络信息安全法律与政策主要有：国家安全、网络安全战略、网络安全保

护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。

网络信息安全基本法律与国家战略：主要有《中华人民共和国国家安全法》、

《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络

信息保护的决定》、《国家网络空间安全战略》、《网络空间国际合作战略》等。

网络信息安全基本法律：

《中华人民共和国网络安全法》由中华人民共和国第十二届全国人名代表

大会常务委员会第二十四次会议于2016年11月7日通过，于2017年6月1日

起施行;

《中华人民共和国密码法》于2020年1月1日起施行;

《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》于2021

年9月1日实施;

《中华人民共和国个人信息保护法》于2021年11月1日起施行;

《网络安全审查办法》于2022年2月15日起施行。

网络安全等级保护：

等级保护义务：

（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络

安全保护责任;

（2）采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技

术措施;

（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规

定留存相关网络日志不少于六个月；

（4）采取数据分类、重要数据备份和加密等措施;

（5）法律、行政法规规定的其它义务。

网络安全等级保护的主要工作可以概括为：定级、备案、建设整改、等级

测评、运营维护。

（1）定级：确认定级对象、确定合适级别，通过专家评审和主管部门审核;

（2）备案：按等级保护管理规定准备备案材料，到当地公安机关备案和审

核;

（3）建设整改：依据相应等级要求对当前保护对象的实际情况进行差距分

析，针对不符合项结合行业要求对保护对象进行整改，建设符合等级要求的安

全技术和管理体系。

（4）等级测评：等级保护测评机构依据相应等级要求，对定级的保护对象

进行测评，并出具相应的等级保护测评证书

（5）运营维护：等级保护运营主体按照相应等级要求，对保护对象的安全

相关事宜进行监督管理。

国家密码管理制度：根据密码法，国家密码管理部门负责管理全国密码工作，

县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

网络产品和服务审查：依据《中华人民共和国国家安全法》和《中华人民共

和国网络安全法》等法律法规，有关部门制订了《网络产品和服务安全审查办法》。

中国网络安全审查技术与认证中心（CCRC，原中国信息安全认证中心）是负责

实施网络安全审查和认证的专门机构。

审查重点评估采购网络产品和服务可能带来的国家安全风险，这些风险主要

包括：

（1）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或

破坏，以及重要数据被窃取、泄露、毁损的风险;

（2）产品和服务供应中断对关键信息基础设施业务连续性的危害;

（3）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的

可靠性以及因为

（4）政治、外交、贸易等因素导致供应中断的风险;

（5）产品和服务提供者遵守中国法律、行政法规、部门规章情况;

（6）其他可能危害关键信息基础设施安全和国家安全的因素。

互联网域名安全管理：

1、域名服务是网络基础服务。主要是指从事域名根服务器运行和管理、顶

级域名运行和管理、域名注册、域名解析等活动。域名系统出现网络与信息安全

事件时，应当在24小时内向电信管理机构报告。

2、域名是政府网站的基本组成部分和重要标识。网站要加强域名解析安全

防护和域名监测处置，积极采取域名系统（DNS）安全协议技术，抗攻击技术等

措施，防止域名被劫持，确保域名解析安全。自建网站服务器不得随意放在境外，

服用网络虚拟空间应位于中国境内，使用内