CISP - 法律法规
博主初学 CISP 受益匪浅,故将所学知识梳理为笔记,以供查阅和复习。本章主要整理了 CISP 中所提到的法律法规、标准体系和通知意见等(以最新修订版发布时间先后排序)。
ISMS 信息安全管理体系(起源于英国)
| 四层金字塔 | 文档结构规划 | 文档举例 |
|---|---|---|
| 一级文件 | 方针、手册等 | 《单位信息安全方针》 |
| 二级文件 | 管理制度、程序、策略文件等 | 《人力资源安全管理规定》 |
| 三级文件 | 操作规范、流程、业务指导书、模板文件等 | 《病毒防范指南》 |
| 四级文件 | 体系运行的各种记录:各种计划、表格、报告、运行/检查记录、日志文件等 | 《数字证书签发系统运维日志》《风险评估报告》《ISMS 内部审核计划》 |
TCSEC 可信计算机系统评估准则(美国国防部发布)
Trusted Computer System Evaluation Criteria(可信计算机系统评估准则)将计算机系统的安全可信度从低到高分为:D、C、B、A 四类共七个级别:D级、C1级、C2级、B1级、B2级、B3级、A级
其中 B1 级是满足强制保护要求的最低级别
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27 号)
- 加强信息安全保障工作的总体要求和主要原则
- 加强信息安全保障工作的总体要求是:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
- 加强信息安全保障工作的主要原则是:立足国情,以我为主,坚持管理与技术并重;正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
- 实行信息安全等级保护
- 加强以密码技术为基础的信息保护和网络信任体系建设
- 建设和完善信息安全监控体系
- 重视信息安全应急处理工作
- 加强信息安全技术研究开发,推进信息安全产业发展
- 加强信息安全法制建设和标准化建设
- 加快信息安全人才培养,增强全民信息安全意识
- 保证信息安全资金
- 加强对信息安全保障工作的领导,建立健全信息安全管理责任制
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
《关于做好重要信息系统灾难备份工作的通知》(信安通[2004]11号)
重要信息系统灾难备份工作的主要目标是:提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造成的损失,确保重要信息系统的数据安全和作业持续性,避免引起社会重要服务功能的严重中断,保障社会经济的稳定。
重要信息系统灾难备份建设工作要坚持“统筹规划、资源共享、平战结合”的原则,充分调动和发挥各方面的积极性,提高抵御灾难破坏能力和灾难恢复能力。
做好重要信息系统灾难备份工作的若干要求
- 明确责任,各司其职
- 制定灾难备份技术和管理标准规范
- 积极开展灾难备份知识的宣传教育和培训工作
《国家信息安全战略报告》(国信〔2005〕2号)
《关于开展信息安全风险评估工作的意见》(国信办〔2006〕5号)
信息安全风险评估应以自评估为主,自评估和检查评估相互结合,互为补充
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
《信息安全技术 信息系统安全通用技术要求》(GB/T 20271-2006)
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986—2007)
- 术语和定义
- 信息系统(information system):由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
- 信息安全事件(information security incident):由于自然或者认为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。
- 缩略语
- MI:有害程序事件(Malware Incidents)
- CVI:计算机病毒事件(Computer Virus Incidents)
- WI:蠕虫事件(Worms Incidents)
- THI:特洛伊木马事件(Trojan Horses Incidents)
- BI:僵尸网络事件(Botnets Incidents)
- BAI:混合攻击程序事件(Blended Attacks Incidents)
- WBPI:网页内嵌恶意代码事件(Web Browser Plug-Ins Incidents)
- NAI:网络攻击事件(Network Attacks Incidents)
- DOSAI:拒绝服务攻击事件(Denial of Service Attacks Incidents)
- BDAI:后门攻击事件(Backdoor Attacks Incidents)
- VAI:漏洞攻击事件(Vulnerability Attacks Incidents)
- NSEI:网络扫描窃听事件(Network Scan & Eavesdropping Incidents)
- PI:网络钓鱼事件(Phishing Incidents)
- II:干扰事件(Interference Incidents)
- IDI:信息破坏事件(Information Destroy Incidents)
- IAI:信息篡改事件(Information Alteration Incidents)
- IMI:信息假冒事件(Information Masquerading Incidents)
- ILEI:信息泄露事件(Information Leakage Incidents)
- III:信息窃取事件(Information Interception Incidents)
- ILOI:信息丢失事件(Information Loss Incidents)
- ICSI:信息内容安全事件(Information Content Security Incidents)
- FF:设备设施故障(Facilities Faults)
- SHF:软硬件自身故障(Software and Hardware Faults)
- PSFF:外围保障设施故障(Periphery Safeguarding Facilities Faults)
- MDA:人为破坏事件(Man-made Destroy Accidents)
- DI:灾害性事件(Disaster Incidents)
- OI:其他事件(Other Incidents)
- 信息安全事件分类:本指导性技术文件综合考虑信息安全事件的起因、表现、结果等,对信息安全事件进行分类。
- 有害程序事件(MI)
- 计算机病毒事件(CVI)
- 蠕虫事件(WI)
- 特洛伊木马事件(THI)
- 僵尸网络事件(BI)
- 混合攻击程序事件(BAI)
- 网页内嵌恶意代码事件(WBPI)
- 其它有害程序事件(OMI)
- 网络攻击事件(NAI)
- 拒绝服务攻击事件(DOSAI)
- 后门攻击事件(BDAI)
- 漏洞攻击事件(VAI)
- 网络扫描窃听事件(NSEI)
- 网络钓鱼事件(PI)
- 干扰事件(II)
- 其他网络攻击事件(ONAI)
- 信息破坏事件(IDI)
- 信息篡改事件(IAI)
- 信息假冒事件(IMI)
- 信息泄露事件(ILEI)
- 信息窃取事件(III)
- 信息丢失事件(ILOI)
- 其它信息破坏事件(OIDI)
- 信息内容安全事件(ICSI)
- 违反宪法和法律、行政法规的信息安全事件
- 针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件
- 组织串联、煽动集会游行的信息安全事件
- 其他信息内容安全事件
- 设备设施故障(FF)
- 软硬件自身故障(SHF)
- 外围保障设施故障(PSFF)
- 人为破坏事故(MDA)
- 其它设备设施故障(IF-OT)
- 灾害性事件(DI)
- 灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件
- 灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件
- 其他信息安全事件(OI)
- 有害程序事件(MI)
- 信息系统的重要程度:信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度,划分为
- 特别重要信息系统
- 重要信息系统
- 一般信息系统
- 系统损失:系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而和事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为
- 特别严重的系统损失
- 严重的系统损失
- 较大的系统损失
- 较小的系统损失
- 社会影响:社会影响是指信息安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,划分为
- 特别重大的社会影响
- 重大的社会影响
- 较大的社会影响
- 一般的社会影响
- 信息安全事件分级:对信息安全事件的分级主要考虑三个要素:信息系统的重要程度、系统损失和社会影响。
- 特别重大事件(Ⅰ级)
- 重大事件(Ⅱ级)
- 较大事件(Ⅲ级)
- 一般事件(Ⅳ级)
《信息安全技术 信息系统灾难恢复规范》(GB/T 20988—2007)
RTO/RPO 与灾难恢复能力等级的关系
| 灾难恢复能力等级 | RTO(恢复时间目标) | RPO(恢复点目标) |
|---|---|---|
| 1 | 2天以上 | 1天至7天 |
| 2 | 24小时以上 | 1天至7天 |
| 3 | 12小时以上 | 数小时至1天 |
| 4 | 数小时至2天 | 数小时至1天 |
| 5 | 数分钟至2天 | 0至30分钟 |
| 6 | 数分钟 | 0 |
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
《电子信息系统机房设计规范》(GB 50174-2008)
《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009)
《中华人民共和国保守国家秘密法》
1988年9月5日第七届全国人民代表大会常务委员会第三次会议
2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订
《中华人民共和国计算机信息系统安全保护条例》
1994年2月18日中华人民共和国国务院令第147号发布
根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23 号)
《科学技术保密规定》(科学技术部、国家保密局令第16号)
《中华人民共和国网络安全法》
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《中华人民共和国电子签名法》
2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过
根据2015年4月24日第十二届全国人民代表大会常务委员会第十四次会议《关于修改〈中华人民共和国电力法〉等六部法律的决定》第一次修正
根据2019年4月23日第十三届全国人民代表大会常务委员会第十次会议《关于修改〈中华人民共和国建筑法〉等八部法律的决定》第二次修正
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《中华人民共和国密码法》
2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
《关键信息基础设施安全保护条例》
2021年4月27日国务院第133次常务会议通过
2021年7月30日中华人民共和国国务院令第745号公布
自2021年9月1日起施行
《中华人民共和国数据安全法》
2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过
《中华人民共和国个人信息保护法》
2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过
《网络安全审查办法》
经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,现予公布,自2022年2月15日起施行。