2.CISP 4.1版本《信息安全监管》知识点总结信息安全培训.docxVIP

《信息安全监管》考前知识点串讲

法律法规

计算机犯罪：狭义（信息系统为目标）和广义（包括狭义和其他目标）之分。

我国的多级立法机制及法律体系的构成。

网络安全法（见如下介绍）：总则、网络安全支持与促进、网络运行安全、网络信息安全、网络安全监测预警与应急处置、法律责任、附则。

网络安全法总则：

网络空间主权的原则

国家网信部门统筹协调（中国共产党中央网络安全和信息化委员会）

域外适用效力的理解

网络安全支持与促进

网络安全建设和发展的法律支持

网络安全建设和发展政策制定的依据

网络运行安全

一般规定（等级保护）

网络运营者义务：管理制度及责任；技术防护与日志6个月；数据保护；实名制；应急预案；安全协助和支持。

产品和服务提供者义务：强制标准；告知补救；安全维护；个人信息保护。

一般性义务：信息发布的安全；禁止的危害行为；信息使用规则。

关键信息基础设施的保护

人员安全审查、培训教育和考核；

数据出境的国家安全评估；

应急预案；

产品和服务采购的国家安全评估；

一年一次的风险检测评估。

网络信息安全

个人信息的保护

从主体及行为的角度规范信息管理

各主体的职责

监测预警与应急处置

网信部门统筹该工作。

其他部门各司其职。

法律责任

民事责任

行政责任

刑事责任

10.附则（术语的解释等）

网络安全政策

网络空间安全战略：五项目标，安全、和平、合作、开放、有序。

回顾中央办公厅2003的27号文件

方针：积极防御、综合防范

原则：立足国情、以我为主、技管并重；正确处理安全和发展的关系；统筹规划、突出重点、强化基础工作；发挥国家、企业和个人的作用。

9项工作内容：不包括国产化、自主创新、知识产权和隐私保护。

道德准则（略）

标准

标准化基础（国际）

标准化概念

标准化国家组织：ISO\IEC\IETF\ITU等。

ISO/IECJTC1SC27的工作组（5个），WG1是信息安全管理体系的标准制定的；WG3是安全评估标准的制定。

我国的标准化

标准化组织：TC260

标准组织的分工：TC260有8个工作组，其中WG2是涉密信息系统安全标准的制定；WG5是评估标准；WG7是管理标准的制定；SWG-BDS大数据安全标准。

标准体系：6类，第一类中注意体系架构；第四类中的基础测评标准。

等级保护标准

流程：定级、建设、测评。

定级标准：原理（122-234-345）、业务信息和系统服务的等级。

基本要求：

通用要求：技术4类；管理4类。

扩展要求：云计算2-4级，其他的是1-4级（工控安全、物联网、移动互联网安全）。

测评标准

测评指南、测评过程要求。

三级系统一年测评一次；四级系统每半年测评一次。

测评结论：符合、基本符合和不符合。

测评人员：初级、中级和高级测评师，其中高级测评师需要签字。

（END）