一、網(wǎng)絡(luò)安全法律體系建設(shè)

CISP相關(guān)文檔已經(jīng)上傳至Github：https://github.com/Double-q1015/cisp

1. 網(wǎng)絡(luò)空間安全戰(zhàn)略：五項(xiàng)目標(biāo)，和平、安全、開放、合作、有序。
2. 回顧中央辦公廳 2003 的 27 號(hào)文件(國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見)
   例題

image.png

例題

image.png

1）方針：積極防御、綜合防范
2）原則：
立足國(guó)情、以我為主、技管并重；
正確處理安全和發(fā)展的關(guān)系；
統(tǒng)籌規(guī)劃、突出重點(diǎn)、強(qiáng)化基礎(chǔ)工作；
發(fā)揮國(guó)家、企業(yè)和個(gè)人的作用。
3）9 項(xiàng)工作內(nèi)容：不包括國(guó)產(chǎn)化、自主創(chuàng)新、知識(shí)產(chǎn)權(quán)和隱私保護(hù)
例題

image.png

二、國(guó)家網(wǎng)絡(luò)安全政策

1. 計(jì)算機(jī)犯罪：狹義（信息系統(tǒng)為目標(biāo)）和廣義（包括狹義和其他目標(biāo)）之分。
   計(jì)算機(jī)犯罪特點(diǎn)：多樣性、復(fù)雜化、國(guó)際化、不對(duì)稱性。
2. 我國(guó)的多級(jí)立法機(jī)制（總分結(jié)構(gòu)）及法律體系的構(gòu)成。
3. 網(wǎng)絡(luò)安全法（見如下介紹）：總則、網(wǎng)絡(luò)安全支持與促進(jìn)、網(wǎng)絡(luò)運(yùn)行安全、
   網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與應(yīng)急處置、法律責(zé)任、附則。
4. 網(wǎng)絡(luò)安全法總則：
   1）網(wǎng)絡(luò)空間主權(quán)的原則
   2）國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)（中國(guó)共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會(huì)）
   3）域外適用效力的理解
5. 網(wǎng)絡(luò)安全支持與促進(jìn)
   1）網(wǎng)絡(luò)安全建設(shè)和發(fā)展的法律支持
   2）網(wǎng)絡(luò)安全建設(shè)和發(fā)展政策制定的依據(jù)
6. 網(wǎng)絡(luò)運(yùn)行安全
   6.1 一般規(guī)定（等級(jí)保護(hù)）
   1）網(wǎng)絡(luò)運(yùn)營(yíng)者義務(wù)：管理制度及責(zé)任；技術(shù)防護(hù)與日志 6 個(gè)月；數(shù)據(jù)保護(hù)；實(shí)
   名制；應(yīng)急預(yù)案；安全協(xié)助和支持。
   2）產(chǎn)品和服務(wù)提供者義務(wù)：強(qiáng)制標(biāo)準(zhǔn)；告知補(bǔ)救；安全維護(hù)；個(gè)人信息保護(hù)。
   3）一般性義務(wù)：信息發(fā)布的安全；禁止的危害行為；信息使用規(guī)則。
   6.2 關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)（強(qiáng)調(diào)一下：在一般規(guī)定基礎(chǔ)上進(jìn)一步的要求）
   1）人員安全審查、培訓(xùn)教育和考核；
   2）數(shù)據(jù)出境的國(guó)家安全評(píng)估；
   3）產(chǎn)品和服務(wù)采購(gòu)的國(guó)家安全評(píng)估；
   4）一年一次的風(fēng)險(xiǎn)檢測(cè)評(píng)估；
   5）應(yīng)急預(yù)案的制定和定期演練。
7. 網(wǎng)絡(luò)信息安全
   1）個(gè)人信息的保護(hù)
   2）從主體及行為的角度規(guī)范信息管理。
   3）各主體的職責(zé)
8. 監(jiān)測(cè)預(yù)警與應(yīng)急處置
   1）網(wǎng)信部門統(tǒng)籌該工作。
   2）其他部門各司其職。
9. 法律責(zé)任
   1）民事責(zé)任
   2）行政責(zé)任3）刑事責(zé)任
   10.附則（術(shù)語的解釋等）
   其他與網(wǎng)絡(luò)安全有關(guān)的法律（參考教材）

三、網(wǎng)絡(luò)安全道德準(zhǔn)則

1、理解道德是法律的基礎(chǔ)。
2、掌握 cisp 道德規(guī)范的四個(gè)部分。

四、信息安全標(biāo)準(zhǔn)

1. 標(biāo)準(zhǔn)化基礎(chǔ)（國(guó)際）
   1）標(biāo)準(zhǔn)化概念：動(dòng)態(tài)、相對(duì)、應(yīng)用效益，簡(jiǎn)化、統(tǒng)一、協(xié)調(diào)、優(yōu)化。
   2）標(biāo)準(zhǔn)化國(guó)家組織：ISO\IEC\IETF\ITU 等。
   例題

image.png

3）ISO/IEC JTC1 SC27 的工作組（5 個(gè)），WG1 是信息安全管理體系的標(biāo)準(zhǔn)制定
的,iso/iec 27001-27005；WG3 是安全評(píng)估標(biāo)準(zhǔn)的制定，iso/iec 15408。

2. 我國(guó)的標(biāo)準(zhǔn)化
   1）標(biāo)準(zhǔn)化組織：TC260
   例題

image.png

2）標(biāo)準(zhǔn)組織的分工：TC260 有 8 個(gè)工作組，其中 WG2 是涉密信息系統(tǒng)安全標(biāo)準(zhǔn)
的制定；WG5 是評(píng)估標(biāo)準(zhǔn)；WG7 是管理標(biāo)準(zhǔn)的制定；SWG-BDS 大數(shù)據(jù)安全標(biāo)準(zhǔn)。

3. 等級(jí)保護(hù)標(biāo)準(zhǔn)
   3.1 流程：
   定級(jí) 共五級(jí)
   備案：二級(jí)以上 30天內(nèi) 市級(jí)公安機(jī)關(guān)
   建設(shè)整改
   測(cè)評(píng)信息系統(tǒng)建設(shè)完成后，二級(jí)以上的信息系統(tǒng)的運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)合格后方可投入使用
   例題

image.png

3.2 定級(jí)標(biāo)準(zhǔn)：GB 原理（122-234-345）、業(yè)務(wù)信息和系統(tǒng)服務(wù)的等級(jí)。
3.3 基本要求：
1）2019 年 12 月 1 日生效的通用要求：
—技術(shù)要求包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算
環(huán)境和安全管理中心。
—管理要求包括：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)
管理和安全運(yùn)維管理 。
2）各類要求：1-4 級(jí)（云計(jì)算、工控安全、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)安全）。

《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984-2007）
例題

image.png

3.4 測(cè)評(píng)標(biāo)準(zhǔn)
1）測(cè)評(píng)指南、測(cè)評(píng)過程要求。
2）三級(jí)系統(tǒng)一年測(cè)評(píng)一次；四級(jí)系統(tǒng)每半年測(cè)評(píng)一次。
3）測(cè)評(píng)結(jié)論：符合、基本符合和不符合。
4）測(cè)評(píng)人員：初級(jí)、中級(jí)和高級(jí)測(cè)評(píng)師，其中高級(jí)測(cè)評(píng)師需要簽字。