《CISP》(二)信息安全监督
本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定
目录
- 一、文件
- 《网络安全法》
- 《国家安全法》
- 《中华人民共和国保守国家秘密法》 (保密法)
- 《中华人民共和国电子签名法》
- 《中华人民共和国反恐怖主义法》 (反恐法)
- 《密码法》(草案)
- 《国家网络空间安全战略》
- 《关于信息安全等级保护工作的实施意见的通知》 66号文
- 二、信息安全标准
- 1、标准化组织
- (1)国际信息安全标准化组织
- (2) 国家标准化组织
- (3)标准分类
- 三、网络安全等级保护标准族
一、文件
《网络安全法》
《国家安全法》
《中华人民共和国保守国家秘密法》 (保密法)
国家密级分为绝密、机密、秘密
《中华人民共和国电子签名法》
《中华人民共和国反恐怖主义法》 (反恐法)
《密码法》(草案)
《国家网络空间安全战略》
《关于信息安全等级保护工作的实施意见的通知》 66号文
信息和信息系统的安全保护划分为5级,主要是从信息和信息系统的业务重要性以及遭受破坏之后的影响出发的,是系统从应用需求出发必须纳入的安全业务登记
- 自主保护级
- 指导保护级
- 监督保护级
- 强制保护级
- 专控保护级
《信息安全等级保护管理办法》 要求设计国家秘密的信息系统不低于等保 3级
二、信息安全标准
1、标准化组织
(1)国际信息安全标准化组织
- 国际标准化组织 ISO
- 国际电工委员会 IEC
- 国际电信联盟 ITU
- Internet工程任务组 IETF:IKE、IPsec
(2) 国家标准化组织
- 美国国家标准化协会 ANSI :主要金融安全
- 美国国家标准技术研究院NIST :DES
- 中国国家标准化管理委员会
(3)标准分类
- GB 强制性国家标准
- GB/T推荐性国家标准
- GB/Z国家标准指导性技术文件
三、网络安全等级保护标准族
等级保护实施流程:
- 定级
第一级:信息系统遭受破坏后,对公民、法人其他组织的合法权益造成危害,但不损害国家、社会和公共利益
第二级:…公民严重损害,社会和公共造成损害,国家不损害
第三级:社会和公共严重损害,国家造成损害
第四级:社会和公共特别严重损害,国家严重损害
第五级:国家特别严重损害 - 备案
- 安全建设和整改
- 信息安全等级测评
二级以上的信息系统运营单位应选择符合国家规定的测评机构进行测评,合格方可投入使用。
已投入使用的也要测评
经测评未达要求的,运营使用单位要制定方案整改。
