第15章 国家信息安全法律规范
- 格式:ppt
- 大小:964.50 KB
- 文档页数:36


ICS 35.040L 80中华人民共和国国家标准GB/T ××××—××××信息安全技术信息安全风险评估规范Information security technology-Risk assessment specification for information security(报批稿)××××-××-××发布××××-××-××实施国家质量监督检验检疫总局发布目次前言 (II)引言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 风险评估框架及流程 (4)4.1 风险要素关系 (4)4.2 风险分析原理 (5)4.3 实施流程 (5)5 风险评估实施 (6)5.1 风险评估准备 (6)5.2 资产识别 (8)5.3 威胁识别 (12)5.4 脆弱性识别 (14)5.5 已有安全措施确认 (16)5.6 风险分析 (17)5.7 风险评估文档记录 (19)6 信息系统生命周期各阶段的风险评估 (20)6.1 信息系统生命周期概述 (20)6.2 规划阶段的风险评估 (20)6.3 设计阶段的风险评估 (21)6.4 实施阶段的风险评估 (22)6.5 运行维护阶段的风险评估 (23)6.6 废弃阶段的风险评估 (23)7 风险评估的工作形式 (24)7.1 概述 (24)7.2 自评估 (24)7.3 检查评估 (24)附录A (资料性附录) 风险的计算方法 (27)A.1 使用矩阵法计算风险 (26)A.2 使用相乘法计算风险 (31)附录B (资料性附录)风险评估的工具 (35)B.1 风险评估与管理工具 (35)B.2 系统基础平台风险评估工具 (36)B.3 风险评估辅助工具 (37)参考文献 (37)前言本标准附录A和附录B是资料性附录。
等保安全管理制度第一章总则第一条为了加强等保安全管理,维护国家信息安全,保护国家网络安全,促进网络安全技术的发展和应用,规范网络安全管理行为,制定本制度。
第二条本制度适用于各类网络运营者、网络服务提供者、网络安全产品和服务提供者等单位和个人。
第三条等级保护(以下简称等保)是指依据国家标准和有关规定,依据信息系统的安全性要求,结合信息系统的网络技术、网络营运环境和网络安全风险等级,按照严格的安全管理要求,对信息系统进行安全分级,提供相应的安全保护措施,以保护信息系统的安全。
第四条等保的目标是建立和完善信息系统等保体系,落实信息系统的安全保护措施,建立适当的安全管理组织和安全管理制度,发挥网络安全技术的防护功能,确保信息系统按照安全要求设计、开发、部署和维护,提高信息系统的安全性和抗干扰能力。
第五条等保的原则是依法合规、科学规划、安全先行、分类保护、适度保险和动态管理。
第六条国家互联网信息办公室负责等保的组织协调和监督检查工作。
第七条工业和信息化部负责根据国家标准和有关规定,制定信息系统安全等级保护工作指南、技术规范和其他规范性文件,指导等保的具体实施。
第八条公安部门负责依法打击网络安全事件和犯罪活动,并负责对等保实施情况进行检查。
第二章等保管理机构第九条各单位应当设置专门的网络安全管理部门或者网络安全管理岗位,负责网络安全等保工作。
第十条网络安全管理部门应当有专门的安全管理人员,负责网络安全技术和网络安全管理工作。
第十一条网络安全管理部门应当有充分的资源和技术支持,拥有良好的技术和管理水平,确保网络安全管理工作的顺利实施。
第十二条网络安全管理部门应当及时掌握网络安全技术和网络安全管理方法,不断提升安全管理水平和管理能力。
第十三条网络安全管理部门应当建立完善的安全文件和记录管理制度,记录安全管理工作的整个过程,并按照规定保存相关文件和记录。
第十四条网络安全管理部门应当培训安全管理人员,提高他们的安全管理能力和技术水平。
常州大学网络与信息安全管理办法(征求意见稿)第一章总则第一条为提高网络与信息安全防护能力和水平,保证学校网络与信息安全工作顺利进行,保障学校各项事业健康有序发展,根据《中华人民共和国网络安全法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》等文件精神,结合我校实际,制定本办法。
第二条学校网络与信息安全,包括校园计算机网络(以下简称校园网络)与信息系统(含网站,下同)的运行安全和信息内容的安全。
第三条学校按照国家有关网络安全和信息化建设的法律、法规、规章,制定网络与信息安全总体规划,加强安全管理与技术研究,建立健全相关规章制度,并在实际工作中予以落实。
第二章管理体制和职责第四条学校网络安全与信息化领导小组负责协调全校网络与信息安全保障体系建设。
各学院、部门、单位(以下统称各单位)应在本单位内部相应成立网络安全与信息化工作小组,其主要负责人为第一责任人,并指定专人担任信息安全员,负责本单位及下属单位的网络与信息安全工作。
第五条信息化建设与管理中心负责学校网络与信息系统的日常管理和维护,保障网络与信息系统的正常运行;保存网络运行日志,配合调查取证;负责入网单位和个人办理入网登记手续,签署相应的安全责任书。
第六条党委宣传部负责网络信息内容的安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。
第七条保卫处负责对网络违规行为进行调查、取证、处理,根据相关证据及事态影响或破坏程度,对违规者按照有关规定进行处理。
第八条坚持“谁主管谁负责,谁主办谁负责,谁使用谁负责”原则。
网络与信息系统的主办单位承担安全监管责任,包括内容安全监管、技术安全保障和监督检查等职责;网络与信息系统的使用单位和个人对系统操作与信息内容的安全监管承担直接责任。
网络与信息系统通过外包服务方式进行维护的,主办单位负责督促外包服务单位做好安全运维工作,网络与信息系统的安全监管责任主体仍为主办单位。
第三章安全秩序第九条校园网络和信息系统接入互联网必须采取防火墙、身份认证、MAC 地址绑定、安全审计、病毒防护及入侵检测等安全技术手段。