《信息安全法律法规》课程作业（南京航空航天大学）

1、 信息安全等级保护分哪几个级别？制定《等级保护管理办法》的目的是什么？（10 分）

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
目的：《信息安全等级保护管理办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设。

2、 GB 17859-1999《计算机信息系统安全保护等级划分准则》里将安全等级的划分为哪几级？相应的划分准则是什么（概括性回答）？（10 分）

P104（参考教科书上内容）

3、 阐述等级保护和分级保护的概念和区别。（10 分）

等级保护全称是信息安全等级保护，是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。等级保护坚持自主定级、自主保护的原则。
分级保护全称是涉密信息系统分级保护，是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。
适用对象不同，等级保护与分级保护的不同适用对象是二者的本质区别：
　　①等级保护是实施信息安全管理的一项法定制度，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统。
　　②分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。
发起部门和主管部门不同，分级保护由国家保密局发起，其主管单位及相应管理职责如下：
　　①国家保密局及地方各级保密局：监督、检查、指导
　　②中央和国家机关：主管和指导
　　③建设使用单位：具体实施

等级保护由公安部门发起，其主管部门及相应管理职责如下：
　　①公安机关：等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导
　　②国家保密工作部门、国家密码管理部门：负责等级保护工作中有关保密工作和密码工作的监督、检查、指导
　　③国信办及地方信息化领导小组办事机构：负责等级保护工作部门间的协调，涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责
工作内容和测评频率不同
　　等级保护工作包括系统定级、系统备案、安全建设整改、等级测评和监督检查五个环节。
　　分级保护工作包括系统定级、方案设计、工程实施、系统测评、系统审批、日常管理、测评与检查、系统废止八个环节。
　　1、等级保护测评频率
　　①第二级信息系统：应每两年至少进行一次等级测评;
　　②第三级信息系统：应每年至少进行一次等级测评;
　　③第四级信息系统：应每半年至少进行一次等级测评。
　　④第一级信息系统不需要测评;第五级信息系统一般适用于国家重要领域、重要部门中的极端重要系统，特殊行业特殊要求，不在等保测评机构的测评范畴。
　　2、分级保护测评频率
　　①秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查;
②绝密级信息系统：应每年至少进行一次安全保密测评或保密检查

4、 国际信息安全标准化组织有哪些？我国的信息安全标准化组织有哪些？（10 分）

国际标准化组织（International Organization for Standardization）简称ISO
国际电工委员会（International Electro technical Commission）简称IEC
国际电信联盟（International Telecommunication Union）简称ITU
IETF是因特网工程任务组（Internet Engineering Task Force）的简写
欧洲计算机制造商协会（European Computer Manufacturers Association）简称ECMA
英国标准协会BSI
我国
全国信息安全标准化技术委员会（信安标委，TC260）
公安部信息系统安全标准化技术委员会
中国通信标准化协会网络与信息安全技术工作委员会

5、 信息系统等级保护基础类和应用类的十大标准是什么？（10 分）

信息安全等级保护十大重要标准
　　计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）
　　信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）
　　信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）
　　信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）
　　信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）
　　信息系统等级保护安全设计技术要求（GB/T 25070-2010）（应用类建设标准）
　　信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）
　　信息系统安全等级保护测评过程指南（GB/T 28449-2012）（应用类测评标准）
　　信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）
　　信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准）

6、 信息系统安全保护相关法律法规有哪些？互联网络安全管理相关法律法规有哪些？简要概述。（10 分）

（相信各位可以自己查到吧~）

7、 谈谈我国的信息安全标准有哪些？（10 分）

P104（参考教科书上内容）

8、 谈谈 ISO/IEC27002:2013 的相关细节。（10 分）

P226（参考教科书上内容）

9、 近几年（2019 年之后）针对信息安全新问题或者案例出台了很多相应的信息安全相关法律法规或标准，诸如《密码法》、《数据安全法》、《个人信息保护法》，请描述一个你感兴趣的案例及其对应的相关法律法规或标准（避免于课程作业雷同，不少于 300 字）。（20 分）

（这部分大家可以交给ChatGPT）