第二章：信息安全监管

使用幕布做的笔记，所以格式可能有些问题，之后我会把幕布的文件发出来

第二章：信息安全监管

• 信息安全管理基础
  • 法律法规
    • 中国立法体系

                     XX法：人大常委会 法规（管理办法、管理规定）：国务院 地方性法规：地方人大常委会 政府规章：地方人民政府

• • • 计算机犯罪

                      多样化 复杂化 国际化

• • • 网络安全法（201700601版本实施）。三次审议

                      服务提供者 关键基础设施 个人隐私

• • • • 立法目的

                            保障网络安全 保障网络空间安全（国家安全） 维护社会公众利益 保护公民、法人和组织的利益 关键基础设施的保护

• • • • 网络安全法适用范围

中国境内建设、使用网络 境外效力：1.国家采取措施监控、预防、防御等境外的网络威胁                         2.网信部门和其他相关部门对于监测到的境外的威胁进行阻止                         3.境外的机构、个人不允许对中国的关键基础设施进行破坏性活动

• • 网络安全支持与促进

网络安全标准体系 扶持网络安全产业 人才培养

• • 网络运行安全

等保制度：技术类/管理类

• • 网络产品

强制标准 不得设置恶意程序 对于网络风险要有应对措施 漏洞补救 安全维护：SLA(服务水平协议) ​个人信息防护

• • 国家关键基础设施：（国务院）

严重危害国家安全、国计民生、公共利益 三同步：同步规划、同步建设、同步使用

• • CISP职业道德准则

维护国家、社会和公众的信息安全 诚实守信、遵纪守法 努力工作、尽职尽责 发展自身、维护荣誉

• • MSSQL身份认证方式

Windows身份认证：以当前登录windows系统用户进行认证 SQL混合模式认证：SQL认证

• • 信息系统管理体系
    • 广义

等保 ISMS NISP-SP 800

• • • 狭义

ISMS

• • 等保标准

GB 17859：等级划分准则 五个等级：                      自主防护                      系统审计防护                      安全标记防护                      结构化防护                      访问验证防护 《信息安全等级保护管理办法》：                  非涉密信息系统采用等级保护                   涉密系统（分级保护）：不低于三级标准 ​二级以上系统没有审核不允许上线运行

• • 等保流程
    • 系统定级
      • 两个要素

等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度 （一般损害、严重损害、特别严重损害） 等级保护对象受到破坏时所侵害的客体也包括以下三个方面： 1.公民、法人和其他组织的合法权益 ​2.社会秩序、公共利益 3.国家安全

• • • • 定级对象：（根据对象受损害程度定级）

业务信息 系统服务

• • • 向立项部门提交定级报告
    • 公安机关备案（发放备案证书）
    • 差距分析
    • 建设整改
    • 等保测评提交报告
    • 复审：（三级一年复审，四级半年复审）