全国
平台首页 律师入驻

法律知识
法律知识
法律法规
案情问答
合同范本
律师文集
刑法罪名
法律文书
律师服务
我要投稿我要投稿
当前位置:首页>法律知识>法律知识索引

信息安全等级保护法律政策依据,信息安全保护法律规范的基本原则

公诉网 389 人看过
核心提示:今天公诉网小编为大家分享法律知识,涉及民事、婚姻、经济、合同纠纷、刑事辩护中遇到的相关问题免费帮大家提供法律咨询!信息系统安全保护法律规范的基本原则信息系统安全保护法律规范的基本原则为:wwW.bianhuLvshi.cOm谁主管谁负责

今天公诉网小编为大家分享法律知识,涉及民事、婚姻、经济、合同纠纷、刑事辩护中遇到的相关问题免费帮大家提供法律咨询!

信息系统安全保护法律规范的基本原则

信息系统安全保护法律规范的基本原则为:

wwW.bianhuLvshi.cOm

谁主管谁负责的原则、突出重点的原则、预防为主的原则、安全审计的原则以及风险管理的原则。具体如下:

1.谁主管谁负责的原则

例如《互联网上网服务营业场所管理条例》第4条规定:

县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理;公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施有关监督管理。

2.突出重点的原则

例如《中华人民共和国计算机信息系统安全保护条例》第4条规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

3.预防为主的原则

如对计算机病毒的伍歼预防,对非法入侵的防范(使用防火墙)等。

4.安全审计的原则

例如,在《计算机信息系统安全保护等级划分准则》的第4.4.6款中,有关审计的说明如下:

计算机信息系统可信计算基能创建和维护贬保护客体的访阿审计投际记闷分。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化)_删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。

对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。

5.风险管理的原则

事物的运动发展过程中都存在风险,它是一种潜在的危险或损害。风险具有客观可能性、偶然性(风险损害的发生有不确定性)、可测性(有规律,风险发生可以用概率加以测度)和可规避性(加强认识,积极防范,可降低风险损害发生的概率)。

信息安全工作的风险主要来自信息系统中存在的脆弱点(漏洞和缺陷),这种脆弱点可能存在于计算机系统和网络中或者管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点也很容易受到威胁或攻击。

解决问题的最好办法是进行风险管理。风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。

对于信息系统的安全,风险管理主要要做的是:

(1)主动寻找系统的脆弱点,识别出威胁,采取有效的防范措施,化解风险于萌芽状态。

(2))当威胁出现后或攻击成功时,对系统所遭受的损失及时进行评估,制定防范措施,避免风险的再次出现.

(3)研究制定风险应变策略,从容应对各种可能的风险的发生。

法律依据:

《互联网上网服务营业场所管理条例》

第四条 县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所腔坦冲经营单位经营活动的监督管理;公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施有关监督管理。

《中华人民共和国计算机信息系统安全保护条例》

第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计信羡算机信息系统的安全。

信息安全等级保护管理办法

各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:

为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了信息安亮搭缓全等级保护管理办法。 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等枝闹级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者敬模本地区信息系统运营、使用单位的信息安全等级保护工作。国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

法律依据:《信息安全等级保护管理办法》第一章总则

第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

GongSU.Net公诉网提供法律问题咨询,法律知识查询,律师查询,律所查询,裁判文书查询,法律法规查询,代理诉讼,文书合同范文,仲裁,公证等服务。

基本原则 法律 信息系统安全
相关内容