信息系统安全保护法律规范的基本原则
来自: 更新日期:早些时候
~
信息系统安全保护法律规范的基本原则为:谁主管谁负责的原则、突出重点的原则、预防为主的原则、安全审计的原则以及风险管理的原则。具体如下:
1.谁主管谁负责的原则
例如《互联网上网服务营业场所管理条例》第4条规定:
县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理;公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施有关监督管理。
2.突出重点的原则
例如《中华人民共和国计算机信息系统安全保护条例》第4条规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
3.预防为主的原则
如对计算机病毒的预防,对非法入侵的防范(使用防火墙)等。
4.安全审计的原则
例如,在《计算机信息系统安全保护等级划分准则》的第4.4.6款中,有关审计的说明如下:
计算机信息系统可信计算基能创建和维护贬保护客体的访阿审计投际记闷分。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化)_删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。
5.风险管理的原则
事物的运动发展过程中都存在风险,它是一种潜在的危险或损害。风险具有客观可能性、偶然性(风险损害的发生有不确定性)、可测性(有规律,风险发生可以用概率加以测度)和可规避性(加强认识,积极防范,可降低风险损害发生的概率)。
信息安全工作的风险主要来自信息系统中存在的脆弱点(漏洞和缺陷),这种脆弱点可能存在于计算机系统和网络中或者管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点也很容易受到威胁或攻击。
解决问题的最好办法是进行风险管理。风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。
对于信息系统的安全,风险管理主要要做的是:
(1)主动寻找系统的脆弱点,识别出威胁,采取有效的防范措施,化解风险于萌芽状态。
(2))当威胁出现后或攻击成功时,对系统所遭受的损失及时进行评估,制定防范措施,避免风险的再次出现.
(3)研究制定风险应变策略,从容应对各种可能的风险的发生。
法律依据:
《互联网上网服务营业场所管理条例》
第四条 县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理;公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施有关监督管理。
《中华人民共和国计算机信息系统安全保护条例》
第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
信息系统安全保护法律规范的基本原则视频
相关评论:13235722945:信息系统安全保护法律规范的基本原则是
茹怜风信息保护法规定有六项基本原则。具体如下:1、目的明确原则。个人信息安全问题的起点在于个人信息的收集,即个人信息脱离了信息主而由他人掌握的情形。在个人信息收集过程中,必须遵循目的明确的原则;2、选择同意原则。个人信息主体有权选择是否将自己的个人信息向他人提供,无论基于何种目的,除法律规定外,...
13235722945:信息系统安全保护法律规范的基本原则
茹怜风信息系统安全保护法律规范的基本原则为:谁主管谁负责的原则、突出重点的原则、预防为主的原则、安全审计的原则以及风险管理的原则。具体如下:1.谁主管谁负责的原则例如《互联网上网服务营业场所管理条例》第4条规定:县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法...
13235722945:计算机信息系统安全保护条例规定的原则
茹怜风2.突出重点的原则在信息安全法中,凡涉及国家安全和建设的关键领域的信息,或者对经济发展和社会进步有重要影响的信息,都应有明确、具体、有效的法律规范加以保障。《中华人民共和国计算机信息系统安全保护条例》第四条规定,计算机信息系统的安全保护工作,重点是维护国家事务、经济建设、国防建设、尖端科学...
13235722945:信息系统的信息安全等级保护的测评是必须的吗?有没有专门的出台了法律法...
茹怜风2、等保很多要求标准在不断修改中,建议在对自己的信息安全整改过程中,引入有资质的第三方,这样会比较容易些。 二级及以下可以自己测评,也可以不做测评。3级以上必须经过测评。《信息安全等级保护管理办法》第十四条第一款规定: 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。
13235722945:信息安全法规与标准图书目录
茹怜风第一部分:总论 第1章:信息安全与法律需求,探讨了犯罪、民事问题和隐私问题,附有相关习题。 第2章:详细介绍了立法、司法和执法组织的结构及其职责,包括各国的特定实例。 第3章:阐述了信息系统安全保护法律规范,包括法律关系、基本原则和我国的法律体系结构,附有习题。第二部分:法律法规 第4章...
13235722945:我国信息安全保密的法律体系至少应该具有以下几个特征
茹怜风1、信息安全法律法规体系初步形成目前我国现行法律法规及规章中,与信息安全直接相关的是65部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,在文件形式上,有法律、有关法律问题的决定、司法解释及...
13235722945:档案信息系统安全等级保护的基本原则
茹怜风档案信息系统安全等级保护的基本原则概括如下:一、依法治理原则 档案信息系统安全等级保护应依据国家有关法律法规、标准规范和信息安全等级保护政策,对档案信息系统实施科学、规范、有效的等级保护。二、科学适度原则 档案信息系统安全等级保护应立足系统实际,兼顾安全与业务应用,在可承受的风险范围内,实施...
13235722945:有关网络的法律法规
茹怜风互联网新闻信息服务管理规定,为了规范互联网新闻信息服务,满足公众对互联网新闻信息的需求,维护国家安全和公共利益,保护互联网新闻信息服务单位的合法权益,促进互联网新闻信息服务健康、有序发展,制定本规定,2005年9月25日起施行。3、互联网信息服务管理办法 为了规范互联网信息服务活动,促进互联网信息...
13235722945:在我国的网络安全法律法规体系中属于专门立法的是
茹怜风这类法律法规主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》.《中华人民共和国计算机软件保护条例》等。4、具体规范信息网络安全技术、信息网络安全管理等方面的规定 这一类法律主要有:《商用密码管理...
13235722945:处理个人信息的应当遵循合法正当必要的原则
茹怜风《个人信息保护法》日前获得通过,将于2021年11月1日起正式施行。该法系统性回应了当前个人信息保护面临的复杂问题和严峻挑战,明确了个人信息处理的基本原则,有利于更好地规范个人信息处理活动,促进个人信息合理利用。第一,合法正当诚信原则。处理个人信息应当遵循合法、正当、诚信原则,不得通过误导、欺...
1.谁主管谁负责的原则
例如《互联网上网服务营业场所管理条例》第4条规定:
县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理;公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施有关监督管理。
2.突出重点的原则
例如《中华人民共和国计算机信息系统安全保护条例》第4条规定:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
3.预防为主的原则
如对计算机病毒的预防,对非法入侵的防范(使用防火墙)等。
4.安全审计的原则
例如,在《计算机信息系统安全保护等级划分准则》的第4.4.6款中,有关审计的说明如下:
计算机信息系统可信计算基能创建和维护贬保护客体的访阿审计投际记闷分。计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化)_删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体及客体的安全级别。此外,计算机信息系统可信计算基具有审计更改可读输出记号的能力。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。
计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。
5.风险管理的原则
事物的运动发展过程中都存在风险,它是一种潜在的危险或损害。风险具有客观可能性、偶然性(风险损害的发生有不确定性)、可测性(有规律,风险发生可以用概率加以测度)和可规避性(加强认识,积极防范,可降低风险损害发生的概率)。
信息安全工作的风险主要来自信息系统中存在的脆弱点(漏洞和缺陷),这种脆弱点可能存在于计算机系统和网络中或者管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点也很容易受到威胁或攻击。
解决问题的最好办法是进行风险管理。风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。
对于信息系统的安全,风险管理主要要做的是:
(1)主动寻找系统的脆弱点,识别出威胁,采取有效的防范措施,化解风险于萌芽状态。
(2))当威胁出现后或攻击成功时,对系统所遭受的损失及时进行评估,制定防范措施,避免风险的再次出现.
(3)研究制定风险应变策略,从容应对各种可能的风险的发生。
法律依据:
《互联网上网服务营业场所管理条例》
第四条 县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理;公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施有关监督管理。
《中华人民共和国计算机信息系统安全保护条例》
第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
信息系统安全保护法律规范的基本原则视频
相关评论:
茹怜风信息保护法规定有六项基本原则。具体如下:1、目的明确原则。个人信息安全问题的起点在于个人信息的收集,即个人信息脱离了信息主而由他人掌握的情形。在个人信息收集过程中,必须遵循目的明确的原则;2、选择同意原则。个人信息主体有权选择是否将自己的个人信息向他人提供,无论基于何种目的,除法律规定外,...
茹怜风信息系统安全保护法律规范的基本原则为:谁主管谁负责的原则、突出重点的原则、预防为主的原则、安全审计的原则以及风险管理的原则。具体如下:1.谁主管谁负责的原则例如《互联网上网服务营业场所管理条例》第4条规定:县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法...
茹怜风2.突出重点的原则在信息安全法中,凡涉及国家安全和建设的关键领域的信息,或者对经济发展和社会进步有重要影响的信息,都应有明确、具体、有效的法律规范加以保障。《中华人民共和国计算机信息系统安全保护条例》第四条规定,计算机信息系统的安全保护工作,重点是维护国家事务、经济建设、国防建设、尖端科学...
茹怜风2、等保很多要求标准在不断修改中,建议在对自己的信息安全整改过程中,引入有资质的第三方,这样会比较容易些。 二级及以下可以自己测评,也可以不做测评。3级以上必须经过测评。《信息安全等级保护管理办法》第十四条第一款规定: 信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。
茹怜风第一部分:总论 第1章:信息安全与法律需求,探讨了犯罪、民事问题和隐私问题,附有相关习题。 第2章:详细介绍了立法、司法和执法组织的结构及其职责,包括各国的特定实例。 第3章:阐述了信息系统安全保护法律规范,包括法律关系、基本原则和我国的法律体系结构,附有习题。第二部分:法律法规 第4章...
茹怜风1、信息安全法律法规体系初步形成目前我国现行法律法规及规章中,与信息安全直接相关的是65部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,在文件形式上,有法律、有关法律问题的决定、司法解释及...
茹怜风档案信息系统安全等级保护的基本原则概括如下:一、依法治理原则 档案信息系统安全等级保护应依据国家有关法律法规、标准规范和信息安全等级保护政策,对档案信息系统实施科学、规范、有效的等级保护。二、科学适度原则 档案信息系统安全等级保护应立足系统实际,兼顾安全与业务应用,在可承受的风险范围内,实施...
茹怜风互联网新闻信息服务管理规定,为了规范互联网新闻信息服务,满足公众对互联网新闻信息的需求,维护国家安全和公共利益,保护互联网新闻信息服务单位的合法权益,促进互联网新闻信息服务健康、有序发展,制定本规定,2005年9月25日起施行。3、互联网信息服务管理办法 为了规范互联网信息服务活动,促进互联网信息...
茹怜风这类法律法规主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》.《中华人民共和国计算机软件保护条例》等。4、具体规范信息网络安全技术、信息网络安全管理等方面的规定 这一类法律主要有:《商用密码管理...
茹怜风《个人信息保护法》日前获得通过,将于2021年11月1日起正式施行。该法系统性回应了当前个人信息保护面临的复杂问题和严峻挑战,明确了个人信息处理的基本原则,有利于更好地规范个人信息处理活动,促进个人信息合理利用。第一,合法正当诚信原则。处理个人信息应当遵循合法、正当、诚信原则,不得通过误导、欺...
