信息安全标准与法律法规
2008-12
武汉大学出版社
陈忠文 主编,麦永浩 副主编
229
21世纪是信息的时代,信息成为一种重要的战略资源,信息的安全保障能力成为一个国家综合国力的重要组成部分。一方面,信息科学和技术正处于空前繁荣的阶段,信息产业成为世界第一大产业。另一方面,危害信息安全的事件不断发生,信息安全的形势是严峻的。信息安全事关国家安全,事关社会稳定,必须采取措施确保我国的信息安全。我国政府高度重视信息安全技术与产业的发展,先后在成都、上海和武汉建立了信息安全产业基地。发展信息安全技术和产业,人才是关键。人才培养,教育是根本。2001年经教育部批准,武汉大学创建了全国第一个信息安全本科专业。2003年经国务院学位办批准,武汉大学又建立了信息安全的硕士点、博士点和企业博士后产业基地。自此以后,我国的信息安全专业得到迅速的发展。到目前为止,全国设立信息安全专业的高等院校已达50多所。我国的信息安全人才培养进入蓬勃发展阶段。为了给信息安全专业的大学生提供一套适用的教材,武汉大学出版社组织全国40多所高校,联合编写出版了这套《信息安全系列教材》。该套教材涵盖了信息安全的主要专业领域,既有基础课教材,又有专业课教材,既有理论课教材,又有实验课教材。这套书的特点是内容全面,技术新颖,理论联系实际。教材结构合理,内容翔实,通俗易懂,重点突出,便于讲解和学习。它的出版发行,一定会推动我国信息安全人才培养事业的发展。诚恳希望读者对本系列教材的缺点和不足提出宝贵的意见。
本书主要以高等学校信息安全、公安及计算机专业学生为对象,在介绍信息安全和法律相关基础上,重点分三部分(信息系统安全保护相关法律法规、互联网络安全管理相关法律法规和其他有关信息安全法律法规),结合典型案例,系统讲授了我国信息安全的相关法律法规,同时详细介绍了国际国内与信息安全相关的主要标准。 本书除了适合高等学校信息安全及相关专业的学生外,对于从事信息和网络安全方面的管理人员、技术人员和执法人员也有实际的参考价值。
第一部分 总论 第1章 绪论 1.1 信息安全概述 1.1.1 什么是信息? 1.1.2 什么是信息安全? 1.1.3 信息安全的基本属性 1.1.4 保障信息安全的三大支柱 1.2 信息安全涉及的法律问题 1.2.1 犯罪 1.2.2 民事问题 1.2.3 隐私问题 1.3 习题 第2章 立法、司法和执法组织 2.1 立法 2.1.1 立法权 2.1.2 立法组织与立法程序 2.1.3 立法权等级 2.1.4 我国立法体制的特点 2.1.5 有关国家的立法组织与立法程序 2.2 司法组织 2.2.1 我国的司法组织 2.2.2 美国的司法组织 2.2.3 日本的司法机构 2.3 执法组织 2.3.1 我国的执法组织 2.3.2 美国的执法组织 2.4 习题 第3章 信息系统安全保护法律规范 3.1 概述 3.1.1 概念与特征 3.1.2 法律关系 3.2 我国信息系统安全保护法律规范 3.2.1 我国信息系统安全保护法律规范的体系 3.2.2 信息系统安全保护法律规范的基本原则 3.2.3 信息系统安全保护法律规范的法律地位 3.3 习题第二部分 信息安全法律法规 第4章 信息系统安全保护相关法律法规 4.1 中华人民共和国计算机信息系统安全保护条例 4.1.1 《条例》的宗旨和法律地位 4.1.2 《条例》的适用范围 4.1.3 《条例》的主要内容 4.2 计算机信息网络国际联网安全保护管理办法 4.2.1 制定《办法》的宗旨 4.2.2 《办法》的适用范围和调整对象 4.2.3 《办法》的主要内容 4.3 信息安全等级保护管理办法(试行) 4.3.1 制定《等级保护管理办法》的目的 4.3.2 信息安全等级保护的概念 4.3 3 确定信息系统安全保护等级的基本原则 4.3.4 《等级保护管理办法》的主要内容 4.4 习题 第5章 互联网络安全管理相关法律法规 5.1 计算机信息网络国际联网管理暂行规定实施办法 5.1.1 制定《实施办法》的目的 5.1.2 制定《实施办法》的意义 5.1.3 国际联网的相关定义 5.1.4 与信息安全管理相关的条款 5.1.5 处罚条款 5.2 关于维护互联网安全的决定 5.2.1 《决定》的目的 5.2.2 界定违法犯罪行为 5.2.3 行动指南 5.3 互联网上网服务营业场所管理条例 5.3.1 制定本条例的目的 5.3.2 本条例的适用范围 5.3.3 管理职权 5.3.4 开办条件和程序 5.3.5 与信息安全相关的条款 5.3.6 处罚条款 5.4 互联网信息服务管理办法 5.4.1 制定本办法的目的 5.4.2 互联网信息服务的含义与分类 5.4.3 不同信息服务的管理办法 5.4.4 互联网信息服务应具备的条件 5.4.5 经营者的权利和义务 5.4.6 监督管理 5.4.7 处罚条款 5.5 互联网安全保护技术措施规定 5.5.1 制定本规定的目的 5.5.2 相关概念的定义 5.5.3 总体要求 5.5.4 具体保护技术措施和要求 5.5.5 公安机关的职责 5.6 互联网电子邮件服务管理办法 5.6.1 制定本办法的目的 5.6.2 本办法的适用范围及相关概念 5.6.3 管理要求 5.6.4 电子邮件服务提供者的权利、义务和法律责任 5.6.5 电子邮件服务使用者的权利、义务和法律责任 5.6.6 对相关举报的处理 5.6.7 罚则 5.7 习题 第6章 其他有关信息安全的法律法规 6.1 计算机信息系统安全专用产品检测和销售许可证管理办法 6.1.1 目的与定义 6.1.2 销售许可证制度 6.1.3 检测机构的申请与批准 6.1.4 安全专用产品的检测 6.1.5 销售许可证的审批与颁发 6.1.6 罚则 6.2 有害数据及计算机病毒防治管理 6.2.1 有害数据的定义 6.2.2 计算机病毒防治管理办法 6.2.3 传播、制造有害数据及病毒违法行为的查处 6.3 习题 第7章 依法实践保障信息安全 7.1 重点单位和要害部位信息系统安全管理 7.1.1 概述 7.1.2 安全管理 7.2 信息安全管理制度 7.2.1 制定信息安全管理制度的原则 7.2.2 企事业单位信息安全管理制度 7.2.3 网吧安全管理制度 7.2.4 学校的计算机网络安全制度 7.2.5 网络安全管理员的职责 7.2.6 校园网计算机用户行为规范 7.2.7 安全教育培训制度 7.3 习题第三部分 信息安全标准 第8章 我国的信息安全标准 8.1 概述 8.1.1 标准的定义 8.1.2 标准的分级和分类 8.1.3 信息安全标准 8.2 计算机信息系统安全保护等级划分简介 8.2.1 GB/17859-1999 8.2.2 GA/T390-2002 8.2.3 GA/T391-2002: 8.2.4 GA/T387-2002 8.2.5 GA/T388-2002 8.2.6 GA/T389-2002 8.3 GB17859-1999《计算机信息系统安全保护等级划分准则》 8.3.1 安全保护的五个等级及适用范围 8.3.2 对所涉及术语的定义 8.3.3 五个等级的具体划分准则 8.3.4 五个等级保护能力的比较 8.4 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 8.4.1 标准的适用范围 8.4.2 术语和定义 8.4.3 标准的主要内容 8.5 GA/T391-2002《计算机信息系统安全等级保护管理要求》 8.5.1 本标准的适用范围 8.5.2 术语和定义 8.5.3 信息系统安全管理概述 8.5.4 安全等级信息系统的管理要求 8.5.5 安全管理等级要素 8.6 其他信息安全标准 8.6.1 GA163-1997《计算机信息系统安全专用产品分类原则》 8.6.2 GB9361-88S《计算站场地安全要求》 8.7 习题 第9章 信息安全国际标准 9.1 国际标准体系简介 9.1.1 国际标准ISO/IEC 9.1.2 美国信息安全管理标准体系 9.1.3 英国信息安全管理标准体系 9.2 BS 7799《信息安全管理标准》 9.2.1 BS 7799简介 9.2.2 BS 7799的发展历程 9.3 ISO/IEC 17799:2005 9.3.1 ISO/IEC 17799:2005概述 9.3.2 ISO/IEC 17799:2005的适用范围 9.3.3 涉及的术语及其定义 9.3.4 ISO/IEC17799:2005的基本结构 9.3.5 信息安全方针 9.3.6 信息安全组织 9.3.7 资产管理 9.3.8 人力资源安全 9.3.9 物理与环境安全 9.3.10 通信和运作管理 9.3.11 访问控制 9.3.12 信息系统的获取、开发及维护 9.3.13 信息安全事故管理 9.3.14 业务连续性管理 9.3.15 符合性 9.4 ISO/IEC 27001:2005 9.5 习题附录 信息系统安全保护等级定级指南(报批稿)参考文献
第8章 我国的信息安全标准8.1 概述8.1.1 标准的定义国际标准化组织于1983年7月发布的ISO第二号指南(第四版)对标准的定义为:由有关各方根据科学技术成就与先进经验,共同合作起草,一致或基本上同意的技术规范或其他公开文件,其目的在于促进最佳的公共利益,并由标准化团体批准。我国国家标准《标准化基本术语》(GB3935.1.83)中对标准的定义为:标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础,经有关方面协调一致,由主管机构批准,以特定形式发布,作为共同遵守的准则和依据。8.1.2标准的分级和分类1.标准的分级根据《中华人民共和国标准化法》规定,我国标准分为四级:国家标准、行业标准、地方标准和企业标准。国家标准由国务院标准化行政主管部门负责组织制定和审批;行业标准由国务院有关行政主管部门负责制订和审批,并报国务院标准化行政主管部门备案;地方标准由省级政府标准化行政主管部门负责制订和审批,并报国务院标准化行政主管部门和国务院有关行政主管部门备案;企业标准由企业制订,由企业法人代表或法人代表授权的主管领导批准、发布,由企业法人代表授权的部门统一管理,企业产品标准应向当地标准化行政主管部门和有关行政主管部门备案。2.标准的分类关于标准的分类,目前我国比较通用的分类方法有五种。(1)按标准发生作用的范围和审批标准级别来分,则分为上述国家标准、行业标准、地方标准、企业标准四类。(2)按标准的约束性来分,分为强制性标准和推荐性标准两类。强制性标准是保障人体健康、人身、财产安全的国家标准或行业标准和法律及行政法规规定强制执行的标准,其他标准则是推荐性标准。《中华人民共和国标准化法》规定:强制性标准,必须执行,不符合强制性标准的产品,禁止生产、销售和进口;推荐性标准,国家鼓励企业自行采用。(3)按标准在标准系统中的地位和作用来分,分为基础标准和一般标准两类。基础标准是指一定范围内作为其他标准的基础并普遍使用的标准,具有广泛的指导意义,例如GB-17859:1999《计算机信息系统安全保护等级划分准则》为基础标准。
主要用于工作,大部分内容有价值。
很好的一本书,一直用这个教材给学生上课。
不错,买来考试用的