信息安全等级保护与道德规范-CSDN博客

本文概述了《中华人民共和国计算机信息系统安全保护条例》和网络安全等级保护制度，强调了GB17859标准和《关于信息安全等级保护工作的实施意见的通知》的重要性。同时，介绍了道德约束在信息安全领域的应用，包括理解道德概念、职业道德准则以及《CISP职业道德准则》。此外，还讨论了标准的基本概念，如ISO、IEC等国际和国内标准化组织，并提及了我国信息安全标准体系。最后，提到了等级保护的实施流程，包括定级、备案、差距分析和建设整改等环节。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

《中华人民共和国计算机信息系统安全保护条例》规定了计算机系统实现安全等级保护
GB17859正式细化等级保护要求，划分五个级别
《关于信息安全等级保护工作的实施意见的通知》规定等级保护指导思想、原则和要求。定级从信息和信息系统的业务重要性及遭受破坏后的影响出发
网络安全法明确我国实行网络安全等级保护制度

道德约束
   了解道德的概念、道德与法律的差异
   理解道德约束相关概念
职业道德准则
   理解信息安全从业人员遵守职业道德的重要性
   了解目前国际团体和组织制作的职业道德规范文件
   理解《CISP职业道德准则》的要求

道德的概念
   一定社会或阶级用以调整人们之间利益关系的行为准则，也是评价人们行为善恶的标准
道德和法律
   道德没有严谨的结构体系，法律是国家意志统一体系，有严密的逻辑
道德约束
   道德约束是建立在完善的法律基础上
   惩戒性条款的管理制度是组织内部建立职业道德约束的有效手段之一
   培训与教育是不可获取的增强员工道德意识的途经

职业道德的概念
著名的计算机职业伦理守则
   美国计算机学会职业伦理守则、英国计算机学会伦理守则、计算机伦理十诫
csip职业道德准则
   维护国家、社会和公众的信息安全
   诚实守信、遵纪守法
   努力工作、尽职尽责
   发展自身、维护荣誉

信息安全标准基础
   了解标准的基本概念及标准的作用、标准化的特点及原则等
   了解国际信息安全标准化组织和我国信息安全标准化组织
   了解我国标准分类及信息安全标准体系
我国信息安全标准
   了解我国信息安全标准体系分类及基础标准、技术与机制、管理与服务标准、测评标准构成

标准
   为了在一定范围内获得最佳秩序，经协商一致制定并由公认机构批准，共同使用的和重复使用的一种规范性文件
标准类型
   国际标准
   国家标准
   行业标准
   地方标准

标准化：为了在一定范围内获得最佳秩序，对现实问题或潜在问题制度共同使用和重复使用的条款的活动
标准化的基本特点
   标准化是一项活动
   标准化的对象：物、事、人
   标准化是一个动态的概念
   标准化是一个相对的概念
   标准化的效益只有应用后才能体现
标准化工作原则：简化、统一、协调、优化

主要国际标准化组织
   国际标准化组织（ISO）
   国际电工委员会（IEC）
   internet工程任务组（IETF）
   国际电信联盟（ITU）及国际电信联盟远程通信标准化组织（ITU-T）
国家标准化组织（美国）
   美国国家标准化协会（ANSI）
   美国国家标准技术研究院（NIST）

中国国家标准化管理委员会
是我国最高级别的国家标准机构
全国信息安全标准化技术委员会（TC260）

GB强制性国家标准
   一经颁布必须贯彻执行，违反则构成经济或法律方面的责任
GB/T推荐性国家标准
   自愿采用的标准，共同遵守的技术依据，严格贯彻执行
GB/Z国家标准指导性技术文件
   由于技术发展过程中或其他理由，将来可能达成一致意见指导性技术文件
   实施后3年内必须进行复审

安全术语类
测评基础类
管理基础类
物理安全类
安全模型类
安全体系架构类

密码技术
鉴别机制
授权机制
电子签名
公钥基础设施
通信安全技术
涉密系统通用技术要求

涉密服务
安全控制与服务
网络安全管理
行业/领域安全管理

密码产品
通用产品
安全保密产品
通用系统
涉密信息系统
通信安全
政府安全检查
安全能力评估

等级保护标准灰
   了解网络安全等级保护标准体系
   掌握等级保护实施流程中定级、备案的工作要求并了解等级保护整改、测评相关要求
   了解等级保护2.0的相关变化

安全等级类：主要对如何进行信息系统定级做出指导
   GB/T22240-2008《信息安全技术信息系统安全保护等级保护定级指南》
   各类行业定级准则
方法指导类：对如何开展等级保护工作做了详细规定
   GB/T25058-2010《信息系统等级保护安全设计技术要求》等

状况分析类：对如何开展等级保护测评工作做出了详细规定
GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》
GB/T28449-2012《信息安全技术信息系统安全等级保护测评过程指南》

基线要求：分技术类、管理类和产品类等标准，分别对某些专门技术、管理和产品的进行要求

定级
备案
差距分析
建设整改
验收测评
定期复查

目的：发现系统当前安全状况与《等级保护基本要求》之间差距，指导下一步整改工作
流程：差距分析流程与等级保护测评一致
报告：在完成差距分析后一般形成《等级保护差距分析报告》，格式一般参考《等级保护测评报告》，为下一阶段开展等级保护安全建设整改工作提出建设整改需求

依据：GB/T25070-2010《信息系统等级保护安全设计技术要求》
流程：依据《等级保护差距分析报告》中提出的安全建设整改需求，设计《等级保护安全建设整改方案》，并根据单位实际的资金、技术、人员配备情况分阶段地开展等级保护建设整改工作
报告：建设整改前，需要编制《等级保护安全建设整改方案》，提出建设整改目标和步骤。在完成整改后，由建设单位开展验收工作，验证是否达到方案要求

云计算安全要求
运动互联网安全
物联网安全
工业控制系统安全