信息安全工程师综合知识大纲考点：网络信息安全法律与政策文件

【考点重要程度】：了解、熟悉。主要是对网络信息安全基本法律、网络安全等级保护、网络产品和服务审查这3个知识点重点了解下。

【考点内容】：

网络信息安全法律与政策主要有：国家安全、网络安全战略、网络安全保护制度、密码管理、技术产品、域名服务、数据保护、安全测评等各个方面。

网络信息安全基本法律与国家战略：主要有《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国家网络空间安全战略》、《网络空间国际合作战略》等

网络信息安全基本法律：

《中华人民共和国网络安全法》由中华人民共和国第十二届全国人名代表大会常务委员会第二十四次会议于2016年11月7日通过，于2017年6月1日起施行;

《中华人民共和国密码法》于2020年1月1日起施行;

《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》于2021年9月1日实施;

《中华人民共和国个人信息保护法》于2021年11月1日起施行;

《网络安全审查办法》于2022年2月15日起施行。

网络安全等级保护：

等级保护义务：

(1)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

(2)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;

(3)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关网络日志不少于六个月

(4)采取数据分类、重要数据备份和加密等措施;

(5)法律、行政法规规定的其它义务。

网络安全等级保护的主要工作可以概括为：定级、备案、建设整改、等级测评、运营维护。

(1)定级：确认定级对象、确定合适级别，通过专家评审和主管部门审核;

(2)备案：按等级保护管理规定准备备案材料，到当地公安机关备案和审核;

(3)建设整改：依据相应等级要求对当前保护对象的实际情况进行差距分析，针对不符合项 结合行业要求对保护对象进行整改，建设符合等级要求的安全技术和管理体系。

(4)等级测评：等级保护测评机构依据相应等级要求，对定级的保护对象进行测评，并出具 相应的等级保护测评证书

(5)运营维护：等级保护运营主体按照相应等级要求，对保护对象的安全相关事宜进行监督管理。

国家密码管理制度：根据密码法，国家密码管理部门负责管理全国密码工作，县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

网络产品和服务审查：依据《中华人民共和国国家安全法》和《中华人民共和国网络安全法》等法律法规，有关部门制订了《网络产品和服务安全审查办法》。中国网络安全审查技术与认证中心(CCRC，原中国信息安全认证中心)是负责实施网络安全审查和认证的专门机构。

审查重点评估采购网络产品和服务可能带来的国家安全风险，这些风险主要包括：

(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险;

(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(3)产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为

(4)政治、外交、贸易等因素导致供应中断的风险;

(5)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(6)其他可能危害关键信息基础设施安全和国家安全的因素。

互联网域名安全管理：

1、域名服务是网络基础服务。主要是指从事域名根服务器运行和管理、顶级域名运行和管理、域名注册、域名解析等活动。域名系统出现网络与信息安全事件时，应当在24小时内向电信管理机构报告。

2、域名是政府网站的基本组成部分和重要标识。网站要加强域名解析安全防护和域名监测处置，积极采取域名系统(DNS)安全协议技术，抗攻击技术等措施，防止域名被劫持，确保域名解析安全。自建网站服务器不得随意放在境外，服用网络虚拟空间应位于中国境内，使用内容分发网络CDN服务的，其域名解析地址需要指向境内节点。

工业控制信息安全制度：工业控制信息安全相关政策文件及标准规范(官方教材18页，表1-5)

个人信息和重要数据保护制度：个人信息和重要数据保护政策文件及标准规范(官方教材18页，表1-6)

网络安全标准规范与测评：全国信息安全标准化技术委员会是从事信息安全标准化工作的技术工作组织。

网络安全事件与应急响应制度：国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”，英文缩写为CNCERT或CNCERT/CC)是中国计算机网络应急处理体系中的牵头单位，是国家级应急中心。

【考点相关真题演练】：

为确保关键信息基础设施供应链安全，维护国家安全，依据()，2020年4月27日，国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》，该办法自2020年6月1日实施，将重点评估采购网络产品和服务可能带来的国家安全风险。

A.《中华人民共和国国家安全法》和《中华人民共和国网络安全法》

B.《中华人民共和国国家保密法》和《中华人民共和国网络安全法》

C.《中华人民共和国国家安全法》和《网络安全等级保护条例》

D.《中华人民共和国国家安全法》和《中华人民共和国国家保密法》

【信管网参考答案】A

【查看解析】www.cnitpm.com/st/5017515860.html

我国信息系统安全等级保护工作环节依次是()

A、定级-检查-建设整改-等级测评-备案

B、等级测评-建设整改-监督检查

C、定级-备案-建设整改-等级测评-监督检查

D、定级-等级测评-备案-建设整改-监督检查

【信管网参考答案】C

【查看解析】www.cnitpm.com/st/2718115309.html

2019年10月26日，十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》，该法律自()起施行。

A.2020年10月1日

B.2020年12月1日

C.2020年1月1日

D.2020年7月1日

【信管网参考答案】C

【查看解析】www.cnitpm.com/st/5017117038.html

相关阅读：信息安全工程师考试大纲(第2版)