美国家标准和技术研究院信息安全标准化系列研究(七) 联邦信息安全管理法案实施项目进展研究

介绍了联邦信息安全管理法案背景和实施项目进展情况,对比分析了风险管理框架的变化,给出了关键标准研制情况清单,为我国开展重要信息系统和关键基础设施的信息安全保障工作提供借鉴。

从《联邦信息安全管理法案》看美国信息安全管理

一、概述美国《联邦信息安全管理法案》(Federal Information Security ManagementAct,FISMA)是《电子政府法案》(E-Government Act)的第3章。《电子政府法案》由美国第107届国会通过,并由总统于2002年12月正式签署生效。FISMA在充分认识信息安全对于美国经济和国家安全利益重要性的基础上,要求各联邦机构制定并实施适用于本机构的信息安全计划(Information Security Program),保障联邦信息和信息系统安全。

《联邦信息系统供应链安全风险管理指南》摘要

2010年6月,美国国家标准与技术研究院(NIST)发布了《联邦信息系统供应链安全风险管理指南》(Draft NISTIR 7622),该文件是国家网络安全综合计划(CNCI)的重要组成部分。本文选择性编译了其中的部分内容,供读者参考。信息系统正成为政府机构和正常运转的命脉。然而,随着技术的日趋成熟和全球化的进一步扩展,信息系统及其相关配套设施遭遇安全威胁的几率正在成倍增加。

完善信息安全管理标准 落实信息安全等级保护制度

从管理到管理体系是一次升华《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文件)提出以后,文件要求的各项基础工作逐步铺开,特别是信息安全等级保护制度得到强力推动。

美国联邦政府首席信息安全官制度概况

首席信息安全官(CISO)的概念起源自美国,指的是一个组织将信息安全职能从传统的信息技术部门独立出来,在管理层中指定专人全职负责所在组织的信息安全工作。一名称职的CISO通常需要具备专业技术能力、对业务的深度理解力、战略领导力,以及对信息安全的行业洞察力。自21世纪初开始,由首席信息安全官及其管理机构全面负责信息安全工作已逐渐成为美国政府部门的合规要求和私营领域的通行做法。

美国网络安全漏洞披露管理情况研究

网络安全漏洞披露是有效缓解攻防不平衡态势和降低网络安全风险的重要手段,美国在网络安全漏洞披露管理方面拥有一套行之有效的机制。为此,聚焦美国联邦政府互联网信息系统和国防部信息网络,分析其网络安全漏洞披露管理情况。首先,概述美国网络安全漏洞管理战略法规,了解其网络安全漏洞披露管理的战略布局和体系计划;其次,梳理国防部信息网络的漏洞管理依据和漏洞管理流程,分析以漏洞披露计划为代表的主要漏洞管理举措;最后,多角度分析联邦互联网系统漏洞披露的相关实践。以点带面透视美国网络安全漏洞披露管理的体系化和多元化情况,对完善我国漏洞管理机制具有一定借鉴意义。

俄罗斯信息安全立法和管理框架

俄罗斯联邦有关信息安全领域的法律法规建设起步较早，现已形成比较完备的体系。俄罗斯政府始终将国家信息安全看作国家安全的重要组成部分，其在信息安全领域的法律法规已在应对与日俱增的信息安全风险和挑战方面发挥了重要作用。

构建企业电子商务安全信息化建设

随着电子商务的必然发展,企业运营对信息化的依赖性逐步提高,网络的安全及可用已经成为关乎企业生存的关键环节。而IT技术的快速更新,繁忙的企业信息管理者不仅要处理新的服务器及软件的应用部署还要面对不断发展的复杂的攻击方去防止攻击者渗透系统和窃取数据。但是无论保护的范围是五个或者是五千个服务器,我们的企业都应该具备可以合理估计和随时受控的对网络基础设施缓解紧急威胁的能力。面对危机环境我们要事先具有规范的业务流程和像应对的处理手段,使信息安全工作有章可循。

美国联邦金融机构检查委员会对保障银行间信息传送及支付网的网络安全发布说明

2016年6月，联邦金融机构检查委员会成员建议金融机构遵守现行监管预期，积极管理与银行间信息传送及大规模支付的网络有关的风险。在声明中，联邦金融机构检查委员会也强调金融机构应审查有关信息技术系统和大规模支付网络的风险管理操作和管控，包括风险评估，

应对挑战 建立完善的网络与信息安全保障体系

随着通信技术的发展以及黑客攻击目的和形式的演变,电信运营企业面临的安全风险日益增加,网络与信息安全工作日趋重要。本文结合中国移动开展网络与信息安全工作实践经验,重点探讨了电信运营企业如何以管理为核心,以组织为前提,以技术为支撑,建立具备持续优化能力的网络与信息安全保障体系,应对信息通信技术发展过程中带来的新问题和新挑战。

美国食品安全现代法案对我国食品安全监管的启示

美国食品安全现代法案于2011年初签署生效,该法案的通过加强了美国食品药品管理局的权限,监管将从事后反应调整到事前预防来确保美国食品安全。本文基于我国食品监管制度现存问题的分析,在对美国食品安全现代法案的比较研究基础上提出相关建议。

美国FDA食品安全现代化法案解读与评析

对美国2011年初出台的《FDA食品安全现代化法案》进行了解读和评析,介绍了该法案的修法背景、立法目的和适用范围,以及对现行食品安全法律《联邦食品药品化妆品法》的主要修改和新设立的法律制度与措施,分析了美国进口食品安全监管新举措对我国输美食品生产企业和相关行业的影响。建议密切跟踪FDA食品安全现代化法案的实施情况和配套法规的制定进程,深入研究并积极应对美国第三方审核认可制度,系统评估美国进口食品安全监管新举措对我国可能造成的影响,学习借鉴美国现代化食品的安全监管理念和科学的法律制度设计。

我国食品安全中存在的信息不对称及其对策探究

我国食品安全过程存在着因多头监管导致的"政府失灵"和由于信息不对称引起的"市场失灵"的问题。多头监管现状由于受体制限制,改革成本高,且短期内收效甚微。以解决信息不对称入手,提出从制定《食品安全指南》,出台《食品安全信息管理条例》,建立国家食品安全信息网,以及引入"吹哨法案"等解决"市场失灵"问题,以期市场本身能够为消费者提供安全、优质的食品。

情报反恐:政府信息管理的再思考

挪威恐怖袭击、伦敦骚乱等严重暴力恐怖事件,让我们进一步认识到恐怖主义已成为国家安全的主要威胁。"9·11"事件后,美国政府推出了一系列反恐信息管理改革,成效显著。目前,我国正在推进政府信息化建设,其间我们也会遇到与美国类似的"公众知情权"等问题。情报反恐,给我国政府信息管理提供了新思路。

2020年数据竞争与个人信息司法案例盘点

2020年,我国《民法典》正式通过,对个人信息保护进行了专门规定,《个人信息保护法(草案)》又更加具体地规定了个人信息处理的规则和个人在个人信息处理中的权利与义务等内容,《数据安全法(草案)》立足于保障数据安全、促进数据开发和利用层面进行了顶层设计的奠基工作,《未成年人保护法》《网络交易监督管理办法(征求意见稿)》等都从各自领域对特定主体个人信息的收集、使用规则等作出规定。可以说,在规范层面,2020年是规制数据和个人信息利用的重要一年。

从GPA角度审视我国政府采购信息安全

政府采购信息安全,已逐渐成为世界各国积极研究的课题之一。2007年12月,我国开始启动加入世界贸易组织《政府采购协议》谈判,我国一旦成功加入GPA,政府采购信息安全将会遭遇更大的威胁与挑战,因此,在新形势下不断完善我国政府采购信息安全体系就显得尤为重要。目前,虽然我国政府采购信息管理系统采用了PKI（公钥基础设施）、访问控制、防火墙、入侵检测等安全技术,但缺少一个统一、高效的安全支撑体系来保障政府采购信息安全,政府采购仍然受到安全问题的威胁。

美国网络地理信息安全监管对我国的启示

1.建立多方协同的监管组织体系,成立专门的网络地理信息安全机构。美国虽没有专门的机构管理网络地理安全,但以联邦政府为主导、社会参与为重点的多方协同监管组织体系值得借鉴。当前我国的政府组织机构体系庞大,但是涉及地理信息管理的机构之间缺乏协调合作。

4月国际网络和信息安全发展动态

印度授权行业协会鉴定有害信息。4月7日,印度电信部表示,政府已授权印度网络与移动协会负责鉴定有害信息,特别是含有色情内容的网站,被鉴定为含有有害信息的网站将被禁用。土耳其颁布加强互联网管理新法案。4月3日,土耳其总统签署加强互联网管理的新法案,允许内政部在涉及内部维稳时限制网页的浏览权限。越南举办世界议会联盟第132届大会。4月1日,世界议会联盟第132届大会于3月28日至4月1日在河内举行,会议通过《河内宣言》,关注网络战争等议题。