None Found

（右键点击“播放”）

（右键点击“播放”）Similar Posts:

None Found

信息技术—安全技术—信息安全管理实用规则

该标准取代了早前的ISO/IEC 17799及BS 7799，它为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。本标准概述的目标提供了有关信息安全管理通常公认目标的通用指南。

本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践，帮助构建组织间活动的信心。

本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且，可能需要本标准中未包括的附加控制和指南。当开发附加控制和指南的文件时，包括对本标准适用的条款进行交叉引用可能是有的，该交叉引用便于审核员和商业伙伴进行符合性核查。

标准含有16个章节，其中5至15共11个章节包含ISO 27001附录A中所含的所有控制措施。这些章节包含39个安全分类，两个标准中控制措施的编号是完全相同的。章节的编号并没有排序意义，根据实际情况的需要，所有的章节都可能是很重要的。

安全分类，所有的安全类别都包含有：
1.控制目标，声明需要达成的结果
2.要达到控制目标所要部署的一个或多个控制措施

每个安全分类中的控制措施都以如下相同的方式进行排序：
1.控制申明，它描述控制的目标
2.部署指南，它是关于组织如何部署这个控制措施的详细指南
3.其它需要考虑的信息，包括对其它标准的参考

标准的16个章节目录如下：

前言

0 引言

0.1 什么是信息安全

0.2 为什么需要信息安全

0.3 如何建立安全要求

0.4 评估安全风险

0.5 选择控制措施

0.6 信息安全起点

0.7 关键的成功因素

0.8 开发自己的指南

1 范围

2 术语和定义

3 标准的结构

3.1 条款

3.2 主要安全类别

4 风险评估和处理

4.1 评估安全风险

4.2 处理安全风险

5 安全方针

5.1 信息安全方针

5.1.1 信息安全方针文件

5.1.2 信息安全方针评审

6 信息安全组织

6.1 内部组织

6.1.1 信息安全管理承诺

6.1.2 信息安全协作

6.1.3 信息安全职责分配

6.1.4 信息处理设施的授权过程

6.1.5 保密协议

6.1.6 与权威机构的联系

6.1.7 与专业兴趣小组联系

6.1.8 信息安全的独立评审

6.2 外部相关方

6.2.1 与外部相关方相关的风险的识别

6.2.2 致力于与顾客相关的安全

6.2.3 第三方协议中涉及的安全

7 资产管理

7.1 资产责任

7.1.1 资产清单

7.1.2 资产所有权

7.1.3 资产的恰当使用

7.2 信息分类

7.2.1 分类原则

7.2.2 信息标识和处理

8 人员安全

8.1 聘用前

8.1.1 角色和责任

8.1.2 筛选

8.1.3 聘用条款和条件

8.2 聘用期间

8.2.1 管理职责

8.2.2 信息安全意识、培训和程序

8.2.3 惩戒过程

8.3 聘用终止或变化

8.3.1 终止责任

8.3.2 资产归还

8.3.3 访问权的删除

9 物理和环境安全

9.1 安全区域

9.1.1 物理安全周界

9.1.2 物理进入控制

9.1.3 安全办公室、房间和设施

9.1.4 防范外部的和环境的威胁

9.1.5 在安全区工作

9.1.6 公共访问、交付和存储区

9.2 设备安全

9.2.1 设备定位和保护

9.2.2 支持性设施

9.2.3 电缆安全

9.2.4 设备维护

9.2.5 场所外设备的安全

9.2.6 设备的安全处置和再利用

9.2.7 资产转移

10 通信和运维管理

10.1 操作程序和职责

10.1.1 操作程序文件化

10.1.2 变更管理

10.1.3 责任分离

10.1.4 开发、测试和运作设施的隔离

10.2 第三方服务交付管理

10.2.1 服务交付

10.2.2 第三方服务的监控和评审

10.2.3 管理第三方服务的更改

10.3 系统策划与验收

10.3.1 容量管理

10.3.2 系统验收

10.4 防范恶意软件和移动代码

10.4.1 防范恶意代码

10.4.2 防范移动代码

10.5 备份

10.5.1 信息备份

10.6 网络安全管理

10.6.1 网络控制

10.6.2 网络服务的安全

10.7 介质的处理

10.7.1 可移动计算机存储介质的管理

10.7.2 介质的处置

10.7.3 信息处理程序

10.7.4 系统文件的安全

10.8 信息交换

10.8.1 信息交换方针和程序

10.8.2 交换协议

10.8.3 物理介质的运输

10.8.4 电子通信

10.8.5 商业信息系统

10.9 电子商务服务

10.9.1 电子商务

10.9.2 在线交易

10.9.3 公共可用信息

10.10 监控

10.10.1 审核日志

10.10.2 监控系统使用

10.10.3 日志信息的保护

10.10.4 管理员或操作员日志

10.10.5 故障日志

10.10.6 时钟同步

11 访问控制

11.1 访问控制的业务需求

11.1.1 访问控制方针

11.2 用户访问管理

11.2.1 用户注册

11.2.2 特权管理

11.2.3 用户口令管理

11.2.4 用户访问权的评审

11.3 用户责任

11.3.1 口令使用

11.3.2 无人值守的用户设备

11.3.3 清洁桌面和清除屏幕方针

11.4 网络访问控制

11.4.1 网络服务的使用方针

11.4.2 外部连接的用户验证

11.4.3 网络中设备的鉴别

11.4.4 远程诊断和配置端口保护

11.4.5 网络分离

11.4.6 网络连接控制

11.4.7 网络路由控制

11.5 操作系统访问控制

11.5.1 安全登录程序

11.5.2 用户识别和验证

11.5.3 口令管理系统

11.5.4 系统实用程序的使用

11.5.5 会话超时

11.5.6 连接时间限制

11.6 应用程序以及信息访问控制

11.6.1 信息访问限制

11.6.2 敏感系统隔离

11.7 移动计算和远程工作

11.7.1 移动计算和通信

11.7.2 远程工作

12 信息系统的信息获取、开发以及维护

12.1 信息系统的安全需求

12.1.1 安全需求分析和规范

12.2 应用程序的正确处理

12.2.1 输入数据的验证

12.2.2 内部作业的管理

12.2.3 消息完整性

12.2.4 输出数据验证

12.3 加密控制

12.3.1 使用密码控制的方针

12.3.2 密钥管理

12.4 系统文件的安全

12.4.1 操作软件的控制

12.4.2 系统测试数据的保护

12.4.3 对程序资源库的访问控制

12.5 开发和支持过程的安全

12.5.1 变更控制程序

12.5.2 操作系统变更的技术复查

12.5.3 改变软件包的限制

12.5.4 信息泄露

12.5.5 外包软件开发

12.6 技术薄弱点管理

12.6.1 技术薄弱点的控制

13 信息安全事故管理

13.1 报告信息安全事情和薄弱点

13.1.1 报告安全事情

13.1.2 报告安全弱点

13.2 信息安全事件管理和改进

13.2.1 责任和程序

13.2.2 吸取事故教训

13.2.3 证据的收集

14 业务持续性管理

14.1 业务连续性管理的信息安全方面

14.1.1 在业务连续性管理过程中包含信息安全

14.1.2 业务连续性和风险评估

14.1.3 编写和执行包括信息安全在内的连续性计划

14.1.4 业务连续性计划框架

14.1.5 测试、维护和重新评估业务连续性计划

15 符合性

15.1 符合法律要求

15.1.1 适用法律的辨别

15.1.2 知识产权(IPR)

15.1.3 保护组织记录

15.1.4 数据保护和个人信息的保密

15.1.5 防止信息处理设备的误用

15.1.6 密码管理的规定

15.2 与安全方针和标准的符合性

15.2.1 符合安全方针和标准

15.2.2 技术符合性检测

15.3 信息系统审核相关事宜

15.3.1 信息系统审核控制

15.3.2 系统审查工具的保护

参考

索引Similar Posts:

• ISO/IEC 27001概述
• 基于ISO 27001的信息安全管理体系简介
• ISO27001定义信息安全
• ISO27001信息安全标准背景
• ISO 27000系列标准介绍

该标准源于BS7799-2，主要提出ISMS的基本要求，已于2005年10月正式发布。

让我们看一下纸质的标准，加上首尾的零头，标准总共有44页。但是标准的核心部分只包含在其中的9页里，这9页列出了设计和部署信息安全管理体系的技术规范或要求。另外，标准有17页的内容是附录A，它其中包含133项独立的控制措施，这些控制措施的适用性必须得到考虑。

下面快速介绍一下标准：

ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的ISMS解决方案。

ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。

信息安全体系管理规范包含在ISO 27001的第四至第八章，晚些我们会逐一进行学习和讨论。

标准的主要内容包括：

0 简介

0.1总则

0.2过程方法

0.3与其它管理体系的兼容性

1 范围

2 引用标准

3 术语和定义

4 信息安全管理体系

4.1总体要求

4.2 建立和管理ISMS

4.2.1建立ISMS

4.2.2实施并运作ISMS

4.2.3监控并评审ISMS

4.2.4保持并持续改进ISMS

4.3 文件要求

4.3.1文件要求-总则

4.3.2文件控制

4.3.3记录控制

5 管理职责

5.1管理承诺

5.2 资源管理

5.2.1资源管理-资源提供

5.2.2培训、意识和能力

6 内部信息安全管理体系审核

7 信息安全管理体系管理评审

7.1总则

7.2评审输入

7.3评审输出

8 信息安全管理体系改进

8.1持续改进

8.2纠正措施

8.3预防措施

附录A (规范性) 控制目标和控制措施

附录B (参考性) OECD 准则和本国际标准

附录C (参考性) 本标准与ISO9001:2000、ISO14001：2004 标准的对应关系

参考书目

接着讨论ISMS的组成部分：ISO 27001第4-8章，ISO 27001的附录A和ISO 27002的关系

ISO 27001第4章列出了总体要求，它被后面的第5-8章的详细规范要求支撑。附录A所列的控制清单直接同ISO 27002中的具体指导相关联，正是这些控制措施，形成了信息安全管理体系的大部分内容。

总体要求
尽管所有这些章节都很重要，发起章节才是成效性中最重要的，即章节4.2.1：建立信息安全管理体系：
章节4.2.1包含如下6个重要事项：

1.范围——ISMS在组织中适用性的定义

2.策略——董事会的信息安全政策，其中规定了整个ISMS的指导方针

3.资产清单——所有类型的信息资产(包括有形的及无形的），这些是ISMS工作的主题对象

4.风险评估——鉴别出每项资产涉及的风险

5.风险应对计划——识别出每项风险要如何处理，当然是在董事会关于风险应对方法的整体指导下进行

6.适用性申明——描述ISO 27001附录A中哪些控制措施已经被采用，如何被采用的；哪些控制措施没有被采用，以及没有采用它们的理由。Similar Posts:

• ISO 27000系列标准介绍
• ISO27001信息安全标准背景
• ISO27001定义信息安全
• 如何建立信息安全管理体系 ISMS
• A 120 minutes yearly security education plan for employees

老同学问我如何彻底删除机器上的数据，称公司要给他换一台新的电脑，旧的电脑将转给同事，不过由于旧电脑上尚存有自己的一些隐私，所以他担心会被同事发现造成不好的后果。

6.现在，我们知道，暴露的越多，越可能成为攻击者的目标，也越容易让攻击者得逞，坚定的攻击者会搜集我们不小心透露出去的信息，我们不会轻易地告诉互联网我们的生日；我们也不会轻易地告诉媒体我们的最新战略以及最近正在紧密研发中的创新性产品和服务。除此之外，我们还需要更多的了解常见的攻击方式及应对方法。最常见的就是物理攻击，破了你家的门或公司的窗进行偷窃是最原始的做法了；也有攻击者会假冒物管、送水工、清洁工、快递员、政府主管部门、内部员工、客户或商业合伙伙伴等等，进入您家或公司，进而接近和窃取您的关键数据。应对方法也比较多，把家和公司分为不同的安全区域，对有机密信息的某些重要的区域加强防守、不允许他人未经许可而进入或打开，这是最基本的思想；另外，机密文件的传输比如打印和传真需要约定的时间在终端即时取走；丢弃不用的文件要确保彻底粉碎及删除，防止只为能得到您丢的几张纸而时刻守护在楼下的垃圾桶旁的坚定攻击者。

7.上述这些基本的物理安全访问控制相信大家都会有认识，现在我们不会把打印的公司邮件或移动硬盘放在桌面上，也会留意办公室内部或周围有没有可疑的人员逗留。进一步还需要在数据本身的逻辑保障上。笔记本失窃的新闻屡见不鲜，笔记本电脑本身可能值不了多少钱，但上面的数据的丢失可能会给个人或企业带来巨大的损失。不怕一万，就怕万一，当电脑放在安全区域或锁起来的物理措施失效之后，加密是降低损失的一大法宝。幸好有加密这种近代安全技术的基础，我们得以相对安全地存储、处理和传输机密数据。如果不掌握和灵活应用这些基本的加密方法确实对不起前人的科学贡献，市面上大部分的电脑都已经支持主板BIOS加密和硬盘加密，进入CMOS设置，使用复杂的密码，启用它们吧！如果您还不知道复杂密码的含意，请寻找相关的指南。

8.主板和硬盘的加密会让电脑在丢失之后，电脑里的数据可以得到一定程度的安全保护，电脑本身的BIOS密码可能很容易被清除，硬盘的密码也可能会被成功破解，或绕过。虽然坚定的攻击者、审计和监察人员都有一套侦察和破解的工具，前面的加密工作仍会给他们带来一些阻挠甚至令其望而却步。除了对电脑硬件的加密外，进一步，是对存储信息的加密，新的操作系统大都支持硬盘、分区和文件不同级别的加密，也有不少应用程序如办公软件和压缩软件已经支持对文件夹和文件的加密，启用它们，会大大提升安全性。

9.操作系统的密码很容易被破解，办公软件和压缩软件密码破解程序也随手可得，另外它们也存在或时常会被发现一些安全漏洞，如在打开加密的办公文件和压缩文件时会在系统的临时文件中存一份，而这些临时文件存放硬盘中，所以也是很容易被找到或恢复出来的。这需要我们：一、时常或定期清除系统临时文件，最好安装自动清除的软件由它帮忙；二、将临时文件夹加密，让那些删除文件恢复软件无用武之地；随便提一下，这两招对于防止别人分析我们本地的上网记录进而保护上网隐私也很有用。另外，我强烈推荐大家使用专门的加密软件，这些专门的加密软件会帮忙建立一个加密硬盘分区或加密文件柜（虚拟分区），我们可以将大量的文件放进文件柜，而且随时可以凭密码、智能卡或密码文件打开或关闭文件柜，也很方便将整个文件柜以加密的方式进行备份。更有趣的是，有些加密软件甚至可以帮忙在文件柜上弄个假的文件柜，当攻击者将刀架在您的脖子上的时候，您可以打开假的文件柜以瞒天过海。推荐使用免费的TrueCrypt或商业的BestCrypt。

10.在文件的存储上，在线存储已经很流行，所谓云计算的存储即服务，对知名的厂商如谷歌的安全存储似乎可以放心，我们要注意的是账号安全、权限设置和传输安全的问题，如果我们的密码被人窃取、搜索引擎很容易找出我们上传的文件、任何人都可以下载我们上传的文件，那存在云上的机密文件不是很危险？所以给出几点建议如下：一、在线系统密码，要够复杂和各不相同；二、不要随意与人或搜索引擎分享上传的文件；三、高保密性的文件先经过本地加密后再上传；四、选择提供通讯加密的正规成熟的知名厂商，对常见的网络服务启用加密传输如HTTPS,FTPS,SSH,POP3S,SMTPS等，如发现在用户登录系统过程都未加密，建议马上换一家服务提供商，否则，即使密码再复杂，在明文传输的过程中很容易被截取。

11.在电脑系统的生命周期的最后，会出现类似我的老同学的要求——回收处理旧的电脑中的数据，简单的方法是物理破坏，比如拿锤子将硬盘砸了，不过这种做法不够经济；使用彻底删除的软件如Eraser来帮忙，这些软件的工作原理在原有的存储空间里反复多次清除和填充随机的数据。

12.补充一下，对于机密邮件，在传输和本地存储方面的加密还不够，我们需要采用端到端的加密方法如免费的GPG或商业的PGP，它们会支持更高级的加密和身份验证功能，在传输机密文件时非常有用。

13.最后，对客户终端安全和应用服务端安全的保障不是我们本次讨论的内容，不过却和个人机密数据的保护密切相关，可以参考此前关于保障个人信息安全的话题。

简单总结一下，通过提升安全意识、加强物理防范、落实加密措施、慎选服务商及提升终端安全等几招，可以帮助我们更好地保护人个机密信息。Similar Posts:

• 信息安全半月谈 InfoSec Review Biweekly 015
• 旧电脑的回收问题
• 轻松加密您的机密文件
• 信息安全双周刊第31期
• 信息安全双周刊26期

老同学问我如何彻底删除机器上的数据，称公司要给他换一台新的电脑，旧的电脑将转给同事，不过由于旧电脑上尚存有自己的一些隐私，所以他担心会被同事发现造成不好的后果。

这使我想起私照泄露事件和力拓事件。一是不小心通过送修的笔记本外漏的，一是被政府主管部门审查出来的。

所以有必要分享一些保密理念和实践经验，以帮助朋友们免受不必要的损失。

1.没有绝对的安全，俗话讲“要想人不知，除非己莫为。”就连谷歌的创始人之一施密特也说“If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.”所以一方面，做人要正直有道德，做企业要守法经营；另一方面，能不留下痕跡的，尽可能不要留下，除非你认为那些信息数据在未来还有用，要么，就不要让这些秘密数据生成，所有的数据在记录、存储、传输和处理的过程都有可能丢失。

2.虽然没有绝对的安全，但是可以通过努力达到相对的安全。即使我们光明正大，但是也会有个人隐私或企业赖以生存和发展的机密数据，当然它们需要得到相当级别的保护，最终目的是保护我们自己，我们的亲友和尊贵客户、防止恶意的攻击者及赢得市场竞争中的领先地位。

3.现在我们明白了，有些东西需要重点保护，有的则无所谓，甚至有的则希望天下人都知道。我们的哪些东西需要得到特别的保护，只有我们自己知道，我们把重心放在这里；次要的或无所谓的东西也需给予一定的重视，因为它们多少和需要重点保护的东西有关联。这几年政府大力推行信息分级保护也是同样的思想，一个国家如此，个人和企业也是如此。

4.说了这多“废话”，招数在哪儿呢？在分享一些实用招数之前，现在让我们换一个角色，变成想获取我们的机密信息的“敌人”，知己知彼，百战不殆。想一想，有哪些方法可以获得对方的机密呢？最简单的不过是直接去索取啦！不要觉得这个方法太傻，确实有人会笨到诚实地告知，兵不血刃，不战而胜，难道不是最高的境界吗？用安全行业的术语来讲，这叫社会工程学，或社交工程学，它是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。社会工程学陷阱就是通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密。

那么，如何才能很好的防范呢？答案是我们得变得比对方更加的谨慎和聪明，首先要谨慎，小心行的万年船，对方向你索取东西的时候，别像个奴隶一样乘乘就范，有三条需要检验的：（1）号称的对方是不是真的对方；（2）对方的真实目的是否正当；（3）对方是否有适当的权限来索取。其次要聪明，道高一尺，魔高一丈，不断学习和了解社会工程学的原理及发展趋向，克服人性的弱点，常用的那些招数就如同手机中奖诈骗一样变得脆弱无力。

5.或许您会说“社会工程学防范，也算是招数？”不过当它和其它攻击方法结合起来就不容易防御了，现在继续我们的攻击者角色，好说歹说对方就是不干，看来软的不吃，咱只能来硬的了。问题是对方软的不吃，可能会加强硬的方面的防范，现在我们面临的困难更大，可是困难也代表着机遇，而机遇总是垂青有准备的人，我们要准备什么呢？俗话讲“磨刀不误砍柴功”，我们当然是要“磨刀”了，踩点、搜集对方尽可能多的公开或半公开的信息、进行一些初步的扫描探测。公司网站、个人网站、博客、论坛、往来客户和供应商、业务伙伴、社交圈、新闻媒体、搜索引擎、校友录、同学录、人才网站等等总会露出些些蛛丝马迹。接下来分析这些信息，制定我们的制胜战略，结过充分的策划和详密的准备工作后，我们要开始像网络黑客一样对目标发起攻击！

到这儿，我们明白了，要保护机密信息防止丢失，是一套系统化的工程，需要我们平时做好个人信息的保密工作，提供个人资料给第三方时，不管是通过网上登记还是拿笔填调查表或申请表，要留心这些信息的使用条款，要知道哪些会公开，哪些会受到保护，尤其注意保护关键的信息如联系方式和信用卡号码。Similar Posts:

None Found

ISO 27001提供了由一个认证机构对一个组织的信息安全管理体系进行独立审计和认证的规范。如果信息安全管理体系被认为符合规范要求，组织可以被发放正式的证书以确认之。

认证机构
认证是由独立的，可信的认证机构进行的。它们在不同的国家有不同的叫法，包括’注册机构’，’评估和登记机关’，’认证/注册中心’和’登记司’等等。无论他们被如何称呼，他们都在做同样的事情，并接受同样的要求。

经认可的认证机构是一个已经证明完全符合任何国际和国家标准规定的认证机构。

认证流程

对于已经通过ISO 9000或任何其他管理体系标准认证的任何组织，该认证流程将会非常熟悉。

认证机构将分两个阶段发起审核流程。第一阶段将进行文件的审查（可能包括也可能不包括预认证的访问），这将使审计人员进行首次实际的正式访问以便能：
熟悉该组织机构；
对文件进行审查；
确保ISMS得到了足够的开发，已经能够接受正式的审计；
获取足够的关于该组织的信息，以及认证的目的和范围，以便有效地准备他们的审计。

这次访问是通常时间比较短，取决于组织的规模，可能只需要一两天。在作出访问之前，一些组织将开展远程文件审查。

正式审计
正式的审计，通常被称为’初审’，将花上数天时间。审计过程包括测试组织的（信息安全管理体系ISMS）文档流程以和标准的要求进行比较，以确认该组织已制订出符合标准要求的文档体系，然后再测试组织对ISMS的实际遵从情况。

审计工作将遵循一个预先设定的计划。审计人员将与他们进行沟通，包括和组织中的哪些人以及用什么顺序与他们面谈。

审计报告

认证审核将使用负面报道（也就是说，它会找出不足之处，而不是光辉点），以评估ISMS确保该组织的程序和流程，该组织的实际活动和执行的记录符合ISO 27001的要求，并且给出申报的系统的范围。审计的结果将是：
*书面审计报告（通常可在审计完成时交付）
*不符合项纠正措施和意见
*商定的纠正措施和时限

不符合项可以是轻微的或严重的;轻微的不符合项将被作为主要的改进机会，严重的不符合项将意味着该组织并不会（在这个阶段）成功地获得认证。通常，当一个严重的不符合项被发现出来时，审计人员会建议，审计过程暂停，以便该组织使用足够的时间解决这个严重问题之后再重新开始。

审计输出结果

访问的预期结果应当是组织的ISMS通过了ISO 27001的认证和证书的效果问题。该证书应得到适当的展示，组织应该开始准备应对它的第一次监督访问，它将在约6个月后进行。

任何轻微的不符合项应该得到解决，并由邮件告知，所有证书的发放将依赖在事前商定的时间表内的整改情况。

审计监督将在审计后进行，既要确保他们不会发展成为不符合项，也要作为该组织持续改进活动的一部分。

正式批准的认证标志可以被组织用来当做营销材料。Similar Posts:

• ISO/IEC 27001概述
• ISO27001定义信息安全
• ISO 27000系列标准介绍
• ISO27001信息安全标准背景
• 如何建立信息安全管理体系 ISMS

前言讲了互联网对于中国社会经济生活的重要性及中国政府在其中扮演的角色和取得的重要成绩。以及发表《中国互联网状况》白皮书的目的，旨在介绍中国互联网发展的基本情况，说明中国政府关于互联网的基本政策以及对相关问题的基本观点，帮助公众和国际社会全面了解中国互联网发展与管理的真实状况。

第一章、推进互联网发展与普及；
列举了从94年开始10几年来中国互联网建设和发展的历史，文中大量的数字和项目工程表明互联网在中国已经得到了广泛的普及；不过我更相信大家的切身感受，从10年前刚接触龟爬似互联网的热情，到今天生活和工作中几乎无处不在的互联网，确实政府的引导和努力功不可没。文中也提到了发展不平衡的问题如地区之间、城乡之间的“数字鸿沟”和未来五年的普及计划。

第二章、促进互联网广泛应用；
传统产业加速网络化；在经济领域，互联网加速向传统产业渗透，产业边界日益交融，新型商务模式和服务经济加速兴起，衍生了新的业态。互联网也日益成为人们生活、工作、学习不可或缺的工具，正对社会生活的方方面面产生着深刻影响。文章又列举了不少关于互联网得到广泛应用的数字，证明互联网成为推动中国经济发展的重要引擎，中国电子商务快速发展，互联网促进了文化产业发展和政府信息公开，以及互联网成为人们社会生活的重要工具等等。列举了这多数字，不如简单地想想，上网不再是简单看个新闻，传个文件或发个邮件，您还可以聊个天，听个歌，看个电影，打个网游，买个东西，查个地图，找个工作什么的。
后面也提到了中国政府计划大力推动电子商务类、教育类网站发展，积极推进电子政务建设，支持发展网络广播、网络电视等新兴媒体，倡导提供形式多样、内容丰富的互联网信息服务，以满足人们多样化、多层次的信息消费需求。

第三、保障公民互联网言论自由；
政府引导下的官方网络媒体得到了发展和壮大；文章列举了些数字证明我国公民依法享有互联网上充分的言论自由；尽管这些数字被某些团体和个人拿来娱乐，我们仍要说，互联网只是个媒介，是国家和社会形态的一种虚拟表现形式。不能怪罪政府说压制互联网言论；政府官员也是人民中的一员，而且是人民群众中的精英，他们只是在相应法律法规要求的范围内履行他们的职责。
相反，政府积极应用互联网，充分发挥互联网的监督作用和高度重视互联网上反映的社情民意。中国政府将坚定不移地维护公民依法享有的互联网上言论自由。

四、管理互联网的基本原则与实践；
中国管理互联网的基本目标是，促进互联网的普遍、无障碍接入和持续健康发展，依法保障公民网上言论自由，规范互联网信息传播秩序，推动互联网积极有效应用，创造有利于公平竞争的市场环境，保障宪法和法律赋予的公民权益，保障网络信息安全和国家安全。这些东西四平八稳，无懈可击。
依据《互联网信息服务管理办法》，中国对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。从互联网管理和服务的角度来讲这也无可厚非，企业内部的管理不也是如此吗？
国家新闻、出版、教育、卫生等部门依据《互联网信息服务管理办法》对“从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务”实行许可制度。关系国家安全的新闻和出版行业信息服务当然要许可才行，而为何教育和卫生部门要对行业的互联网信息服务实行许可制度呢？这一定是教育和卫生部门对老百姓的爱戴的一种表现。
另外几个基本原则和实践如下：
积极倡导行业自律和公众监督。
主张合理运用技术手段遏制互联网上违法信息传播。
主张加强互联网法制和道德教育。
确保未成年人上网安全。
积极保护数字知识产权。
依法保护公民网上隐私。
这其中有好几项攸关信息安全，看来有了国家的重视，互联网安全行业的同行们仍大有作为，前景光明啊。

五、维护互联网安全
这篇开头，中国政府认为，互联网是国家重要基础设施，中华人民共和国境内的互联网属于中国主权管辖范围，中国的互联网主权应受到尊重和维护。中华人民共和国公民及在中华人民共和国境内的外国公民、法人和其他组织在享有使用互联网权利和自由的同时，应当遵守中国法律法规、自觉维护互联网安全。
剩下的几段，几乎全是讲法规条例，整一批法律术语中的“禁止性规范”如哪些行为会受到法律的制裁，看来是吓唬那些不老实的家伙们的，相信收听我的节目的都是些遵纪守法、积极向上的社会公民，我就不在这儿就不多言了。
章节最后，讲到各国国情和文化传统不同，对互联网安全的关切也有差异，应充分尊重各国对互联网安全的不同关切，在差异中求和谐，在交流中促发展，共同维护国际互联网安全。这显然是对鬼佬们讲的套话，因为此前不少国外政府和机构组织表达了对我国互联网安全管理的不满。

六、积极开展国际交流与合作
“网络无国界”，各国互联网彼此相联，同时又分属不同主权范围，这决定了加强国际交流与合作的必要性。
文章提出中国政府始终支持并积极开展互联网领域的国际交流与合作。中国主张发挥联合国在国际互联网管理中的作用。各国应在平等互利的基础上开展多形式、多渠道、多层次的交流与合作。中国愿与世界各国分享中国互联网发展机遇。
这些官腔十足的话估计鬼佬会看得晕头转向，加强国际交流与合作十分必要，向内吸收对咱中国人来讲不是太难，可是向外扩张就是个问题啦，不过，看着业界领先的组织机构不断地试水参与国际事务，如发表些论文和参加些国际展会，有理由相信，积极走出去，拓展和占领全球市场，只是个时间问题。

结束语，讲到中国互联网仍在快速发展过程中，新情况、新问题不断出现，中国政府将坚持依法管理互联网的基本原则，坚持立足本国国情，努力遵循互联网自身特点和发展规律，以有效管理促进科学发展，为世界互联网的繁荣发展作出贡献。

Similar Posts:

None Found

（右键点击“播放”）Similar Posts:

None Found

None Found