信息安全技術公共及商用服務信息

㈠ 信息安全技術有哪些

一個完整的信息安全系統至少包含3類措施：技術方面的安-全措施、管理方面的安-全措施和相應的法律政策。信息安全技術涉及信息傳輸的安全、信息存-儲的安全以及對網路傳輸信息內容的審-計三方面，當然也包括對用戶的鑒-別和授-權。信息安全技術包括信息加-密、數字簽名、身份鑒別、訪問控制、網路控制技術、反病-毒技術以及數據備份等。
例如，中超偉業SSR伺服器安全加-固系統採用雙因-子強數字認-證和進程保-護機制，確保系統中人員可-信、應用程序可-信、權-限可控，實現操作系統抵-御安全攻-擊的最後一道防-線。

㈡ 信息安全屬於信息服務業嗎

熱心相助
您好！
信息安全不屬於信息服務業，但是，信息服務業需要信息安全！
國際標准化組織（ISO）提出信息安全（InformationSecurity）的定義是：為數據處理系統建立和採取的技術及管理保護，保護計算機硬體、軟體、數據不因偶然及惡意的原因而遭到破壞、更改和泄漏。我國《計算機信息系統安全保護條例》定義信息安全為：計算機信息系統的安全保護，應當保障計算機及其相關的配套設備、設施（含網路）的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統安全運行。主要防止信息被非授權泄露、更改、破壞或使信息被非法的系統辨識與控制，確保信息的完整性、保密性、可用性和可控性。信息安全的發展經歷了通信保密、信息安全（以保密性、完整性和可用性為目標）和信息保障3個階段。
隨著信息技術的快速發展與廣泛應用，信息安全的內涵在不斷的延伸和變化，從最初的信息保密性發展到信息的完整性、可用性、可控性和可審查性，進而又發展為「攻（攻擊）、防（防範）、測（檢測）、控（控制）、管（管理）、評（評估）」等多方面的基礎理論和實施技術。信息安全是一個綜合交叉學科領域，綜合利用了數學、信息學、通信和計算機諸多學科的長期知識積累和最新發展成果。

㈢ 信息安全技術公共及商用服務信息系統個人信息保護指南的簡介

工業和信息化部信息安全協調司副司長歐陽武在21日舉行的個人信息保護國家標准宣講會上說，這項標準是由全國信息安全標准化技術委員會提出並歸口組織，中國軟體評測中心牽頭，聯合多家單位制定。該標準是我國首個關於個人信息保護的國家標准，於去年11月發布。
這項標准明確要求，處理個人信息應有特定、明確和合理的目的，並在個人信息主體知情的情況下獲得個人信息主體的同意，在達成個人信息使用目的之後刪除個人信息。
其中，標准最顯著的特點是將個人信息分為個人一般信息和個人敏感信息，並提出默許同意和明示同意的概念。對於個人一般信息的處理可以建立在默許同意的基礎上，只要個人信息主體沒有明確表示反對，便可收集和利用。對於個人敏感信息，則需要建立在明示同意的基礎上，在收集和利用之前，必須首先獲得個人信息主體明確的授權。
這項標准還提出了處理個人信息時應當遵循的八項基本原則，即目的明確、最少夠用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確。
中國軟體評測中心副主任朱璇說，標準的出台意味著我國個人信息保護工作正式進入「有標可依」階段。中國軟體評測中心還將牽頭組建個人信息保護推進聯盟，建立企業自律模式，彌補我國個人信息保護相關組織機構的缺失。
信息安全技術 公共及商用服務信息系統個人信息保護指南

㈣ 信息安全技術公共及商用服務信息系統個人信息保護指南的范圍

本指導性技術文件規范了全部或部分通過信息系統進行個人信息處理的過程，為信息系統中個人信息處理不同階段的個人信息保護提供指導。
本指導性技術文件適用於指導除政府機關等行使公共管理職責的機構以外的各類組織和機構，如電信、金融、醫療等領域的服務機構，開展信息系統中的個人信息保護工作。
規范性引用文件
下列文件對於本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用於本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用於本文件。
GB/T 20269-2006 信息安全技術 信息系統安全管理要求
GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
術語和定義
GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列術語和定義適用於本技術性指導文件。
3.1
信息系統 information system
即計算機信息系統，由計算機（含移動通信終端）及其相關的和配套的設備、設施（含網路）構成，能夠按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理。
3.2
個人信息 personal information
可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。個人信息可以分為個人敏感信息和個人一般信息。
3.3
個人信息主體 subject of personal information
個人信息指向的自然人。
3.4
個人信息管理者 administrator of personal information
決定個人信息處理的目的和方式，實際控制個人信息並利用信息系統處理個人信息的組織和機構。
3.5
個人信息獲得者 receiver of personal information
從信息系統獲取個人信息的個人、組織和機構，依據個人信息主體的意願對獲得的個人信息進行處理。
3.6
第三方測評機構 third party testing and evaluation agency
獨立於個人信息管理者的專業測評機構。
3.7
個人敏感信息 personal sensitive information
一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。各行業個人敏感信息的具體內容根據接受服務的個人信息主體意願和各自業務特點確定。例如個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。
3.8
個人一般信息 personal general information
除個人敏感信息以外的個人信息。
3.9
個人信息處理 personal information handling
處置個人信息的行為，包括收集、加工、轉移、刪除。
3.10
默許同意 tacit consent
在個人信息主體無明確反對的情況下，認為個人信息主體同意。
3.11
明示同意 expressed consent
個人信息主體明確授權同意，並保留證據。
個人信息保護概述
4.1角色和職責
4.1.1綜述
信息系統個人信息保護實施過程中涉及的角色主要有個人信息主體、個人信息管理者、個人信息獲得者和獨立測評機構，其職責見4.1.2至4.1.5。
4.1.2個人信息主體
在提供個人信息前，要主動了解個人信息管理者收集的目的、用途等信息，按照個人意願提供個人信息；發現個人信息出現泄漏、丟失、篡改後，向個人信息管理者投訴或提出質詢，或向個人信息保護管理部門發起申訴。
4.1.3個人信息管理者
負責依照國家法律、法規和本指導性技術文件，規劃、設計和建立信息系統個人信息處理流程；制定個人信息管理制度、落實個人信息管理責任；指定專門機構或人員負責機構內部的個人信息保護工作，接受個人信息主體的投訴與質詢；制定個人信息保護的教育培訓計劃並組織落實；建立個人信息保護的內控機制，並定期對信息系統個人信息的安全狀況、保護制度及措施的落實情況進行自查或委託獨立測評機構進行測評。
管控信息系統個人信息處理過程中的風險，對個人信息處理過程中可能出現的泄露、丟失、損壞、篡改、不當使用等事件制定預案；發現個人信息遭到泄漏、丟失、篡改後，及時採取應對措施，防止事件影響進一步擴大，並及時告知受影響的個人信息主體；發生重大事件的，及時向個人信息保護管理部門通報。
接受個人信息保護管理部門對個人信息保護狀況的檢查、監督和指導，積極參與和配合第三方測評機構對信息系統個人信息保護狀況的測評。
4.1.4個人信息獲得者
當個人信息的獲取是出於對方委託加工等目的，個人信息獲得者要依照本指導性技術文件和委託合同，對個人信息進行加工，並在完成加工任務後，立即刪除相關個人信息。
4.1.5第三方測評機構
從維護公眾利益角度出發、根據個人信息保護管理部門和行業協會的授權、或受個人信息管理者的委託，依據相關國家法律、法規和本指導性技術文件，對信息系統進行測試和評估，獲取個人信息保護狀況，作為個人信息管理者評價、監督和指導個人信息保護的依據。
4.2基本原則
個人信息管理者在使用信息系統對個人信息進行處理時，宜遵循以下基本原則：
a)目的明確原則——處理個人信息具有特定、明確、合理的目的，不擴大使用范圍，不在個人信息主體不知情的情況下改變處理個人信息的目的。
b)最少夠用原則——只處理與處理目的有關的最少信息，達到處理目的後，在最短時間內刪除個人信息。
c)公開告知原則——對個人信息主體要盡到告知、說明和警示的義務。以明確、易懂和適宜的方式如實向個人信息主體告知處理個人信息的目的、個人信息的收集和使用范圍、個人信息保護措施等信息。
d)個人同意原則——處理個人信息前要徵得個人信息主體的同意。
e)質量保證原則——保證處理過程中的個人信息保密、完整、可用，並處於最新狀態。
f)安全保障原則——採取適當的、與個人信息遭受損害的可能性和嚴重性相適應的管理措施和技術手段，保護個人信息安全，防止未經個人信息管理者授權的檢索、披露及丟失、泄露、損毀和篡改個人信息。
g)誠信履行原則——按照收集時的承諾，或基於法定事由處理個人信息，在達到既定目的後不再繼續處理個人信息。
h)責任明確原則——明確個人信息處理過程中的責任，採取相應的措施落實相關責任，並對個人信息處理過程進行記錄以便於追溯。
個人信息保護
5.1概述
信息系統中個人信息的處理過程可分為收集、加工、轉移、刪除4個主要環節。對個人信息的保護貫穿於4個環節中：
a)收集指對個人信息進行獲取並記錄。
b)加工指對個人信息進行的操作，如錄入、存儲、修改、標注、比對、挖掘、屏蔽等。
c)轉移指將個人信息提供給個人信息獲得者的行為，如向公眾公開、向特定群體披露、由於委託他人加工而將個人信息復制到其他信息系統等。
d)刪除指使個人信息在信息系統中不再可用。
5.2收集階段
5.2.1要具有特定、明確、合法的目的。
5.2.2收集前要採用個人信息主體易知悉的方式，向個人信息主體明確告知和警示如下事項：
a)處理個人信息的目的；
b)個人信息的收集方式和手段、收集的具體內容和留存時限；
c)個人信息的使用范圍，包括披露或向其他組織和機構提供其個人信息的范圍；
d)個人信息的保護措施；
e)個人信息管理者的名稱、地址、聯系方式等相關信息；
f)個人信息主體提供個人信息後可能存在的風險；
g)個人信息主體不提供個人信息可能出現的後果；
h)個人信息主體的投訴渠道；
i)如需將個人信息轉移或委託於其他組織和機構，要向個人信息主體明確告知包括但不限於以下信息：轉移或委託的目的、轉移或委託個人信息的具體內容和使用范圍、接受委託的個人信息獲得者的名稱、地址、聯系方式等。
5.2.3處理個人信息前要徵得個人信息主體的同意，包括默許同意或明示同意。收集個人一般信息時，可認為個人信息主體默許同意，如果個人信息主體明確反對，要停止收集或刪除個人信息；收集個人敏感信息時，要得到個人信息主體的明示同意。
5.2.4隻收集能夠達到已告知目的的最少信息。
5.2.5要採用已告知的手段和方式直接向個人信息主體收集，不採取隱蔽手段或以間接方式收集個人信息。
5.2.6持續收集個人信息時提供相關功能，允許個人信息主體配置、調整、關閉個人信息收集功能。
5.2.7不直接向未滿16周歲的未成年人等限制民事行為能力或無行為能力人收集個人敏感信息，確需收集其個人敏感信息的，要徵得其法定監護人的明示同意。
5.3加工階段
5.3.1不違背收集階段已告知的使用目的，或超出告知范圍對個人信息進行加工。
5.3.2採用已告知的方法和手段。
5.3.3保證加工過程中個人信息不被任何與處理目的無關的個人、組織和機構獲知。
5.3.4未經個人信息主體明示同意，不向其他個人、組織和機構披露其處理的個人信息。
5.3.5保證加工過程中信息系統持續穩定運行，個人信息處於完整、可用狀態，且保持最新。
5.3.6個人信息主體發現其個人信息存在缺陷並要求修改時，個人信息管理者要根據個人信息主體的要求進行查驗核對，在保證個人信息完整性的前提下，修改或補充相關信息。
5.3.7詳細記錄對個人信息的狀態，個人信息主體要求對其個人信息進行查詢時，個人信息管理者要如實並免費告知是否擁有其個人信息、擁有其個人信息的內容、個人信息的加工狀態等內容，除非告知成本或者請求頻率超出合理的范圍。
5.4轉移階段
5.4.1不違背收集階段告知的轉移目的，或超出告知的轉移范圍轉移個人信息。
5.4.2向其他組織和機構轉移個人信息前，評估其是否能夠按照本指導性技術文件的要求處理個人信息，並通過合同明確該組織和機構的個人信息保護責任。
5.4.3保證轉移過程中，個人信息不被個人信息獲得者之外的任何個人、組織和機構所獲知。
5.4.4保證轉移前後，個人信息的完整性和可用性，且保持最新。
5.4.5未經個人信息主體的明示同意，或法律法規明確規定，或未經主管部門同意，個人信息管理者不得將個人信息轉移給境外個人信息獲得者，包括位於境外的個人或境外注冊的組織和機構。
5.5刪除階段
5.5.1個人信息主體有正當理由要求刪除其個人信息時，及時刪除個人信息。刪除個人信息可能會影響執法機構調查取證時，採取適當的存儲和屏蔽措施。
5.5.2收集階段告知的個人信息使用目的達到後，立即刪除個人信息；如需繼續處理，要消除其中能夠識別具體個人的內容；如需繼續處理個人敏感信息，要獲得個人信息主體的明示同意。
5.5.3超出收集階段告知的個人信息留存期限，要立即刪除相關信息；對留存期限有明確規定的，按相關規定執行。
5.5.4個人信息管理者破產或解散時，若無法繼續完成承諾的個人信息處理目的，要刪除個人信息。刪除個人信息可能會影響執法機構調查取證時，採取適當的存儲和屏蔽措施。

㈤ 信息技術服務包括哪些方面

信息技術服務，是指利用計算機、通信網路等技術對信息進行生產、收集、處理、加工、存儲、運輸、檢索和利用，並提供信息服務的業務活動。包括軟體服務、電路設計及測試服務、信息系統服務、業務流程管理服務和信息系統增值服務。

軟體服務，是指提供軟體開發服務、軟體維護服務、軟體測試服務的業務活動。

電路設計及測試服務，是指提供集成電路和電子電路產品設計、測試及相關技術支持服務的業務活動。

信息系統服務，是指提供信息系統集成、網路管理、網站內容維護、桌面管理與維護、信息系統應用、基礎信息技術管理平台整合、信息技術基礎設施管理、數據中心、託管中心、信息安全服務、在線殺毒、虛擬主機等業務活動。包括網站對非自有的網路游戲提供的網路運營服務。

業務流程管理服務，是指依託信息技術提供的人力資源管理、財務經濟管理、審計管理、稅務管理、物流信息管理、經營信息管理和呼叫中心等服務的活動。

信息系統增值服務，是指利用信息系統資源為用戶附加提供的信息技術服務。包括數據處理、分析和整合、資料庫管理、數據備份、數據存儲、容災服務、電子商務平台等。

㈥ 信息安全管理體系與信息技術服務管理體系傻傻分不清楚，有人可以解答一下嗎

信息安全管理體系主要側重要保護信息資源和信息安全，提高商業信用度，信息技術服務管理體系側重於IT服務標准化來管理IT問題。具體建議你咨詢ICAS英格爾認證，它是這方面的專家，專門提供體系認證服務的。

㈦ 信息安全技術公共及商用服務信息系統個人信息保護指南是國家標准嗎那為什麼沒有GB/Z國家標准編號呢

標准編號：GB/Z 28828-2012
標准名稱：信息安全技術 公共及商用服務信息系統個人信息保護指南
發布日期：2012-11-05
實施日期：2013-02-01

㈧ 信息安全的五種服務是什麼各需要採用什麼安全技術來實現

信息安全的有五個服務：保密性、完整性、可用性、可控性、不可否認性。保密性指信息具有許可權限制，完整性指信息的內容完整真實，可用性指信息可以隨時傳輸，可控性指信息的傳播可以被控制與管理，不可否認性指信息有明確的責任歸屬。滿足這五個屬性，信息才算真正安全。