版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、信息系統(tǒng)等級(jí)保護(hù)信息系統(tǒng)等級(jí)保護(hù)第二十六屆世界大學(xué)生夏季運(yùn)動(dòng)會(huì)網(wǎng)絡(luò)信息安全技術(shù)支撐單位一、信息系統(tǒng)等級(jí)保護(hù)概述一、信息系統(tǒng)等級(jí)保護(hù)概述二、如何實(shí)施等級(jí)保護(hù)工作二、如何實(shí)施等級(jí)保護(hù)工作培訓(xùn)內(nèi)容培訓(xùn)內(nèi)容(一)什么是信息安全等級(jí)保護(hù)工作?(二)什么是信息系統(tǒng)?(三)等級(jí)保護(hù)的國(guó)家政策與標(biāo)準(zhǔn)規(guī)范(四)等級(jí)保護(hù)的工作內(nèi)容(五)等級(jí)保護(hù)的建設(shè)流程(六)等級(jí)保護(hù)各參與部門的角色定位 信息系統(tǒng)等級(jí)保護(hù)概述信息系統(tǒng)等級(jí)保護(hù)概述 信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息
2、系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。信息安全等級(jí)保護(hù)工作定義信息安全等級(jí)保護(hù)工作定義信息系統(tǒng)定義信息系統(tǒng)定義 信息系統(tǒng)( Information System )是一個(gè)由人、計(jì)算機(jī)及其他外圍設(shè)備等組成的能進(jìn)行信息的收集、傳遞、存貯、加工、維護(hù)和使用的系統(tǒng)。 例如:門戶網(wǎng)站、OA系統(tǒng)、短信平臺(tái)、教務(wù)管理系統(tǒng)等等。等級(jí)保護(hù)的國(guó)家政策等級(jí)保護(hù)的國(guó)家政策頒布時(shí)間頒布時(shí)間文件名稱文件名稱文號(hào)文號(hào)內(nèi)容及意義內(nèi)容及意義1994年2月18日中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例國(guó)務(wù)院147號(hào)令第一次第一次提出信息系統(tǒng)要實(shí)行等級(jí)保護(hù),并確定了等級(jí)保護(hù)的職責(zé)單位。2003年9月7日國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加
3、強(qiáng)信息安全保障工作的意見中辦國(guó)辦發(fā)【2003】27號(hào)等級(jí)保護(hù)工作的開展必須分步驟、分階段、有計(jì)劃的實(shí)施。明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容基本內(nèi)容。2004年9月15日關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見公通字【2004】66號(hào)將等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障的一項(xiàng)基本制度基本制度。2007年6月22日信息安全等級(jí)保護(hù)管理辦法公通字200743號(hào)明確了信息安全等級(jí)保護(hù)制度的基基本內(nèi)容、流程及工作要求本內(nèi)容、流程及工作要求,明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門、監(jiān)管部門在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)職責(zé)、任務(wù)。2007年7月16日關(guān)于開展全國(guó)重要信息系統(tǒng)安
4、全等級(jí)保護(hù)定級(jí)工作的通知公信安2007861號(hào)就定級(jí)范圍、定級(jí)工作主要內(nèi)容、定級(jí)范圍、定級(jí)工作主要內(nèi)容、定級(jí)工作要求定級(jí)工作要求等事項(xiàng)進(jìn)行了通知。GB17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T20269-2006 信息系統(tǒng)安全管理要求GB/T20282-2006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求GB/T 20270-2006信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20271-2006信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求GB/T 20272-2006信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)通用安全技術(shù)要求GB/
5、T22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22240-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T 25070-2010信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T 25058-2010信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T20009-2005信息安全技術(shù) 操作系統(tǒng)安全評(píng)估準(zhǔn)則國(guó)家已出臺(tái)70多個(gè)國(guó)標(biāo)、行標(biāo)以及報(bào)批標(biāo)準(zhǔn),從基礎(chǔ)、設(shè)計(jì)、實(shí)施、管理、制度等各個(gè)方面對(duì)等保系統(tǒng)提出了要求和建議。等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999) 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求
6、 (GB/T 20271-2006) 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 (GB/T 20272-2006)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2008)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求( GB/T 25070-2010 ) 面向評(píng)估者技術(shù)標(biāo)準(zhǔn):面向評(píng)估者技術(shù)標(biāo)準(zhǔn): 面向建設(shè)者技術(shù)標(biāo)準(zhǔn):面向建設(shè)者技術(shù)標(biāo)準(zhǔn):等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范信息安全技術(shù) 信息系統(tǒng)安全工程管理要求(GB/T 20282-2006)信息系統(tǒng)安全管理體系標(biāo)準(zhǔn)(ISO/IEC 27001) 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南( GB/T 25058-2010 )
7、 管理類標(biāo)準(zhǔn):管理類標(biāo)準(zhǔn):等保方案類標(biāo)準(zhǔn):等保方案類標(biāo)準(zhǔn):系統(tǒng)定級(jí)類標(biāo)準(zhǔn):系統(tǒng)定級(jí)類標(biāo)準(zhǔn):信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2008) 等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2008)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求( GB/T 25070-2010 )計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999) 國(guó)家已出臺(tái)約70余個(gè)標(biāo)準(zhǔn),重點(diǎn)需要了解的有:信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2008) 等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)規(guī)范等級(jí)
8、保護(hù)思路等級(jí)保護(hù)思路不同級(jí)別信息系統(tǒng)重要程度不同應(yīng)對(duì)威脅的能力(威脅弱點(diǎn))具有不同的安全保護(hù)能力不同的基本要求 某級(jí)信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級(jí)安全保護(hù)能力的系統(tǒng)等級(jí)保護(hù)建設(shè)目標(biāo)等級(jí)保護(hù)建設(shè)目標(biāo)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理等級(jí)保護(hù)建設(shè)要求等級(jí)保護(hù)建設(shè)要求環(huán)境安全防其他自然災(zāi)害機(jī)房與設(shè)施安全環(huán)境與人員安全設(shè)備安全防止電磁泄露發(fā)射防盜與防毀防電磁干擾介質(zhì)安全介質(zhì)的管理介質(zhì)的分類介質(zhì)的防護(hù)物理安全等級(jí)保護(hù)建設(shè)要求等級(jí)保護(hù)建設(shè)要求 網(wǎng)絡(luò)安全1. 網(wǎng)絡(luò)結(jié)構(gòu)安全2.
9、網(wǎng)絡(luò)訪問(wèn)控制3. 網(wǎng)絡(luò)安全審計(jì)4. 邊界完整性檢查5. 網(wǎng)絡(luò)入侵防范6. 惡意代碼防護(hù)7. 網(wǎng)絡(luò)防護(hù)設(shè)備 主機(jī)安全身份鑒別強(qiáng)制訪問(wèn)控制系統(tǒng)安全審計(jì)4. 剩余信息保護(hù)5. 入侵防范6. 惡意代碼防范7. 資源控制 應(yīng)用安全 1.身份認(rèn)證 2. 安全審計(jì) 3. 剩余信息保護(hù) 4. 通信完整性和機(jī)密性保護(hù) 數(shù)據(jù)安全1.數(shù)據(jù)機(jī)密性保護(hù) 2.數(shù)據(jù)完整性保護(hù) 5.控制軟件容錯(cuò); 6.嚴(yán)格的訪問(wèn); 7. 自動(dòng)保護(hù)功能; 8. 資源控制;等級(jí)保護(hù)建設(shè)要求等級(jí)保護(hù)建設(shè)要求滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求等級(jí)保護(hù)建設(shè)模式等級(jí)保護(hù)建設(shè)模式通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境安全管理中心等級(jí)保護(hù)
10、體系架構(gòu)等級(jí)保護(hù)體系架構(gòu)構(gòu)筑由安全管理中心統(tǒng)一管理下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界安全通信網(wǎng)絡(luò)等級(jí)保護(hù)技術(shù)實(shí)現(xiàn)依據(jù)等級(jí)保護(hù)技術(shù)實(shí)現(xiàn)依據(jù)一、信息安全等級(jí)保護(hù)工作概述一、信息安全等級(jí)保護(hù)工作概述二、如何實(shí)施等級(jí)保護(hù)工作二、如何實(shí)施等級(jí)保護(hù)工作培訓(xùn)內(nèi)容培訓(xùn)內(nèi)容(一)實(shí)施流程(一)實(shí)施流程(二)工作要求(二)工作要求二、如何實(shí)施等級(jí)保護(hù)工作二、如何實(shí)施等級(jí)保護(hù)工作重大變更2、安全規(guī)劃設(shè)計(jì)3、安全實(shí)施/實(shí)現(xiàn)4、安全運(yùn)行管理1、系統(tǒng)定級(jí)局部調(diào)整5、系統(tǒng)終止(一)實(shí)施流程(一)實(shí)施流程1、系統(tǒng)定級(jí)(首要環(huán)節(jié))2、安全規(guī)劃設(shè)計(jì) 安全建設(shè)3、安全實(shí)施/實(shí)現(xiàn)4、安全運(yùn)行管理5、系統(tǒng)終止(
11、一)實(shí)施流程(一)實(shí)施流程第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí)第三步第三步 專家評(píng)審與審批專家評(píng)審與審批 1 1、系統(tǒng)定級(jí)、系統(tǒng)定級(jí) 正確劃分定級(jí)對(duì)象: 信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門按如下原則確定定級(jí)對(duì)象: 一是承載相對(duì)獨(dú)立或單一業(yè)務(wù)的信息系統(tǒng); 二是信息系統(tǒng)的信息安全由本單位主管; 三是具有信息系統(tǒng)的基本要素。 起支撐作用的網(wǎng)絡(luò)可以作為定級(jí)對(duì)象;應(yīng)用類的信息系統(tǒng)以應(yīng)用種類劃分定級(jí)對(duì)象。第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查 一是承載相對(duì)獨(dú)立或單一業(yè)
12、務(wù)的信息系統(tǒng): 定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨(dú)立,同時(shí)與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換,定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備,尤其是網(wǎng)絡(luò)傳輸設(shè)備。“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程,可以是完整的業(yè)務(wù)流程的一部分。第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查 二是信息系統(tǒng)的信息安全由本單位主管: 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位,這個(gè)安全責(zé)任單位就是負(fù)責(zé)等級(jí)保護(hù)工作部署、實(shí)施的單位,也是完成等級(jí)保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。 第一步第一步 開展信息系統(tǒng)基本
13、情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查 三是具有信息系統(tǒng)的基本要素: 作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)避免將某個(gè)單一的系統(tǒng)組件,如單臺(tái)的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。 第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí)第三步第三步 專家評(píng)審與審批專家評(píng)審與審批 1 1、系統(tǒng)定級(jí)、系統(tǒng)定級(jí) 信息系統(tǒng)的安全保護(hù)等級(jí)是信息系統(tǒng)的客觀屬性,不以已采取或采取
14、什么安全保護(hù)措施為依據(jù),而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)穩(wěn)定、人民群眾合法權(quán)益等損害客體的危害程度為依據(jù),確定信息系統(tǒng)的安全等級(jí)。 第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) (一)信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定: 1、等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體 2、受到破壞時(shí)對(duì)客體造成侵害的程度第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 1、等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體: A、國(guó)家安全 B、社會(huì)秩序、公共利益 C、公民、法人和其他組織的合法權(quán)益第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安
15、全保護(hù)等級(jí) A、 國(guó)家安全利益體現(xiàn)了國(guó)家層面、與全局相關(guān)的國(guó)家政治安全、軍事安全、經(jīng)濟(jì)安全、社會(huì)安全、科技安全和資源環(huán)境安全等方面利益。 重要的國(guó)家事務(wù)處理系統(tǒng)、國(guó)防工業(yè)生產(chǎn)系統(tǒng)和國(guó)防設(shè)施的控制系統(tǒng)等屬于影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力的信息系統(tǒng);廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng),其受到非法控制可能引發(fā)影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定的重大事件;處理國(guó)家對(duì)外活動(dòng)信息的信息系統(tǒng);處理國(guó)家重要安全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵查系統(tǒng);尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力的信息系統(tǒng),以及電力、通信、能源、交通運(yùn)輸、金融等國(guó)家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等
16、。第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) B、社會(huì)秩序包括社會(huì)的政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社會(huì)成員所共同享有的,維持其生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。 各級(jí)政府機(jī)構(gòu)的社會(huì)管理和公共服務(wù)系統(tǒng),如財(cái)政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng),也包括教育、科研機(jī)構(gòu)的工作系統(tǒng),以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) C、合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社
17、會(huì)權(quán)利和利益。 借助信息化手段為社會(huì)成員提供使用的公共設(shè)施和通過(guò)信息系統(tǒng)對(duì)公共設(shè)施進(jìn)行進(jìn)行管理控制都應(yīng)當(dāng)是要考慮的方面,例如:公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂(lè)設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。 公共利益與社會(huì)秩序密切相關(guān),社會(huì)秩序的破壞一般會(huì)造成對(duì)公共利益的損害。 第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 2、對(duì)客體造成侵害的程度 A、造成一般損害 B、造成嚴(yán)重?fù)p害 C、造成特別嚴(yán)重?fù)p害第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 不同危害后果的三種危害程度描述如下: 一般損害:工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要
18、功能的執(zhí)行,出現(xiàn)較輕的法律問(wèn)題,較低的資產(chǎn)損失,有限的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成較低損害。 第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 嚴(yán)重?fù)p害:工作職能受到嚴(yán)重影響,業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行,出現(xiàn)較嚴(yán)重的法律問(wèn)題,較高的資產(chǎn)損失,較大范圍的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。 第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 特別嚴(yán)重?fù)p害:工作職能受到特別嚴(yán)重影響或喪失行使能力,業(yè)務(wù)能力嚴(yán)重下降且或功能無(wú)法執(zhí)行,出現(xiàn)極其嚴(yán)重的法律問(wèn)題,極高的資產(chǎn)損失,大范圍的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。 第
19、二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 1、影響行使工作職能工作職能包括國(guó)家管理職能、公共管理職能、公共服務(wù)職能等國(guó)家或社會(huì)方面的職能。 2、導(dǎo)致業(yè)務(wù)能力下降下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可服務(wù)的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標(biāo)的下降,每個(gè)行業(yè)務(wù)都有本行業(yè)關(guān)注的業(yè)務(wù)指標(biāo)。例如電力行業(yè)關(guān)注發(fā)電量和用電量,稅務(wù)行業(yè)關(guān)注稅費(fèi)收入,銀行業(yè)關(guān)注存款額、貸款額、交易量等,證券經(jīng)紀(jì)行業(yè)關(guān)注股民數(shù)和交易額。 3、引起法律糾紛是比較嚴(yán)重的影響,在較輕的程度時(shí)可能表現(xiàn)為投訴、索賠、媒體曝光等形式。 4、導(dǎo)致財(cái)產(chǎn)損失包括系統(tǒng)資產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降
20、帶來(lái)的損失、直接的資金損失、為客戶索賠所支付的資金等,以及由于信譽(yù)下降、單位形象降低、客戶關(guān)系損失等導(dǎo)致的間接經(jīng)濟(jì)損失。直接造成人員傷亡,例如醫(yī)療服務(wù)系統(tǒng),公安行業(yè)的某些系統(tǒng)等。 5、造成社會(huì)不良影響包括在社會(huì)風(fēng)氣、執(zhí)政信心等方面的影響。第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) (二)定級(jí)的一般流程: 信息系統(tǒng)的安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者決定。 第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 3、綜合評(píng)定對(duì)客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評(píng)定對(duì)客體
21、的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體7、系統(tǒng)服務(wù)安全等級(jí)4、業(yè)務(wù)信息安全等級(jí)8、定級(jí)對(duì)象的安全保護(hù)等級(jí)依據(jù)表1依據(jù)表21、確定定級(jí)對(duì)象第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 表1:業(yè)務(wù)信息安全等級(jí)矩陣表:業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí)表表2 2:系統(tǒng):系統(tǒng)服務(wù)安全等級(jí)矩陣表:服務(wù)安全等級(jí)矩陣表:系統(tǒng)服務(wù)安全被破壞時(shí)所侵害
22、的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí) 綜合判定侵害程度: 業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。 系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定。第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí)第一步第一步 開展信息系統(tǒng)基本情況的摸底調(diào)查開展信息系統(tǒng)基本情況的摸底調(diào)查
23、第二步第二步 初步確定信息系統(tǒng)安全保護(hù)等級(jí)初步確定信息系統(tǒng)安全保護(hù)等級(jí)第三步第三步 專家評(píng)審與審批專家評(píng)審與審批 1 1、系統(tǒng)定級(jí)、系統(tǒng)定級(jí) 信息系統(tǒng)等級(jí)評(píng)審: 在信息系統(tǒng)安全保護(hù)等級(jí)確定過(guò)程中,可以聘請(qǐng)專家進(jìn)行咨詢?cè)u(píng)審,并出具定級(jí)評(píng)審意見。 對(duì)擬確定為第四級(jí)以上信息系統(tǒng)的,運(yùn)營(yíng)、使用單位或者主管部門應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審,出具評(píng)審意見。 第三步第三步 專家評(píng)審與審批專家評(píng)審與審批 信息系統(tǒng)等級(jí)的最終確定與審批: 信息系統(tǒng)運(yùn)營(yíng)使用單位參考專家定級(jí)評(píng)審意見,最終確定信息系統(tǒng)等級(jí),形成信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告。 如果專家評(píng)審意見與運(yùn)營(yíng)使用單位意見不一致時(shí),由運(yùn)營(yíng)使用單位
24、自主決定系統(tǒng)等級(jí)。 信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門的,應(yīng)當(dāng)經(jīng)上級(jí)主管部門對(duì)安全保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。 第三步第三步 專家評(píng)審與審批專家評(píng)審與審批1、系統(tǒng)定級(jí)(首要環(huán)節(jié))2、安全規(guī)劃設(shè)計(jì) 安全建設(shè)3、安全實(shí)施/實(shí)現(xiàn)4、安全運(yùn)行管理5、系統(tǒng)終止(一)實(shí)施流程(一)實(shí)施流程信息安全等級(jí)保護(hù)管理辦法第十一條規(guī)定,信息系統(tǒng)的安全保護(hù)等級(jí)確定后,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國(guó)家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)和改建工作。2 2、安全建設(shè)、安全建設(shè)第十二條規(guī)定,在信息系統(tǒng)建設(shè)過(guò)程中,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照計(jì)算機(jī)信息系統(tǒng)安
25、全保護(hù)等級(jí)劃分準(zhǔn)則、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn),參照信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求、信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求、信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求、信息安全技術(shù) 服務(wù)器技術(shù)要求、信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。2 2、安全建設(shè)、安全建設(shè)第十三條規(guī)定,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)參照信息安全技術(shù) 信息系統(tǒng)安全管理要求 、信息安全技術(shù) 信息系統(tǒng)安全工程管理要求、信息系統(tǒng)安全等級(jí)保護(hù)基本要求等管理規(guī)范,制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。2 2、安全建設(shè)、安全建設(shè) 信息系統(tǒng)安全建設(shè)通過(guò)由包括物理安全、
26、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等五個(gè)層面的基本安全技術(shù)措施和安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的基本安全管理措施來(lái)實(shí)現(xiàn)和保證。2 2、安全建設(shè)、安全建設(shè) 基本安全技術(shù)措施主要包括以下幾方面:物理安全主要是使存在計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以及信息系統(tǒng)的設(shè)備和存儲(chǔ)數(shù)據(jù)的介質(zhì)免受物理環(huán)境、自然災(zāi)害以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。具體包括:物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防火等十個(gè)控制點(diǎn)。網(wǎng)絡(luò)安全一方面,確定網(wǎng)絡(luò)設(shè)備的安全運(yùn)行,提供有效的網(wǎng)絡(luò)服務(wù),另一方
27、面,確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。具體包括:結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制點(diǎn)。主機(jī)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。具體包括:身份鑒別、安全標(biāo)記、訪問(wèn)控制、可信途徑、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等九個(gè)控制點(diǎn)。(1 1)基本安全技術(shù)措施)基本安全技術(shù)措施應(yīng)用安全對(duì)應(yīng)用系統(tǒng)的安全保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運(yùn)行。具體包括:身份鑒別、安全標(biāo)記、訪問(wèn)控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等十一個(gè)控制點(diǎn)。數(shù)據(jù)安全及備份恢復(fù)保證數(shù)據(jù)安全和備份恢復(fù)主要從:數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個(gè)控制點(diǎn)考慮。(1 1)基本安全技術(shù)措施)基本安全技術(shù)措施基本安全管理措施主要包括以下幾方面:基本安全管理措
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 工商合同規(guī)范管理科工作職責(zé)
- 杭州市事業(yè)單位聘用合同管理辦法
- 《氬弧管管水平固定》課件
- 《母親節(jié)促銷方案》課件
- 2025年長(zhǎng)春貨運(yùn)從業(yè)資格證考試題及答案大全
- 2025年哈爾濱貨運(yùn)從業(yè)資格考試題庫(kù)答案大全
- 2025年和田貨運(yùn)上崗證考試題庫(kù)答案
- 第25課《活板》知識(shí)點(diǎn)梳理及練習(xí)-2022-2023學(xué)年七年級(jí)語(yǔ)文下冊(cè)古詩(shī)文專題期中期末復(fù)習(xí)(部編版)教師版
- 精密制造防火封堵
- 蘇科版九年級(jí)物理上冊(cè)一課一測(cè)-14.1電阻
- 2024事業(yè)單位辦公室的年度工作總結(jié)
- 第2課 新航路開辟后食物物種交流 教學(xué)設(shè)計(jì)-2023-2024學(xué)年高中歷史統(tǒng)編版2019選擇性必修2
- 2024年秋季新人教版歷史七年級(jí)上冊(cè)全冊(cè)教案
- 腫瘤相關(guān)成纖維細(xì)胞的靶向機(jī)制
- 2024FA財(cái)務(wù)顧問(wèn)合同
- 2024年檔案知識(shí)競(jìng)賽考試題庫(kù)300題(含答案)
- 26個(gè)字母教學(xué)(教學(xué)設(shè)計(jì)+素材)-2024-2025學(xué)年人教PEP版(2024)英語(yǔ)三年級(jí)上冊(cè)
- 2024國(guó)家開放大學(xué)電大本科《流通概論》期末試題及答案(試卷號(hào)1054)
- 2024年貴州省衛(wèi)生事業(yè)單位招聘(醫(yī)學(xué)基礎(chǔ)知識(shí))考試題庫(kù)寶典(含答案)
- 小紅書種草營(yíng)銷師認(rèn)證考試題附有答案
- 2024-2030年中國(guó)呼叫中心外包行業(yè)市場(chǎng)發(fā)展趨勢(shì)與前景展望戰(zhàn)略分析報(bào)告
評(píng)論
0/150
提交評(píng)論