信息安全標準培訓(xùn)課件(共57頁).ppt

1、中國銀行業(yè)監(jiān)督管理委員會培訓(xùn)信息平安標準2021年4月3日季瑞華合伙人 系統(tǒng)和流程管理 2008 普華永道版權(quán)所有2008 年 4 月第 2 頁提綱信息平安標準概述國際標準 ISO/IEC 系列信息平安標準國際標準 COBIT 國內(nèi)標準 等級保護平安標準的總結(jié)問題與答復(fù) 2008 普華永道版權(quán)所有2008 年 4 月第 3 頁提綱信息平安標準概述信息平安標準概述國際標準國際標準 ISO/IEC 系列信息平安標準系列信息平安標準國際標準國際標準 COBIT 國內(nèi)標準國內(nèi)標準 等級保護等級保護平安標準的總結(jié)平安標準的總結(jié)問題與答復(fù)問題與答復(fù) 2008 普華永道版權(quán)所有2008 年 4 月第 4 頁

2、信息平安標準概述信息平安的重要性得到廣泛的關(guān)注。與此同時，國際和國內(nèi)的各種官方和科研機構(gòu)都發(fā)布了大量的平安標準。這些標準都是為實現(xiàn)平安目標而效勞，并從不同的角度對如何保障組織的信息平安提供了指導(dǎo)。 2008 普華永道版權(quán)所有2008 年 4 月第 5 頁信息平安標準的演進 2008 普華永道版權(quán)所有2008 年 4 月第 6 頁主要的信息平安標準國際標準發(fā)布的機構(gòu)發(fā)布的機構(gòu)安全標準安全標準1ISO（國際標準組織）ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 135692ISACA（信息系統(tǒng)審計與控制學(xué)會）COBIT 4.1

3、3ISSEA（國際系統(tǒng)安全工程協(xié)會）SSE-CMM Systems Security Engineering - Capability Maturity Model 3.04ISSA（信息系統(tǒng)安全協(xié)會）GAISP Version 3.05ISF (信息安全論壇）The Standard of Good Practice forInformation Security6IETF （互聯(lián)網(wǎng)工程任務(wù)小組）各種RFC （Request for Comments） 2008 普華永道版權(quán)所有2008 年 4 月第 7 頁主要的信息平安標準國際標準(續(xù)發(fā)布的機構(gòu)發(fā)布的機構(gòu)安全標準安全標準7NIST（國家標

4、準和技術(shù)研究所）NIST 800系列8DOD (美國國防部)TCSEC（可信計算機系統(tǒng)評測標準） 彩虹系列9Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 2.010OECD（經(jīng)濟與貿(mào)易發(fā)展組織）Guidelines for the Security of InformationSystems and Networks and AssociatedImp

5、lementation Plan11The Open GroupManagers Guide to Information Security12ITILSecurity management除了上述標準，世界各國的官方機構(gòu)和行業(yè)監(jiān)管機構(gòu)還有許多信息平安方面的標準、指引和建議的操作實踐。 2008 普華永道版權(quán)所有2008 年 4 月第 8 頁主要的信息平安標準國內(nèi)標準發(fā)布的機構(gòu)發(fā)布的機構(gòu)安全標準安全標準1全國信息安全標準化技術(shù)委員會等級保護系列標準信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南其他信息安全標準 截

6、至2007年底，共完成了國家標準59項，還有56項國家標準在研制中。2公安部、安全部、國家保密局、國家密碼管理委員會等部門 一系列的信息安全方面的政策法規(guī)如：計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 互聯(lián)網(wǎng)信息服務(wù)管理辦法計算機信息系統(tǒng)保密管理暫行規(guī)定 計算機軟件保護條例商用密碼管理條例，等。 2008 普華永道版權(quán)所有2008 年 4 月第 9 頁在下面的課程中，我們會主要介紹以下標準：ISO系列平安標準，包括ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 13569ISACA的COBIT 4.1全國信息平安標準化技術(shù)委員會

7、的等級保護系列標準 2008 普華永道版權(quán)所有2008 年 4 月第 10 頁提綱信息平安標準概述國際標準 ISO/IEC 系列信息平安標準國際標準 COBIT 國內(nèi)標準 等級保護平安標準的比較問題與答復(fù) 2008 普華永道版權(quán)所有2008 年 4 月第 11 頁國際標準化組織簡介國際標準化組織 (International Organization for Standardization)是由多國聯(lián)合組成的非政府性國際標準化機構(gòu)。到目前為止，ISO有正式成員國120多個，中國是其中之一。國際標準化組織1946年成立于瑞士日內(nèi)瓦，負責(zé)制定在世界范圍內(nèi)通用的國際標準；ISO技術(shù)工作是高度分散的，

8、分別由2700多個技術(shù)委員會(TC)、分技術(shù)委員會(SC)和工作組(WG)承擔(dān)。ISO技術(shù)工作的成果是正式出版的國際標準，即ISO標準。ISO在信息平安方面的標準主要包括：ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 13569 2008 普華永道版權(quán)所有2008 年 4 月第 12 頁關(guān)于ISO/IEC 17799/27001/27002ISO/IEC17799是由國際標準化組織ISO與 IEC 國際電工委員會共同成立的聯(lián)合技術(shù)委員會 ISO/IEC JTC 1，以英國標準 BS7799為藍本而制定的一套全面和復(fù)雜的信息

9、平安管理標準。ISO/IEC17799于2000年正式公布。ISO/IEC 17799標準由兩局部構(gòu)成:第一局部是信息平安管理體系的實施指南，相當于BS7799-1;第二局部是信息平安管理體系標準，相當于BS7799-2。 ISO/IEC 17799標準的內(nèi)容涉及10個領(lǐng)域，36個管理目標和127個控制措施。2005年 ISO17799更名為ISO27001和ISO27002，分別為：ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems

10、RequirementsISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management2007年 ISO又公布了Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems. 2008 普華永

11、道版權(quán)所有2008 年 4 月第 13 頁ISO/IEC17799模型ISO/IEC 17799標準的內(nèi)容涉及10個領(lǐng)域，36個控制目標和127個控制措施。 2008 普華永道版權(quán)所有2008 年 4 月第 14 頁ISO17799模型Security PolicyAssetClassificationAnd ControlSecurityOrganization紀錄和溝通信息系統(tǒng)政策和法規(guī)的審核分配職責(zé)和分工，第3方授權(quán)，風(fēng)險/控制的外包資產(chǎn)的保存，對于敏感/商業(yè)風(fēng)險的區(qū)分 2008 普華永道版權(quán)所有2008 年 4 月第 15 頁ISO17799模型PersonalSecurity Com

12、m/OpsManagementPhysical and EnvironmentSecurity員工聘請，知識培訓(xùn)，事故報告等物理平安參數(shù)，設(shè)備保護，桌面及電腦的重要文件的保護事故流程，職責(zé)別離，系統(tǒng)規(guī)劃，電子郵件控制 2008 普華永道版權(quán)所有2008 年 4 月第 16 頁ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance權(quán)限管理：包括應(yīng)用系統(tǒng)，操作系統(tǒng)，網(wǎng)絡(luò)變更控制，環(huán)境劃分，平安設(shè)備商業(yè)可持續(xù)性方案及其框架，測試方案以及方案的維護和更新Compliance版權(quán)控制，記錄和信息的保

13、存，數(shù)據(jù)保護，公司制度的服從 2008 普華永道版權(quán)所有2008 年 4 月第 17 頁ISO/IEC 27001/27002:2005 的內(nèi)容的內(nèi)容總共分成 11個領(lǐng)域、 39個控制目標、 133個控制措施。 11個領(lǐng)域包括A.1 Security PolicyA.2 organization of information securityA.3 Asset managementA.4 Human resources securityA.5 Physical and environmental securityA.6 Communications and operations managem

14、entA.7 Access controlA.8 Information systems acquisition, development and maintenanceA.8 Information security incident managementA.10 Business continuity managementA.11 Compliance 2008 普華永道版權(quán)所有2008 年 4 月第 18 頁關(guān)于ISO/IEC1540890年代開始，由于Internet的日益普及，信息平安領(lǐng)域呼吁修改桔皮書，以解決商用信息系統(tǒng)平安問題。1991年歐盟(European Commissio

15、n) 公布了ITSEC (Information Technology Security Evaluation Criteria,信息技術(shù)平安評估準那么)。在此根底上，美國、加拿大、英國、法國等7國組織聯(lián)合研制了“信息技術(shù)評估平安公共準那么CC：Common Criteria。1999年6月ISO通過了ISO/IEC 15408 平安評估準那么 ISO/IEC 15408:1999 Security TechniquesEvaluation Criteria for IT Security。目前的最新版本于2005年發(fā)布。ISO/IEC 15408是基于多個標準而產(chǎn)生的，它的演進過程如以下圖所

16、示： 2008 普華永道版權(quán)所有2008 年 4 月第 19 頁ISO/IEC 15408的內(nèi)容ISO/IEC 15408由以下三局部組成：第一局部：介紹和一般模型第二局部：平安功能需求第三局部：平安認證需求ISO/IEC 15408準那么比以往的其他信息技術(shù)平安評估標準更加標準，采用以下方式定義：類別CLASS；認證族ASSURANCE FAMILY；認證部件ASSURANCE COMPONENT；認證元素ASSURANCE ELEMENT。其中類別中有假設(shè)干族，族中有假設(shè)干部件，部件中有假設(shè)干元素。 2008 普華永道版權(quán)所有2008 年 4 月第 20 頁ISO/IEC 15408的特點

17、ISO/IEC 15408 信息技術(shù)平安評估準那么中討論的是TOE target of evaluation), 即評估對象。該準那么關(guān)注于評估對象的平安功能，平安功能執(zhí)行的是平安策略。ISO/IEC 15408 定義了平安屬性，包括用戶屬性、客體屬性、主體屬性、和信息屬性。ISO/IEC 15408加強了完整性和可用性的防護措施，強調(diào)了抗抵賴性的平安要求。ISO/IEC 15408 還定義了加密的要求，強調(diào)對用戶的隱私保護。ISO/IEC 15408還討論了某些故障、錯誤和異常的平安保護問題。 2008 普華永道版權(quán)所有2008 年 4 月第 21 頁ISO/IEC15408的類別ISO/I

18、EC 15408中，類別class) 代表最概括的分類和定義方式。包括:平安功能類別，共11個， 分別為平安審計、通信、加密支持、用戶數(shù)據(jù)防護、標識與鑒別、平安管理、隱私、平安功能的防護、資源利用、對評估對象的訪問、可信通路/通道。平安認知類別，共8個，分別為配置管理、遞交和操作、開發(fā)、指南文檔、生存期支持、測試、脆弱性評估、認證維護。評估認證級別類別，共7個，分別為評估功能測試、結(jié)構(gòu)測試、方法測試和檢查、半形式設(shè)計和測試、半形式驗證設(shè)計和測試、形式驗證設(shè)計和測試。評估類別，共3個，包括2個預(yù)評估類別和TOE評估即評估對象的評估。其中預(yù)評估類別分別為：防護框架評估Protection Prof

19、ile evaluation,簡稱PP評估: 評估的一般是某類平安產(chǎn)品，如防火墻等，提出測評的常為是行業(yè)組織；平安目標評估 Security Target evaluation, 簡稱ST評估：評估的一般是某一類的特定產(chǎn)品，如某品牌的防火墻，提出測評的常為廠商。 2008 普華永道版權(quán)所有2008 年 4 月第 22 頁ISO/IEC15408的評估方法對于信息系統(tǒng)和產(chǎn)品進行平安認證ISO/IEC15408通常采用如下方法進行評估：分析和檢查進程與過程檢查進程和過程被應(yīng)用的情況分析TOE設(shè)計表示一致性分析TOE設(shè)計表示與需求的滿足性驗證分析指南文檔分析功能測試和測試結(jié)果獨立功能測試分析脆弱性包

20、括漏洞假說侵入測試等TOE是評估對象Target of Evaluation的縮寫 2008 普華永道版權(quán)所有2008 年 4 月第 23 頁關(guān)于ISO/IEC 13335 ISO/IEC 13335 Information TechnologyGuidelines for the Management of IT Security 是一套關(guān)于信息平安管理的技術(shù)文件，共由五個局部組成，這五個組成局部分別在1996至2001年間發(fā)布。第一局部：平安概念和模型 Part 1Concepts and Models for IT Security ，發(fā)布于1996年12月15日。第二局部：平安管理和規(guī)

21、劃 Part 2Managing and Planning IT Security，發(fā)布于1997年12月15日。第三局部：平安管理技術(shù)Part 3Techniques for the Management of IT Security，發(fā)布于1998年6月15日。第四局部：保護的選擇 Part 4Selection of Safeguards，發(fā)布于2000年3月1日。第五局部：外部聯(lián)接的防護Part 5Management Guidance on Network Security，發(fā)布于2001年1月2日。其中第一局部分別于1997年和2004年發(fā)布了更新版本。 2008 普華永道版權(quán)所有

22、2008 年 4 月第 24 頁關(guān)于ISO13569ISO13569的全稱為ISO/TR 13569:2005 Financial services - Information security guidelines。 它提供了對于金融效勞行業(yè)機構(gòu)的信息平安程序開發(fā)的指導(dǎo)方針。它包括了對制度，組織結(jié)構(gòu)和法律法規(guī)等內(nèi)容的討論。該標準對組織選擇和實施平安控制，和金融機構(gòu)用于管理信息平安風(fēng)險的要素進行了闡述。ISO13569于1997年首次發(fā)布，分別于2003年和2005年更新，目前的最新版本為2005年的版本。 2008 普華永道版權(quán)所有2008 年 4 月第 25 頁ISO/IEC 13569的

23、主要內(nèi)容ISO/IEC 13569是針對金融行業(yè)的信息平安標準，包括以下主要內(nèi)容：組織的IT平安政策IT平安管理風(fēng)險分析和評估平安保護的實施和選擇IT系統(tǒng)保護金融效勞行業(yè)專題，包括如銀行卡、電子資金傳輸(Electronic Fund Transfer)、支票、電子商務(wù)等內(nèi)容；另外，還包括如加密、審計、事件管理等專項討論。 2008 普華永道版權(quán)所有2008 年 4 月第 26 頁提綱信息平安標準概述國際標準 ISO/IEC 系列信息平安標準國際標準 COBIT 國內(nèi)標準 等級保護平安標準的比較問題與答復(fù) 2008 普華永道版權(quán)所有2008 年 4 月第 27 頁COBIT簡介COBITCon

24、trol Objectives for Information and related Technology是由信息系統(tǒng)審計與控制學(xué)會ISACAInformation Systems Audit and Control Association在1996年所公布的控制框架；目前已經(jīng)更新至第4.1版;COBIT的主要目的是研究、開展、宣傳權(quán)威的、最新的國際化的公認信息技術(shù)控制目標以供企業(yè)經(jīng)理、IT專業(yè)人員和審計專業(yè)人員日常使用。COBIT框架共有34個IT的流程，分成四個領(lǐng)域：PO方案與組織、AI獲取與實施、DS交付與支持、和ME監(jiān)控與評估。 2008 普華永道版權(quán)所有2008 年 4 月第 28

25、 頁COBIT來源1992年：ISACF (Information System Audit and Control Foundation)發(fā)起，參閱全球不同國家、政府、標準組織的26份文件后，基于其中之18份文件，研擬COBIT，同時籌組COBIT指導(dǎo)委員會(Steering Committee)。1996年：COBIT指導(dǎo)委員會公布COBIT第一版。1998年：COBIT指導(dǎo)委員會公布COBIT第二版，將第一版之32個高級控制目標(High Level Control Objectives)擴充成34個。2000年：COBIT指導(dǎo)委員會公布COBIT第三版。2005年： COBIT指導(dǎo)委員

26、會公布COBIT第四版。2007年：發(fā)布COBIT 4.1版，為目前最新版本。 2008 普華永道版權(quán)所有2008 年 4 月第 29 頁COBIT涉及領(lǐng)域商業(yè)目標及IT治理目標效率應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人力交付與支持監(jiān)控與評估獲得與實施信息IT資源CobiT框架效果保密性完整性可用性合規(guī)性DS1 定義和管理服務(wù)水平DS2 管理第三方服務(wù)DS3 性能管理和容量管理DS4 確保服務(wù)的連續(xù)性DS5 確保系統(tǒng)安全DS6 確定并分配成本DS7 教育和培訓(xùn)用戶DS8 服務(wù)臺和緊急事件管理DS9 配置管理DS10 問題管理DS11 數(shù)據(jù)管理DS12 物理環(huán)境管理DS13 運營管理ME1 監(jiān)控和評價IT績效M

27、E2 監(jiān)控和評價內(nèi)部控制ME3 確保與法律的符合性ME4 提供IT治理P01 定義IT戰(zhàn)略計劃P02 定義IT信息架構(gòu)P03 確定技術(shù)導(dǎo)向P04 定義IT過程/組織和關(guān)系P05 IT投資管理P06 傳遞管理目標和方向P07 IT人力資源管理P08 質(zhì)量管理P09 IT風(fēng)險評估及管理P10 項目管理AI1 識別自動化解決方案AI2 獲取并維護應(yīng)用軟件AI3 獲取并維護技術(shù)基礎(chǔ)設(shè)施AI4 保障運營和使用AI5 獲取IT資源AI6 變革管理AI7 安裝/授權(quán)解決方案和變更計劃與組織可靠性 2008 普華永道版權(quán)所有2008 年 4 月第 30 頁COBIT的組件實施概要管理層指引具體控制目標構(gòu)架伴隨

28、高級控制目標關(guān)鍵職能和目標說明關(guān)鍵的成功因素成熟的模板審計指引實施工具 2008 普華永道版權(quán)所有2008 年 4 月第 31 頁COBIT框架的原理控制領(lǐng)域(Domains)流程(Processes)活動(Activities/Tasks)人 力 資 源應(yīng) 用 系 統(tǒng)基 礎(chǔ) 架 構(gòu)信 息信息技術(shù)資源可信賴性需求質(zhì) 量 需 求信 息 處 理 要 求信息技術(shù)流程 安 全 性 需 求 2008 普華永道版權(quán)所有2008 年 4 月第 32 頁COBIT框架的原理有效性應(yīng)以及時、正確、一致及可用的方式與業(yè)務(wù)流程有關(guān)的信息效率通過優(yōu)化（生產(chǎn)率最高且經(jīng)濟合理）資源使用來交付信息保密性保護敏感信息免受未授

29、權(quán)訪問完整性信息的正確和完整，并根據(jù)業(yè)務(wù)價值和期望進行嚴正可用性若業(yè)務(wù)流程現(xiàn)在或?qū)懋a(chǎn)生需要，信息是可用的，關(guān)注于保護所需的資源及相應(yīng)的能力合規(guī)性外部合規(guī)性和內(nèi)部合規(guī)性，滿足業(yè)務(wù)流程必須遵循的法律、法規(guī)及合同要求可靠性為管理者提供適當信息，以檢驗管理者的履職程度和職責(zé)可信性需求安全需求質(zhì)量需求信息處理要求IT 資源IT流程 2008 普華永道版權(quán)所有2008 年 4 月第 33 頁COBIT框架的原理IT流程管理各種IT資源，以產(chǎn)生、傳遞并存儲可滿足業(yè)務(wù)需求的各種信息。CobiT中定義的IT資源包括如下方面：應(yīng)用系統(tǒng)：處理信息的自動化信息系統(tǒng)及相應(yīng)手冊程序信息：信息系統(tǒng)輸入、處理和輸出的所有形

30、式的數(shù)據(jù)，可以被業(yè)務(wù)以任何形式使用根底架構(gòu)：保障應(yīng)用系統(tǒng)處理信息所需的技術(shù)和設(shè)施硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體，以及放置上述設(shè)施所需的環(huán)境人員：籌劃、組織、采購、實施、交付、支持、監(jiān)控和評價信息系統(tǒng)和效勞所需的人員，可以是內(nèi)部的也可以是外部的應(yīng)用系統(tǒng)信息基礎(chǔ)架構(gòu)人員IT 資源信息處理要求IT 流程 2008 普華永道版權(quán)所有2008 年 4 月第 34 頁提綱信息平安標準概述國際標準 ISO/IEC 系列信息平安標準國際標準 COBIT 國內(nèi)標準 等級保護平安標準的總結(jié)問題與答復(fù) 2008 普華永道版權(quán)所有2008 年 4 月第 35 頁全國信息平安標準化技術(shù)委員會簡介中國從19

31、84年開始就組建了數(shù)據(jù)加密技術(shù)委員會，并在1997年8月，將該委員會改組為全國信息技術(shù)標準化分技術(shù)委員會，主要負責(zé)制定信息平安的國家標準。2001年，國家標準化管理委員會批準成立全國信息平安標準化技術(shù)委員會，簡稱“全國安標委。標準委員會的標號是TC260。 全國信息平安標準化技術(shù)委員會包括四個工作組：信息平安標準體系與協(xié)調(diào)工作組PKI和PMI工作組信息平安評估工作組信息平安管理工作組截至2007年底，全國信息平安標準化技術(shù)委員會已經(jīng)完成了國家標準59項，還有56項國家標準在研制中。 2008 普華永道版權(quán)所有2008 年 4 月第 36 頁等級保護是什么？等級保護根本概念：信息系統(tǒng)平安等級保護

32、是指對信息平安實行等級保護根本概念：信息系統(tǒng)平安等級保護是指對信息平安實行等級化保護和等級化管理等級化保護和等級化管理根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際平安需求，實行分級、根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際平安需求，實行分級、分類、分階段實施保護，保障信息平安和系統(tǒng)平安正常運行，維分類、分階段實施保護，保障信息平安和系統(tǒng)平安正常運行，維護國家利益、公共利益和社會穩(wěn)定。護國家利益、公共利益和社會穩(wěn)定。等級保護的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)平安分等級、等級保護的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)平安分等級、按標準進行建設(shè)、管理和監(jiān)督。國家對信息平安等級保護工作運按標準進行建設(shè)、管理和

33、監(jiān)督。國家對信息平安等級保護工作運用法律和技術(shù)標準逐級加強監(jiān)管力度。突出重點，保障重要信息用法律和技術(shù)標準逐級加強監(jiān)管力度。突出重點，保障重要信息資源和重要信息系統(tǒng)的平安。資源和重要信息系統(tǒng)的平安。 2008 普華永道版權(quán)所有2008 年 4 月第 37 頁等級保護法律和政策依據(jù)?中華人民共和國計算機信息系統(tǒng)平安保護條例?第二章平安保護制度局部規(guī)定：“計算機信息系統(tǒng)實行平安等級保護。平安等級的劃分標準和平安等級保護的具體方法，由公安部會同有關(guān)部門制定。?計算機信息系統(tǒng)平安保護等級劃分準那么?GB17859-1999技術(shù)法規(guī)規(guī)定：“國家對信息系統(tǒng)實行五級保護。?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安

34、保障工作的意見?重點強調(diào)：“實行信息平安等級保護制度，重點保護根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)。 2008 普華永道版權(quán)所有2008 年 4 月第 38 頁等級保護的分級等級保護分為5級管理制度：第一級，自主保護級：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益造成損害，但不損害國家平安，社會秩序和公共利益。第二級，指導(dǎo)保護級：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家平安。第三級，監(jiān)督保護級：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家平安造成損害。第四級，強制保護級：信息系統(tǒng)受到破壞后，會對社會

35、秩序和公共利益造成嚴重損害，或者對國家平安造成嚴重損害。第五級，專控保護級：信息系統(tǒng)受到破壞后，會對國家平安造成特別嚴重損害。 2008 普華永道版權(quán)所有2008 年 4 月第 39 頁等級保護定級要素受侵害的客體公民，法人和其他組織的合法權(quán)益社會秩序，公共利益國家平安對客體的侵害程度造成一般損害造成嚴重損害造成特別嚴重損害 2008 普華永道版權(quán)所有2008 年 4 月第 40 頁平安保護要素與等級關(guān)系業(yè)務(wù)信息安全被破壞時所侵害的業(yè)務(wù)信息安全被破壞時所侵害的客體客體對相應(yīng)客體的侵害程度對相應(yīng)客體的侵害程度一般損害一般損害嚴重損害嚴重損害特別嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)公民

36、、法人和其他組織的合法權(quán)益益第一級第一級第二級第二級第二級第二級社會秩序、公共利益社會秩序、公共利益第二級第二級第三級第三級第四級第四級國家安全國家安全第三級第三級第四級第四級第五級第五級 2008 普華永道版權(quán)所有2008 年 4 月第 41 頁等級保護監(jiān)管級別與等級對應(yīng)情況等級等級對象對象侵害客體侵害客體侵害程度侵害程度監(jiān)管強度監(jiān)管強度第一級第一級一般一般系統(tǒng)系統(tǒng)合法權(quán)益合法權(quán)益損害損害自主保護自主保護第二級第二級合法權(quán)益合法權(quán)益嚴重損害嚴重損害指導(dǎo)指導(dǎo)社會秩序和公共利益社會秩序和公共利益損害損害第三級第三級重要重要系統(tǒng)系統(tǒng)社會秩序和公共利益社會秩序和公共利益嚴重損害嚴重損害監(jiān)督檢查監(jiān)督檢

37、查國家安全國家安全損害損害第四級第四級社會秩序和公共利益社會秩序和公共利益特別嚴重損害特別嚴重損害強制監(jiān)督檢查強制監(jiān)督檢查國家安全國家安全嚴重損害嚴重損害第五級第五級極端極端重要重要系統(tǒng)系統(tǒng)國家安全國家安全特別嚴重損害特別嚴重損害專門監(jiān)督檢查專門監(jiān)督檢查 2008 普華永道版權(quán)所有2008 年 4 月第 42 頁等級保護定級流程信息系統(tǒng)平安包括業(yè)務(wù)信息平安和系統(tǒng)效勞平安，與之相關(guān)的受侵害客體和對客體得侵害程度可能不同，因此信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息平安和系統(tǒng)效勞平安兩方面確定。具體流程為：確定業(yè)務(wù)信息安全受到破壞時所侵害的客體綜合評定對客體的侵害程度確定定級對象業(yè)務(wù)信息安全等級定級對象的安全保

38、護等級確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體綜合評定對客體的侵害程度系統(tǒng)服務(wù)安全等級 2008 普華永道版權(quán)所有2008 年 4 月第 43 頁等級保護定級對象確定作為定級對象的信息系統(tǒng)應(yīng)具有如下根本特征：具有唯一確定的平安責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其平安責(zé)任單位，這個平安責(zé)任單位就是負責(zé)等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責(zé)任單位。具有信息系統(tǒng)的根本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)那么組合而成的有形實體。應(yīng)防止將某個單一的系統(tǒng)組件，如單臺的效勞器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。承載單一或相對

39、獨立的業(yè)務(wù)應(yīng)用定級對象承載“相對獨立的業(yè)務(wù)應(yīng)用是指其中的一個或多個業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、局部業(yè)務(wù)功能獨立，同時與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬Κ毩⒌臉I(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程，可以使完整的業(yè)務(wù)流程的一局部。 2008 普華永道版權(quán)所有2008 年 4 月第 44 頁等級保護的根本要求信息系統(tǒng)平安等級保護應(yīng)依據(jù)信息系統(tǒng)的平安保護等級情況保證它們具有相應(yīng)等級的根本平安保護能力，不同平安保護等級的信息系統(tǒng)要求具有不同的平安保護能力。根本平安要求分為根本技術(shù)要求和根本管理要求兩大類。二者都是確保信息系統(tǒng)平安不可分割的兩

40、個局部。信息系統(tǒng)具有的整體平安保護能力通過不同組件實現(xiàn)根本平安要求來保證。除了保證系統(tǒng)的每個組件滿足根本平安要求外，還要考慮組件之間的相互關(guān)系，來保證信息系統(tǒng)的整體平安保護能力。 2008 普華永道版權(quán)所有2008 年 4 月第 45 頁等級保護的根本要求 續(xù)基本技術(shù)要求基本技術(shù)要求基本管理要求基本管理要求與信息系統(tǒng)提供的技術(shù)安全機制有關(guān)；主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)。與信息系統(tǒng)中各種角色參與的活動有關(guān)；主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全幾個層面提出。從安

41、全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理幾個方面提出。 2008 普華永道版權(quán)所有2008 年 4 月第 46 頁根本技術(shù)要求的類型根本技術(shù)要求分為三種類型：保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息平安類要求簡記為S；保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的效勞保證類要求簡記為A；通用平安保護類要求簡記為G。 2008 普華永道版權(quán)所有2008 年 4 月第 47 頁等級保護-實施指南根本原那么：等級保護的核心是對信息系統(tǒng)分等級、按標準進行建設(shè)、管理和監(jiān)督。等級保護在實施過程中應(yīng)遵循以下根本原那么：自主保護原那么：由各主管部門和運營使用單位按照國家相關(guān)法規(guī)和標準，自主確定信息系統(tǒng)的平安等級自行組織實施平安保 同步建設(shè)原那么：信息系統(tǒng)在新建、改建、擴建時應(yīng)當同步規(guī)劃和設(shè)計平安方案，投入一定比例的資金建設(shè)信息平安設(shè)施，保障信息平安與信息化建設(shè)相適應(yīng)。重點保護原那么： 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同平安等級的信息系統(tǒng)，實現(xiàn)不同強度的平安保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。適當調(diào)整原那么：要跟蹤