


下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、1信息安全等級保護(hù)信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作,在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。在中國,信息安全等級保護(hù)廣義 上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護(hù)思想的安全工作;狹義上稱 為的一般指信息系統(tǒng)安全等級保護(hù),是指對國家安全、法人和其他組織及公民的專有信息以 及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù),對信息系統(tǒng)中使 用的信息安全產(chǎn)品實(shí)行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置的 綜合性工作。國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息
2、系統(tǒng)分等級實(shí)行安全保護(hù),對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級 保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān) 密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng),由有關(guān)職能部門依照國 家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé) 等級保護(hù)工作的部門間協(xié)調(diào)。2信息安全等級保護(hù)工作內(nèi)容信息安全等級保護(hù)工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安 全檢查五個(gè)階段。如圖1所示為具體流程。材料系統(tǒng)定級。信息系統(tǒng)運(yùn)營使用單位按照信息 系統(tǒng)
3、信息安全等級保護(hù)定級指南,確定信息 系統(tǒng)備案等級運(yùn)行的系統(tǒng)在安全保護(hù)等管部定審級后齊批準(zhǔn)系統(tǒng),在通過頒發(fā)證書。公安機(jī)關(guān)頒發(fā)系統(tǒng)等級保護(hù)備案證不準(zhǔn)等保測評。選擇第三方-測評機(jī)構(gòu)進(jìn)行測評。其合格 中對于新建系統(tǒng)可在 試運(yùn)行階段進(jìn)行測評(險(xiǎn)評估等方法分分析安全需求。對照等保有關(guān)規(guī)定和標(biāo)準(zhǔn)分析系統(tǒng)安全建設(shè)整改需求,可委托安全服務(wù)機(jī)構(gòu)、 等保技術(shù)支持單位分析。對于設(shè)整項(xiàng)目,根據(jù)需求制訂建設(shè)整改過等保測胺照風(fēng)國家相關(guān)規(guī)范和技術(shù)標(biāo)準(zhǔn) 使用符合國家有關(guān)規(guī)定,滿足系統(tǒng)等級開展信息系統(tǒng)不合格提交報(bào)告。系統(tǒng)運(yùn)營、使用單位向地級以上市 公安機(jī)關(guān)報(bào)測評報(bào)告。項(xiàng)目驗(yàn)收文檔中也須含信息安全保護(hù)等級劃分國家信息安全等級保護(hù)!
4、合格不合格家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重第等保測評。定期三方測評機(jī)構(gòu)進(jìn)行測評。三級系統(tǒng)每年至少信息系統(tǒng)遭到法人和其他組織的合法權(quán)益的危害程度等因素確定。壬的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國后對國家安全、社會秩序、公共利益以及公民、信息安全等級保護(hù)信息安全等級保護(hù)管理辦法規(guī)定:信息系統(tǒng)的安全保護(hù)等級分為以下五級:第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不 損害國家安全、社會秩序和公共利益。第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害, 或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公
5、共利益造成嚴(yán)重?fù)p害,或者對國家安 全造成損害。第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國 家安全造成嚴(yán)重?fù)p害。第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分:第一級:用戶自主保護(hù)級第二級:系統(tǒng)審計(jì)保護(hù)級第三級:安全標(biāo)記保護(hù)級第四級:結(jié)構(gòu)化保護(hù)級第五級:訪問驗(yàn)證保護(hù)級3信息安全等級保護(hù)測評基本概念信息系統(tǒng)安全等級測評是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級的評估過程。等級測評工作等級測評工作是指測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。
6、通過信息安全等級評測機(jī)構(gòu)對已完成的等級保護(hù)建設(shè)的信息系統(tǒng)定期進(jìn)行等級測評,確保信息系統(tǒng)的安全保護(hù)措施符合相應(yīng)等級的安全要求。等級測評機(jī)構(gòu)等級測評機(jī)構(gòu)是指具備本規(guī)范的基本條件,經(jīng)能力評估和審核,由省級以上信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室(等保辦)推薦,從事等級測評工作的機(jī)構(gòu)。等級保護(hù)測評的執(zhí)行主體應(yīng)當(dāng)是具有相關(guān)資質(zhì)的、獨(dú)立的測評服務(wù)機(jī)構(gòu)。只有獨(dú)立的第三方,才能保證測評工作的客觀性和公正性。開展等級保護(hù)測評機(jī)構(gòu)通常符合 GB/T15481,通過計(jì)量認(rèn)證和實(shí)驗(yàn)室認(rèn)可。 通過檢查機(jī)構(gòu)認(rèn)可。等級保護(hù)測評流程1)資料審查階段:對被測用戶提交的申請,進(jìn)行文檔的形式化審查,確認(rèn)符合測評要求。2核查測試階段:
7、用戶進(jìn)行充分溝通,指定測評計(jì)劃和測試方案,并實(shí)施現(xiàn)場測評,形成 測評記錄。3)綜合評估階段:整理測評數(shù)據(jù),對用戶資料和測評結(jié)果進(jìn)行綜合分析,形成測評報(bào)告。 召開專家委員會,對測評報(bào)告進(jìn)行評審,最后由測評中心領(lǐng)導(dǎo)批準(zhǔn),出具等級保護(hù)測評報(bào)告。 具體流程如圖2所示。圖2測評準(zhǔn)備活動測評準(zhǔn)備活動的主要任務(wù)包括:項(xiàng)目啟動、信息收集和分析、工具和表單準(zhǔn)備。這三項(xiàng)任務(wù)之間存在工作的先后次序,項(xiàng)目啟動任務(wù)完成之后才能開始信息收集和分析任務(wù)??刹捎萌鐖D3所示的工作流程:圖3方案編制活動方案編制活動的主要任務(wù)包括:測評對象確定、測評指標(biāo)確定、測評內(nèi)容確定、工具測 試方法確定、測評指導(dǎo)書開發(fā)及測評方案編制。其中,測
8、評對象確定與測評指標(biāo)確定兩項(xiàng)任 務(wù)可以并行實(shí)施,其他四項(xiàng)任務(wù)之間存在工作的先后次序, 測評內(nèi)容確定任務(wù)完成之后才能 開始后續(xù)任務(wù)。這六項(xiàng)任務(wù)可采用如圖 4所示的工作流程:圖4現(xiàn)場測評活動現(xiàn)場測評活動的主要任務(wù)包括:現(xiàn)場測評準(zhǔn)備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料 歸還。這三項(xiàng)任務(wù)之間存在工作的先后次序,現(xiàn)場測評準(zhǔn)備任務(wù)完成之后才能開始后續(xù)任務(wù)。 可采用如圖5所示的工作流程:圖5報(bào)告編制活動報(bào)告編制活動的主要任務(wù)包括:單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風(fēng) 險(xiǎn)分析、等級測評結(jié)論形成及測評報(bào)告編制。這六項(xiàng)任務(wù)之間存在工作的先后次序,單項(xiàng)測 評結(jié)果判定任務(wù)完成之后才能開始后續(xù)任務(wù)。等級保護(hù)
9、測評方法測評方法測評采用訪談、檢查和測試三種方法,測評對象是測評實(shí)施過程中涉及到的信息系統(tǒng)的 構(gòu)成成份,包括人員、文檔、機(jī)制、軟件、設(shè)備。測評的層面涉及物理安全、網(wǎng)絡(luò)安全、主 機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全以及安全管理。測評要求使用測評表進(jìn)行具體檢查時(shí),首先按詢問、查驗(yàn)、檢測等工作方式將所有檢查項(xiàng)目分類。 所有以詢問方式檢查的項(xiàng)目,在與有關(guān)人員的談話或會議上進(jìn)行。所有以查驗(yàn)方式檢查的項(xiàng)目,將需要的文檔清單在檢查現(xiàn)場提交給被檢查方,請被檢查 方當(dāng)前提供并進(jìn)行查驗(yàn)。所有需要以檢測方式檢查的項(xiàng)目,按檢測部門或設(shè)備分類后,根據(jù)具體情況選擇檢測順 序。方法要求“訪談”方法:目的是了解信息系統(tǒng)的全局性。范
10、圍一般不覆蓋所有要求內(nèi)容?!皺z查”方法:目的是確認(rèn)信息系統(tǒng)當(dāng)前具體安全機(jī)制和運(yùn)行的配置是否符合要求。范 圍一般要覆蓋所有要求內(nèi)容?!皽y試”方法:目的是驗(yàn)證信息系統(tǒng)安全機(jī)制有效性和安全強(qiáng)度。范圍不覆蓋所有要求 內(nèi)容。管理要求對人員方面的要求,重點(diǎn)通過“訪談”的方式來測評,檢查為輔。對過程方面的要求,通過“訪談”和“檢查”的方式來測評。對規(guī)范方面的要求,以“檢查”文檔為主,“訪談”為輔。等級保護(hù)測評中的角色和職責(zé)關(guān)系 角色與職責(zé)關(guān)系如圖6所示。圖6信息安全服務(wù)機(jī)構(gòu):協(xié)助信息系統(tǒng)運(yùn)營、使用單位完成等級保護(hù)的相關(guān)工作,包括確定 其信息系統(tǒng)的安全保護(hù)等級、進(jìn)行安全需求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安
11、全 改造等。信息安全產(chǎn)品供應(yīng)商:開發(fā)符合等級保護(hù)相關(guān)要求的信息安全產(chǎn)品,接受安全測評,按 照等級保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。應(yīng)用軟件開發(fā)機(jī)構(gòu):將安全控制要求與應(yīng)用軟件結(jié)合,負(fù)責(zé)軟件開發(fā)。信息安全等級測評機(jī)構(gòu):協(xié)助信息系統(tǒng)運(yùn)營、使用單位或國家管理部門,按照國家信息 安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對已經(jīng)完成等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行測評; 對信息安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行安全測評。等級保護(hù)測評工作實(shí)施步驟首次會議參加人員:主管領(lǐng)導(dǎo)、技術(shù)人員、測評機(jī)構(gòu)人員被測評機(jī)構(gòu)工作匯報(bào)測評實(shí)施被測評單位派人負(fù)責(zé)測評過程聯(lián)絡(luò)和協(xié)助。末次會議參加人員:主管領(lǐng)導(dǎo)、技術(shù)人員、測評機(jī)構(gòu)人員測評機(jī)構(gòu)進(jìn)行測試情況匯報(bào)等級保護(hù)測評項(xiàng)目組的構(gòu)成組長職責(zé):管理測評過程、主持編制測評計(jì)劃、主持設(shè)計(jì)測評方案、負(fù)責(zé)訪談、檢查、組織分析測評結(jié)果、主持編制測評總結(jié)報(bào)告;訪談
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 電信企業(yè)環(huán)境保護(hù)管理制度和措施
- 2025至2030中國自動軟水機(jī)行業(yè)發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報(bào)告
- 2025至2030中國脫鹽乳清粉成分行業(yè)發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報(bào)告
- 2025至2030中國脂肪烴稀釋劑行業(yè)市場深度研究及發(fā)展前景投資可行性分析報(bào)告
- 老年健康關(guān)懷館市場研究報(bào)告
- 2025至2030中國肩銑刀行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢及投資規(guī)劃深度研究報(bào)告
- 2025至2030中國聚四氟乙烯微粉行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢及投資規(guī)劃深度研究報(bào)告
- 2025至2030中國美白祛斑護(hù)膚品行業(yè)市場占有率及投資前景評估規(guī)劃報(bào)告
- 2025至2030中國羊毛棉空調(diào)被行業(yè)發(fā)展趨勢與行業(yè)市場深度研究與戰(zhàn)略咨詢分析報(bào)告
- 2025至2030中國網(wǎng)上按需洗衣服務(wù)行業(yè)市場深度研究及發(fā)展前景投資可行性分析報(bào)告
- 福建福州第八中學(xué)2024~2025學(xué)年高一下冊期末數(shù)學(xué)試題
- 供電系統(tǒng)安全培訓(xùn)
- 生產(chǎn)工藝流程控制考核試卷
- 農(nóng)機(jī)駕駛培訓(xùn)教程課件
- 直播電商結(jié)算管理制度
- 工廠出入廠管理制度
- 2025至2030中國寵物垃圾袋行業(yè)發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報(bào)告
- 兒童腺病毒肺炎課件
- 水資源論證管理制度
- 學(xué)校規(guī)定違禁品管理制度
- 麻醉中的人文關(guān)懷
評論
0/150
提交評論