文档介绍:目录
概述
等级保护的实施过程
系统定级阶段
安全规划设计阶段
安全实施/实现阶段
安全运行管理阶段
系统中止阶段
库文档分享
概述
背景
实施指南的作用
实施指南的使用对象
与风险管理之间的关系
库文档分享
概述-背景
1994年, 《中华人民共和国计算机信息系统安全保护条例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)
2004年,四部委联合签发了《关于信息安全等级保护工作的实施意见》(66号文)
库文档分享
概述-背景(续)
在“66号文”的职责分工和工作要求中指出:
信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级
信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工
信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估
国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信息系统的安全等级保护状况进行监督检查
库文档分享
概述-背景(续)
管理规范和技术标准的作用
主管部门
监督检查
信息安全监
管职能部门
系统定级
安全保护
检测评估
运营\使用单位
安全服务商
安全评估机构
技术标准
管理规范
库文档分享
概述-背景(续)
主要的管理规范和技术标准
管理规范
《信息安全等级保护管理办法》
技术标准
《信息系统安全等级保护实施指南》
《信息系统安全保护等级定级指南》
《信息系统安全等级保护基本要求》
《信息系统安全等级保护测评准则》
《信息系统安全等级保护监督检查指南》
库文档分享
概述-实施指南的作用
是信息系统实施等级保护的指南性文件。
作为等级保护标准体系的指引文档。
贯穿整个等级保护工作的所有阶段,规范和指导所有的安全活动。
介绍信息系统实施等级保护的方法,不同的角色在不同阶段的作用。
库文档分享
概述-实施指南的使用对象
本指南的使用对象是:
信息系统的主管单位;
信息系统运营、使用单位;
信息系统安全服务商;
信息安全监管机构;
安全测评机构;
安全产品供应商。
库文档分享
概述-与风险管理之间的关系
相同点
都是对活动过程的管理;
都阐明了对信息系统整个生命周期的管理。
不同点
风险管理方法以“风险”控制为核心,描述了风险管理的主要活动过程;
信息系统实施等级保护的思路是首先根据信息系统定级方法对信息系统进行定级,根据安全级别确定基本安全保护措施,通过风险分析补充其它需要的安全措施,构成等级保护安全设计方案,并依据方案进行安全工程实施。
库文档分享
概述-与风险管理之间的关系(续)
二者之间关系
在对信息系统实施等级保护的过程中,风险管理是一种辅助手段。等级保护的相关标准对不同级别的信息系统提出了基本保护要求,基本保护要求是系统安全建设的基础,但是不同的信息系统由于其本身的特性,除基本保护要求外,可以通过风险管理中风险分析的方法选择需要补充的安全措施,从而使得系统的等级保护更加个性化。
库文档分享