文档介绍：信息安全管理
Information security management
授课内容:信息安全管理体系2
授课对象:
主讲教员:唐慧林
本节内容
等级测试的基本概念
1
测评方法和测评强度
2
主要测评内容
3
6
1、等级测评基本概念
信息安全技术和管理概念在发展深化,从信息保密阶段(60、70年代)、信息安全保护阶段(80、90年代)发展到信息保障阶段(90年未,IATF发布)。
信息安全测评也得到同步发展,从80、90年代关注信息安全产品的质量保证和安全评测发展到信息系统的整体安全测试评估和研究上来,从只重技术到技术、管理并重的全面测评。
1、等级测评基本概念
基本概念-背景
在我国,1994年, 《中华人民共和国计算机信息系统安全保护条例》的发布,开始关注信息系统的安全和测评。
03年和04年,中央办公厅、国务院办公厅27号文、四部委66号文进一步规定:
信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级;进行安全规划设计、安全建设施工;定期进行安全状况检测评估。
国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信息系统的安全等级保护状况进行监督检查。
基本概念-背景
1、等级测评基本概念
测评是ISSE的重要环节,测评活
动跨越整个ISSE过程,为信息系
统提供安全保证。
基本概念-作用
1、等级测评基本概念
对信息系统实施等级保护的过程也是一个工程过程, 应对其各个实施过程进行测评,以提供等级保护安全保证。
确保信息系统安全等级保护标准在信息系统中得到合理的应用,促使信息系统达到应有安全防护能力。
基本概念-作用
1、等级测评基本概念
基本概念-作用
1、等级测评基本概念
等级测评 assessment for classified security protection
具有相关资质的、独立的第三方测评服务机构,对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试评定。
主体:测评服务机构
对象:信息系统(被测系统)
工作内容:等级保护标准要求的符合性评定
方式: assessment
基本概念-术语
1、等级测评基本概念
涉及到标准:
《信息系统安全等级保护基本要求》
解决测评的目标和内容
《信息系统安全等级保护测评准则》
解决测评的方法、实施过程和判定要求
《信息系统安全等级保护测评指南》
解决测评的程序流程和过程要求
1、等级测评基本概念
基本概念-术语