LOGO信息安全管理InformationsecuritymanagementInformationsecuritymanagement本节内容等级测试的基本概念1测评方法和测评强度2主要测评内容361、等级保护基本概念在我国,1994年,《中华人民共和国计算机信息系统安全保护条例》的发布,开始关注信息系统的安全和测评。03年和04年,中央办公厅、国务院办公厅27号文、四部委66号文进一步规定:信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级;进行安全规划设计、安全建设施工;定期进行安全状况检测评估。国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信息系统的安全等级保护状况进行监督检查。背景背景1、等级测评基本概念信息安全等级保护根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的不同程度,结合系统面临的风险、应对风险的安全保护要求和成本开销等因素,将其划分成不同的信息安全等级,采取相应的安全保护措施,以保障信息和信息系统的安全。1、等级测评基本概念1.11.1基本概念基本概念等级保护的基本原则重点保护原则“谁主管谁负责、谁运营谁负责”原则分区域保护原则“同步建设、动态调整”原则重点保护关系国家安全、经济命脉、社会稳定等方面的重要信息系统各主管部门和运营单位资助确定信息系统的安全等级,按相关要求组织实施。分类、分级、分阶段划分安全保护等级区域实现不同强度的安全保护与建设(新建、改建、扩建)同步建设信息安全措施,动态调整信息安全保护等级安全等级划分自主保护级指导保护级监督保护级强制保护级专控保护级一般的信息和信息系统涉及国家安全、社会秩序、经济建设的一般系统涉及国家安全、社会秩序、经济建设的信息系统涉及国家安全、社会秩序、经济建设的重要信息系统涉及国家安全、社会秩序、经济建设的重要信息系统及其核心子系统等级保护实施方法安全定级基本安全要求分析系统特定安全要求分析风险评估改进和选择安全措施实施等级保护实施过程三个阶段定级阶段:系统识别与描述与等级确定规划与设计阶段:1、系统分域保护框架建立2、选择和调整安全措施3、安全规划与方案设计实施、等级评估与改进阶段:1、安全措施实施2、评估与验收3、运行监控与改进2、等级测评基本概念信息安全技术和管理概念在发展深化,从信息保密阶段(60、70年代)、信息安全保护阶段(80、90年代)发展到信息保障阶段(90年未)。信...
