![]() |
![]() |
來源: 發(fā)布日期:2015.01.30 點(diǎn)擊量:
什么是信息安全等級(jí)保護(hù)?
從外部環(huán)境來看,信息安全已經(jīng)成為近幾年信息化建設(shè)的熱點(diǎn)話題,如何保障信息系統(tǒng)的安全已經(jīng)成為國(guó)家關(guān)注的焦點(diǎn),從27號(hào)文件開始,國(guó)家陸續(xù)出臺(tái)了一系列的安全政策和標(biāo)準(zhǔn),提出了以“適度安全、分級(jí)保護(hù)”為核心的等級(jí)保護(hù)建設(shè)思路,公安部、保密局、國(guó)密辦以及國(guó)信辦陸續(xù)出臺(tái)政策,要求國(guó)內(nèi)重要的信息系統(tǒng)應(yīng)按照等級(jí)保護(hù)的辦法和要求,進(jìn)行相關(guān)安全防護(hù)系統(tǒng)的建設(shè),并于2007年啟動(dòng)了等級(jí)保護(hù)的定級(jí)備案工作。等級(jí)保護(hù)針對(duì)信息安全系統(tǒng)建設(shè)的過程,提出了具體的管理辦法和實(shí)施指南,并對(duì)信息安全系統(tǒng)提出了技術(shù)和管理方面的建設(shè)要求。
信息安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)關(guān)系圖
等級(jí)保護(hù)實(shí)施內(nèi)容
<!--[if !supportLists]-->l <!--[endif]-->信息系統(tǒng)等級(jí)保護(hù)定級(jí)方法
信息系統(tǒng)等級(jí)保護(hù)實(shí)施方法
企業(yè)將在下階段逐步啟動(dòng)安全等級(jí)評(píng)估、安全體系設(shè)計(jì)、安全體系建設(shè)和安全運(yùn)維建設(shè)等活動(dòng),各階段的主要工作應(yīng)包括:
安全等級(jí)評(píng)估
該階段可由企業(yè)信息管理部門牽頭,應(yīng)針對(duì)企業(yè)信息網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估服務(wù),完
成安全等級(jí)評(píng)估和安全保障體系的規(guī)劃工作,具體任務(wù)包括:
對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)評(píng)估是國(guó)家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié),也是對(duì)信息
系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。通過等級(jí)評(píng)估可以發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)
狀與需要達(dá)到的安全等級(jí)或目標(biāo)的差異,使企業(yè)信息系統(tǒng)在在技術(shù)和管理方面進(jìn)行有
針對(duì)性的加強(qiáng)和完善,使企業(yè)的信息系統(tǒng)安全工作有的放矢。主要評(píng)估內(nèi)容包括:
了解企業(yè)信息系統(tǒng)的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀;
確定可能對(duì)企業(yè)信息資產(chǎn)造成危害的威脅;
確定威脅實(shí)施的可能性;
對(duì)企業(yè)最重要的、最敏感的資產(chǎn),確定一旦威脅發(fā)生其潛在的損失或破壞;
明確企業(yè)信息系統(tǒng)的已有安全措施的有效性;
明晰企業(yè)信息系統(tǒng)的安全管理需求。
安全體系設(shè)計(jì)
企業(yè)在完成安全等級(jí)評(píng)估后,將對(duì)等級(jí)評(píng)估的結(jié)果進(jìn)行全面分析,確認(rèn)安全需求,并
根據(jù)公安部的等級(jí)保護(hù)基本要求進(jìn)行方案的設(shè)計(jì)和規(guī)劃,主要內(nèi)容包括:
資產(chǎn)分析與賦值:對(duì)信息資產(chǎn)、威脅、弱點(diǎn)和安全風(fēng)險(xiǎn)進(jìn)行總體分析,并根據(jù)重要
性確定其賦值。
安全需求分析:根據(jù)信息系統(tǒng)的安全保護(hù)等級(jí),判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與
國(guó)家等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)之間的差距,提出信息系統(tǒng)的基本安全保護(hù)需求。
總體安全設(shè)計(jì):形成機(jī)構(gòu)綱領(lǐng)性的安全策略文件,包括確定安全方針,制定安全策
略,以便結(jié)合等級(jí)保護(hù)基本要求和安全保護(hù)特殊要求,構(gòu)建機(jī)構(gòu)信息系統(tǒng)的安全技術(shù)
體系結(jié)構(gòu)和安全管理體系結(jié)構(gòu)。
安全建設(shè)規(guī)劃:形成可操作的安全建設(shè)項(xiàng)目,覆蓋國(guó)家等級(jí)保護(hù)的基本要求,同時(shí)也
要滿足企業(yè)的實(shí)際需求。
安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì):根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求、安全需求分析報(bào)告、
機(jī)構(gòu)總體安全策略文件等,提出系統(tǒng)需要實(shí)現(xiàn)的安全技術(shù)措施,形成機(jī)構(gòu)特定的系統(tǒng)
安全技術(shù)體系結(jié)構(gòu),用以指導(dǎo)信息系統(tǒng)分等級(jí)保護(hù)的具體實(shí)現(xiàn)。
整體安全管理體系結(jié)構(gòu)設(shè)計(jì):根據(jù)等級(jí)保護(hù)基本要求、安全需求分析報(bào)告、機(jī)構(gòu)總體
安全策略文件等,調(diào)整原有管理模式和管理策略,既從全局高度考慮為每個(gè)等級(jí)信息
系統(tǒng)制定統(tǒng)一的安全管理策略,又從每個(gè)信息系統(tǒng)的實(shí)際需求出發(fā),選擇和調(diào)整具體
的安全管理措施,最后形成統(tǒng)一的整體安全管理體系結(jié)構(gòu)。
安全體系建設(shè)
企業(yè)應(yīng)充分結(jié)合信息化建設(shè)的中長(zhǎng)期發(fā)展規(guī)劃和安全建設(shè)資金狀況,確定各個(gè)時(shí)期的
安全建設(shè)目標(biāo),將建設(shè)內(nèi)容組合成不同的項(xiàng)目,然后分階段完成安全體系的建設(shè),最
終實(shí)現(xiàn)整體的安全建設(shè)目標(biāo),具體過程包括:
安全建設(shè)目標(biāo)確定:完成信息化建設(shè)中長(zhǎng)期發(fā)展規(guī)劃和安全需求分析,提出信息系統(tǒng)
安全建設(shè)分階段目標(biāo),制定系統(tǒng)在規(guī)劃期內(nèi)所要實(shí)現(xiàn)的總體安全目標(biāo),制定系統(tǒng)短期
要實(shí)現(xiàn)的安全目標(biāo),主要解決目前急迫和關(guān)鍵的問題。
安全建設(shè)內(nèi)容規(guī)劃:根據(jù)信息系統(tǒng)安全總體方案明確主要的安全建設(shè)內(nèi)容,并將其適
當(dāng)?shù)姆纸猓唤M合安全建設(shè)內(nèi)容為不同的安全建設(shè)項(xiàng)目,描述項(xiàng)目所解決的主要安全問
題及所要達(dá)到的安全目標(biāo)。
形成安全建設(shè)項(xiàng)目計(jì)劃:根據(jù)等級(jí)保護(hù)的建設(shè)目標(biāo)和建設(shè)內(nèi)容,在時(shí)間和經(jīng)費(fèi)上對(duì)安
全建設(shè)項(xiàng)目列表進(jìn)行總體考慮,分到不同的時(shí)期和階段,設(shè)計(jì)建設(shè)順序,進(jìn)行投資估
算,形成安全建設(shè)項(xiàng)目計(jì)劃。
技術(shù)措施實(shí)現(xiàn):完成信息安全產(chǎn)品采購(gòu);完成安全控制開發(fā);完成安全控制集成;完
成策略配置;完成總體驗(yàn)收;
管理措施實(shí)現(xiàn):完成管理機(jī)構(gòu)和人員的設(shè)置;完成管理制度的建設(shè)和修訂;定期進(jìn)行
人員安全技能培訓(xùn);進(jìn)行安全實(shí)施過程管理等內(nèi)容
安全運(yùn)維建設(shè)
安全運(yùn)行與維護(hù)是等級(jí)保護(hù)實(shí)施過程中確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié),對(duì)于企業(yè)
信息系統(tǒng),在安全運(yùn)維方面,重點(diǎn)是安全運(yùn)行與維護(hù)機(jī)構(gòu)和安全運(yùn)行與維護(hù)機(jī)制的建
立,環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理,網(wǎng)絡(luò)、系統(tǒng)的管理,密碼、密鑰的管理,運(yùn)
行、變更的管理,安全狀態(tài)監(jiān)控和安全事件處置,安全審計(jì)和安全檢查等內(nèi)容。
相關(guān)客戶案例: