信息安全等级保护

《信息安全等级保护》由会员分享，可在线阅读，更多相关《信息安全等级保护（11页珍藏版）》请在装配图网上搜索。

1、1. 信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在 中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义 上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称 为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以 及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使 用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的 综合性工作。国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织

2、对 信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级 保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关 密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国 家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责 等级保护工作的部门间协调。2. 信息安全等级保护工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。如图1 所示为具体流程。图12.1 信息安全保护等级划分国家

3、信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据 信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社 会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息安全等级保护信息安全等级保护管理办法规定：信息系统的安全保护等级分为以 下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不 损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害, 或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩

4、序和公共利益造成严重损害，或者对国家安 全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国 家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。计算机信息系统安全保护等级划分：第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级3. 信息安全等级保护测评基本概念信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。3.1 等级测评工作等级测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进

5、行检测评估的活动。通过信息安全等级评测机构对已完成的等级保护建设的信息系统定期进行等级测评，确 保信息系统的安全保护措施符合相应等级的安全要求。3.2 等级测评机构等级测评机构是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等 级保护工作协调小组办公室（等保办）推荐，从事等级测评工作的机构。 等级保护测评的执行主体应当是具有相关资质的、独立的测评服务机构。 只有独立的第三方，才能保证测评工作的客观性和公正性。 开展等级保护测评机构通常符合GB/T15481,通过计量认证和实验室认可。 通过检查机构认可。3.2 等级保护测评流程1）资料审查阶段：对被测用户提交的申请,进行文档的形式

6、化审查,确认符合测评要求。2）核查测试阶段：用户进行充分沟通,指定测评计划和测试方案,并实施现场测评,形成 测评记录。3）综合评估阶段：整理测评数据,对用户资料和测评结果进行综合分析,形成测评报告。 召开专家委员会,对测评报告进行评审,最后由测评中心领导批准,出具等级保护测评报告。 具体流程如图 2 所示。图23.2.1 测评准备活动测评准备活动的主要任务包括：项目启动、信息收集和分析、工具和表单准备。这三项任务之间存在工作的先后次序，项目启动任务完成之后才能开始信息收集和分析任务。可采用如图3 所示的工作流程：图33.2.2 方案编制活动方案编制活动的主要任务包括：测评对象确定、测评指标确定

7、、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。其中，测评对象确定与测评指标确定两项任务可以并行实施，其他四项任务之间存在工作的先后次序，测评内容确定任务完成之后才能开始后续任务。这六项任务可采用如图4 所示的工作流程：2-刻评内吝识別每个 测评对象 对应的测 评指标识别每个 测i平对象 对应的每 个测评指 标的测评 方法i-工具刻iit右确定工具卿 试的测评討 象选择测试路径确走测试工具的接入点4-刻明需书汕已肓的11 评指导书中 选择与测评 对象时应的 手册针对没有现 成测评指导 书的测评対 象，开发新的 別评指导书丄冊方窠扁 制插逑测评【页 目基本情况 和工作依揺描述械测

8、系 统的整体结 构、边畀和 网络X域描述被测系 统的重要节 点和业奔应 用描谜测评指 标抽逑测评对 象描述测评内 窖和方法图43.2.3 现场测评活动现场测评活动的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。这三项任务之间存在工作的先后次序，现场测评准备任务完成之后才能开始后续任务可采用如图5 所示的工作流程：图53.2.4 报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风 险分析、等级测评结论形成及测评报告编制。这六项任务之间存在工作的先后次序，单项测 评结果判定任务完成之后才能开始后续任务。3.3 等级保护测评方法3.3.1

9、测评方法测评采用访谈、检查和测试三种方法，测评对象是测评实施过程中涉及到的信息系统的 构成成份，包括人员、文档、机制、软件、设备。测评的层面涉及物理安全、网络安全、主 机安全、应用系统安全、数据安全以及安全管理。3.3.2 测评要求 使用测评表进行具体检查时，首先按询问、查验、检测等工作方式将所有检查项目分类。 所有以询问方式检查的项目，在与有关人员的谈话或会议上进行。 所有以查验方式检查的项目，将需要的文档清单在检查现场提交给被检查方，请被检查 方当前提供并进行查验。 所有需要以检测方式检查的项目，按检测部门或设备分类后，根据具体情况选择检测顺 序。3.3.3 方法要求 “访谈”方法：目的是

10、了解信息系统的全局性。范围一般不覆盖所有要求内容。 “检查”方法：目的是确认信息系统当前具体安全机制和运行的配置是否符合要求。范 围一般要覆盖所有要求内容。 “测试”方法：目的是验证信息系统安全机制有效性和安全强度。范围不覆盖所有要求 内容。3.3.4 管理要求 对人员方面的要求，重点通过“访谈”的方式来测评，检查为辅。 对过程方面的要求，通过“访谈”和“检查”的方式来测评。 对规范方面的要求，以“检查”文档为主，“访谈”为辅。3.4 等级保护测评中的角色和职责关系角色与职责关系如图 6 所示。专家组洌评机构上管使用 、运行单位仝安 网监部门科评1作纽织饬调确幄披术、.:程和脂虽:宴档*提供运

11、 翱相堆汶档的提供 FW女:施力亲T+UE丈”i兄介尊圾A卫实心側评过程中的炖险管理和应总雉哩 ； f.LMir计览和力*零祁從丈桔 ii：HI/?lf-茫持卜实WT；级紳评 捉空册评报告越汁1：杵 绡织出请妇權1羽從供技札1和Fi诚M丈巧工啟|仙：汁对方案讦审対评估時论辿廿评审图6 信息安全服务机构：协助信息系统运营、使用单位完成等级保护的相关工作，包括确定 其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全 改造等。 信息安全产品供应商：开发符合等级保护相关要求的信息安全产品，接受安全测评，按 照等级保护相关要求销售信息安全产品并提供相关服务。 应用软件开发机构：

12、将安全控制要求与应用软件结合，负责软件开发。 信息安全等级测评机构：协助信息系统运营、使用单位或国家管理部门，按照国家信息 安全等级保护的管理规范和技术标准，对已经完成等级保护建设的信息系统进行测评 对信息安全产品供应商提供的信息安全产品进行安全测评。3.5 等级保护测评工作实施步骤3.5.1 首次会议 参加人员：主管领导、技术人员、测评机构人员 被测评机构工作汇报3.5.2 测评实施被测评单位派人负责测评过程联络和协助。3.5.3 末次会议 参加人员：主管领导、技术人员、测评机构人员 测评机构进行测试情况汇报3.6 等级保护测评项目组的构成 组长职责：管理测评过程、主持编制测评计划、主持设计测评方案、负责访谈、检查、 组织分析测评结果、主持编制测评总结报告； 访谈和查看组：负责访谈、执行测试，记录和分析测评结果； 测试组：执行测试、记录和分析测评结果。3.7 等级保护测评内容3.7.1 安全技术测评 物理安全 网络安全 主机系统安全 应用安全 数据安全3.7.2 安全管理测评 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理3.7.3 系统整体测评 安全控制间安全测评 层面间安全测评 区域间安全测评 系统结构安全测评 等级保护五级安全控制测评由相应部门或机构另行规范。