企业公司信息安全等级保护与风险评估
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全建设和管理的目标不明确; 信息安全保障工作的重点不突出; 信息安全监督管理缺乏依据和标准,监管措施有待
到位,监管体系尚待完善。
信息安全管理
9
南昌大学 软件学院
存在的问题
大多数单位的信息系统安全保护还处在采用防火墙、 IDS和防病毒等部件方面。
重视外部攻击与入侵,忽视内部的非法行为 偏重产品,忽视体系和管理。 国内产品质量和技术问题。 用户信息安全的潜在的需求到现实需求仍有一个过
等级保护与风险评估
LOGO
信息安全管理
第三章 等级保护与风险评估
2022/3/23
2
本章内容 等级保护 安全风险评估
信息安全管理
3百度文库
南昌大学 软件学院
信息安全管理
第一节 信息安全等级保护制度
2022/3/23
4
目录
一、为什么开展等级保护
二、什么是等级保护
信息安全管理
5
南昌大学 软件学院
11
南昌大学 软件学院
外部环境
2003年2月14日美国政府发布的《保护网络空间的国家战 略》,为了确保国家关键基础设施(基础信息网络和重要信 息系统)的安全,对于网络空间,从国家关心的角度,美国 将其分为五个优先级:
第一级 家庭用户和小型商业机构 第二级 大型机构(公司、政府机构和大学等) 第三级 国家信息基础设施部门包括联邦政府、私营 部门
信息安全管理
16
南昌大学 软件学院
现实要求
— 各国在大力推进Internet与信息技术应用的同时,抓紧 实施国家信息安全保障体系与国防的信息安全防御体系。
— 各国抓紧研究信息安全策略、制订体系标准、法律法规, 实施安全计划。
我国在推进信息化进程中,信息安全问题得到重视。要求在 党政部门、要害部门使用具有国内自主产权的安全产品。
一、为何开展信息安全等级保护
1、背景 2、存在的问题 3、国外做法 4、现实要求
信息安全管理
6
南昌大学 软件学院
信息安全形势
现代化建设的许多方面已融入于网络(信息) 社 会之中,政府部门正在积极推进电子政务;金融、证 券部门正在稳健地开展网络化的服务业务(网上银行 支付和网上证券交易);商贸部门正在推动电子商务 的发展;国防部门积极研究网络信息战(现代战争的 形式)等。
(银行与金融、能源、运输、电信、信息技术、通用制造业、 化学制造业)、州和地方政府、高等教育机构。 第四级 国家机构和政策部门 第五级 全球
信息安全管理
12
南昌大学 软件学院
外部环境
➢ 美国联邦信息处理标准(FIPS)是国家标准与技术研究所 (NIST)制定的一类安全出版物,多为强制性标准。 FIPS 199 《联邦信息和信息系统安全分类标准》描述了 如何确定一个信息系统的安全类别。确定系统级别的落脚 点在于系统中所处理、传输、存储的所有信息类型的重要 性。
信息安全管理
13
南昌大学 软件学院
外部环境
FIPS 199按照“确定信息类型--确定信息的安全类别--确 定系统的安全类别”三个步骤进行系统最终的定级。
首先,确定系统内的所有信息类型。FIPS 199指出,一 个信息系统内可能包含不止一种类型的信息(例如隐私信 息、合同商敏感信息、专属信息、系统安全信息等)。
信息安全管理
14
南昌大学 软件学院
外部环境
据有关资料可以看出,信息技术已经改变了美国 企业和政府的运行方式,美国经济和国家安全对信 息技术和信息基础设施依赖性越来越强,网络直接 支撑着各个经济领域的运行。
综合上述情况,不难看出,美国政府在信息安全 领域采取的就是分级保护的策略。
信息安全管理
15
南昌大学 软件学院
现实要求
美国及西方发达国家为了抵御信息网络的脆弱性和安全 威胁,制定了一系列强化信息网络安全建设的政策和标准, 其中一个很重要思想就是按照安全保护强度划分不同的安全 等级,以指导不同领域的信息安全工作。
面对严峻的形势和严重的问题,如何解决我国信息安全问 题,是摆在我国政府、企业、公民面前的重大关键问题。
信息安全管理
7
南昌大学 软件学院
信息安全形势
信息是战略资源,是决策之本,是控制一个国家国 民经济与军事的灵魂。
由Internet的发展而带来的网络系统的安全问题正 变得突出,网络安全已成为关系国家安全的重大战 略问题。
运筹帷幄,决胜千里。
信息安全管理
8
南昌大学 软件学院
存在的问题
信息安全意识和安全防范能力薄弱,信息安全滞后 于信息化发展;
其次,根据三类安全目标,确定不同信息类型的潜在影响 级别(低、中、高)。
最后,按照“取高”原则,即选择系统内所有信息类型的 潜在影响级的较高级别作为系统的影响级(低、中、高)。 FIPS199确定系统级别的方法的重点是信息和信息系统的 级别建立在某些事件的发生会对机构产生潜在影响的基础 之上,根据安全目标(保密性、完整性和可用性)确定系 统所处理、存储、传输的信息的级别,从而确定系统级别。
程
信息安全管理
10
南昌大学 软件学院
存在的问题
西方发达国家信息技术优势明显,我国面临信息强 国的冲击、挑战和威胁,信息安全领域始终面临信 息战和网络恐怖袭击的威胁 ;
敌对势力的网上煽动、渗透和破坏活动愈加突出, 针对信息系统进行的破坏活动日益严重,利用网络 实施的违法犯罪案件持续大幅上升 。
信息安全管理
信息安全管理
17
南昌大学 软件学院
二、什么是等级保护
1、等级保护的含义 2、等级保护的发展 3、基本原则和要求 4 、职责分工
信息安全管理
18
南昌大学 软件学院
信息安全等级保护定义
《信息安全等级保护管理办法(试行)》:信息安全等级 保护是指对国家秘密信息、法人和其他组织及公民的专有 信息以及公开信息和存储、传输、处理这些信息的信息系 统分等级实行安全保护,对信息系统中使用的信息安全产 品实行按等级管理,对信息系统中发生的信息安全事件分 等级响应、处置。
➢ 信息和信息系统的“安全类别”是FIPS 199提出的一种 新的系统级别概念。该定义是建立在某些事件的发生直接 导致三类安全目标(保密性、完整性和可用性)的丧失, 从而对机构运行(使命,功能,形象,声誉)、机构资产 或个人产生潜在影响的基础之上。即,衡量指标是三性的 丧失而产生的“影响级”,FIPS 199定义了三种影响级: 低、中、高。
到位,监管体系尚待完善。
信息安全管理
9
南昌大学 软件学院
存在的问题
大多数单位的信息系统安全保护还处在采用防火墙、 IDS和防病毒等部件方面。
重视外部攻击与入侵,忽视内部的非法行为 偏重产品,忽视体系和管理。 国内产品质量和技术问题。 用户信息安全的潜在的需求到现实需求仍有一个过
等级保护与风险评估
LOGO
信息安全管理
第三章 等级保护与风险评估
2022/3/23
2
本章内容 等级保护 安全风险评估
信息安全管理
3百度文库
南昌大学 软件学院
信息安全管理
第一节 信息安全等级保护制度
2022/3/23
4
目录
一、为什么开展等级保护
二、什么是等级保护
信息安全管理
5
南昌大学 软件学院
11
南昌大学 软件学院
外部环境
2003年2月14日美国政府发布的《保护网络空间的国家战 略》,为了确保国家关键基础设施(基础信息网络和重要信 息系统)的安全,对于网络空间,从国家关心的角度,美国 将其分为五个优先级:
第一级 家庭用户和小型商业机构 第二级 大型机构(公司、政府机构和大学等) 第三级 国家信息基础设施部门包括联邦政府、私营 部门
信息安全管理
16
南昌大学 软件学院
现实要求
— 各国在大力推进Internet与信息技术应用的同时,抓紧 实施国家信息安全保障体系与国防的信息安全防御体系。
— 各国抓紧研究信息安全策略、制订体系标准、法律法规, 实施安全计划。
我国在推进信息化进程中,信息安全问题得到重视。要求在 党政部门、要害部门使用具有国内自主产权的安全产品。
一、为何开展信息安全等级保护
1、背景 2、存在的问题 3、国外做法 4、现实要求
信息安全管理
6
南昌大学 软件学院
信息安全形势
现代化建设的许多方面已融入于网络(信息) 社 会之中,政府部门正在积极推进电子政务;金融、证 券部门正在稳健地开展网络化的服务业务(网上银行 支付和网上证券交易);商贸部门正在推动电子商务 的发展;国防部门积极研究网络信息战(现代战争的 形式)等。
(银行与金融、能源、运输、电信、信息技术、通用制造业、 化学制造业)、州和地方政府、高等教育机构。 第四级 国家机构和政策部门 第五级 全球
信息安全管理
12
南昌大学 软件学院
外部环境
➢ 美国联邦信息处理标准(FIPS)是国家标准与技术研究所 (NIST)制定的一类安全出版物,多为强制性标准。 FIPS 199 《联邦信息和信息系统安全分类标准》描述了 如何确定一个信息系统的安全类别。确定系统级别的落脚 点在于系统中所处理、传输、存储的所有信息类型的重要 性。
信息安全管理
13
南昌大学 软件学院
外部环境
FIPS 199按照“确定信息类型--确定信息的安全类别--确 定系统的安全类别”三个步骤进行系统最终的定级。
首先,确定系统内的所有信息类型。FIPS 199指出,一 个信息系统内可能包含不止一种类型的信息(例如隐私信 息、合同商敏感信息、专属信息、系统安全信息等)。
信息安全管理
14
南昌大学 软件学院
外部环境
据有关资料可以看出,信息技术已经改变了美国 企业和政府的运行方式,美国经济和国家安全对信 息技术和信息基础设施依赖性越来越强,网络直接 支撑着各个经济领域的运行。
综合上述情况,不难看出,美国政府在信息安全 领域采取的就是分级保护的策略。
信息安全管理
15
南昌大学 软件学院
现实要求
美国及西方发达国家为了抵御信息网络的脆弱性和安全 威胁,制定了一系列强化信息网络安全建设的政策和标准, 其中一个很重要思想就是按照安全保护强度划分不同的安全 等级,以指导不同领域的信息安全工作。
面对严峻的形势和严重的问题,如何解决我国信息安全问 题,是摆在我国政府、企业、公民面前的重大关键问题。
信息安全管理
7
南昌大学 软件学院
信息安全形势
信息是战略资源,是决策之本,是控制一个国家国 民经济与军事的灵魂。
由Internet的发展而带来的网络系统的安全问题正 变得突出,网络安全已成为关系国家安全的重大战 略问题。
运筹帷幄,决胜千里。
信息安全管理
8
南昌大学 软件学院
存在的问题
信息安全意识和安全防范能力薄弱,信息安全滞后 于信息化发展;
其次,根据三类安全目标,确定不同信息类型的潜在影响 级别(低、中、高)。
最后,按照“取高”原则,即选择系统内所有信息类型的 潜在影响级的较高级别作为系统的影响级(低、中、高)。 FIPS199确定系统级别的方法的重点是信息和信息系统的 级别建立在某些事件的发生会对机构产生潜在影响的基础 之上,根据安全目标(保密性、完整性和可用性)确定系 统所处理、存储、传输的信息的级别,从而确定系统级别。
程
信息安全管理
10
南昌大学 软件学院
存在的问题
西方发达国家信息技术优势明显,我国面临信息强 国的冲击、挑战和威胁,信息安全领域始终面临信 息战和网络恐怖袭击的威胁 ;
敌对势力的网上煽动、渗透和破坏活动愈加突出, 针对信息系统进行的破坏活动日益严重,利用网络 实施的违法犯罪案件持续大幅上升 。
信息安全管理
信息安全管理
17
南昌大学 软件学院
二、什么是等级保护
1、等级保护的含义 2、等级保护的发展 3、基本原则和要求 4 、职责分工
信息安全管理
18
南昌大学 软件学院
信息安全等级保护定义
《信息安全等级保护管理办法(试行)》:信息安全等级 保护是指对国家秘密信息、法人和其他组织及公民的专有 信息以及公开信息和存储、传输、处理这些信息的信息系 统分等级实行安全保护,对信息系统中使用的信息安全产 品实行按等级管理,对信息系统中发生的信息安全事件分 等级响应、处置。
➢ 信息和信息系统的“安全类别”是FIPS 199提出的一种 新的系统级别概念。该定义是建立在某些事件的发生直接 导致三类安全目标(保密性、完整性和可用性)的丧失, 从而对机构运行(使命,功能,形象,声誉)、机构资产 或个人产生潜在影响的基础之上。即,衡量指标是三性的 丧失而产生的“影响级”,FIPS 199定义了三种影响级: 低、中、高。