《信息安全等级保护制度的提出课件》由会员分享,可在线阅读,更多相关《信息安全等级保护制度的提出课件(88页珍藏版)》请在金锄头文库上搜索。
1、医疗卫生行业信息安全等级保护实施体系化方法东风总医院冯淑凯主要内容 信息安全等级保护制度信息安全等级保护制度 信息安全等级保护的体系化实施信息安全等级保护制度 信息安全等级保护制度的提出信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护制度的提出 计算机病毒、黑客攻击、软硬件故障等信息安全问题给各类组织造成了极大的风险 信息安全问题不仅仅是组织自身的事情,也涉及到国家和社会安全 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全尤为重要信息安全等级保护制度的提出 1994年,国务院发布了中华人民共和国计算机信息系统安全保护条例(14
2、7号令)条例第九条明确规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日,计算机信息系统安全保护等级划分准则(GB17859-1999)发布,是我国计算机信息系统安全保护等级工作的基础 2003年,国家信息化领导小组关于加强信息安全保障工作的意见(27号)明确指出“实行信息安全等级保护”信息安全等级保护制度的提出 2004年,公安部、保密局、密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见(66号文件),明确了等级保护的原则、内容、要求以及部门分工和实施计划 2007年,公安部、保密局、密码管理局、国
3、信办联合制定了信息安全等级保护管理办法,标志着我国等级保护制度的初步形成信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护发展现状 测评工作 公信安2010303号关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,要求2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等
4、级保护体系信息安全等级保护体系信息安全等级保护标准体系 安全等级保护划分准则 GB17859-1999 我国等级保护制度的基础性标准,规定了计算机信息系统安全保护能力的五个级别第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级 针对每个级别,详细列出了等级划分准则信息安全等级保护标准体系 信息系统安全保护等级定级指南GB/T 22240-2008 用于指导信息系统的建设单位和运营、使用单位如何对确定的信息系统进行定级,为信息系统等级保护的实施提供基础和依据 定级要素 受侵害的客体:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利
5、益;c)国家安全 对客体的侵害程度:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。信息安全等级保护标准体系 信息系统安全保护等级定级指南GB/T 22240-2008对客体的侵害程度受侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全一般损害第一级第二级第三级严重损害第二级第三级第四级特别严重损害第二级第四级第五级业务信息安全和系统服务安全业务信息安全和系统服务安全信息系统与之相关的信息系统与之相关的受侵害客体受侵害客体和和对客体的侵害对客体的侵害程度程度可能不同,因此,信息系统定级也应由可能不同,因此,信息系统定级也应由业务业务信息安全信息安全和和系统服务安全系统
6、服务安全两方面确定。两方面确定。从业务信息安全角度反映的信息系统安全保护等级从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。称系统服务安全等级。两种安全的定义两种安全的定义对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息信息安全安全的破坏和对信息信息系统服务系统服务的破坏,其中:信息安全信息安全是指确保信息系统内信息的保密性、完整性和可用性等;系统服务安全系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标;由于业务
7、信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。定级流程信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 针对每个等级的信息系统提出相应安全保护要求,这些要求的实现能够保证系统达到相应等级的基本保护能力 用途 为信息系统的建设单位和运营、使用单位如何对确定等级的信息系统进行保护
8、提供技术指导 为信息系统主管部门、信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据 为监管部门的监督检查提供依据信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 基本技术类要求 与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现 基本管理类要求 与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 基本技术类要求的三种类型 保护数据在存储
9、、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A)通用安全保护类要求(简记为G)信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 不同等级的信息系统应具备的基本安全保护能力 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源
10、发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 不同等级的信息系统应具备的基本安全保护能力 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。第四级安全保护能力:应能够在统一安全策略下防护系统免
11、受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。信息安全等级保护标准体系 其他已发布的重要信息安全等级保护国家标准 信息安全技术 信息系统安全管理要求GB/T 20269-2006 信息安全技术 信息系统安全通用技术要求GB/T 20271-2006 信息安全技术 信息系统安全工程管理要求GB/T 20282-2006主要内容 信息安全等级保护制度 信息安全等级保护的体系化实施信息安全等级保护的体系化实施信息安全等级保护的体系化实施 体系化管理方法体
12、系化管理方法 信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程-从管理的定义说起体系化管理方法 什么是管理?administeradministrationadministratormanagemanagementmanager18世纪工业革命(1700S)体系化管理方法“管管”中国古代春秋战国康熙19年(1680)-从管理的定义说起“理理”管理管理体系化管理方法-从管理的定义说起 管理的定义 ISO9000:2000 质量管理体系 基础和术语 管理management:指挥和控制组织的协调的活动 管理学 管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力
13、等资源,以期有效达成组织目标的过程。管理是一种理论,也可以说是一种方法或工具,与具体业务相结合的时候,便形成不同领域、不同门类的管理科学,例如经济管理、质量管理、信息安全管理等体系化管理方法-管理的体系化 质量管理领域率先提出体系化方法 质量管理的体系化方法衍生于军品的质量保证要求 1979年,ISO成立了质量管理和质量保证技术委员会负责制定质量管理和质量保证标准,1987年发布了ISO9000质量管理和质量保证标准选择和使用指南、ISO9001质量体系 设计开发、生产、安装和服务的质量保证模式以及ISO9002、ISO9003、ISO9004等标准 质量管理的体系化模式取得广泛应用之后,体系
14、化方法也逐渐在其他领域运用,例如环境管理领域、职业健康安全管理领域等,这种管理的体系化方法也逐渐发展为一个特殊的领域,即管理体系体系化管理方法-管理的体系化图释图释增值活动增值活动信息流信息流体系化管理方法-管理的体系化要素 在管理体系方法中,应用了下列要素:过程方法 PDCA模型 管理职责 资源管理 持续改进等体系化管理方法-过程方法 过程 process 一组将输入转化为输出的相互关联或相互作用的活动 过程方法 process approach 系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为过程方法。-过程方法记记 录录体系化管理方法责任人责任人输入输入资资 源源测量
15、、改进测量、改进输出输出体系化管理方法-PDCA模型 PDCA模型:持续改进的优秀方法A PC D体系化管理方法-PDCA模型 PDCA模型:持续改进的优秀方法 又称戴明环,PDCA循环是能使任何一项活动有效进行的工作程序:策划实施检查处置体系化管理方法-PDCA模型 PDCA的特点一 按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环PDAC体系化管理方法-PDCA模型 PDCA的特点二 组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题PDACA PC DA PC D体系化管理方法-PDCA模型 PDCA的特点三 每通过一次PDCA 循环,都
16、要进行总结,提出新目标,再进行第二次PDCA 循环PAC DPAC D体系化管理方法-管理职责 管理职责是指管理活动中,管理者应该具备的职责要求 有人认为这应该是一个很简单的活动 质量管理中,当质量与进度产生冲突时,往往是质量让进度!信息安全管理中,安全与方便性、安全与日常习惯发生矛盾时,安全管理如何保证?管理职责的重要性就在于此,作为管理者,在任何时刻都应毫无疑义的坚持管理的要求体系化管理方法-资源管理 在整个管理活动中,如何分配人员、能否保证资金、如何配备物品,是影响实现管理目标的关键要素 人员无疑是资源管理中最难控制的部分 人员的评价:是否满足岗位的要求 人员的培训:确定需求、实施培训、培训效果评价 人员的持续发展:确保人员能够一直满足岗位要求体系化管理方法-持续改进 不断对管理活动进行检查,发现问题及时采取改进措施,从而实现持续的改进 检查方式 内部审核 管理评审等 改进措施 纠正措施:为消除已发现的不符合或其他不期望情况的原因所采取的措施 预防措施:为消除潜在不符合或其他潜在不期望情况的原因所采取的措施信息安全等级保护的体系化实施 体系化管理方法 信息安全等级保护工作的体系化
