收藏
下载资源

电子政务信息安全等级保护的原理

上传人:re****.1 文档编号:562711632 上传时间:2023-09-16 格式:DOC 页数:53 大小:1.24MB
返回 下载 相关 举报
电子政务信息安全等级保护的原理_第1页
第1页 / 共53页
电子政务信息安全等级保护的原理_第2页
第2页 / 共53页
电子政务信息安全等级保护的原理_第3页
第3页 / 共53页
电子政务信息安全等级保护的原理_第4页
第4页 / 共53页
电子政务信息安全等级保护的原理_第5页
第5页 / 共53页
点击查看更多>>
资源描述

《电子政务信息安全等级保护的原理》由会员分享,可在线阅读,更多相关《电子政务信息安全等级保护的原理(53页珍藏版)》请在金锄头文库上搜索。

1、 关于电子政务信息安全等级保护相关文件的学习报告1 引言1.1 编写目的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004 年9 月发布的关于信息安全等级保护工作的实施意见(公通字200466 号,以下简称“66 号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。27 号文件和66 号文件不但

2、为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27 号文件要求,全面实施信息安全等级保护。因此,组织编制电子政务信息安全等级保护实施指南,规电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。1.2 适用围本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。1.3 文档结构本

3、指南包括五个章节和两个附录。第1章为引言,介绍了本指南的编写目的、适用围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以与系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域报护框架的建立,选择和调整安全措施,以与安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以与等级保护的运行改进。2 基本原理2.1 基本概念2.1.1 电子政务等级保护的基本含义信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平

4、,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27 号文件对信息安全等级保护做出了系统的描述“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。电子政务等级保护工作分为管

5、理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护诉讼的管理办法、定级指南、基本安全要求、等级评估规以与对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以与运行监控与改进。本指南的容主要针对用户层面的工作。电子政务信息安全等级保护遵三循以下原则:a)重点保护原则电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。b)“谁主管谁负责、谁运营谁负责”原则电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管

6、部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。c)分区域保护原则电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。d)同步建设原则电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。e) 动态调整原则由于信息与信息系统的应用类型、覆盖围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。2.1.2 电子政务安全等级

7、的层级划分66 号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。按66 号文件的规定,对电子政务的五个安全等级定义如表2-1 所示。2.1.3 电子政务等级保护的基本安全要求电子政务等级保护基本安全要对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。a) 安全策略安全策略

8、是为了指导和规电子政务信息安全工作而制定的安全方针、管理制度、规标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。b) 安全组织安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。c) 安全技术安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。d) 安全运行安全运行市委了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理

9、、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。具体的电子政务等级保护基本安全要求参见相关的国家标准。2.2 基本方法2.2.1 等级保护的要素与其关系电子政务等级保护的基本原理是:依据电子政务系统的使命、目标和重要程度,将系统划分为不同的安全等级,并综合平衡系统特定安全保护要求、系统面临安全风险情况和实施安全保护措施的成本,进行安全措施的调整和定制,形成与系统安全等级相适应的安全保障体系。电子政务等级保护包含以下七个要素:a) 电子政务系统电子政务系统是信息安全等级保护的对象,包括系统中的信息、系统所提供的服务,以与执行信息处理、存储、传输的软硬件设备等。

10、b) 目标目标是指电子政务系统的业务目标和安全目标,电子政务等级保护要保障业务目标和安全目标的实现。c) 电子政务信息安全等级电子政务信息安全等级划分为五级,分别体现在电子政务系统的等级和安全保护的等级两个方面。d) 安全保护要求不同的电子政务系统具有不同类型和不同强度的安全保护要求。e) 安全风险安全风险是指电子政务系统由于本身存在安全弱点,通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件发生的可能性与其造成的影响这两种指标来综合衡量。f) 安全保护措施安全保护措施是用来对抗安全风险、满足安全保护要求、保护电子政务系统和保障电子政务目标实现的措施,包括安全管理措施和安全技术措施

11、。g) 安全保护措施的成本不同类型和强度的安全保护措施的实现需要不同的成本,安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。电子政务等级保护各要素之间的关系是:a) 电子政务系统的安全等级由系统的使命、目标和系统重要程度决定。b) 安全措施需要满足系统安全保护要求,对抗系统所面临的风险。1) 不同电子政务系统的使命和业务目标的差异性,业务和系统本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了系统安全保护要求特性(安全保护要求的类型和强度)的差异性。2) 系统保护要求类型和强度的差异性,安全风险情况的差异性,决定了选择不同类型和强度的安全措施。c)

12、电子政务安全措施的确定需要综合平衡系统保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度、以与实施安全措施的成本,在适度成本下实现适度安全。2.2.2 电子政务等级保护实现方法27 号文件指出,实行信息安全等级保护时“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”。电子政务等级保护的实现方法如图2-1 所示:_电子政务系统实施等级保护的方法是:a)依据电子政务安全等级的定级规则,确定电子政务系统的安全等级;b)按照电子政务等级保

13、护要求,确定与系统安全等级相对应的基本安全要求;c)依据系统基本安全要求,并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定电子政务系统的安全保护措施,并依照本指南相关要求完成规划、设计、实施和验收。2.3 实施过程电子政务等级保护的实施过程包括三个阶段,分别为:a)定级阶段b)规划与设计阶段c)实施、等级评估与改进阶段电子政务等级保护的基本流程如图2-2 所示:第一阶段:定级定级阶段主要包括两个步骤:a)系统识别与描述清晰地了解政务机构所拥有的电子政务系统,根据需要将复杂电子政务系统分解为电子政务子系统,描述系统和子系统的组成与边界。b

14、)等级确定完成电子政务系统总体定级和子系统的定级。第二阶段:规划与设计规划与设计阶段主要包括三个步骤,分别为:系统分域保护框架建立通过对电子政务系统进行安全域划分、保护对象分类,建立电子政务系统的分域保护框架。b)选择和调整安全措施根据电子政务系统和子系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本,以与各系统特定安全要求,选择和调整安全措施,确定出电子政务系统、子系统和各类保护对象的安全措施。c)安全规划和方案设计根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术解决方案和安全管理解决方案。第三阶段:实施、等级评估与改进实施、等级评估与改进阶

15、段主要包括三个步骤,分别为:a)安全措施的实施依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。b)评估与验收按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。c)运行监控与改进运行监控是在实施等级保护的各种安全措施之后的运行期间,监控系统的变化和系统安全风险的变化,评估系统的安全状况。如果经评估发现系统与其风险环境已发生重大变化,新的安全保护要求与原有的安全等级已不相适应,则应进行系统重新定级。如果系统只发生部分变化,例如发现新的系统漏洞,这些改变不涉与系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。对于大型复杂电子政务系统,等级保护过程可以根据实际情况进一步加强和细化,以满足其复杂性的要求。附录B 给出了大型复杂电子政务系统等级保护实施过程的示例。新建电子政务系统的等级保护工作与已经建成的电子政务系统之间,在等级保护工作的切入点方面是不一样的,它们各自的切入点与其对应关系如图2-3 所示。新建电子政务系统在启动时,应当按

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 劳务/用工合同

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号