最新《信息系统安全等级保护实施指南》培训教材.doc
《最新《信息系统安全等级保护实施指南》培训教材.doc》由会员分享,可在线阅读,更多相关《最新《信息系统安全等级保护实施指南》培训教材.doc(174页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date信息系统安全等级保护实施指南培训教材信息系统安全等级保护实施指南信息系统安全等级保护实施指南培训教材本教材主要通过对信息系统安全等级保护实施指南(以下简称实施指南)的主要作用、内容等进行介绍,使培训人员能够清楚了解等级保护的整个实施过程,以便各项工作的开展。1 概述1.1 主要作用信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系”,管理规范和
2、技术标准体系是等级保护工作的基础,在关于信息安全等级保护工作的实施意见(公通字200466号,以下简称“66号文件”)的职责分工和工作要求中指出:l 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级;l 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工;l 信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估;l 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信
3、息系统的安全等级保护状况进行监督检查。从上述“66号文件”描述的内容中可以看出,信息安全等级保护工作的主要内容包括“等级确定”、“安全建设”、“安全测评”和“监督检查”等,完成上述工作的主要依据是等级保护的管理规范和技术标准。信息安全等级保护的实施过程中涉及到的各类组织、需完成的工作以及依据的基础如下图所示:主管部门运营、使用单位主管部门安全服务商监管部门系统定级安全保护检测评估监督检查技术标准管理规范图1-1 技术标准和管理规范的作用除了“66号文件”中提到的“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”外,信息安全等级保护的实施过程中涉及到各类组织和人员实际还包括信息
4、安全服务商、安全测评机构等,它们配合“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”共同进行信息安全等级保护工作。为使信息安全等级保护的实施过程中涉及到的各类组织和人员能够顺利地完成信息安全等级保护工作,需要一个技术标准为实施的各方提供指导,这个标准就是实施指南。实施指南的主要作用包括:1) 作为系统等级保护实施的指南性文件指导对一个信息系统实施安全等级保护的参与各方,如何在等级保护实施过程的各个阶段开展相应的活动,给出阶段活动的内容、控制方法和输出结果。2) 作为等级保护标准体系的指引性文件介绍实施信息系统等级保护过程中,在不同阶段和从事不同活动中,如何使用等级保护标准体
5、系中的其他等级保护相关标准。1.2 主要思路对信息系统实施等级保护的过程是一个工程过程,其工程活动将覆盖到信息系统生命周期的各个阶段,其核心内容是对信息系统实施安全保护,到目前为止,对信息系统实施安全保护的方法论有很多,主要流行的方法包括风险管理方法和安全工程方法。1. 风险管理的思路介绍风险管理的材料有很多,其中ISO/IEC 13335、NIST-SP800-30、“加拿大风险管理工作指南”等是典型的通过风险管理的手段对信息系统实施保护的参考材料。各种资料介绍的风险管理方法在细节方面可能有所差别,但是总体思路基本一致。采用风险管理方法对信息系统进行保护的基本步骤是:1)风险分析和风险评估可
6、以采用各种方法(ISO/IEC13335等)对信息系统面临的风险进行分析,包括资产分析、弱点分析、威胁分析、现有保护措施分析、风险分析,得到现有系统的安全风险状况。2)风险规避针对在风险分析和风险评估步骤得到的系统安全风险信息,选择可能采用的可以消除、减低、转移风险的风险规避策略。根据风险规避策略,进一步选择所要采取的安全措施,此时既要考虑安全风险的排序,也应考虑安全措施投入和安全保护效果之间平衡,最终形成安全改进的设计方案(PLAN)。大多数风险管理方法的文件或指南将论述重点放在风险分析、风险评估和风险规避方面,作为完整的风险管理过程,除此之外还有安全措施的实施和实现、系统运行维护等工作过程
7、。尤其是当系统发生变化、环境发生变化或残余风险不能接受时,应进入另一个风险管理过程,以此循环形成闭环。如果从工程的角度看待风险管理方法,可以将风险分析和风险评估过程看作是确定安全需求的过程,风险规避过程可以看作是安全需求定义和安全规划设计的过程。2. 安全工程的思路SSE-CMM和ISSE是典型的介绍通过安全工程的手段对信息系统实施保护的参考材料。SSE-CMM和ISSE是具有代表性的从工程角度考虑对信息系统进行保护的方法论,两者在描述风格上差异较大,但是总体思路实际上没有太大差别。SSE-CMM认为对信息系统进行保护应该执行以下几个过程:1)风险过程风险过程包括四个主要活动:威胁分析、弱点分
8、析、影响分析和风险分析。2)工程过程工程过程包括五个主要活动:确定安全需求、提供安全输入、管理安全措施、监控安全状态和安全活动的协调。3)保证过程保证过程包括两个主要活动:验证和确认安全、提供安全保证证据。ISSE认为对信息系统进行保护应该执行以下一些活动:a) 发现系统保护需求b) 定义系统安全需求c) 设计系统安全框架d) 开发详细安全设计e) 实施系统安全f) 评估系统保护有效性SSE-CMM描述了安全工程的方法论,论述了对信息系统进行保护的主要活动和控制方法。ISSE则描述了安全工程的主要活动。仔细分析SSE-CMM和ISSE,实际上两者的内容基本一致,只是描述风格上差异较大。SSE-
9、CMM和ISSE从工程角度描述信息系统的保护过程,并且将工程活动与信息系统的生命周期进行对应,更容易被人们理解和接受。3. 实施指南的主要思路在对信息系统实施等级保护的过程中,风险分析可以作为一种辅助手段。等级保护的相关标准对不同级别的信息系统提出了基本保护要求,基本保护要求是系统安全建设的基础,但是不同的信息系统由于其本身的特性,除基本保护要求外,还有其特殊的安全需求,可以通过风险分析的方法选择需要补充的安全措施,从而在等级保护的基础上,体现各系统防护措施的特殊性。对信息系统实施等级保护的过程也是一个工程过程,其主要思路可以借鉴安全工程的思路,但是由于对信息系统实施等级保护的过程是以信息系统
10、的合理定级活动开始的,与安全工程相比,考虑问题的思路和方法都将有所不同,具体活动也会有所区别。安全工程的方法论可以作为信息系统实施安全等级保护的一种借鉴,但须根据等级保护的特点补充和完善与等级保护相关的特定工程活动,比如信息系统的划分活动、信息系统的定级活动、信息系统等级保护安全策略规划活动等等。与风险管理和安全工程不同,实施信息系统等级保护的第一个步骤是确定保护对象,即信息系统的安全等级,然后根据确定的安全等级对信息系统进行符合相应等级保护要求的安全建设和安全管理。对信息系统实施等级保护涉及很多活动,包括系统定级、参照等级保护基本要求的安全措施选择、安全方案的设计、安全工程的实施、系统安全运
11、行管理等等,上述活动均在实施指南中有所描述。对信息系统实施等级保护过程中所涉及的活动分散在信息系统生命周期的不同阶段进行,有些活动之间具有一定的继承性,也就是说必须在一个活动完成后才能进行下一个活动,比如必须进行安全方案设计,完成后才能进行安全工程实施,有些活动没有明显的继承性,比如系统的安全状态监控和系统的变更管理控制。为了保证实施指南对活动描述的全面性,实施指南应覆盖信息系统生命周期所有阶段的安全活动。基于上述的分析,实施指南的编制基本思路为:1) 以信息系统等级保护建设为主要线索如前所述,信息系统等级保护的实施过程中涉及到各类组织和人员,他们将会参与不同的或相同的活动,比如信息系统的主管
12、单位和信息系统的运营单位将参与系统定级活动,如果委托安全服务商进行定级,则安全服务商也会参与定级活动;又如信息系统的运营单位可以自己完成风险分析活动,也可以委托安全服务商完成风险分析活动。实施指南面临的使用对象将是信息系统的主管单位、运营使用单位、技术支持单位、监督管理机构等,为了保证实施指南的描述有一个清晰的思路,各类使用人员都能够理解和较好地使用,实施指南并不以某个特定单位的活动为主线进行描述,而是以信息系统等级保护建设所要从事的活动为主线进行描述,有些活动可能是这个单位执行的,另一些活动可能是另一个单位执行的。实施指南的读者根据自己的角色和从事的活动选择相应的内容作为指导。2) 定义信息
13、系统等级保护实施的基本流程对信息系统实施等级保护涉及的活动有很多,根据安全的动态性和安全工程的循环理论,很多活动需要重复执行,从而保证安全保护的有效性,虽然安全保护是一个不断循环和不断提高的过程,但是实施信息系统等级保护的一次完整周期流程是可以区分清楚的,比如从系统定级到最终的系统安全运行维护,为了便于清晰划分信息系统等级保护的一次实施过程,有必要定义信息系统等级保护实施的一个基本流程。实施指南根据信息系统等级保护实施的特点,结合风险管理和安全工程方法提出信息系统等级保护实施的基本流程,将等级保护实施过程划分为几个不同的阶段,然后分章节介绍和描述不同阶段的安全活动,指导系统建设者和系统运营者在
14、系统建设和运营期间更好地同步进行等级保护建设。通过对信息系统等级保护实施基本流程的提出,更好地描述信息系统等级保护实施的不断循环过程;级别变更可能触发另一个等级保护实施流程的执行;风险评估和安全测评可能导致等级保护实施流程中局部活动的重复执行等。3)介绍和描述每个阶段主要的实施过程和主要活动为了便于用户使用实施指南,实施指南根据基本实施流程的阶段划分,分为不同的章节,每个阶段对应一章。每一章介绍和描述本阶段所要进行的过程和主要安全活动,如果过程具有顺序性,将用流程图的形式表述过程的执行过程,如果没有顺序性,则用框图分别表述每一个过程活动。实施指南将每个过程作为章下的节,每一节详细描述过程的内容
15、,包括过程可能的实施主体,主要的活动内容和工作方法,过程的输入和输出内容。1.3 使用对象实施指南以信息系统的生命周期为主线,描述信息系统安全等级保护实施的基本过程,而信息系统安全等级保护实施过程本身是一个多方参与的工作,将会涉及到各类组织,所以实施指南的使用对象包括信息系统安全等级保护实施过程中的参与各方。具体包括:国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。1) 国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护
16、工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。2) 信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。3) 信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息等级保护管理规范和技术标准,进行信
17、息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。4) 信息安全服务机构负责依据信息系统运营、使用单位的委托,按照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安
18、全建设和安全改造等。5) 信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。6) 信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。1.4 基本结构实施指南包括9章,1个附录。第1、2、3章为标准的固定格式要求,说明实施指南标准的使用范围、引用的其他标准、使
19、用到的术语和定义。第4章总体描述信息系统等级保护的实施过程,包括实施过程中涉及到的各种角色和职责、实施的基本原则、实施的基本流程。第5、6、7、8、9章分别根据等级保护实施流程划分的阶段,说明每个阶段的主要实施过程。每章以阶段名称作为一级标题,以主要过程作为二级标题,主要活动要素作为三级标题,说明信息系统安全等级保护的实施活动。附录A为主要过程的输出列表。2 基本实施过程2.1 一些主要概念1、信息系统安全保护等级 信息系统重要程度的表征。重要程度以信息系统受到破坏后,对国家安全、社会秩序、经济建设和公共利益造成的损害程度来衡量。2、信息系统安全等级保护 对信息系统分等级实施安全保护。3、信息
20、系统生命周期信息系统从存在到消失的整个时间周期。通常观点认为信息系统生命周期包括五个阶段,即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。4、阶段和阶段目标信息系统生命周期中,具有代表性的时段划分,称为阶段。通常以经历一系列相关的过程,完成一系列相关的活动,产生一个标志性结果为划分依据。在信息系统安全等级保护实施中,划分为信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统废弃几个阶段。每个阶段内期望达到的结果的描述,称为阶段目标。5、主要活动和活动目标实施指南中,按照阶段、过程、活动、子活动的分解方式进行描述,每个阶段的每个过程中,具有代表性的活动
21、,称为主要活动。通常以为达到阶段目标而必须完成的活动为表述依据。例如在信息系统安全等级保护实施中,信息系统定级阶段的主要过程分为信息系统分析和安全等级确定,其中信息系统分析过程的主要活动划分为系统识别和描述、信息系统分解等几个主要活动。每个主要活动期望达到的结果的描述,称为活动目标。7、参与角色每个活动或活动过程的参与人员,称为参与角色。在实施指南中,参与角色的最小度量为“单位”,参与角色分为国家管理部门、信息系统主管部门、信息系统运营使用单位、信息安全服务机构、信息安全等级测评机构、信息安全产品供应商等。8、子活动和工作内容主要活动进一步分解后的活动,称为子活动。子活动中需要完成的工作的描述
22、称为工作内容。在实施指南中,大部分的主要活动均分解为若干个子活动,并对子活动内容进行详细描述,子活动通常由主要活动的参与角色完成。9、活动输入和活动输出为完成主要活动或子活动,需要的文件资料称为活动输入;主要活动或子活动完成后,产生的文件资料称为活动输出。在实施指南中,对各类主要活动描述了活动输入和活动输出的文档资料名称。10、相互之间的关系实施指南中,各个主要概念之间的关系如下图所示:信息系统生命周期阶段阶段主要过程活动阶段目标过程目标子活动活动流程参与角色工作内容输入与输出图1-2 基本概念之间的关系2.2 基本实施流程对一个信息系统实施等级保护的过程本质上是对信息系统进行安全保护的过程,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全等级保护实施指南 最新 信息系统安全 等级 保护 实施 指南 培训教材
限制150内