信息安全讲座课件 ISM03 信息安全等级保护与风险评估.ppt

《信息安全讲座课件 ISM03 信息安全等级保护与风险评估.ppt》由会员分享，可在线阅读，更多相关《信息安全讲座课件 ISM03 信息安全等级保护与风险评估.ppt（70页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第三章信息安全等级保护与风险评估主要内容1.1.重点和难点重点和难点信息系统安全等级确定信息系统安全等级确定；信息系统安全风险评估信息系统安全风险评估2.2.知识点知识点信息安全等级保护制度信息安全等级保护制度信息系统安全等级保护实施信息系统安全等级保护实施信息系统安全等级确定信息系统安全等级确定 信息系统安全等级保护要求信息系统安全等级保护要求信息系统安全风险评估信息系统安全风险评估 2023/2/21信息安全管理1.1.1.1.信息安全等级保护信息安全等级保护信息安全等级保护信息安全等级保护定义定义定义定义 信息安全等级保护信息安全等级保护，是指对国家秘密信息、法人和其他组，是指对国家秘密

2、信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息的信息系统信息系统分等级实行安全保护，对信息系统中使用的分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安信息安全产品实行按等级管理，对信息系统中发生的信息安全事件按照等级进行响应和处置等。全事件按照等级进行响应和处置等。3.1 信息安全等级保护制度信息安全等级保护制度2023/2/22信息安全管理2.2.2.2.国家关于国家关于国家关于国家关于信息安全等级保护管理信息安全等级保护管理信息安全等级保护管理信息安全等级保护管理

3、的举措的举措的举措的举措 1994年国务院发布的计算机信息系统安全保护条例年国务院发布的计算机信息系统安全保护条例第第9条规定：条规定：“计算机信息系统实行安全等级保护。安全等级计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。部门制定。”1999年，公安部正式发布信息系统安全等级保护的国家年，公安部正式发布信息系统安全等级保护的国家标准标准GB 17859 1999，将计算机信息系统的安全级别明确，将计算机信息系统的安全级别明确划分为五级并且提出了具体要求。划分为五级并且提出了具体要求。3

4、.1 信息安全等级保护制度信息安全等级保护制度2023/2/23信息安全管理 2003年中央办公厅、国务院办公厅转发的国家信息化年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发领导小组关于加强信息安全保障工作的意见（中办发200327号）中明确指出：号）中明确指出：“要重点保护基础信息网络和关系要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。理办法和技

5、术指南。”2004年公安部等四部委关于信息安全等级保护工作的年公安部等四部委关于信息安全等级保护工作的实施意见（公通字实施意见（公通字200466号）也指出，信息安全等级号）也指出，信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。共利益，保障和促进信息化建设健康发展的一项基本制度。3.1 信息安全等级保护制度信息安全等级保护制度2023/2/24信息安全管理 2007年年6

6、 月月公安部、国家保密局、国家密码管理局公安部、国家保密局、国家密码管理局和国务院信息工作办公室联合制定并下发了和国务院信息工作办公室联合制定并下发了信息信息安全等级保护管理办法安全等级保护管理办法（公通字（公通字200743号号），），以期以期加快推进信息安全等级保护，规范信息安全等加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息国家安全、社会稳定和公共利益，保障和促进信息化建设化建设。3.1 信息安全等级保护制度信息安全等级保护制度2023/2/25信息安全管理3.3

7、.3.3.信息系统安全等级划分信息系统安全等级划分信息系统安全等级划分信息系统安全等级划分 根据根据信息系统安全等级保护实施指南信息系统安全等级保护实施指南的规定，信息系的规定，信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统实行不同强度的监管政策。统实行不同强度的监管政策。第一级第一级：自主保护级自主保护级 其主要对象为一般的信息系统，其主要对象为一般的信息系统，该该信息系统受到破坏后，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和

8、公共利益。国家安全、社会秩序和公共利益。本级系统依照国家管理规本级系统依照国家管理规范和技术标准进行自主保护。范和技术标准进行自主保护。3.1 信息安全等级保护制度信息安全等级保护制度2023/2/26信息安全管理第二级：指导保护级第二级：指导保护级其主要对象为一般的信息系统，该其主要对象为一般的信息系统，该信息系统受到破坏后，会信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。社会秩序和公共利益造成损害，但不损害国家安全。本级系本级系统依照国家管理规范和技术标准进行自主保

9、护，必要时信息统依照国家管理规范和技术标准进行自主保护，必要时信息安全监管职能部门对其进行指导。安全监管职能部门对其进行指导。第三级第三级：监督保护级监督保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，信息系统，该该信息系统受到破坏后，会对社会秩序和公共利信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。益造成严重损害，或者对国家安全造成损害。本级系统依照本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。部

10、门对其进行监督、检查。3.1 信息安全等级保护制度信息安全等级保护制度2023/2/27信息安全管理第四级第四级：强制保护级强制保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，信息系统，该该信息系统受到破坏后，会对社会秩序和公共利信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。益造成特别严重损害，或者对国家安全造成严重损害。本级本级系统依照国家管理规范和技术标准进行自主保护，信息安全系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。监管职能部门对其

11、进行强制监督、检查。第五级第五级：专控保护级专控保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，信息系统的核心子系统，该该信息系统受到破坏后，会对国家信息系统受到破坏后，会对国家安全造成特别严重损害。安全造成特别严重损害。本级系统依照国家管理规范和技术本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。监督、检查。3.1 信息安全等级保护制度信息安全等级保护制度2023/2/28信息安全管理4.4.4.4.信息系统安全等

12、级保护相关标准信息系统安全等级保护相关标准信息系统安全等级保护相关标准信息系统安全等级保护相关标准 到目前为止，我国正式颁布的信息系统安全等级保护的强到目前为止，我国正式颁布的信息系统安全等级保护的强制性国家标准是制性国家标准是GB 17859 1999计算机信息系统安全保计算机信息系统安全保护等级划分准则，该准则于护等级划分准则，该准则于1999年年9月月13日经国家质量技术日经国家质量技术监督局发布，监督局发布，2001年年1月月1日起实施。随后围绕日起实施。随后围绕GB 17859 1999编写和制定了一系列与信息系统安全等级保护有关的标编写和制定了一系列与信息系统安全等级保护有关的标准

13、和指南，旨在规范和指导信息系统安全等级保护实施过程准和指南，旨在规范和指导信息系统安全等级保护实施过程中的活动。目前，这一系列的标准和指南包括：中的活动。目前，这一系列的标准和指南包括：3.1 信息安全等级保护制度信息安全等级保护制度2023/2/29信息安全管理 GB 17859-1999计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GA/T 390-2002计算机信息系统安全等级保护通用技术要求计算机信息系统安全等级保护通用技术要求 GA/T 388-2002计算机信息系统安全等级保护操作系统技术要求计算机信息系统安全等级保护操作系统技术要求 GA/T 389-20

14、02计算机信息系统安全等级保护数据库管理系统计算机信息系统安全等级保护数据库管理系统技术要求技术要求 GA/T 387-2002计算机信息系统安全等级保护网络技术要求计算机信息系统安全等级保护网络技术要求 GA/T 391-2002计算机信息系统安全等级保护管理要求计算机信息系统安全等级保护管理要求 信息安全技术信息安全技术信息系统安全等级保护实施指南信息系统安全等级保护实施指南 信息系统安全保护等级定级指南信息系统安全保护等级定级指南 信息安全技术信息安全技术信息系统安全等级保护基本要求信息系统安全等级保护基本要求 信息系统安全等级保护测评准则信息系统安全等级保护测评准则3.1 信息安全等级

15、保护制度信息安全等级保护制度2023/2/210信息安全管理1.1.1.1.基本原则基本原则基本原则基本原则 等级保护的核心是对信息系统分等级、按标准进行建设、等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。管理和监督。等级保护在实施过程中应遵循的基本原则：等级保护在实施过程中应遵循的基本原则：自主保护原则自主保护原则 由各主管部门和运营、使用单位按照国家相关法规和标准，由各主管部门和运营、使用单位按照国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护自主确定信息系统的安全等级，自行组织实施安全保护 同步建设原则同步建设原则 信息系统在新建、改建、扩建时应当同步

16、规划和设计安信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应安全与信息化建设相适应3.2 信息系统安全等级保护实施信息系统安全等级保护实施2023/2/211信息安全管理 重点保护原则重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同的安根据信息系统的重要程度、业务特点，通过划分不同的安全等级，实现不同强度的安全保护，集中资源优先保护涉及全等级，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。核心业务或关键信息资产的信息系统。适当

17、调整原则适当调整原则 要跟踪信息系统的变化情况，调整安全保护措施。因为信要跟踪信息系统的变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。级的调整情况，重新实施安全保护。3.2 信息系统安全等级保护实施信息系统安全等级保护实施2023/2/212信息安全管理2.2.2.2

18、.参与角色参与角色参与角色参与角色 信息系统主管部门信息系统主管部门 信息系统运营、使用单位信息系统运营、使用单位 信息系统安全服务商信息系统安全服务商 信息安全监管机构信息安全监管机构 安全测评机构安全测评机构 安全产品供应商安全产品供应商 3.2 信息系统安全等级保护实施信息系统安全等级保护实施2023/2/213信息安全管理3.3.3.3.实施过程实施过程实施过程实施过程 对信息系统实施等级保护的过程划分为五个阶段，具体如对信息系统实施等级保护的过程划分为五个阶段，具体如下图：下图：3.2 信息系统安全等级保护实施信息系统安全等级保护实施2023/2/214信息安全管理4.4.4.4.安

19、全等级保护与信息系统生命周期的关系安全等级保护与信息系统生命周期的关系安全等级保护与信息系统生命周期的关系安全等级保护与信息系统生命周期的关系 信息系统生命周期包括五个阶段：信息系统生命周期包括五个阶段：启动准备阶段启动准备阶段、设计设计/开发阶段开发阶段、实施实施/实现阶段实现阶段、运行维护阶段运行维护阶段和和系统终止阶段系统终止阶段。安全等级保护工作将贯。安全等级保护工作将贯穿信息系统生命周期的各个阶段。穿信息系统生命周期的各个阶段。3.2 信息系统安全等级保护实施信息系统安全等级保护实施2023/2/215信息安全管理1.信息系统安全保护等级的信息系统安全保护等级的定级因素定级因素 信息

20、系统的安全保护等级应当根据信息系统在国家安全、信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定。从另一个角度看，经济建设、社会生活中的重要程度决定。从另一个角度看，信息系统重要程度越高，其遭到破坏后对国家安全、经济建信息系统重要程度越高，其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。权益的危害程度也越高。信息系统安全保护等级的定级要素：信息系统安全保护等级的定级要素：等级保护对象受到破坏时所侵害的客体等级保护对象受到破坏时所侵害的客体对客体造成侵害的

21、程度对客体造成侵害的程度 3.3 信息系统安全信息系统安全保护等级确定保护等级确定2023/2/216信息安全管理(1)受侵害的客体受侵害的客体公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益社会秩序、公共利益社会秩序、公共利益国家安全国家安全(2)对客体的侵害程度对客体的侵害程度 造成一般损害造成一般损害 造成严重损害造成严重损害 造成特别严重损害造成特别严重损害 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2023/2/217信息安全管理 3.3 信息系统安全信息系统安全保护保护等级确定等级确定受侵害的客体受侵害的客体对客体的侵害程度对客体的侵害程度一般一般损损害害

22、严严重重损损害害特特别严别严重重损损害害公民、法人和其他组织的合公民、法人和其他组织的合法权益法权益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级表表3-1 定级要素与安全保护等级的关系表定级要素与安全保护等级的关系表 2023/2/218信息安全管理2.定级一般流程定级一般流程 3.3 信息系统安全信息系统安全保护保护等级确定等级确定3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统

23、服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表32依据表331、确定定级对象2023/2/219信息安全管理3.3 信息系统安全信息系统安全保护保护等级确定等级确定3.确定定级对象确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。为若干个较小的、可能具有不同安全保护等级

24、的定级对象。作为定级对象的信息系统应具有如下基本特征：作为定级对象的信息系统应具有如下基本特征：具有唯一确定的安全责任单位具有唯一确定的安全责任单位 具有信息系统的基本要素具有信息系统的基本要素 承载单一或相对独立的业务应用承载单一或相对独立的业务应用 2023/2/220信息安全管理4.确定确定受侵害的客体受侵害的客体(1)侵害国家安全的事项侵害国家安全的事项影响国家政权稳固和国防实力影响国家政权稳固和国防实力影响国家统一、民族团结和社会安定影响国家统一、民族团结和社会安定影响国家对外活动中的政治、经济利益影响国家对外活动中的政治、经济利益影响国家重要的安全保卫工作影响国家重要的安全保卫工作

25、影响国家经济竞争力和科技实力影响国家经济竞争力和科技实力其他影响国家安全的事项。其他影响国家安全的事项。3.3 信息系统安全信息系统安全保护保护等级确定等级确定2023/2/221信息安全管理(2)(2)(2)(2)侵害社会秩序的事项侵害社会秩序的事项侵害社会秩序的事项侵害社会秩序的事项 影响国家机关社会管理和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序 影响各种类型的经济活动秩序影响各种类型的经济活动秩序影响各种类型的经济活动秩序影响各种类型的经济活动秩序 影响各行业的科研、生产秩序影响各行业的科研

26、、生产秩序影响各行业的科研、生产秩序影响各行业的科研、生产秩序 影响公众在法律约束和道德规范下的正常生活秩序等影响公众在法律约束和道德规范下的正常生活秩序等影响公众在法律约束和道德规范下的正常生活秩序等影响公众在法律约束和道德规范下的正常生活秩序等 其他影响社会秩序的事项其他影响社会秩序的事项其他影响社会秩序的事项其他影响社会秩序的事项 (3)(3)(3)(3)影响公共利益的事项影响公共利益的事项影响公共利益的事项影响公共利益的事项 影响社会成员使用公共设施影响社会成员使用公共设施影响社会成员使用公共设施影响社会成员使用公共设施 影响社会成员获取公开信息资源影响社会成员获取公开信息资源影响社会

27、成员获取公开信息资源影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面影响社会成员接受公共服务等方面影响社会成员接受公共服务等方面影响社会成员接受公共服务等方面 其他影响公共利益的事项其他影响公共利益的事项其他影响公共利益的事项其他影响公共利益的事项 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2023/2/222信息安全管理(4)(4)影响公民、法人和其他组织的合法权益是指由法律确认的影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益权利和利益 确确定定作作

28、为为定定级级对对象象的的信信息息系系统统受受到到破破坏坏后后所所侵侵害害的的客客体体时时，应应首首先先判判断断是是否否侵侵害害国国家家安安全全，然然后后判判断断是是否否侵侵害害社社会会秩秩序序或或公公众众利利益益，最最后后判判断断是是否否侵侵害害公公民民、法法人人和和其其他他组组织织的的合合法法权权益益。各各行行业业可可根根据据本本行行业业业业务务特特点点，分分析析各各类类信信息息和和各各类类信信息息系系统统与与国国家家安安全全、社社会会秩秩序序、公公共共利利益益以以及及公公民民、法法人人和和其其他他组组织织的的合合法法权权益益的的关关系系，从从而而确确定定本本行行业业各各类类信信息息和各类信

29、息系统受到破坏时所侵害的客体。和各类信息系统受到破坏时所侵害的客体。3.3 信息系统安全信息系统安全保护保护等级确定等级确定2023/2/223信息安全管理 5.5.确定对客体的侵害程度确定对客体的侵害程度(1)侵害的客观方面侵害的客观方面判断标准判断标准影响行使工作职能影响行使工作职能 导致业务能力下降导致业务能力下降 引起法律纠纷引起法律纠纷 导致财产损失导致财产损失 造成社会不良影响造成社会不良影响 对其他组织和个人造成损失对其他组织和个人造成损失 其他影响其他影响 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2023/2/224信息安全管理(2)(2)综合判定侵害程度综合判

30、定侵害程度综合判定侵害程度综合判定侵害程度如果受侵害客体是公民、法人或其他组织的合法权益，则如果受侵害客体是公民、法人或其他组织的合法权益，则如果受侵害客体是公民、法人或其他组织的合法权益，则如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准以本人或本单位的总体利益作为判断侵害程度的基准以本人或本单位的总体利益作为判断侵害程度的基准以本人或本单位的总体利益作为判断侵害程度的基准 如果受侵害客体是社会秩序、公共利益或国家安全，则应如果受侵害客体是社会秩序、公共利益或国家安全，则应如果受侵害客体是社会秩序、公共利益或国家安全，则应如果受侵害客体是社会秩

31、序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准以整个行业或国家的总体利益作为判断侵害程度的基准以整个行业或国家的总体利益作为判断侵害程度的基准以整个行业或国家的总体利益作为判断侵害程度的基准 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2023/2/225信息安全管理一一一一般般般般损损损损害害害害：工工工工作作作作职职职职能能能能受受受受到到到到局局局局部部部部影影影影响响响响，业业业业务务务务能能能能力力力力有有有有所所所所降降降降低低低低但但但但不不不不影影影影响响响响主主主主要要要要功功功功能能能能的的的的执执执执行行行行，出出出出现现现现较较

32、较较轻轻轻轻的的的的法法法法律律律律问问问问题题题题，较较较较低低低低的的的的财财财财产产产产损损损损失，有限的社会不良影响，对其他组织和个人造成较低损害。失，有限的社会不良影响，对其他组织和个人造成较低损害。失，有限的社会不良影响，对其他组织和个人造成较低损害。失，有限的社会不良影响，对其他组织和个人造成较低损害。严严严严重重重重损损损损害害害害：工工工工作作作作职职职职能能能能受受受受到到到到严严严严重重重重影影影影响响响响，业业业业务务务务能能能能力力力力显显显显著著著著下下下下降降降降且且且且严严严严重重重重影影影影响响响响主主主主要要要要功功功功能能能能执执执执行行行行，出出出出现现

33、现现较较较较严严严严重重重重的的的的法法法法律律律律问问问问题题题题，较较较较高高高高的的的的财财财财产产产产损损损损失失失失，较较较较大大大大范范范范围围围围的的的的社社社社会会会会不不不不良良良良影影影影响响响响，对对对对其其其其他他他他组组组组织织织织和和和和个个个个人人人人造造造造成成成成较较较较严重损害。严重损害。严重损害。严重损害。特特特特别别别别严严严严重重重重损损损损害害害害：工工工工作作作作职职职职能能能能受受受受到到到到特特特特别别别别严严严严重重重重影影影影响响响响或或或或丧丧丧丧失失失失行行行行使使使使能能能能力力力力，业业业业务务务务能能能能力力力力严严严严重重重重下

34、下下下降降降降且且且且或或或或功功功功能能能能无无无无法法法法执执执执行行行行，出出出出现现现现极极极极其其其其严严严严重重重重的的的的法法法法律律律律问问问问题题题题，极极极极高高高高的的的的财财财财产产产产损损损损失失失失，大大大大范范范范围围围围的的的的社社社社会会会会不不不不良良良良影影影影响响响响，对对对对其其其其他他他他组组组组织和个人造成非常严重损害。织和个人造成非常严重损害。织和个人造成非常严重损害。织和个人造成非常严重损害。3.3 信息系统安全信息系统安全保护保护等级确定等级确定2023/2/226信息安全管理5.5.5.5.确定定级对象的安全保护等级确定定级对象的安全保护等

35、级确定定级对象的安全保护等级确定定级对象的安全保护等级 (1)(1)业务信息安全保护等级业务信息安全保护等级业务信息安全保护等级业务信息安全保护等级 3.3 信息系统安全信息系统安全保护保护等级确定等级确定表3-2 业务信息安全保护等级矩阵表业业务务信信息息安安全全被被破破坏坏时时所所侵侵害害的的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公公民民、法法人人和和其其他他组组织织的的合合法法权权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四

36、级第四级第五级第五级2023/2/227信息安全管理(2)(2)系统服务安全保护等级系统服务安全保护等级系统服务安全保护等级系统服务安全保护等级 3.3 信息系统安全信息系统安全保护保护等级确定等级确定表3-3系统服务安全保护等级矩阵表系系统统服服务务安安全全被被破破坏坏时时所所侵侵害害的的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公公民民、法法人人和和其其他他组组织织的的合合法法权权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四

37、级第五级第五级(3)(3)(3)(3)信息系统安全信息系统安全保护等级保护等级 =Max(Max(Max(Max(业务信息安全保护等级业务信息安全保护等级业务信息安全保护等级业务信息安全保护等级,系统服务安全保护等级系统服务安全保护等级系统服务安全保护等级系统服务安全保护等级)2023/2/228信息安全管理6.6.等级变更等级变更等级变更等级变更 在信息系统的运行过程中，安全保护等级应随着信息系在信息系统的运行过程中，安全保护等级应随着信息系在信息系统的运行过程中，安全保护等级应随着信息系在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是统所

38、处理的信息和业务状态的变化进行适当的变更，尤其是统所处理的信息和业务状态的变化进行适当的变更，尤其是统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的当状态变化可能导致业务信息安全或系统服务受到破坏后的当状态变化可能导致业务信息安全或系统服务受到破坏后的当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到受侵害客体和对客体的侵害程度有较大的变化，可能影响到受侵害客体和对客体的侵害程度有较大的变化，可能影响到受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据本标

39、准给出的定级方法重新系统的安全保护等级时，应根据本标准给出的定级方法重新系统的安全保护等级时，应根据本标准给出的定级方法重新系统的安全保护等级时，应根据本标准给出的定级方法重新定级。定级。定级。定级。3.3 信息系统安全信息系统安全保护保护等级确定等级确定2023/2/229信息安全管理 信息系统安全等级保护系列标准中的信息安全技术信息系统安全等级保护系列标准中的信息安全技术信息系统安全等级保护基本要求对已经确定了安全保护等信息系统安全等级保护基本要求对已经确定了安全保护等级的信息系统，提出了保护的具体要求。属于特定安全保护级的信息系统，提出了保护的具体要求。属于特定安全保护等级的信息系统，必

40、须在技术要求和管理要求两方面同时满等级的信息系统，必须在技术要求和管理要求两方面同时满足该标准的规定和要求，才能够确保实现该安全保护等级的足该标准的规定和要求，才能够确保实现该安全保护等级的安全目标。安全目标。3.4 信息系统安全等级保护要求信息系统安全等级保护要求2023/2/230信息安全管理1.1.1.1.不同等级的不同等级的不同等级的不同等级的保护能力保护能力第第一一级级安安全全保保护护能能力力：应应能能够够防防护护系系统统免免受受来来自自个个人人的的、拥拥有有很很少少资资源源的的威威胁胁源源发发起起的的恶恶意意攻攻击击、一一般般的的自自然然灾灾难难、以以及及其其他他相相当当危危害害程

41、程度度的的威威胁胁所所造造成成的的关关键键资资源源损损害害，在在系系统统遭到遭到损害损害后，能够恢复部分功能。后，能够恢复部分功能。第第二二级级安安全全保保护护能能力力：应应能能够够防防护护系系统统免免受受来来自自外外部部小小型型组组织织的的、拥拥有有少少量量资资源源的的威威胁胁源源发发起起的的恶恶意意攻攻击击、一一般般的的自自然然灾灾难难、以以及及其其他他相相当当危危害害程程度度的的威威胁胁所所造造成成的的重重要要资资源源损损害害，能能够够发发现现重重要要的的安安全全漏漏洞洞和和安安全全事事件件，在在系系统统遭遭到到损损害害后后，能够在一段时间内恢复部分功能。能够在一段时间内恢复部分功能。3

42、.4 信息系统安全等级保护要求信息系统安全等级保护要求2023/2/231信息安全管理第第三三级级安安全全保保护护能能力力：应应能能够够在在统统一一安安全全策策略略下下防防护护系系统统免免受受来来自自外外部部有有组组织织的的团团体体、拥拥有有较较为为丰丰富富资资源源的的威威胁胁源源发发起起的的恶恶意意攻攻击击、较较为为严严重重的的自自然然灾灾难难、以以及及其其他他相相当当危危害害程程度度的的威威胁胁所所造造成成的的主主要要资资源源损损害害，能能够够发发现现安安全全漏漏洞洞和和安安全全事事件，在系统遭到损害后，能够较快恢复绝大部分功能。件，在系统遭到损害后，能够较快恢复绝大部分功能。第第四四级级

43、安安全全保保护护能能力力：应应能能够够在在统统一一安安全全策策略略下下防防护护系系统统免免受受来来自自国国家家级级别别的的、敌敌对对组组织织的的、拥拥有有丰丰富富资资源源的的威威胁胁源源发发起起的的恶恶意意攻攻击击、严严重重的的自自然然灾灾难难、以以及及其其他他相相当当危危害害程程度度的的威威胁胁所所造造成成的的资资源源损损害害，能能够够发发现现安安全全漏漏洞洞和和安安全全事事件件，在在系统遭到损害后，能够迅速恢复所有功能。系统遭到损害后，能够迅速恢复所有功能。3.4 信息系统安全等级保护要求信息系统安全等级保护要求2023/2/232信息安全管理2.2.基本要求基本要求(1)(1)(1)(1

44、)基本安全基本安全基本安全基本安全要求要求要求要求 基本安全要求是针对不同安全保护等级信息系统应该具基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。同，基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关，主要技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与信息系统中各

45、种角色参与的活动有关，现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。以及记录等方面做出规定来实现。3.4 信息系统安全等级保护要求信息系统安全等级保护要求2023/2/233信息安全管理(2 2 2 2)基本技术基本技术基本技术基本技术要求要求要求要求 基本技术要求从物理安全、网络安全、主机安全、应用安基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出全和数据安全几个层面提出(3)(3)(3)(3)基本管理要求基本管理要求基本管理

46、要求基本管理要求 基本管理要求从安全管理制度、安全管理机构、人员安全基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出管理、系统建设管理和系统运维管理几个方面提出 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2023/2/234信息安全管理3.3.3.3.基本技术要求的三种类型基本技术要求的三种类型基本技术要求的三种类型基本技术要求的三种类型(1)业务信息安全类业务信息安全类（S类）类）安全要求关注的是保护数据在存储、传输、处理过程中不安全要求关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改被泄漏、破坏和免受未授权

47、的修改(2)业务服务保证类业务服务保证类（A类）类）安全要求关注的是保护系统连续正常的运行，免受对系统安全要求关注的是保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用；的未授权修改、破坏而导致系统不可用；(3)通用安全保护类通用安全保护类（G类）类）安全要求没有明显的侧重，既关注保护业务信息的安全安全要求没有明显的侧重，既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。性，同时也关注保护系统的连续可用性。3.4 信息系统安全等级保护要求信息系统安全等级保护要求2023/2/235信息安全管理4.4.4.4.基本安全要求基本安全要求基本安全要求基本安全要求(1)第一

48、级基本要求第一级基本要求(2)第二级基本要求第二级基本要求(3)第三级基本要求第三级基本要求(4)第四级基本要求第四级基本要求(5)第五级基本要求第五级基本要求3.4 信息系统安全等级保护要求信息系统安全等级保护要求信息系统安全等级保护基本要求2023/2/236信息安全管理1.风险评估概念风险评估概念(1)(1)(1)(1)风险评估风险评估风险评估风险评估定义定义定义定义 风风险险评评估估（Risk Assessment）是是组组织织确确定定信信息息安安全全需需求求的一的一条重要途径，属于组织信息安全管理体系策划的过程。条重要途径，属于组织信息安全管理体系策划的过程。（2 2）风险评估的主要

49、任务风险评估的主要任务风险评估的主要任务风险评估的主要任务识别组织面临的各种风险识别组织面临的各种风险 评估风险概率和可能带来的负面影响评估风险概率和可能带来的负面影响 确定组织承受风险的能力确定组织承受风险的能力 确定风险消减和控制的优先等级确定风险消减和控制的优先等级 推荐风险消减对策推荐风险消减对策3.5 信息系统安全信息系统安全风险评估风险评估2023/2/237信息安全管理(3)(3)与信息系统风险评估有关的要素与信息系统风险评估有关的要素与信息系统风险评估有关的要素与信息系统风险评估有关的要素 资产资产 资产是企业、机构直接赋予了价值、因而需要保护的东西。资产是企业、机构直接赋予了

50、价值、因而需要保护的东西。它可能是以多种形式存在，有无形的、有形的，有硬件、软它可能是以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、企业形象等。件，有文档、代码，也有服务、企业形象等。威胁威胁 安全威胁是一种对机构及其资产构成存在潜在破坏的可能安全威胁是一种对机构及其资产构成存在潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁性因素或者事件。无论对于多么安全的信息系统，安全威胁都是一个客观存在的事物，它是风险评估的重要因素之一。都是一个客观存在的事物，它是风险评估的重要因素之一。3.5 信息系统安全信息系统安全风险评估风险评估2023/2/238信息