CISM0201信息安全管理43658.pptx

《CISM0201信息安全管理43658.pptx》由会员分享，可在线阅读，更多相关《CISM0201信息安全管理43658.pptx（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理信息安全管理中国信息安全测评中心课程内容课程内容2信息信息安全安全管理管理信息信息安全管理基础安全管理基础信息安全管理方法信息安全管理方法知识知识体体：信息安全管理基础：信息安全管理基础v知识域：信息安全管理基本概念了解信息安全管理的概念和内涵掌握信息安全管理的对象理解技管并重的原则，信息安全管理和信息安全技术相互配合一起保障信息系统安全3管理与信息安全管理管理与信息安全管理v管理指挥和控制组织的协调的活动。（-ISO9000:2005 质量管理体系 基础和术语）管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。v信息安全管理组织中为了完成信息安全目

2、标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动4 规则组织 人员信息输入立法摘要变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营过程信息安全管理信息安全管理v现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。v信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，

3、其针对对象就是组织的信息资产。5信息安全管理信息安全管理6n信息安全管理的对象：包括人员在内的各类信息相关资产。规则 人员目标组织信息安全管理的需求信息安全管理的需求7v如果你把钥匙落在锁眼上会怎样？v技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗保险柜就一定安全吗？8精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？信息安全管理的需求信息安全管理的需求9信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的需求信息安全管理的需求应对风险需要人为的管理过程v 信息安全事件不断增加病毒、木马事件挂马网站、钓鱼网站拒绝服务攻击等v 系统漏洞呈快速增长趋势操作

4、系统漏洞应用软件漏洞信息安全管理的紧迫性信息安全管理的紧迫性10v电子政务和电子商务的发展，整个社会信息化的快速发展，对信息安全保障和管理提出了迫切的需求，如果信息安全跟不上去，信息安全的基础性工作跟不上，就会拖信息化的后腿。这是发展的需要，是大势所趋。信息安全管理的紧迫性信息安全管理的紧迫性11信息安全信息安全“技管并重技管并重”的原则的原则v信息安全的成败取决于两个因素：技术和管理。v安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。v 对于信息安全，到底是技术更重要，还是管理更重要？v 技管并重。“坚持管理与技术并重坚持管理与技术并重”是我国是我国加强信息安全加强信息安全保障

5、工作的主要原则保障工作的主要原则12v 技术和产品是基础，管理才是关键v 产品和技术，要通过管理的组织职能才能发挥最佳作用v 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全v 先进、易于理解、方便操作的安全策略对信息安全至关重要v 建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全v 根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用信息安全管理的作用13实施信息安全管理的关键成功因素实施信息安全管理的关键成功因素(CSF)(CSF)v安全策略、目标和活动应该反映业务目标应该反映业务目标v有一种与组织文化保持一致与组织文化保持一致的

6、实施、维护、监督和改进信息安全的途径v来自高级管理层的明确的支持和承诺来自高级管理层的明确的支持和承诺v深刻理解安全需求、风险评估和风险管理v向所有管理者和员工有效地推广安全意识向所有管理者和员工有效地推广安全意识v向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准v为信息安全管理活动提供资金支持为信息安全管理活动提供资金支持v 提供适当的培训和教育提供适当的培训和教育v建立有效的信息安全事件管理流程v建立测量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进14知识知识体体：信息安全管理基础：信息安全管理基础v知识域：我

7、国信息安全管理体制了解我国信息安全管理格局了解国家信息安全管理职能的有关机构和部门15信息安全在国家安全中信息安全在国家安全中的地位的地位v党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。v党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。16我国的信息安全管理体制我国的信息安全管理体制v目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全v国家信息化领导小组（国

8、家网络与信息安全协调小组）工信部公安部国家安全部国家保密局国家密码管理局等等17我国的信息安全基础设施我国的信息安全基础设施v中国信息安全测评中心(CNITSEC)v中国信息安全认证中心(ISCCC)v国家计算机网络应急技术处理协调中心（CNCERT/CC）v国家计算机病毒应急处理中心v全国信息安全标准化技术委员会（TC260）v等等18知识知识体体：信息安全管理方法：信息安全管理方法v知识域：风险管理基本概念了解信息安全风险的概念，理解信息安全风险基本要素，包括资产、威胁、脆弱性和控制措施等术语概念，理解这些要素之间的关系理解风险管理的定义，理解风险评估、风险处置等基本概念了解风险评估和风险

9、处置的作用19安全风险要素安全风险要素安全风险的基本概念安全风险的基本概念v资产资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值v资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉21安全风险的基本概念安全风险的基本概念v威胁威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果v威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作盗窃网络监听供电故障设置后门未授权访问自然灾害如：地震、火灾22安全风险的基本概念安全风险的基本概念v脆弱性脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定

10、条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。v脆弱性举例系统漏洞程序Bug专业人员缺乏不良习惯缺少审计缺乏安全意识系统后门物理环境访问控制措施不当23安全风险的基本概念安全风险的基本概念24v控制措施管理风险的方法。为达成组织目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：预防性控制检查性控制纠正性控制控制措施分类控制措施分类v预防性控制措施：在问题发生前潜在问题，并作出纠正仅雇佣胜任的人员职责分工使用访问控制软件，只允许授权用户访问敏感文件v检查性控制：检查控制发生的错误、疏漏或蓄意行为生产作业中设置检查点网络通信过程

11、中的Echo控制内部审计v纠正性控制：减少危害影响，修复检查性控制发现的问题意外处理计划备份流程恢复运营流程25安全风险要素之间的相互关系安全风险要素之间的相互关系资产资产威胁威胁防护措施防护措施脆弱性脆弱性风险风险利用利用对抗对抗导导致致增增加加减减少少作作用用于于26什么是风险管理什么是风险管理vGB/Z 24364信息安全风险管理规范定义：信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。通用风险管理定义通用风险管理定义v定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序

12、的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。28为什么要做风险管理为什么要做风险管理v成本与效益平衡好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平v工作条理化好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险vPDCA过程的要求风险管理是一个持续的PDCA管理过程29风险管理是信息安全保障工作有效工作方式风险评估是信息安全管理的基础风险评估是信息安全管理的基础v风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资

13、产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。v信息安全管理机制的建立需要确定信息安全需求v信息安全需求获取的主要手段就是安全风险评估v信息安全风险评估是信息安全管理机制建立的基础，没有风险评估，信息安全管理机制的建立就没有依据。30风险处置是信息安全管理的核心风险处置是信息安全管理的核心v应对风险评估的结果进行相应的风险处置。本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。v控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。v信息安全管理体系的核心就是这些最佳控制措施的集合。31风险管理是信息安全

14、管理的根本方法风险管理是信息安全管理的根本方法32v周期性的风险评估与风险处置活动即形成对风险的动态管理。v动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法。知识知识体体：信息安全管理方法：信息安全管理方法v知识域：信息安全管理体系理解什么是ISMS 了解ISO/IEC 27000标准族，包括其发展历史和主要标准了解ISMS的主要特点，了解ISMS的核心是PDCA描述的过程理解PDCA的特点和含义33管理体系相关概念管理体系相关概念34v体系相互关联和相互作用的一组要素。（-ISO9000:2005 质量管理体系 基础和术语）v管理体系：建立方针和目标并达到目标的

15、体系。（-ISO9000:2005 质量管理体系 基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架。（-ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）管理体系管理体系35ISO9000 质量管理体系ISO14000 环境管理体系OHSAS 职业健康安全管理体系ISO/IEC27000 信息安全管理体系ISO/IEC20000 服务管理体系ISO22000食品安全管理体系管理体系Management System信息安全管理体系信息安全管理体系36v什么是信息安全管理体系（ISMS）信息安全管理体系ISMSISO/IEC27001信息安全管理

16、体系信息安全管理体系37v什么是信息安全管理体系（ISMS）l 数据安全数据安全l 网络安全网络安全l 系统安全系统安全l 设备安全设备安全l 物理安全物理安全l 人员安全人员安全l 应急响应应急响应l 。l 管理体系方法管理体系方法l 管理体系要求管理体系要求l 认证机构和认认证机构和认证证 l 审核和审核员审核和审核员l 国际互认国际互认l 。l Information Security Management System-ISMS 信息安全管理体系信息安全管理体系;l 基于基于ISO/IEC27000系列国际标准族系列国际标准族;l 是综合信息安全管理和技术手段，保是综合信息安全管理和技

17、术手段，保障组织信息安全的一种方法；障组织信息安全的一种方法；l ISMS是管理体系（是管理体系（MS）家族的一个）家族的一个成员。成员。信息安全管理体系ISMS信息安全管理体系信息安全管理体系38v什么是信息安全管理体系（Information Security Management System,ISMS）n基于基于国际标准国际标准ISO/IEC 27001信息信息安全管理体系安全管理体系要求要求，是是综合信息安全管理和技术手段，保障组织信息安全的一综合信息安全管理和技术手段，保障组织信息安全的一种种方法方法nISMS是管理体系（是管理体系（MS）家族的一个成员）家族的一个成员BS7799

18、、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革的历史沿革u 1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。u 1993年9月 颁布信息安全管理实施细则，形成BS 7799的基础。u 19951995年年2 2月月 首次出版首次出版BS 7799-1:1995BS 7799-1:1995信息安全管理实用规则信息安全管理实用规则。u 19981998年年2 2月月 英国公布英国公布BS 7799-2:BS 7799-2:信息安全管理体系要求信息安全管理体系要求

19、。u 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。u 20002000年年1212月月 国际标准组织国际标准组织 ISO/IEC JTC 1/SC27ISO/IEC JTC 1/SC27工作组认可通过工作组认可通过BS 7799-1BS 7799-1，颁，颁布布ISO/IEC 17799:2000ISO/IEC 17799:2000信息安全管理实用规则信息安全管理实用规则。u 2002年9月 BSI对BS 7799-2进行了改版，用来替代原标准（BS 7799-2:1999）使用。u 20052005年年6 6月月 ISO 17799:2000 ISO 17799:2

20、000改版，成为改版，成为ISO 17799:2005ISO 17799:2005。u 20052005年年1010月月 ISO ISO正式采用正式采用BS 7799-2:2002BS 7799-2:2002，命名为，命名为ISO 27001:2005ISO 27001:2005。u 20072007年年7 7月月 ISO 17799:2005 ISO 17799:2005归入归入ISO 27000ISO 27000系列，命名为系列，命名为ISO 27002:2005ISO 27002:2005。u 20082008年年6 6月月-中国政府等同采用中国政府等同采用ISO 27001:2005,

21、ISO 27001:2005,命名为命名为GB/T 22080-2008GB/T 22080-2008；中国政府等同采用中国政府等同采用ISO 27002:2005,ISO 27002:2005,命名为命名为GB/T 22081-2008.GB/T 22081-2008.ISO/IEC 27000ISO/IEC 27000标准族介绍标准族介绍39BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC 27000ISO/IEC 27000标准族介绍标准族介绍BS7799、ISO17799、ISO27001、I

22、SO27002、GB/T22080、GB/T22081的对应关系的对应关系4041vISO/IEC 27000系列27000270032700427008 27000信息安全管理体系信息安全管理体系概述和术语概述和术语 27001信息安全管理体系要求信息安全管理体系要求27002 信息安全管理实用规则信息安全管理实用规则27003信息安全管理体系信息安全管理体系实施指南实施指南27004 信息安全管理测量信息安全管理测量 27005 信息安全风险管理信息安全风险管理27006 提供信息安全管理体系提供信息安全管理体系审核和认证机构的要求审核和认证机构的要求27007 信息安全管理体系信息安全管

23、理体系审核指南审核指南27008信息安全管理体系信息安全管理体系控制措施审核员指南控制措施审核员指南27001270022700027006270052700327004信息安全管理体系基本原理和词汇信息安全管理体系基本原理和词汇ISO/IEC 27000ISO/IEC 27000标准族介绍标准族介绍42vISO27001标准是认证机构进行审核时的审核准则，是ISO27000标准族中最重要最核心的一份标准。v目前，ISO27000标准族已经日益完善，已经开发和正在开发的标准共28项。其中正式发布的标准有13项；部分发布的标准有2项；v由于移动互联网、物联网、云计算等新概念新技术的出现，且基于I

24、SO的标准修订周期规则，ISO27001、ISO27002标准已经在修订当中。ISO/IEC 27000ISO/IEC 27000标准族介绍标准族介绍43ISO/IEC 27000ISO/IEC 27000标准族介绍标准族介绍标准编号标准编号标准名称标准名称ISO/IEC27000:2009Informationsecuritymanagementsystems-Overviewandvocabulary信息安全管理体系-概述和术语ISO/IEC27001:2005Informationsecuritymanagementsystems-requirements信息安全管理体系-要求ISO/I

25、EC27002:2005Codeofpracticeforinformationsecuritymanagement信息安全管理实用规则ISO/IEC27003:2010Informationsecuritymanagementsystemimplementationguidance信息安全管理体系实施指南ISO/IEC27004:2009InformationsecuritymanagementMeasurement信息安全管理-测量ISO/IEC27005:2011（第二版）（第二版）Informationsecurityriskmanagement信息安全风险管理ISO/IEC27006

26、:2011（第二版）（第二版）Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems信息安全管理体系认证机构要求（提示：标准编号后面跟有年代编号的为已经正式发布的标准，其它为尚未正式发布的标准）（提示：标准编号后面跟有年代编号的为已经正式发布的标准，其它为尚未正式发布的标准）44ISO/IEC 27000ISO/IEC 27000标准族介绍标准族介绍ISO/IEC27007:2011GuidelinesforInformationSecurityManagementSys

27、temsauditing信息安全管理体系审核指南ISO/IEC27008:2011Guidelinesforauditorsoninformationsecuritymanagementsystemscontrols信息安全管理体系控制措施审核员指南ISO/IEC27010:(FCD)Informationsecuritymanagementforinter-sectorandinter-organisationalcommunications部门间和组织间通信的信息安全管理(FCD:FinalCommitteeDraft，最终委员会草案)ISO/IEC 27011:2008Informati

28、onsecuritymanagementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002基于ISO/IEC27002的电信行业信息安全管理指南ISO/IEC 27012ISMSfore-Government电子政务的ISMS(曾经列入计划，但尚未发布任何草案)ISO/IEC 27013:(DIS)GuidelineontheintegratedimplementationofISO/IEC20000-1andISO/IEC27001ISO20000-1和ISO27001集成实施指南(DIS:DraftInternat

29、ionalStandard，国际标准草案)45ISO/IEC 27000ISO/IEC 27000标准族介绍标准族介绍ISO/IEC 27014:(draft)Informationsecuritygovernanceframework信息安全治理框架(草案)ISO/IEC 27015:(draft)Informationsecuritymanagementguidanceforfinancialservices金融服务信息安全管理指南(草案)（由于输入极小，本标准有可能取消）ISO/IEC 27016:(draft)InformationsecuritymanagementOrganizat

30、ionaleconomics信息安全管理-组织经济学（草案）ISO/IEC 27017CloudComputingSecurityandPrivacy云计算安全和保密（研究阶段的第二期已结束，此标准本身将是一个标准族）ISO/IEC 27031:2011Guidelinesforinformationandcommunicationstechnologyreadinessforbusinesscontinuity业务连续性的信息和通信技术准备就绪指南ISO/IEC 27032:(FDIS)Guidelinesforcybersecurity网际安全指南(FDIS:FinalDraftInter

31、nationalStandard，最终国际标准草案)ISO/IEC 27033:(part 1 published,rest under development)NetworkSecurity网络安全(第一部分已经发布，其余尚在开发中)(ISO/IEC27033-1:2009:networksecurityoverviewandconcepts网络安全概述和概念)ISO/IEC 27034:(part 1 published,rest under development)ApplicationSecurity应用安全(第一部分已经发布，其余尚在开发中)(ISO/IEC27034-1:2011:

32、ApplicationsecurityOverviewandconcepts应用安全-概述和概念）46ISO/IEC 27000ISO/IEC 27000标准族介绍标准族介绍ISO/IEC 27035:2011InformationsecurityIncidentManagement信息安全事件管理ISO/IEC 27036:(draft)Informationsecurityforsupplierrelationships供应商关系信息安全（草案）ISO/IEC 27037:(DIS)Guidelinesforidentification,collection,acquisition,and

33、preservationofdigitalevidence识别、收集、获取和保存数字证据指南(DIS:DraftInternationalStandard，国际标准草案)ISO/IEC 27038:(draft)Specificationfordigitalredaction数字编辑规范（草案）ISO/IEC 27039:(draft)Selection,deploymentandoperationsofIntrusionDetectionandPreventionSystems(IDPS)选择、开发和运行入侵检测和防护系统(IDPS)(草案）ISO/IEC 27040:(draft)Stor

34、agesecurity存储安全（草案）ISO 27799:2008InformationsecuritymanagementinhealthusingISO/IEC27002用ISO/IEC27002进行健康信息安全管理信息安全管理体系的特点信息安全管理体系的特点47v信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系；v体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求；v强调全过程和动态控制，本着控制费用与风险

35、平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性。A规划实施检查处置PDCPDCAPDCA循环循环48PDCAPDCA循环循环49PDCAPDCA也称也称“戴明环戴明环”，由美国质量管理专家戴明提出。，由美国质量管理专家戴明提出。vP P（PlanPlan）：）：计划，确定方针和目标，确定活动计划；vD D（DoDo）：）：实施，实际去做，实现计划中的内容；vC C（CheckCheck）：）：检查，总结执行计划的结果，注意效果，找出问题；vA A（ActionAction）：）：行动，对

36、总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。50vPDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。9090处置处置实施实施规划规划检查检查C CA AD DP PvPDCA特点二：组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题。vPDCA特点三：每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环。90909090处置处置实施实施规划规划检查检查C CA AD DP P达到新的水平达到新的水平改进改进(修订标准修订标准

37、)维持原有水平维持原有水平90909090处置处置实施实施规划规划检查检查C CA AD DP PPDCAPDCA循环的特征与作用循环的特征与作用vPDCA循环，能够提供一种优秀的过程方法，循环，能够提供一种优秀的过程方法，以实现持续改进。以实现持续改进。v遵循遵循PDCA循环，循环，能使任何一项活动都有效地能使任何一项活动都有效地进行。进行。PDCAPDCA循环的作用循环的作用51信息安全管理体系持续改进的信息安全管理体系持续改进的PDCAPDCA循环过程循环过程52信息安全管理体系是PDCA动态持续改进的一个循环体。规划和建立规划和建立规划和建立规划和建立实施和实施和实施和实施和运行运行运

38、行运行监视和评监视和评监视和评监视和评审审审审保持和保持和保持和保持和改进改进改进改进相关方信息安全要求和期望相关方受控的信息安全vISMSISMS的核心内容可以概括为的核心内容可以概括为4 4句话句话 1.规定你应该做什么并形成文件规定你应该做什么并形成文件：P2.做文件已规定的事情做文件已规定的事情：D3.评审你所做的事情的符合性评审你所做的事情的符合性：C4.采取纠正和预防措施，持续改进采取纠正和预防措施，持续改进：A用用PDCAPDCA来理解什么是信息安全管理体系来理解什么是信息安全管理体系53信息安全管理过程方法的作用信息安全管理过程方法的作用54v过程方法要求（Methodolog

39、ical requirements）：为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。v按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了信息安全管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。信息安全管理过程方法的结构信息安全管理过程方法的结构5556方针、手册等方针、手册等管理制度、程序、策略文件等管理制度、程序、策略文件等操作规范、规程、作业指导书、模板文件等操作规范、规程、作业指导书、模板文件等计划、表格、报告、各种运行计划、表格、报告、各种运行/检查记录、日志文件等检查记录、日志文件等一级文

40、件一级文件二级文件二级文件三级文件三级文件四级文件四级文件n一级文件：方针性文件；n二级文件：信息安全管控程序及管理规定性文件；n三级文件：操作指南及作业指导书类；n四级文件：体系运行的各种记录。下级文件应支持上级文件。信息安全管理体系化文件信息安全管理体系化文件知识体：信息安全管理方法知识体：信息安全管理方法v知识域：等级保护的安全管理体制了解等级保护有关的重要国家标准了解等级保护的定级要素及级别划分准则了解等级保护的工作流程理解等级保护的管理要求主要内容57信息安全等级保护信息安全等级保护58v中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）第九条 计算机信息系统实行

41、安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。vGB 17859-1999计算机信息系统安全保护等级划分准则信息安全等级保护法规政策体系信息安全等级保护法规政策体系59信息安全等级保护标准信息安全等级保护标准60计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南 信息系统安全等级保护基本要求信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求 信息系统安全管理要求信息系统安全工程管理要求信息系统安全等级保护测评要求 信息系统安全等级保护测评指南信息安全风险评估规范 信息安全等级保护测评机构能力规范等 等级保护标准等级保护标准61GB17

42、859技术要求等保实施等保测评管理要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全保护等级定级指南GB/T25058-2010信息安全技术信息系统安全等级保护实施指南GB/T20269-2006信息安全技术信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/T28448-2012信息系统安全等级保护测评要求GB/T28449-2012信息系统安全等级保护测评过程指南等级等级保护的五保护的五级划分级划分v信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、

43、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。62等级保护定级要素等级保护定级要素

44、63业务信息安全被破坏时所侵害的业务信息安全被破坏时所侵害的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权公民、法人和其他组织的合法权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级等级保护五级监管等级保护五级监管64等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一级第一级 一般一般系统系统合法权益合法权益损害损害自主保护自主保护第二级第二级合法权益合法权益严重损害严重损害指

45、导指导社会秩序和公共利益社会秩序和公共利益损害损害第三级第三级 重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查国家安全国家安全损害损害第四级第四级社会秩序和公共利益社会秩序和公共利益特别严重损害特别严重损害强制监督检查强制监督检查国家安全国家安全严重损害严重损害第五级第五级 极端极端重要重要系统系统国家安全国家安全特别严重损害特别严重损害专门监督检查专门监督检查信息安全等级保护信息安全等级保护65v等级保护主要流程一是自主定级 二是评审 三是备案 四是系统安全建设 五是等级测评六是监督检查信息安全等级保护政策信息安全等级保护政策-定级定级&备案备案66v关

46、于开展全国重要信息系统安全等级保护定级工作的通知是指导定级环节工作的政策文件，该通知部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作的全面开展。v信息安全等级保护备案实施细则是指导备案环节工作的政策文件，该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，指导各级公安机关受理信息系统备案工作。信息安全等级保护政策信息安全等级保护政策-安全建设整改安全建设整改67v关于开展信息系统等级保护安全建设整改工作的指导意见、关于加强国家电子政务工程建设项目信息安全风险评估工作的通知和关于进一步推进中央企业信息安全等级保护工作的通知是指

47、导安全建设整改环节工作的政策文件。v前者明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等；v中者要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告；v后者公安部和国资委联合发布的政策文件，对中央企业信息系统安全等级保护工作提出了明确要求。信息安全等级保护政策信息安全等级保护政策-等级测评等级测评68v关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知和关于印发的通知是指导等级测评环节工作的政策文件。v前者确定了开展信息安全等级保

48、护测评体系建设和等级测评工作的目标、内容和工作要求，规定了测评机构的条件、业务范围和禁止行为，规范了测评机构申请、受理、测评工程师管理、测评能力评估、审核、推荐的流程和要求；v后者明确了等级测评活动的内容、方法和测评报告格式等。信息安全等级保护政策信息安全等级保护政策检查检查69v公安机关信息安全等级保护检查工作规范(试行)和关于开展信息安全等级保护专项监督检查工作的通知是指导监督检查环节工作的政策文件。v前者规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等。v后者是公安部发给各公安局公共信息网络安全监察处的文件，要求自 2010 年 9月 15日起至 12 月1

49、5 日，在全国范围内开展为期三个月的信息安全等级保护专项监督检查工作，并明确了检查目的、检查内容、检查方式和进度安排。v以上政策文件构成了信息系统安全等级保护工作开展的政策体系，为了组织开展等级保护工作、建设整改工作和等级测评工作明确了工作目标、工作要求和工作流程。信息安全等级保护测评检查周期信息安全等级保护测评检查周期70v安全测评第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。v安全自查第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求

50、进行自查。71v安全检查受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查信息安全等级保护测评检查周期信息安全等级保护测评检查周期安全保护能力基本安全要求等保3级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现等等级保护能力、措施与要求级保护能力、措施与要求72等级保护基本要求等级保护基本要求73技术要求物理安全网络安全主机安全应用安全数据安全管理要求