没有合适的资源?快使用搜索试试~ 我知道了~
等级保护风险评价资料.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 65 浏览量
2022-06-20
05:03:22
上传
评论
收藏 40KB DOCX 举报
温馨提示
试读
5页
等级保护风险评价资料.docx等级保护风险评价资料.docx等级保护风险评价资料.docx等级保护风险评价资料.docx等级保护风险评价资料.docx等级保护风险评价资料.docx等级保护风险评价资料.docx等级保护风险评价资料.docx
资源推荐
资源详情
资源评论
等级保护、风险评估、安全测评三者的内在联系及实施建议
赵瑞颖
前言
自《国家信息化领导小组关于加强信息安全保障工作的意见》
1
出台后,等级保护、风
险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体
系建设中的热点话题。本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内
在联系和区别并作了基本判断。本文还结合信息系统的开发生命周期模型(简称 SDLC),
本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在 SDLC
过程中的实施建议。
一、三者的基本概念和工作背景
A、等级保护
基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息
以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中
使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这
里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目
标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、
处理的数字化信息。
工作背景:1994 年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》
2
规
定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,
由公安部会同有关部门制定。1999 年公安部组织起草了《计算机信息系统安全保护等级划
分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:
用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保
护级;第五级:访问验证保护级。GB17859 中的分级是一种技术的分级,即对系统客观上
具备的安全保护技术能力等级的划分。2002 年 7 月 18 日,公安部在 GB17859 的基础上,
又发布实施五个 GA 新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络
技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》 、GA/T
389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算
机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管
理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全
等级保护工作的实施意见的通知》
3
(简称 66 号文)将信息和信息系统的安全保护等级划分
为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:
强制保护级;第五级:专控保护级。特别强调的是:66 号文中的分级主要是从信息和信息
系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务
等级,而不是 GB17859 中定义的系统已具备的安全技术等级。
B、风险评估
基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、
潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造
成的损失,提出风险管理措施的过程。
工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估
需求的存在。当风险评估应用于 IT 领域时,就是对信息安全的风险评估。国内这几年对信
资源评论
春哥111
- 粉丝: 1w+
- 资源: 5万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功