没有合适的资源?快使用搜索试试~ 我知道了~
信息安全等级合规测评.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 175 浏览量
2023-03-07
20:28:04
上传
评论
收藏 504KB PDF 举报
温馨提示
试读
14页
/
资源推荐
资源详情
资源评论
信息安全等级合规测评
合规,简而言之就是要符合法律、法规、政策与相关规则、标准的约定。在
信息安全领域内,等级保护、分级保护、塞班斯法案、计算机安全产品销售许可、
密码管理等,是典型的合规性要求。
信息安全合规测评是国家强制要求的,信息系统运营、使用单位或者其主管
部门,必须在系统建设、改造完成后,选择具备资质测评机构,依据信息安全合
规性要求,对信息系统是否合规进行检测和评估的活动。信息安全合规测评具有
强制性和周期性(定期检测),是国家信息安全部门督促合规性要求落地实施,
保障信息安全的重要手段。
一、信息安全合规性要求
1、等级保护
等级保护将信息系统按照价值系统基础资源和信息资源的价值大小、用户访
问权限的大小、大系统中各子系统重要程度的区别划分五个等级进行保护。其分
级、分区域、分类和分阶段是做好国家信息安全保护的前提。等级保护依据公安
部、国家 XX 局、国家密码管理局和国信办先后联合下发《关于信息安全等级保
护工作的实施意见》、《信息安全等级保护信息安全等级保护管理办法》开展。
2、分级保护
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统
的重要性,遭到破坏后对国计民生造成的危害性,以与涉密信息系统必须达到的
安全保护水平划分为秘密级、XX 级和绝密级三个等级。国家 XX 局专门对涉密信
息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行
的两个分级保护的国家 XX 标准是 BMB17《涉与国家秘密的信息系统分级保护技
术要求》和 BMB20《涉与国家秘密的信息系统分级保护管理规范》。
国家 XX 科技测评中心是我国唯一的涉密信息系统安全 XX 测评机构,XX 省
软件评测中心是国家 XX 科技测评中心在 XX 省设立的分中心。
3、塞班斯法案
针对安然、世通等财务欺诈事件,美国国会出台了《20XX 公众公司会计改
革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参
议院银行委员会主席塞班斯联合提出,又被称作《20XX 塞班斯-奥克斯利法案》
(简称塞班斯法案),法案对美国《1933 年证券法》、《1934 年证券交易法》做了
不少修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新规定。
塞班斯法案成为在美上市企业躲不过去的坎。它规定,上市公司的财务报告
必须包括一份内控报告,并明确规定公司管理层对建立和维护财务报告的内部控
制体系与相应控制流程负有完全责任;此外,财务报告中必须附有其内控体系和
相应流程有效性的年度评估。它的出台意味着在美国上市的公司不仅要保证其财
务报表数据的准确,还要保证内控系统能通过相关审计。
4、计算机信息系统安全专用产品销售许可
计算机信息系统安全专用产品销售许可证是为了加强计算机信息系统安全
专用产品的管理,保证安全专用产品的安全功能,由公安部公共信息网络安全监
察局颁发的许可证书。
办理依据:
(1)《中华人民共和国计算机信息系统安全保护条例》、 (1994 年 2 月 18 日,
国务院令 147 号发布)。
(2)、《计算机信息系统安全专用产品检测和销售许可证管理办法》(1997
年 12 月 1 日,公安部令第 32 号)。
(3)、《计算机病毒防治管理办法》(20XX4 月 26 日,公安部令第 51 号)。
审批办理流程:
(1)、产品检测。申请单位须将样品送指定检测机构进行检测。
(2)、申请办证。检测合格后,申请单位按规定提交证书申请的相关材料。
(3)、审批发证。公安部公共信息网络安全监察局。
5、信息系统密码安全管理
.
为推动商用密码发展,确保国家重要信息系统密码安全,具备检测资质的机
构依据《信息安全等级保护商用密码管理办法》、《信息安全等级保护商用密码技
术实施要求》 《信息系统安全等级保护基本要求》,对信息安全等级为三级以上
(含三级)信息系统中的商用密码系统进行测评。的商用密码系统安全等级保护
测评工作拟分以下三个阶段:测评申请阶段、现场检测阶段、报告与结论阶段。
在信息安全合规性要求中,等级保护和分级保护以其涉与范围广,实施具有
高度专业化和复杂性的特点,成为信息安全合规测评工作的重点和难点,后面的
文章将会对这两个概念进行重点解读。
二、区分信息安全等级保护与分级保护
通过上文我们知道,信息安全等级保护与分级保护是在信息安全合规测评中
两个非常重要的概念,二者密切相关又有区别。XX 省软件评测中心结合在等级
保护测评和分级保护测评中的具体实践,对等级保护和分级保护进行详细介绍,
理清两者间的关联。
1、信息系统等级保护
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,
是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其
中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系
统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重
要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规
律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。
信息系统安全等级保护将安全保护的监管级别划分为五个级别:
第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以与
采用何种方式进行保护。
第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,
支持用户具有更强的自主保护能力,特别是具有访问审计能力。
第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它
. .
剩余13页未读,继续阅读
资源评论
不吃鸳鸯锅
- 粉丝: 8298
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功