【正文】 ? 造成嚴(yán)重?fù)p害 ? 造成特別嚴(yán)重?fù)p害 39 169。具體流程為： 確定業(yè)務(wù)信息安全受到 破壞時所侵害的客體 綜合評定對客體的侵害程度 確定定級對象 業(yè)務(wù)信息安全等級 定級對象的安全保護(hù)等級 確定系統(tǒng)服務(wù)安全受到 破壞時所侵害的客體 綜合評定對客體的侵害程度 系統(tǒng)服務(wù)安全等級 42 169。 ? 信息系統(tǒng)具有的整體安全保護(hù)能力通過不同組件實(shí)現(xiàn)基本安全要求來保證。 與信息系統(tǒng)中 各種角色參與的活動 有關(guān)； 主要通過控制各種角色的活動， 從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定 來實(shí)現(xiàn)。 2023 普華永道版權(quán)所有 2023 年 4 月 基本技術(shù)要求的類型 基本技術(shù)要求分為三種類型： ? 保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡記為 S）； ? 保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡記為 A）； ? 通用安全保護(hù)類要求（簡記為 G）。 ? 重點(diǎn)保護(hù)原則： 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全等級的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù) 實(shí)施指南 角色和職責(zé)： 對一個信息系統(tǒng)實(shí)施等級保護(hù)的過程中涉及到各類組織和人員，他們將會參與不同的或相同的活動， 等級保護(hù)標(biāo)準(zhǔn)將參與等級保護(hù)過程的各類組織和人員劃分為主要角色和次要角色。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù) 實(shí)施的基本過程 系統(tǒng)定級 安全規(guī)劃設(shè)計 安全實(shí)施 安全運(yùn)維 系統(tǒng)終止 重大變更 局部調(diào)整 49 169。 2023 普華永道版權(quán)所有 2023 年 4 月 信息安全標(biāo)準(zhǔn)總結(jié) 世界各國近幾年來發(fā)布了各種各樣的信息安全標(biāo)準(zhǔn)。 2023 普華永道版權(quán)所有 2023 年 4 月 關(guān)注的安全領(lǐng)域 安全標(biāo)準(zhǔn) 關(guān)注的安全領(lǐng)域 安全管理組件 安全原則 概括性的安全控制 詳細(xì)的控制活動 安全模型或方法論 ISO/IEC 17799 √ ISO/IEC 13335 √ √ √ √ ISO/TR 13569 √ √ ISO/IEC 15408 √ √ COBIT √ √ √ 等級保護(hù) √ √ √ 54 169。 ISO/TR 13569 不提供認(rèn)證。 56 169。 22:13:2023:13:2023:133/7/2023 10:13:20 PM 1以我獨(dú)沈久，愧君相見頻。 2023年 3月 7日星期二 下午 10時 13分 20秒 22:13: 1比不了得就不比，得不到的就不要。 下午 10時 13分 20秒 下午 10時 13分 22:13: 沒有失敗，只有暫時停止成功！。 22:13:2023:13:2023:13Tuesday, March 7, 2023 1不知香積寺，數(shù)里入云峰。 2023年 3月 下午 10時 13分 :13March 7, 2023 1少年十五二十時，步行奪得胡馬騎。 22:13:2023:13:2023:133/7/2023 10:13:20 PM 1越是沒有本領(lǐng)的就越加自命不凡。 :13:2023:13:20March 7, 2023 1意志堅強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 下午 10時 13分 20秒 下午 10時 13分 22:13: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 2023年 3月 下午 10時 13分 :13March 7, 2023 1業(yè)余生活要有意義，不要越軌。 22:13:2023:13:2023:13Tuesday, March 7, 2023 1知人者智，自知者明。 下午 10時 13分 20秒 下午 10時 13分 22:13: 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 7日星期二 下午 10時 13分 20秒 22:13: 1楚塞三湘接，荊門九派通。 22:13:2023:13:2023:133/7/2023 10:13:20 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 2023年 3月 下午 10時 13分 :13March 7, 2023 1行動出成果，工作出財富。 22:13:2023:13:2023:13Tuesday, March 7, 2023 1乍見翻疑夢，相悲各問年。 2023 普華永道版權(quán)所有 2023 年 4 月 靜夜四無鄰，荒居舊業(yè)貧。 COBIT 不提供認(rèn)證。 2023 普華永道版權(quán)所有 2023 年 4 月 認(rèn)證 安全標(biāo)準(zhǔn) 認(rèn)證信息 ISO/IEC 17799 本身不提供認(rèn)證，但可以作為 BS7799的認(rèn)證參考指引。 各個標(biāo)準(zhǔn)之間盡管側(cè)重點(diǎn)不同，但原則上也有很多共同之處： ? 基于風(fēng)險，即以信息安全風(fēng)險為主要的探討對象，為組織如何管理信息安全風(fēng)險提供指導(dǎo)； ? 提供有關(guān)安全控制的操作實(shí)踐； 各個標(biāo)準(zhǔn)建議的操作實(shí)踐本身基本沒有沖突。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù)過程與信息系統(tǒng)生命周期對應(yīng)關(guān)系 51 169。 ? 主要角色是指信息系統(tǒng)主管部門和信息系統(tǒng)運(yùn)營、使用單位； ? 次要角色是指信息系統(tǒng)安全服務(wù)商、信息安全監(jiān)管機(jī)構(gòu)、安全測評機(jī)構(gòu)和安全產(chǎn)品提供商 。因?yàn)樾畔⑾到y(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級，根據(jù)信息系統(tǒng)安全等級的調(diào)整情況，重新實(shí)施安全保護(hù)。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù) 實(shí)施指南 基本原則：等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。 從 安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理 幾個方面提出。 44 169。 ? 基本安全要求分為 基本技術(shù)要求 和 基本管理要求 兩大類。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù)監(jiān)管級別與等級對應(yīng)情況 等級 對象 侵害客體 侵害程度 監(jiān)管強(qiáng)度 第一級 一般系統(tǒng) 合法權(quán)益 損害 自主保護(hù) 第二級 合法權(quán)益 嚴(yán)重?fù)p害 指導(dǎo) 社會秩序和公共利益 損害 第三級 重要系統(tǒng) 社會秩序和公共利益 嚴(yán)重?fù)p害 監(jiān)督檢查 國家安全 損害 第四級 社會秩序和公共利益 特別嚴(yán)重?fù)p害 強(qiáng)制監(jiān)督檢查 國家安全 嚴(yán)重?fù)p害 第五級 極端重要系統(tǒng) 國家安全 特別嚴(yán)重?fù)p害 專門監(jiān)督檢查 41 169。 ? 第五級，?？乇Ｗo(hù)級 ：信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù)的分級 等級保護(hù)分為 5級管理制度： ? 第一級，自主保護(hù)級 ：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益造成損害，但不損害國家安全，社會秩序和公共利益。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定。國家對信息安全等級保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級加強(qiáng)監(jiān)管力度。 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會包括四個工作組： 1. 信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組 2. PKI和 PMI工作組 3. 信息安全評估工作組 4. 信息安全管理工作組 截至 2023年底，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會已經(jīng)完成了國家標(biāo)準(zhǔn) 59項，還有 56項國家標(biāo)準(zhǔn)在研制中。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國際標(biāo)準(zhǔn) – COBIT 4. 國內(nèi)標(biāo)準(zhǔn) －等級保護(hù) 5. 安全標(biāo)準(zhǔn)的總結(jié) 6. 問題與回答 34 169。 2023 普華永道版權(quán)所有 2023 年 4 月 COBIT框架的原理 控制領(lǐng)域 (Domains) 流程 (Processes) 活動 (Activities/Tasks) 人 力 資