【正文】 所侵害的客體 綜合評(píng)定對(duì)客體的侵害程度 確定定級(jí)對(duì)象 業(yè)務(wù)信息安全等級(jí) 定級(jí)對(duì)象的安全保護(hù)等級(jí) 確定系統(tǒng)服務(wù)安全受到 破壞時(shí)所侵害的客體 綜合評(píng)定對(duì)客體的侵害程度 系統(tǒng)服務(wù)安全等級(jí) 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 44 頁(yè) 等級(jí)保護(hù)的基本要求 ? 信息系統(tǒng)安全等級(jí)保護(hù)應(yīng)依據(jù)信息系統(tǒng)的安全保護(hù)等級(jí)情況保證它們具有相應(yīng)等級(jí)的基本安全保護(hù)能力， ? 不同安全保護(hù)等級(jí)的信息系統(tǒng)要求具有不同的安全保護(hù)能力。 ? 基本安全要求分為 基本技術(shù)要求 和 基本管理要求 兩大類(lèi)。二者都是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。 ? 信息系統(tǒng)具有的整體安全保護(hù)能力通過(guò)不同組件實(shí)現(xiàn)基本安全要求來(lái)保證。 ? 除了保證系統(tǒng)的每個(gè)組件滿足基本安全要求外，還要考慮組件之間的相互關(guān)系，來(lái)保證信息系統(tǒng)的整體安全保護(hù)能力。 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 45 頁(yè) 等級(jí)保護(hù)的基本要求 （續(xù)） 基本技術(shù)要求 基本管理要求 與信息系統(tǒng)提供的 技術(shù)安全機(jī)制 有關(guān)； 主要通過(guò)在信息系統(tǒng)中 部署軟硬件并正確的配置其安全功能 來(lái)實(shí)現(xiàn)。 與信息系統(tǒng)中 各種角色參與的活動(dòng) 有關(guān)； 主要通過(guò)控制各種角色的活動(dòng)， 從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定 來(lái)實(shí)現(xiàn)。 基本技術(shù)要求從 物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全 幾個(gè)層面提出。 從 安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理 幾個(gè)方面提出。 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 46 頁(yè) 基本技術(shù)要求的類(lèi)型 基本技術(shù)要求分為三種類(lèi)型： ? 保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類(lèi)要求（簡(jiǎn)記為 S）； ? 保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類(lèi)要求（簡(jiǎn)記為 A）； ? 通用安全保護(hù)類(lèi)要求（簡(jiǎn)記為 G）。 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 47 頁(yè) 等級(jí)保護(hù) 實(shí)施指南 基本原則：等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。等級(jí)保護(hù)在實(shí)施過(guò)程中應(yīng)遵循以下基本原則： ? 自主保護(hù)原則：由各主管部門(mén)和運(yùn)營(yíng)使用單位按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級(jí)自行組織實(shí)施安全保 ? 同步建設(shè)原則：信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 ? 重點(diǎn)保護(hù)原則： 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 ? 適當(dāng)調(diào)整原則：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。因?yàn)樾畔⑾到y(tǒng)的應(yīng)用類(lèi)型、范圍等條件的變化及其他原因，安全等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級(jí)，根據(jù)信息系統(tǒng)安全等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 48 頁(yè) 等級(jí)保護(hù) 實(shí)施指南 角色和職責(zé)： 對(duì)一個(gè)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的過(guò)程中涉及到各類(lèi)組織和人員，他們將會(huì)參與不同的或相同的活動(dòng)， 等級(jí)保護(hù)標(biāo)準(zhǔn)將參與等級(jí)保護(hù)過(guò)程的各類(lèi)組織和人員劃分為主要角色和次要角色。其中： ? 主要角色將參與等級(jí)保護(hù)實(shí)施過(guò)程的所有活動(dòng)， ? 次要角色將參與等級(jí)保護(hù)實(shí)施過(guò)程的某一個(gè)或多個(gè)活動(dòng)。 ? 主要角色是指信息系統(tǒng)主管部門(mén)和信息系統(tǒng)運(yùn)營(yíng)、使用單位； ? 次要角色是指信息系統(tǒng)安全服務(wù)商、信息安全監(jiān)管機(jī)構(gòu)、安全測(cè)評(píng)機(jī)構(gòu)和安全產(chǎn)品提供商 。 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 49 頁(yè) 等級(jí)保護(hù) 實(shí)施的基本過(guò)程 系統(tǒng)定級(jí) 安全規(guī)劃設(shè)計(jì) 安全實(shí)施 安全運(yùn)維 系統(tǒng)終止 重大變更 局部調(diào)整 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 50 頁(yè) 等級(jí)保護(hù)實(shí)施過(guò)程的主要活動(dòng) 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 51 頁(yè) 等級(jí)保護(hù)過(guò)程與信息系統(tǒng)生命周期對(duì)應(yīng)關(guān)系 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 52 頁(yè) 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國(guó)際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國(guó)際標(biāo)準(zhǔn) – COBIT 4. 國(guó)內(nèi)標(biāo)準(zhǔn) －等級(jí)保護(hù) 5. 安全標(biāo)準(zhǔn)的總結(jié) 6. 問(wèn)題與回答 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 53 頁(yè) 信息安全標(biāo)準(zhǔn)總結(jié) 世界各國(guó)近幾年來(lái)發(fā)布了各種各樣的信息安全標(biāo)準(zhǔn)。 各種標(biāo)準(zhǔn)的對(duì)象、目的和范圍都有所不同。 各個(gè)標(biāo)準(zhǔn)之間盡管側(cè)重點(diǎn)不同，但原則上也有很多共同之處： ? 基于風(fēng)險(xiǎn)，即以信息安全風(fēng)險(xiǎn)為主要的探討對(duì)象，為組織如何管理信息安全風(fēng)險(xiǎn)提供指導(dǎo)； ? 提供有關(guān)安全控制的操作實(shí)踐； 各個(gè)標(biāo)準(zhǔn)建議的操作實(shí)踐本身基本沒(méi)有沖突。 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 54 頁(yè) 關(guān)注的安全領(lǐng)域 安全標(biāo)準(zhǔn) 關(guān)注的安全領(lǐng)域 安全管理組件 安全原則 概括性的安全控制 詳細(xì)的控制活動(dòng) 安全模型或方法論 ISO/IEC 17799 √ ISO/IEC 13335 √ √ √ √ ISO/TR 13569 √ √ ISO/IEC 15408 √ √ COBIT √ √ √ 等級(jí)保護(hù) √ √ √ 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 55 頁(yè) 關(guān)注的信息技術(shù)資源 安全標(biāo)準(zhǔn) 關(guān)注的信息技術(shù)資源 人員 People 應(yīng)用程序 Applications 技術(shù) Technology 設(shè)施 Facilities 數(shù)據(jù) Data ISO/IEC 17799 ＋ ＋ ＋ ＋ O ISO/IEC 13335 ＋ ＋ ＋ ＋ ＋ ISO/TR 13569 ＋ ＋ ＋ ＋ O ISO/IEC 15408 ＋ ＋ ＋ O ＋ COBIT ＋ ＋ ＋ ＋ ＋ 等級(jí)保護(hù) O ＋ ＋ ＋ O 注釋?zhuān)? ＋：較多描述 O: 中等詳細(xì)程度 －：較少描述 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 56 頁(yè) 認(rèn)證 安全標(biāo)準(zhǔn) 認(rèn)證信息 ISO/IEC 17799 本身不提供認(rèn)證，但可以作為 BS7799的認(rèn)證參考指引。 ISO/IEC 13335 不提供認(rèn)證。 ISO/TR 13569 不提供認(rèn)證。 ISO/IEC 15408 為安全產(chǎn)品和系統(tǒng)提供認(rèn)證標(biāo)準(zhǔn)。 COBIT 不提供認(rèn)證。 等級(jí)保護(hù) 不適用。 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 57 頁(yè) 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國(guó)際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國(guó)際標(biāo)準(zhǔn) – COBIT 4. 國(guó)內(nèi)標(biāo)準(zhǔn) －等級(jí)保護(hù) 5. 安全標(biāo)準(zhǔn)的總結(jié) 6. 問(wèn)題與回答 169。 2022 普華永道版權(quán)所有。「普華永道」乃指 PricewaterhouseCoopers旗下之中國(guó)內(nèi)地機(jī)構(gòu)，或視乎上文下理之含義，泛指 PricewaterhouseCoopers International Limited之成員機(jī)構(gòu)網(wǎng)絡(luò)，而其中每個(gè)成員均為個(gè)別及獨(dú)立之法律實(shí)體。 *connectedthinking 為 PricewaterhouseCoopers 之商標(biāo)。 謝謝大家！ 信息安全標(biāo)準(zhǔn) 2022年 4月 3日 季瑞華 合伙人 系統(tǒng)和流程管理 中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)培訓(xùn)