freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

電子政務信息安全等級保護的原理-資料下載頁

2025-07-27 00:15本頁面
  

【正文】 帶來新的安全風險。 等級評估與驗收完成電子政務系統(tǒng)定級、安全措施選擇與實施之后,應啟動等級評估與驗收工作,以便評估電子政務系統(tǒng)是否滿足信息安全等級保護的要求,并由電子政務系統(tǒng)的擁有單位或主管單位組織驗收。電子政務等級保護工作的等級評估可以采取以下三種方式:a) 自評估自評估是由電子政務系統(tǒng)的擁有單位組織單位內部人員,評估本單位的電子政務系統(tǒng)是否滿足電子政務信息安全等級保護的要求。b) 檢查評估檢查評估是由信息安全主管機關或業(yè)務主管機關發(fā)起,依據(jù)已經(jīng)頒布的電子政務等級保護的法規(guī)或標準進行的評估活動。c) 委托評估委托評估指信息系統(tǒng)擁有單位委托具有風險評估能力的專業(yè)評估機構(包括國家建立的測評認證機構或安全企業(yè))實施的評估活動。電子政務系統(tǒng)的擁有單位應根據(jù)系統(tǒng)的安全等級選擇一種或多種評估模式。等級評估結束后,應由電子政務系統(tǒng)的擁有單位或主管單位主持驗收工作,確定完成等級保護建設工作的電子政務系統(tǒng)是否達到相應的安全等級,以及是否可以投入運行。 運行監(jiān)控與改進電子政務等級保護在完成實施、評估與驗收工作之后,則進入了安全運行與改進階段。這一階段的主要工作是對系統(tǒng)的安全風險和等級保護體系的運行狀況進行持續(xù)監(jiān)控,確保在系統(tǒng)發(fā)生變化、系統(tǒng)的安全風險發(fā)生變化的情況下,能夠及時調整系統(tǒng)的安全措施,并在系統(tǒng)或系統(tǒng)的安全風險發(fā)生重大變化時,進行系統(tǒng)的重新定級和安全措施的調整,以確保系統(tǒng)得到相應的保護。等級保護的運行改進過程如圖52 所示。附錄A 術語與定義a) 信息資產(chǎn)對組織具有價值的信息資源,是安全策略保護的對象。資產(chǎn)價值是資產(chǎn)的屬性,也是進行資產(chǎn)識別的主要內容。b) 服務信息系統(tǒng)通過提供某些功能來滿足用戶需求的過程。c) 信息系統(tǒng)生命周期信息系統(tǒng)生命周期是某一信息系統(tǒng)從無到有,再到廢棄的整個過程,包括規(guī)劃、設計、實施、運維和廢棄五個階段。d) 威脅可能對資產(chǎn)或組織造成損害的潛在原因。威脅可以通過威脅主體、資源、動機、途徑等多種屬性來刻畫。e) 脆弱性可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)。f) 影響信息安全事件造成的后果。g) 風險風險是指人為或自然的威脅利用系統(tǒng)存在的脆弱性,導致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響這兩種指標來衡量。h) 信息安全風險評估依據(jù)有關信息安全技術與管理標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。i) 風險管理組織中識別風險、分析風險和控制風險的活動。j) 安全措施保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響,以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。附錄B 大型復雜電子政務系統(tǒng)等級保護實施過程示例 大型復雜電子政務系統(tǒng)描述大型復雜電子政務系統(tǒng)主要是指涉及多個行政級別、多種網(wǎng)絡以及各類繁雜的信息系統(tǒng)等特征的系統(tǒng),一般具有以下特點:a) 覆蓋多級行政級別,涉及的部門多、范圍和地域廣;b) 信息系統(tǒng)種類繁多、應用眾多、服務類型多并且結構復雜;c) 網(wǎng)絡建設涉及涉密政務內網(wǎng)、涉密和非涉密政務專網(wǎng)、政務外網(wǎng)以及互聯(lián)網(wǎng)。大型復雜電子政務系統(tǒng)信息安全建設保障工作目前存在的主要困難包括:1) 信息安全涵蓋內容極為廣泛,從物理安全,網(wǎng)絡安全,系統(tǒng)安全一直到應用安全,數(shù)據(jù)安全,安全管理,安全組織等等,凡是涉及到影響正常運行的和業(yè)務連續(xù)性的都可以認為是信息安全問題;2) 安全保障是個系統(tǒng)化的工程,各個要素之間存在緊密聯(lián)系,互相依賴,牽一發(fā)而動全身;3) 安全保障是個長期性的工作,伴隨信息系統(tǒng)的整個生命周期,是一個不斷實施、檢查和改進的過程;4) 不同行業(yè)、不同信息化發(fā)展階段、不同地域和行政隸屬層次的安全要求屬性和強度存在較大差異性;5) 安全保障除了耗費人力財力,還會損失易用性,降低效率,所以應該考慮信息安全要求與資金人力投入的平衡,控制安全的成本。 等級保護實施過程描述大型復雜電子政務系統(tǒng)的等級保護實施過程應符合等級保護的整體實施過程,但對于這類電子政務系統(tǒng)由于存在系統(tǒng)復雜、龐大、行政級別多以及涉及范圍廣等特點,因此建議在各階段增加以下相關工作和實施方法:第一階段:定級階段本階段主要的三個步驟包括系統(tǒng)識別與描述、子系統(tǒng)劃分以及對于系統(tǒng)總體和子系統(tǒng)進行定級,對于大型復雜電子政務系統(tǒng)建議在進行系統(tǒng)識別和子系統(tǒng)劃分的過程中結合“系統(tǒng)分域保護框架”的設計思路進行不同層次劃分,可以從整體的角度出發(fā),根據(jù)適合的劃分方法進行整體性劃分(例如行政級別、行政區(qū)域以及網(wǎng)絡等要素),也可以從各個子系統(tǒng)的角度出發(fā),總結和歸類進行合并,最終形成多個層次的保護對象。每個層次的保護對象都能夠對應相應的等級,形成“等級系統(tǒng)分域保護框架”。這里建議從整體角度出發(fā)進行劃分,從子系統(tǒng)的角度出發(fā)進行驗證,形成從下到上和從上到下的統(tǒng)一和平衡。第二階段:規(guī)劃與設計階段本階段主要的三個步驟包括系統(tǒng)分域保護框架建立、選擇和調整五個等級基本安全要求、安全規(guī)劃和方案設計。對于大型復雜電子政務系統(tǒng)在選擇和調整安全措施等級時建議首先根據(jù)行業(yè)背景、政府職能特征以及相對應的安全特性整體進行安全措施指標的選擇,制定相關行業(yè)和政務機構的五個等級整體的基本安全要求,在這個基礎上相關的各級部門和政務機構可以根據(jù)已經(jīng)選擇的安全等級指標進行進一步的修訂和細化,這樣可以確保從整體性出發(fā)安全措施的有效性和可控性;在進行安全規(guī)劃與方案設計的過程時,不僅要根據(jù)不同安全等級系統(tǒng)選擇不同安全措施進行規(guī)劃和方案設計,這里建議采用“體系化”設計的方法,既能夠從整體上進行統(tǒng)一規(guī)劃,又能夠通過安全解決方案解決現(xiàn)有安全問題,同時覆蓋安全的各個層面,實現(xiàn)了等級化和體系化的相互結合,最終形成等級化的安全體系。第三階段:實施階段本階段主要是對等級保護的具體實施,在實施的過程中,針對大型復雜電子政務系統(tǒng)建議采用“基礎平臺”的安全措施建設方法,結合安全體系的內容對于需要統(tǒng)一規(guī)劃的基礎性工作進行總體性考慮,建立基于平臺概念的基礎性設施。在具體實施過程中可以考慮建立“管理基礎平臺”,平臺中包括策略體系、組織體系以及運作體系,能夠實現(xiàn)安全管理的整體性運作;建立“技術基礎平臺”,把支撐性基礎設施的實現(xiàn)采用基礎平臺方法,例如統(tǒng)一認證平臺、監(jiān)控和審計平臺等。 系統(tǒng)劃分與定級 系統(tǒng)識別和子系統(tǒng)劃分對于大型復雜電子政務系統(tǒng)進行系統(tǒng)識別時,首先要進行整體性信息描述,包括系統(tǒng)基本信息、涉及部門以及范圍等相關信息,同時還要對劃分后的不同層次的子系統(tǒng)分別進行描述,進一步細化系統(tǒng)信息、范圍、邊界以及功能和服務。在對于大型復雜電子政務系統(tǒng)進行子系統(tǒng)劃分的過程中,應從整體性出發(fā),結合系統(tǒng)分域保護框架的思路,分層次進行劃分??梢詤⒄找韵虏襟E進行子系統(tǒng)劃分:第一步:按照行政級別和行政區(qū)域進行第一層系統(tǒng)的劃分,將整個系統(tǒng)劃分為總部子系統(tǒng)、省級子系統(tǒng)、地市級子系統(tǒng)、縣區(qū)級子系統(tǒng);第二步:按照系統(tǒng)所屬的網(wǎng)絡進行第二層系統(tǒng)的劃分,將第一層系統(tǒng)進一步劃分為涉密網(wǎng)子系統(tǒng)、外網(wǎng)子系統(tǒng)和互聯(lián)網(wǎng)接入子系統(tǒng);第三步:按照系統(tǒng)功能和系統(tǒng)服務的對象進行第三次系統(tǒng)的劃分,將第二層系統(tǒng)分解為具有不同功能、不同服務對象的子系統(tǒng)。進行上述三層系統(tǒng)分解之后,第三層子系統(tǒng)大部分應該能夠滿足系統(tǒng)定級的要求,可以不再細分,如果個別系統(tǒng)還很復雜的話,這些系統(tǒng)可再分解一層。 系統(tǒng)安全等級確定 定級方式大型復雜系統(tǒng)的定級一般是自上向下和自下向上兩種定級方法結合使用,并且會經(jīng)過初始定級和調整定級的過程。首先按自上向下的方法進行初始的總體定級,以初始的總體等級為基礎,逐層對下層系統(tǒng)進行定級,之后再按自下向上的方法從底層系統(tǒng)開始逐層向上修正、調整并確定各層系統(tǒng)的最終等級。 定級方法對于大型復雜電子政務系統(tǒng),在判斷系統(tǒng)的安全等級的過程中,系統(tǒng)自身的重要性對安全屬性等級的確定有重要的影響,因此在進行安全等級判定時最好能夠充分判斷系統(tǒng)自身的等級。本過程中,系統(tǒng)等級的確定可以直接影響系統(tǒng)安全等級的可用性等級的確定,在確定可用性等級時,需要把對于系統(tǒng)等級確定的要素作為影響性的直接參考要素,以便確定可用性等級。系統(tǒng)等級確定的參考要素可以包括:a) 系統(tǒng)涉及到的用戶數(shù)量;b) 系統(tǒng)涉及到的用戶級別;c) 系統(tǒng)對于業(yè)務或政務運作的支撐程度;d) 系統(tǒng)對于其他系統(tǒng)的影響程度;e) 系統(tǒng)是否是國家戰(zhàn)略發(fā)展的重要組成部分;f) 系統(tǒng)是否支撐政務機構的重點發(fā)展工作。 系統(tǒng)分域保護框架結合系統(tǒng)分域保護框架的分析方法,經(jīng)過系統(tǒng)識別、子系統(tǒng)劃分和系統(tǒng)定級之后,形成的系統(tǒng)分域保護框架如下圖所示(以某“金”字工程為例):__本案例中的電子政務系統(tǒng)縱向覆蓋了五個行政級別,分別為中央節(jié)點、直屬節(jié)點、省級節(jié)點、地市級節(jié)點和縣級節(jié)點,橫向覆蓋了國家政務內網(wǎng)、國家政務外圍、互聯(lián)網(wǎng)三類網(wǎng)絡平臺。根據(jù)已經(jīng)識別的保護對象的整體框架,可以看到:第一層保護對象包括3個計算環(huán)境、3個區(qū)域邊界、3個網(wǎng)絡基礎設施;第二層保護對象包括13個計算環(huán)境、13個區(qū)域邊界、13個網(wǎng)絡基礎設施;第三層保護對象包括44個計算環(huán)境、44個區(qū)域邊界、13個網(wǎng)絡基礎設施。通過對等級保護的對象整體的定級、業(yè)務系統(tǒng)的影響、信息與資產(chǎn)影響的判斷,可以基本確定各層保護對象匯總及定級表(示例)如下:53 / 53
點擊復制文檔內容
醫(yī)療健康相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1