【正文】 謝謝大家！ 信息安全標準 2022年 4月 3日 季瑞華 合伙人 系統(tǒng)和流程管理 中國銀行業(yè)監(jiān)督管理委員會培訓 ?！钙杖A永道」乃指 PricewaterhouseCoopers旗下之中國內(nèi)地機構(gòu)，或視乎上文下理之含義，泛指 PricewaterhouseCoopers International Limited之成員機構(gòu)網(wǎng)絡，而其中每個成員均為個別及獨立之法律實體。 2022 普華永道版權(quán)所有 2022 年 4 月 第 57 頁 提綱 1. 信息安全標準概述 2. 國際標準 – ISO/IEC 系列信息安全標準 3. 國際標準 – COBIT 4. 國內(nèi)標準 －等級保護 5. 安全標準的總結(jié) 6. 問題與回答 169。 等級保護 不適用。 ISO/IEC 15408 為安全產(chǎn)品和系統(tǒng)提供認證標準。 ISO/IEC 13335 不提供認證。 2022 普華永道版權(quán)所有 2022 年 4 月 第 55 頁 關注的信息技術(shù)資源 安全標準 關注的信息技術(shù)資源 人員 People 應用程序 Applications 技術(shù) Technology 設施 Facilities 數(shù)據(jù) Data ISO/IEC 17799 ＋ ＋ ＋ ＋ O ISO/IEC 13335 ＋ ＋ ＋ ＋ ＋ ISO/TR 13569 ＋ ＋ ＋ ＋ O ISO/IEC 15408 ＋ ＋ ＋ O ＋ COBIT ＋ ＋ ＋ ＋ ＋ 等級保護 O ＋ ＋ ＋ O 注釋： ＋：較多描述 O: 中等詳細程度 －：較少描述 169。 169。 各種標準的對象、目的和范圍都有所不同。 2022 普華永道版權(quán)所有 2022 年 4 月 第 52 頁 提綱 1. 信息安全標準概述 2. 國際標準 – ISO/IEC 系列信息安全標準 3. 國際標準 – COBIT 4. 國內(nèi)標準 －等級保護 5. 安全標準的總結(jié) 6. 問題與回答 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 50 頁 等級保護實施過程的主要活動 169。 169。其中： ? 主要角色將參與等級保護實施過程的所有活動， ? 次要角色將參與等級保護實施過程的某一個或多個活動。 169。 ? 適當調(diào)整原則：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。等級保護在實施過程中應遵循以下基本原則： ? 自主保護原則：由各主管部門和運營使用單位按照國家相關法規(guī)和標準，自主確定信息系統(tǒng)的安全等級自行組織實施安全保 ? 同步建設原則：信息系統(tǒng)在新建、改建、擴建時應當同步規(guī)劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應。 169。 169。 基本技術(shù)要求從 物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全 幾個層面提出。 2022 普華永道版權(quán)所有 2022 年 4 月 第 45 頁 等級保護的基本要求 （續(xù)） 基本技術(shù)要求 基本管理要求 與信息系統(tǒng)提供的 技術(shù)安全機制 有關； 主要通過在信息系統(tǒng)中 部署軟硬件并正確的配置其安全功能 來實現(xiàn)。 ? 除了保證系統(tǒng)的每個組件滿足基本安全要求外，還要考慮組件之間的相互關系，來保證信息系統(tǒng)的整體安全保護能力。二者都是確保信息系統(tǒng)安全不可分割的兩個部分。 2022 普華永道版權(quán)所有 2022 年 4 月 第 44 頁 等級保護的基本要求 ? 信息系統(tǒng)安全等級保護應依據(jù)信息系統(tǒng)的安全保護等級情況保證它們具有相應等級的基本安全保護能力， ? 不同安全保護等級的信息系統(tǒng)要求具有不同的安全保護能力。 2022 普華永道版權(quán)所有 2022 年 4 月 第 42 頁 等級保護定級流程 信息系統(tǒng)安全包括業(yè)務信息安全和系統(tǒng)服務安全，與之相關的受侵害客體和對客體得侵害程度可能不同，因此信息系統(tǒng)定級也應由業(yè)務信息安全和系統(tǒng)服務安全兩方面確定。 2022 普華永道版權(quán)所有 2022 年 4 月 第 40 頁 安全保護要素與等級關系 業(yè)務信息安全被破壞時所侵害的客體 對相應客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民、法人和其他組織的合法權(quán)益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 169。 169。 ? 第四級，強制保護級 ：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成嚴重損害。 ? 第二級，指導保護級 ：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 ” 169。 ” 《計算機信息系統(tǒng)安全保護等級劃分準則》 GB178591999（ 技術(shù)法規(guī)）規(guī)定： “ 國家對信息系統(tǒng)實行五級保護。 2022 普華永道版權(quán)所有 2022 年 4 月 第 37 頁 等級保護法律和政策依據(jù) 《中華人民共和國計算機信息系統(tǒng)安全保護條例》第二章安全保護制度部分規(guī)定： “ 計算機信息系統(tǒng)實行安全等級保護。突出重點，保障重要信息資源和重要信息系統(tǒng)的安全。 ? 等級保護的核心是對信息系統(tǒng)特別是對業(yè)務應用系統(tǒng)安全分等級、按標準進行建設、管理和監(jiān)督。 169。標準委員會的標號是 TC260。 2022 普華永道版權(quán)所有 2022 年 4 月 第 35 頁 全國信息安全標準化技術(shù)委員會簡介 中國從 1984年開始就組建了數(shù)據(jù)加密技術(shù)委員會，并在 1997年 8月，將該委員會改組為全國信息技術(shù)標準化分技術(shù)委員會，主要負責制定信息安全的國家標準。 CobiT中定義的 IT資源包括如下方面： ? 應用系統(tǒng)：處理信息的自動化信息系統(tǒng)及相應手冊程序 ? 信息：信息系統(tǒng)輸入、處理和輸出的所有形式的數(shù)據(jù)，可以被業(yè)務以任何形式使用 ? 基礎架構(gòu)：保障應用系統(tǒng)處理信息所需的技術(shù)和設施（硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡、多媒體，以及放置上述設施所需的環(huán)境） ? 人員：策劃、組織、采購、實施、交付、支持、監(jiān)控和評價信息系統(tǒng)和服務所需的人員，可以是內(nèi)部的也可以是外部的 應用系統(tǒng) 信息 基礎架構(gòu) 人員 IT 資源 信息處理要求 IT 流程 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 32 頁 COBIT框架的原理 有效性 應以及時、正確、一致及可用的方式與業(yè)務流程有關的信息 效率 通過優(yōu)化（生產(chǎn)率最高且經(jīng)濟合理）資源使用來交付信息 保密性 保護敏感信息免受未授權(quán)訪問 完整性 信息的正確和完整，并根據(jù)業(yè)務價值和期望進行嚴正 可用性 若業(yè)務流程現(xiàn)在或?qū)懋a(chǎn)生需要，信息是可用的，關注于保護所需的資源及相應的能力 合規(guī)性 外部合規(guī)性和內(nèi)部合規(guī)性，滿足業(yè)務流程必須遵循的法律、法規(guī)及合同要求 可靠性 為管理者提供適當信息，以檢驗管理者的履職程度和職責 可信性需求 安全需求 質(zhì)量需求 信息處理要求 IT 資源 IT流程 169。 2022 普華永道版權(quán)所有 2022 年 4 月 第 30 頁 COBIT的組件 實施概要 管理層指引 具體控制目標 構(gòu)架 伴隨高級控制目標 關鍵職能和目標說明 關鍵的成功因素 成熟的模板 審計指引 實施工具 169。 169。 ? 2022年： COBIT指導委員會公布 COBIT第 四 版 。 ? 1998年： COBIT指導委員會公布 COBIT第二版，將第一版之 32個 高級控制目標 (High Level Control Objectives)擴充成 34個 。 2022 普華永道版權(quán)所有 2022 年 4 月