【正文】 2023年 2月 27日星期一 5時 24分 48秒 17:24:4827 February 2023 1一個人即使已登上頂峰，也仍要自強(qiáng)不息。 2023年 2月 27日星期一 下午 5時 24分 48秒 17:24: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。勝人者有力，自勝者強(qiáng)。 :24:4817:24Feb2327Feb23 1越是無能的人，越喜歡挑剔別人的錯兒。 , February 27, 2023 閱讀一切好書如同和過去最杰出的人談話。 2023年 2月 27日星期一 5時 24分 48秒 17:24:4827 February 2023 1空山新雨后，天氣晚來秋。 2023年 2月 27日星期一 下午 5時 24分 48秒 17:24: 1楚塞三湘接，荊門九派通。 17:24:4817:24:4817:24Monday, February 27, 2023 1不知香積寺，數(shù)里入云峰。 17:24:4817:24:4817:242/27/2023 5:24:48 PM 1成功就是日復(fù)一日那一點點小小努力的積累。 下午 5時 24分 48秒 下午 5時 24分 17:24: 沒有失敗，只有暫時停止成功！。 2023年 2月 下午 5時 24分 :24February 27, 2023 1行動出成果，工作出財富。 :24:4817:24:48February 27, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 :24:4817:24Feb2327Feb23 1故人江海別，幾度隔山川。 , February 27, 2023 雨中黃葉樹，燈下白頭人。 *connectedthinking 為 PricewaterhouseCoopers 之商標(biāo)。 2023 普華永道版權(quán)所有。 56 169。 COBIT 不提供認(rèn)證。 ISO/TR 13569 不提供認(rèn)證。 2023 普華永道版權(quán)所有 2023 年 4 月 認(rèn)證 安全標(biāo)準(zhǔn) 認(rèn)證信息 ISO/IEC 17799 本身不提供認(rèn)證，但可以作為 BS7799的認(rèn)證參考指引。 2023 普華永道版權(quán)所有 2023 年 4 月 關(guān)注的安全領(lǐng)域 安全標(biāo)準(zhǔn) 關(guān)注的安全領(lǐng)域 安全管理組件 安全原則 概括性的安全控制 詳細(xì)的控制活動 安全模型或方法論 ISO/IEC 17799 √ ISO/IEC 13335 √ √ √ √ ISO/TR 13569 √ √ ISO/IEC 15408 √ √ COBIT √ √ √ 等級保護(hù) √ √ √ 54 169。 各個標(biāo)準(zhǔn)之間盡管側(cè)重點不同，但原則上也有很多共同之處： ? 基于風(fēng)險，即以信息安全風(fēng)險為主要的探討對象，為組織如何管理信息安全風(fēng)險提供指導(dǎo)； ? 提供有關(guān)安全控制的操作實踐； 各個標(biāo)準(zhǔn)建議的操作實踐本身基本沒有沖突。 2023 普華永道版權(quán)所有 2023 年 4 月 信息安全標(biāo)準(zhǔn)總結(jié) 世界各國近幾年來發(fā)布了各種各樣的信息安全標(biāo)準(zhǔn)。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù)過程與信息系統(tǒng)生命周期對應(yīng)關(guān)系 51 169。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù) 實施的基本過程 系統(tǒng)定級 安全規(guī)劃設(shè)計 安全實施 安全運維 系統(tǒng)終止 重大變更 局部調(diào)整 49 169。 ? 主要角色是指信息系統(tǒng)主管部門和信息系統(tǒng)運營、使用單位； ? 次要角色是指信息系統(tǒng)安全服務(wù)商、信息安全監(jiān)管機(jī)構(gòu)、安全測評機(jī)構(gòu)和安全產(chǎn)品提供商 。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù) 實施指南 角色和職責(zé)： 對一個信息系統(tǒng)實施等級保護(hù)的過程中涉及到各類組織和人員，他們將會參與不同的或相同的活動， 等級保護(hù)標(biāo)準(zhǔn)將參與等級保護(hù)過程的各類組織和人員劃分為主要角色和次要角色。因為信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級，根據(jù)信息系統(tǒng)安全等級的調(diào)整情況，重新實施安全保護(hù)。 ? 重點保護(hù)原則： 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同安全等級的信息系統(tǒng)，實現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù) 實施指南 基本原則：等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。 2023 普華永道版權(quán)所有 2023 年 4 月 基本技術(shù)要求的類型 基本技術(shù)要求分為三種類型： ? 保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改的信息安全類要求（簡記為 S）； ? 保護(hù)系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求（簡記為 A）； ? 通用安全保護(hù)類要求（簡記為 G）。 從 安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理 幾個方面提出。 與信息系統(tǒng)中 各種角色參與的活動 有關(guān)； 主要通過控制各種角色的活動， 從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定 來實現(xiàn)。 44 169。 ? 信息系統(tǒng)具有的整體安全保護(hù)能力通過不同組件實現(xiàn)基本安全要求來保證。 ? 基本安全要求分為 基本技術(shù)要求 和 基本管理要求 兩大類。具體流程為： 確定業(yè)務(wù)信息安全受到 破壞時所侵害的客體 綜合評定對客體的侵害程度 確定定級對象 業(yè)務(wù)信息安全等級 定級對象的安全保護(hù)等級 確定系統(tǒng)服務(wù)安全受到 破壞時所侵害的客體 綜合評定對客體的侵害程度 系統(tǒng)服務(wù)安全等級 42 169。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù)監(jiān)管級別與等級對應(yīng)情況 等級 對象 侵害客體 侵害程度 監(jiān)管強(qiáng)度 第一級 一般系統(tǒng) 合法權(quán)益 損害 自主保護(hù) 第二級 合法權(quán)益 嚴(yán)重?fù)p害 指導(dǎo) 社會秩序和公共利益 損害 第三級 重要系統(tǒng) 社會秩序和公共利益 嚴(yán)重?fù)p害 監(jiān)督檢查 國家安全 損害 第四級 社會秩序和公共利益 特別嚴(yán)重?fù)p害 強(qiáng)制監(jiān)督檢查 國家安全 嚴(yán)重?fù)p害 第五級 極端重要系統(tǒng) 國家安全 特別嚴(yán)重?fù)p害 專門監(jiān)督檢查 41 169。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù)定級要素 受侵害的客體 ? 公民，法人和其他組織的合法權(quán)益 ? 社會秩序，公共利益 ? 國家安全 對客體的侵害程度 ? 造成一般損害 ? 造成嚴(yán)重?fù)p害 ? 造成特別嚴(yán)重?fù)p害 39 169。 ? 第五級，?？乇Ｗo(hù)級 ：信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。 ? 第三級，監(jiān)督保護(hù)級 ：信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù)的分級 等級保護(hù)分為 5級管理制度： ? 第一級，自主保護(hù)級 ：信息系統(tǒng)受到破壞后，會對公民，法人和其他組織的合法權(quán)益造成損害，但不損害國家安全，社會秩序和公共利益?！? 《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》重點強(qiáng)調(diào)： “ 實行信息安全等級保護(hù)制度，重點保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定。 36 169。國家對信息安全等級保護(hù)工作運用法律和技術(shù)規(guī)范逐級加強(qiáng)監(jiān)管力度。 2023 普華永道版權(quán)所有 2023 年 4 月 等級保護(hù)是什么？ 等級保護(hù)基本概念：信息系統(tǒng)安全等級保護(hù)是指對信息安全實行等級化保護(hù)和等級化管理 ? 根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求，實行分級、分類、分階段實施保護(hù)，保障信息安全和系統(tǒng)安全正常運行，維護(hù)國家利益、公共利益和社會穩(wěn)定。 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會包括四個工作組： 1. 信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組 2. PKI和 PMI工作組 3. 信息安全評估工作組 4. 信息安全管理工作組 截至 2023年底，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會已經(jīng)完成了國家標(biāo)準(zhǔn) 59項，還有 56項國家標(biāo)準(zhǔn)在研制中。 2023年，國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)成立全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會，簡稱“全國安標(biāo)委”。 2023 普華永道版權(quán)所有 2023 年 4 月 提綱 1. 信息安全標(biāo)準(zhǔn)概述 2. 國際標(biāo)準(zhǔn) – ISO/IEC 系列信息安全標(biāo)準(zhǔn) 3. 國際標(biāo)準(zhǔn) – COBIT 4. 國內(nèi)標(biāo)準(zhǔn) －等級保護(hù) 5. 安全標(biāo)準(zhǔn)的總結(jié) 6. 問題與回答 34 169。 20