第二章信息安全管理體系第

2

頁目錄Contents

Page01

信息安全管理體系概述02

BS

7799信息安全管理體系03

ISO

27000信息安全管理體系04

基于等級保護(hù)的信息安全管理體系05

信息安全管理體系的建立與認(rèn)證本章主要內(nèi)容包括以下內(nèi)容。1.

信息安全管理體系

(Information

Security

Management

SystemISMS)

是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這

些目標(biāo)所用的方法和手段所構(gòu)成的體系。信息安全管理體系的建立同樣需要采

用過程的方法，因此開發(fā)、實(shí)施和改進(jìn)一個組織的ISMS

的有效性同樣可參照

PDCA

模型。2.BS

7799與ISO

27000系列標(biāo)準(zhǔn)，作為信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)，是

全球業(yè)界一致公認(rèn)的輔助信息安全治理的手段。其基本內(nèi)容包括信息安全政

策、信息安全組織、信息資產(chǎn)分類與管理、人員信息安全、物理和環(huán)境安全、通信和運(yùn)營管理、訪問控制、信息系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、信息安全事件管理和符合性管理11個方面。3.

信息安全等級保護(hù)，是指根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定和保護(hù)公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險、應(yīng)對風(fēng)險的安全保護(hù)要求和成本開銷等因素，將其劃分成不同的安全保護(hù)等級，采取相應(yīng)的安全

保護(hù)措施，以保障信息和信息系統(tǒng)的安全?？梢园凑招畔踩燃壉Ｗo(hù)的思想

建立信息安全管理體系。4.

信息安全管理體系建立與認(rèn)證，不同的組織在建立與完善信息安全管理體系時，可根據(jù)自己的特點(diǎn)和具體情況采取不同的步驟和方法；信息安全管理體系第三方認(rèn)證為信息安全體系提供客觀公正的評價，具有更大的可信性，并且

能夠使用證書向利益相關(guān)的組織提供保證。本章重點(diǎn)：信息安全管理體系的內(nèi)涵和實(shí)施模型、典型信息安全管理體系、

信息安全管理體系的建立與認(rèn)證。本章難點(diǎn)：

信息安全管理體系的內(nèi)涵、信息安全管理體系的建立與認(rèn)證。2.1

信息安全管理體系概述2.1.1

信息安全管理體系的內(nèi)涵信息安全管理體系是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，

以及完成這些目標(biāo)所用的方法和手段所構(gòu)成的體系。信息安全管理體系是信息

安全管理活動的直接結(jié)果，表示為方針、原則、目標(biāo)、方法、計劃、活動、程

序、過程和資源的集合。1.ISMS

的范圍ISMS的范圍可以根據(jù)整個組織或者組織的一部分進(jìn)行定義，包括相關(guān)資

產(chǎn)、系統(tǒng)、

應(yīng)用、服務(wù)、網(wǎng)絡(luò)和應(yīng)用過程中的技術(shù)、存儲以及通信的信息等，

ISMS

的范圍可以包括如下內(nèi)容?！?/p>

組織所有的信息系統(tǒng)如下內(nèi)容?！?/p>

組織的部分信息系統(tǒng)如下內(nèi)容?！?/p>

特定的信息系統(tǒng)。2.ISMS

的特點(diǎn)信息安全管理管理體系是一個系統(tǒng)化、程序化和文件化的管理體系，應(yīng)具

有以下特點(diǎn)。●

體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估，體現(xiàn)以預(yù)防控制為主的

思想?！?/p>

強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其他合同方要求。●

強(qiáng)調(diào)全過程和動態(tài)控制，本著控制費(fèi)用與風(fēng)險平衡的原則合理選擇安全控制

方式?！?/p>

強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的

機(jī)密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務(wù)運(yùn)作的持續(xù)性。3.

建立ISMS的步驟不同的組織在建立與完善信息安全管理體系時，可根據(jù)自己的特點(diǎn)和具體

的情況，采取不同的步驟和方法。但總體來說，建立信息安全管理體系一般要

經(jīng)過下列五個基本步驟?！?/p>

信息安全管理體系的策劃與準(zhǔn)備?！?/p>

信息安全管理體系文件的編制。◆

建立信息安全管理框架。◆

信息安全管理體系的運(yùn)行。信息安全管理體系的審核與評審。4

.

ISMS的作用組織建立、實(shí)施與保持信息安全管理體系將會產(chǎn)生如下作用。強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為。促使管理層貫徹信息安全保障體系。對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢。在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度。使組織的生意伙伴和客戶對組織充滿信心。如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信

息，可以提高組織的知名度與信任度。2.1.2

PDCA循環(huán)1.PDCA

循環(huán)簡介PDCA

循環(huán)的概念最早是由美國質(zhì)量管理專家戴明提出來的，所以又稱為“戴明環(huán)”,在

質(zhì)量管理中應(yīng)用廣泛。

PDCA

的含義如下?！?/p>

P(Plan)—

計劃，確定方針和目標(biāo)，確定活動計劃?！?/p>

D(Do)

一實(shí)施，采取實(shí)際措施，實(shí)現(xiàn)計劃中的內(nèi)容。◆

C(Check)

一檢查，檢查并總結(jié)執(zhí)行計劃的結(jié)果，評價效果，找出問題。◆

A(Action)

一行動，對檢查總結(jié)的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)

準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個PDCA

循環(huán)。PDCA

循環(huán)的四個階段的具體任務(wù)和內(nèi)容如下。(1

)計劃階段：制定具體工作計劃，提出總的目標(biāo)。具體來講又分為以下4個步驟。●

分析目前現(xiàn)狀，找出存在的問題?！?/p>

分析產(chǎn)生問題的各種原因以及影響因素?！?/p>

分析并找出管理中的主要問題?！?/p>

制定管理計劃，確定管理要點(diǎn)。(2)實(shí)施階段：按照制定的方案去執(zhí)行。(3)檢查階段：檢查實(shí)施計劃的結(jié)果。(4)行動階段：根據(jù)調(diào)查效果進(jìn)行處理。2.

信息安全管理體系的PDCA

過

程PDCA

循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序。在質(zhì)

量管理中，

PDCA

循環(huán)得到了廣泛的應(yīng)用，并取得了很好的效果，因此有人稱

PDCA

循環(huán)是質(zhì)量管理的基本方法。實(shí)際上建立和實(shí)施信息安全管理體系ISMS

和其他管理體系一樣(如質(zhì)量

管理體系),需要采用過程的方法開發(fā)、實(shí)施和改進(jìn)信息安全管理體系的有效

性。

ISMS

的PDCA

過程如圖2.1所示。A

PC

DPD圖2.1

持續(xù)改進(jìn)的PDCA過程AC四、行動階段主要任務(wù)是對信息安全管理體系進(jìn)行

評價，并以檢查階段采集的不符合項(xiàng)

信息為基礎(chǔ)，經(jīng)常對信息安全管理體

系進(jìn)行調(diào)整與改進(jìn)。一、計劃階段主要任務(wù)是根據(jù)風(fēng)險評估、法律法規(guī)

要求、組織業(yè)務(wù)運(yùn)營自身要求來確定

控制目標(biāo)與控制方式。二、實(shí)施階段主要任務(wù)是實(shí)施組織所選擇的控制目

標(biāo)與控制措施。主要包括保證資源、提供培訓(xùn)、提高安全意識和風(fēng)險治理。三、

檢查階段主要任務(wù)是進(jìn)行有關(guān)方針、程序、標(biāo)

準(zhǔn)與法律法規(guī)的符合性檢查，對存在

的問題采取措施，予以改進(jìn)。3.PDCA

過程的持續(xù)性信息安全管理體系的實(shí)施、維護(hù)是一個持續(xù)改進(jìn)的過程。

由圖2.1可以發(fā)

現(xiàn)

，PDCA

循環(huán)可以形象地說明系統(tǒng)的改進(jìn)活動是周而復(fù)始的不斷循環(huán)的過程。

之所以將其稱之為PDCA

循環(huán)，是因?yàn)檫@四個過程不是運(yùn)行一次就完結(jié)，而是

要周而復(fù)始地進(jìn)行。

PDCA

循環(huán)是螺旋式上升和發(fā)展的，每循環(huán)一次要求提高一步。每一次循環(huán)都包括計劃

(Plan)、

實(shí)

施(Do)、

檢查(Check)

和行

動

(Action)

四個階段。每完成一個循環(huán)，ISMS

的有效性就上一個臺階。組織通過持續(xù)地進(jìn)行PDCA

過程，能夠使自身的信息安全水平得到不斷的提高。2.2

BS

7799信息安全管理體系2.2.1

BS7799的目的與模式1.BS

7799的目的BS

7799的目的是"為信息安全管理提供建議，供那些在其機(jī)構(gòu)中負(fù)有

安全責(zé)任的人使用，它旨在為一個機(jī)構(gòu)提供用來制定安全標(biāo)準(zhǔn)、實(shí)施有效安

全管理的通用要素，并使跨機(jī)構(gòu)的交易得到互信”。作為一個通用的信息安

全管理指南，BS7799

的目的并不涉及有關(guān)“怎么做”的細(xì)節(jié)，它所闡述的

主題是安全方針策略和優(yōu)秀的、具有普遍意義的安全操作。該標(biāo)準(zhǔn)特別聲明，它是“制訂一個機(jī)構(gòu)自己的標(biāo)準(zhǔn)時的出發(fā)點(diǎn)”。信息安全管理體系標(biāo)準(zhǔn)BS

7799可有效保護(hù)信息資源，保護(hù)信息化進(jìn)程

健康、有序、可持續(xù)發(fā)展。

BS

7799是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類似

于質(zhì)量管理體系認(rèn)證的ISO

9000標(biāo)準(zhǔn)。當(dāng)組織通過了BS

7799的認(rèn)證，就相

當(dāng)于通過ISO9000

的質(zhì)量認(rèn)證一般，表示組織信息安全管理已建立了一套科

學(xué)有效的管理體系作為保障。2.

實(shí)施BS

7799的程序與模式BS7799

標(biāo)準(zhǔn)由英國貿(mào)易工業(yè)部制訂出版，是國際上具有代表性的信息安

全管理體系。

BS7799

標(biāo)準(zhǔn)具體分為兩個部分：

BS7

799-

1:

《信息安全管理實(shí)

施規(guī)則》和BS7799-2:

《信息安全管理體系規(guī)范》。BS7799-1:提供了一套綜合的、由信息

安全最佳慣例組成的實(shí)施規(guī)則，

可以作為大型、中型及小型組織

確定信息安全所需的控制范圍的

參考基準(zhǔn)BS7799-2:詳細(xì)說明了建立、實(shí)施和維

護(hù)信息安全管理體系的要求，是

組織全面或部分信息安全管理系

統(tǒng)評估的基礎(chǔ)在BS7799

中ISMS

可能涉及以下內(nèi)容?！?/p>

組織的整個信息系統(tǒng)。●

信息系統(tǒng)的某些部分。●

一個特定的信息系統(tǒng)。組織在實(shí)施BS7799

時，可以根據(jù)需求和實(shí)際情況，采用以下四種模式。按照BS

7799標(biāo)準(zhǔn)的要求，自我建立和實(shí)施組織的安全管理體系，以達(dá)到保

證信息安全的目的。按照BS

7799標(biāo)準(zhǔn)的要求，自我建立和實(shí)施組織的安全管理體系，以達(dá)到保

證信息安全的目的，并且通過BS

7799體系認(rèn)證?！?/p>

通過安全咨詢顧問，來建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安

全的目的?！?/p>

通過安全咨詢顧問，來建立和實(shí)施組織的安全管理體系，以達(dá)到保證信息安

全的目的，并且通過BS

7799體系認(rèn)證。2.2.2

BS

7799標(biāo)準(zhǔn)規(guī)范的內(nèi)容實(shí)施信息安全管理體系標(biāo)準(zhǔn)的目的是保證組織的信息安全，即信息資料

的機(jī)密性、完整性和可用性等，并保證業(yè)務(wù)的正常運(yùn)營。依據(jù)BS

7799,建立和實(shí)施信息安全管理體系的方法是通過風(fēng)險評估、風(fēng)險管理引導(dǎo)切入企業(yè)

的信息安全要求。當(dāng)然，在BS7799

標(biāo)準(zhǔn)中已規(guī)范了信息安全政策、信息安全組織、信息資產(chǎn)分類與管理、人員信息安全、物理和環(huán)境安全、通信和運(yùn)營管理、訪問控制、信息系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、信息安全事件

管理和符合性等11個方面的安全管理內(nèi)容，具體包括134種安全控制指南供

組織選擇和使用。BS7799

標(biāo)準(zhǔn)具體又分為兩個部分，

BS

7799-1:

《信息安全管理實(shí)施規(guī)則》和BS7799-2:

《信息安全管理體系規(guī)范》。第一部分主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全；第二部分詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施組織需要通過風(fēng)險評估來鑒定最適宜

的控制對象，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?1)BS

7799-1:《信息安全管理實(shí)施規(guī)則》BS

7799-1:《信息安全管理實(shí)施規(guī)則》作為國際信息安全指導(dǎo)標(biāo)準(zhǔn)

ISO/IEC17799

基礎(chǔ)的指導(dǎo)性文件，包括11大管理要項(xiàng)，134種控制方法。1.安全方針/策略(Security

Policy)2.安全組織(Security

Organization)3.資產(chǎn)分類與控制(Asset

Classification

and

Control)4.人員安全(Personnel

Security)5.物理與環(huán)境安全(Physicaland

Environmental

Security)6

.

通

信

與

運(yùn)

營

管

理(

Comuiations

a

ndOperations

Management)8.系統(tǒng)開發(fā)與維護(hù)(Systems

Development

and

Maintenance7.訪問控制(Access

Control)9.信息安全事件管理(Information

Security

Incident

Management)10.業(yè)務(wù)持續(xù)性管理(Business

Continuity

Management)11.法律法規(guī)符合性(Compliance)標(biāo)準(zhǔn)目

的內(nèi)

容安全方針為信息安全提供管理方向和支持建立安全方針文檔安全組織建立組織內(nèi)的安全管理體系框架，以便

進(jìn)行安全管理組織內(nèi)部信息安全責(zé)任；信息采集設(shè)施安全；可被第三方利用的信息資產(chǎn)的安全；外

部信息安全評審；外包合同安全資產(chǎn)分類與控制建立維護(hù)組織資產(chǎn)安全的保護(hù)系統(tǒng)的基

礎(chǔ)利用資產(chǎn)清單、分類處理、信息標(biāo)簽等對信息資產(chǎn)進(jìn)行保護(hù)人員安全減少人為造成的風(fēng)險減少錯誤、偷竊、欺騙或資源誤用等人為風(fēng)險；保密協(xié)議；安全教育培訓(xùn)；安全事故與教訓(xùn)總結(jié)；懲罰措施物理與環(huán)境安全防止對T服務(wù)的未經(jīng)許可的介入，防止

損害和干擾服務(wù)阻止對工作區(qū)與物理設(shè)備的非法進(jìn)入；防止業(yè)務(wù)機(jī)密和信息非法的訪問、損壞、干擾;阻止資產(chǎn)的丟失、損壞或遭受危險；通過桌面與屏幕管理阻止信息的泄漏通信與運(yùn)營安全保證通信和設(shè)備的正確操作及安全維護(hù)確保信息處理設(shè)備的正確和安全的操作；降低系統(tǒng)失效的風(fēng)險；保護(hù)軟件和信息的完整性；維護(hù)信息處理和通信的完整性和可用性；確保針對網(wǎng)絡(luò)信息的安全措施和支持基礎(chǔ)結(jié)構(gòu)的保護(hù)；防止資產(chǎn)被損壞和業(yè)務(wù)活動被干擾中斷；防止組織間的交易信息遭受損壞、修改或誤用訪問控制控制對業(yè)務(wù)信息的訪問控制訪問信息；阻止非法訪問信息系統(tǒng)；確保網(wǎng)絡(luò)服務(wù)得到保護(hù)；阻止非法訪問計算

機(jī)；檢測非法行為；保證在使用移動計算機(jī)和遠(yuǎn)程網(wǎng)絡(luò)設(shè)備時信息的安全系統(tǒng)開發(fā)與維護(hù)保證系統(tǒng)開發(fā)與維護(hù)的安全確保信息安全保護(hù)深入到操作系統(tǒng)中；阻止應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)的丟失、修改或誤用；確保信息的機(jī)密性、可靠性和完整性；確保T項(xiàng)目工程及其支持活動在安全的方

式下進(jìn)行；維護(hù)應(yīng)用程序軟件和數(shù)據(jù)的安全信息安全事故管理保證信息安全事故的及時報告和處理確保與信息系統(tǒng)有關(guān)的信息安全事故和弱點(diǎn)能夠以某種方式傳達(dá)，以便及時采取糾正措施；確保采用一致和有效的方法對信息安全事故進(jìn)行管理業(yè)務(wù)持續(xù)性管理防止業(yè)務(wù)活動中斷和滅難事故的影響防止業(yè)務(wù)活動的中斷；保護(hù)關(guān)鍵業(yè)務(wù)過程免受重大失誤或?yàn)?zāi)難的影響符合性避免任何違反法律、法規(guī)、合同約定及其他安全要求的行為避免違背刑法、民法、條例；遵守契約責(zé)任以及各種安全要求；確保系統(tǒng)符合安全方針和標(biāo)準(zhǔn)；使系統(tǒng)審查過程的績效最大化，并將干擾因素降到最小(2)BS

7799-2:《信息安全管理體系規(guī)范》BS

7799-2:

《信息安全管理體系規(guī)范》詳細(xì)說明了建立、實(shí)施和維護(hù)信

息安全管理體系

(ISMS)

的要求，指出實(shí)施組織需要通過風(fēng)險評估來鑒定最

適宜的控制對象，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?.3

ISO

27000信息安全管理體系2.3.1

ISO

27000信息安全管理體系概述為了更好的指導(dǎo)、規(guī)范信息安全管理體系建設(shè)，國際標(biāo)準(zhǔn)化組織

(ISO)專門為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC

27000系列編號。到目前為止，正式發(fā)布的ISO/IEC27000

信息安全管理體系標(biāo)準(zhǔn)有10個，其中部分已經(jīng)轉(zhuǎn)化成我國的國家標(biāo)準(zhǔn)。全部標(biāo)準(zhǔn)基本可以分為以下四部分：第一部分：要求和支持性指南，包括ISO/IEC

27000到ISO/IEC

27005,

是信息安全管理體系的基礎(chǔ)和基本要求。第二部分：有關(guān)認(rèn)證認(rèn)可和審核的指南，包括ISO/IEC

27006到ISO/IEC

27008,面向認(rèn)證機(jī)構(gòu)和審核人員。◆第三部分：面向?qū)ｉT行業(yè)的信息安全管理要求，如金融業(yè)、電信業(yè)，或者專門應(yīng)用于某個具體的

安全域，如數(shù)字證據(jù)、業(yè)務(wù)連續(xù)性方面。◆第四部分：由ISO技術(shù)委員會TC215

單獨(dú)制定的，應(yīng)用于醫(yī)療信息安全管理的標(biāo)準(zhǔn)ISO

27799,以及一些處于研究階段的成果。2.3.2

ISO

27000信息安全管理體系的主要標(biāo)準(zhǔn)及內(nèi)容(1)ISO/IEC

27001

《信息安全管理體系要求》于2005年發(fā)布第一版，2013年發(fā)布第二版，2008年等同轉(zhuǎn)化為中國國

家標(biāo)準(zhǔn)GB/T

22080-2008/ISO/IEC

27001:2005。是ISMS

的規(guī)范性標(biāo)準(zhǔn)，

來源于BS7799-2,

各類組織可以按照ISO

27001的要求建立自己的信息安

全管理體系，并通過認(rèn)證。

ISO/IEC

27001也是ISO/IEC

27000

系列最核心

的兩個標(biāo)準(zhǔn)之一，著眼于組織的整體業(yè)務(wù)風(fēng)險，通過對業(yè)務(wù)進(jìn)行風(fēng)險評估來

建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)其信息安全管理體系，確保其

信息資產(chǎn)的保密性、可用性和完整性，適用于所有類型的組織。(

2)ISO/IEC

27002

《信息安全管理實(shí)用規(guī)則》于2005年發(fā)布第一版，2013年發(fā)布第二版，2008年等同轉(zhuǎn)化為中國國家標(biāo)

準(zhǔn)GB/T

22081-2008/ISO/IEC

27002:2005

。ISO/IEC

27002

也是ISO/IEC27000系列最核心的兩個標(biāo)準(zhǔn)之一。來源于BS7799-1,2013

版從14個方面提出

35個控制目標(biāo)和113個控制措施，這些控制目標(biāo)和措施是信息安全管理的最佳實(shí)

踐。(

3)ISO/IEC

27003

《信息安全管理體系實(shí)施指南》于2010年發(fā)布，該標(biāo)準(zhǔn)適用于所有類型、所有規(guī)模和所有業(yè)務(wù)形式的組織，

為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)符合ISO/IEC

27001的信息安

全管理體系提供實(shí)施指南。它給出了ISMS

實(shí)施的關(guān)鍵成功因素，按照PDCA的模型，明確了計劃、實(shí)施、檢查、糾正每個階段的活動內(nèi)容和詳細(xì)指南。2.4

基于等級保護(hù)的信息安全管理體系2.4.1

等級保護(hù)概述1.

等級保護(hù)的含義信息安全等級保護(hù)是指根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定

和保護(hù)公共利益等方面的重要程度，結(jié)合系統(tǒng)面臨的風(fēng)險、應(yīng)對風(fēng)險的安全

保護(hù)要求和成本開銷等因素，將其劃分成不同的安全保護(hù)等級，采取相應(yīng)的安全保護(hù)措施，以保障信息和信息系統(tǒng)的安全。2.

等級保護(hù)的基本原則(1)信息安全等級保護(hù)基本原則一、重點(diǎn)保護(hù)原則重點(diǎn)保護(hù)關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，集中資源首先確保重點(diǎn)系

統(tǒng)安全。三、

分區(qū)域保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)和不同發(fā)展水平，通過劃分不同安全保護(hù)等級的區(qū)域，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)。二、

誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)由各主管部門和運(yùn)營單位依照國

家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級并按照相關(guān)要求組織實(shí)施安全防護(hù)。四、

同步建設(shè)、動態(tài)調(diào)整原則信息系統(tǒng)在新建、改建時應(yīng)當(dāng)同

步建設(shè)信息安全設(shè)施；當(dāng)應(yīng)用類型、范圍變化引起保護(hù)等級變更

時，應(yīng)重新確立新的保護(hù)等級。3.

安全等級劃分遵到爆操信離召復(fù)安全

全

鹽

生

重

史

的

壹

程息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，信息和信息系統(tǒng)的安全保護(hù)等級共分為以下五級。(1)第一級：自主保護(hù)級(2)第二級：指導(dǎo)保護(hù)級(3)第三級：監(jiān)督保護(hù)級(4)第四級：強(qiáng)制保護(hù)級(5)第五級：?？乇Ｗo(hù)級的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性等要求及信4.

技術(shù)要求和管理要求實(shí)現(xiàn)信息系統(tǒng)的安全等級保護(hù)將通過選用合適的安全措施或安全控制來

保證，依據(jù)實(shí)現(xiàn)方式的不同，信息系統(tǒng)等級保護(hù)的安全基本要求分為技術(shù)要

求和管理要求兩大類。技術(shù)類安全要求通常與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要是通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)現(xiàn)，主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等幾個層面的安全要求；管理類安全要求通常與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要是通過控

制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面作出規(guī)定來

實(shí)現(xiàn)，主要包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管

理和系統(tǒng)運(yùn)維管理幾個方面的安全要求。技術(shù)要求與管理要求是確保信息系統(tǒng)安全不可分割的兩個部分，兩者之

間既互相獨(dú)立，又互相關(guān)聯(lián)。在一些情況下，技術(shù)和管理能夠發(fā)揮它們各自

的作用；在另一些情況下，需要同時使用技術(shù)和管理兩種手段，實(shí)現(xiàn)安全控

制或更強(qiáng)的安全控制。大多數(shù)情況下，技術(shù)和管理要求互相提供支撐以確保

各自功能的正確實(shí)現(xiàn)。2.4.2

等級保護(hù)實(shí)施方法與過程1.

等級保護(hù)實(shí)施方法實(shí)行信息安全等級保護(hù)時“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)

絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進(jìn)行相應(yīng)

等級的安全建設(shè)和管理”。信息安全等級保護(hù)的實(shí)施方法如圖2.2所示。5級4級對應(yīng)3級2級1

級基本安全要求風(fēng)險調(diào)整定制成本實(shí)施系統(tǒng)保護(hù)措施圖2.2

信息安全等級保護(hù)的實(shí)施方法5

級4

級3級2級1

級安全等級基本要求安全等級定級規(guī)則系統(tǒng)特定安全要求系統(tǒng)安全級信息

系統(tǒng)定級依據(jù)信息安全等級保護(hù)的實(shí)施方法中主要涉及以下內(nèi)容：●

安全定級：對系統(tǒng)進(jìn)行安全等級的確定；●

基本安全要求分析：對應(yīng)安全等級劃分標(biāo)準(zhǔn)，分析、檢查系統(tǒng)的基本安全要求；●

系統(tǒng)特定安全要求分析：根據(jù)系統(tǒng)的重要性、涉密程度及具體應(yīng)用情況，分析系統(tǒng)特定安

全要求；●

風(fēng)險評估：分析和評估系統(tǒng)所面臨的安全風(fēng)險；●

改進(jìn)和選擇安全措施：根據(jù)系統(tǒng)安全級別的保護(hù)要求和風(fēng)險分析的結(jié)果，改進(jìn)現(xiàn)有安全保

護(hù)措施，選擇新的安全保護(hù)措施；●

實(shí)施：實(shí)施安全保護(hù)。2.

等級保護(hù)實(shí)施過程信息安全等級保護(hù)的實(shí)施過程包括以下三個階段：◆

定級階段?！粢?guī)劃與設(shè)計階段。◆實(shí)施、等級評估與改進(jìn)階段。等級保護(hù)的基本流程如圖2.3所示。圖2.3

等級保護(hù)的基本流程符合等級

保護(hù)要求?是運(yùn)行監(jiān)控與改造否?等飯要求是合護(hù)符保系統(tǒng)識別與捕述等圾確定系統(tǒng)分城保護(hù)柢果建立選擇和調(diào)整安全措施安全規(guī)劃與方案設(shè)計實(shí)施、評審與改進(jìn)安全措施實(shí)施規(guī)劃與設(shè)計第二階段評審驗(yàn)收第一階段第三階段否定級(1)第一階段：定級定級階段主要包括兩個步驟。①

系統(tǒng)識別與描述②

等級確定(2)第二階段：規(guī)劃與設(shè)計規(guī)劃與設(shè)計階段主要包括三個步驟，分別為：①

系統(tǒng)分域保護(hù)框架建立②

選擇和調(diào)整安全措施③

安全規(guī)劃和方案設(shè)計(3)第三階段：實(shí)施、等級評估與改進(jìn)①

安全措施的實(shí)施②

評估