02四月2024信息化安全生產(chǎn)標(biāo)準(zhǔn)管理導(dǎo)論01四月2024信息化安全生產(chǎn)標(biāo)準(zhǔn)管理導(dǎo)論1內(nèi)容提要1、標(biāo)準(zhǔn)的定義2、標(biāo)準(zhǔn)的分級3、標(biāo)準(zhǔn)的分類4、與計算機(jī)信息系統(tǒng)安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)5、信息安全國際標(biāo)準(zhǔn)內(nèi)容提要1、標(biāo)準(zhǔn)的定義21標(biāo)準(zhǔn)的定義國際標(biāo)準(zhǔn)化組織定義：由有關(guān)各方根據(jù)科學(xué)技術(shù)成就與先進(jìn)經(jīng)驗(yàn)，共同合作起草，一致或基本上同意的技術(shù)規(guī)范或其他公開文件，其目的在于促進(jìn)最佳的公共利益，并由標(biāo)準(zhǔn)化團(tuán)體批準(zhǔn)我國定義：標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐經(jīng)驗(yàn)的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)調(diào)一致，由主管機(jī)構(gòu)批準(zhǔn)，以特定形式發(fā)布，作為共同遵守的準(zhǔn)則和依據(jù)1標(biāo)準(zhǔn)的定義國際標(biāo)準(zhǔn)化組織定義：由有關(guān)各方根據(jù)科學(xué)技術(shù)成就32標(biāo)準(zhǔn)的分級我國標(biāo)準(zhǔn)分為四級國家標(biāo)準(zhǔn)：由國務(wù)院標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)組織制定和審批行業(yè)標(biāo)準(zhǔn)：由國務(wù)院有關(guān)行政主管部門負(fù)責(zé)制定和審批，并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門備案地方標(biāo)準(zhǔn)：由省級政府標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)制定和審批，并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案企業(yè)標(biāo)準(zhǔn)：由企業(yè)法人代表或法人代表授權(quán)的主管領(lǐng)導(dǎo)批準(zhǔn)、發(fā)布，由企業(yè)法人代表授權(quán)的部門統(tǒng)一管理，企業(yè)產(chǎn)品標(biāo)準(zhǔn)應(yīng)向當(dāng)?shù)貥?biāo)準(zhǔn)化行政主管部門和有關(guān)行政主管部門備案2標(biāo)準(zhǔn)的分級我國標(biāo)準(zhǔn)分為四級43標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分國家標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)按標(biāo)準(zhǔn)的約束性來分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分按標(biāo)準(zhǔn)的性質(zhì)來分3標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分53標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分按標(biāo)準(zhǔn)的約束性來分強(qiáng)制性標(biāo)準(zhǔn)：保障人體健康、人身、財產(chǎn)安全的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)和法律及行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售和進(jìn)口推薦性標(biāo)準(zhǔn)：相對于強(qiáng)制性標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)。鼓勵企業(yè)自行采用按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分按標(biāo)準(zhǔn)的性質(zhì)來分3標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分63標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分按標(biāo)準(zhǔn)的約束性來分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分基礎(chǔ)標(biāo)準(zhǔn)：一定范圍內(nèi)作為其他標(biāo)準(zhǔn)的基礎(chǔ)并普遍使用的標(biāo)準(zhǔn)，具有廣泛的指導(dǎo)意義例如，GB17859：1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》一般標(biāo)準(zhǔn)：相對于基礎(chǔ)標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分按標(biāo)準(zhǔn)的性質(zhì)來分3標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分73標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分按標(biāo)準(zhǔn)的約束性來分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分產(chǎn)品標(biāo)準(zhǔn)；原材料標(biāo)準(zhǔn)；零部件標(biāo)準(zhǔn)；工藝和工藝裝備標(biāo)準(zhǔn)；設(shè)備維修標(biāo)準(zhǔn)；檢驗(yàn)和試驗(yàn)方法標(biāo)準(zhǔn)；檢驗(yàn)、測量和試驗(yàn)設(shè)備標(biāo)準(zhǔn)；搬運(yùn)、貯存、包裝、標(biāo)識標(biāo)準(zhǔn)等按標(biāo)準(zhǔn)的性質(zhì)來分3標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分83標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分按標(biāo)準(zhǔn)的約束性來分按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分按標(biāo)準(zhǔn)化對象在生產(chǎn)過程中的作用來分按標(biāo)準(zhǔn)的性質(zhì)來分技術(shù)標(biāo)準(zhǔn)：對標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的技術(shù)事項(xiàng)所制定的標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)：對標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的管理事項(xiàng)所制定的標(biāo)準(zhǔn)工作標(biāo)準(zhǔn)：對工作的責(zé)任、權(quán)利、范圍、質(zhì)量要求、程序、效果、檢查方法、考核辦法所制定的標(biāo)準(zhǔn)3標(biāo)準(zhǔn)的分類按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級別來分9信息安全標(biāo)準(zhǔn)我國的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點(diǎn)出發(fā)，將信息安全保密標(biāo)準(zhǔn)分為三級第一級國家標(biāo)準(zhǔn)第二級國家軍隊(duì)標(biāo)準(zhǔn)第三級國家保密標(biāo)準(zhǔn)三級標(biāo)準(zhǔn)中，國家保密標(biāo)準(zhǔn)最高其他標(biāo)準(zhǔn)還包括：公共安全行業(yè)標(biāo)準(zhǔn)（GA）信息安全標(biāo)準(zhǔn)我國的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點(diǎn)出發(fā)，10我國信息安全標(biāo)準(zhǔn)委員會在制定我國信息安全標(biāo)準(zhǔn)方面做了大量的工作目前已出臺的信息安全保護(hù)方面的標(biāo)準(zhǔn)主要包括在國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)中，當(dāng)然在國家軍隊(duì)標(biāo)準(zhǔn)、國家保密標(biāo)準(zhǔn)中也有所涉及我國信息安全標(biāo)準(zhǔn)委員會在制定我國信息安全標(biāo)準(zhǔn)方面做了大量的工114與計算機(jī)信息系統(tǒng)安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GA/T387-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》GA/T388-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》GA/T389-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》GA/T390-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》GA/T391-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求》GB9361-88S《計算站場地安全要求》GA163-1997《計算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》4與計算機(jī)信息系統(tǒng)安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)GB17859-112GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》是建立計算機(jī)信息系統(tǒng)安全等級保護(hù)制度，實(shí)施安全等級管理的重要基礎(chǔ)性標(biāo)準(zhǔn)將計算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個等級：用戶自主保護(hù)級系統(tǒng)審計保護(hù)級安全標(biāo)記保護(hù)級結(jié)構(gòu)化保護(hù)級訪問驗(yàn)證保護(hù)級GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則13GA/T390-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》是計算機(jī)信息系統(tǒng)安全等級保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)的基礎(chǔ)性標(biāo)準(zhǔn)，用以指導(dǎo)設(shè)計者如何設(shè)計和實(shí)現(xiàn)具有所需要的安全等級的計算機(jī)信息系統(tǒng)主要說明了為實(shí)現(xiàn)GB17859-1999中每一個保護(hù)等級的安全要求應(yīng)采取的通用的安全技術(shù)，和為確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)具有的安全性而采取的通用的保證措施GA/T390-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)14GA/T391-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求》明確提出了管理層、物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和運(yùn)行層的安全管理要求，并將管理要求落實(shí)到GB17859-1999的五個等級上更有利于對安全管理的繼承、理解、分工實(shí)施，更有利于對安全管理的評估和檢查GA/T391-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求15GA/T387-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》用以指導(dǎo)設(shè)計者如何設(shè)計和實(shí)現(xiàn)具有所需要的安全等級的網(wǎng)絡(luò)系統(tǒng)主要從對網(wǎng)絡(luò)的安全保護(hù)等級進(jìn)行劃分的角度來說明其技術(shù)要求，即主要說明了為實(shí)現(xiàn)GB17859-1999中每一個保護(hù)等級的安全要求對網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實(shí)現(xiàn)上的差異GA/T387-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)16GA/T388-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》用以指導(dǎo)設(shè)計者如何設(shè)計和實(shí)現(xiàn)具有所需要的安全等級的操作系統(tǒng)，主要從對操作系統(tǒng)的安全保護(hù)等級進(jìn)行劃分的角度來說明其技術(shù)要求GA/T388-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)17GA/T389-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》用以指導(dǎo)設(shè)計者如何設(shè)計和實(shí)現(xiàn)具有所需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全保護(hù)等級進(jìn)行劃分的角度來說明其技術(shù)要求GA/T389-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管18GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》五個等級：第一級：用戶自主保護(hù)級第二級：系統(tǒng)審計保護(hù)級第三級：安全標(biāo)記保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級第五級：訪問驗(yàn)證保護(hù)級安全保護(hù)能力隨著安全保護(hù)等級的提高，逐漸增強(qiáng)GB17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則19五個等級保護(hù)能力比較編號保護(hù)能力項(xiàng)目第一級第二級第三級第四級第五級1自主訪問控制√√√√√2強(qiáng)制訪問控制√√√3標(biāo)記√√√4身份鑒別√√√√√5客體重用√√√√6審計√√√√7數(shù)據(jù)完整性√√√√√8隱蔽信道分析√√9可信路徑√√10可信恢復(fù)√五個等級保護(hù)能力比較編號保護(hù)能力項(xiàng)目第一級第二級第三級第四級20GA/T391-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求》信息系統(tǒng)安全管理，是對一個組織或機(jī)構(gòu)中信息系統(tǒng)的生命周期全過程實(shí)施符合安全等級責(zé)任要求的科學(xué)管理落實(shí)安全組織及安全管理人員，明確角色與職責(zé)，制定安全規(guī)劃開發(fā)安全策略實(shí)施風(fēng)險管理制定業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃選擇與實(shí)施安全措施保證配置、變更的正確與安全進(jìn)行安全審計保證維護(hù)支持進(jìn)行監(jiān)控、檢查，處理安全事件安全意識與安全教育人員安全管理等GA/T391-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求21主要安全要素主要安全要素22信息系統(tǒng)安全管理的基本原則總原則主要領(lǐng)導(dǎo)人負(fù)責(zé)原則規(guī)范定級原則依法行政原則以人為本原則適度安全原則全面防范、突出重點(diǎn)原則系統(tǒng)、動態(tài)原則控制社會影響原則主要安全管理策略信息系統(tǒng)安全管理的基本原則23信息系統(tǒng)安全管理的基本原則總原則主要安全管理策略分權(quán)制衡最小特權(quán)選用成熟技術(shù)普遍參與信息系統(tǒng)安全管理的基本原則245信息安全國際標(biāo)準(zhǔn)國際上比較有影響的信息安全標(biāo)準(zhǔn)體系主要有：ISO/IEC的國際標(biāo)準(zhǔn)13335、17799、27001系列美國國家標(biāo)準(zhǔn)和技術(shù)委員會（NIST）的特別出版物系列英國標(biāo)準(zhǔn)協(xié)會（BSI）的7799系列5信息安全國際標(biāo)準(zhǔn)國際上比較有影響的信息安全標(biāo)準(zhǔn)體系主要有25國際標(biāo)準(zhǔn)ISO/IEC是國際上最權(quán)威的由國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）所制定的國際標(biāo)準(zhǔn)ISO和IEC是世界范圍的標(biāo)準(zhǔn)化組織，它由各個國家和地區(qū)的成員組成，各國的相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過各技術(shù)委員會，參與相關(guān)標(biāo)準(zhǔn)的制定國際標(biāo)準(zhǔn)ISO/IEC是國際上最權(quán)威的由國際標(biāo)準(zhǔn)化組織（I26ISO/IEC聯(lián)合技術(shù)委員會JTC1子委員會27（ISO/IECJTC1SC27）是信息安全領(lǐng)域最權(quán)威和國際認(rèn)可的標(biāo)準(zhǔn)化組織ISO/IECJTC1SC27發(fā)布的目前最主要的標(biāo)準(zhǔn)是ISO/IEC13335ISO/IEC17799:2005ISO/IEC27001:2005ISO/IEC聯(lián)合技術(shù)委員會JTC1子委員會27（ISO/I27BS7799受到廣泛認(rèn)可它的第一部分已成為國際標(biāo)準(zhǔn)ISO/IEC17799:2005它的第二部分成為國際標(biāo)準(zhǔn)ISO/IEC27001:2005BS7799受到廣泛認(rèn)可28BS7799《信息安全管理標(biāo)準(zhǔn)》BS7799是英國標(biāo)準(zhǔn)協(xié)會針對信息安全管理而制定的標(biāo)準(zhǔn)第一部分：是信息安全管理實(shí)踐規(guī)范CodeofPracticeforInformationSecurityManagement主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用第二部分：是建立信息安全管理體系的規(guī)范SpecificationforInformationSecurityManagementSystems可用來指導(dǎo)相關(guān)人員應(yīng)用第一部分，最終目的是建立適合企業(yè)需要的信息安全管理體系BS7799《信息安全管理標(biāo)準(zhǔn)》BS7799是英國標(biāo)準(zhǔn)協(xié)29國際標(biāo)準(zhǔn)ISO/IEC17799:2005國際標(biāo)準(zhǔn)ISO/IEC17799:2005《信息技術(shù)－安全技術(shù)－信息安全管理實(shí)踐規(guī)范》描述了信息安全管理領(lǐng)域的最佳慣例，由11個獨(dú)立的部分組成安全方針信息安全組織資產(chǎn)管理人力資源安全物理與環(huán)境安全通信和運(yùn)作管理訪問控制信息系統(tǒng)的獲取、開發(fā)及維護(hù)信息安全事故管理業(yè)務(wù)連續(xù)性管理符合性國際標(biāo)準(zhǔn)ISO/IEC17799:2005國際標(biāo)準(zhǔn)ISO/30上述11個方面，除了三個與技術(shù)密切相關(guān)之外