中美等级保护工作的比较思考.pdfVIP

中美等级保护工作的比较思考 ■赵战生 【摘要】本文将我国和美国的信息系统等级保护工作步骤形象地比喻为“三步上篮”，文章中分别介绍了中式“三步上篮”和 美式“三步上篮”，并将美式“三步上篮”进行了细致的评介，对比中式“三步上篮”加以总结和思考，得出的几点启示对我 ‘ 国等级保护工作有一定借鉴意义。 【关键词】等级保护安全风险三步上篮比较思考 针对重要信息系统和基础信息网络的等级保护是我国信 探析美式“三步上篮” 息安全保障工作的重点。去年下半年到今年年初，等级保护 通过简单的研究归纳，可以将二者的等级保护工作形象 工作基本完成了等保定级和备案，即将转入以建设整改为重 地喻为“三步上篮”，中式的“三步上篮”是：等保定级、建设 点的工作阶段。紧跟着建设整改，就需要对其效果进行检查 整改、检查评估。美式的“三步上篮(FIsMA)”是：提出标 评估。如何理解这些工作阶段的要求，用什么思想和方法指 准和指南、拿出保障的凭据、运用自动工具。 导和规范这些工作阶段，成为我们必须认真思考的问题。带 美式三步上篮的三个阶段：第一阶段的任务是通过提出 着这些问题我将美国根据联邦信息安全管理法(FISMA)进标准和指南把信息系统安全保障工作调整到FISMA的要求上 行的信息安全保障工作和我们的等级保护工作进行了一个比较 来。从2003年到2006年的工作，已经形成明确工作体系和 和思考，观察到一些值得重视的动向，受到一些启发。 标准体系。第二阶段的任务是形成能力、提供服务、进行评估、 等级保护的几个关注点 拿出凭据。信息系统使用单位的保护能力是否达标不能“空口 我国的信息系统安全等级保护工作要求：系统按等级实 无凭”，必须要有一个科学评估的凭据来加以证明。例如系统 施保护，产品按等级实施管理销售和使用，事件按等级进行 安全控制的选择的正确，是否落位，是否有效。这个阶段从 处置。我们以为，实际上还存在着三个相互关联，相互影响 2007年正式开始，直到2009年。与此同时启动了第三阶段， 的等级，即等保定级，风险级别和能力级别。 推动自动化工具研究使用的阶段。 等保定级，是一个组织根据其使命业务的重要性，完成 第一阶段的工作形成的工作体系和标准体系以NIST提出 这个使命和业务对信息系统的依赖程度，对拥有的信息系统 了的认证认可的风险管理框架(9己下图)为代表． 确定的一个客观存在的，等保需要的信息系统的重要性级别。 风险级别，是在确定了等保定级后，需要把信息系统放 在现实的环境里考察分析，通过风险识别、分析、评估出系 统到底面临着多少安全风险的结论。 能力级别，是对这样一个存在风险的重要系统，使用部 门应该用什么样的技术和管理措施来建设这个系统，形成什 么样的能力才能应对风险，达到等保定级的要求的工作追求。 等保定级是为等级保护工作确定要求，风险等级应该为 整改建设确定方向，能力等级应该为建设整改明确了f王多乳 完成了建设整改的任务，效果到底怎么样，就需要进行 这个框架贯彻了FISMA的要求，明确提出落实认证认可 检查评估，因此需要尽快地准备好检查评估的能力。 工作，要以风险管理的思想贯彻于其信息系统的生存周期。工 与我国类似，大洋彼岸的美国也正在紧锣密鼓地进行重 作体系分成八个步骤，标准体系与工作体系紧密结合。 199和sP 要信息系统“等级保护”工作。：燃者的工作做一番比较 第一步，是系统和信息定级。要求依据FIPS 研究，或许能够给我们些许启发。