等级保护培训(山东协会2014-4).pdfVIP

国家信息安全管理策略 与等级保护制度 公安部信息安全等级保护评估中心 毕马宁 探讨一：信息化是什么  当今社会互联网的飞速发展迅速的改变着人类社会的 生产、生活方式，使人们进入了以网络资讯和知识创 新为资源的信息社会。 信息化是神马  信息化能够真正成为推动机构、企业新一轮转型的 利器，成为我们在信息时代的竞争优势，不断促进 生产和管理的持续变革与完善。 信息化是生产力 神是什么？ 神通广大 神秘无常 马的特性？ 奔腾驰骋 桀骜不驯 探讨二 什么是信息保密？ 2500年前的信息安全意识 Information Security awareness from Confucius more than 2500 years ago. 子曰: 几事不密则害成。— 易经·系辞上 Confucius said: “It would cause harm if you do not keep the sensitive things secret” As in Western saying: “Loose lip sinks ship”. 孔子 11:31 5 Confucius (B.C.551 －B.C.479) 探讨三 信息保密=信息安全？ 什么是信息安全？ 所谓信息安全  一是由传统的保密延伸而来的信息内容保密 （信 息保密）；  二是信息化条件下的信息保密性、完整性、可用 性（信息内容安全）和信息内容的有序共享。  因此信息化条件下的信息安全就必须是在传统保 密工作基础上的与时俱进，以适应生产与管理的 需要。 何谓信息系统安全  当前信息系统安全分为:信息内容安全和信息系 统运行安全（不通可能是最大的不安全）两部 分。  信息系统运行安全包括由于非正常原因造成系 统宕机、损坏等；信息内容安全包括敏感信息 的防泄漏、数据备份、访问控制等。 引言 源于上世纪中叶的信息化革命，象人类历史上每 一次工业革命一样，彻底改变了人类生产、生活的模 式。信息技术的发展，特别是基于TCP/IP协议的互通 互联、平台共享、资源共享技术的发展，使人类传统 的生产、生活模式发生了巨大的变化，现如今无论是 国家事务管理、社会秩序运行和人民生活保障都离不 开计算机信息系统，我们在享受信息化革命带来的巨 大便捷和生活乐趣的同时，也看到新的安全威胁。 风险总是不断浮出水面 为什么会有风险  无论是政府机构，还是企业组织，存在的目的都 是为其利益相关方带来价值。  所面临的挑战是在追求价值增长的同时，随时准 备接受不确定性。 风险管理的目的  不确定性既代表机遇，也代表风险。不确定性 可能会影响目标的实现，因此，对不确定性的 管理，就是对风险的管理。  风险管理的目的并不是保证没有风险，而是要 将风险控制在可接受的范围内。 信息安全风险管理  风险管理理论应用于信息安全领域始于20世纪60 年代，当时随着资源共享计算机系统和早期计算 机网络的出现，计算机安全问题初步显露，20世 纪90年代由于互联网、移动通信和跨国光缆的高 速发展，信息安全成为世界各国面临的共同挑战， 与此同时风险管理理论和方法获得了迅速的发展。 信息安全风险管理（续）  美国的信息化程度全球最高，在风险管理理论和实 践的研究方面也走在全球的前列。2004年美国发布 了 《将风险管理框架应用于联邦信息系统指南》 （SP800-37），探索信息安全风险管理理论和方法