信息安全等级保护制度-十堰太和医院.PPT

医疗卫生行业信息安全等级保护实施 ——体系化方法 东风总医院 冯淑凯 主要内容 • 信息安全等级保护制度 • 信息安全等级保护的体系化实施 信息安全等级保护制度 • 信息安全等级保护制度的提出 • 信息安全等级保护发展现状 • 信息安全等级保护体系 信息安全等级保护制度的提出 • 计算机病毒、黑客攻击、软硬件故障等信息安全问题给各 类组织造成了极大的风险 • 信息安全问题不仅仅是组织自身的事情，也涉及到国家和 社会安全 • 基础信息网络和关系国家安全、经济命脉、社会稳定等方 面的重要信息系统的安全尤为重要 信息安全等级保护制度的提出 • 1994年，国务院发布了《中华人民共和国计算机信息系统 安全保护条例》（147号令） – 条例第九条明确规定“计算机信息系统实行安全等级保护。安全等 级的划分标准和安全等级保护的具体办法，由公安部会同有关部 门制定”。 • 1999年9月13日，《计算机信息系统安全保护等级划分准 则》（GB17859-1999）发布，是我国计算机信息系统安 全保护等级工作的基础 • 2003年，《国家信息化领导小组关于加强信息安全保障 工作的意见》（27号）明确指出“实行信息安全等级保护” 信息安全等级保护制度的提出 • 2004年，公安部、保密局、密码管理局、国信办联合印发 了《关于信息安全等级保护工作的实施意见》（66号文 件），明确了等级保护的原则、内容、要求以及部门分工 和实施计划 • 2007年，公安部、保密局、密码管理局、国信办联合制定 了《信息安全等级保护管理办法》，标志着我国等级保护 制度的初步形成 信息安全等级保护制度 • 信息安全等级保护制度的提出 • 信息安全等级保护发展现状 • 信息安全等级保护体系 信息安全等级保护发展现状 • 测评工作 – 公信安[2010]303号《关于推动信息安全等级保 护测评体系建设和开展等级测评工作的通知》， 要求2010年底前完成测评体系建设，并完成 30%第三级（含）以上信息系统的测评工作， 2011年底前完成第三级（含）以上信息系统的 测评工作，2012年底之前完成第三级（含）以 上信息系统的安全建设整改工作。 信息安全等级保护制度 • 信息安全等级保护制度的提出 • 信息安全等级保护发展现状 • 信息安全等级保护体系 信息安全等级保护标准体系 • 《安全等级保护划分准则》 GB17859-1999 – 我国等级保护制度的基础性标准，规定了计算机信息系统安全保 护能力的五个级别 • • • • • 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级 – 针对每个级别，详细列出了等级划分准则 信息安全等级保护标准体系 • 《信息系统安全保护等级定级指南》GB/T 22240-2008 – 用于指导信息系统的建设单位和运营、使用单位如何对确定的信 息系统进行定级，为信息系统等级保护的实施提供基础和依据 – 定级要素 • 受侵害的客体：a）公民、法人和其他组织的合法权益；b）社会秩序、公共 利益；c）国家安全 • 对客体的侵害程度：a）造成一般损害；b）造成严重损害；c）造成特别严重 损害。 信息安全等级保护标准体系 • 《信息系统安全保护等级定级指南》GB/T 22240-2008 对客体的侵害程度 受侵害的客体 公民、法人和其他组织的合法 权益 社会秩序、公共利益 国家安全 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级 业务信息安全和系统服务安全 信息系统与之相关的受侵害客体和对客体的侵害 程度可能不同，因此，信息系统定级也应由业务 信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级 称业务信息安全等级。 从系统服务安全角度反映的信息系统安全保护等级 称系统服务安全等级。 两种安全的定义 对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息 安全的破坏和对信息系统服务的破坏，其中： 信息安全是指确保信息系统内信息的保密性、完整性和可用性等； 系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的 业务目标； 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程 度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。 信息安全和系统服务安全受到破坏后，可能产生以下危害后果： 影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失； 造成社会不良影响；对其他组织和个人造成损失；其他影响。 定级流程 信息安全等级保护标准体系