信息安全管理（第五章 信息系统安全测评）.pptVIP

信息安全等级保护与等级测评 信息安全等级保护： （2）信息系统安全保护等级的定级要素： 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 其中，等级保护对象受到破坏时所侵害的客体包括以下三个方面： a) 公民、法人和其他组织的合法权益； b) 社会秩序、公共利益； c) 国家安全。 信息安全等级保护与等级测评 信息安全等级保护： 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： a) 造成一般损害； b) 造成严重损害； c) 造成特别严重损害 信息安全等级保护与等级测评 信息安全等级保护： （3）定级要素与等级的关系： 信息安全等级保护与等级测评 信息安全等级保护： 定级方法： （1）定级的一般流程： 信息安全等级保护与等级测评 信息安全等级保护： （2）确定定级对象： 作为定级对象的信息系统应具有如下基本特征： a)具有唯一确定的安全责任单位。 b)具有信息系统的基本要素。 c)承载单一或相对独立的业务应用。 信息安全等级保护与等级测评 信息安全等级保护： （3）确定受侵害的客体： 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。 信息安全等级保护与等级测评 信息安全等级保护： （4）确定对客体的侵害程度： 侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。 信息系统安全测评流程 信息系统安全测评包括： 资料审查 核查测试 综合评估 测评流程如图5-2所示 信息系统安全测评流程 与被测单位协商，帮助用户完善应提交的相关资料 被测用户提交测评申请以及相关材料 测评机构对被测单位提供的资料进行形式化审查 向被测单位出具形式化审查报告 形式化审查是否通过？ 制定信息系统安全测评计划 召开系统安全测评协调会，双方确认测评计划 制定系统安全测评方案 实施现场核查测试 整理测试数据，形成核查测试报告 形成系统安全测评综合评估报告 对用户资料和测试报告进行综合分析，形成分析意见 审定系统安全测评综合评估报告 信息系统安全测评流程 资料审查 被测用户应向安全测评机构提交测评申请，并提交相关资料； 安全测评机构收到用户系统测评申请后，根据用户测评申请提供的资料，进行形式化审查，审查用户资料是否满足测评要求； 向用户提供形式化审查报告。 信息系统安全测评流程 核查测试 测评机构依据本规范和用户提供的资料，制定系统安全测评计划； 召开系统安全测评协调会，测评双方共同确认系统安全测评计划； 依据系统安全测评计划制定系统安全测评方案； 依据系统安全测评方案实施现场核查测试； 对核查测试结果进行数据整理记录，并形成核查测试报告。 信息系统安全测评流程 综合评估 依据本规范，对用户资料和测试报告进行综合分析，形成分析意见； 就分析意见与用户沟通确认，最终形成系统安全测评综合评估报告； 对系统安全测评综合评估报告进行审定； 出具信息系统安全测评综合评估报告和审定书。 信息系统安全管理测评 术语和定义： 安全审计(security audit): 对信息系统记录与活动的独立的审查和检查，以测试系统控制的充分程度，确保符合已建立的安全策略和操作过程，检测出安全违规，并对在控制、安全策略和过程中指示的变化提出建议。 风险评估(risk assessment): 风险识别、分析、估值的全过程，其目标是确定和估算风险值。 信息系统安全管理测评 安全策略(security policy):一个组织为其运转而规定的一个或多个安全规则、规程、惯例和指南。 监测验证(validate by inspect and test):通过对与安全管理有关的监测信息(包括审计信息以及各种监测、监控机制收集的信息)的分析，对安全管理实施的有效性进行验证的过程。 信息系统安全管理测评 管理评估的基本原则： 对信息系统安全管理的评估除应坚持科学性、有效性、公正性等基本原则外，还应遵循以下原则： 体