什么是信息安全等级保护,评测标准?? 信息安全测评是什么?只有等级保护吗?
信息安全等级保护:
是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
测评标准:
信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
十大重要标准
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (应用类测评标准)
信息系统安全等级保护测评过程指南 (应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)
其它相关标准
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20285-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
其中
信息系统安全等级保护测评要求 (应用类测评标准)
信息系统安全等级保护测评过程指南 (应用类测评标准)
这两个标准就是具体的评价准则!
希望能帮到您!
许多朋友总是来咨询安全等级评估的相关问题,然后我做了一个汇总,统一回答下吧:
我们所说的安全等级到底是如何评估的?
安全等级评估
安全等级风险辨识和评价的方法很多,各企业应根据各自的实际情况选择使用。以下是常用的几种方法:
1.工作危害分析法(JHA)
工作危害分析法是一种定性的风险分析辨识方法,它是基于作业活动的一种风险辨识技术,用来进行人的不安全行为、物的不安全状态、环境的不安全因素以及管理缺陷等的有效识别。即先把整个作业活动(任务)划分成多个工作步骤,将作业步骤中的危险源找出来,并判断其在现有安全控制措施条件下可能导致的事故类型及其后果。若现有安全控制措施不能满足安全生产的需要,应制定新的安全控制措施以保证安全生产;危险性仍然较大时,还应将其列为重点对象加强管控,必要时还应制定应急处置措施加以保障,从而将风险降低至可以接受的水平。
2. 安全检查表分析法(SCL)
安全检查表法是一种定性的风险分析辨识方法,它是将一系列项目列出检查表进行分析,以确定系统、场所的状态是否符合安全要求,通过检查发现系统中存在的风险,提出改进措施的一种方法。安全检查表的编制主要是依据以下四个方面的内容:
①国家、地方的相关安全法规、规定、规程、规范和标准,行业、企业的规章制度、标准及企业安全生产操作规程。
②国内外行业、企业事故统计案例,经验教训。
③行业及企业安全生产的经验,特别是本企业安全生产的实践经验,引发事故的各种潜在不安全因素及成功杜绝或减少事故发生的成功经验。
④系统安全分析的结果,如采用事故树分析方法找出的不安全因素,或作为防止事故控制点源列入检查表。
3. 风险矩阵分析法(LS)
风险矩阵分析法是一种半定量的风险评价方法,它在进行风险评价时,将风险事件的后果严重程度相对的定性分为若干级,将风险事件发生的可能性也相对定性分为若干级,然后以严重性为表列,以可能性为表行,制成表,在行列的交点上给出定性的加权指数。所有的加权指数构成一个矩阵,而每一个指数代表了一个风险等级。R=L×S;R:风险程度;L:发生事故的可能性,重点考虑事故发生的频次、以及人体暴露在这种危险环境中的频繁程度;S:发生事故的后果严重性,重点考虑伤害程度、持续时间。
4.作业条件危险性分析法(LEC)
作业条件危险性分析法是一种半定量的风险评价方法,它用与系统风险有关的三种因素指标值的乘积来评价操作人员伤亡风险大小。三种因素分别是:L(事故发生的可能性)、E(人员暴露于危险环境中的频繁程度)和C(一旦发生事故可能造成的后果)。给三种因素的不同等级分别确定不同的分值,再以三个分值的乘积D(危险性)来评价作业条件危险性的大小,即:D=L×E×C。
D值越大,说明该系统危险性大。
5.风险程度分析法(MES)
风险程度分析法是是一种半定量的风险评价方法,它是对作业条件危险性分析法(LEC)的改进。风险程度R,R=M×E×S。其中M为控制措施的状态;暴露的频繁程度E增加了职业病发病情况、环境影响状况两项影响因素;事故的可能后果S,包括伤害、职业相关病症、财产损失和环境影响;M、E、S分别制定了其取值标准。
以上对于安全等级评估的解答希望可以帮助到你更进一步的理解吧,有疑问随时欢迎询问!
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
等级保护测评流程是:
1、摸底调查:摸清信息系统底数,掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。
2、确立定级对象:应用系统应按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象。
3、系统定级:定级是信息安全等级保护工作的首要环节,是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。
4、专家批审和主管部门审批:运营使用单位或主管部门在确定系统安全保护等级后,可以聘请专家进行评审。
5、备案:备案单位准备备案工具,填写备案表,生成备案电子数据,到公安机关办理备案手续。
6、备案审核:受理备案的公安机关要及时公布备案受理地点、备案联系方式等,对备案材料进行完整性审核和定级准确审核。
7、系统测评:第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。
8、整改实施:根据测评结果进行安全要求整改。
我来简单点说吧,首先是国家为了保护境内的信息安全而采取的措施,这措施的原理就是信息系统按重要性划分等级,然后按相应的等级的保护要求来建设,使该信息系统具备国家要求的该等级的保护能力。评测的依据自然就是国家制定的等级保护基本要求了,也就是《信息系统安全等级保护基本要求》 (GB/T 22239-2008)这个标准,里面有1-4级要具备的相应要求。
简单的举例,一个县政府的网站系统,自然没有一个部委的网站系统重要,也没有那么影响大,那么县网站的保护等级自然就低些,部委的自然就要高,这样的话,就可以有针对性的采取不同程度的保护措施,只要达到那个基本要求规定的相应等级要求就好。这是为了能根据重要性有效的保护前提下,尽可能少投入,节省成本,使国家整体的信息安全能落实下去。
其实等级保护不仅仅是信息系统,只是目前重点开展的是这个工作。它还有安全事件分等级进行响应、处置,也就是应急方面了,还有安全产品分等级进行管理,也就是安全产品认证。
什么是信息安全等级保护?什么是等保?~
信息安全等级保护简称等保。
在我国等保分为五个等级,一贯坚持自主定级、自主保护的原则。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
为何要做等保:
随着我国信息技术的快速发展,为维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。条例中规定:我国的“计算机信息系统实行安全等级保护。
哪些行业需要做等保测评:
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
金融行业:金融监管机构、各大银行、证券、保险公司等;
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
能源行业:电力公司、石油公司、烟草公司;
企业单位:大中型企业、央企、上市公司等;
其它有信息系统定级需求的行业与单位。
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,山东省软件评测中心作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息安全等级保护测评工作是等级测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动.
等级测评体系建设主要内容包括测评机构的建设和规范管理,测评人员和测评活动的规范管理等。信息安全等级保护测评工作是信息安全等级保护工作的重要环节,是专门机构针对信息系统开展的一种专业性、服务性的检测活动。
等级测评工作涉及的信息系统范围广、敏感性强,参与的测评机构及测评人员复杂,如果缺乏对测评机构和测评人员的管理,则难以保证等级测评的客观、公正和安全,甚至会给重要信息系统安全造成新的风险和隐患,危害国家安全和社会稳定。
为加强对测评机构及测评人员管理,稳步推进等级测评机构建设,规范等级测评活动,提高测评机构、人员的技术能力和水平,在国家信息安全等级保护协调小组的领导下,全国组织开展信息安全等级保护等级测评体系建设工作,以保障等级保护工作的顺利开展。
扩展资料:
工作内容
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现。
另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。
因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
参考资料来源:百度百科-信息安全等级保护
什么是等级保护?等级保护的定义是什么?
答:将全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从第一级到第五级逐级增高),定级后第二级以上系统到公安机关备案,公安机关审核合格后颁发备案证明;各单位各部门根据系统等级按照国家标准进行安全建设整改;聘请测评机构进行等级测评;公安机关定期开展监督、检查、指导。《信息...
等级保护测评是什么?
答:等级保护测评一般是指信息安全等级保护测评工作,即对信息和信息载体按照重要性等级分级别进行保护的一种测评工作。信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对...
什么是信息安全等级保护?什么是等保?
答:为何要做等保:随着我国信息技术的快速发展,为维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。条例中规定:我国的“计算机信息系统实行安全等级保护。哪些行业需要做等保测评:政府机关:各大部委、各省级政府机关、各地市级政府...
等保测评是什么意思?
答:等保测评是一个用于企业信息系统安全评估的标准体系。其全称为《信息安全技术等级保护评定导则》,是中国政府制定并实施的信息安全评估与管理体系。等保测评主要对企业内部涉密信息的保护程度进行评估,包括技术安全措施、管理措施、人员措施等维度,评估出企业的安全等级。这个评估指标在中国的信息安全市场具有重要...
什么是信息安全等级保护?等保2.0是什么?
答:网络信息安全等级保护2.0制度 【等保2.0是什么?】等保2.0全称网络信息安全等级保护2.0制度,是我国企业网络系统安全管理领域的基本国策、基本经济制度。分级防护标准在1.0时代标准的基础上,注重主动防御,从被动防御到安全可信、动态感知和事前、事中、事后全流程全面审计,实现了对传统信息系统、基础...
等保测评是什么
答:3. 等级划分:根据信息系统的不同重要性及其承载的业务类型,等级保护分为不同的级别,每一级别的保护要求都有所不同。测评过程中会依据相应的等级标准来判断信息系统是否达标。等保测评对于企业和组织而言至关重要,它不仅能够帮助企业和组织发现和解决信息系统中的安全隐患,还能提高企业的信息安全防护能力...
什么是信息系统安全等级保护?
答:3. 信息安全等级保护工作的主要环节和要求 主要环节:定级、备案、安全建设整改、等级测评和安全检查。基本要求:各单位、各部门,按照“准确定级、严格审批、及时备案、认真整改、科学测评的要求开展等级保护的定级、备案、整改、测评等工作。公安机关要及时开展监督检查,严格审查信息系统所定级别,严格检查...
什么是信息安全等级保护?信息系统的安全等级保护具体分为哪几级?_百度...
答:2、信息系统的安全保护等级分为以下五级具体如下:用户自主保护级。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。系统审计保护级。国家信息安全监管部门指导本级信息系统安全等级保护工作。3、法律分析:信息系统的安全保护等级分为五级:第一级为自主保护级、第二级为指导保护级、第三...
什么是信息系统安全等级保护?
答:三级等保体系是指:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统...
什么是等级保护测评?
答:什么是等保 等保的全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。等保内容包括什么 1、安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全...
