什么是信息安全等级保护,评测标准??

2024-11-06 21:40:47
推荐回答(5个)
回答(1):

信息安全等级保护:

是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

测评标准:

回答(2):

信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

十大重要标准  
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
  信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
  信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
  信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
  信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
  信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
  信息系统安全等级保护测评要求 (应用类测评标准)
  信息系统安全等级保护测评过程指南 (应用类测评标准)
  信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
  信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)

其它相关标准
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
  GB/T 20270-2006 信息安全技术 网络基础安全技术要求
  GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
  GB/T 20272-2006 信息安全技术 操作系统安全技术要求
  GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
  GB/T 20984-2007 信息安全技术 信息安全风险评估规范
  GB/T 20285-2007 信息安全技术 信息安全事件管理指南
  GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
  GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范

其中
信息系统安全等级保护测评要求 (应用类测评标准)
信息系统安全等级保护测评过程指南 (应用类测评标准)

这两个标准就是具体的评价准则!
希望能帮到您!

回答(3):

  许多朋友总是来咨询安全等级评估的相关问题,然后我做了一个汇总,统一回答下吧:

      我们所说的安全等级到底是如何评估的?

安全等级评估

      安全等级风险辨识和评价的方法很多,各企业应根据各自的实际情况选择使用。以下是常用的几种方法:

  1.工作危害分析法(JHA)

  工作危害分析法是一种定性的风险分析辨识方法,它是基于作业活动的一种风险辨识技术,用来进行人的不安全行为、物的不安全状态、环境的不安全因素以及管理缺陷等的有效识别。即先把整个作业活动(任务)划分成多个工作步骤,将作业步骤中的危险源找出来,并判断其在现有安全控制措施条件下可能导致的事故类型及其后果。若现有安全控制措施不能满足安全生产的需要,应制定新的安全控制措施以保证安全生产;危险性仍然较大时,还应将其列为重点对象加强管控,必要时还应制定应急处置措施加以保障,从而将风险降低至可以接受的水平。

  2. 安全检查表分析法(SCL)

  安全检查表法是一种定性的风险分析辨识方法,它是将一系列项目列出检查表进行分析,以确定系统、场所的状态是否符合安全要求,通过检查发现系统中存在的风险,提出改进措施的一种方法。安全检查表的编制主要是依据以下四个方面的内容:

  ①国家、地方的相关安全法规、规定、规程、规范和标准,行业、企业的规章制度、标准及企业安全生产操作规程。

  ②国内外行业、企业事故统计案例,经验教训。

  ③行业及企业安全生产的经验,特别是本企业安全生产的实践经验,引发事故的各种潜在不安全因素及成功杜绝或减少事故发生的成功经验。

  ④系统安全分析的结果,如采用事故树分析方法找出的不安全因素,或作为防止事故控制点源列入检查表。

  3. 风险矩阵分析法(LS)

  风险矩阵分析法是一种半定量的风险评价方法,它在进行风险评价时,将风险事件的后果严重程度相对的定性分为若干级,将风险事件发生的可能性也相对定性分为若干级,然后以严重性为表列,以可能性为表行,制成表,在行列的交点上给出定性的加权指数。所有的加权指数构成一个矩阵,而每一个指数代表了一个风险等级。R=L×S;R:风险程度;L:发生事故的可能性,重点考虑事故发生的频次、以及人体暴露在这种危险环境中的频繁程度;S:发生事故的后果严重性,重点考虑伤害程度、持续时间。

  4.作业条件危险性分析法(LEC)

  作业条件危险性分析法是一种半定量的风险评价方法,它用与系统风险有关的三种因素指标值的乘积来评价操作人员伤亡风险大小。三种因素分别是:L(事故发生的可能性)、E(人员暴露于危险环境中的频繁程度)和C(一旦发生事故可能造成的后果)。给三种因素的不同等级分别确定不同的分值,再以三个分值的乘积D(危险性)来评价作业条件危险性的大小,即:D=L×E×C。
D值越大,说明该系统危险性大。

  5.风险程度分析法(MES)

  风险程度分析法是是一种半定量的风险评价方法,它是对作业条件危险性分析法(LEC)的改进。风险程度R,R=M×E×S。其中M为控制措施的状态;暴露的频繁程度E增加了职业病发病情况、环境影响状况两项影响因素;事故的可能后果S,包括伤害、职业相关病症、财产损失和环境影响;M、E、S分别制定了其取值标准。

以上对于安全等级评估的解答希望可以帮助到你更进一步的理解吧,有疑问随时欢迎询问!

回答(4):

等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。

等级保护测评流程是:

1、摸底调查:摸清信息系统底数,掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象:应用系统应按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级:定级是信息安全等级保护工作的首要环节,是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批:运营使用单位或主管部门在确定系统安全保护等级后,可以聘请专家进行评审。

5、备案:备案单位准备备案工具,填写备案表,生成备案电子数据,到公安机关办理备案手续。

6、备案审核:受理备案的公安机关要及时公布备案受理地点、备案联系方式等,对备案材料进行完整性审核和定级准确审核。

7、系统测评:第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施:根据测评结果进行安全要求整改。

回答(5):

我来简单点说吧,首先是国家为了保护境内的信息安全而采取的措施,这措施的原理就是信息系统按重要性划分等级,然后按相应的等级的保护要求来建设,使该信息系统具备国家要求的该等级的保护能力。评测的依据自然就是国家制定的等级保护基本要求了,也就是《信息系统安全等级保护基本要求》 (GB/T 22239-2008)这个标准,里面有1-4级要具备的相应要求。
简单的举例,一个县政府的网站系统,自然没有一个部委的网站系统重要,也没有那么影响大,那么县网站的保护等级自然就低些,部委的自然就要高,这样的话,就可以有针对性的采取不同程度的保护措施,只要达到那个基本要求规定的相应等级要求就好。这是为了能根据重要性有效的保护前提下,尽可能少投入,节省成本,使国家整体的信息安全能落实下去。
其实等级保护不仅仅是信息系统,只是目前重点开展的是这个工作。它还有安全事件分等级进行响应、处置,也就是应急方面了,还有安全产品分等级进行管理,也就是安全产品认证。