81组织基础架构 计算机信息系统的安全保护等级 GB17859一1999《计算机信息系统安全保护等级划 分准则》是我国计算机信息系统安全保护等级系列标准 的基础,是进行计算机信息系统安全等级保护制度建设 的基础性标准,也是信息安全评估和管理的重要基础。 此标准将计算机信息系统安全保护从低到高划分为5个 等级,即用户自主保护级、系统审计保护级、安全标记 保护级、结构化保护级和访问验证保护级。高级别安全 要求是低级别安全要求的超集。计算机信息系统安全保 护能力随着安全保护等级的增高逐渐增强
8.1 组织基础架构 ◼ 计算机信息系统的安全保护等级 ◼ GB 17859—1999《计算机信息系统安全保护等级划 分准则》是我国计算机信息系统安全保护等级系列标准 的基础,是进行计算机信息系统安全等级保护制度建设 的基础性标准,也是信息安全评估和管理的重要基础。 此标准将计算机信息系统安全保护从低到高划分为5个 等级,即用户自主保护级、系统审计保护级、安全标记 保护级、结构化保护级和访问验证保护级。高级别安全 要求是低级别安全要求的超集。计算机信息系统安全保 护能力随着安全保护等级的增高逐渐增强
81组织基础架构 基于通用准则的安全等级 ■GB/T18336中定义的7个评估保证级为: ■评估保证级1(EAL1) 一功能测试。 国i 评估保证级2(EAL2)—结构测试。 o i 评估保证级3(EAL3)一系统地测试和检查。 ■评估保证级4(EAL4)— 系统地设计、测试和复查。 ■评估保证级5(EAL5)—半形式化设计和测试。 国 评估保证级6(EAL6)一半形式化验证的设计和测试。 评估保证级7(EAL7)一形式化验证的设计和测试
8.1 组织基础架构 ◼ 基于通用准则的安全等级 ◼ GB/T 18336中定义的7个评估保证级为: ◼ 评估保证级1(EAL1)——功能测试。 ◼ 评估保证级2(EAL2)——结构测试。 ◼ 评估保证级3(EAL3)——系统地测试和检查。 ◼ 评估保证级4(EAL4)——系统地设计、测试和复查。 ◼ 评估保证级5(EAL5)——半形式化设计和测试。 ◼ 评估保证级6(EAL6)——半形式化验证的设计和测试。 ◼ 评估保证级7(EAL7)——形式化验证的设计和测试
81组织基础架构 信息安全管理的基本内容 现 理以OS安全机制和安全眼多的管理以及物理环境的技 宋监控为主,法津推管理以法律法规遵从性管理为美。 ,塞套菱圣影锅半遐 管理委身并不完成定常的业务应用通信,但 系统管理的安全包括信息系统所有算理驱 务协议的安佞全,以及信意系统管理信意的通信 全,它们是信息系统安全的重要组成部分 陳春餐素着 与 与信息获得足够的保护
8.1 组织基础架构 ◼ 信息安全管理的基本内容 ◼ 信息系统的安全管理涉及与信息系统有关的安全管理 以及信息系统管理的安全两个方面。这两方面的管理 又分为技术性管理和法律性管理两类。其中技术性管 理以OSI安全机制和安全服务的管理以及物理环境的技 术监控为主,法律性管理以法律法规遵从性管理为主。 信息安全管理本身并不完成正常的业务应用通信,但 却是支持与控制这些通信的安全所必需的手段。 ◼ 信息系统管理的安全包括信息系统所有管理服 务协议的安全,以及信息系统管理信息的通信 安全,它们是信息系统安全的重要组成部分。 这一类安全管理将借助对信息系统安全服务与 机制做适当的选取,以确保信息系统管理协议 与信息获得足够的保护
81组织基础架构 信息安全管理的指导原则 信息安全管理的基本原侧包括: ■以安全保发展,在发展中求安全 ■受保护资源的价值与保护成本平衡 ■明确国家、企业和个人对信息安全的职责和可确认性 ■ 信息安全需要积极防御和综合防范 ■定期评估信息系统的残留风险 ■综合考虑社会因素对信息安全的制约 ■信息安全管理体现以人为本
8.1 组织基础架构 ◼ 信息安全管理的指导原则 ◼ 信息安全管理的基本原则包括: ◼ 以安全保发展,在发展中求安全 ◼ 受保护资源的价值与保护成本平衡 ◼ 明确国家、企业和个人对信息安全的职责和可确认性 ◼ 信息安全需要积极防御和综合防范 ◼ 定期评估信息系统的残留风险 ◼ 综合考虑社会因素对信息安全的制约 ◼ 信息安全管理体现以人为本
81组织基础架构 安全管理过程 ■信息系统安全管理是一个过程,用来实现和维持信息系 统及其资源适当等级的机密性、完整性、可用性、不可 抵赖性、可确认性、真实性和可靠性等。信息系统安全 管理包括分析系统资产、分析系统风险、分析安全需求、 制定满足安全需求的计划、执行这些计划并维持和管理 安全设备的安全
8.1 组织基础架构 ◼ 安全管理过程 ◼ 信息系统安全管理是一个过程,用来实现和维持信息系 统及其资源适当等级的机密性、完整性、可用性、不可 抵赖性、可确认性、真实性和可靠性等。信息系统安全 管理包括分析系统资产、分析系统风险、分析安全需求、 制定满足安全需求的计划、执行这些计划并维持和管理 安全设备的安全