- 1、本文档共88页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
医疗卫生行业信息安全等级保护实施——体系化方法东风总医院冯淑凯
主要内容?信息安全等级保护制度?信息安全等级保护的体系化实施
信息安全等级保护制度?信息安全等级保护制度的提出?信息安全等级保护发展现状?信息安全等级保护体系
信息安全等级保护制度的提出?计算机病毒、黑客攻击、软硬件故障等信息安全问题给各类组织造成了极大的风险?信息安全问题不仅仅是组织自身的事情,也涉及到国家和社会安全?基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全尤为重要
信息安全等级保护制度的提出?1994年,国务院发布了《中华人民共和国计算机信息系统 安全保护条例》(147号令) –条例第九条明确规定“计算机信息系统实行安全等级保护。安全等 级的划分标准和安全等级保护的具体办法,由公安部会同有关部 门制定”。?1999年9月13日,《计算机信息系统安全保护等级划分准 则》(GB17859-1999)发布,是我国计算机信息系统安 全保护等级工作的基础? 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(27号)明确指出“实行信息安全等级保护”
信息安全等级保护制度的提出?2004年,公安部、必威体育官网网址局、密码管理局、国信办联合印发 了《关于信息安全等级保护工作的实施意见》(66号文 件),明确了等级保护的原则、内容、要求以及部门分工 和实施计划?2007年,公安部、必威体育官网网址局、密码管理局、国信办联合制定了《信息安全等级保护管理办法》,标志着我国等级保护制度的初步形成
信息安全等级保护制度?信息安全等级保护制度的提出?信息安全等级保护发展现状?信息安全等级保护体系
信息安全等级保护发展现状?测评工作–公信安[2010]303号《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,要求2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。
信息安全等级保护制度?信息安全等级保护制度的提出?信息安全等级保护发展现状?信息安全等级保护体系
信息安全等级保护标准体系?《安全等级保护划分准则》GB17859-1999 –我国等级保护制度的基础性标准,规定了计算机信息系统安全保 护能力的五个级别?????第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级–针对每个级别,详细列出了等级划分准则
信息安全等级保护标准体系?《信息系统安全保护等级定级指南》GB/T22240-2008–用于指导信息系统的建设单位和运营、使用单位如何对确定的信息系统进行定级,为信息系统等级保护的实施提供基础和依据–定级要素?受侵害的客体:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全?对客体的侵害程度:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。
信息安全等级保护标准体系?《信息系统安全保护等级定级指南》GB/T22240-2008 对客体的侵害程度受侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全一般损害 第一级 第二级 第三级严重损害 第二级 第三级 第四级特别严重损害 第二级 第四级 第五级
业务信息安全和系统服务安全信息系统与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。
两种安全的定义对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中:信息安全是指确保信息系统内信息的必威体育官网网址性、完整性和可用性等;系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标;由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。
定级流程
信息安全等级保护标准体系?《信息系统安全等级保护基本要求》GB/T22239-2008–针对每个等级的信息系统提出相应安全保护要求,这些要求的实现能够保证系统达到相应等级的基本保护能力–用途?为信息系统的建设单位和
您可能关注的文档
- 网络教育资源库的建设与应用的研究结题报告.doc
- 网络操作系统----Windows Server 2008篇[项目1]网络操作系统的规划.ppt
- 网络广告营销.ppt
- 网络安全自查自检报告.doc
- 网络安全管理制度必威体育精装版版本.doc
- 网络安全简介.pdf
- 网络安全知识讲座.ppt
- 网络安全班会.pptx
- 网络安全手抄报7.doc
- 网络安全手抄报10.doc
- 《中国通史》文字稿第12集春秋争霸.docx
- java教程--类与对象-讲义课件(演讲稿).ppt
- Vue应用程序开发-(1).pptx
- 东北师大版社劳动实践与评价指导手册一年级上册主题二活动一寻找五彩的树叶课时课件.pptx
- 外研版英语四年级上册 Module 4 Unit 2 How much is it单元教学设计.docx
- 外研版英语四年级上册Module 4 单元整体教学设计.docx
- 6《上课之前》课件 鄂科技版 心理健康教育一年级.pptx
- 《1~5的认识》说课课件(共25张PPT)人教版一年级上册数学.pptx
- 六《解决问题(1)》说课课件 人教版 三年级上册数学.pptx
- 七《解决问题》说课课件 人教版 二年级上册数学.pptx
文档评论(0)