网络安全-十堰太和医院.ppt

医疗卫生行业信息安全等级保护实施——体系化方法东风总医院冯淑凯

主要内容?信息安全等级保护制度?信息安全等级保护的体系化实施

信息安全等级保护制度?信息安全等级保护制度的提出?信息安全等级保护发展现状?信息安全等级保护体系

信息安全等级保护制度的提出?计算机病毒、黑客攻击、软硬件故障等信息安全问题给各类组织造成了极大的风险?信息安全问题不仅仅是组织自身的事情，也涉及到国家和社会安全?基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全尤为重要

信息安全等级保护制度的提出?1994年，国务院发布了《中华人民共和国计算机信息系统 安全保护条例》（147号令） –条例第九条明确规定“计算机信息系统实行安全等级保护。安全等 级的划分标准和安全等级保护的具体办法，由公安部会同有关部 门制定”。?1999年9月13日，《计算机信息系统安全保护等级划分准 则》（GB17859-1999）发布，是我国计算机信息系统安 全保护等级工作的基础? 2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（27号）明确指出“实行信息安全等级保护”

信息安全等级保护制度的提出?2004年，公安部、必威体育官网网址局、密码管理局、国信办联合印发 了《关于信息安全等级保护工作的实施意见》（66号文 件），明确了等级保护的原则、内容、要求以及部门分工 和实施计划?2007年，公安部、必威体育官网网址局、密码管理局、国信办联合制定了《信息安全等级保护管理办法》，标志着我国等级保护制度的初步形成

信息安全等级保护制度?信息安全等级保护制度的提出?信息安全等级保护发展现状?信息安全等级保护体系

信息安全等级保护发展现状?测评工作–公信安[2010]303号《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，要求2010年底前完成测评体系建设，并完成30%第三级（含）以上信息系统的测评工作，2011年底前完成第三级（含）以上信息系统的测评工作，2012年底之前完成第三级（含）以上信息系统的安全建设整改工作。

信息安全等级保护制度?信息安全等级保护制度的提出?信息安全等级保护发展现状?信息安全等级保护体系

信息安全等级保护标准体系?《安全等级保护划分准则》GB17859-1999 –我国等级保护制度的基础性标准，规定了计算机信息系统安全保 护能力的五个级别?????第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级–针对每个级别，详细列出了等级划分准则

信息安全等级保护标准体系?《信息系统安全保护等级定级指南》GB/T22240-2008–用于指导信息系统的建设单位和运营、使用单位如何对确定的信息系统进行定级，为信息系统等级保护的实施提供基础和依据–定级要素?受侵害的客体：a）公民、法人和其他组织的合法权益；b）社会秩序、公共利益；c）国家安全?对客体的侵害程度：a）造成一般损害；b）造成严重损害；c）造成特别严重损害。

信息安全等级保护标准体系?《信息系统安全保护等级定级指南》GB/T22240-2008 对客体的侵害程度受侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全一般损害 第一级 第二级 第三级严重损害 第二级 第三级 第四级特别严重损害 第二级 第四级 第五级

业务信息安全和系统服务安全信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。

两种安全的定义对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中：信息安全是指确保信息系统内信息的必威体育官网网址性、完整性和可用性等；系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标；由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后，可能产生以下危害后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。

定级流程

信息安全等级保护标准体系?《信息系统安全等级保护基本要求》GB/T22239-2008–针对每个等级的信息系统提出相应安全保护要求，这些要求的实现能够保证系统达到相应等级的基本保护能力–用途?为信息系统的建设单位和