信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估課件

1、2022-3-61信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 第三章 信息安全等級保護(hù)與風(fēng)險(xiǎn)評估主要內(nèi)容1.1.重點(diǎn)和難點(diǎn)重點(diǎn)和難點(diǎn)信息系統(tǒng)安全等級確定信息系統(tǒng)安全等級確定；信息系統(tǒng)安全風(fēng)險(xiǎn)評估信息系統(tǒng)安全風(fēng)險(xiǎn)評估2.2.知識點(diǎn)知識點(diǎn)信息安全等級保護(hù)制度信息安全等級保護(hù)制度信息系統(tǒng)安全等級保護(hù)實(shí)施信息系統(tǒng)安全等級保護(hù)實(shí)施信息系統(tǒng)安全等級確定信息系統(tǒng)安全等級確定 信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全風(fēng)險(xiǎn)評估信息系統(tǒng)安全風(fēng)險(xiǎn)評估 2022-3-62信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 信息安全等級保護(hù)信息安全等級保護(hù)，是指對國家秘密信息、法人和其他組，是指

2、對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息的信息系統(tǒng)信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件按照等級進(jìn)行響應(yīng)和處置等。全事件按照等級進(jìn)行響應(yīng)和處置等。3.1 信息安全等級保護(hù)制度信息安全等級保護(hù)制度2022-3-63信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 1994年國務(wù)院發(fā)布的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例年國務(wù)院發(fā)布的計(jì)算機(jī)信息系統(tǒng)安全

3、保護(hù)條例第第9條規(guī)定：條規(guī)定：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。安全等級計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定。部門制定?！?1999年，公安部正式發(fā)布信息系統(tǒng)安全等級保護(hù)的國家年，公安部正式發(fā)布信息系統(tǒng)安全等級保護(hù)的國家標(biāo)準(zhǔn)標(biāo)準(zhǔn)GB 17859 1999，將計(jì)算機(jī)信息系統(tǒng)的安全級別明確，將計(jì)算機(jī)信息系統(tǒng)的安全級別明確劃分為五級并且提出了具體要求。劃分為五級并且提出了具體要求。3.1 信息安全等級保護(hù)制度信息安全等級保護(hù)制度2022-3-64信息安全講座ISM03信息安全等級保護(hù)與

4、風(fēng)險(xiǎn)評估 2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的國家信息化年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號）中明確指出：號）中明確指出：“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南。管理辦法和技術(shù)指南?！?2004年公安部等四部委關(guān)于信息安全等級保護(hù)工作的年公安

5、部等四部委關(guān)于信息安全等級保護(hù)工作的實(shí)施意見（公通字實(shí)施意見（公通字200466號）也指出，信息安全等級號）也指出，信息安全等級保護(hù)制度是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提保護(hù)制度是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。3.1 信息安全等級保護(hù)制度信息安全等級保護(hù)制度2022-3-65信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 2007年年6 月月公安部、國家保密局、國家

6、密碼管理公安部、國家保密局、國家密碼管理局和國務(wù)院信息工作辦公室聯(lián)合制定并下發(fā)了局和國務(wù)院信息工作辦公室聯(lián)合制定并下發(fā)了信信息安全等級保護(hù)管理辦法息安全等級保護(hù)管理辦法 （公通字（公通字200743號號），以期加快推進(jìn)信息安全等級保護(hù)，規(guī)范信息），以期加快推進(jìn)信息安全等級保護(hù)，規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)信息化建設(shè) 。3.1 信息安全等級保護(hù)制度信息安全等級保護(hù)制度2022-3-66信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)

7、評估 根據(jù)根據(jù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南信息系統(tǒng)安全等級保護(hù)實(shí)施指南的規(guī)定，信息系的規(guī)定，信息系統(tǒng)可以分為五個(gè)安全等級，國家對不同級別的信息和信息系統(tǒng)可以分為五個(gè)安全等級，國家對不同級別的信息和信息系統(tǒng)實(shí)行不同強(qiáng)度的監(jiān)管政策。統(tǒng)實(shí)行不同強(qiáng)度的監(jiān)管政策。 第一級第一級：自主保護(hù)級自主保護(hù)級 其主要對象為一般的信息系統(tǒng)，其主要對象為一般的信息系統(tǒng)，該信息系統(tǒng)受到破壞后，該信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。國家安全、社會秩序和公共利益。 本級系統(tǒng)依照國家管理規(guī)本級系統(tǒng)依照國家管理

8、規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。3.1 信息安全等級保護(hù)制度信息安全等級保護(hù)制度2022-3-67信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估第二級：指導(dǎo)保護(hù)級第二級：指導(dǎo)保護(hù)級其主要對象為一般的信息系統(tǒng)，該信息系統(tǒng)受到破壞后，會其主要對象為一般的信息系統(tǒng)，該信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。本級系社會秩序和公共利益造成損害，但不損害國家安全。本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，必要時(shí)信息統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行

9、自主保護(hù)，必要時(shí)信息安全監(jiān)管職能部門對其進(jìn)行指導(dǎo)。安全監(jiān)管職能部門對其進(jìn)行指導(dǎo)。第三級第三級：監(jiān)督保護(hù)級監(jiān)督保護(hù)級 其主要對象為涉及國家安全、社會秩序和公共利益的重要其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，信息系統(tǒng)，該信息系統(tǒng)受到破壞后，會對社會秩序和公共利該信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。 本級系統(tǒng)依照本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行監(jiān)督、檢查。部門對其進(jìn)行監(jiān)督、檢查。3.1 信息安全等級保

10、護(hù)制度信息安全等級保護(hù)制度2022-3-68信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估第四級第四級：強(qiáng)制保護(hù)級強(qiáng)制保護(hù)級 其主要對象為涉及國家安全、社會秩序和公共利益的重要其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，信息系統(tǒng)，該信息系統(tǒng)受到破壞后，會對社會秩序和公共利該信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。 本級本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行強(qiáng)制監(jiān)督、檢查。監(jiān)管職能部門對其進(jìn)行強(qiáng)

11、制監(jiān)督、檢查。 第五級第五級：專控保護(hù)級?？乇Ｗo(hù)級 其主要對象為涉及國家安全、社會秩序和公共利益的重要其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，信息系統(tǒng)的核心子系統(tǒng)，該信息系統(tǒng)受到破壞后，會對國家該信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。安全造成特別嚴(yán)重?fù)p害。 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督、檢查。監(jiān)督、檢查。3.1 信息安全等級保護(hù)制度信息安全等級保護(hù)制度2022-3-69信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)

12、評估 到目前為止，我國正式頒布的信息系統(tǒng)安全等級保護(hù)的強(qiáng)到目前為止，我國正式頒布的信息系統(tǒng)安全等級保護(hù)的強(qiáng)制性國家標(biāo)準(zhǔn)是制性國家標(biāo)準(zhǔn)是GB 17859 1999計(jì)算機(jī)信息系統(tǒng)安全保計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則，該準(zhǔn)則于護(hù)等級劃分準(zhǔn)則，該準(zhǔn)則于1999年年9月月13日經(jīng)國家質(zhì)量技術(shù)日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布，監(jiān)督局發(fā)布，2001年年1月月1日起實(shí)施。隨后圍繞日起實(shí)施。隨后圍繞GB 17859 1999編寫和制定了一系列與信息系統(tǒng)安全等級保護(hù)有關(guān)的標(biāo)編寫和制定了一系列與信息系統(tǒng)安全等級保護(hù)有關(guān)的標(biāo)準(zhǔn)和指南，旨在規(guī)范和指導(dǎo)信息系統(tǒng)安全等級保護(hù)實(shí)施過程準(zhǔn)和指南，旨在規(guī)范和指導(dǎo)信息系統(tǒng)安全等級保護(hù)

13、實(shí)施過程中的活動(dòng)。目前，這一系列的標(biāo)準(zhǔn)和指南包括：中的活動(dòng)。目前，這一系列的標(biāo)準(zhǔn)和指南包括：3.1 信息安全等級保護(hù)制度信息安全等級保護(hù)制度2022-3-610信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 GB 17859 - 1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GA/T 390 - 2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 GA/T 388 -2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求求 GA/T 389 - 2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系

14、統(tǒng)計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求技術(shù)要求 GA/T 387 - 2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求 GA/T 391 - 2002計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求 信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南信息系統(tǒng)安全等級保護(hù)實(shí)施指南 信息系統(tǒng)安全保護(hù)等級定級指南信息系統(tǒng)安全保護(hù)等級定級指南 信息安全技術(shù)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全等級保護(hù)基本要求 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則3.1 信息安全等級保護(hù)制度信息安全等級保護(hù)制度202

15、2-3-611信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、等級保護(hù)的核心是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。管理和監(jiān)督。等級保護(hù)在實(shí)施過程中應(yīng)遵循的基本原則：等級保護(hù)在實(shí)施過程中應(yīng)遵循的基本原則： 自主保護(hù)原則自主保護(hù)原則 由各主管部門和運(yùn)營、使用單位按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，由各主管部門和運(yùn)營、使用單位按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全等級，自行組織實(shí)施安全保護(hù)自主確定信息系統(tǒng)的安全等級，自行組織實(shí)施安全保護(hù) 同步建設(shè)原則同步建設(shè)原則 信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)

16、同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)安全與信息化建設(shè)相適應(yīng)3.2 信息系統(tǒng)安全等級保護(hù)實(shí)施信息系統(tǒng)安全等級保護(hù)實(shí)施2022-3-612信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 重點(diǎn)保護(hù)原則重點(diǎn)保護(hù)原則 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同的安根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同的安全等級，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及全等級，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 適當(dāng)調(diào)整原

17、則適當(dāng)調(diào)整原則 要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。因?yàn)樾乓櫺畔⑾到y(tǒng)的變化情況，調(diào)整安全保護(hù)措施。因?yàn)樾畔⑾到y(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全等息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的級需要變更的，應(yīng)當(dāng)根據(jù)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全等級，根據(jù)信息系統(tǒng)安全等要求，重新確定信息系統(tǒng)的安全等級，根據(jù)信息系統(tǒng)安全等級的調(diào)整情況，重新實(shí)施安全保護(hù)。級的調(diào)整情況，重新實(shí)施安全保護(hù)。 3.2 信息系統(tǒng)安全等級保護(hù)實(shí)施信息系統(tǒng)安全等級保護(hù)實(shí)施2022-3-613信息安全講座ISM03信息安全

18、等級保護(hù)與風(fēng)險(xiǎn)評估 信息系統(tǒng)主管部門信息系統(tǒng)主管部門 信息系統(tǒng)運(yùn)營、使用單位信息系統(tǒng)運(yùn)營、使用單位 信息系統(tǒng)安全服務(wù)商信息系統(tǒng)安全服務(wù)商 信息安全監(jiān)管機(jī)構(gòu)信息安全監(jiān)管機(jī)構(gòu) 安全測評機(jī)構(gòu)安全測評機(jī)構(gòu) 安全產(chǎn)品供應(yīng)商安全產(chǎn)品供應(yīng)商 3.2 信息系統(tǒng)安全等級保護(hù)實(shí)施信息系統(tǒng)安全等級保護(hù)實(shí)施2022-3-614信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 對信息系統(tǒng)實(shí)施等級保護(hù)的過程劃分為五個(gè)階段，具體如對信息系統(tǒng)實(shí)施等級保護(hù)的過程劃分為五個(gè)階段，具體如下圖：下圖： 3.2 信息系統(tǒng)安全等級保護(hù)實(shí)施信息系統(tǒng)安全等級保護(hù)實(shí)施2022-3-615信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 信息系

19、統(tǒng)生命周期包括五個(gè)階段：信息系統(tǒng)生命周期包括五個(gè)階段：啟動(dòng)準(zhǔn)備階段啟動(dòng)準(zhǔn)備階段、設(shè)計(jì)設(shè)計(jì)/開發(fā)階段開發(fā)階段、實(shí)施實(shí)施/實(shí)現(xiàn)階段實(shí)現(xiàn)階段、運(yùn)行維護(hù)階段運(yùn)行維護(hù)階段和和系統(tǒng)終止階段系統(tǒng)終止階段。安全等級保護(hù)工作將貫。安全等級保護(hù)工作將貫穿信息系統(tǒng)生命周期的各個(gè)階段。穿信息系統(tǒng)生命周期的各個(gè)階段。3.2 信息系統(tǒng)安全等級保護(hù)實(shí)施信息系統(tǒng)安全等級保護(hù)實(shí)施2022-3-616信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估1. 信息系統(tǒng)安全保護(hù)等級的信息系統(tǒng)安全保護(hù)等級的定級因素定級因素 信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生

20、活中的重要程度決定。從另一個(gè)角度看，經(jīng)濟(jì)建設(shè)、社會生活中的重要程度決定。從另一個(gè)角度看，信息系統(tǒng)重要程度越高，其遭到破壞后對國家安全、經(jīng)濟(jì)建信息系統(tǒng)重要程度越高，其遭到破壞后對國家安全、經(jīng)濟(jì)建設(shè)、社會秩序、公共利益以及公民、法人和其他組織的合法設(shè)、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度也越高。權(quán)益的危害程度也越高。 信息系統(tǒng)安全保護(hù)等級的定級要素：信息系統(tǒng)安全保護(hù)等級的定級要素：等級保護(hù)對象受到破壞時(shí)所侵害的客體等級保護(hù)對象受到破壞時(shí)所侵害的客體對客體造成侵害的程度對客體造成侵害的程度 3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)等級確定保護(hù)等級確定2022-3-617信息安全

21、講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估(1) 受侵害的客體受侵害的客體公民、法人和其他組織的合法權(quán)益公民、法人和其他組織的合法權(quán)益社會秩序、公共利益社會秩序、公共利益國家安全國家安全(2)對客體的侵害程度對客體的侵害程度 造成一般損害造成一般損害 造成嚴(yán)重?fù)p害造成嚴(yán)重?fù)p害 造成特別嚴(yán)重?fù)p害造成特別嚴(yán)重?fù)p害 3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定2022-3-618信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定受侵害的客體受侵害的客體對客體的侵害程度對客體的侵害程度一般損害一般損害嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害特別嚴(yán)重

22、損害公民、法人和其他組織的合公民、法人和其他組織的合法權(quán)益法權(quán)益第一級第一級第二級第二級第二級第二級社會秩序、公共利益社會秩序、公共利益第二級第二級第三級第三級第四級第四級國家安全國家安全第三級第三級第四級第四級第五級第五級表表3-1 定級要素與安全保護(hù)等級的關(guān)系表定級要素與安全保護(hù)等級的關(guān)系表 2022-3-619信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估2.定級一般流程定級一般流程 3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體7、系統(tǒng)

23、服務(wù)安全等級4、業(yè)務(wù)信息安全等級8、定級對象的安全保護(hù)等級依據(jù)表32依據(jù)表331、確定定級對象2022-3-620信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定3.確定定級對象確定定級對象 一個(gè)單位內(nèi)運(yùn)行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重一個(gè)單位內(nèi)運(yùn)行的信息系統(tǒng)可能比較龐大，為了體現(xiàn)重要部分重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息要部分重點(diǎn)保護(hù)，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護(hù)原則，可將較大的信息系統(tǒng)劃分安全資源配置的等級保護(hù)原則，可將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級的定級對象。為若

24、干個(gè)較小的、可能具有不同安全保護(hù)等級的定級對象。 作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征：具有唯一確定的安全責(zé)任單位具有唯一確定的安全責(zé)任單位 具有信息系統(tǒng)的基本要素具有信息系統(tǒng)的基本要素 承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用 2022-3-621信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估4.確定確定受侵害的客體受侵害的客體(1)侵害國家安全的事項(xiàng)侵害國家安全的事項(xiàng)影響國家政權(quán)穩(wěn)固和國防實(shí)力影響國家政權(quán)穩(wěn)固和國防實(shí)力影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定影響國家對外活動(dòng)中的政治、經(jīng)濟(jì)利益影響國家對外

25、活動(dòng)中的政治、經(jīng)濟(jì)利益影響國家重要的安全保衛(wèi)工作影響國家重要的安全保衛(wèi)工作影響國家經(jīng)濟(jì)競爭力和科技實(shí)力影響國家經(jīng)濟(jì)競爭力和科技實(shí)力其他影響國家安全的事項(xiàng)。其他影響國家安全的事項(xiàng)。 3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定2022-3-622信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定2022-3-623信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估(4)(4)影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會并受法律

26、保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利和利益權(quán)利和利益 確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)，確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。法權(quán)益。各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類信息和各各行業(yè)可根據(jù)本行業(yè)業(yè)務(wù)特點(diǎn)，分析各類信息和各類信息系統(tǒng)與國家安全、社會秩序、公共利益以及公民、法類信息系統(tǒng)與國家安全、社會秩序、公共利益以及公民、法人和其他組織的

27、合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息人和其他組織的合法權(quán)益的關(guān)系，從而確定本行業(yè)各類信息和各類信息系統(tǒng)受到破壞時(shí)所侵害的客體。和各類信息系統(tǒng)受到破壞時(shí)所侵害的客體。3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定2022-3-624信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估5.5.確定對客體的侵害程度確定對客體的侵害程度 (1)侵害的客觀方面侵害的客觀方面判斷標(biāo)準(zhǔn)判斷標(biāo)準(zhǔn)影響行使工作職能影響行使工作職能 導(dǎo)致業(yè)務(wù)能力下降導(dǎo)致業(yè)務(wù)能力下降 引起法律糾紛引起法律糾紛 導(dǎo)致財(cái)產(chǎn)損失導(dǎo)致財(cái)產(chǎn)損失 造成社會不良影響造成社會不良影響 對其他組織和個(gè)人造成損失對其他組織和個(gè)人造成損失 其他影

28、響其他影響 3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定2022-3-625信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定2022-3-626信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定2022-3-627信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定表3-2 業(yè)務(wù)信息安全保護(hù)等級矩陣表業(yè)務(wù)信息安全業(yè)務(wù)信息安全被破壞時(shí)所侵害的被破壞時(shí)所侵害的客體客體對相應(yīng)客體的侵害程度對相應(yīng)客體的侵害程度一般損害一般損害嚴(yán)重

29、損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)公民、法人和其他組織的合法權(quán)益益第一級第一級第二級第二級第二級第二級社會秩序、公共利益社會秩序、公共利益第二級第二級第三級第三級第四級第四級國家安全國家安全第三級第三級第四級第四級第五級第五級2022-3-628信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定表3-3 系統(tǒng)服務(wù)安全保護(hù)等級矩陣表 系統(tǒng)服務(wù)安全系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的被破壞時(shí)所侵害的客體客體對相應(yīng)客體的侵害程度對相應(yīng)客體的侵害程度一般損害一般損害嚴(yán)重?fù)p害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的

30、合法權(quán)公民、法人和其他組織的合法權(quán)益益第一級第一級第二級第二級第二級第二級社會秩序、公共利益社會秩序、公共利益第二級第二級第三級第三級第四級第四級國家安全國家安全第三級第三級第四級第四級第五級第五級信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)等級保護(hù)等級 2022-3-629信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.3 信息系統(tǒng)安全信息系統(tǒng)安全保護(hù)保護(hù)等級確定等級確定2022-3-630信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)中的信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)系列標(biāo)準(zhǔn)中的信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求對已經(jīng)確定了安全保護(hù)等信息系統(tǒng)安全等級保護(hù)基本要求

31、對已經(jīng)確定了安全保護(hù)等級的信息系統(tǒng)，提出了保護(hù)的具體要求。屬于特定安全保護(hù)級的信息系統(tǒng)，提出了保護(hù)的具體要求。屬于特定安全保護(hù)等級的信息系統(tǒng)，必須在技術(shù)要求和管理要求兩方面同時(shí)滿等級的信息系統(tǒng)，必須在技術(shù)要求和管理要求兩方面同時(shí)滿足該標(biāo)準(zhǔn)的規(guī)定和要求，才能夠確保實(shí)現(xiàn)該安全保護(hù)等級的足該標(biāo)準(zhǔn)的規(guī)定和要求，才能夠確保實(shí)現(xiàn)該安全保護(hù)等級的安全目標(biāo)。安全目標(biāo)。3.4 信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)要求2022-3-631信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估保護(hù)能力保護(hù)能力第一級安全保護(hù)能力第一級安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自個(gè)人的、擁：應(yīng)能夠防護(hù)系統(tǒng)免受來自個(gè)人的、擁有

32、很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到遭到損害損害后，能夠恢復(fù)部分功能。后，能夠恢復(fù)部分功能。 第二級安全保護(hù)能力第二級安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組：應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害損害，能夠發(fā)現(xiàn)重要的安全

33、漏洞和安全事件，在系統(tǒng)遭到能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害損害后，后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。 3.4 信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)要求2022-3-632信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估第三級安全保護(hù)能力第三級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主

34、要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。第四級安全保護(hù)能力第四級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在

35、系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。 3.4 信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)要求2022-3-633信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估2.2.基本要求基本要求 基本安全要求是針對不同安全保護(hù)等級信息系統(tǒng)應(yīng)該具基本安全要求是針對不同安全保護(hù)等級信息系統(tǒng)應(yīng)該具有的基本安全保護(hù)能力提出的安全要求，根據(jù)實(shí)現(xiàn)方式的不有的基本安全保護(hù)能力提出的安全要求，根據(jù)實(shí)現(xiàn)方式的不同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大類。同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要技術(shù)類安全要

36、求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實(shí)現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要通過控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程主要通過控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。 3.4 信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)要求2022-3-634信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安基本技

37、術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出全和數(shù)據(jù)安全幾個(gè)層面提出 基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出 3.4 信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)要求2022-3-635信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估(1) 業(yè)務(wù)信息安全類業(yè)務(wù)信息安全類（S類）類） 安全要求關(guān)注的是保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不安全要求關(guān)注的是保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改被泄漏、破壞

38、和免受未授權(quán)的修改(2)業(yè)務(wù)服務(wù)保證類業(yè)務(wù)服務(wù)保證類（A類）類） 安全要求關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對系統(tǒng)安全要求關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用；的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用；(3)通用安全保護(hù)類通用安全保護(hù)類（G類）類） 安全要求沒有明顯的側(cè)重，既關(guān)注保護(hù)業(yè)務(wù)信息的安全安全要求沒有明顯的側(cè)重，既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。3.4 信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)要求2022-3-636信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估(1)第一級基本要求第

39、一級基本要求(2)第二級基本要求第二級基本要求(3)第三級基本要求第三級基本要求(4)第四級基本要求第四級基本要求(5)第五級基本要求第五級基本要求3.4 信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)要求信息系統(tǒng)安全等級保護(hù)基本要求 2022-3-637信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估1.風(fēng)險(xiǎn)評估概念風(fēng)險(xiǎn)評估概念 風(fēng)險(xiǎn)評估（風(fēng)險(xiǎn)評估（Risk Assessment）是組織確定信息安全需求）是組織確定信息安全需求的一的一條重要途徑，屬于組織信息安全管理體系策劃的過程。條重要途徑，屬于組織信息安全管理體系策劃的過程。識別組織面臨的各種風(fēng)險(xiǎn)識別組織面臨的各種風(fēng)險(xiǎn) 評估風(fēng)險(xiǎn)概率和可能帶

40、來的負(fù)面影響評估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響 確定組織承受風(fēng)險(xiǎn)的能力確定組織承受風(fēng)險(xiǎn)的能力 確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級 推薦風(fēng)險(xiǎn)消減對策推薦風(fēng)險(xiǎn)消減對策3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-638信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 資產(chǎn)資產(chǎn) 資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值、因而需要保護(hù)的東西。資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值、因而需要保護(hù)的東西。它可能是以多種形式存在，有無形的、有形的，有硬件、軟它可能是以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。

41、威脅威脅 安全威脅是一種對機(jī)構(gòu)及其資產(chǎn)構(gòu)成存在潛在破壞的可能安全威脅是一種對機(jī)構(gòu)及其資產(chǎn)構(gòu)成存在潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統(tǒng)，安全威脅性因素或者事件。無論對于多么安全的信息系統(tǒng)，安全威脅都是一個(gè)客觀存在的事物，它是風(fēng)險(xiǎn)評估的重要因素之一。都是一個(gè)客觀存在的事物，它是風(fēng)險(xiǎn)評估的重要因素之一。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-639信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 脆弱性脆弱性 脆弱性評估也稱為弱點(diǎn)評估。脆弱性評估也稱為弱點(diǎn)評估。 風(fēng)險(xiǎn)風(fēng)險(xiǎn) 風(fēng)險(xiǎn)是由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全風(fēng)險(xiǎn)是由于系統(tǒng)存在的脆弱性，人為或

42、自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響這兩項(xiàng)指標(biāo)來衡量。性及其造成的影響這兩項(xiàng)指標(biāo)來衡量。 可能性可能性 可能性用于衡量安全威脅轉(zhuǎn)化為安全事件的可能性或者概率可能性用于衡量安全威脅轉(zhuǎn)化為安全事件的可能性或者概率情況。情況。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-640信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 影響影響 影響是特定的安全事件或者事故，給信息系統(tǒng)所造成的直影響是特定的安全事件或者事故，給信息系統(tǒng)所造成的直接和間接的破壞和不良后果以及損失情況。接和間接

43、的破壞和不良后果以及損失情況。 安全措施安全措施 安全措施是各類用于安全保護(hù)目的的具體技術(shù)措施和管理安全措施是各類用于安全保護(hù)目的的具體技術(shù)措施和管理措施的總稱。安全措施可以對風(fēng)險(xiǎn)起到重要的緩解和降低作措施的總稱。安全措施可以對風(fēng)險(xiǎn)起到重要的緩解和降低作用。用。殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn) 安全風(fēng)險(xiǎn)不可能被徹底清除，各類安全措施雖然能緩解風(fēng)安全風(fēng)險(xiǎn)不可能被徹底清除，各類安全措施雖然能緩解風(fēng)險(xiǎn)，但是必然有一部分風(fēng)險(xiǎn)是安全措施所無法消除的，這部險(xiǎn)，但是必然有一部分風(fēng)險(xiǎn)是安全措施所無法消除的，這部分風(fēng)險(xiǎn)被稱為殘余風(fēng)險(xiǎn)。分風(fēng)險(xiǎn)被稱為殘余風(fēng)險(xiǎn)。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-641信息

44、安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估可接受風(fēng)險(xiǎn)可接受風(fēng)險(xiǎn) 可接受風(fēng)險(xiǎn)是信息系統(tǒng)的所有者所能夠承擔(dān)的風(fēng)險(xiǎn)水平?？山邮茱L(fēng)險(xiǎn)是信息系統(tǒng)的所有者所能夠承擔(dān)的風(fēng)險(xiǎn)水平。如果不能承擔(dān)風(fēng)險(xiǎn)，必須采取適當(dāng)?shù)目刂拼胧┯枰跃徑?，最如果不能承?dān)風(fēng)險(xiǎn)，必須采取適當(dāng)?shù)目刂拼胧┯枰跃徑?，最終風(fēng)險(xiǎn)管理的目的在于將信息系統(tǒng)的殘余風(fēng)險(xiǎn)控制在可接受終風(fēng)險(xiǎn)管理的目的在于將信息系統(tǒng)的殘余風(fēng)險(xiǎn)控制在可接受風(fēng)險(xiǎn)的水平之下。風(fēng)險(xiǎn)的水平之下。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-642信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估2. 風(fēng)險(xiǎn)評估模型風(fēng)險(xiǎn)評估模型3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估

45、2022-3-643信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-644信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-645信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估3. 風(fēng)險(xiǎn)評估方法風(fēng)險(xiǎn)評估方法 根據(jù)評估實(shí)施者的不同，將風(fēng)險(xiǎn)評估形式分為自評估和根據(jù)評估實(shí)施者的不同，將風(fēng)險(xiǎn)評估形式分為自評估和他評估兩大類。他評估兩大類。 自評估自評估是由被評估信息系統(tǒng)的擁有者依靠自身的力量，對是由被評估信息系統(tǒng)的擁有者依靠自身的力量，對其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估活動(dòng)。其自身

46、的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估活動(dòng)。 他評估他評估則通常是由被評估信息系統(tǒng)的擁有者的上級主管機(jī)則通常是由被評估信息系統(tǒng)的擁有者的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的、旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的、旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的、具有強(qiáng)制意味的檢查活動(dòng)，是通過行政手段加強(qiáng)信進(jìn)行的、具有強(qiáng)制意味的檢查活動(dòng)，是通過行政手段加強(qiáng)信息安全的重要措施。息安全的重要措施。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-646信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 基線（基線（Baseline）是預(yù)先建立好的一組最低安全控制措）是預(yù)先建立好的一組最低安全控制措施的集合，

47、可以滿足基本的安全需求，使系統(tǒng)達(dá)到一定的安施的集合，可以滿足基本的安全需求，使系統(tǒng)達(dá)到一定的安全防護(hù)水平。全防護(hù)水平。 基線評估基線評估是對信息系統(tǒng)進(jìn)行基線檢查（比較現(xiàn)有控制措是對信息系統(tǒng)進(jìn)行基線檢查（比較現(xiàn)有控制措施與基線要求的控制措施之間的差異），并且采取基線中的施與基線要求的控制措施之間的差異），并且采取基線中的標(biāo)準(zhǔn)控制措施來降低和控制風(fēng)險(xiǎn)水平。標(biāo)準(zhǔn)控制措施來降低和控制風(fēng)險(xiǎn)水平。 詳細(xì)評估詳細(xì)評估是采用規(guī)范化的流程，從資產(chǎn)評估開始，歷經(jīng)是采用規(guī)范化的流程，從資產(chǎn)評估開始，歷經(jīng)威脅評估、脆弱性評估、風(fēng)險(xiǎn)評估等步驟，并根據(jù)結(jié)果選擇威脅評估、脆弱性評估、風(fēng)險(xiǎn)評估等步驟，并根據(jù)結(jié)果選擇控制措施，

48、以將風(fēng)險(xiǎn)緩解和控制在可接受范圍之內(nèi)。詳細(xì)評控制措施，以將風(fēng)險(xiǎn)緩解和控制在可接受范圍之內(nèi)。詳細(xì)評估的準(zhǔn)確性和針對性較高，然而需要較多的資源支持，適用估的準(zhǔn)確性和針對性較高，然而需要較多的資源支持，適用于范圍明確界定的小范圍評估。于范圍明確界定的小范圍評估。 3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-647信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 定量評估定量評估是將安全風(fēng)險(xiǎn)的評估完全量化，產(chǎn)生明確的數(shù)是將安全風(fēng)險(xiǎn)的評估完全量化，產(chǎn)生明確的數(shù)值估計(jì)，定量評估關(guān)注以下元素：值估計(jì)，定量評估關(guān)注以下元素：資產(chǎn)價(jià)值資產(chǎn)價(jià)值A(chǔ)V：信息資產(chǎn)的估價(jià)；：信息資產(chǎn)的估價(jià)；暴露因子暴露因

49、子EF：造成資產(chǎn)損失的程度；：造成資產(chǎn)損失的程度；單一損失期望單一損失期望SLE：單次資產(chǎn)損失的總值；：單次資產(chǎn)損失的總值；年度發(fā)生率年度發(fā)生率ARO：全年發(fā)生的頻率；：全年發(fā)生的頻率；年度損失期望年度損失期望ALE：全年資產(chǎn)損失的總值。：全年資產(chǎn)損失的總值。其中：其中：SLE=AVEF，ALE=SLEARO3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-648信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 定性評估定性評估：根據(jù)評估人員的主觀經(jīng)驗(yàn)和直覺以及評估標(biāo)準(zhǔn)和根據(jù)評估人員的主觀經(jīng)驗(yàn)和直覺以及評估標(biāo)準(zhǔn)和慣例，為安全風(fēng)險(xiǎn)要素（包括資產(chǎn)價(jià)值、安全威脅、脆弱性慣例，為安全風(fēng)險(xiǎn)要

50、素（包括資產(chǎn)價(jià)值、安全威脅、脆弱性等）劃分定性級別，如高等）劃分定性級別，如高/中中/。定性評估易操作，具有較高。定性評估易操作，具有較高的準(zhǔn)確性，但較為依賴評估人員的主觀經(jīng)驗(yàn)。在實(shí)際中，定的準(zhǔn)確性，但較為依賴評估人員的主觀經(jīng)驗(yàn)。在實(shí)際中，定性評估被廣泛采用。性評估被廣泛采用。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-649信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估4.風(fēng)險(xiǎn)評估流程風(fēng)險(xiǎn)評估流程 資產(chǎn)分類資產(chǎn)分類 在一般的評估體中，資產(chǎn)大多屬于不同的信息系統(tǒng)在一般的評估體中，資產(chǎn)大多屬于不同的信息系統(tǒng)。這時(shí)，這時(shí)，首先需要將信息系統(tǒng)及其中的信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，才首?/p>

51、需要將信息系統(tǒng)及其中的信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，才能在此基礎(chǔ)上進(jìn)行下一步的風(fēng)險(xiǎn)評估工作。在實(shí)際項(xiàng)目中，能在此基礎(chǔ)上進(jìn)行下一步的風(fēng)險(xiǎn)評估工作。在實(shí)際項(xiàng)目中，具體的資產(chǎn)分類方法可以根據(jù)具體環(huán)境，由評估者來靈活把具體的資產(chǎn)分類方法可以根據(jù)具體環(huán)境，由評估者來靈活把握。下面為一個(gè)資產(chǎn)分類示例：握。下面為一個(gè)資產(chǎn)分類示例：3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估2022-3-650信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估分分 類類示示 例例數(shù)數(shù) 據(jù)據(jù)存在電子媒介中的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)，各種存在電子媒介中的各種數(shù)據(jù)資料，包括

52、源代碼、數(shù)據(jù)庫數(shù)據(jù)，各種數(shù)據(jù)資料、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊等數(shù)據(jù)資料、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊等軟軟 件件應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫等應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫等硬硬 件件計(jì)算機(jī)硬件、路由器、交換機(jī)、硬件防火墻、程控交換機(jī)、布線、計(jì)算機(jī)硬件、路由器、交換機(jī)、硬件防火墻、程控交換機(jī)、布線、備份存儲設(shè)備等備份存儲設(shè)備等服服 務(wù)務(wù)操作系統(tǒng)、操作系統(tǒng)、POP3POP3、DNSDNS、呼叫中心、內(nèi)部文件服務(wù)、網(wǎng)絡(luò)連接、呼叫中心、內(nèi)部文件服務(wù)、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)隔離保護(hù)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全保障、入侵監(jiān)控及各種業(yè)務(wù)生網(wǎng)絡(luò)隔離保護(hù)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全保障

53、、入侵監(jiān)控及各種業(yè)務(wù)生產(chǎn)應(yīng)用等產(chǎn)應(yīng)用等文文 檔檔紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等設(shè)設(shè) 備備電源、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等電源、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等人人 員員各級雇員和雇主、合同方雇員等各級雇員和雇主、合同方雇員等其其 他他企業(yè)形象、客戶關(guān)系等企業(yè)形象、客戶關(guān)系等2022-3-651信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 資產(chǎn)賦值資產(chǎn)賦值 保密性賦值。根據(jù)資產(chǎn)保密性屬性的不同，將它分為保密性賦值。根據(jù)資產(chǎn)保密性屬性的不同，將它分為5個(gè)個(gè)不同的等級，分別對應(yīng)資產(chǎn)在保密性方面的價(jià)值或者在保密不同

54、的等級，分別對應(yīng)資產(chǎn)在保密性方面的價(jià)值或者在保密性方面受到損失時(shí)對整個(gè)評估的影響。性方面受到損失時(shí)對整個(gè)評估的影響。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估賦值賦值標(biāo)識標(biāo)識定定 義義5 5極高極高組織最重要的機(jī)密，關(guān)系組織未來發(fā)展的前途命運(yùn)，對組織根本組織最重要的機(jī)密，關(guān)系組織未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的影響利益有著決定性影響，如果泄漏會造成災(zāi)難性的影響4 4高高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害害3 3中等中等包含組織一般性秘密，其泄露會使組織的安全和利益受到損

55、害包含組織一般性秘密，其泄露會使組織的安全和利益受到損害2 2低低僅在組織內(nèi)部或在組織某一部門內(nèi)部公開僅在組織內(nèi)部或在組織某一部門內(nèi)部公開, ,向外擴(kuò)散有可能對組向外擴(kuò)散有可能對組織的利益造成損害織的利益造成損害1 1可忽略可忽略對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等信息資產(chǎn)對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等信息資產(chǎn)2022-3-652信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估完整性賦值。根據(jù)資產(chǎn)完整性屬性的不同，將它分為完整性賦值。根據(jù)資產(chǎn)完整性屬性的不同，將它分為5個(gè)不個(gè)不同的等級，分別對應(yīng)資產(chǎn)在完整性方面的價(jià)值或者在完整性同的等級，分別對應(yīng)資產(chǎn)在完整性方面的

56、價(jià)值或者在完整性方面受到損失時(shí)對整個(gè)評估的影響。方面受到損失時(shí)對整個(gè)評估的影響。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估賦值賦值標(biāo)識標(biāo)識定定 義義5 5極高極高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對評估體造成完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對評估體造成重大的或無法接受的、特別不愿接受的影響，對業(yè)務(wù)沖擊重大，重大的或無法接受的、特別不愿接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4 4高高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會對評估體造成重大完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會對評估體造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，比較

57、難以彌補(bǔ)影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3 3中等中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會對評估體造成影響，完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會對評估體造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2 2低低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會對評估體造成輕微完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會對評估體造成輕微影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1 1可忽略可忽略完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對評估體造成的影完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對評估體造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略響可以忽略，對業(yè)務(wù)沖擊可以

58、忽略2022-3-653信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估可用性賦值。根據(jù)資產(chǎn)可用性屬性的不同，將它分為可用性賦值。根據(jù)資產(chǎn)可用性屬性的不同，將它分為5個(gè)不個(gè)不同的等級，分別對應(yīng)資產(chǎn)在可用性方面的價(jià)值或者在可用性同的等級，分別對應(yīng)資產(chǎn)在可用性方面的價(jià)值或者在可用性方面受到損失時(shí)對整個(gè)評估的影響。方面受到損失時(shí)對整個(gè)評估的影響。3.5 信息系統(tǒng)安全信息系統(tǒng)安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估賦值賦值標(biāo)識標(biāo)識定定 義義5 5極高極高可用性價(jià)值非常高，合法使用者對信息系統(tǒng)及資源的可用度達(dá)可用性價(jià)值非常高，合法使用者對信息系統(tǒng)及資源的可用度達(dá)到年度到年度99.9%99.9%以上以上4 4高高可用性價(jià)值較

59、高，合法使用者對信息系統(tǒng)及資源的可用度達(dá)到可用性價(jià)值較高，合法使用者對信息系統(tǒng)及資源的可用度達(dá)到每天每天99%99%以上以上3 3中等中等可用性價(jià)值中等，合法使用者對信息系統(tǒng)及資源的可用度在正可用性價(jià)值中等，合法使用者對信息系統(tǒng)及資源的可用度在正常上班時(shí)間達(dá)到常上班時(shí)間達(dá)到90%90%以上以上2 2低低可用性價(jià)值較低，合法使用者對信息系統(tǒng)及資源的可用度在正可用性價(jià)值較低，合法使用者對信息系統(tǒng)及資源的可用度在正常上班時(shí)間達(dá)到常上班時(shí)間達(dá)到25%25%以上以上1 1可忽略可忽略可用性價(jià)值可以忽略，合法使用者對信息系統(tǒng)及資源的可用度可用性價(jià)值可以忽略，合法使用者對信息系統(tǒng)及資源的可用度在正常上班時(shí)間

60、低于在正常上班時(shí)間低于25%25%2022-3-654信息安全講座ISM03信息安全等級保護(hù)與風(fēng)險(xiǎn)評估 最終資產(chǎn)價(jià)值可以通過違反資產(chǎn)的保密性、完整性和可用最終資產(chǎn)價(jià)值可以通過違反資產(chǎn)的保密性、完整性和可用性三個(gè)方面的程度綜合確定，資產(chǎn)的賦值采用定性的相對等性三個(gè)方面的程度綜合確定，資產(chǎn)的賦值采用定性的相對等級的方式。與以上安全屬性的等級相對應(yīng)，資產(chǎn)價(jià)值的等級級的方式。與以上安全屬性的等級相對應(yīng)，資產(chǎn)價(jià)值的等級可分為五級，從可分為五級，從1到到5由低到高分別代表五個(gè)級別的資產(chǎn)相對由低到高分別代表五個(gè)級別的資產(chǎn)相對價(jià)值，等級越大，資產(chǎn)越重要。具體每一級別的資產(chǎn)價(jià)值定價(jià)值，等級越大，資產(chǎn)越重要。具體