笔记-信息技术知识-3.7 信息安全管理
3.7 信息安全管理
3.7.1 信息安全管理体系、知识和活动
1. 信息安全管理体系
信息安全管理体系(ISMS):是整个管理体系的一部分。它是基于业务风险的方法,来建立、实施、运行、监视、评审、保持和改进信息安全的(注:管理体系包括:组织结构、方针政策、规划活动、职责、实践、程序、过程和资源)。
2. 信息安全管理知识
(1)信息安全的属性
信息安全的基本属性有以下几个方面:
- 完整性:完整性是指信息在存储或传输的过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。
- 可用性:可用性是指信息可被合法用户访问并能按要求顺序使用的特性。即在需要时就可以取用所需的信息。
- 保密性:保密性是指信息不被泄露给非授权的个人和实体,或供其使用的特性。
- 可控性:可控性是指授权机构可以随时控制信息的机密性。
- 可靠性:可靠性是指信息以用户认可的质量连续服务于用户的特性。
(2)信息安全管理
信息安全管理是通过维护信息机密性、完整性和可用性,来管理和保护组织所有信息资产的一项体制,是信息安全治理的主要内容和途径,信息安全治理为信息安全管理提供基础的制度支撑。
信息安全管理的内容包括信息安全政策制定、风险评估、控制目标与方式的选择、制定规范的操作流程、信息安全培训等。涉及安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务连续性、法律符合性等领域。
3. 信息安全管理活动
信息安全管理活动主要包括以下几个方面:
(1)定义信息安全策略
信息安全政策是一个机构信息安全的最高方针,必须形成书面文件,散发到组织内所有员工手上,并要对所有相关员工进行培训。
(2)定义信息安全管理体系的范围
即在机构内选定在多大范围内构建信息安全管理体系。在定义信息安全管理体系阶段,应将机构划分成不同的信息安全控制域,以易于对不同需求的领域进行适当的信息安全管理。在定义信息安全管理体系范围时,为了使定义更加完整,应考虑以下几个方面的实际情况:现有部门、处所、资产状况、所采用的技术等。
(3)进行信息安全风险评估
信息安全风险评估的复杂程度取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织信息资产风险的保护需求相一致。具体有三种评估方法可以选择:基本风险评估、详细风险评估、基本风险评估和详细风险评估相结合。
(4)确定管理目标和选择管理措施
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱来衡量。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整。
(5)准备信息安全适用性申明
信息安全适用性申明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全风险的态度,在更大程度上则是为了向外界表面机构的态度和作为,以表明机构已经全面、系统地审视了信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。
3.7.2 信息安全等级保护知识
1. 信息安全等级保护基本概念
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
这里所说的信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
信息安全等级保护(以下简称“等级保护”)是我国在信息化推进进程中实施的对信息系统安全保护的基本制度、方法和策略。2004年,由公安部、国家保密局、国家密码委及国务院信息办联合下发了《关于信息安全等级保护工作的实施意见》(公通字2004第66号),标志着信息安全等级保护工作在全国全面启动。
2. 信息系统安全保护等级的划分
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级共分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3. 等级保护工作的主要环节
等级保护的主要环节:定级、备案、安全建设整改、等级评测和安全检查。
一是信息系统定级
信息系统定级按照自主定级、专家评审、主管部门审批、公安机关审核的流程进行。信息系统运营使用单位按照《信息安全等级保护管理办法》(共通字【2007】43号,以下简称“管理办法”)和《信息安全等级保护定级指南》(GB/T22240-2008),自主确定信息系统的安全保护等级。为保证信息系统定级准确,可以组织专家进行评审。有上级主管部门的,应当经上级主管部门审批,跨省或全国统一联网运行的信息系统可以有其主管部门统一确定安全保护等级。最后经公安机关审核把关,合理确定信息系统安全保护等级。
二是信息系统备案
第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续。公安机关按照《信息安全等级保护备案实施细则》(公信安【2007】1360号)要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。
三是信息系统安全建设整改
信息系统安全保护等级确定后,运营使用单位按照《管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安【2009】1429号)等有关管理规范和技术标准,选择《管理办法》要求的信息安全产品,制定并落实安全管理制度。落实安全责任,建设安全设施,落实安全技术措施。
四是等级测评
信息系统建设整改完成后,运营使用单位选择符合要求的测评机构,依据《管理办法》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》标准,对信息系统安全保护状况开展等级测评,按照《信息系统安全等级测评报告模板(试行)》(公信安【2009】1487号)编写等级测评报告。
五是监督检查
公安机关依据《管理办法》和《公安机关信息安全等级保护检查工作规范(试行)》(公信安【2008】736号),监督检查运营使用单位开展等级保护工作,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。