信息安全等级保护和风险评估的关系研究.pdfVIP

【 探 讨 】 34 2007.08 为三级的信息系统每年至少检查一次，对安全保护等级为四 系统的最高保护级别进行等级保护。对信息系统的划分要充分 级的信息系统每半年至少检查一次，公安机关将要投入大量 考虑系统或设备的隶属关系。 的人力。 （5）现有的定级指南中的各类矩阵表的取值很难理解， 针对以上在实际工作中遇到的问题，对信息安全等级保 既没有说明取值的原因，也不指明什么是 “不合理交叉 护工作提出以下建议： 点”，使用者理解起来很困难，宜重新修改制定；该指南 （1）等级保护是信息安全保障工作的核心，需要动员社会 “表八　调节后的业务服务保证性等级”中的第二栏L的取值 力量参与到这一工作中来，这就需要加大宣传教育的力度，提 范围有重叠，不利于准确地定义业务服务保证性等级。例如 高全社会特别是信息系统主管部门对信息安全等级保护工作 L的值为1.5，那么在该表的前两行中，业务服务保证性等级 重要性的认识,积极参与到信息安全等级保护工作中来。 该取1还是2呢？表八似宜作修改为妥。 （2）尽快出台第三方测评机构的资质认证、管理和监 参考文献 督办法，以规范、控制测评机构的行为，保证被测评单位的秘 1.公安部、国家必威体育官网网址局、国家密码管理委员会和国务院 密得以保守，可能产生的不利影响减小到最少，确保等级保护 信息化工作办公室．关于信息安全等级保护工作的实施意见 测评工作的顺利开展，否则，请第三方单位进行等级保护测评 （公通字［2004］44号）[Z]．北京：公安部，2004． 的风险是所有被测评单位都会担心并加以防范的。 2.公安部，信息系统安全保护等级定级指南 （送审 （3）尽快完善有关的法律法规，将一般的指南性文件 稿），2005,12. 尽快转化为技术标准，提高对技术标准的可理解性和理解的 3.公安部，信息系统安全等级保护测评准则 （送审 一致性，为信息安全等级保护工作提供技术保障，保证等级 稿），2005,12. 保护工作的科学性、规范性。 4.王春元，杨善林，周永务.信息安全等级测评多层次灰 （4）对存在共用设备的不同信息系统，按照 “谁主 关联综合评价,第二十一次全国计算机安全学术交流会论文集， 管，谁负责”的原则确定管理单位进行等级保护，对这些 广西南宁，2006,7. 共用设备由上级主管部门指定管理单位，按使用这些设备的 （责编张岩） 等级保护和风险评估 安全整改。 ■ 等级保护制度从一定意识上讲是信 的宏观联系 心中评测护保级等统系息信会协业行络网京北 息安全保障工作中国家意志的体现，体 信息安全等级保护制度作为我国信护 究 保 研 级 系 等 关 全 的 安 估 息 评 信 险 风 和 现了国家对相应系统建设和使用单位在 息安全保障体系建设的一项基本制度， 信息安全建设的基本要求。风险评估作 它的总体目标是为了统一信息安全保护 为信息安全工作的一种重要技术手段， 工作，提高我国信息安全建设的整体 在实施信息安全等级保护周期和层次中 水平；通过充分调动国家、法人和其 发挥着重要作用。 他组织及公民的积极性，发挥各方面 在落实信息安全等级保护工作中， 的作用，达到对信息和信息系统重点 信息系统运营使用单位可以结合本单位 保护和有效保护的目的。等级保护工 信息系统应用及行业特点，自主开展系 作的核心是对信息安全分等级，按标 统风险评估，为等级保护的定级、测评 准进行建设、管理和监督。 和整改等工作阶段提供重要参考依据。 风险评估是基于传统的风险管理经 风险评估在等级保护 验通过对信息系统的资产、威胁、弱 周期中的作用 点和风险等要素进行评估分析的过程。 信息安全等级保护制度在建设中要 信息系统的用户常常借助风险评估方法 贤吴 来分析自己的安全现状，评估自身安 涉及一系列技术和管理问题。对于不同 全需求和安全现状的差距，从而进行 系统的各个安全域，用什么样强度的安 【 探 讨 】 2007.08 35 全保护措施、措施的有效性是否能够达成、如何调整措施以 分别为：在系统定级阶段用于参考帮助确定系统的安全等 满足系统的安全需求等，都可通过一些手段和方法来进行判 级，在安全实施阶段可以作为评估系统是否达到必需的安全 断与分析。风险评估作为用户自主的一种技术手段可以运用 等级的重要依据，在安全运维阶段开展定期和不定期风险评 到等级保护周期的系统定级、安全实施和安全运维三个阶 估以便帮助确认它保持的安全等级是否发生变化。 段 ： 风险评估在等级保护层次中的应用 1.系统定级。由于信息系统具有自身的行业和业务特 风险评估不但在等级保护周期的各阶段发挥着重要的作 点，且所受到的安全威胁均有所不同，因此，可以依据信 用，在等级保护的各层次中也不可或缺。