目录
等级保护的标准定位
其他标准的关系
标准适用范围
标准编写思路
描述模型
基于安全保护能力
能力目标
第一级安全保护能力
第二级安全保护能力
第三级安全保护能力
第四级安全保护能力
描述模型-管理要求特点
描述模型-覆盖范围特点
等级保护的标准定位
GB 17859-1999的细化和发展:
- 吸收安全机制并扩展到不同层面
- 增加安全管理方面的内容
- 借鉴PDR、CMM、17799
关注可操作性:
- 最佳实践
- 当前技术的发展
- 机制->要求(目标/要求)
其他标准的关系
- GB17859-1999是标准型标准,《基本要求》17859基础上的进一步细化和扩展
- 《定级指南》确定出系统等级以及业务信息安全性等级和业务服务保证性等级后,需要按照相应等级,根据《基本要求》选择相应等级的安全保护要求进行系统建设实施
- 《测评要求》是依据《基本要求》检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力
标准适用范围
用户范围:
- 信息系统的主管部门及运营适用单位
- 测评机构
- 安全服务机构(系统集成商,软件开发商)
- 信息安全监管职能部门
适用环节:
- 需求分析
- 方案涉及、系统建设与验收
- 运行维护、等级测评、自查
标准编写思路
- 门槛合理:对每个级别的额信息系统安全要求设置合理,按照基本要求建设后,确实达到期望的安全保护能力
- 内容完整:综合技术、管理各个方面的要求,安全要求内容考虑全面、完整,覆盖信息系统生命周期
- 便于使用:安全要求分类方式合理,便于安全保护、检测评估、监督检查实施各方的灵活使用
描述模型
基于安全保护能力
- 对抗能力和恢复能力构成了信息系统的安全保护能力
- 安全保护能力主要表现为信息系统应对威胁的能力,成为对抗能力,但当信息系统无法阻挡威胁对自身的破坏时,信息系统的恢复能力使系统在一定时间内恢复到原有状态,从而降低负面影响
能力目标
第一级安全保护能力
第二级安全保护能力
第三级安全保护能力
第四级安全保护能力
描述模型-管理要求特点
描述模型-覆盖范围特点
~over~