信息安全讲座ISM03信息安全等级保护与风险评估课件

1、2022-3-61信息安全讲座ISM03信息安全等级保护与风险评估 第三章 信息安全等级保护与风险评估主要内容1.1.重点和难点重点和难点信息系统安全等级确定信息系统安全等级确定；信息系统安全风险评估信息系统安全风险评估2.2.知识点知识点信息安全等级保护制度信息安全等级保护制度信息系统安全等级保护实施信息系统安全等级保护实施信息系统安全等级确定信息系统安全等级确定 信息系统安全等级保护要求信息系统安全等级保护要求信息系统安全风险评估信息系统安全风险评估 2022-3-62信息安全讲座ISM03信息安全等级保护与风险评估 信息安全等级保护信息安全等级保护，是指对国家秘密信息、法人和其他组，是指

2、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息的信息系统信息系统分等级实行安全保护，对信息系统中使用的分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安信息安全产品实行按等级管理，对信息系统中发生的信息安全事件按照等级进行响应和处置等。全事件按照等级进行响应和处置等。3.1 信息安全等级保护制度信息安全等级保护制度2022-3-63信息安全讲座ISM03信息安全等级保护与风险评估 1994年国务院发布的计算机信息系统安全保护条例年国务院发布的计算机信息系统安全

3、保护条例第第9条规定：条规定：“计算机信息系统实行安全等级保护。安全等级计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。部门制定。” 1999年，公安部正式发布信息系统安全等级保护的国家年，公安部正式发布信息系统安全等级保护的国家标准标准GB 17859 1999，将计算机信息系统的安全级别明确，将计算机信息系统的安全级别明确划分为五级并且提出了具体要求。划分为五级并且提出了具体要求。3.1 信息安全等级保护制度信息安全等级保护制度2022-3-64信息安全讲座ISM03信息安全等级保护与

4、风险评估 2003年中央办公厅、国务院办公厅转发的国家信息化年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发领导小组关于加强信息安全保障工作的意见（中办发200327号）中明确指出：号）中明确指出：“要重点保护基础信息网络和关要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。管理办法和技术指南。” 2004年公安部等四部委关于信息安全等级保护工作的年公安

5、部等四部委关于信息安全等级保护工作的实施意见（公通字实施意见（公通字200466号）也指出，信息安全等级号）也指出，信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。共利益，保障和促进信息化建设健康发展的一项基本制度。3.1 信息安全等级保护制度信息安全等级保护制度2022-3-65信息安全讲座ISM03信息安全等级保护与风险评估 2007年年6 月月公安部、国家保密局、国家

6、密码管理公安部、国家保密局、国家密码管理局和国务院信息工作办公室联合制定并下发了局和国务院信息工作办公室联合制定并下发了信信息安全等级保护管理办法息安全等级保护管理办法 （公通字（公通字200743号号），以期加快推进信息安全等级保护，规范信息），以期加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进维护国家安全、社会稳定和公共利益，保障和促进信息化建设信息化建设 。3.1 信息安全等级保护制度信息安全等级保护制度2022-3-66信息安全讲座ISM03信息安全等级保护与风险

7、评估 根据根据信息系统安全等级保护实施指南信息系统安全等级保护实施指南的规定，信息系的规定，信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统可以分为五个安全等级，国家对不同级别的信息和信息系统实行不同强度的监管政策。统实行不同强度的监管政策。 第一级第一级：自主保护级自主保护级 其主要对象为一般的信息系统，其主要对象为一般的信息系统，该信息系统受到破坏后，该信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。国家安全、社会秩序和公共利益。 本级系统依照国家管理规本级系统依照国家管理

8、规范和技术标准进行自主保护。范和技术标准进行自主保护。3.1 信息安全等级保护制度信息安全等级保护制度2022-3-67信息安全讲座ISM03信息安全等级保护与风险评估第二级：指导保护级第二级：指导保护级其主要对象为一般的信息系统，该信息系统受到破坏后，会其主要对象为一般的信息系统，该信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。本级系社会秩序和公共利益造成损害，但不损害国家安全。本级系统依照国家管理规范和技术标准进行自主保护，必要时信息统依照国家管理规范和技术标准进行

9、自主保护，必要时信息安全监管职能部门对其进行指导。安全监管职能部门对其进行指导。第三级第三级：监督保护级监督保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，信息系统，该信息系统受到破坏后，会对社会秩序和公共利该信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。益造成严重损害，或者对国家安全造成损害。 本级系统依照本级系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。部门对其进行监督、检查。3.1 信息安全等级保

10、护制度信息安全等级保护制度2022-3-68信息安全讲座ISM03信息安全等级保护与风险评估第四级第四级：强制保护级强制保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，信息系统，该信息系统受到破坏后，会对社会秩序和公共利该信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。益造成特别严重损害，或者对国家安全造成严重损害。 本级本级系统依照国家管理规范和技术标准进行自主保护，信息安全系统依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。监管职能部门对其进行强

11、制监督、检查。 第五级第五级：专控保护级专控保护级 其主要对象为涉及国家安全、社会秩序和公共利益的重要其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，信息系统的核心子系统，该信息系统受到破坏后，会对国家该信息系统受到破坏后，会对国家安全造成特别严重损害。安全造成特别严重损害。 本级系统依照国家管理规范和技术本级系统依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。监督、检查。3.1 信息安全等级保护制度信息安全等级保护制度2022-3-69信息安全讲座ISM03信息安全等级保护与风险

12、评估 到目前为止，我国正式颁布的信息系统安全等级保护的强到目前为止，我国正式颁布的信息系统安全等级保护的强制性国家标准是制性国家标准是GB 17859 1999计算机信息系统安全保计算机信息系统安全保护等级划分准则，该准则于护等级划分准则，该准则于1999年年9月月13日经国家质量技术日经国家质量技术监督局发布，监督局发布，2001年年1月月1日起实施。随后围绕日起实施。随后围绕GB 17859 1999编写和制定了一系列与信息系统安全等级保护有关的标编写和制定了一系列与信息系统安全等级保护有关的标准和指南，旨在规范和指导信息系统安全等级保护实施过程准和指南，旨在规范和指导信息系统安全等级保护

13、实施过程中的活动。目前，这一系列的标准和指南包括：中的活动。目前，这一系列的标准和指南包括：3.1 信息安全等级保护制度信息安全等级保护制度2022-3-610信息安全讲座ISM03信息安全等级保护与风险评估 GB 17859 - 1999计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GA/T 390 - 2002计算机信息系统安全等级保护通用技术要求计算机信息系统安全等级保护通用技术要求 GA/T 388 -2002计算机信息系统安全等级保护操作系统技术要计算机信息系统安全等级保护操作系统技术要求求 GA/T 389 - 2002计算机信息系统安全等级保护数据库管理系

14、统计算机信息系统安全等级保护数据库管理系统技术要求技术要求 GA/T 387 - 2002计算机信息系统安全等级保护网络技术要求计算机信息系统安全等级保护网络技术要求 GA/T 391 - 2002计算机信息系统安全等级保护管理要求计算机信息系统安全等级保护管理要求 信息安全技术信息安全技术信息系统安全等级保护实施指南信息系统安全等级保护实施指南 信息系统安全保护等级定级指南信息系统安全保护等级定级指南 信息安全技术信息安全技术信息系统安全等级保护基本要求信息系统安全等级保护基本要求 信息系统安全等级保护测评准则信息系统安全等级保护测评准则3.1 信息安全等级保护制度信息安全等级保护制度202

15、2-3-611信息安全讲座ISM03信息安全等级保护与风险评估 等级保护的核心是对信息系统分等级、按标准进行建设、等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。管理和监督。等级保护在实施过程中应遵循的基本原则：等级保护在实施过程中应遵循的基本原则： 自主保护原则自主保护原则 由各主管部门和运营、使用单位按照国家相关法规和标准，由各主管部门和运营、使用单位按照国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全保护自主确定信息系统的安全等级，自行组织实施安全保护 同步建设原则同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安信息系统在新建、改建、扩建时应当

16、同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应安全与信息化建设相适应3.2 信息系统安全等级保护实施信息系统安全等级保护实施2022-3-612信息安全讲座ISM03信息安全等级保护与风险评估 重点保护原则重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同的安根据信息系统的重要程度、业务特点，通过划分不同的安全等级，实现不同强度的安全保护，集中资源优先保护涉及全等级，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。核心业务或关键信息资产的信息系统。 适当调整原

17、则适当调整原则 要跟踪信息系统的变化情况，调整安全保护措施。因为信要跟踪信息系统的变化情况，调整安全保护措施。因为信息系统的应用类型、范围等条件的变化及其他原因，安全等息系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当根据等级保护的管理规范和技术标准的级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级，根据信息系统安全等要求，重新确定信息系统的安全等级，根据信息系统安全等级的调整情况，重新实施安全保护。级的调整情况，重新实施安全保护。 3.2 信息系统安全等级保护实施信息系统安全等级保护实施2022-3-613信息安全讲座ISM03信息安全

18、等级保护与风险评估 信息系统主管部门信息系统主管部门 信息系统运营、使用单位信息系统运营、使用单位 信息系统安全服务商信息系统安全服务商 信息安全监管机构信息安全监管机构 安全测评机构安全测评机构 安全产品供应商安全产品供应商 3.2 信息系统安全等级保护实施信息系统安全等级保护实施2022-3-614信息安全讲座ISM03信息安全等级保护与风险评估 对信息系统实施等级保护的过程划分为五个阶段，具体如对信息系统实施等级保护的过程划分为五个阶段，具体如下图：下图： 3.2 信息系统安全等级保护实施信息系统安全等级保护实施2022-3-615信息安全讲座ISM03信息安全等级保护与风险评估 信息系

19、统生命周期包括五个阶段：信息系统生命周期包括五个阶段：启动准备阶段启动准备阶段、设计设计/开发阶段开发阶段、实施实施/实现阶段实现阶段、运行维护阶段运行维护阶段和和系统终止阶段系统终止阶段。安全等级保护工作将贯。安全等级保护工作将贯穿信息系统生命周期的各个阶段。穿信息系统生命周期的各个阶段。3.2 信息系统安全等级保护实施信息系统安全等级保护实施2022-3-616信息安全讲座ISM03信息安全等级保护与风险评估1. 信息系统安全保护等级的信息系统安全保护等级的定级因素定级因素 信息系统的安全保护等级应当根据信息系统在国家安全、信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生

20、活中的重要程度决定。从另一个角度看，经济建设、社会生活中的重要程度决定。从另一个角度看，信息系统重要程度越高，其遭到破坏后对国家安全、经济建信息系统重要程度越高，其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。权益的危害程度也越高。 信息系统安全保护等级的定级要素：信息系统安全保护等级的定级要素：等级保护对象受到破坏时所侵害的客体等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度对客体造成侵害的程度 3.3 信息系统安全信息系统安全保护等级确定保护等级确定2022-3-617信息安全

21、讲座ISM03信息安全等级保护与风险评估(1) 受侵害的客体受侵害的客体公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益社会秩序、公共利益社会秩序、公共利益国家安全国家安全(2)对客体的侵害程度对客体的侵害程度 造成一般损害造成一般损害 造成严重损害造成严重损害 造成特别严重损害造成特别严重损害 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2022-3-618信息安全讲座ISM03信息安全等级保护与风险评估 3.3 信息系统安全信息系统安全保护保护等级确定等级确定受侵害的客体受侵害的客体对客体的侵害程度对客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重

22、损害公民、法人和其他组织的合公民、法人和其他组织的合法权益法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级表表3-1 定级要素与安全保护等级的关系表定级要素与安全保护等级的关系表 2022-3-619信息安全讲座ISM03信息安全等级保护与风险评估2.定级一般流程定级一般流程 3.3 信息系统安全信息系统安全保护保护等级确定等级确定3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统

23、服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表32依据表331、确定定级对象2022-3-620信息安全讲座ISM03信息安全等级保护与风险评估3.3 信息系统安全信息系统安全保护保护等级确定等级确定3.确定定级对象确定定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。为若

24、干个较小的、可能具有不同安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征：作为定级对象的信息系统应具有如下基本特征：具有唯一确定的安全责任单位具有唯一确定的安全责任单位 具有信息系统的基本要素具有信息系统的基本要素 承载单一或相对独立的业务应用承载单一或相对独立的业务应用 2022-3-621信息安全讲座ISM03信息安全等级保护与风险评估4.确定确定受侵害的客体受侵害的客体(1)侵害国家安全的事项侵害国家安全的事项影响国家政权稳固和国防实力影响国家政权稳固和国防实力影响国家统一、民族团结和社会安定影响国家统一、民族团结和社会安定影响国家对外活动中的政治、经济利益影响国家对外

25、活动中的政治、经济利益影响国家重要的安全保卫工作影响国家重要的安全保卫工作影响国家经济竞争力和科技实力影响国家经济竞争力和科技实力其他影响国家安全的事项。其他影响国家安全的事项。 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2022-3-622信息安全讲座ISM03信息安全等级保护与风险评估3.3 信息系统安全信息系统安全保护保护等级确定等级确定2022-3-623信息安全讲座ISM03信息安全等级保护与风险评估(4)(4)影响公民、法人和其他组织的合法权益是指由法律确认的影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会并受法律

26、保护的公民、法人和其他组织所享有的一定的社会权利和利益权利和利益 确定作为定级对象的信息系统受到破坏后所侵害的客体时，确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。法权益。各行业可根据本行业业务特点，分析各类信息和各各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的

27、合法权益的关系，从而确定本行业各类信息人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。和各类信息系统受到破坏时所侵害的客体。3.3 信息系统安全信息系统安全保护保护等级确定等级确定2022-3-624信息安全讲座ISM03信息安全等级保护与风险评估5.5.确定对客体的侵害程度确定对客体的侵害程度 (1)侵害的客观方面侵害的客观方面判断标准判断标准影响行使工作职能影响行使工作职能 导致业务能力下降导致业务能力下降 引起法律纠纷引起法律纠纷 导致财产损失导致财产损失 造成社会不良影响造成社会不良影响 对其他组织和个人造成损失对其他组织和个人造成损失 其他影

28、响其他影响 3.3 信息系统安全信息系统安全保护保护等级确定等级确定2022-3-625信息安全讲座ISM03信息安全等级保护与风险评估3.3 信息系统安全信息系统安全保护保护等级确定等级确定2022-3-626信息安全讲座ISM03信息安全等级保护与风险评估3.3 信息系统安全信息系统安全保护保护等级确定等级确定2022-3-627信息安全讲座ISM03信息安全等级保护与风险评估3.3 信息系统安全信息系统安全保护保护等级确定等级确定表3-2 业务信息安全保护等级矩阵表业务信息安全业务信息安全被破坏时所侵害的被破坏时所侵害的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重

29、损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权公民、法人和其他组织的合法权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级2022-3-628信息安全讲座ISM03信息安全等级保护与风险评估3.3 信息系统安全信息系统安全保护保护等级确定等级确定表3-3 系统服务安全保护等级矩阵表 系统服务安全系统服务安全被破坏时所侵害的被破坏时所侵害的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的

30、合法权公民、法人和其他组织的合法权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级信息系统安全信息系统安全保护等级保护等级 2022-3-629信息安全讲座ISM03信息安全等级保护与风险评估3.3 信息系统安全信息系统安全保护保护等级确定等级确定2022-3-630信息安全讲座ISM03信息安全等级保护与风险评估 信息系统安全等级保护系列标准中的信息安全技术信息系统安全等级保护系列标准中的信息安全技术信息系统安全等级保护基本要求对已经确定了安全保护等信息系统安全等级保护基本要求

31、对已经确定了安全保护等级的信息系统，提出了保护的具体要求。属于特定安全保护级的信息系统，提出了保护的具体要求。属于特定安全保护等级的信息系统，必须在技术要求和管理要求两方面同时满等级的信息系统，必须在技术要求和管理要求两方面同时满足该标准的规定和要求，才能够确保实现该安全保护等级的足该标准的规定和要求，才能够确保实现该安全保护等级的安全目标。安全目标。3.4 信息系统安全等级保护要求信息系统安全等级保护要求2022-3-631信息安全讲座ISM03信息安全等级保护与风险评估保护能力保护能力第一级安全保护能力第一级安全保护能力：应能够防护系统免受来自个人的、拥：应能够防护系统免受来自个人的、拥有

32、很少资源的威胁源发起的恶意攻击、一般的自然灾难、以有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到遭到损害损害后，能够恢复部分功能。后，能够恢复部分功能。 第二级安全保护能力第二级安全保护能力：应能够防护系统免受来自外部小型组：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源灾难、以及其他相当危害程度的威胁所造成的重要资源损害损害，能够发现重要的安全

33、漏洞和安全事件，在系统遭到能够发现重要的安全漏洞和安全事件，在系统遭到损害损害后，后，能够在一段时间内恢复部分功能。能够在一段时间内恢复部分功能。 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2022-3-632信息安全讲座ISM03信息安全等级保护与风险评估第三级安全保护能力第三级安全保护能力：应能够在统一安全策略下防护系统免：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主

34、要资源损害，能够发现安全漏洞和安全事的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。件，在系统遭到损害后，能够较快恢复绝大部分功能。第四级安全保护能力第四级安全保护能力：应能够在统一安全策略下防护系统免：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在威胁所造成的资源损害，能够发现安全漏洞和安全事件，在

35、系统遭到损害后，能够迅速恢复所有功能。系统遭到损害后，能够迅速恢复所有功能。 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2022-3-633信息安全讲座ISM03信息安全等级保护与风险评估2.2.基本要求基本要求 基本安全要求是针对不同安全保护等级信息系统应该具基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。同，基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关，主要技术类安全要

36、求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动有关，现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。以及记录等方面做出规定来实现。 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2022-3-634信息安全讲座ISM03信息安全等级保护与风险评估 基本技术要求从物理安全、网络安全、主机安全、应用安基本技

37、术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出全和数据安全几个层面提出 基本管理要求从安全管理制度、安全管理机构、人员安全基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出管理、系统建设管理和系统运维管理几个方面提出 3.4 信息系统安全等级保护要求信息系统安全等级保护要求2022-3-635信息安全讲座ISM03信息安全等级保护与风险评估(1) 业务信息安全类业务信息安全类（S类）类） 安全要求关注的是保护数据在存储、传输、处理过程中不安全要求关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改被泄漏、破坏

38、和免受未授权的修改(2)业务服务保证类业务服务保证类（A类）类） 安全要求关注的是保护系统连续正常的运行，免受对系统安全要求关注的是保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用；的未授权修改、破坏而导致系统不可用；(3)通用安全保护类通用安全保护类（G类）类） 安全要求没有明显的侧重，既关注保护业务信息的安全安全要求没有明显的侧重，既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。性，同时也关注保护系统的连续可用性。3.4 信息系统安全等级保护要求信息系统安全等级保护要求2022-3-636信息安全讲座ISM03信息安全等级保护与风险评估(1)第一级基本要求第

39、一级基本要求(2)第二级基本要求第二级基本要求(3)第三级基本要求第三级基本要求(4)第四级基本要求第四级基本要求(5)第五级基本要求第五级基本要求3.4 信息系统安全等级保护要求信息系统安全等级保护要求信息系统安全等级保护基本要求 2022-3-637信息安全讲座ISM03信息安全等级保护与风险评估1.风险评估概念风险评估概念 风险评估（风险评估（Risk Assessment）是组织确定信息安全需求）是组织确定信息安全需求的一的一条重要途径，属于组织信息安全管理体系策划的过程。条重要途径，属于组织信息安全管理体系策划的过程。识别组织面临的各种风险识别组织面临的各种风险 评估风险概率和可能带

40、来的负面影响评估风险概率和可能带来的负面影响 确定组织承受风险的能力确定组织承受风险的能力 确定风险消减和控制的优先等级确定风险消减和控制的优先等级 推荐风险消减对策推荐风险消减对策3.5 信息系统安全信息系统安全风险评估风险评估2022-3-638信息安全讲座ISM03信息安全等级保护与风险评估 资产资产 资产是企业、机构直接赋予了价值、因而需要保护的东西。资产是企业、机构直接赋予了价值、因而需要保护的东西。它可能是以多种形式存在，有无形的、有形的，有硬件、软它可能是以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、企业形象等。件，有文档、代码，也有服务、企业形象等。

41、威胁威胁 安全威胁是一种对机构及其资产构成存在潜在破坏的可能安全威胁是一种对机构及其资产构成存在潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁性因素或者事件。无论对于多么安全的信息系统，安全威胁都是一个客观存在的事物，它是风险评估的重要因素之一。都是一个客观存在的事物，它是风险评估的重要因素之一。3.5 信息系统安全信息系统安全风险评估风险评估2022-3-639信息安全讲座ISM03信息安全等级保护与风险评估 脆弱性脆弱性 脆弱性评估也称为弱点评估。脆弱性评估也称为弱点评估。 风险风险 风险是由于系统存在的脆弱性，人为或自然的威胁导致安全风险是由于系统存在的脆弱性，人为或

42、自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两项指标来衡量。性及其造成的影响这两项指标来衡量。 可能性可能性 可能性用于衡量安全威胁转化为安全事件的可能性或者概率可能性用于衡量安全威胁转化为安全事件的可能性或者概率情况。情况。3.5 信息系统安全信息系统安全风险评估风险评估2022-3-640信息安全讲座ISM03信息安全等级保护与风险评估 影响影响 影响是特定的安全事件或者事故，给信息系统所造成的直影响是特定的安全事件或者事故，给信息系统所造成的直接和间接的破坏和不良后果以及损失情况。接和间接

43、的破坏和不良后果以及损失情况。 安全措施安全措施 安全措施是各类用于安全保护目的的具体技术措施和管理安全措施是各类用于安全保护目的的具体技术措施和管理措施的总称。安全措施可以对风险起到重要的缓解和降低作措施的总称。安全措施可以对风险起到重要的缓解和降低作用。用。残余风险残余风险 安全风险不可能被彻底清除，各类安全措施虽然能缓解风安全风险不可能被彻底清除，各类安全措施虽然能缓解风险，但是必然有一部分风险是安全措施所无法消除的，这部险，但是必然有一部分风险是安全措施所无法消除的，这部分风险被称为残余风险。分风险被称为残余风险。3.5 信息系统安全信息系统安全风险评估风险评估2022-3-641信息

44、安全讲座ISM03信息安全等级保护与风险评估可接受风险可接受风险 可接受风险是信息系统的所有者所能够承担的风险水平。可接受风险是信息系统的所有者所能够承担的风险水平。如果不能承担风险，必须采取适当的控制措施予以缓解，最如果不能承担风险，必须采取适当的控制措施予以缓解，最终风险管理的目的在于将信息系统的残余风险控制在可接受终风险管理的目的在于将信息系统的残余风险控制在可接受风险的水平之下。风险的水平之下。3.5 信息系统安全信息系统安全风险评估风险评估2022-3-642信息安全讲座ISM03信息安全等级保护与风险评估2. 风险评估模型风险评估模型3.5 信息系统安全信息系统安全风险评估风险评估

45、2022-3-643信息安全讲座ISM03信息安全等级保护与风险评估3.5 信息系统安全信息系统安全风险评估风险评估2022-3-644信息安全讲座ISM03信息安全等级保护与风险评估3.5 信息系统安全信息系统安全风险评估风险评估2022-3-645信息安全讲座ISM03信息安全等级保护与风险评估3. 风险评估方法风险评估方法 根据评估实施者的不同，将风险评估形式分为自评估和根据评估实施者的不同，将风险评估形式分为自评估和他评估两大类。他评估两大类。 自评估自评估是由被评估信息系统的拥有者依靠自身的力量，对是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。其自身

46、的信息系统进行的风险评估活动。 他评估他评估则通常是由被评估信息系统的拥有者的上级主管机则通常是由被评估信息系统的拥有者的上级主管机关或业务主管机关发起的、旨在依据已经颁布的法规或标准关或业务主管机关发起的、旨在依据已经颁布的法规或标准进行的、具有强制意味的检查活动，是通过行政手段加强信进行的、具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。息安全的重要措施。3.5 信息系统安全信息系统安全风险评估风险评估2022-3-646信息安全讲座ISM03信息安全等级保护与风险评估 基线（基线（Baseline）是预先建立好的一组最低安全控制措）是预先建立好的一组最低安全控制措施的集合，

47、可以满足基本的安全需求，使系统达到一定的安施的集合，可以满足基本的安全需求，使系统达到一定的安全防护水平。全防护水平。 基线评估基线评估是对信息系统进行基线检查（比较现有控制措是对信息系统进行基线检查（比较现有控制措施与基线要求的控制措施之间的差异），并且采取基线中的施与基线要求的控制措施之间的差异），并且采取基线中的标准控制措施来降低和控制风险水平。标准控制措施来降低和控制风险水平。 详细评估详细评估是采用规范化的流程，从资产评估开始，历经是采用规范化的流程，从资产评估开始，历经威胁评估、脆弱性评估、风险评估等步骤，并根据结果选择威胁评估、脆弱性评估、风险评估等步骤，并根据结果选择控制措施，

48、以将风险缓解和控制在可接受范围之内。详细评控制措施，以将风险缓解和控制在可接受范围之内。详细评估的准确性和针对性较高，然而需要较多的资源支持，适用估的准确性和针对性较高，然而需要较多的资源支持，适用于范围明确界定的小范围评估。于范围明确界定的小范围评估。 3.5 信息系统安全信息系统安全风险评估风险评估2022-3-647信息安全讲座ISM03信息安全等级保护与风险评估 定量评估定量评估是将安全风险的评估完全量化，产生明确的数是将安全风险的评估完全量化，产生明确的数值估计，定量评估关注以下元素：值估计，定量评估关注以下元素：资产价值资产价值AV：信息资产的估价；：信息资产的估价；暴露因子暴露因

49、子EF：造成资产损失的程度；：造成资产损失的程度；单一损失期望单一损失期望SLE：单次资产损失的总值；：单次资产损失的总值；年度发生率年度发生率ARO：全年发生的频率；：全年发生的频率；年度损失期望年度损失期望ALE：全年资产损失的总值。：全年资产损失的总值。其中：其中：SLE=AVEF，ALE=SLEARO3.5 信息系统安全信息系统安全风险评估风险评估2022-3-648信息安全讲座ISM03信息安全等级保护与风险评估 定性评估定性评估：根据评估人员的主观经验和直觉以及评估标准和根据评估人员的主观经验和直觉以及评估标准和惯例，为安全风险要素（包括资产价值、安全威胁、脆弱性惯例，为安全风险要

50、素（包括资产价值、安全威胁、脆弱性等）划分定性级别，如高等）划分定性级别，如高/中中/。定性评估易操作，具有较高。定性评估易操作，具有较高的准确性，但较为依赖评估人员的主观经验。在实际中，定的准确性，但较为依赖评估人员的主观经验。在实际中，定性评估被广泛采用。性评估被广泛采用。3.5 信息系统安全信息系统安全风险评估风险评估2022-3-649信息安全讲座ISM03信息安全等级保护与风险评估4.风险评估流程风险评估流程 资产分类资产分类 在一般的评估体中，资产大多属于不同的信息系统在一般的评估体中，资产大多属于不同的信息系统。这时，这时，首先需要将信息系统及其中的信息资产进行恰当的分类，才首先

51、需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。在实际项目中，能在此基础上进行下一步的风险评估工作。在实际项目中，具体的资产分类方法可以根据具体环境，由评估者来灵活把具体的资产分类方法可以根据具体环境，由评估者来灵活把握。下面为一个资产分类示例：握。下面为一个资产分类示例：3.5 信息系统安全信息系统安全风险评估风险评估2022-3-650信息安全讲座ISM03信息安全等级保护与风险评估 3.5 信息系统安全信息系统安全风险评估风险评估分分 类类示示 例例数数 据据存在电子媒介中的各种数据资料，包括源代码、数据库数据，各种存在电子媒介中的各种数据资料，包括

52、源代码、数据库数据，各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等数据资料、系统文档、运行管理规程、计划、报告、用户手册等软软 件件应用软件、系统软件、开发工具和资源库等应用软件、系统软件、开发工具和资源库等硬硬 件件计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等备份存储设备等服服 务务操作系统、操作系统、POP3POP3、DNSDNS、呼叫中心、内部文件服务、网络连接、呼叫中心、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障、入侵监控及各种业务生网络隔离保护、网络管理、网络安全保障

53、、入侵监控及各种业务生产应用等产应用等文文 档档纸质的各种文件、传真、电报、财务报告、发展计划等纸质的各种文件、传真、电报、财务报告、发展计划等设设 备备电源、空调、保险柜、文件柜、门禁、消防设施等电源、空调、保险柜、文件柜、门禁、消防设施等人人 员员各级雇员和雇主、合同方雇员等各级雇员和雇主、合同方雇员等其其 他他企业形象、客户关系等企业形象、客户关系等2022-3-651信息安全讲座ISM03信息安全等级保护与风险评估 资产赋值资产赋值 保密性赋值。根据资产保密性属性的不同，将它分为保密性赋值。根据资产保密性属性的不同，将它分为5个个不同的等级，分别对应资产在保密性方面的价值或者在保密不同

54、的等级，分别对应资产在保密性方面的价值或者在保密性方面受到损失时对整个评估的影响。性方面受到损失时对整个评估的影响。3.5 信息系统安全信息系统安全风险评估风险评估赋值赋值标识标识定定 义义5 5极高极高组织最重要的机密，关系组织未来发展的前途命运，对组织根本组织最重要的机密，关系组织未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的影响利益有着决定性影响，如果泄漏会造成灾难性的影响4 4高高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害害3 3中等中等包含组织一般性秘密，其泄露会使组织的安全和利益受到损

55、害包含组织一般性秘密，其泄露会使组织的安全和利益受到损害2 2低低仅在组织内部或在组织某一部门内部公开仅在组织内部或在组织某一部门内部公开, ,向外扩散有可能对组向外扩散有可能对组织的利益造成损害织的利益造成损害1 1可忽略可忽略对社会公开的信息，公用的信息处理设备和系统资源等信息资产对社会公开的信息，公用的信息处理设备和系统资源等信息资产2022-3-652信息安全讲座ISM03信息安全等级保护与风险评估完整性赋值。根据资产完整性属性的不同，将它分为完整性赋值。根据资产完整性属性的不同，将它分为5个不个不同的等级，分别对应资产在完整性方面的价值或者在完整性同的等级，分别对应资产在完整性方面的

56、价值或者在完整性方面受到损失时对整个评估的影响。方面受到损失时对整个评估的影响。3.5 信息系统安全信息系统安全风险评估风险评估赋值赋值标识标识定定 义义5 5极高极高完整性价值非常关键，未经授权的修改或破坏会对评估体造成完整性价值非常关键，未经授权的修改或破坏会对评估体造成重大的或无法接受的、特别不愿接受的影响，对业务冲击重大，重大的或无法接受的、特别不愿接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补并可能造成严重的业务中断，难以弥补4 4高高完整性价值较高，未经授权的修改或破坏会对评估体造成重大完整性价值较高，未经授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，比较

57、难以弥补影响，对业务冲击严重，比较难以弥补3 3中等中等完整性价值中等，未经授权的修改或破坏会对评估体造成影响，完整性价值中等，未经授权的修改或破坏会对评估体造成影响，对业务冲击明显，但可以弥补对业务冲击明显，但可以弥补2 2低低完整性价值较低，未经授权的修改或破坏会对评估体造成轻微完整性价值较低，未经授权的修改或破坏会对评估体造成轻微影响，可以忍受，对业务冲击轻微，容易弥补影响，可以忍受，对业务冲击轻微，容易弥补1 1可忽略可忽略完整性价值非常低，未经授权的修改或破坏对评估体造成的影完整性价值非常低，未经授权的修改或破坏对评估体造成的影响可以忽略，对业务冲击可以忽略响可以忽略，对业务冲击可以

58、忽略2022-3-653信息安全讲座ISM03信息安全等级保护与风险评估可用性赋值。根据资产可用性属性的不同，将它分为可用性赋值。根据资产可用性属性的不同，将它分为5个不个不同的等级，分别对应资产在可用性方面的价值或者在可用性同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估的影响。方面受到损失时对整个评估的影响。3.5 信息系统安全信息系统安全风险评估风险评估赋值赋值标识标识定定 义义5 5极高极高可用性价值非常高，合法使用者对信息系统及资源的可用度达可用性价值非常高，合法使用者对信息系统及资源的可用度达到年度到年度99.9%99.9%以上以上4 4高高可用性价值较

59、高，合法使用者对信息系统及资源的可用度达到可用性价值较高，合法使用者对信息系统及资源的可用度达到每天每天99%99%以上以上3 3中等中等可用性价值中等，合法使用者对信息系统及资源的可用度在正可用性价值中等，合法使用者对信息系统及资源的可用度在正常上班时间达到常上班时间达到90%90%以上以上2 2低低可用性价值较低，合法使用者对信息系统及资源的可用度在正可用性价值较低，合法使用者对信息系统及资源的可用度在正常上班时间达到常上班时间达到25%25%以上以上1 1可忽略可忽略可用性价值可以忽略，合法使用者对信息系统及资源的可用度可用性价值可以忽略，合法使用者对信息系统及资源的可用度在正常上班时间

60、低于在正常上班时间低于25%25%2022-3-654信息安全讲座ISM03信息安全等级保护与风险评估 最终资产价值可以通过违反资产的保密性、完整性和可用最终资产价值可以通过违反资产的保密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式。与以上安全属性的等级相对应，资产价值的等级级的方式。与以上安全属性的等级相对应，资产价值的等级可分为五级，从可分为五级，从1到到5由低到高分别代表五个级别的资产相对由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。具体每一级别的资产价值定价值，等级越大，资产越重要。具体