等级保护风险评价
等级保护高风险判定指引
等级保护高风险判定指引摘要:一、等级保护高风险判定概述二、高风险判定方法与流程1.确定等级保护对象2.分析安全威胁3.评估安全措施4.判定风险等级三、高风险等级保护的实施建议四、总结正文:等级保护是我国信息安全领域的一项重要政策,其目的是通过实施等级保护制度,保障信息系统安全,防止信息泄露、篡改、破坏等安全事件的发生。
在等级保护制度中,高风险判定是一个关键环节,对于确定信息系统的安全保护等级具有重要作用。
一、等级保护高风险判定概述等级保护高风险判定是指依据国家相关法律法规、政策和标准,对信息系统中的安全威胁进行分析和评估,判断信息系统安全保护等级的过程。
高风险判定旨在识别信息系统的安全薄弱环节,有针对性地采取安全防护措施,降低安全风险。
二、高风险判定方法与流程1.确定等级保护对象在进行高风险判定之前,首先需要明确等级保护的对象,即信息系统。
信息系统的范围包括硬件、软件、数据、网络等方面。
在确定信息系统范围时,应遵循完整性、实用性和可操作性原则。
2.分析安全威胁分析安全威胁是判断高风险的关键环节。
安全威胁分析应从内部和外部两个方面进行,充分考虑人为因素、环境因素和技术因素等。
分析结果应形成安全威胁列表,并对每个威胁给出可能造成的影响和概率。
3.评估安全措施评估安全措施是指对等级保护对象已采取的安全措施进行评估,判断其是否能够有效防范安全威胁。
评估结果应形成安全措施列表,并对每个措施给出其有效性、可靠性和适用性等方面的评价。
4.判定风险等级根据安全威胁分析结果和安全措施评估结果,对等级保护对象进行风险等级判定。
风险等级的判定应根据国家相关政策、标准和规定,结合具体情况进行。
风险等级通常分为低、中、高三个等级,其中高风险表示信息系统安全威胁较大,需要采取更严格的安全保护措施。
三、高风险等级保护的实施建议针对高风险等级保护对象,应制定具体的安全保护方案,包括完善安全管理制度、加强安全技术防护、提高安全意识、开展安全培训等方面。
等级保护风险评价
等级保护、风险评估、安全测评三者的内在联系及实施建议赵瑞颖前言自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。
本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。
本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC 过程中的实施建议。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002? 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002? 《计算机信息系统安全等级保护管理要求》。
工控系统风险评估及等级保护测评方案
工控系统风险评估及等级保护测评方案一、概述工控系统(Industrial Control System,ICS)是用于监测和控制工业过程的自动化系统,包括制造业、能源行业等。
随着工业互联网的发展,工控系统的网络化程度越来越高,面临的风险也越来越复杂。
为了保护工控系统的运行安全,进行风险评估及等级保护测评是必不可少的。
二、风险评估流程1.收集信息:收集系统的架构、拓扑结构、安全策略、应用程序、硬件设备等信息;2.辨识威胁:对系统进行分析,识别可能存在的各种威胁,如物理攻击、远程攻击、恶意软件等;3.评估漏洞:对系统中的漏洞进行评估,包括操作系统漏洞、应用程序漏洞、硬件漏洞等;4.评估风险:根据漏洞评估的结果,综合考虑威胁程度、漏洞严重性和可能造成的损失,对风险进行评估;5.制定对策:根据风险评估结果,制定相应的防范措施和应急预案;6.实施评估:根据制定的对策,实施评估,并记录评估结果。
三、等级保护测评1.测评流程(1)确定测评范围:确定要测评的工控系统及其相应的硬件、软件设备;(2)测评准备:对系统进行收集信息、辨识威胁、评估漏洞等步骤,为测评做准备;(3)测评实施:根据测评指标,对系统进行安全性测评;(4)编写测评报告:根据测评结果,编写详细的测评报告。
2.测评指标(1)安全性管理:包括安全政策、组织架构、人员培训等;(2)物理安全:包括门禁、视频监控等;(3)网络安全:包括网络架构、防火墙、入侵检测系统等;(4)数据保护:包括数据备份、恢复策略等;(5)应急响应:包括应急预案、事件响应等。
四、总结工控系统风险评估及等级保护测评方案是确保工控系统安全的重要手段。
在实施评估过程中,必须全面收集信息、辨识威胁、评估漏洞,并制定相应的对策,及时采取措施避免或降低风险。
等级保护测评作为一种评估方法,能够全面评估工控系统的安全性,为系统安全管理和改进提供了有效的参考依据。
通过风险评估及等级保护测评,能够有效提升工控系统的安全性,并保障工业过程的正常运行。
等保评级标准
等保评级标准全文共四篇示例,供读者参考第一篇示例:等保评级标准是指对信息系统进行安全等级评定的一种标准体系,是国家和行业组织制定的一套评定信息系统安全等级的标准和程序。
等保评级标准的制定是为了促进信息系统安全建设,保障国家和企业的信息安全。
等保评级标准主要包括四个等级,分别是等保一级、等保二级、等保三级和等保四级,等保一级为最低等级,等保四级为最高等级。
不同等级的信息系统要求相应的安全措施和级别,以确保信息系统的安全性和可靠性。
等保评级标准的制定依据是国家和行业相关的法律法规和政策要求,以及信息系统的风险评估结果。
对于对信息系统安全有重要影响的机构和企业,根据其业务特点和数据敏感程度等因素,应该采取相应的等保评级标准,以确保信息系统的安全。
等保评级标准包括了多个方面的内容,主要包括信息系统管理、网络安全、数据安全、物理安全等。
在信息系统管理方面,要求建立健全的信息安全管理制度和安全管理机构,确定信息系统的安全政策和安全目标,并进行定期的安全评估和监督。
在网络安全方面,要求建立有效的网络防护措施,包括入侵检测系统、防火墙、网关防护等,在数据安全方面,要求建立有效的数据加密机制、备份和恢复机制等,以保护数据的机密性和完整性。
在物理安全方面,要求采取有效的物理保护措施,包括门禁系统、监控系统等,以确保信息系统的物理安全。
等保评级标准的实施是一个系统工程,需要全面考虑各个方面的安全要求,综合考虑信息系统的实际情况和可能面临的威胁,制定相应的安全防护措施和措施。
只有全面实施等保评级标准,才能有效保障信息系统的安全和可靠性,减少信息泄露和攻击风险。
等保评级标准是信息系统安全建设中非常重要的一部分,是确保信息系统安全的基础和保障。
只有根据等级评级标准,全面评估信息系统的安全状况,制定相应的安全措施和措施,才能有效保障信息系统的安全性和可靠性。
希望相关机构和企业能够重视等保评级标准,积极完善信息系统安全建设,为信息安全事业做出积极贡献。
网络安全等级保护测评要求
网络安全等级保护测评要求网络安全等级保护测评要求网络安全等级保护测评是指对网络系统和信息进行安全等级测评,评价其安全防护能力和安全风险等级,以提供安全建设和管理的参考依据。
下面列举了网络安全等级保护测评的要求。
一、测评范围网络安全等级保护测评应覆盖整个网络系统,并针对网络系统中的关键信息进行测评。
同时,需要考虑网络环境的复杂性和多样性,包括内网、外网、无线网络、移动网络等。
二、测评目标网络安全等级保护测评的目标是评估网络系统的安全性,并根据测评结果提供相应的安全建议。
主要评估网络系统的安全风险等级、信息安全管理能力、安全防护措施和安全事件响应能力等方面。
三、测评要求1. 安全风险等级评估:对网络系统中的各种安全风险进行评估,包括系统漏洞、恶意程序入侵、信息泄露等,评估其对系统和信息的威胁程度和可能造成的损失,进一步确定安全风险等级。
2. 信息安全管理能力评估:针对网络系统的信息安全管理,评估其安全策略、安全政策、安全组织、安全培训等方面的能力。
评估结果应提供改进和加强信息安全管理的建议。
3. 安全防护措施评估:对网络系统的安全防护措施进行评估,包括入侵检测系统、防火墙、数据加密等。
评估其有效性和可靠性,并提供针对性的优化和改进建议。
4. 安全事件响应能力评估:针对网络系统的安全事件响应能力进行评估,包括安全事件的预警、发现、处置和恢复等。
评估其对安全事件的反应速度和处理能力,并提供相应的改进意见。
5. 技术保密评估:评估网络系统中的技术保密措施,包括对关键信息和知识产权的保护措施,评估其合规性和有效性,并提供改进措施。
6. 评估报告撰写:根据测评结果撰写评估报告,报告应包括安全风险等级评估、信息安全管理能力评估、安全防护措施评估、安全事件响应能力评估、技术保密评估等内容,并提供相应的改善建议。
四、测评要求的保障1. 评估人员的专业水平和经验:评估人员应具备相关的网络安全知识和实践经验,熟悉测评方法和工具,并具备相应的认证资质。
等保三级测评内容详解
等保三级测评内容详解标题:等保三级测评内容详解简介:等保三级测评是指对信息系统等级保护实施的一种评价和测试,是在信息系统等级保护评估的基础上,对实施等级保护的信息系统进行综合评估和测试。
本文将深入探讨等保三级测评的内容,包括测评目标、评估要求、测评方法和总结回顾,以帮助您更全面、深刻地理解等保三级测评。
一、测评目标等保三级测评的目标是评价和测试信息系统在等级保护实施过程中的安全性、稳定性和合规性,以发现系统存在的安全漏洞和隐患,为进一步提升系统等级保护水平提供科学数据支持。
二、评估要求等保三级测评的评估要求主要包括以下几个方面:1. 安全管理要求:评估信息系统是否建立了完备的安全管理机制,包括安全策略、安全组织、安全人员、安全培训等。
2. 安全技术要求:评估信息系统是否采用了先进的安全技术手段,包括身份认证、访问控制、加密技术、漏洞管理等。
3. 安全保障要求:评估信息系统是否实施了全面的安全保障措施,包括物理环境保护、应急响应、安全审计、风险管理等。
三、测评方法等保三级测评的方法主要包括以下几个步骤:1. 需求分析:根据等级保护要求,确定测评对象和测评范围。
2. 数据收集:收集与测评对象相关的信息和数据,包括系统配置信息、安全策略文件、日志记录等。
3. 风险评估:通过风险评估方法,对系统风险进行评估和分类。
4. 安全测试:根据评估要求,进行系统漏洞扫描、渗透测试、密码破解等安全测试活动。
5. 安全评估:评估系统的安全性、稳定性和合规性,分析系统中存在的安全漏洞和隐患。
6. 结果报告:撰写测评结果报告,包括系统安全现状、存在的问题和建议的改进建议。
总结回顾:通过等保三级测评,可以全面评估信息系统的安全性、稳定性和合规性,为进一步提升系统等级保护水平提供科学数据支持。
在评估过程中,需要关注安全管理要求、安全技术要求和安全保障要求,并运用需求分析、数据收集、风险评估、安全测试和安全评估等方法。
通过测评结果报告,可以了解系统的安全现状、存在的问题和改进方案,为系统的持续改进提供指导。
风险评估及等级保护
风险评估及等级保护风险评估及等级保护一、引言风险评估是一个企业或组织在决策过程中必不可少的一个环节。
通过对可能发生的风险进行评估,可以帮助企业或组织预测和避免潜在的风险,从而保护企业或组织的利益。
本文将对风险评估及等级保护进行探讨。
二、风险评估的定义与内容风险评估是指通过系统、全面地分析、评价和预测,确定潜在风险的性质、程度和可能影响,并制定相应的风险控制策略的过程。
其内容包括风险识别、风险分析、风险评价和风险控制等四个环节。
1. 风险识别:通过对企业或组织所面临的各种风险进行搜集、整理和分析,确定潜在风险的来源和类型。
2. 风险分析:对所识别出的风险进行详细的分析和研究,确定其可能发生的概率和可能造成的影响。
3. 风险评价:对分析结果进行综合评价,确定风险的等级和优先级。
4. 风险控制:根据风险评估的结果,制定相应的风险控制策略和措施,减少风险的概率和影响。
三、风险评估的方法与工具风险评估可以利用多种方法与工具进行,其中常用的包括定性评估和定量评估两种方法。
1. 定性评估:通过对风险的性质和特征进行描述和分析,确定风险的可能性和严重程度的高低,进而根据其等级进行优先排序。
2. 定量评估:通过量化风险的概率和可能影响的大小,利用数学模型和统计方法分析和计算风险的等级和优先级。
此外,风险评估中常用的工具有风险矩阵、事件树、故障模式与效应分析(FMEA)等方法。
四、等级保护的意义与内容等级保护是指根据风险的等级,通过采取相应的保护措施,确保企业或组织在面临风险时能够进行有效的应对和防范。
其意义在于提高企业或组织的安全性和稳定性,减少风险可能带来的损失。
等级保护的内容主要包括:1. 风险防范:通过做好风险防范措施,降低风险的可能性和影响。
2. 事故应急响应:建立健全的事故应急响应机制,提前制定应急预案,确保在事故发生时能够迅速、有效地应对。
3. 信息安全保护:加强对信息安全的保护,预防信息泄露和网络攻击等风险。
等级保护评定
等级保护评定
等级保护评定是指对信息系统进行安全等级评定的过程,以确定其安全等级,并采取相应的安全保护措施。
评定的主要内容包括:
1. 资产识别与赋值:对信息系统中的资产进行识别和赋值,以确定其重要性和价值。
2. 威胁评估:对信息系统面临的威胁进行评估,包括威胁的来源、类型、频率等。
3. 脆弱性评估:对信息系统的脆弱性进行评估,包括技术、管理、人员等方面的脆弱性。
4. 风险评估:根据威胁和脆弱性的评估结果,计算信息系统面临的风险,并确定其等级。
5. 安全措施评估:对信息系统中已采取的安全措施进行评估,以确定其有效性和适当性。
6. 等级确定:根据风险评估结果,确定信息系统的安全等级,并制定相应的安全保护策略和措施。
通过等级保护评定,可以帮助组织了解信息系统的安全状况,制定合理的安全策略和措施,提高信息系统的安全性和可靠性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护风险评价 This manuscript was revised on November 28, 2020等级保护、风险评估、安全测评三者的内在联系及实施建议赵瑞颖前言自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。
本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。
本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC过程中的实施建议。
一、三者的基本概念和工作背景A、等级保护基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。
这些标准是我国计算机信息系统安全保护等级系列标准的一部分。
《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
B、风险评估基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。
当风险评估应用于IT领域时,就是对信息安全的风险评估。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。
风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM 等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国务院信息化工作办公室2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,对规范我国信息安全风险评估的做法具有很好的指导意义。
目前,国信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业领域作风险评估试点工作,探讨对上述两个风险评估/风险管理标准草案的理解修订及相关管理问题的研究,预计2005年9月份前完成试点工作,并在试点工作的基础上形成有关开展信息安全风险评估工作的指导意见。
C、系统安全测评基本概念:由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。
工作背景:在我国,中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响的开展有关系统安全测评认证的机构。
这里强调一下测评和认证的区别:测评如前述定义,认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。
在美国,系统认证的结果通常作为主管部门对新建系统投入运行前的安全审批或已建系统安全动态监管(即系统认可)的依据。
根据美国FISMA6及NIST SP800-37的规定,系统认证是“对信息系统的技术类、管理类和运行类安全控制所进行的综合评估”,认可则是“由管理层作出的决策,用来授权一个信息系统投入运行”。
我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。
特别是国家认监委成立后,强调了信息安全要“一个统一认证出口”的要求。
国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》4(简称57号文)中已明确规定了对信息安全产品进行“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准”的“四统一”的认证要求。
在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。
典型例子如上海市信息安全测评认证中心,在相关职能部门授权下,已完成了对上海市100余家重要信息系统、涉密信息系统、区县以上综合医院的信息系统的安全测评工作,并为市信息委、市国家保密局、市卫生局等信息化主管部门或行业主管部门提供了重要的技术决策依据。
二、三者的相互内在联系和区别A、三者关系的基本判断基本判断:等级保护是指导我国信息安全保障体系建设的一项基础管理制度,风险评估、系统测评都是在等级保护制度下,对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的的不同研究、分析方法。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
风险评估、系统测评则只是针对信息安全评价方面两种有所区分但又有所联系的的不同研究、分析方法。
从这个意义上讲,等级保护要高于风险评估和系统测评。
当系统定级原则确定并根据该原则将系统分类分级后,那风险评估、系统测评都可以理解为在等级保护制度下的风险评估和等级保护制度下的系统测评,操作时只需在原有风险评估、系统测评方法、操作程序的基础上,加入特定等级的特殊要求就是了。
打个比方:如果说等级保护是指导信息安全建设的宪法,则风险评估、安全测评则是针对系统安全性评估或合格判定方面的专项法律。
至于66号文中提及的等级保护制度中的其他建设内容,如等级化安全保障体系设计、等级化安全产品选用、等级化安全事件处理响应,由于和安全评估没有特别直接的关系,本文不再展开讨论。
B、等级保护与风险评估的关系基本判断:风险评估是等级保护(不同等级不同安全需求)的出发点。
风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中高级别的信息系统不一定就有高级别的安全风险。
风险评估是安全建设的出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,以成本-效益平衡的原则,通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级、安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。
等级保护的前提是对系统定级,根据FIPS199,系统定级根据系统信息的机密性、完整性、可用性(简称CIA特性)等三性损失的最大值来确定,即“明确各种信息类型――确定每种信息类型的安全类别――确定系统的安全类别”三个步骤进行系统最终的定级。
将信息系统安全类别(简称SC)表示为一个与CIA特性的潜在影响相关的三重函数,一般模式是:SC= {(保密性,影响),(完整性,影响),(可用性,影响)}。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA 价值高的信息资产不一定风险等级就高。
在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。
C、等级保护与系统测评的关系基本判断:系统安全测评及行政认可是安全等级保护的落脚点。
根据NIST SP800-37,认证过程偏重于对系统安全性的评估,认可过程则属于管理机关的行为,是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。
根据前述,在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。
主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。
没有最终的主管认可过程,等级保护无法落到实处。
从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。
D、风险评估与系统测评的关系基本判断:风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。