信息安全等级保护和风险评估的关系研究

等级保护和风险评估的宏观联系信息安全等级保护制度作为我国信息安全保障体系建设的一项基本制度,它的总体目标是为了统一信息安全保护工作,提高我国信息安全建设的整体水平;通过充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到对信息和信息系统重点保护和有效保护的目的。等级保护工作的核心是对信息安全分等级,按标准进行建设、管理和监督。     

等级保护体系信息安全的基石

信息系统安全保护就是通过保护信息系统本身的安全,即设备设施、运行环境、系统软件、网络系统以及管理的安全,达到确保信息系统中信息安全的目的。信息安全的内涵是实现系统正常运行,体现在信息的完整性(存储在计算机上或者在网络上流动的信息没有被破坏和恶意的篡改)、可用性(合法用户提出访问时能及时响应)、保密性(信息的内容不能被泄漏)不可否认性(在网络环境下,信息的发送者不可否认其发送行为,信息的接受者不     

信息安全等级保护制度开始多行业推进

按照信息系统及所承载内容的重要程度进行分级防护，是我国信息安全的重要内容。目前，银行、海关、税务、电力、证券、保险、电信、广电、邮政、教育等部委及行业已开始为自己的安全保护定级。     

信息安全等级保护中应关注的问题

国家出台了关于信息安全保护方面相关的规范和技术标准，但是，在等级保护实施过程中要注重个性化的差异问题。即同一安全等级的信息系统由于不同单位，不同应用，产生的安全问题不可能是完全一样的，所以就不能完全套用别人的模式来建设自己的系统。国信办安全组组长王渝次曾经表示，信息安全“不存在一成不变的模式，不存在普遍适用的解决方案，不存在一劳永逸的技术和产品”。     

河北省信息安全等级保护工作全面启动

7月20日全国召开重要信息系统安全等级保护定级工作电视电话会议之后，山东省各级公安机关积极会同省内保密、密码、信息办等部门，结合党的十七大安全保卫工作和网上维护稳定工作，迅速行动，深入动员，周密部署，认真组织实施，深入开展信息安全等级保护，积极推进调查摸底、定级和备案工作。截至目前，全省公安网监部门已受理备案信息系统645个，工作进展顺利。     

信息安全的等级保护体系

信息安全工作的目标就是采用适当的安全措施将信息和信息系统的残余风险降低到一个可接受的风险级别。要确定什么才是合适的安全措施,必然要先对信息和信息系统进行风险评估,然后根据评估结果对其进行安全分类。对不同安全分类的信息和信息系统,其要求的安全措施必然不同,如何选择适当的安全措施并对采取的措施及效果进行安全评价、认证和认可就要运用信息安全等级保护的思想。目前世界上很多国家和     

信息安全产品等级与信息系统安全等级的关系

信息系统的等级是从管理的角度,根据信息系统的重要程度和遭到破坏后的危害程度,将信息系统分为五个安全等级。信息安全产品的等级是从信息安全技术的角度,在安全功能要求和安全保证要求两个方面,将信息安全产品分为五个等级。两者在安全防护能力的目标和要求上,是一致的。但是两者的安全等级有着本质上的不同。信息系统的等级,强调的是安全的最终结果,信息安全产品的等级,强调的是安全技术本身。达到了相应等级的信息安全产品,并不是都能够使用在相应等级的信息系统中。通过判断信息安全产品是否可信,在多大程度上可信,能够弥补产品技术等级的缺陷。     

信息系统安全保护等级应用指南

通用部分 安全要求与目标 无论是安全保护框架的描述,还是安全目标的设计,都要从安全功能的完备性、一致性和有效性等方面进行考虑。 完备性是指安全保护框架(PP)不应有安全漏洞,一致性是指安全保护框架(PP)中的安全功能应该平滑一致。 有效性是指安全保护框架(PP)中的安全功能应该是有效的。无论采用那一种设计方法,安全功能都必须是有效的,完全起作用的,不会被绕过的。     

我国信息安全等级保护试点工作面启动

今年3月，国家计委、人民银行和湖北、浙江、陕西、四川、重庆等五省市先后开始了信息系统安全等级保护的试点工作，这标志着我国分三个阶段推行等级保护制度的工作正式开始，等级保护制度建设已经成为我国信息安全的发展方向。     

信息安全等级保护技术体系简析

《信息系统安全等级保护实施指南》是开展等级保护工作的基础性标准,该标准规定了信息系统安全等级保护实施的过程,用于指导信息系统安全     

医疗卫生行业信息安全等级保护设计方案

随着卫生业务对信息系统的依赖程度越来越强,信息安全问题日益突现。在这种情况下,各医疗卫生机构对信息安全保障工作给予了高度重视,各方面的信息安全保障工作都在逐步推进。     

关于信息系统安全保护等级评估工具

本文主要介绍信息系统安全保护等级评估的背景及国外相关研究进展,提出系统评估中的关键问题和技术,阐述信息系统安全保护等级评估方法和评估工具的实现,并对评估流程进行描述。     

等级保护的监管制度和工作程序

计算机信息系统需要有一整套用于规范其建设和使用的标准和管理办法，以准确、科学地评估计算机信息系统及其安全专用产品的功能是否正确、充分和有效，是否能够满足用户的安全需求，这就是等级保护制度。国家有关部门决心将等级保护制度作为我国信息安全的基本国策，围绕着此项内容，公安部等政府部门做了大量工作，并于今年2月在国家计委、人民银行以及陕西、湖北、浙江、重庆等部委和省市开展了等级保护的试点工作。建立计算机信息系统安全等级保护制度，直接关系到各行各业的计算机信息系统建设和管理，也是一项复杂的社会化的系统工程。为大力宣传和推广等级保护制度，从本期开始，本刊设立等级保护专栏，及时报道等级保护制度的最新进展和相关知识。     

信息安全等级保护工作取得新进展

自公安部会同国家保密局、国家密码管理局和国务院信息办2004年印发了《关于信息安全等级保护工作的实施意见》以来,在国家网络与信息安全协调小组的正确领导和全社会的共同努力下,等级保护工作取得了新进展和新成效,主要体现在以下几个方面:     

信息安全等级保护概述

各类组织在不断更新信息化步伐的同时也面临着两难处境,过强的信息保护会造成组织不必要的成本支出,过弱的信息保护又会对组织等造成损害。为此,相关政府组织特提出信息系统安全等级保护的一系列规范,从国家标准的高度强化各类组织信息安全管理。各类组织可对照规范确定自身应实施的适度的信息安全保护。     

安全保护等级划分实例

访问控制 用户自主保护级 该级别要求的访问控制为自主访问控制,通过隔离用户和数据,使用户具备自主安全保护的能力。 具有多种形式的控制能力,对用户实施访问控制,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏,     

基于信息安全等级保护的安全测评服务框架研究

在等级保护工作全面开展的大背景下,等级测评机构如何发挥更大的技术支撑作用引起了业界广泛的关注。文章分析了等级保护工作面临的新挑战,提出了基于信息安全等级保护的安全测评服务框架。安全测评服务框架以信息安全相关标准为基础,以信息安全等级保护实施流程为时间线,针对信息系统备案单位在不同阶段的安全需求及工作重点开展有针对性的安全测评服务,提升信息系统备案单位信息安全管理水平及信息系统安全防护能力。等级测评机构可以通过安全测评服务框架充分发挥其信息安全专业机构的技术能力,在等级保护工作中发挥更大作用。     

首届全国信息安全等级保护技术研讨会（ICSP’2012）征文通知

基础信息网络与重要信息系统是国家关键基础设施,面临着日益严峻的威胁与挑战。信息安全等级保护制度是我国信息安全保障工作的基本制度,开展信息安全等级保护工作是保护我国信息化健康发展、维护基础信息网络与重要信息系统安全的根本保障。信息安全等级保护制度在实施过程中涉及到许多关键技术和产品,迫切需要开展针对关键技术、产品的研究和攻关,     

建设符合等级保护要求的信息系统--计算机信息系统安全等级保护实施思路

经过业内人士的努力，等级保护已为越来越多的人们所了解。如何正确、全面地理解等级保护的丰富含义，如何建设或改造符合等级保护要求的计算机信息系统，是当前摆在我们面前的重要任务。为了帮助大家对等级保护进一步的了解和认识，特别是把等级保护的要求落实到具体的计算机信息系统，公安部正组织有关专家编写《计算机信息系统安全等级保护实施指南》，本文将对该《指南》的编写思路做全面介绍。     

医院信息系统信息安全等级保护的实施探讨

根据国家信息安全等级保护制度和卫生部相关文件的要求,结合医院信息系统的分类和特点,提出了医院信息系统的定级建议,并对医院信息系统等级保护实施过程中的各个阶段分别进行了讨论。提出要采取措施同时保证系统的业务安全和信息安全,并运用PDCA持续改进的理念,确保医院信息系统的持续安全运行。