1,等級保護
信息安全等級保護是指對國家秘密信息、法人、其他組織和公民的專有信息以及披露信息和存儲、傳輸、處理這些信息的信息系統進行分級安全保護,對信息系統中使用的安全產品進行分級管理,對信息系統中的信息安全事件進行分級響應和處置。
註:這裏所指的信息系統,是指由計算機及其相關和支撐的設備設施組成的,按照壹定的應用目標和規則,對信息進行存儲、傳輸和處理的系統或網絡。信息是指在信息系統中存儲、傳輸和處理的數字信息。
提出背景:
1994年2月頒布的《中華人民共和國計算機信息系統安全保護條例》規定,計算機信息系統實行安全等級保護,安全等級劃分標準和安全等級保護具體辦法由公安部會同有關部門制定。
1999年,公安部組織起草了《計算機信息系統安全保護等級劃分標準》(GB 17859-1999),規定了計算機信息系統安全保護能力的五個等級,即第壹級:用戶獨立保護等級;第二級:系統審計保護級;第三級:安全標誌保護等級;第四層次:結構化保護層次;級別5:訪問認證保護級別。GB17859中的分類是壹種技術分類,即系統客觀具備的安全防護技術能力水平的分類。
2002年7月18日,公安部在GB17859的基礎上發布實施了5項新的GA標準。分別是:GA/T 387-2002計算機信息系統安全等級保護網絡技術要求、GA 388-2002計算機信息系統安全等級保護操作系統技術要求、GA/T 389-2002計算機信息系統安全等級保護數據庫管理系統技術要求和GA/T 390-2002計算機信息系統安全等級保護通用技術。這些標準是我國計算機信息系統安全保護等級系列標準的壹部分。
2004年,在《關於信息安全等級保護實施意見的通知》(簡稱66號文)中,將信息與信息系統的安全保護等級分為五個等級,即第壹級:獨立保護等級;第二層次:引導保護層次;第三層次:監督保護層次;第四級:強制保護級;第五級:特別控制和保護級別。特別強調的是,66號中的分類主要是基於信息和信息系統的業務重要性和破壞的影響,是系統從應用需求出發必須包含的安全業務層面,而不是系統在GB17859中已經定義的安全技術層面。
2.風險評估
信息安全風險評估是指參照風險評估標準和管理規範,分析信息系統的資產價值、潛在威脅、薄弱環節和采取的防護措施,判斷安全事件發生的概率和可能造成的損失,並提出風險管理措施的過程。
提出背景:
風險評估並不是壹個新概念,金融、電商等很多領域都有風險和風險評估需求。風險評估應用到IT領域,就是信息安全的風險評估。近年來,我國信息安全風險評估研究進展迅速,具體評估方法也在不斷完善。風險評估已經從簡單的漏洞掃描、人工審計和滲透率測試逐漸轉變為廣泛使用的BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現了以資產為起點,以威脅為觸發器,以技術/管理/運營為手段。
2004年,國務院信息工作辦公室組織完成了《信息安全風險評估指南》和《信息安全風險管理指南》標準草案的制定工作,規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷標準,對規範我國信息安全風險評估實踐具有很好的指導意義。
3.系統安全評估
由具有檢測技術能力和政府授權資質的權威機構,依據國家標準、行業標準、地方標準或相關技術規範,對信息系統安全保障能力進行科學、公正的綜合測試和評估活動,以幫助系統運營單位分析系統當前的安全運行狀況,發現存在的安全問題,提出安全改進建議,最大限度地降低系統的安全風險。
註:認證是確認評價活動是否符合標準化和質量管理的要求,認證以標準和評價結果為依據。
提出背景:
雖然我國體系認證起步較早,但由於認證周期、建設差異等多種原因,目前體系認證的數量仍然很少。在國內,中國信息安全產品評估認證中心(CNITSEC)是較早開展系統安全評估認證工作且較有影響力的機構。
國家認監委等八部委聯合發布的《關於建立國家信息安全產品認證認可制度的通知》(簡稱57號令)明確規定,信息安全產品實行“統壹標準、技術規範和合格評定程序;統壹認證目錄;統壹認證標誌;統壹收費標準的“四統壹”認證要求。在大多數情況下,在CNCA關於信息系統安全認證的具體意見出臺之前,系統安全評估的結果可以直接作為主管部門認定系統安全的依據。
二、三者的聯系與區別。
等級保護是指導我國信息安全體系建設的壹項基本管理制度,而風險評估和系統評估是評估等級保護制度下信息和信息系統安全性的兩種具體的、有區別但又相關的不同研究分析方法。從這個意義上說,等級保護高於風險評估和系統評估。
比如,如果說等級保護是指導信息安全建設的憲法,那麽風險評估和安全評估就是系統安全評估或資質判定的特別法。