电子政务信息安全等级保护实施指南(试行)
- 资源类别:软件
- 资源分类:计算机
- 适用专业:网络工程规划与设计
- 适用年级:高职
- 上传用户:惜缘灬夏沫
- 文件格式:pdf
- 文件大小:1.34MB
- 上传时间:2019/8/23 10:12:02
- 下载次数:0 次
- 浏览次数:0 次
安全检测:瑞星:安全 诺顿:安全 卡巴:安全
资料简介
电子政务信息安全等级保护实施指南(试行)
国务院信息化工作办公室
2005年9月
目 录
1. 引言 3
1.1 编写目的 3
1.2 适用范围 3
1.3 文档结构 3
2. 基本原理 4
2.1 基本概念 4
2.1.1 电子政务等级保护的基本含义 4
2.1.2 电子政务信息安全等级保护遵循以下原则: 4
2.1.3 电子政务等级保护的基本安全要求 6
2.2 基本方法 6
2.2.1 等级保护的要素及其关系 6
2.2.2 电子政务等级保护各要素之间的关系 7
2.2.3 电子政务等级保护实现方法 8
2.2.4 电子政务系统实施等级保护的方法 8
3. 实施过程 8
3.1 角色及职责 12
3.1.1 决策者 12
3.1.2 技术负责人 12
3.1.3 实施人员 12
3.2 系统间互联互通的等级保护要求 12
3.3 定级过程 13
3.4 系统识别与描述 14
3.4.1 系统整体识别与描述 14
3.5 划分子系统的方法 15
3.5.1 划分原则 15
3.5.2 子系统划分方法 15
3.5.3 子系统识别与描述 16
3.6 等级确定 16
3.6.1 电子政务安全属性描述 16
3.6.2 定级原则 16
3.6.3 定级方法 19
3.6.4 复杂系统定级方法 20
1.自上向下的定级方式 20
3.7 安全规划与设计 21
3.8 系统分域保护框架建立 22
3.8.1 安全域划分 22
3.8.2 保护对象分类 22
3.9 系统分域保护框架 24
3.10 选择和调整安全措施 26
4. 安全规划与方案设计 28
4.1 安全需求分析 28
4.2 安全项目规划 28
4.3 安全工作规划 29
4.4 安全方案设计 29
5. 实施、等级评估与运行 29
5.1 安全措施的实施 29
5.2 等级评估与验收 29
5.3 运行监控与改进 30
5.4 术语与定义 31
5.5 系统划分与定级 33
5.5.1 系统识别和子系统划分 33
5.5.2 系统安全等级确定 34
5.6 安全规划与设计 38
5.6.1 安全措施的选择与调整 38
5.6.2 等级化风险评估 38
5.6.3 等级化安全体系设计 39
5.6.4 等级化安全体系设计方法 39
5.6.5 等级化安全体系设计过程 40
5.7 安全规划与方案设计 42
5.7.1 安全需求分析 42
5.7.2 安全工作规划 42
1. 引言
1.1 编写目的
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围
本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构
本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域保护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
附录A介绍了本指南术语定义;附录B介绍了大型复杂电子政务系统等级保护实施过程的示例。
除明确声明外,本指南中所提到的等级保护、电子政务等级保护都是指电子政务信息安全等级保护。
2. 基本原理
2.1 基本概念
2.1.1 电子政务等级保护的基本含义
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。本指南的内容主要针对用户层面的工作。
..............
国务院信息化工作办公室
2005年9月
目 录
1. 引言 3
1.1 编写目的 3
1.2 适用范围 3
1.3 文档结构 3
2. 基本原理 4
2.1 基本概念 4
2.1.1 电子政务等级保护的基本含义 4
2.1.2 电子政务信息安全等级保护遵循以下原则: 4
2.1.3 电子政务等级保护的基本安全要求 6
2.2 基本方法 6
2.2.1 等级保护的要素及其关系 6
2.2.2 电子政务等级保护各要素之间的关系 7
2.2.3 电子政务等级保护实现方法 8
2.2.4 电子政务系统实施等级保护的方法 8
3. 实施过程 8
3.1 角色及职责 12
3.1.1 决策者 12
3.1.2 技术负责人 12
3.1.3 实施人员 12
3.2 系统间互联互通的等级保护要求 12
3.3 定级过程 13
3.4 系统识别与描述 14
3.4.1 系统整体识别与描述 14
3.5 划分子系统的方法 15
3.5.1 划分原则 15
3.5.2 子系统划分方法 15
3.5.3 子系统识别与描述 16
3.6 等级确定 16
3.6.1 电子政务安全属性描述 16
3.6.2 定级原则 16
3.6.3 定级方法 19
3.6.4 复杂系统定级方法 20
1.自上向下的定级方式 20
3.7 安全规划与设计 21
3.8 系统分域保护框架建立 22
3.8.1 安全域划分 22
3.8.2 保护对象分类 22
3.9 系统分域保护框架 24
3.10 选择和调整安全措施 26
4. 安全规划与方案设计 28
4.1 安全需求分析 28
4.2 安全项目规划 28
4.3 安全工作规划 29
4.4 安全方案设计 29
5. 实施、等级评估与运行 29
5.1 安全措施的实施 29
5.2 等级评估与验收 29
5.3 运行监控与改进 30
5.4 术语与定义 31
5.5 系统划分与定级 33
5.5.1 系统识别和子系统划分 33
5.5.2 系统安全等级确定 34
5.6 安全规划与设计 38
5.6.1 安全措施的选择与调整 38
5.6.2 等级化风险评估 38
5.6.3 等级化安全体系设计 39
5.6.4 等级化安全体系设计方法 39
5.6.5 等级化安全体系设计过程 40
5.7 安全规划与方案设计 42
5.7.1 安全需求分析 42
5.7.2 安全工作规划 42
1. 引言
1.1 编写目的
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称“27号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号,以下简称“66号文件”)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。电子政务作为国家信息化战略的重要组成部分,其安全保障事关国家安全和社会稳定,必须按照27号文件要求,全面实施信息安全等级保护。因此,组织编制《电子政务信息安全等级保护实施指南》,规范电子政务信息安全等级保护工作的基本思路和实施方法,指导我国电子政务建设中的信息安全保障工作,对搞好电子政务信息安全保障具有十分重要的现实意义。
1.2 适用范围
本指南提供了电子政务信息安全等级保护的基本概念、方法和过程,适用于指导各级党政机关新建电子政务系统和已建电子政务系统的等级保护工作。
1.3 文档结构
本指南包括五个章节和两个附录。
第1章为引言,介绍了本指南的编写目的、适用范围和文档结构;第2章为基本原理,描述了等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;第3章描述了电子政务等级保护的定级,包括定级过程、系统识别和描述、等级确定;第4章描述了电子政务等级保护的安全规划与设计,包括电子政务系统分域保护框架的建立,选择和调整安全措施,以及安全规划与方案设计;第5章描述了安全措施的实施、等级评估,以及等级保护的运行改进。
附录A介绍了本指南术语定义;附录B介绍了大型复杂电子政务系统等级保护实施过程的示例。
除明确声明外,本指南中所提到的等级保护、电子政务等级保护都是指电子政务信息安全等级保护。
2. 基本原理
2.1 基本概念
2.1.1 电子政务等级保护的基本含义
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。
电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。本指南的内容主要针对用户层面的工作。
..............
资料文件预览
共1文件夹,1个文件,文件总大小:2.08MB,压缩后大小:1.34MB
- 电子政务信息安全等级保护实施指南(试行)
电子政务信息安全等级保护实施指南(试行).doc [2.08MB]
下载地址
- [ 电子政务信息安全等级保护实施指南(试行)下载 ] (需要: 0 个学海币) 如何赚学海币
资料评论
注意事项
下载FAQ:
Q: 为什么我下载的文件打不开?
A: 本站所有资源如无特殊说明,解压密码都是www.xuehai.net,如果无法解压,请下载最新的WinRAR软件。
Q: 我的学海币不多了,如何获取学海币?
A: 上传优质资源可以获取学海币,详细见学海币规则。
Q: 为什么我下载不了,但学海币却被扣了?
A: 由于下载人数众多,下载服务器做了并发的限制。请稍后再试,48小时内多次下载不会重复扣学海币。
下载本文件意味着您已经同意遵守以下协议
1. 文件的所有权益归上传用户所有。
2. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
3. 学海网仅提供交流平台,并不能对任何下载内容负责。
4. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
5. 本站不保证提供的下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
Q: 为什么我下载的文件打不开?
A: 本站所有资源如无特殊说明,解压密码都是www.xuehai.net,如果无法解压,请下载最新的WinRAR软件。
Q: 我的学海币不多了,如何获取学海币?
A: 上传优质资源可以获取学海币,详细见学海币规则。
Q: 为什么我下载不了,但学海币却被扣了?
A: 由于下载人数众多,下载服务器做了并发的限制。请稍后再试,48小时内多次下载不会重复扣学海币。
下载本文件意味着您已经同意遵守以下协议
1. 文件的所有权益归上传用户所有。
2. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
3. 学海网仅提供交流平台,并不能对任何下载内容负责。
4. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
5. 本站不保证提供的下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
