1 / 88

医疗卫生行业信息安全等级保护实施

医疗卫生行业信息安全等级保护实施. —— 体系化方法. 东风总医院. 冯淑凯. 主要内容. • 信息安全等级保护制度. • 信息安全等级保护的体系化实施. 信息安全等级保护制度. • 信息安全等级保护制度的提出. • 信息安全等级保护发展现状. • 信息安全等级保护体系. 信息安全等级保护制度的提出. • 计算机病毒、黑客攻击、软硬件故障等信息安全问题给各. 类组织造成了极大的风险. • 信息安全问题不仅仅是组织自身的事情,也涉及到国家和. 社会安全. • 基础信息网络和关系国家安全、经济命脉、社会稳定等方.

freya-crosby
Download Presentation

医疗卫生行业信息安全等级保护实施

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 医疗卫生行业信息安全等级保护实施 ——体系化方法 东风总医院 冯淑凯

  2. 主要内容 • 信息安全等级保护制度 • 信息安全等级保护的体系化实施

  3. 信息安全等级保护制度 • 信息安全等级保护制度的提出 • 信息安全等级保护发展现状 • 信息安全等级保护体系

  4. 信息安全等级保护制度的提出 • 计算机病毒、黑客攻击、软硬件故障等信息安全问题给各 类组织造成了极大的风险 • 信息安全问题不仅仅是组织自身的事情,也涉及到国家和 社会安全 • 基础信息网络和关系国家安全、经济命脉、社会稳定等方 面的重要信息系统的安全尤为重要

  5. 信息安全等级保护制度的提出 • 1994年,国务院发布了《中华人民共和国计算机信息系统 安全保护条例》(147号令) – 条例第九条明确规定“计算机信息系统实行安全等级保护。安全等 级的划分标准和安全等级保护的具体办法,由公安部会同有关部 门制定”。 • 1999年9月13日,《计算机信息系统安全保护等级划分准 则》(GB17859-1999)发布,是我国计算机信息系统安 全保护等级工作的基础 • 2003年,《国家信息化领导小组关于加强信息安全保障 工作的意见》(27号)明确指出“实行信息安全等级保护”

  6. 信息安全等级保护制度的提出 • 2004年,公安部、保密局、密码管理局、国信办联合印发 了《关于信息安全等级保护工作的实施意见》(66号文 件),明确了等级保护的原则、内容、要求以及部门分工 和实施计划 • 2007年,公安部、保密局、密码管理局、国信办联合制定 了《信息安全等级保护管理办法》,标志着我国等级保护 制度的初步形成

  7. 信息安全等级保护制度 • 信息安全等级保护制度的提出 • 信息安全等级保护发展现状 • 信息安全等级保护体系

  8. 信息安全等级保护发展现状 • 测评工作 – 公信安[2010]303号《关于推动信息安全等级保 护测评体系建设和开展等级测评工作的通知》, 要求2010年底前完成测评体系建设,并完成 30%第三级(含)以上信息系统的测评工作, 2011年底前完成第三级(含)以上信息系统的 测评工作,2012年底之前完成第三级(含)以 上信息系统的安全建设整改工作。

  9. 信息安全等级保护制度 • 信息安全等级保护制度的提出 • 信息安全等级保护发展现状 • 信息安全等级保护体系

  10. 信息安全等级保护标准体系 • 《安全等级保护划分准则》 GB17859-1999 – 我国等级保护制度的基础性标准,规定了计算机信息系统安全保 护能力的五个级别 • • • • • 第一级:用户自主保护级 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级 第五级:访问验证保护级 – 针对每个级别,详细列出了等级划分准则

  11. 信息安全等级保护标准体系 • 《信息系统安全保护等级定级指南》GB/T 22240-2008 – 用于指导信息系统的建设单位和运营、使用单位如何对确定的信 息系统进行定级,为信息系统等级保护的实施提供基础和依据 – 定级要素 • 受侵害的客体:a)公民、法人和其他组织的合法权益;b)社会秩序、公共 利益;c)国家安全 • 对客体的侵害程度:a)造成一般损害;b)造成严重损害;c)造成特别严重 损害。

  12. 信息安全等级保护标准体系 • 《信息系统安全保护等级定级指南》GB/T 22240-2008 对客体的侵害程度 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损害 第二级 第四级 第五级 受侵害的客体 公民、法人和其他组织的合法 权益 社会秩序、公共利益 国家安全

  13. 业务信息安全和系统服务安全 信息系统与之相关的受侵害客体和对客体的侵害 程度可能不同,因此,信息系统定级也应由业务 信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级 称业务信息安全等级。 从系统服务安全角度反映的信息系统安全保护等级 称系统服务安全等级。

  14. 两种安全的定义 对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息 安全的破坏和对信息系统服务的破坏,其中: 信息安全是指确保信息系统内信息的保密性、完整性和可用性等; 系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的 业务目标; 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程 度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。 信息安全和系统服务安全受到破坏后,可能产生以下危害后果: 影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失; 造成社会不良影响;对其他组织和个人造成损失;其他影响。

  15. 定级流程

  16. 信息安全等级保护标准体系 • 《信息系统安全等级保护基本要求》GB/T 22239-2008 – 针对每个等级的信息系统提出相应安全保护要求,这些要求的实 现能够保证系统达到相应等级的基本保护能力 – 用途 • 为信息系统的建设单位和运营、使用单位如何对确定等级的信息系统进行保 护提供技术指导 • 为信息系统主管部门、信息系统运营、使用单位或专门的等级测评机构对信 息系统安全保护等级的检测评估提供依据 • 为监管部门的监督检查提供依据

  17. 信息安全等级保护标准体系 • 《信息系统安全等级保护基本要求》GB/T 22239-2008 – 基本技术类要求 • 与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软 硬件并正确的配置其安全功能来实现 – 基本管理类要求 • 与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活 动,从政策、制度、规范、流程以及记录等方面做出规定来实现

  18. 信息安全等级保护标准体系 • 《信息系统安全等级保护基本要求》GB/T 22239-2008 – 基本技术类要求的三种类型 • 保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的 修改的信息安全类要求(简记为S); • 保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系 统不可用的服务保证类要求(简记为A) • 通用安全保护类要求(简记为G)

  19. 信息安全等级保护标准体系 • 《信息系统安全等级保护基本要求》GB/T 22239-2008 – 不同等级的信息系统应具备的基本安全保护能力 • 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资 源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程 度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分 功能。 • 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥 有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相 当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞 和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。

  20. 信息安全等级保护标准体系 • 《信息系统安全等级保护基本要求》GB/T 22239-2008 – 不同等级的信息系统应具备的基本安全保护能力 • 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外 部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为 严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损 害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢 复绝大部分功能。 • 第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国 家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严 重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能 够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有 功能。

  21. 信息安全等级保护标准体系 • 其他已发布的重要信息安全等级保护国家标准 – 《信息安全技术 信息系统安全管理要求》GB/T 20269-2006 – 《信息安全技术 信息系统安全通用技术要求》GB/T 20271- 2006 – 《信息安全技术 信息系统安全工程管理要求》GB/T 20282- 2006

  22. 主要内容 • 信息安全等级保护制度 • 信息安全等级保护的体系化实施

  23. 信息安全等级保护的体系化实施 • 体系化管理方法 • 信息安全等级保护工作的体系化需求 • 信息安全等级保护工作的体系化总体实施流程

  24. 体系化管理方法 • 什么是管理? -从管理的定义说起

  25. 体系化管理方法 “管” 中国古代 春秋战国 康熙19年 (1680) -从管理的定义说起 “理” 管理 administer administration administrator manage management manager 18世纪 工业革命 (1700'S)

  26. 体系化管理方法 -从管理的定义说起 • 管理的定义 – ISO9000:2000 质量管理体系 基础和术语 • 管理management:指挥和控制组织的协调的活动 – 管理学 • 管理是指通过计划、组织、领导、控制等环节来协调人力、 物力、财力等资源,以期有效达成组织目标的过程。 – 管理是一种理论,也可以说是一种方法或工具,与具体业 务相结合的时候,便形成不同领域、不同门类的管理科学, 例如经济管理、质量管理、信息安全管理等

  27. 体系化管理方法 -管理的体系化 • 质量管理领域率先提出体系化方法 – 质量管理的体系化方法衍生于军品的质量保证要求 – 1979年,ISO成立了质量管理和质量保证技术委员会负责制定质 量管理和质量保证标准,1987年发布了ISO9000《质量管理和质 量保证标准选择和使用指南》、ISO9001《质量体系 设计开发、 生产、安装和服务的质量保证模式》以及ISO9002、ISO9003、 ISO9004等标准 – 质量管理的体系化模式取得广泛应用之后,体系化方法也逐渐在 其他领域运用,例如环境管理领域、职业健康安全管理领域等, 这种管理的体系化方法也逐渐发展为一个特殊的领域,即管理体 系

  28. 体系化管理方法 -管理的体系化 图释 增值活动 信息流

  29. 体系化管理方法 -管理的体系化要素 • 在管理体系方法中,应用了下列要素: – 过程方法 – PDCA模型 – 管理职责 – 资源管理 –持续改进等

  30. 体系化管理方法 -过程方法 • 过程 process – 一组将输入转化为输出的相互关联或相互作用的活动 • 过程方法 process approach – 系统地识别和管理组织所应用的过程,特别是这些过程之间 的相互作用,称为过程方法。

  31. 体系化管理方法 责任人 输入 资 源 -过程方法 测量、改进 输出 记 录

  32. 体系化管理方法 -PDCA模型 • PDCA模型:持续改进的优秀方法 A P C D

  33. 体系化管理方法 -PDCA模型 • PDCA模型:持续改进的优秀方法 – 又称戴明环, PDCA循环是能使任何一项活动有效进 行的工作程序: • • • • 策划 实施 检查 处置

  34. 体系化管理方法 -PDCA模型 • PDCA的特点一 – 按顺序进行,它靠组织的力量来推动,像车轮一样向 前进,周而复始,不断循环 A C P D

  35. 体系化管理方法 -PDCA模型 • PDCA的特点二 – 组织中的每个部分,甚至个人,均可以PDCA循环, 大环套小环,一层一层地解决问题 A P C D A P C D A C P D

  36. 体系化管理方法 -PDCA模型 • PDCA的特点三 – 每通过一次PDCA 循环,都要进行总结,提出新目标, 再进行第二次PDCA 循环 A P C D A P C D

  37. 体系化管理方法 -管理职责 • 管理职责是指管理活动中,管理者应该具备的职责 要求 • 有人认为这应该是一个很简单的活动 – 质量管理中,当质量与进度产生冲突时,往往是质量让进 度! – 信息安全管理中,安全与方便性、安全与日常习惯发生矛 盾时,安全管理如何保证? • 管理职责的重要性就在于此,作为管理者,在任何 时刻都应毫无疑义的坚持管理的要求

  38. 体系化管理方法 -资源管理 • 在整个管理活动中,如何分配人员、能否保证资金、 如何配备物品,是影响实现管理目标的关键要素 • 人员无疑是资源管理中最难控制的部分 – 人员的评价:是否满足岗位的要求 – 人员的培训:确定需求、实施培训、培训效果评价 – 人员的持续发展:确保人员能够一直满足岗位要求

  39. 体系化管理方法 -持续改进 • 不断对管理活动进行检查,发现问题及时采取改进 措施,从而实现持续的改进 • 检查方式 – 内部审核 – 管理评审等 • 改进措施 – 纠正措施:为消除已发现的不符合或其他不期望情况的原 因所采取的措施 – 预防措施:为消除潜在不符合或其他潜在不期望情况的原 因所采取的措施

  40. 信息安全等级保护的体系化实施 • 体系化管理方法 • 信息安全等级保护工作的体系化需求 • 信息安全等级保护工作的体系化总体实施流程

  41. 信息安全等级保护工作的体系化需求 • 信息安全等级保护工作的特点 – 过程多:包括定级备案、建设改建、等级测评、自查、检查等诸 多过程 – 内容繁杂:涉及到系统的物理安全、网络安全、主机安全、系统 安全、应用安全、数据安全以及安全管理制度、管理机构、人员 管理、系统建设管理、系统运维管理等各个层面 – 涉及面广:等级保护工作将覆盖组织的多个部门,包括系统建设 部门、运维部门、使用部门以及行政、人力、财务等部门 • 应该采用体系化方法来实施等级保护工作

  42. 信息安全等级保护工作的体系化需求 • 等级保护工作的出发点在于对信息系统进行定级和分级保 护,围绕着信息系统而实施一系列的保护活动 • 但一般情况下,信息系统运营、使用单位都会存在多个信 息系统,这些信息系统可能处于不同级别 • 因此,更应该采用体系化方法来统一规划整个单位的信息 安全工作

  43. 信息安全等级保护工作的体系化需求 • 信息安全等级保护工作的定级备案、建设改建、等级测评、自 查、检查等过程,体现了部分体系化要素,最明显的就是采用 了过程方法和PDCA的一些思想 – 定级备案、建设改建、等级测评等过程均基于过程的概念,通过 使用相关的资源以及管理活动,将输入转化为输出,例如定级工 作的输入是系统的相关建设管理文档,而输出是系统级别 – 不同过程之间相互关联,例如定级备案过程的输出:系统级别, 是后续建设改建、测评、检查等过程的输入 – 每个过程都包含不同的子过程,例如定级过程包括系统分析、等 级确定两个子过程

  44. 信息安全等级保护工作的体系化需求 • 从整体来看等级保护的工作,也体现出了PDCA模型的一 些特点 – 建设和整改包含系统的规划和设计,即P(规划)阶段的内容 – 规划工作的具体实施,以及系统的运行属于D(实施)阶段的内容 – 测评、自查和检查等活动都可作为C(检查)阶段的工作内容 – 对于发现的问题,需要及时整改,即A(处置)阶段的工作内容 • 此外,管理职责和资源管理也是非常重要的工作内容,贯 穿于各项活动之中,是其他工作顺利开展的基础

  45. 信息安全等级保护工作的体系化需求 • 因此,信息安全等级保护工作应该,也适合采用体系化方 法来加以实施 – 构建等级保护的体系化实施模型 – 在原有等级保护工作的基础上,使过程方法和PDCA模型更加完 善和清晰化 – 补充其他体系化要素,形成完整的信息安全等级保护体系化实施 方法

  46. 信息安全等级保护的体系化实施 • 体系化管理方法 • 信息安全等级保护工作的体系化需求 • 信息安全等级保护工作的体系化总体实施流程

  47. 4、等级保护持续改进 3、等保自查与测评 1、实施指南建设思路 2、等保二、三级系统建设

  48. 实施指南-基本实施过程 系统定级 安全规划设计 重大变更 安全实施/实现 局部调整 安全运行管理 系统终止

  49. 定级建议

  50. 等级保护的基本含义 “信息化发展的不同阶段和不同的信息 系统有着不同的安全需求,必须从实际出 发,综合平衡安全成本和风险,优化信息 安全资源的配置,确保重点。” -“27号文” “等级保护不是要做成一个框框,而是要在有限资 源的条件下,用适当的成本获得适度的安全。”

More Related