信息安全等级保护制度十堰太和医院课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《信息安全等级保护制度十堰太和医院课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护 制度 十堰 太和 医院 课件
- 资源描述:
-
1、医疗卫生行业信息安全等级保护实施体系化方法东风总医院冯淑凯主要内容 信息安全等级保护制度信息安全等级保护制度 信息安全等级保护的体系化实施信息安全等级保护制度 信息安全等级保护制度的提出信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护制度的提出 计算机病毒、黑客攻击、软硬件故障等信息安全问题给各类组织造成了极大的风险 信息安全问题不仅仅是组织自身的事情,也涉及到国家和社会安全 基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全尤为重要信息安全等级保护制度的提出 1994年,国务院发布了中华人民共和国计算机信息系统安全保护条例(14
2、7号令)条例第九条明确规定“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1999年9月13日,计算机信息系统安全保护等级划分准则(GB17859-1999)发布,是我国计算机信息系统安全保护等级工作的基础2003年,国家信息化领导小组关于加强信息安全保障工作的意见(27号)明确指出“实行信息安全等级保护”信息安全等级保护制度的提出 2004年,公安部、保密局、密码管理局、国信办联合印发了关于信息安全等级保护工作的实施意见(66号文件),明确了等级保护的原则、内容、要求以及部门分工和实施计划 2007年,公安部、保密局、密码管理局、国信
3、办联合制定了信息安全等级保护管理办法,标志着我国等级保护制度的初步形成信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状信息安全等级保护发展现状 信息安全等级保护体系信息安全等级保护发展现状 测评工作 公信安2010303号关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,要求2010年底前完成测评体系建设,并完成30%第三级(含)以上信息系统的测评工作,2011年底前完成第三级(含)以上信息系统的测评工作,2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。信息安全等级保护制度 信息安全等级保护制度的提出 信息安全等级保护发展现状 信息安全等级
4、保护体系信息安全等级保护体系信息安全等级保护标准体系 安全等级保护划分准则 GB17859-1999 我国等级保护制度的基础性标准,规定了计算机信息系统安全保护能力的五个级别第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级 针对每个级别,详细列出了等级划分准则信息安全等级保护标准体系 信息系统安全保护等级定级指南GB/T 22240-2008 用于指导信息系统的建设单位和运营、使用单位如何对确定的信息系统进行定级,为信息系统等级保护的实施提供基础和依据 定级要素 受侵害的客体:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益
5、;c)国家安全 对客体的侵害程度:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。信息安全等级保护标准体系 信息系统安全保护等级定级指南GB/T 22240-2008对客体的侵害程度受侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全一般损害第一级第二级第三级严重损害第二级第三级第四级特别严重损害第二级第四级第五级业务信息安全和系统服务安全业务信息安全和系统服务安全信息系统与之相关的信息系统与之相关的受侵害客体受侵害客体和和对客体的侵害对客体的侵害程度程度可能不同,因此,信息系统定级也应由可能不同,因此,信息系统定级也应由业务业务信息安全信息安全和和系统服务安全系统服
6、务安全两方面确定。两方面确定。从业务信息安全角度反映的信息系统安全保护等级从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。称系统服务安全等级。两种安全的定义两种安全的定义对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息信息安全安全的破坏和对信息信息系统服务系统服务的破坏,其中:信息安全信息安全是指确保信息系统内信息的保密性、完整性和可用性等;系统服务安全系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标;由于业务信
7、息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。定级流程信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 针对每个等级的信息系统提出相应安全保护要求,这些要求的实现能够保证系统达到相应等级的基本保护能力 用途 为信息系统的建设单位和运营、使用单位如何对确定等级的信息系统进行保护提
8、供技术指导 为信息系统主管部门、信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据 为监管部门的监督检查提供依据信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 基本技术类要求 与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现 基本管理类要求 与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 基本技术类要求的三种类型 保护数据在存储、
9、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A)通用安全保护类要求(简记为G)信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 不同等级的信息系统应具备的基本安全保护能力 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发
10、起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。信息安全等级保护标准体系 信息系统安全等级保护基本要求GB/T 22239-2008 不同等级的信息系统应具备的基本安全保护能力 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。第四级安全保护能力:应能够在统一安全策略下防护系统免受
11、来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。信息安全等级保护标准体系 其他已发布的重要信息安全等级保护国家标准 信息安全技术 信息系统安全管理要求GB/T 20269-2006 信息安全技术 信息系统安全通用技术要求GB/T 20271-2006 信息安全技术 信息系统安全工程管理要求GB/T 20282-2006主要内容 信息安全等级保护制度 信息安全等级保护的体系化实施信息安全等级保护的体系化实施信息安全等级保护的体系化实施 体系化管理方法体系
12、化管理方法 信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程-从管理的定义说起体系化管理方法 什么是管理?administeradministrationadministratormanagemanagementmanager18世纪工业革命(1700S)体系化管理方法“管管”中国古代春秋战国康熙19年(1680)-从管理的定义说起“理理”管理管理体系化管理方法-从管理的定义说起 管理的定义 ISO9000:2000 质量管理体系 基础和术语 管理management:指挥和控制组织的协调的活动 管理学 管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等
13、资源,以期有效达成组织目标的过程。管理是一种理论,也可以说是一种方法或工具,与具体业务相结合的时候,便形成不同领域、不同门类的管理科学,例如经济管理、质量管理、信息安全管理等体系化管理方法-管理的体系化 质量管理领域率先提出体系化方法 质量管理的体系化方法衍生于军品的质量保证要求 1979年,ISO成立了质量管理和质量保证技术委员会负责制定质量管理和质量保证标准,1987年发布了ISO9000质量管理和质量保证标准选择和使用指南、ISO9001质量体系 设计开发、生产、安装和服务的质量保证模式以及ISO9002、ISO9003、ISO9004等标准 质量管理的体系化模式取得广泛应用之后,体系化
14、方法也逐渐在其他领域运用,例如环境管理领域、职业健康安全管理领域等,这种管理的体系化方法也逐渐发展为一个特殊的领域,即管理体系体系化管理方法-管理的体系化图释图释增值活动增值活动信息流信息流体系化管理方法-管理的体系化要素 在管理体系方法中,应用了下列要素:过程方法 PDCA模型 管理职责 资源管理 持续改进等体系化管理方法-过程方法 过程 process 一组将输入转化为输出的相互关联或相互作用的活动 过程方法 process approach 系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为过程方法。-过程方法记记 录录体系化管理方法责任人责任人输入输入资资 源源测量、
15、改进测量、改进输出输出体系化管理方法-PDCA模型 PDCA模型:持续改进的优秀方法A PC D体系化管理方法-PDCA模型 PDCA模型:持续改进的优秀方法 又称戴明环,PDCA循环是能使任何一项活动有效进行的工作程序:策划实施检查处置体系化管理方法-PDCA模型 PDCA的特点一 按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环PDAC体系化管理方法-PDCA模型 PDCA的特点二 组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题PDACA PC DA PC D体系化管理方法-PDCA模型 PDCA的特点三 每通过一次PDCA 循环,都要
16、进行总结,提出新目标,再进行第二次PDCA 循环PAC DPAC D体系化管理方法-管理职责 管理职责是指管理活动中,管理者应该具备的职责要求 有人认为这应该是一个很简单的活动 质量管理中,当质量与进度产生冲突时,往往是质量让进度!信息安全管理中,安全与方便性、安全与日常习惯发生矛盾时,安全管理如何保证?管理职责的重要性就在于此,作为管理者,在任何时刻都应毫无疑义的坚持管理的要求体系化管理方法-资源管理 在整个管理活动中,如何分配人员、能否保证资金、如何配备物品,是影响实现管理目标的关键要素 人员无疑是资源管理中最难控制的部分 人员的评价:是否满足岗位的要求 人员的培训:确定需求、实施培训、培
17、训效果评价 人员的持续发展:确保人员能够一直满足岗位要求体系化管理方法-持续改进 不断对管理活动进行检查,发现问题及时采取改进措施,从而实现持续的改进 检查方式 内部审核 管理评审等 改进措施 纠正措施:为消除已发现的不符合或其他不期望情况的原因所采取的措施 预防措施:为消除潜在不符合或其他潜在不期望情况的原因所采取的措施信息安全等级保护的体系化实施 体系化管理方法 信息安全等级保护工作的体系化需求信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程信息安全等级保护工作的体系化需求 信息安全等级保护工作的特点 过程多:包括定级备案、建设改建、等级测评、自查、检查等诸多过程
18、 内容繁杂:涉及到系统的物理安全、网络安全、主机安全、系统安全、应用安全、数据安全以及安全管理制度、管理机构、人员管理、系统建设管理、系统运维管理等各个层面 涉及面广:等级保护工作将覆盖组织的多个部门,包括系统建设部门、运维部门、使用部门以及行政、人力、财务等部门 应该采用体系化方法来实施等级保护工作信息安全等级保护工作的体系化需求 等级保护工作的出发点在于对信息系统进行定级和分级保护,围绕着信息系统而实施一系列的保护活动 但一般情况下,信息系统运营、使用单位都会存在多个信息系统,这些信息系统可能处于不同级别 因此,更应该采用体系化方法来统一规划整个单位的信息安全工作信息安全等级保护工作的体系
19、化需求 信息安全等级保护工作的定级备案、建设改建、等级测评、自查、检查等过程,体现了部分体系化要素,最明显的就是采用了过程方法和PDCA的一些思想 定级备案、建设改建、等级测评等过程均基于过程的概念,通过使用相关的资源以及管理活动,将输入转化为输出,例如定级工作的输入是系统的相关建设管理文档,而输出是系统级别 不同过程之间相互关联,例如定级备案过程的输出:系统级别,是后续建设改建、测评、检查等过程的输入 每个过程都包含不同的子过程,例如定级过程包括系统分析、等级确定两个子过程信息安全等级保护工作的体系化需求 从整体来看等级保护的工作,也体现出了PDCA模型的一些特点 建设和整改包含系统的规划和
20、设计,即P(规划)阶段的内容 规划工作的具体实施,以及系统的运行属于D(实施)阶段的内容 测评、自查和检查等活动都可作为C(检查)阶段的工作内容 对于发现的问题,需要及时整改,即A(处置)阶段的工作内容 此外,管理职责和资源管理也是非常重要的工作内容,贯穿于各项活动之中,是其他工作顺利开展的基础信息安全等级保护工作的体系化需求 因此,信息安全等级保护工作应该,也适合采用体系化方法来加以实施 构建等级保护的体系化实施模型 在原有等级保护工作的基础上,使过程方法和PDCA模型更加完善和清晰化 补充其他体系化要素,形成完整的信息安全等级保护体系化实施方法信息安全等级保护的体系化实施 体系化管理方法
21、信息安全等级保护工作的体系化需求 信息安全等级保护工作的体系化总体实施流程信息安全等级保护工作的体系化总体实施流程4、等级保护持续改进3、等保自查与测评1、实施指南建设思路2、等保二、三级系统建设局部局部调调整整实施指南-基本实施过程系统定级系统定级安全规划设计安全规划设计重大重大变变更更安全实施安全实施/实现实现安全运行管理安全运行管理系统终止系统终止系统类别系统名称范围建议等级备注公共卫生信息系统 血液信息管理系统卫生监督管理系统精神卫生管理信息系统全市三级S3医疗机构信息系统 HIS系统本单位 二级S2LIS系统本单位 二级S2PACS系统本单位 二级S2医院网站本单位 一级S1OA系统
22、本单位 一级S1A1G1定级建议“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。”“27号文”“等级保护不是要做成一个框框,而是要在有限资源的条件下,用适当的成本获得适度的安全。”等级保护的基本含义医疗卫生等保实施流程规划医疗卫生等保实施流程规划 第一步:第一步:“评估定级,定义安全需求评估定级,定义安全需求”。通过风险评估、系统定级、等级评估等服务组件识别系统的安全风险,确定系统的安全等级,并找出系统安全现状与等级要求的差距,形成完整准确的按需防御的安全需求。第二步:第二步:“体系建设,实现按需防御体系建设,
23、实现按需防御”。通过体系设计制定等级方案,进行安全策略体系、安全组织体系、安全技术体系和安全运维体系建设,满足评估定级阶段形成的安全需求,实现按需防御。第三步:第三步:“安全运维,确保持续安全安全运维,确保持续安全”。通过安全预警、安全监控、安全加固、安全审计、应急响应等服务组件,从事前、事中、事后三个方面进行安全运行维护,确保系统的持续安全,满足持续性按需防御的安全需求。体系涵盖内容体系涵盖内容医疗卫医疗卫生行生行业业等等级级保保护护体系方案体系方案详细设计详细设计二级系统等级保护不同等不同等级级系系统统互互联联互通互通三级系统等级保护医疗卫生行业等级保护解决方案医疗卫生行业等级保护解决方案
展开阅读全文