面向电子政务的信息安全管理体系建设

单击此处编辑母版标题样式,*,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,面向电子政务的信息平安管理体系建设,上海市信息中心 陆国樑,2005年5月12日,一、我国电子政务开展框架,1、电子政务网络架构,我国电子政务网络架构分为,内网、外网、互联网,网路平安策略,涉密内网与政务外网采用物理隔离,政务外网与互联网采用逻辑隔离,2、电子政务应用架构,在涉密内网中,提供面向政府公务员的信息资源系统、公文管理系统、业务应用系统、决策支持系统,在政务外网中,提供面向政务机关之间的业务协同系统、资源共享系统,在互联网政府门户网站,提供面向社会公众的信息发布系统和面向企业的业务应用系统,3、信息资源的开发利用,面向政府内部的涉密信息效劳,严格按流程在授权人范围内进行信息的传递,面向政府之间的共享信息效劳,按授权的访问控制在指定范围内进行信息共享与交换,面向社会公众的信息效劳,提供政务公开、行政审批等方面的信息效劳,二、电子政务信息平安风险分析,1、电子政务信息平安管理的目标,确保对信息“机密性、完整性、可用性的保护,确保政务信息的保密性、保证身份正确识别,确保政务流程平安、明确责任和用户权限的控制,确保政务业务连续运转、维护政府形象,2、电子政务系统常见的平安威胁,1非人为的平安威胁,自然灾害洪水、地震、台风、火灾等,信息技术的局限性、漏洞和缺陷,2人为的平安威胁,内部人员的平安威胁：恶意破坏、无意损坏,外部人员的平安威胁：主动攻击、被动攻击,3信息泄漏的风险案例,通过网络传播拨号、在可连接互联网的电脑上处理内部非公开信息,通过介质扩散磁盘、胶片等,无意中传播信息发布、对外交流,通过电波扩散电磁泄漏,传输中被窃取搭线窃听,介质输出扩散打印,非授权访问多人使用设备、身份冒用,通过笔记本电脑接入或私接设备,利用系统漏洞进行攻击病毒等,3、系统风险分析,线路窃听,非法访问,业务数据导入时窃取,病毒,人员犯罪,1机密性威胁,2完整性威胁,传输过程中篡改数据,病毒,业务数据导入时修改,数据库数据非法修改,采用不可信系统,3可用性威胁,阻断通信线路,攻击中心数据库,DNS,无法使用,病毒,三、实施有效的信息平安策略,1、机构管理平安,1建立平安保密管理组织机构,2制定平安保密管理制度,3实施人员平安管理培训与教育,2、物理环境平安,1环境平安,2设备平安,3介质平安,3、信息资产平安,1身份鉴别,2访问控制,3信息传输保密,4电磁泄露防护,5平安审计,6入侵检测,7划分平安域,4、系统运行平安,1病毒的防治,2信息备份与恢复,3平安监管系统,4应急响应系统,四、构建有效的信息平安管理体系,按照GB/T19000-2000质量管理体系和ISO/IEC17799、BS7799-2：2000标准，我们提出了报国家认可委备案的?信息平安管理体系标准?2004,?信息平安管理体系标准?(2004)十大控制目标,1信息平安方针,2组织的信息平安,3资产分类与控制,4人事平安,5设备与环境平安,6通信和运作管理,7访问控制,8系统开发与维护,9业务连续性管理,10符合性要求,构建信息平安管理体系的四大环节,P、建立信息平安管理体系,D、实施和运行信息平安管理体系,C、监督和评审信息平安管理体系,A、维护并改进信息平安管理体系,1、建立信息平安管理体系,1确定信息平安管理体系的范围,2建立信息平安方针,3明确风险管理的步骤,4风险识别,5风险评估,6识别并评价风险处理的方法,7选择处理风险的控制目标和控制措施,包括10个控制方面、36项控制目标和127项控制措施,8适用性声明,9获得管理层的批准,2、实施和运行信息平安管理体系,1形成风险处理方案,2实施风险处理方案,3实施控制措施,4进行培训和教育,5运行控制,6管理资源,7检测和应对平安事故,3、监督和评审信息平安管理体系,1启动监督程序和控制措施,2定期进行信息平安管理体系有效性的评审,3评审可接受风险认可的程度,4定期进行信息平安管理体系的内部审核,5记录对管理体系有效性或产生影响的行动 和事件,4、维护并改进信息平安管理体系,1实施已明确的改进措施,2利用在平安事故中的经验教训,3与所有相关方交流结果并取得一致同意,4确保改进措施到达预期目标,建立信息平安管理体系文件的四个层次,1、方针文件,2、程序文件,3、作业指导性文件,4、记录,根据?信息平安管理体系标准?编制的体系文件有,第一层文件：,?信息平安方针和适用性声明文件?,?信息平安管理手册?,?风险评估报告?,?信息平安策略?,第二层文件,?信息平安管理体系程序文件?,?管理制度?,?应急预案?,根据?信息平安管理体系标准?编制的体系文件有,第三层文件,?作业指导书?,?检查清单、表格?等,根据?信息平安管理体系标准?编制的体系文件有,第四层文件,?记录?,作为信息平安管理体系运行结果的证据,根据?信息平安管理体系标准?产生的文件有,五、信息平安管理体系的实施与审核认证,1筹划建立信息平安管理体系,2信息平安管理体系文件获得审核方的评审,涉密信息系统的建设方案须获得国家保密局的评审,3实施信息平安管理体系的建设,实施建设的涉密信息系统须通过国家保密局的平安 保密测评,4运行信息平安管理体系,通过平安保密测评的涉密信息系统可正式投入使用,信息平安管理体系实施与认证过程,5监督和评审信息平安管理体系内审、管理评审,6维护和改进信息平安管理体系,7申请信息平安管理体系认证,8进行信息平安管理体系的外部审核,9获得信息平安管理体系认证证书,信息平安管理体系实施与认证过程,监督信息平安管理体系的四个节点,1、体系监控,2、内部审核,3、管理评审,4、外部审核,改进信息平安管理体系的四种措施,1、改进措施,2、预防措施,3、纠正措施,4、风险再评估,六、我们的实践,2004年初，上海市信息中心、上海质量体系审核中心、上海质量教育培训中心三家单位牵头，在参考了?ISO/IEC17799信息平安管理业务标准?的根底上开始进行了?信息平安管理体系标准?编撰与培训、咨询等工作,2004年5月中旬形成了?信息平安管理体系标准?1.0版本和相应的培训教材,2004年7月底完成了?信息平安管理体系标准?1.1版本的专家评审,2004年我们举办了为期六天共两期的?信息平安管理体系标准审核员培训班?，有近40名学员考试合格获得证书，并得到了国家认证认可监督委员会的认可备案,同时，我们选择了一家企业根据?信息平安管理体系标准?建立信息平安管理体系的试点工作,上海质量体系审核中心作为?信息平安管理标准?审核单位，获得了审核资质的认可备案,今年四月份，上海一著名信息技术股份经过上海市信息中心的咨询和上海质量体系审核中心的审核，获得了首张?信息平安体系标准2004认证证书?,在此，我们希望与大家一起，为加快我国与国际信息平安管理体系接轨，使信息平安管理步入“标准化、标准化的轨道，共同进行积极的探索，并为最终诞生中国信息平安管理体系标准标准，做出我们的奉献,谢 谢!,：上海市华山路号,联系 ：,电子邮件：,