信息安全标准培训课件(共57页).ppt

1、中国银行业监督管理委员会培训信息平安标准2021年4月3日季瑞华合伙人 系统和流程管理 2008 普华永道版权所有2008 年 4 月第 2 页提纲信息平安标准概述国际标准 ISO/IEC 系列信息平安标准国际标准 COBIT 国内标准 等级保护平安标准的总结问题与答复 2008 普华永道版权所有2008 年 4 月第 3 页提纲信息平安标准概述信息平安标准概述国际标准国际标准 ISO/IEC 系列信息平安标准系列信息平安标准国际标准国际标准 COBIT 国内标准国内标准 等级保护等级保护平安标准的总结平安标准的总结问题与答复问题与答复 2008 普华永道版权所有2008 年 4 月第 4 页

2、信息平安标准概述信息平安的重要性得到广泛的关注。与此同时，国际和国内的各种官方和科研机构都发布了大量的平安标准。这些标准都是为实现平安目标而效劳，并从不同的角度对如何保障组织的信息平安提供了指导。 2008 普华永道版权所有2008 年 4 月第 5 页信息平安标准的演进 2008 普华永道版权所有2008 年 4 月第 6 页主要的信息平安标准国际标准发布的机构发布的机构安全标准安全标准1ISO（国际标准组织）ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 135692ISACA（信息系统审计与控制学会）COBIT 4.1

3、3ISSEA（国际系统安全工程协会）SSE-CMM Systems Security Engineering - Capability Maturity Model 3.04ISSA（信息系统安全协会）GAISP Version 3.05ISF (信息安全论坛）The Standard of Good Practice forInformation Security6IETF （互联网工程任务小组）各种RFC （Request for Comments） 2008 普华永道版权所有2008 年 4 月第 7 页主要的信息平安标准国际标准(续发布的机构发布的机构安全标准安全标准7NIST（国家标

4、准和技术研究所）NIST 800系列8DOD (美国国防部)TCSEC（可信计算机系统评测标准） 彩虹系列9Carnegie Mellon Software Engineering Institute (SEI) Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) Criteria Version 2.010OECD（经济与贸易发展组织）Guidelines for the Security of InformationSystems and Networks and AssociatedImp

5、lementation Plan11The Open GroupManagers Guide to Information Security12ITILSecurity management除了上述标准，世界各国的官方机构和行业监管机构还有许多信息平安方面的标准、指引和建议的操作实践。 2008 普华永道版权所有2008 年 4 月第 8 页主要的信息平安标准国内标准发布的机构发布的机构安全标准安全标准1全国信息安全标准化技术委员会等级保护系列标准信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全等级保护定级指南 信息安全技术 信息系统安全等级保护实施指南其他信息安全标准 截

6、至2007年底，共完成了国家标准59项，还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门 一系列的信息安全方面的政策法规如：计算机信息网络国际联网安全保护管理办法 互联网信息服务管理办法计算机信息系统保密管理暂行规定 计算机软件保护条例商用密码管理条例，等。 2008 普华永道版权所有2008 年 4 月第 9 页在下面的课程中，我们会主要介绍以下标准：ISO系列平安标准，包括ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 13569ISACA的COBIT 4.1全国信息平安标准化技术委员会

7、的等级保护系列标准 2008 普华永道版权所有2008 年 4 月第 10 页提纲信息平安标准概述国际标准 ISO/IEC 系列信息平安标准国际标准 COBIT 国内标准 等级保护平安标准的比较问题与答复 2008 普华永道版权所有2008 年 4 月第 11 页国际标准化组织简介国际标准化组织 (International Organization for Standardization)是由多国联合组成的非政府性国际标准化机构。到目前为止，ISO有正式成员国120多个，中国是其中之一。国际标准化组织1946年成立于瑞士日内瓦，负责制定在世界范围内通用的国际标准；ISO技术工作是高度分散的，

8、分别由2700多个技术委员会(TC)、分技术委员会(SC)和工作组(WG)承担。ISO技术工作的成果是正式出版的国际标准，即ISO标准。ISO在信息平安方面的标准主要包括：ISO17799/ISO27001/ISO27002ISO/IEC 15408ISO/IEC 13335ISO/TR 13569 2008 普华永道版权所有2008 年 4 月第 12 页关于ISO/IEC 17799/27001/27002ISO/IEC17799是由国际标准化组织ISO与 IEC 国际电工委员会共同成立的联合技术委员会 ISO/IEC JTC 1，以英国标准 BS7799为蓝本而制定的一套全面和复杂的信息

9、平安管理标准。ISO/IEC17799于2000年正式公布。ISO/IEC 17799标准由两局部构成:第一局部是信息平安管理体系的实施指南，相当于BS7799-1;第二局部是信息平安管理体系标准，相当于BS7799-2。 ISO/IEC 17799标准的内容涉及10个领域，36个管理目标和127个控制措施。2005年 ISO17799更名为ISO27001和ISO27002，分别为：ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems

10、RequirementsISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management2007年 ISO又公布了Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems. 2008 普华永

11、道版权所有2008 年 4 月第 13 页ISO/IEC17799模型ISO/IEC 17799标准的内容涉及10个领域，36个控制目标和127个控制措施。 2008 普华永道版权所有2008 年 4 月第 14 页ISO17799模型Security PolicyAssetClassificationAnd ControlSecurityOrganization纪录和沟通信息系统政策和法规的审核分配职责和分工，第3方授权，风险/控制的外包资产的保存，对于敏感/商业风险的区分 2008 普华永道版权所有2008 年 4 月第 15 页ISO17799模型PersonalSecurity Com

12、m/OpsManagementPhysical and EnvironmentSecurity员工聘请，知识培训，事故报告等物理平安参数，设备保护，桌面及电脑的重要文件的保护事故流程，职责别离，系统规划，电子邮件控制 2008 普华永道版权所有2008 年 4 月第 16 页ISO17799模型AccessControlBusinessContinuityPlanningSystemDevelopmentandMaintenance权限管理：包括应用系统，操作系统，网络变更控制，环境划分，平安设备商业可持续性方案及其框架，测试方案以及方案的维护和更新Compliance版权控制，记录和信息的保

13、存，数据保护，公司制度的服从 2008 普华永道版权所有2008 年 4 月第 17 页ISO/IEC 27001/27002:2005 的內容的內容总共分成 11个领域、 39个控制目标、 133个控制措施。 11个领域包括A.1 Security PolicyA.2 organization of information securityA.3 Asset managementA.4 Human resources securityA.5 Physical and environmental securityA.6 Communications and operations managem

14、entA.7 Access controlA.8 Information systems acquisition, development and maintenanceA.8 Information security incident managementA.10 Business continuity managementA.11 Compliance 2008 普华永道版权所有2008 年 4 月第 18 页关于ISO/IEC1540890年代开始，由于Internet的日益普及，信息平安领域呼吁修改桔皮书，以解决商用信息系统平安问题。1991年欧盟(European Commissio

15、n) 公布了ITSEC (Information Technology Security Evaluation Criteria,信息技术平安评估准那么)。在此根底上，美国、加拿大、英国、法国等7国组织联合研制了“信息技术评估平安公共准那么CC：Common Criteria。1999年6月ISO通过了ISO/IEC 15408 平安评估准那么 ISO/IEC 15408:1999 Security TechniquesEvaluation Criteria for IT Security。目前的最新版本于2005年发布。ISO/IEC 15408是基于多个标准而产生的，它的演进过程如以下图所

16、示： 2008 普华永道版权所有2008 年 4 月第 19 页ISO/IEC 15408的内容ISO/IEC 15408由以下三局部组成：第一局部：介绍和一般模型第二局部：平安功能需求第三局部：平安认证需求ISO/IEC 15408准那么比以往的其他信息技术平安评估标准更加标准，采用以下方式定义：类别CLASS；认证族ASSURANCE FAMILY；认证部件ASSURANCE COMPONENT；认证元素ASSURANCE ELEMENT。其中类别中有假设干族，族中有假设干部件，部件中有假设干元素。 2008 普华永道版权所有2008 年 4 月第 20 页ISO/IEC 15408的特点

17、ISO/IEC 15408 信息技术平安评估准那么中讨论的是TOE target of evaluation), 即评估对象。该准那么关注于评估对象的平安功能，平安功能执行的是平安策略。ISO/IEC 15408 定义了平安属性，包括用户属性、客体属性、主体属性、和信息属性。ISO/IEC 15408加强了完整性和可用性的防护措施，强调了抗抵赖性的平安要求。ISO/IEC 15408 还定义了加密的要求，强调对用户的隐私保护。ISO/IEC 15408还讨论了某些故障、错误和异常的平安保护问题。 2008 普华永道版权所有2008 年 4 月第 21 页ISO/IEC15408的类别ISO/I

18、EC 15408中，类别class) 代表最概括的分类和定义方式。包括:平安功能类别，共11个， 分别为平安审计、通信、加密支持、用户数据防护、标识与鉴别、平安管理、隐私、平安功能的防护、资源利用、对评估对象的访问、可信通路/通道。平安认知类别，共8个，分别为配置管理、递交和操作、开发、指南文档、生存期支持、测试、脆弱性评估、认证维护。评估认证级别类别，共7个，分别为评估功能测试、结构测试、方法测试和检查、半形式设计和测试、半形式验证设计和测试、形式验证设计和测试。评估类别，共3个，包括2个预评估类别和TOE评估即评估对象的评估。其中预评估类别分别为：防护框架评估Protection Prof

19、ile evaluation,简称PP评估: 评估的一般是某类平安产品，如防火墙等，提出测评的常为是行业组织；平安目标评估 Security Target evaluation, 简称ST评估：评估的一般是某一类的特定产品，如某品牌的防火墙，提出测评的常为厂商。 2008 普华永道版权所有2008 年 4 月第 22 页ISO/IEC15408的评估方法对于信息系统和产品进行平安认证ISO/IEC15408通常采用如下方法进行评估：分析和检查进程与过程检查进程和过程被应用的情况分析TOE设计表示一致性分析TOE设计表示与需求的满足性验证分析指南文档分析功能测试和测试结果独立功能测试分析脆弱性包

20、括漏洞假说侵入测试等TOE是评估对象Target of Evaluation的缩写 2008 普华永道版权所有2008 年 4 月第 23 页关于ISO/IEC 13335 ISO/IEC 13335 Information TechnologyGuidelines for the Management of IT Security 是一套关于信息平安管理的技术文件，共由五个局部组成，这五个组成局部分别在1996至2001年间发布。第一局部：平安概念和模型 Part 1Concepts and Models for IT Security ，发布于1996年12月15日。第二局部：平安管理和规

21、划 Part 2Managing and Planning IT Security，发布于1997年12月15日。第三局部：平安管理技术Part 3Techniques for the Management of IT Security，发布于1998年6月15日。第四局部：保护的选择 Part 4Selection of Safeguards，发布于2000年3月1日。第五局部：外部联接的防护Part 5Management Guidance on Network Security，发布于2001年1月2日。其中第一局部分别于1997年和2004年发布了更新版本。 2008 普华永道版权所有

22、2008 年 4 月第 24 页关于ISO13569ISO13569的全称为ISO/TR 13569:2005 Financial services - Information security guidelines。 它提供了对于金融效劳行业机构的信息平安程序开发的指导方针。它包括了对制度，组织结构和法律法规等内容的讨论。该标准对组织选择和实施平安控制，和金融机构用于管理信息平安风险的要素进行了阐述。ISO13569于1997年首次发布，分别于2003年和2005年更新，目前的最新版本为2005年的版本。 2008 普华永道版权所有2008 年 4 月第 25 页ISO/IEC 13569的

23、主要内容ISO/IEC 13569是针对金融行业的信息平安标准，包括以下主要内容：组织的IT平安政策IT平安管理风险分析和评估平安保护的实施和选择IT系统保护金融效劳行业专题，包括如银行卡、电子资金传输(Electronic Fund Transfer)、支票、电子商务等内容；另外，还包括如加密、审计、事件管理等专项讨论。 2008 普华永道版权所有2008 年 4 月第 26 页提纲信息平安标准概述国际标准 ISO/IEC 系列信息平安标准国际标准 COBIT 国内标准 等级保护平安标准的比较问题与答复 2008 普华永道版权所有2008 年 4 月第 27 页COBIT简介COBITCon

24、trol Objectives for Information and related Technology是由信息系统审计与控制学会ISACAInformation Systems Audit and Control Association在1996年所公布的控制框架；目前已经更新至第4.1版;COBIT的主要目的是研究、开展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT专业人员和审计专业人员日常使用。COBIT框架共有34个IT的流程，分成四个领域：PO方案与组织、AI获取与实施、DS交付与支持、和ME监控与评估。 2008 普华永道版权所有2008 年 4 月第 28

25、 页COBIT来源1992年：ISACF (Information System Audit and Control Foundation)发起，参阅全球不同国家、政府、标准组织的26份文件后，基于其中之18份文件，研擬COBIT，同时筹组COBIT指导委员会(Steering Committee)。1996年：COBIT指导委员会公布COBIT第一版。1998年：COBIT指导委员会公布COBIT第二版，將第一版之32個高级控制目标(High Level Control Objectives)扩充成34个。2000年：COBIT指导委员会公布COBIT第三版。2005年： COBIT指导委员

26、会公布COBIT第四版。2007年：发布COBIT 4.1版，为目前最新版本。 2008 普华永道版权所有2008 年 4 月第 29 页COBIT涉及领域商业目标及IT治理目标效率应用系统信息基础架构人力交付与支持监控与评估获得与实施信息IT资源CobiT框架效果保密性完整性可用性合规性DS1 定义和管理服务水平DS2 管理第三方服务DS3 性能管理和容量管理DS4 确保服务的连续性DS5 确保系统安全DS6 确定并分配成本DS7 教育和培训用户DS8 服务台和紧急事件管理DS9 配置管理DS10 问题管理DS11 数据管理DS12 物理环境管理DS13 运营管理ME1 监控和评价IT绩效M

27、E2 监控和评价内部控制ME3 确保与法律的符合性ME4 提供IT治理P01 定义IT战略计划P02 定义IT信息架构P03 确定技术导向P04 定义IT过程/组织和关系P05 IT投资管理P06 传递管理目标和方向P07 IT人力资源管理P08 质量管理P09 IT风险评估及管理P10 项目管理AI1 识别自动化解决方案AI2 获取并维护应用软件AI3 获取并维护技术基础设施AI4 保障运营和使用AI5 获取IT资源AI6 变革管理AI7 安装/授权解决方案和变更计划与组织可靠性 2008 普华永道版权所有2008 年 4 月第 30 页COBIT的组件实施概要管理层指引具体控制目标构架伴随

28、高级控制目标关键职能和目标说明关键的成功因素成熟的模板审计指引实施工具 2008 普华永道版权所有2008 年 4 月第 31 页COBIT框架的原理控制领域(Domains)流程(Processes)活动(Activities/Tasks)人 力 资 源应 用 系 统基 础 架 构信 息信息技术资源可信赖性需求质 量 需 求信 息 处 理 要 求信息技术流程 安 全 性 需 求 2008 普华永道版权所有2008 年 4 月第 32 页COBIT框架的原理有效性应以及时、正确、一致及可用的方式与业务流程有关的信息效率通过优化（生产率最高且经济合理）资源使用来交付信息保密性保护敏感信息免受未授

29、权访问完整性信息的正确和完整，并根据业务价值和期望进行严正可用性若业务流程现在或将来产生需要，信息是可用的，关注于保护所需的资源及相应的能力合规性外部合规性和内部合规性，满足业务流程必须遵循的法律、法规及合同要求可靠性为管理者提供适当信息，以检验管理者的履职程度和职责可信性需求安全需求质量需求信息处理要求IT 资源IT流程 2008 普华永道版权所有2008 年 4 月第 33 页COBIT框架的原理IT流程管理各种IT资源，以产生、传递并存储可满足业务需求的各种信息。CobiT中定义的IT资源包括如下方面：应用系统：处理信息的自动化信息系统及相应手册程序信息：信息系统输入、处理和输出的所有形

30、式的数据，可以被业务以任何形式使用根底架构：保障应用系统处理信息所需的技术和设施硬件、操作系统、数据库管理系统、网络、多媒体，以及放置上述设施所需的环境人员：筹划、组织、采购、实施、交付、支持、监控和评价信息系统和效劳所需的人员，可以是内部的也可以是外部的应用系统信息基础架构人员IT 资源信息处理要求IT 流程 2008 普华永道版权所有2008 年 4 月第 34 页提纲信息平安标准概述国际标准 ISO/IEC 系列信息平安标准国际标准 COBIT 国内标准 等级保护平安标准的总结问题与答复 2008 普华永道版权所有2008 年 4 月第 35 页全国信息平安标准化技术委员会简介中国从19

31、84年开始就组建了数据加密技术委员会，并在1997年8月，将该委员会改组为全国信息技术标准化分技术委员会，主要负责制定信息平安的国家标准。2001年，国家标准化管理委员会批准成立全国信息平安标准化技术委员会，简称“全国安标委。标准委员会的标号是TC260。 全国信息平安标准化技术委员会包括四个工作组：信息平安标准体系与协调工作组PKI和PMI工作组信息平安评估工作组信息平安管理工作组截至2007年底，全国信息平安标准化技术委员会已经完成了国家标准59项，还有56项国家标准在研制中。 2008 普华永道版权所有2008 年 4 月第 36 页等级保护是什么？等级保护根本概念：信息系统平安等级保护

32、是指对信息平安实行等级保护根本概念：信息系统平安等级保护是指对信息平安实行等级化保护和等级化管理等级化保护和等级化管理根据信息系统应用业务重要程度及其实际平安需求，实行分级、根据信息系统应用业务重要程度及其实际平安需求，实行分级、分类、分阶段实施保护，保障信息平安和系统平安正常运行，维分类、分阶段实施保护，保障信息平安和系统平安正常运行，维护国家利益、公共利益和社会稳定。护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统平安分等级、等级保护的核心是对信息系统特别是对业务应用系统平安分等级、按标准进行建设、管理和监督。国家对信息平安等级保护工作运按标准进行建设、管理和

33、监督。国家对信息平安等级保护工作运用法律和技术标准逐级加强监管力度。突出重点，保障重要信息用法律和技术标准逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的平安。资源和重要信息系统的平安。 2008 普华永道版权所有2008 年 4 月第 37 页等级保护法律和政策依据?中华人民共和国计算机信息系统平安保护条例?第二章平安保护制度局部规定：“计算机信息系统实行平安等级保护。平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定。?计算机信息系统平安保护等级划分准那么?GB17859-1999技术法规规定：“国家对信息系统实行五级保护。?国家信息化领导小组关于加强信息平安

34、保障工作的意见?重点强调：“实行信息平安等级保护制度，重点保护根底信息网络和重要信息系统。 2008 普华永道版权所有2008 年 4 月第 38 页等级保护的分级等级保护分为5级管理制度：第一级，自主保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成损害，但不损害国家平安，社会秩序和公共利益。第二级，指导保护级：信息系统受到破坏后，会对公民，法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家平安造成损害。第四级，强制保护级：信息系统受到破坏后，会对社会

35、秩序和公共利益造成严重损害，或者对国家平安造成严重损害。第五级，专控保护级：信息系统受到破坏后，会对国家平安造成特别严重损害。 2008 普华永道版权所有2008 年 4 月第 39 页等级保护定级要素受侵害的客体公民，法人和其他组织的合法权益社会秩序，公共利益国家平安对客体的侵害程度造成一般损害造成严重损害造成特别严重损害 2008 普华永道版权所有2008 年 4 月第 40 页平安保护要素与等级关系业务信息安全被破坏时所侵害的业务信息安全被破坏时所侵害的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权公民

36、、法人和其他组织的合法权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级 2008 普华永道版权所有2008 年 4 月第 41 页等级保护监管级别与等级对应情况等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一级第一级一般一般系统系统合法权益合法权益损害损害自主保护自主保护第二级第二级合法权益合法权益严重损害严重损害指导指导社会秩序和公共利益社会秩序和公共利益损害损害第三级第三级重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检

37、查国家安全国家安全损害损害第四级第四级社会秩序和公共利益社会秩序和公共利益特别严重损害特别严重损害强制监督检查强制监督检查国家安全国家安全严重损害严重损害第五级第五级极端极端重要重要系统系统国家安全国家安全特别严重损害特别严重损害专门监督检查专门监督检查 2008 普华永道版权所有2008 年 4 月第 42 页等级保护定级流程信息系统平安包括业务信息平安和系统效劳平安，与之相关的受侵害客体和对客体得侵害程度可能不同，因此信息系统定级也应由业务信息平安和系统效劳平安两方面确定。具体流程为：确定业务信息安全受到破坏时所侵害的客体综合评定对客体的侵害程度确定定级对象业务信息安全等级定级对象的安全保

38、护等级确定系统服务安全受到破坏时所侵害的客体综合评定对客体的侵害程度系统服务安全等级 2008 普华永道版权所有2008 年 4 月第 43 页等级保护定级对象确定作为定级对象的信息系统应具有如下根本特征：具有唯一确定的平安责任单位作为定级对象的信息系统应能够唯一地确定其平安责任单位，这个平安责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。具有信息系统的根本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规那么组合而成的有形实体。应防止将某个单一的系统组件，如单台的效劳器、终端或网络设备等作为定级对象。承载单一或相对

39、独立的业务应用定级对象承载“相对独立的业务应用是指其中的一个或多个业务应用的主要业务流程、局部业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立的业务应用并不意味着整个业务流程，可以使完整的业务流程的一局部。 2008 普华永道版权所有2008 年 4 月第 44 页等级保护的根本要求信息系统平安等级保护应依据信息系统的平安保护等级情况保证它们具有相应等级的根本平安保护能力，不同平安保护等级的信息系统要求具有不同的平安保护能力。根本平安要求分为根本技术要求和根本管理要求两大类。二者都是确保信息系统平安不可分割的两

40、个局部。信息系统具有的整体平安保护能力通过不同组件实现根本平安要求来保证。除了保证系统的每个组件满足根本平安要求外，还要考虑组件之间的相互关系，来保证信息系统的整体平安保护能力。 2008 普华永道版权所有2008 年 4 月第 45 页等级保护的根本要求 续基本技术要求基本技术要求基本管理要求基本管理要求与信息系统提供的技术安全机制有关；主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现。与信息系统中各种角色参与的活动有关；主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出。从安

41、全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出。 2008 普华永道版权所有2008 年 4 月第 46 页根本技术要求的类型根本技术要求分为三种类型：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息平安类要求简记为S；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的效劳保证类要求简记为A；通用平安保护类要求简记为G。 2008 普华永道版权所有2008 年 4 月第 47 页等级保护-实施指南根本原那么：等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等级保护在实施过程中应遵循以下根本原那么：自主保护原那么：由各主管部门和运营使用单位按照国家相关法规和标准，自主确定信息系统的平安等级自行组织实施平安保 同步建设原那么：信息系统在新建、改建、扩建时应当同步规划和设计平安方案，投入一定比例的资金建设信息平安设施，保障信息平安与信息化建设相适应。重点保护原那么： 根据信息系统的重要程度、业务特点，通过划分不同平安等级的信息系统，实现不同强度的平安保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。适当调整原那么：要跟踪