1, 등급 보호
정보 보안 수준 보호란 국가 비밀 정보, 법인, 기타 조직 및 시민의 독점 정보, 공개 정보 및 저장, 전송, 처리 정보 시스템에 대한 분류 보안, 정보 시스템에 사용되는 보안 제품에 대한 분류 관리, 정보 시스템의 정보 보안 이벤트에 대한 분류 대응 및 폐기를 말합니다.
참고: 여기서 언급 된 정보 시스템은 컴퓨터 및 관련 및 지원 장비 시설로 구성되며 특정 응용 프로그램 목표 및 규칙에 따라 정보를 저장, 전송 및 처리하는 시스템 또는 네트워크를 의미합니다. 정보란 정보 시스템에서 저장, 전송 및 처리되는 디지털 정보입니다.
배경을 제시하다.
1994 년 2 월 공포된' 중화인민공화국 컴퓨터 정보 시스템 보안 규정' 은 컴퓨터 정보 시스템이 보안 수준 보호를 실시하고, 보안 수준 분류 기준과 보안 수준 보호를 위한 구체적인 조치는 공안부가 관련 부서와 함께 제정한다고 규정하고 있다.
1999 년 공안부는' 컴퓨터 정보 시스템 보안 등급 분류 기준' (GB 17859- 1999) 을 초안해 컴퓨터 정보 시스템 보안 능력의 5 개 등급을 규정했다. 2 차: 시스템 감사 보호 수준; 레벨 3: 안전 표지 보호 수준; 네 번째 수준: 구조적 보호 수준; 레벨 5: 액세스 인증 보호 레벨입니다. GB 17859 의 분류는 시스템의 객관적인 보안 기술 역량 수준의 분류인 기술 분류입니다.
2002 년 7 월 18 일 공안부는 GB 17859 를 기반으로 5 가지 새로운 GA 표준을 발표했습니다. GA/T 387-2002 컴퓨터 정보 시스템 보안 수준 보호 네트워크 기술 요구 사항, GA 388-2002 컴퓨터 정보 시스템 보안 수준 보호 운영 체제 기술 요구 사항, GA/T 389-2002 컴퓨터 정보 시스템 보안 수준 보호 데이터베이스 관리 시스템 기술 요구 사항 및 GA/T 390-2002 컴퓨터 정보 시스템 보안 이 기준들은 우리나라 컴퓨터 정보 시스템 보안 등급 시리즈 기준의 일부이다.
2004 년,' 정보 보안 수준 보호 구현 의견에 대한 통지' (66 번) 에서 정보와 정보 시스템의 보안 수준을 5 단계, 즉 1 단계: 독립 보호 등급으로 나누었다. 두 번째 수준: 보호 수준을 안내합니다. 세 번째 수준: 감독 및 보호 수준; 4 단계: 강제 보호 수준; 레벨 5: 특별 통제 및 보호 수준. 특히 66 번 분류는 주로 정보 및 정보 시스템의 비즈니스 중요성과 파괴의 영향에 기반을 두고 있으며, 시스템이 GB 17859 에 정의된 보안 기술 수준이 아닌 애플리케이션 요구 사항에서 반드시 포함되어야 하는 보안 비즈니스 수준입니다.
2. 위험 평가
정보 보안 위험 평가는 위험 평가 기준 및 관리 규범을 참조하여 정보 시스템의 자산 가치, 잠재적 위협, 약점 및 취해진 보호 조치를 분석하고 보안 사고 발생 확률과 발생 가능한 손실을 판단하며 위험 관리 조치를 제안하는 프로세스입니다.
배경을 제시하다.
위험 평가는 새로운 개념이 아니며, 금융, 전기상 등 많은 분야에서 위험과 위험 평가 수요가 있다. 위험 평가는 IT 분야에 적용되며 정보 보안에 대한 위험 평가입니다. 최근 몇 년 동안 우리나라의 정보 보안 위험 평가 연구가 급속히 진행되고 있으며 구체적인 평가 방법도 끊임없이 개선되고 있다. 위험 평가는 간단한 취약성 검사, 수동 감사 및 침투율 테스트에서 널리 사용되는 BS7799, OCTAVE, NIST SP800-26, NIST SP800-30, AS/NZS4360, SSE-CMM 등으로 점차 전환되었습니다.
2004 년 국무원 정보업무처 조직은' 정보안전위험평가 가이드' 와' 정보안전위험관리가이드' 표준초안을 작성해 정보안전위험평가의 워크플로우, 평가내용, 평가방법, 위험판단기준을 규정하며 우리나라 정보안전위험평가관행을 규범화하는 데 좋은 지도적 의의가 있다.
3. 시스템 보안 평가
테스트 기술 역량 및 정부 인증 자격을 갖춘 권위 기관에서 국가 표준, 업계 표준, 지역 표준 또는 관련 기술 사양에 따라 정보 시스템 보안 능력에 대한 과학적이고 공정한 종합 테스트 및 평가 활동을 수행합니다. 시스템 운영 단위가 시스템의 현재 보안 상태를 분석하고, 기존 보안 문제를 파악하고, 보안 개선 권장 사항을 제시하고, 시스템의 보안 위험을 최소화할 수 있도록 지원합니다.
참고: 인증은 평가 활동이 표준화 및 품질 관리 요구 사항을 충족하는지 확인하는 것이며 인증은 표준 및 평가 결과를 기준으로 합니다.
배경을 제시하다.
우리나라 체계 인증이 일찍 시작되었지만, 인증주기, 건설차이 등 여러 가지 이유로 현재 체계 인증의 수는 여전히 매우 적다. 국내에서 중국 정보안전제품평가인증센터 (CNITSEC) 는 시스템 안전평가인증을 일찍 실시하고 영향력을 행사하는 기관이다.
국가공인감독위 등 8 부처가 공동으로 발표한' 국가정보안전제품인증인정제도 수립에 관한 통지' (57 호령) 는 정보안전제품이' 통일기준, 기술사양, 합격평가절차' 를 시행한다고 명시했다. 통합 인증 카탈로그 통합 인증 마크 통일요금의' 4 통일' 인증요구 사항. 대부분의 경우 정보 시스템 보안 인증에 대한 CNCA 의 구체적인 의견이 발표될 때까지 시스템 보안 평가 결과는 주관부에서 시스템 보안을 확인하는 근거로 직접 사용될 수 있습니다.
둘째, 세 가지의 연결과 차이.
등급보호는 우리나라 정보안전체계 건설을 지도하는 기본관리제도이고, 위험평가와 시스템평가는 등급보호제도 하에서 정보와 정보시스템 보안을 평가하는 구체적이고 차이가 있지만 관련된 서로 다른 연구분석방법이다. 이런 의미에서 등급 보호는 위험 평가와 시스템 평가보다 높다.
예를 들어 등급보호가 정보안전건설을 지도하는 헌법이라면 위험평가와 안전평가는 시스템 안전평가나 자질 판정을 위한 특별법이다.