信息來源:企業(yè)網(wǎng)
等級保護
等級保護基本概念
信息系統(tǒng)安全等級保護是指對信息安全實行等級化保護和等級化管理���。
根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求,實行分級����、分類����、分階段實施保護,保障信息安全和系統(tǒng)安全正常運行�����,維護國家利益����、公共利益和社會穩(wěn)定。
等級保護的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級���、按標(biāo)準進行建設(shè)�����、管理和監(jiān)督��。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范主機加強監(jiān)管力度����。突出重點,保障重要信息資源和重要信息系統(tǒng)的安全����。
等級保護保準總體框架
等級保護基本要求構(gòu)架
風(fēng)險評估
風(fēng)險評估的基本概念
風(fēng)險評估是以安全建設(shè)為出發(fā)點,它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計及詳細安全方案制定��,通過對用戶關(guān)心的重要資產(chǎn)的分級�����、安全威脅發(fā)生的可能性及嚴重性分析���、對系統(tǒng)物理環(huán)境、硬件設(shè)備�、網(wǎng)絡(luò)平臺、基礎(chǔ)系統(tǒng)平臺�、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理���、運行措施等等方面的安全脆弱性的分析�����,并通過對已有安全控制措施的確認�����,借助定量����、定性分許的方法,推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險�,并根據(jù)風(fēng)險的嚴重級別制定風(fēng)險處置計劃,確定下一步的安全需求方向���。
風(fēng)險要素關(guān)系
風(fēng)險分析原理
等保測評與風(fēng)險評估的區(qū)別
目的不同
等級測評:
以是否符合等級保護基本要求為目的
-照方抓藥
風(fēng)險評估:
以PDCA循環(huán)持續(xù)推進風(fēng)險管理為目的
-對癥下藥
參照標(biāo)準不同
等級測評:
GB 17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》
GA/T 389-2002《計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求》
GA 388-2002《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求》
GA/T389-2002《計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》
GA/T 390-2002《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》
GA 291-2002《計算機系統(tǒng)安全等級保護管理要求》
……
風(fēng)險評估:
BS7799 ISO17799 ISO27001 ISO27002 GBT20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》
……
流程不同
等級保護:
風(fēng)險評估:
