等級保護(hù)
等級保護(hù)基本概念
信息系統(tǒng)安全等級保護(hù)是指對信息安全實(shí)行等級化保護(hù)和等級化管理。
根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求,實(shí)行分級、分類、分階段實(shí)施保護(hù),保障信息安全和系統(tǒng)安全正常運(yùn)行,維護(hù)國家利益、公共利益和社會(huì)穩(wěn)定。
等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范主機(jī)加強(qiáng)監(jiān)管力度。突出重點(diǎn),保障重要信息資源和重要信息系統(tǒng)的安全。
等級保護(hù)保準(zhǔn)總體框架
等級保護(hù)基本要求構(gòu)架
風(fēng)險(xiǎn)評估
風(fēng)險(xiǎn)評估的基本概念
風(fēng)險(xiǎn)評估是以安全建設(shè)為出發(fā)點(diǎn),它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案制定,通過對用戶關(guān)心的重要資產(chǎn)的分級、安全威脅發(fā)生的可能性及嚴(yán)重性分析、對系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺、基礎(chǔ)系統(tǒng)平臺、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運(yùn)行措施等等方面的安全脆弱性的分析,并通過對已有安全控制措施的確認(rèn),借助定量、定性分許的方法,推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險(xiǎn),并根據(jù)風(fēng)險(xiǎn)的嚴(yán)重級別制定風(fēng)險(xiǎn)處置計(jì)劃,確定下一步的安全需求方向。
風(fēng)險(xiǎn)要素關(guān)系
風(fēng)險(xiǎn)分析原理
等保測評與風(fēng)險(xiǎn)評估的區(qū)別
目的不同
等級測評:
以是否符合等級保護(hù)基本要求為目的
-照方抓藥
風(fēng)險(xiǎn)評估:
以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險(xiǎn)管理為目的
-對癥下藥
參照標(biāo)準(zhǔn)不同
等級測評:
GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》
GA/T 389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》
GA 388-2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》
GA/T389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》
GA/T 390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》
GA 291-2002《計(jì)算機(jī)系統(tǒng)安全等級保護(hù)管理要求》
……
風(fēng)險(xiǎn)評估:
BS7799 ISO17799 ISO27001 ISO27002 GBT20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》
……
流程不同
等級保護(hù):
風(fēng)險(xiǎn)評估: