信息來源:企業(yè)網(wǎng)
等級保護(hù)
等級保護(hù)基本概念
信息系統(tǒng)安全等級保護(hù)是指對信息安全實行等級化保護(hù)和等級化管理。
根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求,實行分級、分類、分階段實施保護(hù),保障信息安全和系統(tǒng)安全正常運行,維護(hù)國家利益、公共利益和社會穩(wěn)定。
等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護(hù)工作運用法律和技術(shù)規(guī)范主機(jī)加強(qiáng)監(jiān)管力度。突出重點,保障重要信息資源和重要信息系統(tǒng)的安全。
等級保護(hù)保準(zhǔn)總體框架
等級保護(hù)基本要求構(gòu)架
風(fēng)險評估
風(fēng)險評估的基本概念
風(fēng)險評估是以安全建設(shè)為出發(fā)點,它的重要意義就在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計及詳細(xì)安全方案制定,通過對用戶關(guān)心的重要資產(chǎn)的分級、安全威脅發(fā)生的可能性及嚴(yán)重性分析、對系統(tǒng)物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)平臺、基礎(chǔ)系統(tǒng)平臺、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理、運行措施等等方面的安全脆弱性的分析,并通過對已有安全控制措施的確認(rèn),借助定量、定性分許的方法,推斷出用戶關(guān)心的重要資產(chǎn)當(dāng)前的安全風(fēng)險,并根據(jù)風(fēng)險的嚴(yán)重級別制定風(fēng)險處置計劃,確定下一步的安全需求方向。
風(fēng)險要素關(guān)系
風(fēng)險分析原理
等保測評與風(fēng)險評估的區(qū)別
目的不同
等級測評:
以是否符合等級保護(hù)基本要求為目的
-照方抓藥
風(fēng)險評估:
以PDCA循環(huán)持續(xù)推進(jìn)風(fēng)險管理為目的
-對癥下藥
參照標(biāo)準(zhǔn)不同
等級測評:
GB 17859-1999《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》
GA/T 389-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求》
GA 388-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求》
GA/T389-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》
GA/T 390-2002《計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》
GA 291-2002《計算機(jī)系統(tǒng)安全等級保護(hù)管理要求》
……
風(fēng)險評估:
BS7799 ISO17799 ISO27001 ISO27002 GBT20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》
……
流程不同
等級保護(hù):
風(fēng)險評估: