等級保護
等級保護基本概念
信息系統安全等級保護是指對信息安全實行等級化保護和等級化管理。
根據信息系統應用業務重要程度及其實際安全需求,實行分級、分類、分階段實施保護,保障信息安全和系統安全正常運行,維護國家利益、公共利益和社會穩定。
等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范主機加強監管力度。突出重點,保障重要信息資源和重要信息系統的安全。
等級保護保準總體框架
等級保護基本要求構架
風險評估
風險評估的基本概念
風險評估是以安全建設為出發點,它的重要意義就在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案制定,通過對用戶關心的重要資產的分級、安全威脅發生的可能性及嚴重性分析、對系統物理環境、硬件設備、網絡平臺、基礎系統平臺、業務應用系統、安全管理、運行措施等等方面的安全脆弱性的分析,并通過對已有安全控制措施的確認,借助定量、定性分許的方法,推斷出用戶關心的重要資產當前的安全風險,并根據風險的嚴重級別制定風險處置計劃,確定下一步的安全需求方向。
風險要素關系
風險分析原理
等保測評與風險評估的區別
目的不同
等級測評:
以是否符合等級保護基本要求為目的
-照方抓藥
風險評估:
以PDCA循環持續推進風險管理為目的
-對癥下藥
參照標準不同
等級測評:
GB 17859-1999《計算機信息系統安全保護等級劃分準則》
GA/T 389-2002《計算機信息系統安全等級保護網絡技術要求》
GA 388-2002《計算機信息系統安全等級保護操作系統技術要求》
GA/T389-2002《計算機信息系統安全等級保護數據庫管理系統技術要求》
GA/T 390-2002《計算機信息系統安全等級保護通用技術要求》
GA 291-2002《計算機系統安全等級保護管理要求》
……
風險評估:
BS7799 ISO17799 ISO27001 ISO27002 GBT20984-2007《信息安全技術信息安全風險評估規范》
……
流程不同
等級保護:
風險評估:
京公網安備 11010502049343號