《等级保护与风险评估的区别PPT学习课件.ppt》由会员分享,可在线阅读,更多相关《等级保护与风险评估的区别PPT学习课件.ppt(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、等级保护的基本概念信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。1等级保护标准总体框架中办发200327号国家信息化领导小组关于加强信息安全保障工作的意见公通字200466号关于信息安全等级保护工作的实施意见公通字200643号信息安全登记保护
2、管理办法实施指南等级划分准则定级指南测评准则基本要求通用安全技术要求网络基础安全技术要求操作系统安全技术要求数据库安全技术要求服务器安全技术要求终端安全技术要求中保委发20047号国保发200516号BMB17-2006BMB20-2007BMB22-2007分级保护方案设计指南2等级保护基本要求构架某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理3风险评估的基本概念风险评估是以安全建设为出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,通过对用户关心的重要资产的分级、安
3、全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向。4风险评估的基本概念5风险评估的基本概念6风险评估的基本概念7等保测评与风险评估的区别目的不同等级测评:以是否符合等级保护基本要求为目的照方抓药风险评估:以PDCA循环持续推进风险管理为目的对症下药8等保测评与风险评估的区别参照标准不同等级测评:GB 17859-1999计算机信息系统安全保护等
4、级划分准则GA/T 387-2002计算机信息系统安全等级保护网络技术要求GA 388-2002 计算机信息系统安全等级保护操作系统技术要求GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T 390-2002计算机信息系统安全等级保护通用技术要求GA 391-2002 计算机信息系统安全等级保护管理要求风险评估:BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 信息安全技术 信息安全风险评估规范 9等保测评与风险评估的区别流程不同10等保测评与风险评估的区别流程不同11等保测评与风险评估的区别流程不同12等保测评与风险评估的区别流程不同13等保测评与风险评估的区别流程不同14等保测评与风险评估的区别流程不同15等保测评与风险评估的区别流程不同16等保测评与风险评估的区别流程不同17等保测评与风险评估的区别流程不同18等保测评与风险评估的区别可以简单的理解为等保是标准或体系,风险评估是一种针对性的手段。19