1樓:廣州萬方安全
一、等級保護的基本概念
資訊系統安全等級保護是指對資訊保安實行等級化保護和等級化管理。
根據資訊系統應用業務重要程度及其實際安全需求,實行分級、分類、分階段實施保護,保障資訊保安和系統安全正常執行,維護國家利益、公共利益和社會穩定。
等級保護的核心是對資訊系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對資訊保安等級保護工作運用法律和技術規範逐級加強監管力度。突出重點,保障重要資訊資源和重要資訊系統的安全。
二、國家相關標準
gb 17859-1999《計算機資訊系統安全保護等級劃分準則》
ga/t 387-2002《計算機資訊系統安全等級保護網路技術要求》
ga 388-2002 《計算機資訊系統安全等級保護作業系統技術要求》
ga/t 389-2002《計算機資訊系統安全等級保護資料庫管理系統技術要求》
ga/t 390-2002《計算機資訊系統安全等級保護通用技術要求》
ga 391-2002 《計算機資訊系統安全等級保護管理要求》
三、等級劃分:
建立包括系統安全功能、系統之間、網路之間、裝置之間、使用者之間的可信鑑別保障平臺,對資訊系統的安全等級從功能上劃分為五個級別的安全保護能力:
第一級:使用者自主保護級、第二級:系統審計保護級、第**:安全標記保護級、第四級:結構化保護級 (系統整體安全設計)、第五級:訪問驗證保護級。
四、內容組成:
等級保護基本要求的內容分技術和管理兩大部分,其中技術部分分為:物理安全、網路安全、主機安全、應用安全和資料安全及備份恢復等5大類,管理部分分為:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等5大類。
風險評估是以安全建設為出發點,它的重要意義就在於改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案制定,通過對使用者關心的重要資產的分級、安全威脅發生的可能性及嚴重性分析、對系統物理環境、硬體裝置、網路平臺、基礎系統平臺、業務應用系統、安全管理、執行措施等等方面的安全脆弱性的分析,並通過對已有安全控制措施的確認,藉助定量、定性分析的方法,推斷出使用者關心的重要資產當前的安全風險,並根據風險的嚴重級別制定風險處置計劃,確定下一步的安全需求方向。
等級保護的前提是對系統定級,系統定級根據系統資訊的機密性、完整性、可用性等三大性來確定。即是「明確各種資訊型別----確定每種資訊型別的安全類別----確定系統的安全類別」三個步驟進行系統最終的定級。
等級保護中的系統分類分級的思想和風險評估中對資訊資產的重要性分級基本一致,不同的是:等級保護的級別是從系統的業務需求或cia特性出發,定義系統應具備的安全保障業務等級,而風險評估中最終風險的等級則是綜合考慮了資訊的重要性、系統現有安全控制措施的有效性及執行現狀後的綜合評估結果,也就是說,在風險評估中,cia價值高的資訊資產不一定風險等級就高。
可以簡單的理解為等保是標準或體系,評估一種是手段。
等保其實就是幫助使用者分析、評定資訊系統的等級,以便在後期的工作中根據不同的等級進行不同級別的安全防護 ,而風險評估是幫助使用者發現目前的安全現狀,以便在後期進行整體的安全規劃與建設。我們可以用風險評估這種手段檢查等保的落實和執**況。而風險評估的結果可作為實施等級保護等級安全建設的出發點和參考。
2樓:天磊諮詢
資訊系統的安全保護等級分為以下五級:
第一級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害****、社會秩序和公共利益。第一級資訊系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。
第二級,資訊系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害****。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行指導。
第**,資訊系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對****造成損害。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行監督、檢查。第四級,資訊系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對****造成嚴重損害。
國家資訊保安監管部門對該級資訊系統安全等級保護工作進行強制監督、檢查。
第五級,資訊系統受到破壞後,會對****造成特別嚴重損害。國家資訊保安監管部門對該級資訊系統安全等級保護工作進行專門監督、檢查。
辦理網路安全等級保護備案的作用:
1.建立有效的網路安全防禦體系(讓客戶的系統真正具有安全防禦的能力)
2. 完成資訊系統等級保護公安備案(取得備案證明) ,順利通過網路安全等級保護測評(取得測評報告)
3 滿足相關部門的合規性要求(包括國家的政策,法律法規的要求,還有上級部門的要求,還有甲方客戶的要求等)
4. 系統過了等保,一定程度上可以提高企業投標鎖標的能力,為投標加分
證書案例
關於資訊保安的等級保護,風險評估和安全測評的異同
3樓:春天裡的冬天
等級保護包括系統定級、安
4樓:匿名使用者
我覺得最簡單的理解就是從是否能形成產業方面考慮,等級保護裡面是**的政策,是整個市場能夠形成的背景,是大環境。而風險評估和安全測評是在此環境下生成的兩個服務性產業,雖然目前主要的測評機構都是國家機關或者其直屬的機構,但是對於專業的資訊保安從業人員來說,能夠參與測評評估**企業甚至是軍事部門的測評評估業業不是不可能的。總的來說等級保護需要風險評估和安全測評做整個保護的準備工作,只有發現問題在哪才能更好的處理問題。
什麼是資訊保安、等級保護以及風險評估?
5樓:超級烈焰
資訊保安等級保護,是指對儲存、傳輸、處理資訊的資訊系統分等級實行安全保護,對資訊系統中使用的安全產品實行按等級管理,對資訊系統中發生的資訊保安事件分等級進行響應、處置。
按照《計算機資訊系統安全保護等級劃分準則》規定的規定,中國實行五級資訊保安等級保護。
第一級:使用者自主保護級;
第二級:系統審計保護級;
第**:安全標記保護級;
第四級:結構化保護級;
第五級:訪問驗證保護級。
風險評估,就是量化評判安全事件帶來的影響或損失的可能程度。
從資訊保安的角度來講,風險評估是對資訊資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定資訊保安需求的一個重要途徑,屬於組織資訊保安管理體系策劃的過程。
風險識別、風險評估、風險評級,這三者有什麼區別?
6樓:匿名使用者
評估:人經考察後的大概估計,評級:根據指標分等級;識別:判斷是否存在風險,屬於那種。
7樓:匿名使用者
風險識別bai是指在風
險事故du發生之前,人zhi們運用各種方法系統的、連dao續的認識所面臨專的各種風險以及分屬析風險事故發生的潛在原因。
風險評估(risk asses**ent) 是指,在風險事件發生之前或之後(但還沒有結束),該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。
風險評估是什麼意思呢?
8樓:o爛漫山花
說得來簡單一點,就是你要做一件
自事之前你要想想你bai
在這件事du的時候會遇到什麼樣的問zhi題,這些問題dao出現(發生)的概率各是多少,它們的出現會不會導致你的計劃不能完成……等等的問題,就叫風險評估。這是對問題不樂觀的一個預見,和效益分析相對。
9樓:銀刃
風險評估:是指以瞭解被審計單位及其環境為內容,以識別和評估財務報表重大錯報風險為目的,在設計和實施進一步審計程式之前實施的程式。
10樓:高頓財經教育
風險評估(risk asses**ent) 是指,在風險事件發生之前或之後(但還沒有結束),該事件給人們的
回生活、答
生命、財產等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。
從資訊保安的角度來講,風險評估是對資訊資產(即某事件或事物所具有的資訊集)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定資訊保安需求的一個重要途徑,屬於組織資訊保安管理體系策劃的過程。
11樓:嘉亦達
什麼是風險?如何進行簡單的風險評估?
創投公司和風投風險投資有何區別
創業投資 venture capital 通常被稱為 風險投資 實際上,venture 與risk並不相同。risk表示 風險 危險 之意,而venture表示人們主動承擔可能的創新風險而進行的有意義冒險創新活動或創業行為。尤指 冒險行為 創新行為 創業企業 等。如把創業企業稱作 new ventu...
內部融資和外部融資的成本和風險的特點
根據順序籌資理論,企業融資應先用自有資本,然後是債權融資,最後是股權融資。即先內後外。內部融資有利息稅盾,可以起到免稅作用,此謂其優點。但增加的財務槓桿會增大 成本和破產成本,此謂其缺點。從中國的國情來看,我國上市公司傾向於使用外部融資。認為是借錢不用還的融資方式。這是中國資本市場不完善的表現。外部...
求助檢驗方法驗證或確認的風險評估
新版gmp確認與驗證的章節共12條 確認 證明廠房 設施 裝置能正確執行並可達到預期結果的一系列活動.驗證 證明任何操作規程 或方法 生產工藝或系統能夠達到預期結果的一系列活動.驗證和確認本質上是相同的概念,確認通常用於廠房 設施 裝置 檢驗儀器,而驗證則用於生產工藝 操作規程 檢驗方法或系統.廠房...