电子政务信息安全等级保护实施指南2010(免费阅读).pptVIP

安全域划分原则 功能应用相似性原则 安全属性相似性原则 资产价值 安全要求 安全威胁 保护对象分类 建立系统分域保护框架的方法 充分覆盖 互不重叠 无需细分 如何构建系统分域保护框架 选择和调整安全措施的过程 安全措施调整因素和调整方式 序号 调整因素 调整方式 1 三性等级中的1－2项低于系统安全等级 降低对应控制项的等级 2 出现基本安全要求之外的特定安全要求 增加控制项 3 不存在基本安全要求所要控制的安全风险 删减控制项 4 风险评估识别出的风险在基本安全要求中 没有控制项 增加控制项 5 与相应基本安全要求提供的安全强度相 比，风险较低 降低控制项的强度等级 6 与对应基本安全要求提供的安全强度相 比，风险较高 提高控制项的强度等级 7 相应基本安全要求中某些措施成本太高， 无法承受 通过其他措施进行弥补 安全规划与方案设计 安全需求分析 安全现状和等级要求之间的差距 安全项目规划 对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析，确定实施的先后顺序 安全工作规划 确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作，并分析潜在的风险和障碍、所需的资源和预算 ，进行实施策略选择，确定当年的安全工作计划和等级保护项目建设计划 安全方案设计 技术解决方案、管理解决方案 实施、等级评估与运行 安全管理措施建设 安全技术措施建设 等级评估与验收 运行监控与改进 交付成果 简介 安全评估报告 通过调查资产、分析网络、系统和业务等方式，全面了解安全组织、策略、运作和技术等安全现状。 安全体系总体框架 确定信息系统安全等级、安全建设的目标以及总体安全笼廓和框架。 安全规划 对比安全现状和目标之间的差距，分析并明确安全重点工作。 安全策略 为客户指定不同层面和类型的安全策略，包括制度、流程、规范和运行维护计划等。 安全解决方案 根据现有安全问题和安全规划，制定各类详细的安全解决方案。 等级化安全体系管理软件 （定制） 通过管理软件对等级化安全体系进行管理和维护。 等级化安全体系试点交付成果 等级化安全体系的设计成果——安全组织 主管领导（主管安全） 领导小组组长 Xx部门负责人 成员 Xx部门负责人 成员 Xx部门负责人 成员 Xx部门负责人 工作组组长 Xx部门负责人 成员 Xx系统管理员 成员 Xx系统管理员 成员 Xx系统管理员 成员 Xx系统管理员 办公室负责人 Xx系统管理员 成员 安全管理员 安全技术员 信息安全办公室 等级化安全体系的设计成果——安全技术 防病毒 监控 审计 认证 第三方 统一接入 安全域 访问 控制 访问 控制 访问 控制 主机 安全 边界 隔离 数据库 安全 应用 安全 安全域 边界 隔离 表现：解决方案 等级化安全体系的设计成果——安全运行 项目工程 建设 安全风险 管理 安全运行 维护 安全体系 建设 建设期间 运行维护期间 等级化安全体系的设计成果——安全策略 《信息安全方针》 xx管理规定 工作流程 xx组织人员职责 xx安全技术规范 《信息安全体系》 xx层面 xx信息安全工作管理办法 xx组织人员职责 xx层面 工作表单 运行维护计划 应急响应计划 xx层面 等级化安全体系的设计成果----指标库 谢 谢 ！ * * * * * * 国家电子政务信息安全试点培训 济源 2005.11.08 电子政务信息安全等级保护实施指南 27号文件确定未来3－5年的信息安全纲领 当前我国信息安全保障工作的九大任务 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 安全目标 基础网络 数据业务 等级保护的基本概念 区域5 区域4 区域3 区域2 区域1 等级化信息安全体系框架 安全措施 技术 运行 组织 策略 统一终端管理 内网监控 边界保护 策略发布 策略制定 组织建设 运维手册 岗位职责 检查考核 电子政务等级保护的含义 实行信息安全等级保护：信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。 电子政务等级保护的含义 依据电子政务系统的使命与目标和系统重要程度，将系