等级保护护交流.ppt

等级保护与安全规划探讨 等级保护的定义 信息安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益等方面的重要程度以及风险威胁、安全需求、安全成本等因素，将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施，以保障信息系统安全和信息安全。 实行等级保护的目的 有利于突出重点，重点解决信息基础设施、重要信息系统的信息安全薄弱的问题 国内信息化发展的地区、行业不均衡的特点，信息安全的等级是客观存在的，需要满足不同行业、不同发展阶段、不同层次的要求 有利于控制安全的成本 等级保护是一项国家政策 等级保护是今后一段时间内国家信息安全的基本制度（27号文、66号文明确） 在信息安全领域，等级保护在未来两、三年内将作为信息安全工作的根本方法 信息安全的工作思路、解决方案、工作规划、产品采购、安全集成都将依据等级保护进行 今年要求完成定级工作，明年开始实施和测评 等级保护的实现原理 等级保护政策文件演进 等级保护实施的通常流程 我们怎么看待等级保护？ 首先，我们必须要满足等级保护制度 等级保护是国家信息方面的基本制度，属于法律符合性要求，进出口银行属于国家重点信息系统，需要满足此制度； 那我们有几种选择呢？ 某种程度上来应付，尽量小的代价，只要满足公安的要求就好 认真执行，以此为契机来推动信息安全工作 是个很重要的国家新政策，做好它，在行业内领先，可以成为政绩 等级保护的益处 政策要求，可以促进开展信息安全工作，提起领导和各部门的重视，统一思想 国家给出信息安全工作的政策方向和技术指导，我们可以规避风险 依据国家要求，申请项目和经费较为容易 等级保护还是一套比较先进的方法，做好了对实际工作还是有较大帮助 正确定级并遵照标准执行，可以规避部分信息安全责任 等级保护的风险 要应付公安的检查和测评，额外增加工作量 如果只是成为一场运动，就会劳民伤财，投资浪费 标准的制定和执行都会有些僵化，如果不能很好地处理，会带来很多困扰 如定级过高，过度投资 额外引进一套体系而难以融合 和实际情况有差距，“削足适履”等 属地化管理，因为省里技术和认识的限制，可能会走样，个别省分行会承受很多压力，需要总行来处理 对待等级保护的建议 积极来对待等级保护，以此为契机来推动信息安全工作，作为“天时”，化被动为主动 国家非常重视，会长期实施，每年检查，要应付也不是很容易 “地利”：较好地现实情况结合，真正发挥作用 有效整合和利用现有安全设施 融合其他符合性要求（内控，27001等），形成一套体系 反映行业与业务特性，反映安全要求的差异性，并满足超过指标的高要求 避免成为走过场，来建立长效机制，做到可持续运行、发展和完善 “人和”： 获得领导的重视和支持，统一各部门的认识 熟悉国家管理部门和测评机构的规则 选择一个好的合作伙伴 标准中的等级保护生命周期 大型系统等级保护实施流程 开展信息安全工作的总体逻辑 安全规划的方法 安全工作进程中关键里程碑 信息安全战略使命设计 保障业务安全和稳定的运行，保证业务连续性，保护公司的商业机密和技术机密，为公司日常运转提供良好基础，支持和促进公司业务目标的实现； 保护用户隐私，保护用户资料的机密性，维护用户的利益； 达到国际一流、国内领先的信息安全保障水平，成为广大用户对公司信赖的基础，提高公司的安全形象，确保客户的信心； 为社会和用户提供安全和持续的业务服务，维护国家安全，社会稳定和经济秩序，维护公众利益。 信息安全工作的目标设计举例 长期安全目标： 建成国际一流、国内领先的信息安全保障体系，达到国际一流、国内领先的信息安全保障水平，同步或领先的公司信息化水平，保障和促进公司业务发展和业务目标的实现 2004~2006年的安全目标： 短期目标：解决目前急迫和关键的问题，争取在短期内安全状况有大幅度提高。 三年目标：搭建安全体系框架，初步建成信息安全体系 信息安全工作的目标设计举例 2007~2009的目标：在全公司范围内逐步建设、推广和完善信息安全体系，满足奥运会，SOX及等级保护的要求，达到国内领先的水平。 逐步完善现有的公司信息安全保障体系，并在全公司范围内进行推广和实施，符合国家等级保护和SOX的要求。 根据2008北京奥运的安全要求，进行有针对性和高强度的安全建设和保障工作，确保奥运期间万无一失。 逐步、分阶段、分部门的建立安全技术基础平台，基本完成公司信息安全技术体系的建设，并持续改进和完善。 等级保护基本需求 政策要求－符合等级保护的要求 系统定级并备案 系统达到《基本要求》相应级别的指标 符合《测评准则》要求，并通过测评 实际需求－满足实际要求 融合现有的安全体系或安全设施 同时满足客户的其他符合性要求，如SOX，国际标准，行业标准等 适应业务特性与安全要求的差异性，并满足