等级保护与风险评估区别探讨.pptVIP

等级保护的基本概念 信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。 根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。　　 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。 等级保护标准总体框架 等级保护基本要求构架 风险评估的基本概念 风险评估是以安全建设为出发点，它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析，并通过对已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步的安全需求方向。 风险评估的基本概念 风险评估的基本概念 风险评估的基本概念 等保测评与风险评估的区别 目的不同 等级测评：以是否符合等级保护基本要求为目的 照方抓药 风险评估：以PDCA循环持续推进风险管理为目的 对症下药 等保测评与风险评估的区别 参照标准不同 等级测评： GB 17859-1999《计算机信息系统安全保护等级划分准则》　　GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》　　GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》　　GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》　　GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》　　GA 391-2002 《计算机信息系统安全等级保护管理要求》… 风险评估：BS7799 ISO17799 ISO27001 ISO 27002 GBT 20984-2007 《信息安全技术 信息安全风险评估规范》… 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 流程不同 等保测评与风险评估的区别 * * 中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》 公通字[2004]66号《关于信息安全等级保护工作的实施意见》 公通字[2006]43号《信息安全登记保护管理办法》 实施指南 等级划分准则 定级指南 测评准则 基本要求 通用安全技术要求 网络基础安全技术要求 操作系统安全技术要求 数据库安全技术要求 服务器安全技术要求 终端安全技术要求 中保委发[2004]7号 国保发[2005]16号 BMB17-2006 BMB20-2007 BMB22-2007 分级保护方案设计指南 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 可以简单的理解为等保是标准或体系，风险评估是一种针对性的手段。 *