一、等級保護的基本概念:
1)信息系統安全等級保護是指信息安全實行等級化保護和等級化管理。
2)根據信息系統應用業務重要程度及其實際安全需求,實行分級、分類、分階段實施保護,保障信息安全和系統安全正常運行,維護國這利益、公共利益和社會穩定。
3)等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規範級加強監管力度。突出重點,保障重要信息資源和重要信息系統的安全。
二、等級保護 標準總體框架:
三、等級保護基本要求架構:
四、風險評估的基本概念:
1)風險評估是以安全建設爲出發點,它的重要意義就在於改變傳統的技術驅動爲導向的安全體系結構設計及詳細安全方案制定,通過對用戶關心的重要資產的分級、安全威脅發生的可能性及嚴重性分析、對系統物理環境、硬件設備、網絡平臺、基礎系統平臺、業務應用系統、安全管理、運行措施等等方面的安全脆弱性的分析,並通過對已有安全措施的確認,藉助定量、定性分析的方法,推斷出用戶關心的重要資產當前的安全風險,並根據風險的嚴重級別制定風險處置計劃,確定下一步的安全需求方向。
五、風險評估分析:
流程:
區別:
目的不同:
等級測評:以是否符合等級保護基本要求爲目的。
風險評估:以PDCA循環持續推進風險管理爲目的。
參照標準不同:
區別: