一、等级保护的基本概念:
1)信息系统安全等级保护是指信息安全实行等级化保护和等级化管理。
2)根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国这利益、公共利益和社会稳定。
3)等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
二、等级保护 标准总体框架:
三、等级保护基本要求架构:
四、风险评估的基本概念:
1)风险评估是以安全建设为出发点,它的重要意义就在于改变传统的技术驱动为导向的安全体系结构设计及详细安全方案制定,通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向。
五、风险评估分析:
流程:
区别:
目的不同:
等级测评:以是否符合等级保护基本要求为目的。
风险评估:以PDCA循环持续推进风险管理为目的。
参照标准不同:
区别: