等级保护

等级保护基本概念

信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。

根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。

等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范主机加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。

等级保护保准总体框架

等级保护基本要求构架

风险评估

风险评估的基本概念

风险评估是以安全建设为出发点，它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定，通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析，并通过对已有安全控制措施的确认，借助定量、定性分许的方法，推断出用户关心的重要资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步的安全需求方向。

风险要素关系

风险分析原理

等保测评与风险评估的区别

目的不同

等级测评：

以是否符合等级保护基本要求为目的

-照方抓药

风险评估：

以PDCA循环持续推进风险管理为目的

-对症下药

参照标准不同

等级测评：

GB 17859-1999《计算机信息系统安全保护等级划分准则》

GA/T 389-2002《计算机信息系统安全等级保护网络技术要求》

GA 388-2002《计算机信息系统安全等级保护操作系统技术要求》

GA/T389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》

GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》

GA 291-2002《计算机系统安全等级保护管理要求》

……

风险评估：

BS7799 ISO17799 ISO27001 ISO27002 GBT20984-2007《信息安全技术信息安全风险评估规范》

……

流程不同

等级保护：

风险评估：