等级保护
等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
风险评估
风险评估就是量化评判安全事件带来的影响或损失的可能程度。从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
等级保护和风险评估的不同:
①等级保护是指导我国信息安全保障体系建设的一项基础管理制度,而风险评估、系统测评则是在等级保护制度下,对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的不同的研究、分析方法。从这个意义上来讲,等级保护要高于风险评估和系统测评。
②等级保护的前提是对系统定级,系统定级根据系统信息的机密性、完整性、可用性等三大性来确定,即是明确各种信息类型-确定每种信息类型的安全类别-确定系统的安全类别三个步骤进行系统最终的定级。等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。
③等级保护其实就是帮助用户分析、评定信息系统的等级,以便在后期的工作中根据不同的等级进行不同级别的安全防护,而风险评估则是帮助用户了解目前的安全现状,以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况,将风险评估的结果作为实施等级保护等级安全建设的出发点和参考。
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
办理网络安全等级保护备案的作用:
1.建立有效的网络安全防御体系(让客户的系统真正具有安全防御的能力)
2. 完成信息系统等级保护公安备案(取得备案证明) ,顺利通过网络安全等级保护测评(取得测评报告)
3 满足相关部门的合规性要求(包括国家的政策,法律法规的要求,还有上级部门的要求,还有甲方客户的要求等)
4. 系统过了等保,一定程度上可以提高企业投标锁标的能力,为投标加分
证书案例
信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。
根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。
等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
二、国家相关标准
GB 17859-1999《计算机信息系统安全保护等级划分准则》
GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》
GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》
GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》
GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》
GA 391-2002 《计算机信息系统安全等级保护管理要求》
三、等级划分:
建立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信鉴别保障平台,对信息系统的安全等级从功能上划分为五个级别的安全保护能力:
第一级:用户自主保护级、第二级:系统审计保护级、第三级:安全标记保护级、第四级:结构化保护级 (系统整体安全设计)、第五级:访问验证保护级。
四、内容组成:
等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。
风险评估是以安全建设为出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向。
等级保护的前提是对系统定级,系统定级根据系统信息的机密性、完整性、可用性等三大性来确定。即是“明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别”三个步骤进行系统最终的定级。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中最终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。
可以简单的理解为等保是标准或体系,评估一种是手段。
等保其实就是帮助用户分析、评定信息系统的等级,以便在后期的工作中根据不同的等级进行不同级别的安全防护 ,而风险评估是帮助用户发现目前的安全现状,以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。本回答被提问者采纳
你好,总的来说,等级保护是指导我国信息安全保障体系建设的一项基础管理制度,而风险评估则是在等级保护制度下,对信息及信息系统安全性进行评价的研究、分析方法。从这个意义上讲,等级保护要高于风险评估。
1、等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件进行等级响应、处置。
注意:这里所指的信息系统,是指由计算机及其相关、配套的设备和设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息则是指在信息系统中存储、传输、处理的数字化信息。
提出背景:
1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年,公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施了五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。
2004年,在《关于信息安全等级保护工作的实施意见的通知》(简称66号文)中,信息和信息系统的安全保护等级被划分为五级,即第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是,66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
2、风险评估
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
提出背景:
风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
2004年,国务院信息化工作办公室组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,这对规范我国信息安全风险评估的做法具有很好的指导意义。
等级保护和风险评估的区别?
1. 等级保护是我国信息安全保障体系的基础管理制度,而风险评估和系统测评是特定方法,用于评价信息及信息系统的安全性。等级保护在层级上高于风险评估和系统测评。2. 等级保护以系统的业务需求和信息的机密性、完整性、可用性(CIA)为依据进行定级。风险评估则综合考虑信息的重要性、现有安全控制措施的有效...
等级保护和风险评估的区别?
等级保护和风险评估的不同:①等级保护是指导我国信息安全保障体系建设的一项基础管理制度,而风险评估、系统测评则是在等级保护制度下,对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的不同的研究、分析方法。从这个意义上来讲,等级保护要高于风险评估和系统测评。②等级保护的前提是...
等级保护、风险评估、安全测评三者之间有什么区别?
等级保护一般分为五个等级:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。风险评估 风险评估是指在风险事件发生之前或者之后,该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能进行量化评估的工作。即风险评估就是量化测...
五分钟了解等级保护、风险评估和安全测评三者的区别和联系?
这三者之间存在密切联系:等级保护是基础,风险评估是其实施的起点,指导安全建设的决策;系统安全测评则是落实等级保护的实践环节,是对风险管理后系统的再评估。风险评估和系统测评并非孤立,它们共同服务于信息安全的评估与管理,确保信息系统的稳健运行。
等级保护、风险评估和安全测评分别是什么?
等级保护是信息安全保障的基础,风险评估和系统测评是在等级保护制度下对信息及信息系统安全性的评价手段。等级保护制度高于风险评估和系统测评,风险评估侧重于了解当前安全状况,系统测评侧重于检测系统安全防护能力。等级保护定级后,系统根据定级结果进行不同级别的安全防护;风险评估则为后续的安全规划提供依...
等级保护、风险评估和安全测评三者的区别
等级保护是指导我国信息安全保障体系建设的基石性管理制度,其核心在于依据信息资产的机密性、完整性、可用性(CIA特性)对信息系统进行分等级管理。等级保护制度要求信息系统的建设、管理与监督遵循等级化原则,确保不同等级的信息系统具备相应的安全保障能力。风险评估则是基于等级保护制度下的一种重要分析方法...
什么是信息安全、等级保护以及风险评估?
等级保护是指导我国信息安全保障体系建设的一项基础管理制度,而风险评估、系统测评则是在等级保护制度下,对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的的不同的研究、分析方法。从这个意义上讲,等级保护要高于风险评估和系统测评。打个比方:如果说等级保护是指导信息安全建设的宪法...
什么是信息安全、等级保护以及风险评估
2. 等级保护是根据信息系统的重要性,依照既定标准将其分为不同等级,并为每个等级设定相应的安全防护要求,以确保信息系统的安全与稳定。3. 风险评估涉及对信息系统潜在威胁和风险的全面、系统的识别、评估和分析,目的是发现信息系统中存在的风险,并采取相应的安全措施来减少风险的可能性和影响。进行风险...
网络安全中等保,风险评估,安全测评都是什么意思,有哪些联系
等级保护制度为信息安全提供了全面指导,而风险评估与系统测评则分别从风险识别与控制、安全措施验证两个方面,为等级保护提供了支撑。风险评估在系统定级后,根据不同等级的系统安全需求进行风险分析,而系统测评则通过技术手段,验证安全措施的实际效果。通过这样的结合,等级保护、风险评估与系统测评相互补充,...
什么是信息安全、等级保护以及风险评估
等级保护是根据信息系统的重要程度,按照一定的标准将信息系统分为不同的等级,并给出不同等级的安全防护要求,以保证信息系统的安全性和稳定性。风险评估是指通过对信息系统中可能存在的威胁和风险进行全面、系统的评估和分析,识别出信息系统中存在的风险,然后采取相应的安全措施来降低风险的发生和影响。
