文档介绍：天融信等级保护培训
29 July 2018
培训对象
公司销售人员(总部、分支机构)
等保客户分类
超大型用户(北京移动)
行业用户
中小型用户
培训内容定位:中小型用户的等级保护建设
其他:给出一般性建议
议题
什么是等级保护?
谁是等级保护的目标客户?
谁主管等级保护事宜?
等级保护项目我们能做什么?
等级保护相关标准、政策
天融信等级保护实力
销售工作步骤
等级保护的含义
官方说法:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
一句话:系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能过渡保护。
要点:平衡安全与成本
实行等级保护的目的
遵循客观规律,信息安全的等级是客观存在的
有利于突出重点,加强安全建设和管理
有利于控制安全的成本
用户进行等保建设的动机?
国家标准
政绩工程
保障业务
申请项目
对我们的益处?
等保建设扩大了需求
深入挖掘用户需求
提升公司专业形象
等级保护的实现原理
重点关注2、3级
信息系统安全保护等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
各级别的概念
四级强制保护,比如中央核心系统,重要行业核心业务系统,建设内容很多,每年都要检查,容易形成长期销售机会,但是该级别信息系统数量很少,技术门槛很高,应谨慎跟踪(最好分期建设,先作容易的,后做难的)
三级监督保护,比如省级信息系统,核心业务系统等大都是此级别,此类项目需要备案,测评,并且每年检查一次,建设内容包括产品集成、安全服务,容易形成长期销售机会,应重点跟踪!重点是集成
二级指导保护,比如市级信息系统,非核心业务系统都是此级别,此类系统需要备案,测评,等保建设以产品为主,有少量的安全服务。重点是产品
一级自主建设,基本没多少内容,可能会有少量的产品
常见的二级系统举例(仅做参考)
地市政府办公自动化系统(内部使用的)
地市政府政务公开网站(外部信息发布)
地市政府间协同办公系统
企业电子商务网站
银行网站
特点:与核心业务无关