文档介绍:等级保护安全培训 2014 年6月议题?什么是等级保护? ?谁是等级保护的目标客户? ?谁主管等级保护事宜? ?等级保护项目我们能做什么? ?等级保护相关标准、政策等级保护的含义?官方说法:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。?一句话:系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能过渡保护。?要点:平衡安全与成本?实行等级保护的目的?遵循客观规律,信息安全的等级是客观存在的?有利于突出重点,加强安全建设和管理?有利于控制安全的成本用户进行等保建设的动机? 国家标准政绩工程保障业务申请项目对我们的益处? 等保建设扩大了需求深入挖掘用户需求提升单位专业形象等级保护的实现原理重点关注 2、3级信息系统安全保护等级划分?第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; ?第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; ?第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; ?第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; ?第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。各级别的概念四级强制保护,比如中央核心系统,重要行业核心业务系统, 建设内容很多,每年都要检查,容易形成长期销售机会,但是该级别信息系统数量很少,技术门槛很高,应谨慎跟踪(最好分期建设,先作容易的,后做难的) 三级监督保护,比如省级信息系统,核心业务系统等大都是此级别,此类项目需要备案,测评,并且每年检查一次,建设内容包括产品集成、安全服务,容易形成长期销售机会, 应重点跟踪!重点是集成二级指导保护,比如市级信息系统,非核心业务系统都是此级别,此类系统需要备案,测评,等保建设以产品为主,有少量的安全服务。重点是产品一级自主建设,基本没多少内容,可能会有少量的产品常见的二级系统举例(仅做参考) 地市政府办公自动化系统(内部使用的) 地市政府政务公开网站(外部信息发布) 地市政府间协同办公系统企业电子商务网站银行网站特点:与核心业务无关常见的三级系统举例(仅做参考) 省政府办公自动化系统(内部使用的) 省政府政务公开系统(交互式) 省政府公文交换系统企业 ERP 系统银行生产网特点:与业务密切相关的