等級保護保護交流

1、等級保護與安全規(guī)劃探討等級保護與安全規(guī)劃探討我們怎么看待等級保護？我們怎么看待等級保護？我們怎么開展等級保護？我們怎么開展等級保護？我們采用什么樣的技術(shù)方法？我們采用什么樣的技術(shù)方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個問題今天探討的幾個問題等級保護的定義等級保護的定義 信息安全等級保護是指根據(jù)信息系統(tǒng)在國家安全、社信息安全等級保護是指根據(jù)信息系統(tǒng)在國家安全、社會穩(wěn)定、經(jīng)濟秩序和公共利益等方面的重要程度以及會穩(wěn)定、經(jīng)濟秩序和公共利益等方面的重要程度以及風(fēng)險威脅、安全需求、安全成本等因素，將其劃分不風(fēng)險威脅、安全需求、安全成本等因素，將其劃分不同的安全保護等級并采取相應(yīng)

2、等級的安全保護技術(shù)、同的安全保護等級并采取相應(yīng)等級的安全保護技術(shù)、管理措施，以保障信息系統(tǒng)安全和信息安全。管理措施，以保障信息系統(tǒng)安全和信息安全。 實行等級保護的目的實行等級保護的目的v 有利于突出重點有利于突出重點，重點解決信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)的，重點解決信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)的信息安全薄弱的問題信息安全薄弱的問題v 國內(nèi)信息化發(fā)展的地區(qū)、行業(yè)不均衡的特點，國內(nèi)信息化發(fā)展的地區(qū)、行業(yè)不均衡的特點，信息安全的等信息安全的等級是客觀存在的級是客觀存在的，需要滿足不同行業(yè)、不同發(fā)展階段、不同，需要滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求層次的要求v 有利于控制安全的成本有利于控制安全的

3、成本等級保護是一項國家政策等級保護是一項國家政策 等級保護是今后一段時間內(nèi)國家信息安全的基等級保護是今后一段時間內(nèi)國家信息安全的基本制度（本制度（27號文、號文、66號文明確）號文明確） 在信息安全領(lǐng)域，等級保護在未來兩、三年內(nèi)在信息安全領(lǐng)域，等級保護在未來兩、三年內(nèi)將作為信息安全工作的根本方法將作為信息安全工作的根本方法 信息安全的工作思路、解決方案、工作規(guī)劃、產(chǎn)品信息安全的工作思路、解決方案、工作規(guī)劃、產(chǎn)品采購、安全集成都將依據(jù)等級保護進行采購、安全集成都將依據(jù)等級保護進行 今年要求完成定級工作，明年開始實施和測評今年要求完成定級工作，明年開始實施和測評等級保護的實現(xiàn)原理等級保護的實現(xiàn)原理

4、20032003年年9 9月月中辦國辦頒發(fā)中辦國辦頒發(fā)關(guān)于加強信息安全保關(guān)于加強信息安全保障工作的意見障工作的意見（中辦發(fā)（中辦發(fā)200327200327號）號）20042004年年1111月月四部委會簽四部委會簽關(guān)于信息安全等級保關(guān)于信息安全等級保護工作的實施意見護工作的實施意見（公通字（公通字200466200466號）號）20052005年年9 9月月國信辦文件國信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息電子政務(wù)信息系統(tǒng)信息安全等級保護實施系統(tǒng)信息安全等級保護實施指南指南的通知的通知 （國信辦（國信辦200425200425號）號）20052005年年 公安部標(biāo)準公安部標(biāo)準等級保護安全要求等

5、級保護安全要求等級保護定級指南等級保護定級指南等級保護實施指南等級保護實施指南等級保護測評準則等級保護測評準則總結(jié)成一種安全工總結(jié)成一種安全工作的方法和原則作的方法和原則最先作為最先作為“適度適度安全安全”的工作思的工作思路提出路提出確認為國家信息安確認為國家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等級保護的基形成等級保護的基本理論框架，制定本理論框架，制定了方法，過程和標(biāo)了方法，過程和標(biāo)準準19941994年年國務(wù)院頒布國務(wù)院頒布中華人民中華人民共和國計算機信息系統(tǒng)共和國計算機信息系統(tǒng)安全保護條例安全保護條例20062006年年 四部委會簽四部委會簽公通字公

6、通字2006720067號文件號文件（關(guān)于印發(fā)（關(guān)于印發(fā)信息安全信息安全等級保護管理辦法（試等級保護管理辦法（試行）行）的通知）的通知） 等級保護政策文件演進等級保護政策文件演進2007年年7月月16日日 四部門會簽四部門會簽公信安公信安2007861號文件：四部號文件：四部門下發(fā)門下發(fā)關(guān)于開展全國重要信關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作息系統(tǒng)安全等級保護定級工作的通知的通知正式規(guī)定了等級保護正式規(guī)定了等級保護各方面的管理辦法各方面的管理辦法為等級保護開展提供了為等級保護開展提供了基礎(chǔ)數(shù)據(jù)參考基礎(chǔ)數(shù)據(jù)參考布置了等級保護的實質(zhì)性布置了等級保護的實質(zhì)性工作的第一階段工作的第一階段2007

7、2007年年 四部委會簽四部委會簽公通字公通字200743200743號文號文件件信息安全等級保信息安全等級保護管理辦法護管理辦法 替代公通字替代公通字2006720067號文件，號文件，明確了等級保護的具體操明確了等級保護的具體操作辦法和各部委的職責(zé)，作辦法和各部委的職責(zé)，以及推進等級保護的具體以及推進等級保護的具體事宜事宜20062006年年 公安部、國信辦公安部、國信辦下發(fā)了下發(fā)了關(guān)于開展信息系關(guān)于開展信息系統(tǒng)安全等級保護基礎(chǔ)調(diào)查統(tǒng)安全等級保護基礎(chǔ)調(diào)查工作的通知工作的通知從從20062006年年1 1月月1010日到日到4 4月月1010日，分三個階段對國家重日，分三個階段對國家重要的基

8、礎(chǔ)信息系統(tǒng)進行摸要的基礎(chǔ)信息系統(tǒng)進行摸底，包括黨政機關(guān)、財政、底，包括黨政機關(guān)、財政、海關(guān)、能源、金融、社會海關(guān)、能源、金融、社會保障等行業(yè)（保障等行業(yè)（2+2X2+2X）2007年年7月至月至10月在全國范圍內(nèi)月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等組織開展重要信息系統(tǒng)安全等級保護定級工作級保護定級工作 ，其中包括公，其中包括公用通信網(wǎng)、廣播電視傳輸網(wǎng)等用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)基礎(chǔ)信息網(wǎng)絡(luò) 以及鐵路、銀行、以及鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、人事勞動和券、保險、外交、人事勞動和社會保障、財政、等行業(yè)社會保障、財政、等行業(yè)（2+2X

9、） 等級保護政策文件演進等級保護政策文件演進等級保護實施的通常流程等級保護實施的通常流程7. 7. 安全體系運營和維護安全體系運營和維護6.6.測評后整改測評后整改1.1.系統(tǒng)定級系統(tǒng)定級3.3.安全體系與規(guī)劃安全體系與規(guī)劃2.2.等級化風(fēng)險評估等級化風(fēng)險評估4.4.本年安全建設(shè)本年安全建設(shè)系列安全項目實施系列安全項目實施內(nèi)部安全管理建設(shè)內(nèi)部安全管理建設(shè)5.5.年度系統(tǒng)測評年度系統(tǒng)測評6.6.測評后整改測評后整改4.4.下一年安全建設(shè)下一年安全建設(shè)系列安全項目實施系列安全項目實施內(nèi)部安全管理建設(shè)內(nèi)部安全管理建設(shè)5.5.年度系統(tǒng)測評年度系統(tǒng)測評大型客戶大型客戶7. 7. 安全系統(tǒng)運營和維護安全系

10、統(tǒng)運營和維護1.1.系統(tǒng)定級系統(tǒng)定級4.4.整改方案與計劃整改方案與計劃3.3.年度測評年度測評/ /評估評估5.5.本年安全項目建設(shè)本年安全項目建設(shè)6.6.整改后復(fù)核整改后復(fù)核中小型客戶中小型客戶2.2.系統(tǒng)測評準備系統(tǒng)測評準備4.4.整改方案與計劃整改方案與計劃3.3.下一年度系統(tǒng)測評下一年度系統(tǒng)測評5.5.本年安全項目建設(shè)本年安全項目建設(shè)6.6.整改后復(fù)核整改后復(fù)核2.2.系統(tǒng)測評準備系統(tǒng)測評準備我們怎么看待等級保護？我們怎么看待等級保護？首先，我們必須要滿足等級保護制度首先，我們必須要滿足等級保護制度等級保護是國家信息方面的基本制度，屬于法律等級保護是國家信息方面的基本制度，屬于法律符

11、合性要求，進出口銀行屬于國家重點信息系統(tǒng)，符合性要求，進出口銀行屬于國家重點信息系統(tǒng)，需要滿足此制度；需要滿足此制度；那我們有幾種選擇呢？那我們有幾種選擇呢？1. 某種程度上來應(yīng)付，盡量小的代價，只要滿足公某種程度上來應(yīng)付，盡量小的代價，只要滿足公安的要求就好安的要求就好2. 認真執(zhí)行，以此為契機來推動信息安全工作認真執(zhí)行，以此為契機來推動信息安全工作3. 是個很重要的國家新政策，做好它，在行業(yè)內(nèi)領(lǐng)是個很重要的國家新政策，做好它，在行業(yè)內(nèi)領(lǐng)先，可以成為政績先，可以成為政績等級保護的益處等級保護的益處 政策要求，可以促進開展信息安全工作，提起領(lǐng)導(dǎo)和政策要求，可以促進開展信息安全工作，提起領(lǐng)導(dǎo)和各

12、部門的重視，統(tǒng)一思想各部門的重視，統(tǒng)一思想 國家給出信息安全工作的政策方向和技術(shù)指導(dǎo)，我們國家給出信息安全工作的政策方向和技術(shù)指導(dǎo)，我們可以規(guī)避風(fēng)險可以規(guī)避風(fēng)險 依據(jù)國家要求，申請項目和經(jīng)費較為容易依據(jù)國家要求，申請項目和經(jīng)費較為容易 等級保護還是一套比較先進的方法，做好了對實際工等級保護還是一套比較先進的方法，做好了對實際工作還是有較大幫助作還是有較大幫助 正確定級并遵照標(biāo)準執(zhí)行，可以規(guī)避部分信息安全責(zé)正確定級并遵照標(biāo)準執(zhí)行，可以規(guī)避部分信息安全責(zé)任任等級保護的風(fēng)險等級保護的風(fēng)險 要應(yīng)付公安的檢查和測評，額外增加工作量要應(yīng)付公安的檢查和測評，額外增加工作量 如果只是成為一場運動，就會勞民傷財

13、，投資浪費如果只是成為一場運動，就會勞民傷財，投資浪費 標(biāo)準的制定和執(zhí)行都會有些僵化，如果不能很好地處標(biāo)準的制定和執(zhí)行都會有些僵化，如果不能很好地處理，會帶來很多困擾理，會帶來很多困擾 如定級過高，過度投資如定級過高，過度投資 額外引進一套體系而難以融合額外引進一套體系而難以融合 和實際情況有差距，和實際情況有差距，“削足適履削足適履”等等 屬地化管理，因為省里技術(shù)和認識的限制，可能會走屬地化管理，因為省里技術(shù)和認識的限制，可能會走樣，個別省分行會承受很多壓力，需要總行來處理樣，個別省分行會承受很多壓力，需要總行來處理對待等級保護的建議對待等級保護的建議積極來對待等級保護，以此為契機來推動信息

14、安全工作，作為積極來對待等級保護，以此為契機來推動信息安全工作，作為“”，化被動為主動，化被動為主動 國家非常重視，會長期實施，每年檢查，要應(yīng)付也不是很容易國家非常重視，會長期實施，每年檢查，要應(yīng)付也不是很容易：較好地現(xiàn)實情況結(jié)合，真正發(fā)揮作用：較好地現(xiàn)實情況結(jié)合，真正發(fā)揮作用 有效整合和利用現(xiàn)有安全設(shè)施有效整合和利用現(xiàn)有安全設(shè)施 融合其他符合性要求（內(nèi)控，融合其他符合性要求（內(nèi)控，2700127001等），形成一套體系等），形成一套體系 反映行業(yè)與業(yè)務(wù)特性，反映安全要求的差異性，并滿足超過指標(biāo)的反映行業(yè)與業(yè)務(wù)特性，反映安全要求的差異性，并滿足超過指標(biāo)的高要求高要求 避免成為走過場，來建立長效

15、機制，做到可持續(xù)運行、發(fā)展和完善避免成為走過場，來建立長效機制，做到可持續(xù)運行、發(fā)展和完善： 獲得領(lǐng)導(dǎo)的重視和支持，統(tǒng)一各部門的認識獲得領(lǐng)導(dǎo)的重視和支持，統(tǒng)一各部門的認識 熟悉國家管理部門和測評機構(gòu)的規(guī)則熟悉國家管理部門和測評機構(gòu)的規(guī)則 選擇一個好的合作伙伴選擇一個好的合作伙伴我們怎么看待等級保護？我們怎么看待等級保護？我們怎么開展等級保護？我們怎么開展等級保護？我們采用什么樣的技術(shù)方法？我們采用什么樣的技術(shù)方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個問題今天探討的幾個問題標(biāo)準中的等級保護生命周期標(biāo)準中的等級保護生命周期信息系統(tǒng)等級保護實施生命周期內(nèi)的主要活動規(guī)劃設(shè)計階

16、段安全實施/實現(xiàn)階段安全運行管理階段等級化風(fēng)險評估安全總體設(shè)計安全建設(shè)規(guī)劃安全方案設(shè)計 安全產(chǎn)品采購安全控制集成測試與驗收管理機構(gòu)的設(shè)置管理制度的建設(shè)人員配置和崗位培訓(xùn)安全建設(shè)過程的管理操作管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處置和應(yīng)急預(yù)案安全評估和持續(xù)改進監(jiān)督檢查定級階段系統(tǒng)調(diào)查和描述子系統(tǒng)劃分/分解子系統(tǒng)邊界確定安全等級確定定級結(jié)果文檔化大型系統(tǒng)等級保護實施流程大型系統(tǒng)等級保護實施流程7. 7. 安全體系運營和維護安全體系運營和維護6.6.測評后整改測評后整改1.1.系統(tǒng)定級系統(tǒng)定級3.3.安全體系與規(guī)劃安全體系與規(guī)劃2.2.等級化風(fēng)險評估等級化風(fēng)險評估4.4.本年安全建設(shè)本年安全

17、建設(shè)系列安全項目實施系列安全項目實施內(nèi)部安全管理建設(shè)內(nèi)部安全管理建設(shè)5.5.年度系統(tǒng)測評年度系統(tǒng)測評6.6.測評后整改測評后整改4.4.下一年安全建設(shè)下一年安全建設(shè)系列安全項目實施系列安全項目實施內(nèi)部安全管理建設(shè)內(nèi)部安全管理建設(shè)5.5.年度系統(tǒng)測評年度系統(tǒng)測評開展信息安全工作的總體邏輯開展信息安全工作的總體邏輯我們的方向是什么？我們的目標(biāo)是什么，做成什么樣？我們現(xiàn)在的起點在哪里？我們怎么做？做得效果如何，還有什么問題？我們開始做了1.1.信息安全的使命和目標(biāo)信息安全的使命和目標(biāo)3.3.安全現(xiàn)狀安全現(xiàn)狀2.2.安全體系框架與指標(biāo)安全體系框架與指標(biāo)4.4.信息安全規(guī)劃信息安全規(guī)劃5.5.管理體系推

18、管理體系推廣與實施廣與實施7.7.體系運營和持續(xù)改進體系運營和持續(xù)改進6.6.技術(shù)體系實技術(shù)體系實施與工程建設(shè)施與工程建設(shè)8.8.定期評估、檢查、審計和定期評估、檢查、審計和持續(xù)改進持續(xù)改進安全規(guī)劃的方法安全規(guī)劃的方法每年一次每年一次滾動規(guī)劃滾動規(guī)劃三年一次三年一次完整規(guī)劃完整規(guī)劃1.1.信息安全的宗旨和目標(biāo)信息安全的宗旨和目標(biāo)3.3.信息安全現(xiàn)狀信息安全現(xiàn)狀2.2.信息安全體系框架信息安全體系框架4.4.信息安全規(guī)劃信息安全規(guī)劃5.5.管理體系推廣管理體系推廣與實施與實施7.7.體系運營和維護體系運營和維護6.6.技術(shù)體系實施技術(shù)體系實施與工程建設(shè)與工程建設(shè)8.8.定期評估、檢查、審計定期評

19、估、檢查、審計和持續(xù)改進和持續(xù)改進安全體系設(shè)計安全體系設(shè)計與規(guī)劃項目與規(guī)劃項目體系設(shè)計體系設(shè)計安全規(guī)劃安全規(guī)劃策略設(shè)計策略設(shè)計04.11-05.304.11-05.3安全工作進程中關(guān)鍵里程碑安全工作進程中關(guān)鍵里程碑時間時間網(wǎng)絡(luò)全面深度網(wǎng)絡(luò)全面深度評估項目評估項目評估安全風(fēng)險評估安全風(fēng)險三年安全規(guī)劃三年安全規(guī)劃04.6-804.6-804.304.3成立安全領(lǐng)導(dǎo)小成立安全領(lǐng)導(dǎo)小組，確定了安全組，確定了安全工作是工作是0404年重點，年重點，決定啟動評估項決定啟動評估項目目04.804.8召開公司信息安召開公司信息安全領(lǐng)導(dǎo)小組會議，全領(lǐng)導(dǎo)小組會議，匯報評估結(jié)果，匯報評估結(jié)果，引起領(lǐng)導(dǎo)高度重引起領(lǐng)導(dǎo)

20、高度重視，認為公司安視，認為公司安全問題非常嚴重，全問題非常嚴重，應(yīng)該作為重點工應(yīng)該作為重點工作大力來抓。確作大力來抓。確定把建設(shè)安全體定把建設(shè)安全體系作為核心任務(wù)系作為核心任務(wù)召開了召開了“公司信公司信息安全工作組第息安全工作組第一次會議一次會議” ” ，建立信息安全組建立信息安全組織，成立安全工織，成立安全工作組和辦公室，作組和辦公室，會議通過了會議通過了信信息安全組織體系息安全組織體系和職責(zé)和職責(zé)，05.105.105.405.4召開工作組二召開工作組二次會議，批準次會議，批準了了安全體系安全體系和和安全策略安全策略系列文件系列文件，并下發(fā)并下發(fā)確定信息安全確定信息安全主管部門主管部門0

21、4.104.1安全規(guī)劃與等級安全規(guī)劃與等級保護項目保護項目新的三年規(guī)劃新的三年規(guī)劃等級保護認證等級保護認證06.9-07.206.9-07.2開始系統(tǒng)的建設(shè)：開始系統(tǒng)的建設(shè)：安全域劃分和網(wǎng)安全域劃分和網(wǎng)絡(luò)安全改造絡(luò)安全改造定期安全評估定期安全評估全員安全培訓(xùn)全員安全培訓(xùn)安全體系試點推安全體系試點推廣廣安全監(jiān)控與審計安全監(jiān)控與審計統(tǒng)一身份認證統(tǒng)一身份認證防病毒防病毒安全加固安全加固安全管理系統(tǒng)軟安全管理系統(tǒng)軟件件05-0605-06年年0404年年0707年年會議會議項目項目信息安全戰(zhàn)略使命設(shè)計信息安全戰(zhàn)略使命設(shè)計保障業(yè)務(wù)安全和穩(wěn)定的運行，保證業(yè)務(wù)連續(xù)性，保護公司的商業(yè)機密保障業(yè)務(wù)安全和穩(wěn)定的運

22、行，保證業(yè)務(wù)連續(xù)性，保護公司的商業(yè)機密和技術(shù)機密，為公司日常運轉(zhuǎn)提供良好基礎(chǔ)，支持和促進公司業(yè)務(wù)目和技術(shù)機密，為公司日常運轉(zhuǎn)提供良好基礎(chǔ)，支持和促進公司業(yè)務(wù)目標(biāo)的實現(xiàn)；標(biāo)的實現(xiàn)；保護用戶隱私，保護用戶資料的機密性，維護用戶的利益；保護用戶隱私，保護用戶資料的機密性，維護用戶的利益；達到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，成為廣大用戶對公司達到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，成為廣大用戶對公司信賴的基礎(chǔ)，提高公司的安全形象，確?？蛻舻男判?；信賴的基礎(chǔ)，提高公司的安全形象，確?？蛻舻男判?；為社會和用戶提供安全和持續(xù)的業(yè)務(wù)服務(wù)，維護國家安全，社會穩(wěn)定為社會和用戶提供安全和持續(xù)的業(yè)務(wù)服務(wù)，維護

23、國家安全，社會穩(wěn)定和經(jīng)濟秩序，維護公眾利益。和經(jīng)濟秩序，維護公眾利益。規(guī)范業(yè)務(wù)秩序規(guī)范業(yè)務(wù)秩序保護競爭優(yōu)勢保護競爭優(yōu)勢維護企業(yè)聲譽維護企業(yè)聲譽依從法律法規(guī)依從法律法規(guī)信息安全信息安全戰(zhàn)略使命戰(zhàn)略使命信息安全工作的目標(biāo)設(shè)計舉例信息安全工作的目標(biāo)設(shè)計舉例 長期安全目標(biāo)：長期安全目標(biāo)： 建成國際一流、國內(nèi)領(lǐng)先的信息安全保障體系，達建成國際一流、國內(nèi)領(lǐng)先的信息安全保障體系，達到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，同步到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，同步或領(lǐng)先的公司信息化水平，保障和促進公司業(yè)務(wù)發(fā)或領(lǐng)先的公司信息化水平，保障和促進公司業(yè)務(wù)發(fā)展和業(yè)務(wù)目標(biāo)的實現(xiàn)展和業(yè)務(wù)目標(biāo)的實現(xiàn) 20042006

24、年的安全目標(biāo)：年的安全目標(biāo)： 短期目標(biāo)：解決目前急迫和關(guān)鍵的問題，爭取在短短期目標(biāo)：解決目前急迫和關(guān)鍵的問題，爭取在短期內(nèi)安全狀況有大幅度提高。期內(nèi)安全狀況有大幅度提高。 三年目標(biāo)：搭建安全體系框架，初步建成信息安全三年目標(biāo)：搭建安全體系框架，初步建成信息安全體系體系信息安全工作的目標(biāo)設(shè)計舉例信息安全工作的目標(biāo)設(shè)計舉例20072009的目標(biāo)：在全公司范圍內(nèi)逐步建設(shè)、的目標(biāo)：在全公司范圍內(nèi)逐步建設(shè)、推廣和完善信息安全體系，滿足奧運會，推廣和完善信息安全體系，滿足奧運會，SOX及及等級保護的要求，達到國內(nèi)領(lǐng)先的水平。等級保護的要求，達到國內(nèi)領(lǐng)先的水平。逐步完善現(xiàn)有的公司信息安全保障體系，并在全公司

25、逐步完善現(xiàn)有的公司信息安全保障體系，并在全公司范圍內(nèi)進行推廣和實施，符合國家等級保護和范圍內(nèi)進行推廣和實施，符合國家等級保護和SOX的的要求。要求。根據(jù)根據(jù)2008北京奧運的安全要求，進行有針對性和高強北京奧運的安全要求，進行有針對性和高強度的安全建設(shè)和保障工作，確保奧運期間萬無一失。度的安全建設(shè)和保障工作，確保奧運期間萬無一失。逐步、分階段、分部門的建立安全技術(shù)基礎(chǔ)平臺，基逐步、分階段、分部門的建立安全技術(shù)基礎(chǔ)平臺，基本完成公司信息安全本完成公司信息安全技術(shù)技術(shù)體系的建設(shè)體系的建設(shè)，并，并持續(xù)改進和持續(xù)改進和完善。完善。我們怎么看待等級保護？我們怎么看待等級保護？我們怎么開展等級保護？我們怎

26、么開展等級保護？我們采用什么樣的技術(shù)方法？我們采用什么樣的技術(shù)方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個問題今天探討的幾個問題等級保護基本需求等級保護基本需求政策要求符合等級保護的要求政策要求符合等級保護的要求系統(tǒng)定級并備案系統(tǒng)定級并備案系統(tǒng)達到系統(tǒng)達到基本要求基本要求相應(yīng)級別的指標(biāo)相應(yīng)級別的指標(biāo)符合符合測評準則測評準則要求，并通過測評要求，并通過測評實際需求滿足實際要求實際需求滿足實際要求融合現(xiàn)有的安全體系或安全設(shè)施融合現(xiàn)有的安全體系或安全設(shè)施同時滿足客戶的其他符合性要求，如同時滿足客戶的其他符合性要求，如SOXSOX，國際標(biāo)準，行業(yè)，國際標(biāo)準，行業(yè)標(biāo)準等標(biāo)準等適應(yīng)

27、業(yè)務(wù)特性與安全要求的差異性，并滿足超過指標(biāo)的高適應(yīng)業(yè)務(wù)特性與安全要求的差異性，并滿足超過指標(biāo)的高要求要求需要整體考慮所有系統(tǒng)，統(tǒng)一進行安全建設(shè)和管理需要整體考慮所有系統(tǒng)，統(tǒng)一進行安全建設(shè)和管理需要建立長效機制，可持續(xù)運行、發(fā)展和完善需要建立長效機制，可持續(xù)運行、發(fā)展和完善等級保護需求分析等級保護需求分析融合現(xiàn)有安全設(shè)施基礎(chǔ)上，融合融合現(xiàn)有安全設(shè)施基礎(chǔ)上，融合客戶的其他客戶的其他符合性要求，從整體出發(fā)，統(tǒng)一符合性要求，從整體出發(fā)，統(tǒng)一建設(shè)建設(shè)/ /改造一改造一套符合等級保護制度的安全體系套符合等級保護制度的安全體系 采用安全域框架設(shè)計和風(fēng)險評估的方法，反映行采用安全域框架設(shè)計和風(fēng)險評估的方法，反

28、映行業(yè)形象與業(yè)務(wù)特性，反映安全要求的差異性，并業(yè)形象與業(yè)務(wù)特性，反映安全要求的差異性，并滿足超過指標(biāo)的高要求滿足超過指標(biāo)的高要求 采用統(tǒng)一安全平臺建設(shè)基礎(chǔ)上各系統(tǒng)單獨保護的采用統(tǒng)一安全平臺建設(shè)基礎(chǔ)上各系統(tǒng)單獨保護的方法，解決各系統(tǒng)單獨保護形成信息的孤島和分方法，解決各系統(tǒng)單獨保護形成信息的孤島和分散重復(fù)建設(shè)散重復(fù)建設(shè) 采用建立一套安全運維體系的方法，來建立長效采用建立一套安全運維體系的方法，來建立長效機制，做到可持續(xù)運行、發(fā)展和完善機制，做到可持續(xù)運行、發(fā)展和完善整體整體安全目標(biāo)安全目標(biāo)分等級的分等級的保護對象框架保護對象框架體系建設(shè)體系建設(shè)和運行和運行組織體系組織體系技術(shù)體系技術(shù)體系運作體系

29、運作體系策略體系策略體系安全要求與對策框架安全要求與對策框架客戶的信息資產(chǎn)客戶的信息資產(chǎn)定級定級分解分解國家規(guī)定國家規(guī)定的各等級的各等級安全要求安全要求定制定制分等級的分等級的安全目標(biāo)安全目標(biāo)等級保護體系等級保護體系總體設(shè)計方法總體設(shè)計方法TopSecTopSec等級保護體系等級保護體系安全域框架設(shè)計方法銀行業(yè)安全域框架設(shè)計方法銀行業(yè)安全域框架石油行業(yè)安全域框架石油行業(yè)安全域框架安全域框架- -政府行業(yè)政府行業(yè)中央節(jié)點中央節(jié)點直屬節(jié)點直屬節(jié)點政務(wù)外網(wǎng)政務(wù)外網(wǎng)政務(wù)專網(wǎng)政務(wù)專網(wǎng)政務(wù)內(nèi)網(wǎng)政務(wù)內(nèi)網(wǎng)安全域框架電信行業(yè)安全域框架電信行業(yè)項目建設(shè)項目建設(shè)安全管理安全管理安全風(fēng)險安全風(fēng)險管理管理安全運行安全運

30、行維護維護安全體系安全體系的建設(shè)的建設(shè)制定企業(yè)或制定企業(yè)或部門級體系部門級體系制定總體制定總體安全體系安全體系按要求開展工作按要求開展工作安全目標(biāo)安全目標(biāo)安全要求安全要求提出安全提出安全規(guī)范、要求規(guī)范、要求根據(jù)要求根據(jù)要求評估建設(shè)評估建設(shè)跟蹤、定期審核跟蹤、定期審核安全建設(shè)工作安全建設(shè)工作按要求進行按要求進行安全建設(shè)工作安全建設(shè)工作申請立項申請立項提供項目安全說明提供項目安全說明弱點評估弱點評估系統(tǒng)加固系統(tǒng)加固安全事件處理安全事件處理按要求進行按要求進行建設(shè)建設(shè)應(yīng)急響應(yīng)計劃應(yīng)急響應(yīng)計劃定期評估定期評估安全現(xiàn)狀安全現(xiàn)狀監(jiān)控、審計監(jiān)控、審計安全現(xiàn)狀安全現(xiàn)狀安全預(yù)警安全預(yù)警提出規(guī)范、要求提出規(guī)范、要求設(shè)備安全維護設(shè)備安全維護系統(tǒng)安全維護系統(tǒng)安全維護考核和檢查考核和檢查落實規(guī)范、要求落實規(guī)范、要求制定運維作業(yè)計劃制定運維作業(yè)計劃總部層面總部層面省