【正文】 等級化安全體系試點交付成果 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 等級化安全體系的設(shè)計成果 —— 安全組織 主管領(lǐng)導(dǎo)（主管安全） 領(lǐng)導(dǎo)小組組長 Xx部門負責人 成員 Xx部門負責人 成員 Xx部門負責人 成員 Xx部門負責人 工作組組長 Xx部門負責人 成員 Xx系統(tǒng)管理員 成員 Xx系統(tǒng)管理員 成員 Xx系統(tǒng)管理員 成員 Xx系統(tǒng)管理員 辦公室負責人 Xx系統(tǒng)管理員 成員 安全管理員 安全技術(shù)員 信息安全辦公室 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 等級化安全體系的設(shè)計成果 —— 安全技術(shù) 防病毒 監(jiān)控 審計 認證 第三方 統(tǒng)一接入 安全域 訪問 控制 訪問 控制 訪問 控制 主機 安全 邊界 隔離 數(shù)據(jù)庫 安全 應(yīng)用 安全 安全域 邊界 隔離 表現(xiàn)：解決方案 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 等級化安全體系的設(shè)計成果 —— 安全運行 項目工程 建設(shè) 安全風險 管理 安全運行 維護 安全體系 建設(shè) 建設(shè)期間 運行維護期間 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 等級化安全體系的設(shè)計成果 —— 安全策略 《 信息安全方針 》 xx管理規(guī)定 工作流程 xx組織人員職責 xx安全技術(shù)規(guī)范 《 信息安全體系 》 xx層面 xx信息安全工作管理辦法 xx組織人員職責 xx層面 工作表單 運行維護計劃 應(yīng)急響應(yīng)計劃 xx層面 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 等級化安全體系的設(shè)計成果 指標庫 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 謝 謝 ！ 。 安全解決方案 根據(jù)現(xiàn)有安全問題和安全規(guī)劃，制定各類詳細的安全解決方案。 安全規(guī)劃 對比安全現(xiàn)狀和目標之間的差距，分析并明確安全重點工作。 ? 系統(tǒng)定級公式： – 系統(tǒng)安全等級 (A)＝ Max{ (系統(tǒng)保密性級別 ) ,(系統(tǒng)完整性級別 ),(系統(tǒng)可用性級別 )} ? 系統(tǒng)保密性級別＝ Max { (各信息或服務(wù)的保密性級別 ) } ? 系統(tǒng)完整性級別＝ Max { (各信息或服務(wù)的完整性級別 ) } ? 系統(tǒng)可用性級別＝ Max { (各信息或服務(wù)的可用性級別 ) } 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 安全規(guī)劃與設(shè)計的過程 各 保 護 對 象 的 安 全 措 施安 全 規(guī) 劃 說 明 書安 全 技 術(shù) 解 決 方 案安 全 管 理 解 決 方 案系 統(tǒng) 分 域 保 護 框 架安 全 措 施 等 級 指 標風 險 評 估 結(jié) 果安 全 措 施 成 本各 保 護 對 象 的 安 全 措 施安 全 措 施 的 成 本風 險 評 估 結(jié) 果安 全 規(guī) 劃 與 方 案 設(shè) 計選 擇 和 調(diào) 整 安 全 措 施輸 入輸 出過 程系 統(tǒng) 分 域 保 護 框 架 建 立電 子 政 務(wù) 系 統(tǒng) 分 域 保 護框 架系 統(tǒng) 和 子 系 統(tǒng) 劃 分 結(jié) 果系 統(tǒng) 和 子 系 統(tǒng) 安 全 等 級國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 安全域劃分原則 ? 功能應(yīng)用相似性原則 ? 安全屬性相似性原則 –資產(chǎn)價值 –安全要求 –安全威脅 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 保護對象分類 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 建立系統(tǒng)分域保護框架的方法 ?充分覆蓋 ?互不重疊 ?無需細分 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 如何構(gòu)建系統(tǒng)分域保護框架 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 選擇和調(diào)整安全措施的過程 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 安全措施調(diào)整因素和調(diào)整方式 序號 調(diào)整因素 調(diào)整方式 1 三性等級中的 1－ 2項低于系統(tǒng)安全等級 降低對應(yīng)控制項的等級 2 出現(xiàn)基本安全要求之外的特定安全要求 增加控制項 3 不存在基本安全要求所要控制的安全風險 刪減控制項 4 風險評估識別出的風險在基本安全要求中 沒有控制項 增加控制項 5 與相應(yīng)基本安全要求提供的安全強度相 比，風險較低 降低控制項的強度等級 6 與對應(yīng)基本安全要求提供的安全強度相 比，風險較高 提高控制項的強度等級 7 相應(yīng)基本安全要求中某些措施成本太高， 無法承受 通過其他措施進行彌補 國家電子政務(wù)信息安全試點培訓(xùn) 濟源 ： ； :； ： 安全規(guī)劃與方案設(shè)計 ? 安全需求分析 – 安全現(xiàn)狀和等級要求之間的差距 ? 安全項目規(guī)劃 – 對安全項目的相關(guān)性、緊迫性、難易程度和預(yù)期效果等因素進行分析，確定實施的先后順序 ? 安全工作規(guī)劃 – 確定安全工作的宗旨、遠期安全工作目標和當年目標、關(guān)鍵和重點的工作，并分析潛在的風險和障礙、所需的資源和預(yù)算 ，進行實施策略選擇，確定當年的安全工作計劃和等級保護項目建設(shè)計劃 ? 安全方案設(shè)計 – 技術(shù)解決方案、管理解決方案