一、信息系统安全保障体系
信息系统安全保障体系是以一个中心三重防护三个体系为指导思想,构建集防护、检测、响应于一体的全面的安全保障体系。
一个中心:安全运营管理中心。
三重防护:计算环境安全、区域边界安全、通信网络安全。
三个体系:形成集安全技术体系、安全管理体系、安全运营体系于一个整体的安全防御体系。
二、等级保护对象的安全保护等级划分
等级保护对象的安全保护等级划分分5级:
第一级(自主保护级):等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级): 等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级):等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级):等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级):等级保护对象受到破坏后,会对国家安全造成特别严重损害。
三:定级对象的基本特征:
1、①具有确定的主要安全责任主体
②承担相对独立的业务应用
③包含相互关联的多个资源
2、定级流程:
确定定级对象→初步确定等级→专家评审→主管部门核准→备案审核
四、系统安全需求分析,集中安全管控需求
①安全管理实现“三员”分离,系统管理员、安全管理员、审计管理员
②统一安全运营和管控的需求
③集中安全策略管理需求
五、方案设计原则:统一性整体性原则;一致性原则;多重保护原则;适应性及灵活性原则;
系统安全防御体系设计以安全合规要求为基础,以实际业务安全需求为主导,构建信息安全等级保护深度防御体系。在建设过程中,遵循统一规划、统一标准、统一管理、适度保护、重点保护、强化管理的原则。
六、安全运营需求:全面掌握信息安全资产需求,日常安全运营需求,正重要时期安全保障需求,专家级安全运营服务支撑需求
七、安全管理风险分析:
系统建设期面临的安全管理风险:新系统的开发,新技术的应用,新的应用模式;系统运营期面临的安全管理风险(组织层面包括安全策略安全制度体系等,系统运营层面资产管理配置管理)。