1分钟教你如何区分“等级保护、风险评估和安全测评”
作者:天磊咨询
发表日期:2021-03-08
来源:天磊咨询
接触安全行业的人,往往会遇到“等级保护”、“风险评估”、“系统安全评估”等这些关键词,这些都是当前国家信息安全建设体系中的热点新闻事件。很多企业的管理都不知道这个网络安全的重要性,但是,肯定有很多小伙伴,并没有那么清楚他们之间的区别和联系。
详细介绍了第一和第三种的基本概念
a、等级保护
基本概念详细介绍:分级保护全称是信息安全分级保护,是指国家各类信息系统的分级安全保护,信息系统中安全产品的分级监管,信息系统中信息安全恶性事件的分级响应和处置。
B、风险评估
基本概念详细介绍:从信息安全的角度来看,风险评估是综合分析信息资产的潜在危害、缺点、影响等恶性事件,区分安全事件发生的概率及其在综合影响下造成的损失,从而组织风险管理措施的过程。
c、系统安全评估
基本概念详细介绍:按照严格的程序对信息系统的安全能力进行全面的测试和评估活动,并由具有丰富检测技术和政府授权资质的正规权威机构进行检测,协助系统运行单位分析本单位当前的安全运行情况,检查存在的安全风险,并提出降低系统安全风险的改进建议。
两者和三者的联系和区别
等级保护:是我国信息安全建设体系中最基本的管理制度之一:风险评估和系统评估:两者都是基于等级保护制度来评估信息和信息系统的安全性,但两种方法的区别是相关的。
在某种程度上,等级保护高于风险评估和系统评估。系统一旦分级分类,无论是风险评估还是系统评估,都可以把它们看作是分级保护系统下的评估和评价;操作时,只需在原有操作程序和方法的基础上增加具体的系统要求即可。
关于软件开发生命周期过程中三种实施方式的建议
人们一般将信息系统建设分为五个生命周期(SDLC)环节:“规划需求环节——设计开发阶段——实施环节——运维阶段——废弃物环节”。所以制度是不断变化的,安全施工工作也会随着制度的变化而相应调整。人们从理论上分析这三种,肯定会适用于SDLC的所有环节。
网络安全等级保护目标评估分级工作的一般流程是:明确等级目标——初步确定等级——专家评审——主管部门评审——公安机关备案评审。
其中,设计在二级以上的数据网络运营商应由机构专家进行评审;如有主管部门在现场,应经评审委员会审核后,报主管部门批准。数据网跨省或全国统一联网运行由领域主管部门统一制定,统一组织评定委员会分级。现场主管部门可以根据国家标准规范和同行业数据网络的特点,制定现场实施网络安全等级保护和分级的意见。
二级以上数据网络经营者应当在数据网络安全保护等级明确后10个工作日内向县级以上公安机关备案。因数据网络撤销或者变更而调整安全防护等级的,应当在10个工作日内向原公安机关办理办理撤销或者变更手续。
根据用户单位的实际情况和等级保护规定,制定相关设备的安全硬件配置策略规定,并有效进行硬件配置;正确处理缺口评估中自身安全策略和版本升级补丁硬件配置不佳的问题,做好等级保护目标的安全保护工作,建立安全保护报告。
等级评定结论分为符合性、基本符合性和不符合性。符合标准为:
(1)评分目标的评价结论是否存在高风险,如果存在,一票否决制。
(2)评分目标的评价结论不存在高风险,评价项目综合得分在75分以上,基本一致。网安部分省市要求85分才能通过考核。
动词(verb的缩写)结论
目前,国家在这三个方面的具体工作要求、技术标准和管理办法尚未完全形成。但只要实施有序,监管有力,无论采用何种安全评估方法或安全防护方法,都可以极大地改善和促进整个国家信息安全体系的发展趋势。
收藏
取消收藏
400-668-6638