三者的基本概念和工作背景
等级保护
基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年×××颁布的《×××计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T387-2002《计算机信息系统安全等级保护网络技术要求》、GA388-2002《计算机信息系统安全等级保护操作系统技术要求》、GA/T389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T390-2002《计算机信息系统安全等级保护通用技术要求》、GA391-2002《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
风险评估
基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、***性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、NISTSP800-26、NISTSP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。×××信息化工作办公室2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,对规范我国信息安全风险评估的做法具有很好的指导意义。目前,国信办正组织在全国北京、上海、黑龙江、云南等省市及税务、银行、电力等行业领域作风险评估试点工作,探讨对上述两个风险评估/风险管理标准草案的理解修订及相关管理问题的研究,预计2005年9月份前完成试点工作,并在试点工作的基础上形成有关开展信息安全风险评估工作的指导意见。
系统安全测评
基本概念:由具备检验技术能力和政府授权资格的机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而大程度地降低系统的安全风险。
工作背景:在我国,中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响的开展有关系统安全测评认证的机构。这里强调一下测评和认证的区别:测评如前述定义,认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。在美国,系统认证的结果通常作为主管部门对新建系统投入运行前的安全审批或已建系统安全动态监管(即系统认可)的依据。根据美国FISMA6及NISTSP800-37的规定,系统认证是「对信息系统的技术类、管理类和运行类安全控制所进行的综合评估」,认可则是「由管理层作出的决策,用来授权一个信息系统投入运行」。我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。特别是国家认监委成立后,强调了信息安全要「一个统一认证出口」的要求。国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》4(简称57号文)中已明确规定了对信息安全产品进行「统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准」的「四统一」的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。典型例子如上海市信息安全测评认证中心,在相关职能部门授权下,已完成了对上海市100余家重要信息系统、涉密信息系统、区县以上综合医院的信息系统的安全测评工作,并为市信息委、市×××、市卫生局等信息化主管部门或行业主管部门提供了重要的技术决策依据。
信息安全等级保护备案上海同城申办
更新:2024-05-17 09:30 发布者IP:210.22.98.29 浏览:1次- 发布企业
- 上海道商企业服务中心商铺
- 认证
- 资质核验:已通过营业执照认证入驻顺企:第6年主体名称:宏展财务咨询有限公司组织机构代码:91310115MA1H7G5Q0W
- 报价
- 请来电询价
- 关键词
- 信息安全等级保护备案
- 所在地
- 浦东新区金沪路99弄3号
- 联系电话
- 15021594806
- 手机
- 15021594806
- 联系人
- 卢小姐 请说明来自顺企网,优惠更多
- 让卖家联系我
- 15021594806
产品详细介绍
成立日期 | 2016年02月22日 | ||
法定代表人 | 卢玉丽 | ||
注册资本 | 5000 | ||
主营产品 | 公司注册 公司注销 增值电信业务许可证办理 药品信息服务资格证办理 营业性演出许可证办理 | ||
经营范围 | 财务咨询,企业管理咨询、商务信息咨询(以上咨询除经纪),知识产权代理,企业形象策划,市场营销策划,文化艺术交流与策划,品牌管理,市场信息咨询与调查(不得从事社会调查、社会调研、民意调查、民意测验),展览展示服务。【依法须经批准的项目,经相关部门批准后方可开展经营活动】 | ||
公司简介 | 上海道商企业服务中心,是经【工商行政管理局】核准、具有代企业登记资格的“企业服务机构”,致力于工商登记注册,财税代理、增值电信许可证办理等业务。与各经济园区、工商税务始终保持良好的协作关系,为大家提供便利、专业的服务,优惠的政策。▶公司坐落于浦东繁华商业区,地铁交通便利,其下更拥有多名企业注册顾问;▶如果在创业初期遇到工商注册,税务代理,增值许可证办理等相关事宜不甚了解,道商会为您提供免费咨询服务 ... |
公司新闻
- 办理营业性演出许可证所需的资料 上海花牛文化娱乐活动已成为人们生活中不k或缺的一部分其中营业性演出作为一种重要的文化娱乐... 2024-05-16
- 上海公司税务企业所得税申报流程企业所得税在进行缴纳之前需要先申报,任何一个企业都应当按照相关规定严格执行纳税申... 2024-05-16
- 小微企业所得税税率 上海会计财务不管一个企业是大是小都是需要向国家交税的,小微企业有盈利的话也是需要去交税,但在... 2024-05-16
- 小规模企业所得税报税要求 上海帮办小规模纳税人的公司税务要比一般纳税人的公司税务简单。但也要及时进行申报缴税,并且... 2024-05-16
- 上海公司申办企业变更经营范围 速办企业经过运营策略的不断调整,需要对经营范围进行改变。企业变更营业执照经营范围是一... 2024-05-16