等级保护与风险评估的关系
基本判断:风险评估是等级保护(不同等级不同安全需求)的出发点。风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产CIA特性的高低,但风险评估中的风险等级加入了对现有安全控制措施的确认因素,也就是说,等级保护中别的信息系统不一定就有别的安全风险。
风险评估是安全建设的出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,以成本-效益平衡的原则,通过对用户关心的重要资产(如信息、硬件、软件、文档、代码、服务、设备、企业形象等)的分级、安全威胁(如人为威胁、自然威胁等)发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等方面的安全脆弱性(或称薄弱环节)分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处理计划,确定下一步的安全需求方向。
等级保护的前提是对系统定级,根据FIPS199,系统定级根据系统信息的机密性、完整性、可用性(简称CIA特性)等三性损失的大值来确定,即「明确各种信息类型----确定每种信息类型的安全类别----确定系统的安全类别」三个步骤进行系统终的定级。将信息系统安全类别(简称SC)表示为一个与CIA特性的潜在影响相关的三重函数,一般模式是:SC={(保密性,影响),(完整性,影响),(可用性,影响)}。
等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致,不同的是:等级保护的级别是从系统的业务需求或CIA特性出发,定义系统应具备的安全保障业务等级,而风险评估中终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果,也就是说,在风险评估中,CIA价值高的信息资产不一定风险等级就高。在确定系统安全等级级别后,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考。
等级保护与系统测评的关系
基本判断:系统安全测评及行政认可是安全等级保护的落脚点。
根据NISTSP800-37,认证过程偏重于对系统安全性的评估,认可过程则属于管理机关的行为,是指根据评估的结果来判断信息系统的安全控制措施是否有效、残余风险是否可接受。根据前述,在我国,目前主管部门安全认可的依据多数是系统安全测评的结果。主管部门根据系统测评结果判断,如果残余风险可以接受,则允许系统投入运行或继续运行,否则信息系统便没有达到特定安全等级的安全要求。没有终的主管认可过程,等级保护无法落到实处。从这个意义上讲,进行等级保护建设、实施风险管理过程后的系统安全测评及行政认可是等级保护的落脚点。
风险评估与系统测评的关系
基本判断:风险评估与系统测评分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,系统测评是安全建设的终点。或者可以理解为,系统安全测评是实施风险管理措施后的风险再评估。
二者均是对信息及信息系统系统安全性的一种评价判断方法,二者并没有本质的区别,或者说,二者的安全工作目标基本一致,二者的工作核心都是对信息及系统安全风险的评价,二者在实施内容上有许多共同之处。具体讲二者在操作方面的差异性,则风险评估是系统明确安全需求,确定成本-效益适合的安全控制措施的出发点,风险评估通过对被评估用户广泛的、战略性的分析来判断机构内各类重要资产的风险级别;系统安全测评则是对已采取的安全控制措施(如管理措施、运行措施、技术措施等)有效性的验证,安全测评更关注于对系统现有安全控制措施的技术验证,从而给出系统现存安全脆弱性的准确判断。行业主管部门或信息化主管部门在系统测评结果的基础上,判断系统安全风险是否可接受或已得到了有效的管理,从而给出是否批准系统投入运行或继续运行的终结论。
等级保护与风险评估的关系
更新:2024-08-24 09:30 发布者IP:210.22.98.29 浏览:2次- 发布企业
- 上海道商企业服务中心商铺
- 认证
- 资质核验:已通过营业执照认证入驻顺企:第7年主体名称:宏展财务咨询有限公司组织机构代码:91310115MA1H7G5Q0W
- 报价
- 请来电询价
- 关键词
- 信息安全等级保护备案
- 所在地
- 浦东新区金沪路99弄3号
- 联系电话
- 15021594806
- 手机
- 15021594806
- 联系人
- 卢小姐 请说明来自顺企网,优惠更多
- 请卖家联系我
- 15021594806
产品详细介绍
成立日期 | 2016年02月22日 | ||
法定代表人 | 卢玉丽 | ||
注册资本 | 5000 | ||
主营产品 | 公司注册 公司注销 增值电信业务许可证办理 药品信息服务资格证办理 营业性演出许可证办理 | ||
经营范围 | 财务咨询,企业管理咨询、商务信息咨询(以上咨询除经纪),知识产权代理,企业形象策划,市场营销策划,文化艺术交流与策划,品牌管理,市场信息咨询与调查(不得从事社会调查、社会调研、民意调查、民意测验),展览展示服务。【依法须经批准的项目,经相关部门批准后方可开展经营活动】 | ||
公司简介 | 上海道商企业服务中心,是经【工商行政管理局】核准、具有代企业登记资格的“企业服务机构”,致力于工商登记注册,财税代理、增值电信许可证办理等业务。与各经济园区、工商税务始终保持良好的协作关系,为大家提供便利、专业的服务,优惠的政策。▶公司坐落于浦东繁华商业区,地铁交通便利,其下更拥有多名企业注册顾问;▶如果在创业初期遇到工商注册,税务代理,增值许可证办理等相关事宜不甚了解,道商会为您提供免费咨询服务 ... |
公司新闻
- 上海区的公司注销需要人到场吗公司被吊销了注意千万不要不管不顾,想着反正都不经营了,还管它干嘛。公司吊销不等于... 2024-07-31
- 注销上海的分公司 注销流程和资料有哪些?分公司注销登记应提交的材料1、公司法定代表人签署的《分公司注销登记申请书》(公司... 2024-07-31
- 上海如何办理烟草专卖许可证?条件?上海申请烟草证应当具备三个条件:(一)有与经营烟草制品零售业务相适应的资金;(二... 2024-07-31
- 上海的外资公司注销有哪些环节?注销的要求和时间注销流程:(1)现场交件流程:网登(需要法人实名)——约号——现场交件——领取批... 2024-07-31
- 上海互联网药品信息服务许可证注意办理?有哪些环节上海互联网药品信息服务许可证怎么办理?有哪些环节《一》简介互联网药品信息服务资格... 2024-07-31