等級保護保護交流

1、等級保護與安全規(guī)劃探討等級保護與安全規(guī)劃探討我們怎么看待等級保護？我們怎么看待等級保護？我們怎么開展等級保護？我們怎么開展等級保護？我們采用什么樣的技術方法？我們采用什么樣的技術方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個問題今天探討的幾個問題等級保護的定義等級保護的定義 信息安全等級保護是指根據(jù)信息系統(tǒng)在國家安全、社信息安全等級保護是指根據(jù)信息系統(tǒng)在國家安全、社會穩(wěn)定、經(jīng)濟秩序和公共利益等方面的重要程度以及會穩(wěn)定、經(jīng)濟秩序和公共利益等方面的重要程度以及風險威脅、安全需求、安全成本等因素，將其劃分不風險威脅、安全需求、安全成本等因素，將其劃分不同的安全保護等級并采取相應

2、等級的安全保護技術、同的安全保護等級并采取相應等級的安全保護技術、管理措施，以保障信息系統(tǒng)安全和信息安全。管理措施，以保障信息系統(tǒng)安全和信息安全。 實行等級保護的目的實行等級保護的目的v 有利于突出重點有利于突出重點，重點解決信息基礎設施、重要信息系統(tǒng)的，重點解決信息基礎設施、重要信息系統(tǒng)的信息安全薄弱的問題信息安全薄弱的問題v 國內信息化發(fā)展的地區(qū)、行業(yè)不均衡的特點，國內信息化發(fā)展的地區(qū)、行業(yè)不均衡的特點，信息安全的等信息安全的等級是客觀存在的級是客觀存在的，需要滿足不同行業(yè)、不同發(fā)展階段、不同，需要滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求層次的要求v 有利于控制安全的成本有利于控制安全的

3、成本等級保護是一項國家政策等級保護是一項國家政策 等級保護是今后一段時間內國家信息安全的基等級保護是今后一段時間內國家信息安全的基本制度（本制度（27號文、號文、66號文明確）號文明確） 在信息安全領域，等級保護在未來兩、三年內在信息安全領域，等級保護在未來兩、三年內將作為信息安全工作的根本方法將作為信息安全工作的根本方法 信息安全的工作思路、解決方案、工作規(guī)劃、產品信息安全的工作思路、解決方案、工作規(guī)劃、產品采購、安全集成都將依據(jù)等級保護進行采購、安全集成都將依據(jù)等級保護進行 今年要求完成定級工作，明年開始實施和測評今年要求完成定級工作，明年開始實施和測評等級保護的實現(xiàn)原理等級保護的實現(xiàn)原理

4、20032003年年9 9月月中辦國辦頒發(fā)中辦國辦頒發(fā)關于加強信息安全保關于加強信息安全保障工作的意見障工作的意見（中辦發(fā)（中辦發(fā)200327200327號）號）20042004年年1111月月四部委會簽四部委會簽關于信息安全等級保關于信息安全等級保護工作的實施意見護工作的實施意見（公通字（公通字200466200466號）號）20052005年年9 9月月國信辦文件國信辦文件 關于轉發(fā)關于轉發(fā)電子政務信息電子政務信息系統(tǒng)信息安全等級保護實施系統(tǒng)信息安全等級保護實施指南指南的通知的通知 （國信辦（國信辦200425200425號）號）20052005年年 公安部標準公安部標準等級保護安全要求等

5、級保護安全要求等級保護定級指南等級保護定級指南等級保護實施指南等級保護實施指南等級保護測評準則等級保護測評準則總結成一種安全工總結成一種安全工作的方法和原則作的方法和原則最先作為最先作為“適度適度安全安全”的工作思的工作思路提出路提出確認為國家信息安確認為國家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等級保護的基形成等級保護的基本理論框架，制定本理論框架，制定了方法，過程和標了方法，過程和標準準19941994年年國務院頒布國務院頒布中華人民中華人民共和國計算機信息系統(tǒng)共和國計算機信息系統(tǒng)安全保護條例安全保護條例20062006年年 四部委會簽四部委會簽公通字公

6、通字2006720067號文件號文件（關于印發(fā)（關于印發(fā)信息安全信息安全等級保護管理辦法（試等級保護管理辦法（試行）行）的通知）的通知） 等級保護政策文件演進等級保護政策文件演進2007年年7月月16日日 四部門會簽四部門會簽公信安公信安2007861號文件：四部號文件：四部門下發(fā)門下發(fā)關于開展全國重要信關于開展全國重要信息系統(tǒng)安全等級保護定級工作息系統(tǒng)安全等級保護定級工作的通知的通知正式規(guī)定了等級保護正式規(guī)定了等級保護各方面的管理辦法各方面的管理辦法為等級保護開展提供了為等級保護開展提供了基礎數(shù)據(jù)參考基礎數(shù)據(jù)參考布置了等級保護的實質性布置了等級保護的實質性工作的第一階段工作的第一階段2007

7、2007年年 四部委會簽四部委會簽公通字公通字200743200743號文號文件件信息安全等級保信息安全等級保護管理辦法護管理辦法 替代公通字替代公通字2006720067號文件，號文件，明確了等級保護的具體操明確了等級保護的具體操作辦法和各部委的職責，作辦法和各部委的職責，以及推進等級保護的具體以及推進等級保護的具體事宜事宜20062006年年 公安部、國信辦公安部、國信辦下發(fā)了下發(fā)了關于開展信息系關于開展信息系統(tǒng)安全等級保護基礎調查統(tǒng)安全等級保護基礎調查工作的通知工作的通知從從20062006年年1 1月月1010日到日到4 4月月1010日，分三個階段對國家重日，分三個階段對國家重要的基

8、礎信息系統(tǒng)進行摸要的基礎信息系統(tǒng)進行摸底，包括黨政機關、財政、底，包括黨政機關、財政、海關、能源、金融、社會海關、能源、金融、社會保障等行業(yè)（保障等行業(yè)（2+2X2+2X）2007年年7月至月至10月在全國范圍內月在全國范圍內組織開展重要信息系統(tǒng)安全等組織開展重要信息系統(tǒng)安全等級保護定級工作級保護定級工作 ，其中包括公，其中包括公用通信網(wǎng)、廣播電視傳輸網(wǎng)等用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡基礎信息網(wǎng)絡 以及鐵路、銀行、以及鐵路、銀行、海關、稅務、民航、電力、證海關、稅務、民航、電力、證券、保險、外交、人事勞動和券、保險、外交、人事勞動和社會保障、財政、等行業(yè)社會保障、財政、等行業(yè)（2+2X

9、） 等級保護政策文件演進等級保護政策文件演進等級保護實施的通常流程等級保護實施的通常流程7. 7. 安全體系運營和維護安全體系運營和維護6.6.測評后整改測評后整改1.1.系統(tǒng)定級系統(tǒng)定級3.3.安全體系與規(guī)劃安全體系與規(guī)劃2.2.等級化風險評估等級化風險評估4.4.本年安全建設本年安全建設系列安全項目實施系列安全項目實施內部安全管理建設內部安全管理建設5.5.年度系統(tǒng)測評年度系統(tǒng)測評6.6.測評后整改測評后整改4.4.下一年安全建設下一年安全建設系列安全項目實施系列安全項目實施內部安全管理建設內部安全管理建設5.5.年度系統(tǒng)測評年度系統(tǒng)測評大型客戶大型客戶7. 7. 安全系統(tǒng)運營和維護安全系

10、統(tǒng)運營和維護1.1.系統(tǒng)定級系統(tǒng)定級4.4.整改方案與計劃整改方案與計劃3.3.年度測評年度測評/ /評估評估5.5.本年安全項目建設本年安全項目建設6.6.整改后復核整改后復核中小型客戶中小型客戶2.2.系統(tǒng)測評準備系統(tǒng)測評準備4.4.整改方案與計劃整改方案與計劃3.3.下一年度系統(tǒng)測評下一年度系統(tǒng)測評5.5.本年安全項目建設本年安全項目建設6.6.整改后復核整改后復核2.2.系統(tǒng)測評準備系統(tǒng)測評準備我們怎么看待等級保護？我們怎么看待等級保護？首先，我們必須要滿足等級保護制度首先，我們必須要滿足等級保護制度等級保護是國家信息方面的基本制度，屬于法律等級保護是國家信息方面的基本制度，屬于法律符

11、合性要求，進出口銀行屬于國家重點信息系統(tǒng)，符合性要求，進出口銀行屬于國家重點信息系統(tǒng)，需要滿足此制度；需要滿足此制度；那我們有幾種選擇呢？那我們有幾種選擇呢？1. 某種程度上來應付，盡量小的代價，只要滿足公某種程度上來應付，盡量小的代價，只要滿足公安的要求就好安的要求就好2. 認真執(zhí)行，以此為契機來推動信息安全工作認真執(zhí)行，以此為契機來推動信息安全工作3. 是個很重要的國家新政策，做好它，在行業(yè)內領是個很重要的國家新政策，做好它，在行業(yè)內領先，可以成為政績先，可以成為政績等級保護的益處等級保護的益處 政策要求，可以促進開展信息安全工作，提起領導和政策要求，可以促進開展信息安全工作，提起領導和各

12、部門的重視，統(tǒng)一思想各部門的重視，統(tǒng)一思想 國家給出信息安全工作的政策方向和技術指導，我們國家給出信息安全工作的政策方向和技術指導，我們可以規(guī)避風險可以規(guī)避風險 依據(jù)國家要求，申請項目和經(jīng)費較為容易依據(jù)國家要求，申請項目和經(jīng)費較為容易 等級保護還是一套比較先進的方法，做好了對實際工等級保護還是一套比較先進的方法，做好了對實際工作還是有較大幫助作還是有較大幫助 正確定級并遵照標準執(zhí)行，可以規(guī)避部分信息安全責正確定級并遵照標準執(zhí)行，可以規(guī)避部分信息安全責任任等級保護的風險等級保護的風險 要應付公安的檢查和測評，額外增加工作量要應付公安的檢查和測評，額外增加工作量 如果只是成為一場運動，就會勞民傷財

13、，投資浪費如果只是成為一場運動，就會勞民傷財，投資浪費 標準的制定和執(zhí)行都會有些僵化，如果不能很好地處標準的制定和執(zhí)行都會有些僵化，如果不能很好地處理，會帶來很多困擾理，會帶來很多困擾 如定級過高，過度投資如定級過高，過度投資 額外引進一套體系而難以融合額外引進一套體系而難以融合 和實際情況有差距，和實際情況有差距，“削足適履削足適履”等等 屬地化管理，因為省里技術和認識的限制，可能會走屬地化管理，因為省里技術和認識的限制，可能會走樣，個別省分行會承受很多壓力，需要總行來處理樣，個別省分行會承受很多壓力，需要總行來處理對待等級保護的建議對待等級保護的建議積極來對待等級保護，以此為契機來推動信息

14、安全工作，作為積極來對待等級保護，以此為契機來推動信息安全工作，作為“”，化被動為主動，化被動為主動 國家非常重視，會長期實施，每年檢查，要應付也不是很容易國家非常重視，會長期實施，每年檢查，要應付也不是很容易：較好地現(xiàn)實情況結合，真正發(fā)揮作用：較好地現(xiàn)實情況結合，真正發(fā)揮作用 有效整合和利用現(xiàn)有安全設施有效整合和利用現(xiàn)有安全設施 融合其他符合性要求（內控，融合其他符合性要求（內控，2700127001等），形成一套體系等），形成一套體系 反映行業(yè)與業(yè)務特性，反映安全要求的差異性，并滿足超過指標的反映行業(yè)與業(yè)務特性，反映安全要求的差異性，并滿足超過指標的高要求高要求 避免成為走過場，來建立長效

15、機制，做到可持續(xù)運行、發(fā)展和完善避免成為走過場，來建立長效機制，做到可持續(xù)運行、發(fā)展和完善： 獲得領導的重視和支持，統(tǒng)一各部門的認識獲得領導的重視和支持，統(tǒng)一各部門的認識 熟悉國家管理部門和測評機構的規(guī)則熟悉國家管理部門和測評機構的規(guī)則 選擇一個好的合作伙伴選擇一個好的合作伙伴我們怎么看待等級保護？我們怎么看待等級保護？我們怎么開展等級保護？我們怎么開展等級保護？我們采用什么樣的技術方法？我們采用什么樣的技術方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個問題今天探討的幾個問題標準中的等級保護生命周期標準中的等級保護生命周期信息系統(tǒng)等級保護實施生命周期內的主要活動規(guī)劃設計階

16、段安全實施/實現(xiàn)階段安全運行管理階段等級化風險評估安全總體設計安全建設規(guī)劃安全方案設計 安全產品采購安全控制集成測試與驗收管理機構的設置管理制度的建設人員配置和崗位培訓安全建設過程的管理操作管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處置和應急預案安全評估和持續(xù)改進監(jiān)督檢查定級階段系統(tǒng)調查和描述子系統(tǒng)劃分/分解子系統(tǒng)邊界確定安全等級確定定級結果文檔化大型系統(tǒng)等級保護實施流程大型系統(tǒng)等級保護實施流程7. 7. 安全體系運營和維護安全體系運營和維護6.6.測評后整改測評后整改1.1.系統(tǒng)定級系統(tǒng)定級3.3.安全體系與規(guī)劃安全體系與規(guī)劃2.2.等級化風險評估等級化風險評估4.4.本年安全建設本年安全

17、建設系列安全項目實施系列安全項目實施內部安全管理建設內部安全管理建設5.5.年度系統(tǒng)測評年度系統(tǒng)測評6.6.測評后整改測評后整改4.4.下一年安全建設下一年安全建設系列安全項目實施系列安全項目實施內部安全管理建設內部安全管理建設5.5.年度系統(tǒng)測評年度系統(tǒng)測評開展信息安全工作的總體邏輯開展信息安全工作的總體邏輯我們的方向是什么？我們的目標是什么，做成什么樣？我們現(xiàn)在的起點在哪里？我們怎么做？做得效果如何，還有什么問題？我們開始做了1.1.信息安全的使命和目標信息安全的使命和目標3.3.安全現(xiàn)狀安全現(xiàn)狀2.2.安全體系框架與指標安全體系框架與指標4.4.信息安全規(guī)劃信息安全規(guī)劃5.5.管理體系推

18、管理體系推廣與實施廣與實施7.7.體系運營和持續(xù)改進體系運營和持續(xù)改進6.6.技術體系實技術體系實施與工程建設施與工程建設8.8.定期評估、檢查、審計和定期評估、檢查、審計和持續(xù)改進持續(xù)改進安全規(guī)劃的方法安全規(guī)劃的方法每年一次每年一次滾動規(guī)劃滾動規(guī)劃三年一次三年一次完整規(guī)劃完整規(guī)劃1.1.信息安全的宗旨和目標信息安全的宗旨和目標3.3.信息安全現(xiàn)狀信息安全現(xiàn)狀2.2.信息安全體系框架信息安全體系框架4.4.信息安全規(guī)劃信息安全規(guī)劃5.5.管理體系推廣管理體系推廣與實施與實施7.7.體系運營和維護體系運營和維護6.6.技術體系實施技術體系實施與工程建設與工程建設8.8.定期評估、檢查、審計定期評

19、估、檢查、審計和持續(xù)改進和持續(xù)改進安全體系設計安全體系設計與規(guī)劃項目與規(guī)劃項目體系設計體系設計安全規(guī)劃安全規(guī)劃策略設計策略設計04.11-05.304.11-05.3安全工作進程中關鍵里程碑安全工作進程中關鍵里程碑時間時間網(wǎng)絡全面深度網(wǎng)絡全面深度評估項目評估項目評估安全風險評估安全風險三年安全規(guī)劃三年安全規(guī)劃04.6-804.6-804.304.3成立安全領導小成立安全領導小組，確定了安全組，確定了安全工作是工作是0404年重點，年重點，決定啟動評估項決定啟動評估項目目04.804.8召開公司信息安召開公司信息安全領導小組會議，全領導小組會議，匯報評估結果，匯報評估結果，引起領導高度重引起領導

20、高度重視，認為公司安視，認為公司安全問題非常嚴重，全問題非常嚴重，應該作為重點工應該作為重點工作大力來抓。確作大力來抓。確定把建設安全體定把建設安全體系作為核心任務系作為核心任務召開了召開了“公司信公司信息安全工作組第息安全工作組第一次會議一次會議” ” ，建立信息安全組建立信息安全組織，成立安全工織，成立安全工作組和辦公室，作組和辦公室，會議通過了會議通過了信信息安全組織體系息安全組織體系和職責和職責，05.105.105.405.4召開工作組二召開工作組二次會議，批準次會議，批準了了安全體系安全體系和和安全策略安全策略系列文件系列文件，并下發(fā)并下發(fā)確定信息安全確定信息安全主管部門主管部門0

21、4.104.1安全規(guī)劃與等級安全規(guī)劃與等級保護項目保護項目新的三年規(guī)劃新的三年規(guī)劃等級保護認證等級保護認證06.9-07.206.9-07.2開始系統(tǒng)的建設：開始系統(tǒng)的建設：安全域劃分和網(wǎng)安全域劃分和網(wǎng)絡安全改造絡安全改造定期安全評估定期安全評估全員安全培訓全員安全培訓安全體系試點推安全體系試點推廣廣安全監(jiān)控與審計安全監(jiān)控與審計統(tǒng)一身份認證統(tǒng)一身份認證防病毒防病毒安全加固安全加固安全管理系統(tǒng)軟安全管理系統(tǒng)軟件件05-0605-06年年0404年年0707年年會議會議項目項目信息安全戰(zhàn)略使命設計信息安全戰(zhàn)略使命設計保障業(yè)務安全和穩(wěn)定的運行，保證業(yè)務連續(xù)性，保護公司的商業(yè)機密保障業(yè)務安全和穩(wěn)定的運

22、行，保證業(yè)務連續(xù)性，保護公司的商業(yè)機密和技術機密，為公司日常運轉提供良好基礎，支持和促進公司業(yè)務目和技術機密，為公司日常運轉提供良好基礎，支持和促進公司業(yè)務目標的實現(xiàn)；標的實現(xiàn)；保護用戶隱私，保護用戶資料的機密性，維護用戶的利益；保護用戶隱私，保護用戶資料的機密性，維護用戶的利益；達到國際一流、國內領先的信息安全保障水平，成為廣大用戶對公司達到國際一流、國內領先的信息安全保障水平，成為廣大用戶對公司信賴的基礎，提高公司的安全形象，確?？蛻舻男判?；信賴的基礎，提高公司的安全形象，確?？蛻舻男判模粸樯鐣陀脩籼峁┌踩统掷m(xù)的業(yè)務服務，維護國家安全，社會穩(wěn)定為社會和用戶提供安全和持續(xù)的業(yè)務服務，維護

23、國家安全，社會穩(wěn)定和經(jīng)濟秩序，維護公眾利益。和經(jīng)濟秩序，維護公眾利益。規(guī)范業(yè)務秩序規(guī)范業(yè)務秩序保護競爭優(yōu)勢保護競爭優(yōu)勢維護企業(yè)聲譽維護企業(yè)聲譽依從法律法規(guī)依從法律法規(guī)信息安全信息安全戰(zhàn)略使命戰(zhàn)略使命信息安全工作的目標設計舉例信息安全工作的目標設計舉例 長期安全目標：長期安全目標： 建成國際一流、國內領先的信息安全保障體系，達建成國際一流、國內領先的信息安全保障體系，達到國際一流、國內領先的信息安全保障水平，同步到國際一流、國內領先的信息安全保障水平，同步或領先的公司信息化水平，保障和促進公司業(yè)務發(fā)或領先的公司信息化水平，保障和促進公司業(yè)務發(fā)展和業(yè)務目標的實現(xiàn)展和業(yè)務目標的實現(xiàn) 20042006

24、年的安全目標：年的安全目標： 短期目標：解決目前急迫和關鍵的問題，爭取在短短期目標：解決目前急迫和關鍵的問題，爭取在短期內安全狀況有大幅度提高。期內安全狀況有大幅度提高。 三年目標：搭建安全體系框架，初步建成信息安全三年目標：搭建安全體系框架，初步建成信息安全體系體系信息安全工作的目標設計舉例信息安全工作的目標設計舉例20072009的目標：在全公司范圍內逐步建設、的目標：在全公司范圍內逐步建設、推廣和完善信息安全體系，滿足奧運會，推廣和完善信息安全體系，滿足奧運會，SOX及及等級保護的要求，達到國內領先的水平。等級保護的要求，達到國內領先的水平。逐步完善現(xiàn)有的公司信息安全保障體系，并在全公司

25、逐步完善現(xiàn)有的公司信息安全保障體系，并在全公司范圍內進行推廣和實施，符合國家等級保護和范圍內進行推廣和實施，符合國家等級保護和SOX的的要求。要求。根據(jù)根據(jù)2008北京奧運的安全要求，進行有針對性和高強北京奧運的安全要求，進行有針對性和高強度的安全建設和保障工作，確保奧運期間萬無一失。度的安全建設和保障工作，確保奧運期間萬無一失。逐步、分階段、分部門的建立安全技術基礎平臺，基逐步、分階段、分部門的建立安全技術基礎平臺，基本完成公司信息安全本完成公司信息安全技術技術體系的建設體系的建設，并，并持續(xù)改進和持續(xù)改進和完善。完善。我們怎么看待等級保護？我們怎么看待等級保護？我們怎么開展等級保護？我們怎

26、么開展等級保護？我們采用什么樣的技術方法？我們采用什么樣的技術方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個問題今天探討的幾個問題等級保護基本需求等級保護基本需求政策要求符合等級保護的要求政策要求符合等級保護的要求系統(tǒng)定級并備案系統(tǒng)定級并備案系統(tǒng)達到系統(tǒng)達到基本要求基本要求相應級別的指標相應級別的指標符合符合測評準則測評準則要求，并通過測評要求，并通過測評實際需求滿足實際要求實際需求滿足實際要求融合現(xiàn)有的安全體系或安全設施融合現(xiàn)有的安全體系或安全設施同時滿足客戶的其他符合性要求，如同時滿足客戶的其他符合性要求，如SOXSOX，國際標準，行業(yè)，國際標準，行業(yè)標準等標準等適應

27、業(yè)務特性與安全要求的差異性，并滿足超過指標的高適應業(yè)務特性與安全要求的差異性，并滿足超過指標的高要求要求需要整體考慮所有系統(tǒng)，統(tǒng)一進行安全建設和管理需要整體考慮所有系統(tǒng)，統(tǒng)一進行安全建設和管理需要建立長效機制，可持續(xù)運行、發(fā)展和完善需要建立長效機制，可持續(xù)運行、發(fā)展和完善等級保護需求分析等級保護需求分析融合現(xiàn)有安全設施基礎上，融合融合現(xiàn)有安全設施基礎上，融合客戶的其他客戶的其他符合性要求，從整體出發(fā)，統(tǒng)一符合性要求，從整體出發(fā)，統(tǒng)一建設建設/ /改造一改造一套符合等級保護制度的安全體系套符合等級保護制度的安全體系 采用安全域框架設計和風險評估的方法，反映行采用安全域框架設計和風險評估的方法，反

28、映行業(yè)形象與業(yè)務特性，反映安全要求的差異性，并業(yè)形象與業(yè)務特性，反映安全要求的差異性，并滿足超過指標的高要求滿足超過指標的高要求 采用統(tǒng)一安全平臺建設基礎上各系統(tǒng)單獨保護的采用統(tǒng)一安全平臺建設基礎上各系統(tǒng)單獨保護的方法，解決各系統(tǒng)單獨保護形成信息的孤島和分方法，解決各系統(tǒng)單獨保護形成信息的孤島和分散重復建設散重復建設 采用建立一套安全運維體系的方法，來建立長效采用建立一套安全運維體系的方法，來建立長效機制，做到可持續(xù)運行、發(fā)展和完善機制，做到可持續(xù)運行、發(fā)展和完善整體整體安全目標安全目標分等級的分等級的保護對象框架保護對象框架體系建設體系建設和運行和運行組織體系組織體系技術體系技術體系運作體系

29、運作體系策略體系策略體系安全要求與對策框架安全要求與對策框架客戶的信息資產客戶的信息資產定級定級分解分解國家規(guī)定國家規(guī)定的各等級的各等級安全要求安全要求定制定制分等級的分等級的安全目標安全目標等級保護體系等級保護體系總體設計方法總體設計方法TopSecTopSec等級保護體系等級保護體系安全域框架設計方法銀行業(yè)安全域框架設計方法銀行業(yè)安全域框架石油行業(yè)安全域框架石油行業(yè)安全域框架安全域框架- -政府行業(yè)政府行業(yè)中央節(jié)點中央節(jié)點直屬節(jié)點直屬節(jié)點政務外網(wǎng)政務外網(wǎng)政務專網(wǎng)政務專網(wǎng)政務內網(wǎng)政務內網(wǎng)安全域框架電信行業(yè)安全域框架電信行業(yè)項目建設項目建設安全管理安全管理安全風險安全風險管理管理安全運行安全運

30、行維護維護安全體系安全體系的建設的建設制定企業(yè)或制定企業(yè)或部門級體系部門級體系制定總體制定總體安全體系安全體系按要求開展工作按要求開展工作安全目標安全目標安全要求安全要求提出安全提出安全規(guī)范、要求規(guī)范、要求根據(jù)要求根據(jù)要求評估建設評估建設跟蹤、定期審核跟蹤、定期審核安全建設工作安全建設工作按要求進行按要求進行安全建設工作安全建設工作申請立項申請立項提供項目安全說明提供項目安全說明弱點評估弱點評估系統(tǒng)加固系統(tǒng)加固安全事件處理安全事件處理按要求進行按要求進行建設建設應急響應計劃應急響應計劃定期評估定期評估安全現(xiàn)狀安全現(xiàn)狀監(jiān)控、審計監(jiān)控、審計安全現(xiàn)狀安全現(xiàn)狀安全預警安全預警提出規(guī)范、要求提出規(guī)范、要求設備安全維護設備安全維護系統(tǒng)安全維護系統(tǒng)安全維護考核和檢查考核和檢查落實規(guī)范、要求落實規(guī)范、要求制定運維作業(yè)計劃制定運維作業(yè)計劃總部層面總部層面省