Topsec等級保護(hù)解決方案

1、天融信等級保護(hù)解決方案天融信等級保護(hù)解決方案TopSec等級保護(hù)體系等級保護(hù)體系天融信安全服務(wù)總監(jiān)天融信安全服務(wù)總監(jiān) 田野田野 Tian_Tian_等級保護(hù)的政策文件等級保護(hù)的政策文件20032003年年9 9月月中辦國辦頒發(fā)中辦國辦頒發(fā)關(guān)于加強(qiáng)信息安關(guān)于加強(qiáng)信息安全保障工作的意見全保障工作的意見中辦發(fā)中辦發(fā)200327200327號號20052005年年9 9月月國信辦文件國信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電電子政務(wù)信息安全等子政務(wù)信息安全等級保護(hù)實(shí)施指南級保護(hù)實(shí)施指南的通知的通知 國信辦國信辦200425200425號號20062006年年1 1月月四部委會簽四部委會簽 關(guān)于印發(fā)關(guān)于印發(fā)信信息安

2、全等級保護(hù)管息安全等級保護(hù)管理辦法的通知理辦法的通知 公通字公通字2006720067號號20052005年年 公安部標(biāo)準(zhǔn)公安部標(biāo)準(zhǔn)基本要求基本要求定級指南定級指南實(shí)施指南實(shí)施指南測評準(zhǔn)則測評準(zhǔn)則20042004年年1111月月四部委會簽四部委會簽關(guān)于信息安全等關(guān)于信息安全等級保護(hù)工作的實(shí)施級保護(hù)工作的實(shí)施意見意見公通字公通字200466200466號號云南云南云南省人民云南省人民政府第政府第130130號令號令 浙江浙江浙江省人民浙江省人民政府令政府令 北京北京北京政府第北京政府第9 9號令號令 國家級政策文件國家級政策文件國家級技術(shù)標(biāo)準(zhǔn)國家級技術(shù)標(biāo)準(zhǔn)國家級政策文件國家級政策文件地方政策文件

3、地方政策文件等級保護(hù)的管理結(jié)構(gòu)北京為例等級保護(hù)的管理結(jié)構(gòu)北京為例國家信息辦國家信息辦公安部網(wǎng)監(jiān)局公安部網(wǎng)監(jiān)局北京信息辦北京信息辦北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京測評中心北京測評中心北京研究一所北京研究一所管理職能：管理職能：監(jiān)管和測評監(jiān)管和測評技術(shù)支持單位：技術(shù)支持單位：定級、測評定級、測評安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商服務(wù)實(shí)施單位：服務(wù)實(shí)施單位：咨詢、實(shí)施、產(chǎn)咨詢、實(shí)施、產(chǎn)品、運(yùn)維品、運(yùn)維北京信息辦北京信息辦北京信息辦北京信息辦北京測評中心北京測評中心北京測評中心北京測評中心北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京研究一所北京

4、研究一所北京研究一所北京研究一所安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商政策、宏觀管政策、宏觀管理、協(xié)調(diào)理、協(xié)調(diào)電子政務(wù)領(lǐng)域電子政務(wù)領(lǐng)域其他行業(yè)領(lǐng)域其他行業(yè)領(lǐng)域北京市屬北京市屬的電子政的電子政務(wù)系統(tǒng)務(wù)系統(tǒng)地處北京地處北京的各部委的各部委各行業(yè)各行業(yè)等級保護(hù)的政策文件與技術(shù)演進(jìn)等級保護(hù)的政策文件與技術(shù)演進(jìn)20032003年年9 9月月中辦國辦頒發(fā)中辦國辦頒發(fā)關(guān)于加強(qiáng)信息安全保關(guān)于加強(qiáng)信息安全保障工作的意見障工作的意見（中辦發(fā)（中辦發(fā)200327200327號）號）20042004年年1111月月四部委會簽四部

5、委會簽關(guān)于信息安全等級保關(guān)于信息安全等級保護(hù)工作的實(shí)施意見護(hù)工作的實(shí)施意見（公通字（公通字200466200466號）號）20052005年年9 9月月國信辦文件國信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電子政電子政務(wù)信息安全等級保護(hù)實(shí)務(wù)信息安全等級保護(hù)實(shí)施指南施指南的通知的通知 （國信辦（國信辦200425200425號）號）20052005年年 公安部標(biāo)準(zhǔn)公安部標(biāo)準(zhǔn)等級保護(hù)安全要求等級保護(hù)安全要求等級保護(hù)定級指南等級保護(hù)定級指南等級保護(hù)實(shí)施指南等級保護(hù)實(shí)施指南等級保護(hù)測評準(zhǔn)則等級保護(hù)測評準(zhǔn)則總結(jié)成一種安全工總結(jié)成一種安全工作的方法和原則作的方法和原則最先作為最先作為“適度適度安全安全”的工作思的工作思路

6、提出路提出確認(rèn)為國家信息安確認(rèn)為國家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等級保護(hù)的基形成等級保護(hù)的基本理論框架，制定本理論框架，制定了方法，過程和標(biāo)了方法，過程和標(biāo)準(zhǔn)準(zhǔn)等級保護(hù)基本需求等級保護(hù)基本需求 政策要求符合等級保護(hù)的要求政策要求符合等級保護(hù)的要求 系統(tǒng)定級系統(tǒng)定級 系統(tǒng)符合系統(tǒng)符合基本要求基本要求中相應(yīng)級別的指標(biāo)中相應(yīng)級別的指標(biāo) 符合符合測評準(zhǔn)則測評準(zhǔn)則中的要求中的要求 實(shí)際需求適應(yīng)客戶實(shí)際情況實(shí)際需求適應(yīng)客戶實(shí)際情況適應(yīng)業(yè)務(wù)特性與安全要求的差異性適應(yīng)業(yè)務(wù)特性與安全要求的差異性可工程化實(shí)施可工程化實(shí)施基本安全要求中的各級指標(biāo)基本安全要求中的各級指標(biāo)

7、某級系統(tǒng)某級系統(tǒng)物理安全物理安全技術(shù)要求技術(shù)要求管理要求管理要求基本要求基本要求網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主機(jī)安全主機(jī)安全應(yīng)用安全應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)安全管理制度安全管理制度人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理等級保護(hù)的生命周期等級保護(hù)的生命周期信息系統(tǒng)等級保護(hù)實(shí)施生命周期內(nèi)的主要活動規(guī)劃設(shè)計(jì)階段安全實(shí)施/實(shí)現(xiàn)階段安全運(yùn)行管理階段等級化風(fēng)險(xiǎn)評估安全總體設(shè)計(jì)安全建設(shè)規(guī)劃安全方案設(shè)計(jì) 安全產(chǎn)品采購安全控制集成測試與驗(yàn)收管理機(jī)構(gòu)的設(shè)置管理制度的建設(shè)人員配置和崗位培訓(xùn)安全建設(shè)過程的管理操作管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處置和應(yīng)急預(yù)案安

8、全評估和持續(xù)改進(jìn)監(jiān)督檢查定級階段系統(tǒng)調(diào)查和描述子系統(tǒng)劃分/分解子系統(tǒng)邊界確定安全等級確定定級結(jié)果文檔化等級保護(hù)實(shí)施中需要解決的問題等級保護(hù)實(shí)施中需要解決的問題1.1. 標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)組織整體出發(fā)，整體考慮所有系統(tǒng)a)a) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)b) 復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)c) 各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平2.2.

9、在建立長效機(jī)制方面考慮較少，難以做到可持在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善續(xù)運(yùn)行、發(fā)展和完善3.3. 管理難度太大，管理成本高管理難度太大，管理成本高需求分析需求分析1問題問題1 1：標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)是從組織整體出發(fā)，整體考慮所有系統(tǒng)a)a) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)方法：引入體系設(shè)計(jì)方法方法：引入體系設(shè)計(jì)方法組織戰(zhàn)略和業(yè)務(wù)目標(biāo)組織戰(zhàn)略和業(yè)務(wù)目標(biāo)組織總

10、體信息安全目標(biāo)組織總體信息安全目標(biāo)安全要求安全要求安全措施安全措施結(jié)構(gòu)體結(jié)構(gòu)體安全體系設(shè)計(jì)方法安全體系設(shè)計(jì)方法結(jié)構(gòu)化分解原則：從組織總體目標(biāo)出發(fā)充分覆蓋，互不重疊，不可再細(xì)分安全體系的組成安全體系的組成安全問題保護(hù)對象保護(hù)對象框架框架安全對策安全對策框架框架界定和分解界定和分解映射映射安全體系安全體系綜合綜合需求分析需求分析21.1. 標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)組織整體出發(fā)，整體考慮所有系統(tǒng)a)a) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)b) 復(fù)雜大系統(tǒng)的分解和差異

11、性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特性和差異性安全要求性和差異性安全要求方法：引入保護(hù)對象框架設(shè)計(jì)方法方法：引入保護(hù)對象框架設(shè)計(jì)方法保護(hù)對象框架電信行業(yè)保護(hù)對象框架電信行業(yè)保護(hù)對象框架石油行業(yè)保護(hù)對象框架石油行業(yè)保護(hù)對象框架保護(hù)對象框架-政府行業(yè)政府行業(yè)中央節(jié)點(diǎn)中央節(jié)點(diǎn)直屬節(jié)點(diǎn)直屬節(jié)點(diǎn)政務(wù)外網(wǎng)政務(wù)外網(wǎng)政務(wù)專網(wǎng)政務(wù)專網(wǎng)政務(wù)內(nèi)網(wǎng)政務(wù)內(nèi)網(wǎng)保護(hù)對象框架銀行業(yè)保護(hù)對象框架銀行業(yè)需求分析需求分析31.1. 標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從出發(fā)，但實(shí)際工作是從組織整體

12、出發(fā)，整體考慮所有系統(tǒng)組織整體出發(fā)，整體考慮所有系統(tǒng)a)a) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)b) 復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)c) 各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低成本，提高建設(shè)水平成本，提高建設(shè)水平方法：引入安全平臺的設(shè)計(jì)與建設(shè)方法方法：引入安全平臺的設(shè)計(jì)與建設(shè)方法終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺集中機(jī)房與

13、物理環(huán)境安全集中機(jī)房與物理環(huán)境安全安全管理運(yùn)行中心安全管理運(yùn)行中心終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺防病毒、補(bǔ)丁和終端管理平臺防病毒、補(bǔ)丁和終端管理平臺終端安全全程全網(wǎng)監(jiān)控和審計(jì)平臺全程全網(wǎng)監(jiān)控和審計(jì)平臺全網(wǎng)統(tǒng)一監(jiān)控和審計(jì)平臺全網(wǎng)統(tǒng)一監(jiān)控和審計(jì)平臺終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺安全域和網(wǎng)絡(luò)訪問控制平臺安全域和網(wǎng)絡(luò)訪問控制平臺基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施安全網(wǎng)絡(luò)安全監(jiān)控審計(jì)第三方統(tǒng)一安全接入平臺第三方統(tǒng)一安全接入平臺應(yīng)用加密平臺應(yīng)用加密平臺第三方統(tǒng)一安全接入平臺第三方統(tǒng)一安全接入平臺統(tǒng)一鑒別認(rèn)證平臺統(tǒng)一鑒別認(rèn)證平臺數(shù)據(jù)備份與冗災(zāi)平臺數(shù)據(jù)備份與冗災(zāi)平臺統(tǒng)一身

14、份認(rèn)證與授權(quán)管理平臺統(tǒng)一身份認(rèn)證與授權(quán)管理平臺認(rèn)證授權(quán)數(shù)據(jù)安全加密應(yīng)用安全應(yīng)用安全安全平臺安全平臺物理安全平臺定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境平臺定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境需求分析需求分析41.1. 標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)出發(fā)，整體考慮所有系統(tǒng)a)a) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)b) 復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)c) 各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平各系

15、統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平2.2. 在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善發(fā)展和完善需求：建立長效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)展和完善的體系需求：建立長效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)展和完善的體系方法：建立安全運(yùn)行體系方法：建立安全運(yùn)行體系項(xiàng)目建設(shè)項(xiàng)目建設(shè)安全管理安全管理安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)管理管理安全運(yùn)行安全運(yùn)行維護(hù)維護(hù)安全體系安全體系的建設(shè)的建設(shè)制定企業(yè)或制定企業(yè)或部門級體系部門級體系制定總體制定總體安全體系安全體系按要求開展工作按要求開展工作安全目標(biāo)安全目標(biāo)安全要求安全要求提出安全提出安全規(guī)范、要求規(guī)范、要求根據(jù)要求根

16、據(jù)要求評估建設(shè)評估建設(shè)跟蹤、定期審核跟蹤、定期審核安全建設(shè)工作安全建設(shè)工作按要求進(jìn)行按要求進(jìn)行安全建設(shè)工作安全建設(shè)工作申請立項(xiàng)申請立項(xiàng)提供項(xiàng)目安全說明提供項(xiàng)目安全說明弱點(diǎn)評估弱點(diǎn)評估系統(tǒng)加固系統(tǒng)加固安全事件處理安全事件處理按要求進(jìn)行按要求進(jìn)行建設(shè)建設(shè)應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)計(jì)劃定期評估定期評估安全現(xiàn)狀安全現(xiàn)狀監(jiān)控、審計(jì)監(jiān)控、審計(jì)安全現(xiàn)狀安全現(xiàn)狀安全預(yù)警安全預(yù)警提出規(guī)范、要求提出規(guī)范、要求設(shè)備安全維護(hù)設(shè)備安全維護(hù)系統(tǒng)安全維護(hù)系統(tǒng)安全維護(hù)考核和檢查考核和檢查落實(shí)規(guī)范、要求落實(shí)規(guī)范、要求制定運(yùn)維作業(yè)計(jì)劃制定運(yùn)維作業(yè)計(jì)劃總部層面總部層面省級層面省級層面系統(tǒng)層面系統(tǒng)層面安全運(yùn)行體系安全運(yùn)行體系需求分析需求分

17、析51.1. 標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)體出發(fā)，整體考慮所有系統(tǒng)a)a) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島b)b) 復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)c) 各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平2.2. 在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、在建立長效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善發(fā)展和完善3.3. 管理難度太大，管理成本高管理

18、難度太大，管理成本高需求：需要高水平、自動化的安全管理工具需求：需要高水平、自動化的安全管理工具方法：引入安全管理平臺方法：引入安全管理平臺安全運(yùn)維工作過程安全運(yùn)維工作過程正常工作流程正常工作流程自上而下自上而下異常工作流程異常工作流程自下而上自下而上安全管理中心框架安全管理中心框架需求分析總結(jié)需求分析總結(jié) 符合等級保護(hù)制度與標(biāo)準(zhǔn)符合等級保護(hù)制度與標(biāo)準(zhǔn) 引入體系設(shè)計(jì)方法引入體系設(shè)計(jì)方法引入保護(hù)對象框架設(shè)計(jì)方法引入保護(hù)對象框架設(shè)計(jì)方法引入安全平臺的設(shè)計(jì)與建設(shè)方法引入安全平臺的設(shè)計(jì)與建設(shè)方法建立安全運(yùn)行體系建立安全運(yùn)行體系 以可信的理念和技術(shù)作支撐以可信的理念和技術(shù)作支撐總體解決方案總體解決方案T

19、opSec等級保護(hù)體系等級保護(hù)體系 遵照國家等級保護(hù)制度、滿足客戶實(shí)際需求遵照國家等級保護(hù)制度、滿足客戶實(shí)際需求，采用等級化、，采用等級化、體系化相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突體系化相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。 實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo)障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo) 特質(zhì)：特質(zhì)： 等級化：突出重點(diǎn)，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、等級化：突出重點(diǎn)，節(jié)省

20、成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求不同層次的要求 整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行 針對性：針對實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略針對性：針對實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略等級保護(hù)體系設(shè)計(jì)方法等級保護(hù)體系設(shè)計(jì)方法整體整體安全目標(biāo)安全目標(biāo)分等級的分等級的保護(hù)對象框架保護(hù)對象框架體系建設(shè)體系建設(shè)和運(yùn)行和運(yùn)行組織體系組織體系技術(shù)體系技術(shù)體系運(yùn)作體系運(yùn)作體系策略體系策略體系安全要求與對策框架安全要求與對策框架客戶的信息資產(chǎn)客戶的信息資產(chǎn)定級定級分解分解國家規(guī)定國家規(guī)定的各等級的各等級安全要求安全要求定制定制分等級的分

21、等級的安全目標(biāo)安全目標(biāo)等級化等級化安全體系安全體系等級保護(hù)體系安全措施框架等級保護(hù)體系安全措施框架 安全策略體系安全策略體系安全技術(shù)體系安全技術(shù)體系身份身份認(rèn)證認(rèn)證加密加密加固加固審核審核跟蹤跟蹤訪問訪問控制控制防惡意防惡意代碼代碼監(jiān)控監(jiān)控備份備份恢復(fù)恢復(fù)管理制度管理制度組織職責(zé)組織職責(zé)技術(shù)標(biāo)準(zhǔn)規(guī)范技術(shù)標(biāo)準(zhǔn)規(guī)范信息安全政策信息安全政策安全安全組織組織教育教育培訓(xùn)培訓(xùn)人員人員職責(zé)職責(zé)人員人員安全安全安全組織體系安全組織體系安全體系建設(shè)安全體系建設(shè)項(xiàng)目建設(shè)安全管理項(xiàng)目建設(shè)安全管理安全風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)管理與控制與控制安全運(yùn)行與維護(hù)安全運(yùn)行與維護(hù)安全運(yùn)行體系安全運(yùn)行體系成果安全組織體系成果安全組織體系

22、主管領(lǐng)導(dǎo)（主管安全）主管領(lǐng)導(dǎo)（主管安全）領(lǐng)導(dǎo)小組組長領(lǐng)導(dǎo)小組組長信息安全領(lǐng)導(dǎo)小組信息安全領(lǐng)導(dǎo)小組業(yè)務(wù)部門負(fù)責(zé)人業(yè)務(wù)部門負(fù)責(zé)人成員成員安全部門負(fù)責(zé)人安全部門負(fù)責(zé)人工作組組長工作組組長管理部門負(fù)責(zé)人管理部門負(fù)責(zé)人成員成員部門安全管理員部門安全管理員成員成員部門安全管理員部門安全管理員成員成員安全辦公室負(fù)責(zé)安全辦公室負(fù)責(zé)人人負(fù)責(zé)人負(fù)責(zé)人安全管理員安全管理員安全技術(shù)員安全技術(shù)員信息安全工作組信息安全工作組信息安全辦公室信息安全辦公室成果安全策略體系成果安全策略體系信息安全方針信息安全方針管理規(guī)定管理規(guī)定工作流程工作流程安全組織人員職責(zé)安全組織人員職責(zé)技術(shù)規(guī)范技術(shù)規(guī)范信息安全體系信息安全體系公司層面公司

23、層面部門安全工作管理辦法部門安全工作管理辦法部門安全組織人員職責(zé)部門安全組織人員職責(zé)部門層面部門層面工作表單工作表單運(yùn)行維護(hù)計(jì)劃運(yùn)行維護(hù)計(jì)劃應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)計(jì)劃系統(tǒng)層面系統(tǒng)層面終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺集中機(jī)房與物理環(huán)境安全集中機(jī)房與物理環(huán)境安全安全管理運(yùn)行中心安全管理運(yùn)行中心終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺防病毒、補(bǔ)丁和終端管理平臺防病毒、補(bǔ)丁和終端管理平臺終端安全全程全網(wǎng)監(jiān)控和審計(jì)平臺全程全網(wǎng)監(jiān)控和審計(jì)平臺全網(wǎng)統(tǒng)一監(jiān)控和審計(jì)平臺全網(wǎng)統(tǒng)一監(jiān)控和審計(jì)平臺終端管理和防病毒集中管理平臺終端管理和防病毒集中管理平臺安全域和網(wǎng)絡(luò)訪問控制平臺安全

24、域和網(wǎng)絡(luò)訪問控制平臺設(shè)備安全配置與加固設(shè)備安全配置與加固基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施安全各主機(jī)網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全監(jiān)控審計(jì)第三方統(tǒng)一安全接入平臺第三方統(tǒng)一安全接入平臺應(yīng)用加密平臺應(yīng)用加密平臺第三方統(tǒng)一安全接入平臺第三方統(tǒng)一安全接入平臺統(tǒng)一鑒別認(rèn)證平臺統(tǒng)一鑒別認(rèn)證平臺數(shù)據(jù)備份與冗災(zāi)平臺數(shù)據(jù)備份與冗災(zāi)平臺統(tǒng)一身份認(rèn)證與授權(quán)管理平臺統(tǒng)一身份認(rèn)證與授權(quán)管理平臺應(yīng)用系統(tǒng)安全增強(qiáng)應(yīng)用系統(tǒng)安全增強(qiáng)各應(yīng)用系統(tǒng)認(rèn)證授權(quán)數(shù)據(jù)安全加密應(yīng)用安全應(yīng)用安全安全管理平臺成果安全技術(shù)體系成果安全技術(shù)體系物理安全可信接入控制平臺可信接入控制平臺可信信息交換平臺可信信息交換平臺可信監(jiān)管平臺可信監(jiān)管平臺項(xiàng)目建設(shè)項(xiàng)目建設(shè)安全管理安全管理安全風(fēng)險(xiǎn)

25、安全風(fēng)險(xiǎn)管理管理安全運(yùn)行安全運(yùn)行維護(hù)維護(hù)安全體系安全體系的建設(shè)的建設(shè)制定企業(yè)或制定企業(yè)或部門級體系部門級體系制定總體制定總體安全體系安全體系按要求開展工作按要求開展工作安全目標(biāo)安全目標(biāo)安全要求安全要求提出安全提出安全規(guī)范、要求規(guī)范、要求根據(jù)要求根據(jù)要求評估建設(shè)評估建設(shè)跟蹤、定期審核跟蹤、定期審核安全建設(shè)工作安全建設(shè)工作按要求進(jìn)行按要求進(jìn)行安全建設(shè)工作安全建設(shè)工作申請立項(xiàng)申請立項(xiàng)提供項(xiàng)目安全說明提供項(xiàng)目安全說明弱點(diǎn)評估弱點(diǎn)評估系統(tǒng)加固系統(tǒng)加固安全事件處理安全事件處理按要求進(jìn)行按要求進(jìn)行建設(shè)建設(shè)應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)計(jì)劃定期評估定期評估安全現(xiàn)狀安全現(xiàn)狀監(jiān)控、審計(jì)監(jiān)控、審計(jì)安全現(xiàn)狀安全現(xiàn)狀安全預(yù)警安全

26、預(yù)警提出規(guī)范、要求提出規(guī)范、要求設(shè)備安全維護(hù)設(shè)備安全維護(hù)系統(tǒng)安全維護(hù)系統(tǒng)安全維護(hù)考核和檢查考核和檢查落實(shí)規(guī)范、要求落實(shí)規(guī)范、要求制定運(yùn)維作業(yè)計(jì)劃制定運(yùn)維作業(yè)計(jì)劃總部層面總部層面省級層面省級層面系統(tǒng)層面系統(tǒng)層面成果安全運(yùn)行體系成果安全運(yùn)行體系安全管理運(yùn)行中心安全管理運(yùn)行中心技術(shù)體系技術(shù)體系安全組織設(shè)置和崗位職責(zé)安全組織設(shè)置和崗位職責(zé)安全教育、培訓(xùn)與資質(zhì)認(rèn)證安全教育、培訓(xùn)與資質(zhì)認(rèn)證組織體系組織體系安全策略體系設(shè)計(jì)安全策略體系設(shè)計(jì)安全策略與流程推廣實(shí)施安全策略與流程推廣實(shí)施策略體系策略體系項(xiàng)目建設(shè)的安全管理項(xiàng)目建設(shè)的安全管理安全風(fēng)險(xiǎn)管理與控制安全風(fēng)險(xiǎn)管理與控制保護(hù)對象框架保護(hù)對象框架內(nèi)部與第三方人員安全管理內(nèi)部與第三方人員安全管理日常安全運(yùn)行與維護(hù)日常安全運(yùn)行與維護(hù)安全體系推廣與落實(shí)安全體系推廣與落實(shí)運(yùn)作體系運(yùn)作體系全程全網(wǎng)監(jiān)控和審計(jì)平臺全程全網(wǎng)監(jiān)控和審計(jì)平臺統(tǒng)一監(jiān)控與