等級(jí)保護(hù)保護(hù)交流

1、等級(jí)保護(hù)與安全規(guī)劃探討等級(jí)保護(hù)與安全規(guī)劃探討我們?cè)趺纯创燃?jí)保護(hù)？我們?cè)趺纯创燃?jí)保護(hù)？我們?cè)趺撮_展等級(jí)保護(hù)？我們?cè)趺撮_展等級(jí)保護(hù)？我們采用什么樣的技術(shù)方法？我們采用什么樣的技術(shù)方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個(gè)問題今天探討的幾個(gè)問題等級(jí)保護(hù)的定義等級(jí)保護(hù)的定義 信息安全等級(jí)保護(hù)是指根據(jù)信息系統(tǒng)在國家安全、社信息安全等級(jí)保護(hù)是指根據(jù)信息系統(tǒng)在國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)秩序和公共利益等方面的重要程度以及會(huì)穩(wěn)定、經(jīng)濟(jì)秩序和公共利益等方面的重要程度以及風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素，將其劃分不風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素，將其劃分不同的安全保護(hù)等級(jí)并采取相應(yīng)

2、等級(jí)的安全保護(hù)技術(shù)、同的安全保護(hù)等級(jí)并采取相應(yīng)等級(jí)的安全保護(hù)技術(shù)、管理措施，以保障信息系統(tǒng)安全和信息安全。管理措施，以保障信息系統(tǒng)安全和信息安全。 實(shí)行等級(jí)保護(hù)的目的實(shí)行等級(jí)保護(hù)的目的v 有利于突出重點(diǎn)有利于突出重點(diǎn)，重點(diǎn)解決信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)的，重點(diǎn)解決信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)的信息安全薄弱的問題信息安全薄弱的問題v 國內(nèi)信息化發(fā)展的地區(qū)、行業(yè)不均衡的特點(diǎn)，國內(nèi)信息化發(fā)展的地區(qū)、行業(yè)不均衡的特點(diǎn)，信息安全的等信息安全的等級(jí)是客觀存在的級(jí)是客觀存在的，需要滿足不同行業(yè)、不同發(fā)展階段、不同，需要滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求層次的要求v 有利于控制安全的成本有利于控制安全的

3、成本等級(jí)保護(hù)是一項(xiàng)國家政策等級(jí)保護(hù)是一項(xiàng)國家政策 等級(jí)保護(hù)是今后一段時(shí)間內(nèi)國家信息安全的基等級(jí)保護(hù)是今后一段時(shí)間內(nèi)國家信息安全的基本制度（本制度（27號(hào)文、號(hào)文、66號(hào)文明確）號(hào)文明確） 在信息安全領(lǐng)域，等級(jí)保護(hù)在未來兩、三年內(nèi)在信息安全領(lǐng)域，等級(jí)保護(hù)在未來兩、三年內(nèi)將作為信息安全工作的根本方法將作為信息安全工作的根本方法 信息安全的工作思路、解決方案、工作規(guī)劃、產(chǎn)品信息安全的工作思路、解決方案、工作規(guī)劃、產(chǎn)品采購、安全集成都將依據(jù)等級(jí)保護(hù)進(jìn)行采購、安全集成都將依據(jù)等級(jí)保護(hù)進(jìn)行 今年要求完成定級(jí)工作，明年開始實(shí)施和測(cè)評(píng)今年要求完成定級(jí)工作，明年開始實(shí)施和測(cè)評(píng)等級(jí)保護(hù)的實(shí)現(xiàn)原理等級(jí)保護(hù)的實(shí)現(xiàn)原理

4、20032003年年9 9月月中辦國辦頒發(fā)中辦國辦頒發(fā)關(guān)于加強(qiáng)信息安全保關(guān)于加強(qiáng)信息安全保障工作的意見障工作的意見（中辦發(fā)（中辦發(fā)200327200327號(hào)）號(hào)）20042004年年1111月月四部委會(huì)簽四部委會(huì)簽關(guān)于信息安全等級(jí)保關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見護(hù)工作的實(shí)施意見（公通字（公通字200466200466號(hào)）號(hào)）20052005年年9 9月月國信辦文件國信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息電子政務(wù)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指南指南的通知的通知 （國信辦（國信辦200425200425號(hào)）號(hào)）20052005年年 公安部標(biāo)準(zhǔn)公安部標(biāo)準(zhǔn)等級(jí)保護(hù)安全要求等

5、級(jí)保護(hù)安全要求等級(jí)保護(hù)定級(jí)指南等級(jí)保護(hù)定級(jí)指南等級(jí)保護(hù)實(shí)施指南等級(jí)保護(hù)實(shí)施指南等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則總結(jié)成一種安全工總結(jié)成一種安全工作的方法和原則作的方法和原則最先作為最先作為“適度適度安全安全”的工作思的工作思路提出路提出確認(rèn)為國家信息安確認(rèn)為國家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等級(jí)保護(hù)的基形成等級(jí)保護(hù)的基本理論框架，制定本理論框架，制定了方法，過程和標(biāo)了方法，過程和標(biāo)準(zhǔn)準(zhǔn)19941994年年國務(wù)院頒布國務(wù)院頒布中華人民中華人民共和國計(jì)算機(jī)信息系統(tǒng)共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例安全保護(hù)條例20062006年年 四部委會(huì)簽四部委會(huì)簽公通字公

6、通字2006720067號(hào)文件號(hào)文件（關(guān)于印發(fā)（關(guān)于印發(fā)信息安全信息安全等級(jí)保護(hù)管理辦法（試等級(jí)保護(hù)管理辦法（試行）行）的通知）的通知） 等級(jí)保護(hù)政策文件演進(jìn)等級(jí)保護(hù)政策文件演進(jìn)2007年年7月月16日日 四部門會(huì)簽四部門會(huì)簽公信安公信安2007861號(hào)文件：四部號(hào)文件：四部門下發(fā)門下發(fā)關(guān)于開展全國重要信關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知的通知正式規(guī)定了等級(jí)保護(hù)正式規(guī)定了等級(jí)保護(hù)各方面的管理辦法各方面的管理辦法為等級(jí)保護(hù)開展提供了為等級(jí)保護(hù)開展提供了基礎(chǔ)數(shù)據(jù)參考基礎(chǔ)數(shù)據(jù)參考布置了等級(jí)保護(hù)的實(shí)質(zhì)性布置了等級(jí)保護(hù)的實(shí)質(zhì)性工作的第一階段工作的第一階段2007

7、2007年年 四部委會(huì)簽四部委會(huì)簽公通字公通字200743200743號(hào)文號(hào)文件件信息安全等級(jí)保信息安全等級(jí)保護(hù)管理辦法護(hù)管理辦法 替代公通字替代公通字2006720067號(hào)文件，號(hào)文件，明確了等級(jí)保護(hù)的具體操明確了等級(jí)保護(hù)的具體操作辦法和各部委的職責(zé)，作辦法和各部委的職責(zé)，以及推進(jìn)等級(jí)保護(hù)的具體以及推進(jìn)等級(jí)保護(hù)的具體事宜事宜20062006年年 公安部、國信辦公安部、國信辦下發(fā)了下發(fā)了關(guān)于開展信息系關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知工作的通知從從20062006年年1 1月月1010日到日到4 4月月1010日，分三個(gè)階段對(duì)國家重日，分三個(gè)階段對(duì)國家重要的基

8、礎(chǔ)信息系統(tǒng)進(jìn)行摸要的基礎(chǔ)信息系統(tǒng)進(jìn)行摸底，包括黨政機(jī)關(guān)、財(cái)政、底，包括黨政機(jī)關(guān)、財(cái)政、海關(guān)、能源、金融、社會(huì)海關(guān)、能源、金融、社會(huì)保障等行業(yè)（保障等行業(yè)（2+2X2+2X）2007年年7月至月至10月在全國范圍內(nèi)月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等組織開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作級(jí)保護(hù)定級(jí)工作 ，其中包括公，其中包括公用通信網(wǎng)、廣播電視傳輸網(wǎng)等用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)基礎(chǔ)信息網(wǎng)絡(luò) 以及鐵路、銀行、以及鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、人事勞動(dòng)和券、保險(xiǎn)、外交、人事勞動(dòng)和社會(huì)保障、財(cái)政、等行業(yè)社會(huì)保障、財(cái)政、等行業(yè)（2+2X

9、） 等級(jí)保護(hù)政策文件演進(jìn)等級(jí)保護(hù)政策文件演進(jìn)等級(jí)保護(hù)實(shí)施的通常流程等級(jí)保護(hù)實(shí)施的通常流程7. 7. 安全體系運(yùn)營和維護(hù)安全體系運(yùn)營和維護(hù)6.6.測(cè)評(píng)后整改測(cè)評(píng)后整改1.1.系統(tǒng)定級(jí)系統(tǒng)定級(jí)3.3.安全體系與規(guī)劃安全體系與規(guī)劃2.2.等級(jí)化風(fēng)險(xiǎn)評(píng)估等級(jí)化風(fēng)險(xiǎn)評(píng)估4.4.本年安全建設(shè)本年安全建設(shè)系列安全項(xiàng)目實(shí)施系列安全項(xiàng)目實(shí)施內(nèi)部安全管理建設(shè)內(nèi)部安全管理建設(shè)5.5.年度系統(tǒng)測(cè)評(píng)年度系統(tǒng)測(cè)評(píng)6.6.測(cè)評(píng)后整改測(cè)評(píng)后整改4.4.下一年安全建設(shè)下一年安全建設(shè)系列安全項(xiàng)目實(shí)施系列安全項(xiàng)目實(shí)施內(nèi)部安全管理建設(shè)內(nèi)部安全管理建設(shè)5.5.年度系統(tǒng)測(cè)評(píng)年度系統(tǒng)測(cè)評(píng)大型客戶大型客戶7. 7. 安全系統(tǒng)運(yùn)營和維護(hù)安全系

10、統(tǒng)運(yùn)營和維護(hù)1.1.系統(tǒng)定級(jí)系統(tǒng)定級(jí)4.4.整改方案與計(jì)劃整改方案與計(jì)劃3.3.年度測(cè)評(píng)年度測(cè)評(píng)/ /評(píng)估評(píng)估5.5.本年安全項(xiàng)目建設(shè)本年安全項(xiàng)目建設(shè)6.6.整改后復(fù)核整改后復(fù)核中小型客戶中小型客戶2.2.系統(tǒng)測(cè)評(píng)準(zhǔn)備系統(tǒng)測(cè)評(píng)準(zhǔn)備4.4.整改方案與計(jì)劃整改方案與計(jì)劃3.3.下一年度系統(tǒng)測(cè)評(píng)下一年度系統(tǒng)測(cè)評(píng)5.5.本年安全項(xiàng)目建設(shè)本年安全項(xiàng)目建設(shè)6.6.整改后復(fù)核整改后復(fù)核2.2.系統(tǒng)測(cè)評(píng)準(zhǔn)備系統(tǒng)測(cè)評(píng)準(zhǔn)備我們?cè)趺纯创燃?jí)保護(hù)？我們?cè)趺纯创燃?jí)保護(hù)？首先，我們必須要滿足等級(jí)保護(hù)制度首先，我們必須要滿足等級(jí)保護(hù)制度等級(jí)保護(hù)是國家信息方面的基本制度，屬于法律等級(jí)保護(hù)是國家信息方面的基本制度，屬于法律符

11、合性要求，進(jìn)出口銀行屬于國家重點(diǎn)信息系統(tǒng)，符合性要求，進(jìn)出口銀行屬于國家重點(diǎn)信息系統(tǒng)，需要滿足此制度；需要滿足此制度；那我們有幾種選擇呢？那我們有幾種選擇呢？1. 某種程度上來應(yīng)付，盡量小的代價(jià)，只要滿足公某種程度上來應(yīng)付，盡量小的代價(jià)，只要滿足公安的要求就好安的要求就好2. 認(rèn)真執(zhí)行，以此為契機(jī)來推動(dòng)信息安全工作認(rèn)真執(zhí)行，以此為契機(jī)來推動(dòng)信息安全工作3. 是個(gè)很重要的國家新政策，做好它，在行業(yè)內(nèi)領(lǐng)是個(gè)很重要的國家新政策，做好它，在行業(yè)內(nèi)領(lǐng)先，可以成為政績(jī)先，可以成為政績(jī)等級(jí)保護(hù)的益處等級(jí)保護(hù)的益處 政策要求，可以促進(jìn)開展信息安全工作，提起領(lǐng)導(dǎo)和政策要求，可以促進(jìn)開展信息安全工作，提起領(lǐng)導(dǎo)和各

12、部門的重視，統(tǒng)一思想各部門的重視，統(tǒng)一思想 國家給出信息安全工作的政策方向和技術(shù)指導(dǎo)，我們國家給出信息安全工作的政策方向和技術(shù)指導(dǎo)，我們可以規(guī)避風(fēng)險(xiǎn)可以規(guī)避風(fēng)險(xiǎn) 依據(jù)國家要求，申請(qǐng)項(xiàng)目和經(jīng)費(fèi)較為容易依據(jù)國家要求，申請(qǐng)項(xiàng)目和經(jīng)費(fèi)較為容易 等級(jí)保護(hù)還是一套比較先進(jìn)的方法，做好了對(duì)實(shí)際工等級(jí)保護(hù)還是一套比較先進(jìn)的方法，做好了對(duì)實(shí)際工作還是有較大幫助作還是有較大幫助 正確定級(jí)并遵照標(biāo)準(zhǔn)執(zhí)行，可以規(guī)避部分信息安全責(zé)正確定級(jí)并遵照標(biāo)準(zhǔn)執(zhí)行，可以規(guī)避部分信息安全責(zé)任任等級(jí)保護(hù)的風(fēng)險(xiǎn)等級(jí)保護(hù)的風(fēng)險(xiǎn) 要應(yīng)付公安的檢查和測(cè)評(píng)，額外增加工作量要應(yīng)付公安的檢查和測(cè)評(píng)，額外增加工作量 如果只是成為一場(chǎng)運(yùn)動(dòng)，就會(huì)勞民傷財(cái)

13、，投資浪費(fèi)如果只是成為一場(chǎng)運(yùn)動(dòng)，就會(huì)勞民傷財(cái)，投資浪費(fèi) 標(biāo)準(zhǔn)的制定和執(zhí)行都會(huì)有些僵化，如果不能很好地處標(biāo)準(zhǔn)的制定和執(zhí)行都會(huì)有些僵化，如果不能很好地處理，會(huì)帶來很多困擾理，會(huì)帶來很多困擾 如定級(jí)過高，過度投資如定級(jí)過高，過度投資 額外引進(jìn)一套體系而難以融合額外引進(jìn)一套體系而難以融合 和實(shí)際情況有差距，和實(shí)際情況有差距，“削足適履削足適履”等等 屬地化管理，因?yàn)槭±锛夹g(shù)和認(rèn)識(shí)的限制，可能會(huì)走屬地化管理，因?yàn)槭±锛夹g(shù)和認(rèn)識(shí)的限制，可能會(huì)走樣，個(gè)別省分行會(huì)承受很多壓力，需要總行來處理樣，個(gè)別省分行會(huì)承受很多壓力，需要總行來處理對(duì)待等級(jí)保護(hù)的建議對(duì)待等級(jí)保護(hù)的建議積極來對(duì)待等級(jí)保護(hù)，以此為契機(jī)來推動(dòng)信息

14、安全工作，作為積極來對(duì)待等級(jí)保護(hù)，以此為契機(jī)來推動(dòng)信息安全工作，作為“”，化被動(dòng)為主動(dòng)，化被動(dòng)為主動(dòng) 國家非常重視，會(huì)長期實(shí)施，每年檢查，要應(yīng)付也不是很容易國家非常重視，會(huì)長期實(shí)施，每年檢查，要應(yīng)付也不是很容易：較好地現(xiàn)實(shí)情況結(jié)合，真正發(fā)揮作用：較好地現(xiàn)實(shí)情況結(jié)合，真正發(fā)揮作用 有效整合和利用現(xiàn)有安全設(shè)施有效整合和利用現(xiàn)有安全設(shè)施 融合其他符合性要求（內(nèi)控，融合其他符合性要求（內(nèi)控，2700127001等），形成一套體系等），形成一套體系 反映行業(yè)與業(yè)務(wù)特性，反映安全要求的差異性，并滿足超過指標(biāo)的反映行業(yè)與業(yè)務(wù)特性，反映安全要求的差異性，并滿足超過指標(biāo)的高要求高要求 避免成為走過場(chǎng)，來建立長效

15、機(jī)制，做到可持續(xù)運(yùn)行、發(fā)展和完善避免成為走過場(chǎng)，來建立長效機(jī)制，做到可持續(xù)運(yùn)行、發(fā)展和完善： 獲得領(lǐng)導(dǎo)的重視和支持，統(tǒng)一各部門的認(rèn)識(shí)獲得領(lǐng)導(dǎo)的重視和支持，統(tǒng)一各部門的認(rèn)識(shí) 熟悉國家管理部門和測(cè)評(píng)機(jī)構(gòu)的規(guī)則熟悉國家管理部門和測(cè)評(píng)機(jī)構(gòu)的規(guī)則 選擇一個(gè)好的合作伙伴選擇一個(gè)好的合作伙伴我們?cè)趺纯创燃?jí)保護(hù)？我們?cè)趺纯创燃?jí)保護(hù)？我們?cè)趺撮_展等級(jí)保護(hù)？我們?cè)趺撮_展等級(jí)保護(hù)？我們采用什么樣的技術(shù)方法？我們采用什么樣的技術(shù)方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個(gè)問題今天探討的幾個(gè)問題標(biāo)準(zhǔn)中的等級(jí)保護(hù)生命周期標(biāo)準(zhǔn)中的等級(jí)保護(hù)生命周期信息系統(tǒng)等級(jí)保護(hù)實(shí)施生命周期內(nèi)的主要活動(dòng)規(guī)劃設(shè)計(jì)階

16、段安全實(shí)施/實(shí)現(xiàn)階段安全運(yùn)行管理階段等級(jí)化風(fēng)險(xiǎn)評(píng)估安全總體設(shè)計(jì)安全建設(shè)規(guī)劃安全方案設(shè)計(jì) 安全產(chǎn)品采購安全控制集成測(cè)試與驗(yàn)收管理機(jī)構(gòu)的設(shè)置管理制度的建設(shè)人員配置和崗位培訓(xùn)安全建設(shè)過程的管理操作管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處置和應(yīng)急預(yù)案安全評(píng)估和持續(xù)改進(jìn)監(jiān)督檢查定級(jí)階段系統(tǒng)調(diào)查和描述子系統(tǒng)劃分/分解子系統(tǒng)邊界確定安全等級(jí)確定定級(jí)結(jié)果文檔化大型系統(tǒng)等級(jí)保護(hù)實(shí)施流程大型系統(tǒng)等級(jí)保護(hù)實(shí)施流程7. 7. 安全體系運(yùn)營和維護(hù)安全體系運(yùn)營和維護(hù)6.6.測(cè)評(píng)后整改測(cè)評(píng)后整改1.1.系統(tǒng)定級(jí)系統(tǒng)定級(jí)3.3.安全體系與規(guī)劃安全體系與規(guī)劃2.2.等級(jí)化風(fēng)險(xiǎn)評(píng)估等級(jí)化風(fēng)險(xiǎn)評(píng)估4.4.本年安全建設(shè)本年安全

17、建設(shè)系列安全項(xiàng)目實(shí)施系列安全項(xiàng)目實(shí)施內(nèi)部安全管理建設(shè)內(nèi)部安全管理建設(shè)5.5.年度系統(tǒng)測(cè)評(píng)年度系統(tǒng)測(cè)評(píng)6.6.測(cè)評(píng)后整改測(cè)評(píng)后整改4.4.下一年安全建設(shè)下一年安全建設(shè)系列安全項(xiàng)目實(shí)施系列安全項(xiàng)目實(shí)施內(nèi)部安全管理建設(shè)內(nèi)部安全管理建設(shè)5.5.年度系統(tǒng)測(cè)評(píng)年度系統(tǒng)測(cè)評(píng)開展信息安全工作的總體邏輯開展信息安全工作的總體邏輯我們的方向是什么？我們的目標(biāo)是什么，做成什么樣？我們現(xiàn)在的起點(diǎn)在哪里？我們?cè)趺醋?？做得效果如何，還有什么問題？我們開始做了1.1.信息安全的使命和目標(biāo)信息安全的使命和目標(biāo)3.3.安全現(xiàn)狀安全現(xiàn)狀2.2.安全體系框架與指標(biāo)安全體系框架與指標(biāo)4.4.信息安全規(guī)劃信息安全規(guī)劃5.5.管理體系推

18、管理體系推廣與實(shí)施廣與實(shí)施7.7.體系運(yùn)營和持續(xù)改進(jìn)體系運(yùn)營和持續(xù)改進(jìn)6.6.技術(shù)體系實(shí)技術(shù)體系實(shí)施與工程建設(shè)施與工程建設(shè)8.8.定期評(píng)估、檢查、審計(jì)和定期評(píng)估、檢查、審計(jì)和持續(xù)改進(jìn)持續(xù)改進(jìn)安全規(guī)劃的方法安全規(guī)劃的方法每年一次每年一次滾動(dòng)規(guī)劃滾動(dòng)規(guī)劃三年一次三年一次完整規(guī)劃完整規(guī)劃1.1.信息安全的宗旨和目標(biāo)信息安全的宗旨和目標(biāo)3.3.信息安全現(xiàn)狀信息安全現(xiàn)狀2.2.信息安全體系框架信息安全體系框架4.4.信息安全規(guī)劃信息安全規(guī)劃5.5.管理體系推廣管理體系推廣與實(shí)施與實(shí)施7.7.體系運(yùn)營和維護(hù)體系運(yùn)營和維護(hù)6.6.技術(shù)體系實(shí)施技術(shù)體系實(shí)施與工程建設(shè)與工程建設(shè)8.8.定期評(píng)估、檢查、審計(jì)定期評(píng)

19、估、檢查、審計(jì)和持續(xù)改進(jìn)和持續(xù)改進(jìn)安全體系設(shè)計(jì)安全體系設(shè)計(jì)與規(guī)劃項(xiàng)目與規(guī)劃項(xiàng)目體系設(shè)計(jì)體系設(shè)計(jì)安全規(guī)劃安全規(guī)劃策略設(shè)計(jì)策略設(shè)計(jì)04.11-05.304.11-05.3安全工作進(jìn)程中關(guān)鍵里程碑安全工作進(jìn)程中關(guān)鍵里程碑時(shí)間時(shí)間網(wǎng)絡(luò)全面深度網(wǎng)絡(luò)全面深度評(píng)估項(xiàng)目評(píng)估項(xiàng)目評(píng)估安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)三年安全規(guī)劃三年安全規(guī)劃04.6-804.6-804.304.3成立安全領(lǐng)導(dǎo)小成立安全領(lǐng)導(dǎo)小組，確定了安全組，確定了安全工作是工作是0404年重點(diǎn)，年重點(diǎn)，決定啟動(dòng)評(píng)估項(xiàng)決定啟動(dòng)評(píng)估項(xiàng)目目04.804.8召開公司信息安召開公司信息安全領(lǐng)導(dǎo)小組會(huì)議，全領(lǐng)導(dǎo)小組會(huì)議，匯報(bào)評(píng)估結(jié)果，匯報(bào)評(píng)估結(jié)果，引起領(lǐng)導(dǎo)高度重引起領(lǐng)導(dǎo)

20、高度重視，認(rèn)為公司安視，認(rèn)為公司安全問題非常嚴(yán)重，全問題非常嚴(yán)重，應(yīng)該作為重點(diǎn)工應(yīng)該作為重點(diǎn)工作大力來抓。確作大力來抓。確定把建設(shè)安全體定把建設(shè)安全體系作為核心任務(wù)系作為核心任務(wù)召開了召開了“公司信公司信息安全工作組第息安全工作組第一次會(huì)議一次會(huì)議” ” ，建立信息安全組建立信息安全組織，成立安全工織，成立安全工作組和辦公室，作組和辦公室，會(huì)議通過了會(huì)議通過了信信息安全組織體系息安全組織體系和職責(zé)和職責(zé)，05.105.105.405.4召開工作組二召開工作組二次會(huì)議，批準(zhǔn)次會(huì)議，批準(zhǔn)了了安全體系安全體系和和安全策略安全策略系列文件系列文件，并下發(fā)并下發(fā)確定信息安全確定信息安全主管部門主管部門0

21、4.104.1安全規(guī)劃與等級(jí)安全規(guī)劃與等級(jí)保護(hù)項(xiàng)目保護(hù)項(xiàng)目新的三年規(guī)劃新的三年規(guī)劃等級(jí)保護(hù)認(rèn)證等級(jí)保護(hù)認(rèn)證06.9-07.206.9-07.2開始系統(tǒng)的建設(shè)：開始系統(tǒng)的建設(shè)：安全域劃分和網(wǎng)安全域劃分和網(wǎng)絡(luò)安全改造絡(luò)安全改造定期安全評(píng)估定期安全評(píng)估全員安全培訓(xùn)全員安全培訓(xùn)安全體系試點(diǎn)推安全體系試點(diǎn)推廣廣安全監(jiān)控與審計(jì)安全監(jiān)控與審計(jì)統(tǒng)一身份認(rèn)證統(tǒng)一身份認(rèn)證防病毒防病毒安全加固安全加固安全管理系統(tǒng)軟安全管理系統(tǒng)軟件件05-0605-06年年0404年年0707年年會(huì)議會(huì)議項(xiàng)目項(xiàng)目信息安全戰(zhàn)略使命設(shè)計(jì)信息安全戰(zhàn)略使命設(shè)計(jì)保障業(yè)務(wù)安全和穩(wěn)定的運(yùn)行，保證業(yè)務(wù)連續(xù)性，保護(hù)公司的商業(yè)機(jī)密保障業(yè)務(wù)安全和穩(wěn)定的運(yùn)

22、行，保證業(yè)務(wù)連續(xù)性，保護(hù)公司的商業(yè)機(jī)密和技術(shù)機(jī)密，為公司日常運(yùn)轉(zhuǎn)提供良好基礎(chǔ)，支持和促進(jìn)公司業(yè)務(wù)目和技術(shù)機(jī)密，為公司日常運(yùn)轉(zhuǎn)提供良好基礎(chǔ)，支持和促進(jìn)公司業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)；標(biāo)的實(shí)現(xiàn)；保護(hù)用戶隱私，保護(hù)用戶資料的機(jī)密性，維護(hù)用戶的利益；保護(hù)用戶隱私，保護(hù)用戶資料的機(jī)密性，維護(hù)用戶的利益；達(dá)到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，成為廣大用戶對(duì)公司達(dá)到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，成為廣大用戶對(duì)公司信賴的基礎(chǔ)，提高公司的安全形象，確?？蛻舻男判?；信賴的基礎(chǔ)，提高公司的安全形象，確?？蛻舻男判?；為社會(huì)和用戶提供安全和持續(xù)的業(yè)務(wù)服務(wù)，維護(hù)國家安全，社會(huì)穩(wěn)定為社會(huì)和用戶提供安全和持續(xù)的業(yè)務(wù)服務(wù)，維護(hù)

23、國家安全，社會(huì)穩(wěn)定和經(jīng)濟(jì)秩序，維護(hù)公眾利益。和經(jīng)濟(jì)秩序，維護(hù)公眾利益。規(guī)范業(yè)務(wù)秩序規(guī)范業(yè)務(wù)秩序保護(hù)競(jìng)爭(zhēng)優(yōu)勢(shì)保護(hù)競(jìng)爭(zhēng)優(yōu)勢(shì)維護(hù)企業(yè)聲譽(yù)維護(hù)企業(yè)聲譽(yù)依從法律法規(guī)依從法律法規(guī)信息安全信息安全戰(zhàn)略使命戰(zhàn)略使命信息安全工作的目標(biāo)設(shè)計(jì)舉例信息安全工作的目標(biāo)設(shè)計(jì)舉例 長期安全目標(biāo)：長期安全目標(biāo)： 建成國際一流、國內(nèi)領(lǐng)先的信息安全保障體系，達(dá)建成國際一流、國內(nèi)領(lǐng)先的信息安全保障體系，達(dá)到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，同步到國際一流、國內(nèi)領(lǐng)先的信息安全保障水平，同步或領(lǐng)先的公司信息化水平，保障和促進(jìn)公司業(yè)務(wù)發(fā)或領(lǐng)先的公司信息化水平，保障和促進(jìn)公司業(yè)務(wù)發(fā)展和業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)展和業(yè)務(wù)目標(biāo)的實(shí)現(xiàn) 20042006

24、年的安全目標(biāo)：年的安全目標(biāo)： 短期目標(biāo)：解決目前急迫和關(guān)鍵的問題，爭(zhēng)取在短短期目標(biāo)：解決目前急迫和關(guān)鍵的問題，爭(zhēng)取在短期內(nèi)安全狀況有大幅度提高。期內(nèi)安全狀況有大幅度提高。 三年目標(biāo)：搭建安全體系框架，初步建成信息安全三年目標(biāo)：搭建安全體系框架，初步建成信息安全體系體系信息安全工作的目標(biāo)設(shè)計(jì)舉例信息安全工作的目標(biāo)設(shè)計(jì)舉例20072009的目標(biāo)：在全公司范圍內(nèi)逐步建設(shè)、的目標(biāo)：在全公司范圍內(nèi)逐步建設(shè)、推廣和完善信息安全體系，滿足奧運(yùn)會(huì)，推廣和完善信息安全體系，滿足奧運(yùn)會(huì)，SOX及及等級(jí)保護(hù)的要求，達(dá)到國內(nèi)領(lǐng)先的水平。等級(jí)保護(hù)的要求，達(dá)到國內(nèi)領(lǐng)先的水平。逐步完善現(xiàn)有的公司信息安全保障體系，并在全公司

25、逐步完善現(xiàn)有的公司信息安全保障體系，并在全公司范圍內(nèi)進(jìn)行推廣和實(shí)施，符合國家等級(jí)保護(hù)和范圍內(nèi)進(jìn)行推廣和實(shí)施，符合國家等級(jí)保護(hù)和SOX的的要求。要求。根據(jù)根據(jù)2008北京奧運(yùn)的安全要求，進(jìn)行有針對(duì)性和高強(qiáng)北京奧運(yùn)的安全要求，進(jìn)行有針對(duì)性和高強(qiáng)度的安全建設(shè)和保障工作，確保奧運(yùn)期間萬無一失。度的安全建設(shè)和保障工作，確保奧運(yùn)期間萬無一失。逐步、分階段、分部門的建立安全技術(shù)基礎(chǔ)平臺(tái)，基逐步、分階段、分部門的建立安全技術(shù)基礎(chǔ)平臺(tái)，基本完成公司信息安全本完成公司信息安全技術(shù)技術(shù)體系的建設(shè)體系的建設(shè)，并，并持續(xù)改進(jìn)和持續(xù)改進(jìn)和完善。完善。我們?cè)趺纯创燃?jí)保護(hù)？我們?cè)趺纯创燃?jí)保護(hù)？我們?cè)趺撮_展等級(jí)保護(hù)？我們?cè)?/p>

26、么開展等級(jí)保護(hù)？我們采用什么樣的技術(shù)方法？我們采用什么樣的技術(shù)方法？現(xiàn)在，我們第一步做什么？現(xiàn)在，我們第一步做什么？今天探討的幾個(gè)問題今天探討的幾個(gè)問題等級(jí)保護(hù)基本需求等級(jí)保護(hù)基本需求政策要求符合等級(jí)保護(hù)的要求政策要求符合等級(jí)保護(hù)的要求系統(tǒng)定級(jí)并備案系統(tǒng)定級(jí)并備案系統(tǒng)達(dá)到系統(tǒng)達(dá)到基本要求基本要求相應(yīng)級(jí)別的指標(biāo)相應(yīng)級(jí)別的指標(biāo)符合符合測(cè)評(píng)準(zhǔn)則測(cè)評(píng)準(zhǔn)則要求，并通過測(cè)評(píng)要求，并通過測(cè)評(píng)實(shí)際需求滿足實(shí)際要求實(shí)際需求滿足實(shí)際要求融合現(xiàn)有的安全體系或安全設(shè)施融合現(xiàn)有的安全體系或安全設(shè)施同時(shí)滿足客戶的其他符合性要求，如同時(shí)滿足客戶的其他符合性要求，如SOXSOX，國際標(biāo)準(zhǔn)，行業(yè)，國際標(biāo)準(zhǔn)，行業(yè)標(biāo)準(zhǔn)等標(biāo)準(zhǔn)等適應(yīng)

27、業(yè)務(wù)特性與安全要求的差異性，并滿足超過指標(biāo)的高適應(yīng)業(yè)務(wù)特性與安全要求的差異性，并滿足超過指標(biāo)的高要求要求需要整體考慮所有系統(tǒng)，統(tǒng)一進(jìn)行安全建設(shè)和管理需要整體考慮所有系統(tǒng)，統(tǒng)一進(jìn)行安全建設(shè)和管理需要建立長效機(jī)制，可持續(xù)運(yùn)行、發(fā)展和完善需要建立長效機(jī)制，可持續(xù)運(yùn)行、發(fā)展和完善等級(jí)保護(hù)需求分析等級(jí)保護(hù)需求分析融合現(xiàn)有安全設(shè)施基礎(chǔ)上，融合融合現(xiàn)有安全設(shè)施基礎(chǔ)上，融合客戶的其他客戶的其他符合性要求，從整體出發(fā)，統(tǒng)一符合性要求，從整體出發(fā)，統(tǒng)一建設(shè)建設(shè)/ /改造一改造一套符合等級(jí)保護(hù)制度的安全體系套符合等級(jí)保護(hù)制度的安全體系 采用安全域框架設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估的方法，反映行采用安全域框架設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估的方法，反

28、映行業(yè)形象與業(yè)務(wù)特性，反映安全要求的差異性，并業(yè)形象與業(yè)務(wù)特性，反映安全要求的差異性，并滿足超過指標(biāo)的高要求滿足超過指標(biāo)的高要求 采用統(tǒng)一安全平臺(tái)建設(shè)基礎(chǔ)上各系統(tǒng)單獨(dú)保護(hù)的采用統(tǒng)一安全平臺(tái)建設(shè)基礎(chǔ)上各系統(tǒng)單獨(dú)保護(hù)的方法，解決各系統(tǒng)單獨(dú)保護(hù)形成信息的孤島和分方法，解決各系統(tǒng)單獨(dú)保護(hù)形成信息的孤島和分散重復(fù)建設(shè)散重復(fù)建設(shè) 采用建立一套安全運(yùn)維體系的方法，來建立長效采用建立一套安全運(yùn)維體系的方法，來建立長效機(jī)制，做到可持續(xù)運(yùn)行、發(fā)展和完善機(jī)制，做到可持續(xù)運(yùn)行、發(fā)展和完善整體整體安全目標(biāo)安全目標(biāo)分等級(jí)的分等級(jí)的保護(hù)對(duì)象框架保護(hù)對(duì)象框架體系建設(shè)體系建設(shè)和運(yùn)行和運(yùn)行組織體系組織體系技術(shù)體系技術(shù)體系運(yùn)作體系

29、運(yùn)作體系策略體系策略體系安全要求與對(duì)策框架安全要求與對(duì)策框架客戶的信息資產(chǎn)客戶的信息資產(chǎn)定級(jí)定級(jí)分解分解國家規(guī)定國家規(guī)定的各等級(jí)的各等級(jí)安全要求安全要求定制定制分等級(jí)的分等級(jí)的安全目標(biāo)安全目標(biāo)等級(jí)保護(hù)體系等級(jí)保護(hù)體系總體設(shè)計(jì)方法總體設(shè)計(jì)方法TopSecTopSec等級(jí)保護(hù)體系等級(jí)保護(hù)體系安全域框架設(shè)計(jì)方法銀行業(yè)安全域框架設(shè)計(jì)方法銀行業(yè)安全域框架石油行業(yè)安全域框架石油行業(yè)安全域框架安全域框架- -政府行業(yè)政府行業(yè)中央節(jié)點(diǎn)中央節(jié)點(diǎn)直屬節(jié)點(diǎn)直屬節(jié)點(diǎn)政務(wù)外網(wǎng)政務(wù)外網(wǎng)政務(wù)專網(wǎng)政務(wù)專網(wǎng)政務(wù)內(nèi)網(wǎng)政務(wù)內(nèi)網(wǎng)安全域框架電信行業(yè)安全域框架電信行業(yè)項(xiàng)目建設(shè)項(xiàng)目建設(shè)安全管理安全管理安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)管理管理安全運(yùn)行安全運(yùn)

30、行維護(hù)維護(hù)安全體系安全體系的建設(shè)的建設(shè)制定企業(yè)或制定企業(yè)或部門級(jí)體系部門級(jí)體系制定總體制定總體安全體系安全體系按要求開展工作按要求開展工作安全目標(biāo)安全目標(biāo)安全要求安全要求提出安全提出安全規(guī)范、要求規(guī)范、要求根據(jù)要求根據(jù)要求評(píng)估建設(shè)評(píng)估建設(shè)跟蹤、定期審核跟蹤、定期審核安全建設(shè)工作安全建設(shè)工作按要求進(jìn)行按要求進(jìn)行安全建設(shè)工作安全建設(shè)工作申請(qǐng)立項(xiàng)申請(qǐng)立項(xiàng)提供項(xiàng)目安全說明提供項(xiàng)目安全說明弱點(diǎn)評(píng)估弱點(diǎn)評(píng)估系統(tǒng)加固系統(tǒng)加固安全事件處理安全事件處理按要求進(jìn)行按要求進(jìn)行建設(shè)建設(shè)應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)計(jì)劃定期評(píng)估定期評(píng)估安全現(xiàn)狀安全現(xiàn)狀監(jiān)控、審計(jì)監(jiān)控、審計(jì)安全現(xiàn)狀安全現(xiàn)狀安全預(yù)警安全預(yù)警提出規(guī)范、要求提出規(guī)范、要求設(shè)備安全維護(hù)設(shè)備安全維護(hù)系統(tǒng)安全維護(hù)系統(tǒng)安全維護(hù)考核和檢查考核和檢查落實(shí)規(guī)范、要求落實(shí)規(guī)范、要求制定運(yùn)維作業(yè)計(jì)劃制定運(yùn)維作業(yè)計(jì)劃總部層面總部層面省