信息系统等级保护与风险管理(ppt 32页)

信息系统等级保护与风险管理目录：
1 信息安全等级保护 
1.1 我国信息安全等级保护 
1.2 国外信息安全等级保护 
2 信息安全风险管理 
3 信息系统风险评估 
3.1 信息安全风险评估概述 
3.2 信息安全风险评估方法

 

信息系统等级保护与风险管理内容提要：
信息安全等级保护：
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。
我国信息安全等级保护：
信息安全等级保护制度的实施，必将大大提高我国的信息安全水平，有力保护我国信息化建设成果。同时，我国相关的信息安全企业也将得到实惠。有关技术专家分析，国家对于信息系统以及相关安全产品进行等级划分，会使很多企事业单位的安全意识更加增强，有了这样的认识之后，信息安全厂商的相关产品才能够被广泛了解，安全厂商可以应针对等级划分要把自己的产品进行有针对性的调整，相关解决方案是否符合当前信息系统的安全需求也可以经过等级评估的检验。我国的信息系统的安全保护等级分为以下五级：
(1) 第一级为自主保护级。由用户来决定如何对资源进行保护，以及采用何种方式进行保护。
本级别适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。
(2) 第二级为指导保护级。本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。
本级别适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。
(3) 第三级为监督保护级。具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。
本级别适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。

..............................