天融信等級(jí)保護(hù)

1、天融信等級(jí)保護(hù)解決方案天融信等級(jí)保護(hù)解決方案TopSec等級(jí)保護(hù)體系等級(jí)保護(hù)體系天融信安全服務(wù)總監(jiān)天融信安全服務(wù)總監(jiān) 田野田野 Tian_Tian_等級(jí)保護(hù)的政策文件等級(jí)保護(hù)的政策文件20032003年年9 9月月中辦國(guó)辦頒發(fā)中辦國(guó)辦頒發(fā)關(guān)于加強(qiáng)信息安關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)全保障工作的意見(jiàn)中辦發(fā)中辦發(fā)200327200327號(hào)號(hào)20052005年年9 9月月國(guó)信辦文件國(guó)信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電電子政務(wù)信息安全等子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南級(jí)保護(hù)實(shí)施指南的通知的通知 國(guó)信辦國(guó)信辦200425200425號(hào)號(hào)20062006年年1 1月月四部委會(huì)簽四部委會(huì)簽 關(guān)于印發(fā)關(guān)于印發(fā)信信息安

2、全等級(jí)保護(hù)管息安全等級(jí)保護(hù)管理辦法的通知理辦法的通知 公通字公通字2006720067號(hào)號(hào)20052005年年 公安部標(biāo)準(zhǔn)公安部標(biāo)準(zhǔn)基本要求基本要求定級(jí)指南定級(jí)指南實(shí)施指南實(shí)施指南測(cè)評(píng)準(zhǔn)則測(cè)評(píng)準(zhǔn)則20042004年年1111月月四部委會(huì)簽四部委會(huì)簽關(guān)于信息安全等關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施級(jí)保護(hù)工作的實(shí)施意見(jiàn)意見(jiàn)公通字公通字200466200466號(hào)號(hào)云南云南云南省人民云南省人民政府第政府第130130號(hào)令號(hào)令 浙江浙江浙江省人民浙江省人民政府令政府令 北京北京北京政府第北京政府第9 9號(hào)令號(hào)令 國(guó)家級(jí)政策文件國(guó)家級(jí)政策文件國(guó)家級(jí)技術(shù)標(biāo)準(zhǔn)國(guó)家級(jí)技術(shù)標(biāo)準(zhǔn)國(guó)家級(jí)政策文件國(guó)家級(jí)政策文件地方政策文件

3、地方政策文件等級(jí)保護(hù)的管理結(jié)構(gòu)北京為例等級(jí)保護(hù)的管理結(jié)構(gòu)北京為例國(guó)家信息辦國(guó)家信息辦公安部網(wǎng)監(jiān)局公安部網(wǎng)監(jiān)局北京信息辦北京信息辦北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京測(cè)評(píng)中心北京測(cè)評(píng)中心北京研究一所北京研究一所管理職能：管理職能：監(jiān)管和測(cè)評(píng)監(jiān)管和測(cè)評(píng)技術(shù)支持單位：技術(shù)支持單位：定級(jí)、測(cè)評(píng)定級(jí)、測(cè)評(píng)安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商服務(wù)實(shí)施單位：服務(wù)實(shí)施單位：咨詢、實(shí)施、產(chǎn)咨詢、實(shí)施、產(chǎn)品、運(yùn)維品、運(yùn)維北京信息辦北京信息辦北京信息辦北京信息辦北京測(cè)評(píng)中心北京測(cè)評(píng)中心北京測(cè)評(píng)中心北京測(cè)評(píng)中心北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京公安局網(wǎng)監(jiān)處北京研究一所北京

4、研究一所北京研究一所北京研究一所安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商安全廠商、服務(wù)商政策、宏觀管政策、宏觀管理、協(xié)調(diào)理、協(xié)調(diào)電子政務(wù)領(lǐng)域電子政務(wù)領(lǐng)域其他行業(yè)領(lǐng)域其他行業(yè)領(lǐng)域北京市屬北京市屬的電子政的電子政務(wù)系統(tǒng)務(wù)系統(tǒng)地處北京地處北京的各部委的各部委各行業(yè)各行業(yè)等級(jí)保護(hù)的政策文件與技術(shù)演進(jìn)等級(jí)保護(hù)的政策文件與技術(shù)演進(jìn)20032003年年9 9月月中辦國(guó)辦頒發(fā)中辦國(guó)辦頒發(fā)關(guān)于加強(qiáng)信息安全保關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)障工作的意見(jiàn)（中辦發(fā)（中辦發(fā)200327200327號(hào)）號(hào)）20042004年年1111月月四部委會(huì)簽四部

5、委會(huì)簽關(guān)于信息安全等級(jí)保關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)護(hù)工作的實(shí)施意見(jiàn)（公通字（公通字200466200466號(hào)）號(hào)）20052005年年9 9月月國(guó)信辦文件國(guó)信辦文件 關(guān)于轉(zhuǎn)發(fā)關(guān)于轉(zhuǎn)發(fā)電子政電子政務(wù)信息安全等級(jí)保護(hù)實(shí)務(wù)信息安全等級(jí)保護(hù)實(shí)施指南施指南的通知的通知 （國(guó)信辦（國(guó)信辦200425200425號(hào)）號(hào)）20052005年年 公安部標(biāo)準(zhǔn)公安部標(biāo)準(zhǔn)等級(jí)保護(hù)安全要求等級(jí)保護(hù)安全要求等級(jí)保護(hù)定級(jí)指南等級(jí)保護(hù)定級(jí)指南等級(jí)保護(hù)實(shí)施指南等級(jí)保護(hù)實(shí)施指南等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則總結(jié)成一種安全工總結(jié)成一種安全工作的方法和原則作的方法和原則最先作為最先作為“適度適度安全安全”的工作思的工作思路

6、提出路提出確認(rèn)為國(guó)家信息安確認(rèn)為國(guó)家信息安全的基本制度，安全的基本制度，安全工作的根本方法全工作的根本方法形成等級(jí)保護(hù)的基形成等級(jí)保護(hù)的基本理論框架，制定本理論框架，制定了方法，過(guò)程和標(biāo)了方法，過(guò)程和標(biāo)準(zhǔn)準(zhǔn)等級(jí)保護(hù)基本需求等級(jí)保護(hù)基本需求 政策要求符合等級(jí)保護(hù)的要求政策要求符合等級(jí)保護(hù)的要求 系統(tǒng)定級(jí)系統(tǒng)定級(jí) 系統(tǒng)符合系統(tǒng)符合基本要求基本要求中相應(yīng)級(jí)別的指標(biāo)中相應(yīng)級(jí)別的指標(biāo) 符合符合測(cè)評(píng)準(zhǔn)則測(cè)評(píng)準(zhǔn)則中的要求中的要求 實(shí)際需求適應(yīng)客戶實(shí)際情況實(shí)際需求適應(yīng)客戶實(shí)際情況適應(yīng)業(yè)務(wù)特性與安全要求的差異性適應(yīng)業(yè)務(wù)特性與安全要求的差異性可工程化實(shí)施可工程化實(shí)施基本安全要求中的各級(jí)指標(biāo)基本安全要求中的各級(jí)指標(biāo)

7、某級(jí)系統(tǒng)某級(jí)系統(tǒng)物理安全物理安全技術(shù)要求技術(shù)要求管理要求管理要求基本要求基本要求網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主機(jī)安全主機(jī)安全應(yīng)用安全應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)安全管理制度安全管理制度人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理等級(jí)保護(hù)的生命周期等級(jí)保護(hù)的生命周期信息系統(tǒng)等級(jí)保護(hù)實(shí)施生命周期內(nèi)的主要活動(dòng)規(guī)劃設(shè)計(jì)階段安全實(shí)施/實(shí)現(xiàn)階段安全運(yùn)行管理階段等級(jí)化風(fēng)險(xiǎn)評(píng)估安全總體設(shè)計(jì)安全建設(shè)規(guī)劃安全方案設(shè)計(jì) 安全產(chǎn)品采購(gòu)安全控制集成測(cè)試與驗(yàn)收管理機(jī)構(gòu)的設(shè)置管理制度的建設(shè)人員配置和崗位培訓(xùn)安全建設(shè)過(guò)程的管理操作管理和控制變更管理和控制安全狀態(tài)監(jiān)控安全事件處置和應(yīng)急預(yù)案安

8、全評(píng)估和持續(xù)改進(jìn)監(jiān)督檢查定級(jí)階段系統(tǒng)調(diào)查和描述子系統(tǒng)劃分/分解子系統(tǒng)邊界確定安全等級(jí)確定定級(jí)結(jié)果文檔化等級(jí)保護(hù)實(shí)施中需要解決的問(wèn)題等級(jí)保護(hù)實(shí)施中需要解決的問(wèn)題標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)組織整體出發(fā)，整體考慮所有系統(tǒng) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島 復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難 各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持在建

9、立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善續(xù)運(yùn)行、發(fā)展和完善管理難度太大，管理成本高管理難度太大，管理成本高需求分析需求分析1問(wèn)題問(wèn)題1 1：標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)是從組織整體出發(fā)，整體考慮所有系統(tǒng) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)需求：從組織整體出發(fā)，綜合考核所有系統(tǒng)方法：引入體系設(shè)計(jì)方法方法：引入體系設(shè)計(jì)方法組織戰(zhàn)略和業(yè)務(wù)目標(biāo)組織戰(zhàn)略和業(yè)務(wù)目標(biāo)組織總體信息安全目標(biāo)組織總體信息安全目標(biāo)安全要求安全要求安全措施安全

10、措施結(jié)構(gòu)體結(jié)構(gòu)體安全體系設(shè)計(jì)方法安全體系設(shè)計(jì)方法結(jié)構(gòu)化分解原則：從組織總體目標(biāo)出發(fā)充分覆蓋，互不重疊，不可再細(xì)分安全體系的組成安全體系的組成安全問(wèn)題保護(hù)對(duì)保護(hù)對(duì)象框架象框架安全對(duì)安全對(duì)策框架策框架界定和分解界定和分解映射映射安全體系安全體系綜合綜合需求分析需求分析2標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)組織整體出發(fā)，整體考慮所有系統(tǒng) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島 復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難 需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的

11、分解和描述，反映實(shí)際需求：準(zhǔn)確地進(jìn)行大系統(tǒng)的分解和描述，反映實(shí)際特性和差異性安全要求特性和差異性安全要求 方法：引入保護(hù)對(duì)象框架設(shè)計(jì)方法方法：引入保護(hù)對(duì)象框架設(shè)計(jì)方法保護(hù)對(duì)象框架電信行業(yè)保護(hù)對(duì)象框架電信行業(yè)保護(hù)對(duì)象框架保護(hù)對(duì)象框架-政府行業(yè)政府行業(yè)中央節(jié)點(diǎn)中央節(jié)點(diǎn)直屬節(jié)點(diǎn)直屬節(jié)點(diǎn)政務(wù)外網(wǎng)政務(wù)外網(wǎng)政務(wù)專網(wǎng)政務(wù)專網(wǎng)政務(wù)內(nèi)網(wǎng)政務(wù)內(nèi)網(wǎng)保護(hù)對(duì)象框架銀行業(yè)保護(hù)對(duì)象框架銀行業(yè)需求分析需求分析3標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)組織整體出發(fā)，整體考慮所有系統(tǒng) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息

12、孤島 復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難 各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平 需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降需求：統(tǒng)一規(guī)劃，集中建設(shè)，避免重復(fù)和分散，降低成本，提高建設(shè)水平低成本，提高建設(shè)水平 方法：引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法方法：引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法終端管理和防病毒集中管理平臺(tái)終端管理和防病毒集中管理平臺(tái)集中機(jī)房與物理環(huán)境安全集中機(jī)房與物理環(huán)境安全安全管理運(yùn)行中心安全管理運(yùn)行中心終端管理和防病毒集中管理平臺(tái)終端管理和防病毒集中管理平臺(tái)防病毒、補(bǔ)丁和終端管理平臺(tái)防病毒

13、、補(bǔ)丁和終端管理平臺(tái)終端安全全程全網(wǎng)監(jiān)控和審計(jì)平臺(tái)全程全網(wǎng)監(jiān)控和審計(jì)平臺(tái)全網(wǎng)統(tǒng)一監(jiān)控和審計(jì)平臺(tái)全網(wǎng)統(tǒng)一監(jiān)控和審計(jì)平臺(tái)終端管理和防病毒集中管理平臺(tái)終端管理和防病毒集中管理平臺(tái)安全域和網(wǎng)絡(luò)訪問(wèn)控制平臺(tái)安全域和網(wǎng)絡(luò)訪問(wèn)控制平臺(tái)基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施安全網(wǎng)絡(luò)安全監(jiān)控審計(jì)第三方統(tǒng)一安全接入平臺(tái)第三方統(tǒng)一安全接入平臺(tái)應(yīng)用加密平臺(tái)應(yīng)用加密平臺(tái)第三方統(tǒng)一安全接入平臺(tái)第三方統(tǒng)一安全接入平臺(tái)統(tǒng)一鑒別認(rèn)證平臺(tái)統(tǒng)一鑒別認(rèn)證平臺(tái)數(shù)據(jù)備份與冗災(zāi)平臺(tái)數(shù)據(jù)備份與冗災(zāi)平臺(tái)統(tǒng)一身份認(rèn)證與授權(quán)管理平臺(tái)統(tǒng)一身份認(rèn)證與授權(quán)管理平臺(tái)認(rèn)證授權(quán)數(shù)據(jù)安全加密應(yīng)用安全應(yīng)用安全安全平臺(tái)安全平臺(tái)物理安全平臺(tái)定義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境平臺(tái)定

14、義：為系統(tǒng)提供互操作性及其服務(wù)的環(huán)境需求分析需求分析4標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整體出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)出發(fā)，整體考慮所有系統(tǒng)各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善發(fā)展和完善需求：建立長(zhǎng)效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)

15、展和完善的需求：建立長(zhǎng)效機(jī)制，建立可持續(xù)運(yùn)行、發(fā)展和完善的體系體系方法：建立安全運(yùn)行體系方法：建立安全運(yùn)行體系項(xiàng)目建設(shè)項(xiàng)目建設(shè)安全管理安全管理安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)管理管理安全運(yùn)行安全運(yùn)行維護(hù)維護(hù)安全體系安全體系的建設(shè)的建設(shè)制定企業(yè)或制定企業(yè)或部門(mén)級(jí)體系部門(mén)級(jí)體系制定總體制定總體安全體系安全體系按要求開(kāi)展工作按要求開(kāi)展工作安全目標(biāo)安全目標(biāo)安全要求安全要求提出安全提出安全規(guī)范、要求規(guī)范、要求根據(jù)要求根據(jù)要求評(píng)估建設(shè)評(píng)估建設(shè)跟蹤、定期審核跟蹤、定期審核安全建設(shè)工作安全建設(shè)工作按要求進(jìn)行按要求進(jìn)行安全建設(shè)工作安全建設(shè)工作申請(qǐng)立項(xiàng)申請(qǐng)立項(xiàng)提供項(xiàng)目安全說(shuō)明提供項(xiàng)目安全說(shuō)明弱點(diǎn)評(píng)估弱點(diǎn)評(píng)估系統(tǒng)加固系統(tǒng)加固安全事

16、件處理安全事件處理按要求進(jìn)行按要求進(jìn)行建設(shè)建設(shè)應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)計(jì)劃定期評(píng)估定期評(píng)估安全現(xiàn)狀安全現(xiàn)狀監(jiān)控、審計(jì)監(jiān)控、審計(jì)安全現(xiàn)狀安全現(xiàn)狀安全預(yù)警安全預(yù)警提出規(guī)范、要求提出規(guī)范、要求設(shè)備安全維護(hù)設(shè)備安全維護(hù)系統(tǒng)安全維護(hù)系統(tǒng)安全維護(hù)考核和檢查考核和檢查落實(shí)規(guī)范、要求落實(shí)規(guī)范、要求制定運(yùn)維作業(yè)計(jì)劃制定運(yùn)維作業(yè)計(jì)劃總部層面總部層面省級(jí)層面省級(jí)層面系統(tǒng)層面系統(tǒng)層面安全運(yùn)行體系安全運(yùn)行體系需求分析需求分析5標(biāo)準(zhǔn)中從標(biāo)準(zhǔn)中從“單個(gè)系統(tǒng)單個(gè)系統(tǒng)”出發(fā)，但實(shí)際工作是從組織整出發(fā)，但實(shí)際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)體出發(fā)，整體考慮所有系統(tǒng) 各系統(tǒng)單獨(dú)保護(hù)，將沖突和割裂，形成信息孤島各系統(tǒng)單獨(dú)保護(hù)，將沖

17、突和割裂，形成信息孤島 復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難 各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平各系統(tǒng)安全單獨(dú)建設(shè)，將造成分散、重復(fù)和低水平在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、在建立長(zhǎng)效機(jī)制方面考慮較少，難以做到可持續(xù)運(yùn)行、發(fā)展和完善發(fā)展和完善管理難度太大，管理成本高管理難度太大，管理成本高需求：需要高水平、自動(dòng)化的安全管理工具需求：需要高水平、自動(dòng)化的安全管理工具方法：引入安全管理平臺(tái)方法：引入安全管理平臺(tái)安全運(yùn)維工作過(guò)程安全運(yùn)維工作過(guò)程正常工作流程自上而下正常工作流程自上而下異常工作流程自下而上異常工作流程自下而上安全管

18、理中心框架安全管理中心框架需求分析總結(jié)需求分析總結(jié) 符合等級(jí)保護(hù)制度與標(biāo)準(zhǔn)符合等級(jí)保護(hù)制度與標(biāo)準(zhǔn) 引入體系設(shè)計(jì)方法引入體系設(shè)計(jì)方法引入保護(hù)對(duì)象框架設(shè)計(jì)方法引入保護(hù)對(duì)象框架設(shè)計(jì)方法引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法引入安全平臺(tái)的設(shè)計(jì)與建設(shè)方法建立安全運(yùn)行體系建立安全運(yùn)行體系 以可信的理念和技術(shù)作支撐以可信的理念和技術(shù)作支撐總體解決方案總體解決方案TopSec等級(jí)保護(hù)體系等級(jí)保護(hù)體系 遵照國(guó)家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求遵照國(guó)家等級(jí)保護(hù)制度、滿足客戶實(shí)際需求，采用等級(jí)化、，采用等級(jí)化、體系化相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突體系化相結(jié)合的方法，為客戶建設(shè)一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)

19、運(yùn)行的安全保障體系。出、節(jié)約成本、持續(xù)運(yùn)行的安全保障體系。 實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保實(shí)施后狀態(tài)：一套持續(xù)運(yùn)行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo)障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo) 特質(zhì)：特質(zhì)： 等級(jí)化：突出重點(diǎn)，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、等級(jí)化：突出重點(diǎn)，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求不同層次的要求 整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運(yùn)行 針對(duì)性：針對(duì)實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略針對(duì)性：針對(duì)實(shí)際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略

20、等級(jí)保護(hù)體系設(shè)計(jì)方法等級(jí)保護(hù)體系設(shè)計(jì)方法整體整體安全目標(biāo)安全目標(biāo)分等級(jí)的分等級(jí)的保護(hù)對(duì)象框架保護(hù)對(duì)象框架體系建設(shè)體系建設(shè)和運(yùn)行和運(yùn)行組織體系組織體系技術(shù)體系技術(shù)體系運(yùn)作體系運(yùn)作體系策略體系策略體系安全要求與對(duì)策框架安全要求與對(duì)策框架客戶的信息資產(chǎn)客戶的信息資產(chǎn)定級(jí)定級(jí)分解分解國(guó)家規(guī)定國(guó)家規(guī)定的各等級(jí)的各等級(jí)安全要求安全要求定制定制分等級(jí)的分等級(jí)的安全目標(biāo)安全目標(biāo)等級(jí)化等級(jí)化安全體系安全體系等級(jí)保護(hù)體系安全措施框架等級(jí)保護(hù)體系安全措施框架 安全策略體系安全策略體系安全技術(shù)體系安全技術(shù)體系身份身份認(rèn)證認(rèn)證加密加密加固加固審核審核跟蹤跟蹤訪問(wèn)訪問(wèn)控制控制防惡意防惡意代碼代碼監(jiān)控監(jiān)控備份備份恢復(fù)恢復(fù)管

21、理制度管理制度組織職責(zé)組織職責(zé)技術(shù)標(biāo)準(zhǔn)規(guī)范技術(shù)標(biāo)準(zhǔn)規(guī)范信息安全政策信息安全政策安全安全組織組織教育教育培訓(xùn)培訓(xùn)人員人員職責(zé)職責(zé)人員人員安全安全安全組織體系安全組織體系安全體系建設(shè)安全體系建設(shè)項(xiàng)目建設(shè)安全管理項(xiàng)目建設(shè)安全管理安全風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)管理與控制與控制安全運(yùn)行與維護(hù)安全運(yùn)行與維護(hù)安全運(yùn)行體系安全運(yùn)行體系成果安全組織體系成果安全組織體系主管領(lǐng)導(dǎo)（主管安全）主管領(lǐng)導(dǎo)（主管安全）領(lǐng)導(dǎo)小組組長(zhǎng)領(lǐng)導(dǎo)小組組長(zhǎng)信息安全領(lǐng)導(dǎo)小組信息安全領(lǐng)導(dǎo)小組業(yè)務(wù)部門(mén)負(fù)責(zé)人業(yè)務(wù)部門(mén)負(fù)責(zé)人成員成員安全部門(mén)負(fù)責(zé)人安全部門(mén)負(fù)責(zé)人工作組組長(zhǎng)工作組組長(zhǎng)管理部門(mén)負(fù)責(zé)人管理部門(mén)負(fù)責(zé)人成員成員部門(mén)安全管理員部門(mén)安全管理員成員成員部門(mén)安

22、全管理員部門(mén)安全管理員成員成員安全辦公室負(fù)責(zé)安全辦公室負(fù)責(zé)人人負(fù)責(zé)人負(fù)責(zé)人安全管理員安全管理員安全技術(shù)員安全技術(shù)員信息安全工作組信息安全工作組信息安全辦公室信息安全辦公室成果安全策略體系成果安全策略體系信息安全方針信息安全方針管理規(guī)定管理規(guī)定工作流程工作流程安全組織人員職責(zé)安全組織人員職責(zé)技術(shù)規(guī)范技術(shù)規(guī)范信息安全體系信息安全體系公司層面公司層面部門(mén)安全工作管理辦法部門(mén)安全工作管理辦法部門(mén)安全組織人員職責(zé)部門(mén)安全組織人員職責(zé)部門(mén)層面部門(mén)層面工作表單工作表單運(yùn)行維護(hù)計(jì)劃運(yùn)行維護(hù)計(jì)劃應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)計(jì)劃系統(tǒng)層面系統(tǒng)層面終端管理和防病毒集中管理平臺(tái)終端管理和防病毒集中管理平臺(tái)集中機(jī)房與物理環(huán)境安全

23、集中機(jī)房與物理環(huán)境安全安全管理運(yùn)行中心安全管理運(yùn)行中心終端管理和防病毒集中管理平臺(tái)終端管理和防病毒集中管理平臺(tái)防病毒、補(bǔ)丁和終端管理平臺(tái)防病毒、補(bǔ)丁和終端管理平臺(tái)終端安全全程全網(wǎng)監(jiān)控和審計(jì)平臺(tái)全程全網(wǎng)監(jiān)控和審計(jì)平臺(tái)全網(wǎng)統(tǒng)一監(jiān)控和審計(jì)平臺(tái)全網(wǎng)統(tǒng)一監(jiān)控和審計(jì)平臺(tái)終端管理和防病毒集中管理平臺(tái)終端管理和防病毒集中管理平臺(tái)安全域和網(wǎng)絡(luò)訪問(wèn)控制平臺(tái)安全域和網(wǎng)絡(luò)訪問(wèn)控制平臺(tái)設(shè)備安全配置與加固設(shè)備安全配置與加固基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施安全各主機(jī)網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全監(jiān)控審計(jì)第三方統(tǒng)一安全接入平臺(tái)第三方統(tǒng)一安全接入平臺(tái)應(yīng)用加密平臺(tái)應(yīng)用加密平臺(tái)第三方統(tǒng)一安全接入平臺(tái)第三方統(tǒng)一安全接入平臺(tái)統(tǒng)一鑒別認(rèn)證平臺(tái)統(tǒng)一鑒別認(rèn)證平臺(tái)數(shù)據(jù)

24、備份與冗災(zāi)平臺(tái)數(shù)據(jù)備份與冗災(zāi)平臺(tái)統(tǒng)一身份認(rèn)證與授權(quán)管理平臺(tái)統(tǒng)一身份認(rèn)證與授權(quán)管理平臺(tái)應(yīng)用系統(tǒng)安全增強(qiáng)應(yīng)用系統(tǒng)安全增強(qiáng)各應(yīng)用系統(tǒng)認(rèn)證授權(quán)數(shù)據(jù)安全加密應(yīng)用安全應(yīng)用安全安全管理平臺(tái)成果安全技術(shù)體系成果安全技術(shù)體系物理安全可信接入控制平臺(tái)可信接入控制平臺(tái)可信信息交換平臺(tái)可信信息交換平臺(tái)可信監(jiān)管平臺(tái)可信監(jiān)管平臺(tái)項(xiàng)目建設(shè)項(xiàng)目建設(shè)安全管理安全管理安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)管理管理安全運(yùn)行安全運(yùn)行維護(hù)維護(hù)安全體系安全體系的建設(shè)的建設(shè)制定企業(yè)或制定企業(yè)或部門(mén)級(jí)體系部門(mén)級(jí)體系制定總體制定總體安全體系安全體系按要求開(kāi)展工作按要求開(kāi)展工作安全目標(biāo)安全目標(biāo)安全要求安全要求提出安全提出安全規(guī)范、要求規(guī)范、要求根據(jù)要求根據(jù)要求評(píng)估建

25、設(shè)評(píng)估建設(shè)跟蹤、定期審核跟蹤、定期審核安全建設(shè)工作安全建設(shè)工作按要求進(jìn)行按要求進(jìn)行安全建設(shè)工作安全建設(shè)工作申請(qǐng)立項(xiàng)申請(qǐng)立項(xiàng)提供項(xiàng)目安全說(shuō)明提供項(xiàng)目安全說(shuō)明弱點(diǎn)評(píng)估弱點(diǎn)評(píng)估系統(tǒng)加固系統(tǒng)加固安全事件處理安全事件處理按要求進(jìn)行按要求進(jìn)行建設(shè)建設(shè)應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)計(jì)劃定期評(píng)估定期評(píng)估安全現(xiàn)狀安全現(xiàn)狀監(jiān)控、審計(jì)監(jiān)控、審計(jì)安全現(xiàn)狀安全現(xiàn)狀安全預(yù)警安全預(yù)警提出規(guī)范、要求提出規(guī)范、要求設(shè)備安全維護(hù)設(shè)備安全維護(hù)系統(tǒng)安全維護(hù)系統(tǒng)安全維護(hù)考核和檢查考核和檢查落實(shí)規(guī)范、要求落實(shí)規(guī)范、要求制定運(yùn)維作業(yè)計(jì)劃制定運(yùn)維作業(yè)計(jì)劃總部層面總部層面省級(jí)層面省級(jí)層面系統(tǒng)層面系統(tǒng)層面成果安全運(yùn)行體系成果安全運(yùn)行體系安全管理運(yùn)行中心安全管理運(yùn)行中心技術(shù)體系技術(shù)體系安全組織設(shè)置和崗位職責(zé)安全組織設(shè)置和崗位職責(zé)安全教育、培訓(xùn)與資質(zhì)認(rèn)證安全教育、培訓(xùn)與資質(zhì)認(rèn)證組織體系組織體系安全策略體系設(shè)計(jì)安全策略體系設(shè)計(jì)安全策略與流程推廣實(shí)施安全策略與流程推廣實(shí)施策略體系策略體系項(xiàng)目建設(shè)的安全管理項(xiàng)目建設(shè)的安全管理安全風(fēng)險(xiǎn)管理與控制安全風(fēng)險(xiǎn)管理與控制保護(hù)對(duì)象框架保護(hù)對(duì)象框架內(nèi)部與第三方人員安全管理內(nèi)部與第三方人員安全管理日常安全運(yùn)行與維護(hù)日常安全運(yùn)行與維護(hù)安全體系推廣與落實(shí)安全體系推廣與落實(shí)運(yùn)作體系運(yùn)作體系全程全網(wǎng)監(jiān)控和審計(jì)平臺(tái)全程全網(wǎng)監(jiān)控和審計(jì)平臺(tái)統(tǒng)一監(jiān)控與審計(jì)管理平臺(tái)統(tǒng)一監(jiān)控與審計(jì)