等级保护、认证认可、风险管理与风险评估的关系简介
2013/10/25 10:47:32点击:
从今年开始,明显感觉到安全的热度在急遽上升。上半年先是公安部提出信息系统等级保护的要求,然后,保密局提出信息安全等级保护,第七届中国信息安全大会召开,风险评估指南正式成为国标,山雨欲来风满楼。不同的国家部门和安全机构纷纷推出各自的标准和管理办法,难免使得我们信息安全工作者产生迷惑,到底这些标准、制度和管理办法之间有没有矛盾,如何配合,内在联系何在?我们如何理解不同部门推出的不同的安全方面的标准和管理办法,借着安全的东风,更好的进行配合和应对,做好安全(市场)的工作呢?在这里,我想简单谈谈我的一些粗浅的理解和看法,谬误的地方,请大家不吝赐教。等级保护是计算机信息系统信息安全保障的重要制度和任务。1984年开始收集和参考国外的相关资料和制度。1994年《中华人民共和国计算机信息系统安全保护条例》中正式提出了实施等级保护的要求。2003年中办发27号文件重申了这一重要任务。
1)系统分等级保护;
2)产品分等级管理;
3)事件分等级处置。
信息系统安全认证认可是发达国家普遍采取的信息系统安全的管理模式。由于信息系统不是产品,不具有流通性,因此,对信息系统安全的认证是指运用技术和管理检查手段来测试、分析、评价信息安全保障是否到位。而信息系统安全认可则是单位的管理层或上级主管机关依据安全认证的结果,判断信息系统中存在的残余风险是否可以接受,从而决定是否允许信息系统投入建设或运行的过程。认证认可与等级保护不冲突。风险管理是安全管理的重要组成部分。它包括:风险评估、风险控制(实施成本效益分析,选择安全防护措施来控制风险)以及根据风险评估结果对信息系统的运行中的相关事项(例如是否批准系统投入运行、是否加大信息安全建设投资等)做出决策。风险评估是认证认可和风险管理的重要组成部分,没有风险评估,认证认可和风险管理就会成为无源之水、无本之木,缺乏决策行动的依据 与方向。风险管理属于概念和方法学的范畴,而认证认可则属于实践的层次,认证认可本身便是一种风险管理的实施措施。等级保护的分级(安全级别)更多的是一个需求等级,类似当年保密局的保密法,不是由上级单位来确定,而是要根据自己梳理的本单位信息系统的情况,确定自己所处的安全等级,自己主动定位和上报。
1)系统分等级保护;
2)产品分等级管理;
3)事件分等级处置。
信息系统安全认证认可是发达国家普遍采取的信息系统安全的管理模式。由于信息系统不是产品,不具有流通性,因此,对信息系统安全的认证是指运用技术和管理检查手段来测试、分析、评价信息安全保障是否到位。而信息系统安全认可则是单位的管理层或上级主管机关依据安全认证的结果,判断信息系统中存在的残余风险是否可以接受,从而决定是否允许信息系统投入建设或运行的过程。认证认可与等级保护不冲突。风险管理是安全管理的重要组成部分。它包括:风险评估、风险控制(实施成本效益分析,选择安全防护措施来控制风险)以及根据风险评估结果对信息系统的运行中的相关事项(例如是否批准系统投入运行、是否加大信息安全建设投资等)做出决策。风险评估是认证认可和风险管理的重要组成部分,没有风险评估,认证认可和风险管理就会成为无源之水、无本之木,缺乏决策行动的依据 与方向。风险管理属于概念和方法学的范畴,而认证认可则属于实践的层次,认证认可本身便是一种风险管理的实施措施。等级保护的分级(安全级别)更多的是一个需求等级,类似当年保密局的保密法,不是由上级单位来确定,而是要根据自己梳理的本单位信息系统的情况,确定自己所处的安全等级,自己主动定位和上报。
- 上一篇:统一通信和高清多媒体会议的未来 2013/10/25
- 下一篇:企业网站后台防范方法介绍 2013/10/25
