等级保护的基本概念信息安全技术要求391-2002计算机信息系统安全等级保护管理要求

一、分级保护的基本概念

信息安全分级保护是指对信息安全进行分级保护和管理。

根据信息系统应用业务的重要性及其实际安全需求，分级、分类、分阶段实施保护，确保信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。

分级防护的核心是对信息系统特别是业务应用系统的安全进行分级，按照标准进行建设、管理和监督。逐步运用法律和技术规范，加强国家信息安全等级保护监管。重点保障重要信息资源和重要信息系统的安全。

二、相关国家标准

GB 17859-1999《计算机信息系统安全防护等级分类标准》

GA/T 387-2002 计算机信息系统安全等级保护网络技术要求

GA 388-2002 计算机信息系统安全等级保护操作系统技术要求

GA/T 389-2002 计算机信息系统安全等级保护数据库管理系统技术要求

GA/T 390-2002 计算机信息系统安全等级保护通用技术要求

GA 391-2002 计算机信息系统安全等级保护管理要求

三个。评分：

包括系统安全功能的建立，系统、网络、设备、用户之间的可信认证保障平台。信息系统的安全等级分为五个安全防护能力等级：

1 级：用户独立保护，2 级：系统审计保护，3 级：安全标志保护，4 级：结构化保护（系统整体安全设计），5 级：访问验证保护。

四个。内容构成：

防护等级的基本要求分为技术和管理两部分。技术部分分为五类：物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理部分分为五类：安全管理体系、安全管理组织、人员安全管理、制度建设管理和系统运维管理。

风险评估以安全建设为基础，其意义在于改变传统的技术驱动的安全架构设计，制定详细的安全计划。通过对用户关心的重要资产进行分类，分析安全威胁发生的可能性和严重程度，以及系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运营措施等的安全性. 漏洞分析。通过对现有安全控制措施的确认信息安全风险评估实施教程，借助定量和定性分析，推断用户当前关注的重要资产的安全风险，并根据风险的严重程度制定风险处置方案，从而确定方向下一个安全要求。

分级保护的前提是根据系统信息的机密性、完整性和可用性对系统进行分类。即“定义各种信息类型——确定每种信息类型的安全类别——确定系统的安全类别”是对系统进行分类的最后三个步骤。

分级保护中的系统分类和分级的思想与风险评估中信息资产的重要性分类基本相同。不同的是信息安全风险评估实施教程，分级保护的级别是根据系统的业务需求或者CIA的特点来定义系统应该具备的安全服务级别，而风险评估中的最终风险级别是综合考虑信息的重要性和现有的安全控制措施。综合评价系统的有效性和运行状况后的结果。也就是说，在风险评估中，CIA值高的信息资产不一定有高风险等级。

可以简单理解为，保障是一种标准或制度，评价是一种手段。

其实，安全就是帮助用户分析和评估信息系统的等级，以便在后期工作中根据不同的等级进行不同级别的安全防护，而风险评估则是帮助用户找出问题所在。当前安全形势，以便对后期安全进行统筹规划和建设。我们可以通过风险评估来检查平等保险的实施和执行情况。风险评估结果可作为实施分级防护、分级安全建设的出发点和参考。

相关文章：五个脏话文（五个脏话文2019)内控评测（内控评测方案）小米电视拆机评测（小米手电拆机评测）如何注册司机（下载如何注册为司机）