1、等级保护安全培训2014年年6月月议题议题q什么是等级保护?什么是等级保护?q谁是等级保护的目标客户?谁是等级保护的目标客户?q谁主管等级保护事宜?谁主管等级保护事宜?q等级保护项目我们能做什么?等级保护项目我们能做什么?q等级保护相关标准、政策等级保护相关标准、政策等级保护的含义q 官方说法:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。q 一句话:系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能
2、过渡保护。q 要点:平衡安全与成本q 实行等级保护的目的u遵循客观规律,信息安全的等级是客观存在的u有利于突出重点,加强安全建设和管理u有利于控制安全的成本用户进行等保建设的动机?国家标准政绩工程保障业务申请项目对我们的益处?等保建设扩大了需求深入挖掘用户需求提升单位专业形象等级保护的实现原理重点关注2、3级信息系统安全保护等级划分q 第一级第一级,信息系统受到破坏后,会对公民、法人和其他组,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;公共利益;q 第二级第二级,信息系统受到破坏后,会对
3、公民、法人和其他组,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;造成损害,但不损害国家安全;q 第三级第三级,信息系统受到破坏后,会对社会秩序和公共利益,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;造成严重损害,或者对国家安全造成损害;q 第四级第四级,信息系统受到破坏后,会对社会秩序和公共利益,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;造成特别严重损害,或者对国家安全造成严重损害;q 第
4、五级第五级,信息系统受到破坏后,会对国家安全造成特别严,信息系统受到破坏后,会对国家安全造成特别严重损害。重损害。各级别的概念四级强制保护,比如中央核心系统,重要行业核心业务系统,建设内容很多,每年都要检查,容易形成长期销售机会,但是该级别信息系统数量很少,技术门槛很高,应谨慎跟踪(最好分期建设,先作容易的,后做难的)三级监督保护,比如省级信息系统,核心业务系统等大都是此级别,此类项目需要备案,测评,并且每年检查一次,建设内容包括产品集成、安全服务,容易形成长期销售机会,应重点跟踪!重点是集成二级指导保护,比如市级信息系统,非核心业务系统都是此级别,此类系统需要备案,测评,等保建设以产品为主,
5、有少量的安全服务。重点是产品一级自主建设,基本没多少内容,可能会有少量的产品常见的二级系统举例(仅做参考)地市政府办公自动化系统(内部使用的)地市政府办公自动化系统(内部使用的)地市政府政务公开网站(外部信息发布)地市政府政务公开网站(外部信息发布)地市政府间协同办公系统地市政府间协同办公系统企业电子商务网站企业电子商务网站银行网站银行网站特点:与核心业务无关特点:与核心业务无关常见的三级系统举例(仅做参考)省政府办公自动化系统(内部使用的)省政府办公自动化系统(内部使用的)省政府政务公开系统(交互式)省政府政务公开系统(交互式)省政府公文交换系统省政府公文交换系统企业企业ERP系统系统银行生
6、产网银行生产网特点:与业务密切相关的特点:与业务密切相关的常见的四级系统举例(仅做参考)国家电力调度系统(国家电力调度系统(EMS)中国人民银行官方网站中国人民银行官方网站财政部财政支付系统财政部财政支付系统交通部应急指挥调度系统交通部应急指挥调度系统银行生产系统银行生产系统特点:重要部门与核心业务密切相关的特点:重要部门与核心业务密切相关的议题议题q什么是等级保护?什么是等级保护?q谁是等级保护的目标客户?谁是等级保护的目标客户?q谁主管等级保护事宜?谁主管等级保护事宜?q等级保护项目我们能做什么?等级保护项目我们能做什么?q等级保护相关标准、政策等级保护相关标准、政策q金普威等级保护实力金
7、普威等级保护实力q销售工作步骤销售工作步骤目标客户怎么来找?q 2007年底到2008年初,各地已经完成了定级备案工作u 备案情况:2级 大约32000多个,三级 25000个,四级 200多个;-摘自郭处长在信息安全高峰论坛上的讲话u 备案情况:属地化管理,各地在各自公安的网监大队备案留底u 等级保护主导单位:公安部q 我们了解到的情况u 电监会、银监会、证监会、保监会等国务院监督部门在开始着手组织编写行业等级保护建设标准;u 外交部、海关、发改委、交通局、新闻出版署等单位开始着手组织等级保护试点工作;u 公安部三所着手在各地建设测评分中心,为等级保护测评工作做准备;u 公安部一所牵头,申请
8、了863课题,研究等级保护的技术设计要求,并组织一些单位开发等级保护建设模型u 北京、黑龙江、上海、武汉、广州、成都、浙江等发达城市,已开展了等级保护技术支持单位的评审工作u 今年是等级保护的启动年,也是为我们争取时间的关键一年。议题议题q什么是等级保护?什么是等级保护?q谁是等级保护的目标客户?谁是等级保护的目标客户?q谁主管等级保护事宜?谁主管等级保护事宜?q等级保护项目我们能做什么?等级保护项目我们能做什么?q等级保护相关标准、政策等级保护相关标准、政策q金普威等级保护实力金普威等级保护实力q销售工作步骤销售工作步骤等级保护相关单位关系项目实施流程相关单位定级评估方案集成规划整改服务测评
9、服务商和集成商产品厂商2+3X客户主管部门技术支撑(测评)标准单位等级保护相关管理机构与分工等级保护相关管理机构与分工议题议题q什么是等级保护?什么是等级保护?q谁是等级保护的目标客户?谁是等级保护的目标客户?q谁主管等级保护事宜?谁主管等级保护事宜?q等级保护项目我们能做什么?等级保护项目我们能做什么?q等级保护相关标准、政策等级保护相关标准、政策q金普威等级保护实力金普威等级保护实力q销售工作步骤销售工作步骤等级保护的建设过程定级咨询服务定级咨询服务安全运维服务安全运维服务等级评估服务等级评估服务管理整改服务管理整改服务测评支持服务测评支持服务技术整改服务技术整改服务安全加固服务安全加固服
10、务下一步等级保护工作开展的重点等级保护服务包1/2(仅作参考)等级评估咨询服务包等级评估咨询服务包CPAS3三级系统等级三级系统等级评估咨询评估咨询服务服务按照国家等级保护三级标准进行评估,出具等级评估报告,并制定建设整改解决方案每个三级系统120台设备XXXX2150台设备XXXX50台以上设备XXXXCPAS2二级系统等级二级系统等级评估咨询评估咨询服务服务按照国家等级保护二级标准进行评估,出具等级评估报告,并制定建设整改解决方案每个二级系统120台设备XXXX2150台设备XXXX50台以上设备XXXX等级保护整改服务包等级保护整改服务包 CPPS3三级系统管理三级系统管理整改服务整改服
11、务 根据三级系统要求,编制符合等级保护要求的安全制度文档,涵盖安全组织、安全建设和安全运维等方面的各种制度、流程、表格、技术标准和规范等;进行等级测评前的辅导与培训,配合准备和整理测评所需的文档资料,帮助客户熟悉和更好地准备等级测评。每个三级系统有特殊要求价格面议XXXXCPPS2二级系统管理二级系统管理整改服务整改服务 根据二级系统要求,编制符合等级保护要求的安全制度文档,涵盖安全组织、安全建设和安全运维等方面的各种制度、流程、表格、技术标准和规范等;进行等级测评前的辅导与培训,配合准备和整理测评所需的文档资料,帮助客户熟悉和更好地准备等级测评。每个二级系统有特殊要求价格面议XXXXCPHS
12、1设备安全加固设备安全加固服务服务 根据系统安全等级的指标和测评标准,对主机、网络设备、数据库、安全设备等制定加固方案,通过打补丁、修改安全配置、增加安全机制等方法,合理加强设备的安全性,以满足等级要求每台设备每台设备XXXX等级保护服务包2/2(仅作参考)等级保护测评服务等级保护测评服务CPCS3三级系统测评三级系统测评服务服务按照国家等级保护三级测评标准进行文档审核与现场测评,出具测评报告每个三级系统120台设备XXXX2150台设备XXXX50台以上设备XXXXCPCS2二级系统测评二级系统测评服务服务按照国家等级保护二级测评标准进行文档审核与现场测评,出具测评报告每个二级系统120台设
13、备XXXX2150台设备XXXX50台以上设备XXXX等级保护整体服务包等级保护整体服务包CPTS3三级系统整体服务提供等级保护三级整体服务,包含三级评估服务,三级管理整改服务,设备安全加固服务和三级测评服务,并最终出具测评报告。客户另外进行产品采购和集成后,即可以完成等级保护全过程。每个三级系统120台设备XXXX2150台设备XXXX50台以上设备XXXXCPTS3二级系统整体服务提供等级保护二级整体服务,包含二级评估服务,二级管理整改服务,设备安全加固服务和二级测评服务,并最终出具测评报告。客户另外进行产品采购和集成后,即可以完成等级保护全过程。每个二级系统120台设备XXXX2150台
14、设备XXXX50台以上设备XXXX等级保护产品包1/2-三级(参考)基本要求技术要求控制点防护措施网络安全结构安全(G3)配置与加固服务-网络设备加固访问控制(G3)网络与边界防护-防火墙安全审计(G3)监控与审计防护-网络安全审计、日志审计系统边界完整性检查(S3)主机安全防护-终端安全管理(非法外联与非法接入)入侵防范(G3)网络与边界防护-入侵检测系统、入侵防护系统恶意代码防范(G3)网络与边界防护-防病毒网关网络设备防护(G3)配置与加固服务-网络设备加固主机安全身份鉴别(S3)配置与加固服务-服务器加固、数据库加固;主机安全防护-服务器核心加固访问控制(S3)配置与加固服务-服务器加
15、固安全审计(G3)监控与审计防护-主机审计、日志审计系统剩余信息保护(S3)配置与加固服务-服务器加固入侵防范(G3)主机安全防护-漏洞扫描系统、服务器核心防护、主机入侵检测恶意代码防范(G3)主机安全防护-主机防病毒资源控制(A3)配置与加固服务-服务器加固等级保护产品包2/2-三级(参考)基本要求技术要求控制点防护措施应用安全身份鉴别(S3)统一认证平台访问控制(S3)统一认证平台安全审计(G3)监控与审计防护-网络安全审计剩余信息保护(S3)配置与加固服务-WEB安全加固、MAIL安全加固通信完整性(S3)网络与边界防护-VPN、CA认证通信保密性(S3)网络与边界防护-VPN、CA认证
16、抗抵赖(G3)CA认证软件容错(A3)配置与加固服务资源控制(A3)配置与加固服务数据安全数据完整性(S3)网络与边界防护-VPN数据保密性(S3)网络与边界防护-VPN安全备份(A3)数据冗灾备份防火墙、入侵检测、入侵防护、审计、VPN、服务器加固、网络设备加固、安全设备加固、漏洞扫描、主机入侵检测、CA认证、主机防病毒、灾备、终端安全管理、信息安全管理平台(三权分立)等级保护产品包1/2-二级(参考)基本要求技术要求控制点防护措施网络安全结构安全(G2)配置与加固服务-网络设备加固访问控制(G2)网络与边界防护-防火墙安全审计(G2)监控与审计防护-日志审计系统边界完整性检查(S2)主机安
17、全防护-终端安全管理(非法外联与非法接入)入侵防范(G2)网络与边界防护-入侵检测系统、入侵防护系统网络设备防护(G2)配置与加固服务-网络设备加固主机安全身份鉴别(S2)配置与加固服务-服务器加固、数据库加固;主机安全防护-服务器核心加固访问控制(S2)配置与加固服务-服务器加固安全审计(G2)监控与审计防护-主机审计、日志审计系统入侵防范(G2)主机安全防护-漏洞扫描系统、服务器核心防护、主机入侵检测恶意代码防范(G2)主机安全防护-主机防病毒资源控制(A2)配置与加固服务-服务器加固等级保护产品包2/2-二级(参考)基本要求技术要求控制点防护措施应用安全身份鉴别(S2)统一认证平台访问控
18、制(S2)统一认证平台安全审计(G2)监控与审计防护-网络安全审计通信完整性(S2)网络与边界防护-VPN、CA认证通信保密性(S2)网络与边界防护-VPN、CA认证软件容错(A2)配置与加固服务资源控制(A2)配置与加固服务数据安全数据完整性(S2)网络与边界防护-VPN数据保密性(S2)网络与边界防护-VPN安全备份(A2)数据冗灾备份防火墙、入侵检测、入侵防护、审计、VPN、服务器加固、网络设备加固、安全设备加固、漏洞扫描、主机入侵检测、CA认证、主机防病毒、灾备、终端安全管理、信息安全管理平台(三权分立)等级保护中我们可以提供什么?n安全服务包u等级评估咨询服务u等级保护整改服务(含等
19、级保护管理安全整改建设+加固服务)u等级保护测评服务u等级保护整体服务=等级保护评估咨询服务+等级保护整改服务+等级保护测评服务n整改建设包u安全集成建设、基础设施建设u等级保护整改服务+等级保护测评服务n整改产品包u网络安全:防火墙、入侵检测、入侵防护、病毒过滤网关、抗拒绝服务攻击、网站防护系统等;u主机安全:服务器核心防护、数据库核心防护、防病毒软件、主机入侵检测、主机审计u应用安全:安全审计、身份认证(CA/双因素)u数据安全:VPN、存储议题议题q什么是等级保护?什么是等级保护?q谁是等级保护的目标客户?谁是等级保护的目标客户?q谁主管等级保护事宜?谁主管等级保护事宜?q等级保护项目我
20、们能做什么?等级保护项目我们能做什么?q等级保护相关标准、政策等级保护相关标准、政策q金普威等级保护实力金普威等级保护实力q销售工作步骤销售工作步骤等级保护的政策标准的演进20032003年年9 9月月中办国办颁发中办国办颁发关于加强信息安全保关于加强信息安全保障工作的意见障工作的意见(中办发(中办发200327200327号)号)20042004年年1111月月四部委会签四部委会签关于信息安全等级保关于信息安全等级保护工作的实施意见护工作的实施意见(公通字(公通字200466200466号)号)20052005年年9 9月月国信办文件国信办文件 关于转发关于转发电子政务信息电子政务信息系统信
21、息安全等级保护实施系统信息安全等级保护实施指南指南的通知的通知 (国信办(国信办200425200425号)号)20052005年年 公安部标准公安部标准等级保护安全要求等级保护安全要求等级保护定级指南等级保护定级指南等级保护实施指南等级保护实施指南等级保护测评准则等级保护测评准则总结成一种安全工总结成一种安全工作的方法和原则作的方法和原则最先作为最先作为“适度适度安全安全”的工作思的工作思路提出路提出确认为国家信息安确认为国家信息安全的基本制度,安全的基本制度,安全工作的根本方法全工作的根本方法形成等级保护的基形成等级保护的基本理论框架,制定本理论框架,制定了方法,过程和标了方法,过程和标准
22、准19941994年年国务院颁布国务院颁布中华人民中华人民共和国计算机信息系统共和国计算机信息系统安全保护条例安全保护条例20062006年年 四部委会签四部委会签公通字公通字2006720067号文件号文件(关于印发(关于印发信息安全信息安全等级保护管理办法(试等级保护管理办法(试行)行)的通知)的通知)明确做等级保护,等级保明确做等级保护,等级保护工作的重点是护工作的重点是 基础信息基础信息网络和关系国家安全、经网络和关系国家安全、经济命脉、社会稳定等方面济命脉、社会稳定等方面的重要信息系统的重要信息系统定义了五个保护级别、定义了五个保护级别、监管方式、职责分工监管方式、职责分工和时间计划
23、和时间计划定义了电子政务等级定义了电子政务等级保护的实施过程和方保护的实施过程和方法法定义了等级保护的管理办法,定义了等级保护的管理办法,后被后被4343号文件取代。号文件取代。首次提出计算机首次提出计算机信息系统必须实信息系统必须实行安全等级保护。行安全等级保护。提出了等级保护的定级方法、提出了等级保护的定级方法、实施办法,并对不同等级需实施办法,并对不同等级需要达到的安全能力要求进行要达到的安全能力要求进行了详细的定义,同时对系统了详细的定义,同时对系统保护能力等级评测指出了具保护能力等级评测指出了具体的指标。体的指标。等级保护的政策标准的演进20072007年年7 7月月1616日日 四
24、部门会签四部门会签公信安公信安20078612007861号文件:四号文件:四部门下发部门下发关于开展全国重要关于开展全国重要信息系统安全等级保护定级工信息系统安全等级保护定级工作的通知作的通知提出了等级保护的推提出了等级保护的推进和管理办法进和管理办法为等级保护工作开展提为等级保护工作开展提供了参考供了参考开始了等级保护的实质性开始了等级保护的实质性工作的第一阶段工作的第一阶段20072007年年 四部委会签四部委会签公通字公通字200743200743号文号文件件信息安全等级保信息安全等级保护管理办法护管理办法 替代公通字替代公通字2006720067号文件,号文件,明确了等级保护的具体操
25、明确了等级保护的具体操作办法和各部委的职责,作办法和各部委的职责,以及推进等级保护的具体以及推进等级保护的具体事宜事宜20062006年年 公安部、国信办公安部、国信办下发了下发了关于开展信息系关于开展信息系统安全等级保护基础调查统安全等级保护基础调查工作的通知工作的通知从从20062006年年1 1月月1010日到日到4 4月月1010日,分三个阶段对国家重日,分三个阶段对国家重要的基础信息系统进行摸要的基础信息系统进行摸底,包括党政机关、财政、底,包括党政机关、财政、海关、能源、金融、社会海关、能源、金融、社会保障等行业保障等行业2007年年7月至月至10月在全国范围内月在全国范围内组织开
26、展重要信息系统安全等组织开展重要信息系统安全等级保护定级工作级保护定级工作,其中包括公,其中包括公用通信网、广播电视传输网等用通信网、广播电视传输网等基础信息网络基础信息网络 以及铁路、银行、以及铁路、银行、海关、税务、民航、电力、证海关、税务、民航、电力、证券、保险、外交、人事劳动和券、保险、外交、人事劳动和社会保障、财政、等行业社会保障、财政、等行业等级保护的政策标准的演进信息安全技术信息安全技术 信息安全等信息安全等级保护技术设计要求级保护技术设计要求报批报批稿,对等级保护的方案设计稿,对等级保护的方案设计提出了参考。提出提出了参考。提出“一个中一个中心下的三重防护心下的三重防护”体系体
27、系等级保护的落地迈出等级保护的落地迈出了实质性的一步了实质性的一步等级保护有了国家标准等级保护有了国家标准作为参考依据作为参考依据同步提出了等级保护基础同步提出了等级保护基础技术的课题研究技术的课题研究20082008年年7 7月,公安部发月,公安部发布布公安机关信息安公安机关信息安全等级保护检查工作全等级保护检查工作(试行)文件,提出(试行)文件,提出等级保护检查工作的等级保护检查工作的细则,并发布到重点细则,并发布到重点政府行业用户政府行业用户 20082008年,国家标准化委员年,国家标准化委员会正式批复并发布会正式批复并发布信息信息安全技术安全技术 信息安全等级保信息安全等级保护基本要
28、求护基本要求和和信息安信息安全技术全技术 信息安全等级保信息安全等级保护定级指南护定级指南,编号分别,编号分别为为GB/T22239-2008GB/T22239-2008、GB/T22240-2008GB/T22240-2008目前已正式颁布的有:GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南公安机关信息安全等级保护检查工作规范2008年定级备案工作基本结束2+2X用户已完成在公安机关的定级备案工作;备案的四级系统大约200多个;三级系统大约25000多个;二级系统大约32000多个。其他参考
29、政策文件关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)p提出“电子政务工程建设项目”的验收:必须有一证两报告p一证:等级备案证明p两报告:信息系统安全风险评估报告、信息系统安全等级保护测评报告p强制执行!重要标准简要解读-基本要求物理安全物理安全网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全身份鉴别(身份鉴别(S)安全标记(安全标记(S)访问控制(访问控制(S)可信路径(可信路径(S)安全审计(安全审计(G)剩余信息保护(剩余信息保护(S)物理位置的选择(物理位置的选择(G)物理访问控制(物理访问控制(G)防盗窃和破坏防盗窃和破坏(G
30、 G)防雷防雷/火火/水水(G G)温湿度控制温湿度控制(G G)电力供应电力供应(A A)数据完整性(数据完整性(S)数据保密性(数据保密性(S)备份与恢复(备份与恢复(A)防静电防静电(G G)电磁防护电磁防护(S S)入侵防范(入侵防范(G)资源控制(资源控制(A)恶意代码防范(恶意代码防范(G)结构安全(结构安全(G)访问控制(访问控制(G)安全审计(安全审计(G)边界完整性检查(边界完整性检查(S)入侵防范(入侵防范(G)恶意代码防范(恶意代码防范(G)网络设备防护(网络设备防护(G)身份鉴别(身份鉴别(S)剩余信息保护(剩余信息保护(S)安全标记(安全标记(S)访问控制(访问控制(
31、S)可信路径(可信路径(S)安全审计(安全审计(G)通信完整性(通信完整性(S)通信保密性(通信保密性(S)抗抵赖(抗抵赖(G)软件容错(软件容错(A)资源控制(资源控制(A)技术要求技术要求单位产品重点覆盖需要第三方产品服务器加固主机入侵检测防病毒系统等单位可以卖的:安全加固服务CA认证为主安全加固服务VPN数据存储、灾备重要标准简要解读-基本要求管理要求管理要求安全管理制度安全管理制度安全管理机构安全管理机构人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理人员录用人员录用人员离岗人员离岗人员考核人员考核安全意识和培训安全意识和培训外部访问人员外部访问人员管理制度管理
32、制度制定和发布制定和发布评审和修改评审和修改岗位设置岗位设置人员配置人员配置授权和审批授权和审批沟通和合作沟通和合作审核和检查审核和检查系统定级系统定级工程实施工程实施安全方案设计安全方案设计产品采购和使用产品采购和使用自行软件开发自行软件开发外包软件开发外包软件开发测试验收测试验收系统交付系统交付系统备案系统备案等级测评等级测评服务商选择服务商选择环境管理环境管理资产管理资产管理介质管理介质管理设备管理设备管理监控和安全管理监控和安全管理网络安全管理网络安全管理系统安全管理系统安全管理恶意代码防范管理恶意代码防范管理密码管理密码管理变更管理变更管理备份与恢复管理备份与恢复管理安全事件处理安全
33、事件处理应急预案管理应急预案管理管理整改服务等级保护技术设计要求:一个中心下的三重防护安全操作系统安全数据库服务器加固系统主机入侵检测防病毒系统CA认证系统漏洞扫描系统桌面安全管理平台安全加固服务主机审计防火墙/网闸入侵检测入侵防御病毒网关非法接入/外联网站防护系统UTM抗拒绝服务攻击网络审计VPN流量控制设备加固安全管理中心、安全审计中心(TSM/日志审计)、系统管理中心议题议题q什么是等级保护?什么是等级保护?q谁是等级保护的目标客户?谁是等级保护的目标客户?q谁主管等级保护事宜?谁主管等级保护事宜?q等级保护项目我们能做什么?等级保护项目我们能做什么?q等级保护相关标准、政策等级保护相关
34、标准、政策q工作步骤工作步骤产检的信息安全产品安全管理类安全管理类n终端安全管理n安全信息管理n策略统一管理n入侵防御n入侵检测n日志审计n内容/行为审计检测、防御、审计检测、防御、审计n防火墙p银河p猎豹p千兆p百兆pARESnVPNpIPSEC、SJW11pVONEnUTMn过滤网关n隔离与信息交换网关类产品网关类产品等级保护要求的服务等级评估咨询服务包等级评估咨询服务包等级保护整改服务包等级保护整改服务包等级保护测评服务包等级保护测评服务包等级保护整体服务包议题议题q什么是等级保护?什么是等级保护?q谁是等级保护的目标客户?谁是等级保护的目标客户?q谁主管等级保护事宜?谁主管等级保护事宜
35、?q等级保护项目我们能做什么?等级保护项目我们能做什么?q等级保护相关标准、政策等级保护相关标准、政策q 能否通过等级保护测评?u 一般来说只能是基本通过,肯定有整改意见u 金普威可以承诺协助用户通过测评u 能否通过测评,与测评中心的关系有很大影响q 能否通过等级保护的逐年检查?u 逐年检查就是逐年测评u 逐年检查为等级保护的总体建设单位带来持续的商机q 项目怎样运作?u 立项:等级保护建设项目u 可分别单独招服务商、集成商、产品供应商,也可只招总集成商,提供一揽子的服务客户普遍关心的问题总总 结结“一二三四”1 12 23 34 41个政策:以公安部等级保护政策标准为主2个目标:以2级、3级信息系统为主要目标3个关系:主管部门、测评机构、客户4类服务:等保评估服务、等保整改服务(管理)、等保测评支持服务、等保产品集成服务(含各类产品)