新等保解决方案产品销售指导.pptx
合集下载
等保2.0详细解读PPT课件
2021/6/4 Nhomakorabea7
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
等保2.0测评变化
• 测评
• 及格分从60分改为75分
• 安全要求
• 由“安全要求”改为“安全通用要求和安全扩展要求” • 新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
新时代等级保护安全解决方案PPT资料【优质版】
国家网络安全等级保护制度2.0 国家新标准
国家新标准
《网络安全等级保护基 本要求》
GB/T 22239--
《网络安全等级保护安全 设计技术要求》 GB/T 25070--
《网络安全等级保护测评 要求》
GB/T 28448--
等级保护进入时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级保护制度的 法律地位。
行业测评机构
地方测评机构
等级保护主要工作流程
监督检查是保护能力不断提高的保障
一 定级
二 备案
三 建设整改
四 等级测评
等级测评是评价安全保护状况的方法 建设整改是等级保护工作落实的关键
备案是等级保护的核心 定级是等级保护的首要环节
等级保护安全技术方案
应用安全扩展要求”的要求内容
为了适应移动互联、云计算、大数据、物联网和工业控制I等n新te技r术n、et新应用情况下信息安全等级保护工作的开展,需对GB/T 22239—
的
网
络
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
安
全 观 新标准
国家新标准出台并实施。
没有网络安全就没有国家安全
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、 各企 业、各机构,即是覆盖全社会。
THE BUSENESS PLAN 统等列入标准范围,构成了“安全通用要求+新型 可信验证列入各个级别并逐级提出各个环节 安全等级保护的对象包括网络基础设施(广电网、电信 网、专用通信网络等)、云计算平台/系统、大数据平 台/系统、物联网、工业 控制系统、采用移动互联技术 的系统等. 《网络安全等级保护测评要求》 《网络安全等级保护基本要求》
等级保护宣讲 ppt课件
等级保护交流
汇报人:
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度,22年历 史; ②等级保护是唯一建立 系列标准覆盖实施落地 全流程,并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍,警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位;
高端手法:信息安全集成(等级保护)独立运作
为什么选择等级保护? 1、国家政策 2、安全不是产品的简单堆积,也不是一次性的静态过程,它是
人员、技术、操作三者紧密结合的系统工程,是不断演进、循环 发展的动态过程
3、信息安全是一把手工程,信息安全是全员工程,信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设,让安全建设更加体系 化,可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设,再也 不是头痛医头脚痛医脚,对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状,一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求,一旦发生安全 事件要自己承担相关责任。
汇报人:
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度,22年历 史; ②等级保护是唯一建立 系列标准覆盖实施落地 全流程,并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍,警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位;
高端手法:信息安全集成(等级保护)独立运作
为什么选择等级保护? 1、国家政策 2、安全不是产品的简单堆积,也不是一次性的静态过程,它是
人员、技术、操作三者紧密结合的系统工程,是不断演进、循环 发展的动态过程
3、信息安全是一把手工程,信息安全是全员工程,信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设,让安全建设更加体系 化,可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设,再也 不是头痛医头脚痛医脚,对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状,一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求,一旦发生安全 事件要自己承担相关责任。
等级保护宣讲-ppt课件
第五阶段:由于公安的强势管理和重视安全的企业的自我觉醒,民企发现,做安全,除等保外没有别的选择。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息安全等级保护与整体解决方案PPT课件
2005年12月,公安部《信息系统安全等级保护实施指 南》、《信息系统安全等级保护定级要求》、《信息 系统安全等级保护基本要求》、《信息系统安全等级 保护测评准则》(GB送审稿陆续出台)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
2006年3月开始实施的公安部、国家保密局、国家密码 管理局、国信办四部委(局办)发布7号文 《等级保 护管理办法》
信息安全等级保护与 等级化安全体系解决方案
1
INDEX
网络安全与信息安全 信息安全等级保护 等级化安全体系解决方案
2
网络安全与信息安全
安全定义 安全基本要求 安全技术体系 安全模型
3
安全定义
防止任何对数据进行未授权访问的措施,或者造 成信息有意无意泄漏、破坏、丢失等问题的发生, 让数据处于远离危险、免于威胁的状态或特性。
10
对等级保护的理解
等级保护是我国信息安全领域的一项基本政策
1994年,《中华人民共和国计算机信息系统安全保护条 例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化 领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号文)
12
对等级保护的理解(续二)
等级保护的核心是将传统的定性设计逐步进化为 定量的安全保障设计
对信息系统实施不同等级的安全保护 对信息系统中使用的安全产品实施分等级管理 对信息系统发生的安全事件分等级响应和处置
13
对等级保护的理解(续三)
等级保护体现了差异化的安全保障思想
由系统使命决定系统的等级,充分考虑业务信息安全性和业 务服务保证性
2004年,四部委(公安部、国家保密局、国家密码管理 局、国信办)联合签发了《关于信息安全等级保护工作 的实施意见 》(公通字[2004]66号文)
信息安全等级保护与解决方案ppt
• 2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》 (公通字[2004]66号)也指出:“信息系统安全等级保护制度是国家在 国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维 护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一 项基本制度”。
信息安全等级保护发展历程
信息安全等级保护与解决方案
信息安全等级保护与解决方案
• 信息安全等级保护
信息安全现状与问题 信息安全等级保护简介
• 信息安全解决方案
信息安全技术 信息安全管理 信息安全方案
信息安全现状
• 日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全问题
• 安全事件
– 每年都有上千家政府网站被攻击
• 安全影响
– 任何网络都可能遭受入侵
信息系统安全等级保护
• 信息系统安全等级保护简介 • 信息系统安全保护等级划分 • 信息系统安全保护定级指南
等级保护出台是信息安全发展的需要
信息安全问题层出不穷 安全保护措施、安全管理建设不足,导致各种安全事故发生 国内缺乏相类似的安全标准 国家、服务商和用户在安全建设过程中缺乏参考依据 随着信息安全技术的发展 随着安全意识的提高 随着安全服务范围增大 对信息安全管理需要实行等级化保护(目标/要求/能力)
信息系统所属类型赋值表
信息系统所属类型举例
赋
信息系统的社会影响
值
属于一般企事业单位,处理其内部事 1 信息系统资产受到破坏会对本单
务的信息系统。
位利益有直接影响。
属于重要行业、重要领域和国家基础 设施,为国计民生、经济建设等提供 重要服务的信息系统,或本身虽属一 般企事业单位,但为党政或重要信息 系统提供支撑服务的信息系统。
信息安全等级保护发展历程
信息安全等级保护与解决方案
信息安全等级保护与解决方案
• 信息安全等级保护
信息安全现状与问题 信息安全等级保护简介
• 信息安全解决方案
信息安全技术 信息安全管理 信息安全方案
信息安全现状
• 日益增长的安全威胁
– 攻击技术越来越复杂 – 入侵条件越来越简单
信息安全问题
• 安全事件
– 每年都有上千家政府网站被攻击
• 安全影响
– 任何网络都可能遭受入侵
信息系统安全等级保护
• 信息系统安全等级保护简介 • 信息系统安全保护等级划分 • 信息系统安全保护定级指南
等级保护出台是信息安全发展的需要
信息安全问题层出不穷 安全保护措施、安全管理建设不足,导致各种安全事故发生 国内缺乏相类似的安全标准 国家、服务商和用户在安全建设过程中缺乏参考依据 随着信息安全技术的发展 随着安全意识的提高 随着安全服务范围增大 对信息安全管理需要实行等级化保护(目标/要求/能力)
信息系统所属类型赋值表
信息系统所属类型举例
赋
信息系统的社会影响
值
属于一般企事业单位,处理其内部事 1 信息系统资产受到破坏会对本单
务的信息系统。
位利益有直接影响。
属于重要行业、重要领域和国家基础 设施,为国计民生、经济建设等提供 重要服务的信息系统,或本身虽属一 般企事业单位,但为党政或重要信息 系统提供支撑服务的信息系统。
等保交流-基础知识ppt课件
6
等级保护目标客户:
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性 公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系 统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土 资源、能源、交通、文化、统计、工商行政管理、邮政、国防工业等关系到国计 民生的信息系统(生产、调度、管理、办公等重要信息系统)。
技术要求:
应用安全-身份鉴别、访问控制、安全审计 应用安全-通信保密性、通信完整性
方案:
SSL VPN:远程用户接入时的身份鉴别、权限控制、安全审计,并保证通信保密性和完 整性; 服务器群组防护:用户访问时进行身份鉴别,保证访问业务系统的安全性与边界隔离; 堡垒机:设备用户权限管理的安全问题;
22
安全管理中心
挖掘需求:
随着信息化建设的进行,服务器和网络设备越来越多,业务系统越来越多,用户没有 精力逐个监控,迫切的需要有一个系统能够监控整个网络的情况,尤其是监控所有业 务系统的健康状况,并且当业务系统出现问题时,能够进行即使的告警。另外,需要 实现对设备的统一的策略管理和下发。
技术要求:
应用安全-资源控制 主机安全-资源控制 监控管理和安全管理中心 网络安全管理
(三)教育、国家科研等单位的信息系统
(四)市(地)级以上党政机关的重要网站和办公信息系统
(五)中央企业以及国资委下属企业
7
• 目前国家出台了哪些有关等保的政策?
– 国家: • 国务院147号令《中华人民共和国计算机信息系统安全保护条例》(94年) • 公通字[2004]66号《关于信息安全等级保护工作的实施意见》 • 公通字[2007]43号《信息安全等级保护管理办法》
等保培训PPT课件
21
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
22
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
32
物理安全
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
1
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
2
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )
等保测评介绍及解决方案(最终) ppt课件
4
等级保护发展历程 等保2.0
发展情况
修订等保1.0
2016年10月公安部网络安 全保卫局组织对原有国家标 准 GB/T 22239-2008等系列 标 准进行了修订。
2.0系列标准 编制工作
2017年1月至2月,全国信息安 全标准化技术委员会发布《 网 络安全等级保护基本要求》系 列标准、《 网络安全等级保护 测评要求 》系列标准等“征求 意见稿”。 2017年5月,国家公安部发布 《GA/T 1389—2017 网络安 全等级保护定级指南》、 《GA/T 1390.2—2017 网络安 全等级保护基本要求 第 2 部分: 云计算安全扩展要求》等4个公 共安全行业等级保护标准。
ppt课件
17
18
依据《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安 全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或 者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安 全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害 网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处 五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三 十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元 以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
ppt课件
18
《网络安全法》执法案例
系统重要程度有多高,安全保护就应当有多 强,既不能保护不足,也不能过度保护。
等级保护发展历程 等保2.0
发展情况
修订等保1.0
2016年10月公安部网络安 全保卫局组织对原有国家标 准 GB/T 22239-2008等系列 标 准进行了修订。
2.0系列标准 编制工作
2017年1月至2月,全国信息安 全标准化技术委员会发布《 网 络安全等级保护基本要求》系 列标准、《 网络安全等级保护 测评要求 》系列标准等“征求 意见稿”。 2017年5月,国家公安部发布 《GA/T 1389—2017 网络安 全等级保护定级指南》、 《GA/T 1390.2—2017 网络安 全等级保护基本要求 第 2 部分: 云计算安全扩展要求》等4个公 共安全行业等级保护标准。
ppt课件
17
18
依据《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安 全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或 者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安 全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害 网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处 五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三 十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元 以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
ppt课件
18
《网络安全法》执法案例
系统重要程度有多高,安全保护就应当有多 强,既不能保护不足,也不能过度保护。
最新等级保护ppt课件
➢ 测评双方现场确认
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
保险产品解析与销售技巧培训课件
专业服务支持
提供企业客户专属的保险顾问服务,协助处理理赔等事宜,确保企 业客户的权益得到保障。
针对不同行业客户的销售策略
1 2
行业特点分析
研究不同行业的经营模式、风险点和保险需求, 为各行业客户提供针对性保险方案。
行业案例分享
分享同行业或跨行业的成功保险案例,激发各行 业客户对保险产品的兴趣和信心。
其量身定制保险方案。
产品特点突出
02
重点介绍保险产品中的个性化保障、灵活缴费等特点,吸引个
人客户关注。
服务体验优化
03
提供便捷的购买流程和专业的售后服务,提升个人客户的购买
意愿和满意度。
针对家庭客户的销售策略
家庭需求分析
全面了解家庭客户的家庭成员结构、经济状况和未来规划,为其 设计综合性保险方案。
个性化服务
根据客户的具体情况,提供个性化的服务方案,如调整保障计划、 提供理赔协助等。
客户推荐
鼓励满意的客户向亲朋好友推荐保险产品,扩大销售渠道。同时,可 利用社交媒体等网络平台积极宣传和推广保险产品。
04
针对不同客户群体的销售 策略
针对个人客户的销售策略
个性化需求识别
01
深入了解个人客户的财务状况、风险承受能力和保险需求,为
竞争产品对比
引入竞争产品,让销售 人员了解市场动态和竞 品优劣,提高应对能力 。
销售话术与技巧应用
开场白与寒暄
教授有效的开场白和寒暄技巧,拉近与客户的距离,建立 信任关系。
产品介绍与推荐
培训销售人员如何针对客户需求,精准推荐适合的保险产 品。
异议处理与引导
指导销售人员如何处理客户异议,通过有效沟通引导客户 达成共识。
问题与困难讨论
提供企业客户专属的保险顾问服务,协助处理理赔等事宜,确保企 业客户的权益得到保障。
针对不同行业客户的销售策略
1 2
行业特点分析
研究不同行业的经营模式、风险点和保险需求, 为各行业客户提供针对性保险方案。
行业案例分享
分享同行业或跨行业的成功保险案例,激发各行 业客户对保险产品的兴趣和信心。
其量身定制保险方案。
产品特点突出
02
重点介绍保险产品中的个性化保障、灵活缴费等特点,吸引个
人客户关注。
服务体验优化
03
提供便捷的购买流程和专业的售后服务,提升个人客户的购买
意愿和满意度。
针对家庭客户的销售策略
家庭需求分析
全面了解家庭客户的家庭成员结构、经济状况和未来规划,为其 设计综合性保险方案。
个性化服务
根据客户的具体情况,提供个性化的服务方案,如调整保障计划、 提供理赔协助等。
客户推荐
鼓励满意的客户向亲朋好友推荐保险产品,扩大销售渠道。同时,可 利用社交媒体等网络平台积极宣传和推广保险产品。
04
针对不同客户群体的销售 策略
针对个人客户的销售策略
个性化需求识别
01
深入了解个人客户的财务状况、风险承受能力和保险需求,为
竞争产品对比
引入竞争产品,让销售 人员了解市场动态和竞 品优劣,提高应对能力 。
销售话术与技巧应用
开场白与寒暄
教授有效的开场白和寒暄技巧,拉近与客户的距离,建立 信任关系。
产品介绍与推荐
培训销售人员如何针对客户需求,精准推荐适合的保险产 品。
异议处理与引导
指导销售人员如何处理客户异议,通过有效沟通引导客户 达成共识。
问题与困难讨论
新解决方案销售ppt.(优选)
新解决方案销售ppt篇一:产品促销方案PPT促销策划书格式第一部分促销形式一、包装外赠品赠品的选择必须符合以下原则条件:1、易于了解赠品是什么,值多少钱,须让顾客一看便知。
2、具有购买吸引力。
3、尽可能挑选有品牌的赠品。
4、要选择与产品有关联的赠品。
5、紧密结合促销主题。
6、赠品要力求突出,最好不要挑零售店正在销售的商品作为赠品。
如果所选的赠品相当平凡,最好在赠品上印上公司品牌,商标或标志图案,以突出赠品的独特性。
二、免费样品派发(一)实施的主要方法:1、随dm信函直接邮寄目标消费者。
2、入户派送3、目标消费者聚集的公共场所内派送。
4、媒体分送5、零售点派送6、选择非竞争性商品来附送免费样品。
(二)优点:创造高试用率及惊人的品牌转变率,促使试用者成为现实购买者的可能性高。
1、将产品信息直接展现在消费者面前,变被动接受为主动了解信息。
2、口碑效应明显3、有利于树立企业形象4、有关产品的信息是全真的(三)实施要点:1、适合产品:(1)大众化的日用品,最好是每个人都可能用到它,且使用频率高的。
(2)产品成本应较低或可制成小容量的试用包装。
此外,有短使用期限的产品不适合使用此促销方式。
(3)派发品要有独立品牌,并有一定的知名度。
2、设置监察制度,监督派送效果。
3、根据企业营销策略定具体的派送区域。
4、在产品旺销季节派发5、一个月内,派发若覆盖目标区域80%左右的家庭数便较为理想。
6、在新产品上市广告前3至5周,同时零售终端铺货率达到50%时,才可执行免费派送。
7、要防止漏派,重派,偷窃,偷卖派送品的现象。
8、派送品的规格大小,通常让消费者能体验出商品利益的分量就可以了。
包装应以原产品包装色彩要统一,便于消费者去零售点指定购买。
9、注意派送人员的形象及语言美,统一标识,并培训以产品知识。
三、折价券(一)针对消费者的折价券主要散发方式:1、直接送予消费者。
2、媒体发放。
3、随商品发放。
4、促销宣传单发放。
(二)实施要点:1、折价券的设计,通常按照纸币的大小形状来印制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新等保解决方案产品销售指导
正式版 V1.0
产品与解决方案中心 王亮 张培蔚
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
2
等级保护有法可依违法必究
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护义务,保障 网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或 者被窃取、篡改… 第五十九条 网络运营者不履行本法第二十一条、第二十五条规 定的网络安全保护义务的,由有关主管部门责令改正,给予警告 ;拒不改正或者导致危害网络安全等后果的,处一万元以上十万 元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚 款。
系统调查 系统定级 定级报告 专家评审 协助备案
基础环境评估 服务
现场评估 报告编制
安全规划设计 服务
安全需求分析 安全策略设计 解决方案设计 安全建设规划
等保集成服务
详细设计 技术实现 管理实现 安全培训
安全运维服务
运行管理 服务商管控 等级测评 检测改进
安全应急服务
应急预案 监测响应 评估改进 应急保障
等级保护安全架构
策略制度
策略制度 等保咨询
管 理
建设管理
建设管理 等保集成
基础环境 评估
安全培训
代码卫士
要
机构人员
机构人员 等保咨询
求
安全运维
安全运维
日志审计 LAS
堡垒机
应急响应 驻场保障
SNI NGSOC
渗透测试
应用和数 数据
据安全
应用
DB审计 WAF
DLP
网页 防篡改
容灾备份
鹰眼
应用改造 邮件网关
10 TL9000电讯业质量管理体系认证
安全服务类
1 信息安全等级保护建设服务机构能力评估合格证书
2 ISCCC信息安全服务资质-应急处理服务
3 ISCCC信息安全服务资质-风险评估服务
4 ISCCC信息安全服务资质-信息系统安全集成服务
5 国测信息安全服务资质-安全开发类
6 国测信息安全服务资质-安全工程类
网神 启明星辰 绿盟科技
二级 √ √ √ √ √ √ √ √ ×
二级 √ √ √ √ × √ √ × ×
二级 √ √ √ √ × √ × × ×
√ 一级 一级 一级 一级 二级
√
二级
√ 一级 一级 一级 一级 二级
√
一级
√ 一级 一级 一级 一级 二级
×
二级
二级
二级
二级
一级
一级
一级
一级
一级
一级
国家级 √
等保2.0扩展—安全通用要求+五个扩展分册
• GB/T22239.1-XXXX 信息安全技术 网络 安全等级保护基本要求
第1部分 安全通用要求 • GB/T 22239.2-XXXX信息安全技术 网络
安全等级保护基本要求 第2部分 云计算安全扩展要求 • GB/T 22239.3-XXXX信息安全技术 网络
7 CISP授权服务机构
8
通信网络安全服务能力评定证书 安全设计与集成(三级为最高级)
9
通信网络安全服务能力评定证书 风险评估(三级为最高级)
10
通信网络安全服务能力评定证书 应急响应(三级为最高级)
11
通信网络安全服务能力评定证书 安全培训(三级为最高级)
服务支撑类 1 CNCERT/CC网络安全应急服务支撑单位 2 CNCERT 网络安全信息通报单位
设备和计算安全
安全管理机构和人员
网络和通信安全
安全建设管理
物理和环境安全
安全运维管理
三级安全控制项2.0: 229项 技术116 管理113
等保2.0控制域控制项变化示例
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
7
安全产品与等保要求对应情况
技 术
操作系统 天擎
设备和计
NAC
漏扫
360ID
CA
要 求
算安全
虚拟化
虚拟化 安全
网络与通
信安全
网络
NGFW
Anti DDoS
漏扫
VPN
ICG
IPS 天眼
防病毒墙
网闸
天巡
SMAC
物理安全
物理环境 CCTV
防火
防水
电磁防护 电力保障 机房抗震
门禁
注:物理安全由等保防护对象或电信基础设施运营商提供
360 自 有 设 备 : 第三方设备:
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
10
优势1-- 产品覆盖最全
一站式新等保三级解决方案
1
等保咨询
2
安全风险评估
3
安全架构设计 安全集成
4
安全运维
5
应急响应
优势2--公司资质最全
序号
资质名称
认定认可类
1 计算机信息系统集成企业资质(大型一级为最高级)
2 商用密码产品销售许可证
5 ISO9001:2008质量管理体系(包含网神科技)
6 ISO20000:2011信息技术服务管理体系
7 ISO27001:2005信息安全管理体系
8 ISO14000环境管理体系认证
9 ISO18000职业健康安全管理体系
等保二级 要求
等保二级 要求
等保三级 增加要求
等保三级 增加要求
等级保护生命周期安全服务(等保2.0)
行业/领域主管部门 属地公安机关
有等保建设资质的 厂商,设计院等
有等保建设资质的 厂商
等保用户 专业安全厂商
定级备案
总体安全规划
安全设计实施
安全运行维护
等保用户 专业安全厂商
应急响应保障
等保咨询服务
安全等级保护基本要求 第3部分 移动互联安全扩展要求 • GB/T 22239.4-XXXX信息安全技术 网络
安全等级保护基本要求 第4部分 物联网安全扩展要求 • GB/T 22239.5-XXXX信息安全技术 网络
安全等级保护基本要求 第5部分 工业控制安全扩展要求 • GB/T 22239.6-XXXX信息安全技术 网络
国家级 √
国家级 √
天融信
二级 √ √ √ √ √ √ √ × √
× 一级 一级 一级 一级 二级
√
二级
二级
一级
一级
国家级 √
深信服 华为 东软
×
一级 一级
√
√
√
×
×
×
√
√
√
√
√
√
×
√
√
×
√
√
×
√
√
×
√
√
×
√
×
×
×
×
×
一级 一级
×
一级 一级
×
一级 一级
安全等级保护基本要求 第6部分 大数据安全扩展要求
等保三级安全的控制项
技术要求
管理要求
数据安全及备份恢复
系统运维管理
应用安全
系统建设管理
主机安全
人员安全管理
网络安全
安全管理机构
物理安全
安全管理制度
三级安全控制项1.0: 290项 技术136 管理154
技术要求
管理要求
应用和数据安全
安全策略和管理制度
正式版 V1.0
产品与解决方案中心 王亮 张培蔚
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
2
等级保护有法可依违法必究
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护义务,保障 网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或 者被窃取、篡改… 第五十九条 网络运营者不履行本法第二十一条、第二十五条规 定的网络安全保护义务的,由有关主管部门责令改正,给予警告 ;拒不改正或者导致危害网络安全等后果的,处一万元以上十万 元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚 款。
系统调查 系统定级 定级报告 专家评审 协助备案
基础环境评估 服务
现场评估 报告编制
安全规划设计 服务
安全需求分析 安全策略设计 解决方案设计 安全建设规划
等保集成服务
详细设计 技术实现 管理实现 安全培训
安全运维服务
运行管理 服务商管控 等级测评 检测改进
安全应急服务
应急预案 监测响应 评估改进 应急保障
等级保护安全架构
策略制度
策略制度 等保咨询
管 理
建设管理
建设管理 等保集成
基础环境 评估
安全培训
代码卫士
要
机构人员
机构人员 等保咨询
求
安全运维
安全运维
日志审计 LAS
堡垒机
应急响应 驻场保障
SNI NGSOC
渗透测试
应用和数 数据
据安全
应用
DB审计 WAF
DLP
网页 防篡改
容灾备份
鹰眼
应用改造 邮件网关
10 TL9000电讯业质量管理体系认证
安全服务类
1 信息安全等级保护建设服务机构能力评估合格证书
2 ISCCC信息安全服务资质-应急处理服务
3 ISCCC信息安全服务资质-风险评估服务
4 ISCCC信息安全服务资质-信息系统安全集成服务
5 国测信息安全服务资质-安全开发类
6 国测信息安全服务资质-安全工程类
网神 启明星辰 绿盟科技
二级 √ √ √ √ √ √ √ √ ×
二级 √ √ √ √ × √ √ × ×
二级 √ √ √ √ × √ × × ×
√ 一级 一级 一级 一级 二级
√
二级
√ 一级 一级 一级 一级 二级
√
一级
√ 一级 一级 一级 一级 二级
×
二级
二级
二级
二级
一级
一级
一级
一级
一级
一级
国家级 √
等保2.0扩展—安全通用要求+五个扩展分册
• GB/T22239.1-XXXX 信息安全技术 网络 安全等级保护基本要求
第1部分 安全通用要求 • GB/T 22239.2-XXXX信息安全技术 网络
安全等级保护基本要求 第2部分 云计算安全扩展要求 • GB/T 22239.3-XXXX信息安全技术 网络
7 CISP授权服务机构
8
通信网络安全服务能力评定证书 安全设计与集成(三级为最高级)
9
通信网络安全服务能力评定证书 风险评估(三级为最高级)
10
通信网络安全服务能力评定证书 应急响应(三级为最高级)
11
通信网络安全服务能力评定证书 安全培训(三级为最高级)
服务支撑类 1 CNCERT/CC网络安全应急服务支撑单位 2 CNCERT 网络安全信息通报单位
设备和计算安全
安全管理机构和人员
网络和通信安全
安全建设管理
物理和环境安全
安全运维管理
三级安全控制项2.0: 229项 技术116 管理113
等保2.0控制域控制项变化示例
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
7
安全产品与等保要求对应情况
技 术
操作系统 天擎
设备和计
NAC
漏扫
360ID
CA
要 求
算安全
虚拟化
虚拟化 安全
网络与通
信安全
网络
NGFW
Anti DDoS
漏扫
VPN
ICG
IPS 天眼
防病毒墙
网闸
天巡
SMAC
物理安全
物理环境 CCTV
防火
防水
电磁防护 电力保障 机房抗震
门禁
注:物理安全由等保防护对象或电信基础设施运营商提供
360 自 有 设 备 : 第三方设备:
CONTENTS
• 等级保护通用要求 • 三级等保方案介绍 • 方案优势&价值 • 典型案例 • 可销售产品清单
10
优势1-- 产品覆盖最全
一站式新等保三级解决方案
1
等保咨询
2
安全风险评估
3
安全架构设计 安全集成
4
安全运维
5
应急响应
优势2--公司资质最全
序号
资质名称
认定认可类
1 计算机信息系统集成企业资质(大型一级为最高级)
2 商用密码产品销售许可证
5 ISO9001:2008质量管理体系(包含网神科技)
6 ISO20000:2011信息技术服务管理体系
7 ISO27001:2005信息安全管理体系
8 ISO14000环境管理体系认证
9 ISO18000职业健康安全管理体系
等保二级 要求
等保二级 要求
等保三级 增加要求
等保三级 增加要求
等级保护生命周期安全服务(等保2.0)
行业/领域主管部门 属地公安机关
有等保建设资质的 厂商,设计院等
有等保建设资质的 厂商
等保用户 专业安全厂商
定级备案
总体安全规划
安全设计实施
安全运行维护
等保用户 专业安全厂商
应急响应保障
等保咨询服务
安全等级保护基本要求 第3部分 移动互联安全扩展要求 • GB/T 22239.4-XXXX信息安全技术 网络
安全等级保护基本要求 第4部分 物联网安全扩展要求 • GB/T 22239.5-XXXX信息安全技术 网络
安全等级保护基本要求 第5部分 工业控制安全扩展要求 • GB/T 22239.6-XXXX信息安全技术 网络
国家级 √
国家级 √
天融信
二级 √ √ √ √ √ √ √ × √
× 一级 一级 一级 一级 二级
√
二级
二级
一级
一级
国家级 √
深信服 华为 东软
×
一级 一级
√
√
√
×
×
×
√
√
√
√
√
√
×
√
√
×
√
√
×
√
√
×
√
√
×
√
×
×
×
×
×
一级 一级
×
一级 一级
×
一级 一级
安全等级保护基本要求 第6部分 大数据安全扩展要求
等保三级安全的控制项
技术要求
管理要求
数据安全及备份恢复
系统运维管理
应用安全
系统建设管理
主机安全
人员安全管理
网络安全
安全管理机构
物理安全
安全管理制度
三级安全控制项1.0: 290项 技术136 管理154
技术要求
管理要求
应用和数据安全
安全策略和管理制度