《联想网御安全服务-cisp和等级保护介绍.ppt》由会员分享,可在线阅读,更多相关《联想网御安全服务-cisp和等级保护介绍.ppt(70页珍藏版)》请在三一办公上搜索。
1、CISP培训和等级保护,联想网御 张兰2008年9月,联想网御2008年工作计划,目录,安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例,安全服务产品线,联想网御2008年工作计划,目录,安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例,5,培训服务业务的目标及定位,培养高素质信息安全人才,助力提升我国各政府机构及企事业单位信息系统的安全保障水平基于联想领先的信息安全顾问咨询经验和专业培训运作经验,面向客户提供权威、实用的、专业的信息安全培训服务,业务目标,培
2、训服务的位置,6,评估,体系,规划,体系建设实施,体系运行,客户角度,价值,提高安全意识、统一认识、推动体系、提高安全维护保障和审计的技能,提高意识统一认识,方案,宣贯体系,推动体系,提高安全维护保障和审计的技能,7,培训课程体系,9,CISP培训,“注册信息安全专业人员”Certified Information Security Professional,简称CISP,是(Engineer、Officer、Auditor)统称背景 1、中国信息安全产品测评认证中心实施国家认证 2、是国家对人员资质的最高认可 3、相关机构必备的信息安全管理、技术人员,10,推出机构课程费用认证程序课程内容目
3、前通过认证的人数以及人员构成特点前景,CISP培训,CISP费用,测评中心规定的统一价格全部费用12800元/人联想网御收取注册培训费9800元/人,包括培训费、教材费、授权管理费、培训期间的午餐费(不含学员住宿费和其他餐费),由联想网御开具发票测评中心收取的费用3000元/人,包括考试费1000元/人,认证费500元/人,注册费和注册维持费1500元/人/3年,由测评中心开具发票,认证流程,13,CISE课程主要内容信息安全保障体系信息安全理论信息安全技术信息安全管理信息安全标准与法律法规,CISP培训,14,信息安全工程师,15,信息安全管理人员,目前通过认证的人数特点,1千多早期特点中期
4、特点现在特点,前景,国内第一国内外培训产品竞争激烈,18,CISP成功案例,九期共160多人CISP 培训通过率90%以上公司品牌推广客户关系维系,联想网御2008年工作计划,目录,安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例,公司CISP培训政策,调整政策背景鉴于08年中国信息安全产品测评中心(以下简称测评中心)授权培训管理费的调整,经安全服务部研究讨论和公司领导批准,为规范和鼓励开展CISP培训工作,特下发联想网御安全服务CISP培训管理规定,公司CISP培训政策,开班条件北京开班人数不低于10人,在外地开班人数不低于
5、12人如不够开班人数,则所报人员顺延到满足开班条件时开班如遇到特殊情况(如奥运,两会等),开班时间另行通知,公司CISP培训政策,培训形式开班时间为每年3月、6月、9月、12月上旬在北京主办CISP培训外地不受固定时间限制,只受开班条件限制;如果有满足开班条件且急需培训的,各地均可随时向北京申请开班,公司CISP培训政策,优惠与鼓励措施在北京开班培训人数10人时,按注册培训费原价收取第11人到第15人注册培训费九折优惠第16人到第20人注册培训费八折优惠第21人以上注册培训费按7000元/人收取(相当于七点一折优惠)在外地开班培训时,相当于在北京开班培训人数基础上增加2人,既可以享受以上各段折
6、扣优惠。低于以上注册培训费折扣价格时,需要根据公司现有相关流程审批考试费、认证费和年金(共计3000元/人)由测评中心收取的固定费用,没有任何折扣,公司CISP培训政策,特殊说明为维护大客户关系或为推动大工程项目销售而需要赠送CISP培训时,根据所需培训的具体人数,由发起人按公司现有相关流程审批,并按第前面规定单独核算安全服务部所创造的销量,联想网御2008年工作计划,目录,安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例,目前的等级保护进展,定级完毕测评在进行中怎样具体整改?政策真空期,联想网御2008年工作计划,目录,安全
7、服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例,公司等保优势,参与国家标准编写,与主管部门关系融洽承担国家试点工作,树立了等级保护标杆符合国家政策要求,形成等级保护方法论总结试点实施经验,精炼等级保护知识库多年专业服务历程,储备了大量专家顾问完整服务体系资质,保障了服务可信可靠,按需防御的等级保护基于丰富的安全定级知识库、风险评估知识库和安全体系知识库为理论基础,以等级化支撑平台为支撑,以等级安全体系为架构,以安全需求为导向,通过专业安全服务和高性能安全产品,保证安全定级合理准确、体系建设科学规范、安全运维持续稳定。,等级化安全
8、体系核心技术,核心技术,1,2,3,4,安全定级知识库,风险评估知识库,安全体系知识库,等级化支撑平台,核心技术-安全定级知识库,信息系统定级是实施等级保护的首要步骤,是明确信息系统重要程度和安全目标的有效方法。安全定级知识库通过细化的定级要素和科学的定级算法,保证不同行业、不同类型信息系统定级的合理准确。,系统分类库:第一层针对行业特点分类第二层针对应用特点分类,定级要素库:通用定级要素行业定级要素系统分类定级要素,等级算法库:S&I算法:系统服务保证性和业务信息安全性制定的等级算法CIA算法:保密性、完整性、可用性制定的等级算法,报告模版库:通用等级报告模版行业等级报告模版定级备案模版,核
9、心技术-风险评估知识库,联想网御与国家信息中心共同成立了风险评估联合实验室,总结国内外相关标准和最佳实践,结合多个风险评估项目的实施经验形成了风险评估知识库。风险评估知识库可以为安全风险评估和等级评估提供支持。风险评估知识库通过及时更新的资产漏洞库、全面的威胁信息库和规范的评估方法,保证风险评估工作的客观全面。,资产漏洞库:用于分析系统安全弱点覆盖全面,大多数品牌的各类主机、网络产品,威胁信息库:是基于威胁来源、威胁途径、威胁手段的安全威胁资源库,用于分析系统安全威胁,评估方法库:是风险评估各阶段评估方法、评估流程、检查列表库,报告模版库:是评估过程各阶段报告模版库,核心技术-安全体系知识库,
10、安全体系是实现等级保护的基础框架。联想网御总结了多年安全体系咨询和等级保护项目的实施经验,结合国家和行业相关信息安全指标,形成了安全体系知识库。安全体系知识库以分级分域为核心思想,采用等级化和体系化的方法,保证信息安全体系科学规范。,分类方法:第一层针对行业特点分类第二层针对应用特点分类第三层针对安全等级分类第四层针对单元类型分类,各指标库包含内容:等级安全指标测评方法解决方法适用产品,体系模版包含内容:体系架构设计模版安全区域设计模版产品解决方案模版各类操作手册模版各类制度模版,联想网御2008年工作计划,目录,安全服务产品线CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等
11、保优势定级测评后等保服务等保典型案例,安全运维,体系建设,评估定级,等级化安全体系实施流程,安全风险评估,安全体系框架设计,等级保护安全要求分析?,物理安全,技术手段解决,安全加固,管理手段解决,等级保护安全要求10个单元,网络安全,主机安全,应用安全,数据及备份恢复,管理要求5个单元,安全产品,审核表单,安全制度,怎样依据等级完成等级保护建设?,风险评估,信息系统安全需求,安全管理解决,等级测评,安全加固解决,安全产品解决,达到系统等级要求,信息系统定级,2级系统解决方案,3级系统解决方案,评估定级服务组件,体系设计服务组件,安全运维服务组件,联想网御2008年工作计划,目录,安全服务产品线
12、CISP培训及典型案例公司CISP培训政策目前的等级保护进展公司等保优势定级测评后等保服务等保典型案例,等级保护服务案例清单,等级保护对业务价值,Page 44 of 12,1:符合国家法律和政策政策要求,避免法律风险,3:体现组织利益,投资节省,实现重点保护,4:安全工作规范化,安全工作思路清晰,5:精细化安全管理,全面提高信息安全保障水平,2:符合行业需求,保护合作伙伴利益,6:扩大服务范围、提搞服务质量、增强客户满意度,7:提高企业声誉,增强竞争力,8:促进区域、部门合作,知识资本发挥最大效益,等级保护试点工作内容,系统调查与评估,等级化服务项目,分域保护框架建设对象,资产调查,总体安全
13、建议,电子政务系统等级划分,建议方案和管理规范,应用与业务调查,定级规范,调查系统定级,分域设计,网络调整方案,安全组织管理办法,系统风险和安全措施调查,评估加固方案,体系和规划建议,项目报告,风险评估知识库应用举例,风险评估知识库应用举例,系统调查评估,电子政务定级规范细化,定级过程,定级结果示例,分域保护,网络安全性改造与安全域解决方案示例,安全解决方案,管理体系建设电子政务安全组织管理办法电子政务网络系统安全规范电子政务互联网服务安全规范电子政务安全业务系统接入规范电子政务系统等级安全措施指标电子政务信息安全应急预案电子政务安全运行维护作业计划技术体系建设网络安全改造与安全域隔离 周期性
14、安全评估与加固 政务网安全审计平台 安全监管中心平台 电子政务容灾备份中心,等级保护管理制度示例,安全体系规划,某大型通信企业等级化安全体系咨询项目,如何开展等级保护工作,Page 58 of 12,1.全面评估现有系统2.制定符合组织特点的等级划分规则并定级3.制定公司级安全制度和三年安全规划,1.制定部门级安全制度2.解决风险评估技术问题3.实施部分技术改造4.设计信息安全管理平台,1.全面推广公司安全策略2.安全运维工作外包3.完善信息安全管理平台,全面了解组织IT资产和业务流程确定保护重点对象和内容确定公司的安全政策,完成安全域改造完成全网审计完成操作性制度,安全培训推广安全制度运维外
15、包完成风险转移平台建立实现安全信息管理,等级化安全体系解决方案设计流程,保护对象,公司部门系统,计算区域网络基础设施边界,核心服务器区域终端接入区域第三方接入区域,安全目标,公司安全目标部门安全建设目标系统安全建设目标,安全要求,机密性完整性可用性,安全组织安全策略安全运作安全技术,安全措施,策略解决方案,等级保护成果风险评估(直接效果),Page 60 of 12,等级保护的成果-安全组织,Page 61 of 12,安全管理员,安全技术员,安全组织在公司中地位得到确认,等级保护工作成果-安全技术,Page 62 of 12,防病毒,监控,审计,认证,第三方统一接入,安全域,访问控制,访问控
16、制,访问控制,主机安全,边界隔离,数据库安全,应用安全,安全域,边界隔离,形成公司安全技术体系:6大部分(6件事),不同等级系统的技术要求,等级保护工作成果-安全运作,Page 63 of 12,项目工程建设,安全风险管理,安全运行维护,安全体系建设,建设期间,运行维护期间,形成运作体系,等级保护工作成果安全策略,Page 64 of 12,信息安全方针,xx管理规定,工作流程,xx组织人员职责,xx安全技术规范,信息安全体系,xx层面,xx信息安全工作管理办法,xx组织人员职责,xx层面,工作表单,运行维护计划,应急响应计划,xx层面,Page 65 of 12,风险评估管理平台,成果安全工
17、作总体思路,1.公司安全的使命和目标,-得到安全目标,我们的方向是什么?,3.安全现状,4.关键举措和重点工作,-得到总体框架和笼廓,我们做什么?做成什么样子?,-得到工作计划和实施规划,我们怎么做?,2.安全体系总体框架,5.实施策略选择,6.工作计划,7.建设实施,8.安全运营和持续改进,现在,我们开始作,等级保护实施演练,分组分成2-3组,每组准备一个系统案例作为分析对象(网站、OA)510分钟分组分析(20)资产、网络、资产、业务定级要素细化分组点评(15)提出不足和注意、改进点总结(20),Page 67 of 12,等级保护流程回顾,拜访客户的准备,背景资料熟记,显示我们对这事专业几个文件:名称、文件号、谁发布的重要会议:谁参加、重要领导姓名、会议主题拜访会谈的主要内容说明等保工作的重要性,我们理解很深重点灌输等保工作的强制性和紧迫性,让他们感觉非做不可给出我们公司的六点优势帮他出主意搞到经费争取非投标方式让我们来做,让每一位客户放心地使用互联网!,谢 谢!,
