联想网御安全服务cisp和等级保护介绍PPT演示文稿

1、CISP培训和等级保护,联想网御 张兰 2008年9月,联想网御2008年工作计划,目录,安全服务产品线 CISP培训及典型案例 公司CISP培训政策 目前的等级保护进展 公司等保优势 定级测评后等保服务 等保典型案例,安全服务产品线,联想网御2008年工作计划,目录,安全服务产品线 CISP培训及典型案例 公司CISP培训政策 目前的等级保护进展 公司等保优势 定级测评后等保服务 等保典型案例,5,培训服务业务的目标及定位,培养高素质信息安全人才，助力提升我国各政府机构及企事业单位信息系统的安全保障水平 基于联想领先的信息安全顾问咨询经验和专业培训运作经验，面向客户提供权威、实用的、专业的信

2、息安全培训服务,业务目标,6,培训服务的位置,评估,体系,规划,体系建设实施,体系运行,客户角度,价值,提高安全意识、统一认识、推动体系、提高安全维护保障和审计的技能,提高意识 统一认识,方案,宣贯体系,推动体系,提高安全维护保障和审计的技能,7,培训课程体系,9,CISP培训,“注册信息安全专业人员”Certified Information Security Professional，简称CISP，是(Engineer、Officer、Auditor) 统称 背景 1、中国信息安全产品测评认证中心实施国家认证 2、是国家对人员资质的最高认可 3、相关机构必备的信息安全管理、技术人员,10,

3、推出机构 课程费用 认证程序 课程内容 目前通过认证的人数以及人员构成特点 前景,CISP培训,CISP费用,测评中心规定的统一价格 全部费用12800元/人 联想网御收取注册培训费9800元/人，包括培训费、教材费、授权管理费、培训期间的午餐费（不含学员住宿费和其他餐费），由联想网御开具发票 测评中心收取的费用3000元/人，包括考试费1000元/人，认证费500元/人，注册费和注册维持费1500元/人/3年，由测评中心开具发票,认证流程,13,CISE课程主要内容 信息安全保障体系 信息安全理论 信息安全技术 信息安全管理 信息安全标准与法律法规,CISP培训,14,信息安全工程师,15,

4、信息安全管理人员,目前通过认证的人数特点,1千多 早期特点 中期特点 现在特点,前景,国内第一 国内外培训产品竞争激烈,18,CISP成功案例,九期共160多人CISP 培训 通过率90%以上 公司品牌推广 客户关系维系,联想网御2008年工作计划,目录,安全服务产品线 CISP培训及典型案例 公司CISP培训政策 目前的等级保护进展 公司等保优势 定级测评后等保服务 等保典型案例,公司CISP培训政策,调整政策背景 鉴于08年中国信息安全产品测评中心（以下简称测评中心）授权培训管理费的调整，经安全服务部研究讨论和公司领导批准，为规范和鼓励开展CISP培训工作，特下发联想网御安全服务CISP培

5、训管理规定,公司CISP培训政策,开班条件 北京开班人数不低于10人，在外地开班人数不低于12人 如不够开班人数，则所报人员顺延到满足开班条件时开班 如遇到特殊情况（如奥运，两会等），开班时间另行通知,公司CISP培训政策,培训形式 开班时间为每年3月、6月、9月、12月上旬在北京主办CISP培训 外地不受固定时间限制，只受开班条件限制；如果有满足开班条件且急需培训的，各地均可随时向北京申请开班,公司CISP培训政策,优惠与鼓励措施 在北京开班培训人数10人时，按注册培训费原价收取 第11人到第15人注册培训费九折优惠 第16人到第20人注册培训费八折优惠 第21人以上注册培训费按7000元/

6、人收取（相当于七点一折优惠） 在外地开班培训时，相当于在北京开班培训人数基础上增加2人，既可以享受以上各段折扣优惠。 低于以上注册培训费折扣价格时，需要根据公司现有相关流程审批 考试费、认证费和年金（共计3000元/人）由测评中心收取的固定费用，没有任何折扣,公司CISP培训政策,特殊说明 为维护大客户关系或为推动大工程项目销售而需要赠送CISP培训时，根据所需培训的具体人数，由发起人按公司现有相关流程审批，并按第前面规定单独核算安全服务部所创造的销量,联想网御2008年工作计划,目录,安全服务产品线 CISP培训及典型案例 公司CISP培训政策 目前的等级保护进展 公司等保优势 定级测评后等

7、保服务 等保典型案例,目前的等级保护进展,定级完毕 测评在进行中 怎样具体整改? 政策真空期,联想网御2008年工作计划,目录,安全服务产品线 CISP培训及典型案例 公司CISP培训政策 目前的等级保护进展 公司等保优势 定级测评后等保服务 等保典型案例,公司等保优势,参与国家标准编写，与主管部门关系融洽 承担国家试点工作，树立了等级保护标杆 符合国家政策要求，形成等级保护方法论 总结试点实施经验，精炼等级保护知识库 多年专业服务历程，储备了大量专家顾问 完整服务体系资质，保障了服务可信可靠,按需防御的等级保护基于丰富的安全定级知识库、风险评估知识库和安全体系知识库为理论基础，以等级化支撑平

8、台为支撑，以等级安全体系为架构，以安全需求为导向，通过专业安全服务和高性能安全产品，保证安全定级合理准确、体系建设科学规范、安全运维持续稳定。,等级化安全体系核心技术,核心技术,1,2,3,4,安全定级知识库,风险评估知识库,安全体系知识库,等级化支撑平台,核心技术-安全定级知识库,信息系统定级是实施等级保护的首要步骤，是明确信息系统重要程度和安全目标的有效方法。安全定级知识库通过细化的定级要素和科学的定级算法，保证不同行业、不同类型信息系统定级的合理准确。,系统分类库： 第一层针对行业特点分类 第二层针对应用特点分类,定级要素库： 通用定级要素 行业定级要素 系统分类定级要素,等级算法库：

9、S&I算法：系统服务保证性和业务信息安全性制定的等级算法 CIA算法：保密性、完整性、可用性制定的等级算法,报告模版库： 通用等级报告模版 行业等级报告模版 定级备案模版,核心技术-风险评估知识库,联想网御与国家信息中心共同成立了风险评估联合实验室，总结国内外相关标准和最佳实践，结合多个风险评估项目的实施经验形成了风险评估知识库。风险评估知识库可以为安全风险评估和等级评估提供支持。 风险评估知识库通过及时更新的资产漏洞库、全面的威胁信息库和规范的评估方法，保证风险评估工作的客观全面。,资产漏洞库： 用于分析系统安全弱点 覆盖全面，大多数品牌的各类主机、网络产品,威胁信息库： 是基于威胁来源、威

10、胁途径、威胁手段的安全威胁资源库，用于分析系统安全威胁,评估方法库： 是风险评估各阶段评估方法、评估流程、检查列表库,报告模版库： 是评估过程各阶段报告模版库,核心技术-安全体系知识库,安全体系是实现等级保护的基础框架。联想网御总结了多年安全体系咨询和等级保护项目的实施经验，结合国家和行业相关信息安全指标，形成了安全体系知识库。安全体系知识库以分级分域为核心思想，采用等级化和体系化的方法，保证信息安全体系科学规范。,分类方法： 第一层针对行业特点分类 第二层针对应用特点分类 第三层针对安全等级分类 第四层针对单元类型分类,各指标库包含内容： 等级安全指标 测评方法 解决方法 适用产品,体系模版

11、包含内容： 体系架构设计模版 安全区域设计模版 产品解决方案模版 各类操作手册模版 各类制度模版,联想网御2008年工作计划,目录,安全服务产品线 CISP培训及典型案例 公司CISP培训政策 目前的等级保护进展 公司等保优势 定级测评后等保服务 等保典型案例,安全运维,体系建设,评估定级,等级化安全体系实施流程,安全风 险评估,安全体系框架设计,等级保护安全要求分析？,物理安全,技术手段解决,安全加固,管理手段解决,等级保护安全要求10个单元,网络安全,主机安全,应用安全,数据及备份恢复,管理要求5个单元,安全产品,审核表单,安全制度,怎样依据等级完成等级保护建设？,风险评估,信息系统安全需

12、求,安全管理解决,等级测评,安全加固解决,安全产品解决,达到系统等级要求,信息系统定级,2级系统解决方案,3级系统解决方案,评估定级服务组件,体系设计服务组件,安全运维服务组件,联想网御2008年工作计划,目录,安全服务产品线 CISP培训及典型案例 公司CISP培训政策 目前的等级保护进展 公司等保优势 定级测评后等保服务 等保典型案例,等级保护服务案例清单,44,等级保护对业务价值,1：符合国家法律和政策政策要求，避免法律风险,3：体现组织利益，投资节省，实现重点保护,4：安全工作规范化，安全工作思路清晰,5：精细化安全管理，全面提高信息安全保障水平,2：符合行业需求，保护合作伙伴利益,6

13、：扩大服务范围、提搞服务质量、增强客户满意度,7：提高企业声誉,增强竞争力,8：促进区域、部门合作，知识资本发挥最大效益,安全直接效益,业务推动效益,等级保护试点工作内容,系统调查与评估,等级化服务项目,分域保护框架 建设对象,资产调查,总体安全建议,电子政务 系统等级划分,建议方案和 管理规范,应用与业务调查,定级规范,调查系统定级,分域设计,网络调整方案,安全组织 管理办法,系统风险和安全 措施调查,评估加固方案,体系和规划建议,项目报告,风险评估知识库应用举例,风险评估知识库应用举例,系统调查评估,电子政务定级规范细化,定级过程,定级结果示例,分域保护,网络安全性改造与安全域解决方案示例

14、,安全解决方案,管理体系建设 电子政务安全组织管理办法 电子政务网络系统安全规范 电子政务互联网服务安全规范 电子政务安全业务系统接入规范 电子政务系统等级安全措施指标 电子政务信息安全应急预案 电子政务安全运行维护作业计划 技术体系建设 网络安全改造与安全域隔离 周期性安全评估与加固 政务网安全审计平台 安全监管中心平台 电子政务容灾备份中心,等级保护管理制度示例,安全体系规划,某大型通信企业等级化安全体系咨询项目,58,如何开展等级保护工作,1.全面评估现有系统 2.制定符合组织特点的等级 划分规则并定级 3.制定公司级安全制度和三年安全规划,1.制定部门级安全制度 2.解决风险评估技术问

15、题 3.实施部分技术改造 4.设计信息安全管理平台,1.全面推广公司安全策略 2.安全运维工作外包 3.完善信息安全管理平台,全面了解组织IT资产 和业务流程 确定保护重点对象和内容 确定公司的安全政策,完成安全域改造 完成全网审计 完成操作性制度,安全培训推广安全制度 运维外包完成风险转移 平台建立实现安全信息管理,等级化安全体系解决方案设计流程,保护对象,公司 部门 系统,计算区域 网络基础设施 边界,核心服务器区域 终端接入区域 第三方接入区域,安全目标,公司安全目标 部门安全建设目标 系统安全建设目标,安全要求,机密性 完整性 可用性,安全组织 安全策略 安全运作 安全技术,安全措施,

16、策略 解决方案,60,等级保护成果风险评估（直接效果）,61,等级保护的成果-安全组织,安全管理员,安全技术员,安全组织在公司中 地位得到确认,62,等级保护工作成果-安全技术,防病毒,监控,审计,认证,第三方 统一接入,安全域,访问 控制,访问 控制,访问 控制,主机 安全,边界 隔离,数据库 安全,应用 安全,安全域,边界 隔离,形成公司安全技术体系：6大部分（6件事）,不同等级系统的 技术要求,63,等级保护工作成果-安全运作,项目工程 建设,安全风险 管理,安全运行 维护,安全体系 建设,建设期间,运行维护期间,形成运作体系,64,等级保护工作成果安全策略,信息安全方针,xx管理规定,工作流程,xx组织人员职责,xx安全技术规范,信息安全体系,xx层面,xx信息安全工作管理办法,xx组织人员职责,xx层面,工作表单,运行维护计划,应急响应计划,xx层面,65,风险评估管理平台,成果安全工作总体思路,1.公司安全的使命和目标,-得到安全目标,我们的方向是什么？,3.安全现状,4.关键举措和重点工作,-得到总体框架和笼廓,我们做什么？做成什么样子？,-得到工作计划和实施规划,我们怎么做？,2.安全体系总体框架,5.实施策略选择,6.工作计划,7.建设实施,8.安全运营和持续改进,现在，我们开始作,67,等级保护实施演练,分组 分成2-3组，每