GB/T指推荐性国家标准,本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统的生命周期不同阶段的实施要点和工作形式,适用于规范组织开展的风险评估工作,包括如下几部分:
业务战略是依托于资产来实现的,资产价值越高依托程度也就越高,相反对风险的容忍度也就越低;风险是由威胁带来的,威胁越多风险也就越大甚至演变成安全事件;脆弱性是资产的属性,它是安全措施未被很好满足的情况下产生的,脆弱性被威胁利用后会给资产带来安全风险;由于对抗风险的需求存在,会衍生出一系列的安全举措(基于资产成本考虑ROI),来抵御或预防威胁,然后当安全举措失效后会产生残余风险,残余风险需要被例行监控起来以免造成安全事件;
网络信息系统安全等级保护分为五级,一级防护水平最低,最高等保为五级。
区别如下:
第一级(自主保护级):一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息统
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级):一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级):一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级):一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级):一般适用于国家重要领域、重要部门中的极端重要系统。
信息系统受到破坏后,会对国家安全造成特别严重损害。
就业前景
随着社会信息化的深入,各行业大都需要电子信息工程专业人才,而且薪金很高。信息工程专业学生毕业后可以从事电子设备和信息系统的设计、应用开发以及技术管理等。比如,做电子工程师,设计开发一些电子、通信器件;做软件工程师,设计开发与硬件相关的各种软件;做项目主管,策划一些大的系统,这对经验、知识要求很高;还可以继续进修成为教师,从事科研工作等。
中国IT行业起步至今有十年,很年轻。新鲜的事物、朝阳的产业总是备受注目。正是这个原因,计算机专业迅速成为高校的热门专业,不少同学削尖又再削尖了脑袋往这个象牙塔里的象牙顶钻,或为兴趣,或为谋生掌握一门技能,或为前途更好更快地发展。