2、 构建网络信息系统的"信息安全保障体系"
根据信息系统的安全等级,依据国家已发布的相关标准和规范,构建或者调整网络信息系统的信息安全保障体系,在信息安全保障体系建设或调整中,在作好信息系统安全需求分析的基础上,要重点抓好:①、网络纵深防御体系的设计,安全域的科学划分和安全边界的有效隔离。②、网络动态防护机制设计,安全机制能在安全对抗的全生命周期过程中有效协同和对抗。③、建设好基于密码技术的网络信任体系,包括身份认证,授权管理和责任认定。④、强化内部审计,从网络级、数据库级、系统级、主机级和介质级的全局审计入手,并逐渐使审计点前移。⑤、建设好信息系统的"信息安全管理体系"(ISMS),遵从PDCA模型,不断优化ISMS。
3、 抓好信息安全测评的风险评估工作
鉴于网络信息系统是一个"复杂巨系统",其信息安全检测与风险评估就是一项"系统工程",在重视培育自评估能力的同时,要重点通过专业的第三方(行政检查评估或服务委托评估),即时发现隐患,采取对策,调整系统,提升强度,与所确定的安全等级相匹配。
4、 重视应急预案建立与灾难恢复系统建设
国家已发布了网络信息系统应急与预案的相关文件,以健全在网络突发事件中网络信息系统的应急对策,提升系统的应急能力。作力应急恢复的最后一道防线,要对"灾难恢复"即早作好准备,有备无患。国家已出台了有关灾难恢复的相关文件和标准规范,在认真作好需求分析的基础上制定好应急预案,建设好灾难恢复系统,以保障系统业务的可持续能力。
相关阅读