企业的网络信息系统必须按照风险管理的思想,对可能存在的要挟、脆弱性和需要保护的信息资源进行分析,根据风险评估的成果为信息系统选择适当的安全措施,妥当应对可能产生的风险。目前,信息安全等级保护是发达国家保护要害信息基础设施,保障信息安全的通行。
二、信息安全等级保护
(一)信息安全等级保护和风险评估的关系
1994年国务院颁布的《中华国民共和国盘算机信息系统安全保护条例》规定盘算机信息系统履行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的徊家信息化领导小组关于加强信息安全保障工作的看法)中明白提出: “要重点保护基础信息网络和关系国家安全、经济命根子、社会稳固等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理措施和技巧指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实行看法》也指出: “信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,进步信息安全保障才能程度,保护国家安全、社会稳固和公共利益,保障和促遗信息化建设健康发展的—项基础制度”。等级保护工作的核心是对信息安全分等级,按标准进行建设、管理和监督。风险评估做为信息安全工作的一种重要技巧手段,为系统安全等级保护的定级、测评和整改等工作阶段供给重要根据,在实行信息安全等级保护周期和层次中施展着重要作用。在等级保护周期的系统等级阶段中,依提信息安全风险评估国家标准对所评估资产的重要性、客观要挟产生的频率、以及系统自身脆弱性的严重程度进行辨认和关联分析,断定信息系统应采用什么强度的安全措施,然后将安全事件一旦产生后可能造成的影响把持在可接收的范畴内:在安全实行阶段,按照风险评估标准,对现有系统进行评估和加固,然落后行安全设备的安排,对在安全实行过程中也会产生事件并可能带来长期的隐患,风险评估能及早发明并解决这些问题:在安全运维阶段,按照风险评估标准开展定期和不定期的风险评估以便帮助确认它保持的安全等级是否产生变更。
风险评估的技巧手段包含有系统审计、漏洞扫描和渗透测试,他们在等级保护的各个层。
(二)等级保护制度的落实
目前,国家通过制定统一的信息安全等级保护管理规范和技巧标准,组织国民、法人和其他组织对信息系统分等级履行安全防护,对等级保护工作的实行履行监督、管理,从而大力推行信息化建设的全面发展,但是,绝大多数的信息系统得运营、应用单位依旧采用传统的工作方法解决等级保护工作中的一系列问题,尤其是相对数量的信息安全等级保护工作的职能部门,他们在落实等级保护工作中存在很大的问题,表现在以下几个方面:
一是信息系统安全等级保护工作认识不深入、器重不到位。信息系统得安全性问题不仅仅是用户自身财产安全的问题,其所有者应当承担相应的社会安全和大众,利益安全的任务。然而,部分履行部门在开展等级保护工作中从始至终都在被动的敷衍监管部门的检查,这种思想上的不器重给监管部门工作开展带来艰苦的同时,也阻碍全部信息系统安全等级保护工作的开展;二是信息系统安全等级保护工作管理无序、缺乏束缚力。目前,—部分履行单位他们对信息系统安全等级保护工作组织开展、管理实行无从下手,甚至对相干法律、政策和标准还不是很明白,同时没有各自内部专门机构对等保工作实行监督:三是履行单位的安全分工不清,没有建立相应得安全职能部门,这使得在安全等级保护工作中无法断定各相干部门的职责,从而无法落实安全义务制。
针对这些问题,建立信息安全管理组织是做好信息安全等级保护工作的必要条件。
1.建立信息安全管理组织的必要性
一个单位应当也必须建立信息安全管理组织,这个组织是这个单位在信息系统安全方面的最高权利组织。信息安全是所有管理层成员所共有的义务,一个管理组织应确保有明白的安全目标。在一个单位内部,有关信息安全的工作需要一个强有力领导机构来领带和推动,这是由于:1)首先是一些单位的业务对信息系统形成了完整的依附,另外信息安全会导致对社会大众,利益、社会秩序和国家安销告成侵害,甚至是严重的侵害。2)在一个单位中多个部门的信息任务既有接洽又有相对的独立性,而这些任务又是这个单位全部信息任务的组成部分,所有这些都需要—个强有力的机构进行和谐和领导。3)全员应用的信息系统中不同员工在其中所对应的是不同的角色,在工作中的权限也有4)—个单位对信息系统安全所采用的各类措施和决策是需要权威机构来审批和决定的。
相关阅读