前言:中文期刊网精心挑选了信息安全等级保护办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全等级保护办法范文1
一、工作目标
通过深入开展此次专项活动,确保全市重要信息系统能够全面进行准确定级和审核备案;全面组织等级测评和风险评估;全面开展监督检查和建设整改;全面落实管理制度和安全责任,努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标,不断提高重要信息系统安全防范能力和应急处置能力,为建国周年庆典活动创造一个良好的网络环境。
二、工作任务
(一)全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级,对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统,凡符合上级国家机关、企事业单位安全保护等级的,可不再重新定级和审核备案,否则均要重新定级和审核备案;对于尚未定级和审核备案的系统,都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中,安全保护等级确定为一级的信息系统,公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统,各信息系统运营使用单位要在公安机关办理审核备案手续,填写《信息安全等级保护备案表》,实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。
(二)全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求,全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上(其他尚未开展初次测评的系统应于年上半年完成)。
(三)全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等,全面组织开展安全等级保护监督检查和限期整改工作,其监督检查率应达到100%,限期整改率应达到80%以上。其他被定为二级(含二级)以下的信息系统,可由信息系统运营使用单位进行自查和整改。
三、工作步骤
(一)定级与备案阶段(8月18日至9月15日)。市专项活动领导小组在8月31日前进行组织动员和工作部署,开展信息系统普查,全面摸清底数,掌握基本情况,确定定级对象。9月15日前,各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级,对应确定本单位信息系统安全保护等级,并做好申报备案。对审核符合安全保护等级要求的,由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的,应重新评审确定,为等级测评和检查整改奠定基础。
(二)测评与检查阶段(9月15日至11月30日)。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上(含三级)信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神,提前做好人员、技术、经费等各项准备工作,按时完成信息系统等级测评和风险评估。
(三)总结与整改阶段(12月1日至12月31日)。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题,向运营使用单位下发《整改通知书》,要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案,认真搞好安全隐患的整改工作。
四、工作要求
(一)统一思想认识,切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势,进一步增强做好信息安全等级保护工作的责任感和紧迫感,务必把此项工作作为事关国家安全和社会稳定,特别是国庆61周年安全保卫的一项重要政治任务,纳入议事日程,摆在应有位置。为切实加强领导,成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组(名单附后),领导小组在本次专项活动完成后,继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制,精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥,按照“谁主管,谁负责,谁使用,谁负责”的原则,成立领导小组,建立工作专班,确立联络人员,迅速行动、全力以赴,大张旗鼓地组织开展等级保护工作。
(二)深入动员部署,精心组织实施。各重要信息系统运营使用单位要制定好本单位信息系统安全等级保护工作实施方案,准确定级,并将相关资料上报市专项活动领导小组办公室。在定级完成后,要积极做好测评准备工作,在人力、财力上给予充分保障。对检测出来的问题要及时向主管领导和上级部门报告,立即整改,把专项活动的各项要求落到实处。
信息安全等级保护办法范文2
【关键词】电力;信息系统;信息安全;等级保护
随着科学技术的快速提高,我国的信息化发展迅速,信息化在各行各业都得到广泛应用。城市电网是经济社会发展的重要基础设施,是能源产业链的重要环节。随着信息、通信技术的广泛应用,智能化已成为世界电网发展的新趋势。电力企业网络建立信息安全等级保护制度旨在为国家信息安全保护工作建立起一个长久有效的安全机制,保障信息化建设的健康发展。然而目前我国电网的信息安全等级保护政策的实施处于初步进行阶段,还有很多工作需要完成。这需要业内外人士的共同参与,为保障信息安全尽最大的努力。同时伴随着计算机技术的发展,信息安全等级保护技术和水平也要不断优化升级,确保能够及时解决安全保护中遇到的问题,让信息安全等级保护政策的实施畅行无阻。
1 电力信息安全等级保护
信息系统等级保护制度是我国信息安全领域一项重要政策,信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统实用业务重要程度及其安全实际需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全稳定运行,维护国家利益、公共利益和社会稳定,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。
1.1 等级保护定级
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,其中等级保护对象受到破坏时所侵害的客体包括三方面:公民、法人和其他组织的合法权益,社会秩序、公民利益,国家安全。等级保护对象受到破坏后对客体造成侵害的程度分为三种:一般损害,严重损害,特别严重损害。定级要素与信息系统定级的关系见下表所示。
1.2 基本要求与主要流程
等级保护的基本要求是:各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。等级保护的主要流程包括6项内容。
(1)自主定级与审批:信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
(2)评审:在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第4级以上信息系统的,运营使用单位或主管部门应当邀请国家信息安全等级专家评审委员会评审。
(3)备案:第2级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。
(4)系统安全建设:信息系统安全保护等级确定后,运营使用单位按照惯例规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实信息安全管理制度。
(5)等级测评:信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
(6)监督检查:公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对第3级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
2 电力信息系统等级保护工作开展
2.1 信息系统定级及审批
2007年7月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),按照有关工作要求,国家电力监管委员会开展了电力行业等级保护定级工作,并印发《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号),电力公司按照《国家电网公司信息系统安全保护等级定级指南(试行)》(信息技术[2007]60号)对公司信息系统进行定级,按照要求填写定级报告和备案表,并报送国家电力监管委员会组织评审和审批。主要涉及4个3级系统、11个二级系统,具体见表2。
2.2 信息系统等级保护备案
公司完成信息系统的定级工作后,开始对信息系统进行等级保护备案,认真填写《信息系统安全等级保护备案表》,梳理完成所有资料准备后,于2011年向省公安厅提交了等级保护备案材料,最终公司15个管理信息系统完成了等级保护备案工作。
2.3 等级保护测评及整改工作
2011-2012年,按照国家电力监管委员会要求,北京华电卓识信息安全测评技术中心相继完成对公司电力市场交易系统、ERP系统、财务管理系统、营销管理等15个系统的等级保护测评工作。
公司积极组织、协调、配合测评队伍,遵循“流程规范、方法科学、结论公正”的原则,按照国家等级保护测评工作的有关标准、规范的要求,根据《电力行业信息系统安全等级保护要求(试行)》开展测评工作,公司信息系统等级保护测评符合率达到95%以上,顺利通过了等级保护测评,但是测评中还是发现了部分问题,主要包括:
(1)网络设备不具备双因子验证
根据国家《信息系统安全等级保护基本要求》规定,第2级以上(不含)信息系统网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别,按照此项基本要求,限于硬件条件,公司三级信息系统尚达不到安全防护要求。
(2)数据库审计功能未开启
根据国家《信息系统安全等级保护基本要求》规定,第2级及以上信息系统审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;系统不支持该要求的,应以系统运行安全和效率为前提。按照此项工作要求,公司部分系统未开启数据库审计功能,亦未部署第三方审计产品。
测评工作结束后测评人员对测评过程结果及以上问题进行了反馈,公司根据测评中发现的各类问题做好问题整改工作,确保公司信息系统安全稳定运行。整改工作如下:
1)网络设备未设置双因子认证。对于不具备双因子验证条件的问题,公司正在加快建设统一数字认证系统,系统上线后可实现双因子验证。
2)数据库审计功能未开启。因开启数据库审计功能会对系统性能产生较大影响,公司近期计划购置部署第三方审计产品。
3 结束语
电力公司近年来高度重视信息安全工作,信息安全等级保护工作卓有成效,通过落实信息安全等级保护制度,开展管理制度建设、技术措施建设、落实等级保护各项工作要求,使信息系统安全管理水平明显提高,安全防护能力显著增强,安全隐患和安全事故明显减少,有效保障公司信息化工作健康发展,公司下一步工作重点应着手对等级保护测评发现的各项问题进行整改,保障公司网络及信息系统安全稳定运行。
参考文献:
[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用,2012.
[2]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密,2011.
信息安全等级保护办法范文3
【关键词】安全等级;四级;TDCS;接入安全
1 TDCS与《信息安全等级保护管理办法》中四级基本要求的差距
1.1 四级基本要求介绍
《信息安全等级保护管理办法》中四级的基本要求有2大方面即管理要求与技术要求。
1.1.1 管理要求
该部分分为5个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
1.1.2 技术要求
要求分为5个方面:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。下面就这5个方面进行简单介绍。
1)物理安全
规定了系统设备的物理环境,避免常见自然或人为灾害的影响。
2)网络安全
结构安全:规定了结构上要保证冗余并根据职能和重要性进行网段划分,通道上要保证访问路径的安全和带宽,边界上保证与其它网络的可靠隔离。
访问控制:边界上要部署访问流量的控制设备,进行访问控制;内部严禁开通远程拨号功能。
安全审计:集中审计运行情况、流量、用户行为,便于分析问题以及数据恢复。
入侵防范:监测网络边界的攻击行为,并定位记录和即时报警。
恶意代码防范:在内部及时更新防范的代码库,在边界要做到检测和清除恶意代码。
3)主机安全
规定了身份鉴别、安全标记、访问控制、可信路径、安全审计、信息保护、入侵防范、恶意代码防范及资源控制。
4)应用安全
规定了身份鉴别、安全标记、访问控制、可信路径、安全审计、信息保护、通信的完整性和保密性、软件容错、资源控制、抗抵赖。
5)数据安全及备份恢复
规定了数据的完整性和保密性,以及备份数据的恢复。
1.2 TDCS现状与四级差距
目前TDCS网络安全建设相对于《国家信息安全等级保护管理办法》中4 级《信息系统安全等级保护基本要求》还存在着巨大的差距,其中如接入安全控制系统、指纹认证系统、网络安全审计和IT资源集中安全管理等重要网络安全子系统目前仍是空白,具体防护差距请见表1。
2 几种网络安全技术介绍
2.1 接入安全控制系统
接入安全控制系统是内网安全管理的重要组成部分,部署在企业的内部网络中,可以保护内部计算机免受外来终端的危害,可禁止重要信息通过外设和USB 等端口泄漏,防范非法设备接入内网等。
2.1.1 外设与接口管理
外设与接口管理主要对内网终端计算机上的各种外设和接口进行管理。可以对内网终端计算机上的各种外设和接口设置禁用,防止用户非法使用。
2)本表严格依据国家《信息安全等级保护管理办法》中4 级《信息系统安全等级保护基本要求》起草,表中8.x.x.x 编号为《基本要求》文件中实际编号.
1)存储设备禁用
除了网络外,另一个最可能带来病毒入侵的方式就是存储设备了。内网安全控制系统可以禁止如下存储设备的使用:软驱、光驱、存储设备、移动硬盘等。
2)设置移动存储设备只读
内网安全控制系统可以设置将移动存储设备置于只读状态,不允许用户修改或者写入。
2.1.2 安全接入管理
1)在线主机监测可以通过监听和主动探测等方式检测网络中所有在线的主机,并判别在线主机是否是经过内网安全控制系统授权认证的信任主机。
2)主机授权认证
很多的计算机被病毒入侵,主要原因是自身的健壮性与否造成的。根据这种情况,内网安全控制系统提供了网络授权认证功能。内网安全控制系统可以通过识别在线主机是否安装客户端程序,并结合客户端报告的主机补丁安装情况,反病毒程序安装和工作情况等信息,进行网络的授权认证,只允许通过授权认证的主机使用网络资源。
3)非法主机网络阻断
对于探测到的非法主机,内网安全控制系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响。
3 结束语
可以想像,未来的TDCS系统,应该具备这样几个特点:第一,网络是安全的,体现在网络应该具有精确识别人员身份,可以阻止内部和外部攻击,可以阻止各种内网安全控制系统未授权的非法主机接入和访问。第二,网络是稳定的,体现在网络应该具有冗余性和自愈性及良好的通道。第三,网络管理是高效地,体现在将有统一的管理设备可以将网络管理功能覆盖。
【参考文献】
信息安全等级保护办法范文4
大数据环境下的异构网络是智慧城市传输体系的重要组成部分,它不仅要求具有通用物联网的感知、识别、定位、跟踪和管理能力,而且从信息安全出发其要求具备监测、状态评估、维修决策等功能。大数据环境下的异构网络是传统网络由系统智能化向设备智能化的延伸和发展,为统一规范设备的信息体系、监测体系、评估体系和管理体系提供了体系保障。
由于异构网络种类多,设备信息构成复杂,网络安全运行与设备状态信息具有紧密联系,其必定是一个在物理空间和信息空间具有强关联性和高度混杂性的网络。大数据环境下的异构网络在安全维护,入侵检测等方面存在诸多技术难题,迫切需要全面深入地研究面向智能安全监测的相关设备信息模型、组织构架、自治机理、信息安全保障机制、内在优化机制等一系列问题,为大数据环境下的异构网络安全运行奠定技术基础。
1 大数据环境下的信息安全等级保护管理总体流程
各部门均按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》等管理规范和技术标准进行工作开展[1]。
2 大数据环境下的信息安全等级保护的具体实施
(1)建立大数据环境下的通信设备全景信息的关联表征模型,建立可扩展的终端设备的标识体系,形成相对完备的、面向演进的、分层分布的异构通信体系架构,制定相应的全景信息及建模的标准规范。
(2)建立统一规范的大数据环境下的通信设备的监测体系,实现设备状态监测的一体化、智能化和通用化,降低监测装置的成本,形成分布自治的监测体系,制定异构通信智能监测装置的标准规范。
(3)建立统一规范的大数据环境下的通信设备的高级安全应用平台,实现异构通信体系的最终应用目标,即全寿命周期管理,自适应故障诊断、状态评估、事故预警、状态维修、故障处置等的全业务功能。
(4)建立异构通信网络的信息安全试验验证与测试方法以及评估指标体系,为其未来在智慧城市中的大规模应用奠定安全保障措施。
3 总结
在大数据环境,异构网络信息系统的安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,由于相关安全信息构成复杂,在物理空间、信息空间和应用空间具有强关联性和高度混杂性。因此在分析设计、运维优化、高级应用等方面存在诸多技术难题。为了实现安全智能监测目标,需要全面深入地研究异构网络的信息模型、组织构架、自治机理、信息安全、优化机制等问题,以适应信息时代的发展。 []
参考文献:
[1] 王珊,王会举,覃雄派,等.架构大数据:挑战、现状与展望[J].计算机学报,2011,34(10):1741-1752.
[2] 肖新斌,史召臣.云计算引发的安全风险[J].信息安全与技术.2011(6):13-14.
信息安全等级保护办法范文5
关键词: 信息系统;等级保护;网络空间;定级;建设整改;变更;备案
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)21-4808-03
当今世界,信息技术革命在给全世界人民带来便利的同时也带来了隐患和风险。应该说,我国的信息安全形势非常严峻,发达国家要使我们的网络信息系统瘫痪或盗窃我们的重要信息易如反掌。
纵观国内,信息化的工作流程已取代了传统的手工作业,各行各业的信息系统变得日益庞大和复杂,但我们的安全意识、技术和管理水平却始终不高。有幸的是,我国的信息化管理层早已认清了形势,开始推进我国建设信息安全的自主之路。
2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合发文,了《信息安全等级保护管理办法》。同年,四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》。自此,我国各行各业大规模开展重要信息系统安全等级保护工作的序幕正式拉开。
所谓信息安全等级保护(以下简称“等保”),是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。这里,信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本文不讨论关于信息安全产品的分等级管理和信息安全事件的分等级响应,仅就信息系统分等级安全保护开展讨论。
1 背景
信息安全等级保护制度,作为我国的一项重大政策,是各行各业开展重要系统信息安全建设的基础和依据。特别是《信息系统安全等级保护基本要求》(以下简称《基本要求》)的出台,在实践操作层面指导了重要行业的信息安全工作的开展。应该说无论是技术还是管理,我们都能从《基本要求》中找到建设维护信息系统相应的制度要求。
总的来说,我国信息安全等级保护制度的出台是及时的,有着特别重大和积极的意义,我们所有重要信息系统的建设者、维护者、使用者都应深刻领会,积极响应。在我国的重要行业领域里,严格参照《基本要求》开展等级保护工作,构建信息系统安全壁垒,是我们抵御敌对势力网络攻击和信息战的尚方宝剑。
21世纪的网络空间里,信息安全保卫战是看不见硝烟的战争,任何个人任何单位都不能轻视它,借助这场战争,胜利者将获得经济、政治上的利益,失败者将承受巨大的损失。这是一场隐蔽而持久的战争,我们任何人任何单位都不能放松警惕,我们必须时刻警醒,大量商用的核心信息技术掌握在他国手中,我们所处的地位本就弱势,如果再不重视信息安全,就等于没有任何防护措施任人宰割却不自知。
我们必须在网络空间里构建一道防线,使我们的信息系统不受侵害,而信息安全等级保护制度就是那道抵挡入侵的安全防线。落实好信息安全等级保护制度是我们的职责,也只有参照信息安全等级保护制度来完善和加固我们的信息系统,我们才能更好保护无形却有巨额价值的信息系统资产。
2 政府机关信息化工作的现状
现阶段,我国政府机关的信息系统具有以下一些特点:
1)在我国,政府机关的信息系统一般都是涉及国计民生的重要业务系统,因此,保障这些信息系统安全的需求非常强烈。
2)政府机关的信息系统大多追求稳妥,太先进的设施或软件不会贸然使用,所以信息化水平稍显落后。
3)我国正处在经济快速发展的时期,政策调整非常频繁,导致信息系统需要经常改动以适应政府服务及管理功能的需要。
4)政府机关的资金使用有财政预算和信息化管理部门的限制,一般都是按需设定,按计划采购,预算外的项目很难实施,而且预算都是提前一年设定。所以政府机关的信息安全建设只能按部就班循序渐进,无法一蹴而就。
5)随着近年来政府工作依赖信息化程度的提高,信息系统使用范围越来越广,信息部门工作人员的缺口在增大,人力资源紧张的问题越来越突出。为了弥补人手不足的窘境,信息部门一人多岗的现象非常普遍,而按照信息安全的相关要求,有些工作岗位必须由不同人员担任,这就要考验我们信息部门的管理者水平了。
2 做好等保工作的几点建议
政府机关的信息系统如此重要,现状又如此特殊,我们该如何在政府机关里开展好等保工作,通过等级保护来保障信息系统的正常运行呢?下面我推荐一些做好等保工作的建议。
2.1 思想上真正重视
首先,我们必须真正从思想上重视等保工作,才能在行动上保证等保的有效执行。如果说落实等保工作仅仅因为是国家的政策规定而为之,那么最后往往是敷衍了事的形式主义,等保的实际效果并不能真正体现出来。
对于信息系统安全工作我们丝毫不能松懈,信息安全防护的道路漫长而艰巨,我们必须拿出勇气和决心,坚守防线。实际上,等级保护制度是我国信息管理部门研究制定的自我防护措施,现在重要系统的信息安全事业得到很大程度的重视也是得益于国家等级保护制度的出台。也正因信息安全得到了前所未有的重视,重要系统的信息安全保障水平才得到大幅度的提升。因此,我们必须真正的引入等保,切实严格的按照要求开展等级保护工作。
2.2 做好定级工作
信息系统的安全保护等级分五级,不同的等级相对应的等级保护要求也不同。等级保护的核心思想,就是把重要的信息系统按相应级别保护起来,不同的等级保护级别分别有不同的信息技术建设管理要求。简而言之,定级就是确定信息系统的保护等级。
由于我们每个单位的经费与预算是有限的,每个单位的信息系统又有重要和次要之分,因此,我们必须梳理所有的信息系统,逐一确定相应等级。将有限的预算投入到高保护级别的信息系统安全保障中,才是实际而高效的。如果定级不准,将使重要信息系统得不到应有的保护,或者非重要信息系统占用太多原本就紧张的资源。当然,在实际的工作中,每个单位的情况不同,信息系统具有的风险特点也不同,那就要具体情况具体分析了。
另外,现在很多单位一提到等级保护就认为这是信息部门的工作,与业务没什么关系。但是我认为这种观点是错误的,在等保最关键的定级环节中,责任主体是我们的业务部门也就是信息系统的应用管理方。因为按照规定,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。所以说一个信息系统受到破坏后将引起怎样的影响,信息部门作为建设运维方是无法得知的,业务部门必须分析相关影响,并确定信息系统的保护级别。
再一个是定级的时间问题,也就是说,什么时候确定信息系统的保护等级。先说新建系统,一般来说,新建信息系统在一开始便应该确定相应的等级,也就是说在信息系统建设之前的业务需求阶段,等级保护级别就应该被确定了。只有明确了信息系统的保护级别,我们才能在项目建设的需求中考虑相应等级需要达到的安全要求,并按相应等级的要求来建设系统。再说在用系统, 因为等级保护制度是近些年才提出来的,而我们使用的信息系统有很多是在等保之前就投入使用的,那么这些在用的信息系统就只能在后期补定保护级别了。
总之,定级工作是等保工作的基础工作,如果不及时定级,后续工作将无法开展。如果定级不准确,将无法按对应的要求来保护信息系统。
2.3 划清信息系统的边界
信息部门应该做的是:正确分析信息系统涉及的设施及范围,实际上,这项工作是具有难度的。由于现在的信息系统都是运行在网络环境中,信息系统的后台数据是交叉使用、相互调用。而定级是根据业务信息及系统服务两者中高的安全等级来决定该信息系统的。所以定级时系统范围的确定就需要慎重考虑了。
但是我认为在等保中贯彻着一种思想,就是“谁主管谁负责,谁运行谁负责,谁使用谁负责”的思想,由于我国国情的特点,一个信息系统在运行过程中可能跨省可能跨市或跨单位。那么此时,我们必须以责任主体来分割信息系统,因为等级保护的责任主体必须有明确的宿主,比如说在上下级级联的信息系统中,信息系统位于上级单位的软硬件设施和数据应该由上级单位管理,位于下级单位的软硬件设施和数据应该由下级单位管理。
2.4 安全建设整改
建设整改工作是等保的核心工作,也是最具技术难度的工作。如果是新建信息系统,前面已经讲到应该在建设之初就由业务部门确定保护级别,然后信息部门可以按照相应级别要求去建设信息系统的安全功能;如果是未经定级就投入使用的信息系统,这些系统多半不会参照等级保护要求来建设安全功能,或多或少都会有不符合等级保护要求的地方。这样的话,我们必须在信息系统补定级之后,按照《基本要求》来对照自查并进行整改。
由于我国政府机关人力、资金等资源的限制,整改工作的压力很大。但很多时候,即使我们了解信息系统所具有的风险点,也不敢轻易尝试操作。一方面,我们的技术人员水平有限,怕操作失误承担不良后果,另一方面,单位资金紧张,没有财力去扩充安全设施;或者,人手紧张,没有足够人员来满足空缺的岗位。
实际上,整改工作确实是需要拿出决心、勇气和智慧的,否则是执行不下去的。比如说打补丁工作,我们可以尝试搭建测试环境,在测试环境中如果补丁不影响系统正常运行,那我们就可以在正式环境中操作该工作,当然,在操作之前我们要做好回退的准备。同样的,关闭不需要的服务和端口也同样可以在模拟环境中先行测试。人手不够,可以尝试一人多岗,互为AB岗,或交叉审计。没有资金采购安全设施,可以通过一些管理策略或人工操作来弥补。
2.5 循环改进
伴随着信息技术的不断升级进步,信息安全保护也不能停滞不前。今天采用的保护措施有效并不意味明天也能有效。所以信息安全保障应该是一项持久永续的工作,只要信息化系统不停止运行,安全保障工作就不能停止,也就是说等级保护工作也必须持续进行。
一个重要信息系统从产生到废止,信息安全等级保护需要贯彻整个生命周期。这样一种工作模式是保障信息系统安全相对有效的方式,需要指出的是,做好等保工作不是一次性的,不可能一劳永逸。比如说,我们按保护级别对信息系统开展了安全整改与建设,在进行等保测评之后,我们需要对测评报告指出的风险或安全差距开展再次的整改与建设;因为重要信息系统需要定期测评,所以在整改之后我们要再次开展等保测评,然后对测评出的问题再整改……
2.6 变更工作
由于信息系统是一种替代手工操作的工作方式或生产工具,这种特殊的使命注定了信息系统不是一成不变的。因此我们必须定期梳理重要信息系统,确认是否有重要信息系统发生了变更,这里的变更应该是全方位的,从纵向来说我们要看信息系统相关的物理环境、硬件设施、软件程序、管理制度、业务流程、业务数据、管理人员等方面是否有变更;从横向来说,我们要看信息系统是否发生了合并、新增、废弃、缩减等等。当变化发生时,我们必须首先确认保护级别是否需要变化,其次才看系统相关的资产或管理是否有变化,并办理更新登记备案。
其中,系统保护等级的变更工作常常是最容易被忽视的。很多人认为信息系统既然在首次被确认了保护级别,就不应当再被改变了。但在实际工作中,我们发现业务需求发生变化的情况太多了,由于我国政治经济文化等各方面都处在迅猛发展的阶段,我们政府机关的政策或服务经常会发生变化,而变化的发生直接体现在信息系统的变更上,所以信息系统功能或被变更或被扩展或被删减是正常而频繁的。那么既然业务系统的功能发生了变化,它的保护等级就有可能会发生变化。所以,为了避免保护等级的不合时宜,重新核定保护级别是必须正视的工作。
2.7 备案
在虚拟的网络世界中,战争已经悄悄的开打了。发达国家陆续都成立了他们的网络空间保卫司令部。我们也不能放任他国在网络世界中随意侵入我国重要领域。因此,我国的信息管理部门必须采取一些措施来保卫重要领域的信息系统,而要想保卫自己的领土就必须了解自己的实力和软肋。所以我们必须让高管理层掌握我国重要信息系统发展的现状,等保工作中的备案便是管理部门获取第一手资料的渠道。
备案登记就是按要求到单位所属的公安机关去登记重要信息系统的信息。我们必须认真对待该项工作,如果我们填报的资料不准确或敷衍了事,将会误导管理部门甚至使国家的战略决策发生偏差。另外,在发生任何重要的变更时,我们都应该及时的办理更改登记,调整备案的相关资料。以便于管理部门了解掌握我国重要领域信息系统的真实状况。只有了解自身的信息化状态,采取合适的应对措施,我国才能在网络空间保卫战中谋求自己的一席之地。
3 结束语
经历着等级保护的洗礼,我们政府机关的信息系统正在积极的改变,信息安全要素已经慢慢渗入到信息化体系的血液中。虽然由于经费、人员、政策等资源的限制,我们的信息系统还不能做到无懈可击、牢不可破,但是随着等级保护工作一轮又一轮的循环展开,我相信不久的将来,重要信息系统的可靠性将再上一个台阶,我们的政府机关在以更优质的服务提供给人们的同时,其安全程度也将更高。
信息安全等级保护办法范文6
(1)检查单位多、标准不一目前,供电企业经常面临着诸如安全等级保护、IT治理、安全督查、一体化风险评估、入网安评等合规标准的检查和执行问题。以上检查标准的关注点、执行单位、检查要求各不相同。
(2)检查手段、结果重复每年国家、行业或上级单位会定期下发相关检查要求,并通过现场检查、远程扫描、配置核查、渗透测试等手段对供电企业进行合规性安全检查,检查内容和结果容易存在一定的重复性,建立和整合统一风险库也存在一定难度。
(3)安全合规工作繁重供电企业安全人员在执行安全合规工作的过程中,不可避免地要在每次合规检查中面临自查、加固、迎检、整改、复查等一系列工作,当此系列工作在一定时间内重复出现的时候,合规管控工作将变得繁重且效率不高。
(4)相关人员协调难度大信息安全管控工作往往跨越多个部门,横向沟通成本较大、难度也高。最常见的问题就是实施方和相关配合人员因关注点不同而导致的工作分歧,若合规检查时需要相关部门及人员多次重复性工作,往往导致人员情绪抵触并影响工作效率。
2多标准合规管控概念的提出
针对以上信息安全合规管控工作中遇到的难题和挑战,本文提出了多标准合规管控的概念,试图通过对各个合规标准进行研究和学习,探寻一条可以减轻合规管控过程中工作量繁重、重复的道路,研究一套把多个合规标准整合和统一的方法论。多标准合规管控,就是以现有的信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础,通过进一步的比对梳理、分析、加工和整合,形成一个更具体的安全执行标准库,覆盖目前所有的检查要求,是所有检查标准的最大并集,利用此执行标准指导信息安全的合规管控工作,争取达到一次配置满足多个标准的目的。
3多标准合规管控体系建立
本文以信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础,阐述多标准合规管控体系的建立过程。建立PDCA过程指导思想:通过对现有各个合规标准的体系文件、测评要求、规范标准进行对比、分析、梳理和整合,制作出多标准合规管控体系的相关组件文档,具体包括体系文件、配置方法、规范标准。主要研究步骤如下:
(1)理解各信息安全检查的要求、目的和目标
①安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
②IT治理IT治理是企业治理在信息时代的重要发展,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。
③安全督查信息安全督查是供电企业根据国家信息安全管理体系要求、结合供电企业信息技术监督规范的要求建立的日常工作机制,负责各单位的信息安全技术指导、监督、检查、督促改进等工作。
④入网安评为保障信息系统的正常运行,需加强系统及设备入网管理,规范新设备入网前的相关活动并进行安全评测,保障每一台入网设备都符合企业安全规范要求,不会给现有网络带来新的安全隐患。
(2)对各合规标准进行对比分析,找出异同点通过仔细的分析对比,找出各合规标准要求项的差异并进行标注,研究差异的原因,探讨差异点存在的价值。由于企业安全基线经过多年的实践和修正,具有较高的规范性和实操价值,符合供电企业的IT现状,故以安全基线文档为底板进行增删减优化操作。
(3)整合和梳理各合规标准,形成备查项将各合规标准整合到统一文档表格中,并以安全基线、等级保护测评要求文档为主要参照物,对其他合规要求进行梳理和排序。通过不同标准文件对相同控制点的不同描述进行再加工,整合出一个覆盖各个标准要求的执行标准。此步骤不仅方便标准集合的制作,也保留了各个标准要求的原貌,方便日后查阅检索。下表示例说明某个信息安全控制点执行标准集合:
(4)整合多个合规标准,形成具体执行标准要求通过上一步骤对统一文档产生的执行标准集合进行提炼和整合,排序形成涵盖多个合规标准的具体执行规范文档。
4多标准合规管控设计重点难点分析
(1)设计过程考虑最小和最大安全保障问题信息系统安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求;而信息安全执行标准在某一个程度上是一个信息系统的最大安全保证,即信息安全执行标准已经覆盖了合规管控的多个标准要求。如何在最小安全保证和最大安全保证之间进行取舍与平衡,是企业面临的首要问题。本文建议解决办法是保留各个标准的要求文档,供执行人员备查,在实际执行过程中根据系统级别进行相应的取舍。
(2)设计过程考虑结果文档的来源问题信息安全执行标准是一个实践性文档,在实践的过程中难免会存在疑问和顾虑,如何快速并准确地定位到配置要求的来源和依据是面临的第二个问题。由于短期无法一次性创造一个安全合规体系,只能先对多个标准体系进行整合和梳理,因此建议保留初始合规标准的原型,在执行人员出现疑问的时候能够找到相关的依据。
5结语
