1、當前企業信息安全等級保護工作現狀
面對信息安全的威脅,國家于2003年發布了《國家信息化領導小組關于加強信息安全保障工作的意見》,明確提出在非密信息安全領域,信息安全保障工作要“實行信息安全等級保護”,明確要求建立信息安全保障體系。隨后國家于2004年和2007年相繼頒布了《關于信息安全等級保護的實施意見》及《信息安全等級保護管理辦法》,信息安全等級保護制度全面實行。
2、企業信息安全等級保護的實施方法
2.1 依據的標準
企業信息安全等級保護制度應當依據國家頒布的以下標準執行。
2.1.1 基礎標準
《計算機信息系統安全保護等級劃分準則》
2.1.2 安全要求
《信息系統安全等級保護基本要求》
2.1.3 系統等級
《信息系統安全等級保護定級指南》
2.1.4 方法指導
《信息系統安全等級保護實施指南》、《信息系統等級保護安全設計技術要求》
2.1.5 現狀分析
《信息系統安全等級保護測評要求》、《信息系統安全等級保護測評過程指南》
2.2 企業信息安全等級保護工作的步驟
企業信息安全等級保護工作一般分為三個階段,及準備階段、實施階段和鞏固階段。
2.2.1 信息安全等級保護工作準備階段
企業信息安全等級保護工作準備階段工作主要包括以下幾個方面:
(1)確定總體目標。確定總體目標,其主要目的是為企業等保工作確立一個明確的行動指南,并成為企業等保工作決策、評價、協調的基本依據。總體目標的確定為等保工作前進指明了方向,并明確了發展路線。確定總體目標也是等保工作計劃和其他各項工作安排的基礎。
(2)明確責任部門。為等保工作明確首要責任部門,以防止出現推諉扯皮的現象。一般等保工作責任部門為企業信息化工作主管部門。
(3)業務培訓。作為企業來說,信息安全等級保護是一個相對陌生的概念,但信息安全等級保護工作又是一個相對具有專業性的工作,所以在工作開展之前對相關人員進行培訓是非常必要的。
(4)摸底調查。在全面開展等級保護工作前,企業一定要對本單位所屬的信息系統進行全面的摸底調查,全面掌握信息系統(包括信息網路)的數量、分布、業務類型、應用或服務范圍、系統結構等基本情況,為下一步等保工作的全面展開、確定等級保護定級對象奠定基礎。
2.2.2 信息安全等級保護工作實施階段
信息安全等級保護工作實施階段的內容主要包括三個方面,系統定級備案、系統測評、系統安全建設整改。
(1)系統定級備案。企業在系統定級備案前首先要明確定級的對象,一般定級對象分為三個方面:起支撐、傳輸作用的信息網絡;用于生產、調度、管理、指揮、作業、控制、辦公等目的的各類業務系統;企業網站。
在確定系統定級對象后,企業就需要根據信息系統重要性,按照相關技術標準文件對系統進行定級。
按照國家標準系統等級分為五級,但第五級系統在現實中基本不會出現,所以在一般情況下,信息系統一般按照前四個級別進行劃分。第一級系統,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。該級系統適用于小型私營、個體企業、中小學、鄉鎮所屬信息系統,縣級單位中一般的信息系統。該級系統無需備案,完全由企業自己來決定采用何種方式進行保護。第二級系統,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。該級系統適用于縣級某些單位中重要的信息系統,地市級以上國家機關、企事業單位內部一般的信息系統。該級系統需要到當地公安機關進行備案。
第三級系統,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。該級系統一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統。
第四級系統,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。該系統一般適用于國家重要領域、部門影響涉及國計民生、國家利益、國家安全,影響社會穩定的核心系統。
參照以上標準企業要自行確定信息系統的安全等級,并組織相關領域的專家對定級結果進行評審。在專家出具相關評審意見后,對二級及以上的系統,企業需要到當地市級以上公安機關網絡安全保衛部門辦理備案手續,以完成系統定級工作。
(2)系統測評。按照相關規定,三級及以上系統國家強制要求進行等級測評。等級測評的主要目的是掌握信息系統安全狀況、排查系統安全隱患和薄弱環節、明確信息系統安全建設整改需求;衡量出信息系統安全保護措施是否符合等級保護基本要求,是否具備了相應的等級的安全保護能力。
進行等級測評,企業需要聘請《全國信息安全等級保護測評機構推薦目錄》中具有專業資質的測評機構進行。對于測評結果,企業需要將測評報告向受理定級備案的公安機關備案。
(3)系統安全建設整改。參照測評結果,企業需要對測評中所體現的安全漏洞進行安全建設整改,以落實相應的物理安全、網絡安全、主機安全、應用數據安全等安全保護措施。
經過安全整改,二級信息系統應具備防御小規模、較弱強度惡意攻擊,抵抗一般的自然災害,防范一般的計算機病毒和惡意代碼的能力;具有檢測常見的攻擊行為,并對安全事件進行記錄的能力;具有恢復系統正常運行狀態的能力。
三級信息系統整改后應在統一的安全保護策略下應具備抵抗大規模、較強惡意攻擊的能力,抵抗較為嚴重的自然災害的能力,防范計算機病毒和惡意代碼危害的能力;具有檢測、發現、報警、記錄入侵行為的能力;具有對安全事件進行響應處置,并能夠追蹤安全責任的能力;在系統遭到損害后,具有能夠較快恢復正常運行狀態的能力;對于服務保障性要求高的系統,應能立即恢復正常運行狀態;具有對系統資源、用戶、安全機制等進行集中管控的能力。
經過安全整改工作,四級信息系統具備的安全防范能力在三級的基礎上更為提升,統一的安全保護策略下可抵御敵對勢力有組織的大規模攻擊,抵抗嚴重的自然災害。
2.2.3 信息安全等級保護工作鞏固階段
企業信息系統經過定級、測評、整改后進入日常運行時期。在這一時期,企業的信息系統在技術上已經完全具備了系統安全等級的要求,也建立相應的安全管理制度體系。如何應用各種安全防范技術,如何持久的嚴格的按照安全管理體系要求執行日常工作成為鞏固階段的主要任務。
在本階段,企業一定要建立完善的信息系統安全狀況日常監測制度,嚴格執行信息系統的日常運維和安全管理制度,及時消除安全隱患,確保信息安全和系統正常運行。除此之外,企業還要定期對信息系統安全狀態進行自查,并積極配合公安機關的監督檢查工作。
3、結束語
本文對企業信息安全等級保護的重要作用,實施的全過程以及實施過程中的技術要求進行了較為詳細的論述。信息安全等級保護工作的主要內容是建立一套與企業向適應的技術管理方案。在現今條件下,等級保護工作為企業信息安全提供了最為行之有效的工作方案。但等保的目的不是建立這一套方案,其重點在于今后要嚴格執行這一方案。只有這樣才能最大限度的發揮信息安全等級保護工作的效果。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業信息安全等級保護工作
本文網址:http://www.guhuozai8.cn/html/consultation/10839510696.html