1、當前企業(yè)信息安全等級保護工作現(xiàn)狀
面對信息安全的威脅,國家于2003年發(fā)布了《國家信息化領導小組關于加強信息安全保障工作的意見》,明確提出在非密信息安全領域,信息安全保障工作要“實行信息安全等級保護”,明確要求建立信息安全保障體系。隨后國家于2004年和2007年相繼頒布了《關于信息安全等級保護的實施意見》及《信息安全等級保護管理辦法》,信息安全等級保護制度全面實行。
2、企業(yè)信息安全等級保護的實施方法
2.1 依據(jù)的標準
企業(yè)信息安全等級保護制度應當依據(jù)國家頒布的以下標準執(zhí)行。
2.1.1 基礎標準
《計算機信息系統(tǒng)安全保護等級劃分準則》
2.1.2 安全要求
《信息系統(tǒng)安全等級保護基本要求》
2.1.3 系統(tǒng)等級
《信息系統(tǒng)安全等級保護定級指南》
2.1.4 方法指導
《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)等級保護安全設計技術要求》
2.1.5 現(xiàn)狀分析
《信息系統(tǒng)安全等級保護測評要求》、《信息系統(tǒng)安全等級保護測評過程指南》
2.2 企業(yè)信息安全等級保護工作的步驟
企業(yè)信息安全等級保護工作一般分為三個階段,及準備階段、實施階段和鞏固階段。
2.2.1 信息安全等級保護工作準備階段
企業(yè)信息安全等級保護工作準備階段工作主要包括以下幾個方面:
(1)確定總體目標。確定總體目標,其主要目的是為企業(yè)等保工作確立一個明確的行動指南,并成為企業(yè)等保工作決策、評價、協(xié)調(diào)的基本依據(jù)。總體目標的確定為等保工作前進指明了方向,并明確了發(fā)展路線。確定總體目標也是等保工作計劃和其他各項工作安排的基礎。
(2)明確責任部門。為等保工作明確首要責任部門,以防止出現(xiàn)推諉扯皮的現(xiàn)象。一般等保工作責任部門為企業(yè)信息化工作主管部門。
(3)業(yè)務培訓。作為企業(yè)來說,信息安全等級保護是一個相對陌生的概念,但信息安全等級保護工作又是一個相對具有專業(yè)性的工作,所以在工作開展之前對相關人員進行培訓是非常必要的。
(4)摸底調(diào)查。在全面開展等級保護工作前,企業(yè)一定要對本單位所屬的信息系統(tǒng)進行全面的摸底調(diào)查,全面掌握信息系統(tǒng)(包括信息網(wǎng)路)的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況,為下一步等保工作的全面展開、確定等級保護定級對象奠定基礎。
2.2.2 信息安全等級保護工作實施階段
信息安全等級保護工作實施階段的內(nèi)容主要包括三個方面,系統(tǒng)定級備案、系統(tǒng)測評、系統(tǒng)安全建設整改。
(1)系統(tǒng)定級備案。企業(yè)在系統(tǒng)定級備案前首先要明確定級的對象,一般定級對象分為三個方面:起支撐、傳輸作用的信息網(wǎng)絡;用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制、辦公等目的的各類業(yè)務系統(tǒng);企業(yè)網(wǎng)站。
在確定系統(tǒng)定級對象后,企業(yè)就需要根據(jù)信息系統(tǒng)重要性,按照相關技術標準文件對系統(tǒng)進行定級。
按照國家標準系統(tǒng)等級分為五級,但第五級系統(tǒng)在現(xiàn)實中基本不會出現(xiàn),所以在一般情況下,信息系統(tǒng)一般按照前四個級別進行劃分。第一級系統(tǒng),信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。該級系統(tǒng)適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng),縣級單位中一般的信息系統(tǒng)。該級系統(tǒng)無需備案,完全由企業(yè)自己來決定采用何種方式進行保護。第二級系統(tǒng),信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益造成嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。該級系統(tǒng)適用于縣級某些單位中重要的信息系統(tǒng),地市級以上國家機關、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。該級系統(tǒng)需要到當?shù)毓矙C關進行備案。
第三級系統(tǒng),信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。該級系統(tǒng)一般適用于地市級以上國家機關、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)。
第四級系統(tǒng),信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。該系統(tǒng)一般適用于國家重要領域、部門影響涉及國計民生、國家利益、國家安全,影響社會穩(wěn)定的核心系統(tǒng)。
參照以上標準企業(yè)要自行確定信息系統(tǒng)的安全等級,并組織相關領域的專家對定級結果進行評審。在專家出具相關評審意見后,對二級及以上的系統(tǒng),企業(yè)需要到當?shù)厥屑壱陨瞎矙C關網(wǎng)絡安全保衛(wèi)部門辦理備案手續(xù),以完成系統(tǒng)定級工作。
(2)系統(tǒng)測評。按照相關規(guī)定,三級及以上系統(tǒng)國家強制要求進行等級測評。等級測評的主要目的是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設整改需求;衡量出信息系統(tǒng)安全保護措施是否符合等級保護基本要求,是否具備了相應的等級的安全保護能力。
進行等級測評,企業(yè)需要聘請《全國信息安全等級保護測評機構推薦目錄》中具有專業(yè)資質的測評機構進行。對于測評結果,企業(yè)需要將測評報告向受理定級備案的公安機關備案。
(3)系統(tǒng)安全建設整改。參照測評結果,企業(yè)需要對測評中所體現(xiàn)的安全漏洞進行安全建設整改,以落實相應的物理安全、網(wǎng)絡安全、主機安全、應用數(shù)據(jù)安全等安全保護措施。
經(jīng)過安全整改,二級信息系統(tǒng)應具備防御小規(guī)模、較弱強度惡意攻擊,抵抗一般的自然災害,防范一般的計算機病毒和惡意代碼的能力;具有檢測常見的攻擊行為,并對安全事件進行記錄的能力;具有恢復系統(tǒng)正常運行狀態(tài)的能力。
三級信息系統(tǒng)整改后應在統(tǒng)一的安全保護策略下應具備抵抗大規(guī)模、較強惡意攻擊的能力,抵抗較為嚴重的自然災害的能力,防范計算機病毒和惡意代碼危害的能力;具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力;具有對安全事件進行響應處置,并能夠追蹤安全責任的能力;在系統(tǒng)遭到損害后,具有能夠較快恢復正常運行狀態(tài)的能力;對于服務保障性要求高的系統(tǒng),應能立即恢復正常運行狀態(tài);具有對系統(tǒng)資源、用戶、安全機制等進行集中管控的能力。
經(jīng)過安全整改工作,四級信息系統(tǒng)具備的安全防范能力在三級的基礎上更為提升,統(tǒng)一的安全保護策略下可抵御敵對勢力有組織的大規(guī)模攻擊,抵抗嚴重的自然災害。
2.2.3 信息安全等級保護工作鞏固階段
企業(yè)信息系統(tǒng)經(jīng)過定級、測評、整改后進入日常運行時期。在這一時期,企業(yè)的信息系統(tǒng)在技術上已經(jīng)完全具備了系統(tǒng)安全等級的要求,也建立相應的安全管理制度體系。如何應用各種安全防范技術,如何持久的嚴格的按照安全管理體系要求執(zhí)行日常工作成為鞏固階段的主要任務。
在本階段,企業(yè)一定要建立完善的信息系統(tǒng)安全狀況日常監(jiān)測制度,嚴格執(zhí)行信息系統(tǒng)的日常運維和安全管理制度,及時消除安全隱患,確保信息安全和系統(tǒng)正常運行。除此之外,企業(yè)還要定期對信息系統(tǒng)安全狀態(tài)進行自查,并積極配合公安機關的監(jiān)督檢查工作。
3、結束語
本文對企業(yè)信息安全等級保護的重要作用,實施的全過程以及實施過程中的技術要求進行了較為詳細的論述。信息安全等級保護工作的主要內(nèi)容是建立一套與企業(yè)向適應的技術管理方案。在現(xiàn)今條件下,等級保護工作為企業(yè)信息安全提供了最為行之有效的工作方案。但等保的目的不是建立這一套方案,其重點在于今后要嚴格執(zhí)行這一方案。只有這樣才能最大限度的發(fā)揮信息安全等級保護工作的效果。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.zudvwvb.cn/
本文標題:企業(yè)信息安全等級保護工作
本文網(wǎng)址:http://www.zudvwvb.cn/html/consultation/10839510696.html
相關文章
