关于对企业信息安全等级保护的思考
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
参考文献: [1] 陆 宝 华 .信 息 安 全 等 级 保 护 基 本 要 求 培 训 教 程[M].北 京:
电 子 工 业 出 版 社 ,2010. [2] 张 瑞 芝.广 电 行 业 信 息 安 全 等 级 保 护 工 作 探 究 [J].信 息 网
络 安 全 ,2010(9):73. ( 责任编辑 赵 娟)
收 稿 日 期 :2011-06-09;修 回 日 期 :2011-07-15 作者简介:毋晶晶( 1982- ) ,女,山西介休人,助理工程师,主要从事网络与信息化管理研究。
SCI-TECH INNOVATION & PRODUCTIVITY
- 060 - No.8 Aug. 2011,Total No.211
百度文库
限制和约束, 难以像重视科研生产工作那样重视信 息系统的安全工作, 尤其是信息系统安全的前提工 作是信息安全等级保护工作。
2) 没有完善有效的制度可依。 有些单位在开 展信息安全等级保护工作时, 往往只是根据上级部 门下发的等级划分模板对应开展, 却忽略了上下级 之间的信息系统建设的不同之处, 很多的指标难以 对应。 上级部门制定的规章制度也未必适合本单位 工作的要求, 因此建立健全规章制度是开展等级保 护工作的重要前提。
科技创新与生产力
2011年 8 月 总第 211 期 - 061 -
5) 定期检查、 形成长效机制。 单位每年应开 展一次全面的网络与信息安全大检查。 同时, 加强 等级保护相关政策和标准的宣传和培训, 定期开展 行业自查, 形成等级保护工作的长效机制。 4 结束语
信息化是当今社会发展的必然趋势, 信息安全 工作任重而道远。 信息系统安全等级保护制度是信 息安全工作中的一项基本制度, 是 “明确重点、 突 出重点、 保护重点”, 将有限的人力、 物力、 财力 投入到重要信息系统安全保护中, 因此落实信息安 全等级保护工作是切实增强信息系统安全防范能力 的一项措施。
Thoughts on Protection Prioritization of Enterprises Information Security
Wu Jing-jing,Xiao Yan-xia
(The Second Research Institute of China Electronics Technology Group Corporation, Taiyuan 030024 China ) Abstract: In this paper, the authors analyzed background and reasons of building protection prioritization of information security. Aiming at existent problems in work of protection prioritization of information security, the authors put forward some suggestions of strengthening work of protection prioritization of information security. Key words: information security; protection prioritization; safeguard measures
国家建立信息安全等级保护政策, 使得信息系 统运营使用单位就能按照政策标准进行安全建设、 整改, 信息系统安全与否也有了一个衡量的尺度。 然而, 目前大多数中小企业的信息安全等级保护工 作仍处于一个初级阶段。 大部分都建立自己的信息 网络系统, 如电子商务、 电子政务和科研生产等。 这些网络系统有的面向大众, 有的则是内部系统, 有的是涉密的网络系统。 信息安全等级保护制度有 效的体现了 “适度安全、 保护重点” 的目的, 将有 限的财力、 物力、 人力投入到企业的信息安全保护 工 作 中 [2]。 2 现阶段信息安全等级保护存在的问题
目前, 国外普遍采用风险管理方法来控制信息 系统的安全。 它主要体现在信息系统运行的每个阶 段, 采用风险分析的方法, 分析和评估信息系统的 风险, 并根据风险情况对信息系统的安全措施进行 相应调整。
早在 2003 年我国就明确提出了加强信息保障 工作的意见, 其中信息安全等级保护是国家信息安
全保障的有效方法。 它主要体现在信息系统生存的 不同阶段, 通过确定信息系统的安全保护等级, 并 按照确定的安全保护等级的要求进行信息系统安全 的设计、 实现、 运行控制和维护, 使其安全性达到 确定安全保护等级的目的[1]。
4) 结合实际情况开展信息安全等级保护工作。 对新建、 改建的信息系统应当同步建设信息安全设 施, 确保信息系统安全和信息化建设相适应。 同 时, 结合信息化和信息安全的实际需要, 将落实等 级保护制度纳入单位信息化综合体系, 促进单位信 息化发展, 创新信息系统安全管理模式, 建立单位 网络安全保障信息系统。
1) 高度重视等级保护工作 , 明确责任部门 。 建立统一领导的信息安全组织保障体系, 成立等级 保护工作领导小组, 实行 “谁主管, 谁负责” 的管 理方式。 这样不仅明确责任, 还为信息安全等级保 护各项工作的开展提供了组织保障。
2) 进一步提高对信息安全等级划分的认识 , 加强制度建设。 随着电子商务、 电子政务和社会信 息化的发展, 信息安全的风险也随之提高, 若仍采 用传统的安全管理方式进行安全管理, 势必造成很 大的浪费。 因此, 我们必须加大对信息安全等级保 护工作宣传力度, 建立健全信息安全等级保护制 度, 要充分认识到做好信息安全等级保护工作是防 范电子商务、 电子政务和社会信息化风险的最基本 工作。
3) 具体工作与实践脱节。 目前各单位为加快 信息化建设的进程, 充分利用信息技术, 积极开展 电子商务、 电子政务等信息化工程, 利用信息资源 拓宽业务应用系统, 大大提高工作效率和服务水 平。 但也忽略了不同等级的信息系统所采用信息安 全产品也不同。 不仅造成了财力的浪费, 而且对日 后信息系统的安全运行及管理埋下了重大的隐患。 3 信息安全等级保护工作的若干建议
研 究 与 探 讨 Res earch and Dis cus s ion
文 章 编 号 :1674-9146(2011)08-0060-02
关于对企业信息安全 等级保护的思考
毋晶晶,肖晏夏
( 中国电子科技集团公司第二研究所, 山西 太原 030024)
摘 要:对建立信息安全等级保护的背景及原因进行分析, 针对信息安全等级保护工作中存在的问题, 提出了加强信 息安全等级保护工作的若干建议。 关键词:信息安全;等级保护;保障措施 中图分类号:TP393.08 文献标志码:A
经过几年来的发展, 我国信息安全等级保护工 作已取得了明显的效果, 初步解决了信息安全管理 靠经验开展和盲目投资等问题。 但是, 当前一些中 小型企业的信息安全等级保护工作仍然存在一些不 完善之处, 制约其进一步发展。 如何正确认识信息 安全等级保护工作, 更好的发挥信息安全等级保护 的作用, 笔者就如何进一步做好信息安全等级保护 工作做了具体的分析。 1 国家建立信息安全等级保护的背景及原因
3) 加强人员培训, 提高专业人员的技能。 一
讨 Res earch and Dis cus s ion 研 究 与 探
是整合内部人力资源, 加大培训力度, 通过学习业 务知识, 提高技术水平。 二是合理利用社会资源, 通过聘请有经验的专家或公安管理人员来单位指 导, 通过学习交流, 不断积累经验, 提高实际的技 术能力, 使之能够准确的定级。 三是对相关技术人 员进行系统有效的认证培训、 考核, 实行职业资格 准入制度。
1) 对信息安全等级保护的认识不足, 重视不 够。 目前, 我国大多数企业的信息安全等级保护工 作是处于一个起步阶段, 对国家实施信息安全等级 保护工作的认识不足, 在建立本单位的网络信息系 统时, 不能将信息安全等级保护工作应用到实际的 建设中。 有些单位领导和具体负责信息安全工作人 员未能及时掌握信息安全等级保护的方法、 流程和 规范。 甚至有些单位受人力、 物力、 财力等因素的
随着信息化技术的快速发展, 人们的工作、 生 活以及各项社会活动越来越多地依赖于计算机和网 络信息系统。 一旦这些信息系统出现问题, 将会对 国家安全、 社会秩序和经济造成不同程度的损害。 为此, 如何确保我国重要信息系统安全可靠运行, 将直接影响到我国经济和社会的稳定与发展。 从我 国多年来信息安全工作的总体情况来看, 开展分等 级保护信息安全能有效地解决信息安全面临的威胁 和存在的主要问题。
电 子 工 业 出 版 社 ,2010. [2] 张 瑞 芝.广 电 行 业 信 息 安 全 等 级 保 护 工 作 探 究 [J].信 息 网
络 安 全 ,2010(9):73. ( 责任编辑 赵 娟)
收 稿 日 期 :2011-06-09;修 回 日 期 :2011-07-15 作者简介:毋晶晶( 1982- ) ,女,山西介休人,助理工程师,主要从事网络与信息化管理研究。
SCI-TECH INNOVATION & PRODUCTIVITY
- 060 - No.8 Aug. 2011,Total No.211
百度文库
限制和约束, 难以像重视科研生产工作那样重视信 息系统的安全工作, 尤其是信息系统安全的前提工 作是信息安全等级保护工作。
2) 没有完善有效的制度可依。 有些单位在开 展信息安全等级保护工作时, 往往只是根据上级部 门下发的等级划分模板对应开展, 却忽略了上下级 之间的信息系统建设的不同之处, 很多的指标难以 对应。 上级部门制定的规章制度也未必适合本单位 工作的要求, 因此建立健全规章制度是开展等级保 护工作的重要前提。
科技创新与生产力
2011年 8 月 总第 211 期 - 061 -
5) 定期检查、 形成长效机制。 单位每年应开 展一次全面的网络与信息安全大检查。 同时, 加强 等级保护相关政策和标准的宣传和培训, 定期开展 行业自查, 形成等级保护工作的长效机制。 4 结束语
信息化是当今社会发展的必然趋势, 信息安全 工作任重而道远。 信息系统安全等级保护制度是信 息安全工作中的一项基本制度, 是 “明确重点、 突 出重点、 保护重点”, 将有限的人力、 物力、 财力 投入到重要信息系统安全保护中, 因此落实信息安 全等级保护工作是切实增强信息系统安全防范能力 的一项措施。
Thoughts on Protection Prioritization of Enterprises Information Security
Wu Jing-jing,Xiao Yan-xia
(The Second Research Institute of China Electronics Technology Group Corporation, Taiyuan 030024 China ) Abstract: In this paper, the authors analyzed background and reasons of building protection prioritization of information security. Aiming at existent problems in work of protection prioritization of information security, the authors put forward some suggestions of strengthening work of protection prioritization of information security. Key words: information security; protection prioritization; safeguard measures
国家建立信息安全等级保护政策, 使得信息系 统运营使用单位就能按照政策标准进行安全建设、 整改, 信息系统安全与否也有了一个衡量的尺度。 然而, 目前大多数中小企业的信息安全等级保护工 作仍处于一个初级阶段。 大部分都建立自己的信息 网络系统, 如电子商务、 电子政务和科研生产等。 这些网络系统有的面向大众, 有的则是内部系统, 有的是涉密的网络系统。 信息安全等级保护制度有 效的体现了 “适度安全、 保护重点” 的目的, 将有 限的财力、 物力、 人力投入到企业的信息安全保护 工 作 中 [2]。 2 现阶段信息安全等级保护存在的问题
目前, 国外普遍采用风险管理方法来控制信息 系统的安全。 它主要体现在信息系统运行的每个阶 段, 采用风险分析的方法, 分析和评估信息系统的 风险, 并根据风险情况对信息系统的安全措施进行 相应调整。
早在 2003 年我国就明确提出了加强信息保障 工作的意见, 其中信息安全等级保护是国家信息安
全保障的有效方法。 它主要体现在信息系统生存的 不同阶段, 通过确定信息系统的安全保护等级, 并 按照确定的安全保护等级的要求进行信息系统安全 的设计、 实现、 运行控制和维护, 使其安全性达到 确定安全保护等级的目的[1]。
4) 结合实际情况开展信息安全等级保护工作。 对新建、 改建的信息系统应当同步建设信息安全设 施, 确保信息系统安全和信息化建设相适应。 同 时, 结合信息化和信息安全的实际需要, 将落实等 级保护制度纳入单位信息化综合体系, 促进单位信 息化发展, 创新信息系统安全管理模式, 建立单位 网络安全保障信息系统。
1) 高度重视等级保护工作 , 明确责任部门 。 建立统一领导的信息安全组织保障体系, 成立等级 保护工作领导小组, 实行 “谁主管, 谁负责” 的管 理方式。 这样不仅明确责任, 还为信息安全等级保 护各项工作的开展提供了组织保障。
2) 进一步提高对信息安全等级划分的认识 , 加强制度建设。 随着电子商务、 电子政务和社会信 息化的发展, 信息安全的风险也随之提高, 若仍采 用传统的安全管理方式进行安全管理, 势必造成很 大的浪费。 因此, 我们必须加大对信息安全等级保 护工作宣传力度, 建立健全信息安全等级保护制 度, 要充分认识到做好信息安全等级保护工作是防 范电子商务、 电子政务和社会信息化风险的最基本 工作。
3) 具体工作与实践脱节。 目前各单位为加快 信息化建设的进程, 充分利用信息技术, 积极开展 电子商务、 电子政务等信息化工程, 利用信息资源 拓宽业务应用系统, 大大提高工作效率和服务水 平。 但也忽略了不同等级的信息系统所采用信息安 全产品也不同。 不仅造成了财力的浪费, 而且对日 后信息系统的安全运行及管理埋下了重大的隐患。 3 信息安全等级保护工作的若干建议
研 究 与 探 讨 Res earch and Dis cus s ion
文 章 编 号 :1674-9146(2011)08-0060-02
关于对企业信息安全 等级保护的思考
毋晶晶,肖晏夏
( 中国电子科技集团公司第二研究所, 山西 太原 030024)
摘 要:对建立信息安全等级保护的背景及原因进行分析, 针对信息安全等级保护工作中存在的问题, 提出了加强信 息安全等级保护工作的若干建议。 关键词:信息安全;等级保护;保障措施 中图分类号:TP393.08 文献标志码:A
经过几年来的发展, 我国信息安全等级保护工 作已取得了明显的效果, 初步解决了信息安全管理 靠经验开展和盲目投资等问题。 但是, 当前一些中 小型企业的信息安全等级保护工作仍然存在一些不 完善之处, 制约其进一步发展。 如何正确认识信息 安全等级保护工作, 更好的发挥信息安全等级保护 的作用, 笔者就如何进一步做好信息安全等级保护 工作做了具体的分析。 1 国家建立信息安全等级保护的背景及原因
3) 加强人员培训, 提高专业人员的技能。 一
讨 Res earch and Dis cus s ion 研 究 与 探
是整合内部人力资源, 加大培训力度, 通过学习业 务知识, 提高技术水平。 二是合理利用社会资源, 通过聘请有经验的专家或公安管理人员来单位指 导, 通过学习交流, 不断积累经验, 提高实际的技 术能力, 使之能够准确的定级。 三是对相关技术人 员进行系统有效的认证培训、 考核, 实行职业资格 准入制度。
1) 对信息安全等级保护的认识不足, 重视不 够。 目前, 我国大多数企业的信息安全等级保护工 作是处于一个起步阶段, 对国家实施信息安全等级 保护工作的认识不足, 在建立本单位的网络信息系 统时, 不能将信息安全等级保护工作应用到实际的 建设中。 有些单位领导和具体负责信息安全工作人 员未能及时掌握信息安全等级保护的方法、 流程和 规范。 甚至有些单位受人力、 物力、 财力等因素的
随着信息化技术的快速发展, 人们的工作、 生 活以及各项社会活动越来越多地依赖于计算机和网 络信息系统。 一旦这些信息系统出现问题, 将会对 国家安全、 社会秩序和经济造成不同程度的损害。 为此, 如何确保我国重要信息系统安全可靠运行, 将直接影响到我国经济和社会的稳定与发展。 从我 国多年来信息安全工作的总体情况来看, 开展分等 级保护信息安全能有效地解决信息安全面临的威胁 和存在的主要问题。