企業(yè)信息安全等級保護工作

　　1、當(dāng)前企業(yè)信息安全等級保護工作現(xiàn)狀

　　面對信息安全的威脅，國家于2003年發(fā)布了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》，明確提出在非密信息安全領(lǐng)域，信息安全保障工作要“實行信息安全等級保護”，明確要求建立信息安全保障體系。隨后國家于2004年和2007年相繼頒布了《關(guān)于信息安全等級保護的實施意見》及《信息安全等級保護管理辦法》，信息安全等級保護制度全面實行。

　　2、企業(yè)信息安全等級保護的實施方法

　　2.1 依據(jù)的標(biāo)準

　　企業(yè)信息安全等級保護制度應(yīng)當(dāng)依據(jù)國家頒布的以下標(biāo)準執(zhí)行。

　　2.1.1 基礎(chǔ)標(biāo)準

　　《計算機信息系統(tǒng)安全保護等級劃分準則》

　　2.1.2 安全要求

　　《信息系統(tǒng)安全等級保護基本要求》

　　2.1.3 系統(tǒng)等級

　　《信息系統(tǒng)安全等級保護定級指南》

　　2.1.4 方法指導(dǎo)

　　《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》

　　2.1.5 現(xiàn)狀分析

　　《信息系統(tǒng)安全等級保護測評要求》、《信息系統(tǒng)安全等級保護測評過程指南》

　　2.2 企業(yè)信息安全等級保護工作的步驟

　　企業(yè)信息安全等級保護工作一般分為三個階段，及準備階段、實施階段和鞏固階段。

　　2.2.1 信息安全等級保護工作準備階段

　　企業(yè)信息安全等級保護工作準備階段工作主要包括以下幾個方面：

　　(1)確定總體目標(biāo)。確定總體目標(biāo)，其主要目的是為企業(yè)等保工作確立一個明確的行動指南，并成為企業(yè)等保工作決策、評價、協(xié)調(diào)的基本依據(jù)。總體目標(biāo)的確定為等保工作前進指明了方向，并明確了發(fā)展路線。確定總體目標(biāo)也是等保工作計劃和其他各項工作安排的基礎(chǔ)。

　　(2)明確責(zé)任部門。為等保工作明確首要責(zé)任部門，以防止出現(xiàn)推諉扯皮的現(xiàn)象。一般等保工作責(zé)任部門為企業(yè)信息化工作主管部門。

　　(3)業(yè)務(wù)培訓(xùn)。作為企業(yè)來說，信息安全等級保護是一個相對陌生的概念，但信息安全等級保護工作又是一個相對具有專業(yè)性的工作，所以在工作開展之前對相關(guān)人員進行培訓(xùn)是非常必要的。

　　(4)摸底調(diào)查。在全面開展等級保護工作前，企業(yè)一定要對本單位所屬的信息系統(tǒng)進行全面的摸底調(diào)查，全面掌握信息系統(tǒng)(包括信息網(wǎng)路)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步等保工作的全面展開、確定等級保護定級對象奠定基礎(chǔ)。

　　2.2.2 信息安全等級保護工作實施階段

　　信息安全等級保護工作實施階段的內(nèi)容主要包括三個方面，系統(tǒng)定級備案、系統(tǒng)測評、系統(tǒng)安全建設(shè)整改。

　　(1)系統(tǒng)定級備案。企業(yè)在系統(tǒng)定級備案前首先要明確定級的對象，一般定級對象分為三個方面：起支撐、傳輸作用的信息網(wǎng)絡(luò)；用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制、辦公等目的的各類業(yè)務(wù)系統(tǒng)；企業(yè)網(wǎng)站。

　　在確定系統(tǒng)定級對象后，企業(yè)就需要根據(jù)信息系統(tǒng)重要性，按照相關(guān)技術(shù)標(biāo)準文件對系統(tǒng)進行定級。

　　按照國家標(biāo)準系統(tǒng)等級分為五級，但第五級系統(tǒng)在現(xiàn)實中基本不會出現(xiàn)，所以在一般情況下，信息系統(tǒng)一般按照前四個級別進行劃分。第一級系統(tǒng)，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。該級系統(tǒng)適用于小型私營、個體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)，縣級單位中一般的信息系統(tǒng)。該級系統(tǒng)無需備案，完全由企業(yè)自己來決定采用何種方式進行保護。第二級系統(tǒng)，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。該級系統(tǒng)適用于縣級某些單位中重要的信息系統(tǒng)，地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。該級系統(tǒng)需要到當(dāng)?shù)毓�安機關(guān)進行備案。

　　第三級系統(tǒng)，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。該級系統(tǒng)一般適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)。

　　第四級系統(tǒng)，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。該系統(tǒng)一般適用于國家重要領(lǐng)域、部門影響涉及國計民生、國家利益、國家安全，影響社會穩(wěn)定的核心系統(tǒng)。

　　參照以上標(biāo)準企業(yè)要自行確定信息系統(tǒng)的安全等級，并組織相關(guān)領(lǐng)域的專家對定級結(jié)果進行評審。在專家出具相關(guān)評審意見后，對二級及以上的系統(tǒng)，企業(yè)需要到當(dāng)?shù)厥屑壱陨瞎�安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門辦理備案手續(xù)，以完成系統(tǒng)定級工作。

　　(2)系統(tǒng)測評。按照相關(guān)規(guī)定，三級及以上系統(tǒng)國家強制要求進行等級測評。等級測評的主要目的是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；衡量出信息系統(tǒng)安全保護措施是否符合等級保護基本要求，是否具備了相應(yīng)的等級的安全保護能力。

　　進行等級測評，企業(yè)需要聘請《全國信息安全等級保護測評機構(gòu)推薦目錄》中具有專業(yè)資質(zhì)的測評機構(gòu)進行。對于測評結(jié)果，企業(yè)需要將測評報告向受理定級備案的公安機關(guān)備案。

　　(3)系統(tǒng)安全建設(shè)整改。參照測評結(jié)果，企業(yè)需要對測評中所體現(xiàn)的安全漏洞進行安全建設(shè)整改，以落實相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用數(shù)據(jù)安全等安全保護措施。

　　經(jīng)過安全整改，二級信息系統(tǒng)應(yīng)具備防御小規(guī)模、較弱強度惡意攻擊，抵抗一般的自然災(zāi)害，防范一般的計算機病毒和惡意代碼的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；具有恢復(fù)系統(tǒng)正常運行狀態(tài)的能力。

　　三級信息系統(tǒng)整改后應(yīng)在統(tǒng)一的安全保護策略下應(yīng)具備抵抗大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災(zāi)害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中管控的能力。

　　經(jīng)過安全整改工作，四級信息系統(tǒng)具備的安全防范能力在三級的基礎(chǔ)上更為提升，統(tǒng)一的安全保護策略下可抵御敵對勢力有組織的大規(guī)模攻擊，抵抗嚴重的自然災(zāi)害。

　　2.2.3 信息安全等級保護工作鞏固階段

　　企業(yè)信息系統(tǒng)經(jīng)過定級、測評、整改后進入日常運行時期。在這一時期，企業(yè)的信息系統(tǒng)在技術(shù)上已經(jīng)完全具備了系統(tǒng)安全等級的要求，也建立相應(yīng)的安全管理制度體系。如何應(yīng)用各種安全防范技術(shù)，如何持久的嚴格的按照安全管理體系要求執(zhí)行日常工作成為鞏固階段的主要任務(wù)。

　　在本階段，企業(yè)一定要建立完善的信息系統(tǒng)安全狀況日常監(jiān)測制度，嚴格執(zhí)行信息系統(tǒng)的日常運維和安全管理制度，及時消除安全隱患，確保信息安全和系統(tǒng)正常運行。除此之外，企業(yè)還要定期對信息系統(tǒng)安全狀態(tài)進行自查，并積極配合公安機關(guān)的監(jiān)督檢查工作。

　　3、結(jié)束語

　　本文對企業(yè)信息安全等級保護的重要作用，實施的全過程以及實施過程中的技術(shù)要求進行了較為詳細的論述。信息安全等級保護工作的主要內(nèi)容是建立一套與企業(yè)向適應(yīng)的技術(shù)管理方案。在現(xiàn)今條件下，等級保護工作為企業(yè)信息安全提供了最為行之有效的工作方案。但等保的目的不是建立這一套方案，其重點在于今后要嚴格執(zhí)行這一方案。只有這樣才能最大限度的發(fā)揮信息安全等級保護工作的效果。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標(biāo)題：企業(yè)信息安全等級保護工作

本文網(wǎng)址：http://www.lukmueng.com/html/consultation/10839510696.html