信息安全保护规范介绍
|
|
|
作者:loudyyang 发布日期:2007-09-24 ↓以下是文章部份文字内容↓ |
感谢大会给我这次机会做一个我们近期工作的通报,我把有关信息安全保护规范的内容做一个介绍,我今天主要讲三方面内容。
第一个要理解掌握国家有关信息安全等级保护的政策要求。第二个明确把握开展信息安全等级保护的关键环节。第三在现有工作成果的基础上继续推进等级保护工作。
第一个就是国家有关信息安全等级保护的政策要求。相信大家会经常提到中办发的2003 27号文件,全称是《国家信息化领导小组关于加强信息安全保障工作的意见》这里面明确提出三个方面的要求,要从实际出发,优化信息安全资源的配置,建立信息安全等级保护制度,重点保护信息基础网络和关系国家安全经济命脉社会稳定的的信息系统,这就是提到的关键技术。 第二个要重视安全信息覆盖评估工作,对网络与信息系统,对信息安全等级因素进行相应的建设,落脚点还是信息安全方面。第三个明确提出对涉及国家秘密的信息系统要按照国家要求进行保护。
第二个是2004 66号文件,《关于信息安全等级保护工作的实施意见》里面也明确了信息安全等级保护制度的基本内容,这主要包括三方面的内容。第一个要根据信息系统在国家安全社会秩序,公共利益,社会生活中的重要程度,另外遭到破坏对国家安全、公共利益的危害程度。国家通过制订统一的标准,根据信息系统不同重要程度,有针对性开展保护工作,分等级对信息系统进行保护,国家对不同等级的信息系统实行不同强度的监督管理。第三方面国家对信息安全产品的使用实行分等级管理。这是比较强调从国家对基础信息网络和重要信息系统保护的角度对产品的使用提出新的管理政策使用方向。国家对信息安全事件实行分等级响应和处理的制度,这落实对信息安全等级保护制度内容的核心解决。
第三方面就是今年年初下发的2006 7号文件,就是《信息安全等级保护办法》。这里面更进一步明确规定的系统安全保护划分。在这个办法里面明确说明了,联合会签四家单位的各自职责。非常明确表明信息系统等级保护与设密的保护之间的关系。国家将会对信息安全等级保护的测评机构进行资质管理。由这三方面的政策要求可以很明确表示国家在信息安全等级保护政策体系方面,涉及保密管理,风险管理,应急响应等众多重大管理。另外这里面提到产品分级管理以及测评单位的管理资质,目前政策没有出来。首要的一点是要对现有的政策进行认真地研究和分析,另外也是对国家明确规定的文件要进行学习和贯彻,只有这样才能确保等级保护工作的顺利开展。
第二方面开展信息安全等级保护几个关键环节的具体要求,这是在今年年初7号文件管理办法中对开展等级保护的关键环节做了具体要求,这主要在以下四方面,第一方面就是信息系统要确定安全保护等级。大家可能非常关心,作为信息系统如何确定安全保护等级,在办法中已经明确了。具体来讲信息系统如何来确定,除了在政策法规,还有标准方面明确的要求之外,最主要是要把握两个基本的原则,一个要明确安全保护责任的原则,要便于实施安全保护措施的职责,这一定要明确,等级确定以后安全保护的需求应该非常明确,而且便于实施,这是一个最基本的两个要求。作为纵向的各个运营单位如何确定安全保护等级,如果纵向的全国性的行业系统每一级运营审计单位都具有保护责任,建议每一级都要确定为一个系统,而不是全国一个系统,这样体现不出等级保护的核心,国家要保护关键技术设施,这里面如果不把信息系统进行分级就无法突出重点无法达到等级保护的要求。现在强调一个大集中,大平台,在大的网络平台运行的多个应用系统,我们建议将每一个具体的业务系统独自确立为一个系统,分别确立保护等级。在定级过程中,同一个平台各个信息系统,定义要素一定不相同的
|
|
| [1] [2] [下一页] |
|
|
|
【支付给评论者搜币数:0枚】【评论总数:0条】【点击数:3066次】【确认阅读:0次】 |
|
|
|
|
|
|
|
