1、当前企业信息安全等级保护工作现状

 

　　面对信息安全的威胁，国家于2003年发布了《国家信息化领导小组关于加强信息安全保障工作的意见》，明确提出在非密信息安全领域，信息安全保障工作要“实行信息安全等级保护”，明确要求建立信息安全保障体系。随后国家于2004年和2007年相继颁布了《关于信息安全等级保护的实施意见》及《信息安全等级保护管理办法》，信息安全等级保护制度全面实行。

 

　　2、企业信息安全等级保护的实施方法

 

　　2.1 依据的标准

 

　　企业信息安全等级保护制度应当依据国家颁布的以下标准执行。

 

　　2.1.1 基础标准

 

　　《计算机信息系统安全保护等级划分准则》

 

　　2.1.2 安全要求

 

　　《信息系统安全等级保护基本要求》

 

　　2.1.3 系统等级

 

　　《信息系统安全等级保护定级指南》

 

　　2.1.4 方法指导

 

　　《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》

 

　　2.1.5 现状分析

 

　　《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》

 

　　2.2 企业信息安全等级保护工作的步骤

 

　　企业信息安全等级保护工作一般分为三个阶段，及准备阶段、实施阶段和巩固阶段。

 

　　2.2.1 信息安全等级保护工作准备阶段

 

　　企业信息安全等级保护工作准备阶段工作主要包括以下几个方面：

 

　　(1)确定总体目标。确定总体目标，其主要目的是为企业等保工作确立一个明确的行动指南，并成为企业等保工作决策、评价、协调的基本依据。总体目标的确定为等保工作前进指明了方向，并明确了发展路线。确定总体目标也是等保工作计划和其他各项工作安排的基础。

 

　　(2)明确责任部门。为等保工作明确首要责任部门，以防止出现推诿扯皮的现象。一般等保工作责任部门为企业信息化工作主管部门。

 

　　(3)业务培训。作为企业来说，信息安全等级保护是一个相对陌生的概念，但信息安全等级保护工作又是一个相对具有专业性的工作，所以在工作开展之前对相关人员进行培训是非常必要的。

 

　　(4)摸底调查。在全面开展等级保护工作前，企业一定要对本单位所属的信息系统进行全面的摸底调查，全面掌握信息系统(包括信息网路)的数量、分布、业务类型、应用或服务范围、系统结构等基本情况，为下一步等保工作的全面展开、确定等级保护定级对象奠定基础。

 

　　2.2.2 信息安全等级保护工作实施阶段

 

　　信息安全等级保护工作实施阶段的内容主要包括三个方面，系统定级备案、系统测评、系统安全建设整改。

 

　　(1)系统定级备案。企业在系统定级备案前首先要明确定级的对象，一般定级对象分为三个方面：起支撑、传输作用的信息网络;用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统;企业网站。

 

　　在确定系统定级对象后，企业就需要根据信息系统重要性，按照相关技术标准文件对系统进行定级。

 

　　按照国家标准系统等级分为五级，但第五级系统在现实中基本不会出现，所以在一般情况下，信息系统一般按照前四个级别进行划分。第一级系统，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。该级系统适用于小型私营、个体企业、中小学、乡镇所属信息系统，县级单位中一般的信息系统。该级系统无需备案，完全由企业自己来决定采用何种方式进行保护。第二级系统，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该级系统适用于县级某些单位中重要的信息系统，地市级以上国家机关、企事业单位内部一般的信息系统。该级系统需要到当地公安机关进行备案。

 

　　第三级系统，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。该级系统一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统。

 

　　第四级系统，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。该系统一般适用于国家重要领域、部门影响涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。

 

　　参照以上标准企业要自行确定信息系统的安全等级，并组织相关领域的专家对定级结果进行评审。在专家出具相关评审意见后，对二级及以上的系统，企业需要到当地市级以上公安机关网络安全保卫部门办理备案手续，以完成系统定级工作。

 

　　(2)系统测评。按照相关规定，三级及以上系统国家强制要求进行等级测评。等级测评的主要目的是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应的等级的安全保护能力。

 

　　进行等级测评，企业需要聘请《全国信息安全等级保护测评机构推荐目录》中具有专业资质的测评机构进行。对于测评结果，企业需要将测评报告向受理定级备案的公安机关备案。

 

　　(3)系统安全建设整改。参照测评结果，企业需要对测评中所体现的安全漏洞进行安全建设整改，以落实相应的物理安全、网络安全、主机安全、应用数据安全等安全保护措施。

 

　　经过安全整改，二级信息系统应具备防御小规模、较弱强度恶意攻击，抵抗一般的自然灾害，防范一般的计算机病毒和恶意代码的能力;具有检测常见的攻击行为，并对安全事件进行记录的能力;具有恢复系统正常运行状态的能力。

 

　　三级信息系统整改后应在统一的安全保护策略下应具备抵抗大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置，并能够追踪安全责任的能力;在系统遭到损害后，具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统，应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中管控的能力。

 

　　经过安全整改工作，四级信息系统具备的安全防范能力在三级的基础上更为提升，统一的安全保护策略下可抵御敌对势力有组织的大规模攻击，抵抗严重的自然灾害。

 

　　3 、信息安全等级保护工作巩固阶段

 

　　企业信息系统经过定级、测评、整改后进入日常运行时期。在这一时期，企业的信息系统在技术上已经完全具备了系统安全等级的要求，也建立相应的安全管理制度体系。如何应用各种安全防范技术，如何持久的严格的按照安全管理体系要求执行日常工作成为巩固阶段的主要任务。

 

　　在本阶段，企业一定要建立完善的信息系统安全状况日常监测制度，严格执行信息系统的日常运维和安全管理制度，及时消除安全隐患，确保信息安全和系统正常运行。除此之外，企业还要定期对信息系统安全状态进行自查，并积极配合公安机关的监督检查工作。