| 摘要:信息安全等级保护制度是我 国信息安全保障工作的基本制度。 本文从信息安全等级保护的概念 入手,结合金融行业的实际情况 阐述了信息安全等级保护实施的 必要性。 【关键词】信息安全 等级保护 建设 随着全球信息化程度的不断提高,人类生 活对信息网络的依赖程度不断提高,信息网络 科技已经逐步渗透到人们生活的方方面面,对 国家安全、社会秩序和公众权益的影响日益突 出,各国在信息安全方面的重视程度也日趋提 高。我国为了保障国家安全,维护社会秩序和 公众利益不受侵害,在2007 年制定了信息安 全等级保护制度。实施信息安全等级保护工作 不仅是提升信息化安全防护水平的重要手段, 更是落实国家信息安全保障要求的重要内容。 1 信息安全等级保护综述 “信息安全等级保护”是国家制定的信 息安全管理规范和技术标准,是保障和促进信 息化建设健康发展的一项基本制度。具体地说, 就是对基础信息网络和重要信息系统按其重要 程度及实际安全需求,分等级进行保护,按标 准进行建设,按要求进行管理和监督,确保信 息系统安全正常运行,提高信息系统安全综合 防护能力,维护国家安全、社会稳定和公共利 益。 2 信息安全等级保护的现状 2.1 各主要行业信息安全等级保护工作开展程 度不一 电力、电信、铁路、税务等一些重要行 业等级保护工作进展较快,在进行信息安全等 级保护工作中结合各行业特点和行业的特殊安 全需求制定了行业的等级保护规范或细则。相 对而言,银行、交通、文化等行业目前等级保 护工作进展缓慢。中国电力财务有限公司(以 下简称“公司”)作为电力行业直属的非银行 金融机构,按照国家电网公司要求很早已经开 展相关工作,但由于公司业务与机构设置对于 电力行业主业有很大区别,在信息安全等级保 护的建设上只涉及公司总部,对于各分支机构 的相关工作并未开展。直到2012 年7 月中国 人民银行正式发布了《金融行业信息系统信息 安全等级保护实施指引》、《金融行业信息系 统信息安全等级保护测评指南》、《金融行业 信息安全等级保护测评服务安全指引》三个文 件,对金融行业信息系统信息安全等级保护建 设提出了具体要求,为等级保护实施、测评、 整改工作提供了强大的政策支持,并明确了区 域性金融机构信息系统安全等级保护工作的具 体要求。金融行业等级保护标准依据国家要求 和行业特点,细化、补充了大量内容,保留国 家等级保护基本要求二级要求、三级要求、四 级要求项590 项,补充细化要求项193 项,新 增金融行业特色要求项269 项。 2.2 金融机构对信息安全等级保护的认识不足 由于对信息安全的理解不够,在对于信 息安全的资金投入,往往用于购买硬件安全设 备,认为有了这些看得见摸得着的安全产品就 可以确保安全了。但是根据人民银行颁布的《金 融行业信息系统信息安全等级保护实施指引》 中以国家等级保护要求为原则,以金融行业特 点为基础,提出了构建“两项要求”和“两个 体系”的金融行业信息安全保障总体框架。 该框架通过技术要求与管理要求的交融 以及技术体系与管理体系的互补,从安全保障 要求和安全保障方法两方面体现技术与管理并 重的基本思想。也就是说必须是管理制度体系 和技术防护体系互相融合,仅仅靠技术防护体 系是无法构建完善的安全保障体系。同时,管 理体系是遵照“建立、实施、执行、监控、审 计、保持、改进”的过程进行类似生命周期的 思路形成生命环的管理方法,而公司在这方面 的认知还有待提高。与此同时金融行业从业人 员以为财务及管理人员为主,而具有计算机、 信息安全等级保护知识的人非常少,加强信息 化人才与金融人才相结合的复合型人才培养, 是推进金融行业信息化建设和信息安全等级保 护工作的重点。 2.3 缺少信息安全等级保护相关知识经验 目前信息安全等级保护工作采用自主定 级的方法,缺乏精确参考的标准和考量值。如 果负责信息安全工作的人员对等级保护的概念 不明晰,对等级保护的适用范围把握不准确, 就会导致对信息系统的定级备案不合适,同时 对于信息系统的升级或者调整导致需要重新定 级备案的,如未能及时将信息上报备案,也将 影响信息安全等级保护后续工作的顺利开展。 如果信息安全定级过高,大于本单位要需要的 等级,也将导致本单位资源浪费,降低系统运 行效率,增加日常管理负担;如定级过低,将 导致系统得不到必要安全保护,也容易引发系 统安全问题。 3 开展信息安全等级保护的必要性 开展信息安全等级保护工作是保护信息 化发展、维护国家信息安全的根本保障。实行 信息安全等级保护是在借鉴国外先进经验和结 合我国国情的基础上,解决我国信息网络安全 的必然选择。 3.1 落实国家政策标准和要求 对信息系统实行等级保护是国家法定制 度和基本国策,是开展信息安全工作的有效办 法,是信息安全工作的发展方向。我国政府对 基础架构的安全一直非常重视,在“十二五规 划”中首次将“加强网络与信息安全保障”作 为重要章节突出,这充分显示了国家对信息安 全的重视程度。国家态度明确了,信息安全等 级保护制度作为国家信息安全保障领域的一项 基本制度,必须在各单位得到有效贯彻落实。 3.2 有效降低信息化建设成本 等级保护测评的核心思想就是按照信息 系统的重要程度及实际安全需求,合理投入, 分级进行保护,将有限的资源最大化的投入到 重要信息系统的建设中,更加有效的保障重要 信息系统安全可靠运行,促进信息化建设健康 发展。按照定级标准对信息系统进行符合性测 评,根据测评结果,有针对性的在建设整改时, 对造成信息系统高风险的漏洞和问题进行建设 整改,能有效的控制信息化建设成本,既促进 了信息化建设的健康发展,也保证了系统的可 靠运行。 3.3 切实提高信息安全整体水平 信息系统安全等级保护作为对信息安全 系统分级分类保护的一项国家标准,对于完善 信息安全标准体系,提高信息安全的整体水平, 以及增强信息系统安全保护的整体性、针对性 和时效性都具有非常重要的意义。在信息化建 设过程中同步建设信息安全设施,可以有效保 障信息安全与信息化建设相协调;通过加强对 重要信息系统的安全保护和管理监督,可以明 确信息系统的安全责任,强化管理职能,有效 落实各项安全建设和安全管理措施,最终切实 提高信息安全整体防护能力。 作者简介 朱勇(1978—),男,陕西省西安市人。现为 中国电力财务有限公司西北分公司信息化工作 部经理助理。 作者单位 中国电力财务有限公司西北分公司 陕西省西 安市 710004 |
| 在线咨询: |
|
| 联系电话: | 18602588568 |
| 投稿邮箱: | bosslunwen@126.com |
| ★诚信★专业★权威★快速★ | |
