关于银行息安全等级保护建设的几点思考.docVIP

关于银行信息安全等级保护建设的几点思考 近年来，随着我行信息化建设的不断推进和深入，上线的系统越来越多，**行业务对信息科技的依赖显著增强，目前已经无法想象如果没有信息系统的支持，**行的业务如何运行。随之而来带给信息科技部门的问题是如何建设一套高效、安全的信息系统支持和引领业务的发展，同时如何通过加强信息安全的建设保证信息系统的安全平稳运行。在**行信息化建设从信息技术向信息科技转变的时刻，以国家和相关主管部门对信息安全等级保护建设的要求和规范为主要依据，思考如何通过落实信息安全等级保护管理制度，按阶段、分级别提高我行信息安全保障能力和水平，促进信息化建设的健康发展。 什么是信息安全等级保护 要落实信息安全等级保护管理制度，首先要了解信息安全等级保护是什么及其推进历程，国家相关主管部门对信息安全等级保护的相关要求。 信息安全等级保护的概念。 从概念上讲信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 实施信息安全等级保护的作用。 实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。 信息安全等级保护的推进历程和要求。 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安??等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2003年，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，其明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年9月，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》，对信息安全等级保护的基本制度框架进行了规划，明确了信息安全等级保护的重要意义、原则、基本内容、职责分工、实施计划。2006年1月，四部委又下发了《信息安全等级保护管理办法(试行)》，开始具体搭建信息安全等级保护制度，该办法试行一年后于2007年6月正式发布实施，与之配套的相关国家技术标准也在逐步建立和完善。从2007年下半年开始，公安部开始组织全国各行业、各单位开展了信息系统的定级和备案工作，并推进系统的等级测评和整改。 国家对于信息安全等级保护工作的定位。 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。从国家层面而言，信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法，是维护国家信息安全的根本保障。通过开展信息安全等级保护工作，可以有效地解决我国信息安全面临的主要问题，按照“明确重点、突出重点、保护重点”的原则，将有限的财力、物力、投入到重要信息系统的安全保护中去。通过实施信息安全等级保护制度，使信息系统运营使用单位和主管部门都能按照标准进行安全建设、整改、管理和运行，防止出现过保护和欠保护的情况。 信息安全等级保护的分级。 顾名思义，信息安全等级保护工作就是要将信息系统分成不同的级别进行保护，按照《计算机信息系统安全保护等级划分准则》GB 17859-1999，将信息系统的安全等级划分为5级， 分别为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级，对应的级别分别为第一到第五级。对应与每一个等级，国家出台了相关的技术规范对管理和技术要达到的基本要求进行了规定。我行的行业主管部门人民银行结合金融业信息化和信息安全建设的实际情况，同时增加了金融业信息系统的增强安全保护要求。 我行信息安全等级保护工作开展的现状 我行通过建行十七年以来的努力，信息化建设取得了很大的成就，实现了业务生产系统的全国大集中，完成了综合报表平台、数据交换平台、综合办公平台的建设，上线了CM2006信贷管理系统、统计数据