等级保护及安全信息建设工作意义及必要性.docxVIP

一、信息系统安全等级保护建设的必要性信息系统安全等级保护制度（以下简称“等级保护”）作为信息安全系统分级分类保护的一项国家标准，对于完善信息安全法规和标准体系，提高安全建设的整体水平，增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。国家相关部门一直非常重视信息系统的等级保护工作，颁布了一系列相关条例，如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）、《信息安全等级保护管理办法（试行）》（公通字[2006]7号），公安部颁布的《公安部信息系统安全保护等级实施指南（试行稿）（2005年）》，以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》（市政府第163号令）等。中国长城资产管理公司（以下简称“公司”），作为国有独资金融企业，在业务高速发展的同时一直非常重视信息安全体系建设，早期已经部署了 “老三样”，即网络防病毒、防火墙和网络入侵检测，对保障业务系统的安全正常运转起到了重要作用。公司综合经营管理系统经过四期建设，实现了数据集中和管理集中，为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产，促进国有企业改革，进一步推动国民经济持续、快速、健康发展，公司希望进一步完善信息系统安全体系建设，规范信息安全管理，提高信息安全保障能力和水平，同时能够对信息系统安全整体进行审核、评估与完善。二、确定综合经营管理系统的保护级别根据《信息系统安全等级保护定级指南》中对信息系统的要求，考虑到综合经营管理系统是公司的核心业务系统，一旦受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，因此，将保护级别定为3级，并形成了等级保护定级报告，这在资产管理公司里属于首家。三、建设目标在今年的《信息系统安全等级保护基本要求（报批稿）》中的3级基本要求中明确规定需要建立“监控管理和安全管理中心”，这说明公司的等级保护平台建设走在了行业的前头，为相关行业的等级保护测评工作提供了宝贵的经验。等级保护保护整改与安全建设工作重要性依据公通字[2007]43号文的要求，信息系统定级工作完成后，运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改，使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品，进行信息系统安全建设或者改建工作。等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点，在确定不同系统重要程度的基础上，进行重点保护。整改工作要遵循国家等级保护相关要求，将等级保护要求体现到方案、产品和安全服务中去，并切实结合用户信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障体系，将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节，保障企业的信息安全。?启明星辰等级保护整改与安全建设过程启明星辰等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求，针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统，结合客户组织架构、业务要求、信息系统实际情况，通过一套规范的等保整改过程，协助客户进行风险评估和等级保护差距分析，制定完整的安全整改建议方案，并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作，协助客户完成信息系统等级保护整改和安全建设工作。启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。(一)?等级保护差距分析1.?等级保护风险评估1)?评估目的对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节，也是对信息系统进行安全建设和管理的重要组成部分。等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况，而差距分析则是按照等保的所有要求进行符合性检查，检查信息系统现状与国家等保要求之间的符合程度。可以说，风险评估的结果更能体现是客户信息系统技术层面的安全现状，比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。?启明星辰通过专业的等级评估服务，协助用户完成以下的目标：?●?了解信息系统的管理、网络和系统安全现状；●?确定可能对资产造成危害的威胁；●?确定威胁实施的可能性；●?对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的；●?对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；?●?明确信息系统的已有安全措施的有效性；●?明晰信息系统的安全管理需求。2)?评估内容●?资产识别与赋值●?主机安全性评估●?数据库安全性评估●?安全设