信息标准系统等级保护建设思路.docVIP

信息系统等级保护建设思路 实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本;有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理;有利于推动信息安全产业的发展。 　　《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)，明确指出将等级保护制度作为我国信息安全领域的一项基本制度。2010年发布的《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010] 303号)明确指出，2011年底前完成第三级(含)以上信息系统的测评工作，2012年底之前完成第三级(含)以上信息系统的安全建设整改工作。”在制度保证的前提下，各企业和组织要明确信息系统等级保护建设思路，才能事半功倍，确实提升信息系统安全保障能力。 　　一、信息安全等级保护的情况介绍 　　实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本;有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理;有利于推动信息安全产业的发展。 　　国内信息安全等级保护工作的开展是一个随着计算机技术的发展和业务对计算机系统依赖性逐渐增加，不断发展和完善起来的。《国家信息化领导小组关于加强信息安全保障工作的意见》正式出台，明确提出非涉密信息系统遵循等级保护思想进行信息安全建设。公安部网络安全保卫局在全国开展等级保护工作试点，先后发布了信息系统定级、备案、整改建设、等级测评等各重要环节的有关文件，指导等级保护工作开展。其中2009年的公信安1429号文《关于开展信息安全等级保护安全建设整改工作的指导意见》明确提出2012年年底前完成已定级信息系统的整改工作。 　　等级保护的技术体系也基本成型，目前涉及到等级保护建设的技术标准和规范大约有30多个，主要包括了技术、管理、产品、建设流程等各方面的内容，如:定级指南、备案细则、实施指南、安全设计、基本要求、测评过程要求、测评指南，使得等级保护工作在各个环节都有具体的技术标准可以参考。 　　二、工作思路与建设原则 　　对于具有分支机构的大型企业组织来说，信息安全工作已经有等级保护的制度和技术体系做依托，更多的是在实践中摸索出适合本企业组织信息系统安全建设的工作思路与建设原则。 　　统一规划、统一标准、统筹协调 　　统一规划:统一制订规划建设推进方案、等级保护工程建设方法，各信息系统均需要参照规划方案实施，不能自行规划。 　　统一标准:统一组织制订等级保护建设的流程、步骤、技术和管理规范，确保上下衔接、互联互通。 　　统筹协调:统筹全局，协调各分支机构或各业务系统之间的资源共享、业务协同，联合推进等级保护建设。 　　分级建设、分步实施、分类指导 　　分级建设;统一组织等级保护项目建设;各分支机构在总体方案的指导下，负责信息系统在本区域范围内的建设和安全运营维护。 　　分步实施根据目前等级保护项目建设基础条件和特点，采用分批分期建设方式开展项目建设。 　　分类指导:对干不同的信息系统，采用不同的组织管理模式、工作机制和推进方式。 　　加强管理 　　加强管理:落实等级保护项目建设组织机构、责任部门，科学调度，加强项目过程管理，确保项目取得成功。 　　建设原则 　　法规遵循:应严格执行国家法律法规、相关主管部门的要求。 　　科学管理:严谨、先进的技术项目实施与科学、规范的项目实施管理手段相结合，以提高整体项目实施的效率，保证项目质量，缩短项目工期，降低项目成本。 　　平稳过渡项目包含子系统较多，且项目需要进行网络改造，在项目实施时，采用分项，循序渐进的方式，保证系统改造不影响日常办公的使用，平稳过渡。 　　适当先进:综合考虑本单位实际情况，在结合实际的基础上，确保建成的信息系统能够符合当前网络技术、信息技术发展的趋势，具有一定的先进性，在未来5年内能满足科研生产任务和国家法律法规相关要求的实际需要。 　　便于维护:系统应具有良好的可扩展性和可维护性，部署便利、使用简便、维护集中，并可以实现服务和应用的灵活扩展。 　　重视培训:系统是按计划分步实施的，培训也将随着项目的各个阶段分期进