信息管理导论第七章信息安全管理.ppt

一、构建国家信息安全保障体系 方滨兴提出“一二三四五国家信息安全保障体系”框架。他认为,国家信息安全保障体系包括积极防御、综合防范等多个方面的原则,因此,要建立和完善信息安全等级保护制度就要加强和建设多个层面。 当前国家信息安全的保障体系需要围绕以下细节全面建设,即这项系统工程需要注意做好六个方面的主要工作:要加强密码技术的开发与应用、建设网络信息安全体系、加强网络信息安全风险评估工作、建设和完善信息安全监控体系、高度重视信息安全应急处置工作、重视灾难备份建设。此外,要增强国家信息安全保障能力,还必须要掌握核心安全技术,提升包括信息安全的法律保障能力、基础支撑能力等在内的各种信息安全保障能力。 方滨兴从五个层面解读了我国的信息安全保障体系,并提出了“一二三四五国家信息安全保障体系”。 序号 建议内容 备注 1 一个机制 一个完善长效的机制 2 两个原则 第一个原则是积极预防、综合防范,第二个原则是立足国情、优化配置 3 三个要素 人、管理、技术 4 四种核心能力 法律保障能力、基础支撑能力、舆情宣传和驾驭能力、国际信息安全的影响力 5 五项主要技术工作 风险评估与等级保护、监控系统、密码技术与网络信任体系、应急机制、灾备 所谓的“一个机制”,是指国家信息安全保障应有一个完善、长效的机制,在组织协调和支撑力度上,要给予国家信息安全保障提供来自宏观层面(包括主管部门)的长期有效的支持。 所谓“两个原则”,就是积极防御、综合防范原则,以及立足国情、优化配置原则。“综合防范”是指整个信息产业的协调发展,也就是说要协调处理好网络信息安全与信息化的关系。“积极防御”是指虽然我们并不提倡主动攻击,但是掌握攻击技术是信息对抗所需要的。立足国情、优化配置原则要求国家在开展信息安全保障活动中,应强调综合平衡安全成本与风险的理念,即如果风险不大,就没有必要花太大的安全成本来做。 所谓“三个要素”,包括人、管理、技术。就信息安全的“人”的要素来说, 一个方面是专业人才的培养、培训,打造一支优秀的、高水平的人才队伍;另一方面,应建立吸引和用好高素质的信息安全管理和技术人才的机制。就信息安全的“管理”要素来说,互联网上的管理主要是靠四方面,即法律保障、行政监管、行业自律、技术支撑。信息安全的“技术”要素,也是我们解决信息安全问题所必须考虑的一个关键性因素。特别是对引进产品的信息安全问题应给予特别关注,需要有人对其安全性负责。 所谓“四种核心能力”,主要是指信息安全的法律保障能力、信息安全的基础支撑能力、网络舆情宣传和驾驭的能力、国际信息安全的影响力。 所谓“五项主要技术工作”包括:加强风险评估工作,建立和完善等级保护制度;加强密码技术的开发利用,建设网络信任体系;建设和完善信息安全监控体系;高度重视信息安全应急处置工作和灾难备份。 二、构建企业的信息安全保障体系 (1)应遵循相关的标准和规范要求。 只有以国家已经发布的有关标准和规范为依据,才能少走弯路,减少重复投入,取得预期的效果。 所谓信息安全标准,是指确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据文件。实践表明,执行什么样的信息安全标准,既关系到信息安全保障体系的有效性和先进性,也关系到国家的整体信息安全和我国信息产业的发展。 二、构建企业的信息安全保障体系 (1)应遵循相关的标准和规范要求 只有以国家已经发布的有关标准和规范为依据,才能少走弯路,减少重复投入,取得预期的效果。 所谓信息安全标准,是指确保信息安全产品和系统在设计、研发、生产、建设、使用和测评过程中保持一致性、可靠性、可控性、先进性和符合性的技术规范和依据文件。实践表明,执行什么样的信息安全标准,既关系到信息安全保障体系的有效性和先进性,也关系到国家的整体信息安全和我国信息产业的发展。 信息安全保障 “27号文” 《国家信息化领导小组关于加强信息安全保障工作的意见》（[2003]27号），简称“27号文”，它的诞生标志着我国信息安全保障工作有了总体纲领。总体要求是：坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。 2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》，保护网络信息安全，保障公民、法人和其他组织的合法权益，维护国家安全和社会公共利益。 2018年3月，根据中共中央印发了《深化党和国家机构改革方案》，将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会。 (2)应重视开展信息安全咨询工作 安全咨询是联系企业安全需求和建设目标的中介。信息安全保