信息安全等级保护能否为你构建安全的信息网络环境
2012-10-19 11:19
856 查看
信息安全等级保护制度推广得越来越广,在政府、事业单位、银行、电力等行业,他们都在公安机关或者相关行业的主管部门向下级推信息安全等级保护制度,并督促下级单位的信息系统到所在相关公安机关部门办理备案手续。
这样一来,有的人会这样疑问,假如落实信息安全等级保护制度的执行,或者上级部门监督,下级部门走个样,叫测评机构来测评下信息系统,测评完成后出个测评报告,然后拿着测评报告到公安相关部门做最终的备案,这样不就完事了。如果都做到了,我的信息系统就安全了吗?有些人会这样认为,因为信息系统备案到公安机关那边去了,有他们监督和监管,如果信息系统出问题了,他们会通知相关的备案单位,如果信息系统发生重大的事情,公安相关部门会侦查与立案。如果这些人这么想,我觉得首先对信息安全等级保护就不理解,因此公安部门只是留备案,如果单位出现了重大的信息泄露,公安监管部门才督促备案单位整改,在平常的时候也会到各个备案单位巡查这些工作。假如,在平常的网络环境中,信息系统给木马、病毒造成信息系统破坏或者其他等等的问题,公安机关也不会为了你这个事情来忙碌,毕竟职责不一样,不是信息系统备案,该单位的信息系统就一劳永逸的安全了。国家为了执行信息安全等级保护制度,体现了我国家重视互联网的安全以及数据方面的安全,为了营造一个安全的信息数据环境,从大层面讲,国家的互联网安全得到了一个保障。从小的方面说,信息系统按等级保护,体现了信息系统的重要程度不同,因此国家才执行信息安全等级保护划分相应的等级来做好安全防护措施。
因此,我带各位来认识下等级保护的相关流程,看下这些流程会对你们了解信息安全等级保护会有所帮助。下面看下具体的相关知识:
一、信息安全等级保护工作的主要流程(5个规定动作):
1、系统定级(信息系统定级按照自主定级、专家评审、主管部门审批、公安机关审核的流程进行)
2、系统备案(二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续)
3、安全建设整改(评估现有情况按条件选择产品)
4、等级测评(信息系统运营单位选择符合要求的测评机构开展信息系统等级测评)
5、监督检查(公安机关依据《管理办法》和《等级保护检查工作规范(试行)》,定期对信息系统进行安全检查。
二、信息安全等级保护基本要求的内容:
1、物理安全主要包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2、网络安全主要包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
3、主机安全主要包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。
4、应用安全主要包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。
5、数据安全及备份恢复主要包括:数据完整性、数据保密性、备份和恢复。
6、安全管理制度主要包括:管理制度、制定和发布、评审和修订。
7、安全管理机构主要包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8、人员安全管理主要包括:人员录用、人员离岗、人员考核、安全意识和培训、外部人员访问管理。
9、系统建设管理主要包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。
10、系统运维管理主要包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。
其实,信息安全等级保护是有相关的政策与标准来指导这些等级保护的执行与贯彻,所有这些检查的内容都有相关政策与标准来监督。但是,这些标准都是有引用国外,同时在经过国内的专家的整合而形成的成果。因此等级保护是具有很强的政策体系文件与标准文件支撑。
这样一来,有的人会这样疑问,假如落实信息安全等级保护制度的执行,或者上级部门监督,下级部门走个样,叫测评机构来测评下信息系统,测评完成后出个测评报告,然后拿着测评报告到公安相关部门做最终的备案,这样不就完事了。如果都做到了,我的信息系统就安全了吗?有些人会这样认为,因为信息系统备案到公安机关那边去了,有他们监督和监管,如果信息系统出问题了,他们会通知相关的备案单位,如果信息系统发生重大的事情,公安相关部门会侦查与立案。如果这些人这么想,我觉得首先对信息安全等级保护就不理解,因此公安部门只是留备案,如果单位出现了重大的信息泄露,公安监管部门才督促备案单位整改,在平常的时候也会到各个备案单位巡查这些工作。假如,在平常的网络环境中,信息系统给木马、病毒造成信息系统破坏或者其他等等的问题,公安机关也不会为了你这个事情来忙碌,毕竟职责不一样,不是信息系统备案,该单位的信息系统就一劳永逸的安全了。国家为了执行信息安全等级保护制度,体现了我国家重视互联网的安全以及数据方面的安全,为了营造一个安全的信息数据环境,从大层面讲,国家的互联网安全得到了一个保障。从小的方面说,信息系统按等级保护,体现了信息系统的重要程度不同,因此国家才执行信息安全等级保护划分相应的等级来做好安全防护措施。
因此,我带各位来认识下等级保护的相关流程,看下这些流程会对你们了解信息安全等级保护会有所帮助。下面看下具体的相关知识:
一、信息安全等级保护工作的主要流程(5个规定动作):
1、系统定级(信息系统定级按照自主定级、专家评审、主管部门审批、公安机关审核的流程进行)
2、系统备案(二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续)
3、安全建设整改(评估现有情况按条件选择产品)
4、等级测评(信息系统运营单位选择符合要求的测评机构开展信息系统等级测评)
5、监督检查(公安机关依据《管理办法》和《等级保护检查工作规范(试行)》,定期对信息系统进行安全检查。
二、信息安全等级保护基本要求的内容:
1、物理安全主要包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2、网络安全主要包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
3、主机安全主要包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。
4、应用安全主要包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。
5、数据安全及备份恢复主要包括:数据完整性、数据保密性、备份和恢复。
6、安全管理制度主要包括:管理制度、制定和发布、评审和修订。
7、安全管理机构主要包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8、人员安全管理主要包括:人员录用、人员离岗、人员考核、安全意识和培训、外部人员访问管理。
9、系统建设管理主要包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。
10、系统运维管理主要包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。
其实,信息安全等级保护是有相关的政策与标准来指导这些等级保护的执行与贯彻,所有这些检查的内容都有相关政策与标准来监督。但是,这些标准都是有引用国外,同时在经过国内的专家的整合而形成的成果。因此等级保护是具有很强的政策体系文件与标准文件支撑。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 信息安全等级保护与网络安全风险评估的区别
- 虚拟环境下安全运营中心对信息等级保护建设的支撑 之一
- 关于进一步推进中央企业信息安全等级保护工作的通知
- 公通字[2004]66号 关于信息安全等级保护工作的实施意见
- XDC+获得信息安全等级保护三级认证
- 网络安全发草案出炉 CHINASSL构建网络信息安全2.0时代
- 两会期间说网络安全 金融行业专家谈银监办发2017 2号文 加强客户信息保护
- 最新信息安全等级保护三级系统基线要求判分标准之应用安全
- 信息安全等级保护的思考
- 信息安全等级保护相关标准体系(合集)
- 堡垒主机在信息安全等级保护制度中的探究与应用
- 堡垒主机在信息安全等级保护制度中的探究与应用
- 关于信息安全制度中等级保护与分级保护的异同
- 信息安全等级保护
- 泰州市互联网单位信息网络安全保护技术交流会
- 网络环境下法律信息的共享与保护
- 信息安全等级保护工作概述
- 网络环境下法律信息的共享与保护
- 信息安全等级保护测评工具选用指引
- 鼠鼠百科--信息安全等级保护