1、信息等級(jí)保護(hù)制度概述

　　信息安全等級(jí)保護(hù)制度是國家信息安全保障工作的基本制度，是促進(jìn)信息化健康發(fā)展的根本保障。其具體內(nèi)容包括：①對(duì)國家秘密信息，法人和其他組織及公民的專有信息以及公開信息，存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)實(shí)行分等級(jí)安全保護(hù)、分等級(jí)監(jiān)管；②對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理；③對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。信息安全等級(jí)保護(hù)配套政策體系及標(biāo)準(zhǔn)體系如圖1、圖2所示。

　　信息等級(jí)保護(hù)具體工作由5部分組成。①定級(jí)：將信息系統(tǒng)按照重要性和遭受損壞后的危害性分成5個(gè)安全保護(hù)等級(jí)；②備案：等級(jí)確定后，第二級(jí)(含)以上信息系統(tǒng)到公安機(jī)關(guān)備案，公安機(jī)關(guān)審核后頒發(fā)備案證明；③測(cè)評(píng)：備案單位選擇符合國家規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng)：④建設(shè)整改：備案單位根據(jù)信息系統(tǒng)安全等級(jí)，按照國家政策、標(biāo)準(zhǔn)開展安全建設(shè)整改；⑤檢查：公安機(jī)關(guān)定期開展監(jiān)督、檢查、指導(dǎo)。
 

　　2、中國石油信息安全等級(jí)保護(hù)制度建設(shè)

　　中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位．在國資委歷年信息化評(píng)比中都名列前茅。2007年全國開展信息安全等級(jí)保護(hù)工作之后．中國石油認(rèn)真貫徹國家信息安全等級(jí)保護(hù)制度各項(xiàng)要求．全面開展信息安全等級(jí)保護(hù)工作。逐步建成先進(jìn)實(shí)用、完整可靠的信息安全體系，保障信息化建設(shè)和應(yīng)用。支撐公司業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實(shí)施．使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個(gè)方面：

　　(1)以信息安全等級(jí)保護(hù)工作為契機(jī)。全面梳理業(yè)務(wù)系統(tǒng)并定級(jí)備案。中國石油根據(jù)國家信息安全等級(jí)保護(hù)制度要求．建立自上而下的工作組織體系，明確信息安全責(zé)任部門．對(duì)中國石油統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)和備案，通過制定《中國石油天然氣集團(tuán)公司重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)實(shí)施暫行意見》，加強(qiáng)桌面安全、網(wǎng)絡(luò)安全、身份認(rèn)證等安全基礎(chǔ)防護(hù)工作，加快開展重要信息系統(tǒng)的等級(jí)測(cè)評(píng)和安全建設(shè)整改工作，進(jìn)一步提高信息系統(tǒng)的安全防御能力．提高系統(tǒng)的可用性和安全性。在全面組織開展信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案工作之后，聘請(qǐng)專業(yè)測(cè)評(píng)機(jī)構(gòu)．及時(shí)開展等級(jí)測(cè)評(píng)、安全檢查和風(fēng)險(xiǎn)評(píng)估工作．并通過等級(jí)測(cè)評(píng)工作查找系統(tǒng)的不足和安全隱患．制訂安全整改方案．開展安全整改和加固改造．保障信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行。

　　(2)以信息安全等級(jí)保護(hù)工作為抓手．全面推動(dòng)中國石油信息安全體系建設(shè)。中國石油以信息安全等級(jí)保護(hù)工作為抓手．完善信息安全整體解決方案，建立技術(shù)保障體系、管理保障體系和控制保障體系。采用分級(jí)、分域的縱深防御理念．將桌面安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)等相關(guān)技術(shù)相互結(jié)合．建立統(tǒng)一的安全監(jiān)控平臺(tái)和安全運(yùn)行中心，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的授權(quán)訪問、桌面計(jì)算機(jī)的安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控、惡意軟件與攻擊行為的及時(shí)發(fā)現(xiàn)與防御、業(yè)務(wù)與數(shù)據(jù)安全保障等功能。顯著提高抵御外部和內(nèi)部信息安全威脅的能力。建立了總部、區(qū)域網(wǎng)絡(luò)中心、企事業(yè)單位三級(jí)信息系統(tǒng)安全運(yùn)維隊(duì)伍；采用集中管理、分級(jí)維護(hù)的管理模式。網(wǎng)絡(luò)與安全運(yùn)維人員采用授權(quán)方式，持證上崗，建立網(wǎng)絡(luò)管理員、安全管理員和安全審計(jì)員制度：初步建立起中國石油內(nèi)部信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍．并于2010年完成地區(qū)公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作。

　　(3)建立重要信息系統(tǒng)應(yīng)急處置預(yù)案。完善災(zāi)難恢復(fù)機(jī)制。2008年，中國石油發(fā)布了《網(wǎng)絡(luò)與信息安全突發(fā)事件專項(xiàng)應(yīng)急預(yù)案》，所有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)管理、安全管理等都建立了應(yīng)急響應(yīng)處置預(yù)案和災(zāi)備系統(tǒng)，保障業(yè)務(wù)系統(tǒng)在遭遇突發(fā)事件時(shí)．能快速反應(yīng)并恢復(fù)業(yè)務(wù)系統(tǒng)可用性。通過災(zāi)難恢復(fù)項(xiàng)目研究．形成了現(xiàn)狀及風(fēng)險(xiǎn)分析、災(zāi)難恢復(fù)等級(jí)劃分、災(zāi)備部署策略分析和災(zāi)備部署方案四步法，劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級(jí)．完善了災(zāi)難恢復(fù)機(jī)制。

　　(4)規(guī)劃信息安全運(yùn)行中心，建立重要信息系統(tǒng)安全監(jiān)控機(jī)制。中國石油規(guī)劃了信息安全運(yùn)行中心的建設(shè)方案，提出了信息安全運(yùn)行中心建設(shè)目標(biāo)，通過網(wǎng)絡(luò)運(yùn)行狀態(tài)、安全信息數(shù)據(jù)匯集、安全監(jiān)測(cè)分析功能和安全管理流程的有機(jī)整合，實(shí)現(xiàn)中國石油信息安全狀況的可感知、可分析、可展示、可管理和可指揮，形成中國石油信息安全事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力；通過完善安全運(yùn)行管理體系．將安全運(yùn)行管理組織、安全運(yùn)維管理流程和安全監(jiān)測(cè)預(yù)警系統(tǒng)三方面有機(jī)結(jié)合，實(shí)現(xiàn)事前預(yù)警防范、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運(yùn)行機(jī)制。形成中國石油統(tǒng)一的應(yīng)急指揮與協(xié)調(diào)調(diào)度能力．為中國石油信息安全保障奠定良好的基礎(chǔ)。

　　3、信息安全等級(jí)保護(hù)工作存在的不足及改進(jìn)建議

　　信息安全等級(jí)保護(hù)管理辦法(公通字[2007]43號(hào))正式發(fā)布標(biāo)志著全國范圍內(nèi)的信息安全等級(jí)保護(hù)工作開始．通過5年的努力．全國信息安全工作形成了以落實(shí)信息安全等級(jí)保護(hù)制度為核心，信息通報(bào)、應(yīng)急處理、技術(shù)研究、產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)信任體系和標(biāo)準(zhǔn)化建設(shè)等工作快速發(fā)展的良好局面．重要行業(yè)部門的信息安全意識(shí)、重視程度、工作能力有了顯著提高。40余個(gè)重要行業(yè)出臺(tái)了100余份行業(yè)等級(jí)保護(hù)政策文件．20余個(gè)重要行業(yè)出臺(tái)了40余份行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)．但同時(shí)存在著以下不足：

　　(1)對(duì)信息安全工作的認(rèn)識(shí)不到位．對(duì)重要信息系統(tǒng)安全保護(hù)缺乏應(yīng)有的重視。依據(jù)公安部相關(guān)資料統(tǒng)計(jì)．截至2012年6月，我國有18％的單位未成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)：21％的單位未落實(shí)信息安全責(zé)任部門．缺乏信息安全整體規(guī)劃；14個(gè)行業(yè)重要信息系統(tǒng)底數(shù)不清、安全保護(hù)狀況不明：12個(gè)行業(yè)未組織全行業(yè)信息安全專門業(yè)務(wù)培訓(xùn)．開展信息安全工作的思路和方法不得當(dāng)，措施不得力。20％的單位在信息系統(tǒng)規(guī)劃過程中。沒有認(rèn)真制定安全策略和安全體系規(guī)劃，導(dǎo)致安全策略不得當(dāng)；22％的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)劃分不合理，核心業(yè)務(wù)區(qū)域部署位置不當(dāng)．業(yè)務(wù)應(yīng)用不合理，容易導(dǎo)致黑客入侵攻擊，造成網(wǎng)絡(luò)癱瘓，數(shù)據(jù)被竊取和破壞。34．6％的重要信息系統(tǒng)未配置專職安全管理人員．相關(guān)崗位設(shè)置不完整．安全管理人員身兼多職：48％的單位信息安全建設(shè)資金投入不足。導(dǎo)致重要信息系統(tǒng)安全加固和整改經(jīng)費(fèi)嚴(yán)重缺乏：27％的單位沒有針對(duì)安全崗位人員制訂相關(guān)的培訓(xùn)計(jì)劃．沒有組織開展信息安全教育和培訓(xùn)，安全管理、運(yùn)維技術(shù)人員能力較弱。

　　(2)重要信息系統(tǒng)未落實(shí)關(guān)鍵安全保護(hù)技術(shù)措施。重要信息系統(tǒng)未落實(shí)安全審計(jì)措施。在主機(jī)層面。有34．9％的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)記錄．34．8％的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)進(jìn)程，容易導(dǎo)致事故責(zé)任無法認(rèn)定，無法確定事故(事件)原因。影響應(yīng)急處理效率。38％的信息系統(tǒng)沒有落實(shí)對(duì)重要系統(tǒng)程序和文件進(jìn)行完整性檢測(cè)和自動(dòng)恢復(fù)的技術(shù)措施．35％的信息系統(tǒng)沒有采取監(jiān)測(cè)重要服務(wù)器入侵行為的技術(shù)措施．容易使內(nèi)部網(wǎng)絡(luò)感染病毒。對(duì)攻擊行為無法進(jìn)行有效監(jiān)測(cè)和處置。

　　(3)我國信息技術(shù)與國外存在一定差距．安全專業(yè)化服務(wù)力量薄弱。具有我國自主知識(shí)產(chǎn)權(quán)的重要信息技術(shù)產(chǎn)品和核心技術(shù)水平還有待提高。依賴國外產(chǎn)品的情況還比較普遍：國內(nèi)信息安全專業(yè)化服務(wù)力量薄弱，安全服務(wù)能力不強(qiáng)．部分重要信息系統(tǒng)的關(guān)鍵產(chǎn)品維護(hù)和系統(tǒng)運(yùn)維依賴國外廠商。給重要信息系統(tǒng)安全留下了隱患。

　　為了有效提高我國企業(yè)信息安全水平。增加等級(jí)保護(hù)的可行性及執(zhí)行力。建議：①各企業(yè)開展以信息安全等級(jí)保護(hù)為核心的安全防范工作，提高網(wǎng)絡(luò)主動(dòng)防御能力。并制訂應(yīng)急處置預(yù)案。加強(qiáng)應(yīng)急演練，提高網(wǎng)絡(luò)應(yīng)急處置能力。②加大人員和資金投入．提高保障能力。③國家層面加快關(guān)鍵技術(shù)研究和產(chǎn)品化．重視產(chǎn)品供應(yīng)鏈的安全可控。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：關(guān)于企業(yè)信息安全等級(jí)保護(hù)工作建設(shè)的探索

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839510685.html