1、當(dāng)前企業(yè)信息安全等級(jí)保護(hù)工作現(xiàn)狀

　　面對(duì)信息安全的威脅，國(guó)家于2003年發(fā)布了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》，明確提出在非密信息安全領(lǐng)域，信息安全保障工作要“實(shí)行信息安全等級(jí)保護(hù)”，明確要求建立信息安全保障體系。隨后國(guó)家于2004年和2007年相繼頒布了《關(guān)于信息安全等級(jí)保護(hù)的實(shí)施意見(jiàn)》及《信息安全等級(jí)保護(hù)管理辦法》，信息安全等級(jí)保護(hù)制度全面實(shí)行。

　　2、企業(yè)信息安全等級(jí)保護(hù)的實(shí)施方法

　　2.1 依據(jù)的標(biāo)準(zhǔn)

　　企業(yè)信息安全等級(jí)保護(hù)制度應(yīng)當(dāng)依據(jù)國(guó)家頒布的以下標(biāo)準(zhǔn)執(zhí)行。

　　2.1.1 基礎(chǔ)標(biāo)準(zhǔn)

　　《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

　　2.1.2 安全要求

　　《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

　　2.1.3 系統(tǒng)等級(jí)

　　《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》

　　2.1.4 方法指導(dǎo)

　　《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》

　　2.1.5 現(xiàn)狀分析

　　《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》

　　2.2 企業(yè)信息安全等級(jí)保護(hù)工作的步驟

　　企業(yè)信息安全等級(jí)保護(hù)工作一般分為三個(gè)階段，及準(zhǔn)備階段、實(shí)施階段和鞏固階段。

　　2.2.1 信息安全等級(jí)保護(hù)工作準(zhǔn)備階段

　　企業(yè)信息安全等級(jí)保護(hù)工作準(zhǔn)備階段工作主要包括以下幾個(gè)方面：

　　(1)確定總體目標(biāo)。確定總體目標(biāo)，其主要目的是為企業(yè)等保工作確立一個(gè)明確的行動(dòng)指南，并成為企業(yè)等保工作決策、評(píng)價(jià)、協(xié)調(diào)的基本依據(jù)�？傮w目標(biāo)的確定為等保工作前進(jìn)指明了方向，并明確了發(fā)展路線。確定總體目標(biāo)也是等保工作計(jì)劃和其他各項(xiàng)工作安排的基礎(chǔ)。

　　(2)明確責(zé)任部門(mén)。為等保工作明確首要責(zé)任部門(mén)，以防止出現(xiàn)推諉扯皮的現(xiàn)象。一般等保工作責(zé)任部門(mén)為企業(yè)信息化工作主管部門(mén)。

　　(3)業(yè)務(wù)培訓(xùn)。作為企業(yè)來(lái)說(shuō)，信息安全等級(jí)保護(hù)是一個(gè)相對(duì)陌生的概念，但信息安全等級(jí)保護(hù)工作又是一個(gè)相對(duì)具有專(zhuān)業(yè)性的工作，所以在工作開(kāi)展之前對(duì)相關(guān)人員進(jìn)行培訓(xùn)是非常必要的。

　　(4)摸底調(diào)查。在全面開(kāi)展等級(jí)保護(hù)工作前，企業(yè)一定要對(duì)本單位所屬的信息系統(tǒng)進(jìn)行全面的摸底調(diào)查，全面掌握信息系統(tǒng)(包括信息網(wǎng)路)的數(shù)量、分布、業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步等保工作的全面展開(kāi)、確定等級(jí)保護(hù)定級(jí)對(duì)象奠定基礎(chǔ)。

　　2.2.2 信息安全等級(jí)保護(hù)工作實(shí)施階段

　　信息安全等級(jí)保護(hù)工作實(shí)施階段的內(nèi)容主要包括三個(gè)方面，系統(tǒng)定級(jí)備案、系統(tǒng)測(cè)評(píng)、系統(tǒng)安全建設(shè)整改。

　　(1)系統(tǒng)定級(jí)備案。企業(yè)在系統(tǒng)定級(jí)備案前首先要明確定級(jí)的對(duì)象，一般定級(jí)對(duì)象分為三個(gè)方面：起支撐、傳輸作用的信息網(wǎng)絡(luò)；用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制、辦公等目的的各類(lèi)業(yè)務(wù)系統(tǒng)；企業(yè)網(wǎng)站。

　　在確定系統(tǒng)定級(jí)對(duì)象后，企業(yè)就需要根據(jù)信息系統(tǒng)重要性，按照相關(guān)技術(shù)標(biāo)準(zhǔn)文件對(duì)系統(tǒng)進(jìn)行定級(jí)。

　　按照國(guó)家標(biāo)準(zhǔn)系統(tǒng)等級(jí)分為五級(jí)，但第五級(jí)系統(tǒng)在現(xiàn)實(shí)中基本不會(huì)出現(xiàn)，所以在一般情況下，信息系統(tǒng)一般按照前四個(gè)級(jí)別進(jìn)行劃分。第一級(jí)系統(tǒng)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。該級(jí)系統(tǒng)適用于小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)，縣級(jí)單位中一般的信息系統(tǒng)。該級(jí)系統(tǒng)無(wú)需備案，完全由企業(yè)自己來(lái)決定采用何種方式進(jìn)行保護(hù)。第二級(jí)系統(tǒng)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。該級(jí)系統(tǒng)適用于縣級(jí)某些單位中重要的信息系統(tǒng)，地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。該級(jí)系統(tǒng)需要到當(dāng)?shù)毓�安機(jī)關(guān)進(jìn)行備案。

　　第三級(jí)系統(tǒng)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。該級(jí)系統(tǒng)一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)。

　　第四級(jí)系統(tǒng)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。該系統(tǒng)一般適用于國(guó)家重要領(lǐng)域、部門(mén)影響涉及國(guó)計(jì)民生、國(guó)家利益、國(guó)家安全，影響社會(huì)穩(wěn)定的核心系統(tǒng)。

　　參照以上標(biāo)準(zhǔn)企業(yè)要自行確定信息系統(tǒng)的安全等級(jí)，并組織相關(guān)領(lǐng)域的專(zhuān)家對(duì)定級(jí)結(jié)果進(jìn)行評(píng)審。在專(zhuān)家出具相關(guān)評(píng)審意見(jiàn)后，對(duì)二級(jí)及以上的系統(tǒng)，企業(yè)需要到當(dāng)?shù)厥屑?jí)以上公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門(mén)辦理備案手續(xù)，以完成系統(tǒng)定級(jí)工作。

　　(2)系統(tǒng)測(cè)評(píng)。按照相關(guān)規(guī)定，三級(jí)及以上系統(tǒng)國(guó)家強(qiáng)制要求進(jìn)行等級(jí)測(cè)評(píng)。等級(jí)測(cè)評(píng)的主要目的是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；衡量出信息系統(tǒng)安全保護(hù)措施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)的等級(jí)的安全保護(hù)能力。

　　進(jìn)行等級(jí)測(cè)評(píng)，企業(yè)需要聘請(qǐng)《全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》中具有專(zhuān)業(yè)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行。對(duì)于測(cè)評(píng)結(jié)果，企業(yè)需要將測(cè)評(píng)報(bào)告向受理定級(jí)備案的公安機(jī)關(guān)備案。

　　(3)系統(tǒng)安全建設(shè)整改。參照測(cè)評(píng)結(jié)果，企業(yè)需要對(duì)測(cè)評(píng)中所體現(xiàn)的安全漏洞進(jìn)行安全建設(shè)整改，以落實(shí)相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用數(shù)據(jù)安全等安全保護(hù)措施。

　　經(jīng)過(guò)安全整改，二級(jí)信息系統(tǒng)應(yīng)具備防御小規(guī)模、較弱強(qiáng)度惡意攻擊，抵抗一般的自然災(zāi)害，防范一般的計(jì)算機(jī)病毒和惡意代碼的能力；具有檢測(cè)常見(jiàn)的攻擊行為，并對(duì)安全事件進(jìn)行記錄的能力；具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。

　　三級(jí)信息系統(tǒng)整改后應(yīng)在統(tǒng)一的安全保護(hù)策略下應(yīng)具備抵抗大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)行集中管控的能力。

　　經(jīng)過(guò)安全整改工作，四級(jí)信息系統(tǒng)具備的安全防范能力在三級(jí)的基礎(chǔ)上更為提升，統(tǒng)一的安全保護(hù)策略下可抵御敵對(duì)勢(shì)力有組織的大規(guī)模攻擊，抵抗嚴(yán)重的自然災(zāi)害。

　　2.2.3 信息安全等級(jí)保護(hù)工作鞏固階段

　　企業(yè)信息系統(tǒng)經(jīng)過(guò)定級(jí)、測(cè)評(píng)、整改后進(jìn)入日常運(yùn)行時(shí)期。在這一時(shí)期，企業(yè)的信息系統(tǒng)在技術(shù)上已經(jīng)完全具備了系統(tǒng)安全等級(jí)的要求，也建立相應(yīng)的安全管理制度體系。如何應(yīng)用各種安全防范技術(shù)，如何持久的嚴(yán)格的按照安全管理體系要求執(zhí)行日常工作成為鞏固階段的主要任務(wù)。

　　在本階段，企業(yè)一定要建立完善的信息系統(tǒng)安全狀況日常監(jiān)測(cè)制度，嚴(yán)格執(zhí)行信息系統(tǒng)的日常運(yùn)維和安全管理制度，及時(shí)消除安全隱患，確保信息安全和系統(tǒng)正常運(yùn)行。除此之外，企業(yè)還要定期對(duì)信息系統(tǒng)安全狀態(tài)進(jìn)行自查，并積極配合公安機(jī)關(guān)的監(jiān)督檢查工作。

　　3、結(jié)束語(yǔ)

　　本文對(duì)企業(yè)信息安全等級(jí)保護(hù)的重要作用，實(shí)施的全過(guò)程以及實(shí)施過(guò)程中的技術(shù)要求進(jìn)行了較為詳細(xì)的論述。信息安全等級(jí)保護(hù)工作的主要內(nèi)容是建立一套與企業(yè)向適應(yīng)的技術(shù)管理方案。在現(xiàn)今條件下，等級(jí)保護(hù)工作為企業(yè)信息安全提供了最為行之有效的工作方案。但等保的目的不是建立這一套方案，其重點(diǎn)在于今后要嚴(yán)格執(zhí)行這一方案。只有這樣才能最大限度的發(fā)揮信息安全等級(jí)保護(hù)工作的效果。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：企業(yè)信息安全等級(jí)保護(hù)工作

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839510696.html