北京市公共卫生信息中心等级保护工作的研究与总结
2024年信息安全等级保护工作总结范文(3篇)
2024年信息安全等级保护工作总结范文一、前言____年是信息化建设快速发展的一年,随着技术的不断进步和应用的广泛推广,信息安全无疑成为了当今社会发展中的重要议题。
作为信息安全保护的基本要求,信息安全等级保护工作在这一年得到了广泛的重视和推动。
本文将围绕____年信息安全等级保护工作的总结展开,以期对今后的信息安全保护工作提供有益的借鉴和参考。
二、工作回顾____年,信息安全等级保护工作在政府、企事业单位以及个人用户中得到了普遍的关注和认可。
在这一年的工作中,我们始终坚持信息安全的核心价值观,依法合规进行了一系列的信息安全保护工作。
具体来说,主要包括以下几个方面:1. 完善制度建设在____年信息安全等级保护工作过程中,我们注重制度建设,逐步完善了信息安全管理制度和相关文件。
我们建立了一套完备的信息安全管理制度体系,明确了责任分工、工作流程和工作要求。
通过制度建设的不断完善,我们对信息安全的管理和保护能力得到了显著提升。
2. 加强网络安全防护____年,网络安全形势依然严峻,网络攻击事件频繁发生。
为了应对这种形势,我们采取了一系列有效的网络安全防护措施。
首先,我们加强了对网络设备和系统的安全管理,及时更新了安全补丁,加强了账号密码管理和网络权限控制。
其次,我们加大了对网络攻击的监测和防护力度,建立了网络安全事件应急响应机制,及时处置了各类安全事件,降低了安全风险。
3. 提升员工信息安全素养信息安全等级保护工作不能仅仅依靠技术手段,更需要全员参与、共同推动。
因此,我们在____年进一步加大了对员工信息安全意识的培训和教育力度。
通过开展信息安全专项培训、发放安全宣传资料等方式,提高了员工的信息安全素养和技能水平,使员工能够主动防范信息安全风险。
4. 加强与合作单位的合作信息安全等级保护工作离不开与合作单位的紧密合作。
____年,我们进一步加强了与合作单位的合作,形成了合力。
在信息安全等级评估和认证方面,我们积极与相关机构合作,共同推动了信息安全等级保护工作的开展。
信息安全等级保护工作总结
南京林业大学信息安全等级保护工作检查总结材料一、部署和组织实施情况为加强我校信息系统等级保护工作的组织领导,扎实推进信息系统等级保护工作开展,预防和杜绝信息系统安全事件发生,确保信息系统安全,我校成立了网络与信息安全工作领导小组,并组织相关专业技术力量,全面负责信息系统安全管理工作。
2011年6月份信息(网络)中心召开多次会议,学习、讨论《信息系统安全等级保护定级指南》等相关文件,组织开展我校信息安全等级保护工作,由各个信息系统的使用部门专人完成相应的信息系统定级工作。
二、定级备案情况我校各个信息系统的定级报告及备案表汇总到信息(网络)中心,由信息(网络)中心统一使用专用备案工具生成备案电子数据,共8个信息系统,其中二级信息系统四个,其余的为一级系统,即将上报完成相关备案工作。
三、测评情况我校信息安全等级保护测评工作已经开展,计划将在11月份请相关的测评机构来我校完成信息安全等级保护测评,并上报公安机关备案。
四、安全建设整改情况我校制定了《南京林业大学计算机安全管理办法》、《南京林业大学网络安全使用制度》、《南京林业大学网络与信息安全应急处置工作预案》等管理制度。
设置信息安全管理员岗位,负责我校信息安全管理工作。
在校园网络边界部署了千兆防火墙,并设置了上网行为管理平台,保存日志审计等。
我校每年都有相应的专项建设经费,用于定级保护安全建设。
根据即将开展的测评情况,我们将进一步完成信息安全等级保护相关的建设整改工作。
南京林业大学2011-11-1篇二:信息安全等级保护工作汇报xxx 信息安全等级保护工作汇报一、医院简介xxx拥有66年发展历史,坐落于黑龙江北部中心城市北安市的城市中心,地处政治、经济、文化中心地带,交通便利,医院学科优势突出,专业特色明显,在市内外享有较高的声誉。
医院总占地面积22599平方米,业务用房建筑面积25027平方米。
医院在职职工664人,专业技术人员 557人,其中高级技术职称172 人,中级技术职称109人,床位400余张。
信息安全等级保护工作检查总结材料
信息安全等级保护工作检查总结材料作为当下信息化社会的关键环节,信息安全保护工作显得尤为重要。
而信息安全等级保护则是保护政府、军队、科研单位、金融、电信、能源等关键领域信息系统安全的一项重要工作。
近日,本单位进行了信息安全等级保护工作检查,现将检查总结材料如下:一、检查背景及目的信息安全等级保护工作检查是为了进一步加强本单位信息系统的安全保护工作,提升信息安全等级保护工作水平,保障信息系统安全并提高信息资产价值的合理利用。
检查主要针对本单位信息安全等级保护工作进行全面规范性检查,着重检查本单位信息安全等级保护工作的有效性、规范性、针对性和全面性。
二、检查内容本次检查主要围绕以下五项内容展开:1. 安全管理制度是否健全,是否有合适的信息安全管理责任人,是否有有效的信息安全等级保护方案和应急预案。
2. 信息系统和网络的防护能力是否符合本单位实际需求,包括网络拓扑、网络设备、智能流控、入侵防御等方面。
3. 组织安全部分是否运作完善,是否对系统和网络进行事件监控、稽核等,是否有审计、日志记录等严密的安全监管机制。
4. 对本单位业务中涉及到的关键信息数据、系统等是否进行分类和归档,数据加密、备份、灾备是否实现等。
5. 对本单位信息安全等级保护工作的效果进行评估,是否对提升本单位全体员工的信息安全意识做到有效引导。
三、检查结果通过本次信息安全等级保护工作的检查,我们发现了一些存在的问题。
首先,在安全管理制度方面,本单位制定的信息安全等级保护方案和应急预案有些过于简略,需要进一步合理完善。
其次,在防护能力方面,本单位的网络拓扑结构较为复杂,需要注重网络设备、智能流控等方面的进一步加固和完善。
第三,在组织安全部分方面,本单位实施情况值得肯定,但在审计、日志记录等方面仍需进一步完善。
第四,在关键信息数据、系统方面,本单位的数据归档和备份工作亟待解决。
最后,在信息安全意识方面,本单位已取得不错的成果,但仍需继续加大力度。
等保工作总结
等保工作总结等保工作总结本次等保工作始于2021年1月,经过近三个月的紧张工作和不懈努力,取得了一定的成果。
在此,对本次等保工作所取得的成绩进行总结。
一、工作目标及完成情况1. 等级保护目标:按照国家和行业规范要求,评定公司的网络安全等级保护等级,并根据等级保护目标进行相应的工作。
本次工作目标为评定公司的网络安全等级为3级,确保网络安全等级目标的达成。
完成情况:通过对公司网络系统的全面检测和评估,我们确定了公司网络安全等级为3级,并采取了一系列措施确保网络安全等级目标的达成。
2. 安全保障措施:根据等保工作目标,制定相应的安全保障措施,包括安全设备的配置、安全策略的制定、安全技术的应用等。
完成情况:我们针对公司的网络系统,配置了防火墙、入侵检测系统和网关过滤等安全设备,制定了适当的安全策略,实施了网站漏洞扫描和系统加固,并对系统日志进行了监控和分析,确保公司网络安全。
二、存在问题及解决措施1. 网络漏洞问题:在对公司网络系统进行检测时,发现了一些网络漏洞存在的问题,例如未及时更新补丁、弱口令等。
解决措施:我们通过及时更新系统补丁,加强密码管理和提升员工安全意识等措施,解决了网络漏洞问题,并加强了安全防护。
2. 员工安全意识问题:部分员工对网络安全意识不够,容易受到钓鱼邮件和网络攻击的威胁。
解决措施:我们组织了网络安全培训,提升员工的网络安全意识,加强对钓鱼邮件和网络攻击的识别和防范能力,通过定期的风险告警和演练,增强员工的应急响应能力。
三、工作成果及启示1. 工作成果:经过我们的努力,公司网络安全等级评定为3级,达到了预期目标。
同时,我们对公司网络系统进行了全面的检测和评估,并采取了一系列的安全保障措施,确保了公司网络的安全。
2. 启示:通过本次等保工作,我们认识到网络安全是一项持续进行的工作,需要时刻关注和更新防护措施。
同时,员工的安全意识也是网络安全的重要环节,需要加强培训和教育,提高员工对网络安全的重视程度。
卫生行业信息安全等级保护工作的指导意见
卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知中华人民共和国卫生部2011-12-09 13:33:38卫办发〔2011〕85号各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)要求,我部结合卫生行业实际,研究制定了《卫生行业信息安全等级保护工作的指导意见》。
现印发给你们,请遵照执行。
二〇一一年十一月二十九日卫生行业信息安全等级保护工作的指导意见卫生信息安全工作是我国卫生事业发展的重要组成部分。
做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,制定本指导意见。
一、工作目标依据国家信息安全等级保护制度,遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力,为卫生信息化健康发展提供可靠保障,全面维护公共利益、社会秩序和国家安全。
二、工作原则(一)遵循标准,重点保护。
遵循国家信息安全等级保护相关标准规范,结合卫生行业信息系统特点,优先保护重要卫生信息系统,优先满足重点信息安全需求。
(二)行业指导,属地管理。
卫生行业信息安全等级保护工作实行行业指导、属地管理。
地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求,做好本地区卫生信息系统安全等级保护的指导和管理工作。
卫生行业各单位要按照“谁主管、谁负责,谁运营、谁负责”的要求,落实信息安全责任。
(三)同步建设,动态完善。
等保情况汇报
等保情况汇报根据公司等保工作的要求,我对公司目前的等保情况进行了汇报。
在过去的一段时间里,我们的等保工作取得了一些进展,但也存在一些问题和挑战。
以下是我对公司等保情况的汇报:首先,我们对公司的信息系统进行了全面的安全评估和风险分析。
通过对系统的漏洞扫描和安全测试,我们发现了一些潜在的安全隐患,并及时采取了相应的措施进行修复和加固。
同时,我们也对员工的安全意识进行了培训和教育,提高了员工对信息安全的重视程度。
其次,我们对公司的重要数据进行了分类和加密,建立了严格的权限管理机制。
通过对数据的加密和备份,有效地保护了公司的核心数据不受损失和泄露的风险。
同时,我们也对外部网络进行了加固和防护,防范了网络攻击和恶意程序的侵入。
另外,我们还建立了健全的应急响应机制和安全事件处理流程。
一旦发生安全事件,我们能够及时响应并采取有效的措施进行处理,最大限度地减少了安全事件对公司的损失和影响。
然而,我们也要清醒地认识到,公司的等保工作还存在一些问题和挑战。
首先,由于信息系统的日益复杂和多样化,我们面临着越来越多的安全威胁和风险。
其次,员工的安全意识和行为习惯还需要进一步加强和规范,以防范内部安全风险。
此外,我们还需要加强与外部安全机构和专家的合作,及时获取最新的安全威胁情报,提高我们的安全防护能力。
综上所述,公司的等保工作取得了一些成绩,但也面临着一些挑战。
我们将继续加大对等保工作的投入和力度,不断改进和完善我们的安全防护体系,确保公司信息系统的安全稳定运行。
同时,我们也期待在未来的工作中,得到更多的支持和帮助,共同推动公司的等保工作取得更大的成就。
2024年信息安全等级保护工作总结范文(二篇)
2024年信息安全等级保护工作总结范文一、总体概述2024年是我国信息安全等级保护工作的关键一年。
在国内外信息安全形势更加复杂多变的背景下,我国加大了信息安全等级保护工作的力度,取得了一系列积极成效。
本文通过对2024年信息安全等级保护工作的总结,对工作进行全面梳理和评估。
二、工作进展及成效2024年,我国信息安全等级保护工作取得了显著进展和重要成效。
具体表现在以下几个方面:1. 政策法规制定和修订工作顺利推进。
各级政府和相关部门针对信息安全等级保护制定和修订了一系列法律法规和政策文件,为信息安全等级保护工作提供了法律依据和政策支持。
2. 信息安全等级保护评估体系不断完善。
在国家相关机构的指导和推动下,信息安全等级保护评估体系得到了进一步优化和升级,评估方法和标准更加科学合理,评估结果更加准确可靠。
3. 信息安全等级保护能力得到提升。
各级政府和相关企事业单位加大了对信息安全等级保护工作的重视和投入,提升了信息安全保护的技术水平和管理能力。
通过对信息系统的风险评估和防护措施的落实,有效提升了信息系统的安全性。
4. 信息安全等级保护宣传力度加大。
政府和媒体积极宣传信息安全等级保护的重要性,并且开展了一系列宣传活动。
通过宣传教育,增强了广大公民的信息安全意识和保护意识,取得了良好的社会效果。
三、存在问题及不足在2024年信息安全等级保护工作中,也存在一些问题和不足,需要引起重视和改进:1. 法律法规的落地和实施力度不够。
尽管我国已经有一系列信息安全等级保护的法律法规,但在实际执行过程中,还存在落地不到位、执行不到位的情况。
某些地方和单位在信息安全等级保护方面存在一定的违法违规行为。
2. 信息安全技术和产品创新不足。
随着信息技术的快速发展,信息安全的威胁也日益增加。
然而,目前我国在信息安全技术和产品创新方面还存在一定的滞后,不能满足我国信息安全等级保护的需求。
3. 信息安全人才短缺问题突出。
信息安全等级保护需要专业的技术人员和管理人员来保障。
信息安全等级保护工作总结(4篇)
信息安全等级保护工作总结信息安全是当前社会发展的重要组成部分,信息安全等级保护工作是保障国家信息安全的重要手段。
在信息时代,各种安全威胁和风险不断增加,要保护信息安全,必须根据国家信息系统的安全需求,实施信息安全等级保护工作。
信息安全等级保护工作是指以国家信息系统安全等级保护标准为指导,根据信息系统的敏感程度和安全风险,建立信息系统安全等级保护体系,通过安全保护技术和管理措施来保障信息系统的安全。
信息安全等级保护工作包含以下几个方面:1. 等级划分:根据信息系统的重要程度和安全需求,将信息系统划分为不同的等级。
等级划分是信息安全等级保护工作的基础,不同等级的信息系统有不同的保护要求和安全措施。
2. 风险评估:对信息系统进行风险评估,确定系统存在的安全风险和威胁。
风险评估是信息安全等级保护工作的重要环节,只有了解系统的安全风险,才能有针对性地采取安全保护措施。
3. 安全控制:根据信息系统的安全需求,实施相应的安全控制措施。
安全控制措施包括技术控制和管理控制两大方面,既要采用先进的安全技术手段,又要建立健全的安全管理制度。
4. 安全审核:对信息系统的安全性能进行审核和评估。
安全审核是信息安全等级保护工作的周期性任务,通过对系统安全性能的审核,发现安全问题,及时进行改进和完善。
信息安全等级保护工作总结(二)1. 明确安全责任:建立明确的信息安全责任体系,明确各级管理人员和各岗位人员的信息安全责任,形成安全责任到人的工作机制。
2. 加强安全培训:加强信息安全培训和教育,提高员工的信息安全意识和技能水平,增强员工对信息安全的重视和保护意识。
3. 健全安全管理制度:建立健全的信息安全管理制度,包括安全策略和规程、安全管理流程、应急预案等,确保安全管理的规范和有效。
4. 定期演练和测试:定期组织信息安全演练和测试,检验系统的安全性能,发现安全隐患和问题,并及时进行修复和改进。
5. 安全监测和警报:建立安全监测和警报系统,实时监测信息系统的安全状态,预警和防范安全威胁和风险,及时采取安全措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
252008.02北京市公共卫生信息中心等级保护工作的研究与总结■北京市公共卫生信息中心王晖编者按:本文从信息安全管理体系和信息系统安全等级保护制度入手,介绍了两个体系的基本概念、流程和方法、差异和共性,并从系统定级、安全实施和安全运维三个角度,总结了实施后的检验,简要描述了二者的关系,用以抛砖引玉,引起信息安全从业人员对两者整合方面的研究。
随着信息技术的发展与医疗卫生事业的深化改革,卫生行业信息化的进程大大加快,行业的信息化建设取得了很大进展,极大的提高了工作效率和服务质量。
与此同时,我们也越来越清楚地认识到,信息作为至关重要的一种资产,不可避免得暴露在日益增多、范围越来越广的威胁和脆弱性当中。
如何有效的保障信息的安全可用,已经成为了目前亟待解决的一项关键问题,信息安全也就作为一件大事和一项战略考虑提上了议事日程。
信息安全目的在于防止信息受到各种威胁,确保业务连续性,使业务风险最小化,投资回报和商业机遇最大化。
它是通过实施一组合适的控制措施而达到的,包括策略、过程、程序、组织结构以及软件和硬件功能。
信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的,而且会随着时间的变迁、科学技术的进步,变得越来越重要。
因而建立完善的信息安全管理体系,形成体系化、科学化的保护,成为了时代的要求。
信息安全管理体系(ISMS )就是在这样的大环境下诞生了,它对建立组织的安全标准和有效安全管理实践提供了可靠高效的实用指南。
对抗能力和恢复能力共同形成了信息系统的安全保护能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同威胁的对抗能力和恢复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。
这就需要对支撑业务的信息系统进行综合分析、划分等级、根据不同系统的不同要求和重要性、敏感性等实施信息系统安全等级保护。
信息安全等级保护充分体现了具体问题具体分析的方法论,避免了胡子眉毛一把抓所带来的效率低下、没有针对性和重点不突出等弊端。
更重要的是,信息安全等级保护对规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设起着非常重要的作用。
为此,2007年7月,在北京市信息办的领导和组织下,北京市卫生局进行了信息安全管理标准应用试点工作,本次工作以国际标准ISO/IEC27001和27002为核心,结合国家等级保护要求和国家风险评估等标准,为北京市公共卫生信息中心建立了一套信息安全管理体系(ISMS )。
ISMS 的概述ISMS (Information Security Management System )是信息安全管理体系。
现在各国对信息安全管理体系的建立中最具权威的国际标准是:ISO/IEC 27001。
ISO/IEC 27001标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型。
采用ISMS 应当是一个组织的一项战略性决策,一个组织的ISMS 的设计和实施受其业务需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。
ISO/IEC 27001标准采用了“规划(Plan )-实施(Do )-检查(Check )-处置(A ct )”(PDCA )模型,该模型可应用于所有的ISMS 过程。
图1说明了ISMS 如何把相关方的信息安全要求和期望作为输入,并通过必要的行动和过程,产生满足这些要求和期望的信息安全结果。
图应用于ISMS 过程的D 模型1P CA262008.02以往在安全建设方面,一直存在一个误区,总是将最主要的精力放在技术这个层面上。
历史总是惊人的相似,但随着信息安全建设经验以及过去教训的积累,我们愈来愈清楚的认识到,“三分靠技术,七分靠管理”这句话在信息安全领域的重要性和真理性。
安全保障的核心实际上不在技术,ISMS信息安全管理体系建立过程中突出了管理在保证信息安全建设中的重要性。
ISMS作为信息安全管理的一个方法论,充分体现了技术与管理互为支持、相辅相成的重要理念,为我们更好的保障信息安全提供了保证。
等级保护概述信息系统安全等级保护的基本内容是对信息和信息系统分等级进行保护,对信息安全事件分等级进行响应和处置,对信息安全专用产品分等级进行管理。
核心是对信息及信息系统的分等级保护。
保护的目的,是使得信息及信息系统不被破坏,即保护信息的机密性、完整性和可用性。
合理的保护方法,应该建立在风险评估的基础上。
对信息系统实施等级保护的基本流程见图2。
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
两者的关系研究信息安全管理体系与信息系统安全等级保护都是从管理和技术层面着手,在强调技术的底层支柱作用时更加关注和重视管理的总体宏观指导作用。
两者都是建立和维护信息安全的标准,都是从整体上宏观把握信息安全的全过程。
当然,二者在信息安全的实现方式上有着显著的区别。
信息安全管理体系关注的是组织是否形成了一个PDCA的管理体系,信息系统安全等级保护则针对5个不同等级提出了不同强度的安全要求。
两个体系都是标准,目的都是为了保证信息安全,但其目的、实施内容和实现的手段都有所不同并各有各的侧重。
信息安全管理体系安全领域划分11个大的领域,对于每一个领域给与建立安全机制的指导性意见和建议,更侧重于管理,很全面,但对于具体的实施和控制措施则要求的没那么细致,它只看做了还是没做,至于具体怎么做,做到多细,可能还要在落地的时候根据具体的要求进行设计。
而信息系统安全等级保护是从信息系统的角度出发,从信息系统的整体上把握管理和技术对信息安全的重要性,针对各个不同的系统在进行风险评估的基础上,有重点有区别的进行安全的维护和保证。
信息系统安全等级保护制度在建设中要涉及一系列技术和管理问题。
对于不同系统的各个安全域,用什么样强度的安全保护措施、措施的有效性是否能够达成、如何调整措施以满足系统的安全需求等,都可通过一些手段和方法来进行判断与分析。
ISMS作为行之有效的管理体系,可与信息系统安全等级保护互为补充、相辅相成,主要表现在系统定级、安全实施和安全运维等三个阶段:1.系统定级:可以将信息安全管理体系中风险评估阶段的结果作为确定信息系统安全保护级别的一个重要参考依据。
由于信息系统具有自身的行业和业务特点,且所受到的安全威胁均有所不同,因此,可以依据ISMS的风险评估结果,综合分析业务系统的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析,为信息系统应采取什么强度的安全等级提供参考。
同时,在电子政务行业的ISMS建设中,也可在风险评估阶段借助等级保护的定级方法,为符合国家相关规定提供依据。
在信息系统安全等级保护中,信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,图2信息系统安全等级保护实施的基本流程27 2008.02因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
同样,ISO/IEC27001明确要求,“一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS”。
即在建立ISMS 的阶段,组织应对ISMS范围和边界内的信息资产进行全面的信息安全风险评估。
这包括识别风险、分析和评价风险、识别和评价风险处理的可选措施和为处理风险选择控制目标和控制措施等。
在ISMS的风险识别阶段,需要识别ISMS范围内的资产及其责任人,等级保护中“侵害的客体”即是风险评估中的“资产”;在ISMS的威胁识别和分析阶段,需要识别丧失保密性、完整性和可用性可能对资产造成的影响,而等级保护中“对客体的侵害程度”则可以看作是风险的潜在影响。
这样,ISMS风险评估的识别和分析措施都可以作为信息系统安全等级保护中确定受侵害客体和对客体的侵害程度的重要依据。
2.安全实施:安全实施是根据信息安全等级保护国家标准的要求,从管理与技术两个方面选择不同强度的安全措施,来确保建设的安全措施满足相应的等级要求。
信息安全管理体系在安全实施阶段就可以直接发挥作用,就是充分运用ISMS中的39项安全控制目标和133项控制措施,从安全管理的角度增强相应等级信息系统的安全。
在等级保护中,信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五级。
信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。
其中,等级保护的基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出。
这与ISMS中的信息安全策略、信息安全组织、人力资源安全、信息系统获取、开发与维护等安全域对应。
这样,作为国际上领先的最佳实践集合,ISMS中的控制目标和控制措施就可以有选择的运用到信息系统安全等级保护中,采取由点到面的各种安全措施,在系统整体上保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证信息系统整体的安全保护能力。
3.安全运维:安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。
安全运维包括两方面:一是维护现有安全措施等级的有效性。
可依据国家有关等级划分准则对信息系统所采取的安全措施是否满足要求进行检验,以保证所采取的安全措施的强度持续有效;二是根据客观情况的变化以及系统内部建设的实际需要,等级要进行定期调整,以防止过度保护或保护不足。
在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,需要对系统的安全等级进行重新评定。