开展信息安全等级保护工作应建立安全保护机制

邓伟玲

(南宁市公安局网络安全保卫支队，广西 南宁 530022)

一 信息网络和重要信息系统存在的主要问题

第一，利用基础信息网络和重要信息系统的违法犯罪活动迅速上升。不法分子利用一些安全漏洞，使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。

第二，基础信息网络和重要信息系统存在安全隐患。由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口，在操作系统、专用芯片和大型应用软件等方面不能自主可控，给我国的信息安全带来了深层的技术隐患。

第三，我国的信息安全保障工作基础薄弱。信息安全意识和安全防范能力差，信息系统安全建设、监管缺乏依据和标准，安全保护措施和安全制度不完善，监管措施不到位。1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发［2003］27号)明确指出“实行信息安全等级保护”，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。实行信息安全等级保护是国际上通行的做法开展信息安全等级保护工作应建立安全保护机制，安全保护机制包括：信息安全效能评估、信息安全保障工作评价机制、印记响应机制、安全响应技术体系、安全监测预警机制等。

二 建立信息网络和重要信息系统安全保护机制

本人就从事信息安全等级保护工作以来，浅谈信息系统在开展等级保护工作建立安全保护机制应从以下几个方面开展。

(一)积极组织部署等级保护工作

1.专门成立等级保护协调领导机构成立由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组，确保系统高效运行、理顺信息安全管理、规范信息化安全等级建设。

2.明确等级保护责任部门和工作岗位开会、下文明确等级保护责任部门，做到分工明确，责任具体到人。

3.贯彻落实等级保护各项工作文件或方案等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案，制定出《网络与信息安全事件应急预案》、《机房管理制度》等一系列规章制度，落实等级保护工作。

4.召开工作动员会议，组织人员培训，专门部署等级保护工作每季度召开一次工作动员会议，定期、不定期对技术人员进行培训，并开展考核。技术人员认真学习贯彻有关文件精神，把信息安全等级保护工作提升到重要位置，常抓不懈。

5.要求主要领导认真听取等级保护工作汇报并做出重要指示主要领导对等级保护工作给与批示，要求认真做好有关工作。指示责任部门做好自检、自查，精心准备，迎接公安机关专项检查。

(二)认真落实信息安全责任制

1.成立信息安全职能部门单位需成立信息系统安全职能部门，负责信息系统络建设，信息安全，日常运行管理。

2.制定信息安全责任追究制度制定相应信息安全责任追究制度，定岗到人，明确责任分工，把信息安全责任事故降低到最低。

(三)积极推进信息安全制度建设

1.加强人员安全管理制度建设各单位需建立人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度，对新进人员进行培训，加强人员安全管理，不定期开展考核。

2.严格执行机房安全管理制度各单位需制定出《机房管理制度》，加强机房进出人员管理和日常监控制度，严格实施机房安全管理条例，做好防火防盗，保证机房安全。

3.建立系统建设管理制度各单位需制订产品采购、工程实施、验收交付、服务外包等系统建设管理制度，通过公开招标，择优选用，提高系统建设的质量。

(四)大力加强信息系统运维

1.开展日常信息安全监测和预警各单位需建立日常信息安全监测和预警机制，提高处置网络与信息安全突发公共能力事件，加强网络信息安全保障工作，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网站网络与信息安全突发公共事件的危害。

2.建立安全事件报告和响应处理程序各单位需建立健全分级负责的应急管理体制，完善日常安全管理责任制。相关部门各司其职，做好日常管理和应急处置工作。设立安全事件报告和相应处理程序，根据安全事件分类和分级，进行不同的上报程序，开展不同的响应处理。

3.制定应急处置预案，定期演练并不断完善制定安全应急预案，根据预警信息，启动相应应急程序，加强值班值守工作，做好应急处理各项准备工作。定期演练预警方案，不断完善预警方案可行性、可操作性。

(五)有效推进信息系统等级测评和安全建设整改工作

1.制定等级测评工作计划认真制定等级测评工作计划表，按照工作计划表，有条不紊的开展等级测评。

2.制定安全建设整改工作计划制定安全建设整改工作计划，根据自查结果，对发现问题进行安全建设整改。编制整改方案，限期完成整改计划。

3.保证等级测评工作经费优先保证等级测评工作经费的划拨、使用。

4.落实安全建设整改工作经费保障积极落实安全建设整改工作经费，协调财政部门保障整改经费保障。

三 不断完善等级保护自查和整改

1.组织部署等级保护自查工作领导协调小组开专题会议，部署等级保护自查工作。按照信息安全等级保护工作检查表的要求，细化各项检查指标，落实各项指标。

2.等级保护体系建立后，还需要一个有效的、持续性的验证方法确保信息系统在不断发展的同时保证符合安全等级要求，并且由管理部门确认信息系统能够投入运行，这就是信息系统的认证和认可(C＆A)。这个阶段一般由国家专门的测评认证和认可部门进行。信息安全立法、评测认证体系对等级保护起着至关重要的作用。由于业务的发展和信息技术的更新，信息系统始终处在变更过程中;由于新的安全漏洞和威胁的不断出现，信息资产也会出现新的安全脆弱点，这可能会影响到整个信息系统的安全风险状态和安全等级。所以，用户需要建立一套动态的安全状况跟踪和监控机制。

四 总结

等级保护是信息安全保障基础性工作的核心，是涉及范围广泛的系统工程，需要大量的理论研究工作，尤其需要在实践工作中获得经验教训，树立最佳实践，并且逐步进行体系的发展和完善。我们需要在开放、合作的前提下，发动全社会的力量投入到等级保护建设中去，才能如期有效地实现信息安全保障的目标。