|
信息系統(tǒng)能否安全穩(wěn)定運(yùn)行直接影響到廣大參保人員的權(quán)益與社會(huì)的和諧穩(wěn)定,。隨著人力資源社會(huì)保障信息化工作的不斷推進(jìn),對(duì)信息系統(tǒng)安全防范能力和信息安全抗風(fēng)險(xiǎn)能力的要求越來(lái)越高,。為貫徹落實(shí)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》和《信息安全等級(jí)保護(hù)管理辦法》文件精神,,提高人力資源社會(huì)保障信息系統(tǒng)的信息安全整體防護(hù)能力和保護(hù)水平,應(yīng)將開展信息安全等級(jí)保護(hù)工作作為今后信息安全工作中的一個(gè)重點(diǎn)和方向,。
一,、何謂“等級(jí)保護(hù)”
信息安全等級(jí)保護(hù)是帶有很強(qiáng)技術(shù)性的國(guó)家風(fēng)險(xiǎn)控制行為。它對(duì)涉及國(guó)計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按重要程度及實(shí)際安全需求實(shí)行合理投入,,進(jìn)行分級(jí)保護(hù),、分類指導(dǎo)和分階段實(shí)施,以保障信息系統(tǒng)安全正常運(yùn)行和信息安全,,提高信息安全綜合防護(hù)能力,。
二、等級(jí)保護(hù)基本內(nèi)容
信息安全等級(jí)保護(hù)的基本內(nèi)容是根據(jù)信息系統(tǒng)在國(guó)家安全,、經(jīng)濟(jì)建設(shè),、社會(huì)生活中的重要程度,以及遭到破壞后,,對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民,、法人和其他組織的合法權(quán)益的危害程度,,將信息系統(tǒng)劃分為不同的安全保護(hù)等級(jí)并對(duì)其實(shí)施不同的保護(hù)和監(jiān)管。具體劃分為五個(gè)級(jí)別:第一級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),;第二級(jí)在信息安全監(jiān)管職能部門指導(dǎo)下依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),;第三級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),信息安全監(jiān)管職能部門對(duì)其進(jìn)行監(jiān)督,、檢查,;第四級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),信息安全監(jiān)管職能部門對(duì)其進(jìn)行強(qiáng)制監(jiān)督,、檢查,;第五級(jí)依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),國(guó)家指定專門部門,、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督,。
三、等級(jí)保護(hù)實(shí)施的考慮
1,、等級(jí)保護(hù)的實(shí)施流程
等級(jí)保護(hù)的實(shí)施主要分為五個(gè)環(huán)節(jié),,即定級(jí)、備案,、建設(shè)整改,、等級(jí)測(cè)評(píng)和監(jiān)督檢查。其中定級(jí)和備案是信息安全等級(jí)保護(hù)的首要環(huán)節(jié),,可以梳理各信息系統(tǒng)類型,、重要程度和數(shù)量等,確定信息安全保護(hù)的重點(diǎn),。安全建設(shè)整改是信息安全等級(jí)保護(hù)工作落實(shí)的關(guān)鍵,,目的是使不同等級(jí)的信息系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力,從而提高重要信息系統(tǒng)整體防護(hù)能力,。等級(jí)測(cè)評(píng)工作的主體是第三方測(cè)評(píng)機(jī)構(gòu),,目的是檢驗(yàn)和評(píng)價(jià)信息系統(tǒng)的安全建設(shè)整改工作成效,判斷安全保護(hù)能力是否達(dá)到相關(guān)要求,,監(jiān)督檢查工作的主體是信息安全職能管理部門,,通過定期的監(jiān)督、檢查和指導(dǎo),,保障重要信息安全保護(hù)能力不斷提高,。
2、信息系統(tǒng)定級(jí)備案
在等級(jí)保護(hù)工作實(shí)施過程中,,存在著一些關(guān)鍵的工作環(huán)節(jié),。首先是業(yè)務(wù)系統(tǒng)的定級(jí)工作,,如果對(duì)業(yè)務(wù)系統(tǒng)的安全級(jí)別定不準(zhǔn),會(huì)使系統(tǒng)備案,、建設(shè)整改,、等級(jí)測(cè)評(píng)工作都失去針對(duì)性。因此準(zhǔn)確定級(jí),,是開展后續(xù)整改和測(cè)評(píng)工作的基礎(chǔ),。實(shí)施定級(jí)工作應(yīng)重點(diǎn)參考《關(guān)于開展勞動(dòng)保障重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的指導(dǎo)意見》(勞社信息函[2007]19號(hào))的相關(guān)要求進(jìn)行,目前人力資源社會(huì)保障系統(tǒng)所定級(jí)別普遍是2級(jí)和3級(jí),。按照等級(jí)保護(hù)實(shí)行屬地管理的原則,對(duì)于第二級(jí)以上的信息系統(tǒng),應(yīng)到當(dāng)?shù)毓膊块T辦理備案手續(xù),,只有先定級(jí)備案,方可開展安全建設(shè)整改,。
3,、安全建設(shè)整改內(nèi)容
按照公安部關(guān)于等級(jí)保護(hù)整改工作總體部署和要求,對(duì)已備案的第二級(jí)(含)以上信息系統(tǒng)和新建系統(tǒng)應(yīng)及時(shí)開展安全建設(shè)整改工作,力爭(zhēng)2012年基本完成行業(yè)內(nèi)已定級(jí)信息系統(tǒng)的安全建設(shè)整改工作,。
開展安全建設(shè)整改工作中應(yīng)堅(jiān)持管理和技術(shù)并重的原則,,落實(shí)信息安全責(zé)任制,建立并落實(shí)各類安全管理制度,,開展人員安全管理,、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等工作,落實(shí)物理安全,、網(wǎng)絡(luò)安全,、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施,。
4,、安全建設(shè)整改依據(jù)
等級(jí)保護(hù)安全建設(shè)整改應(yīng)參考《信息安全等級(jí)保護(hù)基本要求》,在等級(jí)保護(hù)相關(guān)文件中,,國(guó)家在對(duì)現(xiàn)在的技術(shù)發(fā)展水平,、黑客攻擊能力等多方面因素進(jìn)行分析、綜合的基礎(chǔ)上,,對(duì)已經(jīng)確定安全保護(hù)等級(jí)的系統(tǒng)制定了1-5級(jí)系統(tǒng)相應(yīng)的保護(hù)要求,。這個(gè)要求就是等級(jí)保護(hù)的基本要求。比如人力資源和社會(huì)保障部綜合網(wǎng)和業(yè)務(wù)專網(wǎng)均定位3級(jí)的系統(tǒng),,這樣的系統(tǒng)在技術(shù)和管理兩個(gè)方面十個(gè)部分必須明確系統(tǒng)最底線達(dá)到等級(jí)保護(hù)3級(jí),。
那么 ,是不是滿足了基本要求就等于這個(gè)系統(tǒng)萬(wàn)無(wú)一失了,?不是這樣的,。滿足了基本要求只是達(dá)到了基本安全狀態(tài),是一種相對(duì)安全的狀態(tài),。對(duì)于系統(tǒng)本身來(lái)說(shuō),,根據(jù)它自身的特點(diǎn),,等級(jí)保護(hù)就是要把國(guó)家管理要求和系統(tǒng)自身安全保護(hù)需求結(jié)合起來(lái)。系統(tǒng)在達(dá)到基本安全狀態(tài)情況下,,還要從系統(tǒng)特殊的安全需求出發(fā),,不斷挖掘和完善,,只可以高過它,,不能低于它。
目前,,人力資源和社會(huì)保障部部本級(jí)已結(jié)合金保工程建設(shè),,開展了信息安全等級(jí)保護(hù)安全整改工作,基本建立起有針對(duì)性的基礎(chǔ)安全防護(hù)體系,。各地應(yīng)在完成等級(jí)保護(hù)定級(jí)工作的基礎(chǔ)上,,進(jìn)一步開展等級(jí)保護(hù)建設(shè)整改和測(cè)評(píng)工作,落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,。
作者:谷軼男
單位:人力資源和社會(huì)保障部 信息中心
|
