7*24小時服務熱線:
010-51061651
從今年開始,明顯感覺到安全的熱度在急遽上升。上半年先是公安部提出信息系統等級保護的要求,然后,保密局提出信息安全等級保護,第七屆中國信息安全大會召開,風險評估指南正式成為國標,山雨欲來風滿樓。不同的國家部門和安全機構紛紛推出各自的標準和管理辦法,難免使得我們信息安全工作者產生迷惑,到底這些標準、制度和管理辦法之間有沒有矛盾,如何配合,內在聯系何在?我們如何理解不同部門推出的不同的安全方面的標準和管理辦法,借著安全的東風,更好的進行配合和應對,做好安全(市場)的工作呢?在這里,我想簡單談談我的一些粗淺的理解和看法,謬誤的地方,請大家不吝賜教。等級保護是計算機信息系統信息安全保障的重要制度和任務。1984年開始收集和參考國外的相關資料和制度。1994年《中華人民共和國計算機信息系統安全保護條例》中正式提出了實施等級保護的要求。2003年中辦發27號文件重申了這一重要任務。
1)系統分等級保護;
2)產品分等級管理;
3)事件分等級處置。
信息系統安全認證認可是發達國家普遍采取的信息系統安全的管理模式。由于信息系統不是產品,不具有流通性,因此,對信息系統安全的認證是指運用技術和管理檢查手段來測試、分析、評價信息安全保障是否到位。而信息系統安全認可則是單位的管理層或上級主管機關依據安全認證的結果,判斷信息系統中存在的殘余風險是否可以接受,從而決定是否允許信息系統投入建設或運行的過程。認證認可與等級保護不沖突。風險管理是安全管理的重要組成部分。它包括:風險評估、風險控制(實施成本效益分析,選擇安全防護措施來控制風險)以及根據風險評估結果對信息系統的運行中的相關事項(例如是否批準系統投入運行、是否加大信息安全建設投資等)做出決策。風險評估是認證認可和風險管理的重要組成部分,沒有風險評估,認證認可和風險管理就會成為無源之水、無本之木,缺乏決策行動的依據 與方向。風險管理屬于概念和方法學的范疇,而認證認可則屬于實踐的層次,認證認可本身便是一種風險管理的實施措施。等級保護的分級(安全級別)更多的是一個需求等級,類似當年保密局的保密法,不是由上級單位來確定,而是要根據自己梳理的本單位信息系統的情況,確定自己所處的安全等級,自己主動定位和上報。