7*24小時服務(wù)熱線:
010-51061651
從今年開始,明顯感覺到安全的熱度在急遽上升。上半年先是公安部提出信息系統(tǒng)等級保護的要求,然后,保密局提出信息安全等級保護,第七屆中國信息安全大會召開,風險評估指南正式成為國標,山雨欲來風滿樓。不同的國家部門和安全機構(gòu)紛紛推出各自的標準和管理辦法,難免使得我們信息安全工作者產(chǎn)生迷惑,到底這些標準、制度和管理辦法之間有沒有矛盾,如何配合,內(nèi)在聯(lián)系何在?我們?nèi)绾卫斫獠煌块T推出的不同的安全方面的標準和管理辦法,借著安全的東風,更好的進行配合和應對,做好安全(市場)的工作呢?在這里,我想簡單談?wù)勎业囊恍┐譁\的理解和看法,謬誤的地方,請大家不吝賜教。等級保護是計算機信息系統(tǒng)信息安全保障的重要制度和任務(wù)。1984年開始收集和參考國外的相關(guān)資料和制度。1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》中正式提出了實施等級保護的要求。2003年中辦發(fā)27號文件重申了這一重要任務(wù)。
1)系統(tǒng)分等級保護;
2)產(chǎn)品分等級管理;
3)事件分等級處置。
信息系統(tǒng)安全認證認可是發(fā)達國家普遍采取的信息系統(tǒng)安全的管理模式。由于信息系統(tǒng)不是產(chǎn)品,不具有流通性,因此,對信息系統(tǒng)安全的認證是指運用技術(shù)和管理檢查手段來測試、分析、評價信息安全保障是否到位。而信息系統(tǒng)安全認可則是單位的管理層或上級主管機關(guān)依據(jù)安全認證的結(jié)果,判斷信息系統(tǒng)中存在的殘余風險是否可以接受,從而決定是否允許信息系統(tǒng)投入建設(shè)或運行的過程。認證認可與等級保護不沖突。風險管理是安全管理的重要組成部分。它包括:風險評估、風險控制(實施成本效益分析,選擇安全防護措施來控制風險)以及根據(jù)風險評估結(jié)果對信息系統(tǒng)的運行中的相關(guān)事項(例如是否批準系統(tǒng)投入運行、是否加大信息安全建設(shè)投資等)做出決策。風險評估是認證認可和風險管理的重要組成部分,沒有風險評估,認證認可和風險管理就會成為無源之水、無本之木,缺乏決策行動的依據(jù) 與方向。風險管理屬于概念和方法學的范疇,而認證認可則屬于實踐的層次,認證認可本身便是一種風險管理的實施措施。等級保護的分級(安全級別)更多的是一個需求等級,類似當年保密局的保密法,不是由上級單位來確定,而是要根據(jù)自己梳理的本單位信息系統(tǒng)的情況,確定自己所處的安全等級,自己主動定位和上報。