|
信息系統(tǒng)能否安全穩(wěn)定運行直接影響到廣大參保人員的權益與社會的和諧穩(wěn)定�����。隨著人力資源社會保障信息化工作的不斷推進�,對信息系統(tǒng)安全防范能力和信息安全抗風險能力的要求越來越高。為貫徹落實《關于信息安全等級保護工作的實施意見》和《信息安全等級保護管理辦法》文件精神,提高人力資源社會保障信息系統(tǒng)的信息安全整體防護能力和保護水平�����,應將開展信息安全等級保護工作作為今后信息安全工作中的一個重點和方向�����。
一����、何謂“等級保護”
信息安全等級保護是帶有很強技術性的國家風險控制行為。它對涉及國計民生的基礎信息網(wǎng)絡和重要信息系統(tǒng)按重要程度及實際安全需求實行合理投入���,進行分級保護���、分類指導和分階段實施,以保障信息系統(tǒng)安全正常運行和信息安全��,提高信息安全綜合防護能力���。
二、等級保護基本內(nèi)容
信息安全等級保護的基本內(nèi)容是根據(jù)信息系統(tǒng)在國家安全����、經(jīng)濟建設���、社會生活中的重要程度,以及遭到破壞后�,對國家安全、社會秩序�、公共利益以及公民、法人和其他組織的合法權益的危害程度�����,將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管����。具體劃分為五個級別:第一級依照國家管理規(guī)范和技術標準進行自主保護;第二級在信息安全監(jiān)管職能部門指導下依照國家管理規(guī)范和技術標準進行自主保護�����;第三級依照國家管理規(guī)范和技術標準進行自主保護���,信息安全監(jiān)管職能部門對其進行監(jiān)督�����、檢查�;第四級依照國家管理規(guī)范和技術標準進行自主保護,信息安全監(jiān)管職能部門對其進行強制監(jiān)督���、檢查��;第五級依照國家管理規(guī)范和技術標準進行自主保護��,國家指定專門部門�����、專門機構進行專門監(jiān)督�。
三��、等級保護實施的考慮
1�、等級保護的實施流程
等級保護的實施主要分為五個環(huán)節(jié),即定級��、備案��、建設整改����、等級測評和監(jiān)督檢查。其中定級和備案是信息安全等級保護的首要環(huán)節(jié)��,可以梳理各信息系統(tǒng)類型���、重要程度和數(shù)量等�,確定信息安全保護的重點���。安全建設整改是信息安全等級保護工作落實的關鍵�����,目的是使不同等級的信息系統(tǒng)達到相應等級的基本保護能力�����,從而提高重要信息系統(tǒng)整體防護能力���。等級測評工作的主體是第三方測評機構,目的是檢驗和評價信息系統(tǒng)的安全建設整改工作成效���,判斷安全保護能力是否達到相關要求�,監(jiān)督檢查工作的主體是信息安全職能管理部門�����,通過定期的監(jiān)督、檢查和指導�,保障重要信息安全保護能力不斷提高。
2��、信息系統(tǒng)定級備案
在等級保護工作實施過程中���,存在著一些關鍵的工作環(huán)節(jié)�����。首先是業(yè)務系統(tǒng)的定級工作�,如果對業(yè)務系統(tǒng)的安全級別定不準����,會使系統(tǒng)備案、建設整改�、等級測評工作都失去針對性。因此準確定級���,是開展后續(xù)整改和測評工作的基礎��。實施定級工作應重點參考《關于開展勞動保障重要信息系統(tǒng)安全等級保護定級工作的指導意見》(勞社信息函[2007]19號)的相關要求進行����,目前人力資源社會保障系統(tǒng)所定級別普遍是2級和3級�。按照等級保護實行屬地管理的原則,對于第二級以上的信息系統(tǒng),應到當?shù)毓膊块T辦理備案手續(xù),只有先定級備案��,方可開展安全建設整改�。
3、安全建設整改內(nèi)容
按照公安部關于等級保護整改工作總體部署和要求,對已備案的第二級(含)以上信息系統(tǒng)和新建系統(tǒng)應及時開展安全建設整改工作�����,力爭2012年基本完成行業(yè)內(nèi)已定級信息系統(tǒng)的安全建設整改工作�。
開展安全建設整改工作中應堅持管理和技術并重的原則,落實信息安全責任制��,建立并落實各類安全管理制度��,開展人員安全管理�、系統(tǒng)建設管理和系統(tǒng)運維管理等工作,落實物理安全����、網(wǎng)絡安全、主機安全����、應用安全和數(shù)據(jù)安全等安全保護技術措施����。
4���、安全建設整改依據(jù)
等級保護安全建設整改應參考《信息安全等級保護基本要求》���,在等級保護相關文件中,國家在對現(xiàn)在的技術發(fā)展水平�����、黑客攻擊能力等多方面因素進行分析�、綜合的基礎上,對已經(jīng)確定安全保護等級的系統(tǒng)制定了1-5級系統(tǒng)相應的保護要求�。這個要求就是等級保護的基本要求。比如人力資源和社會保障部綜合網(wǎng)和業(yè)務專網(wǎng)均定位3級的系統(tǒng)�,這樣的系統(tǒng)在技術和管理兩個方面十個部分必須明確系統(tǒng)最底線達到等級保護3級。
那么 ����,是不是滿足了基本要求就等于這個系統(tǒng)萬無一失了?不是這樣的����。滿足了基本要求只是達到了基本安全狀態(tài)����,是一種相對安全的狀態(tài)�。對于系統(tǒng)本身來說����,根據(jù)它自身的特點,等級保護就是要把國家管理要求和系統(tǒng)自身安全保護需求結合起來�。系統(tǒng)在達到基本安全狀態(tài)情況下,還要從系統(tǒng)特殊的安全需求出發(fā)����,不斷挖掘和完善,只可以高過它�,不能低于它。
目前�,人力資源和社會保障部部本級已結合金保工程建設,開展了信息安全等級保護安全整改工作����,基本建立起有針對性的基礎安全防護體系。各地應在完成等級保護定級工作的基礎上�,進一步開展等級保護建設整改和測評工作����,落實等級保護制度的各項要求�。
作者:谷軼男
單位:人力資源和社會保障部 信息中心
|
