关于企业信息安全等级保护工作建设的探索.doc

关于企业信息安全等级保护工作建设的探索.doc关于企业信息安全等级保护工作建设的探索
［摘要］信息安全等级保护制度是我国为了保障信息安全而采取的 重要措施，本文对信息安全等级保护制度的政策体系、标准体系进行整理, 通过对中国石油信息安全等级保护制度建设进行介绍，总结成功经验，分 析信息安全等级保护制度的不足并提出改进建议。
［关键词］信息等级保护概述；中国石油；等级保护建设
［中图分类号］TP391； X913. 2 ［文献标识码］A ［文章编号］1673 - 0194
(2013) 05- 0057- 02
1信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度，是促进 信息化健康发展的根本保障。其具体内容包括：①对国家秘密信息，法人 和其他组织及公民的专有信息以及公开信息，存储、传输、处理这些信息 的信息系统实行分等级安全保护、分等级监管；②对信息系统中使用的信 息安全产品实行按等级管理；③对信息系统中发生的信息安全事件分等级 响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所 Zjl O
定条件的测评机构开展等级测评；④建设整改：备案单位根据信息系 统安全等级，按照国家政策、标准开展安全建设整改；⑤检查：公安机关 定期开展监督、检查、指导。
2中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息 化评比中都名列前茅。2007年全国开展信息安全等级保护工作之后，中 国石油认真贯彻国家信息安全等级保护制度各项要求，全面开展信息安全 等级保护工作。逐步建成先进实用、完整可靠的信息安全体系，保障信息 化建设和应用，支撑公司业务发展和总体战略的实施，使中国石油的信息 安全保障能力显著提高。主要采取的措施有以下几个方面：
以信息安全等级保护工作为契机，全面梳理业务系统并定级 备案。中国石油根据国家信息安全等级保护制度要求，建立自上而下的工 作组织体系，明确信息安全责任部门，对中国石油统一建设的应用系统进 行等级保护定级和备案，通过制定《中国石油天然气集团公司重要信息系 统安全等级保护定级实施暂行意见》，加强桌面安全、网络安全、身份认 证等安全基础防护工作，加快开展重要信息系统的等级测评和安全建设整 改工作，进一步提高信息系统的安全防御能力，提高系统的可用性和安全 性。在全面组织开展信息系统等级保护定级备案工作之后，聘请专业测评 机构，及时开展等级测评、安全检查和风险评估工作，并通过等级测评工 作查找系统的不足和安全隐患，制订安全整改方案，开展安全整改和加固 改造，保障信息系统持续安全稳定运行。
以信息安全等级保护工作为抓手，全面推动中国石油信息安 全体系建设。中国石油以信息安全等级保护工作为抓手，完善信息安全整 体解决方案，建立技术保障体系、管理保障体系和控制保障体系。采用分 级、分域的纵深防御理念，将桌面安全、身份认证、网络安全、容灾等相
关技术相互结合，建立统一的安全监控平台和安全运行中心，实现对应用 系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软 件与攻击行为的及时发现与防御、业务与数据安全保障等功能，显著提高 抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事 业单位三级信息系统安全运维队伍；采用集中管理、分级维护的管理模式, 网络与安全运维人员采用授