关于企业信息安全等级保护工作建设的探索.doc

关于企业信息安全等级保护工作建设的探索.doc1 关于企业信息安全等级保护工作建设的探索[ 摘要] 信息安全等级保护制度是我国为了保障信息安全而采取的重要措施, 本文对信息安全等级保护制度的政策体系、标准体系进行整理, 通过对中国石油信息安全等级保护制度建设进行介绍,总结成功经验,分析信息安全等级保护制度的不足并提出改进建议。[ 关键词] 信息等级保护概述;中国石油;等级保护建设[ 中图分类号] TP391 ; [ 文献标识码]A[ 文章编号] 1673 - 0194 ( 2013 ) 05- 0057- 02 1 信息等级保护制度概述信息安全等级保护制度是国家信息安全保障工作的基本制度, 是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息, 法人和其他组织及公民的专有信息以及公开信息, 存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图 1 、图 2所示。定条件的测评机构开展等级测评;④建设整改: 备案单位根据信息系统安全等级, 按照国家政策、标准开展安全建设整改;⑤检查: 公安机关定期开展监督、检查、指导。 2 中国石油信息安全等级保护制度建设 2 中国石油信息化建设处于我国大型企业领先地位, 在国资委历年信息化评比中都名列前茅。 2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求, 全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系, 保障信息化建设和应用, 支撑公司业务发展和总体战略的实施, 使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面: (1 )以信息安全等级保护工作为契机, 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求, 建立自上而下的工作组织体系, 明确信息安全责任部门, 对中国石油统一建设的应用系统进行等级保护定级和备案, 通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作, 加快开展重要信息系统的等级测评和安全建设整改工作, 进一步提高信息系统的安全防御能力, 提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后, 聘请专业测评机构, 及时开展等级测评、安全检查和风险评估工作, 并通过等级测评工作查找系统的不足和安全隐患, 制订安全整改方案, 开展安全整改和加固改造,保障信息系统持续安全稳定运行。(2 )以信息安全等级保护工作为抓手, 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手, 完善信息安全整体解决方案, 建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念, 将桌面安全、身份认证、网络安全、容灾等相关技术相互结合, 建立统一的安全监控平台和安全运行中心, 实现对应用 3 系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能, 显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍; 采用集中管理、分级维护的管理模式, 网络与安全运