信息安全等級保護能否爲你構建安全的信息網絡環境

    信息安全等級保護制度推廣得越來越廣，在政府、事業單位、銀行、電力等行業,他們都在公安機關或者相關行業的主管部門向下級推信息安全等級保護制度，並督促下級單位的信息系統到所在相關公安機關部門辦理備案手續。

    這樣一來，有的人會這樣疑問，假如落實信息安全等級保護制度的執行，或者上級部門監督，下級部門走個樣，叫測評機構來測評下信息系統，測評完成後出個測評報告，然後拿着測評報告到公安相關部門做最終的備案，這樣不就完事了。如果都做到了，我的信息系統就安全了嗎？有些人會這樣認爲，因爲信息系統備案到公安機關那邊去了，有他們監督和監管，如果信息系統出問題了，他們會通知相關的備案單位，如果信息系統發生重大的事情，公安相關部門會偵查與立案。如果這些人這麼想，我覺得首先對信息安全等級保護就不理解，因此公安部門只是留備案，如果單位出現了重大的信息泄露，公安監管部門才督促備案單位整改，在平常的時候也會到各個備案單位巡查這些工作。假如，在平常的網絡環境中，信息系統給***、病毒造成信息系統破壞或者其他等等的問題，公安機關也不會爲了你這個事情來忙碌，畢竟職責不一樣，不是信息系統備案，該單位的信息系統就一勞永逸的安全了。國家爲了執行信息安全等級保護制度，體現了我國家重視互聯網的安全以及數據方面的安全，爲了營造一個安全的信息數據環境，從大層面講，國家的互聯網安全得到了一個保障。從小的方面說，信息系統按等級保護，體現了信息系統的重要程度不同，因此國家才執行信息安全等級保護劃分相應的等級來做好安全防護措施。

    因此，我帶各位來認識下等級保護的相關流程，看下這些流程會對你們瞭解信息安全等級保護會有所幫助。下面看下具體的相關知識：

 

一、信息安全等級保護工作的主要流程（5個規定動作）：

1、系統定級（信息系統定級按照自主定級、專家評審、主管部門審批、公安機關審覈的流程進行）

2、系統備案（二級以上信息系統，由信息系統運營使用單位到所在地設區的市級以上公安機關網絡安全保衛部門辦理備案手續）

3、安全建設整改（評估現有情況按條件選擇產品）

4、等級測評（信息系統運營單位選擇符合要求的測評機構開展信息系統等級測評）

5、監督檢查（公安機關依據《管理辦法》和《等級保護檢查工作規範（試行）》，定期對信息系統進行安全檢查。

 

二、信息安全等級保護基本要求的內容：

1、物理安全主要包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫溼度控制、電力供應、電磁防護。
2、網絡安全主要包括：結構安全、訪問控制、安全審計、邊界完整性檢查、***防範、惡意代碼防範、網絡設備防護。
3、主機安全主要包括：身份鑑別、安全標記、訪問控制、可信路徑、安全審計、剩餘信息保護、***防範、惡意代碼防範、資源控制。
4、應用安全主要包括：身份鑑別、安全標記、訪問控制、可信路徑、安全審計、剩餘信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制。
5、數據安全及備份恢復主要包括：數據完整性、數據保密性、備份和恢復。
6、安全管理制度主要包括：管理制度、制定和發佈、評審和修訂。
7、安全管理機構主要包括：崗位設置、人員配備、授權和審批、溝通和合作、審覈和檢查。
8、人員安全管理主要包括：人員錄用、人員離崗、人員考覈、安全意識和培訓、外部人員訪問管理。
9、系統建設管理主要包括：系統定級、安全方案設計、產品採購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評、安全服務商選擇。
10、系統運維管理主要包括：環境管理、資產管理、介質管理、設備管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防範管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理。

        其實，信息安全等級保護是有相關的政策與標準來指導這些等級保護的執行與貫徹，所有這些檢查的內容都有相關政策與標準來監督。但是，這些標準都是有引用國外，同時在經過國內的專家的整合而形成的成果。因此等級保護是具有很強的政策體系文件與標準文件支撐。