信息安全等級保護提升信息系統管理

前言：尋找寫作靈感？中文期刊網用心挑選的信息安全等級保護提升信息系統管理，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：隨著科技的進步，企業辦公信息化、智能化程度顯著提升，隨之而來的信息安全問題日益突出。企業經營考慮信息化設備創造的利益時，需兼顧互聯網開放性造成的風險。針對以上問題，國家嚴格規范信息系統等級保護工作流程，根據系統的重要性和影響范圍劃分定級，按照系統級別的不同實施區別化管理。此外，依照信息系統等級保護工作的“三同步”原則（同步規劃、同步設計、同步投入運行），在信息系統應用建設的各環節進行標準化管理，規范了信息系統事件的定級、測評、備案、安全整改以及職責等工作標準，同時，明確了檢查考核、管理與技術措施，促進供電企業信息專業能力不斷提升，充分調動公司各專業的積極性和協調性，有效提高公司信息系統安全管理水平和保護能力。

關鍵詞：信息安全；等級保護；信息系統管理

1背景簡介

通常情況下，企業信息系統管理普遍存在以下問題：（1）信息系統規劃階段側重于系統功能應用，未提出信息系統安全保護；（2）信息系統設計階段缺少安全方案的同步設計；（3）信息系統上線運行階段，未建立安全性測試機制，投運前缺少系統軟件惡意代碼檢測、源代碼后門審查、漏洞查找、滲透測試、運行環境測試和等級測評等安全性測評環節。針對以上問題，信息安全等級保護在企業信息系統管理工作中發揮至關重要的作用。信息安全等級保護工作包括定級、備案、安全建設與整改、信息安全等級測評以及信息安全檢查五個階段，覆蓋信息系統規劃—設計—開發—測試—實施—應用上線與上架—運維的整個生命周期[1]。

2信息安全等級保護工作的管理思路

根據目前信息系統管理的暴露的缺點，公司將信息系統安全建設作為安全等級保護工作的重點，圍繞信息系統應用建設的各個階段，結合等級保護要求，實現信息系統建設過程的安全管理，有效降低了信息系統上線后的安全隱患，保障了信息系統的安全穩定運行。

2.1規劃階段

信息系統規劃初期，通過建立合理的信息系統安全管理體系、工作要求和工作流程，結合公司實際情況，將系統測評費用納入其中。

2.2設計階段

系統設計階段，公司要求系統建設部門提交信息系統的安全防護總體方案。對于需要開展安全方案設計的信息系統，在系統定級后，系統建設項目負責部門應組織系統運維單位和系統開發實施單位，根據系統安全防護等級，遵照相關行業信息安全等級保護基本要求和公司信息安全防護總體方案等，制定系統安全防護方案。

2.3開發階段

各系統建設部門是信息系統的用戶方，必須嚴格要求系統開發部門遵守相應原則，如使用正版的操作系統、配置強口令、信息系統測試合格正式書等，從而保證系統投運時的實用性和效率。

2.4測試階段

系統建設部門組織定級系統，通過具有國家資質的測評機構對系統進行安全測評，并在當地公安機關網監部門進行定級和備案工作。

2.5實施階段和應用上線

各級信息通信職能管理部門，督促檢查本單位及下屬單位等級保護工作，同時，要求各系統建設部門在信息系統實施階段，確保系統完成測評整改工作。

2.6運維階段

根據“誰主管誰負責，誰運行誰負責”的工作原則，各系統主管部門合理分配部門人員的管理和運維工作，制定所管轄區域的系統安全隱患整改、數據備份以及其他相關安全加固措施。

3信息系統管理的工作機制

通過信息系統等級保護方案，公司要在系統應用建設全過程中加入安全防護機制，規范信息系統事件的定級、測評、備案、安全整改以及職責等工作標準。此外，為進一步促進等級保護工作的有效執行，公司明確了相應的檢查考核管理措施，完善信息系統安全工作的全面管理。

3.1考評機制

建立相關考評機制。由信息化職能管理部門負責對公司信息專業工作進行標準化管理考評、考核工作，即檢查各相關單位網絡與信息安全工作的開展情況，并根據上級部門的實時反饋進行整改，從公司信息系統正常運行到信息內外網安全，實施監督和管控，納入各單位年度績效指標考核。

3.2協同機制

成立信息化領導小組及辦公室，開展協同控制工作。建立關于信息安全工作的協調機制，明確公司各部門網絡與信息安全工作職責，具體負責組織開展信息系統安全等級保護工作，協調、督導信息系統建設部門進行定級、備案、等級測評和安全整改等工作。另外，針對信息系統測評和評估所發現的問題，責任單位制定完善的安全整改方案并認真落實。

3.3例會機制

例會機制主要通過信息系統等級保護集中工作實現，定期召開信息專業網絡安全會議，通過會議通報各單位存在的問題和下一步改進措施。

4結語

本文提出了一種基于等級保護的信息系統管理工作思路。一方面，從信息系統全生命周期著手，在系統應用建設的各環節加入安全管理工作；另一方面，完善信息系統管理工作機制，通過建立合理的考評機制、協同機制和例會機制，優化系統管理手段。根據以上管理思路，不僅在工作流程上對信息系統進行了安全防護加固，而且制定了相應的管理手段，促進企業信息系統管理工作水平的提升。

參考文獻

[1]高磊,李晨旸,趙章界.基于等級保護的信息安全管理體系研究[J].信息安全與通信保密,2015(5):95-98,101.

作者:余入麗 馬先平 楊雅 單位:國網黃石供電公司信息通信分公司