信息系统等级保护的建设思路与途径

作者：赵千

来源：《中国新通信》2013年第01期

        随着当今世界网络技术突飞猛进的发展势头，信息系统的应用已经涵盖了整个社会，其应用范围涉及到各行各业，因此，信息系统越来越受到重视，对于信息系统的等级保护工作也变得更加重要。本文主要针对信息系统等级保护的建设原则、建设思路和建设途径等方面进行了分析。

        一、信息系统等级保护的概述

        信息系统等级保护的建设，对我国的信息系统安全性有着重要意义，是对信息安全的有效保障，使得信息化的服务可以持续地、安全地、有效地运行下去。同时，信息系统等级保护的建设可以很好的控制节约信息安全成本，优化了我国的各项信息系统配置，对国家的一些重点信息网络系统起到了保障性作用。另外，信息系统等级保护的建设能够更好地明确各部门安全责任，有效地增强了对信息安全的管理，另一个角度来看，也是对信息安全产业的未来发展起到了一定的推动作用。

        在我国，信息系统等级保护的建设工作的广泛开展，主要是随着信息技术的不断发展而兴起的，同时也在不断的完善中。国家对信息安全采取了多种保护措施，包括出台了一些意见，有针对性地把信息系统等级保护工作摆在重要位置。在当前，信息系统等级保护的建设体系基本成型，包括很多的关于建设的要求，从建设的技术到管理内容，还有相关的产品和等级保护建设的流程等等多方面的内容。

        二、信息系统等级保护的建设思路和原则

        在信息系统等级保护的建设中，有很多的分支机构，对于那些规模较大的机构组织而言，基本的信息系统安全已经有了一定的等级保护手段和技术支持，而需要提高的则是在实际工作中，找出更适合本组织部门的信息系统等级保护建设的新的思路和原则。

        1. 实行统筹性的管理手段

        要对信息系统等级保护建设中的各种方案方法，以及各种实施规划方案进行统一的管理和规划；也要在等级保护建设的整体流程、技术方面和管理手段有着统一的标准，从而保证了上下级的连通性；另外，要实施统筹全局的手段，充分做到组织协调各部门机构，实现各个信息系统间资源的共同利用，业务间共同协作，共同合作推动信息系统等级保护的建设工作。

        2. 实行分级、分步、分类的建设思路

        在实行了各部门统一的信息系统等级保护的建设中，对于各个分支机构应由总体方案进行指导，使各部门机构的负责部分能够正常的运行，实现部分区域的等级保护建设安全运营。

        各个组织机构应该结合当前条件下，各项建设的基本条件及其各自所具有的特点，来实行分批分期的建设方式；同时，对于信息系统间的差异性，在建设的组织管理过程中，也应该采取不相同的指导方式，管理模式和工作方式等等，从而实现了多种方式的推进建设。

        除了以上的等等思路之外，在等级保护建设的过程中加强管理也是很重要的手段，这样能够确保等级保护的建设在各部门机构的实施，增强了对整个建设过程的管理，确保了整个建设项目的质量。

        3. 等级保护建设中的一般原则

        （1）在信息系统等级保护建设的整个过程中，都应该严格遵守国家的各种法律法规，或者是相关管辖部门所做的规定。（2）采用科学的管理手段，做到平稳的过渡。在等级保护建设过程中，保持着科学的、先进的的技术水平和规范的项目管理手段是必要的，使两者相互结合以提高建设项目的效率，确保了建设质量，也可以减少建设的成本。由于在等级保护建设的整个过程中，各个分支部门中存在的子系统很多，所以在项目建设的实施过程中，最好采用循序渐进的方法，这样才能保证正常办公的进行，实现平稳的过渡。（3）适当先进、方便维护、重视培训。在建设过程中，要充分结合本部门实际情况，确保信息系统能够适合当前等级保护的技术手段，既要达到一定的先进性，也要考虑到满足本部门未来发展走向；另外，所建设的系统要具备很好的延展性和可维护性，这样才能在实际应用中更加的灵活、方便；在系统项目有条理的建设过程中的同时，各部门也要开展相应的培训，同步于建设的进度，并确保培训的质量。

        三、信息系统等级保护建设的实施途径

        1. 等级保护建设工作的主要流程

        在信息系统等级保护的建设工作中，主要包括一下几方面的内容：（1）进行自我定级和上级审批。信息系统的使用单位应该根据等级保护的相关管理规定，如定级指南，独自确定信息系统的安全保护的等级划分。之后再由相关的主管部门进行审批工作。（2）安全等级的评审。在执行了安全等级的评级后，需要组织专家对信息系统的安全等级进行评审，如果是四级以上的信息系统，应该有专门的专家委员会进行评审。（3）备案。凡是属于二级以上的信息系统，都应该到本单位所在区域的市级以上门办理备案手续。（4）信息系统的安全建设。在成功进行了评级、平审等相关工作后，使用单位就应该进行信息安全的建设工作，并制定完善的管理制度等。（5）等级评测。在整个信息系统建设完工后，需要本单位选择相应的检测机构，进行信息系统的安全等级评测。（6）监督检查。对于三级以上的信息系统，门会对其定期地进行检查，并制定了相关的安全等级保护管理条例等。运营部门应该配合机关的检查工作，如实上报相关材料，接受指导。

        2. 定级之后的等级保护主要工作

        一是按计划进行安全建设和整改工作，二就是有序地进行等级测评，三是在本单位内部进行自查，定期的自查并及时调整修改方案。