公安部等提出了等级保护的思想。给我们在石油化工企业信息化建设中如何进行信息安全保障建设指明了方向。
随着近年来世界经济的复苏,全球石油需求量快速上升,石油供需矛盾进一步加剧,能源方面的竞争日趋激烈。作为中国经济支柱产业的骨干企业,石油化工企业为了加快与国际经济接轨,提升参与国际竞争的实力,把信息化建设作为提升整体管理水平和企业核心竞争力的重要手段。中石化、中石油、中海油等超大型企业已经完成企业信息化工作的基础建设工作,特别是中国石油化工股份有限公司更是走在信息化建设的前沿。从统计数据表明:有超过95%的企业均建有不同形式的信息化领导机构或信息主管;超过70%的企业已经或正在建设企业信息网络系统,主要集中在生产控制、财务两个方面;有部分企业已经建有或正在建立管理信息系统(60%)和企业资源计划(30%)。信息化提升了石油化工企业的竞争力的同时,信息安全成为这些企业信息化建设关注的焦点。为了保护我国的信息安全,特别是像石油化工这样的关系到国计民生的大型企业,公安部等提出了等级保护的思想。给我们在石油化工企业信息化建设中如何进行信息安全保障建设指明了方向。
什么是等级保护
为了进一步提高我国信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展,1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
等级保护是指对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,拉动信息安全和基础信息科学技术发展与产业化,进而牵动经济发展,提高综合国力。
根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级:
1. 第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
2. 第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
3. 第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
4. 第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
5. 第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
为什么石油化工企业需要实施等级保护
(一)国家规定
近年来,在党中央、国务院高度重视和各有关方面协调配合、共同努力下,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。随着信息技术的高速发展和网络应用的迅速普及,我国国民经济和社会信息化进程全面加快,信息系统的基础性、全局性作用日益增强,信息资源已经成为国家经济建设和社会发展的重要战略资源之一。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。
实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”;2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》也指出“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度”。石油化工企业作为国家的重要企业,关系到国家安全、经济命脉、社会的稳定,所以应当实行等级保护。
(二)石油化工企业的自身安全需求
石油化工企业网络信息系统与现实社会的组织体系构成是对应的。信息系统是根据业务发展、业务流程和业务的需要而设计、建立的,是企业行政组织体系的反映。这种体系是分层次和级别的,这种组织体系中的石油化工企业的各个业务系统具有重要的价值,不同的业务系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。不同等级的用户应当访问不同等级的信息。石油化工企业的信息安全保护必须符合客观存在和实际的业务需求。根据实际的业务需求,对企业的信息安全保护实行分级、分区域、分类、分阶段进行保护。
(三)石油化工企业自身竞争力的需要
从国际数据公司的研究报告显示,财富500强企业中,信息技术已经成为企业竞争力的关键因素之一,能够对分布在全球企业的财务、资金、质量实行集中统一管理,信息安全在企业信息化中有着重要的地位。信息安全保障来源于正确的信息安全政策和策略,而正确的信息安全保护政策和策略必须依赖于对信息安全问题的正确认识和信息安全保护抉择的正确取向。企业发展的不同阶段有不同特质的业务需求,也就存在着不同的信息安全问题。石油化工企业的业务的发展要求网络化信息系统互连互通,信息安全问题的实质直接表现为石油化工企业的直接竞争力。引发信息安全问题的因素有多个方面,有外部因素和内部的,但最主要的因素在于内部。企业自身的信息安全政策不确定、信息安全保障规划不明朗;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱与不规范、安全管理与技术规范不统一、没有形成配套体系。因此导致:企业的领导对企业的信息安全状况很难有效把握;信息系统主管、建设、使用者对如何搞好信息系统安全建设和管理,信息系统安全究竟存在什么问题、如何改进、需要多少投资等,心中无数。进而导致石油化工企业的信息化、企业竞争力很难提高。对这些问题认识不足,不尽快采取有效的解决办法,势必影响企业的信息化建设、企业的发展,进而影响企业的竞争力。
为此,石油化工企业需要高度重视信息安全保护工作。根据国家有关规定加强企业信息安全保障工作,实行信息安全等级保护,重点保护企业的基础信息网络和重要业务信息系统安全,要抓紧安全等级保护建设。
石油化工企业在信息化建设的同时,实行信息安全等级保护制度,有利于建立长效机制,保证安全保护工作稳固、持久地进行下去;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对企业基础信息网络和重要关键的业务信息系统的安全保护和管理监督;有利于明确企业信息系统管理部门和各个业务部门的安全责任,共同落实各项安全建设和安全管理措施;有利于提高企业安全保护的经济性、针对性,推动网络安全保护机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体企业的安全保护水平,保障业务信息系统安全正常运行,保障信息安全,进而保障各部门和单位的职能安全、高速、高效地运转。有利于提升企业在市场上的竞争力。
如何在石油化工企业实施等级保护
石油化工企业等级保护如何实施应当在国家有关部门的统一领导、统一组织和协调下,各级党部门及其各单位对其信息系统安全等级保护建设与管理负责。开展信息系统安全等级保护工作要坚持实行谁主管谁负责,谁运营谁负责,谁使用谁负责,谁提供安全服务谁负责。信息安全职能部门负责监督、检查、指导,并提供安全保护服务。具体如下:
(一)等级保护的实施原则
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。在石油化工企业中实施信息安全等级保护制度需要遵循以下基本原则:
明确责任,共同保护。
依照标准,自行保护。
同步建设,动态调整。
指导监督,重点保护。
(二)等级保护的实施方法
依据《信息系统安全等级保护定级指南》的定级规则,确定企业业务信息系统的安全等级;
按照《信息系统安全等级保护基本要求》,确定与系统安全等级相对应的基本安全要求;
依据系统基本安全要求,并综合平衡系统安全保护要求、系统所面临风险和实施安全保护措施的成本,进行安全保护措施的定制,确定适用于特定业务系统的安全保护措施,并依照相关要求完成规划、设计、实施和验收。
安全等级保护评估机构按标准和法规规定提供评估服务。
公安部有关部门依法按标准进行监督、检查、指导、提供服务。
(三)等级保护的实施过程
第一阶段:定级
定级阶段主要包括两个步骤:
系统识别与描述:清晰地了解石油化工企业所拥有的业务信息系统,根据需要将复杂业务系统分解为业务子系统,描述系统和子系统的组成及边界。
等级确定:完成业务信息系统总体定级和子系统的定级。
第二阶段:规划与设计
规划与设计阶段主要包括三个步骤,分别为:
系统分域保护框架建立:通过对业务信息系统进行安全域划分、保护对象分类,建立企业信息系统的分域保护框架。
选择和调整安全措施:根据业务信息系统和子系统的安全等级,选择对应等级的基本安全要求,并根据风险评估的结果,综合平衡安全风险和成本,以及各系统特定安全要求,选择和调整安全措施,确定出业务信息系统、子系统和各类保护对象的安全措施。
安全规划和方案设计:根据所确定的安全措施,制定安全措施的实施规划,并制定安全技术解决方案和安全管理解决方案。
第三阶段:实施、等级评估与改进
实施、等级评估与改进阶段主要包括三个步骤,分别为:
安全措施的实施:依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施。
评估与验收:按照等级保护的要求,选择相应的方式来评估系统是否满足相应的等级保护要求,并对等级保护建设的最终结果进行验收。
运行监控与改进:运行监控是在实施等级保护的各种安全措施之后的运行期间,监控系统的变化和系统安全风险的变化,评估系统的安全状况。如果经评估发现系统及其风险环境已发生重大变化,新的安全保护要求与原有的安全等级已不相适应,则应进行系统重新定级。如果系统只发生部分变化,例如发现新的系统漏洞,这些改变不涉及系统的信息资产和威胁状况的根本改变,则只需要调整和改进相应的安全措施。
信息系统安全等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。石油化工企业是关系到国计民生的重要企业,石油化工企业的信息系统应当实施等级保护。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
