关于企业信息安全保障体系建设地探索.docVIP

关于企业信息安全保障体系建设的探索 ［摘 要］ 信息安全保障体系是由美国首先提出，并将其上升到国家战略、国际战略的高度。我国于2003年也明确提出建设我国的信息安全保障体系。本文通过对国内外建设的介绍，进而列出中国石油信息安全体系建设内容及存在问题，供其他企业借鉴。 ［关键词］ 信息安全保障体系； 中国石油； 企业 １ 信息安全保障体系概述 信息安全保障（ｉｎｆｏｒｍａｔｉｏｎ ａｓｓｕｒａｎｃｅ，ｉａ）来源于１９９６年美国国防部ｄｏｄ指令５－３６００．１（ｄｏｄｄ５－３６００．１）。其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。内容包括保护（ｐｒｏｔｅｃｔion）、检测（ｄｅｔｅｃｔion）、响应（ｒｅsponse）、恢复（ｒｅcovery） 4个环节，即ｐｄｒｒ模型。 信息安全保障体系分为人员体系、技术体系和管理体系3个层面，人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。通过纵深防御的多层防护，多处设置保护机制，抵御通过内部或外部从多点向信息系统发起的攻击，将信息系统的安全风险降低到可以接受的程度。 ２ 国外信息安全保障体系建设 美国的信息化程度全球最高，在信息技术的主导权和网络上的话语权等方面占据先天优势，他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。美国政府先后发布了一系列政策战略报告，将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。美国国土安全局是美国信息安全管理的最高权力机构，其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等，主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。 其他国家也都非常重视信息安全保障工作。构建可信的网络，建设有效的信息安全保障体系，实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家，如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展，在信息安全领域不断进行着积极有益的探索。 ３ 国内信息安全保障体系建设 我国信息化安全保障体系建设相对于发达国家起步较晚，２００３年９月，中央提出要在５年内建设中国信息安全保障体系。２００６年９月，“十一五”发展纲要提出科技“支撑发展”的重要思想，提出要提高我国信息产业核心技术自主开发能力和整体水平，初步建立有中国特色的信息安全保障体系。２００７年７月２０日，“全国重要信息系统安全等级保护定级工作电视电话会议”召开，标志着信息安全等级保护工作在全国范围内的开展与实施。２０１１年３月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。通过一系列的文件要求，不断完善与提升我国的信息安全体系，强调信息安全的重要性。 我国信息安全保障体系建设主要包括：① 加快信息安全立法、建立信息安全法制体系，做到有法可依，有法必依。② 建立国家信息安全组织管理体系，加强国家职能，建立职能高效、职责分工明确的行政管理和业务组织体系，建立信息安全标准和评价体系。③ 建立国家信息安全技术保障体系，使用科学技术，实施安全的防护保障。④ 在技术保障体系下，建设国家信息安全保障基础设施。⑤ 建立国家信息安全经费保障体系，加大信息安全投入。⑥ 高度重视人才培养，建立信息安全人才培养机制。 我国通过近几年的努力，信息安体保障体系取得了长足发展，２００２年成立了全国信息安全标准化技术委员会，不断完善信息安全标准。同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展，但ｃｐｕ芯片、操作系统与数据库、网关软件仍大多依赖进口，受制于人。 ４ 企业信息安全保障体系建设 中国石油集团公司信息化建设在我国大型企业中处于领先地位，在国资委历年信息化评比中，都名列前茅，“十一五”期间，公司将企业信息安全保障体系建设纳入信息化整体规划中，并逐步实施。其中涉及管理类项目３个，控制类项目３个，技术类项目５个。 管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。信息安全组织完善是指完善信息安全的决策、管理与技术服务组织，合理配置岗位并明确职责，建立完备的管理流程，为信息安全建设与运行提供组织保障。信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织ｉｔ运行维护人员信息安全技能培训，较快形成基本的信息安全运行能力。风险评估能力建设是指通过建立风险评估规范及实施团队，提高信息安全风险自评估能力