关于信息安全等级保护提升信息系统管理水平的探讨
2020-09-06郑兴江
摘 要 当今信息化社会在提供巨大便利的同时也给智能化企业带来了一系列的信息安全故障,这是信息安全工作的等级管理的巨大挑战。国家相关部门逐渐加强了对信息安全等级保护工作的规范和引导,这其中涉及的“三同步”原則以及区别化管理手段对于不断推动企业信息系统管理水平具有关键作用,通过对智能信息系统的安全分级测评以及职责分配等环节,可以逐渐完善企业信息系统各个环节的生命周期,进而有效提升公司整体信息处理技术的水平和安全效果,为社会整体发展提供智力支持。
关键词 信息安全;等级保护;系统管理水平;思路与机制
现代企业信息系统在取得飞速发展的过程中,也普遍存在着一系列的安全故障,这些安全问题存在于信息系统运行的各个阶段,比如在规划阶段缺乏对于信息系统的整体安全保护意识,就会直接影响到设计阶段安全方案的有效实行。其次在正式上线运行之后,缺乏对安全测试机制的设置以及各项等级测评和运行环境测试的忽略,将对企业整体信息系统造成危害。因此我们必须从信息系统规划的整个生命周期出发,不断加强安全等级保护意识。
1信息安全等级保护管理的提升思路
(1)信息安全等级保护的管理现状。随着现代信息社会的智能化飞速发展和人们对工作高效性的不断追求,企业信息系统的发展取得飞速进步,但是不可否认的是信息安全等级相关措施的设置仍存在着一定缺陷,主要体现在首先企业信息系统在规划设计阶段过于侧重专业应用功能的效能发挥和实际应用,而在很大程度上忽略了信息系统安全保护和等级设置的巨大作用,因此在具体的设计方案上也就缺少相关配套安全措施的同步规划设计。其次就体现在测试和正式上线运行阶段,没有建立十分完善的安全性测试机制,因此关于一系列的测评环节也就失去了具体的实际意义。关于恶意软件代码的审查、源代码的后门查询认证以及相关关系统漏洞的查找和运行等级测评等安全隐患环节,都难以实现正常环节下的系统维护。以上关于企业信息系统运行过程中存在的安全故障,要求相关技术人员必须通过安全等级设置和维护不断提升信息系统的安全建设,为实现信息网络社会的长远发展提供安全保障[1]。
(2)提升信息系统安全等级保护的具体思路。众所周知企业信息系统的生命周期包括规划、设计、开发、测试、实施和应用上线与上架以及运行维护等环节,而要想不断提升信息系统安全等级保护水平,就必须将其五个工作阶段,也就是定级、备案、安全建设和整改信息、安全等级测评以及信息安全检查融入信息系统的生命周期中。还要根据目前信息系统管理过程中存在的一系列问题,设置安全等级保护的重点内容,最大程度上降低安全隐患,为信息系统的安全稳定运行提供基础保障。
首先是企业信息系统的规划阶段,技术人员要从企业具体实际情况出发,计算相应的信息安全等级开发和维护的费用清单,为后续的规划设计和运行维护提供物质上的保障。还要对相应的信息系统安全等级管理的整体体系和工作任务以及具体流程进行宏观上的规划,为后续的等级设计和系统维护提供保障。接下来是设计阶段,系统建设部门要根据公司的具体要求组织设计方案,并提交相关部门审核通过。对于需要设置安全等级保护的系统来说,在定级之后系统建设部门人员要对系统运维和开发单位进行合理组织,科学设计安全等级保护总体方案和相关的运行维护规划。在开发阶段,系统建设部门作为用户方必须严格遵守相关的规范来进行等级设置和运行维护。在具体过程中要绝对使用正版合格的操作系统、并严格检测强口令和系统测试的合格证明,从而有效保证信息安全和等级管理过程中的有效性和实用性。在测试阶段,主要侧重于对安全等级保护管理工作和安全测评进行合理有效的评估。在这一过程中仍然涉及对国家相关法律规定的遵守和行业标准的执行,在必要条件下要向当地公安机关进行备案。接下来是安全等级保护的实施和上线运行阶段,在工作过程中系统介绍部门要合理敦促有关机构和部门合理维护等级保护管理工作的进行,对测评整改的工作成果进行合理验收。并且还要在最大程度上实现安全等级工作对信息系统整体的安全维护和故障排查,为实现企业信息管理的科学性提供基础的智力保障[2]。最后是关于信息系统的运行维护阶段,运维阶段是安全等级保护的关键输出阶段,要本着“谁主管谁负责,谁运行谁负责”的原则,对相关的安全隐患进行分配和整改。此外对于信息安全等级保护中的关键环节,也就是数据备份、安全隐患分析排查等要分配专门的技术人员进行跟踪,确保企业运行的长远性。
2设置安全等级保护管理下的信息系统工作机制
首先是信息安全考评机制的设置,这一环节的工作过程指的是由信息职能部门对公司的各项信息专业工作进行合理的检查和考核,根据具体的安全等级分配实施效果和开展情况,对相关部门和机构进行评估。并将评估结果进行反馈和整改,这样就建立了完善的信息管理系统的监督和评估制度,更有利于企业合理的绩效分配和长远的发展。其次是信息安全等级的协同机制,这个主要通过建立明确的信息化领导小组来协调实现。通过具体文件来明确信息安全工作的职责和具体环节的任务分配,不断明确信息系统测评和评估过程中所发现的问题,通过协调配合不断建立完善的安全整改方案,并交由相关部门进行落实。最后是例会机制,通过开展定期例会的形式来对信息系统安全等级保护过程中存在的相关问题进行系统探讨,集中开展相关的信息保护提升会议,为最大程度上改善企业信息管理系统运行过程中存在的故障问题提供解决方案[3]。
3结束语
安全等级管理需要相关的工作机制来进行维持和保障,比如相应的例会机制、协同机制和考评机制就在很大程度上优化了等级保护的整体水平。通过过程渗透和机制维护,不但加固了信息系统的安全防护水平,而且还有助于企业整体管理效率和质量的提升,从而为企业经济收益和社会影响力的提升提供了基础保障。
参考文献
[1] 周寅晴,欧阳资春.浅谈信息系统安全等级保护测评的实施管理[J].数字通信世界,2018(8):155-156.
[2] 王丙飞. 信息系统安全等级保护综合管理系统设计与实现[D].北京:电子科技大学,2017.
[3] 龙华.大型企业资金信息系统安全保障策略及设计[J].中小企业管理与科技(中旬刊),2017(6):27-29.
作者简介
郑兴江(1981-),男,江苏阜宁人;学历:大学本科,职称:工程师,研究方向:网络与信息安全。