国家层面的等级保护工作参照技术标准包括,一个是计算机信息系统安全保护等级划分准则。等级保护中的职责分配,我们说公安机关是负责
信息安全等级保护工作的监督、检查、指导工作。再一个是涉密系统是由保密局来监督、检查、指导的。再就是管理委员会对密码方面的监督、检查、指导工作,是由密码和管理部门来进行实施的。整个等级保护还是贯彻着谁运营、谁负责这样一个原则。
刚才我所介绍的并不是我今天所介绍的重点,因为这一点严所长会介绍的更为详细、更透彻一些,我只是通过服务提供商方面等级保护是如何来实施的,也就是说我们所做的等级保护建设当中,我们总结出了几个重要的工作内容,就有如下的内容。比如说我们近期进行了一些工作,像等级保护技术培训、安全域的划分、信息系统的辅助定级,在规划设计阶段我们有一个IT安全需求的导入,业务安全需求和IT安全需求如何结合?这在后面我会有详细的介绍。再就是等级的安全规划和安全建设规划。在安全实施这块还涉及等级安全解决方案的设计,技术体系、管理体系的改造,对用户体系的搭建,岗位流程的设置,因为我们认为等级保护中最关键的是安全运行管理阶段,在这里面保护阶段性的评估,包括可持续性安全的服务,等等,来协助帮助用户使自己的系统打造成良性安全的循环。
我们说等级保护是一个政策性的工作,它的实施要参考相关的文件,包括相应的技术要求,这样我们说通过对各个等级保护单元测评项我们进行详细的归类,但是我通过这页PPT并不是介绍说等级保对标准的严格遵循,是应该进行这种严格遵循了,但我们在世纪中没有严格遵循这种办法,我们通过整个业务安全需求的导入来做等级保护规划建设给用户实施的过程中充分考虑到单元测评项的同时,也考虑到业务系统所承载业务的具体安全需求,这样就把等级保护进行了灵活的实施,而没有按照大家目前所理解的一条条标准对应去做,而是把等级保护做的比较灵活。
那么这个我们是通过什么手段呢?也就是通过大家所熟知的风险评估的手段,在等级保护中和风险评估这两个概念中很多用户都存在一定的疑虑或者困惑,因为我们国家有两个主管机构分别推行这两个工作,其实在我们看来整个风险评估和等级保护是没有太大的本质区别的,对我们来讲是一致的。我们是这么理解的,风险评估是等级保护工作中重要的共聚合方法,也就是说在做等级保护过程中,无论是产品的实施,包括技术手段的应用,与等级保护在我们的眼里是没有区别的。也就是说等级保护的完成,我们认为风险评估在等级保护完成过程中是可利用的重要手段。再一个风险评估是灵活实施等级保护的基础,因为大家在做等级保护前期实施咨询的时候,很多用户说我看了等级保护的要求,如果我按这个要求做需要花多少多少钱,这样的话我们通过评估来导入他的业务安全需求,围绕着他的安全需求来进行他的等级保护建设,这样就会使等级保护做的既灵活和在一定的时间之内做到等级保护目标。
|
服 务 CIO 推 进 信 息 化 
