信息安全等级保护体系研究

近年来,我国的信息化发展迅速,但是只有信息安全得到保护,信息化才能健康发展。等级保护就是对信息网络系统和重要信息系统按其重要程度及实际安全需要,合理投入,分级保护,保障信息安全和信息系统安全、正常运行,促进信息化建设健康发展。本文从信息安全等级保护基本要求分析入手,介绍了信息安全等级系统设计思想、原则、安全技术设计方案及安全管理体系设计方案。     

信息化在线

政策【政策】四部委审批通过《信息安全等级保护管理办法》为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,《信息安全等级保护管理办法》(以下简称《管理办法》)于6月22日由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制定完成并审批通过。《管理办法》自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。     

基于等级保护制度的网络信息安全保障研究与实践

国家于2004年和2007年颁布的《信息安全等级保护工作实施意见》及《信息安全等级保护管理办法》,使等级保护、电子政务安全等内容成为讨论的热点。近年来,通过不断的研究和实验,一些以信息安全管理体系为基础,符合国家信息安全保障工作要求、信息安全等级保护工作规范的保障模式逐渐形成。本文提出基于等级保护制度的保障模式,以期能给相关领域的研究带来一些启发。     

军队信息安全等级保护与实施

信息安全的等级保护已经成为信息安全体系中的关键环节。简要介绍了等级保护产生的现实背景及其重要意义并对等级保护的基本概念、核心内容及其实施过程中遵循的相关保护制度进行了描述;针对军事等级保护体系,从信息安全管理、信息安全机制和安全服务以及信息安全人才的培养等方面提出了相应的等级保护措施。     

浅谈等级保护中机房建设和管理

实行计算机信息安全等级保护是为了进一步加强和规范计算机信息系统安全,保护我国信息化发展、维护国家信息安全、提高信息安全保障能力和水平。本文从信息安全等级保护的要求对机房建设和管理进行简单探讨。     

信息安全管理:对BS7799的理解

随着我国政府主管部门以及各行各业对信息安全重要性的认识,政府部门开始出台一系列相关策略,推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化工作领导小组最近颁布的《关于我国电子政务建设指导意见》强调指出了电子政务建设中信息系统安全的重要性;中国人民银行正在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到IT总投资的10％以上;而在其他一些关键行业,信息安全的投资甚至已经超过了总IT预算的30-50%。     

医疗卫生行业信息安全等级保护的现状与对策

随着我国基本迈入信息化时代,信息技术已渗透到了人们生活的方方面面。在医疗卫生领域,各类信息系统早已取代了原始的纸质办公深入医疗单位的运行。随之而来的一个重要问题是如何确保相关信息安全日渐突出。一旦某些重要的信息遭到泄露,将会牵涉甚广,给社会带来重大的不利影响。因此,保障医疗卫生行业的信息安全迫在眉睫。基于此现状,卫生部于2011年11月印发了《卫生行业信息安全等级保护工作的指导意见》通知,明确提出了卫生行业信息安全等级保护工作的指导意见,由此相关的信息安全工作有文可依,有据可循。随着卫生行业等级保护工作已经开展数年,该文将结合笔者自身工作情况就当前行业等保工作的现状以及可行对策进行分析和阐述,希望能够对行业相关工作人员起到帮助。     

依托等级保护实现世博信息安全保障

如今，等级保护已成为我国信息安全界的热点，尽管在实施过程中还存在疑问，仍有一些难点问题有待解决，但不可否认，在业界各方的共同推动下，等级保护已愈来愈受到关注和重视。它不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性工作。     

关于对企业信息安全等级保护的思考

对建立信息安全等级保护的背景及原因进行分析,针对信息安全等级保护工作中存在的问题,提出了加强信息安全等级保护工作的若干建议。     

信息化在线

宏观【工程】我国将实施"宽带中国"工程国务院总理温家宝5月9日主持召开国务院常务会议,研究部署推进信息化发展、保障信息安全工作。会议讨论通过《关于大力推进信息化发展和切实保障信息安全的若干意见》,确定了以下重点工作:实施"宽带中国"工程、推动信息化和工业化深度融合、加快社会领域信息化、推进农业农村信息化、健全安全防护和管理、加快安全能力建设。     

三甲医院信息安全建设策略研究

三级甲等医院(简称"三甲医院")信息系统按照等级保护要求来建设,该文以HIS系统等级保护建设经验为蓝本,总结了医院三级等级保护建设经验,并全面研究了三甲医院内网和外网安全建设策略,为医院信息安全建设提供全面、可实施的建设经验。     

宏观

【意见】 八部委共同起草智慧城市健康发展指导意见 7月25日举行的2013中国信息化进程报告会透露，国家发展改革委、工业和信息化部、科技部、公安部、财政部、国土资源部、住房和城乡建设部、交通运输部在广泛征求有关部门和地方意见的基础上，研究起草了《关于促进智慧城市健康发展的指导意见》，并已经报请国务院发布。     

宏观

尽快出台手机实名等电信业法律法规 近日，工信部发布了其《关于加强法治政府建设的实施意见》（下称“意见”）。意见要求，应加快已列入国务院立法计划的《电信法》、《无线电管理条例》等法律法规的立法步伐，同时加快互联网管理、网络信息安全、手机实名制等相关法律法规的立法步伐，并争取尽早出台。     

信息安全形势严峻 等级保护任重道远——本刊“电子政务与信息安全”主题沙龙在京召开

当前,在各方面的大力推进下,信息安全等级保护工作已顺利完成了第一阶段即定级阶段．进入了第二阶段即保护阶段,要全面落实等级保护基本要求。这是一个攻坚阶段。就部委来说,信息系统的安全等级主要为2级或3级．还有少量的4级系统,其对应的安全要求项分别为175,290和318。     

智能交通“漫步”云端

2013年,国家交通运输部办公厅下发了《关于推进交通运输信息化智能化发展的指导意见》,要求各地到2020年,基本形成目标一致、功能协调、运转高效、有机衔接的交通运输信息化智能化发展总体格局.2015年8月19日,国务院常务会议审议通过《关于促进大数据发展的行动纲要》,其中提到,在具体信息公开领域,优先推动交通、医疗、就业、社保等民生领域政府数据向社会开放.近年来,全国各地、社会各方积极推进智慧交通建设,并在建设和运营过程中积累了大量和交通出行相关的数据.     

高校信息安全风险评估探索

通过对高校信息化现状的分析,结合我国即将推行的《信息安全风险评估指南》,指出高校进行信息安全风险评估的必要性,简要介绍了信息安全风险评估的概念,对高校信息安全风险评估过程进行了论述,并对高校如何实施信息安全风险评估提出了建议。     

政策

[政策]国信办发布《电子政务信息安全等级保护实施指南(试行)》国务院信息化工作办公室组织编写的《电子政务信息安全等级保护实施指南(试行)》,于2005年9月15日正式发布(国信办[2005]25号),供各级党政机关在新建电子政务系统和已建电子政务系统中开展信息安全等级保护工作参考。《指南》着重阐述了电子政务信息安全等级保护的基本概念、工作方法和实施过程,内容主要包括指南的编写目的、适用范围和文档结构;等级保护的概念、原理、实施过程、角色与职责,以及系统间互联互通的等级保护要求;电子政务等级保护的定级,     

提高网络安全意识加强信息安全保障

九月下旬,国务院办公厅秘书局在贵阳组织召开全国政府系统政务信息化工作会议。会议期间,同时举行了“中国电子政务论坛·电子政务安全研讨会”。中国工程院院士周仲义和中办机要局总工程师任守信等人作了有关报告。 近年来,我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息内容的安全管理,为维护国家安全与社会稳定,保障和促进信息化建设健康发展发挥了重要作用。但是,目前我国信息安全保障工作仍存在着一些亟待解决的问题,网络与信息系统的防护水平不高,应急处理能力不强;信息安全管理和技术人才缺乏,关键技术整体上还比较落后,产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会安全意识不强,信息安全管理薄弱。为此,国家信息化领导小组第三次全体会议指出:坚持积极防御、综合防范的方针,在全面提高信息安全防护能力的同时,重点保护基础网络和主要系统的安全。中共中央办公厅、国务院办公厅近日转发了《国家信息化领导小组关于加强信息安全保障工作的意见》的通知。 《信息化建设》杂志社承办了这次研讨会。今后还将定期不定期围绕电子政务发展战略和现实问题展开研讨。     

互联网金融行业“基本大法”出台

<正>7月18日,为鼓励金融创新,促进互联网金融健康发展,明确监管责任,规范市场秩序,经党中央、国务院同意,中国人民银行、工业和信息化部、公安部、财政部、国家工商总局、国务院法制办、中国银监会、中国证监会、中国保监会、国家互联网信息办公室联合发布《关于促进互联网金融健康发展的指导意见》(以下简称《指导意见》)。据了解,这是首次从中央政策的角度肯定基于互联网的金融创新,并制定互联网金融行业的"基本大法"。"     

基于《信息系统安全保障评估框架》的CAE证据推理评估模型

为了实现基于《信息系统安全保障评估框架》（SCC）的安全保障评估,该文研究了CAE证据推理模型,通过对SCC结构的梳理,建立SCC与证据推理模型和《信息系统信息安全等级保护基本要求》的映射关系,提出以CAE证据推理模型为统一描述框架、以SCC为评估规约的安全保障评估流程,以实现基于SCC标准的保障评估。