我国信息安全等级保护法律框架及其完善

我国信息安全等级保护基本法律框架 1994年,国务院颁布的《信息安全保护条例》首次提出对计算机信息系统实行等级保护,并授权公安部会同有关部门制定等级划分标准和管理办法。2003年,中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》,再次强调对信息安全进行等级保护。2004年公安部联合国家保密局、密码局、保密委员会和国务院信息化领导办公室发布《关于信息安全等级保护工作的实施意见》,对信息安全等级保护的基本制度框架进行了规划。     

基于《信息系统安全保障评估框架》的CAE证据推理评估模型

为了实现基于《信息系统安全保障评估框架》（SCC）的安全保障评估,该文研究了CAE证据推理模型,通过对SCC结构的梳理,建立SCC与证据推理模型和《信息系统信息安全等级保护基本要求》的映射关系,提出以CAE证据推理模型为统一描述框架、以SCC为评估规约的安全保障评估流程,以实现基于SCC标准的保障评估。     

信息化在线

政策【政策】四部委审批通过《信息安全等级保护管理办法》为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,《信息安全等级保护管理办法》(以下简称《管理办法》)于6月22日由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制定完成并审批通过。《管理办法》自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。     

浅谈信息安全保障措施在人民银行系统中的应用

分析了风险评估、安全测评和等级保护等信息安全保障措施的区别和联系,并结合中国人民银行近几年信息安全工作的开展情况,提出了这3种工作方法在中国人民银行系统中的实施建议。     

依托等级保护实现世博信息安全保障

如今，等级保护已成为我国信息安全界的热点，尽管在实施过程中还存在疑问，仍有一些难点问题有待解决，但不可否认，在业界各方的共同推动下，等级保护已愈来愈受到关注和重视。它不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性工作。     

宏观

《信息安全技术基于互联网电子政务信息安全实施指南》实施 在吸收工业和信息化部基于互联网电子政务信息安全保障试点工作成果的基础上,2007年全国信息安全标准化技术委员会组织开展了《信息安全技术基于互联网电子政务信息安全实施指南》国家标准研制工作,并于2009年7月形成了《信息安全技术基于互联网电子政务信息安全实施指南》（GB／Z24294—2009）国家标准,该标准于2010年2月1日正式实施。     

浅谈等级保护中机房建设和管理

实行计算机信息安全等级保护是为了进一步加强和规范计算机信息系统安全,保护我国信息化发展、维护国家信息安全、提高信息安全保障能力和水平。本文从信息安全等级保护的要求对机房建设和管理进行简单探讨。     

信息安全等级保护体系研究

近年来,我国的信息化发展迅速,但是只有信息安全得到保护,信息化才能健康发展。等级保护就是对信息网络系统和重要信息系统按其重要程度及实际安全需要,合理投入,分级保护,保障信息安全和信息系统安全、正常运行,促进信息化建设健康发展。本文从信息安全等级保护基本要求分析入手,介绍了信息安全等级系统设计思想、原则、安全技术设计方案及安全管理体系设计方案。     

信息安全的基石——等级保护

信息安全等级保护制度是国家信息安全保障工作的基本制度。为了加快推进信息安全等级保护工作,去年6月份以来,公安部会同国家保密局、国家密码管理局等4个部门联合出台了有关信息安全等级保护工作管理办法、定级指南等相关规范标准,召开了全     

关于对企业信息安全等级保护的思考

对建立信息安全等级保护的背景及原因进行分析,针对信息安全等级保护工作中存在的问题,提出了加强信息安全等级保护工作的若干建议。     

电子政务公共平台安全管理系统设计与研究

该课题主要是基于电子政务公共平台信息安全管理的设计与研究,是基于信息安全等级保护,保障基础设施、硬件和重要信息系统的安全,以为电子政务公共平台提供有效的安全技术和安全管理保障施,实现信息安全保障工作实施的重大的现实和战略意义。信息安全管理基于平台不同位置、不同安全系统的分散且海量的单一安全事件进行采集、分析、汇总、过滤、收集和关联分析,总结分析全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。     

地理信息大数据安全保障研究

地理信息数据是一种基础性和战略性资源,多源海量的地理信息数据借助大数据分析技术可以挖掘出巨大价值。但地理信息大数据面临多种安全威胁,可能威胁我国的国家安全和社会稳定。现有针对地理信息大数据的安全保护研究多关注安全技术,缺乏地理信息大数据安全管理和安全保障的研究,一个完整的地理信息大数据安全保障方案应该是安全技术和安全管理并重。本文在分析了地理信息大数据面临的各种安全威胁后,提出了一个地理信息大数据安全保障框架,从安全管理保障、技术保障、工程保障和组织保障等四个方面来实施地理信息大数据安全保障工作,该安全保障框架可以指导地理信息大数据应用建设者和运营者提升地理信息大数据系统建设和运营过程中的安全保障能力。同时,为落实地理信息大数据安全保障框架,提出了一个配套的地理信息大数据安全标准框架,旨在以安全标准为抓手,切实推动我国地理信息大数据安全保障工作,为我国地理信息产业的健康发展打好坚实基础。     

医疗卫生行业信息安全等级保护的现状与对策

随着我国基本迈入信息化时代,信息技术已渗透到了人们生活的方方面面。在医疗卫生领域,各类信息系统早已取代了原始的纸质办公深入医疗单位的运行。随之而来的一个重要问题是如何确保相关信息安全日渐突出。一旦某些重要的信息遭到泄露,将会牵涉甚广,给社会带来重大的不利影响。因此,保障医疗卫生行业的信息安全迫在眉睫。基于此现状,卫生部于2011年11月印发了《卫生行业信息安全等级保护工作的指导意见》通知,明确提出了卫生行业信息安全等级保护工作的指导意见,由此相关的信息安全工作有文可依,有据可循。随着卫生行业等级保护工作已经开展数年,该文将结合笔者自身工作情况就当前行业等保工作的现状以及可行对策进行分析和阐述,希望能够对行业相关工作人员起到帮助。     

信息安全等级保护的安全基线研究与实践

<正>日前,在2014中国互联网大会上,工信部部长苗圩表示,要把增强信息安全保障能力摆在更加突出的位置,推动完善网络与信息安全的法律法规、技术标准,加强基础设施和技术手段体系化建设。为提升信息安全防护能力及管理水平,需要规范不同信息系统的安全策略及安全措施,从而建立良好的技术防护标准体系。各个重要信息系统运营使用单位相继开展定级备案、建设整改、等级测评等工作,使系统信息安全防护能力及水平得到了很大提高。     

他山之石 促我国工控系统信息安全

工业控制系统信息安全事关国家战略安全。然而，我国在这方面还处于起步阶段，有许多需要完善和健全的地方。本文借助比对国外工控系统信息安全方面的做法，希望能加快我国工控系统信息安全保障工作落地。     

浅论电子档案的信息安全保障

随着电子政务的开展和办公自动化的逐步普及,各单位出现了愈来愈多的电子档案。如何保障这些电子档案信息的安全问题,已成为摆在我们面前的严峻问题。本文从分析电子档案信息特点、电子档案信息安全需求以及影响电子档案信息安全的因素入手,从管理、人才和技术几个方面论述了电子档案信息安全保障的各种宏观策略。     

构建多层次的电子政务安全保障体系

信息安全是当今政务信息化建设最引人注目的关键问题之一,没有信息安全的坚实保障,电子政务就无法推进与前行。信息安全的要求将贯穿于整个电子政务建设,应用安全又是信息安全的重点。因此,需要构建统一标准、统一规范、功能全面的安全支撑体系,为电子政务提供切实可靠的信息安全保障,解决满足政务实际要求的安全保密性、信任和授权,以及安全监管等安全保障服务。通过安全保障体系的建设,在实现互联互通的基础上,对现有分散的网络和系统的数据资源进行可信交换和共享,充分利用已有政务信息资源。     

信息系统安全保障评估的评估结构与方法

信息系统的安全保障评估已经成为信息安全领域的重要研究内容,基于《信息系统安全保障评估框架》(GB/T 20274,简称SCC)标准完成系统的安全保障评估,能实现评估工作的规范化,提升评估结论的权威性和有效性。在SCC评估框架中引入CAE证据推理模型,得到了SCC的安全保障评估的多级层次结构;提出了基于DS证据理论的信息系统安全保障评估方法,实现了安全保障评估的定量推理。基于该评估方法计算了部分算例,实现了安全保障评估工具,并将DS算法与AHP算法进行了评估推理结论的对比。     

信息化在线

宏观【指南】《信息安全技术基于互联网电子政务信息安全实施指南》实施在吸收工业和信息化部基于互联网电子政务信息安全保障试点工作成果的基础上,     

信息安全动态监管体系的有力保障——本市颁布《上海市信息系统安全测评管理办法》

2月28日，为了规范本市信息系统的安全测评工作，加强信息安全监督管理，保障信息系统的正常运行，市信息办举行新闻发布会，介绍本市首部有关信息系统安全测评内容的政府部门规范性文件——《上海市信息系统安全测评管理办法》（以下简称《管理办法》），该《管理办法》于3月1日正式实施，将为本市信息安全动态监管体系的建设提供有力的制度保障。