立即注册
 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

CopyRight 2012-2014 DS文库版权所有
基于等级保护方法对信息安全日常考核机制的研究
(0 次评价)115 人阅读0 次下载
1 基于等级保护方法 对信息安全日常考核机制的研究 广东省深圳市 中国广核集团有限公司,李晓婷、张晓莹、赵志中、廖毅 摘 要:目前,随着电力企业信息化程度不断提高,信息安全越来越受到关注。信息安全等级保护是国家的一项基 本制度,也是各企事业单位的一项重要日常工作。本文中广核集团有限公司实施信息安全等级保护工作的实际情况,参考 国内大型企业的实践经验,提出在基于信息安全等级保护要求的基础上,结合国际 ISO/IEC 27001:2005 信息安全管理标 准,建立信息安全日常考核机制,以此达到推进等级保护要求的落地,保障对等级保护要求执行的有效性,提高信息安 全管理水平。 关键词:等级保护;信息安全;考核 引言 信息安全等级保护是我国信息安全管理的一项基本政策,核电集团公司已按国家、行业要求实施了系统 定级、测评、建设和整改相关工作,并且按照国际ISO/IEC 27001:2005信息安全管理标准建立了信息安全管 理体系。但在日常的信息安全管理工作中发现,信息安全要求落实不到位,且当前对信息安全评价工作中采 用了定性评价方法,缺少定量评价。为了更好地推进集团信息安全政策的落地,将信息安全审计工作常态化, 在信息安全日常考核中结合信息安全等级保护相关要求,同时参考国际ISO/IEC 27001:2005信息安全管理标 准制定信息安全日常考核机制。 本文结构如下:第2部分阐述了目前等级保护工作及企业日常考核的情况;第3部分介绍了信息安全日常 考核机制的原则、管理流程;第4部分详细介绍信息安全日常考核指标;第5部分对本文进行总结。 1 等级保护和日常考核 1.1 等级保护工作 信息安全等级保护是我国信息安全管理的一项基本政策,主要包含信息系统安全保护定级、信息系统安 全等级测评、信息系统建设整改、信息安全等级保护监督检查等内容。按照《信息安全等级保护管理办法》 要求,所有信息系统必须全面定级,二级及以下级别系统要开展一次性符标测评,三级系统要求每年开展一 次等级测评,四级系统要求第半年开展一次等级测评 [1]。 等级保护工作的开展为企业的信息安全建设工作起到了非常重要的指导作用,但在日常的运维工作中, 还存在以下问题:1)各部门信息系统管理人员的信息安全意识仍需要加强,对信息安全等级保护制度还不熟 悉,信息安全重视程度不够;2)日常运维工作中,对等级保护要求中的控制点不清楚,使运维工作存在人为 的安全风险。 1.2 企业日常考核 企业日常考核机制是企业自身通过多种方式对企业的决策和管理行为所产生的影响和效果进行分析、比 较,评价和测量。日常考核在企业作为一种管理工具,在提高企业绩效和管理水平发挥了重要的作用 [2]。 核电集团公司已经在集团层面制定并实施了一套绩效考核体系, 但在建立绩效考核体系时存在如下问题: 1)考核体系制定时,国内还没有其他企业在绩效体系中对信息安全进行考核;2)缺乏相关的标准规范来指

打分:

0 星

用户评论:

电力科技在线 (英文缩写etmtch) 在广大电力企事业单位的支持下,无疑更将电力科技的作用与价值推向更深、更高和更广。作为电力行业科技领域的专业媒体《电力科技在线》(www.etmtch.org.cn)更须肩负责任,进一步完成建设沟通和推广平台的同时,树立更有深意的目标,发挥推动电力科技在创新体制、制度、思维、技术以及成果应用的现实作用,为电力产业的智能化未来贡献更大的价值。

合作方式