基于等级保护的信息安全管理体系研究

(整期优先)网络出版时间:2017-12-22
/ 2

基于等级保护的信息安全管理体系研究

于亚坤

南京华盾电力信息安全测评有限公司江苏南京211106

摘要:在信息安全管理体系中,等级保护是其中的重要组成部分,对于信息安全管理的质量有着至关重要的影响。本文基于对信息安全管理体系和等级保护之间的关系进行了深入地分析,并阐述了自己的见解,以供参考。

关键词:信息安全管理体系;等级保护;关系

1信息安全管理体系与等级保护两者之间的关系

1.1在安全管理要求这一方面存在相似之处

信息安全管理以及等级保护两者在实行的过程中都遵循的是《信息安全管理实用规则》,在实施信息安全管理的时候,对其提出了具体的要求,要求在此管理体系中不仅要有明确的控制目标,还要有相关的控制措施,要有对风险进行评估、并且能够应对风险的安全策略[1]。在实施等级保护的时候,对其要求与信息安全管理的要求具有相似之处,同样要求其要具有安全控制目标以及具体的控制措施,所以说,信息安全管理体系和等级保护在管理要求这一方面存在着相似性。

1.2信息安全管理和等级保护是相辅相成

信息安全管理体系是站在管理的角度上对信息进行管理,而等级保护则是管理体系中的一部分,是基础性的工作,两者在管理目标上具有一致性,而且还有相辅相成的作用。要知道,信息安全管理是从宏观角度出发,其总领全局,这样就使得其在落实的过程中无法照顾到方方面面,而等级保护则不同,等级保护是具体的落实管理工作,是从微小之处入手,这样就实现了对信息安全管理体系的有效弥补,而等级保护大局观不强也可以通过信息安全管理体系弥补,所以说,两者是相辅相成的关系。

2信息安全管理体系和等级保护之间存在的差别

2.1信息安全管理体系的侧重点是制度和组织的构建,而等级保护的侧重点是技术和管理工作的落实

信息安全管理体系是在站在管理的角度上对信息进行保护的,而等级保护则是站在技术以及管理两个方面来开展工作的,两者所处角度不同,看待问题以及关注的焦点自然存在不同。信息安全管理体系关注的焦点在于构建高效的信息安全管理制度以及组织,并将其切实的落实到实际管理中,其注重的是管理的意义,而等级保护的主要思想是分类分级保护,其关注点在于怎样通过对现有资源进行有效的利用从而将安全管理工作落实到位,所以说,信息安全管理体系和等级管理在关注点这一方面存在差异。

2.2两者在实施过程中所依据的标准不同

信息安全管理体系的构建并不是所以构建的,而是依据《信息安全管理体系要求》来进行构建的,在此要求中,对体系的构建过程中等内容都进行了明确,而在其实施的过程中,则需要依据的是GB/T22081,在此实施规则中,也对管理的措施等进行了阐述,并且还为体系确定管理目标而提出了具体的依据。等级保护在建立以及工作开展依据与之不同,因为等级保护是信息安全管理体系中的一部分,而且其主要的作用就是为了检查信息系统有没有达到规定的安全等级要求,而因为每个地区的信息安全管理要求以及实际情况不同,所以每个地区可以根据自身实际情况来确定测评规范。这样的情况就使得信息安全管理体系和等级保护两者在落实的过程中所参照的标准不同。

2.3信息安全管理体系是由企业建立,而等级保护是由信息安全测评认证

组织实施信息安全管理体系的建立是以每个企业的意愿为基础建立的,也就是说,每个企业为了维护自身信息安全,所以在自愿的基础上通过对企业组织进行分析来构建与之实际情况相吻合的管理体系。还有另一种可能是企业自身建立信息安全管理体系的水平有限,但是自身又有此需要,所以会聘请信息安全服务公司来为其建立合适的信息安全管理体系[2]。等级保护构建的主体是经过国家审核,并且具有了测评资格的信息安全测评组织来构建的,并且在实际开展测评工作的过程中还需要依据相关的标准来进行,所以说,两者在构建过程中的实施主体是不一样的。

2.4信息安全管理体系的实施对象是企业,等级保护对象是政府部门

信息安全管理体系建立的主要目的就是为各企业提供信息保障服务,所以说,其主要针对的群体就是企业,而等级保护的主要目的就是对信息安全管理体系进行测评,所以其主要针对的对象是需要使用信息安全管理体系的政府部门。政府部门中有很多信息都是需要保密的,而为了确保这些信息的安全性,就需要相应的信息安全管理体系,为了确保体系是科学合理的,就需要等级保护来其进行测评,这样一方面可以提高信息化的程度,另一方面还可以让政府内部工作人员认识到信息保护的重要性,从而培养他们的等级保护意识。

3结束语

综上所述,信息安全管理体系存在的主要目的就是为了保证组织信息的安全,但管理体系在落实过程中还存在一些漏洞,所以为了对其进行弥补,开展了等级保护工作,等级保护在落实的过程中,可以对信息安全管理体系进行测评,通过测评结果可以了解体系应用是否合理,而且等级保护和信息安全管理体系之间还有着密切的联系,其目标是一致的,这样能够促使信息保护更加地到位。

参考文献:

[1]高磊,李晨旸,赵章界等.基于等级保护的信息安全管理体系研究[J].信息安全与通信保密,2015,(5):95-98,101.

[2]王亚东,吕丽萍,汤永利等.信息安全管理体系与等级保护的关系研究[J].北京电子科技学院学报,2012,20(2):26-31.

[3]周超.基于等级保护制度的网络信息安全保障研究与实践[J].上海信息化,2014(12):58-60.