徐 銳

（中國人民銀行上?？偛?上海 200120）

0 引言

近年來，隨著網(wǎng)絡(luò)和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)與信息安全問題日益突顯，已成為我國信息化進(jìn)程中的重大戰(zhàn)略問題，2007年，公安部等多個部委聯(lián)合出臺了《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》等文件，推動了我國信息系統(tǒng)安全等級保護(hù)定級和備案工作的快速開展。金融行業(yè)重要的信息系統(tǒng)關(guān)系到國計(jì)民生，是國家信息安全重點(diǎn)保護(hù)對象，也是實(shí)施信息安全等級保護(hù)的重要對象。2010年以來，中國人民銀行多次發(fā)文，高度重視人民銀行各分支行和銀行業(yè)金融機(jī)構(gòu)的信息系統(tǒng)等級保護(hù)工作的開展，在相關(guān)部門的積極配合下，人民銀行和金融機(jī)構(gòu)陸續(xù)開展了本單位信息系統(tǒng)等級備案、等級測評和建設(shè)整改工作，但是不容諱言，部分單位仍然沒有充分認(rèn)識到持續(xù)開展信息安全等級保護(hù)工作的重要性，而是將等級保護(hù)作為一個階段性工作，將信息系統(tǒng)的等級保護(hù)定級、備案、測評的完成，看成工作的順利結(jié)束，而不是將等級保護(hù)工作納入常態(tài)化管理機(jī)制，本文主要就如何實(shí)現(xiàn)信息系統(tǒng)等級保護(hù)工作常態(tài)化進(jìn)行了探討。

1 金融業(yè)信息系統(tǒng)等級保護(hù)工作的現(xiàn)狀

2010年以來，人民銀行及金融機(jī)構(gòu)就開始了風(fēng)險評估和等級保護(hù)的相關(guān)工作。截至目前，人行上?？偛俊⒔^大部分上海中資銀行及部分外資銀行法人行已陸續(xù)完成了重要信息系統(tǒng)的定級、備案和測評整改工作。等級保護(hù)定級工作使信息系統(tǒng)安全運(yùn)維保障工作更加有針對性，風(fēng)險評估和第三方測評工作也發(fā)現(xiàn)了一些長期容易忽視或隱藏較深的安全隱患。總的來說，等保工作的開展進(jìn)一步提升了機(jī)構(gòu)的信息安全保障能力，但是在等保工作的執(zhí)行中也存在著一些問題。

（1）信息系統(tǒng)的定級工作尚未制度化和常態(tài)化。部分機(jī)構(gòu)在2011、2012年批量化完成信息系統(tǒng)的定級、備案工作以后，并未遵循“動態(tài)調(diào)整原則”，未及時跟蹤信息系統(tǒng)的變化情況，審核系統(tǒng)的原有定級是否需要調(diào)整，另外，也存在對新建信息系統(tǒng)的定級工作未及時開展的情況。

（2）存在定級模糊的問題，部分機(jī)構(gòu)定級采取了“寧低勿高”的思路。國家制定的等級保護(hù)標(biāo)準(zhǔn)非常原則化，在與行業(yè)自建系統(tǒng)的實(shí)際情況相結(jié)合的過程中，一定程度上存在定級模糊的問題。此外，為了避免因適應(yīng)相應(yīng)等級所產(chǎn)生的升級改造等大量后續(xù)工作，部分機(jī)構(gòu)在自建信息系統(tǒng)的定級備案方面，可能將系統(tǒng)定為等級保護(hù)較低級別，這與信息系統(tǒng)等級保護(hù)工作的本身意義相背離。

（3）部分信息安全從業(yè)人員意識不足，對信息系統(tǒng)等級保護(hù)工作開展的意義不能深刻理解，將信息系統(tǒng)等級保護(hù)工作流于形式。部分人員存在“完成測評備案即是完成等保工作”的思路，使得等級保護(hù)工作在信息系統(tǒng)運(yùn)維方面未能真正地發(fā)揮作用。

（4）基于等保級別的運(yùn)維保障體系尚不完善，尚未體系化。部分機(jī)構(gòu)對已完成等級保護(hù)定級備案的信息系統(tǒng)的后續(xù)相關(guān)工作尚無明確規(guī)劃。根據(jù)國家有關(guān)文件可以看出，信息安全等級保護(hù)工作可以分為三個方面，一是對信息系統(tǒng)分等級實(shí)行安全保護(hù)；二是信息安全產(chǎn)品實(shí)行按等級管理；三是對發(fā)生的事情分等級并進(jìn)行相應(yīng)處置。部分機(jī)構(gòu)在完成信息系統(tǒng)的定級、備案及測評工作后，就如何對現(xiàn)有信息系統(tǒng)按照等保要求進(jìn)行運(yùn)維管理和應(yīng)急處置等多方面，尚沒有明確的制度和體系。

2 信息安全等級保護(hù)工作常態(tài)化的幾點(diǎn)想法

從上面所述的信息安全等級保護(hù)工作開展過程中出現(xiàn)的一些現(xiàn)象和問題中可以看到，雖然部分機(jī)構(gòu)已經(jīng)開展了信息安全等級保護(hù)的定級、備案和測評工作，但是信息系統(tǒng)等級保護(hù)工作尚未成為信息系統(tǒng)日常管理運(yùn)維的有效組成部分，并未能真正得融入到信息系統(tǒng)的全周期的管理中，要真正的讓等級保護(hù)工作發(fā)揮作用，我們需要立足自身實(shí)際情況，將信息安全等級保護(hù)工作與日常信息管理工作相結(jié)合，將等級保護(hù)工作常態(tài)化和制度化。下面就如何實(shí)現(xiàn)等級保護(hù)工作常態(tài)化提出幾點(diǎn)想法：

（1）將信息系統(tǒng)安全等級保護(hù)制度與單位的信息安全運(yùn)維管理制度相融合，不斷修訂完善信息安全管理制度，將信息系統(tǒng)的定級、備案、測評、整改等工作納入流程管理機(jī)制，確保等保工作成為日常信息安全管理工作的重要組成部分。

（2）加強(qiáng)信息安全從業(yè)人員的教育，增強(qiáng)從業(yè)人員的信息安全等級保護(hù)意識。通過定期組織培訓(xùn)、業(yè)務(wù)交流等多種方式，不斷強(qiáng)化各類人員信息安全和風(fēng)險防范的觀念，樹立信息安全等級保護(hù)的意識。確保在日常運(yùn)行維護(hù)和應(yīng)急處置過程中，能夠?qū)⒏黝愘Y源優(yōu)先集中在等級保護(hù)級別更高的系統(tǒng)。

（3）積極推進(jìn)信息系統(tǒng)等級保護(hù)定級工作的時限管理，堅(jiān)持“同步”原則，在規(guī)劃新建、改建、擴(kuò)建信息系統(tǒng)時應(yīng)當(dāng)同步完成對系統(tǒng)的等級保護(hù)定級工作，同時按照預(yù)定的等保級別規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。

（4）將信息系統(tǒng)安全等級保護(hù)工作與單位的信息安全基線工作相結(jié)合，把信息系統(tǒng)等級保護(hù)工作中發(fā)現(xiàn)的安全隱患和需整改的問題，納入信息安全基線的范圍，通過本單位信息安全基線的定期評估和整改，逐步提升重要信息系統(tǒng)的安全保障能力水平。

（5）將信息系統(tǒng)等級保護(hù)工作與信息系統(tǒng)全生命周期的安全管理相結(jié)合，在業(yè)務(wù)系統(tǒng)開發(fā)實(shí)施的同時就強(qiáng)調(diào)做好相關(guān)定級工作，并配套相應(yīng)的安全措施，在系統(tǒng)上線運(yùn)行后，根據(jù)“重點(diǎn)保護(hù)原則”，按照等保級別，建立相應(yīng)權(quán)重的監(jiān)控體系，提高重要業(yè)務(wù)的可持續(xù)性。同時，基于信息系統(tǒng)的等保級別，不斷梳理完善系統(tǒng)的運(yùn)維監(jiān)控體系和應(yīng)急處置方案，確保各類信息安全資源能夠按照信息系統(tǒng)的等保級別合理分配，優(yōu)先監(jiān)控和保障級別高的信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

3 結(jié)語

自信息技術(shù)誕生以來，信息安全就如同影子一般伴隨左右，要在新形勢下做好信息安全工作，我們應(yīng)當(dāng)將信息系統(tǒng)等級保護(hù)工作納入信息系統(tǒng)日常管理運(yùn)維之中，通過等級保護(hù)制度，不斷完善優(yōu)化運(yùn)維管理機(jī)制，通過實(shí)現(xiàn)等級保護(hù)工作常態(tài)化，來不斷優(yōu)化運(yùn)維監(jiān)控體系和保障體系，保障信息安全資源的最優(yōu)利用，確保能夠盡最大可能實(shí)現(xiàn)重要業(yè)務(wù)的可連續(xù)性。