信息安全与等级保护

一、信息安全与等级保护简介1.信息安全内涵与外延计算机信息系统安全的基本内涵:保障系统正常运行,保障信息的保密性、完整性、可用性、可控性、不可否认性等。其中,保密性、完整性、可用性为基本安全特性要求。计算机信息系统安全的外延:保障由计算机信息系统控制和管理的部门职能和业务的正常运转,保障国家的政治、经济、军     

关于等级保护的几点思考

我国信息系统安全等级保护工作始于2007年7月，目前定级工作已基本完成。按照人民银行统计数据显示：银行业二级以上（含二级）信息系统880个，其中全国性银行二级系统261个，三级系统176个，四级系统23个；其余420个为城市商业银行二级以上（含二级）系统。通过定级工作，对国家信息安全的基本情况做了摸底，为全面贯彻信息安全等级保护制度，推动国家信息安全保障工作深入开展奠定了基础。金融业信息安全等级保护工作如何开展？监管机构如何细化具有可操作性、切合行业特点的行业标准和具体方法？行业专家纷纷献计献策。     

打造金融业信息安全等级保护平台

加强信息安全保障工作,实行信息安全等级保护,是从整体上和根本上解决国家信息安全问题的治本之道,是开展信息安全保护工作的有效办法及发展方向。如何打造金融业自身的信息安全等级保护平台,成为当前的首要课题。     

等级保护如何落地银行业?

从1994年国家规定计算机信息系统必须要实行等级保护,到2007年《信息安全等级保护管理办法》正式出台,期间已经历了十余年。十年来,国家的信息安全等级保护落实工作给人的感觉一直是雷声大、雨点小。虽然业内外专家都认可政府强调实施的信息安全等级保护制度是     

等级保护工作的实践和思考

经过4年的努力,中国光大银行形成一套以信息安全等级保护(以下简称等级保护)为基础,包含安全战略、安全治理、安全运作和安全技术管理在内、相对成熟的信息安全体系,并成为我行信息科技发展战略的重要组成部分。本文将就我行落实等级保护相关要求的工作历程与实践经验,与行业同仁分享与探讨。     

等级保护呼唤行业监管

2007年7月16日,公安部、国家保密局、国家密码管理局、国信办四部委联合发布关于开展全国重要信息系统安全等级保护定级工作的通知,强调2007年7月至10月在全国范围的各行业各省市内组织开展重要     

对银行机构信息系统等级测评的思考

正一、信息安全等级测评的相关政策和目的信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护制度是国家信息安全保障工作的基本制度,其主要环节分别为定级、备案、安全建设整改、等级测评和安全检查。     

外汇信息安全等级保护的要求与实践

为了贯彻落实国家信息化领导小组《关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》,做好外汇信息安全等级保护工作,国家外汇管理局（以下简称“外汇局”）制定了《国家外汇管理局信息安全等级保护工作实施计划》,并下发给各省分局要求参照执行,这标志着我国外汇信息安全等级保护工作已全面开展。     

浅谈信息安全基线在等级保护管理中的应用

近年来,随着金融业等级保护工作的逐步落实,银行业金融机构陆续完成了本单位信息系统等级保护定级备案,等级测评及安全建设整改工作。但由于银行业金融机构具有分支机构多、分布广,信息系统应用复杂、定级范围广以及安全人员管理水平参差不齐等特点,给定级保护后续管理工作增加了难度,如何持续做好信息系统等级保护工作,巩固等级保护工作成效,建立等级保护工作长效管理机制,已成为金融监管机构关注的问题。本文主要结合安全基线在基层人民银行     

等级保护--信息安全的重要保障

随着计算机和网络技术的发展与普及,信息系统已经由过去传统的独立、封闭运行转变成网络化、开放式运行,安全问题也随之变得复杂和重要。特别是对于政府、国防、军事、金融、保险、尖端科学技术研究等领域来说,安全问题始终是信息系统建设的首要问题。保障信息系统安全是当今国际网络空间安全法的研究热点,信息安全已成为继领土主权、政治主权和经济主权之后的另一主权。美国著名的信息安全专家BRUCE·SCHNEIER曾说过:“信息安全最根本的问题是人的问题,而如何解决这一问题则需要建立一套完善的管理机制。”在国际上,实施等级保护是一种比较通行的信息系统安全保护机制。     

构建安全管理框架 践行等级保护要求

2004年以来,公安部、国信办、国家保密局和国家密码管理局等国家部委陆续出台了一系列开展信息安全等级保护工作的通知要求,为各行业开展信息安全等级保护工作提供了明     

金融标准化在行业信息安全等级保护中的实践

正信息安全等级保护是国家在信息安全保障工作中的一项基本制度,人民银行根据国家关于信息安全等级保护工作的相关制度和标准,制订了金融行业信息系统信息安全等级保护系列标准。2012年以由金融标准化技术委员会以中华人民共和国金融行业标准对外发布。即《金融行业信息系统信息安全等级保护实施指引》《、金融行业信息系统信息安全等级保护测评指南》、《金融行业     

商业银行信息安全等级划分探析

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加重点突出、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。     

以等保为抓手提升信息安全工作水平

近年来,人民银行科技司在行长助理李东荣的直接指导下,信息安全工作扎实推进,取得长足发展。等级保护制度作为我国信息安全领域的一项基本国策,在人民银行和各银行业金融机构的大力推动下,得到全面落实,并有力促进了信息安全各项工作的全面开展。     

等级保护制度构建银行信息安全防线

等保制度在落地实施中,安全测评是的一个重要环节,但更重要的是将内部检查工作做到制度化、常态化,以有效督促各项信息安全监管要求的落实和银行内部科技管理制度规范的实施。     

银行“等保”渐行渐深

在2012年全国金融工作会议上,温家宝总理强调,要积极防范化解金融风险,加强金融机构网络信息安全。人民银行高度重视信息安全管理工作,周小川行长在2012年人民银行工作会议上明确提出人民银行要开展信息安全等级保护测评,加强信息安全协调工作。中国人民银     

实践等级保护 加强风险管理——信息系统风险监控与等级保护平台建设

基于国家政策的要求，结合业务健康、安全发展的需要，中国长城资产管理公司建设了信息系统风险监控与信息系统安全等级保护制度（以下简称“等级保护”）平台，以进一步完善信息安全保障体系，加强风险管理，为业务运营保驾护航。     

认识到位 执行有力——浅谈证券公司信息安全与等级保护

证券行业在实现交易大集中后,证券公司的技术风险随之向券商总部集中,信息安全问题日益突出,得到行业监管机构及券商的高度重视。随着等级保护（简称等保）工作的推进,逐步归口到券商所属地的公安分局,沟通较为直接和畅通,提高了等保定级工作的效率。等保工作的开展,使得证券公司的信息系统安全、高效运行,为最大限度地保护投资者的利益起到较好的促进作用。     

金融行业信息安全等级保护的实践——访中国长城资产管理公司信息技术部总经理王代潮

信息安全等级保护是国家信息安全的根本制度之一，其目的是信息系统能够按照资产价值的大小，合理地、科学地进行保护。我国有关信息安全等级保护的问题从20世纪90年代即被提出，2003年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）正式明确实施等级保护制度．此后经过有关专家的反复论证研究，信息安全等级保护的相关制度不断得到细化和完善，2006年年初公安部出台了《信息安全等级保护管理办法（试行）》（公通字[2006]7号），明确了信息安全等级保护制度的可操作性。 金融行业因其业务的特殊性．对信息安全提出了较高的要求。随着计算机网络系统、软硬件技术的更新发展．以及网络业务的推进、完善，金融业面临的各种安全威胁日益尖锐、复杂，安全问题所造成的影响和破坏逐渐扩大．甚至上升到国家安全高度。如何将政府政策与金融行业信息安全建设实践结合起来，切实、有效地保护金融资产不受侵害，保障金融行业业务、机构正常运行，是新时期金融行业信息安全建设面临的重大课题。 为了促进信息安全等级保护制度在金融行业的贯彻落实，政府相关部门选择了部分金融机构进行试点。中国长城资产管理公司作为试点单位之一，在基于等级保护的信息安全保障体系建设工作中，进行了有益的尝试．其等级保护工作的实践，为我国等级保护在金融行业的实施提供了重要的理论基础和实践经验．必将促进我国信息安全宏观政策在金融业的全面落实。[编者按]     

中观思想,落实等级保护实效

一直以来，信息安全等级保护都是业界关注的焦点，对于等级保护的定义和意义，国家相关部门早已从政策层面做了详细阐述，但是如何实现等级保护实效，仍需要主管部门、用户和安全企业在实践中不断摸索总结。