随着《电子政务信息安全等级保护实施指南》和《信息安全等级保护管理办法》等一系列文件颁布以来,政府部门如何来做等级保护,确保电子政务安全已经变成非常热门的话题。
我们知道,电子政务等级保护工作分为管理层面和用户层面两部分。管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等;用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控和改进。
具体落到实处对电子政务实现等级保护,政府部门一般都需要做以下的工作。
一、加强安全管理组织是实现等级保护的基础
由于电子政务安全管理涉及到众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组、国家电子政务协调小组、国家信息安全协调小组等来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
安全组织包括建立健全组织体系;明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门;制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。只有建设一个国家到省市纵向和横向各部委、厅局架构的安全管理组织,才能真正实现全面的安全等级保护。
二、规划与制度是规范等级保护的根本保证
电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于电子政务信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须建立电子政务信息系统安全保障体系,考虑技术、管理和法律的因素,全方位地、综合解决系统安全问题。
按照《电子政务信息安全等级保护实施指南》等文件的工作要求,需制定《省市电子政务等级保护总体安全方案》,对电子政务信息安全等级保护进行明确的界定,根据电子政务系统在国家安全、社会稳定、经济秩序和公共利益等方面的重要程度,结合系统面临的风险、安全保护要求和成本等因素,将其划分成不同的安全保护等级,采取相应等级的安全保护措施,以保障信息和信息系统的安全。
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使省市信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高、省市信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。