周公解梦梦见洗头信息系统安全等级制度(以下简称“等级”)作为信息安全系统分级分类的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级工作,颁布了一系列相关条例,如国务院颁布的《中华人民国计算机信息系统安全条例》,等四部委联合签发的《关于信息安全等级工作的实施意见》(公通字[2004]66号)、《信息安全等级管理办法(试行)》(公通字[2006]7号),颁布的《信息系统安全等级实施指南(试行稿)(2005年)》,以及市实施的《市公共服务网络与信息系统安全管理》(市第163号令)等。
中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了 “老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。
根据《信息系统安全等级定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到后,会对社会秩序和公共利益造成严重损害,或者对造成损害,因此,将级别定为3级,并形成了等级定级报告,这在资产管理公司里属于首家。
在今年的《信息系统安全等级基本要求(报批稿)》中的3级基本要求中明确需要建立“管理和安全管理中心”,这说明公司的等级平台建设走在了行业的前头,为相关行业的等级测评工作提供了宝贵的经验。
建设的总体目标是实现国家对信息系统实行等级的政策要求,利用平台实现风险管理从“可知到可识到可知识”的良性循环。
建立信息系统风险及等级平台,将平台作为和管理等级测评结果的有力工具。
目前,借助启明星辰公司提供的信息安全等级平台,公司可以通过IP资产与业务域管理、信息安全事件管理、IP资产脆弱性管理、信息安全风险、用户与权限管理、信息安全知识库管理等模块实现信息安全事件的集中响应和处理,并高效整合各种安全设备和系统。
第一,根据等级的3级基本要求,公司有选择地部署了入侵检测防御系统、多功能安全网关、网络安全审计、漏洞扫描系统和网络防病毒系统等,通过平台实现的对异构系统的统一事件收集存储和管理,该平台跟等级要求具有很高的符合度,在很大程度上满足了等级3级基本要求。
第二,平台进行风险管理的过程和结果是“可知-可识-可知识”风险管理方的最佳实践。通过平台可以及时发现风险,然后才能进一步识别风险,得到关键资产和业务域的高风险清单,之后利用已有知识或借助外援降低风险到可以接受的水平,最后将成功经验入库,作为以后进行风险管理的参考,这样就完成了对风险的螺旋式上升管理。
启明星辰承建的长城资产信息系统风险与等级平台,将国家等级要求融入平台建设实践,结合自身特点,进行了有益尝试。系统上线后,一直平稳运行,基本实现了预期目标,提高了公司的风险管理力度,随着项目建设的不断深入,平台也将更趋于完善。回收宝马配件http://1550427.shop.52bjw.cn