《关于开展网络安全等级保护的必要性分析报告.docx》由会员分享,可在线阅读,更多相关《关于开展网络安全等级保护的必要性分析报告.docx(5页珍藏版)》请在第一文库网上搜索。
1、关于开展网络安全等级保护的必要性分析报告一、开展等级保护必要性信息系统网络安全等级保护作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的中华人民共和国计算机信息系统安全保护条例,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)、关于信息安全等级保护工作的实施意见(公通字200466号)和信息安全等级保护管理办法(公通字200743号)等。随着国家越来越多重要业务工作通过信息化
2、的平台开展,国家越来越重视重要的行业、政府机关的信息安全工作。国家相关信息安全主管机关对等级保护工作已上升为国家的政策法规的高度,要求重要信息系统的安全建设需要达到相应的安全要求,并通过测评机构的测评、公安机关监督等行政法规督促等级保护工作的开展。等级保护的地位一是国家信息安全保障工作的基本制度、基本国策;二是开展信息安全工作的基本方法;三是促进信息化、维护国家信息安全的根本保障。网络安全法第二十一条、第三十一条,要求网络运营者实行网络安全等级保护制度。而江阴电信提供公共通信和信息服务,属于关键信息基础设施,更应在网络安全等级保护制度的基础上,实行重点保护。第二十一条规定:国家实行网络安全等级
3、保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。二、效益分析(一)经济效益分析(I)有利于提高信息化建设的投入产出比信息化的建设和实施是一个系统的、复杂的工程,引进信息系统等级保护体系,针对外事办信息系统的安全现状,提出一个切实可行、经济高效的解决方案,采取分期逐步推进的策略,可以使我们少走弯路,在较高的起点上以较小的资金和人员投入,取得更好的效果,在较短的时间内迅速提高信息系统的安全水准。(2)有利于从整体上降低信息化投入的资金按照等级保护标准进行建设整改,可以避免不同系统在信息安全上的
4、重复建设,大大降低发生安全事件的可能性和损失,从整体上将降低信息安全建设运维的费用,同时也可以避免在某个系统或某个环节出现安全漏洞,导致整个网络存在着较大的安全风险。(二)社会效益分析一是为信息系统提供了安全高效的技术保障在信息化系统建设中,安全是一个至关重要的问题。信息系统承载对公众服务和业务办公等业务,一旦信息系统出现安全事故将会造成较大的负面效应。因此开展信息系统安全建设整改,可以为信息系统建设提供安全高效运行的保障,具有非常重要的社会意义。二是有利于信息化建设向更高的层次推进随着信息化建设的推进,通过网络进行信息共享和数据交互的力度大大加强,数据传输的完整性和保密性已经提上信息化的议程
5、,这一切都对信息系统安全提出了更高的要求。只有对信息系统进行科学的评估,规划和建设一个集物理安全、网络安全、系统安全和数据安全等于一体的信息防护体系,才能为信息化的大力推进提供充分的安全保障。三、项目价值分析(1)响应国家政策和主管部门要求在每年的信息安全工作部署中,都将定期开展信息安全等级保护和信息安全整改作为重点工作之一。市公安局和发改委每年都会组织对全市重要信息系统开展安全检查,对系统信息安全状况抽查、关键设备抽检,排查安全隐患,堵塞安全漏洞,通报发现问题并敦促整改。(2)切实提高单位自身安全防护能力通过开展的信息安全等级保护工作,对现有重要信息系统安全现状分析,可以深入挖掘外事办在存在
6、安全漏洞和安全隐患,对存在问题的严重性进行定量和定性的评估,为安全建设整改提供参考依据,降低安全隐患对安全产生的负面影响,为系统稳定运行提供更好的保障,建立完整的安全防护体系和安全防护策略,提高信息系统安全保障能力,将信息安全事件扼杀在摇篮之中。(3)建立完善的安全管理体系通过开展信息安全等级保护工作,可以结合安全需求建立一套完善的安全管理体系,加强和完善管理制度规范化、人员和岗位职责、人员安全教育和培训、系统建设管理和系统运维管理,从根本上提高工作人员的信息安全意识,大幅度降低因安全意识薄弱造成安全事件的可能性。四、绩效目标分析通过开展等级保护工作,促进信息系统安全,提高服务管理水平,集服务管理,通过本次项目实施,实现提高组织工作效率、提升公共服务效能的目标。通过项目的开展,建立起一支技术过硬的业务操作和系统维护队伍、成功实现等级保护测评和安全整改实施及使用过程中的知识转移,是充分发挥项目价值、真正提高信息化工作效率和科学决策水平的重要前提。五、等级测评对象针对XXX信息系统网络测评对象主要包括技术和管理2个方面:技术物理安全、网络安全、数据安全与备份恢复管理安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。