电子政务内外互通
试点方向:电子政务信息安全
访谈人物:广东省信息中心副主任曾强
目前,妨碍电子政务系统互联互通的主要原因就是由此带来的信息安全问题。跟济源市试点方向不同,广东省的试点方向主要是通过等级保护,探索解决省、市、县(区)电子政务系统的信息共享与互联互通问题。曾强介绍说,面对国信办试点布置的这个大命题,广东省将试点命题
细化成以下几个方面:由广东省民政厅及东莞、深圳两市民政局以及地下救助站完成民政4个业务系统纵向互联互通试点;由省政府办公厅完成视频会议系统省府门户网站试点;由佛山市政府完成财税库银互联互通系统试点;由江门市政府完成开放互联环境下的信息安全解决方案试点;由佛山市南海区政府完成大社保6个分系统横向互联互通试点。
关于如何解决在不同的电子政务系统之间,安全实现互联互通以及资源共享问题,曾强介绍说,试点工作中,广东省综合运用等级保护和风险评估相结合的方法,确定了解决互联互通问题的基本思路:一是明确系统的重要程度,确定系统安全等级,采取与系统安全等级相适应的安全保护措施;二是按照有条件互联、共享可控制的原则,确定需要共享的系统和应用以及需要共享的数据,保证只共享那些确实需要共享的数据,以保护系统中原有信息的安全;三是在进行系统互联的部门之间建立共同的安全管理机制,明确系统互联后的安全管理责任、管理边界、安全事件协同处理等机制;四是对系统互联的安全风险进行评估,全面分析低安全等级的系统给高安全等级的系统带来的安全风险;五是针对系统互联的安全风险,确定关键的安全控制要素,如互联边界的访问控制、系统互联的安全传输等,并落实具体的安全措施,保障系统互联、数据共享的安全。
在以上措施的执行下,广东省取得了初步成功,形成了《广东省电子政务系统定级规范》、《广东省电子政务系统互联互通安全规范》等地方指导性文件。
风险规避预先保障
试点方向:信息安全风险评估
访谈人物:国家税务总局处长李建彬
上海市信息化委员会信息安全测评中心
总工程师应力
信息网络,风险无处不在,防患于未然是上上之策。这也是风险评估安全保障的内涵所在。国信办于2005年2月组织北京市、上海市、黑龙江省、云南省、中国人民银行、国家税务总局、国家电网公司、国家信息中心等地方和部门开展信息安全风险评估试点工作。
国家税务总局在广东地税南海数据中心所进行的风险评估试点,最大的亮点就是具有创新精神的“差距分析法”。
李建彬在介绍广东南海试点经验时,将差距分析法用一句话概括,就是“通过找出安全目标与现实系统差距,从而得出风险分析报告”。在试点工作中,李建彬感触最深的就是,要对系统生命周期的整个过程都持续不断地引入风险评估,尽量避免“先运行,后评估”的亡羊补牢式工作流程,以降低信息系统整体的信息安全风险等级。此外,李建彬还提出在风险评估工作具体实施过程中必须重点考虑以下几点:
首先是风险评估与等级保护有密切的关系。类别和级别都是信息系统的固有属性,通过风险评估可以识别系统的类别和安全级别,从而落实“等级保护”这一国家政策。但是系统的安全级别不应该一刀切,可考虑将系统最高安全级别部分的安全等级作为系统的安全等级。其次是系统分析是系统安全评估的基础工作。再次是行业性系统安全要求在风险评估中起决定作用,不同行业的系统有着不同的安全要求,必须为不同行业、不同类型的系统制定适应其特点的系统安全要求。最后,通过安全风险评估工作进一步完善系统安全总体设计。
上海市在很早的时候就开始对风险评估进行探索。2002年上海市就确立180家重点信息安全责任单位(2004年调整为163家),涉及重要政府部门、公共事业单位、基础网络和涉及国计民生的重要信息系统。2006年,上海市发布了《上海市公共信息系统安全测评管理办法》,又于2007年1月出台了《上海市市级机关信息系统建设与管理指南》。之后,上海市信息委又出台了关于风险评估工作的实施意见,明确建立自评估与检查评估制度的原则、工作安排。
上海市信息安全测评中心总工程师应力博士在介绍上海市的风险评估实践经验时,多次强调要引导各单位进行自评估建设,让信息安全风险评估成为政府及企事业信息安全建设的常态,在系统的设计阶段、验收阶段、运行阶段,都需要进行风险评估工作,形成“预防为主,持续改进”的风险评估机制。应力认为,对信息安全主管机关来说,风险评估是一种管理措施,通过风险评估,领导者可以了解信息系统的安全现状,从而为管理决策提供依据。
电子政务内外互通
试点方向:电子政务信息安全
访谈人物:广东省信息中心副主任曾强
目前,妨碍电子政务系统互联互通的主要原因就是由此带来的信息安全问题。跟济源市试点方向不同,广东省的试点方向主要是通过等级保护,探索解决省、市、县(区)电子政务系统的信息共享与互联互通问题。曾强介绍说,面对国信办试点布置的这个大命题,广东省将试点命题
细化成以下几个方面:由广东省民政厅及东莞、深圳两市民政局以及地下救助站完成民政4个业务系统纵向互联互通试点;由省政府办公厅完成视频会议系统省府门户网站试点;由佛山市政府完成财税库银互联互通系统试点;由江门市政府完成开放互联环境下的信息安全解决方案试点;由佛山市南海区政府完成大社保6个分系统横向互联互通试点。
关于如何解决在不同的电子政务系统之间,安全实现互联互通以及资源共享问题,曾强介绍说,试点工作中,广东省综合运用等级保护和风险评估相结合的方法,确定了解决互联互通问题的基本思路:一是明确系统的重要程度,确定系统安全等级,采取与系统安全等级相适应的安全保护措施;二是按照有条件互联、共享可控制的原则,确定需要共享的系统和应用以及需要共享的数据,保证只共享那些确实需要共享的数据,以保护系统中原有信息的安全;三是在进行系统互联的部门之间建立共同的安全管理机制,明确系统互联后的安全管理责任、管理边界、安全事件协同处理等机制;四是对系统互联的安全风险进行评估,全面分析低安全等级的系统给高安全等级的系统带来的安全风险;五是针对系统互联的安全风险,确定关键的安全控制要素,如互联边界的访问控制、系统互联的安全传输等,并落实具体的安全措施,保障系统互联、数据共享的安全。
在以上措施的执行下,广东省取得了初步成功,形成了《广东省电子政务系统定级规范》、《广东省电子政务系统互联互通安全规范》等地方指导性文件。
风险规避预先保障
试点方向:信息安全风险评估
访谈人物:国家税务总局处长李建彬
上海市信息化委员会信息安全测评中心
总工程师应力
信息网络,风险无处不在,防患于未然是上上之策。这也是风险评估安全保障的内涵所在。国信办于2005年2月组织北京市、上海市、黑龙江省、云南省、中国人民银行、国家税务总局、国家电网公司、国家信息中心等地方和部门开展信息安全风险评估试点工作。
国家税务总局在广东地税南海数据中心所进行的风险评估试点,最大的亮点就是具有创新精神的“差距分析法”。
李建彬在介绍广东南海试点经验时,将差距分析法用一句话概括,就是“通过找出安全目标与现实系统差距,从而得出风险分析报告”。在试点工作中,李建彬感触最深的就是,要对系统生命周期的整个过程都持续不断地引入风险评估,尽量避免“先运行,后评估”的亡羊补牢式工作流程,以降低信息系统整体的信息安全风险等级。此外,李建彬还提出在风险评估工作具体实施过程中必须重点考虑以下几点:
首先是风险评估与等级保护有密切的关系。类别和级别都是信息系统的固有属性,通过风险评估可以识别系统的类别和安全级别,从而落实“等级保护”这一国家政策。但是系统的安全级别不应该一刀切,可考虑将系统最高安全级别部分的安全等级作为系统的安全等级。其次是系统分析是系统安全评估的基础工作。再次是行业性系统安全要求在风险评估中起决定作用,不同行业的系统有着不同的安全要求,必须为不同行业、不同类型的系统制定适应其特点的系统安全要求。最后,通过安全风险评估工作进一步完善系统安全总体设计。
上海市在很早的时候就开始对风险评估进行探索。2002年上海市就确立180家重点信息安全责任单位(2004年调整为163家),涉及重要政府部门、公共事业单位、基础网络和涉及国计民生的重要信息系统。2006年,上海市发布了《上海市公共信息系统安全测评管理办法》,又于2007年1月出台了《上海市市级机关信息系统建设与管理指南》。之后,上海市信息委又出台了关于风险评估工作的实施意见,明确建立自评估与检查评估制度的原则、工作安排。
上海市信息安全测评中心总工程师应力博士在介绍上海市的风险评估实践经验时,多次强调要引导各单位进行自评估建设,让信息安全风险评估成为政府及企事业信息安全建设的常态,在系统的设计阶段、验收阶段、运行阶段,都需要进行风险评估工作,形成“预防为主,持续改进”的风险评估机制。应力认为,对信息安全主管机关来说,风险评估是一种管理措施,通过风险评估,领导者可以了解信息系统的安全现状,从而为管理决策提供依据。
| 共2页: 上一页 [1] 2 |