禹舜(北京)管理咨询有限公司欢迎您

关于我们 联系我们

咨询电话:022-26867666 16622183889

当前位置: 首页>>创业知识>>焦点咨讯

天津审计之企业为什么要做等级保护?

发布于 2019-08-03 18:21:05 阅读(325)

什么是等保?

      等保即信息安全等级保护,是指对重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护;对信息系统中使用的信息安全产品实行按等级管理;对信息系统中发生的信息安全事件分等级响应、处置。

      网络安全等级保护是信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评等相关工作。

为什么要做等级保护?

(一)法律规章要求

《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。

(二)行业要求

在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。

(三)企业系统安全的需求

信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

等级保护涉及范围

(一)省辖市以上党政机关的重要网站和办公信息系统;

(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;

(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

       开展信息安全等级保护工作,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,能够大大提高我国信息和信息系统安全建设的整体水平。

       信息生命周期管理模型以为信息有一个从产生、维护、读取、更改、迁移、存档、回收的周期、再次激活以及退出的生命周期,对信息停止贯串其整个生命的。

       信息生命周期管理模型以为信息有一个从产生、维护、读取、更改、迁移、存档、回收的周期、再次激活以及退出的生命周期,对信息停止贯串其整个生命的管理需求相应的战略和技术完成手腕。其目的在于协助企业在信息生命周期的各个阶段以更低的本钱取得更大的价值。信息从产生的那一刻起就自然地进入到了一个循环,经过搜集、复制、访问、迁移、退出等多个步骤,最终完成一个生命周期,而这个过程必然需求良好管理的配合,假如不能停止很好地规划,结果就会是,要么是糜费了过多的资源;要么是资源缺乏降低了工作效率。

      同时,价值追求过程意味着风险,所以为了可以躲避风险保证信息价值的完成,很多企业都会在信息生命周期管理中着重对信息安全停止相关审计,办法普通会采取普通审计或专项审计等。关于信息审计(美国信息系统审计的权威专家Ron Weber又将它定义为“搜集并评价证据以决议一个计算机系统能否有效做到维护资产、维护数据完好、完成目的,同时最经济的运用资源”)的概念,信息安全审计是要处理信息系统的安全性风险,其它还包括牢靠性的风险,有效性的风险还有完好性等等。

      信息安全审计是要树立和增强信息安全的一个管控和监管方面的工作。自身信息安全审计技术也就在这方面提供了一个在这方面监管和管控工作的技术手腕。目的就是对信息安全的整个防护体系的有效性停止辨认、判别和评价。由于安全防护体系有很多的局部组成,有很多的安全产品组成,包括防火墙,IPS,防病毒等等,自身有机地组织起来。但是它总体的安全体系运转怎样样是很重要的,必需是有机的一个整体。信息安全审计实践上就是对整体性、有效性的一个评判。去评判你的信息安全防护体系战略的有效性,战略设置的有效性,依照我们所说的安全战略,防火墙有防火墙的战略,防黑客、防IDS,防黑客的病毒,每个安全产品都要经过配置安全战略去执行,那么就是安全战略设置的有效性,安全战略执行的有效性。

      信息安全审计主要内容掩盖了信息系统和业务系统在运转过程中所面临的各种潜在的风险以及面对的风险所可以去处置的这些对策,包括信息系统的根底设备的安全的风险,还有一些牢靠性的风险和合规性的风险,以及在业务的过程中一些操作风险和合规性的风险。它自身的信息系统审计及时地处理,及时地发如今各种潜在的,在信息系统中各种潜在的风险,它的目的主要是去发现风险,评价以及安全风险的怎样来去针对风险施行安全审计以及安全审计的效劳,效劳费用户它去剖析风险然后提出一个处理的对策。因而,信息安全审计须遵照一些准绳,从而使得审计可以保证价值的完成。

      信息安全审计是一个复杂的系统工程。在审计中有着一点精华“哪里有风险就在哪里下重药”。风险点在你的系统越庞大,这个风险就越大,风险越大,你就要把它肯定成你搜集的审计对象。审计数据和对象也比拟多。同时随着各项审计的开展,安全审计开展成为从处理计划和技术手腕交融的手腕,然后在一些关键部位装置一些审计产品,搜集一些审计数据来停止剖析,到了后面效劳的方面更多的是一种领悟,来提供剖析数据,展示风险所在,提出应对的战略。我们想的是这么一个一体化的东西,而不是仅卖一个安全审计产品就完了。因而,我们在做企业信息安全审计时,须应用ILM的思想来对企业中信息安全风险停止辨认、挑选、剖析和控制,从而完成企业信息安全价值化。

      信息安全审计必需有一套规范和标准。国外的信息安全审计曾经根本上处于一个成熟的应用阶段,主要得益于她们的一套比拟完善的信息安全审计规范和标准。有了这些标准和规范来支撑它,所以他在展开在应用上就有一个很好的条件。在国内,我们国度鼎力推进信息安全等级维护这个工作,从客观上对企业信息安全提出了审计请求。信息安全审计与信息安全办理亲密相关,信息安全审计的主要依据为信息安全办理相关的标准。这些标准实践上是出于不同的角度提出的操控系统,根据这些操控系统能够有效地操控信息安全风险,从而到达信息安全审计的意图,进步信息系统的安全性。