企业信息安全水平最有效的分析方法

企业信息安全水平最有效的分析方法

    个人认为现在中小企业都几乎忽略了信息安全水平的评估工作，一味的投入生

产、分析收益，对于企业重要资产、数据报表、企业战略规划、财务数据等重要敏感

数据均未得到很好的保护的现象进行重视。

    某些中小企业的领导、决策层发现了该问题，但苦于企业行业性质的原因，并未

有合适的信息安全力量队伍做为技术支撑，导致迟迟未开展对企业内部信息安全水平

进行分析的工作。

    经过多年的工作，总结了以下几点针对信息安全水平的分析方法：

    （一）等级保护技术要求差异分析

     该分析方法应借鉴“等级保护”相关标准，对应用、网络、主机、物理、数据五个方面的安全要求，按照不同的企业定级级别与安全技术要求来进行逐项评估。

     特点：可参考国家出台的各等级保护相关标准对企业内部各重点安全分类，按

照各技术标准要求的内容进行逐项进行安全评估，分析企业内部信息安全水平现状与

安全要求级别所制定的差距。得出信息安全薄弱环节所在，并针对该薄弱环节进行完

善整改。从而提高信息安全水平。

     （二）等级保护管理要求差异分析

    等级保护办法中除了技术要求外，对企业内部信息安全的管理要求也制定了相应

的参照。例如不同安全等级有不同的企业内部管理安全要求内容。

    管理要求主要体现在：

    1）安全管理制度的制定、修订、发布。

    2）安全管理机构的设立、例如信息安全小组等。

    3）对于企业内部人员的安全管理。

    4）以及企业内部的系统建设安全管理与运维管理。

    以上四个部分所提及的相对于技术要求而言，而具备过程持续性。

    大家都知道，安全技术主要是针对安全问题而采取的一系列技术应对措施，而安

全管理则是面对全过程，可持续性的，由内而外，涉及企业内部命脉的重要措施。两

者缺一不可，相辅相成。

    等级保护相关技术标准目录：

系统定级: 《信息系统安全保护等级定级指南》

 

• 安全保护: – 《信息系统安全等级保护基本要求》  《信息系统安全等级保护实施指南》

 

• 检测评估: 《信息系统安全等级保护基本要求》  《信息系统安全等级保护测评准则》

•   

其他标准：

• 《计算机信息系统安全保护等级划分准则》（GB17859-1999 ）

• 《信息安全技术  网络基础安全技术要求》

• 《信息安全技术  信息系统通用安全技术要求》

• 《信息安全技术  操作系统安全技术要求》

• 《信息安全技术  数据库管理系统安全技术要求》

• 《信息安全技术  服务器技术要求》

• 《信息安全技术  终端计算机系统安全等级技术要求》

 

 

   

     专业的信息安全水平差距分析，才是企业不断提高信息安全水平的有效途径。

本文出自 “灵魂刺刃” 博客，谢绝转载！