企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)必須按照風(fēng)險(xiǎn)管理的思想，對(duì)可能存在的要挾、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，根據(jù)風(fēng)險(xiǎn)評(píng)估的成果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩�措施，妥�?dāng)應(yīng)對(duì)可能產(chǎn)生的風(fēng)險(xiǎn)。目前，信息安全等級(jí)保護(hù)是發(fā)達(dá)國(guó)家保護(hù)要害信息基礎(chǔ)設(shè)施，保障信息安全的通行。

二、信息安全等級(jí)保護(hù)

(一)信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的關(guān)系

1994年國(guó)務(wù)院頒布的《中華國(guó)民共和國(guó)盤(pán)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定盤(pán)算機(jī)信息系統(tǒng)履行信息系統(tǒng)安全等級(jí)保護(hù)。2003年中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的徊家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的看法)中明白提出： “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命根子、社會(huì)穩(wěn)固等方面的重要信息系統(tǒng)，抓緊建立信息系統(tǒng)安全等級(jí)保護(hù)制度，制定信息系統(tǒng)安全等級(jí)保護(hù)的管理措施和技巧指南”。2004年公安部等四部委《關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)工作的實(shí)行看法》也指出： “信息系統(tǒng)安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，進(jìn)步信息安全保障才能程度，保護(hù)國(guó)家安全、社會(huì)穩(wěn)固和公共利益，保障和促遺信息化建設(shè)健康發(fā)展的—項(xiàng)基礎(chǔ)制度”。等級(jí)保護(hù)工作的核心是對(duì)信息安全分等級(jí)，按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。風(fēng)險(xiǎn)評(píng)估做為信息安全工作的一種重要技巧手段，為系統(tǒng)安全等級(jí)保護(hù)的定級(jí)、測(cè)評(píng)和整改等工作階段供給重要根據(jù)，在實(shí)行信息安全等級(jí)保護(hù)周期和層次中施展著重要作用。在等級(jí)保護(hù)周期的系統(tǒng)等級(jí)階段中，依提信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)對(duì)所評(píng)估資產(chǎn)的重要性、客觀要挾產(chǎn)生的頻率、以及系統(tǒng)自身脆弱性的嚴(yán)重程度進(jìn)行辨認(rèn)和關(guān)聯(lián)分析，斷定信息系統(tǒng)應(yīng)采用什么強(qiáng)度的安全措施，然后將安全事件一旦產(chǎn)生后可能造成的影響把持在可接收的范疇內(nèi)：在安全實(shí)行階段，按照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，對(duì)現(xiàn)有系統(tǒng)進(jìn)行評(píng)估和加固，然落后行安全設(shè)備的安排，對(duì)在安全實(shí)行過(guò)程中也會(huì)產(chǎn)生事件并可能帶來(lái)長(zhǎng)期的隱患，風(fēng)險(xiǎn)評(píng)估能及早發(fā)明并解決這些問(wèn)題：在安全運(yùn)維階段，按照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)開(kāi)展定期和不定期的風(fēng)險(xiǎn)評(píng)估以便幫助確認(rèn)它保持的安全等級(jí)是否產(chǎn)生變更。

風(fēng)險(xiǎn)評(píng)估的技巧手段包含有系統(tǒng)審計(jì)、漏洞掃描和滲透測(cè)試，他們?cè)诘燃?jí)保護(hù)的各個(gè)層。

(二)等級(jí)保護(hù)制度的落實(shí)

目前，國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技巧標(biāo)準(zhǔn)，組織國(guó)民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)履行安全防護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)行履行監(jiān)督、管理，從而大力推行信息化建設(shè)的全面發(fā)展，但是，絕大多數(shù)的信息系統(tǒng)得運(yùn)營(yíng)、應(yīng)用單位依舊采用傳統(tǒng)的工作方法解決等級(jí)保護(hù)工作中的一系列問(wèn)題，尤其是相對(duì)數(shù)量的信息安全等級(jí)保護(hù)工作的職能部門(mén)，他們?cè)诼鋵?shí)等級(jí)保護(hù)工作中存在很大的問(wèn)題，表現(xiàn)在以下幾個(gè)方面：

一是信息系統(tǒng)安全等級(jí)保護(hù)工作認(rèn)識(shí)不深入、器重不到位。信息系統(tǒng)得安全性問(wèn)題不僅僅是用戶自身財(cái)產(chǎn)安全的問(wèn)題，其所有者應(yīng)當(dāng)承擔(dān)相應(yīng)的社會(huì)安全和大眾,利益安全的任務(wù)。然而，部分履行部門(mén)在開(kāi)展等級(jí)保護(hù)工作中從始至終都在被動(dòng)的敷衍監(jiān)管部門(mén)的檢查，這種思想上的不器重給監(jiān)管部門(mén)工作開(kāi)展帶來(lái)艱苦的同時(shí)，也阻礙全部信息系統(tǒng)安全等級(jí)保護(hù)工作的開(kāi)展;二是信息系統(tǒng)安全等級(jí)保護(hù)工作管理無(wú)序、缺乏束縛力。目前，—部分履行單位他們對(duì)信息系統(tǒng)安全等級(jí)保護(hù)工作組織開(kāi)展、管理實(shí)行無(wú)從下手，甚至對(duì)相干法律、政策和標(biāo)準(zhǔn)還不是很明白，同時(shí)沒(méi)有各自內(nèi)部專(zhuān)門(mén)機(jī)構(gòu)對(duì)等保工作實(shí)行監(jiān)督：三是履行單位的安全分工不清，沒(méi)有建立相應(yīng)得安全職能部門(mén)，這使得在安全等級(jí)保護(hù)工作中無(wú)法斷定各相干部門(mén)的職責(zé)，從而無(wú)法落實(shí)安全義務(wù)制。

針對(duì)這些問(wèn)題，建立信息安全管理組織是做好信息安全等級(jí)保護(hù)工作的必要條件。

1.建立信息安全管理組織的必要性

一個(gè)單位應(yīng)當(dāng)也必須建立信息安全管理組織，這個(gè)組織是這個(gè)單位在信息系統(tǒng)安全方面的最高權(quán)利組織。信息安全是所有管理層成員所共有的義務(wù)，一個(gè)管理組織應(yīng)確保有明白的安全目標(biāo)。在一個(gè)單位內(nèi)部，有關(guān)信息安全的工作需要一個(gè)強(qiáng)有力領(lǐng)導(dǎo)機(jī)構(gòu)來(lái)領(lǐng)帶和推動(dòng)，這是由于：1)首先是一些單位的業(yè)務(wù)對(duì)信息系統(tǒng)形成了完整的依附，另外信息安全會(huì)導(dǎo)致對(duì)社會(huì)大眾,利益、社會(huì)秩序和國(guó)家安銷(xiāo)告成侵害，甚至是嚴(yán)重的侵害。2)在一個(gè)單位中多個(gè)部門(mén)的信息任務(wù)既有接洽又有相對(duì)的獨(dú)立性，而這些任務(wù)又是這個(gè)單位全部信息任務(wù)的組成部分，所有這些都需要—個(gè)強(qiáng)有力的機(jī)構(gòu)進(jìn)行和諧和領(lǐng)導(dǎo)。3)全員應(yīng)用的信息系統(tǒng)中不同員工在其中所對(duì)應(yīng)的是不同的角色，在工作中的權(quán)限也有4)—個(gè)單位對(duì)信息系統(tǒng)安全所采用的各類(lèi)措施和決策是需要權(quán)威機(jī)構(gòu)來(lái)審批和決定的。