狭义上说,网络信息安全工作的目的就是确保涉密的工作事项不发生失泄密问题,非涉密的工作事项依法依规进行信息共享和信息公开。
作为政府机关,在网络安全方面应该着力做好以下几项工作:
依照法律法规对工作事项定密、管理、处理和存储
按照《中华人民共和国保守国家秘密法》《国家秘密定密管理暂行规定》《工作秘密管理暂行办法》等法律法规对工作事项进行定密和管理,确保定密准确。
非涉密网络、信息系统、计算机、存储介质严禁处理和存储涉密信息。
涉密信息必须在涉密网络、信息系统、计算机和存储介质上处理和存储。且涉密网络、信息系统、计算机和存储介质密级不能低于所处理和存储的涉密信息的密级。如:秘密级涉密计算机不能存储机密级涉密信息。
依照法律法规对非涉密工作事项的政务数据分级、管理、共享、公开和存储
按照《中华人民共和国网络安全法》《数据安全管理办法》《政务数据分级与安全保护规范(试行)》等法律法规对已经确定为非涉密的工作事项的政务数据进行分级和管理。
非涉密的工作事项的政务数据依据数据,发生泄露、篡改、丢失或滥用后的影响对象、影响程度、影响范围进行数据安全等级分级。
根据政务数据的安全等级分级结果,确定政务数据的无条件开放(或共享)、有条件开放(或共享)和不予开放(或共享)。且承载非涉密工作事项政务数据的信息系统的安全等级保护级别(等级保护)应符合政务数据安全保护要求。如:承载三/四级非涉密政务数据的信息系统的安全等级保护级别必须是等级保护三级,不得是一级或二级。
依照法律法规开展信息系统建设、运维工作
按照《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》《中华人民共和国密码法》《国家政务信息化项目建设管理办法》,网络安全分级保护相关标准、网络安全等级保护相关标准等法律、法规、制度和标准规范的要求开展涉密信息系统和非涉密信息系统建设。一要在信息系统建设时,同步规划、同步建设、同步运行密码保障系统。二要在信息系统建设完成运行使用时,定期开展安全风险评估(涉密信息系统安全保密测评或者非涉密信息系统网络安全等级保护测评)和密码应用安全性评估。三要在开展信息系统运维工作时,运维企业和运维工作人员必须具备法律、法规及各项制度要求的资质和证书。
完善规章制度建设加强网络安全管理工作
网络安全管理工作是一项常态化、长期性的工作,目的是保证网络系统安全和网络信息(数据)的安全。要做好网络安全工作,就必须按照《中华人民共和国网络安全法》等法律法规的要求,建立本单位完善的网络安全工作的规章制度。
主要规章制度如P26页所示:一是网络安全管理制度,建立健全管理机构、落实人员分工、明确岗位责任,监督人员履职尽责。二是系统运行维护管理制度,包括操作规程及守则,硬件维护、软件维护和检查督查等方面。三是计算机及办公设备使用管理制度。四是机房安全管理规章制度。五是人员管理规章制度。六是数据管理制度和备份制度,在数据制作、存储、开放、共享、使用和销毁等方面加强管理,按照要求进行数据备份。七是人员培训制度,定期进行网络安全培训。八是网络安全事件应急预案,要做到有预案、预案可行、人员会按照预案进行应急处置,确保有能力处置网络安全事件。
加强人员培训和应急演练
做好网络安全工作的决定因素是人,只有提高工作人员的网络安全意识、网络安全知识和技术水平及管理人员网络安全技能,才能保证网络安全。因此应该定期对工作人员(包括管理人员)进行网络安全教育、技术和技能培训,适时进行考核。
网络安全事件应急处置工作是一项常备不懈的工作,必须定期按照应急预案进行实案化应急演练,一是对预案是否可行进行验证,发现问题及时对预案进行修订,确保预案可行。二是提高网络安全管理人员处置应急事件的能力,通过演练掌握处置流程和处置方法,高效处理网络安全事件,降低影响范围和影响程度。
扫一扫在手机上查看当前页面