建立信息安全“四个体系”筑牢保密工作坚强防线
摘要:随着信息化建设的快速发展,信息技术在单位信息管理中得到深人应用,各行各业越来越依赖利用信息系统来加强单位信息管理。但是近年来,针对信息技术的网络攻击频繁发生,给信息保密安全带来严重威胁。基于此,本文主要对建立信息安全“四个体系”筑牢保密工作坚强防线进行分析探讨。
关键词:信息安全;“四个体系”;保密工作;坚强防线
前言
随着信息技术的深入发展和信息化建设的快速推进,保密工作面临的形势更加复杂严峻,保密管理的难度日益加大,原有的一些保密管理方式失去有效性,泄密渠道增多,涉密人员、涉密会议活动、涉密载体等保密管理亟须调整规范。在此背景下,国家在2010年和2014年先后修订并发布了《中华人民共和国保守国家秘密法》和《中华人民共和国保守国家秘密法实施条例》,进一步健全各项保密制度,为依法开展保密管理,维护信息信安全和利益提供了更加明确的法律依据。关于信息保密,保密法的第三章保密制度和第五章法律责任是贯彻落实的重点,其中保密制度对保密各方面工作提出了明确具体的要求,法律责任则明确了违反相关规定应受到的处罚。
1、建立信息安全责任体系,确保人人肩上有压力
为保障信息安全责任全面落实到位,涉密单位应成立信息安全领导和工作小组,由主要负责人担任组长,在各个部门设立信息安全和保密专责人,负责组织本部门信息安全和保密工作宣传教育、信息安全检查与考核等,对信息安全管理进行监督检查,及时发现并整改工作中存在的隐患和风险。定期开展信息安全综合治理督查工作,以深入现场、访谈抽查、信息安全常识测验等方式,督查信息安全管理及技术措施执行情况,组织各部门及时开展信息安全保密备案工作。要求全体工作人员在开展相关工作之前熟知信息安全规章制度和保密要求,并逐级签订信息安全和保密承诺书与责任书。
2、建立信息安全制度体系,确保管理覆盖无死角
没有规矩不成方圆。按照“积极防范,突出重点,既确保秘密安全又便利各项工作”的方针和“业务谁主管,保密谁负责”的原则,建立完善的信息安全管理制度体系。实行内外网设备入网审批制度,信息设备接入办公网络需要经过信息安全部门审批,并与工作人员签订信息安全与保密责任书和承诺书。对计算机、复印机、移动存储设备等涉密设备的申领、使用、维修和报废进行资产寿命全周期信息安全流程管理。涉密设备的申领需要信息安全管理部门的审批,其维修和报废也只能通过信息安全管理部门进行处理。规范信息设备USB接口使用,关闭所有信息设备的USB接口,建立信息设备USB接口使用审批制度。如工作人员因工作需要使用uSB接口,需向信息安全管理部门提出申请并经批准后方可限时使用。
3、建立信息安全防护体系,确保隐患风险可控能控
通过对泄密事件的“大数据”分析,信息系统口令不强、网站信息审核不严、无线网络使用不当、木马病毒、网络攻击、移动介质管理和使用不当等问题是泄密发生的主要原因。為此,将信息系统内网和外网进行完全物理隔离,从根源上切断内外网联系,防止保密信息联网泄露。有针对性部署内网网络防火墙、防病毒软件、入侵检测系统、入侵防御系统、漏洞扫描、上网行为管理等安全设备,对信息安全边界、信息横向域间进行防护。以信息通信调运检体系为基础,成立信息安全运维蓝队,全面开展网络攻击模拟演练和信息安全技能培训,持续提升信息安全和保密专业技能水平。
4、建立信息安全宣贯体系,做到保密意识入脑入心
加强信息安全和保密学习教育,是提高涉密工作人员保密意识和保密常识的有效途径,是做好信息安全工作的重要基础。以宣传教育为先导,通过不定期举办培训班、研讨会以及讲座等形式,增强涉密工作人员的信息安全和保密观念,每年对工作人员开展专题保密教育不少于2次,统一对新进人员进行信息安全和保密教育。广泛开展形式多样的信息安全宣传活动,拍摄信息安全和保密宣传片组织工作人员观看,举办信息安全和保密知识竞赛,提升全员保密意识和技能。在办公场所统一安装信息安全宣传看板,统一发放信息安全和保密宣传手册,为所有内网办公终端设定信息安全专用壁纸。在办公终端粘贴信息安全警示标签,给每个工作人员发放信息安全警示桌签,定期通过信息门户网站、办公邮件发布信息安全保密规定。开发重要信息推送软件,采用后台推送的方式宣贯信息安全最新规定,自动提醒信息安全要求和保密工作要求,对重点工作人员实行点对点推送,确保信息安全宣贯落实到位。
结语
信息通信涉密如果能切实落实“有法可依、有法必依、执法必严、违法必究”的原则,加强对四个关键主体的管控,保密管理工作就能够取得良好的成效。
参考文献
[1]苏培劻.移动存储介质信息安全管理的探析[J].电子技术与软件工程,2013(04):67-68.
[2]黄伟庆.信息安全标准化战略对国家核心利益的重要作用研究[J].北京电子科技学院学报,2013,21(01):5-13.