企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)必須按照風(fēng)險管理的思想，對可能存在的要挾、脆弱性和需要保護(hù)的信息資源進(jìn)行分析，根據(jù)風(fēng)險評估的成果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩�措施，妥�?dāng)應(yīng)對可能產(chǎn)生的風(fēng)險。目前，信息安全等級保護(hù)是發(fā)達(dá)國家保護(hù)要害信息基礎(chǔ)設(shè)施，保障信息安全的通行。

二、信息安全等級保護(hù)

(一)信息安全等級保護(hù)和風(fēng)險評估的關(guān)系

1994年國務(wù)院頒布的《中華國民共和國盤算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定盤算機(jī)信息系統(tǒng)履行信息系統(tǒng)安全等級保護(hù)。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的徊家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的看法)中明白提出： “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命根子、社會穩(wěn)固等方面的重要信息系統(tǒng)，抓緊建立信息系統(tǒng)安全等級保護(hù)制度，制定信息系統(tǒng)安全等級保護(hù)的管理措施和技巧指南”。2004年公安部等四部委《關(guān)于信息系統(tǒng)安全等級保護(hù)工作的實(shí)行看法》也指出： “信息系統(tǒng)安全等級保護(hù)制度是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，進(jìn)步信息安全保障才能程度，保護(hù)國家安全、社會穩(wěn)固和公共利益，保障和促遺信息化建設(shè)健康發(fā)展的—項基礎(chǔ)制度”。等級保護(hù)工作的核心是對信息安全分等級，按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。風(fēng)險評估做為信息安全工作的一種重要技巧手段，為系統(tǒng)安全等級保護(hù)的定級、測評和整改等工作階段供給重要根據(jù)，在實(shí)行信息安全等級保護(hù)周期和層次中施展著重要作用。在等級保護(hù)周期的系統(tǒng)等級階段中，依提信息安全風(fēng)險評估國家標(biāo)準(zhǔn)對所評估資產(chǎn)的重要性、客觀要挾產(chǎn)生的頻率、以及系統(tǒng)自身脆弱性的嚴(yán)重程度進(jìn)行辨認(rèn)和關(guān)聯(lián)分析，斷定信息系統(tǒng)應(yīng)采用什么強(qiáng)度的安全措施，然后將安全事件一旦產(chǎn)生后可能造成的影響把持在可接收的范疇內(nèi)：在安全實(shí)行階段，按照風(fēng)險評估標(biāo)準(zhǔn)，對現(xiàn)有系統(tǒng)進(jìn)行評估和加固，然落后行安全設(shè)備的安排，對在安全實(shí)行過程中也會產(chǎn)生事件并可能帶來長期的隱患，風(fēng)險評估能及早發(fā)明并解決這些問題：在安全運(yùn)維階段，按照風(fēng)險評估標(biāo)準(zhǔn)開展定期和不定期的風(fēng)險評估以便幫助確認(rèn)它保持的安全等級是否產(chǎn)生變更。

風(fēng)險評估的技巧手段包含有系統(tǒng)審計、漏洞掃描和滲透測試，他們在等級保護(hù)的各個層。

(二)等級保護(hù)制度的落實(shí)

目前，國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技巧標(biāo)準(zhǔn)，組織國民、法人和其他組織對信息系統(tǒng)分等級履行安全防護(hù)，對等級保護(hù)工作的實(shí)行履行監(jiān)督、管理，從而大力推行信息化建設(shè)的全面發(fā)展，但是，絕大多數(shù)的信息系統(tǒng)得運(yùn)營、應(yīng)用單位依舊采用傳統(tǒng)的工作方法解決等級保護(hù)工作中的一系列問題，尤其是相對數(shù)量的信息安全等級保護(hù)工作的職能部門，他們在落實(shí)等級保護(hù)工作中存在很大的問題，表現(xiàn)在以下幾個方面：

一是信息系統(tǒng)安全等級保護(hù)工作認(rèn)識不深入、器重不到位。信息系統(tǒng)得安全性問題不僅僅是用戶自身財產(chǎn)安全的問題，其所有者應(yīng)當(dāng)承擔(dān)相應(yīng)的社會安全和大眾,利益安全的任務(wù)。然而，部分履行部門在開展等級保護(hù)工作中從始至終都在被動的敷衍監(jiān)管部門的檢查，這種思想上的不器重給監(jiān)管部門工作開展帶來艱苦的同時，也阻礙全部信息系統(tǒng)安全等級保護(hù)工作的開展;二是信息系統(tǒng)安全等級保護(hù)工作管理無序、缺乏束縛力。目前，—部分履行單位他們對信息系統(tǒng)安全等級保護(hù)工作組織開展、管理實(shí)行無從下手，甚至對相干法律、政策和標(biāo)準(zhǔn)還不是很明白，同時沒有各自內(nèi)部專門機(jī)構(gòu)對等保工作實(shí)行監(jiān)督：三是履行單位的安全分工不清，沒有建立相應(yīng)得安全職能部門，這使得在安全等級保護(hù)工作中無法斷定各相干部門的職責(zé)，從而無法落實(shí)安全義務(wù)制。

針對這些問題，建立信息安全管理組織是做好信息安全等級保護(hù)工作的必要條件。

1.建立信息安全管理組織的必要性

一個單位應(yīng)當(dāng)也必須建立信息安全管理組織，這個組織是這個單位在信息系統(tǒng)安全方面的最高權(quán)利組織。信息安全是所有管理層成員所共有的義務(wù)，一個管理組織應(yīng)確保有明白的安全目標(biāo)。在一個單位內(nèi)部，有關(guān)信息安全的工作需要一個強(qiáng)有力領(lǐng)導(dǎo)機(jī)構(gòu)來領(lǐng)帶和推動，這是由于：1)首先是一些單位的業(yè)務(wù)對信息系統(tǒng)形成了完整的依附，另外信息安全會導(dǎo)致對社會大眾,利益、社會秩序和國家安銷告成侵害，甚至是嚴(yán)重的侵害。2)在一個單位中多個部門的信息任務(wù)既有接洽又有相對的獨(dú)立性，而這些任務(wù)又是這個單位全部信息任務(wù)的組成部分，所有這些都需要—個強(qiáng)有力的機(jī)構(gòu)進(jìn)行和諧和領(lǐng)導(dǎo)。3)全員應(yīng)用的信息系統(tǒng)中不同員工在其中所對應(yīng)的是不同的角色，在工作中的權(quán)限也有4)—個單位對信息系統(tǒng)安全所采用的各類措施和決策是需要權(quán)威機(jī)構(gòu)來審批和決定的。