La situación actual, problemas y contramedidas de la gestión de la seguridad de la información en mi país.
La seguridad de la información es la base y la clave de la seguridad nacional. Entre los tres elementos de la seguridad de la información (personas, tecnología y gestión), el estado y el papel de los elementos de gestión están recibiendo cada vez más atención. Comprender y prestar atención al papel clave de la gestión en la seguridad de la información es particularmente importante para lograr los objetivos de la seguridad de la información. Este artículo analiza la situación actual de la gestión de la seguridad de la información y se centra en estrategias para fortalecer la gestión de la seguridad de la información.
Palabras clave: seguridad de la información; gestión; situación actual; estrategia
La gestión de la seguridad de la información se desarrolla con el desarrollo de la información y la seguridad de la información. En la sociedad de la información, por un lado, la información se ha convertido en un activo importante de la humanidad y desempeña un papel importante en la política, la economía, el ejército, la educación, la ciencia y la tecnología, la vida y otros aspectos. Por otra parte, los problemas de seguridad de la información provocados por el rápido desarrollo de la tecnología informática se han vuelto cada vez más prominentes. Debido a que la información se difunde, difunde y destruye fácilmente, los activos de información son más frágiles y más susceptibles a sufrir daños que los activos físicos tradicionales, lo que expondrá a las organizaciones a grandes riesgos durante las operaciones comerciales. Este riesgo proviene principalmente de las debilidades y lagunas inherentes en la gestión organizacional, los sistemas de información y la infraestructura de la información, así como de una gran cantidad de amenazas que existen dentro y fuera de la organización. Por ello, la gestión de la seguridad de la información surgió como los tiempos lo requieren, para gestionar de manera estricta y proteger adecuadamente los sistemas de información.
1. Estado actual de la gestión de la seguridad de la información nacional
1.1 Cuestiones en la gestión nacional de la seguridad de la macroinformación
(1) Cuestiones legales y regulatorias. Un sistema completo de leyes y regulaciones de seguridad de la información es la base y la primera línea de defensa para garantizar la seguridad de la información nacional. Nuestro país ha establecido un sistema legal y regulatorio de seguridad de la información en tres niveles: leyes, reglamentos administrativos, reglamentos departamentales y documentos normativos, que plantea requisitos de seguridad para el comportamiento de seguridad de la información de organizaciones e individuos. Sin embargo, todavía existen algunas fallas en el sistema legal y regulatorio de nuestro país. En primer lugar, hay imperfecciones en las leyes y reglamentos existentes, como la superposición de contenidos entre leyes y reglamentos, muchos sujetos sujetos a sanciones administrativas por el mismo comportamiento, algunas reglas y reglamentos administrativos entran en conflicto entre sí, y la gama de castigos varía. 6 a 8 son consistentes; en segundo lugar, la elaboración de regulaciones no puede seguir el ritmo del desarrollo de la tecnología de la información, que involucra principalmente la planificación y construcción de redes, la gestión y operación de redes, la seguridad de las redes, la protección legal de datos, la autenticación legal de transferencias electrónicas de fondos, la informática. delito, legislación penal y evidencia informática Falta de validez legal y otros aspectos de las regulaciones.
(2) Problemas de gestión. La gestión incluye tres niveles: construcción de la organización, construcción del sistema y concientización del personal. La construcción organizacional se refiere a la construcción de instituciones de gestión de seguridad de la información. La gestión de la seguridad de la información incluye planificación de seguridad, gestión de riesgos, planes de emergencia, educación y capacitación en seguridad, evaluación del sistema de seguridad, certificación de seguridad y muchos otros aspectos. Una organización por sí sola no puede resolver estos problemas. Debe haber una clara división del trabajo entre las agencias de gestión de seguridad de la información para evitar el fenómeno de "políticas múltiples" y "políticas de atracción". Es necesario establecer reglas y regulaciones prácticas, es decir, llevar a cabo la construcción de sistemas para garantizar la seguridad de la información. Por ejemplo, la gestión de personas necesita resolver problemas como las responsabilidades de varias personas, la responsabilidad de los niños hacia las personas, los términos limitados, la separación de responsabilidades y la autoridad mínima. Una vez implementadas la organización y los sistemas correspondientes, los líderes deben otorgar gran importancia a la prevención y la gobernanza del grupo, lo que significa fortalecer la conciencia de seguridad del personal. Esto requiere educación y capacitación sobre conciencia de seguridad de la información y concede gran importancia a las cuestiones de seguridad de la información.
(3) Construcción de infraestructura nacional de información. En la actualidad, casi todas las redes, hardware, software y otros productos que componen la infraestructura de información de China se basan en tecnologías de información centrales extranjeras. Los problemas existentes en la infraestructura nacional de información han atraído gran atención por parte del país. Por ejemplo, durante el período del "Décimo Plan Quinquenal", proyectos importantes en el plan nacional 863 y la investigación científica y tecnológica incluyen "seguridad de la información y gobierno electrónico" e "informatización financiera". Las "Medidas para la administración de licencias comerciales de telecomunicaciones" que entraron en vigor del 5438 de junio al 1 de octubre de 2002 exigen claramente que los fabricantes de software de productos de telecomunicaciones no puedan reservar "puertas traseras" en su software, y que los proveedores extranjeros no puedan iniciar sesión de forma remota. para los operadores de telecomunicaciones chinos, el sistema operativo y el sistema de gestión avanzado deben utilizar productos de software desarrollados por instituciones nacionales confiables.
1.2 Los principales problemas existentes en la gestión de la seguridad de la microinformación en mi país son los siguientes.
(1) Falta de concienciación sobre la seguridad de la información y de una política clara de seguridad de la información.
La alta dirección de la mayoría de las organizaciones no es plenamente consciente de la gravedad de las amenazas que enfrentan los activos de información, o se limitan a la seguridad de TI y no han formado una política de seguridad de la información razonable para guiar la gestión de seguridad de la información de la organización, lo que se manifiesta por la falta de un sistema completo de gestión de seguridad de la información, la falta de leyes y regulaciones de seguridad necesarias y de educación y capacitación para los empleados para prevenir riesgos de seguridad, y es posible que las regulaciones de seguridad existentes no se apliquen estrictamente.
(2) Preste atención a la tecnología de seguridad y desprecie la gestión de seguridad. En la actualidad, las organizaciones generalmente utilizan tecnologías modernas de comunicaciones, computadoras y redes para construir sistemas de información para mejorar la eficiencia y la competitividad de la organización. Sin embargo, no existen las medidas de gestión correspondientes. Por ejemplo, las posiciones en la operación, el mantenimiento y el desarrollo del sistema no están claras. una persona ocupa múltiples cargos.
(3) La gestión de la seguridad carece del concepto de gestión sistemática. El modelo de gestión de seguridad existente en la mayoría de las organizaciones sigue siendo un método de gestión tradicional, y es una gestión práctica y estática, en lugar de un método de gestión dinámico y de mejora continua basado en la evaluación de riesgos de seguridad.
2. Estado actual de la gestión de seguridad de la información extranjera
El desarrollo de la gestión de seguridad de la información internacional en los últimos años incluye principalmente los siguientes aspectos.
(1) Formular estrategias y planes de desarrollo de seguridad de la información. La formulación de estrategias y planes de desarrollo es una práctica constante en los países desarrollados. Estados Unidos, Rusia y Japón han desarrollado o están formulando sus propias estrategias y planes de desarrollo de seguridad de la información para garantizar que la seguridad de la información avance en la dirección correcta.
(2) Reforzar la legislación sobre seguridad de la información y lograr una gestión unificada y estandarizada. Proporcionar y estandarizar el trabajo de seguridad de la información en forma de ley es la garantía más poderosa para la implementación efectiva de las medidas de seguridad. Los pioneros en la formulación de reglas de seguridad de la información de la red son los principales sitios web estadounidenses, como Yahoo y AOL, que en la práctica han formado sus propios métodos de gestión de la seguridad de la información. El 5 de junio de 2010, el Senado de los Estados Unidos aprobó la Ley de Protección de Equipos Críticos e Integridad de la Red de Internet. En septiembre de 2000, Rusia implementó la "Ley de seguridad de la información en redes".
(3) Entrando en la era de la gestión estandarizada y sistemática. Con el surgimiento del estándar de gestión de calidad IS09000 en la década de 1980 y su posterior promoción y aplicación en todo el mundo, la idea de gestión de sistemas también ha sido tomada y adoptada por otros campos de la gestión, y la gestión de seguridad de la información también se ha vuelto estandarizada y sistemática. gestión en la década de 1990. En 1995, el Reino Unido tomó la iniciativa en el lanzamiento del estándar de gestión de seguridad de la información BS7799, que fue reconocido como el estándar internacional ISO/IEC 17799 por la Organización Internacional de Normalización en 2000. Ahora este estándar ha atraído la atención de muchos países y regiones y ha sido promovido y aplicado en algunos países. Las organizaciones que implementan este estándar pueden gestionar de manera integral y sistemática los riesgos de seguridad de la información, logrando así la seguridad de la información organizacional. Al mismo tiempo, otros países y organizaciones también han propuesto muchos estándares relacionados con la gestión de la seguridad de la información.
3. Estrategias para fortalecer la gestión de la seguridad de la información
Con la aceleración general del proceso de informatización de la economía y la sociedad nacional, la gestión de la seguridad de la información se enfrenta a situaciones y desafíos cada vez más graves. En términos generales, la gestión de la seguridad de la información en mi país aún está en su infancia, tiene una base débil y un nivel bajo, y hay muchos problemas que deben resolverse con urgencia. Deberíamos fortalecer la organización y gestión de la seguridad de la información desde una perspectiva global.
(1) Establecer un mecanismo de gestión de seguridad de la información que esté centralizado y unificado, con división del trabajo y colaboración. La clave para la seguridad de la información reside en la organización y el liderazgo. Para fortalecer fundamentalmente el trabajo de seguridad de la información de nuestro país, debemos establecer un mecanismo nacional de gestión de seguridad de la información centralizado, unificado y coordinado.
En primer lugar, el Estado debe establecer una agencia funcional integral que pueda coordinar y salvaguardar diversos intereses de seguridad, y establecer un Comité Nacional de Seguridad de la Información altamente autorizado como agencia permanente del Grupo Líder de Información del Consejo de Estado para cambiar la situación actual en el mantenimiento de la seguridad de la información nacional. Por un lado, los departamentos están dispersos, con responsabilidades poco claras, gestión múltiple, mala coordinación y muchas políticas; en segundo lugar, cada departamento funcional debe formar un sistema de gestión organizacional con una clara división del trabajo, implementación de responsabilidades, conexión mutua y cooperación orgánica; , de acuerdo con "quién está a cargo, quién es responsable" en tercer lugar, establecer un sistema de gestión de liderazgo en seguridad de la información relativamente completo a nivel provincial y municipal lo antes posible, movilizar activamente diversos recursos para cooperar activamente y coordinar el trabajo de seguridad de la información, y formar un mecanismo de coordinación e intercambio de información de seguridad de la información vertical y horizontal, en cuarto lugar, movilizar plenamente el entusiasmo del gobierno, las empresas y los individuos, lograr vínculos orgánicos, formar sinergias y construir conjuntamente un sistema nacional de seguridad de la información; en quinto lugar, mejorar y mejorar la seguridad de la información; sistema de responsabilidad, que requiere que todos los departamentos y unidades definan claramente a la persona a cargo del trabajo de seguridad de la información y equipen a los oficiales de seguridad de la información correspondientes para implementar verdaderamente las responsabilidades de seguridad de la información para las personas.
(2) Fortalecer la construcción de un sistema legal de seguridad de la información y proporcionar una base de aplicación de la ley para la gestión de la seguridad de la información. Como parte importante del sistema de seguridad de la información, es imperativa la elaboración de leyes, reglamentos y sistemas estándar pertinentes. En el siguiente paso, debemos esforzarnos por establecer y mejorar el sistema de leyes y regulaciones de seguridad de la información; al mismo tiempo, debemos prestar atención y fortalecer la construcción del equipo de aplicación de la ley de seguridad de la información; departamento funcional debe llevarse a cabo en estricta conformidad con la autoridad y los procedimientos estipulados en la ley, y ejercer correctamente sus poderes y cumplir con sus responsabilidades, proteger los derechos e intereses legítimos de las empresas y los ciudadanos y combatir el ciberdelito; y las unidades operativas deben apoyar activamente el trabajo de los organismos encargados de hacer cumplir la ley y cumplir con sus debidas obligaciones. Las organizaciones sociales, las empresas y los individuos deben cumplir conscientemente con sus responsabilidades de seguridad de la información estipuladas por la ley y las obligaciones de llevar a cabo actividades en el entorno de la red de información de acuerdo con la ley; .
(3) Tomar medidas efectivas para promover activamente el desarrollo fluido del trabajo de protección del nivel de seguridad de la información. La implementación de protección del nivel de seguridad de la información es la política básica del país para resolver los problemas de protección de la seguridad de la información. La protección del nivel de seguridad de la información es un requisito objetivo para la protección del valor social y económico de los sistemas de información, es decir, tomar medidas de protección científicas y razonables basadas en la sensibilidad e importancia de la información, la naturaleza y el valor estricto de la aplicación del sistema. y la importancia del departamento; está relacionada con la economía nacional y el sustento de la gente. La infraestructura de información crítica nacional debe protegerse en diferentes niveles, con un gasto razonable y evitar la ceguera y el despilfarro. Para implementar un nivel de protección de seguridad de la información, el país debe considerar la perspectiva estratégica general, aprovechar los vínculos clave y establecer un mecanismo de protección a largo plazo. En la actualidad, se ha acumulado cierta experiencia en el trabajo piloto de protección del nivel de seguridad de la información. Para promover el desarrollo general de la protección del nivel de seguridad de la información, debemos centrarnos en los siguientes aspectos: aclarar las responsabilidades de todas las partes en la protección del nivel de seguridad de la información; formular varios sistemas de gestión de protección del nivel de seguridad de la información; formular y mejorar la gestión de la protección del nivel de seguridad de la información; especificaciones y sistemas de estándares técnicos; confiar en las fuerzas sociales y técnicas para establecer sistemas de soporte técnico y herramientas de investigación y desarrollo de tecnología para la presentación, prueba y evaluación del nivel de seguridad de la información;
(4) Se deben hacer esfuerzos para explorar y establecer una red de información sobre un sistema de prevención y combate del delito en la nueva situación. En los últimos años, China ha trabajado mucho en la lucha contra el delito cibernético y ha logrado grandes resultados. Sin embargo, con el desarrollo continuo de la tecnología de la información, las formas de los delitos cibernéticos se han diversificado más y los métodos técnicos se han vuelto más avanzados. Esto requiere que establezcamos y mejoremos continuamente un sistema de prevención y lucha contra los delitos cibernéticos de la información con los organismos encargados de hacer cumplir la ley como organismo principal. y movilizar a toda la sociedad. Utilice la tecnología de red para establecer un sistema de aplicación de la ley administrativa y penal sistemático, completo y orgánicamente conectado para prevenir, controlar e investigar delitos en las redes de información, y mejorar la capacidad de prevenir, controlar, investigar y combatir los delitos en las redes de información. Debemos centrarnos en los siguientes cuatro aspectos: Primero, el mecanismo de prevención y control de toda la sociedad. El segundo es un mecanismo de investigación con mando unificado y respuesta rápida. El tercero es el mecanismo de apoyo y cooperación de los departamentos y unidades pertinentes. El cuarto es el mecanismo de coordinación de los tres organismos de seguridad pública, fiscalía y justicia.