三、建立质检信息安全风险评估机制
建立质检网络和信息安全评估机制是保障质检网络和信息安全的重要措施。从信息安全需求出发,综合平衡安全建设成本和面对的安全风险,针对质检信息系统的不同类型、级别、层次和信息化的不同发展阶段,突出重点,根据安全等级进行安全建设和管理。
按照国家有关信息安全等级保护的政策规定,确定网络和信息系统的安全等级。涉及到全局的系统由总局组织进行安全风险评估,涉及到专项或各地局部应用的系统由各地自行组织评估,评估结果报总局备案。安全评估结果要作为项目验收的依据。信息安全工作责任部门要跟踪、研究和提出信息安全风险评估工作要求和指南。
要逐步完成对检验检疫广域网和质检主干网、总局机关局域网系统、检验检疫综合业务系统(CIQ2000)、“三电”工程及中国电子检验检疫、中国质量监督检验检疫信息网和总局机关办公自动化系统等重要网络和信息系统风险安全评估,提出完善意见和措施。对在建和拟建的重要信息系统,要在规划、建设、运行和验收等各个阶段做好安全设计、实施和评估工作。通过安全风险评估,及时发现各种信息安全隐患和漏洞,采取防范措施,确保系统安全可靠运行。
四、加快建设质检信息安全监控体系
针对质检系统现状,整合现有的网络和信息安全资源,加强涉及全系统的广域网安全系统和网络监控管理系统的建设,逐步形成以总局为核心的分级管理的,以计算机病毒防范、入侵防范为重点的质检网络和信息安全监控体系。主要措施如下:
(一)在质检主干网建设和扩充时,加强网络安全基础设施的建设,初步建成从总局到各直属检验检疫局和各省、自治区、直辖市及计划单列市质量技术监督局的质检业务主干网络和信息安全监控系统。
(二)对于系统内各单位内部业务网络及与外部互联的接入网络,应遵照总局有关网络安全建设的有关要求,按照统一规划、分步实施的原则由各单位负责建立网络和信息安全监控体系。
(三)对于管理、使用和维护层次结构比较复杂的网络系统,要加强网络和信息安全运行维护的监控和统一管理。
五、加强信息安全运行维护,建立信息安全应急处理机制
为最大程度地减少信息安全事故造成的损失、化解和控制风险,要采取有效措施强化信息安全系统的运行维护,建立不同等级的信息安全应急处理机制。在加强日常运行维护,解决网络和信息系统一般故障的同时,重点增强处理突发事故的反应和紧急响应能力。
