如何构建企业信息安全防护体系

对于国内企业尤其是涉及关键行业和重要领域的企业来说，构建全方位的信息安全防护体系意义重大，迫在眉睫。以下主要从政府和企业两个角度来谈谈对构建我国企业信息安全防护体系的想法。

从政府角度来看，需要加强信息安全法律法规建设，建立健全对企业信息系统的安全测试和评估检查工作，并在全国范围内建立有效的信息安全防护机制。

一是加快推进信息安全法律、法规和管理机制建设。建立信息安全相关产品和服务的安全审查制度，实行分类、分级管理，比如完善数据和软件的托管、个人隐私保护、安全管理规范等方面的标准和政策。

二是加强对企业信息系统的安全评估和测试工作。加快引导和推进国内关键行业和重点领域企业信息系统的安全评估和测试工作。在安全评估方面，主要针对企业主机安全保密检查与信息监管，评估分析重要信息是否发生泄露；在安全测试方面，针对企业信息系统的特征和需求，构造仿真测试环境。加强有效性测试、负荷与性能测试、一致性与兼容性测试等工作，并不断完善安全测评服务体系。

三是针对国家不同类型的信息系统建立严格的信息安全防护机制。根据信息系统重要性、信息量等指标的不同，建立严格的信息安全等级防护制度，并针对系统中国外产品的集成应用，制定特定的管理办法。

从企业角度来看，应重点加强对信息安全关键技术和核心产品的研发，提升企业信息安全专业服务水平，提升企业信息安全防护意识并加强与高校、科研机构，以及其他企业间的交流合作。

一是加强对网络安全、数据安全等关键技术和产品的研发。面向大数据、云计算、移动互联网等新兴领域，积极研究和开发与信息安全相关的产品和解决方案，探索新的业务模式；对标国外信息安全龙头企业开展相关业务，提升企业核心竞争力。

二是积极搭建面向重点行业领域的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应等服务；建设信息安全数据库，包括脆弱性漏洞库、安全事件检测库、软件补丁库、恶意代码库、标准信息库等，为广大用户提供快速、高效的信息安全咨询、预警、应急处理等服务，切实提高信息安全保障能力。

三是加强与高校、科研机构以及其他企业间的交流合作。与高校和科研机构建立长期合作机制，通过联合建立研发中心、技术与产业联盟、共同承担国家重大项目等方式开展信息安全关键技术和核心产品的研发，并积极推进技术成果的转移和交易，促进创新成果的产业化。

四是提升企业信息安全防护意识。企业可考虑将信息安全服务纳入信息化建设预算，并将网络安全应急处理、信息系统安全运维、数据与系统容灾备份等信息安全服务能力建设纳入重点支持范围；可考虑在同等条件下，优先采购和使用国产关键软硬件产品和信息系统，优先选择与国内专业信息安全厂商合作，建立基于企业全业务流程的信息安全解决方案。