중국의 정보 보안 관리 현황, 문제점 및 대응 방안

정보 보안은 국가 안보의 기초이자 관건이다. 정보 보안의 세 가지 요소 (인력, 기술 및 관리) 중 관리 요소의 지위와 역할이 점점 더 중시되고 있습니다. 정보 보안에서 관리의 핵심 역할을 이해하고 중시하는 것은 정보 보안 목표를 달성하는 데 특히 중요합니다. 이 문서에서는 정보 보안 관리의 현재 상황을 분석하고 정보 보안 관리를 강화하는 전략에 초점을 맞추고 있습니다.

키워드: 정보 보안 관리; 현상 유지 전략

정보 보안 관리는 정보와 정보 보안의 발전에 따라 발전한다. 정보사회에서는 정보가 인류의 중요한 자산이 되어 정치, 경제, 군사, 교육, 과학 기술, 생활 등에 중요한 역할을 한다. 한편, 컴퓨터 기술의 급속한 발전으로 인한 정보 보안 문제가 갈수록 두드러지고 있다. 정보의 전파, 확산 및 파괴가 용이하기 때문에 정보 자산은 기존의 물리적 자산보다 더 취약하고 파괴될 가능성이 높기 때문에 조직은 업무 운영 과정에서 큰 위험에 처하게 됩니다. 이러한 위험은 주로 조직 관리, 정보 시스템 및 정보 인프라의 내재적 약점과 허점, 조직 안팎에 존재하는 수많은 위협으로부터 비롯된다. 그 결과, 정보 보안 관리가 시작되어 정보 시스템을 엄격하게 관리하고 적절하게 보호할 수 있게 되었습니다.

1, 국내 정보 보안 관리 현황

1..1국가 거시 정보 보안 관리 문제

(1) 법률 및 규정 문제. 완벽한 정보 보안 법률 및 규정 체계는 국가 정보 안전을 보장하는 기초이자 첫 번째 방어선이다. 우리나라는 법률, 행정 법규, 부서 규정 및 규범 문서의 세 가지 수준의 정보 보안 법률 및 규정 체계를 수립하여 조직과 개인의 정보 보안 행위에 대한 보안 요구를 제기하였다. 그러나 우리 나라의 법률 및 규정 시스템에는 여전히 몇 가지 결함이 있다. 첫째, 기존 법률 및 규정의 불완전 성 (예: 법률 및 규정 간의 내용 교차, 동일한 행위에 대한 행정 처벌의 주체 수, 일부 규칙 및 행정 법규가 서로 상충되는 경우, 처벌의 폭이 다릅니다. 6? 8 일치 둘째, 규정 건설은 정보 기술의 발전을 따라가지 못하고, 주로 네트워크 계획 건설, 네트워크 관리 운영, 네트워크 보안, 데이터의 법적 보호, 전자 자금 이체의 법적 인증, 컴퓨터 범죄, 형사법, 컴퓨터 증거의 법적 효력 등을 다루고 있다.

(2) 관리 문제. 관리에는 조직 건설, 제도 건설, 인원 의식의 세 가지 측면이 포함됩니다. 조직 건설은 정보 보안 관리 기관의 건설을 의미합니다. 정보 보안 관리에는 보안 계획, 위험 관리, 비상 계획, 안전 교육 교육, 보안 시스템 평가, 보안 인증 등 여러 가지 측면이 포함되며, 단 한 기관만으로는 이러한 문제를 해결할 수 없습니다. 정보안전관리기관 사이에는 명확한 분업이 있어야 하며,' 다책' 과' 당기기 정책' 의 현상을 피해야 한다. 실행 가능한 규칙과 제도, 즉 제도 건설을 진행하여 정보 안전을 보장해야 한다. 예를 들어, 사람에 대한 관리는 여러 사람의 책임, 책임에서 사람에 이르기까지 임기 제한, 책임 분리, 최소 권한 등의 문제를 해결해야 한다. 조직과 그에 상응하는 제도를 통해 지도자는 군방군치, 즉 인원의 안전의식을 강화해야 한다. 이를 위해서는 정보안전의식의 교육과 훈련이 필요하고 정보안전문제를 중시해야 한다.

(3) 국가 정보 인프라 구축. 현재 중국 정보 인프라를 구성하는 네트워크, 하드웨어, 소프트웨어 등의 제품은 거의 모두 외국의 핵심 정보 기술에 기반을 두고 있다. 국가 정보 인프라의 문제가 국가의 높은 중시를 불러일으켰다. 예를 들어, "10 번째 5 개년 계획" 기간 동안 국가 863 계획 및 과학 기술 연구의 중요한 프로젝트에는 "정보 보안 및 전자 정부" 및 "금융 정보화" 가 포함됩니다. 2002 년 6 월 5438+ 10 월 1

1.2 우리나라 마이크로정보안전관리의 주요 문제는 다음과 같습니다.

(1) 정보 보안 인식 및 명확한 정보 보안 정책이 부족합니다. 대부분의 조직의 최고 경영진은 정보 자산이 직면한 위협의 심각성을 충분히 인식하지 못하거나 IT 보안에만 국한되어 있으며, 조직의 정보 보안 관리를 안내하는 합리적인 정보 보안 정책이 형성되지 않아 완벽한 정보 보안 관리 시스템 부족, 필요한 보안 법규 부족, 직원의 보안 위험 방지를 위한 교육 훈련 부족, 기존 보안 규정이 엄격하게 시행되지 않을 수 있습니다.

(2) 안전 기술에주의를 기울이고 안전 관리를 무시하십시오. 현재 조직은 일반적으로 현대 통신, 컴퓨터 및 네트워크 기술을 활용하여 조직 효율성과 경쟁력을 높이기 위해 정보 시스템을 구축하고 있지만, 시스템 운영, 유지 관리 및 개발 중인 일자리가 명확하지 않고 한 사람이 여러 직책을 겸임하는 현상과 같은 해당 관리 조치는 적절하지 않습니다.

(3) 안전 관리에는 체계적인 관리의 개념이 부족하다. 대부분의 조직에서 기존 보안 관리 모델은 여전히 전통적인 관리 방식이며, 보안 위험 평가에 기반한 동적이고 지속적으로 향상된 관리 방법이 아닌, 사안에 대한 정적 관리입니다.

2. 외국 정보 보안 관리 현황

최근 몇 년 동안 국제 정보 보안 관리의 발전은 주로 다음과 같은 측면을 포함한다.

(1) 정보 보안 개발 전략 및 계획 수립 발전 전략과 계획을 수립하는 것은 선진국의 일관된 관행이다. 미국, 러시아, 일본 모두 정보 보안이 올바른 방향으로 발전하도록 자체 정보 보안 개발 전략 및 계획을 개발 중이거나 개발 중입니다.

(2) 정보 보안 입법을 강화하여 통일된 규범 관리를 실현하다. 법률의 형식으로 정보 보안 업무를 규정하고 규범화하는 것은 안전 조치를 효과적으로 시행하는 가장 강력한 보장이다. 인터넷 정보 보안 규칙 제정의 선구자는 각 주요 포털사이트이며, 미국 야후, AOL 등 사이트는 실제로 자체 정보 보안 관리 방법을 형성하고 있다. 1O 년 6 월 5 일 미국 상원은' 인터넷 네트워크 무결성 및 주요 장비 보호법' 을 통과시켰다. 2000 년 9 월, 러시아는' 인터넷 정보안전법' 을 시행했다.

(3) 표준화되고 체계적인 관리 시대로 접어들다. 1980 년대 IS09000 품질 관리 표준의 출현과 이후 전 세계적으로 보급됨에 따라 시스템 관리에 대한 생각도 다른 관리 분야에서도 차용되고 채택되었으며, 정보 보안 관리도 90 년대에 표준화와 체계화 관리 시대로 접어들었다. 1995 년 영국은 2000 년 국제표준화기구가 국제표준인 ISO/IEC 17799 로 인정한 BS7799 정보안전관리표준을 최초로 도입했다. 현재 이 기준은 이미 많은 국가와 지역의 중시를 불러일으켰으며, 일부 국가에서는 보급되고 적용되었다. 조직에서 이 표준을 구현하면 정보 보안 위험을 포괄적이고 체계적으로 관리하여 조직 정보 보안을 실현할 수 있습니다. 이와 동시에, 다른 국가와 단체들도 정보 보안 관리와 관련된 많은 기준을 제시했다.

3. 정보 보안 관리 강화 전략

국민 경제와 사회 정보화 과정이 전면적으로 가속화됨에 따라 정보 보안 관리는 점점 더 심각한 상황과 도전에 직면해 있다. 전반적으로 현재 우리나라의 정보 보안 관리는 아직 초기 단계에 있으며, 기초가 약하고 수준이 낮기 때문에 시급히 해결해야 할 문제가 많다. 우리는 세계적인 관점에서 정보 보안의 조직과 관리를 강화해야 한다.

(1) 중앙 집중식 통합, 분업 협력을 위한 정보 보안 관리 메커니즘을 구축합니다. 정보 보안의 핵심은 조직과 리더십에 있다. 근본적으로 우리 나라의 정보 보안 업무를 강화하기 위해서는 전국적으로 통일되고 분업이 협력하는 정보 보안 관리 메커니즘을 구축해야 한다. 우선, 국가는 각종 안전이익을 조율하고 유지할 수 있는 종합적인 기능기관을 설립하고, 고도의 권위 있는 국가정보안전위원회를 국무원 정보화 지도부의 상설기구로 설립하여 현재 국가 정보안전 유지 방면에서 부서가 분산되고, 임무가 불분명하고, 다두관리, 조정성이 떨어지고, 정책이 많은 국면을 바꿔야 한다. 둘째, 각 기능 부서는 분업 명확성, 책임 이행, 상호 연결, 유기적 협력을 위한 조직 관리 체계를 형성하여' 누가 주관할 것인가, 누가 책임질 것인가' 원칙에 따라 정보 안전 관리 책임을 이행해야 한다. 셋째, 가능한 한 빨리 비교적 완벽한 성 () 과 시 () 2 급 정보 보안 리더십 관리 체계를 구축하고, 각종 자원을 적극 동원하여 정보 보안 업무를 적극적으로 조율하고 조율하여 수직적이고 수평적인 정보 보안 조정 및 정보 공유 메커니즘을 형성한다. 넷째, 정부, 기업, 개인의 적극성을 충분히 동원하고, 유기적 연계를 실현하며, 합력을 형성하고, 국가 정보 보안 체계를 공동으로 건설한다. 다섯째, 정보 보안 책임제를 건전하게 보완하고, 각 부처가 정보 보안 업무 책임자를 명확히 하고, 해당 정보 안전원을 갖추도록 요구하며, 실제로 정보 보안 책임을 사람에게 이행할 것을 요구한다.

(2) 정보 보안 법제 건설을 강화하여 정보 보안 관리를 위한 법 집행 근거를 제공한다. 정보 보안 체계의 중요한 구성 요소로서, 관련 법규와 표준체계의 건설은 필수적이다. 다음 단계에서는 정보 보안 법률 및 규정 체계를 수립하고 개선하기 위해 노력해야 합니다. 동시에 정보 보안 법 집행 팀 구성을 중시하고 강화해야 한다. 각 정보 보안 기능 부서의 법 집행 활동은 법률에 규정된 권한과 절차에 따라 엄격하게 진행되어야 하며, 직권을 제대로 행사하고, 의무를 이행하며, 기업과 시민의 합법적인 권익을 보호하고, 사이버 범죄를 단속해야 한다. 각 관련 주관 부서와 운영 단위는 법 집행 기관의 업무를 적극 지원하고 응당 의무를 이행해야 한다. 사회 조직, 기업 및 개인은 법률에 규정된 정보 보안 책임과 의무를 자각적으로 이행하고 법에 따라 정보 네트워크 환경에서 활동을 수행해야 합니다.

(3) 효과적인 조치를 취하여 정보 보안 수준 보호 작업의 원활한 전개를 적극 추진하다. 정보 보안 수준 보호를 실시하는 것은 국가가 정보 보안 문제를 해결하는 기본 정책이다. 정보 보안 수준 보호는 정보 시스템의 사회적 가치와 경제적 가치 보호에 대한 객관적인 요구 사항입니다. 즉, 정보의 민감성과 중요성, 시스템 적용의 성격과 엄격한 가치, 부서의 중요성에 따라 과학적이고 합리적인 보호 조치를 취하는 것입니다. 국계 민생과 관련된 국가 핵심 정보 인프라는 계층적으로 보호해야 한다. 적절한 보호, 합리적인 비용, 실명과 낭비를 피하다. 정보 보안 수준 보호를 실시하려면 국가는 글로벌 전략적 관점에서 중요한 부분을 파악하고 장기적 보호 메커니즘을 구축해야 합니다. 현재 정보 보안 수준 보호 시범 사업은 이미 약간의 경험을 쌓았다. 정보 보안 수준 보호의 우산 개발을 촉진하기 위해서는 정보 시스템 수준 보호에 대한 모든 당사자의 책임을 명확히 하는 데 중점을 두어야 합니다. 다양한 정보 보안 수준 보호 관리 시스템 개발 정보 보안 수준 보호를 위한 관리 사양 및 기술 표준 시스템 개발 및 개선 사회와 기술력에 의지하여 기술 지원 체계를 수립하다. 정보 보안 수준 보호 기록, 테스트 및 평가를 위한 정보 시스템 및 기술 연구 개발

도구; 홍보, 훈련 등을 강화하다.

(4) 새로운 상황에서 정보 사이버 범죄 예방과 타격 체계를 탐구하고 확립하기 위해 노력한다. 최근 몇 년 동안 중국은 사이버 범죄 단속에 많은 일을 하여 큰 성과를 거두었다. 그러나, 정보 기술의 지속적인 발전과 함께, 사이버 범죄의 형태가 더욱 다양해지고 기술적 수단이 더욱 발전함에 따라, 이는 우리가 법 집행 부문을 주체로 삼아 사회 전체의 힘을 동원하는 정보 사이버 범죄 예방과 타격 체계를 지속적으로 구축하고 보완해야 한다. 인터넷 기술을 이용하여 시스템, 완전하고 유기적인 행정법 집행 및 형사법 집행 체계를 세우고, 정보사이버 범죄를 예방, 통제, 조사하고, 정보 사이버 범죄를 예방, 통제, 조사 및 단속하는 능력을 높인다. 다음 네 가지 방면의 일을 중점적으로 해야 한다: 하나는 전 사회의 예방 통제 메커니즘이다. 둘째, 통일 지휘, 신속한 대응의 수사 메커니즘. 셋째, 관련 부서 및 단위의 지원 협력 메커니즘. 넷째, 공검법 3 기관의 조정 협력 메커니즘.