长久以来，企业信息系统建设是企业战略的重点，而在不同的企业中，对信息化的重视程度不同和战略侧重点不同系统的，让企业对不同的信息系统的重视程度大不相同。常规而言是实时交易的业务系统可能按照最高标准要求其性能和安全等方面，而想内部业务管理系统则很可能得不到认识充分的重视而往往成为能够击溃大坝的蚁穴。我们并不是要讲某个具体的安全解决方案，而是从信息化管理的角度阐述对信息系统的管理要求是需要有等级保护的指导的。

　　实际上我国很早就已颁布了相应的法律法规，尽管如此今天我们仍然看到了很多问题的存在和发生.公安部刚刚破获的CSDN泄密案件已经拉响信息系统安全警报。有著名女网警之称的公安警官高媛女士认为：“由公安部推进的等级保护工作是具备一定权威效力的，但是由于有些行业信息化起步较早，当时的法律和技术等相对比较落后所以更容易出现风险。另外级别划分按照为系统本身存在的重要性和出现问题后产生的损失的影响范围和可恢复能力等因素。从04年开始至今，公安机关已经不断推动信息系统等级保护的工作向前走，但是仍然存在安全事件的发生。”

　　一问：你的企业是什么行业?需要不需要等级保护?

　　其实根据常识来讲，我们可以认为，金融业系统与财产安全息息相关，而其他行业则往往被忽略。实际上并不是这样子的，各行各业的信息系统如果遭到破坏都会对被害客体产应影响，而这些影响所产生的威胁往往对于我们的用户身却是致命的。但不同行业信息系统对用户的影响却又存在着很大的不同，所以根据《信息安全技术信息系统安全等级保护定级指南》的定级是这样的：

　　·第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

　　·第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

　　·第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

　　·第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

　　·第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

　　从国家颁布的指南我们看到，企业信息系统并不是说企业不属于所谓的“涉密”机构或行业就高枕无忧，实际上无论是出于对自己企业的软件资产保护和数据的安全保障，还是对用户的信息安全负责登记保护都是一种有效的保障方式。但并不是说所有系统都要用最高级别的等级来认定，选用适当的等级策略是可以作为CIO做企业信息化规划的一个考虑因素之一。而定级要素与信息系统安全保护等级的关系如图1所示。

图 定级要素与安全保护等级的关系

　　二问：你的信息系统怎么保护的?

　　首先要清楚一个有关于“可控性”名词的理解。企业信息化的保护工作在很多时候从硬件层就采用国外厂商的产品难道就意味着我们的信息系统存在着很大的安全风险?实际上如果要是完全强调所谓的“自主产权”则会让我们做信息化工作中可选余地变得少的可怜，而往往这样尽管达到了所谓的“可控性”，但是这个可控并不意味着没有风险，如果某个点上的“可控”影响到业务的连续性往往被看作是得不偿失的一种方式。

　　其次，有关于采购信息系统属于产品化或者封装性的系统时如何认定是否安全?这个问题对于CIO来说无异于采购的技术选型，而这个选型的过程需要参考国家发布的指南或认证机构的认定。对于这个产品是否值得信赖，我们可以通过自己的测试来验证，市场上很多公司可以支持这样的工作。对于信息系统外包研发的系统的我们可以在选定外包供应商之前对其资质、管理流程、技术认定等建立外包管理规范，这点在金融行业的企业中已经非常普遍。此外“等级保护的基本要求”中，对第三方的产品、外包源代码等都有管理和技术要求。当然如果供应商产品非开放源码的情况下，CIO是否应该考虑让供应商提供国家认定的鉴定报告或者许可资质也是一种对信息系统保障的手段。

　　三问：做信息系统的安全规划怎么考虑?

　　其实这是一个存在已久的话题，可能一般的互联网公司或者大型电子商务更加注重这方面的内容，而传统企业则考虑相对滞后。那么如何来做这种信息系统的风险审计、评估?而什么时候应该做?尽管国家法律法规没有明文规定所有企业都要按照等级保护来进行评估和认定，但是我们认为企业的数据是企业至关重要的一种资产，实施风险评估一方面要从代码方面考虑，但并不限于代码的走查;另一方面应该加强业务场景的模拟，用技术的角度评估系统的风险存在性。同时，企业可以考虑在公安部认定的全国102家公安部具备评测认证资质的机构进行风险评估认定和验证。