前言:中文期刊网精心挑选了信息安全等级保护解决方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全等级保护解决方案范文1
关键词信息安全;等级保护;系统管理水平;思路与机制
现代企业信息系统在取得飞速发展的过程中,也普遍存在着一系列的安全故障,这些安全问题存在于信息系统运行的各个阶段,比如在规划阶段缺乏对于信息系统的整体安全保护意识,就会直接影响到设计阶段安全方案的有效实行。其次在正式上线运行之后,缺乏对安全测试机制的设置以及各项等级测评和运行环境测试的忽略,将对企业整体信息系统造成危害。因此我们必须从信息系统规划的整个生命周期出发,不断加强安全等级保护意识。
1信息安全等级保护管理的提升思路
(1)信息安全等级保护的管理现状。随着现代信息社会的智能化飞速发展和人们对工作高效性的不断追求,企业信息系统的发展取得飞速进步,但是不可否认的是信息安全等级相关措施的设置仍存在着一定缺陷,主要体现在首先企业信息系统在规划设计阶段过于侧重专业应用功能的效能发挥和实际应用,而在很大程度上忽略了信息系统安全保护和等级设置的巨大作用,因此在具体的设计方案上也就缺少相关配套安全措施的同步规划设计。其次就体现在测试和正式上线运行阶段,没有建立十分完善的安全性测试机制,因此关于一系列的测评环节也就失去了具体的实际意义。关于恶意软件代码的审查、源代码的后门查询认证以及相关关系统漏洞的查找和运行等级测评等安全隐患环节,都难以实现正常环节下的系统维护。以上关于企业信息系统运行过程中存在的安全故障,要求相关技术人员必须通过安全等级设置和维护不断提升信息系统的安全建设,为实现信息网络社会的长远发展提供安全保障[1]。
(2)提升信息系统安全等级保护的具体思路。众所周知企业信息系统的生命周期包括规划、设计、开发、测试、实施和应用上线与上架以及运行维护等环节,而要想不断提升信息系统安全等级保护水平,就必须将其五个工作阶段,也就是定级、备案、安全建设和整改信息、安全等级测评以及信息安全检查融入信息系统的生命周期中。还要根据目前信息系统管理过程中存在的一系列问题,设置安全等级保护的重点内容,最大程度上降低安全隐患,为信息系统的安全稳定运行提供基础保障。
首先是企业信息系统的规划阶段,技术人员要从企业具体实际情况出发,计算相应的信息安全等级开发和维护的费用清单,为后续的规划设计和运行维护提供物质上的保障。还要对相应的信息系统安全等级管理的整体体系和工作任务以及具体流程进行宏观上的规划,为后续的等级设计和系统维护提供保障。接下来是设计阶段,系统建设部门要根据公司的具体要求组织设计方案,并提交相关部门审核通过。对于需要设置安全等级保护的系统来说,在定级之后系统建设部门人员要对系统运维和开发单位进行合理组织,科学设计安全等级保护总体方案和相关的运行维护规划。在开发阶段,系统建设部门作为用户方必须严格遵守相关的规范来进行等级设置和运行维护。在具体过程中要绝对使用正版合格的操作系统、并严格检测强口令和系统测试的合格证明,从而有效保证信息安全和等级管理过程中的有效性和实用性。在测试阶段,主要侧重于对安全等级保护管理工作和安全测评进行合理有效的评估。在这一过程中仍然涉及对国家相关法律规定的遵守和行业标准的执行,在必要条件下要向当地公安机关进行备案。接下来是安全等级保护的实施和上线运行阶段,在工作过程中系统介绍部门要合理敦促有关机构和部门合理维护等级保护管理工作的进行,对测评整改的工作成果进行合理验收。并且还要在最大程度上实现安全等级工作对信息系统整体的安全维护和故障排查,为实现企业信息管理的科学性提供基础的智力保障[2]。最后是关于信息系统的运行维护阶段,运维阶段是安全等级保护的关键输出阶段,要本着“谁主管谁负责,谁运行谁负责”的原则,对相关的安全隐患进行分配和整改。此外对于信息安全等级保护中的关键环节,也就是数据备份、安全隐患分析排查等要分配专门的技术人员进行跟踪,确保企业运行的长远性。
2设置安全等级保护管理下的信息系统工作机制
首先是信息安全考评机制的设置,这一环节的工作过程指的是由信息职能部门对公司的各项信息专业工作进行合理的检查和考核,根据具体的安全等级分配实施效果和开展情况,对相关部门和机构进行评估。并将评估结果进行反馈和整改,这样就建立了完善的信息管理系统的监督和评估制度,更有利于企业合理的绩效分配和长远的发展。其次是信息安全等级的协同机制,这个主要通过建立明确的信息化领导小组来协调实现。通过具体文件来明确信息安全工作的职责和具体环节的任务分配,不断明确信息系统测评和评估过程中所发现的问题,通过协调配合不断建立完善的安全整改方案,并交由相关部门进行落实。最后是例会机制,通过开展定期例会的形式来对信息系统安全等级保护过程中存在的相关问题进行系统探讨,集中开展相关的信息保护提升会议,为最大程度上改善企业信息管理系统运行过程中存在的故障问题提供解决方案[3]。
3结束语
安全等级管理需要相关的工作机制来进行维持和保障,比如相应的例会机制、协同机制和考评机制就在很大程度上优化了等级保护的整体水平。通过过程渗透和机制维护,不但加固了信息系统的安全防护水平,而且还有助于企业整体管理效率和质量的提升,从而为企业经济收益和社会影响力的提升提供了基础保障。
参考文献
[1] 周寅晴,欧阳资春.浅谈信息系统安全等级保护测评的实施管理[J].数字通信世界,2018(8):155-156.
[2] 王丙飞. 信息系统安全等级保护综合管理系统设计与实现[D].北京:电子科技大学,2017.
信息安全等级保护解决方案范文2
[关键词] 信息等级保护概述;中国石油;等级保护建设
[中图分类号] TP391;X913.2 [文献标识码] A [文章编号] 1673 - 0194(2013)05- 0057- 02
1 信息等级保护制度概述
信息安全等级保护制度是国家信息安全保障工作的基本制度,是促进信息化健康发展的根本保障。其具体内容包括:①对国家秘密信息,法人和其他组织及公民的专有信息以及公开信息,存储、传输、处理这些信息的信息系统实行分等级安全保护、分等级监管;②对信息系统中使用的信息安全产品实行按等级管理;③对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护配套政策体系及标准体系如图1、图2所示。
定条件的测评机构开展等级测评;④建设整改:备案单位根据信息系统安全等级,按照国家政策、标准开展安全建设整改;⑤检查:公安机关定期开展监督、检查、指导。
2 中国石油信息安全等级保护制度建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中都名列前茅。2007 年全国开展信息安全等级保护工作之后,中国石油认真贯彻国家信息安全等级保护制度各项要求,全面开展信息安全等级保护工作。逐步建成先进实用、完整可靠的信息安全体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施,使中国石油的信息安全保障能力显著提高。主要采取的措施有以下几个方面:
(1)以信息安全等级保护工作为契机 , 全面梳理业务系统并定级备案。中国石油根据国家信息安全等级保护制度要求,建立自上而下的工作组织体系,明确信息安全责任部门,对中国石油统一建设的应用系统进行等级保护定级和备案,通过制定《中国石油天然气集团公司重要信息系统安全等级保护定级实施暂行意见》,加强桌面安全、网络安全、身份认证等安全基础防护工作,加快开展重要信息系统的等级测评和安全建设整改工作,进一步提高信息系统的安全防御能力,提高系统的可用性和安全性。在全面组织开展信息系统等级保护定级备案工作之后,聘请专业测评机构,及时开展等级测评、安全检查和风险评估工作,并通过等级测评工作查找系统的不足和安全隐患,制订安全整改方案,开展安全整改和加固改造,保障信息系统持续安全稳定运行。
(2)以信息安全等级保护工作为抓手 , 全面推动中国石油信息安全体系建设。中国石油以信息安全等级保护工作为抓手,完善信息安全整体解决方案,建立技术保障体系、管理保障体系和控制保障体系。采用分级、分域的纵深防御理念,将桌面安全、身份认证、网络安全、容灾等相关技术相互结合,建立统一的安全监控平台和安全运行中心,实现对应用系统的授权访问、桌面计算机的安全控制、网络流量的异常监控、恶意软件与攻击行为的及时发现与防御、业务与数据安全保障等功能,显著提高抵御外部和内部信息安全威胁的能力。建立了总部、区域网络中心、企事业单位三级信息系统安全运维队伍;采用集中管理、分级维护的管理模式,网络与安全运维人员采用授权方式,持证上岗,建立网络管理员、安全管理员和安全审计员制度;初步建立起中国石油内部信息安全风险评估队伍,并于 2010 年完成地区公司的网络安全风险评估工作。
(3)建立重要信息系统应急处置预案,完善灾难恢复机制。2008 年,中国石油了《网络与信息安全突发事件专项应急预案》,所有业务系统、网络管理、安全管理等都建立了应急响应处置预案和灾备系统,保障业务系统在遭遇突发事件时,能快速反应并恢复业务系统可用性。通过灾难恢复项目研究,形成了现状及风险分析、灾难恢复等级划分、灾备部署策略分析和灾备部署方案四步法,划分了信息系统灾难恢复等级,完善了灾难恢复机制。
(4)规划信息安全运行中心,建立重要信息系统安全监控机制。中国石油规划了信息安全运行中心的建设方案,提出了信息安全运行中心建设目标,通过网络运行状态、安全信息数据汇集、安全监测分析功能和安全管理流程的有机整合,实现中国石油 信息安全状况的可感知、可分析、可展示、可管理和可指挥,形成中国石油信息安全事件分析、风险分析、预警管理和应急响应处理一体化的技术支撑能力;通过完善安全运行管理体系,将安全运行管理组织、安全运维管理流程和安全监测预警系统三方面有机结合,实现事前预警防范、事中监控处置、事后追溯定位的信息安全闭环运行机制,形成中国石油统一的应急指挥与协调调度能力,为中国石油信息安全保障奠定良好的基础。
3 信息安全等级保护工作存在的不足及改进建议
信息安全等级保护管理办法 (公通字[2007]43号)正式标志着全国范围内的信息安全等级保护工作开始,通过5年的努力,全国信息安全工作形成了以落实信息安全等级保护制度为核心,信息通报、应急处理、技术研究、产业发展、网络信任体系和标准化建设等工作快速发展的良好局面,重要行业部门的信息安全意识、重视程度、工作能力有了显著提高。40余个重要行业出台了100余份行业等级保护政策文件,20余个重要行业出台了40余份行业等级保护标准,但同时存在着以下不足:
(1)对信息安全工作的认识不到位,对重要信息系统安全保护缺乏应有的重视。依据公安部相关资料统计,截至2012年6月,我国有18%的单位未成立信息安全工作领导机构;21%的单位未落实信息安全责任部门,缺乏信息安全整体规划;14个行业重要信息系统底数不清、安全保护状况不明;12个行业未组织全行业信息安全专门业务培训,开展信息安全工作的思路和方法不得当,措施不得力。20%的单位在信息系统规划过程中,没有认真制定安全策略和安全体系规划,导致安全策略不得当;22%的信息系统网络结构划分不合理,核心业务区域部署位置不当,业务应用不合理,容易导致黑客入侵攻击,造成网络瘫痪,数据被窃取和破坏。34.6%的重要信息系统未配置专职安全管理人员,相关岗位设置不完整,安全管理人员身兼多职;48%的单位信息安全建设资金投入不足,导致重要信息系统安全加固和整改经费严重缺乏;27%的单位没有针对安全岗位人员制订相关的培训计划,没有组织开展信息安全教育和培训,安全管理、运维技术人员能力较弱。
(2)重要信息系统未落实关键安全保护技术措施。重要信息系统未落实安全审计措施。在主机层面,有34.9%的信息系统没有保护主机审计记录,34.8%的信息系统没有保护主机审计进程,容易导致事故责任无法认定,无法确定事故(事件)原因,影响应急处理效率。38%的信息系统没有落实对重要系统程序和文件进行完整性检测和自动恢复的技术措施,35%的信息系统没有采取监测重要服务器入侵行为的技术措施,容易使内部网络感染病毒,对攻击行为无法进行有效监测和处置。
(3)我国信息技术与国外存在一定差距,安全专业化服务力量薄弱。具有我国自主知识产权的重要信息技术产品和核心技术水平还有待提高,依赖国外产品的情况还比较普遍;国内信息安全专业化服务力量薄弱,安全服务能力不强,部分重要信息系统的关键产品维护和系统运维依赖国外厂商,给重要信息系统安全留下了隐患。
为了有效提高我国企业信息安全水平,增加等级保护的可行性及执行力,建议:①各企业开展以信息安全等级保护为核心的安全防范工作,提高网络主动防御能力,并制订应急处置预案,加强应急演练,提高网络应急处置能力。②加大人员和资金投入,提高保障能力。③国家层面加快关键技术研究和产品化,重视产品供应链的安全可控。
主要参考文献
[1]中国石油天然气集团公司. 中国石油天然气集团公司全面开展信息安全等级保护工作为信息化建设保驾护航[J].信息网络安全,2012(1).
信息安全等级保护解决方案范文3
不久前,农业部信息中心金农工程一期信息系统安全等级测评和风险评估公示,对金农工程的信息安全保障工作给予了肯定。金农工程是国家电子政务“十二金”工程之一,其一期工程对网络信息系统的安全性提出了很高的要求。对于这样一个大型的系统工程来说,信息安全不但要有技术、设备方面的保障,更要有过硬的理论指引。
等级保护指导
金农安全
“金农”工程是1994年12月在国家经济信息化联席会议第三次会议上提出的,目的是加速和推进农业和农村信息化。该工程被称为国家电子政务“十二金”工程之一。据农业部相关人士介绍,金农工程主要有以下四点任务:一是网络的控制管理和信息交换服务,包括与其他涉农系统的信息交换与共享;二是建立和维护国家级农业数据库群及其应用系统;三是协调制定统一的信息采集、的标准规范,对区域中心、行业中心实施技术指导和管理;四是组织农业现代化信息服务及促进各类计算机应用系统,如专家系统、地理信息系统、卫星遥感信息系统的开发和应用。
据介绍,金农工程一期的建设目标是通过两年时间,初步形成农业电子政务体系框架。框架中需构建农业监测预警系统、农产品和农业生产资料市场监管信息系统、农村市场与科技信息服务系统,迅速增强农业部门的经济调节、市场监管和公共服务能力;开发国内、国际两类信息资源,建立农业数据中心和粮食流通数据中心,健全采集渠道,增加信息总量,加强统筹规划,改善内容结构,加大整合力度,统一标准规范,建立协作机制,提高共享程度;应用计算机网络技术装备县乡农业信息服务机构,培训信息服务队伍,初步形成延伸到基层的农村信息服务网络,迅速扩大信息服务的覆盖面。
虽然时间紧、任务急,信息系统及安全保障体系的建设却容不得一点马虎。“信息网络安全是一项政策指导性较强的工作,项目的关键在于如何在‘金’字工程中落实国家等级保护政策要求。”金农工程项目负责人解释说,该工程系统结构的核心是金农工程的国家中心,而其基础是国家重点农业县、大中型农产品市场、主要的农业科研教育单位和各农业专业学会、协会等,因此金农工程一期建设的业务系统和网络系统需要考虑如何与国家等级保护标准相结合。而等级保护制度所要求的信息系统定级、备案、建设整改、测评和监督检查等环节如何落实在项目整体中,起初并没有相关经验的积累,需要深入分析和研究。具体来说,项目实施一方面要深刻理解国家等级保护的政策要求,另一方面要深入分析金农工程的重要意义和主要内容,以及各个系统面临的主要安全风险。只有两方面结合起来考虑,才能保证工程建设的正确无误。
同时,据透露,有关部门还要求本期项目要进一步深入落实我国《国家信息化领导小组关于加强信息安全保障工作的意见》中的各项工作,夯实农业行业关于信息安全保障的体系化建设基础,在风险评估、监控体系、信任体系、标准化建设和人才队伍积累等方面都做出深入积累。尤其是对在建设期间如何落实风险评估工作加大了实践力度,在信息系统需求总结、设计和上线等过程中充分融合风险评估工作,为后期的安全运维奠定基础。
有了相关文件、条例做指引,金农工程的规划建设也就有了理论依据。但由于该项目是国家”金”字头重点工程,不可避免地涉及多家承建商,需要在完成初步设计要求的同时全面统一地落实国家等级保护政策要求,所以具有复杂度大、技术难度大、管理难度大等特点,对信息安全服务企业的实施能力、技术水平和服务保障能力都提出很大的挑战。
完善方案
保驾金农工程
“网御神州根据多年积累的对农业行业整体需求的理解,针对本项目制定了完善的技术及支持方案,在业内几乎所有安全厂商都参与的激烈竞争中脱颖而出,力拔头筹。”据金农工程项目负责人介绍,网御神州之所以能中标安全服务和安全集成包,就是凭借其完善的技术支持服务能力及对国家等级保护政策和农业行业的深刻理解。
据了解,金农一期项目的安全建设目标是:在国家信息系统安全等级保护相关政策和标准的指导下,结合金农工程一期网络信息系统的安全需求分析,通过信息安全保障总体规划、信息安全管理体系建设、信息安全技术策略设计以及信息安全产品集成实施等,全面提升金农工程一期网络信息系统的安全性,能面对目前和未来一段时期内的安全威胁,实现对全网安全状况的统一管理,更好地保障金农工程各系统的正常运行,全面提升金农工程一期信息系统的安全防护水平,达到国家信息安全等级保护相关标准的要求。
信息安全等级保护解决方案范文4
赛姆科技是广东省信息产业厅认定的软企业,专注于数据安全产品研发、生产与数据安全综合服务,致力于为政府、交通、金融、医疗、教育和制造业等领域客户提供大型计算机信息系统网络安全、数据灾备安全、数据应用安全的规划、设计、建设、实施等高端服务。
赛姆科技的信息安全产品涵盖了数据库稽核软件、医疗行业防统方软件、安全监察系统、访问控制系统、云安全监察平台、巡检管理系统、数据库服务管理平台,获得用户一致赞誉。所研发的稽核软件、安全监察软件对海量数据进行智能解析,对加密数据进行稽核,将实时稽核与远程预警等功能有效融合,实现了数据防泄密、防篡改的有效保护,总体技术达到国际先进、国内领先水平,分别获得国家或广东省创新基金扶持,通过了公安部信息安全产品检测及信息安全专用产品销售许可,获得了科技成果认定和广州市科技进步二等奖。成果转换为产品进入市场后取得了较好的经济效益和社会效益,市场销售连年翻番,获得了客户的高度认可与赞誉。
数据库稽核与安全监察产品组合,为政府、教育、交通、金融提供了数据防泄密、防篡改的整体解决方案,已成为信息安全等级保护的可选产品之一;医疗防统方与安全监察产品组合,为医疗行业的应用提供了防非法统方的整体解决方案,强化了医疗临床数据信息安全与防范的技术手段,成为了医疗行业以技术手段防控行业腐败,斩断医药行业回扣黑色产业链的首选产品。
赛姆科技注重创新产品的研发投入,并将创新成果转化为生产力,自2009年起创新产品在为市场、为企业注入活力的同时,也有效带动了企业效益的大幅度增长。
企业注重标准化管理和品牌形象建设,不断提升服务质量和管理水平,先后通过了ISO9001:2008国际质量管理体系认证、ISO/IEC20000-1:2011国际IT服务管理体系认证,已经形成了一整套科学、合理的技术服务流程。
信息安全等级保护解决方案范文5
观安信息目前面向各大中型企业,特别是通信行业、金融行业以及政府机关,为各大企业实施全程安全服务和保障,包括风险评估、安全解决方案设计、安全规划和安全工程实施等。同时,在“互联网+”的思想引领下,针对移动互联网安全、虚拟化平台构建、云安全标准设计、安全大数据趋势分析、预警防御体系设计等方面也有建树,具有先进性和独创性的安全大数据场景设计能力。
观安信息从2015年开始,不断完善发展有关大数据信息安全平台是相关技术,陆续获得各类奖项和证书。如下所示:2015年7月获得ISO9001质量管理体系认证证书,2015年8月获得国家信息安全测评信息安全服务资质证书安全工程类一级,2015年9月获得CNCERT授权证书,2016年1月成为联合国训练研究所上海国际培训中心大数据应用与安全培训基地,2016年3月成为上海市信息安全行业协会会员单位,2016年4月获得上海市诚信创建企业称号,2016年4月成为上海市软件行业协会第七届理事会会员,2016年5月获得2016年度中国大数据安全行业杰出软件开发商奖,2016年6月获得国家信息安全测评信息安全服务资质证书风险评估类一级,2016年6月获得国家信息安全测评信息安全服务资质证书安全开发类一级。
观安信息业务范围广泛,在安全大数据,信息安全服务项目,智能电网云安全,数据模糊化产品,安全运维操作审计等领域都有所成就。下面介绍其中两个业务:
安全大数据项目旨在利用Hadoop技术搭建大数据分析平台,采用基于Hadoop架构的数据采集、预处理、统计及分析、挖掘等技术来对全网设备、应用,以及网络中的各类操作数据进行全面的关联分析、安全审计。
信息安全服务项目是观安信息和某大型国有集团的一次具有里程碑意义的合作。该国有企业作为上海市国有企业中唯一以园区开发和园区配套设施建设为主业的功能类企业,由于需要面向园区提供基础IT服务,因此也将信息安全放在了首位。并且,根据国家国资委针对国企提出实施信息安全等级保护工作的要求:上海市国资委信息化水平评价中也将信息安全单列为重要考核内容,且明确“加强信息安全工作”是2016年市国资委企业信息化推进重点工作之一。同时,市保密局对国企的保密安全检查日趋严格,并不断加强保密管理问责制。在这样的背景下,观安信息成功配合该集团实施了一次全面的信息安全风险评估。
观安信息在较短时间内,利用其深厚的信息安全功底,结合面向大数据信息安全的新技术新业务的创新能力,不断赢得客户赞誉。
信息安全等级保护解决方案范文6
中图分类号:TP309 文献标识码:A 文章编号:1009-914X(2016)19-0361-01
1 引言
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
在等级保护工作中我们都能做到“明确重点、突出重点、保护重点”,将有限的财力、物力、人力投入到重要信息系统的安全保护中去。对重要的信息系统我们在技术上都能按照等级保护要求部署相关安全设备,但是,仅仅这样就做好安全等级保护工作了么?实际上安全管理在保障信息系统的安全中发挥着重要的作用,俗话称“三分技术七分管理”,所以无论是信息系统运行使用单位还是信息系统安全测评人员都不应该忽视安全管理在信息系统安全中的作用。
在实际工作中,我们往往能看到一些这样的情况,如领导不重视,安全措施、安全制度不落实等非技术问题造成的安全事故。实际上这些问题是可以提前预测和预防的,如果依照国家规定开展信息安全等级保护的测评和整改,那么泄密事件就有可能避免。
做好非技术保护工作主要需要做好以下几点:
2 安全管理制度
安全管理制度内容包括管理制度、制定和、评审和修订 3 个部分。管理制度在整个系统中属于大纲,安全管理政策和制度的制定与正确实施对信息系统安全管理起着非常重要的作用,他告诉我们那些行为是属于安全管理禁止的行为,不仅促使全体员工参与到保障信息安全的行动中来,而且能有效地降低由于人为操作失误所造成的对系统安全的损害。通过制定安全管理制度,能够使责权明确,保证工作的规范性和可操作性。管理制度的建立不仅包含了传统管理方式的特点,也融入了信息安全的特性。
存在问题:1)多数单位的管理制度不完善,缺乏顶层的安全方针、安全策略等;2)只建立了安全管理制度,对于重要操作的操作规程缺失;3)管理制度的执行情况不理想,执行记录缺失。
解决办法:
建立完善的管理制度,补充、制订缺少的各项安全管理制度,完善已有安全管理制度文档,逐步形成由安全政策、管理制度、操作规程等构成的、全面的信息安全管理制度体系。加强对员工的培训,注重安全意识的教育和日常操作行为规范性教育,并建立内审和管理评审制度,定期对安全管理制度的执行情况、适用性等进行审查。
3 安全管理机构
好的制度还必须执行才能起到有效的作用,安全管理机构内容包括岗位设置、人员配备、授权和审批、沟通和合作4个部分。安全管理的重要事实条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构,这是信息安全管理得以实施、推广的基础。对建立完善的安全组织机构、明确人员的安全职责和权限、完善安全沟通机制和安全检查流程等进行规范。通过构建从单位最高管理层到执行管理层再到具体业务运营层的组织体系,明确各个岗位的安全职责,为安全管理提供组织上的保证。
存在问题:对技术人员和操作人员的日常行为进行规范管理,造成技术和管理分离,技术不能发挥最大的作用。
解决办法:建立安全管理机构制度,规范人员管理,增强安全知识、意识培训安全职责与人员岗位应更好地融合在一起,可在设置安全管理机构的基础上,设定安全管理员岗位,明确安全管理 员职责,规定各运维人员的安全职责和义务。对关键岗位人员、重要部门的员工定期开展信息安全意识教育,加强人员安全意识和安全技能培训,逐步形成群防群治的工作机制,使安全管理融入到日常工作中。
4 人员安全管理
人员安全管理内容包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理5个部分。
人是信息安全中最关键的因素,信息系统整个生命周期都需要人来参与,包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果这些参与人员的安全问题没有得到很好的解决,任何一个信息系统都不可能达到真正的安全。因此需要对人员的招聘、入职、转 / 离岗、培训、考核等阶段提出相应的安全要求,并将外部人员访问管理进行了明确的规定。只有对信息系统相关人员实施科学、完善的管理,才有可能降低人为操作失误所带来的风险。
存在问题:人员分配、管理不完善,而运维人员则更专注于设备和系统的正常运行,导致安全管理活动难以系统、持续地开展,不能作为常态工作。
解决办法:建立人员安全管理制度,加强对外包人员的安全管理,签署保密协议,制定外包人员管理制度。组织外包人员学习内部的相关安全管理规定,进行安全技能和安全意识培训。制定重要活动的审批流程,加强访问控制及监督等方面的管理。
5 系统建设管理
信息系统建设管理内容包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、 系统交付、系统备案、等级测评、安全服务商选择11个部分。每个部分都涉及多个活动,只有对这些活动实施科学和完善的管理,才能保证系统建设的进度和质量。
存在问题:1)外包软件开发没有根据需求检测软件质量,没有进行软件代码安全检测;2)很多系统没有在项目验收阶段没有第三方安全性验收测试报告。
解决办法:建立系统建设管理制度,在允许的条件下,对软件改造,增强软件的安全功能,开展第三方安全符合性测试。
6 系统运维管理
信息系统建设完成投入运行之后,接下来就是如何维护和管理信息系统。系统运维管理内容包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理13个部分,基本覆盖了各项日常运维活动。对系统实施有效、完善的维护管理是保证系统运行阶段安全的基础。这些要求能够保证运维工作全面、有序地开展。
存在问题:1)设备配置管理不规范,没有相关的制度或流程 ;2)没有安全事件报告和处置制度,没有制定相应的处置流程 ;3)系统没有建立应急预案,应急演练不充分 ;4)对商用密码和电子认证、数字签名的认识和管理不到位。
解决办法:建立系统运维管理制度,完善安全事件报告和处置制度以及对商用密码和电子认证、数字签名的认识和管理,加强应急预案制度的管理与执行,建立规范的制度或流程
