怎樣規(guī)范信息系統(tǒng)管理,可以從不同角度出發(fā),比~NITIL,就是從提高服務(wù)質(zhì)量的角度出發(fā)來(lái)規(guī)范化管理的,而如果要從安全的角度出發(fā),參照國(guó)家相關(guān)安全等級(jí)保護(hù)規(guī)范來(lái)規(guī)范化信息系統(tǒng)管理就是一種行之有效的辦法,它既可以保障信息系統(tǒng)的適度安全,又可以為信息系統(tǒng)通過(guò)安全等級(jí)保護(hù)測(cè)評(píng)做好準(zhǔn)備,本文就是在我單位某個(gè)信息系統(tǒng)通過(guò)三級(jí)安全等級(jí)保護(hù)測(cè)評(píng)時(shí)建立管理制度的經(jīng)驗(yàn)的基礎(chǔ)上寫成。大家在建立自己的信息系統(tǒng)管理制度時(shí),切記要結(jié)合本單位的實(shí)際情況,才能建立切實(shí)可行的管理制度。
信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力,通過(guò)在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來(lái)實(shí)現(xiàn)。安全管理上的安全控制分別從安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面對(duì)信息系統(tǒng)的運(yùn)行和資源實(shí)施管理,信息系統(tǒng)建設(shè)也是圍繞這幾方面進(jìn)行。
一、安全管理機(jī)構(gòu)
安全管理機(jī)構(gòu)的建設(shè)要對(duì)信息安全職能部門的組織機(jī)構(gòu)和人員職責(zé)進(jìn)行優(yōu)化和明確,為信息系統(tǒng)的安全管理工作提供有效可行的組織和人員支持;要建立有關(guān)部門之間的信息安全工作協(xié)調(diào)機(jī)制,保證信息安全工作的實(shí)施,在安全事件發(fā)生時(shí)能協(xié)調(diào)配合及時(shí)做出響應(yīng)。
結(jié)合單位實(shí)際情況,我們建立了主要有決策層、管理層、執(zhí)行層三個(gè)層次組成的信息安全管理機(jī)構(gòu)。決策層主要負(fù)責(zé)審核和批準(zhǔn)信息安全總體方針和信息安全規(guī)劃,審核和認(rèn)可本單位信息安全措施的完備性和合理性,對(duì)信息安全的宏觀問(wèn)題進(jìn)行決策。實(shí)際上它并不完全是針對(duì)某個(gè)信息系統(tǒng)安全管理建設(shè)的,它要對(duì)單位所有信息系統(tǒng)負(fù)責(zé)。
管理層主要負(fù)責(zé)制定和發(fā)布信息安全管理制度和信息安全規(guī)劃,協(xié)調(diào)信息安全工作中各項(xiàng)需要跨部門執(zhí)行的事務(wù),監(jiān)督、控制和檢查信息安全管理制度的落實(shí)情況。管理層配備有信息系統(tǒng)安全主管,具體負(fù)責(zé)信息系統(tǒng)的安全管理工作。
執(zhí)行層由系統(tǒng)維護(hù)人員和信息安全專職人員等具體執(zhí)行人員組成,負(fù)責(zé)信息安全工作的具體實(shí)施和執(zhí)行。針對(duì)安全等級(jí)保護(hù)的要求,配備有系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員,并結(jié)合信息系統(tǒng)管理實(shí)際需要,還配備了機(jī)房管理員、安全審計(jì)員、數(shù)據(jù)庫(kù)管理員、資產(chǎn)管理員等。在人員配備方面需要注意的是安全等級(jí)保護(hù)要求應(yīng)配備專職安全管理員,不可兼任。
在信息安全管理機(jī)構(gòu)建設(shè)的基礎(chǔ)上,要明確信息安全管理機(jī)構(gòu)中各級(jí)組織和各個(gè)崗位的信息安全職責(zé)。應(yīng)明確授權(quán)和審批事項(xiàng)、部門、人員及相關(guān)流程,規(guī)范過(guò)程文檔。對(duì)與供應(yīng)商、外部相關(guān)安全機(jī)構(gòu)、上級(jí)主管部門等的聯(lián)系、溝通合作要進(jìn)行規(guī)范管理。根據(jù)等級(jí)保護(hù)對(duì)審核和檢查的要求,結(jié)合國(guó)家信息安全主管部門每年發(fā)布的政府信息系統(tǒng)安全檢查指南明確信息系統(tǒng)的安全檢查管理,對(duì)自查、常規(guī)檢查、年度安全大檢查都有明確要求。在常規(guī)檢查中規(guī)定安全管理員負(fù)責(zé)檢查系統(tǒng)日常運(yùn)行、用戶賬號(hào)、系統(tǒng)漏洞、數(shù)據(jù)備份和系統(tǒng)審計(jì)等。信息安全管理部門要組織相關(guān)人員定期分析、評(píng)審異常行為的審計(jì)記錄,發(fā)現(xiàn)可疑行為,形成審計(jì)分析報(bào)告,并采取必要的應(yīng)對(duì)措施。在年度信息安全檢查中要對(duì)現(xiàn)有資產(chǎn)的具體情況,網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備和安全設(shè)備的當(dāng)前配置情況進(jìn)行檢查。根據(jù)當(dāng)前情況分析當(dāng)前的安全狀況, 了解安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。
二、安全管理制度
等級(jí)保護(hù)對(duì)安全管理制度方面的要求主要體現(xiàn)在:
一是要建立安全管理制度體系,提出包括“保持適度安全、管理與技術(shù)并重、全員參與、最小特權(quán)”等內(nèi)容在內(nèi)的總體安全方針,制訂總體安全策略。對(duì)安全管理制度應(yīng)包含的內(nèi)容進(jìn)行規(guī)范,如要求包含:信息安全組織機(jī)構(gòu)和崗位職責(zé)、人員管理制度、機(jī)房安全管理制度、數(shù)據(jù)備份管理制度、業(yè)務(wù)連續(xù)性管理制度、計(jì)算機(jī)終端管理制度、應(yīng)用系統(tǒng)日常操作安全管理制度、網(wǎng)絡(luò)設(shè)備日常操作安全管理制度、安全設(shè)備日常操作管理制度等方面內(nèi)容。
二是對(duì)管理制度本身進(jìn)行規(guī)范管理,如制度制訂和發(fā)布過(guò)程中制度的格式、版本控制、發(fā)布范圍等,制度評(píng)審和修訂過(guò)程中評(píng)審牽頭部門、評(píng)審周期等。
三、人員安全管理
計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行依靠系統(tǒng)安全管理人員的安全管理,他們既是信息系統(tǒng)安全的主體,也是系統(tǒng)安全管理的對(duì)象。所以,要確保信息系統(tǒng)的安全,首先應(yīng)加強(qiáng)人員安全管理制度建設(shè)。
人員安全管理主要包含下列方面:人員錄用、離崗、考核、教育和培訓(xùn)以及外部人員訪問(wèn)管理。按等級(jí)保護(hù)要求在人員錄用時(shí)除對(duì)人員的專業(yè)水平及資質(zhì)資格按崗位要求進(jìn)行審核外,還應(yīng)簽署崗位安全協(xié)議。而人員離崗時(shí)除收回權(quán)限、證件外還要在保密承諾文檔簽字后才能辦理離崗手續(xù)。在人員日常工作過(guò)程中要按照培訓(xùn)計(jì)劃定期對(duì)信息系統(tǒng)各個(gè)關(guān)鍵崗位人員進(jìn)行信息安全教育和技能培訓(xùn),并每年進(jìn)行考核。在外部人員需要訪問(wèn)機(jī)房時(shí)首先填寫《外部人員訪問(wèn)申請(qǐng)審批單》進(jìn)行審批,通過(guò)審批后填寫《第三方人員進(jìn)入機(jī)房登記表》登記后才可進(jìn)入機(jī)房。
四、系統(tǒng)建設(shè)管理
從信息系統(tǒng)等級(jí)保護(hù)角度看,系統(tǒng)建設(shè)管理方面的要求很多,主要集中在以下幾方面:系統(tǒng)定級(jí)、備案、自查、等級(jí)測(cè)評(píng);系統(tǒng)安全方案設(shè)計(jì)、軟件開發(fā)、工程實(shí)施、系統(tǒng)測(cè)試及驗(yàn)收交付;產(chǎn)品采購(gòu)和安全服務(wù)商的選擇等方面。
信息系統(tǒng)的定級(jí)、測(cè)評(píng)、備案和變更管理應(yīng)按照《信息安全等級(jí)保護(hù)管理辦法》(公通字【2007】43號(hào))和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》的要求進(jìn)行。
系統(tǒng)的安全方案設(shè)計(jì)應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級(jí)選擇基本安全措施,并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施,根據(jù)系統(tǒng)的等級(jí)劃分情況,統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案。在系統(tǒng)實(shí)施的各個(gè)階段中要始終堅(jiān)持貫徹信息系統(tǒng)安全工程(ISSE)的原則,以確保相應(yīng)的安全控制和保障機(jī)制貫穿于系統(tǒng)開發(fā)生命周期的過(guò)程中。
在產(chǎn)品采購(gòu)和安全服務(wù)商的選擇方面應(yīng)注意優(yōu)先采購(gòu)自主可控的信息安全設(shè)備、核心網(wǎng)絡(luò)設(shè)備、基礎(chǔ)軟件、系統(tǒng)軟件和業(yè)務(wù)應(yīng)用軟件等關(guān)鍵產(chǎn)品,以確保信息系統(tǒng)的安全可控。安全產(chǎn)品要有通過(guò)國(guó)家認(rèn)定的信息安全產(chǎn)品檢測(cè)實(shí)驗(yàn)室的檢測(cè)證明,以及計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證,商用密碼應(yīng)符合《信息安全等級(jí)保護(hù)商用密碼管理辦法》的有關(guān)要求。信息安全服務(wù)商應(yīng)選擇有相應(yīng)資質(zhì)并符合國(guó)家法律法規(guī)和政策規(guī)定條件的廠商,必要時(shí)應(yīng)請(qǐng)國(guó)家有關(guān)部門進(jìn)行安全審查,并報(bào)組織決策層批準(zhǔn)。
五、系統(tǒng)運(yùn)維管理
按照等級(jí)保護(hù)的要求,系統(tǒng)運(yùn)維管理包含了信息系統(tǒng)日常運(yùn)維的各個(gè)方面,有環(huán)境及硬件方面的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理,有系統(tǒng)方面的運(yùn)行狀態(tài)監(jiān)控、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范以及備份與恢復(fù)管理,還有管理流程方面的變更管理、安全事件處置以及應(yīng)急預(yù)案管理。這些管理制度的建設(shè)既要滿足等級(jí)保護(hù)的要求,也要可行、有效,還要注意按照等級(jí)保護(hù)中的詳細(xì)要求建立規(guī)范的記錄文檔。比如,在環(huán)境管理中要建立機(jī)房管理日志并規(guī)定監(jiān)視內(nèi)容及巡檢周期;資產(chǎn)管理要建立信息系統(tǒng)資產(chǎn)清單;監(jiān)控管理要規(guī)定監(jiān)控內(nèi)容、監(jiān)控記錄,監(jiān)控周期,還要定期形成分析報(bào)告;數(shù)據(jù)備份和恢復(fù)要建設(shè)數(shù)據(jù)備份和恢復(fù)策略文檔,要有定期備份系統(tǒng)清單。
總之,根據(jù)等級(jí)保護(hù)對(duì)信息系統(tǒng)的要求,結(jié)合單位實(shí)際情況,將之細(xì)化為實(shí)際工作中的管理辦法、操作規(guī)程,建設(shè)行之有效的安全管理制度,才能夠?qū)崿F(xiàn)信息系統(tǒng)的適度安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:從安全等級(jí)保護(hù)的角度看信息系統(tǒng)制度建設(shè)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083934072.html