怎樣規(guī)范信息系統管理，可以從不同角度出發(fā)，比如ITIL，就是從提高服務質量的角度出發(fā)來規(guī)范化管理的，而如果要從安全的角度出發(fā)，參照國家相關安全等級保護規(guī)范來規(guī)范化信息系統管理就是一種行之有效的辦法，它既可以保障信息系統的適度安全，又可以為信息系統通過安全等級保護測評做好準備，本文就是在我單位某個信息系統通過三級安全等級保護測評時建立管理制度的經驗的基礎上寫成。大家在建立自己的信息系統管理制度時，切記要結合本單位的實際情況，才能建立切實可行的管理制度。

　　信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現。安全管理上的安全控制分別從安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等方面對信息系統的運行和資源實施管理，信息系統建設也是圍繞這幾方面進行。

　　一、安全管理機構

　　安全管理機構的建設要對信息安全職能部門的組織機構和人員職責進行優(yōu)化和明確，為信息系統的安全管理工作提供有效可行的組織和人員支持；要建立有關部門之間的信息安全工作協調機制，保證信息安全工作的實施，在安全事件發(fā)生時能協調配合及時做出響應。

　　結合單位實際情況，我們建立了主要有決策層、管理層、執(zhí)行層三個層次組成的信息安全管理機構。決策層主要負責審核和批準信息安全總體方針和信息安全規(guī)劃，審核和認可本單位信息安全措施的完備性和合理性，對信息安全的宏觀問題進行決策。實際上它并不完全是針對某個信息系統安全管理建設的，它要對單位所有信息系統負責。

　　管理層主要負責制定和發(fā)布信息安全管理制度和信息安全規(guī)劃，協調信息安全工作中各項需要跨部門執(zhí)行的事務，監(jiān)督、控制和檢查信息安全管理制度的落實情況。管理層配備有信息系統安全主管，具體負責信息系統的安全管理工作。

　　執(zhí)行層由系統維護人員和信息安全專職人員等具體執(zhí)行人員組成，負責信息安全工作的具體實施和執(zhí)行。針對安全等級保護的要求，配備有系統管理員、網絡管理員、安全管理員，并結合信息系統管理實際需要，還配備了機房管理員、安全審計員、數據庫管理員、資產管理員等。在人員配備方面需要注意的是安全等級保護要求應配備專職安全管理員，不可兼任。

　　在信息安全管理機構建設的基礎上，要明確信息安全管理機構中各級組織和各個崗位的信息安全職責。應明確授權和審批事項、部門、人員及相關流程，規(guī)范過程文檔。對與供應商、外部相關安全機構、上級主管部門等的聯系、溝通合作要進行規(guī)范管理。根據等級保護對審核和檢查的要求，結合國家信息安全主管部門每年發(fā)布的政府信息系統安全檢查指南明確信息系統的安全檢查管理，對自查、常規(guī)檢查、年度安全大檢查都有明確要求。在常規(guī)檢查中規(guī)定安全管理員負責檢查系統日常運行、用戶賬號、系統漏洞、數據備份和系統審計等。信息安全管理部門要組織相關人員定期分析、評審異常行為的審計記錄，發(fā)現可疑行為，形成審計分析報告，并采取必要的應對措施。在年度信息安全檢查中要對現有資產的具體情況，網絡設備、主機設備和安全設備的當前配置情況進行檢查。根據當前情況分析當前的安全狀況， 了解安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。

　　二、安全管理制度

　　等級保護對安全管理制度方面的要求主要體現在一是要建立安全管理制度體系，提出包括“保持適度安全、管理與技術并重、全員參與、最小特權”等內容在內的總體安全方針，制訂總體安全策略。對安全管理制度應包含的內容進行規(guī)范，如要求包含：信息安全組織機構和崗位職責、人員管理制度、機房安全管理制度、數據備份管理制度、業(yè)務連續(xù)性管理制度、計算機終端管理制度、應用系統日常操作安全管理制度、網絡設備日常操作安全管理制度、安全設備日常操作管理制度等方面內容。二是對管理制度本身進行規(guī)范管理，如制度制訂和發(fā)布過程中制度的格式、版本控制、發(fā)布范圍等，制度評審和修訂過程中評審牽頭部門、評審周期等。

　　三、人員安全管理

　　計算機信息系統的安全運行依靠系統安全管理人員的安全管理，他們既是信息系統安全的主體，也是系統安全管理的對象。所以，要確保信息系統的安全，首先應加強人員安全管理制度建設。

　　人員安全管理主要包含下列方面：人員錄用、離崗、考核、教育和培訓以及外部人員訪問管理。按等級保護要求在人員錄用時除對人員的專業(yè)水平及資質資格按崗位要求進行審核外，還應簽署崗位安全協議。而人員離崗時除收回權限、證件外還要在保密承諾文檔簽字后才能辦理離崗手續(xù)。在人員日常工作過程中要按照培訓計劃定期對信息系統各個關鍵崗位人員進行信息安全教育和技能培訓，并每年進行考核。在外部人員需要訪問機房時首先填寫《外部人員訪問申請審批單》進行審批，通過審批后填寫《第三方人員進入機房登記表》登記后才可進入機房。

　　四、系統建設管理

　　從信息系統等級保護角度看，系統建設管理方面的要求很多，主要集中在以下幾方面：系統定級、備案、自查、等級測評；系統安全方案設計、軟件開發(fā)、工程實施、系統測試及驗收交付；產品采購和安全服務商的選擇等方面。

　　信息系統的定級、測評、備案和變更管理應按照《信息安全等級保護管理辦法》(公通字[2007]43號)和《信息系統安全等級保護定級指南》的要求進行。

　　系統的安全方案設計應根據系統的安全保護等級選擇基本安全措施，并依據風險分析的結果補充和調整安全措施，根據系統的等級劃分情況，統一考慮安全保障體系的總體安全策略、安全技術框架、安全管理策略、總體建設規(guī)劃和詳細設計方案。在系統實施的各個階段中要始終堅持貫徹信息系統安全工程(ISSE)的原則，以確保相應的安全控制和保障機制貫穿于系統開發(fā)生命周期的過程中。

　　在產品采購和安全服務商的選擇方面應注意優(yōu)先采購自主可控的信息安全設備、核心網絡設備、基礎軟件、系統軟件和業(yè)務應用軟件等關鍵產品，以確保信息系統的安全可控。安全產品要有通過國家認定的信息安全產品檢測實驗室的檢測證明，以及計算機信息系統安全專用產品銷售許可證，商用密碼應符合《信息安全等級保護商用密碼管理辦法》的有關要求。信息安全服務商應選擇有相應資質并符合國家法律法規(guī)和政策規(guī)定條件的廠商，必要時應請國家有關部門進行安全審查，并報組織決策層批準。

　　五、系統運維管理

　　按照等級保護的要求，系統運維管理包含了信息系統日常運維的各個方面，有環(huán)境及硬件方面的環(huán)境管理、資產管理、介質管理、設備管理，有系統方面的運行狀態(tài)監(jiān)控、網絡安全管理、系統安全管理、惡意代碼防范以及備份與恢復管理，還有管理流程方面的變更管理、安全事件處置以及應急預案管理。這些管理制度的建設既要滿足等級保護的要求，也要可行、有效，還要注意按照等級保護中的詳細要求建立規(guī)范的記錄文檔。比如，在環(huán)境管理中要建立機房管理日志并規(guī)定監(jiān)視內容及巡檢周期；資產管理要建立信息系統資產清單；監(jiān)控管理要規(guī)定監(jiān)控內容、監(jiān)控記錄，監(jiān)控周期，還要定期形成分析報告；數據備份和恢復要建設數據備份和恢復策略文檔，要有定期備份系統清單。

　　總之，根據等級保護對信息系統的要求，結合單位實際情況，將之細化為實際工作中的管理辦法、操作規(guī)程，建設行之有效的安全管理制度，才能夠實現信息系統的適度安全。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.ezxoed.cn/

本文標題：從安全等級保護角度看信息系統制度建設

本文網址：http://www.ezxoed.cn/html/support/1112184546.html