摘要:随着科技的进步,企业办公信息化、智能化程度显著提升,随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时,需兼顾互联网开放性造成的风险。针对以上问题,国家严格规范信息系统等级保护工作流程,根据系统的重要性和影响范围划分定级,按照系统级别的不同实施区别化管理。此外,依照信息系统等级保护工作的“三同步”原则(同步规划、同步设计、同步投入运行),在信息系统应用建设的各环节进行标准化管理,规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准,同时,明确了检查考核、管理与技术措施,促进供电企业信息专业能力不断提升,充分调动公司各专业的积极性和协调性,有效提高公司信息系统安全管理水平和保护能力。
关键词:信息安全;等级保护;信息系统管理
1背景简介
通常情况下,企业信息系统管理普遍存在以下问题:(1)信息系统规划阶段侧重于系统功能应用,未提出信息系统安全保护;(2)信息系统设计阶段缺少安全方案的同步设计;(3)信息系统上线运行阶段,未建立安全性测试机制,投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题,信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段,覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。
2信息安全等级保护工作的管理思路
根据目前信息系统管理的暴露的缺点,公司将信息系统安全建设作为安全等级保护工作的重点,围绕信息系统应用建设的各个阶段,结合等级保护要求,实现信息系统建设过程的安全管理,有效降低了信息系统上线后的安全隐患,保障了信息系统的安全稳定运行。
2.1规划阶段
信息系统规划初期,通过建立合理的信息系统安全管理体系、工作要求和工作流程,结合公司实际情况,将系统测评费用纳入其中。
2.2设计阶段
系统设计阶段,公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统,在系统定级后,系统建设项目负责部门应组织系统运维单位和系统开发实施单位,根据系统安全防护等级,遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等,制定系统安全防护方案。
2.3开发阶段
各系统建设部门是信息系统的用户方,必须严格要求系统开发部门遵守相应原则,如使用正版的操作系统、配置强口令、信息系统测试合格正式书等,从而保证系统投运时的实用性和效率。
2.4测试阶段
系统建设部门组织定级系统,通过具有国家资质的测评机构对系统进行安全测评,并在当地公安机关网监部门进行定级和备案工作。
2.5实施阶段和应用上线
各级信息通信职能管理部门,督促检查本单位及下属单位等级保护工作,同时,要求各系统建设部门在信息系统实施阶段,确保系统完成测评整改工作。
2.6运维阶段
根据“谁主管谁负责,谁运行谁负责”的工作原则,各系统主管部门合理分配部门人员的管理和运维工作,制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。
3信息系统管理的工作机制
通过信息系统等级保护方案,公司要在系统应用建设全过程中加入安全防护机制,规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外,为进一步促进等级保护工作的有效执行,公司明确了相应的检查考核管理措施,完善信息系统安全工作的全面管理。
3.1考评机制
建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作,即检查各相关单位网络与信息安全工作的开展情况,并根据上级部门的实时反馈进行整改,从公司信息系统正常运行到信息内外网安全,实施监督和管控,纳入各单位年度绩效指标考核。
3.2协同机制
成立信息化领导小组及办公室,开展协同控制工作。建立关于信息安全工作的协调机制,明确公司各部门网络与信息安全工作职责,具体负责组织开展信息系统安全等级保护工作,协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外,针对信息系统测评和评估所发现的问题,责任单位制定完善的安全整改方案并认真落实。
3.3例会机制
例会机制主要通过信息系统等级保护集中工作实现,定期召开信息专业网络安全会议,通过会议通报各单位存在的问题和下一步改进措施。
4结语
本文提出了一种基于等级保护的信息系统管理工作思路。一方面,从信息系统全生命周期着手,在系统应用建设的各环节加入安全管理工作;另一方面,完善信息系统管理工作机制,通过建立合理的考评机制、协同机制和例会机制,优化系统管理手段。根据以上管理思路,不仅在工作流程上对信息系统进行了安全防护加固,而且制定了相应的管理手段,促进企业信息系统管理工作水平的提升。
参考文献
[1]高磊,李晨旸,赵章界.基于等级保护的信息安全管理体系研究[J].信息安全与通信保密,2015(5):95-98,101.
作者:余入丽 马先平 杨雅 单位:国网黄石供电公司信息通信分公司
