前言:中文期刊网精心挑选了安全等级保护管理办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
安全等级保护管理办法范文1
一、工作目标
通过深入开展此次专项活动,确保全市重要信息系统能够全面进行准确定级和审核备案;全面组织等级测评和风险评估;全面开展监督检查和建设整改;全面落实管理制度和安全责任,努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标,不断提高重要信息系统安全防范能力和应急处置能力,为建国周年庆典活动创造一个良好的网络环境。
二、工作任务
(一)全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级,对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统,凡符合上级国家机关、企事业单位安全保护等级的,可不再重新定级和审核备案,否则均要重新定级和审核备案;对于尚未定级和审核备案的系统,都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中,安全保护等级确定为一级的信息系统,公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统,各信息系统运营使用单位要在公安机关办理审核备案手续,填写《信息安全等级保护备案表》,实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。
(二)全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求,全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上(其他尚未开展初次测评的系统应于年上半年完成)。
(三)全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等,全面组织开展安全等级保护监督检查和限期整改工作,其监督检查率应达到100%,限期整改率应达到80%以上。其他被定为二级(含二级)以下的信息系统,可由信息系统运营使用单位进行自查和整改。
三、工作步骤
(一)定级与备案阶段(8月18日至9月15日)。市专项活动领导小组在8月31日前进行组织动员和工作部署,开展信息系统普查,全面摸清底数,掌握基本情况,确定定级对象。9月15日前,各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级,对应确定本单位信息系统安全保护等级,并做好申报备案。对审核符合安全保护等级要求的,由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的,应重新评审确定,为等级测评和检查整改奠定基础。
(二)测评与检查阶段(9月15日至11月30日)。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上(含三级)信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神,提前做好人员、技术、经费等各项准备工作,按时完成信息系统等级测评和风险评估。
(三)总结与整改阶段(12月1日至12月31日)。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题,向运营使用单位下发《整改通知书》,要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案,认真搞好安全隐患的整改工作。
四、工作要求
(一)统一思想认识,切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势,进一步增强做好信息安全等级保护工作的责任感和紧迫感,务必把此项工作作为事关国家安全和社会稳定,特别是国庆61周年安全保卫的一项重要政治任务,纳入议事日程,摆在应有位置。为切实加强领导,成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组(名单附后),领导小组在本次专项活动完成后,继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制,精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥,按照“谁主管,谁负责,谁使用,谁负责”的原则,成立领导小组,建立工作专班,确立联络人员,迅速行动、全力以赴,大张旗鼓地组织开展等级保护工作。
(二)深入动员部署,精心组织实施。各重要信息系统运营使用单位要制定好本单位信息系统安全等级保护工作实施方案,准确定级,并将相关资料上报市专项活动领导小组办公室。在定级完成后,要积极做好测评准备工作,在人力、财力上给予充分保障。对检测出来的问题要及时向主管领导和上级部门报告,立即整改,把专项活动的各项要求落到实处。
安全等级保护管理办法范文2
以信息安全等级保护制度为抓手开展信息安全建设
2011年,原卫生部印发了《卫生行业信息安全等级保护工作的指导意见》的通知,要求依据国家信息安全等级保护制度,遵循相关标准规范,在医疗卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作。
个人认为,以信息安全等级保护制度作为信息安全建设的抓手是一个很好的思路。很多人认为购买安全产品、做灾备、安装冗余设备等就能保证信息系统安全了,其实只是从微观角度看待安全,而信息安全应该是体系化的工作,要技术和管理并重,某种程度上,要“七分管理、三分技术”。信息安全是符合“木桶效应”观点的,将整个信息安全系统从一个完整的系统角度比作一个木桶,其安全水平是由构成木桶的最短的那块木板决定的。也就是说,我们的信息安全系统中,各个安全要素是同等重要的。正所谓“蝼蚁之穴,溃千里之堤”,各方面要素均不容忽视。
信息安全是一个管理过程,而不是一个技术过程。技术和产品要通过管理的组织职能才能发挥最好的作用,技术不高但管理良好的系统远比技术高但管理混乱的系统安全。因此,技术和产品是基础,管理是关键,建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会实现持续安全。
信息安全等级保护制度就是从信息系统的角度出发,重点在于确定信息系统的安全保护等级,并从技术和管理两个方面采取保护措施,使该系统具有与其等级相适应的安全保护能力。而信息安全等级保护工作的核心内容是:对信息系统进行分等级保护、分等级监管。这是也对信息安全等级保护工作最通俗的解释。
医疗卫生行业应该如何开展信息安全等级保护工作
《信息安全等级保护管理办法》(公通字〔2007〕43号),规定了国家等级保护的实施和管理工作,为响应该文件,医疗卫生行业信息系统应完成以下工作:定级备案、安全建设或改建、等级测评、自查、检查。
个人认为,医疗卫生行业在开展信息安全等级保护工作过程中应该重点遵循以下四个原则:一是自主保护原则。信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。二是重点保护原则。根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统,如HIS。三是同步建设原则。信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。四是动态调整原则。要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
同时,在开展信息安全等级保护工作时可以参考和结合国际标准ISO/IEC27001:2005,《信息安全管理体系要求》,利用过程方法和PDCA模型开展信息安全管理的各项工作,在整个过程中,规定管理职责、资源管理、持续改进等多方面的要求,完全从体系化的角度,对信息安全管理工作的各方面加以规范。特别要强调的是安全工作不是一个项目,而是一个长期持续改进的过程。需要不断根据自己业务变化,根据外界的环境,进行持续改进。
医疗卫生行业开展信息安全等级保护工作的现状
目前,国内大部分医疗卫生机构都在开展信息安全等级保护工作。个人认为,北京和上海的工作经验是比较好的。北京从定级备案入手,以北京市原卫生局和北京市公安局网安处、文保处联合培训、检查、督导来促进信息安全等级保护工作的开展。上海是以等级测评工作入手来促进信息安全等级保护工作的开展,由上海市卫生局跟上海市测评中心联合,要求各个医院都必须进行测评工作,而且他们把管理要求制定模板下发到各医院。
然而据了解,到目前为止,北京的医院只有阜外心血管病医院完成了等级保护第三级测评工作,其他大部分医院只完成了定级备案,部分医院开始了安全整改工作。就目前情势看,原卫生部要求全国卫生行业各个单位全面开展信息安全等级保护工作,于2015年年底完成信息安全等级保护建设整改工作,定为第三级的系统还要通过等级测评的要求很难完成。
医疗卫生行业信息安全等级保护工作落地难的原因
个人认为医疗卫生行业等级保护工作落地难的原因之一是资金问题,安全建设或整改工作、等级测评工作都需资金的支持。另外一个原因是,大部分医院目前采用是物理隔离,认为物理隔离的安全风险小,对开展信息安全等级保护工作的热度并不高。但是,物理隔离的办法是会越来越行不通的,比如说与医保网互联、开通微信平台、通过支付宝支付、移动终端接入,内部局域网不可避免地要跟外网互联。其实物理隔离也不一定安全,如果不做好管理,人为加入无线网卡或用其他线联接外部网络还是会面临风险,例如患者隐私泄露。还有一个重要的原因是安全意识问题,医疗卫生机构应该充分认识到开展等级保护工作对自身信息系统安全的重要性和必要性。医疗卫生机构开展业务工作依赖着信息系统,如果信息系统瘫痪了,业务工作就无法正常开展。所以不能片面理解为信息安全只是信息保密,信息安全是业务安全,是生产作业安全,是指挥调度安全。
信息安全等级保护工作体会
对于医疗卫生行业开展等级保护工作谈几点个人的体会。首先,开展信息安全等级保护工作需要整体化考虑,信息系统在安全定级时可能会分为第一级、第二级、第三级,但是信息主管不能只关注第三级系统,要整体考虑信息安全策略及不同等级系统的互联互通的问题。
其次,医疗卫生行业要想开展好等级保护工作,应该由国家牵头在行业专家的共同参与下,在国家信息安全等级保护制度基本要求的基础上制定我们行业的细则,如医疗卫生行业信息安全等级保护定级细则、医疗卫生行业信息安全等级保护基本要求细则,在细则里加强技术手段和管理手段的要求。我认为这是非常重要的一件事,也是我呼吁医疗卫生行业必须要做的一件事。
第三,信息安全应该是管理与技术并重。有的时候更应该从人员管理上入手,才能真正做好安全保护工作。信息安全等级保护工作中的难点往往是管理上的难点,管理制度落地难,不能常态运行。其实,部分信息安全管理工作是可以借助信息化手段来实现的。
第四,安全是适度安全,没有绝对的安全。安全是一个自我接受程度,是基于风险的管理。面临风险应该有几种策略,一种是规避、一种是转移、一种是降低,最后是接受。
安全等级保护管理办法范文3
1 引言
随着医院的发展和信息化的进步,信息系统渗透到医院的各个角落。医院的医疗业务、教学、研究对信息系统的依赖性是不容置疑的。医院的信息安全不仅是保证医院有效秩序的前提 ,还是保障医院的财务管理等方面巨大的支撑,并且安全的医疗信息数据才能够有效地提高病人的治疗效果、维护病人的权益。因此加强管理和监控,加强医院有关信息安全系统方面的建设 ,是医院良好有序发展的前提以及客观要求[1]。因此对信息安全的认识从方方面面都得到了前所未有的重视。作为走在信息安全研究前列的大国,美、俄、日等国家都已制定自己的信息安全发展战略和计划,确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。
我国对信息安全研究起步较晚,目前已初步建成了国家信息安全组织保障体系[2]。我国在1994年颁布了《中华人民共和国计算机信息系统安全保护条例》。在以后的十几年中,国家又出台了多个法律、法规,对信息安全等级保护的具体内容、职责和工作方法做了具体的规定。在2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室出台了《信息安全等级保护管理办法》。首都医科大学附属医院北京妇产医院(以下简称“北京妇产医院”)正是借着《信息安全等级保护管理办法》的实行,促进了院信息安全工作的发展,提高了信息安全的水平。从2007年到今天,院信息安全等级保护工作已经走到了第十个年头。这十年信息安全建设大约分为两个阶段。
2 第一阶段:夯实制度基础,加强边界防护
北京妇产医院于2007年10月根据《信息安全等级保护管理办法》的要求和医院的实际情况,把医院的核心系统HIS和LIS系统定为二级系统。在随后的几年中严格按照等级保护二级系统的规范进行建设。
2.1 制定和完善制度,促进安全管理
任何技术都只是手段,而人是最重要的因素,能把两者有效的、高效的结合在一起的是管理。管理又是通过制度实现的。参照等级保护的要求,增加制定了网络安全管理制度、计算机病毒防治管理制度、业务网络安全管理规定、信息安全数据使用授权制度和重大信息安全事件报告制度等制度,基本做到了制度完备。通过信息安全管理相关规范的制订与,确立信息安全方针,对信息安全管理体系文档的制订、、修订、评审进行约定,以保证信息安全管理规范文档的严肃性。通过制订全院统一的信息安全策略,有效指导信息安全管理与技术工作的开展,为全院建立了统一的信息安全策略标准。
2.2 提高信息安全意识
在领导层面,北京妇产医院建立了医院信息系统安全领导小组,明确信息安全工作由院长负责,成员包括信息科、院办、医务科等相关科室领导。在基层层面,根据技术专长和日常工作把工作人员安排为信息安全管理员、安全审计员、系统管理员等。这样不仅使每个人了解信息安全,还要负责信息安全的事,同时也让工作人员时时刻刻有信息安全的意识,还把信息安全内容纳入到每年进修人员和新入职人员培训日程之中。
2.3 加强中心机房的安全建设和管理
北京妇产医院参照《信息系统安全等级保护基本要求》进行信息化基础设施建设。中心机房配置门禁系统,机房出入口安排专人值守,控制、鉴别和记录进入的人员。外来人员进出机房须获得机房管理员的授权,对人员及设备进出情况进行记录。中心机房内服务器、网络设备均安置在机柜内并固定,对设备与走线进行了标识。中心机房设置防盗报警系统、视频监控系统、自动消防系统、空调周围安装漏水检测报警系统等物理安全设备。目前中心机房物理环境基本达到了等级保护三级系统所要求的物理环境,物理安全防护措施相对完善。
2.4 部署了基线网络监控管理系统
此系统能够通过SNMP协议获得被监控网络设备、服务器、通讯线路、网段、应用等有关信息,包括系统信息、网络连接、TCP连接、程序运行、 ARP表、路由表以及CPU负荷等。网络管理员可以通过此系统对全网络可以实时的监控。此系统还可以对IP地址的全局使用情况有一个清晰准确的统计,对于 IP地址使用的管理、分配都可以起到很好的辅助作用。
2.5 部署了桌面管理系统
此系统能够远程维护、远程控制为网络的管理、维护与故障诊断提供了全方位的平台。在管理、维护或故障排除需要时,网络管理员可以通过本功能远程登录客户机,当服务器显示客户机桌面后,即可以对其进行相应的操作。通过桌面管理系统可以管理外部设备,我院业务网禁用了U盘、软驱、光驱、UBS等各种各样的外部存储设备,减少病毒通过外部存储设备进入到业务网中的可能。通过桌面管理系统指定部分关键终端进行IP地址绑定,进一步提升了业务网的安全性。桌面管理系统还不断地进行更新、升级,以提升网络的防护水平。
北京妇产医院通过信息系统的等级保护定级工作,对医院的信息安全状况进行了一次较为全面的摸底,认识到自身信息安全水平和问题所在。针对信息安全投入了相当的力量,通过以上和其他措施加强了防篡改、防病毒、防泄密等方面的安全,提升了业务网的边界防护能力,使其处于基本安全的环境中。
3 第二阶段:持续性推进,再上台阶
2007年至2012年,北京妇产医院年门诊量从7万人次增长11万人次;年出院人次从2.5万人次增长到约3万人次;病房手术人次从1.9 万人次增长到2.5万人次。HIS系统的主要用户医生、护士、医技人员也从500余个增加到约1200余个。HIS系统的应用大大提高了医院工作效率,使医院的资源得到了更合理的优化配置。但是同时对信息系统的依赖性越高,也就对信息系统的安全有了更高的要求。在2012年《北京地区卫生行业信息安全等级保护工作实施细则》中提出:“三级甲等医院的核心业务信息系统的安全保护等级原则上不低于第三级”。针对过去的问题和三级的要求,积极进行整改和推动信息安全工作,在2014年将核心系统 - HIS系统原定级2级提升为3级系统。
3.1 确定保护对象及其区域边界,打好建设基础。
根据北京妇产医院业务的发展需要,原有的内、外网物理的隔离的网络拓扑将随着区域卫生平台、网上预约挂号等业务的推进而发生结构性的改变。如图1所示。
因此,医院原有相对独立的业务网将会受到来自互联网以及其他第三方网络威胁源的攻击。北京妇产医院与时俱进,根据《信息系统安全等级保护基本要求》首先确定了保护对象及其区域边界。根据医院信息系统的计算环境划分情况,围绕信息系统确定出区域边界:
(1)东院业务域计算环境区域边界;
(2)西院业务域计算环境区域边界;
(3)东院终端控制域计算环境区域边界;
(4)外网业务应用域计算环境区域边界;
(5)内网数据交换前置域计算环境区域边界;
(6)外网无线网络域边界;
(7)安全管理域计算环境区域边界;
(8)内网办公终端域计算环境区域边界;
(9)外网办公终端域计算环境区域边界。
保护对象及其区域边界的确定,为以后的计算环境、区域边界、通信网络等安全保护设计和实施奠定了坚实地基础。
3.2 完善日常安全管理,切实落实安全制度
北京妇产医院以前更多地关注技术的提升,有了等级保护要求之后,使得大家能全方位来看待信息安全。从安全管理平台角度来看,技术安全和管理安全同等重要,而在实际工作中,网络维护人员常常忽视管理层面的安全防护,如安全制度的建立和长期执行,机房登记制度等[3]。
北京妇产医院的信息安全制度根据实际情况进行不定期修改,使其具有科学性和可操作性。为保证信息安全制度及各种安全管理手段与技术的落实,信息科制定了完善的巡检制度。巡检人员按规定时间、内容及技术路线对设备进行巡回检查,巡检的内容涵盖了全院。硬件包括中心机房的服务器、交换机;门诊大厅的自助打印机、排号机;中心机房和各个楼层设备间的环境监控和消防等,软件包括数据库监控、病毒监控和移动存储设备的监控;磁盘空间容量、系统运行情况等。巡检人员每日巡检项目11大类504小项,巡检内容还要及时向上级进行反馈,以保证各种安全隐患的得到及时处理。同时还记录每天的程序改动、软件问题等信息,便于事后追溯。
3.3 提高数据备份与恢复能力,降低安全事件带来影响和损失
北京妇产医院原有利用东、西两院区各自独立的机房,采用了后台磁盘阵列之间的远程镜像技术,实现东、西两院区数据同步和远程容灾。通过存储在不同存储设施上的镜像数据,可以实现医院内部关键业务数据的备份与快速恢复。医院对数据保护的方式主要是采用双机高可用和备份系统。但是,双机热备系统也只能避免由于网络故障、服务器故障、物理硬盘故障造成的系统停机问题,如果应用数据受到病毒感染、人为误删除、黑客攻击、甚至是共享磁盘阵列故障,应用系统也是无法运行的。
随着等保工作和信息化建设的推进,医院又配置了CDP保护设备,实现重要数据实时保护;1-3分钟内找回丢失的数据,同时可以恢复到毫秒级的数据版本状态,保障核心业务数据的完整性、一致性、可用性,从而保证核心业务系统正常、稳定、连续运行;数据恢复过程简单方便;后端重建系统,无停机时间;仅复制上次复制后已更改的增量数据,进行有效的系统及数据备份;大大缩短恢复过程,从而减少停机时间并保持生产力;如果出现应用程序故障或硬盘崩溃,可以可靠地捕捉启动应用程序服务器所需的数据。CDP设备部署如2图所示。
CDP设备不仅能够轻而易举的实现本地的应用系统保护和恢复,而且能够很轻松的将保护延伸到远程,建立起更为强大的异地容灾系统。
4 结束语
信息安全是动态的,随着技术的发展而变化。信息安全防护没有完全单一而又绝对保险的安全措施[4]。如果墨守成规,止步不前,必然会影响信息安全的整体水平。每年按照等级保护的要求进行自查,可以让医院查缺补漏,对医院的信息安全是很好的督促。医院在等级保护制度的指导下,持续性的推进信息安全工作,必然会明显地降低信息安全的风险。等级保护制度还促进了卫生行业信息安全建设的标准化和规范化。我们有理由认为信息安全等级保护制度对医院信息安全的建设、管理等方方面面都有极大的促进作用。
安全等级保护管理办法范文4
关键词:信息网络;信息系统;安全保障
20世纪90年代,高新技术呈现出快速发展的趋势,使全球实现了信息化,人们的生产和生活都发生了天翻地覆的变化。如今比较热门的话题就是怎样将信息技术使用好、管理好,让信息技术给人们提供更多的便利。传统的信息安全管理主要是借助信息系统的安全设备实现的,比如认证系统、防病毒系统、入侵检测系统、VPN和防火墙等。现实生活中信息安全借助技术保障是无法取得最佳效果的,要想使信息安全得到高效的保障,就要从法制、管理和技术三个方面进行着手。如今铁路已经逐渐的实现了信息化和现代化,这就使得信息安全越来越被人们所关注,当务之急就是建立完善的信息安全管理系统。
1铁路信息安全管理面临的挑战
1.1缺少完善的行业信息安全等级保护标准体系
我国信息安全保障工作的最基本机制就是信息安全等级保护机制,只有将信息安全等级保护工作落实好,才能确保信息化朝着更加健康、安全的方向发展。如今,铁路信息系统没有创建明确的管理目标、没有突出的工作重点、信息安全监管缺少必要的根据,信息监管体系还在初步建设中。铁路行业安全管理工作急需解决的问题就是怎样在国家有关信息安全等级保护的基础上,探究铁路信息体系安全等级保障的准则,从而得出完善的铁路行业信息安全等级保护标准。
1.2缺少健全的信息安全运行维护管理体系
由于管理手段不到位、执行力比较差,导致铁路信息安全事故时有发生,所以铁路安全生产的核心内容就是信息系统的安全运行维护和管理。铁路行业体系的安全生产理念和运营形式比较陈旧,使其无法与信息化建设相协调,依靠手工式作业和人员意识来对铁路信息进行管理,这就急需建立健全高效、安全的运行维护管理体系。
2创建完善的铁路信息安全管理系统
铁路信息安全管理系统的建设需要投入大量的资金,其规模比较庞大,内容非常多,涉及到的范围比较广泛。各个业务单位和部门需要依据自身的实际情况来创建符合自身发展的信息安全管理系统。铁路信息安全管理系统在建设的时候,可以按照以下标准执行:(1)对信息安全管理系统的范围进行确定,对整个系统、单位和部门都要进行全部覆盖,从而实现对重点部位的监管。要将人员、财务管理与配置工作做好,认真分析目前信息安全管理的实际情况,定期开展教育培训活动。(2)对信息安全管理的现实情况和风险进行预测,以信息安全技术管理标准为基础,对信息存储、传输和处理进行可用性、完整性和保密性的评价和调研,对发生安全事故导致的严重后果、安全事故发生的可能性等进行认真分析。(3)将信息安全管理的框架建设好,从全局和整体的角度出发,对信息系统进行完整的规划和设计。以技术条件、信息资产现实情况、组织特点和业务性质为基础,创建详细的信息资产清单。在确定安全解决策略和安全系统的时候,一定要以安全控制技术、需求分析和风险分析为依据。(4)系统建设的总体要求要以ISO/IEC27001:2005标准为基础,信息安全管理系统文件编写的时候,一定要将文档资料进行全面的包含,比如适用性声明、实施与控制、风险评估、适用范围以及安全方针等。(5)对信息安全管理系统进行不断的改进,以系统文件的控制标准为依据开展审批、和组织实施等活动。在系统运行的时候,一定要将系统的性能进行较好的发挥,一旦发现问题,立即解决,系统完善时要以PDCA模型为基础。(5)在审核信息安全管理系统的时候,要以审核证据为基础,从而实现对信息安全系统有效性的判断,审核有两种形式,即外部审核和内部审核,具有完整的认证资质的独立机构,才能进行外部审核。
3结束语
铁路信息化越来越受到人们的重视,铁路要想实现现代化,就要先实现信息化,铁路的快速发展与铁路现代化有着紧密的联系。要想使信息化资源得到充分的发挥,就要将安全问题放在首要位置。铁路系统信息安全问题主要是受内部因素所制约,从某种意义上说,这也是一个可靠性的问题,需要从安全性技术和管理上下功夫,创建完善的铁路信息安全管理标准系统,使信息系统的运行更加的安全、规范。
作者:张蕾 单位:北京铁路局石家庄电务段
参考文献:
安全等级保护管理办法范文5
关键词: 信息系统;等级保护;网络空间;定级;建设整改;变更;备案
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)21-4808-03
当今世界,信息技术革命在给全世界人民带来便利的同时也带来了隐患和风险。应该说,我国的信息安全形势非常严峻,发达国家要使我们的网络信息系统瘫痪或盗窃我们的重要信息易如反掌。
纵观国内,信息化的工作流程已取代了传统的手工作业,各行各业的信息系统变得日益庞大和复杂,但我们的安全意识、技术和管理水平却始终不高。有幸的是,我国的信息化管理层早已认清了形势,开始推进我国建设信息安全的自主之路。
2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合发文,了《信息安全等级保护管理办法》。同年,四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》。自此,我国各行各业大规模开展重要信息系统安全等级保护工作的序幕正式拉开。
所谓信息安全等级保护(以下简称“等保”),是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。这里,信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本文不讨论关于信息安全产品的分等级管理和信息安全事件的分等级响应,仅就信息系统分等级安全保护开展讨论。
1 背景
信息安全等级保护制度,作为我国的一项重大政策,是各行各业开展重要系统信息安全建设的基础和依据。特别是《信息系统安全等级保护基本要求》(以下简称《基本要求》)的出台,在实践操作层面指导了重要行业的信息安全工作的开展。应该说无论是技术还是管理,我们都能从《基本要求》中找到建设维护信息系统相应的制度要求。
总的来说,我国信息安全等级保护制度的出台是及时的,有着特别重大和积极的意义,我们所有重要信息系统的建设者、维护者、使用者都应深刻领会,积极响应。在我国的重要行业领域里,严格参照《基本要求》开展等级保护工作,构建信息系统安全壁垒,是我们抵御敌对势力网络攻击和信息战的尚方宝剑。
21世纪的网络空间里,信息安全保卫战是看不见硝烟的战争,任何个人任何单位都不能轻视它,借助这场战争,胜利者将获得经济、政治上的利益,失败者将承受巨大的损失。这是一场隐蔽而持久的战争,我们任何人任何单位都不能放松警惕,我们必须时刻警醒,大量商用的核心信息技术掌握在他国手中,我们所处的地位本就弱势,如果再不重视信息安全,就等于没有任何防护措施任人宰割却不自知。
我们必须在网络空间里构建一道防线,使我们的信息系统不受侵害,而信息安全等级保护制度就是那道抵挡入侵的安全防线。落实好信息安全等级保护制度是我们的职责,也只有参照信息安全等级保护制度来完善和加固我们的信息系统,我们才能更好保护无形却有巨额价值的信息系统资产。
2 政府机关信息化工作的现状
现阶段,我国政府机关的信息系统具有以下一些特点:
1)在我国,政府机关的信息系统一般都是涉及国计民生的重要业务系统,因此,保障这些信息系统安全的需求非常强烈。
2)政府机关的信息系统大多追求稳妥,太先进的设施或软件不会贸然使用,所以信息化水平稍显落后。
3)我国正处在经济快速发展的时期,政策调整非常频繁,导致信息系统需要经常改动以适应政府服务及管理功能的需要。
4)政府机关的资金使用有财政预算和信息化管理部门的限制,一般都是按需设定,按计划采购,预算外的项目很难实施,而且预算都是提前一年设定。所以政府机关的信息安全建设只能按部就班循序渐进,无法一蹴而就。
5)随着近年来政府工作依赖信息化程度的提高,信息系统使用范围越来越广,信息部门工作人员的缺口在增大,人力资源紧张的问题越来越突出。为了弥补人手不足的窘境,信息部门一人多岗的现象非常普遍,而按照信息安全的相关要求,有些工作岗位必须由不同人员担任,这就要考验我们信息部门的管理者水平了。
2 做好等保工作的几点建议
政府机关的信息系统如此重要,现状又如此特殊,我们该如何在政府机关里开展好等保工作,通过等级保护来保障信息系统的正常运行呢?下面我推荐一些做好等保工作的建议。
2.1 思想上真正重视
首先,我们必须真正从思想上重视等保工作,才能在行动上保证等保的有效执行。如果说落实等保工作仅仅因为是国家的政策规定而为之,那么最后往往是敷衍了事的形式主义,等保的实际效果并不能真正体现出来。
对于信息系统安全工作我们丝毫不能松懈,信息安全防护的道路漫长而艰巨,我们必须拿出勇气和决心,坚守防线。实际上,等级保护制度是我国信息管理部门研究制定的自我防护措施,现在重要系统的信息安全事业得到很大程度的重视也是得益于国家等级保护制度的出台。也正因信息安全得到了前所未有的重视,重要系统的信息安全保障水平才得到大幅度的提升。因此,我们必须真正的引入等保,切实严格的按照要求开展等级保护工作。
2.2 做好定级工作
信息系统的安全保护等级分五级,不同的等级相对应的等级保护要求也不同。等级保护的核心思想,就是把重要的信息系统按相应级别保护起来,不同的等级保护级别分别有不同的信息技术建设管理要求。简而言之,定级就是确定信息系统的保护等级。
由于我们每个单位的经费与预算是有限的,每个单位的信息系统又有重要和次要之分,因此,我们必须梳理所有的信息系统,逐一确定相应等级。将有限的预算投入到高保护级别的信息系统安全保障中,才是实际而高效的。如果定级不准,将使重要信息系统得不到应有的保护,或者非重要信息系统占用太多原本就紧张的资源。当然,在实际的工作中,每个单位的情况不同,信息系统具有的风险特点也不同,那就要具体情况具体分析了。
另外,现在很多单位一提到等级保护就认为这是信息部门的工作,与业务没什么关系。但是我认为这种观点是错误的,在等保最关键的定级环节中,责任主体是我们的业务部门也就是信息系统的应用管理方。因为按照规定,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。所以说一个信息系统受到破坏后将引起怎样的影响,信息部门作为建设运维方是无法得知的,业务部门必须分析相关影响,并确定信息系统的保护级别。
再一个是定级的时间问题,也就是说,什么时候确定信息系统的保护等级。先说新建系统,一般来说,新建信息系统在一开始便应该确定相应的等级,也就是说在信息系统建设之前的业务需求阶段,等级保护级别就应该被确定了。只有明确了信息系统的保护级别,我们才能在项目建设的需求中考虑相应等级需要达到的安全要求,并按相应等级的要求来建设系统。再说在用系统, 因为等级保护制度是近些年才提出来的,而我们使用的信息系统有很多是在等保之前就投入使用的,那么这些在用的信息系统就只能在后期补定保护级别了。
总之,定级工作是等保工作的基础工作,如果不及时定级,后续工作将无法开展。如果定级不准确,将无法按对应的要求来保护信息系统。
2.3 划清信息系统的边界
信息部门应该做的是:正确分析信息系统涉及的设施及范围,实际上,这项工作是具有难度的。由于现在的信息系统都是运行在网络环境中,信息系统的后台数据是交叉使用、相互调用。而定级是根据业务信息及系统服务两者中高的安全等级来决定该信息系统的。所以定级时系统范围的确定就需要慎重考虑了。
但是我认为在等保中贯彻着一种思想,就是“谁主管谁负责,谁运行谁负责,谁使用谁负责”的思想,由于我国国情的特点,一个信息系统在运行过程中可能跨省可能跨市或跨单位。那么此时,我们必须以责任主体来分割信息系统,因为等级保护的责任主体必须有明确的宿主,比如说在上下级级联的信息系统中,信息系统位于上级单位的软硬件设施和数据应该由上级单位管理,位于下级单位的软硬件设施和数据应该由下级单位管理。
2.4 安全建设整改
建设整改工作是等保的核心工作,也是最具技术难度的工作。如果是新建信息系统,前面已经讲到应该在建设之初就由业务部门确定保护级别,然后信息部门可以按照相应级别要求去建设信息系统的安全功能;如果是未经定级就投入使用的信息系统,这些系统多半不会参照等级保护要求来建设安全功能,或多或少都会有不符合等级保护要求的地方。这样的话,我们必须在信息系统补定级之后,按照《基本要求》来对照自查并进行整改。
由于我国政府机关人力、资金等资源的限制,整改工作的压力很大。但很多时候,即使我们了解信息系统所具有的风险点,也不敢轻易尝试操作。一方面,我们的技术人员水平有限,怕操作失误承担不良后果,另一方面,单位资金紧张,没有财力去扩充安全设施;或者,人手紧张,没有足够人员来满足空缺的岗位。
实际上,整改工作确实是需要拿出决心、勇气和智慧的,否则是执行不下去的。比如说打补丁工作,我们可以尝试搭建测试环境,在测试环境中如果补丁不影响系统正常运行,那我们就可以在正式环境中操作该工作,当然,在操作之前我们要做好回退的准备。同样的,关闭不需要的服务和端口也同样可以在模拟环境中先行测试。人手不够,可以尝试一人多岗,互为AB岗,或交叉审计。没有资金采购安全设施,可以通过一些管理策略或人工操作来弥补。
2.5 循环改进
伴随着信息技术的不断升级进步,信息安全保护也不能停滞不前。今天采用的保护措施有效并不意味明天也能有效。所以信息安全保障应该是一项持久永续的工作,只要信息化系统不停止运行,安全保障工作就不能停止,也就是说等级保护工作也必须持续进行。
一个重要信息系统从产生到废止,信息安全等级保护需要贯彻整个生命周期。这样一种工作模式是保障信息系统安全相对有效的方式,需要指出的是,做好等保工作不是一次性的,不可能一劳永逸。比如说,我们按保护级别对信息系统开展了安全整改与建设,在进行等保测评之后,我们需要对测评报告指出的风险或安全差距开展再次的整改与建设;因为重要信息系统需要定期测评,所以在整改之后我们要再次开展等保测评,然后对测评出的问题再整改……
2.6 变更工作
由于信息系统是一种替代手工操作的工作方式或生产工具,这种特殊的使命注定了信息系统不是一成不变的。因此我们必须定期梳理重要信息系统,确认是否有重要信息系统发生了变更,这里的变更应该是全方位的,从纵向来说我们要看信息系统相关的物理环境、硬件设施、软件程序、管理制度、业务流程、业务数据、管理人员等方面是否有变更;从横向来说,我们要看信息系统是否发生了合并、新增、废弃、缩减等等。当变化发生时,我们必须首先确认保护级别是否需要变化,其次才看系统相关的资产或管理是否有变化,并办理更新登记备案。
其中,系统保护等级的变更工作常常是最容易被忽视的。很多人认为信息系统既然在首次被确认了保护级别,就不应当再被改变了。但在实际工作中,我们发现业务需求发生变化的情况太多了,由于我国政治经济文化等各方面都处在迅猛发展的阶段,我们政府机关的政策或服务经常会发生变化,而变化的发生直接体现在信息系统的变更上,所以信息系统功能或被变更或被扩展或被删减是正常而频繁的。那么既然业务系统的功能发生了变化,它的保护等级就有可能会发生变化。所以,为了避免保护等级的不合时宜,重新核定保护级别是必须正视的工作。
2.7 备案
在虚拟的网络世界中,战争已经悄悄的开打了。发达国家陆续都成立了他们的网络空间保卫司令部。我们也不能放任他国在网络世界中随意侵入我国重要领域。因此,我国的信息管理部门必须采取一些措施来保卫重要领域的信息系统,而要想保卫自己的领土就必须了解自己的实力和软肋。所以我们必须让高管理层掌握我国重要信息系统发展的现状,等保工作中的备案便是管理部门获取第一手资料的渠道。
备案登记就是按要求到单位所属的公安机关去登记重要信息系统的信息。我们必须认真对待该项工作,如果我们填报的资料不准确或敷衍了事,将会误导管理部门甚至使国家的战略决策发生偏差。另外,在发生任何重要的变更时,我们都应该及时的办理更改登记,调整备案的相关资料。以便于管理部门了解掌握我国重要领域信息系统的真实状况。只有了解自身的信息化状态,采取合适的应对措施,我国才能在网络空间保卫战中谋求自己的一席之地。
3 结束语
经历着等级保护的洗礼,我们政府机关的信息系统正在积极的改变,信息安全要素已经慢慢渗入到信息化体系的血液中。虽然由于经费、人员、政策等资源的限制,我们的信息系统还不能做到无懈可击、牢不可破,但是随着等级保护工作一轮又一轮的循环展开,我相信不久的将来,重要信息系统的可靠性将再上一个台阶,我们的政府机关在以更优质的服务提供给人们的同时,其安全程度也将更高。
安全等级保护管理办法范文6
【关键词】 等级保护 电力调度 管理制度
引言
我单位开展了信息安全等级保护安全建设整改、等级测评等工作。然而,随着整改进程的深入,建立规范、高效、安全的信息系统运行维护和管理体系,如何将等级保护中的管理制度与本单位自身的安全生产、班组文化等制度结合,给管理工作带来了新的挑战,通过建立等级保护管理制度体系能够更全面的提高电力调度系统运维管理层次,实现信息系统、数据资源集成整合和综合高效利用,支撑实现电力调度的信息化发展目标。本文结合笔者在信息安全管理中的实践和理解,对等级保护管理体系在工作中的应用提出一些个人的想法,供读者借鉴。
一、建立等级保护制度体系目的和意义
为更好的提高信息安全保障能力和水平,依据《信息安全等级保护管理办法》(公通字[2007]43号)、国家电网公司《信息系统安全等级保护建设的实施指导意见》(信息运安[2009]27号)、《SG186工程信息系统安全等级保护验收标准(试行)》(信息运安[2009]44号)、《关于加强电力二次系统安全防护和等级保护工作的通知》(调自〔2012〕65号)等要求。进一步加强电力调度系统重要信息系统的安全保护,落实国网公司关于信息安全等级保护和安全防护体系建设的总体要求,我单位开展了信息安全等级测评和整 改工作。
二、等级保护管理制度体系分析
等级保护管理制度体系提供了对组织机构中信息系统全生存周期过程实施符合安全等级责任要求的管理,包括落实安全管理机构及人员,明确角色与职责,制定安全规划、开发安全策略、实施风险管理、进行监控、检查,处理安全事件等,具体落实在要求则体现在等级保护测评指标中,等级保护管理要求如图1所示。
三、等级保护管理体系建设实践
在具体落实管理体系过程中,应结合原有的信息化管理制度,贯彻建立管理制度文件层级化和流程化管理概念,将方针策略、管理制度、操作规程和记录表单等文件科学的管理运作;将信息化安全管理方针策略定义为一层策略文件;将沟通管理、信息化人员管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面定义为二层制度文件,落实一层文件中涉及的各方面运维和安全管理内容;将信息化运维管理的操作指导规范等定义为三层流程文件,支撑二层制度文件的具体操作;将所有信息化运维相关的表格定义为四层表格文件,落实并规范化所有运维操作,融合和动态的管理当前使用的管理制度体系结构,如图2所示。
3.1安全管理的原则
1)基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
2)主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
3)全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
4)持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的分布变化,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系;
5)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。
3.2管理制度体系框架构建
3.2.1工作目标
建立安全管理组织并落实各个部门信息安全责任人,明确组织内各机构人员责任和工作职能,确定信息安全管理体系方针策略,编制形成信息安全方针策略文件。
3.2.2建立信息安全管理组织
(1)建立信息安全管理组织架构
信息安全领导机构:供电公司信息化领导小组,主要负责对单位信息安全制定总体安全策略、监督和协调各项安全措施在单位的执行情况、设立落实信息安全责任。由供电公司分管领导担任组长,小组成员为各个部门负责人组成。
(2)明确各相关机构和岗位角色的责任和职能
建立相应的职责文件,明确各相应领导、部门、岗位的职责。调度通信中心应设立信息安全工作的各关键岗位,如安全管理员、网络管理员、操作系统管理员和数据库管理员等,并将之与班组人员结合,并重视信息化人员的培养。
3.2.3确定安全管理总体方针策略
安全管理方针策略是为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。同时,还是进一步制定控制规则、安全程序的必要基础。应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,且要有足够灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。可以使员工了解与自己相关的信息安全保护责任,强调安全对组织业务目标的实现、业务活动持续运营的重要性。
安全方针策略属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括以下内容:
(1)信息安全的定义,总体目标、范围,安全对信息共享的重要性;
(2)管理层意图、支持目标和信息安全原则的阐述;
(3)信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性;
(4)信息安全管理的一般和具体责任定义,包括报告安全事故;
(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础。
3.3管理制度体系策略建立
3.3.1工作目标
建立覆盖信息工作的全部文件,包含安全策略、制度、规定规范、表单,完善所有活动流程管理。
3.3.2建立体系策略制度文件
信息安全策略是组织信息安全活动的最高方针,需要根据信息工作的实际情况,分别制订不同的信息安全策略。应该简单明了、通俗易懂,并形成书面文件,发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训,以使信息安全方针真正植根于单位内所有员工的脑海并落实到实际工作中。根据本单位实际情况,建立的策略文件,所有文件均需进行论证和评审。
(1)信息安全管理策略
作为所有系统的指导性方针文件,提供信息安全的基本规则、指南、定义。依据本策略应制定各管理制度、操作和使用规范。
(2)系统运维安全管理策略
作为所有系统运行维护的指导性方针文件,提供系统安全运行维护的基本规则、指南、定义。依据本策略应制定系统运行维护中相关的各种管理制度和规定,以及控制各项活动的记录表单和审批流程。应覆盖机房、网络、系统、资产、备份、日常运维等所有运行维护工作的范围。
(3)系统建设安全管理策略
作为所有信息化工作建设的指导性方针文件,提供信息工作相关的建设安全管理的基本规则、指南、定义。依据本策略应形成项目管理、采购管理、工程实施管理、测试及验收管理等建设管理的全过程管理制度,相应的控制表单和审批规定。
(4)人员安全管理策略
由于在系统、运维、建设方面已经对人员在该活动中的行为做了要求,人员安全管理主要需要考虑的问题是录用、离岗、保密、教育培训、考核及外来人员方面的管理,也可以直接制定比较详细的人员安全管理制度。
(5)管理流程
梳理并完善各种活动的详细流程图,任何针对信息系统的活动均有流程可依据进行控制管理。如事件管理流程、变更管理流程等。
(6)其他辅助制度
建立辅助文件,如对以上策略、制度、表单等进行管理的文件管理制度、保密制度、信息规定等。
3.4管理制度体系运作落实
3.4.1工作目标
逐项实施,直至体系全面运行,监督落实安全策略制度,找出体系中的不适用和缺陷。
3.4.2实施
经过第一和第二阶段的工作,理论上单位已初步形成完整的信息安全管理体系,但体系是否能正常运作发挥作用,需要对体系进行验证,验证的方法就是运行体系。
体系的运行分几步进行:
对通过论证评审的文件,通过正规渠道正式发文的方式进行,的文件根据情况决定是否采取“征求意见稿”或“暂行”;
文件前召集相关部门的负责人学习文件,并要求确保落实力度;
的文件要求相关部门组织学习,并依照实施;
各相关部门对运行的文件制度运行情况进行收集,存在实际困难无法落实的报评审组织评审适用性;
对“征求意见稿”的文件,必须从实施的相关部门采集意见。
体系实施阶段可以在体系建立阶段同步开展,建立部门策略制度后,通过论证评审即可进行试运行,不需等全套文件完成。
3.4.3监督
指定或成立跨部门监督机构、人员,对文件实施的过程进行监督管理,制定相应的惩戒措施,对落实情况进行监督检查,对违反文件实施和实施不力的部门或人员进行惩戒,切实落实文件的有效实施。收集监督过程中发现的文件问题、人员实施问题方面资料,反馈到编制组织。
本阶段是系统建立的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。如果发现一个控制措施不合理、不充分,就要采取纠正措施,以防止信息系统处于不可接受风险状态。必须强调相关领导应重视本阶段工作,并且从实际上支持和推动实施工作。且应加大学习培训和监督力度,落实惩戒措施。让文件涉及的相关部门和相关人员熟知该文件并能按要求准确执行。
3.5管理制度体系细化调整
3.5.1工作目标
总结体系运行情况,调整不适用和无法落实的部分,完善体系,使之能高效、有序的运作。
3.5.2评审
评审有两个环节,第一个环节是针对出现的问题进行审核,论证其原因,进行改正完善。第二个环节是在大部分问题解决后、体系正常的情况下全面评审体系文件、组织、活动是否达到预期目标。
首先,信息安全领导小组组织相关部门人员,对体系实施中发现的问题进行审核,对落实不力的部门责成落实;对实际存在的问题进行论证,提出解决办法;对不适用的文件或部分进行论证评审,确实存在不适用的文件则组织相关人员进行修订,转入修订环节,对于不适用且没必要存在的文件进行废止。
而后,对于本阶段计划时间内反馈没发现问题的文件,组织相关部门评审试行效果,达到预期要求则作为正式版运行,并采用持续优化阶段的方式进行管理,未达预期目的则转入重新编制程序。
3.5.3修订
对于存在问题的策略文件,组织该策略文件涉及最多的主体部门和其他相关部门人员成立临时修订机构,针对文件存在问题进行修订。修订后进行新版本的颁布,同时该文件转入落实阶段。
3.5.4测评
经过细化调整,不断地审核修订后,体系应已基本完善,此时转入评审的第二环节。按照符合等级保护要求的预期目标,委托等级保护测评机构进行等级保护测评,在保证客观、合规、公正的前提下,对单位信息安全体系进行全面评审。整体测评后,对不满足要求的部分进行整改,整改完成后转入实施阶段,直至符合要求。
3.6管理制度体系持续优化
通过前四个阶段的工作,信息安全管理体系应基本稳定、成熟,后期的工作在于保持并进行不断地优化。把经过检验的文件作为常态的管理遵循依据,在日常工作中保持,不因试行结束而松懈。部门和人员应把试行期间依照文件要求形成的工作模式进一步完善保持,在未发生异常情况之前,始终按照正式版本执行。定期进行评审,找出不适用部分进行优化调整;结合工作实际,寻求更高效安全的方法优化体系,提高效能。
