怎样规范信息系统管理,可以从不同角度出发,比如ITIL,就是从提高服务质量的角度出发来规范化管理的,而如果要从安全的角度出发,参照国家相关安全等级保护规范来规范化信息系统管理就是一种行之有效的办法,它既可以保障信息系统的适度安全,又可以为信息系统通过安全等级保护测评做好准备,本文就是在我单位某个信息系统通过三级安全等级保护测评时建立管理制度的经验的基础上写成。大家在建立自己的信息系统管理制度时,切记要结合本单位的实际情况,才能建立切实可行的管理制度。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现。安全管理上的安全控制分别从安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等方面对信息系统的运行和资源实施管理,信息系统建设也是围绕这几方面进行。
一、安全管理机构
安全管理机构的建设要对信息安全职能部门的组织机构和人员职责进行优化和明确,为信息系统的安全管理工作提供有效可行的组织和人员支持;要建立有关部门之间的信息安全工作协调机制,保证信息安全工作的实施,在安全事件发生时能协调配合及时做出响应。
结合单位实际情况,我们建立了主要有决策层、管理层、执行层三个层次组成的信息安全管理机构。决策层主要负责审核和批准信息安全总体方针和信息安全规划,审核和认可本单位信息安全措施的完备性和合理性,对信息安全的宏观问题进行决策。实际上它并不完全是针对某个信息系统安全管理建设的,它要对单位所有信息系统负责。
管理层主要负责制定和发布信息安全管理制度和信息安全规划,协调信息安全工作中各项需要跨部门执行的事务,监督、控制和检查信息安全管理制度的落实情况。管理层配备有信息系统安全主管,具体负责信息系统的安全管理工作。
执行层由系统维护人员和信息安全专职人员等具体执行人员组成,负责信息安全工作的具体实施和执行。针对安全等级保护的要求,配备有系统管理员、网络管理员、安全管理员,并结合信息系统管理实际需要,还配备了机房管理员、安全审计员、数据库管理员、资产管理员等。在人员配备方面需要注意的是安全等级保护要求应配备专职安全管理员,不可兼任。
在信息安全管理机构建设的基础上,要明确信息安全管理机构中各级组织和各个岗位的信息安全职责。应明确授权和审批事项、部门、人员及相关流程,规范过程文档。对与供应商、外部相关安全机构、上级主管部门等的联系、沟通合作要进行规范管理。根据等级保护对审核和检查的要求,结合国家信息安全主管部门每年发布的政府信息系统安全检查指南明确信息系统的安全检查管理,对自查、常规检查、年度安全大检查都有明确要求。在常规检查中规定安全管理员负责检查系统日常运行、用户账号、系统漏洞、数据备份和系统审计等。信息安全管理部门要组织相关人员定期分析、评审异常行为的审计记录,发现可疑行为,形成审计分析报告,并采取必要的应对措施。在年度信息安全检查中要对现有资产的具体情况,网络设备、主机设备和安全设备的当前配置情况进行检查。根据当前情况分析当前的安全状况, 了解安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
二、安全管理制度
等级保护对安全管理制度方面的要求主要体现在一是要建立安全管理制度体系,提出包括“保持适度安全、管理与技术并重、全员参与、最小特权”等内容在内的总体安全方针,制订总体安全策略。对安全管理制度应包含的内容进行规范,如要求包含:信息安全组织机构和岗位职责、人员管理制度、机房安全管理制度、数据备份管理制度、业务连续性管理制度、计算机终端管理制度、应用系统日常操作安全管理制度、网络设备日常操作安全管理制度、安全设备日常操作管理制度等方面内容。二是对管理制度本身进行规范管理,如制度制订和发布过程中制度的格式、版本控制、发布范围等,制度评审和修订过程中评审牵头部门、评审周期等。
三、人员安全管理
计算机信息系统的安全运行依靠系统安全管理人员的安全管理,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人员安全管理制度建设。
人员安全管理主要包含下列方面:人员录用、离岗、考核、教育和培训以及外部人员访问管理。按等级保护要求在人员录用时除对人员的专业水平及资质资格按岗位要求进行审核外,还应签署岗位安全协议。而人员离岗时除收回权限、证件外还要在保密承诺文档签字后才能办理离岗手续。在人员日常工作过程中要按照培训计划定期对信息系统各个关键岗位人员进行信息安全教育和技能培训,并每年进行考核。在外部人员需要访问机房时首先填写《外部人员访问申请审批单》进行审批,通过审批后填写《第三方人员进入机房登记表》登记后才可进入机房。
四、系统建设管理
从信息系统等级保护角度看,系统建设管理方面的要求很多,主要集中在以下几方面:系统定级、备案、自查、等级测评;系统安全方案设计、软件开发、工程实施、系统测试及验收交付;产品采购和安全服务商的选择等方面。
信息系统的定级、测评、备案和变更管理应按照《信息安全等级保护管理办法》(公通字[2007]43号)和《信息系统安全等级保护定级指南》的要求进行。
系统的安全方案设计应根据系统的安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施,根据系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案。在系统实施的各个阶段中要始终坚持贯彻信息系统安全工程(ISSE)的原则,以确保相应的安全控制和保障机制贯穿于系统开发生命周期的过程中。
在产品采购和安全服务商的选择方面应注意优先采购自主可控的信息安全设备、核心网络设备、基础软件、系统软件和业务应用软件等关键产品,以确保信息系统的安全可控。安全产品要有通过国家认定的信息安全产品检测实验室的检测证明,以及计算机信息系统安全专用产品销售许可证,商用密码应符合《信息安全等级保护商用密码管理办法》的有关要求。信息安全服务商应选择有相应资质并符合国家法律法规和政策规定条件的厂商,必要时应请国家有关部门进行安全审查,并报组织决策层批准。
五、系统运维管理
按照等级保护的要求,系统运维管理包含了信息系统日常运维的各个方面,有环境及硬件方面的环境管理、资产管理、介质管理、设备管理,有系统方面的运行状态监控、网络安全管理、系统安全管理、恶意代码防范以及备份与恢复管理,还有管理流程方面的变更管理、安全事件处置以及应急预案管理。这些管理制度的建设既要满足等级保护的要求,也要可行、有效,还要注意按照等级保护中的详细要求建立规范的记录文档。比如,在环境管理中要建立机房管理日志并规定监视内容及巡检周期;资产管理要建立信息系统资产清单;监控管理要规定监控内容、监控记录,监控周期,还要定期形成分析报告;数据备份和恢复要建设数据备份和恢复策略文档,要有定期备份系统清单。
总之,根据等级保护对信息系统的要求,结合单位实际情况,将之细化为实际工作中的管理办法、操作规程,建设行之有效的安全管理制度,才能够实现信息系统的适度安全。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:从安全等级保护角度看信息系统制度建设