规范信息系统安全管理重要性及实施措施.docx
《规范信息系统安全管理重要性及实施措施.docx》由会员分享,可在线阅读,更多相关《规范信息系统安全管理重要性及实施措施.docx(6页珍藏版)》请在冰豆网上搜索。
规范信息系统安全管理重要性及实施措施
规范信息系统安全管理重要性及实施措施
前言
随着科学技术的发展,信息系统不断的进步,在带给我们给你更多便捷的同时,信息系统面对的安全威胁也越来越多。
面对日益严峻的安全环境,国家逐步出台了对于信息系统的等级保护定级、测评的相关规定,用以保护信息系统的安全,降低其所面临的风险。
比如,如何对信息系统进行规划和管理,如何保证其正常运行的相关规定和措施,出现故障后的应急方案如何制定等。
根据在实际情况中所遇到问题,遵循对问题进行分析、思考、实践、改善这一系列研究过程,发现规范化管理对提高系统运行的可用性和连续性有着至关重要的意义。
本文将结合笔者对信息安全等级保护的理解阐述信息系统安全管理的重要性,并结合等级保护的具体测评项目制定一些相应的自查自检措施。
一、规范化管理
1、什么是规范化管理
规范化管理是一个系统工程,要使这个系统工程正常工作,实现高效率、高质量,就需要运用科学的方法、手段和原理,按照一定的运营框架,对各项管理要素进行系统的规范化、程序化、标准化设计,然后形成有效的管理运营机制。
2、什么是信息安全等级保护
根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及受到破坏后对受侵害客体的损害程度,对信息系统的组织管理与业务结构实行分域、分层、分类、分级实施保护,保障信息安全和系统安全正常运行,维护国家利益、社会秩序、社会公共利益以及公民法人和其他组织的合法权益。
信息安全等级保护制度的主要内容是什么?
对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
3、信息系统管理规范化概念
信息系统的管理规范化
信息系统的管理规范化,需要依据管理者对于等级保护工作内容的理解,结合等级保护要求设计管理的规范框架或流程,形成统一、规范和相对稳定的管理体系,并在管理工作中按照这些组织框架和流程进行实施,以期达到管理动作的井然有序和协调高效。
信息系统的规范化管理
信息系统的规范化管理是建立在自身管理规范化的基础上,依照自身的运维流程对系统进行建设和管理,解决内部管理中的权限下发与权限集中;要求对整个系统的流程形成制度化、流程化、标准化、表单化以及数据化。
通过这种规范化的建设,使自身常规的事件纳入制度化、数据化、流程化的管理,以形成统一、规范和相对稳定的管理体系,以此提高工作质量和工作效率,达到保障信息系统正常运行的目的。
1.信息系统规范化管理的内容
规范化管理在信息系统的运作上涉及到多个方面:
项目规划与决策程序、组织机构、业务流程、部门和岗位设置、规章制度和管理控制等方面;规范化的内容简单地说就是:
制度化、流程化、标准化、表单化、数据化。
●流程的规范化
信息系统涉及的各个部门内部都有各自的管理办法,但对于部门之间的衔接却很难有较好的管控方法,所以,越是界定部门之间的权责,问题就越多。
这时就需要对自身运维流程进行明确,使部门纳入到流程中,成为流程中的一个结点;流程一般包括岗位工作流程、系统业务流程、机构组织流程;在进行流程规范化的时候,必须先明确自身的职责和目标、识别流程及其现状,然后确定各个流程,并对流程进行科学的规划和设计。
●组织结构的规范化
组织结构是关于信息系统在运维过程中涉及的目标、任务、权责、操作以及相互关系的系统。
具体内容包括:
各部门之间的结构、岗位设置、岗位职责以及岗位描述等。
目的在于协调好部门与部门之间、人员与任务之间的关系,使管理人员自己在管理过程中清楚应有的权、责、利,以及工作形式、考核标准,有效地保证组织活动开展,最终保证组织目标实现。
组织结构规范化强调组织架构的设计,应该建立在系统思考的基础上。
各部门和岗位,都必须从系统的角度出发,对应于自身的目标来界定自己工作的内容、标准和要求,以及所能支配的资源,使之按照既定要求和标准,对所获得的资源的配置方式进行选择,行使决策权力,并承担相应决策的责任。
●规章制度的规范化
管理制度是规范化管理的有效工具,可以对各个部门、岗位和员工的运行准则进行很好的界定,它能够使整个测评机构的管理体系更加规范,是每个员工的行为受到合理的约束与激励。
其主要内容包括:
管理体系的规范化、行为准则界定的规范化、绩效管理标准的规范化、违规行为处罚的规范化等。
●资料信息体系的规范化
从有利于信息化、有利于信息共享、有利于减轻负担出发,根据新流程、新制度的要求,按照格式模板统一、填写标准统一、资料共享及归档要求统一、检查指导要求统一、评分考核要求统一、绩效兑现要求统一的标准,完善记录、报表,完善内部共享资料数据库,推进基础资料信息化管理,推进流程关键点的过程控制,为量化考核、追溯责任和绩效考核提供依据。
●管理控制的规范化
信息系统的越来越复杂,作为管理者对系统的管理难度就越大。
这就需要管理者有一套有效的管理控制系统,管理者可以通过这套规范化的系统,对自身的生产系统、管理人员、技术开发等模块进行有效的管理和控制,来实现管理者的意图。
一、信息系统管理自查自检措施
内控自查工作不仅是构成信息系统内控管理体系的重要组成部分,也是监督审计的重要手段之一。
自查工作是各业务部门依据业务流程对处理相关业务活动、流程、及设施的现场自查。
开展自查工作的目的是保证信息系统的服务质量。
通过内控自查流程,将信息系统所面临的风险控制在最初阶段,有效的降低信息系统所面临的风险。
通过内控自查工作,将服务质量控制活动落实到每个运维人员中去,使我局员工充分认识到加强内控管理的重要性,不断完善我局内部控制体系建设,强化内控管理执行行为,提高管理水平,促进各项业务稳健运行。
二、信息资产自查计划
1.检查人员
检查人员
部门机构
系统管理员
部门机构
负责人及主管
信息技术局
安全岗
信息技术局
负责人
检查人员责任
负责制定本部门系统的自查计划
负责本部门系统的自查计划的签字审批
给予各部门的自查计划提出建议,并负责制定全面的自查计划
负责各部门的自查计划的审阅检查和全面自查计划的签字审批
2.检查时间
每个月的第一周:
各部门编辑部门负责维护系统的自查计划,并由部门负责人签字审批;
每个月的第二周:
信息技术局安全岗负责编制整合全面的自查计划,并由信息技术局负责人签字审批后展开全面自查工作;
每个月的第三周:
编制、审核本月的检查报告,并由信息技术局负责人审查完毕后进行存档。
3.检查流程
具体检查流程如下图所示:
4.检查范围
1)检查范围包括运行环境检查、运行设备安全检查、系统运行管理检查、网络系统对外连接情况检查等用于生产经营和业务管理活动的计算机系统检查;
2)运行环境检查包括,但不限于:
●防火报警装置、灭火装置等消防系统是否有效;
●各类报警和监视装置是否有效,机房的接地系统、防静电措施、防雷击措施是否有效;
●设备是否乱丢乱放;
●工作人员饮水、用餐等是否危及计算机设备安全;
●门禁、监控系统是否正常运行;
●介质分类、介质存放、监控报警系统等是否正常合理;
●机房温度和湿度的控制、机房防水防潮的控制是否合理等;
3)系统运行管理检查包括,但不限于:
⏹计算机工作日志是否正确记录运行维护情况;
⏹桌面系统是否运行无关软件;
⏹系统管理员离职、离岗时,计算机应用系统设备台账移交是否合规;
⏹密码长度是否少于6个不含空格的字符;
⏹将含有敏感资料信息的文档或存储载体带离银行时,是否得到管理层授权批准,并进行登记。
⏹所有含有敏感资料信息的文档或存储载体是否锁在专门的防火档案柜或保险柜内;
⏹销毁存于电脑储存载体(如磁带等)上的电子数据,是否用物理破坏的方式进行。
4)运行设备安全检查包括,但不限于:
⏹计算机设备是否保持整齐清洁;
⏹生产设备是否由信息科技部会同庶务部购买;
⏹是否定期进行安全漏洞扫描,分析漏洞威胁并采取相关措施;
⏹计算机应用系统设备台账记录是否准确无误。
5)网络系统对外连接情况检查包括,但不限于:
⏹是否采用物理隔离措施隔离我局业务网和互联网;
⏹是否按照标准规范的要求隔离业务网与互联网;
⏹是否采取措施禁止网络内的计算机以拨号方式接入互联网;
⏹是否使用单独的网络设备连接外联网。
6)管理制度、机构、人员、建设和运维的检查包括,但不限于:
⏹安全管理制度的制定颁发、评审和修订是否符合标准;
⏹安全人员岗位职责分配是否合理;
⏹各部门和岗位的是否明确授权审批事项;
⏹与外联单位是否建立严格的沟通合作关系;
⏹是否对系统日常运行、系统漏洞和数据备份等情况定期审核和检查;
⏹人员的录用、离岗、考核和安全意识的培训是否严格规范;
⏹是否严格控制外部人员的访问;
⏹系统定级是否符合标准;
⏹安全方案的设计、审批和修订是否合理;
⏹产品采购和使用、软件开发、工程实施、测试验收、系统交付、系统备案等是否符合国家的有关规定,是否建立详细的流程。
⏹是否按照国家规定定期对信息系统进行测评;
⏹是否确保安全服务商的选择符合国家的有关规定;
⏹是否制定详细的信息资产清单,并进行分类标识管理。
三、实施过程中需要注意的问题
1.规范化管理不是死板的管理
这个世界上找不到放之四海而皆准的规范化管理模板,因为实际和理论之间需要匹配,理论只是一个框架,框架中的具体内容需要实际情况来填充。
而实际中不同机构的具体情况不一,所以具体内容也就不一样。
因此,引入规范化管理系统后,管理者应注重系统的完善、优化和创新。
要把规范化管理的“普遍规律”与各自的“特殊情况”有机的结合起来。
2.规范化不能随心所欲
规范化管理的基础概念是规范,规范为人们提供了相对稳定、可以预测、可以期待的工作与生活环境,从而为内部人员之间、机构与外部的协作提供了基础。
规范意味着不能随心所欲,要保证其有效的执行,不被干扰。
通过对信息系统这几个方面进行的规范化,最终使得自身的决策程序化、考核定量化、组织系统化、权责明晰化、奖惩有据化、目标计划化、业务流程化、措施具体化、行为标准化、控制过程化。
以此为基础,结合对于信息安全等级保护的不断深入的了解,收集日常运维管理的经验,就能够不断的解决我们在管理过程中出现的问题,提高系统管理的能力和水平。
升级会员 