規(guī)范信息系統(tǒng)安全管理重要性及實(shí)施措施

1、.規(guī)范信息系統(tǒng)安全管理重要性及實(shí)施措施前言隨著科學(xué)技術(shù)的發(fā)展，信息系統(tǒng)不斷的進(jìn)步，在帶給我們給你更多便捷的同時(shí)，信息系統(tǒng)面對(duì)的安全威脅也越來越多。面對(duì)日益嚴(yán)峻的安全環(huán)境，國家逐步出臺(tái)了對(duì)于信息系統(tǒng)的等級(jí)保護(hù)定級(jí)、測評(píng)的相關(guān)規(guī)定，用以保護(hù)信息系統(tǒng)的安全，降低其所面臨的風(fēng)險(xiǎn)。比如，如何對(duì)信息系統(tǒng)進(jìn)行規(guī)劃和管理，如何保證其正常運(yùn)行的相關(guān)規(guī)定和措施，出現(xiàn)故障后的應(yīng)急方案如何制定等。根據(jù)在實(shí)際情況中所遇到問題，遵循對(duì)問題進(jìn)行分析、思考、實(shí)踐、改善這一系列研究過程，發(fā)現(xiàn)規(guī)范化管理對(duì)提高系統(tǒng)運(yùn)行的可用性和連續(xù)性有著至關(guān)重要的意義。本文將結(jié)合筆者對(duì)信息安全等級(jí)保護(hù)的理解闡述信息系統(tǒng)安全管理的重要性，并結(jié)合等級(jí)

2、保護(hù)的具體測評(píng)項(xiàng)目制定一些相應(yīng)的自查自檢措施。一、 規(guī)范化管理1、 什么是規(guī)范化管理規(guī)范化管理是一個(gè)系統(tǒng)工程，要使這個(gè)系統(tǒng)工程正常工作，實(shí)現(xiàn)高效率、高質(zhì)量，就需要運(yùn)用科學(xué)的方法、手段和原理，按照一定的運(yùn)營框架，對(duì)各項(xiàng)管理要素進(jìn)行系統(tǒng)的規(guī)范化、程序化、標(biāo)準(zhǔn)化設(shè)計(jì)，然后形成有效的管理運(yùn)營機(jī)制。2、 什么是信息安全等級(jí)保護(hù)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及受到破壞后對(duì)受侵害客體的損害程度，對(duì)信息系統(tǒng)的組織管理與業(yè)務(wù)結(jié)構(gòu)實(shí)行分域、分層、分類、分級(jí)實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國家利益、社會(huì)秩序、社會(huì)公共利益以及公民法人和其他組織的合法權(quán)益。信息安全等級(jí)保護(hù)制度

3、的主要內(nèi)容是什么？對(duì)國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。3、 信息系統(tǒng)管理規(guī)范化概念信息系統(tǒng)的管理規(guī)范化信息系統(tǒng)的管理規(guī)范化，需要依據(jù)管理者對(duì)于等級(jí)保護(hù)工作內(nèi)容的理解，結(jié)合等級(jí)保護(hù)要求設(shè)計(jì)管理的規(guī)范框架或流程，形成統(tǒng)一、規(guī)范和相對(duì)穩(wěn)定的管理體系，并在管理工作中按照這些組織框架和流程進(jìn)行實(shí)施，以期達(dá)到管理動(dòng)作的井然有序和協(xié)調(diào)高效。信息系統(tǒng)的規(guī)范化管理信息系統(tǒng)的規(guī)范化管理是建立在自身管理規(guī)范化的基礎(chǔ)上，依照自身的運(yùn)維流程對(duì)系統(tǒng)進(jìn)行建設(shè)

4、和管理，解決內(nèi)部管理中的權(quán)限下發(fā)與權(quán)限集中；要求對(duì)整個(gè)系統(tǒng)的流程形成制度化、流程化、標(biāo)準(zhǔn)化、表單化以及數(shù)據(jù)化。通過這種規(guī)范化的建設(shè)，使自身常規(guī)的事件納入制度化、數(shù)據(jù)化、流程化的管理，以形成統(tǒng)一、規(guī)范和相對(duì)穩(wěn)定的管理體系，以此提高工作質(zhì)量和工作效率，達(dá)到保障信息系統(tǒng)正常運(yùn)行的目的。1. 信息系統(tǒng)規(guī)范化管理的內(nèi)容規(guī)范化管理在信息系統(tǒng)的運(yùn)作上涉及到多個(gè)方面：項(xiàng)目規(guī)劃與決策程序、組織機(jī)構(gòu)、業(yè)務(wù)流程、部門和崗位設(shè)置、規(guī)章制度和管理控制等方面；規(guī)范化的內(nèi)容簡單地說就是：制度化、流程化、標(biāo)準(zhǔn)化、表單化、數(shù)據(jù)化。l 流程的規(guī)范化信息系統(tǒng)涉及的各個(gè)部門內(nèi)部都有各自的管理辦法，但對(duì)于部門之間的銜接卻很難有較好的管

5、控方法，所以，越是界定部門之間的權(quán)責(zé)，問題就越多。這時(shí)就需要對(duì)自身運(yùn)維流程進(jìn)行明確，使部門納入到流程中，成為流程中的一個(gè)結(jié)點(diǎn)；流程一般包括崗位工作流程、系統(tǒng)業(yè)務(wù)流程、機(jī)構(gòu)組織流程；在進(jìn)行流程規(guī)范化的時(shí)候，必須先明確自身的職責(zé)和目標(biāo)、識(shí)別流程及其現(xiàn)狀，然后確定各個(gè)流程，并對(duì)流程進(jìn)行科學(xué)的規(guī)劃和設(shè)計(jì)。l 組織結(jié)構(gòu)的規(guī)范化組織結(jié)構(gòu)是關(guān)于信息系統(tǒng)在運(yùn)維過程中涉及的目標(biāo)、任務(wù)、權(quán)責(zé)、操作以及相互關(guān)系的系統(tǒng)。具體內(nèi)容包括：各部門之間的結(jié)構(gòu)、崗位設(shè)置、崗位職責(zé)以及崗位描述等。目的在于協(xié)調(diào)好部門與部門之間、人員與任務(wù)之間的關(guān)系，使管理人員自己在管理過程中清楚應(yīng)有的權(quán)、責(zé)、利，以及工作形式、考核標(biāo)準(zhǔn)，有效地保證

6、組織活動(dòng)開展，最終保證組織目標(biāo)實(shí)現(xiàn)。組織結(jié)構(gòu)規(guī)范化強(qiáng)調(diào)組織架構(gòu)的設(shè)計(jì)，應(yīng)該建立在系統(tǒng)思考的基礎(chǔ)上。各部門和崗位，都必須從系統(tǒng)的角度出發(fā)，對(duì)應(yīng)于自身的目標(biāo)來界定自己工作的內(nèi)容、標(biāo)準(zhǔn)和要求，以及所能支配的資源，使之按照既定要求和標(biāo)準(zhǔn)，對(duì)所獲得的資源的配置方式進(jìn)行選擇，行使決策權(quán)力，并承擔(dān)相應(yīng)決策的責(zé)任。l 規(guī)章制度的規(guī)范化管理制度是規(guī)范化管理的有效工具，可以對(duì)各個(gè)部門、崗位和員工的運(yùn)行準(zhǔn)則進(jìn)行很好的界定，它能夠使整個(gè)測評(píng)機(jī)構(gòu)的管理體系更加規(guī)范，是每個(gè)員工的行為受到合理的約束與激勵(lì)。其主要內(nèi)容包括：管理體系的規(guī)范化、行為準(zhǔn)則界定的規(guī)范化、績效管理標(biāo)準(zhǔn)的規(guī)范化、違規(guī)行為處罰的規(guī)范化等。l 資料信息體系

7、的規(guī)范化從有利于信息化、有利于信息共享、有利于減輕負(fù)擔(dān)出發(fā)，根據(jù)新流程、新制度的要求，按照格式模板統(tǒng)一、填寫標(biāo)準(zhǔn)統(tǒng)一、資料共享及歸檔要求統(tǒng)一、檢查指導(dǎo)要求統(tǒng)一、評(píng)分考核要求統(tǒng)一、績效兌現(xiàn)要求統(tǒng)一的標(biāo)準(zhǔn)，完善記錄、報(bào)表，完善內(nèi)部共享資料數(shù)據(jù)庫，推進(jìn)基礎(chǔ)資料信息化管理，推進(jìn)流程關(guān)鍵點(diǎn)的過程控制，為量化考核、追溯責(zé)任和績效考核提供依據(jù)。l 管理控制的規(guī)范化信息系統(tǒng)的越來越復(fù)雜，作為管理者對(duì)系統(tǒng)的管理難度就越大。這就需要管理者有一套有效的管理控制系統(tǒng)，管理者可以通過這套規(guī)范化的系統(tǒng)，對(duì)自身的生產(chǎn)系統(tǒng)、管理人員、技術(shù)開發(fā)等模塊進(jìn)行有效的管理和控制，來實(shí)現(xiàn)管理者的意圖。一、 信息系統(tǒng)管理自查自檢措施內(nèi)控自

8、查工作不僅是構(gòu)成信息系統(tǒng)內(nèi)控管理體系的重要組成部分，也是監(jiān)督審計(jì)的重要手段之一。自查工作是各業(yè)務(wù)部門依據(jù)業(yè)務(wù)流程對(duì)處理相關(guān)業(yè)務(wù)活動(dòng)、流程、及設(shè)施的現(xiàn)場自查。開展自查工作的目的是保證信息系統(tǒng)的服務(wù)質(zhì)量。通過內(nèi)控自查流程，將信息系統(tǒng)所面臨的風(fēng)險(xiǎn)控制在最初階段,有效的降低信息系統(tǒng)所面臨的風(fēng)險(xiǎn)。通過內(nèi)控自查工作，將服務(wù)質(zhì)量控制活動(dòng)落實(shí)到每個(gè)運(yùn)維人員中去，使我局員工充分認(rèn)識(shí)到加強(qiáng)內(nèi)控管理的重要性，不斷完善我局內(nèi)部控制體系建設(shè)，強(qiáng)化內(nèi)控管理執(zhí)行行為，提高管理水平，促進(jìn)各項(xiàng)業(yè)務(wù)穩(wěn)健運(yùn)行。二、 信息資產(chǎn)自查計(jì)劃1. 檢查人員檢查人員部門機(jī)構(gòu)系統(tǒng)管理員部門機(jī)構(gòu)負(fù)責(zé)人及主管信息技術(shù)局安全崗信息技術(shù)局負(fù)責(zé)人檢查人員

9、責(zé)任負(fù)責(zé)制定本部門系統(tǒng)的自查計(jì)劃負(fù)責(zé)本部門系統(tǒng)的自查計(jì)劃的簽字審批給予各部門的自查計(jì)劃提出建議，并負(fù)責(zé)制定全面的自查計(jì)劃負(fù)責(zé)各部門的自查計(jì)劃的審閱檢查和全面自查計(jì)劃的簽字審批2. 檢查時(shí)間每個(gè)月的第一周：各部門編輯部門負(fù)責(zé)維護(hù)系統(tǒng)的自查計(jì)劃,并由部門負(fù)責(zé)人簽字審批；每個(gè)月的第二周： 信息技術(shù)局安全崗負(fù)責(zé)編制整合全面的自查計(jì)劃，并由信息技術(shù)局負(fù)責(zé)人簽字審批后展開全面自查工作；每個(gè)月的第三周：編制、審核本月的檢查報(bào)告，并由信息技術(shù)局負(fù)責(zé)人審查完畢后進(jìn)行存檔。3. 檢查流程具體檢查流程如下圖所示：4. 檢查范圍1）檢查范圍包括運(yùn)行環(huán)境檢查、運(yùn)行設(shè)備安全檢查、系統(tǒng)運(yùn)行管理檢查、網(wǎng)絡(luò)系統(tǒng)對(duì)外連接情況檢查

10、等用于生產(chǎn)經(jīng)營和業(yè)務(wù)管理活動(dòng)的計(jì)算機(jī)系統(tǒng)檢查；2）運(yùn)行環(huán)境檢查包括，但不限于：l 防火報(bào)警裝置、滅火裝置等消防系統(tǒng)是否有效；l 各類報(bào)警和監(jiān)視裝置是否有效，機(jī)房的接地系統(tǒng)、防靜電措施、防雷擊措施是否有效；l 設(shè)備是否亂丟亂放；l 工作人員飲水、用餐等是否危及計(jì)算機(jī)設(shè)備安全；l 門禁、監(jiān)控系統(tǒng)是否正常運(yùn)行；l 介質(zhì)分類、介質(zhì)存放、監(jiān)控報(bào)警系統(tǒng)等是否正常合理；l 機(jī)房溫度和濕度的控制、機(jī)房防水防潮的控制是否合理等；3）系統(tǒng)運(yùn)行管理檢查包括，但不限于：n 計(jì)算機(jī)工作日志是否正確記錄運(yùn)行維護(hù)情況；n 桌面系統(tǒng)是否運(yùn)行無關(guān)軟件；n 系統(tǒng)管理員離職、離崗時(shí)，計(jì)算機(jī)應(yīng)用系統(tǒng)設(shè)備臺(tái)賬移交是否合規(guī)；n 密碼長度

11、是否少于6個(gè)不含空格的字符；n 將含有敏感資料信息的文檔或存儲(chǔ)載體帶離銀行時(shí)，是否得到管理層授權(quán)批準(zhǔn)，并進(jìn)行登記。n 所有含有敏感資料信息的文檔或存儲(chǔ)載體是否鎖在專門的防火檔案柜或保險(xiǎn)柜內(nèi)；n 銷毀存于電腦儲(chǔ)存載體（如磁帶等）上的電子數(shù)據(jù)，是否用物理破壞的方式進(jìn)行。4）運(yùn)行設(shè)備安全檢查包括，但不限于：n 計(jì)算機(jī)設(shè)備是否保持整齊清潔；n 生產(chǎn)設(shè)備是否由信息科技部會(huì)同庶務(wù)部購買；n 是否定期進(jìn)行安全漏洞掃描，分析漏洞威脅并采取相關(guān)措施；n 計(jì)算機(jī)應(yīng)用系統(tǒng)設(shè)備臺(tái)賬記錄是否準(zhǔn)確無誤。5）網(wǎng)絡(luò)系統(tǒng)對(duì)外連接情況檢查包括，但不限于：n 是否采用物理隔離措施隔離我局業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)；n 是否按照標(biāo)準(zhǔn)規(guī)范的要求隔

12、離業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)；n 是否采取措施禁止網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)以撥號(hào)方式接入互聯(lián)網(wǎng)；n 是否使用單獨(dú)的網(wǎng)絡(luò)設(shè)備連接外聯(lián)網(wǎng)。6）管理制度、機(jī)構(gòu)、人員、建設(shè)和運(yùn)維的檢查包括，但不限于：n 安全管理制度的制定頒發(fā)、評(píng)審和修訂是否符合標(biāo)準(zhǔn)；n 安全人員崗位職責(zé)分配是否合理；n 各部門和崗位的是否明確授權(quán)審批事項(xiàng)；n 與外聯(lián)單位是否建立嚴(yán)格的溝通合作關(guān)系；n 是否對(duì)系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況定期審核和檢查；n 人員的錄用、離崗、考核和安全意識(shí)的培訓(xùn)是否嚴(yán)格規(guī)范；n 是否嚴(yán)格控制外部人員的訪問；n 系統(tǒng)定級(jí)是否符合標(biāo)準(zhǔn)；n 安全方案的設(shè)計(jì)、審批和修訂是否合理；n 產(chǎn)品采購和使用、軟件開發(fā)、工程實(shí)施、測試

13、驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案等是否符合國家的有關(guān)規(guī)定，是否建立詳細(xì)的流程。n 是否按照國家規(guī)定定期對(duì)信息系統(tǒng)進(jìn)行測評(píng)；n 是否確保安全服務(wù)商的選擇符合國家的有關(guān)規(guī)定；n 是否制定詳細(xì)的信息資產(chǎn)清單，并進(jìn)行分類標(biāo)識(shí)管理。三、 實(shí)施過程中需要注意的問題1. 規(guī)范化管理不是死板的管理這個(gè)世界上找不到放之四海而皆準(zhǔn)的規(guī)范化管理模板，因?yàn)閷?shí)際和理論之間需要匹配，理論只是一個(gè)框架，框架中的具體內(nèi)容需要實(shí)際情況來填充。而實(shí)際中不同機(jī)構(gòu)的具體情況不一，所以具體內(nèi)容也就不一樣。因此，引入規(guī)范化管理系統(tǒng)后，管理者應(yīng)注重系統(tǒng)的完善、優(yōu)化和創(chuàng)新。要把規(guī)范化管理的“普遍規(guī)律”與各自的“特殊情況”有機(jī)的結(jié)合起來。2. 規(guī)范化不能隨心所欲規(guī)范化管理的基礎(chǔ)概念是規(guī)范，規(guī)范為人們提供了相對(duì)穩(wěn)定、可以預(yù)測、可以期待的工作與生活環(huán)境，從而為內(nèi)