規(guī)范信息系統安全管理重要性及實施措施

1、規(guī)范信息系統安全管理重要性及實施措施前言隨著科學技術的發(fā)展，信息系統不斷的進步，在帶給我們給你更多便捷的同時，信息系統面對的安全威脅也越來越多。面對日益嚴峻的安全環(huán)境，國家逐步出臺了對于信息系統的等級保護定級、測評的相關規(guī)定，用以保護信息系統的安全，降低其所面臨的風險。比如，如何對信息系統進行規(guī)劃和管理，如何保證其正常運行的相關規(guī)定和措施，出現故障后的應急方案如何制定等。根據在實際情況中所遇到問題，遵循對問題進行分析、思考、實踐、改善這一系列研究過程，發(fā)現規(guī)范化管理對提高系統運行的可用性和連續(xù)性有著至關重要的意義。本文將結合筆者對信息安全等級保護的理解闡述信息系統安全管理的重要性，并結合等級保

2、護的具體測評項目制定一些相應的自查自檢措施。一、 規(guī)范化管理1、 什么是規(guī)范化管理規(guī)范化管理是一個系統工程，要使這個系統工程正常工作，實現高效率、高質量，就需要運用科學的方法、手段和原理，按照一定的運營框架，對各項管理要素進行系統的規(guī)范化、程序化、標準化設計，然后形成有效的管理運營機制。2、 什么是信息安全等級保護根據信息系統在國家安全、經濟建設、社會生活中的重要程度，以及受到破壞后對受侵害客體的損害程度，對信息系統的組織管理與業(yè)務結構實行分域、分層、分類、分級實施保護，保障信息安全和系統安全正常運行，維護國家利益、社會秩序、社會公共利益以及公民法人和其他組織的合法權益。信息安全等級保護制度的

3、主要內容是什么？對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。3、 信息系統管理規(guī)范化概念信息系統的管理規(guī)范化信息系統的管理規(guī)范化，需要依據管理者對于等級保護工作內容的理解，結合等級保護要求設計管理的規(guī)范框架或流程，形成統一、規(guī)范和相對穩(wěn)定的管理體系，并在管理工作中按照這些組織框架和流程進行實施，以期達到管理動作的井然有序和協調高效。信息系統的規(guī)范化管理信息系統的規(guī)范化管理是建立在自身管理規(guī)范化的基礎上，依照自身的運維流程對系統進行建設和

4、管理，解決內部管理中的權限下發(fā)與權限集中；要求對整個系統的流程形成制度化、流程化、標準化、表單化以及數據化。通過這種規(guī)范化的建設，使自身常規(guī)的事件納入制度化、數據化、流程化的管理，以形成統一、規(guī)范和相對穩(wěn)定的管理體系，以此提高工作質量和工作效率，達到保障信息系統正常運行的目的。1. 信息系統規(guī)范化管理的內容規(guī)范化管理在信息系統的運作上涉及到多個方面：項目規(guī)劃與決策程序、組織機構、業(yè)務流程、部門和崗位設置、規(guī)章制度和管理控制等方面；規(guī)范化的內容簡單地說就是：制度化、流程化、標準化、表單化、數據化。l 流程的規(guī)范化信息系統涉及的各個部門內部都有各自的管理辦法，但對于部門之間的銜接卻很難有較好的管控

5、方法，所以，越是界定部門之間的權責，問題就越多。這時就需要對自身運維流程進行明確，使部門納入到流程中，成為流程中的一個結點；流程一般包括崗位工作流程、系統業(yè)務流程、機構組織流程；在進行流程規(guī)范化的時候，必須先明確自身的職責和目標、識別流程及其現狀，然后確定各個流程，并對流程進行科學的規(guī)劃和設計。l 組織結構的規(guī)范化組織結構是關于信息系統在運維過程中涉及的目標、任務、權責、操作以及相互關系的系統。具體內容包括：各部門之間的結構、崗位設置、崗位職責以及崗位描述等。目的在于協調好部門與部門之間、人員與任務之間的關系，使管理人員自己在管理過程中清楚應有的權、責、利，以及工作形式、考核標準，有效地保證組

6、織活動開展，最終保證組織目標實現。組織結構規(guī)范化強調組織架構的設計，應該建立在系統思考的基礎上。各部門和崗位，都必須從系統的角度出發(fā)，對應于自身的目標來界定自己工作的內容、標準和要求，以及所能支配的資源，使之按照既定要求和標準，對所獲得的資源的配置方式進行選擇，行使決策權力，并承擔相應決策的責任。l 規(guī)章制度的規(guī)范化管理制度是規(guī)范化管理的有效工具，可以對各個部門、崗位和員工的運行準則進行很好的界定，它能夠使整個測評機構的管理體系更加規(guī)范，是每個員工的行為受到合理的約束與激勵。其主要內容包括：管理體系的規(guī)范化、行為準則界定的規(guī)范化、績效管理標準的規(guī)范化、違規(guī)行為處罰的規(guī)范化等。l 資料信息體系的

7、規(guī)范化從有利于信息化、有利于信息共享、有利于減輕負擔出發(fā)，根據新流程、新制度的要求，按照格式模板統一、填寫標準統一、資料共享及歸檔要求統一、檢查指導要求統一、評分考核要求統一、績效兌現要求統一的標準，完善記錄、報表，完善內部共享資料數據庫，推進基礎資料信息化管理，推進流程關鍵點的過程控制，為量化考核、追溯責任和績效考核提供依據。l 管理控制的規(guī)范化信息系統的越來越復雜，作為管理者對系統的管理難度就越大。這就需要管理者有一套有效的管理控制系統，管理者可以通過這套規(guī)范化的系統，對自身的生產系統、管理人員、技術開發(fā)等模塊進行有效的管理和控制，來實現管理者的意圖。一、 信息系統管理自查自檢措施內控自查

8、工作不僅是構成信息系統內控管理體系的重要組成部分，也是監(jiān)督審計的重要手段之一。自查工作是各業(yè)務部門依據業(yè)務流程對處理相關業(yè)務活動、流程、及設施的現場自查。開展自查工作的目的是保證信息系統的服務質量。通過內控自查流程，將信息系統所面臨的風險控制在最初階段,有效的降低信息系統所面臨的風險。通過內控自查工作，將服務質量控制活動落實到每個運維人員中去，使我局員工充分認識到加強內控管理的重要性，不斷完善我局內部控制體系建設，強化內控管理執(zhí)行行為，提高管理水平，促進各項業(yè)務穩(wěn)健運行。二、 信息資產自查計劃1. 檢查人員檢查人員部門機構系統管理員部門機構負責人及主管信息技術局安全崗信息技術局負責人檢查人員責

9、任負責制定本部門系統的自查計劃負責本部門系統的自查計劃的簽字審批給予各部門的自查計劃提出建議，并負責制定全面的自查計劃負責各部門的自查計劃的審閱檢查和全面自查計劃的簽字審批2. 檢查時間每個月的第一周：各部門編輯部門負責維護系統的自查計劃,并由部門負責人簽字審批；每個月的第二周： 信息技術局安全崗負責編制整合全面的自查計劃，并由信息技術局負責人簽字審批后展開全面自查工作；每個月的第三周：編制、審核本月的檢查報告，并由信息技術局負責人審查完畢后進行存檔。3. 檢查流程具體檢查流程如下圖所示：4. 檢查范圍1）檢查范圍包括運行環(huán)境檢查、運行設備安全檢查、系統運行管理檢查、網絡系統對外連接情況檢查等

10、用于生產經營和業(yè)務管理活動的計算機系統檢查；2）運行環(huán)境檢查包括，但不限于：l 防火報警裝置、滅火裝置等消防系統是否有效；l 各類報警和監(jiān)視裝置是否有效，機房的接地系統、防靜電措施、防雷擊措施是否有效；l 設備是否亂丟亂放；l 工作人員飲水、用餐等是否危及計算機設備安全；l 門禁、監(jiān)控系統是否正常運行；l 介質分類、介質存放、監(jiān)控報警系統等是否正常合理；l 機房溫度和濕度的控制、機房防水防潮的控制是否合理等；3）系統運行管理檢查包括，但不限于：n 計算機工作日志是否正確記錄運行維護情況；n 桌面系統是否運行無關軟件；n 系統管理員離職、離崗時，計算機應用系統設備臺賬移交是否合規(guī)；n 密碼長度是

11、否少于6個不含空格的字符；n 將含有敏感資料信息的文檔或存儲載體帶離銀行時，是否得到管理層授權批準，并進行登記。n 所有含有敏感資料信息的文檔或存儲載體是否鎖在專門的防火檔案柜或保險柜內；n 銷毀存于電腦儲存載體（如磁帶等）上的電子數據，是否用物理破壞的方式進行。4）運行設備安全檢查包括，但不限于：n 計算機設備是否保持整齊清潔；n 生產設備是否由信息科技部會同庶務部購買；n 是否定期進行安全漏洞掃描，分析漏洞威脅并采取相關措施；n 計算機應用系統設備臺賬記錄是否準確無誤。5）網絡系統對外連接情況檢查包括，但不限于：n 是否采用物理隔離措施隔離我局業(yè)務網和互聯網；n 是否按照標準規(guī)范的要求隔離

12、業(yè)務網與互聯網；n 是否采取措施禁止網絡內的計算機以撥號方式接入互聯網；n 是否使用單獨的網絡設備連接外聯網。6）管理制度、機構、人員、建設和運維的檢查包括，但不限于：n 安全管理制度的制定頒發(fā)、評審和修訂是否符合標準；n 安全人員崗位職責分配是否合理；n 各部門和崗位的是否明確授權審批事項；n 與外聯單位是否建立嚴格的溝通合作關系；n 是否對系統日常運行、系統漏洞和數據備份等情況定期審核和檢查；n 人員的錄用、離崗、考核和安全意識的培訓是否嚴格規(guī)范；n 是否嚴格控制外部人員的訪問；n 系統定級是否符合標準；n 安全方案的設計、審批和修訂是否合理；n 產品采購和使用、軟件開發(fā)、工程實施、測試驗

13、收、系統交付、系統備案等是否符合國家的有關規(guī)定，是否建立詳細的流程。n 是否按照國家規(guī)定定期對信息系統進行測評；n 是否確保安全服務商的選擇符合國家的有關規(guī)定；n 是否制定詳細的信息資產清單，并進行分類標識管理。三、 實施過程中需要注意的問題1. 規(guī)范化管理不是死板的管理這個世界上找不到放之四海而皆準的規(guī)范化管理模板，因為實際和理論之間需要匹配，理論只是一個框架，框架中的具體內容需要實際情況來填充。而實際中不同機構的具體情況不一，所以具體內容也就不一樣。因此，引入規(guī)范化管理系統后，管理者應注重系統的完善、優(yōu)化和創(chuàng)新。要把規(guī)范化管理的“普遍規(guī)律”與各自的“特殊情況”有機的結合起來。2. 規(guī)范化不能隨心所欲規(guī)范化管理的基礎概念是規(guī)范，規(guī)范為人們提供了相對穩(wěn)定、可以預測、可以期待的工作與生活環(huán)境，從而為