发布时间:2023-10-09 17:41:10
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇公司信息安全管理体系,期待它们能激发您的灵感。
为贯彻学公司关于安全生产管理的文件精神,结合物业公司的实际情况,我们在公司范围内对文件进行了深入学习,并将安全生产意识广泛加以宣传,各部门积极响应,取得良好的宣传效果。
通过此次总公司的安全生产管理总动员,我们对各口的规章制度重新进行了整顿、落实,确保物业公司各个环节安全、有序的运作。
工程维修中心负责小区公共设备设施的维护保养,强电、弱电的维修人员在作业过程中“安全第一、预防为主”的指导方针显得尤为重要,学习过程中,他们切实体会到了公司文件的精神所在,并更加重视生产中的安全问题;其它维修人员及护卫人员也领会了安全生产会议精神,对他们今后工作的顺利开展指明了方向,并追加了种种安全符号。
新出台的《安全生产法》体现了在安全生产管理上要强化“超前意识”、“预防为主”的理念,进一步明确了只有有效地预防生产安全事故的发生,才能使安全管理工作达到最高的境界。我们知道,生产安全事故一旦发生,将会带来一系列的社会问题和不可挽回的经济损失,即使多加几个“不放过”也为时晚矣。 安全管理工作的“超前意识”,强调把安全工作的重点从事后处理转移到事前监督上来。要建立完善的事前监督管理体系,在贯彻 “安全第一”工作中必须遵循“预防为主”的原则和“防范胜于救灾”的内涵。同时,也要形成建立积极向上的“安全文化”氛围,这是安全管理工作事前监督体系的重要环节。公司内部推行的安全生产热营造出浓厚的“安全文化”氛围,“安全文化”追求的是一种各级领导干部身体力行现出来的安全管理理念,从而促使所有人员表现出较高的重视安全工作的自觉性和积极性,并将安全生产工作放在自己的职业价值中去,从而使各项安全生产管理工作成为自己工作的行动指南。一个完善的考核机制应包含安全管理的各个环节,健全“责任链”的监控系统,提高“防患”意识,从小事做起,建立必备的安全防患措施,养成工作严谨、执行制度认真、工作程序规范的良好工作作风。在实际工作中提高自防和互防能力,做到“三不伤害”,从而建立起安全管理工作的新风尚。把生产过程中发生事故的可能性消灭在萌芽状态。
中国有句古话“千里之堤,溃于蚁穴”,生产过程中,如果不重视安全因素,那么等在后面的将是无数毁灭性后患。作为世界上头号超级大国,美国的电力设施也堪称是世界一流的。如果把它的电网比喻成千里之堤,也可以说是铜墙铁壁铸成的长堤。曾发生于美国东北部及加拿大部分地区的大面积停电的那次停电事故,对美国及加拿大的航空和陆路交通,正常科研,生产与居民生活造成严重影响,并直接影响到美国国家秩序的稳定,成为当时震动世界的大新闻。 然而,就那样一个世界一流的大电网,由于对预警迹象的不够重视,致使电网陷入了大面积瘫痪的状态,真是应了“千里之堤,溃于蚁穴”的这句中国老话。
一、实现思想政治工作科学化,树立“思想安全隐患”和“思想信息化”新理念
思想是行动的先导。在煤矿安全事故中,绝大部分是由当事人违章造成。然而,这些“违章”行为背后,一定存在着不科学、不健康的思想意识。这种思想意识就是安全的第一隐患,是安全“三违”行为内因。而安全设施、安全质量、安全制度、安全教育、安全环境等等管理行为才是“三违”的外因。外因作用于内因才导致“三违”行为和安全事故的发生。从这个角度看,不健康的思想意识也是安全隐患。根据辩证唯物主义理论,思想意识是人大脑对外部客观世界反映。外部世界又是以各种“信息”的形式,通过人的感觉器官系统,传递到大脑皮层,经过自己不同的分析处理,形成人的不同思想意识。
由此可知,煤矿安全隐患中应包括“思想安全隐患”。“思想安全隐患”的排查、处理,思想意识的改变,也具有“信息”特点,遵循“信息”的性质和规律。按照《信息论》的理论,用信息化形式,解决、处理职工的“思想安全隐患”,就成了安全生产中思想政治工作科学化的一种新的模式。
基于这样的认识,陶二煤矿党委提出了构建基于安全事故“双分析”基础上的思想政治工作信息化科学管理新体系。
二、遵循信息处理四个机制,构建了思想政治工作信息化管理体系
思想政治工作本身也是一门科学和专业。陶二煤矿党委利用思想政治工作信息化特性,根据思想政治工作独有的特点和规律,创建了科学的思想政治工作信息化体系。
(一)建立了安全思想信息搜集机制。搜集机制就是对职工日常和安全生产中思想信息进行动态收集,查出思想安全隐患。一是日常安全思想信息的收集。陶二煤在班组建立政工员制度,实行职工24小时思想、现场双掌控。就是对职工班前、班中、班后进行环境安全和思想安全双确认,八小时以外实行家属信息反馈,配合管理人员定期调研、职工来访接待、谈心交流等措施,把职工思想上安全隐患信息及时收集、掌握。二是重点安全思想信息的收集。实行了“安全事故双分析、双报告”制度,就是对一起安全事故,既要进行安全责任分析,又要进行思想隐患分析,既要提交安全事故分析报告,又要撰写思想政治工作分析报告,反向挖掘职工思想安全隐患。
(二)建立了安全思想信息分析处理机制。就是对职工思想上存在的不安全思想意识进行归类,有针对性制度改进措施和方案。面对职工思想存在问题,如何解决。必须建立科学分析研究机制。陶二矿设立了创新工作室,就是针对职工思想动态方面存在问题,进行分析研究,提出改进措施。参加人员主要有党委书记、安全矿长、政工部门管理人员和安全监察人员。如针对职工心理压力比较大,提出了“把脉、疏通、解忧、呵护”四项环节十六种心理疏导方法。针对罐车落道事故,分析主要原因是道轨铺设不合格,铺设不合格的原因是施工人员不知道道轨铺设标准,职工施工不合格主要是验收人员监督不到位,监督不到位的原因是检查员标准不熟悉,最后是培训体系不健全。为此,陶二煤矿从源头抓起,完善了职工培训、考核机制。从根本上解决罐车落道事故。
(三)安全思想教育方案实施机制。就是制定好思想政治工作实施方案之后,按照质量体系“凡事必规定、规定必执行、执行必记录、记录必检查、检查必纠错、纠错必验证”要求,组织实施。实行“目标日历双促法”,即每一天需要完成的工作量进行提前标记,上级可以督促下级,下级也可督促上级,从而保证工作如期开展。在执行过程中,认真做好记录和归档工作。实施“红、黄、绿、青、蓝”档案管理。即安排看策划,过程看记录、活动看照片、考核看奖罚、效果看总结。保证每一项活动完整,有效。
如我们在开展百日万人解放思想大讨论活动,做到安排有文件、学习有记录、活动有照片、考核有奖罚、效果有评估。从而保证通过活动,起到解放干部职工思想观念的目的。
(四)信息化思想教育评估提高机制。就是对思想政治工作进行科学评估,针对存在问题进行改进提高。开展思想政治工作后,效果怎么样,必须进行评估。否则,容易出现两张皮现象。比如,有一次我们到区队对职工进行安全事故案例警示教育,一些事故亲历者讲的非常动情、感人。但效果怎么样,我们进行了评估。主要方法,就是走访职工和让职工填写调查问卷。结果,很大一部分职工说,讲的不错,但我们刚上井,最需要的就是休息。休息好是安全的最好保证。从而也告诉我们,开展教育活动,不能影响到职工休息,进行硬性灌输。
三、坚持思想政治工作信息化管理,收到显著效果
思想政治工作信息化管理体系有效运行,提高了思想政治工作效率、增强了思想政治工作针对性、实现了思想政治工作与安全生产有机融合、有效消除了安全思想隐患、促进了企业安全生产和科学、和谐、健康发展。
(一)丰富安全管理理念,实现思想政治工作与安全生产的有机融合。把职工思想安全隐患明确列入安全管理隐患管理之中,对其排查解决,消除了安全事故的主观因素。同时,与安全生产相结合,提高思想政治工作在安全生产中重要地位,为全面开展思想政治工作创造了良好条件。陶二矿在每个班组设立政工员、纪检监督员、心理咨询员等政工工作人员,不仅得到了行政认可,也受到了职工的欢迎。
(二)增强安全思想政治工作的针对性、提高了工作效率。特别是通过“安全事故双分析、双报告”制度,查出思想政治工作薄弱环节,使思想政治工作由按照理念灌输,变为针对性开展工作,提高了工作效率。如一次放炮员装好炮后,由于生产原因不能拉炮。该放炮员没有交接班,直接升井。严重违反了安全规程,按“三违”进行了处理。经过“双分析”,主要原因还是职工存在侥幸心理。而造成侥幸心理原因有三个方面:一是日常检查不细致不全面,不能实现违规必纠。二是处理不到位。使侥幸心理存在的“成本”较低。三是教育不到位,责任心不强。从而制订了加强安监员培训、加大严重“三违”处理力度和增强警示教育覆盖面等措施,有针对性地解决。
(三)科学构建信息化闭合管理体系,实现安全思想政治工作规范化管理。日常思想政治工作往往说教多、活动多、学习多,只是进行普遍思想教育。实行思想政治信息化,则把思想工作从针对的问题和对象、制定科学方案、严格组织实施到思想教育效果评估,形成了一个完整的体系、实现了过程控制、形成了管理的闭合循环,使思想政治工作实现程序化、规范化,甚至标准化。
小张是一名生产骨干,一次班前确认,班政工员发现小情绪低落。谈心得知,小张妻子嫌小张不顾家,猜疑有外遇。正闹矛盾,甚至都有了离婚念头。支部根据小张家庭情况,研究出开个家属座谈会形式,让妻子认识到小张的价值。政工员具体负责组织。会上,妻子们充分交换思想,区队把小张出色工作和避免几次事故做了介绍,使其妻子认识到小张确实是个负责任男子汉。两人和睦如初。小张又精神饱满地投入到工作,思想工作圆满完成。
关键词:企业信息化;信息安全管理体系;信息安全保障
1 企业信息安全需求与目标
近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。
公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。
2 企业信息安全管理体系建设过程
凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。
2.1 确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2.2 安全风险评估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。
本次进行的安全评估,主要包括两方面的内容:
2.2.1 企业安全管理类的评估
通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
2.2.2 企业安全技术类评估
基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
2.3 规划体系建设方案
企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。
2.4 企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
2.5 体系运行及改进
信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。
有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
3 总结
总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。
[参考文献]
[1]沈昌祥.《信息系统安全导论》.电子工业出版社,2003.7.
通过安全认证
随着国航信息系统建设的飞速发展,在奥运安全保障工作中,安全不再只是空防安全和飞行安全,信息安全已成为奥运安保的重要环节,并纳入公司和信息管理部2008年重点工作之中。国航信息安全规划咨询项目就是在奥运安保和国航信息系统跨越式发展的大背景下立项建设的,它旨在为国航信息安全体系建设打下坚实的理论基础。
国航也是通过这个项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,于近日最终通过了ISO 27001信息安全管理体系认证,使国航成为国内首家通过此国际认证的航空企业,进一步提升了公司的综合竞争实力。
记者了解到,ISO 27001是国际信息安全领域的重要标准,它的前身源自英国标准协会(British Standards Institute,BSI)在1995年2月制定的信息安全管理标准 BS 7799,经修订后,于2005年10月15日作为国际标准ISOIEC 27001/2005。该标准基于风险评估的风险管理理念,可用于信息安全管理体系的建立和实施,保障信息安全,全面系统地持续改进安全管理。国航的信息安全管理体系已于2008年12月就通过了国际权威认证机构的现场审核,具备了获取ISO 27001信息安全管理体系国际认证的条件。
在国航发展战略中,信息安全占有非常重要的位置,几乎所有业务都与信息技术相关,特别是涉及到飞行安全、客户信任度的商务及财务方面信息等,都需要信息安全管理体系这张保护网的保障,在这种发展趋势下,国航以建立起成熟的、具备国际水平的信息安全保障体系,保障核心业务不中断、核心系统不被攻击、客户信息不泄露为信息安全愿景目标,
中国国际航空股份有限公司信息管理部总经理刘东说,国航有几百个系统每天运营着国航所有的正常航线、飞机维护、机组人员的管理、人员的编排,还有财务的收益管理,以及订座系统、离岗系统、网络收益系统。对于航空公司来讲,每个系统都不能失控,也不能出问题。
安全跷跷板
曾经主抓飞行安全如今管信息安全的中国国际航空股份有限公司副总裁贺利,在回顾国航在信息安全方面取得建设的一些建设成果时表示,“信息安全的体系是一个很复杂的体系,我们在业界经常叫“安全跷跷板”,这个跷跷板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,由这三方面一起通过我们来执行,去构成信息安全体系。”
国航信息管理部技术管理办公室高级经理李宗琦表示,如果没有信息安全管理体系这张保护网,应该说国航的飞行安全可能也无法得到保障。
第一要保证国航的核心业务不中断,第二要保证国航信息系统不被攻击,第三要保证重要客户的信息不被泄漏,通过这样的保障体系为国航的业务愿景的目标实现保驾护航。
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求[2]。
二、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制[3]。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
三、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
四、结论
关键词:信息安全管理;ISO/IEC 27001;PDCA;资产识别;风险评估
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2011)30-0034-02
一、项目背景
电力工业是国民经济的支柱产业,电力工业的安全问题直接关系到各行各业的发展和人民的生活水平,关系到国家安全和社会稳定。当前流行的信息技术的广泛应用大大改变了电力企业传统的经营管理模式和手段,支撑着电力生产、营销和管理的全过程。如何有效保障信息安全,从而保证整个电力企业的生产安全,成为电力行业目前积极探索的新课题。
在这个大环境下,玉溪供电局作为云南电网的改革试点单位,大力进行改革创新,引入国际信息安全管理标准ISO/IEC 27001,建立了完整的信息安全管理体系,有效的保证了信息安全,取得了很好的收效。
二、ISO/IEC 27001简介
ISO/IEC 27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。标准的要求主要包括11个安全控制域、39个安全控制目标和133项安全控制措施。标准采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术―安全技术―信息安全管理体系―要求》。
三、项目实施方法论
玉溪供电局在整个信息安全体系建设过程中,根据安全风险是相对的和动态的基本概念,遵循P(Plan 计划)-D(Do 实施)-C(Check 检查)-A(Act 持续改进)的方法论,见下图:
四、项目实施中若干重要环节
标准中只是提出了一些原则性的建议和要求,但是如何按照这些要求建立一套符合局实际情况,能够顺利推行和实施的信息安全管理体系是非常具有挑战性的。局项目组成员与上海天帷公司的同事一起积极探索,紧密结合局信息安全建设的现状和要求,认为资产识别、风险评估、文件编制、运行实施、审核等是整个过程的重要环节。
(一)资产识别
资产识别是信息安全管理工作的重要步骤和基础,信息安全就是要保证信息和资产的安全。所谓资产识别就是要识别ISMS管理范围内的信息资产以及这些资产的所有者,形成资产清单。玉溪供电局在资产识别中把资产分为5类:文档和数据、软件和系统、硬件和设施、人力资源、其他等。
(二)风险评估
风险评估是信息安全工作的一个重要步骤,通过风险评估,找到组织在信息安全方面的差距,才能有针对性的制定相应的策略和改进措施。
通过风险评估,形成《风险评估表》、《风险评估报告》、《风险处置计划》等。为了保证风险评估结果的客观性和可操作性,建立了一个定量的风险评估方法论。
风险值=威胁发生可能性×影响程度等级×现有控制措施有效性赋值。通过制定风险等级划分标准来确定风险等级。将等级划分为五级,等级越高,风险越高。
对于不可接受风险的确定和处理要慎重,不要一味的将所有的风险都归为不可接受风险,要时刻牢记风险的处理是要付出成本的,所以需要综合考虑风险控制成本与风险造成的影响来制定风险的可接受准则。风险的处置有4种方式:规避风险、降低风险、转移风险、接受风险。对于不可接受风险应根据选择的风险处理方式控制残余风险。
(三)文件编制
为了响应云南电网公司的一体化管理制度,在信息安全建设中将针对信息安全标准ISO/IEC 27001要求的文件进行统一整理,对原有《信息安全管理办法》的修编。形成了新版的《信息安全管理办法》,覆盖了27001的11个安全领域的要求。
另外,为了使新版的《信息安全管理办法》能够更好的落地执行,在信息安全体系建设过程中,制定了60多个操作性很强的记录表格表单,以辅助各部门能够更好的执行信息安全体系的要求,比如:《机房巡检记录表》、《防范病毒管理表》、《重要应用系统权限评审表》等。
(四)运行实施
我局在信息安全体系运行实施的过程中采取了多种措施来促进体系的落地工作,比如进行信息安全意识和知识培训,张贴宣传海报,在电梯口液晶电视和LED大屏上播放信息安全宣传视频,进行模拟审核和安全工作检查等,真正做到了全员参与。
同时我局还建立了畅通的意见反馈机制,任何人对当前的信息安全体系有意见和建议,都可以通过局OA系统提交。信息运营中心会对所有提交的建议进行整理和归纳,以发现改进的机会,真正实现了PDCA循环,使局的信息安全管理工作持续改进和螺旋式上升。
五、项目实施经验和注意事项
玉溪供电局按照ISO/IEC 27001的要求建立了符合本局实际情况的信息安全管理体系,经历了资产识别、风险评估、体系建设和实施、内审和审核,最后取得了认证证书。在这个过程当中,总结了一些实施的经验和注意事项。
(一)领导重视
信息安全管理工作是一项牵扯到局各部门的工作,需要投入相应的人力、物力和财力,所以必须有局领导的大力支持,才能顺利的进行和更好的实施。
(二)全员参与
安全不是某一个部门或者某一个人的事情,而是关乎全局所有部门。需要各个部门的共同努力和协调一致的工作,才能保证真正意义上的信息安全,任何一个部门出了问题都将对局信息安全构成威胁。
(三)持续改进
信息安全工作不是一朝一夕的事情,需要持续改进和不断完善。而且风险也是动态的,为了保证信息安全和控制风险始终在可接受的范围内,信息安全工作应当是一件长期的工作。
(四)平衡原则
安全只是相对的,没有绝对的安全,而且任何降低风险的措施都是需要一定的投资,可能是金钱的,也可能是人力资源的。所以一定要平衡投资和风险降低之间的关系,不要一味的为了降低风险而作一些不适当的投入。
六、结语
玉溪供电局通过ISO 27001的认证并获得证书,不仅是对前期信息安全体系建设工作的充分肯定,而且对后续信息安全管理体系运行工作提出了新的更高的要求和目标。局信息运营中心要在局领导的正确领导和大力支持下,在以后局信息安全工作中,对现有体系进行持续改进,使本体系更加符合玉溪供电局的实际情况,为玉溪供电局的信息安全工作保驾
护航。
参考文献
趋势引领与政府部门、权威认证机构(BSI、DNV、BV、ISCCC等)、专业工具厂商(BMC、HP等)、国际500强企业(Siemens、LG等)和高等院校(北大、清华等)保持着良好密切的关系,及时跟踪标准和国内相关政策的发展变化、汲取企业的成功经验,使客户能够得到最新和最权威的信息和咨询服务。
趋势引领的培训服务包括:IT服务管理系列(ITIL和ISO20000)、信息安全管理系列(ISMS、ISO27001和CISA)、业务连续性管理系列(BCM、BS25999)、ICT项目管理系列(PRINCE2)、企业内部控制与风险管理系列(COSO、COBIT)。
趋势引领的咨询服务和差距评估包括:
ITIL (IT基础架构库)评估与实施 根据企业实际情况,建立符合ITIL标准的管理流程,提高企业的IT服务质量,为获取ISO20000和ISO27001国际标准认证做好准备。
ISO20000 IT服务管理体系评估与实施 获得此项认证将标志着企业在IT服务质量上达到了世界先进水平,趋势引领将对企业进行实地考察,为客户提供适合的实施方法,协助协助客户取得这一认证。
ISO27001信息安全管理体系评估与实施 随着信息安全重要性的深入人心,遵循ISO27001国际标准并取得相应认证已经成为趋势之一。趋势引领将为企业完善信息安全管理体系,并依据《信息系统安全等级保护》和客户行业监管机构的要求,实施这一标准并取得该认证,将企业的信息安全体系发展到一个世界领先的地位。
BS25999业务连续性管理体系评估与实施无论是重大灾难还是轻微事故,在发生中断情况下的持续运营对任何组织都是一项基本要求。趋势科技将帮助客户实行BCM体系,从而在最棘手和意外的情况下保护客户的员工、维护客户的声誉,并提供持续运营的能力。
趋势引领的实施项目涉及金融业(中国东方资产管理公司ISO20000&ISO27001认证咨询、中国农业银行数据中心ISO20000认证咨询等),以及包括西门子行业应用服务集团BS15000认证项目实施、LG CNS ISO20000认证项目实施等在内的其他行业项目。
趋势引领曾荣获“2007年度中国IT服务管理最佳咨询奖”、“2008年度EXIN大中华区最佳授权培训机构(ATP)奖”、“2009年度用户满意数据中心服务提供商奖”等奖项。
当前信息安全的发展趋势已经不仅仅是升级传统安全产品,而是从业务策略和整体系统上来考虑安全问题,帮助企业建立安全、完善的IT环境,以应对来自内外部的攻击,降低风险和损失。因此,全方位安全策略及解决方案对保护电信运营商信息系统的安全不可或缺。
对于电信运营商而言,目前都已制定了相关的制度和流程,但还没有企业级整体的信息安全规划和建设,信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善运营商安全架构,为电信运营商的应用构建高度信息安全的运行环境,共同规划、设计、实施、运作,从而保护企业信息系统的安全。
事实上,管理者不应该再将信息安全看作一个孤立的或是纯技术的问题,而要从企业运营的全局角度整体看待,制定与企业特点和成长潜力相适应的安全管理架构。
完善的安全架构必须能够随着市场的变化进行调整,IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求,更多地关注应用层面,与此同时,积极利用外包的机遇实现更好的投资回报。
在中国,随着信息安全和上市公司相关立法的完善,法规遵从性和相关审计在行业中的要求也正在不断普及,越来越多的公司和行业正努力去满足法律所规定的安全要求。电信运营商在信息管理方面需要做到三点:信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问,这都与信息安全密不可分。保护企业数据安全,达到法规遵从性的要求将是CIO们2007年的一大职责。
应用安全是另一个市场焦点。随着企业业务更多依赖于各类基础性应用,让企业安全、顺畅地访问应用数据,保证业务永续运行的同时保障应用性能成为CIO的重要目标。过去信息安全的老三样(防火墙、入侵检测和防病毒)的概念已经过时,网络边界这样的概念会越来越模糊,而基于身份和用户管理的网络行为控制将会成为主流。安全即意味着只有允许的人在允许的时间访问允许的数据,故而身份管理可以整合各种不同类型的安全工具。同时,它也可以帮助企业认清和应对新技术部署带来的新问题,例如无线技术在企业范围内的广泛应用,已经使得安全阵地从有形的网络线路扩展到无形空间。
在电信运营商运营商强化自身安全的同时,网络安全外包的发展给电信运营商带来了更多的选择。对于缺乏安全技能和人力的中小企业来说,安全管理服务(ManagedSecurityService,MSS)是一条捷径,即通过在电信网络上提供托管形式的安全服务,代客户管理及监控信息安全系统与设备,并在安全事件发生的第一时间做出适当回应。在这个过程中,用户则将目光转向安全运维中心(SOC)服务。尽管国内用户对SOC的理解不完全一致,但都希望借助SOC融合安全技术、安全产品、安全策略和安全措施,与电信运营商的安全咨询、安全响应、特别是与安全运维相结合,协调各方面资源以最具成本效益的方式处理安全问题,为企业和机构提供了整体性的解决方案。
链接天津移动构建全面信息安全管理体系
根据中国移动集团公司制定的安全指导原则,天津移动从2000年起就开始着手IT安全建设,特别是将信息安全管理体系的建立与建全作为了一项重点工作,并在全局性的安全规划上进行了积极探索。2007年,通过与IBM的合作,天津移动对信息安全进行了全方位的考量和整体规划,并分三个阶段进行具体实施:
安全体系建立:在对企业IT安全现状进行评估及需求调研的基础上,进行安全管理体系的规划和建立,包括按ISO27001信息安全管理体系建立,汇总、归纳、体系化各种规章制度,以及相关人员的安全意识培训等;
安全建设实施:主要包括各种软件、硬件设备的购买、评估及加强等,辅助安全管理体系的执行;
[关键词] ISMS; PDCA; 风险评估; 资产识别; 信息; 安全; 建立; 体系
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038
[中图分类号] F270.7; TP309 [文献标识码] A [文章编号] 1673 - 0194(2014)01- 0074- 03
1 信息安全体系的重要性
随着信息技术不断发展,信息系统已经成为一种不可缺少的信息交换工具,企业对于信息资源的依赖程度也越来越大。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点,再加上本身存在技术弱点和人为的疏忽,导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵,致使信息被破坏或窃取,使得信息系统比传统的实物资产显得更加脆弱。在这种大环境下,企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题,同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此,要求我们探索建立一套完善的体系,来有效地保障信息系统的全面安全。
2 信息安全体系建设理论依据
信息安全管理体系(Information Security Management System, ISMS)是企业整体管理体系的一个部分,是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
在建设信息安全管理体系的方法上,ISO 27001标准为我们提供了指导性建议,即基于PDCA 的持续改进的管理模式。PDCA是一种通用的管理模式,适用于任何管理活动,体现了一种持续改进、维持平衡的思想,但具体到ISMS建立及认证项目上,就显得不够明确和细致,组织必须还要有一套切实可行的方法论,以符合项目过程实施的要求。在这方面,ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如IS0 9001,ISO/IEC 2700l, ISO/TS 16949 等,大致上说,这些管理体系都遵循所谓的PROC过程方法。
PROC 过程模型 (Preparation-Realization-Operation-Certification)是对PDCA 管理模式的一种细化,它更富有针对性和实效性,并且更贴近认证审核自身的特点。PROC模型如图1所示。
3 信息安全体系建设过程
根据以往经验,整个信息安全管理体系建设项目可划分成5个阶段,如果每项内容的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设总体目标,最终通过ISO/IEC 27001认证。
调研阶段: 对业务范围内所有制度包括内部的管理规定或内控相关规定,对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描,并形成《漏洞扫描风险评估报告》。
资产识别与风险评估阶段: 针对组织内部人员的实际情况,进行信息安全基础知识的普及和培训工作,让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理,并且按照ISO/IEC 27001相关的信息资产识别和风险评估的要求,完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。
设计策划阶段:通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制,并且形成有持续改进功能的信息安全监督审核管理制度,最终形成严格遵守ISO/IEC 27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理(包括:笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定)、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性相关程序进行全面界定和要求。
实施阶段:项目小组要组织相关资源,依据风险评估结果选择控制措施,为实施有效的风险处理做好计划,管理者需要正式ISMS 体系并要求开始实施,通过普遍的培训活动来推广执行。 ISMS 建立起来(体系文件正式实施) 之后,要通过一定时间的试运行来检验其有效性和稳定性。在此阶段,应该培训专门人员,建立起内部审查机制,通过内部审计、管理评审和模拟认证,来检查己建立的ISMS是否符合ISO/IEC 27001标准以及企业规范的要求。
认证阶段:经过一定时间运行,ISMS 达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。
4 信息安全体系建立的意义
通过建立信息安全管理体系,我们对信息安全事件及风险有了较为清楚的认识,同时掌握了一些规避和处理信息安全风险的方法,更重要的是我们重新梳理了组织内信息安全体系范围,明确了信息安全系统中人员相关职责,对维护范围内的各信息系统进行了全面的风险评估,并且通过风险评估涉及的内容确定了具体的控制目标和控制方式,引入了持续改进的戴明环管理思想,保证了体系运转的有效性。具体效果如下:
(1) 制定了信息安全方针和多层次的安全策略,为各项信息安全管理活动提供指引和支持。
(2) 通过信息风险评估挖掘了组织真实的信息安全需求。
加强了人员安全意识,建立了以预防为主的信息安全理念。
(3) 根据信息安全发展趋势,建立了动态管理和持续改进的思想。
5 决定体系建立的重要因素
5.1 加强人员安全意识是推动体系实施的重要保障
信息安全体系在一个企业的成功建立并运行,需要整个企业从上到下的全体成员都有安全意识,并具备信息安全体系相关理论基础,才能保障信息安全体系各项活动内容顺利开展。为保证信息安全体系相关任务的执行人员能够尽职尽责,组织要确定体系内人员的职责;给予相关人员适当的培训,必要时,需要为特定任务招聘有经验的人员;评估培训效果。组织必须确保相关人员能够意识到其所进行的信息安全活动的重要性,并且清楚各自在实现ISMS 目标过程中参与的方式。
ISMS 培训工作应该分层次、分阶段、循序渐进地进行。借助培训,组织一方面可以向一般员工宣贯安全策略、提升其安全意识;另一方面,也可以向特定人员传递专业技能(例如风险评估方法、策略制定方法、安全操作技术等)。此外,面向管理人员的培训,能够提升组织整体的信息安全管理水平。通常来讲,组织应该考虑实施的培训内容包括:
(1) 信息安全意识培训。在ISMS实施伊始或最终运行阶段,组织可以为所有人员提供信息安全意识培训,目的在于让所有与ISMS 相关的人员都了解信息安全管理基本要领,理解信息安全策略,知道信息安全问题所在,掌握应对和解决问题的方法和途径。
(2) 信息安全管理基础培训。在ISMS准备阶段,组织可以向ISMS项目实施相关人员 (例如风险评估小组人员、各部门代表等)提供1SO/IEC 27001基础培训,通过短期学习,帮助大家掌握ISO/IEC 27001标准的精髓,理解自身角色和责任,从而在ISMS项目实施过程中起到应有的作用。
(3) ISMS实施培训。组织可以向ISMS项目的核心人员提供ISMS实施方法的培训,包括风险评估方法、策略制定方法等,目的在于协作配合,共同推动ISMS项目有序且顺利地进行。
(4) 信息安全综合技能培训。为了让ISMS能够长期稳定地运行下去,组织可以为相关人员提供信息安全操作技能的培训,目的在于提高其运营ISMS的技术能力,掌握处理问题的思路和方法。
5.2 建立符合企业需求的ISMS,保障体系顺利落地
(1) 根据业务需求明确ISMS范围。范围的界定要从组织的业务出发,通过分析业务流程(尤其是核心业务),找到与此相关的人员、部门和职能,然后确定业务流程所依赖的信息系统和场所环境,最终从逻辑上和物理上对ISMS 的范围予以明确。需要注意的是,组织确定的ISMS 范围,必须是适合内外部客户所需的,且包含了与所有对信息安全具有影响的合作伙伴、供货商和客户的接触关系。为此,组织应该通过合同、服务水平协议 (SLA)、谅解备忘录等方式来说明其在与合作伙伴、供货商以及客户接触时实施了信息安全管理。
(2) 利用客观风险评估工具。风险评估应尽可能采用客观的风险评估工具,保证评估的准确、翔实。有效利用各种工具,可以帮助评估者更准确更全面地采集和分析数据,提升工作的自动化水平,并且最大程度上减少人为失误。当然,风险评估工具并不局限于完全技术性的产品,事实上很多评估工具都是评估者经验积累的成果,如调查问卷、扫描工具、风险评估软件等。
(3) 构建合理的ISMS文件体系。文件首先应该符合业务运作和安全控制的实际情况,应该具有可操作性;不同层次的文件之间应该保持紧密关系并且协调一致,不能存在相互矛盾的地方;编写ISMS文件时,除了依据标准和相关法律法规之外,组织还应该充分考虑现行的策略、程序、制度和规范,有所继承,有所修正。
6 结 论
企业的生存和发展,有赖于企业各项业务、管理活动的健康有序的进行,而信息化是企业一切业务、管理活动所依赖的基础。信息系统是否能够稳定、可靠、有效运作,直接关系到企业各项业务活动是否能够持续。因此,我们要对信息系统的保密性、完整性、可控性、可用性等提出全面具体的要求,建立持续改进的信息安全体系运行机制。在信息安全体系的全面应用过程中,必须重点关注以下重要事项:安全策略、目标和活动应该反映业务目标;实施信息安全的方法应该与组织的文化保持一致;来自高级管理层的明确的支持和承诺;向所有管理者和员工有效地推广安全意识;提供适当的培训和教育。
主要参考文献
[1] 王斌君. 信息安全管理体系[M]. 北京:高等教育出版社,2008.
【关键词】信息安全管理 保险公司
一、保险公司信息安全管理的意义
科学的进步,信息技术的发展使当今的社会步入了互联网和大数据的时代。这一时代的变革给社会经济带来了深刻的影响,产生了许多颠覆性的创新,改变了人们传统的行为习惯、企业的商业模式和市场的竞争格局。
整个社会正在发生革命性的变化,世界在迈向信息化的过程中,也给保险行业的发展带来了更广阔的天空。信息技术在未来的保险领域中承载着越来越重要的作用,然而,新技术的应用和推广中,风险与机遇是并存的。技术上的缺陷,安全管理上的漏洞,都将使得信息和信息系统的安全产生严重的问题,甚至于危害人们生命与财产的安全。因此,研究和制定保险公司的信息安全战略,提升保险公司安全保障能力,架构保险信息安全体系是我们面临的重大课题。本文的研究目的就是对保险公司的信息安全管理体系解决方案进行探索,为保险公司的大力发展提供有力的安全保障和基础。
二、保险公司信息安全管理中普通存在的问题
尽管在日常生活中,人们对越来越多暴露出的信息安全问题愈发的敏感和关注,但是普遍来说,整个保险行业对信息安全问题的整体认识不足,缺乏必要和实质的行动,主要存在的问题有以下几个方面:
(一)管理层对信息安全的意义认识不足
管理层对信息安全的认识还没有达到战略性的高度,没有意识到信息安全问题将渗透到企业的方方面面,没有意识到信息安全管理能力将成为企业未来的核心能力。由于管理层重视程度不高,导致了对信息安全管理上人力和物力的投入不足,许多企业的信息安全管理水平不理想。
(二)信息安全管理上缺乏全局思维
保险公司的安全管理目前仍然缺乏一整套完善的规范约束,重视其中的技术问题,轻视了管理问题;重视客观性问题,轻视人为主观性因素;重视对外部环境的安全,轻视内在存在的隐患;以静态的观念思考问题,缺乏前瞻性思维。
(三)信息安全治理的成熟度较低
信息安全治理要包括风险管理,组织流程,策略执行,责任到岗等一整套治理体系,目前许多保险企业的信息安全管理的成熟度仍然处于初级阶段,表现为有局限性的安全保障行为,距离成熟的治理结构,即全面动态优化的阶段,还有比较长的距离。
(四)安全管理基础薄弱,对安全保障有行为没有体系
信息安全问题不仅是技术上问题,,更要面临管理的问题。需要利用技术手段去支持管理手段,利用管理手段提升技术手段应有作用的有效发挥。许多企业对安全的决策没有整合到整个管理体系流程中,对风险的防范是片段的、分散的、局部的,也缺乏专业的安全治理部门和责任人对安全问题进行评估、监督和优化。
鉴于以上存在的问题和现状,保险企业需要深刻的理解信息安全问题的重要性,建立和健全一整套的信息安全管理体系保证安全战略的规划和部署,在信息技术的支持下,促进行业和企业的高速发展。
三、建设和实施信息安全体系的步骤
《保险公司信息系统安全管理指引(试行)》中指出:信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。信息安全不是对单一的信息产品进行防护,而是构筑综合防御体系。一个典型的综合防御体系的构筑过程包括如下步骤:首先,明确信息安全的目标,并建立和完善企业安全治理结构,进而识别和评估企业中存在的安全风险,涉及的相关主体和面临的各项约束,形成安全评估报告,并制定相关的安全控制规划,建立分层次的安全管理体系,最后,对安全管理活动进行持续性的评估、监督、控制和改进。这个过程是个PDCA的过程,安全体系会随着外部环境的变化、业务情况的变化和信息技术的改进而产生新的需求,新的方法,因此它需要不断更新改进,是一个动态发展的过程。
(一)安全目标的确立
信息安全有三个层次的内涵:
第一层次:信息安全,指的是保护信息这种资产自身的安全,避免发生偶发的或有意的泄露、修改、破坏或丧失处理能力。包括三重含义:信息的机密性、信息的真实性和信息的完整性。
第二层次:信息系统的安全,信息系统是信息处理中包含硬件、软件和网络等支撑体系的集合,信息安全与信息系统安全相互附生,信息系统问题将直接引发信息安全问题。
第三层次:由信息安全和信息系统安全带来的的传统安全问题,如机密信息泄露导致的生命财产的损失。
以这三个层次为出发点,帮助我们分析信息安全中的主体、要素、相关关系,并结合公司的战略规划,确定信息安全的根本目标是制定和实施安全管理解决方案的首要任务。
(二)治理结构的设置
由于信息安全管理需要跨部门、跨业务整合资源,因此需要建立强有力的领导层和组织架构,进行顶层设计。在此基础上,实施多资源系统控制政策,整合不同业务、不同渠道、不同条线、不同分支机构的要求,形成安全管理体系,开展具体工作,强化多项目综合管理,既有牵头部门,又要协同作战,既有重点主次,又要全面推进。在高层组织机构的领导下,建立顺畅的安全管理工作协作机制,破除部门壁垒,增进部门协作,推进工作的高效开展。
(三)安全风险的识别和评估
评估信息安全时需要对信息安全、技术安全及其涉及的治理机制、业务流程、人员管理、企业文化等内容进行分析,通过评估工具、人工分析、文档清理、问卷调研等方式对公司现状进行调研,了解物理安全(物理设备的访问控制、电力供应等)、网络安全(基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全)、系统安全(系统软件安全漏洞、系统软件配置安全等)、应用安全(应用软件安全漏洞、软件安全功能、数据防护等)的情况和控制措施。通过基线风险评估制定信息安全底线,对信息资产进行详细的风险分析,了解与信息安全标准之间存在的差距,得到初步的安全评估;通过信息资产风险评估和流程风险评估进行详细的风险评估,对重要的信息资产和IT流程中存在的安全威胁、漏洞及其可能性分析,选择合适的方法进行管理,得到最终的风险评估报告。
(四)整体安全控制规划的制定
为了保障安全管理工作有序、科学和顺利的开展,必须要制定安全控制规划。安全规划在风险评估的基础上,对安全管理框架和技术框架进行详细的规划,作为指导企业安全建设的指南,应该结合过去与未来的网络架构、威胁防护、安全策略、组织、运行等各项工作的任务、内容、建设重点,制定实施的优先级、具体步骤和具体措施。
(五)安全控制体系的建立
安全控制体系架构的建立是整项工作的关键环节之一,我们将安全控制体系分成五个层次:安全内核层、安全服务标准接口层,通用安全接口层、安全组件服务层、安全系统应用层。架构安全控制体系时,满足如下的原则:分层的体系结构要为不同层级的安全服务提供保障;层级功能有相对独立性;应用服务具有通用性,提供统一的访问接口,服务之间也可相互协调;具有很强的扩展能力,很好的兼容新的安全机制和模块。
(六)有效性评估、监管、考核和审计
保险企业应该不断地对信息安全控制体系的实施情况进行审查、监督,采取纠正性措施、预防性措施,并保持安全管理体系的有效运作。对信息安全策略、安全的目标达成情况、编制的文件、安全事件进行分析,采取积极措施,消除已发生的或未来可能发生的与实施和运作标准有差距的不合格状况,防止不利事件的发生。
四、结束语
每一个保险企业具备的个性问题各不相同,在实施信息系统安全管理解决方案时会面临不同条件和约束。同时,即便在共性问题上,也会随着时间的进展,而产生新的问题。现代社会中,如何保障信息安全是一个不断增长的社会需求。安全只是相对的,而不是绝对的,是动态的,不是静止的,这也意味着对信息安全的管理将是一个持续发展、不断完善的过程。
参考文献:
关键词:混业经营;金融牌照;信息安全;管理体系
一、金控的定义与历史机遇
(一)金控的定义
金控是金融控股的简称,是指在同一控制权下,完全或主要在银行业、证券业、保险业中至少两个不同的行业提供服务的金融集团。从定义上可以直接反映出金控公司的特点:多金融牌照混业经营,由一家集团母公司控股,通过子公司独立运作各项金融业务。
(二)金控的历史机遇
金控公司出现之初,集团母公司多是扮演财务投资的角色,不参与具体业务的运营。随着国家“十三五”工作的推进,金融改革不断深化和多元化,单一业务的聚集效应在减弱,而以多业务构建“客户-平台-资产”供应链闭环生态系统的金控平台则迎来其历史发展机遇。其通过资源协同、渠道整合、交叉销售等运营模式,促进供应链上各项金融业务的联动发展,最大程度地发挥了产品互补优势,提高效能,享受高额市场回报。
二、金控体系下信息化建设的重要性和安全需求
(一)信息化建设的重要性
打造金控体系下多牌照的闭环生态系统,离不开信息化平台的建设。换个角度,信息系统是多牌照业务融合、产品创新和效能提升的一种有效手段。如通过信息化建设金控体系下统一的客户系统、全面风险管理系统、产品销售系统、大数据分析平台等,可助力金控集团建立品牌效应,快速响应多元化的市场需求,从而实现业务的爆发式增长。基于信息化的重要性,综观目前市场上的各类金控公司,都在大力发展信息化建设,寻找业务创新点,引领行业升级和抢占市场。
(二)信息安全需求分析
对于互联网时代的金融企业来说,数据是核心,安全是生命线。随着《网络安全法》的实施,信息安全已上升到国家战略层面,构建金融企业的信息安全防护网势在必行。对于金控公司来说,由于是混业经营模式,旗下不同牌照的子公司,因其监管部门不同以及对信息安全要求不一样,在规划其信息安全时,必须将多牌照的特点融入到安全体系内,同时满足信息安全和业务发展的平衡需求,以免顾此失彼,得不偿失。
三、金控体系下信息安全体系规划
建立一套金控公司的安全体系,必须同时从管理和技术角度进行规划,管理是运营措施,而技术是操作手段,相辅相成,缺一不可。
(一)信息安全管理体系的规划
1.对标的选择。建立一套信息安全体系,目前可对标的标准和规范包括国际标准ISO27001、国家安全标准、各监管机构的安全指引、信息安全等级保护管理办法,以及行业的最佳实践等。对于金控信息安全管理体系的规划,应该以ISO27001为基础,结合监管的合规要求进行编制。2.设计原则。通常情况下混业经营企业在制定企业管理体系标准时要照顾到各方的使用需求,其标准具有通用性和广泛性。具体使用部门或子公司可再结合自身业务特点,制定更具体的操作规范。但对于金控行业来说,由于旗下各子公司经营的都是金融业务,对信息安全的要求比普通企业更严格,信息安全是其不可逾越的红线。因此在为其设计信息安全管理体系时,应反其道而行,从严要求,以最严格的标准进行编制,做好顶层设计,然后根据各子公司的业务特点,对制度或规范做适当的裁减或降低等级要求。3.管理体系模型。信息安全管理体系是一个多层次的模型,如图1所示。在该模型中,第一层是企业信息安全方针政策,说明企业信息安全总体目标、范围、原则和安全框架等;第二层是企业安全管理制度和规范,说明体系运行所需要的通用管理要求;第三层属于安全管理活动中,用于约束安全行为的具体方法;第四层是配套的表单和记录,用于辅助制度和管理办法的执行。4.安全目标和方针的设计。虽然是混业经营,但对于金控集团及旗下各子公司来说,信息安全的目标应该是一致的,本质都是追求企业数据的保密性、完整性和可用性,所以安全方针可以基于集团统一考虑,设计为:安全、合规、协同、务实。安全:以风险管控为核心,主动识别、管控并重,为用户提供安全、可靠的信息技术服务。合规:按照国家法律法规及行业监管要求,建立满足集团业务发展需求,并具有专业能力的信息安全管理机制。协同:全员参与,对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力。务实:以经济适用为准则,选择适应公司发展变化的业务架构和稳定灵活的技术架构,满足各业务条线的管理和决策需要。5.组织架构的设计。信息安全方针的贯彻,安全制度的执行,安全技术的部署,都需要通过安全管理组织来推行。各个模块相互之间的关系如图2所示。对于金控行业公司而言,由于多数子公司都是独立法人,无法完全成立一个实体安全组织,而是一个横跨集团和各子公司的虚拟安全组织。为保证安全组织的有效性和执行力,应具有分工合理、职责明确、相互制衡、报告关系清晰的特点。6.管理制度及规范的设计。管理制度和规范是属于企业运营措施,根据ISO27001标准模型,安全管理制度划分了14个控制域,涵盖的内容如图3所示。根据各控制域的关联关系,结合金融企业的安全需求,企业的安全管理制度通用全景图设计如图4所示。
(二)信息安全技术体系规划
技术体系属于信息安全操作层面的内容,应该是围绕整个数据生命周期展开规划的。根据数据的运动轨迹,经历“生产-传输-计算-存储-消亡”等阶段,所以信息安全技术体系的范围,应该涵盖物理环境、基础架构(含虚拟化层)、应用、数据和访问控制等。一般通用的安全技术体系全景如图5所示。由于安全技术需要部署大量的专业设备,对于混业经营的金控公司而言,可以发挥集团总部的先天优势,对于一些共性的安全技术方案,由集团统一规划和部署,然后为各子公司提供相应的安全服务,减少投入,节约成本。例如防病毒系统,由集团总部部署服务端,各子公司部署客户端即可,类似的安全技术服务还有漏洞扫描系统、身份认证系统、终端准入系统、APT检测系统、安全渗透服务、安全培训服务等。
四、金控体系下信息安全的实践
由于是混业经营,在组建了横跨集团和各子公司的安全组织后,还需要不断地进行实践以达到最佳效果,以下是一些具有特色的实践场景。
(一)信息安全事件的统一管理
信息安全事件的管理是安全制度之一,有效的事件管理可以积极发挥安全效能,提升全集团的安全能力。1.情报共享,协同防护。在管理层面,原各业务子公司只会向其外部监管部门报送安全信息,相互独立,不能有效共享相关的安全情报。新的模式下要求子公司同时将安全信息上报集团总部,总部通过分析后形成统一报告,再发放到各个子公司。通过这种方式,一方面可以实现情报共享,另一方面可以实现信息安全的统一管控,协调防护。2.统一监控,快速反应。在技术层面,可通过在子公司部署探针,建立集团的统一安全监控平台,对集团内所有的安全日志进行采集、分析、响应,同时结合集团和各子公司的安全保护措施对事件进行快速处理,合纵连横,从而保证整个集团和各子公司信息系统的安全稳定运行。
(二)子公司信息安全建设的管理
对于多牌照的金控公司来说,旗下各子公司业务种类不同,规模也有区别。在信息安全的建设方面,应该有区分对待。对于规模较大的子公司,依靠自身力量建设了数据中心及安全体系的,除一些共性的安全技术方案可由集团提供以外,其他的安全措施由子公司执行,集团主要是发挥标准制定和监管的角色。对于规模较小的子公司,由于IT力量较弱,数据中心体量有限,很难依靠自身建设完整的信息安全保护体系。在监管许可的情况下,可以将子公司的信息系统托管在集团数据中心,由集团进行信息安全的统一规划、建设和运维。
(三)交叉检查,取长补短
由于同属于一个集团,各子公司之间具有天然的信任感,通过集团的统一组织和管理,可以促进各子公司之间进行信息安全的交叉检查,在兄弟公司之间充分展示本单位的优势,取长补短,相互学习,共同进步。
参考文献:
[1]ISO27001:2013.信息安全管理体系标准[S].2013.
[2]中国银行业监督管理委员会.商业银行信息科技风险管理指引[Z].2009.
1、河南省济源市电子政务平台
河南省济源市电子政务平台建设中最大的特点就是完全基于互联网。互联网是信息化的重要基础设施,积极利用互联网进行电子政务建设,同时高度重视信息安全问题,是加快信息化发展,推进电子政务的必然要求,也是信息技术发展的趋势。河南省济源市积极开展互联网上电子政务的信息安全保障试点建设工作,按照“保安全、促应用”的思路,根据信息安全等级保护的要求,结合先进的安全技术和管理措施,构建了基于互联网的电子政务信息安全保障平台,有效地推动了电子政务建设,并大大地缩减了成本,网络建设费用仅为182.5万元。与原来拟采用“专网”的建设费用相比,仅网络投资一项就节约了662万元,节约比例达到47.4%。
获奖理由:没拉一条专线,没建一个专网,完全基于互联网,这样的电子政务平台,安全问题就成为了重中之重。天融信为其提供的、基于互联网的新型电子政务之安全保障体系,通过对商用密码、VPN等信息安全技术的综合利用,使其实现了全市120个党政部门和全部乡镇(办)的互联互通,建成了低成本、可扩展的电子政务网络平台。
2、山西移动按SOA框架构建电信BSS/OSS体系架构
山西移动通过SOA项目的实施,使得业务流程得到了简化与优化,并构建了新的业务平台。新的业务平台提供了统一的信息应用模式,使得各个层次的业务人员都能获取客户完整、统一的信息,从而让业务人员能加强与客户的互动。同时,山西移动还建成了流程清晰、响应及时的投诉服务体系,基于改良后的体系能为客户提供优质的服务。
获奖理由:通过SOA技术,山西移动用于投诉服务的核心流程被大量地精减,而且可以通过企业的服务总线来随意调用这些服务,并让业务流程能根据业务需求的变化自由重组,从而将以前几天才能解决的投诉问题在5分钟之内就能得到解决。
3、河南省国家税务局信息系统安全管理与监控平台
随着用户业务集中模式的完成,对基础设施的安全性、可靠性、稳定性、高效性和可信性都提出了更高的要求,河南省国家税务局所采用的SecFox安管系统就来源于用户对信息系统安全管控平台的强烈需求。
获奖理由: 网御神州SecFox安管平台在河南国税运转非常良好,通过安管平台的使用,极大地提高了用户运维管理的水平,将用户从24小时三班倒的工作方式变为了阶段性巡查、接收告警短信、及时排查故障的常规流程。并且,在最近一段时间的用户反馈中,得到了用户的好评。
4、信息安全风险评估广东省地税局南海数据处理中心试点
广东省地税局南海信息处理中心在信息安全风险评估试点中的主要业务应用是,内网的税收征管业务与外网的上网业务以及相应的安全管理体系。另外,广东省地税局南海信息处理中心信息系统是税务系统信息网的重要组成部分,也是广东省全省税收业务统一共享的信息处理平台。
获奖理由:通过试点工作,在理论和实践上积累了开展税务系统信息安全风险评估工作的经验,为研究税务系统风险评估工作的有关方法、流程和相关标准规范提供了依据。同时,分析了信息系统所面临的威胁及存在的脆弱性,并针对这些风险提出了有针对性的抵御威胁的防护对策和措施,为保障系统的信息安全提供了科学的指导。
5、北京海淀区信息安全管理体系
北京海淀信息办在国信办的统一要求和指导下,与技术支撑单位北京数字证书认证中心一起,结合已经实施的ISO9000、等级保护、风险评估等工作,很好地完成了信息安全管理标准应用试点工作。
获奖理由:通过验证国际上通用的信息安全管理标准(ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》),了解和掌握了构建信息安全管理体系的程序、步骤和方法,并探索了信息安全管理体系建设与风险评估、等级保护等信息安全保障工作之间的关系,为将来标准的出台做出很大的贡献,试点获得了国信办的高度肯定。
6、深圳证券交易所信息安全管理体系
深圳证券交易所在国信办的统一要求和指导下,在中国证监会的支持下,结合已经实施或正在实施的ITMS、BCP、CMMI等工作,很好地完成了信息安全管理标准应用试点工作。
获奖理由:通过验证国际上通用的信息安全管理标准(ISO/IEC 27001:2005《信息安全管理体系要求》和ISO/IEC 17799:2005《信息安全管理实用规则》),了解和掌握了构建信息安全管理体系的程序、步骤和方法,并探索了信息安全管理体系建设与风险评估、等级保护等信息安全保障工作之间的关系,为将来标准的出台做出很大的贡献,试点获得了国信办的高度肯定。
7、卫生部突发公共卫生事件应急
指挥与决策系统
作为全国第一个跨地域部级应急决策方案,该系统是卫生部信息化规划与建设的重要组成部分,涵盖了基础环境、技术环境、网络与数据平台、应用软件系统等内容。系统投入运行后,在突发事件监测、预警的基础上,可以完成对事件处理全过程的跟踪和处理,满足了突发事件相关数据采集、危机判定、决策分析、命令部署、实时沟通、联动指挥、现场支持等各项要求。
获奖理由:太极 SOA技术在项目中的成功应用,极大地提高了卫生部应对突发公共卫生事件的应急处置能力。根据系统平战结合的设计理念,在“平时”运用该系统进行值班、预警、预案管理等日常业务的处置与管理;一旦发生突发公共卫生事件,将使用应急指挥系统提供的决策与指挥支持功能,进行事态分析、资源调配、人员派遣等,从而实现了对突发公共卫生事件进行准确而迅速的处置。
8、基于流媒体技术的大型企业
直播系统
国家电网公司网络直播NV-2005系统的研制与应用,弥补了传统信息传递方式的缺陷,在提高效率和效益的同时节约了成本,并使得各基层单位能在第一时间接收到总部的有关精神,真正做到了零延时,还有效地加强了公司的集约化管理。
获奖理由:基于流媒体技术的大型企业直播系统,作为常态化的网络应用,进一步地发挥了流媒体技术和信息化在电力系统中的重要作用,同时也为生产一线带来了更大的经济利益和社会效益。
9、GE服务器整合系统
GE医疗是国内最早使用VMware Infrastructure 3的用户之一,通过使用VMware VMotion、VMware HA等高级功能,来运行Windows 2000/2003和Redhat AS/ES操作系统,从而实现了服务器和基础设施的整合。
获奖理由:GE服务器整合系统的运行,提高了CPU的利用率、降低了管理成本、加速了新服务的部署效率,同时降低了系统的停机时间,并成为GE医疗基础架构的重要支撑。
10、异构协同交通办公自动化系统
【关键词】 等级保护 电力调度 管理制度
引言
我单位开展了信息安全等级保护安全建设整改、等级测评等工作。然而,随着整改进程的深入,建立规范、高效、安全的信息系统运行维护和管理体系,如何将等级保护中的管理制度与本单位自身的安全生产、班组文化等制度结合,给管理工作带来了新的挑战,通过建立等级保护管理制度体系能够更全面的提高电力调度系统运维管理层次,实现信息系统、数据资源集成整合和综合高效利用,支撑实现电力调度的信息化发展目标。本文结合笔者在信息安全管理中的实践和理解,对等级保护管理体系在工作中的应用提出一些个人的想法,供读者借鉴。
一、建立等级保护制度体系目的和意义
为更好的提高信息安全保障能力和水平,依据《信息安全等级保护管理办法》(公通字[2007]43号)、国家电网公司《信息系统安全等级保护建设的实施指导意见》(信息运安[2009]27号)、《SG186工程信息系统安全等级保护验收标准(试行)》(信息运安[2009]44号)、《关于加强电力二次系统安全防护和等级保护工作的通知》(调自〔2012〕65号)等要求。进一步加强电力调度系统重要信息系统的安全保护,落实国网公司关于信息安全等级保护和安全防护体系建设的总体要求,我单位开展了信息安全等级测评和整 改工作。
二、等级保护管理制度体系分析
等级保护管理制度体系提供了对组织机构中信息系统全生存周期过程实施符合安全等级责任要求的管理,包括落实安全管理机构及人员,明确角色与职责,制定安全规划、开发安全策略、实施风险管理、进行监控、检查,处理安全事件等,具体落实在要求则体现在等级保护测评指标中,等级保护管理要求如图1所示。
三、等级保护管理体系建设实践
在具体落实管理体系过程中,应结合原有的信息化管理制度,贯彻建立管理制度文件层级化和流程化管理概念,将方针策略、管理制度、操作规程和记录表单等文件科学的管理运作;将信息化安全管理方针策略定义为一层策略文件;将沟通管理、信息化人员管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面定义为二层制度文件,落实一层文件中涉及的各方面运维和安全管理内容;将信息化运维管理的操作指导规范等定义为三层流程文件,支撑二层制度文件的具体操作;将所有信息化运维相关的表格定义为四层表格文件,落实并规范化所有运维操作,融合和动态的管理当前使用的管理制度体系结构,如图2所示。
3.1安全管理的原则
1)基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
2)主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
3)全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
4)持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的分布变化,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系;
5)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。
3.2管理制度体系框架构建
3.2.1工作目标
建立安全管理组织并落实各个部门信息安全责任人,明确组织内各机构人员责任和工作职能,确定信息安全管理体系方针策略,编制形成信息安全方针策略文件。
3.2.2建立信息安全管理组织
(1)建立信息安全管理组织架构
信息安全领导机构:供电公司信息化领导小组,主要负责对单位信息安全制定总体安全策略、监督和协调各项安全措施在单位的执行情况、设立落实信息安全责任。由供电公司分管领导担任组长,小组成员为各个部门负责人组成。
(2)明确各相关机构和岗位角色的责任和职能
建立相应的职责文件,明确各相应领导、部门、岗位的职责。调度通信中心应设立信息安全工作的各关键岗位,如安全管理员、网络管理员、操作系统管理员和数据库管理员等,并将之与班组人员结合,并重视信息化人员的培养。
3.2.3确定安全管理总体方针策略
安全管理方针策略是为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。同时,还是进一步制定控制规则、安全程序的必要基础。应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,且要有足够灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。可以使员工了解与自己相关的信息安全保护责任,强调安全对组织业务目标的实现、业务活动持续运营的重要性。
安全方针策略属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括以下内容:
(1)信息安全的定义,总体目标、范围,安全对信息共享的重要性;
(2)管理层意图、支持目标和信息安全原则的阐述;
(3)信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性;
(4)信息安全管理的一般和具体责任定义,包括报告安全事故;
(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础。
3.3管理制度体系策略建立
3.3.1工作目标
建立覆盖信息工作的全部文件,包含安全策略、制度、规定规范、表单,完善所有活动流程管理。
3.3.2建立体系策略制度文件
信息安全策略是组织信息安全活动的最高方针,需要根据信息工作的实际情况,分别制订不同的信息安全策略。应该简单明了、通俗易懂,并形成书面文件,发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训,以使信息安全方针真正植根于单位内所有员工的脑海并落实到实际工作中。根据本单位实际情况,建立的策略文件,所有文件均需进行论证和评审。
(1)信息安全管理策略
作为所有系统的指导性方针文件,提供信息安全的基本规则、指南、定义。依据本策略应制定各管理制度、操作和使用规范。
(2)系统运维安全管理策略
作为所有系统运行维护的指导性方针文件,提供系统安全运行维护的基本规则、指南、定义。依据本策略应制定系统运行维护中相关的各种管理制度和规定,以及控制各项活动的记录表单和审批流程。应覆盖机房、网络、系统、资产、备份、日常运维等所有运行维护工作的范围。
(3)系统建设安全管理策略
作为所有信息化工作建设的指导性方针文件,提供信息工作相关的建设安全管理的基本规则、指南、定义。依据本策略应形成项目管理、采购管理、工程实施管理、测试及验收管理等建设管理的全过程管理制度,相应的控制表单和审批规定。
(4)人员安全管理策略
由于在系统、运维、建设方面已经对人员在该活动中的行为做了要求,人员安全管理主要需要考虑的问题是录用、离岗、保密、教育培训、考核及外来人员方面的管理,也可以直接制定比较详细的人员安全管理制度。
(5)管理流程
梳理并完善各种活动的详细流程图,任何针对信息系统的活动均有流程可依据进行控制管理。如事件管理流程、变更管理流程等。
(6)其他辅助制度
建立辅助文件,如对以上策略、制度、表单等进行管理的文件管理制度、保密制度、信息规定等。
3.4管理制度体系运作落实
3.4.1工作目标
逐项实施,直至体系全面运行,监督落实安全策略制度,找出体系中的不适用和缺陷。
3.4.2实施
经过第一和第二阶段的工作,理论上单位已初步形成完整的信息安全管理体系,但体系是否能正常运作发挥作用,需要对体系进行验证,验证的方法就是运行体系。
体系的运行分几步进行:
对通过论证评审的文件,通过正规渠道正式发文的方式进行,的文件根据情况决定是否采取“征求意见稿”或“暂行”;
文件前召集相关部门的负责人学习文件,并要求确保落实力度;
的文件要求相关部门组织学习,并依照实施;
各相关部门对运行的文件制度运行情况进行收集,存在实际困难无法落实的报评审组织评审适用性;
对“征求意见稿”的文件,必须从实施的相关部门采集意见。
体系实施阶段可以在体系建立阶段同步开展,建立部门策略制度后,通过论证评审即可进行试运行,不需等全套文件完成。
3.4.3监督
指定或成立跨部门监督机构、人员,对文件实施的过程进行监督管理,制定相应的惩戒措施,对落实情况进行监督检查,对违反文件实施和实施不力的部门或人员进行惩戒,切实落实文件的有效实施。收集监督过程中发现的文件问题、人员实施问题方面资料,反馈到编制组织。
本阶段是系统建立的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。如果发现一个控制措施不合理、不充分,就要采取纠正措施,以防止信息系统处于不可接受风险状态。必须强调相关领导应重视本阶段工作,并且从实际上支持和推动实施工作。且应加大学习培训和监督力度,落实惩戒措施。让文件涉及的相关部门和相关人员熟知该文件并能按要求准确执行。
3.5管理制度体系细化调整
3.5.1工作目标
总结体系运行情况,调整不适用和无法落实的部分,完善体系,使之能高效、有序的运作。
3.5.2评审
评审有两个环节,第一个环节是针对出现的问题进行审核,论证其原因,进行改正完善。第二个环节是在大部分问题解决后、体系正常的情况下全面评审体系文件、组织、活动是否达到预期目标。
首先,信息安全领导小组组织相关部门人员,对体系实施中发现的问题进行审核,对落实不力的部门责成落实;对实际存在的问题进行论证,提出解决办法;对不适用的文件或部分进行论证评审,确实存在不适用的文件则组织相关人员进行修订,转入修订环节,对于不适用且没必要存在的文件进行废止。
而后,对于本阶段计划时间内反馈没发现问题的文件,组织相关部门评审试行效果,达到预期要求则作为正式版运行,并采用持续优化阶段的方式进行管理,未达预期目的则转入重新编制程序。
3.5.3修订
对于存在问题的策略文件,组织该策略文件涉及最多的主体部门和其他相关部门人员成立临时修订机构,针对文件存在问题进行修订。修订后进行新版本的颁布,同时该文件转入落实阶段。
3.5.4测评
经过细化调整,不断地审核修订后,体系应已基本完善,此时转入评审的第二环节。按照符合等级保护要求的预期目标,委托等级保护测评机构进行等级保护测评,在保证客观、合规、公正的前提下,对单位信息安全体系进行全面评审。整体测评后,对不满足要求的部分进行整改,整改完成后转入实施阶段,直至符合要求。
3.6管理制度体系持续优化
通过前四个阶段的工作,信息安全管理体系应基本稳定、成熟,后期的工作在于保持并进行不断地优化。把经过检验的文件作为常态的管理遵循依据,在日常工作中保持,不因试行结束而松懈。部门和人员应把试行期间依照文件要求形成的工作模式进一步完善保持,在未发生异常情况之前,始终按照正式版本执行。定期进行评审,找出不适用部分进行优化调整;结合工作实际,寻求更高效安全的方法优化体系,提高效能。
【关键词】信息安全管理;保险企业;体系构建
0.引言
保险企业的计算机信息安全管理给企业自身的发展带来了非常多的好处,不仅能够实现企业办公的自动化和信息化,同时也提高了企业的运营效率。保险企业的信息化主要是保险企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机技术、网络技术和数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力。从目前的保险企业来看,很多企业都已经开发了适合自己企业的计算机信息系统来满足企业的运转,企业通过开发计算机信息系统平台,提高了自身产品、经营、管理、决策的效率和水平,进而提高了企业的经济效益和竞争力。同时,我们也要注意到,保险企业开发计算机信息系统是好事情,但是如果忽略了对计算机信息安全的管理,就将是个大问题。在如今,计算机信息安全性对于保险企业来说比开发系统更为重要,企业一旦出现信息安全问题,后果不堪设想。有最新的数据表明,计算机病毒和黑客攻击已经给国民经济和企业造成了难以估量的损失。所以,保险企业计算机信息安全管理的体系构建迫在眉睫,必须要引起高度重视。
1.保险企业信息安全管理的现状
计算机信息安全问题不是保险企业才存在的问题,是全球企业都存在的普遍问题,越发达的地区,信息安全存在的隐患越多。一方面,现在互联网的发展速度非常快,信息技术的日趋完善,出现了很多的恶意攻击工具,再加上信息系统本身的漏洞,让一些破坏分子更是有机可乘;从另外一个角度来看,企业自身对信息安全管理不重视,也是导致出现信息安全问题的首要原因之一。近年来,保险行业处于高速发展的时期,暴露出的问题也相对比较多,我们应该重视起来。下面列出了当前的保险企业在信息安全管理上存在的主要几点问题:
1.1没有相关的法规来约束
与信息的安全有关的分散于各种法律、法规、标准、道德规范和管理办法的条文较多,但尚未形成一个较为规范完整的保障信息安全的法律制度、道德规范及管理体系。同时现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行。因此,保险行业的信息安全标准和规范的缺少和无体系化,导致保险企业不能很好的制定合理的安全策略并确保此策略能被有效执行。
1.2没有引起足够的重视
很多保险企业的管理层对信息安全管理不太关注,不够重视,没有投入足够的人力、物力和财力去管理。大部分保险企业在公司治理上重点关注的是企业的业务规模发展,销售策略调整,组织结构和运营流程的优化等,对信息安全管理不太重视,不太相信信息安全问题能给企业会带来严重危机,直到发生了信息安全事件后之后才开始重视。因此,保险企业必须在公司日常治理中投入足够的时间和精力去完善企业的信息安全管理体系。
1.3对存在的风险评估不够
很多保险企业在设计搭建相关信息系统的时候对存在的风险评估不够,没有充分考虑到信息化所带来的安全风险,通常只是考虑到信息技术问题,对于信息系统应用后出现的信息安全问题欠缺考虑。其实对信息系统安全风险不做评估或评估不充分,都会带来严重的后果,一旦信息系统出现严重缺陷或漏洞的时,系统受到破坏,正常的业务操作无法进行,严重的可能会导致企业内部机密、客户个人信息的泄露或者重要数据被盗、被篡改等。所以,保险企业面临解决诸如系统本身缺陷、操作失误等带来的安全问题的。
1.4没有制定相应的安全管理条例,无明确责任划分
保险企业相关的信息技术安全之所以存在一系列的问题,和企业没有制定相应的安全管理制度,没有明确责任划分等有很大的关系。没有相关的信息安全管理制度去制约,出了信息安全问题以后的责任划分不清晰,长此以往,信息安全问题的监管就会出很大的漏洞,也很难形成一个可控的信息安全管理体系。保险企业的信息安全管理应该是整个企业员工共同面对的问题,而不是企业某个部门或者某些个人能够决定的事情。保险企业的信息安全管理应该有相应的制度和明确的责任划分,每个部门都应该有信息安全的负责人,出了问题要做到有人承担,如果不这样的话就会影响到信息安全管理体系的构建,成为企业信息安全管理的绊脚石。
所以,针对以上种种问题和现状,保险企业必须要形成一个良好的信息安全管理体系,这样才能从根本上解决问题,发挥信息化建设的作用,保障企业的计算机信息安全。
2.保险企业计算机信息安全管理的体系构建
2.1掌握安全管理标准,构建安全管理基本框架
要熟悉掌握信息安全管理标准,对信息技术的安全管理标准要进行不断深入的理解,不能仅仅考虑到信息技术,而忽视了信息安全管理。国际上对安全管理研究已经取得了一定的成果,推出了信息安全标准,成立了信息安全标准化组织,搭建了信息安全标准体系框架。在我国,虽然信息安全的研究起步比较晚,但是也在不断的完善中,已经制定了适合我国国情的信息安全管理标准。我国提出的关于《计算机信息安全保护等级划分准则》中就明确了安全管理的标准,主要把信息安全划分成自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级等五个安全程度不同的安全等级,根据这五级标准,也分别提出了关于建立安全管理体系的相关措施。所以,保险企业应该参考这些标准,构建适合自身行业、企业信息的安全管理基本框架,这对于企业的健康稳健发展是非常有意义的。
2.2实现科学的信息安全管理
保险企业要实现科学的信息安全管理,不能不考虑信息安全影响而随意的进行信息管理。保险企业的信息安全管理应该要包括对机构安全管理和人员安全管理以及技术安全管理和场地设施安全管理。保险企业需要采用一些科学的方法,如科学化企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型等,建立科学的可实施的计算机系统安全策略,采取规范的安全防范措施,选用可靠稳定的安全产品,设计完善的安全评估标准和等级,实施有效的审核措施等来实现对信息的安全管理。
2.3进行有效的安全风险评估
保险企业在搭建信息化平台的时候,必须要进行安全风险的评估,没有风险的评估是很难实现信息安全管理的。同时,还需要在对信息安全风险的评估中制定出风险的应对方案,便于应对突发问题,从最大程度上保证信息的安全。
2.4合理配置安全产品
对于评估出来的风险,保险企业可以对信息系统配置一些安全产品来规避信息安全风险。比如说系统存在一些漏洞,这些漏洞很容易受病毒的攻击,那么企业可以配置一些能够定期更新的杀毒软件和防火墙来防止病毒的侵入。在配置产品的时候需要注意配置的合理性,不能什么安全产品都去配置,要通过最优化的安全产品配置达到企业信息的安全管理。
【参考文献】
[1]许雅娟.网络攻击分类研究[J].硅谷,2011(06).
[2]宋晓萍.TDCS网络安全防护方案的研究[J].铁道运输与经济,2006(11).
[3]苗亮.计算机网络可靠性的研究[J].机械工程与自动化,2010(03).