浅谈企业的信息系统安全管理

2012-08-15林海平陈倩

河南科技 2012年20期

林海平陈倩

（福建省电力有限公司南平电业局，福建南平 353000）

1 专业管理目标描述

1.1 专业管理理念

遵循“统一领导、统一规划、统一标准”、“谁主管、谁负责，谁运行、谁负责，联合防护、协同处置”和“三分技术，七分管理”的原则，实行“安全第一、预防为主，管理和技术并重、综合防范”的方针，借助省公司统一部署的桌面终端标准化管理系统，结合综合网管系统，制定严格的信息安全管理规范、制度，实现信息系统安全可控、能控、在控。

1.2 专业管理范围和目标

本文信息系统安全管理主要涉及信息内网计算机系统安全管理和移动存储介质管理，其目标是确保不发生重大信息泄露事件，确保网络与信息系统安全，禁止将未安装终端管理系统的计算机接入信息内网；禁止非地址绑定计算机接入信息内网；禁止利用非公司专配安全移动介质进行内外网信息交换，且向外部拷贝文件需要严格的审批流程；禁止桌面终端非法外联。

1.3 专业管理的指标体系及目标值

结合省公司信息系统3E指标、信息专项考核指标等相关文件的具体工作要求，建立信息系统安全指标绩效考核体系，实现以下主要目标值：1）桌面终端标准化管理系统安装部署率达到 100%；2）严格执行“八不准”（不准将公司承担安全责任的对外网站托管于外单位，不准未备案的对外网站向互联网开放，不准利用非公司统一域名开展对外业务系统服务，不准未进行内容审计的信息外网邮件系统开通，不准使用社会电子邮箱处理公司办公业务，不准将未安装终端管理系统的计算机接入信息内网，不准非地址绑定计算机接入信息内外网，不准利用非公司专配安全移动介质进行内外网信息交换）；确保“三不发生”（不发生重大系统停运事故，不发生重大信息泄露事故，不发生网站被篡改造成重大影响事故）。3）完成省公司下达的各项信息安全指标。

2 专业管理的主要做法

2.1 主要流程说明

为了确保信息系统安全，某企业从技术管控、检查调研、制度保障和人员管理四方面进行了梳理，从技术管控、检查调研、制度保障、人员管理四个方面来开展工作，总体工作流程图如下：（1）技术管控：制定各系统的管理策略，加强技术管控。（2）检查调研：按照组织检查调研-反馈-通报考核-组织整改-反馈-共性问题总结归纳并上报省公司-公告的流程，确保调研效果。（3）制度保障：制定信息安全相关各项制度和办法。（4）人员管理：组建信息员网络，编制培训方案并展开培训，积极开展自查。

2.1.1 技术管控

1）制定各系统的管理策略

借助桌面终端标准化管理系统提供的技术管控手段，制定了各项信息系统安全管理控制策略，确保信息系统安全可控、能控、在控。重点管理控制策略包括以下几条：

a）防止信息泄密事件发生，禁止移动存储设备的拷贝功能。所有移动存储设备仅具备只读功能，不能将文件拷贝至移动存储设备，个别确因工作需要必须使用移动存储设备进行文件交换的，必须由部门领导审核签字同意并加盖部门公章后，交信息中心统一处理。

b）桌管系统启用地址绑定和阻断策略。实现对未安装桌管系统的计算机和任意搬迁的计算机实现阻断功能，并通过以下手断进行进一步的管控：新增计算机由信息中心统一负责协调、安排安装，所有接入信息网络的计算机必须必须实名制，必须设置系统登录密码，密码需字母数字组合并大于八位；对局大楼信息网络点位进行增加，拆除各办公室因点位不足而使用的不可管理的HUB，将所有计算机直接接入信息机房内可管理交换机上；对于临时性接入我局信息网络的计算机，由责任部门提交《设备入网申请单》经由部门领导审核签字同意并加盖部门公章后，交信息中心统一处理。

c）桌管系统启用补丁分发策略。为保证所有计算机能及时安装系统补丁，桌管系统启用补丁分发策略，做到补丁实时更新。

2）修改管理策略

根据检查调研和日常运维中反馈的问题，以及国网及省公司各项指标的调整情况，及时修改、调整各系统的管理策略。

2.1.2 检查调研

1）组织检查调研。结合省公司春、秋安全大检查和特殊时期专项安全检查及信息安全等级保护测评工作等相关活动，组织不同层次、不同级别的信息安全检查调研活动。

2）反馈。由检查调研组对检查调研中发现的问题进行收集、整理，统一反馈给信息中心，由信息中心负责汇总及分类。

3）通报考核。信息中心对检查中发现的问题进行通报考核，对违反相关规章、制度的行为、事件按相关的考核办法进行考核，对违反红线制度行为、事件提交局务会进行考核，触犯法律的，依法追究其法律责任。

2.1.3 制度保障

1）制定信息安全相关各项制度、办法。根据我局信息安全管理工作的需求，在参照、执行国网及省公司相关文件要求的同时，制定适合我局实际信息安全管理工作需求的规章、制度及管理办法。

2）修订制度、办法。根据检查调研中反馈的情况和国网及省公司相关文件的要求，及时修订相关的规章、制度及管理办法。

2.1.4 人员管理

1）组建信息员网络。为了真正落实“谁使用、谁负责”的安全管控原则，建立覆盖各部门/班组的信息员网络。某企业根据多年的工作经验，组建了一支覆盖各部门/班组的信息员网络，明确了信息员信息安全管理的职责和义务。

2）编制培训方案、开展培训。针对不同的人群，编制培训方案，并开展培训，主要包括以下三个方面：a、全员培训：结合安监部每年组织的安规考试，开展全员信息安全培训，重点宣贯信息安全管理相关制度和管理办法，并与各单位、部门及每一位职工签定《信息安全责任状》；b）、新进员工培训：在人资部新进员工岗前培训中加入信息安全培训内容，重点培训在局办公场所使用计算机需注意的事项，并要求新进员工熟悉信息安全管理相关制度和管理办法；c）、信息员培训：组织人员编制了具有针对性的培训方案，方案主要明确如何判断计算机违规外联，如何检查计算机是否安装桌管系统和防病毒系统、计算机是否采用实名制等，并培训桌管系统和防病毒系统的安装方法。

2.1.5 综合管理

1）组织整改。对检查调研中发现的问题和各部门信息员自查反馈的问题，信息中心针对不同的情况，制定整改措施。

2）反馈。各相关单位、部门、人员对整改情况进行汇总、整理上报至信息中心，包括已整改情况反馈，需信息中心协调改情况反馈等。

3）共性问题归纳总结。信息中心组织人员对各单位、部门、人员反馈的信息进行汇总、分析，需信息中心协调解决的及时协调解决，对无法协调解决的形成报告上报省公司科信部协调解决，对存在的信息安全隐患进行分析，提出技术和管理上的防范措施。

4）上报省公司。对局本部无法协调解决的问题、故障进行整理、汇总，并进行分析，提出相关意见等，形成报告上报省公司科信部。

5）省公司回复。省公司科信部对我局上报的相关问题进行协调并回复我局。

6）公告。充分利用本单位网站、协同办公等系统公告功能，发布不同时期的信息安全工作重点，国网、省公司信息安全管理相关文件，问题、故障解决情况，带有共性的信息安全隐患信息等，指导设备使用人员处置安全隐患。

2.2 确保流程正常运行的人力资源保证

某企业通过设置信息管理部门、桌面系统运维部门和信息员柔性机构来确保本套流程的正常运作。

1）信息中心。信息中心共设七个专责岗位，信息安全管理专责总体负责信息安全管理工作；信息网络管理专责、主机系统管理专责、应用系统管理专责和数据库管理专责负责配合信息安全管理专责对全局所属信息系统进行安全防护、管理等信息安全相关的工作。

2）桌面系统运维组。运维组共设有3至4位维护人员，具体负责桌面计算机的安装调整工作和日常运行维护工作，负责协助信息安全管理专责对桌面计算机安全检查工作，负责配合信息中心对信息员的管理和培训工作。

3）信息员柔性机构。基本上每个部门均设有一位信息员，以确保企业每一基层组织均有人负责信息安全工作，每年对信息员网成员进行调整，以确保人员的有效性。

2.3 保证流程正常运行的专业管理的绩效考核与控制

为确保信息安全管理工作的常态化开展，某企业参照国网及省公司相关文件要求编制了《科技信息考核实施办法》、《某企业信息系统运行管理办法》、《某企业信息网络运行管理办法》等标准制度和管理办法对全区各单位进行绩效考核和管理控制。对于严重违反信息安全管理制度和信息安全“红线”条款的行为进行从重、从严考核。同时要求责任单位对事件原因进行分析，提出整改措施，并进行全区通报。