信息安全等级保护提升信息系统管理
时间:2021-10-14 来源:博通范文网 本文已影响 人
信息安全等级保护提升信息系统管理
摘要:随着科技的进步,企业办公信息化、智能化程度显著提升,随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时,需兼顾互联网开放性造成的风险。针对以上问题,国家严格规范信息系统等级保护工作流程,根据系统的重要性和影响范围划分定级,按照系统级别的不同实施区别化管理。此外,依照信息系统等级保护工作的“三同步”原则(同步规划、同步设计、同步投入运行),在信息系统应用建设的各环节进行标准化管理,规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准,同时,明确了检查考核、管理与技术措施,促进供电企业信息专业能力不断提升,充分调动公司各专业的积极性和协调性,有效提高公司信息系统安全管理水平和保护能力。
关键词:信息安全;等级保护;信息系统管理
1 背景简介
通常情况下,企业信息系统管理普遍存在以下问题:(1)信息系统规划阶段侧重于系统功能应用,未提出信息系统安全保护;(2)信息系统设计阶段缺少安全方案的同步设计;(3)信息系统上线运行阶段,未建立安全性测试机制,投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题,信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段,
覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。
2 信息安全等级保护工作的管理思路
根据目前信息系统管理的暴露的缺点,公司将信息系统安全建设作为安全等级保护工作的重点,围绕信息系统应用建设的各个阶段,结合等级保护要求,实现信息系统建设过程的安全管理,有效降低了信息系统上线后的安全隐患,保障了信息系统的安全稳定运行。
2.1 规划阶段
信息系统规划初期,通过建立合理的信息系统安全管理体系、工作要求和工作流程,结合公司实际情况,将系统测评费用纳入其中。
2.2 设计阶段
系统设计阶段,公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统,在系统定级后,系统建设项目负责部门应组织系统运维单位和系统开发实施单位,根据系统安全防护等级,遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等,制定系统安全防护方案。
2.3 开发阶段
各系统建设部门是信息系统的用户方,必须严格要求系统开发部门遵守相应原则,如使用正版的操作系统、配置强口令、信息系统测试合格正式书等,从而保证系统投运时的实用性和效率。
2.4 测试阶段
系统建设部门组织定级系统,通过具有国家资质的测评机构对系
统进行安全测评,并在当地公安机关网监部门进行定级和备案工作。
2.5 实施阶段和应用上线
各级信息通信职能管理部门,督促检查本单位及下属单位等级保护工作,同时,要求各系统建设部门在信息系统实施阶段,确保系统完成测评整改工作。
2.6 运维阶段
根据“谁主管谁负责,谁运行谁负责”的工作原则,各系统主管部门合理分配部门人员的管理和运维工作,制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。
3 信息系统管理的工作机制
通过信息系统等级保护方案,公司要在系统应用建设全过程中加入安全防护机制,规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外,为进一步促进等级保护工作的有效执行,公司明确了相应的检查考核管理措施,完善信息系统安全工作的全面管理。
3.1 考评机制
建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作,即检查各相关单位网络与信息安全工作的开展情况,并根据上级部门的实时反馈进行整改,从公司信息系统正常运行到信息内外网安全,实施监督和管控,纳入各单位年度绩效指标考核。
3.2 协同机制
成立信息化领导小组及办公室,开展协同控制工作。建立关于信息安全工作的协调机制,明确公司各部门网络与信息安全工作职责,具体负责组织开展信息系统安全等级保护工作,协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外,针对信息系统测评和评估所发现的问题,责任单位制定完善的安全整改方案并认真落实。
3.3 例会机制
例会机制主要通过信息系统等级保护集中工作实现,定期召开信息专业网络安全会议,通过会议通报各单位存在的问题和下一步改进措施。
4 结语
本文提出了一种基于等级保护的信息系统管理工作思路。一方面,从信息系统全生命周期着手,在系统应用建设的各环节加入安全管理工作;另一方面,完善信息系统管理工作机制,通过建立合理的考评机制、协同机制和例会机制,优化系统管理手段。根据以上管理思路,不仅在工作流程上对信息系统进行了安全防护加固,而且制定了相应的管理手段,促进企业信息系统管理工作水平的提升。
参考文献
[1]高磊,李晨旸,赵章界.基于等级保护的信息安全管理体系研究[J].信息安全与通信保密,2015(5):95-98,101.
作者:余入丽 马先平 杨雅 单位:国网黄石供电公司信息通信分公司
很有价值。
西安市信息系统安全等级保护
责
任
书
西安市公安局网安支队印制
信息系统安全等级保护
责 任 书
甲方: 西安市公安局网安支队
乙方:
为加强我市信息系统安全等级保护工作,保证信息系统安全,建设平安西安、和谐西安,依据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)文件精神和《信息安全等级保护管理办法》相关规定,制定本责任书。
一、双方职责及义务
(一)网安支队
按照相关法律法规赋予的职能,认真履行以下职责及义务:
1、负责西安市非涉密、非密码信息系统的安全等级保护工作;
2、负责对信息系统信息安全等级保护工作进行监督、检查、指导。审核等级保护单位填写的《信息系统安全等级保护备案表》,并对各单位提出定级建议;
3、负责对通过审核的信息系统进行备案管理。建立档案,进行备案统计,并按照国家有关规定逐级上报;
4、负责监督、检查各单位信息系统安全保护状况。依据《信息安全等级保护管理办法》规定组织运营、使用单位定期对信息系统安全等级状况开展等级测评及自查工作。对测评及自查后发现问题的单位,下发整改通知,督促其制定整改方案,整改存在问题。必要时,对整改情况组织检查;
5、负责督促从事信息系统安全等级测评的机构履行《信息安全等级保护管理办法》规定的义务;
6、负责对信息系统备案通过审核、符合等级保护要求的单位颁发信息系统安全等级保护备案证明。
7、负责定期对等保单位安全员组织信息系统安全等级保护相关知识培训。
(二)信息系统等级保护单位:
按照国家相关法律法规的规定,要认真履行以下职责及义务:
1、负责落实本单位及下属单位开展信息系统安全等级保护工作;
2、在公安机关的指导下,负责对本单位的信息系统自定等级,如实填写《信息系统安全等级保护备案表》和定级报告,到公安机关办理备案手续。建立本单位信息系统等级保护工作领导小组,并及时向公安机关部门报告领导小组人员
变更调整情况;
3、负责落实本单位的信息系统安全等级保护措施。建立健全信息系统安全保护制度及措施,及时修订信息系统安全应急方案,积极配合公安机关对本单位信息系统安全等级状况开展测评,对测评后存在的问题及时出台整改措施进行整改;
4、负责如实向公安机关提供开展等级保护工作所需要的所有文档材料。
二、双方负有的安全责任
(一)网安支队
1、指导各单位落实信息系统安全保护制度,检查各单位等级保护工作开展情况,做好信息系统安全等级保护备案工作。
2、审查等保评测机构资质,指导做好测评工作,努力减少系统漏洞。
3、查办信息系统案件。
4、依据《信息安全等级保护管理办法》,组织各单位、部门定期开展信息系统等级测评工作。
(二)信息系统安全等级保护单位
信息系统安全等级保护单位及相关人员,在公安机关指导下开展本单位信息系统安全保护工作。
1、要指定专人负责,制定并落实等保人防措施,不断完
善等等保技术手段,确保信息系统平稳、安全运行。
2、配合公安机关组织开展的信息系统测评工作,根据测评情况及时认真实施整改。
3、制定信息系统应急预案,保证系统不间断运行。
4、及时向公安机关报告本系统发生的问题,协助公安机关的查处工作。
5、做好本单位等保宣传教育工作,确保信息系统安全。
三、本责任书未尽事宜,严格按照法律法规的规定执行。
本责任书自签字盖章后两年内有效,一式两份,双方各执一份。
网安支队领导签字:
(单位盖章) (单位盖章)
年 月 日 年 月 日
信息系统安全等级保护
单位领导签字:
写得觉得还好。