怎樣規(guī)范信息系統(tǒng)管理，可以從不同角度出發(fā)，比如ITIL，就是從提高服務(wù)質(zhì)量的角度出發(fā)來規(guī)范化管理的，而如果要從安全的角度出發(fā)，參照國家相關(guān)安全等級保護規(guī)范來規(guī)范化信息系統(tǒng)管理就是一種行之有效的辦法，它既可以保障信息系統(tǒng)的適度安全，又可以為信息系統(tǒng)通過安全等級保護測評做好準(zhǔn)備，本文就是在我單位某個信息系統(tǒng)通過三級安全等級保護測評時建立管理制度的經(jīng)驗的基礎(chǔ)上寫成。大家在建立自己的信息系統(tǒng)管理制度時，切記要結(jié)合本單位的實際情況，才能建立切實可行的管理制度。

　　信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力，通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)。安全管理上的安全控制分別從安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面對信息系統(tǒng)的運行和資源實施管理，信息系統(tǒng)建設(shè)也是圍繞這幾方面進行。

　　一、安全管理機構(gòu)

　　安全管理機構(gòu)的建設(shè)要對信息安全職能部門的組織機構(gòu)和人員職責(zé)進行優(yōu)化和明確，為信息系統(tǒng)的安全管理工作提供有效可行的組織和人員支持；要建立有關(guān)部門之間的信息安全工作協(xié)調(diào)機制，保證信息安全工作的實施，在安全事件發(fā)生時能協(xié)調(diào)配合及時做出響應(yīng)。

　　結(jié)合單位實際情況，我們建立了主要有決策層、管理層、執(zhí)行層三個層次組成的信息安全管理機構(gòu)。決策層主要負責(zé)審核和批準(zhǔn)信息安全總體方針和信息安全規(guī)劃，審核和認可本單位信息安全措施的完備性和合理性，對信息安全的宏觀問題進行決策。實際上它并不完全是針對某個信息系統(tǒng)安全管理建設(shè)的，它要對單位所有信息系統(tǒng)負責(zé)。

　　管理層主要負責(zé)制定和發(fā)布信息安全管理制度和信息安全規(guī)劃，協(xié)調(diào)信息安全工作中各項需要跨部門執(zhí)行的事務(wù)，監(jiān)督、控制和檢查信息安全管理制度的落實情況。管理層配備有信息系統(tǒng)安全主管，具體負責(zé)信息系統(tǒng)的安全管理工作。

　　執(zhí)行層由系統(tǒng)維護人員和信息安全專職人員等具體執(zhí)行人員組成，負責(zé)信息安全工作的具體實施和執(zhí)行。針對安全等級保護的要求，配備有系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員，并結(jié)合信息系統(tǒng)管理實際需要，還配備了機房管理員、安全審計員、數(shù)據(jù)庫管理員、資產(chǎn)管理員等。在人員配備方面需要注意的是安全等級保護要求應(yīng)配備專職安全管理員，不可兼任。

　　在信息安全管理機構(gòu)建設(shè)的基礎(chǔ)上，要明確信息安全管理機構(gòu)中各級組織和各個崗位的信息安全職責(zé)。應(yīng)明確授權(quán)和審批事項、部門、人員及相關(guān)流程，規(guī)范過程文檔。對與供應(yīng)商、外部相關(guān)安全機構(gòu)、上級主管部門等的聯(lián)系、溝通合作要進行規(guī)范管理。根據(jù)等級保護對審核和檢查的要求，結(jié)合國家信息安全主管部門每年發(fā)布的政府信息系統(tǒng)安全檢查指南明確信息系統(tǒng)的安全檢查管理，對自查、常規(guī)檢查、年度安全大檢查都有明確要求。在常規(guī)檢查中規(guī)定安全管理員負責(zé)檢查系統(tǒng)日常運行、用戶賬號、系統(tǒng)漏洞、數(shù)據(jù)備份和系統(tǒng)審計等。信息安全管理部門要組織相關(guān)人員定期分析、評審異常行為的審計記錄，發(fā)現(xiàn)可疑行為，形成審計分析報告，并采取必要的應(yīng)對措施。在年度信息安全檢查中要對現(xiàn)有資產(chǎn)的具體情況，網(wǎng)絡(luò)設(shè)備、主機設(shè)備和安全設(shè)備的當(dāng)前配置情況進行檢查。根據(jù)當(dāng)前情況分析當(dāng)前的安全狀況， 了解安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。

　　二、安全管理制度

　　等級保護對安全管理制度方面的要求主要體現(xiàn)在一是要建立安全管理制度體系，提出包括“保持適度安全、管理與技術(shù)并重、全員參與、最小特權(quán)”等內(nèi)容在內(nèi)的總體安全方針，制訂總體安全策略。對安全管理制度應(yīng)包含的內(nèi)容進行規(guī)范，如要求包含：信息安全組織機構(gòu)和崗位職責(zé)、人員管理制度、機房安全管理制度、數(shù)據(jù)備份管理制度、業(yè)務(wù)連續(xù)性管理制度、計算機終端管理制度、應(yīng)用系統(tǒng)日常操作安全管理制度、網(wǎng)絡(luò)設(shè)備日常操作安全管理制度、安全設(shè)備日常操作管理制度等方面內(nèi)容。二是對管理制度本身進行規(guī)范管理，如制度制訂和發(fā)布過程中制度的格式、版本控制、發(fā)布范圍等，制度評審和修訂過程中評審牽頭部門、評審周期等。

　　三、人員安全管理

　　計算機信息系統(tǒng)的安全運行依靠系統(tǒng)安全管理人員的安全管理，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應(yīng)加強人員安全管理制度建設(shè)。

　　人員安全管理主要包含下列方面：人員錄用、離崗、考核、教育和培訓(xùn)以及外部人員訪問管理。按等級保護要求在人員錄用時除對人員的專業(yè)水平及資質(zhì)資格按崗位要求進行審核外，還應(yīng)簽署崗位安全協(xié)議。而人員離崗時除收回權(quán)限、證件外還要在保密承諾文檔簽字后才能辦理離崗手續(xù)。在人員日常工作過程中要按照培訓(xùn)計劃定期對信息系統(tǒng)各個關(guān)鍵崗位人員進行信息安全教育和技能培訓(xùn)，并每年進行考核。在外部人員需要訪問機房時首先填寫《外部人員訪問申請審批單》進行審批，通過審批后填寫《第三方人員進入機房登記表》登記后才可進入機房。

　　四、系統(tǒng)建設(shè)管理

　　從信息系統(tǒng)等級保護角度看，系統(tǒng)建設(shè)管理方面的要求很多，主要集中在以下幾方面：系統(tǒng)定級、備案、自查、等級測評；系統(tǒng)安全方案設(shè)計、軟件開發(fā)、工程實施、系統(tǒng)測試及驗收交付；產(chǎn)品采購和安全服務(wù)商的選擇等方面。

　　信息系統(tǒng)的定級、測評、備案和變更管理應(yīng)按照《信息安全等級保護管理辦法》(公通字[2007]43號)和《信息系統(tǒng)安全等級保護定級指南》的要求進行。

　　系統(tǒng)的安全方案設(shè)計應(yīng)根據(jù)系統(tǒng)的安全保護等級選擇基本安全措施，并依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施，根據(jù)系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細設(shè)計方案。在系統(tǒng)實施的各個階段中要始終堅持貫徹信息系統(tǒng)安全工程(ISSE)的原則，以確保相應(yīng)的安全控制和保障機制貫穿于系統(tǒng)開發(fā)生命周期的過程中。

　　在產(chǎn)品采購和安全服務(wù)商的選擇方面應(yīng)注意優(yōu)先采購自主可控的信息安全設(shè)備、核心網(wǎng)絡(luò)設(shè)備、基礎(chǔ)軟件、系統(tǒng)軟件和業(yè)務(wù)應(yīng)用軟件等關(guān)鍵產(chǎn)品，以確保信息系統(tǒng)的安全可控。安全產(chǎn)品要有通過國家認定的信息安全產(chǎn)品檢測實驗室的檢測證明，以及計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證，商用密碼應(yīng)符合《信息安全等級保護商用密碼管理辦法》的有關(guān)要求。信息安全服務(wù)商應(yīng)選擇有相應(yīng)資質(zhì)并符合國家法律法規(guī)和政策規(guī)定條件的廠商，必要時應(yīng)請國家有關(guān)部門進行安全審查，并報組織決策層批準(zhǔn)。

　　五、系統(tǒng)運維管理

　　按照等級保護的要求，系統(tǒng)運維管理包含了信息系統(tǒng)日常運維的各個方面，有環(huán)境及硬件方面的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理，有系統(tǒng)方面的運行狀態(tài)監(jiān)控、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范以及備份與恢復(fù)管理，還有管理流程方面的變更管理、安全事件處置以及應(yīng)急預(yù)案管理。這些管理制度的建設(shè)既要滿足等級保護的要求，也要可行、有效，還要注意按照等級保護中的詳細要求建立規(guī)范的記錄文檔。比如，在環(huán)境管理中要建立機房管理日志并規(guī)定監(jiān)視內(nèi)容及巡檢周期；資產(chǎn)管理要建立信息系統(tǒng)資產(chǎn)清單；監(jiān)控管理要規(guī)定監(jiān)控內(nèi)容、監(jiān)控記錄，監(jiān)控周期，還要定期形成分析報告；數(shù)據(jù)備份和恢復(fù)要建設(shè)數(shù)據(jù)備份和恢復(fù)策略文檔，要有定期備份系統(tǒng)清單。

　　總之，根據(jù)等級保護對信息系統(tǒng)的要求，結(jié)合單位實際情況，將之細化為實際工作中的管理辦法、操作規(guī)程，建設(shè)行之有效的安全管理制度，才能夠?qū)崿F(xiàn)信息系統(tǒng)的適度安全。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：從安全等級保護角度看信息系統(tǒng)制度建設(shè)

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112184546.html