規範資訊系統安全管理重要性及實施措施

2021-08-18 05:26:03 字數 4599 閱讀 4313

隨著科學技術的發展,資訊系統不斷的進步,在帶給我們給你更多便捷的同時,資訊系統面對的安全威脅也越來越多。面對日益嚴峻的安全環境,國家逐步出台了對於資訊系統的等級保護定級、測評的相關規定,用以保護資訊系統的安全,降低其所面臨的風險。比如,如何對資訊系統進行規劃和管理,如何保證其正常執行的相關規定和措施,出現故障後的應急方案如何制定等。

根據在實際情況中所遇到問題,遵循對問題進行分析、思考、實踐、改善這一系列研究過程,發現規範化管理對提高系統執行的可用性和連續性有著至關重要的意義。本文將結合筆者對資訊保安等級保護的理解闡述資訊系統安全管理的重要性,並結合等級保護的具體測評專案制定一些相應的自查自檢措施。

規範化管理是乙個系統工程,要使這個系統工程正常工作,實現高效率、高質量,就需要運用科學的方法、手段和原理,按照一定的運營框架,對各項管理要素進行系統的規範化、程式化、標準化設計,然後形成有效的管理運營機制。

根據資訊系統在****、經濟建設、社會生活中的重要程度,以及受到破壞後對受侵害客體的損害程度,對資訊系統的組織管理與業務結構實行分域、分層、分類、分級實施保護,保障資訊保安和系統安全正常執行,維護國家利益、社會秩序、社會公共利益以及公民法人和其他組織的合法權益。

資訊保安等級保護制度的主要內容是什麼?

對國家秘密資訊、法人和其他組織及公民的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生的資訊保安事件分等級響應、處置。

資訊系統的管理規範化,需要依據管理者對於等級保護工作內容的理解,結合等級保護要求設計管理的規範框架或流程,形成統

一、規範和相對穩定的管理體系,並在管理工作中按照這些組織框架和流程進行實施,以期達到管理動作的井然有序和協調高效。

資訊系統的規範化管理是建立在自身管理規範化的基礎上,依照自身的運維流程對系統進行建設和管理,解決內部管理中的許可權下發與許可權集中;要求對整個系統的流程形成制度化、流程化、標準化、表單化以及資料化。通過這種規範化的建設,使自身常規的事件納入制度化、資料化、流程化的管理,以形成統

一、規範和相對穩定的管理體系,以此提高工作質量和工作效率,達到保障資訊系統正常執行的目的。

1. 資訊系統規範化管理的內容

規範化管理在資訊系統的運作上涉及到多個方面:專案規劃與決策程式、組織機構、業務流程、部門和崗位設定、規章制度和管理控制等方面;規範化的內容簡單地說就是:制度化、流程化、標準化、表單化、資料化。

● 流程的規範化

資訊系統涉及的各個部門內部都有各自的管理辦法,但對於部門之間的銜接卻很難有較好的管控方法,所以,越是界定部門之間的權責,問題就越多。這時就需要對自身運維流程進行明確,使部門納入到流程中,成為流程中的乙個結點;流程一般包括崗位工作流程、系統業務流程、機構組織流程;在進行流程規範化的時候,必須先明確自身的職責和目標、識別流程及其現狀,然後確定各個流程,並對流程進行科學的規劃和設計。

● 組織結構的規範化

組織結構是關於資訊系統在運維過程中涉及的目標、任務、權責、操作以及相互關係的系統。具體內容包括:各部門之間的結構、崗位設定、崗位職責以及崗位描述等。

目的在於協調好部門與部門之間、人員與任務之間的關係,使管理人員自己在管理過程中清楚應有的權、責、利,以及工作形式、考核標準,有效地保證組織活動開展,最終保證組織目標實現。

組織結構規範化強調組織架構的設計,應該建立在系統思考的基礎上。各部門和崗位,都必須從系統的角度出發,對應於自身的目標來界定自己工作的內容、標準和要求,以及所能支配的資源,使之按照既定要求和標準,對所獲得的資源的配置方式進行選擇,行使決策權力,並承擔相應決策的責任。

● 規章制度的規範化

管理制度是規範化管理的有效工具,可以對各個部門、崗位和員工的執行準則進行很好的界定,它能夠使整個測評機構的管理體系更加規範,是每個員工的行為受到合理的約束與激勵。其主要內容包括:管理體系的規範化、行為準則界定的規範化、績效管理標準的規範化、違規行為處罰的規範化等。

● 資料資訊體系的規範化

從有利於資訊化、有利於資訊共享、有利於減輕負擔出發,根據新流程、新制度的要求,按照格式模板統

一、填寫標準統

一、資料共享及歸檔要求統

一、檢查指導要求統

一、評分考核要求統

一、績效兌現要求統一的標準,完善記錄、報表,完善內部共享資料資料庫,推進基礎資料資訊化管理,推進流程關鍵點的過程控制,為量化考核、追溯責任和績效考核提供依據。

● 管理控制的規範化

資訊系統的越來越複雜,作為管理者對系統的管理難度就越大。這就需要管理者有一套有效的管理控制系統,管理者可以通過這套規範化的系統,對自身的生產系統、管理人員、技術開發等模組進行有效的管理和控制,來實現管理者的意圖。

一、 資訊系統管理自查自檢措施

內控自查工作不僅是構成資訊系統內控管理體系的重要組成部分,也是監督審計的重要手段之一。自查工作是各業務部門依據業務流程對處理相關業務活動、流程、及設施的現場自查。開展自查工作的目的是保證資訊系統的服務質量。

通過內控自查流程,將資訊系統所面臨的風險控制在最初階段,有效的降低資訊系統所面臨的風險。通過內控自查工作,將服務質量控制活動落實到每個運維人員中去,使我局員工充分認識到加強內控管理的重要性,不斷完善我局內部控制體系建設,強化內控管理執行行為,提高管理水平,促進各項業務穩健執行。

二、 資訊資產自查計畫

1. 檢查人員

2. 檢查時間

每個月的第一周:各部門編輯部門負責維護系統的自查計畫,並由部門負責人簽字審批;

每個月的第二週: 資訊科技局安全崗負責編制整合全面的自查計畫,並由資訊科技局負責人簽字審批後展開全面自查工作;

每個月的第三週:編制、審核本月的檢查報告,並由資訊科技局負責人審查完畢後進行存檔。

3. 檢查流程

具體檢查流程如下圖所示:

4. 檢查範圍

1)檢查範圍包括執行環境檢查、執行裝置安全檢查、系統執行管理檢查、網路系統對外連線情況檢查等用於生產經營和業務管理活動的計算機系統檢查;

2)執行環境檢查包括,但不限於:

● 防火報警裝置、滅火裝置等消防系統是否有效;

● 各類報警和監視裝置是否有效,機房的接地系統、防靜電措施、防雷擊措施是否有效;

● 裝置是否亂丟亂放;

● 工作人員飲水、用餐等是否危及計算機裝置安全;

● 門禁、監控系統是否正常執行;

● 介質分類、介質存放、監控報警系統等是否正常合理;

● 機房溫度和濕度的控制、機房防水防潮的控制是否合理等;

3)系統執行管理檢查包括,但不限於:

計算機工作日誌是否正確記錄執行維護情況;

桌面系統是否執行無關軟體;

系統管理員離職、離崗時,計算機應用系統裝置台賬移交是否合規;

密碼長度是否少於6個不含空格的字元;

將含有敏感資料資訊的文件或儲存載體帶離銀行時,是否得到管理層授權批准,並進行登記。

所有含有敏感資料資訊的文件或儲存載體是否鎖在專門的防火檔案櫃或保險櫃內;

銷毀存於電腦儲存載體(如磁帶等)上的電子資料,是否用物理破壞的方式進行。

4)執行裝置安全檢查包括,但不限於:

計算機裝置是否保持整齊清潔;

生產裝置是否由資訊科技部會同庶務部購買;

是否定期進行安全漏洞掃瞄,分析漏洞威脅並採取相關措施;

計算機應用系統裝置台賬記錄是否準確無誤。

5)網路系統對外連線情況檢查包括,但不限於:

是否採用物理隔離措施隔離我局業務網和網際網路;

是否按照標準規範的要求隔離業務網與網際網路;

是否採取措施禁止網路內的計算機以撥號方式接入網際網路;

是否使用單獨的網路裝置連線外聯網。

6)管理制度、機構、人員、建設和運維的檢查包括,但不限於:

安全管理制度的制定頒發、評審和修訂是否符合標準;

安全人員崗位職責分配是否合理;

各部門和崗位的是否明確授權審批事項;

與外聯單位是否建立嚴格的溝通合作關係;

是否對系統日常執行、系統漏洞和資料備份等情況定期審核和檢查;

人員的錄用、離崗、考核和安全意識的培訓是否嚴格規範;

是否嚴格控制外部人員的訪問;

系統定級是否符合標準;

安全方案的設計、審批和修訂是否合理;

產品採購和使用、軟體開發、工程實施、測試驗收、系統交付、系統備案等是否符合國家的有關規定,是否建立詳細的流程。

是否按照國家規定定期對資訊系統進行測評;

是否確保安全服務商的選擇符合國家的有關規定;

是否制定詳細的資訊資產清單,並進行分類標識管理。

三、 實施過程中需要注意的問題

1. 規範化管理不是死板的管理

這個世界上找不到放之四海而皆準的規範化管理模板,因為實際和理論之間需要匹配,理論只是乙個框架,框架中的具體內容需要實際情況來填充。而實際中不同機構的具體情況不一,所以具體內容也就不一樣。因此,引入規範化管理系統後,管理者應注重系統的完善、優化和創新。

要把規範化管理的「普遍規律」與各自的「特殊情況」有機的結合起來。

2. 規範化不能隨心所欲

規範化管理的基礎概念是規範,規範為人們提供了相對穩定、可以**、可以期待的工作與生活環境,從而為內部人員之間、機構與外部的協作提供了基礎。規範意味著不能隨心所欲,要保證其有效的執行,不被干擾。

通過對資訊系統這幾個方面進行的規範化,最終使得自身的決策程式化、考核定量化、組織系統化、權責明晰化、獎懲有據化、目標計畫化、業務流程化、措施具體化、行為標準化、控制過程化。以此為基礎,結合對於資訊保安等級保護的不斷深入的了解,收集日常運維管理的經驗,就能夠不斷的解決我們在管理過程中出現的問題,提高系統管理的能力和水平。

資訊系統安全管理制度

第一章總則 第一條為保證本單位資訊系統的作業系統和資料庫系統的安全,根據 中華人民共和國計算機資訊系統安全保護條例 結合本單位系統建設實際情況,特制定本制度。第二條本制度適用於本單位xx部門及所有系統使用部門和人員。第三條 xx部門是本單位系統管理的責任主體,負責組織單位系統的維護和管理。第二章系統...

資訊系統安全管理制度

為進一步規範公司管理,防範企業涉密資料以及涉密資料外洩,經過公司研究決定,從即日起,規範相關關鍵資訊 賬戶的管理。公司根據現在公司的管理需求,統一收回所有公司資訊管理賬號,集中管理,專人保管。各個部門如要使用可填寫賬戶使用申請單。具體管理辦法如下 第一章總則 第一條為加強公司使用者賬號管理,規範使用...

資訊系統安全運維管理平台建設研究

第 卷第 期 年 月 軟體工程師 文章編號 資訊系統安全運維管理平台建設研究 張先哲 河南牧業經濟學院計算機應用系,河南鄭州 摘要 為提高資訊化運維水平,建設一套安全運維管理平台勢在必行。通過對 基礎設施與應用系統的集中監控,對安全事件 問題 變更 配置等運維服務進行集中處理,全面提公升資訊保安保障...