安全管理建设整改工作的内容和方法
发布时间:2012-09-05   作者:

按照国家有关规定,依据《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》等标准规范要求,开展信息系统安全管理建设整改工作(工作流程见下图)。
 
图:信息系统安全管理建设整改工作流程
图中的安全管理措施是按照一般工作顺序排列的,因此与《基本要求》安全管理要求部分的分类层次有所不同,但内容是一致的。
落实信息安全责任制
信息系统的运营使用单位可以建立统一的信息安全领导机构对本单位信息系统进行决策和管理,明确信息安全的主管领导,落实安全管理责任部门。如果单位内不同信息系统由不同的部门负责运行和维护,各信息系统应分别设立运行维护岗位并建立相关的人员管理制度,明确每个岗位和人员的职责与任务。
落实安全责任制的具体措施还应参照执行相关管理规定,例如在党政机关信息系统应执行《关于加强党政机关计算机信息系统安全和保密管理的若干规定》,其中要求“各级应当明确一名主要领导负责计算机信息系统安全和保密工作,指定一个工作机构具体负责计算机信息系统安全和保密综合管理。各部门内设机构应当指定一名信息安全保密员”。
信息系统安全管理现状分析
在开展信息系统安全管理建设整改之前,通过开展信息系统安全管理现状分析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。可参考以下步骤进行:
(一)分析信息系统现有安全管理体系
了解信息系统的安全组织管理架构、管理策略,安全管理部门设置情况,安全岗位和人员情况,安全管理制度的制定和落实情况等,掌握信息系统现有安全管理体系现状。
(二)分析信息系统安全管理差距
在开展信息系统安全管理建设整改之前,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全管理措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全管理方面存在的问题,形成安全管理建设整改的需求。
开展信息系统安全管理差距分析工作,主要依据《基本要求》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》。
(三)论证和确定安全管理需求
对安全管理建设整改需求进行评审论证,该项工作可与安全技术需求论证工作一并进行。
确定安全管理策略,制定安全管理制度
根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度,明确人员录用、离岗、考核、教育培训等管理内容;制定系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;制定系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容;制定定期检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。规范安全管理人员或操作人员的操作规程等,形成安全管理体系(如下图所示)。
 
图 安全管理体系
安全管理体系规划的核心思想是调整原有管理模式和管理策略,既从全局高度考虑为整个信息系统制定安全管理目标和统一的安全管理策略,又要从每个定级系统的实际等级、实际需求出发,选择和调整具体的安全管理措施,最后形成统一的系统整体安全管理体系。
落实安全管理措施
(一)人员安全管理
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相关权限等措施。
只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
具体依据标准《基本要求》中人员安全管理,同时可以参照《信息系统安全管理要求》等。
(二)系统运维管理
1、环境和资产安全管理
环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。
资产包括介质、设备、设施、数据、软件、文档等,资产管理不等同于设备物资管理,而是从安全和信息系统角度对资产进行管理,将资产作为信息系统的组成部分,按其在信息系统中的作用进行管理。应明确资产安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。
2、设备和介质安全管理
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。
3、日常运行维护
明确网络、系统日常运行维护的责任部门或责任人,对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理;制订设备操作管理、业务应用操作管理、变更控制和重用管理、信息交换管理相应的管理制度;制定与信息系统安全管理相配套的规范和操作规程并落实执行;正确实施为信息系统可靠运行而采取的各种检测、监控、审计、分析、备份及容错等方法和措施,对运行安全进行监督检查。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。
4、集中安全管理
第三级以上信息系统应按照统一的安全策略、安全管理要求,统一管理信息系统的安全运行,进行安全机制的配置与管理,对设备安全配置、恶意代码、补丁升级、安全审计等进行管理,对与安全有关的信息进行汇集与分析,对安全机制进行集中管理。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。
5、事件处置与应急响应
按照国家有关标准规定,确定信息安全事件的等级。结合信息系统安全保护等级,制定信息安全事件分级应急处置预案,明确应急处置策略,落实应急指挥部门、执行部门和技术支撑部门,建立应急协调机制。落实安全事件报告制度,第三级以上信息系统发生较大、重大、特别重大安全事件时,运营使用单位按照相应预案开展应急处置,并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍,按照应急预案定期组织开展应急演练。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息安全事件分类分级指南》和《信息安全事件管理指南》等。
6、灾难备份
要对第三级以上信息系统采取灾难备份措施,防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等,制定数据的备份策略和恢复策略,建立备份与恢复管理相关的安全管理制度。
具体依据标准《基本要求》中系统运维管理和《信息系统灾难恢复规范》。
7、安全监测
开展信息系统实时安全监测,实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警,及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件,以便及时对安全事件进行响应与处置。
具体依据标准《基本要求》中系统运维管理。
8、其他
对系统运行维护过程中的其它活动,如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定,对信息系统中密码算法和密钥的使用进行分级管理。
(三)系统建设管理
系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。
具体依据标准《基本要求》中系统建设管理。
安全检查与调整
制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况,并不断完善。定期对信息系统安全状况进行自查,第三级信息系统每年自查一次,第四级信息系统每半年自查一次。经自查,信息系统安全状况未达到安全保护等级要求的,应当进一步开展整改。
具体依据标准《基本要求》中安全管理机构,同时可以参照《信息系统安全管理要求》等。

文章来源:
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号