引言
自27号文发布以来,我国在等级保护与重要信息系统安 全管理、安全保密管理和信息安全应急保障等方面开展了大 量的工作。2008年,中华人民共和国国家质量监督检验检疫 总局、中国国家标准化管理委员会正式发布了《信息系统安 全等级保护基本要求》(GB/T 22239—2008)⋯,公安部、国家 保密局,国家密码管理局和国务院信息办等部门联合出台了 信息安全等级保护工作的实施意见和管理办法等相关文件, 大大加快了推进信息安全等级保护工作的开展。
《信息系统安全等级保护基本要求》作为信息安全合规性 测评的基本依据,为不同等级的信息系统的安全建设和运维
管理提出了技术和管理要求,本文从等级保护基本管理要求
出发,结合作者在北京市电子政务重要信息系统安全等级测 评的实际经验,在管理要求的机构、人员、制度.系统建设 和系统运维5个部分中分别选取一个要点进行研究分析,并 提出了相应的实施建议。其中,前三部分提出了建设完善的 安全机构、增强全体人员的安全意识、建立信息安全管理制 度体系,贯彻落实信息安全管理策略及各项安全管理规定的 安全要求;系统建设和运维部分覆盖了信息系统生命周期过 程,系统建设部分从系统定级,系统规划、方案设计和工程 实施等方面提出了基本的安全要求,系统运维包括物理环境、 网络与系统安全、变更管理、安全事件处置和应急保障等13 个安全管理要求,基本覆盖了各项日常运维活动(见图1)。
1 安全管理成功实施的关键
‘
收稿日期:2009一02—1 7
作者简介:周佑源。1 985年生,男,工程师,硕士,研究方 向:安全管理、系统安全测评;张晓梅.1 978年生,女,助 理研究员,硕士,研究方向:信息安全,系统安全测评。
66 f凹凹凹。cisma曩。@④嘶。@田
万方数据
信息安全管理作为一种较新的管理方式,既有传统管 理方式的特点,也融入了信息安全的特性,为了更好地建 立,运行和改进信息安全管理体系例,符合等级保护管理基 本要求,关键在于:
——提高人员信息安全意识。等级保护制度为安全管理
的实施提供了理论和政策依据,为了贯彻信息安全策略和落
学术研究
Acade睡案e Re5earc瞧,燃
实各项安全管理制度,需要全体人员不断提高信息安全意识,
才能获得领导层的承诺和实质性的支持,使全体人员积极参
与,将安全管理工作做为常态工作自发地开展。
安全管理机构 人员安伞管理
安全管理制度
川
·系统建设, 系统运维。
系统l I系统l I系统 I系统J I系统f
规划l I设计l I实施 I运维I l废弃I
信息系统生命周期
图l 等级保护安全管理要求框架
——全面实施安全管理。信息安全存在木桶理论,信息 安全的防护强度取决于“马奇诺防线”中最为薄弱的一环,任 何忽略的细小环节都可能导致严重的安全事件。为了提高最 短模板的长度,增加木桶的整体高度,安全管理应该覆盖到 所有开展的安全活动,全面地、动态地管理已部署的安全防 护措施,并对新业务和新技术引起的安全风险进行监控、评 估和必要的控制措施。
——依据等级保护管理标准“量体裁衣”。电子政务系统 作为政府机构信息公开,提供大众服务和处理业务的手段, 其安全防护重点与企业存在较大区别。在参考等级保护标准 实施安全管理过程中,不可照搬国外的安全管理标准和企业 实施的安全管理体系,应以实际安全需求为基础,充分考虑 业务需要和人员情况,确保建立的安全机构职责明晰,制定 的管理制度切实可行。
2安全管理实施要点分析
2.1建立完善的安全管理制度体系 安全管理制度(等级保护基本要求7.2.1节)内容包括安
全管理制度体系内容,编写发布和审核修订3个部分,关于 制度文档的发布和审核修订,可以依据各委办局已有的公文 管理规定和审批流程进行操作,但在安全管理制度文档体系 的建设中,由于缺少专业安全管理人员的指导,存在管理制 度未成体系、缺乏“量身定制”的安全方针,且已有安全管 理制度不能完全覆盖日常安全管理活动等问题。
为了建立完善的安全管理制度体系,结合国际通用的ISo
27000安全管理体系系列标准,首先应规划好文档体系,通用 的体系框架如图2所示。在规划好体系框架后,需要从信息系 统业务需求和安全要求出发制定安全策略,策略内容包括安全 目标、管理范围,重要保护资产和人员职责等,安全策略应力 求简洁明了,符合实际情况,且便于展开实施。
万方数据
图2安全管理文档体系框架
安全管理文档体系中的第二、三级文件是展开安全管理 活动的基础,在等级保护安全测评过程中,通常发现被测单 位的安全管理制度能覆盖到防病毒、密码使用和设备管理等 活动,未针对备份管理、变更管理、安全事件处置和安全预 案管理等编写管理制度,或者已经进行了相关安全活动,但 没有规范化和程序化的规定或操作手册。为了使安全管理制 度覆盖日常的安全管理活动,符合等级保护安全要求,需要 从人员安全,安全机构,安全建设和安全运维出发,详细参 考章节7.2.2—7.2.5的各条款,确定需补充制定的管理制度, 结合业务情况制定切实可行的管理制度。
2.2安全职责与人员岗位的融合 安全管理机构(等级保护基本要求7.2.2节)旨在建立完善
的安全组织机构,明确人员的安全职责和权限、完善安全沟通 机制和安全检查流程。关于建立安全机构、沟通机制和检查流 程,可以以单位的组织结构为基础,结合人员的日常职责,建 立安全领导小组、安全工作小组和安全事件响应小组等管理机 构。在政务系统等级测评的管理访谈中,通常发现无专职安全 管理员,安全职责难以落实到个人,安全管理活动不能作为常 态工作展开。政务系统主要是各委办局的信息中心负责建设和 运维管理,由于信息中心人员编制受限,中心通常没有设置专 职安全管理员岗位,而是分散到网络、主机和应用系统运维人 员的职责中,而运维人员更专注于设备和系统的正常运行,导 致安全管理活动难以系统地、持续地开展。为了使安全职责与 人员岗位更好地融合,应在合理设置安全管理机构的基础上, 结合人员工作职责和技术特长,设置安全管理员岗位,清晰安 全管理员职责,同时定义各运维人员的安全职责和义务,加强 人员安全意识和安全技能培训,使安全管理融入到日常工作 中。常见的安全管理机构框架如图3所示。(责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)