军工集团信息安全管理的实践与探索_军工集团信息安全
军工集团信息安全管理的实践与探索由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“军工集团信息安全”。
军工集团信息安全管理的实践与探索
李 笑 林王为
中国航天科工集团公司信息管理中心
摘要:本文在参考国内外信息安全管理标准和规章制度的基础上,结合本集团信息安全管理体系建设实践经验,从总体规划、组织体系、规章制度、日常监督管理等方面探讨军工集团的信息安全管理体系建设。关键词:军工集团信息安全管理
1.引言
信息安全保障体系的建设主要有两个方面:信息安全技术保障体系和信息安全管理体系。军工集团对信息系统的安全性有很高的要求,必须充分分析各类安全风险并采取技术措施解决,但同时由于信息安全管理中人是决定因素,因此仅靠先进的信息安全技术和产品并不能完全保障信息系统的安全,只有建立有效的信息安全管理体系,才能有效地降低安全风险,建立起长效机制。目前在集团公司内部,信息系统是由信息化管理部门负责规划、建设和维护的,本着“谁主管,谁负责”的原则,信息化管理部门承担了主要的信息安全工作,本文是在参考国内外信息安全管理标准和规章制度的基础上,结合日常工作实践经验,探讨军工集团的信息安全管理体系建设。
2.信息安全管理规划
信息安全工作首先应从总体规划开始,与信息化建设做到同步规划、同步设计、同步实施。我集团根据《国家信息化领导小组关于加强信息安全保障工作的意见》等有关部委的文件,从2000年起制定了一系列的规章制度,要求集团各成员单位在编制信息系统建设方案时就结合本单位实际情况,同步规划、设计涉密信息系统建设方案。在方案设计时就结合本单位实际情况进行安全风险分析,并确定技术措施,明确必须采用取得国家主管部门认可资质的信息安全产品。建设方案经集团公司批准后,各单位在系统建设中必须同步建设涉密信息系统的安全设计方案。在各单位信息系-1-
统正式运行前,都由上级单位信息化管理部门和保密部门共同到现场,从管理和技术两方面检查单位的信息安全管理制度是否完善和落实,技防、物防的各项措施是否到位,检查通过并由集团公司保密委员会批准后,系统才能正式运行。集团公司的信息化管理部门和保密部门每年均对各单位的信息系统进行远程或现场安全检查,并通报检查结果,要求发现问题的单位限期整改。信息系统的规划、建设、维护全过程都纳入集团信息安全管理体系,严格监督和管理。
3.组织体系
确定合适的安全组织机构能合理地协调各方面因素,实现安全组织的规范化、科学化,通过各级组织机构对集团成员单位的信息安全建设进行监督管理和检查指导,能统一规划全集团信息安全体系,保证安全策略有机整合,避免安全漏洞和重复投资。在部门之间,信息化管理部门在信息安全技术上主要负责,在安全管理上与本单位的保密部门、机要部门等相关部门协调合作,共同做好信息安全管理工作。
我集团设立了由集团副总经理担任组长的信息安全领导小组,和由信息化管理部门、保密部门和办公厅(机要管理部门)组成的信息安全办公室,具体负责集团公司的信息安全管理工作。各主要军品任务承担单位也相应成立了信息安全领导小组和办公室。在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员,从管理结构设计上保证人员权限互相监督、互相制约。
4.规章制度
设立合适的信息安全主管机构,确定职责分工,反映了企业在信息安全管理方面的决心。此后必须制定相应的规章制度、管理办法等,这反映了企业的信息安全策略,同时严格的安全管理制度可以保证各类人员正确执行信息安全策略,落实安全保密要求,减少人为因素影响。
由于我集团的高安全性、高保密性要求,信息化管理部门、保密部门、机要部门都根据国家部门的相关规章制度制订了多个关于信息安全的内部管理办法,包括人员岗位职责、涉密信息系统管理办法、移动存储介质管理办法等。为了加强对信息化建设过程中外部人员的监管,确保在各系统建设过程中,国家秘密不被非法窃取或无意泄露,集团公司还制订下发了《加强对外部技术支持人员保密管理的通知》,通知中规定了对外部人员的工作全过程监督,禁止外部工作人员单独在内网系统中进行各种操作,禁止外部工作人员接触涉密信息,监督人员填写工作记录,并由监督人员和
外部工作人员签字确认等要求。
目前国际上比较通用的信息安全管理参考资料是由英国标准协会(BSI)制定的信息安全管理体系标准BS-7799。它包括两部分,第一部分《信息安全管理实施规则》主要提供了综合的、由信息安全惯例组成的实施规则,其目的是作为确定企业信息系统在大多数情况下,所需控制范围的参考基准。第二部分《信息安全管理体系规范》详细说明了建立、实施和维护信息安全管理体系的要求,提出了应该如何建立信息安全管理体系的步骤,注重过程管理模式,建议公司将信息安全管理体系与其他管理体系进行整合,并持续改进其有效性。BS-7799标准总的来说并不完全适用于中国的军工集团,其考虑到标准的普遍适用性,所以在细节上并不明确,同时在保密方面要求较少,但其对信息安全管理体系的建立有一定的指导作用。我们计划参考BS-7799标准,根据国家各部门文件的精神、要求,结合本集团实际情况制订企业的信息安全战略,编写信息安全实施手册等文档。通过制定信息安全规章制度,编写各种层次的信息安全体系文件,构建信息安全管理体系框架。这是建立信息管理体系的重要基础性工作。主要包括如下几类文件:
(1)管理总则
总则是集团公司为满足安全需要而选择的控制目标和控制方式的说明性文件,在文件中主要明确公司的信息安全要求(包括风险评估、法律法规、业务三方面),选择控制目标与控制方式。管理总则是制定公司信息安全技术策略、管理策略,建立组织机构的依据。
(2)信息安全管理要求
管理要求主要是阐明集团公司的信息安全管理方针,描述信息安全管理体系的文件。在手册中包括信息安全方针的阐述、信息安全管理体系的范围、信息安全策略的描述、控制目标与控制方式的描述、关于手册修改与控制的规定等。企业员工可以通过信息安全管理手册明确公司在信息安全方面的要求。
(3)程序文件
信息安全管理程序主要有安全控制程序、管理与运作程序等,如数据备份、风险评估等工作任务,程序文件应描述信息安全管理各种工作任务的责任及相关活动,说明工作任务的目的、内容、负责人、时间、地点、要求等,是信息安全政策的支持性文件。程序文件中说明了企业不同工作岗位员工在信息安全方面的职责和工作。
(4)作业指导书
作业指导书是程序文件的支持性文件,描述如何完成某项工作任务的具体做法,包括规范、指南、操作流程等,是任务如何完成的具体指导。
(5)工作记录
工作记录是信息安全管理体系运行的证据,信息安全记录内容与格式应该符合各程序的实际并反映结果,应有追溯性,并可以进行审计分析。
(6)应急响应预案
应对企业面临的安全风险充分分析,制订信息安全应急响应预案,对可能发生的病毒流行、黑
客攻击等各种潜在威胁制订响应策略。
5.日常信息安全管理
由于信息安全的脆弱性,除了在系统设计上增加安全功能,完善系统的安全保密措施外,还应高度重视和加强提倡安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是信息安全所必须考虑的基本问题,我集团的日常信息安全管理主要基于以下三个原则。
(1)多人负责原则
集团公司信息管理中心设置网络系统管理员、数据库管理员、安全管理员和安全审计员,实行各岗位双岗制,负责集团总部计算机信息系统的安全管理工作。每一项与信息安全有关的活动,都必须有两人或多人在场。这些人都是经过保密部门审查,忠诚可靠,能胜任此项工作,每项日常工作都设立工作日志。以下是几项与安全有关的活动:
应用系统管理,包括数据备份、权限设置等; 信息系统硬件和软件的维护; 信息系统软件的设计、实现和修改; 重要程序和数据的删除和销毁等。
(2)任期有限原则
一般情况下,技术人员不长期担任与安全有关的职务,遵循任期有限原则。通过工作人员不定期地轮岗任职,实行休假制度,对工作人员进行轮流培训等,便于监督和管理。同时根据人员调动和解聘的情况,对工作调动和离职人员要及时调整相应的授权。
(3)职责分离原则
要求工作人员不要打听或参与职责以外的任何与系统权限、安全管理有关的事情,除非主管领导批准。出于对安全的考虑,下面每组内的两项工作均分开进行:
系统开发与系统管理; 系统管理与安全管理; 安全管理与审计; 介质使用与介质销毁等。
建立规章制度目的是减少企业组织对人为的依赖,并运用分工、合作的方法处理工作中出现的各种问题,提高工作效率。要实现管理制度的目的,使制度真正发挥作用,日常的管理、监督检查
是非常重要的。在日常信息安全管理工作中,以表格等形式建立各种工作记录,使信息安全工作有据可查、工作规范化。工作记录主要包括以下六类:
(1)信息安全工作日志,内容主要包括各安全设备的运行情况,维护升级等;
(2)审计工作日志,内容主要包括对各类日志的审计分析,对安全员工作的审计;
(3)安全风险评估记录;
(4)信息安全运行分析报告;
(5)安全事件处理记录;
(6)设备授权、更改记录单,如防火墙策略更改记录。
6.结语
在信息安全管理体系的建设过程中,规划是信息系统安全管理体系建立的基础保证,信息安全管理组织机构的建立是组织保障,规章制度是进行信息安全管理的指导原则,日常管理是保证制度执行的有效手段。人员是信息安全管理的核心,信息安全人员的管理和培训无疑是非常重要的,归根到底组织机构的建立、规章制度的建立和执行都是要靠人来完成的,提高全集团工作人员的信息安全意识是建立信息安全保障体系的重要工作。军工集团的信息安全管理是一个复杂的管理体系,必须不断根据文件要求和技术发展及时动态调整,并融入企业其他管理体系相融合,才能真正有效地建立企业信息安全保障体系。
参考文献
[1]《BS-7799 第一部分 信息安全管理实施规则:1999》(ISO/IEC 17799-2000)
[2]《BS-7799 第二部分 信息安全管理体系规范:1999》
[3]《ISO/IEC 21827-2001 系统安全工程能力成熟模型2.0b》
[4]《GB/T18336信息技术安全性评估准则》(ISO/IEC15408)
[5]《信息安全管理 全球最佳实务与实施指南》 孙强、陈伟、王东红等著,清华大学出版社,2004年10月
The Practice and Exploration of Information Security Management in Military Industrial Conglomerates
Abstract:
After consulting the information security management criteria and regulations both at home and abroad and summarizing the practice of information security management in the Conglomerate, the thesis intends to probe into the establishment of an information security management system in military industrial Conglomerates in terms of general planning, organization system, regulations and routine supervision.Key Words: military industrial Conglomerateinformation security management
第一作者简介:
姓名:李笑林年龄:55岁职务:副主任
工作单位:中国航天科工集团公司信息管理中心
联系电话:68370474电子邮件:li_xiaolin@casic.com.cn
作者简介:现在中国航天科工集团公司信息管理中心负责全集团信息化管理方面工作。
关于加强集团信息安全管理的重要通知长期以来,外部网络信息环境复杂,木马病毒及各类恶意软件泛滥,严重威胁信息平台的安全和健康运行,用户误入沟通陷阱、机密材料被篡改窃取、网......
海尔集团财务信息共享的实践与探索从国外信息系统的实践看,财务信息系统的应用有其必经的发展阶段。首先是作为一个单独的计算机化的系统的阶段,其次是信息系统的集成应用阶段......
企业安全精细化管理实践与探索摘要:安全管理是企业管理的重要一环,企业生产过程中必须注重安全。企业的生产活动不可能始终处于一帆风顺的状态,随时都有可能存在安全隐患。安全......
民办教育集团幼儿园管理的实践与探索上海协和教育中心幼教室赵霞协和教育中心(集团)建立于1993年,幼儿教育是协和中心办学过程中最早涉及的教育领域,至今已经拥有27个园所,在园幼......
北航论文民营军工企业文化与管理今年是新中国成立六十多周年,改革开放的风风雨雨走过了20多年,民营企业特殊条件下的产生,凌乱管理企业随着历史脚步的前行,已完成了历史使命。从......
