|
企业实施信息安全保障体系的探索和实践 Explorationand Practice of Enterprise Information Security Assurance System 罗余作 LUO Yu-zuo (江西中烟井冈山卷烟厂,吉安 343100) (China Tobacco JiangxiIndustrial LLC Jinggangshan Cigarettes Factory,Ji'an 343100,China) 摘要:现代企业的生存与发展高度依赖网络信息系统支持,确保网络的通畅、信息系统安全可靠就显得尤其重要。本文从信息安全综合治理战略理念出发,结合当前企业IT运维管理现状和安全风险防范的新思路、新方法,从组织体系、制度体系和技术体系三个层面论述建立和实施信息系统安全运行治理防控保障体系,实现信息系统可持续改进运行。 Abstract: The survival and development ofmodern enterprise is highly dependent on the network information systemsupport, so it is particularly important to ensure unobstructed network andsafe and reliable information system. Based on the concept of informationsecurity comprehensive management strategy, and combined with the currententerprise IT operations management present situation and the new ideas and newmethods of safety risk prevention, this paper discusses the establishment andimplementation of information system security prevention and control systemfrom the organization system, institutional system and technology system, so asto realize sustainable improvement of information system. 关键词:信息安全;保障体系;IT Key words: information security;assurance system;IT 中图分类号:TP309 文献标识码:A 文章编号:1006-4311(2016)15-0051-02 1 综合治理信息安全的战略背景 IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC27001通过PDCA过程,指导企业如何建立可持续改进的体系。 目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。 如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。 2 建立和实施信息安全保障体系思路和方法 针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。 2.1 建立和推行目标管理 体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。 基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。 网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。 IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。 业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。 从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。 根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。 从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。 2.2 规划融合信息安全保障体系 通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。 ①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。 ②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。 其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践 面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。 参考文献: [1]徐茂智 雏维.信息安全概论[M].人民邮电出版社,2007. [2]赵磊,孙海星.信息安全保障体系设计方法的研究[J].工业技术创新,2015,2(1). [3]张同光.信息安全技术实用教程[M].电子出版社,2008.
注:此文于2016-05-28发表在《价值工程》期刊第23期。 2017年11月21日,中国烟草学会在北京举行年度学术年会。 围绕“坚持稳中求进总基调、争创稳中向好新作为”的行业重点任务,2017年中国烟草学会评选出538篇优秀论文,涉及企业管理类的优秀论文有135篇,其中一等奖23篇,二等奖46篇,三等奖66篇。本人论文《企业实施信息安全保障体系的探索和实践》荣获三等奖。
注:图片来源于网络和作品。
作者简介:罗余作,男,汉族,1965年11月出生,江西吉安永和人,中共党员,高级工程师,网络与信息管理师,吉安市制造业信息化指导专家,中国知名专家学者。1982年考入江西工业大学(今南昌大学)学习。1986年8月参加工作,长期从事设备技术、网络与信息技术和企业管理实践。现任某央企信息部门主任。
职场上主要擅长机械自动化、电子信息化、管理标准化和企业文化等专业领域的探索与实践,有十多项科技和创新成果、技术改造项目成果、技术改正重大成果荣获省部级和市级表彰,主要作品有专业论著、科技论文、讲义(课件)、调研(技术)报告、案例、QC成果、科技创新成果。在国内重要学术期刊、交流会议和网络媒体上发表论文50余篇。
业余爱好旅游、体育、写作、摄影。主要作品有文学杂文、小说、评论、散文、游记、诗词、格言(语录)、评论、新闻及摄影。在报刊媒体发表新文学作品300余篇。在《中国作家文库》等各类书籍、报刊和文学网发表作品500余篇。其中50多篇作品应邀参赛获奖,曾荣获“中国当代实力派作家”、“中国诗词家”和“当代百强才子”等荣誉的称号。个人辞条已编入《走进大家》、《中国知名专家学者辞典》、《世界优秀专家人才名典》、《百度百科》、《世界名人录》等大型文献。目前参与全国科监委行业发展战略委员会、全国品牌委行业调查委员会、全国高科技创新品牌产业发展研究课题组、中国通俗文艺研究会,中国作家(交流)协会等十多个学会团体活动。
作者自述:我的业余只想静守自己的内心,做岁月里的宁静人。平时业余喜欢随笔写点人生经历和感悟文字,用以调理白天强于工科的头脑。记得在我40岁生日那天,一位朋友给我发过一条短信:“你,一口气在人生的跑道上跑了N圈。今天,又到了起跑点。累了吧?休息一下吧。明天你又将开始新的一圈。而我,将一如既往的站在跑道边为你呐喊助威。”我回复朋友说:人生是一场自我完善的修行,所有的经历,无论悲喜,都为塑造更完美的自己,待那时,即使青春不再,年华已逝,也终究会遇见最美的自己。如果把人生比作一次旅行,降生人世,我们就坐上了生命的时光列车。如果按生命83年计,我们的人生时光也就只有3万天。可是,仔细想想,我们会发现,这些日子,我们没有多少是属于自己的豪迈之行。感念之余,我回顾了过去,检讨了自己。认定了两点体会:一是要把人生奉献给那些永恒不变的事物,因为生命的伟大用途,是要把它花费在比本身寿命更为长久的事物上面。二是要决心为年岁增添生命,因为思想得最多,感受到最高尚的东西,做出最佳行为的人,生活得最丰富。 |
|
|
