万云保 余江
【摘要】 随着等级保护建设整改工作的深入,建立规范、高效、安全的信息系统运行维护和管理体系,将等级保护中的管理制度与本单位自身的安全生产、班组文化等制度结合,能够更全面的提高电力调度系统运维管理层次,实现信息系统、数据资源集成整合和综合高效利用,支撑实现电力调度的信息化发展目标。
【关键词】 等级保护 电力调度 管理制度
引言
我单位开展了信息安全等级保护安全建设整改、等级测评等工作。然而,随着整改进程的深入,建立规范、高效、安全的信息系统运行维护和管理体系,如何将等级保护中的管理制度与本单位自身的安全生产、班组文化等制度结合,给管理工作带来了新的挑战,通过建立等级保护管理制度体系能够更全面的提高电力调度系统运维管理层次,实现信息系统、数据资源集成整合和综合高效利用,支撑实现电力调度的信息化发展目标。本文结合笔者在信息安全管理中的实践和理解,对等级保护管理体系在工作中的应用提出一些个人的想法,供读者借鉴。
一、建立等级保护制度体系目的和意义
为更好的提高信息安全保障能力和水平,依据《信息安全等级保护管理办法》(公通字[2007]43号)、国家电网公司《信息系统安全等级保护建设的实施指导意见》(信息运安[2009]27号)、《SG186工程信息系统安全等级保护验收标准(试行)》(信息运安[2009]44号)、《关于加强电力二次系统安全防护和等级保护工作的通知》(调自〔2012〕65号)等要求。进一步加强电力调度系统重要信息系统的安全保护,落实国网公司关于信息安全等级保护和安全防护体系建设的总体要求,我单位开展了信息安全等级测评和整 改工作。
二、等级保护管理制度体系分析
等级保护管理制度体系提供了对组织机构中信息系统全生存周期过程实施符合安全等级责任要求的管理,包括落实安全管理机构及人员,明确角色与职责,制定安全规划、开发安全策略、实施风险管理、进行监控、检查,处理安全事件等,具体落实在要求则体现在等级保护测评指标中,等级保护管理要求如图1所示。
三、等级保护管理体系建设实践
在具体落实管理体系过程中,应结合原有的信息化管理制度,贯彻建立管理制度文件层级化和流程化管理概念,将方针策略、管理制度、操作规程和记录表单等文件科学的管理运作;将信息化安全管理方针策略定义为一层策略文件;将沟通管理、信息化人员管理、授权与审批管理、文件规范性管理、介质管理、资产管理、网络管理、系统管理、安全事件与应急管理、备份与恢复管理等方面定义为二层制度文件,落实一层文件中涉及的各方面运维和安全管理内容;将信息化运维管理的操作指导规范等定义为三层流程文件,支撑二层制度文件的具体操作;将所有信息化运维相关的表格定义为四层表格文件,落实并规范化所有运维操作,融合和动态的管理当前使用的管理制度体系结构,如图2所示。
3.1安全管理的原则
1)基于安全需求原则:组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
2)主要领导负责原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;
3)全员参与原则:信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
4)持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的分布变化,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系;
5)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。
3.2管理制度体系框架构建
3.2.1工作目标
建立安全管理组织并落实各个部门信息安全责任人,明确组织内各机构人员责任和工作职能,确定信息安全管理体系方针策略,编制形成信息安全方针策略文件。
3.2.2建立信息安全管理组织
(1)建立信息安全管理组织架构
信息安全领导机构:供电公司信息化领导小组,主要负责对单位信息安全制定总体安全策略、监督和协调各项安全措施在单位的执行情况、设立落实信息安全责任。由供电公司分管领导担任组长,小组成员为各个部门负责人组成。
(2)明确各相关机构和岗位角色的责任和职能
建立相应的职责文件,明确各相应领导、部门、岗位的职责。调度通信中心应设立信息安全工作的各关键岗位,如安全管理员、网络管理员、操作系统管理员和数据库管理员等,并将之与班组人员结合,并重视信息化人员的培养。
3.2.3确定安全管理总体方针策略
安全管理方针策略是为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。同时,还是进一步制定控制规则、安全程序的必要基础。应当目的明确、内容清楚,能广泛地被组织成员接受与遵守,且要有足够灵活性、适应性,能涵盖较大范围内的各种数据、活动和资源。可以使员工了解与自己相关的信息安全保护责任,强调安全对组织业务目标的实现、业务活动持续运营的重要性。
安全方针策略属于高层管理文件,简要陈述信息安全宏观需求及管理承诺,应该篇幅短小,内容明确。信息安全方针应当简明、扼要,便于理解,至少应包括以下内容:
(1)信息安全的定义,总体目标、范围,安全对信息共享的重要性;
(2)管理层意图、支持目标和信息安全原则的阐述;
(3)信息安全控制的简要说明,以及依从法律、法规要求对组织的重要性;
(4)信息安全管理的一般和具体责任定义,包括报告安全事故;
(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序,定义安全角色赋予管理职责,陈述组织的安全目标,为安全措施在组织的强制执行建立相关舆论与规则的基础。
3.3管理制度体系策略建立
3.3.1工作目标
建立覆盖信息工作的全部文件,包含安全策略、制度、规定规范、表单,完善所有活动流程管理。
3.3.2建立体系策略制度文件
信息安全策略是组织信息安全活动的最高方针,需要根据信息工作的实际情况,分别制订不同的信息安全策略。应该简单明了、通俗易懂,并形成书面文件,发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训,以使信息安全方针真正植根于单位内所有员工的脑海并落实到实际工作中。根据本单位实际情况,建立的策略文件,所有文件均需进行论证和评审。
(1)信息安全管理策略
作为所有系统的指导性方针文件,提供信息安全的基本规则、指南、定义。依据本策略应制定各管理制度、操作和使用规范。
(2)系统运维安全管理策略
作为所有系统运行维护的指导性方针文件,提供系统安全运行维护的基本规则、指南、定义。依据本策略应制定系统运行维护中相关的各种管理制度和规定,以及控制各项活动的记录表单和审批流程。应覆盖机房、网络、系统、资产、备份、日常运维等所有运行维护工作的范围。
(3)系统建设安全管理策略
作为所有信息化工作建设的指导性方针文件,提供信息工作相关的建设安全管理的基本规则、指南、定义。依据本策略应形成项目管理、采购管理、工程实施管理、测试及验收管理等建设管理的全过程管理制度,相应的控制表单和审批规定。
(4)人员安全管理策略
由于在系统、运维、建设方面已经对人员在该活动中的行为做了要求,人员安全管理主要需要考虑的问题是录用、离岗、保密、教育培训、考核及外来人员方面的管理,也可以直接制定比较详细的人员安全管理制度。
(5)管理流程
梳理并完善各种活动的详细流程图,任何针对信息系统的活动均有流程可依据进行控制管理。如事件管理流程、变更管理流程等。
(6)其他辅助制度
建立辅助文件,如对以上策略、制度、表单等进行管理的文件管理制度、保密制度、信息发布规定等。
3.4管理制度体系运作落实
3.4.1工作目标
逐项实施,直至体系全面运行,监督落实安全策略制度,找出体系中的不适用和缺陷。
3.4.2实施
经过第一和第二阶段的工作,理论上单位已初步形成完整的信息安全管理体系,但体系是否能正常运作发挥作用,需要对体系进行验证,验证的方法就是运行体系。
体系的运行分几步进行:
对通过论证评审的文件,通过正规渠道正式发文的方式进行发布,发布的文件根据情况决定是否采取“征求意见稿”或“暂行”;
文件发布前召集相关部门的负责人学习文件,并要求确保落实力度;
发布的文件要求相关部门组织学习,并依照实施;
各相关部门对运行的文件制度运行情况进行收集,存在实际困难无法落实的报评审组织评审适用性;
对“征求意见稿”的文件,必须从实施的相关部门采集意见。
体系实施阶段可以在体系建立阶段同步开展,建立部门策略制度后,通过论证评审即可进行试运行,不需等全套文件完成。
3.4.3监督
指定或成立跨部门监督机构、人员,对文件实施的过程进行监督管理,制定相应的惩戒措施,对落实情况进行监督检查,对违反文件实施和实施不力的部门或人员进行惩戒,切实落实文件的有效实施。收集监督过程中发现的文件问题、人员实施问题方面资料,反馈到编制组织。
本阶段是系统建立的关键阶段,是信息安全管理体系要分析运行效果,寻求改进机会的阶段。如果发现一个控制措施不合理、不充分,就要采取纠正措施,以防止信息系统处于不可接受风险状态。必须强调相关领导应重视本阶段工作,并且从实际上支持和推动实施工作。且应加大学习培训和监督力度,落实惩戒措施。让文件涉及的相关部门和相关人员熟知该文件并能按要求准确执行。
3.5管理制度体系细化调整
3.5.1工作目标
总结体系运行情况,调整不适用和无法落实的部分,完善体系,使之能高效、有序的运作。
3.5.2评审
评审有两个环节,第一个环节是针对出现的问题进行审核,论证其原因,进行改正完善。第二个环节是在大部分问题解决后、体系正常的情况下全面评审体系文件、组织、活动是否达到预期目标。
首先,信息安全领导小组组织相关部门人员,对体系实施中发现的问题进行审核,对落实不力的部门责成落实;对实际存在的问题进行论证,提出解决办法;对不适用的文件或部分进行论证评审,确实存在不适用的文件则组织相关人员进行修订,转入修订环节,对于不适用且没必要存在的文件进行废止。
而后,对于本阶段计划时间内反馈没发现问题的文件,组织相关部门评审试行效果,达到预期要求则作为正式版发布运行,并采用持续优化阶段的方式进行管理,未达预期目的则转入重新编制程序。
3.5.3修订
对于存在问题的策略文件,组织该策略文件涉及最多的主体部门和其他相关部门人员成立临时修订机构,针对文件存在问题进行修订。修订后进行新版本的颁布,同时该文件转入落实阶段。
3.5.4测评
经过细化调整,不断地审核修订后,体系应已基本完善,此时转入评审的第二环节。按照符合等级保护要求的预期目标,委托等级保护测评机构进行等级保护测评,在保证客观、合规、公正的前提下,对单位信息安全体系进行全面评审。整体测评后,对不满足要求的部分进行整改,整改完成后转入实施阶段,直至符合要求。
3.6管理制度体系持续优化
通过前四个阶段的工作,信息安全管理体系应基本稳定、成熟,后期的工作在于保持并进行不断地优化。把经过检验的文件作为常态的管理遵循依据,在日常工作中保持,不因试行结束而松懈。部门和人员应把试行期间依照文件要求形成的工作模式进一步完善保持,在未发生异常情况之前,始终按照正式版本执行。定期进行评审,找出不适用部分进行优化调整;结合工作实际,寻求更高效安全的方法优化体系,提高效能。
四、总结
等级保护管理体系应充分考虑本单位整体情况,结合各部门各岗位职责能力来制定,应在密切注意制度体系的实用性并定期进行修订,建立管理制度体系的最终目的是在达到规范化、标准化管理的同时,完善安全运维管理,减少扯皮和推诿情况,提高运维效率。