加快推進中國石化信息安全管理體系建設

申向陽

（作者系上海石油分公司副總經理）

企業信息化腳步越來越快，業務經營管理對信息系統的依賴性持續增強，加快建立健全企業信息安全管理體系成為一個突出的問題。

ISMS的現狀和問題

ISMS （Information Security ManagementSystem），即信息安全管理體系。中國石化作為一個大型能源化工企業，其供應鏈長、業務流程復雜、管理跨度大，包括電子商務、ERP、資金集中管理、加油卡等在內的信息管理系統種類繁多，或多或少存在著一些安全隱患。上市后，中國石化不斷推進信息安全管理體系建設，建立了內部控制管理制度、安全生產HSE管理體系、信息安全管理制度與辦法等，根據統一的方針原則整合了下屬各企業的信息化管理流程和體系，為建立管理統一、標準規范、評判科學的ISMS體系奠定了良好的基礎。但是應該看到，目前中國石化ISMS體系建設還處在起步和雛形階段，還沒有形成流程科學、標準規范、具體可操作的ISMS體系。沒有完整的ISMS體系，企業信息安全隱患和風險將時時威脅著企業日常生產經營管理，也勢必影響企業的持續發展和進步。

從總部層面看，一是在ISMS體系方面，還沒有建立完整的信息系統和系統信息安全隱患和風險的檢查、評價的管理方法和制度，現有的檢查、評判標準不統一、不全面、不具體。二是在管理職責方面，沒有完全理順業務部門與信息部門、上級管理部門與下級所屬企業之間信息安全工作的職責，存在多頭管理的現象以及信息安全管理的“灰色”地帶。三是對信息與業務的融合性重視不夠，缺乏循環往復、持續改進的意識。

從下屬企業層面看，一是在管理組織構架方面，內部信息安全組織不夠健全，監督管理崗位設置不盡合理，不相容崗位之間存在“一人多崗”的現象，甚至存在系統開發人員、系統管理員、應用管理員和安全管理員四個角色由同一人擔任的情況；監督管理職責不明確、不清晰，權限管理不到位。二是在系統權限管理和控制方面，由于缺乏完善有效的針對用戶權限分配的審核和審計機制，權限管理不符合最小授權和不相容的要求，使系統運行存在安全隱患。三是在實際工作中存在重視環境和技術的安全，輕視人員、資產、應用的安全問題，實際上難以實現全過程、全方位、全天候對信息系統和系統信息的安全狀況進行實時有效的監督管理。

因此，按照國家信息安全的有關法律法規，立足中國石化信息化的業務特點和發展要求，本著重點突出、分級保護、內外結合，管理和技術并重的原則，從組織構架、人員管理、技術策略、項目實施和運維服務等方面著手，加快信息安全基礎設施建設，深化信息系統安全運行和系統信息安全管理，大力推進ISMS體系建設，是一項緊迫任務。

加快建立完善中國石化ISMS

中國石化應參照BS7799等國際先進管理標準，堅持既引入其精髓又保持自身特色的原則，結合企業原有的內部控制管理制度、安全生產HSE管理體系、信息安全管理制度與辦法等，高起點、高標準、高效率地加快推進ISMS體系建設。

1.以業務戰略為導向，統一設計ISMS規劃和框架。首先要緊密結合中國石化生產經營業務的發展需要，上中下游板塊的不同特點，確定信息資產的范圍、需要保護的程度、組織風險管理方法、控制目標與控制措施等內容，建立統一規劃設計、管理標準科學、分級實施執行的ISMS體系。其次要體現“預防為主、防控結合”的思想，遵守國家、地方和企業等有關信息安全的法規制度，保護好企業關鍵性信息資產，確保信息的機密性、完整性和可用性。再者要統籌考慮投入成本費用與實施ISMS控制信息系統風險的能力的平衡關系，充分滿足全過程、全方位、全天候的監督管理的目標和要求。

2.以提升管理為目標，配套建立ISMS組織和制度。一是要建立健全ISMS體系組織和機構，統一制定符合ISMS工作要求的協調機制、重大信息安全事件應急指揮流程。二是要發布相關制度和ISMS策略，科學、系統地指導信息安全風險評估和加固工作。三是要按照ISMS要求，重點抓好信息系統和系統信息的運行監控和檢查考核工作。建立績效考核機制，提高ISMS的執行力和執行質量，真正確保ISMS體系的各項檢查、評判、整改標準和要求不折不扣地落到實處。

3.以安全防護為任務，加快提升ISMS設施和技術。堅持“同步設計、同步建設、同步運行”的原則，在應用系統的規劃和設計階段同步進行信息安全設計，實現業務、信息、數據、系統、網絡、用戶、終端多層次的安全保障。目前中國石化的信息安全基礎設施建設存在短板，主要表現在：一些超期服役的設備或系統仍在運行，一些安全防護和監測設備在性能和功能上明顯不足，網絡準入、行為管理、文檔安全、內容監控和審計等方面還有缺項，用戶統一管理、認證、授權平臺亟待加快建設，安全監控與審計系統建設尚處于起步階段，總部和下屬企業的重要信息系統缺乏異地災備的能力，部分下屬企業的機房物理安全水平還不夠，在防火、防水、防潮、防雷、溫濕度控制等方面沒有達到國家有關物理安全標準等。為此，應進一步整合現有設備資源和網絡資源，強化基礎設施及運維平臺的建設和更新維護，持續完善公司網絡和系統架構，逐步提高信息基礎設施的可用性和安全性。在ISMS建設中，應重點突出信息系統和系統信息的安全防護和災備系統、安全等級保護、網絡準入控制系統和信息安全監控和審計系統。

4.以運行維護為中心，逐步引入ISMS標準和工具。目前企業在用的信息系統存在較高的安全風險和安全隱患，必須高度重視信息安全運維工作，確保企業經營管理業務的連續性和信息系統的抗風險能力。在ISMS體系建設過程中，要提高信息系統應用企業的運行管理工作標準和要求，一是要構架統一管理的信息技術運行維護支持服務體系，明確各層級的工作職能和職責，重點要將ISMS內容和日常的信息系統維護工作結合起來，拓寬運行維護服務的內容，提升運行維護保障的功能。二是要通過進一步完善組織構架、落實人員、完善制度、規范標準、細化流程，實現自上而下的一體化運行運維工作。三是要建立定期發布ISMS工作簡報的機制，加強對重要應用系統進行定期數據備份和檢查工作。四是根據國際標準化的信息技術服務管理體系結構和流程，引入信息技術服務管理工具，保障企業信息系統穩定、安全、高效運行，為企業生產經營、內部管理和持續發展提供更強更有效的技術支撐與服務。