淺談企業的信息系統安全管理

林海平 陳倩

（福建省電力有限公司南平電業局，福建 南平 353000）

1 專業管理目標描述

1.1 專業管理理念

遵循“統一領導、統一規劃、統一標準”、“誰主管、誰負責，誰運行、誰負責，聯合防護、協同處置”和“三分技術，七分管理”的原則，實行“安全第一、預防為主，管理和技術并重、綜合防范”的方針，借助省公司統一部署的桌面終端標準化管理系統，結合綜合網管系統，制定嚴格的信息安全管理規范、制度，實現信息系統安全可控、能控、在控。

1.2 專業管理范圍和目標

本文信息系統安全管理主要涉及信息內網計算機系統安全管理和移動存儲介質管理，其目標是確保不發生重大信息泄露事件，確保網絡與信息系統安全，禁止將未安裝終端管理系統的計算機接入信息內網；禁止非地址綁定計算機接入信息內網；禁止利用非公司專配安全移動介質進行內外網信息交換，且向外部拷貝文件需要嚴格的審批流程；禁止桌面終端非法外聯。

1.3 專業管理的指標體系及目標值

結合省公司信息系統3E指標、信息專項考核指標等相關文件的具體工作要求，建立信息系統安全指標績效考核體系，實現以下主要目標值：1）桌面終端標準化管理系統安裝部署率達到 100%；2）嚴格執行“八不準”（不準將公司承擔安全責任的對外網站托管于外單位，不準未備案的對外網站向互聯網開放，不準利用非公司統一域名開展對外業務系統服務，不準未進行內容審計的信息外網郵件系統開通，不準使用社會電子郵箱處理公司辦公業務，不準將未安裝終端管理系統的計算機接入信息內網，不準非地址綁定計算機接入信息內外網，不準利用非公司專配安全移動介質進行內外網信息交換）；確保“三不發生”（不發生重大系統停運事故，不發生重大信息泄露事故，不發生網站被篡改造成重大影響事故）。3）完成省公司下達的各項信息安全指標。

2 專業管理的主要做法

2.1 主要流程說明

為了確保信息系統安全，某企業從技術管控、檢查調研、制度保障和人員管理四方面進行了梳理，從技術管控、檢查調研、制度保障、人員管理四個方面來開展工作，總體工作流程圖如下：（1）技術管控：制定各系統的管理策略，加強技術管控。（2）檢查調研：按照組織檢查調研-反饋-通報考核-組織整改-反饋-共性問題總結歸納并上報省公司-公告的流程，確保調研效果。（3）制度保障：制定信息安全相關各項制度和辦法。（4）人員管理：組建信息員網絡，編制培訓方案并展開培訓，積極開展自查。

2.1.1 技術管控

1）制定各系統的管理策略

借助桌面終端標準化管理系統提供的技術管控手段，制定了各項信息系統安全管理控制策略，確保信息系統安全可控、能控、在控。重點管理控制策略包括以下幾條：

a）防止信息泄密事件發生，禁止移動存儲設備的拷貝功能。所有移動存儲設備僅具備只讀功能，不能將文件拷貝至移動存儲設備，個別確因工作需要必須使用移動存儲設備進行文件交換的，必須由部門領導審核簽字同意并加蓋部門公章后，交信息中心統一處理。

b）桌管系統啟用地址綁定和阻斷策略。實現對未安裝桌管系統的計算機和任意搬遷的計算機實現阻斷功能，并通過以下手斷進行進一步的管控：新增計算機由信息中心統一負責協調、安排安裝，所有接入信息網絡的計算機必須必須實名制，必須設置系統登錄密碼，密碼需字母數字組合并大于八位；對局大樓信息網絡點位進行增加，拆除各辦公室因點位不足而使用的不可管理的HUB，將所有計算機直接接入信息機房內可管理交換機上；對于臨時性接入我局信息網絡的計算機，由責任部門提交《設備入網申請單》經由部門領導審核簽字同意并加蓋部門公章后，交信息中心統一處理。

c）桌管系統啟用補丁分發策略。為保證所有計算機能及時安裝系統補丁，桌管系統啟用補丁分發策略，做到補丁實時更新。

2）修改管理策略

根據檢查調研和日常運維中反饋的問題，以及國網及省公司各項指標的調整情況，及時修改、調整各系統的管理策略。

2.1.2 檢查調研

1）組織檢查調研。結合省公司春、秋安全大檢查和特殊時期專項安全檢查及信息安全等級保護測評工作等相關活動，組織不同層次、不同級別的信息安全檢查調研活動。

2）反饋。由檢查調研組對檢查調研中發現的問題進行收集、整理，統一反饋給信息中心，由信息中心負責匯總及分類。

3）通報考核。信息中心對檢查中發現的問題進行通報考核，對違反相關規章、制度的行為、事件按相關的考核辦法進行考核，對違反紅線制度行為、事件提交局務會進行考核，觸犯法律的，依法追究其法律責任。

2.1.3 制度保障

1）制定信息安全相關各項制度、辦法。根據我局信息安全管理工作的需求，在參照、執行國網及省公司相關文件要求的同時，制定適合我局實際信息安全管理工作需求的規章、制度及管理辦法。

2）修訂制度、辦法。根據檢查調研中反饋的情況和國網及省公司相關文件的要求，及時修訂相關的規章、制度及管理辦法。

2.1.4 人員管理

1）組建信息員網絡。為了真正落實“誰使用、誰負責”的安全管控原則，建立覆蓋各部門/班組的信息員網絡。某企業根據多年的工作經驗，組建了一支覆蓋各部門/班組的信息員網絡，明確了信息員信息安全管理的職責和義務。

2）編制培訓方案、開展培訓。針對不同的人群，編制培訓方案，并開展培訓，主要包括以下三個方面：a、全員培訓：結合安監部每年組織的安規考試，開展全員信息安全培訓，重點宣貫信息安全管理相關制度和管理辦法，并與各單位、部門及每一位職工簽定《信息安全責任狀》；b）、新進員工培訓：在人資部新進員工崗前培訓中加入信息安全培訓內容，重點培訓在局辦公場所使用計算機需注意的事項，并要求新進員工熟悉信息安全管理相關制度和管理辦法；c）、信息員培訓：組織人員編制了具有針對性的培訓方案，方案主要明確如何判斷計算機違規外聯，如何檢查計算機是否安裝桌管系統和防病毒系統、計算機是否采用實名制等，并培訓桌管系統和防病毒系統的安裝方法。

2.1.5 綜合管理

1）組織整改。對檢查調研中發現的問題和各部門信息員自查反饋的問題，信息中心針對不同的情況，制定整改措施。

2）反饋。各相關單位、部門、人員對整改情況進行匯總、整理上報至信息中心，包括已整改情況反饋，需信息中心協調改情況反饋等。

3）共性問題歸納總結。信息中心組織人員對各單位、部門、人員反饋的信息進行匯總、分析，需信息中心協調解決的及時協調解決，對無法協調解決的形成報告上報省公司科信部協調解決，對存在的信息安全隱患進行分析，提出技術和管理上的防范措施。

4）上報省公司。對局本部無法協調解決的問題、故障進行整理、匯總，并進行分析，提出相關意見等，形成報告上報省公司科信部。

5）省公司回復。省公司科信部對我局上報的相關問題進行協調并回復我局。

6）公告。充分利用本單位網站、協同辦公等系統公告功能，發布不同時期的信息安全工作重點，國網、省公司信息安全管理相關文件，問題、故障解決情況，帶有共性的信息安全隱患信息等，指導設備使用人員處置安全隱患。

2.2 確保流程正常運行的人力資源保證

某企業通過設置信息管理部門、桌面系統運維部門和信息員柔性機構來確保本套流程的正常運作。

1）信息中心。信息中心共設七個專責崗位，信息安全管理專責總體負責信息安全管理工作；信息網絡管理專責、主機系統管理專責、應用系統管理專責和數據庫管理專責負責配合信息安全管理專責對全局所屬信息系統進行安全防護、管理等信息安全相關的工作。

2）桌面系統運維組。運維組共設有3至4位維護人員，具體負責桌面計算機的安裝調整工作和日常運行維護工作，負責協助信息安全管理專責對桌面計算機安全檢查工作，負責配合信息中心對信息員的管理和培訓工作。

3）信息員柔性機構。基本上每個部門均設有一位信息員，以確保企業每一基層組織均有人負責信息安全工作，每年對信息員網成員進行調整，以確保人員的有效性。

2.3 保證流程正常運行的專業管理的績效考核與控制

為確保信息安全管理工作的常態化開展，某企業參照國網及省公司相關文件要求編制了《科技信息考核實施辦法》、《某企業信息系統運行管理辦法》、《某企業信息網絡運行管理辦法》等標準制度和管理辦法對全區各單位進行績效考核和管理控制。對于嚴重違反信息安全管理制度和信息安全“紅線”條款的行為進行從重、從嚴考核。同時要求責任單位對事件原因進行分析，提出整改措施，并進行全區通報。

3 評估與改進

3.1 專業管理的評估方法

信息安全管理通過技術管控手段和現場檢查手段來進行評估，其內容主要以信息系統3E指標、信息專項考核指標和發布的信息安全“八不準”、“三不發生”為評估依據，結合特殊時期專項檢查所提出的相關要求，對我局信息系統安全進行評估。

3.2 今后的改進方向或對策

結合某企業當前實際情況，今后改進方向主要還在依托自已，加強管理，加強信息人才隊伍建設，同時積極提交各類技術建議，積極配合上級單位加強管控系統的深化應用工作。具體為以下幾個方面：

3.2.1 持續完善、修訂規章制度、管理辦法。

3.2.2 進一步加強人才隊伍建設。

3.2.3 積極推進信息安全管理系統的深化應用工作。

3.2.4 根據信息安全要求，對該企業信息網絡進行相應的改造、升級。