欢迎光临第一论文网,权威的论文发表,我们将竭诚为您服务!
您的位置: 第一论文网 -> 新媒体论文 -> 文章内容

建立健全管理体系提升信息系统安全保护能力

作者:第一论文网 更新时间:2015年10月26日 21:11:14

前言

自信息系统安全等级保护机制推行以来,科学、有效、全面的管理一直被视为保障信息系统安全运行的重要组成部分。GB\T 22239《信息安全技术信息系统安全等级保护基本要求》和GD\J 038《广播电视相关信息系统安全等级保护基本要求》两个国家和行业最高级别的标准中都明确了对信息系统的安全等级保护由技术和管理组成,并分别就技术和管理层面提出了具体要求。此外,针对广播电视行业,根据广播电视安全播出管理规定等文件的要求,全国各级播出单位在播出管理和机房环境等方面必须进行统一的要求。

如果说技术层面的措施是对信息系统进行被动地加固防御,那么管理层面的措施则是对信息系统主动地约束。人员是信息系统运行的第一主体,对人员的管理约束是保证信息系统相对安全运行至关重要的因素。在管理层面提起足够的重视,建立健全符合信息安全等级保护要求的运行管理体系,保证管理制度和流程在信息系统运行维护过程中有效地落实,对提升信息系统的整体安全性具有极其重要的作用。

1. 信息系统安全管理需求分析

根据《广播电视相关信息系统安全等级保护基本要求》的要求,信息系统安全管理层面的内容主要包括总要求、安全管理机构、人员安全管理、系统建设管理和系统运维管理五类。

1.1 总要求类

总要求方面从宏观角度对信息安全管理工作提出要求。信息安全主管部门应针对信息系统的安全工作要具备总体方针和策略,其内容应明确信息安全管理工作的目标、范围、原则和框架;组建指导部门工作的信息安全领导小组,并设置具体职能部门;针对信息系统管理制定全面的制度和规程,规范信息系统安全管理工作长期有效开展。

1.2 安全管理机构类

安全管理机构方面要求信息安全主管部门应明确信息系统的责任部门和责任岗位的职责,针对敏感工作流程需建立逐级审批制度;增强各级管理人员、部门之间的沟通与合作,并聘请信息安全领域专家作为长期技术顾问指导信息安全工作;信息安全管理制度应全面覆盖信息系统的整个生命周期,从系统建设、系统运维、人员管理等方面规范各项工作流程;第三级以上信息系统应设置三权分立的管理员角色。

1.3 人员安全管理类

人员安全管理方面要求信息安全主管部门应在人员上岗方面要求通过审查人员身份、资质等情况规范人员上岗,并针对系统内部的敏感岗位可以根据需要签署保密、安全等方面的协议;应在人员离岗后及时终止员工对信息系统的访问权限;对涉及信息系统安全的岗位员工进行安全意识和安全技能的培训和考核;应具备完善的审批流程,并使外部人员的访问受控。

1.4 系统建设管理类

系统建设管理方面要求信息安全主管部门应根据系统应用领域和特点按照国家和行业标准,确定系统边界和保护等级,并进行定级报备工作;规范系统建设流程,规范密码类产品、自行开发软件和外包软件的使用;规范工程实施、测试验收、系统交付、培训等一系列工程周期内的活动;按主管部门和公安机关的要求规范系统备案、等级测评、安全服务商选用等流程。

1.5 系统运维管理类

系统运维方面要求信息安全主管部门应针对环境、资产、介质、设备、网络安全管理等方面制定一系列操作规范和要求;注重访问控制策略规划和使用,在恶意代码防范、备份与恢复、安全事件处理、应急预案等方面的规范性管理。

2. 信息系统安全管理中需要特别注意的一些问题

信息系统安全管理需要完善详实的管理体系文件作为支撑,根据以上对信息系统安全管理进行的需求分析结果,下面就信息系统安全管理建设中经常被遗漏的问题加以详细的说明,这些问题在管理体系中经常被忽略或弱化,对管理安全的完整性和系统性造成不良的影响。

以下说明针对总要求、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个类别(详细内容见表1- 表5)提出了管理体系中容易被忽略的文件组成部分,并对文件逐一进行了的说明和解释。广播电视信息系统在生命周期中在遵照GD\J 038《广播电视相关信息系统安全等级保护基本要求》的同时,要特别注意以下文件体系的建立。

以上提出的管理体系文件的建议是根据我国信息系统安全等级保护相关标准,针对管理层面的要求从文档组织结构角度提出的基线解决方案中的一部分。信息系统使用和运维单位可根据系统特点和实际情况在GD\J038《广播电视相关信息系统安全等级保护基本要求》的基础上对管理体系进行自身所需的扩展和调整,使之更加契合系统运行的需要。

3. 结束语

随着信息系统安全在保证系统业务顺利正常开展方面起到的作用越来越大,系统使用和运维单位在提升技术安全保障能力的同时,不能忽视对系统进行完善、全面的安全管理。信息系统安全等级保护对技术层面和管理层面的要求是一个有机的整体,管理到位才能保证技术措施的落实,才能覆盖技术层面无法涉及的系统安全运行薄弱环节,进一步提升信息系统安全的整体保护能力。

作者简介:任晓炜,女,硕士,高工,主要从事广播电视设备与系统、广播电视软件产品检测以及重要信息系统信息安全等级保护测评等工作。曾参与数字电视广播条件接收系统、调幅/调频广播监测设备等检测标准的编制;参与过广播电视信息安全管理研究、网络广播电视台风险评估研究等项目研究。