程愷
摘要:近年來我國政務信息系統(tǒng)發(fā)生安全事件的情況逐漸增多,各級政府部門網(wǎng)絡信息系統(tǒng)存在著信息安全風險。本文就如何建立一套能夠有效針對信息安全風險進行預防和控制的管理技術體系進行論述。
關鍵詞:黨政機關;信息安全風險防控;體系建設
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2019)08-0174-02
1 體系建設目標
網(wǎng)絡信息安全防控體系建設主要包括以下五個目標。一是規(guī)范全省系統(tǒng)網(wǎng)絡信息安全風險防控工作;二是提升省廳與市局、縣局之間的聯(lián)動協(xié)調,強化省廳統(tǒng)一管控能力;三是打通縣局、市局、省廳到國家部委及其他監(jiān)管部門的多級報告和通報渠道;四是加強全省系統(tǒng)網(wǎng)絡信息安全文化宣傳工作;五是培養(yǎng)全省系統(tǒng)網(wǎng)絡信息安全人才。
2 體系建設規(guī)劃
規(guī)劃建設以“1175”為主要內容的全省系統(tǒng)網(wǎng)絡信息安全風險防控體系,即,一整套組織機構,一系列制度規(guī)范,七大管理機制以及五大技術措施。全省系統(tǒng)通過分層負責、分級實施,做到安全責任落實、過程控制落實、安全整改落實,解決“誰去落實,怎樣落實,落實得怎么樣”的問題。通過PDCA循環(huán),持續(xù)改進提升網(wǎng)絡信息安全風險防控水平、管理水平和運維水平,體系架構如圖1所示。
3 風險防控策略
體系總體策略:積極預防、整體保護、分級分域、動態(tài)管理。
積極預防:在信息系統(tǒng)規(guī)劃設計、開發(fā)建設、運行維護和停用廢棄等各環(huán)節(jié)實行安全審核管理;加強對重要信息技術產(chǎn)品的漏洞和后門程序檢查,定期開展安全測評、風險評估工作;完善容災備份措施,健全應急保障隊伍,開展應急演練,增強應急處置能力。
整體保護:按照相互關聯(lián)、相互均衡的原則,在網(wǎng)絡以及信息系統(tǒng)運行應用的各環(huán)節(jié),全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術安全設施,并按照組件化、平臺化、集成化技術路線進行整合,實現(xiàn)協(xié)同防御。
分級分域:根據(jù)信息系統(tǒng)運行安全需求,數(shù)據(jù)和信息內容安全需求,以及應用范圍,確定信息系統(tǒng)的安全保護等級,劃分信息系統(tǒng)運行環(huán)境的安全域,針對不同安全域制定相應的分項安全策略,實行等級保護。
動態(tài)管理:緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡安全攻防技術的發(fā)展狀況,適時調整、完善和創(chuàng)新安全管理方法,持續(xù)提升、改進和強化技術防護手段,保證行業(yè)網(wǎng)絡安全水平與行業(yè)信息化發(fā)展水平相適應。
在總體策略基礎上,建立完善各分項策略。主要包括:物理安全策略、網(wǎng)絡安全策略、系統(tǒng)安全策略、應用安全策略、數(shù)據(jù)安全策略、病毒防護策略、安全教育策略、信息系統(tǒng)備份與恢復策略、業(yè)務連續(xù)性策略、賬號口令策略、安全審計策略、系統(tǒng)開發(fā)策略、人員安全策略等。
4 體系主要文件
體系建成后形成體系文件,作為體系運行的依據(jù)和準則。依據(jù)體系建設相關規(guī)范,建設包括組織架構、制度規(guī)范、管理機制、技術措施、記錄表單等體系文件。除此之外,根據(jù)七大管理機制和五項技術措施建立相關補充文件,主要是用于指導具體工作實施的技術指南、操作手冊等。
4.1 組織架構
建立包括領導機構、管理機構和執(zhí)行機構,覆蓋省、市、縣三級機關的組織管理架構,分別制定三個層級相關崗位角色的職責說明,明確在風險防控體系中的職責。
通過構建多層多級的組織架構,推動網(wǎng)絡信息安全風險防控體系的合理建設、高效運行以及持續(xù)改進。
4.2 制度規(guī)范
依據(jù)現(xiàn)有已發(fā)布或未發(fā)布的管理制度,主要是與信息安全風險防控相關的制度規(guī)范,并按照風險防控工作的要求查漏補缺,完善信息安全風險防控制度規(guī)范。
通過建立完善的制度規(guī)范,并將其落地執(zhí)行,規(guī)范全省系統(tǒng)網(wǎng)絡信息安全風險防控工作,實現(xiàn)防控工作制度化、規(guī)范化、標準化。
4.3 七大管理機制
4.3.1 風險識別機制
依據(jù)信息安全風險評估相關國家和地方標準,制定針對網(wǎng)絡信息安全風險識別的管理工作機制。通過管理和技術手段確保全省系統(tǒng)存在的信息安全風險被有效識別,并將識別的風險作為體系防控的對象。
4.3.2 等級保護機制
依據(jù)等級保護相關國家標準和管理辦法,建立全省系統(tǒng)網(wǎng)絡信息系統(tǒng)依法依規(guī)開展等級保護的管理機制。將系統(tǒng)定級、系統(tǒng)備案、安全測評、安全整改、監(jiān)督檢查等相關工作要求形成工作機制,并形成相關記錄表單格式。通過建立全省系統(tǒng)等級保護管理工作機制,可規(guī)范全系統(tǒng)等級保護工作的實施執(zhí)行、督促和指導全省系統(tǒng)依法依規(guī)開展等級保護工作。
4.3.3 安全審查機制
建立全省網(wǎng)絡信息安全審查管理工作機制,包括審查類型、審查對象、審查內容以及相關記錄表單格式。通過開展定期和不定期的安全審查,指導和督促全省系統(tǒng)各業(yè)務條線,落實信息安全防控職責,嚴把安全關,確?!?”事件目標實現(xiàn)。
4.3.4 應急處置機制
建立以網(wǎng)絡信息安全事件應急預案為基礎的全省信息安全應急處置管理工作機制,包括檢測預警、應急處置、應急保障和責任獎懲等內容。通過建立應急處置管理工作機制,可規(guī)范全省系統(tǒng)各種突發(fā)事件的應急處置規(guī)程,建立快速響應和應急處置機制,加強信息系統(tǒng)的應急管理,降低信息系統(tǒng)事件造成的損失和影響,盡快恢復業(yè)務系統(tǒng)的連續(xù)運行。
4.4 記錄表單
根據(jù)制度規(guī)范、管理機制以及技術措施的實際運行需求,制定符合實際情況、合理有效的各項記錄表單,作為體系落地運行的記錄文件。
5 結語
綜上所述,建立一套覆蓋全省各級部門,以有力的組織架構和完善的制度規(guī)范為基礎,執(zhí)行各項管理機制以及技術措施的信息安全風險防控體系,能夠有效的預防信息安全事件的發(fā)生,控制信息安全風險,提升黨政機關信息安全防護水平。
Talking About the Construction of Information Security Risk Prevention and Control System in Party and Government Organs
CHENG Kai
(Jiangsu Electronic Information Products Quality Supervision Inspection Research Institute,Wuxi Jiangsu? 214000)
Abstract:In recent years, the situation of security incidents in the government information system of our country has increased gradually,There are risks of information security in the network information system of government departments at all levels. This paper discusses how to establish a set of management technology system which can effectively prevent and control the risk of information security.
Key words:Party and government organs; Information security risk prevention and control; System construction