集團(tuán)化企業(yè)網(wǎng)絡(luò)信息安全管理體系規(guī)劃與建設(shè)

◆陳慶民 邵揚(yáng)

行業(yè)與應(yīng)用安全

集團(tuán)化企業(yè)網(wǎng)絡(luò)信息安全管理體系規(guī)劃與建設(shè)

◆陳慶民 邵揚(yáng)

（上海醫(yī)藥集團(tuán)股份有限公司 上海 200020）

信息技術(shù)的廣泛應(yīng)用和發(fā)展，對(duì)促進(jìn)企業(yè)發(fā)展發(fā)揮了重要的作用。同時(shí)，隨著信息化程度越來越高，信息安全問題也逐步凸現(xiàn)，配套的安全管理機(jī)制及安全制度建設(shè)卻相對(duì)滯后，如何構(gòu)建集團(tuán)化企業(yè)網(wǎng)絡(luò)信息安全管理體系成為急需解決的問題。本文通過現(xiàn)狀調(diào)研和分析，提出上海醫(yī)藥網(wǎng)絡(luò)信息安全管理體系的建設(shè)思路，并重點(diǎn)在網(wǎng)絡(luò)信息安全組織體系、網(wǎng)絡(luò)信息安全工作機(jī)制、網(wǎng)絡(luò)信息安全制度體系三個(gè)方面進(jìn)行了闡述。

網(wǎng)絡(luò)信息安全；網(wǎng)絡(luò)安全；管理體系

1 背景

隨著企業(yè)信息化建設(shè)不斷深入開展，信息安全問題日益凸顯，信息安全和國家安全之間的關(guān)系日益緊密。為此，國家信息安全主管部門和各行業(yè)監(jiān)管部門近年來陸續(xù)頒發(fā)了一系列與信息安全相關(guān)的法律、法規(guī)、要求和指導(dǎo)意見，用以推動(dòng)和規(guī)范全社會(huì)信息安全建設(shè)。

2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》，為互聯(lián)網(wǎng)安全提供了切實(shí)的法律保障，同時(shí)也要求各企事業(yè)單位應(yīng)承擔(dān)起相應(yīng)的法律責(zé)任和義務(wù)。近幾年上海市委網(wǎng)信辦、公安局網(wǎng)安大隊(duì)等上級(jí)主管部門也陸續(xù)提出了各項(xiàng)自查、通報(bào)和安全承諾等要求，今后類似的各項(xiàng)保障任務(wù)將成為公司信息安全常態(tài)化工作，也將對(duì)信息安全的各項(xiàng)建設(shè)和保障工作提出更高的要求。

上海醫(yī)藥集團(tuán)股份有限公司（以下簡(jiǎn)稱“上海醫(yī)藥”）是滬港兩地上市的大型醫(yī)藥產(chǎn)業(yè)集團(tuán)，公司主營業(yè)務(wù)覆蓋醫(yī)藥工業(yè)、分銷與零售。隨著上海醫(yī)藥信息化建設(shè)步伐的不斷加快，特別是信息系統(tǒng)建設(shè)已全面融入集團(tuán)化企業(yè)管理、生產(chǎn)和運(yùn)營活動(dòng)中，信息系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行直接影響到集團(tuán)內(nèi)部管理秩序及企業(yè)社會(huì)公眾形象。信息安全已與建設(shè)安全、生產(chǎn)運(yùn)營安全相互滲透、相互關(guān)聯(lián)，信息安全的重要性日益凸顯。

然而，在信息化程度越來越高的同時(shí)，上海醫(yī)藥作為一家國有大型醫(yī)藥集團(tuán)企業(yè)，在企業(yè)管理方面已具備了一套成熟的理念與管理的方法，但在配套的信息安全管理機(jī)制及制度建設(shè)方面卻相對(duì)滯后，尚未形成體系化的信息安全管理模式。信息安全管理組織的松散、職責(zé)分工的不明晰、管理目標(biāo)及原則的不確定、制度規(guī)范的不健全都阻礙了信息安全管理工作的順利開展。

因此無論從提升企業(yè)內(nèi)部管理水平，促進(jìn)企業(yè)生產(chǎn)、運(yùn)營安全，還是從符合國家相關(guān)法律法規(guī)及相關(guān)監(jiān)管部門的要求及提高對(duì)外部影響力與競(jìng)爭(zhēng)力的角度出發(fā)，信息安全管理體系的建設(shè)對(duì)上海醫(yī)藥集團(tuán)的信息化網(wǎng)絡(luò)安全管理工作和企業(yè)的發(fā)展都有著十分重要的意義。

2 建設(shè)目標(biāo)

結(jié)合上海醫(yī)藥集團(tuán)現(xiàn)有的組織管理框架以及業(yè)務(wù)管理特點(diǎn)，建立一套有效的信息安全管理體系，該體系將實(shí)現(xiàn)以下目標(biāo)：

（1）依據(jù)網(wǎng)絡(luò)信息安全相關(guān)政策及標(biāo)準(zhǔn)要求，建立自上而下的信息安全決策、管理、執(zhí)行以及監(jiān)管的組織機(jī)構(gòu)，明確各級(jí)機(jī)構(gòu)的角色與職責(zé)，完善信息安全管理責(zé)任制；

（2）形成一套有效的信息安全管理工作機(jī)制；

（3）根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施及網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)制度，制定出指導(dǎo)集團(tuán)各部門及下屬單位實(shí)施安全管理活動(dòng)的安全管理制度。

3 實(shí)施方案

我們主要分以下幾個(gè)階段進(jìn)行：

3.1 調(diào)研階段：

通過人員訪談、文檔查閱等，深入調(diào)研了解上海醫(yī)藥集團(tuán)當(dāng)前的組織體系架構(gòu)、業(yè)務(wù)體系架構(gòu)、網(wǎng)絡(luò)架構(gòu)和信息安全管理的狀況，并對(duì)照信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求進(jìn)行差距分析，找出差距與問題，為策劃管理體系作參考。

3.2 策劃階段

結(jié)合現(xiàn)狀及差距分析結(jié)果編制適合上海醫(yī)藥集團(tuán)的網(wǎng)絡(luò)信息安全管理體系建設(shè)方案，并聽取內(nèi)外部專家評(píng)審意見，形成最終的建設(shè)方案。

3.3 實(shí)施階段

按照建設(shè)方案要求，依據(jù)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)及ISO 27001提供的最佳實(shí)踐，逐步研究建立形成集團(tuán)信息安全管理體系。

（1）研究組織、制度、管控模式之間的結(jié)合方式，編制信息安全管理組織責(zé)任體系、工作機(jī)制；

（2）研究編制集團(tuán)整體信息安全管理策略；

（3）研究編制信息安全核心業(yè)務(wù)規(guī)范和標(biāo)準(zhǔn)。

3.4 檢查階段

在制度文件運(yùn)行實(shí)施一定周期后，進(jìn)行執(zhí)行情況的檢查，重點(diǎn)關(guān)注文件在適用性、有效性、充分性方面的問題，并進(jìn)行匯總分析。

3.5 改進(jìn)階段

根據(jù)檢查匯總的信息，組織修訂完善相關(guān)文件。

4 建設(shè)成果

4.1 構(gòu)建網(wǎng)絡(luò)信息安全整體藍(lán)圖框架

基于上海醫(yī)藥定位與管理職能，從業(yè)務(wù)戰(zhàn)略、組織管控、信息化建設(shè)、外部趨勢(shì)四個(gè)層面，通過分析及評(píng)估上海醫(yī)藥網(wǎng)絡(luò)信息安全現(xiàn)狀，制定網(wǎng)絡(luò)信息安全5年目標(biāo)，藍(lán)圖框架可以分為三大領(lǐng)域，分別為：安全治理和管理體系、安全技術(shù)體系和安全運(yùn)行體系。如圖1：

圖1 網(wǎng)絡(luò)信息安全藍(lán)圖框架

4.2 網(wǎng)絡(luò)信息安全組織體系建設(shè)

企業(yè)的網(wǎng)絡(luò)信息安全管理組織機(jī)構(gòu)決定了一個(gè)企業(yè)網(wǎng)絡(luò)信息安全管理的水平，同時(shí)也是一個(gè)企業(yè)網(wǎng)絡(luò)信息安全管理制度有效推動(dòng)和執(zhí)行的關(guān)鍵因素之一。上海醫(yī)藥集團(tuán)旗下?lián)碛卸畮准抑睂賳挝?，共有幾百家企業(yè)，規(guī)模龐大，信息系統(tǒng)數(shù)量巨大，要管好整個(gè)集團(tuán)的網(wǎng)絡(luò)信息安全是件非常不容易的事情。

結(jié)合上海醫(yī)藥實(shí)際情況，依據(jù)《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制要求》、《網(wǎng)絡(luò)安全績(jī)效標(biāo)準(zhǔn)（暫行）》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》等政策要求，遵循決策集中、管理一體、執(zhí)行統(tǒng)一的原則，建立信息安全管理組織，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任單位，加強(qiáng)信息安全組織領(lǐng)導(dǎo)和管理，推動(dòng)信息安全工作的開展，建立兩級(jí)（集團(tuán)級(jí)、部門及直屬單位級(jí)）、三層（領(lǐng)導(dǎo)層負(fù)領(lǐng)導(dǎo)責(zé)任、管理層負(fù)管理責(zé)任、執(zhí)行層負(fù)工作責(zé)任）信息安全責(zé)任體系。編制了《上海醫(yī)藥信息安全責(zé)任體系》，包括以下內(nèi)容：總則、信息安全組織框架、信息安全組織工作職責(zé)、集團(tuán)各部門信息安全職責(zé)、集團(tuán)下屬公司信息安全職責(zé)、外部供應(yīng)商信息安全責(zé)任、信息安全責(zé)任制考核等。

公司設(shè)立網(wǎng)絡(luò)信息安全管理委員會(huì)作為最高領(lǐng)導(dǎo)機(jī)構(gòu)，該機(jī)構(gòu)成員包括公司黨委書記、信息化分管領(lǐng)導(dǎo)、公司總部各部門負(fù)責(zé)人及各直屬單位負(fù)責(zé)人擔(dān)任組員。

圖2 網(wǎng)絡(luò)信息安全管理組織

4.3 網(wǎng)絡(luò)信息安全工作機(jī)制建設(shè)

為推進(jìn)上海醫(yī)藥網(wǎng)絡(luò)信息安全管理工作，需建立與之相適應(yīng)的信息安全管理工作機(jī)制，主要包括：建立信息安全管理工作會(huì)議機(jī)制，由定期例會(huì)與不定期專項(xiàng)會(huì)議相結(jié)合；建立“層層上報(bào)，統(tǒng)一出口”、“例行匯報(bào)，一事一報(bào)”的信息通報(bào)機(jī)制，信息通報(bào)按輕重緩急程度分為日常安全信息通報(bào)及信息安全事件通報(bào)兩類，對(duì)于日常安全信息的通報(bào)通過每年定期將相關(guān)信息集中匯報(bào)，由集團(tuán)信息技術(shù)中心負(fù)責(zé)匯總，并總結(jié)分析；信息安全事件通報(bào)應(yīng)一事一報(bào)，并應(yīng)做到及時(shí)通報(bào)，第一時(shí)間報(bào)告相關(guān)職能管理機(jī)構(gòu)，并得到及時(shí)響應(yīng)與處置；建立監(jiān)督檢查機(jī)制，由日常監(jiān)督、定期與不定期檢查相結(jié)合，專項(xiàng)檢查與全面檢查相結(jié)合，自查與外部檢查相結(jié)合，監(jiān)督檢查的內(nèi)容應(yīng)覆蓋安全技術(shù)與安全管理；建立信息安全工作管理責(zé)任制考核，并列入集團(tuán)工作績(jī)效考核體系。

4.4 網(wǎng)絡(luò)信息安全制度體系建設(shè)

參照國內(nèi)外信息安全主流標(biāo)準(zhǔn)要求、等級(jí)保護(hù)體系及政策要求，結(jié)合上海醫(yī)藥現(xiàn)有制度及管理狀況，建立自上而下的信息安全管理制度體系，形成信息安全制度匯編。從制度涉及的管理領(lǐng)域可分為制度管理、組織管理、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五大方面。上海醫(yī)藥信息安全管理制度從層次上可分為三層結(jié)構(gòu)：

（1）信息安全管理辦法：描述信息安全管理范圍、目標(biāo)、依據(jù)、組織及責(zé)任體系及整體安全管理策略；

（2）信息安全管理規(guī)定：具體規(guī)定各項(xiàng)安全管理活動(dòng)的職責(zé)和要求；

（3）信息安全管理細(xì)則或規(guī)程：安全管理活動(dòng)和操作的具體規(guī)范和流程。

5 總結(jié)

經(jīng)過上海醫(yī)藥網(wǎng)絡(luò)信息安全管理體系的建設(shè)，不僅為上海醫(yī)藥的信息系統(tǒng)安全建設(shè)與日常管理提供指導(dǎo)和規(guī)范作用，也將為整個(gè)集團(tuán)業(yè)務(wù)的快速發(fā)展提供有力的支撐。

[1]GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求.

[2]GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求.

[3]GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范.

[4]《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》.

[5]《網(wǎng)絡(luò)安全績(jī)效標(biāo)準(zhǔn)（暫行）》.

[6]《上海市網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》.

[7]《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》.