怎样规范信息系统管理,可以从不同角度出发,比如ITIL,就是从提高服务质量的角度出发来规范化管理的,而如果要从安全的角度出发,参照国家相关安全等级保护规范来规范化信息系统管理就是一种行之有效的办法,它既可以保障信息系统的适度安全,又可以为信息系统通过安全等级保护测评做好准备,本文就是在我单位某个信息系统通过三级安全等级保护测评时建立管理制度的经验的基础上写成。大家在建立自己的信息系统管理制度时,切记要结合本单位的实际情况,才能建立切实可行的管理制度。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现。安全管理上的安全控制分别从安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等方面对信息系统的运行和资源实施管理,信息系统建设也是围绕这几方面进行。
一、安全管理机构
安全管理机构的建设要对信息安全职能部门的组织机构和人员职责进行优化和明确,为信息系统的安全管理工作提供有效可行的组织和人员支持;要建立有关部门之间的信息安全工作协调机制,保证信息安全工作的实施,在安全事件发生时能协调配合及时做出响应。
结合单位实际情况,我们建立了主要有决策层、管理层、执行层三个层次组成的信息安全管理机构。决策层主要负责审核和批准信息安全总体方针和信息安全规划,审核和认可本单位信息安全措施的完备性和合理性,对信息安全的宏观问题进行决策。实际上它并不完全是针对某个信息系统安全管理建设的,它要对单位所有信息系统负责。
管理层主要负责制定和发布信息安全管理制度和信息安全规划,协调信息安全工作中各项需要跨部门执行的事务,监督、控制和检查信息安全管理制度的落实情况。管理层配备有信息系统安全主管,具体负责信息系统的安全管理工作。
执行层由系统维护人员和信息安全专职人员等具体执行人员组成,负责信息安全工作的具体实施和执行。针对安全等级保护的要求,配备有系统管理员、网络管理员、安全管理员,并结合信息系统管理实际需要,还配备了机房管理员、安全审计员、数据库管理员、资产管理员等。在人员配备方面需要注意的是安全等级保护要求应配备专职安全管理员,不可兼任。
在信息安全管理机构建设的基础上,要明确信息安全管理机构中各级组织和各个岗位的信息安全职责。应明确授权和审批事项、部门、人员及相关流程,规范过程文档。对与供应商、外部相关安全机构、上级主管部门等的联系、沟通合作要进行规范管理。根据等级保护对审核和检查的要求,结合国家信息安全主管部门每年发布的政府信息系统安全检查指南明确信息系统的安全检查管理,对自查、常规检查、年度安全大检查都有明确要求。在常规检查中规定安全管理员负责检查系统日常运行、用户账号、系统漏洞、数据备份和系统审计等。信息安全管理部门要组织相关人员定期分析、评审异常行为的审计记录,发现可疑行为,形成审计分析报告,并采取必要的应对措施。在年度信息安全检查中要对现有资产的具体情况,网络设备、主机设备和安全设备的当前配置情况进行检查。根据当前情况分析当前的安全状况, 了解安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
二、安全管理制度
等级保护对安全管理制度方面的要求主要体现在一是要建立安全管理制度体系,提出包括“保持适度安全、管理与技术并重、全员参与、最小特权”等内容在内的总体安全方针,制订总体安全策略。对安全管理制度应包含的内容进行规范,如要求包含:信息安全组织机构和岗位职责、人员管理制度、机房安全管理制度、数据备份管理制度、业务连续性管理制度、计算机终端管理制度、应用系统日常操作安全管理制度、网络设备日常操作安全管理制度、安全设备日常操作管理制度等方面内容。二是对管理制度本身进行规范管理,如制度制订和发布过程中制度的格式、版本控制、发布范围等,制度评审和修订过程中评审牵头部门、评审周期等。
