前言
随着科学技术的发展,信息系统不断的进步,在带给我们给你更多便捷的同时,信息系统面对的安全威胁也越来越多。面对日益严峻的安全环境,国家逐步出台了对于信息系统的等级保护定级、测评的相关规定,用以保护信息系统的安全,降低其所面临的风险。比如,如何对信息系统进行规划和管理,如何保证其正常运行的相关规定和措施,出现故障后的应急方案如何制定等。根据在实际情况中所遇到问题,遵循对问题进行分析、思考、实践、改善这一系列研究过程,发现规范化管理对提高系统运行的可用性和连续性有着至关重要的意义。本文将结合笔者对信息安全等级保护的理解阐述信息系统安全管理的重要性,并结合等级保护的具体测评项目制定一些相应的自查自检措施。
一、规范化管理
1、 什么是规范化管理
规范化管理是一个系统工程,要使这个系统工程正常工作,实现高效率、高质量,就需要运用科学的方法、手段和原理,按照一定的运营框架,对各项管理要素进行系统的规范化、程序化、标准化设计,然后形成有效的管理运营机制。
2、 什么是信息安全等级保护
根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及受到破坏后对受侵害客体的损害程度,对信息系统的组织管理与业务结构实行分域、分层、分类、分级实施保护,保障信息安全和系统安全正常运行,维护国家利益、社会秩序、社会公共利益以及公民法人和其他组织的合法权益。
信息安全等级保护制度的主要内容是什么?
对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
3、 信息系统管理规范化概念
信息系统的管理规范化
信息系统的管理规范化,需要依据管理者对于等级保护工作内容的理解,结合等级保护要求设计管理的规范框架或流程,形成统一、规范和相对稳定的
,并在管理工作中按照这些组织框架和流程进行实施,以期达到管理动作的井然有序和协调高效。
信息系统的规范化管理
信息系统的规范化管理是建立在自身管理规范化的基础上,依照自身的运维流程对系统进行建设和管理,解决内部管理中的权限下发与权限集中;要求对整个系统的流程形成制度化、流程化、标准化、表单化以及数据化。通过这种规范化的建设,使自身常规的事件纳入制度化、数据化、流程化的管理,以形成统一、规范和相对稳定的
,以此提高工作质量和工作效率,达到保障信息系统正常运行的目的。
1. 信息系统规范化管理的内容
规范化管理在信息系统的运作上涉及到多个方面:项目规划与决策程序、组织机构、业务流程、部门和岗位设置、规章制度和管理控制等方面;规范化的内容简单地说就是:制度化、流程化、标准化、表单化、数据化。
l 流程的规范化
信息系统涉及的各个部门内部都有各自的管理办法,但对于部门之间的衔接却很难有较好的管控方法,所以,越是界定部门之间的权责,问题就越多。这时就需要对自身运维流程进行明确,使部门纳入到流程中,成为流程中的一个结点;流程一般包括岗位工作流程、系统业务流程、机构组织流程;在进行流程规范化的时候,必须先明确自身的职责和目标、识别流程及其现状,然后确定各个流程,并对流程进行科学的规划和设计。
l 组织结构的规范化
组织结构是关于信息系统在运维过程中涉及的目标、任务、权责、操作以及相互关系的系统。具体内容包括:各部门之间的结构、岗位设置、岗位职责以及岗位描述等。目的在于协调好部门与部门之间、人员与任务之间的关系,使管理人员自己在管理过程中清楚应有的权、责、利,以及工作形式、考核标准,有效地保证组织活动开展,最终保证组织目标实现。
组织结构规范化强调组织架构的设计,应该建立在系统思考的基础上。各部门和岗位,都必须从系统的角度出发,对应于自身的目标来界定自己工作的内容、标准和要求,以及所能支配的资源,使之按照既定要求和标准,对所获得的资源的配置方式进行选择,行使决策权力,并承担相应决策的责任。
l 规章制度的规范化
管理制度是规范化管理的有效工具,可以对各个部门、岗位和员工的运行准则进行很好的界定,它能够使整个测评机构的
更加规范,是每个员工的行为受到合理的约束与激励。其主要内容包括:
的规范化、行为准则界定的规范化、绩效管理标准的规范化、违规行为处罚的规范化等。
l 资料信息体系的规范化
从有利于信息化、有利于信息共享、有利于减轻负担出发,根据新流程、新制度的要求,按照格式模板统一、填写标准统一、资料共享及归档要求统一、检查指导要求统一、评分考核要求统一、绩效兑现要求统一的标准,完善记录、报表,完善内部共享资料数据库,推进基础资料信息化管理,推进流程关键点的过程控制,为量化考核、追溯责任和绩效考核提供依据。
l 管理控制的规范化
信息系统的越来越复杂,作为管理者对系统的管理难度就越大。这就需要管理者有一套有效的管理控制系统,管理者可以通过这套规范化的系统,对自身的生产系统、管理人员、技术开发等模块进行有效的管理和控制,来实现管理者的意图。
一、 信息系统管理自查自检措施
内控自查工作不仅是构成信息系统内控
的重要组成部分,也是监督审计的重要手段之一。自查工作是各业务部门依据业务流程对处理相关业务活动、流程、及设施的现场自查。开展自查工作的目的是保证信息系统的服务质量。
通过内控自查流程,将信息系统所面临的风险控制在最初阶段,有效的降低信息系统所面临的风险。通过内控自查工作,将服务质量控制活动落实到每个运维人员中去,使我局员工充分认识到加强内控管理的重要性,不断完善我局内部控制体系建设,强化内控管理执行行为,提高管理水平,促进各项业务稳健运行。
二、 信息资产自查计划
1. 检查人员
检查人员 | 部门机构 系统管理员 | 部门机构 负责人及主管 | 信息技术局 安全岗 | 信息技术局 负责人 |
检查人员责任 | 负责制定本部门系统的自查计划 | 负责本部门系统的自查计划的签字审批 | 给予各部门的自查计划提出建议,并负责制定全面的自查计划 | 负责各部门的自查计划的审阅检查和全面自查计划的签字审批 |
2. 检查时间
每个月的第一周:各部门编辑部门负责维护系统的自查计划,并由部门负责人签字审批;
每个月的第二周: 信息技术局安全岗负责编制整合全面的自查计划,并由信息技术局负责人签字审批后展开全面自查工作;
每个月的第三周:编制、审核本月的检查报告,并由信息技术局负责人审查完毕后进行存档。
落实“三管三必须” 做好安全管理工作
起重伤害事故预防措施及应急救援措施
