前言
隨著科學(xué)技術(shù)的發(fā)展����,信息系統(tǒng)不斷的進步�,在帶給我們給你更多便捷的同時�,信息系統(tǒng)面對的安全威脅也越來越多�����。面對日益嚴峻的安全環(huán)境��,國家逐步出臺了對于信息系統(tǒng)的等級保護定級��、測評的相關(guān)規(guī)定�,用以保護信息系統(tǒng)的安全�����,降低其所面臨的風(fēng)險�。比如,如何對信息系統(tǒng)進行規(guī)劃和管理��,如何保證其正常運行的相關(guān)規(guī)定和措施����,出現(xiàn)故障后的應(yīng)急方案如何制定等。根據(jù)在實際情況中所遇到問題�����,遵循對問題進行分析、思考�����、實踐�、改善這一系列研究過程,發(fā)現(xiàn)規(guī)范化管理對提高系統(tǒng)運行的可用性和連續(xù)性有著至關(guān)重要的意義�����。本文將結(jié)合筆者對信息安全等級保護的理解闡述信息系統(tǒng)安全管理的重要性�����,并結(jié)合等級保護的具體測評項目制定一些相應(yīng)的自查自檢措施�����。
?
一��、規(guī)范化管理
1�����、?????????? 什么是規(guī)范化管理
規(guī)范化管理是一個系統(tǒng)工程�,要使這個系統(tǒng)工程正常工作�,實現(xiàn)高效率���、高質(zhì)量��,就需要運用科學(xué)的方法�����、手段和原理����,按照一定的運營框架�,對各項管理要素進行系統(tǒng)的規(guī)范化��、程序化�、標(biāo)準化設(shè)計,然后形成有效的管理運營機制�。
2、?????????? 什么是信息安全等級保護
根據(jù)信息系統(tǒng)在國家安全��、經(jīng)濟建設(shè)����、社會生活中的重要程度����,以及受到破壞后對受侵害客體的損害程度����,對信息系統(tǒng)的組織管理與業(yè)務(wù)結(jié)構(gòu)實行分域、分層��、分類�����、分級實施保護�����,保障信息安全和系統(tǒng)安全正常運行����,維護國家利益、社會秩序��、社會公共利益以及公民法人和其他組織的合法權(quán)益����。
信息安全等級保護制度的主要內(nèi)容是什么����?
對國家秘密信息��、法人和其他組織及公民的專有信息以及公開信息和存儲����、傳輸、處理這些信息的系統(tǒng)分等級實行安全保護�,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)���、處置���。
3、?????????? 信息系統(tǒng)管理規(guī)范化概念
信息系統(tǒng)的管理規(guī)范化
信息系統(tǒng)的管理規(guī)范化����,需要依據(jù)管理者對于等級保護工作內(nèi)容的理解��,結(jié)合等級保護要求設(shè)計管理的規(guī)范框架或流程����,形成統(tǒng)一����、規(guī)范和相對穩(wěn)定的管理體系��,并在管理工作中按照這些組織框架和流程進行實施���,以期達到管理動作的井然有序和協(xié)調(diào)高效����。
信息系統(tǒng)的規(guī)范化管理
信息系統(tǒng)的規(guī)范化管理是建立在自身管理規(guī)范化的基礎(chǔ)上����,依照自身的運維流程對系統(tǒng)進行建設(shè)和管理,解決內(nèi)部管理中的權(quán)限下發(fā)與權(quán)限集中��;要求對整個系統(tǒng)的流程形成制度化�、流程化、標(biāo)準化����、表單化以及數(shù)據(jù)化。通過這種規(guī)范化的建設(shè)����,使自身常規(guī)的事件納入制度化�����、數(shù)據(jù)化��、流程化的管理���,以形成統(tǒng)一、規(guī)范和相對穩(wěn)定的管理體系��,以此提高工作質(zhì)量和工作效率�����,達到保障信息系統(tǒng)正常運行的目的�。
1.?信息系統(tǒng)規(guī)范化管理的內(nèi)容
規(guī)范化管理在信息系統(tǒng)的運作上涉及到多個方面:項目規(guī)劃與決策程序、組織機構(gòu)�����、業(yè)務(wù)流程�����、部門和崗位設(shè)置���、規(guī)章制度和管理控制等方面�����;規(guī)范化的內(nèi)容簡單地說就是:制度化�����、流程化�、標(biāo)準化�����、表單化���、數(shù)據(jù)化�����。
l?流程的規(guī)范化
信息系統(tǒng)涉及的各個部門內(nèi)部都有各自的管理辦法����,但對于部門之間的銜接卻很難有較好的管控方法,所以��,越是界定部門之間的權(quán)責(zé)��,問題就越多�。這時就需要對自身運維流程進行明確,使部門納入到流程中�����,成為流程中的一個結(jié)點�;流程一般包括崗位工作流程、系統(tǒng)業(yè)務(wù)流程��、機構(gòu)組織流程�;在進行流程規(guī)范化的時候,必須先明確自身的職責(zé)和目標(biāo)�、識別流程及其現(xiàn)狀,然后確定各個流程����,并對流程進行科學(xué)的規(guī)劃和設(shè)計。
l?組織結(jié)構(gòu)的規(guī)范化
組織結(jié)構(gòu)是關(guān)于信息系統(tǒng)在運維過程中涉及的目標(biāo)����、任務(wù)����、權(quán)責(zé)�、操作以及相互關(guān)系的系統(tǒng)�����。具體內(nèi)容包括:各部門之間的結(jié)構(gòu)����、崗位設(shè)置、崗位職責(zé)以及崗位描述等���。目的在于協(xié)調(diào)好部門與部門之間����、人員與任務(wù)之間的關(guān)系�����,使管理人員自己在管理過程中清楚應(yīng)有的權(quán)����、責(zé)��、利�,以及工作形式��、考核標(biāo)準����,有效地保證組織活動開展,最終保證組織目標(biāo)實現(xiàn)�����。
組織結(jié)構(gòu)規(guī)范化強調(diào)組織架構(gòu)的設(shè)計�����,應(yīng)該建立在系統(tǒng)思考的基礎(chǔ)上��。各部門和崗位�,都必須從系統(tǒng)的角度出發(fā),對應(yīng)于自身的目標(biāo)來界定自己工作的內(nèi)容��、標(biāo)準和要求�����,以及所能支配的資源,使之按照既定要求和標(biāo)準�����,對所獲得的資源的配置方式進行選擇����,行使決策權(quán)力�����,并承擔(dān)相應(yīng)決策的責(zé)任��。
l?規(guī)章制度的規(guī)范化
管理制度是規(guī)范化管理的有效工具���,可以對各個部門�����、崗位和員工的運行準則進行很好的界定�����,它能夠使整個測評機構(gòu)的管理體系更加規(guī)范����,是每個員工的行為受到合理的約束與激勵。其主要內(nèi)容包括:管理體系的規(guī)范化�、行為準則界定的規(guī)范化、績效管理標(biāo)準的規(guī)范化�����、違規(guī)行為處罰的規(guī)范化等�����。
l?資料信息體系的規(guī)范化
從有利于信息化����、有利于信息共享、有利于減輕負擔(dān)出發(fā)��,根據(jù)新流程�����、新制度的要求��,按照格式模板統(tǒng)一、填寫標(biāo)準統(tǒng)一����、資料共享及歸檔要求統(tǒng)一、檢查指導(dǎo)要求統(tǒng)一�����、評分考核要求統(tǒng)一���、績效兌現(xiàn)要求統(tǒng)一的標(biāo)準,完善記錄����、報表,完善內(nèi)部共享資料數(shù)據(jù)庫�����,推進基礎(chǔ)資料信息化管理���,推進流程關(guān)鍵點的過程控制��,為量化考核���、追溯責(zé)任和績效考核提供依據(jù)����。
l?管理控制的規(guī)范化
信息系統(tǒng)的越來越復(fù)雜����,作為管理者對系統(tǒng)的管理難度就越大。這就需要管理者有一套有效的管理控制系統(tǒng)���,管理者可以通過這套規(guī)范化的系統(tǒng)���,對自身的生產(chǎn)系統(tǒng)、管理人員��、技術(shù)開發(fā)等模塊進行有效的管理和控制�����,來實現(xiàn)管理者的意圖��。
一���、??? 信息系統(tǒng)管理自查自檢措施
內(nèi)控自查工作不僅是構(gòu)成信息系統(tǒng)內(nèi)控管理體系的重要組成部分�,也是監(jiān)督審計的重要手段之一。自查工作是各業(yè)務(wù)部門依據(jù)業(yè)務(wù)流程對處理相關(guān)業(yè)務(wù)活動���、流程���、及設(shè)施的現(xiàn)場自查。開展自查工作的目的是保證信息系統(tǒng)的服務(wù)質(zhì)量��。
通過內(nèi)控自查流程��,將信息系統(tǒng)所面臨的風(fēng)險控制在最初階段,有效的降低信息系統(tǒng)所面臨的風(fēng)險�����。通過內(nèi)控自查工作�,將服務(wù)質(zhì)量控制活動落實到每個運維人員中去���,使我局員工充分認識到加強內(nèi)控管理的重要性���,不斷完善我局內(nèi)部控制體系建設(shè),強化內(nèi)控管理執(zhí)行行為�,提高管理水平,促進各項業(yè)務(wù)穩(wěn)健運行�����。
二、??? 信息資產(chǎn)自查計劃
1.?檢查人員
檢查人員 | 部門機構(gòu) 系統(tǒng)管理員 | 部門機構(gòu) 負責(zé)人及主管 | 信息技術(shù)局 安全崗 | 信息技術(shù)局 負責(zé)人 |
檢查人員責(zé)任 | 負責(zé)制定本部門系統(tǒng)的自查計劃 | 負責(zé)本部門系統(tǒng)的自查計劃的簽字審批 | 給予各部門的自查計劃提出建議�,并負責(zé)制定全面的自查計劃 | 負責(zé)各部門的自查計劃的審閱檢查和全面自查計劃的簽字審批 |
2.?檢查時間
每個月的第一周:各部門編輯部門負責(zé)維護系統(tǒng)的自查計劃,并由部門負責(zé)人簽字審批;
每個月的第二周: 信息技術(shù)局安全崗負責(zé)編制整合全面的自查計劃����,并由信息技術(shù)局負責(zé)人簽字審批后展開全面自查工作;
每個月的第三周:編制����、審核本月的檢查報告,并由信息技術(shù)局負責(zé)人審查完畢后進行存檔�。
