前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全管理要求主題范文,僅供參考,歡迎閱讀并收藏。
信息安全管理系統(tǒng)作為信息安全的支撐體系以及實施信息安全維護的落腳點,是信息安全管理中的重要組成部分。目前我國的信息安全管理系統(tǒng)還尚未完善,其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲平臺來對眾多的文檔進行儲存,從而導致大量文檔的丟失;其次,如果信息安全管理系統(tǒng)不完善,就不能降低資產(chǎn)等的風險評估以及對資產(chǎn)進行集中式的管理;最后,由于信息安全系統(tǒng)中各個報表功能的不完善,文檔信息就無法快速、準確地透露出信息安全的實際狀況,從而起到有效地保護作用。
信息安全管理系統(tǒng)主要能夠通過對關(guān)鍵資產(chǎn)實行定性和定量分析,從而得出資產(chǎn)的精確風險值,識別系統(tǒng)中存在的重要因患資產(chǎn),并進一步通知信息管理員采取適當?shù)胤椒▉頊p少隱患事件的發(fā)生,通過科學的管理降低企業(yè)的資產(chǎn)風險。由此可見,完善的信息安全管理系統(tǒng)是不可或缺的,它一方面決定著信息安全管理體系的具體實施,另一方面也可以促進企業(yè)信息安全管理體系的進一步維護與建設(shè)。
2信息安全管理系統(tǒng)標準
科學統(tǒng)一的國家信息安全標準,有利于協(xié)調(diào)與融合各個信息安全管理系統(tǒng)的工作,充分促進信息安全標準系統(tǒng)的功能發(fā)揮。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分。
2.1ISO/IEC27000系列標準
1995年,英國標準協(xié)會(BSI)了BS7799-1和BS7799-2兩部標準,隨著時代的進步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個部分,并進一步成為目前信息安全管理體系的主要核心標準。BS7799的最初提出目的主要在于建立起一套能夠用于開發(fā)、實施以及測量的科學信息安全管理慣例,并作為一種通用框架來促進貿(mào)易伙伴之間的信任。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進一步循環(huán)與完善,這一過程實質(zhì)上就是在宏觀的角度上來指導整個項目的有效實施。它意在風險管理的基礎(chǔ)之上,用風險分析的途徑,把發(fā)生信息風險的概率降到最低程度,同時采取適當?shù)卮胧﹣肀U现黧w業(yè)務(wù)的順利進行。ISO/IEC27002主要闡述了133項控制細則,以及11項需要有效控制的項目,其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環(huán)境安全、訪問控制、資產(chǎn)管理、系統(tǒng)的開發(fā)與維護、業(yè)務(wù)連續(xù)性管理、通信與操作安全等一系列的安全風險評估與控制。
2.2信息安全等級保護
1994年國務(wù)院出臺了《中華人民共和國計算機信息系統(tǒng)安全保護條例》,該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進信息化的健康與發(fā)展,從而進一步維護國家安全、社會發(fā)展以及人民群眾的利益。它的核心標準《GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則]是在TCSEC的分級保護思想基礎(chǔ)之上,針對我國信息安全的發(fā)展實際進行改善,最終把安全等級縮減成更具可操作性的5個級別?!禛B/T22239-2008信息系統(tǒng)安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術(shù)要求兩類,其中前者主要包括系統(tǒng)建設(shè)管理、安全管理制度、系統(tǒng)運維管理、安全管理機構(gòu)和人員安全管理;后者主要包括應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、主機安全以及數(shù)據(jù)安全與備份恢復(fù)。此外,信息安全等級保護的系列標準里還包括(〈GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護細則的具體操作要求。
3信息安全管理系統(tǒng)的模型設(shè)計
根據(jù)信息安全管理系統(tǒng)標準,結(jié)合以往的信息安全管理系統(tǒng)設(shè)計,提出一種新型的四層信息安全管理系統(tǒng):
第一層是數(shù)據(jù)庫層:包括日志、資產(chǎn)庫、異常日志以及資產(chǎn)弱點庫和資產(chǎn)風險庫等。該數(shù)據(jù)庫層的主要功能在于對信息安全管理系統(tǒng)中的數(shù)據(jù)進行存儲。
第二層為功能模塊層:包括資產(chǎn)管理、風險管理、弱點管理、信息安全管理規(guī)范下載管理資產(chǎn)等級評估管理、拓補管理以及日志分析。
第三層為信息采集:主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件。
最后一層為展示層:它包含某個具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況、業(yè)務(wù)系統(tǒng)拓補以及異常安全事件等相關(guān)部分。
上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點創(chuàng)新之處:
(1)所設(shè)計的風險模塊管理可以把風險評估常態(tài)化、主動化,使其對整個業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風險進行動態(tài)的跟蹤與準確分析;另外,該信息安全系統(tǒng)的日志審計功能也可以實現(xiàn)被動式的安全管理,從而使主動管理與被動管理在信息安全管理系統(tǒng)中充分融合。
(2)業(yè)務(wù)系統(tǒng)的動態(tài)建模和系統(tǒng)支持資產(chǎn),可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起,由此,整個信息安全系統(tǒng)一方面可以準確地體現(xiàn)出在一個具體業(yè)務(wù)系統(tǒng)環(huán)境下,其單獨資產(chǎn)的具體安全狀況;另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標準,反應(yīng)出整個資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況。
(3)該新安全管理系統(tǒng)增加并促進了拓補管理功能的發(fā)揮。
(4)該信息安全管理系統(tǒng)模型提供了統(tǒng)一的知識庫管理,能夠?qū)θ罩?、資產(chǎn)庫、異常日志以及資產(chǎn)弱點庫和資產(chǎn)風險庫等部分進行更有效的數(shù)據(jù)存儲與管理。
關(guān)鍵詞:航空管制;信息系統(tǒng);信息安全;對策
1強化安全管理意識
航空管制信息安全管理工作人員的信息安全管理意識對于航管信息安全管理會產(chǎn)生直接的影響,也是航空管制信息安全管理過程中的重要因素。航空管制信息安全管理過程中出現(xiàn)的安全漏洞,很大程度上就是由于相關(guān)工作人員安全意識的淡薄,在工作中對自已要求不嚴,從而忽視了信息安全的重要性。為了強化航空管制信息安全管理工作,就必須注重對工作人員信息安全管理意識的強化。其主要分為以下幾個方面:1)積極強化航空公司的各級領(lǐng)導信息安全意識,首先確保最高決策者始終擁有高強度的安全意識,并且以身作則,在自己的實際工作中體現(xiàn)出對安全管理得重視,這樣才能帶動各級工作不斷提高自身的信息安全防范意識。信息安全管理工作,主要內(nèi)容是“三分技術(shù),七分管理”,各航空工作人員應(yīng)該始終將技術(shù)與管理結(jié)合起來,作為約束自己日常工作行為的基本準則。強化工作人員的信息安全意識,需要對其進行定期系統(tǒng)的信息安全教育(如信息安全管理知識講座等),以此為手段不斷發(fā)展航空管制人員的信息安全知識水平,促使每一位工作人員都能擁有高度的自主安全管理意識。2)注重對航管人員自身信息技術(shù)素質(zhì)水平的培養(yǎng)。在航空管制信息安全管理工作中,良好的專業(yè)素養(yǎng)以及熟練的操作能力是每一位工作人員都必須具備的技能。況且,隨著信息技術(shù)與人工智能技術(shù)逐漸的深入航空領(lǐng)域,在以后的航空管制工作中,若是沒有一定的信息技術(shù)專業(yè)知識,航管人員就無法準確高效的把握航管新裝備和新技術(shù)。同時,航管人員在學習信息技術(shù)知識的過程中,還能開拓自己的眼界,豐富自身對現(xiàn)代化技術(shù)的認識,在強化自身工作能力和安全意識的同時,還能為整個航空領(lǐng)域的發(fā)展提供幫助,確保航管信息安全管理工作的順利進行。3)注重航管信息安全管理觀念創(chuàng)新。在這個信息化的時代,各個領(lǐng)域都在飛速發(fā)展。日新月異的信息技術(shù),大量的新型航空管制理念,都要求航空管制信息安全工作要隨著時代的發(fā)展不斷變遷、創(chuàng)新。不僅如此,由于航空管制信息安全直接影響著飛機的飛行安全和乘客的人身安全,相關(guān)人員應(yīng)該始終保持本公司的運營理念與國際的新理念接軌,根據(jù)市場需求不斷改善航管信息安全管理目標和具體實踐措施,創(chuàng)造屬于我們這個時代的航空管制信息安全管理模式。將航管信息安全管理的策略落到實處,確保航空運行過程中各個環(huán)節(jié)的信息安全[1]。
2抓住主要矛盾
要想最大程度的發(fā)揮出航管信息安全管理工作的作用,航空公司的決策者和相關(guān)工作人員就得明確航管信息安全管理過程中的重難點,只有這樣,才能保證有目標、有計劃的施以措施。航管人員務(wù)必要高效的解決在航管信息安全管理工作中出現(xiàn)的各種矛盾,下文就以其中存在的主要矛盾為例說明。航管信息安全管理的根本目的是保證航管信息的完整性、可控性及保密性等,除此之外,還需要對航管信息資料進行防御、檢測、抑制、恢復(fù)和管理,從多方面著手,保證航管工作的質(zhì)量。航管信息管理工作的重點是管理和控制航空管制信息系統(tǒng),其主要是對航管系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層進行安全控制。航管工作中的系統(tǒng)層管理指的是對硬件和軟件的安全管理,而且軟件安全管理是整個航管信息安全管理工作中的重點。對于硬件系統(tǒng)的安全管理工作,一般將其列入物理安全范圍,主要是防電磁輻射、電子干擾等因素[2]。在應(yīng)用軟件這一層面上,航管信息系統(tǒng)有時候會遭到黑客的侵襲,因此,相關(guān)技術(shù)人員務(wù)必要做好防“黑客”、防病毒的準備工作,而且在此基礎(chǔ)上,還得不斷恢復(fù)信息管理系統(tǒng),優(yōu)化操作系統(tǒng)的可行性和安全性,確保航管信息安全管理的效率。在加強軟件系統(tǒng)管理工作的同時,還要對網(wǎng)絡(luò)層面的安全管理進行加強。其主要包含以下幾點:網(wǎng)絡(luò)報警、網(wǎng)絡(luò)恢復(fù)、數(shù)據(jù)保護、密鑰安全及內(nèi)部認證等。對于網(wǎng)絡(luò)層面安全管理工作的加強,工作人員應(yīng)該將重點放在各處子網(wǎng)的出入口設(shè)備上,同時,軟件設(shè)施方面也應(yīng)配合硬件設(shè)施,積極研發(fā)嵌入式操作系統(tǒng),不斷創(chuàng)新,應(yīng)用更高水平的數(shù)字簽名技術(shù),對網(wǎng)絡(luò)層進行加密。
3完善航管部門信息安全防范體系
俗話說:“無規(guī)矩,不成方圓”。要想充分完善航管信息安全管理工作,對航管信息進行有效控制,航管部門就需要根據(jù)自身的實際條件不斷健全航管部門的信息安全管理體系。所以,工作人員就要提前做好充分的市場調(diào)研,就目前市場上的航管信息安全管理機構(gòu)設(shè)置進行討論研究,仔細觀察整個機構(gòu)設(shè)置的合理性和可行性,對各個部門的航管信息安全管理職能進行明確劃分,使信息安全管理要求與業(yè)務(wù)流程聯(lián)系起來,最大程度的發(fā)揮出航管信息安全管理機構(gòu)的作用。不斷完善航管信息安全管理制度,加上安全管理體系的建設(shè),實行統(tǒng)一規(guī)劃、統(tǒng)一管理與統(tǒng)一監(jiān)督。時刻與國際先進的技術(shù)保持聯(lián)系,將自身的發(fā)展與信息技術(shù)和人工智能緊密聯(lián)系起來,將本航空公司的安全管理體系至于本行業(yè)發(fā)展的前沿。在航管過程中,需要使用的儀器設(shè)備要盡量采用國產(chǎn)裝備,特別是某些涉及到自主關(guān)鍵技術(shù)機密以及中國自主知識產(chǎn)權(quán)的核心儀器設(shè)備。與此同時,工作人員還應(yīng)該注重加強對網(wǎng)絡(luò)安全系統(tǒng)的規(guī)范管理制度,逐漸建立出相應(yīng)系統(tǒng)的航管信息安全管理標準和統(tǒng)一的航管信息安全管理綜合評估體系以及針對航管信息的獲取和應(yīng)用等,需要明確的制定出切實可行的安全管理措施體系。由此可見,在航管信息安全管理的過程中,始終不能脫離完整、規(guī)范的航管信息安全防范體系,只有通過航管部門系統(tǒng)全面嚴格的控制把關(guān),才能高效地處理航管信息安全工作中出現(xiàn)的各種問題。在日常的航管部門信息安全管理工作中,工作人員務(wù)必要注意兩點,一是加強對航管人員的信息安全教育。要定期組織全體航空管制信息安全管理人員對工作中的專業(yè)知識以及某些設(shè)備的操作技術(shù)進行學習,不斷的對航管人員注入最新的航管理念,對航管人員的航空管制保密常識進行培訓,加強信息安全教育,確保每一位航空管制人員都擁有深刻的信息安全意識,以保證航空飛行安全。二是對整體航管人員實行保密信息封鎖制度。航空公司應(yīng)該根據(jù)實際情況制定出適合自身發(fā)展的電子設(shè)備保密管理制度,控制工作人員與外界不必要的聯(lián)系,始終嚴格約束所有工作人員的言行舉止,切忌在日常交流以及聯(lián)系中向外界流失掉機密信息。不僅如此,航空公司中的任何以為工作人員都不允許以任何一種形式對外界透露公司內(nèi)部的運行情況,更不能泄露涉及航管和飛行安全的信息[3]。
4健全航管信息安全管理法規(guī)制度
航空公司嚴謹有序的運行模式,不僅需要每一位工作人員的付出還需要高層決策者與各級工作人員商議之后制定出合理的法規(guī)制度,以統(tǒng)一形式的制度、要求及管理力度對員工進行統(tǒng)一管理,一視同仁,旨在提升對航管信息安全的管理效率。健全航管信息安全管理法規(guī)制度的要求分為兩個方面,第一個方面,公司要盡快且保證質(zhì)量的建立屬于自己的航管信息安全評估系統(tǒng)。在建設(shè)的過程中,要始終按照國家的標準要求,不管是信息基礎(chǔ)設(shè)施建設(shè),還是網(wǎng)絡(luò)規(guī)劃建設(shè),都必須通過國家相關(guān)管理部門的審批。而在進行基礎(chǔ)設(shè)施建設(shè)和設(shè)備配備的過程中,則需要安全管理部門和質(zhì)量管理部門進行約束指導,所有的信息建設(shè)只有在通過有效的信息安全質(zhì)量認證之后,才能投入使用。第二個方面,要想使航空管制信息安全管理過程中的規(guī)章制度得到系統(tǒng)化、明確化、條理化,工作人員就必須以本航空公司的航管信息安全管理模式為出發(fā)點,經(jīng)過多方面的調(diào)研分析,采取各個階層工作人員的意見整合之后制定出可行有效的信息安全規(guī)章制度,力爭在最短的時間內(nèi)使航空管制信息安全管理工作的可行性得到大幅度提升[4]。
5結(jié)語
綜上所述,航空管制信息安全管理工作是所有航空公司正常運營的前提條件,也是順利開展航管業(yè)務(wù)的基礎(chǔ)工作,只有航管信息安全得到了保障,飛機的飛行安全才能得到保障。航管人員在日常的工作之中要始終樹立堅實牢固的航管信息安全意識,提高自身的航管能力。相應(yīng)的公司管理人員也應(yīng)不斷強化本公司的信息技術(shù),結(jié)合國際上新型的航管理念發(fā)展自身的運行效率,為飛機的安全飛行保駕護航。
參考文獻:
[1]許彬.航管信息情報系統(tǒng)的設(shè)計與實現(xiàn)[D].成都:電子科技大學,2014.
[2]魏純潔.空中交通管制安全評估關(guān)鍵技術(shù)研究[D].南京:南京航空航天大學,2012.
關(guān)鍵詞:醫(yī)療衛(wèi)生行業(yè);信息安全;等級保護;管理制度
1引言
隨著信息化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展,大數(shù)據(jù)和換聯(lián)網(wǎng)+也進入了醫(yī)療衛(wèi)生行業(yè),加快了醫(yī)院信息化的發(fā)展。隨著醫(yī)院業(yè)務(wù)的發(fā)展,醫(yī)院信息系統(tǒng)的應(yīng)用也更加廣泛,醫(yī)院對其依賴性會越來越強,風險也隨之會提高。但醫(yī)療服務(wù)的特殊性決定了醫(yī)院信息系統(tǒng)需要24小時不間斷運行,這就對醫(yī)院的信息安全管理提出了更高要求。信息安全管理是指導和控制組織關(guān)于信息安全風險相互協(xié)調(diào)的活動,它是了解體系安全狀態(tài)、實現(xiàn)信息安全目標的重要關(guān)口,主要包括信息安全風險評估、風險管理和技術(shù)措施的控制。如何更好地進行信息安全管理成為一個不可忽視的問題,因此,在醫(yī)院信息化建設(shè)的同時加強信息安全管理建設(shè)是解決醫(yī)院信息安全問題的必然選擇。
2我國衛(wèi)生行業(yè)信息安全管理政策
2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設(shè)指導意見與發(fā)展規(guī)劃(2011-2015)》(“十二五”規(guī)劃)明確提出了我國醫(yī)療信息化發(fā)展的藍圖和發(fā)展方向“35212工程”,建設(shè)信息安全體系即是最后一個“2”中的一項。按照《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函〔2011〕1126號)的要求,三級甲等醫(yī)院應(yīng)于2015年12月30日前全部完成信息安全等級保護建設(shè)整改工作,并通過等級測評。這標志著我國衛(wèi)生行業(yè)開始通過信息安全等級保護加強對醫(yī)院信息安全的管理。原衛(wèi)生部、國家中醫(yī)藥管理局在2012年6月15日的《關(guān)于加強衛(wèi)生信息化建設(shè)的指導意見》指出,要加強衛(wèi)生信息安全保障體系建設(shè),落實國家信息安全等級保護制度。國家衛(wèi)生計生委規(guī)劃信息司在2014中國健康大會上也指出,醫(yī)療衛(wèi)生信息化是國家信息化發(fā)展的重點,已納入“十三五”國家網(wǎng)絡(luò)安全和信息化建設(shè)重點。
3醫(yī)院信息安全管理需求
據(jù)《南方都市報》報道,2008年5月以來,香港連續(xù)爆出泄密事件:先是醫(yī)管局下屬醫(yī)院陸續(xù)發(fā)現(xiàn)患者資料遺失,共涉及1.6萬名患者,此事立刻轟動了全港。2010年5月23日,一張神秘的清單在網(wǎng)上曝光,其中列出了寧波市某醫(yī)院45名醫(yī)生的工號、名字和所屬科室,后面還注明了他們使用藥品氨曲南的數(shù)量和總價,雖然腐敗得到懲戒,大快人心,但所暴露的醫(yī)院的潛在威脅值得警惕。2013年7月,寧波兩家醫(yī)院掛號系統(tǒng)癱瘓事件,同樣也引起了社會各界對醫(yī)院信息系統(tǒng)安全的高度關(guān)注。2015年10月份的澳門山頂醫(yī)院最大泄密事件,患者資料隨街散落,也折射出醫(yī)療衛(wèi)生行業(yè)信息安全問題的嚴峻性。信息化在給醫(yī)院帶來便利的同時,也帶來了醫(yī)院信息安全的隱患,上述嚴重的信息安全事件給醫(yī)院的信息安全管理敲響了警鐘。醫(yī)院信息系統(tǒng)承擔著整個醫(yī)院的內(nèi)外各項業(yè)務(wù),其安全狀況直接關(guān)乎患者隱私和健康、社會秩序及穩(wěn)定等。加強信息安全、消除信息安全隱患,已經(jīng)成為醫(yī)院當前必須要面對的問題。
4醫(yī)院信息安全管理制度的發(fā)展對策
在《信息系統(tǒng)安全等級保護基本要求》和醫(yī)院評審的相關(guān)標準中都提到了信息管理部分,都強調(diào)了信息安全管理,并且都是對醫(yī)院進行此兩方面評審時的重要的評審部分。結(jié)合這兩方面的評審要求,可以分別從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運行安全管理五個方面,對醫(yī)院信息安全進行管理。
4.1建立完善的總體安全管理制度
醫(yī)院應(yīng)根據(jù)自身的實際情況制訂總信息安全管理制度,總信息安全管理制度是一個醫(yī)院的根本管理制度,規(guī)定醫(yī)院信息安全管理的根本任務(wù)和根本制度,是醫(yī)院信息安全工作的總體方針、總體目標、總體原則,是其他信息安全管理制度制訂的依據(jù)和基本要求??傂畔踩芾碇贫戎袘?yīng)嚴格明確制度制定與的流程、方式、范圍等,應(yīng)定期組織相關(guān)部門對安全管理制度進行評審與修訂,以滿足醫(yī)院信息化不斷發(fā)展的需要。
4.2應(yīng)建立穩(wěn)固的安全管理機構(gòu)
醫(yī)院應(yīng)根據(jù)總體安全管理制度的基本要求設(shè)置安全管理機構(gòu)和安全管理崗位,并制定《崗位設(shè)置與職責管理制度》,應(yīng)明確“三員”(系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員)崗位與職責。醫(yī)院信息安全管理不是某一個部門的職責,而是全醫(yī)院相關(guān)部門都要參與,從自身做起,從上述某醫(yī)院的信息安全管理機構(gòu)圖來看,信息安全領(lǐng)導小組對醫(yī)院信息安全管理進行定期評審,再由醫(yī)院最高領(lǐng)導的支持,然后直到一線的人員,每個崗位都有明解的崗位職責,達到穩(wěn)固的管理,責任到人,能滿足醫(yī)院信息化不斷發(fā)展的需要。
4.3配備專業(yè)的信息化人員,制定完善的員工信息安全管理制度
醫(yī)院人事主管部門,應(yīng)針對醫(yī)院的實際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓制度》、《外部人員參觀訪問制度》等人員工信息安全管理制度。在人員錄用方面應(yīng)按照制度流程對被錄用人員進行資格審查,對于在醫(yī)院從事關(guān)鍵崗位的人員應(yīng)當簽署保密協(xié)議等,在離職時應(yīng)按照制度流程辦理離職手續(xù),例如應(yīng)回收醫(yī)院發(fā)放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統(tǒng)賬號等;在人員考核方面應(yīng)定期對各個崗位的人員進行信息安全技術(shù)及信息安全認知的考核,確保在崗人員都有維護醫(yī)院信息安全的義務(wù);在人員的安全教育和培訓方面,應(yīng)對各類人員定期進行信息安全教育和培訓,提高其安全意識,明確責任和獎懲措施;在外部人員來醫(yī)院參觀訪問方面,應(yīng)用按照制度進行授權(quán)和審批,確保醫(yī)院運行安全。
4.4完善醫(yī)院各類信息系統(tǒng)的建設(shè),制定切實可行的信息系統(tǒng)安全管理制度
信息化數(shù)字化醫(yī)院建設(shè)只有起點沒有終點,醫(yī)院在各類信息系統(tǒng)建設(shè)方面應(yīng)根據(jù)自身的實際情況,制定完善可行的信息系統(tǒng)建設(shè)規(guī)章,可保障醫(yī)院相關(guān)部門在信息系統(tǒng)建設(shè)過程有據(jù)可依、有規(guī)可循。例如醫(yī)院可制定如下關(guān)于醫(yī)院信息系統(tǒng)建設(shè)的管理制度:《醫(yī)院信息系統(tǒng)定級管理制度》、《醫(yī)院信息系統(tǒng)安全方案設(shè)計管理制度》、《醫(yī)院信息系統(tǒng)產(chǎn)品采購和使用制度》、《醫(yī)院信息系統(tǒng)自行軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)外包軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)工程實施管理制度》、《醫(yī)院信息系統(tǒng)測試驗收管理制度》、《醫(yī)院信息系統(tǒng)交付管理制度》等。
4.5制定切實可行的醫(yī)院各類信息系統(tǒng)運行管理制度,滿足醫(yī)院各類業(yè)務(wù)的適時訪問需求
醫(yī)院各類信息系統(tǒng)建設(shè)的目的是為了更好地滿足各類業(yè)務(wù)的需求,保障建設(shè)好的各類信息系統(tǒng)更好的運行。醫(yī)院信息系統(tǒng)管理者應(yīng)從管理方面制定切實可行的管理制度,同時針對不同的醫(yī)院使用人員,制定不同的使用操作手冊,讓醫(yī)院的使用者達到規(guī)范操作,這樣可以大大減少人為誤操作導致的系統(tǒng)故障,方便運維人員對系統(tǒng)的維護。例如醫(yī)院可根據(jù)信息系統(tǒng)的實際情況制定如下運行管理制度:《醫(yī)院信息系統(tǒng)環(huán)境管理制度》、《醫(yī)院信息系統(tǒng)資產(chǎn)管理制度》、《醫(yī)院信息化介質(zhì)管理制度》、《設(shè)備管理制度》、《醫(yī)院網(wǎng)絡(luò)安全管理制度》、《醫(yī)院信息系統(tǒng)安全管理制度》、《醫(yī)院惡意代碼防范管理制度》、《醫(yī)院信息系統(tǒng)密碼管理制度》、《醫(yī)院信息系統(tǒng)備份與恢復(fù)管理制度》、《醫(yī)院信息系統(tǒng)安全事件處置制度》、《醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案管理制度》等。
5總結(jié)
信息化、數(shù)字化醫(yī)院建設(shè)只有起點沒有終點,醫(yī)院信息系統(tǒng)安全伴隨著信息化數(shù)字化醫(yī)院建設(shè)同樣沒有終點。醫(yī)院需要高度重視信息安全管理,制定一套切實可行的信息安全管理制度和措施,才能更好地保證醫(yī)院信息系統(tǒng)安全、高效、穩(wěn)定的運行。
參考文獻:
[1]蔡文濤.淺談醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全[J].中國現(xiàn)代醫(yī)生,2009(32):116-117.
[2]李剛.醫(yī)院信息系統(tǒng)安全管理問題淺析[J].中國管理信息化,2013(1):39.
[3]楊棟,劉立輝,任志剛.醫(yī)院信息安全管理與措施[J].中國醫(yī)療設(shè)備,2011,26(6):70-72.
【關(guān)鍵詞】 信息安全標準化控制項
1 引言
國際標準化組織(ISO)是由各國標準化團體(ISO成員團體)組成的世界性的聯(lián)合會。由國際標準化組織的ISO/IEC 27001是信息安全管理體系要求。建立ISO/IEC 27001信息安全管理體系并獲得認證,能提高組織自身的信息安全管理水平,將組織的信息安全風險控制在可接受的范圍內(nèi),減少因信息安全事件帶來的破壞和損失??梢员WC組織業(yè)務(wù)的持續(xù)性,并向客戶及利益相關(guān)方展示組織保障信息安全的能力,能增強合作伙伴、投資方的信心,并能得到國際上的認可。
日前,ISO國際標準化組織了信息安全管理體系ISO 27001:2013 DIS(國際標準草案),標志著已經(jīng)沿用了8年的ISO/IEC 27001:2005即將換版。新的信息安全管理體系標準,進一步的體現(xiàn)了信息安全管理體系適用于所有行業(yè)、注重管理績效的核心思想,為計劃采用該管理體系標準的組織的提供了更先進、慎密的管理體系標準。
2 ISO/IEC 27001改版的主要差異
2.1 體現(xiàn)與時俱進的思想
新版ISO/IEC 27001將控制項從133個縮減為113個,淘汰了一些過時的信息安全控制項,如移動代碼(A.10.4.2 Controls against mobile code );另一方面,針對這幾年信息技術(shù)的發(fā)展,將移動設(shè)備(A.6.2.1Mobile device policy)列入了控制項;同時強調(diào)了一些近幾年倍受關(guān)注的控制項,如2005版的A.12.3密碼控制獨立為A.10密碼控制。
2.2 注重管理績效
對管理體系的評價單獨形成第9章Performance evaluation。并在標準的不同層面強調(diào)信息安全不單單是IT部門的工作,也不僅僅是安全問題,一個成功的信息安全管理依賴于于IT支撐部門與業(yè)務(wù)部門共同協(xié)作,所有相關(guān)部門都應(yīng)該了解信息安全的意義。
2.3 提高兼容性
新版27001采用ISO導則83的結(jié)構(gòu)性要求,從8個章節(jié)調(diào)整為10個章節(jié),重新構(gòu)建了ISO標準的PDCA章節(jié)架構(gòu),這個結(jié)構(gòu)在已的ISO22301中已應(yīng)用,未來將在ISO其它標準改版中普遍采用(包括ISO9000、ISO20000等)。
3 新標準前的轉(zhuǎn)版準備工作
ISO/IEC 27001:2013 DIS與ISO/IEC 27001:2005相比,差異體現(xiàn)為三類:取消,變更,增加。目前,ISO 27001:2013尚未正式,對于已經(jīng)獲得GB/T 22080:2008認證的企業(yè),可以考慮在現(xiàn)有信息安全管理體系中加入ISO/IEC 27001:2013 DIS增加的控制項,從而進一步完善企業(yè)的信息安全管理體系,并降低ISO 27001:2013正式時的轉(zhuǎn)版工作量。具體操作上可以按照新增控制項識別、業(yè)務(wù)梳理、風險評估、風險處置、體系文件編制、內(nèi)部審核、管理評審的流程操作。新增的控制項包括:
A.14.2.1 Secure development policy/安全開發(fā)策略
控制措施:在組織內(nèi)應(yīng)對軟件和系統(tǒng)的開發(fā)過程建立并實施安全規(guī)則
A.14.2.5 System development procedures/系統(tǒng)開發(fā)程序
控制措施:應(yīng)為任何信息系統(tǒng)的開發(fā)建立、記錄、維護安全系統(tǒng)的工程原則
A.14.2.6Secure development environment/安全的開發(fā)環(huán)境
控制措施:組織應(yīng)在系統(tǒng)開發(fā)的整個生命周期里為系統(tǒng)開發(fā)和集成建立并適當保護安全開發(fā)環(huán)境
A.14.2.8System security testing/系統(tǒng)安全測試
控制措施:在開發(fā)過程中應(yīng)進行安全功能的測試
A15.1.1Information security policy for supplier relationships/供應(yīng)商關(guān)系的信息安全策略
控制措施:為降低風險,應(yīng)對供應(yīng)商訪問組織的信息或信息處理過程確定信息安全要求并形成文件
A.15.1.2Addressing security within supplier agreements/在供應(yīng)商協(xié)議解決安全
控制措施:對每個可能接觸組織信息的供應(yīng)商,接觸方式包括訪問、處理、存儲、通訊或提供IT基礎(chǔ)設(shè)施,應(yīng)建立所有與信息安全相關(guān)的要求并獲得批準。
A15.1.3ICT supply chain/ ICT供應(yīng)鏈
控制措施:與供應(yīng)商的協(xié)議應(yīng)包括為解決相關(guān)的信息和通信技術(shù)服務(wù)及相關(guān)產(chǎn)品供應(yīng)鏈中的信息安全風險的要求
A.16.1.4Assessment and decision of information security events/信息安全事件的評估和決策
控制措施:應(yīng)評估信息安全事態(tài),并判斷是否應(yīng)歸類為信息安全事件
A.17.2.1Availability of information processing facilities/信息處理設(shè)施的可用性
控制措施:為實現(xiàn)可用性要求,信息處理設(shè)施應(yīng)實施適當?shù)娜哂啻胧?/p>
4 總結(jié)
新版ISO/IEC 27001標準為了更好地幫助使用標準的企業(yè)管理信息安全以及追求“有用”和“好用”的目標,在信息過程的覆蓋面及針對性及與其它ISO管理體系標準的一致性方面有了很大提高。
參考文獻:
[1]ISO/IEC 27001:2005 Information technology-Security techniques-Information security management systems-Requirements.
由于電力企業(yè)以發(fā)電、經(jīng)營電力為主,信息網(wǎng)絡(luò)安全問題并沒有得到足夠重視,管理方面存在重技術(shù)輕管理的問題,未建立完善的信息安全管理制度,面對上級檢查,簡單應(yīng)付,腦子里輕視信息安全,信息安全觀念淡薄,這都會增加企業(yè)信息系統(tǒng)的安全風險。例如,缺少對企業(yè)職工的信息安全教育培訓、缺少定期對信息運維人員的安全技能的培訓等等,都會嚴重威脅企業(yè)信息網(wǎng)絡(luò)的安全。電力企業(yè)在針對信息系統(tǒng)的應(yīng)用和信息網(wǎng)絡(luò)安全兩個方面時,更加注重的是前者。以此同時,可能部分職工還存在僥幸心理,忽視了網(wǎng)絡(luò)安全問題的重要性。
2電力企業(yè)網(wǎng)絡(luò)信息安全管理的有效策略
2.1注重建設(shè)基礎(chǔ)設(shè)施和管理運行環(huán)境
需要嚴格的管理配電室、信息、通信機房等關(guān)鍵性的基礎(chǔ)設(shè)施,對防水、防火、防盜裝置進行合理配備;對電力二次設(shè)備安全防護要做到,安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證,生產(chǎn)控制大區(qū)與信息管理大區(qū)要做好物理強隔離;機房需要安裝監(jiān)控報警設(shè)備和動環(huán)監(jiān)測系統(tǒng);對桌面終端和主機等設(shè)備要做好補丁更新,控制權(quán)限;在網(wǎng)絡(luò)安全設(shè)備上要做好安全策略;做好流量監(jiān)測和行為監(jiān)測;此外,建立設(shè)備運行日志,對設(shè)備的運行狀況進行記錄,并且建立操作規(guī)程,從而保證信息系統(tǒng)運行的穩(wěn)定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,確保根據(jù)安全管理制度進行操作;做好安全防護記錄、制定應(yīng)急響應(yīng)預(yù)案、系統(tǒng)操作規(guī)程、用戶應(yīng)用手冊、網(wǎng)絡(luò)安全規(guī)范、管理好口令、落實安全保密要求、人員分工、管理機房建設(shè)方案等制度,確保信息系統(tǒng)運行的穩(wěn)定性和安全性。由內(nèi)至外,全面的貫徹,實施動態(tài)性地管理,持續(xù)提高信息安全、優(yōu)化網(wǎng)絡(luò)拓撲結(jié)構(gòu)。
2.3注重信息安全反違章督察工作的開展
建立信息安全督察隊伍,明確職責,按照信息安全要求,開展定期的督察,發(fā)現(xiàn)問題,限期整改。電力企業(yè)要對企業(yè)信息系統(tǒng)軟硬件設(shè)施、容災(zāi)系統(tǒng)、桌面終端、防護策略等進行定期督查,實現(xiàn)信息安全設(shè)備加固和更新,培養(yǎng)信息安全督查專家隊伍,交叉互查、發(fā)現(xiàn)并解決問題,提高信息系統(tǒng)的安全性。
2.4積極探索電力企業(yè)信息安全等級保護
信息安全等級保護指的是,對涉及國計民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實際安全需求,合理投入,分級進行保護,分類指導,分階段實施,保障信息系統(tǒng)安全。針對電力企業(yè)信息系統(tǒng),應(yīng)建立相應(yīng)的信息安全等級保護機制。技術(shù)上分級落實物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全;管理上要建立對應(yīng)的安全管理制度、設(shè)置安全管理機構(gòu)、做好人員安全管理、系統(tǒng)建設(shè)、運維管理。
2.5明確員工信息安全責任,實現(xiàn)企業(yè)信息安全文化建設(shè)
針對企業(yè)的所有員工,關(guān)鍵是明確自己需要擔負的安全責任、熟悉有關(guān)的安全策略,理解一系列的信息安全要求。針對信息運維人員,需要對信息安全的管理策略進行有效地把握,明確安全評估的策略,準確使用維護技術(shù)安全操作;針對管理電力企業(yè)信息網(wǎng)絡(luò)安全的管理人員,關(guān)鍵在于對企業(yè)的信息安全管理制度、信息安全體系的組成、信息安全目標的把握和熟悉。以上述作為基礎(chǔ),實現(xiàn)企業(yè)信息安全文化的建設(shè)。
2.6提升人員的信息安全意識
針對電力企業(yè)信息安全而言,員工信息安全意識的提高十分關(guān)鍵。企業(yè)需要組織一系列有關(guān)的信息安全知識培訓,培養(yǎng)員工應(yīng)用電腦的良好習慣,比如不允許在企業(yè)的電腦上使用未加密的存儲介質(zhì),不應(yīng)當將無關(guān)軟件或者是游戲軟件安裝在終端上,對桌面終端進行強口令設(shè)置,以及啟用安全組策略,備份關(guān)鍵性的文件等,從而使員工的信息安全意識逐步提高。
3結(jié)語
關(guān)鍵詞:用戶參與;信息安全;信息安全意識;業(yè)務(wù)流程結(jié)合;
作者簡介:謝宗曉(1979-),男,山東日照人,南開大學商學院博士研究生,研究方向:信息安全管理、網(wǎng)絡(luò)組織與治理等。
1引言
無論信息安全的關(guān)注點從單點轉(zhuǎn)向系統(tǒng),還是其手段從單純的技術(shù)/管理轉(zhuǎn)向體系,安全體系的核心始終都是用戶。因為在所有安全機制中,一方面,用戶是機器系統(tǒng)的使用者,也是安全策略的執(zhí)行者,作為主體方存在;另一方面,用戶是安全策略約束的對象,作為客體方存在。
用戶在信息安全實踐中的作用往往被認為是消極的,有些研究認為,在任何系統(tǒng)的安全機制中,人是最薄弱的環(huán)節(jié)[1-2]。但是,目前不存在完全不需要用戶參與就能夠智能識別并適應(yīng)環(huán)境變化的安全防護系統(tǒng),就這點而言,用戶參與在現(xiàn)階段是不可避免的。此外,ISO/IEC27001:2005指出,信息安全的主要目的是確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風險最小化、投資回報和商業(yè)機遇最大化,也就是說信息安全是基于業(yè)務(wù)要求的適當安全,過度的安全往往意味著浪費。Spears等[3]的研究表明,用戶參與風險評估和控制措施設(shè)計過程可以提供足夠的業(yè)務(wù)信息,避免不切實際的安全控制,使實現(xiàn)適當?shù)陌踩蔀榭赡?。因此,用戶參與在信息安全實踐中是必須和必要的,本研究的目的是探討用戶參與在信息安全管理(informationsecuritymanagement,ISM)有效性中的作用。
2相關(guān)研究評述
2.1用戶參與
用戶參與的研究開始于20世紀60年代[4-5],目前多集中在信息系統(tǒng)開發(fā)領(lǐng)域中,在相當長的一段時間內(nèi),用戶參與和用戶涉入的概念被認為同義。Barki等[4,6]第一次將用戶涉入與用戶參與的概念分離,認為用戶參與是系統(tǒng)開發(fā)過程中用戶執(zhí)行的一系列行為或活動,用戶涉入是用戶對一個系統(tǒng)的重要性以及與個體關(guān)聯(lián)程度認識的主觀心理狀態(tài)。
用戶參與理論假設(shè)用戶參與與以系統(tǒng)質(zhì)量、用戶滿意度、用戶接受度、系統(tǒng)應(yīng)用等定義的系統(tǒng)成功之間存在關(guān)聯(lián)[5],其中隱含的含義為,在信息系統(tǒng)開發(fā)過程中的用戶參與并不是必須的,而在信息安全實踐中的用戶參與則明顯不同,只有部分參與與全員參與的區(qū)別,并不存在是否參與的區(qū)別。Doll等[7]認為,在強制環(huán)境下,用戶涉入與用戶參與沒有區(qū)別。由于用戶參與在信息安全情境中已經(jīng)隱含了強制環(huán)境的含義,因此本研究也認為用戶涉入與用戶參與同義。為了研究方便以及與信息系統(tǒng)開發(fā)過程形成更好的對應(yīng),本研究中的用戶參與是指用戶在安全策略制定過程中的一系列行為或活動。
在信息安全研究領(lǐng)域,絕大多數(shù)研究都在關(guān)注安全功能的實現(xiàn),Dhillon等[8]在對文獻進行分類梳理后認為,信息安全研究主流必然從關(guān)注功能的范式轉(zhuǎn)向基于社會-組織視角的研究;Ashenden[9]反思人在信息安全管理中的作用,認為其中來自人的挑戰(zhàn)被忽視了,并建議從管理學和組織行為學的角度研究信息安全管理所面臨的困境。之后涌現(xiàn)出的基于社會-組織視角的信息安全相關(guān)研究中,人的因素明顯成為熱點,Johnston等[10]認為恐懼訴求會影響員工遵守安全策略;Bulgurcu等[11]認為員工遵守安全策略受規(guī)范信念和自我效能等因素的影響。
但是,這些關(guān)注員工遵守安全策略的研究與以往的功能范式研究假設(shè)前提一樣,即用戶參與(在信息安全中一般稱作人的參與)是作為消極因素出現(xiàn),這在信息安全風險評估和管理中尤為明顯。一般認為人工評估是目前信息系統(tǒng)復(fù)雜到無法進行全定量化和全自動化評估時不得不采取的一個補充手段[12-14],如何去掉信息安全風險評估和管理過程中人的參與也成為其中的重要研究目標之一[15]。
在信息安全情境中,專門研究用戶參與的文獻較少,僅有Spears等[3,16]探討用戶參與在信息安全風險管理中的作用,并得出用戶參與對信息安全風險管理有正向作用的結(jié)論,但對用戶參與在信息安全中的定義未進行深入探討,直接用信息系統(tǒng)開發(fā)中的系統(tǒng)開發(fā)替代風險管理。問題在于,在定義信息安全術(shù)語的ISO/IEC27000:2009以及類似文獻中并沒有明確的用戶參與的詞匯,只有管理者、用戶以及全員參與等相關(guān)或相似詞匯。更重要的是,信息安全的概念比信息系統(tǒng)安全的概念大得多,后者主要圍繞信息系統(tǒng)展開,前者則包括與信息有關(guān)的所有方面,如信息系統(tǒng)安全、環(huán)境安全、通信安全和人員安全等各個方面。
2.2信息安全管理有效性
什么是成功有效的信息安全管理,目前并沒有統(tǒng)一的標準。無論是DeLone等[17]研究中涉及的6個維度的信息系統(tǒng)成功模型,還是He等[18]得到的2組8個因變量,都是關(guān)注信息系統(tǒng)的成功應(yīng)用,其本質(zhì)是效率或便利性的提高。但是幾乎所有的安全控制都增加了系統(tǒng)的操作復(fù)雜度,從而降低了效率,或者說,安全性與便利性存在某種程度上的矛盾。信息系統(tǒng)成功和信息安全管理成功指向不同的目標,因此,在信息安全管理情境下不能直接引用已有的信息系統(tǒng)成功模型。
已有的信息安全研究中對于有效性的表述各不相同。Chang等[19]在探討組織文化對安全管理有效性影響時,將有效性表述為安全管理有效性,并用保密性、完整性、可用性和可核查性作為變量來表征;D'Arcy等[20]在研究員工安全意識對信息系統(tǒng)誤用的影響時,將有效性表述為有效的安全對策;Brady[21]在研究影響信息安全法律法規(guī)符合性的影響因素時,將有效性表述為安全有效性,并延用了Chang等[19]的研究構(gòu)念。
無論表述為哪個概念,絕大部分的研究在討論有效性時都是依據(jù)安全屬性和安全目的進行判斷。ISO/IEC27002:2005對信息安全的定義是保持信息的保密性、完整性、可用性,也可包括真實性、可核查性、不可否認性和可靠性等。這個定義本身就包含了信息安全管理的主要目標,也包括了7個最常見的安全屬性描述。實際上學術(shù)界普遍認可的信息安全的3個核心屬性是保密性、完整性和可用性,也稱為信息安全金三角或CIA(confidentiality,integrity,availability)框架[22],而對真實性、可核查性、不可否認性和可靠性的認識則各有不同。為了研究方便,本研究選取3個核心屬性表征信息安全管理的有效性。當然,有效的信息安全管理還要考慮更多的因素,如應(yīng)該遵循成本效益分析的原則[23-24]等。
2.3信息安全管理體系
信息安全管理體系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799,它是基于業(yè)務(wù)風險方法建立、實施、運行、監(jiān)視、評審、保持和改進信息安全,包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源等內(nèi)容。信息安全管理體系的支撐標準是ISO/IEC27000標準族,共有60個標準,編號為ISO/IEC27000~ISO/IEC27059,其中最重要的標準ISO/IEC27001:2005和ISO/IEC27002:2005已經(jīng)被等同為國家標準,即GB/T22080-2008和GB/T22081-2008。
本研究以信息安全管理體系為背景研究用戶參與在信息安全管理中的作用,選擇信息安全管理體系作為研究用戶參與的背景主要原因如下。
(1)一般認為信息安全管理體系是信息安全管理的一個可接受模型或最佳實踐[19,23-25],而且目前信息安全管理體系應(yīng)用非常廣泛。截至2011年6月,世界范圍內(nèi)已經(jīng)通過信息安全管理體系注冊的組織共有7279家,中國有497家(http:∥iso27001certificates.com/)。
(2)信息安全管理體系包括可能涉及的所有信息安全管理活動,ISO/IEC27000標準族不但給出建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的基于業(yè)務(wù)風險的方法,而且還給出信息安全管理體系的要求、實用規(guī)則、審核指南以及相關(guān)安全域的具體指南等,僅ISO/IEC27002:2005信息安全管理實用規(guī)則就包括11個控制域、39個控制目標、133項控制措施。
(3)信息安全管理體系相關(guān)標準是鼓勵用戶參與的,部署過程按照Plan-Do-Check-Act的戴明環(huán),階段劃分明顯,而且大部分的部署組織會申請第三方認證,并在中國認證認可協(xié)會注冊,因此研究者可以非常清晰地判斷組織是否部署了信息安全相關(guān)措施、是否在信息安全實踐中有用戶參與行為等。
3研究假設(shè)和模型構(gòu)建
3.1用戶參與對信息安全管理有效性的直接影響
Ives等[26]對1959年至1981年的用戶參與與信息管理系統(tǒng)成功之間關(guān)系的實證研究進行梳理發(fā)現(xiàn),22項研究中有8項表明用戶涉入與系統(tǒng)成功正相關(guān);Cavaye[27]對1982年至1992年的研究分析得出的結(jié)果基本類似,19項研究中有7項表明用戶涉入與系統(tǒng)成功正相關(guān),部分研究是無定論或負相關(guān);He等[18]從464項研究中選擇82項實證性研究進行元分析,認為用戶參與和信息系統(tǒng)開發(fā)的態(tài)度和行為與生產(chǎn)率存在不同程度的正相關(guān)。
雖然信息系統(tǒng)成功和信息安全管理成功指向不同的目標,但兩者的開發(fā)過程存在極大的相似性。信息安全管理體系的部署過程實際上是一整套安全策略體系的開發(fā)過程,可認為是系統(tǒng)開發(fā)的一種,信息系統(tǒng)開發(fā)的過程包括需求分析、概要設(shè)計、詳細設(shè)計、編碼、測試、上線、維護升級等階段,信息安全管理體系的部署過程包括風險評估、體系設(shè)計、文件設(shè)計與編寫、試運行、持續(xù)改進等過程。信息系統(tǒng)開發(fā)與信息安全管理體系部署的對應(yīng)關(guān)系見圖1。
基于此,本研究提出假設(shè)。
H1用戶參與對信息安全管理有效性有顯著的正向作用。
3.2信息安全意識及其中介作用
信息安全良好實踐(thestandardofgoodpracticeforinformationsecurity,SoGP)將信息安全意識定義為組織內(nèi)所有的員工理解信息安全的重要性,清楚組織所適用的安全級別,知悉并履行個人的安全職責。
用戶參與到建立信息安全管理體系的過程中,并承擔各種安全責任,可以加深用戶對信息安全的理解。Spears等[3]通過研究認為,用戶參與到信息安全風險管理的過程中可以提高組織對信息安全風險和控制措施的重視程度,從而提高用戶的信息安全意識?;诖?,本研究提出假設(shè)。
H2用戶參與對信息安全意識有顯著的正向作用。
Kruger等[28]認為,安全控制的應(yīng)用效果依賴于積極的安全環(huán)境,其中每個人都具有較高的信息安全意識,都理解并執(zhí)行組織內(nèi)的程序和規(guī)程;反之,在消極的安全環(huán)境中,安全控制不但得不到有效的應(yīng)用,甚至會被規(guī)避和濫用。按動機分,主要有以下兩種情況。
(1)故意的。如銀行業(yè)務(wù)系統(tǒng)用戶的非法外聯(lián),由于不理解信息安全的重要性,不了解后果的嚴重性,這類用戶往往并不知悉組織的信息安全懲戒措施或相關(guān)的法律法規(guī),可以歸結(jié)為信息安全意識薄弱。
(2)無意的。如服裝設(shè)計人員不知悉哪些信息需要保密、哪些信息可以公開,將作廢的設(shè)計圖紙隨手扔進垃圾箱,這可能導致信息泄漏,影響信息的保密性。再如,有些用戶對主機的安全操作規(guī)程不了解,隨便重啟服務(wù)器,這可能導致宕機,并由此影響信息的可用性。
這些導致信息安全管理失效的行為或多或少與信息安全意識相關(guān)聯(lián)。
基于此,本研究提出假設(shè)。
H3信息安全意識對信息安全管理有效性有顯著的正向作用。
H4信息安全意識在用戶參與與信息安全管理有效性的關(guān)系中起中介作用。
3.3業(yè)務(wù)流程結(jié)合及其中介作用
系統(tǒng)質(zhì)量理論認為,用戶參與可以使開發(fā)者真正了解系統(tǒng)需求,從而提高系統(tǒng)質(zhì)量[29-31]。在信息安全管理情境中,沒有涉及質(zhì)量這一概念,ISO9000:2005對質(zhì)量的定義是,一組固有特性滿足要求的程度,按照這個定義,信息安全管理的要求是滿足組織業(yè)務(wù)對安全的需要。用戶(尤其是業(yè)務(wù)流程負責人)參與到信息安全管理的建設(shè)過程中可以使安全策略開發(fā)者了解業(yè)務(wù)過程,同時也使他們自己更加理解安全策略目的,從而促進安全策略與業(yè)務(wù)流程進行結(jié)合,提高安全策略的質(zhì)量。Spears等[3]的研究證實用戶參與可以使信息安全風險管理更加符合業(yè)務(wù)情境?;诖?,本研究提出假設(shè)。
H5用戶參與對業(yè)務(wù)流程結(jié)合有顯著的正向作用。
對用戶參與信息系統(tǒng)開發(fā)與系統(tǒng)使用之間關(guān)系的研究表明,只有在可選擇應(yīng)用的環(huán)境中進行研究才有意義[17]。但Barki等[4]認為,即使在強制應(yīng)用環(huán)境中,用戶還是可以根據(jù)自己的判斷(如態(tài)度和意愿)控制使用的程度,而信息系統(tǒng)的使用程度正是信息系統(tǒng)成功的參數(shù)之一。
信息安全管理是強制環(huán)境,但是在實際應(yīng)用中安全策略的設(shè)計者出于盡職免責的心態(tài),很容易陷入過度安全的狀態(tài),而業(yè)務(wù)流程負責人出于對自身利益的考慮則希望盡量減少安全控制對正常業(yè)務(wù)的影響,這種矛盾的存在往往會導致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效實施。
由安全主管和業(yè)務(wù)流程人員共同參與設(shè)計安全策略是解決這個矛盾的途徑之一,這個過程往往是一個博弈的過程,最后一般會使組織的安全策略符合基線標準。只有這種充分考慮了業(yè)務(wù)要求的安全策略才能得到高“使用程度”,進而提高信息安全管理的有效性。因此,本研究提出假設(shè)。
H6業(yè)務(wù)流程結(jié)合對信息安全管理有效性有顯著的正向作用。
H7業(yè)務(wù)流程結(jié)合在用戶參與與信息安全管理有效性的關(guān)系中起中介作用。
綜上所述,提出本研究模型,如圖2所示。
4研究設(shè)計
4.1樣本選擇
研究者從2011年6月前通過信息安全管理體系認證的497家中國公司隨機抽取30家,給每家公司發(fā)放10份問卷,以郵寄的方式將問卷發(fā)放給被選公司的信息安全負責人,隨后以第三方認證機構(gòu)電話確認的方式,請公司信息安全負責人組織公司相關(guān)成員填寫問卷,并以郵寄的方式回收問卷。收回256份問卷,剔除問題填寫不完整的22份問卷,最終納入數(shù)據(jù)分析的問卷共234份,問卷的有效率為78%。填寫問卷人員的描述性統(tǒng)計如表1所示,其中男性占60.684%,女性占39.316%,與目前信息安全從業(yè)人員性別比例基本相符。
4.2變量和測量
4.2.1自變量:用戶參與
用戶參與沿用Barki等[6]和Spears等[3]的測量框架,按項目階段確定關(guān)鍵活動。信息安全管理體系采用PDCA框架模型,階段劃分明確,本研究也采用分階段羅列關(guān)鍵活動的方法對用戶參與程度進行測量,每階段選取7項關(guān)鍵活動,用戶參與其中一項得1分,否則為0,以此類推,每個階段的用戶參與結(jié)果最小值為0,最大值為7。
用戶參與問卷以ISO/IEC27001:2005和謝宗曉等[22,32]描述的信息安全管理體系部署過程中一系列關(guān)鍵活動為基礎(chǔ),選擇36項關(guān)鍵活動,其中計劃階段12項、執(zhí)行階段12項、檢查階段8項、改進階段4項,并把檢查和改進階段合并為12項。在信息安全管理體系從業(yè)人員中選取22人,采用多選項-多選擇量表的方法,限定從業(yè)人員分別從36項關(guān)鍵活動中選擇7個認為最重要的選項,從業(yè)人員分布見表2,選擇結(jié)果統(tǒng)計見表3。
4.2.2中介變量:信息安全意識和業(yè)務(wù)流程結(jié)合
無論在薩班斯奧克斯利法案還是在信息安全管理體系的情境下,信息安全意識和業(yè)務(wù)流程結(jié)合的含義基本一致,都是為了提高信息安全管理的有效性。信息安全意識量表和業(yè)務(wù)流程結(jié)合量表修改自Spears等[3]的問卷,該問卷為Likert7點量表,1為非常反對,7為非常支持。
4.2.3因變量:信息安全管理有效性
采用Chang等[19]設(shè)計、Brady[21]沿用并修改的Likert7點量表測量信息安全管理有效性,1為非常反對,7為非常支持。
由于信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性的測量量表引用自英文文獻,為了保證問卷的有效性,研究者將英文翻譯成中文,請兩名中文專業(yè)碩士研究生對問卷的行文進行修改以符合中文習慣,然后請兩位信息安全領(lǐng)域的專家比對問卷的中英文內(nèi)容并審核確認,所有變量及問卷項見表4。
4.3構(gòu)建有效性
用戶參與、信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性4個潛變量的信度(Cronbach'sα)、均值、標準差、極值和相關(guān)系數(shù)如表5所示。用戶參與、信息安全意識、業(yè)務(wù)流程結(jié)合、信息安全管理有效性的Cronbach'sα系數(shù)分別為0.723、0.802、0.640、0.948,信度較高,在可接受范圍內(nèi)。Mithas等[33]認為,來源于實踐、經(jīng)過長期的實踐檢驗且有權(quán)威來源的量表(如國際標準和國家標準)能夠保證測量的效度。本研究中問卷的測量符合以上要求,因此能夠保證效度。
4個潛變量之間的相關(guān)系數(shù)全部達到顯著相關(guān),數(shù)據(jù)適合多重中介模型檢驗。
5實證結(jié)果和分析
5.1同源方差分析
由于本研究中變量數(shù)據(jù)均來源于自稱式問卷調(diào)查,容易導致變量之間的關(guān)系不能反映潛在構(gòu)念之間的真實關(guān)系,即共同方法偏差的存在容易導致構(gòu)念效度的降低,甚至影響研究假設(shè)的接受或拒絕,增加犯Ⅰ類錯誤或Ⅱ類錯誤的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法,本研究采取驗證性因子分析方法分兩步對問卷共同方法偏差進行分析,檢驗結(jié)果如表6所示。
采用Harman單因子檢驗方法對用戶參與、信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性進行檢驗,如果方法變異明顯存在,驗證性因子分析的結(jié)果容易析出一個單獨因子或者一個公因子解釋大部分變異[37]。由表6可知,單因子模型的擬合指標沒有達到可以接受的標準,NNFI=0.848,CFI=0.863,RMSEA=0.186。然而Harman單因子檢驗方法的假設(shè)前提存在明顯的缺陷,除非存在非常嚴重的同源偏差問題,否則一個公因子解釋大部分變量變異的情況一般不會出現(xiàn)。為進一步探查同源偏差的可能性,本研究采用不可測量潛在方法進行因子檢驗,比較有共同方法偏差的模型與沒有共同方法偏差的模型,如果后者的擬合指數(shù)優(yōu)于前者的擬合指數(shù),表明變量數(shù)據(jù)不存在共同方法偏差。由表6可知,四因子模型的擬合指數(shù)比較好,RMSEA<0.080,CFI>0.900,NNFI>0.900,對四因子模型與其他3個競爭模型的χ2和AIC指標(值越小越好)[38]進行比較,無共同方法偏差的四因子模型明顯優(yōu)于其他3個有共同方法偏差的模型,說明各變量間不存在明顯的同源方差,用戶參與、信息安全意識、業(yè)務(wù)流程結(jié)合和信息安全管理有效性具有良好的區(qū)分效度。
5.2結(jié)果分析
多重中介模型的驗證方法有多種,MacKinnon等[39]提到14種驗證路徑的方法,在所有驗證方法中,Preacher等[40]和Sobel[41]都推薦Bootstrapping方法,認為該方法模型參數(shù)估計更為穩(wěn)健,結(jié)論也更可靠,更能避免Ⅰ類錯誤,尤其是進行多重中介研究時。本研究采用Bootstrapping方法,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0驗證多重中介模型。按照提出的研究假設(shè),將用戶參與設(shè)定為自變量,將信息安全意識和業(yè)務(wù)流程結(jié)合設(shè)定為中介變量,將信息安全管理有效性設(shè)定為因變量,樣本數(shù)量設(shè)置為5000,置信區(qū)間設(shè)置為95%,對如下方程回歸系數(shù)的顯著性進行檢驗,結(jié)果見表7和表8。
其中,c、a1、a2、c'、b1和b2為回歸系數(shù),ε1~ε4為殘差。
由表7可知,c=0.674(p<0.001),達到顯著水平,表明用戶參與程度的不同顯著影響信息安全管理有效性的高低,支持H1,同時也為中介效應(yīng)的檢驗提供了基礎(chǔ)。a1=0.555(p<0.001),a2=0.421(p<0.001),表明用戶參與對信息安全意識和業(yè)務(wù)流程結(jié)合有顯著正向作用,支持H2和H5。b1=0.279(p<0.050),b2=0.183(p<0.050),表明信息安全意識和業(yè)務(wù)流程結(jié)合對信息安全管理有效性有顯著正向作用,支持H3和H6。
整體模型指標中,F(xiàn)=26.508,p=0.000,說明自變量用戶參與通過中介變量信息安全意識和業(yè)務(wù)流程結(jié)合對因變量信息安全管理有效性的影響達到顯著水平。此外,模型的解釋率R2為0.247,表明還有其他變量能夠納入模型,這也是下一步研究的方向。
由表8可知,用戶參與對信息安全管理有效性總的間接效應(yīng)為0.155(a1b1)+0.077(a2b2)=0.232,對應(yīng)的Z檢驗結(jié)果為3.581(p=0.000),偏差矯正與增進95%bootstrap置信區(qū)間為{0.120,0.352},置信區(qū)間不包括零。因此,拒絕總的間接效應(yīng)為零的虛無假設(shè),表明總的間接效應(yīng)顯著。
在多重中介方法中,不但要關(guān)注總的間接效應(yīng),也要關(guān)注單獨的中介效應(yīng),由表8可知,中介效應(yīng)值如下。通過信息安全意識:a1b1=0.155(Z=2.569,p<0.050),偏差矯正與增進95%Bootstrap置信區(qū)間為{0.048,0.270},置信區(qū)間不包括零;通過業(yè)務(wù)流程結(jié)合:a2b2=0.077(Z=1.967,p<0.050),偏差矯正與增進95%Bootstrap置信區(qū)間為{0.018,0.162},置信區(qū)間不包括零。由此可見,信息安全意識和業(yè)務(wù)流程結(jié)合的中介效應(yīng)顯著,支持H4和H7。此外,兩個中介效應(yīng)的置信區(qū)間有重合的部分,且兩者比較檢驗結(jié)果不顯著(Z=0.992,p>0.050),可以認為兩個中介變量起到的中介作用沒有顯著差異,同等重要。
本研究概念模型的驗證如圖3所示。
6討論
(1)本研究驗證了用戶參與在信息安全管理中的正向作用,這對安全機制不能完全脫離人而運轉(zhuǎn)的情況具有非常積極的意義。
(2)本研究解釋了用戶參與如何正向影響信息安全管理有效性。Spears等[3]驗證了在薩班斯奧克斯利法案情境下用戶參與對控制措施績效的正向作用,但是并未揭示用戶參與如何影響控制措施績效。本研究通過構(gòu)造多重中介模型,揭示了用戶參與可以有效地提高員工的信息安全意識,促進業(yè)務(wù)流程結(jié)合,使組織的信息安全管理體系更加符合組織的實際安全需求,最終促進信息安全管理有效性。
(3)本研究采用多重中介的驗證模型,應(yīng)用Preacher等[40]提供的SPSS宏,多重中介模型可以更清晰地揭示用戶參與影響信息安全管理有效性的路徑。
本研究結(jié)論對管理實踐具有一定的指導意義,主要體現(xiàn)在標準制定和安全實踐兩個方面。
(1)本研究證實了用戶參與的重要性和積極作用,為信息安全相關(guān)標準的制定、完善和提高提供了新的視角和依據(jù)。
(2)大部分組織的安全負責人都會盡量減少人在安全機制中的比重,以減少執(zhí)行的不確定性,這導致2010年至2011年68%的組織在安全技術(shù)方面的投入超過整體安全預(yù)算的10%,僅17%的組織在終端用戶安全意識教育方面的投入超過整體安全預(yù)算的10%,有35%的組織還不足1%;同時,有41.100%的受訪組織經(jīng)歷了信息安全事件,攻擊源來自內(nèi)部用戶濫用網(wǎng)絡(luò)或郵件的占24.800%[42]。顯然,組織的安全負責人應(yīng)該將安全預(yù)算的分配更多地傾斜到終端用戶身上。對信息安全管理體系的咨詢和認證人員而言,在咨詢和認證的過程中,不應(yīng)僅關(guān)注安全技術(shù)的部署和安全制度的設(shè)計,也應(yīng)關(guān)注如何鼓勵用戶參與到所有可能的活動中,并承擔更多的責任。
7結(jié)論
關(guān)鍵詞:企業(yè)檔案信息安全風險識別風險控制
企業(yè)檔案是企業(yè)知識資產(chǎn)和信息資源的重要組成部分,[1]是企業(yè)各方面活動的真實記錄,對企業(yè)市場活力提升、制度改革和文化建設(shè)等有至關(guān)重要作用。企業(yè)檔案信息安全管理是企業(yè)安全管理的重要組成部分,提前識別企業(yè)檔案信息管理存在的安全風險,有利于采取有效控制手段規(guī)避風險,促進企業(yè)檔案安全管理建設(shè),防患于未然。本文以H企業(yè)為例,在調(diào)研基礎(chǔ)上探討企業(yè)檔案信息存在的安全風險及控制手段。
一、H企業(yè)概況
H企業(yè)成立于2013年,主要經(jīng)營金融板塊、產(chǎn)業(yè)發(fā)展板塊、城市功能性設(shè)施板塊和出資人板塊等四大業(yè)務(wù)板塊,是戰(zhàn)略性投資的融資平臺和產(chǎn)業(yè)項目、城市功能性項目的先行戰(zhàn)略投資者。[2]隨著公司的發(fā)展壯大,檔案數(shù)量呈現(xiàn)指數(shù)級增長趨勢。H企業(yè)檔案工作實行二級管理制,第一級管理是指由公司綜合部負責統(tǒng)籌管理全公司的文書檔案工作,第二級管理是指各部門負責本部門的檔案資料使用管理工作。綜合部的檔案按文書、科技、財務(wù)、人事、聲像、實體6種檔案類別進行分類整理,公司用OA系統(tǒng)對電子文件進行日常管理,將部分重要的紙質(zhì)檔案進行數(shù)字化掃描,加以保存。
二、企業(yè)檔案信息安全風險要素識別
企業(yè)檔案信息安全風險要素識別是對企業(yè)檔案信息安全管理工作中存在的薄弱環(huán)節(jié)進行確認。[3]在對H企業(yè)調(diào)研的基礎(chǔ)上,將其所面臨的企業(yè)檔案信息安全風險要素劃分為組織風險要素、人員風險要素與技術(shù)風險要素。
(一)組織風險要素
一是,企業(yè)重視程度低。企業(yè)檔案信息效益的產(chǎn)生具有隱蔽性和延遲性,隱蔽性即檔案部門投入清晰性和收益模糊性之間的矛盾,延遲性即檔案工作的效益要在很長一段時間后才可能顯現(xiàn)。[4]企業(yè)檔案信息無法快速創(chuàng)造經(jīng)濟效益的特點使企業(yè)對其重視程度較低,檔案信息安全管理投入的資金、人力較少。以H企業(yè)為例,文書檔案工作人員僅一人且為兼管人員,檔案管理投入資金少,專門存放檔案的檔案柜和檔案安全管理設(shè)備至今尚未配備,檔案信息安全管理專業(yè)技術(shù)人員、設(shè)施設(shè)備的缺乏給企業(yè)檔案信息安全帶來了巨大風險。
二是,檔案安全管理制度缺失。企業(yè)迫切需要的檔案安全開發(fā)、利用及電子文件長期保存等相關(guān)標準尚未制定,且存在與企業(yè)檔案工作實際相脫節(jié)的情況。[5]以H企業(yè)為例,企業(yè)成立至今已4年,但尚未建立健全的檔案安全管理制度體系。面對企業(yè)檔案數(shù)量劇增與檔案安全管理制度缺失之間的尖銳矛盾,企業(yè)檔案工作者在處理文檔工作時無章可循,業(yè)務(wù)工作缺乏規(guī)范性,企業(yè)檔案信息安全管理工作缺乏制度的監(jiān)督約束,檔案信息安全缺口隨之擴大。
(二)人員風險要素
企業(yè)檔案管理崗位人員流動性大是造成檔案泄密的主要原因。檔案工作者的信息安全意識和素質(zhì)水平會直接影響檔案信息的安全。[6]以H企業(yè)為例,專職人員自2013年來更換了4人,企業(yè)檔案管理崗位人員可直接接觸記錄企業(yè)生產(chǎn)經(jīng)營、戰(zhàn)略發(fā)展及科研技術(shù)等重要檔案信息,隨著企業(yè)人員離職跳槽向其他公司、行業(yè)流動,這部分涉及原企業(yè)商業(yè)機密的檔案信息極可能隨之外泄。
企業(yè)員工檔案安全管理意識弱也會帶來安全風險。譬如,各部門檔案收集移交不及時,會對企業(yè)檔案信息的完整性帶來風險;各部門在檔案整理、利用中造成檔案載體損毀對企業(yè)檔案信息的可用性帶來風險;企業(yè)人員出于自身利益篡改檔案信息內(nèi)容,給企業(yè)檔案信息的真實性帶來風險等。
(三)技術(shù)風險要素
一是,信息系統(tǒng)及硬件故障。信息系統(tǒng)不穩(wěn)定會導致檔案信息數(shù)據(jù)丟失與損壞,硬件設(shè)施故障也會給檔案信息安全帶來風險。以H企業(yè)為例,公司日常行文均通過OA系統(tǒng)實現(xiàn),OA系統(tǒng)中流轉(zhuǎn)大量企業(yè)管理信息,H企業(yè)的OA系統(tǒng)分別于2015年8月及2016年3月出現(xiàn)異常引起系統(tǒng)崩潰,導致部分企業(yè)信息數(shù)據(jù)丟失且無法恢復(fù)。
二是,電子文件安全保障技術(shù)不成熟。如何保證企業(yè)檔案系統(tǒng)中電子檔案的安全,是現(xiàn)階段企業(yè)檔案安全管理的重難點。企業(yè)電子文件信息安全保障技術(shù)不成熟,會危及電子文件安全和正常運用。一旦系統(tǒng)遭遇病毒、黑客侵擾或信息載體物理損傷、外圍設(shè)備技術(shù)障礙等,都會給電子文件帶來無可挽回的損失。
三、企業(yè)檔案信息安全風險控制對策
(一)從制度層面進行控制
1.企業(yè)檔案信息安全管理制度的建立健全。健全的企業(yè)檔案信息安全管理制度應(yīng)包括以下幾個方面:一是,企業(yè)檔案日常安全管理制度,如檔案保密制度、檔案安全檢查制度和檔案安全追責制度等,明確企業(yè)各部門、人員的職責,建立檔案信息安全管理的長效機制;二是,企業(yè)電子文件安全管理制度,確保電子檔案信息存儲、讀取、利用過程的安全可靠;三是,應(yīng)急響應(yīng)制度,建立檔案信息安全應(yīng)急預(yù)案,提高企業(yè)檔案管理部門應(yīng)對自然災(zāi)害及突發(fā)事件的能力;四是,應(yīng)急處理制度,對企業(yè)檔案信息安全風險發(fā)生后,能在第一時間采取相應(yīng)措施進行處理,將風險損失降至最低。
2.企業(yè)檔案信息安全管理制度的適用。以企業(yè)檔案信息安全管理制度的適用來實現(xiàn)對檔案信息安全風險控制,主要從以下兩個方面著手:一方面,不同企業(yè)形成的檔案信息各有特點,安全保障要求各有不同,企業(yè)應(yīng)根據(jù)本單位檔案信息安全保障的實際需求,制定符合本企業(yè)特點與需求的檔案信息安全管理制度。另一方面,企業(yè)檔案信息安全風險要素具有動態(tài)性,企業(yè)檔案信息安全管理制度應(yīng)隨著新技術(shù)、新風險的出現(xiàn)不斷完善和更新,保證檔案信息安全管理制度在多變的信息安全風險環(huán)境中的適用性。
3.企業(yè)檔案信息安全管理制度的執(zhí)行。檔案工作者是規(guī)章制度的執(zhí)行者,執(zhí)行力度的大小關(guān)系到檔案安全管理工作水平。[7]首先,企業(yè)應(yīng)嚴格要求檔案工作者照章管理檔案,自上而下確保檔案信息安全管理制度的執(zhí)行,將制度的執(zhí)行納入企業(yè)管理運行程序,將公司檔案管理納入制度化軌道。其次,企業(yè)管理層要監(jiān)督企業(yè)檔案信息安全管理制度的執(zhí)行情況,將制度的執(zhí)行與員工績效考核掛鉤,定期對制度的執(zhí)行情況進行評估并根據(jù)評估結(jié)果進行相應(yīng)的獎懲。
(二)從管理層面進行控制
1.分級管理。分級管理即對企業(yè)檔案信息和風險控制消減等工作進行安全等級評定,以最少的成本投入獲得最大的檔案信息安全保障效果。企業(yè)可根據(jù)檔案信息對企業(yè)生產(chǎn)發(fā)展作用價值大小、涉密與否來劃分重點檔案和普通檔案。企業(yè)檔案中涉及企業(yè)商業(yè)機密,記錄企業(yè)核心競爭力信息的這部分檔案是企業(yè)發(fā)展的重要戰(zhàn)略資源,如企業(yè)的項目檔案、科技檔案、客戶資料以及反映企業(yè)發(fā)展歷程的重大事件相關(guān)檔案等,可劃分為重點檔案,其余日常業(yè)務(wù)工作中形成的文書檔案等可劃分為普通檔案。在對所有檔案進行安全管理的同時,對重點檔案信息的安全進行重點監(jiān)控,不同重要等級的檔案進行分級管理。
2.人員管理。通過人員管理來控制企業(yè)檔案信息安全風險的方式有:第一,倡導員工終身學習,針對企業(yè)檔案信息安全內(nèi)涵的拓展、風險要素的類型、應(yīng)對風險的技術(shù)等內(nèi)容定期開展檔案信息安全管理培訓,豐富企業(yè)員工檔案信息安全保護理論知識,提高檔案信息安全保護技能水平。第二,注重對企業(yè)員工職業(yè)道德的培養(yǎng),使守護企業(yè)檔案信息安全,嚴守企業(yè)檔案機密信息的崗位職責內(nèi)化為員工的職業(yè)道德。第三,注重企業(yè)文化的建設(shè),培養(yǎng)員工對企業(yè)的認同感和歸屬感,減少因員工離職或跳槽而造成企業(yè)機密檔案信息泄露。
3.動態(tài)管理。企業(yè)檔案信息安全是企業(yè)生產(chǎn)經(jīng)營安全的重要組成部分,伴隨企業(yè)生存發(fā)展的始終。[8]檔案安全管理面臨的各類風險要素中,每種要素都處于不斷變化之中,某一要素的變化會引起其他要素的聯(lián)動變化。[9]因此企業(yè)應(yīng)對檔案信息安全實施動態(tài)管理,即隨著新的風險點的產(chǎn)生,相應(yīng)的保護方案、制度也應(yīng)隨之保持動態(tài)發(fā)展。此外,動態(tài)管理還體現(xiàn)在與外界的動態(tài)關(guān)聯(lián)上,企業(yè)要與外部社會環(huán)境保持良好溝通聯(lián)系,及時掌握檔案信息風險變化的新動態(tài)。
(三)從技術(shù)層面進行控制
1.檔案信息安全技術(shù)的應(yīng)用。信息安全技術(shù)指用于保障信息、信息系統(tǒng)和網(wǎng)絡(luò)安全的技術(shù)。[10]檔案信息安全技術(shù)是電子檔案信息安全的有力保障,企業(yè)可針對不同安全屬性的檔案信息采用不同的信息安全技術(shù)。在數(shù)據(jù)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和檔案管理系統(tǒng)用戶安全技術(shù)等方面強化保護措施,運用信息技術(shù)提高企業(yè)檔案工作效率的同時,也保證企業(yè)檔案信息的安全。
2.檔案信息安全技術(shù)的更新。檔案信息安全建設(shè)是基礎(chǔ)性的長期工作,構(gòu)建全面、能力可持續(xù)增長的安全防御體系才能保證檔案信息系統(tǒng)的長期安全穩(wěn)定運行。[11]檔案信息安全技術(shù)是不斷發(fā)展的,企業(yè)應(yīng)及時了解和掌握最新的計算機病毒、黑客技術(shù)等檔案信息存在的潛在風險,關(guān)注信息技術(shù)的更新動態(tài),確保企業(yè)應(yīng)用的檔案信息安全技術(shù)與時俱進,為企業(yè)檔案信息安全保駕護航。
四、結(jié)論
企業(yè)檔案信息安全是企業(yè)生產(chǎn)經(jīng)營安全的重要組成部分,伴隨企業(yè)生存發(fā)展的始終。人員風險要素、組織風險要素與技術(shù)風險要素三者綜合構(gòu)成威脅企業(yè)檔案信息安全的風險要素,為保障企業(yè)檔案信息安全必須從管理、制度、技術(shù)三個層面三管齊下對這些風險要素進行有效控制,深入貫徹“預(yù)防為主,防治結(jié)合”的方針,保障企業(yè)檔案信息安全無虞,讓企業(yè)檔案信息更好地服務(wù)于企業(yè)的發(fā)展。
參考文獻:
[1]DA/T 42—2009.企業(yè)檔案工作規(guī)范[S].
[2]中國—馬來西亞欽州產(chǎn)業(yè)園區(qū)工管委辦公室.中國—馬來西亞欽州產(chǎn)業(yè)園區(qū)簡介[EB/OL].[2017-11-01].http://qip.gov.cn/News/Detail/d3ad5db6- 9c0e- 435aa290-9f91a75beecc.
[3]張霞.檔案安全風險評價指標的建立及其實現(xiàn)[J].青海師范大學學報(哲學社會科學版),2014(2):165-167.
[4]馮惠玲,張輯哲.檔案學概論[M].北京:中國人民大學出版社,2006:107-108.
[5]康旭冉.企業(yè)檔案安全保障體系建設(shè)研究[D].河北大學,2014:6.
[6]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究,2015(1):34-36.
[7][9]張錦云,秦壘.基于動態(tài)風險評估視角的檔案安全管理研究[J].浙江檔案,2017(2):11-13.
[8]吳緒成.企業(yè)檔案信息安全策略簡論[J].中國檔案, 2012(4):62.
[10]聶云霞,張加欣,甘敏.信息生態(tài)視域下數(shù)字檔案用戶信息安全保障系統(tǒng)構(gòu)建研究[J].檔案學研究,2017(1): 66-72.
關(guān)鍵詞:信息安全管理;測評;要素;指標
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)27-6080-03
人類進入信息化社會,社會發(fā)展對信息化的依賴程度越來越大,一方面信息化成果已成為社會的重要資源,在政治、經(jīng)濟、國防、教育、科技、生活等發(fā)面發(fā)揮著重要的作用,另一方面由于信息技術(shù)的迅猛發(fā)展而帶來的信息安全事件、事故層出不窮,信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態(tài)的系統(tǒng)工程,其包括關(guān)鍵基礎(chǔ)設(shè)施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網(wǎng)絡(luò)安全、人員安全等。組織要實現(xiàn)信息安全目標,就必須建立一套行之有效信息安全管理與技術(shù)有機結(jié)合的安全防范體系。信息安全管理包括制定信息安全策略(包括計劃、程序、流程與記錄等)、風險評估、控制目標的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經(jīng)說過“無法度量就無法管理”[1],強調(diào)了測量對組織管理的重要意義,信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進行測量,根據(jù)測量的結(jié)果對組織信息安全管理情況進行評價并進一步指導信息安全管理,提高信息安全管理能力和水平,目前已經(jīng)成為信息安全領(lǐng)域的一個研究熱點[2]。
信息安全管理測評是組織圍繞信息化持續(xù)發(fā)展與信息安全保障的現(xiàn)狀和未來綜合能力的反映,不僅是對過去和現(xiàn)在的能力展現(xiàn),而且為未來發(fā)展提供保障和動力。在我國,目前關(guān)于信息安全管理測評研究剛處于起步階段,還沒有一套可供使用的信息安全測評體系標準、方法等。因此,開展信息安全管理測評研究,對組織信息化建設(shè)既具有重要的現(xiàn)實意義也具有長遠的持續(xù)發(fā)展意義。
1 信息安全管理測評發(fā)展綜述與需求
關(guān)于信息安全測評,美國早在2002年通過的《聯(lián)邦信息安全管理法案》中就要求各機構(gòu)每年必須對其信息安全實踐進行獨立測評,以確認其有效性。這種測評主要包括對管理、運行和技術(shù)三要素的控制和測試,其頻率視風險情況而定,但不能少于每年一次。在獨立評價的基礎(chǔ)上,聯(lián)邦管理與預(yù)算局應(yīng)向國會上報評價匯總結(jié)果;而聯(lián)邦審計署則需要周期性地評價并向國會匯報各機構(gòu)信息安全策略和實踐的有效性以及相關(guān)要求的執(zhí)行情況。
2003年7月,美國國家標準與技術(shù)研究所(National Institute of Standards and Technology,NIST)了NIST SP 800-55《信息技術(shù)系統(tǒng)安全測量指南》,其包括以下內(nèi)容[3]:
1) 角色和職責:介紹發(fā)展和執(zhí)行信息安全測量的主要任務(wù)和職責。
2) 信息安全測量背景:介紹測量定義、進行信息安全測量的好處、測量類型、幾種可以進行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。
3) 測量發(fā)展和執(zhí)行過程:介紹用于信息安全測量發(fā)展的方法。
4) 測量項目執(zhí)行:討論可以影響安全測量項目的技術(shù)執(zhí)行的各種因素。
5) 以附件的形式給出的16種測量的模板。
2004年11月17日,美國的企業(yè)信息安全工作組(Corporate Information Security Working Group,CISWG)了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4],2005年國際標準化組織(ISO/IEC SC27)提出了信息安全管理體系(Information Security Management Systems,ISMS)的系列標準——ISO27000系列。2005年1月10日又了修訂版,并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27,該文檔是根據(jù)CISWG的最佳實踐和測量小組的報告改編。
2005年8月31日,美國國際系統(tǒng)安全工程協(xié)會(International System Security Engineering Association,ISSEA)針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5](ISSEA測量的貢獻背景)和“ISSEA Metrics”[6](ISSEA測量)兩個貢獻文檔。
2009年國際標準化組織(ISO)了ISO/IEC 27004:2009(信息技術(shù)一安全技術(shù)一信息安全管理測量)標準,為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。
信息安全管理體系是信息安全保障體系的重要組成部分。近年來,隨著組織對信息安全保障工作重視程度的日益增強,不少組織都依據(jù)標準GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產(chǎn),但是體系建立起來了,不少管理者都對ISMS的運行效果極其控制措施的有效性,持懷疑的態(tài)度。故此組織很有必要建立一套相應(yīng)的測評方法來全面的對ISMS的運行情況進行科學的評價,進一步提升ISMS的執(zhí)行力。該文研究的信息安全管理測評將為確定ISMS的實現(xiàn)目標,衡量ISMS執(zhí)行的效力和效率提供一些思想、方法,其結(jié)果具有客觀的可比性,還可以作為信息安全風險管理、安全投入優(yōu)化和安全實現(xiàn)變更的客觀依據(jù),有助于降低安全風險,減少安全事件的概率和影響,改進安全控制和管理過程的效率或降低其成本。
2 信息安全管理測評研究內(nèi)容
信息安全管理測評是信息安全管理體系的重要部分,是信息安全管理測量與評價的綜合。信息安全管理測量的結(jié)果是信息安全績效評價的依據(jù)。信息安全管理測量比較具體,信息安全管理評價則通過具體來反映宏觀。
2.1 信息安全管理測評要素及其框架
信息安全管理測評要素包括:測評實體及其屬性、基礎(chǔ)測評方式、基礎(chǔ)測評變量、導出測評制式、導出測評變量、測評方法、測評基線、測評函數(shù)、分析模型、指示器、決策準則、測評需求和可測評概念等,其框架如圖3.1信息安全測評框架所示,包括:基于什么樣的需求來測評(即測評需求),對什么進行測評(即實體及其屬性),用什么指標體系來測評(包括測評制式、測評變量和測評尺度),用什么方法來測評(即測評方法),用什么函數(shù)來計算測評結(jié)果(即測評函數(shù)),用什么模型來分析測評結(jié)果(即分析模型),用什么方式來使分析結(jié)果能夠輔助決策(即指示器)等問題。
信息需求是測評需求方提出的對測評結(jié)果信息的需求。信息需求源自于組織的使命和業(yè)務(wù)目標,與相關(guān)利益者的利益訴求密切相關(guān)。指示器的生成和分析模型的選擇是以信息需求為導向的。
決策準則是一種決定下一步行為的閾值。他有助于解釋測評的結(jié)果。決策準則可能出自或基于對預(yù)期行為在概念上的理解和判斷。決策準則可以從歷史數(shù)據(jù)、計劃和探索中導出,或作為統(tǒng)計控制限度或統(tǒng)計信心限度計算出來。
可測評概念是實體屬性與信息需求之間的抽象關(guān)系,體現(xiàn)將可測評屬性關(guān)聯(lián)到信息需求以及如何關(guān)聯(lián)的思想??蓽y評概念的例子有生產(chǎn)力、質(zhì)量、風險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象,例如,過程、產(chǎn)品、系統(tǒng)、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中,一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項(信息安全管理測評要素)。屬性是實體可測評的、物理的或抽象的性質(zhì)。一個屬性是能被人或自動手段定量或定性區(qū)分的一個實體的某一特性或特征。一個實體可能有多個屬性,其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關(guān)的屬性。一個給定屬性可能被結(jié)合到支持不同信息需求的多個測評構(gòu)造中。信息安全管理測評主要測評的是每一項控制措施的屬性(信息安全管理測評指標)。
測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標的一組操作,可以有多種測評方法。基礎(chǔ)測評是依照屬性和定量方法而定義的測評方法,是用來直接測評某一屬性的,是根據(jù)屬性和量化他的方法來定義,他捕獲單獨屬性的信息,其功能獨立于其他測評。信息安全管理基礎(chǔ)測評是對于控制項的指標可以直接測評出來的量。導出測評是通過測評其他屬性來間接地測評某一屬性的測評,是根據(jù)屬性之間的關(guān)系來定義,他捕獲多個屬性或多個實體的相同屬性的信息,其功能依賴于基礎(chǔ)測評的,是兩個或更多基礎(chǔ)測評值得函數(shù)。
測評尺度是一組連續(xù)或離散的數(shù)字量值(如小數(shù)/百分比/自然數(shù)等)或離散的可數(shù)量值(如高/中/低/等)。測評尺度是規(guī)范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。
測評尺度根據(jù)尺度上量值之間關(guān)系的性質(zhì)分為四種類型:
名義(Nominal) :測評值是直呼其名。
序數(shù)(Ordinal) :測評值是有等級的。
間隔(Interval) :測評值是等距離的,對應(yīng)于屬性的等量,不可能是零值。
比率(Ratio) :測評值是等距離的,對應(yīng)于屬性的等量,無該屬性為零值。
測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準,以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。
測評函數(shù)是將兩個或更多測評變量結(jié)合成導出測評變量的算法。導出測評變量的尺度和單位依賴于作為函數(shù)輸入的測評變量的尺度和單位以及他們通過函數(shù)結(jié)合的運算方式。分析模型是將一個或多個測評變量轉(zhuǎn)化為指示器的算法。他是基于對測評變量和/或他們經(jīng)過一段時間的表現(xiàn)之間的預(yù)期關(guān)系的理解或假設(shè)。分析模型產(chǎn)生與信息需求相關(guān)的評估或評價。測評方法和測評尺度影響分析模型的選擇。
測評計劃定義了測評實施的目標、方法、步驟和資源。測評頻率是測評計劃的執(zhí)行頻率。測評計劃應(yīng)按規(guī)定的頻度定期地或在必要的時候不定期地執(zhí)行。定期執(zhí)行的規(guī)定頻度應(yīng)建立在信息效益的需求與獲得他的成本之間的折中,可以是每周、每月、每季度或每年等。不定期執(zhí)行的必要時候包括ISMS初始規(guī)劃和實施以及ISMS本身或運行環(huán)境發(fā)生重大變化。
2.2 信息安全管理測評量表體系
任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標體系是信息安全測評的基礎(chǔ),是對指定屬性的評價,這些屬性與測評需求方的信息保障需求相關(guān)聯(lián),對他們進行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現(xiàn)給測評需求方的。標準GB/T 22081-2008是進行信息安全管理所參照的標準,其從信息安全方針、信息安全組織、法律法規(guī)符合性等11個方面,提出了133個控制措施供使用者在信息安全管理過程中選擇適當?shù)目刂拼胧﹣砑訌娦畔踩芾?。該標準所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標體系的實踐中,通常以控制措施的實施情況作為指標,建立預(yù)選指標集,通過對預(yù)選指標集的分析,采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標。
3 信息安全管理測評方法探討
測評方法通常影響到用于給定屬性的測評尺度類型。例如,主觀測評方法通常只支持序數(shù)或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發(fā)生次數(shù)或觀察經(jīng)過時間等。同樣的測評方法可能適用于多個屬性。然而,每一個屬性和測評方法的獨特結(jié)合產(chǎn)生一個不同的基礎(chǔ)測評。測評方法可能采用多種方式實現(xiàn)。測評規(guī)程描述給定機構(gòu)背景下測評方法的特定實現(xiàn)。
測評方法根據(jù)量化屬性的操作性質(zhì)分為兩種類型:
主觀:含有人為判斷的量化。
客觀:基于數(shù)字規(guī)則(如計數(shù))的量化。這些規(guī)則可能通過人或自動手段來實現(xiàn)。
測評方法的可能例子有:調(diào)查觀察、問卷、知識評估、視察、再執(zhí)行、系統(tǒng)咨詢、測試(相關(guān)技術(shù)有設(shè)計測試和操作有效性測試等)、統(tǒng)計(相關(guān)技術(shù)有描述統(tǒng)計、假設(shè)檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統(tǒng)計過程控制(SPC, statistical Process control) 圖和時序分析等)。
4 結(jié)束語
當前,信息安全領(lǐng)域的測評研究多側(cè)重于對技術(shù)產(chǎn)品、系統(tǒng)性能等方面的測評,其中信息安全風險評估可通過對重要信息資產(chǎn)面臨的風險、脆弱性的評價掌握組織的信息安全狀況;信息安全審計則只是對信息安全相關(guān)行為和活動提供相關(guān)證據(jù);而信息安全管理評審則是符合性審核,他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此,非常有必要對信息安全管理的有效性進行測評,這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執(zhí)行情況,為管理者決策提供依據(jù),也能為組織信息安全管理過程的持續(xù)改進提供足夠的幫助,達到更好地管理信息安全的最終目的。
參考文獻:
[1] 閆世杰,閔樂泉,趙戰(zhàn)生.信息安全管理測量研究[J].信息安全與通信保密,2009,5:53.
[2] 朱英菊,陳長松.信息安全管理有效性的測量[J].信息網(wǎng)絡(luò)安全,2009,1:87-88.
[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper, 2003.
[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics , Adapted from the report of the Best Practices and Metrics Teams , Corporate Information Security Working Group ( CISWG ) , 2004-11-17 ( Revised 2005-01-10 ).
[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement (in response to document SC27 N4485revl),2005-08-31
【關(guān)鍵詞】 等級保護 電力調(diào)度 管理制度
引言
我單位開展了信息安全等級保護安全建設(shè)整改、等級測評等工作。然而,隨著整改進程的深入,建立規(guī)范、高效、安全的信息系統(tǒng)運行維護和管理體系,如何將等級保護中的管理制度與本單位自身的安全生產(chǎn)、班組文化等制度結(jié)合,給管理工作帶來了新的挑戰(zhàn),通過建立等級保護管理制度體系能夠更全面的提高電力調(diào)度系統(tǒng)運維管理層次,實現(xiàn)信息系統(tǒng)、數(shù)據(jù)資源集成整合和綜合高效利用,支撐實現(xiàn)電力調(diào)度的信息化發(fā)展目標。本文結(jié)合筆者在信息安全管理中的實踐和理解,對等級保護管理體系在工作中的應(yīng)用提出一些個人的想法,供讀者借鑒。
一、建立等級保護制度體系目的和意義
為更好的提高信息安全保障能力和水平,依據(jù)《信息安全等級保護管理辦法》(公通字[2007]43號)、國家電網(wǎng)公司《信息系統(tǒng)安全等級保護建設(shè)的實施指導意見》(信息運安[2009]27號)、《SG186工程信息系統(tǒng)安全等級保護驗收標準(試行)》(信息運安[2009]44號)、《關(guān)于加強電力二次系統(tǒng)安全防護和等級保護工作的通知》(調(diào)自〔2012〕65號)等要求。進一步加強電力調(diào)度系統(tǒng)重要信息系統(tǒng)的安全保護,落實國網(wǎng)公司關(guān)于信息安全等級保護和安全防護體系建設(shè)的總體要求,我單位開展了信息安全等級測評和整 改工作。
二、等級保護管理制度體系分析
等級保護管理制度體系提供了對組織機構(gòu)中信息系統(tǒng)全生存周期過程實施符合安全等級責任要求的管理,包括落實安全管理機構(gòu)及人員,明確角色與職責,制定安全規(guī)劃、開發(fā)安全策略、實施風險管理、進行監(jiān)控、檢查,處理安全事件等,具體落實在要求則體現(xiàn)在等級保護測評指標中,等級保護管理要求如圖1所示。
三、等級保護管理體系建設(shè)實踐
在具體落實管理體系過程中,應(yīng)結(jié)合原有的信息化管理制度,貫徹建立管理制度文件層級化和流程化管理概念,將方針策略、管理制度、操作規(guī)程和記錄表單等文件科學的管理運作;將信息化安全管理方針策略定義為一層策略文件;將溝通管理、信息化人員管理、授權(quán)與審批管理、文件規(guī)范性管理、介質(zhì)管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、安全事件與應(yīng)急管理、備份與恢復(fù)管理等方面定義為二層制度文件,落實一層文件中涉及的各方面運維和安全管理內(nèi)容;將信息化運維管理的操作指導規(guī)范等定義為三層流程文件,支撐二層制度文件的具體操作;將所有信息化運維相關(guān)的表格定義為四層表格文件,落實并規(guī)范化所有運維操作,融合和動態(tài)的管理當前使用的管理制度體系結(jié)構(gòu),如圖2所示。
3.1安全管理的原則
1)基于安全需求原則:組織機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔負的使命,積累的信息資產(chǎn)的重要性,可能受到的威脅及面臨的風險分析安全需求,遵從相應(yīng)等級的規(guī)范要求,從全局上恰當?shù)仄胶獍踩度肱c效果;
2)主要領(lǐng)導負責原則:主要領(lǐng)導應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調(diào)動并優(yōu)化配置必要的資源,協(xié)調(diào)安全管理工作與各部門工作的關(guān)系,并確保其落實、有效;
3)全員參與原則:信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理,并與相關(guān)方面協(xié)同、協(xié)調(diào),共同保障信息系統(tǒng)安全;
4)持續(xù)改進原則:安全管理是一種動態(tài)反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統(tǒng)脆弱性的分布變化,應(yīng)及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復(fù)查、修改、調(diào)整以至提升安全管理等級,維護和持續(xù)改進信息安全管理體系;
5)分權(quán)和授權(quán)原則:對特定職能或責任領(lǐng)域的管理功能實施分離、獨立審計等實行分權(quán),避免權(quán)力過分集中所帶來的隱患,以減小未授權(quán)的修改或濫用系統(tǒng)資源的機會。
3.2管理制度體系框架構(gòu)建
3.2.1工作目標
建立安全管理組織并落實各個部門信息安全責任人,明確組織內(nèi)各機構(gòu)人員責任和工作職能,確定信息安全管理體系方針策略,編制形成信息安全方針策略文件。
3.2.2建立信息安全管理組織
(1)建立信息安全管理組織架構(gòu)
信息安全領(lǐng)導機構(gòu):供電公司信息化領(lǐng)導小組,主要負責對單位信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項安全措施在單位的執(zhí)行情況、設(shè)立落實信息安全責任。由供電公司分管領(lǐng)導擔任組長,小組成員為各個部門負責人組成。
(2)明確各相關(guān)機構(gòu)和崗位角色的責任和職能
建立相應(yīng)的職責文件,明確各相應(yīng)領(lǐng)導、部門、崗位的職責。調(diào)度通信中心應(yīng)設(shè)立信息安全工作的各關(guān)鍵崗位,如安全管理員、網(wǎng)絡(luò)管理員、操作系統(tǒng)管理員和數(shù)據(jù)庫管理員等,并將之與班組人員結(jié)合,并重視信息化人員的培養(yǎng)。
3.2.3確定安全管理總體方針策略
安全管理方針策略是為組織的每一個人提供基本的規(guī)則、指南、定義,從而在組織中建立一套信息資源保護標準,防止員工的不安全行為引入風險。同時,還是進一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。應(yīng)當目的明確、內(nèi)容清楚,能廣泛地被組織成員接受與遵守,且要有足夠靈活性、適應(yīng)性,能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動和資源??梢允箚T工了解與自己相關(guān)的信息安全保護責任,強調(diào)安全對組織業(yè)務(wù)目標的實現(xiàn)、業(yè)務(wù)活動持續(xù)運營的重要性。
安全方針策略屬于高層管理文件,簡要陳述信息安全宏觀需求及管理承諾,應(yīng)該篇幅短小,內(nèi)容明確。信息安全方針應(yīng)當簡明、扼要,便于理解,至少應(yīng)包括以下內(nèi)容:
(1)信息安全的定義,總體目標、范圍,安全對信息共享的重要性;
(2)管理層意圖、支持目標和信息安全原則的闡述;
(3)信息安全控制的簡要說明,以及依從法律、法規(guī)要求對組織的重要性;
(4)信息安全管理的一般和具體責任定義,包括報告安全事故;
(5)信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序,定義安全角色賦予管理職責,陳述組織的安全目標,為安全措施在組織的強制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。
3.3管理制度體系策略建立
3.3.1工作目標
建立覆蓋信息工作的全部文件,包含安全策略、制度、規(guī)定規(guī)范、表單,完善所有活動流程管理。
3.3.2建立體系策略制度文件
信息安全策略是組織信息安全活動的最高方針,需要根據(jù)信息工作的實際情況,分別制訂不同的信息安全策略。應(yīng)該簡單明了、通俗易懂,并形成書面文件,發(fā)給單位內(nèi)的所有成員。同時要對所有相關(guān)員工進行信息安全策略的培訓,以使信息安全方針真正植根于單位內(nèi)所有員工的腦海并落實到實際工作中。根據(jù)本單位實際情況,建立的策略文件,所有文件均需進行論證和評審。
(1)信息安全管理策略
作為所有系統(tǒng)的指導性方針文件,提供信息安全的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定各管理制度、操作和使用規(guī)范。
(2)系統(tǒng)運維安全管理策略
作為所有系統(tǒng)運行維護的指導性方針文件,提供系統(tǒng)安全運行維護的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定系統(tǒng)運行維護中相關(guān)的各種管理制度和規(guī)定,以及控制各項活動的記錄表單和審批流程。應(yīng)覆蓋機房、網(wǎng)絡(luò)、系統(tǒng)、資產(chǎn)、備份、日常運維等所有運行維護工作的范圍。
(3)系統(tǒng)建設(shè)安全管理策略
作為所有信息化工作建設(shè)的指導性方針文件,提供信息工作相關(guān)的建設(shè)安全管理的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)形成項目管理、采購管理、工程實施管理、測試及驗收管理等建設(shè)管理的全過程管理制度,相應(yīng)的控制表單和審批規(guī)定。
(4)人員安全管理策略
由于在系統(tǒng)、運維、建設(shè)方面已經(jīng)對人員在該活動中的行為做了要求,人員安全管理主要需要考慮的問題是錄用、離崗、保密、教育培訓、考核及外來人員方面的管理,也可以直接制定比較詳細的人員安全管理制度。
(5)管理流程
梳理并完善各種活動的詳細流程圖,任何針對信息系統(tǒng)的活動均有流程可依據(jù)進行控制管理。如事件管理流程、變更管理流程等。
(6)其他輔助制度
建立輔助文件,如對以上策略、制度、表單等進行管理的文件管理制度、保密制度、信息規(guī)定等。
3.4管理制度體系運作落實
3.4.1工作目標
逐項實施,直至體系全面運行,監(jiān)督落實安全策略制度,找出體系中的不適用和缺陷。
3.4.2實施
經(jīng)過第一和第二階段的工作,理論上單位已初步形成完整的信息安全管理體系,但體系是否能正常運作發(fā)揮作用,需要對體系進行驗證,驗證的方法就是運行體系。
體系的運行分幾步進行:
對通過論證評審的文件,通過正規(guī)渠道正式發(fā)文的方式進行,的文件根據(jù)情況決定是否采取“征求意見稿”或“暫行”;
文件前召集相關(guān)部門的負責人學習文件,并要求確保落實力度;
的文件要求相關(guān)部門組織學習,并依照實施;
各相關(guān)部門對運行的文件制度運行情況進行收集,存在實際困難無法落實的報評審組織評審適用性;
對“征求意見稿”的文件,必須從實施的相關(guān)部門采集意見。
體系實施階段可以在體系建立階段同步開展,建立部門策略制度后,通過論證評審即可進行試運行,不需等全套文件完成。
3.4.3監(jiān)督
指定或成立跨部門監(jiān)督機構(gòu)、人員,對文件實施的過程進行監(jiān)督管理,制定相應(yīng)的懲戒措施,對落實情況進行監(jiān)督檢查,對違反文件實施和實施不力的部門或人員進行懲戒,切實落實文件的有效實施。收集監(jiān)督過程中發(fā)現(xiàn)的文件問題、人員實施問題方面資料,反饋到編制組織。
本階段是系統(tǒng)建立的關(guān)鍵階段,是信息安全管理體系要分析運行效果,尋求改進機會的階段。如果發(fā)現(xiàn)一個控制措施不合理、不充分,就要采取糾正措施,以防止信息系統(tǒng)處于不可接受風險狀態(tài)。必須強調(diào)相關(guān)領(lǐng)導應(yīng)重視本階段工作,并且從實際上支持和推動實施工作。且應(yīng)加大學習培訓和監(jiān)督力度,落實懲戒措施。讓文件涉及的相關(guān)部門和相關(guān)人員熟知該文件并能按要求準確執(zhí)行。
3.5管理制度體系細化調(diào)整
3.5.1工作目標
總結(jié)體系運行情況,調(diào)整不適用和無法落實的部分,完善體系,使之能高效、有序的運作。
3.5.2評審
評審有兩個環(huán)節(jié),第一個環(huán)節(jié)是針對出現(xiàn)的問題進行審核,論證其原因,進行改正完善。第二個環(huán)節(jié)是在大部分問題解決后、體系正常的情況下全面評審體系文件、組織、活動是否達到預(yù)期目標。
首先,信息安全領(lǐng)導小組組織相關(guān)部門人員,對體系實施中發(fā)現(xiàn)的問題進行審核,對落實不力的部門責成落實;對實際存在的問題進行論證,提出解決辦法;對不適用的文件或部分進行論證評審,確實存在不適用的文件則組織相關(guān)人員進行修訂,轉(zhuǎn)入修訂環(huán)節(jié),對于不適用且沒必要存在的文件進行廢止。
而后,對于本階段計劃時間內(nèi)反饋沒發(fā)現(xiàn)問題的文件,組織相關(guān)部門評審試行效果,達到預(yù)期要求則作為正式版運行,并采用持續(xù)優(yōu)化階段的方式進行管理,未達預(yù)期目的則轉(zhuǎn)入重新編制程序。
3.5.3修訂
對于存在問題的策略文件,組織該策略文件涉及最多的主體部門和其他相關(guān)部門人員成立臨時修訂機構(gòu),針對文件存在問題進行修訂。修訂后進行新版本的頒布,同時該文件轉(zhuǎn)入落實階段。
3.5.4測評
經(jīng)過細化調(diào)整,不斷地審核修訂后,體系應(yīng)已基本完善,此時轉(zhuǎn)入評審的第二環(huán)節(jié)。按照符合等級保護要求的預(yù)期目標,委托等級保護測評機構(gòu)進行等級保護測評,在保證客觀、合規(guī)、公正的前提下,對單位信息安全體系進行全面評審。整體測評后,對不滿足要求的部分進行整改,整改完成后轉(zhuǎn)入實施階段,直至符合要求。
3.6管理制度體系持續(xù)優(yōu)化
通過前四個階段的工作,信息安全管理體系應(yīng)基本穩(wěn)定、成熟,后期的工作在于保持并進行不斷地優(yōu)化。把經(jīng)過檢驗的文件作為常態(tài)的管理遵循依據(jù),在日常工作中保持,不因試行結(jié)束而松懈。部門和人員應(yīng)把試行期間依照文件要求形成的工作模式進一步完善保持,在未發(fā)生異常情況之前,始終按照正式版本執(zhí)行。定期進行評審,找出不適用部分進行優(yōu)化調(diào)整;結(jié)合工作實際,尋求更高效安全的方法優(yōu)化體系,提高效能。