林海平 陳倩

（福建省電力有限公司南平電業(yè)局，福建 南平 353000）

1 專業(yè)管理目標(biāo)描述

1.1 專業(yè)管理理念

遵循“統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)”、“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行、誰(shuí)負(fù)責(zé)，聯(lián)合防護(hù)、協(xié)同處置”和“三分技術(shù)，七分管理”的原則，實(shí)行“安全第一、預(yù)防為主，管理和技術(shù)并重、綜合防范”的方針，借助省公司統(tǒng)一部署的桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)，結(jié)合綜合網(wǎng)管系統(tǒng)，制定嚴(yán)格的信息安全管理規(guī)范、制度，實(shí)現(xiàn)信息系統(tǒng)安全可控、能控、在控。

1.2 專業(yè)管理范圍和目標(biāo)

本文信息系統(tǒng)安全管理主要涉及信息內(nèi)網(wǎng)計(jì)算機(jī)系統(tǒng)安全管理和移動(dòng)存儲(chǔ)介質(zhì)管理，其目標(biāo)是確保不發(fā)生重大信息泄露事件，確保網(wǎng)絡(luò)與信息系統(tǒng)安全，禁止將未安裝終端管理系統(tǒng)的計(jì)算機(jī)接入信息內(nèi)網(wǎng)；禁止非地址綁定計(jì)算機(jī)接入信息內(nèi)網(wǎng)；禁止利用非公司專配安全移動(dòng)介質(zhì)進(jìn)行內(nèi)外網(wǎng)信息交換，且向外部拷貝文件需要嚴(yán)格的審批流程；禁止桌面終端非法外聯(lián)。

1.3 專業(yè)管理的指標(biāo)體系及目標(biāo)值

結(jié)合省公司信息系統(tǒng)3E指標(biāo)、信息專項(xiàng)考核指標(biāo)等相關(guān)文件的具體工作要求，建立信息系統(tǒng)安全指標(biāo)績(jī)效考核體系，實(shí)現(xiàn)以下主要目標(biāo)值：1）桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)安裝部署率達(dá)到 100%；2）嚴(yán)格執(zhí)行“八不準(zhǔn)”（不準(zhǔn)將公司承擔(dān)安全責(zé)任的對(duì)外網(wǎng)站托管于外單位，不準(zhǔn)未備案的對(duì)外網(wǎng)站向互聯(lián)網(wǎng)開(kāi)放，不準(zhǔn)利用非公司統(tǒng)一域名開(kāi)展對(duì)外業(yè)務(wù)系統(tǒng)服務(wù)，不準(zhǔn)未進(jìn)行內(nèi)容審計(jì)的信息外網(wǎng)郵件系統(tǒng)開(kāi)通，不準(zhǔn)使用社會(huì)電子郵箱處理公司辦公業(yè)務(wù)，不準(zhǔn)將未安裝終端管理系統(tǒng)的計(jì)算機(jī)接入信息內(nèi)網(wǎng)，不準(zhǔn)非地址綁定計(jì)算機(jī)接入信息內(nèi)外網(wǎng)，不準(zhǔn)利用非公司專配安全移動(dòng)介質(zhì)進(jìn)行內(nèi)外網(wǎng)信息交換）；確?！叭话l(fā)生”（不發(fā)生重大系統(tǒng)停運(yùn)事故，不發(fā)生重大信息泄露事故，不發(fā)生網(wǎng)站被篡改造成重大影響事故）。3）完成省公司下達(dá)的各項(xiàng)信息安全指標(biāo)。

2 專業(yè)管理的主要做法

2.1 主要流程說(shuō)明

為了確保信息系統(tǒng)安全，某企業(yè)從技術(shù)管控、檢查調(diào)研、制度保障和人員管理四方面進(jìn)行了梳理，從技術(shù)管控、檢查調(diào)研、制度保障、人員管理四個(gè)方面來(lái)開(kāi)展工作，總體工作流程圖如下：（1）技術(shù)管控：制定各系統(tǒng)的管理策略，加強(qiáng)技術(shù)管控。（2）檢查調(diào)研：按照組織檢查調(diào)研-反饋-通報(bào)考核-組織整改-反饋-共性問(wèn)題總結(jié)歸納并上報(bào)省公司-公告的流程，確保調(diào)研效果。（3）制度保障：制定信息安全相關(guān)各項(xiàng)制度和辦法。（4）人員管理：組建信息員網(wǎng)絡(luò)，編制培訓(xùn)方案并展開(kāi)培訓(xùn)，積極開(kāi)展自查。

2.1.1 技術(shù)管控

1）制定各系統(tǒng)的管理策略

借助桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)提供的技術(shù)管控手段，制定了各項(xiàng)信息系統(tǒng)安全管理控制策略，確保信息系統(tǒng)安全可控、能控、在控。重點(diǎn)管理控制策略包括以下幾條：

a）防止信息泄密事件發(fā)生，禁止移動(dòng)存儲(chǔ)設(shè)備的拷貝功能。所有移動(dòng)存儲(chǔ)設(shè)備僅具備只讀功能，不能將文件拷貝至移動(dòng)存儲(chǔ)設(shè)備，個(gè)別確因工作需要必須使用移動(dòng)存儲(chǔ)設(shè)備進(jìn)行文件交換的，必須由部門(mén)領(lǐng)導(dǎo)審核簽字同意并加蓋部門(mén)公章后，交信息中心統(tǒng)一處理。

b）桌管系統(tǒng)啟用地址綁定和阻斷策略。實(shí)現(xiàn)對(duì)未安裝桌管系統(tǒng)的計(jì)算機(jī)和任意搬遷的計(jì)算機(jī)實(shí)現(xiàn)阻斷功能，并通過(guò)以下手?jǐn)噙M(jìn)行進(jìn)一步的管控：新增計(jì)算機(jī)由信息中心統(tǒng)一負(fù)責(zé)協(xié)調(diào)、安排安裝，所有接入信息網(wǎng)絡(luò)的計(jì)算機(jī)必須必須實(shí)名制，必須設(shè)置系統(tǒng)登錄密碼，密碼需字母數(shù)字組合并大于八位；對(duì)局大樓信息網(wǎng)絡(luò)點(diǎn)位進(jìn)行增加，拆除各辦公室因點(diǎn)位不足而使用的不可管理的HUB，將所有計(jì)算機(jī)直接接入信息機(jī)房?jī)?nèi)可管理交換機(jī)上；對(duì)于臨時(shí)性接入我局信息網(wǎng)絡(luò)的計(jì)算機(jī)，由責(zé)任部門(mén)提交《設(shè)備入網(wǎng)申請(qǐng)單》經(jīng)由部門(mén)領(lǐng)導(dǎo)審核簽字同意并加蓋部門(mén)公章后，交信息中心統(tǒng)一處理。

c）桌管系統(tǒng)啟用補(bǔ)丁分發(fā)策略。為保證所有計(jì)算機(jī)能及時(shí)安裝系統(tǒng)補(bǔ)丁，桌管系統(tǒng)啟用補(bǔ)丁分發(fā)策略，做到補(bǔ)丁實(shí)時(shí)更新。

2）修改管理策略

根據(jù)檢查調(diào)研和日常運(yùn)維中反饋的問(wèn)題，以及國(guó)網(wǎng)及省公司各項(xiàng)指標(biāo)的調(diào)整情況，及時(shí)修改、調(diào)整各系統(tǒng)的管理策略。

2.1.2 檢查調(diào)研

1）組織檢查調(diào)研。結(jié)合省公司春、秋安全大檢查和特殊時(shí)期專項(xiàng)安全檢查及信息安全等級(jí)保護(hù)測(cè)評(píng)工作等相關(guān)活動(dòng)，組織不同層次、不同級(jí)別的信息安全檢查調(diào)研活動(dòng)。

2）反饋。由檢查調(diào)研組對(duì)檢查調(diào)研中發(fā)現(xiàn)的問(wèn)題進(jìn)行收集、整理，統(tǒng)一反饋給信息中心，由信息中心負(fù)責(zé)匯總及分類。

3）通報(bào)考核。信息中心對(duì)檢查中發(fā)現(xiàn)的問(wèn)題進(jìn)行通報(bào)考核，對(duì)違反相關(guān)規(guī)章、制度的行為、事件按相關(guān)的考核辦法進(jìn)行考核，對(duì)違反紅線制度行為、事件提交局務(wù)會(huì)進(jìn)行考核，觸犯法律的，依法追究其法律責(zé)任。

2.1.3 制度保障

1）制定信息安全相關(guān)各項(xiàng)制度、辦法。根據(jù)我局信息安全管理工作的需求，在參照、執(zhí)行國(guó)網(wǎng)及省公司相關(guān)文件要求的同時(shí)，制定適合我局實(shí)際信息安全管理工作需求的規(guī)章、制度及管理辦法。

2）修訂制度、辦法。根據(jù)檢查調(diào)研中反饋的情況和國(guó)網(wǎng)及省公司相關(guān)文件的要求，及時(shí)修訂相關(guān)的規(guī)章、制度及管理辦法。

2.1.4 人員管理

1）組建信息員網(wǎng)絡(luò)。為了真正落實(shí)“誰(shuí)使用、誰(shuí)負(fù)責(zé)”的安全管控原則，建立覆蓋各部門(mén)/班組的信息員網(wǎng)絡(luò)。某企業(yè)根據(jù)多年的工作經(jīng)驗(yàn)，組建了一支覆蓋各部門(mén)/班組的信息員網(wǎng)絡(luò)，明確了信息員信息安全管理的職責(zé)和義務(wù)。

2）編制培訓(xùn)方案、開(kāi)展培訓(xùn)。針對(duì)不同的人群，編制培訓(xùn)方案，并開(kāi)展培訓(xùn)，主要包括以下三個(gè)方面：a、全員培訓(xùn)：結(jié)合安監(jiān)部每年組織的安規(guī)考試，開(kāi)展全員信息安全培訓(xùn)，重點(diǎn)宣貫信息安全管理相關(guān)制度和管理辦法，并與各單位、部門(mén)及每一位職工簽定《信息安全責(zé)任狀》；b）、新進(jìn)員工培訓(xùn)：在人資部新進(jìn)員工崗前培訓(xùn)中加入信息安全培訓(xùn)內(nèi)容，重點(diǎn)培訓(xùn)在局辦公場(chǎng)所使用計(jì)算機(jī)需注意的事項(xiàng)，并要求新進(jìn)員工熟悉信息安全管理相關(guān)制度和管理辦法；c）、信息員培訓(xùn)：組織人員編制了具有針對(duì)性的培訓(xùn)方案，方案主要明確如何判斷計(jì)算機(jī)違規(guī)外聯(lián)，如何檢查計(jì)算機(jī)是否安裝桌管系統(tǒng)和防病毒系統(tǒng)、計(jì)算機(jī)是否采用實(shí)名制等，并培訓(xùn)桌管系統(tǒng)和防病毒系統(tǒng)的安裝方法。

2.1.5 綜合管理

1）組織整改。對(duì)檢查調(diào)研中發(fā)現(xiàn)的問(wèn)題和各部門(mén)信息員自查反饋的問(wèn)題，信息中心針對(duì)不同的情況，制定整改措施。

2）反饋。各相關(guān)單位、部門(mén)、人員對(duì)整改情況進(jìn)行匯總、整理上報(bào)至信息中心，包括已整改情況反饋，需信息中心協(xié)調(diào)改情況反饋等。

3）共性問(wèn)題歸納總結(jié)。信息中心組織人員對(duì)各單位、部門(mén)、人員反饋的信息進(jìn)行匯總、分析，需信息中心協(xié)調(diào)解決的及時(shí)協(xié)調(diào)解決，對(duì)無(wú)法協(xié)調(diào)解決的形成報(bào)告上報(bào)省公司科信部協(xié)調(diào)解決，對(duì)存在的信息安全隱患進(jìn)行分析，提出技術(shù)和管理上的防范措施。

4）上報(bào)省公司。對(duì)局本部無(wú)法協(xié)調(diào)解決的問(wèn)題、故障進(jìn)行整理、匯總，并進(jìn)行分析，提出相關(guān)意見(jiàn)等，形成報(bào)告上報(bào)省公司科信部。

5）省公司回復(fù)。省公司科信部對(duì)我局上報(bào)的相關(guān)問(wèn)題進(jìn)行協(xié)調(diào)并回復(fù)我局。

6）公告。充分利用本單位網(wǎng)站、協(xié)同辦公等系統(tǒng)公告功能，發(fā)布不同時(shí)期的信息安全工作重點(diǎn)，國(guó)網(wǎng)、省公司信息安全管理相關(guān)文件，問(wèn)題、故障解決情況，帶有共性的信息安全隱患信息等，指導(dǎo)設(shè)備使用人員處置安全隱患。

2.2 確保流程正常運(yùn)行的人力資源保證

某企業(yè)通過(guò)設(shè)置信息管理部門(mén)、桌面系統(tǒng)運(yùn)維部門(mén)和信息員柔性機(jī)構(gòu)來(lái)確保本套流程的正常運(yùn)作。

1）信息中心。信息中心共設(shè)七個(gè)專責(zé)崗位，信息安全管理專責(zé)總體負(fù)責(zé)信息安全管理工作；信息網(wǎng)絡(luò)管理專責(zé)、主機(jī)系統(tǒng)管理專責(zé)、應(yīng)用系統(tǒng)管理專責(zé)和數(shù)據(jù)庫(kù)管理專責(zé)負(fù)責(zé)配合信息安全管理專責(zé)對(duì)全局所屬信息系統(tǒng)進(jìn)行安全防護(hù)、管理等信息安全相關(guān)的工作。

2）桌面系統(tǒng)運(yùn)維組。運(yùn)維組共設(shè)有3至4位維護(hù)人員，具體負(fù)責(zé)桌面計(jì)算機(jī)的安裝調(diào)整工作和日常運(yùn)行維護(hù)工作，負(fù)責(zé)協(xié)助信息安全管理專責(zé)對(duì)桌面計(jì)算機(jī)安全檢查工作，負(fù)責(zé)配合信息中心對(duì)信息員的管理和培訓(xùn)工作。

3）信息員柔性機(jī)構(gòu)。基本上每個(gè)部門(mén)均設(shè)有一位信息員，以確保企業(yè)每一基層組織均有人負(fù)責(zé)信息安全工作，每年對(duì)信息員網(wǎng)成員進(jìn)行調(diào)整，以確保人員的有效性。

2.3 保證流程正常運(yùn)行的專業(yè)管理的績(jī)效考核與控制

為確保信息安全管理工作的常態(tài)化開(kāi)展，某企業(yè)參照國(guó)網(wǎng)及省公司相關(guān)文件要求編制了《科技信息考核實(shí)施辦法》、《某企業(yè)信息系統(tǒng)運(yùn)行管理辦法》、《某企業(yè)信息網(wǎng)絡(luò)運(yùn)行管理辦法》等標(biāo)準(zhǔn)制度和管理辦法對(duì)全區(qū)各單位進(jìn)行績(jī)效考核和管理控制。對(duì)于嚴(yán)重違反信息安全管理制度和信息安全“紅線”條款的行為進(jìn)行從重、從嚴(yán)考核。同時(shí)要求責(zé)任單位對(duì)事件原因進(jìn)行分析，提出整改措施，并進(jìn)行全區(qū)通報(bào)。

3 評(píng)估與改進(jìn)

3.1 專業(yè)管理的評(píng)估方法

信息安全管理通過(guò)技術(shù)管控手段和現(xiàn)場(chǎng)檢查手段來(lái)進(jìn)行評(píng)估，其內(nèi)容主要以信息系統(tǒng)3E指標(biāo)、信息專項(xiàng)考核指標(biāo)和發(fā)布的信息安全“八不準(zhǔn)”、“三不發(fā)生”為評(píng)估依據(jù)，結(jié)合特殊時(shí)期專項(xiàng)檢查所提出的相關(guān)要求，對(duì)我局信息系統(tǒng)安全進(jìn)行評(píng)估。

3.2 今后的改進(jìn)方向或?qū)Σ?/h3>

結(jié)合某企業(yè)當(dāng)前實(shí)際情況，今后改進(jìn)方向主要還在依托自已，加強(qiáng)管理，加強(qiáng)信息人才隊(duì)伍建設(shè)，同時(shí)積極提交各類技術(shù)建議，積極配合上級(jí)單位加強(qiáng)管控系統(tǒng)的深化應(yīng)用工作。具體為以下幾個(gè)方面：

3.2.1 持續(xù)完善、修訂規(guī)章制度、管理辦法。

3.2.2 進(jìn)一步加強(qiáng)人才隊(duì)伍建設(shè)。

3.2.3 積極推進(jìn)信息安全管理系統(tǒng)的深化應(yīng)用工作。

3.2.4 根據(jù)信息安全要求，對(duì)該企業(yè)信息網(wǎng)絡(luò)進(jìn)行相應(yīng)的改造、升級(jí)。

猜你喜歡

信息員信息中心信息系統(tǒng)

企業(yè)信息系統(tǒng)安全防護(hù)

哈爾濱軸承(2022年1期)2022-05-23 13:13:18

2019年中國(guó)化工信息中心 7大期刊電子版聯(lián)合訂閱：

中國(guó)化肥信息(2019年5期)2019-06-25 00:52:28

2019年中國(guó)化工信息中心 7大期刊電子版聯(lián)合訂閱：

中國(guó)化肥信息(2019年2期)2019-04-04 05:53:28

基于區(qū)塊鏈的通航維護(hù)信息系統(tǒng)研究

電子制作(2018年11期)2018-08-04 03:25:54

徐州市銅山區(qū)出臺(tái)《食品安全協(xié)管員信息員管理辦法》

食品安全導(dǎo)刊·中旬刊(2018年5期)2018-07-13 05:52:43

徐州市銅山區(qū)出臺(tái)《食品安全協(xié)管員信息員管理辦法》

食品安全導(dǎo)刊(2018年14期)2018-01-16 21:25:23

信息系統(tǒng)審計(jì)中計(jì)算機(jī)審計(jì)的應(yīng)用

消費(fèi)導(dǎo)刊(2017年20期)2018-01-03 06:26:40

重慶市地理信息中心

地理空間信息(2017年2期)2017-03-02 10:36:41

基于SG-I6000的信息系統(tǒng)運(yùn)檢自動(dòng)化診斷實(shí)踐

現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化(2016年12期)2016-05-17 05:37:57

2016年6月集貿(mào)市場(chǎng)仔豬價(jià)格

農(nóng)家顧問(wèn)(2016年7期)2016-05-14 15:23:15

河南科技2012年20期

河南科技的其它文章

原子熒光測(cè)定污水中的砷、汞、硒

為構(gòu)建和諧社會(huì)提供堅(jiān)實(shí)的科技支撐

明清家具特點(diǎn)及其設(shè)計(jì)思想在現(xiàn)代家具的應(yīng)用

跑車(chē)防護(hù)裝置在六礦明斜井中的應(yīng)用

電子信息工程技術(shù)的發(fā)展探討

淺談科技檔案與科技文件材料