前言
隨著科學技術的發展,信息系統不斷的進步,在帶給我們給你更多便捷的同時,信息系統面對的安全威脅也越來越多。面對日益嚴峻的安全環境,國家逐步出臺了對于信息系統的等級保護定級、測評的相關規定,用以保護信息系統的安全,降低其所面臨的風險。比如,如何對信息系統進行規劃和管理,如何保證其正常運行的相關規定和措施,出現故障后的應急方案如何制定等。根據在實際情況中所遇到問題,遵循對問題進行分析、思考、實踐、改善這一系列研究過程,發現規范化管理對提高系統運行的可用性和連續性有著至關重要的意義。本文將結合筆者對信息安全等級保護的理解闡述信息系統安全管理的重要性,并結合等級保護的具體測評項目制定一些相應的自查自檢措施。
?
一、規范化管理
1、?????????? 什么是規范化管理
規范化管理是一個系統工程,要使這個系統工程正常工作,實現高效率、高質量,就需要運用科學的方法、手段和原理,按照一定的運營框架,對各項管理要素進行系統的規范化、程序化、標準化設計,然后形成有效的管理運營機制。
2、?????????? 什么是信息安全等級保護
根據信息系統在國家安全、經濟建設、社會生活中的重要程度,以及受到破壞后對受侵害客體的損害程度,對信息系統的組織管理與業務結構實行分域、分層、分類、分級實施保護,保障信息安全和系統安全正常運行,維護國家利益、社會秩序、社會公共利益以及公民法人和其他組織的合法權益。
信息安全等級保護制度的主要內容是什么?
對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
3、?????????? 信息系統管理規范化概念
信息系統的管理規范化
信息系統的管理規范化,需要依據管理者對于等級保護工作內容的理解,結合等級保護要求設計管理的規范框架或流程,形成統一、規范和相對穩定的管理體系,并在管理工作中按照這些組織框架和流程進行實施,以期達到管理動作的井然有序和協調高效。
信息系統的規范化管理
信息系統的規范化管理是建立在自身管理規范化的基礎上,依照自身的運維流程對系統進行建設和管理,解決內部管理中的權限下發與權限集中;要求對整個系統的流程形成制度化、流程化、標準化、表單化以及數據化。通過這種規范化的建設,使自身常規的事件納入制度化、數據化、流程化的管理,以形成統一、規范和相對穩定的管理體系,以此提高工作質量和工作效率,達到保障信息系統正常運行的目的。
1.?信息系統規范化管理的內容
規范化管理在信息系統的運作上涉及到多個方面:項目規劃與決策程序、組織機構、業務流程、部門和崗位設置、規章制度和管理控制等方面;規范化的內容簡單地說就是:制度化、流程化、標準化、表單化、數據化。
l?流程的規范化
信息系統涉及的各個部門內部都有各自的管理辦法,但對于部門之間的銜接卻很難有較好的管控方法,所以,越是界定部門之間的權責,問題就越多。這時就需要對自身運維流程進行明確,使部門納入到流程中,成為流程中的一個結點;流程一般包括崗位工作流程、系統業務流程、機構組織流程;在進行流程規范化的時候,必須先明確自身的職責和目標、識別流程及其現狀,然后確定各個流程,并對流程進行科學的規劃和設計。
l?組織結構的規范化
組織結構是關于信息系統在運維過程中涉及的目標、任務、權責、操作以及相互關系的系統。具體內容包括:各部門之間的結構、崗位設置、崗位職責以及崗位描述等。目的在于協調好部門與部門之間、人員與任務之間的關系,使管理人員自己在管理過程中清楚應有的權、責、利,以及工作形式、考核標準,有效地保證組織活動開展,最終保證組織目標實現。
組織結構規范化強調組織架構的設計,應該建立在系統思考的基礎上。各部門和崗位,都必須從系統的角度出發,對應于自身的目標來界定自己工作的內容、標準和要求,以及所能支配的資源,使之按照既定要求和標準,對所獲得的資源的配置方式進行選擇,行使決策權力,并承擔相應決策的責任。
l?規章制度的規范化
管理制度是規范化管理的有效工具,可以對各個部門、崗位和員工的運行準則進行很好的界定,它能夠使整個測評機構的管理體系更加規范,是每個員工的行為受到合理的約束與激勵。其主要內容包括:管理體系的規范化、行為準則界定的規范化、績效管理標準的規范化、違規行為處罰的規范化等。
l?資料信息體系的規范化
從有利于信息化、有利于信息共享、有利于減輕負擔出發,根據新流程、新制度的要求,按照格式模板統一、填寫標準統一、資料共享及歸檔要求統一、檢查指導要求統一、評分考核要求統一、績效兌現要求統一的標準,完善記錄、報表,完善內部共享資料數據庫,推進基礎資料信息化管理,推進流程關鍵點的過程控制,為量化考核、追溯責任和績效考核提供依據。
l?管理控制的規范化
信息系統的越來越復雜,作為管理者對系統的管理難度就越大。這就需要管理者有一套有效的管理控制系統,管理者可以通過這套規范化的系統,對自身的生產系統、管理人員、技術開發等模塊進行有效的管理和控制,來實現管理者的意圖。
一、??? 信息系統管理自查自檢措施
內控自查工作不僅是構成信息系統內控管理體系的重要組成部分,也是監督審計的重要手段之一。自查工作是各業務部門依據業務流程對處理相關業務活動、流程、及設施的現場自查。開展自查工作的目的是保證信息系統的服務質量。
通過內控自查流程,將信息系統所面臨的風險控制在最初階段,有效的降低信息系統所面臨的風險。通過內控自查工作,將服務質量控制活動落實到每個運維人員中去,使我局員工充分認識到加強內控管理的重要性,不斷完善我局內部控制體系建設,強化內控管理執行行為,提高管理水平,促進各項業務穩健運行。
二、??? 信息資產自查計劃
1.?檢查人員
檢查人員 | 部門機構 系統管理員 | 部門機構 負責人及主管 | 信息技術局 安全崗 | 信息技術局 負責人 |
檢查人員責任 | 負責制定本部門系統的自查計劃 | 負責本部門系統的自查計劃的簽字審批 | 給予各部門的自查計劃提出建議,并負責制定全面的自查計劃 | 負責各部門的自查計劃的審閱檢查和全面自查計劃的簽字審批 |
2.?檢查時間
每個月的第一周:各部門編輯部門負責維護系統的自查計劃,并由部門負責人簽字審批;
每個月的第二周: 信息技術局安全崗負責編制整合全面的自查計劃,并由信息技術局負責人簽字審批后展開全面自查工作;
每個月的第三周:編制、審核本月的檢查報告,并由信息技術局負責人審查完畢后進行存檔。
鄉鎮安全生產明白卡
落實企業安全生產主體責任應注意的六…
