|
信息安全管理體系 ”基本概念 保障信息安全,首先要樹立正確的安全觀。 一方面,信息安全問題不單是一個技術問題,而是由人、技術系統和組織內部環境等綜合因素產生的問題,要靠有效的信息安全管理才能彌補單純技術手段的不足; 另一方面,信息安全包含內容廣泛,信息安全需要整體防護。如果還以各自獨立的視角去看待信息技術安全工作,就會出現盲人摸象、只見樹木不見森林的情況。因此,要把高校信息安全管理當作一個整體進行研究和實踐,信息安全管理體系就是從整體上看待高校信息安全工作。 參考體系框架 業界先后提出過不少信息安全管理體系參考框架。由于各行業、各單位都具有各自不同的情況,并不存在統一的信息安全管理體系適合所有高校。中山大學在建設信息安全管理體系的過程中,重點參考了《信息技術安全技術信息安全管理體系要求》(GB/T 22080-2008,相當于ISO/IEC 27001:2005)及《信息安全技術政府部門信息安全管理基本要求》(GB/T 29245-2012)等兩個標準,現簡要介紹如下: 1、《信息技術安全技術信息安全管理體系要求》 該標準起源于英國政府一項最佳實踐,后成為國際標準,用于為建立、實施、運行、監視、評審、保持和改進信息安全管理體系(Information Security Management System,簡稱ISMS)提供模型。該標準共列舉了“安全方針”、“信息安全組織”、“資產管理”、“人力資源安全”、“物理和環境安全”、“通信和操作管理”、“訪問控制”、“信息系統獲取、開發和維護”、“信息安全事故管理”、“業務連續性管理”和“符合性”等11方面的控制目標和控制措施。 2、《信息安全技術政府部門信息安全管理 基本要求》 該標準用于指導各級政府部門的信息安全管理工作以及信息安全檢查工作,標準涵蓋信息安全組織管理、日常信息安全管理(包括人員、資產、采購、外包、經費等)、信息安全防護管理(包括網絡邊界、信息系統、門戶網站、電子郵件、終端計算、存儲介質等)、信息安全應急管理、信息安全教育培訓、信息安全檢查等6方面內容。其配套制度可見《信息安全技術 政府部門信息安全管理基本要求:補篇 信息安全管理制度參考模板》。 類似的標準還有《銀行業信息科技風險管理指引》、《企業風險管理框架》(COSO)、《信息及相關技術的控制目標》(COBIT)等。 管理制度框架 當前信息安全管理體系普遍采用文件化管理模式。文件化管理模式主張在管理某項工作或活動時,應建立和實施程序,程序的執行需要保留可追溯的記錄。這與中山大學目前大力推行的“四有”高校行政管理文化--“有依據、有流程、有記錄、有節點”--是高度一致的。 典型的信息安全制度采用的是金字塔式層級框架,如圖1所示:  1、一級文件:信息安全方針 信息安全方針是信息安全管理的上層文件,也是綱領性文件,其他文件如管理辦法、規范、流程、記錄文件等都必須遵從一級文件。 2、二級文件:管理辦法 管理辦法是信息安全管理制度的約束性文件,是對信息安全某一方面的原則性規定。 3、三級文件:規定、規范、流程和細則等 規定、細則是對管理辦法的細化規定和要求;規范是實現管理辦法需要遵守的準則和規定,包括技術規范和管理規范;流程是對管理辦法的過程描述,側重工作過程中輸入、輸出、活動、職責的界定。 4、四級文件:表單模板、業務流程圖、記錄文件等 為第一至三級文件制度在執行過程中用的相關表單和記錄。 《中山大學信息技術安全管理辦法》 介紹 起草歷程 《中山大學信息技術安全管理辦法》是學校信息安全管理的綱領性和基礎性文件。信息化管理辦公室在制定辦法時候,根據學校實際,沒有采用指導意見體例,采用的是二級文件管理辦法體例,將方針政策的內容融于管理辦法體系當中。 文件起草工作由信息化管理辦公室牽頭,網絡與信息技術中心配合,歷時大半年時間。起草單位在總結過去校園網建設和數字化校園建設經驗和成果、剖析信息安全風險評估及信息安全等級測評結果和問題的基礎上,充分參透《教育部關于加強教育行業網絡與信息安全工作的指導意見》(教技[2014]4號)、《教育部關于進一步加強直屬高校直屬單位信息技術安全工作的通知》(教技[2015]1號)、《教育部 公安部關于全面推進教育行業信息安全等級保護工作的通知》(教技[2015]2號)等上位精神,反復討論修改形成當前版本。 期間,學校還聘請了有豐富政府機關、企事業單位實施經驗的信息安全咨詢服務公司提供咨詢意見。在辦法制定后期,起草單位還吸收了《中華人民共和國網絡安全法》(簡稱《網絡安全法》)部分內容,最終辦法于2017年1月通過學校黨委常委會審議,并在《網絡安全法》正式實施(2017年6月1日)前印發。 名稱由來 教育部將《網絡安全法》中規定的網絡安全工作分解成三部分:第一部分稱為“信息技術安全”(《網絡安全法》的第三、五章內容,由科技司牽頭,信息中心、辦公廳配合做好工作);第二部分稱為“信息內容安全”(《網絡安全法》的第四章部分內容,由思政司牽頭,相關司局配合做好工作);第三部分稱為“網絡數據安全”(《網絡安全法》的第四章部分內容,由規劃司牽頭,相關司局配合做好工作)。 本辦法絕大部分內容是關于信息技術安全的,僅少量條款觸及內容管理和數據管理的原則性要求。因此,辦法名稱定為《中山大學信息技術安全管理辦法》。 主要內容 辦法共17章、89條款、7275字,是中山大學信息技術安全管理的綱領性、基礎性文件。各章節內容如下: 1.總則 2.組織機構與職責 3.校園網絡管理 4.數據中心管理 5.信息系統建設、運行和運維管理 6.信息系統數據安全管理 7.互聯網網站安全管理 8.電子郵件安全管理 9.終端計算機安全管理 10.存儲介質安全管理 11.人員安全管理 12.外包服務安全管理 13.信息安全應急管理 14.信息安全教育培訓 15.信息安全檢查監督 16.信息安全責任追究 17.附則 第二章明確學校信息技術安全工作的主要責任人、歸口管理部門和技術支撐部門及其主要職責,并規定校內各單位的安全責任;中山大學校長是信息技術安全工作的第一責任人;中山大學信息化工作機制堅持“管建分離”原則,信息化管理辦公室是信息安全的職能部門,網絡與信息技術中心是信息安全的技術支撐部門。 后續推進措施 信息安全管理體系建設是一項系統工程,也是一項長期艱巨的任務。綱領性、基礎性文件的頒布出臺,是體系建設的重要里程碑,但這僅僅是萬里長征的第一步。 信息安全咨詢服務公司為學校設計了一個信息安全制度文件框架,作為信息安全管理體系的藍圖和計劃。 信息化管理辦公室整合各部門力量,采取“成熟一個、出臺一個”、“急用先上”等原則,推動各級文件的制定頒布。例如,信息化管理辦公室在一級文件頒布幾乎同時,制定出臺了《中山大學互聯網網站管理辦法》、《中山大學公務電子郵箱使用管理辦法》(兩個分別對應于第七、八章內容的二級文件)。 管理制度的制定是一項艱巨的任務,但其有效執行更是學校信息安全工作的重點和難點,也是決定工作的成敗關鍵點。為此,信息化管理辦公室抓住一切機會進行宣傳。例如,信息化管理辦公室主任利用年終部門述職、全校中層干部學習講座等機會和場合積極宣講相關制度文件精神;信息化管理辦公室會同網絡與信息技術中心舉辦了面向二級單位辦公室主任的信息化管理工作專題培訓,從管理和服務兩個角度進行制度文件內容解讀。 為改進管理工作效率和用戶體驗,信息化管理辦公室將信息技術引入到信息安全管理當中去,將互聯網網站備案、網站信息更新和年審等功能設計為大學服務中心(University Service Center,簡稱USC)平臺上的標準流程,讓網站負責人通過手機端、通過網絡的簡單操作就能完成以往繁瑣的手工填表和交表工作。 作者單位為中山大學信息化管理辦公室 原標題:中山大學信息安全管理辦法是如何形成的 本文刊載自《中國教育網絡》雜志2017年6月刊
|
|
|
