創新信息安全調研報告

時間:2022-09-26 03:19:00

導語:創新信息安全調研報告一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

創新信息安全調研報告

上世紀九十年代以來,嘉興電力局逐步建立了辦公自動化(OA)、SAP系統、營銷管理、95598客戶服務、負荷管理、PI數據庫等諸多信息系統,企業信息化在安全生產、經營管理、優質服務中發揮了極其重要的作用。與此同時,信息安全的籬笆墻也越扎越緊,有效地防范了外部的攻擊和內部管理失控帶來的種種威脅。嘉興電力局先后被中電聯授予“信息化先進單位”、“信息化標桿企業”等光榮稱號。**年貫徹ISO/IEC27001:**信息安全管理標準,獲得了挪威船級社DNV公司認證證書。

一、運用系統的思想和方法,查找信息安全管理的“短扳”

隨著企業信息化的快速發展,信息安全管理工作顯得相對滯后。管理思想和方法落后。過去基本上是參照電網安全管理一些傳統做法,沒有體現信息化特點和要求,越來越不適應信息系統的快速發展和變革;管理不夠全面。以往只考慮硬件、軟件,忽視了人、數據和文檔、服務、無形資產等重要對象,對外來人員也缺乏有效的識別管理;管理制度不夠系統。以前雖然制訂了較多的制度和標準,當信息化發展到一定程度,這些制度就顯得很單薄,就事論事的管理方式必然會產生安全管理的盲區,有些制度內容重復、交叉、不一致,有些制度不切實際,往往束之高閣;風險評估不夠科學。以往的信息風險評估不夠系統,主觀性過強,缺乏綜合平衡,抓不住重點,或過度保護,或產生管理死角,事后控制多,事前預控少,不能涵蓋信息系統的生命周期。

上述情形是企業在信息化建設中普遍感覺到的問題。隨著科學技術的進步,企業信息運行管理模式也發生了巨大的變化,為企業采用先進管理方式、建立信息安全管理體系打下了扎實的基礎。為此,嘉興電力局根據國際上信息安全管理的最佳實踐,結合供電企業的實際,從信息安全風險評估管理入手,貫徹ISO/IEC27001:**信息安全管理標準,建立了信息安全管理體系。通過體系有效運作,達到了供電企業信息安全管理“預控、能控、可控、在控”的目的。

二、從資產識別入手,搞好信息安全風險評估

按《信息安全風險評估控制程序》,對所有的資產進行了列表識別,并識別了資產的所有者。這些資產包括硬件與設施、軟件與系統、數據與文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規符合性要求進行了量化賦值。在風險評估中,共識別資產2810項,其中確定的重要資產總數為312項,形成了《重要資產清單》。

圖1.《重要信息資產按部門分布圖》

對重要的信息資產,由資產的所有者(歸口管理部門)對其可能遭受的威脅及自身的薄弱點進行識別,并對威脅利用薄弱點發生安全事件的可能性以及潛在影響進行了賦值分析,確定風險等級和可接受程度,形成了《重要資產風險評估表》。針對每一項威脅、薄弱點,對資產造成的影響,考慮現有的控制措施,判定措施失效發生的可能性,計算風險等級,判斷風險為可接受的還是需要處理的。根據風險評估的結果,形成風險處理計劃。對于信息安全風險,應考慮控制措施與費用的平衡原則,選用適當的措施,確定是接受風險、避免風險,還是轉移風險。

嘉興電力局經過風險評估,確定了不可接受風險84項,其中硬件和設施52項,軟件和系統0項,文檔和數據8項,服務0項,人力資源24項。

根據風險評估的結果,對可接受風險,保持原有的控制措施,同時按ISO/IEC17799:**《信息技術-安全技術-信息安全管理實施細則》和系統應用的要求,對控制措施進行完善。針對不可接受風險,由各部門制定了相應的安全控制措施。制訂控制措施主要考慮了風險評估的結果、管理與技術上的可行性、法律法規的要求,以期達到風險降低的目的。控制措施的實施將從避免風險、降低風險、轉移風險等方面,將風險降低到可接受的水平。

圖2.《各類不可接受風險按系統分布圖》。

三、按照ISO標準要求,建立信息安全管理體系

嘉興電力局在涉及生產、經營、服務和日常管理活動的信息系統,按ISO/IEC27001:**《信息技術-安全技術-信息安全管理體系要求》規定,參照ISO/IEC17799:**《信息技術-安全技術-信息安全管理實施細則》,建立信息安全管理體系,簡稱ISMS。確定信息安全管理體系覆蓋范圍,主要是根據業務特征、組織結構、地理位置、資產分布情況,涉及電力生產、營銷、服務和日常管理的40個重要信息系統。信息安全管理的方針是:“全面、完整、務實、有效。”

為實現信息安全管理體系方針,嘉興電力局在各層次建立完整的信息安全管理組織機構,確定信息安全目標和控制措施,明確信息安全的管理職責;識別并滿足適用法律、法規和相關方信息安全要求;定期進行信息安全風險評估,采取糾正預防措施,保證體系的持續有效性;采用先進有效的設施和技術,處理、傳遞、儲存和保護各類信息,實現信息共享;對全體員工進行持續的信息安全教育和培訓,不斷增強員工的信息安全意識和能力;制定并保持完善的業務連續性計劃,實現可持續發展。按照信息安全管理方針的要求,制訂的信息安全管理目標是:2級以上信息安全事件為0;不發生信息系統的中斷、數據的丟失、敏感信息的泄密;不發生導致供電中斷的信息事故;減少涉密有關的法律風險。

嘉興電力局根據風險評估的結果、企業的系統現狀和管理現狀,按照ISO/IEC27001:**標準要求,整合原有的企業信息安全管理標準、規章制度,形成了科學、嚴密的信息安全管理體系文件框架,包括信息安全管理手冊;《信息安全風險評估管理程序》、《業務持續性管理程序》等53個程序文件,制定了16個支撐性作業文件。

四、運用過程方法,實施信息安全管理體系

在信息安全管理過程中,重點是抓好人員安全、風險評估、信息安全事件、保持業務持續性等重要環節,采取明確職責、動態檢查、嚴格考核等措施,使信息安全走上常態管理之路。

圖3:信息安全管理體系實施過程

重視信息系統安全管理。因為信息系統支撐著企業的各項業務,信息安全管理體系實施涵蓋信息系統的生命周期,表現在信息系統的軟(硬)件購置、設備安裝、軟件開發和系統測試、上線、系統(權限)變更等方面,嚴格執行體系的相關控制程序。

強化人員安全管理。在勞動合同、崗位說明書中,明確員工信息安全職責。特殊崗位的人員規定特別的安全責任,對信息關鍵崗位實行備案制度。對崗位調動或離職人員,及時調整安全職責和權限。定期對員工進行信息安全教育和技能培訓、比武、考試。

重視相關方管理。對軟硬件供應商、服務商、保衛、消防、保潔等人員,明確安全要求和安全職責。簽訂保密協議、辦理入網申請、進行入網教育等。識別客戶、合作方、相關方、法律法規對信息安全的要求,采取措施,保證滿足安全要求。

建立信息安全的常態管理機制。對企業技術、業務目標和過程、已識別的威脅、實施控制的有效性、外部事件變更情況應及時進行風險評估。定期對信息安全進行定期或不定期的監督檢查,包括日常檢查、專項檢查、技術性檢查、內部審核等。**年內審發現了57個不符合項目,及時進行糾正,解決了用戶權限、A/B崗、第三方訪問、機房管理等一些重點問題,從而保證了信息安全管理的質量,有效地防范了信息安全事件和事故的發生。■