国产精品麻豆久久99,韩日在线播放,午夜体验,鲁鲁狠色综合色综合网站,亚洲视频区,高清2019av手机版,精品中文字幕不卡在线视频

安全管理網(wǎng)

燃氣行業(yè)信息安全體系建設(shè)方法及在北京燃氣的實踐

作者:王廣清  來源:北京市燃氣集團有限責任公司 
評論: 更新日期:2016年09月06日
燃氣企業(yè)在構(gòu)建信息安全架構(gòu)時除了吸收最佳實踐標準外,還應(yīng)充分考慮風(fēng)險評估、戰(zhàn)略驅(qū)動以及監(jiān)管要求等內(nèi)容,最終將國際國內(nèi)信息安全最佳實踐標準裁剪成符合燃氣企業(yè)的信息安全體系架構(gòu)。
3.4.4燃氣行業(yè)信息安全體系構(gòu)建
燃氣行業(yè)在信息安全體系的建設(shè)過程中為保障信息安全體系有效性,一般會遵從“組織體系定職責、策略體系定依據(jù)、技術(shù)體系定手段”的原則構(gòu)建“事前防御、事中控制、事后響應(yīng)”的信息安全體系,推進信息安全體系的執(zhí)行和落地。
(1)組織體系
燃氣企業(yè)應(yīng)建立和完善信息安全決策、管理、執(zhí)行以及監(jiān)管的機構(gòu),明確企業(yè)所有單位的信息安全角色與職責以及總部和分公司之間的關(guān)系。信息安全組織體系處于信息安全戰(zhàn)略的核心,是信息安全戰(zhàn)略落實的基礎(chǔ)和保障。
(2)策略體系
策略體系主要包含信息安全策略/方針、各信息安全管理域的安全管理要求等,為燃氣企業(yè)提供信息安全控制依據(jù)。
(3)技術(shù)體系
燃氣企業(yè)的信息安全技術(shù)體系應(yīng)整合各種成熟的信息安全技術(shù)與產(chǎn)品,對企業(yè)各類信息資產(chǎn)形成有效的差異化和精細化保護。依據(jù)縱深防御的原則,結(jié)合“橫向隔離,縱向認證”的要求,采用不同層次的防護技術(shù),如身份認證、訪問控制、內(nèi)容安全、監(jiān)控審計和備份恢復(fù)等,實現(xiàn)信息資產(chǎn)的安全防護。
4 北京燃氣信息安全體系建設(shè)實踐及應(yīng)用
北京燃氣集團于2012年10月份啟動了信息安全體系建設(shè)項日,于2013年6月底結(jié)項。整個項目的建設(shè)基本遵循燃氣行業(yè)信息安全體系建設(shè)方法,是對燃氣行業(yè)信息安全體系建設(shè)方法的實踐和應(yīng)用,同時根據(jù)實踐的結(jié)果再返回去對燃氣行業(yè)信息安全體系的建設(shè)方法進行了完善。
4.1 建設(shè)目標
(1)通過現(xiàn)狀調(diào)研和風(fēng)險評估,全方位了解北京燃氣信息安全工作現(xiàn)狀和存在的風(fēng)險。
(2)設(shè)計北京燃氣的信息安全體系架構(gòu),完善信息安全組織與管理策略,編寫信息安全制度與標準;并推進信息安全管理體系的落地運行。
(3)建立信息安全管理體系實施藍圖,使北京燃氣能夠利用3年到5年時間,建立起較為完善的信息安全管理體系。
(4)培育一批具備信息安全專業(yè)水平的技術(shù)人員和管理人員,并全面提升員工的信息安全意識。
4.2 現(xiàn)狀調(diào)研和風(fēng)險評估
為全面梳理北京燃氣信息系統(tǒng)安全現(xiàn)狀,項目組對北京燃氣信息化組織結(jié)構(gòu)、物理環(huán)境安全、人力資源、信息資產(chǎn)、信息系統(tǒng)的開發(fā)和運行以及北京燃氣各專業(yè)機構(gòu)和分子公司的信息化建設(shè)和管理過程做了全面細致的了解,形成了北京燃氣信息安全現(xiàn)狀調(diào)研報告。
依據(jù)ISO27001國際標準,對北京燃氣的信息安全現(xiàn)狀進行了對標,查找與國際信息安全最佳實踐之間的差距,并通過風(fēng)險評估和分析進行分類和匯總,形成了包括應(yīng)用系統(tǒng)風(fēng)險、訪問控制風(fēng)險、外包服務(wù)風(fēng)險、人員環(huán)境風(fēng)險、組織安全風(fēng)險等11個類別的風(fēng)險。為將信息安全風(fēng)險降低到北京燃氣可以接受的水平,項目組為各類風(fēng)險選擇了恰當?shù)娘L(fēng)險處置措施并制定了從近期到長期詳細的風(fēng)險處置計劃。
4.3 架構(gòu)設(shè)計和藍圖規(guī)劃
依據(jù)前期調(diào)研發(fā)現(xiàn)的問題和風(fēng)險、遵照國際國內(nèi)最佳實踐標準、結(jié)合北京燃氣的“十二五”規(guī)劃設(shè)計完成了北京燃氣的信息安全架構(gòu),并規(guī)劃了北京燃氣未來3年至5年的信息安全建設(shè)路線。
4.3.1架構(gòu)設(shè)計
北京燃氣信息安全體系依照北京燃氣信息安全整體目標,圍繞“構(gòu)建信息安全體系、保障信息系統(tǒng)安全”的方針制定了北京燃氣的信息安全架構(gòu)(如圖4所示),通過組織體系定職責、制度體系定依據(jù)、技術(shù)體系定手段,涵蓋了包括體系管控、建設(shè)安全、運維安全、應(yīng)急保障和基礎(chǔ)保障在內(nèi)的五大信息安全域,全面覆蓋北京燃氣信息安全的各個方面。
?
北京燃氣的五大信息安全域主要是參考ISO27001信息安全管理體系中的11個信息安全域,并結(jié)合燃氣行業(yè)信息安全工作的特點和北京燃氣已有的信息安全基礎(chǔ),重新進行劃分和歸并而得。
4.3.2藍圖規(guī)劃
信息安全藍圖規(guī)劃日的是明確北京燃氣未來信息安全的建設(shè)路線,經(jīng)過3年乃至5年信息安全規(guī)劃的實施,可以逐步改變目前信息安全的現(xiàn)狀,為北京燃氣信息系統(tǒng)的平穩(wěn)運行和業(yè)務(wù)的持續(xù)開展提供強有力的保障。
北京燃氣未來5年信息安全藍圖規(guī)劃如下,分為以下3個階段:
(1)信息安全管理體系建立階段(2013年)。北京燃氣于2013年上半年建立信息安全管理體系,通過信息安全管理體系的建設(shè),建立了信息安全組織、完善了信息安全制度;通過持續(xù)進行風(fēng)險評估,使北京燃氣在信息安全方面具有了自我完善的能力。
(2)IT風(fēng)險精細化管理階段(2014年—2015年)。從2014年開始,進行IT綜合管控體系的建設(shè),建立完善的IT治理機制、IT綜合管理流程(項目管理、外包管理、數(shù)據(jù)管理等)、IT服務(wù)管理流程、軟件開發(fā)管理流程和IT績效管理體系等;通過部署安全管理中心(SOC)開展敏感信息泄漏防護工作,試點關(guān)鍵用戶信息安全績效測評工作,推動信息安全工作的深人開展。
(3)安全與業(yè)務(wù)融合階段(2016年—2017年)。從2016年開始,北京燃氣的信息安全將進入安全與業(yè)務(wù)融合階段,主要表現(xiàn)為,通過精細化信息安全管控體系的建立、IT內(nèi)控體系建設(shè),完善業(yè)務(wù)領(lǐng)域的信息安全工作,結(jié)合敏感信息防護工作的開展,實現(xiàn)安全與業(yè)務(wù)的深度融合,為IT支持業(yè)務(wù)運行與業(yè)務(wù)創(chuàng)新而奠定基礎(chǔ)。
4.4 體系構(gòu)建
4.4.1組織保障體系
北京燃氣的信息安全組織體系(見圖5)包括領(lǐng)導(dǎo)層、管理層、執(zhí)行層以及監(jiān)督層。領(lǐng)導(dǎo)層由集團的信息化工作委員會擔任。管理層由集團信息安全管理小組擔任,下設(shè)信息安全管理辦公室,成員包括總部相關(guān)部門的信息安全協(xié)調(diào)員。執(zhí)行層由信息檔案中心、運營調(diào)度中心以及集團其他所屬各單位組成。監(jiān)督層由集團法審部和第三方審計機構(gòu)組成。
?
通過信息安全組織體系的建立,明確了集團各屬單位信息安全角色與職責,以及總部和分公司之間信息安全接口與互動關(guān)系。信息安全組織保障體系處于信息安全戰(zhàn)略的核心,是信息安全戰(zhàn)略落實的基礎(chǔ)和保障,同時,信息安全制度保障體系的建立和執(zhí)行、信息安全運行相關(guān)工作以及信息安全技術(shù)在北京燃氣內(nèi)的運用也需要信息安全組織保障體系相關(guān)機構(gòu)和角色去具體落實。
4.4.2制度保障體系
制度保障體系主要包含北京燃氣的信息安全策略/方針、各信息安全管理域的安全管理規(guī)定、細則和表單類的文檔,為北京燃氣提供信息安全依據(jù)。在制度體系中明確了信息安全技術(shù)類各種標準、安全規(guī)范、配置基線等;制定了信息安全運行保障機制以及總部和分公司的信息安全協(xié)作機制。
目前制定的制度規(guī)范共32個,其中二級規(guī)定1個、三級辦法6個、四級細則l2個、技術(shù)規(guī)范l3個,覆蓋了系統(tǒng)建設(shè)、系統(tǒng)運行、應(yīng)急保障、體系管控、基礎(chǔ)保障五大領(lǐng)域。
4.4.3技術(shù)保障體系
北京燃氣建立了“五縱五橫”的技術(shù)保障體系(見圖6),實現(xiàn)從物理環(huán)境到終端數(shù)據(jù)的安全控制,建立了事前預(yù)防、事中監(jiān)控以及事后恢復(fù)的相關(guān)機制。
?
北京燃氣的技術(shù)保障體系將重點關(guān)注和解決:完善安全域的綜合規(guī)劃和整改、建立信息系統(tǒng)基本等級防護技術(shù)體系、建立PKI體系、建立4A平臺、建立終端防護體系、建立信息安全監(jiān)控體系和建立災(zāi)備中心。
4.5 信息安全意識的宣貫和提升
北京燃氣在信息安全體系的建設(shè)過程中考慮了各個層面“人”的要素,從管理層到普通員工,從專業(yè)人員到非專業(yè)人員,充分保障了各層面人員所需的信息安全意識和技能的培養(yǎng),如圖7所示。
?
在構(gòu)建自身的信息安全宣貫體系的同時,考慮了自身企業(yè)文化和企業(yè)特點,在借助傳統(tǒng)的宣傳媒介的同時引入社會化媒體進行企業(yè)內(nèi)部員工信息安全意識的宣傳,建立多維度全方位的信息安全宣傳渠道,如圖8所示。
?
5 燃氣行業(yè)信息安全體系建設(shè)成功因素
信息安全風(fēng)險是應(yīng)用信息技術(shù)過程所必須面對的問題,因此建立信息安全體系是保障燃氣企業(yè)業(yè)務(wù)和信息化持久發(fā)展的基礎(chǔ)。結(jié)合北京燃氣信息安全體系建設(shè)的過程和經(jīng)驗,總結(jié)幾點燃氣行業(yè)信息安全體系成功實施的要素:
(1)來自企業(yè)高層明確的支持和承諾,尤其對于相對傳統(tǒng)的燃氣行業(yè)而言這是信息安全體系有效推進的保障。
(2)注重體系落地,依據(jù)“總體規(guī)劃、分步實施”的戰(zhàn)略,信息安全體系建設(shè)要從全局的觀念出發(fā)組建系統(tǒng),制定具體的且可實現(xiàn)的計劃。
(3)信息安全部門的定位問題以及與信息化之間的關(guān)系,明確信息安拿與信息化是相互交叉又彼此區(qū)別的關(guān)系。
(4)加大信息安全的培訓(xùn)并建立自己的信息安全隊伍,同時借助多種手段向所有管理者和員工有效的宣貫安全意識,注重持續(xù)性和時效性,減少信息安全在實施過程中的阻力。
(5)完善信息安全架構(gòu)體系,增加信息安全縱深,整合現(xiàn)有信息安全設(shè)施,形成信息安全合力,避免不必要的資源浪費。
6 結(jié)束語
北京燃氣的信息安全建設(shè)才剛剛起步,燃氣行業(yè)其他企業(yè)的信息安全建設(shè)也即將開始,本文將在北京燃氣信息安全體系建設(shè)過程中的經(jīng)驗、方法進行整理,在國內(nèi)首次提出燃氣行業(yè)的信息安全體系建設(shè)方法,供燃氣行業(yè)其他企業(yè)構(gòu)建信息安全體系參考。燃氣企業(yè)信息安全的發(fā)展必然是不斷變化和前進的過程,北京燃氣比較注重信息安全體系建設(shè)落地的實際效果,不斷夯實信息安全的基礎(chǔ),關(guān)注信息安全未來的發(fā)展方向,持續(xù)優(yōu)化已建立的信息安全體系架構(gòu),使之符合燃氣企業(yè)自身的安全需求并保障燃氣業(yè)務(wù)的安全運行。
?
參考文獻
1歐洲網(wǎng)絡(luò)與信息安全局ENISA,2012年威脅報告
2CoBIT 4.1ISACA
3陳偉.企業(yè)建立信息安全管理體系的思路與方法.北京燃氣報信息安全???,2013;6
4北京燃氣信息安全體系建設(shè)項目技術(shù)方案
?

???

網(wǎng)友評論 more
創(chuàng)想安科網(wǎng)站簡介會員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們