燃氣企業(yè)在構(gòu)建信息安全架構(gòu)時除了吸收最佳實踐標準外�,還應(yīng)充分考慮風(fēng)險評估�、戰(zhàn)略驅(qū)動以及監(jiān)管要求等內(nèi)容,最終將國際國內(nèi)信息安全最佳實踐標準裁剪成符合燃氣企業(yè)的信息安全體系架構(gòu)��。
3.4.4燃氣行業(yè)信息安全體系構(gòu)建
燃氣行業(yè)在信息安全體系的建設(shè)過程中為保障信息安全體系有效性���,一般會遵從“組織體系定職責�、策略體系定依據(jù)��、技術(shù)體系定手段”的原則構(gòu)建“事前防御�、事中控制、事后響應(yīng)”的信息安全體系�,推進信息安全體系的執(zhí)行和落地。
(1)組織體系
燃氣企業(yè)應(yīng)建立和完善信息安全決策����、管理����、執(zhí)行以及監(jiān)管的機構(gòu)��,明確企業(yè)所有單位的信息安全角色與職責以及總部和分公司之間的關(guān)系��。信息安全組織體系處于信息安全戰(zhàn)略的核心����,是信息安全戰(zhàn)略落實的基礎(chǔ)和保障。
(2)策略體系
策略體系主要包含信息安全策略/方針��、各信息安全管理域的安全管理要求等�,為燃氣企業(yè)提供信息安全控制依據(jù)。
(3)技術(shù)體系
燃氣企業(yè)的信息安全技術(shù)體系應(yīng)整合各種成熟的信息安全技術(shù)與產(chǎn)品��,對企業(yè)各類信息資產(chǎn)形成有效的差異化和精細化保護����。依據(jù)縱深防御的原則���,結(jié)合“橫向隔離����,縱向認證”的要求,采用不同層次的防護技術(shù)��,如身份認證�、訪問控制、內(nèi)容安全����、監(jiān)控審計和備份恢復(fù)等,實現(xiàn)信息資產(chǎn)的安全防護���。
4 北京燃氣信息安全體系建設(shè)實踐及應(yīng)用
北京燃氣集團于2012年10月份啟動了信息安全體系建設(shè)項日�,于2013年6月底結(jié)項����。整個項目的建設(shè)基本遵循燃氣行業(yè)信息安全體系建設(shè)方法,是對燃氣行業(yè)信息安全體系建設(shè)方法的實踐和應(yīng)用����,同時根據(jù)實踐的結(jié)果再返回去對燃氣行業(yè)信息安全體系的建設(shè)方法進行了完善。
4.1 建設(shè)目標
(1)通過現(xiàn)狀調(diào)研和風(fēng)險評估��,全方位了解北京燃氣信息安全工作現(xiàn)狀和存在的風(fēng)險����。
(2)設(shè)計北京燃氣的信息安全體系架構(gòu)�,完善信息安全組織與管理策略��,編寫信息安全制度與標準����;并推進信息安全管理體系的落地運行。
(3)建立信息安全管理體系實施藍圖�,使北京燃氣能夠利用3年到5年時間,建立起較為完善的信息安全管理體系��。
(4)培育一批具備信息安全專業(yè)水平的技術(shù)人員和管理人員��,并全面提升員工的信息安全意識�。
4.2 現(xiàn)狀調(diào)研和風(fēng)險評估
為全面梳理北京燃氣信息系統(tǒng)安全現(xiàn)狀,項目組對北京燃氣信息化組織結(jié)構(gòu)�、物理環(huán)境安全、人力資源�、信息資產(chǎn)、信息系統(tǒng)的開發(fā)和運行以及北京燃氣各專業(yè)機構(gòu)和分子公司的信息化建設(shè)和管理過程做了全面細致的了解����,形成了北京燃氣信息安全現(xiàn)狀調(diào)研報告。
依據(jù)ISO27001國際標準,對北京燃氣的信息安全現(xiàn)狀進行了對標���,查找與國際信息安全最佳實踐之間的差距,并通過風(fēng)險評估和分析進行分類和匯總���,形成了包括應(yīng)用系統(tǒng)風(fēng)險�、訪問控制風(fēng)險��、外包服務(wù)風(fēng)險�、人員環(huán)境風(fēng)險、組織安全風(fēng)險等11個類別的風(fēng)險��。為將信息安全風(fēng)險降低到北京燃氣可以接受的水平��,項目組為各類風(fēng)險選擇了恰當?shù)娘L(fēng)險處置措施并制定了從近期到長期詳細的風(fēng)險處置計劃���。
4.3 架構(gòu)設(shè)計和藍圖規(guī)劃
依據(jù)前期調(diào)研發(fā)現(xiàn)的問題和風(fēng)險��、遵照國際國內(nèi)最佳實踐標準����、結(jié)合北京燃氣的“十二五”規(guī)劃設(shè)計完成了北京燃氣的信息安全架構(gòu)�,并規(guī)劃了北京燃氣未來3年至5年的信息安全建設(shè)路線。
4.3.1架構(gòu)設(shè)計
北京燃氣信息安全體系依照北京燃氣信息安全整體目標,圍繞“構(gòu)建信息安全體系��、保障信息系統(tǒng)安全”的方針制定了北京燃氣的信息安全架構(gòu)(如圖4所示)���,通過組織體系定職責���、制度體系定依據(jù)、技術(shù)體系定手段���,涵蓋了包括體系管控�、建設(shè)安全����、運維安全、應(yīng)急保障和基礎(chǔ)保障在內(nèi)的五大信息安全域���,全面覆蓋北京燃氣信息安全的各個方面��。
?
北京燃氣的五大信息安全域主要是參考ISO27001信息安全管理體系中的11個信息安全域��,并結(jié)合燃氣行業(yè)信息安全工作的特點和北京燃氣已有的信息安全基礎(chǔ)�,重新進行劃分和歸并而得���。
4.3.2藍圖規(guī)劃
信息安全藍圖規(guī)劃日的是明確北京燃氣未來信息安全的建設(shè)路線����,經(jīng)過3年乃至5年信息安全規(guī)劃的實施,可以逐步改變目前信息安全的現(xiàn)狀�,為北京燃氣信息系統(tǒng)的平穩(wěn)運行和業(yè)務(wù)的持續(xù)開展提供強有力的保障���。
北京燃氣未來5年信息安全藍圖規(guī)劃如下��,分為以下3個階段:
(1)信息安全管理體系建立階段(2013年)�。北京燃氣于2013年上半年建立信息安全管理體系���,通過信息安全管理體系的建設(shè)���,建立了信息安全組織、完善了信息安全制度����;通過持續(xù)進行風(fēng)險評估,使北京燃氣在信息安全方面具有了自我完善的能力���。
(2)IT風(fēng)險精細化管理階段(2014年—2015年)�。從2014年開始,進行IT綜合管控體系的建設(shè)����,建立完善的IT治理機制、IT綜合管理流程(項目管理���、外包管理�、數(shù)據(jù)管理等)����、IT服務(wù)管理流程、軟件開發(fā)管理流程和IT績效管理體系等���;通過部署安全管理中心(SOC)開展敏感信息泄漏防護工作���,試點關(guān)鍵用戶信息安全績效測評工作,推動信息安全工作的深人開展����。
(3)安全與業(yè)務(wù)融合階段(2016年—2017年)。從2016年開始�,北京燃氣的信息安全將進入安全與業(yè)務(wù)融合階段,主要表現(xiàn)為��,通過精細化信息安全管控體系的建立、IT內(nèi)控體系建設(shè)�,完善業(yè)務(wù)領(lǐng)域的信息安全工作,結(jié)合敏感信息防護工作的開展����,實現(xiàn)安全與業(yè)務(wù)的深度融合,為IT支持業(yè)務(wù)運行與業(yè)務(wù)創(chuàng)新而奠定基礎(chǔ)���。
4.4 體系構(gòu)建
4.4.1組織保障體系
北京燃氣的信息安全組織體系(見圖5)包括領(lǐng)導(dǎo)層、管理層���、執(zhí)行層以及監(jiān)督層����。領(lǐng)導(dǎo)層由集團的信息化工作委員會擔任����。管理層由集團信息安全管理小組擔任,下設(shè)信息安全管理辦公室�,成員包括總部相關(guān)部門的信息安全協(xié)調(diào)員。執(zhí)行層由信息檔案中心��、運營調(diào)度中心以及集團其他所屬各單位組成�。監(jiān)督層由集團法審部和第三方審計機構(gòu)組成����。
?
通過信息安全組織體系的建立����,明確了集團各屬單位信息安全角色與職責,以及總部和分公司之間信息安全接口與互動關(guān)系����。信息安全組織保障體系處于信息安全戰(zhàn)略的核心,是信息安全戰(zhàn)略落實的基礎(chǔ)和保障�,同時,信息安全制度保障體系的建立和執(zhí)行�、信息安全運行相關(guān)工作以及信息安全技術(shù)在北京燃氣內(nèi)的運用也需要信息安全組織保障體系相關(guān)機構(gòu)和角色去具體落實。
4.4.2制度保障體系
制度保障體系主要包含北京燃氣的信息安全策略/方針�、各信息安全管理域的安全管理規(guī)定、細則和表單類的文檔����,為北京燃氣提供信息安全依據(jù)。在制度體系中明確了信息安全技術(shù)類各種標準��、安全規(guī)范��、配置基線等�;制定了信息安全運行保障機制以及總部和分公司的信息安全協(xié)作機制�。
目前制定的制度規(guī)范共32個��,其中二級規(guī)定1個�、三級辦法6個、四級細則l2個�、技術(shù)規(guī)范l3個,覆蓋了系統(tǒng)建設(shè)���、系統(tǒng)運行�、應(yīng)急保障�、體系管控、基礎(chǔ)保障五大領(lǐng)域��。
4.4.3技術(shù)保障體系
北京燃氣建立了“五縱五橫”的技術(shù)保障體系(見圖6)����,實現(xiàn)從物理環(huán)境到終端數(shù)據(jù)的安全控制��,建立了事前預(yù)防����、事中監(jiān)控以及事后恢復(fù)的相關(guān)機制。
?
北京燃氣的技術(shù)保障體系將重點關(guān)注和解決:完善安全域的綜合規(guī)劃和整改���、建立信息系統(tǒng)基本等級防護技術(shù)體系����、建立PKI體系、建立4A平臺���、建立終端防護體系��、建立信息安全監(jiān)控體系和建立災(zāi)備中心���。
4.5 信息安全意識的宣貫和提升
北京燃氣在信息安全體系的建設(shè)過程中考慮了各個層面“人”的要素,從管理層到普通員工����,從專業(yè)人員到非專業(yè)人員,充分保障了各層面人員所需的信息安全意識和技能的培養(yǎng)�,如圖7所示。
?
在構(gòu)建自身的信息安全宣貫體系的同時��,考慮了自身企業(yè)文化和企業(yè)特點����,在借助傳統(tǒng)的宣傳媒介的同時引入社會化媒體進行企業(yè)內(nèi)部員工信息安全意識的宣傳,建立多維度全方位的信息安全宣傳渠道��,如圖8所示。
?
5 燃氣行業(yè)信息安全體系建設(shè)成功因素
信息安全風(fēng)險是應(yīng)用信息技術(shù)過程所必須面對的問題���,因此建立信息安全體系是保障燃氣企業(yè)業(yè)務(wù)和信息化持久發(fā)展的基礎(chǔ)��。結(jié)合北京燃氣信息安全體系建設(shè)的過程和經(jīng)驗��,總結(jié)幾點燃氣行業(yè)信息安全體系成功實施的要素:
(1)來自企業(yè)高層明確的支持和承諾���,尤其對于相對傳統(tǒng)的燃氣行業(yè)而言這是信息安全體系有效推進的保障。
(2)注重體系落地���,依據(jù)“總體規(guī)劃���、分步實施”的戰(zhàn)略,信息安全體系建設(shè)要從全局的觀念出發(fā)組建系統(tǒng)����,制定具體的且可實現(xiàn)的計劃���。
(3)信息安全部門的定位問題以及與信息化之間的關(guān)系���,明確信息安拿與信息化是相互交叉又彼此區(qū)別的關(guān)系����。
(4)加大信息安全的培訓(xùn)并建立自己的信息安全隊伍���,同時借助多種手段向所有管理者和員工有效的宣貫安全意識���,注重持續(xù)性和時效性,減少信息安全在實施過程中的阻力���。
(5)完善信息安全架構(gòu)體系����,增加信息安全縱深�,整合現(xiàn)有信息安全設(shè)施,形成信息安全合力���,避免不必要的資源浪費���。
6 結(jié)束語
北京燃氣的信息安全建設(shè)才剛剛起步,燃氣行業(yè)其他企業(yè)的信息安全建設(shè)也即將開始���,本文將在北京燃氣信息安全體系建設(shè)過程中的經(jīng)驗����、方法進行整理,在國內(nèi)首次提出燃氣行業(yè)的信息安全體系建設(shè)方法����,供燃氣行業(yè)其他企業(yè)構(gòu)建信息安全體系參考。燃氣企業(yè)信息安全的發(fā)展必然是不斷變化和前進的過程���,北京燃氣比較注重信息安全體系建設(shè)落地的實際效果�,不斷夯實信息安全的基礎(chǔ)��,關(guān)注信息安全未來的發(fā)展方向����,持續(xù)優(yōu)化已建立的信息安全體系架構(gòu),使之符合燃氣企業(yè)自身的安全需求并保障燃氣業(yè)務(wù)的安全運行�。
?
參考文獻
1歐洲網(wǎng)絡(luò)與信息安全局ENISA,2012年威脅報告
2CoBIT 4.1ISACA
3陳偉.企業(yè)建立信息安全管理體系的思路與方法.北京燃氣報信息安全?�??�,2013��;6
4北京燃氣信息安全體系建設(shè)項目技術(shù)方案
?
???
長輸燃氣管道的安全保護距離
