前言
隨著科學(xué)技術(shù)的發(fā)展�����,信息系統(tǒng)不斷的進(jìn)步���,在帶給我們給你更多便捷的同時(shí),信息系統(tǒng)面對(duì)的安全威脅也越來越多����。面對(duì)日益嚴(yán)峻的安全環(huán)境,國(guó)家逐步出臺(tái)了對(duì)于信息系統(tǒng)的等級(jí)保護(hù)定級(jí)����、測(cè)評(píng)的相關(guān)規(guī)定,用以保護(hù)信息系統(tǒng)的安全���,降低其所面臨的風(fēng)險(xiǎn)����。比如,如何對(duì)信息系統(tǒng)進(jìn)行規(guī)劃和管理�����,如何保證其正常運(yùn)行的相關(guān)規(guī)定和措施�,出現(xiàn)故障后的應(yīng)急方案如何制定等。根據(jù)在實(shí)際情況中所遇到問題�,遵循對(duì)問題進(jìn)行分析、思考���、實(shí)踐、改善這一系列研究過程�,發(fā)現(xiàn)規(guī)范化管理對(duì)提高系統(tǒng)運(yùn)行的可用性和連續(xù)性有著至關(guān)重要的意義。本文將結(jié)合筆者對(duì)信息安全等級(jí)保護(hù)的理解闡述信息系統(tǒng)安全管理的重要性����,并結(jié)合等級(jí)保護(hù)的具體測(cè)評(píng)項(xiàng)目制定一些相應(yīng)的自查自檢措施。
?
一�、規(guī)范化管理
1、?????????? 什么是規(guī)范化管理
規(guī)范化管理是一個(gè)系統(tǒng)工程���,要使這個(gè)系統(tǒng)工程正常工作����,實(shí)現(xiàn)高效率、高質(zhì)量���,就需要運(yùn)用科學(xué)的方法�����、手段和原理����,按照一定的運(yùn)營(yíng)框架�����,對(duì)各項(xiàng)管理要素進(jìn)行系統(tǒng)的規(guī)范化�、程序化、標(biāo)準(zhǔn)化設(shè)計(jì)���,然后形成有效的管理運(yùn)營(yíng)機(jī)制�����。
2�、?????????? 什么是信息安全等級(jí)保護(hù)
根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)���、社會(huì)生活中的重要程度���,以及受到破壞后對(duì)受侵害客體的損害程度,對(duì)信息系統(tǒng)的組織管理與業(yè)務(wù)結(jié)構(gòu)實(shí)行分域�����、分層����、分類、分級(jí)實(shí)施保護(hù)�,保障信息安全和系統(tǒng)安全正常運(yùn)行,維護(hù)國(guó)家利益�、社會(huì)秩序����、社會(huì)公共利益以及公民法人和其他組織的合法權(quán)益。
信息安全等級(jí)保護(hù)制度的主要內(nèi)容是什么�����?
對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)���、傳輸����、處理這些信息的系統(tǒng)分等級(jí)實(shí)行安全保護(hù)�,對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)���、處置�����。
3���、?????????? 信息系統(tǒng)管理規(guī)范化概念
信息系統(tǒng)的管理規(guī)范化
信息系統(tǒng)的管理規(guī)范化,需要依據(jù)管理者對(duì)于等級(jí)保護(hù)工作內(nèi)容的理解�,結(jié)合等級(jí)保護(hù)要求設(shè)計(jì)管理的規(guī)范框架或流程,形成統(tǒng)一�、規(guī)范和相對(duì)穩(wěn)定的管理體系,并在管理工作中按照這些組織框架和流程進(jìn)行實(shí)施�����,以期達(dá)到管理動(dòng)作的井然有序和協(xié)調(diào)高效。
信息系統(tǒng)的規(guī)范化管理
信息系統(tǒng)的規(guī)范化管理是建立在自身管理規(guī)范化的基礎(chǔ)上�����,依照自身的運(yùn)維流程對(duì)系統(tǒng)進(jìn)行建設(shè)和管理����,解決內(nèi)部管理中的權(quán)限下發(fā)與權(quán)限集中;要求對(duì)整個(gè)系統(tǒng)的流程形成制度化����、流程化、標(biāo)準(zhǔn)化�����、表單化以及數(shù)據(jù)化���。通過這種規(guī)范化的建設(shè)�,使自身常規(guī)的事件納入制度化����、數(shù)據(jù)化、流程化的管理����,以形成統(tǒng)一、規(guī)范和相對(duì)穩(wěn)定的管理體系�,以此提高工作質(zhì)量和工作效率,達(dá)到保障信息系統(tǒng)正常運(yùn)行的目的����。
1.?信息系統(tǒng)規(guī)范化管理的內(nèi)容
規(guī)范化管理在信息系統(tǒng)的運(yùn)作上涉及到多個(gè)方面:項(xiàng)目規(guī)劃與決策程序、組織機(jī)構(gòu)���、業(yè)務(wù)流程���、部門和崗位設(shè)置、規(guī)章制度和管理控制等方面���;規(guī)范化的內(nèi)容簡(jiǎn)單地說就是:制度化�、流程化�����、標(biāo)準(zhǔn)化�����、表單化、數(shù)據(jù)化�����。
l?流程的規(guī)范化
信息系統(tǒng)涉及的各個(gè)部門內(nèi)部都有各自的管理辦法�����,但對(duì)于部門之間的銜接卻很難有較好的管控方法�����,所以����,越是界定部門之間的權(quán)責(zé),問題就越多�����。這時(shí)就需要對(duì)自身運(yùn)維流程進(jìn)行明確����,使部門納入到流程中����,成為流程中的一個(gè)結(jié)點(diǎn)����;流程一般包括崗位工作流程����、系統(tǒng)業(yè)務(wù)流程、機(jī)構(gòu)組織流程�;在進(jìn)行流程規(guī)范化的時(shí)候,必須先明確自身的職責(zé)和目標(biāo)�����、識(shí)別流程及其現(xiàn)狀�����,然后確定各個(gè)流程�,并對(duì)流程進(jìn)行科學(xué)的規(guī)劃和設(shè)計(jì)。
l?組織結(jié)構(gòu)的規(guī)范化
組織結(jié)構(gòu)是關(guān)于信息系統(tǒng)在運(yùn)維過程中涉及的目標(biāo)�、任務(wù)、權(quán)責(zé)、操作以及相互關(guān)系的系統(tǒng)�����。具體內(nèi)容包括:各部門之間的結(jié)構(gòu)���、崗位設(shè)置���、崗位職責(zé)以及崗位描述等。目的在于協(xié)調(diào)好部門與部門之間�����、人員與任務(wù)之間的關(guān)系���,使管理人員自己在管理過程中清楚應(yīng)有的權(quán)����、責(zé)���、利�,以及工作形式�����、考核標(biāo)準(zhǔn),有效地保證組織活動(dòng)開展�����,最終保證組織目標(biāo)實(shí)現(xiàn)����。
組織結(jié)構(gòu)規(guī)范化強(qiáng)調(diào)組織架構(gòu)的設(shè)計(jì)�����,應(yīng)該建立在系統(tǒng)思考的基礎(chǔ)上���。各部門和崗位�����,都必須從系統(tǒng)的角度出發(fā)�����,對(duì)應(yīng)于自身的目標(biāo)來界定自己工作的內(nèi)容�、標(biāo)準(zhǔn)和要求,以及所能支配的資源�����,使之按照既定要求和標(biāo)準(zhǔn)���,對(duì)所獲得的資源的配置方式進(jìn)行選擇����,行使決策權(quán)力���,并承擔(dān)相應(yīng)決策的責(zé)任����。
l?規(guī)章制度的規(guī)范化
管理制度是規(guī)范化管理的有效工具�����,可以對(duì)各個(gè)部門�����、崗位和員工的運(yùn)行準(zhǔn)則進(jìn)行很好的界定����,它能夠使整個(gè)測(cè)評(píng)機(jī)構(gòu)的管理體系更加規(guī)范����,是每個(gè)員工的行為受到合理的約束與激勵(lì)�����。其主要內(nèi)容包括:管理體系的規(guī)范化�、行為準(zhǔn)則界定的規(guī)范化、績(jī)效管理標(biāo)準(zhǔn)的規(guī)范化���、違規(guī)行為處罰的規(guī)范化等。
l?資料信息體系的規(guī)范化
從有利于信息化�����、有利于信息共享�、有利于減輕負(fù)擔(dān)出發(fā),根據(jù)新流程�����、新制度的要求����,按照格式模板統(tǒng)一���、填寫標(biāo)準(zhǔn)統(tǒng)一、資料共享及歸檔要求統(tǒng)一�、檢查指導(dǎo)要求統(tǒng)一、評(píng)分考核要求統(tǒng)一�����、績(jī)效兌現(xiàn)要求統(tǒng)一的標(biāo)準(zhǔn)�,完善記錄、報(bào)表���,完善內(nèi)部共享資料數(shù)據(jù)庫(kù)�����,推進(jìn)基礎(chǔ)資料信息化管理����,推進(jìn)流程關(guān)鍵點(diǎn)的過程控制�����,為量化考核、追溯責(zé)任和績(jī)效考核提供依據(jù)�。
l?管理控制的規(guī)范化
信息系統(tǒng)的越來越復(fù)雜,作為管理者對(duì)系統(tǒng)的管理難度就越大�。這就需要管理者有一套有效的管理控制系統(tǒng),管理者可以通過這套規(guī)范化的系統(tǒng)�,對(duì)自身的生產(chǎn)系統(tǒng)、管理人員�����、技術(shù)開發(fā)等模塊進(jìn)行有效的管理和控制�,來實(shí)現(xiàn)管理者的意圖。
一����、??? 信息系統(tǒng)管理自查自檢措施
內(nèi)控自查工作不僅是構(gòu)成信息系統(tǒng)內(nèi)控管理體系的重要組成部分���,也是監(jiān)督審計(jì)的重要手段之一���。自查工作是各業(yè)務(wù)部門依據(jù)業(yè)務(wù)流程對(duì)處理相關(guān)業(yè)務(wù)活動(dòng)、流程���、及設(shè)施的現(xiàn)場(chǎng)自查���。開展自查工作的目的是保證信息系統(tǒng)的服務(wù)質(zhì)量�����。
通過內(nèi)控自查流程�,將信息系統(tǒng)所面臨的風(fēng)險(xiǎn)控制在最初階段,有效的降低信息系統(tǒng)所面臨的風(fēng)險(xiǎn)����。通過內(nèi)控自查工作,將服務(wù)質(zhì)量控制活動(dòng)落實(shí)到每個(gè)運(yùn)維人員中去�,使我局員工充分認(rèn)識(shí)到加強(qiáng)內(nèi)控管理的重要性,不斷完善我局內(nèi)部控制體系建設(shè)���,強(qiáng)化內(nèi)控管理執(zhí)行行為����,提高管理水平����,促進(jìn)各項(xiàng)業(yè)務(wù)穩(wěn)健運(yùn)行。
二�、??? 信息資產(chǎn)自查計(jì)劃
1.?檢查人員
檢查人員 | 部門機(jī)構(gòu) 系統(tǒng)管理員 | 部門機(jī)構(gòu) 負(fù)責(zé)人及主管 | 信息技術(shù)局 安全崗 | 信息技術(shù)局 負(fù)責(zé)人 |
檢查人員責(zé)任 | 負(fù)責(zé)制定本部門系統(tǒng)的自查計(jì)劃 | 負(fù)責(zé)本部門系統(tǒng)的自查計(jì)劃的簽字審批 | 給予各部門的自查計(jì)劃提出建議,并負(fù)責(zé)制定全面的自查計(jì)劃 | 負(fù)責(zé)各部門的自查計(jì)劃的審閱檢查和全面自查計(jì)劃的簽字審批 |
2.?檢查時(shí)間
每個(gè)月的第一周:各部門編輯部門負(fù)責(zé)維護(hù)系統(tǒng)的自查計(jì)劃,并由部門負(fù)責(zé)人簽字審批���;
每個(gè)月的第二周: 信息技術(shù)局安全崗負(fù)責(zé)編制整合全面的自查計(jì)劃�����,并由信息技術(shù)局負(fù)責(zé)人簽字審批后展開全面自查工作���;
每個(gè)月的第三周:編制�、審核本月的檢查報(bào)告���,并由信息技術(shù)局負(fù)責(zé)人審查完畢后進(jìn)行存檔���。
