IT服务管理的体系实践之信息安全管理.docVIP

IT服务管理的体系实践之信息安全管理 　　摘 要：本文在信息安全风险评估的基础上，对信息安全管理作出了有益的探索，除信息安全管理的原则外，文中还对信息安全管理的主要因素分别作出包括目标和方针的简要解释，并给出了与之相关的管理文档名称和应包含的主要内容。 　　关键词：信息安全；安全风险评估；信息安全因素 　　中图分类号：G647 文献标识码：B 文章编号：1673-8454(2011)17-0063-03 　　 　　一、引言 　　随着计算机及网络技术与应用的不断发展，数字化校园方兴未艾，给学校的教学、科研和管理工作带来了诸多便捷，但是另一方面，伴随而来的计算机系统安全问题越来越引起人们的关注。信息安全管理不是一个简单的技术问题，而是一个复杂的系统工程，应把信息安全管理与信息安全技术手段结合起来，对高校系统中的各个环节进行统一的规划和综合考虑，并兼顾环境和系统内部不断发生的变化，建立系统化的管理体系。根据国家网络与信息安全等级保护的要求，网络与信息安全包括两大部分：技术问题和管理制度。据有关机构统计表明：网络与信息安全事件大约有70％以上的问题是由管理因素造成的，诸如政策法规的不完善、管理制度的不健全、安全意识的淡薄和操作过程的失误等，“三分技术，七分管理”。管理是贯穿信息安全整个过程的生命线。 　　二、安全管理的原则 　　为了保证对用户提供的服务和用户自身信息系统安全管理的一致性，在对信息系统的规划设计、开发建设、运行维护和变更废弃进行安全性考虑时，应充分遵循以下安全原则。 　　（1）全面统筹原则：信息安全保障工作贯穿于信息化全过程，坚持统筹规划、突出重点，安全与发展并进，管理与技术并重，应急防御与长效机制相结合； 　　（2）规范化原则：遵循国内、国际的信息安全标准及行业规范，对信息系统实行等级保护； 　　（3）责任制原则：对用户的计算机信息系统安全保护工作实行“谁主管谁负责”、“预防为主、综合治理”、“制度防范和技术防范相结合”的原则，加强制度建设，逐级建立计算机信息系统安全保护责任制； 　　（4）实用性原则：在确保信息安全的前提下，讲究实效，避免重复投资和盲目投资，积极采用国家法律法规允许的、成熟的先进技术和专业安全服务，降低成本，保障安全稳定运行。 　　以风险评估为基础选择控制目标与控制方式等，进一步分析建立信息安全管理体系应包括的因素。 　　三、安全风险评估 　　通过安全风险评估，在坚持科学、客观、公正原则的基础上，全面、完整地了解系统当前的安全状况，分析系统所面临的各种风险，根据测评结果得出系统存在的安全问题，并对严重的问题提出相应的风险控制策略。 　　其目标包括：了解系统的安全现状；分析系统的安全需求；制定安全策略和实施安全措施的依据。 　　方针包括：对重要信息资产进行威胁和弱点的分析和评估，并结合法律法规的要求，制定并执行适当的风险处理计划，以缓解所识别的信息安全风险。 　　主要工作任务包括：对需要评估的系统进行调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。评估人员要遵循相应的国家政策文件和实施指南，凭借对国家政策、理论的深刻理解和丰富的项目经验，对学校重要信息系统进行全面风险评估，及时、准确地掌握被评估信息系统的安全风险状况，为相关管理部门制定安全策略、采取安全措施提供决策支持。 　　测评依据的政策文件包括：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；《北京市公共服务网络与信息系统安全管理规定》（2006)北京市政府令第163号；北京市《关于落实〈中共中央办公厅、国务院办公厅转发国家信息化工作领导小组关于加强信息安全保障工作意见通过〉的实施计划》（2004）3号。 　　四、安全管理因素分析 　　安全管理因素应包括人员安全、物理安全、网络安全、系统安全、数据安全、应用安全和恶意软件防护，所有这些构成了安全管理的基础。其中实现方式应从管理制度和技术两方面入手。以下分别对各个因素做一简要分析。 　　1．人员安全 　　目标：降低人为差错、盗窃、欺诈或滥用设施的风险。 　　方针：应制定并实施对员工与合同工等能访问部门IT资产人员的甄选、定位与监管的政策与规定。人员安全的目标是确保员工行为符合要求并能够忠于职守，提高对安全事务的认识程度。 　　为了加强学校信息安全保障能力，建立健全学校的安全管理体系，提高整体的网络与信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在学校安全体系框架下，应制定《组织体系和职责》，主要描述学校各院、系，机关各部、处及直、附属单位安全组织体系的结构及其在安全组织体系中承担的职责。 　　另外，《安全岗位人员管理办法》是学校信息安全组织体系的重要组成部分，其详细描述了