萬(wàn)云保 余江

【摘要】 隨著等級(jí)保護(hù)建設(shè)整改工作的深入，建立規(guī)范、高效、安全的信息系統(tǒng)運(yùn)行維護(hù)和管理體系，將等級(jí)保護(hù)中的管理制度與本單位自身的安全生產(chǎn)、班組文化等制度結(jié)合，能夠更全面的提高電力調(diào)度系統(tǒng)運(yùn)維管理層次，實(shí)現(xiàn)信息系統(tǒng)、數(shù)據(jù)資源集成整合和綜合高效利用，支撐實(shí)現(xiàn)電力調(diào)度的信息化發(fā)展目標(biāo)。

【關(guān)鍵詞】 等級(jí)保護(hù) 電力調(diào)度 管理制度

引言

我單位開(kāi)展了信息安全等級(jí)保護(hù)安全建設(shè)整改、等級(jí)測(cè)評(píng)等工作。然而，隨著整改進(jìn)程的深入，建立規(guī)范、高效、安全的信息系統(tǒng)運(yùn)行維護(hù)和管理體系，如何將等級(jí)保護(hù)中的管理制度與本單位自身的安全生產(chǎn)、班組文化等制度結(jié)合，給管理工作帶來(lái)了新的挑戰(zhàn)，通過(guò)建立等級(jí)保護(hù)管理制度體系能夠更全面的提高電力調(diào)度系統(tǒng)運(yùn)維管理層次，實(shí)現(xiàn)信息系統(tǒng)、數(shù)據(jù)資源集成整合和綜合高效利用，支撐實(shí)現(xiàn)電力調(diào)度的信息化發(fā)展目標(biāo)。本文結(jié)合筆者在信息安全管理中的實(shí)踐和理解，對(duì)等級(jí)保護(hù)管理體系在工作中的應(yīng)用提出一些個(gè)人的想法，供讀者借鑒。

一、建立等級(jí)保護(hù)制度體系目的和意義

為更好的提高信息安全保障能力和水平，依據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）、國(guó)家電網(wǎng)公司《信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)的實(shí)施指導(dǎo)意見(jiàn)》（信息運(yùn)安[2009]27號(hào)）、《SG186工程信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收標(biāo)準(zhǔn)（試行）》（信息運(yùn)安[2009]44號(hào)）、《關(guān)于加強(qiáng)電力二次系統(tǒng)安全防護(hù)和等級(jí)保護(hù)工作的通知》（調(diào)自〔2012〕65號(hào)）等要求。進(jìn)一步加強(qiáng)電力調(diào)度系統(tǒng)重要信息系統(tǒng)的安全保護(hù)，落實(shí)國(guó)網(wǎng)公司關(guān)于信息安全等級(jí)保護(hù)和安全防護(hù)體系建設(shè)的總體要求，我單位開(kāi)展了信息安全等級(jí)測(cè)評(píng)和整 改工作。

二、等級(jí)保護(hù)管理制度體系分析

等級(jí)保護(hù)管理制度體系提供了對(duì)組織機(jī)構(gòu)中信息系統(tǒng)全生存周期過(guò)程實(shí)施符合安全等級(jí)責(zé)任要求的管理，包括落實(shí)安全管理機(jī)構(gòu)及人員，明確角色與職責(zé)，制定安全規(guī)劃、開(kāi)發(fā)安全策略、實(shí)施風(fēng)險(xiǎn)管理、進(jìn)行監(jiān)控、檢查，處理安全事件等，具體落實(shí)在要求則體現(xiàn)在等級(jí)保護(hù)測(cè)評(píng)指標(biāo)中，等級(jí)保護(hù)管理要求如圖1所示。

三、等級(jí)保護(hù)管理體系建設(shè)實(shí)踐

在具體落實(shí)管理體系過(guò)程中，應(yīng)結(jié)合原有的信息化管理制度，貫徹建立管理制度文件層級(jí)化和流程化管理概念，將方針策略、管理制度、操作規(guī)程和記錄表單等文件科學(xué)的管理運(yùn)作；將信息化安全管理方針策略定義為一層策略文件；將溝通管理、信息化人員管理、授權(quán)與審批管理、文件規(guī)范性管理、介質(zhì)管理、資產(chǎn)管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、安全事件與應(yīng)急管理、備份與恢復(fù)管理等方面定義為二層制度文件，落實(shí)一層文件中涉及的各方面運(yùn)維和安全管理內(nèi)容；將信息化運(yùn)維管理的操作指導(dǎo)規(guī)范等定義為三層流程文件，支撐二層制度文件的具體操作；將所有信息化運(yùn)維相關(guān)的表格定義為四層表格文件，落實(shí)并規(guī)范化所有運(yùn)維操作，融合和動(dòng)態(tài)的管理當(dāng)前使用的管理制度體系結(jié)構(gòu)，如圖2所示。

3.1安全管理的原則

1）基于安全需求原則：組織機(jī)構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負(fù)的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)分析安全需求，遵從相應(yīng)等級(jí)的規(guī)范要求，從全局上恰當(dāng)?shù)仄胶獍踩度肱c效果；

2）主要領(lǐng)導(dǎo)負(fù)責(zé)原則：主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負(fù)責(zé)提高員工的安全意識(shí)，組織有效安全保障隊(duì)伍，調(diào)動(dòng)并優(yōu)化配置必要的資源，協(xié)調(diào)安全管理工作與各部門(mén)工作的關(guān)系，并確保其落實(shí)、有效；

3）全員參與原則：信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理，并與相關(guān)方面協(xié)同、協(xié)調(diào)，共同保障信息系統(tǒng)安全；

4）持續(xù)改進(jìn)原則：安全管理是一種動(dòng)態(tài)反饋過(guò)程，貫穿整個(gè)安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的分布變化，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)，維護(hù)和持續(xù)改進(jìn)信息安全管理體系；

5）分權(quán)和授權(quán)原則：對(duì)特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過(guò)分集中所帶來(lái)的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會(huì)。

3.2管理制度體系框架構(gòu)建

3.2.1工作目標(biāo)

建立安全管理組織并落實(shí)各個(gè)部門(mén)信息安全責(zé)任人，明確組織內(nèi)各機(jī)構(gòu)人員責(zé)任和工作職能，確定信息安全管理體系方針策略，編制形成信息安全方針策略文件。

3.2.2建立信息安全管理組織

（1）建立信息安全管理組織架構(gòu)

信息安全領(lǐng)導(dǎo)機(jī)構(gòu)：供電公司信息化領(lǐng)導(dǎo)小組，主要負(fù)責(zé)對(duì)單位信息安全制定總體安全策略、監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在單位的執(zhí)行情況、設(shè)立落實(shí)信息安全責(zé)任。由供電公司分管領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)，小組成員為各個(gè)部門(mén)負(fù)責(zé)人組成。

（2）明確各相關(guān)機(jī)構(gòu)和崗位角色的責(zé)任和職能

建立相應(yīng)的職責(zé)文件，明確各相應(yīng)領(lǐng)導(dǎo)、部門(mén)、崗位的職責(zé)。調(diào)度通信中心應(yīng)設(shè)立信息安全工作的各關(guān)鍵崗位，如安全管理員、網(wǎng)絡(luò)管理員、操作系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員等，并將之與班組人員結(jié)合，并重視信息化人員的培養(yǎng)。

3.2.3確定安全管理總體方針策略

安全管理方針策略是為組織的每一個(gè)人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護(hù)標(biāo)準(zhǔn)，防止員工的不安全行為引入風(fēng)險(xiǎn)。同時(shí)，還是進(jìn)一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。應(yīng)當(dāng)目的明確、內(nèi)容清楚，能廣泛地被組織成員接受與遵守，且要有足夠靈活性、適應(yīng)性，能涵蓋較大范圍內(nèi)的各種數(shù)據(jù)、活動(dòng)和資源?？梢允箚T工了解與自己相關(guān)的信息安全保護(hù)責(zé)任，強(qiáng)調(diào)安全對(duì)組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性。

安全方針策略屬于高層管理文件，簡(jiǎn)要陳述信息安全宏觀(guān)需求及管理承諾，應(yīng)該篇幅短小，內(nèi)容明確。信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，至少應(yīng)包括以下內(nèi)容：

（1）信息安全的定義，總體目標(biāo)、范圍，安全對(duì)信息共享的重要性；

（2）管理層意圖、支持目標(biāo)和信息安全原則的闡述；

（3）信息安全控制的簡(jiǎn)要說(shuō)明，以及依從法律、法規(guī)要求對(duì)組織的重要性；

（4）信息安全管理的一般和具體責(zé)任定義，包括報(bào)告安全事故；

（5）信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。

3.3管理制度體系策略建立

3.3.1工作目標(biāo)

建立覆蓋信息工作的全部文件，包含安全策略、制度、規(guī)定規(guī)范、表單，完善所有活動(dòng)流程管理。

3.3.2建立體系策略制度文件

信息安全策略是組織信息安全活動(dòng)的最高方針，需要根據(jù)信息工作的實(shí)際情況，分別制訂不同的信息安全策略。應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書(shū)面文件，發(fā)給單位內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)，以使信息安全方針真正植根于單位內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。根據(jù)本單位實(shí)際情況，建立的策略文件，所有文件均需進(jìn)行論證和評(píng)審。

（1）信息安全管理策略

作為所有系統(tǒng)的指導(dǎo)性方針文件，提供信息安全的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定各管理制度、操作和使用規(guī)范。

（2）系統(tǒng)運(yùn)維安全管理策略

作為所有系統(tǒng)運(yùn)行維護(hù)的指導(dǎo)性方針文件，提供系統(tǒng)安全運(yùn)行維護(hù)的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)制定系統(tǒng)運(yùn)行維護(hù)中相關(guān)的各種管理制度和規(guī)定，以及控制各項(xiàng)活動(dòng)的記錄表單和審批流程。應(yīng)覆蓋機(jī)房、網(wǎng)絡(luò)、系統(tǒng)、資產(chǎn)、備份、日常運(yùn)維等所有運(yùn)行維護(hù)工作的范圍。

（3）系統(tǒng)建設(shè)安全管理策略

作為所有信息化工作建設(shè)的指導(dǎo)性方針文件，提供信息工作相關(guān)的建設(shè)安全管理的基本規(guī)則、指南、定義。依據(jù)本策略應(yīng)形成項(xiàng)目管理、采購(gòu)管理、工程實(shí)施管理、測(cè)試及驗(yàn)收管理等建設(shè)管理的全過(guò)程管理制度，相應(yīng)的控制表單和審批規(guī)定。

（4）人員安全管理策略

由于在系統(tǒng)、運(yùn)維、建設(shè)方面已經(jīng)對(duì)人員在該活動(dòng)中的行為做了要求，人員安全管理主要需要考慮的問(wèn)題是錄用、離崗、保密、教育培訓(xùn)、考核及外來(lái)人員方面的管理，也可以直接制定比較詳細(xì)的人員安全管理制度。

（5）管理流程

梳理并完善各種活動(dòng)的詳細(xì)流程圖，任何針對(duì)信息系統(tǒng)的活動(dòng)均有流程可依據(jù)進(jìn)行控制管理。如事件管理流程、變更管理流程等。

（6）其他輔助制度

建立輔助文件，如對(duì)以上策略、制度、表單等進(jìn)行管理的文件管理制度、保密制度、信息發(fā)布規(guī)定等。

3.4管理制度體系運(yùn)作落實(shí)

3.4.1工作目標(biāo)

逐項(xiàng)實(shí)施，直至體系全面運(yùn)行，監(jiān)督落實(shí)安全策略制度，找出體系中的不適用和缺陷。

3.4.2實(shí)施

經(jīng)過(guò)第一和第二階段的工作，理論上單位已初步形成完整的信息安全管理體系，但體系是否能正常運(yùn)作發(fā)揮作用，需要對(duì)體系進(jìn)行驗(yàn)證，驗(yàn)證的方法就是運(yùn)行體系。

體系的運(yùn)行分幾步進(jìn)行：

對(duì)通過(guò)論證評(píng)審的文件，通過(guò)正規(guī)渠道正式發(fā)文的方式進(jìn)行發(fā)布，發(fā)布的文件根據(jù)情況決定是否采取“征求意見(jiàn)稿”或“暫行”；

文件發(fā)布前召集相關(guān)部門(mén)的負(fù)責(zé)人學(xué)習(xí)文件，并要求確保落實(shí)力度；

發(fā)布的文件要求相關(guān)部門(mén)組織學(xué)習(xí)，并依照實(shí)施；

各相關(guān)部門(mén)對(duì)運(yùn)行的文件制度運(yùn)行情況進(jìn)行收集，存在實(shí)際困難無(wú)法落實(shí)的報(bào)評(píng)審組織評(píng)審適用性；

對(duì)“征求意見(jiàn)稿”的文件，必須從實(shí)施的相關(guān)部門(mén)采集意見(jiàn)。

體系實(shí)施階段可以在體系建立階段同步開(kāi)展，建立部門(mén)策略制度后，通過(guò)論證評(píng)審即可進(jìn)行試運(yùn)行，不需等全套文件完成。

3.4.3監(jiān)督

指定或成立跨部門(mén)監(jiān)督機(jī)構(gòu)、人員，對(duì)文件實(shí)施的過(guò)程進(jìn)行監(jiān)督管理，制定相應(yīng)的懲戒措施，對(duì)落實(shí)情況進(jìn)行監(jiān)督檢查，對(duì)違反文件實(shí)施和實(shí)施不力的部門(mén)或人員進(jìn)行懲戒，切實(shí)落實(shí)文件的有效實(shí)施。收集監(jiān)督過(guò)程中發(fā)現(xiàn)的文件問(wèn)題、人員實(shí)施問(wèn)題方面資料，反饋到編制組織。

本階段是系統(tǒng)建立的關(guān)鍵階段，是信息安全管理體系要分析運(yùn)行效果，尋求改進(jìn)機(jī)會(huì)的階段。如果發(fā)現(xiàn)一個(gè)控制措施不合理、不充分，就要采取糾正措施，以防止信息系統(tǒng)處于不可接受風(fēng)險(xiǎn)狀態(tài)。必須強(qiáng)調(diào)相關(guān)領(lǐng)導(dǎo)應(yīng)重視本階段工作，并且從實(shí)際上支持和推動(dòng)實(shí)施工作。且應(yīng)加大學(xué)習(xí)培訓(xùn)和監(jiān)督力度，落實(shí)懲戒措施。讓文件涉及的相關(guān)部門(mén)和相關(guān)人員熟知該文件并能按要求準(zhǔn)確執(zhí)行。

3.5管理制度體系細(xì)化調(diào)整

3.5.1工作目標(biāo)

總結(jié)體系運(yùn)行情況，調(diào)整不適用和無(wú)法落實(shí)的部分，完善體系，使之能高效、有序的運(yùn)作。

3.5.2評(píng)審

評(píng)審有兩個(gè)環(huán)節(jié)，第一個(gè)環(huán)節(jié)是針對(duì)出現(xiàn)的問(wèn)題進(jìn)行審核，論證其原因，進(jìn)行改正完善。第二個(gè)環(huán)節(jié)是在大部分問(wèn)題解決后、體系正常的情況下全面評(píng)審體系文件、組織、活動(dòng)是否達(dá)到預(yù)期目標(biāo)。

首先，信息安全領(lǐng)導(dǎo)小組組織相關(guān)部門(mén)人員，對(duì)體系實(shí)施中發(fā)現(xiàn)的問(wèn)題進(jìn)行審核，對(duì)落實(shí)不力的部門(mén)責(zé)成落實(shí)；對(duì)實(shí)際存在的問(wèn)題進(jìn)行論證，提出解決辦法；對(duì)不適用的文件或部分進(jìn)行論證評(píng)審，確實(shí)存在不適用的文件則組織相關(guān)人員進(jìn)行修訂，轉(zhuǎn)入修訂環(huán)節(jié)，對(duì)于不適用且沒(méi)必要存在的文件進(jìn)行廢止。

而后，對(duì)于本階段計(jì)劃時(shí)間內(nèi)反饋沒(méi)發(fā)現(xiàn)問(wèn)題的文件，組織相關(guān)部門(mén)評(píng)審試行效果，達(dá)到預(yù)期要求則作為正式版發(fā)布運(yùn)行，并采用持續(xù)優(yōu)化階段的方式進(jìn)行管理，未達(dá)預(yù)期目的則轉(zhuǎn)入重新編制程序。

3.5.3修訂

對(duì)于存在問(wèn)題的策略文件，組織該策略文件涉及最多的主體部門(mén)和其他相關(guān)部門(mén)人員成立臨時(shí)修訂機(jī)構(gòu)，針對(duì)文件存在問(wèn)題進(jìn)行修訂。修訂后進(jìn)行新版本的頒布，同時(shí)該文件轉(zhuǎn)入落實(shí)階段。

3.5.4測(cè)評(píng)

經(jīng)過(guò)細(xì)化調(diào)整，不斷地審核修訂后，體系應(yīng)已基本完善，此時(shí)轉(zhuǎn)入評(píng)審的第二環(huán)節(jié)。按照符合等級(jí)保護(hù)要求的預(yù)期目標(biāo)，委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，在保證客觀(guān)、合規(guī)、公正的前提下，對(duì)單位信息安全體系進(jìn)行全面評(píng)審。整體測(cè)評(píng)后，對(duì)不滿(mǎn)足要求的部分進(jìn)行整改，整改完成后轉(zhuǎn)入實(shí)施階段，直至符合要求。

3.6管理制度體系持續(xù)優(yōu)化

通過(guò)前四個(gè)階段的工作，信息安全管理體系應(yīng)基本穩(wěn)定、成熟，后期的工作在于保持并進(jìn)行不斷地優(yōu)化。把經(jīng)過(guò)檢驗(yàn)的文件作為常態(tài)的管理遵循依據(jù)，在日常工作中保持，不因試行結(jié)束而松懈。部門(mén)和人員應(yīng)把試行期間依照文件要求形成的工作模式進(jìn)一步完善保持，在未發(fā)生異常情況之前，始終按照正式版本執(zhí)行。定期進(jìn)行評(píng)審，找出不適用部分進(jìn)行優(yōu)化調(diào)整；結(jié)合工作實(shí)際，尋求更高效安全的方法優(yōu)化體系，提高效能。

四、總結(jié)

等級(jí)保護(hù)管理體系應(yīng)充分考慮本單位整體情況，結(jié)合各部門(mén)各崗位職責(zé)能力來(lái)制定，應(yīng)在密切注意制度體系的實(shí)用性并定期進(jìn)行修訂，建立管理制度體系的最終目的是在達(dá)到規(guī)范化、標(biāo)準(zhǔn)化管理的同時(shí)，完善安全運(yùn)維管理，減少扯皮和推諉情況，提高運(yùn)維效率。