信息安全一體化管理體系的建立經(jīng)過(guò)了五個(gè)階段:
調(diào)研培訓(xùn)階段:職能處室協(xié)同專(zhuān)業(yè)咨詢(xún)機(jī)構(gòu)對(duì)企業(yè)各個(gè)重要部門(mén)進(jìn)行走訪(fǎng)���,分析信息安全的管理現(xiàn)狀��,并開(kāi)展信息安全專(zhuān)項(xiàng)培訓(xùn)�,通過(guò)內(nèi)審員將相關(guān)內(nèi)容傳達(dá)給全局的各個(gè)部門(mén),以提高整體的信息安全意識(shí)�。
風(fēng)險(xiǎn)評(píng)估階段:對(duì)企業(yè)信息資產(chǎn)進(jìn)行識(shí)別與危險(xiǎn)分析,并根據(jù)資產(chǎn)的重要性進(jìn)行分級(jí)和風(fēng)險(xiǎn)評(píng)估���。經(jīng)風(fēng)險(xiǎn)評(píng)估確認(rèn)�,全局的信息資產(chǎn)共5893個(gè),確定重要信息資產(chǎn)883個(gè)����;處于不可接受風(fēng)險(xiǎn)的有238個(gè);匯總了11個(gè)部門(mén)����、分局、工區(qū)的風(fēng)險(xiǎn)評(píng)估結(jié)果�,進(jìn)行了綜合分析,提出風(fēng)險(xiǎn)處置計(jì)劃和措施共29項(xiàng)�。
風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)了10個(gè)漏洞和安全隱患:沒(méi)有完全禁用服務(wù)器上不必要和不使用的網(wǎng)絡(luò)服務(wù)�;沒(méi)有強(qiáng)制實(shí)施口令管理措施,存在大量弱口令�、空口令;缺乏集中有效的帳號(hào)管理����;沒(méi)有完善的安全運(yùn)維流程;沒(méi)有完善的事件監(jiān)控機(jī)制和安全事故管理流程�;獲得更改關(guān)鍵程序或信息文件的同意授權(quán)缺少明確的步驟;存在帳號(hào)不能隨人事變更而及時(shí)變更的現(xiàn)象����,需要規(guī)范IT權(quán)限審批流程���,避免信息不對(duì)稱(chēng)情況的出現(xiàn);缺少事件響應(yīng)流程�;缺少必要的信息審計(jì)系統(tǒng),沒(méi)有對(duì)相關(guān)操作��、日志���、配置等進(jìn)行必要的審計(jì)�����;需要加強(qiáng)信息安全規(guī)章的體系化����。
設(shè)計(jì)策劃階段:根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果�,制定風(fēng)險(xiǎn)控制與安全策略,編寫(xiě)和設(shè)計(jì)對(duì)應(yīng)的體系文件�����。共制訂了73個(gè)文件規(guī)定��,130個(gè)表單。其中綱領(lǐng)性文件3個(gè)�����,程序性文件49個(gè)���,信息系統(tǒng)專(zhuān)用規(guī)定工作說(shuō)明書(shū)及控制列表 21個(gè)��,表格及記錄130個(gè)����。
實(shí)施反饋階段:實(shí)施已制定的策略和相應(yīng)的管理體系文件����,在執(zhí)行過(guò)程中對(duì)策略及體系文件進(jìn)行反饋,持續(xù)改進(jìn)����,繼而制定業(yè)務(wù)可持續(xù)計(jì)劃����,保障業(yè)務(wù)的連續(xù)性開(kāi)展。
內(nèi)部審核階段:內(nèi)審員對(duì)全局各部門(mén)進(jìn)行全面的審核����。對(duì)發(fā)現(xiàn)的問(wèn)題���,工作組制定了詳細(xì)的整改計(jì)劃單,限時(shí)整改�����,并由各部門(mén)負(fù)責(zé)人簽字確認(rèn)整改完成情況���。
最后����,接受第三方審核����,通過(guò)體系認(rèn)證。
信息安全體系一體化管理建立了一整套的分級(jí)體系文件�����,對(duì)各類(lèi)電子信息進(jìn)行了判斷�、分類(lèi)、歸納����,以制定出正確地處理方案����,有效保護(hù)信息化進(jìn)程健康�����、有序�����、可持續(xù)發(fā)展�。然而信息安全是一個(gè)總體的概念,信息安全的真正有效執(zhí)行在管理的末端����,各方面的細(xì)枝末節(jié)決定了整體系統(tǒng)的安全水平,因此員工的信息安全意識(shí)和執(zhí)行能力最終決定了該體系實(shí)施的實(shí)際效果����。切實(shí)提升員工素質(zhì),不斷進(jìn)行員工信息安全意識(shí)的培訓(xùn)���,是保證信息安全一體化管理的必要手段��。
同時(shí)���,體系文件的建立有其時(shí)限性和階段性,隨著信息系統(tǒng)新技術(shù)的應(yīng)用和新問(wèn)題的出現(xiàn)���,體系文件也必須在其后的運(yùn)行過(guò)程中持續(xù)改進(jìn)和提高���,才能真正適應(yīng)時(shí)代的發(fā)展,充分發(fā)揮其效能���。
