程愷

摘要：近年來我國政務(wù)信息系統(tǒng)發(fā)生安全事件的情況逐漸增多，各級政府部門網(wǎng)絡(luò)信息系統(tǒng)存在著信息安全風(fēng)險。本文就如何建立一套能夠有效針對信息安全風(fēng)險進行預(yù)防和控制的管理技術(shù)體系進行論述。

關(guān)鍵詞：黨政機關(guān);信息安全風(fēng)險防控;體系建設(shè)

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1007-9416（2019）08-0174-02

1 體系建設(shè)目標(biāo)

網(wǎng)絡(luò)信息安全防控體系建設(shè)主要包括以下五個目標(biāo)。一是規(guī)范全省系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險防控工作;二是提升省廳與市局、縣局之間的聯(lián)動協(xié)調(diào)，強化省廳統(tǒng)一管控能力;三是打通縣局、市局、省廳到國家部委及其他監(jiān)管部門的多級報告和通報渠道;四是加強全省系統(tǒng)網(wǎng)絡(luò)信息安全文化宣傳工作;五是培養(yǎng)全省系統(tǒng)網(wǎng)絡(luò)信息安全人才。

2 體系建設(shè)規(guī)劃

規(guī)劃建設(shè)以“1175”為主要內(nèi)容的全省系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險防控體系，即，一整套組織機構(gòu)，一系列制度規(guī)范，七大管理機制以及五大技術(shù)措施。全省系統(tǒng)通過分層負(fù)責(zé)、分級實施，做到安全責(zé)任落實、過程控制落實、安全整改落實，解決“誰去落實，怎樣落實，落實得怎么樣”的問題。通過PDCA循環(huán)，持續(xù)改進提升網(wǎng)絡(luò)信息安全風(fēng)險防控水平、管理水平和運維水平，體系架構(gòu)如圖1所示。

3 風(fēng)險防控策略

體系總體策略：積極預(yù)防、整體保護、分級分域、動態(tài)管理。

積極預(yù)防：在信息系統(tǒng)規(guī)劃設(shè)計、開發(fā)建設(shè)、運行維護和停用廢棄等各環(huán)節(jié)實行安全審核管理;加強對重要信息技術(shù)產(chǎn)品的漏洞和后門程序檢查，定期開展安全測評、風(fēng)險評估工作;完善容災(zāi)備份措施，健全應(yīng)急保障隊伍，開展應(yīng)急演練，增強應(yīng)急處置能力。

整體保護：按照相互關(guān)聯(lián)、相互均衡的原則，在網(wǎng)絡(luò)以及信息系統(tǒng)運行應(yīng)用的各環(huán)節(jié)，全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術(shù)安全設(shè)施，并按照組件化、平臺化、集成化技術(shù)路線進行整合，實現(xiàn)協(xié)同防御。

分級分域：根據(jù)信息系統(tǒng)運行安全需求，數(shù)據(jù)和信息內(nèi)容安全需求，以及應(yīng)用范圍，確定信息系統(tǒng)的安全保護等級，劃分信息系統(tǒng)運行環(huán)境的安全域，針對不同安全域制定相應(yīng)的分項安全策略，實行等級保護。

動態(tài)管理：緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡(luò)安全攻防技術(shù)的發(fā)展?fàn)顩r，適時調(diào)整、完善和創(chuàng)新安全管理方法，持續(xù)提升、改進和強化技術(shù)防護手段，保證行業(yè)網(wǎng)絡(luò)安全水平與行業(yè)信息化發(fā)展水平相適應(yīng)。

在總體策略基礎(chǔ)上，建立完善各分項策略。主要包括：物理安全策略、網(wǎng)絡(luò)安全策略、系統(tǒng)安全策略、應(yīng)用安全策略、數(shù)據(jù)安全策略、病毒防護策略、安全教育策略、信息系統(tǒng)備份與恢復(fù)策略、業(yè)務(wù)連續(xù)性策略、賬號口令策略、安全審計策略、系統(tǒng)開發(fā)策略、人員安全策略等。

4 體系主要文件

體系建成后形成體系文件，作為體系運行的依據(jù)和準(zhǔn)則。依據(jù)體系建設(shè)相關(guān)規(guī)范，建設(shè)包括組織架構(gòu)、制度規(guī)范、管理機制、技術(shù)措施、記錄表單等體系文件。除此之外，根據(jù)七大管理機制和五項技術(shù)措施建立相關(guān)補充文件，主要是用于指導(dǎo)具體工作實施的技術(shù)指南、操作手冊等。

4.1 組織架構(gòu)

建立包括領(lǐng)導(dǎo)機構(gòu)、管理機構(gòu)和執(zhí)行機構(gòu)，覆蓋省、市、縣三級機關(guān)的組織管理架構(gòu)，分別制定三個層級相關(guān)崗位角色的職責(zé)說明，明確在風(fēng)險防控體系中的職責(zé)。

通過構(gòu)建多層多級的組織架構(gòu)，推動網(wǎng)絡(luò)信息安全風(fēng)險防控體系的合理建設(shè)、高效運行以及持續(xù)改進。

4.2 制度規(guī)范

依據(jù)現(xiàn)有已發(fā)布或未發(fā)布的管理制度，主要是與信息安全風(fēng)險防控相關(guān)的制度規(guī)范，并按照風(fēng)險防控工作的要求查漏補缺，完善信息安全風(fēng)險防控制度規(guī)范。

通過建立完善的制度規(guī)范，并將其落地執(zhí)行，規(guī)范全省系統(tǒng)網(wǎng)絡(luò)信息安全風(fēng)險防控工作，實現(xiàn)防控工作制度化、規(guī)范化、標(biāo)準(zhǔn)化。

4.3 七大管理機制

4.3.1 風(fēng)險識別機制

依據(jù)信息安全風(fēng)險評估相關(guān)國家和地方標(biāo)準(zhǔn)，制定針對網(wǎng)絡(luò)信息安全風(fēng)險識別的管理工作機制。通過管理和技術(shù)手段確保全省系統(tǒng)存在的信息安全風(fēng)險被有效識別，并將識別的風(fēng)險作為體系防控的對象。

4.3.2 等級保護機制

依據(jù)等級保護相關(guān)國家標(biāo)準(zhǔn)和管理辦法，建立全省系統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)依法依規(guī)開展等級保護的管理機制。將系統(tǒng)定級、系統(tǒng)備案、安全測評、安全整改、監(jiān)督檢查等相關(guān)工作要求形成工作機制，并形成相關(guān)記錄表單格式。通過建立全省系統(tǒng)等級保護管理工作機制，可規(guī)范全系統(tǒng)等級保護工作的實施執(zhí)行、督促和指導(dǎo)全省系統(tǒng)依法依規(guī)開展等級保護工作。

4.3.3 安全審查機制

建立全省網(wǎng)絡(luò)信息安全審查管理工作機制，包括審查類型、審查對象、審查內(nèi)容以及相關(guān)記錄表單格式。通過開展定期和不定期的安全審查，指導(dǎo)和督促全省系統(tǒng)各業(yè)務(wù)條線，落實信息安全防控職責(zé)，嚴(yán)把安全關(guān)，確?！?”事件目標(biāo)實現(xiàn)。

4.3.4 應(yīng)急處置機制

建立以網(wǎng)絡(luò)信息安全事件應(yīng)急預(yù)案為基礎(chǔ)的全省信息安全應(yīng)急處置管理工作機制，包括檢測預(yù)警、應(yīng)急處置、應(yīng)急保障和責(zé)任獎懲等內(nèi)容。通過建立應(yīng)急處置管理工作機制，可規(guī)范全省系統(tǒng)各種突發(fā)事件的應(yīng)急處置規(guī)程，建立快速響應(yīng)和應(yīng)急處置機制，加強信息系統(tǒng)的應(yīng)急管理，降低信息系統(tǒng)事件造成的損失和影響，盡快恢復(fù)業(yè)務(wù)系統(tǒng)的連續(xù)運行。

4.4 記錄表單

根據(jù)制度規(guī)范、管理機制以及技術(shù)措施的實際運行需求，制定符合實際情況、合理有效的各項記錄表單，作為體系落地運行的記錄文件。

5 結(jié)語

綜上所述，建立一套覆蓋全省各級部門，以有力的組織架構(gòu)和完善的制度規(guī)范為基礎(chǔ)，執(zhí)行各項管理機制以及技術(shù)措施的信息安全風(fēng)險防控體系，能夠有效的預(yù)防信息安全事件的發(fā)生，控制信息安全風(fēng)險，提升黨政機關(guān)信息安全防護水平。

Talking About the Construction of Information Security Risk Prevention and Control System in Party and Government Organs

CHENG Kai

（Jiangsu Electronic Information Products Quality Supervision Inspection Research Institute，Wuxi Jiangsu? 214000）

Abstract：In recent years， the situation of security incidents in the government information system of our country has increased gradually，There are risks of information security in the network information system of government departments at all levels. This paper discusses how to establish a set of management technology system which can effectively prevent and control the risk of information security.

Key words：Party and government organs; Information security risk prevention and control; System construction