申向陽

（作者系上海石油分公司副總經(jīng)理）

企業(yè)信息化腳步越來越快，業(yè)務(wù)經(jīng)營管理對信息系統(tǒng)的依賴性持續(xù)增強，加快建立健全企業(yè)信息安全管理體系成為一個突出的問題。

ISMS的現(xiàn)狀和問題

ISMS （Information Security ManagementSystem），即信息安全管理體系。中國石化作為一個大型能源化工企業(yè)，其供應(yīng)鏈長、業(yè)務(wù)流程復(fù)雜、管理跨度大，包括電子商務(wù)、ERP、資金集中管理、加油卡等在內(nèi)的信息管理系統(tǒng)種類繁多，或多或少存在著一些安全隱患。上市后，中國石化不斷推進信息安全管理體系建設(shè)，建立了內(nèi)部控制管理制度、安全生產(chǎn)HSE管理體系、信息安全管理制度與辦法等，根據(jù)統(tǒng)一的方針原則整合了下屬各企業(yè)的信息化管理流程和體系，為建立管理統(tǒng)一、標(biāo)準(zhǔn)規(guī)范、評判科學(xué)的ISMS體系奠定了良好的基礎(chǔ)。但是應(yīng)該看到，目前中國石化ISMS體系建設(shè)還處在起步和雛形階段，還沒有形成流程科學(xué)、標(biāo)準(zhǔn)規(guī)范、具體可操作的ISMS體系。沒有完整的ISMS體系，企業(yè)信息安全隱患和風(fēng)險將時時威脅著企業(yè)日常生產(chǎn)經(jīng)營管理，也勢必影響企業(yè)的持續(xù)發(fā)展和進步。

從總部層面看，一是在ISMS體系方面，還沒有建立完整的信息系統(tǒng)和系統(tǒng)信息安全隱患和風(fēng)險的檢查、評價的管理方法和制度，現(xiàn)有的檢查、評判標(biāo)準(zhǔn)不統(tǒng)一、不全面、不具體。二是在管理職責(zé)方面，沒有完全理順業(yè)務(wù)部門與信息部門、上級管理部門與下級所屬企業(yè)之間信息安全工作的職責(zé)，存在多頭管理的現(xiàn)象以及信息安全管理的“灰色”地帶。三是對信息與業(yè)務(wù)的融合性重視不夠，缺乏循環(huán)往復(fù)、持續(xù)改進的意識。

從下屬企業(yè)層面看，一是在管理組織構(gòu)架方面，內(nèi)部信息安全組織不夠健全，監(jiān)督管理崗位設(shè)置不盡合理，不相容崗位之間存在“一人多崗”的現(xiàn)象，甚至存在系統(tǒng)開發(fā)人員、系統(tǒng)管理員、應(yīng)用管理員和安全管理員四個角色由同一人擔(dān)任的情況；監(jiān)督管理職責(zé)不明確、不清晰，權(quán)限管理不到位。二是在系統(tǒng)權(quán)限管理和控制方面，由于缺乏完善有效的針對用戶權(quán)限分配的審核和審計機制，權(quán)限管理不符合最小授權(quán)和不相容的要求，使系統(tǒng)運行存在安全隱患。三是在實際工作中存在重視環(huán)境和技術(shù)的安全，輕視人員、資產(chǎn)、應(yīng)用的安全問題，實際上難以實現(xiàn)全過程、全方位、全天候?qū)π畔⑾到y(tǒng)和系統(tǒng)信息的安全狀況進行實時有效的監(jiān)督管理。

因此，按照國家信息安全的有關(guān)法律法規(guī)，立足中國石化信息化的業(yè)務(wù)特點和發(fā)展要求，本著重點突出、分級保護、內(nèi)外結(jié)合，管理和技術(shù)并重的原則，從組織構(gòu)架、人員管理、技術(shù)策略、項目實施和運維服務(wù)等方面著手，加快信息安全基礎(chǔ)設(shè)施建設(shè)，深化信息系統(tǒng)安全運行和系統(tǒng)信息安全管理，大力推進ISMS體系建設(shè)，是一項緊迫任務(wù)。

加快建立完善中國石化ISMS

中國石化應(yīng)參照BS7799等國際先進管理標(biāo)準(zhǔn)，堅持既引入其精髓又保持自身特色的原則，結(jié)合企業(yè)原有的內(nèi)部控制管理制度、安全生產(chǎn)HSE管理體系、信息安全管理制度與辦法等，高起點、高標(biāo)準(zhǔn)、高效率地加快推進ISMS體系建設(shè)。

1.以業(yè)務(wù)戰(zhàn)略為導(dǎo)向，統(tǒng)一設(shè)計ISMS規(guī)劃和框架。首先要緊密結(jié)合中國石化生產(chǎn)經(jīng)營業(yè)務(wù)的發(fā)展需要，上中下游板塊的不同特點，確定信息資產(chǎn)的范圍、需要保護的程度、組織風(fēng)險管理方法、控制目標(biāo)與控制措施等內(nèi)容，建立統(tǒng)一規(guī)劃設(shè)計、管理標(biāo)準(zhǔn)科學(xué)、分級實施執(zhí)行的ISMS體系。其次要體現(xiàn)“預(yù)防為主、防控結(jié)合”的思想，遵守國家、地方和企業(yè)等有關(guān)信息安全的法規(guī)制度，保護好企業(yè)關(guān)鍵性信息資產(chǎn)，確保信息的機密性、完整性和可用性。再者要統(tǒng)籌考慮投入成本費用與實施ISMS控制信息系統(tǒng)風(fēng)險的能力的平衡關(guān)系，充分滿足全過程、全方位、全天候的監(jiān)督管理的目標(biāo)和要求。

2.以提升管理為目標(biāo)，配套建立ISMS組織和制度。一是要建立健全ISMS體系組織和機構(gòu)，統(tǒng)一制定符合ISMS工作要求的協(xié)調(diào)機制、重大信息安全事件應(yīng)急指揮流程。二是要發(fā)布相關(guān)制度和ISMS策略，科學(xué)、系統(tǒng)地指導(dǎo)信息安全風(fēng)險評估和加固工作。三是要按照ISMS要求，重點抓好信息系統(tǒng)和系統(tǒng)信息的運行監(jiān)控和檢查考核工作。建立績效考核機制，提高ISMS的執(zhí)行力和執(zhí)行質(zhì)量，真正確保ISMS體系的各項檢查、評判、整改標(biāo)準(zhǔn)和要求不折不扣地落到實處。

3.以安全防護為任務(wù)，加快提升ISMS設(shè)施和技術(shù)。堅持“同步設(shè)計、同步建設(shè)、同步運行”的原則，在應(yīng)用系統(tǒng)的規(guī)劃和設(shè)計階段同步進行信息安全設(shè)計，實現(xiàn)業(yè)務(wù)、信息、數(shù)據(jù)、系統(tǒng)、網(wǎng)絡(luò)、用戶、終端多層次的安全保障。目前中國石化的信息安全基礎(chǔ)設(shè)施建設(shè)存在短板，主要表現(xiàn)在：一些超期服役的設(shè)備或系統(tǒng)仍在運行，一些安全防護和監(jiān)測設(shè)備在性能和功能上明顯不足，網(wǎng)絡(luò)準(zhǔn)入、行為管理、文檔安全、內(nèi)容監(jiān)控和審計等方面還有缺項，用戶統(tǒng)一管理、認(rèn)證、授權(quán)平臺亟待加快建設(shè)，安全監(jiān)控與審計系統(tǒng)建設(shè)尚處于起步階段，總部和下屬企業(yè)的重要信息系統(tǒng)缺乏異地災(zāi)備的能力，部分下屬企業(yè)的機房物理安全水平還不夠，在防火、防水、防潮、防雷、溫濕度控制等方面沒有達到國家有關(guān)物理安全標(biāo)準(zhǔn)等。為此，應(yīng)進一步整合現(xiàn)有設(shè)備資源和網(wǎng)絡(luò)資源，強化基礎(chǔ)設(shè)施及運維平臺的建設(shè)和更新維護，持續(xù)完善公司網(wǎng)絡(luò)和系統(tǒng)架構(gòu)，逐步提高信息基礎(chǔ)設(shè)施的可用性和安全性。在ISMS建設(shè)中，應(yīng)重點突出信息系統(tǒng)和系統(tǒng)信息的安全防護和災(zāi)備系統(tǒng)、安全等級保護、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)和信息安全監(jiān)控和審計系統(tǒng)。

4.以運行維護為中心，逐步引入ISMS標(biāo)準(zhǔn)和工具。目前企業(yè)在用的信息系統(tǒng)存在較高的安全風(fēng)險和安全隱患，必須高度重視信息安全運維工作，確保企業(yè)經(jīng)營管理業(yè)務(wù)的連續(xù)性和信息系統(tǒng)的抗風(fēng)險能力。在ISMS體系建設(shè)過程中，要提高信息系統(tǒng)應(yīng)用企業(yè)的運行管理工作標(biāo)準(zhǔn)和要求，一是要構(gòu)架統(tǒng)一管理的信息技術(shù)運行維護支持服務(wù)體系，明確各層級的工作職能和職責(zé)，重點要將ISMS內(nèi)容和日常的信息系統(tǒng)維護工作結(jié)合起來，拓寬運行維護服務(wù)的內(nèi)容，提升運行維護保障的功能。二是要通過進一步完善組織構(gòu)架、落實人員、完善制度、規(guī)范標(biāo)準(zhǔn)、細(xì)化流程，實現(xiàn)自上而下的一體化運行運維工作。三是要建立定期發(fā)布ISMS工作簡報的機制，加強對重要應(yīng)用系統(tǒng)進行定期數(shù)據(jù)備份和檢查工作。四是根據(jù)國際標(biāo)準(zhǔn)化的信息技術(shù)服務(wù)管理體系結(jié)構(gòu)和流程，引入信息技術(shù)服務(wù)管理工具，保障企業(yè)信息系統(tǒng)穩(wěn)定、安全、高效運行，為企業(yè)生產(chǎn)經(jīng)營、內(nèi)部管理和持續(xù)發(fā)展提供更強更有效的技術(shù)支撐與服務(wù)。