萬云保 余江

【摘要】 隨著等級保護建設整改工作的深入，建立規(guī)范、高效、安全的信息系統運行維護和管理體系，將等級保護中的管理制度與本單位自身的安全生產、班組文化等制度結合，能夠更全面的提高電力調度系統運維管理層次，實現信息系統、數據資源集成整合和綜合高效利用，支撐實現電力調度的信息化發(fā)展目標。

【關鍵詞】 等級保護 電力調度 管理制度

引言

我單位開展了信息安全等級保護安全建設整改、等級測評等工作。然而，隨著整改進程的深入，建立規(guī)范、高效、安全的信息系統運行維護和管理體系，如何將等級保護中的管理制度與本單位自身的安全生產、班組文化等制度結合，給管理工作帶來了新的挑戰(zhàn)，通過建立等級保護管理制度體系能夠更全面的提高電力調度系統運維管理層次，實現信息系統、數據資源集成整合和綜合高效利用，支撐實現電力調度的信息化發(fā)展目標。本文結合筆者在信息安全管理中的實踐和理解，對等級保護管理體系在工作中的應用提出一些個人的想法，供讀者借鑒。

一、建立等級保護制度體系目的和意義

為更好的提高信息安全保障能力和水平，依據《信息安全等級保護管理辦法》（公通字[2007]43號）、國家電網公司《信息系統安全等級保護建設的實施指導意見》（信息運安[2009]27號）、《SG186工程信息系統安全等級保護驗收標準（試行）》（信息運安[2009]44號）、《關于加強電力二次系統安全防護和等級保護工作的通知》（調自〔2012〕65號）等要求。進一步加強電力調度系統重要信息系統的安全保護，落實國網公司關于信息安全等級保護和安全防護體系建設的總體要求，我單位開展了信息安全等級測評和整 改工作。

二、等級保護管理制度體系分析

等級保護管理制度體系提供了對組織機構中信息系統全生存周期過程實施符合安全等級責任要求的管理，包括落實安全管理機構及人員，明確角色與職責，制定安全規(guī)劃、開發(fā)安全策略、實施風險管理、進行監(jiān)控、檢查，處理安全事件等，具體落實在要求則體現在等級保護測評指標中，等級保護管理要求如圖1所示。

三、等級保護管理體系建設實踐

在具體落實管理體系過程中，應結合原有的信息化管理制度，貫徹建立管理制度文件層級化和流程化管理概念，將方針策略、管理制度、操作規(guī)程和記錄表單等文件科學的管理運作；將信息化安全管理方針策略定義為一層策略文件；將溝通管理、信息化人員管理、授權與審批管理、文件規(guī)范性管理、介質管理、資產管理、網絡管理、系統管理、安全事件與應急管理、備份與恢復管理等方面定義為二層制度文件，落實一層文件中涉及的各方面運維和安全管理內容；將信息化運維管理的操作指導規(guī)范等定義為三層流程文件，支撐二層制度文件的具體操作；將所有信息化運維相關的表格定義為四層表格文件，落實并規(guī)范化所有運維操作，融合和動態(tài)的管理當前使用的管理制度體系結構，如圖2所示。

3.1安全管理的原則

1）基于安全需求原則：組織機構應根據其信息系統擔負的使命，積累的信息資產的重要性，可能受到的威脅及面臨的風險分析安全需求，遵從相應等級的規(guī)范要求，從全局上恰當地平衡安全投入與效果；

2）主要領導負責原則：主要領導應確立其組織統一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動并優(yōu)化配置必要的資源，協調安全管理工作與各部門工作的關系，并確保其落實、有效；

3）全員參與原則：信息系統所有相關人員應普遍參與信息系統的安全管理，并與相關方面協同、協調，共同保障信息系統安全；

4）持續(xù)改進原則：安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統脆弱性的分布變化，應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系；

5）分權和授權原則：對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統資源的機會。

3.2管理制度體系框架構建

3.2.1工作目標

建立安全管理組織并落實各個部門信息安全責任人，明確組織內各機構人員責任和工作職能，確定信息安全管理體系方針策略，編制形成信息安全方針策略文件。

3.2.2建立信息安全管理組織

（1）建立信息安全管理組織架構

信息安全領導機構：供電公司信息化領導小組，主要負責對單位信息安全制定總體安全策略、監(jiān)督和協調各項安全措施在單位的執(zhí)行情況、設立落實信息安全責任。由供電公司分管領導擔任組長，小組成員為各個部門負責人組成。

（2）明確各相關機構和崗位角色的責任和職能

建立相應的職責文件，明確各相應領導、部門、崗位的職責。調度通信中心應設立信息安全工作的各關鍵崗位，如安全管理員、網絡管理員、操作系統管理員和數據庫管理員等，并將之與班組人員結合，并重視信息化人員的培養(yǎng)。

3.2.3確定安全管理總體方針策略

安全管理方針策略是為組織的每一個人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護標準，防止員工的不安全行為引入風險。同時，還是進一步制定控制規(guī)則、安全程序的必要基礎。應當目的明確、內容清楚，能廣泛地被組織成員接受與遵守，且要有足夠靈活性、適應性，能涵蓋較大范圍內的各種數據、活動和資源?？梢允箚T工了解與自己相關的信息安全保護責任，強調安全對組織業(yè)務目標的實現、業(yè)務活動持續(xù)運營的重要性。

安全方針策略屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應該篇幅短小，內容明確。信息安全方針應當簡明、扼要，便于理解，至少應包括以下內容：

（1）信息安全的定義，總體目標、范圍，安全對信息共享的重要性；

（2）管理層意圖、支持目標和信息安全原則的闡述；

（3）信息安全控制的簡要說明，以及依從法律、法規(guī)要求對組織的重要性；

（4）信息安全管理的一般和具體責任定義，包括報告安全事故；

（5）信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責，陳述組織的安全目標，為安全措施在組織的強制執(zhí)行建立相關輿論與規(guī)則的基礎。

3.3管理制度體系策略建立

3.3.1工作目標

建立覆蓋信息工作的全部文件，包含安全策略、制度、規(guī)定規(guī)范、表單，完善所有活動流程管理。

3.3.2建立體系策略制度文件

信息安全策略是組織信息安全活動的最高方針，需要根據信息工作的實際情況，分別制訂不同的信息安全策略。應該簡單明了、通俗易懂，并形成書面文件，發(fā)給單位內的所有成員。同時要對所有相關員工進行信息安全策略的培訓，以使信息安全方針真正植根于單位內所有員工的腦海并落實到實際工作中。根據本單位實際情況，建立的策略文件，所有文件均需進行論證和評審。

（1）信息安全管理策略

作為所有系統的指導性方針文件，提供信息安全的基本規(guī)則、指南、定義。依據本策略應制定各管理制度、操作和使用規(guī)范。

（2）系統運維安全管理策略

作為所有系統運行維護的指導性方針文件，提供系統安全運行維護的基本規(guī)則、指南、定義。依據本策略應制定系統運行維護中相關的各種管理制度和規(guī)定，以及控制各項活動的記錄表單和審批流程。應覆蓋機房、網絡、系統、資產、備份、日常運維等所有運行維護工作的范圍。

（3）系統建設安全管理策略

作為所有信息化工作建設的指導性方針文件，提供信息工作相關的建設安全管理的基本規(guī)則、指南、定義。依據本策略應形成項目管理、采購管理、工程實施管理、測試及驗收管理等建設管理的全過程管理制度，相應的控制表單和審批規(guī)定。

（4）人員安全管理策略

由于在系統、運維、建設方面已經對人員在該活動中的行為做了要求，人員安全管理主要需要考慮的問題是錄用、離崗、保密、教育培訓、考核及外來人員方面的管理，也可以直接制定比較詳細的人員安全管理制度。

（5）管理流程

梳理并完善各種活動的詳細流程圖，任何針對信息系統的活動均有流程可依據進行控制管理。如事件管理流程、變更管理流程等。

（6）其他輔助制度

建立輔助文件，如對以上策略、制度、表單等進行管理的文件管理制度、保密制度、信息發(fā)布規(guī)定等。

3.4管理制度體系運作落實

3.4.1工作目標

逐項實施，直至體系全面運行，監(jiān)督落實安全策略制度，找出體系中的不適用和缺陷。

3.4.2實施

經過第一和第二階段的工作，理論上單位已初步形成完整的信息安全管理體系，但體系是否能正常運作發(fā)揮作用，需要對體系進行驗證，驗證的方法就是運行體系。

體系的運行分幾步進行：

對通過論證評審的文件，通過正規(guī)渠道正式發(fā)文的方式進行發(fā)布，發(fā)布的文件根據情況決定是否采取“征求意見稿”或“暫行”；

文件發(fā)布前召集相關部門的負責人學習文件，并要求確保落實力度；

發(fā)布的文件要求相關部門組織學習，并依照實施；

各相關部門對運行的文件制度運行情況進行收集，存在實際困難無法落實的報評審組織評審適用性；

對“征求意見稿”的文件，必須從實施的相關部門采集意見。

體系實施階段可以在體系建立階段同步開展，建立部門策略制度后，通過論證評審即可進行試運行，不需等全套文件完成。

3.4.3監(jiān)督

指定或成立跨部門監(jiān)督機構、人員，對文件實施的過程進行監(jiān)督管理，制定相應的懲戒措施，對落實情況進行監(jiān)督檢查，對違反文件實施和實施不力的部門或人員進行懲戒，切實落實文件的有效實施。收集監(jiān)督過程中發(fā)現的文件問題、人員實施問題方面資料，反饋到編制組織。

本階段是系統建立的關鍵階段，是信息安全管理體系要分析運行效果，尋求改進機會的階段。如果發(fā)現一個控制措施不合理、不充分，就要采取糾正措施，以防止信息系統處于不可接受風險狀態(tài)。必須強調相關領導應重視本階段工作，并且從實際上支持和推動實施工作。且應加大學習培訓和監(jiān)督力度，落實懲戒措施。讓文件涉及的相關部門和相關人員熟知該文件并能按要求準確執(zhí)行。

3.5管理制度體系細化調整

3.5.1工作目標

總結體系運行情況，調整不適用和無法落實的部分，完善體系，使之能高效、有序的運作。

3.5.2評審

評審有兩個環(huán)節(jié)，第一個環(huán)節(jié)是針對出現的問題進行審核，論證其原因，進行改正完善。第二個環(huán)節(jié)是在大部分問題解決后、體系正常的情況下全面評審體系文件、組織、活動是否達到預期目標。

首先，信息安全領導小組組織相關部門人員，對體系實施中發(fā)現的問題進行審核，對落實不力的部門責成落實；對實際存在的問題進行論證，提出解決辦法；對不適用的文件或部分進行論證評審，確實存在不適用的文件則組織相關人員進行修訂，轉入修訂環(huán)節(jié)，對于不適用且沒必要存在的文件進行廢止。

而后，對于本階段計劃時間內反饋沒發(fā)現問題的文件，組織相關部門評審試行效果，達到預期要求則作為正式版發(fā)布運行，并采用持續(xù)優(yōu)化階段的方式進行管理，未達預期目的則轉入重新編制程序。

3.5.3修訂

對于存在問題的策略文件，組織該策略文件涉及最多的主體部門和其他相關部門人員成立臨時修訂機構，針對文件存在問題進行修訂。修訂后進行新版本的頒布，同時該文件轉入落實階段。

3.5.4測評

經過細化調整，不斷地審核修訂后，體系應已基本完善，此時轉入評審的第二環(huán)節(jié)。按照符合等級保護要求的預期目標，委托等級保護測評機構進行等級保護測評，在保證客觀、合規(guī)、公正的前提下，對單位信息安全體系進行全面評審。整體測評后，對不滿足要求的部分進行整改，整改完成后轉入實施階段，直至符合要求。

3.6管理制度體系持續(xù)優(yōu)化

通過前四個階段的工作，信息安全管理體系應基本穩(wěn)定、成熟，后期的工作在于保持并進行不斷地優(yōu)化。把經過檢驗的文件作為常態(tài)的管理遵循依據，在日常工作中保持，不因試行結束而松懈。部門和人員應把試行期間依照文件要求形成的工作模式進一步完善保持，在未發(fā)生異常情況之前，始終按照正式版本執(zhí)行。定期進行評審，找出不適用部分進行優(yōu)化調整；結合工作實際，尋求更高效安全的方法優(yōu)化體系，提高效能。

四、總結

等級保護管理體系應充分考慮本單位整體情況，結合各部門各崗位職責能力來制定，應在密切注意制度體系的實用性并定期進行修訂，建立管理制度體系的最終目的是在達到規(guī)范化、標準化管理的同時，完善安全運維管理，減少扯皮和推諉情況，提高運維效率。