亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        集團化企業(yè)網(wǎng)絡(luò)信息安全管理體系規(guī)劃與建設(shè)

        2020-11-14 08:37:40陳慶民邵揚
        關(guān)鍵詞:醫(yī)藥集團管理體系信息安全

        ◆陳慶民 邵揚

        行業(yè)與應(yīng)用安全

        集團化企業(yè)網(wǎng)絡(luò)信息安全管理體系規(guī)劃與建設(shè)

        ◆陳慶民 邵揚

        (上海醫(yī)藥集團股份有限公司 上海 200020)

        信息技術(shù)的廣泛應(yīng)用和發(fā)展,對促進企業(yè)發(fā)展發(fā)揮了重要的作用。同時,隨著信息化程度越來越高,信息安全問題也逐步凸現(xiàn),配套的安全管理機制及安全制度建設(shè)卻相對滯后,如何構(gòu)建集團化企業(yè)網(wǎng)絡(luò)信息安全管理體系成為急需解決的問題。本文通過現(xiàn)狀調(diào)研和分析,提出上海醫(yī)藥網(wǎng)絡(luò)信息安全管理體系的建設(shè)思路,并重點在網(wǎng)絡(luò)信息安全組織體系、網(wǎng)絡(luò)信息安全工作機制、網(wǎng)絡(luò)信息安全制度體系三個方面進行了闡述。

        網(wǎng)絡(luò)信息安全;網(wǎng)絡(luò)安全;管理體系

        1 背景

        隨著企業(yè)信息化建設(shè)不斷深入開展,信息安全問題日益凸顯,信息安全和國家安全之間的關(guān)系日益緊密。為此,國家信息安全主管部門和各行業(yè)監(jiān)管部門近年來陸續(xù)頒發(fā)了一系列與信息安全相關(guān)的法律、法規(guī)、要求和指導(dǎo)意見,用以推動和規(guī)范全社會信息安全建設(shè)。

        2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》,為互聯(lián)網(wǎng)安全提供了切實的法律保障,同時也要求各企事業(yè)單位應(yīng)承擔(dān)起相應(yīng)的法律責(zé)任和義務(wù)。近幾年上海市委網(wǎng)信辦、公安局網(wǎng)安大隊等上級主管部門也陸續(xù)提出了各項自查、通報和安全承諾等要求,今后類似的各項保障任務(wù)將成為公司信息安全常態(tài)化工作,也將對信息安全的各項建設(shè)和保障工作提出更高的要求。

        上海醫(yī)藥集團股份有限公司(以下簡稱“上海醫(yī)藥”)是滬港兩地上市的大型醫(yī)藥產(chǎn)業(yè)集團,公司主營業(yè)務(wù)覆蓋醫(yī)藥工業(yè)、分銷與零售。隨著上海醫(yī)藥信息化建設(shè)步伐的不斷加快,特別是信息系統(tǒng)建設(shè)已全面融入集團化企業(yè)管理、生產(chǎn)和運營活動中,信息系統(tǒng)的安全、穩(wěn)定、可靠運行直接影響到集團內(nèi)部管理秩序及企業(yè)社會公眾形象。信息安全已與建設(shè)安全、生產(chǎn)運營安全相互滲透、相互關(guān)聯(lián),信息安全的重要性日益凸顯。

        然而,在信息化程度越來越高的同時,上海醫(yī)藥作為一家國有大型醫(yī)藥集團企業(yè),在企業(yè)管理方面已具備了一套成熟的理念與管理的方法,但在配套的信息安全管理機制及制度建設(shè)方面卻相對滯后,尚未形成體系化的信息安全管理模式。信息安全管理組織的松散、職責(zé)分工的不明晰、管理目標(biāo)及原則的不確定、制度規(guī)范的不健全都阻礙了信息安全管理工作的順利開展。

        因此無論從提升企業(yè)內(nèi)部管理水平,促進企業(yè)生產(chǎn)、運營安全,還是從符合國家相關(guān)法律法規(guī)及相關(guān)監(jiān)管部門的要求及提高對外部影響力與競爭力的角度出發(fā),信息安全管理體系的建設(shè)對上海醫(yī)藥集團的信息化網(wǎng)絡(luò)安全管理工作和企業(yè)的發(fā)展都有著十分重要的意義。

        2 建設(shè)目標(biāo)

        結(jié)合上海醫(yī)藥集團現(xiàn)有的組織管理框架以及業(yè)務(wù)管理特點,建立一套有效的信息安全管理體系,該體系將實現(xiàn)以下目標(biāo):

        (1)依據(jù)網(wǎng)絡(luò)信息安全相關(guān)政策及標(biāo)準要求,建立自上而下的信息安全決策、管理、執(zhí)行以及監(jiān)管的組織機構(gòu),明確各級機構(gòu)的角色與職責(zé),完善信息安全管理責(zé)任制;

        (2)形成一套有效的信息安全管理工作機制;

        (3)根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施及網(wǎng)絡(luò)安全等級保護相關(guān)制度,制定出指導(dǎo)集團各部門及下屬單位實施安全管理活動的安全管理制度。

        3 實施方案

        我們主要分以下幾個階段進行:

        3.1 調(diào)研階段:

        通過人員訪談、文檔查閱等,深入調(diào)研了解上海醫(yī)藥集團當(dāng)前的組織體系架構(gòu)、業(yè)務(wù)體系架構(gòu)、網(wǎng)絡(luò)架構(gòu)和信息安全管理的狀況,并對照信息系統(tǒng)等級保護相關(guān)標(biāo)準要求進行差距分析,找出差距與問題,為策劃管理體系作參考。

        3.2 策劃階段

        結(jié)合現(xiàn)狀及差距分析結(jié)果編制適合上海醫(yī)藥集團的網(wǎng)絡(luò)信息安全管理體系建設(shè)方案,并聽取內(nèi)外部專家評審意見,形成最終的建設(shè)方案。

        3.3 實施階段

        按照建設(shè)方案要求,依據(jù)等級保護相關(guān)標(biāo)準及ISO 27001提供的最佳實踐,逐步研究建立形成集團信息安全管理體系。

        (1)研究組織、制度、管控模式之間的結(jié)合方式,編制信息安全管理組織責(zé)任體系、工作機制;

        (2)研究編制集團整體信息安全管理策略;

        (3)研究編制信息安全核心業(yè)務(wù)規(guī)范和標(biāo)準。

        3.4 檢查階段

        在制度文件運行實施一定周期后,進行執(zhí)行情況的檢查,重點關(guān)注文件在適用性、有效性、充分性方面的問題,并進行匯總分析。

        3.5 改進階段

        根據(jù)檢查匯總的信息,組織修訂完善相關(guān)文件。

        4 建設(shè)成果

        4.1 構(gòu)建網(wǎng)絡(luò)信息安全整體藍圖框架

        基于上海醫(yī)藥定位與管理職能,從業(yè)務(wù)戰(zhàn)略、組織管控、信息化建設(shè)、外部趨勢四個層面,通過分析及評估上海醫(yī)藥網(wǎng)絡(luò)信息安全現(xiàn)狀,制定網(wǎng)絡(luò)信息安全5年目標(biāo),藍圖框架可以分為三大領(lǐng)域,分別為:安全治理和管理體系、安全技術(shù)體系和安全運行體系。如圖1:

        圖1 網(wǎng)絡(luò)信息安全藍圖框架

        4.2 網(wǎng)絡(luò)信息安全組織體系建設(shè)

        企業(yè)的網(wǎng)絡(luò)信息安全管理組織機構(gòu)決定了一個企業(yè)網(wǎng)絡(luò)信息安全管理的水平,同時也是一個企業(yè)網(wǎng)絡(luò)信息安全管理制度有效推動和執(zhí)行的關(guān)鍵因素之一。上海醫(yī)藥集團旗下?lián)碛卸畮准抑睂賳挝?,共有幾百家企業(yè),規(guī)模龐大,信息系統(tǒng)數(shù)量巨大,要管好整個集團的網(wǎng)絡(luò)信息安全是件非常不容易的事情。

        結(jié)合上海醫(yī)藥實際情況,依據(jù)《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制要求》、《網(wǎng)絡(luò)安全績效標(biāo)準(暫行)》、《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》等政策要求,遵循決策集中、管理一體、執(zhí)行統(tǒng)一的原則,建立信息安全管理組織,明確主管領(lǐng)導(dǎo),落實責(zé)任單位,加強信息安全組織領(lǐng)導(dǎo)和管理,推動信息安全工作的開展,建立兩級(集團級、部門及直屬單位級)、三層(領(lǐng)導(dǎo)層負領(lǐng)導(dǎo)責(zé)任、管理層負管理責(zé)任、執(zhí)行層負工作責(zé)任)信息安全責(zé)任體系。編制了《上海醫(yī)藥信息安全責(zé)任體系》,包括以下內(nèi)容:總則、信息安全組織框架、信息安全組織工作職責(zé)、集團各部門信息安全職責(zé)、集團下屬公司信息安全職責(zé)、外部供應(yīng)商信息安全責(zé)任、信息安全責(zé)任制考核等。

        公司設(shè)立網(wǎng)絡(luò)信息安全管理委員會作為最高領(lǐng)導(dǎo)機構(gòu),該機構(gòu)成員包括公司黨委書記、信息化分管領(lǐng)導(dǎo)、公司總部各部門負責(zé)人及各直屬單位負責(zé)人擔(dān)任組員。

        圖2 網(wǎng)絡(luò)信息安全管理組織

        4.3 網(wǎng)絡(luò)信息安全工作機制建設(shè)

        為推進上海醫(yī)藥網(wǎng)絡(luò)信息安全管理工作,需建立與之相適應(yīng)的信息安全管理工作機制,主要包括:建立信息安全管理工作會議機制,由定期例會與不定期專項會議相結(jié)合;建立“層層上報,統(tǒng)一出口”、“例行匯報,一事一報”的信息通報機制,信息通報按輕重緩急程度分為日常安全信息通報及信息安全事件通報兩類,對于日常安全信息的通報通過每年定期將相關(guān)信息集中匯報,由集團信息技術(shù)中心負責(zé)匯總,并總結(jié)分析;信息安全事件通報應(yīng)一事一報,并應(yīng)做到及時通報,第一時間報告相關(guān)職能管理機構(gòu),并得到及時響應(yīng)與處置;建立監(jiān)督檢查機制,由日常監(jiān)督、定期與不定期檢查相結(jié)合,專項檢查與全面檢查相結(jié)合,自查與外部檢查相結(jié)合,監(jiān)督檢查的內(nèi)容應(yīng)覆蓋安全技術(shù)與安全管理;建立信息安全工作管理責(zé)任制考核,并列入集團工作績效考核體系。

        4.4 網(wǎng)絡(luò)信息安全制度體系建設(shè)

        參照國內(nèi)外信息安全主流標(biāo)準要求、等級保護體系及政策要求,結(jié)合上海醫(yī)藥現(xiàn)有制度及管理狀況,建立自上而下的信息安全管理制度體系,形成信息安全制度匯編。從制度涉及的管理領(lǐng)域可分為制度管理、組織管理、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五大方面。上海醫(yī)藥信息安全管理制度從層次上可分為三層結(jié)構(gòu):

        (1)信息安全管理辦法:描述信息安全管理范圍、目標(biāo)、依據(jù)、組織及責(zé)任體系及整體安全管理策略;

        (2)信息安全管理規(guī)定:具體規(guī)定各項安全管理活動的職責(zé)和要求;

        (3)信息安全管理細則或規(guī)程:安全管理活動和操作的具體規(guī)范和流程。

        5 總結(jié)

        經(jīng)過上海醫(yī)藥網(wǎng)絡(luò)信息安全管理體系的建設(shè),不僅為上海醫(yī)藥的信息系統(tǒng)安全建設(shè)與日常管理提供指導(dǎo)和規(guī)范作用,也將為整個集團業(yè)務(wù)的快速發(fā)展提供有力的支撐。

        [1]GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求.

        [2]GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求.

        [3]GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范.

        [4]《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》.

        [5]《網(wǎng)絡(luò)安全績效標(biāo)準(暫行)》.

        [6]《上海市網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》.

        [7]《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實施辦法》.

        猜你喜歡
        醫(yī)藥集團管理體系信息安全
        上海醫(yī)藥集團青島國風(fēng)藥業(yè)股份有限公司
        對質(zhì)量管理體系不符合項整改的理解與實施
        基于KPI的績效管理體系應(yīng)用研究
        活力(2021年4期)2021-07-28 05:35:18
        當(dāng)代經(jīng)濟管理體系中的會計與統(tǒng)計分析
        控制系統(tǒng)價格管理體系探索與實踐
        清水無香——記中國醫(yī)藥集團總公司勵展展覽有限責(zé)任公司總經(jīng)理胡昆坪
        保護信息安全要滴水不漏
        高校信息安全防護
        保護個人信息安全刻不容緩
        信息安全
        江蘇年鑒(2014年0期)2014-03-11 17:10:07
        西西人体444www大胆无码视频| 中文字幕亚洲五月综合婷久狠狠| 日本一二三区在线观看视频| 亚洲精品无码av人在线播放| 亚洲欧美日韩一区在线观看| 人妻精品一区二区免费| 中文字幕人妻久久久中出| 国产乱妇无乱码大黄aa片| 日本大片免费观看完整视频| 天堂av无码大芭蕉伊人av孕妇黑人| 熟女免费视频一区二区| 欧美日韩一区二区三区在线观看视频| 亚洲中文字幕无码mv| 乱色视频中文字幕在线看| 亚洲一区二区在线观看av| 夜夜爽妓女8888888视频| 无码夜色一区二区三区| 亚洲国产一区二区三区,| 国语淫秽一区二区三区四区| 成人性生交大片免费| 澳门毛片精品一区二区三区| 亚洲女同av一区二区在线观看| 国产精品久久久天天影视| 一区二区三区国产亚洲网站| 狠狠干视频网站| 日韩一区三区av在线| 日韩av激情在线观看| 精品88久久久久88久久久| 亚洲一区二区三区成人在线| 91精品亚洲成人一区二区三区| 亚洲色欲综合一区二区三区| 97久久综合区小说区图片专区| 久久想要爱蜜臀av一区二区三区| 亚洲av无码国产精品草莓在线| 欧美自拍区| 亚洲天堂av在线免费看| 色又黄又爽18禁免费网站现观看| 一区二区传媒有限公司| www.av在线.com| 亚洲精品视频1区2区| 人妻av乱片av出轨|