安全管理网

燃气行业信息安全体系建设方法及在北京燃气的实践

作者:王广清  来源:北京市燃气集团有限责任公司 
评论: 更新日期:2016年09月06日
燃气企业在构建信息安全架构时除了吸收最佳实践标准外,还应充分考虑风险评估、战略驱动以及监管要求等内容,最终将国际国内信息安全最佳实践标准裁剪成符合燃气企业的信息安全体系架构。
3.4.4燃气行业信息安全体系构建
燃气行业在信息安全体系的建设过程中为保障信息安全体系有效性,一般会遵从“组织体系定职责、策略体系定依据、技术体系定手段”的原则构建“事前防御、事中控制、事后响应”的信息安全体系,推进信息安全体系的执行和落地。
(1)组织体系
燃气企业应建立和完善信息安全决策、管理、执行以及监管的机构,明确企业所有单位的信息安全角色与职责以及总部和分公司之间的关系。信息安全组织体系处于信息安全战略的核心,是信息安全战略落实的基础和保障。
(2)策略体系
策略体系主要包含信息安全策略/方针、各信息安全管理域的安全管理要求等,为燃气企业提供信息安全控制依据。
(3)技术体系
燃气企业的信息安全技术体系应整合各种成熟的信息安全技术与产品,对企业各类信息资产形成有效的差异化和精细化保护。依据纵深防御的原则,结合“横向隔离,纵向认证”的要求,采用不同层次的防护技术,如身份认证、访问控制、内容安全、监控审计和备份恢复等,实现信息资产的安全防护。
4 北京燃气信息安全体系建设实践及应用
北京燃气集团于2012年10月份启动了信息安全体系建设项日,于2013年6月底结项。整个项目的建设基本遵循燃气行业信息安全体系建设方法,是对燃气行业信息安全体系建设方法的实践和应用,同时根据实践的结果再返回去对燃气行业信息安全体系的建设方法进行了完善。
4.1 建设目标
(1)通过现状调研和风险评估,全方位了解北京燃气信息安全工作现状和存在的风险。
(2)设计北京燃气的信息安全体系架构,完善信息安全组织与管理策略,编写信息安全制度与标准;并推进信息安全管理体系的落地运行。
(3)建立信息安全管理体系实施蓝图,使北京燃气能够利用3年到5年时间,建立起较为完善的信息安全管理体系。
(4)培育一批具备信息安全专业水平的技术人员和管理人员,并全面提升员工的信息安全意识。
4.2 现状调研和风险评估
为全面梳理北京燃气信息系统安全现状,项目组对北京燃气信息化组织结构、物理环境安全、人力资源、信息资产、信息系统的开发和运行以及北京燃气各专业机构和分子公司的信息化建设和管理过程做了全面细致的了解,形成了北京燃气信息安全现状调研报告。
依据ISO27001国际标准,对北京燃气的信息安全现状进行了对标,查找与国际信息安全最佳实践之间的差距,并通过风险评估和分析进行分类和汇总,形成了包括应用系统风险、访问控制风险、外包服务风险、人员环境风险、组织安全风险等11个类别的风险。为将信息安全风险降低到北京燃气可以接受的水平,项目组为各类风险选择了恰当的风险处置措施并制定了从近期到长期详细的风险处置计划。
4.3 架构设计和蓝图规划
依据前期调研发现的问题和风险、遵照国际国内最佳实践标准、结合北京燃气的“十二五”规划设计完成了北京燃气的信息安全架构,并规划了北京燃气未来3年至5年的信息安全建设路线。
4.3.1架构设计
北京燃气信息安全体系依照北京燃气信息安全整体目标,围绕“构建信息安全体系、保障信息系统安全”的方针制定了北京燃气的信息安全架构(如图4所示),通过组织体系定职责、制度体系定依据、技术体系定手段,涵盖了包括体系管控、建设安全、运维安全、应急保障和基础保障在内的五大信息安全域,全面覆盖北京燃气信息安全的各个方面。
 
北京燃气的五大信息安全域主要是参考ISO27001信息安全管理体系中的11个信息安全域,并结合燃气行业信息安全工作的特点和北京燃气已有的信息安全基础,重新进行划分和归并而得。
4.3.2蓝图规划
信息安全蓝图规划日的是明确北京燃气未来信息安全的建设路线,经过3年乃至5年信息安全规划的实施,可以逐步改变目前信息安全的现状,为北京燃气信息系统的平稳运行和业务的持续开展提供强有力的保障。
北京燃气未来5年信息安全蓝图规划如下,分为以下3个阶段:
(1)信息安全管理体系建立阶段(2013年)。北京燃气于2013年上半年建立信息安全管理体系,通过信息安全管理体系的建设,建立了信息安全组织、完善了信息安全制度;通过持续进行风险评估,使北京燃气在信息安全方面具有了自我完善的能力。
(2)IT风险精细化管理阶段(2014年—2015年)。从2014年开始,进行IT综合管控体系的建设,建立完善的IT治理机制、IT综合管理流程(项目管理、外包管理、数据管理等)、IT服务管理流程、软件开发管理流程和IT绩效管理体系等;通过部署安全管理中心(SOC)开展敏感信息泄漏防护工作,试点关键用户信息安全绩效测评工作,推动信息安全工作的深人开展。
(3)安全与业务融合阶段(2016年—2017年)。从2016年开始,北京燃气的信息安全将进入安全与业务融合阶段,主要表现为,通过精细化信息安全管控体系的建立、IT内控体系建设,完善业务领域的信息安全工作,结合敏感信息防护工作的开展,实现安全与业务的深度融合,为IT支持业务运行与业务创新而奠定基础。
4.4 体系构建
4.4.1组织保障体系
北京燃气的信息安全组织体系(见图5)包括领导层、管理层、执行层以及监督层。领导层由集团的信息化工作委员会担任。管理层由集团信息安全管理小组担任,下设信息安全管理办公室,成员包括总部相关部门的信息安全协调员。执行层由信息档案中心、运营调度中心以及集团其他所属各单位组成。监督层由集团法审部和第三方审计机构组成。
 
通过信息安全组织体系的建立,明确了集团各属单位信息安全角色与职责,以及总部和分公司之间信息安全接口与互动关系。信息安全组织保障体系处于信息安全战略的核心,是信息安全战略落实的基础和保障,同时,信息安全制度保障体系的建立和执行、信息安全运行相关工作以及信息安全技术在北京燃气内的运用也需要信息安全组织保障体系相关机构和角色去具体落实。
4.4.2制度保障体系
制度保障体系主要包含北京燃气的信息安全策略/方针、各信息安全管理域的安全管理规定、细则和表单类的文档,为北京燃气提供信息安全依据。在制度体系中明确了信息安全技术类各种标准、安全规范、配置基线等;制定了信息安全运行保障机制以及总部和分公司的信息安全协作机制。
目前制定的制度规范共32个,其中二级规定1个、三级办法6个、四级细则l2个、技术规范l3个,覆盖了系统建设、系统运行、应急保障、体系管控、基础保障五大领域。
4.4.3技术保障体系
北京燃气建立了“五纵五横”的技术保障体系(见图6),实现从物理环境到终端数据的安全控制,建立了事前预防、事中监控以及事后恢复的相关机制。
 
北京燃气的技术保障体系将重点关注和解决:完善安全域的综合规划和整改、建立信息系统基本等级防护技术体系、建立PKI体系、建立4A平台、建立终端防护体系、建立信息安全监控体系和建立灾备中心。
4.5 信息安全意识的宣贯和提升
北京燃气在信息安全体系的建设过程中考虑了各个层面“人”的要素,从管理层到普通员工,从专业人员到非专业人员,充分保障了各层面人员所需的信息安全意识和技能的培养,如图7所示。
 
在构建自身的信息安全宣贯体系的同时,考虑了自身企业文化和企业特点,在借助传统的宣传媒介的同时引入社会化媒体进行企业内部员工信息安全意识的宣传,建立多维度全方位的信息安全宣传渠道,如图8所示。
 
5 燃气行业信息安全体系建设成功因素
信息安全风险是应用信息技术过程所必须面对的问题,因此建立信息安全体系是保障燃气企业业务和信息化持久发展的基础。结合北京燃气信息安全体系建设的过程和经验,总结几点燃气行业信息安全体系成功实施的要素:
(1)来自企业高层明确的支持和承诺,尤其对于相对传统的燃气行业而言这是信息安全体系有效推进的保障。
(2)注重体系落地,依据“总体规划、分步实施”的战略,信息安全体系建设要从全局的观念出发组建系统,制定具体的且可实现的计划。
(3)信息安全部门的定位问题以及与信息化之间的关系,明确信息安拿与信息化是相互交叉又彼此区别的关系。
(4)加大信息安全的培训并建立自己的信息安全队伍,同时借助多种手段向所有管理者和员工有效的宣贯安全意识,注重持续性和时效性,减少信息安全在实施过程中的阻力。
(5)完善信息安全架构体系,增加信息安全纵深,整合现有信息安全设施,形成信息安全合力,避免不必要的资源浪费。
6 结束语
北京燃气的信息安全建设才刚刚起步,燃气行业其他企业的信息安全建设也即将开始,本文将在北京燃气信息安全体系建设过程中的经验、方法进行整理,在国内首次提出燃气行业的信息安全体系建设方法,供燃气行业其他企业构建信息安全体系参考。燃气企业信息安全的发展必然是不断变化和前进的过程,北京燃气比较注重信息安全体系建设落地的实际效果,不断夯实信息安全的基础,关注信息安全未来的发展方向,持续优化已建立的信息安全体系架构,使之符合燃气企业自身的安全需求并保障燃气业务的安全运行。
 
参考文献
1欧洲网络与信息安全局ENISA,2012年威胁报告
2CoBIT 4.1ISACA
3陈伟.企业建立信息安全管理体系的思路与方法.北京燃气报信息安全专刊,2013;6
4北京燃气信息安全体系建设项目技术方案
 

   

网友评论 more
创想安科网站简介会员服务广告服务业务合作提交需求会员中心在线投稿版权声明友情链接联系我们