燃氣企業(yè)在構(gòu)建信息安全架構(gòu)時除了吸收最佳實踐標準外���,還應充分考慮風險評估、戰(zhàn)略驅(qū)動以及監(jiān)管要求等內(nèi)容�����,最終將國際國內(nèi)信息安全最佳實踐標準裁剪成符合燃氣企業(yè)的信息安全體系架構(gòu)�。
3.4.4燃氣行業(yè)信息安全體系構(gòu)建
燃氣行業(yè)在信息安全體系的建設過程中為保障信息安全體系有效性�����,一般會遵從“組織體系定職責�����、策略體系定依據(jù)、技術(shù)體系定手段”的原則構(gòu)建“事前防御��、事中控制�����、事后響應”的信息安全體系�����,推進信息安全體系的執(zhí)行和落地���。
(1)組織體系
燃氣企業(yè)應建立和完善信息安全決策�、管理�����、執(zhí)行以及監(jiān)管的機構(gòu)���,明確企業(yè)所有單位的信息安全角色與職責以及總部和分公司之間的關(guān)系���。信息安全組織體系處于信息安全戰(zhàn)略的核心,是信息安全戰(zhàn)略落實的基礎(chǔ)和保障��。
(2)策略體系
策略體系主要包含信息安全策略/方針、各信息安全管理域的安全管理要求等�,為燃氣企業(yè)提供信息安全控制依據(jù)。
(3)技術(shù)體系
燃氣企業(yè)的信息安全技術(shù)體系應整合各種成熟的信息安全技術(shù)與產(chǎn)品���,對企業(yè)各類信息資產(chǎn)形成有效的差異化和精細化保護��。依據(jù)縱深防御的原則�,結(jié)合“橫向隔離���,縱向認證”的要求���,采用不同層次的防護技術(shù),如身份認證���、訪問控制���、內(nèi)容安全�、監(jiān)控審計和備份恢復等,實現(xiàn)信息資產(chǎn)的安全防護��。
4 北京燃氣信息安全體系建設實踐及應用
北京燃氣集團于2012年10月份啟動了信息安全體系建設項日�����,于2013年6月底結(jié)項。整個項目的建設基本遵循燃氣行業(yè)信息安全體系建設方法��,是對燃氣行業(yè)信息安全體系建設方法的實踐和應用���,同時根據(jù)實踐的結(jié)果再返回去對燃氣行業(yè)信息安全體系的建設方法進行了完善�����。
4.1 建設目標
(1)通過現(xiàn)狀調(diào)研和風險評估�����,全方位了解北京燃氣信息安全工作現(xiàn)狀和存在的風險��。
(2)設計北京燃氣的信息安全體系架構(gòu)��,完善信息安全組織與管理策略���,編寫信息安全制度與標準;并推進信息安全管理體系的落地運行�。
(3)建立信息安全管理體系實施藍圖,使北京燃氣能夠利用3年到5年時間���,建立起較為完善的信息安全管理體系�����。
(4)培育一批具備信息安全專業(yè)水平的技術(shù)人員和管理人員��,并全面提升員工的信息安全意識��。
4.2 現(xiàn)狀調(diào)研和風險評估
為全面梳理北京燃氣信息系統(tǒng)安全現(xiàn)狀��,項目組對北京燃氣信息化組織結(jié)構(gòu)��、物理環(huán)境安全��、人力資源�����、信息資產(chǎn)�、信息系統(tǒng)的開發(fā)和運行以及北京燃氣各專業(yè)機構(gòu)和分子公司的信息化建設和管理過程做了全面細致的了解,形成了北京燃氣信息安全現(xiàn)狀調(diào)研報告�����。
依據(jù)ISO27001國際標準��,對北京燃氣的信息安全現(xiàn)狀進行了對標���,查找與國際信息安全最佳實踐之間的差距�,并通過風險評估和分析進行分類和匯總���,形成了包括應用系統(tǒng)風險�、訪問控制風險���、外包服務風險�、人員環(huán)境風險�、組織安全風險等11個類別的風險。為將信息安全風險降低到北京燃氣可以接受的水平��,項目組為各類風險選擇了恰當?shù)娘L險處置措施并制定了從近期到長期詳細的風險處置計劃�。
4.3 架構(gòu)設計和藍圖規(guī)劃
依據(jù)前期調(diào)研發(fā)現(xiàn)的問題和風險、遵照國際國內(nèi)最佳實踐標準���、結(jié)合北京燃氣的“十二五”規(guī)劃設計完成了北京燃氣的信息安全架構(gòu)��,并規(guī)劃了北京燃氣未來3年至5年的信息安全建設路線�。
4.3.1架構(gòu)設計
北京燃氣信息安全體系依照北京燃氣信息安全整體目標���,圍繞“構(gòu)建信息安全體系���、保障信息系統(tǒng)安全”的方針制定了北京燃氣的信息安全架構(gòu)(如圖4所示)�,通過組織體系定職責�����、制度體系定依據(jù)�、技術(shù)體系定手段,涵蓋了包括體系管控���、建設安全�����、運維安全�����、應急保障和基礎(chǔ)保障在內(nèi)的五大信息安全域�����,全面覆蓋北京燃氣信息安全的各個方面�����。
?
北京燃氣的五大信息安全域主要是參考ISO27001信息安全管理體系中的11個信息安全域���,并結(jié)合燃氣行業(yè)信息安全工作的特點和北京燃氣已有的信息安全基礎(chǔ),重新進行劃分和歸并而得���。
4.3.2藍圖規(guī)劃
信息安全藍圖規(guī)劃日的是明確北京燃氣未來信息安全的建設路線�����,經(jīng)過3年乃至5年信息安全規(guī)劃的實施�����,可以逐步改變目前信息安全的現(xiàn)狀��,為北京燃氣信息系統(tǒng)的平穩(wěn)運行和業(yè)務的持續(xù)開展提供強有力的保障��。
北京燃氣未來5年信息安全藍圖規(guī)劃如下�����,分為以下3個階段:
(1)信息安全管理體系建立階段(2013年)��。北京燃氣于2013年上半年建立信息安全管理體系���,通過信息安全管理體系的建設���,建立了信息安全組織、完善了信息安全制度���;通過持續(xù)進行風險評估�,使北京燃氣在信息安全方面具有了自我完善的能力���。
(2)IT風險精細化管理階段(2014年—2015年)�����。從2014年開始��,進行IT綜合管控體系的建設�,建立完善的IT治理機制�、IT綜合管理流程(項目管理、外包管理���、數(shù)據(jù)管理等)���、IT服務管理流程��、軟件開發(fā)管理流程和IT績效管理體系等��;通過部署安全管理中心(SOC)開展敏感信息泄漏防護工作��,試點關(guān)鍵用戶信息安全績效測評工作,推動信息安全工作的深人開展���。
(3)安全與業(yè)務融合階段(2016年—2017年)���。從2016年開始,北京燃氣的信息安全將進入安全與業(yè)務融合階段�����,主要表現(xiàn)為���,通過精細化信息安全管控體系的建立��、IT內(nèi)控體系建設��,完善業(yè)務領(lǐng)域的信息安全工作�����,結(jié)合敏感信息防護工作的開展���,實現(xiàn)安全與業(yè)務的深度融合���,為IT支持業(yè)務運行與業(yè)務創(chuàng)新而奠定基礎(chǔ)。
4.4 體系構(gòu)建
4.4.1組織保障體系
北京燃氣的信息安全組織體系(見圖5)包括領(lǐng)導層���、管理層�����、執(zhí)行層以及監(jiān)督層�����。領(lǐng)導層由集團的信息化工作委員會擔任�。管理層由集團信息安全管理小組擔任�,下設信息安全管理辦公室,成員包括總部相關(guān)部門的信息安全協(xié)調(diào)員���。執(zhí)行層由信息檔案中心�����、運營調(diào)度中心以及集團其他所屬各單位組成��。監(jiān)督層由集團法審部和第三方審計機構(gòu)組成�����。
?
通過信息安全組織體系的建立�����,明確了集團各屬單位信息安全角色與職責���,以及總部和分公司之間信息安全接口與互動關(guān)系。信息安全組織保障體系處于信息安全戰(zhàn)略的核心�,是信息安全戰(zhàn)略落實的基礎(chǔ)和保障,同時�,信息安全制度保障體系的建立和執(zhí)行、信息安全運行相關(guān)工作以及信息安全技術(shù)在北京燃氣內(nèi)的運用也需要信息安全組織保障體系相關(guān)機構(gòu)和角色去具體落實�。
4.4.2制度保障體系
制度保障體系主要包含北京燃氣的信息安全策略/方針、各信息安全管理域的安全管理規(guī)定�、細則和表單類的文檔�����,為北京燃氣提供信息安全依據(jù)���。在制度體系中明確了信息安全技術(shù)類各種標準、安全規(guī)范�、配置基線等;制定了信息安全運行保障機制以及總部和分公司的信息安全協(xié)作機制��。
目前制定的制度規(guī)范共32個���,其中二級規(guī)定1個���、三級辦法6個、四級細則l2個��、技術(shù)規(guī)范l3個���,覆蓋了系統(tǒng)建設���、系統(tǒng)運行、應急保障�����、體系管控、基礎(chǔ)保障五大領(lǐng)域��。
4.4.3技術(shù)保障體系
北京燃氣建立了“五縱五橫”的技術(shù)保障體系(見圖6)��,實現(xiàn)從物理環(huán)境到終端數(shù)據(jù)的安全控制��,建立了事前預防�、事中監(jiān)控以及事后恢復的相關(guān)機制。
?
北京燃氣的技術(shù)保障體系將重點關(guān)注和解決:完善安全域的綜合規(guī)劃和整改��、建立信息系統(tǒng)基本等級防護技術(shù)體系�����、建立PKI體系���、建立4A平臺、建立終端防護體系��、建立信息安全監(jiān)控體系和建立災備中心�����。
4.5 信息安全意識的宣貫和提升
北京燃氣在信息安全體系的建設過程中考慮了各個層面“人”的要素,從管理層到普通員工�����,從專業(yè)人員到非專業(yè)人員�����,充分保障了各層面人員所需的信息安全意識和技能的培養(yǎng)��,如圖7所示�����。
?
在構(gòu)建自身的信息安全宣貫體系的同時��,考慮了自身企業(yè)文化和企業(yè)特點��,在借助傳統(tǒng)的宣傳媒介的同時引入社會化媒體進行企業(yè)內(nèi)部員工信息安全意識的宣傳�,建立多維度全方位的信息安全宣傳渠道,如圖8所示��。
?
5 燃氣行業(yè)信息安全體系建設成功因素
信息安全風險是應用信息技術(shù)過程所必須面對的問題�,因此建立信息安全體系是保障燃氣企業(yè)業(yè)務和信息化持久發(fā)展的基礎(chǔ)。結(jié)合北京燃氣信息安全體系建設的過程和經(jīng)驗��,總結(jié)幾點燃氣行業(yè)信息安全體系成功實施的要素:
(1)來自企業(yè)高層明確的支持和承諾,尤其對于相對傳統(tǒng)的燃氣行業(yè)而言這是信息安全體系有效推進的保障�。
(2)注重體系落地,依據(jù)“總體規(guī)劃��、分步實施”的戰(zhàn)略��,信息安全體系建設要從全局的觀念出發(fā)組建系統(tǒng)�����,制定具體的且可實現(xiàn)的計劃��。
(3)信息安全部門的定位問題以及與信息化之間的關(guān)系�����,明確信息安拿與信息化是相互交叉又彼此區(qū)別的關(guān)系�����。
(4)加大信息安全的培訓并建立自己的信息安全隊伍��,同時借助多種手段向所有管理者和員工有效的宣貫安全意識�����,注重持續(xù)性和時效性��,減少信息安全在實施過程中的阻力���。
(5)完善信息安全架構(gòu)體系�,增加信息安全縱深�����,整合現(xiàn)有信息安全設施���,形成信息安全合力��,避免不必要的資源浪費��。
6 結(jié)束語
北京燃氣的信息安全建設才剛剛起步��,燃氣行業(yè)其他企業(yè)的信息安全建設也即將開始�,本文將在北京燃氣信息安全體系建設過程中的經(jīng)驗�����、方法進行整理,在國內(nèi)首次提出燃氣行業(yè)的信息安全體系建設方法���,供燃氣行業(yè)其他企業(yè)構(gòu)建信息安全體系參考�����。燃氣企業(yè)信息安全的發(fā)展必然是不斷變化和前進的過程�����,北京燃氣比較注重信息安全體系建設落地的實際效果�����,不斷夯實信息安全的基礎(chǔ)���,關(guān)注信息安全未來的發(fā)展方向,持續(xù)優(yōu)化已建立的信息安全體系架構(gòu)���,使之符合燃氣企業(yè)自身的安全需求并保障燃氣業(yè)務的安全運行�����。
?
參考文獻
1歐洲網(wǎng)絡與信息安全局ENISA�����,2012年威脅報告
2CoBIT 4.1ISACA
3陳偉.企業(yè)建立信息安全管理體系的思路與方法.北京燃氣報信息安全?��??013�;6
4北京燃氣信息安全體系建設項目技術(shù)方案
?
???
長輸燃氣管道的安全保護距離
