加快推進中國石化信息安全管理體系建設

申向陽

（作者系上海石油分公司副總經理）

企業(yè)信息化腳步越來越快，業(yè)務經營管理對信息系統(tǒng)的依賴性持續(xù)增強，加快建立健全企業(yè)信息安全管理體系成為一個突出的問題。

ISMS的現(xiàn)狀和問題

ISMS （Information Security ManagementSystem），即信息安全管理體系。中國石化作為一個大型能源化工企業(yè)，其供應鏈長、業(yè)務流程復雜、管理跨度大，包括電子商務、ERP、資金集中管理、加油卡等在內的信息管理系統(tǒng)種類繁多，或多或少存在著一些安全隱患。上市后，中國石化不斷推進信息安全管理體系建設，建立了內部控制管理制度、安全生產HSE管理體系、信息安全管理制度與辦法等，根據(jù)統(tǒng)一的方針原則整合了下屬各企業(yè)的信息化管理流程和體系，為建立管理統(tǒng)一、標準規(guī)范、評判科學的ISMS體系奠定了良好的基礎。但是應該看到，目前中國石化ISMS體系建設還處在起步和雛形階段，還沒有形成流程科學、標準規(guī)范、具體可操作的ISMS體系。沒有完整的ISMS體系，企業(yè)信息安全隱患和風險將時時威脅著企業(yè)日常生產經營管理，也勢必影響企業(yè)的持續(xù)發(fā)展和進步。

從總部層面看，一是在ISMS體系方面，還沒有建立完整的信息系統(tǒng)和系統(tǒng)信息安全隱患和風險的檢查、評價的管理方法和制度，現(xiàn)有的檢查、評判標準不統(tǒng)一、不全面、不具體。二是在管理職責方面，沒有完全理順業(yè)務部門與信息部門、上級管理部門與下級所屬企業(yè)之間信息安全工作的職責，存在多頭管理的現(xiàn)象以及信息安全管理的“灰色”地帶。三是對信息與業(yè)務的融合性重視不夠，缺乏循環(huán)往復、持續(xù)改進的意識。

從下屬企業(yè)層面看，一是在管理組織構架方面，內部信息安全組織不夠健全，監(jiān)督管理崗位設置不盡合理，不相容崗位之間存在“一人多崗”的現(xiàn)象，甚至存在系統(tǒng)開發(fā)人員、系統(tǒng)管理員、應用管理員和安全管理員四個角色由同一人擔任的情況；監(jiān)督管理職責不明確、不清晰，權限管理不到位。二是在系統(tǒng)權限管理和控制方面，由于缺乏完善有效的針對用戶權限分配的審核和審計機制，權限管理不符合最小授權和不相容的要求，使系統(tǒng)運行存在安全隱患。三是在實際工作中存在重視環(huán)境和技術的安全，輕視人員、資產、應用的安全問題，實際上難以實現(xiàn)全過程、全方位、全天候對信息系統(tǒng)和系統(tǒng)信息的安全狀況進行實時有效的監(jiān)督管理。

因此，按照國家信息安全的有關法律法規(guī)，立足中國石化信息化的業(yè)務特點和發(fā)展要求，本著重點突出、分級保護、內外結合，管理和技術并重的原則，從組織構架、人員管理、技術策略、項目實施和運維服務等方面著手，加快信息安全基礎設施建設，深化信息系統(tǒng)安全運行和系統(tǒng)信息安全管理，大力推進ISMS體系建設，是一項緊迫任務。

加快建立完善中國石化ISMS

中國石化應參照BS7799等國際先進管理標準，堅持既引入其精髓又保持自身特色的原則，結合企業(yè)原有的內部控制管理制度、安全生產HSE管理體系、信息安全管理制度與辦法等，高起點、高標準、高效率地加快推進ISMS體系建設。

1.以業(yè)務戰(zhàn)略為導向，統(tǒng)一設計ISMS規(guī)劃和框架。首先要緊密結合中國石化生產經營業(yè)務的發(fā)展需要，上中下游板塊的不同特點，確定信息資產的范圍、需要保護的程度、組織風險管理方法、控制目標與控制措施等內容，建立統(tǒng)一規(guī)劃設計、管理標準科學、分級實施執(zhí)行的ISMS體系。其次要體現(xiàn)“預防為主、防控結合”的思想，遵守國家、地方和企業(yè)等有關信息安全的法規(guī)制度，保護好企業(yè)關鍵性信息資產，確保信息的機密性、完整性和可用性。再者要統(tǒng)籌考慮投入成本費用與實施ISMS控制信息系統(tǒng)風險的能力的平衡關系，充分滿足全過程、全方位、全天候的監(jiān)督管理的目標和要求。

2.以提升管理為目標，配套建立ISMS組織和制度。一是要建立健全ISMS體系組織和機構，統(tǒng)一制定符合ISMS工作要求的協(xié)調機制、重大信息安全事件應急指揮流程。二是要發(fā)布相關制度和ISMS策略，科學、系統(tǒng)地指導信息安全風險評估和加固工作。三是要按照ISMS要求，重點抓好信息系統(tǒng)和系統(tǒng)信息的運行監(jiān)控和檢查考核工作。建立績效考核機制，提高ISMS的執(zhí)行力和執(zhí)行質量，真正確保ISMS體系的各項檢查、評判、整改標準和要求不折不扣地落到實處。

3.以安全防護為任務，加快提升ISMS設施和技術。堅持“同步設計、同步建設、同步運行”的原則，在應用系統(tǒng)的規(guī)劃和設計階段同步進行信息安全設計，實現(xiàn)業(yè)務、信息、數(shù)據(jù)、系統(tǒng)、網(wǎng)絡、用戶、終端多層次的安全保障。目前中國石化的信息安全基礎設施建設存在短板，主要表現(xiàn)在：一些超期服役的設備或系統(tǒng)仍在運行，一些安全防護和監(jiān)測設備在性能和功能上明顯不足，網(wǎng)絡準入、行為管理、文檔安全、內容監(jiān)控和審計等方面還有缺項，用戶統(tǒng)一管理、認證、授權平臺亟待加快建設，安全監(jiān)控與審計系統(tǒng)建設尚處于起步階段，總部和下屬企業(yè)的重要信息系統(tǒng)缺乏異地災備的能力，部分下屬企業(yè)的機房物理安全水平還不夠，在防火、防水、防潮、防雷、溫濕度控制等方面沒有達到國家有關物理安全標準等。為此，應進一步整合現(xiàn)有設備資源和網(wǎng)絡資源，強化基礎設施及運維平臺的建設和更新維護，持續(xù)完善公司網(wǎng)絡和系統(tǒng)架構，逐步提高信息基礎設施的可用性和安全性。在ISMS建設中，應重點突出信息系統(tǒng)和系統(tǒng)信息的安全防護和災備系統(tǒng)、安全等級保護、網(wǎng)絡準入控制系統(tǒng)和信息安全監(jiān)控和審計系統(tǒng)。

4.以運行維護為中心，逐步引入ISMS標準和工具。目前企業(yè)在用的信息系統(tǒng)存在較高的安全風險和安全隱患，必須高度重視信息安全運維工作，確保企業(yè)經營管理業(yè)務的連續(xù)性和信息系統(tǒng)的抗風險能力。在ISMS體系建設過程中，要提高信息系統(tǒng)應用企業(yè)的運行管理工作標準和要求，一是要構架統(tǒng)一管理的信息技術運行維護支持服務體系，明確各層級的工作職能和職責，重點要將ISMS內容和日常的信息系統(tǒng)維護工作結合起來，拓寬運行維護服務的內容，提升運行維護保障的功能。二是要通過進一步完善組織構架、落實人員、完善制度、規(guī)范標準、細化流程，實現(xiàn)自上而下的一體化運行運維工作。三是要建立定期發(fā)布ISMS工作簡報的機制，加強對重要應用系統(tǒng)進行定期數(shù)據(jù)備份和檢查工作。四是根據(jù)國際標準化的信息技術服務管理體系結構和流程，引入信息技術服務管理工具，保障企業(yè)信息系統(tǒng)穩(wěn)定、安全、高效運行，為企業(yè)生產經營、內部管理和持續(xù)發(fā)展提供更強更有效的技術支撐與服務。