一、方案背景
随着信息技术的快速发展和信息化的深入应用,我国各级政府也在大力推动电子政务发展,信息化已经成为各级政府履行政府职能、增强执政能力和提高服务水平不可或缺的重要手段,而信息安全又是电子政务顺利完成的重要保障。
电子政务信息安全建设长期以来侧重于安全技术方面的投资,如购置和部署防病毒、入侵检测等设施,虽然安全技术设施日益完善,但还总是发生信息安全事件,如操作失误致使服务器宕机、安全意识薄弱致使机密信息泄漏、工作人员越权访问等等,导致重要业务中断从而无法履行政府职能,给政府部门造成较大负面影响,甚至影响社会稳定和国家安全。
究其原因,是因为各级政府部门没有制定完善的信息安全策略和制度,没有建立合理的信息安全管理组织,没有针对性的信息安全培训等,总之,没有体系化的信息安全管理机制,导致政府部门在信息安全管理过程中的无章可循、人员安全意识薄弱、操作不规范等,导致信息安全事件频繁发生。
ISO27001源于众多政府部门、企业的信息安全管理成功实践,作为信息安全管理领域的权威标准,可为管理层提供一整套可供裁剪的安全管理措施,同时是信息安全负责人与组织高层进行沟通的共同语言,该标准并且在2008年被等同采用为我国的国家标准,可根据该标准帮助政府部门建立起符合自身特点的信息安全管理体系,整体提高信息安全水平。
二、方案内容
BJCA长期为我国各级政府部门提供专业安全服务,对政府行业网络和系统结构以及业务特点有着深刻理解。政府行业信息安全管理体系将遵照我国信息安全保障政策,参考信息安全等级保护标准规范,依据全球信息安全管理最佳实践标准ISO27001,为政府部门建立起文件化的、能够持续改进的、符合政府行业特点的信息安全管理体系,不断完善政府部门信息安全保障机制。
政府行业信息安全管理体系基本建设过程和内容如下图所示。
政府行业信息安全管理体系建设过程描述
1、现状调研:对政府部门主要业务及其流程、服务对象和范围、信息安全组织结构以及网络和系统情况等进行调研;
2、差距分析和风险评估:基于信息系统安全等级,依据我国等级保护技术标准进行差距分析,查找信息系统安全防护现状与相应等级技术标准之间的差距,并进行风险评估,深入挖掘政府部门在技术和管理方面存在的漏洞;
3、风险分析:对政府部门在安全技术、安全策略以及组织结构等方面的风险进行分析;
4、选择风险策略:根据我国信息安全等级保护政策要求、政府行业相关规定,选择风险的处置方式;
5、策划信息安全管理体系:根据风险评估结果和风险处置策略,充分结合政府部门业务特点,整体策划信息安全管理体系;
6、建立信息安全管理体系:编制信息安全管理体系文件、建立信息安全管理组织、落实安全技术体系等;
7、信息安全管理体系运行:全面执行体系文件,并持续改进管理体系。
三、方案特点
BJCA政府行业信息安全管理体系咨询服务具有如下优势和特点。
1、承担我国政府部门多个信息安全管理体系(ISMS)试点项目,引领政府行业信息安全管理咨询发展趋势;
2、长期为我国政府部门提供专业安全服务,对政府部门业务特点和安全需求有着深刻理解,信息安全管理体系具有较强的针对性和良好的可操作性;
3、融合信息安全等级保护保障体系和信息安全管理体系,重点资产重点保护,满足政府部门自身安全需求,并符合我国信息安全等级保护政策法规;
4、符合国际信息安全管理体系标准以及我国信息安全管理国家标准;
5、拥有专门从事信息安全咨询的服务人员100多人,是为政府部门提供高质量管理咨询服务的重要保障;
6、大量政府行业信息安全管理体系项目建设实践经验,已经形成完整的体系化的方法论。
四、客户收益
BJCA政府行业信息安全管理体系咨询服务能为客户带来如下收益。
1、提升政府部门声誉以及公众对政府部门的信任度;
2、减少信息安全事件,降低由此给政府部门带来的经济损失和负面影响;
3、符合我国信息安全等级保护政策法规和技术要求,规避信息安全责任;
4、指导政府部门信息安全建设,建立健全信息安全组织结构和策略体系,强化工作人员信息安全意识,规范信息安全行为,促进安全管理协作,建立信息安全长久机制。