自2003年等级保护制度被列入国务院《关于加强信息安全保障工作的意见》以来,特别是最近四、五年,以*部牵头、相关部委配合的等级保护工作在全国范围内逐步开展起来。保险、电力、水利、证券、广电、税务等诸多行业主管部门分别制订了本行业的等保要求,在行业内推广落实;国资委2010年发布了《关于进一步推进*企业等级保护工作的通知》,把信息安全等级保护工作情况纳入信息化水平评价考核体系。由此可以看出,对于重点行业和大型企业等级保护工作已经是箭在弦上、迫在眉睫的事情了。
然而,对于集团企业(如央企)或行业单位(如电力、国税、地税等)这些大型组织开展等保工作和一般组织有很大的不同。其特点是,覆盖面广、单位众多,有的集团公司下属企业还是集团公司,大大小小加起来可能有几百个单位,而且这些企业信息化水平不一、人员能力也参差不齐,在整个集团内推进等保工作的难度确实比在一个组织内部开展等保要大得多。
所以,集团企业或行业单位主管部门领导又多了一项难以应付的“麻烦”工作。尤其是等保工作不是一次性就能完成的,等保是常态化工作(以后新系统要按照等保要求建设,二级以上系统都要备案,三级以上系统每年都要接受测评检查),随着监管力度越来越大,下属单位备案和测评检查都通不过,那个时候真正的“麻烦”就来了。换一个角度去看,既然一定要完成这个工作,那还不如开始就扎扎实实把这个工作做好,同时借助等保这个推手还可以促进信息安全相关工作的开展,提高信息化部门的地位和威信。
那么,如何在大型组织内落实等级保护呢?有些集团企业或行业单位主管部门领导认为,只要向下发文要求所属下级单位按照等保要求做就可以了。但实际上远没有那么简单。因为多数的下属单位不了解甚至不知道等保是什么,要想把等保这件事在集团或行业内部真正推动起来,光靠发文是远远不够的。作为集团或行业主管单位,不但要告诉下属单位为什么要做(必要性),更重要的是,还要在过程中给予必要的指导,告诉怎么做(方法),并行使主管部门监督检查的职责,推动下属单位落实。这就是常说的集团或行业主管单位对下级各单位的监督、检查、指导工作。
在为大型组织提供信息安全与等级保护咨询服务的过程中,通过与一些主管领导交流,我们发现,大家在如何开展工作方面思路时候比较清晰的,可以概括性总结为提要求—>培训指导—>监督落实—>效果呈现—>定期检查。只是在这个过程中有一些环节他们感觉难以落实,例如:培训指导,自己本身的能力不足,培训几次效果也不明显,如何保证在整个组织范围内统一实施流程和方法?监督落实,之前的监督工作基本都是靠上报,一方面不是很及时,另一方面报上来的和实际情况可能不一样怎么办,如何有效监督?效果呈现,以前做了很多基础工作,费了很多的力气,但是看不到明显的工作成绩和效果,如果展示等保工作成绩?定期检查,等保既然是常态化的工作,要想做好离不开相关检查,在人员数量、精力和能力有限的情况下,通过什么能够使检查工作变得简单,容易开展?正是基于这些问题和需求,我们在“GooAnn-等级保护合规系统企业版”基础上开发了“GooAnn-等级保护合规系统集团版”(以下简称“集团版系统”),有针对性地帮助大型组织解决以上问题。以下就这几个方面来阐述我们是如何切实帮助相关人员在集团或行业范围内落实等保工作的。
一、培训指导
我们在一个大型组织做项目时,曾经进行过等级保护相关的培训指导。培训中,发现各单位人员能力水平不一,大部分对等保都不了解,不是培训几次就能够解决的,而这也是集团公司主管部门领导比较头疼的一件事情。那么,如何在整个集团公司上百个单位内保证统一行动统一方法,既能够快速开展工作,又能够降低对人员能力要求呢?在我们的“集团版系统”中涵盖了基础数据—>定级备案—>差距评估—>整改规划—>整改落实—>测评管理—>系统废止整个等保建设和运行过程,各单位只需依照流程并参考系统知识库就可以开展等保工作。在知识库方面包括了等级保护政策标准库、安全要求指标库、安全实践参考库、安全技术方案库、安全管理制度库、安全整改方案库、安全配置库等。通过这个系统能够极大程度降低对于人员能力的要求,同时系统具有继承、分析、汇总、归纳的功能,且在各个阶段能够自动给出相应报告,这样能够极大的提高相关人员的工作效率,并能够确保在整个组织内使用相同的方法论。系统还提供迎检测评的证据库,能够帮助整个组织提高测评通过率。另外,对于等保工作开展较好的单位,可以通过授权让其他单位通过系统看到他们是如何做的,相当于设立了一个标杆,供各单位学习参考。
二、监督落实
在大型组织中监督落实工作是最难的,信息收集汇总要么是靠下属单位上报,数据不及时、效率低下;要么是主管单位下去搜集,费时费力成本很高。等级保护建设要靠各个单位自己落实,那么各个单位整改任务的进展如何?如何能够跟踪、汇总、及时掌握各个组织范围内整改任务的落实情况?通过“集团版系统”,主管单位能够实时看到各个单位实际等保建设的进展状态,包括:定级备案情况、差距评估详细状态、整改任务规划、整改任务完成情况、测评情况等,这样就能根据组织制定的整体等保工作的时间安排,适时地履行监督职能。
三、效果展示
在大型组织内开展等保工作,需要组织从上到下人、财、物能各个方面的投入。在等保建设阶段完成后,要能够清晰有效的向领导展示等保建设的相关工作成果,如:当前整个组织信息系统的合规状态、整改前后的对比情况等。让组织领导能够清楚地知道用于等保的投入都花在哪里了,目前取得了哪些成绩,达到了什么状态,下一步要做什么,等等。在“集团版系统”中,所有这些信息全部自动进行搜集、分析、统计,并且通过各种图表进行展示,从整个集团整体建设情况,到每个具体单位的详细情况,不需要任何额外工作,就能够清晰展示主管单位的工作成绩。
四、定期检查
在等级保护建设完成进入常态化运行阶段后,大型组织的主管部门要对下属单位等保工作进行定期检查,首先就要明确都检查什么?我们的建议是抓大放小,检查一些关键点。例如:通过“集团版系统”可以检查到,新系统备案、定级变更、系统废弃情况;每年进行系统自测评情况、与上一次对比是否有提高;整改计划执行情况;三级系统测评结果等,这些在“集团版系统”内可以做到实时进行检查。不但可以看到汇总的情况,点击进入每个单位可以看到定级备案、差距分析、整改落实、测评结果具体过程与细节。
另外,建议每年轮流从各下属单位抽调相关人员成立检查组,可以先在“集团版系统”内对于两三个单位等保工作情况进行详细检查,然后在对其进行实地检查并与系统内情况对比是否一致,一方面通过检查提高检查人员的能力,另一方面也避免下属单位存在侥幸心理,对于检查结果在组织范围内进行通报,做到粗细结合确保等保工作得到切实落实。
随着信息安全管理工作的逐步深入,有关单位的等级保护合规要求也逐步提高。通过信息化手段能够有效的帮助集团企业和行业单位对下属各单位进行等级保护的监督、检查、指导工作,实现信息安全和等级保护工作的常态化开展,在满足合规要求的同时,切实提高组织的信息安全管理水平。
谷安天下——您身边的IT风险管理专家!