为规范济宁市图书馆信息系统信息安全管理,促进信息网络安全建设规范化,提高信息系统安全防护能力,保障信息系统安全,根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)等有关政策文件精神和国家有关信息系统安全等级保护相关标准,结合济宁市图书馆实际情况,制定济宁市图书馆信息安全管理计划方案。落实信息安全管理方案,有利于加强济宁市图书馆信息安全风险管理水平,为信息化建设提供可控的安全风险管理架构、方法和保障机制,提高信息安全事件处置能力,保障信息化工作顺利开展。
济宁市图书馆信息系统信息安全,以保护济宁市图书馆信息系统资源不受侵害为目的,其信息安全体系框架由安全策略、安全组织、安全技术和安全实施四部分组成,以实现济宁市图书馆信息安全目标,信息安全体系各部分目标是:
1、信息安全策略工作目标:制定完善的信息安全管理制度和技术规范,并确保其有效发布、执行和更新,规范济宁市图书馆信息安全管理工作。
2、信息安全组织工作目标:建立健全信息安全组织,落实信息安全日常管理的各项工作。加强人员安全管理,为信息安全工作提供组织保障。
3、信息安全技术工作目标:采用适当的技术措施,加强业务和支撑系统的安全防护,为信息安全工作提供技术支撑。
4、信息安全实施工作目标:加强安全工作实施管理,维护业务系统安全运行,及时处置安全问题,为信息安全工作提供运行保障。
一、信息安全策略
为了对信息系统所属信息资产进行适当的安全保护,积极预防信息安全事件发生,降低信息安全事件影响,济宁市图书馆信息安全工作重点将集中在确保信息资产的可用性、完整性、保密性和可审查性。重点进行信息系统物理环境安全管理、信息资产分类管理、变更管理、业务连续性管理、信息安全事件管理、信息安全审查评估管理。
信息安全工作围绕济宁市图书馆业务开展,以风险管理为基础,在安全、效率和成本之间均衡考虑,租售工作相关性原则,最小授权原则和审批、受控原则,逐级负责,全员参与,专人管理。
确保信息系统的物理环境安全,避免机房、办公区域受到人为非法访问、破坏和干扰。济宁市图书馆信息系统机房物理环境要求:在机房内部应配备门禁、防雷、防盗、防火、监控、报警等保护措施,应建立重要设备和供电系统的应急备份系统,外部人员进出和设备进出应进行严格的申请、审批和记录,存储介质的使用必须进行授权并记录,根据设备及其运行系统的重要程度,将设备放置到相应级别控制区域。明确信息资产管理责任,并对信息资产进行分类、清点、标识,评估、记录,为以后的发展规划及安全方案设计等奠定良好基础。信息资产必须进行登记,并指定信息资产责任人。信息资产责任人负责资产的安全与维护,根据信息重要性和敏感程度、信息泄露后可能的影响以及信息允许扩散范围来对信息进行安全等级划分。根据信息安全等级,明确其相应的控制措施。
业务连续性管理是为了减少业务中断,防止关键业务在运行过程中受到重大安全事故或自然灾害影响,确保其在受损情况下能够及时恢复。根据业务重要程度和优先级制订灾难恢复计划,对关键业务系统要建立异地灾难备份系统,根据业务关键程度确定灾备等级。
信息安全事件管理:安全事件是指所有信息安全相关的事件,如计算机、网络设备和安全设备的硬件、软件、数据出现设备故障,或者偶然的、恶意的原因而使信息遭到破坏、更改、泄漏,或导致信息系统不能正常运行的事件。确保信息系统相关信息安全事件能够被及时发现和处置。信息安全执行小组和各类管理员负责信息安全事件的判断,向信息安全领导小组提交报告和安全事件应急响应流程的启动申请,经信息安全领导小组授权,启动安全事件应急响应流程。
信息安全审查评估管理系统在建设过程中应做好安全设计,防止出现因应用程序的漏洞或信息的明文传输等问题给应用系统带来安全风险。指定和授权专门的部门对信息系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划;根据信息系统的等级划分情况,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。
二、信息安全组织
济宁市图书馆信息安全组织由信息安全领导小组和信息安全执行小组组成。信息安全领导小组负责制定信息安全方针,审查和核准信息安全策略以及总体职责,审核批准重大的信息安全活动。信息安全领导小组每年组织信息安全全面检查工作,结合定期风险评估结果,检查内容包括信息系统各项安全防护措施的有效性、各类安全防护技术手段的配置是否符合信息安全策略要求、信息安全管理制度的落实情况、信息系统当前的安全态势,明确存在的主要问题及后续整改措施。安全检查的具体工作由信息安全执行小组负责开展。
信息安全执行小组负责遵照本制度推行各项信息安全具体工作任务,负责组织信息安全工作会议,组织信息安全培训和宣传,组织制订信息安全制度规范及年度规划,与执法部门、管理部门、信息安全服务供应商以及其他相关供应商建立合作关系,以保证在发生信息安全事件时,能迅速采取行动和获得帮助。识别保证信息系统安全运行的安全管理需求,制定信息安全技术策略和流程并执行,配合信息安全监控与审计以及信息安全事件调查,向信息安全领导小组提供适当的安全控制措施建议。
三、安全技术
为确保信息系统软硬件正常和安全运行,将系统故障风险降低到最小,信息系统必须统一部署防病毒软件,并通过专用防病毒服务器统一进行定期升级,必须对系统操作人员的操作行为进行日志记录,包括业务系统用户和运行维护人员。网络设备安装、配置、变更等操作必须经过运维工作负责领导审批,重大变更、设备撤销等事项须经信息安全领导小组审批。
设置信息系统安全监控管理中,建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。对网络监控,网络监控主要包括流量异常监控和入侵攻击监控,通过流量监控,识别网络中数据流类型和内容,从中发现是否有违反安全策略行为和被攻击迹象,同时根据协议类型分析当前数据趋势,帮助分析网络状况,避免大规模病毒爆发。对来自内外部网络的用户访问进行监控,识别非法入侵和违规行为。
设置主机监控,主机监控主要包括主机系统信息监控、主机重要文件和资源监控、主机网络连接监控、主机系统进程监控。对主机系统配置信息和运行情况进行监控,包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用率、硬盘容量等。对主机重要文件及其使用情况进行监控。
实施数据库监控,数据库监控包括数据库读写速度、数据库空间使用率、对数据库操作行为和数据库用户登录行为监控。
对应用系统监控,应用系统监控主要包括应用进程监控、应用异常监控、应用网络连接监控,监控应用进程占用的资源量,如CPU、内存使用率等,监控应用进程异常中止、应用异常连接,监控应用的各种网络连接,对应用系统发送与接受的信息内容进行监控。
四、安全实施
设置安全事件管理方案,确保信息安全事件能够准确、快速地通报并及时、妥善处置。
设置安全运维管理组织,负责济宁市图书馆信息系统的日常安全运维和信息安全管理工作,组织运维工作人员对安全运维管理制度合理性和适用性进行审定。安全运维管理组织由信息安全执行小组成员组成,对信息安全领导小组负责。设置安全管理员负责信息安全日常执行工作,信息安全工作协调以及信息安全控制策略的制定、执行、检查。系统管理员负责主机操作系统维护管理等工作。安全审计员负责信息安全管理内审,定期或不定期根据相应信息安全策略对安全设备、网络设备、主机、数据库、终端、防病毒系统等进行审计与检查,将审计结果上报给运维管理小组,对信息安全策略执行情况进行审计与检查,并将审计或检查的结果上报运维管理小组。
建立应急响应管理制度,提高网络及业务系统在发生严重和重大信息安全事件时有效的运行能力。为了确保对事件的处置工作进行统一指挥,统一协调而成立应急响应组织,由应急指挥中心、应急管理小组、应急技术小组和快速反应通道组成。应急指挥中心由运维管理小组组成,负责重大信息安全事件的应急指挥、决策和资源保障工作。应急管理小组是由各信息系统的运维工作分管领导组成,负责重大信息安全事件的协调管理和严重安全事件的直接管理。应急技术小组是由运维部门各相关管理员组成,其主要负责重大信息安全事件中技术问题的处理。快速反应通道是指各业务系统产品厂商、集成商以及专业的安全厂商,主要负责具体设备、系统以及安全问题的处置。组织制定应急预案,并定期培训、审查、修改完善和定期演练,以确保应急预案的可操作性和适用性。
规范信息系统数据备份和恢复管理,信息系统备份包括网络设备层备份、操作系统层备份、数据库层备份和应用系统层备份,每周对网络设备和数据库运行产生的日志文件进行备份。根据信息系统的数据备份方法,可以分为完全备份、增量备份和差异备份,应根据实际需要选择适当的备份方式并明确备份作业计划。按照信息系统的实际情况制定详细的备份作业计划,包括日备份、周备份、月结备份、年结备份和可预见的临时备份、备份文件名的命名规则。
如今信息安全至关重要,规范化的管理方案确保信息安全,信息管理系统的规范化建设势在必行。
济宁市图书馆
2021年12月8日
