信息安全管理体系认证,关系到公司业务拓展和客户信息安全,北京美络克思科技有限公司经过国家工信部批准,于2013年开始建立及运行信息安全体系,到目前为止,已通过信息安全保密认证,获得信息安全保密资质,致使本公司在具有高新技术企业资质、ISO9001质量体系等认证的基础上增加了新内容,与客户构建起信息安全的有效壁垒和屏障。
一、追求完美 永不停留
北京美络克思科技有限公司创建于1999年,2010年收购飞狐灵通档案软件公司,是中国协同移动办公的开创企业。经过十几年的艰苦奋斗,目前已发展成为专门从事OA自动化办公、数字档案馆系统等软件开发与研制的劳动密集型企业,同时具备数字化加工与服务、计算机系统集成、自动化设备研发和档案业务咨询一条龙作业的综合性公司构架。为确保客户信息安全和公司商业秘密,公司于2013年下半年开始投入大量的人力、物力和财力,建立起公司信息安全管理体系,并在试运行中狠抓管理关键点,不断强化基础工作,对信息资产反复进行识别,在识别的基础上针对易暴漏的薄弱点进行分析,采取必要措施降低各种风险,将所有信息资产风险降至可控状态。
二、目标明确 逐级承载
公司确立了信息安全保密总目标,向客户公开承诺:不发生客户信息和数据泄露事故;确保公司信息系统有效运转不中断;确保互联网、通信、交付传输的过程中各种信息的安全;确保各类数据在存储、处理和传输中不向非授权用户暴露;确保重要数据备份符合国家规范和要求。
信息安全保密总目标确立后,针对管理职能将总目标分解到各中心及职能部门,各中心和职能部门根据岗位落实到具体员工。按照信息安全保密工作“谁主管、谁负责,谁使用、谁负责”的原则,公司确定部门负责人是信息安全保密主要责任人,负全责。同时,比照公司信息安全保密权限,建立了信息安全保密专项岗位职责,职责范围覆盖公司管理层、中间执行层和重要部位操作层,将信息安全保密条款列入到全员、全岗、全责之中。
三、建立适合本公司信息安全管理的体系文件
信息安全体系文件是信息安全体系周而复始运行的依据,公司按照GB/T22080-2008/ISO/IEC27001:2005标准,结合公司具体情况编制了信息安全《手册》和《 适应性声明》一级文件,规定了公司信息安全方针、覆盖的范围、实现的目标,并描述了信息安全活动管理的关键点。
公司确立的二级体系文件管理程序20个,将信安工作管理结点形成程序并落实到主责部门,每个程序均划定了管理内容和权限。三级作业文件制定了27个,对应程序确立操作规程,使一级纲领性文件和二级程序文件的要求落到实处。内容从信息资产分类识别、到信息资产的备份、访问和储存介质的申报、审批、处置管理,从员工入职签订的保密协议、在职期间履行的信息安全保密职责,到离职签署的保密承诺,从外来人员的管理监督检查,到生产线关键部位人员门禁卡管理等。
在管理程序、作业文件执行中产生的真实记录,形成表单共计60多个。包括体系文件程序运行记录、日常工作中的文件打印、复印、传真记录,特殊情况下的领导授权、各种载体领用归还记录,保密协议和离职承诺书、客户信息备份及交接等。记录表单的选用坚持公司原有的并符合标准要求的就纳入,没有的就按要求补充,既达到控制的目的,又兼顾公司工作的连续性。
四、思想到位 组织落实
信息安全管理体系的建立关乎到企业的生存与发展,公司领导层牢固树立了国家利益高于一切,客户、公司信息安全保密重如泰山的理念。为确保信息安全的保密性、 完整性、可用性和可追责性,公司建立了信息安全保密领导小组,总经理任组长,两位副总经理任副组长,其他副总及各部门负责人为领导小组成员。公司成立了信息安全保密办公室,指定专人负责此项工作。各部门均明确了部门负责人和信息安全保密员,选定了11名内部审核员。
公司领导高度重视,多次召开会议研究信安问题,认真落实并及时解决信安体系实施中所需经费、设备购置及人员落实等。公司采取内聘外请专家相结合的形式,针对不同对象举办高层领导及骨干人员参加的信安知识培训,举办了信息安全保密知识答卷予以测验其培训结果,全员参与率达百分之百。公司内部已形成信息安全保密管理组织网络,建立了信息安全保密队伍,为信息安全保密工作的持续开展和长效机制奠定了基础,提供了组织和人员保障。
五、强化实施 措施得力
信息安全体系的建立力求切合实际,在磨合的实践中得到检验,在运行中不断提高和完善。
5.1构建办公区域安全周边环境
公司强化了工作区域安全,新购置了服务器、涉密专用计算机、摆渡机、UPS电源、铁质电子密码柜、纸质粉碎机;办公区域分别设置了人像识别门禁系统和电视录像监控设备;各工作场所张贴了信息安全警示标语;数字化加工现场安全保密等制度完备;同时,根据安全区域警示图,制定了重要、一般、公开安全区域三级管控制。拟定了应急预案并实施了防火、电源安全等应急演练;协同物业公司对消防器材等设备设施进行了普遍的检查、维护。这一系列措施的实施,堵塞了安全区域防范工作漏洞,减少了环境不安全因素,降低了环境不安全造成隐患的机率。
5.2强化信息网络安全环境
网络安全是公司信息安全工作的关键之一,涉密及敏感性信息不能让其他人非法访问,用户使用必须公司授权。为此,公司实施了内、外网分开管理、使用。全公司对外网机统一指定、统一设置、统一管理。
公司统一发布实施了计算机“八条禁令”,统一设置计算机屏保,重新设置了计算机密码。研发中心设立内部局域网,与外网机实施分离,信息交换通过摆渡机。系统管理员、信息安全保密员及录入员密钥把控,分别授权,各负其责。内网和外网分开,在内部防止敏感信息外泄,在外部防止未授权访问及恶意密码病毒侵害。同时制定了信息备份管理规定,对客户信息和公司产品及研发项目信息及内部受控信息数据,实施系统的备份制管理,防止误操作等其它因素致使数据丢失。
5.3资产识别到位 风险控制准确
所谓信息资产,是企业拥有或者控制的能够为企业带来经济利益的信息资源。公司将信息资产分为数据、物理、软件、人力、服务及无形资产等六类,资产识别的范围覆盖公司信息安全的各要求,符合法律法规要求和客户合同要求。
信息资产识别的工作流程,首先识别各种资产的重要程度,分析风险容易暴漏的薄弱点、确认接收的风险级别,对每项信息资产进行风险计算、评估和赋值,如果按照赋值公式得出的风险值高于可接受风险,继续进行分析评估、计算和采取措施降低风险,直至降为可接受的风险之内。信息资产计算和评估的过程,即是采取预防措施的过程。
六、实行闭环管理 确保业务连续性
信息资产是信息安全风险管控的主要对象, 按照公司信息安全保密管理体系的要求,公司对信息安全保密管理体系建立并运行的情况进行了首次内审,对内审不合格项进行了整改,针对不合格项采取了相应的纠正措施,其结果作为管理评审的输入文件进行管理评审。在整改过程中,信息安全保密领导小组召开相关部门及岗位人员会议,针对专家提出的问题进行全面梳理,举一反三确立措施,为建立长效管理机制实施规范管理。
6.1设备、软件及系统检测、验收趋于常态化:凡新购置设备设施、软件及系统,均进行可研分析,提出策略,多方案选优,签订合同。厂家到货后组织相关的使用部门、管理部门履行测试、验收和试运行,履行签字确认手续后,由公司主管副总签字。
6.2网络及系统管理权限明晰到具体岗位:公司进一步明确了行政部网络管理人员的职责及分工,明确了研发中心等使用部门安全员、操作员的职责。在公司形成系统管理员、安全员、信息录入员各负其责、互相监督的格局,为确保信息安全和系统连续性运行奠定可靠的基础。
6.3识别公司资产 范围覆盖到位:信息资产是信息安全体系建立的基准点,信息安全的一切活动,均围绕信息安全及信息资产做文章。公司各部门对信息资产进一步进行全面整合,追加了相关资产识别项,丰富及填充了《资产清单》。
总之,信息资产是信息安全体系建立的基准点,信息安全体系文件是信息安全体系周而复始运行的规则,信息安全的一切活动,均围绕信息资产做文章。公司在信息安全体系运作中,尝试了文件化、程序化、制度化和记录表单模板化的管理模式 ,强化了公司信息安全保密工作的力度,全体员工树立起信息安全保密意识,初步掌握了规避信息安全风险的能力。信息安全保密工作任重而道远,公司将在继承中发展,在改革中创新,在加强中提高,在学习中不断完善!
京公网安备 11010502046270