军工集团信息安全管理的实践与探索[修改版]

第一篇：军工集团信息安全管理的实践与探索军工集团信息安全管理的实践与探索李 笑 林王为中国航天科工集团公司信息管理中心摘要：本文在参考国内外信息安全管理标准和规章制度的基础上，结合本集团信息安全管理体

第一篇：军工集团信息安全管理的实践与探索 军工集团信息安全管理的实践与探索 李笑林王为 中国航天科工集团公司信息管理中心 摘要：本文在参考国内外信息安全管理标准和规章制度的基础上，结合本集团信息安全管理体系建设 实践经验， 从总体规划、组织体系、规章制度、日常监督管理等方面探讨军工集团的信息安全管理体系建设。关 键词：军工集团信息安全管理 1 ．引言 信息安全保障体系的建设主要有两个方面：信息安全技术保障体系和信息安全管理体系。军工集团对 信息系统的安全性有很高的要求，必须充分分析各类安全风险并采取技术措施解决，但同时由于信息安全 管理中人是决定因素，因此仅靠先进的信息安全技术和产品并不能完全保障信息系统的安全，只有建立有 效的信息安全管理体系，才能有效地降低安全风险，建立起长效机制。目前在集团公司内部，信息系统是 “” 由信息化管理部门负责规划、建设和维护的，本着谁主管，谁负责的原则，信息化管理部门承担了主要 的信息安全工作，本文是在参考国内外信息安全管理标准和规章制度的基础上，结合日常工作实践经验， 探讨军工集团的信息安全管理体系建设。 2 ．信息安全管理规划 信息安全工作首先应从总体规划开始，与信息化建设做到同步规划、同步设计、同步实施。我集团根 2000 据《国家信息化领导小组关于加强信息安全保障工作的意见》等有关部委的文件，从年起制定了一系 列的规章制度，要求集团各成员单位在编制信息系统建设方案时就结合本单位实际情况，同步规划、设计 涉密信息系统建设方案。在方案设计时就结合本单位实际情况进行安全风险分析，并确定技术措施，明确 必须采用取得国家主管部门认可资质的信息安全产品。建设方案经集团公司批准后，各单位在系统建设中 -1 - 必须同步建设涉密信息系统的安全设计方案。在各单位信息系 统正式运行前，都由上级单位信息化管理部门和保密部门共同到现场，从管理和技术两方面检查单位 的信息安全管理制度是否完善和落实，技防、物防的各项措施是否到位，检查通过并由集团公司保密委员 会批准后，系统才能正式运行。集团公司的信息化管理部门和保密部门每年均对各单位的信息系统进行远 程或现场安全检查，并通报检查结果，要求发现问题的单位限期整改。信息系统的规划、建设、维护全过 程都纳入集团信息安全管理体系，严格监督和管理。