编者按 在近日中国航天科工集团公司召开的2010年信息化工作座谈会上,四院交流、介绍的信息化工作经验引起了集团公司及与会兄弟单位的广泛关注,尤其是四院关于信息安全审计工作的积极探索成为兄弟单位争相交流的热点。本网特刊发四院信息化工作经验,供读者参考。
本网专稿
航天科工四院:信息安全审计筑起信息安全的“防火墙”
定岗定员,率先迈出信息安全审计第一步
目前,信息安全审计对集团公司乃至整个航天系统来说,都还是个新兴事物,受限于国内企业的信息化水平,在国内也很难找到成体系的审计知识。但是,随着科技信息技术的发展,大部分的企业、机构和组织的内部重要信息都在信息系统上运行。因此,信息系统是否能保证信息的安全,维护数据的完整就显得尤为重要。尤其对航天企业来说,信息系统的安全还关系着国家秘密的安全,直接影响着国家的根本利益。
为了将集团公司对涉密信息系统分级保护的要求落到实处,从信息技术角度确保国家秘密的绝对安全,在院领导的支持下,四院在没有先例可借鉴,没有成熟技术可使用的情况下,在集团公司内率先开展了信息安全审计工作的探索。2009年9月,四院单独设立了信息安全审计员岗位,并配备了与该岗位要求相适应的技能人员。2010年10月,四院以下发文件的形式明确了机关涉密信息系统三员各自的工作职责以及相互之间的配合关系,从而将安全审计员的职责与系统管理员、安全保密管理员的职责区别开来,确定了信息安全审计的地位,为信息安全审计工作的开展奠定了基础。
安全审计,筑起信息安全的“防火墙”
人员的到位与职责的明确确保了工作的有效开展。紧接着,四院在机关内部对部分信息安全系统进行了改造和完善,为信息安全审计工作的开展创造了相应的技术条件。2009年年底,利用两个月的时间,四院首先在机关内部开展了安全审计的初步尝试,对入侵检测、防病毒等六个信息安全系统进行了安全审计,形成了审计报告,并对审计出现的问题进行了闭环管理。在对院机关审计的基础上,今年年初,四院进行了全院的涉秘信息系统安全审计,及时发现并处理了院属单位的信息安全隐患,为全院涉秘信息系统筑起了一道安全的“防火墙”。
政策保证,引领安全审计工作走向规范
在对信息安全审计工作初步探索,取得初步经验的基础上,四院先后出台了《中国航天科工集团第四研究院涉密信息系统审计管理办法(暂行)》和《中国航天科工集团第四研究院涉密信息系统安全审计实施细则(暂行)》,明确了信息安全审计的责任部门和责任人,信息安全审计的主要内容,信息安全审计的实施过程等,进一步保证了信息安全审计工作的制度化、规范化。
通过信息安全审计工作的开展,四院进一步提高了对全院信息安全的管控能力,做到对全院信息安全状况了然于胸,从而有力地保障了以科研生产为中心的各项工作的顺利进行。(文/李晶宜)
(责任编辑:孙建平)
| |
