申向阳

（作者系上海石油分公司副总经理）

企业信息化脚步越来越快，业务经营管理对信息系统的依赖性持续增强，加快建立健全企业信息安全管理体系成为一个突出的问题。

ISMS的现状和问题

ISMS （Information Security ManagementSystem），即信息安全管理体系。中国石化作为一个大型能源化工企业，其供应链长、业务流程复杂、管理跨度大，包括电子商务、ERP、资金集中管理、加油卡等在内的信息管理系统种类繁多，或多或少存在着一些安全隐患。上市后，中国石化不断推进信息安全管理体系建设，建立了内部控制管理制度、安全生产HSE管理体系、信息安全管理制度与办法等，根据统一的方针原则整合了下属各企业的信息化管理流程和体系，为建立管理统一、标准规范、评判科学的ISMS体系奠定了良好的基础。但是应该看到，目前中国石化ISMS体系建设还处在起步和雏形阶段，还没有形成流程科学、标准规范、具体可操作的ISMS体系。没有完整的ISMS体系，企业信息安全隐患和风险将时时威胁着企业日常生产经营管理，也势必影响企业的持续发展和进步。

从总部层面看，一是在ISMS体系方面，还没有建立完整的信息系统和系统信息安全隐患和风险的检查、评价的管理方法和制度，现有的检查、评判标准不统一、不全面、不具体。二是在管理职责方面，没有完全理顺业务部门与信息部门、上级管理部门与下级所属企业之间信息安全工作的职责，存在多头管理的现象以及信息安全管理的“灰色”地带。三是对信息与业务的融合性重视不够，缺乏循环往复、持续改进的意识。

从下属企业层面看，一是在管理组织构架方面，内部信息安全组织不够健全，监督管理岗位设置不尽合理，不相容岗位之间存在“一人多岗”的现象，甚至存在系统开发人员、系统管理员、应用管理员和安全管理员四个角色由同一人担任的情况；监督管理职责不明确、不清晰，权限管理不到位。二是在系统权限管理和控制方面，由于缺乏完善有效的针对用户权限分配的审核和审计机制，权限管理不符合最小授权和不相容的要求，使系统运行存在安全隐患。三是在实际工作中存在重视环境和技术的安全，轻视人员、资产、应用的安全问题，实际上难以实现全过程、全方位、全天候对信息系统和系统信息的安全状况进行实时有效的监督管理。

因此，按照国家信息安全的有关法律法规，立足中国石化信息化的业务特点和发展要求，本着重点突出、分级保护、内外结合，管理和技术并重的原则，从组织构架、人员管理、技术策略、项目实施和运维服务等方面着手，加快信息安全基础设施建设，深化信息系统安全运行和系统信息安全管理，大力推进ISMS体系建设，是一项紧迫任务。

加快建立完善中国石化ISMS

中国石化应参照BS7799等国际先进管理标准，坚持既引入其精髓又保持自身特色的原则，结合企业原有的内部控制管理制度、安全生产HSE管理体系、信息安全管理制度与办法等，高起点、高标准、高效率地加快推进ISMS体系建设。

1.以业务战略为导向，统一设计ISMS规划和框架。首先要紧密结合中国石化生产经营业务的发展需要，上中下游板块的不同特点，确定信息资产的范围、需要保护的程度、组织风险管理方法、控制目标与控制措施等内容，建立统一规划设计、管理标准科学、分级实施执行的ISMS体系。其次要体现“预防为主、防控结合”的思想，遵守国家、地方和企业等有关信息安全的法规制度，保护好企业关键性信息资产，确保信息的机密性、完整性和可用性。再者要统筹考虑投入成本费用与实施ISMS控制信息系统风险的能力的平衡关系，充分满足全过程、全方位、全天候的监督管理的目标和要求。

2.以提升管理为目标，配套建立ISMS组织和制度。一是要建立健全ISMS体系组织和机构，统一制定符合ISMS工作要求的协调机制、重大信息安全事件应急指挥流程。二是要发布相关制度和ISMS策略，科学、系统地指导信息安全风险评估和加固工作。三是要按照ISMS要求，重点抓好信息系统和系统信息的运行监控和检查考核工作。建立绩效考核机制，提高ISMS的执行力和执行质量，真正确保ISMS体系的各项检查、评判、整改标准和要求不折不扣地落到实处。

3.以安全防护为任务，加快提升ISMS设施和技术。坚持“同步设计、同步建设、同步运行”的原则，在应用系统的规划和设计阶段同步进行信息安全设计，实现业务、信息、数据、系统、网络、用户、终端多层次的安全保障。目前中国石化的信息安全基础设施建设存在短板，主要表现在：一些超期服役的设备或系统仍在运行，一些安全防护和监测设备在性能和功能上明显不足，网络准入、行为管理、文档安全、内容监控和审计等方面还有缺项，用户统一管理、认证、授权平台亟待加快建设，安全监控与审计系统建设尚处于起步阶段，总部和下属企业的重要信息系统缺乏异地灾备的能力，部分下属企业的机房物理安全水平还不够，在防火、防水、防潮、防雷、温湿度控制等方面没有达到国家有关物理安全标准等。为此，应进一步整合现有设备资源和网络资源，强化基础设施及运维平台的建设和更新维护，持续完善公司网络和系统架构，逐步提高信息基础设施的可用性和安全性。在ISMS建设中，应重点突出信息系统和系统信息的安全防护和灾备系统、安全等级保护、网络准入控制系统和信息安全监控和审计系统。

4.以运行维护为中心，逐步引入ISMS标准和工具。目前企业在用的信息系统存在较高的安全风险和安全隐患，必须高度重视信息安全运维工作，确保企业经营管理业务的连续性和信息系统的抗风险能力。在ISMS体系建设过程中，要提高信息系统应用企业的运行管理工作标准和要求，一是要构架统一管理的信息技术运行维护支持服务体系，明确各层级的工作职能和职责，重点要将ISMS内容和日常的信息系统维护工作结合起来，拓宽运行维护服务的内容，提升运行维护保障的功能。二是要通过进一步完善组织构架、落实人员、完善制度、规范标准、细化流程，实现自上而下的一体化运行运维工作。三是要建立定期发布ISMS工作简报的机制，加强对重要应用系统进行定期数据备份和检查工作。四是根据国际标准化的信息技术服务管理体系结构和流程，引入信息技术服务管理工具，保障企业信息系统稳定、安全、高效运行，为企业生产经营、内部管理和持续发展提供更强更有效的技术支撑与服务。