程恺

摘要：近年来我国政务信息系统发生安全事件的情况逐渐增多，各级政府部门网络信息系统存在着信息安全风险。本文就如何建立一套能够有效针对信息安全风险进行预防和控制的管理技术体系进行论述。

关键词：党政机关;信息安全风险防控;体系建设

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2019）08-0174-02

1 体系建设目标

网络信息安全防控体系建设主要包括以下五个目标。一是规范全省系统网络信息安全风险防控工作;二是提升省厅与市局、县局之间的联动协调，强化省厅统一管控能力;三是打通县局、市局、省厅到国家部委及其他监管部门的多级报告和通报渠道;四是加强全省系统网络信息安全文化宣传工作;五是培养全省系统网络信息安全人才。

2 體系建设规划

规划建设以“1175”为主要内容的全省系统网络信息安全风险防控体系，即，一整套组织机构，一系列制度规范，七大管理机制以及五大技术措施。全省系统通过分层负责、分级实施，做到安全责任落实、过程控制落实、安全整改落实，解决“谁去落实，怎样落实，落实得怎么样”的问题。通过PDCA循环，持续改进提升网络信息安全风险防控水平、管理水平和运维水平，体系架构如图1所示。

3 风险防控策略

体系总体策略：积极预防、整体保护、分级分域、动态管理。

积极预防：在信息系统规划设计、开发建设、运行维护和停用废弃等各环节实行安全审核管理;加强对重要信息技术产品的漏洞和后门程序检查，定期开展安全测评、风险评估工作;完善容灾备份措施，健全应急保障队伍，开展应急演练，增强应急处置能力。

整体保护：按照相互关联、相互均衡的原则，在网络以及信息系统运行应用的各环节，全面部署防攻击、防病毒、防篡改、防瘫痪、防窃密等技术安全设施，并按照组件化、平台化、集成化技术路线进行整合，实现协同防御。

分级分域：根据信息系统运行安全需求，数据和信息内容安全需求，以及应用范围，确定信息系统的安全保护等级，划分信息系统运行环境的安全域，针对不同安全域制定相应的分项安全策略，实行等级保护。

动态管理：紧密跟踪行业信息化发展变化情况与网络安全攻防技术的发展状况，适时调整、完善和创新安全管理方法，持续提升、改进和强化技术防护手段，保证行业网络安全水平与行业信息化发展水平相适应。

在总体策略基础上，建立完善各分项策略。主要包括：物理安全策略、网络安全策略、系统安全策略、应用安全策略、数据安全策略、病毒防护策略、安全教育策略、信息系统备份与恢复策略、业务连续性策略、账号口令策略、安全审计策略、系统开发策略、人员安全策略等。

4 体系主要文件

体系建成后形成体系文件，作为体系运行的依据和准则。依据体系建设相关规范，建设包括组织架构、制度规范、管理机制、技术措施、记录表单等体系文件。除此之外，根据七大管理机制和五项技术措施建立相关补充文件，主要是用于指导具体工作实施的技术指南、操作手册等。

4.1 组织架构

建立包括领导机构、管理机构和执行机构，覆盖省、市、县三级机关的组织管理架构，分别制定三个层级相关岗位角色的职责说明，明确在风险防控体系中的职责。

通过构建多层多级的组织架构，推动网络信息安全风险防控体系的合理建设、高效运行以及持续改进。

4.2 制度规范

依据现有已发布或未发布的管理制度，主要是与信息安全风险防控相关的制度规范，并按照风险防控工作的要求查漏补缺，完善信息安全风险防控制度规范。

通过建立完善的制度规范，并将其落地执行，规范全省系统网络信息安全风险防控工作，实现防控工作制度化、规范化、标准化。

4.3 七大管理机制

4.3.1 风险识别机制

依据信息安全风险评估相关国家和地方标准，制定针对网络信息安全风险识别的管理工作机制。通过管理和技术手段确保全省系统存在的信息安全风险被有效识别，并将识别的风险作为体系防控的对象。

4.3.2 等级保护机制

依据等级保护相关国家标准和管理办法，建立全省系统网络信息系统依法依规开展等级保护的管理机制。将系统定级、系统备案、安全测评、安全整改、监督检查等相关工作要求形成工作机制，并形成相关记录表单格式。通过建立全省系统等级保护管理工作机制，可规范全系统等级保护工作的实施执行、督促和指导全省系统依法依规开展等级保护工作。

4.3.3 安全审查机制

建立全省网络信息安全审查管理工作机制，包括审查类型、审查对象、审查内容以及相关记录表单格式。通过开展定期和不定期的安全审查，指导和督促全省系统各业务条线，落实信息安全防控职责，严把安全关，确保“0”事件目标实现。

4.3.4 应急处置机制

建立以网络信息安全事件应急预案为基础的全省信息安全应急处置管理工作机制，包括检测预警、应急处置、应急保障和责任奖惩等内容。通过建立应急处置管理工作机制，可规范全省系统各种突发事件的应急处置规程，建立快速响应和应急处置机制，加强信息系统的应急管理，降低信息系统事件造成的损失和影响，尽快恢复业务系统的连续运行。

4.4 记录表单

根据制度规范、管理机制以及技术措施的实际运行需求，制定符合实际情况、合理有效的各项记录表单，作为体系落地运行的记录文件。

5 结语

综上所述，建立一套覆盖全省各级部门，以有力的组织架构和完善的制度规范为基础，执行各项管理机制以及技术措施的信息安全风险防控体系，能够有效的预防信息安全事件的发生，控制信息安全风险，提升党政机关信息安全防护水平。

Talking About the Construction of Information Security Risk Prevention and Control System in Party and Government Organs

CHENG Kai

（Jiangsu Electronic Information Products Quality Supervision Inspection Research Institute，Wuxi Jiangsu  214000）

Abstract：In recent years， the situation of security incidents in the government information system of our country has increased gradually，There are risks of information security in the network information system of government departments at all levels. This paper discusses how to establish a set of management technology system which can effectively prevent and control the risk of information security.

Key words：Party and government organs; Information security risk prevention and control; System construction