◆陈庆民 邵扬

行业与应用安全

集团化企业网络信息安全管理体系规划与建设

◆陈庆民 邵扬

（上海医药集团股份有限公司 上海 200020）

信息技术的广泛应用和发展，对促进企业发展发挥了重要的作用。同时，随着信息化程度越来越高，信息安全问题也逐步凸现，配套的安全管理机制及安全制度建设却相对滞后，如何构建集团化企业网络信息安全管理体系成为急需解决的问题。本文通过现状调研和分析，提出上海医药网络信息安全管理体系的建设思路，并重点在网络信息安全组织体系、网络信息安全工作机制、网络信息安全制度体系三个方面进行了阐述。

网络信息安全；网络安全；管理体系

1 背景

随着企业信息化建设不断深入开展，信息安全问题日益凸显，信息安全和国家安全之间的关系日益紧密。为此，国家信息安全主管部门和各行业监管部门近年来陆续颁发了一系列与信息安全相关的法律、法规、要求和指导意见，用以推动和规范全社会信息安全建设。

2017年6月1日实施的《中华人民共和国网络安全法》，为互联网安全提供了切实的法律保障，同时也要求各企事业单位应承担起相应的法律责任和义务。近几年上海市委网信办、公安局网安大队等上级主管部门也陆续提出了各项自查、通报和安全承诺等要求，今后类似的各项保障任务将成为公司信息安全常态化工作，也将对信息安全的各项建设和保障工作提出更高的要求。

上海医药集团股份有限公司（以下简称“上海医药”）是沪港两地上市的大型医药产业集团，公司主营业务覆盖医药工业、分销与零售。随着上海医药信息化建设步伐的不断加快，特别是信息系统建设已全面融入集团化企业管理、生产和运营活动中，信息系统的安全、稳定、可靠运行直接影响到集团内部管理秩序及企业社会公众形象。信息安全已与建设安全、生产运营安全相互渗透、相互关联，信息安全的重要性日益凸显。

然而，在信息化程度越来越高的同时，上海医药作为一家国有大型医药集团企业，在企业管理方面已具备了一套成熟的理念与管理的方法，但在配套的信息安全管理机制及制度建设方面却相对滞后，尚未形成体系化的信息安全管理模式。信息安全管理组织的松散、职责分工的不明晰、管理目标及原则的不确定、制度规范的不健全都阻碍了信息安全管理工作的顺利开展。

因此无论从提升企业内部管理水平，促进企业生产、运营安全，还是从符合国家相关法律法规及相关监管部门的要求及提高对外部影响力与竞争力的角度出发，信息安全管理体系的建设对上海医药集团的信息化网络安全管理工作和企业的发展都有着十分重要的意义。

2 建设目标

结合上海医药集团现有的组织管理框架以及业务管理特点，建立一套有效的信息安全管理体系，该体系将实现以下目标：

（1）依据网络信息安全相关政策及标准要求，建立自上而下的信息安全决策、管理、执行以及监管的组织机构，明确各级机构的角色与职责，完善信息安全管理责任制；

（2）形成一套有效的信息安全管理工作机制；

（3）根据关键信息基础设施及网络安全等级保护相关制度，制定出指导集团各部门及下属单位实施安全管理活动的安全管理制度。

3 实施方案

我们主要分以下几个阶段进行：

3.1 调研阶段：

通过人员访谈、文档查阅等，深入调研了解上海医药集团当前的组织体系架构、业务体系架构、网络架构和信息安全管理的状况，并对照信息系统等级保护相关标准要求进行差距分析，找出差距与问题，为策划管理体系作参考。

3.2 策划阶段

结合现状及差距分析结果编制适合上海医药集团的网络信息安全管理体系建设方案，并听取内外部专家评审意见，形成最终的建设方案。

3.3 实施阶段

按照建设方案要求，依据等级保护相关标准及ISO 27001提供的最佳实践，逐步研究建立形成集团信息安全管理体系。

（1）研究组织、制度、管控模式之间的结合方式，编制信息安全管理组织责任体系、工作机制；

（2）研究编制集团整体信息安全管理策略；

（3）研究编制信息安全核心业务规范和标准。

3.4 检查阶段

在制度文件运行实施一定周期后，进行执行情况的检查，重点关注文件在适用性、有效性、充分性方面的问题，并进行汇总分析。

3.5 改进阶段

根据检查汇总的信息，组织修订完善相关文件。

4 建设成果

4.1 构建网络信息安全整体蓝图框架

基于上海医药定位与管理职能，从业务战略、组织管控、信息化建设、外部趋势四个层面，通过分析及评估上海医药网络信息安全现状，制定网络信息安全5年目标，蓝图框架可以分为三大领域，分别为：安全治理和管理体系、安全技术体系和安全运行体系。如图1：

图1 网络信息安全蓝图框架

4.2 网络信息安全组织体系建设

企业的网络信息安全管理组织机构决定了一个企业网络信息安全管理的水平，同时也是一个企业网络信息安全管理制度有效推动和执行的关键因素之一。上海医药集团旗下拥有二十几家直属单位，共有几百家企业，规模庞大，信息系统数量巨大，要管好整个集团的网络信息安全是件非常不容易的事情。

结合上海医药实际情况，依据《党委（党组）网络安全工作责任制要求》、《网络安全绩效标准（暂行）》、《网络安全等级保护条例（征求意见稿）》等政策要求，遵循决策集中、管理一体、执行统一的原则，建立信息安全管理组织，明确主管领导，落实责任单位，加强信息安全组织领导和管理，推动信息安全工作的开展，建立两级（集团级、部门及直属单位级）、三层（领导层负领导责任、管理层负管理责任、执行层负工作责任）信息安全责任体系。编制了《上海医药信息安全责任体系》，包括以下内容：总则、信息安全组织框架、信息安全组织工作职责、集团各部门信息安全职责、集团下属公司信息安全职责、外部供应商信息安全责任、信息安全责任制考核等。

公司设立网络信息安全管理委员会作为最高领导机构，该机构成员包括公司党委书记、信息化分管领导、公司总部各部门负责人及各直属单位负责人担任组员。

图2 网络信息安全管理组织

4.3 网络信息安全工作机制建设

为推进上海医药网络信息安全管理工作，需建立与之相适应的信息安全管理工作机制，主要包括：建立信息安全管理工作会议机制，由定期例会与不定期专项会议相结合；建立“层层上报，统一出口”、“例行汇报，一事一报”的信息通报机制，信息通报按轻重缓急程度分为日常安全信息通报及信息安全事件通报两类，对于日常安全信息的通报通过每年定期将相关信息集中汇报，由集团信息技术中心负责汇总，并总结分析；信息安全事件通报应一事一报，并应做到及时通报，第一时间报告相关职能管理机构，并得到及时响应与处置；建立监督检查机制，由日常监督、定期与不定期检查相结合，专项检查与全面检查相结合，自查与外部检查相结合，监督检查的内容应覆盖安全技术与安全管理；建立信息安全工作管理责任制考核，并列入集团工作绩效考核体系。

4.4 网络信息安全制度体系建设

参照国内外信息安全主流标准要求、等级保护体系及政策要求，结合上海医药现有制度及管理状况，建立自上而下的信息安全管理制度体系，形成信息安全制度汇编。从制度涉及的管理领域可分为制度管理、组织管理、人员管理、系统建设管理、系统运维管理五大方面。上海医药信息安全管理制度从层次上可分为三层结构：

（1）信息安全管理办法：描述信息安全管理范围、目标、依据、组织及责任体系及整体安全管理策略；

（2）信息安全管理规定：具体规定各项安全管理活动的职责和要求；

（3）信息安全管理细则或规程：安全管理活动和操作的具体规范和流程。

5 总结

经过上海医药网络信息安全管理体系的建设，不仅为上海医药的信息系统安全建设与日常管理提供指导和规范作用，也将为整个集团业务的快速发展提供有力的支撑。

[1]GB/T 22239-2019 信息安全技术网络安全等级保护基本要求.

[2]GB/T 22080-2016信息技术安全技术信息安全管理体系要求.

[3]GB/T20984-2007信息安全技术信息安全风险评估规范.

[4]《网络安全等级保护条例（征求意见稿）》.

[5]《网络安全绩效标准（暂行）》.

[6]《上海市网络安全事件应急预案》.

[7]《党委（党组）网络安全工作责任制实施办法》.