关于信息系统安全等级保护与项目管理的深入探究
2022-02-21张晓娟
张晓娟
摘要:信息化工程建设主要包含企业网络信息基础配套设施体系建设和企业信息安全体系建设。目前,随着我国深入推进建设国家信息化工程,信息安全愈发得到企业重视。等级保护指的也就是对于信息安全不同等级的保护,即对电子信息和其他信息应用载体按照信息重要性不同别进行安全保护,等级保护是很多发达国家都普遍存在的一种用于信息安全应用领域的保护工作。本文基于上海市徐汇区血液管理办公室信息安全等级保护,对信息系统安全等级保护进行了分析。
关键词:等级保护;信息系统;项目管理
随着信息化飞速发展,使得医疗机构运作模式逐渐由传统医疗转向现代化医疗,目前,上海市徐汇区血液管理办公室信息安全建设趋于完善,信息系统安全配置逐渐到位,用户鉴别、病毒防杀、设备冗余、数据备份技术逐渐成熟,相关安全管理制度及安全人员培训逐步到位,信息系统的安全防护能力也逐年上升。
一、信息系统安全等级保护及其重要性分析
(一)信息系统安全等级保护
医疗领域信息安全等级根据信息系统在遭到他人严重破坏后造成的危害程度,将有关国家网络信息系统保护级别由低到高分为自主保护、指导保护、监督保护、强制保护、专控保护5个等级,信息安全包括技术与管理两方面。
(二)重要性分析
国家信息安全水平高低,直接关系着整个国家的人民安全、社会治安稳定和全民利益。其核心在于系统安全、建设、采集管理和保护监督。做好这些工作,对建立信息安全保护机制具有重大意义。
1.可以降低风险,提高防护能力
实施信息安全等级保护制度有利于建设信息化,同时可以促进信息化建设与信息安全相协调,有效控制信息安全建设成本。如果重视安全工作,按照规定办理了等保业务,购买了相关网络安全设备,就可以合理的规避或者降低风险,切实保障用户信息安全。为此,上海市徐汇区血液管理办公室为保障和促进血液中心信息化建设的健康发展,也是不断寻求信息安全的保护措施。
2.满足国家相关法律法规和行业要求
等级安全保护政策是目前我国关于信息安全的基本保护政策,且按照规定下发了相关法律法规,所以认真贯彻执行国家政策法律也是非常必要的。这样不仅可以保证自身信息安全,还有助于提高整个国家的信息安全口碑,增加中国在国际上的影响力,在数字时代信息安全举足轻重,很多国家主管单位都被要求设立等级客户部门开展等级信息保护管理工作,不做信息等级保护就没有办法向相关主管单位或行业领导交代。
二、项目管理的要求与过程
与发达国家相比,我国卫生行业的信息安全管理领域的工作推进还处于起步阶段。如信息系统在部署和应用上不规范、网络规划不合理、信息安全应急体系不健全、信息安全人才“产能”与实际需求相差太大,造成了信息泄漏不断、移动互联网恶意程序增加、网络攻击数量增加、攻击方式升级、信息泄露损失更加严重。为此,需要不断严格要求信息安全管理的项目式实施。用一句话可以概括项目管理五大关键过程组:启动过程组:主要作用也就是启动设定监控项目前期目标,让监控项目管理团队有所作为;规划过程组:主要作用也就是跟踪制定前期工作计划路线,让监控项目管理团队"有法可依";执行过程组:主要作用也就是"按图索骥",让监控项目管理团队"有法必依";监控过程组:主要作用也就是跟踪测量前期项目管理绩效,让监控项目管理团队"违法必究",并且尽量坚持做到"防患于未然";收尾过程组:主要作用也就是解决项目开展过程中的所有遗留问题,确保整个项目圆满完成。
(一)启动过程组
项目开始阶段是一个最重要的阶段。需要充分明确信息系统安全防护等级如何保护并初级定级,才能顺利启动企业项目前期建设,要尽可能地多从各个方面深入了解一个项目的具体情况,如:这个企业项目到底是什么样的项目,具体大概需要做什么样的事情,是谁的人提出定下来的,目的也就是需要解决什么样的问题。不要只能根据一个项目的具体名称望文生义地让人去准确想象一个项目的建设目标。前期需要了解项目情况的准备工作越详细,应对突发情况就越顺利,项目的建设风险就越小。
(二)项目管理的计划过程组
1.范围规划
记录并详细分析当前管理产品项目工作干系中对负责人的管理项目工作需要和管理产品项目需求,对重新确定管理项目和产品相关管理产品项目需求需要进行详细的管理项目需求描述,形成管理项目工作范围区域控制进度说明书。最后需要注意创建项目范围控制把整个项目工作区域范围控制分解成更小的,更完全的且易于独立组织进行管理的几个项目工作區域范围控制单元,最后需要明确做到管理项目工作范围的确认,重新确定进行项目整改。最后也不要忽略项目工作区域范围控制进度管理控制的项目工作范围重要性,做好管理项目工作范围进度控制组织管理工作,避免出现项目工作区域范围不断变化蔓延的尴尬情况。
2.成本控制
在不影响项目质量的前提下尽可能的节约成本,制定科学合理的成本计划,进行成本估算、预算、控制。成本估算是在项目开启前根据市场价格进行价格预算。一个项目中的成本前期管理控制预算:对已经基本完成了但没有足够本钱的一个项目那就需要及时作出一个比较精确的项目成本管理预算,进行合理的预花钱。发现项目前期成本存在问题管理控制:对一个项目前期成本存在问题需要进行有效成本控制,发现项目成本存在问题及时纠正。
3.质量规划与风险把控
编写一个项目质量执行管理目标计划,描述本一个项目的产品质量标准,并详细记录如何才能达到这个质量标准。产品质量保证就是按照一定标准进行生产,在产品成功售出后对客户提供质量承诺,提供售后服务,产品质量管理控制就是查看目前的产品质量管理情况,如果发现有任何问题,进行主要原因调查分析,并对其进行修正,以利于达到新的质量管理要求。
如何进行项目风险管理的内容,识别这个新的项目里到底存在有哪些项目风险,对每个风险级别进行一个优先级的风险排序,对不确定性项目风险进行分析之后的风险排序在前的一些项目风险,进行一个具体量化的风险计算,求得一个具体的风险数字。还有就需要在我们项目的整个管理中不断的检测跟踪已经被识别到的风险,检测一些可能残余的项目风险,还要不断识别新的一些风险,并对其进行风险审计,评估我们之前的管理效果。
4.人力资源计划
根據管理计划的具体要求,通过一些团队方式,比如组建虚拟项目团队,采购项目谈判等,实现人员分派的团队方式管理来进行组建一个项目管理团队。改变人员之间关系,提高团队意识、凝聚团队力量,需要通过一些团队方式管理来进行培养如何建设我们的一个项目管理团队,提高项目团队成员个人管理技能,改进我们团队的人际协作,提高团队的项目整体管理水平,最终优化提高项目的团队建设。为了跟踪项目团队全体成员的工作绩效和提高项目的管理绩效,需要定期进行一些绩效反馈,对利益冲突人员进行绩效管理,不断优化提高项目的管理绩效。
5.沟通规划
建全沟通渠道以便进行多种信息沟通,如以下交互式信息沟通:在两方或其他多方之间可以进行一对多向多种信息流的交换,包括各种会议、电话、微信等;把发送信息同时发送给那些需要同时接收这些发送信息的特定邮件接收方,推式信息沟通主要包括电子信件、备忘录、报告、电子邮件等;而下拉式信息沟通:主要用于处理信息量很大或沟通受众很多的沟通情况,这种沟通方法主要包括搭建企业总部内网、电子在线培训课程、经验教训以及数据库等。
(三)执行过程组
执行过程组包括完成项目管理计划中确定的工作,以满足项目要求的一组过程。本过程根据项目计划需要执行为完成满足新的项目管理要求、实现新的项目管理目标任务所需的重要项目管理工作。本过程组主要工作是有效获取项目资源,开展实施项目管理计划过程中的重要项目管理工作,实现新的项目管理目标。主要研究成果分别是项目工作中的绩效统计数据和项目可预期交付项目成果。
(四)监控过程组
监控过程组包括跟踪、审查和调整项目进展与绩效,识别必要的项目审批工作计划是否进行合理变更并及时重新启动用以处理变更相应审批计划这是变更的最后一组前期工作管理过程。监控过程按既定项目执行计划对整个项目定期进行跟踪测量和分析,以便于准确识别和及时纠正项目审批工作的重大偏差,以便于保证整个作业项目顺利完成。
(五)收尾过程组
本过程组旨在核实为完成项目或阶段所需的所有过程组的全部过程均已完成,并正式宣告项目或阶段关闭。本过程组的主要作用是确保恰当地关闭项目和合同。该过程组只是用来收集资料、开展项目后评价(总结经验教训)和更新组织过程资产。即进行行政收尾工作。收尾工作不仅仅针对项目,也要在每个阶段结束时进行。
总结
依据国家信息安全等级保护制度,遵循相关标准规范,全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高医疗行业信息安全防护能力、隐患发现能力、应急能力,做好信息安全等级保护工作,对于促进血液机构信息化发展,维护公共利益、社会秩序和国家安全具有重要意义。为此,在安全等级保护中必须始终做到“技管并重”,并分别提出了具体的等级指标设计要求将大大提升安全保障体系的广度和深度。
参考文献:
[1]刘学.信息系统安全等级保护能力构成框架分析研究[J].网络安全技术与应用,2020(2):2.