建设完整的气象信息安全管理体系
建设完整的气象信息安全管理体系
2016-03-14 15:58:17 来源:CIO时代网
抢沙发
2016-03-14 15:58:17 来源:CIO时代网
摘要:没有安全,何以生存,遑论发展;而信息时代安全的核心内容之一,便是信息安全。盖缘于此,世界上主要发达国家始终十分重视信息安全工作。
关键词:
信息安全
4、当前气象信息安全存在的问题
尽管气象部门至今尚未发生重大信息安全事件,但这并不能说明气象部门的信息安全工作已万事大吉,信息安全体系固若金汤。依照信息安全管理的规范考察,气象部门的信息安全工作至少存在如下问题:
4.1 基础工作存在缺失
(1)信息安全目标
通常意义下的信息安全目标,一般都是确保信息的机密性、完整性、可用性,以及可控性和不可否认性等等。但部门不同,具体的情况不同,安全性需求的程度、信息安全所面临的风险、付出的代价也各有不同;如:就信息的机密性而言,军事部门的要求远远高于气象部门;而就信息的可用性而言,气象部门对业务连续性的要求也较土地勘测管理部门为高。因此,泛泛的信息安全目标没有任何意义,所有可用的信息安全目标都是切合部门具体实际情况的,是本土化、部门化的。
没有切合气象部门具体实际情况的、具有鲜明气象特色的信息安全目标,是目前存在的突出问题。
必须明确,气象部门信息安全目标的确定,是管理层的职责。管理层对信息安全目标的要求,决定了气象部门信息安全工作的走向。气象信息业务部门负责气象信息安全既定目标的具体落实,其工作的质量和效率,决定了气象部门是否能够达到信息安全管理的目标【9】。
(2)信息安全方针
信息安全方针是为信息安全工作提供与业务需求和法律法规相一致的管理指示及相应的支持举措。信息安全方针应该做到:对本部门的信息安全加以定义,陈述管理层对信息安全的意图,明确分工和责任,约定信息安全管理的范围,对特定的原则、标准和遵守要求进行说明,等等。气象部门的信息安全方针至少应当说明以下问题:气象信息安全的整体目标、范围以及重要性,气象信息安全工作的基本原则,风险评估和风险控制措施的架构,需要遵守的法规和制度,信息安全责任分配,信息系统用户和运行维护人员应该遵守的规则,等等。
遗憾的是,以此为基本内容的信息安全方针,至今在气象部门尚未确立。
(3)信息安全组织机构
为有效实施部门的信息安全管理,保障和实施部门的信息安全,在部门内部建立信息安全组织架构(或指定现有单位承担其相应职责)是十分必要的。
在一个部门或机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍。因此,建立信息安全组织并落实相应责任,是该部门实施信息安全管理的第一步。这些组织机构需要高层管理者的参与(如本部门信息化领导小组),以负责重大决策,提供资源并对工作方向、职责分配给出清晰的说明,等等。此外,信息安全组织成员还应包括与信息安全相关的所有部门(如行政、人事、安保、采购、外联),以便各司其责,协调配合。
遗憾的是,类似的组织机构在气象部门内即便已经存在,至今也未真正履行其应负的职责。
(4)信息资产管理
信息资产管理的主要内容包括:识别信息资产,确定信息资产的属主及责任方,信息资产的安全需求分类,以及各类信息资产的安全策略和具体措施,等等。
就气象部门而言,对信息资产(即:气象信息资源和气象信息系统)进行识别、明确归属以及分类等工作,有利于信息安全措施的有效实施。以分类为例:我们知道,对某特定气象资料或业务系统实施过多和过度的保护不仅浪费资源,而且不利于资料效益的充分发挥和系统的正常运行;而若保护不力,则更可能导致气象信息数据和系统产生重大安全隐患,乃至出现安全事故。对气象信息资产进行分类,可明确界定各具体资产的保护需求和等级,如此可以根据类别的不同,调整合适的资源、财力、物力,对重要的气象信息资源和系统实施有针对性的、符合其特点的信息安全重点保护,如此等等【9】。
同样遗憾的是,气象部门至今尚未实施真正意义上的完整的气象信息资产管理。
类似缺失的基础工作还有很多,不再枚举。
基础工作的缺失,导致气象信息安全工作的不扎实、不稳固,是气象信息安全工作长期滞后于信息化基础建设的主要原因之一。
4.2 完整的信息安全管理体系尚未建成
按照ISO的定义,信息安全管理体系(ISMS:Information Security Management System)是“组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合”。【10】
信息安全管理体系要求部门或组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择安全事件控制目标和相应处置措施等一系列活动,来建立信息安全管理体系。该体系是基于系统、全面、科学的安全风险评估而建立起来的,它体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其它地方、行业的相关要求。该体系强调全过程管理和动态控制,本着控制费用与风险相平衡的原则,合理选择安全控制方式。该体系同时强调保护部门所拥有的关键性信息资产(而不见得是全部信息资产),确保需要保护的信息的保密性、完整性和可用性,以最佳效益的形式维护部门的合法利益、保持部门的业务连续性。
由于基础性工作尚未全部就绪,目前气象部门尚未建立真正意义上的、基于风险管理的科学而完整的气象信息安全管理体系。
在气象部门建立完整的信息安全管理体系,可以对气象部门的关键信息资产进行全面系统的保护,在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度;并使气象部门在信息安全工作领域实现动态的、系统地、全员参与的、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平。此外,完整的信息安全管理体系的建立,也可使部门外协作单位对气象部门的安全能力充满信心,这一点在当前大数据应用浪潮正在全社会迅速漫延的背景下,尤其重要。
4.3 业务格局的分散加大了安全管理问题的复杂度
目前气象部门依然沿用着已延续数十年的国省地县四级业务层级,而业务系统的属地化,以及诸如“具备业务功能意味着拥有业务系统、拥有业务系统意味着拥有信息资产以及基础资源和设施”等传统观念的束缚,使得各个业务系统在地理分布上呈现出全国遍地开花的局面,各级业务单位都拥有自己的信息业务系统和相应的局地信息业务环境。彼此通过内部专网(VPN)或甚至通过互联网进行互联,在全国形成网状与树状相结合的、十分复杂的业务网络结构。
由于各级单位都在当地拥有各自规模不等的信息业务系统及相应环境(包括为业务系统提供数据支撑的气象数据库),因此各单位都面临着本单位的信息安全管理问题。尤其是一些气象数据在各级业务单位的广泛复制,使得各级业务单位中数据同质化现象十分突出,也为这些数据的保密性和完整性(包括一致性)的保持增加了大量变数。此外,由于编制所限,地县两级业务单位中IT技术人员奇缺,既无法保障信息业务系统的日常维护,更无法为本单位信息安全提供专业化管理。
这种业务格局的分散,加大了气象部门信息安全管理问题的复杂度。
限于篇幅,其余问题不再枚举。
5、建立完整的气象信息安全管理体系
综上所述,在气象部门建立完整的气象信息安全管理体系,是非常必要的;就目前全社会所倡导的大数据应用和云计算趋势而言,这项工作具有较强的紧迫性,应尽早开展相应的工作。归纳起来,有如下几点:
5.1 适时着手建立完整的气象信息安全管理体系
(1)完成基础性工作
应尽早明确信息安全的方针,为气象部门信息安全工作确定目标、范围、责任、原则、标准、架构和法律法规。
应以适当方式组建或明确气象信息安全的管理和实施机构,并确保所有相关单位能够悉数纳入其中,明确分工和职责,以便各司其职,彼此协调工作。
应在管理层的统一组织下,以适当的形式,全面完成气象部门内部的信息资产普查、归属认定、安全需求等级划分以及安全等级保护措施等,制定气象信息资产管理策略、制度和方法,逐步推广实施,从而完成气象信息资产的有效管理。
(2)适时进行信息安全风险评估并制订风险处置方案
制定风险评估方案、选择评估方法,以此为依据完成气象信息安全风险要素识别,发现系统存在的威胁和系统的脆弱性,并确定相应的控制措施。在此基础上,对所有风险逐一判断其发生的可能性和影响的范围及程度,综合各种分析结果,最终逐一判定这些风险各自的等级。
在风险等级判定的基础上,以“将风险始终控制在可接受范围内”为宗旨,制订有针对性的风险处置方案,包括:可接受风险的甄别和确定,不可接受风险的控制程度,风险处置方式的选择和控制措施的确定,制订具体的气象信息安全方案和综合控制措施,科学合理地运用“减低风险”、“转移风险”、“规避风险”和“接受风险”等方法,形成综合的气象信息安全风险处置方案,并部署实施。
(3)建立完整的气象信息安全管理体系
在上述工作以及其它相关工作的基础上,参照BS 7799-2:2002 《信息安全管理体系规范》、 ISO/ IEC17799:2000《信息技术-信息安全管理实施细则》等国际标准,以及GB/T22080-2008《信息安全管理体系要求》、GB/T20269-2006《信息系统安全管理要求》、GB/T20984-2007《信息安全风险评估规范》等国家标准,完成组织落实、措施落实、方案落实和相应文档的编写,以及所有相关的审查、职责界定和制度建设,以构成气象部门的信息安全管理体系。
5.2 将信息安全管理体系纳入气象信息化战略之中
信息安全与信息化发展息息相关,是一切信息化工作的基础,涉及到信息化工作的方方面面。气象部门是以信息采集、分析处理和发布为工作特征的典型的信息应用部门,气象业务系统是典型的信息系统,因此信息安全对于气象部门尤为重要。气象事业的健康发展离不开信息化,也同样离不开信息安全。气象信息安全应当是气象信息化工作中最为重要的内容之一,气象信息安全管理体系的构建和持续改进也应当成为未来气象信息化战略中极其重要的内容。
信息安全是管理问题而非技术问题,从某种角度看,信息安全管理体系是以策略为核心,以管理为基础,以技术为手段的安全理念的具体落实【11】。有什么样的理念,就有什么样的方针、策略、制度措施和体系架构。无法想象在管理理念和安全意识十分落后的思维环境中,能够构建起科学完备的信息安全管理体系来。因此,安全管理理念的全面提高和安全意识的充分到位,是气象信息安全所有工作正常开展的前提。就气象部门管理层而言,着力消除曾长时间弥漫于全部门信息安全领域的重技术轻管理的观念,将关注点从研究安全技术和产品应用转移到信息资产管理、风险识别和控制以及整体安全战略的制定等管理层面上来,是其不可推卸的责任。应当在全部门倡导信息安全意识、制定并推行信息安全制度、确定信息安全责任、组织信息安全培训,构建起完整的气象信息安全管理体系。
6、结语
在政府大力强调信息安全意识,强力推动信息安全工作的背景下,各行各业均把信息安全工作列入本部门或单位的工作议程,气象部门也是如此。但如何科学有效地构建起具有鲜明气象特色的信息安全防护体系,充分把控所有已知的安全风险,使有限的投入得到最大限度的安全回报,这是气象部门管理层和IT工作者需要认真研究并努力实践的工作。
信息安全首先是意识问题、观念问题,要想真正打造安全的业务环境,在气象部门全体员工中(特别是在管理层干部中)树立良好的安全意识,是至关重要的。
2014年,在深刻领会习近平主席“没有信息化就没有现代化”的重要指示精神后,气象部门提出了“没有信息化就没有气象现代化”的口号。那么,针对习主席提出的“没有信息安全就没有国家安全”的另一重要论断,气象部门是否也应提出相应的口号——
“没有信息安全,就没有气象业务安全”。
笔者期待着能就此在气象部门内达成广泛的共识。
本文在撰写过程中曾多次参考和引用中国信息安全评测中心的CISP认证培训教材,在此深表感谢。
2016年3月9日,初稿于国家气象信息中心
3月10日,修改
【1】中国信息安全法律网:2015年美国《网络安全法》,http://www.infseclaw.net/news/html/ 1219.html
【2】英国国家标准:BS 7799-2:1999《信息安全管理体系规范》,《世界标准信息》,2000年09期。
【3】裴定一:保证信息安全是一种动态的过程,http://www.ccidnet.com/2011/1102/3053191.shtml
【4】毛东东:信息安全是无边界的安全http://www.ailaba.org/zhengzhou/jianzhan/178241159848608x.html
【5】殷勤:《试论非传统安全中的信息安全》,[硕士论文]公共管理:中国人民大学:2005年。
【6】肖鹏:信息安全分享,在Aisit三十人论坛B论坛上的报告,2016年1月28日。
【7】赵刚:《信息安全管理与风险评估》,清华大学出版社,2014年1月第一版
【8】张剑:《信息安全风险管理》,电子科技大学出版社,2015年2月第一版。
【9】陆预林:如何进行企业信息安全目标管理设定,http://articles.e-works.net.cn/security/article81887.htm
【10】ISO/IEC 27001:2006-10-15《信息安全管理体系要求》
【11】吴俊:企业信息化战略中的信息安全体系研究,[硕士论文]工商管理:复旦大学:2003年。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
