神华集团信息安全合规管控平台研究

作者:孟君 刊名:神华科技 上传者:刘全波

【摘要】加强企业内部信息安全工作管理执行,有效落实信息安全管理措施,提高企业对多项信息安全法规的合规管理能力,是企业信息安全管理工作面临的重要课题。神华集团按照管理和技术并重的原则,采取制度与产品并行的手段,建立了较为完善的信息安全规范和流程,在此基础上,探索建立了信息安全合规管控平台,进一步加强了信息安全策略的全生命周期管理、信息安全工作全过程管理,提高了对信息系统等级保护、商业秘密保护合规工作的有效性。

全文阅读

第5期 · 5 · 开展情况。这些传达和沟通T作通常通过邮件和 电话 等方式进行 ,这些方 式缺乏对沟通过程 的记 录和积 累,存在对 同一问题重复解释 、工作量巨大等问题 ,导 致安全_T作开展效率低 、沟通知识无法积累传递。 4 信息安全合规管控平台的架构设计与功能 神华集团信息安全合规管控平 台主要功能包括: 多标准法规的融合与遵守、信息安全制度策略体系的 生命周期管理 、信息安全工作 的监督 、检查与指导 、安 全管理工作的测量与考核 、统一发布管理和二【 作交流 等。系统基本结构设计(仅包含主要功能)见 图2。 4.1 多标准法规 的融合与遵守 为避免单一体系的零散设计和重复建设 ,神华集 团通过实施“信息安全合规管理平台”,对各项合规要 求进行了统筹考虑 、综合建设,研发了信息安全要求 合规管理模块。在该模块中,按神华集团设计的信息 安全管理域,对各项合规要求进行逐项拆解,然后对 相 同的要求进行合并 。对于不 同的合规要求 ,通过系 统分派至不同的合规对象(职能部 门和下属单位 ),由 合规对象填写相关合规 情况。平台实现统一的资产和 信息收集、存储 ,实现对标准法规要求条款的执行情 况查询和监督落实,根据不同的监管要求生成不同的 标准报表,非标准类报表可以基于平台现有的统一存 储数据临时开发。 神华集 团信 息安全合规 管理平 台 图2 信 息安全合规管控平 台结构 示意 图 4.2 信息安全制度策略体系的生命周期管理 神华集团在“信息安全合规管理平台”中建立了 全生命周期策略管理模块 ,通过梳理现有的规章制度 管理流程,对信息安全规章制度进行全生命周期管理。 集团总部安全管理人员可以通过平台,对安全管理制 度进行初始化 、更新和下发。各职能部 门和下属企业 , 通过平台参与制度的初始化和更新工作 ,开展各项工 作时可以查询相关制度要求。各项规章制度作为安全 检查 的依据 ,通过安全检查T作对相关制度要求 的落 实情况进行监督 ,在平 台中形成了对制度的闭环管理。 4.3 信息安全工作的监督 、检查与指导 通过“信息安全合规管理平台”的信息安全工作 检查功能 ,可 以实现对检查工作的部署 、监督和指导。 集团总部制订信息安全检查内容,明确相关信息安全 检查要求 ,将各检查要求设计为非现场检查单及工作 任务包 ,通过平 台向下属企业征集相应管理数据 ,各 下属企业填写数据后 ,由系统 自动分析汇 总 ,得 出集 团‘丁作整体合规状态。针对不合规的问题在平 台中下 发整改任务,督促下属企业改善信息安全管理。同时, 集团总部也可以将其经验成果 ,通过管理平台下发到 各下属企业,实现知识共享和传递,指导下属企业的 信息安全管理工作。 4.4 安全管理工作的测量与考核 通过建立安全监控的量化指标,依托“信息安全 · 6 · 孟 君:神华集团信息安全合规管控平台研究 第 5期 合规管理平台”获取监控结果,从而实现对集团整体 信息安全工作进行量化测量的目标,为进一步的信息 安全绩效考核奠定基础。 建立风险评价模型 ,建立监控指标 。在管理方面, 通过对现有 的信息安全管理要求进行拆解分析 ,抽取 各项管理要求 的管理指标 ,建立信息安全管理指标 ; 在技术方 面,根据信息系统可能发生 的安全事件 ,同 时结合能反映信息系统健康状况的运维 13志和各类 安全监控平台告警信息,提炼建立信息系统安全技术 指标。综合各项指标的重要性程度 ,建立信息安全风 险评价模型。 获取监控数据 ,展示风险评价结果 。针对设立 的 两类指标和风险评价模型 ,在“信息

参考文献

引证文献

问答

我要提问