浅析机关单位信息系统运行维护制度建设
【3.2技术安全和管理安全并重原则
系统运行维护必须做到技术安全和管理安全并重,配备必要的技术防护设备,同时用制度加以约束,制定合理的制度来保证设备技术安全。反之,管理制度需要适应技术的发展,管理模式要随着技术的发展不断调整,通过技术发展促进管理水平提升。
3.3准确了解保护对象原则
系统日常运行维护工作应有目的地确立工作重点,准确了解防护对象的特征,在系统中的性质、地位和重要度,同时对系统进行合理评估来确定运行维护工作的粒度。根据系统评估,确定运行维护工作开展的重点对象,例如,办公自动化(OA)系统重要度和防护需求较高,在制定运行维护管理制度时,应重点考虑其系统的检查周期、备份日期、审计频次、人员权限变化情况等;考勤系统重要度和防护需求较低,系统一旦发生故障,对机关、单位各项工作不会造成较大影响,在运行维护过程中可合理分配运行维护粒度。
3.4多层次、多安全单元防范原则
在开展系统运行维护过程中,应充分考虑各安全设备工作范围和其产生运行维护数据的关联关系,利用已有设备最大限度地发挥其技术性能,确保问题能及时显现并做到快速响应。各类安全设备、运行维护工具在系统运行中,会产生大量的运行日志和告警记录,通过对各类安全事件特征进行归类,提前做出合理的排查和定位,可使运行维护工作收到事半功倍的成效。
3.5用户便利性原则
复杂的运行维护流程和管理制度将造成系统日常运行维护效率低下。在确保信息安全的情况下,系统运行维护管理制度设计应尽可能减少冗余流程和环节,简化审批。可引入运行维护标准来设计标准化的工作流程,例如,可参考IT基础架构库(ITInfrastructureLibrary,ITIL)、ISO2000、信息技术服务标准(InformationTechnologyServiceStandards,ITSS)等通用性较强的标准来优化运行维护工作,使其更加规范化、标准化。
4系统运行维护管理制度的主要内容
明确制定系统运行维护的各项规章制度、建立健全系统管理体制、保证系统运行环境和数据的安全,才能保证系统为机关、单位各层管理服务,充分发挥信息资源的作用。管理制度组成部分应依据系统实际建设情况进行划分,按照事先制定的原则和统一标准进行分类编制,例如,根据内容分章节进行描述,或按工作对象制定不同的管理制度。制度内容应注意不同章节之间的相互影响和管理的标准化,避免出现同一对象在不同章节中出现不同的管理方式和标准。从系统运行维护工作和管理内容来看,制度内容可从以下两个维度进行划分。
4.1系统运行维护管理制度的流程
大部分系统的运行维护工作是基于流程框架的业务模式开展的,即系统管理过程中的各种业务活动过程。主要包括以下4个方面。1.事件与事故管理。主要包括:对引起系统中断或可能导致系统中断、质量下降的事项进行处理、记录的过程。主要目标是尽快使系统恢复正常,减少对系统的不利影响,尽可能保证其可用,同时记录、评估事故与事件并为其他流程活动提供支持。主要工作内容包括:事件通告、事故事件记录、事件过滤、响应级别选择、事件升级、调查诊断、事件关闭、事件评估等内容。2.问题管理。主要诊断故障根本原因和确定解决问题的方案所经历的业务过程,主要包括:诊断、维修、恢复、记录、重大问题评估等内容。问题管理为后续运行维护工作的开展提供相关经验和知识的积累。3.配置管理。主要范围包括:负责识别、维护系统或设备中的所有组成及各类设备或系统之间的关系,划分资源、提供正确的配置信息。配置工作主要包括:方案制定、配置识别、配置控制、状态记录、配置测试、配置实施、配置确认和审核等过程。4.变更管理。主要负责运行维护服务生命周期过程中对配置项的变更。具体对象主要包括:管理环境中与执行,支持及维护相关的硬件、通信设备、软件,运营系统,处理程序、角色、职责及文档记录等。变更管理过程包括:问题报告、变更请求、变更审核(评审)、变更通告、授权变更、变更实施等。
4.2系统运行维护管理制度对象
依据系统基本运行维护工作对象不同,将运行维护管理制度划分为以下4个方面。1.设施、设备管理。系统中应建立针对设施、设备的严格管控制度。主要包括:机房管理、环境设备管理、安全设备管理、综合布线管理、客户端管理、通信设备管理、存储设备管理、外围设备管理、配电系统管理等。2.安全策略管理。安全策略是系统进行安全规划、实施安全技术部署的顶层文件,也是系统运行维护过程中必须保证的重要技术指标和配置项目。主要包括:安全策略制定、变更、发布、修订周期及安全配置项等内容。3.人员管理。系统运行维护人员是运行维护工作的主体,在运行维护管理制度中,需要对各级人员的角色授权、职责范围、工作内容、作业基本行为规范、任职条件等内容进行详细定义,确保既定制度得以顺利执行以及各级人员能严格履职。4.档案管理。系统档案主要包括:系统开发、运行阶段的各项文档,包括可行性分析报告、系统说明书、系统设计方案、实施方案、设备操作手册、测试报告等,需要在系统存续的全生命周期范围内记录系统运行情况,同时各类安全配置资料、分析报告、审计情况应建立严格的档案管理制度。
4.3系统运行维护管理制度的基本内容框架
按照本文第三部分中提出的原则和第四部分提出的业务工作对象进行业务域划分,根据业务域内的工作流程对制度内容进行分析,以此确定制度中相互关联影响的部分,实现端到端流程的显性化和标准化,形成各项规定标准化的运行维护标准框架。使运行维护技术人员明确自身岗位所涉及的执行标准、考核指标、遵循原则。按照管理范围,将各工作流程涉及的运行维护工作划分出各工作模块,对各工作模块定义管理业务模块,向下一级划分各模块的子业务范围,形成自上而下构建制度的逻辑过程,避免各部分制度相互冲突,并对各业务之间的逻辑关系进行考虑和流程绘制,确定相关需要规定的约束条件,由此得出实际操作性较强的管理制度和标准业务流程。流程中各节点明确的责任岗位和质量衡量指标如图1所示,系统运行维护管理制度框架
5结语
本文从机关、单位信息系统运行维护管理工作的基本框架、设计原则、主要内容等方面进行了介绍,以期对机关、单位信息系统的实际运行维护工作起到一定的指导作用.
参考文献:
[1]杜虹.切实加强网络保密管理[J].保密工作,2012,(12):12.
[2]李元峰,蔡雅良.浅析涉密信息系统的分级保护[J].信息安全与通信保密,2008,(06):78~79,82.
[3]董碧丹.提高保密意识,做好涉密信息系统安全保密管理工作[J].保密科学技术,2012,(03):34~37.
作者:和朋王璇单位:山西省保密技术检查中心国家保密科技测评中心