集團化企業網絡信息安全管理體系規劃與建設

◆陳慶民 邵揚

行業與應用安全

集團化企業網絡信息安全管理體系規劃與建設

◆陳慶民 邵揚

（上海醫藥集團股份有限公司 上海 200020）

信息技術的廣泛應用和發展，對促進企業發展發揮了重要的作用。同時，隨著信息化程度越來越高，信息安全問題也逐步凸現，配套的安全管理機制及安全制度建設卻相對滯后，如何構建集團化企業網絡信息安全管理體系成為急需解決的問題。本文通過現狀調研和分析，提出上海醫藥網絡信息安全管理體系的建設思路，并重點在網絡信息安全組織體系、網絡信息安全工作機制、網絡信息安全制度體系三個方面進行了闡述。

網絡信息安全；網絡安全；管理體系

1 背景

隨著企業信息化建設不斷深入開展，信息安全問題日益凸顯，信息安全和國家安全之間的關系日益緊密。為此，國家信息安全主管部門和各行業監管部門近年來陸續頒發了一系列與信息安全相關的法律、法規、要求和指導意見，用以推動和規范全社會信息安全建設。

2017年6月1日實施的《中華人民共和國網絡安全法》，為互聯網安全提供了切實的法律保障，同時也要求各企事業單位應承擔起相應的法律責任和義務。近幾年上海市委網信辦、公安局網安大隊等上級主管部門也陸續提出了各項自查、通報和安全承諾等要求，今后類似的各項保障任務將成為公司信息安全常態化工作，也將對信息安全的各項建設和保障工作提出更高的要求。

上海醫藥集團股份有限公司（以下簡稱“上海醫藥”）是滬港兩地上市的大型醫藥產業集團，公司主營業務覆蓋醫藥工業、分銷與零售。隨著上海醫藥信息化建設步伐的不斷加快，特別是信息系統建設已全面融入集團化企業管理、生產和運營活動中，信息系統的安全、穩定、可靠運行直接影響到集團內部管理秩序及企業社會公眾形象。信息安全已與建設安全、生產運營安全相互滲透、相互關聯，信息安全的重要性日益凸顯。

然而，在信息化程度越來越高的同時，上海醫藥作為一家國有大型醫藥集團企業，在企業管理方面已具備了一套成熟的理念與管理的方法，但在配套的信息安全管理機制及制度建設方面卻相對滯后，尚未形成體系化的信息安全管理模式。信息安全管理組織的松散、職責分工的不明晰、管理目標及原則的不確定、制度規范的不健全都阻礙了信息安全管理工作的順利開展。

因此無論從提升企業內部管理水平，促進企業生產、運營安全，還是從符合國家相關法律法規及相關監管部門的要求及提高對外部影響力與競爭力的角度出發，信息安全管理體系的建設對上海醫藥集團的信息化網絡安全管理工作和企業的發展都有著十分重要的意義。

2 建設目標

結合上海醫藥集團現有的組織管理框架以及業務管理特點，建立一套有效的信息安全管理體系，該體系將實現以下目標：

（1）依據網絡信息安全相關政策及標準要求，建立自上而下的信息安全決策、管理、執行以及監管的組織機構，明確各級機構的角色與職責，完善信息安全管理責任制；

（2）形成一套有效的信息安全管理工作機制；

（3）根據關鍵信息基礎設施及網絡安全等級保護相關制度，制定出指導集團各部門及下屬單位實施安全管理活動的安全管理制度。

3 實施方案

我們主要分以下幾個階段進行：

3.1 調研階段：

通過人員訪談、文檔查閱等，深入調研了解上海醫藥集團當前的組織體系架構、業務體系架構、網絡架構和信息安全管理的狀況，并對照信息系統等級保護相關標準要求進行差距分析，找出差距與問題，為策劃管理體系作參考。

3.2 策劃階段

結合現狀及差距分析結果編制適合上海醫藥集團的網絡信息安全管理體系建設方案，并聽取內外部專家評審意見，形成最終的建設方案。

3.3 實施階段

按照建設方案要求，依據等級保護相關標準及ISO 27001提供的最佳實踐，逐步研究建立形成集團信息安全管理體系。

（1）研究組織、制度、管控模式之間的結合方式，編制信息安全管理組織責任體系、工作機制；

（2）研究編制集團整體信息安全管理策略；

（3）研究編制信息安全核心業務規范和標準。

3.4 檢查階段

在制度文件運行實施一定周期后，進行執行情況的檢查，重點關注文件在適用性、有效性、充分性方面的問題，并進行匯總分析。

3.5 改進階段

根據檢查匯總的信息，組織修訂完善相關文件。

4 建設成果

4.1 構建網絡信息安全整體藍圖框架

基于上海醫藥定位與管理職能，從業務戰略、組織管控、信息化建設、外部趨勢四個層面，通過分析及評估上海醫藥網絡信息安全現狀，制定網絡信息安全5年目標，藍圖框架可以分為三大領域，分別為：安全治理和管理體系、安全技術體系和安全運行體系。如圖1：

圖1 網絡信息安全藍圖框架

4.2 網絡信息安全組織體系建設

企業的網絡信息安全管理組織機構決定了一個企業網絡信息安全管理的水平，同時也是一個企業網絡信息安全管理制度有效推動和執行的關鍵因素之一。上海醫藥集團旗下擁有二十幾家直屬單位，共有幾百家企業，規模龐大，信息系統數量巨大，要管好整個集團的網絡信息安全是件非常不容易的事情。

結合上海醫藥實際情況，依據《黨委（黨組）網絡安全工作責任制要求》、《網絡安全績效標準（暫行）》、《網絡安全等級保護條例（征求意見稿）》等政策要求，遵循決策集中、管理一體、執行統一的原則，建立信息安全管理組織，明確主管領導，落實責任單位，加強信息安全組織領導和管理，推動信息安全工作的開展，建立兩級（集團級、部門及直屬單位級）、三層（領導層負領導責任、管理層負管理責任、執行層負工作責任）信息安全責任體系。編制了《上海醫藥信息安全責任體系》，包括以下內容：總則、信息安全組織框架、信息安全組織工作職責、集團各部門信息安全職責、集團下屬公司信息安全職責、外部供應商信息安全責任、信息安全責任制考核等。

公司設立網絡信息安全管理委員會作為最高領導機構，該機構成員包括公司黨委書記、信息化分管領導、公司總部各部門負責人及各直屬單位負責人擔任組員。

圖2 網絡信息安全管理組織

4.3 網絡信息安全工作機制建設

為推進上海醫藥網絡信息安全管理工作，需建立與之相適應的信息安全管理工作機制，主要包括：建立信息安全管理工作會議機制，由定期例會與不定期專項會議相結合；建立“層層上報，統一出口”、“例行匯報，一事一報”的信息通報機制，信息通報按輕重緩急程度分為日常安全信息通報及信息安全事件通報兩類，對于日常安全信息的通報通過每年定期將相關信息集中匯報，由集團信息技術中心負責匯總，并總結分析；信息安全事件通報應一事一報，并應做到及時通報，第一時間報告相關職能管理機構，并得到及時響應與處置；建立監督檢查機制，由日常監督、定期與不定期檢查相結合，專項檢查與全面檢查相結合，自查與外部檢查相結合，監督檢查的內容應覆蓋安全技術與安全管理；建立信息安全工作管理責任制考核，并列入集團工作績效考核體系。

4.4 網絡信息安全制度體系建設

參照國內外信息安全主流標準要求、等級保護體系及政策要求，結合上海醫藥現有制度及管理狀況，建立自上而下的信息安全管理制度體系，形成信息安全制度匯編。從制度涉及的管理領域可分為制度管理、組織管理、人員管理、系統建設管理、系統運維管理五大方面。上海醫藥信息安全管理制度從層次上可分為三層結構：

（1）信息安全管理辦法：描述信息安全管理范圍、目標、依據、組織及責任體系及整體安全管理策略；

（2）信息安全管理規定：具體規定各項安全管理活動的職責和要求；

（3）信息安全管理細則或規程：安全管理活動和操作的具體規范和流程。

5 總結

經過上海醫藥網絡信息安全管理體系的建設，不僅為上海醫藥的信息系統安全建設與日常管理提供指導和規范作用，也將為整個集團業務的快速發展提供有力的支撐。

[1]GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求.

[2]GB/T 22080-2016信息技術安全技術信息安全管理體系要求.

[3]GB/T20984-2007信息安全技術信息安全風險評估規范.

[4]《網絡安全等級保護條例（征求意見稿）》.

[5]《網絡安全績效標準（暫行）》.

[6]《上海市網絡安全事件應急預案》.

[7]《黨委（黨組）網絡安全工作責任制實施辦法》.