html模版東北大學王宇:安全治理是整體組織協調的過程—中國教育和科研計算機網CERNET
從安全事件響應到安全治理,其核心理念是在較充分的技術和心態準備基礎上,把握安全事件帶來的機遇,在此基礎上逐步推動和促成信息安全管理的實質提升。通過切實努力實現信息安全管理從事件響應向安全治理躍升,變被動為主動,明細權責劃分,勇於承擔責任,實現責任分擔。

網絡信息安全管理現狀

東北大學從2015年起發佈瞭網絡信息安全管理的相關政策,專門成立網絡安全管理與信息化建設工作領導小組和網絡安全專傢委員會。

學校自開展網絡信息安全管理工作以來,做瞭諸多實際工作,具體包括梳理校內域名、信息系統,明確使用部門,確定責任部門;以安全應急響應為抓手,促使職能部門和學院部處提高網絡安全意識;技術部門與信網辦溝通確定安全應急響應操作流程,涉及安全事件、安全漏洞等處置流程;強化安全應急響應的職責歸屬,遇到問題第一事件處置,通知責任部門整改和反饋。2016年度累計獲取和處置學校相關網絡安全事件46次,提供網絡信

息安全支持20次。學校以等級保護建設為契機,推動整體安全加固專項建設。切實推進和實施信息系統等級保護建設,以等級保護建設為抓手,實施“東北大學網絡安全防范工程”,統籌推進信息系統定級、備案、測評、整改、整體安全管控。

另外,還加強網絡信貓罐頭推薦息安全相關信息的宣傳推廣工作。如開展“遼寧省網絡安全宣傳周”活動,舉辦網絡安全講座、網絡安全知識競賽等;在線發佈和推廣安全資料,並進行網絡信息安全科普。

網絡信息安全工作實施

網絡信息安全工作實施主要有以下四個方面。

資源統籌管理

一是信息化建設相關項目的統籌管理,包括歸口單位管理、年度專傢小組評審及按階段推進項目實施。

二是基礎IT環境的統籌管理,包括技術部門提供托管主機、虛擬主機服務,目前學校80%以上業務系統實現集中托管管理以及網絡信息安全防護統一管控。等級保護的開展信息系統等級保護工作開始於2010年,在2010—2013年期間,通過校內動員講解、信息系統匯總與梳理、相關工作小組決策、上報省教育廳和與公安系統溝通等逐步推進等保工作。信息系統等級保護工作在2015年加快推進,通過組建機構、出臺制度、明確責任,並推動和實施定級備案測評及整改項目。

安全事件響應

建立技術部門與管理部門協調的安全事件響應,具體流程如下:安全漏洞和安全事件的信息獲取,然後進行安全事件判定,對安全事件進行處置,讓使用部門(責任部門)整改,提交整改報告和恢復服務。

安全團隊建設

建立跨網絡、運維、開發的與學生團隊合作的網絡信息安全團隊。

網絡信息安全管控

信息技術部門在網絡信息安全管控中應該發揮什麼作用?技術部門的定位是技術支持而不是安全管理。網絡信息安全領域日新月異,攻守不平衡,沒有絕對的安全;使用單位和建設單位應該承擔更大責任;責任要清晰,需要明確制度和加強頂層設計。

在技術團隊組建和培育上,首先立足已有技術團隊,不能純粹依靠第三方服務。另外,加強與學生團隊合作。

在政策背景下,以責任為先。技術部門提供必要支持,技術部門可以統一采購第三方安全服務,技術部門不能缺位,應以業務為主,這才是網絡和信息服務的價值體現。

同時,要註意網絡信息安全組織協調是否順暢。一般初期會存在矛盾,後期處置過程關註業務,適度管控,主動合作,協調推進有所改善。此外,長期良性發展還受到技術團隊的規模、能力、專職程度等影響,寵物零食有待建設契約式的業務部門與技術部門間的合作模式。

總之,高校網絡信息安全管控是一個漸進的過程,需要從掌握的IT資源入手;要明確提供IT資源的技術部門與使用IT資源的業務部門間的責任權利。學校需要轉換網絡信息安全工作思路,與信息化建設結合,充分利用政策環境推動良性發展理念實現,變被動為主動。





幼犬飼料推薦A786D2DF0E3B0EE5
文章標籤
創作者介紹

做人做事的道理

sbbhur0ik 發表在 痞客邦 PIXNET 留言(0) 人氣()