摘 要:对集团内相关安全机制和管理方法进行了研究。在此基础上,提出了对“系统、网络、运维、用户”四个层面的信息安全管理举措,形成了统一的一体化安全管理体系,实现了从管理理念到技术保障、系统建设、运维支持和用户应用的全方位信息安全管理架构。在有关单位执行过程中,保证了系统的安全性、完整性、实用性;能有效提高安全信息系统的安全管理水平和安全保障能力。该体系对安全信息系统建设、评价、运维具有指导作用。
关键词:ISMS;系统管理;体系框架;安全信息
DOI:10.19850/j.cnki.2096-4706.2021.11.042
基金项目:中国科学院十三五信息化专项项 目(XXH13507-2)
中图分类号:TN915.08 文献标识码:A 文章编号:2096-4706(2021)11-0158-05
Construction of Security Information System Management System in Scientific Research Institutes
HUI Jianxin1 , QIAO Dezhi 2 , LOU Hongwei 3
(1.Purple Mountain Observatory, Chinese Academy of Sciences, Nanjing 210023, China; 2.Dalian Institute of Chemical Physics, Chinese Academy of Sciences, Dalian 116023, China; 3.Changchun Institute of Optics, Fine Mechanics and Physics, Chinese Academy of Sciences, Changchun 130033, China)
Abstract: The relevant security mechanism and management methods within the group are studied. On this basis, it puts forward information security management measures at four levels of "system, network, operation and maintenance, user", forms a unified integrated security management system, and realizes comprehensive information security management architecture from management concept to technical support, system construction, operation and maintenance support, and user application. In the execution process of the relevant units, the security, integrity and practicability of the system are guaranteed; it can effectively improve the security management level and security guarantee ability of security information system. The system plays a guiding role in the construction, evaluation, operation and maintenance of security information system.
Keywords: ISMS; system management; system framework; security information
参考文献:
[1] 郭夏言,周洁 . 基于 ISMS 思想的涉密信息系统安全保密 管理体系框架研究与构建 [J]. 保密科学技术,2011(8):14-16.
[2] 李晨旸,张晓梅,李媛 . 一种基于层次分析法的大规模信 息系统风险评估方法 [J]. 计算机应用与软件,2013,30(10): 322-325.
[3] 张红卫,惠建新,张永兵,等 .H-ADCP 回归方程拟合及 应用系统的研究 [J]. 计算机技术与发展,2015,25(9):194-198.
[4] 李嵩,孟亚平,孙铁,等 . 一种基于模型的信息安全风险 评估方法 [J]. 计算机工程与应用,2005(29):159-162.
[5] 何敏 . 新形势下军队院校信息安全保密管理问题及对策研 究 [D]. 长沙:国防科学技术大学,2011.
[6] 井光山 . 信息安全管理体系(ISMS)及其构架(一) [J]. 信息安全与通信保密,2001(6):64-65.
[7] 百度文库 . 信息网络安全知识普及教育培训教程——信息 安全基础 [EB/OL].(2021-01-22).https://wenku.baidu.com/ view/96e1f3cdb968a98271fe910ef12d2af90242a8b4.html.
[8] 蔡荣生,郭洪林,林宁 . 信息系统的安全性管理 [J]. 中国 人民大学学报,2005,19(3):121-126.
[9] 张淮,王健宇 . 涉密信息系统安全保密风险管控思路 [J]. 保密科学技术,2016(10):20-21.
[10] 李英 . 集团级管理的标准化管理信息系统设计与实现 [D]. 西安:西安工业大学,2014.
[11] 张振华 . 廊坊供电公司信息安全管理的研究和应用 [D]. 北京:华北电力大学(北京),2010.
[12] 刘行,杨维永,赵甫 . 基于等级保护的安全运维系统的 研究与设计 [C]// 第二届全国信息安全等级保护测评体系建设会 议 . 上海:《信息网络安全》编辑部,2012:68-70.
[13] 张惠 . 信息系统运维阶段信息安全风险评估工作研究 [J]. 网络安全技术与应用,2018(6):15-17.
[14] 张红卫,惠建新 .Web Service 构架下的多语种构件库 系统及实现 [J]. 计算机与数字工程,2014,42(4):616-622+ 728.
[15] 焦迪 . 有关构建政务信息系统密码应用管理体系的建议 [J]. 信息安全与通信保密,2021 (1):70-76.
[16] 李忠俊,张永峰,宋波 . 企业信息安全应对策略探讨 [J]. 电脑知识与技术,2017,13(21):36-37.
[17] 刘志勋 . 企业信息安全风险及控制策略探究 [J]. 信息系 统工程,2016(3):74.
[18] 章建聪,沈晔 . 浅析通信设计企业保密管理体系的构建 [J]. 保密科学技术,2020(12):63-66.
[19] 王洪元,刘晓飞,李晓杰 . 基于医院信息系统探究医院 信息管理体系的构建 [J]. 数字通信世界,2020(4):197.
[20] 桂若柏 . 信息安全风险评估模型的研究及其应用 [D]. 重 庆:重庆大学,2004.
[21] 新文化网 . 学习《国家安全法》百问百答 [EB/OL]. (2016-04-17).https://www.sohu.com/a/69772023_160796.
[22] 百度百科 .ISO17799 [EB/OL].[2021-04-10]. https:// baike.baidu.com/item/ISO17799/2894602?fr=aladdin.
[23] 岳浩 . 信息安全管理体系的建设 [C]// 上海空港(第 8 辑). 上海:上海世纪出版股份有限公司科学技术出版社,2008:3.
[24] 孙强,郝晓玲 .IT 治理信息安全管理:标准、理解与实 施 ( 一 ) [EB/OL].(2004-11-19).http://www.itgov.org.cn/ Item/467.aspx.
[25] 百度文库 .isms 信息安全管理体系 [EB/OL].(2020-08- 10).https://wenku.baidu.com/view/f9cb43f0876fb84ae45c3b3 567ec102de3bddff7.html.
[26] 顾力平,邹珊刚 . 信息安全风险管理的 EPDCA 模型 [J]. 工业工程与管理,2008(2):14-18.
作者简介:惠建新(1978—),男,汉族,江苏盐城人,工程 师,硕士,研究方向:应用系统开发、系统分析与集成、信息系统 管理;乔德志(1979—),男,汉族,辽宁大连人,高级工程师, 硕士,研究方向:安全信息系统设计与开发、安全网运维;娄洪伟 (1982—),男,汉族,吉林长春人,高级工程师,硕士,研究方向: 网络安全架构研究、安全网建设与维护。