摘 要:笔者将质量管理八项原则逐一应用于信息安全管理工作中,并在信息安全管理工作中倡导“自我约束、自我控制、自我管理”的管理理念,探索了一些新招法。经实践验证,取得了显著成效。
关键词:质量管理原则;信息安全管理;具体应用
0引言
信息安全工作关系到党和国家的安全和利益。在新的历史条件下,针对信息安全工作面临的严峻形势,如何保障改革开放和社会主义建设事业的顺利进行,保持社会稳定和促进经济发展,更好地为人民的根本利益服务是每位信息安全工作者深入思考的问题。作为军工企业的信息安全工作者,深知做好我国军工企业信息安全管理工作,对打击国内外敌对势力的窃密等破坏和颠覆活动、巩固我国国防建设的重要作用。特别是针对当前我国新时期特定的历史条件和时代特点,面临反渗透、反策反、反和平演变的任务,更要站在讲政治的高度、站在确保打赢的高度,进一步加强军工企业信息安全管理工作。为此,笔者就如何运用质量管理原则,做好军工企业信息安全管理进行浅谈。
1信息安全管理的内涵
1.1信息安全的基本概念及保密要求
信息安全是指对信息系统的硬件、软件以及数据信息实施安全防护,保证在意外事故或恶意攻击情况下不会遭到破坏、敏感数据信息不会被篡改和泄漏,保证系统及其信息的保密性、完整性、可用性等基本属性没有遭到破坏,系统运行正常,信息服务功能不中断。
信息安全的定义涵盖了系统和信息两个层面的安全保护问题。对系统安全而言,要达到保持最大限度的信息不透明性、不可获取性、不可接触性、不可干扰性和不可破坏性。对信息安全而言,要达到“五不”即“进不来、拿不走、看不懂、走不脱、赖不掉”,即非合法用户进入不了系统;非授权用户即使潜入系统也拿不到信息;重要的信息进行了加密处理即使看到也看不懂;别有用心的人进入了系统或在系统内进行了违法操作,将会留下痕迹,走不脱;若拿走或篡改了信息,将会产生相关记录和证据。
1.2信息安全的管理
信息安全管理是信息安全的重要保证。以往军工企业发生的大量事实证实,大多数安全事件和安全隐患的发生,并非完全是技术上的原因,而是由于管理不善造成的。为了实现信息安全管理控制,就要以国家秘密事项为依据,以计算机硬件、软件、数据和人员为对象,以信息安全技术管理和保密管理为内容,以企业自身的管理体系为平台,以日常管理、监督检查为手段,以实现信息安全管理目标为目的,结合企业自身的组织结构特点和信息系统特点,从管理、技术、运行三个层面上,分别采取相应措施,做到组织落实、技术保障、制度完善、过程受控、奖惩分明、人员教育经常化。
2质量管理八项原则
ISO9000质量管理八项原则,即以顾客为关注焦点、领导作用、全员参与、过程方法、管理的系统方法、持续改进、基于事实的决策方法、与供方互利的关系。这八项原则是质量管理的一般规律和基本理念,也是现代企业提升质量水平的有效方法。为此,笔者借鉴、吸收和运用质量管理八项原则,在军工企业信息安全管理工作方面进行了有益的尝试。
3质量管理八项原则的具体应用
3.1以顾客为关注焦点,确定信息安全保密管理目标
首先,在企业内部由信息安全保密管理部门组织全体员工开展了岗位信息应用需求调查,根据业务流程对采集到的岗位信息需求进行统计、分析、归纳,形成完整的企业内部信息链。其次,由企业内部的国家秘密定密小组,根据国家和军工行业国家秘密及其密级具体范围的规定以及特定研制任务等,按照规定的程序,识别、确定信息的密级,制定信息安全保密管理目标,做到信息安全保密管理目标细化到岗、责任到人。再次,建立信息安全保密管理目标责任考核体系和反馈体系,通过检查和测量手段,确保岗位信息安全保密责任制的有效落实。
3.2强调领导作用,为信息安全保密管理提供保障
以文件的形式明确企业法人是信息安全保密管理工作第一责任人,为信息安全保密管理工作提供有效的组织机构、必要的技防设备、合理的资金保障,做到人力、物力、财力三落实。
分管领导负责落实岗位信息安全保密管理责任制,要求信息安全保密管理工作与业务工作有机结合,做到同部署、同计划、同检查、同总结、同奖励,督导信息安全管理过程,针对业务工作特点开展对涉密人员的岗位培训,评价信息安全管理人员的技术能力和工作业绩,并对其进行奖励和处罚。
3.3通过全员参与,充分发挥各类人员的自律作用
开展全员的信息安全保密宣传教育,激发他们做好岗位信息安全保密管理的积极性和责任感,在企业中形成“保守国家秘密、维护国家安全”人人有责的氛围。在岗员工根据岗位信息安全保密管理目标完成本岗位信息安全保密职责,产生的工作记录能够追溯已完成的工作过程,充分发挥员工“自我教育、自我改进、自我完善”的主动性,将提高信息安全意识、强化保密观念落到实处。
3.4应用过程方法,识别关键过程和检测控制点
信息安全管理是一项系统工作,其目的是建立一个信息安全系统以保障信息系统的安全,它的实现不仅是纯粹的技术方面的问题,而且还需要制度、管理、企业环境的配合,特别是人在信息安全保密管理过程中所起的重要作用。因此,客观、准确的识别信息安全管理控制过程,确定其关键过程和检测控制点尤为重要。信息安全管理关键过程和检测控制点有:一是制度体系建设,包括涉密计算机硬件及软件管理、网络运行规范、涉密移动存储介质管理、使用人员的使用行为规范、对网络管理人员的监管及涉密人员培训和管理等。二是保密审查审批,包括计算机、办公自动化设备、移动存储介质的密级申请、使用维护、报废销毁的保密审批和管理,各类涉密载体制作、使用及销毁的保密审批和管理等。三是涉密人员日常保密行为的监督与管理等,涉密人员日常保密行为应符合各项保密管理要求。四是人员培训和教育,人员范围包括系统管理员、安全员、安全审计员和使用人员,培训教育内容包括信息安全法规及标准、信息安全防御技术和信息安全防攻击技术等。
3.5通过管理的系统方法,实现企业信息安全保密管理目标
以企业现有管理体系为基础,首先,明确信息安全保密管理在各项工作中的具体要求,建立健全信息安全保密管理体系。其次,明确信息安全保密管理各项工作的顺序,建立信息安全保密管理工作流程。再次,明确信息安全保密管理各项工作的关联关系,建立由计划、实施、协调、监督、管理控制等部门组成的职能体系,对信息安全保密管理目标的实现过程进行策划与实施、检查与测量、比较与分析、纠正与改进,即采用PDCA循环的方法,从而保证企业信息安全保密管理目标的实现。
在信息安全管理职能体系中,监督职能是核心,完成管理过程的检查与测量;计划职能是纲领,分解管理目标、制定措施计划;实施职能是保障,完成信息安全保密管理具体工作;控制和协调职能是监督职能的补充和有效性保证。
3.6以信息安全保密管理目标为核心,推进工作持续改进
持续改进是不断提高工作业绩的有效途径。笔者认为在军工企业信息安全保密管理工作中持续改进有两层含义:一是,在提高信息安全保密管理目标的条件下,提高现有的管理水平;二是,在保持信息安全保密管理目标的条件下,提高现有的管理水平。而后者的工作难度更大,更需要信息安全工作者坚持科学发展观,以人为本,以管理目标为核心,集中精力、花大力气,解决企业中现有的,也是必须及早解决的问题。只有这样,才能真正做到持续改进工作业绩。
3.7规范工作记录,为基于事实的决策提供科学依据
根据岗位信息应用需求调查、信息密级、信息安全保密管理目标及岗位信息安全保密责任制,确定需要采集的各类数据和信息,结合业务工作流程编制记录格式,对记录的填写提出明确要求,确保所记录的数据和信息全面、完整、准确、可靠、及时、客观。这些明确的要求还要细化到岗位,并以文件形式配发到每个岗位及岗位上的人员,形成一种作业行为。同时,定期对收集到的数据和信息,使用适当的定性和定量的方法进行统计与分析、判断与评价,将评价结果作为改进的新需求,经过企业管理层充分讨论和认真权衡后,做出决策并制定出新的具体的改进措施。
3.8加强工作协作,树立信息安全管理互利共赢理念
信息安全管理包括信息安全技术管理和信息安全保密管理,信息安全技术管理主要包括生命周期管理、风险管理和级别管理;信息安全保密管理主要包括涉密信息系统的保密管理、互联网的保密管理、移动通信的保密管理、对国家秘密载体的保密管理、涉密人员的保密管理、涉密场所的保密管理和保密技术研发与应用管理等。在企业内部,通过企业自身的各种管理手段实现信息安全技术和保密管理常常涉及到的管理部门有:信息网络及计算机管理、信息载体(纸介质、移动存储介质、实物)管理、保密工作部门等;生产使用部门有:采购、设计与开发、生产与服务部门等。各部门之间的生产职能与信息安全保密管理职能既相对独立,又相互依存,每项工作都是企业运营体系中的一个环节,每项工作都是信息安全管理体系中的一个环节,任何一个部门在信息安全管理工作中存在的问题,都将影响到企业信息安全管理整体目标的实现。因此,各部门之间应该做到:一是以人为本,建立和谐的人际关系和沟通关系;二是以国家秘密为核心,建立诚信的工作协调与协作关系;三是以完成管理目标为目的,建立事前策划和设置、事中检查和测量、事后评价和改进的过程控制体系,共同营造信息安全管理互利共赢的理念,才能真正做到确保信息安全。
4结束语
近年来,笔者在信息安全管理工作中进行了有益的探索,将质量管理原则八项逐一应用于信息安全管理工作中,倡导“自我约束、自我控制、自我管理”的管理理念,并结合实际业务工作流程,选用不同的检查和测量方法,进行定性和定量的比较和分析,坚持在PDCA循环中不断持续改进,取得了显著的管理效果,使本单位的信息安全管理工作逐步走向体系化、规范化、制度化。
作者介绍:陈梦茹(1964-),女,天津市人,教授级高级工程师,学士,现从事保密管理工作多年
参考文献:
[1]施峰. 信息安全保密基础教程[Z].北京.国防科技工作保密资格认证中心.2007
[2]张婀娜.邱菀华等.项目管理师[Z].北京.机械工业出版社.2003
[3]项建国.建筑工程项目管理[Z].中国建筑工业出版社.2005
[4]《保密工作》杂志[J].2008年1-2期
(责任编辑:)
