4 信息安全管理制度建设(ISMS)

　　信息安全保障是一个动态发展的过程，不但要贯穿于信息系统的生命周期，也要落实到信息系统使用的全过程。所以必须建立完善的管理体系来实现信息安全保障工作的可持续发展。

　　信息安全保障的一般原则是“3分技术，7分管理，以技术来保证管理手段的落实”;同时也是“3分建设，7 分运维，以维护来保证信息安全的持续改善”。为此，武钢从更高的层面进行信息安全保障体系的建设。2006年开始参与国信办信息安全管理试点工作，参照ISO27001国际标准，在更高水平和更深层次上保障信息安全。

　　虽然从技术手段上实施了信息安全工程，但信息系统安全是一个复杂的系统工程，信息安全工作是一项长期的工作，必须建立有效的管理制度体系。武钢成立了公司计算机网络安全保密领导小组和计算机专家组，陆续建立了《武汉钢铁(集团)公司新建和技改计算机系统建设规定》，《计算机信息系统安全管理条例》，转发中共中央保密委员会《关于严禁用涉密计算机上国际互联网的通知》，关于下发《公司电视网络计算机互联网络安全管理办法》，《武汉钢铁(集团)公司整体产销资讯系统授权管理办法》，《武汉钢铁(集团)公司信息化系统事故管理办法(试行)》，《武汉钢铁(集团)公司信息系统突发事件应急预案》，《信息化系统建设及运行管理规定》，《武钢涉密计算机规定》，《实施武钢生产及管理网与国际互联网物理隔离》，《武钢国际互联网上网专用区建设与管理办法》。

　　通过信息安全管理制度建设，武钢确定了公司信息安全的方针是：“全员参与 管控兼并 持续改进 确保安全”。

　　明确了公司信息安全的目标：

　　(1)实现公司信息与信息系统的保密性、完整性、可用性;

　　(2)全年重大信息安全事故为零;

　　(3)公司级信息安全系统功能运转率达到98%;

　　(4)公司级信息系统作业率达到95%以上;

　　(5)公司级信息系统管理、使用、维护人员信息安全培训覆盖率超过60%;

　　(6)遵照PDCA不断持续改进信息安全管理体系。

　　建立以集团公司总经理为最高领导的信息安全管理机构，并明确了各部门的信息安全职责;完成了公司管理手册和30 个信息安全管理程序文件，初步建立公司信息安全管理体系架构等。这项工作由科技创新部负责，得到了公司领导的重视和支持，公司各职能部门积极参与，付出了艰苦的劳动;专业公司也花费大量的心血，同时得到国家顶级信息安全专家的指导，取得了丰硕的成果。这是武钢信息安全建设的重大成就，也走在全国大型企业的最前列。

　　5 结束语

　　信息化也为武钢发展注入了后发势力，为提高武钢整体管理水平，促进管理现代化，转换经营机制，建立现代企业制度，都将发挥巨大的作用。确保武钢信息系统安全是一个长期的、复杂的系统工程，在前期工作的基础上，狠抓落实，在遵守国家相关法令、法规的前提下，坚持技术与管理并重、坚持以安全保发展、在发展中求安全，以信息安全管理体系为中心，通过全员参与信息安全管理体系建设，通过信息安全宣传、教育与培训，不断提高公司员工的个人信息安全素质和公司信息系统的安全防范、安全管理能力，保障公司重要业务及信息系统的安全稳定运行;通过不断地对公司信息安全管理体系进行内部审核和管理评审，使公司信息安全管理体系得以持续改进，按照信息系统“五统一”(统一规划、统一审核、统一维修、统一管理、统一标准)的战略思想，为武钢的生产和发展创造安全高效的信息化环境，促进武钢信息化系统安全、稳定、高效运行。

　　武钢实施信息安全工程以来，有力地保证了武钢整体产销资讯系统的安全、高效和稳定运行，对武钢的生产经营起到积极作用，通过武钢信息安全管理体系的建立与实践，武钢人总结了信息安全的公式，这就是：信息安全=防范意识+先进技术+完美流程+严格的制度+优秀的执行团队+法律保障。

(责任编辑：)