浅析信息系统生命周期安全管理体系建设思路

信息技术在加速企业发展的同时,也给企业带来了各个方面的信息安全威胁;敏捷开发、快速迭代提高企业信息系统业务需求响应速度,但如何全面、有效的安全管理来提高系统的安全性也变得尤为重要。目前,部分金融机构开始尝试建立覆盖信息系统全生命周期的安全管理体系,在信息系统整个生命周期的各个阶段开展相应的安全工作,全面提高系统安全性。

本文结合目前行业现状针对企业信息系统生命周期安全管理体系的建设思路做了简单地梳理。

一、信息系统生命周期阶段划分和过程细化

根据企业信息系统开发模式进行阶段划分和过程细化是加你企业信息系统生命周期安全管理体系的先决条件。

瀑布模型是指把软件生存周期的各项活动规定为按固定顺序而连接的若干阶段工作,形如瀑布流水。

敏捷开发是一种以人为核心、迭代、循序渐进的开发方法。就是把一个大项目分为多个相互联系,但也可独立运行的小项目,并分别完成,在此过程中软件一直处于可使用状态。

目前主流的开发模式有两种,瀑布模型和敏捷开发

这里以瀑布模型为例讲述信息系统生命周期阶段划分和过程细化思路:

将信息系统生命周期分为系统建设、系统运维、系统消亡三个阶段。

各阶段子过程如下:

建设阶段:需求、设计、实施、测试、发布

运维阶段:运行、应急响应

消亡阶段:系统消亡准备、系统消亡、资源利旧、资源报废

图:信息系统生命周期

二、信息系统类型和保障级别的划分

  1. 信息系统类型划分:

a)  按系统建设阶段划分:自主开发系统、合作开发系统、外购系统;

b)  按系统运维阶段划分:核心类系统、非核心类系统、支撑类系统;

c)  按系统消亡阶段划分:敏感数据系统、非敏感数据系统

  1. 信息系统保障级别划分:

a)  高

b)  中

c)  低

三、梳理安全管理需求及安全措施

根据企业自身业务特性及安全管理需求结合行业监管要求,梳理符合企业现状的安全管理需求,将安全管理需求转变为安全能力,并将能力项分解为各项安全措施。

图:安全措施集合

四、建立信息系统生命周期安全管理体系

以信息系统生命周期为主线,信息系统类型和信息系统保障级别为对象,设计在各生命周期阶段子过程中,针对不同对象的安全管理需求,并根据按实际情况(可采取SWOT分析法)实施各项安全措施。

图:信息系统生命周期安全管理体系建立

五、运行改进

企业应按照编制的信息安全管理体系文件要求进行审核和批准并发布实施后,至此信息安全管理体系进入运行阶段。在此期间,企业应充分发挥管理体系本身的各项功能,及时找出管理体系中存在的问题,可通过对安全管理体系中各项措施的取舍(利用SWOT分析法)和信息安全能力成熟度评价,并采取纠正措施,按照更改要求对管理体系加以更改,以达到持续完善信息安全管理体系的目的。

图:信息安全能力成熟度评价

《中华人民共和国网络安全法》

第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。

《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》

第三节 增强研发运维安全管控,实现系统全生命周期安全管理

完善信息系统生命周期安全管理机制,实现信息系统从需求、开发、测试、投产上线、运行、退出的系统全流程安全管理机制。优化安全开发架构,统一部署信息安全功能,实现信息系统安全功能服务化、标准化、参数化,提升安全功能模块部署的一致性和灵活性。加强系统需求分析阶段的信息安全要求,加强新系统研发、新技术应用的安全控制,着力加强安全开发、安全测试管理。加强系统投产上线前安全评估,评价系统安全性以及对整体安全保障体系影响。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论