(一)连接管理要求
1. 断开工业控制系统同公共网络之间的所有不必要连接。
2. 对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。
(二)组网管理要求
1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。
2. 采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,加强对关键工业控制系统远程通信的保护。
3. 对无线组网采取严格的身份认证、安全监测等防护措施,防止经无线网络进行恶意入侵,尤其要防止通过侵入远程终端单元(RTU)进而控制部分或整个工业控制系统。
(三)配置管理要求
1. 建立控制服务器等工业控制系统关键设备安全配置和审计制度。
2. 严格账户管理,根据工作需要合理分类设置账户权限。
3. 严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。
4. 定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。
(四)设备选择与升级管理要求
1. 慎重选择工业控制系统设备,在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务,确保产品安全可控。
2. 加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。
3. 密切关注产品漏洞和补丁,严格软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。
(五)数据管理要求
地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等,要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护,切实维护个人权益、企业利益和国家信息资源安全。
四大因素驱动管理水平提升
经过十多年的建设与发展,中国移动已建成一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。目前,中国移动的网络规模和客户规模列全球第一。但近几年来,中国移动的信息安全管理压力不断加大,这是由于以下四个因素:
首先,适应信息安全形势发展的基本需要。随着社会环境、产业环境的变化,通信网的重要性日益凸显,民众对通信网的依赖程度日益提高,网络与我们的生产、生活密不可分。与此同时,网络安全攻击事件日益增多,网络攻击技术越来越多样化,攻击的自动化程度也越来越高,信息安全形势日益严峻。作为国有重要骨干企业,中国移动加强信息安全管理,既是实现企业发展战略目标的需要,也是履行企业社会责任的基本需要。
其次,Y本的市场监管要求。2002年,美国安然、世通等财务欺诈事件之后,美国立法机构出台了《萨班斯―奥克斯利法案》(以下简称《萨班斯法案》)。《萨班斯法案》不仅适用于美国上市公司,也适用于在美国证监会注册的外国公司。中国移动作为在美国证券交易市场上市的海外公司,也必须遵循《萨班斯法案》相关要求。为了遵从《萨班斯法案》,中国移动制定的内部控制矩阵中,有313个项与信息安全有关。
再次,满足国内监管部门的监管要求。随着信息安全形势的发展,国内监管部门对信息安全管理提出了明确要求。公安部、工业和信息化部、国家保密局和证监会等部委陆续了相关文件对企业信息安全管理提出了要求,如公安部、国家保密局、国家密码管理局和国务院信息工作办公室的《信息安全等级保护管理办法》,公安部的《互联网安全保护技术措施规定》,工业和信息化部的《通信网络安全防护管理办法》,财政部、 证监会、审计署、银监会和保监会印发的《企业内部控制基本规范》等。
最后,满足企业自身管理提升的要求。中国移动从提升自身管理的角度出发,建立了较为完整的信息安全管理体系,覆盖系统建设和运维、业务经营、客户信息保护等环节。
然而,由于信息安全管理涉及多个业务部门和管理部门,管理复杂度高,工作繁杂,过去难以进行体系化管理、执行难度高成为中国移动信息安全管理工作的突出问题。
五大管理措施保证信息安全
中国移动信息安全管理的总体目标是借鉴国际的先进GRC管理理念,按照PDCA(Plan―Do―Check―Action,计划―实施―检查―处理)模式,建立涵盖合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制;采取相应的技术手段、通过有效的管理措施,保证信息资产免遭威胁,或将威胁带来的不良后果降到最低;持续改进,实现信息安全管理水平的螺旋式提升,最终维护组织的正常运作和健康发展。具体来说,中国移动主要采取了以下五项措施保证目标的实现。
第一,建立信息安全合规闭环管理机制。中国移动在信息安全管理方面借鉴了GRC管理理念,参考了ISO27001信息安全闭环管理体系的PDCA模型,形成了特有的信息安全合规闭环管理机制。中国移动结合自身的实际情况,将信息安全合规管理工作划分为合规要求、合规执行、合规检查、合规评价、合规整改等五个环节。其中,合规要求对应的是计划(Plan),合规执行对应是实施(Do),合规检查和合规评价对应的是检查(Check),合规整改对应的是处理(Action)。这五个环节形成了信息安全合规的闭环管理,借助流程全面贯彻。
第二,进行集中、制度化管理,全面满足内外部监管需求。中国移动根据外部的《萨班斯法案》、ISO27011信息安全管理最佳实践、国家信息安全等级保护、通信网安全防护等相关的合规要求,制定了多达200余个安全管理制度和标准,覆盖系统建设与运维、业务经营、客户信息保护等环节,涉及多个业务部门和管理部门,涵盖了安全方针、风险管理、第三方管理、安全事件处理、安全基线等数十个领域。
值得一提的是,由于需要遵从的合规要求较多,部分“规”之间存在内容交叉和要求不一致的情况。如果缺少集中化的管理,会导致日常的制度和标准查询、获取和执行都比较困难。为此,中国移动对需要遵从的国际、国内、行业和企业内部的信息安全管理制度、标准进行了梳理,参照国内外标准和最佳实践,形成了《中国移动信息安全管理制度体系框架》。通过制度体系框架,相关人员可以掌握公司整体的信息安全管理全貌,方便、快速地查找对应的要求,高效地分析出哪些领域可能存在制度缺失,为进一步完善信息安全管理体系提供有力的支持,为合规管理体系的建设提供有用的支撑。
第三,完善合规管理矩阵,将安全合规管理工作具体化。信息安全合规管理的核心是建立信息安全合规管理矩阵。该矩阵是基于对各种信息安全管理制度、规范建立的,是对各种信息安全管理要求的条目化、具体化。中国移动在梳理合规制度和建立合规控制框架的基础上,首先建立信息安全责任制、客户信息安全、业务安全和基础安全等子矩阵,然后逐步丰富、完善子矩阵,最终形成全面的信息安全合规矩阵。合规矩阵包括控制矩阵、检查矩阵、对应矩阵和资产矩阵。
第四,建立合规检查规范,实现制度化、规范化管理。为了做好合规检查,中国移动制定《信息安全监督检查工作规范》,实现合规检查制度化、规范化管理。合规检查分为普查模式和专项检查两种模式。
第五,建立评价体系,实现整改工作的闭环管理。中国移动通过实施多维度的合规评价,针对不符合合规要求的检查点和评价相对较差的环节,开展及时的问题整改工作,通过工单等工作流,以下发、整改、反馈和验证四步闭环的管理模式,保证在问题发现后,有要求、有人改、有反馈、有验证,有效落实整改工作。
信息化平台是不可或缺的支撑
为了有效应对当前在信息安全合规管理方面所面临的挑战,中国移动在慧点科技协助下建立了全网集中的信息安全合规管理平台。中国移动的各省公司都可以登录该平台开展合规管理工作。该平台针对中国信息安全合规管理需求,固化了制度管理、控制落实、安全检查、合规评价和整改等信息安全管理流程,为合规工作提供了流程化、平台化的高效工具。
中国移动信息安全合规管理平台包括制度管理、矩阵管理、执行管理、合规检查、合规风险评价和整改管理等核心功能模块,可以有效支撑信息安全合规的全生命周期流程管理。
通过建立以信息安全合规管理矩阵为核心的合规管理体系,全面部署信息安全合规管理平台,中国移动实现了如下的效果:
第一,提升了信息安全业务管理的统一性、完整性;
第二,提升了集中化自主运营能力,有效提升业务连续性;
随着信息化进程的持续深入和互联网的快速发展,信息技术在有效支撑政府部门深化管理能力、提升公共服务水平的同时,其所带来的安全隐患也在日益显现。闻名全球的美国政府“维基泄密”、伊朗核设施遭“震网”病毒袭击等安全事件充分说明由于政府部门信息事关国计民生,其重要性和高度敏感性使得政府部门信息系统已成为国内外敌对势力、敌对分子进行网络渗透、数据窃取和攻击破坏等活动的重点目标。如何保障信息化建设成果以及如何防范物联网、云计算、社交网络、三网融合等新兴IT技术发展所带来的新的安全风险已经成为各级政府部门信息化建设与发展过程中的重要课题。
2 信息安全保障要求
面对日益严峻的信息安全形势,网络信息安全问题越来越引起我国政府的高度重视。从1994年开始,国家相继制定了一系列的法律、法规和条例,以切实做好全国信息安全保障工作。1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)颁布,条例规定“计算机信息系统实行安全等级保护”。2003年,中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),把信息安全提到了关乎国家安全的高度,并提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神。2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号),明确了信息安全等级保护制度的原则和基本内容,并陆续出台了信息安全等级保护管理办法、基本要求、实施指南等一系列等级保护政策、规范和标准。同年,中共中央保密委员会下发《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7号),同样出台了相关管理办法、技术要求、管理规范、测评指南、方案设计指南等保密标准,用于指导信息系统的建设、使用和管理。
当前,信息安全已成为国家安全的重要组成部分。各级政府在不断完善信息安全规章制度的同时,每年以多种形式重申和强化信息安全工作要点,部署专项安全保密措施,监督检查信息安全落实情况,并把培养信息安全人才作为发展和建设我国信息安全保障体系必备的基础和先决条件。
3 信息安全人才队伍建设现状
(1) 信息安全人员数量
从事信息安全管理工作人员较少,主要开展基于区域边界、网络传输和计算环境的安全管理,在主机、应用和数据方面较为缺乏,对于重要信息系统所需配备的系统管理员、安全管理员和安全审计员,普遍存在根据业务需要临时任命现象。
(2) 信息安全人员结构
信息安全人员多数为其他岗位人员兼任且非信息安全专业,是在进入岗位后根据职能要求逐步熟悉、掌握信息安全技术知识,虽然具备了一定的信息安全技术与管理能力,但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域,非专职信息安全人员在忙于众多事务管理的同时难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况,缺乏知识储备和经验积累,造成缺乏懂技术、会管理和熟悉业务的信息安全人才。
4 面临的信息安全隐患
由于相对固化的信息安全人力数量、知识结构和运行机制,管理部门难以有效承接来自政府主管部门的信息安全保障要求,信息安全隐患逐渐显现。
(1) 信息系统建设缺乏总体安全规划
信息系统建设的承建主体多数为政府业务管理部门或技术支撑部门,在信息系统规划中他们更多的是注重业务应用功能的实现和不同信息技术的实现方式,而对系统信息安全缺乏全盘考虑和统一规划,导致信息系统在建设过程中没有充分考虑网络、主机、数据和应用的安全策略、安全技术措施以及信息安全管理要求,仅在系统竣工前或安全测评阶段,根据相应的检查指标需要,临时、被动地针对信息系统实施一定的安全防护措施,造成了安全建设与信息系统建设相分离。虽然达到了某阶段要求,但是安全措施比较零散,缺乏体系和相互关联,甚至实施的安全措施治标不治本,安全隐患重重。事实上,缺乏真正来自业务管理目标的信息安全需求,临时建立的信息安全策略也在信息系统变更、优化和升级中因缺乏动态的改进和完善而逐步缺失,使信息系统基本处于不设防状态。
(2) 信息安全技术应用滞后
在信息技术广泛应用和新兴IT技术快速发展的同时,信息安全技术也发展得越来越专业。信息安全产品也根据不同的专业领域划分为主机安全、网络安全、应用安全、数据安全等多个类别,涉及防火墙、恶意代码防护、入侵检测、安全隔离与信息交换、网站防护、加密机、数字证书、安全审计等专业技术。了解、熟悉并且科学合理地使用这些专业化安全产品需要信息安全管理人员既要熟悉业务应用和系统信息技术实现方式,又要了解当前系统面临的安全风险和所需的信息安全技术与管理需求。然而,当前信息安全人员知识结构和业务涉及面不具备这些基本要求,造成信息安全技术应用滞后或部分处于缺失状态。
(3) 信息安全产品未能充分发挥作用
当前,信息安全已经从传统的网络层上升到应用层,并已深入到业务行为关联和信息内容语义范畴,越来越多的信息安全技术已经和应用相结合。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自业务应用需要和明确的策略要求,信息安全产品更多的是面向应用层面的信息安全控制。但是多数信息系统在软件开发时缺乏明确的安全需求,在系统运行中对访问主体的授权认证、数据传输、应用服务端口等缺乏相应的安全控制措施。应用安全需求说不清造成了信息安全产品安全策略权限开放过大或无安全控制,安全告警无法有效判断。所以,信息安全产品未能充分发挥其应有的作用,部分产品形同虚设。
(4) 难以规范执行保密技术管理
信息化进程不断深入的同时,保密工作也越来越依赖于信息技术,保密管理已超越了传统的范围、内容、方法和要求,在高技术窃密频发的情况下,保密技术防护手段已成为保密管理工作的重要环节。但是信息技术人员由于缺乏保密培训、经验积累以及保密工作环境氛围的熏陶,难以满足保密管理工作的规范性和强制性要求。
(5) 信息安全意识薄弱
人是信息安全工作的核心因素,其知识结构和应用水平将直接影响信息安全保障工作。由于信息安全管理人员的专业性不强,在日常安全管理活动中,缺乏开展面向网络用户的信息安全宣传、引导和培训以及即时、足够的安全提示,造成用户信息安全意识淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险,用户在实际工作中容易产生违规操作,引发信息安全问题或失泄密事件。
5 存在问题分析
(1) 信息安全组织架构不健全,缺乏人才培养
信息安全是在信息化进程中逐步发展起来的,信息安全技术也是随着信息技术从无到有,从简单到复杂。但是,在信息技术快速发展与信息安全知识快速更新的情况下,由于信息安全组织架构不健全,未能完成信息安全人才的培养与储备,造成当前信息安全人才与实际信息安全工作技能要求的脱节以及部分领域信息安全人才的缺失,信息安全保障工作难以落地。
(2) 缺乏激励机制,信息安全工作价值得不到体现
由于缺乏有效的激励机制与人才评价机制,信息安全保障工作的后台性使信息安全管理人员的工作绩效得不到完整的体现,在实际工作中甚至遇到其他业务管理人员的不理解或不配合,造成真正的人才反而受到的评价不高,挫伤了人才的积极性。
6 信息安全人才队伍建设发展探索
随着新兴IT技术的快速发展,信息安全的内涵及其外延不断地深化和扩大,信息安全成为一个动态的、发展的、全局性、长期性和战略性的问题。传统的单兵作战不仅不能解决信息安全问题,反而蕴藏了更大的安全风险和隐患。信息安全保障工作需要建立一支懂技术、会管理、熟悉业务应用的信息安全人才队伍,并构建相应的信息安全保障体系(如图)。
信息安全保障体系
(1) 建立健全信息安全组织架构,培养高层次信息安全人才
信息安全是建立在信息化和业务的基础上,涉及网络、主机、应用、数据等多方面,管理要素多、专业性强,组织开展信息安全保障工作需要建立一套完整的信息安全组织架构体系。在组织架构中应成立专职的信息安全主管部门,负责编制信息安全规划,指导信息安全建设,制定信息安全总体策略,监督检查信息安全管理与技术防护情况。各业务部门应配备兼职或专职信息安全员,负责本部门业务应用中的信息安全保障工作。同时还应根据不同岗位要求着力培养信息安全人才,特别是懂业务、经验丰富的高层次技术与管理人才。
(2) 构建信息安全治理体系,优化信息安全人才队伍
在建立、完善信息安全组织架构体系,理顺业务关系的同时,构建信息安全治理体系成为确保各项规范、标准和制度落地的重要保障。信息安全治理体系包括安全管理体系和安全技术体系。安全管理体系明确了各部门在信息安全规划、建设、运行维护和改进完善等阶段的工作任务、要求和责任。安全技术体系根据信息安全涉及的不同环节从网络、主机、数据、应用等方面实施相应的安全技术措施。应针对不同岗位要求选择合适的人员,同时,在确保合规性的基础上,根据需求,引入外部力量提供专业化的安全技术支撑,弥补现有人力数量与结构的不足。
(3) 充分体现工作价值,激发工作积极性
信息安全特别是保密安全需要实施准军事化的管理,信息安全管理人员需要高度责任心和政治敏感性。客观、全面地评价工作绩效,充分体现信息安全管理人员的工作价值,落实奖惩措施,激发工作积极性,是信息安全人才队伍建设发展的重要保证。
7 总结
随着信息化进程的加快,信息安全已成为维护国家安全、社会稳定、促进信息化建设发展,构建和谐社会的重要保障。信息安全人才是实施信息安全工作的必备条件,建立并完善信息安全人才队伍建设意义重大。
参考文献
[1]GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》[S].
[2]GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》[S].
[3]BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》[S].
对于进一步提高信息安全的保障能力和防护水平来说,实行信息安全等级保护无疑是一种好的方法,因为它能充分调动国家、法人和其他组织及公民的积极性,增强安全保护的整体性、针对性和实效性,使信息系统安全建设重点更加突出、规范,更加统一。
但是,电子政务重在政务,由于政务部门的职能不同,信息系统的结构、功能和安全要求也不尽相同,信息安全等级保护工作的侧重点也不同。然而从总体上来说,都需要做好以下几点:
落实好“四个把握”
把握等级保护的建设进程。按照等级保护程序规定,做好定级、备案、整改、评测与监管工作。
把握等级划分的合理性和准确性。要认真分析电子政务系统在国家安全、经济建设、社会生活中的重要性程度,即电子政务系统遭受破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,合理准确地确定系统安全等级。具体来说,安全等级的确定要根据信息系统的综合价值和综合能力保证的要求不同以及安全性被破坏造成的损失大小,综合考虑信息系统的经济价值、社会价值以及信息服务的服务范围和连续性。
把握好不同等级的基本安全要求。基本要求是针对不同安全保护等级信息系统,应该具有的基本安全保护能力提出的安全要求。例如:第三级信息系统要具有抵御来自外部组织的恶意攻击能力和防内部人员攻击能力,不仅要对安全事件有审计记录,还要能追踪与响应处理,要实现多重保护制度。
把握好基本技术要求和基本管理要求。基本技术要求包括物理安全、网络安全、主机安全、应用安全与数据安全等方面。基本管理要求是通过控制信息系统中各种角色参与的活动,包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面,从政策、制度、规范、流程以及记录等方面做出规定。对于电子政务系统要特别关注基础设施监控与管理、网络安全监控与管理、业务应用系统的监控与管理、应急响应与备份恢复管理。
引入风险评估机制
信息安全等级保护必须树立风险管理的思想,而风险评估是风险管理的基础,因此,三级以上电子政务系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段:
系统定级。由于不同的电子政务系统具有自身的行业和业务特点,且所受到的安全威胁均有所不同。因此,可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。
安全实施。安全实施是根据信息安全等级保护国家标准的要求,从管理与技术两个方面选择不同强度的安全措施,来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用,那就是对现有电子政务系统进行评估和加固,然后再进行安全设备部署等。在安全实施过程中也会发生安全事件并可能带来长期的安全隐患,如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题,风险评估能够及早发现并解决这些问题。
安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面:一是维护现有安全措施等级的有效性。二是根据客观情况的变化以及系统内部建设的实际需要,对等级进行定期调整,以防止过度保护或保护不足。在安全运维的过程中,通过信息安全风险评估工作可以对已有信息系统的安全等级保护情况进行评估,依据已确定等级的相关保护要求,对系统的保护效果、潜在风险进行评价,评估是否达到等级保护的要求;当信息系统或外部环境发生变更时,可以通过风险评估工作了解和确定风险的变更,为再次定级和等级保护措施的调整提供依据。
建立有效的信息安全管理组织
信息安全管理组织是建立信息安全保障体系,做好信息安全等级保护工作的必要条件。当前很多政务部门的信息安全工作均有信息化部门兼任,没有足够的权威性。等级保护工作的开展,要求在组织内部建立信息系统安全方面的最高权力组织,并有明确的安全目标,目的是在管理层的承诺和拥有足够资源的情况下开展信息安全工作。因此,建立有效的信息安全管理组织必须明确以下内容:
要遵循分权制衡原则。制度的建立、制度的执行、执行情况的检查与监督要分开考虑。在目前的等级保护测评工作中,时常发现有系统管理员、网络管理员、安全员与审计员兼任的情况,甚至一人包揽所有的信息系统运维工作。但从等级保护的基本要求来看,依据分权制衡的原则,建议在电子政务系统中,系统管理员与审计员不得兼任,审计员不能从事所有日常信息的维护与管理工作,系统管理员不能从事审计日志的查看与处理工作。
要坚持从上而下的垂直管理原则。上一级机关信息系统的安全管理组织指导下一级机关信息系统的安全管理组织的工作,下一级机关信息系统的安全管理组织接受并执行上一级机关信息系统的安全管理组织的安全策略。
应常设信息系统安全管理组织办公机构,负责信息安全的日常事务工作。信息系统安全管理组织应由系统管理、系统分析、软硬件维护、安全保卫、系统稽核、人事与通信等有关方面的人员组成。
信息安全管理组织部门不能隶属于技术部门或运行部门,各级信息系统的安全组织不能隶属于同级信息系统管理和业务机构。信息安全管理组织部门只有不隶属于技术或运维部门,才能站在较高的层次上制定信息安全的整体框架与策略、有效的处理安全事件,启动应急预案。
两个发展阶段
卫生监督中心信息安全等级保护工作大致经历了两个发展阶段。
启动与探索阶段(2007年~2008年):2007年12月,原卫生部组织专家组对部直属机关报送的信息安全等级保护定级情况进行了评审。卫生监督中心的卫生监督信息报告系统和卫生行政许可受理评审系统确定为第三级保护,卫生监督中心网站确定为第二级保护。卫生监督中心在了解了信息安全等级保护制度的同时,启动了信息安全等级保护相关工作。为摸清信息安全隐患,2008年卫生监督中心聘请了具有信息安全相关资质的信息安全咨询公司对等保涉及的信息系统进行了信息安全测评,并制定了相应的整改方案。由于2008年信息安全整改资金等原因,未开展相关整改工作。
发展阶段(2009年至今):本着统筹考虑、分布实施的原则,在实施部级卫生监督信息系统建设项目之初就参照等级保护有关要求规划和设计业务应用系统及其运行环境,同时积极开展等级保护备案等工作。在部级项目二期中,专项对信息安全进行加固。并每年邀请公安部信息安全等级保护评估中心,对卫生监督中心的第三级保护系统进行了安全等级测评。
截至目前,卫生监督中心共有3个信息安全等级保护第三级的信息系统,4个信息安全等级保护第二级的信息系统。
信息安全技术体系
卫生监督信息系统信息安全技术体系建设,严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。
1.物理安全
卫生监督中心现有南北两个机房,机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统,南机房部署等级保护第二级信息系统,实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求,机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段,有效地保证了机房的物理安全。
2.网络安全
主干网络链路均采用双链路连接,关键网络、安全设备均采用双机冗余方式,避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护,各网络区域之间采用防火墙进行区域隔离,在对外服务区部署了入侵检测系统,在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统,对网络行为进行监控和记录。在安全管理区部署安全管理系统,实现设备日志的统一收集及分析。
3.主机安全
所有服务器和管理终端配置了密码安全策略;禁止用户远程管理,管理用户必须进入机房通过KVM进行本地管理;所有服务器和管理终端进行了补丁更新,删除了多余账户,关闭了不必要的端口和服务;所有服务器和管理终端开启了安全审计功能;通过对数据库的安全配置,实现管理用户和特权用户的分离,并实现最小授权要求。
4.应用安全
卫生监督中心7个应用系统均完成了定级备案,并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署,保证了系统的高可用性,同时建立了安全审计功能模块,记录登录日志、业务操作日志、系统操作日志3种日志,并实现查询和审计统计功能,配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。
5.数据安全及备份恢复
卫生监督信息报告系统数据库服务器使用了双机热备,应用服务器采用多机负载均衡,每天本地备份,保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份,无论是软件还是硬件问题,都可以及时准确地进行恢复并正常提供服务。同时,卫生监督中心在云南建立了异地数据备份中心,每天进行增量备份,每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试,保证备份的有效性。
信息安全管理体系
在开展信息安全等级保护工作中,我们深刻体会到,信息安全工作“三分靠技术,七分靠管理”。为保证信息安全等级保护工作顺利进行,参考ISO/IEC 27001《信息安全管理体系要求》,卫生监督中心建立了符合实际工作情况的信息安全管理制度体系,明确了“统一领导,技管并重;预防为主,责权分明;重点防护,适度安全”的安全方针,涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。
卫生监督中心建立了较为完善的信息安全责任制,设立了信息安全领导小组,领导小组组长由卫生监督中心主任担任,成员由卫生监督中心有关处室负责人组成,信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位,分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员,并建立了信息安全岗位责任制度。
此外,卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订,确保信息安全工作落到实处。
信息安全运维体系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等级保护有关要求指导信息安全运维实践。
卫生监督中心结合实际情况,编制了《部级卫生监督信息系统运行维护工作规范》,从运行维护流程、资源管理和环境管理三个方面进行了规范,将安全运维理念落到实处。
运维人员在实际工作中,严格按照工作规范要求。利用卫生监督中心OA系统,建立了统一的服务台,实现了事件、问题的全流程闭环管理(即:发现问题、登记问题、解决问题、解决反馈、解决确认)。年均处理信息安全事件近百件,将信息安全问题消灭在萌芽阶段,有效地保证了信息系统稳定运行,保证了卫生监督中心信息安全目标和方针的实现。
信息安全等级保护实践经验
1.规范管理,细化流程
卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设,为部级卫生监督信息系统运维管理工作中安全管理提供了重要指导。
部级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验,不仅合理调配了运维管理人员,落实了运维管理组织机构和岗位职责,而且细化了运维管理流程,形成了“二级三线”的运维处理机制。
2.循序渐进,持续完善
本文依据实际工作经验,对如何结合ISO/IEC 27000系列标准与信息安全等级保护标准建议适用于企业的信息安全管理体系提出了部分探讨性意见。
【关键词】信息安全 管理 体系 ISMS
近些年来,随着信息化的急速发展,国内多次暴露的信息安全事件泄密、系统遭受入侵等安全事件都在刺激着中国国内企业对信息安全的建设。导致国内纵多企业渴求参照权威的标准建立适合企业自身的信息安全管理体系(ISMS, Information Security Management System),从而把握全局性的信息安全建设,对安全建设进行科学的规划。因此本文旨在通过研究相关权威标准,对引用标准建立适合企业自身发展需求的信息安全管理体系的参考意见。
1 标准介绍与对比
目前,国内最为流行的信息安全标准主要是ISO/IEC 27000系列标准和信息安全等级保护标准。下面将简单介绍这两个标准。
1.1 ISO/IEC 27000系列标准
ISO/IEC 27000系列标准是国际化组织为信息安全管理体系制定的一套标准,其核心标准ISO/IEC 27001、 ISO/IEC 27002分别由英国标准协会(BSI)于1995年颁布的BS7799-1和BS7799-2演化而来。BS7799最初由英国贸工部(DTI)立项,经业界、政府和商业机构共同倡导,旨在开发一套可供开发、实施和测量有效信息安全管理惯例并提供贸易伙伴间信任的通用框架。
ISO/IEC 27001类似于ISO9000系列中的ISO9001,强调ISMS的构建和基于PDCA模型的不断循环和改善。安全模型主要建立在风险管理的基础上,通过风险分析的方法,使信息风险发生概率和后果降低到可接受水平,并采取相应措施保证业务不会因安全事件的发生而中断。这个标准中安全管理体系框架构建过程就是宏观上指导整个项目实施的过程。
ISO/IEC 27002则给出了11类需要进行控制的部分:安全策略、安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、信息安全事件管理、业务连续性管理、符合性等方面的安全风险评估和控制,以及133项控制细则。
1.2 信息安全等级保护
信息安全等级保护制度是国家为了提高信息安全保障能力和水平、维护国家安全、社会稳定和公共利益、保障和促进信息化健康发展的一项基本制度,最早起源于1994年我国国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,其核心标准《GB 17859-1999计算机信息系统安全保护等级划分准则》吸取了TCSEC分等级保护的基本思想,根据我国信息安全的需要进行了改进和完善,把安全等级精简为更具可操作性的五个等级。
《GB/T 22239-2008信息系统安全等级保护基本要求》将信息安全控制要求分为技术要求和管理要求两大类。技术要求为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。同时,信息安全等级保护系列标准还具备《GB/T 20270-2006网络基础安全技术要求》、《GB/T 20271-2006信息系统安全通用要求》等细则方面的具体指导要求。
1.3 对比分析
通过两套标准的介绍对比不难发现,虽然ISO/IEC 27000系列标准与信息安全等级保护系列标准都是为了保障企业信息安全,但两套标准的产生背景、实施流程、标准的涵盖范围及侧重点都略有不同。ISO/IEC 27000作为国际通用标准对于企业开拓国外市场更具备信服力,而信息安全等级保护则作为国家战略需求更贴切国内情况,因此企业在建立信息安全管理体系时可结合两套体系的标准,建立一套信息安全管理体系可以取长补短,进一步的保障企业的信息安全。
2 信息安全等级保护的融合
ISO/IEC 27000系列标准的实施步骤是:风险评估安全措施的选择再评估管理体系常态化,这样的评估流程非常全面,但在实施时会存在以下问题:
(1) ISO/IEC 27000系列标准中体现的风险评估方法非常科学,并能全面地评估组织ISMS范围内所有威胁以及脆弱点,但是存在风险评估方法选择困难、实施难度大、耗时长、成本高等问题。
(2) ISO/IEC 27002中包含11项控制领域的39项控制目标和133项控制措施,涵盖了安全管理的各个方面。但在实施过程中,如何选择控制措施很困难,如何有重点有针对地选择控制措施更困难。
(3) ISO/IEC 27001侧重于安全管理方面的标准,虽然后来的改版充分考虑了信息处理技术的发展,但ISO/IEC 27001中没有涉及对系统和产品技术指标的评估,让企业在构建信息安全管理体系时对于如何在技术上达到安全标准要求缺乏细节指导。
融合信息安全等级保护的分级保护思想及其更为细致的配套实施细则可以有效地降低ISMS建设难度,同时保证ISMS更加完善。
2.1 ISMS目标、范围定义融合
信息安全等级保护基于单个信息系统的安全管理实施,对不同级别的信息系统有明确的安全保护目标。因此,梳理出企业的信息系统定级对象、信息系统的边界及安全保护等级可以帮助明确ISMS的目标、范围。
2.2 控制措施的选择融合
《信息系统安全等级保护基本要求》中对每一等级的基本要求内容较为详细,可直接作为该等级信息系统的实施指南。
2.3 控制措施的实施融合
对于如何达到控制要求,信息安全等级保护制度标准有详细的配套标准,如《GB/T 20270-2006网络基础安全技术要求》、《GB/T 20271-2006信息系统安全通用要求》等细则方面的具体指导。因此企业在建立实施时可以参考相关实施细则确保可以满足控制措施要求。
3 总结
世界上没有绝对的信息安全,构建ISMS也并非意味着企业的信息安全保障能力可以杜绝一切对企业信息的破坏,但构建ISMS却可以有效的减少、削弱企业面临的信息安全风险。而常态化运行的ISMS也会随着时间的推移、企业的发展、环境的变化等因素而改进,让企业从容的面对新的信息安全风险。
随着信息通信技术(ICT)的发展和外包服务的成熟,ICT与供应链的融合越来越紧密。ICT供应链的健康运营和信息安全,对提高供应链节点企业的长期竞争力具有很大的推动作用。但是,由于ICT产品或服务的质量缺陷及供应链的脆弱性,往往导致ICT供应链面临着严峻的信息安全风险的考验。为了加强ICT供应链风险的管理和控制,欧美等国家相继制定了ICT供应链风险管理的标准。目前,关于ICT供应链的相关标准体系有两个:(1)ISO/IEC 27000信息安全管理体系中ISO/IEC 27036-3,该标准是ICT供应链信息安全指南的国际标准,其明确了供应链关系中信息安全风险的评估和应对措施;(2)2013年美国国家标准与技术研究院(NIST)的联邦信息系统和组织的供应链风险管理实践指导草案SP800-161。该指导草案是对ISO/IEC 27036-3标准的完善,是通过ICT供应链风险具体路径、供应链风险管理指标以及其他风险缓解活动将ICT供应链风险管理整合到联邦组织采购ICT产品或服务的风险管理体系中,并形成ICT供应链风险管理标准SP800-161。因为SP800-161主要为联邦机构量身定做,具有一定的局限性,而 ISO/IEC 27036是具有普适性的国际主流标准,且具有权威性,故我们主要对供应链信息安全标准ISO/IEC 27036进行分析研究。
2 ISO/IEC 27036标准体系概述
ISO/IEC 27036标准体系由多个标准族集合而成,用于评价和处理供应商在提供服务或产品过程中可能面临的信息安全风险。该标准的制定起因于B2B商业关系中与信息相关产品所产生的信息风险。随着标准的发展,我们认为,只要组织内、外的两个个体存在相互交流或信息交换的情形,都应遵守该信息安全标准体系的要求;但双方不一定产生交易行为,如组织内员工之间的交流或任务的交接等没有产生交易的行为,也应遵守信息安全标准的要求。下面,我们从ISO/IEC 27036标准体系的范围和内容两个方面对ISO/IEC 27036标准进行介绍。
2.1 ISO/IEC 27036标准体系的范围
根据国际标准化组织的文件,ISO/IEC 27036标准体系的范围包括:IT产品和服务范围、标准内容、信息安全控制和组织间关系四个方面。
2.1.1 IT产品和服务范围
IT产品和服务包括:IT外包和云计算服务,其他专业服务(例如,防火墙设置、设备清洁、通讯设备的维护与保养、专家咨询、知识管理、产品或服务的研发、制造、配送及源代码托管服务等),ICT硬件、软件和服务的供应,定制化的产品和服务,以及水电等产品。
2.1.2 标准内容
标准覆盖的内容包括:实施ICT产品和服务时,确保组织战略目标和商业需求的信息安全,降低对供应商的过度依赖。
2.1.3 信息安全控制
要对信息安全的内容进行控制,例如均衡事前准备与分析过程中信息安全的成本、风险和利益;产品和服务供应商是否符合ISO/IEC 27001认证;合作开发和运营中的风险分析、安全设计与识别、资产和事故管理等;信息资产的问责制和责任保护制;明确奖惩及审计制度等。
2.1.4 组织间关系
组织生命周期内的组织关系管理,包括:(1)初始业务范围分析,即自产还是外包决策、多元化还是单一产品决策,以及信息安全需求的定义;(2)产品或服务的采购分析,如组织的运营管理;(3)产品或服务的更新;(4)终止或结束业务关系,或者重新定义企业的业务范围等。
2.2 ISO/IEC 27036标准体系的内容
根据国际标准化组织的相关文件,ISO/IEC 27036《信息技术 安全技术 供应商关系的信息安全》标准体系主要包括四部分:第1部分:概述和相关概念(ISO/IEC 27036-1);第2部分:要求(ISO/IEC 27036-2);第3部分:ICT供应链安全指南(ISO/IEC 27036-3);第4部分:云服务安全指南(ISO/IEC 27036-4)。ISO/IEC 27036-1和ISO/IEC 27036-2是基本规定,ISO/IEC 27036-3和ISO/IEC 27036-4则是具体操作规范与应用。
2.2.1 ISO/IEC 27036标准的概念与相关问题
ISO/IEC 27036-1对ICT供应链所涉及的各个利益相关者和流程进行了规范和定义。例如,需求者是指从另一方获得产品和服务的利益相关者(ISO/IEC 15288:2008,4.1);获取是指获得产品或服务的过程(ISO/IEC 15288:2008,4.2);协议是指工作合作中共同确认的条款和条件(ISO/IEC 15288:2008,4.4);生命周期是指产品或服务从概念到淘汰的全过程(ISO/IEC 15288:2008,4.11);流程是指一组将输入转化为输出的相互关联或相互作用的活动(ISO 9000:2005,3.4.1)。其他的相关概念还有,下游组织和上游组织(ISO 28001:2007,3.10)、 外包、利益相关者、供应商、供应商关系、供应链、系统、信任、可跟踪性等。
通过上述概念,ISO/IEC 27036分析了供应商关系中的几个问题:(1)供应商关系形成的动机,ICT产品或服务外包不仅可以使企业集中核心业务,减少成本,提高服务水平,还能及时更新ICT产品或服务。(2)供应商关系的类型,主要包括购买ICT产品、ICT服务和云计算三类。(3)供应商关系中的信息安全风险与管理,包括以契约和协议的形式降低供应商关系的信任风险;以严格的质量审查减少产品或服务缺陷;监控与识别组织治理的流程,上下级的沟通,以及组织成员的社会文化差异。(4)ICT供应链管理问题,即完善ICT产品或服务的标准采购流程,且ICT产品或服务必须达到要求的信息安全水平。
2.2.2 ISO/IEC 27036标准的结构
由图1可知,ISO/IEC 27036提供了在供应商关系中,如何确保信息安全的多层级国际标准体系。ISO/IEC 27036-1描述了供应商关系中信息安全管理的范围、概念和问题,为ISO/IEC 27036标准体系构建了基本框架。ISO/IEC 27036-2指定了供应商关系中基本的信息安全定义、实现、操作、监控、评估、维护和改善等要求。这些要求支持任何采购和供应的产品和服务,如产品的制造或装配、业务流程采购、软件和硬件的组件、知识流程采购和云计算服务等。ISO/IEC 27036-3提供了具体实施ICT供应链信息安全管理的标准流程。ISO/IEC 27036-4指出云计算在ICT供应链产品和服务中,其应用可能产生的信息安全风险及其管理方法。ISO/IEC 27036标准四个部分的关系如图1所示。
3 ISO/IEC 27036-3——ICT供应链信息安全标准
ICT供应链是ICT产品和服务供应关系的集合,有着多样性的物流和多层次的外包。一般而言,这种网链系统是由组织、人员、流程、产品以及与系统开发生命周期配套的服务和基础设施构成。图2描述了组织、上游供应商和下游需求商组成的ICT供应链。图2中相邻的两个组织,一个称为服务或产品的供应商,另一个称为需求客户。在ICT供应链末端的客户又称为消费者,且消费者一般无法控制上游直接供应商或间接供应商的信息安全要求。
3.1 ICT供应链相关风险
ICT供应链中往往因个别供应商产品或服务的信息安全风险,而导致整条ICT供应链的需求方和供应商面临风险。同时,因需求方不能干涉供应商的相关程序,而使得需求方无法通过沟通、监视和加强信息安全管理来控制上游供应商的信息安全风险。然而,供应商和需求方共同面临的信息安全风险,往往直接与控制意识不足、ICT产品或服务的拥有权及责任不清等有关。由于供应链中ICT产品和ICT服务所面临的风险有所不同,我们就ICT产品和ICT服务可能的风险进行如表1和表2的分类描述。
3.2 ICT 供应链的信息安全要求
需求方之所以接受供应商的产品、配送和服务,是因为需求方期望获得高于自身信息安全水平的标准。这些标准如下所述:
(1)管理影响企业信息连续、信息系统和服务等信息安全的,且与企业环境相关的政策、法律和信息等安全风险。
(2)管理材料和设备的完整性,例如,独特标记和保护标签等。
(3)管理软件和其他电子信息的完整性,例如,哈希函数的加密和数字水印等确保供应商产品不被盗用。
(4)管理配送中产品和服务等设备的物理安全。
(5)管理所有与供应商有商务往来客户、其他客户、与供应商往来的供应商,以及所有需求方的信息安全。
此外,为了合理管理ICT供应链的信息安全,需求方对获得的产品或服务应在组织层面采纳以下标准框架:①建立信息共享和交换的信息安全规章制度;②评价和监督与供应链相关的信息安全风险;③建立ICT供应链协议和信息安全协议的谈判流程;④持续监测并报告ICT供应链内成员的绩效、信息安全和供应商关系的变化。
3.3 ICT供应链安全标准的相关内容
在供应链中,供应商和需求方之间信息安全管理和控制的实施,并未使产品或服务的信息安全风险得到充分的管理。需求方对供应商产品和服务的管理是信息安全的关键,因为这需要需求方对供应商的系统具有一定的可见性。同样,供应商也经常因与需求方和供应商的关联性而增加了ICT供应链的信息安全风险。ISO/IEC 27036-3为需求方和供应商提供了ICT产品和服务的信息安全风险管理指南,其相关标准条款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002,并为ISO/IEC 27036-2提供了相应的管理实践。
除上述相关标准的内容外,ICT供应链标准也有针对IT产品和服务的内容,例如,产销监管链、最小特权访问、职责分离、防篡改与证据、持续保护、责任管理、代码评估和验证、安全培训、漏洞评估与响应、定义安全预期、知识产权和责任、避免灰色市场、采购流程管理、质量管理、人力资源管理、项目管理、供应商关系管理、风险和安全管理、配置和变更管理、信息管理、安全架构设计、ICT实施、ICT集成、ICT测试、恶意软件防护、ICT管理、维修和处理。上述ICT供应链特有内容和已有的相关标准共同组成ICT供应链信息安全标准体系,如图3所示。
4 我国实施ICT供应链信息安全的建议
由于我国ICT供应链实施背景与欧美等发达国家有所不同,就会导致ICT供应链信息安全的国际标准在国内实施时有水土不服的现象。鉴于此,结合国际标准,我们对国内实施ICT供应链信息安全的管理实践提出以下建议:
(1)融合ISO/IEC 27036-3标准和SP800-161标准。ISO/IEC 27036-3侧重从实施流程的角度对ICT供应链中IT产品和ICT服务的信息安全风险管理分别进行描述和分析,并指出ICT供应链信息安全的架构设计、实施、集成、测试、恶意软件防护、管理、维修和处理。与ISO/IEC 27036-3不同,SP800-161是从组织层面分析不同组织层次面临的信息安全风险问题。SP800-161标准从组织内部到外部服务商和系统集成商,再到ICT产品和服务的提供商,通过组织内外的脆弱性分析和威胁因素分析,明确了组织面临的ICT供应链信息安全风险。通过对比ISO/IEC 27036-3标准和SP800-161标准的异同,我们认为我国在实施ICT供应链信息安全风险管理过程中要点、线结合,即:以组织的信息安全管理为点,以整条ICT供应链为线,同时从两个角度全面分析ICT供应链所面临的全部可能的信息安全风险,并对安全隐患加以控制。
确定信息安全管理体系适用的范围。信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况,可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作,应将组织划分成不同的信息安全控制领域,这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时,应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。
现状调查与风险评估.依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价,以及评估信息资产面临的威胁以及导致安全事件发生的可能性,并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。
建立信息安全管理框架:建立信息安全管理体系要规划和建立一个合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设,从信息系统本身出发,根据业务性质、组织特征、信息资产状况和技术条件,建立信息资产清单,进行风险分析、需求分析和选择安全控制,准备适用性声明等步骤,从而建立安全体系并提出安全解决方案。
信息安全管理体系文件编写:建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求,编写信息安全管理体系文件是建立信息安全管理体系的基础工作,也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有:安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。
信息安全管理体系的运行与改进。信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准并实施,至此,信息安全管理体系将进入运行阶段。在此期间,组织应加强运作力度,充分发挥体系本身的各项功能,及时发现体系策划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
购物车(0)
