2016年度以来,在国内外新的安全形势下,朗新全面加强了安全管理方面的工作,专门成立安全管理部,全面负责公司前后端产品安全纵深防护工作,包括各环节安全管理制度、安全工作流程、安全技术规范,通过了信息安全管理体系ISO27001认证,推动O-TTP开放可信技术供应商标准认证工作,以及采用SSDL软件安全开发周期模型和BSIMM成熟模型内建安全评估模型,全面保障公司信息、产品和服务的安全。
其中,安全管理部的重点工作之一是现场服务安全体系的建立健全和落实,对各中心和业务单元开展安全服务宣讲和安全制度执行督查工作。
在公司安全管理部的指导下,山东中心根据现场实际,结合公司信息安全管理标准,重新规范了完整的信息安全制度及监督体系。
建立安全管理组织体系
山东中心成立了由中心总经理、高级技术经理、信息安全专员组成的山东信息安全管理委员会,统一负责山东中心信息系统安全重大事项决策和协调工作,信息安全专员专门负责山东中心安全相关的具体工作,山东中心各部门负责人是本部门信息安全第一责任人,负责部门内部的信息安全具体执行落实工作。
完善安全管理规章制度
山东中心先后编写发布了《山东中心信息安全管理办法及安全监督体系建设规划》、《山东中心关于内网机器使用的规定》、《山东中心数据库安全管理规范》、《山东中心系统发布流程规范》等规章制度,并要求在日常工作中严格执行,进行规范化作业。
加强全员安全意识教育
山东中心采取多种方式进行信息安全宣贯,提高全员信息安全意识。在公司安全管理部的统一安排下,定期进行电话会议宣讲、现场会议宣讲,由安全管理部专家和接触敏感信息的员工进行现场一对一访谈,以办公场所张贴安全标语、印制安全标语鼠标垫、设置安全标语屏保等方式作为补充。
进行安全巡视审计检查
安全管理部专家定期到山东现场进行安全巡视审计检查,专家到达现场后,对山东中心安全管理体系、安全规定执行情况、内网机器安全隐患问题等方面进行详细检查,发现问题一追到底。今后,这项工作还将持续下去,山东中心内部也将不定期进行各部门之间的交叉检查。
安全管理标准化
对现场人员建立安全档案,并予以备案,对重要资料进行盖章封印。
加强对内网电脑、内网U盘管理,对内网机器建立台账并定期进行全面检查,所有变动都走线下流程,对内网机器硬件和系统变动进行登记跟踪,对离场人员电脑进行封存。对内网电脑USB口进行限制使用,对未得到使用许可的USB口进行封印。
为规范化人员管理,山东中心对所有入场人员进行在职人员建档工作,并签订数据信息安全保密及自律承诺书,规范完善了人员入场及离场手续表,防止因人员变动造成数据泄密事件发生。
采取措施加强信息安全
对数据库账号分级分类管理,业务人员只有查询权限,并对账号与IP地址一一绑定,建立线上数据修改审批流程,实现从基层-省公司-运维人员-审核人员-DBA执行-基层确认的闭环管控机制。
开启登陆用户的审计功能,对数据库密码定期进行修改,对接口账号进行梳理,进行权限最小化处理,避免违规情况发生。
对业务系统进行安全加固,对于敏感数据进行脱敏处理,并构建系统安全服务引擎,为山东信息化系统的安全提供安全保障。
下一步,在安全管理部的指导下,山东中心将持续加强在职人员的信息安全培训,切实执行信息安全管理制度,定期开展现场人员信息安全考试;安全管理部也会定期到山东现场宣贯、巡检,切实保障好山东各项业务系统的信息安全。
