《电子文件加密系统实施过程中的组织体系重组》由会员分享,可在线阅读,更多相关《电子文件加密系统实施过程中的组织体系重组(7页珍藏版)》请在金锄头文库上搜索。
1、1 电子文档加密系统实施过程中的组织体系重组 林雄飞 (杭州浙大大天信息有限公司 杭州 310012) 电子文档(件)加密系统(简称加密系统)是近几年发展起来的信息化应用系统,主要 应用于企事业对内部电子文档(件)的控制和安全保护,为企事业保全电子信息安全,维护 自身利益做出一定贡献。电子文档(件)加密系统属于具有管理特色的信息化产品,实施过 程中不仅对企事业内部的电子文档(件)加密范围做出规定,并且对企事业的组织机构及行 政管理模式产生新的思维。 GS-DES 大天图文档安全管理系统是一个注重保护电子文档(件)的安全的信息化应用 系统,主要解决电子文档(件)在生成、使用过程中的安全问题,防止
2、电子文档(件)非法 外流后泄漏所载的内容,达到对电子文档(件)的安全保护。通过 GS-DES 系统的实施和对 用户的观察、总结,认为企事业在实施电子文档(件)加密系统过程中,应对企事业的组织 机构和管理模式做出相应调整和改造,以适应加密系统的正常运行并发挥作用。 一. 行政管理重组 企事业的行政管理一般包含组织机构设置、 人员配备和管理制度的设计、 运行及监控等 内容。加密系统的实施,必将对企事业的组织机构、人员配备和管理制度产生影响,及时健 全组织机构,调整相应人员配置以及修订管理制度是成功运行加密系统的条件与前提。 按照 ISO/IEC 27001:2005信息安全管理体系规范标准的规定,
3、为了保障电子信息的 安全,要求企事业依照 ISO/IEC 27001 标准要求建立相应的组织机构,明确电子信息安全保 护目标,确定相应的规章制度和安全管理人员,以及电子信息流通和交流的安全保护模式。 为此,就组织机构、规章制度和人员配置进行以下阐述,如图 1 所示。 图 1 信息安全管理组织机构示意图 1. 组织机构建设 除涉及军工和国家机密的企事业外, 大部分企事业在组织机构设立时, 对信息安全保护2 没有设定专门的部门进行管理和控制,行政、技术、财务、营销等纸质文件分别由办公室、 技术、财务、销售等业务部门自行保管和管理,信息安全保护只停留在规章制度上。而电子 文档(件)的管理更处于原始混
4、沌状态,几乎存放在个人计算机上,由操作者自行存放。少 数企事业利用文件服务器集中存放电子文档(件) ,由 IT 管理部门进行管理,电子信息安全 保护与管理处于低级层面,完全不能达到 ISO/IEC 27001 标准的要求。因此,建立或完善企 事业信息安全保护与管理机构,是实现企事业信息安全保护与管理的前提条件。 1). 信息安全与保密委员会 在国家各级政府和涉及军工领域的企事业都建有信息安全与保密委员会 (或称信息安全 与保密工作领导小组) ,负责本单位的信息安全保护与管理工作,是安全保密方面的最高管 理机构。对于普通的企事业来说,也应参照政府机关的模式,建立以董事长(或总经理或党 委书记)为
5、首、相关部门负责人参加的信息安全与保密委员会,承担本单位信息安全保护与 管理的指导性工作。 2). 信息安全管理工作小组 在信息安全与保密委员会的领导下,由行政领导(或行政办公室主任)组建信息安全管 理工作小组,负责信息安全保护与管理的日常管理与监督。工作小组制(修)订各类有关信 息安全保护与管理的规章制度和工作流程,确定电子文档(件)管理模式,对各类信息(包 括电子文档(件)和纸质文件)赋予相应的保密等级和解密流程。工作小组成员一般由行政 领导(或行政办公室主任)为组长,IT 管理部门负责人为副组长,相关部门派员参加。工作 小组日常管理由行政办公室负责管理、监督和考核。 3). 部门信息安全
6、工作组 企事业的信息来源主要产生于各级部门的日常工作, 各部门按照规章制度也应建立部门 的工作组,负责本部门的信息安全保护和管理。部门工作组负责人一般由部门经理(或指定 专人)承担,日常工作由指定的工作人员负责。 企事业的 IT 管理部门在电子信息安全保护与管理过程中,将承担大量的管理工作,其 工作地位十分重要。由于电子文档(件)已大量替代纸质文件, “无纸化”办公以及办公信 息化成为当前现代化办公的主要模式, IT 管理部门在管理信息化环境中承担起不可替代的作 用。同时,对加密系统的维护、信息化环境的管理与维护工作,仍需要 IT 管理部门承担。 2. 规章制度建立 电子文档加密工作是企业经过
7、信息化改造后所面临的新工作, 传统的规章制度已不能适 应新环境下的管理。按照 ISO 9001 和 ISO/IEC 27001 标准的规定,要求实施电子文档(件) 加密系统, 构建企事业信息安全保护与管理体系, 将需要对原有的规章制度进行修订或制订, 以适应新环境和标准的要求,如图 2 所示。 图 2 信息安全管理制度与体系文件的关系 3 1). 信息安全保密制度 在传统的工作环境下, 企事业根据实际情况和管理模式, 曾制订过 安全保密管理制度 或保密守则等相关规章制度,用于企事业日常的信息安全管理。随着企事业工作环境信 息化以及计算机、互联网的普及,传统的信息安全保密制度已不能满足信息化时代
8、的需要, 对存在于计算机中的大量电子信息缺乏相应的保护措施,落后于时代的要求。因此,需要对 原有的 安全保密管理制度 或 保密守则 进行修订或重订, 着重加入对电子信息的加 (解) 密处理、 计算机和网络的使用等方面的内容, 明确计算机系统管理人员在信息安全保护方面 的职责。 2). 文件加解密流程操作规则 在加密系统的作用下,存在于企事业内部的电子文档(件) ,全部(或大部)都处于加 密状态,电子文档(件)内容相对于外部成为“密文” ,未得到企事业许可(解密)外部是 无法浏览加密文件的。但是,电子文档(件)是承载信息的载体,主要用于信息的交流,文 件的加密给信息安全带来有效的保障,同时也给信
9、息交流(对外)带来“障碍” 。对提供给 外部交流的加密文件,一般要进行解密处理。为了防止任意将加密文件以“明文”的方式向 外提交,企事业应建立加密文件解密流程操作规则,规范解密行为,落实相应的加密文件解 密申请者和审批者, 特别是部分高层管理者的审批角色和权限, 并将申请与解密过程固定化 和合法化。 同时, 利用加密系统的监控功能, 将申请、 审批以及解密过程记入系统的日志中, 以便事后的监督、审查与跟踪。 3). 文件管理与发放制度 文件资料是企事业的核心资源, 承载着企事业大量有关产品、 工艺、 生产、 营销、行政、 财务等方面的核心数据以及企事业今后发展的方向。 文件资料的管理得到企事业
10、领导层的高 度重视,制订了类似技术文件管理制度 、 行政文件管理制度等规章制度,对文件资料 的使用、发放、存放等做出详细的规定和操作流程。电子文档(件)的出现,改变了原有纸 质文档的存放、打印、发放等模式,导致企事业原有的规章制度出现管理“空白” ,给一些 “别有用心”的人留有“余地” 。因此,企事业需要对原有文件的存放、打印和发放方式进 行修订, 增加对电子文档 (件) 管理方面的内容, 弥补因电子文档的出现而带来的管理漏洞。 4). 与现有管理体系的融合 国际标准化组织(ISO/IEC)自 1994 年正式颁布 ISO 9001质量管理体系 要求标准 以及后来的 ISO 14001环境管理
11、体系 规范及使用指南 (1996 年正式颁布)以来,许多企 事业按照 ISO 9001 和 ISO14001 的要求建立质量环境管理体系,并以文件化的模式运行,指 导企事业按照体系模式和要求进行经营管理。在 ISO 9001 或者 ISO 14001 标准中,对文件 的使用和管理做出十分严格的要求, 明确规定企事业的文件管理必须要有相应的控制程序和 作业指导书进行管理并在质量手册或环境手册中给予体现。如文件与记录控制程 序 、 文件编号规则等文件规定了文件的产生、审批、发放、保存、使用、修改、作废等 过程的控制规程,确保文件的有效性。但在 ISO 9001 和 ISO 14001 标准中并没有
12、对电子文 档(件)的管理做出明确的要求,体系文件在制订中往往忽视这方面的内容,形成了文件管 理上的“空白”点或漏洞。因此,在对规章制度修订或制订时,应注意管理体系文件的相关 内容, 并将信息安全保护方面的程序文件、 作业指导书等以及其它有关信息安全保护的内容 纳入管理体系文件之中,以使管理体系文件更加完整。 3. 人员配置 加密系统的主要功能是对计算机生成的各类电子文档(件)进行“后台”自动加密,并 且使电子文档(件)在加密控制状态下进行各种操作和编辑,以确保电子文档(件)的安全 性。对计算机操作者来说,无论其职务高低,均受到加密系统的控制。但由于操作者在企事 业中的行政职务和工作性质不同,
13、加密系统将计算机操作者分为三个类别, 授予不同的工作4 角色和系统管理权限。因工作岗位或管理职责的变化,加密系统可随时进行调整和变动,以 适应管理角色的变化。如图 3 所示。 图 3 加密系统环境下的人员分布示意图 1). 普通人员(绝大部分企事业普通员工) 在企事业中,大部分的电子文档(件)都是由普通员工产生的,普通员工是加密系统的 主要运用者,也是加密文件的主要使用者。在加密系统的控制下,普通员工产生的电子文档 (件)受到加密处理和控制,普通员工对加密文件无直接解密权限,对需要解密的加密文件 可以提出解密申请。 为了方便普通员工在加密环境中使用一些在加密文件与非加密文件的复 制(粘贴)工具
14、时,管理员工可随时赋予或解除。在普通员工所使用的计算机上,未得到管 理员工的许可和授权下,所安装的加密系统是无法卸载的。 2). 管理人员(一般为企事业中高级管理者) 在加密系统中,管理员工与普通员工一样,属于加密系统的控制对象,所产生的电子文 档(件)均被加密,安装的加密系统是无法卸载的。但管理员工具有一定的管理属性,对需 要外发的电子文档(件)拥有决定权。因此,在加密系统中把企事业管理员工授予加密文件 解密的审批者,通过加密系统事先确定的审批流程进行加密文件的审核。 管理员工的解密审批权并不是有生而来, 是根据管理员工在企事业中的管理地位 (如总 经理、副总经理、部门经理等等) 、管理范围
15、(如主管工作区域等)以及对外接触范围等因 素而确定。 加密系统除事先确定管理员工的解密审批权外, 还可以临时赋予或解除其解密审 批权。在加密文档解密过程中,一般情况下,解密的审批权一般赋予总经理、副总经理以及 IT 管理部门经理以及总经理授权的部门经理等。一般部门经理(如技术部经理、办公室主 任等)只能在上级领导缺岗时,经过授权以审批代理人的资格行使权限。而对于普通员工只 能提出加密文档解密的申请,交付指定的审批者进行审批。加密文档解密申请得到批准后, 加密文档将自动给予解密,并放置到制定的位置。 3). 维护人员(一般为 IT 管理部门员工) 维护人员一般由企事业 IT 管理部门员工承担,除
16、受到加密系统的控制外,同时也承担 加密系统的日常维护、用户管理、行为监控等工作。IT 管理部门员工根据工作需要可以赋 予相应的加密系统管理权限和角色(岗位) 。加密系统对安全系统管理模式采用分权管理、 相互监督的形式。 对大型企事业可按照系统管理员、 帐号管理员、 流程管理员、 日志管理员、 备份管理员、外发管理员、模版管理员等不同岗位角色进行设置并赋予相应工作权限。而对 中小型企事业而言,可对角色、权限进行必要的组合,形成系统帐号管理员、模版 流程管理员、日志备份管理员、打印管理员等。 5 二. 文件打印与外发管理重组 文件是信息的载体,是为交流或保存而产生。电子文档(件)的外发手段主要为文件打 印和文件传送等方式,文件的外发成为信息泄漏的主要途径。因此,在加密系统的控制环境 下,应对传统的文件外发过程进行重组。 1. 电子文档(件)打印管理 电子文档(件)的打印工作一直是企事业重点控制的对象,并有一系列管理制度进行规 范。随着打印设备购买成本的降低以及
