论我校工作秘密管理现状、问题及对策
摘 要:在西安市卫生局2013年保密宣传月活动开展之际,恰逢“棱镜门”事件持续升温之时。本文根据上级部门文件精神,结合我校信息化建设工作实际,对我校的工作秘密、信息安全及用户隐私保护的现状进行梳理,并指出存在的问题及解决的对策。
关键词:保密;信息安全;隐私
中图分类号:g270
近日,我校先后接到《西安市卫生局关于深入开展2013年保密宣传月活动的通知》(市卫发【2013】232号文)、西安市卫生局、《关于开展我市卫生行业信息安全等级保护工作的通知》(市卫发【2013】238号文)等关于新《保密法》和信息安全等级保护方面的多份文件。此时恰逢美国“棱镜门”事件持续发酵,在全球范围掀起了信息安全和个人隐私保护的大讨论。虽然我校并不涉及,但自身的数据安全、信息安全与用户个人隐私对学校来说仍然是信息化建设中不可缺少的重要内容,甚至可以说是信息化建设的第一要务。作为我校信息化建设管理部门,网络中心对历年来我校信息化建设的相关保密工作进行了全面的梳理,对信息安全及个人隐私保护进行了深层次的思考,并结合我校保密级别和实际工作需要,在教职工中开展了计算机和网络安全讲座、个人隐私保护的调研等活动。根据梳理、调研情况和自己的思考,现就我校工作秘密管理现状、问题做出总结,针对存在问题制定了具体可行的对策,并简单介绍了信息系统安全应急预案的制订。
1 我校工作秘密管理现状
我校多年来有优良的工作保密意识,严格遵守上级部门关于工作保密方面的规定,先
后组织学习了、国家保密局、国家密码管理局、信息化工作办公室(以下简称四局办)联合发布的《关于印发的通知》(公通字【2007】43号文)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安【2007】861号文),卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发【2011】85号文),陕西省卫生厅、陕西省厅《全面开展我省卫生行业信息安全等级保护的通知》(陕卫办发【2012】131号文),以及西安市四局办联合发布的《关于印发的通知》(西公通【2007】501号文)等文件。根据文件规定和要求,结合我校信息系统“仅对公民、法人和其他组织的合法权益造成损害”的实际情况,确定我校业务信息安全保护等级为一级,并与西安市网络安全监察支队签订了《安全责任书》、《西安市信息系统安全等级保护责任书》。
在工作中,严格按照上述文件和责任书的规定、要求及国家制定的相关管理规范和标准,实施我校信息化建设工作。主要内容有:(1)购置安装了网络审计设备一台,对通过校园网上网的行为进行监控和记录,并设置严格的规则对上网行为进行,尽可能避免因教职工上网行为给社会秩序、以及公民、法人和其他组织的合法权益造成损害。(2)将动态ip的上网方式更改为采用个人账号上网的方式,并对上网账号的身份证复印件、联系方式、使用地点进行详细的登记及备案,对使用校园网上网所需承担的责任和义务逐一告知,用户资料登记、账户建立完毕立即交校档案室留存并登记交接记录,以避免教职工个人信息泄漏。上网账号持有人的住址和联系方式在校网络中心备份,当有异常情况发生时便于及时通知用户,遇有不良行为发生则可以确定责任,落实相关责任人。(3)制定了《西安市卫生学校网络信息安全审计设备使用管理暂行规定》、《互联息发布责任书》、《西安市卫生学校网站管理规定》等一系列的规章制度,从制度上杜绝可能发生的个人泄密或违法违规行为的发生。(4)制定了现有网站数据、邮件数据、上网及文件服务器的个人账户数据等重要数据的日志记录和备份制度,确保一旦发生故障可以及时地进行恢复。(5)在教职工中举办了《计算机及网络安全》专题讲座,内容包括个人信息及数据安全、病毒、木马的传播途径和预防、个人用户相关的互联网法律法规条款、学校网络审
计设备的使用及管理规定、校园网用户的权利、义务和责任等,加强了教职工在信息时代的自我保护意识和法律意识,使教职工对自己的网络行为进行自省,帮助教职工健康、合法合规的使用学校或社会提供的计算机软、硬件和网络资源。(6)在讲座进行后,对部分教职工进行了网络安全方面的调研,大家关心的问题集中在上网行为审计是否会侵犯和泄漏个人隐私上,通过对审计设备使用、管理和数据查询等制度的解释,使信息管理工作得到了大家的信任与支持。
2 存在的主要问题及对策
随着信息化程度的提高,各单位行政管理、业务管理内容也不断充实到信息化平台中。信息系统对各单位来说,不仅是一项庞杂而浩大的工程,也是需要不断充实和改进的,没有“终点”的持续发展的工程。在不断地充实、发展和完善,以及计算机和网络软、硬件的发展变化中,会不可避免地出现一些问题。根据多年从事信息化建设的经验,笔者认为问题大致有以下几种,并制定了相应的对策:
2.1 人事变动造成责任主体的变化:加强部门协作,工作人员到岗、离岗手续中,增加信息业务部门的确认环节,确保责任落实。同时参照国家保密法的规定,对涉及单位秘密、职工信息和隐私岗位的新聘人员进行保密教育培训,使其掌握保密知识技能、严格遵守保密规章制度,并且与其签订保密承诺书(内容还应包含离职后的“脱密期”等条款),保证单位和职工的合法利益不受侵害。
2.2 信息系统建设的变化:现有信息系统由上级多个部门各自发布并管理,如人事、财务、学生管理等。随着西安市信息系统的整合以及我校自身信息化建设情况,当学校拥有自身数据库系统时,及时调整我校的信息安全保护等级,并根据相应级别完善手续和制度。在修订数据、信息安全、隐私保护等相关制度的过程中,组织相关的科室、人员对信
息系统以及系统的管理方式进行全面的风险评估、安全评估和风险、安全性测试,必要时聘请安全专家参与修订,拾遗补缺,完善制度,以保证系统的安全。
2.3 、法律法规的修订:积极学习信息安全等级保护的最新、法律法规和文件,及时调整和完善我校信息安全相关规章制度。
2.4 计算机、网络系统的发展:计算机和网络系统发展极快,各种软件、硬件及网络传输的国家标准和规定也在不断地制订或修订。同时,信息化建设的管理人员也要对相关计算机和网络系统的各种安全保密标准和安全技术进行持续的、深入的了解和学习,在信息化建设过程中严格遵守相关标准、规定和制度,从项目规划、实施、安装运行到维护各个环节都做到合理、合法、合规。
3 安全事件的处理
功能再齐全的设备和内容再完善的制度,都只能保证“相对安全”。一旦因设备故障、操作失误等原因造成信息安全事件,我们就需要通过一系列的预案来及时进行处理,将损失和影响最小化,所谓“亡羊补牢,为时未晚”。国家的各级各类部门均有针对紧急事件的处理预案,而“信息系统安全应急预案演练”也是上级主管部门历年来对我校综合目标考核的指标之一。对于信息系统安全预案的制订,内容主要考虑环境安全(防灾)、数据安全(冷、热备份),流程主要考虑接报或发现部门,根据不同事件级别确定上报的领导及主管部门、门,协调处理的科室,处理的结果,每次事件内容及处理流程需存档。预案制订完成后,还要按照一定的周期组织相关部门和人员进行演练,以保证事件处理效率及预案的切实可行。
参考文献:
[1]百度百科.保密法[db/ol].http://baike.baidu.com/view/231468.htm.
[2]百度文库.卫生行业信息安全等级保护工作的指导意见[db/ol].http://wenku.baidu.com/view/780cc22f3169a4517723a35d.html.
[3]韩健.从“棱镜门”信息安全建设[db/ol].http://www.cioage.com/art/201307/102638.htm.
作者简介:邱翔宇(1973.12-),男,讲师,从事计算机教学、校园网络管理及学校信息化工作。
作者单位:西安市卫生学校,西安 710054
