565.net

广州石化成功创建企业信息安全工作JSA模板

www.chinaoilonline.com  2019-01-18 02:22:32

    近日,广州石化在“提货易”和“智能化管线管理系统智能巡线移动应用”两个互联网应用安全专项治理行动渗透测试中,推广应用了企业信息安全工作JSA模板。在整个渗透测试过程中,作业人、监察人、渗透实施人、应用管理员、安全管理员和各级审核审批人员,严格实行JSA许可证各项管控流程,确保了渗透测试作业以体系化的信息安全管控方式有效实施。

    作业安全分析(job safety analysis,JSA)是指事先或定期对某项作业活动进行危害识别,并根据识别结果制定和实施相应的控制措施,以达到最大限度消除或控制风险,确保作业人员健康和安全的目的。

    广州石化借鉴安全生产管理中的JSA分析法,结合《企业信息安全风险评估工作细则》,创新性地建立了一套企业信息安全工作JSA模板――《广州石化信息系统渗透测试JSA许可证》,内容包括JSA安全风险因素评估、人员安全教育情况、工具和策略选择安全确认、业务应急措施、系统备份与恢复、现场作业监护等安全措施。

    《广州石化信息系统渗透测试JSA许可证》以企业信息安全管控为起点,通过“作业前安全措施确认”、“作业活动”到“完工验收”等管理环节,对信息系统渗透测试作业步骤进行全流程管控。针对每一步骤从数据备份、应急处置预案、安全扫描、漏洞报告确认等方面进行再细分,每一分步骤除了现有的控制措施外,还增加相关子级控制措施,保证了信息系统渗透测试作业期间业务的连续性和可用性。

    在相关操作中,操作方逐条签字认可,经应用系统业务主体单位、信息HSSE负责人和信息部门领导签字审批方可持证作业。

XML 地图 | Sitemap 地图