導語：如何才能寫好一篇信息安全管理要求，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

（一）連接管理要求

1. 斷開工業控制系統同公共網絡之間的所有不必要連接。

2. 對確實需要的連接，系統運營單位要逐一進行登記，采取設置防火墻、單向隔離等措施加以防護，并定期進行風險評估，不斷完善防范措施。

3. 嚴格控制在工業控制系統和公共網絡之間交叉使用移動存儲介質以及便攜式計算機。

（二）組網管理要求

1. 工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施。

2. 采取虛擬專用網絡（VPN）、線路冗余備份、數據加密等措施，加強對關鍵工業控制系統遠程通信的保護。

3. 對無線組網采取嚴格的身份認證、安全監測等防護措施，防止經無線網絡進行惡意入侵，尤其要防止通過侵入遠程終端單元（RTU）進而控制部分或整個工業控制系統。

（三）配置管理要求

1. 建立控制服務器等工業控制系統關鍵設備安全配置和審計制度。

2. 嚴格賬戶管理，根據工作需要合理分類設置賬戶權限。

3. 嚴格口令管理，及時更改產品安裝時的預設口令，杜絕弱口令、空口令。

4. 定期對賬戶、口令、端口、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的后臺程序和進程，關閉無關的端口和服務。

（四）設備選擇與升級管理要求

1. 慎重選擇工業控制系統設備，在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務，確保產品安全可控。

2. 加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線服務。

3. 密切關注產品漏洞和補丁，嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證。

（五）數據管理要求

地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的采集、傳輸、存儲、利用等，要采取訪問權限控制、數據加密、安全審計、災難備份等措施加以保護，切實維護個人權益、企業利益和國家信息資源安全。

篇2

信息安全管理系統作為信息安全的支撐體系以及實施信息安全維護的落腳點，是信息安全管理中的重要組成部分。目前我國的信息安全管理系統還尚未完善，其不足之處首先表現為缺少統一的存儲平臺來對眾多的文檔進行儲存，從而導致大量文檔的丟失；其次，如果信息安全管理系統不完善，就不能降低資產等的風險評估以及對資產進行集中式的管理；最后，由于信息安全系統中各個報表功能的不完善，文檔信息就無法快速、準確地透露出信息安全的實際狀況，從而起到有效地保護作用。信息安全管理系統主要能夠通過對關鍵資產實行定性和定量分析，從而得出資產的精確風險值，識別系統中存在的重要因患資產，并進一步通知信息管理員采取適當地方法來減少隱患事件的發生，通過科學的管理降低企業的資產風險。由此可見，完善的信息安全管理系統是不可或缺的，它一方面決定著信息安全管理體系的具體實施，另一方面也可以促進企業信息安全管理體系的進一步維護與建設。

2信息安全管理系統標準

科學統一的國家信息安全標準，有利于協調與融合各個信息安全管理系統的工作，充分促進信息安全標準系統的功能發揮。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分。

2.1ISO/IEC27000系列標準

1995年，英國標準協會(BSI)了BS7799-1和BS7799-2兩部標準，隨著時代的進步其逐漸發展為ISO/IEC27001和ISO/IEC27002兩個部分，并進一步成為目前信息安全管理體系的主要核心標準。BS7799的最初提出目的主要在于建立起一套能夠用于開發、實施以及測量的科學信息安全管理慣例，并作為一種通用框架來促進貿易伙伴之間的信任。ISO/IEC27001重視ISMS的建構以及在PDCA基礎之上的進一步循環與完善，這一過程實質上就是在宏觀的角度上來指導整個項目的有效實施。它意在風險管理的基礎之上，用風險分析的途徑，把發生信息風險的概率降到最低程度，同時采取適當地措施來保障主體業務的順利進行。ISO/IEC27002主要闡述了133項控制細則，以及11項需要有效控制的項目，其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環境安全、訪問控制、資產管理、系統的開發與維護、業務連續性管理、通信與操作安全等一系列的安全風險評估與控制。

2.2信息安全等級保護

1994年國務院出臺了《中華人民共和國計算機信息系統安全保護條例》，該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進信息化的健康與發展，從而進一步維護國家安全、社會發展以及人民群眾的利益。它的核心標準《GB17859-1999計算機信息系統安全保護等級劃分準則》是在TCSEC的分級保護思想基礎之上，針對我國信息安全的發展實際進行改善，最終把安全等級縮減成更具可操作性的5個級別?！禛B/T22239-2008信息系統安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術要求兩類，其中前者主要包括系統建設管理、安全管理制度、系統運維管理、安全管理機構和人員安全管理；后者主要包括應用安全、網絡安全、物理安全、主機安全以及數據安全與備份恢復。此外，信息安全等級保護的系列標準里還包括《GB/T20270-2006網絡基礎安全技術要求》以及《GB/T20271-2006信息系統安全通用要求》等一些關于信息安全維護細則的具體操作要求。

3信息安全管理系統的模型設計

根據信息安全管理系統標準，結合以往的信息安全管理系統設計，提出一種新型的四層信息安全管理系統：第一層為信息采集：主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件。第二層是數據庫層：包括日志、資產庫、異常日志以及資產弱點庫和資產風險庫等。該數據庫層的主要功能在于對信息安全管理系統中的數據進行存儲。第三層為功能模塊層：包括資產管理、風險管理、弱點管理、信息安全管理規范下載管理資產等級評估管理、拓補管理以及日志分析。最后一層為展示層：它包含某個具體業務系統中的業務系統整體安全狀況、資產安全狀況、業務系統拓補以及異常安全事件等相關部分。上述新型信息安全管理系統模型主要體現出以下六點創新之處：

（1）業務系統的動態建模和系統支持資產，可以把業務系統和資產二者綁定在一起，由此，整個信息安全系統一方面可以準確地體現出在一個具體業務系統環境下，其單獨資產的具體安全狀況；另一方面該信息安全系統還能夠根據IS027001的具體標準，反應出整個資產所承載的整體業務系統的安全狀況。

（2）所設計的風險模塊管理可以把風險評估常態化、主動化，使其對整個業務周期內的所有資產風險進行動態的跟蹤與準確分析；另外，該信息安全系統的日志審計功能也可以實現被動式的安全管理，從而使主動管理與被動管理在信息安全管理系統中充分融合。

（3）該新安全管理系統增加并促進了拓補管理功能的發揮。

篇3

確定信息安全管理體系適用的范圍。信息安全管理體系的范圍就是需要重點進行管理的安全領域。組織需要根據自己的實際情況，可以在整個組織范圍內、也可以在個別部門或領域內實施。在本階段的工作，應將組織劃分成不同的信息安全控制領域，這樣做易于組織對有不同需求的領域進行適當的信息安全管理。在定義適用范圍時，應重點考慮組織的適用環境、適用人員、現有IT技術、現有信息資產等。

現狀調查與風險評估.依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行調研和評價，以及評估信息資產面臨的威脅以及導致安全事件發生的可能性，并結合安全事件所涉及的信息資產價值來判斷安全事件一旦發生對組織造成的影響。

建立信息安全管理框架：建立信息安全管理體系要規劃和建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統的所有層面進行整體安全建設，從信息系統本身出發，根據業務性質、組織特征、信息資產狀況和技術條件，建立信息資產清單，進行風險分析、需求分析和選擇安全控制，準備適用性聲明等步驟，從而建立安全體系并提出安全解決方案。

信息安全管理體系文件編寫：建立并保持一個文件化的信息安全管理體系是ISO/IEC27001:2005標準的總體要求，編寫信息安全管理體系文件是建立信息安全管理體系的基礎工作，也是一個組織實現風險控制、評價和改進信息安全管理體系、實現持續改進不可少的依據。在信息安全管理體系建立的文件中應該包含有：安全方針文檔、適用范圍文檔、風險評估文檔、實施與控制文檔、適用性聲明文檔。

信息安全管理體系的運行與改進。信息安全管理體系文件編制完成以后，組織應按照文件的控制要求進行審核與批準并實施，至此，信息安全管理體系將進入運行階段。在此期間，組織應加強運作力度，充分發揮體系本身的各項功能，及時發現體系策劃中存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達到進一步完善信息安全管理體系的目的。

篇4

【 關鍵詞 】 信息安全；電力企業；風險評估；管理模式

1 引言

在如今的信息化社會中，信息通過共享傳遞實現其價值。在信息交換的過程中，人們肯定會擔心自己的信息泄露，所以信息安全備受關注，企業的信息安全就更為重要了。但是網絡是一個開放互聯的環境，接入網絡的方式多樣，再加上技術存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規定的重要信息安全領域。所以電力企業要把信息安全管理體系的建設，作為重要的一環納入到整個企業管理體系中去。

2 電力企業信息管理體系建設的依據

關于企業的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內容：信息安全管理實施規則和信息安全管理體系規范。信息安全管理實施規則是一個基礎性指導文件，里面有10大管理項、36個執行的目標和127種控制的方法，可以作為開發人員在信息安全管理體系開發過程中的一個參考文檔。信息安全管理體系規范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標準化組織也了很多關于信息安全技術的標準，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準，如GB 15851―1995。

關于企業信息安全管理體系方面的標準眾多，如何針對企業自身實際情況選擇合適的參考標準很重要，尤其是電力企業有著與其他企業不同的一些特殊性質，選擇信息安全體系建設的參考標準更要謹慎。我國電力企業已經引入了一些國際化標準作為建立和維護企業運轉的保證，關于信息安全體系的標準也應納入到保證企業運轉的一系列參考中去。電力企業總體應有一致的安全信息管理體系參考標準，但是具體地區的公司又有著本身自己的特殊環境，所以在總體一致的信息安全標準的情況下，也應該根據企業自身地區、人文、政策等的不同制定一些企業內部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據。信息安全管理體系顧全大局又要有所側重的體現電力企業安全標準的要求。

3 信息安全管理體系里的重要環節

3.1 硬件環境要求

信息安全管理體系并沒有特別要求添加什么特別的設備，只是對企業用到的設備做一些要求。電力企業一般采用內外網結合的方式，內外網設備要盡量進行物理隔離。企業每個員工基本都有自己的移動設備，如手機等，為了增加信息安全的系數，企業可以限制公司設備的無線網絡拓展。另外，實時監控系統也應該覆蓋企業的重要設備，監控硬件設備的安全。

3.2 軟件環境要求

在企業設備（主要是計算機）上部署相關軟件環境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統弱口令監控軟件的部署等，以此防止網絡攻擊或者提高安全系數。另外，企業設備所用系統的安全漏洞修復、數據的加密解密、數據的備份恢復及數據傳輸通道的加密解密等問題，都在信息安全管理體系設計的考慮范疇。

3.3 企業員工管理

盡管現在一直倡導智能化，但是企業內進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發，還是對企業軟硬件系統進行維護工作，都是有員工來進行的。所以，對企業內部員工進行信息安全培訓，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應該進行相關的信息安全方面的培訓，然后對培訓結果進行考核，不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外，如果有條件的話，企業應該定期（例如每年）進行一次信息安全的相關演習。

另外，電力企業有些項目是外包給其他相應公司的，這時候會有施工人員和駐場人員在電力企業，對這些人員也應該進行電力企業信息安全的培訓。

3.4 信息安全管理體系的風險系數評估

風險評估在信息安全管理體系中是確定企業信息安全需求的一個重要途徑，它是對企業的信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是：檢測評估對象所面臨的各種風險，估計風險的概率和可能帶來的負面影響的程度，確定信息安全管理體系承受風險的能力，確定不同風險發生后消減和控制的優先級，對消除風險提出建議。在信息安全管理體系的風險系數評估過程中，形成《風險系數評估報告》、《風險處理方案》等文檔，作為對信息安全管理體系進行調整的參考。風險系數的評估要盡可能全面的反映企業的信息安全管理體系，除了常規手段，也可以使用一些相應的軟件工具的結果作為參考。另外很值得注意的是企業的員工對風險的理解，企業員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風險系數評估的過程中，可以進行一些員工的問卷調查等，把員工對風險的認識納入風險評估的考慮范疇。

企業的設備會老舊更換，員工也會更換，所以企業的信息安全是動態的，因此風險評估工作也要視具體情況定期進行，針對當前情況作評估報告，然后制定相應的風險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點就是體系內各個模塊的結合，信息安全管理體系的風險評估與關鍵內容的實時監控就應該結合起來。

為了降低信息安全管理體系的風險系數，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業計算機網絡系統安全的一種評測方法。這個測試過程會對系統的可知的所有弱點、技術方面的缺陷或者漏洞等作主動的分析。滲透測試對于網絡信息安全的組織具有實際應用價值。隨著技術的不斷進步，可能還會出現其他的更有價值的信息安全技術，作為信息安全備受矚目的電力企業，應當時刻關注相關技術的進展，并及時將它們納入企業信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業信息安全是動態的，所以信息安全管理體系需要建立一個長效的機制，針對最新的情況及時對自身作出調整，使信息安全管理體系有效的運行。現在一般會采用PDCA循環過程模式：計劃，依照體系整個的方針和目標，建立與控制風險系數、提高信息安全的有關的安全方針、過程、指標和程序等；執行：實施和運作計劃中建立的方針、過程、程序等；評測：根據方針、目標等，評估業績，并形成報告，也就是文章前面說到的風險系數評估；舉措：采取主動糾正或預防措施對體系進行調整，進一步提高體系運作的有效性。這四個步驟循環運轉，成為一個閉環，是信息安全管理體系得到持續的改進。

4 重要技術及展望

4.1 安全隔離技術

電力企業的信息網絡是由內外網兩部分組成，從被防御的角度來看的話，內網的主要安全防護技術為防火墻、桌面弱口令監控、入侵檢測技術等；而主動防護則主要采用的是安全隔離技術等。安全隔離技術包括物理隔離、協議隔離技術和防火墻技術。一般電力企業采用了物理隔離與防火墻技術，在內網設立防火墻，在內外網之間進行物理隔離。

4.2 數據加密技術

企業的數據在傳輸過程中一般都要進行加密來降低信息泄露的風險?？梢愿鶕娏ζ髽I內部具體的安全要求，對規定的文檔、視圖等在傳輸前進行數據加密。尤其是電力企業通過外網傳輸的時候，除了對數據進行加密外，還應該在鏈路兩端進行通道加密。

4.3 終端弱口令監控技術

終端設備眾多，而且是業務應用的主要入口，所以終端口令關乎業務數據的安全以及整個系統的正常運轉。如果終端口令過于簡單薄弱，相當于沒有設定而將設備暴露。終端的信息安全是電力企業信息安全的第一道防線，因此采用桌面系統弱口令監控技術來加強這第一道防線的穩固性對電力企業的信息安全非常重要。

電力企業信息安全管理體系是一個復雜的系統，包含眾多的安全技術，如數據備份及災難恢復技術、終端安全檢查與用戶身份認證技術、虛擬專用網技術、協議隔離技術等。凡是與信息安全相關的技術，電力企業都應當關注，并根據企業自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會應用的熱門詞匯。電力企業的信息安全管理體系是否可以智能化呢？不妨做一個展望，電力企業的信息安全管理體系有了很強的自我學習與自我改進的能力，在信息安全環境越來越復雜，信息量越來越龐大的情況下是否會更能發揮信息安全管理體系的作用呢？這應該是值得期待的。

5 防病毒軟件部署

電力企業信息安全管理體系有很多軟件系統的部署，如防病毒軟件部署、桌面弱口令監控系統部署、系統安全衛士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業信息安全管理體系中軟件系統的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業版的賽門鐵克防病毒軟件系統相比單機版增加了網絡管理的功能，能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統的穩定運行，在電力企業內部正式使用時，盡量準備一立的服務器作為防病毒軟件專用的服務器。

服務器安裝配置好賽門鐵克防病毒軟件后，可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。

電力企業內網可能是禁止接入外網的，這樣的話，防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候，維護人員在通過外網在相應網址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統專用服務器進行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發給下級升級服務器和客戶端進行防病毒軟件系統的自動升級更新。圖1是一個簡單的框圖，如果電力企業的內網規模很大的話，還可以更多級地分布部署。

6 結束語

電力企業的信息安全與企業的生產與經營管理密切相關，是企業整個管理系統的一部分。信息安全管理體系是一個整體性的管理工作，把體系中涉及的內容統一進行管理，讓它們協調運作，實現信息安全管理體系的功能。電力企業信息安全的建立與體系不斷的改進定能穩定、有效地維護企業的信息安全。

參考文獻

[1] 王志強，李建剛.電網企業信息安全管理體系建設[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強.電力企業信息安全現狀分析及管理對策[J].信息技術，2013（1）：180-187.

[4] 沈軍.火力發電廠信息你安全體系構建與應用[J].電力信息通信技術，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構建供電企業信息安全體系[J].電腦知識與技術，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術及其實現[J]. 計算機應用，2001， 21（10）： 20-23.

[8] 江和平.淺談網絡信息安全技術[J].現代情報學，2004（14）：125-127.

作者簡介：

崔阿軍（1984-），男，甘肅平涼人，碩士研究生，工程師；主要研究方向和關注領域：電力信息通信安全技術研究。

張馴（1984-），男，江蘇揚州人，本科，工程師；主要研究方向和關注領域：電力信息通信安全技術研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關注領域：信息化建設及安全技術。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關注領域：電力信息化建設及安全技術。

篇5

關鍵詞：信息安全等級保護；機構管理；信息中心隨著《信息安全等級保護實施指南》和《信息安全等級保護管理辦法》等一系列文件頒布以來，醫院如何開展等級保護工作，確保信息安全，已經變成熱門話題。其中，負責醫院信息安全等級保護工作的組織管理機構，主要從管理層和用戶層對醫院信息安全等級保護進行管理建設。管理層的主要工作是制定醫院信息安全等級保護工作的管理辦法；用戶層的主要工作是依據管辦法要求，進行溝通合作以及運行監控和審查檢查工作。

1信息安全機構管理目的

信息安全等級保護工作是解決信息安全問題的基本方法，而信息安全不僅靠物理安全、網絡安全、主機安全等具體技術上的實現，還需要建立健全的信息安全機構管理制度，貫徹信息安全工作和維持信息安全的建設成果，在技術和管理兩個維度下保障信息安全保護體系在持續的運營工作中發揮應有的信息安全保護作用[1]。

2信息安全機構管理思路

2.1加強安全管理建設是實現等級保護組織機構管理的基礎 醫院信息安全管理需要由醫院信息化領導機構協調進行。為了完成和強化信息安全的管理，需要建立相應的信息安全管理機構，這是醫院信息安全等級保護實施的必要條件[2]。同時，安全組織管理建設也是重要組成內容，包括健全組織體系，明確負責安全管理的主要領導、主管部門、技術支持部門和宣傳部門，制定系統安全保障方案，實施安全宣傳教育、安全監管和安全服務等。

2.2相關管理辦法制定是規范等級保護組織機構管理的根本保證 醫院信息系統存在著來自社會環境、技術環境和物理自然環境的安全風險，其安全威脅無時無處不在。對于醫院信息系統的安全問題，不能企圖單憑利用一些集成了信息安全技術的安全產品來解決，而必須配合等級保護的信息系統安全保障體系，制定相關管理辦法，全方位綜合解決系統安全問題。

2.3定期審查監控是實施等級保護組織機構管理的具體表現 根據醫院對于信息安全等級保護的要求，安全等級保護除重視技術解決方案外，更應明確定期審查、檢查和監控的必要性。包括：指定專員定期對系統進行安全巡查，檢查的內容包含例如系統運行情況、系統漏洞確認、系統數據備份、現有安全技術措施有效性、安全配置與安全策略一致性、安全管理制度的執行情況等等。

3信息安全機構管理措施

醫院信息安全管理體系依賴于信息安全等級保護管理建設的機構管理。根據醫院當前信息安全管理需要和機構管理特點，和信息安全等級保護管理所要求的系統建設管理、系統運維管理、安全管理機構、安全管理制度和人員安全管理，筆者從崗位設置、人員配備、授權、審批、審查和溝通交流等方面分析醫院信息管理機構建設，切實做到提升醫院信息等級保護管理的能力。

3.1崗位設置 信息中心內部根據崗位劃分不同，設置多個安全管理崗位包括系統管理員、網絡管理員、安全管理員、安全審計員崗位，各崗位人員應按照自己的崗位職責，落實本崗位的信息安全工作[3]。

以我院為例，我院信息安全管理工作由院領導負責指導和管理，同時成立了醫院級別的信息安全工作領導小組，由黨委書記擔任領導小組組長，由信息中心負責管理工作的具體落實，制定各信息系統相關崗位的崗位職責和工作標準并形成文件。

3.2人員配備 信息中心采用安全責任層層落實制，中心主任對醫院所有信息化相關系統負責，網絡工程師對醫院所有網絡建設及維護負責，系統工程師對醫院服務器、數據庫、存儲和信息系統負責，信息安全工程師對醫院網絡安全、信息安全、機房物理安全負責，安全審計工程師對所有人的信息安全工作進行監督和審計，保證信息安全工作層層做實。

3.3授權和審批 醫院信息中心對于外部廠商人員的相關操作均需進行審批流程，通過軟件記錄其所有操作行為，并保存進檔。對于中心內部工作人員執行嚴格的離崗流程，由所在部門主管負責回收本部門負責的相關權限，所有權限回收后方可辦理正常的離職手續。

信息中心對于客戶端操作系統權限、應用系統操作權限、數據庫操作權限進行分級控制。內網客戶端硬盤分區全部使用NTFS，管理員密碼由信息中心網絡組每月定時更換；對所有應用系統功能進行編號，對功能進行模塊化管理，并對模塊進行分級控制；同時，設置數據庫用戶，將不同應用的數據分別管理，賦予創建、修改、刪除表及表內數據權限。

3.4審查和檢查 醫院信息中心日常檢查由信息安全管理員進行，自檢內容包括終端安全自檢和軟件管理自檢，終端安全自檢包括檢查是否每臺計算機安裝防病毒軟件，病毒庫是否為最新版本，終端操作系統是否安裝最新補丁，是否設置6位以上口令；軟件管理自檢包括檢查軟件是否為正版軟件，軟件管理的各項記錄是否完整等。

構建信息安全綜合防護體系保證醫院各系統能夠長期穩定安全運行，滿足了醫院不斷擴展的業務應用和管理需要。本文對信息安全機構管理的目的、思路和措施進行了詳細的分析闡述，對相關工作人員和機構具有一定的啟示意義。同時，通過梳理分析業務特點和管理流程，依據等級保護相關政策和標準，明確安全管理需求，筆者所在醫院信息管理中心整理并制定出符合醫院信息系統實際情況的一套信息安全管理體系文件，并在2012年公安局等級保護測評中被評為三級。

參考文獻：

[1]蘇丹.醫院信息系統安全與管理[J].中國信息界(e醫療),2013,(05):58-59.

篇6

1.1電信企業的特點

近10年來，電信企業經歷了高速的發展，網絡規模龐大、用戶數量眾多、業務發展多元化，使得電信企業具有了如下的主要運營特點：（1）電信企業業務種類繁多，流程復雜程度高。當前，隨著人們需求的多元化和個性化，單一的話音業務已不能滿足用戶通信的需求，電信企業根據不同細分市場的用戶需求提供多種多樣的增值電信業務，業務流程復雜性增大。同時，電信企業的部分業務涉及多方參與，除了最終用戶，還有眾多第三方公司，甚至還有當地政府部門。在監管方面，電信企業也必須依照國家法律對第三方提供內容監管，防止其提供違法信息。（2）電信業務涉及大量的電子業務數據交互，數據涉及用戶的個人敏感信息。電信企業內部運作主要依賴于各種IT系統，大部分業務數據和內部管理運作軌跡數據都是以電子數據的形式存在于各系統的數據庫中。海量的業務數據中，包含了用戶的個人敏感信息，諸如用戶個人身份信息、訂購信息、交易信息等；內部管理數據中，包含了企業發展戰略、重要規章制度、管理信息等機密內容。不同的業務數據之間要進行交互，如果人為通過系統后臺改變用戶的賬戶或交易信息，將會對業務結算或者財務帶來風險。（3）業務運營和企業內部運作對支撐系統依賴程度高，平臺種類繁多。電信企業所提供的服務都需要后臺支撐系統的支持，如業務運營支撐系統就承載著計費、結算、營業賬務和客戶服務等多項核心業務，這些業務都要求有一個高度穩定、運行順暢、安全可靠的系統。同時，企業內部工作主要依賴管理信息系統，如現在重要的公文審批都會通過OA系統進行簽批，業務系統賬號申請與維護也是在內部管理信息系統中完成。電信行業的這些特點，不難得出信息化運營和管理在電信行業發展中的重要地位，一旦信息安全出現問題，必將帶來十分嚴重的后果。因此，從電信行業的運營特點出發，構建全面的信息安全合規管理體系，是電信企業實現業務快速、穩定、健康發展的必由之路。

1.2信息安全管理面臨的問題

近年來，各大電信企業針對信息安全建設進行了大量的工作，但是依然面臨著很多問題，主要表現在：（1）信息安全管控要求多。存在多個部門、維護信息安全制度的情況，缺乏平臺化的制度管理機制，具體的執行人員很難在第一時間了解最新的安全制度要求。此外，針對同樣的安全管控內容，不同的信息安全制度常常存在標準不統一的情況，令執行人員無所適從。（2）部分信息安全制度中的規定缺乏實質性管控要求，無法明確有效地轉化到執行層面予以落實。同時，往往信息安全管理要求沒有落實到具體的部門，更沒有落實到具體的崗位，面對大量的安全管控要求，執行起來非常困難。（3）信息安全檢查缺乏統一的標準，并且主要采用人工檢查，每次檢查往往需要進行人工訪談、資料查閱、現場測試等多個環節，耗費大量的時間、人力和物力。檢查內容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。（4）針對企業各個層面的信息安全管理情況缺乏統一的評價標準，不能進行量化考核；沒有量化數據，無法實現對部門和系統合規水平綜合評價的數據支撐。（5）沒有統一的信息安全合規管理平臺，就無法為信息安全合規管理的體系落地、執行提示、監督檢查和水平評價提供統一、全面的系統管理支撐基礎。

1.3信息安全管理的解決之道

針對上述信息安全管理面臨的問題，本文借鑒國際上的GRC管理理念和SOX內控矩陣的思想，按照PDCA管理模式來構建電信企業的信息安全合規管理體系，從而解決信息安全體系化管理難、落實執行難、監督檢查難、量化管理難的問題。通過建立信息安全合規管理系統，形成信息安全合規整體視圖，實現安全要求、任務執行、監督檢查、整改跟蹤、量化評價的管理閉環，支撐信息安全全生命周期的管理，最終達到信息安全水平的持續螺旋式提升。

2信息安全合規管理體系

信息安全合規管理應借鑒國際先進管理理念，明確管理體系的核心要素，從信息安全組織與人員的構建、信息安全矩陣的知識支撐、信息安全合規管理平臺建設等方面入手，來構建電信企業的信息安全合規管理體系。

2.1GRC理念

GRC理念是國際先進的現代化企業管理理念。作為企業上層建筑，GRC包含了公司治理、戰略績效管理、風險管理、審計、法律、合規遵從、IT治理、道德和企業社會責任、質量管理、人力資本、企業文化、財務等廣泛的領域。GRC理念應用的價值在于，以企業管控、風險和法規遵從為對象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業安全、高效地實現預期目標。

2.2管理體系的核心機制

信息安全合規管理體系以制度策略、管控執行、安全檢查、整改跟蹤為主線，實現信息安全合規的閉環管理，也即管理體系的核心機制：（1）制度策略：信息安全管理體系的建設階段，針對信息安全制度進行統籌化、體系化管理，掌握制度體系建設全貌，有效警示制度的缺失和盲點。（2）管控執行：信息安全管理體系的實施階段，將信息安全管控要求明確落實到企業的各個責任部門、崗位和人員，具體執行人員在落實管控要求時，都能得到知識的指導和定期的提醒。（3）安全檢查：信息安全管理體系的檢查階段，推動執行標準化、統一化、平臺化的安全檢查，及時發現安全管控薄弱環節，為潛在風險提供有效的預警和整改過程的跟蹤。（4）整改跟蹤：信息安全管理體系的評價階段，收集并分析安全檢查的結果數據，跟蹤整改效果，評價安全管控水平，通過統計視圖展現安全合規整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設方向。制度策略和管控執行，對應的即是GRC中的G，前者作為信息安全治理的依據和執行指導，后者正是治理要求在具體執行層面的事實與落實；安全檢查，則對應著GRC中的R，檢查信息安全治理要求的落實情況和風險規避的水平；合規評價，對應著GRC中的C，評價信息安全管控措施的內外部合規程度，指導未來的改進方向。

2.3管理體系的實現要素

企業任何業務的有效運行，都離不開人、流程和技術3個層面的有機組合。因而，成熟的電信行業信息安全合規管理體系，人、流程和技術也構成了其實現的要素。針對信息安全合規管理，具體來說，“人”這一要素構成了企業的信息安全組織，“技術”這一要素就是指信息安全矩陣，即支撐信息安全管理執行落實、安全檢查以及合規評價的知識基礎，“流程”這一要素指的是信息安全合規管理平臺，將制度管理、控制落實、安全檢查、合規評價以及整改等信息安全管理流程固化到平臺中，提供流程化、平臺化的高效管理。

2.3.1信息安全組織

電信企業都是大型企業，包含有集團總部和各個省市公司，因而應該建立自上而下、分層分級、涵蓋各IT相關部門的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執行層3個層面的人員組成。安全決策層負責制定公司的信息安全目標、掌握整體的信息安全管控與風險水平，部署信息安全改進建設方向。安全管理層負責制定并審查信息安全制度規定，建立信息安全的管控要求、執行標準和檢查依據，監督安全問題的整改落實情況。安全執行層主要是按照要求，落實好公司的各項管控要求，保證信息安全工作落實到崗到人，對于存在問題的地方做好徹底的整改工作。

2.3.2信息安全矩陣

信息安全合規管理的核心是建立信息安全矩陣。需要對內外部信息安全合規要求進行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對應矩陣以及資產矩陣?？刂凭仃嚕饕峁┬畔踩母黜椆芸匾螅笇绦腥藛T予以落實，其關鍵屬性主要包含有控制點描述、控制領域、控制類型、控制頻率。檢查矩陣，主要提供對控制矩陣中的各個控制點執行情況的好壞，提供檢查的標準和具體的檢查步驟，用以指導檢查人員進行安全檢查工作，其關鍵屬性主要包含有檢查點描述、檢查方式、檢查步驟、檢查點固有嚴重度、執行建議、控制點編號、資產類型。對應矩陣，主要提供企業內部信息安全制度與信息安全控制矩陣的對應關系，便于相應的查詢分析的需要；提供外部信息安全監管規范要求與信息安全控制矩陣的對應關系，便于分析當前的控制矩陣是否能夠充分滿足外部監管機構的監管要求，其關鍵屬性主要包含有內部制度/外部規范控制要求編號和控制點編號。資產矩陣，主要提供對信息安全資產進行定義、分類、管理和查詢等；為控制點執行管理、信息安全檢查、信息安全合規與風險評價等，提供統一的資產數據接口，其關鍵屬性主要包含有資產編號、所屬部門、資產責任人、資產類型、資產重要性等級。如圖1所示，通過信息安全各個矩陣的映射關聯關系，可以進行多維度的查詢分析。

2.3.3信息安全合規管理平臺

在構建了企業級的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進行信息安全合規閉環管理，就需要搭建一個信息安全合規管理平臺，支撐各個信息安全管理流程的平臺化管理和實施。信息安全合規管理平臺，從業務角度出發，需要實現以下功能需求：（1）企業各類信息安全管理工作要求能夠成體系、易維護。（2）企業任何人員可以通過該平臺了解企業針對自己所屬組織乃至自身所提出的信息安全工作要求。（3）企業各級部門通過該平臺明確自己的安全工作目標，各級信息安全管理部門可以通過該平臺對企業各組織、系統進行安全管理工作檢查、評價和整改指導。（4）企業各級信息安全管理部門可以通過該平臺進行安全風險分析和量化評價。

3信息安全合規管理平臺的建設思路

為了有效地解決電信行業當前信息安全合規所面臨的問題和挑戰，未來的合規平臺將通過制度管理、信息安全矩陣管理、執行管理、合規檢查、合規風險評價等功能模塊，來實現并支撐信息安全合規的全生命周期流程管理。基于上述各功能模塊的平臺整體業務功能框架視圖如圖2所示。其中，平臺的核心功能主要包含如下。（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導入導出與維護管理、關聯查詢、版本管理和分級管理等功能，支撐對企業各級公司均適用的信息安全矩陣的統一和管理，作為整個企業的信息安全管控要求的統一標準。（2）執行管理：該功能模塊主要是提供執行任務分配、執行人變更管理、控制執行提醒和控制執行查詢等功能，保證將控制點和檢查點的具體執行要求落實到具體的控制點執行人員；針對那些周期性執行的控制點，通過平臺向執行人員定期發送提醒，督促其按時完成控制點的執行要求。（3）合規檢查：該功能模塊主要是提供檢查計劃管理、人工檢查管理和自動檢查管理功能，用來完成信息安全檢查計劃的制定，對人工檢查和自動檢查進行過程管理，在線記錄或者自動生成相應的安全檢查結果。（4）合規風險評價：該功能模塊主要是根據安全檢查的結果，提供量化的合規評價、風險評價和綜合評價功能。合規評價，主要是通過對檢查點結果統計，得出滿足檢查要求的控制點的比例，主要反映控制點管控落實的工作量。風險評價，主要是針對那些不合規的控制點，根據其實際的執行情況，分析并得出該控制點的潛在風險高低和影響大小。綜合評價，主要是基于對合規滿足度的評價結果和不合規控制點的風險大小，綜合給出合規管控工作的完成效果，便于進行橫向比較。根據電信企業的特點和信息安全分級管理的需要，可考慮實施集團總部和各個省市公司的兩級/多級平臺基礎架構的部署。其中，集團總部的合規一級平臺將主要負責制度管理、信息安全矩陣管理，制定全集團的安全檢查計劃，分析和評價各省市公司的安全管控水平和風險。省市公司的合規二級平臺，則側重于分配落實好集團控制矩陣的各項控制點和要求的責任人，落實集團或者制定省內的安全檢查計劃，實施安全檢查工作，分析和評價省內的安全管控水平和安全風險，根據檢查結果完成后期安全整改工作。

4信息安全合規管理體系的應用與價值

通過搭建信息安全合規管理平臺，實施信息安全合規管理體系，能夠帶來重要的價值。（1）提升信息安全管理的統一性和有效性。將分散的信息安全制度進行集中管理，形成以信息安全合規矩陣為核心，在全公司普遍適用，具有標桿意義的制度框架體系。通過制度體系在平臺中的固化，可以隨時隨地進行信息安全制度的查詢、分析和對標，制度體系的更新與維護也變得十分便捷。同時，建立整個企業的標準的信息安全合規管理體系框架，通過平臺統一企業總部及子公司的信息安全管控落實與檢查評價工作，有效避免實際執行工作中的差異性。（2）實現信息安全合規管控落實的常態化和流程化。通過信息安全合規管理平臺固化了信息安全管控執行流程和信息安全矩陣，包括控制執行方式、控制執行頻率、控制所屬崗位、控制關聯資產配置等信息，指導具體的IT人員執行落實安全管控的工作要求。通過執行工作的流程化，將安全管控要求落實到人，確保管理要求能有效執行，或結合安全控制要求的執行頻率，定期自動向執行人員發送例行提醒，推動合規管控落實的常態化。（3）提升信息安全合規檢查的效率。通過集成標準化檢查工具，遵循規范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過程中標準不一致和質量參差不齊的問題。針對不同的專項檢查需要，可以通過平臺方便地定制有針對性的檢查計劃。針對新的內外部信息安全監管要求，能夠及時便捷的更新補充相應的檢查內容和要求到平臺中，保證與外部監管要求的一致性和實效性。同時，針對檢查中發現的問題，通過平臺能夠提供流程化的整改任務派發工單，發送給安全管理人員予以整改，并限定時間，與提醒機制聯動，整改過程可以通過平臺進行有效的跟蹤，保證信息安全問題得到及時整改。（4）提升信息安全合規的量化評價水平和決策支撐能力。建立統一的信息安全量化的評價體系和標準，固化到平臺中，實現安全合規水平的量化管理，結合平臺的數據處理分析能力，提供信息安全合規管控情況和風險的多維度、可視化視圖。執行層可以獲得基于部門、省市公司、IT或者業務流程、資產、外部合規要求等不同維度的統計和分析信息，為信息安全合規工作的持續改進提供充足的信息。管理層可以通過統計的結果，直觀地掌握企業整體安全管控水平全貌和當前面臨的主要風險，為決策提供有力的數據支撐。

5展望

篇7

 

在21世紀的社會發展新時代，網絡、計算機、信息技術被大量的企業納入到自身的生產經營管理之中，在基本運行中會涉及到企業眾多的機密文件和信息，直接關系的企業的發展運行，所以，一旦出現安全問題就會對企業產生重要的影響。

 

所以，在不斷深化的應用中，企業開始注重對信息安全的管理，并通過多樣化的技術手段和方式來進行強化，但是這樣的方式決定了對安全管理的有效性不能進行合理的把握和控制，并且對整體的安全水準也沒有實現準確的衡量。所以，如果企業只是強化了信息安全在技術方面的建設，而并沒有開展有效的安全管理評估工作，就會使信息安全系統在整體的規劃中存在缺陷和漏洞，所以，進行信息安全管理的有效性測量是極為重要的。

 

企業也逐漸認識到其重要性，使得近年來，我國企業對于信息安全有效性的測量需求不斷增多，但是，在這方面我國起步較晚，存在著很多不足和缺陷，這就需要在有效的研究中尋找適當的方法來提升測量的整體有效性。

 

一、信息安全管理有效性測量的目的

 

通過實現有效性的測量，能夠真實評估和反映企業信息安全管理的整體水平，以使企業在后續的信息安全管理中有明確的發展目標和整體方向。企業進行信息系統的建立時，往往會依據企業自身的發展需求、信息組成、安全標準、組織結構、利益關系等方面的需求進行，進而構筑相應的信息安全的整體體系和相關模型。

 

通過對企業的信息安全管理進行有效性的測量，可以在技術的管理支撐下客觀真實的反映企業信息管理的整體性評估，會能實現對企業信息安全管理目標的運行程度進行說明，并能對企業信息安全管理的系統效能開展準確科學的評測，為企業提供進行信息安全管理考核的基本依據[1]。

 

就企業的整體發展實際來看，如果不開展信息安全管理的有效性測量，會使企業的整體管理水平只依賴于基本測評狀態下的運行管理水平，難以同真實的信息安全運行環境相脫離，造成企業在安全管理過程中的漏洞和誤差，使得企業在正常的運營和發展中的實際需求同所進行信息安全管理的整體水平不相一致，并且在對基礎環節下的表面數據有所依賴時，并不能發現運行中的不足和缺陷，更遑論進行有效合理的解決，極大化的為企業的發展運行埋下了信息安全的運行隱患。

 

而通過有效性的測量活動，能夠準確的將企業在信息安全方面的漏洞進行定位，并且還能夠有效指導基本的解決策略，有效保障企業信息管理系統的整體安全和有效。

 

二、信息安全管理有效性的測量方法

 

在開展信息安全管理有效性的測量時，需要對進行測量的指標進行量化的處理，并最終形成具有實際可行性的量化測量指標。在測量中，不同的指標則需要不同的測量方法來進行，一般而言，具有風險分析、問卷調查、內部審核、滲透性測試、個人訪談、內外對比、風險評估、報表統計等不同的方法。

 

通過不同指標的不同測量之后，能夠得得出各個指標的測度結果，在此基礎上再根據不同的技術需要對結果進行科學有效的取值管理，給各個指標賦予不同的安全分險權重，然后綜合計算企業信息安全管理有效性的整體水平[2]。比如在進行信息安全管理整體運行的有效性測量時，在對基本技術要求進行測量評估時，還需要對企業的環境安全、人員安全、業務聯系、安全意識、事件管理等開展管理有效性的評估，以保障最終結果的綜合有效性。

 

在信息安全管理有效性的測量發展中，相關專業機構提出了同通過整體的系統模型來實現信息系統的整體安全性的方法。通過信息安全測量模型的建立，將信息系統運行中需要進行安全檢測的對象中的某一些屬性在通過一系列的檢測管理過程之后，得出最后的測量結果，其中最為重要的就是測量方法和基本測度。將測量對象的多個屬性應用不同的測量方法之后就能夠得到基本測度，而基本測量方法的獲取是通過多樣化的數據資源進行測量對象的數據獲取，比如風險評估結果、日志報表統計記錄、調查表、測量結果等途徑。

 

就我國當前進行信息安全管理有效性測量的方式而言，在設定環節相對復雜和冗余，但在基本的項目實踐中得出如下的基本運行方法：

 

2.1審計監控系統回顧

 

在進行檢測時，需要盡可能的發現各個環節所存在違反和潛在信息安全的現象和事件，以實現有效的防治，實現影響的最小化[3]。

 

2.2糾正預防措施驗證

 

對已經納入整體有效性測量計劃的糾正預防措施，在開展檢測時進行檢查和回顧，以保證檢驗過程中對于信息安全管理系統所采取的各項措施是否合乎當下的現狀和企業具體要求。

 

2.3信息安全事故統計

 

主要是對已經發生過的安全事件進行統計和分析，以為檢測的有效性提供更加高效合理的方法指引，以實現進行更高角度的評估以及在控制措施方面的有效性。

 

這樣的方式是將基本的計劃和檢測方式實現了有效的結合，并在各種方法的支撐下，實現綜合型的檢測，做到有效的預防和糾正，從不同的層面反應了進行信息安全檢測的有效性，并保障整體運行體系的完整有效性，進而形成一個有效的良性循環。

 

三、結束語

 

就我國的整體實際而言，信息安全管理有效性的測量方法，還處于基礎的起步階段，而且相關的各項理論研究和測量指標等也均沒有達到完善的階段，這就需要進行不斷的發展和探索，而且實踐證明，進行信息安全管理有效性的研究是有著極為廣闊的發展前景的，在保障整體信息運行管理的安全性基礎上，能夠使企業提升整體的競爭力和自身生存能力，并且能夠將測量中發現的問題和相關數據進行分析，然后具有針對性的使企業所存在的風險得到最大化的控制，最終達到基本業務的正常有效運行。

篇8

1．強化“制度”管理，為創建信息安全區提供制度保障。

我們根據《中國人民銀行信息安全管理規定》和《河南省人民銀行系統規范化管理辦法》的相關要求，結合當地的實際，建立和完善組織機構建設、計算機安全設備管理、系統操作規程設計、網絡建設的安全規劃與立項、信息系統安全審計、應急處理預案建設、目標責任制落實等一整套涉及信息安全管理的規章制度，為各項工作創建的落實奠定一個完善的制度基礎。與此同時，嚴格信息安全管理檢查制度。科技部門每季會同保衛部門、人事部門、內審部門、紀委組織一次中支機關和轄內的信息安全檢查，每次都制定了詳細的檢查方案，確保檢查工作的可操作性和規范性。安全檢查完成后及時形成檢查報告，報中支信息安全領導小組，并經信息安全領導小組審閱后將檢查整改報告送達被檢查單位，限期整改并進行后續跟蹤。

2．強化“組織”領導，為創建信息安全區提供組織保證。

一方面中支機關及所轄縣（市）支行都按要求成立以行長為組長、其他領導班子成員任副組長、部門負責人為成員的信息安全領導小組。另一方面機關各部門設立信息安全管理崗位，指定一名責任心強，熟悉計算機相關知識的職工為信息安全員，具體負責本部門信息安全管理的有關事宜。信息安全領導小組下設辦公室，由科技科具體負責協調機關及轄內信息安全管理工作，為信息安全領導小組提供重大事項決策的有關事宜，為信息安全管理提供高效的組織保證。

3．強化“操作”規程，確保信息安全區創建工作的規范化。

明確的崗位目標與操作規程是金融信息安全區創建的重要一環。我們對中支信息安全管理員（部門計算機安全員）、技術支持人員、業務操作人員、一般計算機用戶等確定各自的崗位目標和操作規程及應當承擔的安全義務。同時制訂了明確的崗位操作規程，做到責權明晰，操作規范。同時，我們加強部門之間的協調，要求各部門都要制訂業務應急預案和詳細的操作規程，然后由科技科進行匯總、協調，形成有效的聯防機制。

4．強化“責任”管理，加大金融信息安全區的創建力度。

按照“誰主管誰負責，誰運行誰負責，誰使用誰負責”的原則，根據不同層次制訂不同內容的信息安全管理責任書，落實各項責任制，信息安全領導小組組長與副組長和各縣（市）支行行長、副組長與分管部門負責人、部門負責人與崗位責任人層層簽訂信息安全責任書，對沒有按照規定簽訂責任書的部門，在出現安全事故時，按照“上溯一級”的原則，追究當事人的直接責任和部門負責人的領導責任。

5．強化“技術”指導，為創建信息安全區的提供智力支持。

重點強化了中支各部門計算機信息安全人員及所轄縣市支行安全管理人員的技術指導和信息安全知識的傳播，通過舉辦不同形式的信息安全培訓班，提高他們自覺防范的意識和技能，為信息安全打好第一道防線。

6．強化“監督”管理，鞏固金融信息安全區創建成果。

篇9

關鍵詞：民航企業；信息化建設；信息安全技術

0引言

互聯網時代的到來，信息技術與網絡技術已然成為人們生產生活的重要技術支撐，在民航領域中，信息化建設的進程也得以高效發展。與此同時，民航企業信息系統的安全隱患及安全防護問題也逐漸暴露，成為信息化建設過程中亟須應對與解決的問題。

1網絡信息安全制度的建設

1.1建設網絡信息安全制度

據調查，民航信息系統安全事件的發生，問題的主要成因在于未充分明確相關責任以確保網絡信息安全管理工作的全面落實。基于此，民航企業需要充分結合自身的是情況，對網絡信息安全管理責任制的健全及完善，充分明確人員相關責任，促進民航信息化建設水平的提升，促進民航的健康發展。民航企業應當搭建內部網絡信息安全規范體系，以之為基礎開展企業網絡信息安全管理及部署工作，確保民航信息安全水平的有效提升。民航企業應當時刻緊隨時展步伐，對網絡信息安全保障體系加以完善，建立網絡信息安全防范體系，采取合理的等級保護與分級保護措施，維護網絡信息安全。民航企業應當將網絡信息安全作為信息化建設的發展方向，積極配合并響應國防部、網絡安全部門、公安機關等行政機關部門的規定與要求，實時更新并優化安全防護措施，實現網絡安全整體覆蓋范圍的擴大。

1.2細分網絡安全保障體系

對于民航企業而言，其信息網絡安全保障體系的建設，主要包括三個方面，即信息網絡安全技術體系、信息網絡安全管理體系及信息網絡安全運行維護體系。這三個安全防護體系是相互依存與相互促進的。信息網絡安全管理體系的搭建，應當作為信息安全技術體系保障的重要方向，技術體系也是保障信息網絡安全的技術設施與基礎服務的重要支持。信息網絡安全管理體系的建設也要求網絡信息安全技術應用水平不斷提升。民航企業的網絡信息安全體系的建設，可以充分參考美國國家安全局所提出的IATF框架的網絡安全縱深戰略防御理念、美國ISS公司所提出的P2DR動態網絡安全模型等相應信息網絡安全防護體系，搭建“打擊、預防、管理、控制”于一體的網絡通信安全綜合防護體系理念，是當前國際上最為先進、最為有效的安全保障框架體系，對重要體系采取有效的安全防護措施，搭建民航企業的信息安全防護與控制中心，實現對于信息網絡體系的安全監控、安全終端、安全平臺、主機安全、數據安全、應用安全相互結合、相互統一的信息安全平臺建設，信息安全防護應當涵蓋物理層面、終端層面、網絡層面、主機層面、數據層面及應用層面，保證安全防護的全面性及全方位性[1]。

1.3發展民航網絡信息安全產業

隨著時代的發展，民航企業開始更多地強調民航網絡信息安全事業的發展。在開展民航企業網絡信息安全產業建設時，應及時跟蹤和了解國際網絡信息安全產業發展動向，了解信息安全防護技術水平的提升渠道，積極謀求與其他發達國家之間的技術合作，大力引進先進的管理技術與管理手段，大力培養并教育網絡信息安全技術人才。民航企業要大力引進技術水平與管理理念較為先進的人才，并對所引進的人才采用科學合理的技術培訓與安全教育措施，不斷增強相關人員對于網絡信息安全防護的意識與理解能力，安全理念先進、技術水平高超、應急處置及時的網絡信息安全管理人才隊伍。民航企業要搭建科學完善的網絡信息安全管理體系，充分保證信息網絡安全組織、網絡信息安全流程、網絡信息安全制度相互結合，搭建科學合理的安全管理體系。

2民航信息安全保障體系的建設

2.1國家信息系統安全等級保護

以ISO27001信息安全管理要求為基礎，結合國家信息系統安全等級防護管理方面，對信息系統安全防護安全管理基本要求加以明確，開展民航企業網絡安全防護及管理體系的建設工作。網絡信息安全管理體系的設計，應當涵蓋安全組織架構、安全管理人員、安全防護制度及安全管理流程等多個方面，結合自身實際需求，設計科學合理的網絡信息安全管理體系等。對于網絡系統安全組織架構的建設與完善，組建涵蓋安全管理、安全決策、安全監督及安全執行等層次的管理架構，設置相應職責崗位，對安全管理責任進行分解與落實，做好人員錄用、人員調動、人員考核及人員培訓等相關方面的人員管理工作。民航企業在制定安全管理制度時，應建立網絡信息安全目標、安全策略、安全管理制度及安全防護技術規范等多個層次，搭建安全管理制度體系。在建立安全管理流程方面，通過建立科學合理的組織內部安全監督檢查與優化體系，保證網絡信息安全管理工作的順利開展。將內部人員與第三方訪問人員、系統建設、系統運維、物理環境的日常管理規范化，將日常的變更管理、問題管理、事件管理、配置管理、管理等電子化、流程化與標準化[2]。

2.2合理運用先進安全防護技術

2.2.1入侵檢測技術

目前，對信息安全防護技術手段研發與應用也愈發普遍，其中入侵檢測技術的應用可以取得較好的技術效果。入侵檢測技術的應用主要是通過對網絡行為、網絡安全日志、網絡安全審計信息等技術手段，有效檢測網絡系統非法入侵行為，判斷網絡入侵企圖，通過網絡入侵檢測以實現網絡安全的實時監控，有效避免網絡非法攻擊的可能。通過應用入侵檢測技術，民航企業可以構建入侵檢測系統，能夠對系統內部、外部的非授權行為進行同步檢測，及時發現和處理網絡信息系統中的未授權和異?，F象，盡可能減少網絡入侵所造成的損耗與安全威脅。為此，可采取NetEye入侵檢測系統，該系統通過深度分析技術，實現對于網絡環境的全過程監控，及時了解、分析并明確網絡內部安全隱患及外部入侵風險，作出安全示警，及時響應并采取有效的安全防范技術，實現網絡安全防護層次進行有效延伸。同時，該入侵檢測系統具備較為強悍的網絡信息審計功能，就可以實時監控、記錄、審計并就重演網絡安全運行及使用情況，用戶能夠更好地了解網絡運行情況。

2.2.2文件加密技術

對稱加密技術是常見的文件加密技術之一，所采用的密鑰能夠用以加密與解密，在技術應用時，以塊為單位進行數據加密。這一方法在實際應用過程中，一次能夠加密一個數據塊。對對稱加密技術的優化與改進，主要可采用密碼塊鏈的模式加以實現，即通過私鑰及初始化向量進行文件加密[3]。如上所述，隨著網絡信息安全受到更多重視，民航企業信息化建設水平在進一步提升其網絡建設水平的同時，也更多地意識到網絡信息安全的重要性與必要性，不僅需要構建行業信息安全防御體系，還應當建立健全網絡信息安全制度，構建網絡安全防護人才團隊。在此基礎上，民航企業還可以充分利用文件加密和數字簽名技術，通過該技術，可以合理避免相關數據信息受到竊取、篡改或遭到損壞而導致網絡信息安全受到影響。文件加密和數字簽名技術應用過程中，可以更好地對網絡信息安全提供保證、維護相關信息數據的安全性。

篇10

【關鍵詞】數字圖書館 網絡安全 信息安全 管理責任 措施

目前，我國國內數字圖書館網絡信息安全（以下簡稱為網絡信息安全）應用研究方面，大多都側重于技術，認為信息安全是一個技術性的問題，其所有出現的問題都依賴于先進技術。但信息技術無論多么完善，它都無法回答如下問題：管理主體、制度在信息安全中的責任；技術、人、制度三者之間的關系；如何能夠解決信息安全可持續發展問題；為什么在信息技術很發達的情況下，信息安全問題依然存在，事故依然頻繁發生等等?？梢?，信息安全除了信息技術影響之外必有其他方面深層次的原因。僅側重于技術的應用研究，還不能適應信息安全實踐發展的需求，信息安全研究仍有繼續深化的必要。

網絡信息安全分析

網絡信息安全包括信息的安全和網絡系統的安全兩層意思，信息的安全是指保護基礎運行信息、服務器信息、用戶信息、網絡信息資源等信息或數據的機密性、完整性和可用性，同時還需要對信息風險和信息控制之間的最優平衡有非凡的理解。機密性要求保證信息不泄露給未經授權的人。完整性要求防止信息被未經授權的篡改和破壞?？捎眯允侵副ＷC訪問信息的用戶可以在不受干涉和阻礙的情況下對信息進行訪問和使用。網絡系統安全是指保護網絡信息系統設備中的硬件、軟件和網絡系統的正常狀態和安全運行。概括地講，網絡信息安全就是指采用技術、管理等多種措施，保護網絡系統連續正常運行，保護各種資源不因自然或人為因素遭到破壞、更改、泄露或非法占用。

網絡信息安全技術。先進的安全技術是實現信息安全的重要手段，許多網絡信息系統安全性保障都要依靠技術手段來實現。像信息安全所用到的防火墻技術、入侵檢測或流量分析技術、認證控制技術、VLAN技術、加密技術、VPN、病毒防護技術、容災技術等多項安全技術，為確保圖書館網絡信息的保密性、完整性和可用性提供了強有力的支持。

制度和制度執行力。制定嚴格有效的安全管理制度規范人的行為，使人遵守規則，這是技術涉及不到的層面。而信息的保密性、完整性和可用性只有通過技術手段才能得以實現，卻又是制度所不能解決的。在信息安全實踐中，技術與制度二者不能斷然分開，是相輔相成的，技術是一種硬手段，制度是一種規范性的軟手段。目前，國內數字圖書館在安全管理制度建設方面存在著諸多問題。一是制度不完善。我國數字圖書館安全管理制度還不健全，缺乏嚴格、細致、有效的安全管理規定與安全技術相配套。二是缺乏安全教育培訓常態機制。圖書館館員以及用戶安全意識薄弱，網絡安全知識缺乏，知識產權保護意識不強。三是信息安全監督審查機制不健全。監督審查機制不健全，將導致安全管理制度流于形式，圖書館無法及時找出安全管理漏洞和不足，無法對安全管理漏洞及早采取補救措施。四是制度執行不力。從目前圖書館規章制度的建設來看，不缺少嚴謹細密的典章制度，缺少的是對規章條款的不折不扣地執行。一些圖書館存在有章不循、有規不依，獎懲不嚴、問責流于形式，安全督查不到位等種種問題。制定的制度是為了執行，因為只有執行才能把制度確定的各項要求落到實處，得不到執行的制度是毫無用處的，制度也就名存實亡。

網絡信息安全管理。網絡信息安全的主體是人，客體是網絡信息安全防御體系，網絡信息安全實際上就是主客體互動的過程。技術研究的對象是物，而物是沒有目的、沒有意義可言的，它不涉及人及其行為。技術只是一種手段，網絡信息安全必然涉及到人及其行為和制度問題。安全管理貫穿于整個信息安全防御體系，包括建立安全管理組織、制定安全目標、制定安全防護策略、建立安全管理制度、制定安全規劃與應急方案、對員工進行安全意識教育培訓等內容。安全技術只有在有效的管理控制之下，才能得以較好地實施?？梢?，嚴格的安全管理是網絡信息安全的根本保證。隨著數字圖書館建設的深入，網絡信息安全問題日趨凸顯。目前，國內過多地強調技術的作用，將建設的重點放在技術上，致使安全管理工作跟不上技術發展的步伐。有人對2009年我國30家數字圖書館信息安全管理現狀進行調研，發現在已發生的安全事件中，三分之一的安全事件是由安全管理機制不夠完善引起的，而事件發生原因中管理因素高達70%以上?？梢?，安全管理上的缺失已成為數字圖書館整個網絡信息系統不安全因素中的主要因素之一，對數字圖書館產生的危害遠大于其他方面。這里主要討論對人的管理問題，人的認識和觀念問題。著名的前黑客凱文?米蒂尼說過，盡管很多公司采取了安全防護措施，但這些安全措施在網絡犯罪面前仍然顯得不堪一擊，原因是他們忽略了網絡安全最為薄弱的環節――人的因素。數字圖書館擁有功能非常強大的網絡信息系統和最先進的安全技術設施，但卻有可能緣于人而產生失誤，致使安全管理存在諸多隱患和不足，從而導致數字圖書館網絡信息系統面臨一系列信息安全問題。如引入木馬、病毒或其他危害程序；網絡信息系統運行不正常甚至癱瘓，信息外泄，無法應對新出現的信息安全突發事件等，這與相關人員特別是一些負責人員對安全管理的不重視、認識不足以及責任感缺失有關。

圖書館管理者的安全管理理念的滯后，對安全管理的重要性缺乏深層的認識，導致決策上的失誤或管理不足，將給數字圖書館的網絡信息安全帶來不可估量的損失。如有的管理者的管理理念，還停留在傳統圖書館封閉式內部局域網安全管理模式上，并沒有認識到數字圖書館更為開放的環境將面臨更趨嚴峻的網絡安全問題，致使在網絡信息安全事件防御方面處于被動狀態，有的管理者雖然認識到網絡信息安全問題的嚴峻性，但卻認為只要加大對安全產品的投入，購買并安裝了最先進的安全技術產品，就可以高枕無憂了，或誤認為到了信息技術特別發達的時候，網絡信息安全維護管理是管理員的事情，與其他館員無關。或誤認為安全維護與管理都是服務提供商的事，圖書館只管應用就行了。不重視安全責任意識教育與技能培訓，導致一些安全管理技術人員思想麻痹大意，安全責任意識不強，不知道網絡信息安全的薄弱環節，不了解保護網絡信息安全的責任以及在對付入侵行為方面的責任。

沒有安全責任和責任分配機制，對信息安全責任人的責任內容、范圍、責任分配不清楚。圖書館管理者制定的員工崗位責任書，責任劃分不明、工作內容描述不清，導致館員不清楚應在什么范圍和限度內對自己的職業行為負有責任，應該承擔何種責任和義務。致使出現安全管理問題時，不是相互推諉，就是聽之任之。不重視對高素養、高技能安全管理技術人才的引進與培養，一些圖書館的館內安全管理工作多為業務培訓，但缺乏全面的安全管理知識和技能，對不斷發展的新技術缺少深入和細致的了解和掌握，應付網絡安全突發事件的預警能力不夠強。由于安全知識與技能的欠缺，導致他們無法應對新出現的網絡安全突發事件。應該清楚地看到，人是具有理性和非理性的，要使人的理于信息安全，必須要借助于制度規范，使人沿著信息安全正確的規定自覺行動。

應該指出，制度只是一種方法，是有邊界的，并不是萬能的。無論多么完善的制度，如果不被執行也形同一張廢紙。同時，制度具有剛性，它不能時刻隨著網絡信息安全的變化而變化，落后的制度有可能阻礙網絡信息安全的建設。綜上所述，制度、技術和管理人員的責任意識都有自己的邊界，如若單一運行制度、技術，即便是極為負責任的管理人員，也不可能完善地解決信息安全問題。因此，技術、制度、管理主體（人）的責任應三管齊下，才能真正預防和因減少技術、管理等因素所導致的網絡信息安全問題，最大程度地保護網絡，使其安全運行，并最大限度地挽回網絡信息系統損失。

網絡信息安全保障措施

網絡信息安全需要技術（支撐）和管理（落實）的雙重保證。從安全防范技術層面上講，國內的數字圖書館都有較為成熟的防御體系，但在安全管理方面，數字圖書館還須做諸多努力。

加強網絡信息安全教育與培訓，樹立安全責任意識。圖書館管理者應改變重技術輕管理的觀念，樹立全新的安全管理理念，針對圖書館館員以及讀者安全意識薄弱、安全措施不落實等現狀，組織開展多層次、多方位的網絡信息安全宣傳工作。要加大對安全防范措施檢查的力度，開展崗前培訓、現場網絡安全教育與技能培訓，提倡自主學習，派送技術骨干再深造等。定期或不定期舉辦網絡信息安全教育與技能培訓講座，將促使館員熟知圖書館相關的安全管理規章制度，掌握相關設備的正確操作規程，以及確保系統和數據安全的操作方法。定期或不定期地組織館內工作人員學習相關的法律法規和政策，使他們具有較強的安全防范意識，以及執行制度的意識和能力。圖書館要經常派遣館內重點培養的年輕技術管理骨干參加國內外信息安全方面的技術培訓，鼓勵他們自主學習，及早掌握安全技術與管理新理論、新技術、新方法，掌握新的網絡及安全產品的功能，了解網絡病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務、端口攻擊等多樣化攻擊手段。安全管理員要定期對網絡信息安全狀況進行風險評估，及時修正安全缺陷、評估缺失，及早采取補救措施。安全維護僅僅依靠館內為數不多的安全管理技術人員是遠遠不夠的，它還需要依靠全體館員、用戶（讀者）的同心協力。通過安全意識教育，使全體館員及用戶明確自身權限和義務，嚴格、自覺地遵守圖書館上網規定，不越權、不隨意下載和安裝盜版或共享軟件，同時保管好自己的密碼，經常加固系統，提高系統的安全性。

強化制度建設，提高制度執行力。制度的貫徹落實，不但要求制度本身的科學合理，還要求對制度的不折不扣地執行。提高制度的執行力，首先要不斷創新與完善安全管理工作制度。制度本身是否科學合理，對制度執行力大小有著根本性的影響。因此，對具有嚴肅性和不可違反性的包含有操作程序、技術要求、安全條例等項內容的規章制度，數字圖書館要不斷根據網絡信息安全發展中出現的新問題、新情況，對不合時宜的制度及時進行修正和補充。制度完善不能盲目跟風，各個圖書館必須結合自身特點，不斷總結制度建設中的經驗教訓，改革創新完善制度建設的內容，力求實現制度的可持續發展。另外，建立監督審計機制，強化責任監督，確保網絡信息安全管理效能。數字圖書館安全防護體系要做到“事前防范、事中控制、事后審計”，在制度上就必須做出預先的安排，以檢測危機事件，并做出預警準備，以事前預防和控制替代事后的責任威懾。設立專門的主管部門，通過網絡信息安全主管部門這一監督主體，加大對安全管理制度的監督審計，通過及時修正完善各項安全管理規章制度，加強對安全工作的督查檢查，以提高相關工作人員遵章守紀的安全意識。其次，要提高制度主體（人）的執行力。任何制度要達到有效的管理效能，就必須通過制度主體相關人員的具體行為實現。而相關人員的責任心、態度、素質及能力水平，直接影響著制度執行行為和方式的選擇，直接關系著制度執行力的高低。主體要提高執行力，就必須強化制度認知。網絡信息安全管理體系的建設，離不開不斷創新和完善的規章制度和制度的落實。對制度有準確認知，制度才有可能落在實處。為此，數字圖書館要特別組織相關負責人員及館員認真學習相關的政策、法律法規和安全管理規章制度，使他們對制度的實現目標、內容、作用、邊界等準確認知。特別是對各自的責任和義務等的準確認知，如明確崗位職責，使每一位管理人員按照自己的崗位和職權管理使用系統；明確責任，使安全管理技術人員懂得他們是技術責任第一人，懂得自己責任邊界及范圍。使圖書館管理者明確他們是安全管理責任第一人，是安全制度的制定者又是安全制度的督察者。主體對制度內容、邊界等準確認知，才能對照制度找差距，發現薄弱環節和問題，及時糾正，才能將責任認識內化為行為準則，最終上升為自覺行為。主體要提高執行力，需增強對制度認同。通過自主學習、教育培訓、有針對性的實踐活動不斷提高制度主體的素質，提高執行制度能力水平，從而增強全體館員特別是安全管理技術人員對管理制度中包含操作規程、技術要求、安全條例等項內容的硬性管理規章制度的認同。如系統安全責任與監管制度；重要軟件系統和關鍵硬件設備的操作制度；系統管理人員、操作人員責任制度；用戶權限分配和管理制度；系統災難應急預案；事故責任認定和責任追究制度等制度的認同。主體要提高執行力，還需堅持說服教育與強制執行相結合，綜合利用多種執行手段，有效推動制度執行。