導(dǎo)語：如何才能寫好一篇信息安全管理要求，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

（一）連接管理要求

1. 斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接。

2. 對確實(shí)需要的連接，系統(tǒng)運(yùn)營單位要逐一進(jìn)行登記，采取設(shè)置防火墻、單向隔離等措施加以防護(hù)，并定期進(jìn)行風(fēng)險評估，不斷完善防范措施。

3. 嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動存儲介質(zhì)以及便攜式計(jì)算機(jī)。

（二）組網(wǎng)管理要求

1. 工業(yè)控制系統(tǒng)組網(wǎng)時要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施。

2. 采取虛擬專用網(wǎng)絡(luò)（VPN）、線路冗余備份、數(shù)據(jù)加密等措施，加強(qiáng)對關(guān)鍵工業(yè)控制系統(tǒng)遠(yuǎn)程通信的保護(hù)。

3. 對無線組網(wǎng)采取嚴(yán)格的身份認(rèn)證、安全監(jiān)測等防護(hù)措施，防止經(jīng)無線網(wǎng)絡(luò)進(jìn)行惡意入侵，尤其要防止通過侵入遠(yuǎn)程終端單元（RTU）進(jìn)而控制部分或整個工業(yè)控制系統(tǒng)。

（三）配置管理要求

1. 建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計(jì)制度。

2. 嚴(yán)格賬戶管理，根據(jù)工作需要合理分類設(shè)置賬戶權(quán)限。

3. 嚴(yán)格口令管理，及時更改產(chǎn)品安裝時的預(yù)設(shè)口令，杜絕弱口令、空口令。

4. 定期對賬戶、口令、端口、服務(wù)等進(jìn)行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的后臺程序和進(jìn)程，關(guān)閉無關(guān)的端口和服務(wù)。

（四）設(shè)備選擇與升級管理要求

1. 慎重選擇工業(yè)控制系統(tǒng)設(shè)備，在供貨合同中或以其他方式明確供應(yīng)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)，確保產(chǎn)品安全可控。

2. 加強(qiáng)對技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)。

3. 密切關(guān)注產(chǎn)品漏洞和補(bǔ)丁，嚴(yán)格軟件升級、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補(bǔ)丁安裝前要請專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評估和驗(yàn)證。

（五）數(shù)據(jù)管理要求

地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲、利用等，要采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計(jì)、災(zāi)難備份等措施加以保護(hù)，切實(shí)維護(hù)個人權(quán)益、企業(yè)利益和國家信息資源安全。

篇2

信息安全管理系統(tǒng)作為信息安全的支撐體系以及實(shí)施信息安全維護(hù)的落腳點(diǎn)，是信息安全管理中的重要組成部分。目前我國的信息安全管理系統(tǒng)還尚未完善，其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲平臺來對眾多的文檔進(jìn)行儲存，從而導(dǎo)致大量文檔的丟失；其次，如果信息安全管理系統(tǒng)不完善，就不能降低資產(chǎn)等的風(fēng)險評估以及對資產(chǎn)進(jìn)行集中式的管理；最后，由于信息安全系統(tǒng)中各個報(bào)表功能的不完善，文檔信息就無法快速、準(zhǔn)確地透露出信息安全的實(shí)際狀況，從而起到有效地保護(hù)作用。信息安全管理系統(tǒng)主要能夠通過對關(guān)鍵資產(chǎn)實(shí)行定性和定量分析，從而得出資產(chǎn)的精確風(fēng)險值，識別系統(tǒng)中存在的重要因患資產(chǎn)，并進(jìn)一步通知信息管理員采取適當(dāng)?shù)胤椒▉頊p少隱患事件的發(fā)生，通過科學(xué)的管理降低企業(yè)的資產(chǎn)風(fēng)險。由此可見，完善的信息安全管理系統(tǒng)是不可或缺的，它一方面決定著信息安全管理體系的具體實(shí)施，另一方面也可以促進(jìn)企業(yè)信息安全管理體系的進(jìn)一步維護(hù)與建設(shè)。

2信息安全管理系統(tǒng)標(biāo)準(zhǔn)

科學(xué)統(tǒng)一的國家信息安全標(biāo)準(zhǔn)，有利于協(xié)調(diào)與融合各個信息安全管理系統(tǒng)的工作，充分促進(jìn)信息安全標(biāo)準(zhǔn)系統(tǒng)的功能發(fā)揮。我國的信息安全管理標(biāo)準(zhǔn)主要分為ISO/IEC27000系列標(biāo)準(zhǔn)與信息安全等級保護(hù)標(biāo)準(zhǔn)兩個部分。

2.1ISO/IEC27000系列標(biāo)準(zhǔn)

1995年，英國標(biāo)準(zhǔn)協(xié)會(BSI)了BS7799-1和BS7799-2兩部標(biāo)準(zhǔn)，隨著時代的進(jìn)步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個部分，并進(jìn)一步成為目前信息安全管理體系的主要核心標(biāo)準(zhǔn)。BS7799的最初提出目的主要在于建立起一套能夠用于開發(fā)、實(shí)施以及測量的科學(xué)信息安全管理慣例，并作為一種通用框架來促進(jìn)貿(mào)易伙伴之間的信任。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進(jìn)一步循環(huán)與完善，這一過程實(shí)質(zhì)上就是在宏觀的角度上來指導(dǎo)整個項(xiàng)目的有效實(shí)施。它意在風(fēng)險管理的基礎(chǔ)之上，用風(fēng)險分析的途徑，把發(fā)生信息風(fēng)險的概率降到最低程度，同時采取適當(dāng)?shù)卮胧﹣肀Ｕ现黧w業(yè)務(wù)的順利進(jìn)行。ISO/IEC27002主要闡述了133項(xiàng)控制細(xì)則，以及11項(xiàng)需要有效控制的項(xiàng)目，其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環(huán)境安全、訪問控制、資產(chǎn)管理、系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性管理、通信與操作安全等一系列的安全風(fēng)險評估與控制。

2.2信息安全等級保護(hù)

1994年國務(wù)院出臺了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，該項(xiàng)基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進(jìn)信息化的健康與發(fā)展，從而進(jìn)一步維護(hù)國家安全、社會發(fā)展以及人民群眾的利益。它的核心標(biāo)準(zhǔn)《GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》是在TCSEC的分級保護(hù)思想基礎(chǔ)之上，針對我國信息安全的發(fā)展實(shí)際進(jìn)行改善，最終把安全等級縮減成更具可操作性的5個級別。《GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求》則把信息安全控制要求進(jìn)一步整理為管理要求與技術(shù)要求兩類，其中前者主要包括系統(tǒng)建設(shè)管理、安全管理制度、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)和人員安全管理；后者主要包括應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全、主機(jī)安全以及數(shù)據(jù)安全與備份恢復(fù)。此外，信息安全等級保護(hù)的系列標(biāo)準(zhǔn)里還包括《GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護(hù)細(xì)則的具體操作要求。

3信息安全管理系統(tǒng)的模型設(shè)計(jì)

根據(jù)信息安全管理系統(tǒng)標(biāo)準(zhǔn)，結(jié)合以往的信息安全管理系統(tǒng)設(shè)計(jì)，提出一種新型的四層信息安全管理系統(tǒng)：第一層為信息采集：主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護(hù)對象的漏洞與安全事件。第二層是數(shù)據(jù)庫層：包括日志、資產(chǎn)庫、異常日志以及資產(chǎn)弱點(diǎn)庫和資產(chǎn)風(fēng)險庫等。該數(shù)據(jù)庫層的主要功能在于對信息安全管理系統(tǒng)中的數(shù)據(jù)進(jìn)行存儲。第三層為功能模塊層：包括資產(chǎn)管理、風(fēng)險管理、弱點(diǎn)管理、信息安全管理規(guī)范下載管理資產(chǎn)等級評估管理、拓補(bǔ)管理以及日志分析。最后一層為展示層：它包含某個具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況、業(yè)務(wù)系統(tǒng)拓補(bǔ)以及異常安全事件等相關(guān)部分。上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點(diǎn)創(chuàng)新之處：

（1）業(yè)務(wù)系統(tǒng)的動態(tài)建模和系統(tǒng)支持資產(chǎn)，可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起，由此，整個信息安全系統(tǒng)一方面可以準(zhǔn)確地體現(xiàn)出在一個具體業(yè)務(wù)系統(tǒng)環(huán)境下，其單獨(dú)資產(chǎn)的具體安全狀況；另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標(biāo)準(zhǔn)，反應(yīng)出整個資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況。

（2）所設(shè)計(jì)的風(fēng)險模塊管理可以把風(fēng)險評估常態(tài)化、主動化，使其對整個業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風(fēng)險進(jìn)行動態(tài)的跟蹤與準(zhǔn)確分析；另外，該信息安全系統(tǒng)的日志審計(jì)功能也可以實(shí)現(xiàn)被動式的安全管理，從而使主動管理與被動管理在信息安全管理系統(tǒng)中充分融合。

（3）該新安全管理系統(tǒng)增加并促進(jìn)了拓補(bǔ)管理功能的發(fā)揮。

篇3

確定信息安全管理體系適用的范圍。信息安全管理體系的范圍就是需要重點(diǎn)進(jìn)行管理的安全領(lǐng)域。組織需要根據(jù)自己的實(shí)際情況，可以在整個組織范圍內(nèi)、也可以在個別部門或領(lǐng)域內(nèi)實(shí)施。在本階段的工作，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，這樣做易于組織對有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾?。在定義適用范圍時，應(yīng)重點(diǎn)考慮組織的適用環(huán)境、適用人員、現(xiàn)有IT技術(shù)、現(xiàn)有信息資產(chǎn)等。

現(xiàn)狀調(diào)查與風(fēng)險評估.依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行調(diào)研和評價，以及評估信息資產(chǎn)面臨的威脅以及導(dǎo)致安全事件發(fā)生的可能性，并結(jié)合安全事件所涉及的信息資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。

建立信息安全管理框架：建立信息安全管理體系要規(guī)劃和建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)，從信息系統(tǒng)本身出發(fā)，根據(jù)業(yè)務(wù)性質(zhì)、組織特征、信息資產(chǎn)狀況和技術(shù)條件，建立信息資產(chǎn)清單，進(jìn)行風(fēng)險分析、需求分析和選擇安全控制，準(zhǔn)備適用性聲明等步驟，從而建立安全體系并提出安全解決方案。

信息安全管理體系文件編寫：建立并保持一個文件化的信息安全管理體系是ISO/IEC27001:2005標(biāo)準(zhǔn)的總體要求，編寫信息安全管理體系文件是建立信息安全管理體系的基礎(chǔ)工作，也是一個組織實(shí)現(xiàn)風(fēng)險控制、評價和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)不可少的依據(jù)。在信息安全管理體系建立的文件中應(yīng)該包含有：安全方針文檔、適用范圍文檔、風(fēng)險評估文檔、實(shí)施與控制文檔、適用性聲明文檔。

信息安全管理體系的運(yùn)行與改進(jìn)。信息安全管理體系文件編制完成以后，組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段。在此期間，組織應(yīng)加強(qiáng)運(yùn)作力度，充分發(fā)揮體系本身的各項(xiàng)功能，及時發(fā)現(xiàn)體系策劃中存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

篇4

【 關(guān)鍵詞 】 信息安全；電力企業(yè)；風(fēng)險評估；管理模式

1 引言

在如今的信息化社會中，信息通過共享傳遞實(shí)現(xiàn)其價值。在信息交換的過程中，人們肯定會擔(dān)心自己的信息泄露，所以信息安全備受關(guān)注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個開放互聯(lián)的環(huán)境，接入網(wǎng)絡(luò)的方式多樣，再加上技術(shù)存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè)，作為重要的一環(huán)納入到整個企業(yè)管理體系中去。

2 電力企業(yè)信息管理體系建設(shè)的依據(jù)

關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內(nèi)容：信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實(shí)施規(guī)則是一個基礎(chǔ)性指導(dǎo)文件，里面有10大管理項(xiàng)、36個執(zhí)行的目標(biāo)和127種控制的方法，可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立、施工和維護(hù)信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標(biāo)準(zhǔn)，如GB 15851―1995。

關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多，如何針對企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要，尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎。我國電力企業(yè)已經(jīng)引入了一些國際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證，關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下，也應(yīng)該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求。

3 信息安全管理體系里的重要環(huán)節(jié)

3.1 硬件環(huán)境要求

信息安全管理體系并沒有特別要求添加什么特別的設(shè)備，只是對企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式，內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離。企業(yè)每個員工基本都有自己的移動設(shè)備，如手機(jī)等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設(shè)備的無線網(wǎng)絡(luò)拓展。另外，實(shí)時監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備，監(jiān)控硬件設(shè)備的安全。

3.2 軟件環(huán)境要求

在企業(yè)設(shè)備（主要是計(jì)算機(jī)）上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外，企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題，都在信息安全管理體系設(shè)計(jì)的考慮范疇。

3.3 企業(yè)員工管理

盡管現(xiàn)在一直倡導(dǎo)智能化，但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工。不管是對設(shè)備終端操作來進(jìn)行信息的首發(fā)，還是對企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作，都是有員工來進(jìn)行的。所以，對企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)，然后對培訓(xùn)結(jié)果進(jìn)行考核，不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核。另外，如果有條件的話，企業(yè)應(yīng)該定期（例如每年）進(jìn)行一次信息安全的相關(guān)演習(xí)。

另外，電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的，這時候會有施工人員和駐場人員在電力企業(yè)，對這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。

3.4 信息安全管理體系的風(fēng)險系數(shù)評估

風(fēng)險評估在信息安全管理體系中是確定企業(yè)信息安全需求的一個重要途徑，它是對企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用下所帶來的風(fēng)險可能性的評測。風(fēng)險評估的主要任務(wù)是：檢測評估對象所面臨的各種風(fēng)險，估計(jì)風(fēng)險的概率和可能帶來的負(fù)面影響的程度，確定信息安全管理體系承受風(fēng)險的能力，確定不同風(fēng)險發(fā)生后消減和控制的優(yōu)先級，對消除風(fēng)險提出建議。在信息安全管理體系的風(fēng)險系數(shù)評估過程中，形成《風(fēng)險系數(shù)評估報(bào)告》、《風(fēng)險處理方案》等文檔，作為對信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險系數(shù)的評估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對風(fēng)險的理解，企業(yè)員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風(fēng)險系數(shù)評估的過程中，可以進(jìn)行一些員工的問卷調(diào)查等，把員工對風(fēng)險的認(rèn)識納入風(fēng)險評估的考慮范疇。

企業(yè)的設(shè)備會老舊更換，員工也會更換，所以企業(yè)的信息安全是動態(tài)的，因此風(fēng)險評估工作也要視具體情況定期進(jìn)行，針對當(dāng)前情況作評估報(bào)告，然后制定相應(yīng)的風(fēng)險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點(diǎn)就是體系內(nèi)各個模塊的結(jié)合，信息安全管理體系的風(fēng)險評估與關(guān)鍵內(nèi)容的實(shí)時監(jiān)控就應(yīng)該結(jié)合起來。

為了降低信息安全管理體系的風(fēng)險系數(shù)，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項(xiàng)工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評測方法。這個測試過程會對系統(tǒng)的可知的所有弱點(diǎn)、技術(shù)方面的缺陷或者漏洞等作主動的分析。滲透測試對于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價值。隨著技術(shù)的不斷進(jìn)步，可能還會出現(xiàn)其他的更有價值的信息安全技術(shù)，作為信息安全備受矚目的電力企業(yè)，應(yīng)當(dāng)時刻關(guān)注相關(guān)技術(shù)的進(jìn)展，并及時將它們納入企業(yè)信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業(yè)信息安全是動態(tài)的，所以信息安全管理體系需要建立一個長效的機(jī)制，針對最新的情況及時對自身作出調(diào)整，使信息安全管理體系有效的運(yùn)行。現(xiàn)在一般會采用PDCA循環(huán)過程模式：計(jì)劃，依照體系整個的方針和目標(biāo)，建立與控制風(fēng)險系數(shù)、提高信息安全的有關(guān)的安全方針、過程、指標(biāo)和程序等；執(zhí)行：實(shí)施和運(yùn)作計(jì)劃中建立的方針、過程、程序等；評測：根據(jù)方針、目標(biāo)等，評估業(yè)績，并形成報(bào)告，也就是文章前面說到的風(fēng)險系數(shù)評估；舉措：采取主動糾正或預(yù)防措施對體系進(jìn)行調(diào)整，進(jìn)一步提高體系運(yùn)作的有效性。這四個步驟循環(huán)運(yùn)轉(zhuǎn)，成為一個閉環(huán)，是信息安全管理體系得到持續(xù)的改進(jìn)。

4 重要技術(shù)及展望

4.1 安全隔離技術(shù)

電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成，從被防御的角度來看的話，內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻、桌面弱口令監(jiān)控、入侵檢測技術(shù)等；而主動防護(hù)則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)，在內(nèi)網(wǎng)設(shè)立防火墻，在內(nèi)外網(wǎng)之間進(jìn)行物理隔離。

4.2 數(shù)據(jù)加密技術(shù)

企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進(jìn)行加密來降低信息泄露的風(fēng)險。可以根據(jù)電力企業(yè)內(nèi)部具體的安全要求，對規(guī)定的文檔、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r候，除了對數(shù)據(jù)進(jìn)行加密外，還應(yīng)該在鏈路兩端進(jìn)行通道加密。

4.3 終端弱口令監(jiān)控技術(shù)

終端設(shè)備眾多，而且是業(yè)務(wù)應(yīng)用的主要入口，所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過于簡單薄弱，相當(dāng)于沒有設(shè)定而將設(shè)備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線，因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強(qiáng)這第一道防線的穩(wěn)固性對電力企業(yè)的信息安全非常重要。

電力企業(yè)信息安全管理體系是一個復(fù)雜的系統(tǒng)，包含眾多的安全技術(shù)，如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認(rèn)證技術(shù)、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)，電力企業(yè)都應(yīng)當(dāng)關(guān)注，并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會應(yīng)用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢？不妨做一個展望，電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力，在信息安全環(huán)境越來越復(fù)雜，信息量越來越龐大的情況下是否會更能發(fā)揮信息安全管理體系的作用呢？這應(yīng)該是值得期待的。

5 防病毒軟件部署

電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署，如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能，能夠很大程度地減輕維護(hù)人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行，在電力企業(yè)內(nèi)部正式使用時，盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器。

服務(wù)器安裝配置好賽門鐵克防病毒軟件后，可以遠(yuǎn)程控制客戶端與下級升級服務(wù)器的軟件安裝與升級。

電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的，這樣的話，防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候，維護(hù)人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發(fā)給下級升級服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動升級更新。圖1是一個簡單的框圖，如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話，還可以更多級地分布部署。

6 結(jié)束語

電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營管理密切相關(guān)，是企業(yè)整個管理系統(tǒng)的一部分。信息安全管理體系是一個整體性的管理工作，把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理，讓它們協(xié)調(diào)運(yùn)作，實(shí)現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定、有效地維護(hù)企業(yè)的信息安全。

參考文獻(xiàn)

[1] 王志強(qiáng)，李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術(shù)，2013（1）：180-187.

[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識與技術(shù)，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用，2001， 21（10）： 20-23.

[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué)，2004（14）：125-127.

作者簡介：

崔阿軍（1984-），男，甘肅平?jīng)鋈?，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

張馴（1984-），男，江蘇揚(yáng)州人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：信息化建設(shè)及安全技術(shù)。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息化建設(shè)及安全技術(shù)。

篇5

關(guān)鍵詞：信息安全等級保護(hù)；機(jī)構(gòu)管理；信息中心隨著《信息安全等級保護(hù)實(shí)施指南》和《信息安全等級保護(hù)管理辦法》等一系列文件頒布以來，醫(yī)院如何開展等級保護(hù)工作，確保信息安全，已經(jīng)變成熱門話題。其中，負(fù)責(zé)醫(yī)院信息安全等級保護(hù)工作的組織管理機(jī)構(gòu)，主要從管理層和用戶層對醫(yī)院信息安全等級保護(hù)進(jìn)行管理建設(shè)。管理層的主要工作是制定醫(yī)院信息安全等級保護(hù)工作的管理辦法；用戶層的主要工作是依據(jù)管辦法要求，進(jìn)行溝通合作以及運(yùn)行監(jiān)控和審查檢查工作。

1信息安全機(jī)構(gòu)管理目的

信息安全等級保護(hù)工作是解決信息安全問題的基本方法，而信息安全不僅靠物理安全、網(wǎng)絡(luò)安全、主機(jī)安全等具體技術(shù)上的實(shí)現(xiàn)，還需要建立健全的信息安全機(jī)構(gòu)管理制度，貫徹信息安全工作和維持信息安全的建設(shè)成果，在技術(shù)和管理兩個維度下保障信息安全保護(hù)體系在持續(xù)的運(yùn)營工作中發(fā)揮應(yīng)有的信息安全保護(hù)作用[1]。

2信息安全機(jī)構(gòu)管理思路

2.1加強(qiáng)安全管理建設(shè)是實(shí)現(xiàn)等級保護(hù)組織機(jī)構(gòu)管理的基礎(chǔ) 醫(yī)院信息安全管理需要由醫(yī)院信息化領(lǐng)導(dǎo)機(jī)構(gòu)協(xié)調(diào)進(jìn)行。為了完成和強(qiáng)化信息安全的管理，需要建立相應(yīng)的信息安全管理機(jī)構(gòu)，這是醫(yī)院信息安全等級保護(hù)實(shí)施的必要條件[2]。同時，安全組織管理建設(shè)也是重要組成內(nèi)容，包括健全組織體系，明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳部門，制定系統(tǒng)安全保障方案，實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)等。

2.2相關(guān)管理辦法制定是規(guī)范等級保護(hù)組織機(jī)構(gòu)管理的根本保證 醫(yī)院信息系統(tǒng)存在著來自社會環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險，其安全威脅無時無處不在。對于醫(yī)院信息系統(tǒng)的安全問題，不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決，而必須配合等級保護(hù)的信息系統(tǒng)安全保障體系，制定相關(guān)管理辦法，全方位綜合解決系統(tǒng)安全問題。

2.3定期審查監(jiān)控是實(shí)施等級保護(hù)組織機(jī)構(gòu)管理的具體表現(xiàn) 根據(jù)醫(yī)院對于信息安全等級保護(hù)的要求，安全等級保護(hù)除重視技術(shù)解決方案外，更應(yīng)明確定期審查、檢查和監(jiān)控的必要性。包括：指定專員定期對系統(tǒng)進(jìn)行安全巡查，檢查的內(nèi)容包含例如系統(tǒng)運(yùn)行情況、系統(tǒng)漏洞確認(rèn)、系統(tǒng)數(shù)據(jù)備份、現(xiàn)有安全技術(shù)措施有效性、安全配置與安全策略一致性、安全管理制度的執(zhí)行情況等等。

3信息安全機(jī)構(gòu)管理措施

醫(yī)院信息安全管理體系依賴于信息安全等級保護(hù)管理建設(shè)的機(jī)構(gòu)管理。根據(jù)醫(yī)院當(dāng)前信息安全管理需要和機(jī)構(gòu)管理特點(diǎn)，和信息安全等級保護(hù)管理所要求的系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)、安全管理制度和人員安全管理，筆者從崗位設(shè)置、人員配備、授權(quán)、審批、審查和溝通交流等方面分析醫(yī)院信息管理機(jī)構(gòu)建設(shè)，切實(shí)做到提升醫(yī)院信息等級保護(hù)管理的能力。

3.1崗位設(shè)置 信息中心內(nèi)部根據(jù)崗位劃分不同，設(shè)置多個安全管理崗位包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計(jì)員崗位，各崗位人員應(yīng)按照自己的崗位職責(zé)，落實(shí)本崗位的信息安全工作[3]。

以我院為例，我院信息安全管理工作由院領(lǐng)導(dǎo)負(fù)責(zé)指導(dǎo)和管理，同時成立了醫(yī)院級別的信息安全工作領(lǐng)導(dǎo)小組，由黨委書記擔(dān)任領(lǐng)導(dǎo)小組組長，由信息中心負(fù)責(zé)管理工作的具體落實(shí)，制定各信息系統(tǒng)相關(guān)崗位的崗位職責(zé)和工作標(biāo)準(zhǔn)并形成文件。

3.2人員配備 信息中心采用安全責(zé)任層層落實(shí)制，中心主任對醫(yī)院所有信息化相關(guān)系統(tǒng)負(fù)責(zé)，網(wǎng)絡(luò)工程師對醫(yī)院所有網(wǎng)絡(luò)建設(shè)及維護(hù)負(fù)責(zé)，系統(tǒng)工程師對醫(yī)院服務(wù)器、數(shù)據(jù)庫、存儲和信息系統(tǒng)負(fù)責(zé)，信息安全工程師對醫(yī)院網(wǎng)絡(luò)安全、信息安全、機(jī)房物理安全負(fù)責(zé)，安全審計(jì)工程師對所有人的信息安全工作進(jìn)行監(jiān)督和審計(jì)，保證信息安全工作層層做實(shí)。

3.3授權(quán)和審批 醫(yī)院信息中心對于外部廠商人員的相關(guān)操作均需進(jìn)行審批流程，通過軟件記錄其所有操作行為，并保存進(jìn)檔。對于中心內(nèi)部工作人員執(zhí)行嚴(yán)格的離崗流程，由所在部門主管負(fù)責(zé)回收本部門負(fù)責(zé)的相關(guān)權(quán)限，所有權(quán)限回收后方可辦理正常的離職手續(xù)。

信息中心對于客戶端操作系統(tǒng)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限、數(shù)據(jù)庫操作權(quán)限進(jìn)行分級控制。內(nèi)網(wǎng)客戶端硬盤分區(qū)全部使用NTFS，管理員密碼由信息中心網(wǎng)絡(luò)組每月定時更換；對所有應(yīng)用系統(tǒng)功能進(jìn)行編號，對功能進(jìn)行模塊化管理，并對模塊進(jìn)行分級控制；同時，設(shè)置數(shù)據(jù)庫用戶，將不同應(yīng)用的數(shù)據(jù)分別管理，賦予創(chuàng)建、修改、刪除表及表內(nèi)數(shù)據(jù)權(quán)限。

3.4審查和檢查 醫(yī)院信息中心日常檢查由信息安全管理員進(jìn)行，自檢內(nèi)容包括終端安全自檢和軟件管理自檢，終端安全自檢包括檢查是否每臺計(jì)算機(jī)安裝防病毒軟件，病毒庫是否為最新版本，終端操作系統(tǒng)是否安裝最新補(bǔ)丁，是否設(shè)置6位以上口令；軟件管理自檢包括檢查軟件是否為正版軟件，軟件管理的各項(xiàng)記錄是否完整等。

構(gòu)建信息安全綜合防護(hù)體系保證醫(yī)院各系統(tǒng)能夠長期穩(wěn)定安全運(yùn)行，滿足了醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需要。本文對信息安全機(jī)構(gòu)管理的目的、思路和措施進(jìn)行了詳細(xì)的分析闡述，對相關(guān)工作人員和機(jī)構(gòu)具有一定的啟示意義。同時，通過梳理分析業(yè)務(wù)特點(diǎn)和管理流程，依據(jù)等級保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，明確安全管理需求，筆者所在醫(yī)院信息管理中心整理并制定出符合醫(yī)院信息系統(tǒng)實(shí)際情況的一套信息安全管理體系文件，并在2012年公安局等級保護(hù)測評中被評為三級。

參考文獻(xiàn)：

[1]蘇丹.醫(yī)院信息系統(tǒng)安全與管理[J].中國信息界(e醫(yī)療),2013,(05):58-59.

篇6

1.1電信企業(yè)的特點(diǎn)

近10年來，電信企業(yè)經(jīng)歷了高速的發(fā)展，網(wǎng)絡(luò)規(guī)模龐大、用戶數(shù)量眾多、業(yè)務(wù)發(fā)展多元化，使得電信企業(yè)具有了如下的主要運(yùn)營特點(diǎn)：（1）電信企業(yè)業(yè)務(wù)種類繁多，流程復(fù)雜程度高。當(dāng)前，隨著人們需求的多元化和個性化，單一的話音業(yè)務(wù)已不能滿足用戶通信的需求，電信企業(yè)根據(jù)不同細(xì)分市場的用戶需求提供多種多樣的增值電信業(yè)務(wù)，業(yè)務(wù)流程復(fù)雜性增大。同時，電信企業(yè)的部分業(yè)務(wù)涉及多方參與，除了最終用戶，還有眾多第三方公司，甚至還有當(dāng)?shù)卣块T。在監(jiān)管方面，電信企業(yè)也必須依照國家法律對第三方提供內(nèi)容監(jiān)管，防止其提供違法信息。（2）電信業(yè)務(wù)涉及大量的電子業(yè)務(wù)數(shù)據(jù)交互，數(shù)據(jù)涉及用戶的個人敏感信息。電信企業(yè)內(nèi)部運(yùn)作主要依賴于各種IT系統(tǒng)，大部分業(yè)務(wù)數(shù)據(jù)和內(nèi)部管理運(yùn)作軌跡數(shù)據(jù)都是以電子數(shù)據(jù)的形式存在于各系統(tǒng)的數(shù)據(jù)庫中。海量的業(yè)務(wù)數(shù)據(jù)中，包含了用戶的個人敏感信息，諸如用戶個人身份信息、訂購信息、交易信息等；內(nèi)部管理數(shù)據(jù)中，包含了企業(yè)發(fā)展戰(zhàn)略、重要規(guī)章制度、管理信息等機(jī)密內(nèi)容。不同的業(yè)務(wù)數(shù)據(jù)之間要進(jìn)行交互，如果人為通過系統(tǒng)后臺改變用戶的賬戶或交易信息，將會對業(yè)務(wù)結(jié)算或者財(cái)務(wù)帶來風(fēng)險。（3）業(yè)務(wù)運(yùn)營和企業(yè)內(nèi)部運(yùn)作對支撐系統(tǒng)依賴程度高，平臺種類繁多。電信企業(yè)所提供的服務(wù)都需要后臺支撐系統(tǒng)的支持，如業(yè)務(wù)運(yùn)營支撐系統(tǒng)就承載著計(jì)費(fèi)、結(jié)算、營業(yè)賬務(wù)和客戶服務(wù)等多項(xiàng)核心業(yè)務(wù)，這些業(yè)務(wù)都要求有一個高度穩(wěn)定、運(yùn)行順暢、安全可靠的系統(tǒng)。同時，企業(yè)內(nèi)部工作主要依賴管理信息系統(tǒng)，如現(xiàn)在重要的公文審批都會通過OA系統(tǒng)進(jìn)行簽批，業(yè)務(wù)系統(tǒng)賬號申請與維護(hù)也是在內(nèi)部管理信息系統(tǒng)中完成。電信行業(yè)的這些特點(diǎn)，不難得出信息化運(yùn)營和管理在電信行業(yè)發(fā)展中的重要地位，一旦信息安全出現(xiàn)問題，必將帶來十分嚴(yán)重的后果。因此，從電信行業(yè)的運(yùn)營特點(diǎn)出發(fā)，構(gòu)建全面的信息安全合規(guī)管理體系，是電信企業(yè)實(shí)現(xiàn)業(yè)務(wù)快速、穩(wěn)定、健康發(fā)展的必由之路。

1.2信息安全管理面臨的問題

近年來，各大電信企業(yè)針對信息安全建設(shè)進(jìn)行了大量的工作，但是依然面臨著很多問題，主要表現(xiàn)在：（1）信息安全管控要求多。存在多個部門、維護(hù)信息安全制度的情況，缺乏平臺化的制度管理機(jī)制，具體的執(zhí)行人員很難在第一時間了解最新的安全制度要求。此外，針對同樣的安全管控內(nèi)容，不同的信息安全制度常常存在標(biāo)準(zhǔn)不統(tǒng)一的情況，令執(zhí)行人員無所適從。（2）部分信息安全制度中的規(guī)定缺乏實(shí)質(zhì)性管控要求，無法明確有效地轉(zhuǎn)化到執(zhí)行層面予以落實(shí)。同時，往往信息安全管理要求沒有落實(shí)到具體的部門，更沒有落實(shí)到具體的崗位，面對大量的安全管控要求，執(zhí)行起來非常困難。（3）信息安全檢查缺乏統(tǒng)一的標(biāo)準(zhǔn)，并且主要采用人工檢查，每次檢查往往需要進(jìn)行人工訪談、資料查閱、現(xiàn)場測試等多個環(huán)節(jié)，耗費(fèi)大量的時間、人力和物力。檢查內(nèi)容、檢查方法、檢查工具、檢查人員的能力等都成為影響檢查效果的因素。（4）針對企業(yè)各個層面的信息安全管理情況缺乏統(tǒng)一的評價標(biāo)準(zhǔn)，不能進(jìn)行量化考核；沒有量化數(shù)據(jù)，無法實(shí)現(xiàn)對部門和系統(tǒng)合規(guī)水平綜合評價的數(shù)據(jù)支撐。（5）沒有統(tǒng)一的信息安全合規(guī)管理平臺，就無法為信息安全合規(guī)管理的體系落地、執(zhí)行提示、監(jiān)督檢查和水平評價提供統(tǒng)一、全面的系統(tǒng)管理支撐基礎(chǔ)。

1.3信息安全管理的解決之道

針對上述信息安全管理面臨的問題，本文借鑒國際上的GRC管理理念和SOX內(nèi)控矩陣的思想，按照PDCA管理模式來構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系，從而解決信息安全體系化管理難、落實(shí)執(zhí)行難、監(jiān)督檢查難、量化管理難的問題。通過建立信息安全合規(guī)管理系統(tǒng)，形成信息安全合規(guī)整體視圖，實(shí)現(xiàn)安全要求、任務(wù)執(zhí)行、監(jiān)督檢查、整改跟蹤、量化評價的管理閉環(huán)，支撐信息安全全生命周期的管理，最終達(dá)到信息安全水平的持續(xù)螺旋式提升。

2信息安全合規(guī)管理體系

信息安全合規(guī)管理應(yīng)借鑒國際先進(jìn)管理理念，明確管理體系的核心要素，從信息安全組織與人員的構(gòu)建、信息安全矩陣的知識支撐、信息安全合規(guī)管理平臺建設(shè)等方面入手，來構(gòu)建電信企業(yè)的信息安全合規(guī)管理體系。

2.1GRC理念

GRC理念是國際先進(jìn)的現(xiàn)代化企業(yè)管理理念。作為企業(yè)上層建筑，GRC包含了公司治理、戰(zhàn)略績效管理、風(fēng)險管理、審計(jì)、法律、合規(guī)遵從、IT治理、道德和企業(yè)社會責(zé)任、質(zhì)量管理、人力資本、企業(yè)文化、財(cái)務(wù)等廣泛的領(lǐng)域。GRC理念應(yīng)用的價值在于，以企業(yè)管控、風(fēng)險和法規(guī)遵從為對象，為決策層和管理層提供綜合信息和流程控制支持，幫助企業(yè)安全、高效地實(shí)現(xiàn)預(yù)期目標(biāo)。

2.2管理體系的核心機(jī)制

信息安全合規(guī)管理體系以制度策略、管控執(zhí)行、安全檢查、整改跟蹤為主線，實(shí)現(xiàn)信息安全合規(guī)的閉環(huán)管理，也即管理體系的核心機(jī)制：（1）制度策略：信息安全管理體系的建設(shè)階段，針對信息安全制度進(jìn)行統(tǒng)籌化、體系化管理，掌握制度體系建設(shè)全貌，有效警示制度的缺失和盲點(diǎn)。（2）管控執(zhí)行：信息安全管理體系的實(shí)施階段，將信息安全管控要求明確落實(shí)到企業(yè)的各個責(zé)任部門、崗位和人員，具體執(zhí)行人員在落實(shí)管控要求時，都能得到知識的指導(dǎo)和定期的提醒。（3）安全檢查：信息安全管理體系的檢查階段，推動執(zhí)行標(biāo)準(zhǔn)化、統(tǒng)一化、平臺化的安全檢查，及時發(fā)現(xiàn)安全管控薄弱環(huán)節(jié)，為潛在風(fēng)險提供有效的預(yù)警和整改過程的跟蹤。（4）整改跟蹤：信息安全管理體系的評價階段，收集并分析安全檢查的結(jié)果數(shù)據(jù)，跟蹤整改效果，評價安全管控水平，通過統(tǒng)計(jì)視圖展現(xiàn)安全合規(guī)整體視圖，獲取可視化的安全決策信息，支撐今后的信息安全建設(shè)方向。制度策略和管控執(zhí)行，對應(yīng)的即是GRC中的G，前者作為信息安全治理的依據(jù)和執(zhí)行指導(dǎo)，后者正是治理要求在具體執(zhí)行層面的事實(shí)與落實(shí)；安全檢查，則對應(yīng)著GRC中的R，檢查信息安全治理要求的落實(shí)情況和風(fēng)險規(guī)避的水平；合規(guī)評價，對應(yīng)著GRC中的C，評價信息安全管控措施的內(nèi)外部合規(guī)程度，指導(dǎo)未來的改進(jìn)方向。

2.3管理體系的實(shí)現(xiàn)要素

企業(yè)任何業(yè)務(wù)的有效運(yùn)行，都離不開人、流程和技術(shù)3個層面的有機(jī)組合。因而，成熟的電信行業(yè)信息安全合規(guī)管理體系，人、流程和技術(shù)也構(gòu)成了其實(shí)現(xiàn)的要素。針對信息安全合規(guī)管理，具體來說，“人”這一要素構(gòu)成了企業(yè)的信息安全組織，“技術(shù)”這一要素就是指信息安全矩陣，即支撐信息安全管理執(zhí)行落實(shí)、安全檢查以及合規(guī)評價的知識基礎(chǔ)，“流程”這一要素指的是信息安全合規(guī)管理平臺，將制度管理、控制落實(shí)、安全檢查、合規(guī)評價以及整改等信息安全管理流程固化到平臺中，提供流程化、平臺化的高效管理。

2.3.1信息安全組織

電信企業(yè)都是大型企業(yè)，包含有集團(tuán)總部和各個省市公司，因而應(yīng)該建立自上而下、分層分級、涵蓋各IT相關(guān)部門的信息安全組織。信息安全組織由安全決策層、安全管理層和安全執(zhí)行層3個層面的人員組成。安全決策層負(fù)責(zé)制定公司的信息安全目標(biāo)、掌握整體的信息安全管控與風(fēng)險水平，部署信息安全改進(jìn)建設(shè)方向。安全管理層負(fù)責(zé)制定并審查信息安全制度規(guī)定，建立信息安全的管控要求、執(zhí)行標(biāo)準(zhǔn)和檢查依據(jù)，監(jiān)督安全問題的整改落實(shí)情況。安全執(zhí)行層主要是按照要求，落實(shí)好公司的各項(xiàng)管控要求，保證信息安全工作落實(shí)到崗到人，對于存在問題的地方做好徹底的整改工作。

2.3.2信息安全矩陣

信息安全合規(guī)管理的核心是建立信息安全矩陣。需要對內(nèi)外部信息安全合規(guī)要求進(jìn)行體系化梳理，建立信息安全矩陣框架，包括控制矩陣、檢查矩陣、對應(yīng)矩陣以及資產(chǎn)矩陣?？刂凭仃嚕饕峁┬畔踩母黜?xiàng)管控要求，指導(dǎo)執(zhí)行人員予以落實(shí)，其關(guān)鍵屬性主要包含有控制點(diǎn)描述、控制領(lǐng)域、控制類型、控制頻率。檢查矩陣，主要提供對控制矩陣中的各個控制點(diǎn)執(zhí)行情況的好壞，提供檢查的標(biāo)準(zhǔn)和具體的檢查步驟，用以指導(dǎo)檢查人員進(jìn)行安全檢查工作，其關(guān)鍵屬性主要包含有檢查點(diǎn)描述、檢查方式、檢查步驟、檢查點(diǎn)固有嚴(yán)重度、執(zhí)行建議、控制點(diǎn)編號、資產(chǎn)類型。對應(yīng)矩陣，主要提供企業(yè)內(nèi)部信息安全制度與信息安全控制矩陣的對應(yīng)關(guān)系，便于相應(yīng)的查詢分析的需要；提供外部信息安全監(jiān)管規(guī)范要求與信息安全控制矩陣的對應(yīng)關(guān)系，便于分析當(dāng)前的控制矩陣是否能夠充分滿足外部監(jiān)管機(jī)構(gòu)的監(jiān)管要求，其關(guān)鍵屬性主要包含有內(nèi)部制度/外部規(guī)范控制要求編號和控制點(diǎn)編號。資產(chǎn)矩陣，主要提供對信息安全資產(chǎn)進(jìn)行定義、分類、管理和查詢等；為控制點(diǎn)執(zhí)行管理、信息安全檢查、信息安全合規(guī)與風(fēng)險評價等，提供統(tǒng)一的資產(chǎn)數(shù)據(jù)接口，其關(guān)鍵屬性主要包含有資產(chǎn)編號、所屬部門、資產(chǎn)責(zé)任人、資產(chǎn)類型、資產(chǎn)重要性等級。如圖1所示，通過信息安全各個矩陣的映射關(guān)聯(lián)關(guān)系，可以進(jìn)行多維度的查詢分析。

2.3.3信息安全合規(guī)管理平臺

在構(gòu)建了企業(yè)級的全面層次化的信息安全組織，建立了信息安全矩陣后，為了能夠有效地進(jìn)行信息安全合規(guī)閉環(huán)管理，就需要搭建一個信息安全合規(guī)管理平臺，支撐各個信息安全管理流程的平臺化管理和實(shí)施。信息安全合規(guī)管理平臺，從業(yè)務(wù)角度出發(fā)，需要實(shí)現(xiàn)以下功能需求：（1）企業(yè)各類信息安全管理工作要求能夠成體系、易維護(hù)。（2）企業(yè)任何人員可以通過該平臺了解企業(yè)針對自己所屬組織乃至自身所提出的信息安全工作要求。（3）企業(yè)各級部門通過該平臺明確自己的安全工作目標(biāo)，各級信息安全管理部門可以通過該平臺對企業(yè)各組織、系統(tǒng)進(jìn)行安全管理工作檢查、評價和整改指導(dǎo)。（4）企業(yè)各級信息安全管理部門可以通過該平臺進(jìn)行安全風(fēng)險分析和量化評價。

3信息安全合規(guī)管理平臺的建設(shè)思路

為了有效地解決電信行業(yè)當(dāng)前信息安全合規(guī)所面臨的問題和挑戰(zhàn)，未來的合規(guī)平臺將通過制度管理、信息安全矩陣管理、執(zhí)行管理、合規(guī)檢查、合規(guī)風(fēng)險評價等功能模塊，來實(shí)現(xiàn)并支撐信息安全合規(guī)的全生命周期流程管理?；谏鲜龈鞴δ苣K的平臺整體業(yè)務(wù)功能框架視圖如圖2所示。其中，平臺的核心功能主要包含如下。（1）信息安全矩陣管理：該功能模塊主要提供信息安全矩陣的導(dǎo)入導(dǎo)出與維護(hù)管理、關(guān)聯(lián)查詢、版本管理和分級管理等功能，支撐對企業(yè)各級公司均適用的信息安全矩陣的統(tǒng)一和管理，作為整個企業(yè)的信息安全管控要求的統(tǒng)一標(biāo)準(zhǔn)。（2）執(zhí)行管理：該功能模塊主要是提供執(zhí)行任務(wù)分配、執(zhí)行人變更管理、控制執(zhí)行提醒和控制執(zhí)行查詢等功能，保證將控制點(diǎn)和檢查點(diǎn)的具體執(zhí)行要求落實(shí)到具體的控制點(diǎn)執(zhí)行人員；針對那些周期性執(zhí)行的控制點(diǎn)，通過平臺向執(zhí)行人員定期發(fā)送提醒，督促其按時完成控制點(diǎn)的執(zhí)行要求。（3）合規(guī)檢查：該功能模塊主要是提供檢查計(jì)劃管理、人工檢查管理和自動檢查管理功能，用來完成信息安全檢查計(jì)劃的制定，對人工檢查和自動檢查進(jìn)行過程管理，在線記錄或者自動生成相應(yīng)的安全檢查結(jié)果。（4）合規(guī)風(fēng)險評價：該功能模塊主要是根據(jù)安全檢查的結(jié)果，提供量化的合規(guī)評價、風(fēng)險評價和綜合評價功能。合規(guī)評價，主要是通過對檢查點(diǎn)結(jié)果統(tǒng)計(jì)，得出滿足檢查要求的控制點(diǎn)的比例，主要反映控制點(diǎn)管控落實(shí)的工作量。風(fēng)險評價，主要是針對那些不合規(guī)的控制點(diǎn)，根據(jù)其實(shí)際的執(zhí)行情況，分析并得出該控制點(diǎn)的潛在風(fēng)險高低和影響大小。綜合評價，主要是基于對合規(guī)滿足度的評價結(jié)果和不合規(guī)控制點(diǎn)的風(fēng)險大小，綜合給出合規(guī)管控工作的完成效果，便于進(jìn)行橫向比較。根據(jù)電信企業(yè)的特點(diǎn)和信息安全分級管理的需要，可考慮實(shí)施集團(tuán)總部和各個省市公司的兩級/多級平臺基礎(chǔ)架構(gòu)的部署。其中，集團(tuán)總部的合規(guī)一級平臺將主要負(fù)責(zé)制度管理、信息安全矩陣管理，制定全集團(tuán)的安全檢查計(jì)劃，分析和評價各省市公司的安全管控水平和風(fēng)險。省市公司的合規(guī)二級平臺，則側(cè)重于分配落實(shí)好集團(tuán)控制矩陣的各項(xiàng)控制點(diǎn)和要求的責(zé)任人，落實(shí)集團(tuán)或者制定省內(nèi)的安全檢查計(jì)劃，實(shí)施安全檢查工作，分析和評價省內(nèi)的安全管控水平和安全風(fēng)險，根據(jù)檢查結(jié)果完成后期安全整改工作。

4信息安全合規(guī)管理體系的應(yīng)用與價值

通過搭建信息安全合規(guī)管理平臺，實(shí)施信息安全合規(guī)管理體系，能夠帶來重要的價值。（1）提升信息安全管理的統(tǒng)一性和有效性。將分散的信息安全制度進(jìn)行集中管理，形成以信息安全合規(guī)矩陣為核心，在全公司普遍適用，具有標(biāo)桿意義的制度框架體系。通過制度體系在平臺中的固化，可以隨時隨地進(jìn)行信息安全制度的查詢、分析和對標(biāo)，制度體系的更新與維護(hù)也變得十分便捷。同時，建立整個企業(yè)的標(biāo)準(zhǔn)的信息安全合規(guī)管理體系框架，通過平臺統(tǒng)一企業(yè)總部及子公司的信息安全管控落實(shí)與檢查評價工作，有效避免實(shí)際執(zhí)行工作中的差異性。（2）實(shí)現(xiàn)信息安全合規(guī)管控落實(shí)的常態(tài)化和流程化。通過信息安全合規(guī)管理平臺固化了信息安全管控執(zhí)行流程和信息安全矩陣，包括控制執(zhí)行方式、控制執(zhí)行頻率、控制所屬崗位、控制關(guān)聯(lián)資產(chǎn)配置等信息，指導(dǎo)具體的IT人員執(zhí)行落實(shí)安全管控的工作要求。通過執(zhí)行工作的流程化，將安全管控要求落實(shí)到人，確保管理要求能有效執(zhí)行，或結(jié)合安全控制要求的執(zhí)行頻率，定期自動向執(zhí)行人員發(fā)送例行提醒，推動合規(guī)管控落實(shí)的常態(tài)化。（3）提升信息安全合規(guī)檢查的效率。通過集成標(biāo)準(zhǔn)化檢查工具，遵循規(guī)范的檢查要求和步驟，大大降低了人工檢查的成本，避免檢查過程中標(biāo)準(zhǔn)不一致和質(zhì)量參差不齊的問題。針對不同的專項(xiàng)檢查需要，可以通過平臺方便地定制有針對性的檢查計(jì)劃。針對新的內(nèi)外部信息安全監(jiān)管要求，能夠及時便捷的更新補(bǔ)充相應(yīng)的檢查內(nèi)容和要求到平臺中，保證與外部監(jiān)管要求的一致性和實(shí)效性。同時，針對檢查中發(fā)現(xiàn)的問題，通過平臺能夠提供流程化的整改任務(wù)派發(fā)工單，發(fā)送給安全管理人員予以整改，并限定時間，與提醒機(jī)制聯(lián)動，整改過程可以通過平臺進(jìn)行有效的跟蹤，保證信息安全問題得到及時整改。（4）提升信息安全合規(guī)的量化評價水平和決策支撐能力。建立統(tǒng)一的信息安全量化的評價體系和標(biāo)準(zhǔn)，固化到平臺中，實(shí)現(xiàn)安全合規(guī)水平的量化管理，結(jié)合平臺的數(shù)據(jù)處理分析能力，提供信息安全合規(guī)管控情況和風(fēng)險的多維度、可視化視圖。執(zhí)行層可以獲得基于部門、省市公司、IT或者業(yè)務(wù)流程、資產(chǎn)、外部合規(guī)要求等不同維度的統(tǒng)計(jì)和分析信息，為信息安全合規(guī)工作的持續(xù)改進(jìn)提供充足的信息。管理層可以通過統(tǒng)計(jì)的結(jié)果，直觀地掌握企業(yè)整體安全管控水平全貌和當(dāng)前面臨的主要風(fēng)險，為決策提供有力的數(shù)據(jù)支撐。

5展望

篇7

 

在21世紀(jì)的社會發(fā)展新時代，網(wǎng)絡(luò)、計(jì)算機(jī)、信息技術(shù)被大量的企業(yè)納入到自身的生產(chǎn)經(jīng)營管理之中，在基本運(yùn)行中會涉及到企業(yè)眾多的機(jī)密文件和信息，直接關(guān)系的企業(yè)的發(fā)展運(yùn)行，所以，一旦出現(xiàn)安全問題就會對企業(yè)產(chǎn)生重要的影響。

 

所以，在不斷深化的應(yīng)用中，企業(yè)開始注重對信息安全的管理，并通過多樣化的技術(shù)手段和方式來進(jìn)行強(qiáng)化，但是這樣的方式?jīng)Q定了對安全管理的有效性不能進(jìn)行合理的把握和控制，并且對整體的安全水準(zhǔn)也沒有實(shí)現(xiàn)準(zhǔn)確的衡量。所以，如果企業(yè)只是強(qiáng)化了信息安全在技術(shù)方面的建設(shè)，而并沒有開展有效的安全管理評估工作，就會使信息安全系統(tǒng)在整體的規(guī)劃中存在缺陷和漏洞，所以，進(jìn)行信息安全管理的有效性測量是極為重要的。

 

企業(yè)也逐漸認(rèn)識到其重要性，使得近年來，我國企業(yè)對于信息安全有效性的測量需求不斷增多，但是，在這方面我國起步較晚，存在著很多不足和缺陷，這就需要在有效的研究中尋找適當(dāng)?shù)姆椒▉硖嵘郎y量的整體有效性。

 

一、信息安全管理有效性測量的目的

 

通過實(shí)現(xiàn)有效性的測量，能夠真實(shí)評估和反映企業(yè)信息安全管理的整體水平，以使企業(yè)在后續(xù)的信息安全管理中有明確的發(fā)展目標(biāo)和整體方向。企業(yè)進(jìn)行信息系統(tǒng)的建立時，往往會依據(jù)企業(yè)自身的發(fā)展需求、信息組成、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面的需求進(jìn)行，進(jìn)而構(gòu)筑相應(yīng)的信息安全的整體體系和相關(guān)模型。

 

通過對企業(yè)的信息安全管理進(jìn)行有效性的測量，可以在技術(shù)的管理支撐下客觀真實(shí)的反映企業(yè)信息管理的整體性評估，會能實(shí)現(xiàn)對企業(yè)信息安全管理目標(biāo)的運(yùn)行程度進(jìn)行說明，并能對企業(yè)信息安全管理的系統(tǒng)效能開展準(zhǔn)確科學(xué)的評測，為企業(yè)提供進(jìn)行信息安全管理考核的基本依據(jù)[1]。

 

就企業(yè)的整體發(fā)展實(shí)際來看，如果不開展信息安全管理的有效性測量，會使企業(yè)的整體管理水平只依賴于基本測評狀態(tài)下的運(yùn)行管理水平，難以同真實(shí)的信息安全運(yùn)行環(huán)境相脫離，造成企業(yè)在安全管理過程中的漏洞和誤差，使得企業(yè)在正常的運(yùn)營和發(fā)展中的實(shí)際需求同所進(jìn)行信息安全管理的整體水平不相一致，并且在對基礎(chǔ)環(huán)節(jié)下的表面數(shù)據(jù)有所依賴時，并不能發(fā)現(xiàn)運(yùn)行中的不足和缺陷，更遑論進(jìn)行有效合理的解決，極大化的為企業(yè)的發(fā)展運(yùn)行埋下了信息安全的運(yùn)行隱患。

 

而通過有效性的測量活動，能夠準(zhǔn)確的將企業(yè)在信息安全方面的漏洞進(jìn)行定位，并且還能夠有效指導(dǎo)基本的解決策略，有效保障企業(yè)信息管理系統(tǒng)的整體安全和有效。

 

二、信息安全管理有效性的測量方法

 

在開展信息安全管理有效性的測量時，需要對進(jìn)行測量的指標(biāo)進(jìn)行量化的處理，并最終形成具有實(shí)際可行性的量化測量指標(biāo)。在測量中，不同的指標(biāo)則需要不同的測量方法來進(jìn)行，一般而言，具有風(fēng)險分析、問卷調(diào)查、內(nèi)部審核、滲透性測試、個人訪談、內(nèi)外對比、風(fēng)險評估、報(bào)表統(tǒng)計(jì)等不同的方法。

 

通過不同指標(biāo)的不同測量之后，能夠得得出各個指標(biāo)的測度結(jié)果，在此基礎(chǔ)上再根據(jù)不同的技術(shù)需要對結(jié)果進(jìn)行科學(xué)有效的取值管理，給各個指標(biāo)賦予不同的安全分險權(quán)重，然后綜合計(jì)算企業(yè)信息安全管理有效性的整體水平[2]。比如在進(jìn)行信息安全管理整體運(yùn)行的有效性測量時，在對基本技術(shù)要求進(jìn)行測量評估時，還需要對企業(yè)的環(huán)境安全、人員安全、業(yè)務(wù)聯(lián)系、安全意識、事件管理等開展管理有效性的評估，以保障最終結(jié)果的綜合有效性。

 

在信息安全管理有效性的測量發(fā)展中，相關(guān)專業(yè)機(jī)構(gòu)提出了同通過整體的系統(tǒng)模型來實(shí)現(xiàn)信息系統(tǒng)的整體安全性的方法。通過信息安全測量模型的建立，將信息系統(tǒng)運(yùn)行中需要進(jìn)行安全檢測的對象中的某一些屬性在通過一系列的檢測管理過程之后，得出最后的測量結(jié)果，其中最為重要的就是測量方法和基本測度。將測量對象的多個屬性應(yīng)用不同的測量方法之后就能夠得到基本測度，而基本測量方法的獲取是通過多樣化的數(shù)據(jù)資源進(jìn)行測量對象的數(shù)據(jù)獲取，比如風(fēng)險評估結(jié)果、日志報(bào)表統(tǒng)計(jì)記錄、調(diào)查表、測量結(jié)果等途徑。

 

就我國當(dāng)前進(jìn)行信息安全管理有效性測量的方式而言，在設(shè)定環(huán)節(jié)相對復(fù)雜和冗余，但在基本的項(xiàng)目實(shí)踐中得出如下的基本運(yùn)行方法：

 

2.1審計(jì)監(jiān)控系統(tǒng)回顧

 

在進(jìn)行檢測時，需要盡可能的發(fā)現(xiàn)各個環(huán)節(jié)所存在違反和潛在信息安全的現(xiàn)象和事件，以實(shí)現(xiàn)有效的防治，實(shí)現(xiàn)影響的最小化[3]。

 

2.2糾正預(yù)防措施驗(yàn)證

 

對已經(jīng)納入整體有效性測量計(jì)劃的糾正預(yù)防措施，在開展檢測時進(jìn)行檢查和回顧，以保證檢驗(yàn)過程中對于信息安全管理系統(tǒng)所采取的各項(xiàng)措施是否合乎當(dāng)下的現(xiàn)狀和企業(yè)具體要求。

 

2.3信息安全事故統(tǒng)計(jì)

 

主要是對已經(jīng)發(fā)生過的安全事件進(jìn)行統(tǒng)計(jì)和分析，以為檢測的有效性提供更加高效合理的方法指引，以實(shí)現(xiàn)進(jìn)行更高角度的評估以及在控制措施方面的有效性。

 

這樣的方式是將基本的計(jì)劃和檢測方式實(shí)現(xiàn)了有效的結(jié)合，并在各種方法的支撐下，實(shí)現(xiàn)綜合型的檢測，做到有效的預(yù)防和糾正，從不同的層面反應(yīng)了進(jìn)行信息安全檢測的有效性，并保障整體運(yùn)行體系的完整有效性，進(jìn)而形成一個有效的良性循環(huán)。

 

三、結(jié)束語

 

就我國的整體實(shí)際而言，信息安全管理有效性的測量方法，還處于基礎(chǔ)的起步階段，而且相關(guān)的各項(xiàng)理論研究和測量指標(biāo)等也均沒有達(dá)到完善的階段，這就需要進(jìn)行不斷的發(fā)展和探索，而且實(shí)踐證明，進(jìn)行信息安全管理有效性的研究是有著極為廣闊的發(fā)展前景的，在保障整體信息運(yùn)行管理的安全性基礎(chǔ)上，能夠使企業(yè)提升整體的競爭力和自身生存能力，并且能夠?qū)y量中發(fā)現(xiàn)的問題和相關(guān)數(shù)據(jù)進(jìn)行分析，然后具有針對性的使企業(yè)所存在的風(fēng)險得到最大化的控制，最終達(dá)到基本業(yè)務(wù)的正常有效運(yùn)行。

篇8

1．強(qiáng)化“制度”管理，為創(chuàng)建信息安全區(qū)提供制度保障。

我們根據(jù)《中國人民銀行信息安全管理規(guī)定》和《河南省人民銀行系統(tǒng)規(guī)范化管理辦法》的相關(guān)要求，結(jié)合當(dāng)?shù)氐膶?shí)際，建立和完善組織機(jī)構(gòu)建設(shè)、計(jì)算機(jī)安全設(shè)備管理、系統(tǒng)操作規(guī)程設(shè)計(jì)、網(wǎng)絡(luò)建設(shè)的安全規(guī)劃與立項(xiàng)、信息系統(tǒng)安全審計(jì)、應(yīng)急處理預(yù)案建設(shè)、目標(biāo)責(zé)任制落實(shí)等一整套涉及信息安全管理的規(guī)章制度，為各項(xiàng)工作創(chuàng)建的落實(shí)奠定一個完善的制度基礎(chǔ)。與此同時，嚴(yán)格信息安全管理檢查制度?？萍疾块T每季會同保衛(wèi)部門、人事部門、內(nèi)審部門、紀(jì)委組織一次中支機(jī)關(guān)和轄內(nèi)的信息安全檢查，每次都制定了詳細(xì)的檢查方案，確保檢查工作的可操作性和規(guī)范性。安全檢查完成后及時形成檢查報(bào)告，報(bào)中支信息安全領(lǐng)導(dǎo)小組，并經(jīng)信息安全領(lǐng)導(dǎo)小組審閱后將檢查整改報(bào)告送達(dá)被檢查單位，限期整改并進(jìn)行后續(xù)跟蹤。

2．強(qiáng)化“組織”領(lǐng)導(dǎo)，為創(chuàng)建信息安全區(qū)提供組織保證。

一方面中支機(jī)關(guān)及所轄縣（市）支行都按要求成立以行長為組長、其他領(lǐng)導(dǎo)班子成員任副組長、部門負(fù)責(zé)人為成員的信息安全領(lǐng)導(dǎo)小組。另一方面機(jī)關(guān)各部門設(shè)立信息安全管理崗位，指定一名責(zé)任心強(qiáng)，熟悉計(jì)算機(jī)相關(guān)知識的職工為信息安全員，具體負(fù)責(zé)本部門信息安全管理的有關(guān)事宜。信息安全領(lǐng)導(dǎo)小組下設(shè)辦公室，由科技科具體負(fù)責(zé)協(xié)調(diào)機(jī)關(guān)及轄內(nèi)信息安全管理工作，為信息安全領(lǐng)導(dǎo)小組提供重大事項(xiàng)決策的有關(guān)事宜，為信息安全管理提供高效的組織保證。

3．強(qiáng)化“操作”規(guī)程，確保信息安全區(qū)創(chuàng)建工作的規(guī)范化。

明確的崗位目標(biāo)與操作規(guī)程是金融信息安全區(qū)創(chuàng)建的重要一環(huán)。我們對中支信息安全管理員（部門計(jì)算機(jī)安全員）、技術(shù)支持人員、業(yè)務(wù)操作人員、一般計(jì)算機(jī)用戶等確定各自的崗位目標(biāo)和操作規(guī)程及應(yīng)當(dāng)承擔(dān)的安全義務(wù)。同時制訂了明確的崗位操作規(guī)程，做到責(zé)權(quán)明晰，操作規(guī)范。同時，我們加強(qiáng)部門之間的協(xié)調(diào)，要求各部門都要制訂業(yè)務(wù)應(yīng)急預(yù)案和詳細(xì)的操作規(guī)程，然后由科技科進(jìn)行匯總、協(xié)調(diào)，形成有效的聯(lián)防機(jī)制。

4．強(qiáng)化“責(zé)任”管理，加大金融信息安全區(qū)的創(chuàng)建力度。

按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，根據(jù)不同層次制訂不同內(nèi)容的信息安全管理責(zé)任書，落實(shí)各項(xiàng)責(zé)任制，信息安全領(lǐng)導(dǎo)小組組長與副組長和各縣（市）支行行長、副組長與分管部門負(fù)責(zé)人、部門負(fù)責(zé)人與崗位責(zé)任人層層簽訂信息安全責(zé)任書，對沒有按照規(guī)定簽訂責(zé)任書的部門，在出現(xiàn)安全事故時，按照“上溯一級”的原則，追究當(dāng)事人的直接責(zé)任和部門負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任。

5．強(qiáng)化“技術(shù)”指導(dǎo)，為創(chuàng)建信息安全區(qū)的提供智力支持。

重點(diǎn)強(qiáng)化了中支各部門計(jì)算機(jī)信息安全人員及所轄縣市支行安全管理人員的技術(shù)指導(dǎo)和信息安全知識的傳播，通過舉辦不同形式的信息安全培訓(xùn)班，提高他們自覺防范的意識和技能，為信息安全打好第一道防線。

6．強(qiáng)化“監(jiān)督”管理，鞏固金融信息安全區(qū)創(chuàng)建成果。

篇9

關(guān)鍵詞：民航企業(yè)；信息化建設(shè)；信息安全技術(shù)

0引言

互聯(lián)網(wǎng)時代的到來，信息技術(shù)與網(wǎng)絡(luò)技術(shù)已然成為人們生產(chǎn)生活的重要技術(shù)支撐，在民航領(lǐng)域中，信息化建設(shè)的進(jìn)程也得以高效發(fā)展。與此同時，民航企業(yè)信息系統(tǒng)的安全隱患及安全防護(hù)問題也逐漸暴露，成為信息化建設(shè)過程中亟須應(yīng)對與解決的問題。

1網(wǎng)絡(luò)信息安全制度的建設(shè)

1.1建設(shè)網(wǎng)絡(luò)信息安全制度

據(jù)調(diào)查，民航信息系統(tǒng)安全事件的發(fā)生，問題的主要成因在于未充分明確相關(guān)責(zé)任以確保網(wǎng)絡(luò)信息安全管理工作的全面落實(shí)。基于此，民航企業(yè)需要充分結(jié)合自身的是情況，對網(wǎng)絡(luò)信息安全管理責(zé)任制的健全及完善，充分明確人員相關(guān)責(zé)任，促進(jìn)民航信息化建設(shè)水平的提升，促進(jìn)民航的健康發(fā)展。民航企業(yè)應(yīng)當(dāng)搭建內(nèi)部網(wǎng)絡(luò)信息安全規(guī)范體系，以之為基礎(chǔ)開展企業(yè)網(wǎng)絡(luò)信息安全管理及部署工作，確保民航信息安全水平的有效提升。民航企業(yè)應(yīng)當(dāng)時刻緊隨時展步伐，對網(wǎng)絡(luò)信息安全保障體系加以完善，建立網(wǎng)絡(luò)信息安全防范體系，采取合理的等級保護(hù)與分級保護(hù)措施，維護(hù)網(wǎng)絡(luò)信息安全。民航企業(yè)應(yīng)當(dāng)將網(wǎng)絡(luò)信息安全作為信息化建設(shè)的發(fā)展方向，積極配合并響應(yīng)國防部、網(wǎng)絡(luò)安全部門、公安機(jī)關(guān)等行政機(jī)關(guān)部門的規(guī)定與要求，實(shí)時更新并優(yōu)化安全防護(hù)措施，實(shí)現(xiàn)網(wǎng)絡(luò)安全整體覆蓋范圍的擴(kuò)大。

1.2細(xì)分網(wǎng)絡(luò)安全保障體系

對于民航企業(yè)而言，其信息網(wǎng)絡(luò)安全保障體系的建設(shè)，主要包括三個方面，即信息網(wǎng)絡(luò)安全技術(shù)體系、信息網(wǎng)絡(luò)安全管理體系及信息網(wǎng)絡(luò)安全運(yùn)行維護(hù)體系。這三個安全防護(hù)體系是相互依存與相互促進(jìn)的。信息網(wǎng)絡(luò)安全管理體系的搭建，應(yīng)當(dāng)作為信息安全技術(shù)體系保障的重要方向，技術(shù)體系也是保障信息網(wǎng)絡(luò)安全的技術(shù)設(shè)施與基礎(chǔ)服務(wù)的重要支持。信息網(wǎng)絡(luò)安全管理體系的建設(shè)也要求網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用水平不斷提升。民航企業(yè)的網(wǎng)絡(luò)信息安全體系的建設(shè)，可以充分參考美國國家安全局所提出的IATF框架的網(wǎng)絡(luò)安全縱深戰(zhàn)略防御理念、美國ISS公司所提出的P2DR動態(tài)網(wǎng)絡(luò)安全模型等相應(yīng)信息網(wǎng)絡(luò)安全防護(hù)體系，搭建“打擊、預(yù)防、管理、控制”于一體的網(wǎng)絡(luò)通信安全綜合防護(hù)體系理念，是當(dāng)前國際上最為先進(jìn)、最為有效的安全保障框架體系，對重要體系采取有效的安全防護(hù)措施，搭建民航企業(yè)的信息安全防護(hù)與控制中心，實(shí)現(xiàn)對于信息網(wǎng)絡(luò)體系的安全監(jiān)控、安全終端、安全平臺、主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全相互結(jié)合、相互統(tǒng)一的信息安全平臺建設(shè)，信息安全防護(hù)應(yīng)當(dāng)涵蓋物理層面、終端層面、網(wǎng)絡(luò)層面、主機(jī)層面、數(shù)據(jù)層面及應(yīng)用層面，保證安全防護(hù)的全面性及全方位性[1]。

1.3發(fā)展民航網(wǎng)絡(luò)信息安全產(chǎn)業(yè)

隨著時代的發(fā)展，民航企業(yè)開始更多地強(qiáng)調(diào)民航網(wǎng)絡(luò)信息安全事業(yè)的發(fā)展。在開展民航企業(yè)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)建設(shè)時，應(yīng)及時跟蹤和了解國際網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展動向，了解信息安全防護(hù)技術(shù)水平的提升渠道，積極謀求與其他發(fā)達(dá)國家之間的技術(shù)合作，大力引進(jìn)先進(jìn)的管理技術(shù)與管理手段，大力培養(yǎng)并教育網(wǎng)絡(luò)信息安全技術(shù)人才。民航企業(yè)要大力引進(jìn)技術(shù)水平與管理理念較為先進(jìn)的人才，并對所引進(jìn)的人才采用科學(xué)合理的技術(shù)培訓(xùn)與安全教育措施，不斷增強(qiáng)相關(guān)人員對于網(wǎng)絡(luò)信息安全防護(hù)的意識與理解能力，安全理念先進(jìn)、技術(shù)水平高超、應(yīng)急處置及時的網(wǎng)絡(luò)信息安全管理人才隊(duì)伍。民航企業(yè)要搭建科學(xué)完善的網(wǎng)絡(luò)信息安全管理體系，充分保證信息網(wǎng)絡(luò)安全組織、網(wǎng)絡(luò)信息安全流程、網(wǎng)絡(luò)信息安全制度相互結(jié)合，搭建科學(xué)合理的安全管理體系。

2民航信息安全保障體系的建設(shè)

2.1國家信息系統(tǒng)安全等級保護(hù)

以ISO27001信息安全管理要求為基礎(chǔ)，結(jié)合國家信息系統(tǒng)安全等級防護(hù)管理方面，對信息系統(tǒng)安全防護(hù)安全管理基本要求加以明確，開展民航企業(yè)網(wǎng)絡(luò)安全防護(hù)及管理體系的建設(shè)工作。網(wǎng)絡(luò)信息安全管理體系的設(shè)計(jì)，應(yīng)當(dāng)涵蓋安全組織架構(gòu)、安全管理人員、安全防護(hù)制度及安全管理流程等多個方面，結(jié)合自身實(shí)際需求，設(shè)計(jì)科學(xué)合理的網(wǎng)絡(luò)信息安全管理體系等。對于網(wǎng)絡(luò)系統(tǒng)安全組織架構(gòu)的建設(shè)與完善，組建涵蓋安全管理、安全決策、安全監(jiān)督及安全執(zhí)行等層次的管理架構(gòu)，設(shè)置相應(yīng)職責(zé)崗位，對安全管理責(zé)任進(jìn)行分解與落實(shí)，做好人員錄用、人員調(diào)動、人員考核及人員培訓(xùn)等相關(guān)方面的人員管理工作。民航企業(yè)在制定安全管理制度時，應(yīng)建立網(wǎng)絡(luò)信息安全目標(biāo)、安全策略、安全管理制度及安全防護(hù)技術(shù)規(guī)范等多個層次，搭建安全管理制度體系。在建立安全管理流程方面，通過建立科學(xué)合理的組織內(nèi)部安全監(jiān)督檢查與優(yōu)化體系，保證網(wǎng)絡(luò)信息安全管理工作的順利開展。將內(nèi)部人員與第三方訪問人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維、物理環(huán)境的日常管理規(guī)范化，將日常的變更管理、問題管理、事件管理、配置管理、管理等電子化、流程化與標(biāo)準(zhǔn)化[2]。

2.2合理運(yùn)用先進(jìn)安全防護(hù)技術(shù)

2.2.1入侵檢測技術(shù)

目前，對信息安全防護(hù)技術(shù)手段研發(fā)與應(yīng)用也愈發(fā)普遍，其中入侵檢測技術(shù)的應(yīng)用可以取得較好的技術(shù)效果。入侵檢測技術(shù)的應(yīng)用主要是通過對網(wǎng)絡(luò)行為、網(wǎng)絡(luò)安全日志、網(wǎng)絡(luò)安全審計(jì)信息等技術(shù)手段，有效檢測網(wǎng)絡(luò)系統(tǒng)非法入侵行為，判斷網(wǎng)絡(luò)入侵企圖，通過網(wǎng)絡(luò)入侵檢測以實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)時監(jiān)控，有效避免網(wǎng)絡(luò)非法攻擊的可能。通過應(yīng)用入侵檢測技術(shù)，民航企業(yè)可以構(gòu)建入侵檢測系統(tǒng)，能夠?qū)ο到y(tǒng)內(nèi)部、外部的非授權(quán)行為進(jìn)行同步檢測，及時發(fā)現(xiàn)和處理網(wǎng)絡(luò)信息系統(tǒng)中的未授權(quán)和異?，F(xiàn)象，盡可能減少網(wǎng)絡(luò)入侵所造成的損耗與安全威脅。為此，可采取NetEye入侵檢測系統(tǒng)，該系統(tǒng)通過深度分析技術(shù)，實(shí)現(xiàn)對于網(wǎng)絡(luò)環(huán)境的全過程監(jiān)控，及時了解、分析并明確網(wǎng)絡(luò)內(nèi)部安全隱患及外部入侵風(fēng)險，作出安全示警，及時響應(yīng)并采取有效的安全防范技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)層次進(jìn)行有效延伸。同時，該入侵檢測系統(tǒng)具備較為強(qiáng)悍的網(wǎng)絡(luò)信息審計(jì)功能，就可以實(shí)時監(jiān)控、記錄、審計(jì)并就重演網(wǎng)絡(luò)安全運(yùn)行及使用情況，用戶能夠更好地了解網(wǎng)絡(luò)運(yùn)行情況。

2.2.2文件加密技術(shù)

對稱加密技術(shù)是常見的文件加密技術(shù)之一，所采用的密鑰能夠用以加密與解密，在技術(shù)應(yīng)用時，以塊為單位進(jìn)行數(shù)據(jù)加密。這一方法在實(shí)際應(yīng)用過程中，一次能夠加密一個數(shù)據(jù)塊。對對稱加密技術(shù)的優(yōu)化與改進(jìn)，主要可采用密碼塊鏈的模式加以實(shí)現(xiàn)，即通過私鑰及初始化向量進(jìn)行文件加密[3]。如上所述，隨著網(wǎng)絡(luò)信息安全受到更多重視，民航企業(yè)信息化建設(shè)水平在進(jìn)一步提升其網(wǎng)絡(luò)建設(shè)水平的同時，也更多地意識到網(wǎng)絡(luò)信息安全的重要性與必要性，不僅需要構(gòu)建行業(yè)信息安全防御體系，還應(yīng)當(dāng)建立健全網(wǎng)絡(luò)信息安全制度，構(gòu)建網(wǎng)絡(luò)安全防護(hù)人才團(tuán)隊(duì)。在此基礎(chǔ)上，民航企業(yè)還可以充分利用文件加密和數(shù)字簽名技術(shù)，通過該技術(shù)，可以合理避免相關(guān)數(shù)據(jù)信息受到竊取、篡改或遭到損壞而導(dǎo)致網(wǎng)絡(luò)信息安全受到影響。文件加密和數(shù)字簽名技術(shù)應(yīng)用過程中，可以更好地對網(wǎng)絡(luò)信息安全提供保證、維護(hù)相關(guān)信息數(shù)據(jù)的安全性。

篇10

【關(guān)鍵詞】數(shù)字圖書館 網(wǎng)絡(luò)安全 信息安全 管理責(zé)任 措施

目前，我國國內(nèi)數(shù)字圖書館網(wǎng)絡(luò)信息安全（以下簡稱為網(wǎng)絡(luò)信息安全）應(yīng)用研究方面，大多都側(cè)重于技術(shù)，認(rèn)為信息安全是一個技術(shù)性的問題，其所有出現(xiàn)的問題都依賴于先進(jìn)技術(shù)。但信息技術(shù)無論多么完善，它都無法回答如下問題：管理主體、制度在信息安全中的責(zé)任；技術(shù)、人、制度三者之間的關(guān)系；如何能夠解決信息安全可持續(xù)發(fā)展問題；為什么在信息技術(shù)很發(fā)達(dá)的情況下，信息安全問題依然存在，事故依然頻繁發(fā)生等等?？梢姡畔踩诵畔⒓夹g(shù)影響之外必有其他方面深層次的原因。僅側(cè)重于技術(shù)的應(yīng)用研究，還不能適應(yīng)信息安全實(shí)踐發(fā)展的需求，信息安全研究仍有繼續(xù)深化的必要。

網(wǎng)絡(luò)信息安全分析

網(wǎng)絡(luò)信息安全包括信息的安全和網(wǎng)絡(luò)系統(tǒng)的安全兩層意思，信息的安全是指保護(hù)基礎(chǔ)運(yùn)行信息、服務(wù)器信息、用戶信息、網(wǎng)絡(luò)信息資源等信息或數(shù)據(jù)的機(jī)密性、完整性和可用性，同時還需要對信息風(fēng)險和信息控制之間的最優(yōu)平衡有非凡的理解。機(jī)密性要求保證信息不泄露給未經(jīng)授權(quán)的人。完整性要求防止信息被未經(jīng)授權(quán)的篡改和破壞?？捎眯允侵副ＷC訪問信息的用戶可以在不受干涉和阻礙的情況下對信息進(jìn)行訪問和使用。網(wǎng)絡(luò)系統(tǒng)安全是指保護(hù)網(wǎng)絡(luò)信息系統(tǒng)設(shè)備中的硬件、軟件和網(wǎng)絡(luò)系統(tǒng)的正常狀態(tài)和安全運(yùn)行。概括地講，網(wǎng)絡(luò)信息安全就是指采用技術(shù)、管理等多種措施，保護(hù)網(wǎng)絡(luò)系統(tǒng)連續(xù)正常運(yùn)行，保護(hù)各種資源不因自然或人為因素遭到破壞、更改、泄露或非法占用。

網(wǎng)絡(luò)信息安全技術(shù)。先進(jìn)的安全技術(shù)是實(shí)現(xiàn)信息安全的重要手段，許多網(wǎng)絡(luò)信息系統(tǒng)安全性保障都要依靠技術(shù)手段來實(shí)現(xiàn)。像信息安全所用到的防火墻技術(shù)、入侵檢測或流量分析技術(shù)、認(rèn)證控制技術(shù)、VLAN技術(shù)、加密技術(shù)、VPN、病毒防護(hù)技術(shù)、容災(zāi)技術(shù)等多項(xiàng)安全技術(shù)，為確保圖書館網(wǎng)絡(luò)信息的保密性、完整性和可用性提供了強(qiáng)有力的支持。

制度和制度執(zhí)行力。制定嚴(yán)格有效的安全管理制度規(guī)范人的行為，使人遵守規(guī)則，這是技術(shù)涉及不到的層面。而信息的保密性、完整性和可用性只有通過技術(shù)手段才能得以實(shí)現(xiàn)，卻又是制度所不能解決的。在信息安全實(shí)踐中，技術(shù)與制度二者不能斷然分開，是相輔相成的，技術(shù)是一種硬手段，制度是一種規(guī)范性的軟手段。目前，國內(nèi)數(shù)字圖書館在安全管理制度建設(shè)方面存在著諸多問題。一是制度不完善。我國數(shù)字圖書館安全管理制度還不健全，缺乏嚴(yán)格、細(xì)致、有效的安全管理規(guī)定與安全技術(shù)相配套。二是缺乏安全教育培訓(xùn)常態(tài)機(jī)制。圖書館館員以及用戶安全意識薄弱，網(wǎng)絡(luò)安全知識缺乏，知識產(chǎn)權(quán)保護(hù)意識不強(qiáng)。三是信息安全監(jiān)督審查機(jī)制不健全。監(jiān)督審查機(jī)制不健全，將導(dǎo)致安全管理制度流于形式，圖書館無法及時找出安全管理漏洞和不足，無法對安全管理漏洞及早采取補(bǔ)救措施。四是制度執(zhí)行不力。從目前圖書館規(guī)章制度的建設(shè)來看，不缺少嚴(yán)謹(jǐn)細(xì)密的典章制度，缺少的是對規(guī)章條款的不折不扣地執(zhí)行。一些圖書館存在有章不循、有規(guī)不依，獎懲不嚴(yán)、問責(zé)流于形式，安全督查不到位等種種問題。制定的制度是為了執(zhí)行，因?yàn)橹挥袌?zhí)行才能把制度確定的各項(xiàng)要求落到實(shí)處，得不到執(zhí)行的制度是毫無用處的，制度也就名存實(shí)亡。

網(wǎng)絡(luò)信息安全管理。網(wǎng)絡(luò)信息安全的主體是人，客體是網(wǎng)絡(luò)信息安全防御體系，網(wǎng)絡(luò)信息安全實(shí)際上就是主客體互動的過程。技術(shù)研究的對象是物，而物是沒有目的、沒有意義可言的，它不涉及人及其行為。技術(shù)只是一種手段，網(wǎng)絡(luò)信息安全必然涉及到人及其行為和制度問題。安全管理貫穿于整個信息安全防御體系，包括建立安全管理組織、制定安全目標(biāo)、制定安全防護(hù)策略、建立安全管理制度、制定安全規(guī)劃與應(yīng)急方案、對員工進(jìn)行安全意識教育培訓(xùn)等內(nèi)容。安全技術(shù)只有在有效的管理控制之下，才能得以較好地實(shí)施。可見，嚴(yán)格的安全管理是網(wǎng)絡(luò)信息安全的根本保證。隨著數(shù)字圖書館建設(shè)的深入，網(wǎng)絡(luò)信息安全問題日趨凸顯。目前，國內(nèi)過多地強(qiáng)調(diào)技術(shù)的作用，將建設(shè)的重點(diǎn)放在技術(shù)上，致使安全管理工作跟不上技術(shù)發(fā)展的步伐。有人對2009年我國30家數(shù)字圖書館信息安全管理現(xiàn)狀進(jìn)行調(diào)研，發(fā)現(xiàn)在已發(fā)生的安全事件中，三分之一的安全事件是由安全管理機(jī)制不夠完善引起的，而事件發(fā)生原因中管理因素高達(dá)70%以上?？梢?，安全管理上的缺失已成為數(shù)字圖書館整個網(wǎng)絡(luò)信息系統(tǒng)不安全因素中的主要因素之一，對數(shù)字圖書館產(chǎn)生的危害遠(yuǎn)大于其他方面。這里主要討論對人的管理問題，人的認(rèn)識和觀念問題。著名的前黑客凱文?米蒂尼說過，盡管很多公司采取了安全防護(hù)措施，但這些安全措施在網(wǎng)絡(luò)犯罪面前仍然顯得不堪一擊，原因是他們忽略了網(wǎng)絡(luò)安全最為薄弱的環(huán)節(jié)――人的因素。數(shù)字圖書館擁有功能非常強(qiáng)大的網(wǎng)絡(luò)信息系統(tǒng)和最先進(jìn)的安全技術(shù)設(shè)施，但卻有可能緣于人而產(chǎn)生失誤，致使安全管理存在諸多隱患和不足，從而導(dǎo)致數(shù)字圖書館網(wǎng)絡(luò)信息系統(tǒng)面臨一系列信息安全問題。如引入木馬、病毒或其他危害程序；網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行不正常甚至癱瘓，信息外泄，無法應(yīng)對新出現(xiàn)的信息安全突發(fā)事件等，這與相關(guān)人員特別是一些負(fù)責(zé)人員對安全管理的不重視、認(rèn)識不足以及責(zé)任感缺失有關(guān)。

圖書館管理者的安全管理理念的滯后，對安全管理的重要性缺乏深層的認(rèn)識，導(dǎo)致決策上的失誤或管理不足，將給數(shù)字圖書館的網(wǎng)絡(luò)信息安全帶來不可估量的損失。如有的管理者的管理理念，還停留在傳統(tǒng)圖書館封閉式內(nèi)部局域網(wǎng)安全管理模式上，并沒有認(rèn)識到數(shù)字圖書館更為開放的環(huán)境將面臨更趨嚴(yán)峻的網(wǎng)絡(luò)安全問題，致使在網(wǎng)絡(luò)信息安全事件防御方面處于被動狀態(tài)，有的管理者雖然認(rèn)識到網(wǎng)絡(luò)信息安全問題的嚴(yán)峻性，但卻認(rèn)為只要加大對安全產(chǎn)品的投入，購買并安裝了最先進(jìn)的安全技術(shù)產(chǎn)品，就可以高枕無憂了，或誤認(rèn)為到了信息技術(shù)特別發(fā)達(dá)的時候，網(wǎng)絡(luò)信息安全維護(hù)管理是管理員的事情，與其他館員無關(guān)。或誤認(rèn)為安全維護(hù)與管理都是服務(wù)提供商的事，圖書館只管應(yīng)用就行了。不重視安全責(zé)任意識教育與技能培訓(xùn)，導(dǎo)致一些安全管理技術(shù)人員思想麻痹大意，安全責(zé)任意識不強(qiáng)，不知道網(wǎng)絡(luò)信息安全的薄弱環(huán)節(jié)，不了解保護(hù)網(wǎng)絡(luò)信息安全的責(zé)任以及在對付入侵行為方面的責(zé)任。

沒有安全責(zé)任和責(zé)任分配機(jī)制，對信息安全責(zé)任人的責(zé)任內(nèi)容、范圍、責(zé)任分配不清楚。圖書館管理者制定的員工崗位責(zé)任書，責(zé)任劃分不明、工作內(nèi)容描述不清，導(dǎo)致館員不清楚應(yīng)在什么范圍和限度內(nèi)對自己的職業(yè)行為負(fù)有責(zé)任，應(yīng)該承擔(dān)何種責(zé)任和義務(wù)。致使出現(xiàn)安全管理問題時，不是相互推諉，就是聽之任之。不重視對高素養(yǎng)、高技能安全管理技術(shù)人才的引進(jìn)與培養(yǎng)，一些圖書館的館內(nèi)安全管理工作多為業(yè)務(wù)培訓(xùn)，但缺乏全面的安全管理知識和技能，對不斷發(fā)展的新技術(shù)缺少深入和細(xì)致的了解和掌握，應(yīng)付網(wǎng)絡(luò)安全突發(fā)事件的預(yù)警能力不夠強(qiáng)。由于安全知識與技能的欠缺，導(dǎo)致他們無法應(yīng)對新出現(xiàn)的網(wǎng)絡(luò)安全突發(fā)事件。應(yīng)該清楚地看到，人是具有理性和非理性的，要使人的理于信息安全，必須要借助于制度規(guī)范，使人沿著信息安全正確的規(guī)定自覺行動。

應(yīng)該指出，制度只是一種方法，是有邊界的，并不是萬能的。無論多么完善的制度，如果不被執(zhí)行也形同一張廢紙。同時，制度具有剛性，它不能時刻隨著網(wǎng)絡(luò)信息安全的變化而變化，落后的制度有可能阻礙網(wǎng)絡(luò)信息安全的建設(shè)。綜上所述，制度、技術(shù)和管理人員的責(zé)任意識都有自己的邊界，如若單一運(yùn)行制度、技術(shù)，即便是極為負(fù)責(zé)任的管理人員，也不可能完善地解決信息安全問題。因此，技術(shù)、制度、管理主體（人）的責(zé)任應(yīng)三管齊下，才能真正預(yù)防和因減少技術(shù)、管理等因素所導(dǎo)致的網(wǎng)絡(luò)信息安全問題，最大程度地保護(hù)網(wǎng)絡(luò)，使其安全運(yùn)行，并最大限度地挽回網(wǎng)絡(luò)信息系統(tǒng)損失。

網(wǎng)絡(luò)信息安全保障措施

網(wǎng)絡(luò)信息安全需要技術(shù)（支撐）和管理（落實(shí)）的雙重保證。從安全防范技術(shù)層面上講，國內(nèi)的數(shù)字圖書館都有較為成熟的防御體系，但在安全管理方面，數(shù)字圖書館還須做諸多努力。

加強(qiáng)網(wǎng)絡(luò)信息安全教育與培訓(xùn)，樹立安全責(zé)任意識。圖書館管理者應(yīng)改變重技術(shù)輕管理的觀念，樹立全新的安全管理理念，針對圖書館館員以及讀者安全意識薄弱、安全措施不落實(shí)等現(xiàn)狀，組織開展多層次、多方位的網(wǎng)絡(luò)信息安全宣傳工作。要加大對安全防范措施檢查的力度，開展崗前培訓(xùn)、現(xiàn)場網(wǎng)絡(luò)安全教育與技能培訓(xùn)，提倡自主學(xué)習(xí)，派送技術(shù)骨干再深造等。定期或不定期舉辦網(wǎng)絡(luò)信息安全教育與技能培訓(xùn)講座，將促使館員熟知圖書館相關(guān)的安全管理規(guī)章制度，掌握相關(guān)設(shè)備的正確操作規(guī)程，以及確保系統(tǒng)和數(shù)據(jù)安全的操作方法。定期或不定期地組織館內(nèi)工作人員學(xué)習(xí)相關(guān)的法律法規(guī)和政策，使他們具有較強(qiáng)的安全防范意識，以及執(zhí)行制度的意識和能力。圖書館要經(jīng)常派遣館內(nèi)重點(diǎn)培養(yǎng)的年輕技術(shù)管理骨干參加國內(nèi)外信息安全方面的技術(shù)培訓(xùn)，鼓勵他們自主學(xué)習(xí)，及早掌握安全技術(shù)與管理新理論、新技術(shù)、新方法，掌握新的網(wǎng)絡(luò)及安全產(chǎn)品的功能，了解網(wǎng)絡(luò)病毒、密碼攻擊、分組竊聽、IP欺騙、拒絕服務(wù)、端口攻擊等多樣化攻擊手段。安全管理員要定期對網(wǎng)絡(luò)信息安全狀況進(jìn)行風(fēng)險評估，及時修正安全缺陷、評估缺失，及早采取補(bǔ)救措施。安全維護(hù)僅僅依靠館內(nèi)為數(shù)不多的安全管理技術(shù)人員是遠(yuǎn)遠(yuǎn)不夠的，它還需要依靠全體館員、用戶（讀者）的同心協(xié)力。通過安全意識教育，使全體館員及用戶明確自身權(quán)限和義務(wù)，嚴(yán)格、自覺地遵守圖書館上網(wǎng)規(guī)定，不越權(quán)、不隨意下載和安裝盜版或共享軟件，同時保管好自己的密碼，經(jīng)常加固系統(tǒng)，提高系統(tǒng)的安全性。

強(qiáng)化制度建設(shè)，提高制度執(zhí)行力。制度的貫徹落實(shí)，不但要求制度本身的科學(xué)合理，還要求對制度的不折不扣地執(zhí)行。提高制度的執(zhí)行力，首先要不斷創(chuàng)新與完善安全管理工作制度。制度本身是否科學(xué)合理，對制度執(zhí)行力大小有著根本性的影響。因此，對具有嚴(yán)肅性和不可違反性的包含有操作程序、技術(shù)要求、安全條例等項(xiàng)內(nèi)容的規(guī)章制度，數(shù)字圖書館要不斷根據(jù)網(wǎng)絡(luò)信息安全發(fā)展中出現(xiàn)的新問題、新情況，對不合時宜的制度及時進(jìn)行修正和補(bǔ)充。制度完善不能盲目跟風(fēng)，各個圖書館必須結(jié)合自身特點(diǎn)，不斷總結(jié)制度建設(shè)中的經(jīng)驗(yàn)教訓(xùn)，改革創(chuàng)新完善制度建設(shè)的內(nèi)容，力求實(shí)現(xiàn)制度的可持續(xù)發(fā)展。另外，建立監(jiān)督審計(jì)機(jī)制，強(qiáng)化責(zé)任監(jiān)督，確保網(wǎng)絡(luò)信息安全管理效能。數(shù)字圖書館安全防護(hù)體系要做到“事前防范、事中控制、事后審計(jì)”，在制度上就必須做出預(yù)先的安排，以檢測危機(jī)事件，并做出預(yù)警準(zhǔn)備，以事前預(yù)防和控制替代事后的責(zé)任威懾。設(shè)立專門的主管部門，通過網(wǎng)絡(luò)信息安全主管部門這一監(jiān)督主體，加大對安全管理制度的監(jiān)督審計(jì)，通過及時修正完善各項(xiàng)安全管理規(guī)章制度，加強(qiáng)對安全工作的督查檢查，以提高相關(guān)工作人員遵章守紀(jì)的安全意識。其次，要提高制度主體（人）的執(zhí)行力。任何制度要達(dá)到有效的管理效能，就必須通過制度主體相關(guān)人員的具體行為實(shí)現(xiàn)。而相關(guān)人員的責(zé)任心、態(tài)度、素質(zhì)及能力水平，直接影響著制度執(zhí)行行為和方式的選擇，直接關(guān)系著制度執(zhí)行力的高低。主體要提高執(zhí)行力，就必須強(qiáng)化制度認(rèn)知。網(wǎng)絡(luò)信息安全管理體系的建設(shè)，離不開不斷創(chuàng)新和完善的規(guī)章制度和制度的落實(shí)。對制度有準(zhǔn)確認(rèn)知，制度才有可能落在實(shí)處。為此，數(shù)字圖書館要特別組織相關(guān)負(fù)責(zé)人員及館員認(rèn)真學(xué)習(xí)相關(guān)的政策、法律法規(guī)和安全管理規(guī)章制度，使他們對制度的實(shí)現(xiàn)目標(biāo)、內(nèi)容、作用、邊界等準(zhǔn)確認(rèn)知。特別是對各自的責(zé)任和義務(wù)等的準(zhǔn)確認(rèn)知，如明確崗位職責(zé)，使每一位管理人員按照自己的崗位和職權(quán)管理使用系統(tǒng)；明確責(zé)任，使安全管理技術(shù)人員懂得他們是技術(shù)責(zé)任第一人，懂得自己責(zé)任邊界及范圍。使圖書館管理者明確他們是安全管理責(zé)任第一人，是安全制度的制定者又是安全制度的督察者。主體對制度內(nèi)容、邊界等準(zhǔn)確認(rèn)知，才能對照制度找差距，發(fā)現(xiàn)薄弱環(huán)節(jié)和問題，及時糾正，才能將責(zé)任認(rèn)識內(nèi)化為行為準(zhǔn)則，最終上升為自覺行為。主體要提高執(zhí)行力，需增強(qiáng)對制度認(rèn)同。通過自主學(xué)習(xí)、教育培訓(xùn)、有針對性的實(shí)踐活動不斷提高制度主體的素質(zhì)，提高執(zhí)行制度能力水平，從而增強(qiáng)全體館員特別是安全管理技術(shù)人員對管理制度中包含操作規(guī)程、技術(shù)要求、安全條例等項(xiàng)內(nèi)容的硬性管理規(guī)章制度的認(rèn)同。如系統(tǒng)安全責(zé)任與監(jiān)管制度；重要軟件系統(tǒng)和關(guān)鍵硬件設(shè)備的操作制度；系統(tǒng)管理人員、操作人員責(zé)任制度；用戶權(quán)限分配和管理制度；系統(tǒng)災(zāi)難應(yīng)急預(yù)案；事故責(zé)任認(rèn)定和責(zé)任追究制度等制度的認(rèn)同。主體要提高執(zhí)行力，還需堅(jiān)持說服教育與強(qiáng)制執(zhí)行相結(jié)合，綜合利用多種執(zhí)行手段，有效推動制度執(zhí)行。