企业信息安全心得体会(精选12篇)
1.企业信息安全心得体会 篇一
4月24日,学校安排我到北京步同信息培训基地进行学习。本次学习由工业和信息化部软件与集成电路增进中心举行,虽然时间不是很长,仅仅为期5天,但是我收获颇丰,这次实训,让我对网络工程及信息安全有了更深的理解,并通过考核获得了信息安全网络工程师资历。对本次学习,我有以下几点心得:
1.领悟到“学无止境”的含义。
本次培训主要任务是学会散布式网络的设计与利用,网络互连技术,和网络利用中如何保证信息的安全,通过理论与实践相结合,进1步加深我们对理论知识的理解。老师通过沟通了解,有针对性的教我们1些网络信息安全方面的知识。“纸上得来终觉浅,绝知此事要躬行!”在短暂的培训进程中,让我深深的感觉到自己在实际应用中的专业知识的匮乏。让我们真正领悟到“学无止境”的含义。
2.内容丰富,案例真实且实用。
张晓峰老师从中石化、中海油、核电、政府信息中心等真实案例动身,对信息安全从合规化建设入手到影响信息安全的诸多因素进行了深入解析。同时,张老师利用NetMeeting展现和WINDOWS虚拟环境进行学员间的攻防演练的授课情势也得到了学员的认可。
3.培训具有生产实用价值。
信息安全培训是本钱最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施。通过本次CISP培训,使我对工作中的信息安全全部领域有所了解,对产后学校信息安全的布置和设置有的放矢,能够减少没必要要的投入浪费并对网络的良好运行起到应有的作用。
谈到心得,就不能不提学校订于信息化建设的重视,几年来学校不断加强校园信息化建设,信息化和数字化校园建设获得了公认的成效。学校也非常重视对信息化工作人员的培训,为我们提供了很好的学习进修的机会,我会在今后的工作中把学到的.东西充实到工作实践中去,指点工作使培训能真正体现它的价值。
2.企业信息安全心得体会 篇二
随着信息化应用的日益广泛, 企业的信息系统中存储的大量有价值的信息和数据已成为各种网络犯罪组织和恶意势力的攻击目标, 网络非法行为日趋复杂, 且更为频繁, 各种攻击方法相互融合, 攻击手段更为隐秘, 破坏性更强, 攻击从网络层向应用层迁移。但是, 我们也应该看到, 信息安全虽然是由信息技术问题引起的, 但信息安全问题的解决不能够单纯地由技术问题入手, 还得从系统的、管理的角度切入, 一个完美的解决安全问题的技术方案在现实中是不存在的, 而且用信息技术解决信息技术的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。因此, 信息安全中的技术问题是一个关键问题, 不能解决全部问题。信息安全界有句名言:三分技术, 七分管理, 安全和管理是分不开的。即使有再好的安全设备和系统, 而没有一套良好的安全管理制度、管理方法并贯彻实施, 信息安全问题就是空谈。许多出现信息安全事故的单位, 要么是有安全管理制度但没有执行, 要么就是没有安全管理制度。
一、信息系统的安全风险评估
所谓信息系统的安全风险, 是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是分析分析确定风险的过程。任何系统的安全性都可通过风险的大小来衡量。
网络信息系统得安全建设应该建立在风险评估的基础上, 这是信息化建设的内在要求, 系统主管部门和运营、应用单位都必须做好本系统得信息安全评估工作。只有在建设的初期, 在规划的过程中, 就运用风险评估、风险管理的手段, 才可以避免重复建设和投资的浪费。信息安全风险评估是风险评估理论和方法在信息系统中的运用, 是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险, 并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间做出抉择的过程。所有信息安全建设都应该是基于信息安全风险评估, 只有在正确地、全面地理解风险后, 才能在控制风险、减少风险之间做出正确的判断, 决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。在风险评估中, 最终要根据对安全事件发生的可能性和负面影响的评估来识别信息系统的安全风险。造成信息安全事件的源头, 可以归为外因和内因。外因为威胁, 内因则为脆弱性。因此, 在风险评估中要刻意刻画信息安全事件, 就必须对威胁和脆弱性都有深入了解, 这构成了风险评估工作的关键。
要确保信息网络系统得安全高效, 就必须建立和完善信息安全风险评估机制, 也就是要构建一个“发现隐患、制定对策、提高强度、效果认证”的封闭式、反馈型、非线性的评估系统。同时, 信息网络在建设规划阶段必须进行风险评估以确定系统的安全目标;在工程验收阶段一定要进行效果认证和风险在评估以判定系统得安全目标达成与否;在运行维护阶段要针对安全形势和问题, 进行制度化的风险评估工作, 以确定安全措施的有效性和决定是否采取隔离或实施升级行动, 以确保安全保障形势始终维持在期望的目标水平之上。
信息安全风险评估有助于信息化建设的有序开展, 促进信息安全保障体系得完善, 提高信息系统的安全防护能力。其目的是借助科学的评估体系和技术方法, 弄清本单位信息安全的基本态势和网络环境安全状况, 及时采取或完善安全保障措施, 确保信息安全策略和方针在常态化中得到贯彻与执行。对于企业具体涵盖的内容来说, 首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常, 各公司认为表述资产的价值是很容易的, 但具体如要按级别界定就不那么简单。对此, 就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别, 并为制定切实可行的安全管理策略打下基础。另外, 还需完成威胁识别的任务:如果企业想增强竞争实力, 必须随时改进和更新系统和网络, 但是机会增加常伴随着安全风险的增加, 尤其是机构的数据对更多用户开放的时候———因为技术越先进, 安全管理就越复杂。所以企业为了消除安全隐患, 下一步就需要安全厂商与企业一起必须要对现有的网络、系统、应用进行相应的风险评估, 确定在企业的具体环境下到底存在哪些和安全隐患。在此基础上, 制定并实施, 完成安全策略的责任分配, 设立安全标准:几乎所有企业目前都有策略, 只不过许多策略都没有书面化, 只作为完成任务的一种手段。恰当的安全策略必须与机构的所有业务需求直接相关。它基于几类安全标准。标准分类将使企业能发现违反策略的行为, 并指出每个区域的漏洞或潜在安全威胁区。最后, 管理还应包括安全厂商与企业共同组织的对企业安全管理人员进行安全培训, 以便维护和管理整个的实施和运行情况。
企业的网络信息系统必须按照风险管理的思想, 对可能存在的威胁、脆弱性和需要保护的信息资源进行分析, 依据风险评估的结果为信息系统选择适当的安全措施, 妥善应对可能发生的风险。目前, 信息安全等级保护是发达国家保护关键信息基础设施, 保障信息安全的通行。
二、信息安全等级保护
(一) 信息安全等级保护和风险评估的关系
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中明确提出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统, 抓紧建立信息系统安全等级保护制度, 制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》也指出:“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中, 提高信息安全保障能力水平, 维护国家安全、社会稳定和公共利益, 保障和促进信息化建设健康发展的一项基本制度”。等级保护工作的核心是对信息安全分等级, 按标准进行建设、管理和监督。风险评估做为信息安全工作的一种重要技术手段, 为系统安全等级保护的定级、测评和整改等工作阶段提供重要依据, 在实施信息安全等级保护周期和层次中发挥着重要作用。在等级保护周期的系统等级阶段中, 依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析, 判断信息系统应采取什么强度的安全措施, 然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内;在安全实施阶段, 按照风险评估标准, 对现有系统进行评估和加固, 然后进行安全设备的部署, 对在安全实施过程中也会发生事件并可能带来长期的隐患, 风险评估能及早发现并解决这些问题;在安全运维阶段, 按照风险评估标准开展定期和不定期的风险评估以便帮助确认它保持的安全等级是否发生变化。
风险评估的技术手段包括有系统审计、漏洞扫描和渗透测试, 他们在等级保护的各个层。
(二) 等级保护制度的落实
目前, 国家通过制定统一的信息安全等级保护管理规范和技术标准, 组织公民、法人和其他组织对信息系统分等级实行安全防护, 对等级保护工作的实施实行监督、管理, 从而大力推行信息化建设的全面发展, 但是, 绝大多数的信息系统得运营、使用单位依旧采用传统的工作方式解决等级保护工作中的一系列问题, 尤其是相对数量的信息安全等级保护工作的职能部门, 他们在落实等级保护工作中存在很大的问题, 表现在以下几个方面:
一是信息系统安全等级保护工作认识不深刻、重视不到位。信息系统得安全性问题不仅仅是用户自身财产安全的问题, 其所有者应当承担相应的社会安全和公众利益安全的义务。然而, 部分执行部门在开展等级保护工作中从始至终都在被动的应付监管部门的检查, 这种思想上的不重视给监管部门工作开展带来困难的同时, 也阻碍整个信息系统安全等级保护工作的开展;二是信息系统安全等级保护工作管理无序、缺乏约束力。目前, 一部分执行单位他们对信息系统安全等级保护工作组织开展、管理实施无从下手, 甚至对相关法律、政策和标准还不是很清楚, 同时没有各自内部专门机构对等保工作实施监督;三是执行单位的安全分工不清, 没有建立相应得安全职能部门, 这使得在安全等级保护工作中无法确定各相关部门的职责, 从而无法落实安全责任制。
针对这些问题, 建立信息安全管理组织是做好信息安全等级保护工作的必要条件。
1. 建立信息安全管理组织的必要性
一个单位应该也必须建立信息安全管理组织, 这个组织是这个单位在信息系统安全方面的最高权力组织。信息安全是所有管理层成员所共有的责任, 一个管理组织应确保有明确的安全目标。在一个单位内部, 有关信息安全的工作需要一个强有力领导机构来领带和推动, 这是由于:1) 首先是一些单位的业务对信息系统形成了完全的依赖, 另外信息安全会导致对社会公众利益、社会秩序和国家安全造成侵害, 甚至是严重的侵害。2) 在一个单位中多个部门的信息任务既有联系又有相对的独立性, 而这些任务又是这个单位全部信息任务的组成部分, 所有这些都需要一个强有力的机构进行协调和指导。3) 全员使用的信息系统中不同员工在其中所对应的是不同的角色, 在工作中的权限也有4) 一个单位对信息系统安全所采取的各类措施和决策是需要权威机构来审批和决定的。
2. 信息系统使用单位的安全管理机构的职能包括
1) 信息系统安全管理就够负责与信息安全有关的规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策和实施。2) 负责与各级国家安全信息安全监管机构、上级主管部门和技术保卫机构建立日常的工作关系。3) 组织、协调、指导计算机信息系统得安全开发工作。4) 建立健全本系统的系统安全保护规程、制度。5) 确定信息安全各岗位人员的职责和权限、建立岗位责任制。6) 审议并通过安全规划、年度安全报告、与信息安全相关的安全宣传、教育培育计划。7) 执行信息安全报告制度, 定期向当地公安信息安全监管部门报告本单位信息安全保护管理情况, 及时报告重大安全事件。8) 安全审计跟踪分析和安全检查, 及时发现安全隐患和犯罪嫌疑, 防患于未然, 将可能的攻击拒之门外。9) 负责向所属组织或机构的领导层汇报工作, 积极争取领导层对信息安全的支持。10) 信息发布的审核管理。
三、结束语
这种现代化、信息化的以等级保护为核心的信息安全管理体系, 不仅有助于职能部门解决其使用传统方式开展登记保护所导致的问题, 也为各职能部门积极主动地解决自身安全问题提供了有效帮助。根据企业实际情况, 进一步发展完善, 加强定级对象信息系统整体防护, 建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构, 做好操作人员使用的终端防护, 把住攻击发生的源头关, 做到操作使用安全, 以防内为主, 内外兼防, 提高计算节点自身防护能力, 减少从外部入口上封堵, 做到不同级别信息系统安全保护技术和管理逐级增强。
摘要:针对企业信息安全形势, 进行信息系统安全的风险评估, 落实安全等级的维护, 加强信息网络安全保障, 做好网络安全管理, 而完成这些工作的必要条件是建立的有完善工作只能的信息安全管理组织。
关键词:信息安全,风险评估,等级保护,信息安全管理组织
参考文献
[1]李明, 吴忠.信息安全发展与研究[J].上海工程技术大学学报, 2005.
[2]吴晓明.美国信息安全风险评估探悉[J].信息网络安全, 2009.
3.如何做好企业信息安全 篇三
关键词:企业 信息安全 问题 对策
引言
随着企业商业机密泄露事件的不断发生和网络环境的日益恶化,企业信息安全问题逐渐被提上议事日程,信息安全建设正在成为越来越多企业的首要头等大事。企业信息安全工作事关企业核心竞争力的高低,关系到企业的长远、健康发展。每一个企业及其管理者都要从观念和行动上重视信息安全建设,查找其中存在的隐患与问题,借鉴先进经验措施进行改进,保护好企业的信息资源,促进自身发展。
一、企业信息安全概述
信息安全是一门设计网络技术、计算机科学、信息安全技术和通信技术等多专业的综合性学科,它是指由硬软件、基础设施、物理环境、数据等因素组成的信息系统受到保护,不收到恶意的、偶然的原因而遭到更改、破坏或者泄露,系统连续正常可靠地运行,信息服务不中断,最终实现业务的连续性。信息安全要实现信息的完整性、真实性、保密性、未授权拷贝和所寄生系统的安全性。企业信息安全主要包括企业实体安全、信息资产安全、运行安全和人员安全等内容,其对企业的发展壮大具有非常重要的现实意义。做好信息安全工作企业稳定发展的前提基础。
二、企业信息安全隐患与问题分析
1.网络安全隐患长期存在。互联网的快速发展方便了信息的传递,提升了企业各项管理事项的处理速度与效率,但是网络的联通性也给企业信息安全带来了一定的安全隐患。企业广域网上的用户繁杂,很难进行统一有序的管理,着就使得企业信息资源和信息系统的安全性难以得到有效的保证,这是当前企业信息安全面临的一个主要问题,也是当前的一个热门安全课题。
2.计算机病毒、黑客的危害与攻击。病毒是计算机系统的头号大敌,企业息息系统一旦感染病毒,就有可能造成网络通信故障,破坏系统数据和文件信息,导致系统中的重要数据资料丢失或者损坏,给公司带来灾难性的破坏。黑客通常会通过信息炸弹、密码破解、后门程序和网络监听等手段侵入计算机系统,占用系统资源,破坏或者盗窃系统中的重要秘密信息。
3.企业信息安全管理规章制度缺失。有关企业信息安全方面的規章制度还不够完善,因为相关安全手段和技术还没达到标准化和成熟阶段,现有的法规也不能很好地被贯彻执行,这就导致企业较难制定出能够满足实际需要的科学合理的安全策略来保护自身的信息安全。另外,企业自身的信息安全责任制度也不到位。当前,人们对企业信息安全的认识有一个误区,即信息安全是企业信息技术部门的任务,和其它部门及工作人员没有直接的关系。其实,每一个员工都是信息安全工作的参与者。
4.企业员工信息安全意识不足。事实表明,在众多的信息安全事件中,企业内部员工有意或者无意的信息泄露是发生最多的一种安全事件。企业员工信息安全意识差,或者因为自身利益而丢弃了职业道德与操守,都会给企业带来不必要的经济损失。另外,信息安全管理人员素质低下,如基本信息安全保护常识掌握不到位、用户口令设置不合理等都会给企业带来信息安全隐患。
三、做好企业信息安全工作的几点建议
1.做好网络安全管理工作。首先,加强网络安全审计和日志管理。企业信息安全管理者应该充分利用好入侵检测系统和网络防火墙的审计功能,做好网络审计和日志管理工作,禁止任何人删除或者修改审计记录,严格管理好审计数据信息。其次,加强网络管理制度建设。企业领导要提高信息安全意识,制定必要的安全管理制度,加强网络信息运行环境与基础设施管理与建设。再次,完善企业内网统一认证系统。这是确保网络信息安全的重要措施之一,它可以实现网络信息安全系统的机密性服务、访问控制服务、不可否认服务和身份鉴别服务等。
2.优化网络安全防护体系。企业应该完善企业安全信息管理组织体系,制定安全信息管理规范,详细说明各种信息安全策略,落实信息安全措施。安全防护体系的建立与优化不是一劳永逸的,企业必须根据实际安全问题与漏洞,随时进行系统更新,以确保网络信息安全。此外,还要建立健全防病毒管理制度。不随便往企业内网主机中拷贝互联网上下载的数据资料,禁止在计算机上随便使用来路不明的移动存储设备。企业信息安全管理人员应该掌握基本的预防及处理病毒常识,在电脑上安装防病毒系统。
3.建立健全企业信息安全管理各项规章制度。做好信息安全工作首先要明确安全事故责任,并将其纳入员工个人业绩考核和企业安全生产考核范围内。加强安全信息管理一把手建设,保证信息安全工作责权清晰,按照“谁主管谁负责、谁使用谁负责”的原则,将责任落实到个人。其次,要完善数据安全管理制度。确保数据存储介质安全;对数据信息的操作要经过主管部门负责人的审批,并且确保所有操作工作都在两人以上的场合、在第三方的监督之下进行;定期对重要数据信息进行备份,且将其存储在异地。
4.提高信息安全管理人员综合素质。企业信息安全管理人员安全技术能力和管理能力的高低直接决定着企业信息安全指数的高低,所以,在强化管理人员信息安全意识的同时,还要对其进行必要的信息安全管理理论与技术培训。同时,企业还应该与外部专业技术企业建立长期有效的外部技术支持网络,以便准确、快速地对自身的信息安全事故进行处理,在最短时间内排出突发事故的发生,将企业的损失与风险降低到最低限。
四、结语
随着企业信息化程度的不断提高和市场竞争的日益激烈化,信息资源将成为一种决定企业成败的重要战略资源。因此,企业要想取的长远发展,永远立于不败之地,就应该重视信息安全管理工作,在制度、技术、员工素质等多方面来保护企业信息的安全性。
参考文献:
[1]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术.2011(4)
4.企业信息安全管理条例 篇四
第一章信息安全概述 1.1、公司信息安全管理体系
信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。
信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。
改善信息安全水平的主要手段有:
1)安全方针:为信息安全提供管理指导和支持; 2)安全组织:在公司内管理信息安全;
3)资产分类与管理:对公司的信息资产采取适当的保护措施; 4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险;
5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;
6)通讯与运作管理:确保信息处理设施正确和安全运行; 7)访问控制:妥善管理对信息的访问权限;
8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期;
9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式;
10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故障或灾害的影响;
11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。
1.2、信息安全建设的原则
1)领导重视,全员参与;
2)信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与;
3)技术不是绝对的;
4)信息安全管理遵循“七分管理,三分技术”的管理原则; 5)信息安全事件符合“
二、八”原则;
6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部;
7)管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
1.3、信息安全管理体系建设的目的
1)保障ERP系统的安全运行,控制公司信息泄密风险; 2)提高企业员工对安全的认识和对安全管理的参与; 3)提高企业用户及合作伙伴对企业的信心、信任、满意程度; 4)提高企业信息安全管理的质量和水平; 5)使企业更有效地管理和处理信息安全事件; 6)遵守和通过相关法律法规的要求;
7)为将来企业充份利用电子商务打下重要的基础。
第二章员工信息安全规范 2.1、适用范围
本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求,规定了员工保护公司涉密信息的责任,并列出了大量可能遇到的情况下的安全要求。
本标准适用于公司所有员工,包括子公司的员工,以及其他经授权使用公司内部资源的人员。
2.2、计算机安全要求
1)计算机信息登记与使用维护:
每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记,严禁私自变更使用人和增减配置;
每位员工有责任保护公司的计算机资源和设备,以及包含的信息。每位员工必须把自己的计算机名字设置成固定的格式,一律采用AD域名_所属地区编号组成;
例如某台计算机名为SSSS_100201,SSSS为地区AD域名,100为地区编号,201代表该地区第201个账户。2)必须在所有个人计算机上激活下列安全控制:
所有计算机(包括便携电脑与台式机)必须设有系统密码;系统密码应当符合一定程度的复杂性要求,并不定期更换密码;存储在个人计算机中的包含有公司涉密信息的文件,需要加密存放。3)当员工离开办公室或工作区域时:
必须立即锁定计算机或者激活带密码保护的屏幕保护程序; 如果办公室或者工作区域能上锁,最后一个离开的员工请锁上办公室或工作区域;
妥善保管所有包含公司涉密内容的文件,如锁进文件柜。4)防范计算机病毒和其他有害代码:
每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件;
员工必须开启防病毒软件实时扫描保护功能,至少每周进行一次全硬盘扫描,在网络条件许可的情况下每天进行一次病毒库文件的更新;
如果员工发现未能处理的病毒,应立即断开局域网连接,以免病毒在局域网内部交叉感染,并及时向公司IT部门汇报。5)软件的使用:
员工不得私自在计算机上安装公司禁止的软件,公司禁止安装的软件包括但不限于:BT等P2P软件、Sniffer等流量监控软件及黑客软件、P2P终结者、网络执法官之类的网络管理软件;
工作用计算机禁止安装盗版杀毒软件和盗版防火墙软件; 公司员工的机器上必须安装并开启功能的软件有:金山企业版防病毒软件、Office2010、360浏览器、IE8.0升级包、Winrar、固网打印服务;
如果由于使用未经公司授权的且没有许可的软件造成公司损失,员工需要承担全部责任。6)文件的共享:
员工在使用文件共享时,必须将其设置为受限共享;
禁止使用基于互联网的P2P软件和共享服务,如:BT、eMule等; 不得在计算机上配置匿名FTP、TFTP、HTTP,或其他无需验证的服务;
例如:员工不得在公司的计算机上私自架设匿名FTP; 未经IT部门许可,不得在使用ERP系统的计算机上使用U盘或移动硬盘。如因业务需要,必须要访问其他人的硬盘。当定义共享权限时,员工必须设定用户权限、设定访问密码,并及时取消所定义的共享。
7)邮件的发送与接收:
禁止使用公司的计算机散布、回复、转发连锁邮件、恶作剧邮件; 禁止将涉及公司秘密的内部邮件转发到互联网上。8)公司涉密信息的保护:
公司涉密信息包括但不限于公司数据库中的秘密信息,与公司目前或未来产品、服务或研究有关的公司技术或科技信息,业务或营销计算、营销收益或其他财务资料、人事资料,以及软件等技术信息、经营信息等;
公司的员工会接触到公司的涉密信息。员工禁止在未经公司授权的情况下泄漏这些信息,并且必须遵守公司为保护此信息而制定的各项标准和流程;
每个员工只能接触使用与本岗位工作相关的涉密信息,禁止从非正常途径获取公司或部门的涉密信息;禁止非授权复制涉密信息;
对公司文档的保管、存档、发送、删除、销毁、复制等必须遵守公司相关的文档保密管理规定;
禁止使用提供翻译服务的互联网站来翻译公司的涉密信息; 公司涉密信息尽量避免通过互联网传送,但由于工作需要,需要通过电子邮件等方式发送公司涉密信息时,可以采用Winrar加密压缩的方式把涉密内容作为附件发送,然后通过其他渠道告知对方加密密码。
9)公司信箱的帐户及密码
所有的密码必须符合如下条件:
至少8个字符长,并且包含英文、数字及特殊字符; 禁止把用户名用作密码或其一部分;
旧密码中任何三个连续的字符尽量不要连续出现在新密码中; 公司要求员工至少每30天更换一次密码。10)内部网络使用规则
禁止在网络上伪装为他人身份;
不得私自安装网络管理软件,监控网络流量或者妨碍他人使用网络资源;
不得对公司网络或服务器以及网络中他人电脑运行安全扫描程序或者恶意攻击;
未经IT部允许,不得增加网络设备到公司的网络中,严禁私自购买路由器、交换机接入公司网络等行为; 宿舍区电脑大部分属于员工私人计算机,禁止将公司数据及其他涉及到公司机密的电子文件传入私人计算机中;
第三章公司信息安全管理检查执行规定
3.1.检查原则
根据违规行为的性质、造成的后果及违规人的主观意愿对违规行为进行处罚。对在公司信息安全管理制度和措施上贯彻、监控不力、权限审核不当,造成公司安全制度和措施难以落实,安全管理工作混乱的部门,部门负责人须承担领导责任。对违反信息安全管理规定者,如其直接领导有明显管理和指导不力的须承担连带责任。
3.2.检查方式
公司技术部门抽调网络管理人员,不定期对公司所属公司办公电脑进行抽查。分析信息安全日志文件,排查违规电脑,追究相关当事人。
3.3.检查结果
5.企业信息安全治理框架论文 篇五
论文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效信息安全治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。
【 关键词 】 信息安全;安全治理;框架;风险管理
1 引言
随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。
此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。
而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。
伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。
2 信息安全问题
目前企业信息安全问题主要包括几个方面。
(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。
(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。
网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。
而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。
(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。
(4)信息侵权:指对信息产权的侵犯。
现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。
3 信息安全治理的困惑
基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。
(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。
表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。
从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。
(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。
4 信息安全治理关注的领域
(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。
(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。
因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。
(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。
(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。
6.企业信息安全保密管理办法 篇六
1.目的作用
企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。2.管理职责
由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。3.公司文件资料的形成过程保密规定 拟稿过程
拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理:
初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。草稿纸及废纸不得乱丢,如无保留价值应及时销毁。
文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。印制过程
秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:
要严格按照主管领导审定的份数印制,不得擅自多印多留。要严格控制印制工程中的接触人员。
打印过程形成的底稿、清样、废页要妥善处理,即使监销。复制过程
复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:
复制秘密文件、资料要建立严格的审批、登记制度。复制件与正本文件、资料同等密级对待和管理。严禁复制国家各种秘密文稿和国家领导人的内部讲话。绝密文件、资料、未经原发文机关批准不得自行复制。
4.公司文件资料传递、阅办过程保密规定
收发过程
收进文件时要核对收件单位或收件人,检查信件封口是否被开启。
收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。
收发文件、资料都要建立登记制度和严格实行签收手续。递送过程
企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。递送外地文件、资料,要通过机要交通或派专人递送。
凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。
递送的秘密文件、资料,一律要包装密封,并标明密级。阅办过程
呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。
绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。
秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。要控制文件、资料阅读范围,无关人员不能看文件、资料。
5.公司文件资料归档、保管过程中的保密规定
归档过程
秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。
有密级的档案,要按保密文件、资料管理办法进行管理。保密过程 秘密文件、资料应集中管理,个人不得保存。
存放处应装有保密设置,专室、专柜及一切设施要能防盗,安全可靠,钥匙应专人保管。文件资料每半年要进行一次清理,清理时应将无用的上级发文交主管部门或上级发文机关;借出的文件应做好清退,清退中如发现缺份,要及时向主管领导报告,认真查处。每年底要组织一次对作废的秘密文件、资料的销毁工作。该项工作要按程序规定进行,经领导复核后,在有专人监督下销毁,严禁向废品收购部门出售“三密”文件、资料。
6.宣传报告工作工程中的保密规定
宣传报道保密,就是对宣传报道中可能发生的泄密,采取一系列措施,确保企业秘密的安全。主要应做好以下几方面工作: 建立健全宣传报道中的保密制度,要明确规定“三密”文件、资料的内容都不能擅自公开或在报导中引用。
公司对外宣传报道的稿件,主管领导要认真进行保密审查。
做好确定密级的工作,使全体干部职工特别是领导和负责进行宣传报导的工作人员能了解掌握。因特殊需要,涉及到“三密“文件资料内容时,必须向总经理汇报请示,公司其他任何人均无权批准。公司管理层应经常向下属部门人员进行保密教育,提高全员保密意识,对违规者,应按制度进行处罚。
7.办公自动化设备(设施)使用的保密措施
随着企业办公自动化的普及,文件、资料保密工作面临新的挑战,为了消除办公自动化应用中所产生的保密领域问题,应抓好以下几个方面工作。
加强对工作人员的保密教育,树立以下思想观念:
树立配有加密设施的微机网络传递与机要通信收发的文件、资料同属正式文件、资料的保密观念。
树立复印文件、资料与正式文件、资料都具有相同作用的保密观念。
树立机要室登记、分发的文件、资料与各部门自行登记、分发的文件、资料都同等重要的保密观念。
树立以纸张为材料的秘密载体与软(硬)件为材料的秘密载体同样重要的保密观念。完善规章制度,认真抓好落实
办公自动化的设备(设施)要指定专人使用与保管。要履行严格的审批手续,控制好文件、资料的制作数量。要根据保密原则,制定严格的违规处罚规定。抓好专业技术培训
要通过专业技术培训,提高工作人员对各种办公自动化设备的操作技术与知识水平,懂得泄密途径和防范的办法。
改善各类设备的环境条件,防止技术性泄密。
8.计算机的保密管理措施
电子计算机已经广泛应用于工业,企业经营的信息、数据源源不断地被输入电脑。因此必须要做好计算机应用中的保密工作。企业的各级主管人员应学习和掌握计算机知识
首先要知道计算机方面的基础知识,掌握和学会对它的运用技能,才能了解到计算机信息系统的不安全因素,才能有针对性地做好保密管理。
造成计算机信息系统不安全因素的一般有以下方面:
8.1.1 计算机系统工作人员泄露计算机信息的秘密。8.1.2 直接从计算机电子文档中窃取信息、资料。8.1.3 电磁辐射泄密。
8.1.4 冒名顶替和越权偷用,暗藏非法程序,定时破坏,篡改。8.1.5 复制和窃取磁介质中的数据、信息。8.2 严格信息管理
除了加强对计算机工作人员经常进行保密教育之外,在信息管理中还应有以下措施:
8.2.1 对计算机工作人员采取分工负责制的办法,防止因一人的疏忽而影响整个系统的安全。
8.2.2 规定信息资源共享的等级和范围,明确使用各密级信息的权限和人员。8.2.3 对存取秘密的信息,计算机网络系统要自动登记存取情况,以便查阅。8.2.4 对含有密级信息的磁记录介质(如磁带、软盘、硬盘、光盘等)要由专人负责保管。8.2.5 含有密级的打印纸要及时处理,对网络系统中软件清单要妥善保管,调试中的软件清单要及时销毁。
8.2.6 对新购买的软件和其他机器拷贝的软件必须进行检查、消毒,以防计算机病毒带入系统。
8.3 完善系统功能
8.3.1 系统应有用户存取资格检查和用户身份识别功能,对非法的操作和无资格存取的用户要及时警告和登记。
8.3.2 用户和网络系统的界面要清晰,采用多层控制,以防用户非法进入系统而破坏整个系统的功能。
8.3.3 系统应有很强的数据加密软件,对需要保存在外存储介质上存贮介质上的秘密信息和上信道传输的秘密信息必须进行加密。
8.3.4 要有多种经受得住专业密码分析人员攻击的加密算法,对不同用户使用不同的加密算法。
8.4 加强对计算机房的安全管理
8.4.1 对计算机房出入的要加以限制,非工作人员不得进入,出入的物品也要进行严格管理。
8.4.2 经监测发现有辐射的机器和部件,要采取屏蔽措施。
7.如何构建企业信息安全体系 篇七
关键词:信息安全体系,安全组织,安全策略,安全技术
网络构建起来的信息化高速公路, 为全球信息的交换与获取提供了最便捷的手段, 但也使信息安全受到严重威胁。据资料显示, 全球由于信息安全漏洞造成的损失每年为150亿美元。企业的信息安全与否已经成为企业能否正常运行的重要因素。为了保证企业信息安全, 必须建立一个企业信息安全体系。
1 当前企业信息安全体系普遍存在的问题
信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行。四者既有机结合, 又相互支撑。但目前绝大多数企业在安全体系建设方面都存在不完善的地方。
1.1 信息安全策略方面
没有统一的安全运行体系;安全策略没有正式的审批和发布过程, 没有行政力度进行保障, 使得安全策略的在企业内的执行缺乏保障;缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。
1.2 信息安全组织方面
缺乏完整、有效、责权统一的专门的信息安全组织。信息安全工作没有明确的责任归属, 工作的开展与落实有困难;缺少信息安全专业人员, 缺乏相应的安全知识和技能, 安全培训不足;缺乏对于全员的信息安全意识教育, 桌面系统用户的安全意识薄弱。
1.3 信息安全技术方面
用户认证强度不够;应用系统安全功能与强度不足;缺乏有效的信息系统安全监控与审计手段;系统配置存在安全隐患;网络安全域划分不够清晰, 网络安全技术的采用缺乏一致性
1.4 信息安全建设与运行方面
没有建立起完善的IT项目建设过程的安全管理机制, 应用系统的开发没有同步考虑信息安全的要求, 存在信息安全方面的缺陷。日常的安全运维工作常处于被动防御状态。缺乏明确的检查和处罚机制, 多数企业在运维管理方面缺乏统一的安全要求和检查。缺乏应急响应机制。对已有安全设施的维护、升级和管理不到位。
2 如何建立企业信息安全体系
企业应充分利用成熟的信息安全理论成果, 设计出兼顾整体性、具有可操作性, 并且融策略、组织、运行和技术为一体的信息安全保障体系, 保障企业信息系统的安全。具体措施如下:
2.1 建立科学合理的信息安全策略体系
信息安全策略体系规划为三层架构, 包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则如图一所示, 涉及的要素包括信息管理和技术两个方面, 覆盖信息系统的物理层、网络层、系统层、应用层四个层面。
2.2 采用先进可靠的技术安全体系
在IAARC信息系统安全技术模型该模型中, 包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪5个部分, 当前主要的信息安全技术或产品都可以归结到上述5类安全技术要素。充分利用信息安全的技术手段这5种保护措施。同时, 结合信息安全的所保护的对象层次, 以及目前主流的信息安全产品和信息安全技术, 完善企业信息安全技术体系框架。整个企业信息安全技术体系总体框架包括物理层、网络层、系统层、应用层、终端层等五层次。
2.2.1 物理层安全
主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
2.2.2 网络层安全
一是要建立注重安全域划分和安全架构的设计。根据信任程度、受威胁的级别、需要保护的级别和安全需求, 将网络从总体上可分成四个安全域, 即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。
二是安全边界的防护。根据不同安全区域的安全需要, 采取相应的安全技术防护手段, 制定合理的安全访问控制策略, 控制低安全区域的数据向高安全区域流动。
三是针对VPN的接入安全控制。VPN为通过一个公用网络建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。针对VPN接入需要从用户接入到安全防护一套安全控制手段。
四是网络准入控制。通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估, 决定是否允许这台网络终端计算机接入企业网络中。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。
五是做好网络设备登录认证。建立企业集中的网络设备登录认证系统, 用于对网络设备维护用户的集中管理, 认证用户的身份;通过定义不同级别的用户, 授权他们能执行的不同操作, 记录并审计用户的登录和操作。
2.2.3 系统层安全
一是做好系统主机的入侵检测, 针对系统主机的网络访问进行监测, 及时发现外来入侵和系统级用户的非法操作行为。二要做好系统主机的访问控制, 从用户登录安全、访问控制安全、系统日志安全等方面加入了安全机制。三是要做好系统主机的安全加固, 定期对服务器操作系统和数据库系统进行安全配置和加固, 对系统的配置进行安全优化, 以提高系统自身的抗攻击性, 消除安全漏洞, 降低安全风险。四是做好主机的安全审计工作, 提供全面的安全审计日志和数据, 提升主机审计保护能力。
2.2.4 应用层安全
随着系统应用的不断深化和普及, 一些应用系统安全问题不断凸现出来。为最大限度及时规避因应用安全问题而带来的威胁, 应着力抓好六个方面的工作:一是建立应用安全基础设施;二是健全应用安全相关规范;三是改进应用开发过程;四是组织关键应用安全性测试;五是加强应用安全相关人员管理;六是制定应用安全文档及应急预案。
2.2.5 终端层安全
加强终端电电脑的安全管理。对接入企业网络的终端设备进行安全管理。内容包括终端安全策略、防病毒、放入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。
2.2.6 备份与恢复
备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内, 并使灾难得到有效恢复的安全机制, 包括数据级、应用级和业务级三个层次。一是建立容灾计划。通过对不同等级的信息系统容灾需求分析, 确定容灾等级、RTORPO等容灾指标、备份策略、恢复性测试要求等, 设计容灾方案。二是建立备份与恢复基础设施, 包括异地灾难恢复系统和重要数据的本地备份设施。
2.3 建立完整、有效、责权统一的信息安全组织
信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分, 能合理阻止关键流程的破坏。加强全员的信息安全意识教育, 提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作, 组织与职责的清晰定义可以有效地促进信息安全各项工作的进行, 包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织包含决策、管理、执行与监管四个层面。
信息安全教育与培训要覆盖公司各个层面的人员, 提升整个企业人员安全的水平, 同时人员安全的相关工作在制度和机制方面为教育与培训提供了有效保障。
2.4 建立合适的信息安全建设与运行体系
建立合适的信息安全建设与运行体系, 一是建立安全评估机制。形成系统化的信息安全风险评估规范和制度, 定期对重要信息系统的安全进行评估。二是建立有效的应急响应机制。针对可能发生的破坏性事件而设计的必要的管理和恢复机制, 将安全事件带来的损失降到最低。三是加强项目建设信息安全管理, 建立IT项目建设过程的安全管理机制, 对信息系统的全生命周期进行安全管理, 在项目的申报、审批、立项、实施、验收以等关键环节中, 都有相应的信息安全规定或制度来进行约束, 完成各个环节的信息安全管理行为。四是建立信息系统运维安全管理制度。重点加强安全监控和响应机制, 安全日志审计与分析机制, 安全预警机制三方面的建设工作。
8.信息安全:企业抵御风险之道 篇八
而保护信息免受来自各方面的威胁,是一个企业经营管理的重要环节。
信息安全也不只是个技术问题,而更多地是管理的问题。
互联网的黑色星期天
2004年10月17日这个星期天的下午,许许多多正在使用腾讯公司QQ即时聊天软件的用户发现,QQ无法正常登录了!随即腾讯公司通过网络发布公告解释为通讯线路故障,表示该公司正在抢修。而一天过去了,问题并没有得到解决,各方开始众说纷纭,许多IT和反病毒论坛上开始流传这么一张帖子:“一国内黑客团体,利用腾讯QQ服务器的漏洞要挟腾讯支付100万美金作为‘修复’费用,腾讯不予理会后,该组织于17日早正式发动攻击……”
就在同一天,著名反病毒公司江民公司的主页被篡改了,署名为“河马史诗”的黑客留下这么一行字样:“NND,你们去论坛看看,一片怨声载道,你们干什么去了?!”
几个小时过后,国内最大的电子数码产品代理商神州数码的官方网站也惨遭黑客毒手,被篡改了网页。
这些攻击几乎都在同一日进行,受害对象全是国内知名网站和各界的领头羊,其中一些被黑网站还受到了黑客的巨额敲诈勒索,这是国内首起网络黑客勒索事件,且组织严密、技术高超、规模巨大。在黑色恐怖的弥漫下,国内互联网一时人心惶惶,风声鹤唳……
信息泄漏损失几何?
此前,惨痛的事例也并非没有,只是未能引起足够警觉和重视。比如,就在前不久,被称为中国戏曲三大网站之一的“中国秦腔网”遭黑客入侵,网站所有数据被全部删空,事发后,因为该网站平日没有对数据进行有效备份,巨大的损失根本无从挽回。网站几年的积累一夜之间化为乌有。如果这一事件发生在银行、保险、大型网站、敏感机关等网络内,损失更将是无法估量。
根据日本当地报纸的报道:2004年2月,日本软件银行(SoftBank)和雅虎日本在当地共同经营的宽带业务“Yahoo! BB” 成了一宗利用客户资料进行勒索的案件的受害者。据统计,共有4517039份软银的现订户和前订户的个人信息遭泄漏,信息的具体内容包括:住址、姓名、电话号码、申请时的电子邮箱、雅虎邮箱、雅虎日本ID、申请日期七项内容。所幸的是,用户的信用卡银行帐号和密码等重要信息不包括在内。后据调查,泄漏来源是公司内部员工所为。
在此后举行的一个新闻发布会上,软银主席孙正义对此做出正式道歉,宣布他自己以及公司其他管理层将在未来半年内自减薪水50%,还表示将免费为宽带订户提供6个月互联网接入安全服务。并拨出40亿日元(3730万美元)对受影响客户做出赔偿。
而腾讯公司QQ是一款用户数量庞大的即时通讯工具,可以判断,此次故障所波及的用户不是一个小的数目,损失自不必说。
江民公司,安全公司反倒被人家弄坏了家门,此事令业内人士瞠目结舌不说,公司形象损失更是巨大。
这一系列事件给全社会敲响了警钟,现今是网络的时代,网络和IT产品给我们带来了前所未有的机会,提供前所未有的方便,但同时我们也会发现我们已经过度的依赖它,并且这种依赖势必随着时代的发展日益加深,而这种依赖也必然蕴涵着巨大的风险。
信息安全,你重视了吗?
虽然信息风险与安全的概念早已提出,网络战、信息战等新战争形态的研究和规划也早已进入军事领域,但是一般企业对信息产品所蕴涵的风险仍然缺乏足够重视,对一旦发生网络泄密、IT产品失灵、通讯故障、病毒入侵、黑客破坏甚至恐怖袭击、自然灾害等事故后的应对准备不足、替代方案不够,在日常也缺少信息危机预警机制、信息备份机制和信息危机事件处置预案,可以断言,一旦发生严重的、大规模的信息危机事件,许多企业基本上只能坐视损失的发生而束手无策。
美国Ernst&Young近日公布的企业信息安全措施的调查结果显示:企业的首席执行官虽然认识到信息安全存在风险,但仍未采取足够的措施加以解决。
针对在公司内进行关于信息安全的培训和提高职员意识的工作,超过70%的企业没有将其列为“最优先处理的事务”。只有不到20%的企业将信息安全提高到首席执行官级的优先事项。
该调查是以51个国家的1233家企业为对象实施的。企业虽然重视病毒等来自外部的攻击,但对来自公司内部的威胁仍然视若无睹。
公安部近日公布的2004年全国信息网络安全状况调查结果显示:在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位中,发生网络安全事件的比例为58%。
造成网络安全事件的主要原因,是安全管理制度不落实和安全防范意识薄弱,其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时,调查表明:信息网络使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强,但是用户安全观念薄弱、安全管理人员缺乏培训,以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。
这些都充分显示了信息安全并未得到多数企业的重视。所以,企业乃至全社会,树立必要的信息风险意识、增强应对信息危机的能力已是当务之急。
是谁泄露了机密?
随着信息化的推进,很多企业把管理搬到了网络上,但是同时也存在着信息化环境下技术保密、管理保密问题。目前在国内,管理信息系统能够实现有效加密的很少。一个企业的运营数据很容易获得。比如:要获得某个企业的销售数据,只要联入数据库,什么信息应有尽有,而很多软件,会将联入数据库的参数暴露在配置文件中,甚至有的根本没有进行加密。
而说到保障企业的信息安全,很多人首先想到就是利用各种各样的技术手段,比如:利用防火墙和各类加密手段。但你有没有想到,道高一尺,则魔高一丈。比如:随着技术的发展,现在的个人电脑能够保存大量的客户数据。即使是PDA(便携信息终端)、手机、存储卡等记录媒体也能存储容量可观的数据。这样,犯罪手法也相应发生了变化。仔细想一想,这也是当然的事情。罪犯不会傻到特意往你耗时耗力专门搭建的防火墙上撞。比起这种方式,还是直接带走公司里的信息设备更加简单。
比如:忘在车里的个人电脑就是隐患之一。如果将这台电脑忘在某个地方,或者被人偷走的话,就会造成信息泄漏。这种情况下的信息泄漏不仅仅是指电脑里的数据。同时还存在第三者使用这台电脑访问公司内部网络的危险。
再比如:热衷工作的“您”,也许正是信息泄漏的危险人物。如果太热衷于工作会有什么危险呢?首先请您回答以下提问:您是否将工作带到家中?您是否即使外出也要在空隙时间利用网吧工作?是否共享笔记本电脑中的数据,在部门间进行协同作业?是否会在出差地为了了解电子邮件请同事代看?
请问您的回答有几个YES呢?如果您有上述情形之一就需要“注意”了。因为由于职员或相关人员随意的行动或由于不经意的失误导致信息泄漏或系统故障的事件越来越多。因为每位职员的日常行为中潜藏着有可能威胁到企业安全的因素。
以“将工作带到家中”的人士为例:日本三菱重工就曾经发生过将下一战斗机相关数据泄漏到公司外部的事件,当时该公司职员为了回家工作将上述数据附在电子邮件的附件中发送到了自己的邮箱。
很多企业允许通过互联网访问企业的软件或者公司的内部系统,如果有的职员“即使外出也要在空隙时间利用网吧工作”那就需要注意了。2004年3月6日,日本假冒他人通过互联网从银行非法取款1600万日元(约合人民币100万元)的嫌疑人被逮捕,他是用安装在网吧电脑中名为KeyLogger的监视软件,取得并记录键盘输入信息从而盗取了用户的ID和密码。由于直接取得的是键盘的敲击纪录因此即使对通信进行加密也没有用。由此推想,利用同样的方法盗取访问公司内部系统用的ID和密码也不出奇。
在信息泄漏事故中最可怕的是案犯来自内部,所以在出差地为了了解电子邮件请同事代看的做法实在是不明智的。
如何防止信息泄漏?
保障企业的信息安全应该从企业自身的管理抓起,建立和健全信息安全管理体制,利用各项制度防止任何管理上的漏洞。诚然,有些企业已经采取了安装防火墙、IDS(入侵检测系统)及杀毒软件,或者制定安全政策等各种措施。但上述措施只能在各自擅长的方面发挥作用。因此,必须将所有的安全对策综合起来考虑,即整体安全管理的方法。
第一,系统安全管理
其中包括:系统资源的管理和信息资源分级分类管理。比如:在很多大型系统中,很多人可能并不清楚,里面究竟有哪些软件、硬件设备?有没有人插进来一个设备或者是删除一个设备?究竟是哪个关键部件出了毛病?等等。此外,信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样,在系统中进入不同的设备、进入不同的操作也要进行区分。
第二,对用户的管理
加强对用户的管理,用管理手段弥补技术落后问题。在自己的系统上所注册的合法用户究竟有哪些?他们各自的权限在哪儿?这些问题必须搞清楚,因此,对密码的配置要进行管理。
要制定重要信息的使用方针。需要有一个规定:每个员工能访问什么信息以及什么样的信息可以保存在电脑里。不过,实际问题是无法逐一检查每个人使用的信息设备内所保存的内容。公司应该以所有设备上都保存有重要信息为前提,来考虑安全问题。需要强化对带出信息终端的监视,以及强化登录个人电脑时的密码认证措施。另外,还应该考虑数据的加密。
第三,对资产的管理
首先要明确企业的哪些资产需要保护:企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常,各公司认为表述资产的价值是很容易的,但具体到要按级别界定就不那么简单。对此,就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别,并为制定切实可行的安全管理策略打下基础。
第四,将安全策略运用于日常业务中
信息安全策略的制定一定是一个好的开始。但无论信息安全策略考虑得有多好,制定得有多详尽,但是如果人们不知道这些策略,仍然毫无用处。所以还应有一些好的手段,使安全策略得到推广,比如:
(1)对企业安全管理人员进行安全培训,以便维护和管理整个安全方案的实施和运行情况。
(2)利用幽默和简单的语言表述信息安全策略,分发给每个雇员。
(3)印刷日历,强调每个月不同的策略,将它们张贴在办公室中。
(4)将信息安全策略和标准发布在内部系统的网站上。
(5)向公司员工发送宣传信息安全策略的邮件。
(6)建立内部安全热线,回答雇员关于信息安全策略的问题。
9.石油企业信息安全管理论文 篇九
2、加强企业信息管理安全的防范措施
2.1不断完善信息管理系统
随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的.运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。
2.2有效的设备管理
设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。
2.3加强对人员的监督与管理
企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。
2.4网络传输安全
10.浅谈企业安全信息系统建设论文 篇十
关键词:信息系统;网络;安全
1信息系统安全建设原则
(1)物理隔离原则。为确保信息安全,信息系统必须与互联网及其他公共信息网络实行物理隔离。
(2)分域分级原则。信息系统应根据信息密级、使用单位行政级别等级划分不同的安全域并确定等级,按照相应等级的保护要求进行防护。
(3)信息流向控制原则。禁止高密级信息由高等级涉密信息系统或安全域流向低等级涉密信息系统或安全域。
(4)最小化授权与分权管理原则。信息系统内用户的权限应配置为确保其完成工作所必须的最小权限,网络中账号设置、服务设置、主机间信任关系配置等应该为网络正常运行所需的最小限度,并使不同用户的权限相互独立、相互制约,避免出现权限过大的用户或账号。
(5)技术与管理并重原则。信息系统应采取技术和管理相互结合的、整体的安全技防措施。
(6)标注化原则。设计应严格执行国家有关行业标准、国家相关部门的强制标准等,确保系统质量。
(7)安全产品选型原则。企业在信息系统建设中必须选用可靠有效的安全产品,如具备国家相关管理机构检测证书的产品。
(8)实用性原则。系统要力求最大限度地满足实际环境需要,充分考虑系统应用业务的特殊性,把满足用户需求作为设计的第一要素。
(9)适度安全原则。要在安全风险分析的基础上,实事求是、因地制宜地确定防护程度和安全措施,避免弱保护和过保护,保证安全措施切实可行,达到最佳防护目的。
(10)动态防护原则。随着技术的发展,网络威胁攻击手段的变化,企业信息系统必须不断改进和完善安全保障措施,及时进行信息系统安全防护技术和设备的升级换代。
2建设目标
根据对信息系统的现状分析、安全风险分析、安全保密需求分析,按照相关技术要求和管理要求,遵循前述原则,建设科学合理,符合安全保密需求的信息系统,全面提升企业信息安全防范能力。
3建设内容
企业的信息系统安全建设包括物理安全、运行安全、信息安全保密以及安全保密管理四个方面的内容。
(1)物理安全。物理安全是指信息系统的环境安全、设备安全、介质安全。
(2)运行安全。运行安全包括备份与恢复、病毒防护、应急响应、运行管理。
(3)信息安全保密。信息安全涉及内容包括身份鉴别与访问控制、密码保护措施、电磁泄露发射保护、安全性能检测、边界安全防护、硬件系统安全、信息完整性校验、安全审计、操作系统和数据库安全。
11.加强电信企业用户信息安全保障 篇十一
【关键词】电信企业、用户信息、安全
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01—0131—01
随着信息爆炸时代的来临和通信技术的快速发展,用户的个人信息安全问题日益严重,信息泄露事件频发。用户信息一旦遭到泄露,将面临信息曝光、垃圾短信、骚扰电话、电信欺诈甚至资金被盗等一系列风险。在此环境下,2012年“3.15”国际消费者权益日的主题即为“消费与安全”,新闻媒体也多次曝光了个别银行、通信、快递、医院等行业不法人员泄露和出售客户信息,给公众造成巨大安全隐患的问题。由此可见,用户信息安全已成为社会化和信息化快速发展进程中的一个重要问题。
近年来国家也逐步加大了对个人信息安全的保护力度。一方面从立法上逐步加大了对个人信息安全的保障,在民事责任方面认定用户个人信息属于个人隐私范畴,并在2009年通过的《侵权责任法》中明确将隐私权写入了法律;在刑事责任方面,2009年颁布实施的《刑法修正案七》也新增了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”另一方面,公安部也在北京、河北等20个省市区开展严厉打击侵害公民个人信息违法犯罪的专项行动,抓获嫌疑人1000余名,挖出信息源头44个。
电信行业一直是客户信息安全保障的重点行业。作为电信运营商,掌握着海量的用户信息资源,尤其是2010年电话用户实名登记工作推广以来,运营商掌握的用户信息从数量和质量上都得到了进一步提升。一方面客户信息真实、完善为电信企业向用户提供个性化的服务提供了条件,也为通信安全提供了保障,但另一方面对电信运营企业保障用户的信息、通信安全也提出了更高的要求。笔者总结多年的电信企业客户信息管理经验,借鉴先进企业的管理方法,从明确电信用户信鼠的范围、电信用户信息泄露的风险途径、解决电信用户信息安全的措施三个层面来探讨如何保障电信用户信息安全。
一、电信企业用户信息包含的内容
根据电信企业获取客户信息和提供通信服务的特点,电信用户信息应是指个人与单位用户的姓名或名称、有效证件类型及证件号码、住址(地址)、用户号码、联系方式、缴费账户、通话清单、终端信息以及单位用户的组织架构等基本信息、信息网络建设等非通信的信息内容。
二、电信企业用户信息泄露的风险途径
造成电信用户信息泄露的风险主要是人员风险和系统风险。人员风险是指电信企业内部和外部所有可以接触到用户信息的众多人员泄露用户信息的风险。企业内部人员如营业人员、销售人员、维护人员、客户信息管理人员等;外部人员包括与电信企业合作的业务代理商、内容提供商以及第三方维护人员等。
从系统风险上来讲,由于电信企业IT系统业务网络存在区域分散、数据分散、系统繁多、环境复杂等特点,建设了包括BSS、客服、CRM等多个业务支撑系统和OA办公系统,各个系统上积累了大量的客户信息和生产数据、运营信息等,每个系统的人员根据“使用”和“维护”又分为不同的角色,这些系统的终端覆盖了内网和外网、计算机和移动终端等多种形态的终端设备。由于这些特征的存在,电信企业客户信息数据面临着内部和外部网络的多重风险。
三、电信企业用户信息安全保护的措施
保护电信客户的信息安全,让客户享有安全、放心的通信服务是电信企业的责任和义务。笔者从通信行业服务角度来看,电信企业信息安全保障的关键需要从加强内部管理、提升系统防范能力两个方面得到提升。
(一)强化内部管理,提升全员信息安全防范意识
首先作为电信企业要有大局意识,应自觉遵守国家的法律、法规,严格执行《基础电信企业信息安全责任管理办法(试行)》。将保障用户信息安全纳入企业的保密体系,建立完善的用户信息安全管理制度,规范从业务受理、客户服务、运行维护、信息计费、外部合作等涉及客户信息的各个关键环节的业务操作流程和规章制度,构建全面有效的用户个人信息安全保护机制。比如要求营业和营销人员不允许私自留存客户信息;要求维护人员不允许私自下载和修改客户信息;各系统账号权限严格实施分级管理,不允许转让和越级使用;规范各类用户信息的存储介质、存储时限和销毁方式,完善用户资料销毁管理制度和技术保障手段;针对外部代理商、合作单位要明确对用户信息保密的业务和技术要求以及泄密后的相关处罚;定期开展用户信息安全检查,做到提前防范,最大限度保障用户信息安全等。
另一方面企业要加强对企业员工的法制教育和思想政治教育,营造尊重和保护用户信息安全的企业文化和经营环境,提高全员的信息安全意识和法律意识。尤其是针对能够接触到用户信息的员工、外包人员、代理商及合作单位的从业人员要与企业签订保密责任书,经常性地组织开展案例教育、警示教育、相关法规和业务规范的考核等,提高从业人员的觉悟和防范意识。
(二)提高技术防控手段,提升系统防范能力
完善电信企业IT系统业务网络的安全建设,构建用户信息数据保密体系,精确定位用户信息泄露风险,从外部和内部防范两方面提升系统的防范能力。
首先是做好外部防范,由于电信企业IT系统业务平台繁杂,接入终端种类多,要保证各类终端和网络安全地接入到业务系统中,就要不断完善信息系统安全设备如防火墙、入侵检测系统、病毒防护系统、认证系统等性能,对可访问系统的计算机及移动终端等必须实施安全认证和安全策略防护,实现对用户信息的“区域外保护”,严格防范黑客和外部不法人员窃取用户信息。其次,由于大部分用户信息泄露案件都是内部人员制造,加强内部网络的风险防范更加重要。一方面要加强系统的认证安全能力和网络账号权限分级管控体系,加强对登陆人员的身份和权限核实,对于无论从业务平台或后台数据库查阅和下载用户的信息情况系统都要有完整的日志记录;另一方面,如果用户信息未经加密安全处理,一旦下载存储到计算机上系统将失去监控权,有可能会造成信息恣意传播而无法找到源头,因此系统应自动实现数据落地加密及权限控制,同时对下载终端加强安全策略认证,提高下载用户信息的安全度。
四、加快推动制定个人信息保护法
12.某矿山企业信息系统安全分析 篇十二
互联网是一把可以推动经济倍增和社会文明跨越发展的双刃剑, 当前是其正面之刃互联网+的如火如荼, 而其负面之刃含计算机信息网络安全风险防范, 也因而尤显紧迫必要和形势的严峻。为推动企业积极应对当前经济的下行压力, 全力以赴打好提质增效攻坚战, 不断提高企业重大风险管理水平, 实现持续、健康、稳定发展, 依据国家机关的相关要求, 笔者公司开展了重大风险管理自查工作, 本文为其中之一信息系统安全风险年度研究简案, 现分享供参考。
2015年度信息系统安全风险管理
一般的信息系统 (Information System) 是由计算机硬件、网络和通讯设备、软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。该系统主要包括:辅助决策系统 (DSS) 、工业控制系统 (CCS) 、办公自动化系统 (OA) 以及数据库、模型库、方法库、知识库和与上级机关及外界交换信息的接口。特别是办公自动化系统 (OA) 的应用, 与上级机关及外界交换信息等都离不开Intranet (企业内部网) 的应用。
信息系统安全包含了上述对应范围内容的安全管理, 主要有:物理安全, 包括环境安全、设备安全、媒体安全等方面。处理秘密信息系统的数据中心机房应采用有效的技术防范措施;运行安全, 包括备份与恢复、病毒的检测与消除、电磁兼容等。涉密系统的主要设备、软件、数据、电源等应有备份, 并具有在短时间内恢复系统运行的能力。应采用国家有关部门批准的杀毒软件适时查毒杀毒;信息安全, 确保信息的保密性、完整性、可用性和抗抵赖性是信息安全保密的中心任务;安全保密管理, 包括各级管理组织机构、管理制度和管理技术等。
信息系统安全风险产生过程, 主要是交付信息系统的安全保密合同条款的有无;信息系统的陷门;信息系统中发生用户标识截取、伪装、重放攻击;数据截取;非法使用;病毒;拒绝服务;恶意移动代码;数据库数据文件丢失、系统损坏、系统源文件泄露、系统管理员口令暴露等问题。
以上可看出, 信息系统安全风险管理是“三高”性的, 即高新技术、高智力劳动和高强度工作量。导致其安全维护也相对复杂。
笔者公司于2001年在集团公司内率先建成计算机网络信息系统并投入办公正常应用。领导在信息系统安全意识上较为重视, 在其建设期即同步考虑了相应安全内容, 并将信息系统安全风险管理工作纳入网络管理日常工作中, 前后出台了相应的安全运用制度。还根据工作需要配备了计算机信息网络安全监测系统, 开展了日常监测工作;配备了网络异地备份系统, 定期检查其运行状况;对引进的网络设备和系统基本设置了身份识别、操作权限和密码管理;逐步加强了调离人员使用IT设备和信息用户清理管理;按制度落实了网络和终端防杀毒措施;还逐年对部分办公人员和新进员工开展了计算机信息网络安全使用培训工作;每年按制度由办公室牵头并联合政工和监察部门不定期对网络安全使用情况例行检查, 并进行处罚公示;并作好风险分级管控效果探索等等。
2015年在信息系统安全风险管理方面, 除了坚持其常规安全管理工作外, 主要有:一是根据管理新常态修订了《矿业总公司网络安全运行管理办法》并严格执行;二是完成了总公司网络机房向绿色数据中心发展的技改, 部分达到了B级安全等级以上标准;三是更新和配置了具备防火墙功能的路由器网络出口设备;四是对运行多年的OA系统的服务器硬盘系统进行了成功在线扩容, 确保和延长了网上办公的运行容量和服务安全;五是对科技之家网站系统进行了变动的初步安全分析, 下步应加强改版工作;六是完成了25人次的部分办公人员和新进大中专毕业生的网络办公和计算机信息网络安全使用培训工作。
截止目前未发生一起重大的信息系统安全风险事件。总体上信息系统安全风险可识别和可控。
另外信息系统中的工业控制系统的安全风险也较多较大, 因职责关系, 此处略。
2016年度信息系统安全风险评估研究
在一定程度上逐步解决了原信息系统安全风险中的诸如信息系统防杀毒风险、信息系统使用人员安全应用教育风险、数据备份风险、OA系统服务器在线硬盘容量不足运行风险、网络出口设备老化风险、数据中心机房绿色标准化风险等等, 并将其纳入常规风险日常监控管理范围。按自身管理需要和本次文件要求, 经过逐项的专业分析和排查, 认为在2016年及之后, 公司在信息系统安全风险还有新增风险如下, 当然有的是我们一直申请在解决和监控中。
1.档案系统备份风险
风险源:数据备份 (技术部和办公室、科技档案系统研发项目、电子档案管理) 。
风险成因:现为本机备份操作风险;服务器硬盘损坏风险;共享误操作风险等。
风险发生后对本单位的影响:电子档案丢失;致使原档案员劳动无效, 其重来劳动已不能复原档案原况。
发生可能性:随机发生、难以预测。一旦发生时会产生较大直接经济损失。安全风险级别为一级 (特别重大) 。
风险预警指标:有无异地备份系统;备份策略合理性;备份完整性检查。
主要应对措施和控制策略:在现有备份系统上申请购买一至两个备份点, 或配置专门备份系统。
2.档案系统服务器风险
风险源:服务器运行 (办公室、科技档案系统研发项目、服务器运维管理) 。
风险成因:现与其他系统共用服务器, 各系统运维中会互相影响。
风险发生后对本单位的影响:各系统停止服务, 会对相应业务工作产生一定影响。
发生可能性:大。安全风险级别为二级 (重大) 。
风险预警指标:服务器是否专用;是否有容错策略。
主要应对措施和控制策略:服务器配置计划已列入2016年公司资本投资计划;软件商协作信息系统迁移;备份系统供应商协作备份点植入。
3.OA系统运行风险
风险源:宕机 (办公室、网上业务开展) 。
风险成因:信息系统自身运用规律造成。
风险发生后对本单位的影响:网上业务工作不能及时进行。
发生可能性:随发生、难以预测。安全风险级别为三级 (较大) 。
风险预警指标:是否有常态服务保障。
主要应对措施和控制策略:加强与股份公司办公室联系;与OA系统开发商和供应商服务部门技术人员沟通协调;做好日常监测工作, 搞好应急处理工作。
4.管控一体化系统运用风险
风险源:管理模式变化风险 (企管部和办公室、应用软件升级管理) 。
风险成因:信息系统自身开发运用规律造成。
风险发生后对本单位的影响:相应自动业务不能进行。
发生可能性:领导可控。若管理模式变化快, 将产生大的直接经济损失。安全风险级别为一级 (特别重大) 。
风险预警指标:管理模式上是否有重大调整。
主要应对措施和控制策略:领导在管理上有重大调整前, 应由相应部门对投入大的信息系统作好相应影响评估, 听取信息系统安全风险部门意见, 再综合决策。
5.管控一体化系统运维风险
风险源:技术支撑人员变化风险 (企管部、办公室和系统合作开发方、应用软件升级管理) 。
风险成因:正确认识应用系统运维阶段在软件生命周期中的重要性。
风险发生后对本单位的影响:系统不能正常使用或报废。
发生可能性:管理上可控。若发生可能产生大的直接经济损失。安全风险级别为一级 (特别重大) 。
风险预警指标:是否有2人以上人员消化吸收了系统关键技术;协作方有无保障应急服务的能力。
主要应对措施和控制策略:按本风险预警指标考核或约束内部人员和协作方。
6.其他信息系统等风险
风险源:相关专业管理人员未参加建设或意见未被项目吸取 (各单位部门和办公室、系统运维障碍和误会) 。
风险成因:部分对信息系统建设规律认识误区或机构职责不易厘清造成。
风险发生后对本单位的影响:系统堆集在运维阶段的问题多, 难以厘清和追责。
发生可能性:管理上可控。难以预测直接经济损失。安全风险级别为二级 (重大) 。
风险预警指标:有无专业管理人员参加并发挥作用和吸取相应意见。
主要应对措施和控制策略:逐步健全机构和厘清职责;确立关联系统上参加人员的合法地位和作用;具备相应系统的知情权, 达到一定制约和避免损失。
7.网络不稳定风险
风险源:网络老化风险 (各单位和办公室、到各单位的网络主干交换、设备间及主交换系统) 。
风险成因:各基层单位网络设备间环境混乱、设备老化、网络主交换损坏、网络接入随意性、网络负荷逐年加重、网络IP拓朴优化等。
风险发生后对本单位的影响:网络不能正常访问、信息系统不能正常使用等。
发生可能性:随机发生。难以预测直接经济损失。安全风险级别为二级 (重大) 。
风险预警指标:是否网络接入和新应用增加报备;IP规划是否合理;网络故障是否及时或4小时工作时内申报;网络故障申报后是否及时响应或8小时工作时响应;各级是否强化支持;网络操作是否按技术要求或标准执行;网络更新是否系统优化和及时等。
主要应对措施和控制策略:健全制度 (含数据中心机房管理制度) ;严格执行已有制度;根据管理新常态, 合理布局和拓展计算机信息网络;网络更改优化项目已列入2016年公司资本投资计划, 拟待资金情况实施。
2016年度信息系统安全风险同2015年度相比的变动情况及原因分析
2015年的信息系统安全风险中的OA系统服务器在线硬盘容量不足, 运行风险和网络出口设备老化风险, 在其可预期的生命周期内已算彻底解决。信息系统防杀毒风险、信息系统使用人员安全应用教育风险、数据备份风险、数据中心机房绿色标准化风险等要与时俱进, 常态化监控。
与2015年相比增加的风险有:档案系统备份风险、档案系统服务器风险、OA系统运行风险、管控一体化系统运用风险、管控一体化系统运维风险、网站升级风险、其他信息系统等风险、网络不稳定风险。并自觉尝试风险分级管控实操效果探索和积累研究 (各级标准指标增减 (含资源调用) 、调级机制等) 。
增加或变动主要原因:一是新建项目或信息系统产生;二是电子系统产品属精密用品, 更新换代快, 使用寿命相对不长;三是其从业性有前述“三高”性, 技术含量高;四是国家网络安全及信息化小组成立, 对相关要求从严落实等。
结语
信息系统安全风险中对信息的安全要求控制遵从信息安全风险指标控制。据信息和信息系统的前述特性, 从长远和发展趋势考虑, 要发挥高级信息专家作用, 宏观上把控好信息和信息系统的关键技术, 在相关信息和信息系统管理、合同洽谈、售后上进行条款约束及有效控制, 从而在一定程度上避免被乙方在技术经济上牵制和对其的被动依赖性。
【企业信息安全心得体会】推荐阅读:
企业移动信息安全市场08-25
企业信息安全管理条例10-30
企业信息安全工作报告11-21
企业信息管理方案07-24
地产企业信息化06-28
全国企业信息公示系统07-11
企业档案信息化08-21
企业信息管理系统09-04
企业信息化工程09-24