【关键词】信息化建设;安全管理;授权
【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0255-02
0.引言
随着信息技术的不断发展以及市场竞争的不断激烈,企业信息安全建设已经成为提高企业竞争力的重要途径,杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施,但是信息安全问题仍然频发,对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理,提高对于信息安全的认识程度,保证信息数据库的安全,避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。
1.企业信息化建设信息安全影响因素分析
(1)信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施,对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏,从而造成企业信息库数据安全出现问题。
(2)信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全,采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁,因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。
(3)信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法,对于保证信息数据库的安全十分重要。
2.企业信息安全管理问题分析
目前由于管理制度以及软硬件设施等一系列的问题,企业数据库破坏以及重要数据信息泄漏的现象时有发生,严重影响了企业的正常生产经营活动,通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面:
(1)企业内部移动存储设备管理疏松,缺乏安全保密管理制度。由于许多企业在日常管理过程中,移动存储设备使用较多,员工可以随意对企业内部的各种信息资料进行备份,企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏,带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足,企业内部信息安全管理缺乏必要的规章制度,安全管理职责权限不清,信息安全漏洞较多。
(2)对于内部信息共享控制不严格,信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系,对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施,因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。
(3)信息权限管理混乱,企业的中介服务体系稳定性较差。对于加密的授权访问,权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱,操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式,而中介第三方由于稳定性难以保证,随时更换或者退出的第三方极易造成企业有价值信息的泄漏,影响企业信息安全建设。
(4)信息管理安全防范体系不健全,缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性,并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制,在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外,由于大部分企业在信息安全管理工作中将重点放在软硬件设施上,而忽略了对于信息安全技术人员的培养,而且为了减少人力资源支出成本,信息安全管理人员少工作任务重,管理权限集中化程度高,影响了信息化建设的安全管理。
3.企业信息建设信息安全管理措施
(1)加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境,做好计算机设备的防火、防潮、防盗措施,并避免强磁环境对信息数据可能造成的损坏。其次,在对各种硬件设备进行检修时,硬组织企业内部相关技术人员进行监督管理,对于需要外送检修的设备,则应提前进行数据加密处理。
(2)提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力,避免企业经济损失具有重要的意义。在企业的正常管理过程中,加强信息安全宣传工作,使员工充分认识到企业信息安全管理的重要性,并熟悉企业相关信息数据保密的规则制度,提高企业的整体信息安全防范水平。
(3)加强信息安全操作管理人员的管理。在企业信息日常管理过程中,应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权,系统管理人员在进行企业相关信息数据库的整理以及维护过程中,必须通过授权进行。系统管理人员离开工作岗位后,相关责任人应及时更换管理员操作代码。
(4)加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码,应分别设置用户密码以及操作密码,并提高密码的安全程度,及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作,应严格按照相关管理规定进行设置。
(5)明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据,并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息,应严格依照程序采取逐级审批的方式,避免数据信息的泄露。需要进行数据恢复工作时,应严格按照相关技术手册,并对恢复的数据进行验证确认数据的完整可用。
(6)加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时,应经由相关主管人员的授权,并登记进入。在日常管理过程中,定期对硬件设备进行保养,同时研究违章操作在信息数据机房安装外部其他软件。
参考文献
[1]沈路铁路信息系统安全风险评估研究[J]-铁路计算机应用2011(6)
关键词:企业网络化;网络办公;信息安全管理
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2014)02-0153-02
近些年来,随着我国经济不断的发展,信息技术不断革新,企业的生存已经和计算机网紧紧绑定在一起。然而,网络的覆盖面和普及范围越来越广以及各种信息技术的不断更新,使得网络化办公存在诸多安全隐患,尤其是企业信息安全问题,因而在当今网络信息时代,保护信息等数据的安全是极为重要的。本文就针对网络信息办公中存在的安全问题进行了分析,并提出了相应的解决措施。
1 企业网络化办公中存在的安全信息问题
1.1 网络病毒
在当今的网络信息时代,病毒攻击防火墙随时随地都在上演;病毒感染、攻击防火墙作为盗窃信息数据的重要手段之一,其是网络办公不得不防的问题之一。如在网络办公中,经常会使用邮件进行交流、信息分享与交换,而邮件也作为当前网络病毒入侵的渠道之一,其隐藏在电子邮件及附件之中,若是没有采取相应的病毒防范措施,在邮件被打开的那一刻,企业的信息数据已然开始被复制或使得整个网络办公局域网瘫痪,给企业造成巨大的损失。
1.2 数据备份存在缺陷
企业网络化办公的实时性极强,信息变化速度极快,因此数据备份就显得非常重要,如计算机中存档的数据、历史记录以及档案对企业领导层或用户来说是非常重要的,若是没有及时给予备份,一旦丢失,就会给企业造成不可预估的损失,轻则重要客户信息流失,重则导致企业的正常运行受到巨大阻碍,给生产、科研造成难以估计的损失。
1.3 网络防火墙存在漏洞
防火墙软件作为保护企业网络化办公免疫病毒攻击的主要手段之一,其随着网络中病毒软件的开发而出现相应的变化,因此网络防火墙会及时更新,这也是充分发挥网络防火墙的作用,保证信息安全的主要手段之一。然而,由于管理人员不重视,认为实时更新防火墙软件麻烦,导致软件中存在漏洞,造成数据安全隐患。
2 信息安全的防范措施
2.1 安装防病毒软件
企业在开展网络化办公时,应考虑网络中可能被病毒感染或攻击的地方可以采取相应的防病毒措施,如以“纵深”的防御形式购买和安装相应的防病毒软件。网络技术在发展,防病毒软件在更新,病毒同样如此,尤其是企业网络化办公,单机防病毒已经不足以对网络病毒进行扫描和彻底清除,因此,必须购买和安装能适应局域网,且全方位、无死角的防病毒软件。防病毒软件的安装,能有效地识别网络内部交流中隐藏的病毒,如邮件或附件中隐藏的病毒。
2.2 数据备份
为了保证企业重要数据不丢失,避免企业因数据丢失造成损失,对计算机中数据进行备份是极为重要的,也是必须采取的防范措施之一,这对保障企业的生产、产品研发、销售等正常运行,有着重要的意义。企业应根据自己的经济能力和信息的存储及更新能力,选择合适的数据备份方式,如网络硬盘备份、硬盘备份等。
2.3 架设防火墙
防火墙作为当前应用最广泛、最有效的网络安全机制之一,其是预防和避免Internet上存在的不安全因素,如木马病毒等,蔓延到企业使用的局域网内部的有效措施之一,也是保证整个局域网安全的重要环节之一。架设防火墙对于一个需要保证信息安全的企业来说非常有必要,它会对外部网络和内部网络之间流通的所有数据进行检验和筛选,只有符合企业所设定的信息安全策略的交流数据才能避免被防火墙拦截,同时,防火墙本身还具有极强的抗攻击免疫能力。
2.4 设定访问权限
访问权限设置和控制作为防范网络不安全因素和保证网络安全的重要手段之一,其主要任务是避免企业内部网络资源被非法或越权访问和使用,这是保障企业信息安全的核心策略之一。因此,依据企业对网络信息的实际要求,制定相应的访问控制权限,如目录级控制、属性控制、网络权限控制、网络IP地址控制以及入网访问控制等手段均可起到作用。
3 网络办公信息安全管理策略
企业网络安全的核心在于管理,而安全管理的保证在于技术,因此“七分管理,三分技术”是保证企业网络信息安全的重要策略和实施手段。只有制定和完善信息安全的规章制度,规范企业用户使用信息的行为,同时与安全技术相互结合,企业使用的网络系统及信息数据安全才有保障。
3.1 强化企业用户的信息安全防范意识,提升其综合素质
无论是企业决策人员,还是企业员工,其思想上对网络安全的重视和认识对企业信息安全是极为重要的,要落实安全保密工作的职责,定期开展数据安全防范教育,并制定相应的保密措施对企业员工或领导层进行要求,提升其数据安全的预防意识和保密意识。同时,网络信息安全管理需要专业的人才来进行相应的操作和监控,因此,企业要依据自身的实际需求,储备和招揽相应的计算机专业人才,并定期对其进行培训,提升企业数据安全的整体防护能力。
3.2 完善管理制度,加强管理力度
企业在实施宏观的数据安全管理措施的同时,还要与重点、有针对性监控方式相结合,这样才能最大程度上保障企业信息安全。同时,依据企业各个部分涉及的信息量和核心信息量大小,加强管理力度,制定并实施相关的网络信息安全管理办法,将每个安全管理环节进行细化,落实信息安全防范的责任,做到“谁用谁负责”,这对保证企业网络化信息安全有着重要的意义。
3.3 加强对核心数据的管理
企业核心数据涉及到企业未来发展战略的各个方面,其包含产品占据市场的方法、活动方案、策划方案等各种手段,这与企业的未来息息相关,因此,加强对企业核心数据等信息的管理是非常重要的。依据核心数据管理所涉及的对象,如领导层、决策层以及网络安全部门等人员,制定相应的制度进行规范,无论是信息的使用,还是数据的拷贝,都需要相应的秘钥进行确认,这能有效避免数据被非法盗取或使用。
4 结语
计算机网络技术、信息技术的快速发展,使得企业的办公形式与业务发展发生了根本性的改变,企业的生存和盈利更是与网络紧紧联系在一起,而网络中存在的病毒、黑客等不安全因素也给企业网络化办公的信息安全带来巨大威胁,因此加强企业网络信息安全的管理和防范,对企业未来的发展将会显得越来越重要。
参考文献
[1] 刘韫.企业网络信息安全面临风险及常用防护措
施[J].网络安全技术与应用,2013,(9).
[2] 赵治谊.浅析企业网络信息安全管理机制[J].中
国电子商务,2012,(8).
[3] 赵婷婷.关于企业网络信息安全的防范措施研究
[J].科海故事博览・科技探索,2013,(3).
[4] 苟有来,周琦.大中型企业网络信息安全面临风险
关键词:电力信息;网络安全;防范措施
信息技术的发展,为电力企业的工作效率和管理水平的提升发挥着重要的推动作用。电力信息的网络化在促进电力企业管理的高效化的同时,也给电力企业的网络安全带来了极大的隐患,因而加强电力信息网络安全性的研究满足电力企业发展的实际需求,对于电力企业的稳定发展具有重要意义。
1影响电力信息网络安全因素的特点
就当前电力信息网络的总体情况来看,信息网络安全的影响因素具有综合化和复杂化的特点,随着影响信息网络安全的因素的发展,维护电力信息网络安全逐渐成为电力企业当前所面临的一项重要问题。信息网络的开放性逐渐提高,一定程度上促进了电力信息网络的不稳定性和不安全性,极易受到多种因素的影响导致信息网络出现问题,从而对电力系统的正常运行产生严重影响。当前我国部分电力企业依然缺乏有效的安全防范体系设置,并且电力相关数据并未进行备份,这种情况下,一旦电力信息网路出现故障,会对电力企业的运行产生严重的影响。综合来看,电力信息网络中存在诸多不安全因素,严重威胁着电力系统的稳定运行。
2电力信息网络安全的现状
当前我国部分电力企业信息网络的安全意识相对淡薄,相关人员也并未充分认识到电力信息网络安全的重要性,缺乏合理有效的信息网络安全体系来对电力信息网络进行规范化管理,当前电力信息网络的运行缺乏有效的制度支撑,实际管理规范效率较低。当前维护电力信息网络安全的基础设施并不完善,导致电力系统的稳定运行缺乏可靠的前提和基础。尤其是电力信息网络中的身份验证存在一定弊端,对于不同身份角色的识别过程中存在极大的信息网络安全隐患,亟待电力企业进行有效改善。在电力信息网络出现安全性问题时,相关人员并不能够及时进行有效解决,并且在解决措施的选取上也存在一定局限性。当前电力信息网络中存在着恶意侵入、软件漏洞以及病毒传播等多种安全问题,个电力信息网络的安全埋下严重的隐患。电力信息网络具有高机密性,一旦遭到黑客侵入或病毒的侵害,会导致电力信息被盗,更有甚者会对电力信息进行不良的利用,导致电力资料收到严重损坏,从而在一定程度上对电力系统的稳定运行产生严重影响,不利于电力企业的经营效率和管理水平的提高。从整体上看,电力信息网络的安全性较差。在网络环境中,病毒的传播会对用户的正常操作产生严重的影响,开机速度慢、反应速度慢以及电脑死机等都是常出现的情况,类似的情况给用户方带来了严重的困扰。并且这种病毒会大量复制和扩散,杀毒软件也无济于事,从而对电脑系统产生严重的破坏。应用软件的漏洞具有隐蔽性,需要不断进行更新并对漏洞进行修复,若漏洞得不到及时的修复,会对电力信息网络的安全埋下一定的安全隐患。
3电力信息网络的安全防范措施
电力信息网络的安全防范,需要相关人员制定严格且合理的防范措施,促进电力信息网络安全得到可靠的保证。应当对多种因素进行衡量和分析,进而采取有针对性的措施促进电力信息网络安全防范的科学性和有效性。
3.1加强安全管理
加强电力信息网络安全培训与教育,是电力企业信息网络安全防范的重要方面,通过组织电力企业相关管理人员进行信息网络安全教育和知识培训,在一定程度上提高电力企业相关人员的对信息网络安全的认识,在实际工作中能够积极遵守相关制度和网络安全的规定。与此同时培养员工良好的用网习惯,自觉抵制风险较高的网站,与工作无关的设备和软件也不允许在企业电脑使用。不断强化电力信息网络安全,对电力信息网络安全采取可靠的安全防护措施。电力企业的信息网络应当进行定期杀毒,相关电力文件及时做好备份。开机口令应当不定期的进行修改,以有效的减少电力信息的泄漏。在电力信息网络的安全防护措施上,可以采取防火墙技术、物理隔离装置技术及信息检测系统技术对电力信息网络安全进行保护,不断进行技术创新,促进电力信息网络中的不安全因素得到有效的解决。建立多层防御体系,严格控制电力企业网络的访问权限,做好相关用户的认证工作,以减少不必要的安全隐患。对于尤为重要的电力信息,相关管理人员应当对信息进行及时有效的保密,有效的保证网络安全事故得到控制。
3.2防止恶意侵入
将电力信息网络中不必要端口与服务进行关闭,要及时发现系统的漏洞,一旦出现漏洞要及时升级各种补丁,防止系统受到恶意的入侵。将电脑与系统闲置的端口和可能存在威胁的端口和服务要进行关闭,这可以有效预防黑客从这些闲置的、存有威胁的端口或服务进入、甚至破坏,如果一旦发现流行病毒后门的端口或者远程的服务访问,也要进行关闭。防火墙可以有效防止恶意的入侵和攻击,是计算机系统自我保护的重要屏障。防火墙可以对各种软件进行识别,也可以对抵抗非授权的访问进行技术控制,内部的资源哪些可以被外界访问,外部的服务哪些可以被内部人员访问,都可以进行识别。防火墙的抗恶意攻击和免疫能力较强,可以对企业内部的网络进行划分,对各个网段进行隔离,限制重点或者敏感部分的网络安全。而入侵检测系统作为防火墙的补充,为网络提供了主动的保护功能,可以探测网络的流量中有可能存在的入侵,攻击或者滥用模式的发生。通过上述这些措施,有效解决电力信息网络的安全问题。信息检测系统技术的发展和应用,对于网络病毒和黑客攻击起到了较好的抵制作用,一定程度上提高了电力信息网络的安全性。与此同时,相关人员应当进行信息网络隐患扫面技术创新,对所有不安全因素及进行及时的发现,以便提早进行预防和控制。应当不断开拓技术实际应用性,提高防病毒侵入技术的实际效果,将该技术应用到整体电力信息网络系统中,实现电力信息系统的数据安全。
4结束语
从整体情况来看,电力信息网络的安全对于电力系统的整体运行和未来发展具有重要意义,一旦电力信息网络安全受到影响和破坏,严重威胁着社会经济的稳定运行,与此同时为社会群体带来严重的生活困扰。因而加强电力信息网络安全的防范具有重要性和必要性,是当前电力企业所面临的重要任务,应当运用多种力量对电力信息网络进行监管和控制,促进电力信息网络的稳定高效发展。
参考文献
[1]蔡文检.电力企业信息安全风险分析与防范措施[J].计算机光盘软件与应用(信息技术应用研究),2011,(19).
[2]崔文彦.网络信息安全技术防范措施[J].计算机光盘软件与应用(工程技术),2011,(7).
【论文摘 要】目前,计算机技术的不断普及使一些传统的文件载体不断消失,而计算机办公自动化正逐渐被很多企业推广运用。办公自动化最明显的标志就是信息档案的建立,这种记录信息的手段对企业来说更加方便和快捷,避免了传统的纸张档案的弊端。但是有利必有弊,计算机自身也存在着一些缺陷,导致企业在使用信息档案这一手段时也存在一些弊端,针对这个问题,企业在运用此技术时一点要做好风险的防范措施,力求使风险降到最低。基于此,本文主要对电子信息档案管理的风险控制方法进行了探讨。
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
二、缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。
三、分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
四、评估风险的措施
当风险来临后,企业最需要做的就是积极采取措施进行处理,为了把风险造成的影响控制在最小的范围内,还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理,在对电子信息档案实施全面分析的基础上,探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是:发生危险的概率,危险带来的后果有多大,危险的成本探析,有哪些合适的控制防范办法等等。此外,企业管理者要树立风险观念,积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点,如果机构中每个已被识别的弱点通过承认得以控制,这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于,许多经营管理者错误地认为电子信息档案无危险性,在使用档案资料时未采取针对性的安全管理方案,这对于电子信息档案带来了诸多不便。而对于档案管理人员来说,其在管理期间要控制好各个环节的工作,这对于档案管理是极为重点的。在进行评估中,为了确保档案信息的安全性,档案管理人员就必须要非常警觉,对于潜在的风险能够及时发现,并把其扼杀在萌芽状态,对于已经发生的风险要积极采取措施,力求使风险造成的损失最小。
简而言之,管理者或管理部门在对电子信息档案管理时,一定要有这样的意识,即电子文件的风险不是主观的,而是客观存在的,这种风险不是确定的,而是不确定的,而且还可能带来很大的危险,所以一定要有对风险的警觉度,把预防风险看做所有工作的重中之重,积极 制定风险防范办法,使电子信息档案的管理水平得以提高,这对于有效规避风险和降低损失有重要的意义。
参 考 文 献
[1]冯惠玲.论电子文件的风险管理[J].档案学通讯.2005(3):8~11
[2]王兆新,裘洁.浅议电子文件信息的安全与保密[J].浙江档案.2004(1):36~37
[3]邹生.开放网络环境下的信息安全问题[J].信息安全与通信保密.2004(4):28~29
【关键词】电子信息档案管理;风险控制;方法
目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。
一、避免风险的措施
提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:
1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。
2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。
3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。
4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。
二、缓解风险的措施
电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。
三、分散风险的措施
在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。
四、评估风险的措施
当风险来临后,企业最需要做的就是积极采取措施进行处理,为了把风险造成的影响控制在最小的范围内,还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理,在对电子信息档案实施全面分析的基础上,探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是:发生危险的概率,危险带来的后果有多大,危险的成本探析,有哪些合适的控制防范办法等等。此外,企业管理者要树立风险观念,积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点,如果机构中每个已被识别的弱点通过承认得以控制,这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于,许多经营管理者错误地认为电子信息档案无危险性,在使用档案资料时未采取针对性的安全管理方案,这对于电子信息档案带来了诸多不便。而对于档案管理人员来说,其在管理期间要控制好各个环节的工作,这对于档案管理是极为重点的。在进行评估中,为了确保档案信息的安全性,档案管理人员就必须要非常警觉,对于潜在的风险能够及时发现,并把其扼杀在萌芽状态,对于已经发生的风险要积极采取措施,力求使风险造成的损失最小。
简而言之,管理者或管理部门在对电子信息档案管理时,一定要有这样的意识,即电子文件的风险不是主观的,而是客观存在的,这种风险不是确定的,而是不确定的,而且还可能带来很大的危险,所以一定要有对风险的警觉度,把预防风险看做所有工作的重中之重,积极制定风险防范办法,使电子信息档案的管理水平得以提高,这对于有效规避风险和降低损失有重要的意义。
参 考 文 献
[1]冯惠玲.论电子文件的风险管理[J].档案学通讯.2005(3):8~11
[2]王兆新,裘洁.浅议电子文件信息的安全与保密[J].浙江档案.2004(1):36~37
[3]邹生.开放网络环境下的信息安全问题[J].信息安全与通信保密.2004(4):28~29
1.1编制目的
为进一步加强安全生产领域防汛工作,明确安监部门开展防汛工作所承担的任务,督促工矿商贸企业(以下简称企业)采取有效措施,科学、有序地开展防汛工作,最大限度防范和降低因洪涝自然灾害引发生产安全事故的风险,维护人民群众的生命财产安全。
1.2编制依据
依据《突发事件应对法》、《中华人民共和国安全生产法》、《生产安全事故应急预案管理办法》等规定和县防汛抗旱指挥部《关于印发防汛抗旱指挥部成员职能职责及汛期值班安排的通知》(平防汛指〔2016〕2号)文件要求,按照我县防汛防旱指挥部的部署要求,制定本预案。
1.3适用范围
本预案适用于全县企业开展防范洪涝自然灾害引发生产安全事故的相关预防、预警和应急处置工作。
1.4工作原则
在县防汛防旱指挥部的领导下,坚持以人为本、预防为主的理念,按照属地管理、条块结合的原则,组织镇(街道)安监办、相关企业在自然灾害发生期间开展安全生产检查,认真做好预测、预警、预防和应急处置工作;不断完善应急管理基础信息、应急专家库;督促企业,特别是重点监管的危险化学品、烟花爆竹企业(以下简称重点企业)做好常态下的风险评估、物资储备、队伍建设、装备补充和隐患排查治理等工作;协调专业应急队伍和社会应急力量,及时高效地处置因自然灾害引发的安全生产险情、事故。
2组织体系及职责
2.1企业防汛工作领导小组
县安全监管局成立企业防汛工作领导小组(以下简称领导小组),负责指导协调和督促检查各级安监部门、相关企业开展防范自然灾害工作。具体组成如下:
组长:
副组长:
成员:
领导小组下设办公室在安全监管局办公室,负责局防汛工作的启动,向镇(街道)企业防汛工作领导小组预警信息和灾害等级,启动相应的企业防汛应急响应等级,做好事故的上报、防范自然灾害的情况汇总等组织协调工作。
成立检查督导组、应急管理组和后勤保障组3个工作组,推进防汛工作的落实。
检查督导组:由局各片区分管领导带队,负责指导和督查联系片区的乡镇(街道、管委会)开展防汛工作,督促相关企业提高思想认识、加强物资储备、落实防范措施,对不履行工作职责的企业进行通报和跟踪督促整改。
应急管理组:由应急办负责,密切关注自然灾害动态,及时起草文件,部署防汛工作;保持与县防汛防旱指挥部、各乡镇(街道、管委会)安监办的沟通联系,及时上报相关信息;督促有关股室(队)掌握企业基础信息和应急救援物资、装备的储备情况;协调确认应急专家组、专业应急救援队伍;指导企业落实自然灾害发生前、中、后安全措施。
后勤保障组:由局办公室负责,利用信息平台预防、预警、应急响应、安全措施信息,开展对外防汛工作宣传报道,安排好本单位人员值班、物资供应、车辆保障等工作。
3灾害分级与应急响应等级
参照《县防汛抗旱应急预案》对于洪涝台旱灾害的分级,分为特大(I级,红色)、重大(II级,橙色)、较大(III级,黄色)和一般(IV级,蓝色)洪涝台旱灾害。将县防汛防旱指挥部统一灾害等级作为企业防汛应急响应等级,即I级、II级、III级、IV级应急响应等级。
4预防与预警
4.1应急准备
(1)思想准备:严格按照县委、县政府和县防汛防旱指挥部要求,加强对防汛工作的组织领导;召开全体人员动员大会,增强做好相关工作的责任感和紧迫感;明确职责分工、防范措施、工作纪律。
(2)组织准备:建立健全各乡镇(街道、管委会)安监办防汛应急领导组织,落实各项工作,加强与企业、部门的沟通联动。协调确认应急专家组、专业应急救援队伍。督促企业落实安全生产主体责任,建立完善各类应急处置队伍。
(3)工作准备:制定24小时人员应急值守计划,完善信息沟通渠道。通知乡镇(街道、管委会)企业防汛领导小组做好应急联动,同步开展各项防范工作。督促企业特别是危化企业开展安全隐患的紧急排查,做好在自然灾害情况下的安全评估,落实应对性措施。
(4)预案准备:根据灾情特点,熟悉企业防汛应急预案,明确应急处置流程、指挥报告程序、应急救援队伍、应急救援物资储备等内容,制定专项工作方案。督促企业按照有关要求,完善应急预案;所有重大危险源、重点岗位、要害部位都应编制现场处置方案,并进行培训学习。
(5)物资准备:按照“属地管理、分级负责”的原则,做好区域内应急救援物资器材设备的统计,建立紧急情况下的调用机制。承担区域专业应急救援任务的企业或单位补充必要的应急装备物资。有关企业要根据生产实际,配足相应的应急物资,做好清理使用和维护保养。
(6)通信准备:明确值班、值守人员的通信联系方式,配备必要的应急通信设备,保证信息实时畅通。
4.2监督检查
危险化学品、非煤矿山、烟花爆竹等企业,是防汛工作的重点。各乡镇(街道、管委会)安监办要及时完善防汛专项应急预案,组织开展风险监测、预防和评估,认真开展以“六查”(查组织、查工程、查预案、查物资、查通信、查措施)为主要内容的防汛专项检查,做到安全隐患早发现、早防控、早整改。
各乡镇(街道、管委会)安监办要督促重点企业加强应急救援队伍建设,提高企业员工的应急意识和应急处置、避险逃生、自救互救能力;做好相关装置、安全设施的检测检验和维护保养工作,确保其安全可靠和有效运行;明确重大危险源、危险装置等重点部位的责任人,强化领导带班、值班;在自然灾害发生期间,主要负责人要亲自带队,对重点部位的安全生产状况进行全面检查,及时采取措施消除事故隐患。
4.3预警
根据县防汛防旱指挥部的预警信息,向乡镇(街道、管委会)企业防汛领导小组发出预警;通过信息平台向有关部门和重点企业传递防汛有关信息。收集汇总安全生产应急、重大险情信息;重大险情应在接到报告后2小时内将初步情况报县防汛防旱指挥部,并实时对险情组织核实。
各乡镇(街道、管委会)安监办防汛领导小组接到预警后,按照分级负责的原则,及时向重点企业、村(社区)发出预警。通知企业有序组织生产,有针对性地开展安全检查,降低安全风险,消除事故隐患;落实好抢险队伍、物资和装备,严格执行领导值班制度,保证主要负责人、安全技术人员和应急队伍坚守工作岗位。
5应急响应
根据县防汛防旱指挥部的灾害等级,启动相应的企业防汛应急响应等级,并启用24小时应急值守电话和应急信息报送制度,将信息通报全局工作人员,并妥善安排好值班工作,保持通讯畅通,做好值班记录。
5.1I级应急响应
根据县防汛防旱指挥部发出的I级应急响应命令,I级应急响应行动,启用24小时领导带班和应急值守制度,全局人员处于待命状态。
由局长负责指挥,局领导及相关股室(队)人员参与值班保障。一是与各地值班人员保持实时联系,对可能出现的企业险情进行研判,提出防御目标和应急措施,部署企业防汛抢险救灾工作;二是与相关应急专家、专业应急处置队伍保持联系,确保一旦发生险情能拉得出、救得下;三是督促乡镇(街道、管委会)通知相关企业全面启动防汛专项预案,企业组织停产或减荷,进行安全检查,安排好值班人员,加强对危险部位(储罐区、配电房、非煤矿山作业面等)监控,做好处置各类突发事件的准备;四是充分利用广播、电视、报纸、网络信息平台等媒体,宣传防汛期间安全生产各项措施。
5.2II级应急响应
根据县防汛防旱指挥部发出的II级应急响应命令,领导小组II级应急响应行动,启用24小时应急值守制度,全局人员轮流处于待命状态。
由领导小组分管企业管理的副组长负责指挥,相关股室(队)人员参与值班,对可能出现的企业险情进行评估,提出防御目标和应急措施。通知应急专家、专业应急处置队伍处于待命状态。督促各乡镇(街道、管委会)通知相关企业启动防汛专项预案,加强人员巡查检查,安排好值班人员;加强对危险部位监控,提前做好紧急情况下的安全措施。指导各地开展企业防汛抢险救灾工作,利用媒体宣传防汛安全知识。
5.3III级应急响应
根据县防汛防旱指挥部发出的III级应急响应命令,领导小组III级应急响应行动,启动24小时应急电话值班。
由领导小组副组长轮流负责值班指挥,相关股室(队)积极参与,对可能出现的企业险情进行分析,提出防御目标,部署相关工作。明确应急专家、专业应急处置队伍人员组成。对企业开展应急准备情况进行抽查。督促各地做好相应的应急准备工作,通知企业做好启动专项预案的准备。
5.4IV级应急响应
根据县防汛防旱指挥部发出的IV级应急响应命令,领导小组IV级应急响应行动,加强电话应急值班。
相关股室(队)做好应对突发事件的准备,对可能出现的企业险情进行预测。
5.5应急响应措施
1、开展思想发动,将信息通报全局工作人员,妥善安排好值班,保持通讯畅通,做好值班记录。
2、督促乡镇(街道、管委会)企业防汛领导小组落实防范措施。利用广播、电视、报纸、网络信息平台等媒体,开展宣传教育。
3、企业开展安全生产大检查,对重点设备、部位和岗位开展隐患排查治理,做好在强风、暴雨、雷电等情况下企业安全性评估,加强应对性措施的落实;强化人员的安全教育,增强自救互救和应急处置能力;提前制定设备和设施倒塌、库区及车间进水、危化品泄漏和爆炸、厂区突发断电等紧急情况下的安全措施。无法排除的险情要按规定及时报告,并落实安全措施。安排好人员值班,加强对危险部位监控,发现险情应及时排除。
4、按照县委、县政府和县防汛抗旱指挥部统一部署和要求,开展防汛工作专项督查。督促企业落实安全生产主体责任,加强隐患排查治理,加强人员值守,加强事故预测预想,加强应急救援准备,切实消除事故隐患。
5.6信息与新闻宣传
领导小组是企业防汛应急信息的指定来源,由领导小组统一收集和对外报道企业防汛的信息。
5.7应急结束
根据县防汛防旱指挥部正式解除灾害警报信号后,结合各地反馈信息,由局领导小组决定,结束企业防汛抗台应急状态。
6后续处置
根据自然灾害期间企业停产、减产情况,督促企业落实相关措施,确保安全复产、复工。
6.1开展安全检查
重点检查生产装置、管道及设备设施是否在防汛期间受到损害破坏,检查安全阀等附件是否损伤,检查检测原材料等是否受到影响,检查电气仪表、自动化安全控制系统是否处于适用状态;采矿作业面是否遭受损坏,电器线路是否发生短路漏电等。
6.2做好防汛期间应急防范工作
重点落实应急器材的准备,专业技术、应急处置人员必须到位,并严格执行应急值班执勤制度,落实企业主要负责人带班制度。
6.3防汛工作评估
领导小组负责对预警和应急响应期间各环节工作落实情况进行分析、评估和总结;各乡镇(街道、管委会)安监办对发生险情的企业及时进行检查,并落实整改;对发生的生产安全事故,按照有关规定进行调查处理。
7预案管理
7.1预案演练
各乡镇(街道、管委会)防汛领导小组应定期组织各类应急演习,以检验、改善和提高应急准备和应急响应能力。
7.2预案修订
本预案由县安全监管局(应急办)制定并实施。根据工作实际,视情作出相应调整修改。各乡镇(街道、管委会)根据本预案,制定当地防汛专项预案。
【关键词】计算机网络;安全现状;隐患;防范措施
计算机网络的应用和普及改变了人们的消费方式和生活方式,是现代企业改革与管理的不可或缺的工具。企业利用计算机网络,可以准确的获得市场信息,并及时做出反馈,也可以利用网络电商平台开辟新的贸易渠道。计算机网络的运用打破了市场壁垒,但是它是一把双刃剑,信息泄露的风险与利益是相伴而存的。企业专有账号密码的泄露事件层出不穷。所以,研究如何防控企业的网络安全风险显得至关重要,将影响着企业的长远发展。
1.企业计算机网络安全现状
进入新世纪以来,计算机网络的出现使世界各国之间的联系日益密切,在加上世界经济全球化的促进作用,计算机网络为世界创造更多的财富创造了便利,但同时,各种弊端也层出不穷,一些不法分子通过恶意插件和电脑病毒,使计算机系统的安全面临着严峻的挑战。我们应该面对这种挑战,了解企业信息安全的现状。首先,我国很多企业里缺乏专业的网络安全技术人员,这是跟我国的计算机研究起步不如西方发达国家的原因,在技术方面处于劣势。其次,很多企业只是把重点放在了生产部门和技术研发部门,缺乏必要的信息安全保护意识,对网络信息泄露带来的损失估计不足,企业里的计算机使用人员没有养成良好的电脑维护习惯,如定期杀毒等,是的企业里的很多计算机系统处于不设防的状态。
2.企业计算机网络存在的隐患
2.1计算机安全系统存在漏洞
现在我国的自主创新能力已经有了长足的进步,但是与西方发达国家相比,仍比较落后。如果硬件发生故障,将使企业蒙受巨大的经济损失。如服务器出现故障,对信息的读取就会产生影响。很多企业使用计算机仅限于文件的传送和档案的管理,很少用到网络。所以在这一方面存在着管理的漏洞,计算机一旦联网就很容易会受到病毒的入侵和感染,很多数据就会莫名其妙的丢失,给不法分子和黑客以可乘之机。
2.2管理不到位,网络安全意识淡薄
企业在网络管理方面有了长足的进步,但是,由于企业管理者缺乏对网络安全正确的认识,而且网络建设研究的理论在我国尚不成熟,企业创设的网络安全管理系统的专业性尚待提高。我国对企业的局域网建设尚处于初级阶段,对网络安全系统的维护也缺乏专业的人才,甚至有的维护人员是门外汉,没有接受过一天的岗前培训,在安全意识方面缺乏警惕性。企业管理层对网络安全知识基本不了解,管理工作有疏漏,导致企业的各种机密信息经常泄露,有些涉及到企业的商业机密,这对于企业来说是一种莫大的损失。
3.企业计算机网络安全防范措施
3.1物理安全措施
为了防止企业的计算机系统受到黑客的袭击,企业需要制定相应的安全防范策略,首选是物理策略。物理策略的侧重点是对电脑硬件进行防护,防护的内容主要是防止计算机硬件由于受到外力的冲撞或者是不可抗力的损害。物理策略是计算机保护措施的基础,物理安全策略有利于加强计算机系统的安全设置。
3.2信息加密措施
企业在经营过程中,各个部门会经常传送文件,在传送文件的过程中,会导致信息的泄露,所以,只有采取措施对传送的信息进行加密,才可以防止企业内部的信息被泄露,特别是那些关系到企业发展方向的商业机密,加密措施可以防范不法分子盗窃信息,通过密码保护,最大限度的阻止了黑客进入企业内部。比如说,设置安全系数比较高的密码钥匙,就可以起到阻止非法用户进入的作用。
3.3提高安全检测技术
安全检测技术的提高可以及时发现企业计算机系统内部存在的木马病毒以及恶意插件等,并第一时间排除掉这些异类,把对企业系统造成的破坏指数降到最低。提升企业内部信息的安全系数,为企业的正常经营营造一个安全的网络环境。从以上分析我们可以看出,网络安全问题成为了涉及企业经济利益的问题,对企业的影响是很大的,计算机网络的应用和普及所带来的负面影响是深远的,如电脑病毒的入侵以及商业机密的泄露等。所以,作为企业,首先要做好计算机网络的安全风险防范工作,通过技术创新来保证企业信息的安全性。
参考文献:
[1]李安宁.防火墙与入侵检测系统联动的网络安全体系分析[J].电脑知识与技术,2011年34期.
[2]文凯,朱江.基于策略的网络安全管理[J].信息安全与通信保密,2003年11期.
木桶理论的缺陷
木桶理论可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的,并非是其中最长的那块木板、或全部木板长度的平均值,而是取决于其中最短的那块木板。
将木桶理论应用于企业信息安全领域的重要意义在于,使企业认识到了企业整体信息安全防御能力的强度取决于信息安全体系中最脆弱的环节。根据木桶理论,很多企业都在努力发掘、克服信息安全中的短板,针对信息安全体系中存在的盲区、潜在风险、薄弱点等纷纷部署了不同功能、应用、规模的信息安全产品,例如:针对网络病毒泛滥,在内网安装部署中央控管防病毒系统进行病毒防御;针对互联网非法入侵,在互联网出口安装防火墙、IPS、安全网关等工具进行安全防御。
然而,实践已经证明,在企业信息安全领域应用木桶理论仍存在一定缺陷:缺乏系统、整体、科学的统筹规划,导致企业在信息安全措施的运用上存在“据病就医”的不合理现象,很难实现“标本兼治”。实际情况往往是随着信息安全工具、平台、系统越上越多,企业信息安全问题非但没有减少,安全事件发生率、安全隐患、安全风险反而趋于增大,这个问题亟待解决。
新木桶理论
新木桶理论是这样的:一个木桶能不能容水,能容多少水,除了看最短的那块木板以外,还要看另外一些关键信息――一是这个木桶是否有坚实的底板、二是木板之间是否存在缝隙。
一个完整的木桶除了长板、短板之外,还有底板。正是这块底板,构成了企业信息安全的基础架构(Information Security Architecture),其中包括信息安全工作相关的组织机构、管理策略、规章制度、操作流程、运维体系等。
木桶能否有效盛水,除了需要坚实的底板之外,木板之间的缝隙同样至关重要。对于一个信息安全体系而言,不同功能、厂家、规格的信息安全产品之间的协作、联动、集成有如木板之间的缝隙,很容易被忽视,这样所导致的安全风险和危害往往是最严重的。
坚实的底板
拥有坚实的底板,是一个木桶能够盛水的前提基础。企业信息安全基础架构就是信息安全体系的底板,它全面完整地反映了一个组织机构或系统对安全管理的要求,是对ISO17799安全管理体系的深刻诠释。企业信息安全基础架构由三要素(即资产管理、威胁管理、风险管理)和四个层次(即策略、组织、操作、技术)组成,现对四个层次的主要内容说明如下:
(1)策略层次:体现整个机构的信息安全方针、纲领、标准、制度、规范、参考文献、指南等。
(2)组织层次:建立有效的信息安全组织,并赋予组织成员明确的角色和职责,普及安全知识,实施安全教育,提高全员的安全意识。
(3)操作层次:用户管理、资产管理、环境安全管理,应用系统开发运维管理,业务操作规范等。
(4)技术层次:完整覆盖信息安全体系各个基础要素的技术标准、方案及其实现。
对部分企业而言,由于没有进行过系统的信息安全建设需求调研、分析评估、整体规划,在信息安全建设过程中存在一定的随意性,将安全视为软、硬件产品技术的简单叠加,忽略制度建设,缺乏执行力,其后果可想而知。
针对以上问题,企业应该在具备专业信息安全认证资质的服务商的支持、协助下,运用先进的理念方法,在企业内部自上而下地组织进行一次全面、彻底、深入的信息安全评估,通过认真调研企业的信息安全现状和安全需求,结合企业未来发展战略规划,制订信息安全整体解决方案,分轻重、分缓急、分步骤地逐步予以实施。这里有两个问题需要特别强调:一是执行力度,信息安全工程是典型的“一把手工程”、“全员参与工程”,没有领导的重视和支持,没有员工的普遍接受和参与,没有切实可行的制度保障和考核体系支撑,安全就是一句空话;二是动态需求,信息安全工作只有起点,没有终点,随着企业对信息安全需求的动态变化,木桶的盛水量需求逐渐增大,木桶底板必须不断提高坚实程度。
无缝是关键
桶箍的作用在于将一堆独立的木条紧紧联合起来,使木桶成为一个封闭无缝的容器。试想一下,如果没有桶箍,或者箍得不紧,那么木桶仍然无法容水。企业信息安全体系的桶箍是企业信息安全技术、安全产品、安全策略、安全措施等各种对象的有机结合体,其中安全策略是最核心的,安全策略应该是系统的、长期的、整体的。企业应始终坚持应用系统建设与信息安全建设同步规划、同步建设、协调发展的原则,将信息安全体系建设融入到信息化规划、建设、管理和运维的全过程之中。
信息安全策略也叫信息安全方针,是企业对信息化相关全部资源(人、财、物、信息)进行管理、保护和分配的原则,是有关信息安全的行为规范。信息安全策略主要解决两大问题:一是明确企业员工的信息资源访问权限及流程(重点),告诉员工在日常的工作中什么是可以做的、什么是必须做的、什么是允许做的、什么是禁止做的;二是清晰阐述针对各类信息资源的防御措施及流程(难点),说明什么信息资源是需要保护的、安全保护等级是什么、保护措施是什么、保护措施的优先次序、保护措施之间的关联关系等。企业应根据信息安全等级保护的原则,识别出各类潜在的信息安全风险,并制订出详尽的信息安全风险应对策略(包括风险避免、风险转移、风险减轻、风险接受)。
购物车(0)
