前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的加強(qiáng)信息安全管理主題范文,僅供參考,歡迎閱讀并收藏。
根據(jù)__、__和__、__有關(guān)要求,為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)和信息安全管理工作,經(jīng)__領(lǐng)導(dǎo)同意,現(xiàn)就有關(guān)事項(xiàng)通知如下。
一、建立健全網(wǎng)絡(luò)和信息安全管理制度
各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求,制定并組織實(shí)施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任,規(guī)范計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度,切實(shí)做好本單位網(wǎng)絡(luò)與信息安全保障工作。
二、切實(shí)加強(qiáng)網(wǎng)絡(luò)和信息安全管理
各單位要設(shè)立計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組,負(fù)責(zé)對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護(hù)等工作進(jìn)行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制,明確主管領(lǐng)導(dǎo),落實(shí)責(zé)任部門(mén),各盡其職,常抓不懈,并按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,切實(shí)履行好信息安全保障職責(zé)。
三、嚴(yán)格執(zhí)行計(jì)算機(jī)網(wǎng)絡(luò)使用管理規(guī)定
各單位要提高計(jì)算機(jī)網(wǎng)絡(luò)使用安全意識(shí),嚴(yán)禁計(jì)算機(jī)連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),嚴(yán)禁在非計(jì)算機(jī)上存儲(chǔ)、處理信息,嚴(yán)禁在與非計(jì)算機(jī)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實(shí)行物理隔離,并強(qiáng)化身份鑒別、訪(fǎng)問(wèn)控制、安全審計(jì)等技術(shù)防護(hù)措施,有效監(jiān)控違規(guī)操作,嚴(yán)防違規(guī)下載和敏感信息。嚴(yán)禁通過(guò)互聯(lián)網(wǎng)電子郵箱、即時(shí)通信工具等處理、傳遞、轉(zhuǎn)發(fā)和敏感信息。
四、加強(qiáng)網(wǎng)站信息審查監(jiān)管
各單位通過(guò)門(mén)戶(hù)網(wǎng)站在互聯(lián)網(wǎng)上公開(kāi)信息,要遵循不公開(kāi)、公開(kāi)不的原則,按照信息公開(kāi)條例和有關(guān)規(guī)定,建立嚴(yán)格的審查制度。要對(duì)網(wǎng)站上的信息進(jìn)行審核把關(guān),審核內(nèi)容包括:上網(wǎng)信息有無(wú)問(wèn)題;上網(wǎng)信息目前對(duì)外是否適宜;信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上信息,嚴(yán)禁交流傳播信息。堅(jiān)持先審查、后公開(kāi),一事一審、全面審查。各單位網(wǎng)絡(luò)信息審查工作要有領(lǐng)導(dǎo)分管、部門(mén)負(fù)責(zé)、專(zhuān)人實(shí)施。
五、組織開(kāi)展網(wǎng)絡(luò)和信息安全清理檢查
信息系統(tǒng)的安全性、可靠性和有效性不僅是商業(yè)銀行賴(lài)以生存和發(fā)展的重要基礎(chǔ),還關(guān)系到整個(gè)銀行業(yè)的安全和國(guó)家金融體系的穩(wěn)定,因此國(guó)家金融監(jiān)管部門(mén)對(duì)銀行信息科技風(fēng)險(xiǎn)管理日益重視,對(duì)銀行信息科技風(fēng)險(xiǎn)管理提出了明確要求,各商業(yè)銀行也普遍提髙了對(duì)信息科技風(fēng)險(xiǎn)管理的關(guān)注程度。
1.加強(qiáng)信息科技風(fēng)險(xiǎn)管理是金融監(jiān)管部門(mén)高度重視的重要問(wèn)題
中國(guó)銀監(jiān)會(huì)主席劉明康在信息科技風(fēng)險(xiǎn)管理與評(píng)價(jià)審計(jì)工作會(huì)議上指出,根據(jù)近幾年國(guó)際上出現(xiàn)的信息系統(tǒng)故障事件分析,如果銀行信息系統(tǒng)中斷1小時(shí),將直接影響該行的基本支付業(yè)務(wù);中斷1天,將對(duì)其聲譽(yù)造成極大傷害;中斷2?3天以上不能恢復(fù),將直接危及銀行乃至整個(gè)金融系統(tǒng)的穩(wěn)定。這在一定程度上反映了國(guó)家金融監(jiān)管部門(mén)對(duì)信息科技風(fēng)險(xiǎn)的深刻認(rèn)識(shí)和日益重視。2008年7月,銀監(jiān)會(huì)頒發(fā)了《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問(wèn)責(zé)方案》,明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責(zé)任人,并要求逐級(jí)簽訂信息系統(tǒng)安全保障責(zé)任書(shū)。同時(shí),中國(guó)人民銀行、銀監(jiān)會(huì)組織全國(guó)金融機(jī)構(gòu)開(kāi)展了奧運(yùn)信息科技風(fēng)險(xiǎn)全面自查工作,并相繼對(duì)各主要商業(yè)銀行進(jìn)行了現(xiàn)場(chǎng)專(zhuān)項(xiàng)檢查;國(guó)家審計(jì)署也在對(duì)6家大型商業(yè)銀行的2008年度全面審計(jì)工作中首次引入了信息科技審計(jì)的內(nèi)容,著重從信息安全的角度出發(fā),站在維護(hù)國(guó)家金融穩(wěn)定和國(guó)家安全的髙度,分析當(dāng)前我國(guó)銀行業(yè)信息科技工作面臨的主要風(fēng)險(xiǎn),并提出了有針對(duì)性的改進(jìn)建議。國(guó)家有關(guān)監(jiān)管和審計(jì)部門(mén)推出的這些卓有成效的管理措施,對(duì)銀行不斷改進(jìn)和完善信息科技風(fēng)險(xiǎn)管理工作具有十分重要的指導(dǎo)意義,充分體現(xiàn)出了我國(guó)政府對(duì)銀行業(yè)信息科技風(fēng)險(xiǎn)管理的尚度重視。
2.加強(qiáng)信息科技風(fēng)險(xiǎn)管理是新《巴塞爾資本協(xié)議》的基本要求
在2004年正式公布的新《巴塞爾資本協(xié)議》中,重新修訂了銀行風(fēng)險(xiǎn)的分類(lèi)和定義,強(qiáng)調(diào)銀行在進(jìn)行風(fēng)險(xiǎn)管理的時(shí)候,不僅要重視傳統(tǒng)的信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn),而且要將防范操作風(fēng)險(xiǎn)放在一個(gè)重要的地位,并將信息科技風(fēng)險(xiǎn)明確劃歸操作風(fēng)險(xiǎn)的范疇,從而使得信息科技風(fēng)險(xiǎn)管理成為了銀行全面風(fēng)險(xiǎn)管理體系中的重要組成部分。
3.加強(qiáng)信息科技風(fēng)險(xiǎn)管理是銀行提高IT治理水平的需要
根據(jù)IT治理模型,IT風(fēng)險(xiǎn)管理與戰(zhàn)略一致性、資源管理、績(jī)效評(píng)估等構(gòu)成IT治理總體架構(gòu),而且是其中的一個(gè)重要方面。隨著各家銀行信息化建設(shè)的深入,對(duì)信息科技風(fēng)險(xiǎn)的認(rèn)識(shí)也在逐步加深,從單一的信息安全轉(zhuǎn)變?yōu)楹w生產(chǎn)運(yùn)行、應(yīng)用研發(fā)、信息安全等方面的全面IT風(fēng)險(xiǎn)管理,信息科技風(fēng)險(xiǎn)管理水平體現(xiàn)了銀行的信息化程度和整體的風(fēng)險(xiǎn)管理水平。在商業(yè)銀行完成股份制改造和上市之后,商業(yè)銀行已普遍認(rèn)識(shí)到信息科技方面一旦發(fā)生風(fēng)險(xiǎn)事件,不僅會(huì)影響業(yè)務(wù)的正常辦理,還可能會(huì)對(duì)銀行的聲譽(yù)和市值產(chǎn)生負(fù)面影響,因此更加重視信息科技風(fēng)險(xiǎn)管理,對(duì)加強(qiáng)信息科技風(fēng)險(xiǎn)管理提出了更髙的要求。
二、加強(qiáng)信息科技風(fēng)險(xiǎn)管理的相應(yīng)舉措
根據(jù)國(guó)際權(quán)威機(jī)構(gòu)信息系統(tǒng)審計(jì)與控制委員會(huì)(ISACA)的信息系統(tǒng)風(fēng)險(xiǎn)控制和IT審計(jì)工作的最佳實(shí)踐指南,信息科技風(fēng)險(xiǎn)管理應(yīng)關(guān)注IT治理、軟件生命周期管理(即項(xiàng)目開(kāi)發(fā)與變更)、IT服務(wù)交付與支持(即系統(tǒng)運(yùn)行維護(hù))、信息安全、業(yè)務(wù)連續(xù)性管理等五大領(lǐng)域。在上述領(lǐng)域,各家商業(yè)銀行紛紛采取了各種風(fēng)險(xiǎn)管理措施。下面以中國(guó)工商銀行股份有限公司(以下簡(jiǎn)稱(chēng)“工商銀行”)為例進(jìn)行介紹。
多年來(lái),工商銀行堅(jiān)持“科技興行'“科技引領(lǐng)”發(fā)展戰(zhàn)略,建立了集約化的科技組織體系,并逐步建立了與國(guó)際大銀行相適應(yīng)的先進(jìn)的科技體系和技術(shù)平臺(tái)。自2006年起,工商銀行正式將信息科技風(fēng)險(xiǎn)納入了全行風(fēng)險(xiǎn)管理體系,作為操作風(fēng)險(xiǎn)管理的重要內(nèi)容,并在信息科技風(fēng)險(xiǎn)管理方面開(kāi)展了大量工作。
1.信息科技風(fēng)險(xiǎn)管理組織體系工商銀行成立了信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組,由行長(zhǎng)擔(dān)任組長(zhǎng),主管副行長(zhǎng)任副組長(zhǎng),信息科技部、辦公室、個(gè)人金融部、運(yùn)行管理部等相關(guān)部門(mén)負(fù)責(zé)人為成員,負(fù)責(zé)領(lǐng)導(dǎo)和組織信息系統(tǒng)重大事件的應(yīng)急處理、災(zāi)難備份和恢復(fù)、計(jì)算機(jī)信息系統(tǒng)的安全防護(hù)等工作??萍疾块T(mén)定期向董事會(huì)、行長(zhǎng)辦公會(huì)、技術(shù)審查委員會(huì)、風(fēng)險(xiǎn)管理委員會(huì)匯報(bào)信息科技風(fēng)險(xiǎn)管理工作。同時(shí),工商銀行總行以及分行的科技部門(mén)均設(shè)有負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理的部門(mén),建立了一支專(zhuān)業(yè)的風(fēng)險(xiǎn)防護(hù)隊(duì)伍,為加強(qiáng)信息科技風(fēng)險(xiǎn)管理提供了組織保障。
2008年,國(guó)家有關(guān)監(jiān)管、審計(jì)部門(mén)對(duì)工商銀行目前的信息科技風(fēng)險(xiǎn)管理情況都給予了較髙的評(píng)價(jià),認(rèn)為工商銀行構(gòu)建了較完整的信息科技治理結(jié)構(gòu),構(gòu)成了信息科技管理、信息科技風(fēng)險(xiǎn)管理和信息科技審計(jì)三道防線(xiàn)。
2.項(xiàng)目開(kāi)發(fā)管理
針對(duì)由于版本質(zhì)量造成的應(yīng)用研發(fā)風(fēng)險(xiǎn),工商銀行采取了一系列措施,嚴(yán)格保障應(yīng)用系統(tǒng)研發(fā)質(zhì)量。一是不斷改進(jìn)研發(fā)和測(cè)試管理流程,加強(qiáng)需求管理、項(xiàng)目方案審查、研發(fā)過(guò)程管理和項(xiàng)目質(zhì)量控制;二是及時(shí)優(yōu)化調(diào)整應(yīng)用版本、測(cè)試和投產(chǎn)策略,針對(duì)版本投產(chǎn)比較頻繁等情況,明確了“版本集中投產(chǎn)”的原則,切實(shí)降低因版本投產(chǎn)和生產(chǎn)變更帶來(lái)的風(fēng)險(xiǎn)隱患;三是與業(yè)務(wù)部門(mén)密切配合,力卩強(qiáng)溝通和協(xié)調(diào),實(shí)現(xiàn)風(fēng)險(xiǎn)共擔(dān)。
3.運(yùn)行維護(hù)和操作管理
生產(chǎn)運(yùn)行風(fēng)險(xiǎn)是信息科技風(fēng)險(xiǎn)的突出表現(xiàn),并且根據(jù)實(shí)際情況統(tǒng)計(jì),大約有50%的生產(chǎn)運(yùn)行風(fēng)險(xiǎn)是由管理操作原因引起的。為此,工商銀行始終堅(jiān)持“將確保信息系統(tǒng)安全穩(wěn)定運(yùn)行放在信息科技工作首位”的指導(dǎo)思想,并持續(xù)強(qiáng)化運(yùn)行管理操作的各項(xiàng)措施,降低系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。一是建立了全行統(tǒng)一集中的監(jiān)控管理平臺(tái)(ECC),對(duì)主機(jī)和開(kāi)放平臺(tái)等各類(lèi)應(yīng)用系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控,實(shí)現(xiàn)生產(chǎn)操作、監(jiān)控的自動(dòng)化;二是通過(guò)部署幫助臺(tái)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、性能容量管理系統(tǒng)、資源管理系統(tǒng)等工具和系統(tǒng),逐步提髙生產(chǎn)運(yùn)行管理的自動(dòng)化程度;三是建立了完備的應(yīng)急管理體系,明確了應(yīng)急預(yù)案和流程,確保出現(xiàn)緊急事件情況下能夠進(jìn)行妥善處理,將事件影響降至最低。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的內(nèi)部控制體系,通過(guò)技術(shù)和管理手段,確保銀行信息系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性和可用性。為此,工商銀行建立了一支專(zhuān)門(mén)的信息安全防護(hù)隊(duì)伍,及時(shí)分析和解決存在的各類(lèi)信息安全隱患。同時(shí),積極落實(shí)信息安全體系規(guī)范和信息安全等級(jí)保護(hù)措施,部署了入侵檢測(cè)、漏洞掃描等一系列信息安全防護(hù)工具,實(shí)施了客戶(hù)端安全管理。由于采取了及時(shí)有效的防御措施,假冒網(wǎng)站、網(wǎng)絡(luò)攻擊等事件雖然時(shí)有發(fā)生,伹沒(méi)有對(duì)信息系統(tǒng)的穩(wěn)定運(yùn)行造成不良影響。特別是在北京奧運(yùn)會(huì)期間,工商銀行成功抵御了針對(duì)網(wǎng)上銀行系統(tǒng)的惡意攻擊,保障了電子銀行業(yè)務(wù)正常開(kāi)展,維護(hù)了企業(yè)聲譽(yù)。
5.業(yè)務(wù)連續(xù)性管理
多年來(lái),工商銀行始終堅(jiān)持“數(shù)據(jù)集中處理、主機(jī)災(zāi)難備份、平臺(tái)多點(diǎn)接入、業(yè)務(wù)跨區(qū)受理”的原則開(kāi)展信息系統(tǒng)技術(shù)體系建設(shè),自行建立了國(guó)內(nèi)同業(yè)領(lǐng)先的完善的技術(shù)災(zāi)備體系。2003年以后,工商銀行建立了核心業(yè)務(wù)異地災(zāi)難備份系統(tǒng),實(shí)施了同城磁盤(pán)鏡像,成為國(guó)內(nèi)同業(yè)第一家同時(shí)具備同城和異地災(zāi)備系統(tǒng)的銀行,為保障信息系統(tǒng)的連續(xù)性運(yùn)行奠定了技術(shù)基礎(chǔ)。與此同時(shí),工商銀行依靠自身力量制定了《信息系統(tǒng)連續(xù)性運(yùn)作計(jì)劃(ITCP)》,并從2005年開(kāi)始,每年都進(jìn)行一次全行業(yè)務(wù)級(jí)災(zāi)難恢復(fù)應(yīng)急演練,模擬在上海的生產(chǎn)中心發(fā)生災(zāi)難或信息系統(tǒng)長(zhǎng)時(shí)間無(wú)法得到恢復(fù)的情況下,將全行核心業(yè)務(wù)切換到北京的災(zāi)備中心的技術(shù)和業(yè)務(wù)處理,有效保障了災(zāi)備系統(tǒng)的有效性。
三、加強(qiáng)信息科技風(fēng)險(xiǎn)管理需要思考的若干問(wèn)題
目前,商業(yè)銀行在實(shí)施信息科技風(fēng)險(xiǎn)管理過(guò)程中主要面對(duì)以下幾方面的問(wèn)題。
1.要關(guān)注信息科技風(fēng)險(xiǎn)計(jì)量和相關(guān)標(biāo)準(zhǔn)規(guī)范體系建設(shè)
對(duì)于銀行來(lái)說(shuō),操作風(fēng)險(xiǎn)本身就是一種比較難以控制的風(fēng)險(xiǎn),目前世界銀行業(yè)也沒(méi)有一種公認(rèn)的成熟方法來(lái)計(jì)量。新《巴塞爾資本協(xié)議》要求2007年所有的銀行都要開(kāi)始按照協(xié)議規(guī)定的三種方法中的一種來(lái)計(jì)算經(jīng)濟(jì)資本,進(jìn)而控制操作風(fēng)險(xiǎn)。伹據(jù)調(diào)查,60%以上的銀行未從2007年開(kāi)始對(duì)操作風(fēng)險(xiǎn)實(shí)行量化管理,大多數(shù)銀行的預(yù)期實(shí)施時(shí)間是2010年?2012年??梢?jiàn),銀行業(yè)在對(duì)于整個(gè)操作風(fēng)險(xiǎn)的管理體系、流程、計(jì)量方法和工具等方面的探索還遠(yuǎn)遠(yuǎn)落后于傳統(tǒng)的信用風(fēng)險(xiǎn)和市場(chǎng)風(fēng)險(xiǎn)管理等領(lǐng)域。而銀行信息科技風(fēng)險(xiǎn)除了人為誤操作因素以外,還與日趨復(fù)雜的信息系統(tǒng)軟硬件環(huán)境直接相關(guān),因此要對(duì)其進(jìn)行科學(xué)、準(zhǔn)確的度量和評(píng)估,存在更大難度。從全球范圍來(lái)看,盡管?chē)?guó)際上一些大銀行在信息科技風(fēng)險(xiǎn)管理方面已經(jīng)積累了一定的經(jīng)驗(yàn),伹迄今為止真正構(gòu)建出有效的、完善的、可量化的信息科技風(fēng)險(xiǎn)管理體系的銀行卻為數(shù)寥寥。因此,國(guó)內(nèi)銀行業(yè)需要首先考慮建立一套量化的指標(biāo)體系,科學(xué)衡量銀行的信息科技風(fēng)險(xiǎn)。同時(shí),建議相關(guān)主管部門(mén)牽頭在信息科技管理領(lǐng)域建立相應(yīng)的標(biāo)準(zhǔn)規(guī)范,以指導(dǎo)和促進(jìn)國(guó)內(nèi)商業(yè)銀行提髙信息科技風(fēng)險(xiǎn)管理的規(guī)范化、標(biāo)準(zhǔn)化水平。
2.正確認(rèn)識(shí)災(zāi)難備份體系建設(shè)的內(nèi)涵
建立完備的災(zāi)備體系對(duì)銀行的重要意義毋庸置疑,伹災(zāi)備體系建設(shè)應(yīng)遵循什么樣的標(biāo)準(zhǔn)和原則,是否所有銀行系統(tǒng)都遵循同樣的標(biāo)準(zhǔn)建設(shè)災(zāi)備系統(tǒng),是商業(yè)銀行在災(zāi)備體系規(guī)劃和建設(shè)過(guò)程中需要認(rèn)真考慮的問(wèn)題。通常情況下,銀行可以根據(jù)業(yè)務(wù)系統(tǒng)的重要性、災(zāi)難恢復(fù)的時(shí)效性要求和銀行自身的風(fēng)險(xiǎn)承受能力等因素,參考相關(guān)國(guó)際標(biāo)準(zhǔn)n,綜合評(píng)定劃分災(zāi)備等級(jí),確定業(yè)務(wù)恢復(fù)時(shí)間(RTO)、業(yè)務(wù)丟失時(shí)間(RPO)等關(guān)鍵指標(biāo),在此基礎(chǔ)上,遵循成本效益的原則,按照相應(yīng)的標(biāo)準(zhǔn)開(kāi)展災(zāi)備建設(shè)。目前,國(guó)外現(xiàn)代化商業(yè)銀行普遍采用此種做法,首先確定系統(tǒng)的災(zāi)備等級(jí),并相應(yīng)實(shí)施不同的災(zāi)備策略,重點(diǎn)對(duì)關(guān)鍵設(shè)施和系統(tǒng)實(shí)施髙等級(jí)的災(zāi)備保護(hù)措施。
因此,建議國(guó)內(nèi)相關(guān)行業(yè)主管部門(mén)積極引導(dǎo)各商業(yè)銀行根據(jù)實(shí)際情況,采取分級(jí)實(shí)施、逐步推進(jìn)的原則,借鑒國(guó)外銀行的先進(jìn)經(jīng)驗(yàn),優(yōu)先確保關(guān)鍵設(shè)施和重要業(yè)務(wù)系統(tǒng)的連續(xù)性運(yùn)作,在實(shí)現(xiàn)災(zāi)備體系建設(shè)目標(biāo)的同時(shí),也相應(yīng)降低建設(shè)和維護(hù)的成本。
3.信息科技風(fēng)險(xiǎn)管理需要業(yè)務(wù)部門(mén)的關(guān)注和共同參與
與應(yīng)用產(chǎn)品創(chuàng)新工作需要科技部門(mén)和業(yè)務(wù)部門(mén)共同完成類(lèi)似,雖然信息科技風(fēng)險(xiǎn)管理更多關(guān)注的是IT領(lǐng)域,伹其中相當(dāng)一部分內(nèi)容與業(yè)務(wù)部門(mén)息息相關(guān)。
在業(yè)務(wù)連續(xù)性管理方面,在科技部門(mén)建成了災(zāi)備系統(tǒng)的基礎(chǔ)上,需要業(yè)務(wù)部門(mén)制定業(yè)務(wù)層面的應(yīng)急計(jì)劃,指導(dǎo)業(yè)務(wù)人員在信息系統(tǒng)中斷和恢復(fù)時(shí)進(jìn)行業(yè)務(wù)的應(yīng)急處理,從而與科技部門(mén)協(xié)同開(kāi)展應(yīng)急恢復(fù)工作。
[關(guān)鍵詞]企業(yè)安全;信息管理;設(shè)計(jì);實(shí)現(xiàn)
doi:10.3969/j.issn.1673-0194.2015.08.057
[中圖分類(lèi)號(hào)]TP311.52 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2015)08-0075-02
近年來(lái),企業(yè)安全事故層出不窮,信息安全引起了越來(lái)越多企業(yè)管理者的重視,成為各個(gè)企業(yè)不容忽視的關(guān)鍵問(wèn)題。為了加強(qiáng)企業(yè)信息安全,不少企業(yè)開(kāi)始設(shè)立獨(dú)立部門(mén)對(duì)企業(yè)的信息安全進(jìn)行專(zhuān)業(yè)管理,并開(kāi)始培養(yǎng)專(zhuān)業(yè)的信息安全管理人才。
1 企業(yè)安全信息管理平臺(tái)的問(wèn)題
1.1 安全意識(shí)不強(qiáng)
企業(yè)要重視信息安全并實(shí)施管控,信息安全管理的成敗取決于員工的安全意識(shí)。人員安全意識(shí)欠缺,導(dǎo)致政令不通,監(jiān)督不力,執(zhí)行不暢,往往導(dǎo)致信息外泄、系統(tǒng)故障等安全事故。只有樹(shù)立直接執(zhí)行人員牢固的信息安全意識(shí),形成企業(yè)安全文化,企業(yè)信息安全才能真正長(zhǎng)治久安。員工信息安全意識(shí)的提升并非一日之功,也不是通過(guò)簡(jiǎn)單的一兩次培訓(xùn)就能奏效,而是一項(xiàng)持續(xù)的、長(zhǎng)期的、有計(jì)劃的、多種方式并用的綜合性工作。信息安全意識(shí)提升面向企業(yè)廣泛的受眾,其內(nèi)容涵蓋信息安全相關(guān)各個(gè)領(lǐng)域,重點(diǎn)針對(duì)員工日常工作和個(gè)人行為,關(guān)注各種可能因個(gè)人行為不當(dāng)或警惕性不強(qiáng)而引發(fā)的信息安全隱患和事故。由于目標(biāo)對(duì)象的不同,信息安全意識(shí)提升內(nèi)容會(huì)呈現(xiàn)出不同的形式、程度,從簡(jiǎn)潔明了的宣傳語(yǔ),到淺顯易懂的安全提示,再到全面具體的安全手冊(cè),建立企業(yè)專(zhuān)門(mén)的信息安全知識(shí)庫(kù),滿(mǎn)足不同方面和不同層次的需要。
1.2 缺乏專(zhuān)業(yè)人才
隨著經(jīng)濟(jì)社會(huì)的不斷發(fā)展,企業(yè)對(duì)于信息安全管理人才的需求也越來(lái)越大。任何組織都是由人組成的,沒(méi)有人才,組織就不能取得長(zhǎng)遠(yuǎn)發(fā)展,更談不上不斷進(jìn)步和自我完善。企業(yè)的發(fā)展需要不斷補(bǔ)充新的人才。對(duì)于多數(shù)企業(yè)來(lái)說(shuō),信息安全管理人員的素質(zhì)決定了單位能否長(zhǎng)遠(yuǎn)發(fā)展。信息安全管理是最近幾年才興起的,很多企業(yè)還沒(méi)有配備相關(guān)人才,不少高校也尚未開(kāi)展相關(guān)專(zhuān)業(yè),培養(yǎng)信息安全管理方面的人才,國(guó)家對(duì)于信息安全管理專(zhuān)業(yè)的投入也不夠。社會(huì)整體尚未形成重視信息安全管理的氛圍。目前,不少企業(yè)的信息安全管理人員十分匱乏,很多企業(yè)沒(méi)有專(zhuān)門(mén)的信息安全管理機(jī)構(gòu),因此也沒(méi)有配備相應(yīng)的信息安全管理人員。只有少數(shù)企業(yè)認(rèn)識(shí)到信息安全管理的重要性,設(shè)立了相應(yīng)的信息安全管理機(jī)構(gòu)。但在這些企業(yè)當(dāng)中,多數(shù)企業(yè)的信息安全管理機(jī)構(gòu)十分簡(jiǎn)陋,相關(guān)設(shè)備也不夠健全,專(zhuān)業(yè)人員的配備也存在缺失,有的企業(yè)雖然配備有信息安全管理人員,但這些人員多數(shù)沒(méi)有接受過(guò)系統(tǒng)的知識(shí)培訓(xùn),經(jīng)驗(yàn)不夠豐富,責(zé)任心不強(qiáng),不能履行信息安全管理人員的基本職責(zé)。信息安全管理人員素質(zhì)不高和專(zhuān)業(yè)人才的缺失,是企業(yè)的發(fā)展的阻礙,嚴(yán)重影響了企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。
1.3 監(jiān)管制度缺失
完善、科學(xué)的信息安全監(jiān)管制度對(duì)于企業(yè)的發(fā)展具有十分重要的意義和作用。行為規(guī)范制度是指導(dǎo)工作人員進(jìn)行相關(guān)操作的準(zhǔn)則和辦法,只有建立一套系統(tǒng)的信息安全監(jiān)管制度,才能規(guī)范信息安全管理人員的行為,使操作有據(jù)可依,信息安全管理人員對(duì)自身行為負(fù)起責(zé)任。目前我國(guó)信息安全管理制度仍不健全,不少企業(yè)沒(méi)有建立起一套完善的內(nèi)部控制制度,使得很多行為沒(méi)有操作依據(jù),信息安全管理人員的行為無(wú)法有效約束,出現(xiàn)了許多不負(fù)責(zé)任的行為。這些行為不僅阻礙了企業(yè)的發(fā)展,也影響了企業(yè)的聲譽(yù),不利于后續(xù)工作的開(kāi)展。因此,必須建立健全企業(yè)信息安全監(jiān)管制度,為企業(yè)后續(xù)活動(dòng)的開(kāi)展提供保障。
1.4 管理技術(shù)落后
信息安全管理需要先進(jìn)的管理技術(shù)和安全技術(shù),為信息安全管理提供有力的技術(shù)支持。企業(yè)在發(fā)展過(guò)程中,開(kāi)發(fā)了一系列信息安全管理技術(shù)和管理技巧,發(fā)揮了一定的作用。但隨著經(jīng)濟(jì)社會(huì)的發(fā)展和科技的日新月異,不少技術(shù)已經(jīng)無(wú)法跟上時(shí)代步伐,很多技術(shù)面臨淘汰。這些管理技巧不但不能給企業(yè)帶來(lái)益處,反而有可能影響企業(yè)的信息安全。因此必須緊跟時(shí)代步伐,了解最新的信息安全管理技巧,結(jié)合企業(yè)實(shí)際情況,開(kāi)發(fā)符合時(shí)代要求的管理技巧。同時(shí),積極了解最新科技動(dòng)態(tài),將適合于本企業(yè)的技術(shù)運(yùn)用到企業(yè)的信息安全管理過(guò)程中。
2 如何完善企業(yè)安全信息管理平臺(tái)設(shè)計(jì)
2.1 增強(qiáng)信息安全管理意識(shí)
提高信息安全管理意識(shí)是完善企業(yè)信息安全管理的重要前提和關(guān)鍵因素。只要具備良好的內(nèi)部安全控制意識(shí),才能順利開(kāi)展后續(xù)工作。企業(yè)管理者必須深切意識(shí)到信息安全管理對(duì)于企業(yè)發(fā)展的重要性和必要性,加大投資力度,及時(shí)發(fā)現(xiàn)企業(yè)信息安全管理中存在的問(wèn)題和不足。必須加強(qiáng)對(duì)企業(yè)信息安全管理的重視,切實(shí)意識(shí)到信息安全管理對(duì)于企業(yè)發(fā)展的重要性,加大資金投入,確保企業(yè)信息安全管理良好運(yùn)作。
2.2 加強(qiáng)人員的素質(zhì)培訓(xùn)
人才對(duì)于企事業(yè)單位的發(fā)展具有不容忽視的作用。單位的競(jìng)爭(zhēng)歸根結(jié)底是人才的競(jìng)爭(zhēng)。信息安全管理人員的素質(zhì)對(duì)于企業(yè)的發(fā)展具有重要作用,具有良好素質(zhì)的信息安全管理人員可以促進(jìn)企業(yè)的快速發(fā)展。企業(yè)必須重視對(duì)信息安全管理人員的培訓(xùn)和投資。信息安全管理人員的投資包括設(shè)備的更新,資金的投入和專(zhuān)業(yè)教育的提升。同時(shí),要鼓勵(lì)信息安全管理人員學(xué)習(xí)最新的信息安全知識(shí),不斷更新已有知識(shí),緊跟時(shí)代的步伐。企業(yè)不僅要注重提高信息安全管理人員的專(zhuān)業(yè)素養(yǎng),也要重視對(duì)企業(yè)信息安全管理人員的道德培養(yǎng)。只有專(zhuān)業(yè)知識(shí)而缺乏道德素養(yǎng)的工作人員,不僅不能給企業(yè)帶來(lái)效益,反而會(huì)危害企業(yè)發(fā)展,因此必須重視企業(yè)信息安全管理人員的道德素養(yǎng)。信息安全必須不斷加強(qiáng)對(duì)信息安全管理人員的培訓(xùn),切實(shí)全面提高信息安全管理人員素質(zhì),增強(qiáng)信息安全管理人員靈活處理各項(xiàng)事務(wù)的能力,不斷鞏固自身基礎(chǔ)知識(shí),培養(yǎng)信息安全管理人員的責(zé)任心和創(chuàng)新精神,真正做到與時(shí)俱進(jìn)。只有不斷提升企業(yè)的信息安全管理人員素質(zhì),才能從整體上提升企事業(yè)單位的安全管理工作效率,促進(jìn)企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。
2.3 強(qiáng)化信息安全監(jiān)督管理
監(jiān)督工作對(duì)于企業(yè)的發(fā)展具有重要作用和意義。良好的監(jiān)督是企事業(yè)單位正?;顒?dòng)的前提。沒(méi)有完善的監(jiān)督體系,企事業(yè)單位很難確保業(yè)務(wù)的正常開(kāi)展。企事業(yè)單位應(yīng)強(qiáng)化信息安全監(jiān)督工作,建立相應(yīng)的監(jiān)督管理機(jī)構(gòu),對(duì)企業(yè)內(nèi)部各項(xiàng)經(jīng)濟(jì)活動(dòng)進(jìn)行有計(jì)劃地控制,及時(shí)發(fā)現(xiàn)企事業(yè)單位存在的問(wèn)題,同時(shí)應(yīng)加強(qiáng)信息安全管理工作,不斷提升工作效率。凡事預(yù)則立,不預(yù)則廢。除了做好信息安全管理的內(nèi)部監(jiān)督工作外,不斷加強(qiáng)信息安全管理的外部監(jiān)督工作也是十分重要的環(huán)節(jié)。外部監(jiān)督主要包括新聞媒體監(jiān)督和社會(huì)大眾監(jiān)督。企事業(yè)單位管理者要認(rèn)識(shí)到內(nèi)部管理的不足之處,認(rèn)真改正有缺陷的地方,不斷完善內(nèi)部控制建設(shè)。同時(shí),也要不斷加強(qiáng)新聞媒體的監(jiān)督作用,發(fā)揮輿論的監(jiān)督作用。內(nèi)部控制是一項(xiàng)巨大的完整的工程,具有完善的體系和結(jié)構(gòu),必須保證每個(gè)環(huán)節(jié)落實(shí)到位,才能確保整個(gè)體系的良性運(yùn)行,從而發(fā)揮出最大的效益。
2.4 提高信息安全管理技巧
除此之外,信息安全管理技巧對(duì)于企事業(yè)單位的發(fā)展具有重要意義。不同的控制技巧適用于不同的企事業(yè)單位,也會(huì)產(chǎn)生不同的效果。企事業(yè)單位采取適合本單位的內(nèi)部控制技巧,可以提高企事業(yè)單位的行政效率。隨著時(shí)代的發(fā)展和進(jìn)步,傳統(tǒng)的信息安全管理技巧已經(jīng)不適用于現(xiàn)代企業(yè)。因此,企業(yè)必須根據(jù)時(shí)代的發(fā)展,提升自身信息安全管理技巧,摒棄舊有落后工作模式。另外,在實(shí)施信息安全管理技巧時(shí),必須考慮到事業(yè)單位的實(shí)際運(yùn)作情況,切忌生搬硬套。應(yīng)根據(jù)企事業(yè)單位的具體情況,有針對(duì)性地提高信息安全管理的技巧,逐步解決企事業(yè)單位在實(shí)施信息安全管理時(shí)遇到的難題。
主要參考文獻(xiàn)
[1]侯衛(wèi)超.企業(yè)信息安全現(xiàn)狀分析與管理對(duì)策[J].科技信息:科學(xué)教研,2007(28).
[2]王超,林峰.高校校園網(wǎng)絡(luò)安全管理策略[J].科技資訊,2007(20).
安全管理在任何領(lǐng)域都是不可忽視的重要問(wèn)題,高校作為國(guó)家孕育和培養(yǎng)高素質(zhì)人才的基地,主要面對(duì)的人群是尚未步入社會(huì)、毫無(wú)實(shí)踐經(jīng)驗(yàn)的青年人,安全管理顯示著對(duì)國(guó)家未來(lái)人才的負(fù)責(zé)任態(tài)度。計(jì)算機(jī)作為一種基本的學(xué)習(xí)和交流工具,在高校內(nèi)已全面覆蓋應(yīng)用,對(duì)龐大的計(jì)算機(jī)數(shù)據(jù)和設(shè)備進(jìn)行信息化安全管理同樣是對(duì)使用人群的負(fù)責(zé)任表現(xiàn)。通過(guò)以下幾點(diǎn)對(duì)信息化安全在高校計(jì)算機(jī)管理中的應(yīng)用進(jìn)行闡述。
1加強(qiáng)硬件設(shè)備安全管理
1.1設(shè)置保密度高的登錄密碼
在計(jì)算機(jī)安全管理過(guò)程中,若網(wǎng)絡(luò)終端的登錄口令太過(guò)簡(jiǎn)單,使用重復(fù)率較高或是較簡(jiǎn)單的口令,如“123456”、“888888”等,極容易造成信息泄露的情況。高校要想加強(qiáng)網(wǎng)絡(luò)終端設(shè)備的安全管理,首要將原本簡(jiǎn)單的登錄口令更換為保密度較高、較復(fù)雜的口令,如可以在密碼中加入字母、數(shù)字、特殊符號(hào)等,或者還可以使用專(zhuān)業(yè)的動(dòng)態(tài)密碼登錄設(shè)備,在每次登錄時(shí)會(huì)隨機(jī)生成新密碼,可防止固定密碼被破解。另外,還應(yīng)加強(qiáng)教師和學(xué)生使用計(jì)算機(jī)的安全意識(shí),要注意使用計(jì)算機(jī)時(shí)無(wú)意彈出的網(wǎng)絡(luò)連接、下載程序和電子郵件等。
1.2加強(qiáng)控制外部接入設(shè)備
在計(jì)算機(jī)安全管理過(guò)程中,還應(yīng)加強(qiáng)控制外部設(shè)備端口的安全管理,如串口、USB以及紅外等;同時(shí)還應(yīng)加強(qiáng)控制移動(dòng)設(shè)備的安全管理,如無(wú)線(xiàn)、光驅(qū)、打印機(jī)等。對(duì)計(jì)算機(jī)外部接入設(shè)備的安全管理可分為只讀、禁止與安全三個(gè)層次,管理人員可通過(guò)授權(quán)認(rèn)證制度在發(fā)現(xiàn)違規(guī)操作或違規(guī)接入行為時(shí),立即給予警告和制止。此外,還應(yīng)設(shè)置安全管理系統(tǒng),對(duì)外接設(shè)備的文件傳輸進(jìn)行監(jiān)控和跟蹤,如文件復(fù)制、增加或刪除等,以避免發(fā)生信息泄露的情況。
1.3加強(qiáng)控制計(jì)算機(jī)網(wǎng)絡(luò)終端
以往傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)終端使用分散式管理,沒(méi)有系統(tǒng)性的安全策略,且無(wú)整體防御措施。因此,計(jì)算機(jī)安全管理人員應(yīng)從網(wǎng)絡(luò)終端安全管理開(kāi)始監(jiān)管。通過(guò)網(wǎng)絡(luò)終端接口認(rèn)證、安全策略服務(wù)器和全網(wǎng)絡(luò)客戶(hù)端等設(shè)備,對(duì)所以不符合安全管理要求的終端均控制在隔離區(qū)外。在必要時(shí),可實(shí)施拒接入網(wǎng),或是可以將通過(guò)安全監(jiān)測(cè)的網(wǎng)絡(luò)終端直接接入內(nèi)部網(wǎng)絡(luò),從而實(shí)現(xiàn)從源頭上對(duì)計(jì)算機(jī)網(wǎng)絡(luò)終端進(jìn)行安全控制和監(jiān)管的目標(biāo)。
2加強(qiáng)信息存儲(chǔ)安全管理
高校的計(jì)算機(jī)信息化安全管理應(yīng)建立一個(gè)統(tǒng)一的管理體系,由網(wǎng)絡(luò)安全管理軟件、檢測(cè)系統(tǒng)、防火墻、殺毒軟件等組成,對(duì)信息安全性、完整性、合規(guī)性進(jìn)行管理。其中信息安全性管理包括程序安全管理、物理安全管理、數(shù)據(jù)安全管理;信息完整性管理主要對(duì)應(yīng)用程序安全與軟件質(zhì)量進(jìn)行安全管理;信息合規(guī)性管理是指保證信息和信息的使用符合法律法規(guī)的要求。
2.1建立檢測(cè)系統(tǒng)
大多數(shù)的高校計(jì)算機(jī)信息方面的泄露事件或攻擊事件均發(fā)生于高校內(nèi)部網(wǎng)絡(luò),其中內(nèi)部人員的使用和操作是防火墻的盲區(qū)。因此,計(jì)算機(jī)信息安全管理人員應(yīng)加強(qiáng)對(duì)計(jì)算機(jī)信息安全的管理,建立信息安全管理檢測(cè)系統(tǒng),不僅可以彌補(bǔ)防火墻的不足,還可為信息安全提供全程檢測(cè),在發(fā)現(xiàn)異常情況時(shí)可以立即采取相應(yīng)措施進(jìn)行防護(hù)和修復(fù)。
2.2病毒的過(guò)濾及防護(hù)
計(jì)算機(jī)信息安全會(huì)受到多方面、多領(lǐng)域的病毒威脅,其中主要包括移動(dòng)硬盤(pán)、光碟、U盤(pán)和互聯(lián)網(wǎng)等,為減少病毒的入侵和損害,大多數(shù)情況下會(huì)使用多層病毒防護(hù)體系來(lái)進(jìn)行全網(wǎng)統(tǒng)一殺毒措施。其中全網(wǎng)分布式病毒防護(hù)的重要措施之一是在互聯(lián)網(wǎng)的網(wǎng)關(guān)上設(shè)置病毒過(guò)濾網(wǎng)關(guān)硬件,優(yōu)化的殺毒軟件可避免錯(cuò)失防毒殺毒的最佳時(shí)機(jī)。
2.3防火墻設(shè)置
防火墻是設(shè)置不同網(wǎng)絡(luò)之間所有部件的組合,是通過(guò)網(wǎng)關(guān)來(lái)對(duì)信息交流進(jìn)行控制。防火墻主要作用是防御外來(lái)網(wǎng)絡(luò)的攻擊,解決外來(lái)者是否被允許訪(fǎng)問(wèn)內(nèi)部服務(wù)、內(nèi)部服務(wù)是否允許外部訪(fǎng)問(wèn)等問(wèn)題。高校計(jì)算機(jī)信息安全管理應(yīng)加強(qiáng)對(duì)防火墻的設(shè)置,以實(shí)現(xiàn)信息安全管理的目標(biāo)。
3結(jié)語(yǔ)
1 數(shù)字檔案信息安全管理中存在的問(wèn)題
1.1 管理者的安全意識(shí)不強(qiáng)
檔案信息化水平不斷提升,這也使檔案信息安全問(wèn)題越來(lái)越突出。當(dāng)前很多檔案管理人員對(duì)于檔案信息安全的重要性和緊迫性缺乏有效的認(rèn)知,特別是當(dāng)前檔案網(wǎng)站安全、計(jì)算機(jī)系統(tǒng)安全等問(wèn)題普遍得不到重視。由于檔案管理者對(duì)數(shù)字檔案信息安全意識(shí)缺乏,這也導(dǎo)致普遍民眾對(duì)數(shù)字檔案信息的安全問(wèn)題更是一無(wú)所知。很大一部分檔案管理人員在日常工作中都沒(méi)有意識(shí)到數(shù)字檔案存在的安全隱患,這些數(shù)字檔案信息可能隨時(shí)消失不見(jiàn),對(duì)風(fēng)險(xiǎn)缺乏有效的認(rèn)知,這也造成數(shù)字檔案信息安全問(wèn)題始終存在,這對(duì)于數(shù)字檔案信息安全管理工作帶來(lái)了較大的挑戰(zhàn)和難度。
1.2 數(shù)字檔案信息安全管理技術(shù)滯后
隨著信息技術(shù)的快速發(fā)展,數(shù)字檔案檔案安全技術(shù)也緊跟信息技術(shù)發(fā)展步伐取得了較快的發(fā)展,但在發(fā)展過(guò)程中存在著技術(shù)層面專(zhuān)業(yè)問(wèn)題的制約,這就導(dǎo)致數(shù)字檔案信息安全管理技術(shù)相對(duì)滯后。在實(shí)際工作中,往往都是檔案信息安全問(wèn)題出現(xiàn)后,數(shù)字檔案信息安全技術(shù)才能針對(duì)出現(xiàn)的問(wèn)題進(jìn)行改進(jìn),從而取得技術(shù)上的發(fā)展。即在數(shù)字檔案信息管理工作中,安全隱患一直存在,風(fēng)險(xiǎn)一直管觀(guān)存在,數(shù)字檔案信息安全時(shí)刻受到威脅,因此要??際工作中需要有效的降低風(fēng)險(xiǎn),即應(yīng)用數(shù)字檔案信息安全技術(shù)來(lái)將風(fēng)險(xiǎn)降至最低水平。
1.3 數(shù)字檔案信息安全管理制度不完善
現(xiàn)今我國(guó)在數(shù)字檔案信息安全領(lǐng)域的制度不夠健全,所以才會(huì)在實(shí)際的數(shù)字檔案信息安全管理中出現(xiàn)許多紕漏。由于數(shù)字信息安全管理制度的殘缺導(dǎo)致我國(guó)的數(shù)字檔案信息安全管理水平普遍偏低。從實(shí)際出發(fā),我國(guó)大部分的檔案管理部門(mén)都制定了相應(yīng)的數(shù)字檔案信息管理制度,許多制度都是為了應(yīng)付檢查才制定的,相互抄襲的情況比較多,這樣的情況就會(huì)造成所制定的制度并不能與實(shí)際的數(shù)字檔案信息安全管理工作相匹配。對(duì)實(shí)際的數(shù)字檔案信息安全管理工作起不到任何制約與指導(dǎo)作用,甚至可能造成安全隱患給數(shù)字檔案信息安全管理工作帶來(lái)不必要的麻煩。
2 加強(qiáng)數(shù)字檔案信息安全管理的策略分析
2.1 加強(qiáng)對(duì)工作人員的培訓(xùn),樹(shù)立安全防范意識(shí)
隨著檔案信息化的不斷發(fā)展,檔案數(shù)字化全面普及率已成為檔案工作發(fā)展的必然趨勢(shì)。為了能夠更好的提高數(shù)字檔案信息管理的安全,需要遵循以人為本原則,重視檔案管理人員的培訓(xùn)工作,努力提高檔案管理人員的專(zhuān)業(yè)技能。在具體培訓(xùn)過(guò)程中,要加強(qiáng)對(duì)檔案管理人員信息安全知識(shí)的講解,使檔案管理人員樹(shù)立安全防范意識(shí),認(rèn)識(shí)到數(shù)字檔案安全管理的重要性,并能夠在實(shí)際工作中利用安全技術(shù)來(lái)維護(hù)數(shù)字檔案信息的安全。培訓(xùn)過(guò)程中還要重視檔案管理人員計(jì)算機(jī)技術(shù)水平的提升,這樣在實(shí)際工作中才能更熟練的應(yīng)用檔案管理系統(tǒng),提高檔案管理系統(tǒng)的先進(jìn)性,從而更好的實(shí)現(xiàn)對(duì)數(shù)字檔案信息的有效管理。
2.2 提高重要信息的加密性和計(jì)算機(jī)的安全性
網(wǎng)絡(luò)環(huán)境的不安全會(huì)影響數(shù)字檔案信息的安全性,因此要加大對(duì)網(wǎng)絡(luò)環(huán)境的保護(hù)力度,提高計(jì)算機(jī)環(huán)境的安全性。為防止重要信息被黑客入侵盜取,要加強(qiáng)對(duì)信息的加密保護(hù),保證數(shù)字檔案信息的保密性,在網(wǎng)絡(luò)層能夠安全、自由的傳遞,特別是對(duì)帶有密級(jí)的數(shù)字檔案信息系統(tǒng),更應(yīng)該加強(qiáng)文件的加密保護(hù)能力,保護(hù)重要的檔案信息。對(duì)計(jì)算機(jī)要定期的清理,防止留下的瀏覽記錄被別有用心的人利用,可能會(huì)從中得到很多私人信息,提高計(jì)算機(jī)系統(tǒng)的安全性。因此在計(jì)算機(jī)上必然安全可靠的殺毒軟件和防火墻,做好安全防范工作,降低計(jì)算機(jī)系統(tǒng)受到病毒破壞及黑客攻擊的可能性,提高計(jì)算機(jī)系統(tǒng)的安全水平。同時(shí)檔案管理人員還要熟練應(yīng)用計(jì)算機(jī)軟件,并定期對(duì)病毒庫(kù)進(jìn)行更新,強(qiáng)化計(jì)算機(jī)系統(tǒng)的安全防范,有效的提高數(shù)字檔案信息的安全性和可靠性。
2.3 健全數(shù)字檔案信息安全管理制度與法律
數(shù)字檔案信息安全管理是需要制度與法律作為強(qiáng)大的支撐的,所以要建立和完善數(shù)字檔案安全管理的規(guī)章制度。制定數(shù)字檔案信息安全管理的相關(guān)制度與法律是提高數(shù)字檔案信息安全管理水平的一個(gè)有效方法。要做到數(shù)字檔案信息安全管理其實(shí)是很難的,這其中所需要具備的條件很多、工程量極大。要結(jié)合管理工作中遇到的具體問(wèn)題來(lái)制定與實(shí)際相符的并且執(zhí)行性較強(qiáng)的數(shù)字檔案信息安全管理制度。數(shù)字檔案信息安全從根本上看主要是人在發(fā)揮主要作用,并且我國(guó)為了保障數(shù)字檔案信息安全頒布了兩部相關(guān)法律。從目前形勢(shì)來(lái)看,數(shù)字檔案信息管理還存在許多不足之處有待于進(jìn)一步完善,如數(shù)字檔案信息安全管理的相關(guān)制度與法律還需要進(jìn)一步補(bǔ)充。還要從數(shù)字檔案的形成之時(shí)起一直到歸檔保存,這其中在每一個(gè)過(guò)程都必須嚴(yán)格遵守規(guī)范的管理制度,這樣才能從源頭就開(kāi)始對(duì)數(shù)字檔案信息進(jìn)行規(guī)范化管理,有利于后期的安全管理。
對(duì)比省級(jí)及以上級(jí)別的商業(yè)銀行,中小城市銀行分支機(jī)構(gòu)、村鎮(zhèn)銀行普遍存在信息安全基礎(chǔ)設(shè)施不達(dá)標(biāo)、技術(shù)水平落后、運(yùn)維能力薄弱等問(wèn)題。針對(duì)這些問(wèn)題,本文提出了建立統(tǒng)一的信息安全基礎(chǔ)環(huán)境建設(shè)標(biāo)準(zhǔn)以及健全的信息安全管理體系,不斷提高信息安全運(yùn)維水平,有效防范區(qū)域性信息安全風(fēng)險(xiǎn)。
關(guān)鍵詞:
信息安全;中小城市;銀行分支機(jī)構(gòu);基礎(chǔ)設(shè)施
近年來(lái),我國(guó)中小城市商業(yè)銀行不斷發(fā)展壯大,銀行業(yè)數(shù)據(jù)大集中趨勢(shì)越來(lái)越明顯,對(duì)于地級(jí)市商業(yè)銀行分支機(jī)構(gòu)和村鎮(zhèn)銀行等小微金融機(jī)構(gòu)而言,由于其存在規(guī)模小、信息安全專(zhuān)業(yè)人才相對(duì)匱乏、信息安全建設(shè)資金投入較少、信息安全意識(shí)淡薄、信息安全風(fēng)險(xiǎn)防范能力不強(qiáng)等原因,風(fēng)險(xiǎn)日益突出。因此,中小城市銀行分支機(jī)構(gòu)的信息安全管理應(yīng)引起高度關(guān)注。
一、中小城市銀行分支機(jī)構(gòu)信息安全管理現(xiàn)狀
以筆者所在城市最近5年的情況來(lái)看,新成立村鎮(zhèn)銀行有3家,商業(yè)銀行新設(shè)分支機(jī)構(gòu)有4家(不包括新設(shè)營(yíng)業(yè)網(wǎng)點(diǎn)),根據(jù)歷年綜合執(zhí)法檢查的情況分析,這些銀行普遍存在機(jī)房基礎(chǔ)設(shè)施建設(shè)不達(dá)標(biāo)、網(wǎng)絡(luò)綜合布線(xiàn)不規(guī)范、應(yīng)急演練記錄缺失、應(yīng)急預(yù)案與實(shí)際不符、信息安全運(yùn)維人員匱乏、工作人員信息安全意識(shí)薄弱等問(wèn)題。大部分分支機(jī)構(gòu)的日常運(yùn)維工作都采取外包服務(wù)的方式,其可靠性和安全性無(wú)法得到充分保障。
二、中小城市銀行分支機(jī)構(gòu)信息安全存在問(wèn)題
(一)信息安全軟硬件環(huán)境不達(dá)標(biāo)。
一是機(jī)房、供電、綜合布線(xiàn)、防雷等安全保護(hù)措施等方面達(dá)不到相關(guān)標(biāo)準(zhǔn),設(shè)備、介質(zhì)等安全管理軟件欠缺。二是由于目前數(shù)據(jù)大集中趨勢(shì),地市級(jí)銀行分支機(jī)構(gòu)的網(wǎng)絡(luò)和主機(jī)審計(jì)、接入認(rèn)證、系統(tǒng)授權(quán)管理等手段缺失,應(yīng)對(duì)信息安全風(fēng)險(xiǎn)事件反應(yīng)較慢。三是主機(jī)病毒防護(hù)、系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、身份鑒別、數(shù)據(jù)完整性、保密性等方面缺少必要的軟件,或相關(guān)安全配置工作不到位。四是大多數(shù)地市級(jí)銀行分支機(jī)構(gòu)缺少整體的運(yùn)維監(jiān)控平臺(tái),制約了應(yīng)急響應(yīng)處置能力。
(二)信息安全管理體系不健全。
信息安全管理工作主要由分支機(jī)構(gòu)綜合業(yè)務(wù)部負(fù)責(zé)。雖然人民銀行加強(qiáng)了“兩管理、兩綜合”檢查,對(duì)新成立的銀行分支機(jī)構(gòu)開(kāi)展了開(kāi)業(yè)管理,并要求建立全面的信息安全長(zhǎng)效管理機(jī)制,但在通過(guò)開(kāi)業(yè)申請(qǐng)之后,制度執(zhí)行力往往不夠,信息安全責(zé)任很難落實(shí)到位。應(yīng)急管理注重形式,缺乏與實(shí)際的結(jié)合,盡管制定了應(yīng)急預(yù)案,但應(yīng)急實(shí)戰(zhàn)演練較少、涵蓋范圍不全,應(yīng)急措施缺乏針對(duì)性、操作性和實(shí)效性。
(三)信息安全管理意識(shí)不強(qiáng)。
一是管理層對(duì)信息安全管理重視度不高,對(duì)信息安全的投入往往只有在機(jī)構(gòu)成立時(shí)的一次性投入,忽視了信息安全管理是一個(gè)持續(xù)長(zhǎng)久的過(guò)程。二是信息系統(tǒng)的運(yùn)維人員把信息安全管理工作看成是技術(shù)問(wèn)題,過(guò)分強(qiáng)調(diào)信息系統(tǒng)的可用性,認(rèn)為信息安全管理工作就是網(wǎng)絡(luò)安全和核心主機(jī)安全。實(shí)際上,信息安全更多應(yīng)該是個(gè)管理問(wèn)題,信息系統(tǒng)的可控性和保密性是信息安全不可或缺的部分。三是大部分員工只關(guān)注計(jì)算機(jī)的便捷性,而忽視了做好相關(guān)安全措施。
(四)信息安全運(yùn)維能力薄弱。
首先,地市級(jí)銀行分支機(jī)構(gòu)科技運(yùn)維大多采用外包方式,外包管理制度和約束不全面,使得系統(tǒng)運(yùn)行風(fēng)險(xiǎn)及運(yùn)維難度加大,村鎮(zhèn)銀行等小微金融機(jī)構(gòu)大多并未配備科技人員,管理科技的人員往往身兼數(shù)職,很難對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行及時(shí)響應(yīng)。其次,科技運(yùn)維人員參加信息技術(shù)培訓(xùn)較少,缺少完整、系統(tǒng)的信息安全知識(shí),應(yīng)對(duì)信息安全風(fēng)險(xiǎn)處置能力不夠。
三、相關(guān)對(duì)策和建議
(一)建立一套中小城市銀行分支機(jī)構(gòu)信息安全軟硬件環(huán)境標(biāo)準(zhǔn)。
在不同等級(jí)的分支機(jī)構(gòu)及營(yíng)業(yè)網(wǎng)點(diǎn)建立相配套的軟硬件設(shè)施,特別是加強(qiáng)機(jī)房、供配電、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的建設(shè)管理,在設(shè)備選型、施工安裝和運(yùn)行維護(hù)等過(guò)程嚴(yán)把關(guān)。同時(shí),后期維護(hù)和管理也應(yīng)持續(xù)遵循建設(shè)標(biāo)準(zhǔn),做到“有章可循,有據(jù)可依”,確保IT基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行。
(二)建立健全信息安全管理體系,將責(zé)任層層落實(shí)。
一是要建立相應(yīng)的信息安全領(lǐng)導(dǎo)小組,明確領(lǐng)導(dǎo)小組對(duì)信息安全管理和監(jiān)督工作的領(lǐng)導(dǎo),完善組織保障、協(xié)調(diào)機(jī)制,信息安全管理不只是科技部門(mén)的工作,應(yīng)將信息安全管理納入機(jī)構(gòu)管理范疇。形成各部門(mén)協(xié)調(diào)統(tǒng)一、齊抓共管的信息安全工作局面。二是實(shí)施有效的信息安全防范措施,制定應(yīng)急預(yù)案并與實(shí)際情況聯(lián)系,應(yīng)急操作要有針對(duì)性、實(shí)用性,要通過(guò)定期的演練來(lái)驗(yàn)證應(yīng)急預(yù)案,并及時(shí)對(duì)應(yīng)急預(yù)案進(jìn)行評(píng)估和修訂。
(三)不斷提高信息安全運(yùn)維水平。
一是各商業(yè)銀行應(yīng)定期對(duì)中小城市銀行分支機(jī)構(gòu)的科技人員及全體員工進(jìn)行信息安全培訓(xùn),提高風(fēng)險(xiǎn)防范意識(shí),培養(yǎng)信息安全業(yè)務(wù)骨干,提升分支機(jī)構(gòu)的應(yīng)急響應(yīng)和應(yīng)急處置能力。二是要建立統(tǒng)一的信息資產(chǎn)監(jiān)控平臺(tái),讓分支機(jī)構(gòu)的科技人員參與進(jìn)來(lái),及時(shí)發(fā)現(xiàn)問(wèn)題并解決問(wèn)題。三是要加強(qiáng)外包服務(wù)管理,簽訂相關(guān)的保密協(xié)議,同時(shí)在運(yùn)維過(guò)程中要做好文檔管理,充分考慮外包服務(wù)的連續(xù)性。
(四)監(jiān)管機(jī)構(gòu)要加強(qiáng)對(duì)當(dāng)?shù)厣虡I(yè)銀行和小微金融機(jī)構(gòu)的信息安全管理指導(dǎo)和監(jiān)督。
參考銀行業(yè)監(jiān)督管理委員會(huì)的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》和《人民銀行信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引(試行)》,加強(qiáng)銀行分支機(jī)構(gòu)開(kāi)業(yè)管理和指導(dǎo),定期對(duì)轄內(nèi)銀行機(jī)構(gòu)開(kāi)展信息安全檢查,并納入全年商業(yè)銀行考評(píng)體系。
作者:李蘇 單位:中國(guó)人民銀行衡陽(yáng)市中心支行
參考文獻(xiàn):
【關(guān)鍵詞】 信息技術(shù) 電網(wǎng)企業(yè) 網(wǎng)絡(luò)信息 安全管理
一、我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息發(fā)展現(xiàn)狀
近幾年來(lái),我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息發(fā)展迅猛,電網(wǎng)企業(yè)信息化基礎(chǔ)設(shè)施較為完善,電網(wǎng)企業(yè)和其他企業(yè)相比信息化程度相對(duì)較高,電網(wǎng)企業(yè)各部門(mén)人員都使用計(jì)算機(jī)進(jìn)行辦公。電網(wǎng)企業(yè)營(yíng)銷(xiāo)管理系統(tǒng)應(yīng)用廣泛,我國(guó)各地區(qū)電網(wǎng)企業(yè)都建立了網(wǎng)絡(luò)信息管理系統(tǒng),電網(wǎng)企業(yè)業(yè)務(wù)受理都呈現(xiàn)出信息化特征。隨著信息技術(shù)的不斷提高,我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)管理信息系統(tǒng)逐漸建立起來(lái),并在一定程度上得到推廣,國(guó)家電網(wǎng)企業(yè)大力開(kāi)展網(wǎng)絡(luò)管理信息系統(tǒng)建設(shè),在電力生產(chǎn)、電力設(shè)備使用、安全監(jiān)督和電力營(yíng)銷(xiāo)等方面都應(yīng)用到網(wǎng)絡(luò)管理信息系統(tǒng),電網(wǎng)企業(yè)的網(wǎng)絡(luò)化和信息化增強(qiáng),電網(wǎng)企業(yè)將網(wǎng)絡(luò)信息建設(shè)和管理放到首位,旨在通過(guò)信息技術(shù)推動(dòng)電網(wǎng)企業(yè)的可持續(xù)發(fā)展。
二、電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理中存在的問(wèn)題
1.信息化機(jī)構(gòu)建設(shè)尚不完善。電網(wǎng)企業(yè)網(wǎng)絡(luò)信息部門(mén)沒(méi)有受到足夠的重視,電網(wǎng)企業(yè)信息管理部門(mén)沒(méi)有在企業(yè)內(nèi)部設(shè)置專(zhuān)門(mén)的信息化機(jī)構(gòu),電網(wǎng)企業(yè)沒(méi)有科學(xué)合理的信息管理崗位,電網(wǎng)企業(yè)信息管理部門(mén)建設(shè)落后,信息化機(jī)構(gòu)建設(shè)尚不完善,電網(wǎng)企業(yè)缺乏專(zhuān)業(yè)技能良好、綜合素質(zhì)較高的復(fù)合型人才。2.電網(wǎng)企業(yè)網(wǎng)絡(luò)信息化管理水平低下。和我國(guó)信息技術(shù)的發(fā)展和應(yīng)用相比,國(guó)家電網(wǎng)企業(yè)網(wǎng)絡(luò)信息化管理水平相對(duì)較低,電網(wǎng)企業(yè)沒(méi)有對(duì)網(wǎng)絡(luò)信息化管理進(jìn)行不斷優(yōu)化和革新,雖然我國(guó)很多電網(wǎng)企業(yè)都將先進(jìn)的信息系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)運(yùn)用到企業(yè)運(yùn)營(yíng)中,但是并沒(méi)有及時(shí)對(duì)電網(wǎng)企業(yè)的網(wǎng)絡(luò)信息管理模式進(jìn)行革新和完善,這就導(dǎo)致網(wǎng)絡(luò)信息系統(tǒng)不能達(dá)到預(yù)期的使用效果。
三、加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理的有效措施
1.重視電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全規(guī)劃。對(duì)我國(guó)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息進(jìn)行規(guī)劃的主要目的是提升網(wǎng)絡(luò)信息系統(tǒng)的安全性,對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題進(jìn)行全面考慮,對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全進(jìn)行科學(xué)合理的規(guī)劃,建立全面統(tǒng)一的網(wǎng)絡(luò)信息安全管理體系,能在一定程度上提高電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全性。
2.合理劃分網(wǎng)絡(luò)安全區(qū)域。要對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行合理劃分,根據(jù)電網(wǎng)企業(yè)各部分網(wǎng)絡(luò)信息的安全密級(jí)和安全規(guī)劃對(duì)網(wǎng)絡(luò)安全區(qū)域進(jìn)行科學(xué)合理的劃分,通常情況下可以將電網(wǎng)企業(yè)網(wǎng)絡(luò)安全區(qū)域劃分為三部分,即重點(diǎn)防范區(qū)域、一般防范區(qū)域和完全開(kāi)放區(qū)域,這樣才能實(shí)現(xiàn)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全管理,使得個(gè)網(wǎng)絡(luò)區(qū)域的工作能夠順利開(kāi)展。
3.加強(qiáng)網(wǎng)絡(luò)信息安全管理和制度建設(shè)。為確保電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全性良好,電網(wǎng)企業(yè)應(yīng)該將網(wǎng)絡(luò)信息安全管理和相關(guān)制度建設(shè)當(dāng)做重點(diǎn)內(nèi)容,對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息日志進(jìn)行嚴(yán)格管理和安全審計(jì),充分利用防火墻和入侵檢測(cè)系統(tǒng)的審計(jì)功能,對(duì)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息日志進(jìn)行準(zhǔn)確記錄。重視并加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理制度建設(shè),明確電網(wǎng)企業(yè)從業(yè)人員的職責(zé)和義務(wù),制定網(wǎng)絡(luò)信息安全事故應(yīng)急處理程序,加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理基礎(chǔ)設(shè)施建設(shè),確保網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行環(huán)境良好,電網(wǎng)企業(yè)應(yīng)該做好防火防水設(shè)計(jì),確保電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全性能良好,運(yùn)行可靠。
4.加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理人員的綜合培訓(xùn)。電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理人員的專(zhuān)業(yè)水平和綜合素質(zhì)對(duì)網(wǎng)絡(luò)信息安全具有極大的影響,電網(wǎng)企業(yè)必須重視并加強(qiáng)網(wǎng)絡(luò)信息管理人員的綜合培訓(xùn),提高網(wǎng)絡(luò)信息高級(jí)管理人員的綜合能力,使其了解網(wǎng)絡(luò)信息安全管理的策略及目標(biāo),制定科學(xué)合理的電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理制度。加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)行管理和維護(hù)人員綜合能力的培訓(xùn),使其能夠充分理解電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理策略,掌握網(wǎng)絡(luò)信息系統(tǒng)安全操作和維護(hù)技術(shù)。讓網(wǎng)絡(luò)信息管理人員充分了解網(wǎng)絡(luò)信息安全操作流程,獲得全面的電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全知識(shí),提高網(wǎng)絡(luò)信息管理人員的安全意識(shí)和技能,確保網(wǎng)絡(luò)信息管理人員專(zhuān)業(yè)水平較高,綜合素質(zhì)良好,使其在電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行、管理和維護(hù)上充分發(fā)揮自己的職能。
總結(jié):隨著信息技術(shù)的快速發(fā)展,電網(wǎng)企業(yè)信息化成為一種必然的發(fā)展趨勢(shì),電網(wǎng)企業(yè)在電力生產(chǎn)和運(yùn)營(yíng)的過(guò)程中只有做好網(wǎng)絡(luò)信息安全管理工作,在不斷的實(shí)踐過(guò)程中發(fā)現(xiàn)電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理中存在的問(wèn)題,探索出加強(qiáng)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理的有效措施,才能實(shí)現(xiàn)電網(wǎng)企業(yè)的可持續(xù)發(fā)展。
參 考 文 獻(xiàn)
[1]朱貴強(qiáng).論企業(yè)網(wǎng)絡(luò)信息安全管理[J].中國(guó)科教博覽,2005,(6).
[2]閆斌,曲俊華,齊林海.電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J].現(xiàn)代電力,2003,(1).
電子信息安全管理防范意識(shí)管理質(zhì)量近些年來(lái),我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)異乎尋常地突飛猛進(jìn),把人們帶入了前所未有的信息化時(shí)代,網(wǎng)絡(luò)和人們息息相關(guān),無(wú)論工作、學(xué)習(xí)、生活、購(gòu)物乃至娛樂(lè)與游戲,一刻也離不開(kāi)網(wǎng)絡(luò)的支持。信息化和網(wǎng)絡(luò)化時(shí)代,電子商務(wù)(Electronic Commerce)應(yīng)運(yùn)而生。隨著電子商務(wù)的出現(xiàn),人們的交流更加便利,比如電子郵件可以隨時(shí)隨地地進(jìn)行傳遞,電子商務(wù)讓人們的生活更加隨心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出現(xiàn),極大地干擾了網(wǎng)絡(luò),帶來(lái)了一定的破壞,給人們帶來(lái)了巨大的經(jīng)濟(jì)損失和精神方面的憂(yōu)慮,甚至一度引起全世界范圍內(nèi)的恐慌,人們對(duì)電子信息失去了信任,即使在安全的情況下,很多人依然心有余悸。以故,加強(qiáng)電子信息安全管理勢(shì)在必然。
一、電子信息安全管理中存在的問(wèn)題
1.安全防范意識(shí)落后
我國(guó)的信息技術(shù)迅猛發(fā)展,人們沉浸在便利的喜悅中,忽略了安全管理。由于電子商務(wù)處于初步發(fā)展階段,很多技術(shù)方面尚不成熟,一些高標(biāo)準(zhǔn)的電子商務(wù)平臺(tái)尚還沒(méi)有搭建起來(lái),對(duì)黑客缺乏防御的小型電子商務(wù)平臺(tái)雖然隨處可見(jiàn),但其缺乏有效的安全管理,經(jīng)營(yíng)者麻痹大意,心存僥幸,認(rèn)為“黑客”雖然存在,但是自身未必遭受攻擊,他們更多地關(guān)注業(yè)務(wù)的發(fā)展,重視平臺(tái)規(guī)模的擴(kuò)大和系統(tǒng)功能的開(kāi)發(fā)。在這種情況下,系統(tǒng)缺乏安全防御,一旦受到攻擊,立即癱瘓不能運(yùn)轉(zhuǎn)和造成損失。此外,有些管理者為了防御黑客,在市場(chǎng)上購(gòu)買(mǎi)了一些大眾化的安全管理軟件,便覺(jué)得安裝了這些“高新”產(chǎn)品,就會(huì)高枕無(wú)憂(yōu),永遠(yuǎn)安全的使用電子商務(wù)。結(jié)果,常常事與愿違,造成巨大的損失。
2.信息安全技術(shù)匱乏
經(jīng)過(guò)一段時(shí)間的努力,國(guó)內(nèi)的信息安全管理技術(shù)不斷提升,連續(xù)邁上新的臺(tái)階,情況喜人。但是,我們也要有自知之明,因?yàn)楹驮S多西方國(guó)家相比,信息安全防御與控制技術(shù)相對(duì)落后很多,并且,我們?cè)诮?jīng)費(fèi)的投入方面,有明顯的差距;自主研發(fā)技術(shù)存在的不足之處多多,亟需改善。我們更要清楚的一點(diǎn)是:我們的技術(shù),很多都是借鑒國(guó)外的經(jīng)驗(yàn),缺乏獨(dú)創(chuàng)。如此步人后塵,電子信息安全管理質(zhì)量難以有質(zhì)的突破。
3.信息安全產(chǎn)品鑒定混亂無(wú)序
為了安全起見(jiàn),很多企業(yè)花費(fèi)不菲,購(gòu)買(mǎi)了一些安全方面的軟件,殊不知,這些產(chǎn)品在一般情況下,確實(shí)能夠起到電子信息使用平臺(tái)的安全作用,但如果病毒強(qiáng)大,絕對(duì)的安全便難以保證??v觀(guān)市場(chǎng)上的安全軟件產(chǎn)品,良莠不齊,并且,目前市場(chǎng)上對(duì)于安全產(chǎn)品的鑒定沒(méi)有統(tǒng)一標(biāo)準(zhǔn),各執(zhí)一說(shuō),很多都是主觀(guān)判斷,由此產(chǎn)生隱患。
二、電子信息安全管理的有效措施
在電子信息安全管理方面,一旦出現(xiàn)問(wèn)題,就會(huì)造成損失,一些企業(yè)“吃一塹長(zhǎng)一智”,采取了相關(guān)措施,不過(guò),調(diào)查表明,大多數(shù)企業(yè)存在“重技術(shù),輕管理”的情況,而且由于一些企業(yè)尚未造成重大損失,管理層對(duì)安全問(wèn)題漠不關(guān)心,或重視不夠。下面針對(duì)加強(qiáng)電子信息安全管理的主要措施做一探討。
1.構(gòu)建完善的管理組織機(jī)構(gòu),加強(qiáng)管理
電子信息安全管理組織機(jī)構(gòu)的完善有力地促進(jìn)了企業(yè)的發(fā)展,從安全決策到認(rèn)真執(zhí)行,層層構(gòu)架,發(fā)揮職能。管理框架的構(gòu)建要集思廣益,審慎剴切;安全制度的審批須一絲不茍,審查入微;安全職責(zé)的分配必須認(rèn)真到位,監(jiān)督有力;遵照網(wǎng)絡(luò)系統(tǒng)安全制度,嚴(yán)肅執(zhí)行,進(jìn)行網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)。如屬于大型的電子商務(wù)平臺(tái)或者集團(tuán)企業(yè),更加需要增加投入,比如聘請(qǐng)有造詣的專(zhuān)家成立顧問(wèn)組織,以便企業(yè)進(jìn)行疑難咨詢(xún),或是參照出現(xiàn)的問(wèn)題出列解決方案,爾后進(jìn)一步對(duì)責(zé)任進(jìn)行調(diào)查、評(píng)估。
2.電子信息安全管理制度有待進(jìn)一步完善
電子信息安全管理制度主要包括兩方面的內(nèi)容,第一點(diǎn)就是構(gòu)建電子信息控制制度,第二點(diǎn)是出現(xiàn)問(wèn)題之后的解決策略。關(guān)于第一點(diǎn),需要明確責(zé)任,注重細(xì)節(jié),出現(xiàn)任何情況都要嚴(yán)格審核,并且定期檢查;至于第二點(diǎn),注意信息傳遞過(guò)程中的信息維護(hù),密切跟蹤,及時(shí)報(bào)告,達(dá)到有效監(jiān)督。最后,備份數(shù)據(jù)文件儲(chǔ)存。
3.專(zhuān)業(yè)亟待提升
互聯(lián)網(wǎng)的發(fā)展突飛猛進(jìn),普及千家萬(wàn)戶(hù),安全技術(shù)的研發(fā)相對(duì)于互聯(lián)網(wǎng)的發(fā)展遠(yuǎn)遠(yuǎn)落后,原因諸多,最重要的一點(diǎn)就是缺乏過(guò)硬的技術(shù)人員。一般而言,電子商務(wù)規(guī)模越大,電子信息安全管理隊(duì)伍的陣容也要隨之?dāng)U充,只有電子信息安全管理隊(duì)伍強(qiáng)大,才能夠產(chǎn)生無(wú)窮的智慧與應(yīng)對(duì)措施,保證電子商務(wù)平臺(tái)的安全。
4.系統(tǒng)安全檢測(cè)
黑客一詞被用于泛指那些專(zhuān)門(mén)利用電腦網(wǎng)絡(luò)和系統(tǒng)安全漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段,頻頻對(duì)電子商務(wù)系統(tǒng)采取攻擊行動(dòng),有時(shí)候能導(dǎo)致整個(gè)系統(tǒng)癱瘓。出現(xiàn)意外情況,要立即檢測(cè),要經(jīng)常更換密碼,設(shè)置復(fù)雜一些的密碼,要經(jīng)常對(duì)防火墻進(jìn)行檢查,系統(tǒng)功能是否保持,是否出現(xiàn)漏洞等,要細(xì)致入微,不能有一絲一毫的疏忽,嚴(yán)防黑客侵入。
5.建立保護(hù)系統(tǒng)的方案
時(shí)常進(jìn)行安全檢測(cè),一旦系統(tǒng)的安全檢測(cè)失靈,必須立即建立系統(tǒng)安全防護(hù)措施。系統(tǒng)安全管理極其復(fù)雜,缺乏安全可靠的保護(hù),電子商務(wù)在網(wǎng)絡(luò)平臺(tái)失去有效的依靠,隨時(shí)會(huì)出現(xiàn)漏洞。反之,安全策略嚴(yán)謹(jǐn),防護(hù)得力,即便系統(tǒng)遭受攻擊,也會(huì)及時(shí)發(fā)現(xiàn),能將損失最小化。
6.管理培訓(xùn)的重要性
防護(hù)系統(tǒng)的工作人員,要進(jìn)行考試錄用、上崗培訓(xùn),企業(yè)經(jīng)常進(jìn)行人員培訓(xùn),定期學(xué)習(xí)安全策略和規(guī)章制度。讓每一個(gè)員工加強(qiáng)安全觀(guān)念,提升對(duì)信息安全的重視,認(rèn)識(shí)到防護(hù)的重要性,堅(jiān)守崗位,忠于職守,明了企業(yè)安全規(guī)章制度的含義。
三、結(jié)語(yǔ)
綜上所述,近年來(lái)經(jīng)濟(jì)騰飛,經(jīng)濟(jì)全球化進(jìn)程不斷加快,計(jì)算機(jī)技術(shù)無(wú)所不在,網(wǎng)絡(luò)暢通無(wú)極,人們?cè)诰W(wǎng)絡(luò)平臺(tái)上進(jìn)行商務(wù)管理、學(xué)習(xí)、游戲、查找資料、購(gòu)物匯款等等,網(wǎng)絡(luò)信息交互平臺(tái)已經(jīng)深入大家的生活,人們已經(jīng)一日不可沒(méi)有網(wǎng)絡(luò)的存在。網(wǎng)絡(luò)如此不可或缺,隨著計(jì)算機(jī)病毒造成的一次次的損失,人們對(duì)電子信息安全管理質(zhì)量憂(yōu)心忡忡。
在這一背景下,很多電子信息安全管理研究機(jī)構(gòu)紛紛推出各類(lèi)電子信息安全管理產(chǎn)品,盡管其對(duì)確保信息安全起到了一定的功效,但是,一切并不是萬(wàn)能的。這也使得人們明白了技術(shù)產(chǎn)品并不僅僅是安全管理工作的全部。本文結(jié)合當(dāng)前電子信息安全管理現(xiàn)狀,提出了一些相應(yīng)的應(yīng)對(duì)措施,希望能夠有效提升電子信息安全管理的質(zhì)量。
參考文獻(xiàn):
[1]姚帝曉.電子商務(wù)安全問(wèn)題的思考[J].商場(chǎng)現(xiàn)代化,2006,(7):103.
一、學(xué)校領(lǐng)導(dǎo)高度重視、組織落實(shí)是做好校園網(wǎng)絡(luò)安全管理工作的重要前提
校黨政主要領(lǐng)導(dǎo)和分管安全保衛(wèi)工作的校領(lǐng)導(dǎo)高度重視網(wǎng)絡(luò)與信息安全工作,經(jīng)常在各種會(huì)議上強(qiáng)調(diào)做好校園網(wǎng)絡(luò)與信息安全工作對(duì)維護(hù)學(xué)校安全穩(wěn)定的極端重要性,對(duì)安全保衛(wèi)部門(mén)上報(bào)的有關(guān)網(wǎng)絡(luò)動(dòng)態(tài)信息認(rèn)真閱讀和研判,并及時(shí)作出重要處理批示,在學(xué)校每次召開(kāi)的有關(guān)維護(hù)校園穩(wěn)定的工作會(huì)議上都要對(duì)加強(qiáng)校園網(wǎng)的安全管理與監(jiān)控工作進(jìn)行專(zhuān)門(mén)部署。學(xué)校還制定下發(fā)了《關(guān)于開(kāi)展“平安校園”創(chuàng)建活動(dòng)的實(shí)施意見(jiàn)》,其中指出“要堅(jiān)持正確的輿論導(dǎo)向,防止信息傳媒的管理失控,要健全網(wǎng)絡(luò)管理機(jī)構(gòu),落實(shí)管理措施,強(qiáng)化網(wǎng)上監(jiān)控”,為做好校園網(wǎng)絡(luò)與信息的安全管理工作明確了目標(biāo)和方法。
二、各職能部門(mén)分工明確、互相配合是做好校園網(wǎng)絡(luò)安全管理工作的重要條件
在維護(hù)校園網(wǎng)絡(luò)安全方面,學(xué)校有關(guān)職能部門(mén)根據(jù)自身的工作性質(zhì)有著明確的分工。如校宣傳部門(mén)主要負(fù)責(zé)全校網(wǎng)絡(luò)安全教育,網(wǎng)絡(luò)信息動(dòng)態(tài)的監(jiān)查、跟蹤和掌握并進(jìn)行相關(guān)處置;校網(wǎng)絡(luò)主管部門(mén)主要負(fù)責(zé)加強(qiáng)整個(gè)校園網(wǎng)絡(luò)技術(shù)方面的安全防范、保障、封堵和指導(dǎo),采用合理的技術(shù)手段對(duì)網(wǎng)絡(luò)運(yùn)行安全進(jìn)行有效的監(jiān)查,為查處網(wǎng)絡(luò)不良、有害信息及案事件提供技術(shù)支持;保衛(wèi)部門(mén)主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)不良、有害信息及案事件進(jìn)行查處,并根據(jù)自身工作性質(zhì)對(duì)網(wǎng)絡(luò)信息進(jìn)行監(jiān)查。各職能部門(mén)既各司其職又密切配合、協(xié)作形成合力,為做好校園網(wǎng)絡(luò)安全工作提供了重要的基礎(chǔ)條件,使工作更為順利、效率更為提高、成效更為明顯。
三、建全各項(xiàng)管理規(guī)章制度是做好校園網(wǎng)絡(luò)安全管理工作的重要基礎(chǔ)
學(xué)校根據(jù)國(guó)家網(wǎng)絡(luò)與信息安全管理的有關(guān)法律法規(guī),并結(jié)合學(xué)校的實(shí)際情況,制定了校園網(wǎng)絡(luò)安全管理?xiàng)l例與規(guī)定,并根據(jù)上級(jí)有關(guān)規(guī)定、形勢(shì)發(fā)展和學(xué)校具體實(shí)際情況,不斷予以修訂完善。各責(zé)任單位則根據(jù)學(xué)校有關(guān)規(guī)定和本單位的實(shí)際情況,制定網(wǎng)絡(luò)與信息安全管理方面的各項(xiàng)具體規(guī)章制度,如日常安全管理制度、信息審核制度、安全檢查制度、網(wǎng)管員工作職責(zé)等。由此校園網(wǎng)絡(luò)與信息安全管理工作做到有章可依,有章可循,不斷制度化、規(guī)范化。
四、建立和完善有效的管理機(jī)制是做好校園網(wǎng)絡(luò)與信息安全管理工作的保障
(一)實(shí)行分級(jí)管理、逐級(jí)負(fù)責(zé)制
學(xué)校成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組,由主要領(lǐng)導(dǎo)擔(dān)任雙組長(zhǎng)、分管領(lǐng)導(dǎo)擔(dān)任副組長(zhǎng)。領(lǐng)導(dǎo)小組定期不定期地對(duì)校園網(wǎng)絡(luò)安全情況進(jìn)行分析研判,研究制定涉及網(wǎng)絡(luò)安全方面重大問(wèn)題的對(duì)策、措施,并對(duì)一段時(shí)期內(nèi)的網(wǎng)絡(luò)與信息安全工作作出部署。領(lǐng)導(dǎo)小組下設(shè)辦公室,主要負(fù)責(zé)全校網(wǎng)絡(luò)與信息安全工作的管理和協(xié)調(diào)。各學(xué)院、部門(mén)、單位應(yīng)當(dāng)相應(yīng)成立網(wǎng)絡(luò)與信息安全工作小組,其主要負(fù)責(zé)人為第一責(zé)任人,并指定專(zhuān)人擔(dān)任網(wǎng)管員,負(fù)責(zé)本級(jí)網(wǎng)絡(luò)與信息安全工作。
(二)實(shí)行安全責(zé)任制
學(xué)校與各學(xué)院、部門(mén)、單位簽訂網(wǎng)絡(luò)與信息安全責(zé)任書(shū),各責(zé)任單位要將網(wǎng)絡(luò)與信息安全管理責(zé)任層層落實(shí)到所屬各部門(mén)和人員。其中,各責(zé)任單位的網(wǎng)管員,具體負(fù)責(zé)本單位日常的網(wǎng)絡(luò)與信息安全工作,網(wǎng)絡(luò)與信息系統(tǒng)的主管單位承擔(dān)系統(tǒng)的安全管理和監(jiān)督責(zé)任,運(yùn)行維護(hù)單位和個(gè)人承擔(dān)系統(tǒng)的技術(shù)安全保障責(zé)任,使用單位和個(gè)人承擔(dān)系統(tǒng)操作與信息內(nèi)容的直接安全責(zé)任。堅(jiān)持“誰(shuí)主管、誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)行、誰(shuí)負(fù)責(zé)”的原則,切實(shí)落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制。
(三)實(shí)行一票否決制
校園網(wǎng)絡(luò)與信息安全工作實(shí)行一票否決制。對(duì)在網(wǎng)絡(luò)與信息安全方面存在重大隱患和問(wèn)題而不認(rèn)真及時(shí)進(jìn)行整改,或發(fā)生重大網(wǎng)絡(luò)與信息安全事件的相關(guān)單位和責(zé)任人,實(shí)行一票否決制,取消當(dāng)年評(píng)先評(píng)優(yōu)及個(gè)人晉職晉級(jí)的資格。
(四)實(shí)行責(zé)任追究制
對(duì)網(wǎng)絡(luò)與信息安全責(zé)任不落實(shí)、日常安全管理措施不落實(shí)、安全教育不到位等,導(dǎo)致網(wǎng)絡(luò)與信息重大安全事故或事件的,學(xué)校將根據(jù)網(wǎng)絡(luò)與信息安全責(zé)任書(shū)的有關(guān)規(guī)定,追究相關(guān)單位和責(zé)任人的責(zé)任,并予以全校通報(bào)批評(píng)。對(duì)觸犯法律的,則移交司法機(jī)關(guān)依法處理。
(五)實(shí)行值班備勤制
各責(zé)任單位要指定專(zhuān)人進(jìn)行日常網(wǎng)絡(luò)與信息安全保障工作,確保24小時(shí)通訊聯(lián)系保持暢通。在重要、敏感時(shí)期,重大節(jié)假日期間,安排值班人員,一旦發(fā)生問(wèn)題快速反應(yīng),及時(shí)處置。
五、強(qiáng)化網(wǎng)絡(luò)安全形勢(shì)的預(yù)測(cè)研判是做好校園網(wǎng)絡(luò)安全管理工作的重要環(huán)節(jié)
學(xué)校各職能部門(mén)密切關(guān)注國(guó)內(nèi)外發(fā)生的重大事件及學(xué)校出臺(tái)的重大舉措,結(jié)合當(dāng)下校園網(wǎng)絡(luò)的具體實(shí)際并根據(jù)網(wǎng)絡(luò)本身的特點(diǎn),對(duì)一段時(shí)期內(nèi)校園網(wǎng)絡(luò)的安全形勢(shì)進(jìn)行分析研判并上報(bào)學(xué)校,為領(lǐng)導(dǎo)科學(xué)決策提供依據(jù)。特別是在每年重要敏感時(shí)間節(jié)點(diǎn)時(shí),對(duì)校園網(wǎng)絡(luò)安全形勢(shì)進(jìn)行預(yù)測(cè)研判并提出有關(guān)防范措施上報(bào)學(xué)校,使網(wǎng)絡(luò)安全防范工作更趨主動(dòng)和有的放矢,例如,在北京奧運(yùn)會(huì)、上海世博會(huì)、G20峰會(huì)等時(shí)期,均及時(shí)對(duì)校園網(wǎng)絡(luò)可能出現(xiàn)的輿情、動(dòng)態(tài)預(yù)作研判,將防范工作做在前面。
六、切實(shí)加強(qiáng)宣傳教育活動(dòng)是做好校園網(wǎng)絡(luò)安全管理工作的重要內(nèi)容