公務(wù)員期刊網(wǎng) 精選范文 信息安全方針?lè)段?/span>

信息安全方針精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全方針主題范文,僅供參考,歡迎閱讀并收藏。

信息安全方針

第1篇:信息安全方針?lè)段?/h2>

關(guān)鍵詞:信息安全技術(shù);仿真;實(shí)踐教學(xué);創(chuàng)新能力

中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào)文章編號(hào):16727800(2014)001014202

作者簡(jiǎn)介作者簡(jiǎn)介:李畢祥(1981-),男, 碩士,武漢科技大學(xué)城市學(xué)院信息工程學(xué)部信息工程系講師,研究方向?yàn)樾畔踩?;郭冀生?946-),男,武漢科技大學(xué)城市學(xué)院信息工程學(xué)部副教授,研究方向?yàn)閿?shù)據(jù)庫(kù)。

0 引言

信息安全技術(shù)是從事信息安全應(yīng)用與信息技術(shù)研究的專業(yè)技術(shù)人員必須掌握的知識(shí)和技能。本課程需要理論和實(shí)踐緊密結(jié)合,學(xué)生在掌握信息安全技術(shù)基本概念和基本理論之后,還要掌握網(wǎng)絡(luò)管理和網(wǎng)絡(luò)信息安全保障知識(shí),深入理解網(wǎng)絡(luò)信息安全的各項(xiàng)工作,并能理論聯(lián)系實(shí)際,進(jìn)一步應(yīng)用信息安全技術(shù)。

為了充分提高學(xué)生的信息安全技術(shù)實(shí)踐能力,迫切需要相應(yīng)的硬件平臺(tái)和軟件平臺(tái)作為實(shí)踐支撐環(huán)境,但相關(guān)的硬件成本非常高,很難配備齊全,所以很多高校的信息安全技術(shù)試驗(yàn)都是傳統(tǒng)的演示實(shí)驗(yàn),很難提高學(xué)生學(xué)習(xí)信息安全技術(shù)的興趣。本文設(shè)計(jì)的信息安全技術(shù)實(shí)驗(yàn)仿真平臺(tái)可以充分模擬高校、企業(yè)和銀行等網(wǎng)絡(luò)環(huán)境,使用模擬軟件進(jìn)行仿真,繪制詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D,分析網(wǎng)絡(luò)流量,捕獲數(shù)據(jù)包,分析信息安全,并提供信息安全解決方案。此仿真平臺(tái)充分利用各種仿真軟件的優(yōu)勢(shì)和特點(diǎn),一方面能讓教師合理實(shí)施實(shí)踐教學(xué)任務(wù),改革傳統(tǒng)的實(shí)踐教學(xué)模式,在改革中提高教師的教學(xué)能力和水平;另一方面,能讓學(xué)生身臨其境,自己繪制網(wǎng)絡(luò)拓?fù)鋱D,分析信息安全問(wèn)題,充分調(diào)動(dòng)學(xué)生的學(xué)習(xí)積極性,全面提高學(xué)生的自主創(chuàng)新能力,為就業(yè)打下堅(jiān)實(shí)的基礎(chǔ)。

1 研究?jī)?nèi)容和目標(biāo)

1.1 研究?jī)?nèi)容

(1)建設(shè)信息安全實(shí)驗(yàn)室,加強(qiáng)信息安全虛擬平臺(tái)建設(shè)。信息安全實(shí)驗(yàn)室是信息安全技術(shù)教學(xué)的實(shí)踐場(chǎng)所,目前很多大學(xué)的實(shí)驗(yàn)中心還沒(méi)有建成專門(mén)的信息安全實(shí)驗(yàn)室。由于信息安全實(shí)驗(yàn)室建設(shè)投入較大,建設(shè)周期長(zhǎng),在目前教學(xué)任務(wù)緊迫的情況下,唯有加強(qiáng)信息安全虛擬平臺(tái)建設(shè)才能滿足實(shí)驗(yàn)教學(xué)要求。虛擬實(shí)驗(yàn)平臺(tái)主要依賴于軟件和較少的配套硬件,使實(shí)驗(yàn)室的維護(hù)費(fèi)用和工作量大大降低。在虛擬實(shí)驗(yàn)平臺(tái)Boson、Opnet、Sniffer和Matlab上可以開(kāi)展豐富的模擬實(shí)驗(yàn),包括網(wǎng)絡(luò)虛擬仿真、防火墻配置和基于SNMP的信息安全管理等。

(2)改革實(shí)驗(yàn)教學(xué)模式,創(chuàng)造自主學(xué)習(xí)模式,提高實(shí)驗(yàn)教學(xué)質(zhì)量。對(duì)于信息安全的管理和實(shí)現(xiàn),設(shè)定任務(wù)情境,對(duì)實(shí)驗(yàn)任務(wù)的選擇可以具有梯度,更貼近工程應(yīng)用。教師制定學(xué)習(xí)目標(biāo),學(xué)生可以自己設(shè)定任務(wù)情境,根據(jù)實(shí)際情況完成。例如,在信息安全管理實(shí)驗(yàn)中,學(xué)生可以自主設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),進(jìn)行設(shè)備選型、配置和管理,以提高學(xué)生興趣和實(shí)踐動(dòng)手能力為導(dǎo)向,鼓勵(lì)學(xué)生自主學(xué)習(xí)。

(3)完善教學(xué)實(shí)驗(yàn)指導(dǎo)書(shū),增加實(shí)驗(yàn)項(xiàng)目。

1.2 項(xiàng)目目標(biāo)

(1)通過(guò)信息安全虛擬平臺(tái)建設(shè),強(qiáng)化學(xué)生的信息安全理論修養(yǎng)和實(shí)踐能力,學(xué)以致用,通過(guò)實(shí)踐來(lái)真正掌握信息安全技術(shù)的應(yīng)用。

(2)通過(guò)信息安全虛擬平臺(tái)的使用,增強(qiáng)學(xué)生之間的學(xué)術(shù)交流氛圍。教學(xué)任務(wù)設(shè)定和日常信息安全技術(shù)應(yīng)用,讓學(xué)生不僅在課堂,在課余時(shí)間也有進(jìn)行信息安全知識(shí)鉆研的意識(shí)和環(huán)境。

(3)積極尋求相關(guān)途徑進(jìn)行校企合作,為進(jìn)一步提高學(xué)生實(shí)踐動(dòng)手能力創(chuàng)造條件。

(4)建立結(jié)構(gòu)合理的教學(xué)隊(duì)伍,制定適應(yīng)社會(huì)需求的教學(xué)內(nèi)容,培養(yǎng)教師的科研能力,完成信息安全技術(shù)課程群梯隊(duì)建設(shè),形成一些具有較高水平的教學(xué)研究成果。

2 仿真實(shí)驗(yàn)項(xiàng)目解決的關(guān)鍵問(wèn)題

(1)改革過(guò)于模式化的傳統(tǒng)實(shí)驗(yàn),培養(yǎng)學(xué)生的創(chuàng)造性思維。

信息安全技術(shù)傳統(tǒng)實(shí)驗(yàn)內(nèi)容大多局限于實(shí)驗(yàn)環(huán)境,脫離工程實(shí)際,實(shí)驗(yàn)效果不好,難以培養(yǎng)學(xué)生創(chuàng)新能力。學(xué)生畢業(yè)后從事信息安全工程實(shí)踐時(shí),很難將實(shí)驗(yàn)功底轉(zhuǎn)化為從業(yè)能力。

(2)完善信息安全虛擬平臺(tái),進(jìn)行優(yōu)化和合理的實(shí)驗(yàn)設(shè)計(jì)。

信息安全虛擬實(shí)驗(yàn)平臺(tái)是在能夠進(jìn)行網(wǎng)絡(luò)通信的基礎(chǔ)之上將計(jì)算機(jī)網(wǎng)絡(luò)上虛擬的各種計(jì)算機(jī)、通信設(shè)備按實(shí)驗(yàn)要求組建成一個(gè)完整的虛擬實(shí)驗(yàn)網(wǎng)絡(luò),模擬實(shí)現(xiàn)各種計(jì)算機(jī)網(wǎng)絡(luò)試驗(yàn)和測(cè)試,并能演示實(shí)驗(yàn)過(guò)程和信息安全管理的配置過(guò)程。使用已有網(wǎng)絡(luò)虛擬平臺(tái)Boson、Opnet、Sniffer和Matlab

進(jìn)行合理的實(shí)驗(yàn)設(shè)計(jì),達(dá)到提高學(xué)生實(shí)踐能力的目的。

在繪制企業(yè)網(wǎng)絡(luò)拓?fù)鋱D,以及配置網(wǎng)絡(luò)設(shè)備,例如交換機(jī)、路由器和防火墻時(shí),選用Boson軟件來(lái)完成拓?fù)鋱D的繪制和網(wǎng)絡(luò)設(shè)備的模擬配置。實(shí)驗(yàn)效果描述如下:在捕獲和分析網(wǎng)絡(luò)中的數(shù)據(jù)包時(shí),選用sniffer軟件來(lái)完成;在分析網(wǎng)絡(luò)的流量和網(wǎng)絡(luò)參數(shù)時(shí),選用openet軟件來(lái)完成;在分析相關(guān)的數(shù)據(jù)和結(jié)果時(shí),選用Matlab仿真軟件來(lái)完成??梢猿浞纸Y(jié)合以上各種模擬軟件的特點(diǎn)和優(yōu)勢(shì),完成復(fù)雜的信息安全實(shí)驗(yàn)項(xiàng)目。

(3)培養(yǎng)學(xué)生之間的合作精神,讓學(xué)生體驗(yàn)團(tuán)隊(duì)協(xié)作。

在傳統(tǒng)的教學(xué)過(guò)程中,雖然在實(shí)驗(yàn)環(huán)節(jié)也采用了分組進(jìn)行的模式,但在具體操作過(guò)程中部分學(xué)生并沒(méi)有真正參與,也就談不上團(tuán)隊(duì)意識(shí)和協(xié)作學(xué)習(xí),信息安全虛擬實(shí)驗(yàn)平臺(tái)可以拓展和改善學(xué)習(xí)環(huán)境和氛圍。

(4)傳統(tǒng)課程考核模式陳舊,需要借助信息安全虛擬實(shí)驗(yàn)平臺(tái)進(jìn)行改革。

傳統(tǒng)的考核模式,內(nèi)容局限于教材中的基本理論和基本知識(shí),缺乏對(duì)學(xué)生知識(shí)、能力與素質(zhì)的綜合考察,不利于學(xué)生應(yīng)用能力的培養(yǎng)和創(chuàng)新精神的形成。另外,考試形式單一,在課程總評(píng)成績(jī)的計(jì)算中實(shí)踐部分所占比重很小,制約了學(xué)生實(shí)踐能力的培養(yǎng)。

(5)積極尋求相關(guān)途徑進(jìn)行校企合作,讓學(xué)生進(jìn)入企業(yè)實(shí)習(xí)和工作,為進(jìn)一步提高學(xué)生實(shí)踐動(dòng)手能力創(chuàng)造條件。

3 教學(xué)方法

教學(xué)方法的改革,目的是使學(xué)生在實(shí)際應(yīng)用時(shí)能夠靈活地將理論與實(shí)踐相結(jié)合,培養(yǎng)學(xué)生運(yùn)用知識(shí)分析問(wèn)題解、決問(wèn)題的能力。除了傳統(tǒng)的行之有效的教學(xué)方法之外,還應(yīng)該采用一些有專業(yè)特色的教學(xué)方法,與時(shí)俱進(jìn)。主要采取如下方法:

(1)在信息安全技術(shù)虛擬平臺(tái)上,將傳統(tǒng)的實(shí)驗(yàn)題目改編為自主型實(shí)驗(yàn)題目。針對(duì)設(shè)計(jì)型實(shí)驗(yàn)的內(nèi)容和要求,根據(jù)機(jī)房環(huán)境和信息安全技術(shù)虛擬平臺(tái),精心設(shè)計(jì)相關(guān)題目和題目的梯度任務(wù),或?qū)⒃袑?shí)驗(yàn)題目進(jìn)行改造,形成與實(shí)驗(yàn)要求相對(duì)應(yīng)的自主型實(shí)驗(yàn)題目系列。將實(shí)驗(yàn)教學(xué)中傳統(tǒng)的特定環(huán)境實(shí)驗(yàn)題目改為以問(wèn)題為主線的任務(wù)情境,使學(xué)生自主選擇合理的任務(wù)并進(jìn)行自主設(shè)計(jì),培養(yǎng)學(xué)生創(chuàng)新能力。

(2)實(shí)驗(yàn)教學(xué)中增強(qiáng)學(xué)生團(tuán)隊(duì)意識(shí)。利用信息安全技術(shù)虛擬實(shí)驗(yàn)平臺(tái)拓展和改善學(xué)習(xí)環(huán)境和氛圍。在傳統(tǒng)的分組模式基礎(chǔ)上,在具體操作過(guò)程中根據(jù)學(xué)生水平結(jié)合自愿原則分組,鼓勵(lì)學(xué)生制定不同梯度的任務(wù)作為目標(biāo),適時(shí)引導(dǎo)和有效監(jiān)督,讓學(xué)生體會(huì)到團(tuán)隊(duì)合作的重要性,培養(yǎng)竭誠(chéng)合作的精神。此時(shí),教師的引導(dǎo)作用很重要。

(3)利用信息安全虛擬實(shí)驗(yàn)平臺(tái),改革實(shí)踐課程考核體系。實(shí)驗(yàn)考核中,學(xué)生要在規(guī)定時(shí)間內(nèi)獨(dú)立解決問(wèn)題,確保實(shí)踐考核的實(shí)時(shí)性、公開(kāi)性和準(zhǔn)確性。這樣的學(xué)習(xí)考核方式,使學(xué)生學(xué)習(xí)有目標(biāo)、有壓力,學(xué)生在課前會(huì)認(rèn)真做好準(zhǔn)備,課后強(qiáng)化相關(guān)的信息安全的設(shè)計(jì)和應(yīng)用,調(diào)動(dòng)了學(xué)生的學(xué)習(xí)興趣,從而達(dá)到了提高學(xué)生解決實(shí)踐問(wèn)題能力的教學(xué)目的。

(4)尋求校企合作,鼓勵(lì)學(xué)生到相關(guān)企業(yè)實(shí)習(xí)和工作。讓學(xué)生了解企業(yè)信息安全人才需求,努力讓學(xué)生密切聯(lián)系實(shí)際,鼓勵(lì)學(xué)生到相關(guān)企業(yè)實(shí)習(xí)和工作。在學(xué)校有限的實(shí)驗(yàn)條件下,積極尋求校企合作,鼓勵(lì)學(xué)生去企業(yè)實(shí)習(xí),為畢業(yè)生順利就業(yè)和后續(xù)擴(kuò)大專業(yè)招生打下良好的基礎(chǔ)。

參考文獻(xiàn):

[1] RONGFENG, DENGGUO . A detailed implement and analysis of MPLS VPN based on IPSec proceedings of 2008 international conference on machine learning and cybernetics[R],2008.

[2] FRIEND.Robert making the gigabit IPSec VPN architecture secure source[J].Computer, v37, June, 2009.

[3] CHIUANHUNG LIN, YINGDAR LIN, YUANCHEN LAI. VPN gateways over network processors:implementation and evaluation;real time and embedded technology and applications symposium[J].RTAS 2005.11th IEEE 0710 March 2009.

[4] ZHAO DAYUAN, JIANG YIXIN, LIN CHUANG,et al.Implementation and performance evaluation of IPSec VPN based on netfilter[J].Wuhan University Journal of Natural Sciences,v10,January,2009.

[5] 張劍,寇應(yīng)展,蔣炎,等. IPSecVPN技術(shù)及其安全性[J].福建電腦, 2007(11).

[6] 李超.Linux下IPSec協(xié)議的實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用,2008 (6).

第2篇:信息安全方針?lè)段?/h2>

摘要:文章首先分析了信息安全外包存在的風(fēng)險(xiǎn),根據(jù)風(fēng)險(xiǎn)提出信息安全外包的管理框架,并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險(xiǎn)與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險(xiǎn)進(jìn)行控制,并獲得與外包商合作的最大收益。

1信息安全外包的風(fēng)險(xiǎn)

1.1信任風(fēng)險(xiǎn)

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系,仍是決定時(shí)候?qū)踩?wù)外包的一個(gè)重要因素。因?yàn)樾畔踩耐獍炭梢栽L問(wèn)到企業(yè)的敏感信息,并全面了解其企業(yè)和系統(tǒng)的安全狀況,而這些重要的信息如果被有意或無(wú)意地對(duì)公眾散播出去,則會(huì)對(duì)企業(yè)造成巨大的損害。并且,如若企業(yè)無(wú)法信任外包商,不對(duì)外包商提供一些關(guān)鍵信息的話,則會(huì)造成外包商在運(yùn)作過(guò)程中的信息不完全,從而導(dǎo)致某些環(huán)節(jié)的失效,這也會(huì)對(duì)服務(wù)質(zhì)量造成影響。因此,信任是雙方合作的基礎(chǔ),也是很大程度上風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。

1.2依賴風(fēng)險(xiǎn)

企業(yè)很容易對(duì)某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴性,并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響,恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商,但相應(yīng)地會(huì)加大支出并造成管理上的困難,企業(yè)將失去三種靈活性:第一種是短期靈活性,即企業(yè)重組資源的能力以及在經(jīng)營(yíng)環(huán)境發(fā)生變化時(shí)的應(yīng)變能力;第二種是適應(yīng)能力,即在短期到中期的事件范圍內(nèi)所需的靈活性,這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力,再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性,其本質(zhì)是中期到長(zhǎng)期的靈活性,它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對(duì)技術(shù)趨勢(shì)、商業(yè)趨勢(shì)的準(zhǔn)確預(yù)測(cè)和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風(fēng)險(xiǎn)

不管外包商提供服務(wù)的范圍如何,企業(yè)都對(duì)基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé),并且其服務(wù)級(jí)別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險(xiǎn)緩釋方法是讓包括員工和管理的各個(gè)級(jí)別的相關(guān)人員意識(shí)到,應(yīng)該將信息安全作為其首要責(zé)任,并進(jìn)行安全培訓(xùn)課程,增強(qiáng)常規(guī)企業(yè)的安全意識(shí)。

1.4共享環(huán)境風(fēng)臉

信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨(dú)的機(jī)構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險(xiǎn),因?yàn)楣蚕淼牟僮鳝h(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器),這將會(huì)增加一個(gè)企業(yè)訪問(wèn)另一企業(yè)敏感信息的可能性。這對(duì)企業(yè)而言也是一種風(fēng)險(xiǎn)。

1.5實(shí)施過(guò)程風(fēng)險(xiǎn)

啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商,或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過(guò)程、硬件、軟件或其他資產(chǎn)的復(fù)雜過(guò)渡,這一切都可能引起新的風(fēng)險(xiǎn)。企業(yè)應(yīng)該要求外包商說(shuō)明其高級(jí)實(shí)施計(jì)劃,并注明完成日期和所用時(shí)間。這樣在某種程度上就對(duì)實(shí)施過(guò)程中風(fēng)險(xiǎn)的時(shí)間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險(xiǎn)

如果企業(yè)和服務(wù)商的合作關(guān)系失敗,企業(yè)將面臨極大的風(fēng)險(xiǎn)。合作關(guān)系失敗帶來(lái)的經(jīng)濟(jì)損失、時(shí)間損失都是不言而喻的,而這種合作關(guān)系的失敗歸根究底來(lái)自于企業(yè)和服務(wù)外包商之間的服務(wù)計(jì)劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗,如同其他商業(yè)關(guān)系一樣,它需要給予足夠的重視、關(guān)注,同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。

2信息安全外包的管理框架

要進(jìn)行成功的信息安全外包活動(dòng),就要建立起一個(gè)完善的管理框架,這對(duì)于企業(yè)實(shí)施和管理外包活動(dòng),協(xié)調(diào)與外包商的關(guān)系,最大可能降低外包風(fēng)險(xiǎn),從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個(gè)主體部分,分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn),然后是對(duì)企業(yè)遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評(píng)估.并根據(jù)方針和風(fēng)險(xiǎn)程度.決定風(fēng)險(xiǎn)管理的內(nèi)容并確定信息安全外包的流程。之后,雙方共同制定適合企業(yè)的信息安全外包的控制方法,協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門(mén)的企業(yè)結(jié)構(gòu),同時(shí)加強(qiáng)管理與外包商的關(guān)系。

3信息安全外包風(fēng)險(xiǎn)管理的實(shí)施

3.1制定信息安全方針

信息安全方針在很多時(shí)候又稱為信息安全策略,信息安全方針指的是在一個(gè)企業(yè)內(nèi),指導(dǎo)如何對(duì)資產(chǎn),包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:

(1)信息安全的定義,定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對(duì)信息共享的重要性;

(2)管理層的目的的相關(guān)闡述;

(3)信息安全的原則和標(biāo)準(zhǔn)的簡(jiǎn)要說(shuō)明,以及遵守這些原則和標(biāo)準(zhǔn)對(duì)企業(yè)的重要性;

(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對(duì)企業(yè)的各個(gè)部門(mén)的安全職能給出概括性的定義,而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來(lái)闡明。

3.2選擇信息安全管理的標(biāo)準(zhǔn)

信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):

(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)指定的信息安全管理標(biāo)準(zhǔn),是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn),標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實(shí)施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分,分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計(jì)劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來(lái)對(duì)信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:

(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);

(2)實(shí)物場(chǎng)所(地理位置、部門(mén)等)。

信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度,識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方案,然后進(jìn)行合乎規(guī)范的評(píng)估,識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對(duì)服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評(píng)估,或者在年度檢查中進(jìn)行評(píng)估。選擇和使用的獨(dú)立評(píng)估的方案要雙方都要能夠接受。在達(dá)成書(shū)面一致后,外包商授予企業(yè)獨(dú)立評(píng)估方評(píng)估權(quán)限,并具體指出評(píng)估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié),以減少任何對(duì)可用性,服務(wù)程度,客戶滿意度等的影響。在評(píng)估執(zhí)行后的一段特殊時(shí)間內(nèi),與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開(kāi)發(fā)計(jì)劃程序以應(yīng)對(duì)由評(píng)估顯示的任何變化。評(píng)估所需要的相關(guān)材料和文檔在控制過(guò)程中都應(yīng)該予以建立和保存,企業(yè)將這些文檔作為評(píng)估的重要工具,對(duì)外包商的服務(wù)績(jī)效進(jìn)行考核。評(píng)估結(jié)束后,對(duì)事件解決方案和優(yōu)先級(jí)的檢查都將記錄在相應(yīng)的文件中,以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則,主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架,主要闡明信息安全服務(wù)要如何執(zhí)行,執(zhí)行的通用標(biāo)準(zhǔn)和量度,服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求,這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級(jí)別;報(bào)告要求,服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求,包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問(wèn)控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

(1)首席安全官:CSO是公司的高層安全執(zhí)行者,他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào),主要包括:首席執(zhí)行官、首席運(yùn)營(yíng)官、首席財(cái)務(wù)官、主要管理部門(mén)的領(lǐng)導(dǎo)、首席法律顧問(wèn)。CSO需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況,并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性,包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門(mén)。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來(lái)進(jìn)行信息安全的技術(shù)。

(3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問(wèn)題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官,客戶企業(yè)的CIO和CSO,外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開(kāi)一次會(huì)議,負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評(píng)估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問(wèn)題。如服務(wù)水平的變更,新的技術(shù)手段的應(yīng)用,服務(wù)優(yōu)先等級(jí)的更換以及服務(wù)的財(cái)政問(wèn)題等,咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的TI’人員和安全專員,還有財(cái)務(wù)部門(mén)、人力資源部門(mén)、業(yè)務(wù)部門(mén)的相關(guān)人員,以及外包商的具體項(xiàng)目的負(fù)責(zé)人。

(5)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問(wèn)題,工作組的人員組成也是來(lái)自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系,將突出的問(wèn)題組建成項(xiàng)目進(jìn)行解決,并將無(wú)法解決的問(wèn)題提交給咨詢委員會(huì)。

(6)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成,其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門(mén)中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門(mén),發(fā)掘出企業(yè)中潛在的信息安全的問(wèn)題和漏洞,并將這些問(wèn)題報(bào)告給安全工作組。

(7)指令問(wèn)題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員,包括信息安全專員以及各個(gè)業(yè)務(wù)部門(mén)的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問(wèn)題之后,或者,是當(dāng)CSO了關(guān)于信息安全的企業(yè)改進(jìn)方案之后,這些解決方案都將傳送給指令問(wèn)題管理小組,這個(gè)小組的人員經(jīng)過(guò)學(xué)習(xí)討論后,繼而將其到各個(gè)業(yè)務(wù)部門(mén)。

(8)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對(duì)外包商的服務(wù)過(guò)程的監(jiān)督。

第3篇:信息安全方針?lè)段?/h2>

               (2001)民一終字第79號(hào)

上訴人(原審被告):海城市百柳鎮(zhèn)人民政府,住所地遼寧省海城市西柳鎮(zhèn)。

法定代表人:高士佩,鎮(zhèn)長(zhǎng)。

委托人:孫偉,北京市瑞馳律師事務(wù)所律師。

委托人:關(guān)德才,男,漢族,1952年6月10日生,遼寧省鞍山市東順?lè)煞?wù)所工作人員,住遼寧省鞍山市鐵東區(qū)勝利一中委四組。

被上訴人(原審原告):海城市誠(chéng)信房屋開(kāi)發(fā)總公司,住所地遼寧省海城市西柳鎮(zhèn)石景村。

法定代表人:郝德彪,經(jīng)理。

委托人:曲永莖,鞍山東北律師事務(wù)所律師。

上訴人海城市西柳鎮(zhèn)人民政府(以下簡(jiǎn)稱鎮(zhèn)政府)為與海城市誠(chéng)信房屋開(kāi)發(fā)總公司(以下簡(jiǎn)稱誠(chéng)信公司)土地使用權(quán)轉(zhuǎn)讓、侵權(quán)賠償糾紛一案,不服遼寧省高級(jí)人民法院(1999)遼民初字第3號(hào)民事判決,向本院提?上訴。本院依法組成合議庭審理了本案已審理終結(jié)。

經(jīng)審理查明:1994年3月30日,遼寧省海城準(zhǔn)征用海城市西柳鎮(zhèn)45公頃旱地并出讓給海城市西柳鎮(zhèn)服裝市場(chǎng)管理委員會(huì),用于擴(kuò)建服裝市場(chǎng)。出讓年限50年,地價(jià)每平方米30元,出讓金總額1350萬(wàn)元。同年5月17日,鎮(zhèn)政府取得海城市城鄉(xiāng)建設(shè)委員會(huì)發(fā)給的該45公頃土地的《建設(shè)用地規(guī)劃許可證》和《建設(shè)工程規(guī)劃許可證》。1994年6月4日,鎮(zhèn)政府與誠(chéng)信公司簽訂了《關(guān)于西柳市場(chǎng)擴(kuò)建工程市場(chǎng)南正樓的投資建設(shè)協(xié)議》,約定:一、鎮(zhèn)政府將8576平方米的土地使用權(quán)以每平方米200元出讓給誠(chéng)信公司,考慮到一樓通往市場(chǎng)樓道的占有量,鎮(zhèn)政府退還誠(chéng)信公司土地出讓金20.16萬(wàn)元,實(shí)際土地出讓金151.36萬(wàn)元,協(xié)議生效后一次交付給鎮(zhèn)政府。二、誠(chéng)信公司按照鎮(zhèn)政府的市場(chǎng)建設(shè)總體規(guī)劃投資建設(shè)市場(chǎng)南正樓,具有獨(dú)立產(chǎn)權(quán)資格,自行處理房屋產(chǎn)權(quán)。三、誠(chéng)信公司享受鎮(zhèn)政府市場(chǎng)建設(shè)的各項(xiàng)優(yōu)惠政策,工程于1994年11月15日投入使用。四、鎮(zhèn)政府享有對(duì)誠(chéng)信公司經(jīng)營(yíng)的所有商業(yè)網(wǎng)點(diǎn)的管理權(quán),負(fù)責(zé)工程投入使用后的配套來(lái)源,綜合配套費(fèi)按決算價(jià)格合理負(fù)擔(dān)。五、如誠(chéng)信公司中途停工,視為誠(chéng)信公司放棄工程建設(shè),其投入的資金無(wú)償交付鎮(zhèn)政府。如不能如期將工程交付使用,每延期一天賠償鎮(zhèn)政府2萬(wàn)元。該合同經(jīng)海城市公證處公證。

1994年6月6日,鎮(zhèn)政府與誠(chéng)信公司簽訂《關(guān)于西柳鎮(zhèn)人民政府購(gòu)買(mǎi)城信房屋開(kāi)發(fā)總公司的建市場(chǎng)正南樓第四層樓的協(xié)議》,約定:鎮(zhèn)政府購(gòu)買(mǎi)誠(chéng)信公司投資建設(shè)的西柳市場(chǎng)南正樓四層的全部建筑房間,價(jià)格為基本造價(jià),約每平方米1200元,共計(jì)893.76萬(wàn)元。協(xié)議簽訂后一個(gè)月內(nèi)付款200萬(wàn)元,房屋投入使用時(shí)付款結(jié)束。該協(xié)議簽訂后,鎮(zhèn)政府沒(méi)有交付購(gòu)房款,但南正樓第四層樓一直由鎮(zhèn)政府占用。一審期間,誠(chéng)信公司表示南正樓第四層樓可以由鎮(zhèn)政府使用,但應(yīng)確認(rèn)誠(chéng)信公司的產(chǎn)權(quán),由誠(chéng)信公司和鎮(zhèn)政府協(xié)商使用期限和租金數(shù)額。

1994年6月18日,誠(chéng)信公司向鎮(zhèn)政府交納土地使用權(quán)轉(zhuǎn)讓金150萬(wàn)元(收款收據(jù)名義:市場(chǎng)南樓土地征用費(fèi))和暫存款50萬(wàn)元。誠(chéng)信公司和鞍山市第八建筑工程公司簽訂了《建設(shè)工程施工合同》,同年11月15日市場(chǎng)南正樓建成投入使用。工程建設(shè)期間,鎮(zhèn)政府和誠(chéng)信公司分別對(duì)外預(yù)售了南正樓的攤位及一樓門(mén)點(diǎn)。鎮(zhèn)政府收取預(yù)售款后再轉(zhuǎn)給誠(chéng)信公司。經(jīng)一審法院委托沈陽(yáng)華倫會(huì)計(jì)師事務(wù)所對(duì)鎮(zhèn)政府預(yù)售攤位的時(shí)間、數(shù)量、收款金額、資金流向及預(yù)售門(mén)點(diǎn)房的收款等情況進(jìn)行了審計(jì)鑒定,該事務(wù)所依據(jù)鎮(zhèn)政府提供的會(huì)計(jì)資料和憑證、海城市西柳鎮(zhèn)財(cái)政所提供的會(huì)計(jì)憑證和明細(xì)賬,確認(rèn)鎮(zhèn)政府售出攤位1350個(gè),收款2565萬(wàn)元;出售門(mén)點(diǎn)1021.51平方米,銷(xiāo)售款510.755萬(wàn)元,兩項(xiàng)合計(jì)3075.755萬(wàn)元。鎮(zhèn)政府向誠(chéng)信公司共轉(zhuǎn)款2100萬(wàn)元,其中800萬(wàn)元是以銷(xiāo)售攤位款的名義,1300萬(wàn)元以鎮(zhèn)政府投資款的名義劃轉(zhuǎn)。誠(chéng)信公司向鎮(zhèn)政府出具了收款收據(jù)。剩余的975.755萬(wàn)元銷(xiāo)售款鎮(zhèn)政府沒(méi)有轉(zhuǎn)給誠(chéng)信公司。鎮(zhèn)政府另占用門(mén)點(diǎn)房屋1860.49平方米,按門(mén)點(diǎn)房屋銷(xiāo)售價(jià)每平方米5000元計(jì),合款930.245萬(wàn)元。

鎮(zhèn)政府主張,工程施工期間,鎮(zhèn)政府曾與誠(chéng)信公司達(dá)成由鎮(zhèn)政府投資1500萬(wàn)元與誠(chéng)信公司進(jìn)行聯(lián)建、雙方按62%和38%的比例分配利潤(rùn)的口頭協(xié)議。誠(chéng)信公司則稱鎮(zhèn)政府提出過(guò)聯(lián)建要求,但雙方?jīng)]有達(dá)成口頭協(xié)議。

1999年2月20日,誠(chéng)信公司向遼寧省高級(jí)人民法院提起訴訟,請(qǐng)求確認(rèn)其享有百柳鎮(zhèn)服裝市場(chǎng)南正樓的全部產(chǎn)權(quán)和經(jīng)營(yíng)管理權(quán),責(zé)令鎮(zhèn)政府為其補(bǔ)辦相關(guān)的產(chǎn)權(quán)手續(xù),停止侵權(quán)行為并賠償其經(jīng)濟(jì)損失2100萬(wàn)元,承擔(dān)違約責(zé)任。2001年2月11日,誠(chéng)信公司向一審法院請(qǐng)求以2001年1月2日的審計(jì)報(bào)告為準(zhǔn)確定鎮(zhèn)政府欠款的數(shù)額。

一審法院認(rèn)為,鎮(zhèn)政府與誠(chéng)信公司簽訂的《關(guān)于西柳市場(chǎng)擴(kuò)建工程市場(chǎng)南正樓的投資建設(shè)協(xié)議》是雙方當(dāng)事人的真實(shí)意思表示,合法有效。誠(chéng)信公司依據(jù)該協(xié)議向鎮(zhèn)政府交付了土地使用權(quán)轉(zhuǎn)讓金,委托鞍山市第八建筑工程公司完成了建設(shè)施工,支付了工程款,已經(jīng)實(shí)際履行了合同義務(wù)。鎮(zhèn)政府主張?jiān)搮f(xié)議已經(jīng)廢止,雙方另行約定了聯(lián)合開(kāi)發(fā)的協(xié)議內(nèi)容,沒(méi)有確實(shí)充分的證據(jù)證明,不予采信。鎮(zhèn)政府雖以投資款名義轉(zhuǎn)給誠(chéng)信公司1300萬(wàn)元款項(xiàng),但經(jīng)審計(jì)確認(rèn),該款是鎮(zhèn)政府預(yù)售誠(chéng)信公司開(kāi)發(fā)的房屋所得,并非鎮(zhèn)政府的實(shí)際投資。依據(jù)雙方協(xié)議的約定,工程建成后其產(chǎn)權(quán)歸誠(chéng)信公司所有,前期預(yù)售的攤位、門(mén)點(diǎn),應(yīng)由誠(chéng)信公司為購(gòu)房人辦理相應(yīng)的產(chǎn)權(quán)或使用權(quán)手續(xù)。因此鎮(zhèn)政府銷(xiāo)售攤位、門(mén)點(diǎn)所得款項(xiàng)應(yīng)當(dāng)返還給誠(chéng)信公司。鎮(zhèn)政府使用的四樓房屋,應(yīng)與誠(chéng)信公司協(xié)商使用期限和房屋租金。鎮(zhèn)政府收取的3075.755萬(wàn)元預(yù)售款,除已返還的2100萬(wàn)元外,尚欠的975.755萬(wàn)元應(yīng)當(dāng)返還。鎮(zhèn)政府占用門(mén)點(diǎn)1860.49平方米,合款930.245萬(wàn)元,亦應(yīng)返還。因雙方未約定銷(xiāo)售款的給付期限,且鎮(zhèn)政府為誠(chéng)信公司銷(xiāo)售房屋亦做了一定工作,故鎮(zhèn)政府可不賠償上述款項(xiàng)的占款利息。關(guān)于已售出的攤位、門(mén)點(diǎn)的管理費(fèi),除應(yīng)由工商行政管理部門(mén)收取的管理費(fèi)之外,其它基于市場(chǎng)南正樓房屋產(chǎn)權(quán)而產(chǎn)生的費(fèi)用應(yīng)歸誠(chéng)信公司所得。本案涉及的國(guó)有土地使用權(quán)和房屋產(chǎn)權(quán)權(quán)屬證書(shū),誠(chéng)信公司可持相關(guān)法律文件到有關(guān)行政管理部門(mén)辦理,鎮(zhèn)政府應(yīng)予配合。依據(jù)《中華人民共和國(guó)民法通則》第八十八條第一款、第一百一十七條第一款、《中華人民共和國(guó)城市房地產(chǎn)管理法》第五條的規(guī)定,判決:一、海城市百柳服裝市場(chǎng)南正樓的產(chǎn)權(quán)及相應(yīng)的國(guó)有土地使用權(quán)歸誠(chéng)信公司所有;二、鎮(zhèn)政府于判決生效后10日內(nèi)返還誠(chéng)信公司售房款975.755萬(wàn)元;三、鎮(zhèn)政府于判決生效后10日內(nèi)將占用的門(mén)點(diǎn)房屋1860.49平方米返還給誠(chéng)信公司,如不能返還房屋,則應(yīng)返還該房屋的折價(jià)款930.245萬(wàn)元;四、駁回誠(chéng)信公司的其它訴訟請(qǐng)求。案件受理費(fèi)115010元,審計(jì)費(fèi)30000元,由鎮(zhèn)政府負(fù)擔(dān)。

鎮(zhèn)政府不服一審判決向本院提?上訴,請(qǐng)求改判鎮(zhèn)政府對(duì)南正樓享有62%的產(chǎn)權(quán),誠(chéng)信公司享有38%的產(chǎn)權(quán)。理由是:1、1994年6月4日鎮(zhèn)政府與誠(chéng)信公司簽訂的《關(guān)于西柳市場(chǎng)擴(kuò)建工程市場(chǎng)南正樓的投資建設(shè)協(xié)議》是無(wú)效協(xié)議,實(shí)際上沒(méi)有履行。南正樓建設(shè)資金絕大部分來(lái)自攤位和門(mén)點(diǎn)的預(yù)售款。誠(chéng)信公司稱南正樓工程款為3600萬(wàn)元,而鎮(zhèn)政府陸續(xù)以“預(yù)售攤床款、工程款、付市場(chǎng)綜合樓投資款”的名義向誠(chéng)信公司撥款3300萬(wàn)元,因此預(yù)售攤位和門(mén)市的款項(xiàng)基本滿足了工程所需資金。如果認(rèn)定為工程投資,也應(yīng)視為雙方投資,不能認(rèn)定為單方投資。鎮(zhèn)政府與誠(chéng)信公司曾口頭協(xié)商過(guò)鎮(zhèn)政府投資1500萬(wàn)元,按62:38與誠(chéng)信公司分配利潤(rùn)的問(wèn)題,在向誠(chéng)信公司撥付預(yù)售攤床款的工程中,鎮(zhèn)政府也以“鎮(zhèn)政府投資款”的名義撥付了1503.35萬(wàn)元,誠(chéng)信公司開(kāi)具了收據(jù)。因此口頭協(xié)議已經(jīng)實(shí)際履行,南正樓建成后,雙方也是基本按此比例實(shí)際占有的。另外,一審訴訟轉(zhuǎn)讓沒(méi)有實(shí)際解決,誠(chéng)信公司1994年6月24日才領(lǐng)取其營(yíng)業(yè)執(zhí)照,《關(guān)于西柳市場(chǎng)擴(kuò)建工程市場(chǎng)南正樓的投資建設(shè)協(xié)議》應(yīng)認(rèn)定為無(wú)效協(xié)議。2、一審判判決依據(jù)審計(jì)報(bào)告判令鎮(zhèn)政府返還誠(chéng)信公司款項(xiàng)合計(jì)1905.1萬(wàn)元數(shù)額有誤。誠(chéng)信公司在起訴狀中稱鎮(zhèn)政府預(yù)售攤位和門(mén)點(diǎn)的收入共計(jì)3312.68萬(wàn)元,先后轉(zhuǎn)給誠(chéng)信公司3300萬(wàn)元,尚欠12.68萬(wàn)元。但一審判決卻判令鎮(zhèn)政府返還預(yù)售款975.755萬(wàn)元。而一審訴訟中誠(chéng)信公司并沒(méi)有增加訴訟請(qǐng)求。3、一審判決遺漏了鎮(zhèn)政府的其它投資。包括配套費(fèi)663萬(wàn)元、含南正樓在內(nèi)交納二期工程各種稅款2311萬(wàn)元,南正樓防火設(shè)施費(fèi)120萬(wàn)元,獎(jiǎng)勵(lì)施工單位90萬(wàn)元等。

誠(chéng)信公司答辯稱,《關(guān)于西柳市場(chǎng)擴(kuò)建工程市場(chǎng)南正樓的投資建設(shè)協(xié)議》合法有效,已經(jīng)實(shí)際履行。根據(jù)人民政府組織法的規(guī)定,政府機(jī)關(guān)從事市場(chǎng)經(jīng)營(yíng)行為是為我國(guó)法律所禁止的。鎮(zhèn)政府作為政府機(jī)關(guān)履行政府的社會(huì)管理職能,不能直接參與企業(yè)的經(jīng)營(yíng)活動(dòng)。鎮(zhèn)政府主張工程施工過(guò)程中雙方口頭達(dá)成聯(lián)建協(xié)議,沒(méi)有事實(shí)根據(jù)。一審法院委托沈陽(yáng)市華倫審計(jì)事務(wù)所進(jìn)行的審計(jì)是依據(jù)鎮(zhèn)政府提供的賬目進(jìn)行的,結(jié)果客觀、公正。鎮(zhèn)政府所稱的其它投資從性?上看,配套費(fèi)不是對(duì)南正樓的投資,稅款是整個(gè)市場(chǎng)工程的稅款,不僅是南正樓的稅款。防火設(shè)施費(fèi)缺乏證據(jù)證實(shí),獎(jiǎng)勵(lì)施工單位的款項(xiàng)與本案無(wú)關(guān),是鎮(zhèn)政府的單方行為,財(cái)務(wù)憑據(jù)上也表現(xiàn)為鞍山市第八建筑工程公司的借款單。同時(shí)鎮(zhèn)政府在一審期間也沒(méi)有提出反訴請(qǐng)求,主張其權(quán)利。請(qǐng)求駁回上訴,維持原判。

本院認(rèn)為,鎮(zhèn)政府主張其與誠(chéng)信公司存在聯(lián)建的“口頭協(xié)議”,缺乏證據(jù)。鎮(zhèn)政府作為政府機(jī)關(guān),稱其與誠(chéng)信公司“投資聯(lián)建”,與其政府機(jī)關(guān)的性質(zhì)、職能不符。1994年6月4日雙方訂立的《關(guān)于西柳市場(chǎng)擴(kuò)建工程市場(chǎng)南正樓的投資建設(shè)協(xié)議》是土地使用權(quán)轉(zhuǎn)讓性質(zhì)的合同,其內(nèi)容不違反法律規(guī)定。雖然誠(chéng)信公司1994年6月24日取得企業(yè)法人營(yíng)業(yè)執(zhí)照,但雙方當(dāng)事人已經(jīng)實(shí)際履行該協(xié)議,誠(chéng)信公司是建設(shè)項(xiàng)目的投資者和建設(shè)者,一審法院認(rèn)定合同合法有效并無(wú)不當(dāng)。誠(chéng)信公司對(duì)鎮(zhèn)政府預(yù)售攤位款的情況提出異議,請(qǐng)求對(duì)鎮(zhèn)政府的收款賬目進(jìn)行審計(jì),鎮(zhèn)政府表示同意。經(jīng)一審法院委托沈陽(yáng)華倫會(huì)計(jì)師事務(wù)所進(jìn)行審計(jì),確定了鎮(zhèn)政府預(yù)售攤位的時(shí)間、數(shù)量、收款金額、資金流向及預(yù)售門(mén)點(diǎn)房的收款情況等,其依據(jù)是鎮(zhèn)政府提供的會(huì)計(jì)資料和鎮(zhèn)政府財(cái)政所提供的會(huì)計(jì)憑證和明細(xì)賬。審計(jì)鑒定程序合法,雙方當(dāng)事人無(wú)異議,審計(jì)結(jié)論經(jīng)雙方當(dāng)事人質(zhì)證。誠(chéng)信公司于2001年2月11日請(qǐng)求一審法院對(duì)鎮(zhèn)政府欠款數(shù)額以審計(jì)報(bào)告為準(zhǔn),應(yīng)當(dāng)視為其已變更了訴訟請(qǐng)求。一審法院依據(jù)雙方當(dāng)事人一致同意的審計(jì)結(jié)論確認(rèn)欠款數(shù)額作出判決并無(wú)不當(dāng)。鎮(zhèn)政府上訴提出一審判決超出了誠(chéng)信公司的訴訟請(qǐng)求的理由不能成立。本院二審期間,鎮(zhèn)政府也沒(méi)有對(duì)返還預(yù)售款的數(shù)額問(wèn)題提交相反的證據(jù)證明審計(jì)結(jié)論有錯(cuò)誤,因此鎮(zhèn)政府應(yīng)按審計(jì)結(jié)論確定的數(shù)額向誠(chéng)信公司返還尚欠的預(yù)售款。鎮(zhèn)政府主張的配套費(fèi)等“其它投資”問(wèn)題,因鎮(zhèn)政府對(duì)此沒(méi)有提出反訴,可由鎮(zhèn)政府依法另行解決。鎮(zhèn)政府與誠(chéng)信公司之間的《關(guān)于西柳市場(chǎng)擴(kuò)建工程市場(chǎng)南正樓的投資建設(shè)協(xié)議》合法有效,鎮(zhèn)政府應(yīng)協(xié)助誠(chéng)信公司辦理相關(guān)的房屋產(chǎn)權(quán)和土地使用權(quán)手續(xù)。我國(guó)實(shí)行的是國(guó)有土地有償使用制度,一審判決第一項(xiàng)確認(rèn)海城市百柳服裝市場(chǎng)南正樓的土地使用權(quán)歸誠(chéng)信公司所有不當(dāng)。依據(jù)《中華人民共和國(guó)民事訴訟法》第一百五十三條第一款第(二)項(xiàng)的規(guī)定,判決如下:

一、變更遼寧省高級(jí)人民法院〈1999〉遼民初字第3號(hào)民事判決第一項(xiàng)為:誠(chéng)信公司享有海城市西柳服裝市場(chǎng)南正樓的房屋產(chǎn)權(quán)和土地使用權(quán)。

二、維持遼寧省高級(jí)人民法院〈1999〉遼民初字第3號(hào)民事判決第二、三、四項(xiàng)。

一審案件受理費(fèi)按一審判決執(zhí)行,二審案件受理費(fèi)115010元,由鎮(zhèn)政府負(fù)擔(dān)。

本判決為終審判決。

                                                           審判長(zhǎng) 胡仕浩

                                                           審判員 張雅芬

                                                         審判員 楊興業(yè)

第4篇:信息安全方針?lè)段?/h2>

關(guān)鍵詞:信息安全;管理;電子信息

引言

在計(jì)算機(jī)技術(shù)更新、發(fā)展迅速的今天,總有一些不法分子通過(guò)各種手段竊取企業(yè)信息,嚴(yán)重威脅企業(yè)財(cái)產(chǎn)、業(yè)務(wù)安全,甚至損壞企業(yè)形象與品牌。在傳統(tǒng)的信息安全管理中,往往忽略了人在信息安全方面的重要作用,而僅僅依賴于技術(shù)管理。雖然技術(shù)對(duì)信息安全管理有重要作用,但如果只依賴于技術(shù)管理,將不能起到良好的防范效果。因?yàn)閾?jù)權(quán)威機(jī)構(gòu)的數(shù)據(jù)顯示,在所有信息安全事故中,70%-80%是因?yàn)閮?nèi)部員工的疏忽或泄密引起的。因此,為了提高電子信息的安全管理,必須加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)的防范意識(shí),建立電子商務(wù)安全管理體系和信息安全管理制度等。

一、加強(qiáng)電子信息網(wǎng)絡(luò)安全防范意識(shí)

據(jù)調(diào)查,網(wǎng)站安全的隱患,在我國(guó)的許多企業(yè)都有存在,它的原因主要是企業(yè)管理者對(duì)網(wǎng)絡(luò)安全意識(shí)缺乏足夠的重視,他們大多數(shù)對(duì)網(wǎng)絡(luò)安全系統(tǒng)只建立了技術(shù)防范機(jī)制,用一些先進(jìn)的技術(shù)手段阻隔竊取者的入侵,保證電子信息的安全,但是卻未形成互聯(lián)網(wǎng)易受攻擊的意識(shí)。這就為黑客等竊取者有機(jī)可乘。尤其在一些中小企業(yè),認(rèn)為自己公司的規(guī)模小,不會(huì)招致侵犯,如此態(tài)度,網(wǎng)絡(luò)安全就更難以得到保護(hù)。因此,要使電子商務(wù)信息安全得到保護(hù),必須加強(qiáng)企業(yè)管理者與工作人員的安全防范意識(shí),只有如此才能維護(hù)電子商務(wù)信息安全。

二、建立健全電子安全管理組織體系

加強(qiáng)對(duì)電子信息安全的保護(hù),必須在堅(jiān)持企業(yè)目標(biāo)與安全方針的前提下,在企業(yè)內(nèi)部建立電子商務(wù)安全管理組織體系,就是建立信息安全指導(dǎo)委員會(huì),對(duì)組織內(nèi)的信息安全問(wèn)題定期進(jìn)行討論與解決。他們主要負(fù)責(zé)審批信息安全方針、政策;分配信息安全管理職責(zé);并對(duì)風(fēng)險(xiǎn)評(píng)估加以確認(rèn),對(duì)信息安全預(yù)算計(jì)劃及設(shè)施購(gòu)置的審查與批復(fù);此外,還有負(fù)責(zé)實(shí)施與評(píng)審信息安全的措施與監(jiān)測(cè)和對(duì)安全事故的處理;以及協(xié)調(diào)與信息安全管理有關(guān)的重大更改事項(xiàng)的決策,對(duì)信息安全管理隊(duì)伍與各部門(mén)之間的關(guān)系的等職能。

三、建立電子信息安全管理制度

電子商務(wù)信息安全管理制度主要有人員管理制度、保密制度、系統(tǒng)維護(hù)制度、病毒防范制度等。制定科學(xué)合理的電子信息安全管理制度,對(duì)企業(yè)的信息安全管理有著積極的促進(jìn)作用。企業(yè)要根據(jù)自身的特點(diǎn),在制度制定時(shí)對(duì)網(wǎng)絡(luò)信息的安全等級(jí)進(jìn)行有序的劃分,以此使具體的安全目標(biāo)加以確立。

1.人員管理制度

人員管理制度包括人事選拔制度、人員管理原則、網(wǎng)絡(luò)管理人員的基本要求等內(nèi)容。其中,良好的人事選拔制度是維護(hù)電子信息安全之本。人員管理的基本原則包括多人負(fù)責(zé)原則和輪崗原則、有限權(quán)力原則、離職控制原則。而網(wǎng)絡(luò)管理人員的基本要求包括以下幾個(gè)方面:

(1)不得隨便放置賬號(hào)和密碼;(2)在廢紙堆中不得放置敏感數(shù)據(jù);(3)不得使陌生人進(jìn)入要害部門(mén);(4)要將防火墻等安全產(chǎn)品謹(jǐn)慎配置;(5)不得使用人人皆知的密碼和空密碼;(6)加強(qiáng)層層設(shè)防重要系統(tǒng);(7)查閱安全日志需配備專人;(8)對(duì)員工的安全防范意識(shí)加以培訓(xùn)。

2.保密制度

企業(yè)的市場(chǎng)、生產(chǎn)、財(cái)務(wù)、供應(yīng)等多方面的機(jī)密,電子信息運(yùn)營(yíng)都有所涉及,因此制定和實(shí)行嚴(yán)格的保密制度是完全有必要的事情。我們依靠信息的性質(zhì)和重要程度,將保密信息劃分為三級(jí)。分別是必須實(shí)行強(qiáng)制安全保護(hù)的A級(jí)機(jī)密信息,必須實(shí)行自主安全保護(hù)的B級(jí)內(nèi)部信息與必須實(shí)行一般安全保護(hù)級(jí)的C級(jí)公共信息。

3.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度

網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度是用于記錄系統(tǒng)運(yùn)行的全過(guò)程。這就要求企業(yè)在網(wǎng)絡(luò)系統(tǒng)中建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制,并自動(dòng)生成日志文件。日志文件主要內(nèi)容有:操作的日期、操作的方式、登錄的次數(shù)、運(yùn)行的時(shí)間、交易的內(nèi)容等。它對(duì)監(jiān)督系統(tǒng)的運(yùn)行、分析維護(hù)、恢復(fù)故障、防止盜密案件的發(fā)生等起著非常重要的作用。此外,它還有檢查系統(tǒng)日志、審核、對(duì)系統(tǒng)故意入侵行為及時(shí)發(fā)現(xiàn)的記錄和對(duì)系統(tǒng)安全功能違反的記錄、監(jiān)控和捕捉各種安全事件、保存、維護(hù)和管理系統(tǒng)日志等的審計(jì)作用。

4.防止病毒入侵制度

作為防止病毒襲擊,保證網(wǎng)上交易的一個(gè)重要方面,防病毒入侵制度對(duì)網(wǎng)上交易的順利開(kāi)展,有著積極的防范作用。因此必須及時(shí)建立病毒防范措施,實(shí)行病毒定期清理制度,將處于潛伏期的病毒清除干凈,預(yù)防與阻止病毒的突然爆發(fā),保持計(jì)算機(jī)的工作狀態(tài)始終處于良好的環(huán)境中,從而為網(wǎng)上交易的正常進(jìn)行提供有力的保證。

四、結(jié)束語(yǔ)

企業(yè)電子信息的安全管理依賴于一個(gè)完整而有力的管理體系,來(lái)保證信息安全管理的規(guī)范與長(zhǎng)效。而建立完善的管理體系需要注重人為方面的因素,將人為因素與科技因素結(jié)合起來(lái),這樣才能達(dá)到企業(yè)安全管理的安全、可靠與穩(wěn)定。

參考文獻(xiàn):

[1]趙剛;王興芬.電子信息安全管理體系架構(gòu)優(yōu)先出版[J].北京信息科技大學(xué)學(xué)報(bào)(自然科學(xué)版,2010(14).

第5篇:信息安全方針?lè)段?/h2>

內(nèi)部控制是被審計(jì)單位為了合理保證財(cái)務(wù)報(bào)告的可靠性、經(jīng)營(yíng)的效率和效果一級(jí)對(duì)法律法規(guī)的遵守,由管理層和其他人員設(shè)計(jì)和執(zhí)行的政策和程序。

ERP系統(tǒng)引入內(nèi)部控制是內(nèi)部控制的革新,ERP的引入給內(nèi)部控制帶來(lái)了新的方法,改變了內(nèi)部控制的方式,其集中性的數(shù)據(jù)處理使內(nèi)部控制程序化,擴(kuò)大了內(nèi)部會(huì)計(jì)控制的范圍,改變了內(nèi)部控制的內(nèi)部與外部環(huán)境,改變了內(nèi)部會(huì)計(jì)控制的重點(diǎn),使內(nèi)部控制的重點(diǎn)不只是在人員之間的互相牽制上。它還改變了信息與溝通的模式,電子化、程序化的信息傳遞取代了以信息存儲(chǔ)技術(shù),物理性可視的手工信息傳遞,為管理者、員工和顧客等提供了更為方便的交流平臺(tái)。

二、ERP系統(tǒng)下企業(yè)內(nèi)部控制的風(fēng)險(xiǎn)

首先,ERP系統(tǒng)的實(shí)施本身就存在著很大的不確定性,總會(huì)存在著一些不可預(yù)見(jiàn)的影響因素凸顯出來(lái),影響ERP系統(tǒng)在企業(yè)中的實(shí)施,由此而帶來(lái)的風(fēng)險(xiǎn)是一個(gè)方面,同時(shí),企業(yè)內(nèi)部控制本來(lái)就存在著一些固有風(fēng)險(xiǎn)和不確定風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)主要表現(xiàn)在以下幾個(gè)方面:

1.系統(tǒng)設(shè)備的控制風(fēng)險(xiǎn)

設(shè)備是ERP系統(tǒng)運(yùn)行的基礎(chǔ),因此如何保證設(shè)備的安全是系統(tǒng)風(fēng)險(xiǎn)防范的基礎(chǔ)。設(shè)備安全面臨的風(fēng)險(xiǎn)主要是各種自然災(zāi)害和人員的偷竊行為。如果一個(gè)企業(yè)沒(méi)有對(duì)設(shè)備安全風(fēng)險(xiǎn)進(jìn)行分析,并置備必要的預(yù)防系統(tǒng),在事故突然發(fā)生時(shí)就不能迅速做出反應(yīng),防止設(shè)備受到損害。

2.管理部門(mén)內(nèi)的控制風(fēng)險(xiǎn)

職責(zé)分離是企業(yè)內(nèi)部控制的基礎(chǔ)控制手段,其主要目標(biāo)是預(yù)防因內(nèi)部人員的舞弊行為而使企業(yè)遭受損失。在ERP系統(tǒng)環(huán)境下,如果一個(gè)企業(yè)沒(méi)有對(duì)相關(guān)職位進(jìn)行職責(zé)分離或者沒(méi)有嚴(yán)格分離,這些職位的責(zé)任人就都有可能隨便查看系統(tǒng)甚至修改系統(tǒng),盜取系統(tǒng)數(shù)據(jù),這對(duì)企業(yè)會(huì)造成很大的損失。

3.信息傳遞的控制風(fēng)險(xiǎn)

信息傳遞即企業(yè)ERP系統(tǒng)與網(wǎng)上采購(gòu)系統(tǒng)以及財(cái)務(wù)會(huì)計(jì)系統(tǒng)等進(jìn)行溝通。由工作人員將通過(guò)網(wǎng)上競(jìng)標(biāo)得到的供應(yīng)商信息錄入到ERP系統(tǒng)中進(jìn)行物料采購(gòu)的管理。各財(cái)務(wù)數(shù)據(jù)信息也由工作人員導(dǎo)入ERP系統(tǒng)中,由系統(tǒng)進(jìn)行處理,形成可識(shí)別文件類型。這些都要在保證輸入正確的基礎(chǔ)上進(jìn)行。在這一過(guò)程中,風(fēng)險(xiǎn)存在各個(gè)方面,如在輸入的過(guò)程中,可能產(chǎn)生輸入數(shù)據(jù)的錯(cuò)誤,有時(shí)一個(gè)數(shù)據(jù)的錯(cuò)誤就會(huì)導(dǎo)致整個(gè)系統(tǒng)的數(shù)據(jù)無(wú)法對(duì)上,再次錄入或者檢查又會(huì)浪費(fèi)很多時(shí)間,大大降低工作效率。各個(gè)系統(tǒng)的連接,也可能出現(xiàn)問(wèn)題,導(dǎo)致ERP系統(tǒng)的運(yùn)用出現(xiàn)一系列差錯(cuò),等等。

三、ERP系統(tǒng)下企業(yè)內(nèi)部控制風(fēng)險(xiǎn)的防范

1.加強(qiáng)安全意識(shí),完善安全管理

企業(yè)應(yīng)設(shè)立與安全相關(guān)部門(mén),已設(shè)置安全部門(mén)的應(yīng)強(qiáng)調(diào)安全部門(mén)的重要作用,完善安全部門(mén)的職能,明確其工作重點(diǎn)與目標(biāo),加強(qiáng)安全防范。

2.嚴(yán)格部門(mén)內(nèi)部系統(tǒng)管理人員職責(zé)分離

在ERP系統(tǒng)環(huán)境下,可能發(fā)生舞弊行為的職位應(yīng)該分由不同的人員負(fù)責(zé),避免一人負(fù)責(zé)幾個(gè)相關(guān)職務(wù)的工作。嚴(yán)格系統(tǒng)管理人員的職責(zé)分離,明確紀(jì)律,對(duì)工作人員進(jìn)行這方面的教育,保證ERP系統(tǒng)的運(yùn)行有一個(gè)安全正規(guī)的內(nèi)部環(huán)境。

3.加強(qiáng)員工的信息安全意識(shí),進(jìn)行信息安全控制的再教育

企業(yè)ERP系統(tǒng)和內(nèi)控系統(tǒng)的安全管理離不開(kāi)人的作用,企業(yè)應(yīng)該從上至下建立起信息安全的觀念,管理層應(yīng)根據(jù)系統(tǒng)的需要和特點(diǎn)制定一套具體的信息安全指導(dǎo)方針,并向企業(yè)各部門(mén)。同時(shí),對(duì)員工進(jìn)行信息安全的再教育,培養(yǎng)員工的信息安全意識(shí),使員工在進(jìn)行業(yè)務(wù)處理時(shí)能夠依據(jù)企業(yè)的信息安全方針進(jìn)行信息安全控制和風(fēng)險(xiǎn)防范,并使其成為員工的一項(xiàng)自覺(jué)的行為。

4.加強(qiáng)監(jiān)督

任何事情不僅要有一套實(shí)施的體系,還必須有相應(yīng)的監(jiān)督體系。缺少了監(jiān)督,就會(huì)日漸成風(fēng)。這里所說(shuō)的監(jiān)督,不是只對(duì)系統(tǒng)操作人員和管理人員等進(jìn)行的監(jiān)督,也包括管理層人員和系統(tǒng)操作人員,還包括其他員工。系統(tǒng)操作人員是最直接與系統(tǒng)接觸的,在系統(tǒng)環(huán)境下,他們負(fù)責(zé)處理日常各種業(yè)務(wù),舞弊的可能性最大,在企業(yè)中,對(duì)他們進(jìn)行直接監(jiān)督的是上級(jí)管理人員,但這是不夠的,各管理層人員和其他員工都有監(jiān)督的權(quán)利和義務(wù)。對(duì)管理層人員來(lái)說(shuō),由于職權(quán)的關(guān)系,他們大多時(shí)候可以直接進(jìn)入系統(tǒng),所受約束比較小,舞弊和與系統(tǒng)操作人員共同舞弊的可能性也是很大的,因此管理人員也是應(yīng)該接受人們監(jiān)督的。員工,不僅系統(tǒng)操作部門(mén)的員工,也包括其他各部門(mén)員工,既有監(jiān)督他人的權(quán)利,也要受其他人的監(jiān)督。

第6篇:信息安全方針?lè)段?/h2>

關(guān)鍵詞: 企業(yè)信息系統(tǒng);信息安全;安全策略

中圖分類號(hào):F270.7 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2012)0220165-01

隨著市場(chǎng)經(jīng)濟(jì)的不斷發(fā)展,企業(yè)競(jìng)爭(zhēng)越來(lái)越激烈,國(guó)際化合作不斷增多,隨之而來(lái)的企業(yè)信息安全是目前我國(guó)企業(yè)普遍存在的問(wèn)題。對(duì)企業(yè)來(lái)說(shuō),信息安全是一項(xiàng)艱巨的工作,關(guān)系到企業(yè)的發(fā)展。近年來(lái),圍繞企業(yè)信息安全問(wèn)題的話題不斷,企業(yè)信息安全事件也頻頻發(fā)生,如何保證企業(yè)信息的安全,保證信息系統(tǒng)的正常運(yùn)轉(zhuǎn),已經(jīng)成為信息安全領(lǐng)域研究的新熱點(diǎn)。

1 企業(yè)信息安全的意義

信息安全是一個(gè)含義廣泛的名詞,是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞,或防止信息被非法辨識(shí)、控制,即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運(yùn)轉(zhuǎn),離不開(kāi)信息資源的支撐。企業(yè)信息安全建設(shè)對(duì)企業(yè)的發(fā)展意義重大。

首先,信息安全是時(shí)展的需要。計(jì)算機(jī)網(wǎng)絡(luò)時(shí)代的發(fā)展,改變了傳統(tǒng)的商務(wù)運(yùn)作模式,改變了企業(yè)的生產(chǎn)方式和思想觀念,極大推動(dòng)了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設(shè)將使得企業(yè)的管理水平與國(guó)際先進(jìn)水平接軌,從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。

其次,信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設(shè)帶來(lái)了生產(chǎn)效率提高、成本降低、業(yè)務(wù)拓展等諸多好處。當(dāng)前越來(lái)越多的企業(yè)信息和數(shù)據(jù),都是以電子文檔的形式存在,對(duì)企業(yè)來(lái)說(shuō),信息安全是使企業(yè)信息不受威脅和侵害的保證,是企業(yè)發(fā)展的基本保障,所以,在積極防御,綜合防范的方針指導(dǎo)下,有效地防范和規(guī)避風(fēng)險(xiǎn),建立起一套切實(shí)可行的長(zhǎng)效防范機(jī)制,逐步建立起信息安全保障體系,有利于企業(yè)的發(fā)展。

最后,信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進(jìn)企業(yè)穩(wěn)定和信息化發(fā)展的重點(diǎn),要充分認(rèn)識(shí)信息安全工作的緊迫感和長(zhǎng)期性,從企業(yè)的安全、經(jīng)濟(jì)發(fā)展、企業(yè)穩(wěn)定和保護(hù)企業(yè)利益的角度來(lái)思考問(wèn)題,扎扎實(shí)實(shí)地做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè),在建立信息安全保障體系的過(guò)程中,必須搞好鏈接信息安全保障體系建設(shè)安全、建設(shè)健康的網(wǎng)絡(luò)環(huán)境,關(guān)注信息戰(zhàn)略,保障和促進(jìn)信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國(guó)企業(yè)信息安全包括計(jì)算機(jī)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統(tǒng)連續(xù)、可靠、正常的運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性,使得企業(yè)信息安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。就目前來(lái)看,主要存在以下三個(gè)方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個(gè)比較新的領(lǐng)域,目前還缺少比較完善的法規(guī),現(xiàn)有的法規(guī),由于相關(guān)安全技術(shù)和手段還沒(méi)有成熟和標(biāo)準(zhǔn)化,法規(guī)也不能很好地被執(zhí)行,安全標(biāo)準(zhǔn)和規(guī)范的缺少,導(dǎo)致無(wú)從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問(wèn)題是一個(gè)系統(tǒng)工程,涉及到計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面,同時(shí),隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級(jí)換代,它又是一個(gè)不斷發(fā)展的動(dòng)態(tài)過(guò)程。因此對(duì)企業(yè)信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和安全需求應(yīng)進(jìn)行同期化的管理,不斷制定和調(diào)整安全策略,只有這樣,才能在享受企業(yè)信息系統(tǒng)便利高效的同時(shí),把握住信息系統(tǒng)安全的大門(mén)。

2.2 員工缺少安全管理的責(zé)任心

一個(gè)企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關(guān)鍵的因素――人,因?yàn)樗麄儾攀瞧髽I(yè)信息系統(tǒng)的提供者和使用者,他們是影響信息安全系統(tǒng)能否達(dá)到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中,發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來(lái)自企業(yè)內(nèi)部,而不是來(lái)自企業(yè)外部的黑客等攻擊者,安全事件造成最大的經(jīng)濟(jì)損失主要是內(nèi)部人員有意或無(wú)意的信息泄露事件。針對(duì)內(nèi)部員工的泄密行為,目前還沒(méi)有成熟的、全面的解決,對(duì)于來(lái)自企業(yè)信息內(nèi)部信息泄密的安全問(wèn)題,一直是整個(gè)信息安全保障體系的難點(diǎn)和弱點(diǎn)所在。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計(jì)算機(jī)信息安全技術(shù)是一門(mén)由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護(hù)技術(shù)、局域網(wǎng)組網(wǎng)與維護(hù)技術(shù)、數(shù)據(jù)庫(kù)應(yīng)用技術(shù)等組成的計(jì)算機(jī)綜合應(yīng)用學(xué)科。由于認(rèn)識(shí)能力和技術(shù)發(fā)展的局限性,在硬件和軟件設(shè)計(jì)過(guò)程中,難免留下技術(shù)缺陷,網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進(jìn)口,由此可造成企業(yè)信息安全的隱患,現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng),而是為了入侵應(yīng)用,竊取數(shù)據(jù),帶有明顯的商業(yè)目的,許多黑客就是通過(guò)計(jì)算機(jī)操作系統(tǒng)的漏洞和后門(mén)程序進(jìn)入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來(lái)越多,針對(duì)應(yīng)用的攻擊也越來(lái)越多,除了在管理制度上確保信息安全外,還要在技術(shù)上確保信息安全。

3 企業(yè)信息安全中存在的問(wèn)題

信息時(shí)代的到來(lái),從根本上改變了企業(yè)經(jīng)營(yíng)形式,企業(yè)實(shí)施信息化為其帶來(lái)便利的同時(shí)也產(chǎn)生了巨大的信息安全風(fēng)險(xiǎn)。由于我國(guó)企業(yè)信息安全工作還處于起步階段,基礎(chǔ)薄弱,導(dǎo)致信息安全存在一些亟待解決的問(wèn)題。比較常見(jiàn)的問(wèn)題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等,這些問(wèn)題給企業(yè)造成直接的經(jīng)濟(jì)損失,成為企業(yè)信息安全的最大威脅,使企業(yè)信息安全存在著風(fēng)險(xiǎn)因素。

3.1 病毒危害

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼,它是具有破壞作用的程序或指令集合。計(jì)算機(jī)病毒已經(jīng)泛濫成災(zāi),幾乎無(wú)孔不入,據(jù)統(tǒng)計(jì),計(jì)算機(jī)病毒的種類已經(jīng)超過(guò)4萬(wàn)多種,而且還在以每年40%的速度在遞增,隨著Internet技術(shù)的發(fā)展,病毒在企業(yè)信息系統(tǒng)中傳播的速度越來(lái)越快,其破壞性也越來(lái)越來(lái)越強(qiáng)。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音,黑客是利用技術(shù)手段進(jìn)入其權(quán)限以外的計(jì)算機(jī)系統(tǒng)的人。黑客破解或破壞某個(gè)程序、系統(tǒng)及網(wǎng)絡(luò)安全,或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過(guò)程。通常采用后門(mén)程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽(tīng)、密碼破解等手段侵入計(jì)算機(jī)系統(tǒng),盜竊系統(tǒng)保密信息,進(jìn)行信息破壞或占用系統(tǒng)資源,黑客攻擊已經(jīng)成為近年來(lái)經(jīng)常出現(xiàn)的問(wèn)題。

3.3 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊就是對(duì)網(wǎng)絡(luò)安全威脅的具體表現(xiàn),利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行的攻擊。尤其是在最近幾年里,網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢(shì),使借助Internet運(yùn)行業(yè)務(wù)的企業(yè)面臨著前所未有的風(fēng)險(xiǎn)。由此可知,企業(yè)的信息安全問(wèn)題、以及對(duì)信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全,就必須找出存在信息安全問(wèn)題的根源,并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全,要堅(jiān)持積極防御,綜合防范的方針,全面提高信息安全防護(hù)能力。因此,面對(duì)企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問(wèn)題,必須實(shí)施對(duì)企業(yè)的信息安全管理,建設(shè)信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實(shí)于信息管理系統(tǒng)的方方面面,企業(yè)信息安全才能得以實(shí)現(xiàn)。企業(yè)信息安全的解決方案,具體表現(xiàn)在以下三個(gè)方面:

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系,完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作,保障信息安全措施的落實(shí)以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范,詳細(xì)說(shuō)明各種信息安全策略。一個(gè)詳細(xì)的信息安全規(guī)劃可以減輕對(duì)于人的因素帶來(lái)的信息安全問(wèn)題。最基本的企業(yè)安全管理過(guò)程包括:采用科學(xué)的企業(yè)信息資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析模型法、設(shè)計(jì)完備的信息系統(tǒng)動(dòng)態(tài)安全模型、建立科學(xué)的可實(shí)施的安全策略,采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的,企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化,新的安全問(wèn)題不斷涌現(xiàn),必須根據(jù)暴露出的一些問(wèn)題,進(jìn)行更新,保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,

4.2 提高企業(yè)員工的安全意識(shí)

科技以人為本,在信息安全方面也是靠人來(lái)維護(hù)企業(yè)的利益,我們?cè)谄髽I(yè)信息網(wǎng)絡(luò)鞏固正面防護(hù)的時(shí)候不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。企業(yè)員工信息安全意識(shí)的高低是一個(gè)企業(yè)信息安全體系是否能夠最終成功實(shí)施的決定性因素。企業(yè)應(yīng)當(dāng)制定企業(yè)人員信息安全行為規(guī)范,必須有專門(mén)管理人才,才能有效地實(shí)現(xiàn)企業(yè)安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段,企業(yè)可以對(duì)所有相關(guān)人員進(jìn)行經(jīng)常性的安全培訓(xùn),強(qiáng)化技術(shù)人員對(duì)信息安全的重視,提升使用人員的安全觀念,有針對(duì)性的開(kāi)展安全意識(shí)宣傳教育,逐步提高員工的安全意識(shí),強(qiáng)調(diào)人的作用,使他們明確企業(yè)各級(jí)組織和人員的安全權(quán)限和責(zé)任,使他們的行為符合整個(gè)安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術(shù)

企業(yè)一旦制定了一套詳細(xì)的安全規(guī)劃來(lái)武裝自己,保護(hù)其智力資產(chǎn),它就開(kāi)始投入到選擇采用正確信息安全技術(shù)上??晒┢髽I(yè)選擇的防止信息安全漏洞的安全技術(shù)有很多。當(dāng)企業(yè)選擇采用何種技術(shù)時(shí),首先了解信息安全的三個(gè)領(lǐng)域是十分有幫助的,這三個(gè)領(lǐng)域變得:驗(yàn)證與授權(quán)、預(yù)防和抵制、檢測(cè)和響應(yīng)。其中,用戶驗(yàn)證是確認(rèn)用戶身份的一種方法,一旦系統(tǒng)確認(rèn)了用戶身份,那么它就可以決定該用戶的訪問(wèn)權(quán)限,比如使用用戶名和密碼。預(yù)防和抵抗技術(shù)是指企業(yè)阻止入侵者訪問(wèn)。對(duì)于任何企業(yè),必須對(duì)那些故障做好準(zhǔn)備和預(yù)測(cè),目前可以幫助預(yù)防和建設(shè)抵抗攻擊的技術(shù)主要有內(nèi)容過(guò)濾、加密和防火墻,在選用防火墻的時(shí)候,需要對(duì)所安裝的防火墻做一些攻擊測(cè)試。此外,企業(yè)信息安全的最后一道屏障是探測(cè)和反應(yīng)技術(shù),最常見(jiàn)的探測(cè)和反應(yīng)技術(shù)是殺毒軟件。

5 結(jié)語(yǔ)

總之,企業(yè)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,企業(yè)要適應(yīng)現(xiàn)代化發(fā)展的需要,要提高自身信息安全意識(shí),加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)防范意識(shí)的認(rèn)識(shí),重視安全策略的施行及安全教育,必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強(qiáng)信息安全立法和執(zhí)法的力度,建立備份和恢復(fù)機(jī)制, 為企業(yè)設(shè)計(jì)適合實(shí)際情況的安全解決方案,制定正確和采取適當(dāng)?shù)陌踩呗院桶踩珯C(jī)制,保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

參考文獻(xiàn):

[1]張帆,企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(5).

[2]諶曉歡,企業(yè)信息安全問(wèn)題及解決方案[J].企業(yè)技術(shù)開(kāi)發(fā),2008(8).

[3]付沙,企業(yè)信息安全策略的研究與探討[J].商場(chǎng)現(xiàn)代化,2007(26).

[4]姜樺、郭永利,企業(yè)信息安全策略研究[J].焦作大學(xué)學(xué)報(bào),2009(1).

第7篇:信息安全方針?lè)段?/h2>

1.銷(xiāo)售系統(tǒng)設(shè)施建設(shè)。

硬件方面,各石油銷(xiāo)售企業(yè)都具有設(shè)施完善的中心計(jì)算機(jī)系統(tǒng),供電采用UPS方式,采用“雙機(jī)熱備”的核心服務(wù)器工作模式,以確保整個(gè)硬件的可靠性和安全性;網(wǎng)絡(luò)方面,采用SDH光纖接入廣域網(wǎng),包括接入層、匯聚層、核心層。核心層中路由器和交換機(jī)采用雙機(jī)模式,設(shè)備之間,層層之間以光纖方式連接,以均衡網(wǎng)絡(luò)負(fù)載。除了安裝必備的防火墻,部分企業(yè)為進(jìn)一步提高安全防范能力還安裝了外網(wǎng)入侵檢測(cè)系統(tǒng);大多數(shù)加油站采用SSLVPN方式訪問(wèn)企業(yè)內(nèi)部網(wǎng),以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面,大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護(hù)軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng),實(shí)現(xiàn)PC機(jī)的MAC地址綁定。

2.銷(xiāo)售系統(tǒng)信息化建設(shè)。

目前,企業(yè)的銷(xiāo)售信息系統(tǒng)主要包括:加油卡系統(tǒng)、辦公自動(dòng)化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門(mén)戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點(diǎn):一是用戶眾多,幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶;二是應(yīng)用領(lǐng)域廣,涉及企業(yè)經(jīng)營(yíng)、管理、對(duì)外服務(wù)諸多方面;三是要求連續(xù)運(yùn)轉(zhuǎn),如ERP系統(tǒng)必須滿足7×24小時(shí)運(yùn)轉(zhuǎn)。由于信息系統(tǒng)的安全運(yùn)轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營(yíng)管理的可持續(xù)性,其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以,基于上述的原因,企業(yè)對(duì)銷(xiāo)售信息系統(tǒng)的安全運(yùn)轉(zhuǎn)提出了更高的要求。

3.銷(xiāo)售系統(tǒng)的信息安全現(xiàn)狀。

石油銷(xiāo)售管理系統(tǒng)是關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng),國(guó)家對(duì)其信息安全高度重視,并在《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》中強(qiáng)調(diào),我國(guó)要全面加強(qiáng)國(guó)家信息安全保障體系的建設(shè),大力增強(qiáng)國(guó)家信息安全保障能力,實(shí)現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時(shí),國(guó)內(nèi)石油銷(xiāo)售企業(yè)也長(zhǎng)期重視信息安全工作,逐步建立了相應(yīng)的保障體系和規(guī)章制度,但還存在以下問(wèn)題:

(1)范圍涉及廣泛。

石油銷(xiāo)售企業(yè)分支機(jī)構(gòu)多,終端運(yùn)營(yíng)組織龐大且分散,以中石油集團(tuán)為例,其截至2013年分布在全國(guó)的加油站已超過(guò)30000座。在如此龐大的銷(xiāo)售系統(tǒng)中,信息網(wǎng)絡(luò)承載著指導(dǎo)業(yè)務(wù)運(yùn)行的重要功能。大量、分散部署的加油終端,必然會(huì)造成聯(lián)網(wǎng)方式的多樣化、網(wǎng)絡(luò)環(huán)境的復(fù)雜化。

(2)設(shè)備系統(tǒng)眾多。

石油銷(xiāo)售企業(yè)信息化管理系統(tǒng)中所涉及的設(shè)備精度髙、技術(shù)要求深,并且范圍廣泛,包括加油站、油庫(kù)等大量的自動(dòng)化控制系統(tǒng)。因此,業(yè)務(wù)管理流程復(fù)雜,安全風(fēng)險(xiǎn)增大。

(3)人員素質(zhì)不齊。

由于石油銷(xiāo)售屬于傳統(tǒng)行業(yè),因此企業(yè)人員年齡跨度較大,對(duì)信息安全管理的職業(yè)組織參差不齊;甚至對(duì)于企業(yè)管理人員,對(duì)于信息安全的認(rèn)識(shí)也多停留在紙上談兵;基層人員眾多,且直接面對(duì)客戶,流動(dòng)性大,信息泄露風(fēng)險(xiǎn)極高。而且新生代的企業(yè)員工對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)接觸早,應(yīng)用水平高,日常使用頻繁,在缺乏網(wǎng)絡(luò)安全防護(hù)意識(shí)的情況下更易導(dǎo)致信息泄漏,甚至在好奇心理的鼓動(dòng)下主動(dòng)發(fā)起網(wǎng)絡(luò)攻擊行為,所以企業(yè)內(nèi)網(wǎng)安全也成為一個(gè)突出的問(wèn)題。

(4)資金投入有限。

國(guó)外企業(yè)在信息安全方面的資金投入達(dá)到了企業(yè)整體基建的5%-20%,而我國(guó)企業(yè)基本都在2%以下。全世界每年因信息安全方面的漏洞導(dǎo)致的經(jīng)濟(jì)損失達(dá)數(shù)萬(wàn)億美元,中國(guó)的損失也達(dá)到了一百億美元以上,但是中國(guó)企業(yè)在這方面的投資只有幾十億美元。因此,我國(guó)企業(yè)整體信息化安全建設(shè)預(yù)算不足。石油企業(yè)信息化工程是一項(xiàng)繁重的任務(wù),需要在信息安全方面有更大的投入。大型油企需要建立復(fù)雜龐大的數(shù)據(jù)庫(kù)備份體系,建立并維護(hù)高效的網(wǎng)絡(luò)殺毒系統(tǒng)、企業(yè)級(jí)防火墻、IDS、IPS系統(tǒng)和完善的補(bǔ)丁更新及發(fā)放機(jī)制,以保證企業(yè)各方面的數(shù)據(jù)安全。建立這一復(fù)雜的系統(tǒng)需要大量的資金投入,而且其投入回報(bào)慢,因此石油企業(yè)普遍輕視這方面的投入和維護(hù),信息安全建設(shè)相對(duì)于企業(yè)的發(fā)展整體滯后。

二、石油銷(xiāo)售系統(tǒng)的信息安全管理系統(tǒng)設(shè)計(jì)

石油銷(xiāo)售系統(tǒng)的信息安全管理系統(tǒng)是一個(gè)程序化、系統(tǒng)化、文件化的管理體系,以預(yù)防控制為主,強(qiáng)調(diào)動(dòng)態(tài)全過(guò)程控制。建立相應(yīng)的信息安全管理系統(tǒng),需要從物理、信息、網(wǎng)絡(luò)、系統(tǒng)、管理等多方面保證整體安全;建立綜合防范機(jī)制,確保銷(xiāo)售信息安全以及加油卡、EPR等電子銷(xiāo)售系統(tǒng)的可靠運(yùn)行,保障整體信息網(wǎng)絡(luò)的安全、高效、可靠運(yùn)轉(zhuǎn),規(guī)避潛在風(fēng)險(xiǎn),供系統(tǒng)的可靠性和安全性。因此,石油銷(xiāo)售系統(tǒng)的信息安全管理系統(tǒng)構(gòu)架分為以下組成:

(1)組織層面。

石油銷(xiāo)售部門(mén)應(yīng)建立責(zé)任明確的各級(jí)信息安全管理組織,包括信息安全委員會(huì)、信息安全管理部門(mén),并通過(guò)設(shè)立信息安全員,指定專人專項(xiàng)負(fù)責(zé)。通過(guò)這些部門(mén)和負(fù)責(zé)人開(kāi)展信息安全認(rèn)知宣傳和培訓(xùn),提高企業(yè)員工對(duì)信息安全重要性的認(rèn)識(shí)。

(2)制度層面。

制定安全方針、安全管理制度、安全操作規(guī)程和突發(fā)事件應(yīng)急預(yù)案等一系列章程,經(jīng)科學(xué)性審核和測(cè)試后下發(fā)各級(jí)部門(mén),提升企業(yè)的信息安全管理的效能,減少事故發(fā)生風(fēng)險(xiǎn),提高應(yīng)急響應(yīng)能力。

(3)執(zhí)行層面。

信息安全管理部門(mén)應(yīng)當(dāng)定期檢查和隨機(jī)抽查相結(jié)合,監(jiān)督安全制度在各級(jí)部門(mén)的執(zhí)行情況,評(píng)估安全風(fēng)險(xiǎn),負(fù)責(zé)PDCA的循環(huán)控制。

(4)技術(shù)層面。

信息安全管理部門(mén)要提供安全管理、防護(hù)、控制所需的技術(shù)支持,全面保障企業(yè)整體信息安全管理系統(tǒng)建設(shè)。通常信息安全技術(shù)分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、終端安全、數(shù)據(jù)安全以及應(yīng)用安全等六個(gè)方面,主要包括監(jiān)控與審核跟蹤,數(shù)據(jù)備份與恢復(fù),訪問(wèn)管理與身份認(rèn)證,信息加密與加固等具體技術(shù)措施。通過(guò)有效的信息安全管理平臺(tái)和運(yùn)作平臺(tái),在最短時(shí)間內(nèi)對(duì)信息安全事件進(jìn)行響應(yīng)處理,保障信息安全管控措施的落實(shí),實(shí)現(xiàn)信息安全管理的目標(biāo)。

三、結(jié)語(yǔ)

第8篇:信息安全方針?lè)段?/h2>

隨著近年來(lái)信息安全話題的持續(xù)熱議,越來(lái)越多的企業(yè)管理人員開(kāi)始關(guān)注這一領(lǐng)域,針對(duì)黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問(wèn)題陸續(xù)采取了一系列措施,開(kāi)始構(gòu)筑企業(yè)的信息安全防護(hù)屏障。然而在給企業(yè)做咨詢項(xiàng)目的時(shí)候,還是經(jīng)常會(huì)聽(tīng)到這樣的話:

“我們已經(jīng)部署了防火墻、入侵檢測(cè)設(shè)備防范外部黑客入侵,采購(gòu)了專用的數(shù)據(jù)防泄密軟件進(jìn)行內(nèi)部信息資源管理,為什么還是會(huì)出現(xiàn)企業(yè)敏感信息外泄的問(wèn)題?”

“我們的IT運(yùn)營(yíng)部門(mén)建立了系統(tǒng)的運(yùn)行管理和安全監(jiān)管制度和體系,為什么卻遲遲難以落實(shí)?各業(yè)務(wù)部門(mén)都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣?!?/p>

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系,投入了專門(mén)的人力進(jìn)行安全管理和控制,并且通過(guò)了企業(yè)信息安全管理體系的認(rèn)證和審核,一開(kāi)始的確獲得了顯著的成效,但為什么經(jīng)過(guò)一年的運(yùn)行后,卻發(fā)現(xiàn)各類安全事件有增無(wú)減?”

這些問(wèn)題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭,腳痛醫(yī)腳”的安全解決方案,自然顧此失彼,難以形成有效的安全防護(hù)能力。上述的三個(gè)案例,案例一中企業(yè)發(fā)生過(guò)敏感信息外泄事件,于是采購(gòu)了專用的數(shù)據(jù)防泄密軟件,卻并未制定相關(guān)的信息管理制度和進(jìn)行員工保密意識(shí)培訓(xùn),結(jié)果只能是防外不防內(nèi),還會(huì)給員工的正常工作帶來(lái)諸多不便;案例二中企業(yè)管理者認(rèn)識(shí)到安全管理的重要性,要求相關(guān)部門(mén)編制了大量的管理制度和規(guī)范,然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施,不切實(shí)際的管理制度最終因?yàn)闃I(yè)務(wù)部門(mén)的排斥而束之高閣;案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系,然而認(rèn)證通過(guò)后隨著業(yè)務(wù)發(fā)展卻并未進(jìn)行必要的改進(jìn)和優(yōu)化,隨著時(shí)間的推移管理體系與實(shí)際工作脫節(jié)日益嚴(yán)重,各類安全隱患再次出現(xiàn)也就不足為奇。

其實(shí),企業(yè)面臨的各種安全威脅和隱患,與人體所面臨的各種疾病有諸多類似之處,我們常說(shuō)西醫(yī)治標(biāo)不治本,指的就是采取分片分析的發(fā)現(xiàn)問(wèn)題―分析問(wèn)題―解決問(wèn)題的思路處理安全威脅,通過(guò)技術(shù)手段的積累雖然可以解決很多問(wèn)題,但總會(huì)產(chǎn)生疲于應(yīng)付的狀況,難以形成有效的安全保障體系;類比于中醫(yī)理論將人體看為一個(gè)互相聯(lián)系的整體,信息安全管理體系的建立正是通過(guò)全面的調(diào)研分析,充分發(fā)現(xiàn)企業(yè)面臨的各種問(wèn)題和隱患,緊密聯(lián)系業(yè)務(wù)工作和安全保障需要,形成系統(tǒng)的解決方案,通過(guò)動(dòng)態(tài)的維護(hù)機(jī)制形成完善的防護(hù)體系。

總體來(lái)說(shuō),信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法,來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)企業(yè)的信息安全系統(tǒng),目的是保障企業(yè)的信息安全。它是直接管理活動(dòng)的結(jié)果,表示成方針、原則、目標(biāo)、方法、過(guò)程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系統(tǒng)。

針對(duì)ISMS的建立,我們可以從中醫(yī)“望聞問(wèn)切對(duì)癥下藥治病于未病”的三個(gè)角度來(lái)進(jìn)行分析和討論:

第一,“望聞問(wèn)切”,全面的業(yè)務(wù)、資產(chǎn)和風(fēng)險(xiǎn)評(píng)估是ISMS建設(shè)的基礎(chǔ);

第二,“對(duì)癥下藥”,可落實(shí)、可操作、可驗(yàn)證的管理體系是ISMS建設(shè)的核心;

第三,“治病于未病”,持續(xù)跟蹤,不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問(wèn)切

為了完成ISMS建設(shè),就必然需要對(duì)企業(yè)當(dāng)前信息資源現(xiàn)狀進(jìn)行系統(tǒng)的調(diào)研和分析,為企業(yè)的健康把把脈,畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進(jìn)行ISMS建設(shè)。

首先,自然是對(duì)企業(yè)現(xiàn)有資源的梳理,重點(diǎn)可以從以下幾個(gè)方面入手:

1.業(yè)務(wù)主體(設(shè)備、人員、軟件等)。

業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源,比如多少臺(tái)服務(wù)器、多少臺(tái)網(wǎng)絡(luò)設(shè)備,都屬于業(yè)務(wù)主體的范疇,按照業(yè)務(wù)主體本身的價(jià)值進(jìn)行一個(gè)估值,也是進(jìn)行整個(gè)信息系統(tǒng)資源價(jià)值評(píng)估的基礎(chǔ)評(píng)估。由于信息技術(shù)日新月異的變化,最好的主體未必服務(wù)于最核心的信息系統(tǒng),同時(shí)價(jià)值最昂貴的設(shè)備未必最后對(duì)企業(yè)的價(jià)值也最大。在建立體系的過(guò)程中,對(duì)業(yè)務(wù)設(shè)備的盤(pán)點(diǎn)和清理是很重要的,也是進(jìn)行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個(gè)重要數(shù)據(jù)。

2.業(yè)務(wù)數(shù)據(jù)(服務(wù)等)。

業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負(fù)責(zé)人逐步關(guān)注的方面,之前我們只關(guān)注設(shè)備的安全,網(wǎng)絡(luò)的良好工作狀態(tài),往往忽略了數(shù)據(jù)對(duì)業(yè)務(wù)和企業(yè)的重要性?,F(xiàn)在,核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn),業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上,很多還需要軟件容器,所以,單純地看業(yè)務(wù)數(shù)據(jù)意義也不大,保證業(yè)務(wù)數(shù)據(jù),必須保證其運(yùn)行的平臺(tái)和容器都是正常的,所以,業(yè)務(wù)數(shù)據(jù)也是我們重點(diǎn)分析的方面之一。

3.業(yè)務(wù)流程。

企業(yè)所有的信息資源都是通過(guò)業(yè)務(wù)流程實(shí)現(xiàn)其價(jià)值的,如果沒(méi)有業(yè)務(wù)流程,所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以,對(duì)業(yè)務(wù)流程的了解和分析也是很重要的一個(gè)方面。

以上三個(gè)方面是企業(yè)信息資源的三個(gè)核心方面,孤立地看待任何一個(gè)方面都是毫無(wú)意義的。

其次,當(dāng)我們對(duì)企業(yè)的當(dāng)前信息資產(chǎn)進(jìn)行分析以后需要對(duì)其價(jià)值進(jìn)行評(píng)估。

評(píng)估的過(guò)程就是對(duì)當(dāng)前的信息資產(chǎn)進(jìn)行量化的數(shù)據(jù)分析,進(jìn)行安全賦值,我們將信息資產(chǎn)的安全等級(jí)劃分為 5 級(jí),數(shù)值越大,安全性要求越高,5 級(jí)的信息資產(chǎn)定義非常重要,如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴(yán)重的損失。1 級(jí)的信息資產(chǎn)定義為不重要,其被損害不會(huì)對(duì)企業(yè)造成過(guò)大影響,甚至可以忽略不計(jì)。對(duì)信息資產(chǎn)的評(píng)估在自身價(jià)值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個(gè)方面進(jìn)行評(píng)估賦值,最后信息資產(chǎn)的賦值取 5 個(gè)屬性里面的最大值。

這里需要提出的是,這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值,業(yè)務(wù)流程作為核心的信息資源也必須賦值,而且?guī)讉€(gè)基本要素之間的安全值是相互疊加的,比如需要運(yùn)行核心流程的交換機(jī)的賦值,是要高于需要運(yùn)行核心流程的交換機(jī)的賦值的。很多企業(yè)由于歷史原因,運(yùn)行核心業(yè)務(wù)流程的往往是比較老的設(shè)備,在隨后的分析可以看得出來(lái),由于其年代的影響,造成資產(chǎn)的風(fēng)險(xiǎn)增加,也是需要重點(diǎn)注意的一點(diǎn)。

最后,對(duì)企業(yè)當(dāng)前信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。

風(fēng)險(xiǎn)評(píng)估是 ISMS 建立過(guò)程中非常重要的一個(gè)方面,我們對(duì)信息資產(chǎn)賦值的目的就是為了計(jì)算風(fēng)險(xiǎn)值,從而我們可以看出整個(gè)信息系統(tǒng)中風(fēng)險(xiǎn)最大的部分在哪里。對(duì)于風(fēng)險(xiǎn)值的計(jì)算有個(gè)簡(jiǎn)單的參考公式:風(fēng)險(xiǎn)值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值(特定行業(yè)也有針對(duì)性的經(jīng)驗(yàn)公式)。

ISMS 建設(shè)的最終目標(biāo)是將整個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)值控制在一定范圍之內(nèi)。

對(duì)癥下藥

經(jīng)過(guò)上階段的調(diào)研和分析,我們對(duì)企業(yè)面臨的安全威脅和隱患有一個(gè)全面的認(rèn)識(shí),本階段的ISMS建設(shè)重點(diǎn)根據(jù)需求完成“對(duì)癥下藥”的工作:

首先,是企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃。

在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃,根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS,使其能夠符合企業(yè)自身的要求,也可以在企業(yè)本身的環(huán)境中進(jìn)行實(shí)施。管理體系的規(guī)范針對(duì)不同企業(yè)一定要具體化,要和企業(yè)自身具體工作相結(jié)合,一旦缺乏結(jié)合性ISMS就會(huì)是孤立的,對(duì)企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu),見(jiàn)圖1。

圖1 信息安全管理體系

一級(jí)文件通過(guò)綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標(biāo)、原則、要求和主要措施等頂層設(shè)計(jì);二級(jí)文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護(hù)工作中具體的操作規(guī)范和流程要求,并提供模塊化的任務(wù)細(xì)分,將其細(xì)化為包括“任務(wù)輸入”、“任務(wù)活動(dòng)”、“任務(wù)實(shí)施指南”和“任務(wù)輸出”等細(xì)則,便于操作人員根據(jù)規(guī)范進(jìn)行實(shí)施和管理人員根據(jù)規(guī)范進(jìn)行工作審核;三級(jí)文件則主要提供各項(xiàng)工作和操作所使用的表單和模板,以便各級(jí)工作人員參考使用。

同時(shí),無(wú)論是制定新的信息管理規(guī)章制度還是進(jìn)行設(shè)備的更換,都要量力而行,依據(jù)自己實(shí)際的情況來(lái)完成。例如,很多公司按照標(biāo)準(zhǔn)設(shè)立了由企業(yè)高級(jí)領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門(mén)、后勤安全部門(mén)和審計(jì)部門(mén)組成的信息安全辦公室,具體負(fù)責(zé)企業(yè)的信息安全管理工作,在各級(jí)信息化技術(shù)部門(mén)均設(shè)置系統(tǒng)管理員、安全管理員、安全審計(jì)員,從管理結(jié)構(gòu)設(shè)計(jì)上保證人員權(quán)限互相監(jiān)督和制約。但是事實(shí)上繁多的職能部門(mén)和人員不僅未能提升企業(yè)信息系統(tǒng)安全性,反而降低了整個(gè)信息系統(tǒng)的工作效率。

其次,是企業(yè)信息安全管理體系的實(shí)施和驗(yàn)證

實(shí)施過(guò)程是最復(fù)雜的,實(shí)施之后需要進(jìn)行驗(yàn)證。實(shí)施是根據(jù) ISMS 的設(shè)計(jì)和體系規(guī)劃來(lái)做的,是個(gè)全面的信息系統(tǒng)的改進(jìn)工作,不是單獨(dú)的設(shè)備更新,也不是單獨(dú)的管理規(guī)范的,需要企業(yè)從上至下,全面地遵照?qǐng)?zhí)行,要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng),也包含了現(xiàn)有的管理體制。畢竟ISMS是從國(guó)外傳入的思路和規(guī)范,雖然切合國(guó)人中醫(yī)理論的整體思維方式,但在國(guó)內(nèi)水土不服是正常的,主要表現(xiàn)就在于是否符合企業(yè)本身的利益,是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來(lái)。往往最難改變的還是企業(yè)管理者的固有思維,要充分理解到進(jìn)行信息安全管理體系的建設(shè)是一個(gè)為企業(yè)長(zhǎng)久發(fā)展必須進(jìn)行的工程。

到目前為止,和企業(yè)本身業(yè)務(wù)融合并沒(méi)有完美的解決方案,需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負(fù)責(zé) ISMS 實(shí)施的工程人員一同討論決定適合企業(yè)自身的實(shí)施方案

最后,是企業(yè)信息安全管理體系的認(rèn)證和審核

針對(duì)我們周?chē)芏嘀卣J(rèn)證,輕實(shí)施的思想,這里有必要談一下這個(gè)問(wèn)題,認(rèn)證僅代表認(rèn)證過(guò)程中的信息體系是符合 ISO27000(或者其他國(guó)家標(biāo)準(zhǔn))的規(guī)范要求,而不是說(shuō)企業(yè)通過(guò)認(rèn)證就是一個(gè)在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實(shí)施整個(gè)體系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是掛在墻上的一張紙,放在抽屜里的一本書(shū)”。

“治病于未病”

企業(yè)信息安全管理體系需要?jiǎng)討B(tài)改進(jìn)和和優(yōu)化,畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的,ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的,也需要有針對(duì)性地發(fā)展和變化,道高一尺魔高一丈,必須通過(guò)各種方法,進(jìn)行不斷地改進(jìn)和完善,才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣,缺乏了持續(xù)改進(jìn)和跟蹤完善的手段,經(jīng)過(guò)測(cè)評(píng)的管理體系僅僅一年之后就失去了大部分作用。對(duì)于這些企業(yè)及未來(lái)即將建立ISMS的企業(yè),為了持續(xù)運(yùn)轉(zhuǎn)ISMS,我們認(rèn)為可以主要從以下三個(gè)方面著手:

第一,人員。

人員對(duì)于企業(yè)來(lái)講是至關(guān)重要且必不可缺的,在ISMS建立過(guò)程中,選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過(guò)程中,人員都應(yīng)該投入多少呢?通常在體系建立過(guò)程中,我們會(huì)建議所有體系管理范圍內(nèi)的部門(mén)各自給出一名信息安全代表作為安全專員配合體系建立實(shí)施,且此名專員日后要持續(xù)保留,負(fù)責(zé)維護(hù)各自部門(mén)的信息資產(chǎn)、安全事件跟蹤匯報(bào)、配合內(nèi)審與外審、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。

但很多事情是一種企業(yè)文化的培養(yǎng),需要更多的人員甚至全員參與,例如面向全員的定期信息安全意識(shí)培訓(xùn),面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等,因此對(duì)于企業(yè)來(lái)講,除了必要的體系維護(hù)人員,在ISMS持續(xù)運(yùn)轉(zhuǎn)過(guò)程中,若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi),培養(yǎng)出“信息安全,人人有責(zé)”的企業(yè)氛圍,則會(huì)為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開(kāi)信息安全各項(xiàng)活動(dòng)的同時(shí),還會(huì)納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與,對(duì)外也樹(shù)立起自身對(duì)重視信息安全的形象,大力降低外界給企業(yè)帶來(lái)的風(fēng)險(xiǎn)。

第二,體系。

ISMS自身的持續(xù)維護(hù),往往是企業(yè)建立后容易被忽視的內(nèi)容,一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的,對(duì)于信息資產(chǎn)清單、風(fēng)險(xiǎn)清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評(píng)審回顧,這項(xiàng)活動(dòng)由于也是在相關(guān)標(biāo)準(zhǔn)中明確指出的,企業(yè)通常不會(huì)忽略;但日常對(duì)于這些文檔記錄的更新也是必不可少的,尤其是重要資產(chǎn)發(fā)生重大變更,組織業(yè)務(wù)、部門(mén)發(fā)生重大調(diào)整時(shí),都最好對(duì)ISMS進(jìn)行重新的評(píng)審,必要時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估,有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險(xiǎn),并且可以將資源合理調(diào)配,將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化,企業(yè)每天所面臨的風(fēng)險(xiǎn)同樣也不是一成不變的,在更新維護(hù)信息資產(chǎn)清單的同時(shí),對(duì)風(fēng)險(xiǎn)清單的回顧也是不可疏忽的,而這點(diǎn)往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn),有效控制企業(yè)所面臨的各種風(fēng)險(xiǎn)。

第三,工具。

工具往往是企業(yè)在建立ISMS過(guò)程中投入大量資金的方面,工具其實(shí)是很大的一個(gè)泛指,例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計(jì)等各類工具,即使沒(méi)有實(shí)施ISMS,企業(yè)在工具方面的投入也是必不可少的,但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合,經(jīng)常會(huì)出現(xiàn)如何將幾種類似工具充分利用,如何在各工具間建立接口,使數(shù)據(jù)流通共用,哪些工具應(yīng)該替換更新,數(shù)據(jù)如何遷移,甚至出現(xiàn)新購(gòu)買(mǎi)的工具無(wú)人使用或無(wú)法滿足業(yè)務(wù)需求等問(wèn)題,導(dǎo)致資金資源的浪費(fèi),因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過(guò)程中,根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告,及信息安全專員反映的各部門(mén)業(yè)務(wù)需求各種信息數(shù)據(jù)的收集,應(yīng)對(duì)工具進(jìn)行統(tǒng)一規(guī)劃,盡量減少資源的浪費(fèi)。

第9篇:信息安全方針?lè)段?/h2>

關(guān)鍵詞:國(guó)土資源;信息化;制度

中圖分類號(hào):TP316 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 10-0000-01

Talking on the Land System-level Protection Self-examination

Li Ling

(Guangxi Guigang Land&Resources Bureau,Guigang537100,China)

Abstract:Information Security Protection is a national economic and social information in the development process,improve the capacity and level of information security,national security,social stability and public interests, protect and promote the healthy development of basic information technology strategy.

Keywords:Land resources;Informatization;System

一、等級(jí)保護(hù)發(fā)展現(xiàn)狀

2007年由國(guó)土資源部信息化工作辦公室牽頭面開(kāi)展了國(guó)土資源信息系統(tǒng)安全體系建設(shè)工作,其中嚴(yán)格根據(jù)等級(jí)保護(hù)管理辦法對(duì)全國(guó)整個(gè)國(guó)土信息系統(tǒng)安全等級(jí)保護(hù)工作主要分為定級(jí)、備案、整改、測(cè)評(píng)和監(jiān)督檢查五個(gè)環(huán)節(jié)。

二、等級(jí)保護(hù)定級(jí)簡(jiǎn)法

等級(jí)保護(hù)政策將信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同,因此,信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定:

一是從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí),稱業(yè)務(wù)信息安全保護(hù)等級(jí)。二是從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí),稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。我們可以將其歸納為如下表格方便我們自己定級(jí):(例如,A系統(tǒng)是某單位門(mén)戶網(wǎng)站。當(dāng)該網(wǎng)站被黑客攻擊后若篡改了系統(tǒng)內(nèi)容或者虛假新聞,則有可能對(duì)單位自身造成負(fù)面影響,使得公信力下降,屬于嚴(yán)重影響;其次該系統(tǒng)被黑客了虛假新聞?dòng)锌赡軙?huì)煽動(dòng)、迷惑社會(huì)群眾,造成社會(huì)混亂,屬于嚴(yán)重影響;但是該系統(tǒng)不涉及國(guó)家安全內(nèi)容,故對(duì)國(guó)家安全沒(méi)有任何影響)。

某單位A門(mén)戶網(wǎng)站系統(tǒng)定級(jí):

業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體 對(duì)相應(yīng)客體的侵害程度

一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害

公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí)

社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí)

國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí)

根據(jù)上表結(jié)果,某單位A門(mén)戶網(wǎng)站系統(tǒng)信息安全保護(hù)等級(jí)應(yīng)定為第三級(jí)(取最高級(jí)別)。

三、等級(jí)保護(hù)制度自查

安全管理制度主要涉及組織體系的運(yùn)作規(guī)則,確定各種安全管理崗位和相應(yīng)的安全職責(zé),并負(fù)責(zé)選用合適的人員來(lái)完成相應(yīng)崗位的安全管理工作,監(jiān)督各種安全工作的開(kāi)展,協(xié)調(diào)各種不同部門(mén)在安全實(shí)施中的分工和合作,保證安全目標(biāo)的實(shí)現(xiàn)。

制度的文檔化管理是非常重要的工作。無(wú)論是人員管理、資產(chǎn)管理,還是技術(shù)管理和操作管理,都應(yīng)該建立起完備的文檔化體系,一方面讓安全活動(dòng)有所依據(jù),另一方面也便于追溯和審查。安全策略文檔體系開(kāi)發(fā)完成后,要形成包括信息安全方針、信息安全規(guī)范,相應(yīng)的安全標(biāo)準(zhǔn)和規(guī)范、各類管理制度、管理辦法和暫行規(guī)定等文檔。

各項(xiàng)制度自查項(xiàng)目如下:

1.存儲(chǔ)設(shè)備報(bào)廢銷(xiāo)毀管理規(guī)定;2.安全日志備份與檢查;3.人員離崗離職管理規(guī)定;4.固定資產(chǎn)管理制度;5.外部人員訪問(wèn)機(jī)房管理情況;6.計(jì)算;7.機(jī)類設(shè)備維修維護(hù)規(guī)定;8.應(yīng)急預(yù)案;9.應(yīng)急演練;10.安全事件報(bào)告和處置管理制度;11.技術(shù)測(cè)評(píng)管理制度;12.安全審計(jì)管理制度。

四、等級(jí)保護(hù)技術(shù)自查

基本要求 技術(shù)要求控制點(diǎn) 技術(shù)防護(hù)措施

網(wǎng)絡(luò)安全 結(jié)構(gòu)安全 防火墻

訪問(wèn)控制 防火墻或者路由器、交換機(jī)訪問(wèn)控制列表

安全審計(jì) 安全審計(jì)系統(tǒng)

入侵防范 防火墻或者入侵防御系統(tǒng)

網(wǎng)絡(luò)設(shè)備防護(hù) 防火墻或者入侵防御系統(tǒng)

主機(jī)安全 身份鑒別 帳戶密碼、或者數(shù)字證書(shū)認(rèn)證

訪問(wèn)控制 防火墻或者路由器、交換機(jī)訪問(wèn)控制列表

安全審計(jì) 安全審計(jì)系統(tǒng)

入侵防范 防病毒軟件

惡意代碼防范 防病毒軟件

資源控制 防火墻或者路由器、交換機(jī)訪問(wèn)控制列表

應(yīng)用安全 身份鑒別 帳戶密碼、或者數(shù)字證書(shū)認(rèn)證

訪問(wèn)控制 防火墻或者路由器、交換機(jī)訪問(wèn)控制列表

安全審計(jì) 安全審計(jì)系統(tǒng)

通信完整性 數(shù)字證書(shū)認(rèn)證

通信保密性 數(shù)字證書(shū)認(rèn)證或者VPN隧道

軟件容錯(cuò) 雙機(jī)熱備系統(tǒng)

資源控制 防火墻或者路由器、交換機(jī)訪問(wèn)控制列表

數(shù)據(jù)安全 數(shù)據(jù)完整性 數(shù)據(jù)庫(kù)加密

數(shù)據(jù)保密性 隔離網(wǎng)閘系統(tǒng)或者網(wǎng)絡(luò)隔離卡

安全備份 雙機(jī)熱備系統(tǒng)