公務(wù)員期刊網(wǎng) 精選范文 公司信息安全管理體系范文

公司信息安全管理體系精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的公司信息安全管理體系主題范文,僅供參考,歡迎閱讀并收藏。

公司信息安全管理體系

第1篇:公司信息安全管理體系范文

關(guān)鍵詞:企業(yè)信息化;信息安全管理體系;信息安全保障

1 企業(yè)信息安全需求與目標(biāo)

近年來(lái)隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)。作為中國(guó)高速列車(chē)產(chǎn)業(yè)化制造基地和城軌地鐵車(chē)輛定點(diǎn)制造企業(yè),公司的發(fā)展對(duì)高速動(dòng)車(chē)行業(yè)產(chǎn)生著舉足輕重的作用;從企業(yè)信息安全現(xiàn)狀分析,公司IT部門(mén)主管深深意識(shí)到,盡管從自身情況來(lái)看,在信息安全方面已經(jīng)做了很多工作,如部署了防火墻、SSL VPN、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來(lái)自某個(gè)方面的安全威脅,無(wú)法產(chǎn)生協(xié)同效應(yīng),距離國(guó)際同行業(yè)企業(yè)還存在一定的差距。

公司通過(guò)可行性研究及論證,決定借助外力,通過(guò)知名的咨詢(xún)公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn),以科研項(xiàng)目方式,通過(guò)研究國(guó)家安全標(biāo)準(zhǔn)體系及國(guó)家對(duì)央企和上市企業(yè)的信息化安全要求,分析企業(yè)目前的現(xiàn)狀和國(guó)際標(biāo)準(zhǔn)ISO27001之間的差距,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì),最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng),建立一個(gè)有責(zé)(職責(zé))、有序(秩序)、有效(效率)的信息安全管理體系,預(yù)防信息安全事件的發(fā)生,確保更小的業(yè)務(wù)損失,提供客戶(hù)滿(mǎn)意度,獲取更多的管理支持。在行業(yè)內(nèi)樹(shù)立標(biāo)桿和示范,提升企業(yè)形象,贏取客戶(hù)信任,增強(qiáng)競(jìng)爭(zhēng)力。同時(shí),使信息安全體系通過(guò)信息安全管理體系通過(guò)ISO 27001認(rèn)證標(biāo)準(zhǔn)。

2 企業(yè)信息安全管理體系建設(shè)過(guò)程

凡事預(yù)則立,不預(yù)則廢。對(duì)于信息安全管理建設(shè)的工作也先由計(jì)劃開(kāi)始。信息安全管理體系建設(shè)分為四個(gè)階段:實(shí)施安全風(fēng)險(xiǎn)評(píng)估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保護(hù)企業(yè)信息系統(tǒng)的安全,確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗(yàn),重點(diǎn)論述上述幾個(gè)方面的內(nèi)容。

2.1 確立范圍

首先是確立項(xiàng)目范圍,從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上,可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個(gè)部門(mén),其包括總部、事業(yè)部、制造本部、技術(shù)本部等;外部機(jī)構(gòu):則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu),包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。

從系統(tǒng)層次上,可按照物理環(huán)境:即支撐信息系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門(mén)禁、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線(xiàn)路介質(zhì),設(shè)備和軟件;服務(wù)器平臺(tái)系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶(hù)機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng);應(yīng)用系統(tǒng):支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng);數(shù)據(jù):整個(gè)信息系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù);安全管理:包括安全策略、規(guī)章制度、人員組織、開(kāi)發(fā)安全、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過(guò)程中的安全合規(guī)、安全審計(jì)等。

2.2 安全風(fēng)險(xiǎn)評(píng)估

企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問(wèn)、利用和篡改,為企業(yè)員工提供安全、可信的服務(wù),保證信息系統(tǒng)的可用性、完整性和保密性。

本次進(jìn)行的安全評(píng)估,主要包括兩方面的內(nèi)容:

2.2.1 企業(yè)安全管理類(lèi)的評(píng)估

通過(guò)企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對(duì),以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”,檢查企業(yè)在安全控制層面上存在的弱點(diǎn),從而為安全措施的選擇提供依據(jù)。

評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面,包括信息安全策略、安全組織、資產(chǎn)分類(lèi)與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

2.2.2 企業(yè)安全技術(shù)類(lèi)評(píng)估

基于資產(chǎn)安全等級(jí)的分類(lèi),通過(guò)對(duì)信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn),為安全加固提供依據(jù)。

針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評(píng)估。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法,在應(yīng)用評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識(shí)別,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距,為后期改造提供依據(jù)。

提到安全評(píng)估,一定要有方法論。我們以ISO27001為核心,并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn),同時(shí)結(jié)合企業(yè)自身的特點(diǎn),建立風(fēng)險(xiǎn)評(píng)估模型:

在風(fēng)險(xiǎn)評(píng)估模型中,主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值,弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下,被威脅利用的可能性以及被威脅利用后對(duì)資產(chǎn)帶來(lái)影響的嚴(yán)重程度,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度,風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級(jí)別的高低。風(fēng)險(xiǎn)評(píng)估采用定性的風(fēng)險(xiǎn)評(píng)估方法,通過(guò)分級(jí)別的方式進(jìn)行賦值。

2.3 規(guī)劃體系建設(shè)方案

企業(yè)信息安全問(wèn)題根源分布在技術(shù)、人員和管理等多個(gè)層面,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系,并最終落實(shí)到管理措施和技術(shù)措施,才能確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,對(duì)企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議,增強(qiáng)系統(tǒng)的安全性和抗攻擊性。

在未來(lái)1-2年內(nèi)通過(guò)信息安全體系制的建立與實(shí)施,建立安全組織,技術(shù)上進(jìn)行安全審計(jì)、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署,實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來(lái)的 3-5 年內(nèi),通過(guò)完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè),將企業(yè)建設(shè)成為一個(gè)注重管理,預(yù)防為主,防治結(jié)合的先進(jìn)型企業(yè)。

2.4 企業(yè)信息安全體系建設(shè)

企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)、保護(hù)(Protect)、檢測(cè)(Detect)、反應(yīng)(Response)、恢復(fù)(Recover)和反擊(Counter-attack),體系應(yīng)該兼顧攘外和安內(nèi)的功能。

安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善;二是涉及到信息安全技術(shù)。首先,針對(duì)安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度、人員安全管理、安全運(yùn)行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級(jí)、安全保護(hù)思路、說(shuō)以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級(jí)、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。

其次,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù),以及安全基礎(chǔ)設(shè)施平臺(tái);同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類(lèi)、檢測(cè)跟蹤類(lèi)和響應(yīng)恢復(fù)類(lèi)三大類(lèi)技術(shù)。結(jié)合主流的安全技術(shù)以及未來(lái)信息系統(tǒng)發(fā)展的要求,規(guī)劃信息安全技術(shù)包括:

2.5 體系運(yùn)行及改進(jìn)

信息安全管理體系文件編制完成以后,由公司企劃部門(mén)組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際,在體系文件編制階段,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系,如質(zhì)量、環(huán)境保護(hù)等體系文件,改歸并的歸并。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個(gè)月的努力,批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此,信息安全管理體系將進(jìn)入運(yùn)行階段。

有人說(shuō),信息系統(tǒng)的成功靠的是“三分技術(shù),七分管理,十二分執(zhí)行”?!皥?zhí)行”是要需要在實(shí)踐中去體會(huì)、總結(jié)與提高。對(duì)于信息系統(tǒng)安全管理體系建設(shè)更是如此!在此期間,以IT部門(mén)牽頭,加強(qiáng)宣傳力度,組織了若干次不同層面的宣導(dǎo)培訓(xùn),充分發(fā)揮體系本身的各項(xiàng)功能,及時(shí)發(fā)現(xiàn)存在的問(wèn)題,找出問(wèn)題根源,采取糾正措施,并按照更改控制程序要求對(duì)體系予以更改,以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

3 總結(jié)

總結(jié)項(xiàng)目,建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)。當(dāng)然,體系建設(shè)過(guò)程中還存在不足,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定,員工的認(rèn)知及接受程度還有待提高,體系在各部門(mén)領(lǐng)導(dǎo)重視程度、執(zhí)行力度、審核效果存在差距等等。最終,在公司各部門(mén)的共同努力下,體系經(jīng)歷了來(lái)自國(guó)際知名品牌認(rèn)證公司DNV及中國(guó)認(rèn)可委(CNAS)的雙重檢驗(yàn),并通過(guò)嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國(guó)內(nèi)和國(guó)際信息安全管理標(biāo)準(zhǔn),提升公司信息安全管理的水平,從而為企業(yè)向國(guó)際化發(fā)展與合作提供有力支撐。

[參考文獻(xiàn)]

[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社,2003.7.

第2篇:公司信息安全管理體系范文

關(guān)鍵詞:信息安全管理;ISO/IEC 27001;PDCA;資產(chǎn)識(shí)別;風(fēng)險(xiǎn)評(píng)估

中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-2374(2011)30-0034-02

一、項(xiàng)目背景

電力工業(yè)是國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè),電力工業(yè)的安全問(wèn)題直接關(guān)系到各行各業(yè)的發(fā)展和人民的生活水平,關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定。當(dāng)前流行的信息技術(shù)的廣泛應(yīng)用大大改變了電力企業(yè)傳統(tǒng)的經(jīng)營(yíng)管理模式和手段,支撐著電力生產(chǎn)、營(yíng)銷(xiāo)和管理的全過(guò)程。如何有效保障信息安全,從而保證整個(gè)電力企業(yè)的生產(chǎn)安全,成為電力行業(yè)目前積極探索的新課題。

在這個(gè)大環(huán)境下,玉溪供電局作為云南電網(wǎng)的改革試點(diǎn)單位,大力進(jìn)行改革創(chuàng)新,引入國(guó)際信息安全管理標(biāo)準(zhǔn)ISO/IEC 27001,建立了完整的信息安全管理體系,有效的保證了信息安全,取得了很好的收效。

二、ISO/IEC 27001簡(jiǎn)介

ISO/IEC 27001是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)。最初源于英國(guó)標(biāo)準(zhǔn)BS7799,經(jīng)過(guò)十年的不斷改版,終于在2005年被國(guó)際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為正式的國(guó)際標(biāo)準(zhǔn),于2005年10月15日為ISO/IEC 27001:2005。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施,保障組織的信息安全。標(biāo)準(zhǔn)的要求主要包括11個(gè)安全控制域、39個(gè)安全控制目標(biāo)和133項(xiàng)安全控制措施。標(biāo)準(zhǔn)采用PDCA過(guò)程方法,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。其正式名稱(chēng)為:《ISO/IEC 27001:2005 信息技術(shù)―安全技術(shù)―信息安全管理體系―要求》。

三、項(xiàng)目實(shí)施方法論

玉溪供電局在整個(gè)信息安全體系建設(shè)過(guò)程中,根據(jù)安全風(fēng)險(xiǎn)是相對(duì)的和動(dòng)態(tài)的基本概念,遵循P(Plan 計(jì)劃)-D(Do 實(shí)施)-C(Check 檢查)-A(Act 持續(xù)改進(jìn))的方法論,見(jiàn)下圖:

四、項(xiàng)目實(shí)施中若干重要環(huán)節(jié)

標(biāo)準(zhǔn)中只是提出了一些原則性的建議和要求,但是如何按照這些要求建立一套符合局實(shí)際情況,能夠順利推行和實(shí)施的信息安全管理體系是非常具有挑戰(zhàn)性的。局項(xiàng)目組成員與上海天帷公司的同事一起積極探索,緊密結(jié)合局信息安全建設(shè)的現(xiàn)狀和要求,認(rèn)為資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、文件編制、運(yùn)行實(shí)施、審核等是整個(gè)過(guò)程的重要環(huán)節(jié)。

(一)資產(chǎn)識(shí)別

資產(chǎn)識(shí)別是信息安全管理工作的重要步驟和基礎(chǔ),信息安全就是要保證信息和資產(chǎn)的安全。所謂資產(chǎn)識(shí)別就是要識(shí)別ISMS管理范圍內(nèi)的信息資產(chǎn)以及這些資產(chǎn)的所有者,形成資產(chǎn)清單。玉溪供電局在資產(chǎn)識(shí)別中把資產(chǎn)分為5類(lèi):文檔和數(shù)據(jù)、軟件和系統(tǒng)、硬件和設(shè)施、人力資源、其他等。

(二)風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是信息安全工作的一個(gè)重要步驟,通過(guò)風(fēng)險(xiǎn)評(píng)估,找到組織在信息安全方面的差距,才能有針對(duì)性的制定相應(yīng)的策略和改進(jìn)措施。

通過(guò)風(fēng)險(xiǎn)評(píng)估,形成《風(fēng)險(xiǎn)評(píng)估表》、《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處置計(jì)劃》等。為了保證風(fēng)險(xiǎn)評(píng)估結(jié)果的客觀性和可操作性,建立了一個(gè)定量的風(fēng)險(xiǎn)評(píng)估方法論。

風(fēng)險(xiǎn)值=威脅發(fā)生可能性×影響程度等級(jí)×現(xiàn)有控制措施有效性賦值。通過(guò)制定風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)來(lái)確定風(fēng)險(xiǎn)等級(jí)。將等級(jí)劃分為五級(jí),等級(jí)越高,風(fēng)險(xiǎn)越高。

對(duì)于不可接受風(fēng)險(xiǎn)的確定和處理要慎重,不要一味的將所有的風(fēng)險(xiǎn)都?xì)w為不可接受風(fēng)險(xiǎn),要時(shí)刻牢記風(fēng)險(xiǎn)的處理是要付出成本的,所以需要綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響來(lái)制定風(fēng)險(xiǎn)的可接受準(zhǔn)則。風(fēng)險(xiǎn)的處置有4種方式:規(guī)避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。對(duì)于不可接受風(fēng)險(xiǎn)應(yīng)根據(jù)選擇的風(fēng)險(xiǎn)處理方式控制殘余風(fēng)險(xiǎn)。

(三)文件編制

為了響應(yīng)云南電網(wǎng)公司的一體化管理制度,在信息安全建設(shè)中將針對(duì)信息安全標(biāo)準(zhǔn)ISO/IEC 27001要求的文件進(jìn)行統(tǒng)一整理,對(duì)原有《信息安全管理辦法》的修編。形成了新版的《信息安全管理辦法》,覆蓋了27001的11個(gè)安全領(lǐng)域的要求。

另外,為了使新版的《信息安全管理辦法》能夠更好的落地執(zhí)行,在信息安全體系建設(shè)過(guò)程中,制定了60多個(gè)操作性很強(qiáng)的記錄表格表單,以輔助各部門(mén)能夠更好的執(zhí)行信息安全體系的要求,比如:《機(jī)房巡檢記錄表》、《防范病毒管理表》、《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》等。

(四)運(yùn)行實(shí)施

我局在信息安全體系運(yùn)行實(shí)施的過(guò)程中采取了多種措施來(lái)促進(jìn)體系的落地工作,比如進(jìn)行信息安全意識(shí)和知識(shí)培訓(xùn),張貼宣傳海報(bào),在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻,進(jìn)行模擬審核和安全工作檢查等,真正做到了全員參與。

同時(shí)我局還建立了暢通的意見(jiàn)反饋機(jī)制,任何人對(duì)當(dāng)前的信息安全體系有意見(jiàn)和建議,都可以通過(guò)局OA系統(tǒng)提交。信息運(yùn)營(yíng)中心會(huì)對(duì)所有提交的建議進(jìn)行整理和歸納,以發(fā)現(xiàn)改進(jìn)的機(jī)會(huì),真正實(shí)現(xiàn)了PDCA循環(huán),使局的信息安全管理工作持續(xù)改進(jìn)和螺旋式上升。

五、項(xiàng)目實(shí)施經(jīng)驗(yàn)和注意事項(xiàng)

玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實(shí)際情況的信息安全管理體系,經(jīng)歷了資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、體系建設(shè)和實(shí)施、內(nèi)審和審核,最后取得了認(rèn)證證書(shū)。在這個(gè)過(guò)程當(dāng)中,總結(jié)了一些實(shí)施的經(jīng)驗(yàn)和注意事項(xiàng)。

(一)領(lǐng)導(dǎo)重視

信息安全管理工作是一項(xiàng)牽扯到局各部門(mén)的工作,需要投入相應(yīng)的人力、物力和財(cái)力,所以必須有局領(lǐng)導(dǎo)的大力支持,才能順利的進(jìn)行和更好的實(shí)施。

(二)全員參與

安全不是某一個(gè)部門(mén)或者某一個(gè)人的事情,而是關(guān)乎全局所有部門(mén)。需要各個(gè)部門(mén)的共同努力和協(xié)調(diào)一致的工作,才能保證真正意義上的信息安全,任何一個(gè)部門(mén)出了問(wèn)題都將對(duì)局信息安全構(gòu)成威脅。

(三)持續(xù)改進(jìn)

信息安全工作不是一朝一夕的事情,需要持續(xù)改進(jìn)和不斷完善。而且風(fēng)險(xiǎn)也是動(dòng)態(tài)的,為了保證信息安全和控制風(fēng)險(xiǎn)始終在可接受的范圍內(nèi),信息安全工作應(yīng)當(dāng)是一件長(zhǎng)期的工作。

(四)平衡原則

安全只是相對(duì)的,沒(méi)有絕對(duì)的安全,而且任何降低風(fēng)險(xiǎn)的措施都是需要一定的投資,可能是金錢(qián)的,也可能是人力資源的。所以一定要平衡投資和風(fēng)險(xiǎn)降低之間的關(guān)系,不要一味的為了降低風(fēng)險(xiǎn)而作一些不適當(dāng)?shù)耐度搿?/p>

六、結(jié)語(yǔ)

玉溪供電局通過(guò)ISO 27001的認(rèn)證并獲得證書(shū),不僅是對(duì)前期信息安全體系建設(shè)工作的充分肯定,而且對(duì)后續(xù)信息安全管理體系運(yùn)行工作提出了新的更高的要求和目標(biāo)。局信息運(yùn)營(yíng)中心要在局領(lǐng)導(dǎo)的正確領(lǐng)導(dǎo)和大力支持下,在以后局信息安全工作中,對(duì)現(xiàn)有體系進(jìn)行持續(xù)改進(jìn),使本體系更加符合玉溪供電局的實(shí)際情況,為玉溪供電局的信息安全工作保駕

護(hù)航。

參考文獻(xiàn)

第3篇:公司信息安全管理體系范文

[關(guān)鍵詞] ISMS; PDCA; 風(fēng)險(xiǎn)評(píng)估; 資產(chǎn)識(shí)別; 信息; 安全; 建立; 體系

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038

[中圖分類(lèi)號(hào)] F270.7; TP309 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2014)01- 0074- 03

1 信息安全體系的重要性

隨著信息技術(shù)不斷發(fā)展,信息系統(tǒng)已經(jīng)成為一種不可缺少的信息交換工具,企業(yè)對(duì)于信息資源的依賴(lài)程度也越來(lái)越大。然而,由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性等特點(diǎn),再加上本身存在技術(shù)弱點(diǎn)和人為的疏忽,導(dǎo)致信息系統(tǒng)容易受到計(jì)算機(jī)病毒、黑客或惡意軟件的入侵,致使信息被破壞或竊取,使得信息系統(tǒng)比傳統(tǒng)的實(shí)物資產(chǎn)顯得更加脆弱。在這種大環(huán)境下,企業(yè)必須加強(qiáng)信息安全管理能力。但企業(yè)不單面臨著信息安全方面問(wèn)題,同時(shí)還面臨經(jīng)營(yíng)合規(guī)方面的問(wèn)題、系統(tǒng)可用性問(wèn)題以及業(yè)務(wù)可持續(xù)問(wèn)題等越來(lái)越多的問(wèn)題。因此,要求我們探索建立一套完善的體系,來(lái)有效地保障信息系統(tǒng)的全面安全。

2 信息安全體系建設(shè)理論依據(jù)

信息安全管理體系(Information Security Management System, ISMS)是企業(yè)整體管理體系的一個(gè)部分,是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。基于對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí),ISMS包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng),并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過(guò)程與方法、資源等諸多要素的集合。

在建設(shè)信息安全管理體系的方法上,ISO 27001標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議,即基于PDCA 的持續(xù)改進(jìn)的管理模式。PDCA是一種通用的管理模式,適用于任何管理活動(dòng),體現(xiàn)了一種持續(xù)改進(jìn)、維持平衡的思想,但具體到ISMS建立及認(rèn)證項(xiàng)目上,就顯得不夠明確和細(xì)致,組織必須還要有一套切實(shí)可行的方法論,以符合項(xiàng)目過(guò)程實(shí)施的要求。在這方面,ISMS 實(shí)施及認(rèn)證項(xiàng)目可以借鑒很多成熟的管理體系實(shí)施方法,比如IS0 9001,ISO/IEC 2700l, ISO/TS 16949 等,大致上說(shuō),這些管理體系都遵循所謂的PROC過(guò)程方法。

PROC 過(guò)程模型 (Preparation-Realization-Operation-Certification)是對(duì)PDCA 管理模式的一種細(xì)化,它更富有針對(duì)性和實(shí)效性,并且更貼近認(rèn)證審核自身的特點(diǎn)。PROC模型如圖1所示。

3 信息安全體系建設(shè)過(guò)程

根據(jù)以往經(jīng)驗(yàn),整個(gè)信息安全管理體系建設(shè)項(xiàng)目可劃分成5個(gè)階段,如果每項(xiàng)內(nèi)容的活動(dòng)都能很好地完成,最終就能建立起有效的ISMS,實(shí)現(xiàn)信息安全建設(shè)總體目標(biāo),最終通過(guò)ISO/IEC 27001認(rèn)證。

調(diào)研階段: 對(duì)業(yè)務(wù)范圍內(nèi)所有制度包括內(nèi)部的管理規(guī)定或內(nèi)控相關(guān)規(guī)定,對(duì)公司目前的管理狀況進(jìn)行系統(tǒng)、全面的了解和分析。通過(guò)技術(shù)人員人工檢查和軟件檢測(cè)等方式對(duì)組織內(nèi)部分關(guān)鍵網(wǎng)絡(luò)、服務(wù)器等設(shè)備進(jìn)行抽樣漏洞掃描,并形成《漏洞掃描風(fēng)險(xiǎn)評(píng)估報(bào)告》。

資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估階段: 針對(duì)組織內(nèi)部人員的實(shí)際情況,進(jìn)行信息安全基礎(chǔ)知識(shí)的普及和培訓(xùn)工作,讓每位員工對(duì)信息安全體系建設(shè)活動(dòng)有充分的理解和認(rèn)識(shí)。對(duì)內(nèi)部所有相關(guān)信息安全資產(chǎn)進(jìn)行全面梳理,并且按照ISO/IEC 27001相關(guān)的信息資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估的要求,完成《信息資產(chǎn)清單》、《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》和《風(fēng)險(xiǎn)評(píng)估報(bào)告》。

設(shè)計(jì)策劃階段:通過(guò)分組現(xiàn)場(chǎng)討論、領(lǐng)導(dǎo)訪談等多種方式對(duì)各業(yè)務(wù)部門(mén)涉及的信息安全相關(guān)內(nèi)容進(jìn)行細(xì)致研究和討論。針對(duì)現(xiàn)有信息安全問(wèn)題和潛在信息安全風(fēng)險(xiǎn)建立有效的防范和檢查機(jī)制,并且形成有持續(xù)改進(jìn)功能的信息安全監(jiān)督審核管理制度,最終形成嚴(yán)格遵守ISO/IEC 27001認(rèn)證審核標(biāo)準(zhǔn)的、符合組織業(yè)務(wù)發(fā)展需要的《信息安全管理體系文件》。體系對(duì)文件控制、記錄控制、內(nèi)部審核管理、管理評(píng)審、糾正預(yù)防措施控制、信息安全交流管理、信息資產(chǎn)管理、人力資源安全管理、物理環(huán)境安全、通信與操作管理(包括:筆記本電腦管理、變更管理、補(bǔ)丁管理、第三方服務(wù)管理、防范病毒及惡意軟件管理、機(jī)房管理規(guī)定、介質(zhì)管理規(guī)定、軟件管理規(guī)定、數(shù)據(jù)備份管理、系統(tǒng)監(jiān)控管理規(guī)定、電子郵件管理規(guī)定、設(shè)備管理規(guī)定)、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)、信息安全事件管理、業(yè)務(wù)持續(xù)性控制、符合性相關(guān)程序進(jìn)行全面界定和要求。

實(shí)施階段:項(xiàng)目小組要組織相關(guān)資源,依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果選擇控制措施,為實(shí)施有效的風(fēng)險(xiǎn)處理做好計(jì)劃,管理者需要正式ISMS 體系并要求開(kāi)始實(shí)施,通過(guò)普遍的培訓(xùn)活動(dòng)來(lái)推廣執(zhí)行。 ISMS 建立起來(lái)(體系文件正式實(shí)施) 之后,要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性。在此階段,應(yīng)該培訓(xùn)專(zhuān)門(mén)人員,建立起內(nèi)部審查機(jī)制,通過(guò)內(nèi)部審計(jì)、管理評(píng)審和模擬認(rèn)證,來(lái)檢查己建立的ISMS是否符合ISO/IEC 27001標(biāo)準(zhǔn)以及企業(yè)規(guī)范的要求。

認(rèn)證階段:經(jīng)過(guò)一定時(shí)間運(yùn)行,ISMS 達(dá)到一個(gè)穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備,此時(shí),可以提請(qǐng)進(jìn)行認(rèn)證。

4 信息安全體系建立的意義

通過(guò)建立信息安全管理體系,我們對(duì)信息安全事件及風(fēng)險(xiǎn)有了較為清楚的認(rèn)識(shí),同時(shí)掌握了一些規(guī)避和處理信息安全風(fēng)險(xiǎn)的方法,更重要的是我們重新梳理了組織內(nèi)信息安全體系范圍,明確了信息安全系統(tǒng)中人員相關(guān)職責(zé),對(duì)維護(hù)范圍內(nèi)的各信息系統(tǒng)進(jìn)行了全面的風(fēng)險(xiǎn)評(píng)估,并且通過(guò)風(fēng)險(xiǎn)評(píng)估涉及的內(nèi)容確定了具體的控制目標(biāo)和控制方式,引入了持續(xù)改進(jìn)的戴明環(huán)管理思想,保證了體系運(yùn)轉(zhuǎn)的有效性。具體效果如下:

(1) 制定了信息安全方針和多層次的安全策略,為各項(xiàng)信息安全管理活動(dòng)提供指引和支持。

(2) 通過(guò)信息風(fēng)險(xiǎn)評(píng)估挖掘了組織真實(shí)的信息安全需求。

加強(qiáng)了人員安全意識(shí),建立了以預(yù)防為主的信息安全理念。

(3) 根據(jù)信息安全發(fā)展趨勢(shì),建立了動(dòng)態(tài)管理和持續(xù)改進(jìn)的思想。

5 決定體系建立的重要因素

5.1 加強(qiáng)人員安全意識(shí)是推動(dòng)體系實(shí)施的重要保障

信息安全體系在一個(gè)企業(yè)的成功建立并運(yùn)行,需要整個(gè)企業(yè)從上到下的全體成員都有安全意識(shí),并具備信息安全體系相關(guān)理論基礎(chǔ),才能保障信息安全體系各項(xiàng)活動(dòng)內(nèi)容順利開(kāi)展。為保證信息安全體系相關(guān)任務(wù)的執(zhí)行人員能夠盡職盡責(zé),組織要確定體系內(nèi)人員的職責(zé);給予相關(guān)人員適當(dāng)?shù)呐嘤?xùn),必要時(shí),需要為特定任務(wù)招聘有經(jīng)驗(yàn)的人員;評(píng)估培訓(xùn)效果。組織必須確保相關(guān)人員能夠意識(shí)到其所進(jìn)行的信息安全活動(dòng)的重要性,并且清楚各自在實(shí)現(xiàn)ISMS 目標(biāo)過(guò)程中參與的方式。

ISMS 培訓(xùn)工作應(yīng)該分層次、分階段、循序漸進(jìn)地進(jìn)行。借助培訓(xùn),組織一方面可以向一般員工宣貫安全策略、提升其安全意識(shí);另一方面,也可以向特定人員傳遞專(zhuān)業(yè)技能(例如風(fēng)險(xiǎn)評(píng)估方法、策略制定方法、安全操作技術(shù)等)。此外,面向管理人員的培訓(xùn),能夠提升組織整體的信息安全管理水平。通常來(lái)講,組織應(yīng)該考慮實(shí)施的培訓(xùn)內(nèi)容包括:

(1) 信息安全意識(shí)培訓(xùn)。在ISMS實(shí)施伊始或最終運(yùn)行階段,組織可以為所有人員提供信息安全意識(shí)培訓(xùn),目的在于讓所有與ISMS 相關(guān)的人員都了解信息安全管理基本要領(lǐng),理解信息安全策略,知道信息安全問(wèn)題所在,掌握應(yīng)對(duì)和解決問(wèn)題的方法和途徑。

(2) 信息安全管理基礎(chǔ)培訓(xùn)。在ISMS準(zhǔn)備階段,組織可以向ISMS項(xiàng)目實(shí)施相關(guān)人員 (例如風(fēng)險(xiǎn)評(píng)估小組人員、各部門(mén)代表等)提供1SO/IEC 27001基礎(chǔ)培訓(xùn),通過(guò)短期學(xué)習(xí),幫助大家掌握ISO/IEC 27001標(biāo)準(zhǔn)的精髓,理解自身角色和責(zé)任,從而在ISMS項(xiàng)目實(shí)施過(guò)程中起到應(yīng)有的作用。

(3) ISMS實(shí)施培訓(xùn)。組織可以向ISMS項(xiàng)目的核心人員提供ISMS實(shí)施方法的培訓(xùn),包括風(fēng)險(xiǎn)評(píng)估方法、策略制定方法等,目的在于協(xié)作配合,共同推動(dòng)ISMS項(xiàng)目有序且順利地進(jìn)行。

(4) 信息安全綜合技能培訓(xùn)。為了讓ISMS能夠長(zhǎng)期穩(wěn)定地運(yùn)行下去,組織可以為相關(guān)人員提供信息安全操作技能的培訓(xùn),目的在于提高其運(yùn)營(yíng)ISMS的技術(shù)能力,掌握處理問(wèn)題的思路和方法。

5.2 建立符合企業(yè)需求的ISMS,保障體系順利落地

(1) 根據(jù)業(yè)務(wù)需求明確ISMS范圍。范圍的界定要從組織的業(yè)務(wù)出發(fā),通過(guò)分析業(yè)務(wù)流程(尤其是核心業(yè)務(wù)),找到與此相關(guān)的人員、部門(mén)和職能,然后確定業(yè)務(wù)流程所依賴(lài)的信息系統(tǒng)和場(chǎng)所環(huán)境,最終從邏輯上和物理上對(duì)ISMS 的范圍予以明確。需要注意的是,組織確定的ISMS 范圍,必須是適合內(nèi)外部客戶(hù)所需的,且包含了與所有對(duì)信息安全具有影響的合作伙伴、供貨商和客戶(hù)的接觸關(guān)系。為此,組織應(yīng)該通過(guò)合同、服務(wù)水平協(xié)議 (SLA)、諒解備忘錄等方式來(lái)說(shuō)明其在與合作伙伴、供貨商以及客戶(hù)接觸時(shí)實(shí)施了信息安全管理。

(2) 利用客觀風(fēng)險(xiǎn)評(píng)估工具。風(fēng)險(xiǎn)評(píng)估應(yīng)盡可能采用客觀的風(fēng)險(xiǎn)評(píng)估工具,保證評(píng)估的準(zhǔn)確、翔實(shí)。有效利用各種工具,可以幫助評(píng)估者更準(zhǔn)確更全面地采集和分析數(shù)據(jù),提升工作的自動(dòng)化水平,并且最大程度上減少人為失誤。當(dāng)然,風(fēng)險(xiǎn)評(píng)估工具并不局限于完全技術(shù)性的產(chǎn)品,事實(shí)上很多評(píng)估工具都是評(píng)估者經(jīng)驗(yàn)積累的成果,如調(diào)查問(wèn)卷、掃描工具、風(fēng)險(xiǎn)評(píng)估軟件等。

(3) 構(gòu)建合理的ISMS文件體系。文件首先應(yīng)該符合業(yè)務(wù)運(yùn)作和安全控制的實(shí)際情況,應(yīng)該具有可操作性;不同層次的文件之間應(yīng)該保持緊密關(guān)系并且協(xié)調(diào)一致,不能存在相互矛盾的地方;編寫(xiě)ISMS文件時(shí),除了依據(jù)標(biāo)準(zhǔn)和相關(guān)法律法規(guī)之外,組織還應(yīng)該充分考慮現(xiàn)行的策略、程序、制度和規(guī)范,有所繼承,有所修正。

6 結(jié) 論

企業(yè)的生存和發(fā)展,有賴(lài)于企業(yè)各項(xiàng)業(yè)務(wù)、管理活動(dòng)的健康有序的進(jìn)行,而信息化是企業(yè)一切業(yè)務(wù)、管理活動(dòng)所依賴(lài)的基礎(chǔ)。信息系統(tǒng)是否能夠穩(wěn)定、可靠、有效運(yùn)作,直接關(guān)系到企業(yè)各項(xiàng)業(yè)務(wù)活動(dòng)是否能夠持續(xù)。因此,我們要對(duì)信息系統(tǒng)的保密性、完整性、可控性、可用性等提出全面具體的要求,建立持續(xù)改進(jìn)的信息安全體系運(yùn)行機(jī)制。在信息安全體系的全面應(yīng)用過(guò)程中,必須重點(diǎn)關(guān)注以下重要事項(xiàng):安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo);實(shí)施信息安全的方法應(yīng)該與組織的文化保持一致;來(lái)自高級(jí)管理層的明確的支持和承諾;向所有管理者和員工有效地推廣安全意識(shí);提供適當(dāng)?shù)呐嘤?xùn)和教育。

主要參考文獻(xiàn)

[1] 王斌君. 信息安全管理體系[M]. 北京:高等教育出版社,2008.

第4篇:公司信息安全管理體系范文

1、河南省濟(jì)源市電子政務(wù)平臺(tái)

河南省濟(jì)源市電子政務(wù)平臺(tái)建設(shè)中最大的特點(diǎn)就是完全基于互聯(lián)網(wǎng)。互聯(lián)網(wǎng)是信息化的重要基礎(chǔ)設(shè)施,積極利用互聯(lián)網(wǎng)進(jìn)行電子政務(wù)建設(shè),同時(shí)高度重視信息安全問(wèn)題,是加快信息化發(fā)展,推進(jìn)電子政務(wù)的必然要求,也是信息技術(shù)發(fā)展的趨勢(shì)。河南省濟(jì)源市積極開(kāi)展互聯(lián)網(wǎng)上電子政務(wù)的信息安全保障試點(diǎn)建設(shè)工作,按照“保安全、促應(yīng)用”的思路,根據(jù)信息安全等級(jí)保護(hù)的要求,結(jié)合先進(jìn)的安全技術(shù)和管理措施,構(gòu)建了基于互聯(lián)網(wǎng)的電子政務(wù)信息安全保障平臺(tái),有效地推動(dòng)了電子政務(wù)建設(shè),并大大地縮減了成本,網(wǎng)絡(luò)建設(shè)費(fèi)用僅為182.5萬(wàn)元。與原來(lái)擬采用“專(zhuān)網(wǎng)”的建設(shè)費(fèi)用相比,僅網(wǎng)絡(luò)投資一項(xiàng)就節(jié)約了662萬(wàn)元,節(jié)約比例達(dá)到47.4%。

獲獎(jiǎng)理由:沒(méi)拉一條專(zhuān)線(xiàn),沒(méi)建一個(gè)專(zhuān)網(wǎng),完全基于互聯(lián)網(wǎng),這樣的電子政務(wù)平臺(tái),安全問(wèn)題就成為了重中之重。天融信為其提供的、基于互聯(lián)網(wǎng)的新型電子政務(wù)之安全保障體系,通過(guò)對(duì)商用密碼、VPN等信息安全技術(shù)的綜合利用,使其實(shí)現(xiàn)了全市120個(gè)黨政部門(mén)和全部鄉(xiāng)鎮(zhèn)(辦)的互聯(lián)互通,建成了低成本、可擴(kuò)展的電子政務(wù)網(wǎng)絡(luò)平臺(tái)。

2、山西移動(dòng)按SOA框架構(gòu)建電信BSS/OSS體系架構(gòu)

山西移動(dòng)通過(guò)SOA項(xiàng)目的實(shí)施,使得業(yè)務(wù)流程得到了簡(jiǎn)化與優(yōu)化,并構(gòu)建了新的業(yè)務(wù)平臺(tái)。新的業(yè)務(wù)平臺(tái)提供了統(tǒng)一的信息應(yīng)用模式,使得各個(gè)層次的業(yè)務(wù)人員都能獲取客戶(hù)完整、統(tǒng)一的信息,從而讓業(yè)務(wù)人員能加強(qiáng)與客戶(hù)的互動(dòng)。同時(shí),山西移動(dòng)還建成了流程清晰、響應(yīng)及時(shí)的投訴服務(wù)體系,基于改良后的體系能為客戶(hù)提供優(yōu)質(zhì)的服務(wù)。

獲獎(jiǎng)理由:通過(guò)SOA技術(shù),山西移動(dòng)用于投訴服務(wù)的核心流程被大量地精減,而且可以通過(guò)企業(yè)的服務(wù)總線(xiàn)來(lái)隨意調(diào)用這些服務(wù),并讓業(yè)務(wù)流程能根據(jù)業(yè)務(wù)需求的變化自由重組,從而將以前幾天才能解決的投訴問(wèn)題在5分鐘之內(nèi)就能得到解決。

3、河南省國(guó)家稅務(wù)局信息系統(tǒng)安全管理與監(jiān)控平臺(tái)

隨著用戶(hù)業(yè)務(wù)集中模式的完成,對(duì)基礎(chǔ)設(shè)施的安全性、可靠性、穩(wěn)定性、高效性和可信性都提出了更高的要求,河南省國(guó)家稅務(wù)局所采用的SecFox安管系統(tǒng)就來(lái)源于用戶(hù)對(duì)信息系統(tǒng)安全管控平臺(tái)的強(qiáng)烈需求。

獲獎(jiǎng)理由: 網(wǎng)御神州SecFox安管平臺(tái)在河南國(guó)稅運(yùn)轉(zhuǎn)非常良好,通過(guò)安管平臺(tái)的使用,極大地提高了用戶(hù)運(yùn)維管理的水平,將用戶(hù)從24小時(shí)三班倒的工作方式變?yōu)榱穗A段性巡查、接收告警短信、及時(shí)排查故障的常規(guī)流程。并且,在最近一段時(shí)間的用戶(hù)反饋中,得到了用戶(hù)的好評(píng)。

4、信息安全風(fēng)險(xiǎn)評(píng)估廣東省地稅局南海數(shù)據(jù)處理中心試點(diǎn)

廣東省地稅局南海信息處理中心在信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)中的主要業(yè)務(wù)應(yīng)用是,內(nèi)網(wǎng)的稅收征管業(yè)務(wù)與外網(wǎng)的上網(wǎng)業(yè)務(wù)以及相應(yīng)的安全管理體系。另外,廣東省地稅局南海信息處理中心信息系統(tǒng)是稅務(wù)系統(tǒng)信息網(wǎng)的重要組成部分,也是廣東省全省稅收業(yè)務(wù)統(tǒng)一共享的信息處理平臺(tái)。

獲獎(jiǎng)理由:通過(guò)試點(diǎn)工作,在理論和實(shí)踐上積累了開(kāi)展稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估工作的經(jīng)驗(yàn),為研究稅務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作的有關(guān)方法、流程和相關(guān)標(biāo)準(zhǔn)規(guī)范提供了依據(jù)。同時(shí),分析了信息系統(tǒng)所面臨的威脅及存在的脆弱性,并針對(duì)這些風(fēng)險(xiǎn)提出了有針對(duì)性的抵御威脅的防護(hù)對(duì)策和措施,為保障系統(tǒng)的信息安全提供了科學(xué)的指導(dǎo)。

5、北京海淀區(qū)信息安全管理體系

北京海淀信息辦在國(guó)信辦的統(tǒng)一要求和指導(dǎo)下,與技術(shù)支撐單位北京數(shù)字證書(shū)認(rèn)證中心一起,結(jié)合已經(jīng)實(shí)施的ISO9000、等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作,很好地完成了信息安全管理標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作。

獲獎(jiǎng)理由:通過(guò)驗(yàn)證國(guó)際上通用的信息安全管理標(biāo)準(zhǔn)(ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》),了解和掌握了構(gòu)建信息安全管理體系的程序、步驟和方法,并探索了信息安全管理體系建設(shè)與風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)等信息安全保障工作之間的關(guān)系,為將來(lái)標(biāo)準(zhǔn)的出臺(tái)做出很大的貢獻(xiàn),試點(diǎn)獲得了國(guó)信辦的高度肯定。

6、深圳證券交易所信息安全管理體系

深圳證券交易所在國(guó)信辦的統(tǒng)一要求和指導(dǎo)下,在中國(guó)證監(jiān)會(huì)的支持下,結(jié)合已經(jīng)實(shí)施或正在實(shí)施的ITMS、BCP、CMMI等工作,很好地完成了信息安全管理標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作。

獲獎(jiǎng)理由:通過(guò)驗(yàn)證國(guó)際上通用的信息安全管理標(biāo)準(zhǔn)(ISO/IEC 27001:2005《信息安全管理體系要求》和ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》),了解和掌握了構(gòu)建信息安全管理體系的程序、步驟和方法,并探索了信息安全管理體系建設(shè)與風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)等信息安全保障工作之間的關(guān)系,為將來(lái)標(biāo)準(zhǔn)的出臺(tái)做出很大的貢獻(xiàn),試點(diǎn)獲得了國(guó)信辦的高度肯定。

7、衛(wèi)生部突發(fā)公共衛(wèi)生事件應(yīng)急

指揮與決策系統(tǒng)

作為全國(guó)第一個(gè)跨地域部級(jí)應(yīng)急決策方案,該系統(tǒng)是衛(wèi)生部信息化規(guī)劃與建設(shè)的重要組成部分,涵蓋了基礎(chǔ)環(huán)境、技術(shù)環(huán)境、網(wǎng)絡(luò)與數(shù)據(jù)平臺(tái)、應(yīng)用軟件系統(tǒng)等內(nèi)容。系統(tǒng)投入運(yùn)行后,在突發(fā)事件監(jiān)測(cè)、預(yù)警的基礎(chǔ)上,可以完成對(duì)事件處理全過(guò)程的跟蹤和處理,滿(mǎn)足了突發(fā)事件相關(guān)數(shù)據(jù)采集、危機(jī)判定、決策分析、命令部署、實(shí)時(shí)溝通、聯(lián)動(dòng)指揮、現(xiàn)場(chǎng)支持等各項(xiàng)要求。

獲獎(jiǎng)理由:太極 SOA技術(shù)在項(xiàng)目中的成功應(yīng)用,極大地提高了衛(wèi)生部應(yīng)對(duì)突發(fā)公共衛(wèi)生事件的應(yīng)急處置能力。根據(jù)系統(tǒng)平戰(zhàn)結(jié)合的設(shè)計(jì)理念,在“平時(shí)”運(yùn)用該系統(tǒng)進(jìn)行值班、預(yù)警、預(yù)案管理等日常業(yè)務(wù)的處置與管理;一旦發(fā)生突發(fā)公共衛(wèi)生事件,將使用應(yīng)急指揮系統(tǒng)提供的決策與指揮支持功能,進(jìn)行事態(tài)分析、資源調(diào)配、人員派遣等,從而實(shí)現(xiàn)了對(duì)突發(fā)公共衛(wèi)生事件進(jìn)行準(zhǔn)確而迅速的處置。

8、基于流媒體技術(shù)的大型企業(yè)

直播系統(tǒng)

國(guó)家電網(wǎng)公司網(wǎng)絡(luò)直播NV-2005系統(tǒng)的研制與應(yīng)用,彌補(bǔ)了傳統(tǒng)信息傳遞方式的缺陷,在提高效率和效益的同時(shí)節(jié)約了成本,并使得各基層單位能在第一時(shí)間接收到總部的有關(guān)精神,真正做到了零延時(shí),還有效地加強(qiáng)了公司的集約化管理。

獲獎(jiǎng)理由:基于流媒體技術(shù)的大型企業(yè)直播系統(tǒng),作為常態(tài)化的網(wǎng)絡(luò)應(yīng)用,進(jìn)一步地發(fā)揮了流媒體技術(shù)和信息化在電力系統(tǒng)中的重要作用,同時(shí)也為生產(chǎn)一線(xiàn)帶來(lái)了更大的經(jīng)濟(jì)利益和社會(huì)效益。

9、GE服務(wù)器整合系統(tǒng)

GE醫(yī)療是國(guó)內(nèi)最早使用VMware Infrastructure 3的用戶(hù)之一,通過(guò)使用VMware VMotion、VMware HA等高級(jí)功能,來(lái)運(yùn)行Windows 2000/2003和Redhat AS/ES操作系統(tǒng),從而實(shí)現(xiàn)了服務(wù)器和基礎(chǔ)設(shè)施的整合。

獲獎(jiǎng)理由:GE服務(wù)器整合系統(tǒng)的運(yùn)行,提高了CPU的利用率、降低了管理成本、加速了新服務(wù)的部署效率,同時(shí)降低了系統(tǒng)的停機(jī)時(shí)間,并成為GE醫(yī)療基礎(chǔ)架構(gòu)的重要支撐。

10、異構(gòu)協(xié)同交通辦公自動(dòng)化系統(tǒng)

第5篇:公司信息安全管理體系范文

【關(guān)鍵詞】等級(jí)保護(hù);虛擬專(zhuān)網(wǎng);VPN

1.引言

隨著因特網(wǎng)技術(shù)應(yīng)用的普及,以及政府、企業(yè)和各部門(mén)及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長(zhǎng),VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí),我國(guó)現(xiàn)行的“計(jì)算機(jī)安全等級(jí)保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品,為企業(yè)提供符合安全等級(jí)保護(hù)要求、性?xún)r(jià)比高的網(wǎng)絡(luò)安全總體解決方案,是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。

2.信息安全管理體系發(fā)展軌跡

對(duì)于信息安全管理問(wèn)題,在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國(guó)家的注意,并投入大量的資金和人力進(jìn)行分析和研究。英國(guó)分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》,規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),是一個(gè)全面信息安全管理體系評(píng)估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國(guó)際標(biāo)準(zhǔn)化組織(ISO)聯(lián)合國(guó)際電工委員會(huì)(IEC)分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣。中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)(SAC)于1999年了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn),把信息安全管理劃分為五個(gè)等級(jí),分別針對(duì)不同組織性質(zhì)和對(duì)社會(huì)、國(guó)家危害程度大小進(jìn)行了不同等級(jí)的劃分,并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC 27001相對(duì)應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統(tǒng)安全的等級(jí)

為加快推進(jìn)信息安全等級(jí)保護(hù),規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè),國(guó)家公安部、保密局、密碼管理局和國(guó)務(wù)院信息化工作辦公室等,于2007年聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》,就全國(guó)機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問(wèn)題,進(jìn)行了行政法規(guī)方面的規(guī)范,并組織和開(kāi)展對(duì)全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。同時(shí),制訂了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等相應(yīng)技術(shù)規(guī)范(國(guó)家標(biāo)準(zhǔn)審批稿),來(lái)指導(dǎo)國(guó)內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。

在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中,要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面,按照身份鑒別、訪問(wèn)控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整、保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求,對(duì)信息流進(jìn)行不同等級(jí)的劃分,從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí):第一級(jí)為自主保護(hù)級(jí),第二級(jí)指導(dǎo)保護(hù)級(jí),第三級(jí)為監(jiān)督保護(hù)級(jí),第四級(jí)為強(qiáng)制保護(hù)級(jí),第五級(jí)為專(zhuān)控保護(hù)級(jí)。

針對(duì)政府、企業(yè)常用的三級(jí)安全保護(hù)設(shè)計(jì)中,主要是以三級(jí)安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級(jí)安全的信息安全機(jī)制和服務(wù)支持下,實(shí)現(xiàn)三級(jí)安全計(jì)算環(huán)境、三級(jí)安全通信網(wǎng)絡(luò)、三級(jí)安全區(qū)域邊界防護(hù)和三級(jí)安全管理中心的設(shè)計(jì)。

圖1 三級(jí)系統(tǒng)安全保護(hù)示意圖

圖2 VPN產(chǎn)品部署示意圖

4.VPN技術(shù)及其發(fā)展趨勢(shì)

VPN即虛擬專(zhuān)用網(wǎng),是通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過(guò)它可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶(hù)的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線(xiàn)路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶(hù)的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。

VPN使用三個(gè)方面的技術(shù)保證了通信的安全性:隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。VPN通道的加密方式成為主要的技術(shù)要求,目前VPN技術(shù)主要包括IPSec VPN,非IPSec VPN(如PPTP,L2TP等),基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品,由IPSec協(xié)議提供隧道安全保障,協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。通過(guò)采用加密封裝技術(shù),對(duì)所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專(zhuān)用網(wǎng)構(gòu)建。

SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備,無(wú)需安裝客戶(hù)端軟件,授權(quán)用戶(hù)能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶(hù)與中心之間的虛擬網(wǎng)構(gòu)建。

整個(gè)VPN通信過(guò)程可以簡(jiǎn)化為以下4個(gè)步驟:

(1)客戶(hù)機(jī)向VPN服務(wù)器發(fā)出連接請(qǐng)求。

(2)VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶(hù)機(jī)發(fā)出身份認(rèn)證的請(qǐng)求,客戶(hù)機(jī)與VPN服務(wù)器通過(guò)信息的交換確認(rèn)對(duì)方的身份,這種身份確認(rèn)是雙向的。

(3)VPN服務(wù)器與客戶(hù)機(jī)在確認(rèn)身份的前提下開(kāi)始協(xié)商安全隧道以及相應(yīng)的安全參數(shù),形成安全隧道。

(4)最后VPN服務(wù)器將在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶(hù)機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密,然后通過(guò)VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

目前國(guó)外公開(kāi)的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式,加解密算法也多使用通用的3DES、RSA加解密算法,不符合國(guó)家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理?xiàng)l例》(中華人民共和國(guó)國(guó)務(wù)院第273號(hào)令,1999年10月7日)第四章第十四條規(guī)定:任何單位或者個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品,不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國(guó)家密碼管理局在2009年針對(duì)VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》,明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

5.VPN技術(shù)在等級(jí)保護(hù)中的應(yīng)用

在三級(jí)防護(hù)四大方面的設(shè)計(jì)要求中,VPN技術(shù)可以說(shuō)是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用:

在安全計(jì)算環(huán)境的設(shè)計(jì)要求中:首先在實(shí)現(xiàn)身份鑒別方面,在用戶(hù)訪問(wèn)的中心,系統(tǒng)管理員都統(tǒng)一建立的有用戶(hù)的用戶(hù)組和用戶(hù)名,用戶(hù)會(huì)通過(guò)VPN的設(shè)備登錄訪問(wèn)中心的應(yīng)用系統(tǒng),當(dāng)身份得到鑒別通過(guò)時(shí)才可訪問(wèn)應(yīng)用系統(tǒng);其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶(hù)的數(shù)據(jù)在傳輸過(guò)程中被惡意篡改和盜取。

在安全區(qū)域邊界的設(shè)計(jì)要求中:網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn),在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中:網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道,通過(guò)IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門(mén)服務(wù)器邊界的安全防護(hù),為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密、身份鑒別及訪問(wèn)控制等安全機(jī)制。在客戶(hù)端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān),通過(guò)IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸,實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

在安全管理中心的設(shè)計(jì)要求中:系統(tǒng)管理中,VPN技術(shù)在主機(jī)資源和用戶(hù)管理能夠?qū)崿F(xiàn)很好的保護(hù),對(duì)用戶(hù)登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制,確保重要信息安全可控,滿(mǎn)足對(duì)主機(jī)的安全監(jiān)管需要。

在信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)中VPN產(chǎn)品的部署示意圖如圖2所示。

第6篇:公司信息安全管理體系范文

鐵路信息安全建設(shè)和運(yùn)行必須結(jié)合鐵路信息化實(shí)際情況,從管理和技術(shù)兩個(gè)層面綜合保證鐵路信息系統(tǒng)的運(yùn)行操作安全,保障鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的運(yùn)行安全,并最終保障鐵路運(yùn)輸業(yè)務(wù)及運(yùn)輸服務(wù)的安全。鐵路信息安全保障體系結(jié)構(gòu)見(jiàn)圖1。管理和技術(shù)是鐵路信息安全保障體系的兩個(gè)要素,是保證鐵路信息系統(tǒng)及其所支撐的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)安全建設(shè)和運(yùn)行的必要條件。在這兩個(gè)安全要素中,管理是核心,是基礎(chǔ),它影響和決定技術(shù)的選擇以及技術(shù)標(biāo)準(zhǔn)規(guī)范;反過(guò)來(lái),技術(shù)也會(huì)影響到信息安全管理方式和管理制度的具體形式,降低管理成本。在安全管理層面中,國(guó)家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設(shè)和安全運(yùn)維的管理基礎(chǔ);鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn);鐵路信息安全組織保障是落實(shí)鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責(zé)基礎(chǔ)和人員保障;信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準(zhǔn)確地落實(shí)和執(zhí)行的保證。管理安全保證不僅通過(guò)方針政策法規(guī)、組織保障、管理制度、意識(shí)培養(yǎng)培訓(xùn)教育等形式直接對(duì)鐵路業(yè)務(wù)提供安全支持和保障外,還通過(guò)對(duì)信息安全技術(shù)的影響間接地保護(hù)鐵路業(yè)務(wù)安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)范的重要基礎(chǔ),同時(shí),它們也會(huì)對(duì)信息安全方案的設(shè)計(jì)、產(chǎn)品選擇和采購(gòu)方式產(chǎn)生不同程度的影響。在安全管理控制下,只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下,執(zhí)行規(guī)定的操作流程;鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動(dòng)的流程和操作安全,它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中各主要階段的過(guò)程安全。鐵路信息系統(tǒng)由鐵路外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專(zhuān)網(wǎng)組成,鐵路的各種應(yīng)用業(yè)務(wù)都直接運(yùn)行在這些系統(tǒng)之上,為了更好地支撐這些業(yè)務(wù)系統(tǒng)的安全運(yùn)行,支持鐵路統(tǒng)一的安全管理,在鐵路信息系統(tǒng)中還包括災(zāi)備中心、數(shù)字證書(shū)系統(tǒng)、集中管理及認(rèn)證授權(quán)中心等安全基礎(chǔ)設(shè)施系統(tǒng)或安全平臺(tái),這些安全基礎(chǔ)設(shè)施及其所服務(wù)的鐵路應(yīng)用業(yè)務(wù)系統(tǒng)的運(yùn)行安全是鐵路運(yùn)輸業(yè)務(wù)及服務(wù)正常安全運(yùn)行的環(huán)境保障。

2安全保障體系要素

在鐵路信息系統(tǒng)中,無(wú)論是系統(tǒng)的建設(shè)、運(yùn)行、災(zāi)難恢復(fù)、事件處置等活動(dòng),還是其支撐的運(yùn)輸業(yè)務(wù)和服務(wù)等系統(tǒng)目標(biāo),都離不開(kāi)管理和技術(shù)兩個(gè)安全要素的綜合保證,其中管理是核心,在安全管理措施的控制下,只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下,執(zhí)行規(guī)定的操作流程。

2.1鐵路信息安全管理體系

鐵路信息安全管理體系必須以國(guó)家信息安全相關(guān)法規(guī)、政策和標(biāo)準(zhǔn)以及鐵路相關(guān)法規(guī)政策為基礎(chǔ)和依據(jù)。按照GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》等國(guó)家標(biāo)準(zhǔn)和指南,結(jié)合我國(guó)鐵路實(shí)際情況,將鐵路信息安全管理體系劃分為11個(gè)安全控制類(lèi)別,其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務(wù)、信息安全環(huán)境、設(shè)備使用、通信網(wǎng)絡(luò)、配置授權(quán)、安全事件處置、安全運(yùn)維、安全合規(guī)和災(zāi)備恢復(fù)等管理內(nèi)容;在11個(gè)安全控制類(lèi)別的基礎(chǔ)上,建立鐵路信息安全管理制度框架,如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問(wèn)管理制度、人員安全培訓(xùn)制度、機(jī)房管理制度、產(chǎn)品準(zhǔn)入制度、系統(tǒng)運(yùn)維制度、安全事件處理流程規(guī)定、介質(zhì)管理制度、電子郵件使用管理規(guī)定、鐵路軟件開(kāi)發(fā)管理流程規(guī)定等(見(jiàn)圖2)。

2.2鐵路信息安全技術(shù)框架

鐵路信息安全技術(shù)框架是鐵路信息安全保障體系的重要組成內(nèi)容,主要包括安全管理、身份管理、授權(quán)管理、災(zāi)備管理、監(jiān)控審計(jì)、可信保證等技術(shù)機(jī)制(見(jiàn)圖3)。管理安全是統(tǒng)領(lǐng)鐵路信息安全保障的綱領(lǐng),綱舉才能目張,構(gòu)建一個(gè)全路信息系統(tǒng)可視化管理平臺(tái),以便對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶(hù)及角色、運(yùn)維狀態(tài)等關(guān)鍵信息進(jìn)行全局的監(jiān)控,提高對(duì)系統(tǒng)中安全問(wèn)題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺(tái)、授權(quán)管理機(jī)制和責(zé)任認(rèn)定構(gòu)成的鐵路網(wǎng)絡(luò)信任管理體系是保障鐵路信息安全可信和安全的前提。全路災(zāi)難備份和恢復(fù)策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務(wù)可持續(xù)性的后盾。以密碼技術(shù)為基礎(chǔ)的可信計(jì)算技術(shù)為軟硬件資源的安全和隔離提供了結(jié)構(gòu)化保證,為計(jì)算環(huán)境的可信可靠(完整性)提供了有效的判別手段,為關(guān)鍵數(shù)據(jù)提供了可信安全存儲(chǔ),為分布式計(jì)算的安全機(jī)制一致性和網(wǎng)絡(luò)接入控制提供了遠(yuǎn)程可信證明方法??尚庞?jì)算技術(shù)是構(gòu)建鐵路信息安全保障體系的基礎(chǔ)支撐。

2.3鐵路信息安全的組織保證

鐵路信息系統(tǒng)安全應(yīng)該在組織上加以保證。在具體組織形式上應(yīng)該由中國(guó)鐵路總公司(簡(jiǎn)稱(chēng)總公司)主管領(lǐng)導(dǎo)和部門(mén)具體負(fù)責(zé)鐵路信息安全的領(lǐng)導(dǎo)和組織工作,由相關(guān)專(zhuān)業(yè)職能部門(mén)分工協(xié)作,在鐵路信息化的整體工作布局中設(shè)置專(zhuān)門(mén)機(jī)構(gòu)和崗位、明確相關(guān)職責(zé)、配備信息安全專(zhuān)業(yè)技術(shù)和管理人員,確保信息安全管理制度的有效落實(shí)和信息安全技術(shù)機(jī)制的可操作性。鐵路信息安全組織保證框架見(jiàn)圖4??偣拘畔踩鞴懿块T(mén)應(yīng)該包括以下職能機(jī)構(gòu):法規(guī)政策標(biāo)準(zhǔn)管理機(jī)構(gòu)負(fù)責(zé)制定鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范,并負(fù)責(zé)鐵路業(yè)務(wù)應(yīng)用密碼的管理工作;安全建設(shè)運(yùn)維管理機(jī)構(gòu)根據(jù)鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范,參與鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的設(shè)計(jì)、開(kāi)發(fā)和運(yùn)維審核和監(jiān)管工作;信息安全風(fēng)險(xiǎn)管理機(jī)構(gòu)負(fù)責(zé)對(duì)進(jìn)入鐵路信息系統(tǒng)的相關(guān)產(chǎn)品進(jìn)行測(cè)評(píng)認(rèn)證,對(duì)運(yùn)行系統(tǒng)進(jìn)行安全監(jiān)控,負(fù)責(zé)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理工作;安全事件處置管理機(jī)構(gòu)負(fù)責(zé)對(duì)系統(tǒng)緊急事件進(jìn)行處理,對(duì)輿情進(jìn)行綜合分析,并根據(jù)事件性質(zhì)和處理結(jié)果對(duì)事件進(jìn)行通報(bào);安全保密培訓(xùn)服務(wù)中心負(fù)責(zé)全路的信息安全法律法規(guī)、政策標(biāo)準(zhǔn)、安全意識(shí)和安全技能的培訓(xùn)提高工作,負(fù)責(zé)組織安排和協(xié)調(diào)社會(huì)力量以及高校等培訓(xùn)機(jī)構(gòu)具體實(shí)施常態(tài)化信息安全培訓(xùn)工作;安全災(zāi)備恢復(fù)管理機(jī)構(gòu)負(fù)責(zé)重要信息系統(tǒng)的運(yùn)行和數(shù)據(jù)備份實(shí)施工作,并在系統(tǒng)出現(xiàn)嚴(yán)重故障后,迅速協(xié)調(diào)相關(guān)部門(mén)恢復(fù)服務(wù)或業(yè)務(wù)數(shù)據(jù),保障關(guān)鍵業(yè)務(wù)服務(wù)的運(yùn)行連續(xù)性。各鐵路局(公司)應(yīng)該參照總公司信息安全管理組織結(jié)構(gòu),設(shè)置相關(guān)部門(mén)或相關(guān)專(zhuān)職崗位,并有鐵路局(公司)領(lǐng)導(dǎo)具體分管信息安全工作。鐵路局(公司)信息安全工作應(yīng)該在總公司統(tǒng)一組織、協(xié)調(diào)和安排下開(kāi)展具體工作。

2.4鐵路信息系統(tǒng)安全基礎(chǔ)設(shè)施

鐵路信息系統(tǒng)必須依賴(lài)于鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施作為其安全支撐基礎(chǔ)。鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施不僅可以落實(shí)鐵路集中統(tǒng)一安全管理的要求,提高鐵路信息系統(tǒng)的安全水平,還能有效降低鐵路信息安全的建設(shè)和運(yùn)維成本。鐵路信息安全基礎(chǔ)設(shè)施包括鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心、鐵路業(yè)務(wù)應(yīng)用密碼管理中心、數(shù)字證書(shū)系統(tǒng)、集中安全管理及認(rèn)證授權(quán)中心、安全監(jiān)控中心、安全隔離平臺(tái)、信息安全培訓(xùn)平臺(tái)以及鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)(見(jiàn)圖5)。鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心可以將由于系統(tǒng)重大故障或破壞帶來(lái)的業(yè)務(wù)中斷降低到最小程度,提高鐵路的服務(wù)水平;鐵路業(yè)務(wù)應(yīng)用密碼管理中心是保護(hù)鐵路重要數(shù)據(jù)安全和業(yè)務(wù)安全的基礎(chǔ)保證,同時(shí)它也是全路統(tǒng)一信任體系的技術(shù)基礎(chǔ);鐵路數(shù)字證書(shū)系統(tǒng)可以在全路范圍內(nèi)建立統(tǒng)一的身份認(rèn)證體系,提高鐵路的信息安全集中管理能力,降低安全管理成本;鐵路集中管理及認(rèn)證授權(quán)中心通過(guò)全路集中的信息安全平臺(tái)實(shí)現(xiàn)高效、統(tǒng)一的安全管理,保證安全策略的快速一致化部署;鐵路信息系統(tǒng)安全監(jiān)控中心可以對(duì)鐵路信息系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控,掌握鐵路信息系統(tǒng)的運(yùn)行態(tài)勢(shì),從而實(shí)現(xiàn)在鐵路信息系統(tǒng)中防患于未然,有效降低系統(tǒng)安全風(fēng)險(xiǎn);鐵路安全隔離平臺(tái)是隔離鐵路內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)的安全措施,它保證了鐵路安全生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行;鐵路信息安全培訓(xùn)平臺(tái)對(duì)保證提高鐵路員工的信息安全意識(shí)、培養(yǎng)安全素養(yǎng)極為重要,是人員安全的必要保證;鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)對(duì)鐵路了解社會(huì)評(píng)價(jià)、改善鐵路社會(huì)化服務(wù)水平、提高鐵路形象至為關(guān)鍵。

2.5鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理

要搞好鐵路信息系統(tǒng)的信息安全管理,離不開(kāi)相關(guān)人員的安全意識(shí)培養(yǎng)、技能培訓(xùn)和專(zhuān)業(yè)教育。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育分別針對(duì)不同層次和專(zhuān)業(yè)的人員而設(shè)。信息安全意識(shí)培養(yǎng)通過(guò)對(duì)信息安全術(shù)語(yǔ)、議題和基本概念的宣傳、宣導(dǎo),吸引一般人群對(duì)信息安全的關(guān)注,幫助人們了解信息安全所關(guān)注的問(wèn)題,并能因此產(chǎn)生正確的響應(yīng);信息安全培訓(xùn)讓信息系統(tǒng)相關(guān)人員獲得相關(guān)的技能和必備的資質(zhì),使其在信息安全管理、設(shè)計(jì)、開(kāi)發(fā)、建設(shè)、運(yùn)維、操作、評(píng)估和使用等方面滿(mǎn)足與信息安全相關(guān)的崗位職能要求,培訓(xùn)可以分為初級(jí)、中級(jí)和高級(jí)等多個(gè)層次;信息安全教育則從信息安全專(zhuān)業(yè)理論、技術(shù)、經(jīng)驗(yàn)等方面培養(yǎng)信息安全專(zhuān)家,與信息安全培訓(xùn)一樣,這種信息安全教育也應(yīng)分為初級(jí)、中級(jí)和高級(jí)等多個(gè)層次。為降低信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育的管理和運(yùn)作成本,鐵路信息安全資質(zhì)認(rèn)證也可以和國(guó)家其他部門(mén)的資質(zhì)認(rèn)證機(jī)構(gòu)合作,對(duì)一些可信度高、有較高權(quán)威的信息安全資質(zhì)證書(shū)采取等同認(rèn)可方法。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理框架見(jiàn)圖6。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理可分為兩方面:一方面是針對(duì)全部相關(guān)人員的信息安全意識(shí)培養(yǎng)。安全意識(shí)培養(yǎng)是一個(gè)長(zhǎng)期的宣傳和貫導(dǎo)工作,可以通過(guò)制度獎(jiǎng)懲、危機(jī)教育、標(biāo)語(yǔ)口號(hào)等方式建立普遍的信息安全概念,推廣信息安全文化;另一方面是針對(duì)崗位定義不同的信息安全資質(zhì)要求,并這對(duì)這些資質(zhì)要求建立相對(duì)應(yīng)的信息安全技能和專(zhuān)業(yè)培訓(xùn)、教育,為了滿(mǎn)足這些資質(zhì)培訓(xùn)教育工作,總公司必須建立相關(guān)的培訓(xùn)和認(rèn)證機(jī)制,設(shè)置相關(guān)的機(jī)構(gòu)。

2.6系統(tǒng)流程及操作安全保證

系統(tǒng)流程和操作安全是指鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動(dòng)的流程和操作安全,它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中主要階段的過(guò)程安全。在鐵路信息安全建設(shè)和運(yùn)行過(guò)程中,要制定并依托相關(guān)的鐵路網(wǎng)絡(luò)與信息安全管理制度、技術(shù)標(biāo)準(zhǔn)規(guī)范和組織部門(mén)機(jī)構(gòu),對(duì)系統(tǒng)的安全設(shè)計(jì)、產(chǎn)品測(cè)評(píng)準(zhǔn)入、安全工程等過(guò)程進(jìn)行安全管控,從根本上杜絕系統(tǒng)在結(jié)構(gòu)上的安全缺陷、嚴(yán)防不合規(guī)的產(chǎn)品進(jìn)入系統(tǒng)、保證系統(tǒng)建設(shè)施工的安全規(guī)范;在鐵路信息系統(tǒng)的日常運(yùn)行過(guò)程中,也必須建立系統(tǒng)風(fēng)險(xiǎn)監(jiān)控、評(píng)估和控制的管理和技術(shù)體系,通過(guò)專(zhuān)業(yè)專(zhuān)職的機(jī)構(gòu)和部門(mén),對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控、對(duì)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行定期或不定期的評(píng)估;對(duì)安全事件進(jìn)行預(yù)案規(guī)劃、演練和應(yīng)急處置,避免重大安全事件的發(fā)生;對(duì)系統(tǒng)服務(wù)或重要數(shù)據(jù)實(shí)施安全災(zāi)備,最大程度地減少系統(tǒng)故障帶來(lái)的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)中斷時(shí)間,減小風(fēng)險(xiǎn)后果。鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)流程見(jiàn)圖7。

3結(jié)束語(yǔ)

第7篇:公司信息安全管理體系范文

ISMS的范圍在哪?

對(duì)ISMS范圍的正確確定是整個(gè)實(shí)施的基礎(chǔ)和成敗關(guān)鍵。它涵蓋了業(yè)務(wù)流程、信息流和相關(guān)資產(chǎn),因而也確定了BS7799信息安全管理體系的邊界和目標(biāo),這對(duì)于實(shí)施周期、實(shí)施受益的信息管理環(huán)節(jié)都將產(chǎn)生影響。

僅就認(rèn)證目的而言,企業(yè)可以選擇任何部門(mén)和系統(tǒng),但顯然只有與業(yè)務(wù)目標(biāo)一致的范圍定義才有助于體現(xiàn)安全管理對(duì)于核心業(yè)務(wù)的促進(jìn)作用。

在本項(xiàng)目中,最終選擇了企業(yè)的核心業(yè)務(wù)系統(tǒng)作為此次認(rèn)證的范圍,其ISMS邊界包括數(shù)據(jù)安全實(shí)驗(yàn)室及所有與“數(shù)據(jù)銷(xiāo)毀和數(shù)據(jù)恢復(fù)服務(wù)”相關(guān)的信息資產(chǎn),從而確保了BS 7799實(shí)施與預(yù)期目標(biāo)的一致性。

評(píng)估風(fēng)險(xiǎn)

風(fēng)險(xiǎn)評(píng)估被公認(rèn)為是ISMS實(shí)施過(guò)程最關(guān)鍵和難以操作環(huán)節(jié)。因此,BS7799實(shí)施并不限定客戶(hù)使用風(fēng)險(xiǎn)評(píng)估的方法。

風(fēng)險(xiǎn)評(píng)估成功與否關(guān)鍵不在于技術(shù)問(wèn)題,而在于良好的客戶(hù)溝通和會(huì)議組織技巧,包括讓管理層和業(yè)務(wù)人員理解風(fēng)險(xiǎn)評(píng)估的重要性和方法,提供必要的配合和支持,并通過(guò)高效的會(huì)議組織獲得較全面的和客觀的調(diào)查反饋信息。

應(yīng)避免風(fēng)險(xiǎn)評(píng)估僅限于IT部門(mén)和安全專(zhuān)家的參與。風(fēng)險(xiǎn)評(píng)估既然服務(wù)于企業(yè)的業(yè)務(wù)目標(biāo),就應(yīng)當(dāng)?shù)玫綐I(yè)務(wù)部門(mén)的支持。事實(shí)上,只有他們最理解需要保護(hù)什么、保護(hù)的程度如何,哪些是安全問(wèn)題,發(fā)生過(guò)什么安全事件,是否值得以特定成本實(shí)施安全控制而降低某項(xiàng)風(fēng)險(xiǎn)。

因此,在一開(kāi)始就應(yīng)把業(yè)務(wù)骨干納入到風(fēng)險(xiǎn)評(píng)估小組,通過(guò)培訓(xùn)讓所有成員理解風(fēng)險(xiǎn)評(píng)估的目的、流程和方法。

風(fēng)險(xiǎn)評(píng)估應(yīng)始終圍繞企業(yè)的目標(biāo)和方針進(jìn)行。比如說(shuō),在評(píng)估資產(chǎn)和威脅的影響時(shí),都要做BIA(業(yè)務(wù)影響分析),其中制定的參考指標(biāo)就應(yīng)當(dāng)依據(jù)企業(yè)安全目標(biāo)。當(dāng)發(fā)生各成員評(píng)估結(jié)果不一致的情況時(shí),項(xiàng)目經(jīng)理也應(yīng)參照安全目標(biāo)的定義進(jìn)行裁決。

成功的風(fēng)險(xiǎn)評(píng)估應(yīng)避免片面性、主觀性,避免與漏洞掃描或穿透測(cè)試混為一談。客戶(hù)可能認(rèn)為只有后者才是值得尊重的專(zhuān)業(yè)服務(wù),但事實(shí)上風(fēng)險(xiǎn)不僅來(lái)自技術(shù)弱點(diǎn),還包括組織弱點(diǎn),如業(yè)務(wù)流程、人員和資產(chǎn)管理等。

此外,完整的風(fēng)險(xiǎn)評(píng)估應(yīng)涵蓋物理和邏輯兩方面的因素,我們這個(gè)案例就很明顯地體現(xiàn)了這點(diǎn)。

由于既定的范圍不包括復(fù)雜的網(wǎng)絡(luò)和IT資產(chǎn),因此在進(jìn)行弱點(diǎn)分析時(shí)主要考慮組織和物理方面的技術(shù)弱點(diǎn),例如客戶(hù)介質(zhì)在交遞、保管、處理、返還等環(huán)節(jié)的安全隱患,以及安全實(shí)驗(yàn)室的實(shí)物與環(huán)境安全等。

企業(yè)應(yīng)和客戶(hù)詳細(xì)討論各種細(xì)微的業(yè)務(wù)流程隱患,甚至以用戶(hù)身份參觀公司,以了解這項(xiàng)服務(wù)存在的外部隱患,例如客戶(hù)交來(lái)介質(zhì)時(shí)如何接待,對(duì)包裝如何檢查、標(biāo)記、存放,當(dāng)實(shí)驗(yàn)室工作人員暫時(shí)離開(kāi),如何確保環(huán)境和客戶(hù)介質(zhì)的安全等。

我們還檢查了實(shí)驗(yàn)室的裝修環(huán)境,與其他區(qū)域的分隔,以及門(mén)禁、監(jiān)控等措施的有效性。弱點(diǎn)識(shí)別往往包括內(nèi)、外兩方面不同的觀點(diǎn),但在資產(chǎn)和威脅分析時(shí),顧問(wèn)公司只是教給客戶(hù)標(biāo)準(zhǔn)和方法,讓客戶(hù)自己分析、判斷、紀(jì)錄和整理最終的結(jié)果。

評(píng)斷風(fēng)險(xiǎn)評(píng)估的好壞不局限于采用定性或定量的風(fēng)險(xiǎn)評(píng)估方法,還在于能否為安全控制決策提供足夠的參考依據(jù)。

如果將資產(chǎn)價(jià)值、安全威脅和弱點(diǎn)對(duì)企業(yè)業(yè)務(wù)的影響等評(píng)估活動(dòng)結(jié)果嚴(yán)格數(shù)字化,不僅可能導(dǎo)致實(shí)施進(jìn)度的失控,而且可能因?yàn)槿狈ψ銐虻膮⒖紭?biāo)準(zhǔn)和過(guò)于繁復(fù)的過(guò)程導(dǎo)致不可操作。在此情況下,基于特定的指標(biāo)進(jìn)行范圍分級(jí)往往是值得推薦的評(píng)估方法。

此外,為了提高評(píng)估的效率,還可以采用專(zhuān)業(yè)化評(píng)估軟件以減少評(píng)估的人為失誤和文檔編制時(shí)間。

人是安全管理體系的靈魂

安全管理體系的良好運(yùn)作依賴(lài)于制度和組織機(jī)制,更依賴(lài)于各種角色的安全意識(shí)和對(duì)安全方針的理解與遵守程度。所有這些,需要有有效的培訓(xùn)和管理層的支持。

辦好培訓(xùn)最好的方式是案例分析,其次是高層動(dòng)員。如果在安全手冊(cè)的扉頁(yè)有CEO對(duì)安全的評(píng)論和簽名,顯然會(huì)增加該文檔的權(quán)威性。

第8篇:公司信息安全管理體系范文

至去年“棱鏡門(mén)”事件后,國(guó)內(nèi)連續(xù)爆出一系列數(shù)據(jù)泄密事件:如家等快捷酒店開(kāi)房記錄泄露、中國(guó)人壽80萬(wàn)保單信息泄露、搜狗手機(jī)輸入法漏洞、315晚會(huì)上央視也曝光了二維碼等網(wǎng)銀支付的安全漏洞,近日又曝光攜程用戶(hù)信息泄露,導(dǎo)致信用卡被盜刷的惡性事件,再次讓互聯(lián)網(wǎng)用戶(hù)數(shù)據(jù)安全成為關(guān)注焦點(diǎn)。為企業(yè)在數(shù)據(jù)防泄密建設(shè)方面敲響警鐘。

據(jù)烏云平臺(tái)披露:攜程將用于處理用戶(hù)支付的服務(wù)接口開(kāi)啟了調(diào)試功能,使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器。同時(shí)因?yàn)楸4嬷Ц度罩镜姆?wù)器未做校嚴(yán)格的基線(xiàn)安全配置,存在目錄遍歷漏洞,導(dǎo)致所有支付過(guò)程中的調(diào)試信息可被任意駭客讀取。這些信息包括持卡人姓名、身份證、銀行卡類(lèi)別、銀行卡號(hào)、CVV碼和6位Bin。

根據(jù)CNNIC最新數(shù)據(jù)顯示,2013年因網(wǎng)上數(shù)據(jù)泄露發(fā)生的安全問(wèn)題涉及的網(wǎng)民數(shù)占整體上網(wǎng)人數(shù)的4.0%以上,影響人數(shù)達(dá)2010.6萬(wàn)人。其中,個(gè)人信息泄露比例達(dá)42.9%,賬號(hào)密碼被盜比例達(dá)23.8%。在享受互聯(lián)網(wǎng)與手機(jī)帶來(lái)的便捷之時(shí),人已經(jīng)“透明”了。層出不窮的新型騙術(shù)、花樣翻新的黑客木馬,無(wú)一不在拷問(wèn)著網(wǎng)絡(luò)數(shù)據(jù)安全問(wèn)題?!皠?chuàng)新永遠(yuǎn)伴隨著風(fēng)險(xiǎn),相關(guān)機(jī)構(gòu)應(yīng)提高自身安全技術(shù)業(yè)務(wù);同時(shí),希望更多宣傳和普及用戶(hù)安全意識(shí)教育?!蹦郴ヂ?lián)網(wǎng)公司首席知識(shí)管理專(zhuān)家趙煥焱強(qiáng)調(diào)。在他看來(lái),幾乎每次數(shù)據(jù)泄露的安全事件都是對(duì)商業(yè)公司的督促,而各個(gè)商業(yè)公司的安全意識(shí)也在逐漸加強(qiáng)。

事實(shí)上,目前,政府、企業(yè)等各方面都已經(jīng)認(rèn)識(shí)到信息安全建設(shè)的重要性和緊迫性。怎樣避免數(shù)據(jù)泄密風(fēng)險(xiǎn)成為每位CIO迫切希望解決的問(wèn)題。從眾多數(shù)據(jù)泄密事件看,數(shù)據(jù)泄密途徑主要有數(shù)據(jù)非授權(quán)使用、內(nèi)部人員有意或無(wú)意泄密、離職雇員盜取信息及第三方合作人員數(shù)據(jù)竊取、數(shù)據(jù)被隨意拷貝等。從本質(zhì)上講,數(shù)據(jù)加密技術(shù)是確保數(shù)據(jù)安全的治本之法,核心信息資產(chǎn)只用通過(guò)加密技術(shù)實(shí)現(xiàn)權(quán)限管理:知道核心數(shù)據(jù)哪些人能看,在哪兒能看,看的環(huán)境是否安全,才能建立完善的數(shù)據(jù)安全管理體系,實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全管控。采用多種加密技術(shù),結(jié)合用戶(hù)身份和權(quán)限控制等技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期的安全管理。構(gòu)建以信息防泄密為核心的數(shù)據(jù)安全管理體系。對(duì)數(shù)據(jù)產(chǎn)生、交換、使用和存儲(chǔ)全生命周期實(shí)現(xiàn)權(quán)限控制和安全管理,讓核心信息牢牢掌握在內(nèi)部,從而保護(hù)信息資產(chǎn)安全。

聯(lián)系到中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立,全國(guó)兩會(huì)上信息安全焦點(diǎn)問(wèn)題備受關(guān)注都充分說(shuō)明國(guó)家信息安全建設(shè)高度重視。大數(shù)據(jù)時(shí)代,信息資產(chǎn)成為企業(yè)發(fā)展的命脈,如果數(shù)據(jù)信息被泄密,后果將不堪設(shè)想。(姜姝)

第9篇:公司信息安全管理體系范文

1.1電子信息的加密技術(shù)

所謂電子信息的加密技術(shù)也就是對(duì)于所傳送的電子信息能夠起到一定的保密作用,也能夠使信息、數(shù)據(jù)的傳遞變得更加安全和完整。電子信息的加密技術(shù)是保障電子科技企業(yè)信息安全的重要保證。加密技術(shù)也主要分為對(duì)稱(chēng)以及非對(duì)稱(chēng)兩類(lèi),對(duì)稱(chēng)的加密技術(shù)一般都是通過(guò)序列密碼或是分組機(jī)密的方式來(lái)實(shí)現(xiàn)的。這其中還包括了明文、密鑰、加密算法以及解密算法五個(gè)基本的組成部分。而非對(duì)稱(chēng)加密與對(duì)稱(chēng)加密也存在一定的差異,非對(duì)稱(chēng)加密必須要具備公開(kāi)密鑰和私有密鑰兩個(gè)密鑰,同時(shí),這兩種密鑰只有配對(duì)使用,這樣才能解密。因此加密技術(shù)對(duì)于電子信息的安全具有很大的保障。如果在發(fā)送電子信息的時(shí)候,發(fā)送人是使用加密技術(shù)來(lái)發(fā)送郵件的,那么有人竊取信息的時(shí)候,也只能夠得到密文,不能得到具體的信息。這樣就大大加強(qiáng)了信息傳送的安全性。加快推進(jìn)國(guó)內(nèi)關(guān)鍵行業(yè)領(lǐng)域信息系統(tǒng)的安全評(píng)估測(cè)試。在安全評(píng)估方面,主要針對(duì)主機(jī)安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語(yǔ)意分析等技術(shù),評(píng)估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。

1.2防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,雖然對(duì)于信息安全問(wèn)題已經(jīng)不斷的得到加強(qiáng),但是一些信息的不安全因素也在逐級(jí)的提高。有一些黑客或者是病毒木馬也在不斷的入侵,而這些不安全的因素會(huì)極大的威脅到電子科技企業(yè)信息的安全。而針對(duì)這種情況,一種比較有效的防護(hù)措施就是防火墻技術(shù)的使用。這種技術(shù)可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發(fā)生。這樣就能夠有效的保障電子科技企業(yè)信息的安全。加強(qiáng)企業(yè)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)建設(shè),建設(shè)面向企業(yè)的信息安全專(zhuān)業(yè)服務(wù)平臺(tái)。重點(diǎn)開(kāi)展等級(jí)保護(hù)設(shè)計(jì)咨詢(xún)、風(fēng)險(xiǎn)評(píng)估、安全咨詢(xún)、安全測(cè)評(píng)、快速預(yù)警響應(yīng)、第三方資源共享的容災(zāi)備份、標(biāo)準(zhǔn)驗(yàn)證等服務(wù);建設(shè)企業(yè)信息安全數(shù)據(jù)庫(kù),為廣大企業(yè)提供快速、高效的信息安全咨詢(xún)、預(yù)警、應(yīng)急處理等服務(wù),實(shí)現(xiàn)企業(yè)信息安全公共資源的共享共用,提高信息安全保障能力。

二、解決電子科技企業(yè)信息安全問(wèn)題的方法

2.1構(gòu)建電子科技企業(yè)信息安全的管理體系

如果要想有效的保障電子科技企業(yè)的信息安全,除了要不斷的提高安全技術(shù)水平,還要建立起一套比較完善的信息安全管理體系。這樣才能使整個(gè)信息安全工作更加有條不紊的進(jìn)行。在很多電子科技企業(yè)當(dāng)中,最初所建立的相關(guān)信息制度在很大程度上都制約著信息系統(tǒng)的安全性。如果一旦安全管理制度出現(xiàn)了問(wèn)題,那么一系列的安全技術(shù)都無(wú)法發(fā)揮出來(lái)。很多信息安全工作也無(wú)法正常進(jìn)行下去。因此,嚴(yán)格的信息安全管理體系對(duì)于信息安全的保障具有十分重要的作用。只有當(dāng)信息安全管理形成了一個(gè)完善的體系,那么信息安全工作才能夠更加順利的進(jìn)行,同時(shí)也能夠大大的提升信息安全的系數(shù)。

2.2利用電子科技企業(yè)自身的網(wǎng)絡(luò)條件來(lái)提供信息安全服務(wù)

一般來(lái)說(shuō),電子科技企業(yè)都擁有自己的局域網(wǎng),很多企業(yè)也可以通過(guò)局域網(wǎng)來(lái)相互連通。因此,電子科技企業(yè)應(yīng)該充分的利用這一特點(diǎn)為自身的企業(yè)提供良好地信息安全服務(wù)。通過(guò)局域網(wǎng)的連通,不僅能夠在這個(gè)平臺(tái)上及時(shí)的公布一些安全公告以及安全法規(guī),同時(shí)還可以進(jìn)行一些安全軟件的下載,為員工提供一些關(guān)于信息安全的培訓(xùn)。這樣不僅能夠?yàn)槠髽I(yè)之間的員工提供一個(gè)安全的互相交流的平臺(tái),同時(shí)還能夠很好的保障企業(yè)信息安全。針對(duì)企業(yè)主機(jī)安全保密檢查與信息監(jiān)管,采取文件內(nèi)容檢索、惡意代碼檢查、數(shù)據(jù)恢復(fù)技術(shù)、網(wǎng)絡(luò)漏洞掃描、互聯(lián)網(wǎng)網(wǎng)站檢測(cè)、語(yǔ)意分析等技術(shù),評(píng)估分析重要信息是否發(fā)生泄漏,并找出泄漏的原因和渠道。

2.3定期對(duì)信息安全防護(hù)軟件進(jìn)行及時(shí)的更新