外審員信息安全精選(五篇)

序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇外審員信息安全，期待它們能激發(fā)您的靈感。

篇1

［基金項(xiàng)目］教育部人文社會(huì)科學(xué)研究規(guī)劃項(xiàng)目（10YJA790182）；南京審計(jì)學(xué)院校級(jí)一般項(xiàng)目（NSK2009/B22）；江蘇省優(yōu)勢(shì)學(xué)科“審計(jì)科學(xué)與技術(shù)”研究項(xiàng)目

［作者簡(jiǎn)介］劉國(guó)城（1978― ），男，內(nèi)蒙古赤峰人，南京審計(jì)學(xué)院講師，碩士，從事審計(jì)理論研究。

第27卷第3期2012年5月審計(jì)與經(jīng)濟(jì)研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012

［摘要］在分析中觀信息系統(tǒng)風(fēng)險(xiǎn)與損失的成因基礎(chǔ)上，借鑒BS7799標(biāo)準(zhǔn)，一方面從物理層次與邏輯層次兩個(gè)方面研究中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)模式；另一方面從一般控制與應(yīng)用控制兩個(gè)層面探索中觀信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)機(jī)制。基于BS7799標(biāo)準(zhǔn)對(duì)中觀信息系統(tǒng)審計(jì)進(jìn)行研究，旨在為IT審計(jì)師有效實(shí)施中觀信息系統(tǒng)審計(jì)提供應(yīng)用指南。

［關(guān)鍵詞］BS7799標(biāo)準(zhǔn)；中觀審計(jì)；信息系統(tǒng)審計(jì)；內(nèi)部控制；中觀信息系統(tǒng)；中觀信息系統(tǒng)風(fēng)險(xiǎn)

［中圖分類號(hào)］F239.4［文獻(xiàn)標(biāo)識(shí)碼］A［文章編號(hào)］10044833(2012)03005007

所謂中觀信息系統(tǒng)審計(jì)就是指審計(jì)主體依據(jù)特定的規(guī)范，運(yùn)用科學(xué)系統(tǒng)的程序方法，對(duì)中觀信息系統(tǒng)網(wǎng)絡(luò)的運(yùn)行規(guī)程與應(yīng)用政策實(shí)施的一種監(jiān)督活動(dòng)，旨在增強(qiáng)中觀經(jīng)濟(jì)主體特定信息網(wǎng)絡(luò)的有效性、安全性、機(jī)密性與一致性，以保障中觀信息系統(tǒng)的高效運(yùn)行［1］。中觀信息系統(tǒng)的審計(jì)主體即IT審計(jì)師需要重視中觀信息系統(tǒng)審計(jì)的復(fù)雜性，且有必要借助BS7799標(biāo)準(zhǔn)，構(gòu)建并完善中觀信息系統(tǒng)審計(jì)的實(shí)施流程，優(yōu)化中觀信息系統(tǒng)審計(jì)工作，提高審計(jì)質(zhì)量。之所以需要借助BS7799標(biāo)準(zhǔn)，是因?yàn)锽S7799標(biāo)準(zhǔn)的眾多功能可以滿足中觀信息系統(tǒng)審計(jì)工作的需求。在尚未有詳細(xì)信息系統(tǒng)審計(jì)（以下簡(jiǎn)稱“IS審計(jì)”）規(guī)范的條件下，中觀信息系統(tǒng)審計(jì)對(duì)信息安全管理策略的需求巨大，而BS7799標(biāo)準(zhǔn)恰恰是問世較早且相對(duì)成熟的信息安全管理標(biāo)準(zhǔn)，它能夠確保在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行自動(dòng)通信、信息處理和利用時(shí)，在各個(gè)物理位置、邏輯區(qū)域、存儲(chǔ)和傳媒介質(zhì)中，較好地實(shí)現(xiàn)保密性、完整性、有效性與可用性，能夠在信息管理與計(jì)算機(jī)科學(xué)兩個(gè)層面加強(qiáng)信息安全管理向中觀信息系統(tǒng)審計(jì)的理論轉(zhuǎn)化，中觀信息系統(tǒng)審計(jì)的需求與BS7799標(biāo)準(zhǔn)的功能具備整合的可行性。

一、 BS7799標(biāo)準(zhǔn)

1995年，英國(guó)貿(mào)工部制定了世界首部信息安全管理體系標(biāo)準(zhǔn)“BS77991：1995《信息安全管理實(shí)施規(guī)則》”，并作為各類組織實(shí)施信息安全管理的指南［2］，由于該標(biāo)準(zhǔn)采用建議和指導(dǎo)的方式編寫，因而不作為認(rèn)證標(biāo)準(zhǔn)使用；1998年，英國(guó)又制定了信息安全管理體系認(rèn)證標(biāo)準(zhǔn)“BS77992：1998《信息安全管理體系規(guī)范》”，作為對(duì)組織信息安全管理體系進(jìn)行評(píng)審認(rèn)證的標(biāo)準(zhǔn)［3］；1999年，英國(guó)再次對(duì)信息安全管理體系標(biāo)準(zhǔn)進(jìn)行了修訂，形成“BS77991：1999”與“BS77992：1999”這一對(duì)配套標(biāo)準(zhǔn)；2000年12月，“BS77991：1999”被ISO/IEC正式采納為國(guó)際標(biāo)準(zhǔn)“ISO/IEC17799：2000《信息技術(shù)：信息安全管理實(shí)施規(guī)則》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作為藍(lán)本修訂，成為可用于認(rèn)證的“ISO/IEC《信息安全管理體系規(guī)范》”；2005年，BS77991與BS77992再次改版，使得體系更為完善。BS7799標(biāo)準(zhǔn)體系包含10個(gè)管理要項(xiàng)、36個(gè)管理目標(biāo)、127個(gè)控制目標(biāo)及500多個(gè)管理要點(diǎn)。管理要項(xiàng)如今已成為組織實(shí)施信息安全管理的實(shí)用指南；安全控制目標(biāo)能夠幫助組織識(shí)別運(yùn)作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題，它主要告訴IT審計(jì)師安全管理的注意事項(xiàng)與安全制度。BS77992詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理的要求，指出組織在實(shí)施過程中需要遵循的風(fēng)險(xiǎn)評(píng)估等級(jí)，從而識(shí)別最應(yīng)該控制的對(duì)象并對(duì)自身需求進(jìn)行適當(dāng)控制。BS77991為信息系統(tǒng)提供了通用的控制措施，BS77992則為BS77991的具體實(shí)施提供了應(yīng)用指南。

國(guó)外相對(duì)成熟的信息安全管理理論較多，它們各有千秋，彼此之間相互補(bǔ)充且有交叉。BS7799標(biāo)準(zhǔn)僅是眾多信息安全管理理論中的一種，與傳統(tǒng)審計(jì)方法相比，僅適用于IS審計(jì)范疇。然而，BS7799標(biāo)準(zhǔn)的特別之處表現(xiàn)在：其一，它是一部通用的信息安全管理指南，呈現(xiàn)了較為全面的系統(tǒng)安全控制措施，闡述了安全策略和優(yōu)秀的、具有普遍意義的安全操作方法，能夠?yàn)镮T審計(jì)師開展審計(jì)工作提供全程支持；其二，它遵循“計(jì)劃-行動(dòng)-控制-改善方案”的風(fēng)險(xiǎn)管理思想，首先幫助IT審計(jì)師規(guī)劃信息安全審計(jì)的方針和范圍，其次在審計(jì)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上選擇適當(dāng)?shù)膶徲?jì)方法及風(fēng)險(xiǎn)控制策略并予以實(shí)施，制定持續(xù)性管理規(guī)劃，建立并運(yùn)行科學(xué)的中觀信息系統(tǒng)審計(jì)執(zhí)行體系。

二、 中觀信息系統(tǒng)的風(fēng)險(xiǎn)與損失

中觀信息系統(tǒng)風(fēng)險(xiǎn)是指成功利用中觀信息系統(tǒng)的脆弱性或漏洞，并造成系統(tǒng)損害的可能性。中觀信息系統(tǒng)風(fēng)險(xiǎn)極其龐雜且非常普遍，每個(gè)中觀信息系統(tǒng)面臨的風(fēng)險(xiǎn)都是不同的，這種風(fēng)險(xiǎn)可能是單一的，也可能是組合的［4］。中觀信息系統(tǒng)風(fēng)險(xiǎn)包括：人員風(fēng)險(xiǎn)、組織風(fēng)險(xiǎn)、物理環(huán)境風(fēng)險(xiǎn)、信息機(jī)密性風(fēng)險(xiǎn)、信息完整性風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、通信操作風(fēng)險(xiǎn)、設(shè)施風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)及黏合風(fēng)險(xiǎn)（見圖1），它們共同構(gòu)成了中觀信息系統(tǒng)的風(fēng)險(xiǎn)體系，各種風(fēng)險(xiǎn)除具有各自的特性外，有時(shí)還可能相互作用。

中觀信息系統(tǒng)風(fēng)險(xiǎn)的成因離不開外來威脅與系統(tǒng)自身的脆弱性，且風(fēng)險(xiǎn)的最終后果就是損失。圖1中的“a.威脅性”是系統(tǒng)的“風(fēng)險(xiǎn)源”，它是由于未授權(quán)訪問、毀壞、數(shù)據(jù)修改以及拒絕服務(wù)等給系統(tǒng)造成潛在危害的任何事件。中觀信息系統(tǒng)的威脅來自于人為因素及非人為因素兩個(gè)方面。人為因素是對(duì)中觀信息系統(tǒng)造成威脅的決定性力量，人為因素造成威脅的主體有競(jìng)爭(zhēng)對(duì)手、網(wǎng)絡(luò)黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統(tǒng)安全程序、管理控制、物理設(shè)計(jì)中存在的、可能被攻擊者利用來獲得未授權(quán)信息或破壞關(guān)鍵處理的弱點(diǎn)，由物理環(huán)境、技術(shù)問題、管理問題、法律問題四個(gè)方面組成。圖1中的“d.風(fēng)險(xiǎn)承受力”是指在中觀信息系統(tǒng)遭遇風(fēng)險(xiǎn)或受到攻擊時(shí)，維持業(yè)務(wù)運(yùn)行最基本的服務(wù)和保護(hù)信息資產(chǎn)的抵抗力、識(shí)別力、恢復(fù)力和自適應(yīng)能力。

中觀信息系統(tǒng)風(fēng)險(xiǎn)的產(chǎn)生有兩種方式：一是遵循“abc”路徑，這條路徑形成的風(fēng)險(xiǎn)為中觀信息系統(tǒng)“固有風(fēng)險(xiǎn)”，即假定中觀信息系統(tǒng)中不存在內(nèi)部控制制度，從而造成系統(tǒng)存在嚴(yán)重錯(cuò)誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風(fēng)險(xiǎn)源，對(duì)中觀信息系統(tǒng)構(gòu)成威脅，該威脅產(chǎn)生后尋找并利用系統(tǒng)的脆弱點(diǎn)（假定中觀信息系統(tǒng)對(duì)該脆弱點(diǎn)沒有設(shè)計(jì)內(nèi)控制度），當(dāng)威脅成功作用于脆弱點(diǎn)后，就對(duì)系統(tǒng)進(jìn)行有效攻擊，進(jìn)而產(chǎn)生中觀信息系統(tǒng)風(fēng)險(xiǎn)。二是遵循“abPc”路徑，該路徑所形成的風(fēng)險(xiǎn)為中觀信息系統(tǒng)的“控制風(fēng)險(xiǎn)”，即內(nèi)部控制制度體系未能及時(shí)預(yù)防或發(fā)現(xiàn)系統(tǒng)中的某些錯(cuò)誤或不法行為，以致中觀信息系統(tǒng)遭受損失的可能性。與“abc”路徑比較，該路徑多出“P.內(nèi)部控制”過程，這說明當(dāng)威脅已產(chǎn)生并將利用系統(tǒng)的脆弱點(diǎn)時(shí)，中觀經(jīng)濟(jì)主體已經(jīng)對(duì)該脆弱點(diǎn)設(shè)計(jì)了內(nèi)控制度體系，但是由于內(nèi)部控制制度設(shè)計(jì)的不科學(xué)、不完善或沒有得到有效執(zhí)行，從而造成內(nèi)部控制未能阻止“威脅”，致使中觀信息系統(tǒng)形成風(fēng)險(xiǎn)。中觀信息系統(tǒng)損失的形成遵循“cde”路徑。然而，由于中觀信息系統(tǒng)自身具有一定的風(fēng)險(xiǎn)防御能力（即“d.風(fēng)險(xiǎn)承受力”），因而并非所有風(fēng)險(xiǎn)都將造成損失。當(dāng)中觀信息系統(tǒng)識(shí)別并抵抗部分風(fēng)險(xiǎn)后，最終未能消除的風(fēng)險(xiǎn)通過對(duì)系統(tǒng)的負(fù)面作用，會(huì)給中觀信息系統(tǒng)造成間接或直接的損失。

三、 中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)模式

圖1中的“abc”路徑是中觀信息系統(tǒng)固有風(fēng)險(xiǎn)產(chǎn)生的路徑，固有風(fēng)險(xiǎn)形成的條件是“假定不存在內(nèi)部控制制度”。評(píng)價(jià)固有風(fēng)險(xiǎn)是中觀信息系統(tǒng)審計(jì)準(zhǔn)備階段的一項(xiàng)基礎(chǔ)工作，只有正確評(píng)價(jià)固有風(fēng)險(xiǎn)，才能合理評(píng)估審計(jì)風(fēng)險(xiǎn)，準(zhǔn)確確定審計(jì)范圍并制定審計(jì)計(jì)劃［56］。筆者認(rèn)為，BS7799標(biāo)準(zhǔn)之所以能夠有效評(píng)價(jià)中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)，是因?yàn)锽S7799標(biāo)準(zhǔn)的管理要項(xiàng)、管理目標(biāo)，控制措施與管理要點(diǎn)組成了信息安全管理體系，這個(gè)體系為IT審計(jì)師確定與評(píng)價(jià)系統(tǒng)固有風(fēng)險(xiǎn)提供了指南［7］。BS7799標(biāo)準(zhǔn)對(duì)IT審計(jì)師評(píng)價(jià)固有風(fēng)險(xiǎn)的貢獻(xiàn)見上表1。

(一) 物理層次的風(fēng)險(xiǎn)評(píng)價(jià)

物理層次的內(nèi)容包括物理環(huán)境安全與物理環(huán)境設(shè)備［7］，其中，物理環(huán)境安全包括硬件接觸控制、預(yù)防災(zāi)難措施和網(wǎng)絡(luò)環(huán)境安全；物理環(huán)境設(shè)備包括支持設(shè)施、硬件設(shè)備和網(wǎng)絡(luò)物理環(huán)境。針對(duì)上述分類，下面對(duì)物理層次風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行具體分析。

首先是物理環(huán)境安全風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)物理環(huán)境安全風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、D1、D3、E、G8、H5、I、J。例如，IT審計(jì)師在了解被審中觀信息系統(tǒng)的“預(yù)防災(zāi)難措施”時(shí)，可參照“A.安全方針”，依據(jù)BS7799對(duì)“安全方針”進(jìn)行闡述，了解被審系統(tǒng)的“信息安全方針”，關(guān)注被審系統(tǒng)在相關(guān)的“方針與策略”中是否估計(jì)到了系統(tǒng)可能遭遇的所有內(nèi)外部威脅；當(dāng)威脅發(fā)生時(shí)，是否有具體的安全保護(hù)規(guī)定及明確的預(yù)防措施；對(duì)于方針的執(zhí)行，是否對(duì)每位員工都有所要求。假若IT審計(jì)師在審計(jì)中未找到被審系統(tǒng)的“安全方針”，或找到了但“安全方針”并未涉及有關(guān)“災(zāi)難預(yù)防”方面的安全措施，則IT審計(jì)師可直接認(rèn)定被審系統(tǒng)在這方面存在固有風(fēng)險(xiǎn)。其次，物理環(huán)境設(shè)備風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)物理環(huán)境設(shè)備風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT審計(jì)師在了解被審系統(tǒng)有關(guān)“硬件設(shè)備”的情況時(shí)，可參照“C1.資產(chǎn)責(zé)任”。BS7799標(biāo)準(zhǔn)對(duì)“資產(chǎn)責(zé)任”的說明有“組織可根據(jù)運(yùn)作流程與系統(tǒng)結(jié)構(gòu)識(shí)別資產(chǎn)，列出清單”，“組織的管理者應(yīng)該確定專人負(fù)責(zé)相關(guān)資產(chǎn)，防止資產(chǎn)的被盜、丟失與濫用”。借鑒C1的信息安全管理目標(biāo)與措施，IT審計(jì)師可以關(guān)注被審單位是否列出了系統(tǒng)硬件設(shè)備的清單，是否有專人對(duì)資產(chǎn)負(fù)責(zé)。如果相關(guān)方面的管理完備，則說明“硬件設(shè)備”在責(zé)任方面不存在固有風(fēng)險(xiǎn)，IT審計(jì)師也不需要再對(duì)此方面的固有風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)。再如，IT審計(jì)師在確認(rèn)“硬件設(shè)備”方面的固有風(fēng)險(xiǎn)時(shí)，還可參照“E3.通用控制”。BS7799標(biāo)準(zhǔn)對(duì)“通用控制”的說明有“定期進(jìn)行資產(chǎn)清查”，“未經(jīng)授權(quán)，資產(chǎn)不能隨便遷移”等。借鑒這一措施，IT審計(jì)師需要了解被審系統(tǒng)的有關(guān)資產(chǎn)清查記錄以及資產(chǎn)轉(zhuǎn)移登記手續(xù)，如果相關(guān)記錄不完整或手續(xù)不完備，則IT審計(jì)師可直接認(rèn)定“硬件設(shè)備”在控制方面存在固有風(fēng)險(xiǎn)。

(二) 邏輯層次的風(fēng)險(xiǎn)評(píng)價(jià)

邏輯層次的內(nèi)容包括軟件環(huán)境、系統(tǒng)生命周期和邏輯安全［7］。其中，軟件環(huán)境包括系統(tǒng)軟件、網(wǎng)絡(luò)軟件與應(yīng)用軟件；系統(tǒng)生命周期包括系統(tǒng)規(guī)劃、分析、設(shè)計(jì)、編碼、測(cè)試、試運(yùn)行以及維護(hù)；邏輯安全包括軟件與數(shù)據(jù)接觸、數(shù)據(jù)加密機(jī)制、數(shù)據(jù)完整性、入侵檢測(cè)、病毒與惡意代碼以及防火墻。針對(duì)以上分類，下面對(duì)邏輯層次風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行具體分析。

首先是軟件環(huán)境風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)軟件環(huán)境風(fēng)險(xiǎn)時(shí)可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT審計(jì)師在掌握被審系統(tǒng)有關(guān)“網(wǎng)絡(luò)軟件”的情況時(shí)，可借鑒“G2.用戶訪問管理”標(biāo)準(zhǔn)。BS7799對(duì)該標(biāo)準(zhǔn)的闡述包括“建立用戶登記過程，對(duì)用戶訪問實(shí)施授權(quán)”，“對(duì)特權(quán)實(shí)行嚴(yán)格管理”，“對(duì)用戶口令進(jìn)行嚴(yán)格管理”等。借鑒G2下相關(guān)信息安全管理措施，IT審計(jì)師可以詳細(xì)核查被審網(wǎng)絡(luò)軟件是否建立了用戶注冊(cè)與登記過程、被審軟件的特權(quán)管理是否嚴(yán)格、是否要求用戶秘密保守口令。假若IT審計(jì)師發(fā)現(xiàn)用戶并未得到訪問網(wǎng)絡(luò)軟件的權(quán)限卻可以輕易訪問網(wǎng)絡(luò)軟件，則該軟件必然存在風(fēng)險(xiǎn)，IT審計(jì)師就可通過與BS7799標(biāo)準(zhǔn)比照并發(fā)表評(píng)價(jià)結(jié)論。又如，IT審計(jì)師在評(píng)價(jià)“系統(tǒng)軟件”固有風(fēng)險(xiǎn)時(shí)，可借鑒“G5.系統(tǒng)訪問與使用的監(jiān)控”標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的闡述有“使用終端安全登陸程序來訪問信息服務(wù)”，“對(duì)高風(fēng)險(xiǎn)的不活動(dòng)終端采取時(shí)限措施”。IT審計(jì)師在評(píng)價(jià)“系統(tǒng)軟件”自身風(fēng)險(xiǎn)時(shí)，可套用上述安全措施，逐項(xiàng)分析被審系統(tǒng)軟件是否完全達(dá)到上述標(biāo)準(zhǔn)并作出合理的風(fēng)險(xiǎn)評(píng)價(jià)。其次是系統(tǒng)生命周期的風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)系統(tǒng)生命周期風(fēng)險(xiǎn)時(shí)，可借鑒BS7799標(biāo)準(zhǔn)A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計(jì)師在檢查被審系統(tǒng)的“系統(tǒng)設(shè)計(jì)”時(shí)，可參照“H1.系統(tǒng)安全要求”。H1的解釋為“系統(tǒng)設(shè)計(jì)階段應(yīng)該充分考慮系統(tǒng)安全性，組織在項(xiàng)目開始階段需要識(shí)別所有的安全要求，并將其作為系統(tǒng)設(shè)計(jì)開發(fā)不可或缺的一部分進(jìn)行調(diào)整與確認(rèn)”。因而，IT審計(jì)師在檢查系統(tǒng)設(shè)計(jì)有關(guān)資料時(shí)，需要分析被審單位是否把上述解釋融入系統(tǒng)設(shè)計(jì)中，或是否全面、有效地融入設(shè)計(jì)過程，如果被審單位考慮了諸因素，IT審計(jì)師就可以確認(rèn)被審系統(tǒng)的設(shè)計(jì)環(huán)節(jié)在此方面不存在風(fēng)險(xiǎn)。假若IT審計(jì)師發(fā)現(xiàn)在系統(tǒng)設(shè)計(jì)階段被審單位沒有考慮到需要“引入控制”，且在系統(tǒng)運(yùn)營(yíng)期間對(duì)系統(tǒng)的“控制”也不夠重視，則IT審計(jì)師可以作出系統(tǒng)自身安全及系統(tǒng)設(shè)計(jì)開發(fā)過程存在風(fēng)險(xiǎn)的結(jié)論。第三是邏輯安全的風(fēng)險(xiǎn)評(píng)價(jià)。在評(píng)價(jià)邏輯安全風(fēng)險(xiǎn)時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計(jì)師在檢查被審系統(tǒng)的“病毒與惡意代碼”時(shí)，可借鑒“G4.網(wǎng)絡(luò)訪問控制”。BS7799對(duì)該標(biāo)準(zhǔn)的闡述有“建立并實(shí)施網(wǎng)絡(luò)用戶服務(wù)使用方針”，“從用戶終端到網(wǎng)絡(luò)服務(wù)的路徑必須受到控制”以及“對(duì)外部鏈接的用戶進(jìn)行身份鑒別”等。IT審計(jì)師在審計(jì)過程中，應(yīng)該關(guān)注被審系統(tǒng)在上述方面的執(zhí)行思路與執(zhí)行程度，假若被審單位對(duì)上述方面缺乏重視，則惡意用戶未經(jīng)授權(quán)或未受限制就能輕易訪問系統(tǒng)，系統(tǒng)遭受病毒或惡意代碼損害的風(fēng)險(xiǎn)會(huì)相應(yīng)加大。再如，IT審計(jì)師在評(píng)價(jià)系統(tǒng)“數(shù)據(jù)完整性”的風(fēng)險(xiǎn)時(shí)，可借鑒“F1.操作程序與職責(zé)”。該標(biāo)準(zhǔn)的描述有“在執(zhí)行作業(yè)的過程中，提供差錯(cuò)處理及例外情況的指導(dǎo)”，“進(jìn)行職責(zé)分離，減少出現(xiàn)非授權(quán)更改與數(shù)據(jù)信息濫用的機(jī)會(huì)”等。結(jié)合上述措施，IT審計(jì)師應(yīng)該關(guān)注被審單位是否通過外鍵、約束、規(guī)則等方式保障數(shù)據(jù)的完整性，如果被審單位沒有按照上述方法操作，則被審系統(tǒng)將會(huì)在“數(shù)據(jù)完整性”方面存在風(fēng)險(xiǎn)。

需要強(qiáng)調(diào)的是中觀信息系統(tǒng)固有風(fēng)險(xiǎn)的評(píng)價(jià)較為復(fù)雜。在理論研究中，本文僅選取BS7799的某些標(biāo)準(zhǔn)舉例進(jìn)行闡述，但在實(shí)踐中，IT審計(jì)師不應(yīng)只借鑒BS7799標(biāo)準(zhǔn)的單個(gè)或部分標(biāo)準(zhǔn)，就做出某方面存在“固有風(fēng)險(xiǎn)”的結(jié)論。如僅從C1看，“硬件設(shè)備”無固有風(fēng)險(xiǎn)，但從E3看，“硬件設(shè)備”確實(shí)存在固有風(fēng)險(xiǎn)。鑒于此，IT審計(jì)師應(yīng)由“點(diǎn)”及“面”，全面借鑒BS7799標(biāo)準(zhǔn)的整個(gè)體系。只有如此，才能更科學(xué)具體地進(jìn)行物理及邏輯層次的風(fēng)險(xiǎn)評(píng)價(jià)。

四、 中觀信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)機(jī)制

圖1中的“abPc”路徑是中觀信息系統(tǒng)控制風(fēng)險(xiǎn)產(chǎn)生的路徑，控制風(fēng)險(xiǎn)的形成條件是“假定存在內(nèi)部控制制度，但是內(nèi)控制度不科學(xué)、不健全或執(zhí)行不到位”，產(chǎn)生控制風(fēng)險(xiǎn)最主要的原因是內(nèi)部控制機(jī)制失效，即“P”過程出現(xiàn)問題。評(píng)價(jià)內(nèi)部控制是IT審計(jì)師防范審計(jì)風(fēng)險(xiǎn)的關(guān)鍵，也是中觀信息系統(tǒng)審計(jì)實(shí)施階段的一項(xiàng)重要工作。然而，當(dāng)前我國(guó)信息系統(tǒng)審計(jì)方面的標(biāo)準(zhǔn)與規(guī)范僅有四項(xiàng)，因而IT審計(jì)師對(duì)信息系統(tǒng)內(nèi)部控制的評(píng)價(jià)還處于摸索階段，急需詳細(xì)的流程與規(guī)范進(jìn)行指導(dǎo)。筆者認(rèn)為，BS77991《信息安全管理實(shí)施細(xì)則》與BS77992《信息安全管理體系規(guī)范》能夠?yàn)镮T審計(jì)師評(píng)價(jià)中觀信息系統(tǒng)的內(nèi)部控制提供思路。BS7799是一套完備的信息安全管理體系，IT審計(jì)師完全可以借鑒其體系與框架來設(shè)計(jì)中觀信息系統(tǒng)內(nèi)部控制評(píng)價(jià)流程，構(gòu)建適用于中觀信息系統(tǒng)的審計(jì)流程。BS7799標(biāo)準(zhǔn)的具體借鑒思路見表1，具體闡述如下。

(一) 一般控制的評(píng)價(jià)

1. 組織管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)組織管理的內(nèi)控時(shí)，可借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D1、D3、E、F、G、H、I、J。IT審計(jì)師可將BS7799標(biāo)準(zhǔn)體系作為信息系統(tǒng)組織管理內(nèi)部控制的衡量標(biāo)準(zhǔn)，并以此確認(rèn)被審系統(tǒng)組織管理內(nèi)控制度的科學(xué)性與健全性。假若某中觀經(jīng)濟(jì)主體將信息系統(tǒng)的部分管理活動(dòng)外包，則IT審計(jì)師可借鑒BS7799中的“B3.外包控制”標(biāo)準(zhǔn)，檢查外包合同的全面性與合理性。如果被審單位在外包合同中規(guī)定了信息系統(tǒng)的風(fēng)險(xiǎn)、承包主客體各自的系統(tǒng)安全控制程序，并明確規(guī)定了“哪些措施必須到位，以保證涉及外包的所有各方關(guān)注各自的安全責(zé)任”，“哪些措施用以確定與檢測(cè)信息資產(chǎn)的完整性和保密性”，“采取哪些實(shí)物的和邏輯的控制以限制和限定授權(quán)用戶對(duì)系統(tǒng)敏感信息的訪問”以及“發(fā)生災(zāi)難時(shí)，采用怎樣的策略來維持服務(wù)可用性”，則IT審計(jì)師就可確認(rèn)被審系統(tǒng)在外包方面的控制設(shè)計(jì)具有科學(xué)性與全面性，只需再對(duì)外包控制條款的執(zhí)行效果進(jìn)行評(píng)價(jià)就可以得出對(duì)被審單位外包活動(dòng)評(píng)價(jià)的整體結(jié)論。

2. 數(shù)據(jù)資源管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)數(shù)據(jù)資源管理的內(nèi)控時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C、D、E1、E3、F、G、H、I、J。信息系統(tǒng)數(shù)據(jù)包括數(shù)據(jù)字典、權(quán)限設(shè)置、存儲(chǔ)分配、網(wǎng)絡(luò)地址、硬件配置與系統(tǒng)配置參數(shù)，系統(tǒng)數(shù)據(jù)資源管理有數(shù)據(jù)存放、備份、恢復(fù)等，內(nèi)容相對(duì)復(fù)雜。IT審計(jì)師在評(píng)價(jià)數(shù)據(jù)資源管理的內(nèi)部控制時(shí)，也需要借鑒BS7799標(biāo)準(zhǔn)體系。例如，IT審計(jì)師可借鑒“F1.操作程序與職責(zé)”或“G6.應(yīng)用訪問控制”評(píng)價(jià)數(shù)據(jù)資源管理。F1與G6的闡述有“識(shí)別和記錄重要數(shù)據(jù)的更改”、“對(duì)數(shù)據(jù)更改的潛在影響作出評(píng)估”、“向所有相關(guān)人員傳達(dá)更改數(shù)據(jù)的細(xì)節(jié)”、“數(shù)據(jù)更改不成功的恢復(fù)措施”、“控制用戶的數(shù)據(jù)訪問權(quán)，如對(duì)讀、寫、刪除等進(jìn)行限制”、“在系統(tǒng)共享中，對(duì)敏感的數(shù)據(jù)實(shí)施高級(jí)別的保護(hù)”。IT審計(jì)師在審計(jì)時(shí)，有必要根據(jù)上述思路對(duì)系統(tǒng)數(shù)據(jù)管理的控制制度進(jìn)行深層次評(píng)價(jià)。在當(dāng)前缺乏信息系統(tǒng)審計(jì)規(guī)范的情況下，以BS7799體系作為評(píng)價(jià)數(shù)據(jù)資源管理內(nèi)部控制的指南，不失為一種好的審計(jì)策略。

3. 環(huán)境安全管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)環(huán)境安全管理的內(nèi)控時(shí)可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E、F、G、H、I、J。信息系統(tǒng)的環(huán)境安全管理包括物理環(huán)境安全管理與軟件環(huán)境安全管理，系統(tǒng)環(huán)境是否安全決定著危險(xiǎn)因素對(duì)脆弱性的攻擊程度，進(jìn)而決定著信息系統(tǒng)風(fēng)險(xiǎn)。IT審計(jì)師在審計(jì)系統(tǒng)環(huán)境的安全管理過程時(shí)，需要關(guān)注設(shè)備、網(wǎng)絡(luò)、軟件以及硬件等方面。在評(píng)價(jià)系統(tǒng)環(huán)境安全管理的內(nèi)部控制時(shí)，IT審計(jì)師有必要借助上述BS7799標(biāo)準(zhǔn)體系。例如，BS7799的“E1.安全區(qū)域”標(biāo)準(zhǔn)與“E2.設(shè)備安全”標(biāo)準(zhǔn)的解釋有“信息處理設(shè)施可能受到非法物理訪問、盜竊、泄密等威脅，通過建立安全區(qū)域、嚴(yán)格進(jìn)入控制等控制措施對(duì)重要的系統(tǒng)設(shè)施進(jìn)行全面保護(hù)”，“應(yīng)該對(duì)信息處理設(shè)施運(yùn)作產(chǎn)生不良影響的環(huán)境條件加以監(jiān)控，如，濕度與溫度的影響”。類似上述的BS7799系列標(biāo)準(zhǔn)都為IT審計(jì)師如何確認(rèn)環(huán)境安全管理的內(nèi)控提供了審計(jì)指導(dǎo)，且其指導(dǎo)思路清晰、全面。IT審計(jì)師通過借鑒BS7799系列標(biāo)準(zhǔn)，可以深層次挖掘系統(tǒng)環(huán)境安全管理規(guī)章制度中存在的疏漏以及執(zhí)行中存在的問題，從而有效評(píng)判環(huán)境安全管理的控制風(fēng)險(xiǎn)。

4. 系統(tǒng)運(yùn)行管理的內(nèi)部控制評(píng)價(jià)

在評(píng)價(jià)系統(tǒng)運(yùn)行管理的內(nèi)控時(shí)，可以借鑒BS7799標(biāo)準(zhǔn)A、B、C1、D、E1、E3、F、G、H、I、J。中觀經(jīng)濟(jì)主體對(duì)運(yùn)行系統(tǒng)的管理相對(duì)復(fù)雜，涉及到系統(tǒng)組織、系統(tǒng)維護(hù)、系統(tǒng)完善等多個(gè)方面。由于系統(tǒng)運(yùn)行中需要管理的環(huán)節(jié)繁多，而且目前也沒有規(guī)范與流程可以參考，因而，評(píng)價(jià)系統(tǒng)運(yùn)行管理的內(nèi)控也有必要借鑒上述BS7799標(biāo)準(zhǔn)體系。例如，BS7799標(biāo)準(zhǔn)“D2.設(shè)備安全”與“H5.開發(fā)與支持過程中的安全”的闡述有“信息系統(tǒng)操作者需要接受安全意識(shí)培訓(xùn)，熟悉與系統(tǒng)運(yùn)行相關(guān)的安全職責(zé)、安全程序與故障制度”，“系統(tǒng)運(yùn)行中，建立并實(shí)施更改控制程序”以及“對(duì)操作系統(tǒng)的更改進(jìn)行技術(shù)評(píng)審”等方面。IT審計(jì)師采用詢問、觀察、檢查、穿行測(cè)試等方法評(píng)審系統(tǒng)運(yùn)行管理的內(nèi)部控制，需要有上述明細(xì)的、清晰的信息安全管理規(guī)則予以指導(dǎo)，這些標(biāo)準(zhǔn)可以指導(dǎo)IT審計(jì)師了解被審系統(tǒng)是否有健全的運(yùn)行管理規(guī)范及是否得到有效運(yùn)行，借此，IT審計(jì)師可以作出全面的內(nèi)控判斷，進(jìn)而出具正確的審計(jì)結(jié)論。

(二) 應(yīng)用控制的評(píng)價(jià)

信息系統(tǒng)的應(yīng)用控制包括輸入控制、處理控制與輸出控制。在評(píng)價(jià)系統(tǒng)輸入控制、處理控制以及輸出控制三者的內(nèi)控時(shí)，同樣有必要借鑒BS7799標(biāo)準(zhǔn)，且BS7799標(biāo)準(zhǔn)中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對(duì)應(yīng)的信息安全管理目標(biāo)與措施能夠在IT審計(jì)師對(duì)三者進(jìn)行內(nèi)控評(píng)價(jià)時(shí)提供相對(duì)詳盡的審計(jì)框架。為確保信息系統(tǒng)輸入、處理與輸出的信息完整、正確，中觀經(jīng)濟(jì)主體需要加強(qiáng)對(duì)信息系統(tǒng)的應(yīng)用控制。IT審計(jì)師在中觀信息系統(tǒng)審計(jì)的過程中，需要做到對(duì)被審系統(tǒng)應(yīng)用控制進(jìn)行正確評(píng)價(jià)。

在IT審計(jì)師對(duì)應(yīng)用控制的符合性測(cè)試過程中，上述BS7799標(biāo)準(zhǔn)體系可以對(duì)應(yīng)用控制評(píng)價(jià)進(jìn)行全程指導(dǎo)。例如，BS7799標(biāo)準(zhǔn)中“H2.應(yīng)用系統(tǒng)的安全”提到“數(shù)據(jù)輸入的錯(cuò)誤，可以通過雙重輸入或其他輸入檢查偵測(cè)，建立用于響應(yīng)輸入錯(cuò)誤的程序”，“已正確輸入的數(shù)據(jù)可因處理錯(cuò)誤或故意行為而被破壞，系統(tǒng)應(yīng)有確認(rèn)檢查功能以探測(cè)數(shù)據(jù)的破壞”，“為確保所存儲(chǔ)的信息相對(duì)于各種情況的處理是正確而恰當(dāng)?shù)模瑏碜詰?yīng)用系統(tǒng)的輸出數(shù)據(jù)應(yīng)該得到確認(rèn)”等控制策略，并提出了相對(duì)詳細(xì)的控制措施。應(yīng)用控制環(huán)節(jié)是信息處理的脆弱集結(jié)點(diǎn)，IT審計(jì)師在進(jìn)行應(yīng)用控制的符合性測(cè)試環(huán)節(jié)時(shí)有必要考慮周全，詳盡規(guī)劃。IT審計(jì)師可以遵循H2全面實(shí)施針對(duì)應(yīng)用控制的審計(jì)，依照BS7799標(biāo)準(zhǔn)體系，檢查被審系統(tǒng)對(duì)于超范圍數(shù)值、數(shù)據(jù)區(qū)中的無效字符、丟失的數(shù)據(jù)、未經(jīng)認(rèn)可的控制數(shù)據(jù)等系統(tǒng)輸入問題的控制措施以及應(yīng)急處理能力；檢查是否對(duì)系統(tǒng)產(chǎn)生的數(shù)據(jù)進(jìn)行了確認(rèn)，系統(tǒng)的批處理控制措施、平衡控制措施等，以及相關(guān)控制行為的執(zhí)行力度；檢查信息輸出是否實(shí)施了可信性檢查、一致性控制等措施，如果有相關(guān)措施，那么執(zhí)行力度如何。BS7799標(biāo)準(zhǔn)體系較為全面，對(duì)于IT審計(jì)師評(píng)價(jià)系統(tǒng)的應(yīng)用控制貢獻(xiàn)很大，如果IT審計(jì)師能夠創(chuàng)造性借鑒該標(biāo)準(zhǔn)，必可做好符合性測(cè)試，為實(shí)質(zhì)性測(cè)試夯實(shí)基礎(chǔ)，也定會(huì)提高審計(jì)質(zhì)量。

五、 結(jié)束語(yǔ)

表1是筆者在分析某商業(yè)銀行信息系統(tǒng)與某區(qū)域物流信息系統(tǒng)的基礎(chǔ)上，對(duì)“BS7799標(biāo)準(zhǔn)如何應(yīng)用于信息系統(tǒng)審計(jì)”所進(jìn)行的設(shè)計(jì)，當(dāng)針對(duì)其他行業(yè)時(shí)，或許需要對(duì)表1進(jìn)行適當(dāng)調(diào)整。不同行業(yè)、不同特性的中觀經(jīng)濟(jì)主體在信息系統(tǒng)審計(jì)中運(yùn)用BS7799標(biāo)準(zhǔn)時(shí)側(cè)重點(diǎn)會(huì)有所不同。本文以分析中觀信息系統(tǒng)風(fēng)險(xiǎn)為著手點(diǎn)，沿用BS7799標(biāo)準(zhǔn)對(duì)中觀信息系統(tǒng)審計(jì)進(jìn)行研究，旨在拋磚引玉。

參考文獻(xiàn)：

［1］王會(huì)金,劉國(guó)城.中觀經(jīng)濟(jì)主體信息系統(tǒng)審計(jì)的理論分析及實(shí)施路徑探索［J］.審計(jì)與經(jīng)濟(jì)研究,2009(5):2731.

［2］BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management［S］. London:British Standards Institation,2000:179202.

［3］BSI.BS779922002 information security managementspecification for information security management systems［S］. London: British Standards Institation,2002:267280

［4］孫強(qiáng).信息系統(tǒng)審計(jì)［M］.北京:機(jī)械工業(yè)出版社,2003.

［5］劉國(guó)城,王會(huì)金.中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的理論探索與體系構(gòu)架［J］.審計(jì)研究,2011(2):2128.

［6］王會(huì)金.中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系研究――以COBIT框架與數(shù)據(jù)挖掘技術(shù)相結(jié)合為視角［J］.審計(jì)與經(jīng)濟(jì)研究，2012（1）：1623.

［7］科飛管理咨詢公司.信息安全管理概論-BS7799理解與實(shí)施［M］.北京:機(jī)械工業(yè)出版社, 2002.

BS7799 Criterion and Its Application in Mesoinformation Systems Audit

LIU Guocheng

（Jinshen College of Nanjing Audit University, Nanjing 210029, China）

篇2

醫(yī)院電腦使用責(zé)任書【1】

一、目的

為切實(shí)加強(qiáng)我院計(jì)算機(jī)的使用、管理工作，提高工作效率，確保無紙化辦公的平穩(wěn)有序開展，減少醫(yī)院管理系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)，特制定本責(zé)任書。

二、職責(zé)與管理

1、筆記本電腦實(shí)行使用人負(fù)責(zé)制，科室內(nèi)電腦實(shí)行科主任負(fù)責(zé)制，科室成員為相關(guān)責(zé)任人。

2、對(duì)全院所有電腦，由財(cái)務(wù)科統(tǒng)一登記，列入醫(yī)院固定資產(chǎn)。

三、計(jì)算機(jī)使用和安全管理

1、應(yīng)愛護(hù)計(jì)算機(jī)及相關(guān)設(shè)備，嚴(yán)禁在電腦前喝水等可能污損電腦的行為。

2、按規(guī)定程序開啟和關(guān)閉計(jì)算機(jī)系統(tǒng)，關(guān)機(jī)前應(yīng)先退出應(yīng)用程序。

3、加強(qiáng)個(gè)人用戶密碼管理，及時(shí)注銷登錄，防止無關(guān)人員盜用。

4、原則上禁止使用U盤等，確因需要，必須先查殺病毒再使用。

5、文件資料不要保存在系統(tǒng)C盤或桌面，以免系統(tǒng)故障而丟失資料。

四、處罰

1、所有電腦嚴(yán)禁安裝各種游戲。工作時(shí)間利用電腦玩游戲(包括蜘蛛紙牌等)、看電影或進(jìn)行其它與工作無關(guān)的活動(dòng)的，發(fā)現(xiàn)1次，罰款50元;由此造成醫(yī)療糾紛的，所有責(zé)任一律由本人承擔(dān)。

2、提高防范意識(shí)，加強(qiáng)計(jì)算機(jī)設(shè)備(尤其是筆記本電腦)的使用管理，丟失或被盜者，個(gè)人照價(jià)賠償。

3、對(duì)以下違反規(guī)定的行為，勒令改正，對(duì)造成損失的照價(jià)賠償;屢教不改者，醫(yī)院收回其電腦：

①擅自重裝、更改操作系統(tǒng)及軟件設(shè)置的，造成計(jì)算機(jī)故障的。

②私自安裝不正規(guī)軟件和卸載已有軟件。

③因訪問不良網(wǎng)站，或擅自使用帶有病毒的光盤、U盤、移動(dòng)硬盤等，導(dǎo)致醫(yī)院局域網(wǎng)病毒蔓延，造成系統(tǒng)癱瘓，影響正常工作的。

④擅自允許他人(尤其是小孩)使用計(jì)算機(jī)的。

⑤擅自外借計(jì)算機(jī)設(shè)備，或通過計(jì)算機(jī)泄露信息的。

五、此責(zé)任書協(xié)議一式兩份，醫(yī)院和責(zé)任人各執(zhí)一份，簽字蓋章后生效。

xxx衛(wèi)生院

院長(zhǎng)：

責(zé)任人：

二xxx年xx月xxx日

醫(yī)院電腦使用責(zé)任書【2】

各科室：

為保障醫(yī)院計(jì)算機(jī)局域網(wǎng)絡(luò)信息安全，加強(qiáng)醫(yī)院信息數(shù)據(jù)查詢和使用權(quán)限管理規(guī)范，避免發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)失密事件，防止醫(yī)院信息數(shù)據(jù)的泄露，現(xiàn)與各中層干部簽訂信息安全責(zé)任書，確定每一位中層干部為所在科室的計(jì)算機(jī)信息安全責(zé)任人，并要求做到以下條款：

1.嚴(yán)格遵守醫(yī)院信息保密制度及相關(guān)的信息安全制度，定期或不定期的在科室內(nèi)部進(jìn)行培訓(xùn)和教育，提高信息保密意識(shí)。

2.對(duì)信息查詢的需求，科室須進(jìn)入OA系統(tǒng)中的數(shù)據(jù)查詢申請(qǐng)流程，填寫申請(qǐng)單，經(jīng)分管信息工作院領(lǐng)導(dǎo)審批同意后方可查詢，同時(shí)應(yīng)對(duì)查詢的數(shù)據(jù)結(jié)果保密，不能隨意泄露。

3.醫(yī)院內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)嚴(yán)禁被設(shè)定為網(wǎng)絡(luò)共享計(jì)算機(jī)，計(jì)算機(jī)內(nèi)文件嚴(yán)禁被設(shè)定為網(wǎng)絡(luò)共享文件，嚴(yán)禁以任何形式將有關(guān)數(shù)據(jù)、報(bào)表帶出醫(yī)院。

4.計(jì)算機(jī)操作人員不得擅自更改醫(yī)院數(shù)據(jù)和計(jì)算機(jī)的二系統(tǒng)設(shè)置。禁止擅自將醫(yī)院辦公計(jì)算機(jī)連接互聯(lián)網(wǎng)(外網(wǎng))。

5.操作計(jì)算機(jī)的人員必須使用自己的工號(hào)和密碼進(jìn)行自己權(quán)限范圍內(nèi)的操作，對(duì)自己的工號(hào)和密碼要進(jìn)行嚴(yán)格管理，不得把相關(guān)的工號(hào)和密碼泄露給外人。禁止使用他人的工號(hào)和密碼進(jìn)行操作，并嚴(yán)格做到人離機(jī)關(guān)。

6.嚴(yán)禁將醫(yī)院內(nèi)部醫(yī)療信息或病患信息泄露給他人，包括私自統(tǒng)計(jì)藥品、高值耗材用量等信息并透漏給他人牟取不法利益，否則將按照法律法規(guī)和有關(guān)規(guī)章制度追究責(zé)任。

科室人員如違反以上條款，或科室管理中存在違反條款的行為，除依規(guī)處罰相關(guān)責(zé)任人外，同時(shí)將追究相關(guān)中層干部的管理責(zé)任，并將結(jié)果納入中層干部年度或任期考評(píng)，與干部的選拔、任用及獎(jiǎng)勵(lì)掛鉤。

本責(zé)任書有效期至本屆中層干部任期結(jié)束。

部門(科室)

負(fù)責(zé)人簽字：

XXXX醫(yī)院

XXXX年X月X日

醫(yī)院電腦使用責(zé)任書【3】

為了切實(shí)加強(qiáng)北京大學(xué)人民醫(yī)院網(wǎng)站安全管理，增強(qiáng)醫(yī)院網(wǎng)絡(luò)為醫(yī)院醫(yī)療、教學(xué)、科研、管理和員工服務(wù)的功能，規(guī)范上網(wǎng)信息審核工作，結(jié)合我院的實(shí)際情況，特制定本責(zé)任書。

一、本責(zé)任書適用于所有與醫(yī)院科室/處室相關(guān)的網(wǎng)絡(luò)內(nèi)容(含信息平臺(tái)信息、科室/處室自行設(shè)立的網(wǎng)站)。

二、各科室/處室網(wǎng)絡(luò)內(nèi)容實(shí)行科室/處室主任負(fù)責(zé)制。確保上網(wǎng)信息內(nèi)容中不含危害國(guó)家安全、社會(huì)穩(wěn)定、醫(yī)院發(fā)展和職工團(tuán)結(jié)的內(nèi)容，不涉及非法內(nèi)容，確保上網(wǎng)信息的真實(shí)性和準(zhǔn)確性，不利用網(wǎng)站從事與醫(yī)院網(wǎng)站職能不符的活動(dòng);科室/處室主任對(duì)網(wǎng)站上的鏈接內(nèi)容負(fù)責(zé);涉及人數(shù)較多的大型活動(dòng)或倡議書等一類信息，須報(bào)黨委院長(zhǎng)辦公室審批同意后方可掛網(wǎng)。

三、本科室/處室上網(wǎng)內(nèi)容由科/處室主任授權(quán)專人作為科室/處室網(wǎng)絡(luò)管理員，科/處室主任對(duì)上網(wǎng)內(nèi)容審簽，并將審簽表交黨委院長(zhǎng)辦公室備案。

四、科室/處室網(wǎng)絡(luò)管理員職責(zé)：對(duì)醫(yī)院網(wǎng)站后臺(tái)臨時(shí)權(quán)限保密;科室/處室上網(wǎng)內(nèi)容上報(bào)科/處室主任審批，并將科/處室主任簽字的審批表交黨委院長(zhǎng)辦公室存檔。

科室/處室：

責(zé)任人(科室/處室主任)：

_____年_____月_____日

篇3

關(guān)鍵詞：信息安全；網(wǎng)絡(luò)安全危脅；安全防護(hù)系統(tǒng)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)26-6245-03

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，各發(fā)電企業(yè)信息化網(wǎng)絡(luò)日漸普及，成為了企業(yè)科技化管理的重要手段。通過對(duì)數(shù)據(jù)的集中、共享、處理使得信息系統(tǒng)為發(fā)電企業(yè)生產(chǎn)經(jīng)營(yíng)、安全生產(chǎn)等各方面提供了巨大的科技支撐。但同時(shí)伴隨出現(xiàn)的病毒蔓延、不良黑客入侵、流氓軟件等多方面問題成為了不得不面對(duì)的問題，同時(shí)對(duì)發(fā)電企業(yè)的安全生產(chǎn)也形成了巨大的威脅，以此進(jìn)一步加強(qiáng)發(fā)電企業(yè)信息化安全是在信息化建設(shè)初期首要考慮的問題。

1發(fā)電企業(yè)面臨的網(wǎng)絡(luò)安全威脅

因?yàn)樾畔⒕W(wǎng)絡(luò)的互通性，發(fā)電企業(yè)信息化威脅，既有可能來自本企業(yè)內(nèi)部，也同時(shí)可能來源于外部。其內(nèi)部威脅主要來自于員工、各信息系統(tǒng)管理員等，根據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)安全破壞活動(dòng)近80%來自于競(jìng)爭(zhēng)對(duì)手、任何惡意的組織和個(gè)人。主要表現(xiàn)的安全威脅為：

1）截獲用戶標(biāo)識(shí)：截獲標(biāo)識(shí)指以非法手段取得合法用戶的身份信息，主要是用戶的帳號(hào)和密碼，這是絕大多數(shù)發(fā)電信息系統(tǒng)采用的認(rèn)證防護(hù)措施。如果侵入者得知了某位合法用戶的帳號(hào)和密碼，即便該合法用戶并未被賦予其他的特權(quán)，也有可能威脅整個(gè)系統(tǒng)的安全。如果帳號(hào)，特別是密碼，被以明文的方式由信息網(wǎng)絡(luò)傳遞，侵入者通過安裝協(xié)議分析軟件對(duì)網(wǎng)絡(luò)通信進(jìn)行監(jiān)視，則可以輕松獲取。如果密碼通過明文格式保存在用戶的計(jì)算機(jī)的內(nèi)存或者硬盤中，侵入者更能夠有方法發(fā)現(xiàn)并利用這些密碼，同時(shí)如果密碼很簡(jiǎn)單（如手機(jī)號(hào)碼、用戶生日、私家車號(hào)牌、用戶姓名等），更加容易被侵入者通過軟件得知，在網(wǎng)絡(luò)上大肆傳播的黑客工具都是通過幾種常用習(xí)慣的詞典來獲取用戶密碼。

2）偽裝：當(dāng)未通過授權(quán)的用戶假扮成具有合法授權(quán)的用戶，登錄發(fā)電信息系統(tǒng)時(shí)就形成了偽裝。當(dāng)未通過授權(quán)的用戶經(jīng)過偽裝成信息系統(tǒng)管理員或者具有信息管理超級(jí)特權(quán)的有關(guān)用戶時(shí)，截獲用戶標(biāo)識(shí)的情況是威脅最大的。應(yīng)為侵入者已經(jīng)獲取了某位合法用戶的標(biāo)識(shí)，或者因?yàn)榍秩胝咭呀?jīng)使信息系統(tǒng)相信其擁有另外的而實(shí)際上并不存在的權(quán)限，所以偽裝是很容易出現(xiàn)的。網(wǎng)絡(luò)地址欺騙實(shí)際上就是偽裝的一中形式，侵入者通過一個(gè)合法的IP地址，然后通過此地址截獲已被授予該合法地址的系統(tǒng)或者是服務(wù)器訪問權(quán)限。

3）非授權(quán)操作：非授權(quán)操作使用信息系統(tǒng)或者資源時(shí)，信息網(wǎng)絡(luò)安全就受到了極大的威脅。例如，企業(yè)的發(fā)電數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)有可能被未經(jīng)授權(quán)的侵入者，非法修改并利用。

4）病毒：病毒是伴隨計(jì)算機(jī)技術(shù)產(chǎn)生，能夠通過不斷自我復(fù)制，大范圍傳播，對(duì)計(jì)算機(jī)、信息系統(tǒng)及其數(shù)據(jù)產(chǎn)生極大破壞的程序。因?yàn)椴《揪哂械碾[藏性和可變異性，使得廣大用戶無法防范。據(jù)有關(guān)資料調(diào)查，99%的企業(yè)或者個(gè)人受到過計(jì)算機(jī)病毒的感染，63%的數(shù)據(jù)和系統(tǒng)損壞來源于病毒。給受害企業(yè)或個(gè)人帶來巨大的時(shí)間和人力資源的浪費(fèi)，同時(shí)重要數(shù)據(jù)文件的丟失和損壞是無法用金錢來衡量的。

5）服務(wù)拒絕：通過向發(fā)電企業(yè)信息化系統(tǒng)發(fā)送大量的請(qǐng)求或者垃圾數(shù)據(jù)，使得服務(wù)器的資源被大量占用，直至資源耗盡，使其達(dá)到無法繼續(xù)提供正常服務(wù)或者服務(wù)器崩潰的目的。在發(fā)電企業(yè)信息化系統(tǒng)中，這樣的攻擊可能造成重大的安全威脅。

6）惡意程序代碼：伴隨著可自執(zhí)行的計(jì)算機(jī)程序與WWW站點(diǎn)的集成，惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅。

7）特權(quán)濫用：信息系統(tǒng)的超級(jí)管理員故意或者錯(cuò)誤地通過對(duì)某系統(tǒng)的特權(quán)來獲取其不應(yīng)獲取的敏感數(shù)據(jù)。

8）誤操作：信息系統(tǒng)超級(jí)管理員、業(yè)務(wù)系統(tǒng)管理員、一般用戶等因?qū)夹g(shù)方面熟練度不高，操作時(shí)的失誤，引起對(duì)信息系統(tǒng)安全性、完整性和可靠性的損壞。

9）權(quán)限變更：一般用戶利用信息系統(tǒng)的漏洞提高其用戶等級(jí)，以獲取未經(jīng)授權(quán)的系統(tǒng)權(quán)限。

10）后門：信息系統(tǒng)研發(fā)人員出于故意或者為了日后維護(hù)便利在信息系統(tǒng)中設(shè)置的專用通道，使用其可以不受企業(yè)信息系統(tǒng)安全措施的控制。經(jīng)常被人為利用控制、破壞正常運(yùn)行的系統(tǒng)。

11）系統(tǒng)研發(fā)中的錯(cuò)誤和調(diào)試不全：其包含對(duì)有關(guān)數(shù)據(jù)不進(jìn)行充分的檢查、對(duì)系統(tǒng)的邏輯運(yùn)行定義不準(zhǔn)確，同時(shí)這些錯(cuò)誤和不完善沒有通過大量的、齊全的系統(tǒng)調(diào)試檢查出來，有可能在運(yùn)行中導(dǎo)致數(shù)據(jù)被錯(cuò)誤生成且引入信息系統(tǒng)，破壞了實(shí)際數(shù)據(jù)的準(zhǔn)確性。

12）特洛伊木馬：它通過提供一些有價(jià)值的或者僅僅是有趣的功能，在用未經(jīng)用戶許可的情況下拷貝文件、竊取用戶的帳號(hào)和密碼、發(fā)送用戶的重要資料或者破壞用戶系統(tǒng)等。木馬程序是一種常見的危害性較大的威脅，由于其不易被發(fā)現(xiàn)，在一般情況下，它是在二進(jìn)制代碼中被發(fā)現(xiàn)，且大多數(shù)后綴名都為無法直接打開的文件，其特點(diǎn)與病毒有許多相似的地方。

13）社會(huì)工程共計(jì)：主要是的是攻擊者利用人的心理活動(dòng)進(jìn)行攻擊，其無需采用高深的科技手段，同時(shí)無需入侵系統(tǒng)來完成。僅需要通過向特定用戶了解帳號(hào)和密碼，達(dá)到其獲取數(shù)據(jù)或者信息系統(tǒng)訪問權(quán)的目的。絕大多數(shù)情況下、攻擊者的主要目標(biāo)是企業(yè)的辦公室接待員、行政或者技術(shù)支撐人員，通過對(duì)這些類別的用戶通過電話、EMAIL或者聊天工具等方式即可完成攻擊。

2發(fā)電企業(yè)信息化情況（以五大發(fā)電集團(tuán)某下屬發(fā)電公司為例）

2.1信息化網(wǎng)絡(luò)狀況

圖1

2.2信息化系統(tǒng)狀況

1）財(cái)務(wù)及資產(chǎn)管理（簡(jiǎn)稱：FAM）系統(tǒng)，是集中部署的核心應(yīng)用系統(tǒng)，涵蓋電廠財(cái)務(wù)核算、費(fèi)用報(bào)銷、資金計(jì)劃、物資采購(gòu)、庫(kù)存管理、物資計(jì)劃、超市管理、合同管理、缺陷管理、檢修管理、設(shè)備維護(hù)等功能模塊。

2）OA辦公自動(dòng)化系統(tǒng)。實(shí)現(xiàn)下屬企業(yè)以及與集團(tuán)公司間收發(fā)文交互、內(nèi)部收發(fā)文管理、郵件及通訊目錄功能。系統(tǒng)還提供了值班管理、督察督辦、會(huì)議管理、車輛管理、辦公用品等行政辦公管理功能。

3）PI實(shí)時(shí)信息系統(tǒng)：本系統(tǒng)采集、存儲(chǔ)DCS系統(tǒng)、電能量、環(huán)保系統(tǒng)等實(shí)時(shí)運(yùn)行參數(shù)，除滿足電廠對(duì)實(shí)施信息的管理需求外，還將有關(guān)數(shù)據(jù)實(shí)時(shí)傳送集成到集團(tuán)公司實(shí)時(shí)系統(tǒng)、集團(tuán)公司生產(chǎn)與營(yíng)銷實(shí)時(shí)監(jiān)管系統(tǒng)。

4）電廠多業(yè)務(wù)管理平臺(tái)。系統(tǒng)包括運(yùn)行管理、計(jì)劃管理、生產(chǎn)統(tǒng)計(jì)、班組管理、標(biāo)準(zhǔn)制度、政工管理、監(jiān)審管理、合理化建議等功能，其中統(tǒng)計(jì)、政工、監(jiān)審等模塊實(shí)現(xiàn)了與集團(tuán)公司層面相應(yīng)管理模塊的系統(tǒng)集成。

5）安全管理平臺(tái)：功能包括安全信息、安全報(bào)表、安全檢查、工作票、操作票等管理。

6）公司MIS系統(tǒng)：本系統(tǒng)不僅作為下屬企業(yè)所有管理信息系統(tǒng)入口門戶，還提供了項(xiàng)目申報(bào)、生產(chǎn)日?qǐng)?bào)、人力資源、融合機(jī)制管理、培訓(xùn)考試、安全認(rèn)證管理、靈活報(bào)表等應(yīng)用功能。

7）檔案管理系統(tǒng)：本系統(tǒng)由集團(tuán)公司統(tǒng)一實(shí)施，各單位檔案系統(tǒng)建設(shè)須按照集團(tuán)公司統(tǒng)一規(guī)劃，以便于OA系統(tǒng)統(tǒng)一接口、版本升級(jí)、技術(shù)培訓(xùn)等。

8）網(wǎng)站系統(tǒng)由各下屬企業(yè)自主建設(shè)和運(yùn)維管理，界面設(shè)計(jì)須符合集團(tuán)公司VI視覺識(shí)別系統(tǒng)標(biāo)準(zhǔn)，內(nèi)容、運(yùn)維管理遵照公司和集團(tuán)公司有關(guān)規(guī)定和要求，嚴(yán)格執(zhí)行安全保密等有關(guān)規(guī)定。

3發(fā)電企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)方案

發(fā)電企業(yè)信息安全體系機(jī)構(gòu)由網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)備份和恢復(fù)、應(yīng)用系統(tǒng)安全、信息安全管理等幾部分組成。

3.1網(wǎng)絡(luò)安全防護(hù)

3.1.1系統(tǒng)安全域防護(hù)

將企業(yè)信息系統(tǒng)通過網(wǎng)絡(luò)安全域的形式，分為服務(wù)器、用戶兩個(gè)安全域，同時(shí)劃分多個(gè)二級(jí)安全域，主要為生產(chǎn)信息系統(tǒng)、財(cái)務(wù)系統(tǒng)、系統(tǒng)管理員、一線生產(chǎn)班組、普通用戶等。

3.1.2網(wǎng)絡(luò)的高可靠性

1）企業(yè)核心網(wǎng)絡(luò)設(shè)備采取雙機(jī)互為熱備形式，兩臺(tái)中心交換機(jī)設(shè)備通過雙鏈路互聯(lián)；接入層與核心層也通過雙鏈路互聯(lián)。

2）重要用戶安全域通過雙鏈路與企業(yè)核心交換連接，進(jìn)一步保證其鏈路的可靠性。

3）企業(yè)核心業(yè)務(wù)系統(tǒng)服務(wù)器也必須通過雙鏈路接入核心層。

3.1.3防病毒

1）企業(yè)管理信息大區(qū)按照要求統(tǒng)一部署防病毒系統(tǒng)，采用國(guó)內(nèi)知名品牌網(wǎng)絡(luò)版。安全區(qū)一、二與三區(qū)各自擁有自己的防病毒服務(wù)器。

2）對(duì)管理信息大區(qū)的服務(wù)器、終端用戶，強(qiáng)制按照規(guī)定部署統(tǒng)一的可網(wǎng)管的防病毒產(chǎn)品。

3）在互聯(lián)網(wǎng)接口部署防病毒網(wǎng)關(guān)，以防其從外部傳播到企業(yè)管理信息大區(qū)。

4）注重防病毒管理，保證病毒特征碼得到有效的更新，通過查看病毒軟件的歷史記錄，了解病毒威脅情況并積極應(yīng)對(duì)。

3.1.4防火墻

在位于內(nèi)外網(wǎng)接口處部署防火墻一臺(tái)，采用高性能硬件防火墻，國(guó)內(nèi)知名品牌，具有雙安全操作系統(tǒng)；可以提供對(duì)復(fù)雜環(huán)境的接入支持，包括路由、透明以及混合接入模式；具備防火墻、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。

3.1.5入侵檢測(cè)系統(tǒng)

在核心層部署一個(gè)入侵檢測(cè)的探頭，保證入侵檢測(cè)系統(tǒng)能夠及時(shí)發(fā)現(xiàn)有關(guān)威脅。

3.1.6主機(jī)安全加固

發(fā)電企業(yè)的關(guān)鍵應(yīng)用系統(tǒng)（如生產(chǎn)營(yíng)銷實(shí)施監(jiān)管系統(tǒng)、財(cái)務(wù)系統(tǒng)）的服務(wù)器，采取定期安全加固的形式。形式包括：定期檢查安全配置、安全補(bǔ)丁、加強(qiáng)服務(wù)器系統(tǒng)的訪問控制能力等。

3.2備份與恢復(fù)

對(duì)于關(guān)鍵應(yīng)用系統(tǒng)，必須采用每天定期備份，同時(shí)人工每月全備份一次。備份的數(shù)據(jù)必須采用異地存儲(chǔ)的形式，且需做到專人定期檢查，防止遺漏。

3.3應(yīng)用系統(tǒng)安全

管理信息大區(qū)中的發(fā)電企業(yè)應(yīng)用系統(tǒng)應(yīng)著重確保其安全性能夠得到保證。其主要安全建設(shè)內(nèi)容包括：對(duì)系統(tǒng)的訪問控制、用戶帳號(hào)密碼及權(quán)限管理、操作審計(jì)管理、數(shù)據(jù)加密管理、數(shù)據(jù)完整性檢查等。

3.4信息安全管理

1）通過成立企業(yè)信息化領(lǐng)導(dǎo)小組，加強(qiáng)信息工作包括信息安全工作的整體管理；

2）通過制定信息網(wǎng)絡(luò)管理制度及各級(jí)安全防護(hù)策略；并通過正式公文下發(fā)，嚴(yán)格執(zhí)行。

3）通過設(shè)立專業(yè)的信息管理人員和成立涵蓋各業(yè)務(wù)部門的兼職信息員，形成覆蓋全面的信息化安全管理網(wǎng)絡(luò)。

綜上所述，發(fā)電企業(yè)網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程，不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設(shè)備的防護(hù)，還要意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，在建立以計(jì)算機(jī)網(wǎng)絡(luò)安全硬件產(chǎn)品為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的同時(shí)，也應(yīng)樹立各個(gè)用戶的網(wǎng)絡(luò)信息安全意識(shí)才能防微杜漸，構(gòu)建一個(gè)高效、安全的網(wǎng)絡(luò)系統(tǒng)。

綜上所述，發(fā)電企業(yè)信息安全是一個(gè)系統(tǒng)工程，不僅需要入侵檢測(cè)系統(tǒng)、防火墻等硬件安全設(shè)備，同時(shí)還要注意信息系統(tǒng)是一個(gè)廣泛使用的人機(jī)互動(dòng)系統(tǒng)，必須通過系列的安全管理措施和規(guī)章制度，進(jìn)一步強(qiáng)化各級(jí)用戶的信息安全意識(shí)，做到信息安全人人有責(zé)、信息安全從自我做起，才能構(gòu)建起一個(gè)高效、安全的企業(yè)信息化網(wǎng)絡(luò)。

參考文獻(xiàn)：

篇4

隨著近年來信息安全話題的持續(xù)熱議，越來越多的企業(yè)管理人員開始關(guān)注這一領(lǐng)域，針對(duì)黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問題陸續(xù)采取了一系列措施，開始構(gòu)筑企業(yè)的信息安全防護(hù)屏障。然而在給企業(yè)做咨詢項(xiàng)目的時(shí)候，還是經(jīng)常會(huì)聽到這樣的話：

“我們已經(jīng)部署了防火墻、入侵檢測(cè)設(shè)備防范外部黑客入侵，采購(gòu)了專用的數(shù)據(jù)防泄密軟件進(jìn)行內(nèi)部信息資源管理，為什么還是會(huì)出現(xiàn)企業(yè)敏感信息外泄的問題？”

“我們的IT運(yùn)營(yíng)部門建立了系統(tǒng)的運(yùn)行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實(shí)？各業(yè)務(wù)部門都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣。”

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系，投入了專門的人力進(jìn)行安全管理和控制，并且通過了企業(yè)信息安全管理體系的認(rèn)證和審核，一開始的確獲得了顯著的成效，但為什么經(jīng)過一年的運(yùn)行后，卻發(fā)現(xiàn)各類安全事件有增無減？”

這些問題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護(hù)能力。上述的三個(gè)案例，案例一中企業(yè)發(fā)生過敏感信息外泄事件，于是采購(gòu)了專用的數(shù)據(jù)防泄密軟件，卻并未制定相關(guān)的信息管理制度和進(jìn)行員工保密意識(shí)培訓(xùn)，結(jié)果只能是防外不防內(nèi)，還會(huì)給員工的正常工作帶來諸多不便；案例二中企業(yè)管理者認(rèn)識(shí)到安全管理的重要性，要求相關(guān)部門編制了大量的管理制度和規(guī)范，然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施，不切實(shí)際的管理制度最終因?yàn)闃I(yè)務(wù)部門的排斥而束之高閣；案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系，然而認(rèn)證通過后隨著業(yè)務(wù)發(fā)展卻并未進(jìn)行必要的改進(jìn)和優(yōu)化，隨著時(shí)間的推移管理體系與實(shí)際工作脫節(jié)日益嚴(yán)重，各類安全隱患再次出現(xiàn)也就不足為奇。

其實(shí)，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫(yī)治標(biāo)不治本，指的就是采取分片分析的發(fā)現(xiàn)問題―分析問題―解決問題的思路處理安全威脅，通過技術(shù)手段的積累雖然可以解決很多問題，但總會(huì)產(chǎn)生疲于應(yīng)付的狀況，難以形成有效的安全保障體系；類比于中醫(yī)理論將人體看為一個(gè)互相聯(lián)系的整體，信息安全管理體系的建立正是通過全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問題和隱患，緊密聯(lián)系業(yè)務(wù)工作和安全保障需要，形成系統(tǒng)的解決方案，通過動(dòng)態(tài)的維護(hù)機(jī)制形成完善的防護(hù)體系。

總體來說，信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對(duì)ISMS的建立，我們可以從中醫(yī)“望聞問切對(duì)癥下藥治病于未病”的三個(gè)角度來進(jìn)行分析和討論：

第一，“望聞問切”，全面的業(yè)務(wù)、資產(chǎn)和風(fēng)險(xiǎn)評(píng)估是ISMS建設(shè)的基礎(chǔ)；

第二，“對(duì)癥下藥”，可落實(shí)、可操作、可驗(yàn)證的管理體系是ISMS建設(shè)的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問切

為了完成ISMS建設(shè)，就必然需要對(duì)企業(yè)當(dāng)前信息資源現(xiàn)狀進(jìn)行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進(jìn)行ISMS建設(shè)。

首先，自然是對(duì)企業(yè)現(xiàn)有資源的梳理，重點(diǎn)可以從以下幾個(gè)方面入手：

1.業(yè)務(wù)主體（設(shè)備、人員、軟件等）。

業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺(tái)服務(wù)器、多少臺(tái)網(wǎng)絡(luò)設(shè)備，都屬于業(yè)務(wù)主體的范疇，按照業(yè)務(wù)主體本身的價(jià)值進(jìn)行一個(gè)估值，也是進(jìn)行整個(gè)信息系統(tǒng)資源價(jià)值評(píng)估的基礎(chǔ)評(píng)估。由于信息技術(shù)日新月異的變化，最好的主體未必服務(wù)于最核心的信息系統(tǒng)，同時(shí)價(jià)值最昂貴的設(shè)備未必最后對(duì)企業(yè)的價(jià)值也最大。在建立體系的過程中，對(duì)業(yè)務(wù)設(shè)備的盤點(diǎn)和清理是很重要的，也是進(jìn)行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個(gè)重要數(shù)據(jù)。

2.業(yè)務(wù)數(shù)據(jù)（服務(wù)等）。

業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負(fù)責(zé)人逐步關(guān)注的方面，之前我們只關(guān)注設(shè)備的安全，網(wǎng)絡(luò)的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對(duì)業(yè)務(wù)和企業(yè)的重要性。現(xiàn)在，核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)，業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務(wù)數(shù)據(jù)意義也不大，保證業(yè)務(wù)數(shù)據(jù)，必須保證其運(yùn)行的平臺(tái)和容器都是正常的，所以，業(yè)務(wù)數(shù)據(jù)也是我們重點(diǎn)分析的方面之一。

3.業(yè)務(wù)流程。

企業(yè)所有的信息資源都是通過業(yè)務(wù)流程實(shí)現(xiàn)其價(jià)值的，如果沒有業(yè)務(wù)流程，所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對(duì)業(yè)務(wù)流程的了解和分析也是很重要的一個(gè)方面。

以上三個(gè)方面是企業(yè)信息資源的三個(gè)核心方面，孤立地看待任何一個(gè)方面都是毫無意義的。

其次，當(dāng)我們對(duì)企業(yè)的當(dāng)前信息資產(chǎn)進(jìn)行分析以后需要對(duì)其價(jià)值進(jìn)行評(píng)估。

評(píng)估的過程就是對(duì)當(dāng)前的信息資產(chǎn)進(jìn)行量化的數(shù)據(jù)分析，進(jìn)行安全賦值，我們將信息資產(chǎn)的安全等級(jí)劃分為 5 級(jí)，數(shù)值越大，安全性要求越高，5 級(jí)的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴(yán)重的損失。1 級(jí)的信息資產(chǎn)定義為不重要，其被損害不會(huì)對(duì)企業(yè)造成過大影響，甚至可以忽略不計(jì)。對(duì)信息資產(chǎn)的評(píng)估在自身價(jià)值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個(gè)方面進(jìn)行評(píng)估賦值，最后信息資產(chǎn)的賦值取 5 個(gè)屬性里面的最大值。

這里需要提出的是，這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務(wù)流程作為核心的信息資源也必須賦值，而且?guī)讉€(gè)基本要素之間的安全值是相互疊加的，比如需要運(yùn)行核心流程的交換機(jī)的賦值，是要高于需要運(yùn)行核心流程的交換機(jī)的賦值的。很多企業(yè)由于歷史原因，運(yùn)行核心業(yè)務(wù)流程的往往是比較老的設(shè)備，在隨后的分析可以看得出來，由于其年代的影響，造成資產(chǎn)的風(fēng)險(xiǎn)增加，也是需要重點(diǎn)注意的一點(diǎn)。

最后，對(duì)企業(yè)當(dāng)前信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。

風(fēng)險(xiǎn)評(píng)估是 ISMS 建立過程中非常重要的一個(gè)方面，我們對(duì)信息資產(chǎn)賦值的目的就是為了計(jì)算風(fēng)險(xiǎn)值，從而我們可以看出整個(gè)信息系統(tǒng)中風(fēng)險(xiǎn)最大的部分在哪里。對(duì)于風(fēng)險(xiǎn)值的計(jì)算有個(gè)簡(jiǎn)單的參考公式：風(fēng)險(xiǎn)值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對(duì)性的經(jīng)驗(yàn)公式）。

ISMS 建設(shè)的最終目標(biāo)是將整個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)值控制在一定范圍之內(nèi)。

對(duì)癥下藥

經(jīng)過上階段的調(diào)研和分析，我們對(duì)企業(yè)面臨的安全威脅和隱患有一個(gè)全面的認(rèn)識(shí)，本階段的ISMS建設(shè)重點(diǎn)根據(jù)需求完成“對(duì)癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃。

在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃，根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進(jìn)行實(shí)施。管理體系的規(guī)范針對(duì)不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結(jié)合，一旦缺乏結(jié)合性ISMS就會(huì)是孤立的，對(duì)企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)，見圖1。

圖1 信息安全管理體系

一級(jí)文件通過綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標(biāo)、原則、要求和主要措施等頂層設(shè)計(jì)；二級(jí)文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護(hù)工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務(wù)細(xì)分，將其細(xì)化為包括“任務(wù)輸入”、“任務(wù)活動(dòng)”、“任務(wù)實(shí)施指南”和“任務(wù)輸出”等細(xì)則，便于操作人員根據(jù)規(guī)范進(jìn)行實(shí)施和管理人員根據(jù)規(guī)范進(jìn)行工作審核；三級(jí)文件則主要提供各項(xiàng)工作和操作所使用的表單和模板，以便各級(jí)工作人員參考使用。

同時(shí)，無論是制定新的信息管理規(guī)章制度還是進(jìn)行設(shè)備的更換，都要量力而行，依據(jù)自己實(shí)際的情況來完成。例如，很多公司按照標(biāo)準(zhǔn)設(shè)立了由企業(yè)高級(jí)領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門、后勤安全部門和審計(jì)部門組成的信息安全辦公室，具體負(fù)責(zé)企業(yè)的信息安全管理工作，在各級(jí)信息化技術(shù)部門均設(shè)置系統(tǒng)管理員、安全管理員、安全審計(jì)員，從管理結(jié)構(gòu)設(shè)計(jì)上保證人員權(quán)限互相監(jiān)督和制約。但是事實(shí)上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個(gè)信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實(shí)施和驗(yàn)證

實(shí)施過程是最復(fù)雜的，實(shí)施之后需要進(jìn)行驗(yàn)證。實(shí)施是根據(jù) ISMS 的設(shè)計(jì)和體系規(guī)劃來做的，是個(gè)全面的信息系統(tǒng)的改進(jìn)工作，不是單獨(dú)的設(shè)備更新，也不是單獨(dú)的管理規(guī)范的，需要企業(yè)從上至下，全面地遵照?qǐng)?zhí)行，要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國(guó)外傳入的思路和規(guī)范，雖然切合國(guó)人中醫(yī)理論的整體思維方式，但在國(guó)內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進(jìn)行信息安全管理體系的建設(shè)是一個(gè)為企業(yè)長(zhǎng)久發(fā)展必須進(jìn)行的工程。

到目前為止，和企業(yè)本身業(yè)務(wù)融合并沒有完美的解決方案，需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負(fù)責(zé) ISMS 實(shí)施的工程人員一同討論決定適合企業(yè)自身的實(shí)施方案

最后，是企業(yè)信息安全管理體系的認(rèn)證和審核

針對(duì)我們周圍很多重認(rèn)證，輕實(shí)施的思想，這里有必要談一下這個(gè)問題，認(rèn)證僅代表認(rèn)證過程中的信息體系是符合 ISO27000（或者其他國(guó)家標(biāo)準(zhǔn)）的規(guī)范要求，而不是說企業(yè)通過認(rèn)證就是一個(gè)在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實(shí)施整個(gè)體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要?jiǎng)討B(tài)改進(jìn)和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的，也需要有針對(duì)性地發(fā)展和變化，道高一尺魔高一丈，必須通過各種方法，進(jìn)行不斷地改進(jìn)和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進(jìn)和跟蹤完善的手段，經(jīng)過測(cè)評(píng)的管理體系僅僅一年之后就失去了大部分作用。對(duì)于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運(yùn)轉(zhuǎn)ISMS，我們認(rèn)為可以主要從以下三個(gè)方面著手：

第一，人員。

人員對(duì)于企業(yè)來講是至關(guān)重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過程中，人員都應(yīng)該投入多少呢？通常在體系建立過程中，我們會(huì)建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實(shí)施，且此名專員日后要持續(xù)保留，負(fù)責(zé)維護(hù)各自部門的信息資產(chǎn)、安全事件跟蹤匯報(bào)、配合內(nèi)審與外審、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。

但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識(shí)培訓(xùn)，面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等，因此對(duì)于企業(yè)來講，除了必要的體系維護(hù)人員，在ISMS持續(xù)運(yùn)轉(zhuǎn)過程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責(zé)”的企業(yè)氛圍，則會(huì)為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項(xiàng)活動(dòng)的同時(shí)，還會(huì)納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對(duì)外也樹立起自身對(duì)重視信息安全的形象，大力降低外界給企業(yè)帶來的風(fēng)險(xiǎn)。

第二，體系。

ISMS自身的持續(xù)維護(hù)，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對(duì)于信息資產(chǎn)清單、風(fēng)險(xiǎn)清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評(píng)審回顧，這項(xiàng)活動(dòng)由于也是在相關(guān)標(biāo)準(zhǔn)中明確指出的，企業(yè)通常不會(huì)忽略；但日常對(duì)于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時(shí)，都最好對(duì)ISMS進(jìn)行重新的評(píng)審，必要時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險(xiǎn)，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化，企業(yè)每天所面臨的風(fēng)險(xiǎn)同樣也不是一成不變的，在更新維護(hù)信息資產(chǎn)清單的同時(shí)，對(duì)風(fēng)險(xiǎn)清單的回顧也是不可疏忽的，而這點(diǎn)往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn)，有效控制企業(yè)所面臨的各種風(fēng)險(xiǎn)。

第三，工具。

工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實(shí)是很大的一個(gè)泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計(jì)等各類工具，即使沒有實(shí)施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會(huì)出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用，哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購(gòu)買的工具無人使用或無法滿足業(yè)務(wù)需求等問題，導(dǎo)致資金資源的浪費(fèi)，因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過程中，根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告，及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對(duì)工具進(jìn)行統(tǒng)一規(guī)劃，盡量減少資源的浪費(fèi)。

篇5

關(guān)鍵詞： 高校；小專業(yè)；教材；信息安全；特色專業(yè)；策劃

在殘酷的市場(chǎng)競(jìng)爭(zhēng)壓力下，如今大多數(shù)出版社都不得不在兼顧社會(huì)效益的同時(shí)，更多地考慮經(jīng)濟(jì)效益。畢竟，一家改制成企業(yè)的出版社，如果只顧社會(huì)效益而忽視經(jīng)濟(jì)效益，那么遲早會(huì)被淹沒在市場(chǎng)競(jìng)爭(zhēng)的浪潮中。這就造成了高校小專業(yè)教材出版的尷尬境遇：教材的利潤(rùn)主要來自于高印量，而小專業(yè)教材因?yàn)閷W(xué)生人數(shù)少、市場(chǎng)容量有限，往往是很多出版社都不愿涉足的“雞肋”，從而使得其出版相當(dāng)艱難。小專業(yè)教材的市場(chǎng)同類書少且內(nèi)容陳舊，教材內(nèi)容無法及時(shí)更新，又影響小專業(yè)的教學(xué)質(zhì)量和學(xué)科發(fā)展，從而限制了招生規(guī)模，進(jìn)一步影響教材的大批出版，造成惡性循環(huán)。

信息安全專業(yè)是一個(gè)新興的交叉學(xué)科，目前來說就是一個(gè)小專業(yè)，各校的招生人數(shù)較少。從2001年武漢大學(xué)首次開設(shè)信息安全專業(yè)以來，目前教育部正式批準(zhǔn)開設(shè)信息安全專業(yè)的只有73所高校，另外還有約30多所省屬高校開設(shè)了信息安全方向，高校總數(shù)有100多所，每校招生規(guī)模一般為1～2個(gè)班（每班30人）。對(duì)于工科類的計(jì)算機(jī)、電子、通信等專業(yè)來說，信息安全專業(yè)的確是一個(gè)小眾專業(yè)，雖然目前其招生規(guī)模還比較小，但畢業(yè)生就業(yè)形勢(shì)很好，信息技術(shù)發(fā)達(dá)的今天，信息安全的重要性不言而喻，信息安全專業(yè)學(xué)生的社會(huì)需求是很大的，由此我們判斷這個(gè)專業(yè)有很好的發(fā)展前景。

從2008年8月起我們開始調(diào)研普通高校信息安全專業(yè)的教材情況，通過市場(chǎng)同類書調(diào)查、參加教指委會(huì)議、走訪信息安全專業(yè)排名靠前的高校，我們發(fā)現(xiàn)，雖然市場(chǎng)上信息安全的圖書已經(jīng)有一些了，但主要以技術(shù)類圖書及專著為主，真正能作為本科生教材的很少，特別是符合教育部信息安全教指委2009年制定的最新專業(yè)規(guī)范和教學(xué)基本要求的則更少。可見，組織策劃一套貫徹最新專業(yè)規(guī)范和教學(xué)基本要求的本科教材是有一定市場(chǎng)需求和出版價(jià)值的。基于上述考慮，我們決定組織策劃一套普通高校的信息安全本科教材。這套教材我們定名為《普通高等院校信息安全類特色專業(yè)系列規(guī)劃教材》，同時(shí)我們爭(zhēng)取到了教育部信息安全教指委的支持，成立了以信息安全教指委委員為主，部分重點(diǎn)高校知名教授為輔的高水平編委會(huì)。目前這套教材規(guī)劃的14門核心課程已出版3本，計(jì)劃到明年9月之前全套出齊。下面就以《普通高等院校信息安全類特色專業(yè)系列規(guī)劃教材》為例，分六個(gè)方面，介紹小專業(yè)教材的策劃思路和心得體會(huì)。

一、策劃找準(zhǔn)切入點(diǎn)，特色定位很關(guān)鍵

其實(shí)在我們策劃這套教材之前，高等教育出版社、清華大學(xué)出版社、國(guó)防工業(yè)出版社、北京郵電大學(xué)出版社等都已出版過信息安全方面的圖書，包括教材、技術(shù)書及專著，其中也不乏“十一五”國(guó)家級(jí)規(guī)劃教材，那么為什么我們這套教材能得到信息安全教指委和各高校的支持呢？一方面是我們抓住了信息安全教指委頒布最新專業(yè)規(guī)范和教學(xué)基本要求的時(shí)機(jī)，之前的教材由于出版時(shí)間早，內(nèi)容都沒有按照專業(yè)規(guī)范和教學(xué)基本要求來編寫。各高校也希望能使用內(nèi)容新穎、符合教指委規(guī)范的教材；另一方面，我們抓住了教育部提出的“建設(shè)3 000個(gè)左右特色專業(yè)建設(shè)點(diǎn)”這個(gè)機(jī)會(huì)，這也是教育部倡導(dǎo)的本科教學(xué)“質(zhì)量工程”的內(nèi)容之一。我們策劃的這套《普通高等院校信息安全類特色專業(yè)系列規(guī)劃教材》，之前沒有其他出版社提出過，與以往的教指委推薦教材或指定教材也不相同，信息安全教指委認(rèn)為我們這套教材與其他出版社的教材有明顯區(qū)別，不雷同，同時(shí)各高校特色專業(yè)建設(shè)點(diǎn)也有出版此類教材的需求，所以這套教材才得到了信息安全教指委和各高校的大力支持。

明顯的特色。2007年年底教育部和財(cái)政部共同下文：《教育部財(cái)政部關(guān)于實(shí)施高等學(xué)校本科教學(xué)質(zhì)量與教學(xué)改革工程的意見》（教高〔2007〕1號(hào)），為了適應(yīng)國(guó)家經(jīng)濟(jì)、科技、社會(huì)發(fā)展對(duì)高素質(zhì)人才的需求，引導(dǎo)不同類型高校根據(jù)自己的辦學(xué)定位和發(fā)展目標(biāo)，發(fā)揮自身優(yōu)勢(shì)，辦出專業(yè)特色，“十一五”期間教育部、財(cái)政部將投入專門經(jīng)費(fèi)，擇優(yōu)重點(diǎn)建設(shè)3 000個(gè)左右特色專業(yè)建設(shè)點(diǎn)。結(jié)合上述文件精神，我們確定這套教材為信息安全類特色專業(yè)教材，并由此確定了主編隊(duì)伍，主編人員全部來自教育部評(píng)選的第一批15所信息安全類特色專業(yè)建設(shè)點(diǎn)高校，這些高校也是信息安全學(xué)科排名靠前的高校，希望他們將各校信息安全的特色教學(xué)和科研成果體現(xiàn)到教材編寫中。此外，這套教材還將切實(shí)貫徹信息安全教指委2009年制定的最新專業(yè)規(guī)范和教學(xué)基本要求，這些將構(gòu)成本套教材的主要特色。

明確的定位。這套信息安全本科教材，是考慮面向二、三本高校的學(xué)生，還是主要面向重點(diǎn)高校學(xué)生而兼顧二、三本高校學(xué)生呢？我們對(duì)此進(jìn)行了認(rèn)真分析：目前開設(shè)信息安全的高校并不太多，受辦學(xué)條件和師資力量的限制，二、三本高校的老師還不太容易能獨(dú)立編寫出高質(zhì)量的教材，但這類高校的招生規(guī)模較大，對(duì)教材的需求比重點(diǎn)高校學(xué)生更加迫切，因此，我們決定本套教材主要面向重點(diǎn)高校學(xué)生，同時(shí)兼顧二、三本高校學(xué)生，由此也確定了編寫隊(duì)伍，即以重點(diǎn)高校的老師為主編，吸收一些一般高校的老師參編，這樣既能保證教材質(zhì)量，又能擴(kuò)大教材的適用面和用量。

二、按照專業(yè)成系列開發(fā)

小專業(yè)的教材因?yàn)閱伪緯挠昧枯^少，單本教材的開發(fā)成本及營(yíng)銷成本都很高，所以必須利用經(jīng)濟(jì)學(xué)上的“整體效應(yīng)原則”來進(jìn)行系列化的開發(fā)，即按照信息安全專業(yè)開設(shè)的主要課程來進(jìn)行整體設(shè)計(jì)，形成“先修課程和后續(xù)課程相互銜接、專業(yè)基礎(chǔ)課與專業(yè)課遙相呼應(yīng)”的格局，這樣也利于后期進(jìn)行整體營(yíng)銷推廣。我們以2009年年初信息安全教指委香山會(huì)議上確定的4套專業(yè)規(guī)范及教學(xué)基本要求為基礎(chǔ)，調(diào)研了10多所高校的教學(xué)計(jì)劃和課程設(shè)置，再征求編委會(huì)委員的意見，確定了系列教材的14門核心課程。

三、策劃思想重在執(zhí)行

能否將策劃思想真正落實(shí)，是判斷編輯執(zhí)行力強(qiáng)弱的重要指標(biāo)。策劃思想再好，如果組不到合適的稿件，那么這套教材永遠(yuǎn)只是計(jì)劃而不能成書。通過調(diào)研和前期策劃，我們已經(jīng)初步勾畫出了信息安全特色專業(yè)系列教材的輪廓。根據(jù)確定的特色、定位及編委會(huì)等，我們撰寫了項(xiàng)目申請(qǐng)書，編輯拿著項(xiàng)目書，開始走訪排名靠前的信息安全特色專業(yè)高校，進(jìn)行宣傳和組稿。同時(shí)也將編委會(huì)委員發(fā)動(dòng)起來，他們也推薦了一些優(yōu)秀的作者。通過半年時(shí)間的組稿，14本教材已經(jīng)全部確定了主編。主編單位主要來自信息安全類特色專業(yè)建設(shè)點(diǎn)的名校，其中不乏國(guó)家級(jí)或省級(jí)精品課程主干教材，整體質(zhì)量較好。

策劃一套高層次的系列教材，需要組建一個(gè)權(quán)威的編委會(huì)，利用編委會(huì)來進(jìn)行質(zhì)量把關(guān)和宣傳營(yíng)銷。對(duì)出版社來說，組建編委會(huì)實(shí)質(zhì)上就是整合各方資源，形成一個(gè)“磁場(chǎng)”，來吸引高水平的老師參與編寫。所以，編委會(huì)更多地起審稿把關(guān)和對(duì)外宣傳提升檔次的作用，組稿不能完全依靠編委會(huì)，還需要編輯自力更生，積極主動(dòng)，否則組稿效率會(huì)很低，影響叢書的整體進(jìn)度。

四、編前工作贏在細(xì)節(jié)

一套教材有了好的策劃思想，也有了理想的編寫隊(duì)伍，但是如果編前工作做得不好，這套書的質(zhì)量還是無法保障，整個(gè)項(xiàng)目也就將功虧一簣。所以一定要注重編前工作這個(gè)細(xì)節(jié)，細(xì)節(jié)決定成敗。編前階段是指作者向出版社正式交稿前的寫作階段，也是編輯提供出版服務(wù)的重要階段。這個(gè)階段又被叫做“中耕”階段。在這個(gè)階段中，編輯需要給主編提供“著譯者編寫指南”、 “某一門課程的教學(xué)基本要求”等。編輯只有做好這個(gè)階段的工作，作者的稿件質(zhì)量才能得到保證，并能為后期的編輯加工節(jié)約時(shí)間，提高效率。

審查編寫大綱，是進(jìn)行稿件質(zhì)量把關(guān)的第一步。為了提高這套書的整體編寫質(zhì)量，我們要求主編在編寫書稿前要提交詳細(xì)到3級(jí)目錄的編寫大綱，為此，我們于2010年7月31日召開了這套教材的編委會(huì)議，信息安全教指委主任、副主任、10多位編委及教材專家委員出席了會(huì)議，另外還有一些感興趣的高校也派了代表參加。在會(huì)上，每位主編用PPT的形式介紹了各自的大綱，編委或教材專家委員現(xiàn)場(chǎng)進(jìn)行討論并提出修改意見。通過這次會(huì)議，我們吸收了一些院校參與到部分教材的編寫中，同時(shí)也擴(kuò)大了這套教材的知名度，提前進(jìn)行了宣傳。

五、營(yíng)銷貫穿策劃全過程

教材的營(yíng)銷很重要，小專業(yè)教材的營(yíng)銷就更加重要了。不能等到出書之后才想到營(yíng)銷推廣，在選題策劃階段就要充分考慮如何開展有針對(duì)性的營(yíng)銷，確定營(yíng)銷策略。在策劃信息安全這套教材時(shí)，我們與北京郵電大學(xué)信息安全中心取得了聯(lián)系，通過多次溝通，雙方達(dá)成了共識(shí)并簽訂了協(xié)議：我們可以利用北郵信息安全中心每年組織全國(guó)青年教師培訓(xùn)的機(jī)會(huì)，宣傳推廣我們的教材。除了會(huì)議營(yíng)銷外，在調(diào)研階段，我們就查詢了目前開設(shè)信息安全專業(yè)的100多所高校負(fù)責(zé)人信息并錄入數(shù)據(jù)庫(kù)，為教材出版后贈(zèng)送樣書作準(zhǔn)備。另外，等大部分稿件交稿后，我們將制作宣傳頁(yè)，通過發(fā)送電子郵件或院校代表走訪等形式進(jìn)行散發(fā)宣傳。為了宣傳這套教材，我們還將為每部書稿確定一位編委會(huì)委員作為主審人，一方面是對(duì)稿件質(zhì)量把關(guān)，另一方面也利用主審人的學(xué)術(shù)影響來宣傳和提升本套教材的品質(zhì)。

營(yíng)銷一定要貫穿策劃全過程，并且隨著策劃的深入，還要不斷修正原來的營(yíng)銷方案和策略，形成一套比較完善可行的營(yíng)銷方案，并且從一開始就要分階段逐步實(shí)施。

六、團(tuán)隊(duì)成長(zhǎng)伴隨項(xiàng)目發(fā)展

出版工作主要依靠的是人，而選題策劃更是離不開編輯。策劃一個(gè)較大的項(xiàng)目，需要做的工作很多，環(huán)節(jié)也很復(fù)雜，一個(gè)編輯很難全部承擔(dān)，所以需要一個(gè)結(jié)構(gòu)合理的團(tuán)隊(duì)來共同完成。信息安全這套教材就是由我和另一位年輕編輯來共同完成的，我負(fù)責(zé)總體設(shè)計(jì)規(guī)劃、組建編委會(huì)及重要稿件的組稿，年輕編輯負(fù)責(zé)部分組稿、大部分后期生產(chǎn)及營(yíng)銷等工作。

在項(xiàng)目實(shí)際運(yùn)作中常常有一個(gè)“誰當(dāng)項(xiàng)目負(fù)責(zé)人”的問題，是由部門領(lǐng)導(dǎo)擔(dān)任，還是由編輯獨(dú)立擔(dān)當(dāng)，還是由部門領(lǐng)導(dǎo)帶培編輯？如果項(xiàng)目負(fù)責(zé)人全由部門領(lǐng)導(dǎo)一人擔(dān)任，編輯無法深度參與，得不到鍛煉機(jī)會(huì)，能力得不到提高，其工作積極性和主觀能動(dòng)性就得不到充分發(fā)揮。我認(rèn)為“誰當(dāng)項(xiàng)目負(fù)責(zé)人”應(yīng)當(dāng)視項(xiàng)目的重要程度和編輯的成熟程度來定。如果項(xiàng)目很重要，責(zé)任重大，則必須由部門領(lǐng)導(dǎo)牽頭來做，在項(xiàng)目運(yùn)作中盡快培養(yǎng)編輯，編輯成熟后部門領(lǐng)導(dǎo)逐漸淡出，項(xiàng)目具體事務(wù)交由編輯來做，部門領(lǐng)導(dǎo)只負(fù)責(zé)叢書整體規(guī)劃和選題把關(guān)。如果編輯已經(jīng)有成熟的項(xiàng)目運(yùn)作經(jīng)驗(yàn)，不妨放手讓編輯擔(dān)任項(xiàng)目負(fù)責(zé)人，給予其更大的施展空間和更多的鍛煉機(jī)會(huì)。