企業(yè)信息安全管理體系精選(五篇)

序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇企業(yè)信息安全管理體系，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵詞：企業(yè)信息化；信息安全管理體系；信息安全保障

1 企業(yè)信息安全需求與目標(biāo)

近年來隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展，企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)。作為中國(guó)高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè)，公司的發(fā)展對(duì)高速動(dòng)車行業(yè)產(chǎn)生著舉足輕重的作用；從企業(yè)信息安全現(xiàn)狀分析，公司IT部門主管深深意識(shí)到，盡管從自身情況來看，在信息安全方面已經(jīng)做了很多工作，如部署了防火墻、SSL VPN、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來自某個(gè)方面的安全威脅，無(wú)法產(chǎn)生協(xié)同效應(yīng)，距離國(guó)際同行業(yè)企業(yè)還存在一定的差距。

公司通過可行性研究及論證，決定借助外力，通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn)，以科研項(xiàng)目方式，通過研究國(guó)家安全標(biāo)準(zhǔn)體系及國(guó)家對(duì)央企和上市企業(yè)的信息化安全要求，分析企業(yè)目前的現(xiàn)狀和國(guó)際標(biāo)準(zhǔn)ISO27001之間的差距，繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計(jì)，最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng)，建立一個(gè)有責(zé)（職責(zé)）、有序（秩序）、有效（效率）的信息安全管理體系，預(yù)防信息安全事件的發(fā)生，確保更小的業(yè)務(wù)損失，提供客戶滿意度，獲取更多的管理支持。在行業(yè)內(nèi)樹立標(biāo)桿和示范，提升企業(yè)形象，贏取客戶信任，增強(qiáng)競(jìng)爭(zhēng)力。同時(shí)，使信息安全體系通過信息安全管理體系通過ISO 27001認(rèn)證標(biāo)準(zhǔn)。

2 企業(yè)信息安全管理體系建設(shè)過程

凡事預(yù)則立，不預(yù)則廢。對(duì)于信息安全管理建設(shè)的工作也先由計(jì)劃開始。信息安全管理體系建設(shè)分為四個(gè)階段：實(shí)施安全風(fēng)險(xiǎn)評(píng)估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA（Plan-Do-Check-Action）模型及ISO27001要求，即有效地保護(hù)企業(yè)信息系統(tǒng)的安全，確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗(yàn)，重點(diǎn)論述上述幾個(gè)方面的內(nèi)容。

2.1 確立范圍

首先是確立項(xiàng)目范圍，從機(jī)構(gòu)層次及系統(tǒng)層次兩個(gè)維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上，可以考慮內(nèi)部機(jī)構(gòu)：需要覆蓋公司的各個(gè)部門，其包括總部、事業(yè)部、制造本部、技術(shù)本部等；外部機(jī)構(gòu)：則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。

從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場(chǎng)所、所處的周邊環(huán)境以及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等；網(wǎng)絡(luò)系統(tǒng)：構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)，設(shè)備和軟件；服務(wù)器平臺(tái)系統(tǒng)：支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件和Web系統(tǒng)等軟件平臺(tái)系統(tǒng)；應(yīng)用系統(tǒng)：支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)；數(shù)據(jù)：整個(gè)信息系統(tǒng)中傳輸以及存儲(chǔ)的數(shù)據(jù)；安全管理：包括安全策略、規(guī)章制度、人員組織、開發(fā)安全、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過程中的安全合規(guī)、安全審計(jì)等。

2.2 安全風(fēng)險(xiǎn)評(píng)估

企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供安全、可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。

本次進(jìn)行的安全評(píng)估，主要包括兩方面的內(nèi)容：

2.2.1 企業(yè)安全管理類的評(píng)估

通過企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對(duì)，以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”，檢查企業(yè)在安全控制層面上存在的弱點(diǎn)，從而為安全措施的選擇提供依據(jù)。

評(píng)估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個(gè)方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

2.2.2 企業(yè)安全技術(shù)類評(píng)估

基于資產(chǎn)安全等級(jí)的分類，通過對(duì)信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn)，為安全加固提供依據(jù)。

針對(duì)企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評(píng)估。關(guān)鍵應(yīng)用的評(píng)估方式采用滲透測(cè)試的方法，在應(yīng)用評(píng)估中將對(duì)應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識(shí)別，分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距，為后期改造提供依據(jù)。

提到安全評(píng)估，一定要有方法論。我們以ISO27001為核心，并借鑒國(guó)際常用的幾種評(píng)估模型的優(yōu)點(diǎn)，同時(shí)結(jié)合企業(yè)自身的特點(diǎn)，建立風(fēng)險(xiǎn)評(píng)估模型：

在風(fēng)險(xiǎn)評(píng)估模型中，主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值，弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威脅利用后對(duì)資產(chǎn)帶來影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)級(jí)別的高低。風(fēng)險(xiǎn)評(píng)估采用定性的風(fēng)險(xiǎn)評(píng)估方法，通過分級(jí)別的方式進(jìn)行賦值。

2.3 規(guī)劃體系建設(shè)方案

企業(yè)信息安全問題根源分布在技術(shù)、人員和管理等多個(gè)層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系，并最終落實(shí)到管理措施和技術(shù)措施，才能確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，對(duì)企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議，增強(qiáng)系統(tǒng)的安全性和抗攻擊性。

在未來1-2年內(nèi)通過信息安全體系制的建立與實(shí)施，建立安全組織，技術(shù)上進(jìn)行安全審計(jì)、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署，實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)，通過完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè)，將企業(yè)建設(shè)成為一個(gè)注重管理，預(yù)防為主，防治結(jié)合的先進(jìn)型企業(yè)。

2.4 企業(yè)信息安全體系建設(shè)

企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上，建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力：即預(yù)警（Warn）、保護(hù)（Protect）、檢測(cè)（Detect）、反應(yīng)（Response）、恢復(fù)（Recover）和反擊（Counter-attack），體系應(yīng)該兼顧攘外和安內(nèi)的功能。

安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善；二是涉及到信息安全技術(shù)。首先，針對(duì)安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度、人員安全管理、安全運(yùn)行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級(jí)、安全保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級(jí)、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。

其次，信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)，以及安全基礎(chǔ)設(shè)施平臺(tái)；同時(shí)按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測(cè)跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的安全技術(shù)以及未來信息系統(tǒng)發(fā)展的要求，規(guī)劃信息安全技術(shù)包括：

2.5 體系運(yùn)行及改進(jìn)

信息安全管理體系文件編制完成以后，由公司企劃部門組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際，在體系文件編制階段，將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系，如質(zhì)量、環(huán)境保護(hù)等體系文件，改歸并的歸并。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個(gè)月的努力，批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此，信息安全管理體系將進(jìn)入運(yùn)行階段。

有人說，信息系統(tǒng)的成功靠的是“三分技術(shù)，七分管理，十二分執(zhí)行”。“執(zhí)行”是要需要在實(shí)踐中去體會(huì)、總結(jié)與提高。對(duì)于信息系統(tǒng)安全管理體系建設(shè)更是如此！在此期間，以IT部門牽頭，加強(qiáng)宣傳力度，組織了若干次不同層面的宣導(dǎo)培訓(xùn)，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

3 總結(jié)

總結(jié)項(xiàng)目，建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)。當(dāng)然，體系建設(shè)過程中還存在不足，如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定，員工的認(rèn)知及接受程度還有待提高，體系在各部門領(lǐng)導(dǎo)重視程度、執(zhí)行力度、審核效果存在差距等等。最終，在公司各部門的共同努力下，體系經(jīng)歷了來自國(guó)際知名品牌認(rèn)證公司DNV及中國(guó)認(rèn)可委（CNAS）的雙重檢驗(yàn)，并通過嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國(guó)內(nèi)和國(guó)際信息安全管理標(biāo)準(zhǔn)，提升公司信息安全管理的水平，從而為企業(yè)向國(guó)際化發(fā)展與合作提供有力支撐。

[參考文獻(xiàn)]

[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社，2003.7.

篇2

【 關(guān)鍵詞 】 信息安全；電力企業(yè)；風(fēng)險(xiǎn)評(píng)估；管理模式

1 引言

在如今的信息化社會(huì)中，信息通過共享傳遞實(shí)現(xiàn)其價(jià)值。在信息交換的過程中，人們肯定會(huì)擔(dān)心自己的信息泄露，所以信息安全備受關(guān)注，企業(yè)的信息安全就更為重要了。但是網(wǎng)絡(luò)是一個(gè)開放互聯(lián)的環(huán)境，接入網(wǎng)絡(luò)的方式多樣，再加上技術(shù)存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國(guó)家規(guī)定的重要信息安全領(lǐng)域。所以電力企業(yè)要把信息安全管理體系的建設(shè)，作為重要的一環(huán)納入到整個(gè)企業(yè)管理體系中去。

2 電力企業(yè)信息管理體系建設(shè)的依據(jù)

關(guān)于企業(yè)的安全管理體系方面的標(biāo)準(zhǔn)有很多。英國(guó)BSI/DISC的BDD信息管理委員會(huì)制定的安全管理體系主要包含兩個(gè)部分內(nèi)容：信息安全管理實(shí)施規(guī)則和信息安全管理體系規(guī)范。信息安全管理實(shí)施規(guī)則是一個(gè)基礎(chǔ)性指導(dǎo)文件，里面有10大管理項(xiàng)、36個(gè)執(zhí)行的目標(biāo)和127種控制的方法，可以作為開發(fā)人員在信息安全管理體系開發(fā)過程中的一個(gè)參考文檔。信息安全管理體系規(guī)范則詳細(xì)描述了在建立、施工和維護(hù)信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國(guó)際標(biāo)準(zhǔn)化組織也了很多關(guān)于信息安全技術(shù)的標(biāo)準(zhǔn)，如ISO x系列、ISO/IEC x系列等。我國(guó)也制定了一系列的信息安全標(biāo)準(zhǔn)，如GB 15851―1995。

關(guān)于企業(yè)信息安全管理體系方面的標(biāo)準(zhǔn)眾多，如何針對(duì)企業(yè)自身實(shí)際情況選擇合適的參考標(biāo)準(zhǔn)很重要，尤其是電力企業(yè)有著與其他企業(yè)不同的一些特殊性質(zhì)，選擇信息安全體系建設(shè)的參考標(biāo)準(zhǔn)更要謹(jǐn)慎。我國(guó)電力企業(yè)已經(jīng)引入了一些國(guó)際化標(biāo)準(zhǔn)作為建立和維護(hù)企業(yè)運(yùn)轉(zhuǎn)的保證，關(guān)于信息安全體系的標(biāo)準(zhǔn)也應(yīng)納入到保證企業(yè)運(yùn)轉(zhuǎn)的一系列參考中去。電力企業(yè)總體應(yīng)有一致的安全信息管理體系參考標(biāo)準(zhǔn)，但是具體地區(qū)的公司又有著本身自己的特殊環(huán)境，所以在總體一致的信息安全標(biāo)準(zhǔn)的情況下，也應(yīng)該根據(jù)企業(yè)自身地區(qū)、人文、政策等的不同制定一些企業(yè)內(nèi)部自己信息安全標(biāo)準(zhǔn)作為建立、實(shí)施和維護(hù)信息安全管理體系的依據(jù)。信息安全管理體系顧全大局又要有所側(cè)重的體現(xiàn)電力企業(yè)安全標(biāo)準(zhǔn)的要求。

3 信息安全管理體系里的重要環(huán)節(jié)

3.1 硬件環(huán)境要求

信息安全管理體系并沒有特別要求添加什么特別的設(shè)備，只是對(duì)企業(yè)用到的設(shè)備做一些要求。電力企業(yè)一般采用內(nèi)外網(wǎng)結(jié)合的方式，內(nèi)外網(wǎng)設(shè)備要盡量進(jìn)行物理隔離。企業(yè)每個(gè)員工基本都有自己的移動(dòng)設(shè)備，如手機(jī)等，為了增加信息安全的系數(shù)，企業(yè)可以限制公司設(shè)備的無(wú)線網(wǎng)絡(luò)拓展。另外，實(shí)時(shí)監(jiān)控系統(tǒng)也應(yīng)該覆蓋企業(yè)的重要設(shè)備，監(jiān)控硬件設(shè)備的安全。

3.2 軟件環(huán)境要求

在企業(yè)設(shè)備（主要是計(jì)算機(jī)）上部署相關(guān)軟件環(huán)境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統(tǒng)弱口令監(jiān)控軟件的部署等，以此防止網(wǎng)絡(luò)攻擊或者提高安全系數(shù)。另外，企業(yè)設(shè)備所用系統(tǒng)的安全漏洞修復(fù)、數(shù)據(jù)的加密解密、數(shù)據(jù)的備份恢復(fù)及數(shù)據(jù)傳輸通道的加密解密等問題，都在信息安全管理體系設(shè)計(jì)的考慮范疇。

3.3 企業(yè)員工管理

盡管現(xiàn)在一直倡導(dǎo)智能化，但是企業(yè)內(nèi)進(jìn)行設(shè)備等操作的主體還是員工。不管是對(duì)設(shè)備終端操作來進(jìn)行信息的首發(fā)，還是對(duì)企業(yè)軟硬件系統(tǒng)進(jìn)行維護(hù)工作，都是有員工來進(jìn)行的。所以，對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)，提高員工的信息安全防范意識(shí)，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對(duì)不同的職位，在員工上崗前應(yīng)該進(jìn)行相關(guān)的信息安全方面的培訓(xùn)，然后對(duì)培訓(xùn)結(jié)果進(jìn)行考核，不合格的人員不準(zhǔn)上崗。在崗的人員也要定期進(jìn)行培訓(xùn)與考核。另外，如果有條件的話，企業(yè)應(yīng)該定期（例如每年）進(jìn)行一次信息安全的相關(guān)演習(xí)。

另外，電力企業(yè)有些項(xiàng)目是外包給其他相應(yīng)公司的，這時(shí)候會(huì)有施工人員和駐場(chǎng)人員在電力企業(yè)，對(duì)這些人員也應(yīng)該進(jìn)行電力企業(yè)信息安全的培訓(xùn)。

3.4 信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估

風(fēng)險(xiǎn)評(píng)估在信息安全管理體系中是確定企業(yè)信息安全需求的一個(gè)重要途徑，它是對(duì)企業(yè)的信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用下所帶來的風(fēng)險(xiǎn)可能性的評(píng)測(cè)。風(fēng)險(xiǎn)評(píng)估的主要任務(wù)是：檢測(cè)評(píng)估對(duì)象所面臨的各種風(fēng)險(xiǎn)，估計(jì)風(fēng)險(xiǎn)的概率和可能帶來的負(fù)面影響的程度，確定信息安全管理體系承受風(fēng)險(xiǎn)的能力，確定不同風(fēng)險(xiǎn)發(fā)生后消減和控制的優(yōu)先級(jí)，對(duì)消除風(fēng)險(xiǎn)提出建議。在信息安全管理體系的風(fēng)險(xiǎn)系數(shù)評(píng)估過程中，形成《風(fēng)險(xiǎn)系數(shù)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理方案》等文檔，作為對(duì)信息安全管理體系進(jìn)行調(diào)整的參考。風(fēng)險(xiǎn)系數(shù)的評(píng)估要盡可能全面的反映企業(yè)的信息安全管理體系，除了常規(guī)手段，也可以使用一些相應(yīng)的軟件工具的結(jié)果作為參考。另外很值得注意的是企業(yè)的員工對(duì)風(fēng)險(xiǎn)的理解，企業(yè)員工對(duì)他們所操作的對(duì)象有比較深刻的理解，對(duì)其中可能存在的不足也有自己的見解，在風(fēng)險(xiǎn)系數(shù)評(píng)估的過程中，可以進(jìn)行一些員工的問卷調(diào)查等，把員工對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)納入風(fēng)險(xiǎn)評(píng)估的考慮范疇。

企業(yè)的設(shè)備會(huì)老舊更換，員工也會(huì)更換，所以企業(yè)的信息安全是動(dòng)態(tài)的，因此風(fēng)險(xiǎn)評(píng)估工作也要視具體情況定期進(jìn)行，針對(duì)當(dāng)前情況作評(píng)估報(bào)告，然后制定相應(yīng)的風(fēng)險(xiǎn)處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點(diǎn)就是體系內(nèi)各個(gè)模塊的結(jié)合，信息安全管理體系的風(fēng)險(xiǎn)評(píng)估與關(guān)鍵內(nèi)容的實(shí)時(shí)監(jiān)控就應(yīng)該結(jié)合起來。

為了降低信息安全管理體系的風(fēng)險(xiǎn)系數(shù)，提升信息安全等級(jí)，要做的工作很多。滲透測(cè)試就是其中很有必要的一項(xiàng)工作。滲透測(cè)試是測(cè)試人員通過模擬惡意攻擊者的攻擊方式，來評(píng)估企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)測(cè)方法。這個(gè)測(cè)試過程會(huì)對(duì)系統(tǒng)的可知的所有弱點(diǎn)、技術(shù)方面的缺陷或者漏洞等作主動(dòng)的分析。滲透測(cè)試對(duì)于網(wǎng)絡(luò)信息安全的組織具有實(shí)際應(yīng)用價(jià)值。隨著技術(shù)的不斷進(jìn)步，可能還會(huì)出現(xiàn)其他的更有價(jià)值的信息安全技術(shù)，作為信息安全備受矚目的電力企業(yè)，應(yīng)當(dāng)時(shí)刻關(guān)注相關(guān)技術(shù)的進(jìn)展，并及時(shí)將它們納入企業(yè)信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業(yè)信息安全是動(dòng)態(tài)的，所以信息安全管理體系需要建立一個(gè)長(zhǎng)效的機(jī)制，針對(duì)最新的情況及時(shí)對(duì)自身作出調(diào)整，使信息安全管理體系有效的運(yùn)行。現(xiàn)在一般會(huì)采用PDCA循環(huán)過程模式：計(jì)劃，依照體系整個(gè)的方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)系數(shù)、提高信息安全的有關(guān)的安全方針、過程、指標(biāo)和程序等；執(zhí)行：實(shí)施和運(yùn)作計(jì)劃中建立的方針、過程、程序等；評(píng)測(cè)：根據(jù)方針、目標(biāo)等，評(píng)估業(yè)績(jī)，并形成報(bào)告，也就是文章前面說到的風(fēng)險(xiǎn)系數(shù)評(píng)估；舉措：采取主動(dòng)糾正或預(yù)防措施對(duì)體系進(jìn)行調(diào)整，進(jìn)一步提高體系運(yùn)作的有效性。這四個(gè)步驟循環(huán)運(yùn)轉(zhuǎn)，成為一個(gè)閉環(huán)，是信息安全管理體系得到持續(xù)的改進(jìn)。

4 重要技術(shù)及展望

4.1 安全隔離技術(shù)

電力企業(yè)的信息網(wǎng)絡(luò)是由內(nèi)外網(wǎng)兩部分組成，從被防御的角度來看的話，內(nèi)網(wǎng)的主要安全防護(hù)技術(shù)為防火墻、桌面弱口令監(jiān)控、入侵檢測(cè)技術(shù)等；而主動(dòng)防護(hù)則主要采用的是安全隔離技術(shù)等。安全隔離技術(shù)包括物理隔離、協(xié)議隔離技術(shù)和防火墻技術(shù)。一般電力企業(yè)采用了物理隔離與防火墻技術(shù)，在內(nèi)網(wǎng)設(shè)立防火墻，在內(nèi)外網(wǎng)之間進(jìn)行物理隔離。

4.2 數(shù)據(jù)加密技術(shù)

企業(yè)的數(shù)據(jù)在傳輸過程中一般都要進(jìn)行加密來降低信息泄露的風(fēng)險(xiǎn)。可以根據(jù)電力企業(yè)內(nèi)部具體的安全要求，對(duì)規(guī)定的文檔、視圖等在傳輸前進(jìn)行數(shù)據(jù)加密。尤其是電力企業(yè)通過外網(wǎng)傳輸?shù)臅r(shí)候，除了對(duì)數(shù)據(jù)進(jìn)行加密外，還應(yīng)該在鏈路兩端進(jìn)行通道加密。

4.3 終端弱口令監(jiān)控技術(shù)

終端設(shè)備眾多，而且是業(yè)務(wù)應(yīng)用的主要入口，所以終端口令關(guān)乎業(yè)務(wù)數(shù)據(jù)的安全以及整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如果終端口令過于簡(jiǎn)單薄弱，相當(dāng)于沒有設(shè)定而將設(shè)備暴露。終端的信息安全是電力企業(yè)信息安全的第一道防線，因此采用桌面系統(tǒng)弱口令監(jiān)控技術(shù)來加強(qiáng)這第一道防線的穩(wěn)固性對(duì)電力企業(yè)的信息安全非常重要。

電力企業(yè)信息安全管理體系是一個(gè)復(fù)雜的系統(tǒng)，包含眾多的安全技術(shù)，如數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)、終端安全檢查與用戶身份認(rèn)證技術(shù)、虛擬專用網(wǎng)技術(shù)、協(xié)議隔離技術(shù)等。凡是與信息安全相關(guān)的技術(shù)，電力企業(yè)都應(yīng)當(dāng)關(guān)注，并根據(jù)企業(yè)自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會(huì)應(yīng)用的熱門詞匯。電力企業(yè)的信息安全管理體系是否可以智能化呢？不妨做一個(gè)展望，電力企業(yè)的信息安全管理體系有了很強(qiáng)的自我學(xué)習(xí)與自我改進(jìn)的能力，在信息安全環(huán)境越來越復(fù)雜，信息量越來越龐大的情況下是否會(huì)更能發(fā)揮信息安全管理體系的作用呢？這應(yīng)該是值得期待的。

5 防病毒軟件部署

電力企業(yè)信息安全管理體系有很多軟件系統(tǒng)的部署，如防病毒軟件部署、桌面弱口令監(jiān)控系統(tǒng)部署、系統(tǒng)安全衛(wèi)士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業(yè)信息安全管理體系中軟件系統(tǒng)的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業(yè)版的賽門鐵克防病毒軟件系統(tǒng)相比單機(jī)版增加了網(wǎng)絡(luò)管理的功能，能夠很大程度地減輕維護(hù)人員的工作量。為了確保防病毒軟件系統(tǒng)的穩(wěn)定運(yùn)行，在電力企業(yè)內(nèi)部正式使用時(shí)，盡量準(zhǔn)備一立的服務(wù)器作為防病毒軟件專用的服務(wù)器。

服務(wù)器安裝配置好賽門鐵克防病毒軟件后，可以遠(yuǎn)程控制客戶端與下級(jí)升級(jí)服務(wù)器的軟件安裝與升級(jí)。

電力企業(yè)內(nèi)網(wǎng)可能是禁止接入外網(wǎng)的，這樣的話，防病毒軟件的更新可能無(wú)法自動(dòng)完成。防病毒軟件需要升級(jí)的時(shí)候，維護(hù)人員在通過外網(wǎng)在相應(yīng)網(wǎng)址下載賽門鐵克升級(jí)包，然后通過安全U盤拷貝到防病毒軟件系統(tǒng)專用服務(wù)器進(jìn)行升級(jí)操作。在圖1中，省電力公司的防病毒管理控制臺(tái)獲得升級(jí)包可以下發(fā)給下級(jí)升級(jí)服務(wù)器和客戶端進(jìn)行防病毒軟件系統(tǒng)的自動(dòng)升級(jí)更新。圖1是一個(gè)簡(jiǎn)單的框圖，如果電力企業(yè)的內(nèi)網(wǎng)規(guī)模很大的話，還可以更多級(jí)地分布部署。

6 結(jié)束語(yǔ)

電力企業(yè)的信息安全與企業(yè)的生產(chǎn)與經(jīng)營(yíng)管理密切相關(guān)，是企業(yè)整個(gè)管理系統(tǒng)的一部分。信息安全管理體系是一個(gè)整體性的管理工作，把體系中涉及的內(nèi)容統(tǒng)一進(jìn)行管理，讓它們協(xié)調(diào)運(yùn)作，實(shí)現(xiàn)信息安全管理體系的功能。電力企業(yè)信息安全的建立與體系不斷的改進(jìn)定能穩(wěn)定、有效地維護(hù)企業(yè)的信息安全。

參考文獻(xiàn)

[1] 王志強(qiáng)，李建剛.電網(wǎng)企業(yè)信息安全管理體系建設(shè)[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國(guó)管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù)，2013（1）：180-187.

[4] 沈軍.火力發(fā)電廠信息你安全體系構(gòu)建與應(yīng)用[J].電力信息通信技術(shù)，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構(gòu)建供電企業(yè)信息安全體系[J].電腦知識(shí)與技術(shù)，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術(shù)及其實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用，2001， 21（10）： 20-23.

[8] 江和平.淺談網(wǎng)絡(luò)信息安全技術(shù)[J].現(xiàn)代情報(bào)學(xué)，2004（14）：125-127.

作者簡(jiǎn)介：

崔阿軍（1984-），男，甘肅平?jīng)鋈耍T士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

張馴（1984-），男，江蘇揚(yáng)州人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息通信安全技術(shù)研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關(guān)注領(lǐng)域：信息化建設(shè)及安全技術(shù)。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：電力信息化建設(shè)及安全技術(shù)。

篇3

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護(hù)理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補(bǔ)救，導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高，信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識(shí)

在企業(yè)信息化系統(tǒng)安全管理中，防護(hù)設(shè)備和防護(hù)策略只是其中的一部分，企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí)，絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。在企業(yè)實(shí)施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行，保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn)，強(qiáng)化企業(yè)員工對(duì)信息安全的概念，提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)，就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對(duì)于安全防護(hù)技術(shù)來說可以分為身份識(shí)別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級(jí)別分配人員訪問權(quán)限，達(dá)到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí)，我們需要重點(diǎn)關(guān)注以下幾個(gè)方面：

3.1 實(shí)施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范，造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲(chǔ)介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對(duì)于這類高危的行為，我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí)，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前，就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì)，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護(hù)水平。

3.2 建設(shè)安全完善的VPN接入平臺(tái)

企業(yè)在信息化建設(shè)中，考慮總部和分支機(jī)構(gòu)的信息化需要，必然會(huì)采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對(duì)于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接，這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí)，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù)，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)，要面對(duì)多個(gè)部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會(huì)話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度，做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)，真正實(shí)現(xiàn)OSI的L2～L7層的安全防護(hù)。

3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系，重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí)，企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí)，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語(yǔ)

信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長(zhǎng)期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃，實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制，保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性，真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻(xiàn)

[1]郝宏志.企業(yè)信息管理師[M].北京：機(jī)械工業(yè)出版社，2005.

[2]蔣培靜.歐美國(guó)家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國(guó)教育網(wǎng)絡(luò)，2008（7）：48-49.

作者簡(jiǎn)介

常勝（1982-），男，回族，天津市人。現(xiàn)為中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

篇4

1保險(xiǎn)企業(yè)信息安全管理的現(xiàn)狀

當(dāng)前的很多保險(xiǎn)企業(yè)當(dāng)中仍然存在

的問題就是計(jì)算機(jī)信息安全管理問題，而且這個(gè)問題也是各國(guó)企業(yè)比較常見的問題，亟待采取有效的解決措施。在一些相對(duì)比較發(fā)達(dá)的企業(yè)，就可能會(huì)存在更多的信息安全隱患。首先，當(dāng)前的互聯(lián)網(wǎng)正在快速地發(fā)展和進(jìn)步，并加大了對(duì)信息技術(shù)的改革與創(chuàng)新，與此同時(shí)也衍生出很多的惡意項(xiàng)目工具，甚至信息系統(tǒng)本身也存在一定程度的漏洞，這些就可能會(huì)促使一部分的不法分子有機(jī)可乘；其次，保險(xiǎn)企業(yè)本身并未對(duì)信息安全的管理工作給予高度的重視，從而導(dǎo)致信息安全問題層出不窮。如今，我國(guó)保險(xiǎn)行業(yè)得到了快速的發(fā)展，加之外界環(huán)境因素的影響，從而暴露出越來越多的問題，此時(shí)就需要對(duì)這些問題進(jìn)行全面、系統(tǒng)的分析。

1.1缺乏完善的法律法規(guī)

如今，雖然現(xiàn)在與計(jì)算機(jī)信息安全管理有關(guān)的條文比較多，但是他們被分散于各種標(biāo)準(zhǔn)、管理辦法、法律、法規(guī)及道德規(guī)范等多個(gè)方面，然而，當(dāng)前并不具備一套系統(tǒng)、完善的法律法規(guī)來更進(jìn)一步地保障信息的安全問題。同時(shí)，當(dāng)前現(xiàn)有的一些法律法規(guī)，可能是因?yàn)槿匀挥泻艽笠徊糠值南嚓P(guān)安全技術(shù)和手段還沒有達(dá)到足夠的成熟和標(biāo)準(zhǔn)化，這樣就更加不容易去執(zhí)行一些相關(guān)的法律法規(guī)。因此，如果缺少一些與保險(xiǎn)行業(yè)相匹配的信息安全管理法律法規(guī)，從而導(dǎo)致保險(xiǎn)企業(yè)無(wú)法順利的開展相關(guān)工作，不利于計(jì)算機(jī)信息安全管理體系的構(gòu)建。

1.2缺乏足夠的重視

當(dāng)前仍然有很大一部分的保險(xiǎn)企業(yè)的管理層不是非常注重和關(guān)注一些相關(guān)的信息安全管理工作，而且他們并沒有在進(jìn)行管理工作的過程中投入足夠的人力、物力以及財(cái)力等。有很大一部分的保險(xiǎn)企業(yè)在治理公司過程中，只會(huì)對(duì)保險(xiǎn)企業(yè)的適當(dāng)?shù)卣{(diào)整銷售策略、業(yè)務(wù)規(guī)模發(fā)展問題、優(yōu)化組織結(jié)構(gòu)、相關(guān)運(yùn)營(yíng)流程等給予關(guān)注，這些公司都不是足夠重視對(duì)信息安全管理問題的處理，他們都忽視了信息安全問題會(huì)影響保險(xiǎn)企業(yè)的發(fā)展。實(shí)際上，在市場(chǎng)經(jīng)濟(jì)體系下，大多數(shù)保險(xiǎn)企業(yè)只有在遇到信息安全事件后才會(huì)對(duì)計(jì)算機(jī)信息安全管理體系給予重視。此時(shí)，就需要保險(xiǎn)企業(yè)在公司平時(shí)進(jìn)行治理工作的過程中，他們能夠投入更多的時(shí)間和精力來對(duì)現(xiàn)有的信息安全管理體系進(jìn)行補(bǔ)充和完善，并給予高度的重視，從而有效提高信息安全管理體系建設(shè)效率。

1.3對(duì)風(fēng)險(xiǎn)評(píng)估力度不夠

在信息安全管理體系建設(shè)過程中，大多數(shù)保險(xiǎn)企業(yè)不能夠準(zhǔn)確地評(píng)估對(duì)于該過程中可能會(huì)存在的風(fēng)險(xiǎn)，并未對(duì)信息化過程中可能出現(xiàn)的安全風(fēng)險(xiǎn)問題給予綜合考慮。一般情況下，他們可能只會(huì)考慮到一些相應(yīng)的信息技術(shù)問題，但是并沒有認(rèn)真地思考在運(yùn)用信息系統(tǒng)之后可能會(huì)顯現(xiàn)出來的信息安全問題。實(shí)際上，保險(xiǎn)企業(yè)不管是否對(duì)信息安全管理系統(tǒng)中所存在的安全風(fēng)險(xiǎn)問題進(jìn)行評(píng)估，從而給保險(xiǎn)企業(yè)的發(fā)展帶來不利影響。一旦信息安全管理體系出現(xiàn)比較嚴(yán)重的問題，不僅會(huì)造成無(wú)法彌補(bǔ)的損失，而且也不能夠?qū)嵭幸恍┱５臉I(yè)務(wù)操作，甚至還可能會(huì)造成一些非常嚴(yán)重的后果，比如是企業(yè)內(nèi)部機(jī)密泄露、重要數(shù)據(jù)被盜或被篡改、客戶個(gè)人信息泄露等問題。因此，越來越多的保險(xiǎn)企業(yè)由于對(duì)風(fēng)險(xiǎn)評(píng)估力度不夠，從而導(dǎo)致系統(tǒng)本身存在操作失誤、缺陷等原因而誘發(fā)的一系列安全問題。

1.4未明確安全管理責(zé)任劃分

對(duì)保險(xiǎn)企業(yè)來說，雖然對(duì)信息安全管理體系的建設(shè)給予了高度的重視，但是他們?nèi)狈σ惶着c企業(yè)發(fā)展相匹配的安全管理制度，未明確安全管理責(zé)任的劃分，從而在一定程度上影響了保險(xiǎn)企業(yè)的發(fā)展。如果這些企業(yè)現(xiàn)在還沒有制定出一些相關(guān)的信息安全管理制度并能夠堅(jiān)持執(zhí)行，而且企業(yè)在出現(xiàn)相應(yīng)的信息安全問題之后，并不能夠非常清晰地劃分出具體的責(zé)任人，這樣時(shí)間越來越長(zhǎng)，就會(huì)在信息安全問題的監(jiān)管方面出現(xiàn)越來越大的漏洞，自然而然地，也更加不容易去形成一個(gè)可以控制的信息安全管理體系。對(duì)于一個(gè)保險(xiǎn)企業(yè)而言，在他們公司所出現(xiàn)的一些信息安全管理問題，需要每一位企業(yè)員工給予重視，而不能依靠企業(yè)當(dāng)中的某一個(gè)人或某一個(gè)部門單獨(dú)負(fù)責(zé)來對(duì)安全管理問題進(jìn)行處理。對(duì)于保險(xiǎn)企業(yè)而言，他們必須制定出相應(yīng)的制度并劃分出比較明確的責(zé)任，而且每個(gè)部門都應(yīng)該有一個(gè)負(fù)責(zé)人來負(fù)責(zé)信息安全問題，以確保問題發(fā)生時(shí)能夠有人給予立即處理。如果不設(shè)置一個(gè)負(fù)責(zé)人的話，就可能對(duì)信息安全管理體系的構(gòu)建問題產(chǎn)生一定的影響，還會(huì)阻礙一個(gè)企業(yè)的信息安全管理工作和任務(wù)的完成。因此，對(duì)于保險(xiǎn)企業(yè)而言，在處理這些現(xiàn)實(shí)狀況以及各種各樣問題的時(shí)候，則需要結(jié)合實(shí)際情況構(gòu)建一套系統(tǒng)、完善的信息安全管理體系，從而使安全風(fēng)險(xiǎn)問題得到有效解決，更好的發(fā)揮信息安全管理體系建設(shè)的優(yōu)勢(shì)，確保保險(xiǎn)企業(yè)的健康、可持續(xù)發(fā)展。

2保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理體系構(gòu)建的對(duì)策

2.1健全和完善安全管理標(biāo)準(zhǔn)

對(duì)于保險(xiǎn)企業(yè)而言，要想更好的推動(dòng)信息安全管理體系構(gòu)建，就需要對(duì)現(xiàn)有的信息安全管理標(biāo)準(zhǔn)進(jìn)行健全和完善，并更加深入的分析和歸納信息安全管理標(biāo)準(zhǔn)內(nèi)容，不僅需要考慮信息技術(shù)相關(guān)的問題，而且還不能夠忽略信息安全管理問題。在進(jìn)行計(jì)算機(jī)安全管理研究過程中，為了獲取比較良好的研究成果，則需要進(jìn)一步健全信息安全管理標(biāo)準(zhǔn)，并創(chuàng)建信息安全標(biāo)準(zhǔn)化組織和信息安全管理標(biāo)準(zhǔn)框架，以確保信息安全管理體系構(gòu)建工作有條不紊的進(jìn)行。在我們國(guó)家，雖然在研究信息安全的時(shí)候，不是很早，但是經(jīng)過當(dāng)前不斷的完善過程，我們國(guó)家也制定出了一個(gè)更加符合我們國(guó)家基本國(guó)情的信息安全管理標(biāo)準(zhǔn)。

2.2實(shí)現(xiàn)科學(xué)的信息安全管理

對(duì)于保險(xiǎn)企業(yè)而言，他們?nèi)绻胍玫貙?shí)現(xiàn)比較科學(xué)的信息安全管理，就必須要充分地考慮到信息安全問題可能誘發(fā)的不利影響。對(duì)于保險(xiǎn)企業(yè)而言，在信息安全管理方面，不僅需要有效地管理機(jī)構(gòu)安全和人員安全的管理，而且要做好場(chǎng)地設(shè)施和技術(shù)安全的管理工作。同時(shí)，保險(xiǎn)企業(yè)還需要采取比較科學(xué)的方式，從而可以有效地構(gòu)建一套可實(shí)施的、科學(xué)合理的計(jì)算機(jī)系統(tǒng)安全管理體系，并結(jié)合實(shí)際情況制定一套規(guī)范、完善的安全防范措施，選擇一些可靠性比較大的、比較穩(wěn)定的、比較安全的產(chǎn)品，并對(duì)現(xiàn)有的安全評(píng)估標(biāo)準(zhǔn)和等級(jí)進(jìn)行細(xì)化和完善，以便能夠進(jìn)行一些有效的檢查策略，從而可以更好地開展信息安全管理工作，為保險(xiǎn)企業(yè)的發(fā)展奠定良好的基礎(chǔ)。

2.3重視安全風(fēng)險(xiǎn)評(píng)估工作

對(duì)保險(xiǎn)企業(yè)而言，在進(jìn)行信息化平臺(tái)建設(shè)過程中，就需要適當(dāng)?shù)剡M(jìn)行對(duì)安全風(fēng)險(xiǎn)的評(píng)估，如果缺乏相應(yīng)的風(fēng)險(xiǎn)評(píng)估工作，將會(huì)導(dǎo)致信息安全管理工作無(wú)法順利進(jìn)行。同時(shí)，在信息安全風(fēng)險(xiǎn)評(píng)估過程中，還需要制定一套能夠有效應(yīng)對(duì)風(fēng)險(xiǎn)的措施和方案，這樣可以有效地防止和解決一些突發(fā)狀況，并確保信息的安全性、有效性。

篇5

一、企業(yè)安全管理三大問題

自“棱鏡門”、iCloud照片泄露、攜程及支付寶等企業(yè)接連宕機(jī)等事件發(fā)生之后，信息安全已被國(guó)內(nèi)外政府、行業(yè)和企業(yè)推到了前所未有的高度。國(guó)務(wù)院《關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見》中也明確提出，要提升互聯(lián)網(wǎng)安全管理、態(tài)勢(shì)感知和風(fēng)險(xiǎn)防范能力，加強(qiáng)信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全防護(hù)，加強(qiáng)“互聯(lián)網(wǎng)+”關(guān)鍵領(lǐng)域重要信息系統(tǒng)的安全保障。信息安全危害事件頻頻爆發(fā)。2015年5月，網(wǎng)易、支付寶、攜程、藝龍、知乎、Uber等多家知名企業(yè)出現(xiàn)接連宕機(jī)，互聯(lián)網(wǎng)安全問題頻繁出現(xiàn)并集中爆發(fā)，這為我國(guó)企業(yè)安全管理敲響了警鐘。企業(yè)處理突發(fā)事件能力較弱。網(wǎng)易、支付寶、攜程等互聯(lián)網(wǎng)企業(yè)宕機(jī)后，很長(zhǎng)時(shí)間才得以解決，表明企業(yè)在應(yīng)對(duì)安全威脅突況時(shí)的力不從心，也反映出企業(yè)對(duì)信息安全中的外部威脅難以進(jìn)行有效防范和及時(shí)應(yīng)對(duì)。目前，我國(guó)互聯(lián)網(wǎng)企業(yè)總體停留在安全保障、被動(dòng)防御階段，并未形成明確推進(jìn)信息安全的管理措施。企業(yè)對(duì)信息安全重視程度不夠。與發(fā)達(dá)國(guó)家相比，我國(guó)企業(yè)用于信息安全方面的投資還很低，尚未占到企業(yè)信息系統(tǒng)建設(shè)總成本的2％，而國(guó)外企業(yè)用于安全系統(tǒng)的投資占整個(gè)網(wǎng)絡(luò)建設(shè)投資的15％～20％。例如，2014年我國(guó)信息安全投資總額為22億美元，不及美國(guó)的3.2%，且企業(yè)投資重點(diǎn)集中在安全基礎(chǔ)設(shè)施建設(shè)、產(chǎn)品更新?lián)Q代等，對(duì)安全服務(wù)投入明顯不足。許多企業(yè)口頭上重視信息安全，但未付諸實(shí)踐。

二、構(gòu)筑企業(yè)安全三重防線

建設(shè)合理先進(jìn)的信息安全管理系統(tǒng)。企業(yè)應(yīng)重點(diǎn)加大對(duì)安全評(píng)估測(cè)評(píng)工具及技術(shù)、數(shù)據(jù)防泄露及敏感信息防護(hù)技術(shù)、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)和統(tǒng)一身份管理與認(rèn)證技術(shù)的研發(fā)投入，重點(diǎn)建設(shè)一個(gè)集風(fēng)險(xiǎn)評(píng)估、安全策略、防御體系、實(shí)時(shí)檢測(cè)、數(shù)據(jù)恢復(fù)、安全跟蹤和動(dòng)態(tài)調(diào)整為一體的信息安全管理系統(tǒng)，加大信息安全管理的重視力度，從產(chǎn)品、技術(shù)、管理和制度多個(gè)維度來解決信息安全問題。建立信息安全風(fēng)險(xiǎn)防范和災(zāi)難應(yīng)對(duì)體系。建議企業(yè)參照金融行業(yè)的管理模式，主動(dòng)建立風(fēng)險(xiǎn)防范和災(zāi)難應(yīng)對(duì)體系，出臺(tái)具備面對(duì)突發(fā)狀況的應(yīng)急方案和數(shù)據(jù)備份雙重機(jī)制，并重點(diǎn)開展以下工作：完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)，構(gòu)建全方位的數(shù)據(jù)泄露防護(hù)系統(tǒng)，建立一體化的本地/異地備份與容災(zāi)體系，建立防火墻、防入侵及一體化安全網(wǎng)關(guān)解決方案，提高漏洞發(fā)現(xiàn)及應(yīng)急解決能力、減少高危漏洞帶來的危害。聯(lián)手產(chǎn)業(yè)鏈上下游共筑安全防線。信息安全已不只是企業(yè)本身所能掌控的，比如支付寶服務(wù)器故障的主因是杭州市蕭山區(qū)某地光纖被挖斷導(dǎo)致，這就需要電信運(yùn)營(yíng)商等加大對(duì)光纖光纜安全監(jiān)督。因此，互聯(lián)網(wǎng)企業(yè)應(yīng)與產(chǎn)業(yè)鏈上下游企業(yè)攜手，做到信息數(shù)據(jù)、用戶隱私、軟硬件產(chǎn)品等不同類型的安全問題與行業(yè)相對(duì)應(yīng)，有效防范安全管理脫節(jié)、錯(cuò)位等問題發(fā)生。隨著互聯(lián)網(wǎng)與各行各業(yè)的深度融合，信息安全威脅事件出現(xiàn)常態(tài)化趨勢(shì)。企業(yè)應(yīng)緊密圍繞內(nèi)部和外部環(huán)境，加大信息安全管理工作力度，有效減免信息安全危機(jī)事件。

作者:宋德王 單位:賽迪智庫(kù)電子信息產(chǎn)業(yè)研究所