企業安全信息精選(五篇)
發布時間:2023-10-11 17:28:03
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇企業安全信息,期待它們能激發您的靈感。
篇1
企業信息安全隨著傳感技術、計算機技術以及通信技術的日益進步不斷得到社會各個領域的重視,將企業信息安全應用到企業的安全生產、相關事故處理以及日常安全管理中去,從而不斷改變企業傳統的安全生產結構體系,提高企業安全生產的經濟效益,減少企業事故發生的概率。企業安全生產信息管理系統指的是實現企業安全生產和管理的信息化過程,這就需要通過計算機以及相關網絡技術實現基本數據的錄入、分析和儲存等,同時通過因特網以及局域網等實現信息資源的有效傳遞,并通過計算機技術實現信息資源的有效處理和及時反饋,從而不斷優化革新傳統企業的安全生產信息管理模式。企業安全信息管理系統的重要核心在于實現企業安全生產的信息化過程,這是一個由網絡技術、計算機網絡、人以及相關設備構成的管理系統,能夠對企業安全生產管理的相關信息進行有效搜集、分析、加工、儲存以及傳遞等,并將信息資源通過網絡途徑進行安全傳遞,從而為企業高層管理者提供決策方面的信息資源支持,為企業的安全生產管理提供信息協助管理工具,更好地促進企業的良性運作。
2.企業安全信息管理系統構建的基礎
企業安全信息管理系統的構建從一定程度上來說是對傳統企業安全信息管理系統的進一步優化完善,是一項十分巨大的系統工程體系,涉及到歷史數據分析、管理思想導入以及企業業務流程的整體協調等,企業管理模式的重新架構需要有硬件設備和軟件、關鍵用戶的培訓等多方面的支持。這些支持主要體現在如下幾個方面:一是來自于企業高層管理者的高度重視。構建和運營推廣企業安全信息管理系統需要做好重要的基礎性工作,加大財物和人力等方面的投入力度,尤其是在企業安全信息管理系統的系統研發、開發階段以及系統運行的初步調試階段,這些階段將會涉及大量的數據導入、數據分析以及數據移植等方面的工作。因此,企業高層管理者以及相關負責人應該對此給予充分重視,成立工作跟進小組,制定合理的管理方案、考核機制以及激勵機制等,向全公司明確企業安全信息管理系統是企業未來發展的重要支撐,從而使得全體員工樹立起信息安全的管理理念,積極投入到企業安全信息管理系統的開發和實踐工作中。二是委托有一定專業技術能力的單位。由于企業安全信息管理系統的構建是一項系統、全面的工程,一方面需要有安全管理的專業人才,在實現企業安全生產管理的基礎之上將企業安全管理進行細分,明確各個安全管理模塊的內容;另一方面需要有計算機技術、通信技術等方面的人才對企業安全信息管理系統進行實時維護,因此在進行企業安全信息管理系統構建時,可以委托綜合水平較強的單位進行全面綜合的開發、維護工作。三是構建良好的網絡環境。企業安全信息管理系統運行的重要特征是網絡化,因此該系統需要在安全的網絡環境中進行運行,為企業安全信息管理系統健康運行提供基礎保障。四是需要有足夠的經費支持和研發時間支持。由于企業安全信息管理系統研發所涉及的軟件和硬件設備相當之多,這就需要有足夠的研發經費支持。同時在此基礎之上,由于企業安全信息管理系統在研發階段、試運行階段以及后期的運行階段,均會出現一系列的問題,這就需要較長的研發時間,才能為企業提供一個較為安全的信息管理系統。
二、基于層次分析法的企業安全信息管理系統分析
1.層次分析法概述
層次分析法指的是將一個復雜問題作為系統性問題來分析,而系統問題一般都是由多個元素構成的,因此可以將系統問題分解為多個層次的問題,并通過設定一定的指標對相應的因素進行量化,進而通過定量的方式找到實現系統目標的最優方式。層次分析法可以深入分析系統問題的各個組成元素,以及他們之間的相互關系。層次分析法可以將定性的問題進行定量化處理,最終得出解決問題的最佳途徑。層次分析法的運用步驟如下:首先,構建相應的層次結構,將系統問題劃分為措施層、準則層和目標層,目標層指的是系統問題的核心目標,中間的準則層指的是在實現系統目標過程中的主要影響因素,而位于最底層的措施層是實現系統核心目標的基本手段,是系統問題解決的基礎和關鍵所在;其次,構建判斷矩陣,對系統層次的重要性進行判斷,對不同元素的重要性進行兩兩對比,并進行相應的賦值;最后,對每個元素的指標進行權重計算。
2.企業安全信息管理體系評價方案
企業安全信息管理體系的評價對企業的整體運行有著至關重要的作用。根據企業信息安全的標準,可以將企業安全信息管理體系評價指標分為十三個核心指標:目標、安全生產投入、組織職責、法律法規安全管理制度、作業安全、安全隱患排查、危源控制、應急救援以及績效評定和改進等,同時在此基礎之上進行進一步的細化,然后得到相應的層次結構表,為層次分析法提供相應的指標參考。(見附表1)最后根據企業實際運營情況,得到相應的層次分析結果,可以知道企業安全信息管理系統的綜合評價值為一般水平,說明企業的安全信息管理系統的水平還有待進一步提升。
三、企業安全信息管理系統構建
篇2
安全信息,是反映事物之間安全性狀的差異及變化的一種形式。預防和控制事故的信息手段,是指運用安全信息具有的功能,指導安全生產的科學管理,達到預防和控制事故的目的。
一.安全信息的功能和分類
安全信息的應用,是依據安全信息具有反映安全事物之間差異及其變化的功能,從中獲知人們對安全工作重視的程度、安全教育、安全檢查的效果、安全法規的執行和安全技術裝備使用的情況,以及生產實踐中存在的隱患,發生事故的情況等信息,用于指導安全生產管理,改進安全工作,消除隱患,以此達到預防、控制事故的目的。同時對安全信息的應用,是在對其科學分類,確立具體的應用方式、方法,在指導實踐中體現的。
1.全信息的功能
安全信息主要具有以下三個方面的功能:
(1)安全信息是企業編制安全目標管理方案的依據
企業在編制安全目標管理方案,確定目標值和安全保障措施時,需要大量可靠的信息作為依據。例如,既要有安全生產方針、政策、法規和上級安全指示、要求等指令性信息,又要有企業內部歷年來安全工作經驗教訓,各項安全目標實現的數據,以及生產安危等信息,做為安全決策的依據,這樣才能編制出符合實際的安全目標和保證措施。
(2)安全信息具有間接預防事故的功能
安全生產是一個極其復雜的過程,如何對其進行有效的安全組織、協調和控制,主要是通過安全指令性信息(如安全生產方針、政策、法規、安全工作計劃和領導指令、要求),統一人們的安全工作和安全生產所為,促進生產實踐有規律運動,以此預防事故的發生,這樣安全信息就具有了間接預防事故的功能。
(3)安全信息具有間接控制事故的功能
在生產實踐活動中,勞動者的各種異常行為,工具、設備等物質的各種異常狀態等大量生產異常信息,均是導致事故的因素。在人們運用安全信息的管理方式,獲知了生產的異常信息之后,通過采取組織、安全技術等安全管理手段,改變了人的異常行為、物的異常狀態,使之達到安全生產的客觀要求,這樣安全信息就具有了間接控制事故的功能。
2.安全信息的分類
依據安全信息的產生及其不同的作用,可將安全信息劃分為以下三種類型:
(1)生產安全信息
生產安全信息來源于生產實踐活動,具有反映安全生產情況的作用,具體又分為生產安全信息、危險危害隱患信息及生產事故信息。
(2)安全工作信息
安全工作信息來源于安全生產管理實踐,具有反映安全工作情況的作用。具體又分為安全組織領導信息、安全教育信息、安全檢查信息、安全指標信息。
(3)安全指令信息
安全指令信息來源于安全生產與安全管理,具有指導安全工作和安全生產的作用。其主要內容有:
1)安全生產方針、政策、法規和上級主管部門及領導的安全指示、要求;
2)安全工作計劃的各種指標;
3)安全工作計劃和安全措施計劃;
4)企業現行的各種安全規章;
5)隱患整改通知書、違章處理通知書等。
二、安全信息應用的方式、方法
1、安全信息應用的方式
安全信息應用的方式,是指依據安全管理的需要,運用安全管理規律和安全管理技術,而確立的對安全信息進行應用管理的形式。歸納起來有如下九種。
(1)安全管理記錄。主要包括安全會議記錄、安全調度記錄、安全教育記錄、安全檢查記錄、違章記錄、隱患記錄、事故記錄、事故調查記錄、事故原因分析和處理記錄等。
(2)安全管理報表。主要有事故速報表、事故月報表、安全管理工作報表等。
(3)安全管理登記表。主要有傷亡事故登記表、非傷亡事故
登記表、重大隱患整改表、違反安全規定的人員控制表等。
(4)安全管理臺帳。主要有事故統計臺帳、職工安全管理統計臺帳、隱患統計臺帳、安全天數等管理臺帳。
(5)安全管理圖表。主要有安全組織體系圖(安全管理機構框圖)、事故動態和安全工作周期表等。
(6)安全管理卡片。主要有職工安全卡片、安檢人員卡片、塵毒危害人員卡片、工傷職工卡片、新工人卡片、特種工卡片等。
(7)安全管理檔案。主要有職工安全檔案、事故檔案、安全標準、法規檔案、計劃總結檔案、隱患管理檔案、違安人員管理檔案、安全宣傳教育檔案、塵毒危害治理檔案、安措工程檔案、安技設備檔案等。
(8)安全管理通知書。主要有隱患整改通知書、違章處理通知書等。
(9)安全宣傳形式。主要有安全生產簡報、板報、雜志,安全廣播、安全標志、安全天數顯示板(牌)、安全宣傳教育室等。
2、安全信息應用的方法
安全信息既來源于安全工作和生產實踐活動,又反作用于安全工作和生產實踐活動,促進安全管理目標的實現。因此,對安全信息的應用管理,要抓住安全信息在安全工作和生產實踐中流動這個中心環節使之成為溝通安全管理的信息流。安全信息的應用方法是以"收集"、"加工"、"儲存"和"反饋"這四個有機聯系的環節,促使安全信息在企業安全管理中流通,如圖所示:
(1)安全信息的收集。收集的方法和內容如下:
1)利用各種渠道收集安全生產方針、政策、法規和上級的安全指令、要求及有關文件等。
2)利用各種渠道收集國內外安全管理情報。如安全管理、安全技術方面的著作、論文,安全生產的經驗、教訓等資料。
3)通過安全工作匯報、計劃、總結,安檢人員、職工群眾反映情況等形式,收集安全信息。
4)通過開展各種不同形式的安全檢查和利用安全檢查記錄,收集安全信息。
5)利用安全技術裝備、收集設備在運行中的安全運行、異常運行及事故信息。
6)利用安全會議記錄,安全調度記錄和安全教育記錄,收集日常安全工作和安全生產信息。
7)利用事故登記、事故調查記錄和事故原因分析記錄,收集事故信息。
8)利用違章登記、違安人員控制表,收集與掌握人的異常(不安全行為)信息。
9)利用安全管理月報表、事故月報表,定期綜合收集安全工作和安全生產信息。
(2)安全信息的加工
安全信息加工是提供規律性信息,指導安全科學管理的重要環節。對信息進行加工處理,就是把大量的原始信息進行篩選、分類、排列、比較和計算,聚同分異,去偽存真,使之系統化、條理化,以便儲存和使用。
1)利用事故統計臺帳,對事故類別、等級、數量、頻律、危害等進行綜合統計分析,進而掌握事故動向。
2)利用隱患統計臺帳,對隱患數量、等級、整改率、轉化率進行綜合統計分析,進而掌握隱患的發現、整改及導致事故的情況。
3)利用職工安全統計臺帳,對職工結構、安全培訓、人員、發生事故等情況進行綜合統計分析,進而掌握職工的安全動態。
4)利用安全天數管理臺帳,對事故改變了安全局面,影響安全天數的事故單位、事故時間、類別、等級,以及過去連續安全天數等,進行定期累計,從中掌握企業的安全動態。
(3)安全信息的儲存
安全信息的儲存具有記憶的功能,以備待用。可以利用如下信息管理形式進行定向、定期儲存。
1)利用安全管理臺帳,即可對安全信息進行處理,又可對安全信息進行積累儲存待用。
2)利用安全管理卡片可以對安全管理人員、工傷職工、特種工、新工人、塵毒危害人員的自然情況和動態變化,進行簡易儲存待用。
3)利用安全管理檔案,可以對安全信息進行綜合、分類儲存待用。
4)運用電子計算機對安全信息進行加工處理和儲存。
(4)安全信息的反饋
安全信息的反饋具有指導安全管理,改進安全工作和改變生產異常的作用。
1)通過領導講話、指示、要求和安全工作計劃、安全技術措施計劃、安全法規的貫徹執行,對安全信息進行集中反饋。
2)利用各種安全宣傳教育形式,對安全信息進行間接反饋。
3)利用各種管理圖表,反映安全管理規律、安全工作進度和事故動態。
4)發現人的異常行為、物的異常狀態等生產異常信息,當即提出處理意見,直接向信息源進行反饋。
篇3
【關鍵詞】電力企業;信息安全;風險防御
和諧社會的發展是政治、經濟、文化、社會和生態多方面合力的結果,科技的進步使得電力企業意識到亟需盡快的對電力系統進行革新,從計劃經濟到市場經濟體制的改革中,電力企業為了適應這樣的變化,加強了對管理體制的合理改變和生產效率的大步提高,拉開了電力系統改革的序幕。安全的信息網絡系統的構建是電力企業發展改革過程中至關重要的一個環節,有效的將電力企業的信息安全系統與其管理和考核進行有機結合,更好的服務于電力企業的生產、經營和管理,電力企業安全信息系統風險評估與防御也就成為了電力企業在經濟全球化進程中亟待重視的問題所在。
1 電力企業安全信息系統風險評估
1.1 企業規模發展迅速,信息網絡安全意識淡薄
電力資源是我們社會生活中必不可少的一部分,電力企業在相對壟斷的情況下,發展極其迅速,但在這樣的過程中,我們可以看到,大多數電力企業僅僅對基礎設施和簡單的網絡構建有著重視力度,卻沒有對安全信息系統的風險認識足夠,這種情況下必然產生了諸如網絡安全防御意識差,對網絡信息安全防范的資金投入不足等不良情況的出現。企業規模越來越大,對企業安全信息系統的維護資金投入卻并不高,網絡安全技術沒能及時加強,電力企業也就不能很好的抵御網絡風險,對網絡入侵也顯得無所適從。
1.2 信息化安全資金投入少,管理機制有待完善
電力企業對安全信息網絡的建設的重視并不充分,有些電力企業在管理過程中對信息管理部門完全忽視,只是將企業的網絡信息安全的管理安排給幾個技術員或掛靠到生產技術部門,電力企業作為高盈利企業卻對信息安全資金投入并不充分,信息化管理制度也很不健全。電力企業安全信息機制的構建是個長期的系統工程,我們必須注意到構建專門的信息化部門的重要性,才能在激烈的市場競爭中使得電力企業更好的滿足其發展體制對信息化管理的需求。
2 電力企業安全信息系統的主要問題
2.1 信息安全化管理未分區
國家電力管理委員會出臺的5號規定,對電網企業、發電企業、供電企業等電力相關企業做出了有關其信息安全網絡業務系統構建的明確規定,將這些企業的計算機和網絡技術系統大致分為了管理信息的部分以及生產控制的區域。信息管理區域可以依托各個企業不同的經營管理模式對安全區進行劃分,而生產控制區域一般來說應該由可控制區和非可控區兩大部分構成。在這樣兩個大的區域之間,電力企業必須在國家電力監測認定部門的監督下安裝電力生產專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個標準對電力企業網絡系統進行管理,就經常會出現企業管理信息大區部分網絡直接可以對生產控制區域的數據進行訪問,出現網絡安全事件,影響電力企業的安全生產和發展。
2.2 網絡端口接點存在風險
互聯網技術的革新的步伐越來越快,企業的網絡系統安全建設卻并不牢靠,在部分環節仍然十分脆弱,在電力企業的信息安全網絡建設中, Web程序漏洞、系統漏洞不斷出現,對病毒的侵入無力抵抗,為黑客、病毒制造者提供了入侵的機會,這些信息安全威脅的發生可能會引起電力企業網絡安全系統的癱瘓和網絡故障,為企業造成了這些安全威脅使得企業利益造成了巨大的損失。在最近的一項調查數據中顯示,電力企業中遭受到的網絡安全信息系統威脅中約有70%是由于網絡系統內部的危險侵襲。這種危害的可能發現于諸多方面:對于敏感數據的濫用,對于內部員工的信息監管不力使得信息泄露都提升了企業的運行風險。
2.3 互聯網病毒的侵害
從口語傳播時代到印刷傳播時代,直至現在的網絡傳播時代,互聯網的高速發展使得網絡病毒也迅速得以傳播和擴散。諸多的電力企業網絡內外相連,覆蓋范圍相當廣泛,網絡病毒經常可以有機可乘,牽一發而動全身,從一臺電腦的病毒侵害到整個電力網絡系統,造成網絡通信的阻塞,使得整個系統中的文件和關鍵數據得不到完整的保存,造成不可預計的后果。
2.4 信息安全人員防范意識較低
電力企業信息防范人員對信息安全應用系統的管理是保障信息網絡安全系統的重要一部分。數據庫操作系統的規劃和防范都離不開信息安全人員的有力防范,但在如今的電力企業信息安全系統的管理過程中,相關人員防范意識低下的情況屢屢發生,由此引發的網絡安全漏洞泄露了電力企業機密信息,造成了很大的安全隱患,使企業遭受安全沖擊。用戶的網絡安全防范意識低下是現如今網絡安全的通病,大多數的用戶都認為網絡自身有著一定的自我安全防范意識,對電腦提示的病毒預警視而不見,電力企業中也沒有很好的避免這一點,部分工作人員重技術輕管理,網絡安全信息管理機制的不完善,也給企業的網絡帶來了十分大的管理風險,這就迫切的要求應該對網絡的安全機制進行完善,也應該主動自高工作人員自身的安全防范意識。
3 電力企業安全信息系統風險防御
3.1 防火墻技術的運用
防火墻技術是現今社會經常用于互聯網風險防御的重要手段之一,多用于將可信任網絡和非信任網絡之間相隔開來。電力企業的生產經營和管理的過程中的運行調度中都應該加強在安全檢查中對網絡節點的關注,限制對含帶危險信息的領域的訪問。電力企業在生產經營、分散控制和運行調度的過程中對防火墻技術的運用有效的將信息的采集、整合和應用都限制在可掌控的范圍內,在不同的權限內最大限度的合理的運用著相關資源。
3.2 網絡病毒侵襲的防護
電力企業關系著國家重要電力資源的開發和應用,為了保護電力資源的安全,必須要從內到外的構建起全方位的網絡病毒防侵害系統,更好的對來自于各個方面的病毒信息進行防護。只有提高了企業的整體安全性,在互聯網和周邊的局域網內都安裝好防病毒侵襲的安全網關和內置的病毒防護軟件,才能使得電力企業免受網絡病毒的侵襲,各個方面的數據得以安全與穩定的保存。
在電力企業的網絡準入控制系統中,對接入點客戶的安全策略檢測和身份認證都是必不可少的,若不能通過檢測的用戶應該被嚴令禁止在網絡之外進行隔離。無論是無線用戶還是有限用戶,都將面對互聯網訪問客戶端從驗證、授權到阻止未授權的計算機網絡資源的過程,只有在一系列的檢測中得到審核通過才可以拿到進入內部網絡的通行證,網絡病毒越來越厲害,愈發侵入性越強,對此,電力企業對客戶端主機應該進行更加嚴密的考察,不間斷的對病毒特征信息庫進行更新,維護好網絡的完整和安全性。
3.3 虛擬網的數據備份技術
互聯網技術的網絡拓撲結構設置,加之很好的利用交換機、路由器等功能設置,可以使網絡管理員將任何一個相關局域網內的一些網段結合起來,組成一個局域網。在這個局域網里的信息傳遞速度更加迅速,傳播速度的加快使得網絡信息安全生產過程中的管理效率得到提高,使得電力企業的數據被竊聽的可能性不斷的降低。與此同時,現在電力企業在大多數情況下都會對重要的資料進行數據庫的備份工作,這樣構建起對電力企業信息網絡安全系統的應急預案,可以在出現網絡侵襲時及時的對關鍵業務和應用程序進行保護,確保核心數據系統在出現損害時,企業核心安全得到保護。
3.4 終端設備的網絡準入控制技術
可采用基于網關認證的硬件控制技術,實現對通過無線網絡、有線網絡、VPN網絡、wifi網絡等方式連接的設備進行接入控制。同時,采用“報備重定向+注冊重定向”的雙重認證保護技術,對非法接入的終端設備進行強制重定向安全檢查。對不符合安全等級要求的終端設備,可根據系統策略限制用戶接入網絡或將其訪問限制在隔離區。
網絡準入控制技術應以細致、準確、迅速為原則,對網絡資源訪問進行控制,尤其是一些核心的網絡應用,包括C/S、B/S以及服務器應用;以精益化的客戶端聯動管理為核心,基于多種授權方式,包括單用戶授權、用戶組授權、白名單授權等方式,實現對未受控客戶端實施不同用戶級別的可靠便捷的接入控制。
4 結論
電力企業的安全信息系統是電力企業信息化管理的重要內容之一,有效的對電力企業安全信息系統將要面臨的風險進行評估并且提出切實可行的防御措施,是保障電力企業現代化管理的有力手段。隨著近些年來互聯網技術的增強,電力企業的安全系統構建也愈發的完善,為電力企業的良性循環運行提供了必要的技術支持和保障,因此,我們應該重視對互聯網信息的保護,防御病毒的侵害,為為電力企業的安全信息系統的正常運行營造起安全的網絡環境。
參考文獻:
[1]陳偉.電力系統網絡安全體系研究[J].電力系統通信,2008(01).
[2]牟奕欣.關于電力系統的網絡安全的探討[J].中國經貿,2010(14).
篇4
一、目前企業網絡信息安全管理中存在的問題
目前各級供電企業對信息安全日趨重視,但主要側重于防備外來未授權用戶的非訪問,并過于注重如防火墻、入侵檢測等技術問題,忽略了信息安全中人的管理,造成了幾個突出問題:
1、人員安全意識淡薄
由于系統的專業教育與培訓不足,許多專業技術人員仍然抱著“防火墻等于安全”的僥幸心理,缺乏“防黑防毒”的意識和內部員工操作失誤或惡意攻擊的警惕性,對信息安全采取的防護措施非常簡單。大多數信息系統使用員工對信息安全知識和技能掌握不夠,認為信息安全只是技術部門的事,安全防護意識不強。
2、網絡信息機構不健全
有些供電企業沒有專門的信息技術運行機構或沒有規范的建制和崗位,人員配置又偏少,而且信息系統架構的分散也導致人力資源不集中,信息戰線拉得大長,幾乎沒有時間關注信息安全。由于IT技術發展很快,基層信息技術人員得不到相應的培訓,難以對日新月異的IT技術中有關主機、操作系統、數據庫、網絡、存儲、安全等方面作全面的了解和掌握,運行維護能力低下,系統安全監控不到位。
3、網絡信息安全管理專業化程度不夠
大多數基層供電公司缺乏專門的信息安全監督管理機構,或者沒有配備專業的信息安全監督管理人員,或者只設兼職。由于缺乏信息安全管理專業知識和技能,對信息安全特殊性認識不足,難于發揮有效的信息安全監督管理,使信息安全管理工作處于一種似管非管或基本不管的真空狀態。
4、管理制度滯后且執行不力
隨著國網公司集中集成工作的展開和信息網絡基礎建設不斷加強,原有的信息安全管理制度已相對滯后,而且有些制度不完全適合基層實際,個別條款操作性較差,難于執行,這就造成制度執行不力、有章不循、違規操作,這些都增加了信息安全風險。
二、加強企業網絡信息安全管理的幾點建議
1、加強全員網絡信息安全意識教育
通過普及信息安全知識教育,提高企業員工網絡信息安全知識和安全意識,掌握發現、解決某些常見安全問題的能力。信息安全教育的具體內容一般應包括以下內容:(1)信息安全所面臨的風險;
(2)企業信息安全方針及目標;
(3)企業安全管理規章制度;
(4)與信息安全有關的其它內容。通過安全教育使所有員工增強整體信息系統的安全防護意識。
2、加強企業員工相應技能培訓
為了確保企業員工在日常工作過程中具有保護企業信息安全方面的能力,應當加強對員工計算機安全技能培訓,教育員工平時應做到所有操作應符合規定、不得向他人泄露自己的操作口令、不訪問陌生的網站、不瀏覽或打開一些來歷不明的郵件及附件、外來光盤、U盤等存儲設備須先殺毒后使用、發現問題立即通知技術人員處理等基本的安全技能。
3、健全信息技術部門建設
根據需要合理配置信息技術人員,加強信息技術隊伍建設,明確機房管理員、網絡管理員、應用系統管理員、數據庫管理員、防病毒管理員、運行維護員等崗位配置,重要崗位設置A、B崗,落實崗位職責具體到人。對技術人員應注重技術培訓,可以定期或不定期參加各種針對性的技術培訓,增強技術儲備力度。
4、加強信息安全規章制度建設
建立健全適應企業實際的安全管理制度是信息安全管理的前提。標準化的安全管理,能夠克服傳統管理中個人的主觀意志驅動的管理模式。應在對企業信息安全評估下,根據單位實際情況,遵照上級有關規定,制定出切實可行、全面的安全管理制度。如:保密制度、機房管理制度、網絡運行管理制度、應用系統運行管理制度、設備維護工作制度、值班制度、計算機系統使用規范等,管理制度應明確描述所有信息技術人員以及信息系統使用人員的信息安全職責和信息系統日常使用規范,規范信息系統操作流程,減少人為失誤。
5、建立安全監督保證體系
成立安全領導小組,由分管領導抓信息安全工作,并設置一個獨立于信息技術部門的信息安全管理監督部門作為企業的信息安全日常管理機構,根據信息系統安全需要設定安全事務的職位,負責企業范圍內信息安全監督管理工作。各部門應配備計算機技能較強的信息安全專兼職人員,負責所在部門信息安全制度的落實和執行,形成良好的信息安全監督保證體系。
6、加強信息安全考核力度
篇5
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據中國證券監督管理委員會頒布的《證券期貨業信息安全保障管理暫行辦法》,制定《證券期貨業信息安全保障管理體系框架》。
在保障安全的前提下,兼顧不同主體單位的差別,強制滿足最低標準,充分保留發展空間。
參照 ISO/IEC 27001:2005中提出的證券期貨業信息安全保障管理模型(簡稱模型),采用立方體架構。頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構,側面是各個機構為實現信息安全保障目標所采取的措施和方式(組織、管理及技術體系)。
本管理體系框架遵循如下基本原則:責任制原則,依據“誰主管,誰負責”、“誰運營,誰負責”的基本原則,明確行業內各主體單位信息安全保障的管理責任;系統性原則,以動態保障的安全觀為指導,體現安全與發展并進、管理與技術并重、長效機制與應急防御相結合的綜合保障體系;適用性原則,在保障安全的前提下,兼顧不同主體單位的差別,強制滿足最低標準,充分保留發展空間。
信息安全目標
證券期貨業信息安全保障管理體系的目標是保障網絡與信息系統的機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性。機密性是數據所具有的特性,即表示數據所達到的未提供或未泄露給未授權的個人、過程或其他實體的程度。完整性是保證信息及信息系統不會被非授權更改或破壞的特性,包括數據完整性和系統完整性。可用性是數據或資源的特性,被授權實體按要求能訪問和使用數據或資源。真實性即信息接收者能夠通過有效的手段來識別信息是否是聲稱者所發送。可審計性即每個經授權用戶的活動都是唯一標識和監控的,以便對其所做的操作內容進行審計和跟蹤。抗抵賴性即保證發送信息的行為人不能否認自己的行為,使發送行為具有可信度。可靠性即保證合法用戶對信息能夠進行讀取和修改,防止非法用戶對信息進行惡意篡改和破壞。
行業組織結構
證券期貨業安全保障管理組織結構采用 “統一組織、分層管理、交叉協調”的管理結構,劃分為三層:決策層、管理層、執行層。
決策層
決策層由證券期貨業網絡與信息安全保障協調小組(以下簡稱協調小組)構成,協調小組由中國證券監督管理委員會及“5(交易所)+1(登記結算公司)+2(行業協會)”組成,是證券期貨行業信息安全的最高決策機構,以建立安全的信息系統、保障投資者利益為目標,制定框架性的信息系統安全指導方針,明確信息安全保障工作的基本方向和主要內容,頒布信息安全保障工作的行業條例與規定。
協調小組還將根據證券期貨行業信息系統發展趨勢和信息安全發展趨勢,定期對指導方針做出調整,研究和分析信息安全建設對證券期貨行業發展的價值和影響,確定信息安全保障工作的發展方向和基本工作節奏。審定并頒布行業信息安全保障工作的規定和制度,協調行業內部及外部資源,具體包括,信息安全保障工作指導方針、信息安全保障工作管理體系、信息安全保障工作管理流程、信息安全保障工作監督規定。審定并頒布信息安全保障工作的監督機制,并頒布相關監督制度和管理流程。
管理層
管理層由行業主管職能部門、行業自律組織和行業相關的管理與促進機構構成。行業主管職能部門包括中國證監會信息安全管理職能部門及其派出機構(各地的證監局、證管辦),行業自律組織包括中國證券業協會、中國期貨業協會、技術標準委員會,相關的管理與促進機構成員包括證券交易所(上海證券交易所、深圳證券交易所)、期貨交易所(上海期貨交易所、鄭州商品交易所、大連商品交易所)、登記結算公司。
行業主管職能部門負責起草并報批行業信息安全保障工作的規章和制度,協調專家顧問、行業成員等各方面的資源,對協調小組頒發的信息安全指導方針做技術與標準的支持,為其他成員執行指導性方針提供支持,并及時了解業務發展對信息安全的新需求,反映給協調小組,并根據證監會的信息安全保障工作相關規定,提出技術標準與實施細則。協調專家、顧問和行業標桿企業為各個安全主體進行信息安全保障工作的咨詢。
行業自律組織針對行業特性制訂信息安全保障相關自律性公約、標準、規范與指引等,并要求其會員單位嚴格遵守自律公約,并對違反公約的行為進行處理。相關的管理與促進機構作為市場網絡與信息系統的核心,其信息系統運行狀態很大程度上依賴于會員單位的信息安全級別,應對其會員單位進行嚴格要求,依據行業信息安全保障管理相關管理規范,制定相應的管理細則和技術標準,督促其會員單位落實,并對安全邊界進行嚴格管理。
執行層
執行層指市場各個參與主體,包括交易所、登記結算公司、通信公司、證券公司、期貨公司、基金管理公司、投資咨詢機構等。
安全保障領導小組是各主體單位信息安全最高領導機構,對協調小組關于信息安全建設的指導方針進行目標分解,結合本單位業務發展需求及信息系統現狀制定具體的信息安全建設策略、計劃、流程,并授權執行機構進行信息系統安全建設與運維。主要工作內容包括制定符合監管機構規定的信息安全保障方針政策,根據企業自身信息安全保障工作的方針政策建立信息安全保障工作的策略體系,監督并指導企業自身的信息安全組織、管理、技術體系建設。
安全保障工作小組是各主體單位執行信息安全保障的具體機構,根據安全保障領導小組制定的信息安全建設策略、計劃、流程執行信息安全保障工作。主體單位對自身信息安全現狀的評估,建設信息安全組織、管理、技術體系,完善信息安全組織、管理、技術體系,對出現的安全事件進行處理。
在組織體系上,決策層進行法規頒布,對管理層和執行層進行工作指導,管理層對決策層制定的相關法規進行細化,執行層根據行業規則進行信息安全保障體系建設,并將組織信息上報管理層和決策層。在管理體系上,決策層對管理層進行監督管理,管理層對執行層進行評估檢查,執行層將信息進行上報給決策層和管理層。在技術體系上,由執行層將技術實現方案和實施結果上報給管理層,管理層對成功經驗在執行層進行推廣。
信息安全保障實現方式
