信息安全事件報告
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全事件報告范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
信息安全事件報告范文第1篇
一、高度重視食品藥品安全突發事件信息報告工作
改革開放以來,我國食品藥品產業發展迅猛,但由于市場發育不成熟,當前食品藥品安全仍處于風險高發期和矛盾凸顯期,各類食品藥品安全突發事件時有發生。有效預防和處置各類食品藥品安全突發事件,關系人民群眾的生命財產安全,關系社會穩定,關系經濟社會發展全局。及時、準確地報告各類食品藥品安全突發事件,是領導正確決策、組織力量迅速妥善處置的前提。各單位要以對黨和人民高度負責的態度,從講政治的高度,充分認識做好食品藥品安全突發事件處置和報告工作的重要性,增強責任感和使命感,切實抓好突發事件信息報告工作。
二、明確食品藥品安全突發事件信息報告的要求
(一)報告范圍。需要向市局報告的食品藥品安全突發事件包括:本級行政區域或本系統內發生的較大、重大和特別重大食品藥品安全突發事件相關信息;部分食品藥品安全事件本身比較敏感或發生在敏感區域、敏感時間,或可能演化為較大、重大、特別重大的一般食品藥品安全突發事件相關信息;食品藥品安全事件苗頭性信息;各單位認為應當報告的涉及食品藥品安全的其他信息。
(二)報告程序。食品藥品安全突發事件信息實行雙向報送制,即事發地的區市縣食品藥品監管局、__經開區及園區分局將突發事件信息分別上報至市食品藥品監管局和當地人民政府。發生緊急突發事件或發現苗頭后,事發地的食品藥品監管部門將有關情況報市局值班室(),同時,報市局應急辦(電話:),市局應急辦設在風險監測與應急管理科。市局值班室和市局應急辦收到報告后,按規定報市局領導,經批示后報市政府值班室、市政府應急辦和按程序上報省局應急管理處,并作好登記。
(三)報告方式。食品藥品安全突發事件信息以書面報告為主,經單位主管領導或分管領導審簽并加蓋本單位公章,以傳真形式發至市局值班室;如遇特別緊急情況來不及形成文字材料的,必須在電話報告后迅速補報文字材料。應急處置過程中必須及時續報事態進展和應急處置情況,直至事件處理完畢。
(四)報告內容。突發事件信息報送必須真實、準確,寫明事件發生的時間、詳細地點、信息來源、事件起因、基本過程、已造成的后果、影響范圍、事件發展趨勢、處置情況、擬采取的措施、下一步工作意見、領導到場情況等有關情況等有關事項。如果情況尚未完全掌握,要按照“知道多少報多少,詳情再報”的原則報告,要避免因道聽途說、表達含糊、重點不明、文字歧義等引起理解偏差或信息失實的情況發生。
(五)報告時限。凡屬于報告范圍的食品藥品安全突發事件信息,事發地的區市縣、__經開區及園區的食品藥品監管部門必須在第一時間將有關情況向市局報告,最遲不得超過事發后2小時。
較大、重大、特別重大食品藥品安全突發事件的續報信息,一般情況下每隔4小時報告一次,緊急情況時每隔2小時報告一次或隨時報告。
三、切實強化食品藥品安全突發事件信息報告工作責任
(一)明確工作責任。各區市縣食品藥品監管局、__經開區及園區分局主要領導是本行政區域或本系統本單位食品藥品安全突發事件信息報告工作的第一責任人,各區市縣食品藥品監管局、__經開區及園區分局的應急管理辦公室主任或相關負責人是本行政區域或本系統本單位食品藥品安全突發事件信息報告工作的具體責任人。各單位一定要強化責任意識、危機意識和使命意識,對食品藥品安全事件信息報送工作實行定人員、定目標、定責任、定獎懲,確保落到實處。
信息安全事件報告范文第2篇
關鍵字 電子商務 網絡安全 事件類型 安全建議
1前言
隨著Internet的快速發展,電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。國家計算機網絡應急技術處理協調中心(以下簡稱CNCERT/CC)作為接收國內網絡安全事件報告的重要機構,2005年上半年共收到網絡安全事件報告65679件,為2004年全年64686件還要多。在CNCERT/CC處理的網絡安全事件報告中,網頁篡改占45.91%,網絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等,2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。數字顯示,電子商務等網站極易成為攻擊者的目標,其安全防范有待加強。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題。
2影響電子商務發展的主要網絡安全事件類型
一般來說,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,而近幾年來出現的網絡仿冒(Phishing),已逐步成為影響電子商務應用與發展的主要威脅之一。
2.1網絡篡改
網絡篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.2網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其它系統進行傳播。網絡蠕蟲的危害通常有兩個方面:1、蠕蟲在進入被攻擊的系統后,一旦具有控制系統的能力,就可以使得該系統被他人遠程操縱。其危害一方面是重要系統會出現失密現象,另一方面會被利用來對其他系統進行攻擊。2、蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
2.3拒絕服務攻擊
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。
一般來說,這是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
2.4特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界連接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其它系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
2.4網絡仿冒(Phishing)
Phishing又稱網絡仿冒、網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等,隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
根據國際反仿冒郵件工作小組(Anti-Phishing Working Group,APWG)統計,2005年4月共有2854起仿冒郵件事件報告;從2004年7月至2005年4月,平均每月的仿冒郵件事件報告數量的遞增達率15%;僅在2005年4月,就共有79個各類機構被仿冒。2005年上半年CNCERT/CC廣東分中心就處理了15多期的網絡仿冒事件。從這些數字可以看到,Phishing事件不僅數量多、仿冒范圍大,而且仍然在不斷增長。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
據統計,中國已經成為第二大仿冒網站的屬地國,僅次于美國,而就目前CNCERT/CC的實際情況來看,已經接到多個國家要求協助處理仿冒網站的合作請求。因此,需要充分重視網絡仿冒行為的跨國化。
3安全建議
隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現,電子商務的安全問題日益突出,需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發展。
3.1不斷完善法律與政策依據 充分發揮應急響應組織的作用
目前我國對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。
根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
轉貼于 互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,Forum of Incident Response and Security Teams)等國際機構的成員。
應急響應組織通過發揮其技術優勢,利用其支撐單位,即國內主要網絡安全廠商的行業力量,為相關機構提供網絡安全的咨詢與技術服務,共同提高網絡安全水平,能有效減少各類的網絡事件的出現;通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。
對于目前跨國化趨勢的各類網絡安全事件,可以通過國際組織之間的合作,利用其協調機制,予以積極處理。事實上,從CNCERT/CC成立以來,已經成功地處理了多起境外應急響應組織提交的網絡仿冒等安全事件協查請求,關閉了上百個各類仿冒網站;同時,CNCERT/CC充分發揮其組織、協調作用,成功地處理了國內網頁篡改、網絡仿冒、木馬等網絡安全事件。
3.2建立整體的網絡安全架構 切實保障電子商務的應用發展
從各類網絡安全事件分析中我們看到,電子商務的網絡安全問題不是純粹的計算機安全問題,從企業的角度出發,應該建立整體的電子商務網絡安全架構,結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。
3.2.1安全管理
安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
3.2.2安全保護
安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護,通常是一些基本的防護,不具有實時性,如在防火墻的規則中實施一條安全策略,禁止所有外部網用戶到內部網Web服務器的連接請求,一旦這條規則生效,它就會持續有效,除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
3.2.3安全監控/審計
安全監控主要是指實時監控網絡上正在發生的事情,這是任何一個網絡管理員都想知道的。審計一直被認為是經典安全模型的一個重要組成部分。審計是通過記錄通過網絡的所有數據包,然后分析這些數據包,幫助查找已知的攻擊手段、可疑的破壞行為,來達到保護網絡的目的。
安全監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,網絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。可以這樣說,安全保護是基本,安全監控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態安全的需要。
3.2.4事件響應與恢復
事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分,因為網絡構筑沒有絕對的安全,安全事件的發生是不可能完全避免的,當安全事件發生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發生。
當安全事件發生后,對系統可能會造成不同程度的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制能盡快恢復系統的正常應用,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。 4小結
Internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,已經成為商家和用戶密切關注的話題。
本文主要從目前深刻影響電子商務應用與發展的幾種主要的網絡安全事件類型出發,闡述了電子商務的網絡安全問題,并從國家相關法制建設的大環境,應急響應組織的作用與意義,以及企業具體的電子商務網絡安全整體架構等方面,給出一些建議與思考。
參考文獻
1
CNCERT/CC.“2005年上半年網絡安全工作報告”
2
CNCERT/CC上海分中心.“網絡欺詐的分析和研究”.2005年3月
3
信息安全事件報告范文第3篇
關鍵詞:金融業信息系統應急管理機制;實踐;意義
JEL分類號:R58 中圖分類號:F830 文獻標識碼:A 文章編號:1006-1428(2012)01-0100-02
一、建立上海金融業信息安全應急管理協調機制的意義
一是金融機構集聚帶來了信息安全風險的集聚。隨著上海國際金融中心建設步伐的加快。近年來上海已經建立了比較完整、輻射全國的金融市場體系。幾大交易所都集中在上海。同時中國銀聯和各大金融機構也紛紛在上海設立了數據中心、信息中心和銀行卡中心等,人民銀行在滬的各類中心也已達到六家,這些機構負責運行管理的信息系統,業務涉及全國甚至全球,一旦發生重大信息安全突發事件,其產生的影響將是重大的,甚至是災難性的。
二是協調指導金融業信息安全工作是國務院賦予人民銀行的重要職能。人行上海總部應加強與金融機構在滬各大中心的聯系,協調建立上海市金融業信息安全應急協調機制,探索開展信息安全屬地化管理的有效手段,發揮上海總部直接面對在滬各大中心、與上海市政府相關職能部門聯系密切的優勢,配合人民銀行總行做好信息安全協調指導和突發事件快速處置工作。
三是有利于形成多方參與、共同推進的信息安全工作新局面。通過金融業信息安全應急管理協調機制,可以幫助金融機構切實防范自身風險、提高應急處置工作效率,建立與監管部門、政府職能部門和相關基礎環境運營商之間的互動機制,實現信息安全管理工作的三個轉變。一是可以改變目前金融機構信息安全工作以行業管理、系統內協調為主的單一管理模式,實現“條塊結合、齊抓共管”的復合管理模式。二是可以改變目前金融機構與各政府主管和基礎設施運營部門之間一對一的溝通協調模式,實現統一協調、定期交流的集中式溝通協調模式。三是可以改變目前資源共享程度低、金融機構安全防護設施投入巨大、防護難度高的局面,充分利用上海市智慧城市建設成果,提高金融信息系統安全防護能力。
四是通過該機制,上海市政府可以將金融業信息安全工作納入到上海市網絡與信息安全管理體系之中。可以加強對金融機構信息安全工作的引導,使金融業信息安全工作符合上海金融中心建設的整體規劃,同時可以及時掌握金融信息系統的運行情況,加強對金融市場運行狀態的分析預警,并對重點金融機構進行有針對性的風險提示和緊急救助,從而實現改善上海金融生態環境、不斷推動上海金融中心建設的目標。
二、中國人民銀行上海總部金融業信息安全應急保障工作框架和實踐
一是上海金融業信息安全應急管理協調機制。參照上海市網絡與信息安全協調機制,由人民銀行上海總部和上海市網絡與信息安全協調小組辦公室牽頭。設立了上海金融業信息安全應急管理協調機制。該機制的主要職能是負責協調上海金融系統落實國家、行業、區域的各項信息安全要求、參與上海市組織的相關重大活動,指導金融機構完善應急管理體系、開展多部門聯合應急演練,并統一負責指導協調上海市金融業信息安全事件預警、防范及應急處置工作的安排、部署及具體實施。協調機制下設領導小組、工作小組和聯絡員小組。領導小組負責組織指揮上海市金融業信息系統應急管理工作,審定上海市金融業信息系統應急處置對策、預案、報告等;工作小組負責具體組織協調各項處置工作的實施;聯絡員小組負責協助工作小組完成應急聯絡、協調各項處置工作。2011年9月,上海金融業信息安全應急管理協調機制正式建立。
二是應急管理處置專家小組。經上海總部審核確定,第一屆專家小組共有15名專家。專家小組的主要職責是經授權參與上海市金融信息系統重大安全事件的應急處置工作,協助做好事件原因分析、事件評估和風險防范工作,并就相關工作提出合理化建議。
三是信息安全人才培養。一是組織召開上海市銀行業高管信息安全培訓班,提高各金融機構高級管理人員對信息安全工作的管理能力。二是通過組織金融機構應急處置操作實務培訓班、舉辦上海金融信息安全論壇、開展信息安全新技術講座等多種形式,切實加強對金融機構中層信息安全專業人員的培訓。三是針對部分中小銀行沒有信息安全專業人員的問題,組織11家中小銀行的21名技術人員參加了上海市信息安全專業人員資格證書培訓。
,
四是《上海市金融業信息系統應急預案》體系。結合上海金融業網絡與信息安全管理工作實際情況,與市政府相關部門深入溝通,制定《上海市金融業信息系應急預案(討論稿)》(以下簡稱《預案》),明確了應遵循的原則、組織體系、工作流程、處置方法和協調方式。《預案》是各方協同配合妥善處置重大信息安全事件的指導性文件,在《預案》頒布執行的基礎上,還將編寫電力、燃油、通訊、網絡攻擊等專項方案,最終形成一個完整的應急預案體系。
三、相關政策建議
一是充分認識建立上海金融業信息安全應急管理協調機制的重要意義。要將維護金融信息安全工作放在科技工作的首要位置,探索做好金融信息安全工作的新思路新方法,扎實推動金融信息化工作。
二是深化上海金融業信息安全應急管理協調合作框架。要繼續完善協同演練、信息通報、風險預警、應急響應等各項預案和措施,并充分發揮專家小組的作用,提高其在決策咨詢中的作用。
三是進一步加強人民銀行對金融業信息安全工作的行業協調指導職能。會同上海市網安辦、金融監管機構進一步落實信息安全重大事件報告制度,逐步將該制度推廣至全市各類金融機構。實現應急事件處置的統一指揮、集中管理和快速響應。落實金融系統信息系統等級保護工作,不斷提升主動防護和風險防控能力,促進上海市金融業應急管理工作邁上新臺階。協調市政府加大對金融信息產業集聚區的扶持力度,進一步加強園區基礎設施建設,為園區金融數據中心、信息中心提供更加優質的一站式服務,為系統安全穩定運行創造良好的外部環境。
四是研究建立跨部門的金融業信息安全管理網絡,實現對金融機構信息安全風險的及時、動態、全面監控。建設上海市金融業信息安全管理平臺,及時風險提示、風險分析、風險預警,為各金融機構提供有針對性的政策咨詢和基礎保障服務,切實提高信息溝通效率。通過建立健全信息安全管理制度、定期組織信息安全現場和非現場檢查手段,從系統安全性、標準符合性人手。將“合規性檢查”和“風險性檢測”有機結合起來,及時發現金融機構在信息安全制度和管理方面存在的薄弱環節。制定有效的信息安全防范、管控和問責制度,全面落實國家、行業和區域性的信息安全政策。
信息安全事件報告范文第4篇
開放、互聯的信息技術與信息安全就像一把雙刃劍。一方面,企業需要借助信息技術或信息系統集中信息并開放共享;另一方面,企業的核心信息資產又在不斷外泄,引發無數信息安全問題。一談到信息安全,首先想到的是網絡安全,比如防火墻、入侵檢測、漏洞掃描、數據加密等傳統意義上的網絡底層安全防護。但從廣義上來講,隨著信息化建設的不斷深入,企業的信息資產對經營的貢獻比重越來越大。尤其在信息訪問越加便捷的前提下,根據市場競爭的需要,企業需要源源不斷地將信息不同程度地開放給客戶、供應商、員工等,企業的信息資產也越來越暴露在更多的威脅之中。信息的三個安全特性,即完整性、保密性和可用性。(1)信息完整性風險管理。一方面,要保證信息在收集、加工過程中不能被惡意篡改、不能丟失、被竊取、損壞等;另一方面,也常為人忽視的是加工過程本身的科學性,需要防范因不恰當的加工方式而導致的數據失效或結果錯誤。(2)信息保密性風險管理。主要是指要保障沒有被授權的用戶無法使用信息系統,訪問相應的資源。防止該類用戶訪問、通過非法手段攻擊破壞企業信息資產。(3)信息可用性風險管理。主要是指保障被授權用戶可以順利、快速訪問信息資產,保障信息系統穩定性和可用性。以上三個特性,同時也是信息安全風險管理的主要內容,管理過程包括風險識別、風險評估和風險控制三個步驟。
2企業信息安全風險識別
由于涉及企業的核心信息資產,所以相應的信息安全風險點分布在企業管理的各個環節和層面。但是由于種種原因,目前國內企業對信息安全風險管理的認識仍不到位。總體來說,有以下主要問題,也是常見的信息安全風險管理的風險點。(1)信息安全組織和制度保障不足。沒有有效的信息安全管理組織機構,就無法有效地制定、執行安全管理策略,更無法進行有效的信息安全協作。信息安全管理制度通常都有,但很少有單位能夠嚴格執行,信息安全的政策制定也常常不符合標準,導致可操作性比較差或者達不到控制的目的。(2)信息安全相關人員意識不足。信息安全雖然已經被很多企業提到戰略高度,但更多停留在口頭上和管理層。大部分企業人員比較缺乏信息安全意識,安全事件報告不及時;對各自崗位相關的信息資產職責了解不清,對信息系統的錯誤操作導致信息泄密的事件屢有發生;部門單位還存在因人員流動導致的信息資產不連續等問題。(3)傳輸、存儲信息資產的設備與網絡存在安全隱患。部分企業存在網絡有安全漏洞、存儲設備老舊、數據資產缺乏備份機制等常見問題,一旦受到網絡入侵、病毒攻擊,或者發生硬件及性能問題,會導致信息資產大量泄漏或損壞。(4)訪問控制及用戶權限管理存在漏洞。在信息系統的實施階段,為了便于用戶測試或其他目的,部分用戶權往往限過大。隨著系統正式上線及應用,相應權限又由于種種原因沒有調整,對信息安全也留下了比較大的隱患。(5)軟件系統及業務持續性風險。因為國產化和自主開發的趨勢逐漸確立,大量企業選擇自行開發軟件系統,由于軟件開發技術而導致軟件本身存在一定漏洞,相應的開發質量存在隱患,連帶的如運維、業務持續性風險均應相應考慮。
3企業信息安全風險評估和控制
考慮到每個企業均有自身特點,面臨的信息安全風險點也不同。按照通常的信息安全風險管理理論,在完成上節所述的風險識別之后,需要進行詳細的風險評估和風險控制。信息安全風險評估是指確認風險大小程度的過程,主要是要借用適當的風險評估工具和模型,包括定量的或者定性的方法,對信息安全風險點造成的影響進行評估,以確定風險的大小和控制方式。其主要目的是為了確定風險的大小并量化,從而可以采取適當的控制目標和控制方式開展風險控制工作。信息安全風險控制的作用體現在對組織信息安全的保障上,其有效性體現在當企業面臨信息安全風險時對風險控制的有效程度,換句話說,在信息安全風險評估的基礎上,考驗控制力度的有效性就是損失的程度,損失的越少越有效。反之,則控制無效。另一方面,信息安全風險控制也是需要成本的,控制力度大小與成本通常成正比關系,而且在達到一定程度之后,控制力度增長比例較小可能帶來成本大幅增加。因此,信息安全風險控制的總體目標,是以最小的投入將信息安全面臨的風險控制在組織可接受的范圍內。
4結語
信息安全事件報告范文第5篇
關鍵詞:企業;檔案;安全;體系
1 概述
檔案安全是檔案工作的底線和紅線,事關黨和國家的根據利益。檔案安全體系是“三個體系”建設的根本保障,是順應黨和國家的方針政策和檔案事業發展規律而產生的實踐體系,是我國檔案事業的重要組成部分。加強檔案安全體系建設,對于維護黨和國家的歷史記憶、推動檔案事業發展、服務全面建成小康社會具有十分重要的意義。
2 企業檔案安全體系的內涵
企業檔案安全體系是確保檔案實體和信息安全的基礎設施齊備、各項制度完善、整理操作規范的系統工程。企業檔案安全體系建設包含三個層面:一是確保檔案實體的安全,不損毀、不丟失;二是確保檔案信息的安全,不失密、不泄密;三是確保檔案的完整齊全并盡量延長檔案實體和信息的保存時限。
3 企業檔案安全體系建設存在的問題
3.1 人員安全意識薄弱
檔案安全往往被當作僅是辦公室或檔案室的責任,忽視各部門的主體責任。部分人員對檔案安全工作的重要性和必要性認識不足,在收集、整理、利用環節,歸檔不全、把關不嚴、傳輸隨意,對檔案實體的保護、信息的保密意識欠強。
3.2 建設缺乏整體規劃
頂層設計時沒有系統化、統籌安排,沒有納入到企業的信息化系統建設,制定單項制度或系統時,缺乏一定的操作性和其他系統的兼容性,換版或升級未綜合考慮各方因素,檔案安全系統建設缺乏前瞻性。
3.3 防護設施欠完備
檔案庫房設計欠規范,檔案室選址欠科學,室內設施設備欠完整。基礎設施投入不足,部分單位沒有專門設備存放特種載體檔案、實物檔案,沒有溫度濕度控制、火災報警、監控等系統。
3.4 安全技術措施簡單
對檔案信息的內容安全層、訪問安全層、傳輸安全層、環境安全層技術管理手段簡單,存在一定的漏洞,監控力度不夠。數據備份機制不夠完善、備份方式單一。
3.5 管理制度執行不嚴
制定了系列檔案安全建設制度,但對執行情況未進行考核和檢查,使得制度執行力度大打折扣,未執行或部分執行的現象時有發生。或者雖有考核,但沒有獎罰措施,嚴重影響到制度的嚴肅性和執行力。
4 企業檔案安全體系發展策略
檔案安全工作要整體規劃、統籌安排、科學實施。采取“三位一體、三維覆蓋、三措并舉”的檔案安全“三三策略”,切實加強檔案安全體系建設,確保檔案實體和信息安全,在確保完整性的基礎上延長檔案的保存時限。
4.1 安全防范“三位一體”,堅持根本抓人防、夯實基礎抓物防、注重創新抓技防
(1)堅持根本抓人防:檔案安全的最大保障是人的責任。一是樹立科學的檔案信息安全觀,加強對檔案信息安全主體、檔案信息安全內容、檔案信息安全方式認識的綜合。二是開展全員檔案安全教育培訓,切實提高人員的安全意識和工作責任感。三是推進素質提升工程,培育具備檔案專業知識和安全信息處理能力復合型人才。
(2)夯實基礎抓物防:檔案室是保障檔案安全的物質基礎。一是庫房要落實“八防”即防盜、防光、防高溫、防火、防潮、防塵、防鼠、防蟲措施。二是加大基礎投入資金,確保檔案安全基礎設施到位。三是加大科技應用,提升安全保密技術,建立完善監控系統、消防滅火系統、溫濕度控制系統。四是堅持實行定期保潔、檢查制度,每月進行消防檢查,每季度徹底進行一次衛生大清掃,每年進行庫房年度檔案盤查。
(3)注重創新抓技防。一是通過數據加密技術確保內容的安全;二是主要通過身份認證技術、訪問控制技術等手段確保訪問的安全;三是通過防火墻技術、入侵檢測技術、網絡隔離技術等手段確保傳輸的安全;四是運用電磁輻射防護技術確保環境的安全,不讓竊取方接受到信息輻射的信號和復原出有關的真實信息。五是學以致用,不斷把先進的科技應用到企業檔案安全建設中。
4.2 安全監管“三維覆蓋”:檔案室內安全與室外安全并軌,實體安全與信息安全并重,線上安全與線下安全并舉
(1)檔案室內安全與室外安全并軌。一是加強檔案室內的查閱監控和銷毀控制,未經領導審批同意,檔案原件不得外借,未經檔案銷毀領導小組審批,不得私自銷毀檔案。二是預防為主,前移安全防線,加強主動防范,確保源頭檔案收集工作的完整性、多樣性,內容豐富、種類齊全。三是加強利用環節的安全保密工作,室內檔案不隨意破壞、不私自加工,內容不隨意傳播、不私自上傳網絡,不得將未經審批的檔案信息進個人網絡宣傳。
(2)實體安全與信息安全并重:一是實施定期檢查制度,由專人負責定期對實體和信息檔案狀態進行檢查,采用“消號”式進行整改處理。二是加強重點檔案搶救修復工作,及時加固易碎、易裂的檔案,及時除霉去污霉變檔案,定期轉存聲像檔案。三是重視檔案信息安全工作,落實數據采集、數據傳輸、存諸處理、分析應用等各環節保障網絡和信息安全工作,加強網絡安全監控力度,確保檔案信息安全。
(3)線上安全與線下安全并舉:一是全面梳理平臺漏洞,真正發揮非網功能,確保檔案的安全。二是加強信息中心機房重地管理工作,無關人員不得進入機房,確需進入要進行人員登記。嚴格管理接入硬件設備介質,在操作系統中安裝殺毒軟件,定期掃描系統漏洞。三是加強登記備份推進工作,做到多位置保存數據及數據完整性恢復能力。
4.3 安全保障“三措并舉”:加強制度體系建設,加強安全條件保障,加強安全風險管控
(1)加強制度體系建設。管理制度是保障檔案信息安全的重要措施。建立健全計算機和信息系統、人員安全管理、信息系統運行環境安全管理等制度,嘗試推行安全信息審計、安全追責等制度,強化制度執行的剛性、管理的柔性,增強制度規范的可操作性。
(2)加強安全條件保障:一是調撥檔案安全管理專項經費,加強檔案室、檔案設施設備、檔案信息系統建設,為安全提供硬件和軟件上的基礎和技術保障。二是實施責任清單和移交清單,特別關注特殊時期的檔案接收工作,特別涉及到機構變動、人員調整時的檔案移交。三是加強對檔案安全工作的審計,對因人為因素造成的檔案安全問題,要進行及時整改和處罰,由此引發的檔案安全事故,要堅決追責。同時也要積極獎勵優秀的檔案管理人員,形成人人抓安全、事事重安全、時時保安全的工作氛圍。
(3)加強安全風險管控:定期進行風險評估,制定可行的應急預案。一是明確響應和處置的范圍、制定安全應急處理流程,實施應急處理方法。二是定期不定時對應急預案進行演練,加強應急預案的實際可操作性。三是在安全事件報告和響應處理過程中,分析原因,記錄過程,總結教訓,制定防止再次發生的補救措施。
參考文獻
[1]劉蕓.完善安全體系加強風險監管[J].中國檔案,2016,7.
[2]李玉紅.檔案安全體系建設中存在的問題及對策[J].檔案管理,2014(06).
