信息安全管理要求
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全管理要求范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
信息安全管理要求范文第1篇
國家、省市已經頒布各種法律法規,各大單位也根據自己的具體情況,建立了自己的規章制度,維護信息安全已經有法可依。但是信息安全管理工作涉及的知識面非常廣,需要了解國家信息安全管理法規,需要學習信息技術一般理論,需要知道信息安全漏洞知識,需要明白信息安全禁令范疇。為提高學習效率和質量,全面掌握信息安全理論和方法,按照信息安全管理知識體系,建設信息安全管理教學系統,提供學習信息安全管理的教學條件,從而為各方面人員學習和執行各種規章制度提供依據。相比其他管理工作,信息安全管理工作需要比較多的理工專業基礎和比較高的電腦技術要求,在實際的信息安全管理工作中,需要靈活的信息安全管理處置能力,更多的是判斷信息安全問題、識別信息安全陷阱、規范信息安全管理。由于知識背景和工作性質特點,管理干部需要花費更多的時間和精力學習信息安全管理知識和技術,才能具備基本的信息安全防范技能。為幫助他們更好地獨立處置信息安全管理問題,掌握發現問題解決問題技能,依據現代教育理念和方法,不僅需要提供深入淺出、知識完備的知識體系學習訓練系統,而且需要信息安全管理能力訓練系統。
二、信息安全管理培訓思路
為滿足信息安全管理工作在人員培訓方面的需要,需要依托各級培訓學校,按照國家和省市地方的制度法規,借助現代教育思想,借助現代教育技術,明確符合實際需要的功能定位,建設信息安全管理復合應用型人才培訓體系,實現信息安全管理工作對培訓教育、終身教育的培訓要求。
1.培訓依據
(1)依據各種信息安全管理制度法規。信息安全人員在履行工作職責的時候,必須按照各種信息安全管理法規、制度和要求實施,制訂人才培養方案和教學計劃必須依據國家、省市和本部門的信息安全管理的相關規定,這樣的教學內容才能保證人才培養的針對性和實用性,保證管理干部履行信息安全管理職責的有效性。涉及信息安全制度法規的相關文件很多,有的是專門為信息安全制訂的,有的制度和法規散落在各個業務管理制度中。在建設信息安全管理知識體系時,必須將業務部門的相關規定融入知識體系中,使得管理干部在處理具體業務中的信息安全管理工作具有針對性和有效性。
(2)符合培訓教育特點規律。信息安全管理技能是從事管理工作人員的基本技能,屬于崗位專業培訓或專業技能培訓,屬于培訓教育培訓。受訓人員專業背景不同,理論基礎不同,學習能力不同,必須避免材、統一授課、統一訓練、和統一考核的傳統教學模式,采取因人而異、因材施教的有針對性的教學方式,強調個性化學習,將不同層次受訓者的信息安全管理能力達到信息安全管理工作所需要的水平上來。
(3)遵循現代教育思想。在實施教育訓練過程中,現代教育思想要求采取“學為主體、教為主導”的教學理念,學員能夠方便地獲得完整的知識體系和解決問題的技能和方法,自主學習,開放學習,自主理解、掌握知識和技能。為實現教學目的,需要分析信息安全管理技能特點,需要分析管理干部學習動力,結合教學目標,設計學員學習和訓練的教育訓練環境,提供完整的知識體系、豐富的教學資源、模擬的問題情況、交互的學習平臺和方便的使用途徑,提供與培訓教育特點規律和技能訓練要求相適應的培訓條件。
2.信息安全管理培訓目標
按照信息安全管理工作的實際情況,培養信息安全管理工作中管理、業務和技術三支人才隊伍,突出業務和管理人才需要,兼顧信息安全技術人員的人才培養,以現代教育思想為指導,以信息技術為核心支持技術,建設滿足信息安全人才培養的現代培訓條件。信息安全管理培訓以管理干部為培訓對象,以信息安全管理工作為培訓內容,區分信息安全管理人員、業務干部和信息技術專門人員等不同層次,跟蹤信息安全管理形勢,實行階段反復輪訓,以適應信息安全管理不斷發展的需要,確保信息安全管理工作的正常開展。
三、信息安全管理培訓環境構建
為適應信息安全管理培訓需要,適應管理干部培訓教育需要,必須構建遵循信息安全管理規定、符合現代教育思想、依托信息技術手段、瞄準復合型適用人才培養的教育環境。信息安全管理培訓條件涉及面很廣,包括組織機構、舍堂館所、師資隊伍、后勤保障等等,這里我們更關心符合培訓思路的培訓模式和教學支持。從知識體系、學習途徑、訓練場所和訓練系統多方面著手,構建信息安全管理訓練體系,構建管理人員信息安全人才培養條件。依據教育信息化研究成果和培訓教育教學特點,需要建立完整的信息安全管理知識體系,建立開放式、自主式教育網絡平臺,建立強時效性的教學資源體系,建立信息安全管理知識測試系統,建立信息安全管理能力訓練系統,等等。
1.構建信息安全管理知識體系
培訓教育的一個特點就是受訓對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系,以滿足不同基礎、不同需求受訓者對知識掌握和能力訓練的要求。知識體系必須建立覆蓋學科知識和管理手段的所有內容,包括理論體系和教學資源兩部分,其中理論體系包括基礎知識、安全理論、規范制度、管理方法、歷史沿革、防范手段和操作方法,教學資源包括現狀分析、經典案例、技術講解、訓練題庫和數據模型,適應和滿足每個受訓對象的需求。為滿足個性化服務需要,可以按照知識點建設模塊化框架結構,設計具備菜單選擇功能的專家系統,允許受訓者建立適合自己的個性化教學計劃和實施方案,確保受訓者完成培訓任務后勝任安全管理的崗位需要。可以建立智能教學計劃生成系統,系統對每位受訓者進行知識和技能測試,按照教學目標,根據測試結果,將該學員沒有掌握或掌握不夠的知識內容和技能形成列表,從知識體系中搜尋相關知識和技能的概念、理論、技術和操作技能,形成該受訓者個性化的教學計劃。隨著信息技術的發展和信息安全管理需求的變化,信息安全管理知識體系應該是動態更新的,剔除修改陳舊的,充實替換實用的。
2.搭建開放、共享和交流的網絡平臺
網絡平臺是信息資源共享的基礎,是交流互動的基礎。按照學科專業建設與管理規范建設知識體系,以數字化形式在互聯網,實現信息安全管理教育資源共享。作為資源共享平臺的網絡平臺,不僅為建設者資源共享提供平臺,而且可以為學習者提供資源上傳服務,成為學習者之間相互交流資源的共享平臺,更為信息資源積累提供了很好的機制和存儲條件。網絡具有兩個特點,一是允許網絡用戶365天24小時使用,可以提供受訓者隨時學習和訓練,二是允許網絡用戶在任何有信息覆蓋的地方登錄,可以提供受訓者隨地學習和訓練,這兩個特點打破了傳統教學時空的限制,為學員自主學習、教師開放教學、師生互動交流提供了可能,也為實施現代教育思想提供了條件。
3.建立虛擬講堂
優秀教師的講授可以將學習效果演繹得趣味精彩,可以將學習內容組織得明白易懂,可以將現實運用解析得透徹自然。為更多學員獲得完美的教學體驗,為積累并共享優秀教學資源,為學員快捷準確全面理解知識運用知識提供幫助,記錄、整理并優秀教師或專家授課錄像,供更多受訓者學習參考。教學錄像在網上成為虛擬講堂,成為不同專業不同時期受訓者良好的教學資源,目前全球風行的慕課,可以成為這種培訓目的的教學模式,成本低,效益好。因為技術層面的因素,信息安全管理知識體系在理論基礎和原理解釋有大量不易理解的知識點和疑難問題,學習時需要佐證的理論和嚴謹的邏輯,需要傳授者環環相扣的謹密推演,因此針對重要知識點和疑難雜診的講授片段是受訓者自主式學習時需要的重要教學參考資料。各個大學基本都建設了網絡課堂,為虛擬講堂建設提供了很好的技術平臺。依據此平臺,建設信息安全管理和教學資源和網絡課程,可以構筑完整的知識體系,為培訓教育自主式學習提供了很好的學習資源。
4.建設信息安全管理實驗室
培訓教育能力訓練是教學環節中的主要部分,驗證理論、觀摩操作方法和訓練技能需要包括場所、設備和軟件等實驗條件,實驗室是完成實驗任務和檢驗方法效果必須具備的教學條件。理論、方法和技能的實驗和訓練是信息安全管理培訓需要完成的教學環節,這些需要信息安全專業實驗室的支持。信息技術具有可設計、可復制、可重用的特點,使得基于信息技術的教育訓練條件具備降低訓練費用、提高學員學習自主性、提供學員反復學習等長處,結合音頻處理技術、視頻處理技術、三維動畫技術,可以為學員學習提供強烈逼真的感官刺激、美輪美奐的藝術表現和自主操控的虛幻體驗。從訓練目的而言,實驗室可以分為虛擬實驗室和能力訓練場兩部分。
(1)虛擬實驗室。信息安全管理涉及大量技術手段,信息安全技術攻擊和防范具有不可見、不易理解的特點,需要顯而易見、通俗易懂的形象展示。虛擬實驗室是依托信息技術按照實驗室運行規律、要求和任務,以網頁形式在計算機網絡上建立的可以模擬實驗室運行的軟件系統。虛擬實驗室內設信息安全管理所需要的各種理論、方法和技能引擎,可以多維形象地反復演示信息安全管理的理論、方法和技能,可以允許受訓者以第一人稱介入并依據受訓者干預情況展示相應信息安全分析結果,虛擬實驗室可以記錄并考核受訓者實驗過程和成績。
信息安全管理要求范文第2篇
四大因素驅動管理水平提升
經過十多年的建設與發展,中國移動已建成一個覆蓋范圍廣、通信質量高、業務品種豐富、服務水平一流的移動通信網絡。目前,中國移動的網絡規模和客戶規模列全球第一。但近幾年來,中國移動的信息安全管理壓力不斷加大,這是由于以下四個因素:
首先,適應信息安全形勢發展的基本需要。隨著社會環境、產業環境的變化,通信網的重要性日益凸顯,民眾對通信網的依賴程度日益提高,網絡與我們的生產、生活密不可分。與此同時,網絡安全攻擊事件日益增多,網絡攻擊技術越來越多樣化,攻擊的自動化程度也越來越高,信息安全形勢日益嚴峻。作為國有重要骨干企業,中國移動加強信息安全管理,既是實現企業發展戰略目標的需要,也是履行企業社會責任的基本需要。
其次,Y本的市場監管要求。2002年,美國安然、世通等財務欺詐事件之后,美國立法機構出臺了《薩班斯―奧克斯利法案》(以下簡稱《薩班斯法案》)。《薩班斯法案》不僅適用于美國上市公司,也適用于在美國證監會注冊的外國公司。中國移動作為在美國證券交易市場上市的海外公司,也必須遵循《薩班斯法案》相關要求。為了遵從《薩班斯法案》,中國移動制定的內部控制矩陣中,有313個項與信息安全有關。
再次,滿足國內監管部門的監管要求。隨著信息安全形勢的發展,國內監管部門對信息安全管理提出了明確要求。公安部、工業和信息化部、國家保密局和證監會等部委陸續了相關文件對企業信息安全管理提出了要求,如公安部、國家保密局、國家密碼管理局和國務院信息工作辦公室的《信息安全等級保護管理辦法》,公安部的《互聯網安全保護技術措施規定》,工業和信息化部的《通信網絡安全防護管理辦法》,財政部、 證監會、審計署、銀監會和保監會印發的《企業內部控制基本規范》等。
最后,滿足企業自身管理提升的要求。中國移動從提升自身管理的角度出發,建立了較為完整的信息安全管理體系,覆蓋系統建設和運維、業務經營、客戶信息保護等環節。
然而,由于信息安全管理涉及多個業務部門和管理部門,管理復雜度高,工作繁雜,過去難以進行體系化管理、執行難度高成為中國移動信息安全管理工作的突出問題。
五大管理措施保證信息安全
中國移動信息安全管理的總體目標是借鑒國際的先進GRC管理理念,按照PDCA(Plan―Do―Check―Action,計劃―實施―檢查―處理)模式,建立涵蓋合規要求、合規執行、合規檢查、合規評價、合規整改的閉環管理機制;采取相應的技術手段、通過有效的管理措施,保證信息資產免遭威脅,或將威脅帶來的不良后果降到最低;持續改進,實現信息安全管理水平的螺旋式提升,最終維護組織的正常運作和健康發展。具體來說,中國移動主要采取了以下五項措施保證目標的實現。
第一,建立信息安全合規閉環管理機制。中國移動在信息安全管理方面借鑒了GRC管理理念,參考了ISO27001信息安全閉環管理體系的PDCA模型,形成了特有的信息安全合規閉環管理機制。中國移動結合自身的實際情況,將信息安全合規管理工作劃分為合規要求、合規執行、合規檢查、合規評價、合規整改等五個環節。其中,合規要求對應的是計劃(Plan),合規執行對應是實施(Do),合規檢查和合規評價對應的是檢查(Check),合規整改對應的是處理(Action)。這五個環節形成了信息安全合規的閉環管理,借助流程全面貫徹。
第二,進行集中、制度化管理,全面滿足內外部監管需求。中國移動根據外部的《薩班斯法案》、ISO27011信息安全管理最佳實踐、國家信息安全等級保護、通信網安全防護等相關的合規要求,制定了多達200余個安全管理制度和標準,覆蓋系統建設與運維、業務經營、客戶信息保護等環節,涉及多個業務部門和管理部門,涵蓋了安全方針、風險管理、第三方管理、安全事件處理、安全基線等數十個領域。
值得一提的是,由于需要遵從的合規要求較多,部分“規”之間存在內容交叉和要求不一致的情況。如果缺少集中化的管理,會導致日常的制度和標準查詢、獲取和執行都比較困難。為此,中國移動對需要遵從的國際、國內、行業和企業內部的信息安全管理制度、標準進行了梳理,參照國內外標準和最佳實踐,形成了《中國移動信息安全管理制度體系框架》。通過制度體系框架,相關人員可以掌握公司整體的信息安全管理全貌,方便、快速地查找對應的要求,高效地分析出哪些領域可能存在制度缺失,為進一步完善信息安全管理體系提供有力的支持,為合規管理體系的建設提供有用的支撐。
第三,完善合規管理矩陣,將安全合規管理工作具體化。信息安全合規管理的核心是建立信息安全合規管理矩陣。該矩陣是基于對各種信息安全管理制度、規范建立的,是對各種信息安全管理要求的條目化、具體化。中國移動在梳理合規制度和建立合規控制框架的基礎上,首先建立信息安全責任制、客戶信息安全、業務安全和基礎安全等子矩陣,然后逐步豐富、完善子矩陣,最終形成全面的信息安全合規矩陣。合規矩陣包括控制矩陣、檢查矩陣、對應矩陣和資產矩陣。
第四,建立合規檢查規范,實現制度化、規范化管理。為了做好合規檢查,中國移動制定《信息安全監督檢查工作規范》,實現合規檢查制度化、規范化管理。合規檢查分為普查模式和專項檢查兩種模式。
第五,建立評價體系,實現整改工作的閉環管理。中國移動通過實施多維度的合規評價,針對不符合合規要求的檢查點和評價相對較差的環節,開展及時的問題整改工作,通過工單等工作流,以下發、整改、反饋和驗證四步閉環的管理模式,保證在問題發現后,有要求、有人改、有反饋、有驗證,有效落實整改工作。
信息化平臺是不可或缺的支撐
為了有效應對當前在信息安全合規管理方面所面臨的挑戰,中國移動在慧點科技協助下建立了全網集中的信息安全合規管理平臺。中國移動的各省公司都可以登錄該平臺開展合規管理工作。該平臺針對中國信息安全合規管理需求,固化了制度管理、控制落實、安全檢查、合規評價和整改等信息安全管理流程,為合規工作提供了流程化、平臺化的高效工具。
中國移動信息安全合規管理平臺包括制度管理、矩陣管理、執行管理、合規檢查、合規風險評價和整改管理等核心功能模塊,可以有效支撐信息安全合規的全生命周期流程管理。
通過建立以信息安全合規管理矩陣為核心的合規管理體系,全面部署信息安全合規管理平臺,中國移動實現了如下的效果:
第一,提升了信息安全業務管理的統一性、完整性;
第二,提升了集中化自主運營能力,有效提升業務連續性;
信息安全管理要求范文第3篇
【關鍵詞】電力企業信息安全管理;組織管理;失誤因素
1 電力企業信息安全管理中組織管理失誤的分析方法
電力企業信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通過CREAM的應用,可以將失誤事件的外在表現形式稱為失效模式,并且將引起這些失誤事件的直接原因定義為前因。實踐中,前因可分為具體的前因、一般性前因,CREAM分析法是以失效模式作為出發點。首先,通過分析失效模式的一般前因、具體前因,得到失效模式前因表,在表中選定一個前因作為后果,然后分析引起這一后果的可能前因,最終得到包含這一后果、可能的前因追溯表;再以該可能前因為后果,分析可能的前因,通過連續不斷的尋找,最終找到引起事件失誤的根本原因。
2 在電力電力企業信息組織管理過程中,開展多項管控措施、分三步走
第一步,從思想上加強重視。實踐中,應當認真學習貫徹違規外聯、外網郵箱發送的要求,嚴格按照“業務工作誰主管,保密工作誰負責”以及“統一領導、分級負責”的原則,將信息安全保密職責有效地落實到人,讓每個員工熟悉、掌握保密工作的基本要求和規范。
第二步,深入檢查,全面整改。實踐中,應當嚴格按照檢查內容檢查,一定不能留死角、搞形式。在檢查中發現的問題,要立即糾正,認真整改,對存在嚴重問題的單位要監督整改,并組織復查;發生泄密、違規問題時,一定要嚴肅查處,必要時還要追究責任人的責任。
第三步,嚴格管理,務求實效。要進一步落實保密工作責任制,堅持標本兼治、系統治理,把檢查活動與日常保密工作安排結合起來,邊檢查邊整改,以查促管、以查促改、以查促教、以查促防,確保檢查取得實效。
3 電力企業信息系統安全管理的必要性
電力企業信息系統安全管理,是企業在一定范圍內建立起來的信息安全目標和方針,并通過努力完成目標。對于電力企業信息安全管理而言,可表示為方法、目的、基本原則和實施過程等要素集合,作為直接的信息安全管理結果。2014年8月,某技術質管部專責高某通過電子郵箱將創新成果--《電力設計企業基于桌面云技術的信息》以附件形式經壓縮、更名后在沒有經過加密的情況下,發送到某部門專家評審組;由于附件內容出現“保密”等敏感詞,該郵件被公司外網郵件攔截系統攔截。經現場查實,郵件均不涉商業秘密,但違反了“工作郵件只限于公司內網郵箱發送”規定。由此可見,電力企業信息系統安全管理工作非常重要,也非常有必要。通常情況下,電力企業信息安全管理工作主要包括制定信息安全管理的策略,合理、科學的對電力企業信息安全工作進行組織管理,具有非常重要的作用。電力企業應當提高全體員工的信息安全意識,加強電力電力企業信息內外網安全管理。第一,內、外網電腦都必須安裝三種軟件,即北信源、天以及趨勢殺毒。軟件有內、外網版本之別,而且客戶端也不同;第二,遵守專機、專網之規定,內網電腦不能與外網相連接,外網電腦不能連接內網,家用電腦不能接入內網使用,尤其是來歷不明、使用背景不明的電腦,一律禁止接入內網系統。
4 電力企業信息安全管理中組織管理常見失誤
近年來,隨著市場經濟體制改革的不斷深化,雖然電力企業信息安全管理水平有了很大程度的提升,但電力企業信息安全管理過程中依然存在著一些問題與不足,總結之,主要表現在以下幾個方面:
第一,信息安全措施和技術手段不成熟。對于大多數企業而言,在信息系統建設過程中欠缺完善的安全手段和措施,嚴重影響了安全措施的制定與執行。
第二,電力企業信息安全風險控制不到位。實踐中可以看到,很多企業在信息化規劃與建設過程中,對信息安全的前期分析比較欠缺,將分析對象主要集中在技術層面研究上,很難有效解決企業安全信息系統操作失誤、缺陷與不足等安全問題。
第三,信息安全意識不強,缺乏有效的安全管理機制。對于部分企業領導層而言,對信息安全的重視不夠,對潛在的各種風險和安全隱患問題分析不到位。
5 電力企業信息安全管理體現構建的有效策略
基于以上對當前企業安全管理中的問題分析,筆者認為要想減少和控制電力企業信息安全管理中組織管理失誤現象, 應當根據企業實際生產運營狀況,以IS027001信息安全管理體系標準為基礎,從組織、技術、管理以及運行和監督這等方面入手,對現有的信息安全管理架構進行改進和完善,增加運行、監督環節。
5.1 提高對電力企業信息安全的認知度
針對企業員工對信息安全知識掌握不足的現狀和問題,通過宣傳、教育和培訓等方法,提高企業全體員工對信息安全的認知度。首先,加強信息安全宣傳教育。電力企業信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性,了解信息安全管理目標,以此來提高企業員工的信息安全管理意識。
5.2 建立健全信息安全審計機制
內部審計是對電力企業信息安全管理體系建設與實施情況的評價,定期組織審計活動,以此來促進安全管理體系的改進與完善。企業的信息安全政策、規范制度是信息安全管理工作得以有效開展的重要依據,因此審計工作的主要內容是檢驗信息安全標準的符合性、執行情況。在審計過程中,主要包括如下內容,即檢驗是否按照要求制定規章制度、執行細則;檢驗員工對的規章制度執行狀況,對審計結果的整改落實情況進行核查;同時,還要對信息安全控制措施的應用效果進行全面檢查,確保評估的有效性。
5.3 建立和完善信息安全風險管理制度
信息安全風險,即威脅利用系統弱點對相關信息資產造成破壞、損失的可能性,信息系統安全與否,主要取決于其風險是否己在現有措施條件下實現了最小化,而非絕對沒有風險。
信息安全管理要求范文第4篇
關鍵詞:信息化;信息安全;安全管理
1企業信息安全現狀
近幾年,隨著行業信息化建設逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產經營決策管理和MES生產制造執行等系統相繼投入使用,與生產經營息息相關的關鍵業務對信息系統的依賴程度越來越高,企業也逐步認識到信息安全的重要性,企業員工的安全意識也都得到逐步提高。行業也相繼出臺了煙草行業信息安全保障體系建設指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進企業的信息安全水平得到了進一步提高。由于企業信息安全意識不斷提高,企業不斷加大信息安全方面的投入,如建立標準化的機房、購買與部署各類信息安全軟件和設備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網絡等也隨著計算機技術的發展不斷更新,攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊,也要應對來自于企業內部的信息安全威脅,安全形勢不容樂觀。企業的信息安全已不僅僅是技術問題,還需要借助管理手段來保障。企業如果不能正確樹立信息風險導向意識,一味注重“技術”的作用,忽略“管理”的重要性,就很難發揮信息安全技術的作用,無法把企業的各項信息安全措施落到實處,企業的信息安全也就無從談起。只有切實發揮管理作用,企業的信息安全才能得到有效保障。
2企業信息安全體系架構
在談到信息安全時,大多數剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業的信息安全體系架構。2.1信息。對企業來說,信息是一種無形資產,具有一定商業價值,以電子、影像、話語等多種形式存在,必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產損失。2.3企業信息安全體系架構。在保障企業信息安全過程中,信息安全技術是保障信息安全的重要手段。通過上文對企業信息安全現狀的分析,不難看出企業信息安全體系主要分為技術、管理兩個重要體系,進一步細分則涉及安全運維方面。2.3.1信息安全技術體系作用。主要是指通過部署信息安全產品,合理制定安全策略,實現防止信息泄露、被篡改、被損壞等安全目標。信息安全產品主要是指實現信息安全的工具平臺,如防火墻類產品、防攻擊類產品、殺毒軟件類產品和密碼類產品等,而信息安全技術則是指實現信息安全產品的技術基礎。2.3.2信息安全管理體系作用。完善信息安全組織機構、制度,細化職責分工,制定執行標準,確保日常管理、檢查等制度有效執行,最大程度發揮信息安全技術體系作用,確保信息安全相關保護措施有效執行。通過上文簡單介紹,對信息安全以及信息安全系統有了大概了解。可以看出單純借助技術或管理無法保障企業信息安全,因此,建立企業信息安全管理體系的重要性也就不言而喻。
3信息安全管理體系概念
3.1信息安全管理。運用技術、管理手段,做好信息安全工作整體規劃、組織、協調與控制,確保實現信息安全目標。3.2管理體系。體系是指相互關聯和相互作用的一組要素,而管理體系則是建立方針和目標并實現這些目標的體系。3.3信息安全管理體系(ISMS)。在一定組織范圍內建立、完成信息安全方針和目標,采取或運用方法的體系。作為管理活動最終結果,包含方針、原則、目標、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業總管理體系的一個子體系,目的是建立、實施、運行、監視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構。明確職責分工,確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉所需的資金、設備與人員等。
4信息安全管理體系機構設置以及作用
在建立企業的信息安全管理體系之前,如果沒有設置相應的信息安全組織機構,那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業的信息安全制度和策略也就無法貫徹落實,企業的信息安全管理體系就形同虛設起不到任何作用。因此,企業在建立信息安全管理體系前必須建立健全信息安全組織機構,機構設置可以根據職責分為三個層次。4.1信息安全決策機構。信息安全決策機構處于安全組織機構的第一個層次,是本單位信息安全工作的最高管理機構。應以單位主要領導負責,對信息安全規劃、信息安全策略和信息安全建設方案等進行審批,并為企業信息安全工作提供各類必要資源。4.2管理機構。處于安全組織機構的第二個層次,在決策機構的領導下,主要負責企業日常信息安全的管理、監督以及安全教育與培訓等工作,此類工作大部分都由企業的信息化部門承擔。4.3執行機構。處于信息安全組織機構的第三個層次,在管理機構的領導下,負責保證信息安全技術體系的有效運行及日常維護,通過具體技術手段落實安全策略,消除安全風險,以及發生安全事件后的具體響應和處理,執行機構人員可以由信息中心技術人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:2005標準的“建立ISMS”章節中,已明確了信息安全管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況,遵照這些內容和步驟,建立自己的信息安全管理體系,并形成相應的體系文件。5.1建立的步驟。(1)結合企業實際,明確體系邊界與范圍,并編制體系范圍文件。(2)明確體系策略,構建目標框架、風險評價的準則等,形成方針文件。(3)確定風險評估方法。(4)識別信息安全風險,主要包括信息安全資產、責任、威脅以及造成的后果等。(5)進行安全風險分析評價,編制評估報告,確定信息安全資產保護清單。(6)明確安全保護措施,編制風險處理計劃。(7)制定工作目標、措施。(8)管理者審核、批準所有殘余風險。(9)經管理層授權實施和運行安全體系。(10)準備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素,必須與ISO/IEC27001:2005標準保持一致,同時也要結合企業實際,確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和信息安全需要。在實際工作中,企業員工應按照文件要求嚴格執行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網絡、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環節,結果常以“記錄”形式出現;記錄類主要是記錄程序文件結果,常以是表格形式出現。至于適用性聲明文件,企業應結合自身情況,參照ISO/IEC27001:2005標準的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內部審核、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業可以針對自身業務、管理與信息系統等情況,制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關法律法規、ISO/IEC27001:2005標準以及企業實際要求,保證與企業其他體系文件協調一致,避免沖突,同時在文字描述準確且無二義。
6體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應急處理等。
7體系的監視與評審
主要指對照策略、目標與實際運行情況,監控與評審運行狀態,主要涉及有效性評審、控制措施測試驗證、風險評估、內部審核、管理評審等環節,并根據評審結果編制與完善安全計劃。
8體系的保持和改進
主要是依據監視與評審結果,有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等,同時需相關方進行溝通,確保達到預計改進標準。
9結語
信息安全管理要求范文第5篇
【關鍵詞】信息安全;電力企業;防護措施
前言
當前,電力企業在生產運行過程中離不開信息技術的支持,尤其是電力企業在建立了復雜的數據網和信息網后,信息技術的在電力企業中的地位日益提高,同時,信息安全也影響著電力企業的生產經營。
1電力網絡和信息安全管理的主要內容
電力網絡和信息安全管理主要包括三方面的內容:①安全策略;②風險管理;③安全教育。具體淺析如下:
1.1安全策略
信息安全策略根據企業規模、安全需求和業務發展的不同而不同,但是都具有簡單易懂、清晰通俗的特點,由高級管理部門制定并形成書面文字,屬于企業安全的最高方針,廣泛到企業所有員工手中。
1.2風險管理
評估威脅企業信息資產的風險,首先事先假定風險可能會給企業帶來的風險和損失,然后再通過各種手段,如:風險的規避、風險的轉嫁、降低風險和接受風險等多種方法為相關部門提供網絡和信息安全的對策建議。
1.3安全教育
所謂安全教育,就是對直接關聯企業安全生產的人員進行的教育活動,其對象是安全策略執行人員,具體來說就是與安全工作相關的技術人員、管理人員和客戶,并對其進行安全培訓,讓其了解和掌握信息安全對策。安全管理是企業管理的重要內容,必須引起企業領導層的高度重視,切實將安全相關教育納入到企業文化的組成中,確保信息安全管理的有效執行。
2電力企業信息化發展的特征
隨著我國電力企業信息化的發展,與其他企業相比,在網絡信息安全方面具有以下優勢特征。
2.1信息化基礎設施完善
經過多年的發展,電力企業的信息化建設與其他行業的信息化建設水平相比,具有明顯的比較優勢,進程相對領先,各個部門工作中計算機的使用率為100%,電力企業局域網覆蓋率90%以上。
2.2營銷管理系統廣泛應用
電力企業的營銷管理系統經過多年的研究探索已基本建成,實現了用電管理信息化、業務受理計算機化,并建立了相應的客戶服務中心。
2.3生產、調度自動化系統應用熟練
電力企業信息化建設的重點是提高電網運行質量和電力調度的自動化水平,現階段,從電力企業發展的自動化水平上來看,其生產已基本達到國際先進水平。
2.4管理信息系統的建設逐步推進
電力企業積極建設管理信息系統,開發了設備、生產、電力負荷、安全監督、營銷管理等信息系統,并將企業信息化建設放到重要位置,利用信息化推動企業現代化發展。
3電力企業網絡和信息安全管理中存在的問題
電力企業網絡和信息安全管理雖然具有以上優勢特征,但同樣還是存在一定的問題,具體如下:
3.1信息化機構建設不完善
部分電力企業還未設置專門的信息部門,信息科室有的在科技部門下,有的在綜合部門下,缺乏規范的制度與崗位設置,這種情況下,勢必會影響到網絡和信息安全的管理工作。
3.2網絡信息安全管理未成為企業文化的一部分
電力網絡信息貫穿于生產的全過程,涉及到電力生產的各層面,但是仍然處于從屬地,沒有納入電力企業安全文化建設中,進而影響到安全管理的實施力度。
3.3企業管理革新跟不上信息化發展的步伐
電力企業管理革新與信息技術的發展與應用相比還較為滯后,企業不能及時的引入先進的管理與業務系統,導致企業信息系統不能發揮預期的作用。
3.4網絡信息安全存在風險
電力企業網絡信息安全與一般企業網絡信息相比,有共同點,也有自自身的特殊性,實踐中必須認真分析研究,具體表現為:①網絡的結構不夠合理,電力網絡建設要求,網絡建設要區分外網和內網,且內外部網絡要保持物理隔離,但是部分電力企業的核心交換機選擇不合理,導致在網絡中所有網絡用戶的地位是平等的,因而很容易出現安全問題。②企業內部風險,由于企業內部網絡管理人員對于企業的網絡信息結構與系統應用十分熟悉,一旦泄漏重要信息,就會帶來致命的信息安全威脅。③現階段互聯網使用存在的風險,目前很多電力企業的網絡已經與互聯網發生了關系,一些客戶甚至可以直接訪問電力系統的網絡資源,在提供方便之門的同時也要高度關注其可能帶來的信息安全和計算軟硬件安全風險。④網絡管理專業技術人員帶來的風險,主要是網絡管理人員的素質風險,現階段電力企業的網絡建設還存在重建輕管,重技輕管的問題。出現了諸如專業技術人員綜合素質不高,一些安全管理制度不健全、落實不夠有力、安全意識不強、管理員配備不當等威脅到電力企業網絡信息安全性的問題。⑤計算機病毒侵害,計算機病毒的擴散速度快,網絡一旦感染病毒,整個電力網絡系統就會處于崩潰的狀況。⑥系統出現的安全風險,這方面主要指操作系統、數據庫系統以及內部各種應用軟件系統等存在的風險,這些系統很容易導致外界的攻擊,一些黑客采取專業手段可以很輕易獲取管理員權限,實施拒絕服務攻擊。
4電力企業網絡和信息安全管理對策
4.1建立健全網絡和信息安全管理組織架構
網絡和信息安全管理實行統一領導、分級管理原則,企業的決策層組成領導小組,由企業各部門的管理者作為安全小組的管理層。網絡和信息安全管理實行專業化管理,包含信息安全規劃、信息安全監督審計、信息安全運行保障等職能小組。
4.2構建網絡和信息安全管理體系框架
在網絡信息安全模型與電力信息化的基礎上,科學構建網絡和信息安全管理體系框架,主要區分信息安全策略、安全運行、安全管理、安全技術措施四個模塊,
4.3建立網絡信息安全防護對策,合理劃分安全域
網絡信息安全防護實行雙網雙機管理,分為信息內網和信息外網,內外網采用獨立的服務器及桌面終端,通過邏輯強隔離裝置隔離內外網。按照業務類型進行安全區域劃分為邊界、網絡、主機、應用四個層次,實現不同區域防護的差異化及獨立性。對于網絡安全的核心區域必須實施重點安全防范,比如該區域的服務器、重要數據、數據庫服務器,一般用戶無法直接訪問,安全級別高。電力企業內部計算機和網絡技術的應用,劃分為管理信息區和生產控制區,建立電力調度數據網專用網絡,采用不同強度的安全設備隔離各安全區,數據的遠方安全傳輸采取加密、認證、訪問控制等技術手段,實現縱向邊界的整體安全防護。
4.4網絡信息安全管理制度建設
為確保電力企業網絡信息安全,必須做好網絡信息安全管理制度建設,具體要做好以下幾個方面的內容:①建立計算機資產管理制度、網絡使用管理制度、健全變更管理制度,對資產進行標識和管理,執行密碼使用管理制度。②實施信息的安全分級保護舉措,依據國家相關規定,開展網絡信息系統審批、定級、備案工作,嚴格執行等級保護制度,嚴格保密核心程序和數據。③做好網絡信息安全運行保障管理,對信息系統設備實行規范化管理,及時升級防病毒軟件,嚴格系統變更,及時報告信息系統事故情況,分析原因并落實整改。④建立病毒防護體系,安裝的防病毒軟件必須具有遠程安裝、遠程報警、集中管理等多種功能,不可將來歷不明或是隨意從互聯網上下載的數據在聯網計算機上使用,一旦發現病毒的存在,員工應熟練掌握發現病毒后的處置辦法。
4.5信息安全技術保障舉措
為切實有效的落實信息安全防護要求,必須根據信息安全等級防護制度落實好“分級、分區、分域”的防護策略,從而更有效的落實信息安全防護預案,根據信息系統定級水平,實施強邏輯隔離措施,做好安全區域的隔離和劃分工作。
4.6規范企業人員的管理
規范人員管理首要的是用制度管好人:①企業高層應以身作則,這樣員工才可以遵循信息安全管理的要求,由于高層掌握著企業更多的信息資源,密級也高,一旦出現泄漏,會給企業帶來更大的損失。②對于關鍵崗位人員管理要尤其重視,比如:開發源代碼人員,直接接觸商業機密的人員,從事信息安全管理的人員,需要進行嚴格管理,定期檢查,避免出現“堡壘從內部突破”的機會。③對于離職人員這個群體也不可忽視,必須做好離職人員信息安全審計工作,離職前,必須要求其變更其訪問權限,與接手人員一起清點和交接好信息資產,避免信息泄漏事件的發生。④加強與供應商和合作伙伴信息安全的管理,在日常的交流中嚴格遵守規定,不得隨意公開和透露相關信息。
4.7做好對企業信息資產管理分析
依據信息資產價值,實現根據載體性質不同、形式不同、來源不同做好資產的識別,提高企業勞動生產率,強化信息資產觀念,樹立企業良好形象。全面、系統、科學的管理信息資產,完善資產管理手段。利用信息資產資源使生產力要素保值增值,推動信息資產共享共建,實現實現外源信息資產的再增值,信息資產的再創新。4.8建立信息安全應急保障機制有風險的地方就要有應急預案,對于電力企業網絡信息安全尤其應該如此,要不斷健全電力企業信息安全預案,確保設備、人力、技術等應急保障資源切實可用,要加強系統的容災建設,建立恢復和備份管理制度,妥善保存相關的備份記錄。
5結束語
電力網絡信息安全與企業的生產經營管理密切相關,電力企業網絡信息安全涉及到技術與管理,無論是硬件還是軟件出現問題都會威脅到整個網絡系統,電力企業網絡信息安全管理涉及到人、硬件設備、軟件、數據等多個環節,所以其必須著眼整個電力企業的網絡信息系統加強頂層建設,實施統一規劃,搞好統籌兼顧,建立一套完整的信息安全管理體系,切實做好安全防范工作,解決電力企業信息安全管理問題,才能確保電力信息系統安全、穩定、可靠、高效地運行,有效避免安全問題的存在,保證電力企業的正常生產經營。
參考文獻
[1]何雋文.電力企業網絡和信息安全管理策略思考[J].中國高新技術企業,2016,28.
[2]郭建,顧志強.電力企業信息安全現狀分析及管理對策[J].信息技術,2013,01.
[3]牛斐.電力企業網絡信息安全的防范措施[J].科技傳播,2012,16.
[4]吳青.淺析網絡信息安全管理在電力企業中的應用[J].中國新通信,2013,23.
[5]向繼東,黃天戊,孫東.電力企業信息網絡安全管理[J].電力系統自動化,2003,15.
