時間:2023-10-10 10:36:02
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇信息安全管理要求,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
國家、省市已經頒布各種法律法規,各大單位也根據自己的具體情況,建立了自己的規章制度,維護信息安全已經有法可依。但是信息安全管理工作涉及的知識面非常廣,需要了解國家信息安全管理法規,需要學習信息技術一般理論,需要知道信息安全漏洞知識,需要明白信息安全禁令范疇。為提高學習效率和質量,全面掌握信息安全理論和方法,按照信息安全管理知識體系,建設信息安全管理教學系統,提供學習信息安全管理的教學條件,從而為各方面人員學習和執行各種規章制度提供依據。相比其他管理工作,信息安全管理工作需要比較多的理工專業基礎和比較高的電腦技術要求,在實際的信息安全管理工作中,需要靈活的信息安全管理處置能力,更多的是判斷信息安全問題、識別信息安全陷阱、規范信息安全管理。由于知識背景和工作性質特點,管理干部需要花費更多的時間和精力學習信息安全管理知識和技術,才能具備基本的信息安全防范技能。為幫助他們更好地獨立處置信息安全管理問題,掌握發現問題解決問題技能,依據現代教育理念和方法,不僅需要提供深入淺出、知識完備的知識體系學習訓練系統,而且需要信息安全管理能力訓練系統。
二、信息安全管理培訓思路
為滿足信息安全管理工作在人員培訓方面的需要,需要依托各級培訓學校,按照國家和省市地方的制度法規,借助現代教育思想,借助現代教育技術,明確符合實際需要的功能定位,建設信息安全管理復合應用型人才培訓體系,實現信息安全管理工作對培訓教育、終身教育的培訓要求。
1.培訓依據
(1)依據各種信息安全管理制度法規。信息安全人員在履行工作職責的時候,必須按照各種信息安全管理法規、制度和要求實施,制訂人才培養方案和教學計劃必須依據國家、省市和本部門的信息安全管理的相關規定,這樣的教學內容才能保證人才培養的針對性和實用性,保證管理干部履行信息安全管理職責的有效性。涉及信息安全制度法規的相關文件很多,有的是專門為信息安全制訂的,有的制度和法規散落在各個業務管理制度中。在建設信息安全管理知識體系時,必須將業務部門的相關規定融入知識體系中,使得管理干部在處理具體業務中的信息安全管理工作具有針對性和有效性。
(2)符合培訓教育特點規律。信息安全管理技能是從事管理工作人員的基本技能,屬于崗位專業培訓或專業技能培訓,屬于培訓教育培訓。受訓人員專業背景不同,理論基礎不同,學習能力不同,必須避免材、統一授課、統一訓練、和統一考核的傳統教學模式,采取因人而異、因材施教的有針對性的教學方式,強調個性化學習,將不同層次受訓者的信息安全管理能力達到信息安全管理工作所需要的水平上來。
(3)遵循現代教育思想。在實施教育訓練過程中,現代教育思想要求采取“學為主體、教為主導”的教學理念,學員能夠方便地獲得完整的知識體系和解決問題的技能和方法,自主學習,開放學習,自主理解、掌握知識和技能。為實現教學目的,需要分析信息安全管理技能特點,需要分析管理干部學習動力,結合教學目標,設計學員學習和訓練的教育訓練環境,提供完整的知識體系、豐富的教學資源、模擬的問題情況、交互的學習平臺和方便的使用途徑,提供與培訓教育特點規律和技能訓練要求相適應的培訓條件。
2.信息安全管理培訓目標
按照信息安全管理工作的實際情況,培養信息安全管理工作中管理、業務和技術三支人才隊伍,突出業務和管理人才需要,兼顧信息安全技術人員的人才培養,以現代教育思想為指導,以信息技術為核心支持技術,建設滿足信息安全人才培養的現代培訓條件。信息安全管理培訓以管理干部為培訓對象,以信息安全管理工作為培訓內容,區分信息安全管理人員、業務干部和信息技術專門人員等不同層次,跟蹤信息安全管理形勢,實行階段反復輪訓,以適應信息安全管理不斷發展的需要,確保信息安全管理工作的正常開展。
三、信息安全管理培訓環境構建
為適應信息安全管理培訓需要,適應管理干部培訓教育需要,必須構建遵循信息安全管理規定、符合現代教育思想、依托信息技術手段、瞄準復合型適用人才培養的教育環境。信息安全管理培訓條件涉及面很廣,包括組織機構、舍堂館所、師資隊伍、后勤保障等等,這里我們更關心符合培訓思路的培訓模式和教學支持。從知識體系、學習途徑、訓練場所和訓練系統多方面著手,構建信息安全管理訓練體系,構建管理人員信息安全人才培養條件。依據教育信息化研究成果和培訓教育教學特點,需要建立完整的信息安全管理知識體系,建立開放式、自主式教育網絡平臺,建立強時效性的教學資源體系,建立信息安全管理知識測試系統,建立信息安全管理能力訓練系統,等等。
1.構建信息安全管理知識體系
培訓教育的一個特點就是受訓對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系,以滿足不同基礎、不同需求受訓者對知識掌握和能力訓練的要求。知識體系必須建立覆蓋學科知識和管理手段的所有內容,包括理論體系和教學資源兩部分,其中理論體系包括基礎知識、安全理論、規范制度、管理方法、歷史沿革、防范手段和操作方法,教學資源包括現狀分析、經典案例、技術講解、訓練題庫和數據模型,適應和滿足每個受訓對象的需求。為滿足個性化服務需要,可以按照知識點建設模塊化框架結構,設計具備菜單選擇功能的專家系統,允許受訓者建立適合自己的個性化教學計劃和實施方案,確保受訓者完成培訓任務后勝任安全管理的崗位需要。可以建立智能教學計劃生成系統,系統對每位受訓者進行知識和技能測試,按照教學目標,根據測試結果,將該學員沒有掌握或掌握不夠的知識內容和技能形成列表,從知識體系中搜尋相關知識和技能的概念、理論、技術和操作技能,形成該受訓者個性化的教學計劃。隨著信息技術的發展和信息安全管理需求的變化,信息安全管理知識體系應該是動態更新的,剔除修改陳舊的,充實替換實用的。
2.搭建開放、共享和交流的網絡平臺
網絡平臺是信息資源共享的基礎,是交流互動的基礎。按照學科專業建設與管理規范建設知識體系,以數字化形式在互聯網,實現信息安全管理教育資源共享。作為資源共享平臺的網絡平臺,不僅為建設者資源共享提供平臺,而且可以為學習者提供資源上傳服務,成為學習者之間相互交流資源的共享平臺,更為信息資源積累提供了很好的機制和存儲條件。網絡具有兩個特點,一是允許網絡用戶365天24小時使用,可以提供受訓者隨時學習和訓練,二是允許網絡用戶在任何有信息覆蓋的地方登錄,可以提供受訓者隨地學習和訓練,這兩個特點打破了傳統教學時空的限制,為學員自主學習、教師開放教學、師生互動交流提供了可能,也為實施現代教育思想提供了條件。
3.建立虛擬講堂
優秀教師的講授可以將學習效果演繹得趣味精彩,可以將學習內容組織得明白易懂,可以將現實運用解析得透徹自然。為更多學員獲得完美的教學體驗,為積累并共享優秀教學資源,為學員快捷準確全面理解知識運用知識提供幫助,記錄、整理并優秀教師或專家授課錄像,供更多受訓者學習參考。教學錄像在網上成為虛擬講堂,成為不同專業不同時期受訓者良好的教學資源,目前全球風行的慕課,可以成為這種培訓目的的教學模式,成本低,效益好。因為技術層面的因素,信息安全管理知識體系在理論基礎和原理解釋有大量不易理解的知識點和疑難問題,學習時需要佐證的理論和嚴謹的邏輯,需要傳授者環環相扣的謹密推演,因此針對重要知識點和疑難雜診的講授片段是受訓者自主式學習時需要的重要教學參考資料。各個大學基本都建設了網絡課堂,為虛擬講堂建設提供了很好的技術平臺。依據此平臺,建設信息安全管理和教學資源和網絡課程,可以構筑完整的知識體系,為培訓教育自主式學習提供了很好的學習資源。
4.建設信息安全管理實驗室
培訓教育能力訓練是教學環節中的主要部分,驗證理論、觀摩操作方法和訓練技能需要包括場所、設備和軟件等實驗條件,實驗室是完成實驗任務和檢驗方法效果必須具備的教學條件。理論、方法和技能的實驗和訓練是信息安全管理培訓需要完成的教學環節,這些需要信息安全專業實驗室的支持。信息技術具有可設計、可復制、可重用的特點,使得基于信息技術的教育訓練條件具備降低訓練費用、提高學員學習自主性、提供學員反復學習等長處,結合音頻處理技術、視頻處理技術、三維動畫技術,可以為學員學習提供強烈逼真的感官刺激、美輪美奐的藝術表現和自主操控的虛幻體驗。從訓練目的而言,實驗室可以分為虛擬實驗室和能力訓練場兩部分。
(1)虛擬實驗室。信息安全管理涉及大量技術手段,信息安全技術攻擊和防范具有不可見、不易理解的特點,需要顯而易見、通俗易懂的形象展示。虛擬實驗室是依托信息技術按照實驗室運行規律、要求和任務,以網頁形式在計算機網絡上建立的可以模擬實驗室運行的軟件系統。虛擬實驗室內設信息安全管理所需要的各種理論、方法和技能引擎,可以多維形象地反復演示信息安全管理的理論、方法和技能,可以允許受訓者以第一人稱介入并依據受訓者干預情況展示相應信息安全分析結果,虛擬實驗室可以記錄并考核受訓者實驗過程和成績。
(一)基層央行的信息安全工作的內容
央行作為國家政府和大眾認可的組織機構有著其他任何銀行不具有的功能,央行調控其他社會上各個銀行的借貸比例,調控市場上的資金數量,而且具有發行資金貨幣的功能,為保證其他銀行的正常運營和管理,所有銀行都需要向中央銀行定期繳納存款保證金,在其他各個銀行發生資金危機時候可以向央行借貸資金。基層央行是央行在各個地方的分支機構,具有執行和監管央行工作實施情況的基本功能。
(二)基層央行的信息安全管理工作開展的意義
在日常的生活和工作過程中,并不是人人都是理財管理專家,社會大眾對于勞動得到的財富的管理和控制遠遠不夠,在這樣的情況下銀行就成為人們儲存各種財富資金的主要地方。大眾把自己的資金存入銀行,銀行擁有這些資金可以用于社會生產制造,為大眾和社會發展創造收益,銀行定期向大眾返還利息,因此,銀行的信息安全管理工作也是大眾最關心的問題。基層央行作為信息安全管理的基層支持者,信息安全管理工作的效率決定了社會大眾的財產安全,同時也決定了社會財務的安全,這對于社會發展和社會財務的管理有著重要的意義,尤其是社會財富的安全,基層央行必須要保證信息的安全,銀行的工作人員要遵守自己的職業規定和職業道德,不泄露他人的銀行信息和資金信息。做好信息安全工作對于維持社會穩定,保證社會財富的安全性,提高社會管理職能和效率都有非常重要的實際價值和意義。
二、基層央行信息安全管理工作存在的問題
基層央行的信息安全管理工作的效率和成果一直是社會和政府關注的重點,也是大眾最關注的銀行管理問題。盡管隨著科學技術的發展和進步,基層央行的信息安全管理的技術和方法都已經得到了相當大的改善,但是不可否認的是,在這個過程中基層央行的信息安全管理工作仍然還存在著很多的問題,這些問題的存在給基層央行的信息安全管理帶來了一定的影響,同時也給大眾的資金、財產安全帶來了威脅,以下主要針對基層央行信息安全管理存在的問題展開詳細的分析和研究。
(一)基層央行信息安全管理工作人員的信息安全管理意識有待提高
基層央行的信息安全管理的工作人員是保證基層央行所有信息安全最直接的工作人員,所有的信息安全管理工作都必須要由他們來掌控,但是結合當下的實際基層央行的信息安全管理工作現狀可以看出,基層央行的信息安全管理工作人員在銀行信息管理和信息安全方面沒有認真端正自己的思想,管理意識不夠強,在實際的工作中并沒有采取應有的嚴謹工作態度,實際上這主要是由于銀行的管理疏忽造成的。如果銀行能夠加強對這些信息安全管理工作人員的監管力度,提升他們的工作能力和個人素質,這樣的問題就可以避免,但是如果基層央行在管理過程中意識不到這個問題的嚴重性,這些信息安全管理的工作人員就很有可能會由于自身的原因導致銀行的安全信息泄露,給銀行和銀行客戶的安全造成嚴重的后果。
(二)基層央行的信息安全管理配備的科學技術人員不夠科學、合理
實際上基層央行的信息安全管理需要的不僅僅是人工操作,更需要的是科學技術人員的配合,因為在實際的基層央行信息安全管理過程中需要用到很多的電子設備,大多數銀行以及客戶信息都需要通過這些設備智能化地存儲和記憶,因此這些設備的研發和操作人員就是整個基層央行信息安全管理工作的核心,這些技術人員的分配以及工作效率都會影響到實際的基層央行信息安全管理工作的開展效率。從目前的基層央行信息安全管理工作現狀可以看出,在實際的安全管理過程中存在的兩個比較嚴重的問題:一是基層央行這樣的科學技術人員非常欠缺,在某種程度上影響了基層央行的信息安全管理工作的順利開展;二是基層央行的信息安全管理的方法和技術不到位,導致了在實際的安全管理操作過程中經常會出現失誤,給基層央行的信息安全管理工作帶來了非常大的影響。
(三)基層央行的信息安全管理制度
不完善管理制度是管理工作開展的基本條件,同時也是央行信息安全管理工作開展的必備條件。在實際的央行管理過程中,嚴格的管理制度是保障基層央行信息安全管理工作正常開展的根本。但是從目前的發展現狀可以清楚地看出,基層央行的信息安全管理制度還不夠完善,這在根本上影響了基層央行的信息安全管理工作的開展。從基本的制度設置和實施方面來說,造成這一問題的主要原因:一是基層央行的管理工作和管理意識不夠達標,最終影響了制度的制定和實施,從而也影響了基層央行的信息安全管理工作的開展;二是制度制定者對于基層央行的信息安全管理工作的內容以及工作的重要性沒有一個科學合理的認識,最終影響了基層央行的安全管理和信息管理。因此制度的完善和執行情況必須要得到相關部門的重視,只有這樣才能使得基層央行的信息安全管理工作效率有所保證。
(四)基層央行的信息安全管理系統應急措施不完善
基層央行的信息安全管理應急系統主要是為了保證在發生突發的央行安全信息泄露或者重大信息安全問題時,及時對這些問題進行處理,挽救過失,并將對社會和大眾的影響和損失降到最低的一個系統。可以說,應急系統是保證央行信息安全管理的最重要系統,但是結合當下的實際情況看,基層央行信息安全管理系統的應急措施并不能滿足實際的需求,而且還有可能會在關鍵時刻失去原有的功能和作用。因此在實際的應用和發展過程中,必須要著重提升其功能和使用效率,使之能夠更好地為央行的信息安全管理工作服務,更好地為保證社會安全和大眾資金安全服務。
(五)對基層央行的信息安全管理的監管不到位
基層央行作為社會和大眾財富的集中地,社會和大眾應對其工作具有較強的監管能力,但是在實際的應用過程中,社會大眾并沒有行使其基本的權力,沒有對基層央行的工作,尤其是基層央行的信息安全管理工作進行監管。社會相關部門盡管對基層央行的工作進行了監管和控制,但是在監管的過程中并沒有按照實際的監管要求對這些基層央行的管理工作內容和執行情況進行監管,并且過于注重形式,沒有實際的工作。因此對基層央行信息安全的管理應是基層央行在未來的工作中必須要解決和完善的地方。
三、提升基層銀行信息安全管理工作效率的方法和措施
通過以上對基層央行信息安全管理過程中存在的問題的分析和討論可以看出,基層央行信息安全管理工作確實存在很多問題,解決這些問題不僅是社會發展的需求,同時也是大眾對于其財產安全管理的需求。以下主要針對提升基層央行的信息安全管理效率的方法和措施展開詳細的分析和研究。
(一)提升基層央行信息安全管理工作人員的安全管理意識
提升基層央行信息安全管理工作人員的安全管理意識需要央行提高自己的管理意識、危機意識和安全意識。基層央行的管理者需要在實際管理工作中做到:嚴格要求基層央行的信息安全管理工作者,使得他們在實際的工作過程中嚴格要求自己,嚴格按照工作要求和工作制度標準開展工作,這樣就可以有效避免由于工作人員的操作失誤給整個基層央行的信息安全管理工作帶來影響;另外就是基層央行在對信息安全管理工作者進行工作考核時必須要按照嚴格的要求,將其對信息安全管理工作的態度以及工作狀況加入到實際的考核中去,這樣不僅可以激勵員工更加積極地對待工作,而且也可以提升工作效率;最重要的就是基層央行在招聘這些信息安全管理工作人員時,應該要提升對這些人員的要求和資格審查,這是從根本上提升基層央行信息安全管理工作安全性和工作效率的最佳措施。總的來說,提升基層央行信息安全管理工作人員的安全管理意識是基層央行在管理過程中的基本需求,同時也是最重要的管理目標之一。
(二)提升基層央行信息安全管理的科學技術人員配備的科學化和合理化
基層央行信息安全管理的科技人員配備的合理化和科學化是保證銀行的各項科學技術工作更好地發展和完善的基礎。最基本的條件之一就是必須要保證這些科學技術人員的配備能夠滿足實際的信息安全管理需要,保證當信息安全管理工作人員需要這些技術人員的配合和幫助時,技術人員能夠以最快的速度達到,對存在的問題進行處理和解決,這是對基層央行技術人員配備的基本要求。
(三)完善基層央行的信息安全管理制度、提升管理制度的執行效率
完善基層央行信息安全管理制度要求基層央行在制度制定過程中,按照實際的信息安全管理需求設定相關制度,并以適合央行實際管理及信息安全,提升央行信息的安全性為基本要求和標準,提升管理制度的執行效率。
(四)提高基層央行的信息安全管理系統的應急處理能力和監管
提高基層央行應對緊急情況的信息安全管理系統問題要求基層央行的員工必須要對自己的工作內容非常熟悉,在發生緊急情況時候能夠及時找到問題產生的原因,并及時采取措施,尤其是在發生惡性的信息泄露和信息安全問題時,能夠及時進行處理。提高基層央行信息安全管理系統應急處理能力要求基層央行定期地對自己的員工進行培訓,使他們能夠對自己的工作流程和工作內容充分地了解,央行也可以通過提升對這些工作人員的要求來達到相應的目標,但是總的來說,提升基層央行信息安全管理系統的應急處理能力是基層央行必須要改善和提升的一個問題。與此同時,加強對基層央行的監管力度對于保證基層央行信息安全管理的規范性和科學性具有非常重要的意義。
四、小結
1信息安全管理系統現狀
信息安全管理系統作為信息安全的支撐體系以及實施信息安全維護的落腳點,是信息安全管理中的重要組成部分。目前我國的信息安全管理系統還尚未完善,其不足之處首先表現為缺少統一的存儲平臺來對眾多的文檔進行儲存,從而導致大量文檔的丟失;其次,如果信息安全管理系統不完善,就不能降低資產等的風險評估以及對資產進行集中式的管理;最后,由于信息安全系統中各個報表功能的不完善,文檔信息就無法快速、準確地透露出信息安全的實際狀況,從而起到有效地保護作用。
信息安全管理系統主要能夠通過對關鍵資產實行定性和定量分析,從而得出資產的精確風險值,識別系統中存在的重要因患資產,并進一步通知信息管理員采取適當地方法來減少隱患事件的發生,通過科學的管理降低企業的資產風險。由此可見,完善的信息安全管理系統是不可或缺的,它一方面決定著信息安全管理體系的具體實施,另一方面也可以促進企業信息安全管理體系的進一步維護與建設。
2信息安全管理系統標準
科學統一的國家信息安全標準,有利于協調與融合各個信息安全管理系統的工作,充分促進信息安全標準系統的功能發揮。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分。
2.1ISO/IEC27000系列標準
1995年,英國標準協會(BSI)了BS7799-1和BS7799-2兩部標準,隨著時代的進步其逐漸發展為ISO/IEC27001和ISO/IEC27002兩個部分,并進一步成為目前信息安全管理體系的主要核心標準。BS7799的最初提出目的主要在于建立起一套能夠用于開發、實施以及測量的科學信息安全管理慣例,并作為一種通用框架來促進貿易伙伴之間的信任。ISO/IEC27001重視ISMS的建構以及在PDCA基礎之上的進一步循環與完善,這一過程實質上就是在宏觀的角度上來指導整個項目的有效實施。它意在風險管理的基礎之上,用風險分析的途徑,把發生信息風險的概率降到最低程度,同時采取適當地措施來保障主體業務的順利進行。ISO/IEC27002主要闡述了133項控制細則,以及11項需要有效控制的項目,其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環境安全、訪問控制、資產管理、系統的開發與維護、業務連續性管理、通信與操作安全等一系列的安全風險評估與控制。
2.2信息安全等級保護
1994年國務院出臺了《中華人民共和國計算機信息系統安全保護條例》,該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進信息化的健康與發展,從而進一步維護國家安全、社會發展以及人民群眾的利益。它的核心標準《GB17859-1999計算機信息系統安全保護等級劃分準則]是在TCSEC的分級保護思想基礎之上,針對我國信息安全的發展實際進行改善,最終把安全等級縮減成更具可操作性的5個級別。《GB/T22239-2008信息系統安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術要求兩類,其中前者主要包括系統建設管理、安全管理制度、系統運維管理、安全管理機構和人員安全管理;后者主要包括應用安全、網絡安全、物理安全、主機安全以及數據安全與備份恢復。此外,信息安全等級保護的系列標準里還包括(〈GB/T20270-2006網絡基礎安全技術要求》以及《GB/T20271-2006信息系統安全通用要求》等一些關于信息安全維護細則的具體操作要求。
3信息安全管理系統的模型設計
根據信息安全管理系統標準,結合以往的信息安全管理系統設計,提出一種新型的四層信息安全管理系統:
第一層是數據庫層:包括日志、資產庫、異常日志以及資產弱點庫和資產風險庫等。該數據庫層的主要功能在于對信息安全管理系統中的數據進行存儲。
第二層為功能模塊層:包括資產管理、風險管理、弱點管理、信息安全管理規范下載管理資產等級評估管理、拓補管理以及日志分析。
第三層為信息采集:主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件。
最后一層為展示層:它包含某個具體業務系統中的業務系統整體安全狀況、資產安全狀況、業務系統拓補以及異常安全事件等相關部分。
上述新型信息安全管理系統模型主要體現出以下六點創新之處:
(1)所設計的風險模塊管理可以把風險評估常態化、主動化,使其對整個業務周期內的所有資產風險進行動態的跟蹤與準確分析;另外,該信息安全系統的日志審計功能也可以實現被動式的安全管理,從而使主動管理與被動管理在信息安全管理系統中充分融合。
(2)業務系統的動態建模和系統支持資產,可以把業務系統和資產二者綁定在一起,由此,整個信息安全系統一方面可以準確地體現出在一個具體業務系統環境下,其單獨資產的具體安全狀況;另一方面該信息安全系統還能夠根據IS027001的具體標準,反應出整個資產所承載的整體業務系統的安全狀況。
(3)該新安全管理系統增加并促進了拓補管理功能的發揮。
(4)該信息安全管理系統模型提供了統一的知識庫管理,能夠對日志、資產庫、異常日志以及資產弱點庫和資產風險庫等部分進行更有效的數據存儲與管理。
四大因素驅動管理水平提升
經過十多年的建設與發展,中國移動已建成一個覆蓋范圍廣、通信質量高、業務品種豐富、服務水平一流的移動通信網絡。目前,中國移動的網絡規模和客戶規模列全球第一。但近幾年來,中國移動的信息安全管理壓力不斷加大,這是由于以下四個因素:
首先,適應信息安全形勢發展的基本需要。隨著社會環境、產業環境的變化,通信網的重要性日益凸顯,民眾對通信網的依賴程度日益提高,網絡與我們的生產、生活密不可分。與此同時,網絡安全攻擊事件日益增多,網絡攻擊技術越來越多樣化,攻擊的自動化程度也越來越高,信息安全形勢日益嚴峻。作為國有重要骨干企業,中國移動加強信息安全管理,既是實現企業發展戰略目標的需要,也是履行企業社會責任的基本需要。
其次,Y本的市場監管要求。2002年,美國安然、世通等財務欺詐事件之后,美國立法機構出臺了《薩班斯―奧克斯利法案》(以下簡稱《薩班斯法案》)。《薩班斯法案》不僅適用于美國上市公司,也適用于在美國證監會注冊的外國公司。中國移動作為在美國證券交易市場上市的海外公司,也必須遵循《薩班斯法案》相關要求。為了遵從《薩班斯法案》,中國移動制定的內部控制矩陣中,有313個項與信息安全有關。
再次,滿足國內監管部門的監管要求。隨著信息安全形勢的發展,國內監管部門對信息安全管理提出了明確要求。公安部、工業和信息化部、國家保密局和證監會等部委陸續了相關文件對企業信息安全管理提出了要求,如公安部、國家保密局、國家密碼管理局和國務院信息工作辦公室的《信息安全等級保護管理辦法》,公安部的《互聯網安全保護技術措施規定》,工業和信息化部的《通信網絡安全防護管理辦法》,財政部、 證監會、審計署、銀監會和保監會印發的《企業內部控制基本規范》等。
最后,滿足企業自身管理提升的要求。中國移動從提升自身管理的角度出發,建立了較為完整的信息安全管理體系,覆蓋系統建設和運維、業務經營、客戶信息保護等環節。
然而,由于信息安全管理涉及多個業務部門和管理部門,管理復雜度高,工作繁雜,過去難以進行體系化管理、執行難度高成為中國移動信息安全管理工作的突出問題。
五大管理措施保證信息安全
中國移動信息安全管理的總體目標是借鑒國際的先進GRC管理理念,按照PDCA(Plan―Do―Check―Action,計劃―實施―檢查―處理)模式,建立涵蓋合規要求、合規執行、合規檢查、合規評價、合規整改的閉環管理機制;采取相應的技術手段、通過有效的管理措施,保證信息資產免遭威脅,或將威脅帶來的不良后果降到最低;持續改進,實現信息安全管理水平的螺旋式提升,最終維護組織的正常運作和健康發展。具體來說,中國移動主要采取了以下五項措施保證目標的實現。
第一,建立信息安全合規閉環管理機制。中國移動在信息安全管理方面借鑒了GRC管理理念,參考了ISO27001信息安全閉環管理體系的PDCA模型,形成了特有的信息安全合規閉環管理機制。中國移動結合自身的實際情況,將信息安全合規管理工作劃分為合規要求、合規執行、合規檢查、合規評價、合規整改等五個環節。其中,合規要求對應的是計劃(Plan),合規執行對應是實施(Do),合規檢查和合規評價對應的是檢查(Check),合規整改對應的是處理(Action)。這五個環節形成了信息安全合規的閉環管理,借助流程全面貫徹。
第二,進行集中、制度化管理,全面滿足內外部監管需求。中國移動根據外部的《薩班斯法案》、ISO27011信息安全管理最佳實踐、國家信息安全等級保護、通信網安全防護等相關的合規要求,制定了多達200余個安全管理制度和標準,覆蓋系統建設與運維、業務經營、客戶信息保護等環節,涉及多個業務部門和管理部門,涵蓋了安全方針、風險管理、第三方管理、安全事件處理、安全基線等數十個領域。
值得一提的是,由于需要遵從的合規要求較多,部分“規”之間存在內容交叉和要求不一致的情況。如果缺少集中化的管理,會導致日常的制度和標準查詢、獲取和執行都比較困難。為此,中國移動對需要遵從的國際、國內、行業和企業內部的信息安全管理制度、標準進行了梳理,參照國內外標準和最佳實踐,形成了《中國移動信息安全管理制度體系框架》。通過制度體系框架,相關人員可以掌握公司整體的信息安全管理全貌,方便、快速地查找對應的要求,高效地分析出哪些領域可能存在制度缺失,為進一步完善信息安全管理體系提供有力的支持,為合規管理體系的建設提供有用的支撐。
第三,完善合規管理矩陣,將安全合規管理工作具體化。信息安全合規管理的核心是建立信息安全合規管理矩陣。該矩陣是基于對各種信息安全管理制度、規范建立的,是對各種信息安全管理要求的條目化、具體化。中國移動在梳理合規制度和建立合規控制框架的基礎上,首先建立信息安全責任制、客戶信息安全、業務安全和基礎安全等子矩陣,然后逐步豐富、完善子矩陣,最終形成全面的信息安全合規矩陣。合規矩陣包括控制矩陣、檢查矩陣、對應矩陣和資產矩陣。
第四,建立合規檢查規范,實現制度化、規范化管理。為了做好合規檢查,中國移動制定《信息安全監督檢查工作規范》,實現合規檢查制度化、規范化管理。合規檢查分為普查模式和專項檢查兩種模式。
第五,建立評價體系,實現整改工作的閉環管理。中國移動通過實施多維度的合規評價,針對不符合合規要求的檢查點和評價相對較差的環節,開展及時的問題整改工作,通過工單等工作流,以下發、整改、反饋和驗證四步閉環的管理模式,保證在問題發現后,有要求、有人改、有反饋、有驗證,有效落實整改工作。
信息化平臺是不可或缺的支撐
為了有效應對當前在信息安全合規管理方面所面臨的挑戰,中國移動在慧點科技協助下建立了全網集中的信息安全合規管理平臺。中國移動的各省公司都可以登錄該平臺開展合規管理工作。該平臺針對中國信息安全合規管理需求,固化了制度管理、控制落實、安全檢查、合規評價和整改等信息安全管理流程,為合規工作提供了流程化、平臺化的高效工具。
中國移動信息安全合規管理平臺包括制度管理、矩陣管理、執行管理、合規檢查、合規風險評價和整改管理等核心功能模塊,可以有效支撐信息安全合規的全生命周期流程管理。
通過建立以信息安全合規管理矩陣為核心的合規管理體系,全面部署信息安全合規管理平臺,中國移動實現了如下的效果:
第一,提升了信息安全業務管理的統一性、完整性;
第二,提升了集中化自主運營能力,有效提升業務連續性;
關鍵詞:信息安全管理體系;信息資產;業務連續性;風險評估
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1001-828X(2014)08-0136-02
當前,隨著稅務部門管理和服務水平不斷提升的客觀需要,加強對稅收核心業務系統和關鍵信息資產的保護,成為信息化工作中一項十分重要的使命。
本省地稅部門信息安全現狀及面臨形勢
(一)取得的成績
多年來,本省地稅部門在認真學習貫徹國家稅務總局和各相關主管部門頒布的信息安全管理制度、政策法規及技術標準基礎上,結合工作實際,陸續頒布、制定了一系列信息安全管理辦法與措施,具體包括:
1.安全管理制度方面,制定了涵蓋物理層、網絡層和主機系統層的管理制度,總體目標、范圍、方針、原則和責任基本明確。
2.安全管理機構方面,建立了信息安全領導小組,配備了具有一定安全管理能力及技術能力的系統管理員、網絡管理員、安全管理員等。
3.人員安全管理方面,在內外部人員錄用前,對被使用人的身份、背景和資質等進行嚴格審查,按期組織信息安全崗位知識技能培訓。
4.系統建設管理方面,嚴格遵照信息系統安全等級保護要求制定建設方案,并對定級結果的合理性和正確性進行論證和審定。
5.系統運維管理方面,對各種設備運轉情況進行定期檢查和實時監測、報警,權限設定遵循最小化授權原則,有配置變更管理的審批流程,對重要應用程序和數據庫進行定期備份。
(二)存在的不足
通過近期開展的風險評估工作,暴露出本省在信息系統安全方面還存在著一定程度的不足,主要是:
1.在安全管理方面,已制定的各項管理規定缺乏全面性、系統性,要求規范與實施細則未能很好的實現層次劃分;有些制度、標準更新不快,缺乏可操作性,對基層的指導作用不十分明顯;信息安全責任制度還需要進一步細化和落實。
2.在安全技術方面,現有機房空間環境已不能完全適應稅收業務發展的需要;部分網絡、安全設備老化需要更新,部分核心業務網絡還未進行功能區域的細分,操作級的審計管理還不盡完善;應用系統開發中的安全機制尚不健全,身份認證等安全技術手段還未得到全面應用。
3.在安全運維方面,現有巡檢工作中不包括安全技術措施的有效性檢查等內容;網管、動環、安管等監控系統還基本處于獨立運行狀態,對于網絡或系統故障缺乏關聯性分析,未能形成統一的監控、分析、處置策略;尚未結合實際業務制定出操作性較強的應急預案,未進行過應急演練。
(三)面臨的形勢
隨著經濟的持續發展和國際地位的不斷提高,我國基礎信息網絡和重要信息系統面臨的安全風險日益嚴峻,計算機病毒傳播和網絡非法入侵十分猖獗,網絡違法犯罪持續大幅上升,犯罪分子利用一些安全漏洞進行網絡盜竊、網絡詐騙、信息系統破壞等違法活動,給國家政治、經濟和社會生活造成嚴重負面影響。中央已經將信息安全與政治安全、經濟安全、文化安全并列為國家安全的重要組成要素。稅務信息系統作為政府信息系統的重要組成部分,其安全運行不僅關系到政府機關的形象和稅收業務的持續運行,還關系到社會穩定和國家安全。
提高稅務信息安全保障能力的有效途徑
國家稅務總局在“金稅三期”項目建設中明確提出,要高度重視信息安全保障工作:按照“四防”工作要求,進一步推進“人防”,做好信息安全教育培訓工作;認真落實“制防”,推進信息安全標準體系和管理制度建設;穩步提升“技防”,持續保障“物防”,做好安全防護體系建設和運行管理工作。因此,構建符合信息系統運行需要的信息安全管理體系,對進一步加強稅務部門內部網絡的整體安全防護能力,全面提升信息安全管理水平,就顯得尤為重要。
信息安全管理體系,即Information Security Management System(簡稱ISMS),是組織在整體或特定范圍內建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。組織通過確定信息安全管理體系范圍,制定信息安全方針,明確管理職責,以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系。
信息安全管理體系的建設可以提高稅務干部的信息安全意識,規范各層級的信息安全行為;對組織的關鍵信息資產進行全面系統的保護,在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度;在稅收各項工作順利開展的同時,提高社會公眾對政府部門的公信度;另外,通過信息安全管理體系建設,可以有效加強對信息技術風險的管控,通過與信息安全等級保護、信息技術風險評估等工作的融合與銜接,使信息安全管理更加具有科學性和系統性。
稅務信息安全管理體系建設實踐
稅務信息安全管理體系的構建,應結合稅收改革發展要求,根據信息化工作職責,制定相應的策略,并最終實現總體的信息安全目標。
(一)基本定位
1.在策略制度層面,形成從方針策略、到要求規范、操作規程直至記錄表單在內的層次化文件體系,為信息安全管理體系奠定技術基礎;
2.在組織建設方面,建立決策、管理、執行和監督多維的組織架構,明確信息安全相關角色和職責,奠定信息安全管理體系的組織基礎;
3.在風險管理方面,通過風險評估和處置過程,建立起全面的信息安全內部控制,結合信息安全事件管理和業務連續性管理,確保從整體上將信息安全風險控制在可接受水平;
4.在人員意識方面,通過有序組織信息安全培訓及相關意識宣傳活動,確保人員具備基本的信息安全意識和操作技能;
5.在支持保障方面,建立起內(外)部審核、管理評審、有效度量、日常檢查等多項檢查監督機制,確保信息安全管理體系的持續運行和改進有著推動和保障基礎。
(二)設計原則
1.體現全面的特性。信息安全管理體系是一個涵蓋各個方面的工程,它要求多角度、多層次,從各個環節人手,進行系統的考慮和規劃。任何環節上的缺陷都會對信息系統構成威脅,要實現信息安全目標,必須保證構成信息安全管理體系這只“木桶”的所有木板都達到一定的標準。
2.體現持續改進、動態發展的特性。信息安全管理體系不僅僅是一套全面的規則集合,而且還是在體系建設與實施過程中與所有利益相關者的互動過程。另外,環境的動態性也決定了體系建設的動態性。因此,在體系架構設計和實施中應遵循PDCA的模式,通過P(策劃)、D(實施)、C(檢查)、A(糾正)這四個步驟的循環運行,使信息安全管理水平獲得可持續性的發展。
3.以保證業務連續性為根本目標。信息安全管理必須為業務服務,脫離業務的信息安全管理也就失去了其真正的意義。因此,保證信息系統的正常運行,進而保障業務的連續開展,是信息安全的根本目標,也是信息安全管理體系的根本目標。
4.領導重視、全員參與的原則。在信息安全管理體系的建設中,應由最高管理者確立統一的信息安全方針、政策和方向,創造并保持使員工能充分、積極地參與實現信息安全戰略目標的內部環境;全體員工應明確自己在信息安全管理中的職責,積極參與信息安全管理體系的建設。
5.技術與管理并重的原則。信息技術是信息安全管理的手段,信息安全管理是利用信息技術實現安全目標的保障,在信息安全管理體系中,技術與管理同等重要,缺一不可,忽略任何一方都會阻礙信息安全工作的開展。
(三)總體架構
在稅務信息安全建設中,包含了信息安全管理、信息安全運作、信息安全技術三方面內容。信息安全管理體系則處于“管理一運行一技術”三元架構的最上層,包含信息安全政策、規范與標準、指南與細則等,從人員、意識、職責、監督等方面,保證并指導下一層級的順利運行。其建立和完善,應充分依據國家標準和稅務行業規范,以融合化和層次化為指導,并最大化地整合現有資源,基本框架模型,可分為五層:
第一層,總體方針,是由省局信息安全領導小組簽署的書面文件,其目的是明確信息安全管理工作的總體目標、適用范圍、總體方針和原則等方向性綱領性文件。
第二層,管理要求,是省局對全系統提出要求的管理性文件,包括安全組織、資產安全、人員安全、信息系統安全等各個方面。
第三層,標準規范,是針對管理要求中提出的內容,制定的對共同使用和重復行為進行指導或規范的文件,文件可以由省局制定,也可以由基層單位制定。
關鍵詞:航空管制;信息系統;信息安全;對策
1強化安全管理意識
航空管制信息安全管理工作人員的信息安全管理意識對于航管信息安全管理會產生直接的影響,也是航空管制信息安全管理過程中的重要因素。航空管制信息安全管理過程中出現的安全漏洞,很大程度上就是由于相關工作人員安全意識的淡薄,在工作中對自已要求不嚴,從而忽視了信息安全的重要性。為了強化航空管制信息安全管理工作,就必須注重對工作人員信息安全管理意識的強化。其主要分為以下幾個方面:1)積極強化航空公司的各級領導信息安全意識,首先確保最高決策者始終擁有高強度的安全意識,并且以身作則,在自己的實際工作中體現出對安全管理得重視,這樣才能帶動各級工作不斷提高自身的信息安全防范意識。信息安全管理工作,主要內容是“三分技術,七分管理”,各航空工作人員應該始終將技術與管理結合起來,作為約束自己日常工作行為的基本準則。強化工作人員的信息安全意識,需要對其進行定期系統的信息安全教育(如信息安全管理知識講座等),以此為手段不斷發展航空管制人員的信息安全知識水平,促使每一位工作人員都能擁有高度的自主安全管理意識。2)注重對航管人員自身信息技術素質水平的培養。在航空管制信息安全管理工作中,良好的專業素養以及熟練的操作能力是每一位工作人員都必須具備的技能。況且,隨著信息技術與人工智能技術逐漸的深入航空領域,在以后的航空管制工作中,若是沒有一定的信息技術專業知識,航管人員就無法準確高效的把握航管新裝備和新技術。同時,航管人員在學習信息技術知識的過程中,還能開拓自己的眼界,豐富自身對現代化技術的認識,在強化自身工作能力和安全意識的同時,還能為整個航空領域的發展提供幫助,確保航管信息安全管理工作的順利進行。3)注重航管信息安全管理觀念創新。在這個信息化的時代,各個領域都在飛速發展。日新月異的信息技術,大量的新型航空管制理念,都要求航空管制信息安全工作要隨著時代的發展不斷變遷、創新。不僅如此,由于航空管制信息安全直接影響著飛機的飛行安全和乘客的人身安全,相關人員應該始終保持本公司的運營理念與國際的新理念接軌,根據市場需求不斷改善航管信息安全管理目標和具體實踐措施,創造屬于我們這個時代的航空管制信息安全管理模式。將航管信息安全管理的策略落到實處,確保航空運行過程中各個環節的信息安全[1]。
2抓住主要矛盾
要想最大程度的發揮出航管信息安全管理工作的作用,航空公司的決策者和相關工作人員就得明確航管信息安全管理過程中的重難點,只有這樣,才能保證有目標、有計劃的施以措施。航管人員務必要高效的解決在航管信息安全管理工作中出現的各種矛盾,下文就以其中存在的主要矛盾為例說明。航管信息安全管理的根本目的是保證航管信息的完整性、可控性及保密性等,除此之外,還需要對航管信息資料進行防御、檢測、抑制、恢復和管理,從多方面著手,保證航管工作的質量。航管信息管理工作的重點是管理和控制航空管制信息系統,其主要是對航管系統層、網絡層以及應用層進行安全控制。航管工作中的系統層管理指的是對硬件和軟件的安全管理,而且軟件安全管理是整個航管信息安全管理工作中的重點。對于硬件系統的安全管理工作,一般將其列入物理安全范圍,主要是防電磁輻射、電子干擾等因素[2]。在應用軟件這一層面上,航管信息系統有時候會遭到黑客的侵襲,因此,相關技術人員務必要做好防“黑客”、防病毒的準備工作,而且在此基礎上,還得不斷恢復信息管理系統,優化操作系統的可行性和安全性,確保航管信息安全管理的效率。在加強軟件系統管理工作的同時,還要對網絡層面的安全管理進行加強。其主要包含以下幾點:網絡報警、網絡恢復、數據保護、密鑰安全及內部認證等。對于網絡層面安全管理工作的加強,工作人員應該將重點放在各處子網的出入口設備上,同時,軟件設施方面也應配合硬件設施,積極研發嵌入式操作系統,不斷創新,應用更高水平的數字簽名技術,對網絡層進行加密。
3完善航管部門信息安全防范體系
俗話說:“無規矩,不成方圓”。要想充分完善航管信息安全管理工作,對航管信息進行有效控制,航管部門就需要根據自身的實際條件不斷健全航管部門的信息安全管理體系。所以,工作人員就要提前做好充分的市場調研,就目前市場上的航管信息安全管理機構設置進行討論研究,仔細觀察整個機構設置的合理性和可行性,對各個部門的航管信息安全管理職能進行明確劃分,使信息安全管理要求與業務流程聯系起來,最大程度的發揮出航管信息安全管理機構的作用。不斷完善航管信息安全管理制度,加上安全管理體系的建設,實行統一規劃、統一管理與統一監督。時刻與國際先進的技術保持聯系,將自身的發展與信息技術和人工智能緊密聯系起來,將本航空公司的安全管理體系至于本行業發展的前沿。在航管過程中,需要使用的儀器設備要盡量采用國產裝備,特別是某些涉及到自主關鍵技術機密以及中國自主知識產權的核心儀器設備。與此同時,工作人員還應該注重加強對網絡安全系統的規范管理制度,逐漸建立出相應系統的航管信息安全管理標準和統一的航管信息安全管理綜合評估體系以及針對航管信息的獲取和應用等,需要明確的制定出切實可行的安全管理措施體系。由此可見,在航管信息安全管理的過程中,始終不能脫離完整、規范的航管信息安全防范體系,只有通過航管部門系統全面嚴格的控制把關,才能高效地處理航管信息安全工作中出現的各種問題。在日常的航管部門信息安全管理工作中,工作人員務必要注意兩點,一是加強對航管人員的信息安全教育。要定期組織全體航空管制信息安全管理人員對工作中的專業知識以及某些設備的操作技術進行學習,不斷的對航管人員注入最新的航管理念,對航管人員的航空管制保密常識進行培訓,加強信息安全教育,確保每一位航空管制人員都擁有深刻的信息安全意識,以保證航空飛行安全。二是對整體航管人員實行保密信息封鎖制度。航空公司應該根據實際情況制定出適合自身發展的電子設備保密管理制度,控制工作人員與外界不必要的聯系,始終嚴格約束所有工作人員的言行舉止,切忌在日常交流以及聯系中向外界流失掉機密信息。不僅如此,航空公司中的任何以為工作人員都不允許以任何一種形式對外界透露公司內部的運行情況,更不能泄露涉及航管和飛行安全的信息[3]。
4健全航管信息安全管理法規制度
航空公司嚴謹有序的運行模式,不僅需要每一位工作人員的付出還需要高層決策者與各級工作人員商議之后制定出合理的法規制度,以統一形式的制度、要求及管理力度對員工進行統一管理,一視同仁,旨在提升對航管信息安全的管理效率。健全航管信息安全管理法規制度的要求分為兩個方面,第一個方面,公司要盡快且保證質量的建立屬于自己的航管信息安全評估系統。在建設的過程中,要始終按照國家的標準要求,不管是信息基礎設施建設,還是網絡規劃建設,都必須通過國家相關管理部門的審批。而在進行基礎設施建設和設備配備的過程中,則需要安全管理部門和質量管理部門進行約束指導,所有的信息建設只有在通過有效的信息安全質量認證之后,才能投入使用。第二個方面,要想使航空管制信息安全管理過程中的規章制度得到系統化、明確化、條理化,工作人員就必須以本航空公司的航管信息安全管理模式為出發點,經過多方面的調研分析,采取各個階層工作人員的意見整合之后制定出可行有效的信息安全規章制度,力爭在最短的時間內使航空管制信息安全管理工作的可行性得到大幅度提升[4]。
5結語
綜上所述,航空管制信息安全管理工作是所有航空公司正常運營的前提條件,也是順利開展航管業務的基礎工作,只有航管信息安全得到了保障,飛機的飛行安全才能得到保障。航管人員在日常的工作之中要始終樹立堅實牢固的航管信息安全意識,提高自身的航管能力。相應的公司管理人員也應不斷強化本公司的信息技術,結合國際上新型的航管理念發展自身的運行效率,為飛機的安全飛行保駕護航。
參考文獻:
[1]許彬.航管信息情報系統的設計與實現[D].成都:電子科技大學,2014.
[2]魏純潔.空中交通管制安全評估關鍵技術研究[D].南京:南京航空航天大學,2012.
【關鍵詞】電力企業信息安全管理;組織管理;失誤因素
1 電力企業信息安全管理中組織管理失誤的分析方法
電力企業信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通過CREAM的應用,可以將失誤事件的外在表現形式稱為失效模式,并且將引起這些失誤事件的直接原因定義為前因。實踐中,前因可分為具體的前因、一般性前因,CREAM分析法是以失效模式作為出發點。首先,通過分析失效模式的一般前因、具體前因,得到失效模式前因表,在表中選定一個前因作為后果,然后分析引起這一后果的可能前因,最終得到包含這一后果、可能的前因追溯表;再以該可能前因為后果,分析可能的前因,通過連續不斷的尋找,最終找到引起事件失誤的根本原因。
2 在電力電力企業信息組織管理過程中,開展多項管控措施、分三步走
第一步,從思想上加強重視。實踐中,應當認真學習貫徹違規外聯、外網郵箱發送的要求,嚴格按照“業務工作誰主管,保密工作誰負責”以及“統一領導、分級負責”的原則,將信息安全保密職責有效地落實到人,讓每個員工熟悉、掌握保密工作的基本要求和規范。
第二步,深入檢查,全面整改。實踐中,應當嚴格按照檢查內容檢查,一定不能留死角、搞形式。在檢查中發現的問題,要立即糾正,認真整改,對存在嚴重問題的單位要監督整改,并組織復查;發生泄密、違規問題時,一定要嚴肅查處,必要時還要追究責任人的責任。
第三步,嚴格管理,務求實效。要進一步落實保密工作責任制,堅持標本兼治、系統治理,把檢查活動與日常保密工作安排結合起來,邊檢查邊整改,以查促管、以查促改、以查促教、以查促防,確保檢查取得實效。
3 電力企業信息系統安全管理的必要性
電力企業信息系統安全管理,是企業在一定范圍內建立起來的信息安全目標和方針,并通過努力完成目標。對于電力企業信息安全管理而言,可表示為方法、目的、基本原則和實施過程等要素集合,作為直接的信息安全管理結果。2014年8月,某技術質管部專責高某通過電子郵箱將創新成果--《電力設計企業基于桌面云技術的信息》以附件形式經壓縮、更名后在沒有經過加密的情況下,發送到某部門專家評審組;由于附件內容出現“保密”等敏感詞,該郵件被公司外網郵件攔截系統攔截。經現場查實,郵件均不涉商業秘密,但違反了“工作郵件只限于公司內網郵箱發送”規定。由此可見,電力企業信息系統安全管理工作非常重要,也非常有必要。通常情況下,電力企業信息安全管理工作主要包括制定信息安全管理的策略,合理、科學的對電力企業信息安全工作進行組織管理,具有非常重要的作用。電力企業應當提高全體員工的信息安全意識,加強電力電力企業信息內外網安全管理。第一,內、外網電腦都必須安裝三種軟件,即北信源、天以及趨勢殺毒。軟件有內、外網版本之別,而且客戶端也不同;第二,遵守專機、專網之規定,內網電腦不能與外網相連接,外網電腦不能連接內網,家用電腦不能接入內網使用,尤其是來歷不明、使用背景不明的電腦,一律禁止接入內網系統。
4 電力企業信息安全管理中組織管理常見失誤
近年來,隨著市場經濟體制改革的不斷深化,雖然電力企業信息安全管理水平有了很大程度的提升,但電力企業信息安全管理過程中依然存在著一些問題與不足,總結之,主要表現在以下幾個方面:
第一,信息安全措施和技術手段不成熟。對于大多數企業而言,在信息系統建設過程中欠缺完善的安全手段和措施,嚴重影響了安全措施的制定與執行。
第二,電力企業信息安全風險控制不到位。實踐中可以看到,很多企業在信息化規劃與建設過程中,對信息安全的前期分析比較欠缺,將分析對象主要集中在技術層面研究上,很難有效解決企業安全信息系統操作失誤、缺陷與不足等安全問題。
第三,信息安全意識不強,缺乏有效的安全管理機制。對于部分企業領導層而言,對信息安全的重視不夠,對潛在的各種風險和安全隱患問題分析不到位。
5 電力企業信息安全管理體現構建的有效策略
基于以上對當前企業安全管理中的問題分析,筆者認為要想減少和控制電力企業信息安全管理中組織管理失誤現象, 應當根據企業實際生產運營狀況,以IS027001信息安全管理體系標準為基礎,從組織、技術、管理以及運行和監督這等方面入手,對現有的信息安全管理架構進行改進和完善,增加運行、監督環節。
5.1 提高對電力企業信息安全的認知度
針對企業員工對信息安全知識掌握不足的現狀和問題,通過宣傳、教育和培訓等方法,提高企業全體員工對信息安全的認知度。首先,加強信息安全宣傳教育。電力企業信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性,了解信息安全管理目標,以此來提高企業員工的信息安全管理意識。
5.2 建立健全信息安全審計機制
內部審計是對電力企業信息安全管理體系建設與實施情況的評價,定期組織審計活動,以此來促進安全管理體系的改進與完善。企業的信息安全政策、規范制度是信息安全管理工作得以有效開展的重要依據,因此審計工作的主要內容是檢驗信息安全標準的符合性、執行情況。在審計過程中,主要包括如下內容,即檢驗是否按照要求制定規章制度、執行細則;檢驗員工對的規章制度執行狀況,對審計結果的整改落實情況進行核查;同時,還要對信息安全控制措施的應用效果進行全面檢查,確保評估的有效性。
5.3 建立和完善信息安全風險管理制度
信息安全風險,即威脅利用系統弱點對相關信息資產造成破壞、損失的可能性,信息系統安全與否,主要取決于其風險是否己在現有措施條件下實現了最小化,而非絕對沒有風險。
2012年央視“3?15晚會”所曝光的銀行客戶數據泄漏事件,給金融業再次敲響了警鐘,隨著金融監管機構對客戶數據的安全管控要求逐步提升,各家銀行都相繼把對客戶數據的安全保護力度提升到新的管理高度,信息安全管理也逐漸成為銀行風險管理中一個重要的環節。
一直以來,廣發銀行信用卡中心十分重視信息安全工作,為全面保障信用卡業務的信息安全,保護好客戶數據的安全,廣發銀行信用卡中心在2006年組建了專職的信息安全管理團隊,參照ISO27001國際信息安全管理體系標準逐步建立起適合廣發銀行信用卡中心業務特色的信息安全管理體系框架。
2009年,廣發銀行信用卡中心開始實施ISO27001項目一期(ISO27001國際信息安全管理體系認證)。
2010年6月通過DNV(挪威船級社)的認證審核,獲得UKAS國際信息安全管理體系證書,成為國內第一家信用卡業務領域通過ISO27001認證的千萬量級發卡行。
2011年,為符合國家和行業監管要求,廣發銀行信用卡中心實施了ISO27001項目二期(GBT22080國家信息安全管理體系認證),2011年10月通過中國信息安全認證中心的認證審核,獲得國家信息安全管理體系證書。
2012年,廣發銀行信用卡中心實施ISO27001項目三期,將強化信息安全“可落地、可量化、可視化和可考核”的精細化管理。
