外审员信息安全精选(五篇)
发布时间:2023-10-09 17:40:48
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇外审员信息安全,期待它们能激发您的灵感。
篇1
[基金项目]教育部人文社会科学研究规划项目(10YJA790182);南京审计学院校级一般项目(NSK2009/B22);江苏省优势学科“审计科学与技术”研究项目
[作者简介]刘国城(1978― ),男,内蒙古赤峰人,南京审计学院讲师,硕士,从事审计理论研究。
第27卷第3期2012年5月审计与经济研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中观信息系统风险与损失的成因基础上,借鉴BS7799标准,一方面从物理层次与逻辑层次两个方面研究中观信息系统固有风险的评价模式;另一方面从一般控制与应用控制两个层面探索中观信息系统内部控制的评价机制。基于BS7799标准对中观信息系统审计进行研究,旨在为IT审计师有效实施中观信息系统审计提供应用指南。
[关键词]BS7799标准;中观审计;信息系统审计;内部控制;中观信息系统;中观信息系统风险
[中图分类号]F239.4[文献标识码]A[文章编号]10044833(2012)03005007
所谓中观信息系统审计就是指审计主体依据特定的规范,运用科学系统的程序方法,对中观信息系统网络的运行规程与应用政策实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性,以保障中观信息系统的高效运行[1]。中观信息系统的审计主体即IT审计师需要重视中观信息系统审计的复杂性,且有必要借助BS7799标准,构建并完善中观信息系统审计的实施流程,优化中观信息系统审计工作,提高审计质量。之所以需要借助BS7799标准,是因为BS7799标准的众多功能可以满足中观信息系统审计工作的需求。在尚未有详细信息系统审计(以下简称“IS审计”)规范的条件下,中观信息系统审计对信息安全管理策略的需求巨大,而BS7799标准恰恰是问世较早且相对成熟的信息安全管理标准,它能够确保在计算机网络系统进行自动通信、信息处理和利用时,在各个物理位置、逻辑区域、存储和传媒介质中,较好地实现保密性、完整性、有效性与可用性,能够在信息管理与计算机科学两个层面加强信息安全管理向中观信息系统审计的理论转化,中观信息系统审计的需求与BS7799标准的功能具备整合的可行性。
一、 BS7799标准
1995年,英国贸工部制定了世界首部信息安全管理体系标准“BS77991:1995《信息安全管理实施规则》”,并作为各类组织实施信息安全管理的指南[2],由于该标准采用建议和指导的方式编写,因而不作为认证标准使用;1998年,英国又制定了信息安全管理体系认证标准“BS77992:1998《信息安全管理体系规范》”,作为对组织信息安全管理体系进行评审认证的标准[3];1999年,英国再次对信息安全管理体系标准进行了修订,形成“BS77991:1999”与“BS77992:1999”这一对配套标准;2000年12月,“BS77991:1999”被ISO/IEC正式采纳为国际标准“ISO/IEC17799:2000《信息技术:信息安全管理实施规则》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作为蓝本修订,成为可用于认证的“ISO/IEC《信息安全管理体系规范》”;2005年,BS77991与BS77992再次改版,使得体系更为完善。BS7799标准体系包含10个管理要项、36个管理目标、127个控制目标及500多个管理要点。管理要项如今已成为组织实施信息安全管理的实用指南;安全控制目标能够帮助组织识别运作过程中影响信息安全的因素。BS77991几乎涵盖了所有的安全议题,它主要告诉IT审计师安全管理的注意事项与安全制度。BS77992详细说明了建立、实施和维护信息安全管理的要求,指出组织在实施过程中需要遵循的风险评估等级,从而识别最应该控制的对象并对自身需求进行适当控制。BS77991为信息系统提供了通用的控制措施,BS77992则为BS77991的具体实施提供了应用指南。
国外相对成熟的信息安全管理理论较多,它们各有千秋,彼此之间相互补充且有交叉。BS7799标准仅是众多信息安全管理理论中的一种,与传统审计方法相比,仅适用于IS审计范畴。然而,BS7799标准的特别之处表现在:其一,它是一部通用的信息安全管理指南,呈现了较为全面的系统安全控制措施,阐述了安全策略和优秀的、具有普遍意义的安全操作方法,能够为IT审计师开展审计工作提供全程支持;其二,它遵循“计划-行动-控制-改善方案”的风险管理思想,首先帮助IT审计师规划信息安全审计的方针和范围,其次在审计风险评估的基础上选择适当的审计方法及风险控制策略并予以实施,制定持续性管理规划,建立并运行科学的中观信息系统审计执行体系。
二、 中观信息系统的风险与损失
中观信息系统风险是指成功利用中观信息系统的脆弱性或漏洞,并造成系统损害的可能性。中观信息系统风险极其庞杂且非常普遍,每个中观信息系统面临的风险都是不同的,这种风险可能是单一的,也可能是组合的[4]。中观信息系统风险包括:人员风险、组织风险、物理环境风险、信息机密性风险、信息完整性风险、系统风险、通信操作风险、设施风险、业务连续性风险、法律风险及黏合风险(见图1),它们共同构成了中观信息系统的风险体系,各种风险除具有各自的特性外,有时还可能相互作用。
中观信息系统风险的成因离不开外来威胁与系统自身的脆弱性,且风险的最终后果就是损失。图1中的“a.威胁性”是系统的“风险源”,它是由于未授权访问、毁坏、数据修改以及拒绝服务等给系统造成潜在危害的任何事件。中观信息系统的威胁来自于人为因素及非人为因素两个方面。人为因素是对中观信息系统造成威胁的决定性力量,人为因素造成威胁的主体有竞争对手、网络黑客、不满员工或正常员工。图1中的“b.脆弱性”是指在系统安全程序、管理控制、物理设计中存在的、可能被攻击者利用来获得未授权信息或破坏关键处理的弱点,由物理环境、技术问题、管理问题、法律问题四个方面组成。图1中的“d.风险承受力”是指在中观信息系统遭遇风险或受到攻击时,维持业务运行最基本的服务和保护信息资产的抵抗力、识别力、恢复力和自适应能力。
中观信息系统风险的产生有两种方式:一是遵循“abc”路径,这条路径形成的风险为中观信息系统“固有风险”,即假定中观信息系统中不存在内部控制制度,从而造成系统存在严重错误与不法行为的可能性。该路径的作用形式为人为因素或非人为因素是风险源,对中观信息系统构成威胁,该威胁产生后寻找并利用系统的脆弱点(假定中观信息系统对该脆弱点没有设计内控制度),当威胁成功作用于脆弱点后,就对系统进行有效攻击,进而产生中观信息系统风险。二是遵循“abPc”路径,该路径所形成的风险为中观信息系统的“控制风险”,即内部控制制度体系未能及时预防或发现系统中的某些错误或不法行为,以致中观信息系统遭受损失的可能性。与“abc”路径比较,该路径多出“P.内部控制”过程,这说明当威胁已产生并将利用系统的脆弱点时,中观经济主体已经对该脆弱点设计了内控制度体系,但是由于内部控制制度设计的不科学、不完善或没有得到有效执行,从而造成内部控制未能阻止“威胁”,致使中观信息系统形成风险。中观信息系统损失的形成遵循“cde”路径。然而,由于中观信息系统自身具有一定的风险防御能力(即“d.风险承受力”),因而并非所有风险都将造成损失。当中观信息系统识别并抵抗部分风险后,最终未能消除的风险通过对系统的负面作用,会给中观信息系统造成间接或直接的损失。
三、 中观信息系统固有风险的评价模式
图1中的“abc”路径是中观信息系统固有风险产生的路径,固有风险形成的条件是“假定不存在内部控制制度”。评价固有风险是中观信息系统审计准备阶段的一项基础工作,只有正确评价固有风险,才能合理评估审计风险,准确确定审计范围并制定审计计划[56]。笔者认为,BS7799标准之所以能够有效评价中观信息系统的固有风险,是因为BS7799标准的管理要项、管理目标,控制措施与管理要点组成了信息安全管理体系,这个体系为IT审计师确定与评价系统固有风险提供了指南[7]。BS7799标准对IT审计师评价固有风险的贡献见上表1。
(一) 物理层次的风险评价
物理层次的内容包括物理环境安全与物理环境设备[7],其中,物理环境安全包括硬件接触控制、预防灾难措施和网络环境安全;物理环境设备包括支持设施、硬件设备和网络物理环境。针对上述分类,下面对物理层次风险评价进行具体分析。
首先是物理环境安全风险评价。在评价物理环境安全风险时,可以借鉴BS7799标准A、B、D1、D3、E、G8、H5、I、J。例如,IT审计师在了解被审中观信息系统的“预防灾难措施”时,可参照“A.安全方针”,依据BS7799对“安全方针”进行阐述,了解被审系统的“信息安全方针”,关注被审系统在相关的“方针与策略”中是否估计到了系统可能遭遇的所有内外部威胁;当威胁发生时,是否有具体的安全保护规定及明确的预防措施;对于方针的执行,是否对每位员工都有所要求。假若IT审计师在审计中未找到被审系统的“安全方针”,或找到了但“安全方针”并未涉及有关“灾难预防”方面的安全措施,则IT审计师可直接认定被审系统在这方面存在固有风险。其次,物理环境设备风险评价。在评价物理环境设备风险时,可以借鉴BS7799标准A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT审计师在了解被审系统有关“硬件设备”的情况时,可参照“C1.资产责任”。BS7799标准对“资产责任”的说明有“组织可根据运作流程与系统结构识别资产,列出清单”,“组织的管理者应该确定专人负责相关资产,防止资产的被盗、丢失与滥用”。借鉴C1的信息安全管理目标与措施,IT审计师可以关注被审单位是否列出了系统硬件设备的清单,是否有专人对资产负责。如果相关方面的管理完备,则说明“硬件设备”在责任方面不存在固有风险,IT审计师也不需要再对此方面的固有风险进行评价。再如,IT审计师在确认“硬件设备”方面的固有风险时,还可参照“E3.通用控制”。BS7799标准对“通用控制”的说明有“定期进行资产清查”,“未经授权,资产不能随便迁移”等。借鉴这一措施,IT审计师需要了解被审系统的有关资产清查记录以及资产转移登记手续,如果相关记录不完整或手续不完备,则IT审计师可直接认定“硬件设备”在控制方面存在固有风险。
(二) 逻辑层次的风险评价
逻辑层次的内容包括软件环境、系统生命周期和逻辑安全[7]。其中,软件环境包括系统软件、网络软件与应用软件;系统生命周期包括系统规划、分析、设计、编码、测试、试运行以及维护;逻辑安全包括软件与数据接触、数据加密机制、数据完整性、入侵检测、病毒与恶意代码以及防火墙。针对以上分类,下面对逻辑层次风险评价进行具体分析。
首先是软件环境风险评价。在评价软件环境风险时可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT审计师在掌握被审系统有关“网络软件”的情况时,可借鉴“G2.用户访问管理”标准。BS7799对该标准的阐述包括“建立用户登记过程,对用户访问实施授权”,“对特权实行严格管理”,“对用户口令进行严格管理”等。借鉴G2下相关信息安全管理措施,IT审计师可以详细核查被审网络软件是否建立了用户注册与登记过程、被审软件的特权管理是否严格、是否要求用户秘密保守口令。假若IT审计师发现用户并未得到访问网络软件的权限却可以轻易访问网络软件,则该软件必然存在风险,IT审计师就可通过与BS7799标准比照并发表评价结论。又如,IT审计师在评价“系统软件”固有风险时,可借鉴“G5.系统访问与使用的监控”标准。该标准的阐述有“使用终端安全登陆程序来访问信息服务”,“对高风险的不活动终端采取时限措施”。IT审计师在评价“系统软件”自身风险时,可套用上述安全措施,逐项分析被审系统软件是否完全达到上述标准并作出合理的风险评价。其次是系统生命周期的风险评价。在评价系统生命周期风险时,可借鉴BS7799标准A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT审计师在检查被审系统的“系统设计”时,可参照“H1.系统安全要求”。H1的解释为“系统设计阶段应该充分考虑系统安全性,组织在项目开始阶段需要识别所有的安全要求,并将其作为系统设计开发不可或缺的一部分进行调整与确认”。因而,IT审计师在检查系统设计有关资料时,需要分析被审单位是否把上述解释融入系统设计中,或是否全面、有效地融入设计过程,如果被审单位考虑了诸因素,IT审计师就可以确认被审系统的设计环节在此方面不存在风险。假若IT审计师发现在系统设计阶段被审单位没有考虑到需要“引入控制”,且在系统运营期间对系统的“控制”也不够重视,则IT审计师可以作出系统自身安全及系统设计开发过程存在风险的结论。第三是逻辑安全的风险评价。在评价逻辑安全风险时,可以借鉴BS7799标准A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT审计师在检查被审系统的“病毒与恶意代码”时,可借鉴“G4.网络访问控制”。BS7799对该标准的阐述有“建立并实施网络用户服务使用方针”,“从用户终端到网络服务的路径必须受到控制”以及“对外部链接的用户进行身份鉴别”等。IT审计师在审计过程中,应该关注被审系统在上述方面的执行思路与执行程度,假若被审单位对上述方面缺乏重视,则恶意用户未经授权或未受限制就能轻易访问系统,系统遭受病毒或恶意代码损害的风险会相应加大。再如,IT审计师在评价系统“数据完整性”的风险时,可借鉴“F1.操作程序与职责”。该标准的描述有“在执行作业的过程中,提供差错处理及例外情况的指导”,“进行职责分离,减少出现非授权更改与数据信息滥用的机会”等。结合上述措施,IT审计师应该关注被审单位是否通过外键、约束、规则等方式保障数据的完整性,如果被审单位没有按照上述方法操作,则被审系统将会在“数据完整性”方面存在风险。
需要强调的是中观信息系统固有风险的评价较为复杂。在理论研究中,本文仅选取BS7799的某些标准举例进行阐述,但在实践中,IT审计师不应只借鉴BS7799标准的单个或部分标准,就做出某方面存在“固有风险”的结论。如仅从C1看,“硬件设备”无固有风险,但从E3看,“硬件设备”确实存在固有风险。鉴于此,IT审计师应由“点”及“面”,全面借鉴BS7799标准的整个体系。只有如此,才能更科学具体地进行物理及逻辑层次的风险评价。
四、 中观信息系统内部控制的评价机制
图1中的“abPc”路径是中观信息系统控制风险产生的路径,控制风险的形成条件是“假定存在内部控制制度,但是内控制度不科学、不健全或执行不到位”,产生控制风险最主要的原因是内部控制机制失效,即“P”过程出现问题。评价内部控制是IT审计师防范审计风险的关键,也是中观信息系统审计实施阶段的一项重要工作。然而,当前我国信息系统审计方面的标准与规范仅有四项,因而IT审计师对信息系统内部控制的评价还处于摸索阶段,急需详细的流程与规范进行指导。笔者认为,BS77991《信息安全管理实施细则》与BS77992《信息安全管理体系规范》能够为IT审计师评价中观信息系统的内部控制提供思路。BS7799是一套完备的信息安全管理体系,IT审计师完全可以借鉴其体系与框架来设计中观信息系统内部控制评价流程,构建适用于中观信息系统的审计流程。BS7799标准的具体借鉴思路见表1,具体阐述如下。
(一) 一般控制的评价
1. 组织管理的内部控制评价
在评价组织管理的内控时,可借鉴BS7799标准A、B、C1、D1、D3、E、F、G、H、I、J。IT审计师可将BS7799标准体系作为信息系统组织管理内部控制的衡量标准,并以此确认被审系统组织管理内控制度的科学性与健全性。假若某中观经济主体将信息系统的部分管理活动外包,则IT审计师可借鉴BS7799中的“B3.外包控制”标准,检查外包合同的全面性与合理性。如果被审单位在外包合同中规定了信息系统的风险、承包主客体各自的系统安全控制程序,并明确规定了“哪些措施必须到位,以保证涉及外包的所有各方关注各自的安全责任”,“哪些措施用以确定与检测信息资产的完整性和保密性”,“采取哪些实物的和逻辑的控制以限制和限定授权用户对系统敏感信息的访问”以及“发生灾难时,采用怎样的策略来维持服务可用性”,则IT审计师就可确认被审系统在外包方面的控制设计具有科学性与全面性,只需再对外包控制条款的执行效果进行评价就可以得出对被审单位外包活动评价的整体结论。
2. 数据资源管理的内部控制评价
在评价数据资源管理的内控时,可以借鉴BS7799标准A、B、C、D、E1、E3、F、G、H、I、J。信息系统数据包括数据字典、权限设置、存储分配、网络地址、硬件配置与系统配置参数,系统数据资源管理有数据存放、备份、恢复等,内容相对复杂。IT审计师在评价数据资源管理的内部控制时,也需要借鉴BS7799标准体系。例如,IT审计师可借鉴“F1.操作程序与职责”或“G6.应用访问控制”评价数据资源管理。F1与G6的阐述有“识别和记录重要数据的更改”、“对数据更改的潜在影响作出评估”、“向所有相关人员传达更改数据的细节”、“数据更改不成功的恢复措施”、“控制用户的数据访问权,如对读、写、删除等进行限制”、“在系统共享中,对敏感的数据实施高级别的保护”。IT审计师在审计时,有必要根据上述思路对系统数据管理的控制制度进行深层次评价。在当前缺乏信息系统审计规范的情况下,以BS7799体系作为评价数据资源管理内部控制的指南,不失为一种好的审计策略。
3. 环境安全管理的内部控制评价
在评价环境安全管理的内控时可以借鉴BS7799标准A、B、C1、D、E、F、G、H、I、J。信息系统的环境安全管理包括物理环境安全管理与软件环境安全管理,系统环境是否安全决定着危险因素对脆弱性的攻击程度,进而决定着信息系统风险。IT审计师在审计系统环境的安全管理过程时,需要关注设备、网络、软件以及硬件等方面。在评价系统环境安全管理的内部控制时,IT审计师有必要借助上述BS7799标准体系。例如,BS7799的“E1.安全区域”标准与“E2.设备安全”标准的解释有“信息处理设施可能受到非法物理访问、盗窃、泄密等威胁,通过建立安全区域、严格进入控制等控制措施对重要的系统设施进行全面保护”,“应该对信息处理设施运作产生不良影响的环境条件加以监控,如,湿度与温度的影响”。类似上述的BS7799系列标准都为IT审计师如何确认环境安全管理的内控提供了审计指导,且其指导思路清晰、全面。IT审计师通过借鉴BS7799系列标准,可以深层次挖掘系统环境安全管理规章制度中存在的疏漏以及执行中存在的问题,从而有效评判环境安全管理的控制风险。
4. 系统运行管理的内部控制评价
在评价系统运行管理的内控时,可以借鉴BS7799标准A、B、C1、D、E1、E3、F、G、H、I、J。中观经济主体对运行系统的管理相对复杂,涉及到系统组织、系统维护、系统完善等多个方面。由于系统运行中需要管理的环节繁多,而且目前也没有规范与流程可以参考,因而,评价系统运行管理的内控也有必要借鉴上述BS7799标准体系。例如,BS7799标准“D2.设备安全”与“H5.开发与支持过程中的安全”的阐述有“信息系统操作者需要接受安全意识培训,熟悉与系统运行相关的安全职责、安全程序与故障制度”,“系统运行中,建立并实施更改控制程序”以及“对操作系统的更改进行技术评审”等方面。IT审计师采用询问、观察、检查、穿行测试等方法评审系统运行管理的内部控制,需要有上述明细的、清晰的信息安全管理规则予以指导,这些标准可以指导IT审计师了解被审系统是否有健全的运行管理规范及是否得到有效运行,借此,IT审计师可以作出全面的内控判断,进而出具正确的审计结论。
(二) 应用控制的评价
信息系统的应用控制包括输入控制、处理控制与输出控制。在评价系统输入控制、处理控制以及输出控制三者的内控时,同样有必要借鉴BS7799标准,且BS7799标准中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相对应的信息安全管理目标与措施能够在IT审计师对三者进行内控评价时提供相对详尽的审计框架。为确保信息系统输入、处理与输出的信息完整、正确,中观经济主体需要加强对信息系统的应用控制。IT审计师在中观信息系统审计的过程中,需要做到对被审系统应用控制进行正确评价。
在IT审计师对应用控制的符合性测试过程中,上述BS7799标准体系可以对应用控制评价进行全程指导。例如,BS7799标准中“H2.应用系统的安全”提到“数据输入的错误,可以通过双重输入或其他输入检查侦测,建立用于响应输入错误的程序”,“已正确输入的数据可因处理错误或故意行为而被破坏,系统应有确认检查功能以探测数据的破坏”,“为确保所存储的信息相对于各种情况的处理是正确而恰当的,来自应用系统的输出数据应该得到确认”等控制策略,并提出了相对详细的控制措施。应用控制环节是信息处理的脆弱集结点,IT审计师在进行应用控制的符合性测试环节时有必要考虑周全,详尽规划。IT审计师可以遵循H2全面实施针对应用控制的审计,依照BS7799标准体系,检查被审系统对于超范围数值、数据区中的无效字符、丢失的数据、未经认可的控制数据等系统输入问题的控制措施以及应急处理能力;检查是否对系统产生的数据进行了确认,系统的批处理控制措施、平衡控制措施等,以及相关控制行为的执行力度;检查信息输出是否实施了可信性检查、一致性控制等措施,如果有相关措施,那么执行力度如何。BS7799标准体系较为全面,对于IT审计师评价系统的应用控制贡献很大,如果IT审计师能够创造性借鉴该标准,必可做好符合性测试,为实质性测试夯实基础,也定会提高审计质量。
五、 结束语
表1是笔者在分析某商业银行信息系统与某区域物流信息系统的基础上,对“BS7799标准如何应用于信息系统审计”所进行的设计,当针对其他行业时,或许需要对表1进行适当调整。不同行业、不同特性的中观经济主体在信息系统审计中运用BS7799标准时侧重点会有所不同。本文以分析中观信息系统风险为着手点,沿用BS7799标准对中观信息系统审计进行研究,旨在抛砖引玉。
参考文献:
[1]王会金,刘国城.中观经济主体信息系统审计的理论分析及实施路径探索[J].审计与经济研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[5]刘国城,王会金.中观信息系统审计风险的理论探索与体系构架[J].审计研究,2011(2):2128.
[6]王会金.中观信息系统审计风险控制体系研究――以COBIT框架与数据挖掘技术相结合为视角[J].审计与经济研究,2012(1):1623.
[7]科飞管理咨询公司.信息安全管理概论-BS7799理解与实施[M].北京:机械工业出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
(Jinshen College of Nanjing Audit University, Nanjing 210029, China)
篇2
医院电脑使用责任书【1】
一、目的
为切实加强我院计算机的使用、管理工作,提高工作效率,确保无纸化办公的平稳有序开展,减少医院管理系统的运行风险,特制定本责任书。
二、职责与管理
1、笔记本电脑实行使用人负责制,科室内电脑实行科主任负责制,科室成员为相关责任人。
2、对全院所有电脑,由财务科统一登记,列入医院固定资产。
三、计算机使用和安全管理
1、应爱护计算机及相关设备,严禁在电脑前喝水等可能污损电脑的行为。
2、按规定程序开启和关闭计算机系统,关机前应先退出应用程序。
3、加强个人用户密码管理,及时注销登录,防止无关人员盗用。
4、原则上禁止使用U盘等,确因需要,必须先查杀病毒再使用。
5、文件资料不要保存在系统C盘或桌面,以免系统故障而丢失资料。
四、处罚
1、所有电脑严禁安装各种游戏。工作时间利用电脑玩游戏(包括蜘蛛纸牌等)、看电影或进行其它与工作无关的活动的,发现1次,罚款50元;由此造成医疗纠纷的,所有责任一律由本人承担。
2、提高防范意识,加强计算机设备(尤其是笔记本电脑)的使用管理,丢失或被盗者,个人照价赔偿。
3、对以下违反规定的行为,勒令改正,对造成损失的照价赔偿;屡教不改者,医院收回其电脑:
①擅自重装、更改操作系统及软件设置的,造成计算机故障的。
②私自安装不正规软件和卸载已有软件。
③因访问不良网站,或擅自使用带有病毒的光盘、U盘、移动硬盘等,导致医院局域网病毒蔓延,造成系统瘫痪,影响正常工作的。
④擅自允许他人(尤其是小孩)使用计算机的。
⑤擅自外借计算机设备,或通过计算机泄露信息的。
五、此责任书协议一式两份,医院和责任人各执一份,签字盖章后生效。
xxx卫生院
院长:
责任人:
二xxx年xx月xxx日
医院电脑使用责任书【2】
各科室:
为保障医院计算机局域网络信息安全,加强医院信息数据查询和使用权限管理规范,避免发生计算机网络失密事件,防止医院信息数据的泄露,现与各中层干部签订信息安全责任书,确定每一位中层干部为所在科室的计算机信息安全责任人,并要求做到以下条款:
1.严格遵守医院信息保密制度及相关的信息安全制度,定期或不定期的在科室内部进行培训和教育,提高信息保密意识。
2.对信息查询的需求,科室须进入OA系统中的数据查询申请流程,填写申请单,经分管信息工作院领导审批同意后方可查询,同时应对查询的数据结果保密,不能随意泄露。
3.医院内部网络的计算机严禁被设定为网络共享计算机,计算机内文件严禁被设定为网络共享文件,严禁以任何形式将有关数据、报表带出医院。
4.计算机操作人员不得擅自更改医院数据和计算机的二系统设置。禁止擅自将医院办公计算机连接互联网(外网)。
5.操作计算机的人员必须使用自己的工号和密码进行自己权限范围内的操作,对自己的工号和密码要进行严格管理,不得把相关的工号和密码泄露给外人。禁止使用他人的工号和密码进行操作,并严格做到人离机关。
6.严禁将医院内部医疗信息或病患信息泄露给他人,包括私自统计药品、高值耗材用量等信息并透漏给他人牟取不法利益,否则将按照法律法规和有关规章制度追究责任。
科室人员如违反以上条款,或科室管理中存在违反条款的行为,除依规处罚相关责任人外,同时将追究相关中层干部的管理责任,并将结果纳入中层干部年度或任期考评,与干部的选拔、任用及奖励挂钩。
本责任书有效期至本届中层干部任期结束。
部门(科室)
负责人签字:
XXXX医院
XXXX年X月X日
医院电脑使用责任书【3】
为了切实加强北京大学人民医院网站安全管理,增强医院网络为医院医疗、教学、科研、管理和员工服务的功能,规范上网信息审核工作,结合我院的实际情况,特制定本责任书。
一、本责任书适用于所有与医院科室/处室相关的网络内容(含信息平台信息、科室/处室自行设立的网站)。
二、各科室/处室网络内容实行科室/处室主任负责制。确保上网信息内容中不含危害国家安全、社会稳定、医院发展和职工团结的内容,不涉及非法内容,确保上网信息的真实性和准确性,不利用网站从事与医院网站职能不符的活动;科室/处室主任对网站上的链接内容负责;涉及人数较多的大型活动或倡议书等一类信息,须报党委院长办公室审批同意后方可挂网。
三、本科室/处室上网内容由科/处室主任授权专人作为科室/处室网络管理员,科/处室主任对上网内容审签,并将审签表交党委院长办公室备案。
四、科室/处室网络管理员职责:对医院网站后台临时权限保密;科室/处室上网内容上报科/处室主任审批,并将科/处室主任签字的审批表交党委院长办公室存档。
科室/处室:
责任人(科室/处室主任):
_____年_____月_____日
篇3
关键词:信息安全;网络安全危胁;安全防护系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)26-6245-03
计算机网络技术迅猛发展,各发电企业信息化网络日渐普及,成为了企业科技化管理的重要手段。通过对数据的集中、共享、处理使得信息系统为发电企业生产经营、安全生产等各方面提供了巨大的科技支撑。但同时伴随出现的病毒蔓延、不良黑客入侵、流氓软件等多方面问题成为了不得不面对的问题,同时对发电企业的安全生产也形成了巨大的威胁,以此进一步加强发电企业信息化安全是在信息化建设初期首要考虑的问题。
1发电企业面临的网络安全威胁
因为信息网络的互通性,发电企业信息化威胁,既有可能来自本企业内部,也同时可能来源于外部。其内部威胁主要来自于员工、各信息系统管理员等,根据统计,网络安全破坏活动近80%来自于竞争对手、任何恶意的组织和个人。主要表现的安全威胁为:
1)截获用户标识:截获标识指以非法手段取得合法用户的身份信息,主要是用户的帐号和密码,这是绝大多数发电信息系统采用的认证防护措施。如果侵入者得知了某位合法用户的帐号和密码,即便该合法用户并未被赋予其他的特权,也有可能威胁整个系统的安全。如果帐号,特别是密码,被以明文的方式由信息网络传递,侵入者通过安装协议分析软件对网络通信进行监视,则可以轻松获取。如果密码通过明文格式保存在用户的计算机的内存或者硬盘中,侵入者更能够有方法发现并利用这些密码,同时如果密码很简单(如手机号码、用户生日、私家车号牌、用户姓名等),更加容易被侵入者通过软件得知,在网络上大肆传播的黑客工具都是通过几种常用习惯的词典来获取用户密码。
2)伪装:当未通过授权的用户假扮成具有合法授权的用户,登录发电信息系统时就形成了伪装。当未通过授权的用户经过伪装成信息系统管理员或者具有信息管理超级特权的有关用户时,截获用户标识的情况是威胁最大的。应为侵入者已经获取了某位合法用户的标识,或者因为侵入者已经使信息系统相信其拥有另外的而实际上并不存在的权限,所以伪装是很容易出现的。网络地址欺骗实际上就是伪装的一中形式,侵入者通过一个合法的IP地址,然后通过此地址截获已被授予该合法地址的系统或者是服务器访问权限。
3)非授权操作:非授权操作使用信息系统或者资源时,信息网络安全就受到了极大的威胁。例如,企业的发电数据和财务数据有可能被未经授权的侵入者,非法修改并利用。
4)病毒:病毒是伴随计算机技术产生,能够通过不断自我复制,大范围传播,对计算机、信息系统及其数据产生极大破坏的程序。因为病毒具有的隐藏性和可变异性,使得广大用户无法防范。据有关资料调查,99%的企业或者个人受到过计算机病毒的感染,63%的数据和系统损坏来源于病毒。给受害企业或个人带来巨大的时间和人力资源的浪费,同时重要数据文件的丢失和损坏是无法用金钱来衡量的。
5)服务拒绝:通过向发电企业信息化系统发送大量的请求或者垃圾数据,使得服务器的资源被大量占用,直至资源耗尽,使其达到无法继续提供正常服务或者服务器崩溃的目的。在发电企业信息化系统中,这样的攻击可能造成重大的安全威胁。
6)恶意程序代码:伴随着可自执行的计算机程序与WWW站点的集成,恶意程序代码通过Microsoft ActiveX控件或Sun Java程序的大量使用形成了极大的安全威胁。
7)特权滥用:信息系统的超级管理员故意或者错误地通过对某系统的特权来获取其不应获取的敏感数据。
8)误操作:信息系统超级管理员、业务系统管理员、一般用户等因对技术方面熟练度不高,操作时的失误,引起对信息系统安全性、完整性和可靠性的损坏。
9)权限变更:一般用户利用信息系统的漏洞提高其用户等级,以获取未经授权的系统权限。
10)后门:信息系统研发人员出于故意或者为了日后维护便利在信息系统中设置的专用通道,使用其可以不受企业信息系统安全措施的控制。经常被人为利用控制、破坏正常运行的系统。
11)系统研发中的错误和调试不全:其包含对有关数据不进行充分的检查、对系统的逻辑运行定义不准确,同时这些错误和不完善没有通过大量的、齐全的系统调试检查出来,有可能在运行中导致数据被错误生成且引入信息系统,破坏了实际数据的准确性。
12)特洛伊木马:它通过提供一些有价值的或者仅仅是有趣的功能,在用未经用户许可的情况下拷贝文件、窃取用户的帐号和密码、发送用户的重要资料或者破坏用户系统等。木马程序是一种常见的危害性较大的威胁,由于其不易被发现,在一般情况下,它是在二进制代码中被发现,且大多数后缀名都为无法直接打开的文件,其特点与病毒有许多相似的地方。
13)社会工程共计:主要是的是攻击者利用人的心理活动进行攻击,其无需采用高深的科技手段,同时无需入侵系统来完成。仅需要通过向特定用户了解帐号和密码,达到其获取数据或者信息系统访问权的目的。绝大多数情况下、攻击者的主要目标是企业的办公室接待员、行政或者技术支撑人员,通过对这些类别的用户通过电话、EMAIL或者聊天工具等方式即可完成攻击。
2发电企业信息化情况(以五大发电集团某下属发电公司为例)
2.1信息化网络状况
图1
2.2信息化系统状况
1)财务及资产管理(简称:FAM)系统,是集中部署的核心应用系统,涵盖电厂财务核算、费用报销、资金计划、物资采购、库存管理、物资计划、超市管理、合同管理、缺陷管理、检修管理、设备维护等功能模块。
2)OA办公自动化系统。实现下属企业以及与集团公司间收发文交互、内部收发文管理、邮件及通讯目录功能。系统还提供了值班管理、督察督办、会议管理、车辆管理、办公用品等行政办公管理功能。
3)PI实时信息系统:本系统采集、存储DCS系统、电能量、环保系统等实时运行参数,除满足电厂对实施信息的管理需求外,还将有关数据实时传送集成到集团公司实时系统、集团公司生产与营销实时监管系统。
4)电厂多业务管理平台。系统包括运行管理、计划管理、生产统计、班组管理、标准制度、政工管理、监审管理、合理化建议等功能,其中统计、政工、监审等模块实现了与集团公司层面相应管理模块的系统集成。
5)安全管理平台:功能包括安全信息、安全报表、安全检查、工作票、操作票等管理。
6)公司MIS系统:本系统不仅作为下属企业所有管理信息系统入口门户,还提供了项目申报、生产日报、人力资源、融合机制管理、培训考试、安全认证管理、灵活报表等应用功能。
7)档案管理系统:本系统由集团公司统一实施,各单位档案系统建设须按照集团公司统一规划,以便于OA系统统一接口、版本升级、技术培训等。
8)网站系统由各下属企业自主建设和运维管理,界面设计须符合集团公司VI视觉识别系统标准,内容、运维管理遵照公司和集团公司有关规定和要求,严格执行安全保密等有关规定。
3发电企业网络安全防护设计方案
发电企业信息安全体系机构由网络安全防护、数据备份和恢复、应用系统安全、信息安全管理等几部分组成。
3.1网络安全防护
3.1.1系统安全域防护
将企业信息系统通过网络安全域的形式,分为服务器、用户两个安全域,同时划分多个二级安全域,主要为生产信息系统、财务系统、系统管理员、一线生产班组、普通用户等。
3.1.2网络的高可靠性
1)企业核心网络设备采取双机互为热备形式,两台中心交换机设备通过双链路互联;接入层与核心层也通过双链路互联。
2)重要用户安全域通过双链路与企业核心交换连接,进一步保证其链路的可靠性。
3)企业核心业务系统服务器也必须通过双链路接入核心层。
3.1.3防病毒
1)企业管理信息大区按照要求统一部署防病毒系统,采用国内知名品牌网络版。安全区一、二与三区各自拥有自己的防病毒服务器。
2)对管理信息大区的服务器、终端用户,强制按照规定部署统一的可网管的防病毒产品。
3)在互联网接口部署防病毒网关,以防其从外部传播到企业管理信息大区。
4)注重防病毒管理,保证病毒特征码得到有效的更新,通过查看病毒软件的历史记录,了解病毒威胁情况并积极应对。
3.1.4防火墙
在位于内外网接口处部署防火墙一台,采用高性能硬件防火墙,国内知名品牌,具有双安全操作系统;可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式;具备防火墙、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
3.1.5入侵检测系统
在核心层部署一个入侵检测的探头,保证入侵检测系统能够及时发现有关威胁。
3.1.6主机安全加固
发电企业的关键应用系统(如生产营销实施监管系统、财务系统)的服务器,采取定期安全加固的形式。形式包括:定期检查安全配置、安全补丁、加强服务器系统的访问控制能力等。
3.2备份与恢复
对于关键应用系统,必须采用每天定期备份,同时人工每月全备份一次。备份的数据必须采用异地存储的形式,且需做到专人定期检查,防止遗漏。
3.3应用系统安全
管理信息大区中的发电企业应用系统应着重确保其安全性能够得到保证。其主要安全建设内容包括:对系统的访问控制、用户帐号密码及权限管理、操作审计管理、数据加密管理、数据完整性检查等。
3.4信息安全管理
1)通过成立企业信息化领导小组,加强信息工作包括信息安全工作的整体管理;
2)通过制定信息网络管理制度及各级安全防护策略;并通过正式公文下发,严格执行。
3)通过设立专业的信息管理人员和成立涵盖各业务部门的兼职信息员,形成覆盖全面的信息化安全管理网络。
综上所述,发电企业网络信息安全是一个系统工程,不能仅靠杀毒软件、防火墙、漏洞扫描等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,在建立以计算机网络安全硬件产品为基础的网络安全系统的同时,也应树立各个用户的网络信息安全意识才能防微杜渐,构建一个高效、安全的网络系统。
综上所述,发电企业信息安全是一个系统工程,不仅需要入侵检测系统、防火墙等硬件安全设备,同时还要注意信息系统是一个广泛使用的人机互动系统,必须通过系列的安全管理措施和规章制度,进一步强化各级用户的信息安全意识,做到信息安全人人有责、信息安全从自我做起,才能构建起一个高效、安全的企业信息化网络。
参考文献:
篇4
随着近年来信息安全话题的持续热议,越来越多的企业管理人员开始关注这一领域,针对黑客入侵、数据泄密、系统监控、信息管理等问题陆续采取了一系列措施,开始构筑企业的信息安全防护屏障。然而在给企业做咨询项目的时候,还是经常会听到这样的话:
“我们已经部署了防火墙、入侵检测设备防范外部黑客入侵,采购了专用的数据防泄密软件进行内部信息资源管理,为什么还是会出现企业敏感信息外泄的问题?”
“我们的IT运营部门建立了系统的运行管理和安全监管制度和体系,为什么却迟迟难以落实?各业务部门都大力抵制相关制度和技术措施的应用推广。”
“我们已经在咨询公司的协助下建立了ISMS体系,投入了专门的人力进行安全管理和控制,并且通过了企业信息安全管理体系的认证和审核,一开始的确获得了显著的成效,但为什么经过一年的运行后,却发现各类安全事件有增无减?”
这些问题的出现往往是由于管理人员采取了“头痛医头,脚痛医脚”的安全解决方案,自然顾此失彼,难以形成有效的安全防护能力。上述的三个案例,案例一中企业发生过敏感信息外泄事件,于是采购了专用的数据防泄密软件,却并未制定相关的信息管理制度和进行员工保密意识培训,结果只能是防外不防内,还会给员工的正常工作带来诸多不便;案例二中企业管理者认识到安全管理的重要性,要求相关部门编制了大量的管理制度和规范,然而缺乏调研分析和联系业务的落地措施,不切实际的管理制度最终因为业务部门的排斥而束之高阁;案例三中ISMS的建立有效地规范了公司原有的技术保障体系,然而认证通过后随着业务发展却并未进行必要的改进和优化,随着时间的推移管理体系与实际工作脱节日益严重,各类安全隐患再次出现也就不足为奇。
其实,企业面临的各种安全威胁和隐患,与人体所面临的各种疾病有诸多类似之处,我们常说西医治标不治本,指的就是采取分片分析的发现问题―分析问题―解决问题的思路处理安全威胁,通过技术手段的积累虽然可以解决很多问题,但总会产生疲于应付的状况,难以形成有效的安全保障体系;类比于中医理论将人体看为一个互相联系的整体,信息安全管理体系的建立正是通过全面的调研分析,充分发现企业面临的各种问题和隐患,紧密联系业务工作和安全保障需要,形成系统的解决方案,通过动态的维护机制形成完善的防护体系。
总体来说,信息安全管理体系是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进企业的信息安全系统,目的是保障企业的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系统。
针对ISMS的建立,我们可以从中医“望闻问切对症下药治病于未病”的三个角度来进行分析和讨论:
第一,“望闻问切”,全面的业务、资产和风险评估是ISMS建设的基础;
第二,“对症下药”,可落实、可操作、可验证的管理体系是ISMS建设的核心;
第三,“治病于未病”,持续跟踪,不断完善的思想是ISMS持续有效的保障。
望闻问切
为了完成ISMS建设,就必然需要对企业当前信息资源现状进行系统的调研和分析,为企业的健康把把脉,毕竟我们需要在企业现有的信息条件下进行ISMS建设。
首先,自然是对企业现有资源的梳理,重点可以从以下几个方面入手:
1.业务主体(设备、人员、软件等)。
业务主体是最直观、最直接的信息系统资源,比如多少台服务器、多少台网络设备,都属于业务主体的范畴,按照业务主体本身的价值进行一个估值,也是进行整个信息系统资源价值评估的基础评估。由于信息技术日新月异的变化,最好的主体未必服务于最核心的信息系统,同时价值最昂贵的设备未必最后对企业的价值也最大。在建立体系的过程中,对业务设备的盘点和清理是很重要的,也是进行基础业务架构优化的一个重要数据。
2.业务数据(服务等)。
业务数据是现在企业信息化负责人逐步关注的方面,之前我们只关注设备的安全,网络的良好工作状态,往往忽略了数据对业务和企业的重要性。现在,核心的业务数据真正成为信息工作人员最关心的信息资产,业务数据存在于具体设备的载体之上,很多还需要软件容器,所以,单纯地看业务数据意义也不大,保证业务数据,必须保证其运行的平台和容器都是正常的,所以,业务数据也是我们重点分析的方面之一。
3.业务流程。
企业所有的信息资源都是通过业务流程实现其价值的,如果没有业务流程,所有的设备和数据就只是一堆废铜烂铁。所以,对业务流程的了解和分析也是很重要的一个方面。
以上三个方面是企业信息资源的三个核心方面,孤立地看待任何一个方面都是毫无意义的。
其次,当我们对企业的当前信息资产进行分析以后需要对其价值进行评估。
评估的过程就是对当前的信息资产进行量化的数据分析,进行安全赋值,我们将信息资产的安全等级划分为 5 级,数值越大,安全性要求越高,5 级的信息资产定义非常重要,如果遭到破坏可以给企业的业务造成非常严重的损失。1 级的信息资产定义为不重要,其被损害不会对企业造成过大影响,甚至可以忽略不计。对信息资产的评估在自身价值、信息类别、保密性要求、完整性要求、可用性要求和法规合同符合性要求等 5 个方面进行评估赋值,最后信息资产的赋值取 5 个属性里面的最大值。
这里需要提出的是,这里不仅仅应该给硬件、软件、数据赋值,业务流程作为核心的信息资源也必须赋值,而且几个基本要素之间的安全值是相互叠加的,比如需要运行核心流程的交换机的赋值,是要高于需要运行核心流程的交换机的赋值的。很多企业由于历史原因,运行核心业务流程的往往是比较老的设备,在随后的分析可以看得出来,由于其年代的影响,造成资产的风险增加,也是需要重点注意的一点。
最后,对企业当前信息资产的风险评估。
风险评估是 ISMS 建立过程中非常重要的一个方面,我们对信息资产赋值的目的就是为了计算风险值,从而我们可以看出整个信息系统中风险最大的部分在哪里。对于风险值的计算有个简单的参考公式:风险值 = 资产登记 + 威胁性赋值 + 脆弱性赋值(特定行业也有针对性的经验公式)。
ISMS 建设的最终目标是将整个信息系统的风险值控制在一定范围之内。
对症下药
经过上阶段的调研和分析,我们对企业面临的安全威胁和隐患有一个全面的认识,本阶段的ISMS建设重点根据需求完成“对症下药”的工作:
首先,是企业信息安全管理体系的设计和规划。
在风险评估的基础上探讨企业信息安全管理体系的设计和规划,根据企业自身的基础和条件建立ISMS,使其能够符合企业自身的要求,也可以在企业本身的环境中进行实施。管理体系的规范针对不同企业一定要具体化,要和企业自身具体工作相结合,一旦缺乏结合性ISMS就会是孤立的,对企业的发展意义也就不大了。我们一般建议规范应至少包含三层架构,见图1。
图1 信息安全管理体系
一级文件通过纲领性的安全方针和策略文件描述企业信息安全管理的目标、原则、要求和主要措施等顶层设计;二级文件主要涉及业务工作、工程管理、系统维护工作中具体的操作规范和流程要求,并提供模块化的任务细分,将其细化为包括“任务输入”、“任务活动”、“任务实施指南”和“任务输出”等细则,便于操作人员根据规范进行实施和管理人员根据规范进行工作审核;三级文件则主要提供各项工作和操作所使用的表单和模板,以便各级工作人员参考使用。
同时,无论是制定新的信息管理规章制度还是进行设备的更换,都要量力而行,依据自己实际的情况来完成。例如,很多公司按照标准设立了由企业高级领导担任组长的信息安全领导小组和由信息化管理部门、后勤安全部门和审计部门组成的信息安全办公室,具体负责企业的信息安全管理工作,在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员,从管理结构设计上保证人员权限互相监督和制约。但是事实上繁多的职能部门和人员不仅未能提升企业信息系统安全性,反而降低了整个信息系统的工作效率。
其次,是企业信息安全管理体系的实施和验证
实施过程是最复杂的,实施之后需要进行验证。实施是根据 ISMS 的设计和体系规划来做的,是个全面的信息系统的改进工作,不是单独的设备更新,也不是单独的管理规范的,需要企业从上至下,全面地遵照执行,要和现有系统有效融合。
这里的现有系统既包含了现有的业务系统,也包含了现有的管理体制。毕竟ISMS是从国外传入的思路和规范,虽然切合国人中医理论的整体思维方式,但在国内水土不服是正常的,主要表现就在于是否符合企业本身的利益,是否能够和企业本身的业务、管理融合起来。往往最难改变的还是企业管理者的固有思维,要充分理解到进行信息安全管理体系的建设是一个为企业长久发展必须进行的工程。
到目前为止,和企业本身业务融合并没有完美的解决方案,需要企业领导组织本身、信息系统技术人员、业务人员和负责 ISMS 实施的工程人员一同讨论决定适合企业自身的实施方案
最后,是企业信息安全管理体系的认证和审核
针对我们周围很多重认证,轻实施的思想,这里有必要谈一下这个问题,认证仅代表认证过程中的信息体系是符合 ISO27000(或者其他国家标准)的规范要求,而不是说企业通过认证就是一个在信息安全管理体系下工作的信息系统了。更重要的是贯彻实施整个体系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是挂在墙上的一张纸,放在抽屉里的一本书”。
“治病于未病”
企业信息安全管理体系需要动态改进和和优化,毕竟企业和信息系统是不断发展和变化的,ISMS 是建立在企业和信息系统基础之上的,也需要有针对性地发展和变化,道高一尺魔高一丈,必须通过各种方法,进行不断地改进和完善,才有可能保证ISMS 系统的持续作用。
就像我们前面案例中提到的某公司一样,缺乏了持续改进和跟踪完善的手段,经过测评的管理体系仅仅一年之后就失去了大部分作用。对于这些企业及未来即将建立ISMS的企业,为了持续运转ISMS,我们认为可以主要从以下三个方面着手:
第一,人员。
人员对于企业来讲是至关重要且必不可缺的,在ISMS建立过程中,选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中,人员都应该投入多少呢?通常在体系建立过程中,我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施,且此名专员日后要持续保留,负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。
但很多事情是一种企业文化的培养,需要更多的人员甚至全员参与,例如面向全员的定期信息安全意识培训,面向专业人员的信息安全技术培训等,因此对于企业来讲,除了必要的体系维护人员,在ISMS持续运转过程中,若能将企业内的每名员工都纳入到信息安全管理范围内,培养出“信息安全,人人有责”的企业氛围,则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时,还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与,对外也树立起自身对重视信息安全的形象,大力降低外界给企业带来的风险。
第二,体系。
ISMS自身的持续维护,往往是企业建立后容易被忽视的内容,一套信息安全管理文档并不是在日益变化的企业中一直适用的,对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾,这项活动由于也是在相关标准中明确指出的,企业通常不会忽略;但日常对于这些文档记录的更新也是必不可少的,尤其是重要资产发生重大变更,组织业务、部门发生重大调整时,都最好对ISMS进行重新的评审,必要时重新进行风险评估,有助于发现新出现的重大风险,并且可以将资源合理调配,将有限的资源使用到企业信息安全的“短板”位置。
唯一不变的就是变化,企业每天所面临的风险同样也不是一成不变的,在更新维护信息资产清单的同时,对风险清单的回顾也是不可疏忽的,而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转,有效控制企业所面临的各种风险。
第三,工具。
工具往往是企业在建立ISMS过程中投入大量资金的方面,工具其实是很大的一个泛指,例如网络安全设备、备份所需设备、防病毒软件、正版软件、监控审计等各类工具,即使没有实施ISMS,企业在工具方面的投入也是必不可少的,但往往缺乏整体的规划及与业务的结合,经常会出现如何将几种类似工具充分利用,如何在各工具间建立接口,使数据流通共用,哪些工具应该替换更新,数据如何迁移,甚至出现新购买的工具无人使用或无法满足业务需求等问题,导致资金资源的浪费,因此在持续运转ISMS过程中,根据风险评估报告,及信息安全专员反映的各部门业务需求各种信息数据的收集,应对工具进行统一规划,尽量减少资源的浪费。
篇5
关键词: 高校;小专业;教材;信息安全;特色专业;策划
在残酷的市场竞争压力下,如今大多数出版社都不得不在兼顾社会效益的同时,更多地考虑经济效益。毕竟,一家改制成企业的出版社,如果只顾社会效益而忽视经济效益,那么迟早会被淹没在市场竞争的浪潮中。这就造成了高校小专业教材出版的尴尬境遇:教材的利润主要来自于高印量,而小专业教材因为学生人数少、市场容量有限,往往是很多出版社都不愿涉足的“鸡肋”,从而使得其出版相当艰难。小专业教材的市场同类书少且内容陈旧,教材内容无法及时更新,又影响小专业的教学质量和学科发展,从而限制了招生规模,进一步影响教材的大批出版,造成恶性循环。
信息安全专业是一个新兴的交叉学科,目前来说就是一个小专业,各校的招生人数较少。从2001年武汉大学首次开设信息安全专业以来,目前教育部正式批准开设信息安全专业的只有73所高校,另外还有约30多所省属高校开设了信息安全方向,高校总数有100多所,每校招生规模一般为1~2个班(每班30人)。对于工科类的计算机、电子、通信等专业来说,信息安全专业的确是一个小众专业,虽然目前其招生规模还比较小,但毕业生就业形势很好,信息技术发达的今天,信息安全的重要性不言而喻,信息安全专业学生的社会需求是很大的,由此我们判断这个专业有很好的发展前景。
从2008年8月起我们开始调研普通高校信息安全专业的教材情况,通过市场同类书调查、参加教指委会议、走访信息安全专业排名靠前的高校,我们发现,虽然市场上信息安全的图书已经有一些了,但主要以技术类图书及专著为主,真正能作为本科生教材的很少,特别是符合教育部信息安全教指委2009年制定的最新专业规范和教学基本要求的则更少。可见,组织策划一套贯彻最新专业规范和教学基本要求的本科教材是有一定市场需求和出版价值的。基于上述考虑,我们决定组织策划一套普通高校的信息安全本科教材。这套教材我们定名为《普通高等院校信息安全类特色专业系列规划教材》,同时我们争取到了教育部信息安全教指委的支持,成立了以信息安全教指委委员为主,部分重点高校知名教授为辅的高水平编委会。目前这套教材规划的14门核心课程已出版3本,计划到明年9月之前全套出齐。下面就以《普通高等院校信息安全类特色专业系列规划教材》为例,分六个方面,介绍小专业教材的策划思路和心得体会。
一、策划找准切入点,特色定位很关键
其实在我们策划这套教材之前,高等教育出版社、清华大学出版社、国防工业出版社、北京邮电大学出版社等都已出版过信息安全方面的图书,包括教材、技术书及专著,其中也不乏“十一五”国家级规划教材,那么为什么我们这套教材能得到信息安全教指委和各高校的支持呢?一方面是我们抓住了信息安全教指委颁布最新专业规范和教学基本要求的时机,之前的教材由于出版时间早,内容都没有按照专业规范和教学基本要求来编写。各高校也希望能使用内容新颖、符合教指委规范的教材;另一方面,我们抓住了教育部提出的“建设3 000个左右特色专业建设点”这个机会,这也是教育部倡导的本科教学“质量工程”的内容之一。我们策划的这套《普通高等院校信息安全类特色专业系列规划教材》,之前没有其他出版社提出过,与以往的教指委推荐教材或指定教材也不相同,信息安全教指委认为我们这套教材与其他出版社的教材有明显区别,不雷同,同时各高校特色专业建设点也有出版此类教材的需求,所以这套教材才得到了信息安全教指委和各高校的大力支持。
明显的特色。2007年年底教育部和财政部共同下文:《教育部财政部关于实施高等学校本科教学质量与教学改革工程的意见》(教高〔2007〕1号),为了适应国家经济、科技、社会发展对高素质人才的需求,引导不同类型高校根据自己的办学定位和发展目标,发挥自身优势,办出专业特色,“十一五”期间教育部、财政部将投入专门经费,择优重点建设3 000个左右特色专业建设点。结合上述文件精神,我们确定这套教材为信息安全类特色专业教材,并由此确定了主编队伍,主编人员全部来自教育部评选的第一批15所信息安全类特色专业建设点高校,这些高校也是信息安全学科排名靠前的高校,希望他们将各校信息安全的特色教学和科研成果体现到教材编写中。此外,这套教材还将切实贯彻信息安全教指委2009年制定的最新专业规范和教学基本要求,这些将构成本套教材的主要特色。
明确的定位。这套信息安全本科教材,是考虑面向二、三本高校的学生,还是主要面向重点高校学生而兼顾二、三本高校学生呢?我们对此进行了认真分析:目前开设信息安全的高校并不太多,受办学条件和师资力量的限制,二、三本高校的老师还不太容易能独立编写出高质量的教材,但这类高校的招生规模较大,对教材的需求比重点高校学生更加迫切,因此,我们决定本套教材主要面向重点高校学生,同时兼顾二、三本高校学生,由此也确定了编写队伍,即以重点高校的老师为主编,吸收一些一般高校的老师参编,这样既能保证教材质量,又能扩大教材的适用面和用量。
二、按照专业成系列开发
小专业的教材因为单本书的用量较少,单本教材的开发成本及营销成本都很高,所以必须利用经济学上的“整体效应原则”来进行系列化的开发,即按照信息安全专业开设的主要课程来进行整体设计,形成“先修课程和后续课程相互衔接、专业基础课与专业课遥相呼应”的格局,这样也利于后期进行整体营销推广。我们以2009年年初信息安全教指委香山会议上确定的4套专业规范及教学基本要求为基础,调研了10多所高校的教学计划和课程设置,再征求编委会委员的意见,确定了系列教材的14门核心课程。
三、策划思想重在执行
能否将策划思想真正落实,是判断编辑执行力强弱的重要指标。策划思想再好,如果组不到合适的稿件,那么这套教材永远只是计划而不能成书。通过调研和前期策划,我们已经初步勾画出了信息安全特色专业系列教材的轮廓。根据确定的特色、定位及编委会等,我们撰写了项目申请书,编辑拿着项目书,开始走访排名靠前的信息安全特色专业高校,进行宣传和组稿。同时也将编委会委员发动起来,他们也推荐了一些优秀的作者。通过半年时间的组稿,14本教材已经全部确定了主编。主编单位主要来自信息安全类特色专业建设点的名校,其中不乏国家级或省级精品课程主干教材,整体质量较好。
策划一套高层次的系列教材,需要组建一个权威的编委会,利用编委会来进行质量把关和宣传营销。对出版社来说,组建编委会实质上就是整合各方资源,形成一个“磁场”,来吸引高水平的老师参与编写。所以,编委会更多地起审稿把关和对外宣传提升档次的作用,组稿不能完全依靠编委会,还需要编辑自力更生,积极主动,否则组稿效率会很低,影响丛书的整体进度。
四、编前工作赢在细节
一套教材有了好的策划思想,也有了理想的编写队伍,但是如果编前工作做得不好,这套书的质量还是无法保障,整个项目也就将功亏一篑。所以一定要注重编前工作这个细节,细节决定成败。编前阶段是指作者向出版社正式交稿前的写作阶段,也是编辑提供出版服务的重要阶段。这个阶段又被叫做“中耕”阶段。在这个阶段中,编辑需要给主编提供“著译者编写指南”、 “某一门课程的教学基本要求”等。编辑只有做好这个阶段的工作,作者的稿件质量才能得到保证,并能为后期的编辑加工节约时间,提高效率。
审查编写大纲,是进行稿件质量把关的第一步。为了提高这套书的整体编写质量,我们要求主编在编写书稿前要提交详细到3级目录的编写大纲,为此,我们于2010年7月31日召开了这套教材的编委会议,信息安全教指委主任、副主任、10多位编委及教材专家委员出席了会议,另外还有一些感兴趣的高校也派了代表参加。在会上,每位主编用PPT的形式介绍了各自的大纲,编委或教材专家委员现场进行讨论并提出修改意见。通过这次会议,我们吸收了一些院校参与到部分教材的编写中,同时也扩大了这套教材的知名度,提前进行了宣传。
五、营销贯穿策划全过程
教材的营销很重要,小专业教材的营销就更加重要了。不能等到出书之后才想到营销推广,在选题策划阶段就要充分考虑如何开展有针对性的营销,确定营销策略。在策划信息安全这套教材时,我们与北京邮电大学信息安全中心取得了联系,通过多次沟通,双方达成了共识并签订了协议:我们可以利用北邮信息安全中心每年组织全国青年教师培训的机会,宣传推广我们的教材。除了会议营销外,在调研阶段,我们就查询了目前开设信息安全专业的100多所高校负责人信息并录入数据库,为教材出版后赠送样书作准备。另外,等大部分稿件交稿后,我们将制作宣传页,通过发送电子邮件或院校代表走访等形式进行散发宣传。为了宣传这套教材,我们还将为每部书稿确定一位编委会委员作为主审人,一方面是对稿件质量把关,另一方面也利用主审人的学术影响来宣传和提升本套教材的品质。
营销一定要贯穿策划全过程,并且随着策划的深入,还要不断修正原来的营销方案和策略,形成一套比较完善可行的营销方案,并且从一开始就要分阶段逐步实施。
六、团队成长伴随项目发展
出版工作主要依靠的是人,而选题策划更是离不开编辑。策划一个较大的项目,需要做的工作很多,环节也很复杂,一个编辑很难全部承担,所以需要一个结构合理的团队来共同完成。信息安全这套教材就是由我和另一位年轻编辑来共同完成的,我负责总体设计规划、组建编委会及重要稿件的组稿,年轻编辑负责部分组稿、大部分后期生产及营销等工作。
在项目实际运作中常常有一个“谁当项目负责人”的问题,是由部门领导担任,还是由编辑独立担当,还是由部门领导带培编辑?如果项目负责人全由部门领导一人担任,编辑无法深度参与,得不到锻炼机会,能力得不到提高,其工作积极性和主观能动性就得不到充分发挥。我认为“谁当项目负责人”应当视项目的重要程度和编辑的成熟程度来定。如果项目很重要,责任重大,则必须由部门领导牵头来做,在项目运作中尽快培养编辑,编辑成熟后部门领导逐渐淡出,项目具体事务交由编辑来做,部门领导只负责丛书整体规划和选题把关。如果编辑已经有成熟的项目运作经验,不妨放手让编辑担任项目负责人,给予其更大的施展空间和更多的锻炼机会。
