企业安全信息精选(五篇)
发布时间:2023-10-11 17:28:03
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇企业安全信息,期待它们能激发您的灵感。
篇1
企业信息安全随着传感技术、计算机技术以及通信技术的日益进步不断得到社会各个领域的重视,将企业信息安全应用到企业的安全生产、相关事故处理以及日常安全管理中去,从而不断改变企业传统的安全生产结构体系,提高企业安全生产的经济效益,减少企业事故发生的概率。企业安全生产信息管理系统指的是实现企业安全生产和管理的信息化过程,这就需要通过计算机以及相关网络技术实现基本数据的录入、分析和储存等,同时通过因特网以及局域网等实现信息资源的有效传递,并通过计算机技术实现信息资源的有效处理和及时反馈,从而不断优化革新传统企业的安全生产信息管理模式。企业安全信息管理系统的重要核心在于实现企业安全生产的信息化过程,这是一个由网络技术、计算机网络、人以及相关设备构成的管理系统,能够对企业安全生产管理的相关信息进行有效搜集、分析、加工、储存以及传递等,并将信息资源通过网络途径进行安全传递,从而为企业高层管理者提供决策方面的信息资源支持,为企业的安全生产管理提供信息协助管理工具,更好地促进企业的良性运作。
2.企业安全信息管理系统构建的基础
企业安全信息管理系统的构建从一定程度上来说是对传统企业安全信息管理系统的进一步优化完善,是一项十分巨大的系统工程体系,涉及到历史数据分析、管理思想导入以及企业业务流程的整体协调等,企业管理模式的重新架构需要有硬件设备和软件、关键用户的培训等多方面的支持。这些支持主要体现在如下几个方面:一是来自于企业高层管理者的高度重视。构建和运营推广企业安全信息管理系统需要做好重要的基础性工作,加大财物和人力等方面的投入力度,尤其是在企业安全信息管理系统的系统研发、开发阶段以及系统运行的初步调试阶段,这些阶段将会涉及大量的数据导入、数据分析以及数据移植等方面的工作。因此,企业高层管理者以及相关负责人应该对此给予充分重视,成立工作跟进小组,制定合理的管理方案、考核机制以及激励机制等,向全公司明确企业安全信息管理系统是企业未来发展的重要支撑,从而使得全体员工树立起信息安全的管理理念,积极投入到企业安全信息管理系统的开发和实践工作中。二是委托有一定专业技术能力的单位。由于企业安全信息管理系统的构建是一项系统、全面的工程,一方面需要有安全管理的专业人才,在实现企业安全生产管理的基础之上将企业安全管理进行细分,明确各个安全管理模块的内容;另一方面需要有计算机技术、通信技术等方面的人才对企业安全信息管理系统进行实时维护,因此在进行企业安全信息管理系统构建时,可以委托综合水平较强的单位进行全面综合的开发、维护工作。三是构建良好的网络环境。企业安全信息管理系统运行的重要特征是网络化,因此该系统需要在安全的网络环境中进行运行,为企业安全信息管理系统健康运行提供基础保障。四是需要有足够的经费支持和研发时间支持。由于企业安全信息管理系统研发所涉及的软件和硬件设备相当之多,这就需要有足够的研发经费支持。同时在此基础之上,由于企业安全信息管理系统在研发阶段、试运行阶段以及后期的运行阶段,均会出现一系列的问题,这就需要较长的研发时间,才能为企业提供一个较为安全的信息管理系统。
二、基于层次分析法的企业安全信息管理系统分析
1.层次分析法概述
层次分析法指的是将一个复杂问题作为系统性问题来分析,而系统问题一般都是由多个元素构成的,因此可以将系统问题分解为多个层次的问题,并通过设定一定的指标对相应的因素进行量化,进而通过定量的方式找到实现系统目标的最优方式。层次分析法可以深入分析系统问题的各个组成元素,以及他们之间的相互关系。层次分析法可以将定性的问题进行定量化处理,最终得出解决问题的最佳途径。层次分析法的运用步骤如下:首先,构建相应的层次结构,将系统问题划分为措施层、准则层和目标层,目标层指的是系统问题的核心目标,中间的准则层指的是在实现系统目标过程中的主要影响因素,而位于最底层的措施层是实现系统核心目标的基本手段,是系统问题解决的基础和关键所在;其次,构建判断矩阵,对系统层次的重要性进行判断,对不同元素的重要性进行两两对比,并进行相应的赋值;最后,对每个元素的指标进行权重计算。
2.企业安全信息管理体系评价方案
企业安全信息管理体系的评价对企业的整体运行有着至关重要的作用。根据企业信息安全的标准,可以将企业安全信息管理体系评价指标分为十三个核心指标:目标、安全生产投入、组织职责、法律法规安全管理制度、作业安全、安全隐患排查、危源控制、应急救援以及绩效评定和改进等,同时在此基础之上进行进一步的细化,然后得到相应的层次结构表,为层次分析法提供相应的指标参考。(见附表1)最后根据企业实际运营情况,得到相应的层次分析结果,可以知道企业安全信息管理系统的综合评价值为一般水平,说明企业的安全信息管理系统的水平还有待进一步提升。
三、企业安全信息管理系统构建
篇2
安全信息,是反映事物之间安全性状的差异及变化的一种形式。预防和控制事故的信息手段,是指运用安全信息具有的功能,指导安全生产的科学管理,达到预防和控制事故的目的。
一.安全信息的功能和分类
安全信息的应用,是依据安全信息具有反映安全事物之间差异及其变化的功能,从中获知人们对安全工作重视的程度、安全教育、安全检查的效果、安全法规的执行和安全技术装备使用的情况,以及生产实践中存在的隐患,发生事故的情况等信息,用于指导安全生产管理,改进安全工作,消除隐患,以此达到预防、控制事故的目的。同时对安全信息的应用,是在对其科学分类,确立具体的应用方式、方法,在指导实践中体现的。
1.全信息的功能
安全信息主要具有以下三个方面的功能:
(1)安全信息是企业编制安全目标管理方案的依据
企业在编制安全目标管理方案,确定目标值和安全保障措施时,需要大量可靠的信息作为依据。例如,既要有安全生产方针、政策、法规和上级安全指示、要求等指令性信息,又要有企业内部历年来安全工作经验教训,各项安全目标实现的数据,以及生产安危等信息,做为安全决策的依据,这样才能编制出符合实际的安全目标和保证措施。
(2)安全信息具有间接预防事故的功能
安全生产是一个极其复杂的过程,如何对其进行有效的安全组织、协调和控制,主要是通过安全指令性信息(如安全生产方针、政策、法规、安全工作计划和领导指令、要求),统一人们的安全工作和安全生产所为,促进生产实践有规律运动,以此预防事故的发生,这样安全信息就具有了间接预防事故的功能。
(3)安全信息具有间接控制事故的功能
在生产实践活动中,劳动者的各种异常行为,工具、设备等物质的各种异常状态等大量生产异常信息,均是导致事故的因素。在人们运用安全信息的管理方式,获知了生产的异常信息之后,通过采取组织、安全技术等安全管理手段,改变了人的异常行为、物的异常状态,使之达到安全生产的客观要求,这样安全信息就具有了间接控制事故的功能。
2.安全信息的分类
依据安全信息的产生及其不同的作用,可将安全信息划分为以下三种类型:
(1)生产安全信息
生产安全信息来源于生产实践活动,具有反映安全生产情况的作用,具体又分为生产安全信息、危险危害隐患信息及生产事故信息。
(2)安全工作信息
安全工作信息来源于安全生产管理实践,具有反映安全工作情况的作用。具体又分为安全组织领导信息、安全教育信息、安全检查信息、安全指标信息。
(3)安全指令信息
安全指令信息来源于安全生产与安全管理,具有指导安全工作和安全生产的作用。其主要内容有:
1)安全生产方针、政策、法规和上级主管部门及领导的安全指示、要求;
2)安全工作计划的各种指标;
3)安全工作计划和安全措施计划;
4)企业现行的各种安全规章;
5)隐患整改通知书、违章处理通知书等。
二、安全信息应用的方式、方法
1、安全信息应用的方式
安全信息应用的方式,是指依据安全管理的需要,运用安全管理规律和安全管理技术,而确立的对安全信息进行应用管理的形式。归纳起来有如下九种。
(1)安全管理记录。主要包括安全会议记录、安全调度记录、安全教育记录、安全检查记录、违章记录、隐患记录、事故记录、事故调查记录、事故原因分析和处理记录等。
(2)安全管理报表。主要有事故速报表、事故月报表、安全管理工作报表等。
(3)安全管理登记表。主要有伤亡事故登记表、非伤亡事故
登记表、重大隐患整改表、违反安全规定的人员控制表等。
(4)安全管理台帐。主要有事故统计台帐、职工安全管理统计台帐、隐患统计台帐、安全天数等管理台帐。
(5)安全管理图表。主要有安全组织体系图(安全管理机构框图)、事故动态和安全工作周期表等。
(6)安全管理卡片。主要有职工安全卡片、安检人员卡片、尘毒危害人员卡片、工伤职工卡片、新工人卡片、特种工卡片等。
(7)安全管理档案。主要有职工安全档案、事故档案、安全标准、法规档案、计划总结档案、隐患管理档案、违安人员管理档案、安全宣传教育档案、尘毒危害治理档案、安措工程档案、安技设备档案等。
(8)安全管理通知书。主要有隐患整改通知书、违章处理通知书等。
(9)安全宣传形式。主要有安全生产简报、板报、杂志,安全广播、安全标志、安全天数显示板(牌)、安全宣传教育室等。
2、安全信息应用的方法
安全信息既来源于安全工作和生产实践活动,又反作用于安全工作和生产实践活动,促进安全管理目标的实现。因此,对安全信息的应用管理,要抓住安全信息在安全工作和生产实践中流动这个中心环节使之成为沟通安全管理的信息流。安全信息的应用方法是以"收集"、"加工"、"储存"和"反馈"这四个有机联系的环节,促使安全信息在企业安全管理中流通,如图所示:
(1)安全信息的收集。收集的方法和内容如下:
1)利用各种渠道收集安全生产方针、政策、法规和上级的安全指令、要求及有关文件等。
2)利用各种渠道收集国内外安全管理情报。如安全管理、安全技术方面的著作、论文,安全生产的经验、教训等资料。
3)通过安全工作汇报、计划、总结,安检人员、职工群众反映情况等形式,收集安全信息。
4)通过开展各种不同形式的安全检查和利用安全检查记录,收集安全信息。
5)利用安全技术装备、收集设备在运行中的安全运行、异常运行及事故信息。
6)利用安全会议记录,安全调度记录和安全教育记录,收集日常安全工作和安全生产信息。
7)利用事故登记、事故调查记录和事故原因分析记录,收集事故信息。
8)利用违章登记、违安人员控制表,收集与掌握人的异常(不安全行为)信息。
9)利用安全管理月报表、事故月报表,定期综合收集安全工作和安全生产信息。
(2)安全信息的加工
安全信息加工是提供规律性信息,指导安全科学管理的重要环节。对信息进行加工处理,就是把大量的原始信息进行筛选、分类、排列、比较和计算,聚同分异,去伪存真,使之系统化、条理化,以便储存和使用。
1)利用事故统计台帐,对事故类别、等级、数量、频律、危害等进行综合统计分析,进而掌握事故动向。
2)利用隐患统计台帐,对隐患数量、等级、整改率、转化率进行综合统计分析,进而掌握隐患的发现、整改及导致事故的情况。
3)利用职工安全统计台帐,对职工结构、安全培训、人员、发生事故等情况进行综合统计分析,进而掌握职工的安全动态。
4)利用安全天数管理台帐,对事故改变了安全局面,影响安全天数的事故单位、事故时间、类别、等级,以及过去连续安全天数等,进行定期累计,从中掌握企业的安全动态。
(3)安全信息的储存
安全信息的储存具有记忆的功能,以备待用。可以利用如下信息管理形式进行定向、定期储存。
1)利用安全管理台帐,即可对安全信息进行处理,又可对安全信息进行积累储存待用。
2)利用安全管理卡片可以对安全管理人员、工伤职工、特种工、新工人、尘毒危害人员的自然情况和动态变化,进行简易储存待用。
3)利用安全管理档案,可以对安全信息进行综合、分类储存待用。
4)运用电子计算机对安全信息进行加工处理和储存。
(4)安全信息的反馈
安全信息的反馈具有指导安全管理,改进安全工作和改变生产异常的作用。
1)通过领导讲话、指示、要求和安全工作计划、安全技术措施计划、安全法规的贯彻执行,对安全信息进行集中反馈。
2)利用各种安全宣传教育形式,对安全信息进行间接反馈。
3)利用各种管理图表,反映安全管理规律、安全工作进度和事故动态。
4)发现人的异常行为、物的异常状态等生产异常信息,当即提出处理意见,直接向信息源进行反馈。
篇3
【关键词】电力企业;信息安全;风险防御
和谐社会的发展是政治、经济、文化、社会和生态多方面合力的结果,科技的进步使得电力企业意识到亟需尽快的对电力系统进行革新,从计划经济到市场经济体制的改革中,电力企业为了适应这样的变化,加强了对管理体制的合理改变和生产效率的大步提高,拉开了电力系统改革的序幕。安全的信息网络系统的构建是电力企业发展改革过程中至关重要的一个环节,有效的将电力企业的信息安全系统与其管理和考核进行有机结合,更好的服务于电力企业的生产、经营和管理,电力企业安全信息系统风险评估与防御也就成为了电力企业在经济全球化进程中亟待重视的问题所在。
1 电力企业安全信息系统风险评估
1.1 企业规模发展迅速,信息网络安全意识淡薄
电力资源是我们社会生活中必不可少的一部分,电力企业在相对垄断的情况下,发展极其迅速,但在这样的过程中,我们可以看到,大多数电力企业仅仅对基础设施和简单的网络构建有着重视力度,却没有对安全信息系统的风险认识足够,这种情况下必然产生了诸如网络安全防御意识差,对网络信息安全防范的资金投入不足等不良情况的出现。企业规模越来越大,对企业安全信息系统的维护资金投入却并不高,网络安全技术没能及时加强,电力企业也就不能很好的抵御网络风险,对网络入侵也显得无所适从。
1.2 信息化安全资金投入少,管理机制有待完善
电力企业对安全信息网络的建设的重视并不充分,有些电力企业在管理过程中对信息管理部门完全忽视,只是将企业的网络信息安全的管理安排给几个技术员或挂靠到生产技术部门,电力企业作为高盈利企业却对信息安全资金投入并不充分,信息化管理制度也很不健全。电力企业安全信息机制的构建是个长期的系统工程,我们必须注意到构建专门的信息化部门的重要性,才能在激烈的市场竞争中使得电力企业更好的满足其发展体制对信息化管理的需求。
2 电力企业安全信息系统的主要问题
2.1 信息安全化管理未分区
国家电力管理委员会出台的5号规定,对电网企业、发电企业、供电企业等电力相关企业做出了有关其信息安全网络业务系统构建的明确规定,将这些企业的计算机和网络技术系统大致分为了管理信息的部分以及生产控制的区域。信息管理区域可以依托各个企业不同的经营管理模式对安全区进行划分,而生产控制区域一般来说应该由可控制区和非可控区两大部分构成。在这样两个大的区域之间,电力企业必须在国家电力监测认定部门的监督下安装电力生产专用的单向横向安全的隔离装置。如若不能很好的遵从这样一个标准对电力企业网络系统进行管理,就经常会出现企业管理信息大区部分网络直接可以对生产控制区域的数据进行访问,出现网络安全事件,影响电力企业的安全生产和发展。
2.2 网络端口接点存在风险
互联网技术的革新的步伐越来越快,企业的网络系统安全建设却并不牢靠,在部分环节仍然十分脆弱,在电力企业的信息安全网络建设中, Web程序漏洞、系统漏洞不断出现,对病毒的侵入无力抵抗,为黑客、病毒制造者提供了入侵的机会,这些信息安全威胁的发生可能会引起电力企业网络安全系统的瘫痪和网络故障,为企业造成了这些安全威胁使得企业利益造成了巨大的损失。在最近的一项调查数据中显示,电力企业中遭受到的网络安全信息系统威胁中约有70%是由于网络系统内部的危险侵袭。这种危害的可能发现于诸多方面:对于敏感数据的滥用,对于内部员工的信息监管不力使得信息泄露都提升了企业的运行风险。
2.3 互联网病毒的侵害
从口语传播时代到印刷传播时代,直至现在的网络传播时代,互联网的高速发展使得网络病毒也迅速得以传播和扩散。诸多的电力企业网络内外相连,覆盖范围相当广泛,网络病毒经常可以有机可乘,牵一发而动全身,从一台电脑的病毒侵害到整个电力网络系统,造成网络通信的阻塞,使得整个系统中的文件和关键数据得不到完整的保存,造成不可预计的后果。
2.4 信息安全人员防范意识较低
电力企业信息防范人员对信息安全应用系统的管理是保障信息网络安全系统的重要一部分。数据库操作系统的规划和防范都离不开信息安全人员的有力防范,但在如今的电力企业信息安全系统的管理过程中,相关人员防范意识低下的情况屡屡发生,由此引发的网络安全漏洞泄露了电力企业机密信息,造成了很大的安全隐患,使企业遭受安全冲击。用户的网络安全防范意识低下是现如今网络安全的通病,大多数的用户都认为网络自身有着一定的自我安全防范意识,对电脑提示的病毒预警视而不见,电力企业中也没有很好的避免这一点,部分工作人员重技术轻管理,网络安全信息管理机制的不完善,也给企业的网络带来了十分大的管理风险,这就迫切的要求应该对网络的安全机制进行完善,也应该主动自高工作人员自身的安全防范意识。
3 电力企业安全信息系统风险防御
3.1 防火墙技术的运用
防火墙技术是现今社会经常用于互联网风险防御的重要手段之一,多用于将可信任网络和非信任网络之间相隔开来。电力企业的生产经营和管理的过程中的运行调度中都应该加强在安全检查中对网络节点的关注,限制对含带危险信息的领域的访问。电力企业在生产经营、分散控制和运行调度的过程中对防火墙技术的运用有效的将信息的采集、整合和应用都限制在可掌控的范围内,在不同的权限内最大限度的合理的运用着相关资源。
3.2 网络病毒侵袭的防护
电力企业关系着国家重要电力资源的开发和应用,为了保护电力资源的安全,必须要从内到外的构建起全方位的网络病毒防侵害系统,更好的对来自于各个方面的病毒信息进行防护。只有提高了企业的整体安全性,在互联网和周边的局域网内都安装好防病毒侵袭的安全网关和内置的病毒防护软件,才能使得电力企业免受网络病毒的侵袭,各个方面的数据得以安全与稳定的保存。
在电力企业的网络准入控制系统中,对接入点客户的安全策略检测和身份认证都是必不可少的,若不能通过检测的用户应该被严令禁止在网络之外进行隔离。无论是无线用户还是有限用户,都将面对互联网访问客户端从验证、授权到阻止未授权的计算机网络资源的过程,只有在一系列的检测中得到审核通过才可以拿到进入内部网络的通行证,网络病毒越来越厉害,愈发侵入性越强,对此,电力企业对客户端主机应该进行更加严密的考察,不间断的对病毒特征信息库进行更新,维护好网络的完整和安全性。
3.3 虚拟网的数据备份技术
互联网技术的网络拓扑结构设置,加之很好的利用交换机、路由器等功能设置,可以使网络管理员将任何一个相关局域网内的一些网段结合起来,组成一个局域网。在这个局域网里的信息传递速度更加迅速,传播速度的加快使得网络信息安全生产过程中的管理效率得到提高,使得电力企业的数据被窃听的可能性不断的降低。与此同时,现在电力企业在大多数情况下都会对重要的资料进行数据库的备份工作,这样构建起对电力企业信息网络安全系统的应急预案,可以在出现网络侵袭时及时的对关键业务和应用程序进行保护,确保核心数据系统在出现损害时,企业核心安全得到保护。
3.4 终端设备的网络准入控制技术
可采用基于网关认证的硬件控制技术,实现对通过无线网络、有线网络、VPN网络、wifi网络等方式连接的设备进行接入控制。同时,采用“报备重定向+注册重定向”的双重认证保护技术,对非法接入的终端设备进行强制重定向安全检查。对不符合安全等级要求的终端设备,可根据系统策略限制用户接入网络或将其访问限制在隔离区。
网络准入控制技术应以细致、准确、迅速为原则,对网络资源访问进行控制,尤其是一些核心的网络应用,包括C/S、B/S以及服务器应用;以精益化的客户端联动管理为核心,基于多种授权方式,包括单用户授权、用户组授权、白名单授权等方式,实现对未受控客户端实施不同用户级别的可靠便捷的接入控制。
4 结论
电力企业的安全信息系统是电力企业信息化管理的重要内容之一,有效的对电力企业安全信息系统将要面临的风险进行评估并且提出切实可行的防御措施,是保障电力企业现代化管理的有力手段。随着近些年来互联网技术的增强,电力企业的安全系统构建也愈发的完善,为电力企业的良性循环运行提供了必要的技术支持和保障,因此,我们应该重视对互联网信息的保护,防御病毒的侵害,为为电力企业的安全信息系统的正常运行营造起安全的网络环境。
参考文献:
[1]陈伟.电力系统网络安全体系研究[J].电力系统通信,2008(01).
[2]牟奕欣.关于电力系统的网络安全的探讨[J].中国经贸,2010(14).
篇4
一、目前企业网络信息安全管理中存在的问题
目前各级供电企业对信息安全日趋重视,但主要侧重于防备外来未授权用户的非访问,并过于注重如防火墙、入侵检测等技术问题,忽略了信息安全中人的管理,造成了几个突出问题:
1、人员安全意识淡薄
由于系统的专业教育与培训不足,许多专业技术人员仍然抱着“防火墙等于安全”的侥幸心理,缺乏“防黑防毒”的意识和内部员工操作失误或恶意攻击的警惕性,对信息安全采取的防护措施非常简单。大多数信息系统使用员工对信息安全知识和技能掌握不够,认为信息安全只是技术部门的事,安全防护意识不强。
2、网络信息机构不健全
有些供电企业没有专门的信息技术运行机构或没有规范的建制和岗位,人员配置又偏少,而且信息系统架构的分散也导致人力资源不集中,信息战线拉得大长,几乎没有时间关注信息安全。由于IT技术发展很快,基层信息技术人员得不到相应的培训,难以对日新月异的IT技术中有关主机、操作系统、数据库、网络、存储、安全等方面作全面的了解和掌握,运行维护能力低下,系统安全监控不到位。
3、网络信息安全管理专业化程度不够
大多数基层供电公司缺乏专门的信息安全监督管理机构,或者没有配备专业的信息安全监督管理人员,或者只设兼职。由于缺乏信息安全管理专业知识和技能,对信息安全特殊性认识不足,难于发挥有效的信息安全监督管理,使信息安全管理工作处于一种似管非管或基本不管的真空状态。
4、管理制度滞后且执行不力
随着国网公司集中集成工作的展开和信息网络基础建设不断加强,原有的信息安全管理制度已相对滞后,而且有些制度不完全适合基层实际,个别条款操作性较差,难于执行,这就造成制度执行不力、有章不循、违规操作,这些都增加了信息安全风险。
二、加强企业网络信息安全管理的几点建议
1、加强全员网络信息安全意识教育
通过普及信息安全知识教育,提高企业员工网络信息安全知识和安全意识,掌握发现、解决某些常见安全问题的能力。信息安全教育的具体内容一般应包括以下内容:(1)信息安全所面临的风险;
(2)企业信息安全方针及目标;
(3)企业安全管理规章制度;
(4)与信息安全有关的其它内容。通过安全教育使所有员工增强整体信息系统的安全防护意识。
2、加强企业员工相应技能培训
为了确保企业员工在日常工作过程中具有保护企业信息安全方面的能力,应当加强对员工计算机安全技能培训,教育员工平时应做到所有操作应符合规定、不得向他人泄露自己的操作口令、不访问陌生的网站、不浏览或打开一些来历不明的邮件及附件、外来光盘、U盘等存储设备须先杀毒后使用、发现问题立即通知技术人员处理等基本的安全技能。
3、健全信息技术部门建设
根据需要合理配置信息技术人员,加强信息技术队伍建设,明确机房管理员、网络管理员、应用系统管理员、数据库管理员、防病毒管理员、运行维护员等岗位配置,重要岗位设置A、B岗,落实岗位职责具体到人。对技术人员应注重技术培训,可以定期或不定期参加各种针对性的技术培训,增强技术储备力度。
4、加强信息安全规章制度建设
建立健全适应企业实际的安全管理制度是信息安全管理的前提。标准化的安全管理,能够克服传统管理中个人的主观意志驱动的管理模式。应在对企业信息安全评估下,根据单位实际情况,遵照上级有关规定,制定出切实可行、全面的安全管理制度。如:保密制度、机房管理制度、网络运行管理制度、应用系统运行管理制度、设备维护工作制度、值班制度、计算机系统使用规范等,管理制度应明确描述所有信息技术人员以及信息系统使用人员的信息安全职责和信息系统日常使用规范,规范信息系统操作流程,减少人为失误。
5、建立安全监督保证体系
成立安全领导小组,由分管领导抓信息安全工作,并设置一个独立于信息技术部门的信息安全管理监督部门作为企业的信息安全日常管理机构,根据信息系统安全需要设定安全事务的职位,负责企业范围内信息安全监督管理工作。各部门应配备计算机技能较强的信息安全专兼职人员,负责所在部门信息安全制度的落实和执行,形成良好的信息安全监督保证体系。
6、加强信息安全考核力度
篇5
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据中国证券监督管理委员会颁布的《证券期货业信息安全保障管理暂行办法》,制定《证券期货业信息安全保障管理体系框架》。
在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
参照 ISO/IEC 27001:2005中提出的证券期货业信息安全保障管理模型(简称模型),采用立方体架构。顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构,侧面是各个机构为实现信息安全保障目标所采取的措施和方式(组织、管理及技术体系)。
本管理体系框架遵循如下基本原则:责任制原则,依据“谁主管,谁负责”、“谁运营,谁负责”的基本原则,明确行业内各主体单位信息安全保障的管理责任;系统性原则,以动态保障的安全观为指导,体现安全与发展并进、管理与技术并重、长效机制与应急防御相结合的综合保障体系;适用性原则,在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
信息安全目标
证券期货业信息安全保障管理体系的目标是保障网络与信息系统的机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性。机密性是数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性是保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。可用性是数据或资源的特性,被授权实体按要求能访问和使用数据或资源。真实性即信息接收者能够通过有效的手段来识别信息是否是声称者所发送。可审计性即每个经授权用户的活动都是唯一标识和监控的,以便对其所做的操作内容进行审计和跟踪。抗抵赖性即保证发送信息的行为人不能否认自己的行为,使发送行为具有可信度。可靠性即保证合法用户对信息能够进行读取和修改,防止非法用户对信息进行恶意篡改和破坏。
行业组织结构
证券期货业安全保障管理组织结构采用 “统一组织、分层管理、交叉协调”的管理结构,划分为三层:决策层、管理层、执行层。
决策层
决策层由证券期货业网络与信息安全保障协调小组(以下简称协调小组)构成,协调小组由中国证券监督管理委员会及“5(交易所)+1(登记结算公司)+2(行业协会)”组成,是证券期货行业信息安全的最高决策机构,以建立安全的信息系统、保障投资者利益为目标,制定框架性的信息系统安全指导方针,明确信息安全保障工作的基本方向和主要内容,颁布信息安全保障工作的行业条例与规定。
协调小组还将根据证券期货行业信息系统发展趋势和信息安全发展趋势,定期对指导方针做出调整,研究和分析信息安全建设对证券期货行业发展的价值和影响,确定信息安全保障工作的发展方向和基本工作节奏。审定并颁布行业信息安全保障工作的规定和制度,协调行业内部及外部资源,具体包括,信息安全保障工作指导方针、信息安全保障工作管理体系、信息安全保障工作管理流程、信息安全保障工作监督规定。审定并颁布信息安全保障工作的监督机制,并颁布相关监督制度和管理流程。
管理层
管理层由行业主管职能部门、行业自律组织和行业相关的管理与促进机构构成。行业主管职能部门包括中国证监会信息安全管理职能部门及其派出机构(各地的证监局、证管办),行业自律组织包括中国证券业协会、中国期货业协会、技术标准委员会,相关的管理与促进机构成员包括证券交易所(上海证券交易所、深圳证券交易所)、期货交易所(上海期货交易所、郑州商品交易所、大连商品交易所)、登记结算公司。
行业主管职能部门负责起草并报批行业信息安全保障工作的规章和制度,协调专家顾问、行业成员等各方面的资源,对协调小组颁发的信息安全指导方针做技术与标准的支持,为其他成员执行指导性方针提供支持,并及时了解业务发展对信息安全的新需求,反映给协调小组,并根据证监会的信息安全保障工作相关规定,提出技术标准与实施细则。协调专家、顾问和行业标杆企业为各个安全主体进行信息安全保障工作的咨询。
行业自律组织针对行业特性制订信息安全保障相关自律性公约、标准、规范与指引等,并要求其会员单位严格遵守自律公约,并对违反公约的行为进行处理。相关的管理与促进机构作为市场网络与信息系统的核心,其信息系统运行状态很大程度上依赖于会员单位的信息安全级别,应对其会员单位进行严格要求,依据行业信息安全保障管理相关管理规范,制定相应的管理细则和技术标准,督促其会员单位落实,并对安全边界进行严格管理。
执行层
执行层指市场各个参与主体,包括交易所、登记结算公司、通信公司、证券公司、期货公司、基金管理公司、投资咨询机构等。
安全保障领导小组是各主体单位信息安全最高领导机构,对协调小组关于信息安全建设的指导方针进行目标分解,结合本单位业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程,并授权执行机构进行信息系统安全建设与运维。主要工作内容包括制定符合监管机构规定的信息安全保障方针政策,根据企业自身信息安全保障工作的方针政策建立信息安全保障工作的策略体系,监督并指导企业自身的信息安全组织、管理、技术体系建设。
安全保障工作小组是各主体单位执行信息安全保障的具体机构,根据安全保障领导小组制定的信息安全建设策略、计划、流程执行信息安全保障工作。主体单位对自身信息安全现状的评估,建设信息安全组织、管理、技术体系,完善信息安全组织、管理、技术体系,对出现的安全事件进行处理。
在组织体系上,决策层进行法规颁布,对管理层和执行层进行工作指导,管理层对决策层制定的相关法规进行细化,执行层根据行业规则进行信息安全保障体系建设,并将组织信息上报管理层和决策层。在管理体系上,决策层对管理层进行监督管理,管理层对执行层进行评估检查,执行层将信息进行上报给决策层和管理层。在技术体系上,由执行层将技术实现方案和实施结果上报给管理层,管理层对成功经验在执行层进行推广。
信息安全保障实现方式
