时间:2023-10-10 10:36:02
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇信息安全管理要求,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
国家、省市已经颁布各种法律法规,各大单位也根据自己的具体情况,建立了自己的规章制度,维护信息安全已经有法可依。但是信息安全管理工作涉及的知识面非常广,需要了解国家信息安全管理法规,需要学习信息技术一般理论,需要知道信息安全漏洞知识,需要明白信息安全禁令范畴。为提高学习效率和质量,全面掌握信息安全理论和方法,按照信息安全管理知识体系,建设信息安全管理教学系统,提供学习信息安全管理的教学条件,从而为各方面人员学习和执行各种规章制度提供依据。相比其他管理工作,信息安全管理工作需要比较多的理工专业基础和比较高的电脑技术要求,在实际的信息安全管理工作中,需要灵活的信息安全管理处置能力,更多的是判断信息安全问题、识别信息安全陷阱、规范信息安全管理。由于知识背景和工作性质特点,管理干部需要花费更多的时间和精力学习信息安全管理知识和技术,才能具备基本的信息安全防范技能。为帮助他们更好地独立处置信息安全管理问题,掌握发现问题解决问题技能,依据现代教育理念和方法,不仅需要提供深入浅出、知识完备的知识体系学习训练系统,而且需要信息安全管理能力训练系统。
二、信息安全管理培训思路
为满足信息安全管理工作在人员培训方面的需要,需要依托各级培训学校,按照国家和省市地方的制度法规,借助现代教育思想,借助现代教育技术,明确符合实际需要的功能定位,建设信息安全管理复合应用型人才培训体系,实现信息安全管理工作对培训教育、终身教育的培训要求。
1.培训依据
(1)依据各种信息安全管理制度法规。信息安全人员在履行工作职责的时候,必须按照各种信息安全管理法规、制度和要求实施,制订人才培养方案和教学计划必须依据国家、省市和本部门的信息安全管理的相关规定,这样的教学内容才能保证人才培养的针对性和实用性,保证管理干部履行信息安全管理职责的有效性。涉及信息安全制度法规的相关文件很多,有的是专门为信息安全制订的,有的制度和法规散落在各个业务管理制度中。在建设信息安全管理知识体系时,必须将业务部门的相关规定融入知识体系中,使得管理干部在处理具体业务中的信息安全管理工作具有针对性和有效性。
(2)符合培训教育特点规律。信息安全管理技能是从事管理工作人员的基本技能,属于岗位专业培训或专业技能培训,属于培训教育培训。受训人员专业背景不同,理论基础不同,学习能力不同,必须避免材、统一授课、统一训练、和统一考核的传统教学模式,采取因人而异、因材施教的有针对性的教学方式,强调个性化学习,将不同层次受训者的信息安全管理能力达到信息安全管理工作所需要的水平上来。
(3)遵循现代教育思想。在实施教育训练过程中,现代教育思想要求采取“学为主体、教为主导”的教学理念,学员能够方便地获得完整的知识体系和解决问题的技能和方法,自主学习,开放学习,自主理解、掌握知识和技能。为实现教学目的,需要分析信息安全管理技能特点,需要分析管理干部学习动力,结合教学目标,设计学员学习和训练的教育训练环境,提供完整的知识体系、丰富的教学资源、模拟的问题情况、交互的学习平台和方便的使用途径,提供与培训教育特点规律和技能训练要求相适应的培训条件。
2.信息安全管理培训目标
按照信息安全管理工作的实际情况,培养信息安全管理工作中管理、业务和技术三支人才队伍,突出业务和管理人才需要,兼顾信息安全技术人员的人才培养,以现代教育思想为指导,以信息技术为核心支持技术,建设满足信息安全人才培养的现代培训条件。信息安全管理培训以管理干部为培训对象,以信息安全管理工作为培训内容,区分信息安全管理人员、业务干部和信息技术专门人员等不同层次,跟踪信息安全管理形势,实行阶段反复轮训,以适应信息安全管理不断发展的需要,确保信息安全管理工作的正常开展。
三、信息安全管理培训环境构建
为适应信息安全管理培训需要,适应管理干部培训教育需要,必须构建遵循信息安全管理规定、符合现代教育思想、依托信息技术手段、瞄准复合型适用人才培养的教育环境。信息安全管理培训条件涉及面很广,包括组织机构、舍堂馆所、师资队伍、后勤保障等等,这里我们更关心符合培训思路的培训模式和教学支持。从知识体系、学习途径、训练场所和训练系统多方面着手,构建信息安全管理训练体系,构建管理人员信息安全人才培养条件。依据教育信息化研究成果和培训教育教学特点,需要建立完整的信息安全管理知识体系,建立开放式、自主式教育网络平台,建立强时效性的教学资源体系,建立信息安全管理知识测试系统,建立信息安全管理能力训练系统,等等。
1.构建信息安全管理知识体系
培训教育的一个特点就是受训对象知识背景和技能掌握程度千差万别,必须首先建立完整的知识体系,以满足不同基础、不同需求受训者对知识掌握和能力训练的要求。知识体系必须建立覆盖学科知识和管理手段的所有内容,包括理论体系和教学资源两部分,其中理论体系包括基础知识、安全理论、规范制度、管理方法、历史沿革、防范手段和操作方法,教学资源包括现状分析、经典案例、技术讲解、训练题库和数据模型,适应和满足每个受训对象的需求。为满足个性化服务需要,可以按照知识点建设模块化框架结构,设计具备菜单选择功能的专家系统,允许受训者建立适合自己的个性化教学计划和实施方案,确保受训者完成培训任务后胜任安全管理的岗位需要。可以建立智能教学计划生成系统,系统对每位受训者进行知识和技能测试,按照教学目标,根据测试结果,将该学员没有掌握或掌握不够的知识内容和技能形成列表,从知识体系中搜寻相关知识和技能的概念、理论、技术和操作技能,形成该受训者个性化的教学计划。随着信息技术的发展和信息安全管理需求的变化,信息安全管理知识体系应该是动态更新的,剔除修改陈旧的,充实替换实用的。
2.搭建开放、共享和交流的网络平台
网络平台是信息资源共享的基础,是交流互动的基础。按照学科专业建设与管理规范建设知识体系,以数字化形式在互联网,实现信息安全管理教育资源共享。作为资源共享平台的网络平台,不仅为建设者资源共享提供平台,而且可以为学习者提供资源上传服务,成为学习者之间相互交流资源的共享平台,更为信息资源积累提供了很好的机制和存储条件。网络具有两个特点,一是允许网络用户365天24小时使用,可以提供受训者随时学习和训练,二是允许网络用户在任何有信息覆盖的地方登录,可以提供受训者随地学习和训练,这两个特点打破了传统教学时空的限制,为学员自主学习、教师开放教学、师生互动交流提供了可能,也为实施现代教育思想提供了条件。
3.建立虚拟讲堂
优秀教师的讲授可以将学习效果演绎得趣味精彩,可以将学习内容组织得明白易懂,可以将现实运用解析得透彻自然。为更多学员获得完美的教学体验,为积累并共享优秀教学资源,为学员快捷准确全面理解知识运用知识提供帮助,记录、整理并优秀教师或专家授课录像,供更多受训者学习参考。教学录像在网上成为虚拟讲堂,成为不同专业不同时期受训者良好的教学资源,目前全球风行的慕课,可以成为这种培训目的的教学模式,成本低,效益好。因为技术层面的因素,信息安全管理知识体系在理论基础和原理解释有大量不易理解的知识点和疑难问题,学习时需要佐证的理论和严谨的逻辑,需要传授者环环相扣的谨密推演,因此针对重要知识点和疑难杂诊的讲授片段是受训者自主式学习时需要的重要教学参考资料。各个大学基本都建设了网络课堂,为虚拟讲堂建设提供了很好的技术平台。依据此平台,建设信息安全管理和教学资源和网络课程,可以构筑完整的知识体系,为培训教育自主式学习提供了很好的学习资源。
4.建设信息安全管理实验室
培训教育能力训练是教学环节中的主要部分,验证理论、观摩操作方法和训练技能需要包括场所、设备和软件等实验条件,实验室是完成实验任务和检验方法效果必须具备的教学条件。理论、方法和技能的实验和训练是信息安全管理培训需要完成的教学环节,这些需要信息安全专业实验室的支持。信息技术具有可设计、可复制、可重用的特点,使得基于信息技术的教育训练条件具备降低训练费用、提高学员学习自主性、提供学员反复学习等长处,结合音频处理技术、视频处理技术、三维动画技术,可以为学员学习提供强烈逼真的感官刺激、美轮美奂的艺术表现和自主操控的虚幻体验。从训练目的而言,实验室可以分为虚拟实验室和能力训练场两部分。
(1)虚拟实验室。信息安全管理涉及大量技术手段,信息安全技术攻击和防范具有不可见、不易理解的特点,需要显而易见、通俗易懂的形象展示。虚拟实验室是依托信息技术按照实验室运行规律、要求和任务,以网页形式在计算机网络上建立的可以模拟实验室运行的软件系统。虚拟实验室内设信息安全管理所需要的各种理论、方法和技能引擎,可以多维形象地反复演示信息安全管理的理论、方法和技能,可以允许受训者以第一人称介入并依据受训者干预情况展示相应信息安全分析结果,虚拟实验室可以记录并考核受训者实验过程和成绩。
(一)基层央行的信息安全工作的内容
央行作为国家政府和大众认可的组织机构有着其他任何银行不具有的功能,央行调控其他社会上各个银行的借贷比例,调控市场上的资金数量,而且具有发行资金货币的功能,为保证其他银行的正常运营和管理,所有银行都需要向中央银行定期缴纳存款保证金,在其他各个银行发生资金危机时候可以向央行借贷资金。基层央行是央行在各个地方的分支机构,具有执行和监管央行工作实施情况的基本功能。
(二)基层央行的信息安全管理工作开展的意义
在日常的生活和工作过程中,并不是人人都是理财管理专家,社会大众对于劳动得到的财富的管理和控制远远不够,在这样的情况下银行就成为人们储存各种财富资金的主要地方。大众把自己的资金存入银行,银行拥有这些资金可以用于社会生产制造,为大众和社会发展创造收益,银行定期向大众返还利息,因此,银行的信息安全管理工作也是大众最关心的问题。基层央行作为信息安全管理的基层支持者,信息安全管理工作的效率决定了社会大众的财产安全,同时也决定了社会财务的安全,这对于社会发展和社会财务的管理有着重要的意义,尤其是社会财富的安全,基层央行必须要保证信息的安全,银行的工作人员要遵守自己的职业规定和职业道德,不泄露他人的银行信息和资金信息。做好信息安全工作对于维持社会稳定,保证社会财富的安全性,提高社会管理职能和效率都有非常重要的实际价值和意义。
二、基层央行信息安全管理工作存在的问题
基层央行的信息安全管理工作的效率和成果一直是社会和政府关注的重点,也是大众最关注的银行管理问题。尽管随着科学技术的发展和进步,基层央行的信息安全管理的技术和方法都已经得到了相当大的改善,但是不可否认的是,在这个过程中基层央行的信息安全管理工作仍然还存在着很多的问题,这些问题的存在给基层央行的信息安全管理带来了一定的影响,同时也给大众的资金、财产安全带来了威胁,以下主要针对基层央行信息安全管理存在的问题展开详细的分析和研究。
(一)基层央行信息安全管理工作人员的信息安全管理意识有待提高
基层央行的信息安全管理的工作人员是保证基层央行所有信息安全最直接的工作人员,所有的信息安全管理工作都必须要由他们来掌控,但是结合当下的实际基层央行的信息安全管理工作现状可以看出,基层央行的信息安全管理工作人员在银行信息管理和信息安全方面没有认真端正自己的思想,管理意识不够强,在实际的工作中并没有采取应有的严谨工作态度,实际上这主要是由于银行的管理疏忽造成的。如果银行能够加强对这些信息安全管理工作人员的监管力度,提升他们的工作能力和个人素质,这样的问题就可以避免,但是如果基层央行在管理过程中意识不到这个问题的严重性,这些信息安全管理的工作人员就很有可能会由于自身的原因导致银行的安全信息泄露,给银行和银行客户的安全造成严重的后果。
(二)基层央行的信息安全管理配备的科学技术人员不够科学、合理
实际上基层央行的信息安全管理需要的不仅仅是人工操作,更需要的是科学技术人员的配合,因为在实际的基层央行信息安全管理过程中需要用到很多的电子设备,大多数银行以及客户信息都需要通过这些设备智能化地存储和记忆,因此这些设备的研发和操作人员就是整个基层央行信息安全管理工作的核心,这些技术人员的分配以及工作效率都会影响到实际的基层央行信息安全管理工作的开展效率。从目前的基层央行信息安全管理工作现状可以看出,在实际的安全管理过程中存在的两个比较严重的问题:一是基层央行这样的科学技术人员非常欠缺,在某种程度上影响了基层央行的信息安全管理工作的顺利开展;二是基层央行的信息安全管理的方法和技术不到位,导致了在实际的安全管理操作过程中经常会出现失误,给基层央行的信息安全管理工作带来了非常大的影响。
(三)基层央行的信息安全管理制度
不完善管理制度是管理工作开展的基本条件,同时也是央行信息安全管理工作开展的必备条件。在实际的央行管理过程中,严格的管理制度是保障基层央行信息安全管理工作正常开展的根本。但是从目前的发展现状可以清楚地看出,基层央行的信息安全管理制度还不够完善,这在根本上影响了基层央行的信息安全管理工作的开展。从基本的制度设置和实施方面来说,造成这一问题的主要原因:一是基层央行的管理工作和管理意识不够达标,最终影响了制度的制定和实施,从而也影响了基层央行的信息安全管理工作的开展;二是制度制定者对于基层央行的信息安全管理工作的内容以及工作的重要性没有一个科学合理的认识,最终影响了基层央行的安全管理和信息管理。因此制度的完善和执行情况必须要得到相关部门的重视,只有这样才能使得基层央行的信息安全管理工作效率有所保证。
(四)基层央行的信息安全管理系统应急措施不完善
基层央行的信息安全管理应急系统主要是为了保证在发生突发的央行安全信息泄露或者重大信息安全问题时,及时对这些问题进行处理,挽救过失,并将对社会和大众的影响和损失降到最低的一个系统。可以说,应急系统是保证央行信息安全管理的最重要系统,但是结合当下的实际情况看,基层央行信息安全管理系统的应急措施并不能满足实际的需求,而且还有可能会在关键时刻失去原有的功能和作用。因此在实际的应用和发展过程中,必须要着重提升其功能和使用效率,使之能够更好地为央行的信息安全管理工作服务,更好地为保证社会安全和大众资金安全服务。
(五)对基层央行的信息安全管理的监管不到位
基层央行作为社会和大众财富的集中地,社会和大众应对其工作具有较强的监管能力,但是在实际的应用过程中,社会大众并没有行使其基本的权力,没有对基层央行的工作,尤其是基层央行的信息安全管理工作进行监管。社会相关部门尽管对基层央行的工作进行了监管和控制,但是在监管的过程中并没有按照实际的监管要求对这些基层央行的管理工作内容和执行情况进行监管,并且过于注重形式,没有实际的工作。因此对基层央行信息安全的管理应是基层央行在未来的工作中必须要解决和完善的地方。
三、提升基层银行信息安全管理工作效率的方法和措施
通过以上对基层央行信息安全管理过程中存在的问题的分析和讨论可以看出,基层央行信息安全管理工作确实存在很多问题,解决这些问题不仅是社会发展的需求,同时也是大众对于其财产安全管理的需求。以下主要针对提升基层央行的信息安全管理效率的方法和措施展开详细的分析和研究。
(一)提升基层央行信息安全管理工作人员的安全管理意识
提升基层央行信息安全管理工作人员的安全管理意识需要央行提高自己的管理意识、危机意识和安全意识。基层央行的管理者需要在实际管理工作中做到:严格要求基层央行的信息安全管理工作者,使得他们在实际的工作过程中严格要求自己,严格按照工作要求和工作制度标准开展工作,这样就可以有效避免由于工作人员的操作失误给整个基层央行的信息安全管理工作带来影响;另外就是基层央行在对信息安全管理工作者进行工作考核时必须要按照严格的要求,将其对信息安全管理工作的态度以及工作状况加入到实际的考核中去,这样不仅可以激励员工更加积极地对待工作,而且也可以提升工作效率;最重要的就是基层央行在招聘这些信息安全管理工作人员时,应该要提升对这些人员的要求和资格审查,这是从根本上提升基层央行信息安全管理工作安全性和工作效率的最佳措施。总的来说,提升基层央行信息安全管理工作人员的安全管理意识是基层央行在管理过程中的基本需求,同时也是最重要的管理目标之一。
(二)提升基层央行信息安全管理的科学技术人员配备的科学化和合理化
基层央行信息安全管理的科技人员配备的合理化和科学化是保证银行的各项科学技术工作更好地发展和完善的基础。最基本的条件之一就是必须要保证这些科学技术人员的配备能够满足实际的信息安全管理需要,保证当信息安全管理工作人员需要这些技术人员的配合和帮助时,技术人员能够以最快的速度达到,对存在的问题进行处理和解决,这是对基层央行技术人员配备的基本要求。
(三)完善基层央行的信息安全管理制度、提升管理制度的执行效率
完善基层央行信息安全管理制度要求基层央行在制度制定过程中,按照实际的信息安全管理需求设定相关制度,并以适合央行实际管理及信息安全,提升央行信息的安全性为基本要求和标准,提升管理制度的执行效率。
(四)提高基层央行的信息安全管理系统的应急处理能力和监管
提高基层央行应对紧急情况的信息安全管理系统问题要求基层央行的员工必须要对自己的工作内容非常熟悉,在发生紧急情况时候能够及时找到问题产生的原因,并及时采取措施,尤其是在发生恶性的信息泄露和信息安全问题时,能够及时进行处理。提高基层央行信息安全管理系统应急处理能力要求基层央行定期地对自己的员工进行培训,使他们能够对自己的工作流程和工作内容充分地了解,央行也可以通过提升对这些工作人员的要求来达到相应的目标,但是总的来说,提升基层央行信息安全管理系统的应急处理能力是基层央行必须要改善和提升的一个问题。与此同时,加强对基层央行的监管力度对于保证基层央行信息安全管理的规范性和科学性具有非常重要的意义。
四、小结
1信息安全管理系统现状
信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点,是信息安全管理中的重要组成部分。目前我国的信息安全管理系统还尚未完善,其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存,从而导致大量文档的丢失;其次,如果信息安全管理系统不完善,就不能降低资产等的风险评估以及对资产进行集中式的管理;最后,由于信息安全系统中各个报表功能的不完善,文档信息就无法快速、准确地透露出信息安全的实际状况,从而起到有效地保护作用。
信息安全管理系统主要能够通过对关键资产实行定性和定量分析,从而得出资产的精确风险值,识别系统中存在的重要因患资产,并进一步通知信息管理员采取适当地方法来减少隐患事件的发生,通过科学的管理降低企业的资产风险。由此可见,完善的信息安全管理系统是不可或缺的,它一方面决定着信息安全管理体系的具体实施,另一方面也可以促进企业信息安全管理体系的进一步维护与建设。
2信息安全管理系统标准
科学统一的国家信息安全标准,有利于协调与融合各个信息安全管理系统的工作,充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC27000系列标准与信息安全等级保护标准两个部分。
2.1ISO/IEC27000系列标准
1995年,英国标准协会(BSI)了BS7799-1和BS7799-2两部标准,随着时代的进步其逐渐发展为ISO/IEC27001和ISO/IEC27002两个部分,并进一步成为目前信息安全管理体系的主要核心标准。BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例,并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善,这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上,用风险分析的途径,把发生信息风险的概率降到最低程度,同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC27002主要阐述了133项控制细则,以及11项需要有效控制的项目,其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。
2.2信息安全等级保护
1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》,该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展,从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB17859-1999计算机信息系统安全保护等级划分准则]是在TCSEC的分级保护思想基础之上,针对我国信息安全的发展实际进行改善,最终把安全等级缩减成更具可操作性的5个级别。《GB/T22239-2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类,其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理;后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。此外,信息安全等级保护的系列标准里还包括(〈GB/T20270-2006网络基础安全技术要求》以及《GB/T20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。
3信息安全管理系统的模型设计
根据信息安全管理系统标准,结合以往的信息安全管理系统设计,提出一种新型的四层信息安全管理系统:
第一层是数据库层:包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。
第二层为功能模块层:包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。
第三层为信息采集:主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。
最后一层为展示层:它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。
上述新型信息安全管理系统模型主要体现出以下六点创新之处:
(1)所设计的风险模块管理可以把风险评估常态化、主动化,使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析;另外,该信息安全系统的日志审计功能也可以实现被动式的安全管理,从而使主动管理与被动管理在信息安全管理系统中充分融合。
(2)业务系统的动态建模和系统支持资产,可以把业务系统和资产二者绑定在一起,由此,整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下,其单独资产的具体安全状况;另一方面该信息安全系统还能够根据IS027001的具体标准,反应出整个资产所承载的整体业务系统的安全状况。
(3)该新安全管理系统增加并促进了拓补管理功能的发挥。
(4)该信息安全管理系统模型提供了统一的知识库管理,能够对日志、资产库、异常日志以及资产弱点库和资产风险库等部分进行更有效的数据存储与管理。
四大因素驱动管理水平提升
经过十多年的建设与发展,中国移动已建成一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。目前,中国移动的网络规模和客户规模列全球第一。但近几年来,中国移动的信息安全管理压力不断加大,这是由于以下四个因素:
首先,适应信息安全形势发展的基本需要。随着社会环境、产业环境的变化,通信网的重要性日益凸显,民众对通信网的依赖程度日益提高,网络与我们的生产、生活密不可分。与此同时,网络安全攻击事件日益增多,网络攻击技术越来越多样化,攻击的自动化程度也越来越高,信息安全形势日益严峻。作为国有重要骨干企业,中国移动加强信息安全管理,既是实现企业发展战略目标的需要,也是履行企业社会责任的基本需要。
其次,Y本的市场监管要求。2002年,美国安然、世通等财务欺诈事件之后,美国立法机构出台了《萨班斯―奥克斯利法案》(以下简称《萨班斯法案》)。《萨班斯法案》不仅适用于美国上市公司,也适用于在美国证监会注册的外国公司。中国移动作为在美国证券交易市场上市的海外公司,也必须遵循《萨班斯法案》相关要求。为了遵从《萨班斯法案》,中国移动制定的内部控制矩阵中,有313个项与信息安全有关。
再次,满足国内监管部门的监管要求。随着信息安全形势的发展,国内监管部门对信息安全管理提出了明确要求。公安部、工业和信息化部、国家保密局和证监会等部委陆续了相关文件对企业信息安全管理提出了要求,如公安部、国家保密局、国家密码管理局和国务院信息工作办公室的《信息安全等级保护管理办法》,公安部的《互联网安全保护技术措施规定》,工业和信息化部的《通信网络安全防护管理办法》,财政部、 证监会、审计署、银监会和保监会印发的《企业内部控制基本规范》等。
最后,满足企业自身管理提升的要求。中国移动从提升自身管理的角度出发,建立了较为完整的信息安全管理体系,覆盖系统建设和运维、业务经营、客户信息保护等环节。
然而,由于信息安全管理涉及多个业务部门和管理部门,管理复杂度高,工作繁杂,过去难以进行体系化管理、执行难度高成为中国移动信息安全管理工作的突出问题。
五大管理措施保证信息安全
中国移动信息安全管理的总体目标是借鉴国际的先进GRC管理理念,按照PDCA(Plan―Do―Check―Action,计划―实施―检查―处理)模式,建立涵盖合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制;采取相应的技术手段、通过有效的管理措施,保证信息资产免遭威胁,或将威胁带来的不良后果降到最低;持续改进,实现信息安全管理水平的螺旋式提升,最终维护组织的正常运作和健康发展。具体来说,中国移动主要采取了以下五项措施保证目标的实现。
第一,建立信息安全合规闭环管理机制。中国移动在信息安全管理方面借鉴了GRC管理理念,参考了ISO27001信息安全闭环管理体系的PDCA模型,形成了特有的信息安全合规闭环管理机制。中国移动结合自身的实际情况,将信息安全合规管理工作划分为合规要求、合规执行、合规检查、合规评价、合规整改等五个环节。其中,合规要求对应的是计划(Plan),合规执行对应是实施(Do),合规检查和合规评价对应的是检查(Check),合规整改对应的是处理(Action)。这五个环节形成了信息安全合规的闭环管理,借助流程全面贯彻。
第二,进行集中、制度化管理,全面满足内外部监管需求。中国移动根据外部的《萨班斯法案》、ISO27011信息安全管理最佳实践、国家信息安全等级保护、通信网安全防护等相关的合规要求,制定了多达200余个安全管理制度和标准,覆盖系统建设与运维、业务经营、客户信息保护等环节,涉及多个业务部门和管理部门,涵盖了安全方针、风险管理、第三方管理、安全事件处理、安全基线等数十个领域。
值得一提的是,由于需要遵从的合规要求较多,部分“规”之间存在内容交叉和要求不一致的情况。如果缺少集中化的管理,会导致日常的制度和标准查询、获取和执行都比较困难。为此,中国移动对需要遵从的国际、国内、行业和企业内部的信息安全管理制度、标准进行了梳理,参照国内外标准和最佳实践,形成了《中国移动信息安全管理制度体系框架》。通过制度体系框架,相关人员可以掌握公司整体的信息安全管理全貌,方便、快速地查找对应的要求,高效地分析出哪些领域可能存在制度缺失,为进一步完善信息安全管理体系提供有力的支持,为合规管理体系的建设提供有用的支撑。
第三,完善合规管理矩阵,将安全合规管理工作具体化。信息安全合规管理的核心是建立信息安全合规管理矩阵。该矩阵是基于对各种信息安全管理制度、规范建立的,是对各种信息安全管理要求的条目化、具体化。中国移动在梳理合规制度和建立合规控制框架的基础上,首先建立信息安全责任制、客户信息安全、业务安全和基础安全等子矩阵,然后逐步丰富、完善子矩阵,最终形成全面的信息安全合规矩阵。合规矩阵包括控制矩阵、检查矩阵、对应矩阵和资产矩阵。
第四,建立合规检查规范,实现制度化、规范化管理。为了做好合规检查,中国移动制定《信息安全监督检查工作规范》,实现合规检查制度化、规范化管理。合规检查分为普查模式和专项检查两种模式。
第五,建立评价体系,实现整改工作的闭环管理。中国移动通过实施多维度的合规评价,针对不符合合规要求的检查点和评价相对较差的环节,开展及时的问题整改工作,通过工单等工作流,以下发、整改、反馈和验证四步闭环的管理模式,保证在问题发现后,有要求、有人改、有反馈、有验证,有效落实整改工作。
信息化平台是不可或缺的支撑
为了有效应对当前在信息安全合规管理方面所面临的挑战,中国移动在慧点科技协助下建立了全网集中的信息安全合规管理平台。中国移动的各省公司都可以登录该平台开展合规管理工作。该平台针对中国信息安全合规管理需求,固化了制度管理、控制落实、安全检查、合规评价和整改等信息安全管理流程,为合规工作提供了流程化、平台化的高效工具。
中国移动信息安全合规管理平台包括制度管理、矩阵管理、执行管理、合规检查、合规风险评价和整改管理等核心功能模块,可以有效支撑信息安全合规的全生命周期流程管理。
通过建立以信息安全合规管理矩阵为核心的合规管理体系,全面部署信息安全合规管理平台,中国移动实现了如下的效果:
第一,提升了信息安全业务管理的统一性、完整性;
第二,提升了集中化自主运营能力,有效提升业务连续性;
关键词:信息安全管理体系;信息资产;业务连续性;风险评估
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02
当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。
本省地税部门信息安全现状及面临形势
(一)取得的成绩
多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:
1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。
2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。
3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。
4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。
5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。
(二)存在的不足
通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:
1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。
2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分网络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。
3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。
(三)面临的形势
随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。
提高税务信息安全保障能力的有效途径
国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。
信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。
税务信息安全管理体系建设实践
税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。
(一)基本定位
1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;
2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;
3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平;
4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;
5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。
(二)设计原则
1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。
2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。
3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全管理体系的根本目标。
4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。
5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。
(三)总体架构
在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:
第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。
第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。
第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。
关键词:航空管制;信息系统;信息安全;对策
1强化安全管理意识
航空管制信息安全管理工作人员的信息安全管理意识对于航管信息安全管理会产生直接的影响,也是航空管制信息安全管理过程中的重要因素。航空管制信息安全管理过程中出现的安全漏洞,很大程度上就是由于相关工作人员安全意识的淡薄,在工作中对自已要求不严,从而忽视了信息安全的重要性。为了强化航空管制信息安全管理工作,就必须注重对工作人员信息安全管理意识的强化。其主要分为以下几个方面:1)积极强化航空公司的各级领导信息安全意识,首先确保最高决策者始终拥有高强度的安全意识,并且以身作则,在自己的实际工作中体现出对安全管理得重视,这样才能带动各级工作不断提高自身的信息安全防范意识。信息安全管理工作,主要内容是“三分技术,七分管理”,各航空工作人员应该始终将技术与管理结合起来,作为约束自己日常工作行为的基本准则。强化工作人员的信息安全意识,需要对其进行定期系统的信息安全教育(如信息安全管理知识讲座等),以此为手段不断发展航空管制人员的信息安全知识水平,促使每一位工作人员都能拥有高度的自主安全管理意识。2)注重对航管人员自身信息技术素质水平的培养。在航空管制信息安全管理工作中,良好的专业素养以及熟练的操作能力是每一位工作人员都必须具备的技能。况且,随着信息技术与人工智能技术逐渐的深入航空领域,在以后的航空管制工作中,若是没有一定的信息技术专业知识,航管人员就无法准确高效的把握航管新装备和新技术。同时,航管人员在学习信息技术知识的过程中,还能开拓自己的眼界,丰富自身对现代化技术的认识,在强化自身工作能力和安全意识的同时,还能为整个航空领域的发展提供帮助,确保航管信息安全管理工作的顺利进行。3)注重航管信息安全管理观念创新。在这个信息化的时代,各个领域都在飞速发展。日新月异的信息技术,大量的新型航空管制理念,都要求航空管制信息安全工作要随着时代的发展不断变迁、创新。不仅如此,由于航空管制信息安全直接影响着飞机的飞行安全和乘客的人身安全,相关人员应该始终保持本公司的运营理念与国际的新理念接轨,根据市场需求不断改善航管信息安全管理目标和具体实践措施,创造属于我们这个时代的航空管制信息安全管理模式。将航管信息安全管理的策略落到实处,确保航空运行过程中各个环节的信息安全[1]。
2抓住主要矛盾
要想最大程度的发挥出航管信息安全管理工作的作用,航空公司的决策者和相关工作人员就得明确航管信息安全管理过程中的重难点,只有这样,才能保证有目标、有计划的施以措施。航管人员务必要高效的解决在航管信息安全管理工作中出现的各种矛盾,下文就以其中存在的主要矛盾为例说明。航管信息安全管理的根本目的是保证航管信息的完整性、可控性及保密性等,除此之外,还需要对航管信息资料进行防御、检测、抑制、恢复和管理,从多方面着手,保证航管工作的质量。航管信息管理工作的重点是管理和控制航空管制信息系统,其主要是对航管系统层、网络层以及应用层进行安全控制。航管工作中的系统层管理指的是对硬件和软件的安全管理,而且软件安全管理是整个航管信息安全管理工作中的重点。对于硬件系统的安全管理工作,一般将其列入物理安全范围,主要是防电磁辐射、电子干扰等因素[2]。在应用软件这一层面上,航管信息系统有时候会遭到黑客的侵袭,因此,相关技术人员务必要做好防“黑客”、防病毒的准备工作,而且在此基础上,还得不断恢复信息管理系统,优化操作系统的可行性和安全性,确保航管信息安全管理的效率。在加强软件系统管理工作的同时,还要对网络层面的安全管理进行加强。其主要包含以下几点:网络报警、网络恢复、数据保护、密钥安全及内部认证等。对于网络层面安全管理工作的加强,工作人员应该将重点放在各处子网的出入口设备上,同时,软件设施方面也应配合硬件设施,积极研发嵌入式操作系统,不断创新,应用更高水平的数字签名技术,对网络层进行加密。
3完善航管部门信息安全防范体系
俗话说:“无规矩,不成方圆”。要想充分完善航管信息安全管理工作,对航管信息进行有效控制,航管部门就需要根据自身的实际条件不断健全航管部门的信息安全管理体系。所以,工作人员就要提前做好充分的市场调研,就目前市场上的航管信息安全管理机构设置进行讨论研究,仔细观察整个机构设置的合理性和可行性,对各个部门的航管信息安全管理职能进行明确划分,使信息安全管理要求与业务流程联系起来,最大程度的发挥出航管信息安全管理机构的作用。不断完善航管信息安全管理制度,加上安全管理体系的建设,实行统一规划、统一管理与统一监督。时刻与国际先进的技术保持联系,将自身的发展与信息技术和人工智能紧密联系起来,将本航空公司的安全管理体系至于本行业发展的前沿。在航管过程中,需要使用的仪器设备要尽量采用国产装备,特别是某些涉及到自主关键技术机密以及中国自主知识产权的核心仪器设备。与此同时,工作人员还应该注重加强对网络安全系统的规范管理制度,逐渐建立出相应系统的航管信息安全管理标准和统一的航管信息安全管理综合评估体系以及针对航管信息的获取和应用等,需要明确的制定出切实可行的安全管理措施体系。由此可见,在航管信息安全管理的过程中,始终不能脱离完整、规范的航管信息安全防范体系,只有通过航管部门系统全面严格的控制把关,才能高效地处理航管信息安全工作中出现的各种问题。在日常的航管部门信息安全管理工作中,工作人员务必要注意两点,一是加强对航管人员的信息安全教育。要定期组织全体航空管制信息安全管理人员对工作中的专业知识以及某些设备的操作技术进行学习,不断的对航管人员注入最新的航管理念,对航管人员的航空管制保密常识进行培训,加强信息安全教育,确保每一位航空管制人员都拥有深刻的信息安全意识,以保证航空飞行安全。二是对整体航管人员实行保密信息封锁制度。航空公司应该根据实际情况制定出适合自身发展的电子设备保密管理制度,控制工作人员与外界不必要的联系,始终严格约束所有工作人员的言行举止,切忌在日常交流以及联系中向外界流失掉机密信息。不仅如此,航空公司中的任何以为工作人员都不允许以任何一种形式对外界透露公司内部的运行情况,更不能泄露涉及航管和飞行安全的信息[3]。
4健全航管信息安全管理法规制度
航空公司严谨有序的运行模式,不仅需要每一位工作人员的付出还需要高层决策者与各级工作人员商议之后制定出合理的法规制度,以统一形式的制度、要求及管理力度对员工进行统一管理,一视同仁,旨在提升对航管信息安全的管理效率。健全航管信息安全管理法规制度的要求分为两个方面,第一个方面,公司要尽快且保证质量的建立属于自己的航管信息安全评估系统。在建设的过程中,要始终按照国家的标准要求,不管是信息基础设施建设,还是网络规划建设,都必须通过国家相关管理部门的审批。而在进行基础设施建设和设备配备的过程中,则需要安全管理部门和质量管理部门进行约束指导,所有的信息建设只有在通过有效的信息安全质量认证之后,才能投入使用。第二个方面,要想使航空管制信息安全管理过程中的规章制度得到系统化、明确化、条理化,工作人员就必须以本航空公司的航管信息安全管理模式为出发点,经过多方面的调研分析,采取各个阶层工作人员的意见整合之后制定出可行有效的信息安全规章制度,力争在最短的时间内使航空管制信息安全管理工作的可行性得到大幅度提升[4]。
5结语
综上所述,航空管制信息安全管理工作是所有航空公司正常运营的前提条件,也是顺利开展航管业务的基础工作,只有航管信息安全得到了保障,飞机的飞行安全才能得到保障。航管人员在日常的工作之中要始终树立坚实牢固的航管信息安全意识,提高自身的航管能力。相应的公司管理人员也应不断强化本公司的信息技术,结合国际上新型的航管理念发展自身的运行效率,为飞机的安全飞行保驾护航。
参考文献:
[1]许彬.航管信息情报系统的设计与实现[D].成都:电子科技大学,2014.
[2]魏纯洁.空中交通管制安全评估关键技术研究[D].南京:南京航空航天大学,2012.
【关键词】电力企业信息安全管理;组织管理;失误因素
1 电力企业信息安全管理中组织管理失误的分析方法
电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。
2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走
第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。
第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。
第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。
3 电力企业信息系统安全管理的必要性
电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。
4 电力企业信息安全管理中组织管理常见失误
近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:
第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。
第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。
第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。
5 电力企业信息安全管理体现构建的有效策略
基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。
5.1 提高对电力企业信息安全的认知度
针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。
5.2 建立健全信息安全审计机制
内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。
5.3 建立和完善信息安全风险管理制度
信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。
2012年央视“3・15晚会”所曝光的银行客户数据泄漏事件,给金融业再次敲响了警钟,随着金融监管机构对客户数据的安全管控要求逐步提升,各家银行都相继把对客户数据的安全保护力度提升到新的管理高度,信息安全管理也逐渐成为银行风险管理中一个重要的环节。
一直以来,广发银行信用卡中心十分重视信息安全工作,为全面保障信用卡业务的信息安全,保护好客户数据的安全,广发银行信用卡中心在2006年组建了专职的信息安全管理团队,参照ISO27001国际信息安全管理体系标准逐步建立起适合广发银行信用卡中心业务特色的信息安全管理体系框架。
2009年,广发银行信用卡中心开始实施ISO27001项目一期(ISO27001国际信息安全管理体系认证)。
2010年6月通过DNV(挪威船级社)的认证审核,获得UKAS国际信息安全管理体系证书,成为国内第一家信用卡业务领域通过ISO27001认证的千万量级发卡行。
2011年,为符合国家和行业监管要求,广发银行信用卡中心实施了ISO27001项目二期(GBT22080国家信息安全管理体系认证),2011年10月通过中国信息安全认证中心的认证审核,获得国家信息安全管理体系证书。
2012年,广发银行信用卡中心实施ISO27001项目三期,将强化信息安全“可落地、可量化、可视化和可考核”的精细化管理。
购物车(0)
