企業(yè)信息安全要求精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全要求主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全要求范文

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護(hù)理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補(bǔ)救，導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高，信息安全防護(hù)水平已經(jīng)越來(lái)越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來(lái)保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?；酒髽I(yè)信息安全管理過(guò)程包括：分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識(shí)

在企業(yè)信息化系統(tǒng)安全管理中，防護(hù)設(shè)備和防護(hù)策略只是其中的一部分，企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí)，絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。在企業(yè)實(shí)施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行，保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn)，強(qiáng)化企業(yè)員工對(duì)信息安全的概念，提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。

2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)

當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí)，就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來(lái)支撐整個(gè)信息安全防護(hù)體系。對(duì)于安全防護(hù)技術(shù)來(lái)說(shuō)可以分為身份識(shí)別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問(wèn)企業(yè)資源，并且可以根據(jù)員工級(jí)別分配人員訪問(wèn)權(quán)限，達(dá)到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí)，我們需要重點(diǎn)關(guān)注以下幾個(gè)方面：

3.1 實(shí)施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范，造成了員工可以通過(guò)很多方式實(shí)現(xiàn)信息外漏。比如通過(guò)U盤等存儲(chǔ)介質(zhì)拷貝或者通過(guò)聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對(duì)于這類高危的行為，我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí)，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前，就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì)，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護(hù)水平。

3.2 建設(shè)安全完善的VPN接入平臺(tái)

企業(yè)在信息化建設(shè)中，考慮總部和分支機(jī)構(gòu)的信息化需要，必然會(huì)采用VPN方式來(lái)解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對(duì)于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接，這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí)，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù)，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí)，要面對(duì)多個(gè)部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會(huì)話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問(wèn)策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度，做出適合企業(yè)信息安全的防護(hù)策略和訪問(wèn)控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù)，真正實(shí)現(xiàn)OSI的L2～L7層的安全防護(hù)。

3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系，重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí)，企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí)，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問(wèn)控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語(yǔ)

信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過(guò)程中是一個(gè)長(zhǎng)期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃，實(shí)施過(guò)程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問(wèn)控制，保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性，真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻(xiàn)

[1]郝宏志.企業(yè)信息管理師[M].北京：機(jī)械工業(yè)出版社，2005.

[2]蔣培靜.歐美國(guó)家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國(guó)教育網(wǎng)絡(luò)，2008（7）：48-49.

作者簡(jiǎn)介

常勝（1982-），男，回族，天津市人?，F(xiàn)為中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

第2篇：企業(yè)信息安全要求范文

關(guān)鍵詞：信息安全防護(hù)體系；風(fēng)險(xiǎn)評(píng)估；信息安全隱患；應(yīng)急預(yù)案

中圖分類號(hào)：F470.6 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：

信息安全管理是信息安全防護(hù)體系建設(shè)的重要內(nèi)容，也是完善各項(xiàng)信息安全技術(shù)措施的基礎(chǔ)，而信息安全管理標(biāo)準(zhǔn)又是信息安全管理的基礎(chǔ)和準(zhǔn)則，因此要做好信息安全防護(hù)體系建設(shè)，必須從強(qiáng)化管理著手，首先制定信息安全管理標(biāo)準(zhǔn)。電力系統(tǒng)借鑒 ISO27000國(guó)際信息安全管理理念，并結(jié)合公司信息安全實(shí)際情況，制訂了信息安全管理標(biāo)準(zhǔn)，明確了各單位、各部門的職責(zé)劃分，固化了信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理、信息安全專項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計(jì)調(diào)查及組織整改等工作流程，促進(jìn)了各單位信息安全規(guī)范性管理，為各項(xiàng)信息安全技術(shù)措施奠定了基礎(chǔ)，顯著提升了公司信息安全防護(hù)體系建設(shè)水平。

1電力系統(tǒng)信息安全防護(hù)目標(biāo)

規(guī)范、加強(qiáng)公司網(wǎng)絡(luò)和信息系統(tǒng)安全的管理，確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行和確保信息內(nèi)容的機(jī)密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰， 抵御黑客、病毒、惡意代碼等對(duì)信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對(duì)外服務(wù)中斷和由此造成的電力系統(tǒng)運(yùn)行事故，并以此提升公司信息安全的整體管理水平。

2信息安全防護(hù)體系建設(shè)重點(diǎn)工作

電力系統(tǒng)信息安全防護(hù)體系建設(shè)應(yīng)遵循“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的理念。下面，結(jié)合本公司信息安全防護(hù)體系建設(shè)經(jīng)驗(yàn)，對(duì)信息安全防護(hù)體系建設(shè)四項(xiàng)重點(diǎn)工作進(jìn)行闡述。

2.1 信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理

信息管理部門信息安全管理專職根據(jù)年度信息化項(xiàng)目綜合計(jì)劃，每年在綜合計(jì)劃正式下達(dá)后，制定全年新建應(yīng)用系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估計(jì)劃，確保系統(tǒng)上線前符合國(guó)網(wǎng)公司信息安全等級(jí)保護(hù)要求。 應(yīng)用系統(tǒng)在建設(shè)完成后 10個(gè)工作日內(nèi)，按照《國(guó)家電網(wǎng)公司信息系統(tǒng)上下線管理辦法》要求進(jìn)行上線申請(qǐng)。 由信息管理部門信息安全管理專職在接到上線申請(qǐng) 10個(gè)工作日內(nèi)， 組織應(yīng)用系統(tǒng)專職及業(yè)務(wù)主管部門按照《國(guó)家電網(wǎng)公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》對(duì)系統(tǒng)的安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估測(cè)試，并形成評(píng)估報(bào)告交付業(yè)務(wù)部門。 對(duì)應(yīng)用系統(tǒng)不滿足安全要求的部分， 業(yè)務(wù)部門應(yīng)在收到評(píng)估報(bào)告后 10個(gè)工作日內(nèi)按照《國(guó)家電網(wǎng)公司信息安全加固實(shí)施指南（試行）》進(jìn)行安全加固，加固后 5個(gè)工作日內(nèi)，經(jīng)信息管理部門復(fù)查，符合安全要求后方可上線試運(yùn)行。應(yīng)用系統(tǒng)進(jìn)入試運(yùn)行后，應(yīng)嚴(yán)格做好數(shù)據(jù)的備份、保證系統(tǒng)及用戶數(shù)據(jù)的安全，對(duì)在上線后影響網(wǎng)絡(luò)信息安全的，信息管理部門有權(quán)停止系統(tǒng)的運(yùn)行。

2.2 信息安全專項(xiàng)檢查與治理

信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項(xiàng)檢查工作計(jì)劃。檢查內(nèi)容包括公司本部及各基層單位的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、機(jī)房安全等。 信息安全專職按照計(jì)劃組織公司信息安全督查員開(kāi)展信息安全專項(xiàng)檢查工作，對(duì)在檢查中發(fā)現(xiàn)的問(wèn)題，檢查后 5 個(gè)工作日內(nèi)錄入信息安全隱患庫(kù)并反饋給各相關(guān)單位，隱患分為重大隱患和一般隱患，對(duì)于重大隱患，信息安全專職負(fù)責(zé)在錄入隱患庫(kù) 10 個(gè)工作日內(nèi)組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個(gè)工作日內(nèi)對(duì)發(fā)現(xiàn)的問(wèn)題制定治理方案， 并限期整技信息部信息安全專職。信息管理部門安全專職對(duì)隱患庫(kù)中所有隱患的治理情況進(jìn)行跟蹤，并組織復(fù)查，對(duì)未能按期完成整改的單位，信息安全專職 10 個(gè)工作日內(nèi)匯報(bào)信息管理部門負(fù)責(zé)人， 信息管理部門有權(quán)向人資部建議對(duì)其進(jìn)行績(jī)效考核。

2.3 信息安全應(yīng)急預(yù)案管理

信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應(yīng)急預(yù)案編制、演練及修訂計(jì)劃，并下發(fā)給各單位。各單位信息安全專職按照計(jì)劃組織本單位開(kāi)展相關(guān)預(yù)案的制定，各種預(yù)案制定后 5 個(gè)工作日內(nèi)交本部門主要負(fù)責(zé)人審批，審批通過(guò)后 5 個(gè)工作日內(nèi)報(bào)信息管理部門信息安全專職。各單位信息安全專職負(fù)責(zé)組織對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并按年度計(jì)劃開(kāi)展預(yù)案演練。 根據(jù)演練結(jié)果，10 個(gè)工作日內(nèi)組織對(duì)預(yù)案進(jìn)行修訂。各單位信息安全預(yù)案應(yīng)每年至少進(jìn)行一次審查修訂， 對(duì)更新后的內(nèi)容， 需在 10 個(gè)工作日內(nèi)經(jīng)本部門領(lǐng)導(dǎo)審批，并在審批通過(guò)后 5 個(gè)工作日內(nèi)報(bào)信息管理部門備案。

2.4 安全事件統(tǒng)計(jì)、調(diào)查及組織整改

信息管理部門信息安全專職負(fù)責(zé)每月初對(duì)公司本部及各基層單位上個(gè)月信息安全事件進(jìn)行統(tǒng)計(jì)。 各系統(tǒng)負(fù)責(zé)人、各單位信息安全管理專職負(fù)責(zé)統(tǒng)計(jì)本系統(tǒng)、單位的信息安全事件，并在每月 30 日以書面形式報(bào)告信息管理部門信息安全專職， 對(duì)于逾期未報(bào)的按無(wú)事件處理。 出現(xiàn)信息安全事件后 5 個(gè)工作日內(nèi)，信息管理部門信息安全專職負(fù)責(zé)組織對(duì)事件的調(diào)查，調(diào)查過(guò)程嚴(yán)格按照《國(guó)家電網(wǎng)公司信息系統(tǒng)事故調(diào)查及統(tǒng)計(jì)規(guī)定(試行)》執(zhí)行，并組織開(kāi)展信息系統(tǒng)事故原因分析，堅(jiān)持“四不放過(guò)”原則，調(diào)查后 5 個(gè)工作日內(nèi)組織編寫事件調(diào)查報(bào)告。調(diào)查、分析完成后 10 個(gè)工作日內(nèi)組織落實(shí)各項(xiàng)整改措施。信息安全事件調(diào)查嚴(yán)格執(zhí)行《國(guó)家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行情況通報(bào)制度》制度。

3評(píng)估與改進(jìn)

通過(guò)執(zhí)行“強(qiáng)化管理、標(biāo)準(zhǔn)先行”的信息安全防護(hù)體系建設(shè)理念和實(shí)施電力公司信息安全管理標(biāo)準(zhǔn)， 明確了各項(xiàng)工作的“5W1H”。 使信息管理部門和各部門及下屬各單位的接口與職責(zé)劃分進(jìn)一步清晰，有效協(xié)調(diào)了相互之間的分工協(xié)作。 并通過(guò) ITMIS 系統(tǒng)進(jìn)行對(duì)上述流程進(jìn)行固化，在嚴(yán)格執(zhí)行國(guó)網(wǎng)公司、省公司各項(xiàng)安全要求的基礎(chǔ)上簡(jiǎn)化了工作流程， 搭建了信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu)，實(shí)現(xiàn)了信息安全防護(hù)建設(shè)工作的體系化。同時(shí)在標(biāo)準(zhǔn)的 PDCA 四階段循環(huán)周期通過(guò)管理目標(biāo)、職責(zé)分工，管理方法，管理流程、考核要求，文檔記錄 6 種管理要素對(duì)信息系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理、信息安全專項(xiàng)檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計(jì)調(diào)查及組織整改4 項(xiàng)管理內(nèi)容進(jìn)行持續(xù)改進(jìn)，使信息安全防護(hù)體系建設(shè)工作的質(zhì)量有了質(zhì)變提升。 在信息安全防護(hù)建設(shè)工作的基礎(chǔ)架構(gòu)搭建完成后，江蘇省電力公司常州供電公司下一步將重點(diǎn)完善信息安全防護(hù)體系中技術(shù)體系建設(shè)，管理與技術(shù)措施并舉，構(gòu)建堅(jiān)強(qiáng)信息安全防護(hù)體系。

第3篇：企業(yè)信息安全要求范文

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業(yè)信息系統(tǒng)安全結(jié)構(gòu)是計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)的擴(kuò)展。20 世紀(jì)80 年代末、90 年代初,信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的重要性開(kāi)始引起發(fā)達(dá)國(guó)家關(guān)注。如,美國(guó)國(guó)家安全局(NAS) 20 世紀(jì)90 年代公布的國(guó)防信息系統(tǒng)安全計(jì)劃(DISSP) ,是由安全特性、系統(tǒng)組成部分、擴(kuò)展的IS0 協(xié)議層等三維構(gòu)成,它不僅考慮了信息傳輸安全、網(wǎng)絡(luò)安全,還考慮了信息處理安全、端系統(tǒng)及接口安全問(wèn)題;此外,還增加了互操作性、質(zhì)量保證、性能等安全特性。2001 年美國(guó)國(guó)家安全局(NAS )制定了信息技術(shù)保證框架(IATF),是從整體、過(guò)程的角度看待信息安全問(wèn)題,它強(qiáng)調(diào)以人、技術(shù)、操作這三個(gè)核心原則,關(guān)注四個(gè)信息安全保障領(lǐng)域:保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護(hù)邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施,并在4 個(gè)重點(diǎn)技術(shù)領(lǐng)域?qū)嵤┲T如應(yīng)用層護(hù)衛(wèi)、電路、文件加密等多種安全技術(shù)手段。再如,美國(guó)國(guó)防部所屬的國(guó)防信息系統(tǒng)局(DISA)1996 年制定了防御目標(biāo)安全系統(tǒng)結(jié)構(gòu)框架(DGSA V3.0),從系統(tǒng)單元構(gòu)成的角度,提出了信息系統(tǒng)中各單元分的安全服務(wù)配置框架,目的是要從安全系統(tǒng)結(jié)構(gòu)的高度對(duì)信息統(tǒng)的安全保護(hù)提出技術(shù)上和管理上的規(guī)范要求等。

在信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)理論研究領(lǐng)域,有人提出開(kāi)放分布式系統(tǒng)的安全結(jié)構(gòu);有人對(duì)網(wǎng)絡(luò)及信息系安全系統(tǒng)結(jié)構(gòu)進(jìn)行了初步的探討和研究,提出了計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全系統(tǒng)結(jié)構(gòu)和基于智能協(xié)作技術(shù)的信息系統(tǒng)安全系結(jié)構(gòu)概念模型等。通過(guò)對(duì)上述的研究分析,可以看到國(guó)內(nèi)外己有的安全系統(tǒng)結(jié)構(gòu)和框架都描述了信息系統(tǒng)相關(guān)的安全系統(tǒng)結(jié)構(gòu)及模型等安全要素,它們各不相同,實(shí)現(xiàn)方法等也并且都不完備。由于研究問(wèn)題的層次和角度不同,對(duì)安全系統(tǒng)結(jié)構(gòu)的具體含義的理解也同,從而導(dǎo)致信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)在概念上、類型上及結(jié)構(gòu)上的不一致,因此,為使信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)研究和應(yīng)用共同的概念依據(jù)和構(gòu)建基礎(chǔ),需要加強(qiáng)對(duì)信息系統(tǒng)安全結(jié)構(gòu)的一些基本問(wèn)題,諸如安全結(jié)構(gòu)的類型及特征、構(gòu)成要素及構(gòu)建步驟等內(nèi)容的學(xué)習(xí)研究,以引導(dǎo)企業(yè)安全系統(tǒng)的建立。

1 信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)組成要素

實(shí)現(xiàn)信息安全系統(tǒng)結(jié)構(gòu)的安全,要從多個(gè)方面考慮,通常定義的包括安全屬性、系統(tǒng)組成、安全策略、安全模型、安全機(jī)制等5 個(gè)方面。在每一個(gè)方面中,還可以繼續(xù)劃分多個(gè)層次;對(duì)于一個(gè)給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對(duì)信息系統(tǒng)一種屬性要求,信息系統(tǒng)通過(guò)安全服務(wù)來(lái)實(shí)現(xiàn)安全性?；镜陌踩?wù)包括標(biāo)識(shí)與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對(duì)安全服務(wù)和安全機(jī)制的對(duì)應(yīng)關(guān)系給予了描述。它的核心內(nèi)容是將5 大類安全服務(wù):身份鑒別、訪問(wèn)控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認(rèn)性及提供這些服務(wù)的8 類安全機(jī)制及其相應(yīng)的0SI 安全管理等放置于0SI模型的7層協(xié)議中,以實(shí)現(xiàn)端系統(tǒng)信息安全傳送的通信通路。這樣從安全性到安全服務(wù)機(jī)制到具體安全技術(shù)手段形成了安全屬性的不同層次。

1.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對(duì)于信息系統(tǒng)的組成劃分,有不同的方法?？梢苑譃橛布蛙浖?在硬件和軟件中又可以進(jìn)一步地劃分。對(duì)于分布的信息系統(tǒng),可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元,即將信息系統(tǒng)的組成要素分為本地計(jì)算環(huán)境和網(wǎng)絡(luò),以及計(jì)算環(huán)境邊界。本地計(jì)算環(huán)境和網(wǎng)絡(luò)都還可以進(jìn)一步劃分等。例如本地計(jì)算環(huán)境可以分為端系統(tǒng)、中繼系統(tǒng)和局部通信系統(tǒng)。端系統(tǒng)作為信息處理單元,可以繼續(xù)分為應(yīng)用平臺(tái)和應(yīng)用軟件;應(yīng)用平臺(tái)包括操作系統(tǒng)、軟件工程服務(wù)、分布式服務(wù)、數(shù)據(jù)管理等:應(yīng)用軟件中包括消息處理、web 應(yīng)用等。

1.3 安全策略

在安全系統(tǒng)結(jié)構(gòu)中,安全策略指用于限定一個(gè)系統(tǒng)、實(shí)體或?qū)ο筮M(jìn)行安全相關(guān)活動(dòng)的規(guī)則。 即要表明在安全范圍內(nèi)什么是允許的,什么是不允許的。它直體現(xiàn)了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對(duì)于抽象型和一般型安全系統(tǒng)結(jié)構(gòu)而言,安全策略主要是對(duì)加密、訪問(wèn)控制、多級(jí)安全等策略的通用規(guī)定,不涉及具體的軟硬件實(shí)現(xiàn);而對(duì)于具體型安全系統(tǒng)結(jié)構(gòu),其安全策咯則是要對(duì)實(shí)現(xiàn)系統(tǒng)安全功能的主體和客體特性進(jìn)行具體的標(biāo)識(shí)和說(shuō)明,亦即要描述允許或禁止系統(tǒng)和用戶何時(shí)執(zhí)行哪些動(dòng)作,井要能反射到軟硬件安全組件的具體配置,如,網(wǎng)絡(luò)操作系統(tǒng)的帳戶策略用戶權(quán)限策略和審計(jì)策略等安全策略就最終體現(xiàn)為發(fā)全功能的各種選項(xiàng)等。

1.4 安全模型

安全模型用于準(zhǔn)確描述系絞在功能和結(jié)構(gòu)上的安全特性,它反映了一定的支全策略,是引導(dǎo)、驗(yàn)證安全系統(tǒng)開(kāi)發(fā)設(shè)計(jì)的概念模型要求。對(duì)安全策略及形式化模型的研究起源于美國(guó)軍方對(duì)高安全級(jí)別的計(jì)算機(jī)系統(tǒng)的需求,它為計(jì)算機(jī)操作系統(tǒng)的安全性設(shè)計(jì)提供了理論基礎(chǔ)。這些安全模型通常被認(rèn)為是經(jīng)典安全模型。經(jīng)典安全模型主要由身份標(biāo)識(shí)、認(rèn)證、授權(quán)、審核等4個(gè)環(huán)節(jié)構(gòu)成。經(jīng)典安全模型的前提假設(shè)是:引用監(jiān)視器是主體對(duì)客體進(jìn)行訪問(wèn)的唯一路徑。身份標(biāo)識(shí)與認(rèn)證的機(jī)制是可靠的;審核文件和訪問(wèn)控制數(shù)據(jù)庫(kù)本身受到充分的保護(hù)。而這些前提在實(shí)際的信怠系統(tǒng)中并不一定成立。因此,信息系統(tǒng)安全摸型的描述應(yīng)反映相應(yīng)層次和視圖上的安全策略。

1.5 安全機(jī)制

安全機(jī)制是實(shí)現(xiàn)信息系統(tǒng)安全需求及空全策略的各種措施,具體可以表現(xiàn)為所需要的安全白標(biāo)準(zhǔn)、安全協(xié)議、安全技術(shù)、安全單元等。對(duì)于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構(gòu),安全機(jī)制側(cè)重點(diǎn)也有所不同。例如:OSI安全系統(tǒng)結(jié)構(gòu)中建議采用7種安全機(jī)制。而對(duì)于特定系統(tǒng)的安全系統(tǒng)結(jié)構(gòu),則要進(jìn)一步說(shuō)明有關(guān)安全機(jī)制的具體實(shí)現(xiàn)技術(shù),如認(rèn)證機(jī)制的實(shí)現(xiàn)可以有口令、密碼技術(shù)及實(shí)體特征鑒別等方法。

2 數(shù)學(xué)模型

把整個(gè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)可看成為一個(gè)空間:組成信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的這些方面稱之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現(xiàn),通用的信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)就是具有多維、多層和動(dòng)態(tài)特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個(gè)元素之間的運(yùn)算)。通過(guò)數(shù)學(xué)描述,可以更好地對(duì)知識(shí)進(jìn)行歸納和運(yùn)用:一方面更容易量化,使得描述更為清晰;另一方面可以指導(dǎo)新的未知問(wèn)題的探索,演繹出新的概念或理論。

3 結(jié)束語(yǔ)

企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的研究是一項(xiàng)復(fù)雜的系統(tǒng)工程。需要我們用系統(tǒng)工程的概念、理論和方法來(lái)研究、開(kāi)發(fā)和實(shí)施系統(tǒng)安全結(jié)構(gòu)的設(shè)計(jì),安全系統(tǒng)結(jié)構(gòu)理論就是要從整體上解決信息系統(tǒng)的安全問(wèn)題,但目前在很多企業(yè)對(duì)安全系統(tǒng)結(jié)構(gòu)的概念、類型、構(gòu)建等問(wèn)題上還沒(méi)有得到系統(tǒng)化的研究,以上從學(xué)習(xí)研究的角度對(duì)目前國(guó)內(nèi)外安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)的研究進(jìn)行了粗淺的學(xué)習(xí)分析,通過(guò)分析使對(duì)整個(gè)安全系統(tǒng)結(jié)構(gòu)的認(rèn)識(shí)進(jìn)一步加深和清晰化,從而提出企業(yè)信息安全系統(tǒng)結(jié)構(gòu)和模型。要使企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)適合企業(yè)信息系統(tǒng)安全、全面、準(zhǔn)確、可行的要求,同時(shí)要適應(yīng)信息技術(shù)及其安全技術(shù)的飛速發(fā)展。只有這樣,才能確保信息安全系統(tǒng)適應(yīng)更好地為企業(yè)服務(wù)。

參考文獻(xiàn):

第4篇：企業(yè)信息安全要求范文

隨著近年來(lái)信息安全話題的持續(xù)熱議，越來(lái)越多的企業(yè)管理人員開(kāi)始關(guān)注這一領(lǐng)域，針對(duì)黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問(wèn)題陸續(xù)采取了一系列措施，開(kāi)始構(gòu)筑企業(yè)的信息安全防護(hù)屏障。然而在給企業(yè)做咨詢項(xiàng)目的時(shí)候，還是經(jīng)常會(huì)聽(tīng)到這樣的話：

“我們已經(jīng)部署了防火墻、入侵檢測(cè)設(shè)備防范外部黑客入侵，采購(gòu)了專用的數(shù)據(jù)防泄密軟件進(jìn)行內(nèi)部信息資源管理，為什么還是會(huì)出現(xiàn)企業(yè)敏感信息外泄的問(wèn)題？”

“我們的IT運(yùn)營(yíng)部門建立了系統(tǒng)的運(yùn)行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實(shí)？各業(yè)務(wù)部門都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣?！?/p>

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系，投入了專門的人力進(jìn)行安全管理和控制，并且通過(guò)了企業(yè)信息安全管理體系的認(rèn)證和審核，一開(kāi)始的確獲得了顯著的成效，但為什么經(jīng)過(guò)一年的運(yùn)行后，卻發(fā)現(xiàn)各類安全事件有增無(wú)減？”

這些問(wèn)題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護(hù)能力。上述的三個(gè)案例，案例一中企業(yè)發(fā)生過(guò)敏感信息外泄事件，于是采購(gòu)了專用的數(shù)據(jù)防泄密軟件，卻并未制定相關(guān)的信息管理制度和進(jìn)行員工保密意識(shí)培訓(xùn)，結(jié)果只能是防外不防內(nèi)，還會(huì)給員工的正常工作帶來(lái)諸多不便；案例二中企業(yè)管理者認(rèn)識(shí)到安全管理的重要性，要求相關(guān)部門編制了大量的管理制度和規(guī)范，然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施，不切實(shí)際的管理制度最終因?yàn)闃I(yè)務(wù)部門的排斥而束之高閣；案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系，然而認(rèn)證通過(guò)后隨著業(yè)務(wù)發(fā)展卻并未進(jìn)行必要的改進(jìn)和優(yōu)化，隨著時(shí)間的推移管理體系與實(shí)際工作脫節(jié)日益嚴(yán)重，各類安全隱患再次出現(xiàn)也就不足為奇。

其實(shí)，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說(shuō)西醫(yī)治標(biāo)不治本，指的就是采取分片分析的發(fā)現(xiàn)問(wèn)題―分析問(wèn)題―解決問(wèn)題的思路處理安全威脅，通過(guò)技術(shù)手段的積累雖然可以解決很多問(wèn)題，但總會(huì)產(chǎn)生疲于應(yīng)付的狀況，難以形成有效的安全保障體系；類比于中醫(yī)理論將人體看為一個(gè)互相聯(lián)系的整體，信息安全管理體系的建立正是通過(guò)全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問(wèn)題和隱患，緊密聯(lián)系業(yè)務(wù)工作和安全保障需要，形成系統(tǒng)的解決方案，通過(guò)動(dòng)態(tài)的維護(hù)機(jī)制形成完善的防護(hù)體系。

總體來(lái)說(shuō)，信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過(guò)程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對(duì)ISMS的建立，我們可以從中醫(yī)“望聞問(wèn)切對(duì)癥下藥治病于未病”的三個(gè)角度來(lái)進(jìn)行分析和討論：

第一，“望聞問(wèn)切”，全面的業(yè)務(wù)、資產(chǎn)和風(fēng)險(xiǎn)評(píng)估是ISMS建設(shè)的基礎(chǔ)；

第二，“對(duì)癥下藥”，可落實(shí)、可操作、可驗(yàn)證的管理體系是ISMS建設(shè)的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問(wèn)切

為了完成ISMS建設(shè)，就必然需要對(duì)企業(yè)當(dāng)前信息資源現(xiàn)狀進(jìn)行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進(jìn)行ISMS建設(shè)。

首先，自然是對(duì)企業(yè)現(xiàn)有資源的梳理，重點(diǎn)可以從以下幾個(gè)方面入手：

1.業(yè)務(wù)主體（設(shè)備、人員、軟件等）。

業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺(tái)服務(wù)器、多少臺(tái)網(wǎng)絡(luò)設(shè)備，都屬于業(yè)務(wù)主體的范疇，按照業(yè)務(wù)主體本身的價(jià)值進(jìn)行一個(gè)估值，也是進(jìn)行整個(gè)信息系統(tǒng)資源價(jià)值評(píng)估的基礎(chǔ)評(píng)估。由于信息技術(shù)日新月異的變化，最好的主體未必服務(wù)于最核心的信息系統(tǒng)，同時(shí)價(jià)值最昂貴的設(shè)備未必最后對(duì)企業(yè)的價(jià)值也最大。在建立體系的過(guò)程中，對(duì)業(yè)務(wù)設(shè)備的盤點(diǎn)和清理是很重要的，也是進(jìn)行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個(gè)重要數(shù)據(jù)。

2.業(yè)務(wù)數(shù)據(jù)（服務(wù)等）。

業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負(fù)責(zé)人逐步關(guān)注的方面，之前我們只關(guān)注設(shè)備的安全，網(wǎng)絡(luò)的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對(duì)業(yè)務(wù)和企業(yè)的重要性。現(xiàn)在，核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)，業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務(wù)數(shù)據(jù)意義也不大，保證業(yè)務(wù)數(shù)據(jù)，必須保證其運(yùn)行的平臺(tái)和容器都是正常的，所以，業(yè)務(wù)數(shù)據(jù)也是我們重點(diǎn)分析的方面之一。

3.業(yè)務(wù)流程。

企業(yè)所有的信息資源都是通過(guò)業(yè)務(wù)流程實(shí)現(xiàn)其價(jià)值的，如果沒(méi)有業(yè)務(wù)流程，所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對(duì)業(yè)務(wù)流程的了解和分析也是很重要的一個(gè)方面。

以上三個(gè)方面是企業(yè)信息資源的三個(gè)核心方面，孤立地看待任何一個(gè)方面都是毫無(wú)意義的。

其次，當(dāng)我們對(duì)企業(yè)的當(dāng)前信息資產(chǎn)進(jìn)行分析以后需要對(duì)其價(jià)值進(jìn)行評(píng)估。

評(píng)估的過(guò)程就是對(duì)當(dāng)前的信息資產(chǎn)進(jìn)行量化的數(shù)據(jù)分析，進(jìn)行安全賦值，我們將信息資產(chǎn)的安全等級(jí)劃分為 5 級(jí)，數(shù)值越大，安全性要求越高，5 級(jí)的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴(yán)重的損失。1 級(jí)的信息資產(chǎn)定義為不重要，其被損害不會(huì)對(duì)企業(yè)造成過(guò)大影響，甚至可以忽略不計(jì)。對(duì)信息資產(chǎn)的評(píng)估在自身價(jià)值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個(gè)方面進(jìn)行評(píng)估賦值，最后信息資產(chǎn)的賦值取 5 個(gè)屬性里面的最大值。

這里需要提出的是，這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務(wù)流程作為核心的信息資源也必須賦值，而且?guī)讉€(gè)基本要素之間的安全值是相互疊加的，比如需要運(yùn)行核心流程的交換機(jī)的賦值，是要高于需要運(yùn)行核心流程的交換機(jī)的賦值的。很多企業(yè)由于歷史原因，運(yùn)行核心業(yè)務(wù)流程的往往是比較老的設(shè)備，在隨后的分析可以看得出來(lái)，由于其年代的影響，造成資產(chǎn)的風(fēng)險(xiǎn)增加，也是需要重點(diǎn)注意的一點(diǎn)。

最后，對(duì)企業(yè)當(dāng)前信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。

風(fēng)險(xiǎn)評(píng)估是 ISMS 建立過(guò)程中非常重要的一個(gè)方面，我們對(duì)信息資產(chǎn)賦值的目的就是為了計(jì)算風(fēng)險(xiǎn)值，從而我們可以看出整個(gè)信息系統(tǒng)中風(fēng)險(xiǎn)最大的部分在哪里。對(duì)于風(fēng)險(xiǎn)值的計(jì)算有個(gè)簡(jiǎn)單的參考公式：風(fēng)險(xiǎn)值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對(duì)性的經(jīng)驗(yàn)公式）。

ISMS 建設(shè)的最終目標(biāo)是將整個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)值控制在一定范圍之內(nèi)。

對(duì)癥下藥

經(jīng)過(guò)上階段的調(diào)研和分析，我們對(duì)企業(yè)面臨的安全威脅和隱患有一個(gè)全面的認(rèn)識(shí)，本階段的ISMS建設(shè)重點(diǎn)根據(jù)需求完成“對(duì)癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃。

在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃，根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進(jìn)行實(shí)施。管理體系的規(guī)范針對(duì)不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結(jié)合，一旦缺乏結(jié)合性ISMS就會(huì)是孤立的，對(duì)企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)，見(jiàn)圖1。

圖1 信息安全管理體系

一級(jí)文件通過(guò)綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標(biāo)、原則、要求和主要措施等頂層設(shè)計(jì)；二級(jí)文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護(hù)工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務(wù)細(xì)分，將其細(xì)化為包括“任務(wù)輸入”、“任務(wù)活動(dòng)”、“任務(wù)實(shí)施指南”和“任務(wù)輸出”等細(xì)則，便于操作人員根據(jù)規(guī)范進(jìn)行實(shí)施和管理人員根據(jù)規(guī)范進(jìn)行工作審核；三級(jí)文件則主要提供各項(xiàng)工作和操作所使用的表單和模板，以便各級(jí)工作人員參考使用。

同時(shí)，無(wú)論是制定新的信息管理規(guī)章制度還是進(jìn)行設(shè)備的更換，都要量力而行，依據(jù)自己實(shí)際的情況來(lái)完成。例如，很多公司按照標(biāo)準(zhǔn)設(shè)立了由企業(yè)高級(jí)領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門、后勤安全部門和審計(jì)部門組成的信息安全辦公室，具體負(fù)責(zé)企業(yè)的信息安全管理工作，在各級(jí)信息化技術(shù)部門均設(shè)置系統(tǒng)管理員、安全管理員、安全審計(jì)員，從管理結(jié)構(gòu)設(shè)計(jì)上保證人員權(quán)限互相監(jiān)督和制約。但是事實(shí)上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個(gè)信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實(shí)施和驗(yàn)證

實(shí)施過(guò)程是最復(fù)雜的，實(shí)施之后需要進(jìn)行驗(yàn)證。實(shí)施是根據(jù) ISMS 的設(shè)計(jì)和體系規(guī)劃來(lái)做的，是個(gè)全面的信息系統(tǒng)的改進(jìn)工作，不是單獨(dú)的設(shè)備更新，也不是單獨(dú)的管理規(guī)范的，需要企業(yè)從上至下，全面地遵照?qǐng)?zhí)行，要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國(guó)外傳入的思路和規(guī)范，雖然切合國(guó)人中醫(yī)理論的整體思維方式，但在國(guó)內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來(lái)。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進(jìn)行信息安全管理體系的建設(shè)是一個(gè)為企業(yè)長(zhǎng)久發(fā)展必須進(jìn)行的工程。

到目前為止，和企業(yè)本身業(yè)務(wù)融合并沒(méi)有完美的解決方案，需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負(fù)責(zé) ISMS 實(shí)施的工程人員一同討論決定適合企業(yè)自身的實(shí)施方案

最后，是企業(yè)信息安全管理體系的認(rèn)證和審核

針對(duì)我們周圍很多重認(rèn)證，輕實(shí)施的思想，這里有必要談一下這個(gè)問(wèn)題，認(rèn)證僅代表認(rèn)證過(guò)程中的信息體系是符合 ISO27000（或者其他國(guó)家標(biāo)準(zhǔn)）的規(guī)范要求，而不是說(shuō)企業(yè)通過(guò)認(rèn)證就是一個(gè)在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實(shí)施整個(gè)體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要?jiǎng)討B(tài)改進(jìn)和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的，也需要有針對(duì)性地發(fā)展和變化，道高一尺魔高一丈，必須通過(guò)各種方法，進(jìn)行不斷地改進(jìn)和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進(jìn)和跟蹤完善的手段，經(jīng)過(guò)測(cè)評(píng)的管理體系僅僅一年之后就失去了大部分作用。對(duì)于這些企業(yè)及未來(lái)即將建立ISMS的企業(yè)，為了持續(xù)運(yùn)轉(zhuǎn)ISMS，我們認(rèn)為可以主要從以下三個(gè)方面著手：

第一，人員。

人員對(duì)于企業(yè)來(lái)講是至關(guān)重要且必不可缺的，在ISMS建立過(guò)程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過(guò)程中，人員都應(yīng)該投入多少呢？通常在體系建立過(guò)程中，我們會(huì)建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實(shí)施，且此名專員日后要持續(xù)保留，負(fù)責(zé)維護(hù)各自部門的信息資產(chǎn)、安全事件跟蹤匯報(bào)、配合內(nèi)審與外審、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。

但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識(shí)培訓(xùn)，面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等，因此對(duì)于企業(yè)來(lái)講，除了必要的體系維護(hù)人員，在ISMS持續(xù)運(yùn)轉(zhuǎn)過(guò)程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責(zé)”的企業(yè)氛圍，則會(huì)為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開(kāi)信息安全各項(xiàng)活動(dòng)的同時(shí)，還會(huì)納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對(duì)外也樹(shù)立起自身對(duì)重視信息安全的形象，大力降低外界給企業(yè)帶來(lái)的風(fēng)險(xiǎn)。

第二，體系。

ISMS自身的持續(xù)維護(hù)，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對(duì)于信息資產(chǎn)清單、風(fēng)險(xiǎn)清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評(píng)審回顧，這項(xiàng)活動(dòng)由于也是在相關(guān)標(biāo)準(zhǔn)中明確指出的，企業(yè)通常不會(huì)忽略；但日常對(duì)于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時(shí)，都最好對(duì)ISMS進(jìn)行重新的評(píng)審，必要時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險(xiǎn)，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化，企業(yè)每天所面臨的風(fēng)險(xiǎn)同樣也不是一成不變的，在更新維護(hù)信息資產(chǎn)清單的同時(shí)，對(duì)風(fēng)險(xiǎn)清單的回顧也是不可疏忽的，而這點(diǎn)往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn)，有效控制企業(yè)所面臨的各種風(fēng)險(xiǎn)。

第三，工具。

工具往往是企業(yè)在建立ISMS過(guò)程中投入大量資金的方面，工具其實(shí)是很大的一個(gè)泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計(jì)等各類工具，即使沒(méi)有實(shí)施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會(huì)出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用，哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購(gòu)買的工具無(wú)人使用或無(wú)法滿足業(yè)務(wù)需求等問(wèn)題，導(dǎo)致資金資源的浪費(fèi)，因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過(guò)程中，根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告，及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對(duì)工具進(jìn)行統(tǒng)一規(guī)劃，盡量減少資源的浪費(fèi)。

第5篇：企業(yè)信息安全要求范文

【 關(guān)鍵詞 】 新版ISO27000；軟件行業(yè)；信息安全管理體系；PDCA模型

Based on the New ISO27000 to the Understanding of the Software Industry， Information Security

Wen Yan-ge Chen Wen-e Wang Gang

（Tianjin University of Commerce Tianjin 300134）

【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry， good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.

【 Keywords 】 the new iso27000； software industry； information security management system； the pdca model

1 引言

如今隨著信息化的步伐日益加速以及信息相關(guān)技術(shù)的飛猛發(fā)展，信息資源也日漸成為所有企業(yè)維持正常運(yùn)轉(zhuǎn)的重要資源。信息以及載體信息系統(tǒng)、網(wǎng)絡(luò)等已經(jīng)成為了企業(yè)生存和發(fā)展的重要資產(chǎn)。然而企業(yè)的信息安全和數(shù)據(jù)泄露仍然是企業(yè)管理者關(guān)注的主要問(wèn)題之一。大部分企業(yè)基于企業(yè)實(shí)際情況，通過(guò)引入國(guó)際信息安全管理體系IS027000以及通過(guò)最佳的業(yè)務(wù)實(shí)踐，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（即ISMS），實(shí)現(xiàn)對(duì)信息安全的預(yù)控、在控、可控、能控。

而隨著2013年的ISO27000的改版，各行各業(yè)勢(shì)必會(huì)根據(jù)自身信息安全的情況對(duì)信息安全體系作出調(diào)整。本文將針對(duì)軟件行業(yè)在調(diào)整下的信息安全管理體系下，如何更好地保持和改進(jìn)信息安全體系作出解讀，使企業(yè)更好地依據(jù)標(biāo)準(zhǔn)體系和方法論，制定出符合企業(yè)長(zhǎng)久發(fā)展的信息安全管理體系。

2 ISO標(biāo)準(zhǔn)

2.1 ISO標(biāo)準(zhǔn)及變化

ISO/IEC27000（Information Security Management System Fundamentals And Vocabulary）是信息安全管理體系基礎(chǔ)和術(shù)語(yǔ)，ISO/IEC 27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語(yǔ)及基本原則，是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。最新版本于2013年9月25日。

相對(duì)于2005版，新版本對(duì)于ISMS建立的基礎(chǔ)進(jìn)行了調(diào)整和明確，相較于2005年版本以資產(chǎn)和技術(shù)為主題，新版標(biāo)準(zhǔn)則把更多的目光投向組織業(yè)務(wù)關(guān)系，更多地考慮到組織自身及利益相關(guān)方的需求，這也是時(shí)展的整體趨勢(shì)。新版控制措施ISO27002從舊版的11個(gè)領(lǐng)域更新為14個(gè)領(lǐng)域，刪除了舊版中一些重復(fù)的和操作級(jí)的控制項(xiàng)。具體是舊版通信與操作管理被劃分成為兩個(gè)獨(dú)立的領(lǐng)域操作安全和通信安全，足以見(jiàn)新版對(duì)這兩個(gè)領(lǐng)域的重視；新增密碼學(xué)和供應(yīng)關(guān)系兩個(gè)獨(dú)立領(lǐng)域。新版ISO27001將舊版中4.1章節(jié)即有關(guān)建立和管理ISMS的總要求獨(dú)立成出來(lái)；為了使邏輯性更加嚴(yán)謹(jǐn)，人力資源安全、資產(chǎn)管理以及訪問(wèn)控制位置發(fā)生一定改變；從章節(jié)上講，由8個(gè)章節(jié)拓展到10個(gè)章節(jié)，重新構(gòu)建了ISO標(biāo)準(zhǔn)PDCA的章節(jié)構(gòu)架。

2.2 關(guān)于PDCA模型

此處對(duì)于PDCA模型以及新版標(biāo)準(zhǔn)的劃分做一簡(jiǎn)單說(shuō)明：PDCA模式是國(guó)際認(rèn)可的模型，很多著名的標(biāo)準(zhǔn)和管理體系都遵循這一模式。該模型是一個(gè)很好的周期性框架，每個(gè)階段都與其他階段相關(guān)聯(lián)。

PDCA模型分別由四部分組成：P（Plan）――建立ISMS， 根據(jù)組織的整體策略和目標(biāo)，確定活動(dòng)的計(jì)劃，包括第四至七章（組織背景、領(lǐng)導(dǎo)力、計(jì)劃、支持）；D（Do）――實(shí)施和運(yùn)作ISMS，實(shí)際地去完成計(jì)劃中的內(nèi)容，包括第八章（運(yùn)行）；C（Check）――監(jiān)視和評(píng)審ISMS，總結(jié)實(shí)施和運(yùn)作的結(jié)果，查找問(wèn)題，包括第九章（績(jī)效評(píng)價(jià)）；A（Action）――保持和改進(jìn)ISMS，對(duì)評(píng)審的結(jié)果做出處理，成功的經(jīng)驗(yàn)要進(jìn)行保持和推廣，失敗的教訓(xùn)要尋找原因，避免下次再出現(xiàn)同樣的錯(cuò)誤，沒(méi)有解決的問(wèn)題放到下一個(gè)PDCA循環(huán)中，包括第十章（改進(jìn)）。

PDCA模型是管理學(xué)中常用的一個(gè)模型。該模型在運(yùn)作過(guò)程中，按照P-D-C-A 的順序依次進(jìn)行，一次完整的循環(huán)可以看作是管理學(xué)上的一個(gè)管理周期，每經(jīng)過(guò)一次循環(huán)，管理情況就會(huì)得到改善，同時(shí)進(jìn)入更高的P-D-C-A周期循環(huán)，組織的管理體系不斷的得到提升，管理水平也不斷提高。而這四個(gè)步驟成為一個(gè)閉環(huán)，通過(guò)這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績(jī)效螺旋上升。

新的內(nèi)容將使企業(yè)的側(cè)重點(diǎn)不同，從上面的論述中明顯可以看出新標(biāo)準(zhǔn)在企業(yè)建立信息安全體系之前加重了對(duì)企業(yè)內(nèi)外環(huán)境信息安全的重視，在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀，了解其發(fā)展所面臨的機(jī)遇與風(fēng)險(xiǎn)，從而高標(biāo)準(zhǔn)、高精度、高要求來(lái)對(duì)待信息安全管理工作。

對(duì)于軟件行業(yè)來(lái)說(shuō)，信息安全體系已初步建立和實(shí)施，主要是監(jiān)視評(píng)審并持續(xù)改進(jìn)自身信息安全體系的工作――PDCA模型的C和A。

3 軟件行業(yè)信息安全現(xiàn)狀及新標(biāo)準(zhǔn)變化下應(yīng)對(duì)策略

軟件行業(yè)是對(duì)信息安全要求最高的行業(yè)，也是企業(yè)引入國(guó)際信息安全管理體系IS027000通過(guò)認(rèn)證最多的行業(yè)。前面已經(jīng)提到，軟件行業(yè)已經(jīng)初步建立和實(shí)施自己的信息安全體系，面對(duì)新版ISO27000的要求，大刀闊斧地重新開(kāi)始構(gòu)建體系勢(shì)必會(huì)給企業(yè)帶來(lái)大的浪費(fèi)和困擾。因此，在新的要求下如何監(jiān)視并改進(jìn)ISMS是軟件行業(yè)中企業(yè)面臨的最大的問(wèn)題。ISO27001新標(biāo)準(zhǔn)中把舊版4.1獨(dú)立成章作為建立體系之前的組織環(huán)境的了解，將原來(lái)的領(lǐng)導(dǎo)力、可實(shí)現(xiàn)信息安全的計(jì)劃、資源等的支持都放入構(gòu)建ISMS之前，也就是說(shuō)軟件行業(yè)在監(jiān)控并改進(jìn)信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡(jiǎn)單歸納為兩個(gè)方面：管理和技術(shù)。企業(yè)需要通過(guò)管理和技術(shù)的雙方面進(jìn)行控制和管理來(lái)改善信息安全體系。

3.1 管理角度分析

從管理角度考慮，企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數(shù)據(jù)安全管理、人員安全管理、軟件安全管理、運(yùn)行安全管理、系統(tǒng)安全管理、技術(shù)文檔安全管理，通過(guò)對(duì)風(fēng)險(xiǎn)的技術(shù)性控制和管理的實(shí)施、部署后，在風(fēng)險(xiǎn)控制管理中能保證防御大量存在的威脅，技術(shù)性的控制管理手段不僅包括從簡(jiǎn)單直至復(fù)雜的各種具體的技術(shù)手段，還包括系統(tǒng)架構(gòu)、系統(tǒng)培訓(xùn)以及一系列的軟件、硬件的安全設(shè)備，這些措施和方式應(yīng)該配套使用，從而保護(hù)關(guān)鍵數(shù)據(jù)、敏感信息及信息系統(tǒng)的功能。而這些也是ISO27001中第四章組織的背景、第五章領(lǐng)導(dǎo)力、第六章計(jì)劃、第七章支持對(duì)企業(yè)的具體要求。

主要管理措施可以從幾個(gè)方面出發(fā)。

（1）建立信息安全管理體系監(jiān)督機(jī)制、在體系運(yùn)行期間，要進(jìn)行有效的檢查、監(jiān)督、反饋和溝通，保證信息安全管理體系能夠按照公司制訂的方針策略，滿足公司業(yè)務(wù)的需求。

（2）根據(jù)企業(yè)自身的特點(diǎn)，制訂可行的獎(jiǎng)懲制度，將信息安全的管理納入到績(jī)效考核，直接與工作和獎(jiǎng)金掛鉤，將對(duì)違反信息安全管理體系規(guī)定進(jìn)行懲罰。

（3）建立內(nèi)部審核制度，各部門應(yīng)按照信息安全管理體系的要求，進(jìn)行自查和由負(fù)責(zé)部門進(jìn)行隨時(shí)抽查，并在每年定期組織檢查，對(duì)表現(xiàn)好的單位給予嘉獎(jiǎng)，同時(shí)對(duì)違反的單位進(jìn)行懲罰，并進(jìn)行公示；同時(shí)對(duì)信息安全審計(jì)、安全事件處理和外部組織進(jìn)行反饋溝通，檢查信息安全管理體系的有效性和合理性。

（4）考慮組織和技術(shù)等的變化對(duì)信息安全管理體系的影響，應(yīng)實(shí)時(shí)更新相關(guān)的規(guī)章制度，具體變化情況如：組織變化、技術(shù)變革、業(yè)務(wù)目標(biāo)流程的改變、新的威脅和風(fēng)險(xiǎn)點(diǎn)的出現(xiàn)、法律法規(guī)的變化等；通過(guò)不斷的優(yōu)化和改善，使信息安全管理體系能夠永遠(yuǎn)適合企業(yè)業(yè)務(wù)的需要。

3.2 技術(shù)角度分析

新版ISO270002控制措施中新增和調(diào)整了一些措施，涉及信息系統(tǒng)開(kāi)發(fā)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理等部分，這些要求對(duì)軟件行業(yè)中企業(yè)的具體實(shí)行至關(guān)重要。從技術(shù)角度考慮，軟件行業(yè)企業(yè)信息安全管理體系中所需采取的安全技術(shù)體系包括幾個(gè)方面。

3.2.1物理環(huán)境安全信息系統(tǒng)硬件安全

這是無(wú)論舊版控制措施還是新版都沒(méi)有絲毫改變的控制項(xiàng)，也是軟件行業(yè)中企業(yè)應(yīng)加強(qiáng)管理的基礎(chǔ)。在公司的信息系統(tǒng)硬件管理上，首先對(duì)機(jī)房的硬件環(huán)境進(jìn)行安全管理，包括溫度、濕度、消防、電力等安全管理，對(duì)關(guān)鍵的應(yīng)用需要采取UPS供電，同時(shí)采取相應(yīng)的備份，對(duì)硬件的使用率進(jìn)行實(shí)時(shí)地監(jiān)控，避免硬件的使用率過(guò)高造成業(yè)務(wù)持續(xù)性的影響，另外需要對(duì)硬件的物理環(huán)境進(jìn)行監(jiān)控，避免非法人員的進(jìn)入，同時(shí)也是對(duì)管理員的日常行動(dòng)進(jìn)行監(jiān)控，最后需要對(duì)機(jī)房人員和物品的出入進(jìn)行權(quán)限的管理和等級(jí)制度。

3.2.2操作系統(tǒng)與應(yīng)用程序安全

這是新版控制措施新增的安全開(kāi)發(fā)策略和系統(tǒng)開(kāi)發(fā)程序等對(duì)企業(yè)新的要求，保證操作系統(tǒng)與應(yīng)用程序的安全會(huì)保護(hù)企業(yè)在系統(tǒng)開(kāi)發(fā)和集成工作的安全開(kāi)發(fā)環(huán)境，使企業(yè)整個(gè)開(kāi)發(fā)周期安全。

（1） 操作系統(tǒng)安全。除了進(jìn)行必要的補(bǔ)丁和漏洞的管理和更新外，最主要的是進(jìn)行防病毒管理，通過(guò)殺毒軟件來(lái)防止非法的木馬、惡意代碼、軟件對(duì)操作系統(tǒng)的安全影響；應(yīng)用程序安全――直接關(guān)系信息系統(tǒng)的安全性，通過(guò)硬件、軟件的安全保護(hù)來(lái)保證應(yīng)用程序的安全。

（2） 密碼算法技術(shù)。密碼學(xué)在新版控制措施中獨(dú)立成為一個(gè)領(lǐng)域，這就是企業(yè)必須要引起重視的理由，密碼算法技術(shù)，密碼算法技術(shù)應(yīng)用主要是確保信息在傳送的過(guò)程中不被非法的人員竊取、篡改和利用，同時(shí)接收方能夠完整無(wú)誤的解讀發(fā)送者發(fā)送的原始信息。

（3） 安全傳輸技術(shù)與安全協(xié)議技術(shù)。這是針對(duì)新增供應(yīng)關(guān)系領(lǐng)域企業(yè)需要加強(qiáng)的技術(shù)。為減緩供應(yīng)商以及其他用戶訪問(wèn)企業(yè)資產(chǎn)帶來(lái)的風(fēng)險(xiǎn)，對(duì)于重要的系統(tǒng)和對(duì)外的訪問(wèn)，進(jìn)行安全的傳輸技術(shù)，以此來(lái)保證信息在傳輸過(guò)程中的安全，避免被非法用戶竊取、篡改和利用。

（4） 安全協(xié)議技術(shù)。主要是指身份認(rèn)證功能，目前企業(yè)系統(tǒng)的安全保護(hù)主要都是依賴于操作系統(tǒng)的安全，這樣入侵系統(tǒng)就非常容易，因此需要建立一套完善的身份認(rèn)證系統(tǒng)，其目的是保證信息系統(tǒng)能確認(rèn)系統(tǒng)訪問(wèn)者的真正身份，身份認(rèn)證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽名等方法來(lái)確認(rèn)消息發(fā)送方的身份。

（5） 信息處理設(shè)備冗余部署。這在新版控制措施第十七章信息安全方面的業(yè)務(wù)連續(xù)性管理中作為新增的控制措施，要求企業(yè)識(shí)別信息系統(tǒng)可用性的業(yè)務(wù)需求，如果現(xiàn)有系統(tǒng)框架不能保證可用性，應(yīng)該考慮冗余組建或架構(gòu)。在適當(dāng)情況下，對(duì)冗余信息系統(tǒng)進(jìn)行測(cè)試，保證在發(fā)生故障時(shí)可以從一個(gè)組件順利切換到另外一個(gè)組件。

4 結(jié)束語(yǔ)

信息安全管理體系的建設(shè)改進(jìn)工作是持續(xù)進(jìn)行的，是會(huì)隨著公司業(yè)務(wù)的發(fā)展、技術(shù)的更新、以及新標(biāo)準(zhǔn)的要求等不斷變化的。它需要采用科學(xué)的方法來(lái)保證體系的持續(xù)穩(wěn)定運(yùn)行，從而使信息安全管理體系化、常態(tài)化的保持下去。而新版ISO27000在信息安全體系的工作上，使各行各業(yè)都有了新的指導(dǎo)。本文主要針對(duì)軟件行業(yè)做出一定解讀?？傮w來(lái)講，我們需要對(duì)己經(jīng)建立的信息安全管理體系進(jìn)行監(jiān)督、完善、優(yōu)化，這實(shí)際上還是要求企業(yè)貫徹執(zhí)行PDCA模型，無(wú)論從管理還是具體操作上不斷進(jìn)行PDCA循環(huán)，才能使得企業(yè)信息安全管理體系不斷改進(jìn)和優(yōu)化。

參考文獻(xiàn)

[1] 高仁斗.企業(yè)安全工作中存在的問(wèn)題與對(duì)策[J].中國(guó)職業(yè)安全衛(wèi)生管理體系認(rèn)證，2004（05）.

[2] 蔣永康，朱冬林，潘豐.我國(guó)中小企業(yè)法律法規(guī)體系建設(shè)現(xiàn)狀及對(duì)策[J].管理工程師，2012（06）.

[3] 楊愛(ài)民.電子商務(wù)安全的現(xiàn)狀及對(duì)策探討[J].科技資訊，2006.6.

作者簡(jiǎn)介：

文艷閣（1993-），女，山西孝義人，天津商業(yè)大學(xué)，本科（在讀）。

第6篇：企業(yè)信息安全要求范文

早在去年8月份，國(guó)家發(fā)改委和信息產(chǎn)業(yè)部共同宣布組織實(shí)施“中小企業(yè)信息化推進(jìn)工程”，這項(xiàng)工程包括萬(wàn)家中小企業(yè)的免費(fèi)培訓(xùn)、百萬(wàn)中小企業(yè)上網(wǎng)等，有望大大提高中小企業(yè)的信息化水平。此項(xiàng)工程得到了主流電信運(yùn)營(yíng)商的鼎立支持，各大運(yùn)營(yíng)商都充分利用自己的網(wǎng)絡(luò)資源優(yōu)勢(shì)和客戶資源優(yōu)勢(shì)推出了自己的中小企業(yè)信息化公共服務(wù)平臺(tái)，如廣東電信推出的“藍(lán)色魅力”、上海電信推出的“理想商務(wù)”平臺(tái)、江西電信推出的“商務(wù)領(lǐng)航”、網(wǎng)通推出的“寬帶商務(wù)”等。另外，不少地方政府相關(guān)部門也推出了中小企業(yè)信息化公共服務(wù)平臺(tái)，讓中小企業(yè)可以低成本地利用信息化手段來(lái)提高管理水平和生產(chǎn)率。

所謂中小企業(yè)信息化公共服務(wù)平臺(tái)，簡(jiǎn)稱ASP平臺(tái)，就是讓中小企業(yè)無(wú)需投資昂貴的硬件、軟件系統(tǒng)和網(wǎng)絡(luò)設(shè)施，以及配置專業(yè)的IT技術(shù)人才，只要有電腦上網(wǎng)就可以以瀏覽器方式登錄ASP平臺(tái)，使用企業(yè)信息化所需的所有服務(wù)，包括域名注冊(cè)、企業(yè)郵局、虛擬主機(jī)、主機(jī)托管、網(wǎng)站設(shè)計(jì)（包括自助生成系統(tǒng)）、供求信息、企業(yè)即時(shí)通信、網(wǎng)站在線幫助、在線殺毒、客戶關(guān)系管理（CRM）、進(jìn)銷存管理、辦公自動(dòng)化（針對(duì)不同的行業(yè)）、供應(yīng)鏈管理（SCM）、ERP、商業(yè)智能、知識(shí)管理、業(yè)務(wù)流程管理、企業(yè)POS、企業(yè)服務(wù)總線、企業(yè)門戶、網(wǎng)絡(luò)傳真、網(wǎng)絡(luò)電話（VoIP）、企業(yè)短信和移動(dòng)辦公等。但據(jù)有關(guān)媒體報(bào)道，面對(duì)電信運(yùn)營(yíng)商和有關(guān)政府部門的大投入，中小企業(yè)并不買賬，出現(xiàn)建設(shè)熱鬧、買單使用少的現(xiàn)象。甚至面對(duì)免費(fèi)贈(zèng)送，一些中小企業(yè)也不愿使用。是中小企業(yè)不需要這些信息化服務(wù)嗎？答案當(dāng)然是否定的。

筆者認(rèn)為，主要原因是中小企業(yè)用戶不信任ASP服務(wù)平臺(tái)。造成這種不信任的一個(gè)重要因素是，ASP服務(wù)平臺(tái)的信息安全措施不足以讓用戶放心地把企業(yè)的機(jī)密信息（如客戶信息、財(cái)務(wù)信息）放在上面，是這些平臺(tái)缺乏“安全魅力”。那么，ASP服務(wù)平臺(tái)應(yīng)該采用哪些技術(shù)措施才能讓用戶放心呢？除了防火墻等必要的網(wǎng)絡(luò)安全措施外，還需要有確保機(jī)密信息安全的技術(shù)措施。

首先，ASP平臺(tái)的所有應(yīng)用服務(wù)器一定要部署全球通用的、支持所有瀏覽器的、真正 128 位的 SSL 數(shù)字證書。這樣可以確保用戶在使用瀏覽器登錄各個(gè)應(yīng)用系統(tǒng)時(shí)，從瀏覽器到ASP服務(wù)器之間所有機(jī)密信息的高強(qiáng)度加密傳輸，從而有效地保證了用戶賬號(hào)、密碼和企業(yè)機(jī)密信息的機(jī)密性和完整性，杜絕非法竊聽(tīng)和非法篡改。

其次，ASP平臺(tái)應(yīng)為每個(gè)平臺(tái)用戶頒發(fā)一個(gè)全球通用的客戶端數(shù)字證書（個(gè)人數(shù)字證書和單位數(shù)字證書）。該證書用于登錄ASP平臺(tái)各個(gè)應(yīng)用系統(tǒng)的身份認(rèn)證和用于每個(gè)交易的數(shù)字簽名，從而杜絕了使用簡(jiǎn)單的用戶名/口令認(rèn)證系統(tǒng)容易造成的機(jī)密信息泄露，同時(shí)提供了網(wǎng)上交易不可否認(rèn)的證據(jù)。為了杜絕使用公用電腦（網(wǎng)吧）和專用電腦的間諜軟件（木馬軟件）或其他可能的手段非法使用數(shù)字證書問(wèn)題，推薦對(duì)安全要求高的企業(yè)用戶使用USB Key移動(dòng)數(shù)字證書來(lái)確保是真實(shí)的用戶在合法登錄各個(gè)應(yīng)用系統(tǒng)，在登錄時(shí)把USB Key插入電腦的USB口，退出登錄時(shí)拔下即可。

另外，ASP平臺(tái)中涉及到企業(yè)核心機(jī)密信息的系統(tǒng)（如客戶關(guān)系管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)）應(yīng)該使用用戶的客戶端數(shù)字證書來(lái)加密存儲(chǔ)機(jī)密信息。這使得該機(jī)密信息只有用戶本人使用用戶自己的數(shù)字證書才能閱讀（即使是ASP平臺(tái)系統(tǒng)管理員也無(wú)法看到，因?yàn)榭蛻舳藬?shù)字證書在用戶手中），ASP平臺(tái)就像房地產(chǎn)開(kāi)發(fā)商，房子賣或租給用戶就要把房子的鑰匙給用戶，只有用戶本人使用該鑰匙才能進(jìn)屋，這個(gè)鑰匙就是分配給ASP用戶的客戶端數(shù)字證書。只有這樣，才能讓用戶放心地使用ASP平臺(tái)。

第7篇：企業(yè)信息安全要求范文

【關(guān)鍵詞】電力企業(yè)；網(wǎng)絡(luò)信息化

【中圖分類號(hào)】TM73

【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】1672-5158（2012）12-0016-01

1 電力行業(yè)網(wǎng)絡(luò)與信息安全工作開(kāi)展情況

2000年以來(lái)，我國(guó)相繼發(fā)生了“二灘電廠停機(jī)事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業(yè)網(wǎng)絡(luò)與信息安全事件，造成了不同程度的事故影響，威脅到了電力系統(tǒng)安全穩(wěn)定運(yùn)行，同時(shí)也暴露出了我國(guó)電力行業(yè)在網(wǎng)絡(luò)安全接入方面、安全生產(chǎn)管理方面、人員信息安全培訓(xùn)等方面存在薄弱環(huán)節(jié)。

針對(duì)類似電力信息安全事件，2002年，原國(guó)家經(jīng)貿(mào)委第30號(hào)令《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》，對(duì)電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)防護(hù)提出了要求。國(guó)家電監(jiān)會(huì)成立后，對(duì)電力二次系統(tǒng)及網(wǎng)絡(luò)信息安全防護(hù)明確提出了“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)策略，并制定印發(fā)了《電力行業(yè)網(wǎng)絡(luò)與信息安全信息報(bào)送暫行辦法》、《電力行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案》、《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行辦法》等一系列管理辦法，使電力行業(yè)網(wǎng)絡(luò)與信息安全防護(hù)的理念更加系統(tǒng)化、具體化，增強(qiáng)了可操作性，電力行業(yè)網(wǎng)絡(luò)與信息安全防護(hù)工作進(jìn)入了實(shí)質(zhì)性建設(shè)階段。

2 目前我國(guó)電力信息網(wǎng)絡(luò)的現(xiàn)狀

（一）信息化網(wǎng)絡(luò)基本形成多年來(lái)我國(guó)一直非常重視電力行業(yè)信息化建設(shè)。從目前狀況來(lái)看，電力企業(yè)信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成，硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好，無(wú)論是在生產(chǎn)、調(diào)度還是營(yíng)業(yè)等部門都已實(shí)現(xiàn)了信息化管理，在網(wǎng)絡(luò)硬件方面，基本能夠保證電力行業(yè)工作的正常運(yùn)轉(zhuǎn)；在軟件建設(shè)方面，也實(shí)現(xiàn)了包括調(diào)度自動(dòng)化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營(yíng)銷信息系統(tǒng)、負(fù)荷監(jiān)控系統(tǒng)及各專業(yè)相關(guān)在內(nèi)的應(yīng)用系統(tǒng)設(shè)施。電力系統(tǒng)網(wǎng)絡(luò)化的實(shí)現(xiàn)，對(duì)保證安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動(dòng)生產(chǎn)率等起到了促進(jìn)作用。

（二）信息安全仍然存在不可忽視的問(wèn)題、雖然網(wǎng)絡(luò)系統(tǒng)已經(jīng)基本形成，但是信息安全還不盡樂(lè)觀，主要表現(xiàn)在信息網(wǎng)絡(luò)安全還沒(méi)有涉及到各個(gè)領(lǐng)域，其發(fā)展也是不平衡的。有的電力企業(yè)對(duì)信息的安全重視不夠。如很多電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)還沒(méi)有防火墻，有的甚至沒(méi)有數(shù)據(jù)備份的概念，更沒(méi)有對(duì)網(wǎng)絡(luò)安全做統(tǒng)一長(zhǎng)遠(yuǎn)的規(guī)劃，因此，電力企業(yè)網(wǎng)絡(luò)中存在許多隱患。這種安全意識(shí)的淡薄，具體工作的不到位，導(dǎo)致了網(wǎng)絡(luò)信息系統(tǒng)的不完善，給網(wǎng)絡(luò)的安全帶來(lái)了很多的不利因素?？梢哉f(shuō)，目前我國(guó)電力系統(tǒng)信息安全體系還不完備，缺乏統(tǒng)一的信息安全管理規(guī)范。

（三）對(duì)電力系統(tǒng)信息網(wǎng)絡(luò)的投入不足從目前我國(guó)電力行業(yè)網(wǎng)絡(luò)信息的綜合情況看，國(guó)家對(duì)電力行業(yè)信息化管理的投入還不均衡，特別是對(duì)邊遠(yuǎn)地區(qū)的投入還有待加強(qiáng)。與電力行業(yè)其它方面的硬件投入相比，對(duì)網(wǎng)絡(luò)信息的投入也不夠。這就需要加大投入，以建立一個(gè)統(tǒng)一安全的信息網(wǎng)絡(luò)，以保證電力系統(tǒng)安全。

（四）電力行業(yè)的軟件開(kāi)發(fā)還不到位由于經(jīng)費(fèi)不足等種種原因，軟件開(kāi)發(fā)還沒(méi)有細(xì)化。如很多單位的數(shù)據(jù)庫(kù)數(shù)據(jù)和文件都停留在明文存儲(chǔ)階段，以明文形式存儲(chǔ)的信息存在泄漏的可能，拿到存儲(chǔ)介質(zhì)的人可以讀出這些信息，黑客也可以繞過(guò)操作系統(tǒng)，從數(shù)據(jù)庫(kù)管理系統(tǒng)的控制處獲取信息。再如，用戶身份認(rèn)證基本上采用口令鑒別模式，而這種模式很容易被攻破。還有的應(yīng)用系統(tǒng)使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫(kù)或文件中，這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高、信息敏感性不斷增強(qiáng)的今天風(fēng)險(xiǎn)特別大。以上種種情況，究其原因，還是電力軟件開(kāi)發(fā)得不夠所致，目前的軟件還不能完全適應(yīng)形勢(shì)的需要和工作的需要。這是個(gè)亟待解決的問(wèn)題，如果這個(gè)問(wèn)題解決不好，會(huì)導(dǎo)致大的問(wèn)題出現(xiàn)。

3 加強(qiáng)電力行業(yè)網(wǎng)絡(luò)信息安全的措施

（一）提高認(rèn)識(shí)，強(qiáng)化信息化安全教育信息網(wǎng)絡(luò)如何能使用安全，很大程度上在于工作人員的認(rèn)識(shí)程度。安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實(shí)施力度將直接關(guān)系到電力企業(yè)安全策略被理解的程度和被執(zhí)行的效果。如何能保證網(wǎng)絡(luò)信息的安全，一個(gè)重要的措施就是廣泛地進(jìn)行信息管理人員的培訓(xùn)。為了保證安全的成功和有效，電力行業(yè)的管理部門應(yīng)該及時(shí)對(duì)企業(yè)各級(jí)管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)，所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行電力企業(yè)安全策略，要讓各級(jí)信息管理人員，重點(diǎn)是了解和掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等。負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等。只有這樣，才能保證電力網(wǎng)絡(luò)信息系統(tǒng)的安全操作。

（二）采取措施，提高信息網(wǎng)安全防護(hù)技術(shù)水平一是對(duì)網(wǎng)絡(luò)防火墻高度重視。防火墻是電力企業(yè)信息網(wǎng)絡(luò)的唯一出口，所有的訪問(wèn)都將通過(guò)防火墻進(jìn)行，不允許任何繞過(guò)防火墻的連接。因此，做好這一通道的把關(guān)尤為關(guān)鍵，應(yīng)該對(duì)這方面的技術(shù)重視起來(lái)，研究出更高水平的防護(hù)軟件，以適應(yīng)信息網(wǎng)安全工作的需要。二是對(duì)入侵檢測(cè)系統(tǒng)高度重視。要部署先進(jìn)的分布式入侵檢測(cè)構(gòu)架，保證電力企業(yè)信息系統(tǒng)的安全檢測(cè)。入侵檢測(cè)系統(tǒng)要采用攻擊防衛(wèi)技術(shù)，要具有高可靠性、高識(shí)別率、規(guī)則更新迅速等特點(diǎn)。三是對(duì)網(wǎng)絡(luò)隱患掃描系統(tǒng)高度重視。掃描網(wǎng)絡(luò)設(shè)備包括：服務(wù)器、工作站、防火墻、路由器、路由交換機(jī)等。掃描結(jié)束后生成詳細(xì)的安全評(píng)估報(bào)告，采用報(bào)表和圖形的形式對(duì)掃描結(jié)果進(jìn)行分析，可以直觀地對(duì)用戶進(jìn)行安全性能評(píng)估和檢查。四是對(duì)數(shù)據(jù)加密系統(tǒng)高度重視。要通過(guò)文件加密、信息摘要和訪問(wèn)控制等安全措施，來(lái)實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋Ｃ芎屯暾砸?，?shí)現(xiàn)對(duì)文件訪問(wèn)的控制。對(duì)通信安全，采用數(shù)據(jù)加密，信息摘要和數(shù)字簽名等安全措施對(duì)通信過(guò)程中的信息進(jìn)行保護(hù)，實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。五是對(duì)數(shù)據(jù)庫(kù)安全高度重視。要通過(guò)數(shù)據(jù)存儲(chǔ)加密、完整性檢驗(yàn)和訪問(wèn)控制來(lái)保證數(shù)據(jù)庫(kù)數(shù)據(jù)的機(jī)密和完整性，并實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問(wèn)安全。總之，網(wǎng)絡(luò)信息的安全技術(shù)對(duì)維護(hù)網(wǎng)絡(luò)信息的真正安全尤為重要，因此這方面的工作需要加強(qiáng)。

（三）加大力度，建立統(tǒng)一的信息網(wǎng)防護(hù)體系

一是要保證信息管理工作人員體系的相對(duì)穩(wěn)定。防止網(wǎng)絡(luò)機(jī)密泄露，特別是注意人員凋離時(shí)的網(wǎng)絡(luò)機(jī)密的泄露。二是完善軟件和硬件管理體系。主要是指各種網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備的安全策略，如防火墻、物理隔離設(shè)備、入侵檢測(cè)設(shè)備、路由器的安全策略管理要切合實(shí)際。三是要注意信息介質(zhì)的安全管理。主要是備份的介質(zhì)要防止丟失和被盜，報(bào)廢的介質(zhì)要及時(shí)清除和銷毀，特別要注意送出修理的設(shè)備上存儲(chǔ)信息的安全。

第8篇：企業(yè)信息安全要求范文

［關(guān)鍵詞］ 桌面安全；大型企業(yè)；中國(guó)石油

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034

［中圖分類號(hào)］ F272.7 ［文獻(xiàn)標(biāo)識(shí)碼］ A ［文章編號(hào)］ 1673 - 0194（2012）14- 0058- 02

1 引 言

經(jīng)過(guò)數(shù)十年的信息安全建設(shè)，國(guó)內(nèi)大型企業(yè)的網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全防護(hù)能力已經(jīng)達(dá)到一定水平。但是信息安全故障并沒(méi)有隨著信息安全投入的增加而下降。經(jīng)過(guò)統(tǒng)計(jì)發(fā)現(xiàn)，內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)發(fā)生故障的原因少部分是由于網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)自身的問(wèn)題所引起，更多的是因?yàn)閮?nèi)網(wǎng)的其他安全因素導(dǎo)致，如病毒爆發(fā)、資源濫用、惡意接入、用戶誤操作等。而這些安全因素，大多來(lái)源于用戶桌面計(jì)算機(jī)，桌面安全管理已經(jīng)是各個(gè)企業(yè)迫在眉睫的安全建設(shè)內(nèi)容。

2 影響桌面安全的因素

2.1 企業(yè)安全組織體系不健全，專職人員缺失

大型企業(yè)的業(yè)務(wù)跨度大，地域分布廣。各個(gè)二級(jí)單位的信息安全水平發(fā)展不一。有的二級(jí)單位信息部門職工上千名，有的單位卻沒(méi)有獨(dú)立的信息部門。但所有的二級(jí)單位都統(tǒng)一在企業(yè)內(nèi)網(wǎng)中運(yùn)行，各類統(tǒng)建系統(tǒng)在所有二級(jí)單位中運(yùn)行。對(duì)于沒(méi)有沒(méi)有獨(dú)立的信息部門的二級(jí)單位 ，更沒(méi)有負(fù)責(zé)安全體系建設(shè)、運(yùn)行和管理的專職機(jī)構(gòu)及人員，兼職安全管理員有責(zé)無(wú)權(quán)的現(xiàn)象普遍存在，依據(jù)“短板”理論，極易從信息安全力量較弱的單位為突破口，進(jìn)而影響到整個(gè)企業(yè)信息安全。特別是信息安全技術(shù)的快速發(fā)展，信息安全人員需不斷提升自身素質(zhì)，加強(qiáng)業(yè)務(wù)水平，才能保證桌面安全運(yùn)行。

2.2 企業(yè)職工計(jì)算機(jī)缺乏安全加固手段

盡管多數(shù)大型企業(yè)對(duì)桌面計(jì)算機(jī)的安全加固已經(jīng)采取了部分安全措施，如安裝防病毒軟件和個(gè)人防火墻軟件，甚至部署了漏洞掃描系統(tǒng)定期對(duì)桌面計(jì)算機(jī)進(jìn)行漏洞掃描，督促用戶及時(shí)更新操作系統(tǒng)補(bǔ)丁。但是，首先由于企業(yè)規(guī)模較大，管理者無(wú)法保證所有的終端用戶都安裝了防病毒軟件和防火墻軟件。其次，即便安裝了這些防護(hù)軟件，用戶也常常因?yàn)楦鞣N原因無(wú)法及時(shí)更新病毒庫(kù)。另外，系統(tǒng)漏洞掃描雖然可以獲得桌面計(jì)算機(jī)的補(bǔ)丁缺失情況，但是卻缺乏有效的補(bǔ)丁安裝手段。所有這些因素，均導(dǎo)致桌面計(jì)算機(jī)的安全無(wú)法得到有效的保障。

2.3 企業(yè)職工計(jì)算機(jī)缺少有效的接入控制手段

對(duì)于大型企業(yè)，內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量眾多且分布地域廣闊。網(wǎng)絡(luò)管理人員很難統(tǒng)計(jì)內(nèi)網(wǎng)計(jì)算機(jī)的確切數(shù)量，也無(wú)法區(qū)分哪些是內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，哪些是外來(lái)的非授權(quán)使用的計(jì)算機(jī)。這種狀況下，很難控制外來(lái)人員隨意的計(jì)算機(jī)接入。很容易導(dǎo)致企業(yè)內(nèi)網(wǎng)機(jī)密信息的泄漏，往往等泄密事件發(fā)生了，卻還無(wú)法判斷到底是哪一個(gè)環(huán)節(jié)出了差錯(cuò)。另外，對(duì)于內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，任何一臺(tái)感染了病毒和木馬，網(wǎng)絡(luò)管理人員也無(wú)法及時(shí)定位和自動(dòng)阻斷該計(jì)算機(jī)的破壞行為。往往需要花費(fèi)很長(zhǎng)的時(shí)間才能判斷和定位該計(jì)算機(jī)，然后再通過(guò)手動(dòng)的方式斷網(wǎng)。對(duì)安全強(qiáng)度差的桌面計(jì)算機(jī)缺乏有效的安全狀態(tài)檢測(cè)和內(nèi)網(wǎng)接入控制，是導(dǎo)致內(nèi)網(wǎng)安全事件不斷發(fā)生的重要原因之一。

3 大型企業(yè)桌面安全管理建設(shè)

中國(guó)石油信息化建設(shè)處于我國(guó)大型企業(yè)領(lǐng)先地位，在國(guó)資委歷年信息化評(píng)比中都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設(shè)列入信息化整體規(guī)劃中，并逐步實(shí)施，其中桌面安全管理建設(shè)是信息安全保障體系建設(shè)的重點(diǎn)工作，從組織、管理及技術(shù)3個(gè)方面進(jìn)行全面建設(shè)。

3.1 完善安全組織體系建設(shè)

中國(guó)石油建立三級(jí)的終端安全組織架構(gòu)，分別為石油總部、地區(qū)公司、地區(qū)二級(jí)單位。終端安全組織在每一級(jí)設(shè)立專門的組織，明確主管領(lǐng)導(dǎo)，確定組織責(zé)任，設(shè)置相應(yīng)崗位，配備必要人員。其中集團(tuán)信息化領(lǐng)導(dǎo)小組是信息系統(tǒng)安全工作的最高決策機(jī)構(gòu)，信息管理部是集團(tuán)公司信息系統(tǒng)安全的歸口管理部門，負(fù)責(zé)落實(shí)信息化工作領(lǐng)導(dǎo)小組的各項(xiàng)決策。企事業(yè)單位信息部門負(fù)責(zé)本單位信息系統(tǒng)安全的管理，并設(shè)立信息系統(tǒng)安全管理、審計(jì)、技術(shù)崗位，包括信息系統(tǒng)安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)等負(fù)責(zé)人和管理員，重要崗位設(shè)置兩名員工互為備份。

3.2 強(qiáng)化安全管理體系建設(shè)

安全管理體系從管理制度、培訓(xùn)教育、運(yùn)行管理及檢查考核4方面進(jìn)行強(qiáng)化。①管理制度。根據(jù)中國(guó)石油信息安全的需求，分階段逐步制定并完善信息系統(tǒng)安全管理的規(guī)章制度，加大整個(gè)信息安全制度體系的貫徹執(zhí)行力度，才能使安全防護(hù)能力得到不斷的提高，整體信息安全才能落到實(shí)處。②培訓(xùn)教育。信息安全培訓(xùn)涉及信息安全法律法規(guī)、信息安全事件案例等多方面，通過(guò)培訓(xùn)一方面提高企業(yè)員工的安全意識(shí)，使員工自覺(jué)約束自我行為，遵守各項(xiàng)信息安全規(guī)章制度、標(biāo)準(zhǔn)規(guī)范；另一方面及時(shí)掌握必要的信息安全技術(shù)知識(shí)和技能，在實(shí)際工作中充分利用技術(shù)手段保障信息安全。③運(yùn)行管理。 通過(guò)統(tǒng)一設(shè)計(jì)、統(tǒng)一平臺(tái)，統(tǒng)一硬件體系架構(gòu)，建立中石油桌面運(yùn)行管理系統(tǒng)。采用三級(jí)架構(gòu)，分別在總部、區(qū)域數(shù)據(jù)中心部署服務(wù)器和管理軟件，各企事業(yè)單位的桌面計(jì)算機(jī)安裝客戶端軟件，整個(gè)運(yùn)行管理由防病毒子系統(tǒng)、補(bǔ)丁分發(fā)子系統(tǒng)、端點(diǎn)準(zhǔn)入子系統(tǒng)、電子文檔保護(hù)子系統(tǒng)、后臺(tái)管理子系統(tǒng)組成。其中通過(guò)端點(diǎn)準(zhǔn)入防御系統(tǒng)，只有符合安全要求且通過(guò)用戶認(rèn)證的計(jì)算機(jī)才能接入內(nèi)部網(wǎng)絡(luò)使用，防止“危險(xiǎn)”、“易感”終端接入網(wǎng)絡(luò)，控制病毒、蠕蟲的蔓延。補(bǔ)丁管理系統(tǒng)與防病毒系統(tǒng)相結(jié)合，實(shí)時(shí)監(jiān)測(cè)和殺除病毒，實(shí)現(xiàn)對(duì)漏洞、病毒及惡意代碼的管理和控制，電子文檔保護(hù)子系統(tǒng)、后臺(tái)管理子系統(tǒng)增強(qiáng)系統(tǒng)及電腦文檔的安全性。④檢查考核。信息管理部門定期進(jìn)行信息系統(tǒng)安全檢查與考核，包括信息系統(tǒng)安全政策與標(biāo)準(zhǔn)的培訓(xùn)與執(zhí)行情況、重大信息系統(tǒng)安全事件及整改措施落實(shí)情況、現(xiàn)有信息系統(tǒng)安全措施的有效性、信息系統(tǒng)安全技術(shù)指標(biāo)的完成情況。各企事業(yè)單位信息部門按照本辦法和《集團(tuán)公司信息系統(tǒng)運(yùn)行維護(hù)管理辦法》進(jìn)行信息系統(tǒng)安全自我考核，信息管理部進(jìn)行綜合評(píng)價(jià)，形成年度考核報(bào)告，報(bào)信息主管領(lǐng)導(dǎo)。

3.3 增強(qiáng)桌面安全技術(shù)建設(shè)

桌面安全技術(shù)指物理安全、邏輯安全及運(yùn)行安全三大模塊，通過(guò)與企業(yè)內(nèi)控管理進(jìn)行有機(jī)結(jié)合，依據(jù)《中國(guó)石油天然氣集團(tuán)公司信息系統(tǒng)總體控制實(shí)施要求》，嚴(yán)格執(zhí)行相關(guān)操作規(guī)范，其中物理安全指進(jìn)入機(jī)房的物理安全訪問(wèn)控制機(jī)制、設(shè)備的物理安全管理、敏感的紙質(zhì)系統(tǒng)文件管理。邏輯安全包括系統(tǒng)登錄身份驗(yàn)證、用戶賬號(hào)及特權(quán)用戶賬戶管理、密碼管理、用戶權(quán)限管理、終端合規(guī)性管理等。運(yùn)行安全包括病毒防護(hù)及病毒事件的處理、安全系統(tǒng)的備份與恢復(fù)、應(yīng)急事件的處理。

4 結(jié)束語(yǔ)

隨著信息技術(shù)應(yīng)用的不斷深入，國(guó)內(nèi)大型企業(yè)信息系統(tǒng)集中程度不斷提高，業(yè)務(wù)對(duì)信息系統(tǒng)依賴程度的不斷加大，迫切需要建立與業(yè)務(wù)發(fā)展和信息化水平相適應(yīng)的信息安全體系。與此同時(shí)，國(guó)家了一系列相關(guān)文件，提出對(duì)涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重點(diǎn)行業(yè)、企業(yè)的關(guān)鍵信息系統(tǒng)實(shí)施信息安全等級(jí)保護(hù)等要求。桌面安全責(zé)任也日益增大。只有通過(guò)從組織、管理、技術(shù)全面建設(shè)，才能有效提升桌面計(jì)算機(jī)抵御安全威脅的能力，提高桌面安全管理水平，達(dá)到桌面計(jì)算機(jī)有防護(hù)、有檢測(cè)、可控制、可審計(jì)，建設(shè)統(tǒng)一桌面安全管理系統(tǒng)，中石油通過(guò)兩年的桌面安全建設(shè)，取得了良好效果。

主要參考文獻(xiàn)

［1］孫海.醫(yī)院桌面終端信息安全管理思考 ［J］．現(xiàn)代醫(yī)院，2011（5）.

第9篇：企業(yè)信息安全要求范文

【關(guān)鍵詞】電力 信息化管理 研究

中圖分類號(hào)： F406 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

1 我國(guó)電力企業(yè)信息化發(fā)展的特征

1.1信息化基礎(chǔ)設(shè)施相對(duì)完善

我國(guó)電力企業(yè)信息化起源于20世紀(jì)60年代，電力行業(yè)相比其他行業(yè)的信息化進(jìn)程較為領(lǐng)先。目前，電力系統(tǒng)的計(jì)算機(jī)裝備水平已大大提高，中小型機(jī)、微型計(jì)算機(jī)裝備級(jí)別不斷更新提高，路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備數(shù)量增加較快。

1.2電力調(diào)度自動(dòng)化系統(tǒng)應(yīng)用成熟

對(duì)于電網(wǎng)企業(yè)，提高電力調(diào)度自動(dòng)化水平、提高電網(wǎng)運(yùn)行質(zhì)量是信息化建設(shè)的重點(diǎn)方向。目前電力調(diào)度自動(dòng)化的各種系統(tǒng)，如SCADA、AGC、以及EMS等系統(tǒng)已建成，省電力調(diào)度機(jī)構(gòu)全部建立了SCADA系統(tǒng)，電網(wǎng)的三級(jí)調(diào)度100%實(shí)現(xiàn)了自動(dòng)化。我國(guó)電廠、電力調(diào)度的自動(dòng)化水平達(dá)到國(guó)際先進(jìn)水平。

1.3電力營(yíng)銷管理系統(tǒng)得到廣泛應(yīng)用

為適應(yīng)電力市場(chǎng)化改革的需求，為客戶提供更好的服務(wù)，原國(guó)家電力公司在2002年提出改革傳統(tǒng)供電營(yíng)銷管理模式，實(shí)施電力營(yíng)銷全過(guò)程的計(jì)算機(jī)網(wǎng)絡(luò)化改造。各省公司供電局響應(yīng)這種要求，普遍建立了用電管理信息系統(tǒng)，地（市）級(jí)供電企業(yè)基本實(shí)現(xiàn)了業(yè)務(wù)受理的計(jì)算機(jī)化。

1.4管理信息系統(tǒng)的建設(shè)與應(yīng)用

管理信息系統(tǒng)（MIS）建設(shè)初具規(guī)模，建立了辦公自動(dòng)化系統(tǒng)、綜合指標(biāo)查詢系統(tǒng)，開(kāi)發(fā)了計(jì)劃統(tǒng)計(jì)管理、人事勞資管理、生產(chǎn)管理、設(shè)備管理、安全監(jiān)督管理、電力負(fù)荷管理、營(yíng)銷管理、燃料管理、工程管理、財(cái)務(wù)管理、電網(wǎng)實(shí)時(shí)信息等應(yīng)用系統(tǒng)為主要功能的網(wǎng)絡(luò)化的企業(yè)管理信息系統(tǒng)，實(shí)現(xiàn)辦公環(huán)境網(wǎng)絡(luò)化和計(jì)算機(jī)化。

1.5信息化機(jī)構(gòu)建設(shè)尚需進(jìn)一步健全

長(zhǎng)期以來(lái)，信息部門在電力公司沒(méi)有一個(gè)專門機(jī)構(gòu)配置，沒(méi)有規(guī)范的建制和崗位，信息化作為一項(xiàng)系統(tǒng)工程，需要專門的機(jī)構(gòu)來(lái)推進(jìn)和企業(yè)各個(gè)部門的配合。在當(dāng)前企業(yè)信息化發(fā)展形勢(shì)下，這種狀況勢(shì)必不能適應(yīng)信息化對(duì)人才、機(jī)構(gòu)的要求。

1.6信息安全管理是電力企業(yè)信息化重點(diǎn)

電力信息網(wǎng)絡(luò)已經(jīng)深入到電力生產(chǎn)和管理的全過(guò)程，涉及到電力生產(chǎn)的各個(gè)層面，電力生產(chǎn)與管理對(duì)其依賴性日益增大。因此對(duì)于信息系統(tǒng)的安全要求也更加提高，信息安全已納入到企業(yè)安全生產(chǎn)管理中。

2 電力企業(yè)信息化管理存在的問(wèn)題

2.1規(guī)劃缺失導(dǎo)致信息化缺乏系統(tǒng)性

我國(guó)電力企業(yè)在不同時(shí)期不同部門為了滿足業(yè)務(wù)需要而進(jìn)行了一系列信息系統(tǒng)建設(shè)，到目前為止，這些大大小小的信息系統(tǒng)數(shù)量眾多。由于這些系統(tǒng)都是在未經(jīng)科學(xué)合理的整體規(guī)劃下建成的，各系統(tǒng)之間缺乏聯(lián)系，信息不同共享，業(yè)務(wù)不能協(xié)同開(kāi)展，對(duì)企業(yè)管理決策的作用十分有限。

2.2 電力行業(yè)信息化缺乏統(tǒng)一的標(biāo)準(zhǔn)體系

目前，電力行業(yè)信息化尚未制定統(tǒng)一的信息化標(biāo)準(zhǔn)體系，電力企業(yè)內(nèi)部信息系統(tǒng)的信息編碼、技術(shù)標(biāo)準(zhǔn)、規(guī)范也不統(tǒng)一。這就造成企業(yè)內(nèi)部“信息孤島”無(wú)處不在、系統(tǒng)不能集成、資源不能共享的局面，嚴(yán)重制約企業(yè)信息化建設(shè)和應(yīng)用。

2.3 電力企業(yè)管理模式阻礙了信息化的快速發(fā)展

電力行業(yè)長(zhǎng)期的壟斷性經(jīng)營(yíng)導(dǎo)致了其特有的經(jīng)營(yíng)管理模式：重安全生產(chǎn)、輕企業(yè)管理，條塊分割、信息分散，以安全生產(chǎn)為中心的意識(shí)深深植入電力企業(yè)的領(lǐng)導(dǎo)、職工的觀念中。當(dāng)前，電力行業(yè)競(jìng)爭(zhēng)機(jī)制正在逐漸建立，電力企業(yè)面對(duì)競(jìng)爭(zhēng)需要提升管理水平，信息化建設(shè)正是提升管理水平的有力途徑。

2.4信息系統(tǒng)建設(shè)缺乏統(tǒng)一規(guī)劃，統(tǒng)一組織的力度不強(qiáng)

信息化的開(kāi)展往往是想到哪干到那，硬件設(shè)施更新快，應(yīng)用系統(tǒng)成功使用不多，信息化發(fā)展不平衡，各區(qū)域信息化水平差異較大，在一定程度上阻礙了信息化的集約發(fā)展和整體應(yīng)用水平的提高。此外，信息化組織建設(shè)滯后不利于信息化的推進(jìn)

2.5 硬件與軟件投入上存在“重硬輕軟”

由于對(duì)信息化認(rèn)識(shí)上的誤區(qū)，部分電力企業(yè)認(rèn)為搞信息化主要就是買機(jī)器、建網(wǎng)絡(luò)，表現(xiàn)出一定程度的“重硬輕軟”情結(jié)。這種做法的結(jié)果是硬件設(shè)施脫離了軟件系統(tǒng)，從而硬件也發(fā)揮不出應(yīng)有的作用，信息化建設(shè)沒(méi)有成效。

2.6企業(yè)信息系統(tǒng)孤立存在不能發(fā)揮整合效益

目前電力企業(yè)的生產(chǎn)自動(dòng)化系統(tǒng)與管理信息系統(tǒng)處于相互分離狀態(tài)，彼此不能有效結(jié)合，不能實(shí)現(xiàn)管控一體化，數(shù)據(jù)信息不能集成共享，不利于實(shí)現(xiàn)企業(yè)的綜合管理。此外，由于缺乏總體數(shù)據(jù)規(guī)劃、數(shù)據(jù)整合，存在或多或少的“信息孤島”，部分?jǐn)?shù)據(jù)有冗余和二意性，不能融合到整個(gè)管理信息平臺(tái)上。

3 電力行業(yè)信息化管理發(fā)展趨勢(shì)

3.1信息化觀念由重視生產(chǎn)自動(dòng)化向重視管理信息化轉(zhuǎn)變，表現(xiàn)為由“硬”到“軟”。

3.2應(yīng)用模式由管控分離向信息一體化轉(zhuǎn)變，即實(shí)現(xiàn)生產(chǎn)實(shí)時(shí)信息與管理信息的集成。

3.3應(yīng)用架構(gòu)由分散應(yīng)用向整合應(yīng)用轉(zhuǎn)變，即從部門級(jí)單項(xiàng)應(yīng)用到企業(yè)級(jí)涵蓋生產(chǎn)、營(yíng)銷及財(cái)務(wù)、人事、設(shè)備等環(huán)節(jié)的整體應(yīng)用。

3.4數(shù)據(jù)管理由分散管理向集中管理轉(zhuǎn)變，形成信息共享、增值的機(jī)制,適應(yīng)企業(yè)業(yè)務(wù)處理和經(jīng)營(yíng)運(yùn)作快捷化、實(shí)時(shí)化的要求。

3.5實(shí)施模式由“用戶－供應(yīng)商”模式向“用戶－咨詢/監(jiān)理商－供應(yīng)商”模式轉(zhuǎn)變，保證企業(yè)信息化切實(shí)從用戶需求出發(fā)，控制信息化建設(shè)的質(zhì)量和風(fēng)險(xiǎn)。

4 提高電力行業(yè)信息化管理策略研究

4.1構(gòu)建系統(tǒng)、完善的電力行業(yè)信息化架構(gòu)

電力信息化的核心是由各方面建設(shè)內(nèi)容構(gòu)成的一個(gè)系統(tǒng)的、完整的架構(gòu)。從以下六方面入手進(jìn)行完善。

4.1.1應(yīng)用功能架構(gòu)：從業(yè)務(wù)運(yùn)作與管理決策的需求出發(fā)，分析功能需求，建立企業(yè)信息化的功能模型。

4.1.2信息資源架構(gòu)：對(duì)企業(yè)業(yè)務(wù)與管理活動(dòng)涉及的信息進(jìn)行分析、規(guī)劃，抽象提煉出信息分類體系，提供使用、共享、集成和管理信息的策略。

4.1.3應(yīng)用系統(tǒng)架構(gòu)：基于應(yīng)用功能架構(gòu)構(gòu)建實(shí)現(xiàn)信息化功能的應(yīng)用系統(tǒng)及其相互集成的模型。

4.1.4系統(tǒng)平臺(tái)架構(gòu)：即支撐應(yīng)用系統(tǒng)運(yùn)行的操作系統(tǒng)平臺(tái)、數(shù)據(jù)庫(kù)平臺(tái)、應(yīng)用服務(wù)平臺(tái)框架。

4.1.5網(wǎng)絡(luò)與基礎(chǔ)設(shè)施架構(gòu)：規(guī)劃、選擇企業(yè)信息系統(tǒng)運(yùn)行的基礎(chǔ)網(wǎng)絡(luò)與設(shè)施，保證信息系統(tǒng)高效、穩(wěn)定、安全運(yùn)行。

4.1.6信息安全架構(gòu)：構(gòu)建從網(wǎng)絡(luò)設(shè)備層、系統(tǒng)層到應(yīng)用層的系統(tǒng)安全和科學(xué)的安全管理體系。

4.2以專業(yè)化的規(guī)劃為指導(dǎo)，制定企業(yè)信息化的頂層設(shè)計(jì)藍(lán)圖。電力集團(tuán)以信息化整合產(chǎn)業(yè)鏈的資源，增強(qiáng)整體價(jià)值鏈的綜合競(jìng)爭(zhēng)優(yōu)勢(shì)。

4.3中小型電力企業(yè)以信息化規(guī)范管理、提高效率、增強(qiáng)對(duì)市場(chǎng)的響應(yīng)能力和速度；以信息化帶動(dòng)管理創(chuàng)新，以管理創(chuàng)新促進(jìn)信息化，實(shí)現(xiàn)電力企業(yè)價(jià)值鏈的協(xié)同化運(yùn)作，以整合化的系統(tǒng)應(yīng)用為目標(biāo)，促進(jìn)信息化的價(jià)值實(shí)現(xiàn)，推動(dòng)電力企業(yè)綜合競(jìng)爭(zhēng)力的提升。

4.4以需求為導(dǎo)向，充分開(kāi)發(fā)利用電力系統(tǒng)內(nèi)部信息資源，有效整合電力企業(yè)現(xiàn)有信息資源，積極搜集各類電力信息，完善全國(guó)電力信息資源開(kāi)發(fā)利用的保障體系，形成集中、統(tǒng)一、穩(wěn)定的信息采集渠道，基本形成覆蓋全行業(yè)各門類的信息資源共享機(jī)制。

4.5在信息資源集成的基礎(chǔ)上，逐步建立多種形式的決策咨詢機(jī)制和完善的企業(yè)輔助決策支持系統(tǒng)；研究典型電力企業(yè)的業(yè)務(wù)流程重組(BPR)，塑造科學(xué)合理的電力企業(yè)業(yè)務(wù)流程，為順利實(shí)施企業(yè)ERP系統(tǒng)奠定堅(jiān)實(shí)的基礎(chǔ)；配合電力體制改革進(jìn)程，推動(dòng)企業(yè)網(wǎng)上競(jìng)價(jià)系統(tǒng)和電子商務(wù)平臺(tái)的實(shí)施工作。

4.6大力推進(jìn)信息系統(tǒng)聯(lián)網(wǎng)，加大應(yīng)用整合力度，實(shí)現(xiàn)部分關(guān)鍵業(yè)務(wù)系統(tǒng)的應(yīng)用集成，構(gòu)建統(tǒng)一的應(yīng)用系統(tǒng)總體框架和企業(yè)信息門戶(EIP)平臺(tái)，在多個(gè)企業(yè)應(yīng)用之間實(shí)現(xiàn)無(wú)縫集成，切實(shí)解決現(xiàn)存的“信息孤島”、重復(fù)建設(shè)等問(wèn)題，為信息資源的整合和綜合利用奠定基礎(chǔ)。