信息安全審核制度精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全審核制度主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全審核制度范文

關(guān)鍵詞：等級保護；測評；信息安全；管理

中圖分類號：TP393

文獻標(biāo)志碼：C

文章編號：1006-8228(2011)12-60-02

0 引言

信息安全等級保護作為國家信息安全工作的一項基本制度、基本國策，已經(jīng)在全國實行多年，各信息系統(tǒng)運營使用單位都深刻認(rèn)識到等級保護制度的重要性。在我國信息安全等級保護制度中，等級保護分五個工作環(huán)節(jié)――定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查。其中，等級測評是等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行的檢測評估活動，是信息安全等級保護工作的重要環(huán)節(jié)。

隨著等級保護工作的不斷推進，等級測評機構(gòu)的體系建設(shè)也在不斷深入，全國等級測評機構(gòu)的數(shù)量在不斷增加，測評機構(gòu)的品質(zhì)和能力、測評人員的水平和素質(zhì)、測評競爭環(huán)境等諸多方面的問題將不斷出現(xiàn)。因此，加強對等級測評機構(gòu)的合理、有效監(jiān)管，對提升測評行業(yè)質(zhì)量，保證測評數(shù)據(jù)公正、客觀，以及保障重點行業(yè)的重要信息系統(tǒng)安全等至關(guān)重要。

1 國家層面對測評機構(gòu)的監(jiān)管模式

測評工作作為等級保護制度中最重要工作環(huán)節(jié)，具有明顯的專業(yè)性和技術(shù)性恃點，其政策導(dǎo)向性強。因此，僅有相關(guān)測評技術(shù)標(biāo)準(zhǔn)是不夠的，測評機構(gòu)的體系化、規(guī)范化管理也是關(guān)鍵。

2009年7月公安部開始信息安全等級保護測評體系建設(shè)試點工作，其目的是探索信息安全等級保護測評體系建設(shè)和管理的模式和經(jīng)驗，保證全國重要信息系統(tǒng)等級保護安全建設(shè)工作的順利開展。試點工作主要在浙江、重慶、河南、廣東等省市展開。其主要內(nèi)容是根據(jù)《信息安全等級保護管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)完成五個方面的工作：一是檢驗并完善等級測評機構(gòu)應(yīng)具備的條件；二是檢驗并完善等級測評機構(gòu)建設(shè)的主要內(nèi)容；三是檢驗并完善等級測評人員管理的主要內(nèi)容；四是檢驗并完善等級測評工作規(guī)范性要求的主要內(nèi)容；五是檢驗并完善測評機構(gòu)監(jiān)督管理的主要內(nèi)容等。從試點工作情況分析，國家對等級保護測評機構(gòu)的監(jiān)管模式采用的是能力評估和政府干預(yù)相結(jié)合的模式。

從工作程序上分為四個步驟：

(1)各測評機構(gòu)向設(shè)區(qū)的市級以上所在地公安網(wǎng)安部門申請，公安網(wǎng)安部門根據(jù)《信息安全等級保護測評工作管理規(guī)范(試行)》對測評機構(gòu)所提交的申請材料進行審核，審核通過后，提交給上一級公安網(wǎng)安部門報批，并予以受理。

(2)公安部網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一將各地上報的測評機構(gòu)信息轉(zhuǎn)發(fā)給公安部信息安全等級保護評估中心，由評估中心按照《信息安全等級測評機構(gòu)能力要求(試行)》對各測評機構(gòu)進行能力評估。能力評估通過后，由評估中心將能力評估材料遞交公安部網(wǎng)絡(luò)安全保衛(wèi)局審核批準(zhǔn)。

(3)各省公安網(wǎng)安部門收到公安部網(wǎng)絡(luò)安全保衛(wèi)局對測評機構(gòu)審核的意見及相關(guān)證書，下發(fā)給各地網(wǎng)安部門。

(4)公安部信息安全等級保護評估中心在網(wǎng)站上公布測評機構(gòu)名單，接受社會監(jiān)督。

能力評估的內(nèi)容和要求上，分為組織管理能力、測評實施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、規(guī)范性保證能力、風(fēng)險控制能力、可持續(xù)發(fā)展能力等七個方面和基本要求、約束性要求等兩個部分。

2 浙江省等級測評機構(gòu)現(xiàn)有監(jiān)管模式

浙江省信息等級保護工作一直處于國內(nèi)前列，2006年就頒布了《浙江省信息安全等級保護管理辦法》(省政府第223號令)，并在同年開展了全國等級保護試點項目。通過多年積累的經(jīng)驗，2007年浙江省開始在測評機構(gòu)管理、測評工作模式等方面進行探索，初步形成具有浙江特色的等級保護測評機構(gòu)監(jiān)管模式。

(1)以社會協(xié)會管理為主，政府監(jiān)管為輔的管理模式

浙江省結(jié)合實際，政府層面出臺了《浙江省信息安全等級保護測評機構(gòu)管理規(guī)定(試行)》，明確了省內(nèi)從事等級測評工作的單位性質(zhì)、條件和義務(wù)等要素。社會協(xié)會層面出臺了《浙江省信息安全測評機構(gòu)資信等級評定管理辦法(試行)》實現(xiàn)測評機構(gòu)資信等級一、二級管理，形成測評機構(gòu)管理行業(yè)規(guī)范，變政府由市場參與主體向市場監(jiān)管主體轉(zhuǎn)變，由管理審批型向管理服務(wù)型轉(zhuǎn)變、由直接行政干預(yù)向間接宏觀調(diào)控轉(zhuǎn)變。

(2)建立以行業(yè)自律管理為主的監(jiān)管體系

嚴(yán)格測評機構(gòu)行業(yè)自律管理，測評機構(gòu)間簽署《信息安全等級保護測評機構(gòu)行業(yè)自律公約》，強化機構(gòu)自律化管理，進一步規(guī)范測評機構(gòu)行為和工作秩序。

(3)建立機構(gòu)統(tǒng)一管理標(biāo)準(zhǔn)，?？貙彶闄C構(gòu)自身及人員能力建設(shè)

全省測評機構(gòu)必須按照“審核標(biāo)準(zhǔn)統(tǒng)一，管理規(guī)范標(biāo)準(zhǔn)統(tǒng)一、技術(shù)標(biāo)準(zhǔn)統(tǒng)一、測評工具標(biāo)準(zhǔn)統(tǒng)一、報告樣式標(biāo)準(zhǔn)統(tǒng)一”的五統(tǒng)一規(guī)范開展測評工作，并由政府組織機構(gòu)年審，設(shè)立準(zhǔn)入準(zhǔn)出機制。測評機構(gòu)的能力審查對測評過程中技術(shù)人員行為的規(guī)范性、合理性和程序標(biāo)準(zhǔn)性，對機構(gòu)業(yè)務(wù)范圍、管理能力和技術(shù)能力要求等給予明確規(guī)定，規(guī)范申請、審核、查驗和推薦流程，組建由公安、保密、密碼管理、信息辦和安全等部門專家組成的專門審查小組對機構(gòu)背景、管理水平、資格和技術(shù)能力進行量化評價，作為推薦依據(jù)。同時，嚴(yán)格規(guī)范測評機構(gòu)工作程序，加強對機構(gòu)內(nèi)部管理規(guī)范化建設(shè)督導(dǎo)，要求健全人員管理、項目管理、文檔管理、設(shè)備管理、保密制度等各項制度，要求制定《質(zhì)量手冊》、《程序文件》、《作業(yè)指導(dǎo)書》、《測評過程記錄表單》等測評實施過程文檔，完善測評實施規(guī)程。

全省機構(gòu)都已被要求必須獲得CMA中國計量認(rèn)證，并被引導(dǎo)和鼓勵去獲得CNAS實驗室認(rèn)證、ISO27001認(rèn)證等。所有從業(yè)人員必須獲得初級以上“測評師”技術(shù)證書，測評工作中持證上崗。對測評從業(yè)人員要進行錄用考核、備案和背景審查等工作。

3 現(xiàn)有監(jiān)管模式的不足

在現(xiàn)行的測評機構(gòu)監(jiān)管模式中，我們側(cè)重于對測評機構(gòu)應(yīng)具備條件(包括審核是否在境內(nèi)注冊成立、注冊資本多少、法人資格、公司已有的資質(zhì)、測評人員已獲得的技術(shù)認(rèn)證等)的監(jiān)管；僅關(guān)注機構(gòu)是否已具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等制度，而對這些制度的落實情況及執(zhí)行情況缺乏有效監(jiān)督；對測評活動實施過程中的合法性，有效性問題缺乏必要的考量。

4 對測評機構(gòu)進行有效性監(jiān)管方法的探討

(1)對測評機構(gòu)的測評大綱實行報備審核

測評大綱應(yīng)是等級測評機構(gòu)的整體測評策略性文件，能綜合反映不同測評機構(gòu)從事等級測評活動的經(jīng)驗、知識、測評方法和測評程序?；趯Ρ粶y評單位的利益保護以及對測評機構(gòu)的監(jiān)管要求，測評大綱應(yīng)具有法律效力，須報公安機關(guān)審核備案后使用。測評機構(gòu)只有按照測評大綱中明確的指標(biāo)嚴(yán)格檢測、測評，其測評結(jié)果才能真實地反映被測單位計算機信息

系統(tǒng)的安全狀況，為安全整改建設(shè)提供科學(xué)的依據(jù)和指南。

(2)對等級測評活動的各周期程序?qū)嵭斜O(jiān)督指導(dǎo)

等級測評流程分為四個階段：測評準(zhǔn)備、方案編制、現(xiàn)場測評及報告編制，政府部門的督導(dǎo)工作須貫穿其中。如，在測評準(zhǔn)備階段，為了避免測評小組成員和委托人之間存在利害關(guān)系，影響測評結(jié)果的公平、客觀、真實，測評機構(gòu)在確定測評小組成員名單后讓測評委托人確認(rèn)簽字，確認(rèn)書要留檔備查，未經(jīng)確認(rèn)開展的項目測評報告不具有法律效力。方案編制中，必須明確測評對象、范圍、依據(jù)法律法規(guī)和標(biāo)準(zhǔn)、制定具體的測評檢查表，記錄文件要測評雙方簽字確認(rèn)，方案和測評過程文檔應(yīng)留檔備查?，F(xiàn)場測評中，測評小組必須使用可信、安全等級測評工具采集數(shù)據(jù)，測評工具要向公安機關(guān)報備，現(xiàn)場測評要按照檢測程序全面檢測關(guān)鍵測評項，依據(jù)測評標(biāo)準(zhǔn)客觀、公正、準(zhǔn)確評價，政府主管部門應(yīng)隨機駐點督查現(xiàn)場測評過程實施情況。測評報告反映的是被測評單位信息系統(tǒng)的安全保護現(xiàn)狀，應(yīng)具有法律效力，報告要使用標(biāo)準(zhǔn)模板，起草過程中測評機構(gòu)和測評人員應(yīng)當(dāng)遵守國家的有關(guān)法律法規(guī)，保守被測評單位秘密、保障被測單位利益，政府部門有必要明確測機構(gòu)及其工作人員的法律責(zé)任來規(guī)范其職業(yè)道德。測評機構(gòu)的測評結(jié)果直接對信息系統(tǒng)運營使用單位的建設(shè)、整改和運營成本，以及對監(jiān)管部門的行政監(jiān)管成本產(chǎn)生影響，也就是說，測評報告對國家和社會都會產(chǎn)生影響。因此，測評機構(gòu)要對自身的測評行為負(fù)責(zé)，政府主管部門將對機構(gòu)及從業(yè)人員違反法律規(guī)定的行為予以民事、行政或刑事處罰。

(3)對測評人員實行從錄用到離職的全程監(jiān)督

等級測評涉及用戶單位的核心業(yè)務(wù)系統(tǒng)，是一項高技術(shù)的專業(yè)安全服務(wù)，需要具有一定政治素質(zhì)、道德素質(zhì)和專業(yè)素質(zhì)的測評人員來支撐。管理應(yīng)進一步加大對測評人員的政治背景、從業(yè)背景、專業(yè)背景、技術(shù)素養(yǎng)的審查力度，建立完備測評人員檔案庫，考量測評機構(gòu)測評人員穩(wěn)定性，重點加大對離職測評人員的管控，明確保密條約，關(guān)注人員離職去向。

(4)制定測評機構(gòu)優(yōu)劣考量機制，促進誠信服務(wù)的企業(yè)文化

等級測評的執(zhí)行主體是測評機構(gòu)，測評機構(gòu)的企業(yè)文化是否具有凝聚性，企業(yè)價值觀是否誠信，內(nèi)部管理模式是否健康，關(guān)乎其市場競爭力，更關(guān)乎測評機構(gòu)能否為信息系統(tǒng)安全等級保護工作提供安全、客觀、公正的檢測評估服務(wù)。因此，要求測評企業(yè)必須有一定的政治覺悟，要嚴(yán)格遵守國家有關(guān)法律法規(guī)，要承擔(dān)社會責(zé)任和法律責(zé)任，不能唯利是圖。政府部門要定期開展管理評審，制定考量測評機構(gòu)優(yōu)劣評判標(biāo)準(zhǔn)，完善被測評單位滿意度反饋機制，建立機構(gòu)誠信狀況、信用狀況、評級結(jié)果等信息公開機制，將政府監(jiān)管和社會監(jiān)督結(jié)合起來，通過評星評級、市場退出和獎懲機制的建立，鼓勵誠信機構(gòu)，懲戒不誠信機構(gòu)，增加機構(gòu)不規(guī)范測評行為的風(fēng)險成本。

(5)規(guī)范價格體系，推動測評機構(gòu)良性發(fā)展

等級測評是近兩年才興起的行業(yè)，政府要引導(dǎo)建立良好的測評市場價格體系，借鑒其他行業(yè)自律的經(jīng)驗手段，避免惡性價格競爭，要保障等級測評有一定的利潤空間，以使得測評機構(gòu)能朝更專業(yè)、更具實力方向發(fā)展，充分調(diào)動測評機構(gòu)提升品牌建設(shè)、服務(wù)工作效率、專業(yè)能力、測評人員素質(zhì)的內(nèi)在動力。

第2篇：信息安全審核制度范文

信息安全大致可以分為兩個方面一個是管理層方面；另一個是網(wǎng)絡(luò)方面。本段將會對這兩個方面所包含的內(nèi)容作一下概述，以方便企業(yè)在進行信息安全管理制度的建立上可以進行全方位的掌控。

1.1管理層方面

管理層方面的信息安全大致也包括物理層方面和管理層方面。

(1)物理層方面的信息安全主要是指物理環(huán)境建設(shè)安全尤其是信息中心物理環(huán)境安全。環(huán)境安全包括防火防水防自然災(zāi)害和物理災(zāi)害等。在環(huán)境安全中，企業(yè)必須要有足夠的認(rèn)識，機房建設(shè)要嚴(yán)格按國家機房建設(shè)標(biāo)準(zhǔn)進行，做好防雷、防水、防靜電等安全措施，從而杜絕各類安全隱患的發(fā)生。對企業(yè)內(nèi)部員工要加強計算機安全使用規(guī)程的教育，確保計算機在安全的環(huán)境中使用，保證人長時間離開計算機時斷開電源以確保安全。

(2)管理層方面的信息安全主要是指企業(yè)內(nèi)部的管理制度建立是否完善，執(zhí)行效果如何，企業(yè)內(nèi)部員工對于信息安全的認(rèn)識程度，企業(yè)內(nèi)部員工職業(yè)道德的培養(yǎng)，企業(yè)內(nèi)部員工信息安全的教育培訓(xùn)，網(wǎng)絡(luò)技術(shù)人員技術(shù)能力的審核與培訓(xùn)以及企業(yè)內(nèi)部部門的分工等。企業(yè)必須要建立完善的信息安全管理制度，這個制度是由一個總的管理制度和各部門的管理制度和監(jiān)督制度共同構(gòu)成的。每一個部門根據(jù)信息資產(chǎn)內(nèi)容的不同應(yīng)該有自己相應(yīng)的信息安全管理制度以確保制度的行之有效。其次要設(shè)有完善的監(jiān)督機制來配合管理制度的實施，一個制度的建立，必須要能夠執(zhí)行下去，且執(zhí)行過程是有效的才能夠發(fā)揮管理制度的功效。而監(jiān)督機制就是對制度執(zhí)行情況的進行監(jiān)測，對執(zhí)行的效果進行審核作用的機制。其次是對于企業(yè)員工的職業(yè)素養(yǎng)和信息安全的教育培訓(xùn)，這方面將在下一部分進行具體論述。最后就是對干企業(yè)內(nèi)部各部門之間的分工。在一個企業(yè)內(nèi)部是有一套自己的工作流程的，但是這個工作流程是伴隨著信息的流動產(chǎn)生的。所以在信息流動的過程中需要將信息轉(zhuǎn)變的過程進行分工，以此來保障信息在局部過程中的完整性，以防止一個環(huán)節(jié)出現(xiàn)問題導(dǎo)致全局崩潰的情況發(fā)生。對此，企業(yè)內(nèi)部不但要細化工作流程，對于信息轉(zhuǎn)化過程也要進行分工，以防止問題的發(fā)生。

1.2網(wǎng)絡(luò)層方面

網(wǎng)絡(luò)層方面的信息安全主要是指網(wǎng)絡(luò)，系統(tǒng)和應(yīng)用三個方面。在網(wǎng)絡(luò)層方面的信息安全不只存在于IT部門，它應(yīng)該在整個企業(yè)內(nèi)部的員工中都得到重視。(1)網(wǎng)絡(luò)。主要是包括網(wǎng)絡(luò)上的信息以及設(shè)備的安全性能。其中可細化為網(wǎng)絡(luò)層身份的認(rèn)證，系統(tǒng)的安全，信息數(shù)據(jù)傳輸過程中的保密性，真實性和完整性以及網(wǎng)絡(luò)資源的訪問控制等。而這些網(wǎng)絡(luò)層的信息安全出現(xiàn)問題，可能導(dǎo)致有網(wǎng)絡(luò)黑客的侵入，計算機犯罪，信息丟失，信息竊取等威脅的存在。

(2)系統(tǒng)。造成系統(tǒng)層信息安全威脅的原因，可能出在兩個方面：操作系統(tǒng)本身就存在安全隱患，在配置操作系統(tǒng)的過程中存在安全配置的問題。

(3)應(yīng)用。在應(yīng)用層影響信息安全的問題上，是指應(yīng)用軟件以及一些業(yè)務(wù)往來數(shù)據(jù)的安全，例如即時通訊系統(tǒng)和電子郵件等。當(dāng)然，也包括一些病毒的入侵，對于系統(tǒng)所造成的威脅。

二、信息安全教育

2.1保密協(xié)議

在信息安全教育培訓(xùn)的第一步需要對保密協(xié)議進行細致設(shè)計。有的企業(yè)認(rèn)為，保密協(xié)議應(yīng)該只針對于不同部門間需要保密的內(nèi)容進行設(shè)計，使不同部門的員工簽署不同的保密協(xié)議。這是不妥的想法，而且也比較繁善。雖然不同部門間員工經(jīng)常涉及到的信息保密不同，但有可能員工會有不同部門間的調(diào)配或者是不同部門間信息的相互獲取。所以在保密協(xié)議上要讓員工簽署的是整個企業(yè)內(nèi)所有需要保密的內(nèi)容都要進行保密協(xié)議的確認(rèn)。有些企業(yè)認(rèn)為保密協(xié)議的簽署應(yīng)該是在員工熟悉信息安全制度和進行安全教育培訓(xùn)之后再進行。這也是不妥的想法，因為在員工進入公司的那一刻幵始，他就開始接觸企業(yè)內(nèi)的信息，所以需要員工在簽署勞動合同的同時就要進行保密協(xié)議的簽署。在新員工簽署保密協(xié)議的時候，企業(yè)的人力資源部門如果沒有對新員工講解企業(yè)保密協(xié)議，新員工對保密協(xié)議的內(nèi)容都不了解而盲目簽署，這使保密協(xié)議形同虛設(shè)，并不能發(fā)揮真正的作用，新員工對干信息安全的重要性也就得不到足夠的重視，所以必須認(rèn)真講解保密協(xié)議內(nèi)容后，使員工理解保密協(xié)議的重要性再進行簽署。

2.2信息安全管理制度

信息安全管理制度確立以后，需要對員工進行信息安全制度的培訓(xùn)。在培訓(xùn)過程中，企業(yè)不光要對于員工本崗位信息安全內(nèi)容作介紹，對于其他部門信息安全內(nèi)容也要做介紹，以確保員工形成信息安全的意識。在企業(yè)內(nèi)部，很多員工對于信息安全的意識不夠，甚至認(rèn)為企業(yè)的信息根本就沒有什么重要性，在工作外的時間里隨意的就將企業(yè)的一些重要信息透露出去從而可能導(dǎo)致企業(yè)受到損失。對此，加強企業(yè)內(nèi)部員工的信息安全教育培訓(xùn)是十分重要的。其中培訓(xùn)可以分為兩個部分。(1)對于企業(yè)內(nèi)部所有員工進行信息安全意識的教育培訓(xùn)。(2)對于企業(yè)內(nèi)部的信息技術(shù)人員進行扣關(guān)技術(shù)知識的教育培訓(xùn)。

2.3員工職業(yè)素養(yǎng)的教育

在企業(yè)內(nèi)部對員工的職業(yè)素養(yǎng)也需要進行培訓(xùn)。譬如對干一些業(yè)務(wù)員來說，職業(yè)素養(yǎng)的培訓(xùn)是非常重要的，業(yè)務(wù)員手中掌握的業(yè)務(wù)信息對于企業(yè)來說是至關(guān)重要的信息，如果這方面的信息出現(xiàn)問題就可能導(dǎo)致企業(yè)業(yè)務(wù)的流失，以及業(yè)務(wù)的持續(xù)性中斷。所以企業(yè)要對內(nèi)部員工的職業(yè)素養(yǎng)進行培訓(xùn)，從而促使員工清楚保證企業(yè)的信息安全也是對一個員工職業(yè)素養(yǎng)的基要求。

2.4普及計算機及網(wǎng)絡(luò)知識的教育

企業(yè)內(nèi)部員工根據(jù)職能的不同對于計算機熟悉程度的要求也是不同的。對于普通的辦公室職員來說，會簡單的基本操作就可以了。但是，如果從信息安全的角度來講的話，員工只會基本的操作是遠遠不夠的，必須要普及網(wǎng)絡(luò)安全等方面的知識。譬如在計算機旁盡量不要有水或飲料的出現(xiàn)，因為有可能因為員工的不小心而將水灑在計算機：，從而導(dǎo)致計算機的短路等情況的發(fā)生。還有，員工在使用U盤的時候，有可能將家見或是其他計算機k的病毒帶到企業(yè)內(nèi)部，導(dǎo)致企、計算機被病毒入侵，促使信息的安全受到威脅。所以說，對于企業(yè)內(nèi)部的員工，應(yīng)該普及計算機及網(wǎng)絡(luò)知識的教育和培訓(xùn)，以確保信息的安全，從而促使員工有更尚的信息安全意識。

三、結(jié)語

第3篇：信息安全審核制度范文

1.銷售系統(tǒng)設(shè)施建設(shè)。

硬件方面，各石油銷售企業(yè)都具有設(shè)施完善的中心計算機系統(tǒng)，供電采用UPS方式，采用“雙機熱備”的核心服務(wù)器工作模式，以確保整個硬件的可靠性和安全性；網(wǎng)絡(luò)方面，采用SDH光纖接入廣域網(wǎng)，包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式，設(shè)備之間，層層之間以光纖方式連接，以均衡網(wǎng)絡(luò)負(fù)載。除了安裝必備的防火墻，部分企業(yè)為進一步提高安全防范能力還安裝了外網(wǎng)入侵檢測系統(tǒng)；大多數(shù)加油站采用SSLVPN方式訪問企業(yè)內(nèi)部網(wǎng)，以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面，大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng)，實現(xiàn)PC機的MAC地址綁定。

2.銷售系統(tǒng)信息化建設(shè)。

目前，企業(yè)的銷售信息系統(tǒng)主要包括：加油卡系統(tǒng)、辦公自動化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點：一是用戶眾多，幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶；二是應(yīng)用領(lǐng)域廣，涉及企業(yè)經(jīng)營、管理、對外服務(wù)諸多方面；三是要求連續(xù)運轉(zhuǎn)，如ERP系統(tǒng)必須滿足7×24小時運轉(zhuǎn)。由于信息系統(tǒng)的安全運轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營管理的可持續(xù)性，其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以，基于上述的原因，企業(yè)對銷售信息系統(tǒng)的安全運轉(zhuǎn)提出了更高的要求。

3.銷售系統(tǒng)的信息安全現(xiàn)狀。

石油銷售管理系統(tǒng)是關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)，國家對其信息安全高度重視，并在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中強調(diào)，我國要全面加強國家信息安全保障體系的建設(shè)，大力增強國家信息安全保障能力，實現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時，國內(nèi)石油銷售企業(yè)也長期重視信息安全工作，逐步建立了相應(yīng)的保障體系和規(guī)章制度，但還存在以下問題：

（1）范圍涉及廣泛。

石油銷售企業(yè)分支機構(gòu)多，終端運營組織龐大且分散，以中石油集團為例，其截至2013年分布在全國的加油站已超過30000座。在如此龐大的銷售系統(tǒng)中，信息網(wǎng)絡(luò)承載著指導(dǎo)業(yè)務(wù)運行的重要功能。大量、分散部署的加油終端，必然會造成聯(lián)網(wǎng)方式的多樣化、網(wǎng)絡(luò)環(huán)境的復(fù)雜化。

（2）設(shè)備系統(tǒng)眾多。

石油銷售企業(yè)信息化管理系統(tǒng)中所涉及的設(shè)備精度髙、技術(shù)要求深，并且范圍廣泛，包括加油站、油庫等大量的自動化控制系統(tǒng)。因此，業(yè)務(wù)管理流程復(fù)雜，安全風(fēng)險增大。

（3）人員素質(zhì)不齊。

由于石油銷售屬于傳統(tǒng)行業(yè)，因此企業(yè)人員年齡跨度較大，對信息安全管理的職業(yè)組織參差不齊；甚至對于企業(yè)管理人員，對于信息安全的認(rèn)識也多停留在紙上談兵；基層人員眾多，且直接面對客戶，流動性大，信息泄露風(fēng)險極高。而且新生代的企業(yè)員工對計算機和網(wǎng)絡(luò)接觸早，應(yīng)用水平高，日常使用頻繁，在缺乏網(wǎng)絡(luò)安全防護意識的情況下更易導(dǎo)致信息泄漏，甚至在好奇心理的鼓動下主動發(fā)起網(wǎng)絡(luò)攻擊行為，所以企業(yè)內(nèi)網(wǎng)安全也成為一個突出的問題。

（4）資金投入有限。

國外企業(yè)在信息安全方面的資金投入達到了企業(yè)整體基建的5%-20%，而我國企業(yè)基本都在2%以下。全世界每年因信息安全方面的漏洞導(dǎo)致的經(jīng)濟損失達數(shù)萬億美元，中國的損失也達到了一百億美元以上，但是中國企業(yè)在這方面的投資只有幾十億美元。因此，我國企業(yè)整體信息化安全建設(shè)預(yù)算不足。石油企業(yè)信息化工程是一項繁重的任務(wù)，需要在信息安全方面有更大的投入。大型油企需要建立復(fù)雜龐大的數(shù)據(jù)庫備份體系，建立并維護高效的網(wǎng)絡(luò)殺毒系統(tǒng)、企業(yè)級防火墻、IDS、IPS系統(tǒng)和完善的補丁更新及發(fā)放機制，以保證企業(yè)各方面的數(shù)據(jù)安全。建立這一復(fù)雜的系統(tǒng)需要大量的資金投入，而且其投入回報慢，因此石油企業(yè)普遍輕視這方面的投入和維護，信息安全建設(shè)相對于企業(yè)的發(fā)展整體滯后。

二、石油銷售系統(tǒng)的信息安全管理系統(tǒng)設(shè)計

石油銷售系統(tǒng)的信息安全管理系統(tǒng)是一個程序化、系統(tǒng)化、文件化的管理體系，以預(yù)防控制為主，強調(diào)動態(tài)全過程控制。建立相應(yīng)的信息安全管理系統(tǒng)，需要從物理、信息、網(wǎng)絡(luò)、系統(tǒng)、管理等多方面保證整體安全；建立綜合防范機制，確保銷售信息安全以及加油卡、EPR等電子銷售系統(tǒng)的可靠運行，保障整體信息網(wǎng)絡(luò)的安全、高效、可靠運轉(zhuǎn)，規(guī)避潛在風(fēng)險，供系統(tǒng)的可靠性和安全性。因此，石油銷售系統(tǒng)的信息安全管理系統(tǒng)構(gòu)架分為以下組成：

（1）組織層面。

石油銷售部門應(yīng)建立責(zé)任明確的各級信息安全管理組織，包括信息安全委員會、信息安全管理部門，并通過設(shè)立信息安全員，指定專人專項負(fù)責(zé)。通過這些部門和負(fù)責(zé)人開展信息安全認(rèn)知宣傳和培訓(xùn)，提高企業(yè)員工對信息安全重要性的認(rèn)識。

（2）制度層面。

制定安全方針、安全管理制度、安全操作規(guī)程和突發(fā)事件應(yīng)急預(yù)案等一系列章程，經(jīng)科學(xué)性審核和測試后下發(fā)各級部門，提升企業(yè)的信息安全管理的效能，減少事故發(fā)生風(fēng)險，提高應(yīng)急響應(yīng)能力。

（3）執(zhí)行層面。

信息安全管理部門應(yīng)當(dāng)定期檢查和隨機抽查相結(jié)合，監(jiān)督安全制度在各級部門的執(zhí)行情況，評估安全風(fēng)險，負(fù)責(zé)PDCA的循環(huán)控制。

（4）技術(shù)層面。

信息安全管理部門要提供安全管理、防護、控制所需的技術(shù)支持，全面保障企業(yè)整體信息安全管理系統(tǒng)建設(shè)。通常信息安全技術(shù)分為物理安全、網(wǎng)絡(luò)安全、主機安全、終端安全、數(shù)據(jù)安全以及應(yīng)用安全等六個方面，主要包括監(jiān)控與審核跟蹤，數(shù)據(jù)備份與恢復(fù)，訪問管理與身份認(rèn)證，信息加密與加固等具體技術(shù)措施。通過有效的信息安全管理平臺和運作平臺，在最短時間內(nèi)對信息安全事件進行響應(yīng)處理，保障信息安全管控措施的落實，實現(xiàn)信息安全管理的目標(biāo)。

三、結(jié)語

第4篇：信息安全審核制度范文

關(guān)鍵詞：電力信息化；安全保障體系；

1關(guān)于電力信息化及其建設(shè)模式特點

電力信息化是由電力信息基礎(chǔ)設(shè)施(PII)和信息化應(yīng)用系統(tǒng)部分組成。計算機信息網(wǎng)絡(luò)及其通信網(wǎng)絡(luò)是電力信息化的基礎(chǔ)，各類電力信息資源的開發(fā)利用是電力信息化的核心。電力企業(yè)信息化是指各類電力企業(yè)在電力生產(chǎn)和經(jīng)營、管理和決策、研究和開發(fā)、市場和營銷等各方面應(yīng)用信息技術(shù)，建設(shè)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)，通過對信息和知識資源的有效開發(fā)和利用，調(diào)整和重構(gòu)企業(yè)組織結(jié)構(gòu)和業(yè)務(wù)模式，服務(wù)企業(yè)發(fā)展目標(biāo)，提高企業(yè)競爭力的過程。企業(yè)信息化包括生產(chǎn)過程自動化和管理信息化兩方面內(nèi)容。生產(chǎn)型企業(yè)信息化的重點在于生產(chǎn)過程中供應(yīng)鏈的調(diào)配與優(yōu)化，如發(fā)電廠的重點是生產(chǎn)過程自動化：商業(yè)銷售型企業(yè)，則利用信息系統(tǒng)進行訂單管理、客戶關(guān)系管理、營銷管理，與合作伙伴進行協(xié)作交流，如供電企業(yè)的重點是營銷自動化：無論哪類企業(yè)，其信息化的共同之處就是應(yīng)具備辦公自動化、共享信息查詢、業(yè)務(wù)數(shù)據(jù)處理、電子郵件等基本功能即信息網(wǎng)扣安全保障體系的建立，如防病毒系統(tǒng)，防火墻系統(tǒng)、入侵檢測系統(tǒng)、存儲備份系統(tǒng)等?，F(xiàn)針對不同類型的電力企業(yè)，探討在電力信息化的建設(shè)特點。

2電力信息安全現(xiàn)狀與需求

2.1電力信息安全內(nèi)涵

電力信息安全是指電力主營業(yè)務(wù)系統(tǒng)及企業(yè)信息安全，保障不被未經(jīng)授權(quán)者訪問、利用和修改，為合法用戶提供安全、可信的信息服務(wù)，保證信息和信息系統(tǒng)的機密性、完整性、可用性、真實性和不可否認(rèn)性。

2.2電力信息安全存在的問題

1)信息安全意識薄弱。信息安全由于無法量化、未發(fā)生重大事故等原因，往往被忽視，不少單位的網(wǎng)絡(luò)與系統(tǒng)基本處于不設(shè)防狀態(tài)；另外，電力企業(yè)IT用戶由于不了解安全威脅的嚴(yán)峻形勢和當(dāng)前的安全現(xiàn)狀，在使用個人計算機、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)時只關(guān)注易用性，忽視了安全性。

2)信息安全保障工作沒有常態(tài)化。信息安全保障工作以檢查為主，如電監(jiān)會、上級公司的安全檢查，信息安全領(lǐng)導(dǎo)小組、工作組只在有信息安全事件發(fā)生時發(fā)揮作用，沒有形成常態(tài)化的工作機制。

3)信息安全運作機制不完善。主要體現(xiàn)在業(yè)務(wù)連續(xù)性計劃不完備、業(yè)務(wù)系統(tǒng)開發(fā)交付環(huán)節(jié)缺乏安全測試和對測試數(shù)據(jù)的管理、信息文檔管理不規(guī)范等。

4)短板現(xiàn)象顯著。電力企業(yè)辦公地理位置分散(如供電所、營業(yè)廳)，不同片區(qū)的IT運行維護(以下簡稱運維)、安全管理缺乏規(guī)范，在信息化建設(shè)落后的地方，由于受經(jīng)濟、技術(shù)水平等因素限制，往往存在信息安全短板。

5)系統(tǒng)安全設(shè)計不足。業(yè)務(wù)系統(tǒng)建設(shè)時缺乏安全設(shè)計方案，造成系統(tǒng)存在sql注入、跨占腳本攻擊、無詳細的審計日志、身份認(rèn)證信息強度不足、軟件容錯性差等問題。

2.3信息安全保障需求

電力企業(yè)信息安全面臨的風(fēng)險有病毒木馬、非法篡改信息、信息泄露、服務(wù)癱瘓，應(yīng)對風(fēng)險安全保障需求可分為信息安全管理和信息安全技術(shù)2大類 。

信息安全管理需求包括信息安全評估、安全策略規(guī)劃、制度規(guī)范和實施細則制訂、安全管理組織建立、信息安全培訓(xùn)、信息安全運行管理、安全監(jiān)控、應(yīng)急響應(yīng)和恢復(fù)、安全監(jiān)督審計等方面；信息安全技術(shù)需求主要是通用信息安全技術(shù)手段(或安全服務(wù))，如身份認(rèn)證、訪問管理、加密、防惡意代碼、加固、監(jiān)控、審核跟蹤和備份恢復(fù)等。

3建立安全的電力信息保障體系

3.1信息安全策略

信息安全策略應(yīng)由安全決策層制定并進行宣傳，可從省級電網(wǎng)層面制定公司安全策略，各地市級供電局負(fù)責(zé)貫徹落實。電力信息安全策略的制定應(yīng)結(jié)合國家信息安全等級保護政策，以提升企業(yè)整體防病毒、防篡改、防攻擊、防泄密、防癱瘓能力為基礎(chǔ)，并結(jié)合自身信息化建設(shè)水平。

3.2信息安全管理

對比信息安全保障框架，電力企業(yè)在信息安全管理方面亟待加強，集中體現(xiàn)在以下幾個方面：雖然建立了信息安全管理組織，但并沒有有效運轉(zhuǎn)；公司員工仍認(rèn)為信息安全是某一個IT部門的事，包括信息技術(shù)部內(nèi)部部分管理人員，沒有樹立起全員信息安全意識；部分安全職責(zé)不明確或不履行職責(zé)，對安全管理制度置之不理；缺乏有效的安全通報考核機制；沒有建立起風(fēng)險管理控制機制；信息安全管理體系沒有形成計劃、實施、檢查、處理閉環(huán)。

1)信息安全組織方面，應(yīng)建立安全決策機構(gòu)、管理機構(gòu)、執(zhí)行機構(gòu)和督察機構(gòu)。安全決策機構(gòu)應(yīng)由省級電網(wǎng)公司成立，并至少每年召開信息安全工作會議，通報電力信息安全現(xiàn)狀和安全規(guī)劃；督察機構(gòu)可抽調(diào)企業(yè)內(nèi)部各單位信息安全業(yè)務(wù)骨干組成，至少每個月對信息安全狀況進行檢察和上報；明確各級信息安全崗位職責(zé)，使安全管理組織真正運轉(zhuǎn)起來。

2)安全風(fēng)險管理是對企業(yè)殘余風(fēng)險的管理控制，防止風(fēng)險發(fā)生。實施信息安全風(fēng)險管理流程優(yōu)化，控制變化帶來的風(fēng)險，確保風(fēng)險受控，實施年度風(fēng)險管理審核機制， 由安全督察機構(gòu)實施風(fēng)險審核。

3)電力信息安全保障應(yīng)引入PDCA閉環(huán)管理思想，建立安全監(jiān)察評價機制和信息安全考核評價指標(biāo)，通過對信息安全政策、標(biāo)準(zhǔn)、規(guī)章制度、措施執(zhí)行情況的檢查及借助信息技術(shù)手段分析信息安全情況，不斷優(yōu)化安全管理運作過程。

信息系統(tǒng)運維部門對系統(tǒng)安全風(fēng)險最清楚，但運維人員通常怕?lián)?zé)任，受批評，增加工作量，參與風(fēng)險排查的積極性不高，故應(yīng)調(diào)動一線運維人員排查風(fēng)險的積極性，在各信息系統(tǒng)的管理維護部門內(nèi)部建立風(fēng)險排查機制，每個月進行排查，提交月報；安全管理人員與各信息系統(tǒng)的管理維護部門聯(lián)合組織專題排查；安全督察機構(gòu)每年進行強制性抽樣檢查，形成部門主動排查為主，專家年度安全檢察為補充的安全監(jiān)察機制。安全考核評價應(yīng)結(jié)合安全監(jiān)察，至少每年1次，先由各單位或機構(gòu)根據(jù)自查情況進行自評估，之后由安全督察機構(gòu)根據(jù)自評估結(jié)果，對部分部門實施強制性抽樣檢查，以保障安全考核評價的客觀性。另外，必須根據(jù)安全考核結(jié)果進行通報和獎勵。

3.3保證電力信息安全的技術(shù)措施

身份認(rèn)證和訪問控制可通過公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure，PKI)技術(shù)進行統(tǒng)一管理，建立省電網(wǎng)級認(rèn)證授權(quán)中心，提供目錄服務(wù)、身份管理、認(rèn)證管理、訪問管理等功能。實現(xiàn)主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等的統(tǒng)一身份認(rèn)證管理。對營銷、財務(wù)等系統(tǒng)中的機密數(shù)據(jù)，應(yīng)使用加解密、數(shù)字簽名、消息認(rèn)證碼等手段進行保護，提高系統(tǒng)服務(wù)和數(shù)據(jù)訪問的抗抵賴性。目前，電力企業(yè)多數(shù)系統(tǒng)通信過程都未采取加密、數(shù)字簽名等安全措施，加之企業(yè)內(nèi)網(wǎng)未實施有效的準(zhǔn)入控制，這給電力信息安全造成巨大風(fēng)險，必須盡快梳理各類信息的機密屬性，整體規(guī)劃，對應(yīng)用系統(tǒng)進行升級改造，并實施內(nèi)網(wǎng)準(zhǔn)入機制。

電力管理信息大區(qū)網(wǎng)絡(luò)內(nèi)部應(yīng)建立病毒預(yù)防、檢測、隔離和清除機制，預(yù)防未知病毒入侵，迅速隔離被感染的主機，識別并清除網(wǎng)內(nèi)的已知病毒。

加固是指對信息系統(tǒng)安全領(lǐng)域受保護的對象進行自身安全加固的保護，內(nèi)容主要包括安全漏洞掃描、滲透性測試、對象補丁的獲取和實施安全、關(guān)閉不必要的服務(wù)和防止拒絕服務(wù)的攻擊5部分。針對終端安全，應(yīng)由省級電網(wǎng)公司建立統(tǒng)一的桌面操作系統(tǒng)安全補丁管理體系、建立規(guī)范的桌面計算機系統(tǒng)軟件管理體系、建立完善的桌面計算機系統(tǒng)資產(chǎn)管理體系、建立嚴(yán)格的軟件監(jiān)控管理體系、建立有效的桌面辦公安全管理規(guī)范和技術(shù)規(guī)范等。針對主機安全，需搭建統(tǒng)一的補丁測試環(huán)境，對電力典型業(yè)務(wù)系統(tǒng)進行補丁測試，建立統(tǒng)一的補丁測試、更新機制，建立主機平臺配置技術(shù)規(guī)范等。

監(jiān)控和審計可提高信息的安全性，提高問題發(fā)生時的反應(yīng)速度，有效預(yù)防安全問題的發(fā)生。應(yīng)進行統(tǒng)一規(guī)劃，建立IT監(jiān)控平臺。目前廣東電網(wǎng)等省級電網(wǎng)公司都已經(jīng)開始實施監(jiān)控平臺的建設(shè)。

備份恢復(fù)技術(shù)主要包括備份技術(shù)、冗余技術(shù)、容錯技術(shù)和不間斷電源保護4個方面的內(nèi)容。備份恢復(fù)與容災(zāi)中心具有關(guān)聯(lián)性，建立容災(zāi)中心的單位應(yīng)每年至少進行一次災(zāi)備恢復(fù)的演練，沒有容災(zāi)中心的單位應(yīng)將營銷、生產(chǎn)、財務(wù)等核心數(shù)據(jù)定期進行異地備份，并定期進行備份恢復(fù)演練，提升應(yīng)對自然災(zāi)害的能力。

第5篇：信息安全審核制度范文

隨著近年來信息安全話題的持續(xù)熱議，越來越多的企業(yè)管理人員開始關(guān)注這一領(lǐng)域，針對黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問題陸續(xù)采取了一系列措施，開始構(gòu)筑企業(yè)的信息安全防護屏障。然而在給企業(yè)做咨詢項目的時候，還是經(jīng)常會聽到這樣的話：

“我們已經(jīng)部署了防火墻、入侵檢測設(shè)備防范外部黑客入侵，采購了專用的數(shù)據(jù)防泄密軟件進行內(nèi)部信息資源管理，為什么還是會出現(xiàn)企業(yè)敏感信息外泄的問題？”

“我們的IT運營部門建立了系統(tǒng)的運行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實？各業(yè)務(wù)部門都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣?！?/p>

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系，投入了專門的人力進行安全管理和控制，并且通過了企業(yè)信息安全管理體系的認(rèn)證和審核，一開始的確獲得了顯著的成效，但為什么經(jīng)過一年的運行后，卻發(fā)現(xiàn)各類安全事件有增無減？”

這些問題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護能力。上述的三個案例，案例一中企業(yè)發(fā)生過敏感信息外泄事件，于是采購了專用的數(shù)據(jù)防泄密軟件，卻并未制定相關(guān)的信息管理制度和進行員工保密意識培訓(xùn)，結(jié)果只能是防外不防內(nèi)，還會給員工的正常工作帶來諸多不便；案例二中企業(yè)管理者認(rèn)識到安全管理的重要性，要求相關(guān)部門編制了大量的管理制度和規(guī)范，然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施，不切實際的管理制度最終因為業(yè)務(wù)部門的排斥而束之高閣；案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系，然而認(rèn)證通過后隨著業(yè)務(wù)發(fā)展卻并未進行必要的改進和優(yōu)化，隨著時間的推移管理體系與實際工作脫節(jié)日益嚴(yán)重，各類安全隱患再次出現(xiàn)也就不足為奇。

其實，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫(yī)治標(biāo)不治本，指的就是采取分片分析的發(fā)現(xiàn)問題―分析問題―解決問題的思路處理安全威脅，通過技術(shù)手段的積累雖然可以解決很多問題，但總會產(chǎn)生疲于應(yīng)付的狀況，難以形成有效的安全保障體系；類比于中醫(yī)理論將人體看為一個互相聯(lián)系的整體，信息安全管理體系的建立正是通過全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問題和隱患，緊密聯(lián)系業(yè)務(wù)工作和安全保障需要，形成系統(tǒng)的解決方案，通過動態(tài)的維護機制形成完善的防護體系。

總體來說，信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對ISMS的建立，我們可以從中醫(yī)“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論：

第一，“望聞問切”，全面的業(yè)務(wù)、資產(chǎn)和風(fēng)險評估是ISMS建設(shè)的基礎(chǔ)；

第二，“對癥下藥”，可落實、可操作、可驗證的管理體系是ISMS建設(shè)的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問切

為了完成ISMS建設(shè)，就必然需要對企業(yè)當(dāng)前信息資源現(xiàn)狀進行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進行ISMS建設(shè)。

首先，自然是對企業(yè)現(xiàn)有資源的梳理，重點可以從以下幾個方面入手：

1.業(yè)務(wù)主體（設(shè)備、人員、軟件等）。

業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺服務(wù)器、多少臺網(wǎng)絡(luò)設(shè)備，都屬于業(yè)務(wù)主體的范疇，按照業(yè)務(wù)主體本身的價值進行一個估值，也是進行整個信息系統(tǒng)資源價值評估的基礎(chǔ)評估。由于信息技術(shù)日新月異的變化，最好的主體未必服務(wù)于最核心的信息系統(tǒng)，同時價值最昂貴的設(shè)備未必最后對企業(yè)的價值也最大。在建立體系的過程中，對業(yè)務(wù)設(shè)備的盤點和清理是很重要的，也是進行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個重要數(shù)據(jù)。

2.業(yè)務(wù)數(shù)據(jù)（服務(wù)等）。

業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負(fù)責(zé)人逐步關(guān)注的方面，之前我們只關(guān)注設(shè)備的安全，網(wǎng)絡(luò)的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對業(yè)務(wù)和企業(yè)的重要性?，F(xiàn)在，核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)，業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務(wù)數(shù)據(jù)意義也不大，保證業(yè)務(wù)數(shù)據(jù)，必須保證其運行的平臺和容器都是正常的，所以，業(yè)務(wù)數(shù)據(jù)也是我們重點分析的方面之一。

3.業(yè)務(wù)流程。

企業(yè)所有的信息資源都是通過業(yè)務(wù)流程實現(xiàn)其價值的，如果沒有業(yè)務(wù)流程，所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對業(yè)務(wù)流程的了解和分析也是很重要的一個方面。

以上三個方面是企業(yè)信息資源的三個核心方面，孤立地看待任何一個方面都是毫無意義的。

其次，當(dāng)我們對企業(yè)的當(dāng)前信息資產(chǎn)進行分析以后需要對其價值進行評估。

評估的過程就是對當(dāng)前的信息資產(chǎn)進行量化的數(shù)據(jù)分析，進行安全賦值，我們將信息資產(chǎn)的安全等級劃分為 5 級，數(shù)值越大，安全性要求越高，5 級的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴(yán)重的損失。1 級的信息資產(chǎn)定義為不重要，其被損害不會對企業(yè)造成過大影響，甚至可以忽略不計。對信息資產(chǎn)的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個方面進行評估賦值，最后信息資產(chǎn)的賦值取 5 個屬性里面的最大值。

這里需要提出的是，這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務(wù)流程作為核心的信息資源也必須賦值，而且?guī)讉€基本要素之間的安全值是相互疊加的，比如需要運行核心流程的交換機的賦值，是要高于需要運行核心流程的交換機的賦值的。很多企業(yè)由于歷史原因，運行核心業(yè)務(wù)流程的往往是比較老的設(shè)備，在隨后的分析可以看得出來，由于其年代的影響，造成資產(chǎn)的風(fēng)險增加，也是需要重點注意的一點。

最后，對企業(yè)當(dāng)前信息資產(chǎn)的風(fēng)險評估。

風(fēng)險評估是 ISMS 建立過程中非常重要的一個方面，我們對信息資產(chǎn)賦值的目的就是為了計算風(fēng)險值，從而我們可以看出整個信息系統(tǒng)中風(fēng)險最大的部分在哪里。對于風(fēng)險值的計算有個簡單的參考公式：風(fēng)險值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對性的經(jīng)驗公式）。

ISMS 建設(shè)的最終目標(biāo)是將整個信息系統(tǒng)的風(fēng)險值控制在一定范圍之內(nèi)。

對癥下藥

經(jīng)過上階段的調(diào)研和分析，我們對企業(yè)面臨的安全威脅和隱患有一個全面的認(rèn)識，本階段的ISMS建設(shè)重點根據(jù)需求完成“對癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設(shè)計和規(guī)劃。

在風(fēng)險評估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計和規(guī)劃，根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進行實施。管理體系的規(guī)范針對不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結(jié)合，一旦缺乏結(jié)合性ISMS就會是孤立的，對企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)，見圖1。

圖1 信息安全管理體系

一級文件通過綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標(biāo)、原則、要求和主要措施等頂層設(shè)計；二級文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務(wù)細分，將其細化為包括“任務(wù)輸入”、“任務(wù)活動”、“任務(wù)實施指南”和“任務(wù)輸出”等細則，便于操作人員根據(jù)規(guī)范進行實施和管理人員根據(jù)規(guī)范進行工作審核；三級文件則主要提供各項工作和操作所使用的表單和模板，以便各級工作人員參考使用。

同時，無論是制定新的信息管理規(guī)章制度還是進行設(shè)備的更換，都要量力而行，依據(jù)自己實際的情況來完成。例如，很多公司按照標(biāo)準(zhǔn)設(shè)立了由企業(yè)高級領(lǐng)導(dǎo)擔(dān)任組長的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室，具體負(fù)責(zé)企業(yè)的信息安全管理工作，在各級信息化技術(shù)部門均設(shè)置系統(tǒng)管理員、安全管理員、安全審計員，從管理結(jié)構(gòu)設(shè)計上保證人員權(quán)限互相監(jiān)督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實施和驗證

實施過程是最復(fù)雜的，實施之后需要進行驗證。實施是根據(jù) ISMS 的設(shè)計和體系規(guī)劃來做的，是個全面的信息系統(tǒng)的改進工作，不是單獨的設(shè)備更新，也不是單獨的管理規(guī)范的，需要企業(yè)從上至下，全面地遵照執(zhí)行，要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國外傳入的思路和規(guī)范，雖然切合國人中醫(yī)理論的整體思維方式，但在國內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進行信息安全管理體系的建設(shè)是一個為企業(yè)長久發(fā)展必須進行的工程。

到目前為止，和企業(yè)本身業(yè)務(wù)融合并沒有完美的解決方案，需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負(fù)責(zé) ISMS 實施的工程人員一同討論決定適合企業(yè)自身的實施方案

最后，是企業(yè)信息安全管理體系的認(rèn)證和審核

針對我們周圍很多重認(rèn)證，輕實施的思想，這里有必要談一下這個問題，認(rèn)證僅代表認(rèn)證過程中的信息體系是符合 ISO27000（或者其他國家標(biāo)準(zhǔn)）的規(guī)范要求，而不是說企業(yè)通過認(rèn)證就是一個在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要動態(tài)改進和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的，也需要有針對性地發(fā)展和變化，道高一尺魔高一丈，必須通過各種方法，進行不斷地改進和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進和跟蹤完善的手段，經(jīng)過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運轉(zhuǎn)ISMS，我們認(rèn)為可以主要從以下三個方面著手：

第一，人員。

人員對于企業(yè)來講是至關(guān)重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運轉(zhuǎn)過程中，人員都應(yīng)該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實施，且此名專員日后要持續(xù)保留，負(fù)責(zé)維護各自部門的信息資產(chǎn)、安全事件跟蹤匯報、配合內(nèi)審與外審、安全相關(guān)記錄收集維護等信息安全相關(guān)工作。

但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓(xùn)，面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等，因此對于企業(yè)來講，除了必要的體系維護人員，在ISMS持續(xù)運轉(zhuǎn)過程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責(zé)”的企業(yè)氛圍，則會為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項活動的同時，還會納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業(yè)帶來的風(fēng)險。

第二，體系。

ISMS自身的持續(xù)維護，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對于信息資產(chǎn)清單、風(fēng)險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧，這項活動由于也是在相關(guān)標(biāo)準(zhǔn)中明確指出的，企業(yè)通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時，都最好對ISMS進行重新的評審，必要時重新進行風(fēng)險評估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化，企業(yè)每天所面臨的風(fēng)險同樣也不是一成不變的，在更新維護信息資產(chǎn)清單的同時，對風(fēng)險清單的回顧也是不可疏忽的，而這點往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護才能保證ISMS的運轉(zhuǎn)，有效控制企業(yè)所面臨的各種風(fēng)險。

第三，工具。

工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實是很大的一個泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計等各類工具，即使沒有實施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用，哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購買的工具無人使用或無法滿足業(yè)務(wù)需求等問題，導(dǎo)致資金資源的浪費，因此在持續(xù)運轉(zhuǎn)ISMS過程中，根據(jù)風(fēng)險評估報告，及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對工具進行統(tǒng)一規(guī)劃，盡量減少資源的浪費。

第6篇：信息安全審核制度范文

關(guān)鍵詞：計算機技術(shù)；網(wǎng)絡(luò)數(shù)據(jù)庫；安全管理技術(shù)

引言：

數(shù)據(jù)庫安全管理的工作重心應(yīng)始終放在保證用戶信息數(shù)據(jù)的完整性、一致性、安全性和保密性等方面，通過對硬軟件的規(guī)律維護、用戶賬號驗證、審核訪問操作、數(shù)據(jù)管理，備份與恢復(fù)、建設(shè)網(wǎng)絡(luò)防護系統(tǒng)等措施開展安全管理工作。對此，管理人員應(yīng)積極加強工作能力的培養(yǎng)，切實落實管理步驟，保證信息安全。

1目前網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全問題

1.1軟硬件的穩(wěn)定與安全問題

硬件的質(zhì)量與狀態(tài)是確保數(shù)據(jù)庫運行穩(wěn)定性與安全性的前提，若出現(xiàn)硬件故障和問題，可能會導(dǎo)致數(shù)據(jù)庫系統(tǒng)崩潰，信息數(shù)據(jù)丟失或損壞；系統(tǒng)與軟件的安全問題表現(xiàn)在版本落后、漏洞沒有及時修復(fù)等，若無法及時解決，則可能造成信息數(shù)據(jù)遺失、或遭泄露、篡改等。

1.2賬戶認(rèn)證環(huán)節(jié)缺乏有效管理

目前數(shù)據(jù)庫的用戶密碼強度普遍偏低，在賬戶配置等方面留有隱患，加之賬戶審核與認(rèn)證環(huán)節(jié)缺乏有效管理，嚴(yán)重威脅了數(shù)據(jù)庫的安全。

1.3信息數(shù)據(jù)加密、備份與恢復(fù)工作不到位

數(shù)據(jù)庫運營應(yīng)時刻防范黑客攻擊和病毒、木馬等的入侵，同時也應(yīng)加強信息的加密、備份與恢復(fù)工作，否則可能導(dǎo)致庫內(nèi)信息被輕易破譯，或在遭遇非法操作與攻擊時無法及時恢復(fù)應(yīng)有狀態(tài)，對用戶造成損失。

1.4管理制度與體系不夠完善

目前與網(wǎng)絡(luò)信息安全相關(guān)的管理制度依舊不夠完善，法律對影響信息安全行為的打擊力度不足，且由于數(shù)據(jù)庫運營方安全管理體系建設(shè)不足，安全管理工作多由信息管理員兼任，導(dǎo)致了管理人員工作能力與精力不足、工作效率低、管理措施落實不到位等問題[1]。

2加強網(wǎng)絡(luò)數(shù)據(jù)庫安全管理的措施

2.1加強對軟硬件的維護與管理

為保證數(shù)據(jù)庫系統(tǒng)的安全與穩(wěn)定，需要加強對軟硬件的維護與管理。維護人員應(yīng)對電源、網(wǎng)絡(luò)服務(wù)器和線路等硬件設(shè)備進行規(guī)律性的檢修、維護、調(diào)整、更換與更新，確保硬件設(shè)備以最佳狀態(tài)運行，同時，也應(yīng)及時對系統(tǒng)和軟件進行調(diào)整與更新，及時修復(fù)漏洞，定期查毒，確保軟件性能和設(shè)置的安全性。

2.2加強賬戶認(rèn)證，對賬戶信息進行加密

加強賬戶認(rèn)證、增強密碼強度、及時修補用戶配置預(yù)設(shè)中的隱患，是提升賬戶安全性的重要舉措。對此，應(yīng)及時修復(fù)賬戶驗證系統(tǒng)中存在的漏洞與不足，使其達到應(yīng)有的阻隔惡意訪問和操作的目標(biāo)。為有效保護賬戶密碼和用戶個人信息的安全，安全管理人員應(yīng)采取措施，對該部分?jǐn)?shù)據(jù)進行強制加密，用以抵御不法分子的破譯與攻擊，增加破譯難度與成本，進一步加強數(shù)據(jù)庫信息安全建設(shè)。

2.3加強對數(shù)據(jù)的加密、備份與恢復(fù)

為增強數(shù)據(jù)的保密性，數(shù)據(jù)庫管理方應(yīng)及時更新相關(guān)的加密技術(shù)，增加破譯成本與難度，從而有效保障數(shù)據(jù)安全，如今業(yè)內(nèi)主流的加密技術(shù)大致可分為全盤加密和驅(qū)動級加密兩類。其中驅(qū)動級加密技術(shù)具有強制性和透明性的特征，操作上配置靈活、方便調(diào)整、監(jiān)督與控制，且不會影響用戶的正常操作，現(xiàn)已被廣泛運用于企業(yè)文件與數(shù)據(jù)的加密操作。在強化數(shù)據(jù)加密的同時，為有效防范因系統(tǒng)故障或遭攻擊等造成的信息數(shù)據(jù)遺失或損壞，應(yīng)隨時做好數(shù)據(jù)備份、并及時在發(fā)生問題時進行數(shù)據(jù)恢復(fù)，盡量減少損失。目前在業(yè)內(nèi)常用的數(shù)據(jù)備份與恢復(fù)技術(shù)包括數(shù)據(jù)轉(zhuǎn)儲、數(shù)據(jù)鏡像和日志登記等。另外，為防止數(shù)據(jù)被非法篡改或刪除，可對數(shù)據(jù)進行寫保護操作，或在用戶權(quán)限上加大對修改文件數(shù)據(jù)方面的審核與監(jiān)控。

2.4積極建設(shè)并完善數(shù)據(jù)庫安全管理制度與體系

在采取各類優(yōu)化、加密與保護措施的基礎(chǔ)上，數(shù)據(jù)庫管理方還應(yīng)積極與相關(guān)部門展開合作，進一步建設(shè)并完善相關(guān)的管理制度與體系，增強管理人員的安全意識，具體包括設(shè)立專業(yè)的安全管理崗位，對員工進行安全管理培訓(xùn)，提高管理人員的綜合素質(zhì)與工作能力。完善并發(fā)展與網(wǎng)絡(luò)信息安全相關(guān)的制度法規(guī)，需要政府相關(guān)部門和數(shù)據(jù)庫管理方的通力合作和共同努力。對此，政府相關(guān)部門應(yīng)對網(wǎng)絡(luò)信息安全問題給予高度重視，及時出臺相關(guān)的法律法規(guī)，明確運營方在保證數(shù)據(jù)安全方面的責(zé)任，并針對攻擊數(shù)據(jù)庫，損害或泄露重要、機密、敏感的信息與數(shù)據(jù)，危害他人利益的行為，追究當(dāng)事人的法律責(zé)任。對數(shù)據(jù)庫運營方而言，應(yīng)建立起一套完整的安全管理規(guī)章制度，并嚴(yán)格實施、貫徹到數(shù)據(jù)庫管理的各方面工作中。對此，管理方應(yīng)積極設(shè)立安全管理方面的獨立崗位，明確區(qū)分安全管理職責(zé)與系統(tǒng)管理與維護職責(zé)，從而有效減輕數(shù)據(jù)管理員的工作量與壓力，進一步提升管理人員的專業(yè)技能水平，從而保證各方管理工作的有效進行，提高數(shù)據(jù)管理和安全管理的效率與質(zhì)量。同時，單位還應(yīng)積極開展安全管理相關(guān)培訓(xùn)，加強到崗人員的工作責(zé)任感，提升其安全管理能力，培養(yǎng)其面臨突發(fā)狀況或故障時的處理能力，盡可能在保證規(guī)范操作的基礎(chǔ)上縮短處理故障所需的時間，盡量減少系統(tǒng)故障對用戶使用體驗的負(fù)面影響。在進行安全管理工作時，安全管理人員應(yīng)始終堅持嚴(yán)格遵守相關(guān)規(guī)章制度，明確并規(guī)范具體操作流程，減少不規(guī)范操作可能帶來的故障與問題[2]。

3結(jié)語

積極增強網(wǎng)絡(luò)數(shù)據(jù)庫安全管理，有效防范泄露、篡改、非法竊取信息數(shù)據(jù)等行為，對維護先進網(wǎng)絡(luò)信息安全、構(gòu)建和諧網(wǎng)絡(luò)環(huán)境意義重大。為此，數(shù)據(jù)庫管理方應(yīng)積極采取措施，消除目前網(wǎng)絡(luò)數(shù)據(jù)庫的安全與穩(wěn)定患，積極完善相關(guān)管理制度、提高管理人員素質(zhì)，從而為網(wǎng)絡(luò)數(shù)據(jù)庫的未來發(fā)展提供安全保障。

參考文獻：

第7篇：信息安全審核制度范文

【關(guān)鍵詞】船岸網(wǎng)絡(luò)；信息安全；航運企業(yè)

0引言

一些航運企業(yè)已開始實施“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶運營參數(shù)及管理量化指標(biāo)被轉(zhuǎn)移至信息更加透明的互聯(lián)網(wǎng)平臺，船舶所有人可以通過互聯(lián)網(wǎng)平臺隨時隨地查看船舶動態(tài)。航運企業(yè)將船舶全權(quán)委托給第三方船舶管理公司管理，并通過互聯(lián)網(wǎng)平臺監(jiān)控船舶動態(tài)。這種管理模式帶來一個全新的課題：船岸網(wǎng)絡(luò)信息化程度越高，信息系統(tǒng)遭受攻擊導(dǎo)致數(shù)據(jù)泄露的風(fēng)險越大。近年來已發(fā)生多起船員個人信息泄露導(dǎo)致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統(tǒng)。信息泄露會給個人造成損失，而信息系統(tǒng)遭受病毒攻擊則會給航運企業(yè)造成巨大損失。因此，信息安全對航運企業(yè)而言極為重要。

1船岸網(wǎng)絡(luò)管理現(xiàn)狀

船岸網(wǎng)絡(luò)技術(shù)的發(fā)展非常迅速，特別是海上衛(wèi)星通信服務(wù)商提供的海上高速網(wǎng)絡(luò)在資費下降后極大地提高了船舶與管理方、服務(wù)供應(yīng)商、租船人和船舶所有人/經(jīng)營人之間的信息交換頻率。海上高速網(wǎng)絡(luò)的普及給信息安全帶來更大的隱患。網(wǎng)絡(luò)沒有物理界限，任何具有網(wǎng)絡(luò)攻防知識并熟悉船舶扁平化網(wǎng)絡(luò)架構(gòu)的人或組織都可以通過Shodan搜索引擎獲得相關(guān)信息，對船岸網(wǎng)絡(luò)實施遠程攻擊。通過對衛(wèi)星通信服務(wù)商IP地址段批量掃描發(fā)現(xiàn)：眾多安裝VSAT、FBB設(shè)備的船舶未加安全措施就向公網(wǎng)開放了21/80/445/3389等弱口令TCP、UDP端口；供應(yīng)商為節(jié)約成本、方便遠程維護管理，將Cobham、KVHCommBox、Inmarsat、Marlink等產(chǎn)品內(nèi)建的管理后臺映射到外網(wǎng)；絕大部分船舶沒有配置專業(yè)的硬件防火墻，岸基管理人員缺乏專業(yè)技能，最終導(dǎo)致船舶網(wǎng)絡(luò)安全得不到保障。

要做好船岸網(wǎng)絡(luò)安全工作，首先要了解船岸網(wǎng)絡(luò)設(shè)備運行機制和原理。船舶內(nèi)網(wǎng)GPS、ECDIS、主機監(jiān)控系統(tǒng)服務(wù)器等多網(wǎng)卡設(shè)備既通過串口總線和CANBUS、MODBUS等協(xié)議控制舵機、智能電站及壓載水調(diào)平系統(tǒng)等設(shè)備，又通過網(wǎng)卡和SNMP、NMEA等協(xié)議進行網(wǎng)絡(luò)通信，從而形成了一個可以網(wǎng)絡(luò)遠程控制的船舶物聯(lián)網(wǎng)。由于某些船用通信協(xié)議存在設(shè)計缺陷，例如NMEA0183協(xié)議通過明文傳輸，缺乏加密、身份認(rèn)證和校驗機制，為實施網(wǎng)絡(luò)攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉(zhuǎn)向。

2常見的網(wǎng)絡(luò)攻擊方式

廣義上對船岸網(wǎng)絡(luò)的攻擊主要有兩類：（1）無目標(biāo)的攻擊。岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)和第三方軟件漏洞是潛在受攻擊目標(biāo)之一，攻擊者利用0day漏洞進行廣撒網(wǎng)式的無差別化攻擊，近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網(wǎng)絡(luò)攻擊屬于此類。（2）有針對性的攻擊。攻擊者將某船岸信息系統(tǒng)設(shè)定為滲透目標(biāo)，利用專門開發(fā)的繞過技術(shù)和工具躲避網(wǎng)絡(luò)防御機制（如震網(wǎng)病毒事件），實施多步驟攻擊，其破壞程度較無目標(biāo)的攻擊更大。

有針對性攻擊又分為以下6種類型：

（1）主動攻擊。攻擊者主動攻擊網(wǎng)絡(luò)安全防線。主動攻擊的方式為修改或創(chuàng)建錯誤的數(shù)據(jù)流，主要攻擊形式有假冒、重放、篡改消息和使網(wǎng)絡(luò)拒絕服務(wù)等。

（2）被動攻擊。攻擊者監(jiān)視相關(guān)信息流以獲得某些信息。被動攻擊基于網(wǎng)絡(luò)跟蹤通信鏈路或系統(tǒng)，用秘密抓取數(shù)據(jù)的木馬程序代替系統(tǒng)部件。

（3）物理攻擊。未被授權(quán)者在物理上接入網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，以達到修改、收集信息或使網(wǎng)絡(luò)拒絕訪問的目的。

（4）內(nèi)部攻擊。被授權(quán)修改信息安全處理系統(tǒng)，或具有直接訪問信息安全處理系統(tǒng)權(quán)力的內(nèi)部人員，主動傳播非法獲取的信息。

（5）邊界攻擊。網(wǎng)絡(luò)邊界由路由器、防火墻、入侵檢測系統(tǒng)（IDS）、虛擬專用網(wǎng)（VPN、DMZ）和被屏蔽的子網(wǎng)等硬件和軟件組成。硬件的操作系統(tǒng)與其他軟件一樣存在安全漏洞，攻擊者可利用操作系統(tǒng)漏洞，繞過已知安全協(xié)議達到攻擊的目的。

（6）持續(xù)性威脅。商業(yè)間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰(zhàn)略企劃書”為關(guān)鍵詞投放電子誘餌，通過文檔追蹤工具進行精準(zhǔn)定位，誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統(tǒng)。

3船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)

船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)有綜合船橋和電子海圖系統(tǒng)、配載儀和船舶維修保養(yǎng)系統(tǒng)、主機遙控和能效系統(tǒng)、保安限制區(qū)域閉路電視監(jiān)控系統(tǒng)和各重點艙室門禁系統(tǒng)、乘員服務(wù)和管理系統(tǒng)、面向船員娛樂的公共網(wǎng)絡(luò)系統(tǒng)、船岸網(wǎng)絡(luò)通信系統(tǒng)、計算機操作系統(tǒng)及常用軟件等。

4船舶網(wǎng)絡(luò)安全配置建議

（1）禁用公網(wǎng)IP，使用URA系統(tǒng)遠程管理。

（2）修改系統(tǒng)默認(rèn)密碼并使用高強度密碼。

（3）將船岸網(wǎng)絡(luò)操作系統(tǒng)和第三方軟件補丁、病毒特征庫升級至最新版本。

（4）對工控網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、娛樂網(wǎng)絡(luò)實施網(wǎng)絡(luò)隔離和訪問控制。

（5）通過策略制定公用電腦進程白名單，禁用USB接口。

（6）向船員普及網(wǎng)絡(luò)安全風(fēng)險防范知識。

（7）要求設(shè)備供應(yīng)商提供必要的網(wǎng)絡(luò)安全事件應(yīng)對措施。

（8）不過度依賴遠程網(wǎng)絡(luò)監(jiān)控技術(shù)，增加現(xiàn)場勘查頻率。

5網(wǎng)絡(luò)攻擊事件的處置步驟

（1）風(fēng)險識別。定義相關(guān)人員的崗位和職責(zé)，確保在日常管理中能夠及時發(fā)現(xiàn)可疑風(fēng)險。

（2）事件預(yù)防。制定風(fēng)險控制流程和應(yīng)急計劃，降低網(wǎng)絡(luò)風(fēng)險，防范網(wǎng)絡(luò)攻擊。

（3）事件發(fā)現(xiàn)。檢查已確認(rèn)的網(wǎng)絡(luò)攻擊事件，評估損失并制定后續(xù)恢復(fù)方案。（4）事件恢復(fù)。制定計劃使系統(tǒng)恢復(fù)正常運行。

（5）免疫措施。制定措施避免類似網(wǎng)絡(luò)攻擊事件再次發(fā)生。

6網(wǎng)絡(luò)信息安全團隊崗位職責(zé)

航運企業(yè)應(yīng)設(shè)立信息安全官（CISO）崗位，其職責(zé)為：建立船岸網(wǎng)絡(luò)安全團隊并管理成員，牽頭制定全面的船舶網(wǎng)絡(luò)安全應(yīng)急保護計劃（CSP），以持續(xù)保障船岸網(wǎng)絡(luò)安全。團隊成員崗位職責(zé)如下：

（1）對船舶VSAT/FBB設(shè)備端口映射及防火墻規(guī)則進行審核、分發(fā)、監(jiān)控，熟悉Infinity、XchangeBox等通信管理系統(tǒng)的后臺設(shè)置，監(jiān)控船岸網(wǎng)絡(luò)的可疑流量。

（2）對船岸內(nèi)網(wǎng)信息設(shè)備和辦公電腦軟硬件及時更新維護，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。

（3）定期優(yōu)化單船拓?fù)浣Y(jié)構(gòu)和更新船岸網(wǎng)絡(luò)病毒特征庫和漏洞補丁庫，不斷完善船岸網(wǎng)絡(luò)信息事故應(yīng)急預(yù)案。

（4）收集供應(yīng)商技術(shù)文件并集中存儲，向設(shè)備和服務(wù)供應(yīng)商提交并跟蹤審核通導(dǎo)信息類設(shè)備保修工單（如KVH、Marlink、GEE、OneNet等）。

（5）跟蹤記錄新造船F(xiàn)BB、銥星移動通信系統(tǒng)、VSAT和船載物聯(lián)網(wǎng)設(shè)備安裝調(diào)試情況，審核通信類費用憑證。

（6）具備防火墻、路由器、入侵檢測系統(tǒng)、交換機的豐富知識，MacOS、Windows、Linux等3大操作系統(tǒng)及域控、數(shù)據(jù)庫的基礎(chǔ)知識，并能熟練使用SQL、CrystalReports提取分析數(shù)據(jù)。

（7）參與船岸網(wǎng)絡(luò)的設(shè)計開發(fā)和信息系統(tǒng)的迭代開發(fā)，提出必要的安全策略規(guī)范要求。

（8）具備妥善監(jiān)控并處理網(wǎng)絡(luò)安全事件的能力和獨立撰寫網(wǎng)絡(luò)安全事件調(diào)查報告的能力，并提出改進措施。

7船岸網(wǎng)絡(luò)信息安全管理目標(biāo)

船岸網(wǎng)絡(luò)信息安全問題從根本上說是人的問題，如何在制度上讓人遵守規(guī)則，如何在技術(shù)上減少或避免人為惡意攻擊，這是船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計的目標(biāo)。船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計的總體目標(biāo)可定義為：針對船岸網(wǎng)絡(luò)和信息安全需要，構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和信息防護策略及措施，通過制度管理和技術(shù)防范來規(guī)范員工行為，達到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的目的，最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監(jiān)的基本職責(zé)是建立船岸網(wǎng)絡(luò)和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業(yè)內(nèi)部的計算機安全專家，也包括企業(yè)外部的資深律師、會計師、技術(shù)專家等。

8經(jīng)驗交流

網(wǎng)絡(luò)信息安全對于大部分人而言比較陌生。在實踐中，大部分航運企業(yè)由總裁辦（行政事務(wù)部）或保密部門負(fù)責(zé)網(wǎng)絡(luò)信息安全，而網(wǎng)絡(luò)信息安全職能又隸屬話語權(quán)不高的IT部門，最終導(dǎo)致企業(yè)網(wǎng)絡(luò)信息安全工作進展遲滯，制度實施緩慢。因此，建議由公司領(lǐng)導(dǎo)牽頭，技術(shù)保障部門負(fù)責(zé)具體實施。有條件的航運公司應(yīng)該定期針對船岸網(wǎng)絡(luò)信息系統(tǒng)進行安全演習(xí)并配置網(wǎng)絡(luò)信息安全設(shè)備，以便當(dāng)船岸網(wǎng)絡(luò)信息系統(tǒng)被攻擊時，能夠迅速作出應(yīng)急反應(yīng)，盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)，盡可能挽回?fù)p失。此外，在員工手冊、船員上船協(xié)議中應(yīng)該賦予航運公司相關(guān)職能部門通過技術(shù)手段來防止內(nèi)部威脅的權(quán)力，打擊隱蔽性較強的涉及船岸網(wǎng)絡(luò)的職務(wù)犯罪。

以某航運企業(yè)為例，2018年初由公司領(lǐng)導(dǎo)牽頭與某船級社聯(lián)合成立了船岸網(wǎng)絡(luò)信息安全專項課題組，針對公司船岸網(wǎng)絡(luò)的特殊性制定了一套通用船舶網(wǎng)絡(luò)安全管理體系，并在超大型集裝箱船試行《船舶網(wǎng)絡(luò)信息安全實施指南（征求意見稿）》和相關(guān)配套制度，如《船舶網(wǎng)絡(luò)信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設(shè)置規(guī)范》《船舶網(wǎng)絡(luò)信息安全員崗位職責(zé)》《船員網(wǎng)絡(luò)信息安全應(yīng)知手冊》等。此外，還對試點船舶就域控服務(wù)器（解決內(nèi)網(wǎng)信息審計問題）、KMS激活服務(wù)器（解決操作系統(tǒng)、辦公軟件授權(quán)問題）、自建CA授權(quán)機構(gòu)頒發(fā)數(shù)字證書（解決SHA256數(shù)據(jù)加密問題）、某開源局域網(wǎng)遠程管理軟件以及等級保護一體機硬件部署（解決病毒庫、補丁庫離線升級問題）等項目進行技術(shù)驗證，為下一步推廣應(yīng)用船岸網(wǎng)絡(luò)信息安全課題研究成果奠定了良好基礎(chǔ)。

第8篇：信息安全審核制度范文

以來，我鎮(zhèn)在縣委、縣政府的正確領(lǐng)導(dǎo)下，在縣信息中心的幫助和指導(dǎo)下，認(rèn)真按照市、縣關(guān)于電子政務(wù)工作的總體部署和要求，加強對電子政務(wù)的建設(shè)與管理，取得了一定的成效。現(xiàn)將我鎮(zhèn)電子政務(wù)工作自查情況報告如下：

一、主要工作及成效

（一）組織及制度建設(shè)情況。一是領(lǐng)導(dǎo)重視，機構(gòu)健全。我鎮(zhèn)高度重視電子政務(wù)工作，成立了以鎮(zhèn)長任組長、鎮(zhèn)相關(guān)部門負(fù)責(zé)人為成員的鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)鎮(zhèn)電子政務(wù)工作，研究決定鎮(zhèn)電子政務(wù)建設(shè)中的重大問題。領(lǐng)導(dǎo)小組辦公室設(shè)在鎮(zhèn)黨政綜合辦公室，并指定2名懂電腦操作、保密意識強的黨政綜合辦公室成員具體負(fù)責(zé)信息更新及網(wǎng)絡(luò)維護等日常工作，形成了機構(gòu)健全、分工明確、責(zé)任到人的良好工作格局。二是制定制度，按章辦事。根據(jù)市、縣文件要求，制定了電子政務(wù)工作各項管理制度及維護制度，包括專人維護、文件審核簽發(fā)等制度。三是加強培訓(xùn)，提高素質(zhì)。有計劃地組織各類運行維護人員進行電子政務(wù)系統(tǒng)應(yīng)用有關(guān)知識、技能的培訓(xùn)，并按縣信息中心要求參加各類培訓(xùn)，切實提高了各類運行維護人員的素質(zhì)，確保系統(tǒng)正常運轉(zhuǎn)使用。

（二）網(wǎng)絡(luò)和信息安全情況。一是加強網(wǎng)絡(luò)運行維護工作。加強網(wǎng)絡(luò)運行維護隊伍建設(shè)，進一步充實網(wǎng)絡(luò)運行維護人員，鎮(zhèn)直各部門均確定1名兼職網(wǎng)絡(luò)信息管理員，負(fù)責(zé)及時提供和審核本部門信息內(nèi)容。同時按照縣安全管理要求，制定和完善了我鎮(zhèn)電子政務(wù)安全保密措施，落實安全保密工作責(zé)任制，要求網(wǎng)絡(luò)運行維護人員及時將異常情況上報至縣信息中心。全年未發(fā)現(xiàn)網(wǎng)絡(luò)異常。二是切實做好信息安全工作。安裝了專門的殺毒、殺木馬軟件，互聯(lián)網(wǎng)出口處部署了防火墻、日志審計等安全系統(tǒng)，有效防范了病毒、木馬、黑客等網(wǎng)絡(luò)攻擊，確保了信息和網(wǎng)絡(luò)運行安全。三是開展不定期檢查。我鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組不定期對電子政務(wù)工作辦公室的環(huán)境安全、設(shè)備安全、信息安全、管理制度落實情況等內(nèi)容進行檢查，對存在的問題及時進行糾正，消除安全隱患。

（三）政務(wù)平臺應(yīng)用推廣情況。已經(jīng)應(yīng)用全縣政務(wù)統(tǒng)一平臺開展網(wǎng)上協(xié)同辦公，及時收發(fā)公文和相關(guān)信息，積極開展公文網(wǎng)上起草、登記、簽批、歸檔等日常工作，基本實現(xiàn)同全市其他政府機關(guān)網(wǎng)上協(xié)同辦公。

二、存在的困難和不足

雖然我鎮(zhèn)電子政務(wù)工作取得了一定的成效，但還存在一些困難和不足之處，主要體現(xiàn)在：一是辦公電腦設(shè)備陳舊老化，只有一臺已經(jīng)使用6年、內(nèi)存256m的電腦專門用于電子政務(wù)。二是機關(guān)工作人員年齡偏大，計算機知識程度不高，培訓(xùn)沒有完全跟上。三是信息未能完全做到及時更新，電子政務(wù)管理、使用有待于進一步加強。

三、下一步改進措施

（一）積極爭取財政資金支持。積極爭取上級部門資金支持，更新或配備電腦等必要的辦公設(shè)備。

（二）努力提高業(yè)務(wù)素質(zhì)。加強宣傳教育，進一步提高全鎮(zhèn)人員對電子政務(wù)的認(rèn)知水平和責(zé)任意識，積極組織人員參加全縣電子政務(wù)培訓(xùn)，為電子政務(wù)的有效實施奠定更加堅實的基礎(chǔ)。

第9篇：信息安全審核制度范文

證券業(yè)是無紙化的行業(yè)，證券業(yè)務(wù)完全是依賴信息系統(tǒng)完成的。中國證券市場從誕生、發(fā)展到現(xiàn)在僅僅十幾年時間，但由于技術(shù)起點高，中國證券業(yè)的信息化建設(shè)已達到了較高水平。

隨著我國證券業(yè)信息化的加速建設(shè)，信息系統(tǒng)規(guī)模越來越大，信息資產(chǎn)急劇增加，如何對這些資產(chǎn)進行有效管理，對其實施不同級別的安全保護將是證券業(yè)面臨的巨大挑戰(zhàn)。同時，信息系統(tǒng)內(nèi)部采集、存儲、傳輸、處理的信息量越來越大，對證券信息系統(tǒng)及其網(wǎng)絡(luò)的依賴性更強，必須保證數(shù)據(jù)的安全采集、安全存儲、安全傳輸和安全處理。來自互聯(lián)網(wǎng)的威脅、網(wǎng)上交易潛在的威脅等都是值得我們關(guān)注的問題。

中國銀河證券是國內(nèi)大型券商之一，全國有167家營業(yè)部，分布在全國56個城市，客戶達到300多萬?？上攵?，銀河證券的信息系統(tǒng)也是十分龐大的。因此，銀河證券的信息安全保障工作也是十分艱巨的。

構(gòu)建安全體系

目前，銀河證券的安全保障體系已經(jīng)初步建立并在不斷完善中。公司已經(jīng)制定并了總體的安全策略文件。公司的信息安全體系文件是信息安全工作的內(nèi)部“法規(guī)”、實際工作的標(biāo)準(zhǔn)、內(nèi)部培訓(xùn)和審核的依據(jù)。信息安全體系建設(shè)過程中文件的創(chuàng)建工作是十分艱巨的，所以制定適合公司實際情況的信息安全體系文件是重點工作。策略文件包含建立信息安全體系的方針與目標(biāo)文件、風(fēng)險評估方法描述文件、文件控制程序、內(nèi)部審核程序等文件。相關(guān)文件都應(yīng)符和相應(yīng)的標(biāo)準(zhǔn)。

信息安全體系是一個“人工系統(tǒng)”，需要組織管理才能運行。在安全組織體系建設(shè)中，銀河證券建立了信息安全管理機構(gòu)――信息安全工作領(lǐng)導(dǎo)小組。信息安全工作由主管公司信息系統(tǒng)的公司領(lǐng)導(dǎo)負(fù)責(zé)，工作小組由信息技術(shù)中心領(lǐng)導(dǎo)牽頭，成員由各部門指定人員組成，形成了高層、中層、操作層的層次化管理。管理機構(gòu)負(fù)責(zé)定義信息安全體系方針和目標(biāo)、定義風(fēng)險評估方法、創(chuàng)建體系文件、執(zhí)行風(fēng)險評估、制定風(fēng)險處理計劃、選擇和實施控制措施、評審及改進等工作。

在信息安全體系建設(shè)的技術(shù)層面上，銀河證券已具有了相當(dāng)?shù)募夹g(shù)實力。IDS、防病毒、補丁分發(fā)、網(wǎng)絡(luò)加固、監(jiān)控系統(tǒng)、垃圾郵件網(wǎng)關(guān)等技術(shù)的應(yīng)用很好地保證了信息系統(tǒng)的安全。另外，公司聘請信息安全顧問服務(wù)提供廠商，提供7×24小時信息安全解決方案和應(yīng)急服務(wù)。通過廠商的專業(yè)服務(wù)銀河證券信息安全工作得到很大改觀。

信息安全制度的實施十分關(guān)鍵，公司管理機構(gòu)高度重視，加大了執(zhí)行力度，并且計劃將績效考核與員工對相關(guān)制度的執(zhí)行情況掛鉤。同時，公司計劃通過內(nèi)部審核等手段來評估、完善相關(guān)制度。

集中管理與分散交易

銀河證券在信息安全保證體系建設(shè)中注重對關(guān)鍵業(yè)務(wù)系統(tǒng)的高等級保護。

首先，對公司所有的信息資產(chǎn)進行徹底清查，為公司資產(chǎn)的等級化劃分及制定、實施相應(yīng)的保護策略提供了第一手資料，可以說這是對公司信息資產(chǎn)實施等級保護的基礎(chǔ)工作。

第二，公司正在實施大集中項目建設(shè)。目前由于歷史的原因，公司的業(yè)務(wù)模式一直是以營業(yè)部為中心運營，各營業(yè)部采用不同的軟硬件平臺和交易系統(tǒng)，客戶的交易數(shù)據(jù)全放在營業(yè)部，客戶的股票和資金全部由營業(yè)部自行管理，每個營業(yè)部直接將客戶的委托上報交易所。應(yīng)該講，這種業(yè)務(wù)模式在市場發(fā)展的初級階段是合理的、有效的。但隨著證券市場業(yè)務(wù)多樣化、監(jiān)管規(guī)范化，市場競爭更加激烈，這種模式的弊端就日益顯現(xiàn)出來，特別是這種模式存在資源分散、重復(fù)建設(shè)、安全漏洞和系統(tǒng)風(fēng)險大、缺乏行之有效的管理和監(jiān)控手段等問題。

證券公司的IT系統(tǒng)是推動業(yè)務(wù)轉(zhuǎn)型、推動客戶服務(wù)的重要基石，建立集約化管理、集中式證券交易系統(tǒng)已經(jīng)成為業(yè)界共同的目標(biāo)。

銀河證券大集中交易總體目標(biāo)是實現(xiàn)“集中管理、分散交易”。在總部設(shè)立集中的業(yè)務(wù)管理中心，承擔(dān)所有營業(yè)部的業(yè)務(wù)管理、清算等職能。營業(yè)部剝離管理功能，形成以委托交易、營銷服務(wù)為主的交易通道功能。

采用這種方案不僅實現(xiàn)了銀河這樣大型證券公司大集中交易的各項目標(biāo)，同時又不受客戶規(guī)模的影響，出現(xiàn)故障時能把損失減少到最小。各個交易中心可以在和總部通信中斷的情況下，不影響進行本地委托交易。某個交易中心的故障不會影響到其他交易中心。簡單地說，就是前臺僅負(fù)責(zé)實時交易，后臺負(fù)責(zé)統(tǒng)一清算、統(tǒng)一賬戶管理、統(tǒng)一客戶管理、第三方存管等工作。

通過大集中項目，將公司的核心數(shù)據(jù)集中到總部統(tǒng)一管理，這樣不僅做到了核心資產(chǎn)的集中管理和監(jiān)控，同時也做到了風(fēng)險控制點的集中管理，而且公司的集中模式并不會因為集中帶來更大的風(fēng)險。這樣就突出了公司最核心的等級保護級別，從而制定了針對此核心保護級別的保護策略。

實現(xiàn)兩網(wǎng)分離

另外，公司還實施了兩網(wǎng)分離項目。在項目實施之前，辦公網(wǎng)和業(yè)務(wù)網(wǎng)沒有分開，辦公網(wǎng)主機的問題很容易影響到業(yè)務(wù)網(wǎng)，例如辦公網(wǎng)的主機感染病毒，就很容易影響業(yè)務(wù)主機。同時沒有一個統(tǒng)一的IP地址規(guī)劃，一旦病毒等問題出現(xiàn)，就很難快速地對病毒做控制，因為即使針對的是同一項業(yè)務(wù)，也不能做統(tǒng)一的策略，必須對各個營業(yè)部分別采取措施，這需要花費大量的時間，而且不易實施，往往在控制病毒的同時也將一些正常的業(yè)務(wù)控制住了，影響了正常的業(yè)務(wù)開展。

公司的業(yè)務(wù)網(wǎng)是公司的核心網(wǎng)絡(luò)，它的安全等級要比辦公網(wǎng)高得多，所以通過將業(yè)務(wù)網(wǎng)和辦公網(wǎng)分離，實施對業(yè)務(wù)網(wǎng)更高的保護級別達到保障公司關(guān)鍵業(yè)務(wù)的安全穩(wěn)定運行。這樣，當(dāng)公司辦公網(wǎng)出現(xiàn)問題時，不會影響到業(yè)務(wù)網(wǎng)，而一旦業(yè)務(wù)網(wǎng)出現(xiàn)問題，可以切換到辦公網(wǎng)，保證業(yè)務(wù)運行。通過兩網(wǎng)分離，加強了業(yè)務(wù)網(wǎng)的安全性，同時在連接辦公網(wǎng)的路由器上可以增加訪問控制列表，使?fàn)I業(yè)部的辦公網(wǎng)只能訪問總部的辦公網(wǎng)，如果營業(yè)部的辦公主機想訪問本營業(yè)部的業(yè)務(wù)網(wǎng)，可以通過中間件來進行。

項目實施后，完全達到了項目的要求，有利于公司根據(jù)兩網(wǎng)的不同特征制定不同的策略，實現(xiàn)不同的安全級別，從而使公司業(yè)務(wù)網(wǎng)達到了更高的保護級別，使業(yè)務(wù)系統(tǒng)運行更加穩(wěn)定、安全，防止辦公網(wǎng)的問題影響業(yè)務(wù)網(wǎng)。同時在實施過程中，通過及時調(diào)整業(yè)務(wù)網(wǎng)和辦公網(wǎng)的劃分及訪問控制列表，達到了持續(xù)改進的目的。

鏈接：何為風(fēng)險評估？

風(fēng)險評估是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認(rèn)安全風(fēng)險及其大小的過程，即利用適當(dāng)?shù)娘L(fēng)險評估工具，包括定性和定量的方法，確定信息資產(chǎn)的風(fēng)險等級和優(yōu)先風(fēng)險控制順序。

在風(fēng)險評估中，考慮的主要因素包括: 信息資產(chǎn)及其價值、對這些資產(chǎn)的威脅、它們發(fā)生的可能性、薄弱點、已有的安全控制措施等。