前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全應急管理制度主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全應急管理制度范文

專項治理行動要堅持“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，各部門各單位負責本部門的政府網(wǎng)站及下屬網(wǎng)站自查并接受市、區(qū)檢查。

二、組織領導及分工

為保障本次專項治理行動扎實推行，成立政府網(wǎng)站安全漏洞專項治理行動領導小組，組長由副區(qū)長谷云彪同志擔任，成員由區(qū)科技和信息化委員會、公安分局、區(qū)保密局分管領導組成。領導小組下設辦公室，辦公室設在區(qū)科技和信息化委員會。各有關部門要明確分管領導和具體人員，按照全區(qū)部署做好專項治理。具體分工：

專項治理行動由區(qū)科信委牽頭，公安分局、區(qū)保密局、區(qū)政府各部門共同承擔。

（一）區(qū)科信委:負責本次專項治理行動的總體組織、協(xié)調工作。負責檢查網(wǎng)站信息安全管理情況，組織檢查網(wǎng)站的軟硬件環(huán)境及風險漏洞等。

（二）公安分局：負責檢查網(wǎng)站中被敵對勢力攻擊的情況，包括被敵對勢力攻擊、竊取信息等，并進行相應處理。

（三）區(qū)保密局：負責檢查網(wǎng)站信息內容的安全保密情況，并進行相應處置。

（四）各部門各單位：負責檢查本單位所屬門戶網(wǎng)站、業(yè)務網(wǎng)站及下屬單位網(wǎng)站的安全情況，并接受市、區(qū)檢查。

三、檢查范圍及重點

本次檢查范圍主要是接入互聯(lián)網(wǎng)的政府網(wǎng)站，包括區(qū)政府門戶網(wǎng)站、業(yè)務網(wǎng)站及各單位門戶網(wǎng)站。檢查的重點內容：

（一）網(wǎng)站安全漏洞排查

重點進行網(wǎng)頁腳本檢測、網(wǎng)站掛馬情況檢測、網(wǎng)站架構安全檢測、服務器主機檢測、網(wǎng)絡邊界設備檢測。

（二）安全防護措施落實情況

信息安全員是否到位，是否經(jīng)過相關專業(yè)培訓，是否具有合格的信息安全防護技能，是否熟練掌握已有信息安全防護設備的使用方法和配置調試。

網(wǎng)站安全防護設備包括網(wǎng)頁防篡改、防病毒、防攻擊等是否安裝到位，賬戶和口令的管理措施，操作系統(tǒng)、應用軟件、病毒防護軟件的補丁升級，網(wǎng)站域名安全管理措施等是否嚴格執(zhí)行。

（三）信息安全管理制度落實情況

網(wǎng)站信息安全管理制度包括網(wǎng)站安全管理制度、網(wǎng)站信息安全通報制度、信息審核登記制度、網(wǎng)站服務器機房管理制度、網(wǎng)站值班制度、安全責任追究制度等的建立和落實情況。

（四）應急響應機制建設情況

網(wǎng)站信息安全突發(fā)事件應急預案制定、演練、落實情況，應急技術支援隊伍建設情況，重大信息安全事故處置情況，網(wǎng)站重要數(shù)據(jù)和系統(tǒng)的災難備份情況等。

（五）網(wǎng)站安全漏洞治理情況

對網(wǎng)站設備設施、防范措施、安全制度等方面存在的漏洞和薄弱環(huán)節(jié)的分析排查情況，研究和制定整改措施等情況。

四、工作任務和時間安排

（一）各部門自查階段：今年月中旬。

各部門針對全區(qū)檢查出來的問題進行研究分析，拿出解決辦法，于月日反饋科信委。同時對本部門下屬單位網(wǎng)站安全情況進行檢查梳理，對發(fā)現(xiàn)的問題及時進行整改。

（二）全區(qū)整改階段：今年月下旬。

由區(qū)科信委會同有關單位針對檢查結果，采取架設軟硬件設備、修改開發(fā)系統(tǒng)、實行全區(qū)集中管理等辦法，配合各部門對網(wǎng)站漏洞進行整改，同時指導各單位建立管理制度。

（三）迎接全市檢查階段：今年月

保障本單位網(wǎng)站安全穩(wěn)定運行，迎接市有關單位組織的安全檢查工作。

五、要求

（一）各單位要充分認識開展政府網(wǎng)站安全漏洞專項治理工作的極端必要性，切實加強組織領導。各負其責，把本次專項治理工作抓出成效。

（二）各單位要制定完備的網(wǎng)站信息安全管理制度和應急響應機制，落實安全人員和責任。對檢查中發(fā)現(xiàn)的管理和技術漏洞，要積極采取措施，進行配置和升級、加裝網(wǎng)站保護設備、及時堵塞漏洞，消除安全隱患。從長遠考慮，有條件的單位招聘選拔具有專業(yè)知識的工作人員管理網(wǎng)站。

第2篇：信息安全應急管理制度范文

相關熱搜：信息安全  網(wǎng)絡信息安全  信息安全技術

論文首先簡要概述了信息安全防護存在的問題，并以信息系統(tǒng)安全等級保護制度為指南，結合單位現(xiàn)狀、需求和發(fā)展方向，提出了“人防、物防、技防、制防”四防并重的安全防護體系，并搭建一體化的信息安全管理平臺，保障信息安全資源的最優(yōu)利用，最大可能實現(xiàn)重要業(yè)務的可持續(xù)性。

 

1 引言

 

現(xiàn)在隨著企業(yè)發(fā)展越來越依賴信息化，信息化已成為各單位發(fā)展的重要技術支撐和必要工作手段，同時也是實現(xiàn)可持續(xù)化發(fā)展和提高競爭力的重要保障。然而在信息化帶來便捷的同時，網(wǎng)絡與信息系統(tǒng)安全風險也在增加，尤其是移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術的應用帶來了信息安全方面新的嚴峻挑戰(zhàn)。與此同時，信息系統(tǒng)的安全防護水平在技術與管理等方面仍處于較低水平，因此落后的安全防護與新技術快速應用之間的矛盾，成為阻礙企業(yè)信息化發(fā)展的主要阻力之一。

 

2 信息安全防護存在的問題

 

盡管信息化發(fā)展迅速，然而由于在建設初期缺乏統(tǒng)一頂層設計和總體策劃，諸如不同建設時期、不同需求導向、不同開發(fā)工具、不同系統(tǒng)架構技術路線等建設而成的網(wǎng)絡與信息系統(tǒng)形成了異構、復雜的系統(tǒng)狀態(tài)，因此企業(yè)信息系統(tǒng)存在基礎設施落后、網(wǎng)絡建設各自為政，缺乏有效數(shù)據(jù)交換手段，造成的利用率不高、缺乏終端安全防護措施和完善的計算機入網(wǎng)監(jiān)管手段以及防病毒和防木馬的意識薄弱等諸多問題。

 

同時信息化建設是隨著需求的改變不斷發(fā)展變化的，信息安全防護也是一個動態(tài)的體系，這就決定了任何技術或手段都不可能一次性地解決信息安全防護中的所有問題，想要打破以前，重新統(tǒng)一規(guī)劃信息化基礎設施和安全體系建設，以提升信息化基礎支撐能力和信息系統(tǒng)安全運行能力的想法也難以實現(xiàn)。如何在現(xiàn)有復雜異構的信息系統(tǒng)中，建立一個涵蓋信息化各層面的安全防護體系，及時有效地保障當前的信息安全是亟待解決的難題。

 

3 信息安全防護體系

 

信息安全防護體系是由信息系統(tǒng)、信息安全技術、人、管理、操作等元素有機結合，能夠對信息系統(tǒng)進行綜合防護，保障信息系統(tǒng)安全可靠運行，保障信息的“保密性、完整性、可用性、可控性、抗抵賴性”。傳統(tǒng)的信息安全防護只限于技術防護手段上，普遍重技術、輕管理，甚至有的單位還存在以事故推動的現(xiàn)象。本文以信息系統(tǒng)安全等級保護制度為指南，結合單位現(xiàn)狀、需求和主營業(yè)務發(fā)展方向，并根據(jù)安全等級保護要求以及安全體系特點，從人員、物理設施、安全技術、管理制度四個方面，建立一套適合自身建設規(guī)范與信息安全管理規(guī)范的安全防護體系，突出“人防、物防、技防、制防”四防并重特點，并以安全等級保護制度和該安全防護體系搭建信息安全管理平臺，實現(xiàn)安全管理的信息化、流程化與規(guī)范化。

 

3.1 物理安全

 

物理安全主要包括基礎設施、環(huán)境及安全防護設備等方面，重點做好主機房等場所設施的安全防范工作，例如采用室內監(jiān)控技術、用戶訪問登記以及自動報警系統(tǒng)等記錄用戶登錄及其訪問情況，方便隨時查看。此外，對于主機房以及重要信息存儲設備來說，要通過采用多路電源同時接入的方式，保障電源的可持續(xù)供給，以防因斷電造成安全威脅。

 

3.2 人員安全

 

人員安全主要是指建立適合自身各級系統(tǒng)的領導組織機構與責任部門，明確崗位設置與職責，完善培訓制度，如圖1所示，加強從業(yè)人員的信息安全教育，增強從業(yè)人員的信息安全等級保護意識。通過定期組織培訓、業(yè)務交流、技術考核等多種方式，不斷強化各類人員信息安全和風險防范的觀念，樹立信息安全等級保護的意識，確保在日常運行維護和應急處置過程中，能夠將各類資源優(yōu)先集中在等級保護級別更高的系統(tǒng)。

 

3.3 安全技術

 

信息安全等級保護工作的核心是對信息系統(tǒng)分等級實行安全保護，對信息安全產(chǎn)品實行按等級管理，對發(fā)生的事情按等級分類并進行相應處置。根據(jù)信息系統(tǒng)級別的差異，有效規(guī)劃安全產(chǎn)品布局，在信息系統(tǒng)中正確地配置其安全功能，通過身份鑒別、自主訪問控制、強制訪問控制、安全審計、完整性和保密性保護、邊界防護、惡意代碼防范、密碼技術應用等主要技術保護措施確保網(wǎng)絡、主機、應用和數(shù)據(jù)的安全性。同時，制定相應的應急處置預案、應急協(xié)調機制，建立安全監(jiān)測和災難恢復機制，落實信息系統(tǒng)安全監(jiān)測、災難備份措施，并不斷梳理完善系統(tǒng)的運維監(jiān)控體系和應急處置方案，確保各類信息安全資源能夠按照信息系統(tǒng)等保的級別合理分配，優(yōu)先監(jiān)控和保障級別高的信息系統(tǒng)安全穩(wěn)定運行。

 

3.4 管理制度

 

管理制度主要包括安全策略、安全技術規(guī)范、安全操作指南、系統(tǒng)建設、安全管理、運維、安全檢查與評估、應急響應等方面，同時將信息系統(tǒng)的定級、備案、測評、整改等工作納入流程管理機制，確保等級保護工作常態(tài)化和制度化。

 

4 信息安全管理平臺

 

本文以等級保護制度與安全防護體系作為基礎，信息安全管理為主線，搭建信息安全管理平臺，從而實現(xiàn)信息安全管理過程清晰，管理過程中的信息高度集成、統(tǒng)一、規(guī)范、可追溯、可視化、安全管理工作流程化、規(guī)范化。

 

信息安全管理平臺包含信息應用管理平臺、信息安全管理平臺和基礎設施管理平臺，主要涉及機房安全管理、網(wǎng)絡安全管理、系統(tǒng)運行維護管理、系統(tǒng)安全風險管理、資產(chǎn)和設備管理、信息安全建設管理、數(shù)據(jù)及信息安全管理、用戶管理、安全監(jiān)測管理、信息安全評估管理、備份與恢復管理、應急處置管理、密碼管理、安全審計管理等功能模塊，平臺架構如圖2所示。

 

通過信息安全管理平臺，規(guī)范安全保護設施的建設，實現(xiàn)在規(guī)劃新建、改建、擴建信息系統(tǒng)時同步完成對系統(tǒng)的等級保護定級工作，同時按照預定的等保級別規(guī)劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應;加強信息安全評估管理，定期開展等級測評工作，開展風險評估工作。在評估過程中將信息系統(tǒng)安全等級保護工作與單位的信息安全基線工作相結合，把信息系統(tǒng)等級保護工作中發(fā)現(xiàn)的安全隱患和需整改的問題，納入信息安全基線的范圍，通過本單位信息安全基線的定期評估和整改，逐步提升重要信息系統(tǒng)的安全保障能力水平。

 

信息安全防護是一項不斷發(fā)展變化的過程，只有充分熟悉信息安全等級保護制度的基礎，對系統(tǒng)正確的定級，準確的風險評估，才能實現(xiàn)信息系統(tǒng)安全持續(xù)的建設和運維。

 

5 結束語

 

本文簡要介紹了現(xiàn)有信息安全防護存在的問題，并以信息系統(tǒng)安全等級保護制度為指南，結合單位現(xiàn)狀、需求和主營業(yè)務發(fā)展方向，建立“人防、物防、技防、制防”四防并重的安全防護體系，搭建一體化的信息安全防護管理平臺，通過等級保護制度，不斷完善優(yōu)化運維管理機制，保障信息安全資源的最優(yōu)利用，最大可能實現(xiàn)重要業(yè)務的可持續(xù)性。

第3篇：信息安全應急管理制度范文

【關鍵詞】信息安全；電力企業(yè)；防護措施

前言

當前，電力企業(yè)在生產(chǎn)運行過程中離不開信息技術的支持，尤其是電力企業(yè)在建立了復雜的數(shù)據(jù)網(wǎng)和信息網(wǎng)后，信息技術的在電力企業(yè)中的地位日益提高，同時，信息安全也影響著電力企業(yè)的生產(chǎn)經(jīng)營。

1電力網(wǎng)絡和信息安全管理的主要內容

電力網(wǎng)絡和信息安全管理主要包括三方面的內容：①安全策略；②風險管理；③安全教育。具體淺析如下：

1.1安全策略

信息安全策略根據(jù)企業(yè)規(guī)模、安全需求和業(yè)務發(fā)展的不同而不同，但是都具有簡單易懂、清晰通俗的特點，由高級管理部門制定并形成書面文字，屬于企業(yè)安全的最高方針，廣泛到企業(yè)所有員工手中。

1.2風險管理

評估威脅企業(yè)信息資產(chǎn)的風險，首先事先假定風險可能會給企業(yè)帶來的風險和損失，然后再通過各種手段，如：風險的規(guī)避、風險的轉嫁、降低風險和接受風險等多種方法為相關部門提供網(wǎng)絡和信息安全的對策建議。

1.3安全教育

所謂安全教育，就是對直接關聯(lián)企業(yè)安全生產(chǎn)的人員進行的教育活動，其對象是安全策略執(zhí)行人員，具體來說就是與安全工作相關的技術人員、管理人員和客戶，并對其進行安全培訓，讓其了解和掌握信息安全對策。安全管理是企業(yè)管理的重要內容，必須引起企業(yè)領導層的高度重視，切實將安全相關教育納入到企業(yè)文化的組成中，確保信息安全管理的有效執(zhí)行。

2電力企業(yè)信息化發(fā)展的特征

隨著我國電力企業(yè)信息化的發(fā)展，與其他企業(yè)相比，在網(wǎng)絡信息安全方面具有以下優(yōu)勢特征。

2.1信息化基礎設施完善

經(jīng)過多年的發(fā)展，電力企業(yè)的信息化建設與其他行業(yè)的信息化建設水平相比，具有明顯的比較優(yōu)勢，進程相對領先，各個部門工作中計算機的使用率為100%，電力企業(yè)局域網(wǎng)覆蓋率90%以上。

2.2營銷管理系統(tǒng)廣泛應用

電力企業(yè)的營銷管理系統(tǒng)經(jīng)過多年的研究探索已基本建成，實現(xiàn)了用電管理信息化、業(yè)務受理計算機化，并建立了相應的客戶服務中心。

2.3生產(chǎn)、調度自動化系統(tǒng)應用熟練

電力企業(yè)信息化建設的重點是提高電網(wǎng)運行質量和電力調度的自動化水平，現(xiàn)階段，從電力企業(yè)發(fā)展的自動化水平上來看，其生產(chǎn)已基本達到國際先進水平。

2.4管理信息系統(tǒng)的建設逐步推進

電力企業(yè)積極建設管理信息系統(tǒng)，開發(fā)了設備、生產(chǎn)、電力負荷、安全監(jiān)督、營銷管理等信息系統(tǒng)，并將企業(yè)信息化建設放到重要位置，利用信息化推動企業(yè)現(xiàn)代化發(fā)展。

3電力企業(yè)網(wǎng)絡和信息安全管理中存在的問題

電力企業(yè)網(wǎng)絡和信息安全管理雖然具有以上優(yōu)勢特征，但同樣還是存在一定的問題，具體如下：

3.1信息化機構建設不完善

部分電力企業(yè)還未設置專門的信息部門，信息科室有的在科技部門下，有的在綜合部門下，缺乏規(guī)范的制度與崗位設置，這種情況下，勢必會影響到網(wǎng)絡和信息安全的管理工作。

3.2網(wǎng)絡信息安全管理未成為企業(yè)文化的一部分

電力網(wǎng)絡信息貫穿于生產(chǎn)的全過程，涉及到電力生產(chǎn)的各層面，但是仍然處于從屬地，沒有納入電力企業(yè)安全文化建設中，進而影響到安全管理的實施力度。

3.3企業(yè)管理革新跟不上信息化發(fā)展的步伐

電力企業(yè)管理革新與信息技術的發(fā)展與應用相比還較為滯后，企業(yè)不能及時的引入先進的管理與業(yè)務系統(tǒng)，導致企業(yè)信息系統(tǒng)不能發(fā)揮預期的作用。

3.4網(wǎng)絡信息安全存在風險

電力企業(yè)網(wǎng)絡信息安全與一般企業(yè)網(wǎng)絡信息相比，有共同點，也有自自身的特殊性，實踐中必須認真分析研究，具體表現(xiàn)為：①網(wǎng)絡的結構不夠合理，電力網(wǎng)絡建設要求，網(wǎng)絡建設要區(qū)分外網(wǎng)和內網(wǎng)，且內外部網(wǎng)絡要保持物理隔離，但是部分電力企業(yè)的核心交換機選擇不合理，導致在網(wǎng)絡中所有網(wǎng)絡用戶的地位是平等的，因而很容易出現(xiàn)安全問題。②企業(yè)內部風險，由于企業(yè)內部網(wǎng)絡管理人員對于企業(yè)的網(wǎng)絡信息結構與系統(tǒng)應用十分熟悉，一旦泄漏重要信息，就會帶來致命的信息安全威脅。③現(xiàn)階段互聯(lián)網(wǎng)使用存在的風險，目前很多電力企業(yè)的網(wǎng)絡已經(jīng)與互聯(lián)網(wǎng)發(fā)生了關系，一些客戶甚至可以直接訪問電力系統(tǒng)的網(wǎng)絡資源，在提供方便之門的同時也要高度關注其可能帶來的信息安全和計算軟硬件安全風險。④網(wǎng)絡管理專業(yè)技術人員帶來的風險，主要是網(wǎng)絡管理人員的素質風險，現(xiàn)階段電力企業(yè)的網(wǎng)絡建設還存在重建輕管，重技輕管的問題。出現(xiàn)了諸如專業(yè)技術人員綜合素質不高，一些安全管理制度不健全、落實不夠有力、安全意識不強、管理員配備不當?shù)韧{到電力企業(yè)網(wǎng)絡信息安全性的問題。⑤計算機病毒侵害，計算機病毒的擴散速度快，網(wǎng)絡一旦感染病毒，整個電力網(wǎng)絡系統(tǒng)就會處于崩潰的狀況。⑥系統(tǒng)出現(xiàn)的安全風險，這方面主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及內部各種應用軟件系統(tǒng)等存在的風險，這些系統(tǒng)很容易導致外界的攻擊，一些黑客采取專業(yè)手段可以很輕易獲取管理員權限，實施拒絕服務攻擊。

4電力企業(yè)網(wǎng)絡和信息安全管理對策

4.1建立健全網(wǎng)絡和信息安全管理組織架構

網(wǎng)絡和信息安全管理實行統(tǒng)一領導、分級管理原則，企業(yè)的決策層組成領導小組，由企業(yè)各部門的管理者作為安全小組的管理層。網(wǎng)絡和信息安全管理實行專業(yè)化管理，包含信息安全規(guī)劃、信息安全監(jiān)督審計、信息安全運行保障等職能小組。

4.2構建網(wǎng)絡和信息安全管理體系框架

在網(wǎng)絡信息安全模型與電力信息化的基礎上，科學構建網(wǎng)絡和信息安全管理體系框架，主要區(qū)分信息安全策略、安全運行、安全管理、安全技術措施四個模塊，

4.3建立網(wǎng)絡信息安全防護對策，合理劃分安全域

網(wǎng)絡信息安全防護實行雙網(wǎng)雙機管理，分為信息內網(wǎng)和信息外網(wǎng)，內外網(wǎng)采用獨立的服務器及桌面終端，通過邏輯強隔離裝置隔離內外網(wǎng)。按照業(yè)務類型進行安全區(qū)域劃分為邊界、網(wǎng)絡、主機、應用四個層次，實現(xiàn)不同區(qū)域防護的差異化及獨立性。對于網(wǎng)絡安全的核心區(qū)域必須實施重點安全防范，比如該區(qū)域的服務器、重要數(shù)據(jù)、數(shù)據(jù)庫服務器，一般用戶無法直接訪問，安全級別高。電力企業(yè)內部計算機和網(wǎng)絡技術的應用，劃分為管理信息區(qū)和生產(chǎn)控制區(qū)，建立電力調度數(shù)據(jù)網(wǎng)專用網(wǎng)絡，采用不同強度的安全設備隔離各安全區(qū)，數(shù)據(jù)的遠方安全傳輸采取加密、認證、訪問控制等技術手段，實現(xiàn)縱向邊界的整體安全防護。

4.4網(wǎng)絡信息安全管理制度建設

為確保電力企業(yè)網(wǎng)絡信息安全，必須做好網(wǎng)絡信息安全管理制度建設，具體要做好以下幾個方面的內容：①建立計算機資產(chǎn)管理制度、網(wǎng)絡使用管理制度、健全變更管理制度，對資產(chǎn)進行標識和管理，執(zhí)行密碼使用管理制度。②實施信息的安全分級保護舉措，依據(jù)國家相關規(guī)定，開展網(wǎng)絡信息系統(tǒng)審批、定級、備案工作，嚴格執(zhí)行等級保護制度，嚴格保密核心程序和數(shù)據(jù)。③做好網(wǎng)絡信息安全運行保障管理，對信息系統(tǒng)設備實行規(guī)范化管理，及時升級防病毒軟件，嚴格系統(tǒng)變更，及時報告信息系統(tǒng)事故情況，分析原因并落實整改。④建立病毒防護體系，安裝的防病毒軟件必須具有遠程安裝、遠程報警、集中管理等多種功能，不可將來歷不明或是隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)在聯(lián)網(wǎng)計算機上使用，一旦發(fā)現(xiàn)病毒的存在，員工應熟練掌握發(fā)現(xiàn)病毒后的處置辦法。

4.5信息安全技術保障舉措

為切實有效的落實信息安全防護要求，必須根據(jù)信息安全等級防護制度落實好“分級、分區(qū)、分域”的防護策略，從而更有效的落實信息安全防護預案，根據(jù)信息系統(tǒng)定級水平，實施強邏輯隔離措施，做好安全區(qū)域的隔離和劃分工作。

4.6規(guī)范企業(yè)人員的管理

規(guī)范人員管理首要的是用制度管好人：①企業(yè)高層應以身作則，這樣員工才可以遵循信息安全管理的要求，由于高層掌握著企業(yè)更多的信息資源，密級也高，一旦出現(xiàn)泄漏，會給企業(yè)帶來更大的損失。②對于關鍵崗位人員管理要尤其重視，比如：開發(fā)源代碼人員，直接接觸商業(yè)機密的人員，從事信息安全管理的人員，需要進行嚴格管理，定期檢查，避免出現(xiàn)“堡壘從內部突破”的機會。③對于離職人員這個群體也不可忽視，必須做好離職人員信息安全審計工作，離職前，必須要求其變更其訪問權限，與接手人員一起清點和交接好信息資產(chǎn)，避免信息泄漏事件的發(fā)生。④加強與供應商和合作伙伴信息安全的管理，在日常的交流中嚴格遵守規(guī)定，不得隨意公開和透露相關信息。

4.7做好對企業(yè)信息資產(chǎn)管理分析

依據(jù)信息資產(chǎn)價值，實現(xiàn)根據(jù)載體性質不同、形式不同、來源不同做好資產(chǎn)的識別，提高企業(yè)勞動生產(chǎn)率，強化信息資產(chǎn)觀念，樹立企業(yè)良好形象。全面、系統(tǒng)、科學的管理信息資產(chǎn)，完善資產(chǎn)管理手段。利用信息資產(chǎn)資源使生產(chǎn)力要素保值增值，推動信息資產(chǎn)共享共建，實現(xiàn)實現(xiàn)外源信息資產(chǎn)的再增值，信息資產(chǎn)的再創(chuàng)新。4.8建立信息安全應急保障機制有風險的地方就要有應急預案，對于電力企業(yè)網(wǎng)絡信息安全尤其應該如此，要不斷健全電力企業(yè)信息安全預案，確保設備、人力、技術等應急保障資源切實可用，要加強系統(tǒng)的容災建設，建立恢復和備份管理制度，妥善保存相關的備份記錄。

5結束語

電力網(wǎng)絡信息安全與企業(yè)的生產(chǎn)經(jīng)營管理密切相關，電力企業(yè)網(wǎng)絡信息安全涉及到技術與管理，無論是硬件還是軟件出現(xiàn)問題都會威脅到整個網(wǎng)絡系統(tǒng)，電力企業(yè)網(wǎng)絡信息安全管理涉及到人、硬件設備、軟件、數(shù)據(jù)等多個環(huán)節(jié)，所以其必須著眼整個電力企業(yè)的網(wǎng)絡信息系統(tǒng)加強頂層建設，實施統(tǒng)一規(guī)劃，搞好統(tǒng)籌兼顧，建立一套完整的信息安全管理體系，切實做好安全防范工作，解決電力企業(yè)信息安全管理問題，才能確保電力信息系統(tǒng)安全、穩(wěn)定、可靠、高效地運行，有效避免安全問題的存在，保證電力企業(yè)的正常生產(chǎn)經(jīng)營。

參考文獻

[1]何雋文.電力企業(yè)網(wǎng)絡和信息安全管理策略思考[J].中國高新技術企業(yè)，2016，28.

[2]郭建，顧志強.電力企業(yè)信息安全現(xiàn)狀分析及管理對策[J].信息技術，2013，01.

[3]牛斐.電力企業(yè)網(wǎng)絡信息安全的防范措施[J].科技傳播，2012，16.

[4]吳青.淺析網(wǎng)絡信息安全管理在電力企業(yè)中的應用[J].中國新通信，2013，23.

[5]向繼東，黃天戊，孫東.電力企業(yè)信息網(wǎng)絡安全管理[J].電力系統(tǒng)自動化，2003，15.

第4篇：信息安全應急管理制度范文

關鍵詞：數(shù)字化；信息安全；權限

信息科學技術發(fā)展助推檔案信息數(shù)字化進程，在高效滿足用戶查檔需求中提高了檔案工作服務質量和工作效率，但同時檔案信息泄露、檔案數(shù)據(jù)丟失、涉密文件被竊取等問題也愈發(fā)凸顯，給檔案信息安全帶來了嚴峻挑戰(zhàn)，在一定程度上削弱了檔案信息化建設工作成效。推進檔案信息化建設是適應新時代要求的必然選擇，也是順應檔案事業(yè)發(fā)展新趨勢的必然要求。我們要清晰地認識到，當下電子化檔案數(shù)量日益激增趨勢對保障檔案信息安全提出了更高要求，分析檔案信息數(shù)字化過程中面臨哪些風險挑戰(zhàn)，從實際出發(fā)，分析如何應對現(xiàn)存問題、規(guī)避化解潛在信息安全風險，是當下檔案界亟需解決的緊迫性課題。

一、檔案信息安全面臨的挑戰(zhàn)

目前，我國檔案信息化建設有了一定成就，在提高檔案管理、檔案服務指導、檔案資源化利用等方面取得了積極進展，但在發(fā)展過程中也暴露出不少信息安全問題，在一定程度上影響了檔案信息化建設質量和成效。當前，我國檔案信息安全面臨的風險主要表現(xiàn)在：

1.檔案信息在保管不當中泄露檔案在保管過程中面臨著信息泄露的風險，主要體現(xiàn)在：一是檔案工作人員對保障檔案信息安全的重要性認識不到位，重視不夠，尤其是對涉密文件缺乏安全保密意識，將一般文件與涉密文件混放，對查檔人員的查閱文件是否涉密未做細致甄別和區(qū)別管理，由此存在敏感文件信息外泄隱患，威脅著檔案信息安全；二是檔案工作人員專業(yè)素養(yǎng)參差不齊，尤其是非科班出生人員保密意識不足，另外在檔案人才隊伍中專職保密工作人員配置不足，使得檔案在收集—歸檔—保管—利用環(huán)節(jié)中出現(xiàn)檔案信息泄露現(xiàn)象；三是實體檔案面臨著被損毀的風險。實體檔案在搬運、拆卷歸類、反復查閱中因與設備接觸、人員拿捏不當、存儲環(huán)境發(fā)生變化等原因可能導致存在不同程度的磨損、遺失、失真。

2.檔案信息通過網(wǎng)絡漏洞泄露隨著電子檔案在線查閱功能上線，網(wǎng)絡安全漏洞成為檔案信息泄露的因素之一，主要體現(xiàn)在：一是檔案管理軟件程序存在缺陷，更新不及時，容易受到病毒入侵、黑客攻擊，一旦敏感信息或涉密文件泄露，后果不堪設想；二是網(wǎng)絡安全監(jiān)管存在漏洞，數(shù)字化檔案需要利用網(wǎng)絡平臺對檔案數(shù)據(jù)進行著錄、信息處理和遷移轉存，往往因缺乏完善的網(wǎng)絡安全監(jiān)管技術，造成檔案信息通過網(wǎng)絡傳播泄露的現(xiàn)象；三是檔案數(shù)據(jù)上傳和下載過程中面臨著數(shù)據(jù)缺失、信息失真的風險。一些檔案數(shù)據(jù)存儲在云環(huán)境中，由于云環(huán)境中的設備和網(wǎng)絡布局十分復雜，數(shù)據(jù)在計算、存儲、傳輸?shù)拳h(huán)節(jié)中存在不少安全隱患，若云環(huán)境突然中斷處理，則會影響檔案信息的正常訪問和傳輸，從而降低了檔案信息的準確度。

3.檔案信息在管理制度不健全中泄露一是問責機制不健全，管理制度內容空泛、隨意性大、執(zhí)行力和約束力不夠，檔案工作人員責任心和使命感不強，在檔案信息保管、數(shù)字化處理和利用過程中隨意性很強，不利于檔案信息安全；二是監(jiān)督機制缺失或不完善，信息化時代下查檔工作主要在計算機檔案管理系統(tǒng)中完成，尤其是對外公開的檔案查閱平臺，查閱人員眾多，若缺乏對查檔人員的查閱軌跡進行跟蹤和分析，在系統(tǒng)有漏洞的情況下發(fā)生檔案信息泄露情況很難進行追溯和追責。

二、提升檔案信息安全水平的對策

針對當前我國檔案信息安全面臨的潛在風險，從基本實情出發(fā)，結合工作實際，應在完善存儲安全防范措施、健全檔案信息安全管理制度、引用先進技術保護檔案信息安全、強化檔案信息識別能力等方面下功夫，開創(chuàng)“人防、物防、技防”三位一體的檔案信息安全工作新局面。

1.完善存儲安全防范措施完善的安全防范措施是確保檔案信息安全的第一道防火墻。因此，需要在檔案管理系統(tǒng)中打牢防范基礎。第一，要勤殺病毒。檔案信息管理系統(tǒng)必須安全殺毒軟件并及時更新，設置定期病毒掃描程序，修復系統(tǒng)漏洞，防止病毒對系統(tǒng)構成破壞；第二，要設置用戶訪問權限保護信息。對訪問用戶按照一般用戶、系統(tǒng)操作員、系統(tǒng)管理員不同級別逐一設置訪問權限，可公開的文件可向一般用戶開放，需要審批或涉密文件則由系統(tǒng)管理員審核按照相關規(guī)定提供查閱；第三，要定期做好數(shù)據(jù)遷移。檔案存儲載體多樣，不同載體保存檔案的有效期限存在差異，對需長期保存的檔案應結合其存儲載體制訂靈活的存儲策略，跟進存儲技術發(fā)展步伐做好檔案數(shù)據(jù)遷移和轉存；第四，要建立檔案信息安全評估體系，安全專業(yè)人士組建檔案信息安全評估小組，對檔案保存環(huán)境安全狀況做全方位、系統(tǒng)化檢查，評估潛在的風險等級指數(shù)，并對可能發(fā)生的風險制定應急預案；第五，要強化檔案信息管理人員信息安全意識和責任意識，加強思想政治教育和保密意識培養(yǎng)，建立安全責任制度，避免出現(xiàn)意識不到位或操作不當導致檔案信息泄露。

2.健全檔案信息安全管理制度健全的安全管理制度是保障檔案信息安全的基礎。因此，應改進當下管理制度中存在的不足。第一，制定檔案信息管理規(guī)章制度。一方面防止不法分子采用惡劣手段篡改檔案信息；另一方面確保工作人員遵章辦事，保護檔案信息的真實性和完整性；第二，建立檔案信息系統(tǒng)安全監(jiān)測機制，由信息運行系統(tǒng)自動對用戶訪問的每個階段進行跟蹤監(jiān)測，包括用戶身份、訪問文件信息、訪問時間、訪問狀態(tài)等，一旦出現(xiàn)敏感信息泄露即發(fā)生報警信號。同時，系統(tǒng)管理員根據(jù)跟蹤軌跡檢查分析是否有危險檔案信息安全性的行為，結合實際情況實時更新預警參數(shù)，完善安全檢測機制；第三，建立信息安全日常管理制度。落實日常信息安全管理制度是最大限度將安全風險降到最低的重要手段之一，檔案管理部門從工作實際出發(fā)，細化工作細則，明確工作流程，將安全意識和盡責行為貫穿到檔案信息安全日常管理的每個環(huán)節(jié)，避免安全問題發(fā)生。

3.引用先進技術保護檔案信息安全技術是保護檔案信息安全的重要手段之一，應進一步提高技術保障檔案安全的科技含量。第一，采用加密技術提升檔案信息安全性。根據(jù)檔案信息的重要程度劃分安全級別并進行加密處理，由特定人員管理權限，為確保檔案信息的保密性和安全性，訪問用戶需經(jīng)管理員審核通過后輸入密碼或口令才能讀取數(shù)據(jù)；第二，采用數(shù)據(jù)冗余技術保障檔案信息原始數(shù)據(jù)的完整性。為防止病毒入侵、黑客攻擊對檔案原始數(shù)據(jù)造成致命性破壞，電子化檔案在形成初期應采用數(shù)據(jù)冗余技術將信息存貯在多個硬盤中，一旦其中一個硬盤出現(xiàn)問題，其它硬盤數(shù)據(jù)可作為備份替換；第三，配置安全技術人員，定期對檔案信息網(wǎng)絡環(huán)境進行監(jiān)控、巡邏、檢測，及時排查非法訪問行為，一經(jīng)發(fā)現(xiàn)異?，F(xiàn)象及時報告啟動應急預案，防治檔案信息遭到非法入侵、竊取和篡改，從而有效保護檔案信息安全。

4.強化檔案信息識別能力快速、準確、高效識別出檔案信息是規(guī)避檔案信息泄露風險的重要方法，應在檔案保管、人才培養(yǎng)等方面增強檔案信息識別能力。第一，對檔案進行歸類和編碼是快速定位檔案的有效手段，能為檔案信息風險評估工作提供路徑，進而對管理檔案風險程度進行評估，找到信息風險源頭，及時規(guī)避和化解風險；第二，要重視對檔案管理人員風險意識培養(yǎng)，制訂檔案信息化管理統(tǒng)一標準，通過教育培訓、實操演練等方式，增強其及時處理和預防風險的能力，能夠在總結工作經(jīng)驗中快速識別風險源，將風險帶來的損失降到最低。

第5篇：信息安全應急管理制度范文

一、成立校園網(wǎng)絡安全組織機構

組 長：

副組長：

成 員：

二、建立健全各項安全管理制度

我校根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《教育網(wǎng)站和網(wǎng)校暫行管理辦法》等法律法規(guī)制定出了適合我校的《校園網(wǎng)絡安全管理辦法》，同時建立了《鹿馬中學校園網(wǎng)絡安全應急預案》，《鹿馬中學校園網(wǎng)日常管理制度》，《鹿馬中學網(wǎng)絡信息安全維護制度》等相關制度。除了建立這些規(guī)章制度外，我們還堅持了對我校的校園網(wǎng)絡隨時檢查監(jiān)控的運行機制，有效地保證了校園網(wǎng)絡的安全。

三、嚴格執(zhí)行備案制度

學校機房堅持了服務于教育教學的原則，嚴格管理，完全用于教師和學生學習計算機網(wǎng)絡技術和查閱與學習有關的資料，沒有出現(xiàn)出租轉讓等情況。

四、加強網(wǎng)絡安全技術防范措施，實行科學管理

我校的技術防范措施主要從以下幾個方面來做的：

1.安裝了防火墻，防止病毒、不良信息入侵校園網(wǎng)絡、Web服務器。

2.安裝殺毒軟件，實施監(jiān)控網(wǎng)絡病毒，發(fā)現(xiàn)問題立即解決。

3.及時修補各種軟件的補丁。

4.對學校重要文件、信息資源、網(wǎng)站數(shù)據(jù)庫做到及時備份，創(chuàng)建系統(tǒng)恢復文件。

五、加強校園計算機網(wǎng)絡安全教育和網(wǎng)管人員隊伍建設

目前，我校每位領導和部分教師都能接入因特網(wǎng)，在查閱資料和進行教學和科研的過程中，我校學校領導重視網(wǎng)絡安全教育，使教師們充分認識到網(wǎng)絡信息安全對于保證國家和社會生活的重要意義，并要求信息技術教師在備課、上課的過程中，有義務向學生滲透計算機網(wǎng)絡安全方面的常識，并對全校學生進行計算機網(wǎng)絡安全方面的培訓，做到校園計算機網(wǎng)絡安全工作萬無一失。

六、我校定期進行網(wǎng)絡安全的全面檢查

我校網(wǎng)絡安全領導小組每學期初將對學校微機房、領導和教師辦公用機及學校電教室的環(huán)境安全、設備安全、信息安全、管理制度落實情況等內容進行一次全面的檢查，對存在的問題要及時進行糾正，消除安全隱患。

第6篇：信息安全應急管理制度范文

【關鍵詞】外匯 信息安全 風險 保障措施

近年來，國家外匯管理局加大了信息化建設步伐，信息系統(tǒng)已基本替代了手工操作用于處理外匯管理日常工作，在外匯監(jiān)管與服務的過程中發(fā)揮著越來越重要的作用，外匯業(yè)務信息系統(tǒng)的安全正常運行已成為外匯局開展業(yè)務開展的前提，任何一個環(huán)節(jié)的信息系安全管理缺失，都可能給外匯管理工作帶來嚴重的后果。

一、外匯信息系統(tǒng)和數(shù)據(jù)所面臨的風險

信息安全就是保護信息系統(tǒng)或信息網(wǎng)絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的保密性、完整性、可用性.可控性和平可否認性。

外匯管理信息系統(tǒng)和數(shù)據(jù)在采集、保存和使用等過程中存在諸多安全風險，例如硬盤損壞等物理環(huán)境風險，操作系統(tǒng)和網(wǎng)絡協(xié)議漏洞導致外匯信息數(shù)據(jù)被非法訪問、修改或惡意刪除，最終導致外匯信息喪失上述安全特性，從而影響了外匯業(yè)務的正常開展。本節(jié)僅結合外匯信息系統(tǒng)和數(shù)據(jù)實際情況，簡要介紹外匯信息常見的風險。

（一）電子設備存在軟件和硬件故障風險

外匯信息系統(tǒng)在運行過程往往會面臨硬件設備發(fā)生故障，軟件系統(tǒng)出現(xiàn)運行錯誤的風險，例如服務器電源設備老化、硬盤出現(xiàn)壞道無法讀寫、軟件崩潰、通訊網(wǎng)絡故障等問題。上述問題是外匯信息系統(tǒng)實際運維過程中最為常見風險源。

（二）人為操作風險

因人為操作外匯信息系統(tǒng)產(chǎn)生的未授權的數(shù)據(jù)訪問和數(shù)據(jù)修改、信息錯誤或虛假信息輸入、授權的終端用戶濫用、不完整處理等。產(chǎn)生該類風險的原因是用戶安全意識淡薄，未授權訪問數(shù)據(jù)造成外匯信息泄漏，數(shù)據(jù)手工處理導致的錯誤或虛假信息，未授權用戶操作等行為都會造成信息系統(tǒng)安全性風險。實際外匯信息系統(tǒng)運行中，人為事件造成損失的概率遠遠大于其他威脅造成損失的。

（三）系統(tǒng)風險

一般所用的計算機操作系統(tǒng)以及大量的應用軟件在組織業(yè)務交流的過程中使用，來自這些系統(tǒng)和應用軟件的問題和缺陷會對一系列系統(tǒng)造成影響，特別是在多個應用系統(tǒng)互聯(lián)時，影響會涉及整個組織的多個系統(tǒng)。例如，部分系統(tǒng)具有維護困難、結構不完善、缺乏文檔和設計有漏洞等多個隱患，有時就會在系統(tǒng)升級和安裝補丁的時候引入較高的風險。

（四）物理環(huán)境風險

由于組織缺乏對組織場所的安全保衛(wèi)，或者缺乏防水、防火、防雷等防護措施，在面臨自然災難時，可能會造成極大的損失。

二、外匯信息安全基本準則和特性

外匯信息系統(tǒng)是一個以保障外匯業(yè)務系統(tǒng)正常運行的專用的信息系統(tǒng)，近年來在不斷加大信息科技方面投入、加快信息化建設的過程中得到了有效整合和完善。為有效應對外匯信息系統(tǒng)安全風險，科技部門應同步提升科技管理制度的完整性和執(zhí)行力度、管理精細化程度。制定外匯信息系統(tǒng)安全的具體保障措施之前，首先需要我們認清信息安全的基本準則和一些特性：

（一）信息安全短板效應

對信息系統(tǒng)安全所涉及的領域進行安全保護即全面構筑外匯管理信息安全保障工作，重點加強對安全洼地、薄弱環(huán)節(jié)的安全防護。

（二）信息安全系統(tǒng)化

信息系統(tǒng)安全其實是一項系統(tǒng)工程，要從管理、技術、工程等層面總體考量，全面保障外匯管理局信息系統(tǒng)安全。

（三）信息安全動態(tài)化

信息安全保障措施所防范的對象是一個動態(tài)變化的過程，所以信息系統(tǒng)也應該隨著內外部安全形勢的變化不斷改進。

（四）信息安全常態(tài)化

信息安全從時間角度看是一個長期存在的問題，只有在信息安全技術方面嚴格把握重點，綜合信息安全體系的可持續(xù)構建，才能保障外匯管理局信息系統(tǒng)安全。

（五）系統(tǒng)操作權責明確

信息系統(tǒng)安全的前提是要嚴格內部授權，劃分各崗位職責，如加大內控風險防范和控制。使各系統(tǒng)角色操作者權限形成相互制約的控制機制。

三、外匯信息安全保障應對措施

外匯信息安全工作應以信息系統(tǒng)所面臨的安全威脅依據(jù)，遵循基本準則，以信息基礎設施建設和安全管理制度為我切入點制定相應的防護措施。

（一）建立系統(tǒng)性的安全管理制度

安全管理制度要包括人員管理、資產(chǎn)管理、數(shù)據(jù)管理、網(wǎng)絡管理、運維管理、應急管理、事后審查等方面內容

（二）建立良好的網(wǎng)絡信息安全防護體系

從物理環(huán)境安全、網(wǎng)絡邊界安全、設備安全、應用系統(tǒng)安全以及數(shù)據(jù)安全等方面部署相關的安全防護設備和措施。

（三）定期進行信息安全教育培訓

因信息技術行業(yè)快速發(fā)展，信息安全形勢也在不斷變化，外匯管理局科技部門可定期對轄內外匯信息系統(tǒng)維護和操作人員進行信息系統(tǒng)安全培訓，更新安全知識。為了有效防范未知威脅和隱患，外匯管理局科技部門可對轄內定期開展信息系統(tǒng)安全檢查，確保外匯信息系統(tǒng)安全有效運行，保障外匯信息的可控、可用和完整性。

（四）開展信息系統(tǒng)安全風險評估，進一步做好系統(tǒng)等保工作

首先對外匯信息系統(tǒng)安全進行風險評估，根據(jù)評估識別威脅外匯信息系統(tǒng)安全的風險，作為制定、實施安全策略、措施的基礎，風險評估同時也是外匯信息系統(tǒng)安全等級保護的重要前提與依據(jù)。其次確定信息系統(tǒng)安全級別，根據(jù)級別的不同，實施對應的保護措施，啟動對應級別的安全事件應急響應程序。

（五）運用入侵檢測等技術，預防惡意攻擊

隨著技術發(fā)展，當前惡意攻擊手段呈現(xiàn)越來越隱蔽的趨勢，需要科技部門采用具有預警功能的技術手段來應對，如入侵檢測、數(shù)據(jù)挖掘等技術，通過分析歷史數(shù)據(jù)，發(fā)現(xiàn)當前安全措施的缺陷，及時糾正和預防內外部風險再次發(fā)生。

（六）完善監(jiān)督管理，實施信息安全自查與檢查相結合

查找現(xiàn)有信息化建設工作中的薄弱環(huán)節(jié)，井切實進行整改，建立良性的信息安全管理機制。開展信息安全檢查與自查是完善信息安全監(jiān)督管理工作的有效方式之一，其中信息安全檢查方案的設計是安全檢查的核心，科技部門需要根據(jù)外匯業(yè)務實際情況，將外匯管理局有關要求進行梳理完善，對相應風險點進行總結和歸納，科學設計了信息安全檢查方案。

參考文獻

[1]林國恩.信息系統(tǒng)安全[M].北京：電子工業(yè)出版社.2010

第7篇：信息安全應急管理制度范文

鐵路信息安全建設和運行必須結合鐵路信息化實際情況，從管理和技術兩個層面綜合保證鐵路信息系統(tǒng)的運行操作安全，保障鐵路信息系統(tǒng)及其安全基礎設施的運行安全，并最終保障鐵路運輸業(yè)務及運輸服務的安全。鐵路信息安全保障體系結構見圖1。管理和技術是鐵路信息安全保障體系的兩個要素，是保證鐵路信息系統(tǒng)及其所支撐的鐵路運輸業(yè)務和服務安全建設和運行的必要條件。在這兩個安全要素中，管理是核心，是基礎，它影響和決定技術的選擇以及技術標準規(guī)范；反過來，技術也會影響到信息安全管理方式和管理制度的具體形式，降低管理成本。在安全管理層面中，國家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設和安全運維的管理基礎；鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn)；鐵路信息安全組織保障是落實鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責基礎和人員保障；信息安全意識培養(yǎng)、培訓和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準確地落實和執(zhí)行的保證。管理安全保證不僅通過方針政策法規(guī)、組織保障、管理制度、意識培養(yǎng)培訓教育等形式直接對鐵路業(yè)務提供安全支持和保障外，還通過對信息安全技術的影響間接地保護鐵路業(yè)務安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術標準和規(guī)范的重要基礎，同時，它們也會對信息安全方案的設計、產(chǎn)品選擇和采購方式產(chǎn)生不同程度的影響。在安全管理控制下，只有具備安全資質的業(yè)務人員才可以在已經(jīng)獲得認證認可的技術手段支持下，執(zhí)行規(guī)定的操作流程；鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設、運維和災備恢復等活動的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎設施在安全生命周期中各主要階段的過程安全。鐵路信息系統(tǒng)由鐵路外部服務網(wǎng)、內部服務網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專網(wǎng)組成，鐵路的各種應用業(yè)務都直接運行在這些系統(tǒng)之上，為了更好地支撐這些業(yè)務系統(tǒng)的安全運行，支持鐵路統(tǒng)一的安全管理，在鐵路信息系統(tǒng)中還包括災備中心、數(shù)字證書系統(tǒng)、集中管理及認證授權中心等安全基礎設施系統(tǒng)或安全平臺，這些安全基礎設施及其所服務的鐵路應用業(yè)務系統(tǒng)的運行安全是鐵路運輸業(yè)務及服務正常安全運行的環(huán)境保障。

2安全保障體系要素

在鐵路信息系統(tǒng)中，無論是系統(tǒng)的建設、運行、災難恢復、事件處置等活動，還是其支撐的運輸業(yè)務和服務等系統(tǒng)目標，都離不開管理和技術兩個安全要素的綜合保證，其中管理是核心，在安全管理措施的控制下，只有具備安全資質的業(yè)務人員才可以在已經(jīng)獲得認證認可的技術手段支持下，執(zhí)行規(guī)定的操作流程。

2.1鐵路信息安全管理體系

鐵路信息安全管理體系必須以國家信息安全相關法規(guī)、政策和標準以及鐵路相關法規(guī)政策為基礎和依據(jù)。按照GB/T22239—2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》、GB/T22080—2008《信息技術安全技術信息安全管理體系要求》和GB/T22081—2008《信息技術安全技術信息安全管理實用規(guī)則》等國家標準和指南，結合我國鐵路實際情況，將鐵路信息安全管理體系劃分為11個安全控制類別，其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務、信息安全環(huán)境、設備使用、通信網(wǎng)絡、配置授權、安全事件處置、安全運維、安全合規(guī)和災備恢復等管理內容；在11個安全控制類別的基礎上，建立鐵路信息安全管理制度框架，如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問管理制度、人員安全培訓制度、機房管理制度、產(chǎn)品準入制度、系統(tǒng)運維制度、安全事件處理流程規(guī)定、介質管理制度、電子郵件使用管理規(guī)定、鐵路軟件開發(fā)管理流程規(guī)定等（見圖2）。

2.2鐵路信息安全技術框架

鐵路信息安全技術框架是鐵路信息安全保障體系的重要組成內容，主要包括安全管理、身份管理、授權管理、災備管理、監(jiān)控審計、可信保證等技術機制（見圖3）。管理安全是統(tǒng)領鐵路信息安全保障的綱領，綱舉才能目張，構建一個全路信息系統(tǒng)可視化管理平臺，以便對網(wǎng)絡、計算機設備、應用系統(tǒng)部署、操作用戶及角色、運維狀態(tài)等關鍵信息進行全局的監(jiān)控，提高對系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺、授權管理機制和責任認定構成的鐵路網(wǎng)絡信任管理體系是保障鐵路信息安全可信和安全的前提。全路災難備份和恢復策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務可持續(xù)性的后盾。以密碼技術為基礎的可信計算技術為軟硬件資源的安全和隔離提供了結構化保證，為計算環(huán)境的可信可靠（完整性）提供了有效的判別手段，為關鍵數(shù)據(jù)提供了可信安全存儲，為分布式計算的安全機制一致性和網(wǎng)絡接入控制提供了遠程可信證明方法?？尚庞嬎慵夹g是構建鐵路信息安全保障體系的基礎支撐。

2.3鐵路信息安全的組織保證

鐵路信息系統(tǒng)安全應該在組織上加以保證。在具體組織形式上應該由中國鐵路總公司（簡稱總公司）主管領導和部門具體負責鐵路信息安全的領導和組織工作，由相關專業(yè)職能部門分工協(xié)作，在鐵路信息化的整體工作布局中設置專門機構和崗位、明確相關職責、配備信息安全專業(yè)技術和管理人員，確保信息安全管理制度的有效落實和信息安全技術機制的可操作性。鐵路信息安全組織保證框架見圖4?？偣拘畔踩鞴懿块T應該包括以下職能機構：法規(guī)政策標準管理機構負責制定鐵路信息安全相關法規(guī)、政策、標準和規(guī)范，并負責鐵路業(yè)務應用密碼的管理工作；安全建設運維管理機構根據(jù)鐵路信息安全相關法規(guī)、政策、標準和規(guī)范，參與鐵路信息系統(tǒng)及其安全基礎設施的設計、開發(fā)和運維審核和監(jiān)管工作；信息安全風險管理機構負責對進入鐵路信息系統(tǒng)的相關產(chǎn)品進行測評認證，對運行系統(tǒng)進行安全監(jiān)控，負責信息系統(tǒng)的安全風險管理工作；安全事件處置管理機構負責對系統(tǒng)緊急事件進行處理，對輿情進行綜合分析，并根據(jù)事件性質和處理結果對事件進行通報；安全保密培訓服務中心負責全路的信息安全法律法規(guī)、政策標準、安全意識和安全技能的培訓提高工作，負責組織安排和協(xié)調社會力量以及高校等培訓機構具體實施常態(tài)化信息安全培訓工作；安全災備恢復管理機構負責重要信息系統(tǒng)的運行和數(shù)據(jù)備份實施工作，并在系統(tǒng)出現(xiàn)嚴重故障后，迅速協(xié)調相關部門恢復服務或業(yè)務數(shù)據(jù)，保障關鍵業(yè)務服務的運行連續(xù)性。各鐵路局（公司）應該參照總公司信息安全管理組織結構，設置相關部門或相關專職崗位，并有鐵路局（公司）領導具體分管信息安全工作。鐵路局（公司）信息安全工作應該在總公司統(tǒng)一組織、協(xié)調和安排下開展具體工作。

2.4鐵路信息系統(tǒng)安全基礎設施

鐵路信息系統(tǒng)必須依賴于鐵路網(wǎng)絡與信息安全基礎設施作為其安全支撐基礎。鐵路網(wǎng)絡與信息安全基礎設施不僅可以落實鐵路集中統(tǒng)一安全管理的要求，提高鐵路信息系統(tǒng)的安全水平，還能有效降低鐵路信息安全的建設和運維成本。鐵路信息安全基礎設施包括鐵路信息系統(tǒng)災備恢復中心、鐵路業(yè)務應用密碼管理中心、數(shù)字證書系統(tǒng)、集中安全管理及認證授權中心、安全監(jiān)控中心、安全隔離平臺、信息安全培訓平臺以及鐵路網(wǎng)絡輿情分析系統(tǒng)（見圖5）。鐵路信息系統(tǒng)災備恢復中心可以將由于系統(tǒng)重大故障或破壞帶來的業(yè)務中斷降低到最小程度，提高鐵路的服務水平；鐵路業(yè)務應用密碼管理中心是保護鐵路重要數(shù)據(jù)安全和業(yè)務安全的基礎保證，同時它也是全路統(tǒng)一信任體系的技術基礎；鐵路數(shù)字證書系統(tǒng)可以在全路范圍內建立統(tǒng)一的身份認證體系，提高鐵路的信息安全集中管理能力，降低安全管理成本；鐵路集中管理及認證授權中心通過全路集中的信息安全平臺實現(xiàn)高效、統(tǒng)一的安全管理，保證安全策略的快速一致化部署；鐵路信息系統(tǒng)安全監(jiān)控中心可以對鐵路信息系統(tǒng)的安全運行狀態(tài)進行監(jiān)控，掌握鐵路信息系統(tǒng)的運行態(tài)勢，從而實現(xiàn)在鐵路信息系統(tǒng)中防患于未然，有效降低系統(tǒng)安全風險；鐵路安全隔離平臺是隔離鐵路內部服務網(wǎng)和外部服務網(wǎng)的安全措施，它保證了鐵路安全生產(chǎn)網(wǎng)絡的正常運行；鐵路信息安全培訓平臺對保證提高鐵路員工的信息安全意識、培養(yǎng)安全素養(yǎng)極為重要，是人員安全的必要保證；鐵路網(wǎng)絡輿情分析系統(tǒng)對鐵路了解社會評價、改善鐵路社會化服務水平、提高鐵路形象至為關鍵。

2.5鐵路信息安全意識培養(yǎng)、培訓和教育管理

要搞好鐵路信息系統(tǒng)的信息安全管理，離不開相關人員的安全意識培養(yǎng)、技能培訓和專業(yè)教育。鐵路信息安全意識培養(yǎng)、培訓和教育分別針對不同層次和專業(yè)的人員而設。信息安全意識培養(yǎng)通過對信息安全術語、議題和基本概念的宣傳、宣導，吸引一般人群對信息安全的關注，幫助人們了解信息安全所關注的問題，并能因此產(chǎn)生正確的響應；信息安全培訓讓信息系統(tǒng)相關人員獲得相關的技能和必備的資質，使其在信息安全管理、設計、開發(fā)、建設、運維、操作、評估和使用等方面滿足與信息安全相關的崗位職能要求，培訓可以分為初級、中級和高級等多個層次；信息安全教育則從信息安全專業(yè)理論、技術、經(jīng)驗等方面培養(yǎng)信息安全專家，與信息安全培訓一樣，這種信息安全教育也應分為初級、中級和高級等多個層次。為降低信息安全意識培養(yǎng)、培訓和教育的管理和運作成本，鐵路信息安全資質認證也可以和國家其他部門的資質認證機構合作，對一些可信度高、有較高權威的信息安全資質證書采取等同認可方法。鐵路信息安全意識培養(yǎng)、培訓和教育管理框架見圖6。鐵路信息安全意識培養(yǎng)、培訓和教育管理可分為兩方面：一方面是針對全部相關人員的信息安全意識培養(yǎng)。安全意識培養(yǎng)是一個長期的宣傳和貫導工作，可以通過制度獎懲、危機教育、標語口號等方式建立普遍的信息安全概念，推廣信息安全文化；另一方面是針對崗位定義不同的信息安全資質要求，并這對這些資質要求建立相對應的信息安全技能和專業(yè)培訓、教育，為了滿足這些資質培訓教育工作，總公司必須建立相關的培訓和認證機制，設置相關的機構。

2.6系統(tǒng)流程及操作安全保證

系統(tǒng)流程和操作安全是指鐵路信息安全建設、運維和災備恢復等活動的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎設施在安全生命周期中主要階段的過程安全。在鐵路信息安全建設和運行過程中，要制定并依托相關的鐵路網(wǎng)絡與信息安全管理制度、技術標準規(guī)范和組織部門機構，對系統(tǒng)的安全設計、產(chǎn)品測評準入、安全工程等過程進行安全管控，從根本上杜絕系統(tǒng)在結構上的安全缺陷、嚴防不合規(guī)的產(chǎn)品進入系統(tǒng)、保證系統(tǒng)建設施工的安全規(guī)范；在鐵路信息系統(tǒng)的日常運行過程中，也必須建立系統(tǒng)風險監(jiān)控、評估和控制的管理和技術體系，通過專業(yè)專職的機構和部門，對系統(tǒng)的安全狀態(tài)進行實時監(jiān)控、對系統(tǒng)安全風險進行定期或不定期的評估；對安全事件進行預案規(guī)劃、演練和應急處置，避免重大安全事件的發(fā)生；對系統(tǒng)服務或重要數(shù)據(jù)實施安全災備，最大程度地減少系統(tǒng)故障帶來的鐵路運輸業(yè)務和服務中斷時間，減小風險后果。鐵路信息安全建設、運維和災備恢復流程見圖7。

3結束語

第8篇：信息安全應急管理制度范文

關鍵詞：企業(yè)；檔案；安全；體系

1 概述

檔案安全是檔案工作的底線和紅線，事關黨和國家的根據(jù)利益。檔案安全體系是“三個體系”建設的根本保障，是順應黨和國家的方針政策和檔案事業(yè)發(fā)展規(guī)律而產(chǎn)生的實踐體系，是我國檔案事業(yè)的重要組成部分。加強檔案安全體系建設，對于維護黨和國家的歷史記憶、推動檔案事業(yè)發(fā)展、服務全面建成小康社會具有十分重要的意義。

2 企業(yè)檔案安全體系的內涵

企業(yè)檔案安全體系是確保檔案實體和信息安全的基礎設施齊備、各項制度完善、整理操作規(guī)范的系統(tǒng)工程。企業(yè)檔案安全體系建設包含三個層面：一是確保檔案實體的安全，不損毀、不丟失；二是確保檔案信息的安全，不失密、不泄密；三是確保檔案的完整齊全并盡量延長檔案實體和信息的保存時限。

3 企業(yè)檔案安全體系建設存在的問題

3.1 人員安全意識薄弱

檔案安全往往被當作僅是辦公室或檔案室的責任，忽視各部門的主體責任。部分人員對檔案安全工作的重要性和必要性認識不足，在收集、整理、利用環(huán)節(jié)，歸檔不全、把關不嚴、傳輸隨意，對檔案實體的保護、信息的保密意識欠強。

3.2 建設缺乏整體規(guī)劃

頂層設計時沒有系統(tǒng)化、統(tǒng)籌安排，沒有納入到企業(yè)的信息化系統(tǒng)建設，制定單項制度或系統(tǒng)時，缺乏一定的操作性和其他系統(tǒng)的兼容性，換版或升級未綜合考慮各方因素，檔案安全系統(tǒng)建設缺乏前瞻性。

3.3 防護設施欠完備

檔案庫房設計欠規(guī)范，檔案室選址欠科學，室內設施設備欠完整?；A設施投入不足，部分單位沒有專門設備存放特種載體檔案、實物檔案，沒有溫度濕度控制、火災報警、監(jiān)控等系統(tǒng)。

3.4 安全技術措施簡單

對檔案信息的內容安全層、訪問安全層、傳輸安全層、環(huán)境安全層技術管理手段簡單，存在一定的漏洞，監(jiān)控力度不夠。數(shù)據(jù)備份機制不夠完善、備份方式單一。

3.5 管理制度執(zhí)行不嚴

制定了系列檔案安全建設制度，但對執(zhí)行情況未進行考核和檢查，使得制度執(zhí)行力度大打折扣，未執(zhí)行或部分執(zhí)行的現(xiàn)象時有發(fā)生。或者雖有考核，但沒有獎罰措施，嚴重影響到制度的嚴肅性和執(zhí)行力。

4 企業(yè)檔案安全體系發(fā)展策略

檔案安全工作要整體規(guī)劃、統(tǒng)籌安排、科學實施。采取“三位一體、三維覆蓋、三措并舉”的檔案安全“三三策略”，切實加強檔案安全體系建設，確保檔案實體和信息安全，在確保完整性的基礎上延長檔案的保存時限。

4.1 安全防范“三位一體”，堅持根本抓人防、夯實基礎抓物防、注重創(chuàng)新抓技防

（1）堅持根本抓人防：檔案安全的最大保障是人的責任。一是樹立科學的檔案信息安全觀，加強對檔案信息安全主體、檔案信息安全內容、檔案信息安全方式認識的綜合。二是開展全員檔案安全教育培訓，切實提高人員的安全意識和工作責任感。三是推進素質提升工程，培育具備檔案專業(yè)知識和安全信息處理能力復合型人才。

（2）夯實基礎抓物防：檔案室是保障檔案安全的物質基礎。一是庫房要落實“八防”即防盜、防光、防高溫、防火、防潮、防塵、防鼠、防蟲措施。二是加大基礎投入資金，確保檔案安全基礎設施到位。三是加大科技應用，提升安全保密技術，建立完善監(jiān)控系統(tǒng)、消防滅火系統(tǒng)、溫濕度控制系統(tǒng)。四是堅持實行定期保潔、檢查制度，每月進行消防檢查，每季度徹底進行一次衛(wèi)生大清掃，每年進行庫房年度檔案盤查。

（3）注重創(chuàng)新抓技防。一是通過數(shù)據(jù)加密技術確保內容的安全；二是主要通過身份認證技術、訪問控制技術等手段確保訪問的安全；三是通過防火墻技術、入侵檢測技術、網(wǎng)絡隔離技術等手段確保傳輸?shù)陌踩凰氖沁\用電磁輻射防護技術確保環(huán)境的安全，不讓竊取方接受到信息輻射的信號和復原出有關的真實信息。五是學以致用，不斷把先進的科技應用到企業(yè)檔案安全建設中。

4.2 安全監(jiān)管“三維覆蓋”：檔案室內安全與室外安全并軌，實體安全與信息安全并重，線上安全與線下安全并舉

（1）檔案室內安全與室外安全并軌。一是加強檔案室內的查閱監(jiān)控和銷毀控制，未經(jīng)領導審批同意，檔案原件不得外借，未經(jīng)檔案銷毀領導小組審批，不得私自銷毀檔案。二是預防為主，前移安全防線，加強主動防范，確保源頭檔案收集工作的完整性、多樣性，內容豐富、種類齊全。三是加強利用環(huán)節(jié)的安全保密工作，室內檔案不隨意破壞、不私自加工，內容不隨意傳播、不私自上傳網(wǎng)絡，不得將未經(jīng)審批的檔案信息進個人網(wǎng)絡宣傳。

（2）實體安全與信息安全并重：一是實施定期檢查制度，由專人負責定期對實體和信息檔案狀態(tài)進行檢查，采用“消號”式進行整改處理。二是加強重點檔案搶救修復工作，及時加固易碎、易裂的檔案，及時除霉去污霉變檔案，定期轉存聲像檔案。三是重視檔案信息安全工作，落實數(shù)據(jù)采集、數(shù)據(jù)傳輸、存諸處理、分析應用等各環(huán)節(jié)保障網(wǎng)絡和信息安全工作，加強網(wǎng)絡安全監(jiān)控力度，確保檔案信息安全。

（3）線上安全與線下安全并舉：一是全面梳理平臺漏洞，真正發(fā)揮非網(wǎng)功能，確保檔案的安全。二是加強信息中心機房重地管理工作，無關人員不得進入機房，確需進入要進行人員登記。嚴格管理接入硬件設備介質，在操作系統(tǒng)中安裝殺毒軟件，定期掃描系統(tǒng)漏洞。三是加強登記備份推進工作，做到多位置保存數(shù)據(jù)及數(shù)據(jù)完整性恢復能力。

4.3 安全保障“三措并舉”：加強制度體系建設，加強安全條件保障，加強安全風險管控

（1）加強制度體系建設。管理制度是保障檔案信息安全的重要措施。建立健全計算機和信息系統(tǒng)、人員安全管理、信息系統(tǒng)運行環(huán)境安全管理等制度，嘗試推行安全信息審計、安全追責等制度，強化制度執(zhí)行的剛性、管理的柔性，增強制度規(guī)范的可操作性。

（2）加強安全條件保障：一是調撥檔案安全管理專項經(jīng)費，加強檔案室、檔案設施設備、檔案信息系統(tǒng)建設，為安全提供硬件和軟件上的基礎和技術保障。二是實施責任清單和移交清單，特別關注特殊時期的檔案接收工作，特別涉及到機構變動、人員調整時的檔案移交。三是加強對檔案安全工作的審計，對因人為因素造成的檔案安全問題，要進行及時整改和處罰，由此引發(fā)的檔案安全事故，要堅決追責。同時也要積極獎勵優(yōu)秀的檔案管理人員，形成人人抓安全、事事重安全、時時保安全的工作氛圍。

（3）加強安全風險管控：定期進行風險評估，制定可行的應急預案。一是明確響應和處置的范圍、制定安全應急處理流程，實施應急處理方法。二是定期不定時對應急預案進行演練，加強應急預案的實際可操作性。三是在安全事件報告和響應處理過程中，分析原因，記錄過程，總結教訓，制定防止再次發(fā)生的補救措施。

參考文獻

[1]劉蕓.完善安全體系加強風險監(jiān)管[J].中國檔案，2016，7.

[2]李玉紅.檔案安全體系建設中存在的問題及對策[J].檔案管理，2014（06）.

第9篇：信息安全應急管理制度范文

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源，對于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機，網(wǎng)絡開展，因此，企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術手段以及制度改革，把更多的注意力放在企業(yè)內部的信息安全管理工作，同時將企業(yè)信息安全管理與風險控制結合起來，這是一個正確的選擇，能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。

企業(yè)的信息安全管理包含十分豐富的內容，簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件，保護網(wǎng)絡存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡安全技術、計算機技術、密碼技術、通信技術。從企業(yè)的信息安全管理來講，最為關鍵的一項工作時保護企業(yè)內部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結，企業(yè)信息安全不僅僅需要信息技術的支持，更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。

所以，怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)。企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對企業(yè)的信息進行風險預估，并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險，從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內容。第一，建立企業(yè)信息安全風險管理制度，明確企業(yè)信息安全管理的責任分配機制，明確企業(yè)各個部門對各自信息安全所應承擔的責任，并建立相應的問責機制。第二，設置規(guī)范的企業(yè)信息安全風險管理指標，對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級，方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三，企業(yè)要加強對信息安全管理人員的培訓，提高企業(yè)信息安全管理工作人員的風險意識，讓企業(yè)內部從事信息安全管理工作人員認識到自身工作的重要性，讓企業(yè)內部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責的重要性。第四，將企業(yè)信息安全管理與風險控制有效融合，重視企業(yè)信息安全管理工作，通過風險控制對企業(yè)內部信息安全的管理方式進行正確評估，找出現(xiàn)行的企業(yè)內部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質不高

對于企業(yè)來說，企業(yè)信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業(yè)信息安全管理工作人員的素質要求。但是根據(jù)調查統(tǒng)計，目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術要求上，對企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風險意識并沒有嚴格要求。此外，絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質的教育培訓，并沒有通過建立相關管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督，這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術不過關

企業(yè)信息安全管理工作涉及多許多技術，包括信息技術，計算機技術，密碼技術，網(wǎng)絡應用技術等等，應當說成熟的計算機應用技術是做好企業(yè)信息安全管理的基礎，但是，現(xiàn)實是許多企業(yè)的信息安全管理技術并不過關，一方面企業(yè)的信息安全管理硬件并不過關，在物理層面對企業(yè)信息缺乏保護，另一方面，企業(yè)信息安全管理工作的專業(yè)技術沒有及時更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗，企業(yè)信息安全管理的知識也并沒有及時更新，從而導致企業(yè)的信息安全管理理論嚴重滯后，這種技術的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡病毒的傳播越來越猖狂，很多服務器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè)，企業(yè)內部設備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一，企業(yè)員工對于信息安全管理的認識嚴重不足，對企業(yè)信息安全管理工作不重視。企業(yè)內部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業(yè)內部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關，認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內部信息安全管理制度并沒有形成聯(lián)動機制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領導對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術手段

1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構，它的設計初衷是面向客戶的，提供給客戶各種安全應用，安全應用必須依靠安全服務來實現(xiàn)，而安全服務又是由各種安全機制來保障的。所以，安全服務標志著一個安全系統(tǒng)的抗風險的能力，安全服務數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態(tài)網(wǎng)絡安全循環(huán)過程，必須制定一個企業(yè)的安全模式。在安全策略的指導下實施所有的檢測、防護、響應，防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態(tài)響應的判斷依據(jù)，同時也是有力落實安全策略的實施工具，通過監(jiān)視來自網(wǎng)絡的入侵行為，可以檢測出騷擾行為或錯誤程序導致的網(wǎng)絡不安全因素；經(jīng)過不斷地監(jiān)測網(wǎng)絡和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中，應急響應占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關鍵的參與者，企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強調對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術防范的基礎上，HTP模式采取了豐富的安全技術手段確保企業(yè)的信息安全。最后，HTP強調動態(tài)管理，動態(tài)監(jiān)督，對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理，在實際工作中，通過HTP模型的應用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設企業(yè)信息安全管理系統(tǒng)

（1）充分調查和分析企業(yè)的安全系統(tǒng)，建立一個全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個子系統(tǒng)，明確實施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合，實現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

（3）設計優(yōu)良的人機界面，通過對企業(yè)數(shù)據(jù)信息進行有效的運用，為企業(yè)管理階層人員、各級領導及時提供各種信息，為企業(yè)領導的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡化企業(yè)內部的信息傳輸通道，對應用程序和數(shù)據(jù)庫進行程序化設計，加強對提高企業(yè)內部信息處理的規(guī)范性和準確性。

2.設計企業(yè)信息安全管理風險體系

（1）確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設計過程中，首要工作是設計企業(yè)信息安全風險評估的目標，只有明確了企業(yè)信息安全管理的目標，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度，才能順利通過對風險控制的結果的定量考核，檢測企業(yè)信息安全管理的風險，定性定量地企業(yè)信息安全管理工作進行分析，找準企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的，因此，對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法，其中，不同企業(yè)對于能夠承受的信息安全風范圍有所不同，企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此，企業(yè)的信息安全風險評估范圍也應當根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。