前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全事件报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、高度重视食品药品安全突发事件信息报告工作
改革开放以来,我国食品药品产业发展迅猛,但由于市场发育不成熟,当前食品药品安全仍处于风险高发期和矛盾凸显期,各类食品药品安全突发事件时有发生。有效预防和处置各类食品药品安全突发事件,关系人民群众的生命财产安全,关系社会稳定,关系经济社会发展全局。及时、准确地报告各类食品药品安全突发事件,是领导正确决策、组织力量迅速妥善处置的前提。各单位要以对党和人民高度负责的态度,从讲政治的高度,充分认识做好食品药品安全突发事件处置和报告工作的重要性,增强责任感和使命感,切实抓好突发事件信息报告工作。
二、明确食品药品安全突发事件信息报告的要求
(一)报告范围。需要向市局报告的食品药品安全突发事件包括:本级行政区域或本系统内发生的较大、重大和特别重大食品药品安全突发事件相关信息;部分食品药品安全事件本身比较敏感或发生在敏感区域、敏感时间,或可能演化为较大、重大、特别重大的一般食品药品安全突发事件相关信息;食品药品安全事件苗头性信息;各单位认为应当报告的涉及食品药品安全的其他信息。
(二)报告程序。食品药品安全突发事件信息实行双向报送制,即事发地的区市县食品药品监管局、__经开区及园区分局将突发事件信息分别上报至市食品药品监管局和当地人民政府。发生紧急突发事件或发现苗头后,事发地的食品药品监管部门将有关情况报市局值班室(),同时,报市局应急办(电话:),市局应急办设在风险监测与应急管理科。市局值班室和市局应急办收到报告后,按规定报市局领导,经批示后报市政府值班室、市政府应急办和按程序上报省局应急管理处,并作好登记。
(三)报告方式。食品药品安全突发事件信息以书面报告为主,经单位主管领导或分管领导审签并加盖本单位公章,以传真形式发至市局值班室;如遇特别紧急情况来不及形成文字材料的,必须在电话报告后迅速补报文字材料。应急处置过程中必须及时续报事态进展和应急处置情况,直至事件处理完毕。
(四)报告内容。突发事件信息报送必须真实、准确,写明事件发生的时间、详细地点、信息来源、事件起因、基本过程、已造成的后果、影响范围、事件发展趋势、处置情况、拟采取的措施、下一步工作意见、领导到场情况等有关情况等有关事项。如果情况尚未完全掌握,要按照“知道多少报多少,详情再报”的原则报告,要避免因道听途说、表达含糊、重点不明、文字歧义等引起理解偏差或信息失实的情况发生。
(五)报告时限。凡属于报告范围的食品药品安全突发事件信息,事发地的区市县、__经开区及园区的食品药品监管部门必须在第一时间将有关情况向市局报告,最迟不得超过事发后2小时。
较大、重大、特别重大食品药品安全突发事件的续报信息,一般情况下每隔4小时报告一次,紧急情况时每隔2小时报告一次或随时报告。
三、切实强化食品药品安全突发事件信息报告工作责任
(一)明确工作责任。各区市县食品药品监管局、__经开区及园区分局主要领导是本行政区域或本系统本单位食品药品安全突发事件信息报告工作的第一责任人,各区市县食品药品监管局、__经开区及园区分局的应急管理办公室主任或相关负责人是本行政区域或本系统本单位食品药品安全突发事件信息报告工作的具体责任人。各单位一定要强化责任意识、危机意识和使命意识,对食品药品安全事件信息报送工作实行定人员、定目标、定责任、定奖惩,确保落到实处。
关键字 电子商务 网络安全 事件类型 安全建议
1前言
随着Internet的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)作为接收国内网络安全事件报告的重要机构,2005年上半年共收到网络安全事件报告65679件,为2004年全年64686件还要多。在CNCERT/CC处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等,2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。数字显示,电子商务等网站极易成为攻击者的目标,其安全防范有待加强。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
2影响电子商务发展的主要网络安全事件类型
一般来说,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,而近几年来出现的网络仿冒(Phishing),已逐步成为影响电子商务应用与发展的主要威胁之一。
2.1网络篡改
网络篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.2网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:1、蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一方面是重要系统会出现失密现象,另一方面会被利用来对其他系统进行攻击。2、蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
2.3拒绝服务攻击
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。
一般来说,这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
2.4特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
2.4网络仿冒(Phishing)
Phishing又称网络仿冒、网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
根据国际反仿冒邮件工作小组(Anti-Phishing Working Group,APWG)统计,2005年4月共有2854起仿冒邮件事件报告;从2004年7月至2005年4月,平均每月的仿冒邮件事件报告数量的递增达率15%;仅在2005年4月,就共有79个各类机构被仿冒。2005年上半年CNCERT/CC广东分中心就处理了15多期的网络仿冒事件。从这些数字可以看到,Phishing事件不仅数量多、仿冒范围大,而且仍然在不断增长。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
据统计,中国已经成为第二大仿冒网站的属地国,仅次于美国,而就目前CNCERT/CC的实际情况来看,已经接到多个国家要求协助处理仿冒网站的合作请求。因此,需要充分重视网络仿冒行为的跨国化。
3安全建议
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
3.1不断完善法律与政策依据 充分发挥应急响应组织的作用
目前我国对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。
根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
转贴于 互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,Forum of Incident Response and Security Teams)等国际机构的成员。
应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
对于目前跨国化趋势的各类网络安全事件,可以通过国际组织之间的合作,利用其协调机制,予以积极处理。事实上,从CNCERT/CC成立以来,已经成功地处理了多起境外应急响应组织提交的网络仿冒等安全事件协查请求,关闭了上百个各类仿冒网站;同时,CNCERT/CC充分发挥其组织、协调作用,成功地处理了国内网页篡改、网络仿冒、木马等网络安全事件。
3.2建立整体的网络安全架构 切实保障电子商务的应用发展
从各类网络安全事件分析中我们看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
3.2.1安全管理
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
3.2.2安全保护
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.2.3安全监控/审计
安全监控主要是指实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录通过网络的所有数据包,然后分析这些数据包,帮助查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
3.2.4事件响应与恢复
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。
当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。 4小结
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,已经成为商家和用户密切关注的话题。
本文主要从目前深刻影响电子商务应用与发展的几种主要的网络安全事件类型出发,阐述了电子商务的网络安全问题,并从国家相关法制建设的大环境,应急响应组织的作用与意义,以及企业具体的电子商务网络安全整体架构等方面,给出一些建议与思考。
参考文献
1
CNCERT/CC.“2005年上半年网络安全工作报告”
2
CNCERT/CC上海分中心.“网络欺诈的分析和研究”.2005年3月
3
关键词:金融业信息系统应急管理机制;实践;意义
JEL分类号:R58 中图分类号:F830 文献标识码:A 文章编号:1006-1428(2012)01-0100-02
一、建立上海金融业信息安全应急管理协调机制的意义
一是金融机构集聚带来了信息安全风险的集聚。随着上海国际金融中心建设步伐的加快。近年来上海已经建立了比较完整、辐射全国的金融市场体系。几大交易所都集中在上海。同时中国银联和各大金融机构也纷纷在上海设立了数据中心、信息中心和银行卡中心等,人民银行在沪的各类中心也已达到六家,这些机构负责运行管理的信息系统,业务涉及全国甚至全球,一旦发生重大信息安全突发事件,其产生的影响将是重大的,甚至是灾难性的。
二是协调指导金融业信息安全工作是国务院赋予人民银行的重要职能。人行上海总部应加强与金融机构在沪各大中心的联系,协调建立上海市金融业信息安全应急协调机制,探索开展信息安全属地化管理的有效手段,发挥上海总部直接面对在沪各大中心、与上海市政府相关职能部门联系密切的优势,配合人民银行总行做好信息安全协调指导和突发事件快速处置工作。
三是有利于形成多方参与、共同推进的信息安全工作新局面。通过金融业信息安全应急管理协调机制,可以帮助金融机构切实防范自身风险、提高应急处置工作效率,建立与监管部门、政府职能部门和相关基础环境运营商之间的互动机制,实现信息安全管理工作的三个转变。一是可以改变目前金融机构信息安全工作以行业管理、系统内协调为主的单一管理模式,实现“条块结合、齐抓共管”的复合管理模式。二是可以改变目前金融机构与各政府主管和基础设施运营部门之间一对一的沟通协调模式,实现统一协调、定期交流的集中式沟通协调模式。三是可以改变目前资源共享程度低、金融机构安全防护设施投入巨大、防护难度高的局面,充分利用上海市智慧城市建设成果,提高金融信息系统安全防护能力。
四是通过该机制,上海市政府可以将金融业信息安全工作纳入到上海市网络与信息安全管理体系之中。可以加强对金融机构信息安全工作的引导,使金融业信息安全工作符合上海金融中心建设的整体规划,同时可以及时掌握金融信息系统的运行情况,加强对金融市场运行状态的分析预警,并对重点金融机构进行有针对性的风险提示和紧急救助,从而实现改善上海金融生态环境、不断推动上海金融中心建设的目标。
二、中国人民银行上海总部金融业信息安全应急保障工作框架和实践
一是上海金融业信息安全应急管理协调机制。参照上海市网络与信息安全协调机制,由人民银行上海总部和上海市网络与信息安全协调小组办公室牵头。设立了上海金融业信息安全应急管理协调机制。该机制的主要职能是负责协调上海金融系统落实国家、行业、区域的各项信息安全要求、参与上海市组织的相关重大活动,指导金融机构完善应急管理体系、开展多部门联合应急演练,并统一负责指导协调上海市金融业信息安全事件预警、防范及应急处置工作的安排、部署及具体实施。协调机制下设领导小组、工作小组和联络员小组。领导小组负责组织指挥上海市金融业信息系统应急管理工作,审定上海市金融业信息系统应急处置对策、预案、报告等;工作小组负责具体组织协调各项处置工作的实施;联络员小组负责协助工作小组完成应急联络、协调各项处置工作。2011年9月,上海金融业信息安全应急管理协调机制正式建立。
二是应急管理处置专家小组。经上海总部审核确定,第一届专家小组共有15名专家。专家小组的主要职责是经授权参与上海市金融信息系统重大安全事件的应急处置工作,协助做好事件原因分析、事件评估和风险防范工作,并就相关工作提出合理化建议。
三是信息安全人才培养。一是组织召开上海市银行业高管信息安全培训班,提高各金融机构高级管理人员对信息安全工作的管理能力。二是通过组织金融机构应急处置操作实务培训班、举办上海金融信息安全论坛、开展信息安全新技术讲座等多种形式,切实加强对金融机构中层信息安全专业人员的培训。三是针对部分中小银行没有信息安全专业人员的问题,组织11家中小银行的21名技术人员参加了上海市信息安全专业人员资格证书培训。
,
四是《上海市金融业信息系统应急预案》体系。结合上海金融业网络与信息安全管理工作实际情况,与市政府相关部门深入沟通,制定《上海市金融业信息系应急预案(讨论稿)》(以下简称《预案》),明确了应遵循的原则、组织体系、工作流程、处置方法和协调方式。《预案》是各方协同配合妥善处置重大信息安全事件的指导性文件,在《预案》颁布执行的基础上,还将编写电力、燃油、通讯、网络攻击等专项方案,最终形成一个完整的应急预案体系。
三、相关政策建议
一是充分认识建立上海金融业信息安全应急管理协调机制的重要意义。要将维护金融信息安全工作放在科技工作的首要位置,探索做好金融信息安全工作的新思路新方法,扎实推动金融信息化工作。
二是深化上海金融业信息安全应急管理协调合作框架。要继续完善协同演练、信息通报、风险预警、应急响应等各项预案和措施,并充分发挥专家小组的作用,提高其在决策咨询中的作用。
三是进一步加强人民银行对金融业信息安全工作的行业协调指导职能。会同上海市网安办、金融监管机构进一步落实信息安全重大事件报告制度,逐步将该制度推广至全市各类金融机构。实现应急事件处置的统一指挥、集中管理和快速响应。落实金融系统信息系统等级保护工作,不断提升主动防护和风险防控能力,促进上海市金融业应急管理工作迈上新台阶。协调市政府加大对金融信息产业集聚区的扶持力度,进一步加强园区基础设施建设,为园区金融数据中心、信息中心提供更加优质的一站式服务,为系统安全稳定运行创造良好的外部环境。
四是研究建立跨部门的金融业信息安全管理网络,实现对金融机构信息安全风险的及时、动态、全面监控。建设上海市金融业信息安全管理平台,及时风险提示、风险分析、风险预警,为各金融机构提供有针对性的政策咨询和基础保障服务,切实提高信息沟通效率。通过建立健全信息安全管理制度、定期组织信息安全现场和非现场检查手段,从系统安全性、标准符合性人手。将“合规性检查”和“风险性检测”有机结合起来,及时发现金融机构在信息安全制度和管理方面存在的薄弱环节。制定有效的信息安全防范、管控和问责制度,全面落实国家、行业和区域性的信息安全政策。
开放、互联的信息技术与信息安全就像一把双刃剑。一方面,企业需要借助信息技术或信息系统集中信息并开放共享;另一方面,企业的核心信息资产又在不断外泄,引发无数信息安全问题。一谈到信息安全,首先想到的是网络安全,比如防火墙、入侵检测、漏洞扫描、数据加密等传统意义上的网络底层安全防护。但从广义上来讲,随着信息化建设的不断深入,企业的信息资产对经营的贡献比重越来越大。尤其在信息访问越加便捷的前提下,根据市场竞争的需要,企业需要源源不断地将信息不同程度地开放给客户、供应商、员工等,企业的信息资产也越来越暴露在更多的威胁之中。信息的三个安全特性,即完整性、保密性和可用性。(1)信息完整性风险管理。一方面,要保证信息在收集、加工过程中不能被恶意篡改、不能丢失、被窃取、损坏等;另一方面,也常为人忽视的是加工过程本身的科学性,需要防范因不恰当的加工方式而导致的数据失效或结果错误。(2)信息保密性风险管理。主要是指要保障没有被授权的用户无法使用信息系统,访问相应的资源。防止该类用户访问、通过非法手段攻击破坏企业信息资产。(3)信息可用性风险管理。主要是指保障被授权用户可以顺利、快速访问信息资产,保障信息系统稳定性和可用性。以上三个特性,同时也是信息安全风险管理的主要内容,管理过程包括风险识别、风险评估和风险控制三个步骤。
2企业信息安全风险识别
由于涉及企业的核心信息资产,所以相应的信息安全风险点分布在企业管理的各个环节和层面。但是由于种种原因,目前国内企业对信息安全风险管理的认识仍不到位。总体来说,有以下主要问题,也是常见的信息安全风险管理的风险点。(1)信息安全组织和制度保障不足。没有有效的信息安全管理组织机构,就无法有效地制定、执行安全管理策略,更无法进行有效的信息安全协作。信息安全管理制度通常都有,但很少有单位能够严格执行,信息安全的政策制定也常常不符合标准,导致可操作性比较差或者达不到控制的目的。(2)信息安全相关人员意识不足。信息安全虽然已经被很多企业提到战略高度,但更多停留在口头上和管理层。大部分企业人员比较缺乏信息安全意识,安全事件报告不及时;对各自岗位相关的信息资产职责了解不清,对信息系统的错误操作导致信息泄密的事件屡有发生;部门单位还存在因人员流动导致的信息资产不连续等问题。(3)传输、存储信息资产的设备与网络存在安全隐患。部分企业存在网络有安全漏洞、存储设备老旧、数据资产缺乏备份机制等常见问题,一旦受到网络入侵、病毒攻击,或者发生硬件及性能问题,会导致信息资产大量泄漏或损坏。(4)访问控制及用户权限管理存在漏洞。在信息系统的实施阶段,为了便于用户测试或其他目的,部分用户权往往限过大。随着系统正式上线及应用,相应权限又由于种种原因没有调整,对信息安全也留下了比较大的隐患。(5)软件系统及业务持续性风险。因为国产化和自主开发的趋势逐渐确立,大量企业选择自行开发软件系统,由于软件开发技术而导致软件本身存在一定漏洞,相应的开发质量存在隐患,连带的如运维、业务持续性风险均应相应考虑。
3企业信息安全风险评估和控制
考虑到每个企业均有自身特点,面临的信息安全风险点也不同。按照通常的信息安全风险管理理论,在完成上节所述的风险识别之后,需要进行详细的风险评估和风险控制。信息安全风险评估是指确认风险大小程度的过程,主要是要借用适当的风险评估工具和模型,包括定量的或者定性的方法,对信息安全风险点造成的影响进行评估,以确定风险的大小和控制方式。其主要目的是为了确定风险的大小并量化,从而可以采取适当的控制目标和控制方式开展风险控制工作。信息安全风险控制的作用体现在对组织信息安全的保障上,其有效性体现在当企业面临信息安全风险时对风险控制的有效程度,换句话说,在信息安全风险评估的基础上,考验控制力度的有效性就是损失的程度,损失的越少越有效。反之,则控制无效。另一方面,信息安全风险控制也是需要成本的,控制力度大小与成本通常成正比关系,而且在达到一定程度之后,控制力度增长比例较小可能带来成本大幅增加。因此,信息安全风险控制的总体目标,是以最小的投入将信息安全面临的风险控制在组织可接受的范围内。
4结语
关键词:企业;档案;安全;体系
1 概述
档案安全是档案工作的底线和红线,事关党和国家的根据利益。档案安全体系是“三个体系”建设的根本保障,是顺应党和国家的方针政策和档案事业发展规律而产生的实践体系,是我国档案事业的重要组成部分。加强档案安全体系建设,对于维护党和国家的历史记忆、推动档案事业发展、服务全面建成小康社会具有十分重要的意义。
2 企业档案安全体系的内涵
企业档案安全体系是确保档案实体和信息安全的基础设施齐备、各项制度完善、整理操作规范的系统工程。企业档案安全体系建设包含三个层面:一是确保档案实体的安全,不损毁、不丢失;二是确保档案信息的安全,不失密、不泄密;三是确保档案的完整齐全并尽量延长档案实体和信息的保存时限。
3 企业档案安全体系建设存在的问题
3.1 人员安全意识薄弱
档案安全往往被当作仅是办公室或档案室的责任,忽视各部门的主体责任。部分人员对档案安全工作的重要性和必要性认识不足,在收集、整理、利用环节,归档不全、把关不严、传输随意,对档案实体的保护、信息的保密意识欠强。
3.2 建设缺乏整体规划
顶层设计时没有系统化、统筹安排,没有纳入到企业的信息化系统建设,制定单项制度或系统时,缺乏一定的操作性和其他系统的兼容性,换版或升级未综合考虑各方因素,档案安全系统建设缺乏前瞻性。
3.3 防护设施欠完备
档案库房设计欠规范,档案室选址欠科学,室内设施设备欠完整。基础设施投入不足,部分单位没有专门设备存放特种载体档案、实物档案,没有温度湿度控制、火灾报警、监控等系统。
3.4 安全技术措施简单
对档案信息的内容安全层、访问安全层、传输安全层、环境安全层技术管理手段简单,存在一定的漏洞,监控力度不够。数据备份机制不够完善、备份方式单一。
3.5 管理制度执行不严
制定了系列档案安全建设制度,但对执行情况未进行考核和检查,使得制度执行力度大打折扣,未执行或部分执行的现象时有发生。或者虽有考核,但没有奖罚措施,严重影响到制度的严肃性和执行力。
4 企业档案安全体系发展策略
档案安全工作要整体规划、统筹安排、科学实施。采取“三位一体、三维覆盖、三措并举”的档案安全“三三策略”,切实加强档案安全体系建设,确保档案实体和信息安全,在确保完整性的基础上延长档案的保存时限。
4.1 安全防范“三位一体”,坚持根本抓人防、夯实基础抓物防、注重创新抓技防
(1)坚持根本抓人防:档案安全的最大保障是人的责任。一是树立科学的档案信息安全观,加强对档案信息安全主体、档案信息安全内容、档案信息安全方式认识的综合。二是开展全员档案安全教育培训,切实提高人员的安全意识和工作责任感。三是推进素质提升工程,培育具备档案专业知识和安全信息处理能力复合型人才。
(2)夯实基础抓物防:档案室是保障档案安全的物质基础。一是库房要落实“八防”即防盗、防光、防高温、防火、防潮、防尘、防鼠、防虫措施。二是加大基础投入资金,确保档案安全基础设施到位。三是加大科技应用,提升安全保密技术,建立完善监控系统、消防灭火系统、温湿度控制系统。四是坚持实行定期保洁、检查制度,每月进行消防检查,每季度彻底进行一次卫生大清扫,每年进行库房年度档案盘查。
(3)注重创新抓技防。一是通过数据加密技术确保内容的安全;二是主要通过身份认证技术、访问控制技术等手段确保访问的安全;三是通过防火墙技术、入侵检测技术、网络隔离技术等手段确保传输的安全;四是运用电磁辐射防护技术确保环境的安全,不让窃取方接受到信息辐射的信号和复原出有关的真实信息。五是学以致用,不断把先进的科技应用到企业档案安全建设中。
4.2 安全监管“三维覆盖”:档案室内安全与室外安全并轨,实体安全与信息安全并重,线上安全与线下安全并举
(1)档案室内安全与室外安全并轨。一是加强档案室内的查阅监控和销毁控制,未经领导审批同意,档案原件不得外借,未经档案销毁领导小组审批,不得私自销毁档案。二是预防为主,前移安全防线,加强主动防范,确保源头档案收集工作的完整性、多样性,内容丰富、种类齐全。三是加强利用环节的安全保密工作,室内档案不随意破坏、不私自加工,内容不随意传播、不私自上传网络,不得将未经审批的档案信息进个人网络宣传。
(2)实体安全与信息安全并重:一是实施定期检查制度,由专人负责定期对实体和信息档案状态进行检查,采用“消号”式进行整改处理。二是加强重点档案抢救修复工作,及时加固易碎、易裂的档案,及时除霉去污霉变档案,定期转存声像档案。三是重视档案信息安全工作,落实数据采集、数据传输、存诸处理、分析应用等各环节保障网络和信息安全工作,加强网络安全监控力度,确保档案信息安全。
(3)线上安全与线下安全并举:一是全面梳理平台漏洞,真正发挥非网功能,确保档案的安全。二是加强信息中心机房重地管理工作,无关人员不得进入机房,确需进入要进行人员登记。严格管理接入硬件设备介质,在操作系统中安装杀毒软件,定期扫描系统漏洞。三是加强登记备份推进工作,做到多位置保存数据及数据完整性恢复能力。
4.3 安全保障“三措并举”:加强制度体系建设,加强安全条件保障,加强安全风险管控
(1)加强制度体系建设。管理制度是保障档案信息安全的重要措施。建立健全计算机和信息系统、人员安全管理、信息系统运行环境安全管理等制度,尝试推行安全信息审计、安全追责等制度,强化制度执行的刚性、管理的柔性,增强制度规范的可操作性。
(2)加强安全条件保障:一是调拨档案安全管理专项经费,加强档案室、档案设施设备、档案信息系统建设,为安全提供硬件和软件上的基础和技术保障。二是实施责任清单和移交清单,特别关注特殊时期的档案接收工作,特别涉及到机构变动、人员调整时的档案移交。三是加强对档案安全工作的审计,对因人为因素造成的档案安全问题,要进行及时整改和处罚,由此引发的档案安全事故,要坚决追责。同时也要积极奖励优秀的档案管理人员,形成人人抓安全、事事重安全、时时保安全的工作氛围。
(3)加强安全风险管控:定期进行风险评估,制定可行的应急预案。一是明确响应和处置的范围、制定安全应急处理流程,实施应急处理方法。二是定期不定时对应急预案进行演练,加强应急预案的实际可操作性。三是在安全事件报告和响应处理过程中,分析原因,记录过程,总结教训,制定防止再次发生的补救措施。
参考文献
[1]刘芸.完善安全体系加强风险监管[J].中国档案,2016,7.
[2]李玉红.档案安全体系建设中存在的问题及对策[J].档案管理,2014(06).