信息安全管理要求
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全管理要求范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全管理要求范文第1篇
国家、省市已经颁布各种法律法规,各大单位也根据自己的具体情况,建立了自己的规章制度,维护信息安全已经有法可依。但是信息安全管理工作涉及的知识面非常广,需要了解国家信息安全管理法规,需要学习信息技术一般理论,需要知道信息安全漏洞知识,需要明白信息安全禁令范畴。为提高学习效率和质量,全面掌握信息安全理论和方法,按照信息安全管理知识体系,建设信息安全管理教学系统,提供学习信息安全管理的教学条件,从而为各方面人员学习和执行各种规章制度提供依据。相比其他管理工作,信息安全管理工作需要比较多的理工专业基础和比较高的电脑技术要求,在实际的信息安全管理工作中,需要灵活的信息安全管理处置能力,更多的是判断信息安全问题、识别信息安全陷阱、规范信息安全管理。由于知识背景和工作性质特点,管理干部需要花费更多的时间和精力学习信息安全管理知识和技术,才能具备基本的信息安全防范技能。为帮助他们更好地独立处置信息安全管理问题,掌握发现问题解决问题技能,依据现代教育理念和方法,不仅需要提供深入浅出、知识完备的知识体系学习训练系统,而且需要信息安全管理能力训练系统。
二、信息安全管理培训思路
为满足信息安全管理工作在人员培训方面的需要,需要依托各级培训学校,按照国家和省市地方的制度法规,借助现代教育思想,借助现代教育技术,明确符合实际需要的功能定位,建设信息安全管理复合应用型人才培训体系,实现信息安全管理工作对培训教育、终身教育的培训要求。
1.培训依据
(1)依据各种信息安全管理制度法规。信息安全人员在履行工作职责的时候,必须按照各种信息安全管理法规、制度和要求实施,制订人才培养方案和教学计划必须依据国家、省市和本部门的信息安全管理的相关规定,这样的教学内容才能保证人才培养的针对性和实用性,保证管理干部履行信息安全管理职责的有效性。涉及信息安全制度法规的相关文件很多,有的是专门为信息安全制订的,有的制度和法规散落在各个业务管理制度中。在建设信息安全管理知识体系时,必须将业务部门的相关规定融入知识体系中,使得管理干部在处理具体业务中的信息安全管理工作具有针对性和有效性。
(2)符合培训教育特点规律。信息安全管理技能是从事管理工作人员的基本技能,属于岗位专业培训或专业技能培训,属于培训教育培训。受训人员专业背景不同,理论基础不同,学习能力不同,必须避免材、统一授课、统一训练、和统一考核的传统教学模式,采取因人而异、因材施教的有针对性的教学方式,强调个性化学习,将不同层次受训者的信息安全管理能力达到信息安全管理工作所需要的水平上来。
(3)遵循现代教育思想。在实施教育训练过程中,现代教育思想要求采取“学为主体、教为主导”的教学理念,学员能够方便地获得完整的知识体系和解决问题的技能和方法,自主学习,开放学习,自主理解、掌握知识和技能。为实现教学目的,需要分析信息安全管理技能特点,需要分析管理干部学习动力,结合教学目标,设计学员学习和训练的教育训练环境,提供完整的知识体系、丰富的教学资源、模拟的问题情况、交互的学习平台和方便的使用途径,提供与培训教育特点规律和技能训练要求相适应的培训条件。
2.信息安全管理培训目标
按照信息安全管理工作的实际情况,培养信息安全管理工作中管理、业务和技术三支人才队伍,突出业务和管理人才需要,兼顾信息安全技术人员的人才培养,以现代教育思想为指导,以信息技术为核心支持技术,建设满足信息安全人才培养的现代培训条件。信息安全管理培训以管理干部为培训对象,以信息安全管理工作为培训内容,区分信息安全管理人员、业务干部和信息技术专门人员等不同层次,跟踪信息安全管理形势,实行阶段反复轮训,以适应信息安全管理不断发展的需要,确保信息安全管理工作的正常开展。
三、信息安全管理培训环境构建
为适应信息安全管理培训需要,适应管理干部培训教育需要,必须构建遵循信息安全管理规定、符合现代教育思想、依托信息技术手段、瞄准复合型适用人才培养的教育环境。信息安全管理培训条件涉及面很广,包括组织机构、舍堂馆所、师资队伍、后勤保障等等,这里我们更关心符合培训思路的培训模式和教学支持。从知识体系、学习途径、训练场所和训练系统多方面着手,构建信息安全管理训练体系,构建管理人员信息安全人才培养条件。依据教育信息化研究成果和培训教育教学特点,需要建立完整的信息安全管理知识体系,建立开放式、自主式教育网络平台,建立强时效性的教学资源体系,建立信息安全管理知识测试系统,建立信息安全管理能力训练系统,等等。
1.构建信息安全管理知识体系
培训教育的一个特点就是受训对象知识背景和技能掌握程度千差万别,必须首先建立完整的知识体系,以满足不同基础、不同需求受训者对知识掌握和能力训练的要求。知识体系必须建立覆盖学科知识和管理手段的所有内容,包括理论体系和教学资源两部分,其中理论体系包括基础知识、安全理论、规范制度、管理方法、历史沿革、防范手段和操作方法,教学资源包括现状分析、经典案例、技术讲解、训练题库和数据模型,适应和满足每个受训对象的需求。为满足个性化服务需要,可以按照知识点建设模块化框架结构,设计具备菜单选择功能的专家系统,允许受训者建立适合自己的个性化教学计划和实施方案,确保受训者完成培训任务后胜任安全管理的岗位需要。可以建立智能教学计划生成系统,系统对每位受训者进行知识和技能测试,按照教学目标,根据测试结果,将该学员没有掌握或掌握不够的知识内容和技能形成列表,从知识体系中搜寻相关知识和技能的概念、理论、技术和操作技能,形成该受训者个性化的教学计划。随着信息技术的发展和信息安全管理需求的变化,信息安全管理知识体系应该是动态更新的,剔除修改陈旧的,充实替换实用的。
2.搭建开放、共享和交流的网络平台
网络平台是信息资源共享的基础,是交流互动的基础。按照学科专业建设与管理规范建设知识体系,以数字化形式在互联网,实现信息安全管理教育资源共享。作为资源共享平台的网络平台,不仅为建设者资源共享提供平台,而且可以为学习者提供资源上传服务,成为学习者之间相互交流资源的共享平台,更为信息资源积累提供了很好的机制和存储条件。网络具有两个特点,一是允许网络用户365天24小时使用,可以提供受训者随时学习和训练,二是允许网络用户在任何有信息覆盖的地方登录,可以提供受训者随地学习和训练,这两个特点打破了传统教学时空的限制,为学员自主学习、教师开放教学、师生互动交流提供了可能,也为实施现代教育思想提供了条件。
3.建立虚拟讲堂
优秀教师的讲授可以将学习效果演绎得趣味精彩,可以将学习内容组织得明白易懂,可以将现实运用解析得透彻自然。为更多学员获得完美的教学体验,为积累并共享优秀教学资源,为学员快捷准确全面理解知识运用知识提供帮助,记录、整理并优秀教师或专家授课录像,供更多受训者学习参考。教学录像在网上成为虚拟讲堂,成为不同专业不同时期受训者良好的教学资源,目前全球风行的慕课,可以成为这种培训目的的教学模式,成本低,效益好。因为技术层面的因素,信息安全管理知识体系在理论基础和原理解释有大量不易理解的知识点和疑难问题,学习时需要佐证的理论和严谨的逻辑,需要传授者环环相扣的谨密推演,因此针对重要知识点和疑难杂诊的讲授片段是受训者自主式学习时需要的重要教学参考资料。各个大学基本都建设了网络课堂,为虚拟讲堂建设提供了很好的技术平台。依据此平台,建设信息安全管理和教学资源和网络课程,可以构筑完整的知识体系,为培训教育自主式学习提供了很好的学习资源。
4.建设信息安全管理实验室
培训教育能力训练是教学环节中的主要部分,验证理论、观摩操作方法和训练技能需要包括场所、设备和软件等实验条件,实验室是完成实验任务和检验方法效果必须具备的教学条件。理论、方法和技能的实验和训练是信息安全管理培训需要完成的教学环节,这些需要信息安全专业实验室的支持。信息技术具有可设计、可复制、可重用的特点,使得基于信息技术的教育训练条件具备降低训练费用、提高学员学习自主性、提供学员反复学习等长处,结合音频处理技术、视频处理技术、三维动画技术,可以为学员学习提供强烈逼真的感官刺激、美轮美奂的艺术表现和自主操控的虚幻体验。从训练目的而言,实验室可以分为虚拟实验室和能力训练场两部分。
(1)虚拟实验室。信息安全管理涉及大量技术手段,信息安全技术攻击和防范具有不可见、不易理解的特点,需要显而易见、通俗易懂的形象展示。虚拟实验室是依托信息技术按照实验室运行规律、要求和任务,以网页形式在计算机网络上建立的可以模拟实验室运行的软件系统。虚拟实验室内设信息安全管理所需要的各种理论、方法和技能引擎,可以多维形象地反复演示信息安全管理的理论、方法和技能,可以允许受训者以第一人称介入并依据受训者干预情况展示相应信息安全分析结果,虚拟实验室可以记录并考核受训者实验过程和成绩。
信息安全管理要求范文第2篇
四大因素驱动管理水平提升
经过十多年的建设与发展,中国移动已建成一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。目前,中国移动的网络规模和客户规模列全球第一。但近几年来,中国移动的信息安全管理压力不断加大,这是由于以下四个因素:
首先,适应信息安全形势发展的基本需要。随着社会环境、产业环境的变化,通信网的重要性日益凸显,民众对通信网的依赖程度日益提高,网络与我们的生产、生活密不可分。与此同时,网络安全攻击事件日益增多,网络攻击技术越来越多样化,攻击的自动化程度也越来越高,信息安全形势日益严峻。作为国有重要骨干企业,中国移动加强信息安全管理,既是实现企业发展战略目标的需要,也是履行企业社会责任的基本需要。
其次,Y本的市场监管要求。2002年,美国安然、世通等财务欺诈事件之后,美国立法机构出台了《萨班斯―奥克斯利法案》(以下简称《萨班斯法案》)。《萨班斯法案》不仅适用于美国上市公司,也适用于在美国证监会注册的外国公司。中国移动作为在美国证券交易市场上市的海外公司,也必须遵循《萨班斯法案》相关要求。为了遵从《萨班斯法案》,中国移动制定的内部控制矩阵中,有313个项与信息安全有关。
再次,满足国内监管部门的监管要求。随着信息安全形势的发展,国内监管部门对信息安全管理提出了明确要求。公安部、工业和信息化部、国家保密局和证监会等部委陆续了相关文件对企业信息安全管理提出了要求,如公安部、国家保密局、国家密码管理局和国务院信息工作办公室的《信息安全等级保护管理办法》,公安部的《互联网安全保护技术措施规定》,工业和信息化部的《通信网络安全防护管理办法》,财政部、 证监会、审计署、银监会和保监会印发的《企业内部控制基本规范》等。
最后,满足企业自身管理提升的要求。中国移动从提升自身管理的角度出发,建立了较为完整的信息安全管理体系,覆盖系统建设和运维、业务经营、客户信息保护等环节。
然而,由于信息安全管理涉及多个业务部门和管理部门,管理复杂度高,工作繁杂,过去难以进行体系化管理、执行难度高成为中国移动信息安全管理工作的突出问题。
五大管理措施保证信息安全
中国移动信息安全管理的总体目标是借鉴国际的先进GRC管理理念,按照PDCA(Plan―Do―Check―Action,计划―实施―检查―处理)模式,建立涵盖合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制;采取相应的技术手段、通过有效的管理措施,保证信息资产免遭威胁,或将威胁带来的不良后果降到最低;持续改进,实现信息安全管理水平的螺旋式提升,最终维护组织的正常运作和健康发展。具体来说,中国移动主要采取了以下五项措施保证目标的实现。
第一,建立信息安全合规闭环管理机制。中国移动在信息安全管理方面借鉴了GRC管理理念,参考了ISO27001信息安全闭环管理体系的PDCA模型,形成了特有的信息安全合规闭环管理机制。中国移动结合自身的实际情况,将信息安全合规管理工作划分为合规要求、合规执行、合规检查、合规评价、合规整改等五个环节。其中,合规要求对应的是计划(Plan),合规执行对应是实施(Do),合规检查和合规评价对应的是检查(Check),合规整改对应的是处理(Action)。这五个环节形成了信息安全合规的闭环管理,借助流程全面贯彻。
第二,进行集中、制度化管理,全面满足内外部监管需求。中国移动根据外部的《萨班斯法案》、ISO27011信息安全管理最佳实践、国家信息安全等级保护、通信网安全防护等相关的合规要求,制定了多达200余个安全管理制度和标准,覆盖系统建设与运维、业务经营、客户信息保护等环节,涉及多个业务部门和管理部门,涵盖了安全方针、风险管理、第三方管理、安全事件处理、安全基线等数十个领域。
值得一提的是,由于需要遵从的合规要求较多,部分“规”之间存在内容交叉和要求不一致的情况。如果缺少集中化的管理,会导致日常的制度和标准查询、获取和执行都比较困难。为此,中国移动对需要遵从的国际、国内、行业和企业内部的信息安全管理制度、标准进行了梳理,参照国内外标准和最佳实践,形成了《中国移动信息安全管理制度体系框架》。通过制度体系框架,相关人员可以掌握公司整体的信息安全管理全貌,方便、快速地查找对应的要求,高效地分析出哪些领域可能存在制度缺失,为进一步完善信息安全管理体系提供有力的支持,为合规管理体系的建设提供有用的支撑。
第三,完善合规管理矩阵,将安全合规管理工作具体化。信息安全合规管理的核心是建立信息安全合规管理矩阵。该矩阵是基于对各种信息安全管理制度、规范建立的,是对各种信息安全管理要求的条目化、具体化。中国移动在梳理合规制度和建立合规控制框架的基础上,首先建立信息安全责任制、客户信息安全、业务安全和基础安全等子矩阵,然后逐步丰富、完善子矩阵,最终形成全面的信息安全合规矩阵。合规矩阵包括控制矩阵、检查矩阵、对应矩阵和资产矩阵。
第四,建立合规检查规范,实现制度化、规范化管理。为了做好合规检查,中国移动制定《信息安全监督检查工作规范》,实现合规检查制度化、规范化管理。合规检查分为普查模式和专项检查两种模式。
第五,建立评价体系,实现整改工作的闭环管理。中国移动通过实施多维度的合规评价,针对不符合合规要求的检查点和评价相对较差的环节,开展及时的问题整改工作,通过工单等工作流,以下发、整改、反馈和验证四步闭环的管理模式,保证在问题发现后,有要求、有人改、有反馈、有验证,有效落实整改工作。
信息化平台是不可或缺的支撑
为了有效应对当前在信息安全合规管理方面所面临的挑战,中国移动在慧点科技协助下建立了全网集中的信息安全合规管理平台。中国移动的各省公司都可以登录该平台开展合规管理工作。该平台针对中国信息安全合规管理需求,固化了制度管理、控制落实、安全检查、合规评价和整改等信息安全管理流程,为合规工作提供了流程化、平台化的高效工具。
中国移动信息安全合规管理平台包括制度管理、矩阵管理、执行管理、合规检查、合规风险评价和整改管理等核心功能模块,可以有效支撑信息安全合规的全生命周期流程管理。
通过建立以信息安全合规管理矩阵为核心的合规管理体系,全面部署信息安全合规管理平台,中国移动实现了如下的效果:
第一,提升了信息安全业务管理的统一性、完整性;
第二,提升了集中化自主运营能力,有效提升业务连续性;
信息安全管理要求范文第3篇
【关键词】电力企业信息安全管理;组织管理;失误因素
1 电力企业信息安全管理中组织管理失误的分析方法
电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。
2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走
第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。
第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。
第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。
3 电力企业信息系统安全管理的必要性
电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。
4 电力企业信息安全管理中组织管理常见失误
近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:
第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。
第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。
第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。
5 电力企业信息安全管理体现构建的有效策略
基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。
5.1 提高对电力企业信息安全的认知度
针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。
5.2 建立健全信息安全审计机制
内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。
5.3 建立和完善信息安全风险管理制度
信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。
信息安全管理要求范文第4篇
关键词:信息化;信息安全;安全管理
1企业信息安全现状
近几年,随着行业信息化建设逐步深入,伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用,与生产经营息息相关的关键业务对信息系统的依赖程度越来越高,企业也逐步认识到信息安全的重要性,企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度,并通过这几年信息安全检查工作,促进企业的信息安全水平得到了进一步提高。由于企业信息安全意识不断提高,企业不断加大信息安全方面的投入,如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新,攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击,也要应对来自于企业内部的信息安全威胁,安全形势不容乐观。企业的信息安全已不仅仅是技术问题,还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识,一味注重“技术”的作用,忽略“管理”的重要性,就很难发挥信息安全技术的作用,无法把企业的各项信息安全措施落到实处,企业的信息安全也就无从谈起。只有切实发挥管理作用,企业的信息安全才能得到有效保障。
2企业信息安全体系架构
在谈到信息安全时,大多数刚接触的人都比较疑惑,都说保障信息安全十分重要,那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。2.1信息。对企业来说,信息是一种无形资产,具有一定商业价值,以电子、影像、话语等多种形式存在,必须进行保护。2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制,避免造成不良影响或者资产损失。2.3企业信息安全体系架构。在保障企业信息安全过程中,信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析,不难看出企业信息安全体系主要分为技术、管理两个重要体系,进一步细分则涉及安全运维方面。2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品,合理制定安全策略,实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台,如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等,而信息安全技术则是指实现信息安全产品的技术基础。2.3.2信息安全管理体系作用。完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度有效执行,最大程度发挥信息安全技术体系作用,确保信息安全相关保护措施有效执行。通过上文简单介绍,对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全,因此,建立企业信息安全管理体系的重要性也就不言而喻。
3信息安全管理体系概念
3.1信息安全管理。运用技术、管理手段,做好信息安全工作整体规划、组织、协调与控制,确保实现信息安全目标。3.2管理体系。体系是指相互关联和相互作用的一组要素,而管理体系则是建立方针和目标并实现这些目标的体系。3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标,采取或运用方法的体系。作为管理活动最终结果,包含方针、原则、目标、方法、过程、核查表等众多要素。3.4建立信息安全管理体系的目的。作为企业总管理体系的一个子体系,目的是建立、实施、运行、监视、评审、保持和改进信息安全。3.5信息安全管理体系涉及的要素。3.5.1信息安全组织机构。明确职责分工,确保信息安全工作组织与落实。3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。3.5.3资源。提供体系运转所需的资金、设备与人员等。
4信息安全管理体系机构设置以及作用
在建立企业的信息安全管理体系之前,如果没有设置相应的信息安全组织机构,那么建立体系所需要的资源(资金、人员等)就无法得到保障,企业的信息安全制度和策略也就无法贯彻落实,企业的信息安全管理体系就形同虚设起不到任何作用。因此,企业在建立信息安全管理体系前必须建立健全信息安全组织机构,机构设置可以根据职责分为三个层次。4.1信息安全决策机构。信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构。应以单位主要领导负责,对信息安全规划、信息安全策略和信息安全建设方案等进行审批,并为企业信息安全工作提供各类必要资源。4.2管理机构。处于安全组织机构的第二个层次,在决策机构的领导下,主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作,此类工作大部分都由企业的信息化部门承担。4.3执行机构。处于信息安全组织机构的第三个层次,在管理机构的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理,执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。
5信息安全管理体系的建立
ISO/IEC27001:2005标准的“建立ISMS”章节中,已明确了信息安全管理体系建立的10项强制性要求和步骤。企业应结合自身实际情况,遵照这些内容和步骤,建立自己的信息安全管理体系,并形成相应的体系文件。5.1建立的步骤。(1)结合企业实际,明确体系边界与范围,并编制体系范围文件。(2)明确体系策略,构建目标框架、风险评价的准则等,形成方针文件。(3)确定风险评估方法。(4)识别信息安全风险,主要包括信息安全资产、责任、威胁以及造成的后果等。(5)进行安全风险分析评价,编制评估报告,确定信息安全资产保护清单。(6)明确安全保护措施,编制风险处理计划。(7)制定工作目标、措施。(8)管理者审核、批准所有残余风险。(9)经管理层授权实施和运行安全体系。(10)准备适用性声明。以上步骤解释不详尽之处,参看ISO/IEC27001:20054.2.1章节中A-J部分。5.2信息安全管理体系涉及的文件。文件作为体系的主要元素,必须与ISO/IEC27001:2005标准保持一致,同时也要结合企业实际,确保员工遵照要求严格执行。而且也要符合企业的实际情况和信息安全需要。在实际工作中,企业员工应按照文件要求严格执行。5.2.1体系文件类型主要涉及方针、程序与记录三类。方针类主要是指管理体系方针与信息安全方针,涵盖硬件、网络、软件、访问控制等;程序类主要是指“过程文件”,涉及输入、处理与输出三个环节,结果常以“记录”形式出现;记录类主要是记录程序文件结果,常以是表格形式出现。至于适用性声明文件,企业应结合自身情况,参照ISO/IEC27001:2005标准的附录A,有选择性地作出声明,并形成声明文件。5.2.2体系必须具备的文件。主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等。5.2.3任意性文件。企业可以针对自身业务、管理与信息系统等情况,制定自己独有的信息方针、程序类文件。5.2.4文件的符合性。文件必须符合相关法律法规、ISO/IEC27001:2005标准以及企业实际要求,保证与企业其他体系文件协调一致,避免冲突,同时在文字描述准确且无二义。
6体系实施与运行
主要包括策略控制措施、过程和程序,涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等。
7体系的监视与评审
主要指对照策略、目标与实际运行情况,监控与评审运行状态,主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节,并根据评审结果编制与完善安全计划。
8体系的保持和改进
主要是依据监视与评审结果,有针对性地持续改进。主要包括改进措施、制定完善措施、整改总结等,同时需相关方进行沟通,确保达到预计改进标准。
9结语
信息安全管理要求范文第5篇
【关键词】信息安全;电力企业;防护措施
前言
当前,电力企业在生产运行过程中离不开信息技术的支持,尤其是电力企业在建立了复杂的数据网和信息网后,信息技术的在电力企业中的地位日益提高,同时,信息安全也影响着电力企业的生产经营。
1电力网络和信息安全管理的主要内容
电力网络和信息安全管理主要包括三方面的内容:①安全策略;②风险管理;③安全教育。具体浅析如下:
1.1安全策略
信息安全策略根据企业规模、安全需求和业务发展的不同而不同,但是都具有简单易懂、清晰通俗的特点,由高级管理部门制定并形成书面文字,属于企业安全的最高方针,广泛到企业所有员工手中。
1.2风险管理
评估威胁企业信息资产的风险,首先事先假定风险可能会给企业带来的风险和损失,然后再通过各种手段,如:风险的规避、风险的转嫁、降低风险和接受风险等多种方法为相关部门提供网络和信息安全的对策建议。
1.3安全教育
所谓安全教育,就是对直接关联企业安全生产的人员进行的教育活动,其对象是安全策略执行人员,具体来说就是与安全工作相关的技术人员、管理人员和客户,并对其进行安全培训,让其了解和掌握信息安全对策。安全管理是企业管理的重要内容,必须引起企业领导层的高度重视,切实将安全相关教育纳入到企业文化的组成中,确保信息安全管理的有效执行。
2电力企业信息化发展的特征
随着我国电力企业信息化的发展,与其他企业相比,在网络信息安全方面具有以下优势特征。
2.1信息化基础设施完善
经过多年的发展,电力企业的信息化建设与其他行业的信息化建设水平相比,具有明显的比较优势,进程相对领先,各个部门工作中计算机的使用率为100%,电力企业局域网覆盖率90%以上。
2.2营销管理系统广泛应用
电力企业的营销管理系统经过多年的研究探索已基本建成,实现了用电管理信息化、业务受理计算机化,并建立了相应的客户服务中心。
2.3生产、调度自动化系统应用熟练
电力企业信息化建设的重点是提高电网运行质量和电力调度的自动化水平,现阶段,从电力企业发展的自动化水平上来看,其生产已基本达到国际先进水平。
2.4管理信息系统的建设逐步推进
电力企业积极建设管理信息系统,开发了设备、生产、电力负荷、安全监督、营销管理等信息系统,并将企业信息化建设放到重要位置,利用信息化推动企业现代化发展。
3电力企业网络和信息安全管理中存在的问题
电力企业网络和信息安全管理虽然具有以上优势特征,但同样还是存在一定的问题,具体如下:
3.1信息化机构建设不完善
部分电力企业还未设置专门的信息部门,信息科室有的在科技部门下,有的在综合部门下,缺乏规范的制度与岗位设置,这种情况下,势必会影响到网络和信息安全的管理工作。
3.2网络信息安全管理未成为企业文化的一部分
电力网络信息贯穿于生产的全过程,涉及到电力生产的各层面,但是仍然处于从属地,没有纳入电力企业安全文化建设中,进而影响到安全管理的实施力度。
3.3企业管理革新跟不上信息化发展的步伐
电力企业管理革新与信息技术的发展与应用相比还较为滞后,企业不能及时的引入先进的管理与业务系统,导致企业信息系统不能发挥预期的作用。
3.4网络信息安全存在风险
电力企业网络信息安全与一般企业网络信息相比,有共同点,也有自自身的特殊性,实践中必须认真分析研究,具体表现为:①网络的结构不够合理,电力网络建设要求,网络建设要区分外网和内网,且内外部网络要保持物理隔离,但是部分电力企业的核心交换机选择不合理,导致在网络中所有网络用户的地位是平等的,因而很容易出现安全问题。②企业内部风险,由于企业内部网络管理人员对于企业的网络信息结构与系统应用十分熟悉,一旦泄漏重要信息,就会带来致命的信息安全威胁。③现阶段互联网使用存在的风险,目前很多电力企业的网络已经与互联网发生了关系,一些客户甚至可以直接访问电力系统的网络资源,在提供方便之门的同时也要高度关注其可能带来的信息安全和计算软硬件安全风险。④网络管理专业技术人员带来的风险,主要是网络管理人员的素质风险,现阶段电力企业的网络建设还存在重建轻管,重技轻管的问题。出现了诸如专业技术人员综合素质不高,一些安全管理制度不健全、落实不够有力、安全意识不强、管理员配备不当等威胁到电力企业网络信息安全性的问题。⑤计算机病毒侵害,计算机病毒的扩散速度快,网络一旦感染病毒,整个电力网络系统就会处于崩溃的状况。⑥系统出现的安全风险,这方面主要指操作系统、数据库系统以及内部各种应用软件系统等存在的风险,这些系统很容易导致外界的攻击,一些黑客采取专业手段可以很轻易获取管理员权限,实施拒绝服务攻击。
4电力企业网络和信息安全管理对策
4.1建立健全网络和信息安全管理组织架构
网络和信息安全管理实行统一领导、分级管理原则,企业的决策层组成领导小组,由企业各部门的管理者作为安全小组的管理层。网络和信息安全管理实行专业化管理,包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组。
4.2构建网络和信息安全管理体系框架
在网络信息安全模型与电力信息化的基础上,科学构建网络和信息安全管理体系框架,主要区分信息安全策略、安全运行、安全管理、安全技术措施四个模块,
4.3建立网络信息安全防护对策,合理划分安全域
网络信息安全防护实行双网双机管理,分为信息内网和信息外网,内外网采用独立的服务器及桌面终端,通过逻辑强隔离装置隔离内外网。按照业务类型进行安全区域划分为边界、网络、主机、应用四个层次,实现不同区域防护的差异化及独立性。对于网络安全的核心区域必须实施重点安全防范,比如该区域的服务器、重要数据、数据库服务器,一般用户无法直接访问,安全级别高。电力企业内部计算机和网络技术的应用,划分为管理信息区和生产控制区,建立电力调度数据网专用网络,采用不同强度的安全设备隔离各安全区,数据的远方安全传输采取加密、认证、访问控制等技术手段,实现纵向边界的整体安全防护。
4.4网络信息安全管理制度建设
为确保电力企业网络信息安全,必须做好网络信息安全管理制度建设,具体要做好以下几个方面的内容:①建立计算机资产管理制度、网络使用管理制度、健全变更管理制度,对资产进行标识和管理,执行密码使用管理制度。②实施信息的安全分级保护举措,依据国家相关规定,开展网络信息系统审批、定级、备案工作,严格执行等级保护制度,严格保密核心程序和数据。③做好网络信息安全运行保障管理,对信息系统设备实行规范化管理,及时升级防病毒软件,严格系统变更,及时报告信息系统事故情况,分析原因并落实整改。④建立病毒防护体系,安装的防病毒软件必须具有远程安装、远程报警、集中管理等多种功能,不可将来历不明或是随意从互联网上下载的数据在联网计算机上使用,一旦发现病毒的存在,员工应熟练掌握发现病毒后的处置办法。
4.5信息安全技术保障举措
为切实有效的落实信息安全防护要求,必须根据信息安全等级防护制度落实好“分级、分区、分域”的防护策略,从而更有效的落实信息安全防护预案,根据信息系统定级水平,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。
4.6规范企业人员的管理
规范人员管理首要的是用制度管好人:①企业高层应以身作则,这样员工才可以遵循信息安全管理的要求,由于高层掌握着企业更多的信息资源,密级也高,一旦出现泄漏,会给企业带来更大的损失。②对于关键岗位人员管理要尤其重视,比如:开发源代码人员,直接接触商业机密的人员,从事信息安全管理的人员,需要进行严格管理,定期检查,避免出现“堡垒从内部突破”的机会。③对于离职人员这个群体也不可忽视,必须做好离职人员信息安全审计工作,离职前,必须要求其变更其访问权限,与接手人员一起清点和交接好信息资产,避免信息泄漏事件的发生。④加强与供应商和合作伙伴信息安全的管理,在日常的交流中严格遵守规定,不得随意公开和透露相关信息。
4.7做好对企业信息资产管理分析
依据信息资产价值,实现根据载体性质不同、形式不同、来源不同做好资产的识别,提高企业劳动生产率,强化信息资产观念,树立企业良好形象。全面、系统、科学的管理信息资产,完善资产管理手段。利用信息资产资源使生产力要素保值增值,推动信息资产共享共建,实现实现外源信息资产的再增值,信息资产的再创新。4.8建立信息安全应急保障机制有风险的地方就要有应急预案,对于电力企业网络信息安全尤其应该如此,要不断健全电力企业信息安全预案,确保设备、人力、技术等应急保障资源切实可用,要加强系统的容灾建设,建立恢复和备份管理制度,妥善保存相关的备份记录。
5结束语
电力网络信息安全与企业的生产经营管理密切相关,电力企业网络信息安全涉及到技术与管理,无论是硬件还是软件出现问题都会威胁到整个网络系统,电力企业网络信息安全管理涉及到人、硬件设备、软件、数据等多个环节,所以其必须着眼整个电力企业的网络信息系统加强顶层建设,实施统一规划,搞好统筹兼顾,建立一套完整的信息安全管理体系,切实做好安全防范工作,解决电力企业信息安全管理问题,才能确保电力信息系统安全、稳定、可靠、高效地运行,有效避免安全问题的存在,保证电力企业的正常生产经营。
参考文献
[1]何隽文.电力企业网络和信息安全管理策略思考[J].中国高新技术企业,2016,28.
[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013,01.
[3]牛斐.电力企业网络信息安全的防范措施[J].科技传播,2012,16.
[4]吴青.浅析网络信息安全管理在电力企业中的应用[J].中国新通信,2013,23.
[5]向继东,黄天戊,孙东.电力企业信息网络安全管理[J].电力系统自动化,2003,15.
