企业信息安全应急预案

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇企业信息安全应急预案范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

企业信息安全应急预案范文第1篇

【 关键词 】 信息安全架构；企业战略；信息安全服务； 信息安全价值； 一致性；可追溯性

【 文献标识码 】 A 【 中图分类号 】 TP393.08

1 引言

信息安全技术和管理经过不断的发展和改善，已经能够比较有效地解决一些传统信息安全问题，如信息安全风险管理、访问控制，脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产，保护信息的安全已不再只是局限于技术和日常管理层面的讨论，信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时，一套合理的访问控制解决方案能够帮助企业快速推出核心产品（尤其是电子商务）和兼并其他企业。当前信息安全发展呈现出新的趋势和要求：（1）信息安全部门逐渐从成本中心转向价值中心，信息安全的各项活动越来越和企业战略紧密相连；（2）企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。

企业的信息安全部门在不断增强其核心影响力的同时，也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划，将信息安全融入到组织的业务流程中，并且保持信息安全控制措施与企业战略的一致性和可追溯性；其二是如何使信息安全的价值得到认可并在组织内部最大化；其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求；其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求，并实现清晰的测量和不断的改进。

当前各企业广泛采用的标准或最佳实践有几种：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。这些标准各有优点，但也有明显的缺憾，如表1所示（缺憾部分用X表示）。

设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。

* 将企业战略转化为信息安全计划，确保信息安全的可追溯性、持续一致性和简洁性，以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中，建立一致性和可追溯性；建立清晰的信息安全架构和愿景，以减少重复和指导信息安全投入和解决方案的实施。

* 基于客户服务理念，信息安全服务价值得到认可，信息安全靠拢业务部门，为信息安全管理和业务管理建立共同语言。

* 全面管理信息安全，满足目前绝大多数法律法规、标准的最佳实际的要求，并具有灵活的可扩展性，当新需求出现后能够将其平滑的融入到现有架构中。

* 系统和集中统一的方式，使信息安全管理可预测和可测量，并不断的改进。

2 信息安全架构设计

2.1 信息安全架构设计所基于的原则

本信息安全架构的设计遵循四大原则。

1） 业务驱动：所有的信息安全目标应该从业务需求中来，从而保证信息安全管理总是做“正确的事”。

2） 整合、统一的架构：现在有数以十计的信息安全相关的法律法规，标准和最佳实践需要去符合或参考，且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中，以保证所有要求都被满足，同时避免不要的重复。例如，ISO27001关注全面安全控制和风险管理，PCIDSS侧重支付卡环境中技术控制和策略管理等。

3） 系统化思维：运用系统化思维可以帮助组织解决复杂且动态的问题，适应运营中的各种变化，减轻战略上的不确定性和外部因素的影响。例如，需要整合机构、人员、技术和流程；需要考虑安全、成本和易用性的权衡；需要靠持续改进（Plan-Do-Check-Act）；需要考虑全面防护和纵深防护。

4） 易用性：信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此，信息安全架构必须易于理解并且实际可操作性要强，应避免太过复杂和晦涩。

2.2 信息安全架构实现

2.2.1 信息安全架构-域试图

基于上面的基本原则，本信息安全架构由三个域组成（如图1所示）：治理（Governance）、保障（Assurance）和服务（Services）。

治理（Governance）： 信息安全治理域强调战略一致性，风险管理，资源管理和有效性测量。治理域又包括三个子域：愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。

* 愿景与战略： 将遵从性要求，信息安全的发展趋势，行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。

* 风险与遵从性管理： 管理信息安全风险使信息安全风险控制在组织可接受的范围内。

* 测量： 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。

保障： 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产：数据层、应用层、IT基础设施层和物理层。

* 预防： 实施信息安全控制措施包括管理措施和技术措施，防止信息安全威胁损害组织的信息安全控态。

* 监测： 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。

* 响应：部署信息安全响应体系迅速、高效的抑制信息安全事件。

* 恢复： 建立组织的可持续性能力，但重要信息系统不可用时，可以在计划的时间内恢复。

服务： 服务域显示了面向客户（内部和外部），协作与知识更新对信息安全实践非常重要。服务域包含三个部分：信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。

* 信息安全服务： 信息安全团队应对待组织内部其他部门和对外部客户一样，基于服务基本协议，提供高质量的信息安全服务。

* 知识管理： 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。

* 意识与文化： 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全，关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。

2.2.2 信息安全架构-组件试图

为支撑信息安全架构的三个域，本信息安全架构组件融合了不同标准和最佳实践的精华部分，并自成一体，如图2所示。本架构参考的标准主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架构在企业内实际应用效果分析

本信息安全架构已被推广和应用到各个行业中，如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。

背景：此保险公司有3000名员工，计划在加拿大多伦多（Toronto）上市，因此需要符合加拿大和行业的一些法律法规的要求，如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求，因此不需要做任何大的改动的情况下（降低成本）就能应用到此保险公司中。

经过9个月的实际运行，公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。

3.1 平衡计分卡（Balanced Scorecard）[10]测评分析

平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目：对企业的贡献，对愿景的规划，内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估，0级表示无成绩，5级表示完美，然后取平均值。2011年7月评估结果显示“企业贡献”为2.2，“愿景规划”为2.5，“内部流程”为2.8，“面向客户”为2.1；2012年7月评估结果显示“企业贡献”为4.1，“愿景规划”为3.9，“内部流程”为3.8，“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。

3.2 总体信息安全成熟度级别分析

本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级，5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间， 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间，如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。

3.3 独立审核发现点数量分析

第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施，包括管理、技术和流程。审核发现点的数量越多，表明脆弱点越多，存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估（依据上市公司的管控要求）。2011年9月审核结果显示有4个高风险项，8个中风险项和13个第风险项；2012年9月审核结果显示无高风险项，且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。

3.4 信息安全事件发生数量分析

信息安全事件（特别是1级与2级事件）发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少，表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件（重大），12个二级安全事件（严重），25个三级安全事件和40个四级安全事件；2012年1月-10月期间有1个一级安全事件（重大），2个二级安全事件（严重），10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。

3.5 鱼叉式网络钓鱼模拟攻击测试结果分析

模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击（点击链接）的人数越少，表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台，在实施本信息安全架构前后分别选取了5个分支机构（共200人）进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名，然后伪造一份看似从信息安全管理员发出的E-mail，此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级，将会影响到原有的帐户和密码，要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。

2011年5月测试结果显示有47%的员工点击了有害链接，点击有害链接的员工中有18%的人输入了密码，点击有害链接的员工中有68%的人完成了在线培训内容；2012年5月测试结果显示有14%的员工点击了有害链接，点击有害链接的员工中有3%的人输入了密码，点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。

3.6 信息安全服务客户满意度调查结果分析

客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力，以及给公司带来的实际价值。满意度百分比值越高，表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。

2011年8月调查结果显示对服务专业质量的满意度为72%，对服务请求响应速度的满意度为46%，对服务态度的满意度为67%，整体满意度为60%；2012年8月调查结果显示对服务专业质量的满意度为95%，对服务请求响应速度的满意度为85%，对服务态度的满意度为92%，整体满意度为88%；如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。

4 结束语

现阶段信息安全管理着重在信息安全的风险控制，随着信息安全管理角色的转变，信息安全需要跟多的与组织战略结合，为组织创造更多的价值，并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点，但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中，验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。

参考文献

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者简介：

企业信息安全应急预案范文第2篇

一、加强企业信息网络安全优化的重要性

1.1提升现代企业的管理质量

在现代企业的发展过程中，信息安全具有不可或缺的重要作用。因此，加强现代企业信息网络安全优化管理，可保障企业信息的安全性和真实性，同时也可保障现代企业信息系统的可用性和机密性。企业信息网络的安全性得以保障，可为信息系统工作质量提供重要的参考数据。此外，信息网络管理人员要对信息网络优化和管理中体现出的实际问题进行总结，并针对信息系统管理中反馈出的实际问题，在企业内部制定针对性的应对方案和措施。最终，接提升现代企业的管理质量，提升整体管理水平。

1.2为现代企业获得更大的经济利益

任何一个企业发展的最终目的均为获得经济利益，利润是企业发展的主要动力。作为现代企业而言，保障企业的信息安全，并保障信息系统的正常运行，方可在有效安全技术的支持，为企业后期发展创造更大的利润空间。通过对企业近年来的发展情况进行分析和总结，利用数据和统计分析的方法，为企业的发展制定全面的发展方案[1]。同时，在进行数据分析和总结的过程中，可及时发现企业发展中存在的问题，并针对具体存在的问题，提出针对性的解决对策，保障现代企业获得更大的经济利益，获得更大的利润空间。

二、现代企业信息网络中存在的安全问题

2.1企业信息网络安全管理制度不健全

纵观目前我国现代企业的信息网络安全管理现状，仍存在较多的安全问题，其中，最为显著的安全问题就是企业内部尚未建立健全的网络安全管理制度。管理制度的不健全势必造成企业信息网络安全出现问题，例如，企业的网络管理工作中频繁出现违规操作的现象，造成信息网络的正常运行受到影响。

2.2企业信息网络安全管理人员的综合素质相对较低

从现代企业的网络安全人员配置上看，大部分现代企业在发展过程中仍存在技术人员缺乏的现象。企业在缺乏专业的技术人员和管理人员，导致企业在发展的过程中难以及时发现信息网络中存在的问题和漏洞。在网络信息技术不断发展的当今社会，企业信息网络安全面临着新的发展机遇[2]。当一些先进的技术、管理方式和操作方式引入到企业中，而企业内缺乏相关的专业人才，将造成企业信息系统的安全性和操作规范化受到影响。因此，现代企业的发展过程中，需要解决信息网络安全管理人员专业技能差、综合素质相对较低的问题，保障网络管理人员可及时解决信息系统在安全维护方面的问题，方可促进现代企业的全面发展。但就目前我国大部分企业的信息网络安全管理人员配置情况上看，解决此问题仍需要经历较长的一段时间，也需要企业付出更多的精力和财力。

2.3尚未制定完善的网络安全事故应急处理预案

在现代企业的发展过程中，加强对企业信息和信息系统安全运行的管理至关重要。企业出现网络信息安全是不可避免的，但企业可通过分析总结出现信息网络安全问题的原因，制定针对性的解决对策，预防信息网络安全事故的发生。但纵观现阶段我国大多数企业的发展现状，大多数企业仅仅意识到了加强网络信息安全管理的重要性，但并未在实际行动上体现出来。通过对现代企业的调查，发现大部分企业尚未制定完善的网络安全事故应急处理预案，当信息网络安全事故发生后，企业在面对安全问题上显得手足失措，难以有效应对。而这样的问题，对于信息网络的安全维护和安全管理而言，将造成较大的负面影响，不利于现代企业的长足发展。

三、实现现代企业信息网络安全优化的策略

3.1加强现代企业信息网络系统的规范化管理

在现代企业信息网络安全管理中，要实现企业信息网络的规范化和系统化，首先需要在企业内部制定严格的责任管理制度，加强安全管理。在网络管理中，通过建构多层防御和等级保护体系，加强对信息网络安全的控制和规范化管理。与此同时，企业要在现代化的发展过程中，要保障自身信息网络系统的安全性，要加强对网络性能的检测力度，并将外网和内网进行有效隔离[3]，为信息网络系统提供安全管理，并在企业的各部门实现信息系统安全管理。

3.2提升现代企业信息网络管理人员的综合素质

在现代企业的发展过程中，信息网络安全优化和管理是一项相对较为复杂且系统的工作。因此，在信息网络安全优化中，网络管理人员的专业能力和综合素质对安全优化管理的工作质量均可产生决定性作用。这则要求企业要对信息网络管理人员进行定期培训，通过在企业内部开展培训项目可使管理人员的管理能力提升，同时也可培养网络安全管理人员严谨的工作态度，让其意识到信息网络安全优化工作的重要性和必要性。与此同时，现代企业还可组织相关技术人员和专家，对企业信息网络安全优化的相关措施进行专题分析。通过系列的专题分析，可了解企业信息网络运行的实际情况，从而激发现代企业网络管理人员的工作热情和工作积极性。最终，可提升网络管理人员的综合能力，提升现代企业信息网络安全管理质量，提升整体管理水平。

3.3制定企业信息网络安全事故的应急方案

现代企业在发展的过程中，难免会遇到各种各样的信息网络安全问题。鉴于此种情况，不仅要提升网络管理人员的综合素质，加强对信息网络的规范化管理。还需要针对企业自身的信息网络安全管理现状，制定完善的现代企业信息网络安全事故应急预案。在制定应急预案的过程中，企业要将目标性、针对性、合理性以及全面化、规范化等特征融入其中。同时，在信息网络的运行过程中，要针对具体的运行情况，适当增加安全事故模拟演习和模拟训练等，提升信息网络管理人员的警惕性，保持认真的工作态度。只有在日常工作中，加强管理和训练，方可在事故发生时从容应对，最大限度降低信息网络安全事故对现代企业信息安全和自身发展造成的负面影响。

企业信息安全应急预案范文第3篇

（一）技术手段实现

即利用一系列较为先进的管理硬件和软件，提升信息安全防护水平目前一般电力企业采用的技术手段有：

1）防病毒技术。信息管理人员通过在防病毒服务器安装杀毒软件服务器端程序，在用户终端安装客户端杀毒软件，实现以防病毒服务器为核心，对客户端杀毒软件的统一管理，部署安全策略等。实现病毒库的定时更新和定时对全网内计算机设备进行扫描和查杀，达到全系统、全网络防毒的目的。

2）防火墙技术。防火墙是企业局域网到外网互联的唯一出口，通过网络防火墙，可以全面监视外网对内部网络的访问活动，并进行详细的记录，确保内网核心数据的安全性。通过对访问策略控制，关闭与工作无关的端口，拒绝一切未经许可的服务。所有的访问都将通过防火墙进行，不允许任何绕过防火墙的连接。

3）入侵检测技术。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

4）桌面管理系统。桌面管理系统方便信息安全管理员管理企业内部计算机的信息安全软件。利用桌面管理系统，可以收集计算机台账信息与IP占用情况、分发漏洞补丁、实现对移动存储管理，自动阻断非法外联、对弱口令账户进行扫描、对客户端进行控制，强制性阻断其联网功能或进行远程维护等功能。

5）虚拟局域网（VLAN）技术。基于ATM和以太网交换技术发展起来的VLAN技术，把传统的基于广播的局域网技术发展为面向连接的技术，从而赋予了网管系统限制虚拟网外的网络节点与网内的通信，防止了基于网络的监听入侵。

（二）管理手段实现

做好网络信息安全工作，除了采用上述的技术手段外，还必须建立安全管理机制。良好的管理有助于增强网络信息的安全性，只有切实提高网络意识，建立完善的管理制度，才能保证网络信息的整体安全性。

1）通过全员培训，提升员工信息安全水平。信息管理人员除了要制止员工的不安全操作，也应该告知员工要如何做。让员工明白使用弱口令、不安全账户、随意共享等对企业信息安全的危害，教育员工正确使用终端设备、重要备份数据、利用压缩软件加密等操作，从源头入手，堵塞信息安全漏洞。

2）通过应急演练，提升面对信息安全事故的反应能力。突发事件应急演练是为了提高应对突发事件的综合水平和应急处置能力，以防范信息系统风险为目的，建立统一指挥、协调有序的应急管理机制和相关协调机制，以落实和完善应急预案为基础，全面加强信息系统应急管理工作，并制定有效的问责制度。坚持以预防为主，建立和完善信息系统突发事件风险防范体系，对可能导致突发事件的风险进行有效地识别、分析和控制，减少重大突发事件发生的可能性，加强应急处置队伍建设，提供充分的资源保障，确保突发事件发生时反应快速、报告及时、措施得力操作准确，降低事件可能造成的损失。

3）通过管理制度，提升信息安全管理水平。信息安全需要制度化、规范化。把信息安全管理真正纳入公司安全生产管理体系，并能够得到有效运作，就必须使这项工作制度化、规范化。要制定出相应的管理制度。如建立用户权限管理制度、口令保密制度、网络与信息安全管理制度、上网行为规范制度等一系列的安全管理制度和规定，并强化考核力度，确保严格执行。

企业信息安全应急预案范文第4篇

[关键词] 网络环境； 现代企业； 信息安全； 问题； 对策

[中图分类号] F208 [文献标识码] A [文章编号] 1673 - 0194（2013）04- 0084- 02

现代企业的信息安全是指在管理上和技术上对数据处理系统进行安全的保护，使计算机的软件、硬件、保密数据等不会遭到破坏、更改、泄露。通过对企业信息安全的管理，能够保护企业信息的机密性和完整性，保护企业的生产运营安全，是企业发展的必不可少的环节。

1 网络环境下现代企业信息安全存在的问题

1.1 人为因素造成的安全问题

现代企业之间的竞争十分激烈，企业管理者把精神都集中在企业的生产和经营上，对计算机的管理不够重视，加上网络属于新生事物的一种，人们会利用网络进行娱乐活动，却忽视了网络的安全性，缺乏网络安全意识，企业员工在工作时间利用网络进行娱乐活动的行为十分普遍，由于自身的安全意识匮乏，不但浪费了企业的网络资源，也加大了病毒侵害的可能性，威胁了企业的信息安全。企业信息安全的管理需要管理部门重视起来，现实中，企业对信息安全的管理投入很少，安全防范做得不好，管理者对信息安全管理的认识不足，下面的员工安全意识也淡薄，规章制度不完善，信息安全管理无据可依，管理者也没有对信息安全进行有效的监督，没有在第一时间发现网络存在的问题，甚至在网络不能正常运行了才去解决问题，给公司发展带来不利影响。

1.2 网络技术自身存在的安全问题

随着网络技术的发展，各种软件也不断更新换代，现在Windows 7正在大规模地进军国内市场，微软不断推出新的产品，各种操作系统的漏洞也一直存在，为病毒的滋生提供了机会，很多网络软件存在后门，这些后门原本是编程人员为了软件的扩展和维护设置的，如果被不法分子发现，对公司的信息安全有很大的威胁。计算机犯罪中最典型的就是黑客的攻击，黑客攻击也分为主动攻击和被动攻击两种，主动攻击直接为企业的信息完整性、机密性造成破坏，被动攻击虽然能够保证公司电脑的正常运行，但企业的重要信息可能会被截获、窃取，都严重影响了企业信息安全。

1.3 设备环境造成的安全问题

从网络环境来说，外部环境对企业信息安全也构成威胁，企业的计算机房的位置不能是随便设置的，需要有一定的安全技术要求。网络的线缆等通信设施容易被人为破坏，或者受到自然环境如地震、雷雨、电磁场等环境的影响发生破坏，并且自然环境的影响是不可预测的，一旦出现问题，会给企业的信息造成直接的破坏，影响信息的完整性。计算机的硬盘、内存的运行状况也应该得到管理人员的注意，计算机设备的防盗等都是问题，企业员工在工作过程中往往会拷数据回家，或者加班后在用U盘等移动设备把资料拷贝到公司电脑中，增加了企业计算机中毒的危险。

2 解决企业信息安全问题的对策研究

2.1 重视信息安全管理，加强制度建设

首先，企业管理者应该认识到企业信息安全的重要性，认识到网络保护的重要性，提高信息安全意识，这样才能加强制度建设，做好信息安全管理与监督工作。计算机房是重要场所，它的设置也需要一定的隐蔽性，一般不要设置在公司一楼。企业应该建立和完善信息安全管理制度，帮助员工树立信息安全意识，明确信息安全保护的对象和目标，保证各项管理制度的落实执行，制订明确科学的操作流程，规范员工的日常操作行为，制订应急预案和网络维护制度，计算机管理人员应该每天对计算机系统进行检查或者更新，及时发现网络运行中出现的问题，防止病毒的产生，在发生问题后把损失降到最低。

2.2 加强企业信息安全的网络技术控制

依靠网络技术来保护现代企业信息安全是十分有效的方式，网络技术手段主要有防火墙、信息加密与认证、病毒防控、数据备份等方式。防火墙是网络技术中保护信息安全最重要的技术之一，它通过设置屏障阻止黑客的访问，能够有效防止病毒的侵入，企业应该按照质量可靠的防火墙，并时刻关注防火墙的问题与升级情况。直接对企业信息进行加密也是有效的方法之一，企业可以设置专门的访问密码，仅供本公司员工使用，或者每个员工都有自己的上网编号，输入之后才能访问公司网络，公司也可以根据浏览记录查看哪些员工上网，能够有效防止企业人员泄密行为，对重要文件采取多种加密措施。企业应该注意对防病毒软件的更新换代，提高防毒、杀毒的效率，保证系统的安全。电脑一旦中毒，一些文件就可能丢失或者被更改，企业需要对重要文件进行备份，这样在发生中毒之后能够将损失降到最低。

2.3 加强法制建设，运用法律武器保护企业信息安全

现代企业的信息安全应该受到法律的保护，公司的机密文件关系到公司的生死存亡，关系到社会公平竞争，关系到个人隐私，应该受到法律的保护。国家应该完善企业信息安全的法律法规，为企业保护自己的权益提供法律武器，企业也应该具有法律意识，在公司的信息恶意遭到破坏和侵害时，不是采用同样的方法对待竞争企业，而是应该拿起法律武器保护自己，用国家法律来抵制侵犯，保护自己企业的信息安全与完整。

3 结 语

网络的发展是一把双刃剑，在给社会进步和发展带来巨大益处的同时，也带来了一些负面影响，企业应该辩证对待网络时代的发展，充分利用网络环境带来了优势，通过技术手段创新、管理加强、法律法规的完善等措施来保护企业信息安全，为企业的发展创造安全的环境。

主要参考文献

[1] 薛伟莲. 保证信息与网络安全的网络伦理规范体系的构建[J]. 网络与信息，2010（11）.

[2] 费宏伟. 保证电算化时代会计信息安全的几点思考[J]. 东西南北·教育观察，2010（11）.

[3] 张红，金永利，邱大成. 网络环境下会计信息安全的技术控制措施[J]. 中国高新技术企业，2009（10）.

企业信息安全应急预案范文第5篇

关键词：供电企业；网络信息；安全管理

作者简介：赵孔燕（1980-），女，山东淄博人，山东惠民供电公司调度所，工程师；索玉海（1961-），男，山东惠民人，山东惠民供电公司调度所主任，工程师。（山东惠民251700）

中图分类号：F270.7     文献标识码：A     文章编号：1007-0079（2012）12-0138-02

随着电力系统信息化的全面推进，信息化已经成长为增强供电企业核心竞争力的重要驱动力。目前，“SG186”信息化工程不断完善，国家电网资源计划系统（ERP）上线运行，相继接入企业信息网络平台的应用系统越来越多，各应用系统间的数据交换日益频繁。因此确保供电企业内部网络信息系统的安全稳定运行，适应当前建设智能电网和“三集五大”体系建设新的工作要求，成为摆在我们面前的一个艰巨任务。为此，从九方面着手，来保障网络信息系统的安全运行。

一、完善机制，落实责任

企业的健康发展离不开严格的企业制度和明确的责任分工，信息安全保障工作的开展也不例外。为提高网络信息系统整体安全防护能力，强化公司内部信息安全，山东惠民供电公司成立了信息安全组织机构，组织机构分为领导小组和工作小组，其中领导小组的主要职责是：全面负责公司信息安全管理工作，领导实施各项信息安全各种规章制度，指导公司各种信息安全工作的开展，确保本单位不发生重大信息泄露事故。工作小组的主要职责是：负责信息安全基础防护知识的宣贯、普及工作；负责做好公司信息安全防护体系建设准备及实施工作，落实信息安全“八不准”和“五禁止”，确保不发生任何信息安全事件；负责公司信息安全技术监控及运行、维护和管理工作，坚决贯彻执行各项信息安全规章制度和领导小组的各项指令。

二、统一部署、双网双机

按照国家电网公司要求和山东电力集团公司及市公司统一部署安排，公司实行信息外网统一出口，实现了集团公司层面的统一。信息内外网实现物理分开，双网双机，网络专用。严禁办公终端计算机私自使用拨号、移动无线连接等任何方式接入因特网。在信息外网出口安装IPS入侵防御设备，可以实时主动拦截各类黑客攻击和恶意行为，保护信息网络架构免受侵害，阻断非授权用户的使用，降低了不安全因素。

信息内网统一安装桌面管理系统，能有效控制内网计算机。计算机实名注册并进行IP地址和MAC地址绑定，计算机管理员可以实时查看内网计算机的应用情况，插件的安装以及杀毒软件的运行等。启用移动存储审计策略和违规外联策略，严格控制内网设备违规外联，对公司的移动存储介质进行实名注册，严格控制信息的流入流出。

三、分区分域、等级防护

对公司的信息系统分成生产控制大区和管理信息大区，并对所有的业务系统进行等级划分，实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区，调度数据网络作为专用的数据网络，划分为安全区I，它使用不同的网段单独组网，它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙，并严格控制相互之间访问。

四、注重口令设置和数据备份

口令设置是信息安全管理中重要的一环。要求所有的服务器和每一台办公计算机都要设置开机密码，密码长度不小于8位，并且是字母和数字或特殊字符混合而成，密码不得与用户名相同并要求定期更换。另外要求每台计算机都要设屏幕保护，屏保时间设在15分钟左右，并开启恢复时使用密码功能；关闭远程桌面。这样可以有效防止外来人员访问他人电脑或内部心怀不轨的人员通过远程访问他人电脑。数据备份和恢复计算机管理员必须定期对重要的数据进行备份，这是保护信息安全的重要手段，它可以有效防止病毒入侵、操作人员误删除和设备磁盘故障等带来的数据丢失，备份要保存在当地磁盘和异地磁盘两份。个人办公计算机中重要的文件资料可以加密存放，并形成备份。

五、加强防病毒软件部署及管理

根据公司的计算机数量，统一购买安装企业版杀毒软件。为避免防病毒软件之间的冲突导致一些插件不能正常安装和运行以及文件的误删除，要求一台机器只能安装一款防病毒软件，禁止使用任何规定之外的防病毒软件。公司设专人负责定期进行病毒库的更新，并通过桌面管理系统统一发放病毒库升级通知，对机器病毒库自动进行升级，能有效防范网络病毒、木马。

六、漏洞扫描和隐患排查

漏洞扫描系统是一个自动化的安全风险评估工具，对公司的信息系统进行定期、全面、系统的信息安全风险评估，发现和分析信息系统中存在的漏洞，并及时进行整改。定期开展自测评与整改。通过自测评，及时发现信息系统中存在的问题和隐患，针对发现的问题制定相应的措施进行整改，可以有效降低信息系统安全隐患，进而将风险评估工作常态化、制度化。这也充分印证了信息管理也是遵循PDCA的过程模式，是一个动态的持续改进的过程。信息安全管理流程图如下图1所示。

七、物理安全和主机安全

公司每位职工都有保护自己办公电脑的义务，要求下班后关闭主机和显示器，这不仅可以增长机器的使用寿命也可以保护主机硬件设备，特别是雷雨天气，最好拔掉电源开关。对机房的服务器设备，首先，机房的环境应满足防风、防雨、防雷、防震等要求。其次，在机房出入口配置电子门禁系统，对进入机房的外来人员要严格登记，并有专人陪同。再次，在机房内安装机房环境监控系统，对机房的火灾自动报警，最好能够自动消防，如果不能也要配备足够的消防设备，保证机房设备的运行安全。最后，机房的温湿度也是影响设备安全运行的重要因素，因此配置温湿度调节设施，满足机房管理制度中规定的“夏季机房温度控制在23±2℃、冬季控制在20±2℃”的要求。

计算机管理员对机房服务器访问管理要严格控制，为操作系统和数据库系统的不同用户分配不同的用户名和访问权限，限制默认账户的访问权限。在不影响应用系统正常运行和访问的情况下，在服务列表中关闭有可能导致系统遭受侵害的一些服务。

八、应急响应和灾难恢复

建立切实可行的应急预案和灾难恢复预案，可有效预防和正确、快速应对网络及信息安全突发事件，最大限度地减少影响和损失，确保网络系统安全、稳定运行。