前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全应急管理制度范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
通过政府网站安全漏洞专项整治行动,堵塞安全漏洞,消除安全隐患,落实管理责任,加强安全管理,提高信息安全保障能力和水平。专项整治行动要坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,各部门各单位负责本部门的政府网站及下属网站自查并接受市、区检查。
二、组织领导及分工
为保障本次专项整治行动扎实推行,成立政府网站安全漏洞专项整治行动领导小组,组长由副区长谷云彪同志担任,成员由区科技和信息化委员会、公安分局、区保密局分管领导组成。领导小组下设办公室,办公室设在区科技和信息化委员会。各有关部门要明确分管领导和具体人员,按照全区部署做好专项整治。具体分工:
专项整治行动由区科信委牵头,公安分局、区保密局、区政府各部门共同承担。
(一)区科信委:负责本次专项整治行动的总体组织、协调工作。负责检查网站信息安全管理情况,组织检查网站的软硬件环境及风险漏洞等。
(二)公安分局:负责检查网站中被敌对势力攻击的情况,包括被敌对势力攻击、窃取信息等,并进行相应处理。
(三)区保密局:负责检查网站信息内容的安全保密情况,并进行相应处置。
(四)各部门各单位:负责检查本单位所属门户网站、业务网站及下属单位网站的安全情况,并接受市、区检查。
三、检查范围及重点
本次检查范围主要是接入互联网的政府网站,包括区政府门户网站、业务网站及各单位门户网站。检查的重点内容:
(一)网站安全漏洞排查
重点进行网页脚本检测、网站挂马情况检测、网站架构安全检测、服务器主机检测、网络边界设备检测。
(二)安全防护措施落实情况
信息安全员是否到位,是否经过相关专业培训,是否具有合格的信息安全防护技能,是否熟练掌握已有信息安全防护设备的使用方法和配置调试。
网站安全防护设备包括网页防篡改、防病毒、防攻击等是否安装到位,账户和口令的管理措施,操作系统、应用软件、病毒防护软件的补丁升级,网站域名安全管理措施等是否严格执行。
(三)信息安全管理制度落实情况
网站信息安全管理制度包括网站安全管理制度、网站信息安全通报制度、信息审核登记制度、网站服务器机房管理制度、网站值班制度、安全责任追究制度等的建立和落实情况。
(四)应急响应机制建设情况
网站信息安全突发事件应急预案制定、演练、落实情况,应急技术支援队伍建设情况,重大信息安全事故处置情况,网站重要数据和系统的灾难备份情况等。
(五)网站安全漏洞整治情况
对网站设备设施、防范措施、安全制度等方面存在的漏洞和薄弱环节的分析排查情况,研究和制定整改措施等情况。
四、工作任务和时间安排
(一)各部门自查阶段:年月中旬。
各部门针对全区检查出来的问题进行研究分析,拿出解决办法,于月日反馈科信委。同时对本部门下属单位网站安全情况进行检查梳理,对发现的问题及时进行整改。
(二)全区整改阶段:年月下旬。
由区科信委会同有关单位针对检查结果,采取架设软硬件设备、修改开发系统、实行全区集中管理等办法,配合各部门对网站漏洞进行整改,同时指导各单位建立管理制度。
(三)迎接全市检查阶段:年月
保障本单位网站安全稳定运行,迎接市有关单位组织的安全检查工作。
五、要求
(一)各单位要充分认识开展政府网站安全漏洞专项整治工作的极端必要性,切实加强组织领导。各负其责,把本次专项整治工作抓出成效。
(二)各单位要制定完备的网站信息安全管理制度和应急响应机制,落实安全人员和责任。对检查中发现的管理和技术漏洞,要积极采取措施,进行配置和升级、加装网站保护设备、及时堵塞漏洞,消除安全隐患。从长远考虑,有条件的单位招聘选拔具有专业知识的工作人员管理网站。
关键词:国土资源;信息化;制度
中图分类号:TP316 文献标识码:A文章编号:1007-9599 (2011) 10-0000-01
Talking on the Land System-level Protection Self-examination
Li Ling
(Guangxi Guigang Land&Resources Bureau,Guigang537100,China)
Abstract:Information Security Protection is a national economic and social information in the development process,improve the capacity and level of information security,national security,social stability and public interests, protect and promote the healthy development of basic information technology strategy.
Keywords:Land resources;Informatization;System
一、等级保护发展现状
2007年由国土资源部信息化工作办公室牵头面开展了国土资源信息系统安全体系建设工作,其中严格根据等级保护管理办法对全国整个国土信息系统安全等级保护工作主要分为定级、备案、整改、测评和监督检查五个环节。
二、等级保护定级简法
等级保护政策将信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定:
一是从业务信息安全角度反映的信息系统安全保护等级,称业务信息安全保护等级。二是从系统服务安全角度反映的信息系统安全保护等级,称系统服务安全保护等级。我们可以将其归纳为如下表格方便我们自己定级:(例如,A系统是某单位门户网站。当该网站被黑客攻击后若篡改了系统内容或者虚假新闻,则有可能对单位自身造成负面影响,使得公信力下降,属于严重影响;其次该系统被黑客了虚假新闻有可能会煽动、迷惑社会群众,造成社会混乱,属于严重影响;但是该系统不涉及国家安全内容,故对国家安全没有任何影响)。
某单位A门户网站系统定级:
业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
根据上表结果,某单位A门户网站系统信息安全保护等级应定为第三级(取最高级别)。
三、等级保护制度自查
安全管理制度主要涉及组织体系的运作规则,确定各种安全管理岗位和相应的安全职责,并负责选用合适的人员来完成相应岗位的安全管理工作,监督各种安全工作的开展,协调各种不同部门在安全实施中的分工和合作,保证安全目标的实现。
制度的文档化管理是非常重要的工作。无论是人员管理、资产管理,还是技术管理和操作管理,都应该建立起完备的文档化体系,一方面让安全活动有所依据,另一方面也便于追溯和审查。安全策略文档体系开发完成后,要形成包括信息安全方针、信息安全规范,相应的安全标准和规范、各类管理制度、管理办法和暂行规定等文档。
各项制度自查项目如下:
1.存储设备报废销毁管理规定;2.安全日志备份与检查;3.人员离岗离职管理规定;4.固定资产管理制度;5.外部人员访问机房管理情况;6.计算;7.机类设备维修维护规定;8.应急预案;9.应急演练;10.安全事件报告和处置管理制度;11.技术测评管理制度;12.安全审计管理制度。
四、等级保护技术自查
基本要求 技术要求控制点 技术防护措施
网络安全 结构安全 防火墙
访问控制 防火墙或者路由器、交换机访问控制列表
安全审计 安全审计系统
入侵防范 防火墙或者入侵防御系统
网络设备防护 防火墙或者入侵防御系统
主机安全 身份鉴别 帐户密码、或者数字证书认证
访问控制 防火墙或者路由器、交换机访问控制列表
安全审计 安全审计系统
入侵防范 防病毒软件
恶意代码防范 防病毒软件
资源控制 防火墙或者路由器、交换机访问控制列表
应用安全 身份鉴别 帐户密码、或者数字证书认证
访问控制 防火墙或者路由器、交换机访问控制列表
安全审计 安全审计系统
通信完整性 数字证书认证
通信保密性 数字证书认证或者VPN隧道
软件容错 双机热备系统
资源控制 防火墙或者路由器、交换机访问控制列表
数据安全 数据完整性 数据库加密
数据保密性 隔离网闸系统或者网络隔离卡
安全备份 双机热备系统
【关键词】 会计信息安全;研究现状;体系
会计信息安全目前尚无确切的定义。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”,因此,会计信息安全可以理解为会计信息应具备完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。如何保证会计信息安全,特别是如何在内部控制框架下实现会计信息安全,是会计工作者当前需着手研究和解决的问题。
一、我国会计信息安全的研究现状
我国会计工作者致力于研究内部控制与会计信息相关的问题,本文以“内部控制”、“会计信息”、“会计信息质量”和“会计信息安全”,分别以题名和关键词,在1979-2010年中国期刊全文数据库的权威专业期刊中进行文献检索,结果如表1。
从文献检索结果可知,国内已有不少学者采用规范研究和实证研究,以上市公司为样本对内部控制信息披露以及会计信息质量进行分析和研究,形成了一些内部控制与会计信息质量、以及与会计信息安全相关的要素观点,初步建立了内部控制与会计信息质量监控体系,但还没有形成以“会计信息安全”为主题的论点。
二、会计信息安全的基本内容
在我国《会计法》及《企业会计准则――基本准则》中,会计信息是指会计数据经过加工处理后产生的,为会计管理和企业管理所需要的经济信息。会计信息的质量特征,包括会计信息的相关性、可靠性、及时性、中立性、可比性、实质重于形式、谨慎性、清晰性等。
根据相关法律规定,参照国家信息安全标准,可以把会计信息安全理解为会计信息在当今高度发达的信息化环境下的安全,至少包括载体安全、过程安全、数据安全和人员安全等方面。其中载体安全,包括环境安全、设备安全和媒体安全等方面;过程安全,包括安全风险管理、安全日志、数据恢复及备份、应急处理等方面;数据安全,包括完整性、保密性和认可性三个方面;人员安全,包括安全意识、法律意识、安全技能等方面。
会计信息安全是对会计信息的信息采集与信息供应的安全性要求,包括会计信息的秘密性、完整性、真实性、可传播性、可用性和可控性。会计信息失真正是说明会计信息已经显现不安全状态。会计信息安全的形式,至少包括:(1)会计信息真实反映;(2)会计信息及时反映;(3)会计信息完整反映;(4)会计信息有用反映;(5)会计信息安全反映。
三、会计信息安全体系探讨
根据《企业内部控制基本规范》,建立会计信息安全体系,是当前提高会计信息质量的有效途径。在构建会计信息安全体系框架时,应先着手完善会计信息加工、处理、披露、监管的社会环境,特别是:一要完善现行法律法规,增强法律的威慑作用;二要尽快完善会计准则和会计制度;三要强化继续教育,不断提高会计人员业务素质;四要加强会计监督,切实提高注册会计师服务质量。
会计信息安全体系应围绕信息的完整性、可用性、保密性和可靠性等方面进行构建,构筑这四大保障屏障以建立会计信息安全体系。
(一)会计信息完整性的保障措施
会计信息完整性是指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。可采取:(1)保证会计信息处理过程完整。保证会计信息输入、处理过程的完整,规范会计处理程序,建立信息约束机制和责任追究制度。(2)保证会计信息处理要素完整。在信息处理过程中,对形成会计信息的各项综合要素,不可遗漏。(3)保证会计信息不被非法篡改。建立会计信息授权处理机制,建立数据权限分级修改和数据跟踪制度,保证数据和信息不被非法修改和破坏。(4)保证会计信息披露完整。建立会计信息披露公告制度,规范披露的格式、内容、时间及媒体等。
(二)会计信息可用性的保障措施
会计信息的可用性是指会计信息的者能够保证信息被有效地传递到接受方并且该信息被接受方有效地加以使用且可控。可采取:(1)授权批准控制。授权批准是指企业在处理经济业务时,必须经过授权批准以便进行控制,对涉及会计及相关工作的授权批准的范围、权限、责任等内容作出明确决定。(2)会计系统控制。建立基础控制、凭证控制、账簿控制、纪律控制和实物控制制度,保护企业各项资产的安全和完整,防止资产流失,提高经营管理效率,提高信息公正性。(3)职责分工控制。明确规定处理各种经济业务的职责分工和程序方法,建立内部牵制、内部稽核、内部审计等内控机制。
(三)会计信息保密性的保障措施
会计信息的保密性是指会计信息只透露给有权知道会计信息的人,保证会计信息不会被非法泄露和扩散,防止对会计信息的非授权或非法泄漏。可采取:(1)保障原始数据安全性。增加信息来源的复杂性、信息接触部门和人员的多样性、内控制度的复杂性,以减少原始数据错误和信息篡改风险。(2)保障会计档案安全性。建立完备的电子档案保存、检查、复制等制度,保障会计档案安全。(3)保障分级授权安全性。实行用户分级授权管理,建立岗位责任制,推广应用生物识别技术,增加密码的安全性。(4)保障会计系统安全性。提供后备供电系统,及时修补系统漏洞,采用数据加密技术,加强数据备份,数据及时归档,构筑防火墙,制定系统灾难恢复计划。(5)建立会计信息安全管理制度。会计信息安全管理制度至少包括系统开发或选购制度、维护制度、机房管理制度、访问权限设定、备份制度、档案管理制度、授权管理制度、岗位责任制度、操作规程、日常评估制度、安全审计制度、应急处理制度等。
(四)会计信息可靠性的保障措施
可靠性是指确保信息能免于错误及偏差并能忠实反映它意欲反映的现象或状况的质量。可采取:(1)完善财会法规体系,加大惩治力度;(2)规范会计工作秩序,健全会计职业管理制度;(3)健全审计外部监督机制,强化再监督机制;(4)完善内部治理结构,消除内部人控制现象;(5)开放会计市场,全面引入竞争机制;(6)加强信息披露的透明度,提供高质量信息;(7)重视公司治理生态问题,约束信息披露;(8)提高从业人员的诚信道德水平,增强其专业胜任能力;(9)减少会计政策的可选择空间,防止会计信息的技术性失真等。
【主要参考文献】
[1] 田志刚,刘秋生.现代管理型会计信息系统的内部控制研究[J].会计研究,2008(10):23.
[2] 李明辉,何海,马夕奎.我国上市公司内部控制信息披露状况的分析[J].审计研究,2003(1):23.
[3] 张砚,杨雄胜.内部控制理论研究的回顾与展望[J].审计研究,2007(1):73.
[4] 杨玉凤.内部控制信息披露:国内外文献综述[J].审计研究,2007(7).
[5] 杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008(3):53.
关键词 电力企业;信息系统;信息安全
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2011)122-0116-01
电力作为国民经济的基础设施行业,在国内较早开始了信息化建设工作。企业门户、安全生产、营销管理、协同办公、电力负荷控制、客户服务等信息网络技术已经成功应用到各级电力企业。随着电力信息化建没和应用的快速发展,信息安全问题已日益突出,并成为国家安全战略的重要组成部分。
研究信息安全技术,建立电力信息系统的安全防护体系和安全模型,对确保电力系统安全稳定、经济优质运行,加速实现“数字电力系统”的进程具有重要的现实意义。
1 电力信息系统安全需求
一个全面、合理的电力信息系统安全体系和模型,应该满足下列安全需求。
1)机密性。即确保信息仅对被授权者可用。信息的保护通过确保数据被限制于授权者(这里通过可审性来配合)使用,另外还应考虑信息所在的形式和状态,是物理的纸面形式、电子文档形式,还是传输中的介质形式。
2)完整性。是指数据不以未经授权方式进行改变或损坏的特性。电力企业的许多开放系统应用都有依赖于数据完整性的安全需求。完整性同样应考虑信息所在的形式和形态。
3)可用性。指确保被授权用户在需要时可以访问系统中的信息和相关资产,不会因自然或人为原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏、被拒绝达到不能容忍的程度。
4)可控性。指授权机构对信息的内容及传播具有控制能力,可以控制授权访问内的信息流向以及方式。
5)不可抵赖性。也称信息的可确认性,是传统社会的不可否认需求在信息社会的延伸。不可抵赖性包括:证据的生成、验证和记录,以及在解决纠纷时随即进行的证据恢复和再次验证。
6)可审性。可审性不是信息自身的安全需求,不能针对攻击提供保护,但具有信息的责任需求,和他安全需求相结合使之更加有效。虽然可审性需求会增加系统的复杂性,降低系统的使用能力。但是其事后可追查这一特性,在电力信息系统安全中是重要的。
以上六个方面是保证信息系统的信息安全最基本的需求,它们互不能蕴含。
2 电力信息系统面临的威胁和安全风险
电力信息系统安全在过去几年虽然已经取得了长足发展,但是在信息系统的规划、建设和运行维护过程中需要研究和解决的问题还很多。
1)面临的威胁电力信息系统面临的威胁来自各个方面。归结起来主要包括以下几个方面:①电力信息系统组件固有的脆弱性和缺陷;②地震、雷击、洪灾和火灾等自然威胁;③意外人为威胁;④恶意人为威胁。
2)电力信息系统存在的安全风险。信息安全风险和信息化应用情况及采用的信息技术密切相关,电力企业信息系统面临的主要风险存在于以下几个方面:①计算机病毒的威胁最为广泛;②网络中服务器被黑客攻击的事件层出不穷;③网络安全问题日益突出,这是电力企业面临的一个非常突出的问题;④电力企业与外单位信息传递的安全不容忽视;⑤电力企业用户身份认证和信息系统的访问控制急需加强。
3 电力信息系统安全的建设
为加强和规范信息安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,结合电力企业自身的特点,坚持“安全第一,防御为主”方针,有目的、合理地设计电力信息系统安全体系和模型,建立健全与信息化相适应的信息安全保障、监督体系,积极防御和综合防范信息技术风险。
1)建立信息安全工作机制。信息系统实行统一领导、分级管理,明确各单位主要负责人是本单位信息系统安全第一责任人。将信息系统安全纳入公司安全管理体系,实行专业管理、归口监督,明确责任人员,提高各级人员的信息安全意识,实现信息系统安全管理和防御措施落实到位。
2)明确信息安全管理范围和任务。全面加强一体化企业级信息集成平台和业务应用的安全管理,确保信息系统持续、稳定、可靠运行。坚持“分区、分级、分域”总体防护策略,实行“双网双机”,按照 “三同步”原则,与信息系统建设同步规划、同步建设、同步投入
运行。
3)完善信息安全管理制度体系。统筹规划,突出重点,加快信息安全管理制度和标准规范建设步伐,强化信息安全规章制度落实工作。严格遵守“不上网、上网不”纪律,开展网络与信息系统定级、审批、备案工作。加强信息系统运行维护全过程管理,不断完善应急预案。建立备份与恢复管理相关安全管理制度。
4)严格执行电力二次系统安全防护规定。要切实贯彻落实电力二次系统安全防护总体方案及各级调度中心二次系统安全防护方案,切实将其纳入电力安全生产管理体系,建立健全电力二次系统安全联合防护和应急机制,制定并完善应急预案。按照“安全分区、网络专用、横向隔离、纵向认证”的基本原则,加强调度数据网络的建设和安全符理。
5)加快信息安全管控手段建设。全面推进个人终端标准化建设工作,实现个人终端补丁程序、病毒软件自动更新、升级,强化防木马病毒等安全措施。增加信息安全监控措施,加快建立信息安全监控手段,实现对防火墙、入侵检测等安全防护设施的集中监视和事件预警。
6)强化信息安全应急与通报工作。不断完善信息安全应急机制,制定预案,加强演练。规范信息安全事件通报程序,及时传达国家和企业信息安全运行动态,及时响应和处理信息安全事件,加强事件分析,实时安全通告。
7)高度重视信息安全保密工作。严格做到“计算机不上网,上网计算机不”,禁止内容在互联网上存储和交叉使用,加强安全保密管理,严格人员审批,及时开展信息系统安全保密检查,做好文档的登记、存档、销毁、定密、解密等各环节工作,及时发现泄密隐患。
8)提高全员信息安全意识。开展全员信息安全培训,全面树立决策层、管理层、操作层信息安全风险意识,不断积累信息安全管理经验。开展不同层面的安全教育和培训工作,适应信息技术发展的潜在
要求。
参考文献
[1]计算机网络技术[M].西安电子科技大学出版社,2006.
根据关于对政府信息系统安全检查的通知要求,我局认真进行了检查梳理。现我局共有信息系统总数5个,面向社会公众提供服务的信息系统数2个,委托社会第三方进行日常运维管理的信息系统数1个,经过安
全测评(含风险评估、等级评测),5个系统数均为安全。在系统运行中,无失泄密和受到过病毒木马等恶意代码感染,本部门门户网站未受攻击和篡改(含内嵌恶意代码)。与上一年度相比信息安全工作取得的好的长足的进展,整体信息安全状况良好。
二、2011年信息安全主要工作情况
(一)信息安全组织管理。我局成立了以吕艳副局长为组长,各个科室负责人为成员的信息安全工作领导小组,全面负责信息安全工作。确定了局办公室为信息安全管理工作的具体承办机构,办公室主任为具体负责人,并指定公文收发员为我局兼职信息安全员。
(二)日常信息安全管理。在人员管理上,认真落实信息安全工作领导小组、安全管理工作的具体承办机构及信息安全员的职责,制定了较为完善的检查信息安全和保密责任制建立并认真严格地落实情况,对于重要电脑和设备,严禁人员在离岗离职信息的情况打开运行。对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。在资产管理上,办公软件、应用软件等安装与使用情况严格按规定办理,计算机及相关设备维修维护管理、存储设备报废销毁管理按保密相关要求执行,杜绝随意马虎。在运维管理上。信息系统运营和使用按相关权限进行管理、日常运维操作由具体负责人进行操作、定期进行安全日志备份和信息安全分析。委托了昆明众彩科贸有限公司文山分公司运行管理的我局门户网站,在与昆明众彩科贸有限公司文山分公司签订服务协议的同时,明确了相关的安全保密事项和协议。
(三)信息安全防护管理。在办公计算机和移动存储设备安全防护上。计算机采取集中安全管理措施,设置每台计算机账号口令并随时更新。计算机接入互联网实行了实名接入、对计算机
ip和mac地址进行绑定、指定固定上网ip地址,并安装病毒防护软件,定期进行漏洞扫描、病毒木马检测。杜绝在非和信息系统间混用了计算机和移动存储设备,禁止使用了非计算机处理信息等。在门户网站安全防护上,落实网站信息审批制度,实行了边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署,定期进行漏洞扫描、木马检测。
(四)信息安全应急管理。根据《云南省网络与信息安全事件应急预案》精神,制定了本部门信息安全应急预案,认真组织开展了相应的宣贯培训。按照应急预案要求明确了昆明众彩科贸有限公司文山分公司为我局的应急技术支援队伍。根据实际需要对重要数据和信息系统进行了灾难备份。
(五)信息安全教育培训。我局领导干部和科室工作人员全员参加信息安全教育培训、掌握信息安全常识和基本技能。对于信息安全管理和技术人员也定期参加信息安全专业培训
三、信息安全检查等方面开展的工作情况
我局经常、制度性地开展信息安全检查,重点是办公计算机和移动存储设备安全防护以及门户网站安全防护。经检查,无失泄密和受到过病毒木马等恶意代码感染,本部门门户网站未受攻击和篡改(含内嵌恶意代码)。我局将严格按照信息安全的相关要求的制度,在下一步的工作中,认真做好信息安全工作