企业信息安全风险管理

企业信息安全风险管理（精选8篇）

企业信息安全风险管理 篇1

信息安全管理办法

第一章 总则

第一条

为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和《公司信息化工作管理规定》，制定本办法。

第二条

本办法所指的信息安全管理，是指计算机网络及信息系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。

第三条

公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。

第四条

信息安全管理，包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。

第五条

本办法适用于公司总部、各企事业单位及其全体员工。

第二章 信息安全管理组织与职责

第六条

公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度和体系建设规划的审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。

第七条

公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成，协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导，确定相关责任，设置相应岗位，配备必要人员。

第八条

信息管理部是公司信息安全的归口管理部门，负责落实信息化工作领导小组的决策，实施公司信息安全建设与管理，确保重要信息系统的有效保护和安全运行。具体职责包括：组织制定和实施公司信息安全政策标准、管理制度和体系建设规划，组织实施信息安全项目和培训，组织信息安全工作的监督和检查。

第九条

公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。

第十条

企事业单位信息部门负责本单位信息安全的管理，具体职责包括：在本单位宣传和贯彻执行信息安全政

策与标准，确保本单位信息系统的安全运行，实施本单位信息安全项目和培训，追踪和查处本单位信息安全违规行为，组织本单位信息安全工作检查，完成公司部署的信息安全工作。

第十一条

技术支持单位在信息管理部的领导下，承担所负责的信息系统和所在区域的信息安全管理任务，主要包括：在所维护系统和本区域内宣传和贯彻信息安全政策与标准，确保所负责信息系统的安全运行。

第十二条

各级信息管理部门设立信息安全管理和技术岗位，包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员，重要岗位可设置两个员工互为备份。

第十三条

信息安全岗位的设立应遵循职责分离的要求，包括：制度监督者与执行者分离，信息系统授权者与操作者分离，应用系统管理员与数据库管理员分离，程序开发人员不应具备对生产环境的访问权限。

第十四条

公司员工必须严格遵守公司信息安全政策、管理制度、技术标准和信息系统控制要求，承担相关安全义务和责任，并及时报告信息安全事件。

第三章 信息安全目标与工作原则

第十五条

信息安全工作的总体目标是：实施信息系统安全等级保护，建立和健全先进实用、完整可靠的信息安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。

第十六条

信息安全体系建设必须坚持以下原则： 坚持统一。信息安全体系必须统一规划、统一标准、统一设计、统一投资、统一建设、统一管理。

保障应用。保障网络和信息系统，特别是全局网络和重要业务信息系统不间断稳定运行及其信息的安全，实现以应用促安全，以安全保应用。

符合法规。信息安全体系要满足法律法规要求，包括国家对信息系统等级保护、企业内部控制要求，积极采用法律法规允许的、成熟的先进技术和专业安全服务。

综合防范。管理与技术并重，相互补充。从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合防范。

集中共享。建立集中、统一的信息安全技术服务平台和

集中专业化的信息安全队伍。

第四章 信息安全工作基本要求

第十七条

根据公司信息安全专项规划和总体方案，分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息安全体系，并保持三个体系稳定、均衡发展。

第十八条

建立全面的信息安全管理体系：

制定并实施统一的信息安全策略、管理制度和技术标准。

实行信息系统资产管理责任制，保护信息系统，特别是核心信息系统的设备、软件、数据和技术文档的安全。

建立信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程，实现对信息系统全生命周期的安全管理。

实现对信息系统的安全风险管理，及时发现和防范安全隐患。

第十九条

建立有效的信息安全技术体系：

强化网络、桌面和应用系统安全防护体系，按照自主定级、自主保护的原则，评估确定各信息系统保护等级并实施

相应的保护措施。

建立统一的网络安全信任体系，加强网络实体身份管理与认证，为网络和信息系统安全运行提供信任基础。

建立完善有效的安全监控和预警体系，监控重要网络和核心业务系统，及时发现安全隐患。

建立全面有效的应急响应体系，制定并落实完整、规范的应急处理和响应流程，完善信息安全报告、处理机制。

建立包括同城和异地容灾备份中心的信息系统灾难恢复体系，定期进行灾难恢复的测试和演练，确保灾难发生后能够充分发挥备份的效能，降低造成的影响和损失。

第五章 信息安全监控

第二十条

信息安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果要保存一年以上。

第二十一条

信息系统的运行和维护单位，在国家法律和公司有关规定许可的范围内，具体进行规范、合理、有效的信息安全监控。使用公司网络及应用系统的用户有义务接受

必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。

第二十二条

各级信息部门负责制定和实施信息安全监控计划，包括日常监控、应急处理和定期汇报。

第二十三条

日常监控分为实时监控和定期检查，包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，异常情况须及时向有关负责人汇报。

第二十四条

各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行，并至少每年组织一次相关岗位人员进行应急预案演练。

第二十五条

各级信息部门编制、上报信息安全月报和年报，及时向主管领导和上级部门汇报重大信息安全风险和事件。

第六章 信息安全风险评估

第二十六条

信息管理部负责组织建立风险评估规范及实施团队，定期或在重大、特殊事件发生时进行风险评估。

第二十七条

风险评估包括范围确定、风险识别、风险分析和控制措施，确保信息安全，满足应用和业务需要。

评估范围可包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。

风险识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数据库。

风险分析包括信息资产分类、风险发生概率和影响程度分析，并确定风险等级，形成风险评估报告。

控制措施包括安全管理策略和风险控制措施，形成风险控制报告。

第二十八条

信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见，落实控制措施。

第七章 信息安全培训

第二十九条

信息管理部负责制定公司信息安全培训计划，组织、实施信息安全管理和技术培训。各级信息部门负责相应层级的信息安全培训，培训计划报信息管理部备案。

第三十条

信息管理部及各企事业单位信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训，提高信息安全管理和维护水平。

第三十一条

信息管理部及各企事业单位信息部门分层次、分类型对员工进行信息安全培训，包括针对业务和技术管理人员进行管理层面的信息安全管理培训，针对从事日常业务处理人员进行操作层面基本安全知识培训。

第三十二条

员工上岗前，应进行岗位信息安全培训，并签署信息安全保密协议。在岗位发生变动时，及时调整信息系统操作权限。

第三十三条

信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前，开展必要的安全培训，明确相关调整和变更所带来的信息安全权限和责任的变化。

第八章 信息安全检查与考核

第三十四条

信息管理部定期进行信息安全检查与考核，包括信息安全政策与标准的培训与执行情况、重大信息安全事件及整改措施落实情况、现有信息安全措施的有效性、信息安全技术指标完成情况。

第三十五条

各企事业单位信息部门按照本办法和《公司信息系统运行维护管理办法》进行信息安全自我考核，信息管理部进行综合评价，形成考核报告，报信息主管领导。

第三十六条

对于不执行本办法造成严重后果的，应追究相关部门和个人责任。

第九章 附则

第三十七条

各企事业单位可参照本管理办法制定相应的实施细则。

第三十八条 第三十九条

本办法由公司信息管理部负责解释。本办法自印发之日起施行。

企业信息安全风险管理 篇2

一、企业档案信息管理系统的安全范畴

首先我们要清楚什么是企业档案信息管理系统。企业档案信息管理系统是企业在生产、基建、科研、经营、管理等各项活动中直接形成的以对国家和企业有保存和利用价值的原始记录为对象, 应用计算机、通信和多媒体技术, 提供数字化管理和电子网络查询的信息管理系统。

企业档案信息系统的安全包括内容安全、实体安全、系统安全、网络安全、应用安全和管理安全。内容安全指档案信息系统内的电子文件是否被故意地或者偶然地非授权更改、泄露或者破坏, 造成内容失真、不可用和系统无法辨认。例如PDF格式的文件在一些档案管理系统中就无法辨认, 必须借助第三方软件或者插件;实体安全指系统的一些硬件设施, 包括电脑主机、线路、数据备份、电源等的安全, 防止它们遭受自然灾害或者人为破坏;系统安全指的是档案信息管理系统所运行的环境, 也就是我们常说的计算机操作系统、数据库系统以及服务器的系统安全;网络安全指的是企业档案信息管理系统所运行的网络环境是否安全, 是否存在漏洞, 有没有抵制病毒的能力, 信息在传输过程中会不会丢失或者遭受破坏等等;管理安全就是对企业档案信息系统所涉及的技术的管理和人员管理, 以及相关的责任制和处罚等。

二、影响企业档案信息系统安全的因素

影响企业档案信息管理系统安全的因素既有内部因素, 也有外部因素;既有主观原因, 又有客观原因。具体讲, 影响企业档案信息管理系统的因素主要有自然因素、环境因素、技术因素、社会因素、管理因素和资金因素等。

自然因素, 企业档案信息管理系统存在和运用于自然界之中, 自然界的雷电、火灾、水灾、风灾、地震、强磁场、强电子脉冲等自然灾害时常发生, 直接危害着档案信息资源的安全。

环境因素, 环境条件不符合有关标准会对企业档案信息管理系统造成危害, 如档案信息网络控制中心机房场地和工作站的环境不合要求:电源质量差, 温湿度不适应, 无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施, 都会给企业档案信息管理系统带来不利的影响。

技术因素, 技术因素是决定企业档案信息管理系统的本质因素。对于新型载体档案来讲, 载体的质量、计算机技术等决定了企业档案信息管理系统的安全。如网络安全漏洞、计算机网络故障、硬件故障、软件系统缺陷或错误、电磁泄漏。

社会因素, 虽然现阶段社会稳定, 出现暴力、战争、恐怖事件可能性比较小, 但是网络犯罪、网络黑客、盗窃、破坏等也都可能危及企业档案信息管理系统。随着互联网在我国的迅速普及, 各种敌对势力会利用互联网作为工具进行反动宣传活动, 另外, 利用互联网进行赌博、毒品贩卖、信息犯罪等行径也呈增长趋势, 这些情况西方发达国家尤为突出。“9·11”恐怖事件, 使国际很多知名企业受到了致命的打击。2002年度的DTI信息安全入侵调查显示, 一年中有44%的英国企业遭受了至少一次的恶意安全入侵, 41%的英国企业遭受了病毒感染或者“拒绝服务”攻击, 19%的英国公司 (49%的大公司) 在雇员的Web访问中遭受过安全事故, 30%的公司 (55%的大公司) 遭受过电子邮件方面的安全事故。管理因素, 管理因素包括法律法规、标准制度和人员的素质、心理、责任心。人是网络的建设者和使用者, 网上内容的提供者, 人、网结合是网络时代信息安全的本质特征。据统计, 我国公安部门破获的网络入侵案件中, 90%以上都可以通过加强管理来避免。根据美国FBI的调查, 仅在美国每年因为网络安全造成的经济损失超过1700亿美元, 75%的公司报告财政损失是由于计算机系统安全问题造成的, 超过50%的安全来自于公司内部。资金因素, 企业档案信息管理系统的资金投入直接决定档案部门对档案信息管理系统的总体规划和发展及系统的功能。如果对档案信息管理的资金投入不足, 企业档案信息管理系统设计粗略, 设备简陋, 保管不利, 就会给档案信息带来不安全的隐患。

三、保障企业档案信息系统的策略

首先就必须要完善相关规定, 只有规章制度建立以后才能从根本上保障档案信息管理系统的安全。上海石化制定了《上海石化档案信息管理系统查询管理办法》以便规范上海石化的档案信息管理系统的使用, 从一定程度上起到了效果。

其次要增强企业档案信息管理系统管理人员的意识。只有当这些系统管理员重视企业档案信息系统的安全, 才能从行为上严格执行相关规章制度, 增加企业档案信息系统的安全系数。

第三, 要有有效安全保障应急防范机制。因为有些自然灾害和突发事件是不在我们的控制范围之内的, 一旦发生我们就必须要能够有效地恢复系统运行。例如, 对系统中的数据进行定期备份和统计, 对系统的硬件环境要定时进行保养和维护等等。

信息安全：企业抵御风险之道 篇3

而保护信息免受来自各方面的威胁，是一个企业经营管理的重要环节。

信息安全也不只是个技术问题，而更多地是管理的问题。

互联网的黑色星期天

2004年10月17日这个星期天的下午，许许多多正在使用腾讯公司QQ即时聊天软件的用户发现，QQ无法正常登录了！随即腾讯公司通过网络发布公告解释为通讯线路故障，表示该公司正在抢修。而一天过去了，问题并没有得到解决，各方开始众说纷纭，许多IT和反病毒论坛上开始流传这么一张帖子：“一国内黑客团体，利用腾讯QQ服务器的漏洞要挟腾讯支付100万美金作为‘修复’费用，腾讯不予理会后，该组织于17日早正式发动攻击……”

就在同一天，著名反病毒公司江民公司的主页被篡改了，署名为“河马史诗”的黑客留下这么一行字样：“NND，你们去论坛看看，一片怨声载道，你们干什么去了？！”

几个小时过后，国内最大的电子数码产品代理商神州数码的官方网站也惨遭黑客毒手，被篡改了网页。

这些攻击几乎都在同一日进行，受害对象全是国内知名网站和各界的领头羊，其中一些被黑网站还受到了黑客的巨额敲诈勒索，这是国内首起网络黑客勒索事件，且组织严密、技术高超、规模巨大。在黑色恐怖的弥漫下，国内互联网一时人心惶惶，风声鹤唳……

信息泄漏损失几何？

此前，惨痛的事例也并非没有，只是未能引起足够警觉和重视。比如，就在前不久，被称为中国戏曲三大网站之一的“中国秦腔网”遭黑客入侵，网站所有数据被全部删空，事发后，因为该网站平日没有对数据进行有效备份，巨大的损失根本无从挽回。网站几年的积累一夜之间化为乌有。如果这一事件发生在银行、保险、大型网站、敏感机关等网络内，损失更将是无法估量。

根据日本当地报纸的报道：2004年2月，日本软件银行（SoftBank）和雅虎日本在当地共同经营的宽带业务“Yahoo! BB” 成了一宗利用客户资料进行勒索的案件的受害者。据统计，共有4517039份软银的现订户和前订户的个人信息遭泄漏，信息的具体内容包括：住址、姓名、电话号码、申请时的电子邮箱、雅虎邮箱、雅虎日本ID、申请日期七项内容。所幸的是，用户的信用卡银行帐号和密码等重要信息不包括在内。后据调查，泄漏来源是公司内部员工所为。

在此后举行的一个新闻发布会上，软银主席孙正义对此做出正式道歉，宣布他自己以及公司其他管理层将在未来半年内自减薪水50%，还表示将免费为宽带订户提供6个月互联网接入安全服务。并拨出40亿日元（3730万美元）对受影响客户做出赔偿。

而腾讯公司QQ是一款用户数量庞大的即时通讯工具，可以判断，此次故障所波及的用户不是一个小的数目，损失自不必说。

江民公司，安全公司反倒被人家弄坏了家门，此事令业内人士瞠目结舌不说，公司形象损失更是巨大。

这一系列事件给全社会敲响了警钟，现今是网络的时代，网络和IT产品给我们带来了前所未有的机会，提供前所未有的方便，但同时我们也会发现我们已经过度的依赖它，并且这种依赖势必随着时代的发展日益加深，而这种依赖也必然蕴涵着巨大的风险。

信息安全，你重视了吗？

虽然信息风险与安全的概念早已提出，网络战、信息战等新战争形态的研究和规划也早已进入军事领域，但是一般企业对信息产品所蕴涵的风险仍然缺乏足够重视，对一旦发生网络泄密、IT产品失灵、通讯故障、病毒入侵、黑客破坏甚至恐怖袭击、自然灾害等事故后的应对准备不足、替代方案不够，在日常也缺少信息危机预警机制、信息备份机制和信息危机事件处置预案，可以断言，一旦发生严重的、大规模的信息危机事件，许多企业基本上只能坐视损失的发生而束手无策。

美国Ernst&Young近日公布的企业信息安全措施的调查结果显示：企业的首席执行官虽然认识到信息安全存在风险，但仍未采取足够的措施加以解决。

针对在公司内进行关于信息安全的培训和提高职员意识的工作，超过70％的企业没有将其列为“最优先处理的事务”。只有不到20%的企业将信息安全提高到首席执行官级的优先事项。

该调查是以51个国家的1233家企业为对象实施的。企业虽然重视病毒等来自外部的攻击，但对来自公司内部的威胁仍然视若无睹。

公安部近日公布的2004年全国信息网络安全状况调查结果显示：在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位中，发生网络安全事件的比例为58%。

造成网络安全事件的主要原因，是安全管理制度不落实和安全防范意识薄弱，其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时，调查表明：信息网络使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强，但是用户安全观念薄弱、安全管理人员缺乏培训，以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。

这些都充分显示了信息安全并未得到多数企业的重视。所以，企业乃至全社会，树立必要的信息风险意识、增强应对信息危机的能力已是当务之急。

是谁泄露了机密？

随着信息化的推进，很多企业把管理搬到了网络上，但是同时也存在着信息化环境下技术保密、管理保密问题。目前在国内，管理信息系统能够实现有效加密的很少。一个企业的运营数据很容易获得。比如：要获得某个企业的销售数据，只要联入数据库，什么信息应有尽有，而很多软件，会将联入数据库的参数暴露在配置文件中，甚至有的根本没有进行加密。

而说到保障企业的信息安全，很多人首先想到就是利用各种各样的技术手段，比如：利用防火墙和各类加密手段。但你有没有想到，道高一尺，则魔高一丈。比如：随着技术的发展，现在的个人电脑能够保存大量的客户数据。即使是PDA（便携信息终端）、手机、存储卡等记录媒体也能存储容量可观的数据。这样，犯罪手法也相应发生了变化。仔细想一想，这也是当然的事情。罪犯不会傻到特意往你耗时耗力专门搭建的防火墙上撞。比起这种方式，还是直接带走公司里的信息设备更加简单。

比如：忘在车里的个人电脑就是隐患之一。如果将这台电脑忘在某个地方，或者被人偷走的话，就会造成信息泄漏。这种情况下的信息泄漏不仅仅是指电脑里的数据。同时还存在第三者使用这台电脑访问公司内部网络的危险。

再比如：热衷工作的“您”，也许正是信息泄漏的危险人物。如果太热衷于工作会有什么危险呢？首先请您回答以下提问：您是否将工作带到家中？您是否即使外出也要在空隙时间利用网吧工作？是否共享笔记本电脑中的数据，在部门间进行协同作业？是否会在出差地为了了解电子邮件请同事代看？

请问您的回答有几个YES呢？如果您有上述情形之一就需要“注意”了。因为由于职员或相关人员随意的行动或由于不经意的失误导致信息泄漏或系统故障的事件越来越多。因为每位职员的日常行为中潜藏着有可能威胁到企业安全的因素。

以“将工作带到家中”的人士为例：日本三菱重工就曾经发生过将下一战斗机相关数据泄漏到公司外部的事件，当时该公司职员为了回家工作将上述数据附在电子邮件的附件中发送到了自己的邮箱。

很多企业允许通过互联网访问企业的软件或者公司的内部系统，如果有的职员“即使外出也要在空隙时间利用网吧工作”那就需要注意了。2004年3月6日，日本假冒他人通过互联网从银行非法取款1600万日元（约合人民币100万元）的嫌疑人被逮捕，他是用安装在网吧电脑中名为KeyLogger的监视软件，取得并记录键盘输入信息从而盗取了用户的ID和密码。由于直接取得的是键盘的敲击纪录因此即使对通信进行加密也没有用。由此推想，利用同样的方法盗取访问公司内部系统用的ID和密码也不出奇。

在信息泄漏事故中最可怕的是案犯来自内部，所以在出差地为了了解电子邮件请同事代看的做法实在是不明智的。

如何防止信息泄漏？

保障企业的信息安全应该从企业自身的管理抓起，建立和健全信息安全管理体制，利用各项制度防止任何管理上的漏洞。诚然，有些企业已经采取了安装防火墙、IDS（入侵检测系统）及杀毒软件，或者制定安全政策等各种措施。但上述措施只能在各自擅长的方面发挥作用。因此，必须将所有的安全对策综合起来考虑，即整体安全管理的方法。

第一，系统安全管理

其中包括：系统资源的管理和信息资源分级分类管理。比如：在很多大型系统中，很多人可能并不清楚，里面究竟有哪些软件、硬件设备？有没有人插进来一个设备或者是删除一个设备？究竟是哪个关键部件出了毛病？等等。此外，信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样，在系统中进入不同的设备、进入不同的操作也要进行区分。

第二，对用户的管理

加强对用户的管理，用管理手段弥补技术落后问题。在自己的系统上所注册的合法用户究竟有哪些？他们各自的权限在哪儿？这些问题必须搞清楚，因此，对密码的配置要进行管理。

要制定重要信息的使用方针。需要有一个规定：每个员工能访问什么信息以及什么样的信息可以保存在电脑里。不过，实际问题是无法逐一检查每个人使用的信息设备内所保存的内容。公司应该以所有设备上都保存有重要信息为前提，来考虑安全问题。需要强化对带出信息终端的监视，以及强化登录个人电脑时的密码认证措施。另外，还应该考虑数据的加密。

第三，对资产的管理

首先要明确企业的哪些资产需要保护：企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常，各公司认为表述资产的价值是很容易的，但具体到要按级别界定就不那么简单。对此，就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别，并为制定切实可行的安全管理策略打下基础。

第四，将安全策略运用于日常业务中

信息安全策略的制定一定是一个好的开始。但无论信息安全策略考虑得有多好，制定得有多详尽，但是如果人们不知道这些策略，仍然毫无用处。所以还应有一些好的手段，使安全策略得到推广，比如：

（1）对企业安全管理人员进行安全培训，以便维护和管理整个安全方案的实施和运行情况。

（2）利用幽默和简单的语言表述信息安全策略，分发给每个雇员。

（3）印刷日历，强调每个月不同的策略，将它们张贴在办公室中。

（4）将信息安全策略和标准发布在内部系统的网站上。

（5）向公司员工发送宣传信息安全策略的邮件。

（6）建立内部安全热线，回答雇员关于信息安全策略的问题。

石油企业信息安全管理论文 篇4

2、加强企业信息管理安全的防范措施

2．1不断完善信息管理系统

随着企业信息化的发展，目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要，一旦系统中断，将会给企业的生产经营管理带来混乱，而数据一旦丢失，后果是不可估量的。为此，信息管理系统的投入和使用，是建立在充分的实践经验的基础上，通过一段时间的.运行和观察，才能够投入使用。在不同的部门进行信息系统的引入时，应当按照部门的实际情况，通过多方引进，使用统一的信息管理系统。对于信息安全来说，首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理，并且赋予不同等级的用户不同的使用权限，这样则能够有效的防止无权访问信息的用户对核心区域的访问，保证信息不会被盗用。同时，为保证信息系统的连续稳定运行，应采用双机服务器和从服务器。一旦发生服务器故障，由从服务器自动接替主服务器工作。

2．2有效的设备管理

设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统，容灾备份系统一般由两个数据中心构成，主中心和备份中心。通过异地数据备份，实时地将主中心数据拷贝至备份中心存储系统中，使主中心存储数据与备份中心数据完全保持一致。同时，对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录，通过这些记录，定期对设备进行维护，同时也能够通过这些信息判断出信息的使用效率以及运行情况，对于设备的损坏或者是丢失情况都能够及时地了解。

2．3加强对人员的监督与管理

企业信息安全不单纯是技术问题，而是一个综合性的问题。其中最重要的因素是人，人是设备的主要操作者，因此对于信息的安全管理，就需要加强对人的管理，需要操作人员具有足够的安全意识，对于每一位操作人员进行相关的培训，对于唯一的用户名和密码等信息要进行妥善保管，同时让操作人员认识到泄密会导致的严重后果，增强责任意识。只有通过不断地学习及意识的培养，管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯，以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理，通过对每个细节的严密审查，能够有效减少人为出错的现象，同时通过科学的评价机制和激励机制，刺激人员工作的积极性，加强自身的责任意识。

2．4网络传输安全

企业信息安全风险管理 篇5

计算机信息系统安全管理制度

第一章 总则

第 1 条 为明确岗位职责，规范操作流程，确保公司计算机信息系统的安全，根据《中华人民共和国计算机信息系统安全保护条例》等有关规定，结合公司实际，特制订本制度。

第 2 条 计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第 3 条 公司行政部设立信息专员，负责公司范围内的计算机信息系统安全管理工作。

第二章 设备、设施管理

第 4 条 公司各部门IT设备或配件的采购、管理参照《xxxxx公司固定资产管理制度》执行，由信息专员督导落实。公司的IT设备或配件由信息专员负责选型申购、管理，由行政部负责人采购，IT设备的选型采购必须符合公司计算机信息系统的应用、安全要求。

第 5 条 已有IT设备原则上在规定使用年限内不再重复购买，达到规定使用年限后，由信息专员会同相关部门对其核验后处理。

第 6 条 公司机房的管理和维护由信息专员负责，具体职责包括：

（一）建立本地局域网络、广域网的运行档案。机房设备发生故障时，及时处理并对故障的处理过程及结果进行详细登记。

（二）及时更新、修正操作系统补丁，定期进行病毒检测。机房电脑必须采用国家许可的正版防病毒软件，并监控更新软件版本和升级病毒库。

（三）严格保密服务器的各种账号，对机房数据库实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。

（四）每周备份业务数据并将其刻制至光盘，确保信息系统一旦发生故障能够快速恢

复。数据库备份数据不得更改，数据备份光盘应异地存放，保存期限为3年。

（五）根据数据的保密规定和用途，确定拥有系统权限人员的存取权限、存取方式和审批手续。

（六）对机房的温度、湿度、电力系统、网络设备等进行巡查检测，以确保机房设施、设备的运作安全。

第 7 条 对公司重大信息系统配置的更改，信息专员应先形成方案文件，经行政部负责人确认可行，报公司领导批准后执行。方案中应包括系统备份方式、调试运行期限、更改和操作记录、应急措施等相关内容。

第三章 数据安全管理

第 8 条 计算机终端用户计算机内的资料涉及公司秘密的，应该为计算机设定开机密码或将文件加密；凡涉及公司机密的数据或文件，非工作需要不得以任何形式转移，更不得透露给他人。离开原工作岗位的员工由所在部门负责人将其所有工作资料收回并保存。

第 9 条 计算机终端用户务必将重要数据存放在计算机硬盘中除系统盘分区(操作系统所在的硬盘分区，一般是C盘)外的硬盘分区。计算机信息系统发生故障，应及时与信息专员联系并采取保护数据安全的措施。

第 10 条 计算机终端用户未做好备份前不得删除任何硬盘数据。对重要的数据应准备双份，存放在不同的地点；对采用磁性介质或光盘保存的数据，应做好防磁、防火、防潮和防尘工作，并定期进行检查、复制，防止由于磁性介质损坏，丢失数据。

第四章 网络安全管理

第 11 条 未进行安全配置、未装防火墙或杀毒软件的计算机终端，不得连接公司网络和服务器。公司员工应定期对所配备的计算机终端的操作系统、杀毒软件等进行升级和更新，并定期进行病毒查杀。

第 12 条 计算机终端用户应使用复杂密码，并定期更改。公司员工应妥善保管根据职责权限所掌握的各类办公账号和密码，严禁随意向他人泄露、借用自己的账号和密码。第 13 条 IP地址为计算机网络的重要资源，公司员工应在信息专员的规划下使用这些资源，不得擅自更改。对于影响网络的系统服务，公司员工应在信息专员的指导下使用，禁止随意开启、关闭计算机中的系统服务，保证计算机网络畅通运行。

第 14 条 经远程通信传送的程序或数据，必须经过检测确认无病毒后方可安装和使用。

第五章 公司网站、邮箱和OA系统管理

第 15 条 信息专员负责公司网站的运营管理。信息专员负责公司网站的技术支持，并分配网站管理员权限；公司各部门及公司应及时提供动态信息，经行政部审核后，由信息专员发布。

第 16 条 公司各部门工作上的对外邮件来往原则上必须使用公司邮箱进行收发；公司邮箱的使用由公司信息专员全程提供技术支持，信息专员必须开启邮箱的相关管理功能对公司邮箱的使用全程进行安全监测，定期检查监测结果并进行相应处置。

第 17 条 OA系统是公司经营管理信息传递的有效平台，由信息专员负责管理维护。信息专员应根据公司经营管理流程及时升级OA系统功能，并对公司员工进行操作培训。第 18 条 公司信息专员和OA系统管理员应确保后台管理账号和密码的安全，并定期变更。未经授权，任何人不得超越权限查看信息系统中的内容。

第六章 操作管理

第 19 条 信息专员应收集计算机信息系统常见故障及排除方法并整理成指导手册，供公司员工学习参考，并根据工作需要对公司员工进行定期或不定期的计算机应用技能培训。

第 20 条 计算机终端用户在工作中遇到计算机信息系统问题，应先自行参照指导手册处理；若手册和之前培训中均未涉及此类问题，应及时与信息专员或软件开发单位、硬件供应商联系，尽快解决问题。

第七章 禁止行为及处罚措施

第 21 条 公司员工应遵守国家有关法律、法规，严格执行安全保密制度，有利用公司网络进行下述行为之一者，视情节严重程度处以50元以上500元以下罚款。构成犯罪的，移交司法机关处理。

（一）发布反动、非法和虚假的消息，或制作、浏览、复制、传播反动及色情信息。

（二）漫骂攻击他人，或泄露他人隐私。

（三）制造或者故意输入、传播计算机病毒和其他有害数据，进行任何黑客活动和性质类似的破坏活动。

（四）泄露、外借和转移公司机房专业数据信息。利用非法手段复制、截收、篡改公司计算机信息系统中的数据。

（五）利用扫描、监听、伪装等工具对公司网络和服务器进行恶意攻击，或非法侵入他人网络和服务器系统。

（六）利用计算机和网络干扰他人正常工作。

第 22 条 有违反以下情况行为之一者，情节轻微的给予警告处分；情节严重，给公司造成重大损失的，除赔偿相应损失外，处以50元以上500元以下罚款。

（一）严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。禁止在机房内吃食物、抽烟、随地吐痰。未经机房管理人员同意并在场严禁无关人员进入机房。

（二）未经公司授权且机房管理人员在场监督，任何人不得自行配置、更换或挪用机房内的路由器、交换机和服务器以及其他通信设备等；不得在机房服务器上安装与系统应用无关的软件。

（三）机房设备未发生故障或无故障隐患时机房管理人员不得私自对光纤、路由器、交换机、硬件防火墙、UPS系统、服务器和网线等网络设备进行任何调试。

（四）严禁撕毁、涂画或遮盖IT设备标签，或未经行政部信息专员备案擅自调整部门内部计算机信息系统的配置。严禁使用假冒伪劣产品、擅自外接电源开关和插座、擅自移动和装拆各类设备及其他辅助设备、擅自请人维修。

（五）不得下载和使用未经测试和来历不明的软件、不得打开来历不明的电子邮件、未经病毒查杀不得使用U盘等介质。

（六）禁止未授权用户接入公司计算机网络及访问网络中的资源，禁止未授权用户使用BT、电驴等占用大量带宽的下载工具。

第 23 条 第二十二条计算机终端用户因主观操作不当导致设备、设施损坏，应承担相应修复费用，不能修复的按所损坏设备、设施市场价值的20%—80%予以赔偿；蓄意破坏设备、设施的，除照价赔偿外，视情节严重给予行政处罚。

第八章 附则

第 24 条 本制度用语释义：

（一）设备：公司办公使用的笔记本电脑、台式电脑、打印机、复印机、传真机、扫描仪等IT设备。

（二）设施: 计算机信息系统中各设备正常运行所需的外部配套装备，包括机房、通信管道、传输设备等。

（三）计算机终端：由公司配备并指定保管的，使用人直接操作以实现相应计算机信息系统管理功能的设备，包括显示器、主机等。

（四）授权用户：经行政部或信息专员授权使用本公司网络资源的公司员工，其余均为未授权用户。

企业信息安全风险管理 篇6

1 电力企业信息系统风险

电力企业信息系统是基于电脑和网络, 实现电力制造、管理等信息的收集、存储、分析及传输的综合性的有机系统。[1]信息作为一种重要的企业资源必须要对其进行全面的安全管理, 企业信息安全管理是引导和协调组织的关于信息化安全风险的互相协调的活动, 即企业管理层对企业相关信息和活动安排进行合理的规划和协调。

一直以来, 很多人特别是对于信息行业出身的工作人员, 都受环境影响而陷入“技术就是一切”的误区中, 即人们把企业信息安全的全部希望都寄托在加密技术上, 他们认为只要通过加密技术, 任何信息安全问题都能够解决。随着网络防火墙技术的诞生, 我们又常听到“防火墙是网络安全的有力保障”的论调。经此之后, 入侵检测、VPN等更多新的概念及技术纷至沓来, 但无论技术怎样变化, 终究还是突破不了技术统领信息安全的枷锁。实际上, 对企业信息安全技术的选择及应用只是企业信息系统安全化的一部分, 它只是实现企业安全运营的一个方法而己。大家之所以产生这样的误区, 其原因是多方面的, 站在企业安全技术提供商的角度来说, 其侧重点在于销售, 因此向相关客户输送的大多都是以技术为核心的理念和信息。站在客户角度来说, 只有企业的产品才是真实的、有形的, 对投资方来说, 这是十分重要的。

因此, 正是对于企业信息系统的错误认识, 导致一些极端现象的产生, 比如:许多企业的信息化设备使用了防火墙、网络云扫描等技术, 但却没有设定出一套以安全策略为核心的合理的安全管理方案, 从而造成安全技术及企业的产品生产十分混乱, 不能做到技术及相关产品的及时、有效的更新。还有一些电力企业即使设定了一些安全管理措施, 却没有使用有效的实施、监督机制来执行, 这让安全管理措施徒有其表, 名存实亡。经过研究及调查, 现阶段我国电力企业信息系统面临的风险主要有:

(1) 信息系统缺陷。随着信息化的不断发展, 电力企业信息系统也一直在不断完善中, 目前, 我国的电力企业在设计、制造及产品装配中仍存在着许多安全隐患与风险, 比如来自软硬件组件的安全隐患等, 这些信息系统固有的缺陷对电力企业信息系统的安全造成了严重的威胁。

(2) 信息系统安全管理不规范。现阶段, 我国电力企业对电力信息系统的安全愈来愈重视, 很多电力企业都采取了各种风险管理及预防措施, 但是由于系统数据备份设备的不完善、数据丢失等信息系统安全管理不规范现象的出现, 建立一套完善、合理的电力企业信息系统安全管理体系尤为重要。

(3) 网络安全意识薄弱。由于电力企业的安全宣传力度不够, 相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生, 比如不能及时修补信息系统漏洞及补丁, 相关人员不正确的操作、或通过U盘导致重要信息泄露等, 处理不好都很有可能造成整个电力系统的不稳定甚至系统瘫痪。

(4) 恶意人为破坏。随着网络共享度的提高, 我国的电力企业信息系统逐渐向开放型及共享型发展, 这使得一些不法分子有机可乘, 他们为了自己的利益, 通过各种手段非法入侵电力企业的信息系统, 如植入病毒、窃听、干扰阻断等, 这对我国电力企业信息系统的安全构成了极大的威胁。

2 电力企业信息系统安全管理研究

信息安全是一个复杂的、不断变化的动态过程, 如果电力企业只根据一时需要而忽略了信息安全的动态性, 只是主观的来制定一些风险管理措施, 就会造成在企业信息管理中顾此失彼, 进而导致企业的安全管理水平止步不前甚至有失偏颇。[2]其正确的做法是, 电力企业要遵守相关信息安全标准及实践总结, 结合企业自身对信息系统安全的实际需求, 在进行完善的风险分析及风险管理的基础上, 通过一些合理的、可行的安全风险管理措施来使电力企业信息系统一直处于安全状态。

除此之外, 不断更新的过程是电力企业进行信息安全管理的最基本出发点, 该过程还应该是动态的、变化的, 即安全措施要随着环境的变化及信息技术的提高而不断改进和完善, 坚决拒绝一成不变, 这可以将信息系统的风险降到最低。[3]所以说, 基于风险的评估及控制角度来说, 电力企业信息系统的安全风险与其他领域的风险具有相似性, 与此同时, 电力系统信息系统安全风险又具有其独特性。将其他领域内的风险控制过程引入电力企业的信息风险管理领域, 需要同时考虑到其共性和个性。

安全管理主要分为网络级、系统级和应用级3个部分:

(1) 网络级安全管理。电力企业信息系统的网络级安全管理主要是指解决企业信息系统与网络互联而产生的安全风险问题, 其主要从网络防火墙及网络结构两个方面采取安全管理措施。网络防火墙对企业内部网络及外部网络起到安全隔离作用, 它可以有效预防潜在的破坏性入侵, 同时可以对即将进入企业内部网络的数据进行严格的检测, 并对非法、错误的网络信息进行隔离, 从而保护电力企业内部网络的安全。对于网络结构, 根据电力企业信息系统的实际情况, 相关技术人员结合网络结构, 设计出一种介于混合型和网状型结构之间的分布式网络结构, 该分布式网络系统具有较高的可靠性及容错能力, 从而对已有的网络结构进行了优化。

(2) 系统级安全管理。在企业信息系统风险管理中, 系统级安全设计与用户的具体应用具有密切的联系, 具体而言, 其分为操作系统与数据处理两个方面。在操作系统方面, 利用有效的网络安全扫描对信息系统的安全风险进行合理评估, 及时分析操作系统已有的漏洞, 同时结合信息系统的漏洞自动修补技术, 实现定期为相关用户消除网络中的安全隐患。在数据处理方面, 企业要善于利用信息系统平台再次对数据库进行数据安全加密, 从而将信息系统的数据库风险降到最低。

(3) 应用级安全管理。应用级安全设计具有直观、具体的特点, 它是在设计电力企业的信息系统时, 通过技术手段将相应的安全技术加入到信息系统中, 从而有效保证系统的安全稳定运行。具体来说, 电力企业信息系统的应用系统访问控制是根据访问信息性质的不同, 分别进行公开信息和私密信息的传送、存储及管理, 从而实现在应用层次上的访问控制;而数字签名技术可以通过对文件签发者、日期等提供准确的不可更改的历史记录, 来保证系统所有文件的完整性。

因此, 我们得知, 为了确保电力企业信息系统的安全, 要采取合理、有效的管理手段来最大程度地降低风险, 即相关人员不仅要从技术层面来进行安全管理的设计, 还要从管理层面进行安全管理设置。[4]具体来说可以从以下方面着手:

(1) 定期对企业系统的技术人员进行安全教育, 增强其信息系统的安全意识;

(2) 保持相关人员特别是管理层的人员稳定, 若有人员调离, 需及时更换系统密码, 避免企业机密泄露;

(3) 设置合理的电力企业信息系统安全标准及企业制度等。

3 结语

电力企业信息系统的信息安全性在现有的信息安全技术下并不能很好地解决相关安全问题。因此, 只有建立完善的、可行的企业信息系统安全管理模式, 并及时更新安全技术及设备, 制定合理的安全管理方案, 才能使电力企业的信息系统安全性一直处于良好状态。

电力企业信息系统安全是电力企业正常运营的重要保证, 企业信息系统安全不仅关系着我国电力企业的信息化水平, 还关系着我国经济发展的前途命运。因此, 只有结合我国电力企业的实际情况, 采取合理、完善的风险管理措施, 才能保证电力企业信息系统的安全性及平稳性。现阶段, 大量事实表明, 如今电力企业的信息系统安全问题不仅仅是技术层面的问题, 更大程度取决于相关人员的管理水平。因此, 只有将电力企业的信息系统安全风险有效进行识别及分析并采取有效的风险管理及预防方案, 才能保证电力企业信息系统的安全性及可靠性。

参考文献

[1]李文武, 游文霞, 王先培.电力系统信息安全研究综述[J].电力系统保护与控制, 2011, 39 (10) :140-147.

[2]刘振辉.对电力信息系统安全防护问题的研究[J].信息与电脑:理论版, 2012 (10) :87.

[3]寇建涛.电力信息系统安全分析与思考[J].科技资讯, 2009, 36:17-18.

电力企业信息系统安全管理研究 篇7

关键字：电力企业；信息系统；安全管理

近年来随着科学技术的发展和市场经济体制改革的进一步深化，使得电力系统走向市场化的步伐逐渐加快，在现代科学技术的支持下，电力企业也开始朝着信息换管理的方向改革，基于互联网和计算机的电力企业信息系统成为了目前电力企业各项工作开展的重要辅助工具。信息系统的应用能够将电力系统庞大的数据系统实现信息化和规范化，这对于提高电力企业整体的管理水平，帮助企业管理者进行科学的决策等方面都具有积极的推动作用。但是目前电力企业信息系统在应用过程中还面临着一系列的安全问题，威胁着电力系统的安全，需要企业和相关工作人员采取积极有效的措施加以解决，从而提高电力企业的生产效率和整体管理水平，实现电力企业的持续健康发展。

一、电力企业信息系统面临的安全问题

（一）系统固有缺陷造成安全威胁

电力企业信息系统在建设过程中可能由于技术等方面的原因造成一些安全隐患，危害电力企业系统的安全性，另外信息系统的更新换代以及安装运行等也可能会给系统造成安全问题。比如防火墙选用的不合理，安全性能不高；支持信息系统运行的软硬件设施不符合要求等，这些因素都可能会造成电力企业信息系统的安全性受到威胁，给电力企业的稳定发展带来障碍。因此，这就需要电力企业加强对信息系统相关基础设施和安全技术的建设和完善，为信息系统的安全运行提供保障。

（二）企业及人员安全意识淡薄，给不法分子以可乘之机

目前电力企业信息系统面临的一个关键的安全问题就是电力企业本身及相关工作人员缺乏必要的安全意识，当信息系统出现安全为题时不能及时的发现问题并采取积极有效的措施予以解决，比如系统出现漏洞不及时打补丁，甚至现有工作人员缺乏对信息系统的认知，对相关的知识和操作技能掌握的不到位，工作人员的综合素质不能满足电力企业信息系统运行的需要，导致信息系统在电力企业生产发展过程中不能切实发挥效用。同时，企业及工作人员安全意识淡薄，再加上信息系统安全性能不强，就给了不法分子以可乘之机，利用各种不正当手段进行非法操作来盗取电力企业的机密信息，给电力企业的健康发展带来严重的威胁。

（三）信息系统安全管理不到位

电力企业信息系统面临的一系列安全问题虽然对企业起到了一定的警示作用，但是从目前的情况来看，电力企业信息系统在运行过程中，存在相关管理人员缺乏必要的责任意识，在工作过程中容易疏忽大意，不严格按照要求和规范进行相关操作.

二、加强电力企业信息系统安全管理的对策

（一）强化电力企业信息系统安全管理基础设施建设

加强电力企业信息系统安全管理，首先就业加强相关基础设施建设，其中最为关键的就是要确保信息系统运行的网络环境的安全性及稳定性。电力企业要建立专门的支持信息系统安全稳定运行的机房，在机房内配备必要的辅助应急设施和安全设备，同时要对机房内的设备和环境进行定期检查和维护，以保障信息系统能够在一个相对安全稳定的环境下运行，有效避免外界环境因素给电力信息系统造成安全威胁。

（二）利用网络安全技术提高电力企业信息系统的安全性

一套安全完善的电力企业信息系统必要要有强大的技术作为支持，电力企业要利用网络安全技术来不断提高信息系统的安全性能。首先在防火墙的设置上要根据企业的实际需求来选取，保障防火墙能够满足电力企业庞大的信息系统管理的需要，防止外部不安全信息侵入内部系统。其次，要建立满足电力企业信息系统安全需求的入侵防御系统，在不影响系统网络性能的情况下对传输的数据信息进行监测，对不安全信息进行拦截，还要通过身份认证技术等来加强对操作系统访问控制，从而保障系统的安全性。此外，电力企业在进行信息系统安全管理过程中还要加强对数据的安全处理，利用系统平台对数據进行加密保护，加强系统数据的安全，避免不法分子盗取企业机密数据信息。

（三）落实责任制，提高相关人员的安全意识

良好的安全意识是保障电力企业信息系统安全运行的保障，因此电力企业有必要建立和完善责任制度，提高相关工作人员的安全意识。在这方面电力企业首先要加强对信息系统安全知识的宣传，帮助企业员工认识到信息系统安全运行对于企业发展的重要性，同时加强对员工的安全教育培训工作，营造良好的信息安全环境，进而从根本上提高电力企业全体员工的安全意识。然后，电力企业要建立一套完善的员工行为规范以及科学合理的信息系统网络安全管理条例，提高条例的可操作性，以规范工作人员的管理行为，严格落实责任制，按照“谁主管谁负责，谁运营谁负责”原则，实行统一领导、分级管理，还要加强对企业观看岗位员工的信息安全管理，避免由于职责不清或者责任落实不到位而出现安全问题，从而提升电力企业信息系统安全管理的水平。

三、总结

综上，信息化管理是目前电力企业发展的一个重要趋势，针对目前电力企业信息系统运行管理过程中面临的一系列安全问题，需要电力企业就相关工作人员不断更新观念，提高安全意识，加强企业信息系统运行所需的安全环境建设，利用网络安全技术提高电力企业信息系统的安全性能，在信息系统运行管理过程中要落实责任制，强化工作人员的安全意识，提高操作的规范性，从而提升电力企业信息系统安全管理的整体水平。

参考文献：

[1]杜志强.ITIL在电力企业信息系统运维管理的应用研究[D].华北电力大学，2014.

[2]张倩，邱晓丽，张青青.电力企业信息系统安全管理研究[J].电子技术与软件工程，2014，24.

企业信息安全风险管理 篇8

达标信息管理系统

(企业用户)

用 户 操 作 手 册

国家安全生产监督管理总局监管三司 国家安全生产监督管理总局通信信息中心

二〇一二年七月

目 录

1.系统登录......................................................................................................................................1 1.1.1.2.1.3.1.4.编写目的...........................................................................................................................1 客户端环境要求...............................................................................................................1 登录界面...........................................................................................................................1 注册企业用户...................................................................................................................2

2.系统首页......................................................................................................................................4 2.1.2.2.2.3.首页布局...........................................................................................................................4 工作提醒...........................................................................................................................4 退出系统...........................................................................................................................5

3.达标申请办理..............................................................................................................................6 3.1 3.2 诊断登记...............................................................................................................................6 达标申请.............................................................................................................................10

4.企业自评信息查看....................................................................................................................14 4.1.自评登记.............................................................................................................................14

5.系统维护....................................................................................................................................15 5.1.5.2.企业基本信息维护.........................................................................................................15 修改密码.........................................................................................................................15

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)1.系统登录

1.1.编写目的

本操作手册作为使用者初次使用系统提供一种快速了解的辅助手段，系统使用者需根据本用户角色在实际工作中既定业务流程，以文档做快速引导，熟悉该业务系统。

该手册适用对象为企业用户端的所有用户。

1.2.客户端环境要求

建议用IE7以上浏览器使用本系统，以获得更好的浏览效果。操作系统：Win7/Vista/Win2003/WinXP/ 系统部分功能需要FLASH插件支持，建议安装Adobe Flash Player for IE V9.0以上

1.3.登录界面

在浏览器中输入危险化学品从业单位安全生产标准化达标信息管理系统的网址，系统自动跳转到系统登陆界面如1-1图所示：

图1-1 系统登陆界面

点击“帮助”，可快速查看系统帮助信息，如图1-2所示。

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)

1-2系统帮助信息

1.4.注册企业用户

注:企业用户首次使用该系统需要先注册帐户。

从系统首页登录区域的注册入口进入，如图1-3。

1-3系统登录区域信息

点击，进入企业注册前信息填写页面，如图1-4所示。

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)

1-4系统登录区域信息

按系统提示填写完整企业信息后，点击注册，如注册成功即自动登并跳转至系统后台界面，如图1-5所示。

1-5 系统注册后登录界面

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)2.系统首页

2.1.首页布局

左上角登录为系统登录入口，进入系统后，首先出现默认的系统首页界面，如下图2-1所示：

图2-1系统首页界面

系统整体布局主要分两部分，分别为左侧菜单栏和右侧信息展现栏，如上图2-1所示。

右侧信息展示栏显示左侧相应的栏目内容。

2.2.工作提醒

在图2-1所示系统首页的左侧菜单区上部，提供了工作提醒功能，当有需要办理的事项，如需要进行待办任务时，会显示待办任务数及未阅信息条数，点击任务或者未阅读数该即可进入如下图2-2所示界面：

图2-2系统首页界面

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)在上图2-2所示界面中，“待办任务”一栏列出评审单位需要办理的待办事项类别，“数量”一栏中显示该类待办事项的数量，点击待办事项任务数，打开该类待办事项列表，如下图2-3所示。

图2-3待办事项列表界面

2.3.退出系统

用户登录系统后，在一段时间内（默认为30分钟）用户的登录状态会保持有效，为了用户信息的安全，用户在不使用系统后，可直接关闭浏览器，或者点击右上角“退出”按钮退出系统，如图2-5。

图2-5 安全退出系统

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)3.达标申请办理

点击左侧菜单达标申请办理，如图3-1所示，即出现如下下拉菜单。

图3-1 达标申请办理菜单

3.1 诊断登记

点击诊断登记菜单，系统进入诊断报告管理界面，如图3-2所示。

图3-2 诊断登记界面

点击右上角

按钮，进入信息添加界面，确认完整填写信息后点击保存即可添加，如图3-3所示为信息添加页面。

图3-3添加界面

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)填写完整各项信息，并上传相关诊断报告，如图3-4所示。

图3-4添加界面

上传完成后，点击保存，系统提示操作成功，如图3-5所示。

图3-5添加成功提示界面

点击确定，信息添加成功，返回到诊断报告列表，如图3-6所示。

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)

图3-6添加成功后返回界面

点击信息后

链接，弹出附件下载窗口，如图3-7所示。

图3-7诊断登记报告下载页面

返回诊断登记列表页面，点击所示。，进入诊断登记修改页面，如图3-8

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)

图3-7诊断登记报告修改页面

修改完成后点击保存，确认保存后返回到诊断登记列表页面。返回诊断登记列表页面，点击操作后如图3-9所示。

链接，可对当前信息进行删除，图3-9删除诊断登记报告界面

系统提供多种类型查询功能，如图3-10所示。

图3-10 系统诊断登记报告查询界面

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)3.2 达标申请

点击所示。

菜单，系统进入达标申请受理界面，如图3-1

1图3-11达标申请界面

点击右上角

按钮，进行达标申请添加，如图3-12所示。

图3-12 评审申请界面

选择申请类别下拉菜单，如图3-13所示。

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)

图3-13 达标申请类别选择

点击保存按钮，保存申请类别后进入申请详单填写页面，如图3-14所示。

图3-14 达标申请单填写界面

点击页面顶部保存按钮，保存所填写的企业基本信息，如图3-15所示。

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)

图3-15企业评审申请单详细信息填写

信息填写完成后点右上角申报按钮，系统提交相关审核单位进行审核，并跳转至评审申请列表，如图3-16所示。

图3-16企业评审申报提交跳转页面

点击点击链接可查看企业申报所填写的数据（注，提交后未审核之前数据无法更改），可查看进度查看列表，如图3-17所示。

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)

图3-17进度查看列表页面

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)4.企业自评信息查看

点击左侧企业自评信息查看菜单，如图4-1所示，即出现如下下拉菜单。

图4-1 企业自评信息查看

4.1.自评登记

点击自评登记菜单，进入自评登记界面，如图4-2所示。

图4-2 自评登记列表界面

自评登记中可对企业证书编号、达标日期、有效期、证书状态、自评信息进行查询。

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)5.系统维护

点击左侧菜单中用户信息维护，如图5-1所示。

图5-1 系统维护菜单

5.1.企业基本信息维护

点击左侧主菜单栏的用户信息维护，在下拉菜单中点击企业基本信息维护后，对当前账户信息进行编辑，如图5-2：

图5-2企业基本信息维护界面

5.2.修改密码

点击图5-3系统首页图左侧主菜单栏的用户信息维护，在下拉菜单中点击修改密码后，可以修改当前登入系统的用户的登录密码，如图5-3：

危险化学品从业单位安全生产标准化达标信息管理系统(组织单位)

图5-3密码修改界面