信息安全专业规范(精选7篇)
信息安全专业规范 篇1
征信机构信息安全规范
一、总则
1.1标准适用范围
标准规定了不同安全保护等级征信系统的安全要求,包括安全管理、安全技术和业务运作三个方面。
标准适用于征信机构信息系统的建设、运行和维护,也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行,标准还可作为专业检测机构开展检测、认证的依据。
1.2相关定义
(一)征信系统:征信机构与信息提供者协议约定,或者通过互联网、政府信息公开等渠道,对分散在社会各领域的企业和个人信用信息,进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。
(二)敏感信息:影响征信系统安全的密码、密钥以及业务敏感数据等信息。
1、密码包括但不限与查询密码、登录密码、证书的PIN等。
2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。
3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。
(三)客户端程序:征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能(如数据采集)的程序,并提供必需功能的组件,包括但不限于:可执行文件、控件、浏览器插件、静态链接库、动态链接库等(不包括IE等通用浏览器);或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。
(四)通讯网络:通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连,征信系统安全设计应在考虑建设成本、网络便利性等因素的同时,采取必要的技术防护措施,有效应对网络通讯安全威胁。
(五)服务器端:服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序,征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等,在外部威胁和受保护的资源间建立多道严密的安全防线。
1.3总体要求
本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。
(一)安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。
(二)安全技术从客户端、通讯网络、服务器端等方面提出要求。
(三)业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。
二、安全管理
2.1安全管理制度
征信机构根据征信系统的建设、运行和管理情况,建立和完善信息安全管理制度,并定期进行评审和修订。2.1.1内部管理制度 基本要求:
(一)应制定信息安全工作的总体方针和安全策略,说明本机构安全工作的总体原则、目标、范围和安全框架等;
(二)应建立征信系统建设和运维管理制度,对机房管理、资金安全、设备管理,网络安全和系统安全等方面做出明确规定。
(三)应建立征信系统安全审批流程,系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批,并确认签字。
(四)应对安全管理人员及操作人员执行的重要操作建立操作规程,并进行定期培训。
(五)应建立日常故障处理流程,重要岗位应建立双人负责制。
(六)应建立软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。
(七)应建立数据库管理制度,对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。
(八)应建立外包服务管理、外部人员访问等方面的管理制度,对外部人员对本机构内的活动进行规范化管理。
(九)应建立突发事件及重大事项报告制度,对外部人员在本机构内的活动进行规范化管理。
(十)应建立突发事件应急预案制度,有效避免事故造成的危害。
(十一)应建立信息安全检查制度,定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作,主动接受和配合中国人民银行及其派出所机构的安全检查。增强要求:
(一)应建立征信系统建设工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
(二)应建立密码使用、变更管理及数据备份与恢复等方面的管理制度,对系统运行维护过程中重要环节的审批与操作等作出的明确规定。
(三)应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。2.1.2安全审计制度 基本要求:
(一)应建立信息安全内部审计制度,定期可能带来信息安全风险的因素进行审计和评估,个人征信机构每年至少1次,企业征信机构每年至少1次。
(二)应对安全管理制度的制定和执行情况进行审计,审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度,安全管理制度的执行情况,是否定期对制度进行评审和修订。
(三)应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计,审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。
(四)应对业务操作进行审计,审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。
(五)审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息;应保护系统中的审计记录,避免收到未预期的删除、修改或覆盖等,保存期至少半年;纸质版审计记录保存期应不少于三年。增强要求:
(一)应定期委托外部专业机构,有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。
(二)在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。
2.2安全管理机构
征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组,并制定专门的部门负责信息安全管理工作。2.2.1岗位设置 基本要求:
(一)应设立安全主管、信息安全管理岗位,明确安全主管和信息安全管理员的岗位职责。
(二)应设立安全管理员、网络管理员、数据库管理员等岗位,并定义各工作岗位的职责。
(三)除科技部门以外,其他部门应设置部门计算机安全员。增强要求:
(一)应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。
(二)应建立数据安全管理组织,明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任,确保有效落实和推进数据安全的相关工作。2.2.2人员配备 基本要求:
(一)应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。
(二)安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。
(三)信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。增强要求:
关键事务岗位。如信息安全管理员、数据库管理员等,应配备至少两人,且互为A、B角共同管理。2.2.3授权和审批 基本要求:
(一)应根据各部门和岗位的职责明确授权审批部门和审批人。
(二)应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程,由责任人审批后方可进行,对重要活动应建立逐级审批制度。
(三)应记录审批过程并保存审批文档。增强要求:
应每年审查审批事项,及时更新需授权和审批的项目、审批的部门和审批人等信息。2.2.4沟通与合作 基本要求:
(一)应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。
(二)应加强与同业机构、通讯服务商及监管部门的合作与沟通。增强要求:
(一)在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议,共同协作处理信息安全问题。
(二)应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。2.3人员管理
征信机构应加强人员安全管理,明确不同岗位的职责,规范人员录用、离岗、考核和培训等工作。2.3.1安全主管 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。
(二)安全主管可由信息安全管理部门的相关领导担任,也可指定专人担任,主要履行以下职责:
1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。
2、将征信机构信息安全领导小组讨论形成的安全决策,分解为安全任务部署落实。
3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。
4、对征信机构内部其他信息安全相关管理事项进行审批。
(三)安全主管调岗位时。应办理交接手续,并履行其调离后的保密义务。增强要求:
安全主管应加强信息安全知识的学习和技能掌握,及时关注国内外信息安全动态,为加强和改进本机构的信息安全管理工作提供合理化建议。2.3.2信息安全管理员 基本要求:
(一)应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。
(二)信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。
(三)信息安全管理员应履行以下职责:
1、在安全主管的指导下,具体落实各项安全管理工作,并协调各部门计算机安全员开展工作。
2、在安全主管的指导下,组织相关人员审核本机构信息化建设项目中的安全方案,组织实施安全项目建设、维护、管理信息安全专用设施。
3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。
4、负责本机构计算机系统部署上线前的安全自测试方案的审核。
5、定期检查网络和征信系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见,统计分析和协调处置信息安全事件。
6、定期组织信息安全宣传教育活动,与相关部门配合开展信息安全检查,(四)信息安全管理员调离岗位时,应办理交接手续,并履行其调离后的保密义务。增强要求:
信息安全管理员应增加信息安全知识学习和技能掌握,及时关注国内外信息安全动态,为贯彻落实本机构的信息安全策略和方案提出合理化建议。2.3.3部门计算机安全员 基本要求:
(一)各部门的计算机安全员应由较熟悉计算机知识的人员担,并报信息安全管理部备案,如有变更应及时通报信息安全管理部门。
(二)部门计算机安全员因积极配合信息安全管理员的工作,各部门应优先选派部门计算机安全员参加信息安全技术培训。
(三)部门计算机安全员应履行以下职责:
1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范,系统故障应急处理、移动存介质管控等工作。
2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求,及时与信息安全管理部门沟通本部门信息安全情况,做好信息安全通报工作,发现情况及时向信息安全管理部门报告,3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理,组织开展本部门信息安全自查,协助信息安全管理部门完成本机构的信息安全检查工作。
(四)部门计算机安全员调离岗位时,办理交接手续,并履行其调离后的保密义务。增强要求:
部门计算机安全员每年至少参加一次信息安全培训,积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。2.2.4技术支持人员 基本要求:
(一)内部技术人员(本机构正式员工,负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员,若系统管理员、数据库管理员等)在落实征信系统建设和日产维护工作过程中,履行以下职责:
1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。
2、严格权限访问,未经业务部门书面授权和本部门领导批准,不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。
3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况,定期进行风险评估、应急演练,发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。
(二)外部技术人员(非本机构人员)应履行服务外包合同(协议)中的各项安全承诺,在提供技术服务期间,严格遵守征信机构相关安全规定与操作规程。增强要求:
外部技术支持人员未经业务部门书面授权和所在部门领导批准,不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等,确需接触、查看或修改时,须取得业务部门书面授权和所在部门领导批准,并在内部技术人员在场陪同下,方可进行。2.2.5业务操作人员 基本要求:
(一)业务操作人员(指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员,包括业务管理员、一般业务操作员)应履行以下职责:
1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据,严禁各种违规操作。
2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据,防止征信信息外泄。
3、妥善保管好征信系统的账户和密码,并按要求定期更换密码,禁止将账户和密码提供给他人使用。
4、发现征信系统出现异常及时向部门计算机安全员报告。
5、定期清理业务操作终端业务数据,不得在业务操作终端上安装与支付业务无关的计算机软件和硬件,不得擅自修改征信系统的运行环境参数。
(二)业务操作按照“权限分设、互相制约”原则,严格进行操作角色划分和授权管理,技术支持人员不得兼任业务操作人员。增加要求:
业务操作人员应实现A、B角管理。2.2.6一般计算机用户 基本要求:
(一)一般计算机用户(指征信机构内部使用接入征信系统网络的计算机及外设的所有人员)应履行以下职责:
1、及时安装计算机病毒防治软件和客户端防护软件,按规定使用移动存储介质,自觉接受部门计算机安全员的指导与管理。
2、不得安装与工作无关的计算机软件和硬件,不得将征信系统相关计算机擅自接入未经授权的网络。
(二)未经信息安全管理部门批准和检测的计算机及外设不得接入征信系统网络。增强要求:
1、一般计算机用户不得私自改变计算机用途。
2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。
2.4系统建设管理
2.4.1系统顶级 基本要求:
(一)应明确信息系统的边界和安全保护等级。
(二)应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。增强要求:
应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。2.4.2安全方案设计 基本要求:
(一)应根据征信系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
(二)应以书面形式描述对征信系统的安全保护要求、策略和措施等内容,形成系统的安全方案。
(三)对安全方案进行细化,形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。
(四)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。增强要求:
(一)应制定和授权专门的部门对征信系统的安全建设进行总体规划,制定近期和远期的安全建设工作计划。
(二)应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案,并形成配套文件。
(三)应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定,并且经过征信机构相关领导批准后,正式组织实施。
(四)应定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。2.4.3安全产品采购
信息安全专业规范 篇2
1. 确定网络资产的基线
第一步是建立一个准确的基线和网络的节点结构图。在这个阶段, 每个构成网络的资产都需要被确定:服务器, 台式机, 笔记本电脑, 路由器, 无线接入点, 网络打印机, 和其他相关设备。这一基准提供了管理和衡量脆弱性管理程序的基础。基线将不断的变化, 新的服务器, 应用程序和设备的部署都会导致基线的重新确定。基线是网络正常运行的全方位的直观体现, 是判断网络异常的依据。
通常基线算法有两种, 一种是周期性基线, 一种是移动窗口基线。在合理测量网络运行状态并形成准确数据的前提下, 如果检测指标的正常值的变化趋势有明显的周期性的流量指标, 例如端口总流量, 某种应用的总流量、某个IP群组的流量趋势, 则建议采用周期性基线。如果检测指标的正常值没有明显的周期性变化, 而且在一个较小的范围内波动, 则使用移动窗口基线效果比较好。基线值可以根据一组历史流量数据利用加权平均和置信区间的算法得到的, 超出可信范围的历史数据不参与基线的计算, 从而保证了基线的有效性。
2. 资产分类
经过充分的网络发现, 下一阶段是进行商业价值的分类。网络设备进行分组和分类是必要的, 从低优先系统, 如分段测试系统, 以及中度优先权系统, 如销售团队使用的笔记本电脑, 以及关键的系统, 规范管理的信息或正在进行的至关重要的业务经营和现金流量。
如何分类取决于系统的性质, 单位的业务, 例如, Web服务器和系统, 支持订单, 包括那些受PCIDSS (支付卡行业数据安全标准, Payment Card Industry's Data Security Standard) 约束的部分, 可能是互联网商务最关键的设备, 也可能是一个制造商的供应链上的所有系统。这一阶段的目标是确定那些系统是业务成功运作所必需的。此外, 所有系统, 流程相关部分, 或私人客户的信息都需要相应的化分类别。通过对IT资产进行分类, 就可以面对安全危机时以最有效的方式利用有限资源恰当反应, 并减轻这些风险对最重要的资产和业务单元的影响。
3. 准确快速的漏洞识别
现代网络是复杂的, 不同的厂家生产不同规格的硬件服务器, 不同组织支持着各种软硬件标准, 操作系统和网络平台。单位需要做的是一个高度精确, 全面和及时更新的识别方式, 以确定最新系统安全漏洞和可能导致风险的错误配置。在此基础上及时准确的按照最新安全信息对系统和网络进行正确配置。对于单位来讲, 恰当的“纵深防御”的要求以高强度的脆弱性检测和实施严格的管理制度为前提。按照上一步确定的资产价值等级来实现处理危机的先后顺序, 这确保了优先处理即将对组织构成的实在风险的漏洞。太多的单位会运行一个系统的脆弱性评估体系和被动开始修补的“最关键”的漏洞, 降低所处的风险等级。虽然这是肯定的一种来处理问题方式, 这不是永远的减少风险的最有效的途径。事实是, 在某些最重要的系统的关键的系统级漏洞往往可以比中等漏洞拥有更低的优先处理地位。这就是为什么要按照商业系统价值和网络部分的脆弱性来定义重要的相关漏洞危险性临界。要处理的最棘手的问题, 规范的系统分类是前提。
4. 通过全面的报告变换原始安全数据为有价值信息
未经过精炼的漏洞报告对衡量评估安全等级是没有价值的。管理员需要的是详细记录重要的漏洞补救解决方案的全面报告并且提供可以随即访问的经验证的解决方法, 无论是软件厂商官方补丁, 变通的其他策略, 或其他的防御办法。除了向系统管理者和高层安全管理者生成报告, 安全的信息还需要被有效收集, 并且规范化, 提交给那些需要了解单位安全状况的其他组织。其中包括展示自身较高层次的IT安全和良好的系统管理监管状况, 以便获取银行的, 甚至向要求有关单位的IT安全方面的情况的业务合作伙伴和客户。获得信息安全的外界信赖也是单位形象的重要提升。
5. 动态实时数据显示
模拟的显示数字化信息“仪表盘”能创建即时可视化网络健康度的体现。控制台需要随时不断更新和根据单位的具体业务和安全需要随时定制。对每个系统及其商业价值进行脆弱节点的评估, 跟踪创建的日期和时间的扫描记录, 确定了那些漏洞, 其严重程度, 或分类。
一旦补丁已被部署, 随后的检查就是验证每个系统的修补程序是否已经正确使用, 及其相关的风险等级降低程度。这里跟踪以确定组织补救措施要花费的时间, 并验证补丁的部署效果是至关重要的。这种保证突出的是单位脆弱性管理程序是如何有效工作, 因此, 由于修补漏洞而使系统减少运行的天数是值得和必要的。在执行修补程序的过程中, 关注与其产生关联的信息与商业价值的IT资产, 可以跟踪组织的整体成功运作的维持系统, 以配合内部安全政策, 如一个星期内确定一个关键系统内的漏洞修补。其他主要数据包括价值跟踪的程度在所有终端和服务器内保持受控性, 有多少系统在未来一段时间内仍十分脆弱, 始终保持单位的IT安全政策系统的待处理比例等。
6. 缩短漏洞处理时间
我们发现在脆弱性评估和管理过程中人们往往忽视了作为一个重要的衡量IT的安全指标, 导致整个安全漏洞解决过程的环路不能完美关闭。这就是处理时间。通过了解组织纠正已发现的漏洞和错误配置的反应时间, 不仅可以洞察单位所处的整体安全状况还可以考察是否拥有采取恰当反映措施的能力。这里缩短从发现新的漏洞到, 快速, 有效的检测和修复的时间是至关重要的。
7. 用全面报告展示单位的安全实力
保持单位的安全形象要求有系统安全的有力证明, 并且有适当的执行过程和应用程序的支撑, 以展示对可能产生任何漏洞危机的应对能力。对于上市公司, 这可能包括详细的报告, 其金融系统部分还要遵循Sarbanes-Oxley法案。医疗机构则需要特别注意的临床和行政系统, 包含私营医疗资料, 以便留在符合卫生信息流通与责任法案。同时单位必须面对越来越多和复杂性法案, FISMA (联邦信息安全管理法案) , California SB 1386, 并支付卡数据安全标准 (PCI DSS) 但这一进程和要求是相同的:足够的能应对政府监管和审计行业安全水平。对于中国单位这些规范标准是迈向无缝国际接轨的重要前提。
结论:
信息安全专业规范 篇3
一、整顿和规范地理信息市场的重要意义
地理信息是一定时空内所有物体、现象的位置、分布、规模和属性的模拟或数字表现。掌握了准确、细致的地理信息就能够清楚、详细地掌握空间环境情况,为科学、正确地谋划、决策、控制、管理和行动奠定基础。但是在世界还不太平的现状下,地理信息也是国家和政治、军事集团之间进行对抗甚至军事威胁、打击的重要工具和法码,为达到胜出对手的目的,尽可能详细地掌握对手的地理信息,同时尽量隐蔽一旦泄漏对己不利的地理信息情况,是当今世界任何国家维护自身利益的一项重要措施,凡是涉及国家安全的地理信息,不论哪个国家都要采取严密的控制措施,防止落入敌手而对国家安全造成威胁。
从军事的角度来说,自人类社会出现战争以来,利用地理地形条件一直是赢得战争的基础性和关键性条件之一。每一场战争、战役、战斗的结局,几乎都与地理地形环境及其适应、利用能力密切相关。在现代高技术战争特别是信息化战争中,充分获取战场地理信息,建立数字化战场,达成“战场透明”,已成为克敌制胜的先决条件。因此,先进外军特别是美军下大力建设地理信息基础设施和应用保障系统,为其在一系列信息化局部战争中实现精密指挥、精确打击、精准行动、精细保障奠定了基础。
二、整顿和规范地理信息市场的的措施
1、牢固树立“国防安全为本”的理念
国家利益中最重要、最根本的利益是国家安全利益,属于国家秘密特别是军事秘密的地理信息一旦落入敌对势力手中,将对国家安全构成严重威胁。我们知道,在信息化战争中有一道公式,叫做“发现等于定位,定位等于摧毁”,这个“发现”不仅指使用观测设备直接发现,也包括获取目标的地理信息从而间接发现,说明地理信息在国防安全中具有举足轻重的地位和作用。这在科索沃战争、阿富汗战争和伊拉克战争中也充分证明,美军及西方盟国,利用上述国家连年战乱管理工作失控的局面,通过各种手段获取了这几个国家的详细地理信息,从而实施精确打击,迅速摧毁了这些国家的重要政治、经济、交通、通信、军事设施,瘫痪了对手的抵抗能力。我们必须吸取这些教训,在致力和平发展的环境中居安思危,在维护国防地理信息安全上抵制和克服“和平麻痹”思想,时刻绷紧安全保密这根弦,始终把国家安全、国防安全摆在至高无上的位置,严把地理信息安全关。
2、切实加强对相关法规的学习宣传
目前我国地理信息市场已成规模且参与主体多元化的情况下,整顿和规范工作的涉及面广,情况复杂,需要军队和地方各级各部门严格依据国家、军队颁布的相关法规实施治理,才能实现建立“长效机制”的目标。到目前国家、军队和有关行政主管部门已经制订、颁布了一系列的法律、法规和行政规章制度,形成了比较完整的法律体系,这就需要相关部门和参与这项工作的人员要认真学习,熟悉内容,并做好宣传工作,积极推动地理信息市场法律法规的普及教育。
3、突出整顿、规范重点
整顿和规范地理信息市场还要有重点,要抓住重点监管环节、重点监管对象、重点监管有关地理信息活动这三个关节点,其中对在军事禁区、军事管理区进行过航空摄影、摄像、測绘活动的,不仅要查活动,还要查成果,以便及时处理存在的问题,确保军事秘密的安全。
4、加强互联网的安全防护能力
整顿和规范地理信息市场,还需要军队和地方各级有关部门采取积极措施,在大力促进互联网的应用和网络技术的普及过程中,高度重视和支持对网络安全技术的研究和开发,切实增强网络的安全防护能力。要加强对互联网的运行安全和信息安全的宣传教育,依法实施有效的监督管理,严密防范利用互联网传递有关国家安全的地理信息,保障互联网的运行安全与信息安全。
作者简介:卢雪梅,高级工程师,1966年11月出生。籍贯:山东邹平。1986年毕业于解放军测绘学院。
XX银行员工信息安全行为规范 篇4
第一章 总则
第一条 为提高总行科技开发部员工(包括行内员工、在我行工作的外部员工)的信息安全意识,规范员工的行为,指导员工合理、安全地使用信息资产,防止有意或无意的破坏信息安全行为的发生,保护我行信息资产安全,制定本规范。
第二条 员工应主动了解本我行信息安全管理相关规定,积极参与我行组织的信息安全培训,提升信息安全意识和技能,并严格遵守我行信息安全要求。
第二章 资产管理声明
第三条 禁止利用我行资产(包括我行配发的计算机、手机等个人终端设备)处理个人事务,以避免我行在信息安全管理中触及个人隐私。第四条 员工利用我行的资产所产生、处理和存储的一切信息,其所有权归我行拥有。
第五条 我行出于对运营管理、安全管理和司法调查取证等需要,保留在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。
第三章 工作环境安全要求
第六条 进入我行工作区域时,应规范佩戴我行认可的身份识别证件或按照我行相关管理规定登记并获得许可后方可进入。
第七条 应遵守安全区域访问规定,进出非授权区域时,需按照我行相关规定经相关责任人批准。
第八条 员工应安全保管身份识别证件,丢失后及时向发证部门报告,禁止将身份识别证件借与他人使用;调离我行时,应主动交还我行配发的身份识别证件。
第九条 我行内调动或更换工作区域时应主动申请门禁权限变更。第十条 若发现任何可疑人员进入我行或进行非授权活动,要立即制止,并报告相关部门。
第十一条 启用门禁的区域进出时要防止人员尾随,进出后应及时关闭。
第四章 用户账号安全
第十二条 任何账号仅限申请账号时批准的所有者在授权范围内使用,严禁使用账号访问未授权的资源,账号所有者承担使用该账号所产生的一切责任和后果。
第十三条 账号正式启用前,必须为账号添加密码或修改缺省密码,密码应具有足够的安全强度;对于重要核心系统的密码,应加强密码复杂度和密码长度。
第十四条 具有足够强度密码设置要求如下:
(一)口令最小长度:8位
(二)口令字符组成复杂度:口令由数字、大小写字母及特殊字符,且至少包含其中两种字符(动态口令除外);(三)口令历史:修改后的口令至少与前4次口令不同;
(四)口令最大连续尝试次数:10次;口令错误次数超过最大连续尝试次数后,应具有限制用户登录的机制。
(五)口令最长有效期限: 180 天,可根据系统重要性和用户权限采取不同的有效期;口令使用期限即将达到口令最长有效期限时,应具有提示用户修改口令的机制。
(六)主机系统、网络设备、安全设备等超级用户口令最长有效期应为90天,其它用户口令最长有效期应符合本章口令基本要求。
第十五条 应安全保管或者随身携带实物密钥,如USBkey等,禁止随意放置在桌面上。如发现实物密钥遗失或怀疑密码被窃取,应立即通知信息技术部门进行处理。
第十六条 应安全保管密码,如没有可靠的物理控制措施,不要将密码写在纸上,或记录于电子文件中;禁止将密码在终端软件(如IE浏览器)上自动保存;禁止公开本人或他人的密码信息,不得猜测窃取他人账号密码。
第十七条 工作职责发生变动时,应主动申请帐号或者实物密钥权限的变更;当不再需要某系统的访问权限时,应主动申请注销账号或者权限;对不能关闭的账号或者实物密钥,应及时移交给本部门指定责任人;在离职时,应主动移交全部账号和实物密钥。
第五章 信息设备使用
第十八条 终端计算机在配发时按照我行规范统一进行命名,使用人不得擅自修改计算机名。
第十九条 所有终端计算机应安装我行要求的桌面管理软件、防病毒软件等,员工不得自行删除或修改。
第二十条 终端计算机应设定统一的屏幕保护程序,屏幕保护程序等待时间设在10分钟以内。
第二十一条 自己使用的设备和系统应设置密码保护,如开机密码、登录密码、屏幕保护密码。
第二十二条 离开座位时,应锁定或关闭计算机;应安全保管终端信息设备,周末或者节假日期间禁止将便携信息设备放在桌面上。
第二十三条 原则上不要将我行配发的设备用于工作以外用途或接入办公以外的环境,如因工作需要需与外部环境对接,再次接入办公环境时应先进行病毒的查杀。
第二十四条 未经授权不得使用移动介质,使用移动介质前,应进行病毒检测,确认安全后方可使用。
第二十五条 使用公同终端后,应及时退出登录并关机或锁屏。
第二十六条 未经授权不得将终端设备、移动介质、实体信息和软件等带离办公区。
第二十七条 未经授权任何人不得私自调换信息设备,禁止私自拆卸、维修或者更换计算机硬件。
第二十八条 设备及存储介质提交维修、回收、报废前,应对设备上的重要数据进行备份和安全销毁。
第二十九条 应保管好个人使用的信息设备,一旦丢失,应立即向本部门报告,特别对于绑定用户账号的个人终端设备,还应立即报告信息技术部门,以及时锁定相应账号,以防止被冒用。
第六章 软件使用
第三十条 终端设备初装或重装操作系统,必须使用我行提供的操作系统,不得随意使用其它操作系统安装包进行安装。
第三十一条 应使用我行许可的软件,禁止安装与工作无关的软件和盗版软件,不要随意安装从互联网下载的软件,禁止私自更改、禁用、卸载我行要求使用的软件。
第三十二条 严禁使用黑客工具等影响或破坏我行信息安全的软件。第三十三条 严禁擅自复制、传播和销售我行的计算机软件产品。第三十四条 不得使用扫描软件、压力测试软件或自编软件对我行内网及系统进行扫描、攻击测试和干扰。
第七章 计算机网络使用
第三十五条 禁止将未经许可的计算机设备接入我行网络。
第三十六条 未经许可,不得擅自变更接入设备的网络设置。第三十七条 不得启用任何未经批准的网络协议。
第三十八条 除我行提供的互联网出口外,未经批准,在我行办公室环境不得采用任何方式(如无线网卡、调制解调器等)接入互联网或其它外部网络。经批准可以使用的,应先断开与我行网络的连接,方可连接外部网络。
第三十九条 要合法、文明访问互联网,禁止在互联网上进行以下活动:
(一)反对宪法所确定的基本原则,含有法律、行政法规禁止的其他内容的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的,损害国家荣誉和利益;
(三)煽动民族仇恨、民族歧视,破坏民族团结的,破坏国家宗教政策,宣扬邪教和封建迷信;
(四)散布谣言,扰乱社会秩序,破坏社会稳定;
(五)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;(六)侮辱或者诽谤他人,侵害他人合法权益。
第四十条 不得滥用我行网络资源进行与工作无关的活动,如访问与工作无关的网站和互联网服务、下载与工作无关的文件、玩网络游戏、使用QQ和MSN聊天等等。
第四十一条 禁止使用大量占用网络带宽的网络软件,如P2P下载、多线程下载、网络视频、网络电视、网络游戏等。
第四十二条 除非受技术限制,禁止有下列情况之一的计算机终端接入互联网:
(一)涉及我行机密或敏感信息的;
(二)未安装指定防病毒软件和桌面管理软件等安全管理软件、病毒库未及时更新的;
(三)经评估存在其它安全隐患,不适宜接入互联网的。
第八章 电子邮件使用
第四十三条 应以本人的真实身份使用电子邮箱,不得以他人名义或匿名滥发邮件;电子邮件的回复地址应设为本人电子邮箱地址。第四十四条 严格保密自己电子邮件系统的密码,如交与他人使用,由此造成的一切后果由电子邮件账号所有人承担。
第四十五条 不要利用电子邮件服务发送与工作无关的邮件。
第四十六条 不得利用电子邮件服务散布电脑病毒、木马软件、间谍软件等恶意软件,干扰他人或破坏网络系统的正常运行。
第四十七条 不要打开来历不明邮件中的链接地址与附件,防止泄漏个人信息或者终端被安装木马、病毒等恶意程序。
第四十八条 严禁将我行的电子邮件用于非工作目的,特别是以娱乐、购物、交友等为目的的身份注册。
第四十九条 不得猜测他人电子邮件账号和密码,窃取、公开或篡改他人邮件信息。
第九章 数据安全管理与保密
第五十条 使用数据时参照《XX银行资产安全管理办法》中的信息资产分级说明对数据进行分级(从高到低依次为“关键数据”、“敏感数据”、“内部数据”),对于“敏感数据”及“关键数据”应进行标识,以指导数据的规范使用。
第五十一条 应及时备份工作中的重要数据,以防数据丢失;
第五十二条 不得向未授权机构或人员提供我行保密性数据(包括“内部数据”、“敏感数据”和“关键数据”),或者未经批准将我行信息带离我行网络环境,包括拷贝至个人信息设备、发送至个人公网邮箱、上传至互联网等。
第五十三条 经授权向外部机构或人员提供保密性数据时,必须通过数据主管理部门批准的途径和方式进行传递。
第五十四条 在内部部门或者员工间进行“敏感数据”及以上级别数据传输时,应选择我行内部的邮件系统、个人网盘、即时消息系统或者我行提供的移动介质等传输方式,并进行加密。不得使用非我行提供的技术手段,如个人公网邮箱、MSN、QQ等传输数据。
第五十五条 处理“敏感数据”及以上级别数据时,要注意周围环境,防止
被窥视;避免在公共场合谈论我行保密性信息,以防被窃听。第五十六条 对于“关键数据”,应采取加密措施并妥善存放;接入互联网的终端不得存放“关键数据”。
第五十七条 载有“敏感数据”及以上级别数据的文件资料等不再使用时应及时锁放在文件柜中,不要放在桌面或夹在日常的文件中。第五十八条 在公用的打印机、复印机设备上处理“敏感数据”及以上级别数据时,要及时将打印或复印的文档取走。如设备出现故障,未能打印或复印,应清空设备的处理列表,以免“敏感数据”及以上级别数据留在设备缓存区中,被他人获得。
第五十九条 使用传真机接收“敏感数据”及以上级别数据时,要提前守候,发送此类数据时,要与对方提前约定,并在发送后及时确认。第六十条 不得使用公用计算机设备处理“敏感数据”及以上级别数据,废弃纸质文件如含有“敏感数据”及以上级别数据内容,要及时销毁,不可留做二次用纸。
第六十一条 使用移动介质传输和存储保密性数据时,应对数据或介质进行加密,使用结束后应及时清除介质上的保密性数据。
第六十二条 泄露客户与员工等个人隐私属于违法行为,严禁违反我行流程复制、外传和使用我行客户与员工的个人信息数据。
第六十三条 不得未经批准翻印、复制、摘录和外传我行购买具有第三方版
权的外部信息,信息中含有版权或者保密要求的,应严格遵照执行。
第十章 防病毒要求
第六十四条 除非受到技术限制,任何设备接入我行网络前,均需先安装我行规定的安全接入控制软件和防病毒软件,并进行病毒扫描,在确认该电脑安全无毒后,方可接入。
第六十五条 使用个人计算机时,要运行防病毒软件,及时更新病毒库、升级系统补丁,并定期执行病毒检测和清除。未经许可,不得下载和安装规定以外的防病毒软件或病毒监控程序。
第六十六条 在使用新购、借入或维修返回的计算机前,应对硬盘进行病毒检查,确保无病毒之后才能投入正式使用。
第六十七条 使用U盘、光盘等移动介质前,要进行病毒检测,不要使用任何未经防病毒软件检测过的移动介质。
第六十八条 向外发布文件或软件时,要使用规定的防病毒软件进行检查,确保无病毒或病毒已清除,才能向外发布。
第六十九条 提高对电子邮件病毒的防范意识,不要阅读和传播来历不明的电子邮件及其附件。
第七十条 收到我行内部员工发来的含有病毒的邮件,应及时报告信息安全管理人员。
第七十一条 如发现计算机感染了病毒,或者数据被删除破坏等异常情况,要立即断开网络连接,并及时向信息安全管理人员汇报病毒情况。第七十二条 如发现感染的病毒不能被我行规定的防病毒软件有效清除,应立即断网,并报告信息安全管理人员;在得到妥善处理前不要使用被感染的文件,并保持断网状态。
第七十三条 不得以任何名义制造、传播、复制、收集计算机病毒。
第十一章 罚则
第七十四条 对于违反以上要求及我行信息安全方针政策的行为,将按照我行的有关规定进行处罚。
第七十五条 对于违反本规范的人员,将依照情节轻重对其采取以下惩罚措施:
(一)警告提示;
(二)暂停账号或计算机终端入网,并进行通报批评。
第七十六条 对于情节严重,对公司造成重大损失,甚至构成犯罪的,交由司法机构追究其法律责任。
第十二章 附则
信息安全专业规范 篇5
体现形式:
完成单位:
项目成员:
研究开始时间:
联系人:
验收时间:航道班组安全标准化管理规范研究报告行业标准广东省航道局技术领域: 项目名称: 项目负责人:综合研究航道班组安全标准化管理规范荀建群荀建群,胡森涛,杨三喜,黄夏幸,黄祥光,杨明远,廖希,叶潘艺,郑志武,郑文生,徐如丰,陈国楚,黄坚,匡雷,邓炽华,许开铭2006-12-01胡森涛2012-07-06 研究结束时间: 联系邮箱: 鉴定时间:
2011-03-31faguichu@yeah.net2012-04-08
航道班组安全标准化管理规范研究报告
发布人:荀建群发布时间:2012-07-02浏览次数:6
3知识产权声明:项目研究成果是本团队独立进行研究工作所取得的成果,研究成果归完成单位所有,如发现本项目研究成果被恶意抄袭,本项目团队将进行法律追究。
1.任务来源
任务来源根据广东省航道局《关于在全省航道范围深入开展班组安全标准化管理创建活动的指导意见》粤航道[2006]491号文的要求,广东省航道局开展《航道班组安全标准化管理规范》课题的研究,研究期限为2006年12月~2008年12月。广东省航道局在制定的总体研究方案、技术路线指导下,开展较为深入细致的调查研究,形成《航道班组安全标准化管理规范》(下称《规范》)及《航道班组安全标准化管理手册》(下称《手册》),实现航道班组安全标准化管理,圆满完成了各项任务。项目编号:HDAJ20060
12.应用领域和技术原理
1、应用领域:本《规范》及《手册》适用于广东省航道系统基层班组(含航道建设施工管理项目部)及以上各单位、全系统广大干部职工。
2、编制方法
1)《规范》的编制
课题组根据航道班组安全标准化管理的要求,结合航道班组安全生产过程中的现场环境条件,现场作业特点,编制《规范》,实现管理标准化、现场标准化、作业标准化,编制步骤如下。
编制作业标准化体系。以粤东航道局及其潮州分局和桥东航道站的航道班组安全生产情况,针对每一项作业进行仔细调研、分析,掌握其特点、规律,列出标准的框架,然后逐步填充、细化。我们经过反复调研、讨论,将每一项作业标准定为3个部分,分别为作业风险、作业指引和安全须知。
编制现场标准化体系。根据每种安全作业的特点、其对现场的要求及场所安全生产工作的要求,编制包含航道维护管理设备、航道维护管理作业场所两部分的现场标准化体系。
编制管理准化体系。管理标准包括的主要内容是相关管理条文,根据作业标准化、现场标准化的特点和要求,建立航道班组安全生产制度,规范对航道班组安全生产操作规程及每一个岗位落实安全生产责任,内容包括安全制度、和一岗双责等三部分,完成《规范》初稿的编制。
《规范》的修改完善。规范编制完成,即投入到航道班组的日常工作中去检验,编制人员定时或不定时深入到作业现场,对规范初稿在运行过程中出现的问题及时地补充完善,再次投入运行,经过了多次的总结、归纳、实践及总结,形成《规范》。
2)《手册》的编制
为了解《规范》实施后的效果,及其对安全生产的指导作用,针对规范的实施内容及过程,编制《班组安全标准化管理手册》,对《规范》实施过程管理。《手册》包含:安全目标管理、安全网络机构及职责管理、安全工作制度及操作规程管理、设备设施及作业场所管理、安全作业规范化管理、安全基础管理等,同时设计了安全管理相关表格、函件格式21个。
3)实施
广东省航道系统班组安全标准化管理采用P(计划)、D(实施)、C(检查)、A(改进)动态循环的管理模式,绩效目标就是制定的《规范》,衡量标准就是《手册》,他们一起配套使用,共同维护航道班组安全生产。
《规范》的每一项工作,都与量化绩效考核(即《手册》相关内容)相挂钩,建立客观的量化测评指标,哪一项工作欠缺,都是绩效考核扣分的依据,让现场责任人“看得见、摸得着、做得到”,有效提高工作效率及安全质量。
3.性能指标
1、技术指标
1)《航道班组安全标准化管理规范》;
2)《航道班组安全标准化管理手册》。
2、经济指标
实践证明《规范》及《手册》手册的运行进一步夯实了广东省航道局航道班组的安全生产基础管理工作。安全管理制度进一步得到完善;现场作业设备和场所的安全保障水
平明显提高;现场作业进一步规范,推动了广东省航道局安全生产管理工作上了一个新台阶。
通过本项目的研究,编制《规范》及《手册》,规范了航道班组的日常工作行为,保障航道设施得到有效的建设、维护与管理,保障航道的畅通,保障水域船舶的航行安全,促进了航道班组安全管理水平和安全生产工作质量的提高,有效减少班组人为生产安全事故和水上交通事故的发生,对珠三角地区内河港口的安全产生了巨大的推进作用,产生了巨大的经济和社会效益。对广东省经济和交通建设发展起到巨大的促进作用。
4.成果关键技术介绍
1、编制航道班组安全标准化管理规范
航道班组安全标准化管理体系由管理标准化、现场标准化、作业标准化三部分构成,规范航道班组工作行为。
2、建立班组安全标准化管理手册
为了解规范的实施效果及其对安全生产的作用,针对《班组安全标准化管理规范》的内容,制定了与《规范》相配套适用的《班组安全标准化管理手册》,对航道班组执行《规范》情况进行量化绩效考核,以肯定航道班组实行标准化管理后产生的效果。《班组安全标准化管理手册》包含:安全目标管理、安全网络机构及职责管理、安全工作制度及操作规程管理、设备设施及作业场所管理、安全作业规范化管理、安全基础管理等六部分,同时设计了安全管理相关表格、函件格式21个。
5.与国内外同类技术比较
航道班组是航道管理最基层的生产、作业组织,班组的安全管理是加强内部管理、搞好安全生产、强化突发事件应急处置、减少伤亡和各类灾害事故的基础和关键,是航道工作的落脚点。由于航道行业地处水上特点的限制,及航道班组仪器设备种类多,作业场所多而复杂,制定标准化的管理标准需要花费大量的时间和费用、基层人员整体素质相对较低等条件限制,故目前国内航道班组尚无安全标准化管理的先例,为规范航道班组的建设管理,开展航道班组安全标准化管理规范的研究,填补了国内航道班组安全标准化管理的一项空白。
6.成果的创造性、先进性
1、《规范》是加强航道班组内部管理、搞好安全生产、强化突发事件应急处置、减少伤亡和各类灾害事故的基础和关键,对照查新报告证明、查阅相关文件和报道、征询相关国内同行,研究在国内应属于首创之举。
2、《规范》建立健全并严格履行“一岗双责”责任制和分级负责制;明确全员的安全生产职责,任命各级安全责任人,层层签订安全责任书。明确规定:“一岗双责”并不局限在各级各单位的领导干部层面,已深入到航道各班组的日常工作和具体岗位中,“一岗双责”的深度和广度都有不同程度的深化,在省内、国内都属于首创。
3、编制了《规范》及《手册》,明确了每一项管理工作、每一个作业场所、每一个作业工种中每一个环节的内容及具体要求,明确了每一个岗位的生产责任及安全责任,并与量化绩效考核标准挂钩,有效提高了岗位工作质量及安全质量。
《规范》及《手册》的运行采用PDCA循环“策划—实施—检查—改进”的循环管理模式,体现着科学认识论的一种具有管理手段和一套科学的工作程序。PDCA管理模式的应用对我们提高日常工作的效率有很大的益处,通过PDCA循环,实现基层班组以上各单位自主检查提高,提升了基层单位的管理内涵,区域航道局(直属单位)狠抓落实
和省局监督指导的班组安全管理标准化模式,加大了监督管理力度,从而持续改进各单位的安全管理绩效。
7.作用意义
班组安全生产标准化是一项长期的、持续性的基础性工作,不可能一蹴而就,需要持续、稳步推进。随着实践的不断深入,航道班组安全生产标准化将处在一个逐步完善的过程中,主要不断加强对班组安全生产标准化的学习和实践,增强工作的自觉性、积极性和主动性,必然会促使班组人员从思想上、行动上高度重视安全生产。更好地指导实践,从而大大促进广东省航道系统安全生产管理水平的提高。
8.推广应用前景与措施
随着《珠江三角洲地区改革发展规划纲要(2008—2020年)》、《国务院关于加快长江等内河水运发展的意见》、《广东省内河航运发展规划(2010—2020年)》等中央、省加快水运发展的有关规划、决策部署的出台,广东省航道事业发展机遇与挑战并存,航道建设、养护、管理力度将不断加大,新的形势和发展要求对航道安全生产工作提出了更高的要求,因此,必须持续、深入推进班组安全标准化建设,才能实现航道系统的发展与中央和省的水运发展趋势协调一致。
《航道班组安全标准化管理规范》和《航道班组安全标准化管理手册》将抽象的标准化概念与航道班组的日常生产生产相结合,提升了航道班组人员对标准化概念的理解和认识。同时,《规范》及《手册》经过理论和实践的多次检验和论证,可以进一步规范广东省航道系统安全管理基础建设,全面提升航道系统安全生产监管整体水平,促进各级各部门建立自我约束、持续改进的安全生产长效机制,实现航道系统安全生产形势的持续稳定,具有极强的推广应用价值。
9.推广应用存的问题和改进意见
信息安全专业规范 篇6
一、社保档案管理的现状
1. 社保档案管理机制不健全。
社会保障工作是一项范围广泛、程序复杂的工作, 其档案形成也就带有了种类繁多的特点。由于这些种类繁多的社保档案按其类别归属不同, 造成社会保障各部门之间的信息沟通困难, 遇到问题互相推诿的现象时有发生。社保各部门的领导普遍把工作重点放在参保人员的资格审批、社保基金的统筹使用等方面, 导致社保档案如何管理等问题没有得到应有的重视, 使有些社会保障部门的社保档案管理达不到规范化要求, 不能及时准确地为参保人员和社会服务。同时, 还有些社会保障部门不能遵循档案集中统一管理的原则, 综合档案室只保管文书档案, 其余业务材料都存放在业务科室。在客观上, 社保档案管理没有形成良好的运行机制和工作秩序。
2. 社保档案安全管理不乐观。
《社会保险业务档案管理规定 (试行) 》中明确要求涉及参保对象的登记材料、个人账户管理材料等要保管100年, 有些材料还将永久保存。长时间的保管期限给社保档案管理安全带来了严峻的挑战。其主要表现在: (1) 随着科学技术的日新月异, 电子档案作为一种新型的信息载体和记录方式, 与纸张、微缩胶片等信息载体相比, 具有容量大、存取快速的特点, 可以有效缓解库存的压力。但是, 电子档案对于存放环境的要求较高, 载体寿命远比不上现有的纸质档案和微缩胶片等信息载体, 如磁盘、光盘等电子档案受其介质所限, 目前一般不超过30年, 这就增加了社保档案管理的不稳定性。 (2) 随着计算机技术的不断发展, 软件程序和硬件结构的不断升级换代, 档案信息需不断地转存和迁移, 这就有可能造成相关数据资料的遗失, 使档案的原始记录受到威胁。 (3) 社保档案除了以磁介质、光盘和移动硬盘等手段备份保存外, 大量的社保业务档案、文书档案和会计档案仍采用纸质线装保存的传统方式。如果保管不善, 就会造成纸张受潮、虫蚀以及火灾等灾害, 有些档案资料也因查询次数频繁而不可避免地存在原件受损甚至遗失等不良后果。如果这些原始依据受到损毁或遗失, 无论是对社保机构还是对参保人员都会带来难以估量的损失。
3. 社保档案管理利用手段不先进。
虽然计算机网络技术日趋成熟, 无论是信息贮存量, 还是资料保存手段都有了很大的进步, 但是由于不同类别的社保档案分别归属不同的管理部门, 有不同的开发商参与系统建设, 导致其标准和技术架构产生差异, 使社保档案只能采用共享或交换的形式, 不能实现基本信息的共享, 不利于社保档案的集中统一管理, 也严重影响着社保档案联网工作的建设进程。
二、加强社保档案管理的对策
1. 建立全国统筹的社保档案管理体系。
首先, 进一步完善社保档案管理体系, 全力整合社保档案资源, 建立养老、医疗、工伤、失业、生育的五险合一的管理机制, 避免社会各保障职能部门间的交叉重复, 构建社保档案利用平台, 以最大限度地实现社保档案信息资源的共享。其次, 加强对社保档案的形成、整理、保管、利用各工作环节的研究, 制定操作性强、科学统一的社保档案管理工作规范。建立和健全社保档案管理的标准体系, 统一社保档案格式, 规范社保档案记载内容, 将社保档案管理标准贯穿于社保档案收集、整理、保管、使用、销毁全过程, 达到社保档案从形成到最后销毁等一系列工作都有章可循。再次, 档案行政管理部门要加大对社保档案管理工作的监管力度, 指导规范建档。档案行政管理部门和社保部门要相互配合、通力合作、齐抓共管, 合力推进社保档案的管理工作。最后, 在档案管理软件的开发与应用方面要有较为细致的规定, 以彻底改变社保档案信息系统的无序状态, 使社保档案工作逐步走向规范化。
2. 构建社保档案安全管理体系。
社保档案安全包括档案实体安全和电子档案信息安全。档案实体的保护工作重点在于维护, 使档案实体处于良好的状态, 不受损坏, 尽量延长使用寿命。一是落实档案管理安全责任制, 牢固树立“安全第一、预防为主”的思想, 提高社保档案管理的安全防范意识, 明确安全责任, 从制度上保证档案实体安全。二是加大档案管理工作的资金投入, 配备安全监控系统、消防系统和标准的档案装具, 改善档案保管条件和环境。三是强化技术保护, 对已破损的档案要及时修复, 防止进一步恶化;对易碎、易裂的档案要及时加固, 以防破损;对已退色的档案要迅速进行抢救性恢复, 恢复后及时进行复制, 以保存档案信息。四是加强对档案信息利用的监管工作, 严抓档案的入库和调借阅工作, 防止档案资料的丢失、涂改、损毁等现象的发生。电子档案信息安全的保护工作重点在于确保数据安全, 保证电子档案信息的完整、有效, 避免被修改、泄露等。首先, 要保证电子档案载体的物理安全。通常情况下, 电子档案存储在磁、光介质上, 这样就必须创造一个适合于磁、光介质保存的温湿度环境。其次, 应对电子数据进行备份, 并定期检测保存的电子档案载体, 及时处理存在的问题, 保证电子档案的安全性。最后, 要构建电子档案安全体系, 不但要有先进的技术保护措施作依托, 还要有科学规范的管理制度作保证, 以确保电子档案的安全。
3. 加快社保档案管理工作的信息化进程。
各地社会保障部门要重视社保档案的信息化建设, 加大投入力度, 努力建设社会保障档案信息网络, 建立社保数字档案库, 实现社保档案信息资源的共享;着力进行社保档案软件研发工作, 提高档案借阅的自动化管理水平, 改变过去手工操作的陈旧管理模式, 以便对借用者的情况、借用时间、归还时间等进行综合掌握。社会保障各部门和档案行政管理部门要努力合作, 共同促进社保档案信息资源的整合与共享, 提高社保档案管理的利用效率
参考文献
[1].刘秀红.做好社会保险档案管理工作之我见[J].劳动保障世界 (理论版) , 2010.4
信息安全专业规范 篇7
【关键词】高职 信息安全专业基础课程 专业课程 关系 梳理
【中图分类号】G 【文献标识码】A
【文章编号】0450-9889(2012)09C-0036-03
信息安全专业涉及的知识面非常广,所包含的课程数目也比较多。在信息安全专业课程开设以及课程组织过程中,经常面临着专业课和基础课相互抢占课时的现象。而且专业课和基础课所开设的内容界定也不够清晰,从而导致在实际教学过程中,有些基础课开设的内容对专业课的学习并没有多少实质性的帮助,而有些专业课在学习过程中又反映出学生所掌握的基础课内容不够,甚至有些部分的基础知识缺失,这些现象都严重影响着信息安全专业课程的正常开设以及正常的教学秩序的组织。为了彻底地解决这一问题,需要对信息安全专业的所有课程进行系统的分析,研究每一门课程所涵盖的知识内容和教学要求,分析课程与课程之间的相互依托关系。围绕提高学生掌握信息安全专业核心技术,提高应用信息安全知识能力为目标,对信息安全专业目前所开设的课程进行深入细致的梳理,建立所有课程之间的相互依托关系,使得高职院校在开设信息安全专业课程时有一个明确的指导依据。同时也能够根据所建立的信息安全专业课程之间的相互依托关系,理清信息安全专业知识在不同课程的教学分工,合理安排教学秩序,使得高职院校的学生能够在有限的学习时间内,尽可能多地掌握信息安全专业核心知识和技术,形成比较完善的信息安全专业知识体系。
根据对信息安全专业课程的分析可以发现,信息安全专业所有课程的教学目标主要围绕三条主线来开展:其一,提高信息安全专业学生的网络编程能力。与之对应的将有一系列的相关课程形成版本课程体系。其二,促使学生对网络安全协议的理解认识能力,与之相对应的也会有一个系列的网络安全协议课程体系。其三,提高学生对网络安全知识的掌握分析和应用能力,与之相对应的有网络安全课程体系。当然除此之外,高职院校的学生还会有一些基础文化课程,如数学、英语、体育等,这些课程作为公共课程是保证学生全面发展的一个重要因素。本文在研究过程中重点研究和梳理高职信息安全专业对学生网络编程、安全协议应用、网络安全应用等三个方面能力培养的相关课程界定每一个课程体系的基础课程和专业课程的范围,梳理清楚每个课程体系中基础课程和专业课程之间的相互依托关系。
一、网络编程课程体系
网络编程能力的形成和提高是高职信息安全专业在人才培养过程中对学生的一个最基本的要求,由于信息安全专业的任职岗位当中有很多岗位是要求学生掌握一定的程序开发的基础。因此,学生通过对信息安全专业课程的学习应该具备一定的程序开发和调试的能力。整个网络编程的课程体系也是信息安全专业课程体系中的一个支撑课程体系,其所包含的课程都是信息安全专业中非常核心和重要的课程。针对高职院校学生的基础条件,以及在网络编程过程中可能会应用到的各种技术,本文设计了网络编程课程体系结构图(如图l所示)。在图l之中将所有课程分为了两个层次,分别是基础课程和专业课程,其中基础课程主要包括离散数学、计算机应用技术、计算机组成与原理、数据库系统。这些课程是信息安全专业中学生必须要掌握的基础性的知识和技术,通过对这些课程的学习可以让学生对计算机软硬件系统、计算机应用软件系统以及计算机的工作原理等有一个初步的认识,在此基础上,学生进行相应的一些程序开发过程时,能够更好地理解各种计算机的应用问题,也能够比较顺畅地与其他人员进行沟通和交流。如图1所示,网络编程课程体系的专业课程主要包括面向对象的程序设计、数据结构、汇编语言、网络编程技术,这些课程直接关系到学生应用程序的开发能力。通过对这些课程的学习,可以让学生对网络编程的主流技术进行学习和掌握。需要说明的是,在专业课程体系中放置了汇编语言课程,主要是由于随着信息安全问题的研究越来越深入,很多安全领域中的程序开发越来越朝底层转移,仅仅让学生掌握顶层的一些面向高级语言的程序开发技术和网络编程技术,还不足以满足信息安全领域的开发要求,因此适当地给学生开设一定的汇编语言程序开发的课程,有助于提高学生在不同的应用条件和环境下的程序开发能力。
通过图1所示的课程体系,也可以清晰地看到所有基础课程对专业课程的支撑情况。比如离散数学和计算机应用技术课程主要是为学生提供对计算机基本应用基本概念的理解基础。而计算机组成与原理课程则让学生掌握计算机的工作过程和内部组成结构,这对学生进行各种程序开发,理解程序的运行机制有着重要的促进作用,尤其是对汇编语言的程序开发更是有着直接而重要的支撑作用。而数据库系统课程主要是为学生开拓计算机应用系统的视野范围,而且现在有很多信息安全的程序开发都和数据库有着密切的关联。因此通过图1的结构,将网络编程的课程体系进行了一次全面的梳理。
二、安全协议课程体系
安全协议在信息安全领域扮演着非常重要的角色,安全协议的应用是实现信息系统安全的一门重要技术。因此,在对学生开设信息安全课程体系的时候对安全协议的相关课程的开设有着非常重要的实践价值。从目前高职信息安全专业学生的就业情况统计分析显示,学生毕业之后有相当一部分从事的工作于安全协议有着密切的关联。因此建设好安全协议课程体系同样是对学生的就业情况有着重要的支撑作用。本文通过对安全协议知识的结构以及对这些知识的前后关联情况进行分析之后,建立了如图2所示的安全协议课程体系结构图。同样在图2中也将安全协议的课程体系分成了基础课程和专业课程两部分。其中,基础课程主要包括信息安全数学基础、网络密码、网络通信基础、计算机网络等课程。这些课程所开设的内容各有侧重,信息安全数学基础课程主要给学生介绍信息安全领域所需要用到的各种数学基础知识。由于目前构建信息安全体系过程中,很多安全问题都是依赖于数学的问题,所以为了让学生对各种安全技术有着深刻的理解和掌握,有必要对学生开设与之相关的数学基础课程。网络密码课程主要给学生介绍网络安全协议以及网络应用过程中所使用到的密码技术。密码技术是在数学知识的基础上进行了一定的实现和应用,服务于整个信息安全体系,应用网络密码技术来提高信息系统的安全程度,是目前信息安全领域常用的一种方法和手段。网络通信基础和计算机网络则主要给学生介绍当前的信息安全领域中通信方法和通信技术。通信基础是安全协议应用的前提和条件,各种安全协议在具体实现过程中也需要依托各种网络环境来实现,因此这两门课程也是安全协议课程体系中必不可少的基础课程。
如图2所示,安全协议课程体系专业课程主要包括网络协议分析、VPN原理与应用、IPSec协议进阶。这三门课程主要给学生介绍典型的安全协议及具体的应用方法,如网络协议分析是对目前常用的网络协议工作原理及工作机制进行详细的分析和阐述,帮助学生对于网络环境下各种通信协议建立比较深刻的认识,同时也为学生建立起一些专业安全协议的理解和认识的桥梁。VPN原理与应用课程、IPSec协议课程则完全是为学生介绍当前主流的安全协议,目前在信息安全领域中所使用的安全协议主要是各种VPN协议,其中也包括IPSec协议。因此对这些协议的学习有助于学生掌握一系列当前实用的安全协议,促进学生在就业过程中的竞争力。
从图2中反映的安全协议课程体系可以看出整个安全协议的教学过程应该采用逐步推进的方式,因为所采用的这些课程即使是分为专业课和基础课,实际上课程与课程之间有着相互的依托关系。整个课程体系中网络协议分析是一门承上启下的课程,各种基础课程对网络协议分析有重要的支撑作用,而网络协议分析技术则有助于学生深刻地去理解和掌握各种安全协议工作机制。
三、设计中应注意的问题
各种网络安全技术在信息安全领域有着非常重要的角色,也是当前信息安全领域中最活跃的技术部分,而且在信息安全领域,发展最为迅速,技术更新速度最快的都集中在网络安全技术中。因此,对网络安全课程体系的建设和研究能够直接促进学生对各种具体的网络安全应用技术的掌握程度,提高学生快速有效的解决各种实用的网络安全问题。这一领域的技术发展和变化最为活跃,因此也要求课程体系和课程内容能够紧跟技术的发展趋势,及时地作出调整和变化,以适应社会就业环境的需求。
针对网络安全课程的教学目标以及当前网络安全技术的发展现状,本文建立了如图3所示的网络安全课程体系的结构图。在网络安全课程体系中,处于基础支撑地位的课程有计算机组成与原理、Linux操作系统、操作系统结构分析,这三门课程是网络安全课程体系中的核心基础课程。计算机组成与原理在网络编程课程体系中也是基础课程,由于在该课程中对计算机的工作机制、组成结构进行了深入的阐述,有助于学生理解计算机上各种程序的运行机制和运行过程,对后续的网络安全技术的应用有着重要的支撑作用,因此这门课程也是网络安全课程体系的基础课程,而Linux操作系统、操作系统结构分析两门课程重点给学生介绍目前操作系统内部的结构、工作过程以及操作系统对各种安全问题的关联情况。之所以选择Linux操作系统作为网络安全课程的样本,主要是由于Linux操作系统结构比较清晰,有助于给学生讲解操作系统的内部组成情况。而Windows操作系统虽然是目前主流的操作系统,但是由于这些操作系统是不开源的操作系统,因此不利于给学生把整个操作系统的内部结构讲清讲透。因此,在操作系统结构分析的课程里面将会给学生介绍当前主流的Windows操作系统内部机构以及操作系统在实现过程中所采用的各种安全技术和存在的安全缺陷。
网络安全课程体系的专业课程从图3可知,主要包括防火墙技术、数字水印、木马及病毒分析、入侵检测技术、缓冲区溢出攻击等,这些课程有的是关于网络安全防护及安全提升方面的技术,有的是网络威胁和网络攻击方面的技术。可以说,目前所开设的这几门网络安全专业课程涵盖了当前主流的网络安全实践技术,高职院校学生毕业后所从事的网络安全工作凡是涉及的网络安全操作都主要以这几大类的技术相关联,因此通过对这些课程的开设具有很强的针对性,能够缩短学生毕业后进入工作状态的周期。
由于目前绝大多数的网络安全应用技术都是依赖于操作系统环境的,因此在网络安全课程体系中将计算机组成原理和操作系统的课程作为基础课程是非常科学合理的,有着十分重要的支撑作用。学生通过对这些基础课程的学习和掌握,能够理清操作系统的运行过程和可能存在的安全风险,对各种网络安全应用技术将会有更深刻的理解。比如,木马与病毒分析课程,其中有很多涉及的关键技术都是与操作系统的安全缺陷有直接的关系。缓冲区溢出攻击课程则有一部分的场合也是利用操作系统的漏洞来开展,因此,图3所建立的网络安全课程体系,课程之间的依托关系非常清晰,有助于教学过程中对所设计的相关课程进行科学合理的安排与组织。
四、总结
【信息安全专业规范】推荐阅读:
网络信息安全与规范10-06
信息安全专业介绍07-02
信息系统安全等级保护备案操作规范08-14
公安信息安全专业研究10-20
安机关信息安全等级保护检查工作规范05-14
信息安全专业建设规划08-28
信息安全专业的就业前景10-02
信息化档案信息安全11-06