企业信息安全管理制度(共8篇)
企业信息安全管理制度 篇1
企业信息安全管理制度
关键字: 密码 数据 机房 ISO27001 作者:亚远景科技有限公司 转载请注明出处
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一).操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二).系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三).一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
一、机房管理制度
1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置计算机机房内,不得自行配置或更换,更不能挪作它用。
2、计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
5、网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
6、做好操作系统的补丁修正工作。
7、网管人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
8、计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
9、制定数据管理制度。对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、计算机病毒防范制度
1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理部门或专职人员。
2、采用国家许可的正版防病毒软件并及时更新软件版本。
3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。
4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
三、数据保密及数据备份制度
1、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2、禁止泄露、外借和转移专业数据信息。
3、制定业务数据的更改审批制度,未经批准不得随意更改业务数据。
4、每周五当班人员制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5、业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
6、备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。
8、备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
网络安全管理员的职责
一、网络安全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。
二、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
三、网络安全管理员应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到预防为主。
四、良好周密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网络安全管理员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
五、在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护。
六、每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法如下:在NT中是使用Administrative Tools菜单中Event Viewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言,错误日志是SYS$LOG.ERR文件,通过syscon菜单中supervisor options下view file server errorlog观察记录,另外文卷错误日志文件是各文卷中的VOL$LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS$LOG.ERR文件。Unix中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件,可以采用who或w命令查看当前系统的登录使用者(XENIX系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况,这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主,特别监控具有根访问权的进程及文件以及检查开机文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件,并用corntab -l 与corntab -r命令对用户的corntab文件进行列出与删除管理;使用ls -lR生成主检查表,并定期生成新表,使用diff命令进行比较,并使检查通过的新表成为新的主检查表,直到下一次检查为止。强烈建议在inetd.conf中注释掉所有的r打头的命令文件,以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件,使可信主机不予设立或为空以加强系统的安全。
一、机房管理制度
服务器机房由网络维护员专门负责管理。其它人员不得入内。机房钥匙不得转借他人。
网络维护员负责局域网的防毒和杀毒工作。并经常为服务器及其计算机设备进行病毒检查。
网络维护员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向部门经理报告。
机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。
在原有设备的基础上,为了更好的利有现有打印机的资源。使用上实现分片共享。
服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和资料丢失。
二、局域网管理制度
1、局域网管理工作由网络维护员负责。
2、出现问题、故障或发现病毒,及时通知网络维护员。由网络维护员及时处理和排除,并做记录。
3、网络客户如果确实要进行如上操作,可向网络维护员说明,获得同意后方可操作。
4、严禁在计算机有未杀的情况下发送电子邮件和拷贝文件到其它客户机上。
5、除网络维护员外,其它人员不得在服务器上任意安装和删除软件,不得随意更改服务器和交换机上的各项系统设置。
6、网络客户机上的操作人员不得更改计算机上的各系统设置。网络客户机不得使用盗版的软件和计算机游戏软件。
7、需要对局域网做大的改动时,须向部门经理请示,征得批准后方可进行。
8、上班期间不准上网聊天或玩游戏。网上客户机不得装载任何游戏软件或下载软件。下载软件须经信息资源部批准方可下载。
一、服务器机房由机房主管人员和管理人员专门负责管理。其它人员未经允许不得入内。机房钥匙不得转借他人。
二、机房管理人员负责校园网的防毒和杀毒工作。并经常为服务器及其微机设备进行病毒检查。
三、机房管理人员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向主管和部门负责人报告。
四、机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。
五、服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和资料丢失。
六、机房应做好防潮、防尘、防水、防热、防火、防盗等工作。下班人员离开前应切断电源,关好门窗,以确保安全。
七、机房主管人员对所管机房的微机及设备负全部责任。未经机房主管人员同意,任何人不准自行使用,移动和调换。
八、机房管理人员要坚守值班岗位,密切监视校园网网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗,并做好交接班记录。
九、机房管理人员要注意保密工作,不得随意泄露学校秘密信息。
十、健全机房设备固定资产台帐和低值易耗品台帐,建立设备使用记录本,记录使用、维修等变化情况。
企业信息安全管理制度 篇2
一、企业档案信息管理系统的安全范畴
首先我们要清楚什么是企业档案信息管理系统。企业档案信息管理系统是企业在生产、基建、科研、经营、管理等各项活动中直接形成的以对国家和企业有保存和利用价值的原始记录为对象, 应用计算机、通信和多媒体技术, 提供数字化管理和电子网络查询的信息管理系统。
企业档案信息系统的安全包括内容安全、实体安全、系统安全、网络安全、应用安全和管理安全。内容安全指档案信息系统内的电子文件是否被故意地或者偶然地非授权更改、泄露或者破坏, 造成内容失真、不可用和系统无法辨认。例如PDF格式的文件在一些档案管理系统中就无法辨认, 必须借助第三方软件或者插件;实体安全指系统的一些硬件设施, 包括电脑主机、线路、数据备份、电源等的安全, 防止它们遭受自然灾害或者人为破坏;系统安全指的是档案信息管理系统所运行的环境, 也就是我们常说的计算机操作系统、数据库系统以及服务器的系统安全;网络安全指的是企业档案信息管理系统所运行的网络环境是否安全, 是否存在漏洞, 有没有抵制病毒的能力, 信息在传输过程中会不会丢失或者遭受破坏等等;管理安全就是对企业档案信息系统所涉及的技术的管理和人员管理, 以及相关的责任制和处罚等。
二、影响企业档案信息系统安全的因素
影响企业档案信息管理系统安全的因素既有内部因素, 也有外部因素;既有主观原因, 又有客观原因。具体讲, 影响企业档案信息管理系统的因素主要有自然因素、环境因素、技术因素、社会因素、管理因素和资金因素等。
自然因素, 企业档案信息管理系统存在和运用于自然界之中, 自然界的雷电、火灾、水灾、风灾、地震、强磁场、强电子脉冲等自然灾害时常发生, 直接危害着档案信息资源的安全。
环境因素, 环境条件不符合有关标准会对企业档案信息管理系统造成危害, 如档案信息网络控制中心机房场地和工作站的环境不合要求:电源质量差, 温湿度不适应, 无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施, 都会给企业档案信息管理系统带来不利的影响。
技术因素, 技术因素是决定企业档案信息管理系统的本质因素。对于新型载体档案来讲, 载体的质量、计算机技术等决定了企业档案信息管理系统的安全。如网络安全漏洞、计算机网络故障、硬件故障、软件系统缺陷或错误、电磁泄漏。
社会因素, 虽然现阶段社会稳定, 出现暴力、战争、恐怖事件可能性比较小, 但是网络犯罪、网络黑客、盗窃、破坏等也都可能危及企业档案信息管理系统。随着互联网在我国的迅速普及, 各种敌对势力会利用互联网作为工具进行反动宣传活动, 另外, 利用互联网进行赌博、毒品贩卖、信息犯罪等行径也呈增长趋势, 这些情况西方发达国家尤为突出。“9·11”恐怖事件, 使国际很多知名企业受到了致命的打击。2002年度的DTI信息安全入侵调查显示, 一年中有44%的英国企业遭受了至少一次的恶意安全入侵, 41%的英国企业遭受了病毒感染或者“拒绝服务”攻击, 19%的英国公司 (49%的大公司) 在雇员的Web访问中遭受过安全事故, 30%的公司 (55%的大公司) 遭受过电子邮件方面的安全事故。管理因素, 管理因素包括法律法规、标准制度和人员的素质、心理、责任心。人是网络的建设者和使用者, 网上内容的提供者, 人、网结合是网络时代信息安全的本质特征。据统计, 我国公安部门破获的网络入侵案件中, 90%以上都可以通过加强管理来避免。根据美国FBI的调查, 仅在美国每年因为网络安全造成的经济损失超过1700亿美元, 75%的公司报告财政损失是由于计算机系统安全问题造成的, 超过50%的安全来自于公司内部。资金因素, 企业档案信息管理系统的资金投入直接决定档案部门对档案信息管理系统的总体规划和发展及系统的功能。如果对档案信息管理的资金投入不足, 企业档案信息管理系统设计粗略, 设备简陋, 保管不利, 就会给档案信息带来不安全的隐患。
三、保障企业档案信息系统的策略
首先就必须要完善相关规定, 只有规章制度建立以后才能从根本上保障档案信息管理系统的安全。上海石化制定了《上海石化档案信息管理系统查询管理办法》以便规范上海石化的档案信息管理系统的使用, 从一定程度上起到了效果。
其次要增强企业档案信息管理系统管理人员的意识。只有当这些系统管理员重视企业档案信息系统的安全, 才能从行为上严格执行相关规章制度, 增加企业档案信息系统的安全系数。
第三, 要有有效安全保障应急防范机制。因为有些自然灾害和突发事件是不在我们的控制范围之内的, 一旦发生我们就必须要能够有效地恢复系统运行。例如, 对系统中的数据进行定期备份和统计, 对系统的硬件环境要定时进行保养和维护等等。
企业信息安全管理浅谈 篇3
【关键词】企业;信息化;信息安全;管理
1.引言
随着计算机信息化建设的飞速发展,信息化在企业中所处的地位越来越重要。按照黄陵矿业公司信息化顶层设计,实现了信息化与工业自动化深度融合,提高自动化水平,降低成本,为领导决策提供了科学依据。2012年被陕西省评为“两化融合示范企业”。“数字化建设目获得了陕西省科技进步三等奖。
整合信息化系统,建立了数据中心,消除了信息孤岛,实现了数据统一存储,资源共享,协同工作。信息化高度集成,依赖度不断提升。信息安全重要性日益显现,问题越来越突出,做好信息安全成为首要问题。
2.信息安全管理的现状
通过对黄陵矿业公司信息化系统调研,信息安全管理状况如下:
2.1 信息安全认识不足。信息化管理人员注重硬件,不注重软件,系统性考虑较少。从业人员,忙于应付日常业务,头痛医头脚痛医脚现象普遍,日常信息安全管理得不到重视。
2.2 信息安全管理制度不健全。制度不够完善,可操作性不强,没有系统化的信息安全管理制度。
2.3 机房环境不规范。机房布置不合理,大多是改造用房,接地、防雷、防静电、防火措施不到位,机房的洁净度、温度、湿度存在问题较多。
2.4 操作系统、防病毒系统等存在漏洞。个人用户大量使用非正版化软件系统,个人防病毒意识较为淡薄,给企业信息网安全带来威胁。
2.5 从业人员素质有待提高。信息技术日新月异,企业信息化从业人员知识老化严重,尤其是一些操作人员,知识更新慢,人员培训跟不上,制约信息化发展,给信息安全带来一定的风险。
3.信息安全风险的表现形式
信息技术在提高生产效率和管理水平的同时,也带来了安全风险问题。一旦系统遭到破坏,造成数据损坏,信息泄漏,信息系统不能正常运行等问题,将对企业的安全生产经营造成不可估量的损失。信息安全风险主要表现如下:
3.1 病毒的威胁。病毒入侵网络系统,破坏系统信息造成损坏,给系统带来威胁。
3.2 操作失误。操作过程中产生的失误给系统带来威胁。
3.3 密码泄密.。在传输过程中产生泄密或人员泄密、非法篡改等给系统带来威胁。
3.4 机房环境。机房环境出现问题,影响系统安全,给系统带来威胁。
3.5 网络后门。软件设计和开发存在缺陷,给系统带来威胁。
3.6 设备故障。设备管理维护不到位,产生故障给系统带来威胁。
3.7 管理失误。管理不到位,存在违章指挥,违章操作等给系统带来威胁。
4.处理信息安全应对的措施和方法
企业要建立完整的信息安全防护体系,必须根据企业实际情况,结合信息化系统建设和应用的步伐,统筹规划,分步实施。
4.1 做好安全风险的评估
安全风险评估是保证信息安全的重要手段。信息系统建设,必须进行信息安全风险评估。从系统建设方案设计、组织实施、竣工验收等全过程都要进行风险评估,严格风险评估流程和细节,将隐患和风险降低到最小,对已建成运行信息化系统要定期进行风险评估,对评估检查出的问题及时整改落实,保证信息安全。
4.2 采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,根据安全威胁严重程度按轻重缓急,解决相关安全问题,在信息安全防护体系建设上,综合考虑信息安全技术的成熟度,可靠性,分步实施。
4.3 根据信息安全策略制定管理制度
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全“七分管理,三分技术”的说法不是很精确,但管理的作用可见一斑。
4.4 解决信息安全问题的思路和方法
4.4.1 从技术手段入手保证网络的安全
网络安全指由于网络信息系统基于网络运行和网络间的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。
保证网络安全的技术于段包括:过滤、信息分析监控、安全管理、扫描评估、入侵检测、实时响应、防病毒保护、存取控制等。其措施有:网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵检测与实时响应系统、网络病毒防护系统等。信息安全指数据的保密性、完整性、真实性、可用性、不可否认性及可控性等安全,技术手段包括加密、数字签名、身份认证、安全协议及CA机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁,主要表现在舆论宣传方面。主要有:黄色、反动信息泛滥,敌对的意识形态信息涌入,瓦联网被利用作为串联工具等。其技术手段包括:信息过滤、设置网关、监测、控管等,同时要强有力的管理措施配合,才可取得良好的效果。
4.4.2 建立、健全企业息安全管理制度
任何一个信息系统的安全,在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段,都围绕这一策略来选择和使用,如果在安全管理策略上出了问题,相当于没有安全系统。同时,从大角度来看,网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域,技术手段和相关安全工具只是辅助手段,离开完善的管理制度与措施,是没法发挥应有的作用并建设良好的网络信息安全空间的。
信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
4.4.3 定期评估,改进、完善
企业的信息化应用是随着企业的需求而不断发展的,信息技术更新日新月异,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。信息安全是一个动态过程,需要定期对信息网络安全状况进行安全评估,改进安全方案,调整安全策略。
5.结语
企业信息安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。信息安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。
参考文献
[1]武春岭.信息安全技术与实施[M].电子工业出版社.
[2]唐晓波,等.信息安全概论[M].科学出版社.
[3]卢加元.信息系统风险管理[M].清华大学出版社.
[4]赵歌今.关于加强煤矿安全信息化工程建设的思考[J].中国煤炭,2003(3).
[5]闫海英,郭德勇.基于Web和DW的煤矿安全信息管理系统的设计[J].煤炭科学技术,2005(6).
[6]夏鑫,任建文.ERP环境下煤炭企业安全管理系统[J].煤矿安全,2005(2).
企业信息安全保密管理办法 篇4
1.目的作用
企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。2.管理职责
由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。3.公司文件资料的形成过程保密规定 拟稿过程
拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理:
初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。草稿纸及废纸不得乱丢,如无保留价值应及时销毁。
文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。印制过程
秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:
要严格按照主管领导审定的份数印制,不得擅自多印多留。要严格控制印制工程中的接触人员。
打印过程形成的底稿、清样、废页要妥善处理,即使监销。复制过程
复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:
复制秘密文件、资料要建立严格的审批、登记制度。复制件与正本文件、资料同等密级对待和管理。严禁复制国家各种秘密文稿和国家领导人的内部讲话。绝密文件、资料、未经原发文机关批准不得自行复制。
4.公司文件资料传递、阅办过程保密规定
收发过程
收进文件时要核对收件单位或收件人,检查信件封口是否被开启。
收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。
收发文件、资料都要建立登记制度和严格实行签收手续。递送过程
企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。递送外地文件、资料,要通过机要交通或派专人递送。
凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。
递送的秘密文件、资料,一律要包装密封,并标明密级。阅办过程
呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。
绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。
秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。要控制文件、资料阅读范围,无关人员不能看文件、资料。
5.公司文件资料归档、保管过程中的保密规定
归档过程
秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。
有密级的档案,要按保密文件、资料管理办法进行管理。保密过程 秘密文件、资料应集中管理,个人不得保存。
存放处应装有保密设置,专室、专柜及一切设施要能防盗,安全可靠,钥匙应专人保管。文件资料每半年要进行一次清理,清理时应将无用的上级发文交主管部门或上级发文机关;借出的文件应做好清退,清退中如发现缺份,要及时向主管领导报告,认真查处。每年底要组织一次对作废的秘密文件、资料的销毁工作。该项工作要按程序规定进行,经领导复核后,在有专人监督下销毁,严禁向废品收购部门出售“三密”文件、资料。
6.宣传报告工作工程中的保密规定
宣传报道保密,就是对宣传报道中可能发生的泄密,采取一系列措施,确保企业秘密的安全。主要应做好以下几方面工作: 建立健全宣传报道中的保密制度,要明确规定“三密”文件、资料的内容都不能擅自公开或在报导中引用。
公司对外宣传报道的稿件,主管领导要认真进行保密审查。
做好确定密级的工作,使全体干部职工特别是领导和负责进行宣传报导的工作人员能了解掌握。因特殊需要,涉及到“三密“文件资料内容时,必须向总经理汇报请示,公司其他任何人均无权批准。公司管理层应经常向下属部门人员进行保密教育,提高全员保密意识,对违规者,应按制度进行处罚。
7.办公自动化设备(设施)使用的保密措施
随着企业办公自动化的普及,文件、资料保密工作面临新的挑战,为了消除办公自动化应用中所产生的保密领域问题,应抓好以下几个方面工作。
加强对工作人员的保密教育,树立以下思想观念:
树立配有加密设施的微机网络传递与机要通信收发的文件、资料同属正式文件、资料的保密观念。
树立复印文件、资料与正式文件、资料都具有相同作用的保密观念。
树立机要室登记、分发的文件、资料与各部门自行登记、分发的文件、资料都同等重要的保密观念。
树立以纸张为材料的秘密载体与软(硬)件为材料的秘密载体同样重要的保密观念。完善规章制度,认真抓好落实
办公自动化的设备(设施)要指定专人使用与保管。要履行严格的审批手续,控制好文件、资料的制作数量。要根据保密原则,制定严格的违规处罚规定。抓好专业技术培训
要通过专业技术培训,提高工作人员对各种办公自动化设备的操作技术与知识水平,懂得泄密途径和防范的办法。
改善各类设备的环境条件,防止技术性泄密。
8.计算机的保密管理措施
电子计算机已经广泛应用于工业,企业经营的信息、数据源源不断地被输入电脑。因此必须要做好计算机应用中的保密工作。企业的各级主管人员应学习和掌握计算机知识
首先要知道计算机方面的基础知识,掌握和学会对它的运用技能,才能了解到计算机信息系统的不安全因素,才能有针对性地做好保密管理。
造成计算机信息系统不安全因素的一般有以下方面:
8.1.1 计算机系统工作人员泄露计算机信息的秘密。8.1.2 直接从计算机电子文档中窃取信息、资料。8.1.3 电磁辐射泄密。
8.1.4 冒名顶替和越权偷用,暗藏非法程序,定时破坏,篡改。8.1.5 复制和窃取磁介质中的数据、信息。8.2 严格信息管理
除了加强对计算机工作人员经常进行保密教育之外,在信息管理中还应有以下措施:
8.2.1 对计算机工作人员采取分工负责制的办法,防止因一人的疏忽而影响整个系统的安全。
8.2.2 规定信息资源共享的等级和范围,明确使用各密级信息的权限和人员。8.2.3 对存取秘密的信息,计算机网络系统要自动登记存取情况,以便查阅。8.2.4 对含有密级信息的磁记录介质(如磁带、软盘、硬盘、光盘等)要由专人负责保管。8.2.5 含有密级的打印纸要及时处理,对网络系统中软件清单要妥善保管,调试中的软件清单要及时销毁。
8.2.6 对新购买的软件和其他机器拷贝的软件必须进行检查、消毒,以防计算机病毒带入系统。
8.3 完善系统功能
8.3.1 系统应有用户存取资格检查和用户身份识别功能,对非法的操作和无资格存取的用户要及时警告和登记。
8.3.2 用户和网络系统的界面要清晰,采用多层控制,以防用户非法进入系统而破坏整个系统的功能。
8.3.3 系统应有很强的数据加密软件,对需要保存在外存储介质上存贮介质上的秘密信息和上信道传输的秘密信息必须进行加密。
8.3.4 要有多种经受得住专业密码分析人员攻击的加密算法,对不同用户使用不同的加密算法。
8.4 加强对计算机房的安全管理
8.4.1 对计算机房出入的要加以限制,非工作人员不得进入,出入的物品也要进行严格管理。
8.4.2 经监测发现有辐射的机器和部件,要采取屏蔽措施。
企业信息化建设之网络安全管理 篇5
企业信息化建设的不断深入,网络对于企业越来越重要,加强企事业单位内部局域网员工的上网行为管理已经是企业的重要工作。国内上网行为管理软件、网管软件众多,以小草上网行为管理软路由为代表的专业网管软件是众多企业的选择。
网管人员常常在选择上网行为监控设备的时候不知所措,网管软件选型出错导致企业部署网管软件失败、投资浪费的现象也较为普遍。所以,本文将讨论一下网管人员将如何选择能够真正适应本单位需要对网管软件来加强管理。
总体来说,网管人员选择上网管理软件或者上网管理设备,应该遵循以下几个步骤: 明白单位内部上网行为管理的目的。上网行为管理是企业管理的一个重要方面,上网行为管理的好坏将直接影响到所有依赖于网络的企业信息化系统、电子政务系统等等的正常运行,这些系统的正常运行也直接影响到了单位各项业务的进展、进而影响到了企业的发展和实际的经济效益。所以网管人员要明白的第一要义就是:上网行为管理直接是为了保持企业内部各种信息系统的稳定、健康运行,而终极目的是为了提升企业的工作效率和经济效益。这是选择网管软件的首要前提。
能够切实实现上网行为管理的具体功能需求。笔者在这里主要是针对国内企事业单位的一些网管人员在选择上网行为管理软件的时候,总是倾向于选择大型网管软件提供商的产品、总是贪大求全希望网管软件解决所有的网络管理问题。一般来说,能够通过价格较为低廉的、纯软件架构的网管软件实现的上网管理功能,就不要再购买昂贵的硬件监控设备,这样可以节省大量的采购资金;同时,在采购网管软件时,也必须考虑网管系统的易用性、易部署性等,从而可以更好地满足国内网管人员的需要。
网管软件后续的升级、服务费用。企事业单位网管人员在选择网管软件时常常忽略一个问题就是软件后续的升级、服务费用。这常常导致在购买网管软件使用一段时间后出现不能用的情况,强行向客户索要继续使用费和升级费的情况,从而增加了部署网管软件的总体拥有成本,从而加大了企业的负担,背离了部署网管软件的初衷。所以,在部署网管软件时需要和厂家明确这些条款,并最好通过合同的形式加以约束,以更好地维护企业的权益。
企业信息安全管理制度 篇6
摘要:随着信息技术的不断发展,信息化开始深入到了人们的日常工作与生活中,信息系统的安全也受到了人们的广泛关注。想要确保网络与信息系统的正常使用,就要求企业中的管理人员要不断提高对息信息安全的管理力度,提高控制的效果,运用好网络协议,保证企业中信息的安全与可靠。基于此本文针对网络环境下的企业信息安全管理进行了简要阐述,并提出几点个人看法,仅供参考。
关键词:企业信息安全;网络环境;安全管理
在信息全球化的影响下,网络已经对人们的生活产生出了极为深刻的影响。因此,人们对网络环境下的信息安全问题也开始更加关注。在长期的发展过程中,人们将网络比喻成了一把双刃剑,虽然存在着较大的优势,但是其问题也不容小觑。在企业中运用网络,在促进企业发展的同时,也很容易造成企业中的信息出现泄漏的现象,且一旦信息泄漏,就会造成严重的影响。
1、企业中信息安全的重要性
企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展。
2、做好企业信息安全建设的措施
对于企业信息安全来说,是一项系统性的工程,并需要在技术与管理上做好相关工作,这样才能保证信息的安全。因此,在实际中就要认识到技术在信息安全管理中的重要性,同时还要完善系统的管理工作,发挥出应有的作用与效果,同时还要做好风险评估与技术创新等工作,以此来保证企业中信息的安全。
2.1安全风险评估
随着网络的不断发展,信息的种类也开始逐渐增多,这样所产生的问题也在不断的增多,并呈现出了越来越厉害的趋势,所以也就使得人们开始思考筹划信息系统的过程中,为了保证系统的健康营运而建造出全面的安全保障系统。通过对目前的应用系统进行分析与评估等工作是实际可行的办法。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。
2.2实际技术上的创新与管理
时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。对于企业来说,想要在行业市场竞争中占据一席之地,就要做好创新工作,全面实现创新理念,认识到制度创新是技术创新的基础,构建出完善的管理体系,提高程序以及方法上的科学性,同时还要保证财力上的支持,实现技术的改进与创新。
首先,要做好技术上的创新。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。普遍采用的恢复技术有HDDoctor等。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。同时还要明确怎样进行防护,掌握风险的来源。因此,在实际中就要对网络安全风险进行评估,并将重点放在安全测试评估技术上。其目标是要掌握好相关的技术,完善的测评流程,健全风险评估的体系。
其次,完善管理措施。在长期的发展过程中,企业中的信息化建设开始从战术地位向着战略地位的方向发展了。因此,就要从经营战略的层面上出发,将信息化建设与企业中的经营战略结合在一起,在环境分析的.基础上来制定出发展战略,及时对企业中的信息化纲领进行调整。同时还要明确的是要在满足企业发展战略的基础上来明确企业中的信息化愿景。第一,建立出完善的管理制度,明确管理的方案,以及安全服务等方面的内容,从企业自身的实际情况上出发没离开选择可以保证企业自身信息安全的产品。第二,建立出运维管理制度。在这一制度中要包含安全监控、设备设施的安全以及应急预案的处理等方面。第三,将监督检查机制落实到实际中去。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全。
2.3充分运用防火墙技术
在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。防火墙能够有效防止黑*访问用户的及其,以此来组织黑*拷贝篡改用户的信息,以此来保证信息的安全。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。另外,一些防火墙技术也会支持互联网服务特性的企业内部构建网络技术体系,也即是所谓的VPN,VPN会将全球的LAN以及电子网进行整合,从而来专用通信线路,实现资源的共享。
3、结语
电力企业信息系统安全管理研究 篇7
关键词:电力企业,信息系统,技术安全策略,管理安全策略
目前, 电力企业信息系统的建设已日趋完善, 但随着信息共享机制的发展, 电力企业信息系统逐步与Internet实现互联, 使得非法分子开始利用网络对电力企业信息系统发起攻击, 对电力企业安全甚至是国家安全都构成了严重威胁。在我国, 电力企业信息系统的安全同电力生产安全同等重要, 关系着国家的安全生产和生活。因此, 本文详细分析电力企业信息系统的安全问题, 设计电力企业信息系统安全管理策略来解决安全问题, 确保电力系统的安全稳定和可靠运行, 具有重要实践意义和理论价值。
1 电力企业信息系统的安全问题
电力企业信息系统是以计算机和通信数据网络为基础的, 面向电力企业, 实现电力生产、管理和营销等信息的采集、存储、加工、分析和传输的应用系统。通过调查研究, 目前电力企业信息系统面临的安全问题主要有:
1.1 系统的脆弱性和缺陷
电力企业信息系统处在不断完善的过程中, 目前在设计、制造和组装的过程中仍存在着各种隐患, 如来自软硬件组件和TCP/IP协议设计的安全隐患等, 这些系统固有的脆弱性和缺陷严重威胁着电力企业信息系统的安全可靠。
1.2 信息系统安全管理不规范
目前, 我国电力企业对于电力信息系统的安全问题高度重视, 并且已采取了诸多控制措施, 但是仍然存在数据备份设备不完善、数据丢失、操作人员越权等安全管理不规范的现象, 急需建立完善的电力企业信息系统安全管理体系。
1.3 系统及网络安全意识淡薄
在电力企业信息系统中, 由于相关人员的安全意识淡薄导致的安全问题时有发生, 如系统出现漏洞不及时打补丁, 不正确的操作、配置或不经意通过U盘泄露信息等等, 处理不好极有可能造成系统的不稳定甚至瘫痪。
1.4 恶意人为破坏
电力企业信息系统逐步向开放型、共享性和连通性发展, 而一些不法分子出于商业竞争或政治目的, 通过各种攻击手段进行非法操作, 如冒充、越权、植入病毒、监视窃听、干扰阻断等, 对电力企业信息系统的安全构成了极大威胁。
综上所述, 电力企业信息系统的安全问题可以归纳为技术安全问题和管理安全问题。因此, 针对这两个方面设计相应的安全管理策略来保障电力企业信息系统的安全稳定运行。
2 技术安全策略
在技术层面, 主要从网络级、系统级和应用级三个方面进行安全策略的设计。
2.1 网络级安全管理策略
网络级安全管理策略主要是解决电力企业信息系统与互联网形成网间互联而产生的安全问题, 主要从防火墙技术和网络结构方面提出安全管理策略。防火墙技术是电力企业内部网络和外部网络之间的安全隔离带, 预防潜在的不可预测的破坏性入侵, 可以对要进入企业内部网络的数据流进行检测和限制, 来保护电力企业内部信息网络的安全。在网络结构方面, 根据电力企业信息系统实际, 结合网络结构类型, 设计了一种介于混合型拓扑结构和网状型拓扑结构之间的分布式拓扑结构, 见图2-1, 该网络系统的可靠性高, 容错能力强, 实现了对现有网络结构的优化。
2.2 系统级安全管理策略
系统级安全设计与用户的具体应用密切相关, 主要从操作系统与数据两个方面进行设计。在操作系统安全设计方面, 采用网络安全扫描对安全风险进行评估, 分析操作系统的漏洞;再结合系统漏洞修补服务, 定期为用户消除网络中存在的安全隐患;通过身份认证技术等来加强对操作系统访问控制。在数据安全处理方面, 利用系统平台再次对数据库、视图、表单、文档等进行数据加密, 实现对数据的大范围多级加密, 加强系统数据的安全。
2.3 应用级安全管理策略
应用级安全设计是在电力企业信息系统设计时, 将相应的安全技术措施添加到应用系统中, 从程序设计的角度保证系统安全稳定的方式, 主要从应用系统访问控制和数字签名方面设计安全管理策略。应用系统访问控制是根据访问的信息性质的不同进行明密信息分离, 即分别进行公开信息和涉密信息的流转、存储和管理, 实现应用层次上的访问控制。而数字签名可以对文件签发主体、签发日期等提供准确的不可否认的记录, 并保证所有文件的完整性。本文结合加密技术设计了重要信息的加密与数字签名算法, 见图2-2, 该算法可以使电力企业信息系统更加安全。
3 管理安全策略
为确保电力企业信息系统安全, 不仅要从技术上进行安全管理策略的设计, 还要从管理的角度进行安全策略的设计, 可以从以下方面着手:
(1) 要求定期对系统操作人员进行安全教育, 增强其安全意识;
(2) 保持相关人员尤其是管理人员的相对稳定, 人员调离时及时更换密码, 避免机密泄露;
(3) 明确电力企业信息系统安全的各种标准及制度等等。
4 结语
电力企业信息系统安全是电力企业正常运行的重要保障, 关系着我国电力企业的信息化水平。因此, 必须结合电力企业的实际情况, 采取必要的安全措施来确保电力企业信息系统的安全运行。本文在分析其面临的安全问题的基础上, 从技术和管理两个角度对电力企业信息系统进行安全策略的设计, 这些策略有利于保证电力企业信息系统的安全稳定地运行, 有利于促进电力企业的发展。
参考文献
[1]李文武, 游文霞, 王先培.电力系统信息安全研究综述[J].电力系统保护与控制, 2011, 39 (10) :140-147.
[2]寇建涛.电力信息系统安全分析与思考[J].科技资讯, 2009 (36) :17-18.
[3]胡炎, 谢小荣, 辛耀中.电力信息系统现有安全设计方法分析比较[J].电网技术, 2006, 30 (4) :36-42.
[4]刘振辉.对电力信息系统安全防护问题的研究[J].信息与电脑 (理论版) , 2012, 10:087.
企业信息安全管理制度 篇8
关键词:县级;信息;安全;管理
1.县级供电企业信息安全管理的目标
1.1县级供电企业信息安全管理理念
随着国网2012版本安规颁布,信息安全工作正式纳入到电网安全生产管理。信息安全是信息系统正常运行的基石,信息化的发展每一步都离不开信息安全工作的扎实开展。严重滞后的县级供电企业信息安全水平是工作的重中之重。
随着“三集五大”深入,信息化发展将严重制约农电整体素质工作的开展。国网信阳供电公司集思广益、多措并举,率先开展县级供电企业信息化同业对标管理,率先开展县级供电企业信息安全技术督查,同时为提高县级企业全员安全意识,打牢信息安全基础,开展信息安全反习惯性违章活动。加大对信息安全常见习惯性违章行为的考核,谋求县级供电企业信息安全工作的长足进步。力争形成良好的信息安全局面。
1.2县级供电企业信息安全管理目标
通过信息安全知识宣贯,签订信息安全承诺书,提升全员信息安全意识,为农电整体素质提升信息化工作的实施夯实基础,全年内各县级供电企业无七级及以上信息安全事故发生,减少各县级供电企业的弱口令、违规外联、高危漏洞等习惯性违章行为的发生频率。
2.县级供电企业信息安全管理的主要做法
通过宣传信息安全知识及指导县级供电企业建立健全信息化规章制度,培养工作人员的信息安全意识;通过技术督导,切实提升县级供电企业的信息安全防范能力;通过建立健全同业对标这个帮惩结合的机制,形成县级供电企业“比、赶、超”的良好氛围;通过组织信息化从业人员互动交流,提升信息安全管理水平,助推了信息安全工作的新局面。
2.1广泛宣传信息安全知识,提升人员信息安全防范水平
开展县级供电企业信息安全管理工作时,一是如何宣传信息安全知识,提升人员信息安全防范水平。通过反习惯性违章活动的开展,深入班组一线,重点讲述信息安全反习惯性违章知识,发放信息安全知识宣传小卡片,提高了工作人员对信息安全知识的认知能力。
为了有序开展反习惯性违章活动,建立了信息安全责任制体系,逐层签订信息安全责任书。同时将信息安全管理纳入安全生产总体工作中,做到信息安全与安全生产同步布置、落实、检查、考核,提高了信息安全工作地位,保证了信息安全反习惯性违章活动深入持久开展。
2.2帮助县级供电企业建立健全信息化规章制度
管理提升,制度先行。为规范信息安全管理,提升县级供电企业信息安全工作管控能力,对尤其是SG186工程以来,国网、省公司下发的各项规章制度进行梳理,指导帮助县级供电企业建立健全了信息化规章制度,规范了县级供电企业对信息化工作尤其是信息安全工作的管理,以制度来制约信息安全管理工作顺利实施。
2.3统一方式配置、集中管理县级供电企业信息安全设备
由于信息化人员专业知识良莠不齐,对关键设备了解不到位,为确管理、运维到位,对县级供电企业主交换、防火墙等主要设备采取统一方式配置,集中进行管理。大大提升了信息安全设备的管控能力。
2.4未雨绸缪,率先部署桌面管理系统、网络防病毒系统
高度重视县级供电企业信息内网接入内网后带来的安全风险、隐患,如何降低安全风险、隐患是新课题。未雨绸缪,2012年在8个县级供电企业全面部署与省公司统一的桌面管理系统、网络防病毒系统,并统一管理。采取每月5日、15日、25日对注册率、安装情况进行检查,督促县级供电企业正常使用,降低网络中存在的安全隐患,对发现的弱口令、违规外联发现一起、通报一起、考核一起,杜绝习惯性违章行为的发生。
2.5开展信息安全检查及技术督查,提升安全管控能力
从2010年开始,每年均开展县级供电企业的信息安全年度检查工作,促使县级供电企业提高对信息安全工作的认识,并将信息安全管理纳入到日常安全管理中。2011年10月始,充分利用漏扫工具每周对县级供电企业进行全方位漏扫,对存在的系统高危漏洞、弱口令责令县级供电企业限期整改,减少信息安全风险隐患,提升信息安全防御能力。
2.6帮惩结合完善机制,充分利用同业对标形成“你追我赶”局面
2010年10月,国网信阳供电公司开展县级供电企业同业对标工作。结合实际,优化建立了信息安全事件数、信息安全健康率两个指标。信息安全事件数主要考核县级供电企业有无七级及以上信息安全事故发生。信息安全健康率主要考核县级供电企业信息安全隐患情况,以及信息安全习惯性违章行为。通过具体考核,建立健全了县级供电企业信息安全工作帮惩结合的机制。每月月度例会进行通报,促使县级供电企业提升对信息安全工作的认知,赢得了信息安全工作的支持。通过同业对标这个平台,促使县级供电企业形成了信息安全工作“你追我赶”的优良局面。
2.7开展互动交流,创建优良的信息安全管理氛围
为了形成信息安全工作的良性循环,针对信息化从业人员开展了全方位交流学习,进一步提高信息安全安全管理水平。每季度召开“县级供电企业信息化工作开展座谈会”,广泛交流经验,发现信息安全工作过程中的不足和隐患,提升信息化从业人员对信息安全工作的处置程度。
2.8保证流程正常运行的月度信息安全技术督查总结机制
为保证县级供电企信息安全管理的有序开展,开展了县级供电企业信息安全技术督查工作,每月25日进行月度总结。下月初月度例会中进行公布,督促各县级供电企业逐步完善、整改。
3.小结
通过持续的工作,信息安全管理理念逐渐深入到县级供电企业管理者心中,广大员工也逐步意识到信息安全工作的重要性,县级供电企业信息化工作取得了一个新的局面,信息化工作的管理工作得到捋顺。国网信阳供电公司不等不靠、逐步建立、完善县级供电企业信息安全管理体系,扎实开展县级供电企业信息安全管理工作,为农电素质提升工作各项系统的推广夯实了基础。
【企业信息安全管理制度】推荐阅读:
企业信息安全管理研究05-31
供电企业信息安全管理11-03
企业信息安全风险管理11-12
企业人员信息安全管理11-14
企业信息安全风险管理12-09
浅析基于信息安全企业经济信息管理信息安全论文计算机论文11-13
企业内网信息安全管理06-15
企业安全生产管理信息化06-14
企业的信息安全05-24
企业合作信息安全07-24