企业信息安全风险管理

企业信息安全风险管理（精选12篇）

企业信息安全风险管理 篇1

档案信息管理系统的运用给档案管理工作带来了很多有益的变化, 不仅提高了档案工作的效率, 节省了人工成本, 查询也更加快捷方便。但是档案信息管理系统的安全性问题值得我们关注, 因为电子档案的很多特性都决定了电子文本的档案信息是很容易被更改的, 也更容易丢失等等。以下就这个问题谈点看法。

一、企业档案信息管理系统的安全范畴

首先我们要清楚什么是企业档案信息管理系统。企业档案信息管理系统是企业在生产、基建、科研、经营、管理等各项活动中直接形成的以对国家和企业有保存和利用价值的原始记录为对象, 应用计算机、通信和多媒体技术, 提供数字化管理和电子网络查询的信息管理系统。

企业档案信息系统的安全包括内容安全、实体安全、系统安全、网络安全、应用安全和管理安全。内容安全指档案信息系统内的电子文件是否被故意地或者偶然地非授权更改、泄露或者破坏, 造成内容失真、不可用和系统无法辨认。例如PDF格式的文件在一些档案管理系统中就无法辨认, 必须借助第三方软件或者插件;实体安全指系统的一些硬件设施, 包括电脑主机、线路、数据备份、电源等的安全, 防止它们遭受自然灾害或者人为破坏;系统安全指的是档案信息管理系统所运行的环境, 也就是我们常说的计算机操作系统、数据库系统以及服务器的系统安全;网络安全指的是企业档案信息管理系统所运行的网络环境是否安全, 是否存在漏洞, 有没有抵制病毒的能力, 信息在传输过程中会不会丢失或者遭受破坏等等;管理安全就是对企业档案信息系统所涉及的技术的管理和人员管理, 以及相关的责任制和处罚等。

二、影响企业档案信息系统安全的因素

影响企业档案信息管理系统安全的因素既有内部因素, 也有外部因素;既有主观原因, 又有客观原因。具体讲, 影响企业档案信息管理系统的因素主要有自然因素、环境因素、技术因素、社会因素、管理因素和资金因素等。

自然因素, 企业档案信息管理系统存在和运用于自然界之中, 自然界的雷电、火灾、水灾、风灾、地震、强磁场、强电子脉冲等自然灾害时常发生, 直接危害着档案信息资源的安全。

环境因素, 环境条件不符合有关标准会对企业档案信息管理系统造成危害, 如档案信息网络控制中心机房场地和工作站的环境不合要求:电源质量差, 温湿度不适应, 无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施, 都会给企业档案信息管理系统带来不利的影响。

技术因素, 技术因素是决定企业档案信息管理系统的本质因素。对于新型载体档案来讲, 载体的质量、计算机技术等决定了企业档案信息管理系统的安全。如网络安全漏洞、计算机网络故障、硬件故障、软件系统缺陷或错误、电磁泄漏。

社会因素, 虽然现阶段社会稳定, 出现暴力、战争、恐怖事件可能性比较小, 但是网络犯罪、网络黑客、盗窃、破坏等也都可能危及企业档案信息管理系统。随着互联网在我国的迅速普及, 各种敌对势力会利用互联网作为工具进行反动宣传活动, 另外, 利用互联网进行赌博、毒品贩卖、信息犯罪等行径也呈增长趋势, 这些情况西方发达国家尤为突出。“9·11”恐怖事件, 使国际很多知名企业受到了致命的打击。2002年度的DTI信息安全入侵调查显示, 一年中有44%的英国企业遭受了至少一次的恶意安全入侵, 41%的英国企业遭受了病毒感染或者“拒绝服务”攻击, 19%的英国公司 (49%的大公司) 在雇员的Web访问中遭受过安全事故, 30%的公司 (55%的大公司) 遭受过电子邮件方面的安全事故。管理因素, 管理因素包括法律法规、标准制度和人员的素质、心理、责任心。人是网络的建设者和使用者, 网上内容的提供者, 人、网结合是网络时代信息安全的本质特征。据统计, 我国公安部门破获的网络入侵案件中, 90%以上都可以通过加强管理来避免。根据美国FBI的调查, 仅在美国每年因为网络安全造成的经济损失超过1700亿美元, 75%的公司报告财政损失是由于计算机系统安全问题造成的, 超过50%的安全来自于公司内部。资金因素, 企业档案信息管理系统的资金投入直接决定档案部门对档案信息管理系统的总体规划和发展及系统的功能。如果对档案信息管理的资金投入不足, 企业档案信息管理系统设计粗略, 设备简陋, 保管不利, 就会给档案信息带来不安全的隐患。

三、保障企业档案信息系统的策略

首先就必须要完善相关规定, 只有规章制度建立以后才能从根本上保障档案信息管理系统的安全。上海石化制定了《上海石化档案信息管理系统查询管理办法》以便规范上海石化的档案信息管理系统的使用, 从一定程度上起到了效果。

其次要增强企业档案信息管理系统管理人员的意识。只有当这些系统管理员重视企业档案信息系统的安全, 才能从行为上严格执行相关规章制度, 增加企业档案信息系统的安全系数。

第三, 要有有效安全保障应急防范机制。因为有些自然灾害和突发事件是不在我们的控制范围之内的, 一旦发生我们就必须要能够有效地恢复系统运行。例如, 对系统中的数据进行定期备份和统计, 对系统的硬件环境要定时进行保养和维护等等。

最后, 还要加强对企业档案信息管理系统相关人员的培训。因为很多企业的档案信息系统管理人员都是非计算机专业人员, 计算机水平相对比较低, 这对系统的维护和保养是不利的。除了系统管理人员自学一些计算机和信息技术之外, 企业也应该加强培训, 提高企业档案信息管理系统的管理水平, 让企业档案信息管理系统在工作中发挥稳定、高效的性能。

企业信息安全风险管理 篇2

第一条为进一步规范安全信息管理，畅通安全信息渠道，及时掌握现场安全生产动态，准确处理各类安全信息和资料，切实提高对安全信息的分析、统计、处理能力，更好地发挥用安全信息指导安全生产和预防安全隐患的作用，逐步建立、完善公司安全信息管理网络，制定本制度。

第二条本制度规定的安全信息系指在公司生产过程中发生的运输行车事故、人身伤亡事故、特种设备事故、生产安全隐患、设备隐患、治安事件、管理问题、职工违章违纪及其它影响安全生产的信息。

第三条安全信息管理必须遵循的原则

1、真实性原则。凡反馈的安全信息，必须做到件件真实、来源可靠、实事求是，具有可追踪性，杜绝虚假信息、失效信息、重复信息，保证安全信息的真实性。

2、准确性原则。各类安全信息的数据统计和综合分析，要做到全面、客观、准确，避免错、漏信息的发生。

3、时效性原则。安全信息的反馈要及时、快捷，严格按照规定时间、周期提报，不得人为拖延，影响信息畅通。

第四条充分利用办公信息系统网络资源，通过信息交换中心，传真电话等方式，及时传递安全信息，逐步实现安全信息网络化管理。

第五条公司各部门要完善安全信息管理办法，对安全信息的报道、反馈、处理等环节应作出具体规定，形成安全信息工作管理的闭环。

第二章管理职责

第六条公司领导职责：掌握安全生产动态，超前预测、超前防范，及时处置安全生产重要信息，组织解决危及安全生产的重大问题;公司安委会等监督检查发现的突出问题，及时通报有关单位、主管部门和贵州铁路实业集团公司，并对整改落实情况进行督促、检查;处理突发安全生产重大事件，审核或直接向贵州铁路实业集团公司(地方政府主管部门)报告或通报发生的安全重要信息。

分管领导：负责监督指导分管部门安全信息管理工作，督促分管部门及时掌握现场安全生产动态，确保信息渠道畅通;审核分管部门日常向贵州铁路实业集团公司(地方政府主管部门)报告或通报安全重要信息;按规定参加分管部门安全生产分析会议，对分管部门安全信息进行分析，查找倾向性、关键性问题，指导分管部门制订整改措施，掌握整改措施实施进度，督促危及安全的倾向性、关键性问题得到及时解决和整改。

第七条安委会职责：公司安委会是公司安全信息管理的监督部门。负责公司安全信息的收集、统计、综合分析，跟踪处理领导督办的信息，及时向公司领导汇报安全情况及重要信息，按规定向集团公司安监部和地方政府主管部门报送、反馈安全信息，按规定对公司各部门安全信息管理工作进行监督检查及考核。

第八条部门职责：公司各部门是安全信息的主体单位，负责本单位安全信息的收集，按规定时限和要求向公司安委会报送、反映、通报安全生产信息。

第九条信息主要来源：

1、安全事故信息;

2、领导干部监督检查信息;

3、公司安委会监督检查信息;

4、公司各部门检查发现、反馈的信息;

5、上级通报的信息;

6、其他信息(群众举报，新闻媒体等)。

第十条信息分类：安全信息分为生产安全事故信息和其他安全信息

事故信息包括：行车安全事故，人身伤亡事故，特种设备事故，火灾、爆炸、中毒、治安、交通事故信息。

其他安全信息包括：严重威胁行车安全，劳动安全和特种设备安全的重大隐患;未构成事故，但对于行车安全有影响，对人身安全构成威胁的信息;特种设备发生故障影响正常使用，运输不畅，装卸车多，卸车困难;公司布置的安全工作重点落实情况;安全监督检查情况;上级通报的信息;各种安全报表资料;明确要求上报的材料(活动安排工作小结，整改结果等)和其它有关影响安全生产的信息。其中：事故信息为重要信息。

第十一条事故信息传递要求

1、行车安全事故信息

凡施工装卸作业、调车作业、轨道车辆故障中断行车的信息，货场部发生或收到后，要认真做好记录，立即报告公司安委会，公司安委会在事发12小时内将事故发生地点、事故概况、初步影响范围、事故损失及人员伤亡情况报集团公司安监部，详细情况24小时内书面上报。

2、人身伤亡事故信息

在生产过程中，生产区域内发生的人身伤亡事故，不论原因、责任、伤亡人员归属情况是否属于工伤事故，相关部门都应认真做好记录并立即通知公司安委会，安委会电话速报集团公司安全部、人力资源部和党群工作部(工会)。

3、特种设备事故信息

发生严重以上的特种设备事故(有人员伤亡或者直接经济损失50万元(含50万元)以上的设备、事故或有人员伤亡的设备爆炸事故)。货场部立即报告公司安委会，公司安委会立即报告集团公司安全部、质量技术部及当地质量技术监督行政部门，并同时报告设备使用注册登记的质量技术监督行政部门。

4、火灾、爆炸、中毒、治安、交通事故信息

1)火灾、爆炸一般以上事故，治安事件、交通(涉及人员轻伤)、中毒事故，公司安委会事发2小时内电话报集团公司安监部。

2)发生较大治安事件、交通安全事故(重伤及以上严重事故苗子和造成经济损失5万元以下的交通事故)，公司安委会电话速报集团公司安监部，并于2日内书面上报。

3)发生急性中毒事故、火灾大事故、重大治安事件、重大交通事故及造成经济损失5万元(含5万元)以上50万元以下的特种设备事故，公司安委会电话速报集团公司安监部并于20小时之内书面上报。

4)发现或收到事故信息，除立即报告主管上级部门外，应向驻站民警通报和报案。

第十二条其它信息传递要求

1、发生或收到未构成安全事故，但对行车安全有影响，对人身安全构成威胁的信息，公司安委会要认真做好记录，必要时，应形成专题报告上报并在公司交班会上通报。

2、集团公司布置的安全重点落实情况、安全监督检查情况、安全通报信息，公司安委会在规定时间内反馈;上报信息处理情况。

3、集团公司明确要求上报的材料(活动安排、工作小结、

整改结果等)，公司安委会必须按规定时期上报。

第三章综合分析处理

第十三条信息的综合分析

1、公司安委会定期对本系统安全信息进行综合分析，按照等级管理和时效管理要求，纳入本系统安全问题库。

2、公司安委会结合公司的安全信息、监督检查信息和上级通报的信息定期进行综合分析。

3、公司安委会每月定期对安全信息进行综合分析并形成月度安全分析报告(纪要)。

4、公司把安全生产信息纳入日交班、周大交班等会议及时进行分析。

第十四条信息处理

1、公司各部要充分利用安全信息的预测功能、许价功能、导向功能，把信息作为安全决策的重要依据，运用信息正确指导安全工作。

2、对安全信息做到三不放过的原则：不弄清责任不放过;不分析管理原因不放过;不制定措施不放过。

3、针对安全信息反映的倾向性问题采取加强管理、加大投入、强化控制等多种措施，及时消除安全隐患。

4、对上级主管部门及公司各部门反馈的安全信息及时调查、处理、反馈。

5、建立安全问题库，从信息的收集、分析到处理形成动态的闭环管理，保证安全信息畅通和有效利用，对上级通报、反馈的安全信息，公司各部要按要求及时上报调查处理及整改结果。

第四章附则

第十五条公司安委会是公司安全生产信息中心，任何部门、个人不得以任何借口对安全生产信息进行隐瞒、迟报、越级上报，一经发现，将追究责任人责任。

未按规定上报的信息分为漏报、迟报、错报。凡未上报视为漏报;凡超过规定时限上报，视为迟报;不符合完整、准确、质量要求者，视为错报。

第十六条公司安委会对各部门安全生产信息管理情况进行抽查检查，并将抽查检查情况纳入季度考核、奖惩。

第十七条安全生产信息管理工作的考核，由公司安委会按公司安全管理考核办法有关规定进行。

电力企业网络信息安全管理分析 篇3

关键词：电力企业 网络信息安全 安全管理

中图分类号：TP393 文献标识码：A 文章编号：1674-098X（2014）12（c）-0153-01

信息化建设能够有效的提高企业的内部管理水平以及企业生产力，是如今社会发展的必然方向。电力企业是一种技术密集型的企业对于自动化生产的方式有着较为严格的要求，所以在信息化建设上起步较早，在电力系统信息化发展上取得了一些明显的效果。但由于信息安全管理经验的不足，在信息化网络安全建设过程中遇到了很多问题，而且很多问题一直存在至今，所以加强和改善对电力企业网络信息安全管理是如今的重要研究课题[1]。

1 我国电力企业网络信息安全方面所面临的问题

1.1 网络安全意识不高，缺乏相关的网络安全管理人才

企业更注重网络与信息系统的可用性，导致网络信息安全方面的问题被忽略，因此所表现出来的网络安全意识不够高。同时也有部分原因是由于员工们都存在着侥幸的心理，对于网络安全问题不够看重，觉得网络安全隐患不会发生。另外，也由于网络安全方面的人才比较少，特别是关于电力系统网络信息技术方面的人才。而且在一些电力企业当中，甚至有的系统管理职工根本不具备网络安全管理的技术与能力，这是目前较为普遍且严重的问题。

1.2 网络安全防护能力跟不上时代与技术的发展，没有做好维护工作

随着信息技术的渗透，电力企业对于网络的安全愈加重视，不过由于网络信息技术发展过快的因素，在电力企业中的网络安全防护能力明显有所不足，很难实现与时代主流的信息技术同步。同时很多电力企业内部还缺少一整套完善的网络安全防护系统，这就导致电力企业内部的防护变得极其脆弱。如果受到网络攻击时，将有极大的可能出现网络和信息系统瘫痪的情况。另外，一些相应的数据备份以及数据恢复也没有建立起来，导致信息系统内部数据损坏或者丢失时，难以将其找回，这就给电力企业带来极大的损失，所以如今电力企业网络信息安全防护能力急需提高[2]。

1.3 电力企业内的设备本身及其所使用的系统软件存在问题

在现代的电力企业当中能够看到许多性能、配置都极佳的服务器，随着时代的发展，信息技术水平日新月异，一些网络黑客的黑客技术越来越娴熟，对于服务器的攻击也越来越激烈，而涉及国计民生的电力系统自然就成为黑客们的首要攻击目标。同时也有一部分的原因是由于其设备本身就存在着一系列的漏洞，导致黑客们轻而易举地就入侵到电力系统当中。

2 电力系统网络信息安全管理的具体措施

2.1 做好安全规划，建立网络安全管理体系

网络技术是网络信息安全的保障和基础，但是网络技术只能暂时解决网络安全问题，而无法从根本上解决问题。这就需要对电力企业的网络安全进行一次全面的规划，要以系统且可观的角度去观察和思考电力企业网络安全的问题，从而建立起一套系统全面的网络安全管理体系。

2.2 注重安全区域的划分

现代电力企业内部的网络安全系统都是以物理隔离的方式来进行，不过仍需要对一些安全区域进行划分，其中防范区域、重点区域以及开放区域是网络安全区域划分的三个重点划分对象，这些安全区域必须对其实行严密的安全防护措施，并设定严格的访问权限限制，将这些重要环节设置成较高的安全级别，同时将一些重要的数据、服务器以及数据库等放置在这些安全区域内，这样就能形成有效的安全防护。

2.3 加强安全管理制度方面的建设

电力系统的安全防护对于电力企业来说是一个较大的、系统化的工程，这就需要企业为此建立一个专业的、规范的安全管理制度。（1）加强对防火墙的日志管理以及其安全的检测，防火墙具有入侵检测功能，所以就需要做好相关的管理和审计工作。（2）建立起完善的病毒防护体系，病毒防护体系是现今对于病毒防护的重要防护手段。对于一些从网络上下载的数据不可将其随意地往主机上复制，也要严禁使用一些来历不明的移动存储设备连接主机，对于职员也要要求其做到病毒发生后的正确处理方法[3]。

2.4 建立网络管理制度

要想保证电力企业信息网络安全就必须建立起一套严格的网络管理制度，首先领导应当做出高度的重视，着手调节网络安全技术部门的压力，并将这种压力扩散到每一个部门。企业内部成立一个网络安全小组，做到及时、实时地进行网络安全维护工作。同时还应加强网络安全的基础性建设，对一些机房、配电房等的基础设施进行严格的管理，同时需要配置相应的防火、防盗以及防水等设备，在建立设备的当天需要定期对一些设备进行统计记录。另外还需建立相应的安全管理制度，设置一些系统内部重要的数据信息等，必须由专人进行管理和负责，要进行修改则需经过负责人授权才可，通过之后则必须登记记录，这样就能做到较为严密的防护。

2.5 制定好定期检查的制度

管理制度的推出必须要求职工进行严格的遵守，同时管理人员也应严肃地对待。企业方面也应该组织其专门的人员来对内部的管理制度进行定期的检查，这样才能保证管理制度的落实，从而提高网络安全度。

3 结语

综上所述，要想提高电力企业网络信息安全管理，需要做到做好安全规划，建立网络安全管理体系，注重安全区域的划分，加强安全管理制度方面的建设，建立网络管理制度，制定好定期检查的制度。这样才能促使职工有效地贯彻和落实网络信息安全管理制度，从而提高电力企业的网络信息安全。

参考文献

[1]杨天坤.发电企业网络信息安全管理分析[J].电子制作，2013（10）：102.

[2]田甜.发电企业网络信息安全管理浅谈[J].甘肃科技，2013（24）：100-101.

浅析企业信息安全风险与对策 篇4

关键词：企业,信息安全,风险,对策

1 企业信息安全风险的现状

1.1 企业信息安全管理机制不健全

在社会法律法规、技术监管、安全标准等方面还存在诸多的不完善之处, 同时, 由于企业信息管理是一个不断发展的动态过程, 企业的网络安全软硬件技术、管理人员的保密意识以及对商业间谍的防范措施等都会影响到企业的信息安全[1]。从总体上来讲, 信息安全管理机制的缺失是企业信息安全面临的最大问题。

1.2 企业信息安全技术不足

现代信息安全技术是以密码技术、病毒技术、数据恢复技术、操作系统维护技术、数据库技术以及网络技术等所组成的系统技术[2]。而由于企业对相关技术的认识和技术管理人才培养的局限性, 导致在计算机信息应用过程中难免会出现一些漏洞缺陷。另外, 在面对外部信息窃取攻击行为时, 部分安全技术管理人员防范能力较弱, 不能从根本上抵御黑客的攻击, 这就导致企业的信息安全完面临严重的泄密危险。

1.3 企业员工缺乏安全管理的责任心和防范意识

目前, 企业信息安全事件最突出的便是信息泄密, 其主要表现为员工的无意泄密、故意泄密以及离职后信息资源的自我利用, 可以说, 企业内部的信息安全风险远远大于外部风险。然而, 针对内部信息安全问题, 企业却并无一个全面、系统、有效的保障体系, 尤其是在员工责任心建设以及信息安全防范意识建设方面, 一直是企业信息安全体系建设的弱点所在。

2 企业信息安全风险的对策

2.1 网络安全

2.1.1 保证安全的外部人员连接

在日常工作中, 外部合作伙伴经常会提出联入企业内网的需求, 由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准, 因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY及全面管控外部单位的网络接入等。

2.1.2 远程接入控制

随着VPN技术的不断发展, 远程接入的风险已降低到企业的可控范围, 而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY, 动态口令牌等硬件认证方式的远程接入要更加的安全。

2.1.3 网络划分

在过去, 企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟, 非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSEC技术[4]有效提高企业网络安全, 实现对位于公司防火墙内部终端的完全管控。

2.1.4 网络入侵检测系统

网络入侵检测系统作为防火墙的补充, 主要用于监控网络传输, 在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备, 入侵检测系统能有效防控企业外部的恶意攻击行为, 随着信息技术的发展, 各大安全厂商如赛门铁克, 思科等均研发出来成熟的入侵检测系统产品。

2.1.5 无线网络安全

无线网络现在已遍布企业的办公区域, 给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全, 信息管理部门需要使用更新更安全的协议 (如无线保护接入WPA或WPA2) ;使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。

2.2 访问控制

2.2.1 密码策略

高强度的密码需要几年时间来破解, 而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害, 企业必须制定密码策略并利用技术手段保证执行。

2.2.2 用户权限管理

企业的员工从进入公司到离职是一个完整的生命周期, 要便捷有效地在这个生命周期中对员工的权限进行管理, 需要企业具有完善的身份管理平台, 从而实现授权流程的自动化, 并实现企业内应用的单点登陆。

2.2.3 公钥系统

公钥系统是访问控制乃至信息安全架构的核心模块, 无线网络访问授权, VPN接入, 文件加密系统等均可以通过公钥系统提升安全水平, 因此企业应当部署PKI/CA系统。

2.3 监控与审计

2.3.1 病毒扫描与补丁管理

企业需要统一的防病毒系统和终端管理系统, 在终端定期更新病毒定义, 进行病毒自扫描, 自动更新操作系统补丁, 以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端, 或对终端进行定制, 在终端接入企业内网时, 终端管理系统会在隔离区域对该终端进行综合评估打分, 通过评估后方能接入内网。才能保证系统的安全策略被有效执行。

2.3.2 恶意软件防控

主流的恶意软件防控体系主要由五部分构成:防病毒系统; 内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。

2.4 培训与宣传

提高企业管理层和员工的信息安全意识, 是信息安全管理工作的基础。了解信息安全的必要性, 管理层才会支持信息安全管理建设, 用户才会配合信息管理部门工作。利用定期培训, 宣传海报, 邮件等方式定期反复对企业用户进行信息安全培训和宣传, 能有效提高企业信息安全管理水平。

3 结束语

当前, 越来越多的企业已经把信息安全看做影响业务发展的核心因素之一, 信息安全管理已经成为企业管理的重点。本文对信息安全政策, 安全管理手段等方面进行了剖析, 结合当前国际主流的信息安全解决办法, 为企业做好, 做强信息安全管理体系给出了一些通用性的标准, 对企业构建信息安全管理体系, 消除信息安全隐患, 避免信息安全事件造成的损失, 确保信息系统安全、稳定运行具有探索意义。

参考文献

[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学, 2012.

石油企业信息安全管理论文 篇5

2、加强企业信息管理安全的防范措施

2．1不断完善信息管理系统

随着企业信息化的发展，目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要，一旦系统中断，将会给企业的生产经营管理带来混乱，而数据一旦丢失，后果是不可估量的。为此，信息管理系统的投入和使用，是建立在充分的实践经验的基础上，通过一段时间的.运行和观察，才能够投入使用。在不同的部门进行信息系统的引入时，应当按照部门的实际情况，通过多方引进，使用统一的信息管理系统。对于信息安全来说，首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理，并且赋予不同等级的用户不同的使用权限，这样则能够有效的防止无权访问信息的用户对核心区域的访问，保证信息不会被盗用。同时，为保证信息系统的连续稳定运行，应采用双机服务器和从服务器。一旦发生服务器故障，由从服务器自动接替主服务器工作。

2．2有效的设备管理

设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统，容灾备份系统一般由两个数据中心构成，主中心和备份中心。通过异地数据备份，实时地将主中心数据拷贝至备份中心存储系统中，使主中心存储数据与备份中心数据完全保持一致。同时，对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录，通过这些记录，定期对设备进行维护，同时也能够通过这些信息判断出信息的使用效率以及运行情况，对于设备的损坏或者是丢失情况都能够及时地了解。

2．3加强对人员的监督与管理

企业信息安全不单纯是技术问题，而是一个综合性的问题。其中最重要的因素是人，人是设备的主要操作者，因此对于信息的安全管理，就需要加强对人的管理，需要操作人员具有足够的安全意识，对于每一位操作人员进行相关的培训，对于唯一的用户名和密码等信息要进行妥善保管，同时让操作人员认识到泄密会导致的严重后果，增强责任意识。只有通过不断地学习及意识的培养，管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯，以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理，通过对每个细节的严密审查，能够有效减少人为出错的现象，同时通过科学的评价机制和激励机制，刺激人员工作的积极性，加强自身的责任意识。

2．4网络传输安全

企业信息安全风险管理 篇6

关键词：县级；信息；安全；管理

1.县级供电企业信息安全管理的目标

1.1县级供电企业信息安全管理理念

随着国网2012版本安规颁布，信息安全工作正式纳入到电网安全生产管理。信息安全是信息系统正常运行的基石，信息化的发展每一步都离不开信息安全工作的扎实开展。严重滞后的县级供电企业信息安全水平是工作的重中之重。

随着“三集五大”深入，信息化发展将严重制约农电整体素质工作的开展。国网信阳供电公司集思广益、多措并举，率先开展县级供电企业信息化同业对标管理，率先开展县级供电企业信息安全技术督查，同时为提高县级企业全员安全意识，打牢信息安全基础，开展信息安全反习惯性违章活动。加大对信息安全常见习惯性违章行为的考核，谋求县级供电企业信息安全工作的长足进步。力争形成良好的信息安全局面。

1.2县级供电企业信息安全管理目标

通过信息安全知识宣贯，签订信息安全承诺书，提升全员信息安全意识，为农电整体素质提升信息化工作的实施夯实基础，全年内各县级供电企业无七级及以上信息安全事故发生，减少各县级供电企业的弱口令、违规外联、高危漏洞等习惯性违章行为的发生频率。

2.县级供电企业信息安全管理的主要做法

通过宣传信息安全知识及指导县级供电企业建立健全信息化规章制度，培养工作人员的信息安全意识；通过技术督导，切实提升县级供电企业的信息安全防范能力；通过建立健全同业对标这个帮惩结合的机制，形成县级供电企业“比、赶、超”的良好氛围；通过组织信息化从业人员互动交流，提升信息安全管理水平，助推了信息安全工作的新局面。

2.1广泛宣传信息安全知识，提升人员信息安全防范水平

开展县级供电企业信息安全管理工作时，一是如何宣传信息安全知识，提升人员信息安全防范水平。通过反习惯性违章活动的开展，深入班组一线，重点讲述信息安全反习惯性违章知识，发放信息安全知识宣传小卡片，提高了工作人员对信息安全知识的认知能力。

为了有序开展反习惯性违章活动，建立了信息安全责任制体系，逐层签订信息安全责任书。同时将信息安全管理纳入安全生产总体工作中，做到信息安全与安全生产同步布置、落实、检查、考核，提高了信息安全工作地位，保证了信息安全反习惯性违章活动深入持久开展。

2.2帮助县级供电企业建立健全信息化规章制度

管理提升，制度先行。为规范信息安全管理，提升县级供电企业信息安全工作管控能力，对尤其是SG186工程以来，国网、省公司下发的各项规章制度进行梳理，指导帮助县级供电企业建立健全了信息化规章制度，规范了县级供电企业对信息化工作尤其是信息安全工作的管理，以制度来制约信息安全管理工作顺利实施。

2.3统一方式配置、集中管理县级供电企业信息安全设备

由于信息化人员专业知识良莠不齐，对关键设备了解不到位，为确管理、运维到位，对县级供电企业主交换、防火墙等主要设备采取统一方式配置，集中进行管理。大大提升了信息安全设备的管控能力。

2.4未雨绸缪，率先部署桌面管理系统、网络防病毒系统

高度重视县级供电企业信息内网接入内网后带来的安全风险、隐患，如何降低安全风险、隐患是新课题。未雨绸缪，2012年在8个县级供电企业全面部署与省公司统一的桌面管理系统、网络防病毒系统，并统一管理。采取每月5日、15日、25日对注册率、安装情况进行检查，督促县级供电企业正常使用，降低网络中存在的安全隐患，对发现的弱口令、违规外联发现一起、通报一起、考核一起，杜绝习惯性违章行为的发生。

2.5开展信息安全检查及技术督查，提升安全管控能力

从2010年开始，每年均开展县级供电企业的信息安全年度检查工作，促使县级供电企业提高对信息安全工作的认识，并将信息安全管理纳入到日常安全管理中。2011年10月始，充分利用漏扫工具每周对县级供电企业进行全方位漏扫，对存在的系统高危漏洞、弱口令责令县级供电企业限期整改，减少信息安全风险隐患，提升信息安全防御能力。

2.6帮惩结合完善机制，充分利用同业对标形成“你追我赶”局面

2010年10月，国网信阳供电公司开展县级供电企业同业对标工作。结合实际，优化建立了信息安全事件数、信息安全健康率两个指标。信息安全事件数主要考核县级供电企业有无七级及以上信息安全事故发生。信息安全健康率主要考核县级供电企业信息安全隐患情况，以及信息安全习惯性违章行为。通过具体考核，建立健全了县级供电企业信息安全工作帮惩结合的机制。每月月度例会进行通报，促使县级供电企业提升对信息安全工作的认知，赢得了信息安全工作的支持。通过同业对标这个平台，促使县级供电企业形成了信息安全工作“你追我赶”的优良局面。

2.7开展互动交流，创建优良的信息安全管理氛围

为了形成信息安全工作的良性循环，针对信息化从业人员开展了全方位交流学习，进一步提高信息安全安全管理水平。每季度召开“县级供电企业信息化工作开展座谈会”，广泛交流经验，发现信息安全工作过程中的不足和隐患，提升信息化从业人员对信息安全工作的处置程度。

2.8保证流程正常运行的月度信息安全技术督查总结机制

为保证县级供电企信息安全管理的有序开展，开展了县级供电企业信息安全技术督查工作，每月25日进行月度总结。下月初月度例会中进行公布，督促各县级供电企业逐步完善、整改。

3.小结

通过持续的工作，信息安全管理理念逐渐深入到县级供电企业管理者心中，广大员工也逐步意识到信息安全工作的重要性，县级供电企业信息化工作取得了一个新的局面，信息化工作的管理工作得到捋顺。国网信阳供电公司不等不靠、逐步建立、完善县级供电企业信息安全管理体系，扎实开展县级供电企业信息安全管理工作，为农电素质提升工作各项系统的推广夯实了基础。

浅析供电企业信息安全管理 篇7

1 电力信息安全

信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏, 主要指未经授权的访问者无法使用访问数据和修改数据, 而只给授权的用户提供数据服务和可信信息服务, 并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统, 涉及用电客户和公司内部员工及第三方托管服务公司, 系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性, 针对安全风险进行分析, 最后制订供电公司信息安全的策略非常重要, 也是至关重要的。

2 供电企业信息安全的影响因素

尽管供电公司投入了大量的财力、物力建设电网信息安全系统, 但供电企业内部网络仍不健全, 存在许多安全隐患。另外, 供电公司信息化水平不高, 信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系, 就要首先分析供电公司信息安全的影响因素, 对症下药, 进一步提出供电企业加强信息安全管理的对策。

2.1 不可抗拒因素

所谓“不可抗拒因素”, 就是由于火灾、水灾、供电、雷电、地震等自然灾害影响, 供电公司的供电线路、计算机网络信号、计算机数据等受到破坏, 并威胁到供电公司的信息安全。

2.2 计算机网络设备因素

供电公司计算机系统中使用大量的网络设备, 包括集线器、网络服务器和路由器等, 其正常运行关系着供电公司内部网络的正常运行, 而计算机网络设备的安全直接关系着供电公司的正常运行。

2.3 数据库安全因素

供电公司计算机系统监控用户峰值, 管理用电客户信息及其他用户缴费等情况, 计算机数据库的系统安全决定了供电企业的调度效率, 也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备, 确保企业内部网络与外部互联网的隔离。

2.4 管理因素

供电公司员工的业务素质和职业修养参差不齐, 直接影响到供电公司的网络安全。供电公司应该建立过错追究制度, 提高员工的信息化素质, 有效防止和杜绝管理因素造成的信息安全问题。

3 供电企业加强信息安全管理的对策

3.1 提升员工信息安全防患意识

开展信息安全管理工作, 并非仅仅是系统使用或者管理部门的事, 而是企业所有职工的事, 因此, 要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施, 进一步提升全体员工对企业信息安全的认识, 让信息安全成为企业日常工作业务的一个组成部分, 从而提升企业整体信息安全水平。

3.2 采用知识型管理

传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代, 安全管理应当以知识管理为主, 从而使得安全管理措施与手段也越来越知识化、数字化和智能化, 促使信息安全管理工作进入一个崭新的阶段。

3.3 设置系统用户权限

为了预防非法用户侵入系统, 应按照用户不同的级别限制用户的权限, 并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事, 它需要一个长期的过程才能达到较高的水平, 需建立并完善相应的管理制度, 从平时的基础工作着手, 及时发现问题, 汇报问题, 分析问题并解决问题。

3.4 防范计算机病毒攻击

加速信息安全管控措施的建设, 在电力信息化工作中, 办公自动化是其中一项非常重要的内容, 而核心工作业务就是电子邮件的发送与接收, 这也正是计算机病毒一个非常重要的传播渠道。因此, 必须大力促进个人终端标准化工作的建设, 实现病毒软件的自动更新、自动升级, 不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施, 对用户访问实施严格的控制。

3.5 完善信息安全应急预案

严格规范信息安全事故通报程序, 对于隐瞒信息事件的现象, 必须严肃查处。对于国家和企业信息安全运行动态, 要及时通报, 分析事件, 及时发布信息安全通告。对于己经制定的相关预案和安全措施, 必须落到实处。另外, 还要进一步加强信息安全技术督查队伍的建设, 提高信息安全考核与执行的力度。

3.6 建立信息安全保密机制

加强信息安全保密措施的落实, 禁止将涉密计算机连接到互联网及其他公共信息网络, 完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作, 切实做好涉密文档的登记、存档和解密等环节的工作。

4 结束语

为了保障国民经济的快速发展, 就要确保供电系统的稳定安全, 就要合理应用计算机网络管理供电公司网络, 科学管理供电网络信息, 促进企业的可持续发展。供电公司要充分利用好企业内部网络, 提高劳动生产率, 并加强网络信息安全监控, 加强企业内部优化, 创新供电企业服务意识, 加强供电企业信息安全管理对策, 适当提高供电企业信息化管理水平, 保证供电企业的信息安全。

参考文献

[1]徐春玲.供电企业信息安全隐患排查与治理[J].电力信息化, 2011 (3) .

[2]胡滔.网络信息安全管理在供电企业中的应用[J].信息通信, 2014 (11) .

企业信息安全风险管理 篇8

1 电力企业信息系统风险

电力企业信息系统是基于电脑和网络, 实现电力制造、管理等信息的收集、存储、分析及传输的综合性的有机系统。[1]信息作为一种重要的企业资源必须要对其进行全面的安全管理, 企业信息安全管理是引导和协调组织的关于信息化安全风险的互相协调的活动, 即企业管理层对企业相关信息和活动安排进行合理的规划和协调。

一直以来, 很多人特别是对于信息行业出身的工作人员, 都受环境影响而陷入“技术就是一切”的误区中, 即人们把企业信息安全的全部希望都寄托在加密技术上, 他们认为只要通过加密技术, 任何信息安全问题都能够解决。随着网络防火墙技术的诞生, 我们又常听到“防火墙是网络安全的有力保障”的论调。经此之后, 入侵检测、VPN等更多新的概念及技术纷至沓来, 但无论技术怎样变化, 终究还是突破不了技术统领信息安全的枷锁。实际上, 对企业信息安全技术的选择及应用只是企业信息系统安全化的一部分, 它只是实现企业安全运营的一个方法而己。大家之所以产生这样的误区, 其原因是多方面的, 站在企业安全技术提供商的角度来说, 其侧重点在于销售, 因此向相关客户输送的大多都是以技术为核心的理念和信息。站在客户角度来说, 只有企业的产品才是真实的、有形的, 对投资方来说, 这是十分重要的。

因此, 正是对于企业信息系统的错误认识, 导致一些极端现象的产生, 比如:许多企业的信息化设备使用了防火墙、网络云扫描等技术, 但却没有设定出一套以安全策略为核心的合理的安全管理方案, 从而造成安全技术及企业的产品生产十分混乱, 不能做到技术及相关产品的及时、有效的更新。还有一些电力企业即使设定了一些安全管理措施, 却没有使用有效的实施、监督机制来执行, 这让安全管理措施徒有其表, 名存实亡。经过研究及调查, 现阶段我国电力企业信息系统面临的风险主要有:

(1) 信息系统缺陷。随着信息化的不断发展, 电力企业信息系统也一直在不断完善中, 目前, 我国的电力企业在设计、制造及产品装配中仍存在着许多安全隐患与风险, 比如来自软硬件组件的安全隐患等, 这些信息系统固有的缺陷对电力企业信息系统的安全造成了严重的威胁。

(2) 信息系统安全管理不规范。现阶段, 我国电力企业对电力信息系统的安全愈来愈重视, 很多电力企业都采取了各种风险管理及预防措施, 但是由于系统数据备份设备的不完善、数据丢失等信息系统安全管理不规范现象的出现, 建立一套完善、合理的电力企业信息系统安全管理体系尤为重要。

(3) 网络安全意识薄弱。由于电力企业的安全宣传力度不够, 相关技术人员的安全意识薄弱而导致的信息系统安全问题时有发生, 比如不能及时修补信息系统漏洞及补丁, 相关人员不正确的操作、或通过U盘导致重要信息泄露等, 处理不好都很有可能造成整个电力系统的不稳定甚至系统瘫痪。

(4) 恶意人为破坏。随着网络共享度的提高, 我国的电力企业信息系统逐渐向开放型及共享型发展, 这使得一些不法分子有机可乘, 他们为了自己的利益, 通过各种手段非法入侵电力企业的信息系统, 如植入病毒、窃听、干扰阻断等, 这对我国电力企业信息系统的安全构成了极大的威胁。

2 电力企业信息系统安全管理研究

信息安全是一个复杂的、不断变化的动态过程, 如果电力企业只根据一时需要而忽略了信息安全的动态性, 只是主观的来制定一些风险管理措施, 就会造成在企业信息管理中顾此失彼, 进而导致企业的安全管理水平止步不前甚至有失偏颇。[2]其正确的做法是, 电力企业要遵守相关信息安全标准及实践总结, 结合企业自身对信息系统安全的实际需求, 在进行完善的风险分析及风险管理的基础上, 通过一些合理的、可行的安全风险管理措施来使电力企业信息系统一直处于安全状态。

除此之外, 不断更新的过程是电力企业进行信息安全管理的最基本出发点, 该过程还应该是动态的、变化的, 即安全措施要随着环境的变化及信息技术的提高而不断改进和完善, 坚决拒绝一成不变, 这可以将信息系统的风险降到最低。[3]所以说, 基于风险的评估及控制角度来说, 电力企业信息系统的安全风险与其他领域的风险具有相似性, 与此同时, 电力系统信息系统安全风险又具有其独特性。将其他领域内的风险控制过程引入电力企业的信息风险管理领域, 需要同时考虑到其共性和个性。

安全管理主要分为网络级、系统级和应用级3个部分:

(1) 网络级安全管理。电力企业信息系统的网络级安全管理主要是指解决企业信息系统与网络互联而产生的安全风险问题, 其主要从网络防火墙及网络结构两个方面采取安全管理措施。网络防火墙对企业内部网络及外部网络起到安全隔离作用, 它可以有效预防潜在的破坏性入侵, 同时可以对即将进入企业内部网络的数据进行严格的检测, 并对非法、错误的网络信息进行隔离, 从而保护电力企业内部网络的安全。对于网络结构, 根据电力企业信息系统的实际情况, 相关技术人员结合网络结构, 设计出一种介于混合型和网状型结构之间的分布式网络结构, 该分布式网络系统具有较高的可靠性及容错能力, 从而对已有的网络结构进行了优化。

(2) 系统级安全管理。在企业信息系统风险管理中, 系统级安全设计与用户的具体应用具有密切的联系, 具体而言, 其分为操作系统与数据处理两个方面。在操作系统方面, 利用有效的网络安全扫描对信息系统的安全风险进行合理评估, 及时分析操作系统已有的漏洞, 同时结合信息系统的漏洞自动修补技术, 实现定期为相关用户消除网络中的安全隐患。在数据处理方面, 企业要善于利用信息系统平台再次对数据库进行数据安全加密, 从而将信息系统的数据库风险降到最低。

(3) 应用级安全管理。应用级安全设计具有直观、具体的特点, 它是在设计电力企业的信息系统时, 通过技术手段将相应的安全技术加入到信息系统中, 从而有效保证系统的安全稳定运行。具体来说, 电力企业信息系统的应用系统访问控制是根据访问信息性质的不同, 分别进行公开信息和私密信息的传送、存储及管理, 从而实现在应用层次上的访问控制;而数字签名技术可以通过对文件签发者、日期等提供准确的不可更改的历史记录, 来保证系统所有文件的完整性。

因此, 我们得知, 为了确保电力企业信息系统的安全, 要采取合理、有效的管理手段来最大程度地降低风险, 即相关人员不仅要从技术层面来进行安全管理的设计, 还要从管理层面进行安全管理设置。[4]具体来说可以从以下方面着手:

(1) 定期对企业系统的技术人员进行安全教育, 增强其信息系统的安全意识;

(2) 保持相关人员特别是管理层的人员稳定, 若有人员调离, 需及时更换系统密码, 避免企业机密泄露;

(3) 设置合理的电力企业信息系统安全标准及企业制度等。

3 结语

电力企业信息系统的信息安全性在现有的信息安全技术下并不能很好地解决相关安全问题。因此, 只有建立完善的、可行的企业信息系统安全管理模式, 并及时更新安全技术及设备, 制定合理的安全管理方案, 才能使电力企业的信息系统安全性一直处于良好状态。

电力企业信息系统安全是电力企业正常运营的重要保证, 企业信息系统安全不仅关系着我国电力企业的信息化水平, 还关系着我国经济发展的前途命运。因此, 只有结合我国电力企业的实际情况, 采取合理、完善的风险管理措施, 才能保证电力企业信息系统的安全性及平稳性。现阶段, 大量事实表明, 如今电力企业的信息系统安全问题不仅仅是技术层面的问题, 更大程度取决于相关人员的管理水平。因此, 只有将电力企业的信息系统安全风险有效进行识别及分析并采取有效的风险管理及预防方案, 才能保证电力企业信息系统的安全性及可靠性。

参考文献

[1]李文武, 游文霞, 王先培.电力系统信息安全研究综述[J].电力系统保护与控制, 2011, 39 (10) :140-147.

[2]刘振辉.对电力信息系统安全防护问题的研究[J].信息与电脑:理论版, 2012 (10) :87.

[3]寇建涛.电力信息系统安全分析与思考[J].科技资讯, 2009, 36:17-18.

企业信息安全风险管理 篇9

关键词：电信运营企业,信息安全,风险管理,PDCA循环

1 研究背景

互联网时代信息安全问题严重,信息安全事故频出。2014年8月,德国某安全研究实验室的研究人员发现一种全球手机运营商使用的系统中存在安全漏洞,该漏洞使黑客能够大规模监视用户手机流量。2014年12月,超过13万个12306网站账户的帐号、明文密码、身份证号等用户数据被泄露。2015年10月,中国电信某系统出现重大漏洞,通过该漏洞可查询上亿用户信息,包括姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。信息安全问题已严重影响甚至威胁到人们的生活和工作。

各国政府机构和企业组织十分重视信息安全问题,不断增加在信息安全方面的投入。美国是第一个制定网络安全战略的国家,也是首个把网络安全战略作为国家安全战略组成部分的国家。日本在2014年11月表决通过《网络安全基本法》。为加强国家网络安全和信息化的法治建设,提高网络和信息安全的保障能力,我国2014年2月成立中央网络安全和信息化领导小组。2014年8月,工信部发布《关于加强电信和互联网行业网络安全工作的指导意见》,以应对日益复杂的网络安全威胁和挑战,加强和改进网络安全工作,提高网络安全保障能力和水平[1]。2015年9月,中美两国就网络安全达成共识,两国政府都不支持以经济利益为目的的网络犯罪,不进行或支持通过网络窃取知识产权的行为。

风险管理是安全管理的基础和核心环节,现代信息安全管理理论基于风险管理的思想。安全管理的实施以风险管理为核心,大型IT企业的信息安全管理实践也是如此[2]。电信业是国民社会经济生活的基础,电信运营企业作为我国电信业的建设者和运营者,拥有体量巨大、数据精确的用户信息,几乎反映了用户的基本工作生活信息,因此,我国电信运营企业的信息安全风险管理是信息安全管理的关键组成部分。

在此背景下,研究如何构建电信运营企业信息安全风险管理体系,为其信息安全风险管理工作提供理论支撑具有重要意义。

2 理论回顾与风险现状分析

2.1 理论回顾

1956年,Gallagher R B[3]正式提出“风险管理”概念,认为组织中应该有专门负责管理该组织纯粹风险的人。此后,学术界开始对风险管理进行深入研究。在应用方面,风险管理被广泛运用于项目管理、企业管理、经济发展、国家建设等诸多领域。一般来说,风险管理是指为减少预期不利因素对职能经济实体的影响而进行决策,确保最高安全水平[4]。

信息安全是指保护信息的可用性、机密性和完整性[5],即保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。风险管理理论应用于信息安全领域始于20世纪60年代。《计算机安全控制》报告的出版奠定了国际安全风险评估的理论基础[6]。20世纪90年代,因特网、移动通信和跨国光缆的高速发展使信息安全成为世界各国面临的共同挑战,国际组织和世界各国开始制定出台信息安全风险管理标准,ISO17799标准是目前国际通用的信息安全管理标准。

学术上对信息安全风险管理进行了大量研究,其中Knapp K J等[7]的研究启发本文采用动态管理模型。他们认为制定信息安全策略是信息安全风险管理的必要基础,且制定信息安全策略是动态优化的过程。他们用定性方法研究信息安全策略的制定过程模型,指出安全管理项目执行和各部门之间持续相关。

目前,我国电信运营企业信息安全风险管理缺乏系统的管理方法,风险管理意识相对薄弱,且无成熟经验作参考,风险管理工作仍处于起步阶段。在此背景下,探索电信运营企业信息安全风险的系统管理方法具有重要意义。巫英等[8]以经营者具备强烈的创新风险管理意识为前提,从组织结构与人员配备、规章制度、预警机制和应急预案等4个方面构建了重大风险管理框架体系和设计方案。叶尔江等[9]分析传统风险管理策略在信息安全风险管理上的局限性,提出用和谐管理理论思想解决问题,立足双规则耦合机制设计管理策略,构建出信息安全风险管理模型。

本研究认为,无论是电信运营企业所面临的信息安全风险,还是其信息系统建设情况都在不断变化,因而信息安全风险管理具有持续性和动态性,适合采用PDCA循环模型进行研究。梁军[2]19运用PDCA模型对湖南电信内网信息安全风险管理进行了深层次研究,为本文带来研究思路上的启发。

基于以上研究基础,本文探求符合我国电信运营企业实际需要的信息安全风险管理体系,将PDCA循环运用到管理研究中,构建具有普遍适用性的管理体系并阐述该体系实施流程,对于企业管理实践具有参考意义。

2.2 电信运营企业信息安全风险现状分析

电信业是关系国民经济命脉的行业,相对于互联网企业或其他IT企业,电信运营企业作为电信业的运营者,承受着更大的社会责任,也面临着更复杂的信息安全风险。电信运营企业面临的信息安全风险主要有以下三点:

(1)应用系统众多,人员管理复杂。无论是政府机关、企事业单位还是大型互联网公司,都需要使用或依赖电信网络。网络结构复杂,不同网络之间相互影响,增加了信息安全风险,也增加了风险管理难度。相关参与人员众多,不仅有电信企业内部员工,还包括外联单位员工。总之,电信企业巨大的事务量、信息量和人员数量以及相互之间的复杂关系,都是潜在的安全隐患。

(2)境内外网络攻击活动日益频繁,手法更加复杂隐蔽。一方面,网络攻击活动猖獗。2013年CNCERT (中国信息安全中心)监测发现境内约1 090万台主机被境外服务器控制,约1.5万台主机被APT木马控制,约6.1万个网站被植入后门控制,较2012年增长62.1%。CNVD (国家信息安全漏洞共享平台)向基础电信企业通报漏洞风险事件518起,相较于2012年增长超过一倍[10]。

另一方面,网络攻击手法多样化隐蔽化。网络攻击入侵已不仅是批量挂马、漏洞入侵、病毒捆绑下载或者是直接暴力攻破等方式,还出现了诸如利用USB与嵌入式硬件,让USB插入变成远程窃听或者遥控器等更为隐蔽和复杂的新网络安全威胁。

(3)新技术、新业务带来的网络安全问题逐渐凸显。随着电信网络的IP化,4G网络的建设和商用,三网融合战略的推进,云计算、移动互联网的发展,业务的互联网化,终端设备的智能化,电信运营企业面临着网络改造和技术进步带来的新风险。同时,新技术、新业务产生海量数据,对设备性能提出更高要求。传统架构的限制、安全设备的升级改造等均是亟待解决的问题。

电信运营企业通常采用防火墙、UTM、入侵检测系统、漏洞扫描系统等局部管理方法预防风险。面对新的信息安全风险挑战,电信运营企业应该从局部管理向全局管理转变,建立科学完备的风险管理体系,降低信息安全风险对社会经济生活的危害。

3 信息安全风险管理体系构建

根据《信息安全风险管理指南》,风险管理不只是一种管理行为,而是调动一切管理和技术资源,评估和处理信息安全风险,最终由管理层做出决策的一种综合过程。风险管理可归为3个部分:风险评估、风险减缓和基于风险的决策。PDCA循环管理模式,即“计划(Plan)、实施(Do)、检查(Check)、行动(Action)”循环模式适用于解决此类管理问题。另一方面,任何风险管理都有其局限性,不能完全避免信息安全事故的发生,即安全事故仍有可能随时发生。为确保及时高效地处理信息安全事故,本文在管理体系中增加信息安全风险应急机制,作为信息安全风险管理的最后一道防线。根据上述分析,以下构建一个基于PDCA循环的电信运营企业信息安全风险管理体系。

3.1 模型假设

假设1:体系建设有人事、技术、政策、管理等各方面的完全配合。

假设2:体系中每个模块得到最优执行,即方案最优,执行力最优等。

假设3:模块执行效果无延时。

3.2 模型因素说明

风险评估:运用科学的分析方法和手段,分析电信运营企业所面临的信息安全威胁并判断主要威胁,区分风险处理优先级,估计威胁事件一旦发生可能造成的危害。

风险减缓:根据风险评估结果,结合信息安全管理需求和风险处理成本,针对不同类型、不同规模、不同概率的风险,设计合适的风险处理方案,将风险控制在可接受范围内。

基于风险的决策:根据风险减缓后的检验结果,判断风险是否仍然存在,残余风险是否可以接受,并基于这一判断作决策。

应急机制:应对随时可能出现的信息安全突发事件,及时控制突发事件,最大限度地降低危害程度。

3.3 体系构建

该体系是一个从风险评估、风险减缓到基于风险的决策的闭环管理系统,信息安全风险应急机制贯穿全程,总体框架图如图1所示。

图1中,P代表风险检测与评估,D代表风险减缓方案设计与执行,C代表执行结果检验,A代表改进决策。电信运营企业在P阶段检测和评估风险,判断是否满足安全需求,根据安全需求和风险评估结果在D阶段设计解决方案并执行,在C阶段监视审查解决方案是否有效以及是否有新的变化,在A阶段,根据检查结果做出满足信息安全需求与期望的决策。

该模型强调在P、D、C、A每一个阶段都按照PDCA循环原则进行。例如当整体循环进入D阶段,即风险减缓方案设计与执行阶段,仍要进行风险检测与评估,优化改进原先的检测评估方案,检测评估新的风险,如此循环往复,不断提高风险检测与评估水平。

该模型的风险应急机制是该闭环系统的外在保护机制,是PDCA循环管理理论运用到信息安全风险管理中的具体化改进,使风险管理体系更加完善。

4 信息安全风险管理体系实施

该体系的D (风险减缓方案设计与执行)、C(执行结果检验)阶段可归为风险减缓阶段,以下分别对模型的4个因素,即风险评估、风险减缓、基于风险的决策和应急机制进行详细阐述,说明该管理体系的实施过程。

4.1 风险评估

通过风险评估发现系统中的主要安全问题,是风险管理的基础环节。风险评估有两大步骤,一是检测风险,二是评估风险。

(1)检测风险。风险检测是指对存在的资产弱点或可能的威胁进行识别。电信运营企业的风险可分为两大类,一是内部隐患,二是外部威胁。

电信运营企业通过优化技术和加强管理减少内部隐患。根据CNCERT相关调查结果,信息安全问题主要来自内部人员,而非病毒或外来黑客,因此,加强内部风险管理尤为重要。外部威胁主要是指外部人员利用开放的固定端口,或者利用服务器以及服务程序的脆弱性,达到破坏系统或损坏、更改、窃取信息的目的。对电信运营企业而言,外部威胁源是不可控的,只能预防、监测和处理。表1列举了主要的内部隐患和外部威胁,为电信运营企业检测风险提供维度参考。

第三方系统及其参与人员带来的隐患属于内部管理隐患。电信运营企业对接系统众多,必须事先主动采取管理防范措施,减少或消除对接系统带来的信息安全隐患。

(2)评估风险。风险评估应遵循信息安全风险管理的相关标准。根据国际信息安全管理标准体系(BS7799标准体系),风险评估是对信息资产的脆弱性及所面临的各种威胁进行评估,并对相关的安全管理措施进行鉴定。

风险评估方法较多,应视企业具体情况采用相应的方法,主要有基于知识的评估方法,基于模型的评估方法以及定性分析、定量分析。彭俊好[11]将风险评估分为基线评估和详细评估两大类。基线评估指对组织资产进行必要的分类后划定一条安全基线,其中高于基线的是安全的,反之是有风险的。详细评估则是对资产进行详细识别和评价,对可能的威胁和弱点进行评估,根据风险评估结果选择安全措施。常用的详细评估方法有故障树法、专家评审法、层次分析法等。郭明利[12]在特权提升的量化方法设计了基于电信级网络和国内通信行业标准的评估架构,提出了基于安全事件的风险评估模型。

作为体系建设中的基础和关键环节,电信运营企业在进行风险评估时应综合考虑系统性质、使用信息目的、系统环境等因素,既要预测直接后果,又要设想潜在后果,在众多的风险评估方法中选择适用于自身的方法。

4.2 风险减缓

绝对安全不切实际,在权衡成本与直接后果、潜在后果的前提下采取最适当的安全措施,减少风险事故发生,控制损失幅度,降低期望损失成本。

风险处理的方法主要有:

(1)风险承受。对于企业运行过程中必然存在的信息安全风险,或不会带来不良影响的风险,可以选择承受以维持系统的运行。电信运营企业承担着重要的社会责任,应理性选择风险承受。

(2)风险规避。风险规避是最重要和最常用的风险减缓方法。通过采用不同的技术、更改操作流程等方法规避风险,例如经常性进行系统测试,找出系统漏洞,规避遭黑客袭击的风险。

(3)风险分散。风险分散是指增加承受风险的单位以减轻总体风险的压力。风险分散有隔离和兼容两种方式,隔离是将企业资产分散到不同地点,而兼容则通过增加新的单位达到分散的目的。增加存储设备存储海量数据是典型的风险分散方法。

(4)风险转嫁。对于发生概率低,但一旦发生会对组织产生重大不良影响的风险,当第三方(被转嫁方)接受被转嫁风险时,可考虑转嫁。例如当电信运营企业不具备实现某方面安全保障的能力时,外包给可实现的第三方,既转嫁了风险,又实现了共赢。

风险经过处理后,信息安全状况并不一定能满足信息安全需求与期望,需要检查风险处理结果,据此作下一步决策。

4.3 基于风险的决策

在整个风险管理过程中,决策无处不在,而本阶段的决策则侧重于管理层的重大决策。主要包括总体规划和批准监督决策、布局结构变动决策、相关组织协调决策等。风险决策是在多种不确定因素作用下,对两个以上的行动方案进行选择。由于不确定因素的存在,行动方案实施结果的损益值通常不能预先确定。

在此阶段肯定成功的经验并予以标准化,总结失败教训,为下一次风险处理积累经验。对于没有解决的问题,如某信息系统的残余风险不可接受,则继续优化方案采取措施,如有必要可停止该信息系统的运行。当现实情况要求该系统临时必须投入运行,则在此期间应继续处理风险并制定针对性应急预案。基于风险的决策推动风险管理整体进入更高一层循环,使电信运营企业信息安全水平螺旋式上升。

4.4 应急机制

信息安全应急机制不仅指发生问题以后的再处理,还指预先准备方案应对可能发生的意外,以便当意外发生时及时反应和恢复。

信息安全应急机制(见图2)涉及到计划、流程和技术措施以及法律、组织管理等多个方面。在安全事故未发生时成立应急小组,考虑应急需求,制定基本应急的方案,做好技术储备和保障,进行宣传培训和演习,备存应急文档、软件和设备等。

事故得到妥善处理后,对相关系统进行全面排查,做出事故分析报告和总结报告,避免类似事故再次发生,提高电信运营企业信息安全风险管理水平,从而提高信息安全水平。

该基于PDCA循环的电信运营企业信息安全风险管理体系有以下特点和优势:

(1) P、D、C、A依靠组织的力量顺序进行。按照科学的流程推进信息安全风险管理工作,使之更加条理化、系统化和科学化,循环持续前进。

(2)大环套小环、小环推大环。PDCA循环对整个企业、企业内各级部门甚至是每个人都是适用的,各自围绕着管控风险的总目标转动,通过循环使各项工作有机地联合,相互协同与促进。

(3)螺旋上升不断提高。每循环一次解决一部分问题,取得一部分成果,对每一次循环进行总结,提出新目标,再次进行PDCA循环。

(4)避免独立个人、单个部门和单个步骤成为风险防御孤岛,从而导致相互间无法产生协同效应。

该管理体系将风险管理理论、PDCA管理理论与电信运营企业信息安全风险实际相结合,因而具有实用性。通过该管理体系,将电信运营企业确切的信息安全需求和期望转化为可管理的信息安全实际,达到巩固提升信息安全的效果。

5 结论与展望

信息安全已上升到国家安全的高度,我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。

本文从电信运营企业面临多方面的信息安全风险现状出发,根据风险管理理论,构建出基于PDCA循环的电信运营企业信息安全风险管理体系;为更加全面地防范信息安全风险,灵活应用PDCA循环管理理论,将应急机制加入风险管理体系中。本文进一步阐明电信运营企业如何建设该管理体系从而进行风险管理,为电信运营企业风险管理提供借鉴参考。

本研究仍存在不足之处,管理体系实施部分还需要进行后续深入研究。如何展开风险评估工作,如何设计应急机制等均有待进一步分析。

随着安全管理工作的进步和安全行业的发展,风险管理工作将从单个相互独立的电信运营企业向电信行业全局转变。未来将建立起一整套基于电信业的信息安全风险管理体系,涉及国家政策、法律法规、技术保障以及安全管理平台等。独立电信运营企业则应搭建与行业管理体系相协调、具有主动防御能力的深层防御安全体系,为信息安全提供有力保障。

参考文献

[1]工信部.关于加强电信和互联网行业网络安全工作的指导意见[EB/OL].(2014-8-28)[2015-11-17].hup://www.miit.gov.cn/n11293472/n11293832/n12843926/nl3917072/16121158.html

[2]梁军.湖南电信公司内网信息安全体系建设的研究[D].长沙:湖南大学,2007

[3]顾孟迪,雷鹏.风险管理[M].北京:清华大学出版社,2005:26-27

[4]OSTROWSKA M,MAZUR S.Divereified risk management[J].Procedia Economics and Finance,2015,23:615-621

[5]ALJIFRI H,NAVARRO DS.International legal aspecte of cryptography[J].Computers&Security,2003,22(3):196-203

[6]王东.国外风险管理理论研究综述[J].金融发展研究,2011(2):23-27

[7]KNAPP K J,MORRIS R F,MARSHALL T E,et al.Information security policy:An organizational-level process model[J].Computers&Security,2009,28(5):493-508

[8]巫英,向刚.企业持续创新过程的重大风险管理机制研究[J].科技进步与对策,2013(1):88-91

[9]叶尔江,刘怀兴,张刚,等.基于和谐管理的信息安全风险管理研究[J].情报杂志,2006(1):10-11

[10]中国互联网协会,中国互联网络信息中心.中国互联网发展报告(2014)[EB/OL].(2014-5-15)[2015-11-17].ht.tp://www.ise.org.cn/wzgg/listinfo-29518.html

[11]彭俊好.信息安全风险评估及网络蠕虫传播模型[D].北京:北京邮电大学,2008

电网企业信息安全管理体系建设 篇10

0 引言

信息化是一把“双刃剑”, 在为企业带来提高工作效率和管理水平、增强竞争能力等益处的同时, 也为企业带来了安全风险, 安全风险与信息化水平的提高同步增长, 安全形势越来越严峻。电力和银行、证券、海关、铁道、民航、税务是7个重要的涉及国计民生的基础性行业, 电力已被国家确立为重点信息安全领域。到底需要什么样的方法或机制来管理信息安全, 实现安全的“预控、在控、可控、能控”呢?

1 信息安全管理体系建设依据

电网企业在20世纪90年代通过引入ISO 9001系列质量管理标准建立企业质量管理体系, 提高质量管理水平。近几年又引入环境管理标准ISO14001、职业安全卫生管理标准OHSAS18000, 开展“三标”的贯标工作, 依据PDCA模式, 建立了一套有效的一体化管理体系, 有效提供了企业生产质量、环保、职业安全卫生的水平。这为企业带来了有益的启示, 即可通过引入标准和最佳业务实践建立信息安全管理体系来提高信息安全水平。由于已有“三标”的基础, 在企业内建立信息安全管理体系, 工作阻力低, 可行性很高。

企业进行信息安全管理体系 (Information Security Menegment System, 以下简称ISMS) 建设首先要选好建设的依据。目前有ISO15408 (Common Criteria) 、FIPS140、COBIT、ISO/IEC13335 (GMITS) 、ISO/IEC27001、ISO/IEC 17799等标准。经过分析比较, 认为采用ISO/IEC 27001、ISO/IEC17799认可的相关的配套实施和认证来建立企业信息安全管理体系比较合适。主要是基于以下几点考虑:

(1) ISO/IEC 27001、ISO/IEC17799通用性比较好, 能适应大部分企业的情况进行调节;

(2) 从调研情况看, 管理体系已采用ISO/IEC27001、ISO/IEC17799的较多;

(3) 基于安全风险管理理念, 强调安全与成本平衡, 以风险控制成本, 最小化因风险可能导致的损失, 在控制成本和潜在损失之间平衡;

(4) ISO/IEC27001同ISO9001 (质量管理体系) 和ISO 14001 (环境管理体系) 等国际知名管理体系标准采用相同风格, 使信息安全管理体系更容易和其他的管理体系相协调;

(5) 遵循过程方法和“计划-实施-检查-改进 (PDCA) ”持续改进模型 (如图1所示) , 符合安全是相对的、动态的特点, 需要不断地评估和改进。以该标准建立的体系有利于建立一个长效机制。

ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》 (源自BSI 7799-2:2002《信息安全管理体系规范》) , 从组织的整体业务风险的角度, 详细说明了建立、实施、运行、监视、评审、保持和改进文件化的ISMS的要求, 规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。ISO/IEC 17799:2005《信息技术-安全技术-信息安全管理实施细则》 (源自BSI 7799-1:1995《信息安全管理实施细则》) , 包括11个安全控制要项、39个控制目标、133项控制措施, 给负责开发的人员作为参考文档使用, 作为企业的安全标准和有效的安全管理实施指南。

2 信息安全管理体系建立的若干重要环节

企业可通过ISO/IEC 27001标准所规定的一系列步骤来建立ISMS。但标准仅仅提供一些原则性的建议, 如何将这些原则性的建议与各个组织单位自身的实际情况相结合, 构架起符合组织自身状况的ISMS, 是非常有挑战性的。从实际工作中看, 重要资产识别、风险评估、体系文件编制是影响ISMS质量的重要环节, 必须重点把握。

2.1 重要资产识别

标准对信息资产的定义与传统的理解有差异, 它包括了硬件、软件、服务、数据和文档、人力资源五大类。所谓资产识别就是识别ISMS控制范围内的信息资产以及这些资产的所有者, 形成《信息资产清单》、《重要信息资产清单》。关键是如何能客观地评定资产的价值, 以反映资产对组织业务运营的重要性, 这必须结合自身需要来制定一个定量的定价规则。

对资产的赋值不仅要考虑资产本身的价值, 而且还要考虑资产的安全属性损害时对业务运营的负面影响程度。因此必须多维度对资产价值进行分析。资产赋值的过程就是对资产在自身价值、信息分类、保密性、完整性、可用性和法规合同符合性上的达成程度进行分析, 并在此基础上得出综合结果的过程。按照资产自身的价值赋值结果、信息分类的赋值结果和资产在C (保密性) 、I (完整性) 、A (可用性) 、L (法规合同符合性) 上的赋值等级结果, 经过综合评定得出资产的重要性等级。将资产重要性划分为5级, 级别越高表示资产重要性程度越高。资产重要性等级3~5级为重要资产, 1~2为非重要资产。资产的所有者和相关用户最清楚资产对企业业务的重要性, 因此在具体操作时由它们来确定资产的价值, 能更准确地评估出资产的实际价值 (见表1) 。

2.2 风险评估

风险评估是制定ISMS过程中非常重要的一步, 形成《信息安全风险评估报告》、《风险处理计划》、《信息安全适用性声明》等文档。评估应考虑威胁、薄弱点、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的措施等多方面因素。重要的是制定一个定量的风险评估方法, 保证评估结果的相对客观。风险评估方法涉及到威胁识别、薄弱点识别、威胁发生可能性、影响程度、安全措施有效性以及风险计算等内容。

风险计算应考虑资产的重要程度, 威胁利用薄弱点导致安全事件发生的可能性, 安全事件一旦发生对资产的影响程度, 以及已采取控制措施的有效性。计算公式为:

风险值=威胁发生可能性×影响程度等级×现有控制措施有效性赋值。

需制定风险等级划分标准用于确定风险等级。将等级划分为5级, 等级越高, 风险越高 (见表2) 。应根据所计算的风险值确定风险等级, 并对所有风险计算结果进行等级处理。

另外, 不可接受风险的确定和处理也很重要, 需要制定一项风险的可接受准则, 即综合考虑风险控制成本与风险造成的影响, 如果风险等级为1或2级, 是可接受风险, 可保持已有的安全措施;如果风险等级为3~5级, 是不可接受风险, 则需要采取安全措施以降低、控制风险。风险评估小组根据信息安全风险接受准则确定风险的可接受性;编制《风险处理计划》, 该计划应该规定风险处理方式、责任部门和时间进度, 高风险应得到优先的考虑, 对于不可接受风险应根据选择的风险处理方式控制残余风险。

2.3 体系文件编制

编写各种层次的信息安全体系文件是建立ISMS的重要基础性工作, 是标准的明确要求。ISMS文件包括:

(1) 文件化的安全方针和控制目标;

(2) 信息安全管理体系的范围;

(3) 支持ISMS的程序和控制;

(4) 风险评估方法的描述;

(5) 风险评估报告;

(6) 风险处理计划;

(7) 为确保信息安全过程有效策划、运作和控制以及如何测量控制措施有效性所需的文件化的程序;

(8) 标准所要求的记录;

(9) 适用性声明。

由于各行业都有不同的行业特点, 可以通过专用文件和通用文件相结合的方法来制定体系文件。信息安全管理体系是企业整体管理体系的一部分, 要考虑与其他体系文件的接口, 对有些文件可直接引用或修订, 如可引用质量管理体系中的支持性程序文件:《文件控制程序》、《记录控制程序》、《内部审核控制程序》等。

3 结语

ISMS在浙江嘉兴电力局试点取得了成功, 已于2006年11月通过挪威船级社 (DNV) 认证。浙江金华、湖州、绍兴、衢州电力局于2007年相继开展ISMS建设并通过认证。通过建立、实施、运行、监视、评审、保持和改进文件化的ISMS, 对企业信息资产进行了一次全面的摸底, 对信息安全的重点关注对象有了清醒的认识, 消除了主要的安全隐患, 建立了驾驭信息安全的长效机制, 为电网企业信息安全管理提供了示范。但安全是动态的, 要基于PDCA持续改进ISMS, 需将信息安全等级保护纳入体系中, 同时开展质量、环境、职业安全卫生、信息安全“四标”的整合认证工作, 形成一套有效的一体化管理体系, 给企业带来更大的管理效益与管理效率的提升。

参考文献

企业信息安全风险管理 篇11

关键词：纺织企业 企业信息化 安全管理

一、引言

纺织企业是我国经济快速发展的一个重要的组成部分。我国加入WTO 后，国家对安全生产要求在逐步提高，一方面要求纺织企业变革安全管理理念，另一方面要求提高安全管理的手段。信息化社会的发展必然会导致安全信息管理学在安全科学的领域中占有越来越重要的地位，也必然会导致安全管理信息系统在人类安全系统的管理中发挥越来越重要的作用。单从棉纺织企业拥有丰富的人力资源、资金、材料、设备、生产技术等，如何利用信息技术，有机地结合起来对企业的各种资源，建立一个有效的管理与现代企业管理模式，提高企业管理水平，形成企业的核心竞争力，值得探讨。

二、纺织行业信息化建设与安全管理的必要性

棉纺织业信息系统应该有良好的扩展性。从棉纺织企业特点来看，棉纺织企业为适应市场需要，其产品特征往往表现为棉纱为多种纤维混纺，棉布为多种纱线交织，因此物料属性就显得较为复杂。从棉纺织企业特点可以看出，棉纺织企业生产流程长，制造周期长，以棉纱生产为例，一个棉纱品种少则经过七道工序加工，多则经过九道工序加工，一个棉布品种生产则要经过更多的工序制造才能完成，上道工序的生产计划、半制品质量与下道工序紧密相连。棉纺织企业既有常年生产的大路货，又有市场急需的新品种，换言之，既有订单生产，又有预测生产，即使系统能自动生成，也需要进行人工调整，这就决定了系统应该具备比较好的灵活性，使用户在管理中能以不变应万变。

三、纺织企业安全信息化存在的问题

（一）劳动负荷过重

纺织企业大多是以多机台、多工序、长流程、流水作业及连续性大协作生产方式、轮班工作制进行生产的，一线挡车工大多随机运转，不停穿梭巡回，巡回路线长，且多为手工操作，劳动强度大、工作时间长。企业改制后，较国有体制下，企业用工减少，员工工作负荷进一步加大，特别在起步时期尤为突出。一方面不适当的工作负荷易造成员工反应低下，做事求快，忽视安全操作规程；另一方面，工作时间较前增长，加班加点现象较普遍，员工疲劳度增加，诱发安全事故。部分企业改制后，为了降低用工 （或因生产任务紧），则由四班三运转改为三班三运转，职工没有休息日，有些甚至改为二班硬倒，每班工作十二小时，工作时间延长，且没有休息日，造成员工过度疲劳，甚至带病上岗，引发安全事故。

（二）专业人才缺乏，缺乏系统设计。安全管理信息系统是个专业性管理信息系统，系统的开发、运行和维护都需要相应专业技术和专业人才来支持，企业一般不具备技术能力和人才储备。目前，单一的安全管理信息系统在应用时出现诸多不协调情况，缺乏系统性，如安全教育管理信息系统，危险源安全管理系统等，系统开发作了大量工作，花费了大量的资金，在某个方面取得一定效果，但没有产生系统效益，相反地构筑了一个个信息孤岛，未能实现信息的流通和共享，系统的高效和准确性未得到体现。

（三）安全资源有限，建设投入不足。安全管理信息系统开发和应用是一项涉及面广、周期长、风险大的系统工程，需要投入较大，动用的安全资源多，因此对企业有限的安全资源来说，开发和运行资金保障难以实现 企业基础薄弱，企业信息资源基础不统一，信息采集渠道单一，缺少灵活性，使得信息来源不系统，导致信息流通不畅，使得系统的高效性和准确性难以实现，而且安全信息的采集和录入是涉及到班组等一线员工的基础工作，一线员工对信息处理能力的差异，也影响系统正常运转和功能发挥。

三、纺织企业安全信息化对策建议

在尚未建立信息管理系统的棉纺织企业中，大多都存在着决策时缺乏准确、及时的数据分析依据，部门之间信息冗余、准确性差、不通畅且不能共享、历史数据不易查找等问题。棉纺织行业大都非常重视五项基础管理（俗称五基），即原料、工艺、设备、操作、空调管理。五项基础管理的实质是加强质量控制，降低原材料消耗成本。五项基础管理是棉纺织企业生产有序、高效运行的保证。因此质量控制和成本管理贯穿于整个生产制造的始末，是企业信息化系统的两条主线。

（一）改造设备技术

企业应加快技术改造的步伐，加大对设备的投入，陈旧老化设备应及时更新改造，该报废的必须立即停用；大力推广应用新技术、新工艺、新设备、新材料，改造设备、治理环境，有条件的企业可逐步更新设备或进行系统技术改造，采用自动化、连续化、本质安全程度高的机械设备及设施。对于粉尘浓度高、噪声大或温湿度不符合要求的场所，应重点整治。如通过改造除尘设备、空调设备，装设噪声控制设施，加强管理等措施，为员工提供一个良好的作业。

（二）提高企业安全管理水平

現代的安全管理是以系统论、信息论、控制论和行为科学理论为指导，树立以人为中心的管理思想，综合运用安全系统工程等现代科学的方法和手段，对企业实行全员、全面、全过程、全天候的全安全管理，其主要标志为以人为本的管理理念，系统安全的管理思想，风险控制的管理方法，持续改进的管理模式。企业改制后，实现了产权及职工身份的二个置换，企业在管理体制、人员配置等方面发生了很大变化，可能出现安全管理责任不明、人员不到位、制度不落实的情况，安全生产管理工作应及时调整工作思路和方法，及时建立完善企业安全生产管理体系，建立健全安全管理组织机构，构建新的安全生产责任网络，各项安全管理制度要根据企业的实际情况作相应的修改和完善。要充分调动广大职工的积极性，组织动员职工全员参与安全管理，形成齐抓共管的良好局面。根据安全信息反馈来推进对隐患的不断检查、整改和监控，形成闭环管理，使企业安全管理工作逐步走向科学化、系统化、规范化的道路，力求把纺织企业安全管理从传统的事后追踪转变为事前的预防控制，提高企业安全管理。

参考文献：

[1]叶建宏.纺织企业安全管理与信息化建设研究[J].中小企业管理与科技（下旬刊），2009年01期

浅析电网企业网络信息安全管理 篇12

近几年来, 我国电网企业网络信息发展迅猛, 电网企业信息化基础设施较为完善, 电网企业和其他企业相比信息化程度相对较高, 电网企业各部门人员都使用计算机进行办公。电网企业营销管理系统应用广泛, 我国各地区电网企业都建立了网络信息管理系统, 电网企业业务受理都呈现出信息化特征。随着信息技术的不断提高, 我国电网企业网络管理信息系统逐渐建立起来, 并在一定程度上得到推广, 国家电网企业大力开展网络管理信息系统建设, 在电力生产、电力设备使用、安全监督和电力营销等方面都应用到网络管理信息系统, 电网企业的网络化和信息化增强, 电网企业将网络信息建设和管理放到首位, 旨在通过信息技术推动电网企业的可持续发展。

二、电网企业网络信息安全管理中存在的问题

1.信息化机构建设尚不完善。电网企业网络信息部门没有受到足够的重视, 电网企业信息管理部门没有在企业内部设置专门的信息化机构, 电网企业没有科学合理的信息管理岗位, 电网企业信息管理部门建设落后, 信息化机构建设尚不完善, 电网企业缺乏专业技能良好、综合素质较高的复合型人才。2.电网企业网络信息化管理水平低下。和我国信息技术的发展和应用相比, 国家电网企业网络信息化管理水平相对较低, 电网企业没有对网络信息化管理进行不断优化和革新, 虽然我国很多电网企业都将先进的信息系统和网络管理系统运用到企业运营中, 但是并没有及时对电网企业的网络信息管理模式进行革新和完善, 这就导致网络信息系统不能达到预期的使用效果。

三、加强电网企业网络安全管理的有效措施

1. 重视电网企业网络信息安全规划。

对我国电网企业网络信息进行规划的主要目的是提升网络信息系统的安全性, 对电网企业网络信息系统的安全问题进行全面考虑, 对电网企业网络信息安全进行科学合理的规划, 建立全面统一的网络信息安全管理体系, 能在一定程度上提高电网企业网络信息的安全性。

2. 合理划分网络安全区域。

要对电网企业网络安全区域进行合理划分, 根据电网企业各部分网络信息的安全密级和安全规划对网络安全区域进行科学合理的划分, 通常情况下可以将电网企业网络安全区域划分为三部分, 即重点防范区域、一般防范区域和完全开放区域, 这样才能实现电网企业网络信息的安全管理, 使得个网络区域的工作能够顺利开展。

3. 加强网络信息安全管理和制度建设。

为确保电网企业网络信息的安全性良好, 电网企业应该将网络信息安全管理和相关制度建设当做重点内容, 对电网企业网络信息日志进行严格管理和安全审计, 充分利用防火墙和入侵检测系统的审计功能, 对电网企业网络信息日志进行准确记录。重视并加强电网企业网络信息管理制度建设, 明确电网企业从业人员的职责和义务, 制定网络信息安全事故应急处理程序, 加强电网企业网络信息管理基础设施建设, 确保网络信息系统运行环境良好, 电网企业应该做好防火防水设计, 确保电网企业网络信息系统安全性能良好, 运行可靠。

4. 加强电网企业网络信息管理人员的综合培训。

电网企业网络信息管理人员的专业水平和综合素质对网络信息安全具有极大的影响, 电网企业必须重视并加强网络信息管理人员的综合培训, 提高网络信息高级管理人员的综合能力, 使其了解网络信息安全管理的策略及目标, 制定科学合理的电网企业网络安全管理制度。加强网络信息系统安全运行管理和维护人员综合能力的培训, 使其能够充分理解电网企业网络信息安全管理策略, 掌握网络信息系统安全操作和维护技术。让网络信息管理人员充分了解网络信息安全操作流程, 获得全面的电网企业网络信息安全知识, 提高网络信息管理人员的安全意识和技能, 确保网络信息管理人员专业水平较高, 综合素质良好, 使其在电网企业网络信息系统运行、管理和维护上充分发挥自己的职能。

总结:随着信息技术的快速发展, 电网企业信息化成为一种必然的发展趋势, 电网企业在电力生产和运营的过程中只有做好网络信息安全管理工作, 在不断的实践过程中发现电网企业网络安全管理中存在的问题, 探索出加强电网企业网络信息安全管理的有效措施, 才能实现电网企业的可持续发展。

摘要：随着信息技术的不断发展和优化, 信息技术被广泛应用到人们生活的各个领域, 电网企业运营的过程中也应用到了信息技术, 能在一定程度上确保电网企业安全运营, 现阶段电网信息安全成为影响电网企业电力安全生产的一个重要因素, 只有加强电网企业网络安全管理, 才能实现电网企业电力安全生产。本文简要叙述了我国电网企业网络信息发展现状, 分析了电网企业网络信息安全管理中存在的问题, 并总结出加强电网企业网络安全管理的有效措施。

关键词：信息技术,电网企业,网络信息,安全管理

参考文献

[1]朱贵强.论企业网络信息安全管理[J].中国科教博览, 2005, (6) .

[2]闫斌, 曲俊华, 齐林海.电力企业网络信息安全系统建设方案的研究[J].现代电力, 2003, (1) .

[3]郭护林.企业网络信息安全分析[J].西北电力技术, 2002, (6) .