公司信息安全管理体系范文
发布时间:2023-10-09 17:41:58
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇公司信息安全管理体系范例,将为您的写作提供有力的支持和灵感!
篇1
思想是行动的先导。在煤矿安全事故中,绝大部分是由当事人违章造成。然而,这些“违章”行为背后,一定存在着不科学、不健康的思想意识。这种思想意识就是安全的第一隐患,是安全“三违”行为内因。而安全设施、安全质量、安全制度、安全教育、安全环境等等管理行为才是“三违”的外因。外因作用于内因才导致“三违”行为和安全事故的发生。从这个角度看,不健康的思想意识也是安全隐患。根据辩证唯物主义理论,思想意识是人大脑对外部客观世界反映。外部世界又是以各种“信息”的形式,通过人的感觉器官系统,传递到大脑皮层,经过自己不同的分析处理,形成人的不同思想意识。
由此可知,煤矿安全隐患中应包括“思想安全隐患”。“思想安全隐患”的排查、处理,思想意识的改变,也具有“信息”特点,遵循“信息”的性质和规律。按照《信息论》的理论,用信息化形式,解决、处理职工的“思想安全隐患”,就成了安全生产中思想政治工作科学化的一种新的模式。
基于这样的认识,陶二煤矿党委提出了构建基于安全事故“双分析”基础上的思想政治工作信息化科学管理新体系。
二、遵循信息处理四个机制,构建了思想政治工作信息化管理体系
思想政治工作本身也是一门科学和专业。陶二煤矿党委利用思想政治工作信息化特性,根据思想政治工作独有的特点和规律,创建了科学的思想政治工作信息化体系。
(一)建立了安全思想信息搜集机制。搜集机制就是对职工日常和安全生产中思想信息进行动态收集,查出思想安全隐患。一是日常安全思想信息的收集。陶二煤在班组建立政工员制度,实行职工24小时思想、现场双掌控。就是对职工班前、班中、班后进行环境安全和思想安全双确认,八小时以外实行家属信息反馈,配合管理人员定期调研、职工来访接待、谈心交流等措施,把职工思想上安全隐患信息及时收集、掌握。二是重点安全思想信息的收集。实行了“安全事故双分析、双报告”制度,就是对一起安全事故,既要进行安全责任分析,又要进行思想隐患分析,既要提交安全事故分析报告,又要撰写思想政治工作分析报告,反向挖掘职工思想安全隐患。
(二)建立了安全思想信息分析处理机制。就是对职工思想上存在的不安全思想意识进行归类,有针对性制度改进措施和方案。面对职工思想存在问题,如何解决。必须建立科学分析研究机制。陶二矿设立了创新工作室,就是针对职工思想动态方面存在问题,进行分析研究,提出改进措施。参加人员主要有党委书记、安全矿长、政工部门管理人员和安全监察人员。如针对职工心理压力比较大,提出了“把脉、疏通、解忧、呵护”四项环节十六种心理疏导方法。针对罐车落道事故,分析主要原因是道轨铺设不合格,铺设不合格的原因是施工人员不知道道轨铺设标准,职工施工不合格主要是验收人员监督不到位,监督不到位的原因是检查员标准不熟悉,最后是培训体系不健全。为此,陶二煤矿从源头抓起,完善了职工培训、考核机制。从根本上解决罐车落道事故。
(三)安全思想教育方案实施机制。就是制定好思想政治工作实施方案之后,按照质量体系“凡事必规定、规定必执行、执行必记录、记录必检查、检查必纠错、纠错必验证”要求,组织实施。实行“目标日历双促法”,即每一天需要完成的工作量进行提前标记,上级可以督促下级,下级也可督促上级,从而保证工作如期开展。在执行过程中,认真做好记录和归档工作。实施“红、黄、绿、青、蓝”档案管理。即安排看策划,过程看记录、活动看照片、考核看奖罚、效果看总结。保证每一项活动完整,有效。
如我们在开展百日万人解放思想大讨论活动,做到安排有文件、学习有记录、活动有照片、考核有奖罚、效果有评估。从而保证通过活动,起到解放干部职工思想观念的目的。
(四)信息化思想教育评估提高机制。就是对思想政治工作进行科学评估,针对存在问题进行改进提高。开展思想政治工作后,效果怎么样,必须进行评估。否则,容易出现两张皮现象。比如,有一次我们到区队对职工进行安全事故案例警示教育,一些事故亲历者讲的非常动情、感人。但效果怎么样,我们进行了评估。主要方法,就是走访职工和让职工填写调查问卷。结果,很大一部分职工说,讲的不错,但我们刚上井,最需要的就是休息。休息好是安全的最好保证。从而也告诉我们,开展教育活动,不能影响到职工休息,进行硬性灌输。
三、坚持思想政治工作信息化管理,收到显著效果
思想政治工作信息化管理体系有效运行,提高了思想政治工作效率、增强了思想政治工作针对性、实现了思想政治工作与安全生产有机融合、有效消除了安全思想隐患、促进了企业安全生产和科学、和谐、健康发展。
(一)丰富安全管理理念,实现思想政治工作与安全生产的有机融合。把职工思想安全隐患明确列入安全管理隐患管理之中,对其排查解决,消除了安全事故的主观因素。同时,与安全生产相结合,提高思想政治工作在安全生产中重要地位,为全面开展思想政治工作创造了良好条件。陶二矿在每个班组设立政工员、纪检监督员、心理咨询员等政工工作人员,不仅得到了行政认可,也受到了职工的欢迎。
(二)增强安全思想政治工作的针对性、提高了工作效率。特别是通过“安全事故双分析、双报告”制度,查出思想政治工作薄弱环节,使思想政治工作由按照理念灌输,变为针对性开展工作,提高了工作效率。如一次放炮员装好炮后,由于生产原因不能拉炮。该放炮员没有交接班,直接升井。严重违反了安全规程,按“三违”进行了处理。经过“双分析”,主要原因还是职工存在侥幸心理。而造成侥幸心理原因有三个方面:一是日常检查不细致不全面,不能实现违规必纠。二是处理不到位。使侥幸心理存在的“成本”较低。三是教育不到位,责任心不强。从而制订了加强安监员培训、加大严重“三违”处理力度和增强警示教育覆盖面等措施,有针对性地解决。
(三)科学构建信息化闭合管理体系,实现安全思想政治工作规范化管理。日常思想政治工作往往说教多、活动多、学习多,只是进行普遍思想教育。实行思想政治信息化,则把思想工作从针对的问题和对象、制定科学方案、严格组织实施到思想教育效果评估,形成了一个完整的体系、实现了过程控制、形成了管理的闭合循环,使思想政治工作实现程序化、规范化,甚至标准化。
篇2
Based on the New ISO27000 to the Understanding of the Software Industry, Information Security
Wen Yan-ge Chen Wen-e Wang Gang
(Tianjin University of Commerce Tianjin 300134)
【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry, good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.
【 Keywords 】 the new iso27000; software industry; information security management system; the pdca model
1 引言
如今随着信息化的步伐日益加速以及信息相关技术的飞猛发展,信息资源也日渐成为所有企业维持正常运转的重要资源。信息以及载体信息系统、网络等已经成为了企业生存和发展的重要资产。然而企业的信息安全和数据泄露仍然是企业管理者关注的主要问题之一。大部分企业基于企业实际情况,通过引入国际信息安全管理体系IS027000以及通过最佳的业务实践,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(即ISMS),实现对信息安全的预控、在控、可控、能控。
而随着2013年的ISO27000的改版,各行各业势必会根据自身信息安全的情况对信息安全体系作出调整。本文将针对软件行业在调整下的信息安全管理体系下,如何更好地保持和改进信息安全体系作出解读,使企业更好地依据标准体系和方法论,制定出符合企业长久发展的信息安全管理体系。
2 ISO标准
2.1 ISO标准及变化
ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理体系基础和术语,ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。最新版本于2013年9月25日。
相对于2005版,新版本对于ISMS建立的基础进行了调整和明确,相较于2005年版本以资产和技术为主题,新版标准则把更多的目光投向组织业务关系,更多地考虑到组织自身及利益相关方的需求,这也是时展的整体趋势。新版控制措施ISO27002从旧版的11个领域更新为14个领域,删除了旧版中一些重复的和操作级的控制项。具体是旧版通信与操作管理被划分成为两个独立的领域操作安全和通信安全,足以见新版对这两个领域的重视;新增密码学和供应关系两个独立领域。新版ISO27001将旧版中4.1章节即有关建立和管理ISMS的总要求独立成出来;为了使逻辑性更加严谨,人力资源安全、资产管理以及访问控制位置发生一定改变;从章节上讲,由8个章节拓展到10个章节,重新构建了ISO标准PDCA的章节构架。
2.2 关于PDCA模型
此处对于PDCA模型以及新版标准的划分做一简单说明:PDCA模式是国际认可的模型,很多著名的标准和管理体系都遵循这一模式。该模型是一个很好的周期性框架,每个阶段都与其他阶段相关联。
PDCA模型分别由四部分组成:P(Plan)――建立ISMS, 根据组织的整体策略和目标,确定活动的计划,包括第四至七章(组织背景、领导力、计划、支持);D(Do)――实施和运作ISMS,实际地去完成计划中的内容,包括第八章(运行);C(Check)――监视和评审ISMS,总结实施和运作的结果,查找问题,包括第九章(绩效评价);A(Action)――保持和改进ISMS,对评审的结果做出处理,成功的经验要进行保持和推广,失败的教训要寻找原因,避免下次再出现同样的错误,没有解决的问题放到下一个PDCA循环中,包括第十章(改进)。
PDCA模型是管理学中常用的一个模型。该模型在运作过程中,按照P-D-C-A 的顺序依次进行,一次完整的循环可以看作是管理学上的一个管理周期,每经过一次循环,管理情况就会得到改善,同时进入更高的P-D-C-A周期循环,组织的管理体系不断的得到提升,管理水平也不断提高。而这四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。
新的内容将使企业的侧重点不同,从上面的论述中明显可以看出新标准在企业建立信息安全体系之前加重了对企业内外环境信息安全的重视,在构建信息安全体系之前需要企业全方位考虑其组织环境、企业资源、管理现状,了解其发展所面临的机遇与风险,从而高标准、高精度、高要求来对待信息安全管理工作。
对于软件行业来说,信息安全体系已初步建立和实施,主要是监视评审并持续改进自身信息安全体系的工作――PDCA模型的C和A。
3 软件行业信息安全现状及新标准变化下应对策略
软件行业是对信息安全要求最高的行业,也是企业引入国际信息安全管理体系IS027000通过认证最多的行业。前面已经提到,软件行业已经初步建立和实施自己的信息安全体系,面对新版ISO27000的要求,大刀阔斧地重新开始构建体系势必会给企业带来大的浪费和困扰。因此,在新的要求下如何监视并改进ISMS是软件行业中企业面临的最大的问题。ISO27001新标准中把旧版4.1独立成章作为建立体系之前的组织环境的了解,将原来的领导力、可实现信息安全的计划、资源等的支持都放入构建ISMS之前,也就是说软件行业在监控并改进信息安全管理体系上要从这些方面完善自身。而这些方面在其信息安全管理措施上简单归纳为两个方面:管理和技术。企业需要通过管理和技术的双方面进行控制和管理来改善信息安全体系。
3.1 管理角度分析
从管理角度考虑,企业信息安全管理体系中所需采取的安全管理方面的措施主要包括物理安全管理、数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理,通过对风险的技术性控制和管理的实施、部署后,在风险控制管理中能保证防御大量存在的威胁,技术性的控制管理手段不仅包括从简单直至复杂的各种具体的技术手段,还包括系统架构、系统培训以及一系列的软件、硬件的安全设备,这些措施和方式应该配套使用,从而保护关键数据、敏感信息及信息系统的功能。而这些也是ISO27001中第四章组织的背景、第五章领导力、第六章计划、第七章支持对企业的具体要求。
主要管理措施可以从几个方面出发。
(1)建立信息安全管理体系监督机制、在体系运行期间,要进行有效的检查、监督、反馈和沟通,保证信息安全管理体系能够按照公司制订的方针策略,满足公司业务的需求。
(2)根据企业自身的特点,制订可行的奖惩制度,将信息安全的管理纳入到绩效考核,直接与工作和奖金挂钩,将对违反信息安全管理体系规定进行惩罚。
(3)建立内部审核制度,各部门应按照信息安全管理体系的要求,进行自查和由负责部门进行随时抽查,并在每年定期组织检查,对表现好的单位给予嘉奖,同时对违反的单位进行惩罚,并进行公示;同时对信息安全审计、安全事件处理和外部组织进行反馈沟通,检查信息安全管理体系的有效性和合理性。
(4)考虑组织和技术等的变化对信息安全管理体系的影响,应实时更新相关的规章制度,具体变化情况如:组织变化、技术变革、业务目标流程的改变、新的威胁和风险点的出现、法律法规的变化等;通过不断的优化和改善,使信息安全管理体系能够永远适合企业业务的需要。
3.2 技术角度分析
新版ISO270002控制措施中新增和调整了一些措施,涉及信息系统开发、信息安全事件管理、业务连续性管理等部分,这些要求对软件行业中企业的具体实行至关重要。从技术角度考虑,软件行业企业信息安全管理体系中所需采取的安全技术体系包括几个方面。
3.2.1物理环境安全信息系统硬件安全
这是无论旧版控制措施还是新版都没有丝毫改变的控制项,也是软件行业中企业应加强管理的基础。在公司的信息系统硬件管理上,首先对机房的硬件环境进行安全管理,包括温度、湿度、消防、电力等安全管理,对关键的应用需要采取UPS供电,同时采取相应的备份,对硬件的使用率进行实时地监控,避免硬件的使用率过高造成业务持续性的影响,另外需要对硬件的物理环境进行监控,避免非法人员的进入,同时也是对管理员的日常行动进行监控,最后需要对机房人员和物品的出入进行权限的管理和等级制度。
3.2.2操作系统与应用程序安全
这是新版控制措施新增的安全开发策略和系统开发程序等对企业新的要求,保证操作系统与应用程序的安全会保护企业在系统开发和集成工作的安全开发环境,使企业整个开发周期安全。
(1) 操作系统安全。除了进行必要的补丁和漏洞的管理和更新外,最主要的是进行防病毒管理,通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响;应用程序安全――直接关系信息系统的安全性,通过硬件、软件的安全保护来保证应用程序的安全。
(2) 密码算法技术。密码学在新版控制措施中独立成为一个领域,这就是企业必须要引起重视的理由,密码算法技术,密码算法技术应用主要是确保信息在传送的过程中不被非法的人员窃取、篡改和利用,同时接收方能够完整无误的解读发送者发送的原始信息。
(3) 安全传输技术与安全协议技术。这是针对新增供应关系领域企业需要加强的技术。为减缓供应商以及其他用户访问企业资产带来的风险,对于重要的系统和对外的访问,进行安全的传输技术,以此来保证信息在传输过程中的安全,避免被非法用户窃取、篡改和利用。
(4) 安全协议技术。主要是指身份认证功能,目前企业系统的安全保护主要都是依赖于操作系统的安全,这样入侵系统就非常容易,因此需要建立一套完善的身份认证系统,其目的是保证信息系统能确认系统访问者的真正身份,身份认证协议都是使用数据加密或数字签名等方法来确认消息发送方的身份。
(5) 信息处理设备冗余部署。这在新版控制措施第十七章信息安全方面的业务连续性管理中作为新增的控制措施,要求企业识别信息系统可用性的业务需求,如果现有系统框架不能保证可用性,应该考虑冗余组建或架构。在适当情况下,对冗余信息系统进行测试,保证在发生故障时可以从一个组件顺利切换到另外一个组件。
4 结束语
信息安全管理体系的建设改进工作是持续进行的,是会随着公司业务的发展、技术的更新、以及新标准的要求等不断变化的。它需要采用科学的方法来保证体系的持续稳定运行,从而使信息安全管理体系化、常态化的保持下去。而新版ISO27000在信息安全体系的工作上,使各行各业都有了新的指导。本文主要针对软件行业做出一定解读。总体来讲,我们需要对己经建立的信息安全管理体系进行监督、完善、优化,这实际上还是要求企业贯彻执行PDCA模型,无论从管理还是具体操作上不断进行PDCA循环,才能使得企业信息安全管理体系不断改进和优化。
参考文献
[1] 高仁斗.企业安全工作中存在的问题与对策[J].中国职业安全卫生管理体系认证,2004(05).
[2] 蒋永康,朱冬林,潘丰.我国中小企业法律法规体系建设现状及对策[J].管理工程师,2012(06).
[3] 杨爱民.电子商务安全的现状及对策探讨[J].科技资讯,2006.6.
作者简介:
篇3
一、电信企业信息管理的现状与作用
(一)电信企业信息管理体系的现状
随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。
(二)企业信息安全管理的作用
信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。
二、电信企业信息管理建设的有效方法
(一)制定有效的信息管理计划
在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。
(二)电信企业信息管理建设的范围
对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。
(三)建立企业信息管理框架
对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。
三、结束语
综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。
参考文献:
[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014
篇4
(一)物理存在的风险机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求[2]。
二、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制[3]。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
三、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
篇5
在此背景下,国航与IBM公司合作启动了信息安全规划咨询项目,它旨在为国航信息安全体系建设打下坚实的理论基础。同时,国航也通过该项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,并最终于2009年5月26日通过了ISO27001信息安全管理体系国际认证,使国航成为国内民航业第一家获得IS027001国际认证的单位。
与飞行安全一样重要
由于信息化建设已经深入到国航业务的各个角落,所以,几乎所有业务都与信息技术相关,特别是涉及到客户信任度的商务及财务方面更是如此。因此,在国航未来的发展战略中,信息安全已经占据了越来越重要的位置。现在,公司上下已经形成一个共识:打造信息安全管理体系这张保护网,就像确保飞行安全一样重要。
基于这样一个共识,我们从国航的业务愿景出发,引导出了国航的信息安全愿景,即国航需要建立起一个成熟的、具备国际水平的信息安全保障体系,这个保障体系第一要保证国航的核心业务不中断,第二要保障国航信息系统不被攻击,第三要保障重要的客户信息不被泄漏,通过一个全方位的安全保障体系为国航的业务愿景保驾护航。
虽然现在已获得了ISO27001国际认证,但国航的信息安全建设经历了一个漫长的过程,大致可以分为四个阶段:
第一个阶段是在2006年以前,当时信息系统对于国航的支撑力度相对有限,同时从整个业界来看,的安全威胁还不是很明显,所以,信息安全建设的特点是以零星建设和被动建设为主。
第二个阶段是2007~2008年,随着国航核心系统逐步投入运行,以及北京奥运会的临近,的安全风险不断增加,这是,国航开始针对性地对重点领域搭建技术防护措施。
第三个阶段是从2008年开始,随着国航对自身信息安全认识的不断深入,国航按照Is02700 L的标准,建立起了信息安全的管理体系。同时,还启动了全面的信息系统战略规划,根据国际最佳实践并结合国航的特色,制定了未来3~5年信息安全技术平台建设的蓝图和路径。自此,国航整个信息安全建设有了一个更加科学和更加明细的路线图。
搭建“安全翘翘板”
整体而言,国航的信息安全体系主要是以IT基础架构和安全技术架构为基础,通过信息安全组织与人员对业务逻辑的准确理解和制度流程的有效执行,实现完整的信息安全管理过程。
应该说,信息安全体系是一个非常复杂的体系。业界有个说法叫“安全翘翘板”,这个翘翘板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,通过这三方面的有效执行,从而构成信息安全体系。另外,还要加上安全的管理架构和技术架构,最后和业务逻辑结合起来,这样才能构成一个完整的信息安全体系。
目前,依据ISO27001标准,国航建立了包含三个一级方针,三十一个二级规章的信息安全管理策略体系。通过信息安全管理策略体系的建立、北京奥运会期间的整改措施以及1S02700I外审督促,国航的管理体系评测水平不断提升,其中体系评价范围从运行维护中心到全信息管理部,IS027001中要求的十一个领域都有大幅提高。
在技术平台建设方面,国航针对一些紧迫性问题做了针对性的部署。比如网络安全架构不清晰、来自互联网的威胁日益增加、防护能力偏弱、用户行为控制存在漏洞、系统服务器安全性不足等问题,国航不但划分了安全领域,还部署了防DOS攻击、入侵检测、入侵防御等设备,另外,在重点用户单位引入终端安全管理,利用弱点扫描工具发现系统漏洞等技术措施,配合各项管理措施,很好地完成了北京奥运信息安全保障工作。
在信息安全管理体系建立过程中,国航还特别成立了公司级的信息安全管理委员会,落实了信息安全管控中心职能,借鉴国际最佳实践的功能划分,采用两级管控机制,在对组织机构不做大调整的情况下落实了安全管理责任。
国航ISO27001信息安全管理体系策略文件于2008年底正式,并组织了近200人次的信息安全培训,采用自评结合复核为主的审查方式定期对体系文件的贯彻和执行情况进行了解。通过内部认证培训,培养了专兼职质量安全员34人,以承担未来各部门的安全内审职责。
纳入安全运行标准体系
正如国航副总裁贺利所说,通过ISO27001国际认证,并不代表国航的信息安全工作已经做到位,而是意味着信息安全工作开始起步,后面需要完善的工作还有很多。
因此接下来,国航首先将不断对现有管理体系的操作细则进行完善,进一步细化信息安全管理域成熟等级评价机制,在IBM公司提出的四级评价基础上,针对国航实际情况再进行细分,持续强化规章的定期评审机制,同时要求所有部分在编写自身业务指导书时落实信息安全规章。
另外,信息管理郝还将和国航相关部门一起建立基于岗位信息资源的管控机制。以后国航每一个岗位上的工作人员,可以访问什么样的内容,能够访问多大的资源,都和岗位密切结合起来,这样就能使信息安全的控制预先做好相应的防控。
