企業(yè)信息安全保障篇1
【關(guān)鍵詞】 電力施工 信息系統(tǒng) 安全
筆者就職于四川電力建設(shè)三公司(以下簡稱為“公司”),從事企業(yè)信息化管理工作。四川電力建設(shè)三公司是一家典型的電力施工企業(yè),擁有眾多的施工項目,分散在國內(nèi)外各地。隨著信息技術(shù)的飛速發(fā)展,公司也緊跟時代的腳步,開發(fā)并使用了一系列信息系統(tǒng),包括公司OA辦公系統(tǒng)、數(shù)據(jù)報表系統(tǒng)、人事管理系統(tǒng)、財務(wù)資金管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、郵件系統(tǒng)等。由于公司是一家大型電力施工企業(yè),主營業(yè)務(wù)為電源建設(shè),項目投資金額大、項目周期長、生產(chǎn)環(huán)節(jié)繁雜、參與人員較多,因此信息系統(tǒng)的數(shù)據(jù)流鏈條較長、信息采集點較多,且包含大量公司商業(yè)秘密,信息系統(tǒng)的安全保障是公司異常關(guān)注的重點工作。本人在多年的工作實踐中,積累了一定的信息系統(tǒng)保障工作經(jīng)驗,現(xiàn)對此項工作進行全面總結(jié)。信息系統(tǒng)安全保障工作,從宏觀角度可以分為信息安全管理體系建設(shè)、信息安全組織與管理、信息安全法規(guī)與標(biāo)準化工作、信息安全技術(shù)工程幾個方面。
信息安全體系建設(shè)主要指信息安全管理體系ISMS的建立與運行。信息安全管理體系ISMS是目前國際上使用較廣泛的信息安全管理方法,其認證標(biāo)準對企業(yè)進行信息安全保障工作具有較強的指導(dǎo)意義。公司作為一家大型電力施工企業(yè),未雨綢繆,在本世紀初就開始了相關(guān)的體系建設(shè)工作。信息安全管理體系ISMS的相關(guān)標(biāo)準有ISO/IEC27001和GB/ T22080,主要有規(guī)劃建立、實施運行、監(jiān)視評審、保持改進四個過程。
1、在規(guī)劃建立階段,公司參照國際國內(nèi)先進企業(yè)經(jīng)驗,確定了公司ISMS組織結(jié)構(gòu)范圍、業(yè)務(wù)范圍、信息系統(tǒng)范圍和物理范圍,制訂了ISMS方針,確定了風(fēng)險評估方法。2、在實施運行階段,公司制定了風(fēng)險處理計劃、實施風(fēng)險處理計劃、開發(fā)有效測量程序、實施培訓(xùn)和意識教育計劃、管理ISMS運行。其中,工作重點是對具體風(fēng)險的有效應(yīng)對與控制。公司針對面臨的各項風(fēng)險制定了專門的風(fēng)險管理計劃,對每一項風(fēng)險的處理優(yōu)先順序、處理措施、所需資源、責(zé)任人、驗證方式進行了詳細定義,確保風(fēng)險管理的可執(zhí)行性。3、在監(jiān)視評審階段,公司通過日常監(jiān)視與檢查、內(nèi)部審核、風(fēng)險評估、管理評審等活動確保整體監(jiān)控水平。4、保持改進階段,公司主要活動為實施糾正和預(yù)防措施,消除各個管理不符合項,確保在發(fā)生信息安全事件時,能夠從容應(yīng)對、科學(xué)分析,并采取最優(yōu)的處理措施。
信息安全組織與管理是對公司信息系統(tǒng)參與者的針對性管理,主要分為內(nèi)部組織管理與外部管理兩個方面。其中,內(nèi)部組織管理是該項工作的核心。公司的信息系統(tǒng)由于信息采集點較為分散,信息傳送路徑較長,因此信息安全的潛在威脅也較大。如何保證信息系統(tǒng)中大量的商業(yè)秘密數(shù)據(jù)不被泄漏、不被竊取、不被篡改,是公司信息安全組織管理的核心目標(biāo)。為此,公司進行了業(yè)務(wù)梳理,將各項數(shù)據(jù)的報送流程進行了明確規(guī)定,將數(shù)據(jù)的處理權(quán)限同公司組織架構(gòu)有效結(jié)合、綜合考慮,做好了合理分配。比如,工程進度報表,就被限定了填報人員為各項目部工程部進度管理專責(zé)人員,審核者被限定為各項目部工程部經(jīng)理,簽發(fā)者為各項目部項目經(jīng)理,匯總者為公司總部工程管理專責(zé)。這樣,不管具體人員如何變動,信息處理參與者都只與限定的崗位有關(guān)聯(lián),確保了數(shù)據(jù)信息的保密性、可用性和有效性。信息安全法規(guī)與標(biāo)準化工作對于信息系統(tǒng)安全保障具有較大的指導(dǎo)意義。只有嚴格遵從國家信息安全法律法規(guī)、行業(yè)規(guī)定及相關(guān)標(biāo)準,才能確保企業(yè)信息安全保障工作有法可依、有章可循。我國相關(guān)的法律法規(guī)有《中華人民共和國保守國家秘密法》、《計算機信息系統(tǒng)安全保護條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《信息安全等級保護管理辦法》、《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》、《計算機病毒防治管理辦法》、《電子簽名法》等。我國制定的信息安全相關(guān)標(biāo)準有GB 17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》、GB/T 25058-2010《信息系統(tǒng)安全等級保護實施指南》、GB/ T 20269-2006《信息系統(tǒng)安全管理要求》、GB/T 21052-2007《信息系統(tǒng)物理安全技術(shù)要求》等。這些標(biāo)準從工作、管理、技術(shù)方面對企業(yè)信息安全保護活動進行了標(biāo)準化約束,為公司進行信息系統(tǒng)安全保護工作提供了文件支持。
信息安全技術(shù)工程是公司進行信息系統(tǒng)安全保障工作的基礎(chǔ)性活動。也是公司信息系統(tǒng)安全保障工作的具體落腳點,其實施效果的好壞直接關(guān)系到公司信息系統(tǒng)安全保障工作的最終效果。公司將該項活動分為了訪問鑒別技術(shù)、操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)等幾個方面,逐一落實。其中,訪問鑒別技術(shù),主要根據(jù)信息系統(tǒng)的重要性和角色權(quán)限的分配,使用了諸如口令加密技術(shù)、密碼工具、數(shù)字證書技術(shù)。比如,對于一般的信息系統(tǒng)及普通用戶,公司對密碼口令進行了一定的復(fù)雜性設(shè)置,確保難以被暴力破解。而對于重要信息系統(tǒng)及重要用戶角色,則配備了密碼加密狗,保證身份鑒別有效性。公司機關(guān)局域網(wǎng)統(tǒng)一配備了安全防護軟件,實行統(tǒng)一后臺管理,確保操作系統(tǒng)的運行安全。為了應(yīng)對DDOS攻擊、SQL注入攻擊,公司為數(shù)據(jù)庫與網(wǎng)絡(luò)區(qū)域邊界配備了新型防火墻及防篡改系統(tǒng),并針對異常流量部署了安全防護策略,最大限度保證數(shù)據(jù)環(huán)境安全。
企業(yè)信息安全保障篇2
科華恒盛在通信行業(yè)擁有良好的口碑和品牌影響力,其“智慧電能”解決方案滿足了國內(nèi)眾多廣電企業(yè)對網(wǎng)絡(luò)電視、廣播信號維持穩(wěn)定和安全運行的需求。
“無線一張網(wǎng)”的優(yōu)秀后“源”
2010年,廣西壯族自治區(qū)通過自主研發(fā),建成了廣西全省(區(qū))廣播電視無線發(fā)射臺站運行支撐管理監(jiān)控平臺,實現(xiàn)了自動化和智能化遠程管理,形成了全區(qū)廣播電視“無線一張網(wǎng)”的格局,在全國率先實現(xiàn)了全?。▍^(qū))無線發(fā)射臺站“有人留守,無人值班”管理方式,大大減輕了臺站人員的勞動強度,提高了員工的工作效率。
前衛(wèi)的管理模式對發(fā)射臺后備電力的穩(wěn)定和可靠性提出了嚴苛要求。自2010年第一次與廣西廣電完成項目合作,科華恒盛先后集中優(yōu)勢資源,充分發(fā)揮其在廣電信息領(lǐng)域具有多年的經(jīng)驗優(yōu)勢,配合項目方多次完成產(chǎn)品應(yīng)用現(xiàn)場勘查、模擬實際運行、運行障礙分析等。截至2013年,為保障廣西全?。▍^(qū))廣播電視無線發(fā)射臺站運行支撐管理監(jiān)控平臺的穩(wěn)定運行,科華恒盛已為廣西廣電定向研發(fā)制造不間斷電源數(shù)百臺。除無線發(fā)射平臺外,科華恒盛高端電源解決方案還先后在全區(qū)100多座廣播電視“村村通”無線覆蓋臺站投入應(yīng)用。
靠豐富產(chǎn)品和周到服務(wù)取勝
在科華恒盛為廣西廣電提供的高端電源配套產(chǎn)品中,F(xiàn)R-UK系列UPS作為公司的拳頭產(chǎn)品(全功率段)暢銷多年,具有可靠性高、性能強大等特點。
在高端中大功率市場,科華恒盛還會根據(jù)項目方的不同需求,進行具體產(chǎn)品型號的差異性匹配,從而打造配套解決方案。在廣西、安徽、海南等地廣電項目中,科華恒盛技術(shù)團隊考慮到產(chǎn)品的不同使用環(huán)境、不同負載、不同后臺(包括終端)管理模式,為用戶設(shè)計了不同的方案,保證了產(chǎn)品在不同使用環(huán)境中可以發(fā)揮極大功效,以保證各級廣電設(shè)備的安全運行。
科華恒盛近年來還推出通信用DXB系列在線式通信電源,為廣電交互式數(shù)字電視等多個業(yè)務(wù)平臺的程控交換提供了周全的電力保護。
在服務(wù)端,科華恒盛始終堅持“主動服務(wù)、用戶至上”的服務(wù)理念??迫A恒盛在全國建立了9大技術(shù)服務(wù)中心、46個直屬服務(wù)網(wǎng)點,還配備了由150余位技術(shù)工程師組成專業(yè)服務(wù)團隊,為用戶提供高效的技術(shù)支持、售后服務(wù)及物流配送??迫A恒盛新型的3A服務(wù),已從傳統(tǒng)的應(yīng)急維修支持轉(zhuǎn)變?yōu)橐灶A(yù)防為主的維護的服務(wù)模式,滿足用戶多層面?zhèn)€性化服務(wù)需求。
企業(yè)信息安全保障篇3
關(guān)鍵詞:信息安全;企業(yè)管理;經(jīng)濟
信息管理高效的經(jīng)濟信息管理是企業(yè)不斷發(fā)展的重要保障,而要想實現(xiàn)高效的信息管理,對信息安全性的管理與控制是十分重要的一個因素。近年來,隨著科技與管理理念的不斷豐富,對信息管理中的信息安全性控制也在不斷強化并起到了一定的作用。但是,由于企業(yè)信息管理涉及的因素較多,導(dǎo)致目前仍舊存在一定的安全隱患。因此,有必要對企業(yè)的經(jīng)濟信息管理中的信息安全進行分析與探討。
一、企業(yè)經(jīng)濟信息管理的信息安全存在的問題
(一)企業(yè)管理力度不足
企業(yè)管理力度不足是信息管理目前存在的普遍問題,也是導(dǎo)致企業(yè)信息管理存在安全隱患的主要原因之一。一方面,部分企業(yè)將管理重點放在了人員管理與財務(wù)控制方面,忽視了對經(jīng)濟信息安全的管理與控制;另一方面,部分企業(yè)的管理人員由于專業(yè)素質(zhì)與工作經(jīng)驗的缺乏,對信息安全管理沒有采取科學(xué)的方式方法,導(dǎo)致信息安全管理難以充分發(fā)揮其作用與價值,進而導(dǎo)致信息管理存在一定的安全隱患。總之,管理人員與管理制度是導(dǎo)致企業(yè)管理力度不足的重要因素。
(二)缺乏總體規(guī)劃
在企業(yè)管理中,對經(jīng)濟信息的管理涉及到許多因素,所以高效的管理需要一個科學(xué)的總體規(guī)劃。對于企業(yè)來說,經(jīng)濟信息管理不是單個部門或人員的工作,而是需要整個企業(yè)人員都具有信息保護的意識。但在實際工作中,由于工作內(nèi)容具有一定的差異性或工作重點不同等原因,使得不同的員工與信息安全的意識程度不同,所以管理效果也難以達到最佳狀態(tài)??紤]到這些問題,企業(yè)在進行經(jīng)濟信息管理時就需要制定一個整體規(guī)劃,但許多企業(yè)在這方面的工作力度仍有不足。(三)對信息安全不夠重視隨著我國經(jīng)濟的不斷發(fā)展,市場競爭也越來越激烈,此時保證企業(yè)的經(jīng)濟信息安全是管理中十分重要的一部分。但是,在實際競爭中,許多企業(yè)對經(jīng)濟信息的安全保障意識不夠強烈。只是單一的對市場信息進行分析,而沒有完善的管理系統(tǒng),難免會導(dǎo)致信息儲存或管理出現(xiàn)一定的問題,甚至造成企業(yè)關(guān)鍵經(jīng)濟信息的泄露,給企業(yè)發(fā)展帶來不可挽回的損失。另外,信息管理中管理人員作用的發(fā)揮也非常重要。部分企業(yè)沒有重視到這一點,管理人員的管理能力提升速度較慢,導(dǎo)致安全隱患的存在。
二、對企業(yè)信息管理安全產(chǎn)生影響的主要因素分析
(一)環(huán)境因素的影響
由于市場競爭比較激烈,許多企業(yè)將管理重心放在了市場拓展與產(chǎn)品優(yōu)化等方面,出現(xiàn)了先重視產(chǎn)品與業(yè)務(wù),再考慮信息安全的現(xiàn)象,導(dǎo)致信息安全管理滯后于業(yè)務(wù)的進行,產(chǎn)生一定的安全隱患。這是外部環(huán)境的影響,內(nèi)部環(huán)境對企業(yè)的信息管理也有著一定的影響。企業(yè)的業(yè)務(wù)流程對信息管理體系的設(shè)置與實施有著一定的影響。此外,部分企業(yè)雖然重視對信息安全的管理,但由于防范體系的不夠完善等原因,使得安全責(zé)任沒有落實到具體,這些都是導(dǎo)致經(jīng)濟信息管理存在安全隱患的因素。
(二)人為因素的影響
人為因素的影響主要是指經(jīng)濟信息管理人員的工作能力與工作態(tài)度等因素的影響。一方面,安全管理人員是接觸機密信息的直接人員,這部分工作人員若是出現(xiàn)刻意泄露或工作疏忽等現(xiàn)象,極易導(dǎo)致企業(yè)關(guān)鍵經(jīng)濟信息的泄露,給企業(yè)帶來不可挽回的損失,影響企業(yè)的穩(wěn)定發(fā)展。另一方面,技術(shù)人員也是人為因素中的重要部分,技術(shù)人員主要對相關(guān)設(shè)備進行管理與維護,也能夠直接接觸到關(guān)鍵信息。需要維護的設(shè)備較多,但部分企業(yè)為了節(jié)約人力成本,讓同一個技術(shù)人員負責(zé)多個設(shè)備的維護,導(dǎo)致技術(shù)人員的工作難度增加,進而影響其工作效率。
(三)技術(shù)因素的影響
信息安全技術(shù)是保證信息安全的重要因素,也是企業(yè)在這方面管理中比較重視的一部分。具體來說,技術(shù)因素對信息安全的影響主要體現(xiàn)在以下兩個方面:一是軟件方面影響,包含了設(shè)計漏洞或技術(shù)缺陷,以及殺毒軟件更新較慢或臨時發(fā)生的運行故障等問題,這些都是對信息安全管理產(chǎn)生影響的因素。二是信息管理體系的設(shè)計方面,包含了風(fēng)險評估數(shù)據(jù)、業(yè)務(wù)流程數(shù)據(jù)、測試數(shù)據(jù)、訪問權(quán)限設(shè)置以及對信息資產(chǎn)的保護程度等。這些因素導(dǎo)致信息管理體系存在必然的安全隱患或漏洞,而這些漏洞將會為整個企業(yè)管理帶來嚴重的不利影響。
三、強化企業(yè)經(jīng)濟信息管理中信息安全的必要性
(一)企業(yè)信息管理的主要特征
企業(yè)信息管理的特征主要包括三個內(nèi)容:第一是具有保密性,這是信息管理的基本特征,也是信息管理的基本要求。各個部門負責(zé)的事項不同,部門人員只能獲取應(yīng)當(dāng)了解的信息,而不能越權(quán)了解其他私密信息。第二是完整性。保證經(jīng)濟信息的完整是企業(yè)信息管理的基本原則,只有保證信息具有基本的完整性,才能更加精準地獲得數(shù)據(jù)價值,從而發(fā)揮其作用。第三是可用性。只有具有較強的可用價值與企業(yè)的私密信息,才具有一定的安全保護價值,才能在企業(yè)發(fā)展中發(fā)揮其本身的作用。
(二)強化信息管理安全的必要性
正是由于經(jīng)濟信息具有的這些特征,才使其有了明確的強化必要性。首先,強化信息安全的管理有助于保證數(shù)據(jù)的保密性與完整性。只有保證信息的完整與私密,才能促使其在企業(yè)競爭中充分發(fā)揮價值。其次,信息的高效運用與價值發(fā)揮的實現(xiàn),本身就需要一定的網(wǎng)絡(luò)條件,而網(wǎng)絡(luò)環(huán)境比較復(fù)雜,所以對數(shù)據(jù)的安全保護就顯得十分關(guān)鍵。例如,不法分子的信息盜取、網(wǎng)路黑客的惡意攻擊等,都是影響信息安全的因素。所以,對信息安全管理進行加強,是企業(yè)實現(xiàn)進一步發(fā)展的重要手段。
四、提高企業(yè)經(jīng)濟信息管理安全性的建議
(一)健全經(jīng)濟信息體系的安全保障
構(gòu)建健全的經(jīng)濟信息體系的安全保障,是實現(xiàn)高效經(jīng)濟信息管理的重要前提,也是實現(xiàn)信息管理制度能夠穩(wěn)定發(fā)展的重要條件。在健全管理體系的保障過程中,最為首要的任務(wù),即是在系統(tǒng)設(shè)計過程中就強調(diào)安全性。從目前來看,由于市場的寬容度逐漸升高,越來越多的企業(yè)參與到市場競爭中。由于部分企業(yè)對信息安全的認知不夠明確,或者管理制度不夠合理等因素,導(dǎo)致其經(jīng)濟信息管理制度本身就存在一定的安全隱患,不利于企業(yè)的發(fā)展。因此,企業(yè)需充分明確自身實力與發(fā)展情況,確定當(dāng)前發(fā)展中的關(guān)鍵,設(shè)計針對性的安全管理制度。具體來說,企業(yè)可加強對進入內(nèi)部信息系統(tǒng)的準入設(shè)置與權(quán)限、增加必要的保護屏障技術(shù)等。另外,還可借助科學(xué)技術(shù)與計算機技術(shù),將指紋識別等運用到信息管理中,以保障管理制度的安全性。
(二)提高工作人員的工作能力
企業(yè)重要的經(jīng)濟信息泄露,其中一個關(guān)鍵的原因,即是工作人員的刻意為之或工作疏忽導(dǎo)致的。因此,在企業(yè)的經(jīng)濟信息管理中,提升工作人員的工作能力與安全意識是十分有必要的一項措施。一方面,企業(yè)可加強對管理人員的培訓(xùn),促使其對信息安全有明確的認識;同時,還可借助培訓(xùn),提升管理人員的管理能力與風(fēng)險意識。另一方面,管理責(zé)任的落實也十分重要。企業(yè)的經(jīng)濟信息涉及到許多企業(yè)的重要信息,要在日常管理者中將管理責(zé)任落實到具體,進而提高工作人員的管理責(zé)任心。此外,提高管理人員的職業(yè)道德以及綜合素質(zhì)等,也是一個比較有效的方式,能夠在一定程度上提高企業(yè)的經(jīng)濟信息管理效率。
(三)強調(diào)對硬件的安全管理
在信息安全這個問題上,管理設(shè)備與硬件條件的強化是必不可少的一部分??梢哉f,硬件設(shè)備是高效的信息安全管理中的重要基礎(chǔ)。首先,針對企業(yè)的實際情況,可淘汰一部分功能比較傳統(tǒng)的設(shè)備,購進更先進、安全保障程度更高的設(shè)備,進而促使設(shè)備在信息安全管理中充分發(fā)揮作用。其次,在運用過程中,隨著運用時間的增長硬件設(shè)備的損耗程度也更大,所以對硬件設(shè)備的維護工作必須得到重視。企業(yè)可安排專門的維護人員,定期對設(shè)備進行檢查或零件更換,避免因硬件系統(tǒng)而導(dǎo)致的信息泄露等問題。同時,還可對維護人員進行培訓(xùn),以提高其技術(shù)水平。此外,合理的安全屏障與接入控制、禁止未授權(quán)訪問或下載文件等措施都是硬件強化中的重要方法,能夠在一定程度上加強對經(jīng)濟信息的安全保障。
(四)健全企業(yè)信息安全管理制度
企業(yè)信息安全管理制度的完善,是保證企業(yè)經(jīng)濟信息管理安全性的重要因素。從企業(yè)管理的角度來講,企業(yè)對經(jīng)濟信息進行的管理是根據(jù)本身的信息安全需要、業(yè)務(wù)分析以及風(fēng)險預(yù)測等的結(jié)果,并結(jié)合科學(xué)技術(shù)與計算機技術(shù)實現(xiàn)的信息管理。構(gòu)建完善的信息管理制度,能夠為信息管理提供包括設(shè)計、運行等各個方面的安全保障,并有效避免因安全隱患導(dǎo)致的各類安全事故。一方面,企業(yè)可建立起相關(guān)的安全管理體系與防范制度,加強對關(guān)鍵數(shù)據(jù)的保存與備份,以保證在發(fā)生安全事故時能夠及時進行彌補,避免業(yè)務(wù)受到影響,進而將企業(yè)的損失降到最小程度;另一方面,還可建立起集中的管理控制體系,將經(jīng)濟信息進行綜合管理,并借助企業(yè)內(nèi)部的管理平臺對其進行管理。
結(jié)語
據(jù)上述的分析可知,強化企業(yè)經(jīng)濟信息管理中的信息安全,不僅是推動企業(yè)不斷發(fā)展的重要方法,更是推進我國企業(yè)管理理念不斷完善的重要手段。通過健全經(jīng)濟信息體系的安全保障、提高工作人員的工作能力、強調(diào)對硬件的安全管理,以及健全企業(yè)信息安全管理制度等方式,從企業(yè)管理的各個角度強調(diào)了信息安全的重要性,在一定程度上提高了企業(yè)信息管理中的信息安全。
參考文獻:
[1]馬志程,張磊,王瓊.基于ISO/IEC17799標(biāo)準體系的企業(yè)信息安全管理新模式[J].電力信息與通信技術(shù),2016,(1):80-83.
[2]梁俊榮.基于信息安全的企業(yè)經(jīng)濟信息管理探討[J].信息化建設(shè),2016,(5):335.
[3]劉曉松,郭玲玲.基于管理因素的企業(yè)信息安全事故分析[J].企業(yè)經(jīng)濟,2013,(1):55-58.
[4]孫波.基于現(xiàn)代網(wǎng)絡(luò)信息安全的信息管理分析[J].信息通信,2013,(2):134-135.
[5]劉榮云.基于層次分析法的企業(yè)安全信息管理系統(tǒng)研究[J].太原城市職業(yè)技術(shù)學(xué)院學(xué)報,2014,(1):159-160.
企業(yè)信息安全保障篇4
關(guān)鍵詞信息安全;等級保護;系統(tǒng)管理水平;思路與機制
現(xiàn)代企業(yè)信息系統(tǒng)在取得飛速發(fā)展的過程中,也普遍存在著一系列的安全故障,這些安全問題存在于信息系統(tǒng)運行的各個階段,比如在規(guī)劃階段缺乏對于信息系統(tǒng)的整體安全保護意識,就會直接影響到設(shè)計階段安全方案的有效實行。其次在正式上線運行之后,缺乏對安全測試機制的設(shè)置以及各項等級測評和運行環(huán)境測試的忽略,將對企業(yè)整體信息系統(tǒng)造成危害。因此我們必須從信息系統(tǒng)規(guī)劃的整個生命周期出發(fā),不斷加強安全等級保護意識。
1信息安全等級保護管理的提升思路
(1)信息安全等級保護的管理現(xiàn)狀。隨著現(xiàn)代信息社會的智能化飛速發(fā)展和人們對工作高效性的不斷追求,企業(yè)信息系統(tǒng)的發(fā)展取得飛速進步,但是不可否認的是信息安全等級相關(guān)措施的設(shè)置仍存在著一定缺陷,主要體現(xiàn)在首先企業(yè)信息系統(tǒng)在規(guī)劃設(shè)計階段過于側(cè)重專業(yè)應(yīng)用功能的效能發(fā)揮和實際應(yīng)用,而在很大程度上忽略了信息系統(tǒng)安全保護和等級設(shè)置的巨大作用,因此在具體的設(shè)計方案上也就缺少相關(guān)配套安全措施的同步規(guī)劃設(shè)計。其次就體現(xiàn)在測試和正式上線運行階段,沒有建立十分完善的安全性測試機制,因此關(guān)于一系列的測評環(huán)節(jié)也就失去了具體的實際意義。關(guān)于惡意軟件代碼的審查、源代碼的后門查詢認證以及相關(guān)關(guān)系統(tǒng)漏洞的查找和運行等級測評等安全隱患環(huán)節(jié),都難以實現(xiàn)正常環(huán)節(jié)下的系統(tǒng)維護。以上關(guān)于企業(yè)信息系統(tǒng)運行過程中存在的安全故障,要求相關(guān)技術(shù)人員必須通過安全等級設(shè)置和維護不斷提升信息系統(tǒng)的安全建設(shè),為實現(xiàn)信息網(wǎng)絡(luò)社會的長遠發(fā)展提供安全保障[1]。
(2)提升信息系統(tǒng)安全等級保護的具體思路。眾所周知企業(yè)信息系統(tǒng)的生命周期包括規(guī)劃、設(shè)計、開發(fā)、測試、實施和應(yīng)用上線與上架以及運行維護等環(huán)節(jié),而要想不斷提升信息系統(tǒng)安全等級保護水平,就必須將其五個工作階段,也就是定級、備案、安全建設(shè)和整改信息、安全等級測評以及信息安全檢查融入信息系統(tǒng)的生命周期中。還要根據(jù)目前信息系統(tǒng)管理過程中存在的一系列問題,設(shè)置安全等級保護的重點內(nèi)容,最大程度上降低安全隱患,為信息系統(tǒng)的安全穩(wěn)定運行提供基礎(chǔ)保障。
首先是企業(yè)信息系統(tǒng)的規(guī)劃階段,技術(shù)人員要從企業(yè)具體實際情況出發(fā),計算相應(yīng)的信息安全等級開發(fā)和維護的費用清單,為后續(xù)的規(guī)劃設(shè)計和運行維護提供物質(zhì)上的保障。還要對相應(yīng)的信息系統(tǒng)安全等級管理的整體體系和工作任務(wù)以及具體流程進行宏觀上的規(guī)劃,為后續(xù)的等級設(shè)計和系統(tǒng)維護提供保障。接下來是設(shè)計階段,系統(tǒng)建設(shè)部門要根據(jù)公司的具體要求組織設(shè)計方案,并提交相關(guān)部門審核通過。對于需要設(shè)置安全等級保護的系統(tǒng)來說,在定級之后系統(tǒng)建設(shè)部門人員要對系統(tǒng)運維和開發(fā)單位進行合理組織,科學(xué)設(shè)計安全等級保護總體方案和相關(guān)的運行維護規(guī)劃。在開發(fā)階段,系統(tǒng)建設(shè)部門作為用戶方必須嚴格遵守相關(guān)的規(guī)范來進行等級設(shè)置和運行維護。在具體過程中要絕對使用正版合格的操作系統(tǒng)、并嚴格檢測強口令和系統(tǒng)測試的合格證明,從而有效保證信息安全和等級管理過程中的有效性和實用性。在測試階段,主要側(cè)重于對安全等級保護管理工作和安全測評進行合理有效的評估。在這一過程中仍然涉及對國家相關(guān)法律規(guī)定的遵守和行業(yè)標(biāo)準的執(zhí)行,在必要條件下要向當(dāng)?shù)毓矙C關(guān)進行備案。接下來是安全等級保護的實施和上線運行階段,在工作過程中系統(tǒng)介紹部門要合理敦促有關(guān)機構(gòu)和部門合理維護等級保護管理工作的進行,對測評整改的工作成果進行合理驗收。并且還要在最大程度上實現(xiàn)安全等級工作對信息系統(tǒng)整體的安全維護和故障排查,為實現(xiàn)企業(yè)信息管理的科學(xué)性提供基礎(chǔ)的智力保障[2]。最后是關(guān)于信息系統(tǒng)的運行維護階段,運維階段是安全等級保護的關(guān)鍵輸出階段,要本著“誰主管誰負責(zé),誰運行誰負責(zé)”的原則,對相關(guān)的安全隱患進行分配和整改。此外對于信息安全等級保護中的關(guān)鍵環(huán)節(jié),也就是數(shù)據(jù)備份、安全隱患分析排查等要分配專門的技術(shù)人員進行跟蹤,確保企業(yè)運行的長遠性。
2設(shè)置安全等級保護管理下的信息系統(tǒng)工作機制
首先是信息安全考評機制的設(shè)置,這一環(huán)節(jié)的工作過程指的是由信息職能部門對公司的各項信息專業(yè)工作進行合理的檢查和考核,根據(jù)具體的安全等級分配實施效果和開展情況,對相關(guān)部門和機構(gòu)進行評估。并將評估結(jié)果進行反饋和整改,這樣就建立了完善的信息管理系統(tǒng)的監(jiān)督和評估制度,更有利于企業(yè)合理的績效分配和長遠的發(fā)展。其次是信息安全等級的協(xié)同機制,這個主要通過建立明確的信息化領(lǐng)導(dǎo)小組來協(xié)調(diào)實現(xiàn)。通過具體文件來明確信息安全工作的職責(zé)和具體環(huán)節(jié)的任務(wù)分配,不斷明確信息系統(tǒng)測評和評估過程中所發(fā)現(xiàn)的問題,通過協(xié)調(diào)配合不斷建立完善的安全整改方案,并交由相關(guān)部門進行落實。最后是例會機制,通過開展定期例會的形式來對信息系統(tǒng)安全等級保護過程中存在的相關(guān)問題進行系統(tǒng)探討,集中開展相關(guān)的信息保護提升會議,為最大程度上改善企業(yè)信息管理系統(tǒng)運行過程中存在的故障問題提供解決方案[3]。
3結(jié)束語
安全等級管理需要相關(guān)的工作機制來進行維持和保障,比如相應(yīng)的例會機制、協(xié)同機制和考評機制就在很大程度上優(yōu)化了等級保護的整體水平。通過過程滲透和機制維護,不但加固了信息系統(tǒng)的安全防護水平,而且還有助于企業(yè)整體管理效率和質(zhì)量的提升,從而為企業(yè)經(jīng)濟收益和社會影響力的提升提供了基礎(chǔ)保障。
參考文獻
[1] 周寅晴,歐陽資春.淺談信息系統(tǒng)安全等級保護測評的實施管理[J].數(shù)字通信世界,2018(8):155-156.
[2] 王丙飛. 信息系統(tǒng)安全等級保護綜合管理系統(tǒng)設(shè)計與實現(xiàn)[D].北京:電子科技大學(xué),2017.
[3] 龍華.大型企業(yè)資金信息系統(tǒng)安全保障策略及設(shè)計[J].中小企業(yè)管理與科技(中旬刊),2017(6):27-29.
企業(yè)信息安全保障篇5
關(guān)鍵詞:電子科技企業(yè);信息安全技術(shù);探討
對于一個電子科技企業(yè)來說,最關(guān)鍵以及最重要的因素就是大量文件和資料的組成以及對相應(yīng)信息的掌握。往往這些文件和資料與一個企業(yè)的存亡問題密切相關(guān)。在一個電子科技企業(yè)的文件流轉(zhuǎn)過程之中,通常會涵括了一些十分重要的文件,甚至其中的一些會直接關(guān)系到一個企業(yè)的前途問題。如果有些不法分子對這些重要的資料以及文件進行竊聽、泄露等一系列的不法行為和交易,則為一個企業(yè)帶來的危害是不可估量的。由此可見,電子科技企業(yè)的發(fā)展過程中,解決如何才能保證信息安全這一十分關(guān)鍵的問題是切實且必要的。
1電子科技企業(yè)在當(dāng)今信息化建設(shè)過程中的意義
隨著網(wǎng)絡(luò)時代的降臨,帶來了相應(yīng)科學(xué)技術(shù)的飛速發(fā)展,尤其是電子科技企業(yè),信息和資源成為了它們?nèi)绾尾拍苋〉贸晒Φ年P(guān)鍵所在。為了能夠使得一個企業(yè)在未來的發(fā)展過程中能夠一帆風(fēng)順且越走越好,就要對相關(guān)的有效信息進行掌握和了解。伴隨著這樣的趨勢,電子科技企業(yè)在不斷地發(fā)展。從一定程度上來說,信息不僅僅可以決定一個企業(yè)的命運,同時也可以提高一個企業(yè)的管理水平。一些企業(yè)中商務(wù)活動往往是由電子商務(wù)的方式來執(zhí)行,另外一些電子科技企業(yè)的生產(chǎn)過程、運輸和管理等都離不開信息。在如今的社會,信息化的建設(shè)對一個企業(yè)來說有著極大的作用,所以電子科技企業(yè)應(yīng)當(dāng)及時的跟進時代的步伐,促進電子科技企業(yè)的持續(xù)發(fā)展。
2電子科技企業(yè)信息安全技術(shù)的探索
2.1加密技術(shù)
這種加密技術(shù)指的是對所要傳遞的內(nèi)容提供一定的保密性,且可以使得信息和數(shù)據(jù)等都能夠在傳遞的過程中變得更加的完整和安全。這種電子信息的加密技術(shù)是一個電子科技企業(yè)的重要保障。這種加密技術(shù)分為兩大類:對稱與非對稱。對稱的加密技術(shù)主要是通過成序列的密碼或者為分組機密來實現(xiàn)和完成。在這其中包含秘鑰、加密的算法、解密的算法等等五部分組成。而非對稱的加密則要具備秘鑰和私有秘鑰,且這兩種秘鑰只有配對使用的時候才可以完成解密的過程。這種加密技術(shù)為電子科技企業(yè)帶來了極大的保障。比如在電子郵件或電子信息的傳輸過程中,通過加密技術(shù)來進行傳輸,倘若有人來竊取也只能夠竊取到相關(guān)的密文,并不可能得到具體信息。這樣一來,不僅加強了在信息傳遞過程中的安全等級,同時也推進了我國各個行業(yè)領(lǐng)域內(nèi)信息系統(tǒng)的安全測試。
2.2防火墻技術(shù)
隨著網(wǎng)絡(luò)的不斷進步和發(fā)展,雖然相關(guān)的信息安全的問題在不斷的完善,但還是有一些不安全因素在。一些病毒或者黑客隨時可能入侵,這些因素極大的威脅著一個電子科技企業(yè)的安全。對這種情況而言,一種有效的防護方法就是防火墻的使用。這種技術(shù)能夠防止黑客入侵,同時也可以保護相關(guān)信息的安全。加強企業(yè)信息的相關(guān)基礎(chǔ)設(shè)施以及信息系統(tǒng)的構(gòu)建,設(shè)立出面向企業(yè)的關(guān)于信息服務(wù)的平臺。重點要開展一些活動和服務(wù),建立一個強大的信息安全的數(shù)據(jù)庫,為廣大電子科技企業(yè)提供快遞等服務(wù),進一步實現(xiàn)企業(yè)中信息的安全共享,提高信息的安全保障力。
3解決電子科技企業(yè)信息安全相關(guān)問題的有效途徑
3.1建構(gòu)完善的信息安全管理系統(tǒng)
為了能夠進一步保障電子科技企業(yè)的信息安全,除了要具備很好的技術(shù)水平之外還應(yīng)建立起一定的信息安全的管理系統(tǒng)。在一些電子科技企業(yè)中,一些信息制度的建立都一定程度的影響著信息系統(tǒng)的安全。當(dāng)管理的制度出現(xiàn)問題的時候,許多安全技術(shù)就不能很好的施展出來。所以,建立一定嚴格的管理體系能夠為信息提供很好的保障作用。且只有存在一個完善的管理體系時,相關(guān)的工作才得以能夠順利的開展。
3.2通過一定的網(wǎng)絡(luò)條件來為信息的安全提供服務(wù)
許多電子科技企業(yè)都擁有著自身的局域網(wǎng),并能夠通過這些局域網(wǎng)來進行相互之間的聯(lián)通。所以,應(yīng)充分的利用這一點,為企業(yè)提供更好更加安全的服務(wù)。通過局域網(wǎng),可以在這個平臺上及時的公布一些公告,也可以像在一些安全的軟件,為員工提供一定的培訓(xùn)。通過這樣的做法可以為員工提供一個能夠互相交流的機會和平臺,同時也能夠一定程度的保障企業(yè)的安全。針對企業(yè)內(nèi)部的一些保密性和安全性的監(jiān)管,可以通過一定的技術(shù)措施來查找和監(jiān)督重要的有效信息是否發(fā)生了泄露,并及時的修補。
3.3對相關(guān)進行安全防護的軟件要及時的進行更新
在企業(yè)不斷向前發(fā)展的過程中,信息在不斷的進行著更新。所以企業(yè)不能僅僅只依賴于原有的幾個軟件,在安全隱患隨時會升級的情況之下,應(yīng)及時的對有關(guān)安全防護的軟件進行更新,這樣才能夠提高信息安全。
4結(jié)論
總而言之,雖然電子時代的到來給人們的生活帶來了很大的便利,人們生活的方方面面都受到著電子信息技術(shù)的影響,但它同時也存在著很多的弊端。層出不窮的信息安全的問題在逐漸的影響著電子信息技術(shù)的發(fā)展,而信息又是決定一個企業(yè)成敗的關(guān)鍵性因素。如今,許多企業(yè)的宣傳方式以及各種各樣的生產(chǎn)活動都是通過電子信息的方式來完成的,加強信息化的建設(shè)是許多企業(yè)面臨的一個必要性的過程。所以,我們要在電子技術(shù)發(fā)展的同時,及時的對電子信息安全技術(shù)進行更深層面的研究和對技術(shù)的更新,淘汰一些不能夠適應(yīng)企業(yè)發(fā)展的安全技術(shù),應(yīng)用一些升級后的能夠更好提供安全保障的技術(shù),使安全技術(shù)更好的提高,以便服務(wù)于電子科技企業(yè)。只有這樣,才能更好的配合電子科技企業(yè)的發(fā)展,為企業(yè)內(nèi)部的有效信息給予一定的保障,促進企業(yè)的信息化建設(shè)的進程,使企業(yè)能夠持續(xù)高效的發(fā)展下去,順應(yīng)社會的發(fā)展潮流,跟緊時代的步伐。
作者:王麗霞 單位:內(nèi)蒙古自治區(qū)阿拉善盟技術(shù)創(chuàng)新管理所
參考文獻:
[1]楊晗,袁野.淺論電子科技企業(yè)信息安全技術(shù)[J].電子制作,2015(6):56-56.
[2]姜占波.論述電子科技企業(yè)的信息安全技術(shù)[C].2015:69-69.
企業(yè)信息安全保障篇6
一、會計信息系統(tǒng)可信性的內(nèi)涵
“可信性”是衍生于正確性、安全可靠性、可調(diào)控性等性能,綜合反映事物的諸多可信屬性。軟件與可信屬性相聯(lián)系,將可信屬性注入到軟件中,利用軟件的功能替代人執(zhí)行一定的工作,同時考慮數(shù)據(jù)安全的級別,在平臺之間進行輕松快捷的數(shù)據(jù)導(dǎo)出獲取、價格等因素,使軟件系統(tǒng)的行為符合用戶的預(yù)期目標(biāo)。云會計環(huán)境下的會計信息系統(tǒng),是一種新型的可信軟件系統(tǒng),它集一般可信屬性與會計制度與準則、內(nèi)部控制制度、稅法、審計等方面特有的可信屬性于一體,對會計信息的輸入、處理和輸出流程及審計信息、稅務(wù)信息等,為企業(yè)管理人員、政府部門及企業(yè)外的投資等使用者提供可信屬性資料,滿足他們的預(yù)期目標(biāo)。
二、建立雙因素理論的會計信息系統(tǒng)可信性模型
云會計環(huán)境下的會計信息系統(tǒng),可信性依據(jù)雙因素理論,分成保障性可信屬性和激勵促進性可信屬性。由于企業(yè)的規(guī)模、所處的領(lǐng)域及對會計信息系統(tǒng)的可信性的期望值不同,云會計環(huán)境下的會計信息系統(tǒng)可信屬性,呈現(xiàn)的特征各有差異。保障性的可信屬性,是會計信息系統(tǒng)的基本而且是必備的可信屬性,它涵蓋了可用性、可靠性、安全性、及風(fēng)險可控性等可信屬性,對滿足使用者的預(yù)期起著決定性的作用。激勵促進性可信屬性,促進用戶對會計信息系統(tǒng)的信任感,積極運用云會計環(huán)境下的會計信息系統(tǒng),有著積極的作用。它包括可審計性、稅收可稽查性及決策支持性等可信屬性。
(一)保障性可信屬性
在開放、動態(tài)變化的云會計環(huán)境下,會計信息系統(tǒng)的保障性可信屬性是不可缺少的、關(guān)鍵性的可信屬性。它在云會計環(huán)境下,支持會計信息系統(tǒng)的數(shù)據(jù)資料的安全存儲,建立可信的網(wǎng)絡(luò)連接,實現(xiàn)會計數(shù)據(jù)保護的高效外包,使企業(yè)的會計核心內(nèi)容處在安全穩(wěn)定的狀態(tài),緩解企業(yè)選擇云會計時的種種不安情緒,消除顧慮。如果缺失了這種可信屬性,會計信息的安全性就得不到保證,財務(wù)數(shù)據(jù)的泄露將對企業(yè)是一個致命打擊,大大降低會計信息系統(tǒng)的可信性程度。
1.可用性要求
會計信息系統(tǒng)是一種以計算機管理的信息系統(tǒng),具有對各種會計數(shù)據(jù)收集、輸入、存儲等功能性,并遵循國家規(guī)定的會計法律法規(guī)及會計制度,對會計信息進行分析,為使用者提供所需信息,為企業(yè)決策管理、預(yù)測決策等方面提供可用性的依據(jù)。在會計信息系統(tǒng)設(shè)計中,秉承以會計政策為原則,正確地收集和處理會計數(shù)據(jù),實現(xiàn)會計信息的質(zhì)量保證,及時地提供會計資料,是決策者隨時把握企業(yè)與市場信息,及時做出正確決策的保證,過期的會計信息,會對策略的決斷有著誤導(dǎo)的影響。
2.可靠性要求
會計信息系統(tǒng)的正常運轉(zhuǎn),保證系統(tǒng)中的會計信息高度集中,共享資源,如果沒有相應(yīng)的可靠性保障,安全性得不到保護,這種系統(tǒng)問題導(dǎo)致的后果是不堪設(shè)想的,因此,在規(guī)定的環(huán)境和時間里,會計信息系統(tǒng)的正常運行,對會計信息的使用、存儲等方面沒有軟件漏洞問題,是會計信息系統(tǒng)可信性的充分必要條件。
3.可生存性、可控性要求
在云會計環(huán)境下,會計信息網(wǎng)絡(luò)管理會受到外部因素的攻擊或內(nèi)部操作者操作失誤,造成會計信息系統(tǒng)的故障,系統(tǒng)要具有自我恢復(fù)功能,對系統(tǒng)的擴展性及系統(tǒng)不斷更新進行維護,同時,根據(jù)企業(yè)的具體業(yè)務(wù)流程及可信度要求,進行全面的風(fēng)險管理,達到會計信息系統(tǒng)能持續(xù)性運行。
(二)激勵促進性可信屬性
會計信息系統(tǒng)的促進性可信屬性,在保障性可信屬性的基礎(chǔ)上,幫助企業(yè)對云會計的熟悉認知,對云會計的服務(wù)取得滿意效果的作用,促進云會計在企業(yè)財務(wù)管理的推廣和應(yīng)用。
在云會計環(huán)境下,可審計性使審計人員從標(biāo)準規(guī)范的數(shù)據(jù)接口,對獲取完整的相關(guān)的會計數(shù)據(jù);對企業(yè)進行審計核準處理。企業(yè)外部審計的目標(biāo)是對企業(yè)財務(wù)報告的真實性、公正性發(fā)表評價意見,對企業(yè)財務(wù)會計信息的準確真實性的肯定,鑒定報告數(shù)據(jù)不僅取自企業(yè)提供的會計數(shù)據(jù),還要從云會計環(huán)境下的會計信息系統(tǒng)中,獲取完整準確的資料,采用嵌入軟件、聯(lián)機分析等先進技術(shù)篩選審計數(shù)據(jù),對企業(yè)的集成會計信息系統(tǒng)進行審計,確保企業(yè)會計信息的可信度,對企業(yè)決策者避免做出錯誤決策提供可靠的信息。
稅收可稽查性保證實現(xiàn)企業(yè)會計與稅務(wù)部門的協(xié)助。企業(yè)管理人員通過多元化的信息方式,經(jīng)過云會計處理,實現(xiàn)會計信息與業(yè)務(wù)信息的融合,提供會計信息系統(tǒng)的選擇,并且對會計信息系統(tǒng)有著全面風(fēng)險管理輔助性能,對企業(yè)的業(yè)務(wù)流程進行風(fēng)險預(yù)測、評估等功能,提高了會計信息系統(tǒng)的可信性。
三、保障性可信屬性與促進性可信屬性之間的相互關(guān)系
雙因素的關(guān)系是相互聯(lián)系,相互作用,并在一定條件下相互轉(zhuǎn)化的。在云會計環(huán)境下,會計信息系統(tǒng)的保障性可信屬性和促進性可信屬性,也是相互影響、相互制約、共同決定著會計信息系統(tǒng)的可信性。保障性可信屬性中的可用性和安全性,對會計信息的準確與全面提供了保障作用,為促進性可信屬性中可審計性和稅收可稽查性提供了前提保證。審計、稅收輸出的數(shù)據(jù)信息,對企業(yè)和相關(guān)部門的影響極大,因此,對保障性可信屬性提出要求更為嚴格。隨著國家政策的變化,審計及稅收等促進性可信屬性,也會有保障性可信屬性轉(zhuǎn)化的可能性。
四、結(jié)束語
企業(yè)信息安全保障篇7
1.銷售系統(tǒng)設(shè)施建設(shè)。
硬件方面,各石油銷售企業(yè)都具有設(shè)施完善的中心計算機系統(tǒng),供電采用UPS方式,采用“雙機熱備”的核心服務(wù)器工作模式,以確保整個硬件的可靠性和安全性;網(wǎng)絡(luò)方面,采用SDH光纖接入廣域網(wǎng),包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式,設(shè)備之間,層層之間以光纖方式連接,以均衡網(wǎng)絡(luò)負載。除了安裝必備的防火墻,部分企業(yè)為進一步提高安全防范能力還安裝了外網(wǎng)入侵檢測系統(tǒng);大多數(shù)加油站采用SSLVPN方式訪問企業(yè)內(nèi)部網(wǎng),以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面,大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng),實現(xiàn)PC機的MAC地址綁定。
2.銷售系統(tǒng)信息化建設(shè)。
目前,企業(yè)的銷售信息系統(tǒng)主要包括:加油卡系統(tǒng)、辦公自動化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點:一是用戶眾多,幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶;二是應(yīng)用領(lǐng)域廣,涉及企業(yè)經(jīng)營、管理、對外服務(wù)諸多方面;三是要求連續(xù)運轉(zhuǎn),如ERP系統(tǒng)必須滿足7×24小時運轉(zhuǎn)。由于信息系統(tǒng)的安全運轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營管理的可持續(xù)性,其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以,基于上述的原因,企業(yè)對銷售信息系統(tǒng)的安全運轉(zhuǎn)提出了更高的要求。
3.銷售系統(tǒng)的信息安全現(xiàn)狀。
石油銷售管理系統(tǒng)是關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng),國家對其信息安全高度重視,并在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中強調(diào),我國要全面加強國家信息安全保障體系的建設(shè),大力增強國家信息安全保障能力,實現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時,國內(nèi)石油銷售企業(yè)也長期重視信息安全工作,逐步建立了相應(yīng)的保障體系和規(guī)章制度,但還存在以下問題:
(1)范圍涉及廣泛。
石油銷售企業(yè)分支機構(gòu)多,終端運營組織龐大且分散,以中石油集團為例,其截至2013年分布在全國的加油站已超過30000座。在如此龐大的銷售系統(tǒng)中,信息網(wǎng)絡(luò)承載著指導(dǎo)業(yè)務(wù)運行的重要功能。大量、分散部署的加油終端,必然會造成聯(lián)網(wǎng)方式的多樣化、網(wǎng)絡(luò)環(huán)境的復(fù)雜化。
(2)設(shè)備系統(tǒng)眾多。
石油銷售企業(yè)信息化管理系統(tǒng)中所涉及的設(shè)備精度髙、技術(shù)要求深,并且范圍廣泛,包括加油站、油庫等大量的自動化控制系統(tǒng)。因此,業(yè)務(wù)管理流程復(fù)雜,安全風(fēng)險增大。
(3)人員素質(zhì)不齊。
由于石油銷售屬于傳統(tǒng)行業(yè),因此企業(yè)人員年齡跨度較大,對信息安全管理的職業(yè)組織參差不齊;甚至對于企業(yè)管理人員,對于信息安全的認識也多停留在紙上談兵;基層人員眾多,且直接面對客戶,流動性大,信息泄露風(fēng)險極高。而且新生代的企業(yè)員工對計算機和網(wǎng)絡(luò)接觸早,應(yīng)用水平高,日常使用頻繁,在缺乏網(wǎng)絡(luò)安全防護意識的情況下更易導(dǎo)致信息泄漏,甚至在好奇心理的鼓動下主動發(fā)起網(wǎng)絡(luò)攻擊行為,所以企業(yè)內(nèi)網(wǎng)安全也成為一個突出的問題。
(4)資金投入有限。
國外企業(yè)在信息安全方面的資金投入達到了企業(yè)整體基建的5%-20%,而我國企業(yè)基本都在2%以下。全世界每年因信息安全方面的漏洞導(dǎo)致的經(jīng)濟損失達數(shù)萬億美元,中國的損失也達到了一百億美元以上,但是中國企業(yè)在這方面的投資只有幾十億美元。因此,我國企業(yè)整體信息化安全建設(shè)預(yù)算不足。石油企業(yè)信息化工程是一項繁重的任務(wù),需要在信息安全方面有更大的投入。大型油企需要建立復(fù)雜龐大的數(shù)據(jù)庫備份體系,建立并維護高效的網(wǎng)絡(luò)殺毒系統(tǒng)、企業(yè)級防火墻、IDS、IPS系統(tǒng)和完善的補丁更新及發(fā)放機制,以保證企業(yè)各方面的數(shù)據(jù)安全。建立這一復(fù)雜的系統(tǒng)需要大量的資金投入,而且其投入回報慢,因此石油企業(yè)普遍輕視這方面的投入和維護,信息安全建設(shè)相對于企業(yè)的發(fā)展整體滯后。
二、石油銷售系統(tǒng)的信息安全管理系統(tǒng)設(shè)計
石油銷售系統(tǒng)的信息安全管理系統(tǒng)是一個程序化、系統(tǒng)化、文件化的管理體系,以預(yù)防控制為主,強調(diào)動態(tài)全過程控制。建立相應(yīng)的信息安全管理系統(tǒng),需要從物理、信息、網(wǎng)絡(luò)、系統(tǒng)、管理等多方面保證整體安全;建立綜合防范機制,確保銷售信息安全以及加油卡、EPR等電子銷售系統(tǒng)的可靠運行,保障整體信息網(wǎng)絡(luò)的安全、高效、可靠運轉(zhuǎn),規(guī)避潛在風(fēng)險,供系統(tǒng)的可靠性和安全性。因此,石油銷售系統(tǒng)的信息安全管理系統(tǒng)構(gòu)架分為以下組成:
(1)組織層面。
石油銷售部門應(yīng)建立責(zé)任明確的各級信息安全管理組織,包括信息安全委員會、信息安全管理部門,并通過設(shè)立信息安全員,指定專人專項負責(zé)。通過這些部門和負責(zé)人開展信息安全認知宣傳和培訓(xùn),提高企業(yè)員工對信息安全重要性的認識。
(2)制度層面。
制定安全方針、安全管理制度、安全操作規(guī)程和突發(fā)事件應(yīng)急預(yù)案等一系列章程,經(jīng)科學(xué)性審核和測試后下發(fā)各級部門,提升企業(yè)的信息安全管理的效能,減少事故發(fā)生風(fēng)險,提高應(yīng)急響應(yīng)能力。
(3)執(zhí)行層面。
信息安全管理部門應(yīng)當(dāng)定期檢查和隨機抽查相結(jié)合,監(jiān)督安全制度在各級部門的執(zhí)行情況,評估安全風(fēng)險,負責(zé)PDCA的循環(huán)控制。
(4)技術(shù)層面。
信息安全管理部門要提供安全管理、防護、控制所需的技術(shù)支持,全面保障企業(yè)整體信息安全管理系統(tǒng)建設(shè)。通常信息安全技術(shù)分為物理安全、網(wǎng)絡(luò)安全、主機安全、終端安全、數(shù)據(jù)安全以及應(yīng)用安全等六個方面,主要包括監(jiān)控與審核跟蹤,數(shù)據(jù)備份與恢復(fù),訪問管理與身份認證,信息加密與加固等具體技術(shù)措施。通過有效的信息安全管理平臺和運作平臺,在最短時間內(nèi)對信息安全事件進行響應(yīng)處理,保障信息安全管控措施的落實,實現(xiàn)信息安全管理的目標(biāo)。
三、結(jié)語
總而言之,建立信息安全管理體系,保障信息安全是目前石油銷售中的重要環(huán)節(jié),要在戰(zhàn)略上側(cè)重管理,在戰(zhàn)術(shù)上側(cè)重技術(shù),保持信息安全管理體系能夠有效長久運行。
企業(yè)信息安全保障篇8
企業(yè)檔案信息資產(chǎn)必須要確保其安全。一方面,要做好歷史檔案信息資源的數(shù)字化工作;另一方面,也要做好新入庫電子文件的數(shù)字化工作。對于歷史檔案信息資源,要與專門的掃描單位簽訂協(xié)議,進行批量掃描。在掃描過程中,會涉及到信息安全風(fēng)險的問題。對于新入庫電子文件,則要保障電子文件與紙質(zhì)文件的絕對一致性,由員工個人原因造成電子與紙質(zhì)文件的不一致性,會給實際工作帶來安全隱患。針對如上問題:第一,對參與掃描工作人員的權(quán)限進行嚴格控制:簽訂保密協(xié)議、設(shè)置電腦權(quán)限;對企業(yè)參與圖像和信息驗收的員工:配備專門電腦和存儲空間、設(shè)置電腦權(quán)限和密碼、屏蔽USB和光盤接口、屏蔽刪除鍵;第二,在接收檔案信息資源入庫時,由檔案部門先接收電子文件,并檢查電子文件的標(biāo)準化,然后再將電子文件打印成紙質(zhì)文件,這樣避免了設(shè)計人員先歸紙質(zhì)文件,再改電子文件而帶來的不一致性。
檔案信息的信息化技術(shù)中的安全保障
幾乎所有的檔案管理都會經(jīng)歷手工管理、信息化管理、知識化管理這三個階段,這是檔案信息在網(wǎng)絡(luò)時代體現(xiàn)利用價值的內(nèi)在需求。從手工管理過渡到信息化管理和知識化管理,使檔案信息價值得到了全方位的體現(xiàn),但是同時針對檔案信息安全所帶來的法律風(fēng)險也會越來越多,所以要確保檔案信息系統(tǒng)的運行安全,加強對提供利用載體的管理,加強對檔案信息的拷貝與利用管理,對不同層級的信息使用者有所區(qū)別,通過技術(shù)手段防止拷貝資料再復(fù)制,措施如下:第一,利用企業(yè)自主開發(fā)或引進的加密軟件對檔案信息進行加密,只有在企業(yè)辦公環(huán)境及企業(yè)配備的電腦上才能正常打開使用,一旦脫離企業(yè)環(huán)境,對檔案信息的操作要提前進行申請,申請通過后,方可由技術(shù)人員解密;第二,所有對企業(yè)外部提供的檔案信息都必須是經(jīng)過轉(zhuǎn)化的PDF或者TIFF格式的文件,原始的DWG文件不能直接提供,以保證檔案信息的不可更改性。提供給內(nèi)部設(shè)計參考的檔案信息可以是DWG的,但是必須加密,統(tǒng)一在企業(yè)環(huán)境中使用,防止外泄。
人員管理中多級別權(quán)限和密碼管理的安全保障
為了保證檔案信息系統(tǒng)的安全,有必要加強對系統(tǒng)使用者的管理,加強對系統(tǒng)使用者使用權(quán)限的審核,并采用現(xiàn)代網(wǎng)絡(luò)技術(shù)對其網(wǎng)絡(luò)操作進行跟蹤與記錄。加強對使用過程中各種保密措施的管理,采用多級別權(quán)限和密碼管理,防止黑客或他人對檔案信息管理系統(tǒng)帶來的安全隱患:第一,支持檔案信息系統(tǒng)的電子文件在線閱覽功能,但是閱覽范圍和下載權(quán)限受限,要經(jīng)過文件產(chǎn)生部門和檔案管理部門的審批才能解限;第二,對企業(yè)高尖端技術(shù)類別的檔案信息,必須要經(jīng)過企業(yè)專門的保密委員會進行風(fēng)險評估,審批同意后方可利用,并實行責(zé)任人負責(zé)制;第三,實行用戶登錄驗證制度,登錄檔案管理系統(tǒng)時,員工需要輸入自己的密碼進行驗證,驗證通過后才能進行事先設(shè)定好的權(quán)限范圍內(nèi)的相關(guān)操作;第四,控制臺超時注銷,控制臺訪問用戶超過一段時間沒有對系統(tǒng)進行交互操作,設(shè)備將自動注銷本次操作臺配置任務(wù),并切斷連接;第五,離職、退休人員離開工作崗位時,要進行檔案資料和使用設(shè)備交接手續(xù),相關(guān)部門和責(zé)任人確認檔案資料交接完成、使用設(shè)備上交后,方可同意該人員離開;第六,所有淘汰電腦,必須經(jīng)過格式化,確保電腦內(nèi)資料不可復(fù)原后,才可回收利用。
以管理為重點,建立檔案信息安全保障體系,加強法律風(fēng)險的防控
在企業(yè)的管理上,檔案信息安全保障體系建立的重要意義是對法律風(fēng)險隱患的“防”與法律風(fēng)險發(fā)生后的及時“控”。
1.建立法律風(fēng)險防控體系,從部門設(shè)置上確保檔案信息安全保障體系的牢固企業(yè)必須建立法律風(fēng)險防控體系,即:成立專門的法律風(fēng)險防控歸口管理部門,引進專門的法律專業(yè)人才,負責(zé)法律事務(wù)的評審和咨詢服務(wù),定期提供企業(yè)范圍內(nèi)的法律知識培訓(xùn)和專題講座。聘請法律界資深律師作為專門的法律顧問,隨時參與和控制突發(fā)的重大法律問題;各部門配備兼職法律風(fēng)險管理員,負責(zé)代表部門向法律歸口部門進行法律事務(wù)傳送。
2.突出管理重點,加強對合同法律風(fēng)險的防控針對合同法律風(fēng)險,在建立檔案信息安全保障體系時,以管理為重點,應(yīng)采取以下措施:第一,收繳散落在各部門的合同印章,由法律歸口管理部門統(tǒng)一管理,法律歸口管理部門配備專門的人員負責(zé)合同印章的使用和安全;第二,建立規(guī)范的合同印章使用流程,企業(yè)上下必須嚴格按照此流程申請使用合同印章;第三,建立合同印章使用臺賬,每一個流程結(jié)束、合同印章使用完成后,當(dāng)事合同必須完整歸檔一份合同原件,合同原件最終由法律歸口管理部門向檔案部門統(tǒng)一移交;第四,法律歸口管理部門以年度為單位,各種類合同的標(biāo)準格式,并在企業(yè)范圍內(nèi)統(tǒng)一使用,因特殊情況不能使用格式合同的,法律部門要對非標(biāo)準格式合同進行評審;第五,不同類型的合同,確定由不同的評審部門參與評審,實行責(zé)任人責(zé)任制。
3.管理手段與時俱進,注重前端控制和過程管理檔案信息系統(tǒng)、企業(yè)協(xié)同辦公(OA)及門戶系統(tǒng)、ERP系統(tǒng)等信息化知識管理方式的引進,使企業(yè)的文件形態(tài)不斷從紙質(zhì)向電子轉(zhuǎn)化,文件數(shù)量與日俱增、文件保存形式呈現(xiàn)立體多樣化的發(fā)展趨勢。在此背景下,檔案前端控制管理理論和實踐操作應(yīng)運而生。前端控制管理提出將檔案的控制環(huán)節(jié)提前到文件生命周期的最初階段形成階段,并貫穿于文件生命周期的整個過程,這十分有利于減少企業(yè)合同電子文件信息和載體的安全隱患,對企業(yè)合同法律風(fēng)險起到很好的防止和控制功能。
4.以人為本,加強員工的安全意識、法律意識、安全技能的培訓(xùn)對員工的安全意識、法律意識、安全技能的培訓(xùn)十分關(guān)鍵。人員的安全意識是與其所掌握的安全技能有關(guān),而安全技能又與其所接受安全技能培訓(xùn)有關(guān)。因此,人員的安全意識是通過培訓(xùn),以及技能的積累才能逐步提高。第一,定期開展企業(yè)信息安全、保密管理的相關(guān)培訓(xùn),加強管理人員的安全保密意識;第二,適時進行法律知識的宣傳和普及工作,例如:針對日益興起的海外合同,舉行《海外合同簽訂的注意事項和合同文本資料的保存》講座,促使員工形成良好的法律意識和收集保管資料的良好工作習(xí)慣;第三,進行相關(guān)的計算機網(wǎng)絡(luò)知識培訓(xùn),定期預(yù)報病毒信息和預(yù)防措施,定期企業(yè)IT運營周報,分析存在的問題和解決方法。
以法規(guī)標(biāo)準為依托,建立檔案信息安全保障體系,加強法律風(fēng)險的防控
首先,根據(jù)《GB/T22240-2008信息系統(tǒng)安全等級保護定級指南》和《GB/T22239-2008信息系統(tǒng)安全等級保護基本要求》,結(jié)合檔案信息系統(tǒng)的重要程度,確定檔案信息系統(tǒng)安全等級和安全需求,采取相應(yīng)的安全技術(shù)和安全管理措施;同時依據(jù)《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》在檔案信息系統(tǒng)生命周期的不同階段進行過程風(fēng)險評估,全面實現(xiàn)動態(tài)防御。其次,建立完善的檔案管理制度。從企業(yè)級制度和標(biāo)準、QHSE管理體系、項目管理體系、部門內(nèi)部詳細作業(yè)指導(dǎo)這5個方面建立起檔案管理制度保障體系。再次,從法律角度上,必須建立完善合同管理體制,從制度上對企業(yè)合同法律風(fēng)險進行防控。制定相關(guān)的《合同印章管理規(guī)定》、《合同評審管理辦法》、《合同管理規(guī)定》等。
檔案信息安全保障體系建設(shè)存在的問題
雖然我國企業(yè)的檔案信息安全保障體系建設(shè)在技術(shù)、管理、和規(guī)范標(biāo)準上已經(jīng)取得明顯的成效,但還存在以下問題:1.檔案信息安全保障體系建設(shè)意識沒有得到全面重視。一方面,檔案信息安全保障體系建設(shè)比較明顯的體現(xiàn)在現(xiàn)代企業(yè)總部,對企業(yè)下屬的分子公司等控制力度不夠。2.目前檔案信息安全保障體系構(gòu)建主要依賴于信息安全技術(shù),且缺乏有效的安全管理和安全監(jiān)督機制,檔案信息系統(tǒng)隨時存在安全風(fēng)險,只有通過科學(xué)、有效的管理和規(guī)范才能構(gòu)建真正的檔案信息安全保障體系。
結(jié)語
總之,檔案信息安全保障體系的建設(shè)理應(yīng)和必須得到企業(yè)的重視,對于企業(yè)的法律風(fēng)險來說,它的意義至關(guān)重要。用得好,它就是企業(yè)成功的關(guān)鍵,否則會給企業(yè)帶來巨大損失。
本文鏈接:http://m.edgebase.com.cn/v-141-3262.html企業(yè)信息安全保障范文8篇
相關(guān)文章:
校本研修培訓(xùn)反思范文8篇08-15
人生感言語錄09-28
試用期轉(zhuǎn)正申請書07-20
贈書感謝信09-13
商業(yè)計劃書模板范文08-15
我運動我健康我快樂演講稿10-26
快樂的新年作文11-14