緒論:在尋找寫作靈感嗎�����?愛發(fā)表網(wǎng)為您精選了8篇審計(jì)信息安全管理����,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情����,歡迎您的閱讀與分享!
篇1
關(guān)鍵詞:穩(wěn)心顆粒�����;心臟神經(jīng)官能癥����;心律失常
中圖分類號(hào):R749.7 R289.5 文獻(xiàn)標(biāo)識(shí)碼:C 文章編號(hào):1672
隨著現(xiàn)代經(jīng)濟(jì)社會(huì)的發(fā)展,人們生活水平得到提高的同時(shí)��,生活的節(jié)奏越來(lái)越快,生活壓力也越來(lái)越大��,幸福指數(shù)下降�。心理疾病越來(lái)越多,不良情緒帶來(lái)了各種各樣的軀體不適�,嚴(yán)重影響了患者的生活質(zhì)量。筆者對(duì)我院心內(nèi)科2008年1月—2011年8月住院的明確心臟神經(jīng)官能癥診斷的110例患者用穩(wěn)心顆粒治療���,并追蹤隨訪觀察�,治療效果顯著����,安全有效,現(xiàn)總結(jié)報(bào)道如下����。
1 資料與方法
1.1 病例選擇 選擇心內(nèi)科2008年1月—2011年8月住院的明確心臟神經(jīng)官能癥診斷的患者110例,其中男35例�,女75例,年齡20歲~75歲�����。臨床表現(xiàn)為發(fā)作性心慌���,胸悶���,煩躁易怒,失眠�����,焦慮等�。患者入選條件:明確診斷非器質(zhì)性心臟病患者��。心臟B超正常����,88例運(yùn)動(dòng)平板實(shí)驗(yàn)為陰性結(jié)果,32例冠狀動(dòng)脈造影排除冠心病�����。110例均行動(dòng)態(tài)心電圖檢查��,30例大致正常����,55例提示頻發(fā)房性早搏�,20例合并短陣房性心動(dòng)過(guò)速��,35例提示頻發(fā)室性早搏��。
1.2 用藥方法 停用其他抗心律失常藥物及其他鎮(zhèn)靜安神藥物至少5個(gè)半衰期��,給予穩(wěn)心顆粒治療�����,每次一包�,每日3次,溫開水沖服����,4周~8周為1個(gè)療程。
1.3 觀察療效指標(biāo) 觀察患者自覺癥狀是否好轉(zhuǎn)����,心慌胸悶癥狀減輕或消失,失眠焦慮情緒改善�����,睡眠質(zhì)量提高�����,復(fù)查動(dòng)態(tài)心電圖心律失常數(shù)目有無(wú)消失或顯著減少。 同時(shí)觀察藥物的安全性���,復(fù)查血����、尿�����、便常規(guī)�����,肝腎功能���,血脂,血糖�����,凝血功能���。
2 結(jié) 果
2.1 臨床療效及實(shí)驗(yàn)室檢查 治療4周后��,110例患者中94例(85%)心悸癥狀顯著減少或消失�,85例失眠,焦慮明顯改善(77%)��;13例患者合用艾司唑侖癥狀明顯改善���;3例患者改為黛力新口服后癥狀改善��?���?傆行蕿?8%����。監(jiān)測(cè)血常規(guī),大小便常規(guī)�����、肝腎功能�����、血脂、血糖���、凝血功能與用藥前無(wú)明顯變化���。
2.2 心電圖改變 治療前后心率、PR間期����、QRS波時(shí)限等無(wú)明顯變化�。
2.3 動(dòng)態(tài)心電圖變化 55例房性早搏患者服藥兩周后49例房性早搏明顯減少,總有效率90%�����,20例合并短陣房速患者17例房速消失����,有效率85%。33例室性早搏患者28例室性早博次數(shù)明顯減少�����,有效率84%����。穩(wěn)心顆粒對(duì)非器質(zhì)性心臟病合并心律失常療效明顯���。
2.4 不良反應(yīng) 5例患者嫌藥物氣味難以接收停用,1例患者出現(xiàn)過(guò)敏反應(yīng)���,全身皮膚出現(xiàn)散在紅色丘疹��,皮膚瘙癢����,停藥1周后痊愈�����。未見其他藥物不良反應(yīng)���。
3 討 論
穩(wěn)心顆粒是由黨參��、三七�����、甘松���、黃芪�、琥珀等地道中藥材組成����,具有益氣養(yǎng)陰,活血化瘀�����,燥濕化痰���,養(yǎng)心安神作用����。黨參���、黃精性甘平,益氣養(yǎng)陰���,健脾化源�;甘松、三七性甘溫�,理氣化瘀,開瘀醒脾����;琥珀性甘平,寧心復(fù)脈����,活血利水。全方合用���,可使心氣漸足�����,心陰得充�����,瘀祛絡(luò)通����,氣血流暢���,則心悸���、氣短癥自除��。在治療心臟官能癥改善患者的心悸���、氣短、煩躁����、焦慮等癥狀方面療效明顯���。在對(duì)非器質(zhì)性心臟病合并心律失?���;颊呖剐穆墒СV委煟礋o(wú)傳統(tǒng)西藥的致心律失常副反應(yīng)���,又有明確可靠療效,且耐受性強(qiáng)�,服用安全����,未見明顯毒副反應(yīng),是治療功能性心律失常的首選良藥��。
篇2
【關(guān)鍵詞】計(jì)算機(jī)信息;安全管理�;問(wèn)題�;對(duì)策
1 計(jì)算機(jī)信息安全的特點(diǎn)
計(jì)算機(jī)信息安全有五個(gè)標(biāo)志:
第一,完整性���。信息在傳輸��、交換、存儲(chǔ)和編輯處理的過(guò)程中可以保持原樣�����,不會(huì)隨意為他人所破壞���,這是計(jì)算機(jī)信息安全的最基本特征����。
第二���,保密性�����。信息的傳遞中不會(huì)隨意為第三方所截獲��,信息一路暢通無(wú)阻的從傳送方發(fā)送到接收方。要想實(shí)現(xiàn)保密性���,在信息的傳遞中就需要采取一定的措施�����,比方說(shuō):使用加密技術(shù)���。
第三,可用性���。在企業(yè)日常生活中��,員工可以利用信息系統(tǒng)來(lái)獲取相關(guān)信息����,當(dāng)系統(tǒng)遭受破壞時(shí),系統(tǒng)能夠在管理人員的維護(hù)中迅速恢復(fù)運(yùn)行��,盡量不影響企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的正常開展�。可用性充分體現(xiàn)了計(jì)算機(jī)信息系統(tǒng)面向用戶的安全性能����。
第四,不可否認(rèn)性���。在信息的交互過(guò)程中�����,參與者需要確保本人身份信息以及所提供的信息是真實(shí)的�����。
第五�,可控性���。對(duì)流通中的信息可以實(shí)現(xiàn)有效控制�,比方說(shuō),信息的傳輸范圍和信息的存放位置可控����。
企業(yè)在建設(shè)信息系統(tǒng)時(shí),需要充分考慮到網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)信息的安全性��,盡量避免安全隱患�����,保證計(jì)算機(jī)信息安全�。在信息系統(tǒng)的運(yùn)行中要有專門人員進(jìn)行管理,為企業(yè)發(fā)展提供安全可靠的計(jì)算機(jī)信息系統(tǒng)�,促進(jìn)企業(yè)的可持續(xù)健康發(fā)展�。
2 計(jì)算機(jī)信息安全管理中存在的問(wèn)題
計(jì)算機(jī)信息安全管理直接關(guān)系到企業(yè)的生死存亡,關(guān)系到信息系統(tǒng)積極作用的發(fā)揮��。而網(wǎng)絡(luò)背景下計(jì)算機(jī)信息安全面臨較大的挑戰(zhàn)���,因此要做好安全管理�����。那么����,目前的計(jì)算機(jī)信息安全管理又存在哪些方面的問(wèn)題呢?
2.1 忽視信息系統(tǒng)安全管理
許多企業(yè)重視信息系統(tǒng)的安全建設(shè)�����,也就是在建設(shè)信息系統(tǒng)的過(guò)程中努力減少安全隱患�����,提高信息系統(tǒng)的安全性能��。但是����,在信息系統(tǒng)運(yùn)行之后,企業(yè)卻忽視了安全管理����。而社會(huì)是不斷發(fā)展的,信息系統(tǒng)的安全性能也在不斷降低���,于是出現(xiàn)了越來(lái)越多的安全隱患��,不做好安全管理就會(huì)導(dǎo)致計(jì)算機(jī)信息安全得不到保證����,不利于企業(yè)經(jīng)濟(jì)建設(shè)。
2.2 管理人員素質(zhì)有待提高
很多企業(yè)的管理人員都只是進(jìn)行一般的技術(shù)維護(hù)工作�,沒(méi)有對(duì)系統(tǒng)進(jìn)行軟件開發(fā)和改進(jìn)。而社會(huì)的不斷發(fā)展使得信息系統(tǒng)的管理任務(wù)越來(lái)越重�,這樣就需要管理人員不斷提高自身素質(zhì),不斷解決計(jì)算機(jī)信息安全管理中出現(xiàn)的新問(wèn)題�,保證信息安全。
2.3 缺乏定期審計(jì)
信息安全管理需要有專業(yè)的專項(xiàng)審計(jì)才能發(fā)現(xiàn)其技術(shù)問(wèn)題��。許多企業(yè)并沒(méi)有審計(jì)部門����,或是沒(méi)有高素質(zhì)的專業(yè)審計(jì)人員來(lái)對(duì)計(jì)算機(jī)信息安全管理開展審計(jì)工作,因而計(jì)算機(jī)信息安全管理還存在很大缺陷��。
2.4 信息安全管理缺乏針對(duì)性
計(jì)算機(jī)安全管理的基礎(chǔ)是風(fēng)險(xiǎn)評(píng)估��,運(yùn)用科學(xué)的方法和手段來(lái)系統(tǒng)分析計(jì)算機(jī)信息所面臨的風(fēng)險(xiǎn)以及信息系統(tǒng)的脆弱性����,進(jìn)而形成與之相適應(yīng)的安全管理方法制度���,提出有針對(duì)性的安全管理措施���,有效防范風(fēng)險(xiǎn)���。但是,我國(guó)計(jì)算機(jī)信息安全管理中很多都沒(méi)有開展風(fēng)險(xiǎn)評(píng)估�����,甚至有的企業(yè)直接借用了他人安全管理的方法�����,沒(méi)有根據(jù)自身的特點(diǎn)來(lái)開展針對(duì)性風(fēng)險(xiǎn)防御���,所以計(jì)算機(jī)信息安全管理的效果不佳�����。而且風(fēng)險(xiǎn)評(píng)估還需要定期進(jìn)行�����,比如說(shuō):每隔三個(gè)月開展一次系統(tǒng)的風(fēng)險(xiǎn)評(píng)估��,從而調(diào)整安全管理措施���。
3 計(jì)算機(jī)信息安全管理的對(duì)策
計(jì)算機(jī)信息安全直接關(guān)系到企業(yè)的健康發(fā)展��,關(guān)系到企業(yè)內(nèi)部信息交流溝通的順暢���,因而企業(yè)要提高思想認(rèn)識(shí),注重信息安全管理��。具體來(lái)說(shuō)�����,可以從以下幾個(gè)方面來(lái)開展安全管理:
3.1 提高管理人員的素質(zhì)
安全管理中需要管理人員有比較高的計(jì)算機(jī)技術(shù)��,能及時(shí)修正信息系統(tǒng)出現(xiàn)的問(wèn)題��,能進(jìn)行軟件開發(fā)�,不斷促進(jìn)信息系統(tǒng)的進(jìn)步,提高信息系統(tǒng)的安全性能��。因此����,企業(yè)要對(duì)管理人員進(jìn)行定期培訓(xùn)再教育��,促進(jìn)管理人員學(xué)習(xí)最新技術(shù)知識(shí),提高他們的技能水平�����,從而更好的開展信息系統(tǒng)的安全管理工作���。與此同時(shí)�,企業(yè)還要利用企業(yè)文化來(lái)促進(jìn)企業(yè)內(nèi)部形成學(xué)習(xí)型組織�����,促進(jìn)每個(gè)員工都能自主提高素質(zhì)���,不斷提高工作效率�,促進(jìn)企業(yè)競(jìng)爭(zhēng)力的提高����。
3.2 注重操作人員技能水平的提高
據(jù)調(diào)查,在信息安全事故中�����,有20%~30%的事故是由于黑客入侵或網(wǎng)絡(luò)病毒等外在因素引起的;有70%~80%是人為操作失誤或主觀泄露造成的�����。因此��,計(jì)算機(jī)信息安全管理中要注重對(duì)人的管理�,首先要提高操作人員的思想認(rèn)識(shí)水平。其次要提高操作人員的技能水平����,盡量減少操作失誤帶來(lái)的信息安全事故,保證信息安全���。
3.3 落實(shí)檢查責(zé)任�,開展定期審計(jì)
在計(jì)算機(jī)信息安全管理中���,將責(zé)任分割落實(shí)到每個(gè)員工身上����,建立完善的責(zé)任制度�,將責(zé)任制度與業(yè)績(jī)考核制度有機(jī)結(jié)合起來(lái),促使每一個(gè)工作人員都能在規(guī)章制度要求下開展安全管理工作��,促進(jìn)安全管理水平的提高。同時(shí)�,定期審計(jì)也是安全管理中不可或缺的一部分�����,企業(yè)要聘請(qǐng)專業(yè)審計(jì)人員來(lái)壯大計(jì)算機(jī)信息安全管理隊(duì)伍���,及時(shí)發(fā)現(xiàn)安全管理的問(wèn)題并解決�����。
3.4 動(dòng)態(tài)式的計(jì)算機(jī)信息安全管理
企業(yè)在發(fā)展��,社會(huì)在進(jìn)步����,信息也在時(shí)時(shí)更新�。因此����,信息安全管理就應(yīng)該依據(jù)企業(yè)信息的特點(diǎn)來(lái)開展動(dòng)態(tài)式的安全管理。隨著科學(xué)技術(shù)的發(fā)展�,不斷對(duì)原有的安全管理方法進(jìn)行改進(jìn),提高信息系統(tǒng)的安全性能。
4 結(jié)束語(yǔ)
信息安全管理除了要做好前面幾項(xiàng)任務(wù)外���,還需要在安全管理制度�����、安全管理保障體系���、系統(tǒng)安全、網(wǎng)絡(luò)安全���、協(xié)議安全等方面不斷創(chuàng)新��,不斷進(jìn)行軟件開發(fā)���,促進(jìn)安全管理水平的提高,真正做到多措并舉�、不留絲毫安全隱患。
參考文獻(xiàn):
[1]鄧娟.計(jì)算機(jī)信息安全問(wèn)題研究[J].科技資訊�����,2009(8).
[2]寇書華�,何國(guó)偉.計(jì)算機(jī)信息安全管理探究[J].計(jì)算機(jī)安全����,2013(3).
[3]韓明.計(jì)算機(jī)信息安全管理建設(shè)淺議[J].中小企業(yè)管理與科技�,2012(21).
篇3
【關(guān)鍵詞】保密意識(shí) 審計(jì)信息安全
審計(jì)信息是審計(jì)人員在工作中運(yùn)用一定的技術(shù)、方法�、手段�����,收集加工提煉整理的業(yè)務(wù)信息�����,是反映和體現(xiàn)審計(jì)工作成果的重要載體����,主要包括審計(jì)工作信息和審計(jì)項(xiàng)目信息,涉及銀行敏感信息及經(jīng)營(yíng)決策管理的商業(yè)秘密��。審計(jì)人員泄密風(fēng)險(xiǎn)如影隨形���,無(wú)時(shí)不在����,審計(jì)信息保密事關(guān)銀行信息安全和審計(jì)聲譽(yù)。因此���,審計(jì)人員肩負(fù)審計(jì)數(shù)據(jù)及信息安全的重任���,牢固樹立保密意識(shí)、嚴(yán)格履行保密職責(zé)��、執(zhí)行保密紀(jì)律是每個(gè)審計(jì)人員義不容辭的責(zé)任�����。
一����、審計(jì)信息渠道
審計(jì)信息主要來(lái)源于審計(jì)管理系統(tǒng)及平臺(tái)信息和審計(jì)業(yè)務(wù)信息收集兩個(gè)方面:
第一,審計(jì)管理系統(tǒng)及平臺(tái)信息是審計(jì)人員在實(shí)施審計(jì)項(xiàng)目���、進(jìn)行審計(jì)管理的過(guò)程中�����,通過(guò)審計(jì)應(yīng)用系統(tǒng)及平臺(tái)獲取審計(jì)業(yè)務(wù)操作與管理的業(yè)務(wù)和數(shù)據(jù)信息�,包括非現(xiàn)場(chǎng)審計(jì)系統(tǒng)(OAS系統(tǒng))信息��、審計(jì)管理信息系統(tǒng)(AMIS系統(tǒng))信息、審計(jì)知識(shí)庫(kù)系統(tǒng)信息�、任期經(jīng)濟(jì)責(zé)任審計(jì)信息資料庫(kù)信息、總審計(jì)室信息平臺(tái)等信息���。
第二�,審計(jì)業(yè)務(wù)信息是審計(jì)項(xiàng)目和日常審計(jì)工作中由各級(jí)機(jī)構(gòu)提供的業(yè)務(wù)信息以及審計(jì)項(xiàng)目信息�。業(yè)務(wù)信息包括審計(jì)機(jī)構(gòu)審計(jì)計(jì)劃、審計(jì)研究成果���、被審計(jì)機(jī)構(gòu)經(jīng)營(yíng)計(jì)劃及業(yè)務(wù)指標(biāo)、客戶及其賬戶信息����、業(yè)務(wù)管理信息等,以及通過(guò)Notes郵箱���、辦公自動(dòng)化系統(tǒng)(OA系統(tǒng))��、檔案管理信息系統(tǒng)等收集整理的各類業(yè)務(wù)信息����。審計(jì)項(xiàng)目信息包括審計(jì)方案��、審計(jì)報(bào)告、審計(jì)模型�、審計(jì)證據(jù)、審計(jì)工作底稿����,以及審計(jì)過(guò)程中通過(guò)會(huì)計(jì)檔案管理系統(tǒng)、UAAP統(tǒng)一報(bào)表平臺(tái)��、對(duì)公信貸業(yè)務(wù)流程系統(tǒng)(CLPM系統(tǒng))���、個(gè)人信貸管理系統(tǒng)(A+P系統(tǒng))���、信貸管理系統(tǒng)(CMISII系統(tǒng))、ODSB二期及ERPF報(bào)表查詢等收集加工整理的各類信息�����。
二��、主要問(wèn)題和風(fēng)險(xiǎn)
(一)審計(jì)信息未集中管理���,存在泄密的潛在風(fēng)險(xiǎn)隱患
便攜式計(jì)算機(jī)是審計(jì)人員的必備工具���,其中存儲(chǔ)大量重要信息��,實(shí)施審計(jì)項(xiàng)目按照審計(jì)方案要求分組開展����,審計(jì)現(xiàn)場(chǎng)點(diǎn)多面廣�����,審計(jì)資料不便于集中���,審計(jì)人員注重信息資料使用忽視保密管理���,對(duì)敏感及信息未經(jīng)加密處理采取保密措施����,形成審計(jì)信息安全隱患。一是項(xiàng)目實(shí)施過(guò)程中審計(jì)信息處于分散失控狀態(tài)����,缺乏安全管理;二是審計(jì)項(xiàng)目結(jié)束后�,由于未明確和指定專人負(fù)責(zé)歸集審計(jì)項(xiàng)目信息,致使審計(jì)人員未及時(shí)清理�、歸集移除審計(jì)項(xiàng)目電子信息資料��,長(zhǎng)久滯留審計(jì)人員計(jì)算機(jī)中將可能導(dǎo)致審計(jì)信息流失和泄密�。
(二)計(jì)算機(jī)上網(wǎng)導(dǎo)致審計(jì)信息失密�,造成損失形成銀行聲譽(yù)風(fēng)險(xiǎn)
計(jì)算機(jī)上網(wǎng)成為信息泄露的主要途徑,計(jì)算機(jī)使用無(wú)線鍵盤或鼠標(biāo)上網(wǎng)�、移動(dòng)存儲(chǔ)介質(zhì)與聯(lián)網(wǎng)計(jì)算機(jī)交叉使用將會(huì)導(dǎo)致失泄密。一是審計(jì)人員因工作需要����,有時(shí)通過(guò)互聯(lián)網(wǎng)傳送或下載工作信息,或上網(wǎng)查詢信貸客戶企業(yè)注冊(cè)登記等信息���,如果客戶敏感信息被不法分子截獲并利用���,給客戶帶來(lái)不利影響的同時(shí),將會(huì)導(dǎo)致銀行聲譽(yù)風(fēng)險(xiǎn)的嚴(yán)重后果�����。二是審計(jì)人員使用的計(jì)算機(jī)����、U盤等磁介質(zhì)若不采取保密措施,未經(jīng)加密在互聯(lián)網(wǎng)上傳輸行內(nèi)重要數(shù)據(jù)或信息,被竊密者運(yùn)用技術(shù)軟件竊取��,無(wú)意中將泄露銀行敏感信息或商業(yè)秘密�,給銀行造成無(wú)可估量的損失。
(三)審計(jì)管理系統(tǒng)用戶認(rèn)證安全機(jī)制低����、對(duì)客戶敏感信息訪問(wèn)無(wú)控制
由于非現(xiàn)場(chǎng)審計(jì)系統(tǒng)對(duì)相關(guān)敏感數(shù)據(jù)字段未能加密,在審計(jì)項(xiàng)目實(shí)施過(guò)程中��,審計(jì)人員登錄系統(tǒng)可任意查詢導(dǎo)出相關(guān)的信息及數(shù)據(jù)��,存在敏感信息和商業(yè)秘密泄漏的風(fēng)險(xiǎn)�。
三、審計(jì)信息安全管理措施
第一����,健全制度,落實(shí)責(zé)任����。為加強(qiáng)審計(jì)信息安全保密��,對(duì)于計(jì)算機(jī)設(shè)備使用管理����、審計(jì)管理系統(tǒng)運(yùn)行管理及數(shù)據(jù)信息安全保密管理���,制定信息安全管理制度,明確責(zé)任���,落實(shí)保密職責(zé)��。
第二���,加強(qiáng)安全保密培訓(xùn)和教育,筑牢審計(jì)人員的安全和風(fēng)險(xiǎn)意識(shí)����。一是要警鐘長(zhǎng)鳴,加強(qiáng)警示教育�,做到防患于未然。二是建立信息安全的長(zhǎng)效機(jī)制�����,將審計(jì)信息安全保密作為審計(jì)人員培訓(xùn)教育的重要內(nèi)容�,使之深刻認(rèn)識(shí)安全無(wú)小事,牢記“失之毫厘�����、謬以千里”道理,始終繃緊安全保密意識(shí)的弦���,嚴(yán)守保密紀(jì)律�,自覺履行保密職責(zé)���。
第三��,加強(qiáng)審計(jì)系統(tǒng)用戶管理�,嚴(yán)格用戶操作權(quán)限�����,禁止將用戶口令及UKEY轉(zhuǎn)借他人使用�����。在未開展審計(jì)項(xiàng)目階段限制非現(xiàn)場(chǎng)審計(jì)系統(tǒng)操作用戶��,使用系統(tǒng)必須經(jīng)過(guò)申請(qǐng)批準(zhǔn)���,以防止敏感信息泄露。搭建開放的非現(xiàn)場(chǎng)審計(jì)系統(tǒng)學(xué)習(xí)培訓(xùn)環(huán)境,提供審計(jì)人員用于學(xué)習(xí)操作非現(xiàn)場(chǎng)系統(tǒng)��。
第四�����,利用管理信息平臺(tái)FTP服務(wù)器對(duì)審計(jì)重要信息進(jìn)行管理��,實(shí)現(xiàn)遠(yuǎn)程資源共享��,審計(jì)人員可查詢相關(guān)工作信息���,本機(jī)不再保存敏感信息和數(shù)據(jù)�����,切實(shí)防范便攜機(jī)或移動(dòng)硬盤存儲(chǔ)審計(jì)信息失泄密的風(fēng)險(xiǎn)隱患��。
第五���,落實(shí)安全管理責(zé)任,簽訂《審計(jì)崗位人員保密協(xié)議》���,強(qiáng)化保密意識(shí)���,約束審計(jì)信息保密行為�����。
第六�����,加強(qiáng)計(jì)算機(jī)管理���,嚴(yán)防信息失泄密。設(shè)置屏幕保護(hù)的時(shí)間和密碼��,確保在長(zhǎng)時(shí)間不使用計(jì)算機(jī)時(shí)對(duì)屏幕上和系統(tǒng)內(nèi)的敏感信息進(jìn)行安全保護(hù)����。計(jì)算機(jī)做到專機(jī)專用,與互聯(lián)網(wǎng)物理隔離�����,禁止通過(guò)電子郵箱或互聯(lián)網(wǎng)傳輸及重要工作信息����,避免移動(dòng)存儲(chǔ)介質(zhì)交叉使用��。
第七,應(yīng)用技術(shù)手段加強(qiáng)信息安全管理���,審計(jì)條線全員推廣使用Windows7(企業(yè)版)操作系統(tǒng)���,應(yīng)用全盤加密(BitLocker)功能,能夠有效降低因設(shè)備物理丟失導(dǎo)致的審計(jì)信息泄露風(fēng)險(xiǎn)��,有助于加強(qiáng)審計(jì)信息安全管理����。
篇4
關(guān)鍵詞:信息安全管理;網(wǎng)絡(luò)安全�;風(fēng)險(xiǎn)評(píng)估
中圖分類號(hào):TP393.08
隨著信息化技術(shù)的高速發(fā)展和深入應(yīng)用,企業(yè)對(duì)信息系統(tǒng)的依賴性越來(lái)越強(qiáng)�����,絕大部分的業(yè)務(wù)從紙面遷移到信息系統(tǒng)當(dāng)中����,如何建立穩(wěn)固的信息安全管理體系已經(jīng)成為各企業(yè)信息管理部門甚至管理層的重要課題。本文將通過(guò)對(duì)目前國(guó)際信息安全行業(yè)發(fā)展的分析����,提出企業(yè)構(gòu)建穩(wěn)固的信息安全管理架構(gòu)��,提高信息安全水平的初步構(gòu)想����。
1企業(yè)信息安全政策
信息安全政策作為信息安全工作的重中之重��,直接展現(xiàn)了企業(yè)的信息安全工作的思路�。其應(yīng)當(dāng)由企業(yè)信息安全工作的使命和遠(yuǎn)景,實(shí)施準(zhǔn)則等幾部分組成��。
1.1信息安全工作的使命
信息安全工作的核心意義是將企業(yè)所面臨的風(fēng)險(xiǎn)管理至一個(gè)可接受的水平�����。
當(dāng)前主流的風(fēng)險(xiǎn)控制包含以下四個(gè)步驟:通過(guò)風(fēng)險(xiǎn)評(píng)估方法來(lái)評(píng)估風(fēng)險(xiǎn)�;制定安全策略來(lái)降低風(fēng)險(xiǎn);通過(guò)監(jiān)控控制惡意未授權(quán)行為�����;有效地審計(jì)��。
1.2信息安全工作的愿景
安全的企業(yè)信息化環(huán)境可以為任何企業(yè)用戶提供安全便捷的信息化服務(wù),應(yīng)用����,基礎(chǔ)設(shè)施,并保護(hù)用戶的隱私����。讓用戶有安全的身份驗(yàn)證���;能安全便捷的使用需要的數(shù)據(jù)和應(yīng)用資源���;保證通訊和數(shù)據(jù)的保密性;明確自身的角色�,了解角色在企業(yè)中的信息安全責(zé)任;身邊出現(xiàn)的信息安全風(fēng)險(xiǎn)和威脅能得到迅速響應(yīng)��。
要達(dá)到上述目的���,企業(yè)需要進(jìn)行有效的風(fēng)險(xiǎn)管理���。風(fēng)險(xiǎn)管理是一個(gè)識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)���、降低風(fēng)險(xiǎn)的過(guò)程��。在這個(gè)過(guò)程中�����,需要權(quán)衡降低風(fēng)險(xiǎn)的成本和業(yè)務(wù)的需求�,確定風(fēng)險(xiǎn)的優(yōu)先級(jí)別,為管理層的決策提供有效的支持����。
1.3信息安全準(zhǔn)則
信息安全準(zhǔn)則是風(fēng)險(xiǎn)評(píng)估和制定最優(yōu)解決方案的關(guān)鍵,優(yōu)秀的信息安全準(zhǔn)則包括:根據(jù)企業(yè)業(yè)務(wù)目標(biāo)執(zhí)行風(fēng)險(xiǎn)管理����;有組織的確定員工角色和責(zé)任;對(duì)用戶和數(shù)據(jù)實(shí)行最小化權(quán)限管理���;在應(yīng)用和系統(tǒng)的計(jì)劃和開發(fā)過(guò)程中就考慮安全防護(hù)的問(wèn)題����;在應(yīng)用中實(shí)施逐層防護(hù)�;建立高度集成的安全防護(hù)框架;將監(jiān)控���、審計(jì)和快速反應(yīng)結(jié)合為一體����。
良好信息安全準(zhǔn)則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念,從而讓企業(yè)信息管理部門更好地對(duì)風(fēng)險(xiǎn)進(jìn)行管控�����。
2企業(yè)信息安全管理的主要手段
2.1網(wǎng)絡(luò)安全
(1)保證安全的外部人員連接����。在日常工作中��,外部合作伙伴經(jīng)常會(huì)提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求�,由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標(biāo)準(zhǔn),因此存在信息安全隱患�����?���?刂拼祟愶L(fēng)險(xiǎn)的手段主要有:對(duì)用戶賬戶使用硬件KEY等強(qiáng)驗(yàn)證手段;全面管控外部單位的網(wǎng)絡(luò)接入等�。
(2)遠(yuǎn)程接入控制。隨著VPN[2-3]技術(shù)的不斷發(fā)展,遠(yuǎn)程接入的風(fēng)險(xiǎn)已降低到企業(yè)的可控范圍��,而近年來(lái)移動(dòng)辦公的興起更是推動(dòng)了遠(yuǎn)程接入技術(shù)的發(fā)展�����。企業(yè)采用USB KEY���,動(dòng)態(tài)口令牌等硬件認(rèn)證方式的遠(yuǎn)程接入要更加的安全�。
(3)網(wǎng)絡(luò)劃分����。在過(guò)去,企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主��。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟�����,非受控終端給企業(yè)內(nèi)網(wǎng)帶來(lái)的安全壓力越來(lái)越大��。這些不受信任的終端為攻擊者提供了訪問(wèn)企業(yè)網(wǎng)絡(luò)的路徑�����。信息管理部門可以利用IPSec[4]技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全,實(shí)現(xiàn)對(duì)位于公司防火墻內(nèi)部終端的完全管控�。
(4)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為防火墻的補(bǔ)充�����,主要用于監(jiān)控網(wǎng)絡(luò)傳輸�����,在檢測(cè)到可疑傳輸行為時(shí)報(bào)警���。作為企業(yè)信息安全架構(gòu)的必備設(shè)備�����,入侵檢測(cè)系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為,隨著信息技術(shù)的發(fā)展�����,各大安全廠商如賽門鐵克��,思科等均研發(fā)出來(lái)成熟的入侵檢測(cè)系統(tǒng)產(chǎn)品�����。
(5)無(wú)線網(wǎng)絡(luò)安全。無(wú)線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域����,給企業(yè)和用戶帶來(lái)便利的同時(shí)也存在信息安全的隱患。要保證企業(yè)內(nèi)部無(wú)線網(wǎng)絡(luò)的安全���,信息管理部門需要使用更新更安全的協(xié)議(如無(wú)線保護(hù)接入WPA或WPA2)���;使用VLAN劃分和域提供互相隔離的無(wú)線網(wǎng)絡(luò);利用802.1x和EAP技術(shù)加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制���。
2.2訪問(wèn)控制
(1)密碼策略����。高強(qiáng)度的密碼需要幾年時(shí)間來(lái)破解��,而脆弱的密碼在一分鐘內(nèi)就可以被破解���。提高企業(yè)用戶的密碼強(qiáng)度是訪問(wèn)控制的必要手段�����。為避免弱密碼可能對(duì)公司造成的危害���,企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行�����。
(2)用戶權(quán)限管理���。企業(yè)的員工從進(jìn)入公司到離職是一個(gè)完整的生命周期,要便捷有效地在這個(gè)生命周期中對(duì)員工的權(quán)限進(jìn)行管理�����,需要企業(yè)具有完善的身份管理平臺(tái)���,從而實(shí)現(xiàn)授權(quán)流程的自動(dòng)化,并實(shí)現(xiàn)企業(yè)內(nèi)應(yīng)用的單點(diǎn)登陸�����。
(3)公鑰系統(tǒng)[5]。公鑰系統(tǒng)是訪問(wèn)控制乃至信息安全架構(gòu)的核心模塊���,無(wú)線網(wǎng)絡(luò)訪問(wèn)授權(quán)���,VPN接入,文件加密系統(tǒng)等均可以通過(guò)公鑰系統(tǒng)提升安全水平����,因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。
2.3監(jiān)控與審計(jì)
(1)病毒掃描與補(bǔ)丁管理�����。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng)��,在終端定期更新病毒定義���,進(jìn)行病毒自掃描����,自動(dòng)更新操作系統(tǒng)補(bǔ)丁���,以減少桌面終端的安全風(fēng)險(xiǎn)����。此類管控手段通常需要在用戶的終端上安裝客戶端,或?qū)K端進(jìn)行定制����,在終端接入企業(yè)內(nèi)網(wǎng)時(shí),終端管理系統(tǒng)會(huì)在隔離區(qū)域?qū)υ摻K端進(jìn)行綜合評(píng)估打分����,通過(guò)評(píng)估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行��。
(2)惡意軟件防控���。主流的惡意軟件防控體系主要由五部分構(gòu)成:防病毒系統(tǒng)��;內(nèi)容過(guò)濾網(wǎng)關(guān)���;郵件過(guò)濾網(wǎng)關(guān);惡意網(wǎng)頁(yè)過(guò)濾網(wǎng)關(guān)和入侵檢測(cè)軟件��。
(3)安全事件記錄和審計(jì)���。企業(yè)應(yīng)當(dāng)配置日志審計(jì)系統(tǒng)����,收集信息安全事件�����,產(chǎn)生審計(jì)記錄��,根據(jù)記錄進(jìn)行安全事件分析����,并采取相應(yīng)的處理措施。
2.4培訓(xùn)與宣傳
提高企業(yè)管理層和員工的信息安全意識(shí)�,是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性�,管理層才會(huì)支持信息安全管理建設(shè),用戶才會(huì)配合信息管理部門工作���。利用定期培訓(xùn)�,宣傳海報(bào)����,郵件等方式定期反復(fù)對(duì)企業(yè)用戶進(jìn)行信息安全培訓(xùn)和宣傳,能有效提高企業(yè)信息安全管理水平。
3總結(jié)
當(dāng)前�����,越來(lái)越多的企業(yè)已經(jīng)把信息安全看做影響業(yè)務(wù)發(fā)展的核心因素之一����,信息安全管理已經(jīng)成為企業(yè)管理的重點(diǎn)。本文對(duì)信息安全政策�����,安全管理手段等方面進(jìn)行了剖析���,結(jié)合當(dāng)前國(guó)際主流的信息安全解決辦法�����,為企業(yè)做好�,做強(qiáng)信息安全管理體系給出了一些通用性的標(biāo)準(zhǔn)�����,對(duì)企業(yè)構(gòu)建信息安全管理體系����,消除信息安全隱患��,避免信息安全事件造成的損失�����,確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行具有探索意義�。
參考文獻(xiàn):
[1]何劍虹,白曉穎,李潤(rùn)玲,崔智社.基于SLA的面向服務(wù)的基礎(chǔ)設(shè)施[J].電訊技術(shù),2011,51(9):100-105.
[2]胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.
[3]戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.
篇5
【關(guān)鍵詞】銀行;信息安全;管理體系
從上世紀(jì)八十年代至今,信息技術(shù)因其獨(dú)特的優(yōu)勢(shì)在銀行業(yè)的地位發(fā)生了巨大的變化�����。在銀行業(yè)應(yīng)用信息技術(shù)之初����,只是被作為提高銀行工作效率的手段,隨著信息技術(shù)的不斷發(fā)展與進(jìn)步���,當(dāng)前其已經(jīng)成為銀行系統(tǒng)中不可或缺的工具���。可以說(shuō)信息技術(shù)的發(fā)展促進(jìn)了銀行管理模式的變化��,并且直接影響到銀行的業(yè)務(wù)流程[1]。由于銀行對(duì)信息技術(shù)的依賴程度越來(lái)越高����,銀行信息系統(tǒng)的運(yùn)行安全與銀行業(yè)的安全以及國(guó)家金融穩(wěn)定密切相關(guān),因此做好銀行信息安全管理是保障國(guó)家金融穩(wěn)定運(yùn)行的重要措施���。目前我國(guó)銀行的信息技術(shù)水平與規(guī)模得到了不斷提高���,但在信息安全管理方面存在一些不足,這就需要構(gòu)建銀行信息安全管理體系���,對(duì)銀行的各項(xiàng)信息進(jìn)行全面的管理�����,有效避免風(fēng)險(xiǎn)的發(fā)生�。
1.銀行信息安全管理中出現(xiàn)的問(wèn)題
各種信息技術(shù)設(shè)備在銀行業(yè)的廣泛應(yīng)用�����,雖然有效提升了銀行的工作效率與服務(wù)質(zhì)量�,但是也逐漸暴露出各種信息安全管理問(wèn)題,主要表現(xiàn)在以下幾個(gè)方面�����。
1.1 信息安全管理體系不健全
我國(guó)很多銀行在安全管理方面存在各種問(wèn)題,其中最為普遍的就是信息安全管理體系不健全����。這些銀行的起步較晚,信息技術(shù)的應(yīng)用范圍相對(duì)狹窄�����,在風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)等方面有待完善�,并且信息安全的實(shí)施策略����、標(biāo)準(zhǔn)以及質(zhì)量控制等還沒(méi)有達(dá)到國(guó)際標(biāo)準(zhǔn)。同時(shí)部分銀行制定的信息安全策略不夠完善��,尤其表現(xiàn)在信息資產(chǎn)的管理以及業(yè)務(wù)管理等方面����,極大增加了信息系統(tǒng)的安全隱患,而一些銀行的信息安全管理工作流于形式��,根本沒(méi)有建立全面而長(zhǎng)效的信息安全管理機(jī)制����。
1.2 運(yùn)維監(jiān)控與預(yù)警系統(tǒng)存在問(wèn)題
我國(guó)的一些銀行還沒(méi)有建立有效的運(yùn)維監(jiān)控與預(yù)警系統(tǒng)�����,或者在銀行的硬件設(shè)施與業(yè)務(wù)系統(tǒng)方面存在一些缺陷���,無(wú)法對(duì)銀行的重要設(shè)備以及周圍的環(huán)境進(jìn)行實(shí)時(shí)監(jiān)測(cè)。部分銀行在風(fēng)險(xiǎn)預(yù)警監(jiān)控方面的自動(dòng)化程度有待提高�����,而在對(duì)突發(fā)事件����、意外事件等進(jìn)行預(yù)警與監(jiān)測(cè)時(shí)人工檢測(cè)占據(jù)了大部分比例,這樣就很難保障銀行風(fēng)險(xiǎn)預(yù)警監(jiān)控的可靠性與及時(shí)性����。
1.3 銀行工作人員導(dǎo)致的風(fēng)險(xiǎn)
當(dāng)前很多銀行的管理人員并沒(méi)有加強(qiáng)對(duì)員工安全意識(shí)的定期強(qiáng)制性培訓(xùn),員工普遍缺乏安全意識(shí)��,在工作過(guò)程中不能很好地保障銀行的信息安全�,在出現(xiàn)問(wèn)題后也無(wú)法及時(shí)發(fā)現(xiàn),這就導(dǎo)致銀行潛在的風(fēng)險(xiǎn)增加�。一些銀行員工由于缺乏安全意識(shí)��,可能會(huì)將私人的優(yōu)盤等設(shè)備接入銀行的信息系統(tǒng)中����,導(dǎo)致病毒入侵����,直接威脅到銀行的信息安全。同時(shí)目前銀行還普遍缺乏風(fēng)險(xiǎn)管理專業(yè)人才���,無(wú)法做到對(duì)風(fēng)險(xiǎn)的專業(yè)化管理[2]��。
1.4 信息技術(shù)的監(jiān)控與審計(jì)不完善
當(dāng)前部分銀行在信息技術(shù)的監(jiān)控與設(shè)計(jì)方面有待加強(qiáng)。首先審計(jì)問(wèn)題的整改落實(shí)不到位���,銀行在通過(guò)審計(jì)發(fā)現(xiàn)問(wèn)題后沒(méi)有及時(shí)查處�����,或者查處的力度不夠�,缺乏長(zhǎng)效的監(jiān)督;大多采用經(jīng)濟(jì)處罰�,遇到侵犯領(lǐng)導(dǎo)利益的事件就大事化了或隱瞞事實(shí)。其次�����,銀行審計(jì)的廣度、深度還不夠����,并且審核的周期與間隔較長(zhǎng),部分基層銀行甚至完全不開展信息技術(shù)審計(jì)工作�����。一些銀行雖然開展了審計(jì)工作�����,但審計(jì)缺乏深度���,很難識(shí)別深層次的安全隱患[3]�。
2.加強(qiáng)銀行信息安全管理的重要性
銀行加強(qiáng)信息安全的主要目的就是為了保障信息化的持續(xù)穩(wěn)定發(fā)展��,信息安全不僅屬于技術(shù)問(wèn)題��,也屬于管理問(wèn)題����。從信息技術(shù)層面來(lái)看����,當(dāng)前我們使用的很多操作系統(tǒng)存在一定的安全漏洞�����,開發(fā)商會(huì)針對(duì)發(fā)現(xiàn)的漏洞設(shè)計(jì)相應(yīng)的補(bǔ)丁程序��,這就需要定期更新系統(tǒng)����。例如�,運(yùn)用主機(jī)熱備份以及災(zāi)難備份的方式,可以有效保障信息的安全運(yùn)行��。同時(shí)一些軟件開放人員在編程設(shè)計(jì)過(guò)程中留有“后門”,如果這些“后門”被不法分子知道��,就會(huì)將該部分作為攻擊目標(biāo)���,進(jìn)而影響到信息系統(tǒng)的安全。當(dāng)前大部分的黑客攻擊等都是由于系統(tǒng)“漏洞”引起的�����,因此銀行在應(yīng)用軟件過(guò)程中應(yīng)該盡量避免留有“漏洞”。
此外���,隨著我國(guó)信息化技術(shù)的不斷發(fā)展���,信息系統(tǒng)的安全管理也被納入國(guó)家的重點(diǎn)項(xiàng)目中。與世界上的部分發(fā)達(dá)國(guó)家相比���,我國(guó)的信息安全管理工作起步較晚�,但是發(fā)展較快����,并且對(duì)系統(tǒng)風(fēng)險(xiǎn)認(rèn)識(shí)的不斷深化促進(jìn)了信息安全管理的發(fā)展。對(duì)于銀行而言��,信息安全是至關(guān)重要的問(wèn)題��,這是因?yàn)槿魏我粋€(gè)環(huán)節(jié)出現(xiàn)問(wèn)題����,都會(huì)對(duì)整個(gè)系統(tǒng)的發(fā)展帶來(lái)影響,甚至導(dǎo)致全局性的失誤�����。例如,銀行傳統(tǒng)的信貸�、柜臺(tái)等業(yè)務(wù)已經(jīng)有多年的信息安全管理經(jīng)驗(yàn),而信用卡作為一種新型的業(yè)務(wù)��,它連接了多個(gè)方面的利益關(guān)系����,其中涉及到發(fā)卡行、特約商戶以及持卡人之間的關(guān)系�����,因此信息安全就成為重中之重�����。在銀行開展各項(xiàng)業(yè)務(wù)過(guò)程中���,信息和數(shù)據(jù)是基礎(chǔ)[4]��。此外,從客戶的角度來(lái)看��,銀行在給客戶提供服務(wù)時(shí),必須保障提供信息的準(zhǔn)確性����、可靠性與安全性。由此可見�����,銀行加強(qiáng)信息安全管理是十分必要的����。
3.構(gòu)建銀行信息安全管理體系的思考
二十一世紀(jì)屬于信息網(wǎng)絡(luò)時(shí)代,我們生活中的大部分工作與事物都會(huì)用到信息技術(shù)�,而在應(yīng)用信息技術(shù)過(guò)程中也伴隨著一些信息安全問(wèn)題。根據(jù)銀行安全管理中出現(xiàn)的問(wèn)題����,并結(jié)合銀行業(yè)的未來(lái)發(fā)展規(guī)劃,我們應(yīng)該構(gòu)建一個(gè)健全�、高效的銀行信息安全管理體系。
3.1 建設(shè)信息安全管理技術(shù)體系
在整個(gè)銀行信息安全管理體系建設(shè)中����,先進(jìn)的技術(shù)是其中最為重要的部分,運(yùn)用先進(jìn)的信息技術(shù)能夠有效避免出現(xiàn)安全事件�����。我們使用較多的信息技術(shù)有身份識(shí)別、系統(tǒng)防火墻����、防病毒技術(shù)等,同時(shí)也可以使用漏洞掃描����、邊界防護(hù)等技術(shù),通過(guò)多種安全防護(hù)技術(shù)來(lái)加強(qiáng)信息安全管理�。
在使用防火墻技術(shù)時(shí)通常是將其設(shè)置在網(wǎng)絡(luò)的邊界上,以此對(duì)外界進(jìn)行隔離����,對(duì)信息安全管理系統(tǒng)進(jìn)行安全強(qiáng)化[5]。病毒是信息網(wǎng)絡(luò)中最為常見的安全問(wèn)題����,如果出現(xiàn)網(wǎng)絡(luò)病毒將給銀行帶來(lái)巨大的經(jīng)濟(jì)損失,這個(gè)時(shí)候我們就需要對(duì)重要文件進(jìn)行實(shí)時(shí)備份�����,并且及時(shí)更新病毒數(shù)據(jù)庫(kù)��。此外,在信息安全管理系統(tǒng)中充分應(yīng)用身份識(shí)別技術(shù)�,即用戶在登陸系統(tǒng)提交信息后���,系統(tǒng)將嚴(yán)格識(shí)別操作者的身份����,必要時(shí)會(huì)控制操作者的操作活動(dòng)�����。
3.2 建設(shè)信息安全管理體系
所謂“三分技術(shù)七分管理”���,銀行信息安全管理體系中的管理體系起到控制各種活動(dòng)的作用���。首先設(shè)置文檔化的管理體系,它包括制度建設(shè)與人員管理兩個(gè)部分����。從銀行的制度、政策�����、操作流程等多個(gè)方面進(jìn)行監(jiān)督,對(duì)各個(gè)角色在信息系統(tǒng)中的活動(dòng)進(jìn)行監(jiān)控���。在信息安全管理系統(tǒng)中制定科學(xué)完備的管理制度���,可以為信息安全提供基本保障,各大銀行都應(yīng)該積極制定并完善自身的信息安全管理制度��,如制定并按時(shí)更新《信息安全管理辦法》等��,切實(shí)保障信息系統(tǒng)的安全運(yùn)行�����。
信息安全管理系統(tǒng)的重要職責(zé)就是對(duì)操作人員進(jìn)行管理�����,在人才選拔過(guò)程中應(yīng)該嚴(yán)格按照銀行的聘用制度操作����,不能單靠關(guān)系。在用人方面應(yīng)該對(duì)員工的行為進(jìn)行嚴(yán)格監(jiān)督��,加強(qiáng)員工的安全意識(shí)培訓(xùn)����,避免由于員工的疏忽�、私欲等導(dǎo)致銀行信息系統(tǒng)被破壞����。同時(shí)建立科學(xué)合理的銀行人事任用制度���,保證內(nèi)部員工能夠按照相關(guān)規(guī)范完成信息系統(tǒng)的管理工作����,并及時(shí)讓技術(shù)人員掌握最新的技術(shù)�����。通過(guò)建設(shè)信息安全管理體系�,讓銀行運(yùn)行過(guò)程中的各項(xiàng)程序、日常維護(hù)�����、監(jiān)控等操作符合規(guī)范��,以此保障信息系統(tǒng)的穩(wěn)定可靠運(yùn)行���。
為了提高銀行信息系統(tǒng)的安全性��,管理人員也需要對(duì)已經(jīng)識(shí)別的安全信息進(jìn)行正確應(yīng)用����,定期檢測(cè)系統(tǒng)中的安全事件并及時(shí)解決,實(shí)時(shí)監(jiān)視信息安全管理系統(tǒng)的運(yùn)行情況��,查看技術(shù)以及管理方面的控制措施是否合理��。對(duì)信息系統(tǒng)的監(jiān)控是一個(gè)長(zhǎng)期的過(guò)程��,監(jiān)控的過(guò)程應(yīng)該密切聯(lián)系信息系統(tǒng)的周期���,監(jiān)控程序應(yīng)該能夠?qū)εc安全相關(guān)的結(jié)果進(jìn)行改進(jìn)��,以提高信息系統(tǒng)的安全性�。通過(guò)信息安全管理系統(tǒng)的構(gòu)建��,讓銀行業(yè)務(wù)數(shù)據(jù)的完整性��、準(zhǔn)確性與真實(shí)性得以保障;讓信息系統(tǒng)��、網(wǎng)絡(luò)系統(tǒng)以及其它應(yīng)用系統(tǒng)的安全性得以保障;讓與信息系統(tǒng)相關(guān)的設(shè)備�、環(huán)境與存儲(chǔ)介質(zhì)的安全性得以保障�����。
4.結(jié)語(yǔ)
銀行在應(yīng)用先進(jìn)信息技術(shù)提高銀行工作效率并方便大眾的同時(shí)�,也應(yīng)該加強(qiáng)對(duì)信息安全的管理��,從技術(shù)和管理層面構(gòu)建完善��、高效的信息安全管理體系����,避免重要信息的泄露����,以此有效降低安全事故的發(fā)生率,營(yíng)造良好安全的銀行服務(wù)環(huán)境���。
參考文獻(xiàn)
[1]趙小東.數(shù)據(jù)集中模式下銀行業(yè)信息系統(tǒng)災(zāi)備體系的研究與應(yīng)用[D].山西財(cái)經(jīng)大學(xué)��,2011.
[2]王陽(yáng).基于IS027001的風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].大連理工大學(xué)���,2010.
[3]王令朝.創(chuàng)建鐵路信息安全管理及其標(biāo)準(zhǔn)體系的探討[J].鐵道技術(shù)監(jiān)督,2010�����,38(07).
[4]石磊.金融業(yè)信息安全風(fēng)險(xiǎn)評(píng)估存在的問(wèn)題及對(duì)策[J].中國(guó)金融電腦,2011�����,10(02).
篇6
1.強(qiáng)化“制度”管理�,為創(chuàng)建信息安全區(qū)提供制度保障。
我們根據(jù)《中國(guó)人民銀行信息安全管理規(guī)定》和《河南省人民銀行系統(tǒng)規(guī)范化管理辦法》的相關(guān)要求�����,結(jié)合當(dāng)?shù)氐膶?shí)際�����,建立和完善組織機(jī)構(gòu)建設(shè)���、計(jì)算機(jī)安全設(shè)備管理�����、系統(tǒng)操作規(guī)程設(shè)計(jì)�、網(wǎng)絡(luò)建設(shè)的安全規(guī)劃與立項(xiàng)、信息系統(tǒng)安全審計(jì)����、應(yīng)急處理預(yù)案建設(shè)、目標(biāo)責(zé)任制落實(shí)等一整套涉及信息安全管理的規(guī)章制度�����,為各項(xiàng)工作創(chuàng)建的落實(shí)奠定一個(gè)完善的制度基礎(chǔ)���。與此同時(shí)����,嚴(yán)格信息安全管理檢查制度�����?�?萍疾块T每季會(huì)同保衛(wèi)部門���、人事部門、內(nèi)審部門����、紀(jì)委組織一次中支機(jī)關(guān)和轄內(nèi)的信息安全檢查�,每次都制定了詳細(xì)的檢查方案�,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后及時(shí)形成檢查報(bào)告����,報(bào)中支信息安全領(lǐng)導(dǎo)小組,并經(jīng)信息安全領(lǐng)導(dǎo)小組審閱后將檢查整改報(bào)告送達(dá)被檢查單位�,限期整改并進(jìn)行后續(xù)跟蹤。
2.強(qiáng)化“組織”領(lǐng)導(dǎo)��,為創(chuàng)建信息安全區(qū)提供組織保證�。
一方面中支機(jī)關(guān)及所轄縣(市)支行都按要求成立以行長(zhǎng)為組長(zhǎng)、其他領(lǐng)導(dǎo)班子成員任副組長(zhǎng)���、部門負(fù)責(zé)人為成員的信息安全領(lǐng)導(dǎo)小組���。另一方面機(jī)關(guān)各部門設(shè)立信息安全管理崗位,指定一名責(zé)任心強(qiáng)�����,熟悉計(jì)算機(jī)相關(guān)知識(shí)的職工為信息安全員����,具體負(fù)責(zé)本部門信息安全管理的有關(guān)事宜��。信息安全領(lǐng)導(dǎo)小組下設(shè)辦公室��,由科技科具體負(fù)責(zé)協(xié)調(diào)機(jī)關(guān)及轄內(nèi)信息安全管理工作�����,為信息安全領(lǐng)導(dǎo)小組提供重大事項(xiàng)決策的有關(guān)事宜�����,為信息安全管理提供高效的組織保證�。
3.強(qiáng)化“操作”規(guī)程�,確保信息安全區(qū)創(chuàng)建工作的規(guī)范化。
明確的崗位目標(biāo)與操作規(guī)程是金融信息安全區(qū)創(chuàng)建的重要一環(huán)�。我們對(duì)中支信息安全管理員(部門計(jì)算機(jī)安全員)、技術(shù)支持人員��、業(yè)務(wù)操作人員�、一般計(jì)算機(jī)用戶等確定各自的崗位目標(biāo)和操作規(guī)程及應(yīng)當(dāng)承擔(dān)的安全義務(wù)�。同時(shí)制訂了明確的崗位操作規(guī)程,做到責(zé)權(quán)明晰���,操作規(guī)范����。同時(shí),我們加強(qiáng)部門之間的協(xié)調(diào)����,要求各部門都要制訂業(yè)務(wù)應(yīng)急預(yù)案和詳細(xì)的操作規(guī)程,然后由科技科進(jìn)行匯總����、協(xié)調(diào),形成有效的聯(lián)防機(jī)制�����。
4.強(qiáng)化“責(zé)任”管理��,加大金融信息安全區(qū)的創(chuàng)建力度���。
按照“誰(shuí)主管誰(shuí)負(fù)責(zé)����,誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)��,誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,根據(jù)不同層次制訂不同內(nèi)容的信息安全管理責(zé)任書���,落實(shí)各項(xiàng)責(zé)任制�,信息安全領(lǐng)導(dǎo)小組組長(zhǎng)與副組長(zhǎng)和各縣(市)支行行長(zhǎng)�����、副組長(zhǎng)與分管部門負(fù)責(zé)人��、部門負(fù)責(zé)人與崗位責(zé)任人層層簽訂信息安全責(zé)任書���,對(duì)沒(méi)有按照規(guī)定簽訂責(zé)任書的部門�,在出現(xiàn)安全事故時(shí)���,按照“上溯一級(jí)”的原則��,追究當(dāng)事人的直接責(zé)任和部門負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任��。
5.強(qiáng)化“技術(shù)”指導(dǎo)����,為創(chuàng)建信息安全區(qū)的提供智力支持����。
重點(diǎn)強(qiáng)化了中支各部門計(jì)算機(jī)信息安全人員及所轄縣市支行安全管理人員的技術(shù)指導(dǎo)和信息安全知識(shí)的傳播,通過(guò)舉辦不同形式的信息安全培訓(xùn)班�����,提高他們自覺防范的意識(shí)和技能�����,為信息安全打好第一道防線�����。
6.強(qiáng)化“監(jiān)督”管理����,鞏固金融信息安全區(qū)創(chuàng)建成果。
篇7
關(guān)鍵詞:信息安全等級(jí)保護(hù)���;機(jī)構(gòu)管理�;信息中心隨著《信息安全等級(jí)保護(hù)實(shí)施指南》和《信息安全等級(jí)保護(hù)管理辦法》等一系列文件頒布以來(lái)�,醫(yī)院如何開展等級(jí)保護(hù)工作,確保信息安全����,已經(jīng)變成熱門話題����。其中��,負(fù)責(zé)醫(yī)院信息安全等級(jí)保護(hù)工作的組織管理機(jī)構(gòu)�,主要從管理層和用戶層對(duì)醫(yī)院信息安全等級(jí)保護(hù)進(jìn)行管理建設(shè)。管理層的主要工作是制定醫(yī)院信息安全等級(jí)保護(hù)工作的管理辦法����;用戶層的主要工作是依據(jù)管辦法要求,進(jìn)行溝通合作以及運(yùn)行監(jiān)控和審查檢查工作�。
1信息安全機(jī)構(gòu)管理目的
信息安全等級(jí)保護(hù)工作是解決信息安全問(wèn)題的基本方法,而信息安全不僅靠物理安全�、網(wǎng)絡(luò)安全、主機(jī)安全等具體技術(shù)上的實(shí)現(xiàn)���,還需要建立健全的信息安全機(jī)構(gòu)管理制度��,貫徹信息安全工作和維持信息安全的建設(shè)成果��,在技術(shù)和管理兩個(gè)維度下保障信息安全保護(hù)體系在持續(xù)的運(yùn)營(yíng)工作中發(fā)揮應(yīng)有的信息安全保護(hù)作用[1]�����。
2信息安全機(jī)構(gòu)管理思路
2.1加強(qiáng)安全管理建設(shè)是實(shí)現(xiàn)等級(jí)保護(hù)組織機(jī)構(gòu)管理的基礎(chǔ) 醫(yī)院信息安全管理需要由醫(yī)院信息化領(lǐng)導(dǎo)機(jī)構(gòu)協(xié)調(diào)進(jìn)行�����。為了完成和強(qiáng)化信息安全的管理��,需要建立相應(yīng)的信息安全管理機(jī)構(gòu)����,這是醫(yī)院信息安全等級(jí)保護(hù)實(shí)施的必要條件[2]���。同時(shí)��,安全組織管理建設(shè)也是重要組成內(nèi)容�����,包括健全組織體系���,明確負(fù)責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門���、技術(shù)支持部門和宣傳部門��,制定系統(tǒng)安全保障方案����,實(shí)施安全宣傳教育、安全監(jiān)管和安全服務(wù)等��。
2.2相關(guān)管理辦法制定是規(guī)范等級(jí)保護(hù)組織機(jī)構(gòu)管理的根本保證 醫(yī)院信息系統(tǒng)存在著來(lái)自社會(huì)環(huán)境�、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險(xiǎn),其安全威脅無(wú)時(shí)無(wú)處不在�。對(duì)于醫(yī)院信息系統(tǒng)的安全問(wèn)題,不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來(lái)解決���,而必須配合等級(jí)保護(hù)的信息系統(tǒng)安全保障體系��,制定相關(guān)管理辦法����,全方位綜合解決系統(tǒng)安全問(wèn)題�。
2.3定期審查監(jiān)控是實(shí)施等級(jí)保護(hù)組織機(jī)構(gòu)管理的具體表現(xiàn) 根據(jù)醫(yī)院對(duì)于信息安全等級(jí)保護(hù)的要求,安全等級(jí)保護(hù)除重視技術(shù)解決方案外����,更應(yīng)明確定期審查、檢查和監(jiān)控的必要性。包括:指定專員定期對(duì)系統(tǒng)進(jìn)行安全巡查�,檢查的內(nèi)容包含例如系統(tǒng)運(yùn)行情況、系統(tǒng)漏洞確認(rèn)��、系統(tǒng)數(shù)據(jù)備份��、現(xiàn)有安全技術(shù)措施有效性����、安全配置與安全策略一致性��、安全管理制度的執(zhí)行情況等等�。
3信息安全機(jī)構(gòu)管理措施
醫(yī)院信息安全管理體系依賴于信息安全等級(jí)保護(hù)管理建設(shè)的機(jī)構(gòu)管理。根據(jù)醫(yī)院當(dāng)前信息安全管理需要和機(jī)構(gòu)管理特點(diǎn)�,和信息安全等級(jí)保護(hù)管理所要求的系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理���、安全管理機(jī)構(gòu)����、安全管理制度和人員安全管理��,筆者從崗位設(shè)置�、人員配備、授權(quán)、審批���、審查和溝通交流等方面分析醫(yī)院信息管理機(jī)構(gòu)建設(shè)��,切實(shí)做到提升醫(yī)院信息等級(jí)保護(hù)管理的能力��。
3.1崗位設(shè)置 信息中心內(nèi)部根據(jù)崗位劃分不同�����,設(shè)置多個(gè)安全管理崗位包括系統(tǒng)管理員����、網(wǎng)絡(luò)管理員�����、安全管理員���、安全審計(jì)員崗位����,各崗位人員應(yīng)按照自己的崗位職責(zé)�,落實(shí)本崗位的信息安全工作[3]�����。
以我院為例�,我院信息安全管理工作由院領(lǐng)導(dǎo)負(fù)責(zé)指導(dǎo)和管理����,同時(shí)成立了醫(yī)院級(jí)別的信息安全工作領(lǐng)導(dǎo)小組,由黨委書記擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)���,由信息中心負(fù)責(zé)管理工作的具體落實(shí),制定各信息系統(tǒng)相關(guān)崗位的崗位職責(zé)和工作標(biāo)準(zhǔn)并形成文件���。
3.2人員配備 信息中心采用安全責(zé)任層層落實(shí)制��,中心主任對(duì)醫(yī)院所有信息化相關(guān)系統(tǒng)負(fù)責(zé)�,網(wǎng)絡(luò)工程師對(duì)醫(yī)院所有網(wǎng)絡(luò)建設(shè)及維護(hù)負(fù)責(zé)����,系統(tǒng)工程師對(duì)醫(yī)院服務(wù)器、數(shù)據(jù)庫(kù)����、存儲(chǔ)和信息系統(tǒng)負(fù)責(zé)��,信息安全工程師對(duì)醫(yī)院網(wǎng)絡(luò)安全����、信息安全�����、機(jī)房物理安全負(fù)責(zé)�,安全審計(jì)工程師對(duì)所有人的信息安全工作進(jìn)行監(jiān)督和審計(jì),保證信息安全工作層層做實(shí)����。
3.3授權(quán)和審批 醫(yī)院信息中心對(duì)于外部廠商人員的相關(guān)操作均需進(jìn)行審批流程,通過(guò)軟件記錄其所有操作行為�,并保存進(jìn)檔。對(duì)于中心內(nèi)部工作人員執(zhí)行嚴(yán)格的離崗流程��,由所在部門主管負(fù)責(zé)回收本部門負(fù)責(zé)的相關(guān)權(quán)限����,所有權(quán)限回收后方可辦理正常的離職手續(xù)。
信息中心對(duì)于客戶端操作系統(tǒng)權(quán)限���、應(yīng)用系統(tǒng)操作權(quán)限�、數(shù)據(jù)庫(kù)操作權(quán)限進(jìn)行分級(jí)控制。內(nèi)網(wǎng)客戶端硬盤分區(qū)全部使用NTFS��,管理員密碼由信息中心網(wǎng)絡(luò)組每月定時(shí)更換���;對(duì)所有應(yīng)用系統(tǒng)功能進(jìn)行編號(hào)����,對(duì)功能進(jìn)行模塊化管理����,并對(duì)模塊進(jìn)行分級(jí)控制;同時(shí)����,設(shè)置數(shù)據(jù)庫(kù)用戶�,將不同應(yīng)用的數(shù)據(jù)分別管理,賦予創(chuàng)建����、修改、刪除表及表內(nèi)數(shù)據(jù)權(quán)限�。
3.4審查和檢查 醫(yī)院信息中心日常檢查由信息安全管理員進(jìn)行,自檢內(nèi)容包括終端安全自檢和軟件管理自檢����,終端安全自檢包括檢查是否每臺(tái)計(jì)算機(jī)安裝防病毒軟件�����,病毒庫(kù)是否為最新版本���,終端操作系統(tǒng)是否安裝最新補(bǔ)丁,是否設(shè)置6位以上口令��;軟件管理自檢包括檢查軟件是否為正版軟件����,軟件管理的各項(xiàng)記錄是否完整等。
構(gòu)建信息安全綜合防護(hù)體系保證醫(yī)院各系統(tǒng)能夠長(zhǎng)期穩(wěn)定安全運(yùn)行��,滿足了醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需要����。本文對(duì)信息安全機(jī)構(gòu)管理的目的、思路和措施進(jìn)行了詳細(xì)的分析闡述�,對(duì)相關(guān)工作人員和機(jī)構(gòu)具有一定的啟示意義。同時(shí)�����,通過(guò)梳理分析業(yè)務(wù)特點(diǎn)和管理流程,依據(jù)等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)�,明確安全管理需求,筆者所在醫(yī)院信息管理中心整理并制定出符合醫(yī)院信息系統(tǒng)實(shí)際情況的一套信息安全管理體系文件���,并在2012年公安局等級(jí)保護(hù)測(cè)評(píng)中被評(píng)為三級(jí)����。
參考文獻(xiàn):
[1]蘇丹.醫(yī)院信息系統(tǒng)安全與管理[J].中國(guó)信息界(e醫(yī)療),2013,(05):58-59.
篇8
對(duì)于進(jìn)一步提高信息安全的保障能力和防護(hù)水平來(lái)說(shuō)���,實(shí)行信息安全等級(jí)保護(hù)無(wú)疑是一種好的方法�����,因?yàn)樗艹浞终{(diào)動(dòng)國(guó)家�����、法人和其他組織及公民的積極性����,增強(qiáng)安全保護(hù)的整體性����、針對(duì)性和實(shí)效性,使信息系統(tǒng)安全建設(shè)重點(diǎn)更加突出��、規(guī)范�����,更加統(tǒng)一�����。
但是�����,電子政務(wù)重在政務(wù)���,由于政務(wù)部門的職能不同�,信息系統(tǒng)的結(jié)構(gòu)���、功能和安全要求也不盡相同���,信息安全等級(jí)保護(hù)工作的側(cè)重點(diǎn)也不同。然而從總體上來(lái)說(shuō),都需要做好以下幾點(diǎn):
落實(shí)好“四個(gè)把握”
把握等級(jí)保護(hù)的建設(shè)進(jìn)程��。按照等級(jí)保護(hù)程序規(guī)定���,做好定級(jí)����、備案��、整改���、評(píng)測(cè)與監(jiān)管工作��。
把握等級(jí)劃分的合理性和準(zhǔn)確性�。要認(rèn)真分析電子政務(wù)系統(tǒng)在國(guó)家安全����、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要性程度�����,即電子政務(wù)系統(tǒng)遭受破壞后對(duì)國(guó)家安全�、社會(huì)秩序���、公共利益以及公民��、法人和其他組織的合法權(quán)益的危害程度等因素��,合理準(zhǔn)確地確定系統(tǒng)安全等級(jí)����。具體來(lái)說(shuō),安全等級(jí)的確定要根據(jù)信息系統(tǒng)的綜合價(jià)值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小����,綜合考慮信息系統(tǒng)的經(jīng)濟(jì)價(jià)值、社會(huì)價(jià)值以及信息服務(wù)的服務(wù)范圍和連續(xù)性���。
把握好不同等級(jí)的基本安全要求�����?;疽笫轻槍?duì)不同安全保護(hù)等級(jí)信息系統(tǒng)�,應(yīng)該具有的基本安全保護(hù)能力提出的安全要求。例如:第三級(jí)信息系統(tǒng)要具有抵御來(lái)自外部組織的惡意攻擊能力和防內(nèi)部人員攻擊能力�����,不僅要對(duì)安全事件有審計(jì)記錄,還要能追蹤與響應(yīng)處理����,要實(shí)現(xiàn)多重保護(hù)制度。
把握好基本技術(shù)要求和基本管理要求�。基本技術(shù)要求包括物理安全�����、網(wǎng)絡(luò)安全���、主機(jī)安全�、應(yīng)用安全與數(shù)據(jù)安全等方面�����?�;竟芾硪笫峭ㄟ^(guò)控制信息系統(tǒng)中各種角色參與的活動(dòng)�,包括安全管理機(jī)構(gòu)、安全管理制度�����、人員安全管理、系統(tǒng)建設(shè)管理�����、系統(tǒng)運(yùn)維管理等方面��,從政策����、制度��、規(guī)范�、流程以及記錄等方面做出規(guī)定。對(duì)于電子政務(wù)系統(tǒng)要特別關(guān)注基礎(chǔ)設(shè)施監(jiān)控與管理�����、網(wǎng)絡(luò)安全監(jiān)控與管理����、業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)控與管理、應(yīng)急響應(yīng)與備份恢復(fù)管理����。
引入風(fēng)險(xiǎn)評(píng)估機(jī)制
信息安全等級(jí)保護(hù)必須樹立風(fēng)險(xiǎn)管理的思想�,而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)���,因此�����,三級(jí)以上電子政務(wù)系統(tǒng)必須定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估�。風(fēng)險(xiǎn)評(píng)估貫穿于等級(jí)保護(hù)周期的系統(tǒng)定級(jí)����、安全實(shí)施和安全運(yùn)維三個(gè)階段:
系統(tǒng)定級(jí)。由于不同的電子政務(wù)系統(tǒng)具有自身的行業(yè)和業(yè)務(wù)特點(diǎn)��,且所受到的安全威脅均有所不同�����。因此��,可以依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)對(duì)所評(píng)估資產(chǎn)的重要性���、客觀威脅發(fā)生的頻率���、系統(tǒng)自身脆弱性的嚴(yán)重程度進(jìn)行識(shí)別和關(guān)聯(lián)分析��,判斷信息系統(tǒng)應(yīng)采取什么強(qiáng)度的安全措施���,然后將安全事件一旦發(fā)生后可能造成的影響控制在可接受的范圍內(nèi)。即將風(fēng)險(xiǎn)評(píng)估的結(jié)果作為確定信息系統(tǒng)安全措施的保護(hù)級(jí)別的一個(gè)參考依據(jù)�����。
安全實(shí)施��。安全實(shí)施是根據(jù)信息安全等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)的要求��,從管理與技術(shù)兩個(gè)方面選擇不同強(qiáng)度的安全措施��,來(lái)確保建設(shè)的安全措施滿足相應(yīng)的等級(jí)要求�����。風(fēng)險(xiǎn)評(píng)估在安全實(shí)施階段就可以直接發(fā)揮作用�����,那就是對(duì)現(xiàn)有電子政務(wù)系統(tǒng)進(jìn)行評(píng)估和加固�,然后再進(jìn)行安全設(shè)備部署等。在安全實(shí)施過(guò)程中也會(huì)發(fā)生安全事件并可能帶來(lái)長(zhǎng)期的安全隱患�����,如安全集成過(guò)程中設(shè)置的超級(jí)用戶和口令沒(méi)有完全移交給用戶���、防火墻部署后長(zhǎng)時(shí)間保持透明策略等都會(huì)帶來(lái)嚴(yán)重的問(wèn)題���,風(fēng)險(xiǎn)評(píng)估能夠及早發(fā)現(xiàn)并解決這些問(wèn)題。
安全運(yùn)維�����。安全運(yùn)維是指按照系統(tǒng)等級(jí)進(jìn)行安全實(shí)施后開展運(yùn)行維護(hù)的安全工作�。安全運(yùn)維包括兩方面:一是維護(hù)現(xiàn)有安全措施等級(jí)的有效性。二是根據(jù)客觀情況的變化以及系統(tǒng)內(nèi)部建設(shè)的實(shí)際需要���,對(duì)等級(jí)進(jìn)行定期調(diào)整�����,以防止過(guò)度保護(hù)或保護(hù)不足��。在安全運(yùn)維的過(guò)程中�,通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估工作可以對(duì)已有信息系統(tǒng)的安全等級(jí)保護(hù)情況進(jìn)行評(píng)估,依據(jù)已確定等級(jí)的相關(guān)保護(hù)要求���,對(duì)系統(tǒng)的保護(hù)效果��、潛在風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)�����,評(píng)估是否達(dá)到等級(jí)保護(hù)的要求�����;當(dāng)信息系統(tǒng)或外部環(huán)境發(fā)生變更時(shí),可以通過(guò)風(fēng)險(xiǎn)評(píng)估工作了解和確定風(fēng)險(xiǎn)的變更�����,為再次定級(jí)和等級(jí)保護(hù)措施的調(diào)整提供依據(jù)���。
建立有效的信息安全管理組織
信息安全管理組織是建立信息安全保障體系�����,做好信息安全等級(jí)保護(hù)工作的必要條件�����。當(dāng)前很多政務(wù)部門的信息安全工作均有信息化部門兼任���,沒(méi)有足夠的權(quán)威性��。等級(jí)保護(hù)工作的開展��,要求在組織內(nèi)部建立信息系統(tǒng)安全方面的最高權(quán)力組織����,并有明確的安全目標(biāo)�,目的是在管理層的承諾和擁有足夠資源的情況下開展信息安全工作。因此�,建立有效的信息安全管理組織必須明確以下內(nèi)容:
要遵循分權(quán)制衡原則。制度的建立���、制度的執(zhí)行���、執(zhí)行情況的檢查與監(jiān)督要分開考慮。在目前的等級(jí)保護(hù)測(cè)評(píng)工作中���,時(shí)常發(fā)現(xiàn)有系統(tǒng)管理員��、網(wǎng)絡(luò)管理員�、安全員與審計(jì)員兼任的情況,甚至一人包攬所有的信息系統(tǒng)運(yùn)維工作��。但從等級(jí)保護(hù)的基本要求來(lái)看����,依據(jù)分權(quán)制衡的原則,建議在電子政務(wù)系統(tǒng)中�,系統(tǒng)管理員與審計(jì)員不得兼任,審計(jì)員不能從事所有日常信息的維護(hù)與管理工作����,系統(tǒng)管理員不能從事審計(jì)日志的查看與處理工作。
要堅(jiān)持從上而下的垂直管理原則�。上一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織指導(dǎo)下一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織的工作,下一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織接受并執(zhí)行上一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理組織的安全策略��。
應(yīng)常設(shè)信息系統(tǒng)安全管理組織辦公機(jī)構(gòu)����,負(fù)責(zé)信息安全的日常事務(wù)工作����。信息系統(tǒng)安全管理組織應(yīng)由系統(tǒng)管理����、系統(tǒng)分析�、軟硬件維護(hù)、安全保衛(wèi)�、系統(tǒng)稽核、人事與通信等有關(guān)方面的人員組成����。
信息安全管理組織部門不能隸屬于技術(shù)部門或運(yùn)行部門,各級(jí)信息系統(tǒng)的安全組織不能隸屬于同級(jí)信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)���。信息安全管理組織部門只有不隸屬于技術(shù)或運(yùn)維部門���,才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件�����,啟動(dòng)應(yīng)急預(yù)案����。
