企業信息安全規劃精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業信息安全規劃主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:企業信息安全規劃范文
關鍵詞:信息完全;技術;體系
一、前言
隨著金川集團公司跨國經營戰略的實施,企業信息化進程不斷深入,企業信息安全己經引起公司領導的的高度重視,但依然存在不少問題。調查結果表明,造成網絡安全事件發生的原因有很多,一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標;二是應急反應體系沒有經常化、制度化;三是企業信息安全的標準、制度建設滯后。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的80%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%。近年來,雖然使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,但是,很多企業存在安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平還比較低。因此現代企業迫切需要建立信息資源安全管理體系。
二、企業信息資源安全管理體系構建
1、企業信息安全組織管理
企業信息安全組織體系定義為一個三層的組織,組織架構如圖所示:
企業信息安全組織
l)總經理通過總經辦負責企業信息、安全的決策事項。2)總經理任命一名信息安全主管負責企業信息安全的風險管理,該主管領導一個有各個部門主要負責人參加的信息安全管理小組維護企業信息安全管理體系、管理企業信息安全風險。3)總經理任命一名信息安全審計師,負責企業信息安全活動的審計。4)行政部門、業務部門和分支機構執行信息安全管理體系中的相應安全政策,并在信息安全管理主管的領導下,實施風險管理計劃。各個部門負責人有義務向信息安全主管報告所管轄部門的信息安全狀況,信息安全主管應定期在組織范圍內和向上級機關報告企業信息安全狀況。
2、企業信息安全政策管理
根據企業信息安全風險分析的結果和信息安全政策制定的原則,設計信息安全政策體系包括以下幾點:(1)企業信息安全風險管理政策:a)信息安全風險定義,包括風險等級定義和安全類別定義;b)信息安全風險評估執行要求,包括時問周期要求、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任,包括信息安全管理人員責任和業務部門責任。(2)企業信息安全體系管理政策:a)管理體系的規劃,包括規劃的時機、規劃的內容、規劃的依據、規劃的責任人:b)管理體系的實施,包括、培訓、執行獎懲。c)管理體系的驗證,包括周期管理評審、安全審計、事件評審、殘留風險評估。d)管理體系的改進,包括分析和變更控制。(3)病毒抵御安全政策:a)操作程序一運行網絡管理人員日常工作的程序。這部分安全政策主要控制的風險是不規范的管理活動造成無效或低效的管理。b)關鍵資源監控一識別出關鍵設備并對關鍵設備的運行狀態進行監控。這部分安全政策主要控制的風險是關鍵資源異常情況不能被及時發現和處理。c)軟件系統維護一對軟件系統及時地升級和打補丁。這部分安全政策主要控制的風險是軟件系統未及時升級和/或打補丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業務進行過程中產生的敏感信息的存放管理。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏。
3、企業信息安全事件管理
目前,沒有任何一種具有代表性的信息安全策略或防護措施可對信息、信息系統、服務或網絡提供絕對的保護。即使采取了防護措施,仍可能存在殘留的弱點,使得信息安全防護變得無效,從而導致信息安全事件發生,并對企業的業務運行直接或間接地產生負面影響。此外,以前未被認識到的威脅也將會不可避免地發生。企業如果對如何應對這些事件沒有作好充分準備,其任何實際響應的效率都會大打折扣,甚至還可能增加潛在的業務負面影響。因此,企業應著重做好信息安全事件管理工作。信息安全事件管理方案的必企業應著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括:(1)發現和報告發生的信息安全事態,無論是由企業人員/顧客引起的還是自動發生的(如防火墻警報)。(2)收集有關信息安全事態的信息,由企業的運行支持組人員進行評估,確定該事態屬于信息安全事件還是發生了誤報。確認該事態是否屬于信息安全事件,如果是,則立即作出響應,同時啟動必要的法律取證分析、溝通活動。(3)進行評審以確定該信息安全事件是否處于控制下。(4)如果處于控制下,則啟動任何所需要的進一步的后續響應,以確保所有相關信息準備完畢,供事件解決后評審所用。(5)如果不在控制下,則采取“危機求助”活動并召集相關人員,如企業中負責業務連續性的管理者和工作組。(6)在整個階段按要求進行上報,以便進一步評估和決策。(7)確保所有相關人員,正確記錄所有活動以備后面分析所用。(8)確保對電子證據進行收集和安全保存,同時確保電子證據的安全保存得到持續監視,以備法律起訴或內部處罰所需。(9)確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護,從而使得信息安全事態/事件數據庫保持最新。
4、企業信息安全技術管理
我們所構建的信息安全管理體系中,不能忽視技術的作用,雖然只使用技術控制不能保證一個信息安全環境,但是在通常情況下,它是信息安全項目的基礎部分。(1)密碼服務技術。密碼服務技術為密碼的有效應用提供技術支持。通常密碼服務系統由密碼芯片、密碼模塊、密碼機或軟件,以及密碼服務接口構成。通常,企業會涉及以下幾個方面的密碼應用:數字證書運算、密鑰加密運算、數據傳輸、數據儲存、數字簽名、數字信封。(2)故障恢復技術。故障恢復的主要措施有:群集配置,由多臺計算機組成群集結構,盡可能消除整個系統可能存在的單點故障;雙機熱備份,在任何一臺設備失效的情況下,按照預先定義的規則快速切換至相應的備份設備,維持業務的正常運行;故障恢復管理,由專門的集群軟件進行管理和監控,使應用系統在任何軟硬件組成單元發生故障時,能夠根據 故障情況重新分配任務。(3)惡意代碼防范技術:惡意代碼防范技術包括四大系統:病毒查殺系統、網關防毒系統、群件防毒系統、集中管理系統。(4)入侵檢測技術。入侵檢測系統是實現入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統以實時方式監測網絡通信,對其進行分析并實時安全預警,從而使企業能夠有效管理內部人員和資源,并對外部攻擊進行早期預警和跟蹤,有效保障系統安全。基于主機的入侵檢測系統通常以系統日志、應用程序日志等審計記錄文件作為數據源。通過比較這些審計記錄文件與攻擊簽名是否匹配,如果匹配立即報警采取行動.基于網絡的入侵檢測系統把原始的網絡數據包作為數據源。它是利用網絡適配器來實時監視并分析通過網絡進行傳輸的所有通信業務。(5)掃描與分析技術。端口掃描工具能識別網絡上活動的計算機,同樣也可以識別這些計算機上的活動端口和服務。可以掃描特定類型的計算機、協議和資源,也可進行普遍掃描。漏洞掃描可以掃描網絡并得到非常詳細的信息。可以識別暴露的用戶名和組,顯示開放的網絡共享,并暴露配置問題和其他服務器漏洞。內容過濾器也能有效地保護機構系統,使其不受誤用和無意的拒絕服務。
5、企業信息安全培訓的必要性
公司目前很多崗位和部門的員工都從事涉密數據相關工作,有很多數據和信息涉及到公司的機密和知識產權,但是大多數員工信息安全意識差,在平時的工作中在意識上和實際工作中存在很多問題,導致涉密數據的外漏,給公司的生產經營造成不可挽回的損失。在有管理組織、政策制度和技術保障的情況下,通過對涉密數據相關工作人員的信息安全意識和信息安全操作培訓是非常必要的。
三、結語
總之,企業信息安全管理體系是一個企業日常經營和持續發展的基本保證,也是企業戰略和管理的重要環節。建立信息安全管理體系的目的就是降低信息風險對企業的危害。并將企業信息系統投資和商業利益最大化。信息安全不只是個技術問題,而更多的是商業、管理和法律問題。實現信息安全不僅僅需要采用技術措施,還需要更多地借助于技術以外的其他手段。
參考文獻:
第2篇:企業信息安全規劃范文
1.1地理信息系統及數據采集與監控系統
在燃氣企業中應用GIS系統,既能對燃氣管線進行電子化圖檔管理,也能實時監控天然氣管網規劃、搶修等情況。GIS通過將現有的管網及周邊地理狀況、管線、設備等信息,集成為管線集輸的綜合信息,然后,實時傳輸和展現給燃氣企業相關管理人員,從而為燃氣管線運行、設備維護和安全管理,提供全面、準確的參考依據。
1.1.1.數據采集與監控系統(SCADA)
SCADA系統是燃氣管道應急系統的重要組成部分,是一項集實時工控與調度信息管理為一體的大型的計算機應用系統。可以遠程監控與管理各門站、調壓站等站點,確保燃氣系統運行高效、安全、經濟運行。
1.2事故處理方案決策優化與管網風險評價
1.2.1事故處理方案優化決策
在燃氣行業的日常工作中,如遇管網故障,發生危險,必須快速、有效的進行應急處置和救援。其具體流程一般如下:接獲任務并了解現場情況,相關人員迅速召開會議或電話、電視會議,制定搶修、救援方案,然后進行搶修和救援。但是,搶修時間緊迫,這種處置流程不僅浪費寶貴的時間和資源,也會受到人為主觀因素的影響,例如,意見不統一或決策失誤等,不僅延誤搶修和救援,甚至可能會導致二次事故。采用模糊評價法對燃氣管網事故的解決方案進行對比和遴選,通過定性和定量分析選擇最優方案。首先利用模糊關鍵詞,采用定性和定量方法分析事故,然后以技術打分分配各因素權重,最后通過決策軟件實現方案的最優選擇。可以實現在事故發生時,提供關鍵詞,即可獲得最佳的搶修方案,以排除人為主觀因素的干擾,更科學、更理性。
1.2.2管網風險評價
不少燃氣企業對管網安全評價重視不足,尤其缺乏對現役管線的風險評價。對燃氣管線的管理,僅僅做到定期運行和巡檢是不夠的,還要更多的考慮到未來規劃的問題。例如,分幾期對管線進行改造,改造又分為幾步,如何開展等等。通過建立管網仿真及安全評價系統,結合各管線屬性信息,例如腐蝕程度、第三方破壞程度、維檢修情況、壓力檢測等等,建立一個龐大的數據信息庫,全面考察管線危險性,得到危險等級排序,預測管線使用壽命,對未來管線更新及改造規劃提供理論指導。
2城市燃氣企業信息安全探索
2.1信息安全的概念
根據GB/T22081-2008,所謂的信息安全就是通過采取有效策略,確保信息免受各種威脅、損害,從而保證業務連續性,并達到風險最小、投資回報最優。燃氣企業信息安全,就是指燃氣企業信息資產安全可靠,業務穩定開展,不會受到系統自身和外來網絡病毒、黑客等的攻擊,如果出現安全事故,其損失可以降到最低。
2.2燃氣企業管理存在的信息安全問題
2.2.1信息安全意識淡薄
當代社會,信息載體多樣化,辦公電腦、存儲設備以及系統軟件使用不規范都容易導致信息泄露,在常見的搜索引擎上可以輕易的查詢到某燃氣企業或大型公司企業的內部文件,這些情況的發生,正是由于企業信息安全意識淡薄,對信息的傳播安全管理重視不夠導致的。
2.2.2信息安全管理機制不健全
在網絡信息安全管理中,一般都強調“三分技術,七分管理”。由此可見,信息安全最重要的是管理的安全。安全與管理是密不可分的,信息防護技術只是信息安全的一部分,僅僅將投入放在這一方面是遠遠不夠的,缺乏完整、規范以及系統化的信息安全管理制度,將無法從根本上實現信息安全。
2.2.3信息安全技術人才缺乏
在燃氣企業中,受傳統管理理念的影響,不少企業管理人員對于信息安全認識及其重要性認識不足,不注重企業信息安全管理人員和技術配備,導致企業信息安全管理水平不高。雖然最近幾年來,燃氣企業信息化建設水平不斷提高,吸納了許多信息化技術人才,但是專業從事綜合性的信息安全管理工作人員比例仍然較低。
2.3信息安全建設中的關鍵問題分析
2.3.1準確評估風險大小,正確處置安全風險
風險評估的方法很多,燃氣企業進行信息安全風險評估時,需要立足企業實際,根據GB/T20984-2007《信息安全技術信息安全風險評估規范》,制定科學、合理的風險評估流程,辨識完畢企業的信息安全風險之后,要采取科學、合理的處置辦法:風險接受、風險規避、風險減緩以及風險轉移。
2.3.2重視人在燃氣企業信息安全管理中的作用
企業管理中,最重要的因素就是人,人是信息安全的管理者,也是信息安全危險事件的誘發者,由于人為因素導致的信息安全事件不在少數。若要對企業職工進行約束,首先要明確職工的信息安全管理職責,加強人員思想教育,通過教育和培訓,在企業內建立起良好的信息安全文化氛圍。
2.3.3細化信息資產分類,提高資產管理水平
在當今,信息無疑是燃氣企業寶貴的資源和資產,信息資產的管理應當做到:建立信息資產清單并規范管理;設定信息分類、等級并區分保存;信息標記,并明確標記內容。尤其大量存儲數據信息的移動硬盤、廢舊電腦,簡單的格式化處理后,數據信息極易被還原,必須要通過物理銷毀、數據覆蓋或者不可逆專門處理工具進行銷毀。
2.3.4加強信息安全事件管理,預防信息安全事件發生
通過有效的技術防范措施,比如在系統中安裝防火墻軟件、反病毒產品、定期備份數據等,對設備、網絡進行定期檢查,及時處理過期、失效產品。同時,燃氣企業還要建立完善的信息安全應急處置預案,明確處置程序及各部門的職責,定期開展應急演練,以提高信息安全應急處置水平。
2.4燃氣企業做好信息安全工作的幾點探索
2.4.1加強新型技術的應用
如今,無線技術、互聯網技術、云技術等先進的科學技術,已經日益廣泛地融入企業日常工作,通過技術更新,企業信息技術應用,也需要隨之而變。企業推進新技術應用的同時,應當加強入侵檢測、加密認證、災難備份技術等信息安全防護技術,確保企業在新的信息技術環境中實現信息安全建設。
2.4.2大力發揮人才的優勢
第3篇:企業信息安全規劃范文
信息技術的飛速發展沖擊著各行各業,給全球房地產業也帶來一場深刻的變革和發展的契機。在政府的牽頭和推動下,在房地產業各界積極參與和實踐下,中國房地產業已取得卓有成效的成果,呈現全面信息化的發展勢頭。具體表現在:
(1)房地產政務信息化成效顯著。
許多城市利用信息技術開發了房地產政務管理軟件,有效地改進了行政管理,提高了工作效率,完善了政府對房地產市場的監控和預測能力。
(2)房地產企業信息化取得長足進展。
房地產經營方式開始打上信息時代的烙印。一些房地產企業建立了企業內部網站,提高了信息傳輸速度,加快了企業決策速度,提高了辦事效率。此外,各種針對房地產企業的計算機軟件,如房屋銷售軟件、物業管理軟件、租賃軟件、房地產可行性分析軟件、房地產開發管理軟件等,也得到了廣泛的開發和應用。
(3)初步建立了房地產宏觀監測系統。
為適應我國房地產業發展的內在要求,針對市場信息零散、盲目投資行為大量存在等狀況,我國已建立包括中房預警系統、中房指數、國房景氣指數等在內的房地產宏觀監測系統。
(4)智能化小區和網絡小區建設步伐加快。
近年來,住宅的智能化功能被列為評價樓盤綜合性能的不可缺少的一個重要指標,智能化住宅已逐步進入普通人的生活。社區提供與外界進行數據交換的軟硬件設施和服務是家居功能向外拓展的必要條件。智能化的物業管理深入到各單位住宅,真正實現建筑智能化到社區管理的智能化。
(5)房地產網站發展迅速。
由于房地產業自身的行業特點,使其在網上具有更大的優勢,房地產業各界都以最快的速度建立或準備建立自己的網站,將網絡作為房地產信息的主要渠道。房地產網站建設提供了全天候、全方位市場服務的新模式,建立房地產在線咨詢服務系統,引入城市電子地圖,實現網上售樓,改變了傳統的購房方式。同國外相比,我國房地產信息化整體水平較低,地區差異較大,東西部發展不平衡,仍存在諸多制約因素,還有很長的路要走。但是,房地產業唯有實現信息化,唯有與網絡結合,才能煥發出新的活力。建立和完善房地產企業的網絡系統,實現總公司與下屬子公司之間的雙向溝通和信息共享。通過信息平臺的整合,為企業管理決策提供全方位、完整的信息數據,使企業的管理逐步走向信息化,建立企業網站,使其向房地產行業和管理信息服務方向轉化,加強與員工的溝通,將信息化手段應用于具體管理工作的流程中。以國家信息化工作的指導方針“統一規劃、聯合建設、推廣應用、發展產業、資源共享”為房地產企業信息化工作的指導思想,將房地產企業的管理全部數字化,充分利用先進的信息技術,使本企業集團形成一個管理對象數字化、管理專業網絡化、數據動態實時化、管理決策科學化的現代企業,走一條結合自身特點,依托信息技術發展房地產信息化產業的振興之路。
二、企業信息安全防范
隨著企業信息化的發展,辦公自動化、財務管理系統,企業相關業務系統等生產經營方面的重要系統投入在線運行,越來越多的重要數據和機密信息都通過企業內外部網絡來傳輸。這在提高生產效率和管理水平的同時,也帶來了不同以往的安全風險和問題。通過網絡傳輸的數據信息如被非法用戶截取,導致泄露企業機密;如被非法篡改,造成數據混亂,信息錯誤,造成工作失誤等。另一方面,病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據丟失,對企業的生產管理以及經濟效益等造成不可估量的損失。因此,如何保護企業機密,保障企業信息安全,成為企業信息化發展中需要面臨和解決的問題,提上了企業的議事日程。企業信息安全管理即針對當前企業面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復雜的應用環境制定相應的防御措施,保護企業信息和企業信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為企業信息和企業信息系統提供保密性、完整性、真實性、可用性、不可否認。企業信息安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。首先,企業必須根據實際情況全面做好安全風險評估。第二,采用信息安全新技術,建立信息安全防護體系。綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。企業根據自身信息系統建設和應用的步伐,建立完整的信息安全防護體系,統籌規劃,分步實施。第三,管理和技術并重,技術與措施結合。根據信息安全策略,建立健全企業信息安全管理制度,制定相應的安全標準,建立備份和恢復機制,提高安全管理水平。第四,充分利用企業網絡條件,提供全面,及時和快捷的信息安全服務。第五,信息安全是一個動態過程,需要定期對信息安全狀況進行評估,不斷改進完善安全方案,調整安全策略。
三、總結
第4篇:企業信息安全規劃范文
【關鍵詞】電力企業信息安全管理策略
電力是國民經濟的命脈,電力系統的安全穩定,不但直接關系到國家經濟的發展,還對民眾的日常生活有著巨大的影響。當前隨著電力企業市場業務的不斷開展,其與互聯網的聯系也越來越密切,但互聯網存在著很大的自由性和不確定性,可能會給電力企業帶來潛在的不安全因素。而當前電力企業的信息安全建設僅僅停留在封堵現有安全漏洞的階段,對于系統整體的信息安全意識還不夠。因此有必要對電力企業信息系統整體安全管理進行分析研究,有針對性的采取應對策略,確保電力企業網絡信息可以實現安全穩定運行。
1做好安全規劃
做好電力企業的網絡安全信息規劃需要做到以下兩點:
(1)要對電力企業的網絡管理進行科學合理的規劃,要結合實際情況對電力企業的網絡信息安全管理進行綜合考量,從整體上對網絡信息安全進行考慮和布置。網絡安全信息管理的具體開展主要依靠于安全管理體系,這一點上可以參照一些國外經驗;
(2)電力企業因自身的獨特性質,需要使用物理隔離的方法將內外網隔離開來,內網方面要合理規劃安全區域,要結合實際情況,將安全區域劃分成重點防范區域與普通防范區域。電力企業信息安全的內部核心是重點防范區域,在此區域應當設置訪問權限,權限不足的普通用戶無法查看網頁。重要的數據運行如OA系統和應用系統等應該在安全區域內進行,這樣可以保證其信息安全。
2加強制度建設
安全制度是保障電力企業網絡信息安全的關鍵部分,安全制度可以提升企業員工和企業領導對網絡信息安全的意識,電力企業需要將安全制度作為企業的工作核心,要結合當前的實際情況,建立起符合電力企業網絡信息安全的管理制度,具體操作如下:
(1)做好安全審計,很多入侵檢測系統都有審計日志的功能,加強安全制度建設就需要利用好檢測系統的審計功能,做好對網絡日常工作的管理工作,對審計的數據必須要進行嚴格的管理,不經過允許任何人不得擅自修改刪除審計記錄。
(2)電力企業網絡系統需要安裝防病毒軟件來保障網絡信息的安全,安裝的防病毒軟件需要具備遠程安裝、報警及集中管理等功能。此外,電力企業要建立好網絡使用管理制度,不要隨便將網絡上下載的數據復制在內網主機上,不要讓來歷不清的存儲設備在企業的計算機中隨意使用。
(3)電力企業的管理者要高度重視其企業的網絡安全制度建設,不要把網絡信息安全管理僅僅看作是技術部門的工作,企業中應建立起一支專門負責網絡信息安全的工作領導小組,要做好對企業內所有職工的培訓,最好能讓每一名職工都擁有熟練掌握網絡信息安全管理的能力。企業管理者要明確相關負責人的工作職責,定期對網絡安全工作開展督導檢查,管理制度需要具備嚴肅性、強制性和權威性,安全制度一旦形成,就必須要求職工嚴格執行。
3設置漏洞防護
隨著當前計算機網絡技術的迅速發展,很多已經投入運行性的網絡信息系統和設備的技術漏洞也隨著網絡技術的不斷發展而日益增加,這在很大程度上給了不法分子竊取電力企業網絡信息系統數據的機會,對此電力企業需要做好以下兩項工作:
(1)電力企業需要利用一些漏洞掃描技術來維護企業的網絡安全,要對企業的網絡信息系統經常開展掃描工作,從而及時發現系統漏洞并完成修復。這樣可以提升企業網絡信息安全系數,不但能阻斷不法分子入侵企業信息系統的途徑,還可以使企業避免需要經常性更換網絡信息系統設備可能增加的經濟負擔,從而促進企業實現長遠發展;
(2)電力企業需要提升對網絡信息安全的風險防范意識,增強企業應對突發事件的應急處理能力,針對不同的信息安全風險需要設置好不同的預警機制。要定期檢查企業的網絡信息安全技術,防止網絡安全漏洞的出現。還要及時做好對網絡信息防護新手段的更新工作,從而提升企業網絡信息系統的保護強度。
4提高管理手段
科學合理的企業網絡信息安全管理手段不僅可以維持電力企業的工作進度,還能有效規避企業網絡信息中所存在的安全隱患。提高企業網絡信息安全管理手段需要做到以下兩點:
(1)建立入侵保護系統IPS,提升企業網絡信息安全管理指標。在電力企業網絡管理系統中建立網絡入侵保護系統IPS,可以為網絡信息提供一種快速主動的防御體系,IPS的設計理念是對常規網絡流量中攜帶的惡意數據包進行數據安全檢測,若發現可疑數據IPS將發揮網絡安全防御功能,來阻止可疑數據侵入電力系統的網絡信息系統。與常規的網絡防火墻相比,IPS具備更加完善的安全防御功能,其不僅能對網絡惡意數據流量進行檢測還能夠及時消除隱患。此外,IPS還能為電力企業的網絡提供虛擬補丁,從而預先對黑客攻擊和網絡病毒做出攔截,保證企業的網絡不受損害;
(2)電力企業要加大對新型網絡信息安全技術的研發投入,在組建企業網絡信息安全系統時,要對系統各組成部分做嚴格檢查,確保設備符合安全標準。對于組建網絡信息系統所需要的設備和部件則必須要求供應商提供相應的安檢報告,嚴防設備和部件的安全隱患。對于企業已投入使用的系統和設備,必須定期做好檢查,以確保安全系統能夠順利有效的開展防護工作。
5總結
綜上所述,本文通過維護電力企業網絡信息安全管理的相關策略進行研究發現,運用做好安全規劃、加強制度建設、設置漏洞防護和提高管理手段四項措施可以起到提升企業網絡信息系統的保護強度、建立起符合電力企業網絡信息安全的管理制度從而確保安全系統能夠順利有效的開展防護工作的良好效果,希望本文的研究可以更好的提升我國電力企業的網絡信息系統的安全管理水平,為維護我國電力系統的安全運行做出貢獻。
參考文獻
[1]鄭玉山.電力企業網絡和信息安全管理策略思考[J].網絡安全技術與應用,2017(06):121+123.
第5篇:企業信息安全規劃范文
【關鍵詞】信息安全;電力企業;防護措施
前言
當前,電力企業在生產運行過程中離不開信息技術的支持,尤其是電力企業在建立了復雜的數據網和信息網后,信息技術的在電力企業中的地位日益提高,同時,信息安全也影響著電力企業的生產經營。
1電力網絡和信息安全管理的主要內容
電力網絡和信息安全管理主要包括三方面的內容:①安全策略;②風險管理;③安全教育。具體淺析如下:
1.1安全策略
信息安全策略根據企業規模、安全需求和業務發展的不同而不同,但是都具有簡單易懂、清晰通俗的特點,由高級管理部門制定并形成書面文字,屬于企業安全的最高方針,廣泛到企業所有員工手中。
1.2風險管理
評估威脅企業信息資產的風險,首先事先假定風險可能會給企業帶來的風險和損失,然后再通過各種手段,如:風險的規避、風險的轉嫁、降低風險和接受風險等多種方法為相關部門提供網絡和信息安全的對策建議。
1.3安全教育
所謂安全教育,就是對直接關聯企業安全生產的人員進行的教育活動,其對象是安全策略執行人員,具體來說就是與安全工作相關的技術人員、管理人員和客戶,并對其進行安全培訓,讓其了解和掌握信息安全對策。安全管理是企業管理的重要內容,必須引起企業領導層的高度重視,切實將安全相關教育納入到企業文化的組成中,確保信息安全管理的有效執行。
2電力企業信息化發展的特征
隨著我國電力企業信息化的發展,與其他企業相比,在網絡信息安全方面具有以下優勢特征。
2.1信息化基礎設施完善
經過多年的發展,電力企業的信息化建設與其他行業的信息化建設水平相比,具有明顯的比較優勢,進程相對領先,各個部門工作中計算機的使用率為100%,電力企業局域網覆蓋率90%以上。
2.2營銷管理系統廣泛應用
電力企業的營銷管理系統經過多年的研究探索已基本建成,實現了用電管理信息化、業務受理計算機化,并建立了相應的客戶服務中心。
2.3生產、調度自動化系統應用熟練
電力企業信息化建設的重點是提高電網運行質量和電力調度的自動化水平,現階段,從電力企業發展的自動化水平上來看,其生產已基本達到國際先進水平。
2.4管理信息系統的建設逐步推進
電力企業積極建設管理信息系統,開發了設備、生產、電力負荷、安全監督、營銷管理等信息系統,并將企業信息化建設放到重要位置,利用信息化推動企業現代化發展。
3電力企業網絡和信息安全管理中存在的問題
電力企業網絡和信息安全管理雖然具有以上優勢特征,但同樣還是存在一定的問題,具體如下:
3.1信息化機構建設不完善
部分電力企業還未設置專門的信息部門,信息科室有的在科技部門下,有的在綜合部門下,缺乏規范的制度與崗位設置,這種情況下,勢必會影響到網絡和信息安全的管理工作。
3.2網絡信息安全管理未成為企業文化的一部分
電力網絡信息貫穿于生產的全過程,涉及到電力生產的各層面,但是仍然處于從屬地,沒有納入電力企業安全文化建設中,進而影響到安全管理的實施力度。
3.3企業管理革新跟不上信息化發展的步伐
電力企業管理革新與信息技術的發展與應用相比還較為滯后,企業不能及時的引入先進的管理與業務系統,導致企業信息系統不能發揮預期的作用。
3.4網絡信息安全存在風險
電力企業網絡信息安全與一般企業網絡信息相比,有共同點,也有自自身的特殊性,實踐中必須認真分析研究,具體表現為:①網絡的結構不夠合理,電力網絡建設要求,網絡建設要區分外網和內網,且內外部網絡要保持物理隔離,但是部分電力企業的核心交換機選擇不合理,導致在網絡中所有網絡用戶的地位是平等的,因而很容易出現安全問題。②企業內部風險,由于企業內部網絡管理人員對于企業的網絡信息結構與系統應用十分熟悉,一旦泄漏重要信息,就會帶來致命的信息安全威脅。③現階段互聯網使用存在的風險,目前很多電力企業的網絡已經與互聯網發生了關系,一些客戶甚至可以直接訪問電力系統的網絡資源,在提供方便之門的同時也要高度關注其可能帶來的信息安全和計算軟硬件安全風險。④網絡管理專業技術人員帶來的風險,主要是網絡管理人員的素質風險,現階段電力企業的網絡建設還存在重建輕管,重技輕管的問題。出現了諸如專業技術人員綜合素質不高,一些安全管理制度不健全、落實不夠有力、安全意識不強、管理員配備不當等威脅到電力企業網絡信息安全性的問題。⑤計算機病毒侵害,計算機病毒的擴散速度快,網絡一旦感染病毒,整個電力網絡系統就會處于崩潰的狀況。⑥系統出現的安全風險,這方面主要指操作系統、數據庫系統以及內部各種應用軟件系統等存在的風險,這些系統很容易導致外界的攻擊,一些黑客采取專業手段可以很輕易獲取管理員權限,實施拒絕服務攻擊。
4電力企業網絡和信息安全管理對策
4.1建立健全網絡和信息安全管理組織架構
網絡和信息安全管理實行統一領導、分級管理原則,企業的決策層組成領導小組,由企業各部門的管理者作為安全小組的管理層。網絡和信息安全管理實行專業化管理,包含信息安全規劃、信息安全監督審計、信息安全運行保障等職能小組。
4.2構建網絡和信息安全管理體系框架
在網絡信息安全模型與電力信息化的基礎上,科學構建網絡和信息安全管理體系框架,主要區分信息安全策略、安全運行、安全管理、安全技術措施四個模塊,
4.3建立網絡信息安全防護對策,合理劃分安全域
網絡信息安全防護實行雙網雙機管理,分為信息內網和信息外網,內外網采用獨立的服務器及桌面終端,通過邏輯強隔離裝置隔離內外網。按照業務類型進行安全區域劃分為邊界、網絡、主機、應用四個層次,實現不同區域防護的差異化及獨立性。對于網絡安全的核心區域必須實施重點安全防范,比如該區域的服務器、重要數據、數據庫服務器,一般用戶無法直接訪問,安全級別高。電力企業內部計算機和網絡技術的應用,劃分為管理信息區和生產控制區,建立電力調度數據網專用網絡,采用不同強度的安全設備隔離各安全區,數據的遠方安全傳輸采取加密、認證、訪問控制等技術手段,實現縱向邊界的整體安全防護。
4.4網絡信息安全管理制度建設
為確保電力企業網絡信息安全,必須做好網絡信息安全管理制度建設,具體要做好以下幾個方面的內容:①建立計算機資產管理制度、網絡使用管理制度、健全變更管理制度,對資產進行標識和管理,執行密碼使用管理制度。②實施信息的安全分級保護舉措,依據國家相關規定,開展網絡信息系統審批、定級、備案工作,嚴格執行等級保護制度,嚴格保密核心程序和數據。③做好網絡信息安全運行保障管理,對信息系統設備實行規范化管理,及時升級防病毒軟件,嚴格系統變更,及時報告信息系統事故情況,分析原因并落實整改。④建立病毒防護體系,安裝的防病毒軟件必須具有遠程安裝、遠程報警、集中管理等多種功能,不可將來歷不明或是隨意從互聯網上下載的數據在聯網計算機上使用,一旦發現病毒的存在,員工應熟練掌握發現病毒后的處置辦法。
4.5信息安全技術保障舉措
為切實有效的落實信息安全防護要求,必須根據信息安全等級防護制度落實好“分級、分區、分域”的防護策略,從而更有效的落實信息安全防護預案,根據信息系統定級水平,實施強邏輯隔離措施,做好安全區域的隔離和劃分工作。
4.6規范企業人員的管理
規范人員管理首要的是用制度管好人:①企業高層應以身作則,這樣員工才可以遵循信息安全管理的要求,由于高層掌握著企業更多的信息資源,密級也高,一旦出現泄漏,會給企業帶來更大的損失。②對于關鍵崗位人員管理要尤其重視,比如:開發源代碼人員,直接接觸商業機密的人員,從事信息安全管理的人員,需要進行嚴格管理,定期檢查,避免出現“堡壘從內部突破”的機會。③對于離職人員這個群體也不可忽視,必須做好離職人員信息安全審計工作,離職前,必須要求其變更其訪問權限,與接手人員一起清點和交接好信息資產,避免信息泄漏事件的發生。④加強與供應商和合作伙伴信息安全的管理,在日常的交流中嚴格遵守規定,不得隨意公開和透露相關信息。
4.7做好對企業信息資產管理分析
依據信息資產價值,實現根據載體性質不同、形式不同、來源不同做好資產的識別,提高企業勞動生產率,強化信息資產觀念,樹立企業良好形象。全面、系統、科學的管理信息資產,完善資產管理手段。利用信息資產資源使生產力要素保值增值,推動信息資產共享共建,實現實現外源信息資產的再增值,信息資產的再創新。4.8建立信息安全應急保障機制有風險的地方就要有應急預案,對于電力企業網絡信息安全尤其應該如此,要不斷健全電力企業信息安全預案,確保設備、人力、技術等應急保障資源切實可用,要加強系統的容災建設,建立恢復和備份管理制度,妥善保存相關的備份記錄。
5結束語
電力網絡信息安全與企業的生產經營管理密切相關,電力企業網絡信息安全涉及到技術與管理,無論是硬件還是軟件出現問題都會威脅到整個網絡系統,電力企業網絡信息安全管理涉及到人、硬件設備、軟件、數據等多個環節,所以其必須著眼整個電力企業的網絡信息系統加強頂層建設,實施統一規劃,搞好統籌兼顧,建立一套完整的信息安全管理體系,切實做好安全防范工作,解決電力企業信息安全管理問題,才能確保電力信息系統安全、穩定、可靠、高效地運行,有效避免安全問題的存在,保證電力企業的正常生產經營。
參考文獻
[1]何雋文.電力企業網絡和信息安全管理策略思考[J].中國高新技術企業,2016,28.
[2]郭建,顧志強.電力企業信息安全現狀分析及管理對策[J].信息技術,2013,01.
[3]牛斐.電力企業網絡信息安全的防范措施[J].科技傳播,2012,16.
[4]吳青.淺析網絡信息安全管理在電力企業中的應用[J].中國新通信,2013,23.
[5]向繼東,黃天戊,孫東.電力企業信息網絡安全管理[J].電力系統自動化,2003,15.
第6篇:企業信息安全規劃范文
電網企業營銷管理系統應用廣泛,我國各地區電網企業都建立了網絡信息管理系統,電網企業業務受理都呈現出信息化特征。隨著信息技術的不斷提高,我國電網企業網絡管理信息系統逐漸建立起來,并在一定程度上得到推廣,國家電網企業大力開展網絡管理信息系統建設,在電力生產、電力設備使用、安全監督和電力營銷等方面都應用到網絡管理信息系統,電網企業的網絡化和信息化增強,電網企業將網絡信息建設和管理放到首位,旨在通過信息技術推動電網企業的可持續發展。
二、電網企業網絡信息安全管理中存在的問題
1.信息化機構建設尚不完善。電網企業網絡信息部門沒有受到足夠的重視,電網企業信息管理部門沒有在企業內部設置專門的信息化機構,電網企業沒有科學合理的信息管理崗位,電網企業信息管理部門建設落后,信息化機構建設尚不完善,電網企業缺乏專業技能良好、綜合素質較高的復合型人才。
2.電網企業網絡信息化管理水平低下。和我國信息技術的發展和應用相比,國家電網企業網絡信息化管理水平相對較低,電網企業沒有對網絡信息化管理進行不斷優化和革新,雖然我國很多電網企業都將先進的信息系統和網絡管理系統運用到企業運營中,但是并沒有及時對電網企業的網絡信息管理模式進行革新和完善,這就導致網絡信息系統不能達到預期的使用效果。
三、加強電網企業網絡安全管理的有效措施
1.重視電網企業網絡信息安全規劃。對我國電網企業網絡信息進行規劃的主要目的是提升網絡信息系統的安全性,對電網企業網絡信息系統的安全問題進行全面考慮,對電網企業網絡信息安全進行科學合理的規劃,建立全面統一的網絡信息安全管理體系,能在一定程度上提高電網企業網絡信息的安全性。
2.合理劃分網絡安全區域。要對電網企業網絡安全區域進行合理劃分,根據電網企業各部分網絡信息的安全密級和安全規劃對網絡安全區域進行科學合理的劃分,通常情況下可以將電網企業網絡安全區域劃分為三部分,即重點防范區域、一般防范區域和完全開放區域,這樣才能實現電網企業網絡信息的安全管理,使得個網絡區域的工作能夠順利開展。
3.加強網絡信息安全管理和制度建設。為確保電網企業網絡信息的安全性良好,電網企業應該將網絡信息安全管理和相關制度建設當做重點內容,對電網企業網絡信息日志進行嚴格管理和安全審計,充分利用防火墻和入侵檢測系統的審計功能,對電網企業網絡信息日志進行準確記錄。重視并加強電網企業網絡信息管理制度建設,明確電網企業從業人員的職責和義務,制定網絡信息安全事故應急處理程序,加強電網企業網絡信息管理基礎設施建設,確保網絡信息系統運行環境良好,電網企業應該做好防火防水設計,確保電網企業網絡信息系統安全性能良好,運行可靠。
4.加強電網企業網絡信息管理人員的綜合培訓。電網企業網絡信息管理人員的專業水平和綜合素質對網絡信息安全具有極大的影響,電網企業必須重視并加強網絡信息管理人員的綜合培訓,提高網絡信息高級管理人員的綜合能力,使其了解網絡信息安全管理的策略及目標,制定科學合理的電網企業網絡安全管理制度。加強網絡信息系統安全運行管理和維護人員綜合能力的培訓,使其能夠充分理解電網企業網絡信息安全管理策略,掌握網絡信息系統安全操作和維護技術。讓網絡信息管理人員充分了解網絡信息安全操作流程,獲得全面的電網企業網絡信息安全知識,提高網絡信息管理人員的安全意識和技能,確保網絡信息管理人員專業水平較高,綜合素質良好,使其在電網企業網絡信息系統運行、管理和維護上充分發揮自己的職能。
四、總結
第7篇:企業信息安全規劃范文
解決信息系統安全要有以下幾點認識:要解決信息系統要有統籌全局的觀念。解決信息系統的安全問題要樹立系統觀念,不能光靠一個面。從系統的角度分析信息系統是由用戶和計算機系統兩者組成,這包括人和技術兩點因素。使用和維護計算機安全信息系統可以根據信息系統具有動態性和變化性等特點進行調整。信息系統是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞。企業信息系統安全可以采取的策略是采用一套先進、科學及適用的安全技術系統,在對系統進行監控和防護,及時適當的分析信息系統的安全因素,使這套系統具有靈敏性和迅速性等響應機制,配合智能型動態調整功能體系。需要緊記的是系統安全來自于風險評估、安全策略、自我防御、實時監測、恢復數據、動態調整七個方面。其中,通過風險評估可以找出影響信息系統安全存在的技術和管理等因素產生的問題。在經過分析對即將產生問題的信息系統進行報告。
安全策略體現著系統安全的總體規劃指導具體措施的進行。是保障整個安全體系運行的核心。防御體系根據系統中出現的問題采用相關的技術防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監測系統實時檢測運行各種情況。在安全防護機制下及時發現并且制止各種對系統攻擊的可能性,假設安全防護機制失效必須進行應急處理,立刻實現數據恢復。盡量縮小計算機系統被攻擊破壞的程度。可以采取自主備份,數據恢復,確保恢復,快速恢復等手段。并且分析和審理安全數據,適時跟蹤,排查系統有可能出現的違歸行為,檢查企業信息系統的安全保障體系是否超出違反規定。
通過改善系統性能引入一套先進的動態調整智能反饋機制,可以促進系統自動產生安全保護,取得良好的安全防護效果。可以對一臺安全體系模型進行分析,在管理方面,對安全策略和風險評估進行測評,在技術層面,實時監測和數據恢復形成一套防御體系。在制度方面,結合安全跟蹤進行系統排查工作。系統還應具備一套完整的完整的動態自主調整的反饋機制,促進該體系模型更好的與系統動態性能結合。
信息安全管理在風險評估和安全策略中均有體現,將這些管理因素應用與安全保障體系保護信息安全系統十分重要。企業必須設立專門的信息系統安全管理部門,保障企業信息系統的安全。由企業主要領導帶頭,組織信息安全領導小組,專門負責企業的信息安全實行總體規劃及管理。在設立信息主管部門實施具體的管理步驟。企業應該制訂關于保證信息系統安全管理的標準。標準中應該明確規定信息系統中各類用戶的職責和權限、必須嚴格遵守操作系統過程中的規范、信息安全事件的報告和處理流程、對保密信息進行嚴格存儲、系統的帳號及密碼管理、數據庫中信息管理、中心機房設備維護、檢查與評估信息安全工作等等信息安全的相關標準。而且在實際運用過程中不斷地總結及完善信息系統安全管理的標準。
相關部門應該積極開展信息風險評估工作。通過維護信息網的網絡基礎設施有拓撲、網絡設備和安全設備,對系統安全定期的進行評估工作,主動發現系統存在的安全問題。主要針對企業支撐的信息網和應用IT系統資產進行全方位檢查,對管理存在的弱點進行技術識別。對于企業的信息安全現狀進行全面的評估,可以制作一張風險視圖表現企業全面存在的問題。為安全建設提供指導方向和參考價值。為企業信息安全建設打下堅實的基礎。
最后,加強信息系統的運行管理。可以通過以下措施進行:規范系統電子臺帳、設備的軟件及硬件配置管理、建立完善的設備以及相關的技術文檔。系統日常各項工作進行閉環管理,系統安裝、設備運營管理等。還要對用戶工作進行規范管理,分配足夠的資源和應用權限。防御體系、實時檢測和數據恢復三方面都體現了技術因素,信息安全管理系統技術應用于安全保障體系中。在建設和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮。采用分步實施,逐步實現的手法。在信息安全方面采取必要的技術手段,加強系統采取冗余的配置,提高系統的安全性。
對中心數據庫系統、核心交換機、數據中心的存儲系統、關鍵應用系統服務器等。為了避免重要系統的單點故障可以采取雙機甚至群集的配置。另外,加強對網絡系統的管理。企業信息系統安全的核心內容之一是網絡系統。同樣也是影響系統安全因素最多的環節。網絡系統的不安全給系統安全帶來風險。接下來重點談網絡安全方面需要采取的技術手段。網絡安全的最基礎工作,是加強網絡的接入管理。
與公用網絡系統存在區別的是,企業在網絡系統中有專門的網絡,系統只準許規定的用戶接入,因此必須實現管理接入。在實際操作過程中,可以采取邊緣認證的方式。筆者在實際工作經驗總結出公司的網絡系統是通過對網絡系統進行改造實現支持802.1X或MAC地址兩種安全認證的方式。不斷實現企業內網絡系統的安全接入管理。網絡端口接入網絡系統時所有的工作站設備必須經過安全認證,從而保證只有登記的、授權記錄在冊的設備才能介入企業的網絡系統,從而保證系統安全。根據物理分布可以利用VLAN技術及使用情況劃分系統子網。這樣的劃分有以下益處:首先,隔離了網絡廣播流量,整個系統避免被人為或者系統故障引起的網絡風暴。其次是提高系統的管理性。通過劃分子網可以實現對不同子網采取不同安全策略,可以將故障縮小到最低范圍。根據一些應用的需要實現某些應用系統中的相對隔離。
2、結語
第8篇:企業信息安全規劃范文
當前,互聯網和電子信息技術的快速發展,為人們的生活、工作和學習提供了極大的便利,為推動國民經濟發展做出了突出的貢獻。但與此同時,信息安全逐漸成為制約電信運營企業發展的一個瓶頸,各種信息安全風險和隱患隨著互聯網的普及和信息技術的發展越來越值得關注,怎樣保障信息安全成為電信運營企業面臨的重要任務。本文結合電信運營企業的實際情況,對電信企業信息安全項目的風險問題進行了分析,提出了加強信息安全項目風險管理的要求和風險控制方法,闡述了電信運營企業信息安全項目風險管理策略,以供參考。
關鍵詞:
電信運營企業;信息安全;項目風險管理
近年來,我國電信網絡系統越來越成熟,電信用戶數量大幅上漲,而電信運營企業的信息安全系統建設相對比較緩慢,實際運行經驗和信息安全系統平臺管理都存在很多不足,這也使得各種信息安全事故頻發,給國家、社會和人們造成巨大損失。為了解決這個困境,電信運營企業必須積極構建完善的信息安全系統,投入更多精力和成本,加強信息安全項目風險管理,配備先進的網絡安全監控技術,實時掌握電信網絡安全狀態,全面提高電信網絡系統的安全性和穩定性。
一、電信運營企業信息安全項目存在的風險問題
(一)需求不確定電信運營企業的信息安全項目涉及相關硬件平臺、軟件系統以及信息安全保障內容,多種內容和因素的影響使得信息安全項目需求具有不確定性。一方面,用戶需求的不確定性,不同用戶對于同一個信息安全項目可以有著不同的要求和理解,而同一個用戶在不同地點、不同時間也會有不同要求;另一方面,工作量的不確定性,信息安全系統建設的工作量無法通過有效方法進行估算,很多信息安全項目都具有創造性,沒有先例可以參考借鑒,實際建設和估算計劃往往較大差異,項目計劃的不準確很容易造成預算超標、時間拖延,甚至整個項目的失敗。
(二)技術風險信息安全項目在某些方面都具有抽象性,這樣使得各個階段的項目設計沒有可以遵循和參照的規范,信息安全項目設計和傳統項目相比存在較大差異,設計和施工無法分離,前期的需求說明和要求不能確定對于后期設計是否充分和完整,存在很多技術方面的風險。由于組織設計存在問題或者缺陷,信息安全項目功能無法達到用戶要求,例如,信息安全項目運轉效率較低,無法保障信息安全質量;相關信息安全資料不方面,使用和理解不方便;信息安全項目響應速度過慢,無法滿足用戶要求。同時,數據庫設計不合理也是信息安全項目面臨的常見技術問題,代碼設計不全面、數據完整性控制不足、數據冗余等,都導致信息安全項目存在潛在風險。
(三)進度風險對于信息安全項目,嚴格控制項目進度、優化項目進度管理,確保整個信息安全項目在規定時間內完成是電信運營企業信息安全項目風險管理的重要內容,但是在實際應用中,一方面前期的規劃設計方案不合理,后期開發建設過程中出現各種問題;另一方面,信息安全項目實施過程中出現問題或者遇到意外,又沒有有效的補救辦法,造成工期延誤。一旦信息安全項目被延誤,僅通過增加工作人員無法有效地進行彌補,開發設計人員之間需要溝通交流和默契配合,而隨著工作人員的增多,會加劇信息安全項目設計開發的復雜性,甚至導致更多的返工和混亂。
(四)成本風險信息安全項目的實施成本主要包括維護費用、軟件培訓費用、使用許可費用、硬件費用等,在具體的應用過程中,結合時間安排和項目進度,怎樣合理分配應用費用,有效控制應用成本是電信運營企業需要面臨的重要問題。若信息安全項目無法按照相關進度計劃有效開展,會導致實施成本增加和時間延誤,即使信息安全項目被使用,也達不到預算和時間要求。
(五)其他風險信息安全項目風險管理和安全管理人員、工作目標、組織結構、信息網絡、信息系統、網絡架構等有著密切的關系,并且信息安全項目開發設計是一個勞動密集型任務,每個階段都需要有人的參與,但是人的行為是很難預測和控制的,因此人的因素使信息安全項目存在很大不確定性。
二、電信運營企業信息安全項目風險管理策略
電信運營企業的信息安全項目具有復雜性、創造性、一次性等特點,建設過程中需要耗費大量的財力、物力和人力,而信息安全項目往往是風險和收益共存,項目規模越大,利潤越高,但是風險也越高,信息安全項目必須進行有效地控制和管理,但是這些項目往往受到多種因素的影響,管理控制不到位,就會造成項目無法達到預期目標、工期超出計劃、投資超出預算等。在實際應用中,電信運營企業的信息安全項目風險管理必須做好以下幾點:
(一)制定風險應對計劃為了避免發生各種風險事件,應制定科學合理的風險應對計劃,結合電信運營企業的實際情況和自身特點,基于風險定量分析和定性識別,采取預防式策略,減輕或者避免風險事件,做好充分的準備工作,最大程度地降低或者消除信息安全項目風險事件發生概率。電信運營企業在制定信息安全項目的風險應對計劃時,應包括應急方案、資源需求、風險應對行動計劃、風險量化評估、風險定性識別等內容。結合項目應用條件、環境和項目自身的變化,根據專家經驗、歷史經驗、風險影響等判斷信息安全項目的風險征兆,有針對性地制定相應風險應對計劃。同時,信息安全項目的應急方案應堅持按需定制,對項目中的緊急或者特殊事件采取有效的應急控制措施,確保信息安全項目順利實施。
(二)風險主動控制基于信息安全項目的風險分析,電信運營企業應做好風險主動控制,全面控制和監督信息安全項目全過程。首先,結合已經識別的信息安全項目風險,整理和獲取當前風險狀態,結合已經發生的條件,判斷信息安全項目風險是否已經發展為問題。其次,結合風險分析和跟蹤結果,有效、及時地控制信息安全項目實施,結合風險應對計劃,確定采用怎樣的行動。電信運營企業對信息安全項目進行風險主動控制時,主要包括以下三個步驟:第一步,執行風險預防性措施,結合信息安全項目制定的風險應對計劃,做好風險的事前防范和控制,避免發生安全事故影響信息安全項目的進度、質量和成本,實施第一步時,結合信息安全項目應對計劃中的各種防范活動,做好事前管理和控制,對相應執行情況進行存檔,便于風險發展評估和執行效果跟蹤。第二步,確定風險,結合信息安全項目的風險定量分析結果進行風險評估排序,對不同階段內已經識別的項目風險,重點關注高影響風險,廣泛收集風險事件相關信息,跟蹤信息風險。第三步,判斷新情況,結合信息安全項目具體情況,根據風險控制和跟蹤結果,判斷是否存在一些沒有被識別的風險或者風險是否發生一些新情況,結合具體情況,重新調整信息安全項目管理計劃。
(三)健全信息安全項目風險管理制度電信運營企業應高度重視信息安全項目的風險管理,嚴格落實保密制度,加強保密監督,平衡保密和電信網絡系統信息資源開放共享的關系,強化電信保密管理,確保電信運營企業的信息安全項目順利實施。首先,對于電信運營企業的信息安全項目進行風險劃分,嚴格控制秘密信息;其次,落實保密審批和信息公開制度,構建信息安全項目風險管理責任制;再次,強化保密監督,信息安全項目風險控制和信息保護應由專門的工作人員或者機構負責,檢查和監督信息安全項目風險管理情況。
(四)加強風險管理控制首先,電信運營企業應認真分析信息安全項目的用戶要求和應用特點,安排專業技術功底好、實踐經驗豐富的工作人員進行開發設計,規劃設計階段應全面考慮到信息安全項目的各種影響因素,制定科學合理、切實可行的風險管理計劃。其次,加強信息安全項目進度風險控制,一個項目的順利實施需要很多工作人員的共同努力,通過加強風險跟蹤、風險分析、風險識別、風險管理等措施,加快信息安全項目開發速度,保障電信運營企業的經濟效益。最后,信息安全項目實施過程中一旦遇到問題或者發生安全事件,會給電信運營企業造成很大的經濟損失,在前期規劃設計階段,應做好成本投資計劃,充分考慮到信息安全項目的經濟利益和風險,在整個項目實施過程中加強成本風險控制,強化工作人員的責任意識,最大程度地確保信息安全項目的順利進行。
三、結束語
第9篇:企業信息安全規劃范文
關鍵詞:供電企業;信息化;管理
作者簡介:廖謙(1979-),男,貴州興義人,貴州電網公司興義供電局,助理工程師;張濤(1982-),男,江西宜春人,貴州電網公司興義供電局,工程師。(貴州 興義 562400)
中圖分類號:F270.7 文獻標識碼:A 文章編號:1007-0079(2013)30-0158-02
當前正處在一個劃時代的全球信息革命浪潮中,隨著信息技術和計算機技術的飛速發展,信息化已經深入到國民經濟和社會活動的所有領域。信息化不僅是經濟和社會現代化的重要標志,而且代表先進生產力的發展趨勢和方向。發展信息化,以信息化推動工業化是現代化建設的戰略舉措。
近年來,地區各供電局信息化建設及管理工作發展迅速,在網公司和省公司的統一領導與支持下,信息化工作經歷了“2009年達B+,2010年達A級”的工作階段,通過成立信息化領導小組、信息化辦公室等組織機構及定期召開例會、完善信息化管理制度的方式來提高信息化管理水平;通過建設“綜合數據網、數據中心機房標準化改造、局域網標準化改造、35kV變電站及供電所光纜覆蓋工程”等項目來提高信息化基礎設施水平;通過推廣建設生產、營銷、財務、人事、基建、物資、審計、辦公自動化等主營業務系統,并進行相關的實用化驗收工作來推進信息系統應用水平。地區供電局在實施信息化過程中積累了大量的寶貴經驗,應該說挑戰和機遇共存。
一、地區供電局在信息化工作中應注意的問題
1.信息化發展不平衡,對領導決策支持不足
近幾年的信息化建設側重于信息基礎設施建設,在信息化專業管理方面還存在不足,需進一步完善管理機制,促進信息化決策的執行和組織實施水平,并積極推動信息化項目在所屬縣級供電企業的建設和推廣應用;信息系統建設最后所要達到的目標就是為企業管理層提供決策支持,通過對存儲在計算機中的企業數據的加工整理,為管理和決策提供有效支持,而現有的信息系統雖覆蓋到企業內的各個業務節點,但信息數據的整合程度不夠,導致提供的決策支持力度非常有限。
2.信息安全防護薄弱,管理手段單一,管理手段尚需加強
隨著省、網公司提出了ISO27001信息安全體系建設,在信息化方面投資加大,使信息安全有了一定的提升,但企業現有的信息系統中部署的眾多IT產品(包括操作系統、數據庫平臺、應用系統)在不同類型的信息產品之間仍然缺乏協同,特別是不同場上的產品,不僅產品之間安全管理數據缺乏共享,而且各種安全機制缺乏協同,沒有統一的服務接口,系統中存在安全功能重復開發,安全產品難以管理的情況,為信息系統管理留下了安全隱患。同時,雖然通過省公司上網行為管理系統有效限制了消耗資源的聊天、游戲、在線視頻、惡意下載等行為對網絡帶寬的占用,但整個信息網絡沒有足夠的自修復能力,缺乏有效的網絡監控、防御手段,對于入侵檢測和防御也沒有一套有效的方法和手段來抵御,對于整個信息應用而言極易造成較大的安全威脅。
3.核心技術人員缺乏,創新能力不足
信息技術從業人員在數量方面雖有所提升,但缺乏高素質、高層次的信息化專業人才和復合型人才,缺少既懂業務又懂技術的信息人才,呈現中間大、兩頭小的橄欖形結構。信息化項目失敗的原因通常是信息技術與應用需求之間脫節,而這種系統設計上的脫節往往是由管理方不熟悉技術、技術方不了解管理、技術應用和業務系統不能有效融合所造成,故這種“銜接者”非常重要。在省公司信息化“四統一”建設的信息系統幾乎覆蓋了企業所有業務的應用集成,而二次開發方面及系統層次運維方面又主要依靠軟件開發商,造成企業信息化從業人員應用集成創新和技術再創新方面的能力得不到提升,非常不利于企業信息技術的深入應用。
4.縣級供電企業對信息化認識不足,信息安全意識淡薄
目前縣級供電企業信息化職能部門設置不規范,絕大多數企業沒有成立信息化專職機構,信息化從業人員基本都是兼職;人員信息安全意識淡薄,曾發生過在百度文庫上泄露企業機密事件;縣級供電企業使用主營業務系統時,數據錄入不規范,不滿足省、網公司數據質量考核要求。
二、地區供電局信息化工作中出現問題的對策
1.以信息化促進流程應用規范化、以流程優化促進業務應用信息化
結合“安全生產管理一體化”、“風險管理體系建設”、“南方電網公司‘十二五’信息化發展規劃”等工作的實施,進一步優化、規范地區供電局內部的管理和業務流程,以適應迅速增長的業務量和迅速膨脹的企業規模。在不失控的條件下,對員工進行充分授權,以提高工作效率,充分利用現代信息技術做到扁平化的組織管理,取代中層監督控制部門的大量職能,加強決策層與執行層的直接溝通,通過水平、對等的信息傳遞來協調局內部各部門、各專業之間的活動,實現動態管理,使信息溝通暢通、及時,降低企業內部的監督協調成本,使電力企業所需的營銷、生產、內部管理等信息同局領導決策層間的反饋更加迅速,在提高企業對內部生產、電力市場快速反應能力的同時極大地調動企業員工的潛能和積極性。最后以現代信息技術的深層次應用作為切入點,努力提高企業內部信息流轉的速度與質量,通過開展業務的流程優化工作對企業業務各個領域的信息數據和業務流程進行整合,有效明確各系統間的運作關系,從而提高企業的信息化應用水平和整體管理水平;依托信息化推動“集團化運作、一體化管理”。通過信息化促進管理觀念的轉變,把資產全生命周期管理、客戶全方位服務、資源集約化管理等先進的管理理念和方法引入到管理流程中,再造業務流程,將轉型升級的“變革”成果用信息化手段進行固化;同時將商務智能、物聯網、云計算等先進技術植入企業經營管理,促進企業生產經營方式的變革,從而促進管理創新,提升管理水平。
2.確保應用系統安全穩定運行,提升IT服務質量,提升地區供電局信息化安全水平
優質、高效的IT服務是企業信息化的核心價值之一。隨著南方電網公司“6+1”工程的穩步推進,企業信息化建設及應用的不斷深入,其穩定運行直接關乎企業正常運轉,這樣的大背景對IT運維服務提出了更高的要求。因此,在信息化領域的管理提升活動中,地區供電局將更加注重“兩級三線”運維服務體系的深化應用,確保應用系統的安全穩定運行,全面提升IT服務質量及客戶滿意度。實現核心業務系統年度可用率大于99.8%,客戶滿意率大于90%的總體指標。開展信息安全意識全員培訓,將信息安全意識灌輸給每一位在崗員工;用好上網行為管理系統,優化上網策略,做到上網機器不,機器不上網;做好內外網隔離,實時升級核心防火墻,提升防御外部入侵風險能力;制定信息安全管理制度,對發生信息安全事件的單位或個人進行嚴厲懲罰。
3.加強人才培養,堅持高質量培訓
就電力企業的信息化建設及其發展而言,其核心競爭力和信息化建設成敗的決定性因素取決于高素質的人才隊伍。在信息化建設過程中,應結合地區供電局信息化年度實施計劃及信息化建設的實際需要,把信息化人才隊伍建設作為推動信息化進程中的重中之重。努力營造良好的“吸引人才、培養人才、留住人才”的環境,通過完善人才激勵機制,加強主營業務信息系統應用、數據庫、軟件開發、項目管理等專業認證培訓以及電力業務培訓,逐步培養出一批復合型的信息化人才,并通過開展相關的職業規劃,使信息化從業人員能夠進行合理的自我定位,以保證地區供電局信息化建設的連續性、有效性和從業人員職業生涯的可視性。結合省公司員工持證上崗細則,每年安排信息化從業人員外出取證培訓。同時安排信息技術人員到各主營業務系統主管部門進行輪崗鍛煉,提升其業務能力,培養一批既懂業務又懂技術的復合型人才。
4.加大對縣級供電企業信息化投入,同時加大對縣級供電企業信息化的幫扶力度
根據地區供電局信息化近年發展規劃,將加大對縣級供電企業的信息化投入,具體表現在:信息化建設方面,對縣級供電企業機房按省公司數據中心機房標準化進行建設;采購計算機終端充實到各供電所等基層單位;綜合數據網延伸至供電所,提升供電所訪問各主營業務系統的速度;不定期的組織縣級供電企業信息化從業人員進行技術培訓及對縣級供電企業進行技術幫扶,不定期的到縣級供電企業進行現場技術指導;不定期組織縣級供電企業信息技術人員到地區供電局信息部門進行跟班學習,提高解決實際問題的動手能力;優化上網策略,嚴格控制縣級供電企業工作人員上互聯網,等等。
三、總結
地區供電局的信息化工作是企業發展和改革的重要方面,首先要有正確的認識和定位,制定科學合理的發展規劃,穩步發展投入,建立和培養專業人才隊伍,正確面對并解決存在的困難和問題,信息化建設工作一定會取得實效。信息化程度的高低是企業的一種無形資產,能夠影響企業的發展和效益。地區供電局將按照網、省公司關于信息化的工作要求,優質完成“十二五”期間的信息化項目建設、應用信息系統推廣建設和信息化管理、運維工作,進一步夯實地區供電局信息化基礎設施,優化管理流程,整體提高地區供電局的信息化水平。
參考文獻:
[1]甘利人.企業信息化建設與管理[M].北京:北京大學出版社,
2003.
