企業(yè)信息安全要求精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全要求主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全要求范文

【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補救，導(dǎo)致了企業(yè)信息防范的主動性和意識不高，信息安全防護水平已經(jīng)越來越不適應(yīng)當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護設(shè)備和防護策略只是其中的一部分，企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。其次階段遞進的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓(xùn)，強化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3 及時優(yōu)化更新企業(yè)信息安全防護技術(shù)

當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時，就應(yīng)當考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權(quán)限，達到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護體系時，我們需要重點關(guān)注以下幾個方面：

3.1 實施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個人行為不規(guī)范，造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設(shè)安全防護體系時，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護水平。

3.2 建設(shè)安全完善的VPN接入平臺

企業(yè)在信息化建設(shè)中，考慮總部和分支機構(gòu)的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構(gòu)可以考慮專用的VPN設(shè)備和總部進行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設(shè)備采購時，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時，要面對多個部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險程度，做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應(yīng)防護設(shè)備進行深層次的安全防護，真正實現(xiàn)OSI的L2～L7層的安全防護。

3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系，重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對整個網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時，企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語

信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃，實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制，保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動性，真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻

[1]郝宏志.企業(yè)信息管理師[M].北京：機械工業(yè)出版社，2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識[J].中國教育網(wǎng)絡(luò)，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人。現(xiàn)為中國市政工程華北設(shè)計研究總院有限公司工程師。研究方向為網(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

第2篇：企業(yè)信息安全要求范文

關(guān)鍵詞：信息安全防護體系；風(fēng)險評估；信息安全隱患；應(yīng)急預(yù)案

中圖分類號：F470.6 文獻標識碼：A 文章編號：

信息安全管理是信息安全防護體系建設(shè)的重要內(nèi)容，也是完善各項信息安全技術(shù)措施的基礎(chǔ)，而信息安全管理標準又是信息安全管理的基礎(chǔ)和準則，因此要做好信息安全防護體系建設(shè)，必須從強化管理著手，首先制定信息安全管理標準。電力系統(tǒng)借鑒 ISO27000國際信息安全管理理念，并結(jié)合公司信息安全實際情況，制訂了信息安全管理標準，明確了各單位、各部門的職責劃分，固化了信息系統(tǒng)安全檢測與風(fēng)險評估管理、信息安全專項檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計調(diào)查及組織整改等工作流程，促進了各單位信息安全規(guī)范性管理，為各項信息安全技術(shù)措施奠定了基礎(chǔ)，顯著提升了公司信息安全防護體系建設(shè)水平。

1電力系統(tǒng)信息安全防護目標

規(guī)范、加強公司網(wǎng)絡(luò)和信息系統(tǒng)安全的管理，確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運行和確保信息內(nèi)容的機密性、完整性、可用性，防止因信息系統(tǒng)本身故障導(dǎo)致信息系統(tǒng)不能正常使用和系統(tǒng)崩潰， 抵御黑客、病毒、惡意代碼等對信息系統(tǒng)發(fā)起的各類攻擊和破壞，防止信息內(nèi)容及數(shù)據(jù)丟失和失密，防止有害信息在網(wǎng)上傳播，防止公司對外服務(wù)中斷和由此造成的電力系統(tǒng)運行事故，并以此提升公司信息安全的整體管理水平。

2信息安全防護體系建設(shè)重點工作

電力系統(tǒng)信息安全防護體系建設(shè)應(yīng)遵循“強化管理、標準先行”的理念。下面，結(jié)合本公司信息安全防護體系建設(shè)經(jīng)驗，對信息安全防護體系建設(shè)四項重點工作進行闡述。

2.1 信息系統(tǒng)安全檢測與風(fēng)險評估管理

信息管理部門信息安全管理專職根據(jù)年度信息化項目綜合計劃，每年在綜合計劃正式下達后，制定全年新建應(yīng)用系統(tǒng)安全檢測與風(fēng)險評估計劃，確保系統(tǒng)上線前符合國網(wǎng)公司信息安全等級保護要求。 應(yīng)用系統(tǒng)在建設(shè)完成后 10個工作日內(nèi)，按照《國家電網(wǎng)公司信息系統(tǒng)上下線管理辦法》要求進行上線申請。 由信息管理部門信息安全管理專職在接到上線申請 10個工作日內(nèi)， 組織應(yīng)用系統(tǒng)專職及業(yè)務(wù)主管部門按照《國家電網(wǎng)公司信息安全風(fēng)險評估實施指南》對系統(tǒng)的安全性進行風(fēng)險評估測試，并形成評估報告交付業(yè)務(wù)部門。 對應(yīng)用系統(tǒng)不滿足安全要求的部分， 業(yè)務(wù)部門應(yīng)在收到評估報告后 10個工作日內(nèi)按照《國家電網(wǎng)公司信息安全加固實施指南（試行）》進行安全加固，加固后 5個工作日內(nèi)，經(jīng)信息管理部門復(fù)查，符合安全要求后方可上線試運行。應(yīng)用系統(tǒng)進入試運行后，應(yīng)嚴格做好數(shù)據(jù)的備份、保證系統(tǒng)及用戶數(shù)據(jù)的安全，對在上線后影響網(wǎng)絡(luò)信息安全的，信息管理部門有權(quán)停止系統(tǒng)的運行。

2.2 信息安全專項檢查與治理

信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項檢查工作計劃。檢查內(nèi)容包括公司本部及各基層單位的終端設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、機房安全等。 信息安全專職按照計劃組織公司信息安全督查員開展信息安全專項檢查工作，對在檢查中發(fā)現(xiàn)的問題，檢查后 5 個工作日內(nèi)錄入信息安全隱患庫并反饋給各相關(guān)單位，隱患分為重大隱患和一般隱患，對于重大隱患，信息安全專職負責在錄入隱患庫 10 個工作日內(nèi)組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個工作日內(nèi)對發(fā)現(xiàn)的問題制定治理方案， 并限期整技信息部信息安全專職。信息管理部門安全專職對隱患庫中所有隱患的治理情況進行跟蹤，并組織復(fù)查，對未能按期完成整改的單位，信息安全專職 10 個工作日內(nèi)匯報信息管理部門負責人， 信息管理部門有權(quán)向人資部建議對其進行績效考核。

2.3 信息安全應(yīng)急預(yù)案管理

信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應(yīng)急預(yù)案編制、演練及修訂計劃，并下發(fā)給各單位。各單位信息安全專職按照計劃組織本單位開展相關(guān)預(yù)案的制定，各種預(yù)案制定后 5 個工作日內(nèi)交本部門主要負責人審批，審批通過后 5 個工作日內(nèi)報信息管理部門信息安全專職。各單位信息安全專職負責組織對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)，并按年度計劃開展預(yù)案演練。 根據(jù)演練結(jié)果，10 個工作日內(nèi)組織對預(yù)案進行修訂。各單位信息安全預(yù)案應(yīng)每年至少進行一次審查修訂， 對更新后的內(nèi)容， 需在 10 個工作日內(nèi)經(jīng)本部門領(lǐng)導(dǎo)審批，并在審批通過后 5 個工作日內(nèi)報信息管理部門備案。

2.4 安全事件統(tǒng)計、調(diào)查及組織整改

信息管理部門信息安全專職負責每月初對公司本部及各基層單位上個月信息安全事件進行統(tǒng)計。 各系統(tǒng)負責人、各單位信息安全管理專職負責統(tǒng)計本系統(tǒng)、單位的信息安全事件，并在每月 30 日以書面形式報告信息管理部門信息安全專職， 對于逾期未報的按無事件處理。 出現(xiàn)信息安全事件后 5 個工作日內(nèi)，信息管理部門信息安全專職負責組織對事件的調(diào)查，調(diào)查過程嚴格按照《國家電網(wǎng)公司信息系統(tǒng)事故調(diào)查及統(tǒng)計規(guī)定(試行)》執(zhí)行，并組織開展信息系統(tǒng)事故原因分析，堅持“四不放過”原則，調(diào)查后 5 個工作日內(nèi)組織編寫事件調(diào)查報告。調(diào)查、分析完成后 10 個工作日內(nèi)組織落實各項整改措施。信息安全事件調(diào)查嚴格執(zhí)行《國家電網(wǎng)公司網(wǎng)絡(luò)與信息系統(tǒng)安全運行情況通報制度》制度。

3評估與改進

通過執(zhí)行“強化管理、標準先行”的信息安全防護體系建設(shè)理念和實施電力公司信息安全管理標準， 明確了各項工作的“5W1H”。 使信息管理部門和各部門及下屬各單位的接口與職責劃分進一步清晰，有效協(xié)調(diào)了相互之間的分工協(xié)作。 并通過 ITMIS 系統(tǒng)進行對上述流程進行固化，在嚴格執(zhí)行國網(wǎng)公司、省公司各項安全要求的基礎(chǔ)上簡化了工作流程， 搭建了信息安全防護建設(shè)工作的基礎(chǔ)架構(gòu)，實現(xiàn)了信息安全防護建設(shè)工作的體系化。同時在標準的 PDCA 四階段循環(huán)周期通過管理目標、職責分工，管理方法，管理流程、考核要求，文檔記錄 6 種管理要素對信息系統(tǒng)安全檢測與風(fēng)險評估管理、信息安全專項檢查與治理、信息安全預(yù)案管理、安全事件統(tǒng)計調(diào)查及組織整改4 項管理內(nèi)容進行持續(xù)改進，使信息安全防護體系建設(shè)工作的質(zhì)量有了質(zhì)變提升。 在信息安全防護建設(shè)工作的基礎(chǔ)架構(gòu)搭建完成后，江蘇省電力公司常州供電公司下一步將重點完善信息安全防護體系中技術(shù)體系建設(shè)，管理與技術(shù)措施并舉，構(gòu)建堅強信息安全防護體系。

第3篇：企業(yè)信息安全要求范文

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業(yè)信息系統(tǒng)安全結(jié)構(gòu)是計算機網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)的擴展。20 世紀80 年代末、90 年代初,信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的重要性開始引起發(fā)達國家關(guān)注。如,美國國家安全局(NAS) 20 世紀90 年代公布的國防信息系統(tǒng)安全計劃(DISSP) ,是由安全特性、系統(tǒng)組成部分、擴展的IS0 協(xié)議層等三維構(gòu)成,它不僅考慮了信息傳輸安全、網(wǎng)絡(luò)安全,還考慮了信息處理安全、端系統(tǒng)及接口安全問題;此外,還增加了互操作性、質(zhì)量保證、性能等安全特性。2001 年美國國家安全局(NAS )制定了信息技術(shù)保證框架(IATF),是從整體、過程的角度看待信息安全問題,它強調(diào)以人、技術(shù)、操作這三個核心原則,關(guān)注四個信息安全保障領(lǐng)域:保護網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保護邊界、保護計算環(huán)境、支撐基礎(chǔ)設(shè)施,并在4 個重點技術(shù)領(lǐng)域?qū)嵤┲T如應(yīng)用層護衛(wèi)、電路、文件加密等多種安全技術(shù)手段。再如,美國國防部所屬的國防信息系統(tǒng)局(DISA)1996 年制定了防御目標安全系統(tǒng)結(jié)構(gòu)框架(DGSA V3.0),從系統(tǒng)單元構(gòu)成的角度,提出了信息系統(tǒng)中各單元分的安全服務(wù)配置框架,目的是要從安全系統(tǒng)結(jié)構(gòu)的高度對信息統(tǒng)的安全保護提出技術(shù)上和管理上的規(guī)范要求等。

在信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)理論研究領(lǐng)域,有人提出開放分布式系統(tǒng)的安全結(jié)構(gòu);有人對網(wǎng)絡(luò)及信息系安全系統(tǒng)結(jié)構(gòu)進行了初步的探討和研究,提出了計算機網(wǎng)絡(luò)實體安全系統(tǒng)結(jié)構(gòu)和基于智能協(xié)作技術(shù)的信息系統(tǒng)安全系結(jié)構(gòu)概念模型等。通過對上述的研究分析,可以看到國內(nèi)外己有的安全系統(tǒng)結(jié)構(gòu)和框架都描述了信息系統(tǒng)相關(guān)的安全系統(tǒng)結(jié)構(gòu)及模型等安全要素,它們各不相同,實現(xiàn)方法等也并且都不完備。由于研究問題的層次和角度不同,對安全系統(tǒng)結(jié)構(gòu)的具體含義的理解也同,從而導(dǎo)致信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)在概念上、類型上及結(jié)構(gòu)上的不一致,因此,為使信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)研究和應(yīng)用共同的概念依據(jù)和構(gòu)建基礎(chǔ),需要加強對信息系統(tǒng)安全結(jié)構(gòu)的一些基本問題,諸如安全結(jié)構(gòu)的類型及特征、構(gòu)成要素及構(gòu)建步驟等內(nèi)容的學(xué)習(xí)研究,以引導(dǎo)企業(yè)安全系統(tǒng)的建立。

1 信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)組成要素

實現(xiàn)信息安全系統(tǒng)結(jié)構(gòu)的安全,要從多個方面考慮,通常定義的包括安全屬性、系統(tǒng)組成、安全策略、安全模型、安全機制等5 個方面。在每一個方面中,還可以繼續(xù)劃分多個層次;對于一個給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對信息系統(tǒng)一種屬性要求,信息系統(tǒng)通過安全服務(wù)來實現(xiàn)安全性。基本的安全服務(wù)包括標識與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對安全服務(wù)和安全機制的對應(yīng)關(guān)系給予了描述。它的核心內(nèi)容是將5 大類安全服務(wù):身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認性及提供這些服務(wù)的8 類安全機制及其相應(yīng)的0SI 安全管理等放置于0SI模型的7層協(xié)議中,以實現(xiàn)端系統(tǒng)信息安全傳送的通信通路。這樣從安全性到安全服務(wù)機制到具體安全技術(shù)手段形成了安全屬性的不同層次。

1.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分,有不同的方法。可以分為硬件和軟件,在硬件和軟件中又可以進一步地劃分。對于分布的信息系統(tǒng),可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元,即將信息系統(tǒng)的組成要素分為本地計算環(huán)境和網(wǎng)絡(luò),以及計算環(huán)境邊界。本地計算環(huán)境和網(wǎng)絡(luò)都還可以進一步劃分等。例如本地計算環(huán)境可以分為端系統(tǒng)、中繼系統(tǒng)和局部通信系統(tǒng)。端系統(tǒng)作為信息處理單元,可以繼續(xù)分為應(yīng)用平臺和應(yīng)用軟件;應(yīng)用平臺包括操作系統(tǒng)、軟件工程服務(wù)、分布式服務(wù)、數(shù)據(jù)管理等:應(yīng)用軟件中包括消息處理、web 應(yīng)用等。

1.3 安全策略

在安全系統(tǒng)結(jié)構(gòu)中,安全策略指用于限定一個系統(tǒng)、實體或?qū)ο筮M行安全相關(guān)活動的規(guī)則。 即要表明在安全范圍內(nèi)什么是允許的,什么是不允許的。它直體現(xiàn)了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對于抽象型和一般型安全系統(tǒng)結(jié)構(gòu)而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規(guī)定,不涉及具體的軟硬件實現(xiàn);而對于具體型安全系統(tǒng)結(jié)構(gòu),其安全策咯則是要對實現(xiàn)系統(tǒng)安全功能的主體和客體特性進行具體的標識和說明,亦即要描述允許或禁止系統(tǒng)和用戶何時執(zhí)行哪些動作,井要能反射到軟硬件安全組件的具體配置,如,網(wǎng)絡(luò)操作系統(tǒng)的帳戶策略用戶權(quán)限策略和審計策略等安全策略就最終體現(xiàn)為發(fā)全功能的各種選項等。

1.4 安全模型

安全模型用于準確描述系絞在功能和結(jié)構(gòu)上的安全特性,它反映了一定的支全策略,是引導(dǎo)、驗證安全系統(tǒng)開發(fā)設(shè)計的概念模型要求。對安全策略及形式化模型的研究起源于美國軍方對高安全級別的計算機系統(tǒng)的需求,它為計算機操作系統(tǒng)的安全性設(shè)計提供了理論基礎(chǔ)。這些安全模型通常被認為是經(jīng)典安全模型。經(jīng)典安全模型主要由身份標識、認證、授權(quán)、審核等4個環(huán)節(jié)構(gòu)成。經(jīng)典安全模型的前提假設(shè)是:引用監(jiān)視器是主體對客體進行訪問的唯一路徑。身份標識與認證的機制是可靠的;審核文件和訪問控制數(shù)據(jù)庫本身受到充分的保護。而這些前提在實際的信怠系統(tǒng)中并不一定成立。因此,信息系統(tǒng)安全摸型的描述應(yīng)反映相應(yīng)層次和視圖上的安全策略。

1.5 安全機制

安全機制是實現(xiàn)信息系統(tǒng)安全需求及空全策略的各種措施,具體可以表現(xiàn)為所需要的安全白標準、安全協(xié)議、安全技術(shù)、安全單元等。對于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構(gòu),安全機制側(cè)重點也有所不同。例如:OSI安全系統(tǒng)結(jié)構(gòu)中建議采用7種安全機制。而對于特定系統(tǒng)的安全系統(tǒng)結(jié)構(gòu),則要進一步說明有關(guān)安全機制的具體實現(xiàn)技術(shù),如認證機制的實現(xiàn)可以有口令、密碼技術(shù)及實體特征鑒別等方法。

2 數(shù)學(xué)模型

把整個信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)可看成為一個空間:組成信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的這些方面稱之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現(xiàn),通用的信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)就是具有多維、多層和動態(tài)特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個元素之間的運算)。通過數(shù)學(xué)描述,可以更好地對知識進行歸納和運用:一方面更容易量化,使得描述更為清晰;另一方面可以指導(dǎo)新的未知問題的探索,演繹出新的概念或理論。

3 結(jié)束語

企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)的研究是一項復(fù)雜的系統(tǒng)工程。需要我們用系統(tǒng)工程的概念、理論和方法來研究、開發(fā)和實施系統(tǒng)安全結(jié)構(gòu)的設(shè)計,安全系統(tǒng)結(jié)構(gòu)理論就是要從整體上解決信息系統(tǒng)的安全問題,但目前在很多企業(yè)對安全系統(tǒng)結(jié)構(gòu)的概念、類型、構(gòu)建等問題上還沒有得到系統(tǒng)化的研究,以上從學(xué)習(xí)研究的角度對目前國內(nèi)外安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)的研究進行了粗淺的學(xué)習(xí)分析,通過分析使對整個安全系統(tǒng)結(jié)構(gòu)的認識進一步加深和清晰化,從而提出企業(yè)信息安全系統(tǒng)結(jié)構(gòu)和模型。要使企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)適合企業(yè)信息系統(tǒng)安全、全面、準確、可行的要求,同時要適應(yīng)信息技術(shù)及其安全技術(shù)的飛速發(fā)展。只有這樣,才能確保信息安全系統(tǒng)適應(yīng)更好地為企業(yè)服務(wù)。

參考文獻:

第4篇：企業(yè)信息安全要求范文

隨著近年來信息安全話題的持續(xù)熱議，越來越多的企業(yè)管理人員開始關(guān)注這一領(lǐng)域，針對黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問題陸續(xù)采取了一系列措施，開始構(gòu)筑企業(yè)的信息安全防護屏障。然而在給企業(yè)做咨詢項目的時候，還是經(jīng)常會聽到這樣的話：

“我們已經(jīng)部署了防火墻、入侵檢測設(shè)備防范外部黑客入侵，采購了專用的數(shù)據(jù)防泄密軟件進行內(nèi)部信息資源管理，為什么還是會出現(xiàn)企業(yè)敏感信息外泄的問題？”

“我們的IT運營部門建立了系統(tǒng)的運行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實？各業(yè)務(wù)部門都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣。”

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系，投入了專門的人力進行安全管理和控制，并且通過了企業(yè)信息安全管理體系的認證和審核，一開始的確獲得了顯著的成效，但為什么經(jīng)過一年的運行后，卻發(fā)現(xiàn)各類安全事件有增無減？”

這些問題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護能力。上述的三個案例，案例一中企業(yè)發(fā)生過敏感信息外泄事件，于是采購了專用的數(shù)據(jù)防泄密軟件，卻并未制定相關(guān)的信息管理制度和進行員工保密意識培訓(xùn)，結(jié)果只能是防外不防內(nèi)，還會給員工的正常工作帶來諸多不便；案例二中企業(yè)管理者認識到安全管理的重要性，要求相關(guān)部門編制了大量的管理制度和規(guī)范，然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施，不切實際的管理制度最終因為業(yè)務(wù)部門的排斥而束之高閣；案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系，然而認證通過后隨著業(yè)務(wù)發(fā)展卻并未進行必要的改進和優(yōu)化，隨著時間的推移管理體系與實際工作脫節(jié)日益嚴重，各類安全隱患再次出現(xiàn)也就不足為奇。

其實，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫(yī)治標不治本，指的就是采取分片分析的發(fā)現(xiàn)問題―分析問題―解決問題的思路處理安全威脅，通過技術(shù)手段的積累雖然可以解決很多問題，但總會產(chǎn)生疲于應(yīng)付的狀況，難以形成有效的安全保障體系；類比于中醫(yī)理論將人體看為一個互相聯(lián)系的整體，信息安全管理體系的建立正是通過全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問題和隱患，緊密聯(lián)系業(yè)務(wù)工作和安全保障需要，形成系統(tǒng)的解決方案，通過動態(tài)的維護機制形成完善的防護體系。

總體來說，信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是基于業(yè)務(wù)風(fēng)險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動的結(jié)果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對ISMS的建立，我們可以從中醫(yī)“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論：

第一，“望聞問切”，全面的業(yè)務(wù)、資產(chǎn)和風(fēng)險評估是ISMS建設(shè)的基礎(chǔ)；

第二，“對癥下藥”，可落實、可操作、可驗證的管理體系是ISMS建設(shè)的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問切

為了完成ISMS建設(shè)，就必然需要對企業(yè)當前信息資源現(xiàn)狀進行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進行ISMS建設(shè)。

首先，自然是對企業(yè)現(xiàn)有資源的梳理，重點可以從以下幾個方面入手：

1.業(yè)務(wù)主體（設(shè)備、人員、軟件等）。

業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺服務(wù)器、多少臺網(wǎng)絡(luò)設(shè)備，都屬于業(yè)務(wù)主體的范疇，按照業(yè)務(wù)主體本身的價值進行一個估值，也是進行整個信息系統(tǒng)資源價值評估的基礎(chǔ)評估。由于信息技術(shù)日新月異的變化，最好的主體未必服務(wù)于最核心的信息系統(tǒng)，同時價值最昂貴的設(shè)備未必最后對企業(yè)的價值也最大。在建立體系的過程中，對業(yè)務(wù)設(shè)備的盤點和清理是很重要的，也是進行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個重要數(shù)據(jù)。

2.業(yè)務(wù)數(shù)據(jù)（服務(wù)等）。

業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負責人逐步關(guān)注的方面，之前我們只關(guān)注設(shè)備的安全，網(wǎng)絡(luò)的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對業(yè)務(wù)和企業(yè)的重要性。現(xiàn)在，核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)，業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務(wù)數(shù)據(jù)意義也不大，保證業(yè)務(wù)數(shù)據(jù)，必須保證其運行的平臺和容器都是正常的，所以，業(yè)務(wù)數(shù)據(jù)也是我們重點分析的方面之一。

3.業(yè)務(wù)流程。

企業(yè)所有的信息資源都是通過業(yè)務(wù)流程實現(xiàn)其價值的，如果沒有業(yè)務(wù)流程，所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對業(yè)務(wù)流程的了解和分析也是很重要的一個方面。

以上三個方面是企業(yè)信息資源的三個核心方面，孤立地看待任何一個方面都是毫無意義的。

其次，當我們對企業(yè)的當前信息資產(chǎn)進行分析以后需要對其價值進行評估。

評估的過程就是對當前的信息資產(chǎn)進行量化的數(shù)據(jù)分析，進行安全賦值，我們將信息資產(chǎn)的安全等級劃分為 5 級，數(shù)值越大，安全性要求越高，5 級的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴重的損失。1 級的信息資產(chǎn)定義為不重要，其被損害不會對企業(yè)造成過大影響，甚至可以忽略不計。對信息資產(chǎn)的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個方面進行評估賦值，最后信息資產(chǎn)的賦值取 5 個屬性里面的最大值。

這里需要提出的是，這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務(wù)流程作為核心的信息資源也必須賦值，而且?guī)讉€基本要素之間的安全值是相互疊加的，比如需要運行核心流程的交換機的賦值，是要高于需要運行核心流程的交換機的賦值的。很多企業(yè)由于歷史原因，運行核心業(yè)務(wù)流程的往往是比較老的設(shè)備，在隨后的分析可以看得出來，由于其年代的影響，造成資產(chǎn)的風(fēng)險增加，也是需要重點注意的一點。

最后，對企業(yè)當前信息資產(chǎn)的風(fēng)險評估。

風(fēng)險評估是 ISMS 建立過程中非常重要的一個方面，我們對信息資產(chǎn)賦值的目的就是為了計算風(fēng)險值，從而我們可以看出整個信息系統(tǒng)中風(fēng)險最大的部分在哪里。對于風(fēng)險值的計算有個簡單的參考公式：風(fēng)險值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對性的經(jīng)驗公式）。

ISMS 建設(shè)的最終目標是將整個信息系統(tǒng)的風(fēng)險值控制在一定范圍之內(nèi)。

對癥下藥

經(jīng)過上階段的調(diào)研和分析，我們對企業(yè)面臨的安全威脅和隱患有一個全面的認識，本階段的ISMS建設(shè)重點根據(jù)需求完成“對癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設(shè)計和規(guī)劃。

在風(fēng)險評估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計和規(guī)劃，根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進行實施。管理體系的規(guī)范針對不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結(jié)合，一旦缺乏結(jié)合性ISMS就會是孤立的，對企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)，見圖1。

圖1 信息安全管理體系

一級文件通過綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標、原則、要求和主要措施等頂層設(shè)計；二級文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務(wù)細分，將其細化為包括“任務(wù)輸入”、“任務(wù)活動”、“任務(wù)實施指南”和“任務(wù)輸出”等細則，便于操作人員根據(jù)規(guī)范進行實施和管理人員根據(jù)規(guī)范進行工作審核；三級文件則主要提供各項工作和操作所使用的表單和模板，以便各級工作人員參考使用。

同時，無論是制定新的信息管理規(guī)章制度還是進行設(shè)備的更換，都要量力而行，依據(jù)自己實際的情況來完成。例如，很多公司按照標準設(shè)立了由企業(yè)高級領(lǐng)導(dǎo)擔任組長的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室，具體負責企業(yè)的信息安全管理工作，在各級信息化技術(shù)部門均設(shè)置系統(tǒng)管理員、安全管理員、安全審計員，從管理結(jié)構(gòu)設(shè)計上保證人員權(quán)限互相監(jiān)督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實施和驗證

實施過程是最復(fù)雜的，實施之后需要進行驗證。實施是根據(jù) ISMS 的設(shè)計和體系規(guī)劃來做的，是個全面的信息系統(tǒng)的改進工作，不是單獨的設(shè)備更新，也不是單獨的管理規(guī)范的，需要企業(yè)從上至下，全面地遵照執(zhí)行，要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國外傳入的思路和規(guī)范，雖然切合國人中醫(yī)理論的整體思維方式，但在國內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進行信息安全管理體系的建設(shè)是一個為企業(yè)長久發(fā)展必須進行的工程。

到目前為止，和企業(yè)本身業(yè)務(wù)融合并沒有完美的解決方案，需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負責 ISMS 實施的工程人員一同討論決定適合企業(yè)自身的實施方案

最后，是企業(yè)信息安全管理體系的認證和審核

針對我們周圍很多重認證，輕實施的思想，這里有必要談一下這個問題，認證僅代表認證過程中的信息體系是符合 ISO27000（或者其他國家標準）的規(guī)范要求，而不是說企業(yè)通過認證就是一個在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要動態(tài)改進和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的，也需要有針對性地發(fā)展和變化，道高一尺魔高一丈，必須通過各種方法，進行不斷地改進和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進和跟蹤完善的手段，經(jīng)過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運轉(zhuǎn)ISMS，我們認為可以主要從以下三個方面著手：

第一，人員。

人員對于企業(yè)來講是至關(guān)重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運轉(zhuǎn)過程中，人員都應(yīng)該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實施，且此名專員日后要持續(xù)保留，負責維護各自部門的信息資產(chǎn)、安全事件跟蹤匯報、配合內(nèi)審與外審、安全相關(guān)記錄收集維護等信息安全相關(guān)工作。

但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓(xùn)，面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等，因此對于企業(yè)來講，除了必要的體系維護人員，在ISMS持續(xù)運轉(zhuǎn)過程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責”的企業(yè)氛圍，則會為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項活動的同時，還會納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業(yè)帶來的風(fēng)險。

第二，體系。

ISMS自身的持續(xù)維護，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對于信息資產(chǎn)清單、風(fēng)險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧，這項活動由于也是在相關(guān)標準中明確指出的，企業(yè)通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時，都最好對ISMS進行重新的評審，必要時重新進行風(fēng)險評估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化，企業(yè)每天所面臨的風(fēng)險同樣也不是一成不變的，在更新維護信息資產(chǎn)清單的同時，對風(fēng)險清單的回顧也是不可疏忽的，而這點往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護才能保證ISMS的運轉(zhuǎn)，有效控制企業(yè)所面臨的各種風(fēng)險。

第三，工具。

工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實是很大的一個泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計等各類工具，即使沒有實施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用，哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購買的工具無人使用或無法滿足業(yè)務(wù)需求等問題，導(dǎo)致資金資源的浪費，因此在持續(xù)運轉(zhuǎn)ISMS過程中，根據(jù)風(fēng)險評估報告，及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對工具進行統(tǒng)一規(guī)劃，盡量減少資源的浪費。

第5篇：企業(yè)信息安全要求范文

【 關(guān)鍵詞 】 新版ISO27000；軟件行業(yè)；信息安全管理體系；PDCA模型

Based on the New ISO27000 to the Understanding of the Software Industry， Information Security

Wen Yan-ge Chen Wen-e Wang Gang

（Tianjin University of Commerce Tianjin 300134）

【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry， good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.

【 Keywords 】 the new iso27000； software industry； information security management system； the pdca model

1 引言

如今隨著信息化的步伐日益加速以及信息相關(guān)技術(shù)的飛猛發(fā)展，信息資源也日漸成為所有企業(yè)維持正常運轉(zhuǎn)的重要資源。信息以及載體信息系統(tǒng)、網(wǎng)絡(luò)等已經(jīng)成為了企業(yè)生存和發(fā)展的重要資產(chǎn)。然而企業(yè)的信息安全和數(shù)據(jù)泄露仍然是企業(yè)管理者關(guān)注的主要問題之一。大部分企業(yè)基于企業(yè)實際情況，通過引入國際信息安全管理體系IS027000以及通過最佳的業(yè)務(wù)實踐，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（即ISMS），實現(xiàn)對信息安全的預(yù)控、在控、可控、能控。

而隨著2013年的ISO27000的改版，各行各業(yè)勢必會根據(jù)自身信息安全的情況對信息安全體系作出調(diào)整。本文將針對軟件行業(yè)在調(diào)整下的信息安全管理體系下，如何更好地保持和改進信息安全體系作出解讀，使企業(yè)更好地依據(jù)標準體系和方法論，制定出符合企業(yè)長久發(fā)展的信息安全管理體系。

2 ISO標準

2.1 ISO標準及變化

ISO/IEC27000（Information Security Management System Fundamentals And Vocabulary）是信息安全管理體系基礎(chǔ)和術(shù)語，ISO/IEC 27000提供了ISMS標準族中所涉及的通用術(shù)語及基本原則，是ISMS標準族中最基礎(chǔ)的標準之一。最新版本于2013年9月25日。

相對于2005版，新版本對于ISMS建立的基礎(chǔ)進行了調(diào)整和明確，相較于2005年版本以資產(chǎn)和技術(shù)為主題，新版標準則把更多的目光投向組織業(yè)務(wù)關(guān)系，更多地考慮到組織自身及利益相關(guān)方的需求，這也是時展的整體趨勢。新版控制措施ISO27002從舊版的11個領(lǐng)域更新為14個領(lǐng)域，刪除了舊版中一些重復(fù)的和操作級的控制項。具體是舊版通信與操作管理被劃分成為兩個獨立的領(lǐng)域操作安全和通信安全，足以見新版對這兩個領(lǐng)域的重視；新增密碼學(xué)和供應(yīng)關(guān)系兩個獨立領(lǐng)域。新版ISO27001將舊版中4.1章節(jié)即有關(guān)建立和管理ISMS的總要求獨立成出來；為了使邏輯性更加嚴謹，人力資源安全、資產(chǎn)管理以及訪問控制位置發(fā)生一定改變；從章節(jié)上講，由8個章節(jié)拓展到10個章節(jié)，重新構(gòu)建了ISO標準PDCA的章節(jié)構(gòu)架。

2.2 關(guān)于PDCA模型

此處對于PDCA模型以及新版標準的劃分做一簡單說明：PDCA模式是國際認可的模型，很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架，每個階段都與其他階段相關(guān)聯(lián)。

PDCA模型分別由四部分組成：P（Plan）――建立ISMS， 根據(jù)組織的整體策略和目標，確定活動的計劃，包括第四至七章（組織背景、領(lǐng)導(dǎo)力、計劃、支持）；D（Do）――實施和運作ISMS，實際地去完成計劃中的內(nèi)容，包括第八章（運行）；C（Check）――監(jiān)視和評審ISMS，總結(jié)實施和運作的結(jié)果，查找問題，包括第九章（績效評價）；A（Action）――保持和改進ISMS，對評審的結(jié)果做出處理，成功的經(jīng)驗要進行保持和推廣，失敗的教訓(xùn)要尋找原因，避免下次再出現(xiàn)同樣的錯誤，沒有解決的問題放到下一個PDCA循環(huán)中，包括第十章（改進）。

PDCA模型是管理學(xué)中常用的一個模型。該模型在運作過程中，按照P-D-C-A 的順序依次進行，一次完整的循環(huán)可以看作是管理學(xué)上的一個管理周期，每經(jīng)過一次循環(huán)，管理情況就會得到改善，同時進入更高的P-D-C-A周期循環(huán)，組織的管理體系不斷的得到提升，管理水平也不斷提高。而這四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進，使信息安全績效螺旋上升。

新的內(nèi)容將使企業(yè)的側(cè)重點不同，從上面的論述中明顯可以看出新標準在企業(yè)建立信息安全體系之前加重了對企業(yè)內(nèi)外環(huán)境信息安全的重視，在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀，了解其發(fā)展所面臨的機遇與風(fēng)險，從而高標準、高精度、高要求來對待信息安全管理工作。

對于軟件行業(yè)來說，信息安全體系已初步建立和實施，主要是監(jiān)視評審并持續(xù)改進自身信息安全體系的工作――PDCA模型的C和A。

3 軟件行業(yè)信息安全現(xiàn)狀及新標準變化下應(yīng)對策略

軟件行業(yè)是對信息安全要求最高的行業(yè)，也是企業(yè)引入國際信息安全管理體系IS027000通過認證最多的行業(yè)。前面已經(jīng)提到，軟件行業(yè)已經(jīng)初步建立和實施自己的信息安全體系，面對新版ISO27000的要求，大刀闊斧地重新開始構(gòu)建體系勢必會給企業(yè)帶來大的浪費和困擾。因此，在新的要求下如何監(jiān)視并改進ISMS是軟件行業(yè)中企業(yè)面臨的最大的問題。ISO27001新標準中把舊版4.1獨立成章作為建立體系之前的組織環(huán)境的了解，將原來的領(lǐng)導(dǎo)力、可實現(xiàn)信息安全的計劃、資源等的支持都放入構(gòu)建ISMS之前，也就是說軟件行業(yè)在監(jiān)控并改進信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡單歸納為兩個方面：管理和技術(shù)。企業(yè)需要通過管理和技術(shù)的雙方面進行控制和管理來改善信息安全體系。

3.1 管理角度分析

從管理角度考慮，企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數(shù)據(jù)安全管理、人員安全管理、軟件安全管理、運行安全管理、系統(tǒng)安全管理、技術(shù)文檔安全管理，通過對風(fēng)險的技術(shù)性控制和管理的實施、部署后，在風(fēng)險控制管理中能保證防御大量存在的威脅，技術(shù)性的控制管理手段不僅包括從簡單直至復(fù)雜的各種具體的技術(shù)手段，還包括系統(tǒng)架構(gòu)、系統(tǒng)培訓(xùn)以及一系列的軟件、硬件的安全設(shè)備，這些措施和方式應(yīng)該配套使用，從而保護關(guān)鍵數(shù)據(jù)、敏感信息及信息系統(tǒng)的功能。而這些也是ISO27001中第四章組織的背景、第五章領(lǐng)導(dǎo)力、第六章計劃、第七章支持對企業(yè)的具體要求。

主要管理措施可以從幾個方面出發(fā)。

（1）建立信息安全管理體系監(jiān)督機制、在體系運行期間，要進行有效的檢查、監(jiān)督、反饋和溝通，保證信息安全管理體系能夠按照公司制訂的方針策略，滿足公司業(yè)務(wù)的需求。

（2）根據(jù)企業(yè)自身的特點，制訂可行的獎懲制度，將信息安全的管理納入到績效考核，直接與工作和獎金掛鉤，將對違反信息安全管理體系規(guī)定進行懲罰。

（3）建立內(nèi)部審核制度，各部門應(yīng)按照信息安全管理體系的要求，進行自查和由負責部門進行隨時抽查，并在每年定期組織檢查，對表現(xiàn)好的單位給予嘉獎，同時對違反的單位進行懲罰，并進行公示；同時對信息安全審計、安全事件處理和外部組織進行反饋溝通，檢查信息安全管理體系的有效性和合理性。

（4）考慮組織和技術(shù)等的變化對信息安全管理體系的影響，應(yīng)實時更新相關(guān)的規(guī)章制度，具體變化情況如：組織變化、技術(shù)變革、業(yè)務(wù)目標流程的改變、新的威脅和風(fēng)險點的出現(xiàn)、法律法規(guī)的變化等；通過不斷的優(yōu)化和改善，使信息安全管理體系能夠永遠適合企業(yè)業(yè)務(wù)的需要。

3.2 技術(shù)角度分析

新版ISO270002控制措施中新增和調(diào)整了一些措施，涉及信息系統(tǒng)開發(fā)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理等部分，這些要求對軟件行業(yè)中企業(yè)的具體實行至關(guān)重要。從技術(shù)角度考慮，軟件行業(yè)企業(yè)信息安全管理體系中所需采取的安全技術(shù)體系包括幾個方面。

3.2.1物理環(huán)境安全信息系統(tǒng)硬件安全

這是無論舊版控制措施還是新版都沒有絲毫改變的控制項，也是軟件行業(yè)中企業(yè)應(yīng)加強管理的基礎(chǔ)。在公司的信息系統(tǒng)硬件管理上，首先對機房的硬件環(huán)境進行安全管理，包括溫度、濕度、消防、電力等安全管理，對關(guān)鍵的應(yīng)用需要采取UPS供電，同時采取相應(yīng)的備份，對硬件的使用率進行實時地監(jiān)控，避免硬件的使用率過高造成業(yè)務(wù)持續(xù)性的影響，另外需要對硬件的物理環(huán)境進行監(jiān)控，避免非法人員的進入，同時也是對管理員的日常行動進行監(jiān)控，最后需要對機房人員和物品的出入進行權(quán)限的管理和等級制度。

3.2.2操作系統(tǒng)與應(yīng)用程序安全

這是新版控制措施新增的安全開發(fā)策略和系統(tǒng)開發(fā)程序等對企業(yè)新的要求，保證操作系統(tǒng)與應(yīng)用程序的安全會保護企業(yè)在系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境，使企業(yè)整個開發(fā)周期安全。

（1） 操作系統(tǒng)安全。除了進行必要的補丁和漏洞的管理和更新外，最主要的是進行防病毒管理，通過殺毒軟件來防止非法的木馬、惡意代碼、軟件對操作系統(tǒng)的安全影響；應(yīng)用程序安全――直接關(guān)系信息系統(tǒng)的安全性，通過硬件、軟件的安全保護來保證應(yīng)用程序的安全。

（2） 密碼算法技術(shù)。密碼學(xué)在新版控制措施中獨立成為一個領(lǐng)域，這就是企業(yè)必須要引起重視的理由，密碼算法技術(shù)，密碼算法技術(shù)應(yīng)用主要是確保信息在傳送的過程中不被非法的人員竊取、篡改和利用，同時接收方能夠完整無誤的解讀發(fā)送者發(fā)送的原始信息。

（3） 安全傳輸技術(shù)與安全協(xié)議技術(shù)。這是針對新增供應(yīng)關(guān)系領(lǐng)域企業(yè)需要加強的技術(shù)。為減緩供應(yīng)商以及其他用戶訪問企業(yè)資產(chǎn)帶來的風(fēng)險，對于重要的系統(tǒng)和對外的訪問，進行安全的傳輸技術(shù)，以此來保證信息在傳輸過程中的安全，避免被非法用戶竊取、篡改和利用。

（4） 安全協(xié)議技術(shù)。主要是指身份認證功能，目前企業(yè)系統(tǒng)的安全保護主要都是依賴于操作系統(tǒng)的安全，這樣入侵系統(tǒng)就非常容易，因此需要建立一套完善的身份認證系統(tǒng)，其目的是保證信息系統(tǒng)能確認系統(tǒng)訪問者的真正身份，身份認證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽名等方法來確認消息發(fā)送方的身份。

（5） 信息處理設(shè)備冗余部署。這在新版控制措施第十七章信息安全方面的業(yè)務(wù)連續(xù)性管理中作為新增的控制措施，要求企業(yè)識別信息系統(tǒng)可用性的業(yè)務(wù)需求，如果現(xiàn)有系統(tǒng)框架不能保證可用性，應(yīng)該考慮冗余組建或架構(gòu)。在適當情況下，對冗余信息系統(tǒng)進行測試，保證在發(fā)生故障時可以從一個組件順利切換到另外一個組件。

4 結(jié)束語

信息安全管理體系的建設(shè)改進工作是持續(xù)進行的，是會隨著公司業(yè)務(wù)的發(fā)展、技術(shù)的更新、以及新標準的要求等不斷變化的。它需要采用科學(xué)的方法來保證體系的持續(xù)穩(wěn)定運行，從而使信息安全管理體系化、常態(tài)化的保持下去。而新版ISO27000在信息安全體系的工作上，使各行各業(yè)都有了新的指導(dǎo)。本文主要針對軟件行業(yè)做出一定解讀。總體來講，我們需要對己經(jīng)建立的信息安全管理體系進行監(jiān)督、完善、優(yōu)化，這實際上還是要求企業(yè)貫徹執(zhí)行PDCA模型，無論從管理還是具體操作上不斷進行PDCA循環(huán)，才能使得企業(yè)信息安全管理體系不斷改進和優(yōu)化。

參考文獻

[1] 高仁斗.企業(yè)安全工作中存在的問題與對策[J].中國職業(yè)安全衛(wèi)生管理體系認證，2004（05）.

[2] 蔣永康，朱冬林，潘豐.我國中小企業(yè)法律法規(guī)體系建設(shè)現(xiàn)狀及對策[J].管理工程師，2012（06）.

[3] 楊愛民.電子商務(wù)安全的現(xiàn)狀及對策探討[J].科技資訊，2006.6.

作者簡介：

文艷閣（1993-），女，山西孝義人，天津商業(yè)大學(xué)，本科（在讀）。

第6篇：企業(yè)信息安全要求范文

早在去年8月份，國家發(fā)改委和信息產(chǎn)業(yè)部共同宣布組織實施“中小企業(yè)信息化推進工程”，這項工程包括萬家中小企業(yè)的免費培訓(xùn)、百萬中小企業(yè)上網(wǎng)等，有望大大提高中小企業(yè)的信息化水平。此項工程得到了主流電信運營商的鼎立支持，各大運營商都充分利用自己的網(wǎng)絡(luò)資源優(yōu)勢和客戶資源優(yōu)勢推出了自己的中小企業(yè)信息化公共服務(wù)平臺，如廣東電信推出的“藍色魅力”、上海電信推出的“理想商務(wù)”平臺、江西電信推出的“商務(wù)領(lǐng)航”、網(wǎng)通推出的“寬帶商務(wù)”等。另外，不少地方政府相關(guān)部門也推出了中小企業(yè)信息化公共服務(wù)平臺，讓中小企業(yè)可以低成本地利用信息化手段來提高管理水平和生產(chǎn)率。

所謂中小企業(yè)信息化公共服務(wù)平臺，簡稱ASP平臺，就是讓中小企業(yè)無需投資昂貴的硬件、軟件系統(tǒng)和網(wǎng)絡(luò)設(shè)施，以及配置專業(yè)的IT技術(shù)人才，只要有電腦上網(wǎng)就可以以瀏覽器方式登錄ASP平臺，使用企業(yè)信息化所需的所有服務(wù)，包括域名注冊、企業(yè)郵局、虛擬主機、主機托管、網(wǎng)站設(shè)計（包括自助生成系統(tǒng)）、供求信息、企業(yè)即時通信、網(wǎng)站在線幫助、在線殺毒、客戶關(guān)系管理（CRM）、進銷存管理、辦公自動化（針對不同的行業(yè)）、供應(yīng)鏈管理（SCM）、ERP、商業(yè)智能、知識管理、業(yè)務(wù)流程管理、企業(yè)POS、企業(yè)服務(wù)總線、企業(yè)門戶、網(wǎng)絡(luò)傳真、網(wǎng)絡(luò)電話（VoIP）、企業(yè)短信和移動辦公等。但據(jù)有關(guān)媒體報道，面對電信運營商和有關(guān)政府部門的大投入，中小企業(yè)并不買賬，出現(xiàn)建設(shè)熱鬧、買單使用少的現(xiàn)象。甚至面對免費贈送，一些中小企業(yè)也不愿使用。是中小企業(yè)不需要這些信息化服務(wù)嗎？答案當然是否定的。

筆者認為，主要原因是中小企業(yè)用戶不信任ASP服務(wù)平臺。造成這種不信任的一個重要因素是，ASP服務(wù)平臺的信息安全措施不足以讓用戶放心地把企業(yè)的機密信息（如客戶信息、財務(wù)信息）放在上面，是這些平臺缺乏“安全魅力”。那么，ASP服務(wù)平臺應(yīng)該采用哪些技術(shù)措施才能讓用戶放心呢？除了防火墻等必要的網(wǎng)絡(luò)安全措施外，還需要有確保機密信息安全的技術(shù)措施。

首先，ASP平臺的所有應(yīng)用服務(wù)器一定要部署全球通用的、支持所有瀏覽器的、真正 128 位的 SSL 數(shù)字證書。這樣可以確保用戶在使用瀏覽器登錄各個應(yīng)用系統(tǒng)時，從瀏覽器到ASP服務(wù)器之間所有機密信息的高強度加密傳輸，從而有效地保證了用戶賬號、密碼和企業(yè)機密信息的機密性和完整性，杜絕非法竊聽和非法篡改。

其次，ASP平臺應(yīng)為每個平臺用戶頒發(fā)一個全球通用的客戶端數(shù)字證書（個人數(shù)字證書和單位數(shù)字證書）。該證書用于登錄ASP平臺各個應(yīng)用系統(tǒng)的身份認證和用于每個交易的數(shù)字簽名，從而杜絕了使用簡單的用戶名/口令認證系統(tǒng)容易造成的機密信息泄露，同時提供了網(wǎng)上交易不可否認的證據(jù)。為了杜絕使用公用電腦（網(wǎng)吧）和專用電腦的間諜軟件（木馬軟件）或其他可能的手段非法使用數(shù)字證書問題，推薦對安全要求高的企業(yè)用戶使用USB Key移動數(shù)字證書來確保是真實的用戶在合法登錄各個應(yīng)用系統(tǒng)，在登錄時把USB Key插入電腦的USB口，退出登錄時拔下即可。

另外，ASP平臺中涉及到企業(yè)核心機密信息的系統(tǒng)（如客戶關(guān)系管理系統(tǒng)、辦公自動化系統(tǒng)）應(yīng)該使用用戶的客戶端數(shù)字證書來加密存儲機密信息。這使得該機密信息只有用戶本人使用用戶自己的數(shù)字證書才能閱讀（即使是ASP平臺系統(tǒng)管理員也無法看到，因為客戶端數(shù)字證書在用戶手中），ASP平臺就像房地產(chǎn)開發(fā)商，房子賣或租給用戶就要把房子的鑰匙給用戶，只有用戶本人使用該鑰匙才能進屋，這個鑰匙就是分配給ASP用戶的客戶端數(shù)字證書。只有這樣，才能讓用戶放心地使用ASP平臺。

第7篇：企業(yè)信息安全要求范文

【關(guān)鍵詞】電力企業(yè)；網(wǎng)絡(luò)信息化

【中圖分類號】TM73

【文獻標識碼】A

【文章編號】1672-5158（2012）12-0016-01

1 電力行業(yè)網(wǎng)絡(luò)與信息安全工作開展情況

2000年以來，我國相繼發(fā)生了“二灘電廠停機事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業(yè)網(wǎng)絡(luò)與信息安全事件，造成了不同程度的事故影響，威脅到了電力系統(tǒng)安全穩(wěn)定運行，同時也暴露出了我國電力行業(yè)在網(wǎng)絡(luò)安全接入方面、安全生產(chǎn)管理方面、人員信息安全培訓(xùn)等方面存在薄弱環(huán)節(jié)。

針對類似電力信息安全事件，2002年，原國家經(jīng)貿(mào)委第30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定》，對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)防護提出了要求。國家電監(jiān)會成立后，對電力二次系統(tǒng)及網(wǎng)絡(luò)信息安全防護明確提出了“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認證”的總體防護策略，并制定印發(fā)了《電力行業(yè)網(wǎng)絡(luò)與信息安全信息報送暫行辦法》、《電力行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案》、《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行辦法》等一系列管理辦法，使電力行業(yè)網(wǎng)絡(luò)與信息安全防護的理念更加系統(tǒng)化、具體化，增強了可操作性，電力行業(yè)網(wǎng)絡(luò)與信息安全防護工作進入了實質(zhì)性建設(shè)階段。

2 目前我國電力信息網(wǎng)絡(luò)的現(xiàn)狀

（一）信息化網(wǎng)絡(luò)基本形成多年來我國一直非常重視電力行業(yè)信息化建設(shè)。從目前狀況來看，電力企業(yè)信息化建設(shè)硬件環(huán)境已經(jīng)基本構(gòu)建完成，硬件設(shè)備數(shù)量和網(wǎng)絡(luò)建設(shè)狀況良好，無論是在生產(chǎn)、調(diào)度還是營業(yè)等部門都已實現(xiàn)了信息化管理，在網(wǎng)絡(luò)硬件方面，基本能夠保證電力行業(yè)工作的正常運轉(zhuǎn)；在軟件建設(shè)方面，也實現(xiàn)了包括調(diào)度自動化系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、營銷信息系統(tǒng)、負荷監(jiān)控系統(tǒng)及各專業(yè)相關(guān)在內(nèi)的應(yīng)用系統(tǒng)設(shè)施。電力系統(tǒng)網(wǎng)絡(luò)化的實現(xiàn)，對保證安全生產(chǎn)、節(jié)能消耗、降低成本、縮短工期、提高勞動生產(chǎn)率等起到了促進作用。

（二）信息安全仍然存在不可忽視的問題、雖然網(wǎng)絡(luò)系統(tǒng)已經(jīng)基本形成，但是信息安全還不盡樂觀，主要表現(xiàn)在信息網(wǎng)絡(luò)安全還沒有涉及到各個領(lǐng)域，其發(fā)展也是不平衡的。有的電力企業(yè)對信息的安全重視不夠。如很多電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)還沒有防火墻，有的甚至沒有數(shù)據(jù)備份的概念，更沒有對網(wǎng)絡(luò)安全做統(tǒng)一長遠的規(guī)劃，因此，電力企業(yè)網(wǎng)絡(luò)中存在許多隱患。這種安全意識的淡薄，具體工作的不到位，導(dǎo)致了網(wǎng)絡(luò)信息系統(tǒng)的不完善，給網(wǎng)絡(luò)的安全帶來了很多的不利因素。可以說，目前我國電力系統(tǒng)信息安全體系還不完備，缺乏統(tǒng)一的信息安全管理規(guī)范。

（三）對電力系統(tǒng)信息網(wǎng)絡(luò)的投入不足從目前我國電力行業(yè)網(wǎng)絡(luò)信息的綜合情況看，國家對電力行業(yè)信息化管理的投入還不均衡，特別是對邊遠地區(qū)的投入還有待加強。與電力行業(yè)其它方面的硬件投入相比，對網(wǎng)絡(luò)信息的投入也不夠。這就需要加大投入，以建立一個統(tǒng)一安全的信息網(wǎng)絡(luò)，以保證電力系統(tǒng)安全。

（四）電力行業(yè)的軟件開發(fā)還不到位由于經(jīng)費不足等種種原因，軟件開發(fā)還沒有細化。如很多單位的數(shù)據(jù)庫數(shù)據(jù)和文件都停留在明文存儲階段，以明文形式存儲的信息存在泄漏的可能，拿到存儲介質(zhì)的人可以讀出這些信息，黑客也可以繞過操作系統(tǒng)，從數(shù)據(jù)庫管理系統(tǒng)的控制處獲取信息。再如，用戶身份認證基本上采用口令鑒別模式，而這種模式很容易被攻破。還有的應(yīng)用系統(tǒng)使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中，這種脆弱的安全控制措施在操作人員計算機應(yīng)用水平不斷提高、信息敏感性不斷增強的今天風(fēng)險特別大。以上種種情況，究其原因，還是電力軟件開發(fā)得不夠所致，目前的軟件還不能完全適應(yīng)形勢的需要和工作的需要。這是個亟待解決的問題，如果這個問題解決不好，會導(dǎo)致大的問題出現(xiàn)。

3 加強電力行業(yè)網(wǎng)絡(luò)信息安全的措施

（一）提高認識，強化信息化安全教育信息網(wǎng)絡(luò)如何能使用安全，很大程度上在于工作人員的認識程度。安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實施力度將直接關(guān)系到電力企業(yè)安全策略被理解的程度和被執(zhí)行的效果。如何能保證網(wǎng)絡(luò)信息的安全，一個重要的措施就是廣泛地進行信息管理人員的培訓(xùn)。為了保證安全的成功和有效，電力行業(yè)的管理部門應(yīng)該及時對企業(yè)各級管理人員、用戶、技術(shù)人員進行安全培訓(xùn)，所有的企業(yè)人員必須了解并嚴格執(zhí)行電力企業(yè)安全策略，要讓各級信息管理人員，重點是了解和掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等。負責信息安全運行管理及維護的技術(shù)人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術(shù)的合理運用等。只有這樣，才能保證電力網(wǎng)絡(luò)信息系統(tǒng)的安全操作。

（二）采取措施，提高信息網(wǎng)安全防護技術(shù)水平一是對網(wǎng)絡(luò)防火墻高度重視。防火墻是電力企業(yè)信息網(wǎng)絡(luò)的唯一出口，所有的訪問都將通過防火墻進行，不允許任何繞過防火墻的連接。因此，做好這一通道的把關(guān)尤為關(guān)鍵，應(yīng)該對這方面的技術(shù)重視起來，研究出更高水平的防護軟件，以適應(yīng)信息網(wǎng)安全工作的需要。二是對入侵檢測系統(tǒng)高度重視。要部署先進的分布式入侵檢測構(gòu)架，保證電力企業(yè)信息系統(tǒng)的安全檢測。入侵檢測系統(tǒng)要采用攻擊防衛(wèi)技術(shù)，要具有高可靠性、高識別率、規(guī)則更新迅速等特點。三是對網(wǎng)絡(luò)隱患掃描系統(tǒng)高度重視。掃描網(wǎng)絡(luò)設(shè)備包括：服務(wù)器、工作站、防火墻、路由器、路由交換機等。掃描結(jié)束后生成詳細的安全評估報告，采用報表和圖形的形式對掃描結(jié)果進行分析，可以直觀地對用戶進行安全性能評估和檢查。四是對數(shù)據(jù)加密系統(tǒng)高度重視。要通過文件加密、信息摘要和訪問控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸螅瑢崿F(xiàn)對文件訪問的控制。對通信安全，采用數(shù)據(jù)加密，信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護，實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。五是對數(shù)據(jù)庫安全高度重視。要通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性，并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。總之，網(wǎng)絡(luò)信息的安全技術(shù)對維護網(wǎng)絡(luò)信息的真正安全尤為重要，因此這方面的工作需要加強。

（三）加大力度，建立統(tǒng)一的信息網(wǎng)防護體系

一是要保證信息管理工作人員體系的相對穩(wěn)定。防止網(wǎng)絡(luò)機密泄露，特別是注意人員凋離時的網(wǎng)絡(luò)機密的泄露。二是完善軟件和硬件管理體系。主要是指各種網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備的安全策略，如防火墻、物理隔離設(shè)備、入侵檢測設(shè)備、路由器的安全策略管理要切合實際。三是要注意信息介質(zhì)的安全管理。主要是備份的介質(zhì)要防止丟失和被盜，報廢的介質(zhì)要及時清除和銷毀，特別要注意送出修理的設(shè)備上存儲信息的安全。

第8篇：企業(yè)信息安全要求范文

［關(guān)鍵詞］ 桌面安全；大型企業(yè)；中國石油

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034

［中圖分類號］ F272.7 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）14- 0058- 02

1 引 言

經(jīng)過數(shù)十年的信息安全建設(shè)，國內(nèi)大型企業(yè)的網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全防護能力已經(jīng)達到一定水平。但是信息安全故障并沒有隨著信息安全投入的增加而下降。經(jīng)過統(tǒng)計發(fā)現(xiàn)，內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)發(fā)生故障的原因少部分是由于網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)自身的問題所引起，更多的是因為內(nèi)網(wǎng)的其他安全因素導(dǎo)致，如病毒爆發(fā)、資源濫用、惡意接入、用戶誤操作等。而這些安全因素，大多來源于用戶桌面計算機，桌面安全管理已經(jīng)是各個企業(yè)迫在眉睫的安全建設(shè)內(nèi)容。

2 影響桌面安全的因素

2.1 企業(yè)安全組織體系不健全，專職人員缺失

大型企業(yè)的業(yè)務(wù)跨度大，地域分布廣。各個二級單位的信息安全水平發(fā)展不一。有的二級單位信息部門職工上千名，有的單位卻沒有獨立的信息部門。但所有的二級單位都統(tǒng)一在企業(yè)內(nèi)網(wǎng)中運行，各類統(tǒng)建系統(tǒng)在所有二級單位中運行。對于沒有沒有獨立的信息部門的二級單位 ，更沒有負責安全體系建設(shè)、運行和管理的專職機構(gòu)及人員，兼職安全管理員有責無權(quán)的現(xiàn)象普遍存在，依據(jù)“短板”理論，極易從信息安全力量較弱的單位為突破口，進而影響到整個企業(yè)信息安全。特別是信息安全技術(shù)的快速發(fā)展，信息安全人員需不斷提升自身素質(zhì)，加強業(yè)務(wù)水平，才能保證桌面安全運行。

2.2 企業(yè)職工計算機缺乏安全加固手段

盡管多數(shù)大型企業(yè)對桌面計算機的安全加固已經(jīng)采取了部分安全措施，如安裝防病毒軟件和個人防火墻軟件，甚至部署了漏洞掃描系統(tǒng)定期對桌面計算機進行漏洞掃描，督促用戶及時更新操作系統(tǒng)補丁。但是，首先由于企業(yè)規(guī)模較大，管理者無法保證所有的終端用戶都安裝了防病毒軟件和防火墻軟件。其次，即便安裝了這些防護軟件，用戶也常常因為各種原因無法及時更新病毒庫。另外，系統(tǒng)漏洞掃描雖然可以獲得桌面計算機的補丁缺失情況，但是卻缺乏有效的補丁安裝手段。所有這些因素，均導(dǎo)致桌面計算機的安全無法得到有效的保障。

2.3 企業(yè)職工計算機缺少有效的接入控制手段

對于大型企業(yè)，內(nèi)網(wǎng)計算機數(shù)量眾多且分布地域廣闊。網(wǎng)絡(luò)管理人員很難統(tǒng)計內(nèi)網(wǎng)計算機的確切數(shù)量，也無法區(qū)分哪些是內(nèi)網(wǎng)授權(quán)使用的計算機，哪些是外來的非授權(quán)使用的計算機。這種狀況下，很難控制外來人員隨意的計算機接入。很容易導(dǎo)致企業(yè)內(nèi)網(wǎng)機密信息的泄漏，往往等泄密事件發(fā)生了，卻還無法判斷到底是哪一個環(huán)節(jié)出了差錯。另外，對于內(nèi)網(wǎng)授權(quán)使用的計算機，任何一臺感染了病毒和木馬，網(wǎng)絡(luò)管理人員也無法及時定位和自動阻斷該計算機的破壞行為。往往需要花費很長的時間才能判斷和定位該計算機，然后再通過手動的方式斷網(wǎng)。對安全強度差的桌面計算機缺乏有效的安全狀態(tài)檢測和內(nèi)網(wǎng)接入控制，是導(dǎo)致內(nèi)網(wǎng)安全事件不斷發(fā)生的重要原因之一。

3 大型企業(yè)桌面安全管理建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評比中都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設(shè)列入信息化整體規(guī)劃中，并逐步實施，其中桌面安全管理建設(shè)是信息安全保障體系建設(shè)的重點工作，從組織、管理及技術(shù)3個方面進行全面建設(shè)。

3.1 完善安全組織體系建設(shè)

中國石油建立三級的終端安全組織架構(gòu)，分別為石油總部、地區(qū)公司、地區(qū)二級單位。終端安全組織在每一級設(shè)立專門的組織，明確主管領(lǐng)導(dǎo)，確定組織責任，設(shè)置相應(yīng)崗位，配備必要人員。其中集團信息化領(lǐng)導(dǎo)小組是信息系統(tǒng)安全工作的最高決策機構(gòu)，信息管理部是集團公司信息系統(tǒng)安全的歸口管理部門，負責落實信息化工作領(lǐng)導(dǎo)小組的各項決策。企事業(yè)單位信息部門負責本單位信息系統(tǒng)安全的管理，并設(shè)立信息系統(tǒng)安全管理、審計、技術(shù)崗位，包括信息系統(tǒng)安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)等負責人和管理員，重要崗位設(shè)置兩名員工互為備份。

3.2 強化安全管理體系建設(shè)

安全管理體系從管理制度、培訓(xùn)教育、運行管理及檢查考核4方面進行強化。①管理制度。根據(jù)中國石油信息安全的需求，分階段逐步制定并完善信息系統(tǒng)安全管理的規(guī)章制度，加大整個信息安全制度體系的貫徹執(zhí)行力度，才能使安全防護能力得到不斷的提高，整體信息安全才能落到實處。②培訓(xùn)教育。信息安全培訓(xùn)涉及信息安全法律法規(guī)、信息安全事件案例等多方面，通過培訓(xùn)一方面提高企業(yè)員工的安全意識，使員工自覺約束自我行為，遵守各項信息安全規(guī)章制度、標準規(guī)范；另一方面及時掌握必要的信息安全技術(shù)知識和技能，在實際工作中充分利用技術(shù)手段保障信息安全。③運行管理。 通過統(tǒng)一設(shè)計、統(tǒng)一平臺，統(tǒng)一硬件體系架構(gòu)，建立中石油桌面運行管理系統(tǒng)。采用三級架構(gòu)，分別在總部、區(qū)域數(shù)據(jù)中心部署服務(wù)器和管理軟件，各企事業(yè)單位的桌面計算機安裝客戶端軟件，整個運行管理由防病毒子系統(tǒng)、補丁分發(fā)子系統(tǒng)、端點準入子系統(tǒng)、電子文檔保護子系統(tǒng)、后臺管理子系統(tǒng)組成。其中通過端點準入防御系統(tǒng)，只有符合安全要求且通過用戶認證的計算機才能接入內(nèi)部網(wǎng)絡(luò)使用，防止“危險”、“易感”終端接入網(wǎng)絡(luò)，控制病毒、蠕蟲的蔓延。補丁管理系統(tǒng)與防病毒系統(tǒng)相結(jié)合，實時監(jiān)測和殺除病毒，實現(xiàn)對漏洞、病毒及惡意代碼的管理和控制，電子文檔保護子系統(tǒng)、后臺管理子系統(tǒng)增強系統(tǒng)及電腦文檔的安全性。④檢查考核。信息管理部門定期進行信息系統(tǒng)安全檢查與考核，包括信息系統(tǒng)安全政策與標準的培訓(xùn)與執(zhí)行情況、重大信息系統(tǒng)安全事件及整改措施落實情況、現(xiàn)有信息系統(tǒng)安全措施的有效性、信息系統(tǒng)安全技術(shù)指標的完成情況。各企事業(yè)單位信息部門按照本辦法和《集團公司信息系統(tǒng)運行維護管理辦法》進行信息系統(tǒng)安全自我考核，信息管理部進行綜合評價，形成年度考核報告，報信息主管領(lǐng)導(dǎo)。

3.3 增強桌面安全技術(shù)建設(shè)

桌面安全技術(shù)指物理安全、邏輯安全及運行安全三大模塊，通過與企業(yè)內(nèi)控管理進行有機結(jié)合，依據(jù)《中國石油天然氣集團公司信息系統(tǒng)總體控制實施要求》，嚴格執(zhí)行相關(guān)操作規(guī)范，其中物理安全指進入機房的物理安全訪問控制機制、設(shè)備的物理安全管理、敏感的紙質(zhì)系統(tǒng)文件管理。邏輯安全包括系統(tǒng)登錄身份驗證、用戶賬號及特權(quán)用戶賬戶管理、密碼管理、用戶權(quán)限管理、終端合規(guī)性管理等。運行安全包括病毒防護及病毒事件的處理、安全系統(tǒng)的備份與恢復(fù)、應(yīng)急事件的處理。

4 結(jié)束語

隨著信息技術(shù)應(yīng)用的不斷深入，國內(nèi)大型企業(yè)信息系統(tǒng)集中程度不斷提高，業(yè)務(wù)對信息系統(tǒng)依賴程度的不斷加大，迫切需要建立與業(yè)務(wù)發(fā)展和信息化水平相適應(yīng)的信息安全體系。與此同時，國家了一系列相關(guān)文件，提出對涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的重點行業(yè)、企業(yè)的關(guān)鍵信息系統(tǒng)實施信息安全等級保護等要求。桌面安全責任也日益增大。只有通過從組織、管理、技術(shù)全面建設(shè)，才能有效提升桌面計算機抵御安全威脅的能力，提高桌面安全管理水平，達到桌面計算機有防護、有檢測、可控制、可審計，建設(shè)統(tǒng)一桌面安全管理系統(tǒng)，中石油通過兩年的桌面安全建設(shè)，取得了良好效果。

主要參考文獻

［1］孫海.醫(yī)院桌面終端信息安全管理思考 ［J］．現(xiàn)代醫(yī)院，2011（5）.

第9篇：企業(yè)信息安全要求范文

【關(guān)鍵詞】電力 信息化管理 研究

中圖分類號： F406 文獻標識碼： A 文章編號：

1 我國電力企業(yè)信息化發(fā)展的特征

1.1信息化基礎(chǔ)設(shè)施相對完善

我國電力企業(yè)信息化起源于20世紀60年代，電力行業(yè)相比其他行業(yè)的信息化進程較為領(lǐng)先。目前，電力系統(tǒng)的計算機裝備水平已大大提高，中小型機、微型計算機裝備級別不斷更新提高，路由器、交換機等網(wǎng)絡(luò)設(shè)備數(shù)量增加較快。

1.2電力調(diào)度自動化系統(tǒng)應(yīng)用成熟

對于電網(wǎng)企業(yè)，提高電力調(diào)度自動化水平、提高電網(wǎng)運行質(zhì)量是信息化建設(shè)的重點方向。目前電力調(diào)度自動化的各種系統(tǒng)，如SCADA、AGC、以及EMS等系統(tǒng)已建成，省電力調(diào)度機構(gòu)全部建立了SCADA系統(tǒng)，電網(wǎng)的三級調(diào)度100%實現(xiàn)了自動化。我國電廠、電力調(diào)度的自動化水平達到國際先進水平。

1.3電力營銷管理系統(tǒng)得到廣泛應(yīng)用

為適應(yīng)電力市場化改革的需求，為客戶提供更好的服務(wù)，原國家電力公司在2002年提出改革傳統(tǒng)供電營銷管理模式，實施電力營銷全過程的計算機網(wǎng)絡(luò)化改造。各省公司供電局響應(yīng)這種要求，普遍建立了用電管理信息系統(tǒng)，地（市）級供電企業(yè)基本實現(xiàn)了業(yè)務(wù)受理的計算機化。

1.4管理信息系統(tǒng)的建設(shè)與應(yīng)用

管理信息系統(tǒng)（MIS）建設(shè)初具規(guī)模，建立了辦公自動化系統(tǒng)、綜合指標查詢系統(tǒng)，開發(fā)了計劃統(tǒng)計管理、人事勞資管理、生產(chǎn)管理、設(shè)備管理、安全監(jiān)督管理、電力負荷管理、營銷管理、燃料管理、工程管理、財務(wù)管理、電網(wǎng)實時信息等應(yīng)用系統(tǒng)為主要功能的網(wǎng)絡(luò)化的企業(yè)管理信息系統(tǒng)，實現(xiàn)辦公環(huán)境網(wǎng)絡(luò)化和計算機化。

1.5信息化機構(gòu)建設(shè)尚需進一步健全

長期以來，信息部門在電力公司沒有一個專門機構(gòu)配置，沒有規(guī)范的建制和崗位，信息化作為一項系統(tǒng)工程，需要專門的機構(gòu)來推進和企業(yè)各個部門的配合。在當前企業(yè)信息化發(fā)展形勢下，這種狀況勢必不能適應(yīng)信息化對人才、機構(gòu)的要求。

1.6信息安全管理是電力企業(yè)信息化重點

電力信息網(wǎng)絡(luò)已經(jīng)深入到電力生產(chǎn)和管理的全過程，涉及到電力生產(chǎn)的各個層面，電力生產(chǎn)與管理對其依賴性日益增大。因此對于信息系統(tǒng)的安全要求也更加提高，信息安全已納入到企業(yè)安全生產(chǎn)管理中。

2 電力企業(yè)信息化管理存在的問題

2.1規(guī)劃缺失導(dǎo)致信息化缺乏系統(tǒng)性

我國電力企業(yè)在不同時期不同部門為了滿足業(yè)務(wù)需要而進行了一系列信息系統(tǒng)建設(shè)，到目前為止，這些大大小小的信息系統(tǒng)數(shù)量眾多。由于這些系統(tǒng)都是在未經(jīng)科學(xué)合理的整體規(guī)劃下建成的，各系統(tǒng)之間缺乏聯(lián)系，信息不同共享，業(yè)務(wù)不能協(xié)同開展，對企業(yè)管理決策的作用十分有限。

2.2 電力行業(yè)信息化缺乏統(tǒng)一的標準體系

目前，電力行業(yè)信息化尚未制定統(tǒng)一的信息化標準體系，電力企業(yè)內(nèi)部信息系統(tǒng)的信息編碼、技術(shù)標準、規(guī)范也不統(tǒng)一。這就造成企業(yè)內(nèi)部“信息孤島”無處不在、系統(tǒng)不能集成、資源不能共享的局面，嚴重制約企業(yè)信息化建設(shè)和應(yīng)用。

2.3 電力企業(yè)管理模式阻礙了信息化的快速發(fā)展

電力行業(yè)長期的壟斷性經(jīng)營導(dǎo)致了其特有的經(jīng)營管理模式：重安全生產(chǎn)、輕企業(yè)管理，條塊分割、信息分散，以安全生產(chǎn)為中心的意識深深植入電力企業(yè)的領(lǐng)導(dǎo)、職工的觀念中。當前，電力行業(yè)競爭機制正在逐漸建立，電力企業(yè)面對競爭需要提升管理水平，信息化建設(shè)正是提升管理水平的有力途徑。

2.4信息系統(tǒng)建設(shè)缺乏統(tǒng)一規(guī)劃，統(tǒng)一組織的力度不強

信息化的開展往往是想到哪干到那，硬件設(shè)施更新快，應(yīng)用系統(tǒng)成功使用不多，信息化發(fā)展不平衡，各區(qū)域信息化水平差異較大，在一定程度上阻礙了信息化的集約發(fā)展和整體應(yīng)用水平的提高。此外，信息化組織建設(shè)滯后不利于信息化的推進

2.5 硬件與軟件投入上存在“重硬輕軟”

由于對信息化認識上的誤區(qū)，部分電力企業(yè)認為搞信息化主要就是買機器、建網(wǎng)絡(luò)，表現(xiàn)出一定程度的“重硬輕軟”情結(jié)。這種做法的結(jié)果是硬件設(shè)施脫離了軟件系統(tǒng)，從而硬件也發(fā)揮不出應(yīng)有的作用，信息化建設(shè)沒有成效。

2.6企業(yè)信息系統(tǒng)孤立存在不能發(fā)揮整合效益

目前電力企業(yè)的生產(chǎn)自動化系統(tǒng)與管理信息系統(tǒng)處于相互分離狀態(tài)，彼此不能有效結(jié)合，不能實現(xiàn)管控一體化，數(shù)據(jù)信息不能集成共享，不利于實現(xiàn)企業(yè)的綜合管理。此外，由于缺乏總體數(shù)據(jù)規(guī)劃、數(shù)據(jù)整合，存在或多或少的“信息孤島”，部分數(shù)據(jù)有冗余和二意性，不能融合到整個管理信息平臺上。

3 電力行業(yè)信息化管理發(fā)展趨勢

3.1信息化觀念由重視生產(chǎn)自動化向重視管理信息化轉(zhuǎn)變，表現(xiàn)為由“硬”到“軟”。

3.2應(yīng)用模式由管控分離向信息一體化轉(zhuǎn)變，即實現(xiàn)生產(chǎn)實時信息與管理信息的集成。

3.3應(yīng)用架構(gòu)由分散應(yīng)用向整合應(yīng)用轉(zhuǎn)變，即從部門級單項應(yīng)用到企業(yè)級涵蓋生產(chǎn)、營銷及財務(wù)、人事、設(shè)備等環(huán)節(jié)的整體應(yīng)用。

3.4數(shù)據(jù)管理由分散管理向集中管理轉(zhuǎn)變，形成信息共享、增值的機制,適應(yīng)企業(yè)業(yè)務(wù)處理和經(jīng)營運作快捷化、實時化的要求。

3.5實施模式由“用戶－供應(yīng)商”模式向“用戶－咨詢/監(jiān)理商－供應(yīng)商”模式轉(zhuǎn)變，保證企業(yè)信息化切實從用戶需求出發(fā)，控制信息化建設(shè)的質(zhì)量和風(fēng)險。

4 提高電力行業(yè)信息化管理策略研究

4.1構(gòu)建系統(tǒng)、完善的電力行業(yè)信息化架構(gòu)

電力信息化的核心是由各方面建設(shè)內(nèi)容構(gòu)成的一個系統(tǒng)的、完整的架構(gòu)。從以下六方面入手進行完善。

4.1.1應(yīng)用功能架構(gòu)：從業(yè)務(wù)運作與管理決策的需求出發(fā)，分析功能需求，建立企業(yè)信息化的功能模型。

4.1.2信息資源架構(gòu)：對企業(yè)業(yè)務(wù)與管理活動涉及的信息進行分析、規(guī)劃，抽象提煉出信息分類體系，提供使用、共享、集成和管理信息的策略。

4.1.3應(yīng)用系統(tǒng)架構(gòu)：基于應(yīng)用功能架構(gòu)構(gòu)建實現(xiàn)信息化功能的應(yīng)用系統(tǒng)及其相互集成的模型。

4.1.4系統(tǒng)平臺架構(gòu)：即支撐應(yīng)用系統(tǒng)運行的操作系統(tǒng)平臺、數(shù)據(jù)庫平臺、應(yīng)用服務(wù)平臺框架。

4.1.5網(wǎng)絡(luò)與基礎(chǔ)設(shè)施架構(gòu)：規(guī)劃、選擇企業(yè)信息系統(tǒng)運行的基礎(chǔ)網(wǎng)絡(luò)與設(shè)施，保證信息系統(tǒng)高效、穩(wěn)定、安全運行。

4.1.6信息安全架構(gòu)：構(gòu)建從網(wǎng)絡(luò)設(shè)備層、系統(tǒng)層到應(yīng)用層的系統(tǒng)安全和科學(xué)的安全管理體系。

4.2以專業(yè)化的規(guī)劃為指導(dǎo)，制定企業(yè)信息化的頂層設(shè)計藍圖。電力集團以信息化整合產(chǎn)業(yè)鏈的資源，增強整體價值鏈的綜合競爭優(yōu)勢。

4.3中小型電力企業(yè)以信息化規(guī)范管理、提高效率、增強對市場的響應(yīng)能力和速度；以信息化帶動管理創(chuàng)新，以管理創(chuàng)新促進信息化，實現(xiàn)電力企業(yè)價值鏈的協(xié)同化運作，以整合化的系統(tǒng)應(yīng)用為目標，促進信息化的價值實現(xiàn)，推動電力企業(yè)綜合競爭力的提升。

4.4以需求為導(dǎo)向，充分開發(fā)利用電力系統(tǒng)內(nèi)部信息資源，有效整合電力企業(yè)現(xiàn)有信息資源，積極搜集各類電力信息，完善全國電力信息資源開發(fā)利用的保障體系，形成集中、統(tǒng)一、穩(wěn)定的信息采集渠道，基本形成覆蓋全行業(yè)各門類的信息資源共享機制。

4.5在信息資源集成的基礎(chǔ)上，逐步建立多種形式的決策咨詢機制和完善的企業(yè)輔助決策支持系統(tǒng)；研究典型電力企業(yè)的業(yè)務(wù)流程重組(BPR)，塑造科學(xué)合理的電力企業(yè)業(yè)務(wù)流程，為順利實施企業(yè)ERP系統(tǒng)奠定堅實的基礎(chǔ)；配合電力體制改革進程，推動企業(yè)網(wǎng)上競價系統(tǒng)和電子商務(wù)平臺的實施工作。

4.6大力推進信息系統(tǒng)聯(lián)網(wǎng)，加大應(yīng)用整合力度，實現(xiàn)部分關(guān)鍵業(yè)務(wù)系統(tǒng)的應(yīng)用集成，構(gòu)建統(tǒng)一的應(yīng)用系統(tǒng)總體框架和企業(yè)信息門戶(EIP)平臺，在多個企業(yè)應(yīng)用之間實現(xiàn)無縫集成，切實解決現(xiàn)存的“信息孤島”、重復(fù)建設(shè)等問題，為信息資源的整合和綜合利用奠定基礎(chǔ)。