企業(yè)信息安全治理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全治理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全治理范文

企業(yè)經(jīng)營信息對于企業(yè)來說是一種資源，對于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項經(jīng)營活動都逐漸開始通過計算機，網(wǎng)絡(luò)開展，因此，企業(yè)的信息安全管理對于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時將企業(yè)信息安全管理與風險控制結(jié)合起來，這是一個正確的選擇，能夠幫助企業(yè)實現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風險控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風險控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風險控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡單來說是指企業(yè)通過各種手段來保護企業(yè)硬件和軟件，保護網(wǎng)絡(luò)存儲中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實現(xiàn)企業(yè)的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計算機技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講，最為關(guān)鍵的一項工作時保護企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過建立完善的企業(yè)風險控制體系來幫助企業(yè)實現(xiàn)更好地保護企業(yè)信息安全的目標。

所以，怎樣把企業(yè)信息安全管理與風險控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風險控制必須通過企業(yè)建立完善的企業(yè)信息安全風險體系實現(xiàn)。企業(yè)的信息安全風險控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對企業(yè)的信息進行風險預估，并采取一系列的有針對性的活動降低企業(yè)面臨的信息安全風險，從而盡可能減少因為企業(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風險體系建立主要包含以下幾個方面的內(nèi)容。第一，建立企業(yè)信息安全風險管理制度，明確企業(yè)信息安全管理的責任分配機制，明確企業(yè)各個部門對各自信息安全所應承擔的責任，并建立相應的問責機制。第二，設(shè)置規(guī)范的企業(yè)信息安全風險管理指標，對企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風險定級，方便企業(yè)管理者對不同的信息安全管理漏洞采取有區(qū)別的對策。第三，企業(yè)要加強對信息安全管理人員的培訓，提高企業(yè)信息安全管理工作人員的風險意識，讓企業(yè)內(nèi)部從事信息安全管理工作人員認識到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責的重要性。第四，將企業(yè)信息安全管理與風險控制有效融合，重視企業(yè)信息安全管理工作，通過風險控制對企業(yè)內(nèi)部信息安全的管理方式進行正確評估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風險控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對于企業(yè)來說，企業(yè)信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計，目前很多企業(yè)對信息安全工作的管理僅僅停留在對企業(yè)信息安全管理工作人員的技術(shù)要求上，對企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風險意識并沒有嚴格要求。此外，絕大多數(shù)企業(yè)并沒有意識開展對企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓，并沒有通過建立相關(guān)管理制度以及問責機制對企業(yè)信息安全管理工作人員實行監(jiān)督，這無疑給別有用心或者立場不堅定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計算機技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應用技術(shù)等等，應當說成熟的計算機應用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實是許多企業(yè)的信息安全管理技術(shù)并不過關(guān)，一方面企業(yè)的信息安全管理硬件并不過關(guān)，在物理層面對企業(yè)信息缺乏保護，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實踐經(jīng)驗，企業(yè)信息安全管理的知識也并沒有及時更新，從而導致企業(yè)的信息安全管理理論嚴重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂，很多服務器、系統(tǒng)提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個方面。第一，企業(yè)員工對于信息安全管理的認識嚴重不足，對企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計算機系統(tǒng)安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業(yè)內(nèi)部計算機的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認為自己的工作與企業(yè)信息安全管理不相關(guān)，認為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動機制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領(lǐng)導對企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個多層次的結(jié)構(gòu)，它的設(shè)計初衷是面向客戶的，提供給客戶各種安全應用，安全應用必須依靠安全服務來實現(xiàn)，而安全服務又是由各種安全機制來保障的。所以，安全服務標志著一個安全系統(tǒng)的抗風險的能力，安全服務數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態(tài)網(wǎng)絡(luò)安全循環(huán)過程，必須制定一個企業(yè)的安全模式。在安全策略的指導下實施所有的檢測、防護、響應，防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態(tài)響應的判斷依據(jù)，同時也是有力落實安全策略的實施工具，通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為，可以檢測出騷擾行為或錯誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過不斷地監(jiān)測網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點。在安全系統(tǒng)中，應急響應占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調(diào)企業(yè)信息安全管理工作人員在整個系統(tǒng)中的價值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強調(diào)對企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強調(diào)動態(tài)管理，動態(tài)監(jiān)督，對于企業(yè)信息安全管理工作始終保持高強度的監(jiān)督與管理，在實際工作中，通過HTP模型的應用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風險的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個子系統(tǒng)，明確實施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動協(xié)議相融合，實現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運用。

（3）設(shè)計優(yōu)良的人機界面，通過對企業(yè)數(shù)據(jù)信息進行有效的運用，為企業(yè)管理階層人員、各級領(lǐng)導及時提供各種信息，為企業(yè)領(lǐng)導的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡化企業(yè)內(nèi)部的信息傳輸通道，對應用程序和數(shù)據(jù)庫進行程序化設(shè)計，加強對提高企業(yè)內(nèi)部信息處理的規(guī)范性和準確性。

2.設(shè)計企業(yè)信息安全管理風險體系

（1）確定信息安全風險評估的目標

在企業(yè)信息安全管理風險體系的設(shè)計過程中，首要工作是設(shè)計企業(yè)信息安全風險評估的目標，只有明確了企業(yè)信息安全管理的目標，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風險控制為目標的信息安全管理工作制度，才能順利通過對風險控制的結(jié)果的定量考核，檢測企業(yè)信息安全管理的風險，定性定量地企業(yè)信息安全管理工作進行分析，找準企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風險評估的范圍

不同企業(yè)對于風險的承受能力是有區(qū)別的，因此，對于不同的企業(yè)的特殊性應該采取不同的風險控制辦法，其中，不同企業(yè)對于能夠承受的信息安全風范圍有所不同，企業(yè)的信息安全風險承受范圍需要根據(jù)企業(yè)的實際能力來制定。不僅如此，企業(yè)的信息安全風險評估范圍也應當根據(jù)企業(yè)的實際經(jīng)營情況變化采取有針對性的辦法。

第2篇：企業(yè)信息安全治理范文

一、制造型企業(yè)信息安全的必要性

隨著我國市場信息化水平加深，網(wǎng)絡(luò)技術(shù)已經(jīng)成為了推動社會發(fā)展重要因素之一。網(wǎng)絡(luò)的便捷性，使得任何人都可以利用網(wǎng)絡(luò)接受、傳送大量的網(wǎng)絡(luò)信息，或者是存在網(wǎng)絡(luò)云盤之中。而網(wǎng)絡(luò)的公開性，也導致網(wǎng)絡(luò)對于任何人來說都沒有門檻，這也是竊取信息的問題不斷發(fā)生的主要原因。對于企業(yè)來說，尤其是制造型企業(yè)，一旦企業(yè)賴以生存的核心技術(shù)被盜取，幾十年的勞動成果皆拱手送人，企業(yè)將承受巨大的、甚至是毀滅性的損失。

企業(yè)信息泄露還有一種就是人才流動，現(xiàn)如今企業(yè)人員流動較大，企業(yè)信息可能被直接帶到其他企業(yè)之中，這也是個比較棘手的問題。

另外一種情況是隨著企業(yè)之間的合作不斷增加，企業(yè)外派員工成為常見的現(xiàn)象，這樣就加大了企業(yè)間的交流和接觸時間，對于本企業(yè)的信息泄露也許就是在不經(jīng)意間。

無論是網(wǎng)絡(luò)問題還是人為問題，如果造成企業(yè)信息泄露，其對自身企業(yè)的損害是非常大的。以技術(shù)為核心的制造型企業(yè)加強信息安全管理勢在必行。

二、制造型企業(yè)信息安全管理的現(xiàn)狀及問題

1.企業(yè)信息安全管理的被動性

制造型企業(yè)的工作重點在產(chǎn)品制造與生產(chǎn)，對于網(wǎng)絡(luò)信息管理意識薄弱，很多時候企業(yè)只有發(fā)現(xiàn)企業(yè)信息泄露或者遭受病毒的攻擊等安全事件，才會關(guān)注企業(yè)信息安全問題，進而調(diào)動技術(shù)部門前來解決問題。這很大程度上反映制造型企業(yè)對網(wǎng)絡(luò)信息安全不夠重視，只有出現(xiàn)信息安全問題時，才組建臨時小組來解決企業(yè)信息問題，待到問題解決后小組便被解散，沒有對企業(yè)信息后序的監(jiān)督和管理，企業(yè)信息安全管理缺乏系統(tǒng)策劃和制度化要求，管理活動臨時性強，缺少日常的維護和預防，導致更多的是重蹈覆轍，這樣不僅沒有為企業(yè)省下對安全管理的資金，相反的恰恰是增加了企業(yè)的資金投入，直接增加了企業(yè)安全管理的成本。同時因為臨時小組的組建，使得人員調(diào)動頻繁，大大降低了工作效率，進而對企業(yè)的經(jīng)濟效益造成影響。

2.員工使用內(nèi)部系統(tǒng)連接外網(wǎng)

雖然大部分制造型企業(yè)對企業(yè)自身的內(nèi)網(wǎng)進行了防護監(jiān)測，而且對員工上網(wǎng)和網(wǎng)頁瀏覽采取了一定的限制措施，但是實際上，企業(yè)對員工上網(wǎng)的控制落實程度不夠，員工依舊可以在工作時間使用企業(yè)網(wǎng)絡(luò)進行外部網(wǎng)絡(luò)連接，而且對于一些網(wǎng)站毫無防備。而網(wǎng)絡(luò)病毒是時刻都在通過網(wǎng)絡(luò)攻擊使用者的，特別對于企業(yè)內(nèi)部網(wǎng)絡(luò)，黑客更是隨時隨地緊盯著企業(yè)內(nèi)網(wǎng)出現(xiàn)漏洞，進而竊取企業(yè)內(nèi)部信息。由于企業(yè)員工的疏忽，會有很大幾率使得企業(yè)信息出現(xiàn)安全隱患，輕則影響企業(yè)正常的生產(chǎn)工作，重則企業(yè)商業(yè)、技術(shù)信息被盜取或者企業(yè)內(nèi)網(wǎng)癱瘓甚至縱，為企業(yè)帶來非常嚴重的后果及損失。

3.移動設(shè)備限制力度不夠

制造型企業(yè)在信息安全管理方面通常采取的措施是限制流水線工人的移動設(shè)備使用，但是對于辦公部門卻沒有嚴格要求，辦公人員可以自由攜帶智能手機、筆記本電腦、pad、硬盤等移動設(shè)備。因辦公人員要對數(shù)據(jù)進行處理，會導致企業(yè)內(nèi)部信息被無限制地拷貝。而且現(xiàn)如今的移動智能設(shè)備都能直接通過企業(yè)的無線網(wǎng)絡(luò)，連接企業(yè)內(nèi)網(wǎng)以獲得權(quán)限，這樣的確提高了企業(yè)內(nèi)部的辦公效率，同時也給黑客病毒提供了通過無線網(wǎng)絡(luò)進行傳播的機會，提高了企業(yè)內(nèi)部信息安全的風險。

4.信息安全防護技術(shù)水平低

在我國，普遍存在信息安全研發(fā)技術(shù)水平較低的情況，這也是制造型企業(yè)安全技術(shù)不高的原因之一。制造型企業(yè)的工作重心偏重于生產(chǎn)、制造及商務活動中，而對于網(wǎng)絡(luò)安全的防護意識不高。

作為企業(yè)，都會有一些信息安全意識。在企業(yè)成立初期，信息安全防護措施通常會被考慮并采納，尤其是一些進口設(shè)備，但僅僅依賴進口設(shè)備是遠遠不夠的。第一，進口設(shè)備雖然技術(shù)先進，但是出現(xiàn)問題是在所難免的，往往出問題的是一些關(guān)鍵的零部件，這些零部件不僅難以拆卸且是整臺設(shè)備的技術(shù)核心，設(shè)備廠商必然會控制其銷售渠道。第二，很多企業(yè)過于相信進口設(shè)備的技術(shù)，力爭做到一步到位，使得企業(yè)發(fā)展中前期安全防護的確不錯，但是卻忽略了系統(tǒng)的更新和維護，網(wǎng)絡(luò)病毒每天新出幾萬種，就算設(shè)備再先進，如果不進行更新，遲早會被病毒攻破。第三，很多企業(yè)都采用家用式免費殺毒軟件，這些殺毒軟件更新頻率快，一些簡單病毒、木馬都能有效查殺，對家用來說但是對企業(yè)來講遠遠不夠，企業(yè)一般是黑客重點關(guān)注的對象，黑客往往會研制更先進的病毒來攻克企業(yè)的防火墻，一些免費殺毒軟件很容易被攻破，增加制造企業(yè)內(nèi)部信息安全問題。

5.企業(yè)出現(xiàn)安全問題處理方法不當

現(xiàn)如今研發(fā)病毒的技術(shù)快速而先進，病毒出現(xiàn)時的及時處理是非常重要的，我國制造型企業(yè)在出現(xiàn)信息安全問題的時候，雖然有相關(guān)的殺毒軟件，但因為大部分都是免費的，其更新速度雖然頻率高，相對滯后性比較強，對于新病毒無法第一時間發(fā)現(xiàn)、處理。而且許多病毒都是潛在性的，企業(yè)內(nèi)部系統(tǒng)中毒之后沒有任何異樣，這就導致企業(yè)內(nèi)部人員無法及時發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)是否被越權(quán)或遭到攻擊。同時，由于很多企業(yè)缺少專門管理信息安全的部門，并且對于病毒侵入缺乏有針對性的安全對策和應急措施，這就導致就算病毒被發(fā)現(xiàn)，企業(yè)在第一時間也無從下手。

三、制造型企業(yè)容易出現(xiàn)安全問題的原因

1.企業(yè)內(nèi)部信息安全意識低

制造型企業(yè)的本質(zhì)是通過生產(chǎn)經(jīng)營活動而獲得盈利，因此制造型企業(yè)的工作重點主要是企業(yè)生產(chǎn)、制造以及流通和服務。在此情況下，企業(yè)更關(guān)注盈利情況，而缺乏對信息安全的管理意識，對信息安全管理的重視度不足。導致這一現(xiàn)象的重要原因是安全防護不能為企業(yè)帶來直接的經(jīng)濟效益，反而要投入大量的人力、物力、財力。另一方面，從安全管理角度來說，沒有事故發(fā)生才是管理績效的體現(xiàn)。相對于質(zhì)量管理、生產(chǎn)安全管理來說，信息安全管理的管理性質(zhì)是類似的，但因為其管理對象的不可見性，往往容易被企業(yè)高層忽視。同時，一般也會存在僥幸心理，感覺企業(yè)內(nèi)部網(wǎng)絡(luò)不會受到黑客攻擊，或是認為就算受到病毒攻擊也不會對生產(chǎn)經(jīng)營造成什么大影響，對企業(yè)整體利益影響不大。基層員工更是不明白什么是安全防護，對企業(yè)安全防護的重要性一無所知，這就導致許多企業(yè)內(nèi)部信息技術(shù)會從員工口中泄露。

2.信息安全管理模式不夠完善

制造型企業(yè)信息安全問題頻發(fā)的原因，究其根本就是因為企業(yè)信息安全管理模式不夠完善，具體原因是制造型企業(yè)不重視信息安全管理、缺少系統(tǒng)規(guī)范的信息安全管理制度、缺乏專業(yè)的信息安全管理技術(shù)和安全管理人員，企業(yè)信息系統(tǒng)設(shè)計沒有風險評估、沒有完善的業(yè)務流程，信息安全管理存在頭痛醫(yī)頭腳痛醫(yī)腳的現(xiàn)象。

3.信息安全系統(tǒng)沒有應急措施

制造型企業(yè)信息安全系統(tǒng)缺少應急措施，也可以說沒有自我保護系統(tǒng)。自我保護系統(tǒng)是一種比較先進的技術(shù)，一旦有病毒侵入系統(tǒng)，系統(tǒng)會自動對重要信息進行加密、封鎖，待系統(tǒng)安全后自動解鎖。然而由于對信息管理的意識不足，使得很多制造型企業(yè)沒有建立信息安全自我保護系統(tǒng)。在我國，諸多制造型企業(yè)在信息管理方面更多的是依靠員工的經(jīng)驗，對于網(wǎng)絡(luò)自身的保護信任度不足，也缺少對信息安全管理技術(shù)發(fā)展的關(guān)注和引用。

四、制造型企業(yè)信息安全管理存在問題的對策

綜上所述，制造型企業(yè)信息安全問題是由很多因素造成的，包括管理層的重視方面、技術(shù)方面、人員管理方面等。首要的，企業(yè)應提升對信息安全管理的重視程度，只有加強意識，并建立有效的信息安全防范措施，才能有效保護企業(yè)自身的核心競爭力，以獲得在市場經(jīng)濟中更好的發(fā)展。

1.提高企業(yè)內(nèi)部員工的信息安全意識

很多制造型企業(yè)信息泄露都是內(nèi)部員工無意間透露出去的，這也是最常見的企業(yè)內(nèi)部信息泄露渠道，企業(yè)應充分重視員工的信息安全教育，定期對企業(yè)內(nèi)部員工進行信息安全培訓及考核，通過教育向員工灌輸信息安全的基本知識和常識、企業(yè)內(nèi)部信息的重要性、一旦發(fā)生企業(yè)核心技術(shù)泄露將產(chǎn)生的嚴重后果等信息。加強企業(yè)內(nèi)部員工信息安全意識，也就是從根本上降低了企業(yè)信息安全隱患，企業(yè)中如果基層員工都非常了解并重視信息安全問題，那么這個企業(yè)在信息安全管理方面必然非常完善有效。

2.建立健全企業(yè)信息安全管理機制

由于很多制造型企業(yè)缺少健全的信息安全管理機制，這就給了很多黑客病毒更多的侵入機會。一套完善的信息安全管理機制能夠有效的保護企業(yè)信息安全，降低安全隱患。制造型企業(yè)應該建立健全企業(yè)信息安全管理機制，設(shè)立專門的企業(yè)信息安全管理部門，這樣能最大程度保證信息的日常安全防范，也保證了一旦出現(xiàn)安全問題，企業(yè)能更好、更快地解決問題，健全的管理機制能夠?qū)︼L險有一定的預見性，把風險降到最低。

3.加大對信息安全管理的資金投入

任何新型技術(shù)都離不開資金的投入，信息安全管理同樣也是，而且信息安全管理更多的屬于技術(shù)型投入，對資金依賴性更高。制造型企業(yè)想要獲得可持續(xù)發(fā)展，就必須要把目標放得更加長遠。企業(yè)內(nèi)部信息往往是一個企業(yè)的核心，因此企業(yè)應提高對信息管理的重視程度，加大對信息安全系統(tǒng)的投資，把信息安全管理作為企業(yè)管理重要的一部分，信息安全管理資金劃作專項資金專款專用。企業(yè)對信息安全管理的投資要有計劃性，確保突況的資金投入、技術(shù)更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業(yè)整體的發(fā)展規(guī)劃中，這樣才能保證企業(yè)信息更加安全，企業(yè)才能獲得長足的發(fā)展。

4.加大對信息安全管理人才的認識

因為信息對企業(yè)生存至關(guān)重要，信息安全甚至會影響到企業(yè)的發(fā)展戰(zhàn)略的制定和落實，制造型企業(yè)應當把信息安全管理與生產(chǎn)經(jīng)營提高到同一個層次。企業(yè)內(nèi)網(wǎng)是網(wǎng)絡(luò)技術(shù)領(lǐng)域，既然是技術(shù)，就離不開專業(yè)人才的支持，企業(yè)應該加強信息安全管理的人才培養(yǎng)，提高企業(yè)信息安全管理的質(zhì)量。如果企業(yè)內(nèi)部沒有專業(yè)的信息安全管理人才，企業(yè)可以通過對外招聘的形式，在社會中尋求人才。現(xiàn)如今互聯(lián)網(wǎng)技術(shù)已經(jīng)逐步走向成熟，計算機人才更是越來越多，所以，制造型企業(yè)在社會中尋找信息安全管理的人才不會很難，同時還能促進計算機技術(shù)人才就業(yè)，對于企業(yè)自身以及社會都有很大意義。

5.加強企業(yè)內(nèi)網(wǎng)管理

一般來說，企業(yè)內(nèi)網(wǎng)系統(tǒng)中的信息很多都屬于商業(yè)機密，基層員工是無權(quán)了解的。制造型企業(yè)應該把各個層級的員工賬號及內(nèi)網(wǎng)系統(tǒng)中的信息進行分類管理，按信息等級設(shè)置不同的訪問權(quán)限和防范措施，以免企業(yè)員工在使用內(nèi)網(wǎng)時網(wǎng)絡(luò)病毒通過權(quán)限竊取過多的企業(yè)信息。另外，很多企業(yè)信息泄露都是由于某些員工通過企業(yè)無線網(wǎng)連接外網(wǎng)導致企業(yè)系統(tǒng)中毒，針對此類情況企業(yè)要制定相應的政策和管理制度，通過對硬件的管理和網(wǎng)頁訪問權(quán)限設(shè)置，嚴禁員工上班時間通過移動設(shè)備隨意連接外網(wǎng)。

五、結(jié)束語

第3篇：企業(yè)信息安全治理范文

劉保華：美國2003年推出薩班斯法案以來，越來越多的公司開始按照這個法案的要求執(zhí)行。在你看來，現(xiàn)在

執(zhí)行的總體情況如何？

任家明：在美國，大公司的IT治理已經(jīng)比較成熟。它們往往有很多年的經(jīng)驗，但薩班斯法案的遵從也需要一段適應時間。這些公司一般都從財務方面著手，它們可以遵從一個叫COSO的框架。在《COSO內(nèi)部控制整合框架》中，內(nèi)部控制被定義為 ：由企業(yè)的董事會、管理層和其他人員參與控制的過程，旨在為下列目標提供合理保證：（1）財務報告的可靠性；（2）經(jīng)營的效果和效率；（3）符合適用的法律和法規(guī)。《COSO內(nèi)部控制整合框架》把內(nèi)部控制劃分為5個相互關(guān)聯(lián)的要素，分別是控制環(huán)境、風險評估、控制活動、監(jiān)控以及信息與溝通。其中每個要素均承載3個目標：經(jīng)營目標、財務報告目標和合規(guī)性目標。

但是，很多企業(yè)在實施過程中發(fā)現(xiàn)，從IT角度看，上述框架用不上。COSO主要是財務方面的框架，但是很多公司的管理層都對一個問題非常頭痛：他們并不懂IT治理。很多CEO從一開始就覺得IT治理不是管理層該管的事，只是IT部門的事情。這個問題在中國、日本、美國都很普遍。

劉保華：我們知道一個叫Cob的IT框架和薩班斯法案有密切的關(guān)系。你能否介紹一下Cob IT的框架？

任家明：IT治理研究所（以下簡稱ISACA）特別制定了一個針對IT的框架――Cob IT。這個框架在1995年開始被企業(yè)采用。在薩班斯法案之后，很多IT或者財務方面的人士都知道這個框架。但是，銀行、保險、制造業(yè)等企業(yè)要熟悉這一框架，還有一段路要走。

2007年，日本有一個叫J-sox的法案出臺。這個法案和美國的薩班斯法案非常相似。

劉保華：IT治理很重要的一個工作就是加強培訓。我發(fā)現(xiàn)很多國際大公司對培訓工作非常重視，IT內(nèi)控治理的需求非常大。目前ISACA在培訓方面的工作開展得如何？

任家明：薩班斯法案是從美國開始推行的，美國的經(jīng)驗會影響其他的國家。歐洲現(xiàn)在有了Euro-sox、日本有了J-sox、韓國有了K-sox，中國將來也可能有類似的法律。美國企業(yè)的做法對世界其他國家的影響很大。你如果了解了美國企業(yè)怎么做，對于將來如何較好地應對挑戰(zhàn)，非常有好處。

法規(guī)遵從 中外存異也求同

對于不同國家的企業(yè)，IT治理要走不同的道路。在中國，我們也應該走中國特色的IT治理道路。但是對于全球IT治理共通性的話題，同樣需要認真研究。

劉保華：薩班斯法案推出以后，我們做過很多報道。而且，我們發(fā)現(xiàn)這個法案對國內(nèi)企業(yè)的影響非常大。現(xiàn)在該法案推出已經(jīng)近6年了，你覺得中國企業(yè)應該注意哪些問題？

任家明：在美國，監(jiān)管的工作大同小異。而在中國，由于不同地域的差別實在太大，在監(jiān)管方面也出現(xiàn)千差萬別的情況。因此你要明白這些差異，才能合理應對。這也是為什么中國企業(yè)不能照搬很多美國企業(yè)經(jīng)驗的原因。所以,現(xiàn)在很多公司在合規(guī)的時候，都是找香港公司幫忙。這些公司有美國和加拿大的經(jīng)驗，而且也了解國內(nèi)的現(xiàn)實情況。

劉保華：中國內(nèi)地企業(yè)在做薩班斯法案合規(guī)的時候，普遍反映沒有合適的人來做，怎么辦？

任家明：其實這是目前IT治理最嚴重的一個問題。ISACA在香港有超過3000個委員，但在內(nèi)地卻只有不到1000個委員。香港總?cè)丝谥挥?00萬人，而內(nèi)地卻有13億。比較一下可以發(fā)現(xiàn)，內(nèi)地的人才缺乏是很嚴重的。同時，現(xiàn)在國內(nèi)的教育機構(gòu)也還沒有來得及培訓出足夠的人才。

我看到深圳、廣州很多公司的監(jiān)管者，他們也想做類似美國薩班斯法案的監(jiān)管，同時他們也推薦公司的管理層去做類似的公司內(nèi)控的評估，但是他們找不到相應的人才，沒有合適的會計師。

就連全球4大會計事務所在中國也是這樣的情況。他們在中國現(xiàn)在每天都在招人，但苦于找不到足夠的人才。除了會計師不夠，咨詢師也不夠。這個情況和美國也類似。以前美國也沒有足夠的人才，他們只有找內(nèi)部的咨詢?nèi)藛T來做，但后來慢慢就跟上了。在內(nèi)地找IT治理的咨詢師，同樣很難。

所以要想做好IT治理，一方面需要足夠多的咨詢師，另一方面需要足夠多的會計師，兩者缺一不可。至于監(jiān)管框架的制定，有美國等發(fā)達國家的經(jīng)驗，制定起來會很快。同時，IT治理關(guān)鍵還是需要國家來推進。

劉保華：除了人才的問題，如何對IT治理的效果進行階段性的評估，也讓很多企業(yè)非常頭痛。你怎么看這個問題？

任家明：美國企業(yè)一般有3個層次的評判：第一，你有沒有材料的審閱者；第二，根據(jù)材料模型，按照5個不同層次的要求將材料整理清楚；第三，把整理出來的材料，按照要求建立檔案。

信息安全是IT治理的基石

信息安全是一個系統(tǒng)工程，它和IT治理息息相關(guān)，是IT治理的基石。對于企業(yè)的CEO和CIO來說，IT治理很重要的工作是通過IT治理來保證企業(yè)信息交互的安全可靠。

劉保華：你覺得一個比較完善的信息安全的生態(tài)系統(tǒng)和IT治理是什么關(guān)系？

任家明：不同的企業(yè)對信息安全和IT治理有不同的理解。很多國內(nèi)的企業(yè)都習慣從技術(shù)的角度來考慮信息安全的問題。

在香港，很多公司都認為信息安全有三寶，首先是反病毒軟件，其次是反間諜入侵軟件，最后是防火墻，認為有這三寶就足夠安全了。但是，我們做了測試后發(fā)現(xiàn)，有了這三樣以后，仍然存在大量的信息安全漏洞。其實，一個完整的信息安全系統(tǒng)需要很多其他的東西，比如人才、流程等等，技術(shù)只是其中的一個工具而已。

比如，SAP、Oracle等公司都已經(jīng)有了一些很成熟的ERP軟件，它們在信息安全方面也考慮了很多。但是，公司如何根據(jù)自己的情況來進行安全部署，仍然是一個很大的問題。

劉保華：我們都是在一個開放的空間運作企業(yè)。為了應對開發(fā)環(huán)境的安全挑戰(zhàn)，現(xiàn)在很多IT解決方案提供商都提出了自己的方案，比如微軟提出“縱深防御體系”，賽門鐵克提出“端到端的防御”。你怎么看上述情況？從IT治理的角度，如何保證上述環(huán)境的信息安全？

任家明：如何控制風險，其實并不是太難的事情。使用有線網(wǎng)絡(luò)的時候，我們可以順著網(wǎng)絡(luò)線來找問題，而現(xiàn)在員工都用無線網(wǎng)絡(luò)，安全的復雜性又增加了。

英國前不久做了調(diào)查，很多英國公司員工的IT賬戶和密碼都可以很輕易地通過公司IT內(nèi)部的無線網(wǎng)絡(luò)獲得。當公司主管通過無線網(wǎng)絡(luò)傳遞一些涉及公司秘密的信息時，就存在很大的安全風險。

這些問題其實在全球的公司中都存在。解決問題的關(guān)鍵在于要找一個專業(yè)的機構(gòu)對公司的IT系統(tǒng)做一個風險的評估。有了這個評估之后，公司主管就知道問題所在，從而制定相應的解決方案，并把最重要的資源用來解決最重要的問題。

IT治理人才現(xiàn)在將來會很貴

根據(jù)ISACA的統(tǒng)計，能夠幫助公司進行法規(guī)遵從的人才全球大概不到5萬人，而全球的需求目前已經(jīng)達到20萬人，而且這個數(shù)字會隨著越來越多的國家在IT治理方面的立法和公司對IT治理的重視而提高。

劉保華：一個企業(yè)如果要進行IT治理花費很高。我聽說現(xiàn)在中國在IT治理上的成本要高于美國，是嗎？

任家明：企業(yè)在中國做合規(guī)所要花的錢，現(xiàn)在的確要比美國多。因為在美國有很多相關(guān)的人才，而在中國，懂英語（很多材料都是英文的）、懂財務、懂IT等等知識的復合型人才非常少，所以很貴。

將來，如果中國有類似薩班斯法案的法規(guī)出臺的話，這類人才的薪酬一定會飆升得很快。所以我經(jīng)常跟我的朋友講，如果你想賺錢，多學一點IT治理的知識是一定有用的。我認為中國雖然現(xiàn)在沒有類似的監(jiān)管法規(guī)出臺，但隨著中國資本市場的成熟，隨著中國市場和世界市場的日益接軌，3到5年之后，中國應該會有類似的法案出臺。

劉保華：關(guān)于ISACA在中國的發(fā)展你們現(xiàn)在有什么具體的計劃？你們?nèi)绾闻c國內(nèi)的大學進行合作，并把IT治理融入到大學的課程中。如何把美國的課程較好地引入到中國來，從而使其更加符合中國的國情？

任家明：ISACA目前在中國已經(jīng)有三個分會，分別在中國的香港、臺灣和澳門，但在中國內(nèi)地還沒有分會。將來我們會從幾個方面來推動ISACA的發(fā)展。我們注意到，中國企業(yè)最需要的是最新的信息，但是目前的情況是信息太多，多到它們根本沒有足夠的時間去看這些信息。另外，這些信息全都是英文的，也影響了國內(nèi)企業(yè)的閱讀吸收。

所以我們有兩方面的工作要做。一方面，我們會利用香港的資源，把香港的經(jīng)驗引入內(nèi)地，我們首先會制作中文網(wǎng)站，內(nèi)容也更符合國內(nèi)市場；另一方面，我們也會在內(nèi)地尋找合作伙伴和顧問。

我們有很多很好的標準、框架、白皮書、文案等資料，這些都是非常好的內(nèi)容，中國相應的工作人員都是需要的。我們現(xiàn)在正在把這些資料翻譯成中文。

目前，我們現(xiàn)在有三個不同的認證，第一個是CISA，是一個IT審計員的認證；第二個是CISN，是一個公司信息安全的認證；第三個是IT管制的認證，我們才剛剛開始做。目前全國只有100人符合這個認證的要求，而前兩個已經(jīng)有超過千人獲得了。

記者手記：將IT治理化為企業(yè)的核心競爭力

今天，IT已成為企業(yè)業(yè)務發(fā)展和管理不可或缺的重要組成部分，其作用和影響力已從單一的業(yè)務部門擴散到企業(yè)與組織的每一個領(lǐng)域。在IT系統(tǒng)給企業(yè)帶來活力、利潤和競爭力的同時，也給企業(yè)增加了因此而帶來的風險――日益依賴IT系統(tǒng)的企業(yè)面臨著因IT系統(tǒng)故障導致的業(yè)務災難。如何最大限度地降低IT對業(yè)務的負面影響，IT系統(tǒng)如何充分為企業(yè)戰(zhàn)略目標服務，如何獲得IT價值最大化，這是每個企業(yè)都必須直接面對的問題。

隨著眾多安全法規(guī)的不斷推出，越來越多的企業(yè)開始關(guān)注法規(guī)遵從與企業(yè)信息安全的關(guān)系。與此同時，利用IT治理與安全架構(gòu)，企業(yè)可以在很大程度上防御IT帶來的信息安全風險。

信息安全架構(gòu)與IT治理密不可分。假如把信息安全治理比作指引組織進行安全項目的路標，那么安全架構(gòu)和設(shè)計便是組織通往信息安全這個目標所用的交通工具的基本結(jié)構(gòu)。沒有了信息安全架構(gòu)，IT治理根本無從談起。

第4篇：企業(yè)信息安全治理范文

 

1 綜合治理信息安全的戰(zhàn)略背景

 

IT管理技術(shù)發(fā)展歷程，從被動管理轉(zhuǎn)向主動管理，從服務導向轉(zhuǎn)向業(yè)務價值。在科學的IT管理方法論方面形成了一系列標準：諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標準;ISO20000ITIL 的國際標準; COBIT面向IT審計的IT管理標準;COSO企業(yè)內(nèi)部控制框架，面向內(nèi)部控制;ISO17799：信息安全管理國際標準。當前有很多非常好的綜合性標準與規(guī)范可以參考，其中非常有名的就是ISO/IEC27000系列標準。ISO/IEC 27001通過PDCA過程，指導企業(yè)如何建立可持續(xù)改進的體系。

 

目前企業(yè)IT運維管理現(xiàn)狀。需求變化：IT本身快速變更;管理目標多角度變換并存。資源不足：IT 復雜性成長快于人員成長;IT 人員持續(xù)流動。業(yè)務影響：難以判斷事件對業(yè)務的影響和處理事件的優(yōu)先級。信息孤島：IT 資源多樣性的，不能進行事件的關(guān)聯(lián)分析，缺少統(tǒng)一的健康視圖。IT網(wǎng)絡(luò)與信息系統(tǒng)運維存在監(jiān)測盲點，缺少主動預警和事件分析機制。

 

如何把此項復雜的工程進行細化與落地，建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員、系統(tǒng)等)等的前提下，IT運營面臨嚴峻的挑戰(zhàn)，企業(yè)多半缺乏信息系統(tǒng)應用開發(fā)能力，在很大程度上依賴于產(chǎn)品開發(fā)商的支持，為此，要想實現(xiàn)從混亂到清晰、從被動到主動、從應付到實現(xiàn)價值取向的服務思想，自主加外包的混合運維方式無疑是一種好的服務方式。

 

2 建立和實施信息安全保障體系思路和方法

 

針對IT管理問題和價值取向的服務方式，借鑒PDCA工作循環(huán)原理和標準化體系建設(shè)方法，從建立安全目標和組織體系、制度體系和技術(shù)體系等三個主要層面構(gòu)建實施信息安全保障體系，以規(guī)范引導人、以標準流程引導人，以業(yè)績激勵人，從而促被動變主動，堅持持續(xù)改善，促進工作效率，促進安全保障。

 

2.1 建立和推行目標管理

 

體系建設(shè)應以目標管理為先導、循序漸進，按頂層布局、中層發(fā)力、底層推動內(nèi)容設(shè)計與構(gòu)建，為此，借鑒當前IT運維管理目標演進方式，確立各階段建設(shè)目標。

 

基礎(chǔ)架構(gòu)建設(shè)階段(SMB)，手工維護階段。主要實現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)。

 

網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段，重視自動化監(jiān)控階段。主要實現(xiàn)IT設(shè)備維護和管理。

 

IT服務管理(ITSM)階段，重視流程管理階段。主要實現(xiàn)IT服務流程管理。

 

業(yè)務服務管理(BSM)階段，重視用戶服務質(zhì)量與滿意度。主要實現(xiàn)IT與業(yè)務融合管理。

 

從IT投入和業(yè)務價值來看，前三個階段是間接業(yè)務價值，第四階段才是直接業(yè)務價值。

 

根據(jù)ITIL這個IT服務管理的方法論，先是搭建一個框架，借用工具的配合促進落地。如圖1、IT運維管理系統(tǒng)參考模型。

 

從安全目標出發(fā)，結(jié)合IT運維管理系統(tǒng)參考模型，每個階段的工作向著實現(xiàn)直接業(yè)務價值，不斷消除或減輕對性能的約束，促進IT產(chǎn)品或服務滿足確定的規(guī)范，實現(xiàn)企業(yè)效益最大化。服務好用屬性通過最終的績效和檢驗結(jié)果監(jiān)視測量價值成分。如圖2。

 

2.2 規(guī)劃融合信息安全保障體系

 

通過從組織體系、制度體系、技術(shù)體系層面建立和實施縱深防御體系，實現(xiàn)穩(wěn)健的信息安全保障狀態(tài)。

 

①組織體系：通過企業(yè)中高層的支持實現(xiàn)業(yè)務驅(qū)動和共同推動信息安全體系建設(shè)。當然，需要提出的問題，組織有可能要依賴長期可靠的合作伙伴：通過長期可靠的合作關(guān)系，快速引進外部專業(yè)資源和先進技術(shù)，可以幫助企業(yè)推動信息安全建設(shè)工作。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求，企業(yè)實施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維體系標準，組織應做到定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責和意識，通過相關(guān)審核，證明組織具備實施體系的意識和能力。

 

②制度體系：企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維系統(tǒng)建設(shè)的范圍包括機房安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、服務器安全、業(yè)務應用安全、終端安全等。為此，企業(yè)應明確內(nèi)部運維和外部協(xié)同的內(nèi)容及其標準規(guī)范，包括績效標準。建立實施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維體系標準，首先把高效的信息安全做法固化下來形成規(guī)則制度或標準，成為組織中信息安全行為準則。保證事前預防、事中監(jiān)控和事后審計等安全措施的得到有效執(zhí)行與落實。

 

③技術(shù)體系：一般來說，網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來部署工具。即從數(shù)據(jù)安全、終端安全、應用安全、操作系統(tǒng)與數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則，綜合采用各種安全工具進行組合，形成企業(yè)“適用的”安全技術(shù)防線。適時根據(jù)風險評估的結(jié)果，采取相應措施，降低風險。

 

其中，需要采用1～2種綜合管理的工具來幫助把所有的安全監(jiān)控工具進行統(tǒng)一管控。例如SOC是給企業(yè)日常維護管理者使用，ITRM作為綜合風險呈現(xiàn)，是給企業(yè)風險或安全管理層使用。

 

④體系運行和監(jiān)控：體系的日常運行和監(jiān)控就是從信息的生命周期進行流程控制，即在信息的創(chuàng)建、使用、存儲、傳遞、更改、銷毀等各個階段進行安全控制。之前不能忽視在信息創(chuàng)建開發(fā)安全階段的一個細化控制手段。在運行體系建設(shè)中，往往需要結(jié)合流程分析來關(guān)注信息的生命周期安全。運行過程中還有一個應急管理，包括災備中心建設(shè)、業(yè)務連續(xù)性計劃、應急響應等等都有相應的標準與理論支持。特別是BS25999標準的頒布，給如何建立一套完善的應急體系提供了參考。

 

3 企業(yè)建立和實施信息安全保障體系實踐

 

面對網(wǎng)絡(luò)系統(tǒng)互連，網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個復雜而且浩大的工程，井岡山卷煙廠不僅依靠個體分散的技術(shù)措施或者管理防護，而且結(jié)合國家、社會和個人的力量構(gòu)建綜合保障體系。

 

①依據(jù)ISO9000、ISO14000和OHSAS18000標準，國家計算機網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)，參考當前科學的IT管理方法論方面形成了一系列標準，結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標準等，識別這些與信息安全相關(guān)的法律法規(guī)及其它要求，將信息安全保障體系(框架)融合到企業(yè)質(zhì)量、環(huán)境和職業(yè)健康安全(以下簡稱為三標)綜合管理體系。

 

②確定信息安全管理目標并分步實施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開始，企業(yè)對照YC/T384煙草企業(yè)安全生產(chǎn)標準要求，在梳理和評價2000年以來企業(yè)多個企業(yè)信息化三年實施規(guī)劃實踐環(huán)境以后，制訂了新的三年信息安全管理目標和建設(shè)規(guī)劃，將目標和規(guī)劃分解到各年度實施，并納入到企業(yè)年度三標綜合管理體系建設(shè)目標和管理績效考核。

 

③建立信息安全管理組織和工作標準，同時納入三標綜合管理體系管理考核。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化，實現(xiàn)企業(yè)的物資(服務)流、資金流和信息流的一體化，及時、準確和完整地傳遞企業(yè)的經(jīng)營數(shù)據(jù)，保證企業(yè)的經(jīng)營管理。利用信息化改進管理，形成企業(yè)信息安全文化，促進員工接受、理解和主動配合，不斷提升全員的信息安全意識和技能，從而使信息安全管理真正落到實處。

 

④建立和實施信息安全保障體系文件標準。根據(jù)國家信息安全相關(guān)的法律法規(guī)及其它要求，結(jié)合行業(yè)和企業(yè)的特點和發(fā)展趨勢，規(guī)范管理流程和模式。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長遠、分步實施、突出重點”，做到“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一平臺、統(tǒng)一編碼”，同步實施信息系統(tǒng)等級保護制度，促進企業(yè)與信息系統(tǒng)項目合作單位、地方通訊和公安等部門的社會化合作主要方式。企業(yè)內(nèi)部各項工作實現(xiàn)規(guī)范化、信息化，做到一切工作都按照程序辦，同時，事事處于相互制衡的環(huán)境之下、人人處于監(jiān)督管理之中，從而形成職責明確、運轉(zhuǎn)協(xié)調(diào)、相互制衡的工作機制，為企業(yè)內(nèi)部信息安全監(jiān)管提供強有力的保障。

 

幾年來，企業(yè)堅持企業(yè)信息安全方針目標，以迅速響應服務為宗旨。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學、規(guī)范、和諧、統(tǒng)一、開放的管理體系，全面融入了質(zhì)量、安全和環(huán)境管理體系一體化建設(shè)和實踐，截止到2015年底，企業(yè)共梳理建立或整合并實施安全保障類文件包括企業(yè)管理標準、技術(shù)標準和工作標準共計31個標準文件。通過創(chuàng)新與改善和體系審核、管理評審和提高文件執(zhí)行率及持續(xù)改進方式保持了信息安全保障管理體系的持續(xù)改進和有效運行。

第5篇：企業(yè)信息安全治理范文

上海信息化培訓中心（以下簡稱“中心”）在上海市信息中心培訓部的基礎(chǔ)上組建，于1998年正式掛牌成立。作為政府序列信息化促進機構(gòu)，中心通過提供信息化管理和技術(shù)方面的培訓，開拓信息化人才資源培訓服務。

中心專精于中國IT治理和管理專業(yè)領(lǐng)域，15年來在推動中國信息化管理進程中具有舉足輕重的作用。由中心自2005年發(fā)起的Future-S中國管理論壇也逐步造就了具備專業(yè)影響力的IT管理生態(tài)圈和價值鏈，受到業(yè)界高度肯定。

寰球同步，多層面課程打造高通過率

20世紀90年代末，隨著信息化技術(shù)的大面積鋪開，IT培訓也逐步為人所知。但早期信息化教育以企業(yè)內(nèi)部電腦使用的普及性培訓為主，缺乏理論深度，培訓范圍較小，對象也較為單一。

2002年，上海信息化培訓中心開始在IT管理培訓領(lǐng)域起步，與全球接軌和專精國際IT管理成為其兩大特色。中心運用國際最新理念組建起優(yōu)秀的講師團隊，全面整合IT管理中的技術(shù)、人力、財務流程，開發(fā)出最佳實踐創(chuàng)新課程，打造起獨有的IT治理和管理培訓領(lǐng)導品牌。

憑借深厚的信息化管理知識積累，以及對先進IT管理經(jīng)驗的敏銳感知度，中心以世界級的IT服務管理和信息安全管理理念、最佳實踐和國際標準為基礎(chǔ)，構(gòu)建并實際運行著全套IT管理培訓體系，開創(chuàng)了多項國內(nèi)第一。其中比較典型的包括：自2002年起首家引入ITIL國際認證培訓；自2006年起首家舉辦COBIT4治理課程（2012年12月首家舉辦COBIT5公司IT治理課程）；自2007年起首家舉辦PRINCE2項目管理課程；自2012年開始舉辦TOGAF企業(yè)架構(gòu)課程。培訓課程涵蓋IT治理和管理的五大系列――IT服務管理、信息安全管理、IT項目管理、IT治理架構(gòu)、業(yè)務持續(xù)性管理，以及三個層面――戰(zhàn)略層面的高級管理課程、戰(zhàn)術(shù)層面的實施課程、日常層面的基礎(chǔ)課程。IT組織及IT經(jīng)理可根據(jù)不同的職業(yè)發(fā)展目標和階段，選擇不同的學習路徑。并且，中心培訓認證考試通過率遠超國際和國內(nèi)平均水平。

由于在IT治理和管理領(lǐng)域的豐富經(jīng)驗，中心獲得了大量企業(yè)高管和團隊的青睞，客戶遍布中國工商銀行、中國太保、IBM、英特爾、聯(lián)想、索尼、美國強生、上海貝爾、中興等跨領(lǐng)域公司，并逐漸成為這些企業(yè)的長期合作伙伴。

分享理念，以職業(yè)價值匯聚精英人才

信息是企業(yè)經(jīng)營中極為重要的資產(chǎn)，它貫穿并支持著整個經(jīng)營活動，從一般交易到公司合并，從大型項目到員工資料都會產(chǎn)生海量信息。如果沒有良好的管理體制，僅供組織內(nèi)部使用的敏感信息極易泄漏，并產(chǎn)生難以預測的后果。同時，混亂的信息管理還會導致與客戶交流不暢，甚至遺漏商機。而這就是企業(yè)需要IT管理人才的原因。

上海信息化培訓中心為IT經(jīng)理人及團隊提供國際化的IT管理專業(yè)培訓，無論對企業(yè)成長抑或個人發(fā)展都有極大的幫助。對于跨國公司在華分支機構(gòu)而言，了解公司總部IT管理理念對于子公司的管理體制和公司文化具有很好的指導作用。而對于本土企業(yè)團隊，了解國際發(fā)展趨勢，無疑更能跟上世界的發(fā)展，對開展跨國業(yè)務也有良好的接軌作用。而對于職業(yè)經(jīng)理人個人成長來說，通過國際IT管理認證是個人職業(yè)價值的有力體現(xiàn)，是不斷自我知識更新的一種途徑，能有效幫助個人加快職業(yè)發(fā)展速度。

中心課程體系完善，以分享的理念為學員介紹IT組織管理的兩大核心議題，即IT服務管理和信息安全管理。課程能有效幫助企業(yè)IT管理者在最短時間內(nèi)掌握管理標準、方法與流程，充分發(fā)揮后發(fā)優(yōu)勢解決現(xiàn)實問題。同時，中心還通過多種形式的系列活動――如Future-S中國IT管理論壇、IT管理沙龍、講座等――分享IT管理國際最佳實踐成功經(jīng)驗和案例。

Future-S，找到IT治理最佳領(lǐng)軍人物

2004年，在與學員的交流中，中心發(fā)現(xiàn)無論是企業(yè)還是個人，都希望獲得一個自由交流和相互促進的平臺。于是，2005年1月Future-S中國管理論壇應運而生。通過與國際國內(nèi)眾多知名專業(yè)機構(gòu)合作，中心成功舉辦25站30多場Future-S大型峰會、講座、管理沙龍、經(jīng)濟專家講壇，并在上海、北京、深圳、廣州、蘇州等中心城市持續(xù)舉辦系列活動，使Future-S逐步成為具備專業(yè)影響力的高端管理平臺之一。

第6篇：企業(yè)信息安全治理范文

【關(guān)鍵詞】 IT治理；IT內(nèi)部控制；對策研究

2008年6月，堪稱我國SOX法案的《企業(yè)內(nèi)部控制基本規(guī)范》正式出臺；2010年，《企業(yè)內(nèi)部控制配套指引》全面推出，我國企業(yè)內(nèi)部控制規(guī)范體系正式形成，對內(nèi)部控制的重視達到了前所未有的高度。而探討企業(yè)內(nèi)部控制就必須注意到，隨著IT應用的逐步深入，企業(yè)的日常運營越來越依賴于IT系統(tǒng)的支撐。IT的發(fā)展在給企業(yè)帶來收益的同時，也給企業(yè)帶來了越來越大的風險。沒有正確的IT治理機制，就無法確保IT決策的正確性，無法控制信息化進程給企業(yè)帶來的各種風險。而我國企業(yè)目前仍處于IT內(nèi)控與風險管理的萌芽期，在基于IT治理的IT內(nèi)部控制制度建設(shè)方面較為薄弱，文章主要針對此問題提出一些對策。

一、IT治理與IT內(nèi)部控制的相關(guān)概念

（一）IT治理

關(guān)于IT治理的概念，不同學者有著不同的定義，以下為有代表性的幾種：

ISACA（信息系統(tǒng)審計和控制協(xié)會）定義IT治理是一個由關(guān)系和過程所構(gòu)成的體制，用于指導和控制企業(yè)，通過平衡信息技術(shù)與過程的風險、增加價值來確保實現(xiàn)企業(yè)的目標。價值、風險與控制是IT治理的核心 ；

全球IT治理協(xié)會（ITGI）認為IT治理主要是董事會和執(zhí)行層的責任，是企業(yè)治理的重要組成部分，通過領(lǐng)導、組織和過程來保證IT實現(xiàn)和推動企業(yè)戰(zhàn)略目標的發(fā)展；

Robert S . Roussey （美國南加州大學教授）認為：IT治理用于描述被委托治理實體的人員在監(jiān)督、檢查、控制和指導實體的過程中如何看待信息技術(shù)。IT的應用對于企業(yè)能否實現(xiàn)愿景、使命、戰(zhàn)略目標至關(guān)重要 ；

Peter Weill 認為IT治理是在IT應用過程中，為鼓勵期望行為而明確的IT決策權(quán)和責任框架 ；

Gartner集團（著名IT分析公司）認為，IT治理是一種新的商業(yè)范式。這種新范式的形成是由戰(zhàn)略競爭力、全球化、業(yè)務流程共享網(wǎng)絡(luò)和實時性的企業(yè)新需求所驅(qū)動的；

德勤咨詢公司認為IT治理是一個含義廣泛的術(shù)語，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題；

國內(nèi)學者胡克瑾（同濟大學博士生導師）認為：IT治理是一個關(guān)系和過程的結(jié)構(gòu)，用來指導和控制企業(yè)，通過平衡在IT及其過程中的風險和回報來增加企業(yè)價值從而達到企業(yè)的目標。

（二）IT治理的相關(guān)標準

目前在IT治理領(lǐng)域公認的國際標準主要有以下幾種：

1.COBIT（信息及相關(guān)技術(shù)的控制目標）模型。它是ISACA制定的面向過程的信息系統(tǒng)審計和評價的標準，是基于IT治理概念的、面向IT建設(shè)過程的IT治理實現(xiàn)指南和審計標準。其側(cè)重點在于IT過程控制和IT度量評價，從戰(zhàn)略、戰(zhàn)術(shù)、運營層面給出了對IT的評測、量度和審計方法，它的應用較為廣泛，其目標對象是信息系統(tǒng)審計人員，企業(yè)高級IT管理人員。

2.ITIL（IT基礎(chǔ)架構(gòu)庫）。ITIL是一套IT管理指南，列出了各個服務管理流程“最佳”的目標、活動、輸入和輸出以及各個流程之間的關(guān)系，主要關(guān)注IT的戰(zhàn)術(shù)和運營層面，對IT服務的提供和支持定義了更為詳細和更易理解的過程集。

3.ISO/IEC 17799/27001，是有關(guān)信息安全管理的國際標準。該標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，側(cè)重于強調(diào)信息安全管理體系的有效性、經(jīng)濟性、全面性、普遍性和開放性，涵蓋內(nèi)容非常廣泛。

4.COSO委員會《企業(yè)風險管理――整合框架》和SOX法案（《2002年薩班斯-奧克斯利法案》）。前者是美國COSO委員會提出的內(nèi)部控制理論框架和操作框架，關(guān)注企業(yè)風險管理。從IT角度看，該框架關(guān)于IT對內(nèi)部控制影響的規(guī)范主要體現(xiàn)在“控制活動”和“信息與溝通”要素中。后者對企業(yè)的公司治理、IT治理和IT控制提出了更嚴格的要求。

此外還有PRINCE2（受控環(huán)境下的項目）、CMM1（能力成熟度集成模型）和PMPOK等。PRINCE2重點強調(diào)項目的可控性，明確項目管理中人員、角色的具體職責，同時實現(xiàn)項目管理質(zhì)量的不斷改進。CMM1是一種用于評價軟件組織能力并幫助改善軟件質(zhì)量的方法，已經(jīng)成為評價軟件組織開發(fā)過程的標準，成為軟件組織過程改進的參考依據(jù)。PMPOK主要適用于所有類型的工程項目管理。這些模型從不同的角度對IT治理進行了規(guī)范。

（三）IT內(nèi)部控制

當前對IT控制并沒有較為權(quán)威和統(tǒng)一的定義，處于不同角度（例如外部審計人員和企業(yè)管理人員）對IT控制有著不同的理解，對其應當包含的內(nèi)容和控制目標等的認識也不盡相同。總體來說，早期的IT控制概念來源于審計領(lǐng)域的EDP（電子數(shù)據(jù)處理系統(tǒng)）控制，主要指的是EDP環(huán)境下的會計控制，包括一般控制和應用控制兩個類別。其目標主要是為保證計算機系統(tǒng)處理的數(shù)據(jù)質(zhì)量。這種控制包含兩個層面：一是對信息系統(tǒng)處理數(shù)據(jù)的控制；二是在信息系統(tǒng)中設(shè)計某些內(nèi)部控制措施。隨著IT在企業(yè)中的應用越來越普及，IT控制的概念也逐漸變得更為寬泛，包括了IT在企業(yè)中多種形式的應用，IT控制包含的范圍已超過了EDP控制對會計信息質(zhì)量目標的單純追求，是由期望達到的（IT控制目標）和達到這些目標的方法（控制程序）構(gòu)成，有效的IT控制設(shè)計與實施指明了一個組織將IT條件下的風險降至可接受水平的途徑（孟秀轉(zhuǎn)，2007），IT控制實質(zhì)上是企業(yè)運作過程中涉及IT這部分資產(chǎn)的購入、使用及維護等不同階段的相關(guān)內(nèi)部控制過程（余瑾，2006）。

從上述概念中可以看出，對IT治理不管用何種界定，其內(nèi)容都包括通過有關(guān)責任與權(quán)利的劃分對企業(yè)戰(zhàn)略起到支持作用，從而確保企業(yè)價值最大化的目標。IT控制則是在現(xiàn)有的IT治理環(huán)境下企業(yè)所采取的一列政策、程序和措施的總稱 。IT治理相對IT控制來講，處于基礎(chǔ)地位，是IT控制發(fā)揮作用的先決條件，而IT治理目標的實現(xiàn)又需要IT控制發(fā)揮作用。

二、IT內(nèi)部控制主要內(nèi)容及存在的主要問題

從內(nèi)容上來劃分，IT控制分為一般控制和應用控制，貫穿于整個信息化生命周期內(nèi)，涉及信息化各個領(lǐng)域。

（一）IT內(nèi)部控制的主要內(nèi)容

我國《企業(yè)內(nèi)部控制基本規(guī)范》對信息系統(tǒng)的控制重點體現(xiàn)在組織控制、系統(tǒng)開發(fā)控制、系統(tǒng)操作控制、系統(tǒng)運維控制和會計系統(tǒng)控制等幾方面。

1.組織控制。就IT角度而言，組織控制主要是指職責分離。職責分離包含兩個方面，一是業(yè)務部門與IT部門關(guān)于IT職責的分工，二是IT部門內(nèi)部職責的分工。業(yè)務部門與IT部門的職責分工較為規(guī)范，但IT部門內(nèi)部職責分工則在實際工作中普遍存在一個人同時有好幾個不同權(quán)限的問題，在人手不足的情況下，每個人要參與多項工作，相應的權(quán)限也就較多。

2.系統(tǒng)開發(fā)、變更與運維控制。包括職責分離，確保系統(tǒng)的合規(guī)合法性和可行性，開發(fā)過程的人員控制、系統(tǒng)設(shè)計控制、系統(tǒng)的日常維護和系統(tǒng)功能的改進與擴充等。

3.操作控制。信息系統(tǒng)操作控制的主要內(nèi)容包括操作權(quán)限控制和操作規(guī)程控制兩個方面。

4.硬件管理控制。計算機系統(tǒng)對工作環(huán)境的要求比較高，對系統(tǒng)的自然環(huán)境、作業(yè)環(huán)境都應有嚴格的控制措施，主要應包括計算機系統(tǒng)硬件管理制度。

5.會計信息化及其控制。主要指企業(yè)實現(xiàn)會計信息化后給企業(yè)內(nèi)部控制帶來的新的風險。包括數(shù)據(jù)存儲介質(zhì)變換帶來的風險、操作人員權(quán)限控制不當帶來的錯誤和舞弊的風險、對軟件質(zhì)量過于依賴帶來的風險等。

（二）IT內(nèi)部控制中存在的主要風險

首先，我國企業(yè)和西方企業(yè)所處的政治經(jīng)濟環(huán)境不同，人文背景不同，在信息化建設(shè)上仍然屬于“人治時代”，信息化的隨意性較大。有些企業(yè)雖然已經(jīng)制定了信息化的相關(guān)制度，但整體而言仍然缺少對信息化進行整體規(guī)劃、實施與控制的決策機制和責任擔當框架。信息化成功與否往往在很大程度上取決于企業(yè)高層和董事會對信息化的理解和影響，一旦管理者的個人影響力發(fā)生變化，IT規(guī)劃建設(shè)就會失控，從而導致組織的信息化風險，這是IT治理風險的宏觀體現(xiàn)。

其次，在具體實踐中，企業(yè)信息化水平越來越高，其業(yè)務與財務報告流程對IT的依賴程度也隨之越來越高。一方面財務報告的內(nèi)部控制幾乎離不開IT控制，另一方面即使業(yè)務層面的管理控制也是IT支撐環(huán)境下的控制。但信息技術(shù)是一把雙刃劍，隨著不安全因素的增多，信息安全的潛在風險也越來越大。從技術(shù)層面講，系統(tǒng)缺陷、人為誤操作、系統(tǒng)攻擊等不可預料的各種IT風險逐漸增多；從信息安全架構(gòu)層面講，沒有一個系統(tǒng)化、程序化和文件化的管理體系，就不可能有效防范信息安全風險。企業(yè)在建立安全有效的IT控制方面正面臨著巨大的挑戰(zhàn)，需要重視起來。

三、基于IT治理加強IT內(nèi)部控制的相關(guān)對策

IT系統(tǒng)已經(jīng)不僅僅是企業(yè)日常運營的重要支撐，它同時還是對企業(yè)活動進行控制的重要手段。以具體運營流程為基礎(chǔ)展開的IT控制，直接關(guān)系到日常運營活動的實施效果。事實上，有效的IT控制設(shè)計與實施指明了一個組織將信息技術(shù)條件下的風險降至可接受水平的途徑①。因而，在企業(yè)IT治理機制下加強IT內(nèi)部控制應當是突破口。

（一）從理論層面看，要構(gòu)建企業(yè)IT內(nèi)部控制體系

科學合理的IT控制體系應當具有前瞻性的、全局性的控制機制，能融合防范與應對信息安全、IT治理、IT管理、IT服務、IT應用、IT項目、IT基礎(chǔ)設(shè)施、業(yè)務連續(xù)性、IT外包方面的風險，并能有效地指導組織控制IT風險，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相匹配，促進IT為組織持續(xù)地創(chuàng)造價值，以實現(xiàn)有效益的信息化。應當在充分考慮我國信息化建設(shè)的實際情況下，確定信息系統(tǒng)控制目標，將信息系統(tǒng)項目運作的全部過程置于有效的管理與控制之下，建立適用的、協(xié)同的IT治理標準模式，制定相關(guān)管理指南，提供集成的IT管理，指導我們建立起相應的機制，對處理過程進行有效監(jiān)控，保證有關(guān)企業(yè)信息處理過程的高效、有序。

（二）從企業(yè)信息化建設(shè)角度看，應當由整個企業(yè)來進行IT內(nèi)部控制組織體系的構(gòu)建

企業(yè)應當組建科學合理的多層次內(nèi)部控制組織機構(gòu)，在《企業(yè)內(nèi)部控制規(guī)范》和《企業(yè)內(nèi)部控制配套指引》的規(guī)定下，參照上述第一點理論建設(shè)的國內(nèi)外研究成果，選取適合自身特點的控制流程，建立自己的IT內(nèi)部控制框架并組織實施。

（三）從用戶實踐層面看，針對本文第二部分所提到的幾大內(nèi)容進行具體控制

信息工具的變革帶來了內(nèi)部控制手段的創(chuàng)新，嚴格的職責分離可以有效地避免錯誤和舞弊行為的發(fā)生，如IT部門與業(yè)務部門之間、IT部門內(nèi)部之間、系統(tǒng)開發(fā)部門內(nèi)部等都應有明確的崗位責任。系統(tǒng)開發(fā)環(huán)節(jié)應當注重成本與效益原則，判斷是否具有可行性；加強開發(fā)過程的人員控制、系統(tǒng)設(shè)計控制和文檔控制等。在操作控制方面主要集中在操作權(quán)限控制和操作規(guī)程控制上兩方面。每個崗位的人員只能按照所授予權(quán)限進行作業(yè)，不得越權(quán)接觸系統(tǒng)。權(quán)限控制不僅僅通過規(guī)章制度來執(zhí)行，更重要的是要由系統(tǒng)制定全縣標準體系，使之不被越權(quán)操作，例如用戶身份鑒定、口令設(shè)置、密碼保護、電子簽章等。應用控制方面主要重視輸入控制、處理過程控制、輸出控制等。

建立合理的IT治理架構(gòu)是實現(xiàn)有效IT控制的基礎(chǔ)，IT治理為IT控制提供了制度環(huán)境；而IT控制的有效性又直接反映了IT治理的成效。企業(yè)只有在建立了完整的IT規(guī)范、有了明確的方向基礎(chǔ)上，IT控制才能達到高層管理者的要求。反之，沒有企業(yè)IT控制體系的暢通，單純的IT治理模式也只能是一個美好的藍圖，而缺乏實際的內(nèi)容。

內(nèi)部控制體系建設(shè)是一個長期的過程，其中IT內(nèi)部控制更是由于對硬件環(huán)境、軟件環(huán)境、工作人員素質(zhì)等方面有較高要求而面臨很多困難，還需要董事會、高管層和企業(yè)全體員工共同努力，才能真正落實和貫徹。

【主要參考文獻】

［1］ ITGI. Control Objective for Information and Related Technology （COBIT） 3rd Edition ［Z］. America， 2000.

［2］ ROBERT SROUSSEY. Challenges Facing the Profession Information Technology［J］. Enterprise Innovation& Risk， 2003（5）： 26-27.

［3］ PETER WEILL， JEANNE W ROSS. IT Governance on One Page. CISR Working Paper， ssrn. com， 2004.

［4］ 陶黎娟.IT環(huán)境下我國財務報告內(nèi)部控制研究［D］.廈門大學博士論文，2009：68.

第7篇：企業(yè)信息安全治理范文

住房和城鄉(xiāng)建設(shè)部于2011年就建筑業(yè)信息化的建設(shè)明確提出:深入貫徹落實科學發(fā)展觀，堅持自主創(chuàng)新、重點跨越、支撐發(fā)展、引領(lǐng)未來的方針，高度重視信息化對建筑業(yè)發(fā)展的推動作用，通過統(tǒng)籌規(guī)劃、政策導向，進一步加強建筑企業(yè)信息化建設(shè)，不斷提高信息技術(shù)應用水平，促進建筑業(yè)技術(shù)進步和管理水平提升。《我國國民經(jīng)濟和社會十二五規(guī)劃綱要》進一步強調(diào)在我國“推動信息化和工業(yè)化的深度融合，推進經(jīng)濟社會各領(lǐng)域信息化”。從“帶動”到“促進”;從“融合”到“深度融合”，充分表明我國信息化的發(fā)展戰(zhàn)略地位和重要作用正日益受到空前的重視。我國“十五”“十一五”推動社會和企業(yè)信息化的實踐也充分證明，大力實施信息化是提升企業(yè)核心競爭力，實現(xiàn)企業(yè)管理現(xiàn)代化，推動行業(yè)持續(xù)、健康發(fā)展的重要手段。工程建設(shè)行業(yè)作為國民經(jīng)濟的支柱產(chǎn)業(yè)之一，信息化建設(shè)的水平不僅體現(xiàn)了行業(yè)科技進步的水平，同時也反映了行業(yè)的綜合水平和實力。為加快推進建筑業(yè)信息化建設(shè)，促進建筑企業(yè)科學發(fā)展，做好做強做大，提高企業(yè)的核心競爭力，結(jié)合行業(yè)和企業(yè)實際，在“十一五”建筑企業(yè)信息化取得長足發(fā)展的基礎(chǔ)上，“十二五”期間建筑企業(yè)的信息化建設(shè)模式和重點，要從以下幾個方面進行統(tǒng)籌規(guī)劃，以實現(xiàn)建筑企業(yè)信息化的快速發(fā)展。

1“十一五”企業(yè)信息化發(fā)展現(xiàn)狀

“十一五”期間，我國建筑企業(yè)緊緊圍繞工程建設(shè)行業(yè)的發(fā)展特點、企業(yè)發(fā)展戰(zhàn)略和核心業(yè)務，堅持“政府引導、市場推進、企業(yè)主導”和“做有效益的信息化”的原則，有計劃、有步驟地開展企業(yè)信息化建設(shè)，建筑企業(yè)信息化工作取得了明顯成效。(1)據(jù)有關(guān)抽樣調(diào)查報告顯示，“十一五”期間我國建筑企業(yè)在企業(yè)戰(zhàn)略信息化方面有較快的發(fā)展和推進。其中采用企業(yè)戰(zhàn)略實施控制的占抽樣樣本的58.8%，采用績效管理信息化的占抽樣樣本的76.5%，采用全面預算管理信息化的占抽樣樣本的65%等。雖然抽樣樣本的數(shù)量不能覆蓋全部建筑企業(yè)，但也從另一方面反映出我國一些管理水平高、綜合實力強的建筑企業(yè)，通過狠抓應用，強調(diào)效果，積極開發(fā)具有自主知識產(chǎn)權(quán)的應用軟件系統(tǒng)，建筑信息化建設(shè)取得了新進展和突破，為企業(yè)的可持續(xù)性發(fā)展奠定了較好的基礎(chǔ)。(2)“十一五”期間，住房和城鄉(xiāng)建設(shè)部為了推動建筑企業(yè)的信息化建設(shè)，開展了相關(guān)課題的研究工作和不同類型企業(yè)信息化的示范。1)完成了涉及建筑業(yè)信息化發(fā)展的10項標準規(guī)范研究成果，涉及標準體系、標準術(shù)語、電子政務、施工、監(jiān)理、企業(yè)信息化、基礎(chǔ)數(shù)據(jù)、產(chǎn)品分類等;2)信息技術(shù)應用領(lǐng)域有較快的發(fā)展，如:有7個企業(yè)建設(shè)了BIM示范應用項目;有20個企業(yè)實施了設(shè)計和施工一體化平臺建設(shè)示范應用項目;工程項目協(xié)同管理信息化有20個企業(yè)參與示范應用;建筑企業(yè)管理信息，包括知識管理、企業(yè)戰(zhàn)略實施控制(企業(yè)全面預算管理)等，在50個企業(yè)中等到實際的示范應用;還有其他內(nèi)容的信息化項目在10個企業(yè)中建設(shè)并投入應用。雖然“十一五”期間，建筑企業(yè)信息化的建設(shè)取得了一定的成效，但從整體上看，建筑企業(yè)信息化建設(shè)不管是從規(guī)模上還是從數(shù)量上，不管是應用范圍和還是應用深度上，都存在很大的差距和擴展的空間以及發(fā)展的潛力，這也預示著“十二五”期間建筑企業(yè)信息化建設(shè)任重而道遠。

2“十二五”企業(yè)信息化建設(shè)的指導思想與發(fā)展目標

(1)指導思想1)培育良好的信息化應用環(huán)境。以各種方式促進、提高建筑企業(yè)管理者，對信息化建設(shè)的認識和管理水平，逐步建立信息化建設(shè)市場競爭機制和企業(yè)信息化水平評價引導機制，促進提升信息化建設(shè)依托和服務平臺的水平，采用典型示范與普及推廣相結(jié)合，重點突破與整體推進相結(jié)合，營造出企業(yè)信息化建設(shè)環(huán)境，形成全行業(yè)、企業(yè)協(xié)同推進，企業(yè)應用信息技術(shù)互動發(fā)展的新格局。2)以應用促發(fā)展。結(jié)合國家和行業(yè)發(fā)展需要，聯(lián)系本企業(yè)的實際情況，以支持企業(yè)防范風險，實現(xiàn)企業(yè)戰(zhàn)略目標為目的，應用信息技術(shù)，促進企業(yè)健康發(fā)展，走科學、簡便實用，且能提升企業(yè)核心競爭力的信息化建設(shè)道路。3)狠抓應用效果。以科學發(fā)展企業(yè)統(tǒng)領(lǐng)全局，以管理創(chuàng)新、組織創(chuàng)新和制度創(chuàng)新為動力，以轉(zhuǎn)型升級和做好做強做大主業(yè)為中心任務，積極研究、開發(fā)、推廣和應用信息技術(shù)。4)創(chuàng)價值見成效。在原有信息化建設(shè)成果的基礎(chǔ)上，以充分利用信息資源，提高企業(yè)工作效率和能力為目標，深化應用效果和領(lǐng)域，讓企業(yè)信息化建設(shè)創(chuàng)價值、見成效。(2)發(fā)展目標未來，建筑企業(yè)信息化的建設(shè)和推進，應實現(xiàn)如下努力目標:1)以行業(yè)或?qū)I(yè)領(lǐng)域為主，基本建立與信息系統(tǒng)集成、共享、協(xié)同應用有關(guān)的關(guān)鍵信息技術(shù)標準規(guī)范，以及企業(yè)信息化水平評價引導機制。2)大型、集團型企業(yè)，繼續(xù)以企業(yè)管理標準化為抓手，要在信息化基礎(chǔ)設(shè)施建設(shè)、信息安全建設(shè)、企業(yè)風險防范和主營業(yè)務信息化建設(shè)方面，形成一批達到或接近同行業(yè)的世界先進水平的企業(yè)。3)企業(yè)管理和信息化建設(shè)水平較高的企業(yè)，要在企業(yè)管理標準化的基礎(chǔ)上，完成支撐企業(yè)發(fā)展戰(zhàn)略的核心業(yè)務的信息化建設(shè)工作，形成一批達到宣傳有窗口、溝通有平臺、核心業(yè)務處理有系統(tǒng)的國內(nèi)先進水平的企業(yè)。4)中小企業(yè)信息化建設(shè)，要在不斷引進新的管理理念和管理模式，注重投資與成效平衡的基礎(chǔ)上，加快信息化建設(shè)步伐，保證企業(yè)滿足快速發(fā)展的現(xiàn)代市場競爭的需要。5)全面調(diào)查研究，總結(jié)一些有代表性的、不同企業(yè)規(guī)模、不同類型、不同層次的且應用成效好的企業(yè)管理信息系統(tǒng)和優(yōu)秀個人，建立信息化標桿，并加大標桿示范的推廣應用。6)深化工具軟件的研究、開發(fā)和應用，力爭在虛擬施工、設(shè)計施工管理一體化以及工程生命期質(zhì)量安全遠程協(xié)同監(jiān)控與管理等方面有所突破，基本形成軟件產(chǎn)品或半成品。

3“十二五”企業(yè)信息化建設(shè)的基本思路

(1)企業(yè)是應用的主體。建筑企業(yè)應站在企業(yè)發(fā)展戰(zhàn)略的高度，深刻理解和充分發(fā)揮信息化技術(shù)對企業(yè)可持續(xù)發(fā)展的支撐作用。正確處理企業(yè)改革發(fā)展與信息化建設(shè)的關(guān)系，結(jié)合企業(yè)自身發(fā)展的不同階段、管理模式、面臨的風險和所具備的資源，選擇不同的信息化發(fā)展道路、技術(shù)路線和建設(shè)內(nèi)容。(2)機制建設(shè)是保證。國家和行業(yè)主管部門應站在建筑市場發(fā)展環(huán)境的高度，對參與建筑企業(yè)信息化建設(shè)的主體，建立有效的監(jiān)管機制，有關(guān)建筑企業(yè)信息化建設(shè)的指導意見和應用績效評價引導機制。采用各種有效的方式，統(tǒng)籌規(guī)劃，大力推進和指導企業(yè)信息化的建設(shè)。企業(yè)也應根據(jù)自身的特點和外部環(huán)境，建立企業(yè)信息化建設(shè)的保障機制或信息化治理機制。(3)正確的技術(shù)路線是保障。建筑企業(yè)要在經(jīng)營、管理、技術(shù)創(chuàng)新中充分發(fā)揮信息技術(shù)的作用，特別是在管理模式創(chuàng)新、業(yè)務模式創(chuàng)新、流程優(yōu)化設(shè)計等方面有效地采用具有自主知識產(chǎn)權(quán)的國產(chǎn)軟硬件產(chǎn)品和服務，大力推進集成應用技術(shù)，提升企業(yè)自主創(chuàng)新的能力。采用正確的技術(shù)路線，建立基于基礎(chǔ)數(shù)據(jù)元共享的信息交流平臺和企業(yè)級信息資源數(shù)據(jù)庫，實現(xiàn)數(shù)據(jù)資源的共享，達到真正意義上的協(xié)同工作和管理;另外，還要不斷提高信息安全的綜合防護和信息系統(tǒng)安全運行能力。(4)服務企業(yè)決策是目的。實現(xiàn)業(yè)務模式創(chuàng)新和管理模式創(chuàng)新，應作為企業(yè)信息化建設(shè)工作的重要抓手和切入點。建筑企業(yè)信息化建設(shè)要立足于企業(yè)實際需要，進行“高層”設(shè)計，“底層”探索，建設(shè)能服務于企業(yè)決策、協(xié)調(diào)配置資源和支持企業(yè)業(yè)務發(fā)展的應用信息系統(tǒng)。(5)應用效果是根本。要圍繞企業(yè)發(fā)展戰(zhàn)略和主營業(yè)務，以防范風險、降低成本、提高工作效率和管理效益為根本，積極探索有效的信息化發(fā)展模式，制定企業(yè)中長期信息化建設(shè)規(guī)劃，加強標準化建設(shè)，確保信息系統(tǒng)建成后，可應用、見成效。

4“十二五”企業(yè)信息化建設(shè)的主要內(nèi)容

首先，建筑企業(yè)要緊緊圍繞行業(yè)特點、公司發(fā)展戰(zhàn)略目標和企業(yè)實際情況，制定科學的、可行的、合理的企業(yè)信息化建設(shè)規(guī)劃和項目計劃，機構(gòu)、人員和資金落實到位。其次，要注重建設(shè)與應用并舉，著力提高現(xiàn)有應用系統(tǒng)的集成水平，及時解決應用中出現(xiàn)的新情況、新問題，加快應用系統(tǒng)的完善升級。加大對信息技術(shù)應用的培訓力度，扎實推進系統(tǒng)深化應用工作，進一步提高信息化的價值。再次，建筑企業(yè)開展信息化建設(shè)過程中，要積極打造一體化的信息技術(shù)管控平臺，加快建設(shè)支撐提升企業(yè)核心競爭能力的應用信息系統(tǒng)。在管理層面要建立保證企業(yè)發(fā)展戰(zhàn)略“落地”、科學決策和資源協(xié)調(diào)優(yōu)化配置的應用信息系統(tǒng);在業(yè)務層面要建立崗位職責明晰、流程規(guī)范、業(yè)務過程可追溯、風險可掌控的應用信息系統(tǒng)。在信息技術(shù)管控平臺方面，企業(yè)要統(tǒng)一系統(tǒng)規(guī)劃、統(tǒng)一技術(shù)平臺、數(shù)據(jù)標準和數(shù)據(jù)接口機制。其中，信息系統(tǒng)的建設(shè)要在以下幾個方面有所創(chuàng)新和突破:(1)業(yè)務財務集成應用。建設(shè)以業(yè)務處理為基礎(chǔ)，合同、預算計劃管理為依據(jù)，成本、風險管控為目的，重點解決企業(yè)資金收支監(jiān)控、執(zhí)行與過程可追溯的應用信息系統(tǒng)。(2)工程項目質(zhì)量安全保證與監(jiān)測。通過對建設(shè)工程項目的主材賦予“電子身份證”，混凝土中植入芯片，記錄施工過程以及實施、監(jiān)督和驗收人員，重點解決工程質(zhì)量安全監(jiān)測，為工程項目安全使用和維護提供科學數(shù)據(jù)。(3)工程項目設(shè)計與施工管理集成應用。建立工程項目設(shè)計三維模型數(shù)據(jù)庫，重點解決優(yōu)化設(shè)計、虛擬施工，為施工管理提供原型數(shù)據(jù)，尤其是工程量計算、施工進度管理、采購管理(物資、分包)、合同管理、成本管理等。(4)基于標準化管理的工程項目管理系統(tǒng)。確立項目管理思想和模型，以施工預算為基礎(chǔ)，優(yōu)化設(shè)計項目管理流程，制定建設(shè)工程項目管理信息化標準，重點解決工程項目管理信息系統(tǒng)的有效應用和移動應用。(5)建立電子采購平臺。建立能滿足企業(yè)相關(guān)組織、項目部、供應商、評標專家，協(xié)同工作的采購平臺，滿足采購相關(guān)方的信息溝通、評審定標、簽訂合同、合同執(zhí)行監(jiān)控、支付與績效管理等。(6)進一步完善和建立一批能提高企業(yè)工作效率和管理水平的工具軟件。根據(jù)技術(shù)和企業(yè)信息化發(fā)展的需要，應在以下幾個方面推動有關(guān)信息技術(shù)在建筑企業(yè)中的應用。一是通過建立或采用移動互聯(lián)網(wǎng)，建立企業(yè)資源協(xié)調(diào)調(diào)度系統(tǒng)(EIM)，掌握生產(chǎn)要素需求，及時協(xié)調(diào)企業(yè)生產(chǎn)要素。二是建立項目管理及移動業(yè)務處理溝通平臺，實現(xiàn)信息和有關(guān)數(shù)據(jù)的快速移動和交換。三是研發(fā)企業(yè)知識管理系統(tǒng)，及時采集企業(yè)管理知識和生產(chǎn)知識，加強企業(yè)知識積累、傳播和應用能力。(7)注重安全體系和標準體系的建設(shè)。建筑企業(yè)信息化建設(shè)從規(guī)劃到實施和應用維護各個階段，都要強化安全意識，從物理安全、系統(tǒng)運行安全、信息安全和制度四個方面全面建設(shè)企業(yè)信息安全體系，全面提高信息安全防護水平，為企業(yè)信息化穩(wěn)定應用提供保證。同時，建筑企業(yè)信息化要加強信息化技術(shù)標準和管理規(guī)范建設(shè)。遵循國家標準和國際標準，加快制訂符合行業(yè)、企業(yè)自身特點的標準規(guī)范，保障數(shù)據(jù)共享和應用系統(tǒng)集成。

第8篇：企業(yè)信息安全治理范文

關(guān)鍵詞：電力；信息系統(tǒng)；數(shù)據(jù)；安全防護

引言

隨著我國信息化技術(shù)與管理水平的不斷發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)得以廣泛應用。對于電力企業(yè)來說，信息化項目已經(jīng)在安全生產(chǎn)、成本控制、節(jié)能減排等方面發(fā)揮積極作用，實現(xiàn)經(jīng)濟效益與社會效益。因此，電力企業(yè)越來越依賴信息化管理手段，但是隨之而來的信息化項目風險問題已不容忽視，只有提高電力企業(yè)信息系統(tǒng)的安全性，才能確保電力企業(yè)的長久、穩(wěn)定發(fā)展，實現(xiàn)供電可靠性目標。

一、電力信息系統(tǒng)的安全需求

1. 電力信息系統(tǒng)安全問題及威脅

從目前情況分析，電力信息系統(tǒng)存在的主要問題包括兩個方面：一是普遍缺乏統(tǒng)一的安全管理體系和安全規(guī)劃，缺乏統(tǒng)一的規(guī)章制度和安全策略；二是缺乏完整的技術(shù)防護體系，目前各電力信息系統(tǒng)己經(jīng)采用了一些安全防護措施，但是相對于日益復雜多變的信息安全形勢，安全措施的采用還是不足的，存在嚴重的風險和安全威脅。從技術(shù)方面上分析，電力信息系統(tǒng)所面臨的安全威脅可分為以下兩種：

（1）對網(wǎng)絡(luò)中各類設(shè)備的威脅；這類威脅對網(wǎng)絡(luò)設(shè)備、計算機設(shè)備、工業(yè)控制設(shè)備進行遠程控制、非法使用甚至破壞，使設(shè)備不能按正常工作、拒絕服務或者被植入后門，導致電力系統(tǒng)正常業(yè)務出現(xiàn)錯誤甚至中斷。造成這類威脅的原因主要包括網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計不合理，設(shè)備存在安全漏洞、病毒的侵害以及人員的惡意攻擊等。

（2）對電力系統(tǒng)中的數(shù)據(jù)進行威脅，出現(xiàn)數(shù)據(jù)被截取、篡改或者破壞。對數(shù)據(jù)的威脅可能存在于數(shù)據(jù)的存儲、處理和傳輸整個過程中，這類威脅的原因主要包括人員的非授權(quán)訪問，操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)或者應用系統(tǒng)設(shè)計缺陷造成信息泄露、人員的惡意攻擊，管理人員的素質(zhì)風險等。從信息安全發(fā)展趨勢來看，信息安全防護的核心都將歸終于數(shù)據(jù)安全，因此對于電力行業(yè)而言，保護電力數(shù)據(jù)安全是電力信息安全核心內(nèi)容。

2. 電力信息系統(tǒng)數(shù)據(jù)安全

電力信息系統(tǒng)面向電力企業(yè)，按照應用領(lǐng)域不同，可以分為三類：生產(chǎn)控制系統(tǒng)、行政管理系統(tǒng)和市場營銷系統(tǒng)，其數(shù)據(jù)內(nèi)容按照領(lǐng)域可以分為與生產(chǎn)過程相關(guān)的數(shù)據(jù)、辦公數(shù)據(jù)以及市場營銷方面的數(shù)據(jù)。電力信息系統(tǒng)數(shù)據(jù)安全隱患主要體現(xiàn)在數(shù)據(jù)存儲、傳輸?shù)陌踩院驼鎸嵭陨希ǔｋ娏π畔⑾到y(tǒng)數(shù)據(jù)安全至少需要解決以下問題：

（1）保證電力數(shù)據(jù)的完整性，以防止電力系統(tǒng)各類數(shù)據(jù)不被修改；

（2）保證電力敏感數(shù)據(jù)的保密性，例如：電力系統(tǒng)中的供電信息在傳輸途中不被非法截獲；

（3）保障電力數(shù)據(jù)的可用性：保證電力各類數(shù)據(jù)能夠被授權(quán)人員訪問。在實際電力信息系統(tǒng)應用環(huán)境中，電力系統(tǒng)將電力設(shè)備、業(yè)務應用軟件、計算機設(shè)備在網(wǎng)絡(luò)環(huán)境下組成一個有機整體，電力系統(tǒng)的數(shù)據(jù)安全防護不可能依靠某種單一的安全技術(shù)就能得到解決，必須在綜合分析電力系統(tǒng)整體安全需求的基礎(chǔ)上構(gòu)筑一個完整的數(shù)據(jù)安全服務體系。

二、電力信息系統(tǒng)數(shù)據(jù)安全防護策略

數(shù)據(jù)安全是電力信息系統(tǒng)安全的焦點，如何確保數(shù)據(jù)安全，成為數(shù)據(jù)管理上的難點和關(guān)鍵點。電力信息系統(tǒng)數(shù)據(jù)安全面向具體行業(yè)，實現(xiàn)安全目標應以密碼學、訪問控制、網(wǎng)絡(luò)安全等信息安全的理論和方法為基礎(chǔ)，建立相應的數(shù)據(jù)安全防護策略，其目的是為了解決電力部門如何保護自己的數(shù)據(jù)的安全性、完整性和可用性。確保電力企業(yè)數(shù)據(jù)安全不是簡單的設(shè)置防火墻、安裝殺毒軟件、使用最新的補丁程序修補最近發(fā)生的漏洞或者進行數(shù)據(jù)備份等，而是一個系統(tǒng)的、動態(tài)的過程，也是一個與時俱進的過程。

1. 加強數(shù)據(jù)存儲環(huán)境的安全

電力行業(yè)數(shù)據(jù)通常存在于各類業(yè)務系統(tǒng)中，這些系統(tǒng)數(shù)據(jù)的存儲環(huán)境主要包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。操作系統(tǒng)是連接計算機硬件與上層軟件之間用戶的橋梁，操作系統(tǒng)的安全性是至關(guān)重要的，為了減少操作系統(tǒng)的安全漏洞或隱患，需要對操作系統(tǒng)予以合理配置、管理和監(jiān)控；在數(shù)據(jù)庫系統(tǒng)中，電力行業(yè)所涉及的數(shù)據(jù)庫密級更高、實時性更強，因此有必要根據(jù)其特殊性完善安全策略，保證數(shù)據(jù)庫中的數(shù)據(jù)不會被有意的攻擊或無意的破壞，不會發(fā)生數(shù)據(jù)的外泄、丟失和毀損，即實現(xiàn)了數(shù)據(jù)庫系統(tǒng)安全的完整性、保密性和可用性。

2. 對敏感數(shù)據(jù)本身進行防護

對于電力行業(yè)部門，各類操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)提供的安全控制措施只能滿足一般的數(shù)據(jù)庫應用，而難以完全保證其數(shù)據(jù)的安全性。當前基于內(nèi)網(wǎng)安全、終端安全和數(shù)據(jù)安全的方式在不同程度上對各類數(shù)據(jù)進行了保護，但對于敏感的數(shù)據(jù)內(nèi)容，需要采用對加密的方式對數(shù)據(jù)進行保護，同時要對數(shù)據(jù)本身及其運行支持系統(tǒng)進行備份和對數(shù)據(jù)運行的硬件環(huán)境進行備份。

3. 加強數(shù)據(jù)交換的安全設(shè)計

針對數(shù)據(jù)交換過程中數(shù)據(jù)完整性、數(shù)據(jù)保密性、不可抵賴性等問題，需要采用身份認證、數(shù)據(jù)傳輸?shù)亩说蕉思用堋⒕€路加密以及更強的應用層協(xié)議進行綜合防護。實現(xiàn)對用戶的統(tǒng)一

管理，統(tǒng)一授權(quán)，防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源，實現(xiàn)對發(fā)送的數(shù)據(jù)自動加密，作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，采用VPN 等手段對線路加密，以及采用更強的應用層協(xié)議對數(shù)據(jù)包進行深入分析，按照特征數(shù)據(jù)進行匹配跟蹤，并可以通過終止所跟蹤的可疑會話來實時檢測和阻止各種非法攻擊對網(wǎng)絡(luò)的入侵。

三、電力信息系統(tǒng)的數(shù)據(jù)安全防護體系

當前，隨著電力行業(yè)信息化的快速發(fā)展，云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新技術(shù)也逐漸應用到電力行業(yè)，電力系統(tǒng)承載的數(shù)據(jù)內(nèi)容呈幾何級數(shù)增長，如何保障這些數(shù)據(jù)的安全成為電力系統(tǒng)必須面對的重要問題。

1. 電力信息系統(tǒng)數(shù)據(jù)安全體系

通過分析影響電力信息系統(tǒng)數(shù)據(jù)安全的因素，從數(shù)據(jù)安全評估、數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全管理體系等方面構(gòu)建電力系統(tǒng)數(shù)據(jù)安全防護體系框架。其中在數(shù)據(jù)安全技術(shù)體系中，與數(shù)據(jù)安全密切相關(guān)的技術(shù)主要包括數(shù)據(jù)中心建設(shè)、數(shù)據(jù)加解密技術(shù)以及對數(shù)據(jù)資源的訪問控制技術(shù)等內(nèi)容，本文重點分析這三方面的技術(shù)內(nèi)容。

2. 電力信息系統(tǒng)數(shù)據(jù)存儲環(huán)境建設(shè)

保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個信息系統(tǒng)安全的前提，對于電力系統(tǒng)數(shù)據(jù)而言，電力系統(tǒng)數(shù)據(jù)存儲環(huán)境建設(shè)是保障數(shù)據(jù)物理安全的前提，必須首先研究存儲環(huán)境安全技術(shù)，再保障硬件系統(tǒng)的安全，進一步保證硬件上運行的操作系統(tǒng)安全，最終實現(xiàn)數(shù)據(jù)的安全。電力系統(tǒng)數(shù)據(jù)存儲宜采用數(shù)據(jù)中心存儲方式進行，通過對重要系統(tǒng)數(shù)據(jù)進行集中管理，可以保障數(shù)據(jù)環(huán)境的物理安全，數(shù)據(jù)中心通過系統(tǒng)硬件支撐平臺的虛擬化，統(tǒng)一共享軟硬件基礎(chǔ)設(shè)施，實現(xiàn)信息資源的充分共享，通過整合、優(yōu)化基礎(chǔ)設(shè)施，采用服務器集群、服務器動態(tài)負荷均衡、網(wǎng)絡(luò)存儲整合和虛擬化等國際前沿信息技術(shù)，形成靈活的 IT 硬件基礎(chǔ)架構(gòu)。在建設(shè)方面，可按照電力行業(yè)級別分別建立不同級別的數(shù)據(jù)中心，形成全面的以數(shù)據(jù)層面為基礎(chǔ)，面向各級信息系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)、系統(tǒng)、主機、數(shù)據(jù)自上而下的全面的信息安全體系，促進企業(yè)信息安全保障水平，保障電力企業(yè)的業(yè)務信息安全和系統(tǒng)服務安全，促進電力企業(yè)信息化建設(shè) IT 基礎(chǔ)架構(gòu)靈活化、存儲管理集中化、數(shù)據(jù)備份自動化、數(shù)據(jù)管理全面化、信息安全一體化的發(fā)展。同時對數(shù)據(jù)中心應進行嚴格管理，配備防盜、防火、防水等設(shè)施，應當安裝監(jiān)控系統(tǒng)、監(jiān)控報警裝置等。建立嚴格的設(shè)備運行日志，記錄設(shè)備運行狀況。要規(guī)范操作規(guī)程，確保計算機系統(tǒng)的安全、可靠運行。

3. 電力信息系統(tǒng)數(shù)據(jù)加解密技術(shù)

信息加密是一種行之有效的技術(shù)保護措施，是一種主動的防衛(wèi)措施。通過某種加密算法將數(shù)據(jù)變換成只有經(jīng)過密鑰后才可讀的密碼來加以保護。信息加密包括兩方面的要求，一個是對數(shù)據(jù)保密性要求，使未經(jīng)授權(quán)的非法訪問即使得到數(shù)據(jù)也難以解密 ； 另一個是對通信保密性要求，防止用戶通信數(shù)據(jù)篡改、通信數(shù)據(jù)插入、通信數(shù)據(jù)重用等非法操作。現(xiàn)代密碼算法不僅可以實現(xiàn)加密，還可實現(xiàn)數(shù)字簽名、鑒別等功能，有效地對抗截取、非法訪問、破壞數(shù)據(jù)的完整性、冒充、抵賴、重演等威脅，因此密碼技術(shù)是數(shù)據(jù)安全的核心技術(shù)之一。常見的數(shù)據(jù)加密算法有 DES 算法、RSA 算法、IDEA 算法、DSA 算法等。

4. 電力信息系統(tǒng)身份認證體系構(gòu)建

對數(shù)據(jù)安全、可靠、有效地存取是數(shù)據(jù)安全的關(guān)鍵，身份認證技術(shù)是主要的實現(xiàn)手段，用戶認證目的是驗證用戶身份、訪問請求的合法性，可有效地防止冒充和非法訪問等威脅。對電力行業(yè)而言，由于組織機構(gòu)相對比較嚴密，分層明確，可以考慮采用公鑰基礎(chǔ)設(shè)施 （PKI：Public Key Infrastructure） 構(gòu)建身份認證體系，建立電力系統(tǒng)的網(wǎng)絡(luò)信任機制，并通過數(shù)字證書的方式為每個合法的電力用戶提供一個合法身份的證明。PKI 從技術(shù)上解決了電力網(wǎng)絡(luò)上的身份認證、信息完整性和抗抵賴等安全問題，在保障電力應用系統(tǒng)的認證性、機密性、完整性、不可否認性中發(fā)揮著重要作用。電力行業(yè) PKI 由于行業(yè)需求，一般為適應不同級別信息安全的需要，CA 證書間需要相互交叉驗證。但交叉認證易造成信任鏈混亂，對于具有大量職員的電力行業(yè)，必須采取措施，嚴格管理交叉認證，根據(jù) CA 認證關(guān)系圖應能明確判斷出各行為主體間的相互關(guān)系。

四、結(jié)語

數(shù)據(jù)安全作為電力信息系統(tǒng)中的核心資產(chǎn)，具有重要的地位，必須采用強有力的措施保證其安全性，確保能為用戶提供更為精細的服務，但信息安全是動態(tài)的、整體的，安全總會隨著用戶網(wǎng)絡(luò)現(xiàn)況的變化而變化，電力系統(tǒng)完整的安全解決方案還必須包括長期的、與項目相關(guān)的信息安全服務，必須建立健全信息安全組織保證體系、各種安全管理制度和培訓機制，進行動態(tài)的安全評估，及時發(fā)現(xiàn)信息系統(tǒng)中最新的安全網(wǎng)絡(luò)，并采取風險控制措施，不斷完善信息安全體系的建設(shè)。

參考文獻

[1] 閃蘭魁 . 電力企業(yè)信息化建設(shè)中 IT 治理的研究 [D]. 華北電力大學（北京）：項目管理，2007

[2] 向家國 . 電力企業(yè)網(wǎng)絡(luò)信息的安全體系架構(gòu)與防范制度研究 [J].科技展望，2010（9）

第9篇：企業(yè)信息安全治理范文

關(guān)鍵詞：電力系統(tǒng)；信息安全；管理系統(tǒng)

DOI：10.16640/j.cnki.37-1222/t.2018.09.159

0引言

伴隨著網(wǎng)絡(luò)化對于社會的影響，電力系統(tǒng)管理中自動化技術(shù)安全管理的系統(tǒng)建設(shè)工作重要性不斷提高，同時也是優(yōu)化與改進電力系統(tǒng)信息安全技術(shù)的多項措施，電力信息的安全管理標準屬于信息的安全管理基本標準、需求以及準則，是提高管理效果的基本措施，其中最為重要的便是構(gòu)建一個關(guān)于電力系統(tǒng)的自動化技術(shù)安全管理。對此，探討電力系統(tǒng)自動化技術(shù)安全管理具備顯著現(xiàn)實意義。

1電力系統(tǒng)信息安全管理目標

強化與規(guī)范電力系統(tǒng)的網(wǎng)路安全行以及自動化管理效果，并保障自動化管理系統(tǒng)的整體穩(wěn)定性、持續(xù)性、可靠性以及保障信息內(nèi)容的完整性、可用性以及機密性，預防因為自動化管理系統(tǒng)本身的漏洞、故障而導致自動化管理系統(tǒng)無法正常的運行，在病毒、黑客以及多種惡意代碼的影響攻擊時及時起到行之有效的管理保護，對自動化管理系統(tǒng)內(nèi)部的信息安全性實現(xiàn)較高的管理效果，預防信息內(nèi)容和數(shù)據(jù)的丟失，預防有害信息在網(wǎng)絡(luò)當中的傳播，從而提高企業(yè)信息的整體管理效果[1]。

2自動化技術(shù)安全管理建設(shè)內(nèi)容

2.1管理系統(tǒng)安全監(jiān)測與風險評估管理

信息管理系統(tǒng)的建設(shè)必然需要管理部門的高度重視，要求管理部門以年度作為單位，對信息化的項目實行全面性、綜合性的管理，并在每一年的綜合計劃實行之后，制定這一整年在相關(guān)工作方面的創(chuàng)新計劃，保障系統(tǒng)在正式上線之前便可以有效的滿足整個系統(tǒng)在安全方面的需求[2]。采用的系統(tǒng)在建設(shè)完成之后的1個月之內(nèi)，必須根據(jù)相應的“上下線管理辦法”實行申請，并通過信息管理部門專職人員進行上線申請，組織應用的系統(tǒng)專職和業(yè)務主管部門根據(jù)相應的標準或指南對系統(tǒng)進行安全性的評估，同時需要將評估的結(jié)果博鰲高發(fā)放到業(yè)務部門中。對于系統(tǒng)中存在的不足，業(yè)務部門在接收到報告之后需要在短時間內(nèi)進行改進，并在改進之后進行復查，確保其可以滿足上線要求。

2.2信息安全專項檢查與治理

信息管理部門在管理方面的具體實施必然是借助專職人員而實現(xiàn)，在每一年的年初均需要根據(jù)企業(yè)的實際情況具體的檢查計劃以及年度性的檢查目標，檢查的具體內(nèi)容必須按照企業(yè)中每一個部門的工作特性而決定，例如網(wǎng)絡(luò)設(shè)備的安全性、終端設(shè)備的穩(wěn)定性以及系統(tǒng)版本的及時更新等[3]。對于重大隱患而言，信息安全管理人員需要及時錄入到系統(tǒng)當中，并組織制定重大隱患的安全防治計劃，各個部門需要在接收到反饋之后及時對問題提出整治方案，并在限期內(nèi)處理。信息管理部門的安全專職人員需要對隱患庫當中所存在的隱患進行跟蹤性治理，并組織相應人員進行復查，對于沒有及時按期整改的部門，信息安全專職人員需要在短時間內(nèi)上報給信息負責人，并由人力資源部門對其進行績效考核。每一個部門的信息安全專職人員需要根據(jù)計劃組織該部門的人員制定相應預案，每一份預案在制定之后需要在5天之內(nèi)交到本部門負責人審批，并在審批通過之后上報信息管理部門。

2.3安全事件統(tǒng)計、調(diào)查及組裝整改

信息管理部門的安全專職人員必須在每一個月月初時對基層部門的信息安全事件進行統(tǒng)計分析。每一個系統(tǒng)的安全管理人員需要根據(jù)部門所發(fā)生的安全事件實行記錄記錄，并根據(jù)發(fā)生問題的原因進行針對性的分析，每一個月以書面的形式將所記錄的內(nèi)容提供給管理部門，由管理部門實現(xiàn)工作狀況的改進與完善。如果后續(xù)查出存在漏報現(xiàn)象，則需要由人力資源部門進行績效考核。在發(fā)生安全事件之后，需要在5個工作日之內(nèi)對事件進行分析、統(tǒng)計并上報，調(diào)查過程中必須根據(jù)事故調(diào)查和統(tǒng)計的相關(guān)規(guī)定執(zhí)行，及時分析問題發(fā)生的主要原因，并堅持“四不放”的基本原則，在調(diào)查之后編制事件的調(diào)查報告，調(diào)查與分析完成之后需要組織相關(guān)人員落實具體的整改改進措施，信息安全事件的每一項調(diào)查任務都必須嚴格根據(jù)電力企業(yè)的通報制度進行，務必保障每一個行為的合理性。

3評估與改進

借助開展提高管理與標準理念以及管理標準，明確每一項工作的5W1H，在目的、對象、地點、時間、人員、方法等方面實行管理系統(tǒng)，促使信息管理部門與各個部門之間的接口、職責劃分清晰，達到協(xié)調(diào)性的分工合作，并借助ITMIS系統(tǒng)實行流程化的固定管理，嚴格執(zhí)行企業(yè)各項安全管理標準，構(gòu)建信息化的安全管理建設(shè)工作，實現(xiàn)信息化的安全管理系統(tǒng)建設(shè)，在標準的PDCA階段循環(huán)周期借助管理目標、職責分工、管理方法、管理流程、文檔記錄、考核要求等多個方面的管理提高整體安全性，在信息安全管理的建設(shè)中確保基礎(chǔ)結(jié)構(gòu)的搭建效果，借助行之有效的評估方式，對自動化管理系統(tǒng)安全檢測與風險評估管理等多個方面進行評估，并逐漸完善自動化技術(shù)安全管理的建設(shè)任務，保障安全管理系統(tǒng)的持續(xù)改進。

4結(jié)語

綜上所述，信息安全工作是系統(tǒng)性的工程，“防范”與“攻擊”、“脆弱”與“威脅”是相互成長不斷發(fā)展的。對此，在新時代之下，電力系統(tǒng)的自動化技術(shù)安全管理，務必從管理與技術(shù)兩個角度著手，確保網(wǎng)絡(luò)安全、系統(tǒng)安全、應用安全、物理安全、數(shù)據(jù)安全，從而實行多種管理措施，達到多層面、多角度的安全管理保障，提高電力系統(tǒng)自動化技術(shù)安全管理系統(tǒng)的整體建設(shè)效益，從而提高電網(wǎng)安全性。

參考文獻： 

[1]魏勇軍，黎煉，張弛等.電力系統(tǒng)自動化運行狀態(tài)監(jiān)控云平臺研究[J].現(xiàn)代電子技術(shù)，2017，40（15）：153-158. 

[2]朱澤宇，ZhuZe-yu.基于電氣工程自動化技術(shù)在電力系統(tǒng)運行中的應用探析[J].自動化與儀器儀表，2015，14（06）：233-234.