信息安全應(yīng)急管理制度精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全應(yīng)急管理制度主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全應(yīng)急管理制度范文

專項(xiàng)治理行動(dòng)要堅(jiān)持“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，各部門各單位負(fù)責(zé)本部門的政府網(wǎng)站及下屬網(wǎng)站自查并接受市、區(qū)檢查。

二、組織領(lǐng)導(dǎo)及分工

為保障本次專項(xiàng)治理行動(dòng)扎實(shí)推行，成立政府網(wǎng)站安全漏洞專項(xiàng)治理行動(dòng)領(lǐng)導(dǎo)小組，組長由副區(qū)長谷云彪同志擔(dān)任，成員由區(qū)科技和信息化委員會(huì)、公安分局、區(qū)保密局分管領(lǐng)導(dǎo)組成。領(lǐng)導(dǎo)小組下設(shè)辦公室，辦公室設(shè)在區(qū)科技和信息化委員會(huì)。各有關(guān)部門要明確分管領(lǐng)導(dǎo)和具體人員，按照全區(qū)部署做好專項(xiàng)治理。具體分工：

專項(xiàng)治理行動(dòng)由區(qū)科信委牽頭，公安分局、區(qū)保密局、區(qū)政府各部門共同承擔(dān)。

（一）區(qū)科信委:負(fù)責(zé)本次專項(xiàng)治理行動(dòng)的總體組織、協(xié)調(diào)工作。負(fù)責(zé)檢查網(wǎng)站信息安全管理情況，組織檢查網(wǎng)站的軟硬件環(huán)境及風(fēng)險(xiǎn)漏洞等。

（二）公安分局：負(fù)責(zé)檢查網(wǎng)站中被敵對(duì)勢(shì)力攻擊的情況，包括被敵對(duì)勢(shì)力攻擊、竊取信息等，并進(jìn)行相應(yīng)處理。

（三）區(qū)保密局：負(fù)責(zé)檢查網(wǎng)站信息內(nèi)容的安全保密情況，并進(jìn)行相應(yīng)處置。

（四）各部門各單位：負(fù)責(zé)檢查本單位所屬門戶網(wǎng)站、業(yè)務(wù)網(wǎng)站及下屬單位網(wǎng)站的安全情況，并接受市、區(qū)檢查。

三、檢查范圍及重點(diǎn)

本次檢查范圍主要是接入互聯(lián)網(wǎng)的政府網(wǎng)站，包括區(qū)政府門戶網(wǎng)站、業(yè)務(wù)網(wǎng)站及各單位門戶網(wǎng)站。檢查的重點(diǎn)內(nèi)容：

（一）網(wǎng)站安全漏洞排查

重點(diǎn)進(jìn)行網(wǎng)頁腳本檢測(cè)、網(wǎng)站掛馬情況檢測(cè)、網(wǎng)站架構(gòu)安全檢測(cè)、服務(wù)器主機(jī)檢測(cè)、網(wǎng)絡(luò)邊界設(shè)備檢測(cè)。

（二）安全防護(hù)措施落實(shí)情況

信息安全員是否到位，是否經(jīng)過相關(guān)專業(yè)培訓(xùn)，是否具有合格的信息安全防護(hù)技能，是否熟練掌握已有信息安全防護(hù)設(shè)備的使用方法和配置調(diào)試。

網(wǎng)站安全防護(hù)設(shè)備包括網(wǎng)頁防篡改、防病毒、防攻擊等是否安裝到位，賬戶和口令的管理措施，操作系統(tǒng)、應(yīng)用軟件、病毒防護(hù)軟件的補(bǔ)丁升級(jí)，網(wǎng)站域名安全管理措施等是否嚴(yán)格執(zhí)行。

（三）信息安全管理制度落實(shí)情況

網(wǎng)站信息安全管理制度包括網(wǎng)站安全管理制度、網(wǎng)站信息安全通報(bào)制度、信息審核登記制度、網(wǎng)站服務(wù)器機(jī)房管理制度、網(wǎng)站值班制度、安全責(zé)任追究制度等的建立和落實(shí)情況。

（四）應(yīng)急響應(yīng)機(jī)制建設(shè)情況

網(wǎng)站信息安全突發(fā)事件應(yīng)急預(yù)案制定、演練、落實(shí)情況，應(yīng)急技術(shù)支援隊(duì)伍建設(shè)情況，重大信息安全事故處置情況，網(wǎng)站重要數(shù)據(jù)和系統(tǒng)的災(zāi)難備份情況等。

（五）網(wǎng)站安全漏洞治理情況

對(duì)網(wǎng)站設(shè)備設(shè)施、防范措施、安全制度等方面存在的漏洞和薄弱環(huán)節(jié)的分析排查情況，研究和制定整改措施等情況。

四、工作任務(wù)和時(shí)間安排

（一）各部門自查階段：今年月中旬。

各部門針對(duì)全區(qū)檢查出來的問題進(jìn)行研究分析，拿出解決辦法，于月日反饋科信委。同時(shí)對(duì)本部門下屬單位網(wǎng)站安全情況進(jìn)行檢查梳理，對(duì)發(fā)現(xiàn)的問題及時(shí)進(jìn)行整改。

（二）全區(qū)整改階段：今年月下旬。

由區(qū)科信委會(huì)同有關(guān)單位針對(duì)檢查結(jié)果，采取架設(shè)軟硬件設(shè)備、修改開發(fā)系統(tǒng)、實(shí)行全區(qū)集中管理等辦法，配合各部門對(duì)網(wǎng)站漏洞進(jìn)行整改，同時(shí)指導(dǎo)各單位建立管理制度。

（三）迎接全市檢查階段：今年月

保障本單位網(wǎng)站安全穩(wěn)定運(yùn)行，迎接市有關(guān)單位組織的安全檢查工作。

五、要求

（一）各單位要充分認(rèn)識(shí)開展政府網(wǎng)站安全漏洞專項(xiàng)治理工作的極端必要性，切實(shí)加強(qiáng)組織領(lǐng)導(dǎo)。各負(fù)其責(zé)，把本次專項(xiàng)治理工作抓出成效。

（二）各單位要制定完備的網(wǎng)站信息安全管理制度和應(yīng)急響應(yīng)機(jī)制，落實(shí)安全人員和責(zé)任。對(duì)檢查中發(fā)現(xiàn)的管理和技術(shù)漏洞，要積極采取措施，進(jìn)行配置和升級(jí)、加裝網(wǎng)站保護(hù)設(shè)備、及時(shí)堵塞漏洞，消除安全隱患。從長遠(yuǎn)考慮，有條件的單位招聘選拔具有專業(yè)知識(shí)的工作人員管理網(wǎng)站。

第2篇：信息安全應(yīng)急管理制度范文

相關(guān)熱搜：信息安全  網(wǎng)絡(luò)信息安全  信息安全技術(shù)

論文首先簡(jiǎn)要概述了信息安全防護(hù)存在的問題，并以信息系統(tǒng)安全等級(jí)保護(hù)制度為指南，結(jié)合單位現(xiàn)狀、需求和發(fā)展方向，提出了“人防、物防、技防、制防”四防并重的安全防護(hù)體系，并搭建一體化的信息安全管理平臺(tái)，保障信息安全資源的最優(yōu)利用，最大可能實(shí)現(xiàn)重要業(yè)務(wù)的可持續(xù)性。

 

1 引言

 

現(xiàn)在隨著企業(yè)發(fā)展越來越依賴信息化，信息化已成為各單位發(fā)展的重要技術(shù)支撐和必要工作手段，同時(shí)也是實(shí)現(xiàn)可持續(xù)化發(fā)展和提高競(jìng)爭(zhēng)力的重要保障。然而在信息化帶來便捷的同時(shí)，網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險(xiǎn)也在增加，尤其是移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新技術(shù)的應(yīng)用帶來了信息安全方面新的嚴(yán)峻挑戰(zhàn)。與此同時(shí)，信息系統(tǒng)的安全防護(hù)水平在技術(shù)與管理等方面仍處于較低水平，因此落后的安全防護(hù)與新技術(shù)快速應(yīng)用之間的矛盾，成為阻礙企業(yè)信息化發(fā)展的主要阻力之一。

 

2 信息安全防護(hù)存在的問題

 

盡管信息化發(fā)展迅速，然而由于在建設(shè)初期缺乏統(tǒng)一頂層設(shè)計(jì)和總體策劃，諸如不同建設(shè)時(shí)期、不同需求導(dǎo)向、不同開發(fā)工具、不同系統(tǒng)架構(gòu)技術(shù)路線等建設(shè)而成的網(wǎng)絡(luò)與信息系統(tǒng)形成了異構(gòu)、復(fù)雜的系統(tǒng)狀態(tài)，因此企業(yè)信息系統(tǒng)存在基礎(chǔ)設(shè)施落后、網(wǎng)絡(luò)建設(shè)各自為政，缺乏有效數(shù)據(jù)交換手段，造成的利用率不高、缺乏終端安全防護(hù)措施和完善的計(jì)算機(jī)入網(wǎng)監(jiān)管手段以及防病毒和防木馬的意識(shí)薄弱等諸多問題。

 

同時(shí)信息化建設(shè)是隨著需求的改變不斷發(fā)展變化的，信息安全防護(hù)也是一個(gè)動(dòng)態(tài)的體系，這就決定了任何技術(shù)或手段都不可能一次性地解決信息安全防護(hù)中的所有問題，想要打破以前，重新統(tǒng)一規(guī)劃信息化基礎(chǔ)設(shè)施和安全體系建設(shè)，以提升信息化基礎(chǔ)支撐能力和信息系統(tǒng)安全運(yùn)行能力的想法也難以實(shí)現(xiàn)。如何在現(xiàn)有復(fù)雜異構(gòu)的信息系統(tǒng)中，建立一個(gè)涵蓋信息化各層面的安全防護(hù)體系，及時(shí)有效地保障當(dāng)前的信息安全是亟待解決的難題。

 

3 信息安全防護(hù)體系

 

信息安全防護(hù)體系是由信息系統(tǒng)、信息安全技術(shù)、人、管理、操作等元素有機(jī)結(jié)合，能夠?qū)π畔⑾到y(tǒng)進(jìn)行綜合防護(hù)，保障信息系統(tǒng)安全可靠運(yùn)行，保障信息的“保密性、完整性、可用性、可控性、抗抵賴性”。傳統(tǒng)的信息安全防護(hù)只限于技術(shù)防護(hù)手段上，普遍重技術(shù)、輕管理，甚至有的單位還存在以事故推動(dòng)的現(xiàn)象。本文以信息系統(tǒng)安全等級(jí)保護(hù)制度為指南，結(jié)合單位現(xiàn)狀、需求和主營業(yè)務(wù)發(fā)展方向，并根據(jù)安全等級(jí)保護(hù)要求以及安全體系特點(diǎn)，從人員、物理設(shè)施、安全技術(shù)、管理制度四個(gè)方面，建立一套適合自身建設(shè)規(guī)范與信息安全管理規(guī)范的安全防護(hù)體系，突出“人防、物防、技防、制防”四防并重特點(diǎn)，并以安全等級(jí)保護(hù)制度和該安全防護(hù)體系搭建信息安全管理平臺(tái)，實(shí)現(xiàn)安全管理的信息化、流程化與規(guī)范化。

 

3.1 物理安全

 

物理安全主要包括基礎(chǔ)設(shè)施、環(huán)境及安全防護(hù)設(shè)備等方面，重點(diǎn)做好主機(jī)房等場(chǎng)所設(shè)施的安全防范工作，例如采用室內(nèi)監(jiān)控技術(shù)、用戶訪問登記以及自動(dòng)報(bào)警系統(tǒng)等記錄用戶登錄及其訪問情況，方便隨時(shí)查看。此外，對(duì)于主機(jī)房以及重要信息存儲(chǔ)設(shè)備來說，要通過采用多路電源同時(shí)接入的方式，保障電源的可持續(xù)供給，以防因斷電造成安全威脅。

 

3.2 人員安全

 

人員安全主要是指建立適合自身各級(jí)系統(tǒng)的領(lǐng)導(dǎo)組織機(jī)構(gòu)與責(zé)任部門，明確崗位設(shè)置與職責(zé)，完善培訓(xùn)制度，如圖1所示，加強(qiáng)從業(yè)人員的信息安全教育，增強(qiáng)從業(yè)人員的信息安全等級(jí)保護(hù)意識(shí)。通過定期組織培訓(xùn)、業(yè)務(wù)交流、技術(shù)考核等多種方式，不斷強(qiáng)化各類人員信息安全和風(fēng)險(xiǎn)防范的觀念，樹立信息安全等級(jí)保護(hù)的意識(shí)，確保在日常運(yùn)行維護(hù)和應(yīng)急處置過程中，能夠?qū)⒏黝愘Y源優(yōu)先集中在等級(jí)保護(hù)級(jí)別更高的系統(tǒng)。

 

3.3 安全技術(shù)

 

信息安全等級(jí)保護(hù)工作的核心是對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)發(fā)生的事情按等級(jí)分類并進(jìn)行相應(yīng)處置。根據(jù)信息系統(tǒng)級(jí)別的差異，有效規(guī)劃安全產(chǎn)品布局，在信息系統(tǒng)中正確地配置其安全功能，通過身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、完整性和保密性保護(hù)、邊界防護(hù)、惡意代碼防范、密碼技術(shù)應(yīng)用等主要技術(shù)保護(hù)措施確保網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)的安全性。同時(shí)，制定相應(yīng)的應(yīng)急處置預(yù)案、應(yīng)急協(xié)調(diào)機(jī)制，建立安全監(jiān)測(cè)和災(zāi)難恢復(fù)機(jī)制，落實(shí)信息系統(tǒng)安全監(jiān)測(cè)、災(zāi)難備份措施，并不斷梳理完善系統(tǒng)的運(yùn)維監(jiān)控體系和應(yīng)急處置方案，確保各類信息安全資源能夠按照信息系統(tǒng)等保的級(jí)別合理分配，優(yōu)先監(jiān)控和保障級(jí)別高的信息系統(tǒng)安全穩(wěn)定運(yùn)行。

 

3.4 管理制度

 

管理制度主要包括安全策略、安全技術(shù)規(guī)范、安全操作指南、系統(tǒng)建設(shè)、安全管理、運(yùn)維、安全檢查與評(píng)估、應(yīng)急響應(yīng)等方面，同時(shí)將信息系統(tǒng)的定級(jí)、備案、測(cè)評(píng)、整改等工作納入流程管理機(jī)制，確保等級(jí)保護(hù)工作常態(tài)化和制度化。

 

4 信息安全管理平臺(tái)

 

本文以等級(jí)保護(hù)制度與安全防護(hù)體系作為基礎(chǔ)，信息安全管理為主線，搭建信息安全管理平臺(tái)，從而實(shí)現(xiàn)信息安全管理過程清晰，管理過程中的信息高度集成、統(tǒng)一、規(guī)范、可追溯、可視化、安全管理工作流程化、規(guī)范化。

 

信息安全管理平臺(tái)包含信息應(yīng)用管理平臺(tái)、信息安全管理平臺(tái)和基礎(chǔ)設(shè)施管理平臺(tái)，主要涉及機(jī)房安全管理、網(wǎng)絡(luò)安全管理、系統(tǒng)運(yùn)行維護(hù)管理、系統(tǒng)安全風(fēng)險(xiǎn)管理、資產(chǎn)和設(shè)備管理、信息安全建設(shè)管理、數(shù)據(jù)及信息安全管理、用戶管理、安全監(jiān)測(cè)管理、信息安全評(píng)估管理、備份與恢復(fù)管理、應(yīng)急處置管理、密碼管理、安全審計(jì)管理等功能模塊，平臺(tái)架構(gòu)如圖2所示。

 

通過信息安全管理平臺(tái)，規(guī)范安全保護(hù)設(shè)施的建設(shè)，實(shí)現(xiàn)在規(guī)劃新建、改建、擴(kuò)建信息系統(tǒng)時(shí)同步完成對(duì)系統(tǒng)的等級(jí)保護(hù)定級(jí)工作，同時(shí)按照預(yù)定的等保級(jí)別規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng);加強(qiáng)信息安全評(píng)估管理，定期開展等級(jí)測(cè)評(píng)工作，開展風(fēng)險(xiǎn)評(píng)估工作。在評(píng)估過程中將信息系統(tǒng)安全等級(jí)保護(hù)工作與單位的信息安全基線工作相結(jié)合，把信息系統(tǒng)等級(jí)保護(hù)工作中發(fā)現(xiàn)的安全隱患和需整改的問題，納入信息安全基線的范圍，通過本單位信息安全基線的定期評(píng)估和整改，逐步提升重要信息系統(tǒng)的安全保障能力水平。

 

信息安全防護(hù)是一項(xiàng)不斷發(fā)展變化的過程，只有充分熟悉信息安全等級(jí)保護(hù)制度的基礎(chǔ)，對(duì)系統(tǒng)正確的定級(jí)，準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估，才能實(shí)現(xiàn)信息系統(tǒng)安全持續(xù)的建設(shè)和運(yùn)維。

 

5 結(jié)束語

 

本文簡(jiǎn)要介紹了現(xiàn)有信息安全防護(hù)存在的問題，并以信息系統(tǒng)安全等級(jí)保護(hù)制度為指南，結(jié)合單位現(xiàn)狀、需求和主營業(yè)務(wù)發(fā)展方向，建立“人防、物防、技防、制防”四防并重的安全防護(hù)體系，搭建一體化的信息安全防護(hù)管理平臺(tái)，通過等級(jí)保護(hù)制度，不斷完善優(yōu)化運(yùn)維管理機(jī)制，保障信息安全資源的最優(yōu)利用，最大可能實(shí)現(xiàn)重要業(yè)務(wù)的可持續(xù)性。

第3篇：信息安全應(yīng)急管理制度范文

【關(guān)鍵詞】信息安全；電力企業(yè)；防護(hù)措施

前言

當(dāng)前，電力企業(yè)在生產(chǎn)運(yùn)行過程中離不開信息技術(shù)的支持，尤其是電力企業(yè)在建立了復(fù)雜的數(shù)據(jù)網(wǎng)和信息網(wǎng)后，信息技術(shù)的在電力企業(yè)中的地位日益提高，同時(shí)，信息安全也影響著電力企業(yè)的生產(chǎn)經(jīng)營。

1電力網(wǎng)絡(luò)和信息安全管理的主要內(nèi)容

電力網(wǎng)絡(luò)和信息安全管理主要包括三方面的內(nèi)容：①安全策略；②風(fēng)險(xiǎn)管理；③安全教育。具體淺析如下：

1.1安全策略

信息安全策略根據(jù)企業(yè)規(guī)模、安全需求和業(yè)務(wù)發(fā)展的不同而不同，但是都具有簡(jiǎn)單易懂、清晰通俗的特點(diǎn)，由高級(jí)管理部門制定并形成書面文字，屬于企業(yè)安全的最高方針，廣泛到企業(yè)所有員工手中。

1.2風(fēng)險(xiǎn)管理

評(píng)估威脅企業(yè)信息資產(chǎn)的風(fēng)險(xiǎn)，首先事先假定風(fēng)險(xiǎn)可能會(huì)給企業(yè)帶來的風(fēng)險(xiǎn)和損失，然后再通過各種手段，如：風(fēng)險(xiǎn)的規(guī)避、風(fēng)險(xiǎn)的轉(zhuǎn)嫁、降低風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)等多種方法為相關(guān)部門提供網(wǎng)絡(luò)和信息安全的對(duì)策建議。

1.3安全教育

所謂安全教育，就是對(duì)直接關(guān)聯(lián)企業(yè)安全生產(chǎn)的人員進(jìn)行的教育活動(dòng)，其對(duì)象是安全策略執(zhí)行人員，具體來說就是與安全工作相關(guān)的技術(shù)人員、管理人員和客戶，并對(duì)其進(jìn)行安全培訓(xùn)，讓其了解和掌握信息安全對(duì)策。安全管理是企業(yè)管理的重要內(nèi)容，必須引起企業(yè)領(lǐng)導(dǎo)層的高度重視，切實(shí)將安全相關(guān)教育納入到企業(yè)文化的組成中，確保信息安全管理的有效執(zhí)行。

2電力企業(yè)信息化發(fā)展的特征

隨著我國電力企業(yè)信息化的發(fā)展，與其他企業(yè)相比，在網(wǎng)絡(luò)信息安全方面具有以下優(yōu)勢(shì)特征。

2.1信息化基礎(chǔ)設(shè)施完善

經(jīng)過多年的發(fā)展，電力企業(yè)的信息化建設(shè)與其他行業(yè)的信息化建設(shè)水平相比，具有明顯的比較優(yōu)勢(shì)，進(jìn)程相對(duì)領(lǐng)先，各個(gè)部門工作中計(jì)算機(jī)的使用率為100%，電力企業(yè)局域網(wǎng)覆蓋率90%以上。

2.2營銷管理系統(tǒng)廣泛應(yīng)用

電力企業(yè)的營銷管理系統(tǒng)經(jīng)過多年的研究探索已基本建成，實(shí)現(xiàn)了用電管理信息化、業(yè)務(wù)受理計(jì)算機(jī)化，并建立了相應(yīng)的客戶服務(wù)中心。

2.3生產(chǎn)、調(diào)度自動(dòng)化系統(tǒng)應(yīng)用熟練

電力企業(yè)信息化建設(shè)的重點(diǎn)是提高電網(wǎng)運(yùn)行質(zhì)量和電力調(diào)度的自動(dòng)化水平，現(xiàn)階段，從電力企業(yè)發(fā)展的自動(dòng)化水平上來看，其生產(chǎn)已基本達(dá)到國際先進(jìn)水平。

2.4管理信息系統(tǒng)的建設(shè)逐步推進(jìn)

電力企業(yè)積極建設(shè)管理信息系統(tǒng)，開發(fā)了設(shè)備、生產(chǎn)、電力負(fù)荷、安全監(jiān)督、營銷管理等信息系統(tǒng)，并將企業(yè)信息化建設(shè)放到重要位置，利用信息化推動(dòng)企業(yè)現(xiàn)代化發(fā)展。

3電力企業(yè)網(wǎng)絡(luò)和信息安全管理中存在的問題

電力企業(yè)網(wǎng)絡(luò)和信息安全管理雖然具有以上優(yōu)勢(shì)特征，但同樣還是存在一定的問題，具體如下：

3.1信息化機(jī)構(gòu)建設(shè)不完善

部分電力企業(yè)還未設(shè)置專門的信息部門，信息科室有的在科技部門下，有的在綜合部門下，缺乏規(guī)范的制度與崗位設(shè)置，這種情況下，勢(shì)必會(huì)影響到網(wǎng)絡(luò)和信息安全的管理工作。

3.2網(wǎng)絡(luò)信息安全管理未成為企業(yè)文化的一部分

電力網(wǎng)絡(luò)信息貫穿于生產(chǎn)的全過程，涉及到電力生產(chǎn)的各層面，但是仍然處于從屬地，沒有納入電力企業(yè)安全文化建設(shè)中，進(jìn)而影響到安全管理的實(shí)施力度。

3.3企業(yè)管理革新跟不上信息化發(fā)展的步伐

電力企業(yè)管理革新與信息技術(shù)的發(fā)展與應(yīng)用相比還較為滯后，企業(yè)不能及時(shí)的引入先進(jìn)的管理與業(yè)務(wù)系統(tǒng)，導(dǎo)致企業(yè)信息系統(tǒng)不能發(fā)揮預(yù)期的作用。

3.4網(wǎng)絡(luò)信息安全存在風(fēng)險(xiǎn)

電力企業(yè)網(wǎng)絡(luò)信息安全與一般企業(yè)網(wǎng)絡(luò)信息相比，有共同點(diǎn)，也有自自身的特殊性，實(shí)踐中必須認(rèn)真分析研究，具體表現(xiàn)為：①網(wǎng)絡(luò)的結(jié)構(gòu)不夠合理，電力網(wǎng)絡(luò)建設(shè)要求，網(wǎng)絡(luò)建設(shè)要區(qū)分外網(wǎng)和內(nèi)網(wǎng)，且內(nèi)外部網(wǎng)絡(luò)要保持物理隔離，但是部分電力企業(yè)的核心交換機(jī)選擇不合理，導(dǎo)致在網(wǎng)絡(luò)中所有網(wǎng)絡(luò)用戶的地位是平等的，因而很容易出現(xiàn)安全問題。②企業(yè)內(nèi)部風(fēng)險(xiǎn)，由于企業(yè)內(nèi)部網(wǎng)絡(luò)管理人員對(duì)于企業(yè)的網(wǎng)絡(luò)信息結(jié)構(gòu)與系統(tǒng)應(yīng)用十分熟悉，一旦泄漏重要信息，就會(huì)帶來致命的信息安全威脅。③現(xiàn)階段互聯(lián)網(wǎng)使用存在的風(fēng)險(xiǎn)，目前很多電力企業(yè)的網(wǎng)絡(luò)已經(jīng)與互聯(lián)網(wǎng)發(fā)生了關(guān)系，一些客戶甚至可以直接訪問電力系統(tǒng)的網(wǎng)絡(luò)資源，在提供方便之門的同時(shí)也要高度關(guān)注其可能帶來的信息安全和計(jì)算軟硬件安全風(fēng)險(xiǎn)。④網(wǎng)絡(luò)管理專業(yè)技術(shù)人員帶來的風(fēng)險(xiǎn)，主要是網(wǎng)絡(luò)管理人員的素質(zhì)風(fēng)險(xiǎn)，現(xiàn)階段電力企業(yè)的網(wǎng)絡(luò)建設(shè)還存在重建輕管，重技輕管的問題。出現(xiàn)了諸如專業(yè)技術(shù)人員綜合素質(zhì)不高，一些安全管理制度不健全、落實(shí)不夠有力、安全意識(shí)不強(qiáng)、管理員配備不當(dāng)?shù)韧{到電力企業(yè)網(wǎng)絡(luò)信息安全性的問題。⑤計(jì)算機(jī)病毒侵害，計(jì)算機(jī)病毒的擴(kuò)散速度快，網(wǎng)絡(luò)一旦感染病毒，整個(gè)電力網(wǎng)絡(luò)系統(tǒng)就會(huì)處于崩潰的狀況。⑥系統(tǒng)出現(xiàn)的安全風(fēng)險(xiǎn)，這方面主要指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及內(nèi)部各種應(yīng)用軟件系統(tǒng)等存在的風(fēng)險(xiǎn)，這些系統(tǒng)很容易導(dǎo)致外界的攻擊，一些黑客采取專業(yè)手段可以很輕易獲取管理員權(quán)限，實(shí)施拒絕服務(wù)攻擊。

4電力企業(yè)網(wǎng)絡(luò)和信息安全管理對(duì)策

4.1建立健全網(wǎng)絡(luò)和信息安全管理組織架構(gòu)

網(wǎng)絡(luò)和信息安全管理實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理原則，企業(yè)的決策層組成領(lǐng)導(dǎo)小組，由企業(yè)各部門的管理者作為安全小組的管理層。網(wǎng)絡(luò)和信息安全管理實(shí)行專業(yè)化管理，包含信息安全規(guī)劃、信息安全監(jiān)督審計(jì)、信息安全運(yùn)行保障等職能小組。

4.2構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架

在網(wǎng)絡(luò)信息安全模型與電力信息化的基礎(chǔ)上，科學(xué)構(gòu)建網(wǎng)絡(luò)和信息安全管理體系框架，主要區(qū)分信息安全策略、安全運(yùn)行、安全管理、安全技術(shù)措施四個(gè)模塊，

4.3建立網(wǎng)絡(luò)信息安全防護(hù)對(duì)策，合理劃分安全域

網(wǎng)絡(luò)信息安全防護(hù)實(shí)行雙網(wǎng)雙機(jī)管理，分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)采用獨(dú)立的服務(wù)器及桌面終端，通過邏輯強(qiáng)隔離裝置隔離內(nèi)外網(wǎng)。按照業(yè)務(wù)類型進(jìn)行安全區(qū)域劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次，實(shí)現(xiàn)不同區(qū)域防護(hù)的差異化及獨(dú)立性。對(duì)于網(wǎng)絡(luò)安全的核心區(qū)域必須實(shí)施重點(diǎn)安全防范，比如該區(qū)域的服務(wù)器、重要數(shù)據(jù)、數(shù)據(jù)庫服務(wù)器，一般用戶無法直接訪問，安全級(jí)別高。電力企業(yè)內(nèi)部計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的應(yīng)用，劃分為管理信息區(qū)和生產(chǎn)控制區(qū)，建立電力調(diào)度數(shù)據(jù)網(wǎng)專用網(wǎng)絡(luò)，采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)，數(shù)據(jù)的遠(yuǎn)方安全傳輸采取加密、認(rèn)證、訪問控制等技術(shù)手段，實(shí)現(xiàn)縱向邊界的整體安全防護(hù)。

4.4網(wǎng)絡(luò)信息安全管理制度建設(shè)

為確保電力企業(yè)網(wǎng)絡(luò)信息安全，必須做好網(wǎng)絡(luò)信息安全管理制度建設(shè)，具體要做好以下幾個(gè)方面的內(nèi)容：①建立計(jì)算機(jī)資產(chǎn)管理制度、網(wǎng)絡(luò)使用管理制度、健全變更管理制度，對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)和管理，執(zhí)行密碼使用管理制度。②實(shí)施信息的安全分級(jí)保護(hù)舉措，依據(jù)國家相關(guān)規(guī)定，開展網(wǎng)絡(luò)信息系統(tǒng)審批、定級(jí)、備案工作，嚴(yán)格執(zhí)行等級(jí)保護(hù)制度，嚴(yán)格保密核心程序和數(shù)據(jù)。③做好網(wǎng)絡(luò)信息安全運(yùn)行保障管理，對(duì)信息系統(tǒng)設(shè)備實(shí)行規(guī)范化管理，及時(shí)升級(jí)防病毒軟件，嚴(yán)格系統(tǒng)變更，及時(shí)報(bào)告信息系統(tǒng)事故情況，分析原因并落實(shí)整改。④建立病毒防護(hù)體系，安裝的防病毒軟件必須具有遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警、集中管理等多種功能，不可將來歷不明或是隨意從互聯(lián)網(wǎng)上下載的數(shù)據(jù)在聯(lián)網(wǎng)計(jì)算機(jī)上使用，一旦發(fā)現(xiàn)病毒的存在，員工應(yīng)熟練掌握發(fā)現(xiàn)病毒后的處置辦法。

4.5信息安全技術(shù)保障舉措

為切實(shí)有效的落實(shí)信息安全防護(hù)要求，必須根據(jù)信息安全等級(jí)防護(hù)制度落實(shí)好“分級(jí)、分區(qū)、分域”的防護(hù)策略，從而更有效的落實(shí)信息安全防護(hù)預(yù)案，根據(jù)信息系統(tǒng)定級(jí)水平，實(shí)施強(qiáng)邏輯隔離措施，做好安全區(qū)域的隔離和劃分工作。

4.6規(guī)范企業(yè)人員的管理

規(guī)范人員管理首要的是用制度管好人：①企業(yè)高層應(yīng)以身作則，這樣員工才可以遵循信息安全管理的要求，由于高層掌握著企業(yè)更多的信息資源，密級(jí)也高，一旦出現(xiàn)泄漏，會(huì)給企業(yè)帶來更大的損失。②對(duì)于關(guān)鍵崗位人員管理要尤其重視，比如：開發(fā)源代碼人員，直接接觸商業(yè)機(jī)密的人員，從事信息安全管理的人員，需要進(jìn)行嚴(yán)格管理，定期檢查，避免出現(xiàn)“堡壘從內(nèi)部突破”的機(jī)會(huì)。③對(duì)于離職人員這個(gè)群體也不可忽視，必須做好離職人員信息安全審計(jì)工作，離職前，必須要求其變更其訪問權(quán)限，與接手人員一起清點(diǎn)和交接好信息資產(chǎn)，避免信息泄漏事件的發(fā)生。④加強(qiáng)與供應(yīng)商和合作伙伴信息安全的管理，在日常的交流中嚴(yán)格遵守規(guī)定，不得隨意公開和透露相關(guān)信息。

4.7做好對(duì)企業(yè)信息資產(chǎn)管理分析

依據(jù)信息資產(chǎn)價(jià)值，實(shí)現(xiàn)根據(jù)載體性質(zhì)不同、形式不同、來源不同做好資產(chǎn)的識(shí)別，提高企業(yè)勞動(dòng)生產(chǎn)率，強(qiáng)化信息資產(chǎn)觀念，樹立企業(yè)良好形象。全面、系統(tǒng)、科學(xué)的管理信息資產(chǎn)，完善資產(chǎn)管理手段。利用信息資產(chǎn)資源使生產(chǎn)力要素保值增值，推動(dòng)信息資產(chǎn)共享共建，實(shí)現(xiàn)實(shí)現(xiàn)外源信息資產(chǎn)的再增值，信息資產(chǎn)的再創(chuàng)新。4.8建立信息安全應(yīng)急保障機(jī)制有風(fēng)險(xiǎn)的地方就要有應(yīng)急預(yù)案，對(duì)于電力企業(yè)網(wǎng)絡(luò)信息安全尤其應(yīng)該如此，要不斷健全電力企業(yè)信息安全預(yù)案，確保設(shè)備、人力、技術(shù)等應(yīng)急保障資源切實(shí)可用，要加強(qiáng)系統(tǒng)的容災(zāi)建設(shè)，建立恢復(fù)和備份管理制度，妥善保存相關(guān)的備份記錄。

5結(jié)束語

電力網(wǎng)絡(luò)信息安全與企業(yè)的生產(chǎn)經(jīng)營管理密切相關(guān)，電力企業(yè)網(wǎng)絡(luò)信息安全涉及到技術(shù)與管理，無論是硬件還是軟件出現(xiàn)問題都會(huì)威脅到整個(gè)網(wǎng)絡(luò)系統(tǒng)，電力企業(yè)網(wǎng)絡(luò)信息安全管理涉及到人、硬件設(shè)備、軟件、數(shù)據(jù)等多個(gè)環(huán)節(jié)，所以其必須著眼整個(gè)電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)加強(qiáng)頂層建設(shè)，實(shí)施統(tǒng)一規(guī)劃，搞好統(tǒng)籌兼顧，建立一套完整的信息安全管理體系，切實(shí)做好安全防范工作，解決電力企業(yè)信息安全管理問題，才能確保電力信息系統(tǒng)安全、穩(wěn)定、可靠、高效地運(yùn)行，有效避免安全問題的存在，保證電力企業(yè)的正常生產(chǎn)經(jīng)營。

參考文獻(xiàn)

[1]何雋文.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].中國高新技術(shù)企業(yè)，2016，28.

[2]郭建，顧志強(qiáng).電力企業(yè)信息安全現(xiàn)狀分析及管理對(duì)策[J].信息技術(shù)，2013，01.

[3]牛斐.電力企業(yè)網(wǎng)絡(luò)信息安全的防范措施[J].科技傳播，2012，16.

[4]吳青.淺析網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中國新通信，2013，23.

[5]向繼東，黃天戊，孫東.電力企業(yè)信息網(wǎng)絡(luò)安全管理[J].電力系統(tǒng)自動(dòng)化，2003，15.

第4篇：信息安全應(yīng)急管理制度范文

關(guān)鍵詞：數(shù)字化；信息安全；權(quán)限

信息科學(xué)技術(shù)發(fā)展助推檔案信息數(shù)字化進(jìn)程，在高效滿足用戶查檔需求中提高了檔案工作服務(wù)質(zhì)量和工作效率，但同時(shí)檔案信息泄露、檔案數(shù)據(jù)丟失、涉密文件被竊取等問題也愈發(fā)凸顯，給檔案信息安全帶來了嚴(yán)峻挑戰(zhàn)，在一定程度上削弱了檔案信息化建設(shè)工作成效。推進(jìn)檔案信息化建設(shè)是適應(yīng)新時(shí)代要求的必然選擇，也是順應(yīng)檔案事業(yè)發(fā)展新趨勢(shì)的必然要求。我們要清晰地認(rèn)識(shí)到，當(dāng)下電子化檔案數(shù)量日益激增趨勢(shì)對(duì)保障檔案信息安全提出了更高要求，分析檔案信息數(shù)字化過程中面臨哪些風(fēng)險(xiǎn)挑戰(zhàn)，從實(shí)際出發(fā)，分析如何應(yīng)對(duì)現(xiàn)存問題、規(guī)避化解潛在信息安全風(fēng)險(xiǎn)，是當(dāng)下檔案界亟需解決的緊迫性課題。

一、檔案信息安全面臨的挑戰(zhàn)

目前，我國檔案信息化建設(shè)有了一定成就，在提高檔案管理、檔案服務(wù)指導(dǎo)、檔案資源化利用等方面取得了積極進(jìn)展，但在發(fā)展過程中也暴露出不少信息安全問題，在一定程度上影響了檔案信息化建設(shè)質(zhì)量和成效。當(dāng)前，我國檔案信息安全面臨的風(fēng)險(xiǎn)主要表現(xiàn)在：

1.檔案信息在保管不當(dāng)中泄露檔案在保管過程中面臨著信息泄露的風(fēng)險(xiǎn)，主要體現(xiàn)在：一是檔案工作人員對(duì)保障檔案信息安全的重要性認(rèn)識(shí)不到位，重視不夠，尤其是對(duì)涉密文件缺乏安全保密意識(shí)，將一般文件與涉密文件混放，對(duì)查檔人員的查閱文件是否涉密未做細(xì)致甄別和區(qū)別管理，由此存在敏感文件信息外泄隱患，威脅著檔案信息安全；二是檔案工作人員專業(yè)素養(yǎng)參差不齊，尤其是非科班出生人員保密意識(shí)不足，另外在檔案人才隊(duì)伍中專職保密工作人員配置不足，使得檔案在收集—?dú)w檔—保管—利用環(huán)節(jié)中出現(xiàn)檔案信息泄露現(xiàn)象；三是實(shí)體檔案面臨著被損毀的風(fēng)險(xiǎn)。實(shí)體檔案在搬運(yùn)、拆卷歸類、反復(fù)查閱中因與設(shè)備接觸、人員拿捏不當(dāng)、存儲(chǔ)環(huán)境發(fā)生變化等原因可能導(dǎo)致存在不同程度的磨損、遺失、失真。

2.檔案信息通過網(wǎng)絡(luò)漏洞泄露隨著電子檔案在線查閱功能上線，網(wǎng)絡(luò)安全漏洞成為檔案信息泄露的因素之一，主要體現(xiàn)在：一是檔案管理軟件程序存在缺陷，更新不及時(shí)，容易受到病毒入侵、黑客攻擊，一旦敏感信息或涉密文件泄露，后果不堪設(shè)想；二是網(wǎng)絡(luò)安全監(jiān)管存在漏洞，數(shù)字化檔案需要利用網(wǎng)絡(luò)平臺(tái)對(duì)檔案數(shù)據(jù)進(jìn)行著錄、信息處理和遷移轉(zhuǎn)存，往往因缺乏完善的網(wǎng)絡(luò)安全監(jiān)管技術(shù)，造成檔案信息通過網(wǎng)絡(luò)傳播泄露的現(xiàn)象；三是檔案數(shù)據(jù)上傳和下載過程中面臨著數(shù)據(jù)缺失、信息失真的風(fēng)險(xiǎn)。一些檔案數(shù)據(jù)存儲(chǔ)在云環(huán)境中，由于云環(huán)境中的設(shè)備和網(wǎng)絡(luò)布局十分復(fù)雜，數(shù)據(jù)在計(jì)算、存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)中存在不少安全隱患，若云環(huán)境突然中斷處理，則會(huì)影響檔案信息的正常訪問和傳輸，從而降低了檔案信息的準(zhǔn)確度。

3.檔案信息在管理制度不健全中泄露一是問責(zé)機(jī)制不健全，管理制度內(nèi)容空泛、隨意性大、執(zhí)行力和約束力不夠，檔案工作人員責(zé)任心和使命感不強(qiáng)，在檔案信息保管、數(shù)字化處理和利用過程中隨意性很強(qiáng)，不利于檔案信息安全；二是監(jiān)督機(jī)制缺失或不完善，信息化時(shí)代下查檔工作主要在計(jì)算機(jī)檔案管理系統(tǒng)中完成，尤其是對(duì)外公開的檔案查閱平臺(tái)，查閱人員眾多，若缺乏對(duì)查檔人員的查閱軌跡進(jìn)行跟蹤和分析，在系統(tǒng)有漏洞的情況下發(fā)生檔案信息泄露情況很難進(jìn)行追溯和追責(zé)。

二、提升檔案信息安全水平的對(duì)策

針對(duì)當(dāng)前我國檔案信息安全面臨的潛在風(fēng)險(xiǎn)，從基本實(shí)情出發(fā)，結(jié)合工作實(shí)際，應(yīng)在完善存儲(chǔ)安全防范措施、健全檔案信息安全管理制度、引用先進(jìn)技術(shù)保護(hù)檔案信息安全、強(qiáng)化檔案信息識(shí)別能力等方面下功夫，開創(chuàng)“人防、物防、技防”三位一體的檔案信息安全工作新局面。

1.完善存儲(chǔ)安全防范措施完善的安全防范措施是確保檔案信息安全的第一道防火墻。因此，需要在檔案管理系統(tǒng)中打牢防范基礎(chǔ)。第一，要勤殺病毒。檔案信息管理系統(tǒng)必須安全殺毒軟件并及時(shí)更新，設(shè)置定期病毒掃描程序，修復(fù)系統(tǒng)漏洞，防止病毒對(duì)系統(tǒng)構(gòu)成破壞；第二，要設(shè)置用戶訪問權(quán)限保護(hù)信息。對(duì)訪問用戶按照一般用戶、系統(tǒng)操作員、系統(tǒng)管理員不同級(jí)別逐一設(shè)置訪問權(quán)限，可公開的文件可向一般用戶開放，需要審批或涉密文件則由系統(tǒng)管理員審核按照相關(guān)規(guī)定提供查閱；第三，要定期做好數(shù)據(jù)遷移。檔案存儲(chǔ)載體多樣，不同載體保存檔案的有效期限存在差異，對(duì)需長期保存的檔案應(yīng)結(jié)合其存儲(chǔ)載體制訂靈活的存儲(chǔ)策略，跟進(jìn)存儲(chǔ)技術(shù)發(fā)展步伐做好檔案數(shù)據(jù)遷移和轉(zhuǎn)存；第四，要建立檔案信息安全評(píng)估體系，安全專業(yè)人士組建檔案信息安全評(píng)估小組，對(duì)檔案保存環(huán)境安全狀況做全方位、系統(tǒng)化檢查，評(píng)估潛在的風(fēng)險(xiǎn)等級(jí)指數(shù)，并對(duì)可能發(fā)生的風(fēng)險(xiǎn)制定應(yīng)急預(yù)案；第五，要強(qiáng)化檔案信息管理人員信息安全意識(shí)和責(zé)任意識(shí)，加強(qiáng)思想政治教育和保密意識(shí)培養(yǎng)，建立安全責(zé)任制度，避免出現(xiàn)意識(shí)不到位或操作不當(dāng)導(dǎo)致檔案信息泄露。

2.健全檔案信息安全管理制度健全的安全管理制度是保障檔案信息安全的基礎(chǔ)。因此，應(yīng)改進(jìn)當(dāng)下管理制度中存在的不足。第一，制定檔案信息管理規(guī)章制度。一方面防止不法分子采用惡劣手段篡改檔案信息；另一方面確保工作人員遵章辦事，保護(hù)檔案信息的真實(shí)性和完整性；第二，建立檔案信息系統(tǒng)安全監(jiān)測(cè)機(jī)制，由信息運(yùn)行系統(tǒng)自動(dòng)對(duì)用戶訪問的每個(gè)階段進(jìn)行跟蹤監(jiān)測(cè)，包括用戶身份、訪問文件信息、訪問時(shí)間、訪問狀態(tài)等，一旦出現(xiàn)敏感信息泄露即發(fā)生報(bào)警信號(hào)。同時(shí)，系統(tǒng)管理員根據(jù)跟蹤軌跡檢查分析是否有危險(xiǎn)檔案信息安全性的行為，結(jié)合實(shí)際情況實(shí)時(shí)更新預(yù)警參數(shù)，完善安全檢測(cè)機(jī)制；第三，建立信息安全日常管理制度。落實(shí)日常信息安全管理制度是最大限度將安全風(fēng)險(xiǎn)降到最低的重要手段之一，檔案管理部門從工作實(shí)際出發(fā)，細(xì)化工作細(xì)則，明確工作流程，將安全意識(shí)和盡責(zé)行為貫穿到檔案信息安全日常管理的每個(gè)環(huán)節(jié)，避免安全問題發(fā)生。

3.引用先進(jìn)技術(shù)保護(hù)檔案信息安全技術(shù)是保護(hù)檔案信息安全的重要手段之一，應(yīng)進(jìn)一步提高技術(shù)保障檔案安全的科技含量。第一，采用加密技術(shù)提升檔案信息安全性。根據(jù)檔案信息的重要程度劃分安全級(jí)別并進(jìn)行加密處理，由特定人員管理權(quán)限，為確保檔案信息的保密性和安全性，訪問用戶需經(jīng)管理員審核通過后輸入密碼或口令才能讀取數(shù)據(jù)；第二，采用數(shù)據(jù)冗余技術(shù)保障檔案信息原始數(shù)據(jù)的完整性。為防止病毒入侵、黑客攻擊對(duì)檔案原始數(shù)據(jù)造成致命性破壞，電子化檔案在形成初期應(yīng)采用數(shù)據(jù)冗余技術(shù)將信息存貯在多個(gè)硬盤中，一旦其中一個(gè)硬盤出現(xiàn)問題，其它硬盤數(shù)據(jù)可作為備份替換；第三，配置安全技術(shù)人員，定期對(duì)檔案信息網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控、巡邏、檢測(cè)，及時(shí)排查非法訪問行為，一經(jīng)發(fā)現(xiàn)異常現(xiàn)象及時(shí)報(bào)告啟動(dòng)應(yīng)急預(yù)案，防治檔案信息遭到非法入侵、竊取和篡改，從而有效保護(hù)檔案信息安全。

4.強(qiáng)化檔案信息識(shí)別能力快速、準(zhǔn)確、高效識(shí)別出檔案信息是規(guī)避檔案信息泄露風(fēng)險(xiǎn)的重要方法，應(yīng)在檔案保管、人才培養(yǎng)等方面增強(qiáng)檔案信息識(shí)別能力。第一，對(duì)檔案進(jìn)行歸類和編碼是快速定位檔案的有效手段，能為檔案信息風(fēng)險(xiǎn)評(píng)估工作提供路徑，進(jìn)而對(duì)管理檔案風(fēng)險(xiǎn)程度進(jìn)行評(píng)估，找到信息風(fēng)險(xiǎn)源頭，及時(shí)規(guī)避和化解風(fēng)險(xiǎn)；第二，要重視對(duì)檔案管理人員風(fēng)險(xiǎn)意識(shí)培養(yǎng)，制訂檔案信息化管理統(tǒng)一標(biāo)準(zhǔn)，通過教育培訓(xùn)、實(shí)操演練等方式，增強(qiáng)其及時(shí)處理和預(yù)防風(fēng)險(xiǎn)的能力，能夠在總結(jié)工作經(jīng)驗(yàn)中快速識(shí)別風(fēng)險(xiǎn)源，將風(fēng)險(xiǎn)帶來的損失降到最低。

第5篇：信息安全應(yīng)急管理制度范文

一、成立校園網(wǎng)絡(luò)安全組織機(jī)構(gòu)

組 長：

副組長：

成 員：

二、建立健全各項(xiàng)安全管理制度

我校根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《教育網(wǎng)站和網(wǎng)校暫行管理辦法》等法律法規(guī)制定出了適合我校的《校園網(wǎng)絡(luò)安全管理辦法》，同時(shí)建立了《鹿馬中學(xué)校園網(wǎng)絡(luò)安全應(yīng)急預(yù)案》，《鹿馬中學(xué)校園網(wǎng)日常管理制度》，《鹿馬中學(xué)網(wǎng)絡(luò)信息安全維護(hù)制度》等相關(guān)制度。除了建立這些規(guī)章制度外，我們還堅(jiān)持了對(duì)我校的校園網(wǎng)絡(luò)隨時(shí)檢查監(jiān)控的運(yùn)行機(jī)制，有效地保證了校園網(wǎng)絡(luò)的安全。

三、嚴(yán)格執(zhí)行備案制度

學(xué)校機(jī)房堅(jiān)持了服務(wù)于教育教學(xué)的原則，嚴(yán)格管理，完全用于教師和學(xué)生學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和查閱與學(xué)習(xí)有關(guān)的資料，沒有出現(xiàn)出租轉(zhuǎn)讓等情況。

四、加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范措施，實(shí)行科學(xué)管理

我校的技術(shù)防范措施主要從以下幾個(gè)方面來做的：

1.安裝了防火墻，防止病毒、不良信息入侵校園網(wǎng)絡(luò)、Web服務(wù)器。

2.安裝殺毒軟件，實(shí)施監(jiān)控網(wǎng)絡(luò)病毒，發(fā)現(xiàn)問題立即解決。

3.及時(shí)修補(bǔ)各種軟件的補(bǔ)丁。

4.對(duì)學(xué)校重要文件、信息資源、網(wǎng)站數(shù)據(jù)庫做到及時(shí)備份，創(chuàng)建系統(tǒng)恢復(fù)文件。

五、加強(qiáng)校園計(jì)算機(jī)網(wǎng)絡(luò)安全教育和網(wǎng)管人員隊(duì)伍建設(shè)

目前，我校每位領(lǐng)導(dǎo)和部分教師都能接入因特網(wǎng)，在查閱資料和進(jìn)行教學(xué)和科研的過程中，我校學(xué)校領(lǐng)導(dǎo)重視網(wǎng)絡(luò)安全教育，使教師們充分認(rèn)識(shí)到網(wǎng)絡(luò)信息安全對(duì)于保證國家和社會(huì)生活的重要意義，并要求信息技術(shù)教師在備課、上課的過程中，有義務(wù)向?qū)W生滲透計(jì)算機(jī)網(wǎng)絡(luò)安全方面的常識(shí)，并對(duì)全校學(xué)生進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全方面的培訓(xùn)，做到校園計(jì)算機(jī)網(wǎng)絡(luò)安全工作萬無一失。

六、我校定期進(jìn)行網(wǎng)絡(luò)安全的全面檢查

我校網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組每學(xué)期初將對(duì)學(xué)校微機(jī)房、領(lǐng)導(dǎo)和教師辦公用機(jī)及學(xué)校電教室的環(huán)境安全、設(shè)備安全、信息安全、管理制度落實(shí)情況等內(nèi)容進(jìn)行一次全面的檢查，對(duì)存在的問題要及時(shí)進(jìn)行糾正，消除安全隱患。

第6篇：信息安全應(yīng)急管理制度范文

【關(guān)鍵詞】外匯 信息安全 風(fēng)險(xiǎn) 保障措施

近年來，國家外匯管理局加大了信息化建設(shè)步伐，信息系統(tǒng)已基本替代了手工操作用于處理外匯管理日常工作，在外匯監(jiān)管與服務(wù)的過程中發(fā)揮著越來越重要的作用，外匯業(yè)務(wù)信息系統(tǒng)的安全正常運(yùn)行已成為外匯局開展業(yè)務(wù)開展的前提，任何一個(gè)環(huán)節(jié)的信息系安全管理缺失，都可能給外匯管理工作帶來嚴(yán)重的后果。

一、外匯信息系統(tǒng)和數(shù)據(jù)所面臨的風(fēng)險(xiǎn)

信息安全就是保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的保密性、完整性、可用性.可控性和平可否認(rèn)性。

外匯管理信息系統(tǒng)和數(shù)據(jù)在采集、保存和使用等過程中存在諸多安全風(fēng)險(xiǎn)，例如硬盤損壞等物理環(huán)境風(fēng)險(xiǎn)，操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞導(dǎo)致外匯信息數(shù)據(jù)被非法訪問、修改或惡意刪除，最終導(dǎo)致外匯信息喪失上述安全特性，從而影響了外匯業(yè)務(wù)的正常開展。本節(jié)僅結(jié)合外匯信息系統(tǒng)和數(shù)據(jù)實(shí)際情況，簡(jiǎn)要介紹外匯信息常見的風(fēng)險(xiǎn)。

（一）電子設(shè)備存在軟件和硬件故障風(fēng)險(xiǎn)

外匯信息系統(tǒng)在運(yùn)行過程往往會(huì)面臨硬件設(shè)備發(fā)生故障，軟件系統(tǒng)出現(xiàn)運(yùn)行錯(cuò)誤的風(fēng)險(xiǎn)，例如服務(wù)器電源設(shè)備老化、硬盤出現(xiàn)壞道無法讀寫、軟件崩潰、通訊網(wǎng)絡(luò)故障等問題。上述問題是外匯信息系統(tǒng)實(shí)際運(yùn)維過程中最為常見風(fēng)險(xiǎn)源。

（二）人為操作風(fēng)險(xiǎn)

因人為操作外匯信息系統(tǒng)產(chǎn)生的未授權(quán)的數(shù)據(jù)訪問和數(shù)據(jù)修改、信息錯(cuò)誤或虛假信息輸入、授權(quán)的終端用戶濫用、不完整處理等。產(chǎn)生該類風(fēng)險(xiǎn)的原因是用戶安全意識(shí)淡薄，未授權(quán)訪問數(shù)據(jù)造成外匯信息泄漏，數(shù)據(jù)手工處理導(dǎo)致的錯(cuò)誤或虛假信息，未授權(quán)用戶操作等行為都會(huì)造成信息系統(tǒng)安全性風(fēng)險(xiǎn)。實(shí)際外匯信息系統(tǒng)運(yùn)行中，人為事件造成損失的概率遠(yuǎn)遠(yuǎn)大于其他威脅造成損失的。

（三）系統(tǒng)風(fēng)險(xiǎn)

一般所用的計(jì)算機(jī)操作系統(tǒng)以及大量的應(yīng)用軟件在組織業(yè)務(wù)交流的過程中使用，來自這些系統(tǒng)和應(yīng)用軟件的問題和缺陷會(huì)對(duì)一系列系統(tǒng)造成影響，特別是在多個(gè)應(yīng)用系統(tǒng)互聯(lián)時(shí)，影響會(huì)涉及整個(gè)組織的多個(gè)系統(tǒng)。例如，部分系統(tǒng)具有維護(hù)困難、結(jié)構(gòu)不完善、缺乏文檔和設(shè)計(jì)有漏洞等多個(gè)隱患，有時(shí)就會(huì)在系統(tǒng)升級(jí)和安裝補(bǔ)丁的時(shí)候引入較高的風(fēng)險(xiǎn)。

（四）物理環(huán)境風(fēng)險(xiǎn)

由于組織缺乏對(duì)組織場(chǎng)所的安全保衛(wèi)，或者缺乏防水、防火、防雷等防護(hù)措施，在面臨自然災(zāi)難時(shí)，可能會(huì)造成極大的損失。

二、外匯信息安全基本準(zhǔn)則和特性

外匯信息系統(tǒng)是一個(gè)以保障外匯業(yè)務(wù)系統(tǒng)正常運(yùn)行的專用的信息系統(tǒng)，近年來在不斷加大信息科技方面投入、加快信息化建設(shè)的過程中得到了有效整合和完善。為有效應(yīng)對(duì)外匯信息系統(tǒng)安全風(fēng)險(xiǎn)，科技部門應(yīng)同步提升科技管理制度的完整性和執(zhí)行力度、管理精細(xì)化程度。制定外匯信息系統(tǒng)安全的具體保障措施之前，首先需要我們認(rèn)清信息安全的基本準(zhǔn)則和一些特性：

（一）信息安全短板效應(yīng)

對(duì)信息系統(tǒng)安全所涉及的領(lǐng)域進(jìn)行安全保護(hù)即全面構(gòu)筑外匯管理信息安全保障工作，重點(diǎn)加強(qiáng)對(duì)安全洼地、薄弱環(huán)節(jié)的安全防護(hù)。

（二）信息安全系統(tǒng)化

信息系統(tǒng)安全其實(shí)是一項(xiàng)系統(tǒng)工程，要從管理、技術(shù)、工程等層面總體考量，全面保障外匯管理局信息系統(tǒng)安全。

（三）信息安全動(dòng)態(tài)化

信息安全保障措施所防范的對(duì)象是一個(gè)動(dòng)態(tài)變化的過程，所以信息系統(tǒng)也應(yīng)該隨著內(nèi)外部安全形勢(shì)的變化不斷改進(jìn)。

（四）信息安全常態(tài)化

信息安全從時(shí)間角度看是一個(gè)長期存在的問題，只有在信息安全技術(shù)方面嚴(yán)格把握重點(diǎn)，綜合信息安全體系的可持續(xù)構(gòu)建，才能保障外匯管理局信息系統(tǒng)安全。

（五）系統(tǒng)操作權(quán)責(zé)明確

信息系統(tǒng)安全的前提是要嚴(yán)格內(nèi)部授權(quán)，劃分各崗位職責(zé)，如加大內(nèi)控風(fēng)險(xiǎn)防范和控制。使各系統(tǒng)角色操作者權(quán)限形成相互制約的控制機(jī)制。

三、外匯信息安全保障應(yīng)對(duì)措施

外匯信息安全工作應(yīng)以信息系統(tǒng)所面臨的安全威脅依據(jù)，遵循基本準(zhǔn)則，以信息基礎(chǔ)設(shè)施建設(shè)和安全管理制度為我切入點(diǎn)制定相應(yīng)的防護(hù)措施。

（一）建立系統(tǒng)性的安全管理制度

安全管理制度要包括人員管理、資產(chǎn)管理、數(shù)據(jù)管理、網(wǎng)絡(luò)管理、運(yùn)維管理、應(yīng)急管理、事后審查等方面內(nèi)容

（二）建立良好的網(wǎng)絡(luò)信息安全防護(hù)體系

從物理環(huán)境安全、網(wǎng)絡(luò)邊界安全、設(shè)備安全、應(yīng)用系統(tǒng)安全以及數(shù)據(jù)安全等方面部署相關(guān)的安全防護(hù)設(shè)備和措施。

（三）定期進(jìn)行信息安全教育培訓(xùn)

因信息技術(shù)行業(yè)快速發(fā)展，信息安全形勢(shì)也在不斷變化，外匯管理局科技部門可定期對(duì)轄內(nèi)外匯信息系統(tǒng)維護(hù)和操作人員進(jìn)行信息系統(tǒng)安全培訓(xùn)，更新安全知識(shí)。為了有效防范未知威脅和隱患，外匯管理局科技部門可對(duì)轄內(nèi)定期開展信息系統(tǒng)安全檢查，確保外匯信息系統(tǒng)安全有效運(yùn)行，保障外匯信息的可控、可用和完整性。

（四）開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，進(jìn)一步做好系統(tǒng)等保工作

首先對(duì)外匯信息系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估識(shí)別威脅外匯信息系統(tǒng)安全的風(fēng)險(xiǎn)，作為制定、實(shí)施安全策略、措施的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估同時(shí)也是外匯信息系統(tǒng)安全等級(jí)保護(hù)的重要前提與依據(jù)。其次確定信息系統(tǒng)安全級(jí)別，根據(jù)級(jí)別的不同，實(shí)施對(duì)應(yīng)的保護(hù)措施，啟動(dòng)對(duì)應(yīng)級(jí)別的安全事件應(yīng)急響應(yīng)程序。

（五）運(yùn)用入侵檢測(cè)等技術(shù)，預(yù)防惡意攻擊

隨著技術(shù)發(fā)展，當(dāng)前惡意攻擊手段呈現(xiàn)越來越隱蔽的趨勢(shì)，需要科技部門采用具有預(yù)警功能的技術(shù)手段來應(yīng)對(duì)，如入侵檢測(cè)、數(shù)據(jù)挖掘等技術(shù)，通過分析歷史數(shù)據(jù)，發(fā)現(xiàn)當(dāng)前安全措施的缺陷，及時(shí)糾正和預(yù)防內(nèi)外部風(fēng)險(xiǎn)再次發(fā)生。

（六）完善監(jiān)督管理，實(shí)施信息安全自查與檢查相結(jié)合

查找現(xiàn)有信息化建設(shè)工作中的薄弱環(huán)節(jié)，井切實(shí)進(jìn)行整改，建立良性的信息安全管理機(jī)制。開展信息安全檢查與自查是完善信息安全監(jiān)督管理工作的有效方式之一，其中信息安全檢查方案的設(shè)計(jì)是安全檢查的核心，科技部門需要根據(jù)外匯業(yè)務(wù)實(shí)際情況，將外匯管理局有關(guān)要求進(jìn)行梳理完善，對(duì)相應(yīng)風(fēng)險(xiǎn)點(diǎn)進(jìn)行總結(jié)和歸納，科學(xué)設(shè)計(jì)了信息安全檢查方案。

參考文獻(xiàn)

[1]林國恩.信息系統(tǒng)安全[M].北京：電子工業(yè)出版社.2010

第7篇：信息安全應(yīng)急管理制度范文

鐵路信息安全建設(shè)和運(yùn)行必須結(jié)合鐵路信息化實(shí)際情況，從管理和技術(shù)兩個(gè)層面綜合保證鐵路信息系統(tǒng)的運(yùn)行操作安全，保障鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的運(yùn)行安全，并最終保障鐵路運(yùn)輸業(yè)務(wù)及運(yùn)輸服務(wù)的安全。鐵路信息安全保障體系結(jié)構(gòu)見圖1。管理和技術(shù)是鐵路信息安全保障體系的兩個(gè)要素，是保證鐵路信息系統(tǒng)及其所支撐的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)安全建設(shè)和運(yùn)行的必要條件。在這兩個(gè)安全要素中，管理是核心，是基礎(chǔ)，它影響和決定技術(shù)的選擇以及技術(shù)標(biāo)準(zhǔn)規(guī)范；反過來，技術(shù)也會(huì)影響到信息安全管理方式和管理制度的具體形式，降低管理成本。在安全管理層面中，國家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設(shè)和安全運(yùn)維的管理基礎(chǔ)；鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn)；鐵路信息安全組織保障是落實(shí)鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責(zé)基礎(chǔ)和人員保障；信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準(zhǔn)確地落實(shí)和執(zhí)行的保證。管理安全保證不僅通過方針政策法規(guī)、組織保障、管理制度、意識(shí)培養(yǎng)培訓(xùn)教育等形式直接對(duì)鐵路業(yè)務(wù)提供安全支持和保障外，還通過對(duì)信息安全技術(shù)的影響間接地保護(hù)鐵路業(yè)務(wù)安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)范的重要基礎(chǔ)，同時(shí)，它們也會(huì)對(duì)信息安全方案的設(shè)計(jì)、產(chǎn)品選擇和采購方式產(chǎn)生不同程度的影響。在安全管理控制下，只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下，執(zhí)行規(guī)定的操作流程；鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動(dòng)的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中各主要階段的過程安全。鐵路信息系統(tǒng)由鐵路外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專網(wǎng)組成，鐵路的各種應(yīng)用業(yè)務(wù)都直接運(yùn)行在這些系統(tǒng)之上，為了更好地支撐這些業(yè)務(wù)系統(tǒng)的安全運(yùn)行，支持鐵路統(tǒng)一的安全管理，在鐵路信息系統(tǒng)中還包括災(zāi)備中心、數(shù)字證書系統(tǒng)、集中管理及認(rèn)證授權(quán)中心等安全基礎(chǔ)設(shè)施系統(tǒng)或安全平臺(tái)，這些安全基礎(chǔ)設(shè)施及其所服務(wù)的鐵路應(yīng)用業(yè)務(wù)系統(tǒng)的運(yùn)行安全是鐵路運(yùn)輸業(yè)務(wù)及服務(wù)正常安全運(yùn)行的環(huán)境保障。

2安全保障體系要素

在鐵路信息系統(tǒng)中，無論是系統(tǒng)的建設(shè)、運(yùn)行、災(zāi)難恢復(fù)、事件處置等活動(dòng)，還是其支撐的運(yùn)輸業(yè)務(wù)和服務(wù)等系統(tǒng)目標(biāo)，都離不開管理和技術(shù)兩個(gè)安全要素的綜合保證，其中管理是核心，在安全管理措施的控制下，只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下，執(zhí)行規(guī)定的操作流程。

2.1鐵路信息安全管理體系

鐵路信息安全管理體系必須以國家信息安全相關(guān)法規(guī)、政策和標(biāo)準(zhǔn)以及鐵路相關(guān)法規(guī)政策為基礎(chǔ)和依據(jù)。按照GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》等國家標(biāo)準(zhǔn)和指南，結(jié)合我國鐵路實(shí)際情況，將鐵路信息安全管理體系劃分為11個(gè)安全控制類別，其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務(wù)、信息安全環(huán)境、設(shè)備使用、通信網(wǎng)絡(luò)、配置授權(quán)、安全事件處置、安全運(yùn)維、安全合規(guī)和災(zāi)備恢復(fù)等管理內(nèi)容；在11個(gè)安全控制類別的基礎(chǔ)上，建立鐵路信息安全管理制度框架，如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問管理制度、人員安全培訓(xùn)制度、機(jī)房管理制度、產(chǎn)品準(zhǔn)入制度、系統(tǒng)運(yùn)維制度、安全事件處理流程規(guī)定、介質(zhì)管理制度、電子郵件使用管理規(guī)定、鐵路軟件開發(fā)管理流程規(guī)定等（見圖2）。

2.2鐵路信息安全技術(shù)框架

鐵路信息安全技術(shù)框架是鐵路信息安全保障體系的重要組成內(nèi)容，主要包括安全管理、身份管理、授權(quán)管理、災(zāi)備管理、監(jiān)控審計(jì)、可信保證等技術(shù)機(jī)制（見圖3）。管理安全是統(tǒng)領(lǐng)鐵路信息安全保障的綱領(lǐng)，綱舉才能目張，構(gòu)建一個(gè)全路信息系統(tǒng)可視化管理平臺(tái)，以便對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運(yùn)維狀態(tài)等關(guān)鍵信息進(jìn)行全局的監(jiān)控，提高對(duì)系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺(tái)、授權(quán)管理機(jī)制和責(zé)任認(rèn)定構(gòu)成的鐵路網(wǎng)絡(luò)信任管理體系是保障鐵路信息安全可信和安全的前提。全路災(zāi)難備份和恢復(fù)策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務(wù)可持續(xù)性的后盾。以密碼技術(shù)為基礎(chǔ)的可信計(jì)算技術(shù)為軟硬件資源的安全和隔離提供了結(jié)構(gòu)化保證，為計(jì)算環(huán)境的可信可靠（完整性）提供了有效的判別手段，為關(guān)鍵數(shù)據(jù)提供了可信安全存儲(chǔ)，為分布式計(jì)算的安全機(jī)制一致性和網(wǎng)絡(luò)接入控制提供了遠(yuǎn)程可信證明方法。可信計(jì)算技術(shù)是構(gòu)建鐵路信息安全保障體系的基礎(chǔ)支撐。

2.3鐵路信息安全的組織保證

鐵路信息系統(tǒng)安全應(yīng)該在組織上加以保證。在具體組織形式上應(yīng)該由中國鐵路總公司（簡(jiǎn)稱總公司）主管領(lǐng)導(dǎo)和部門具體負(fù)責(zé)鐵路信息安全的領(lǐng)導(dǎo)和組織工作，由相關(guān)專業(yè)職能部門分工協(xié)作，在鐵路信息化的整體工作布局中設(shè)置專門機(jī)構(gòu)和崗位、明確相關(guān)職責(zé)、配備信息安全專業(yè)技術(shù)和管理人員，確保信息安全管理制度的有效落實(shí)和信息安全技術(shù)機(jī)制的可操作性。鐵路信息安全組織保證框架見圖4。總公司信息安全主管部門應(yīng)該包括以下職能機(jī)構(gòu)：法規(guī)政策標(biāo)準(zhǔn)管理機(jī)構(gòu)負(fù)責(zé)制定鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范，并負(fù)責(zé)鐵路業(yè)務(wù)應(yīng)用密碼的管理工作；安全建設(shè)運(yùn)維管理機(jī)構(gòu)根據(jù)鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范，參與鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的設(shè)計(jì)、開發(fā)和運(yùn)維審核和監(jiān)管工作；信息安全風(fēng)險(xiǎn)管理機(jī)構(gòu)負(fù)責(zé)對(duì)進(jìn)入鐵路信息系統(tǒng)的相關(guān)產(chǎn)品進(jìn)行測(cè)評(píng)認(rèn)證，對(duì)運(yùn)行系統(tǒng)進(jìn)行安全監(jiān)控，負(fù)責(zé)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理工作；安全事件處置管理機(jī)構(gòu)負(fù)責(zé)對(duì)系統(tǒng)緊急事件進(jìn)行處理，對(duì)輿情進(jìn)行綜合分析，并根據(jù)事件性質(zhì)和處理結(jié)果對(duì)事件進(jìn)行通報(bào)；安全保密培訓(xùn)服務(wù)中心負(fù)責(zé)全路的信息安全法律法規(guī)、政策標(biāo)準(zhǔn)、安全意識(shí)和安全技能的培訓(xùn)提高工作，負(fù)責(zé)組織安排和協(xié)調(diào)社會(huì)力量以及高校等培訓(xùn)機(jī)構(gòu)具體實(shí)施常態(tài)化信息安全培訓(xùn)工作；安全災(zāi)備恢復(fù)管理機(jī)構(gòu)負(fù)責(zé)重要信息系統(tǒng)的運(yùn)行和數(shù)據(jù)備份實(shí)施工作，并在系統(tǒng)出現(xiàn)嚴(yán)重故障后，迅速協(xié)調(diào)相關(guān)部門恢復(fù)服務(wù)或業(yè)務(wù)數(shù)據(jù)，保障關(guān)鍵業(yè)務(wù)服務(wù)的運(yùn)行連續(xù)性。各鐵路局（公司）應(yīng)該參照總公司信息安全管理組織結(jié)構(gòu)，設(shè)置相關(guān)部門或相關(guān)專職崗位，并有鐵路局（公司）領(lǐng)導(dǎo)具體分管信息安全工作。鐵路局（公司）信息安全工作應(yīng)該在總公司統(tǒng)一組織、協(xié)調(diào)和安排下開展具體工作。

2.4鐵路信息系統(tǒng)安全基礎(chǔ)設(shè)施

鐵路信息系統(tǒng)必須依賴于鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施作為其安全支撐基礎(chǔ)。鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施不僅可以落實(shí)鐵路集中統(tǒng)一安全管理的要求，提高鐵路信息系統(tǒng)的安全水平，還能有效降低鐵路信息安全的建設(shè)和運(yùn)維成本。鐵路信息安全基礎(chǔ)設(shè)施包括鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心、鐵路業(yè)務(wù)應(yīng)用密碼管理中心、數(shù)字證書系統(tǒng)、集中安全管理及認(rèn)證授權(quán)中心、安全監(jiān)控中心、安全隔離平臺(tái)、信息安全培訓(xùn)平臺(tái)以及鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)（見圖5）。鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心可以將由于系統(tǒng)重大故障或破壞帶來的業(yè)務(wù)中斷降低到最小程度，提高鐵路的服務(wù)水平；鐵路業(yè)務(wù)應(yīng)用密碼管理中心是保護(hù)鐵路重要數(shù)據(jù)安全和業(yè)務(wù)安全的基礎(chǔ)保證，同時(shí)它也是全路統(tǒng)一信任體系的技術(shù)基礎(chǔ)；鐵路數(shù)字證書系統(tǒng)可以在全路范圍內(nèi)建立統(tǒng)一的身份認(rèn)證體系，提高鐵路的信息安全集中管理能力，降低安全管理成本；鐵路集中管理及認(rèn)證授權(quán)中心通過全路集中的信息安全平臺(tái)實(shí)現(xiàn)高效、統(tǒng)一的安全管理，保證安全策略的快速一致化部署；鐵路信息系統(tǒng)安全監(jiān)控中心可以對(duì)鐵路信息系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控，掌握鐵路信息系統(tǒng)的運(yùn)行態(tài)勢(shì)，從而實(shí)現(xiàn)在鐵路信息系統(tǒng)中防患于未然，有效降低系統(tǒng)安全風(fēng)險(xiǎn)；鐵路安全隔離平臺(tái)是隔離鐵路內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)的安全措施，它保證了鐵路安全生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行；鐵路信息安全培訓(xùn)平臺(tái)對(duì)保證提高鐵路員工的信息安全意識(shí)、培養(yǎng)安全素養(yǎng)極為重要，是人員安全的必要保證；鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)對(duì)鐵路了解社會(huì)評(píng)價(jià)、改善鐵路社會(huì)化服務(wù)水平、提高鐵路形象至為關(guān)鍵。

2.5鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理

要搞好鐵路信息系統(tǒng)的信息安全管理，離不開相關(guān)人員的安全意識(shí)培養(yǎng)、技能培訓(xùn)和專業(yè)教育。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育分別針對(duì)不同層次和專業(yè)的人員而設(shè)。信息安全意識(shí)培養(yǎng)通過對(duì)信息安全術(shù)語、議題和基本概念的宣傳、宣導(dǎo)，吸引一般人群對(duì)信息安全的關(guān)注，幫助人們了解信息安全所關(guān)注的問題，并能因此產(chǎn)生正確的響應(yīng)；信息安全培訓(xùn)讓信息系統(tǒng)相關(guān)人員獲得相關(guān)的技能和必備的資質(zhì)，使其在信息安全管理、設(shè)計(jì)、開發(fā)、建設(shè)、運(yùn)維、操作、評(píng)估和使用等方面滿足與信息安全相關(guān)的崗位職能要求，培訓(xùn)可以分為初級(jí)、中級(jí)和高級(jí)等多個(gè)層次；信息安全教育則從信息安全專業(yè)理論、技術(shù)、經(jīng)驗(yàn)等方面培養(yǎng)信息安全專家，與信息安全培訓(xùn)一樣，這種信息安全教育也應(yīng)分為初級(jí)、中級(jí)和高級(jí)等多個(gè)層次。為降低信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育的管理和運(yùn)作成本，鐵路信息安全資質(zhì)認(rèn)證也可以和國家其他部門的資質(zhì)認(rèn)證機(jī)構(gòu)合作，對(duì)一些可信度高、有較高權(quán)威的信息安全資質(zhì)證書采取等同認(rèn)可方法。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理框架見圖6。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理可分為兩方面：一方面是針對(duì)全部相關(guān)人員的信息安全意識(shí)培養(yǎng)。安全意識(shí)培養(yǎng)是一個(gè)長期的宣傳和貫導(dǎo)工作，可以通過制度獎(jiǎng)懲、危機(jī)教育、標(biāo)語口號(hào)等方式建立普遍的信息安全概念，推廣信息安全文化；另一方面是針對(duì)崗位定義不同的信息安全資質(zhì)要求，并這對(duì)這些資質(zhì)要求建立相對(duì)應(yīng)的信息安全技能和專業(yè)培訓(xùn)、教育，為了滿足這些資質(zhì)培訓(xùn)教育工作，總公司必須建立相關(guān)的培訓(xùn)和認(rèn)證機(jī)制，設(shè)置相關(guān)的機(jī)構(gòu)。

2.6系統(tǒng)流程及操作安全保證

系統(tǒng)流程和操作安全是指鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動(dòng)的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中主要階段的過程安全。在鐵路信息安全建設(shè)和運(yùn)行過程中，要制定并依托相關(guān)的鐵路網(wǎng)絡(luò)與信息安全管理制度、技術(shù)標(biāo)準(zhǔn)規(guī)范和組織部門機(jī)構(gòu)，對(duì)系統(tǒng)的安全設(shè)計(jì)、產(chǎn)品測(cè)評(píng)準(zhǔn)入、安全工程等過程進(jìn)行安全管控，從根本上杜絕系統(tǒng)在結(jié)構(gòu)上的安全缺陷、嚴(yán)防不合規(guī)的產(chǎn)品進(jìn)入系統(tǒng)、保證系統(tǒng)建設(shè)施工的安全規(guī)范；在鐵路信息系統(tǒng)的日常運(yùn)行過程中，也必須建立系統(tǒng)風(fēng)險(xiǎn)監(jiān)控、評(píng)估和控制的管理和技術(shù)體系，通過專業(yè)專職的機(jī)構(gòu)和部門，對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控、對(duì)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行定期或不定期的評(píng)估；對(duì)安全事件進(jìn)行預(yù)案規(guī)劃、演練和應(yīng)急處置，避免重大安全事件的發(fā)生；對(duì)系統(tǒng)服務(wù)或重要數(shù)據(jù)實(shí)施安全災(zāi)備，最大程度地減少系統(tǒng)故障帶來的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)中斷時(shí)間，減小風(fēng)險(xiǎn)后果。鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)流程見圖7。

3結(jié)束語

第8篇：信息安全應(yīng)急管理制度范文

關(guān)鍵詞：企業(yè)；檔案；安全；體系

1 概述

檔案安全是檔案工作的底線和紅線，事關(guān)黨和國家的根據(jù)利益。檔案安全體系是“三個(gè)體系”建設(shè)的根本保障，是順應(yīng)黨和國家的方針政策和檔案事業(yè)發(fā)展規(guī)律而產(chǎn)生的實(shí)踐體系，是我國檔案事業(yè)的重要組成部分。加強(qiáng)檔案安全體系建設(shè)，對(duì)于維護(hù)黨和國家的歷史記憶、推動(dòng)檔案事業(yè)發(fā)展、服務(wù)全面建成小康社會(huì)具有十分重要的意義。

2 企業(yè)檔案安全體系的內(nèi)涵

企業(yè)檔案安全體系是確保檔案實(shí)體和信息安全的基礎(chǔ)設(shè)施齊備、各項(xiàng)制度完善、整理操作規(guī)范的系統(tǒng)工程。企業(yè)檔案安全體系建設(shè)包含三個(gè)層面：一是確保檔案實(shí)體的安全，不損毀、不丟失；二是確保檔案信息的安全，不失密、不泄密；三是確保檔案的完整齊全并盡量延長檔案實(shí)體和信息的保存時(shí)限。

3 企業(yè)檔案安全體系建設(shè)存在的問題

3.1 人員安全意識(shí)薄弱

檔案安全往往被當(dāng)作僅是辦公室或檔案室的責(zé)任，忽視各部門的主體責(zé)任。部分人員對(duì)檔案安全工作的重要性和必要性認(rèn)識(shí)不足，在收集、整理、利用環(huán)節(jié)，歸檔不全、把關(guān)不嚴(yán)、傳輸隨意，對(duì)檔案實(shí)體的保護(hù)、信息的保密意識(shí)欠強(qiáng)。

3.2 建設(shè)缺乏整體規(guī)劃

頂層設(shè)計(jì)時(shí)沒有系統(tǒng)化、統(tǒng)籌安排，沒有納入到企業(yè)的信息化系統(tǒng)建設(shè)，制定單項(xiàng)制度或系統(tǒng)時(shí)，缺乏一定的操作性和其他系統(tǒng)的兼容性，換版或升級(jí)未綜合考慮各方因素，檔案安全系統(tǒng)建設(shè)缺乏前瞻性。

3.3 防護(hù)設(shè)施欠完備

檔案庫房設(shè)計(jì)欠規(guī)范，檔案室選址欠科學(xué)，室內(nèi)設(shè)施設(shè)備欠完整。基礎(chǔ)設(shè)施投入不足，部分單位沒有專門設(shè)備存放特種載體檔案、實(shí)物檔案，沒有溫度濕度控制、火災(zāi)報(bào)警、監(jiān)控等系統(tǒng)。

3.4 安全技術(shù)措施簡(jiǎn)單

對(duì)檔案信息的內(nèi)容安全層、訪問安全層、傳輸安全層、環(huán)境安全層技術(shù)管理手段簡(jiǎn)單，存在一定的漏洞，監(jiān)控力度不夠。數(shù)據(jù)備份機(jī)制不夠完善、備份方式單一。

3.5 管理制度執(zhí)行不嚴(yán)

制定了系列檔案安全建設(shè)制度，但對(duì)執(zhí)行情況未進(jìn)行考核和檢查，使得制度執(zhí)行力度大打折扣，未執(zhí)行或部分執(zhí)行的現(xiàn)象時(shí)有發(fā)生。或者雖有考核，但沒有獎(jiǎng)罰措施，嚴(yán)重影響到制度的嚴(yán)肅性和執(zhí)行力。

4 企業(yè)檔案安全體系發(fā)展策略

檔案安全工作要整體規(guī)劃、統(tǒng)籌安排、科學(xué)實(shí)施。采取“三位一體、三維覆蓋、三措并舉”的檔案安全“三三策略”，切實(shí)加強(qiáng)檔案安全體系建設(shè)，確保檔案實(shí)體和信息安全，在確保完整性的基礎(chǔ)上延長檔案的保存時(shí)限。

4.1 安全防范“三位一體”，堅(jiān)持根本抓人防、夯實(shí)基礎(chǔ)抓物防、注重創(chuàng)新抓技防

（1）堅(jiān)持根本抓人防：檔案安全的最大保障是人的責(zé)任。一是樹立科學(xué)的檔案信息安全觀，加強(qiáng)對(duì)檔案信息安全主體、檔案信息安全內(nèi)容、檔案信息安全方式認(rèn)識(shí)的綜合。二是開展全員檔案安全教育培訓(xùn)，切實(shí)提高人員的安全意識(shí)和工作責(zé)任感。三是推進(jìn)素質(zhì)提升工程，培育具備檔案專業(yè)知識(shí)和安全信息處理能力復(fù)合型人才。

（2）夯實(shí)基礎(chǔ)抓物防：檔案室是保障檔案安全的物質(zhì)基礎(chǔ)。一是庫房要落實(shí)“八防”即防盜、防光、防高溫、防火、防潮、防塵、防鼠、防蟲措施。二是加大基礎(chǔ)投入資金，確保檔案安全基礎(chǔ)設(shè)施到位。三是加大科技應(yīng)用，提升安全保密技術(shù)，建立完善監(jiān)控系統(tǒng)、消防滅火系統(tǒng)、溫濕度控制系統(tǒng)。四是堅(jiān)持實(shí)行定期保潔、檢查制度，每月進(jìn)行消防檢查，每季度徹底進(jìn)行一次衛(wèi)生大清掃，每年進(jìn)行庫房年度檔案盤查。

（3）注重創(chuàng)新抓技防。一是通過數(shù)據(jù)加密技術(shù)確保內(nèi)容的安全；二是主要通過身份認(rèn)證技術(shù)、訪問控制技術(shù)等手段確保訪問的安全；三是通過防火墻技術(shù)、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)隔離技術(shù)等手段確保傳輸?shù)陌踩凰氖沁\(yùn)用電磁輻射防護(hù)技術(shù)確保環(huán)境的安全，不讓竊取方接受到信息輻射的信號(hào)和復(fù)原出有關(guān)的真實(shí)信息。五是學(xué)以致用，不斷把先進(jìn)的科技應(yīng)用到企業(yè)檔案安全建設(shè)中。

4.2 安全監(jiān)管“三維覆蓋”：檔案室內(nèi)安全與室外安全并軌，實(shí)體安全與信息安全并重，線上安全與線下安全并舉

（1）檔案室內(nèi)安全與室外安全并軌。一是加強(qiáng)檔案室內(nèi)的查閱監(jiān)控和銷毀控制，未經(jīng)領(lǐng)導(dǎo)審批同意，檔案原件不得外借，未經(jīng)檔案銷毀領(lǐng)導(dǎo)小組審批，不得私自銷毀檔案。二是預(yù)防為主，前移安全防線，加強(qiáng)主動(dòng)防范，確保源頭檔案收集工作的完整性、多樣性，內(nèi)容豐富、種類齊全。三是加強(qiáng)利用環(huán)節(jié)的安全保密工作，室內(nèi)檔案不隨意破壞、不私自加工，內(nèi)容不隨意傳播、不私自上傳網(wǎng)絡(luò)，不得將未經(jīng)審批的檔案信息進(jìn)個(gè)人網(wǎng)絡(luò)宣傳。

（2）實(shí)體安全與信息安全并重：一是實(shí)施定期檢查制度，由專人負(fù)責(zé)定期對(duì)實(shí)體和信息檔案狀態(tài)進(jìn)行檢查，采用“消號(hào)”式進(jìn)行整改處理。二是加強(qiáng)重點(diǎn)檔案搶救修復(fù)工作，及時(shí)加固易碎、易裂的檔案，及時(shí)除霉去污霉變檔案，定期轉(zhuǎn)存聲像檔案。三是重視檔案信息安全工作，落實(shí)數(shù)據(jù)采集、數(shù)據(jù)傳輸、存諸處理、分析應(yīng)用等各環(huán)節(jié)保障網(wǎng)絡(luò)和信息安全工作，加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控力度，確保檔案信息安全。

（3）線上安全與線下安全并舉：一是全面梳理平臺(tái)漏洞，真正發(fā)揮非網(wǎng)功能，確保檔案的安全。二是加強(qiáng)信息中心機(jī)房重地管理工作，無關(guān)人員不得進(jìn)入機(jī)房，確需進(jìn)入要進(jìn)行人員登記。嚴(yán)格管理接入硬件設(shè)備介質(zhì)，在操作系統(tǒng)中安裝殺毒軟件，定期掃描系統(tǒng)漏洞。三是加強(qiáng)登記備份推進(jìn)工作，做到多位置保存數(shù)據(jù)及數(shù)據(jù)完整性恢復(fù)能力。

4.3 安全保障“三措并舉”：加強(qiáng)制度體系建設(shè)，加強(qiáng)安全條件保障，加強(qiáng)安全風(fēng)險(xiǎn)管控

（1）加強(qiáng)制度體系建設(shè)。管理制度是保障檔案信息安全的重要措施。建立健全計(jì)算機(jī)和信息系統(tǒng)、人員安全管理、信息系統(tǒng)運(yùn)行環(huán)境安全管理等制度，嘗試推行安全信息審計(jì)、安全追責(zé)等制度，強(qiáng)化制度執(zhí)行的剛性、管理的柔性，增強(qiáng)制度規(guī)范的可操作性。

（2）加強(qiáng)安全條件保障：一是調(diào)撥檔案安全管理專項(xiàng)經(jīng)費(fèi)，加強(qiáng)檔案室、檔案設(shè)施設(shè)備、檔案信息系統(tǒng)建設(shè)，為安全提供硬件和軟件上的基礎(chǔ)和技術(shù)保障。二是實(shí)施責(zé)任清單和移交清單，特別關(guān)注特殊時(shí)期的檔案接收工作，特別涉及到機(jī)構(gòu)變動(dòng)、人員調(diào)整時(shí)的檔案移交。三是加強(qiáng)對(duì)檔案安全工作的審計(jì)，對(duì)因人為因素造成的檔案安全問題，要進(jìn)行及時(shí)整改和處罰，由此引發(fā)的檔案安全事故，要堅(jiān)決追責(zé)。同時(shí)也要積極獎(jiǎng)勵(lì)優(yōu)秀的檔案管理人員，形成人人抓安全、事事重安全、時(shí)時(shí)保安全的工作氛圍。

（3）加強(qiáng)安全風(fēng)險(xiǎn)管控：定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定可行的應(yīng)急預(yù)案。一是明確響應(yīng)和處置的范圍、制定安全應(yīng)急處理流程，實(shí)施應(yīng)急處理方法。二是定期不定時(shí)對(duì)應(yīng)急預(yù)案進(jìn)行演練，加強(qiáng)應(yīng)急預(yù)案的實(shí)際可操作性。三是在安全事件報(bào)告和響應(yīng)處理過程中，分析原因，記錄過程，總結(jié)教訓(xùn)，制定防止再次發(fā)生的補(bǔ)救措施。

參考文獻(xiàn)

[1]劉蕓.完善安全體系加強(qiáng)風(fēng)險(xiǎn)監(jiān)管[J].中國檔案，2016，7.

[2]李玉紅.檔案安全體系建設(shè)中存在的問題及對(duì)策[J].檔案管理，2014（06）.

第9篇：信息安全應(yīng)急管理制度范文

企業(yè)經(jīng)營信息對(duì)于企業(yè)來說是一種資源，對(duì)于企業(yè)自身來說具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來，企業(yè)的各項(xiàng)經(jīng)營活動(dòng)都逐漸開始通過計(jì)算機(jī)，網(wǎng)絡(luò)開展，因此，企業(yè)的信息安全管理對(duì)于企業(yè)越來越重要。許多企業(yè)開始通過各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來，這是一個(gè)正確的選擇，能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡(jiǎn)單來說是指企業(yè)通過各種手段來保護(hù)企業(yè)硬件和軟件，保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過包括4個(gè)指標(biāo)，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理，其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來講，最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營信息數(shù)據(jù)的完整。經(jīng)過近十年來的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。

所以，怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來就是擺在企業(yè)經(jīng)營管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估，并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn)，從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來不必要的損失。常見的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一，建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度，明確企業(yè)信息安全管理的責(zé)任分配機(jī)制，明確企業(yè)各個(gè)部門對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任，并建立相應(yīng)的問責(zé)機(jī)制。第二，設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo)，對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí)，方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三，企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí)，讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合，重視企業(yè)信息安全管理工作，通過風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來說，企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作，因此，必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì)，目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上，對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險(xiǎn)意識(shí)并沒有嚴(yán)格要求。此外，絕大多數(shù)企業(yè)并沒有意識(shí)開展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒有通過建立相關(guān)管理制度以及問責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督，這無疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計(jì)算機(jī)技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當(dāng)說成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過關(guān)，一方面企業(yè)的信息安全管理硬件并不過關(guān)，在物理層面對(duì)企業(yè)信息缺乏保護(hù)，另一方面，企業(yè)信息安全管理工作的專業(yè)技術(shù)沒有及時(shí)更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn)，企業(yè)信息安全管理的知識(shí)也并沒有及時(shí)更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來網(wǎng)絡(luò)病毒的傳播越來越猖狂，很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問題。作為一個(gè)行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一，企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足，對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒有及時(shí)更新，使用，甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān)，認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒有形成聯(lián)動(dòng)機(jī)制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門“一人包干”，企業(yè)信息安全反映的問題并沒有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu)，它的設(shè)計(jì)初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來實(shí)現(xiàn)，而安全服務(wù)又是由各種安全機(jī)制來保障的。所以，安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分：響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn)，為安全管理提供管理途徑和保障手段。因此，要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過程，必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng)，防護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來突破的，比如有防火墻、訪問控制、加密、認(rèn)證等方法，檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù)，同時(shí)也是有力落實(shí)安全策略的實(shí)施工具，通過監(jiān)視來自網(wǎng)絡(luò)的入侵行為，可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強(qiáng)調(diào)動(dòng)態(tài)管理，動(dòng)態(tài)監(jiān)督，對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理，在實(shí)際工作中，通過HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個(gè)全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個(gè)子系統(tǒng)，明確實(shí)施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合，實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個(gè)中央數(shù)據(jù)庫，整合分布式數(shù)據(jù)庫里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫，實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

（3）設(shè)計(jì)優(yōu)良的人機(jī)界面，通過對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用，為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道，對(duì)應(yīng)用程序和數(shù)據(jù)庫進(jìn)行程序化設(shè)計(jì)，加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

（1）確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過程中，首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)，只有明確了企業(yè)信息安全管理的目標(biāo)，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度，才能順利通過對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核，檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn)，定性定量地企業(yè)信息安全管理工作進(jìn)行分析，找準(zhǔn)企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的，因此，對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法，其中，不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同，企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來制定。不僅如此，企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營情況變化采取有針對(duì)性的辦法。