企业信息安全保障体系建设探索
电力企业信息安全保障体系建设探讨
2 电力 企业信 息 安全保 障体 系建设
安全体系建设是一个整体 、系统 的工程 ,不是刻板 的 “ 管理 教条” ,不是简单的 “ 技术积木” 。必须 以预防为主,管理与技术 双管齐下 ,相辅相成实现全面 、完整 、高效 的一体化安全体系建 设 ,为公 司的生产经营业务发展提供坚实的信息安全保 障。 2 . 1 信 息安全管理保 障体 系建设
科 学 之 友
F r i e n d o f S c i e n c e A m a t e u r s
2 0 1 3 年1 2 月
电力企 业信 息安全保 障体 系建设探讨
陈 J _ ; ; 己
( 江苏省 电力公 司常州供 电公 司,江苏 常州 2 1 3 0 0 0 )
一
人 的不安全 行为是导致信息系统事件发生的主要原 因,仅 凭信息人员 “ 救火式”的维护只能 “ 头疼 医头 、 脚痛治脚 ” , 治 标不治本 。提升全体 员工的信息安全意识才是保障安全的最关 键 因素 。常州公 司在人员培训方面采用分层面教育 ,多方式宣 传 ,创新新 式 ,不留死角 ,全方位营造安全氛 围,普及安全教
和安全责任制 的落实 。常州公 司构建了从公司领导到各部 门分 管负责人为成员 的信息安全 组织体系 ,公司设置信息安全管理 岗位 ,各基层单位均 明确信 息化网络管理成员专职 ( 兼职 ) 人 员 ,负责本单位信息安全工作的组织和项 目实施 。 2 . 1 . 2 规 章制度 “ 没有规矩 ,不成 方圆。 ”建章立制 、明确职责是加强 和规 范公 司信 息安全工作 ,做到 “ 流程管事 ,制 度管人 ,规范管理” 的前 提与基础 。常州公司修订完善了 《 信息化工作考核办法 》 、 《 信 息设 备管理办法 》 、《 网络与信息 系统突发事件应急预案 》 等一 系列制度 。对于制度 的执行情况 ,公司每季组织安全检查 , 每月 发布 《 信息安全月报 》 , 在公司安全 网络会议上通报近期信 息安全情 况 、分析违章原因 ,实现闭环管理 ,取得显著成效 。
企业信息安全标准体系建设的初步探讨
企业信息安全标准体系建设的初步探讨作者:苏宾成立权来源:《计算机光盘软件与应用》2012年第21期摘要:本文介绍了信息安全所涵盖的主要内容,列举分析了国内信息安全标准化体系的构成,同时结合航空企业信息安全标准体系建设现状,探讨了航空企业信息安全标准化工作存在的问题,并提出了后续的工作建议。
关键词:信息安全;标准化;体系建设中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2012) 21-0000-021 引言在信息社会中,信息不仅是社会财富的主要形态,而且也是维持社会活动和经济活动以及生产活动的重要资源,随着信息技术的不断发展,各行各业都在逐步深化信息技术的应用,以提高工作效率。
为保障各类信息系统的正常运行,信息安全就成了一个非常重要且不容忽视的问题。
为满足信息系统的安全需求,出现了多种多样的安全技术、产品、系统,包括各种安全管理手段在内构成了信息安全保障体系。
信息安全保障体系的建设和应用,是一个庞大的系统工程,需要有一整套完整、科学、覆盖面广的信息安全标准与之相适应。
2 信息安全管理信息系统是企业的重要的资产,为保证企业具有长期的竞争力,保持业务的正常运行,信息的保密性、完整性和可用性是至关重要的。
目前,信息系统所面临的安全威胁与日俱增,来源也日益广泛,如计算机病毒、黑客行为、恶意攻击等,企业对于信息系统的依赖意味着其自身更容易受到安全威胁的攻击。
因此,单纯通过技术手段获得的安全保障十分有限,必须有相应的管理手段和操作规范才能得到真正的安全保障。
信息安全管理是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和架构,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁,使得信息安全这只“木桶”出现若干“短板”从而无法提高安全水平,正确的做法是遵循国内外相关信息安全标准与最佳实践过程,充分考虑实际需求,在风险分析的基础上引入恰当控制,建立合理安全管理体系,从而保证企业信息资产的保密性、完整性和可用性。
信息化安全保障体系建设方案
信息化安全保障体系建设方案随着信息技术的迅速发展,各行各业都在日益依赖于信息化系统,而信息安全问题也逐渐引起了广泛关注。
为了保障企业的信息系统安全,构建一个完善的信息化安全保障体系是非常重要的。
本文将提出一份信息化安全保障体系建设方案。
一、制定信息安全管理策略首先,企业需要明确自己的安全目标,并制定相应的信息安全管理策略。
该策略应包括安全意识教育培训、安全规章制度建立、风险评估与控制、安全事件响应等内容,以确保全员参与到信息安全工作中。
二、加强物理安全措施为了保障系统的物理安全,企业应加强对机房和服务器等重要设施的保护。
采取措施如加强门禁管控、安装监控摄像头、加密存储设备等,以防止未经授权的人员进入和设备丢失或损坏。
三、加强网络安全防护网络安全是信息化安全的重要环节,企业应加强网络安全防护措施。
包括建立防火墙、安装入侵检测系统、定期进行漏洞扫描和安全评估等,确保网络安全稳定可靠。
四、加强身份认证与访问控制为了防止未授权人员访问系统,企业应实施身份认证与访问控制措施。
采用强密码策略、双因素认证、访问权限管理等方法,限制系统访问权限,确保系统只被授权人员使用。
五、加强数据备份与恢复数据备份与恢复是信息化安全中不可或缺的环节。
企业应建立完善的数据备份策略,定期备份关键数据,并进行数据恢复测试,以确保在意外情况下能够及时恢复数据。
六、加强安全事件响应与处置企业应建立健全的安全事件响应与处置机制,以应对各类安全事件的发生。
这包括建立安全事件管理团队、建立响应流程和标准、定期演练等,从而提高对安全事件的警觉性和应对能力。
综上所述,一个完善的信息化安全保障体系需要综合考虑物理安全、网络安全、身份认证与访问控制、数据备份与恢复、安全事件响应与处置等多个方面。
企业应根据自身需求和实际情况,制定合适的安全保障方案,并定期进行评估和更新,以应对日益复杂的信息安全威胁。
通过建立和执行这些措施,企业能够更好地保护其信息资产和业务运作的安全。
【新版】国家信息安全保障体系框架探索
21
2、社会公共服务类
– 基于数字证书的信任体系(PKI/CA) – 信息安全测评与评估体系 (CC/TCSEC/IATF) – 应急响应与支援体系(CERT) – 计算机病毒防治与服务体系(A-Virus) – 灾难恢复基础设施(DRI) – 密钥管理基础设施(KMI)
22
基于数字证书的信任体系(PKI/CA)
T6
SML1 EAL2 SML2 EAL3 SML2 EAL4
T7
SML1 EAL2 SML2 EAL3 SML2 EAL4
V4
V5
SML2 EAL1
SML2 EAL2
SML2 EAL2
SML2 EAL3
SML2 EAL3
SML3 EAL4
SML3 EAL4
SML3 EAL5
SML3 EAL5
SML3 EAL6
1、加强自主研发与创新
– 组建研发国家队与普遍推动相结合
– 推动自主知识产权与专利 – 建设技术工程中心与加速产品孵化
– 加大技术研发专项基金
– 全面推动与突出重点的技术研发
• 基础类:风险控制、体系结构、协议工程、有效评估、工程方法
• 关键类:密码、安全基、内容安全、抗病毒、RBAC 、 IDS、VPN、 强审计
推动安全产业发展,支撑安全保障体系建设
掌握安全产品的自主权、自控权 建设信息安全产品基地
形成信息安全产品配套的产业链
造就出世界品牌的安全骨干企业 安全产品制造业、集成业、服务业全面发展
尽快配套信息安全产业管理政策(准入、测评、资质、扶植、、)
重视TBT条款运用,保护密码为代表的国内安全产品市场
17
信息 价值 V1 V2 V3
信息安全体系建设
信息安全体系建设信息安全体系建设是企业在当前数字化时代面临的重要任务之一。
随着信息技术的不断发展和普及,企业面临的信息安全挑战也越来越复杂和严峻,因此建立健全的信息安全体系成为企业发展的重要保障。
首先,信息安全体系建设需要从制定信息安全政策和规范开始。
企业需要明确信息安全的重要性,设立信息安全管理机构和相关职能部门,建立健全的信息安全管理制度和流程,包括信息安全培训、审计、监控、应急响应等方面的规定。
只有明确了信息安全政策和规范,才能为信息安全体系的建设奠定基础。
其次,信息安全体系建设需要关注信息资产管理。
企业需要对重要信息资产进行分类,确定信息资产的风险等级和价值,制定相应的保护措施。
同时,企业需要建立完善的信息资产管理制度,包括信息资产的采购、使用、处置等方面的规定,确保信息资产的安全和合规。
另外,信息安全体系建设涉及到网络安全的保护。
企业需要建立强大的网络安全防护体系,包括网络边界防护、内部网络监控、安全访问控制等措施,确保网络系统的安全稳定运行。
此外,加强对外部攻击的防范,定期进行漏洞扫描和安全评估,及时修补系统漏洞,提升网络安全的防护能力。
此外,信息安全体系建设还需要重视数据保护和备份。
企业应加强对敏感数据的加密保护,建立完善的数据备份和恢复机制,确保数据的完整性和可用性。
同时,建立数据权限管理制度,限制员工访问敏感数据的权限,防止内部数据泄露的风险。
最后,信息安全体系建设需要持续改进和提升。
随着信息安全威胁的不断演变,企业需要加强信息安全意识培训,不断提升员工的信息安全意识和技能。
同时,定期对信息安全体系进行评估和审计,及时发现并解决存在的问题,不断改进和优化信息安全管理体系,确保信息安全的持续和稳定。
综上所述,信息安全体系建设是企业发展的重要保障,企业需要全面、系统地建立健全的信息安全管理体系,保护信息资产的安全,确保网络和数据的安全,持续改进和提升信息安全水平,以更好地应对日益复杂的信息安全威胁,实现信息安全和可持续发展的统一。
企业网络信息安全体系构建的途径
企业网络信息安全体系构建的途径
企业网络信息安全体系构建的途径:
随着网络的快速发展,网络信息安全已成为企业管理必须考虑和重视的重大问题之一。
建设一个完善的企业网络信息安全体系,是保障企业信息安全的有力措施。
下
面简单介绍几个构建企业网络信息安全体系的途径:
一、完善法律法规制度的建设
企业应制定一系列的战略、方针、政策、标准、规程等法律法规制度,以此确保企业网络信息安全。
二、信息安全管理体系的建设
建立信息安全管理体系是保障企业网络信息安全的关键环节。
信息安全管理体系的建设需要从战略、组织、技术等多个维度入手,以此确保信息安全管理体系的有效
性和可持续性。
三、技术措施的建设
企业应对网络信息安全进行技术措施的建设和管理。
技术措施包括安全防护设备、网络安全管理软件、信息安全管理工具、网络安全设备等,以此保障企业网络安全的
完整性、保密性和可用性。
四、安全意识教育培训
企业应加强安全意识、知识和技能的培训。
把网络安全纳入到员工的日常工作中,让每个员工都懂得网络信息安全的重要性,并能够树立起保护企业网络信息安全的思想。
总之,企业网络信息安全体系的建设需要从多个方面入手,确保信息安全的全面性,以此为企业的发展提供有力的保障。
如何打造高效的信息安全保障体系
如何打造高效的信息安全保障体系信息安全已经成为现代社会和企业至关重要的问题之一。
随着信息技术的进步和互联网的普及,网络攻击和数据泄露的风险也在不断增加。
为了保护企业和用户的利益,建立一个高效的信息安全保障体系变得至关重要。
一、制定完善的安全政策一个高效的信息安全保障体系需要从安全政策入手。
企业需要制定与其规模和业务相关的安全政策,并且这些政策需要得到领导层的支持和执行。
安全政策应该为员工提供清晰的指导和规定,告诉他们如何处理敏感信息、如何保护设备、如何处理风险和漏洞,以及何时需要向管理层汇报安全问题。
二、加强网络安全基础设施一旦知道了安全政策,企业就需要投入资金和资源来构建强大的网络安全基础设施。
这包括加强网络边界安全、实施网络访问控制、安装和配置安全设备、部署内部网络和外部网络安全措施、以及安装漏洞补丁和升级网络设备等。
确保网络的安全可以提高企业的安全性、最小化网络风险,并减少数据泄露事故的发生。
三、加强安全认证和授权企业在保护自己的网络和数据的同时,也需要确保只有授权的人员才能够访问敏感信息。
为了做到这一点,企业需要加强身份认证和访问授权。
这包括采用双因素认证,确保员工只能使用授权的设备来访问网络,以及实现访问控制,使得员工只能访问到他们需要的信息。
四、培训员工以提高安全意识企业的安全体系比任何一种技术方案都更重要,一个企业是否能够成功面对安全威胁取决于员工的敏感程度。
企业需要提高员工的安全意识,教育他们如何检测和避免安全威胁,以及如何正确地处理实际发生的安全事故。
安全培训应该成为企业文化的一部分,并且为员工提供一个安全的工作环境。
五、实时监控和分析网络事件最后,企业还需要建立一个实时的监控和分析系统,以便及时检测和响应网络攻击和其他安全威胁。
这包括实时监控网络流量、敏感数据的访问和用途、以及疑似攻击的事件。
分析这些数据可以帮助企业识别潜在的安全漏洞和威胁,并采取相应的措施来保护数据和网络。
信息安全保障体系的构建和优化
信息安全保障体系的构建和优化信息安全是当前社会发展过程中面临的最大挑战之一。
在信息化发展的今天,如何保障信息安全,成为了企业甚至国家级别都必须思考的问题。
信息安全保障体系的构建和优化,则是解决信息安全问题的重要手段。
一、信息安全保障体系的基本构成信息安全保障体系是由技术、人员、流程、管理四个方面构成的。
其中技术方面的保障是关键,但绝不能忽视人员、流程、管理等方面的保障。
技术方面主要包括:1.安全设备:包括防火墙、入侵检测和预防系统、入侵检测系统、反病毒系统、数据加密系统等。
2.网络安全:包括网络拓扑结构设计、网络维护、数据备份和恢复、网络拓扑优化和网络安全审计等。
3.应用安全:包括 Web 应用防火墙、应用代码审计、应用安全测试、网络安全保护、应用系统安全评估等。
人员方面主要包括:1.信息安全人员:需要拥有较高的信息安全意识和技能,能熟练操作安全设备、处理各类安全事件。
2.员工:企业的员工是信息安全的最薄弱环节,因此需要进行安全意识培训,增强员工的信息安全意识。
流程方面主要包括:1.安全审计:定期对信息系统中的安全问题进行排查和评估。
2.安全策略:设计和实施合理的安全策略,包括口令管理、访问控制等。
管理方面主要包括:1.信息安全管理体系:建立信息安全管理的组织、规定、职责、规程等。
2.安全事件预案:定期进行与企业实际情况相适应的安全事件预案和应急响应计划,确保在安全事件发生时,能够及时采取措施进行处置。
二、信息安全保障体系的优化信息安全保障体系的优化,有利于提高企业的信息安全水平和应对安全风险的能力。
具体而言,应该从以下几个方面进行优化。
1.技术设备优化企业应通过定期升级和更换设备等方式,保证企业的技术设备及时更新和升级,以满足企业不断发展的业务需求。
同时,选择安全设备时,应注重设备的可靠性和持续服务能力。
2.安全管理体系优化在建立和完善安全管理体系的同时,也应根据实际情况进行定制和改变。
因为不同企业之间存在差异,一些通用的安全管理措施并不能适用于所有企业。
信息安全保障体系的建设及其应用
信息安全保障体系的建设及其应用信息安全是现代化社会的重要组成部分,信息安全保障体系的建设及其应用也是现代企业所面临的重要问题之一。
在互联网的时代下,信息安全问题已变得异常重要。
从小的家庭到大的政府机构,几乎所有人都有需要保护信息安全的需求。
因此,建立一个有效的信息安全保障体系已经成为人们越来越迫切的需求。
一、信息安全保障体系的定义信息安全保障体系是一个系统性的、动态的、自我调节的、全面保障信息安全的方法论,它通过技术管理等手段,确保机构内部的信息安全和人员交流的安全。
二、信息安全保障体系的建设与应用1、建设一个完善的信息安全保障体系一个完善的信息安全保障体系应该从以下几个方面入手:(1)身份验证:通过识别用户的身份来控制其访问的内容和权限,保障机构内部信息的安全。
(2)防火墙:通过防火墙来保证数据的完整性、保密性和可用性,有效地控制网络访问。
(3)数据加密:使用数据加密技术对机构内部的重要数据进行加密保护,以确保未经授权的人无法访问该信息。
(4)安全策略:运用安全策略的组合来保障网络和服务器的安全,确保机构信息安全系统的完整和可靠性。
2、信息安全保障体系的应用(1)保障机构内部信息安全:在机构网络中复杂的和较为普遍的技术手段,包括防火墙、口令认证、主机安全、访问控制传输加密等。
(2)保护客户信息:通过密码保护或其他机制保护客户信息的隐私和机密性。
(3)保护机构业务:保护机构重要商业信息的机密性,包括对机构的客户声誉、产品信息和市场信息的保护等。
三、信息安全保障体系的优势1、完善的信息安全保障体系,可以更好地确保机构的隐私和商业机密。
2、信息安全保障体系可以全面地保障用户的个人隐私,防止隐私泄露,从而有效地维护用户的合法权益。
3、信息安全保障体系可以通过技术手段,如防火墙、远程访问控制、数据加密等,保护机构的信息不被黑客攻击、病毒感染等有害影响。
4、完整的信息安全保障体系能够确保机构业务的完整性,包括机构的客户声誉、产品信息和市场信息的保护。
信息安全技术体系建设及应用研究
信息安全技术体系建设及应用研究随着信息技术的不断发展和普及,现代社会的信息化程度越来越高,而信息安全问题也日益严重。
为了保障信息安全,需要建立一个完善的信息安全技术体系,并不断进行应用研究,以适应不断变化的信息安全形势。
一、信息安全技术体系建设1.1 安全威胁的分类和特点在信息安全技术体系建设之前,需要先了解安全威胁的分类和特点。
安全威胁可以分为外部威胁和内部威胁两类。
外部威胁主要包括网络攻击、病毒、木马、钓鱼等;内部威胁则包括员工的失误、泄露、贪污等。
安全威胁的特点是多样性和隐蔽性,攻击方式和手段不断更新和变化,难以防范和发现。
1.2 信息安全技术体系的组成和框架建立信息安全技术体系的目标是保障信息系统的安全性、完整性和可用性。
该体系由多个方面组成,包括网络安全、操作系统安全、应用程序安全、数据安全、身份认证和访问控制等。
信息安全技术体系的框架需要考虑到整个信息系统的生命周期,包括规划、设计、实施、运行和维护等阶段。
1.3 信息安全技术的应用为了实现信息安全技术的有效应用,需要结合具体的应用场景进行实施。
例如,在金融行业中,安全技术需要防范非法转账、交易欺诈等;在医疗行业中,安全技术需要保护个人隐私和医疗记录等。
因此,信息安全技术的应用需要依据具体行业和领域的特点进行定制化和优化。
二、信息安全技术的应用研究2.1 大数据安全随着大数据技术的普及和应用,大数据安全问题也引起了广泛关注。
大数据的安全问题主要包括数据泄露、隐私保护和数据完整性等。
应对大数据安全问题,首先需要建立完备的数据分类和存储机制,其次需要采用加密、脱敏、权限控制等手段进行数据保护。
2.2 云安全云安全问题涉及到云计算的安全、网络安全和数据安全等多个方面。
在云计算环境中,安全问题主要集中在数据的存储和传输上。
需要采取加密、防火墙、虚拟专用网等技术措施,保护云计算中的数据和应用系统安全。
2.3 物联网安全随着物联网技术的普及和应用,物联网的安全问题日益凸显。
关于企业信息安全保障体系建设的探索
[ 中图分类号 ]T 3 9 [ P 0 文献标识码]A
我国信息安全保 障体 系建设主要包括 :① 加快信息安全立
法、 建立信息安全法制体 系, 做到有法可依 , 有法必依 。 建立国 ②
加 建 职 安 全 管 理 两 部 分 。 技 术体 系 由本 地 计 算 环 境 、 域 边 界 、 络 基 家 信 息 安 全 组 织 管 理 体 系 , 强 国 家 职 能 , 立 职 能 高 效 、 责 区 网 分 工 明 确 的 行 政 管 理 和 业 务 组 织 体 系 . 建立 信 息 安 全 标 准 和 评 础 设施 及 支 撑 性 基 础设 施 组成 管 理 体 系 包 括 建 立 完 善 的 信 息
( e o cy 4个 环 节 , P R R cvr) 即 D R模 型 。
不 断 完 善 与提 升 我 国的 信 息安 全体 系 . 强调 信 息 安 全 的重 要性 。
信 息 安 全 保 障体 系分 为 人 员 体 系 、技 术 体 系 和 管 理 体 系 3
个层面 . 人员 体 系包 括 安 全 人 员 的 岗位 与 职 责 、 体 工 作 人 员 的 全
1 信息 安 全 保 障 体 系概 述
[ 文章编号 ]1 7 — 1 42 1 )9 0 8- 2 6 3 0 9 (0 20 - 0 9 0 平 . 步 建 立 有 中 国特 色 的 信 息 安 全 保 障 体 系 。2 0 初 07年 7月 2 0 日 .全 国 重 要 信 息 系 统 安 全 等 级 保 护 定 级 工 作 电 视 电 话 会 议 ” “
企业信息安全保障体系建设要点
企业信息安全保障体系建设要点企业信息安全保障体系建设要点2012-04-10 18:15 出处:pconline 作者:佚名责任编辑:pcnanjing (评论0条)如何保障业务信息安全与系统运行安全,已经成为企业内部控制的重要任务之一。
企业內控体系建设是一个复杂而且浩大的工程,目前不缺乏完整的内控体系理论,但如何把如此复杂的工程进行细化与落地,则需要一些实际适用的方法。
下面如何建设完整的信息安全保障体系的方法与步骤,可以作为内控体系建设的参考方法。
建立有效信息安全保障体系的前提随着信息技术的发展,绝大部分企业的业务模式离不开信息系统的支持,业务在新的电子化模式下如何得到有效安全保障,特别是如何保障系统运行安全与业务信息安全,已成为企业内部控制的重要任务之一。
信息安全已经从部署防火墙、防病毒软件等单一的技术手段,发展到建立整体化的信息安全保障体系,因此信息安全保障体系的规划与建设就显得尤为重要。
信息安全不仅仅是IT部门的工作,也是需要公司所有部门和员工共同实现的一项日常工作,因此信息安全保障体系的建设是一个复杂而且长期的过程。
以下要素是有效建立信息安全保障体系的重要前提:业务驱动:信息安全任务的实施一定要从业务的角度出发,在实施时必须时刻考虑到业务的需求,在信息安全建设过程中获得业务部门的支持与配合,共同推动信息安全建设的开展。
长期可靠的合作伙伴:良好的合作伙伴对于保证信息安全建设能够成功实施是十分重要的。
通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。
高层的支持:信息安全任务通常情况下会涉及到企业的各个部门的参与、配合乃至利益关系,因此在实施过中需要企业高层的支持,以分配必要的资源,推动跨部门协作,保证项目的顺利实施。
有效的实施管理和监控:为了获取体系建设的最大收益,尽可能降低风险,需要落实强有力的实施管理和监控措施,在跟踪总体计划的同时,合理安排各任务的进度和资源,强化对各任务/子任务的管理和监控。
企业信息安全体系建设
企业信息安全体系建设一、安全生产方针、目标、原则企业信息安全体系建设旨在确保企业信息资产的安全,防范信息安全风险,保障企业正常运行。
安全生产方针、目标、原则如下:1. 安全第一,预防为主,综合治理:将安全工作放在首位,强化安全意识,采取预防措施,实现信息安全风险的有效控制。
2. 全员参与,人人有责:信息安全不仅是安全管理人员的责任,更是全体员工共同参与的过程,形成全员安全意识。
3. 持续改进,追求卓越:不断完善信息安全管理体系,提高信息安全水平,努力实现信息安全目标。
4. 合规性:遵循国家法律法规、行业标准及企业内部规定,确保信息安全管理体系的有效性和合规性。
二、安全管理领导小组及组织机构1. 安全管理领导小组成立企业信息安全体系建设领导小组,负责组织、协调、监督和检查信息安全体系建设工作。
领导小组由企业主要负责人担任组长,相关部门负责人担任副组长和成员。
2. 工作机构(1)设立企业信息安全管理办公室,作为领导小组的日常工作机构,负责组织、协调和监督信息安全体系建设工作的实施。
(2)设立信息安全管理部门,负责企业信息安全管理体系的建设、运维和改进,确保信息安全目标的实现。
(3)设立信息安全风险评估小组,负责对企业信息安全风险进行识别、评估和预警,为决策提供依据。
(4)设立信息安全培训与宣传部门,负责组织信息安全培训和宣传活动,提高全体员工的安全意识。
三、安全生产责任制1、项目经理安全职责项目经理作为项目安全生产的第一责任人,其主要安全职责如下:(1)负责组织制定项目安全生产计划,并确保计划的实施;(2)负责项目安全生产的全面管理,确保项目安全目标的实现;(3)定期组织安全生产检查,对发现的安全隐患及时整改;(4)组织项目安全培训,提高项目团队的安全意识和技能;(5)建立健全项目安全生产责任制,明确项目团队成员的安全职责;(6)对项目安全生产事故进行调查、分析,提出处理意见,并落实整改措施。
2、总工程师安全职责总工程师在安全生产责任制中的安全职责如下:(1)负责制定企业安全技术措施,指导企业安全生产工作;(2)对企业安全生产重大技术问题进行决策,提供技术支持;(3)审查项目安全生产计划,确保技术方案的安全性和可行性;(4)组织对企业安全生产技术的研发和改进,提高安全生产水平;(5)参与企业安全生产事故的调查、分析,提出技术改进措施。
企业信息安全体系 建设之道 pdf
企业信息安全体系建设之道随着信息化时代的来临,信息安全已成为企业发展的重要保障。
企业信息安全体系的建设是确保企业信息安全的重要措施。
本文将介绍企业信息安全体系建设的几个关键方面,包括安全策略制定、组织架构建设、人员安全意识培养、物理环境安全保障、网络安全防护、信息系统安全、风险评估与管理、应急响应计划、安全审计与监控等。
一、安全策略制定制定信息安全策略是企业信息安全体系建设的首要任务。
企业应明确规定信息安全的目标、原则、标准和管理要求,为企业信息安全体系的建设提供指导和依据。
安全策略的制定需根据企业的实际情况和业务需求,综合考虑各种因素,以确保安全策略的针对性和有效性。
二、组织架构建设组织架构建设是企业信息安全体系建设的核心。
企业应建立专门的信息安全管理机构,明确各部门的职责和分工,以确保信息安全管理的有效实施。
同时,企业应建立健全的信息安全管理制度和流程,规范信息安全管理的工作流程和操作方法,确保信息安全管理工作的有序开展。
三、人员安全意识培养人员安全意识培养是企业信息安全体系建设的重要组成部分。
企业应加强对员工的信息安全意识教育,提高员工对信息安全的重视程度和防范意识。
此外,企业还应定期组织信息安全培训和演练,提高员工应对信息安全事件的能力和水平。
四、物理环境安全保障物理环境安全是企业信息安全体系的重要基础。
企业应加强对物理环境的监控和管理,确保物理环境的安全可靠。
具体措施包括:加强门禁管理、监控摄像头安装、电磁屏蔽等。
五、网络安全防护网络安全防护是企业信息安全体系的重要组成部分。
企业应采取有效的网络安全措施,包括防火墙、入侵检测/防御系统、病毒防护系统等,以保障网络的安全稳定运行。
同时,企业还应加强对网络设备和系统的安全管理,定期进行漏洞扫描和安全加固,以确保网络设备的安全可靠。
六、信息系统安全信息系统安全是企业信息安全体系的核心。
企业应采取有效的信息系统安全措施,包括数据加密、身份认证、访问控制等,以确保信息系统的安全可靠。
信息安全保障体系建设中的管理执行力探究
I d i1 .9 9js n1 7 —1 22 1 .30 5 I o: 03 6 /is . 11 2 .0 00 .2 I . 6
0引 言
随着 我 国信息化
发 展 的 逐 步 深 入 ,各
信息安全保障体 系建设中的
张晓丽 ,费天虹
( . 安 部 信 息安 全 等级 保 护 评 估 中心 ,北 京 10 4 ; 1公 0 12
理 执 行 力不 到 位 造 成 的 。
一 薄弱 、信息 系统 安全建 设 和管 理 的目标 不 明确及 监管体 系尚 。 术。 系 侉 — A 待 完 善 等 问 题 。 从 信 息 安 全 保 障体 系建 设 的角 度 来 看 ,技 术
层面和管理 层 面必 须相互 结合、良好 配合,管理 者必须 高度 重视管理在 信息 安全保 障体系建 设 中所 起 的重要作用 。管 理
高度重 视将使单位 能够 以严 谨 的态度 制定适合 各 自信息系统
特点 的管理制度。在各种管理制度的执行过程中,应组织 各种 培训 ,使员工 充分理 解各 管理 制度的真正 内涵 ,这样 ,员工 才能 在实际工作 中把管理 制度 的要求落 到实处 。监 督岗位主
执行力是否到位既反映了企业的整 体素质 ,也反 映出管理者的 角色定位。管理者的角色不仅仅是制定策 略和下达命令,更重 要的是必 须具备 执行力 。执 行力是 衡量一 个组 织或个人 执
2 机 械 工 业信 息研 究 院 ,北 京 10 3 . 00 7)
行 各 自的 岗位 职 责, 才 能使信息安全管理 制度 落到实处 ,才 能
其 信 息 安 全 保 护 水平 达 到应 有 的高度 。 《信 息 安 全 技 术
信息安全管理体系建设情况汇报
信息安全管理体系建设情况汇报一、背景介绍信息安全是企业保护重要信息资产、维护业务正常运行的重要保障,确保信息的保密性、完整性和可用性对于企业的可持续发展至关重要。
因此,本文档旨在汇报公司信息安全管理体系的建设情况,以便全面了解我们在信息安全方面的工作进展。
二、管理体系建设情况1. 确立信息安全政策:我们制定了一份全面的信息安全政策,明确了对信息安全的重视,并确保所有员工都知晓并遵守该政策。
2. 信息资产分级与风险评估:我们对企业的信息资产进行了分级和风险评估,确保资源的安全和合理的分级管理。
3. 建立安全组织架构:我们建立了信息安全管理部门,负责协调和监督信息安全相关工作,并配备了专业的信息安全人员。
4. 安全培训与意识提升:我们定期组织信息安全培训,并通过内部宣传活动提高员工的信息安全意识。
5. 审计与监控机制:我们建立了信息安全审计和监控机制,对系统操作进行审计,并持续监控潜在的安全风险。
6. 灾备与恢复能力:我们制定了灾备和恢复计划,以应对可能的安全事件和系统故障,确保业务能够迅速恢复。
三、成果与效益1. 提升信息安全保障水平:通过信息安全管理体系的建设,我们大幅提升了信息安全保障的水平,有效防范了潜在的安全威胁。
2. 减少安全事故发生:建立的安全控制措施和机制有效地减少了安全事故的发生,并及时采取措施进行处置和改进。
3. 增强客户信任度:积极加强信息安全管理,提升了客户对我们的信任度,增加了客户合作意愿。
4. 降低安全风险:通过风险评估和控制措施的落实,我们有效降低了安全风险,减少了可能的损失。
四、下一步计划1. 持续改进:我们将持续改进信息安全管理体系,根据实际情况进行优化调整,不断提升信息安全保障水平。
2. 加强监督与评估:加强对公司信息安全管理的监督和评估,确保制度能够得到有效执行和持续改进。
3. 提升员工意识:进一步加强员工的信息安全意识培训,确保员工能够更好地理解和遵守信息安全政策。
大型企业信息安全体系架构设计初探
筑国家信息安全保障体系”并从“ , 实行信息安全等 级保 护” 加 强信 息安 全法 制建 设 和标 准化建 设 ” 和“
等方 面对 信息 安 全 保 障 工 作 提 出 了指 导 意 见 。 中 共 中 央 办 公 厅 、 务 院 办 公 厅 20 国 0 6年 发 布 的 《 0 6 22 国家信 息 化发 展 战 略 》 出要 提 升 20 - 00年 提
摘要 : 随着信息技术 的发展和应用 的不断深入 , 信息安全 日益受到 国家 、 企业 和社 会公众的关注 。中国政府 已经 提出了构建 国家信息安全保 障体 系的设想 , 明确 了政府 、 企业 和公 民各 自应承 担的责 任与义 务 。企业 的信息 安 全工作 , 主要关 注点是如何保障信息技术 应用 和防止企业 商业秘 密泄露 。同时 , 型企业 特别是 地理位 置分 布 大 广泛的企业集 团, 在信 息安全方面存在很 多难 点 。分析 了 国内、 国际信息 安全现状 和发 展趋势 , 概述 了 Gate r r n 的企业信息安全体系架构设计思 想和 国内大型企业 面临 的信 息安全需求 ; 管理 、 从 技术 、 制三个 视角和 概念 、 控 逻辑 、 实现三个层 面阐述了构建企业信息安全 体系架构的概念 、 内容和方法 , 出了一种大型企业信息 安全体 系 提 架构模 型—— MC 管理一 T( 控制一 技术 ) 模型 ; 针对 大型企 业实 际情况 , 陈述 了如何 应用 MC T模型进 行信 息安全 体 系架构设 计 ; 最后 给出了一套可实施 的从设计层 到实现层 的转换方法 , 即以项 目为单位来 组织具 体 的信 息安
惕和治理 , 安全集成 管理有待加 强 , 信息 等等 。 随着 美 国萨班 斯 法 案 的发 布 和 内控 要求 的提 升, 对在 美 上 市 公 司财 务 风 险控 制 提 出 了 更 高 要 求, 促使 全球 各大 企业 近年 来 纷纷 加大 信息 安 全建 设 力度 以满 足合 规 性 要 求 。中 国政 府 也 非 常 重 视 信 息安 全保 障工 作 , 府有 关部 门从 国家安 全 和行 政 政 监管 角度 正在 抓 紧立 法 和标 准制 定 工作 , 明确 并
互联网行业信息安全保障体系搭建方案
互联网行业信息安全保障体系搭建方案第1章引言 (4)1.1 背景与意义 (4)1.2 目标与范围 (4)第2章信息安全风险评估 (5)2.1 风险识别 (5)2.1.1 资产识别 (5)2.1.2 威胁识别 (5)2.1.3 脆弱性识别 (5)2.1.4 影响评估 (5)2.2 风险评估 (5)2.2.1 风险分析 (6)2.2.2 风险量化 (6)2.2.3 风险排序 (6)2.2.4 风险监控 (6)2.3 风险处理策略 (6)2.3.1 风险规避 (6)2.3.2 风险降低 (6)2.3.3 风险转移 (6)2.3.4 风险接受 (6)第3章安全保障体系框架设计 (6)3.1 设计原则 (6)3.1.1 完整性原则:保证体系覆盖互联网行业信息安全的各个方面,包括物理安全、网络安全、主机安全、数据安全、应用安全等。
(7)3.1.2 动态调整原则:体系设计应具备灵活性,能够根据互联网行业的发展趋势和信息安全威胁的变化进行动态调整。
(7)3.1.3 分级防护原则:根据互联网企业内部业务的重要程度,实施分级防护策略,保证关键业务和核心数据的安全。
(7)3.1.4 最小权限原则:对用户和系统进行权限管理,遵循最小权限原则,降低安全风险。
(7)3.1.5 预防为主原则:强化安全预防措施,提高安全防护能力,降低安全事件发生的概率。
(7)3.1.6 透明性原则:保证体系设计、实施和运维过程透明,便于监管和审查。
(7)3.2 总体架构 (7)3.2.1 物理安全:包括机房安全、设备安全、供电安全等方面,保证硬件设施安全可靠。
(7)3.2.2 网络安全:采用防火墙、入侵检测系统、安全审计等手段,实现网络层面的安全防护。
(7)3.2.3 主机安全:通过操作系统安全加固、病毒防护、漏洞扫描等措施,保障主机安全。
(7)3.2.4 数据安全:实施数据加密、备份、恢复等策略,保证数据在存储、传输、处理等过程中的安全。
基于信息资产的企业信息安全体系建设探讨
基于信息资产的企业信息安全体系建设探讨李振伟ꎬ潘景帅ꎬ梁廷立摘㊀要:企业应用信息化技术有助于企业业务的快速拓展ꎬ在信息化深化应用的同时信息安全的重要性尤为重要ꎬ而企业信息安全的主要保障对象就是企业的信息资产ꎮ基于企业信息资产ꎬ如何从管理㊁技术㊁运营三个层面搭建适合企业的信息安全体系ꎬ本文给出了详细论述ꎮ关键词:信息资产ꎻ信息安全ꎻ信息安全管理体系一㊁引言目前ꎬ各种企业组织的信息技术应用的广度和深度都在增加ꎬ为保障业务可持续发展ꎬ企业组织对信息安全的愈加强烈ꎮ而在企业信息安全建设中ꎬ由于信息安全的覆盖面太大ꎬ问题点层出不穷ꎬ企业信息安全人员往往充当救火队员的角色ꎬ不断重复着头痛医头㊁脚痛医脚的工作ꎬ无法从根本上解决问题ꎮ随着信息安全建设的多样性发展ꎬ保护企业信息的完整性㊁可用性㊁保密性迫切需要依靠一套完整的体系架构来实现信息安全保障任务ꎬ因此基于企业核心信息资产ꎬ搭建覆盖管理㊁技术㊁运营三位一体的信息安全体系架构对企业尤为重要ꎮ二㊁企业信息资产安全企业信息资产ꎬ即企业组织把信息视为企业组织的一种有价资产ꎬ其可用性㊁保密性及完整性必须得到安全保障ꎬ以保障企业组织各项核心业务的发展可持续ꎮ企业信息资产一般包括软件资产㊁硬件资产㊁数据资产三个部分ꎬ每种资产类型的存在表现形式不同ꎮ硬件资产较为具体ꎬ其呈现方式为企业组织中有价值的服务器设备㊁交换设备㊁边界设备㊁终端设备㊁输出设备等ꎬ企业组织一般依据硬件设备台账作为其有效的管理依据ꎻ软件资产表现为企业组织业务应用的各类软件系统ꎬ包括基础操作系统㊁数据库软件㊁应用系统㊁工具软件等ꎬ有效的软件资产清单是软件资产管理的基础ꎻ数据资产表现更为抽象ꎬ既包括流转于各业务系统的结构化数据信息ꎬ也包括各种影像㊁声音㊁图表㊁电子文件等非结构化数据ꎬ甚至包括存在于传统媒介上的信息文字ꎮ一般而言ꎬ数据资产依托于软件系统存在ꎬ软件系统则依托于硬件设备存在ꎮ三㊁基于企业信息资产的信息安全体系建设鉴于企业信息资产的存在表现形式ꎬ无论哪种信息资产类型ꎬ对于企业组织而言ꎬ搭建有效的安全体系都需要从管理㊁技术两个层面着手ꎬ综合管理㊁技术措施ꎬ抽取日常运营的关键数据ꎬ则可形成安全运营机制ꎬ最终有效的保障企业信息资产的安全ꎮ(图1)图1 信息安全体系组成(一)信息安全管理体系建设信息安全管理体系建设ꎬ顾名思义ꎬ是从管理入手ꎬ包括组织架构建设㊁信息资产管理ꎬ制度体系建设㊁人员安全意识培训㊁信息安全事件管理㊁信息安全检查工作等内容ꎮ组织架构建设ꎬ就是基于组织现状ꎬ建立自上而下的信息安全组织体系ꎬ一般包括三层ꎬ即信息安全决策机构㊁信息安全管理机构㊁信息安全执行机构ꎬ分别承担决策㊁组织管理㊁执行落地的角色职责ꎮ信息资产管理ꎬ是要将组织中的软件资产㊁硬件资产㊁数据资产进行有效的识别并予以分类㊁分级ꎬ明确资产生命周期流向ꎮ制度体系建设ꎬ就是要建立一系列的信息安全体系文件规则ꎬ包括方针政策类㊁制度办法类㊁标准操作类㊁日志记录类四层ꎬ全面覆盖整个信息安全管理体系ꎮ信息人员安全意识培训在企业组织中各类信息安全措施中最易实现ꎬ且成果显著㊁成本低廉ꎮ信息安全意识培训可面向全员组织ꎬ也可面向特定的人群如高管㊁专业人员展开ꎬ可采用视频㊁图文㊁现场等多种形式途径ꎮ针对信息安全意识培训效果则可以用安全意识调研评估和信息安全考试的方式检验ꎮ信息安全事件管理则是依据已有的人员责任㊁组织架构和管理制度ꎬ建立信息安全事件的应急处置流程ꎬ可按照一般㊁较大㊁重大的事件响应级别建立对应的处置预案ꎮ具体事件处置过程中可建立事件报告记录ꎬ便于回溯ꎮ信息安全检查是信息安全管理体系中PDCA的重要一环ꎬ形成持续的信息安全监测检查机制ꎬ可有效的评估信息安全管理㊁技术措施的落地情况ꎬ避免体系空运转ꎮ(二)信息安全技术体系建设信息安全技术体系建设自下而上ꎬ依据技术作用层次可分为物理环境安全㊁主机部署安全㊁网络通信安全㊁应用安全和数据安全五个层面ꎮ物理环境安全层面ꎬ对于硬件资产而言ꎬ其所处的物理环境应满足一定的安全要求才能保障其安全运行ꎬ主要应用场景一般指集中的数据中心或企业机房ꎮ一般物理安全内容包括承重㊁防火㊁防水㊁防盗㊁防雷㊁温湿度㊁供电㊁防静电等基础物理环境要求ꎮ主机安全层面ꎬ则强调承载业务的主机操作系统的安全性ꎬ包括操作系统的安全补丁ꎬ主机防病毒㊁主机身份鉴别㊁主机访问日志等内容ꎮ从作用类别来分ꎬ既包括各种服务器操作系统ꎬ也包括各类终端用户操作系统及专用工作站操作系统ꎮ网络通信安全中则对企业的整体网络架构及通信协议提出了要求ꎬ采用分层结构部署㊁应用VLAN域划分㊁防火墙㊁入侵防御㊁访问控制等技术应得到有效应用ꎮ数据安全技术可采取数据文件加密㊁数据防泄密㊁数据脱敏㊁数据日志审计等依据不同需求场景进行选择ꎮ(三)信息安全运营体系建设信息安全运营体系建设是在信息安全管理体系和信息安全技术体系的基础上ꎬ抽象出关键运营指标(KPI)ꎬ予以不断的优化㊁监测ꎬ结合信息安全风险评估形成的信息安全运营工作机制ꎮ信息安全运营体系的建立运行ꎬ是企业信息安全体系建设走向成熟的标志ꎮ四㊁结语在现阶段信息技术在企业深化应用时代背景下ꎬ企业信息安全体系的建设具有重要的意义ꎮ搭建基于信息资产的企业信息安全体系ꎬ可以及时的解决企业在进行信息化建设时所存在的安全问题ꎬ然后从多个层面进行分析和研究出解决的措施ꎬ从而可以充分的把信息技术运用到企业的实际管理中ꎮ参考文献:[1]王静ꎬ郭大亮.集团型企业信息安全管理体系建设思路研究[J].信息安全与通信保密ꎬ2015(18):212-215. [2]GB/T22239-2019㊀信息安全技术㊀网络安全等级保护基本要求[S].[3]陈晓飞.企业信息安全管理体系建设[J].信息与电脑ꎬ2017(3).作者简介:李振伟ꎬ潘景帅ꎬ梁廷立ꎬ山东齐鲁制药集团有限公司ꎮ621。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于企业信息安全保障体系建设的探索
[摘要]信息安全保障体系是由美国首先提出,并将其上升到国家战略、国际战略的高度。
我国于2003年也明确提出建设我国的信息安全保障体系。
本文通过对国内外建设的介绍,进而列出中国石油信息安全体系建设内容及存在问题,供其他企业借鉴。
[关键词]信息安全保障体系;中国石油;企业
1信息安全保障体系概述
信息安全保障(informationassurance,ia)来源于1996年美国国防部dod指令5-3600.1(dodd5-3600.1)。
其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。
内容包括保护(protection)、检测(detection)、响应(response)、恢复(recovery) 4个环节,即pdrr模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。
技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。
管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。
通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。
美国政府先后发布了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。
美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。
构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。
信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。
2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。
2007年7月20
日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。
2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。
通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:①加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。
②建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。
③建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。
④在技术保障体系下,建设国家信息安全保障基础设施。
⑤建立国家信息安全经费保障体系,加大信息安全投入。
⑥高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。
同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但cpu芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司
将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。
其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。
信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。
信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织it运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。
风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。
信息安全制度与标准完善包括:①初步构建了制度和标准体系,发布了《信息系统安全管理办法》及系统定级实施办法。
②建立和完善了信息系统安全管理员制度,开展了信息安全培训。
③跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。
基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施
安全配置规范,提高信息技术基础设施的安全防护能力。
应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级
保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。
身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。
网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。
广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。
广域网域间与数据中心防护项目指建立。
区域间访问与防护标准、数据中心防护标准。
广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。
桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。
系统灾难恢复包括:①对数据中心机房进行了风险评估,提出了风险防范和改进措施。
②对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。
③制定整体的灾备策略和灾难恢复系统方案。
信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。
公司在信息安全保障体系建设中还存在以下问题:
(1)信息安全组织体系不够健全,不能较好地落实安全管理责任制。
目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。
需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
(2)信息安全法规、标准和制度建设需要进一步完善。
现阶段,标准与制度建设处于堵漏、补缺阶段,未能形成与国际标准、国家标准相衔接的具有石油行业特点的信息安全标准体系,同时对于标准宣贯工作需进一步加强。
企业应定期和有针对性地组织信息化工作人员学习新的标准及
有关制度和规范,使他们熟悉和掌握各项制度的基本内容,并完善对制度落实情况的监督检查和激励机制。