信息安全方針精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全方針主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全方針范文

關(guān)鍵詞：信息安全技術(shù)；仿真；實踐教學；創(chuàng)新能力

中圖分類號：TP309 文獻標識碼：A 文章編號文章編號：16727800（2014）001014202

作者簡介作者簡介：李畢祥（1981-），男， 碩士，武漢科技大學城市學院信息工程學部信息工程系講師，研究方向為信息安全；郭冀生（1946-），男，武漢科技大學城市學院信息工程學部副教授，研究方向為數(shù)據(jù)庫。

0 引言

信息安全技術(shù)是從事信息安全應(yīng)用與信息技術(shù)研究的專業(yè)技術(shù)人員必須掌握的知識和技能。本課程需要理論和實踐緊密結(jié)合，學生在掌握信息安全技術(shù)基本概念和基本理論之后，還要掌握網(wǎng)絡(luò)管理和網(wǎng)絡(luò)信息安全保障知識，深入理解網(wǎng)絡(luò)信息安全的各項工作，并能理論聯(lián)系實際，進一步應(yīng)用信息安全技術(shù)。

為了充分提高學生的信息安全技術(shù)實踐能力，迫切需要相應(yīng)的硬件平臺和軟件平臺作為實踐支撐環(huán)境，但相關(guān)的硬件成本非常高，很難配備齊全，所以很多高校的信息安全技術(shù)試驗都是傳統(tǒng)的演示實驗，很難提高學生學習信息安全技術(shù)的興趣。本文設(shè)計的信息安全技術(shù)實驗仿真平臺可以充分模擬高校、企業(yè)和銀行等網(wǎng)絡(luò)環(huán)境，使用模擬軟件進行仿真，繪制詳細的網(wǎng)絡(luò)拓撲圖，分析網(wǎng)絡(luò)流量，捕獲數(shù)據(jù)包，分析信息安全，并提供信息安全解決方案。此仿真平臺充分利用各種仿真軟件的優(yōu)勢和特點，一方面能讓教師合理實施實踐教學任務(wù)，改革傳統(tǒng)的實踐教學模式，在改革中提高教師的教學能力和水平；另一方面，能讓學生身臨其境，自己繪制網(wǎng)絡(luò)拓撲圖，分析信息安全問題，充分調(diào)動學生的學習積極性，全面提高學生的自主創(chuàng)新能力，為就業(yè)打下堅實的基礎(chǔ)。

1 研究內(nèi)容和目標

1.1 研究內(nèi)容

（1）建設(shè)信息安全實驗室，加強信息安全虛擬平臺建設(shè)。信息安全實驗室是信息安全技術(shù)教學的實踐場所，目前很多大學的實驗中心還沒有建成專門的信息安全實驗室。由于信息安全實驗室建設(shè)投入較大，建設(shè)周期長，在目前教學任務(wù)緊迫的情況下，唯有加強信息安全虛擬平臺建設(shè)才能滿足實驗教學要求。虛擬實驗平臺主要依賴于軟件和較少的配套硬件，使實驗室的維護費用和工作量大大降低。在虛擬實驗平臺Boson、Opnet、Sniffer和Matlab上可以開展豐富的模擬實驗，包括網(wǎng)絡(luò)虛擬仿真、防火墻配置和基于SNMP的信息安全管理等。

（2）改革實驗教學模式，創(chuàng)造自主學習模式，提高實驗教學質(zhì)量。對于信息安全的管理和實現(xiàn)，設(shè)定任務(wù)情境，對實驗任務(wù)的選擇可以具有梯度，更貼近工程應(yīng)用。教師制定學習目標，學生可以自己設(shè)定任務(wù)情境，根據(jù)實際情況完成。例如，在信息安全管理實驗中，學生可以自主設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，進行設(shè)備選型、配置和管理，以提高學生興趣和實踐動手能力為導(dǎo)向，鼓勵學生自主學習。

（3）完善教學實驗指導(dǎo)書，增加實驗項目。

1.2 項目目標

（1）通過信息安全虛擬平臺建設(shè)，強化學生的信息安全理論修養(yǎng)和實踐能力，學以致用，通過實踐來真正掌握信息安全技術(shù)的應(yīng)用。

（2）通過信息安全虛擬平臺的使用，增強學生之間的學術(shù)交流氛圍。教學任務(wù)設(shè)定和日常信息安全技術(shù)應(yīng)用，讓學生不僅在課堂，在課余時間也有進行信息安全知識鉆研的意識和環(huán)境。

（3）積極尋求相關(guān)途徑進行校企合作，為進一步提高學生實踐動手能力創(chuàng)造條件。

（4）建立結(jié)構(gòu)合理的教學隊伍，制定適應(yīng)社會需求的教學內(nèi)容，培養(yǎng)教師的科研能力，完成信息安全技術(shù)課程群梯隊建設(shè)，形成一些具有較高水平的教學研究成果。

2 仿真實驗項目解決的關(guān)鍵問題

（1）改革過于模式化的傳統(tǒng)實驗，培養(yǎng)學生的創(chuàng)造性思維。

信息安全技術(shù)傳統(tǒng)實驗內(nèi)容大多局限于實驗環(huán)境，脫離工程實際，實驗效果不好，難以培養(yǎng)學生創(chuàng)新能力。學生畢業(yè)后從事信息安全工程實踐時，很難將實驗功底轉(zhuǎn)化為從業(yè)能力。

（2）完善信息安全虛擬平臺，進行優(yōu)化和合理的實驗設(shè)計。

信息安全虛擬實驗平臺是在能夠進行網(wǎng)絡(luò)通信的基礎(chǔ)之上將計算機網(wǎng)絡(luò)上虛擬的各種計算機、通信設(shè)備按實驗要求組建成一個完整的虛擬實驗網(wǎng)絡(luò)，模擬實現(xiàn)各種計算機網(wǎng)絡(luò)試驗和測試，并能演示實驗過程和信息安全管理的配置過程。使用已有網(wǎng)絡(luò)虛擬平臺Boson、Opnet、Sniffer和Matlab

進行合理的實驗設(shè)計，達到提高學生實踐能力的目的。

在繪制企業(yè)網(wǎng)絡(luò)拓撲圖，以及配置網(wǎng)絡(luò)設(shè)備，例如交換機、路由器和防火墻時，選用Boson軟件來完成拓撲圖的繪制和網(wǎng)絡(luò)設(shè)備的模擬配置。實驗效果描述如下：在捕獲和分析網(wǎng)絡(luò)中的數(shù)據(jù)包時，選用sniffer軟件來完成；在分析網(wǎng)絡(luò)的流量和網(wǎng)絡(luò)參數(shù)時，選用openet軟件來完成；在分析相關(guān)的數(shù)據(jù)和結(jié)果時，選用Matlab仿真軟件來完成。可以充分結(jié)合以上各種模擬軟件的特點和優(yōu)勢，完成復(fù)雜的信息安全實驗項目。

（3）培養(yǎng)學生之間的合作精神，讓學生體驗團隊協(xié)作。

在傳統(tǒng)的教學過程中，雖然在實驗環(huán)節(jié)也采用了分組進行的模式，但在具體操作過程中部分學生并沒有真正參與，也就談不上團隊意識和協(xié)作學習，信息安全虛擬實驗平臺可以拓展和改善學習環(huán)境和氛圍。

（4）傳統(tǒng)課程考核模式陳舊，需要借助信息安全虛擬實驗平臺進行改革。

傳統(tǒng)的考核模式，內(nèi)容局限于教材中的基本理論和基本知識，缺乏對學生知識、能力與素質(zhì)的綜合考察，不利于學生應(yīng)用能力的培養(yǎng)和創(chuàng)新精神的形成。另外，考試形式單一，在課程總評成績的計算中實踐部分所占比重很小，制約了學生實踐能力的培養(yǎng)。

（5）積極尋求相關(guān)途徑進行校企合作，讓學生進入企業(yè)實習和工作，為進一步提高學生實踐動手能力創(chuàng)造條件。

3 教學方法

教學方法的改革，目的是使學生在實際應(yīng)用時能夠靈活地將理論與實踐相結(jié)合，培養(yǎng)學生運用知識分析問題解、決問題的能力。除了傳統(tǒng)的行之有效的教學方法之外，還應(yīng)該采用一些有專業(yè)特色的教學方法，與時俱進。主要采取如下方法：

（1）在信息安全技術(shù)虛擬平臺上，將傳統(tǒng)的實驗題目改編為自主型實驗題目。針對設(shè)計型實驗的內(nèi)容和要求，根據(jù)機房環(huán)境和信息安全技術(shù)虛擬平臺，精心設(shè)計相關(guān)題目和題目的梯度任務(wù)，或?qū)⒃袑嶒烆}目進行改造，形成與實驗要求相對應(yīng)的自主型實驗題目系列。將實驗教學中傳統(tǒng)的特定環(huán)境實驗題目改為以問題為主線的任務(wù)情境，使學生自主選擇合理的任務(wù)并進行自主設(shè)計，培養(yǎng)學生創(chuàng)新能力。

（2）實驗教學中增強學生團隊意識。利用信息安全技術(shù)虛擬實驗平臺拓展和改善學習環(huán)境和氛圍。在傳統(tǒng)的分組模式基礎(chǔ)上，在具體操作過程中根據(jù)學生水平結(jié)合自愿原則分組，鼓勵學生制定不同梯度的任務(wù)作為目標，適時引導(dǎo)和有效監(jiān)督，讓學生體會到團隊合作的重要性，培養(yǎng)竭誠合作的精神。此時，教師的引導(dǎo)作用很重要。

（3）利用信息安全虛擬實驗平臺，改革實踐課程考核體系。實驗考核中，學生要在規(guī)定時間內(nèi)獨立解決問題，確保實踐考核的實時性、公開性和準確性。這樣的學習考核方式，使學生學習有目標、有壓力，學生在課前會認真做好準備，課后強化相關(guān)的信息安全的設(shè)計和應(yīng)用，調(diào)動了學生的學習興趣，從而達到了提高學生解決實踐問題能力的教學目的。

（4）尋求校企合作，鼓勵學生到相關(guān)企業(yè)實習和工作。讓學生了解企業(yè)信息安全人才需求，努力讓學生密切聯(lián)系實際，鼓勵學生到相關(guān)企業(yè)實習和工作。在學校有限的實驗條件下，積極尋求校企合作，鼓勵學生去企業(yè)實習，為畢業(yè)生順利就業(yè)和后續(xù)擴大專業(yè)招生打下良好的基礎(chǔ)。

參考文獻：

[1] RONGFENG， DENGGUO . A detailed implement and analysis of MPLS VPN based on IPSec proceedings of 2008 international conference on machine learning and cybernetics[R]，2008.

[2] FRIEND.Robert making the gigabit IPSec VPN architecture secure source[J].Computer， v37， June， 2009.

[3] CHIUANHUNG LIN， YINGDAR LIN， YUANCHEN LAI. VPN gateways over network processors：implementation and evaluation；real time and embedded technology and applications symposium[J].RTAS 2005.11th IEEE 0710 March 2009.

[4] ZHAO DAYUAN， JIANG YIXIN， LIN CHUANG，et al.Implementation and performance evaluation of IPSec VPN based on netfilter[J].Wuhan University Journal of Natural Sciences，v10，January，2009.

[5] 張劍，寇應(yīng)展，蔣炎，等. IPSecVPN技術(shù)及其安全性[J].福建電腦， 2007（11）.

[6] 李超.Linux下IPSec協(xié)議的實現(xiàn)[J].計算機應(yīng)用，2008 （6）.

第2篇：信息安全方針范文

摘要：文章首先分析了信息安全外包存在的風險，根據(jù)風險提出信息安全外包的管理框架，并以此框架為基礎(chǔ)詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風險

1.1信任風險

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時候?qū)踩?wù)外包的一個重要因素。因為信息安全的外包商可以訪問到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無意地對公眾散播出去，則會對企業(yè)造成巨大的損害。并且，如若企業(yè)無法信任外包商，不對外包商提供一些關(guān)鍵信息的話，則會造成外包商在運作過程中的信息不完全，從而導(dǎo)致某些環(huán)節(jié)的失效，這也會對服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎(chǔ)，也是很大程度上風險規(guī)避的重點內(nèi)容。

1.2依賴風險

企業(yè)很容易對某個信息安全服務(wù)的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當?shù)娘L險緩釋方法是將安全服務(wù)外包給多個服務(wù)外包商，但相應(yīng)地會加大支出并造成管理上的困難，企業(yè)將失去三種靈活性：第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營環(huán)境發(fā)生變化時的應(yīng)變能力；第二種是適應(yīng)能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù)；第三種靈活性就是進化性，其本質(zhì)是中期到長期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時期。進化性的獲得需要對技術(shù)趨勢、商業(yè)趨勢的準確預(yù)測和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風險

不管外包商提供服務(wù)的范圍如何，企業(yè)都對基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護持有所有權(quán)和責任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔職責，并且其服務(wù)級別協(xié)議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關(guān)人員意識到，應(yīng)該將信息安全作為其首要責任，并進行安全培訓(xùn)課程，增強常規(guī)企業(yè)的安全意識。

1.4共享環(huán)境風臉

信息安全服務(wù)的外包商使用的向多個企業(yè)提供服務(wù)的操作環(huán)境要比單獨的機構(gòu)內(nèi)部環(huán)境將包含更多的風險，因為共享的操作環(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器)，這將會增加一個企業(yè)訪問另一企業(yè)敏感信息的可能性。這對企業(yè)而言也是一種風險。

1.5實施過程風險

啟動一個可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個服務(wù)外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產(chǎn)的復(fù)雜過渡，這一切都可能引起新的風險。企業(yè)應(yīng)該要求外包商說明其高級實施計劃，并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風險

如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風險。合作關(guān)系失敗帶來的經(jīng)濟損失、時間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來自于企業(yè)和服務(wù)外包商之間的服務(wù)計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時還需要合作關(guān)系雙方進行頻繁的溝通。

2信息安全外包的管理框架

要進行成功的信息安全外包活動，就要建立起一個完善的管理框架，這對于企業(yè)實施和管理外包活動，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風險，從而達到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標準，然后是對企業(yè)遭受的風險進行系統(tǒng)的評估.并根據(jù)方針和風險程度.決定風險管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時加強管理與外包商的關(guān)系。

3信息安全外包風險管理的實施

3.1制定信息安全方針

信息安全方針在很多時候又稱為信息安全策略，信息安全方針指的是在一個企業(yè)內(nèi)，指導(dǎo)如何對資產(chǎn)，包括敏感性信息進行管理、保護和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括：

(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性；

(2)管理層的目的的相關(guān)闡述；

(3)信息安全的原則和標準的簡要說明，以及遵守這些原則和標準對企業(yè)的重要性；

(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業(yè)的各個部門的安全職能給出概括性的定義，而具體的信息安全保護的責任細節(jié)將留至服務(wù)標準的部分來闡明。

3.2選擇信息安全管理的標準

信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準：

(1)BS7799：BS7799標準是由英國標準協(xié)會指定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，標準包括如下兩部分：BS7799-1；1999《信息安全管理實施細則》；BS7799-2：1999((信息安全管理體系規(guī)范》。

(2)IS013335：IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分，分別是信息技術(shù)安全的概念和模型部分；信息技術(shù)安全的管理和計劃部分；信息技術(shù)安全的技術(shù)管理部分；防護和選擇部分以及外部連接的防護部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面：

(1)需要保護的信息系統(tǒng)、資產(chǎn)、技術(shù)；

(2)實物場所(地理位置、部門等)。

信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識別所有需要管理和控制的風險的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案，然后進行合乎規(guī)范的評估，識別目前面臨的風險。企業(yè)可以定期的選擇對服務(wù)外包商的站點和服務(wù)進行獨立評估，或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后，外包商授予企業(yè)獨立評估方評估權(quán)限，并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進一步消息和細節(jié)，以減少任何對可用性，服務(wù)程度，客戶滿意度等的影響。在評估執(zhí)行后的一段特殊時間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計劃程序以應(yīng)對由評估顯示的任何變化。評估所需要的相關(guān)材料和文檔在控制過程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評估的重要工具，對外包商的服務(wù)績效進行考核。評估結(jié)束后，對事件解決方案和優(yōu)先級的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進行改進。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容：第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標準和量度，服務(wù)外包商以及各方的任務(wù)和職責；第二部分是信息安全服務(wù)的相關(guān)要求，這個部分具體分為高層服務(wù)需求；服務(wù)可用性；服務(wù)體系結(jié)構(gòu)；服務(wù)硬件和服務(wù)軟件；服務(wù)度量；服務(wù)級別；報告要求，服務(wù)范圍等方面的內(nèi)容；第三部分是安全要求，包括安全策略、程序和規(guī)章制度；連續(xù)計劃；可操作性和災(zāi)難恢復(fù)；物理安全；數(shù)據(jù)控制；鑒定和認證；訪問控制；軟件完整性；安全資產(chǎn)配置；備份；監(jiān)控和審計；事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下：

(1)首席安全官：CSO是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進行工作匯報，主要包括：首席執(zhí)行官、首席運營官、首席財務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問。CSO需要監(jiān)督和協(xié)調(diào)各項安全措施在公司的執(zhí)行情況，并確定安全工作的標準和主動性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

(2)安全小組：安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來進行信息安全的技術(shù)。

(3)管理委員會：這是信息安全服務(wù)外包商和客戶雙方高層解決問題的機構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的CIO和CSO，外包商的項目經(jīng)理等相關(guān)的高層決策人員。這個委員會每年召開一次會議，負責審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會：咨詢委員會的會議主要解決計劃性問題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級的更換以及服務(wù)的財政問題等，咨詢委員會的成員包括企業(yè)內(nèi)部的TI’人員和安全專員，還有財務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員，以及外包商的具體項目的負責人。

(5)安全工作組：安全工作組的人員主要負責解決信息安全中某些特定的問題，工作組的人員組成也是來自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問題組建成項目進行解決，并將無法解決的問題提交給咨詢委員會。

(6)服務(wù)交換中心：服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負責聯(lián)絡(luò)各個業(yè)務(wù)部門，發(fā)掘出企業(yè)中潛在的信息安全的問題和漏洞，并將這些問題報告給安全工作組。

(7)指令問題管理小組：這個小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個業(yè)務(wù)部門的負責人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問題之后，或者，是當CSO了關(guān)于信息安全的企業(yè)改進方案之后，這些解決方案都將傳送給指令問題管理小組，這個小組的人員經(jīng)過學習討論后，繼而將其到各個業(yè)務(wù)部門。

(8)監(jiān)督委員會：這個委員會全部由企業(yè)內(nèi)部人員組成。負責對外包商的服務(wù)過程的監(jiān)督。

第3篇：信息安全方針范文

               （2001）民一終字第79號

上訴人（原審被告）：海城市百柳鎮(zhèn)人民政府，住所地遼寧省海城市西柳鎮(zhèn)。

法定代表人：高士佩，鎮(zhèn)長。

委托人：孫偉，北京市瑞馳律師事務(wù)所律師。

委托人：關(guān)德才，男，漢族，1952年6月10日生，遼寧省鞍山市東順法律服務(wù)所工作人員，住遼寧省鞍山市鐵東區(qū)勝利一中委四組。

被上訴人（原審原告）：海城市誠信房屋開發(fā)總公司，住所地遼寧省海城市西柳鎮(zhèn)石景村。

法定代表人：郝德彪，經(jīng)理。

委托人：曲永莖，鞍山東北律師事務(wù)所律師。

上訴人海城市西柳鎮(zhèn)人民政府（以下簡稱鎮(zhèn)政府）為與海城市誠信房屋開發(fā)總公司（以下簡稱誠信公司）土地使用權(quán)轉(zhuǎn)讓、侵權(quán)賠償糾紛一案，不服遼寧省高級人民法院（1999）遼民初字第3號民事判決，向本院提？上訴。本院依法組成合議庭審理了本案已審理終結(jié)。

經(jīng)審理查明：1994年3月30日，遼寧省海城準征用海城市西柳鎮(zhèn)45公頃旱地并出讓給海城市西柳鎮(zhèn)服裝市場管理委員會，用于擴建服裝市場。出讓年限50年，地價每平方米30元，出讓金總額1350萬元。同年5月17日，鎮(zhèn)政府取得海城市城鄉(xiāng)建設(shè)委員會發(fā)給的該45公頃土地的《建設(shè)用地規(guī)劃許可證》和《建設(shè)工程規(guī)劃許可證》。1994年6月4日，鎮(zhèn)政府與誠信公司簽訂了《關(guān)于西柳市場擴建工程市場南正樓的投資建設(shè)協(xié)議》，約定：一、鎮(zhèn)政府將8576平方米的土地使用權(quán)以每平方米200元出讓給誠信公司，考慮到一樓通往市場樓道的占有量，鎮(zhèn)政府退還誠信公司土地出讓金20.16萬元，實際土地出讓金151.36萬元，協(xié)議生效后一次交付給鎮(zhèn)政府。二、誠信公司按照鎮(zhèn)政府的市場建設(shè)總體規(guī)劃投資建設(shè)市場南正樓，具有獨立產(chǎn)權(quán)資格，自行處理房屋產(chǎn)權(quán)。三、誠信公司享受鎮(zhèn)政府市場建設(shè)的各項優(yōu)惠政策，工程于1994年11月15日投入使用。四、鎮(zhèn)政府享有對誠信公司經(jīng)營的所有商業(yè)網(wǎng)點的管理權(quán)，負責工程投入使用后的配套來源，綜合配套費按決算價格合理負擔。五、如誠信公司中途停工，視為誠信公司放棄工程建設(shè)，其投入的資金無償交付鎮(zhèn)政府。如不能如期將工程交付使用，每延期一天賠償鎮(zhèn)政府2萬元。該合同經(jīng)海城市公證處公證。

1994年6月6日，鎮(zhèn)政府與誠信公司簽訂《關(guān)于西柳鎮(zhèn)人民政府購買城信房屋開發(fā)總公司的建市場正南樓第四層樓的協(xié)議》，約定：鎮(zhèn)政府購買誠信公司投資建設(shè)的西柳市場南正樓四層的全部建筑房間，價格為基本造價，約每平方米1200元，共計893.76萬元。協(xié)議簽訂后一個月內(nèi)付款200萬元，房屋投入使用時付款結(jié)束。該協(xié)議簽訂后，鎮(zhèn)政府沒有交付購房款，但南正樓第四層樓一直由鎮(zhèn)政府占用。一審期間，誠信公司表示南正樓第四層樓可以由鎮(zhèn)政府使用，但應(yīng)確認誠信公司的產(chǎn)權(quán)，由誠信公司和鎮(zhèn)政府協(xié)商使用期限和租金數(shù)額。

1994年6月18日，誠信公司向鎮(zhèn)政府交納土地使用權(quán)轉(zhuǎn)讓金150萬元（收款收據(jù)名義：市場南樓土地征用費）和暫存款50萬元。誠信公司和鞍山市第八建筑工程公司簽訂了《建設(shè)工程施工合同》，同年11月15日市場南正樓建成投入使用。工程建設(shè)期間，鎮(zhèn)政府和誠信公司分別對外預(yù)售了南正樓的攤位及一樓門點。鎮(zhèn)政府收取預(yù)售款后再轉(zhuǎn)給誠信公司。經(jīng)一審法院委托沈陽華倫會計師事務(wù)所對鎮(zhèn)政府預(yù)售攤位的時間、數(shù)量、收款金額、資金流向及預(yù)售門點房的收款等情況進行了審計鑒定，該事務(wù)所依據(jù)鎮(zhèn)政府提供的會計資料和憑證、海城市西柳鎮(zhèn)財政所提供的會計憑證和明細賬，確認鎮(zhèn)政府售出攤位1350個，收款2565萬元；出售門點1021.51平方米，銷售款510.755萬元，兩項合計3075.755萬元。鎮(zhèn)政府向誠信公司共轉(zhuǎn)款2100萬元，其中800萬元是以銷售攤位款的名義，1300萬元以鎮(zhèn)政府投資款的名義劃轉(zhuǎn)。誠信公司向鎮(zhèn)政府出具了收款收據(jù)。剩余的975.755萬元銷售款鎮(zhèn)政府沒有轉(zhuǎn)給誠信公司。鎮(zhèn)政府另占用門點房屋1860.49平方米，按門點房屋銷售價每平方米5000元計，合款930.245萬元。

鎮(zhèn)政府主張，工程施工期間，鎮(zhèn)政府曾與誠信公司達成由鎮(zhèn)政府投資1500萬元與誠信公司進行聯(lián)建、雙方按62％和38％的比例分配利潤的口頭協(xié)議。誠信公司則稱鎮(zhèn)政府提出過聯(lián)建要求，但雙方?jīng)]有達成口頭協(xié)議。

1999年2月20日，誠信公司向遼寧省高級人民法院提起訴訟，請求確認其享有百柳鎮(zhèn)服裝市場南正樓的全部產(chǎn)權(quán)和經(jīng)營管理權(quán)，責令鎮(zhèn)政府為其補辦相關(guān)的產(chǎn)權(quán)手續(xù)，停止侵權(quán)行為并賠償其經(jīng)濟損失2100萬元，承擔違約責任。2001年2月11日，誠信公司向一審法院請求以2001年1月2日的審計報告為準確定鎮(zhèn)政府欠款的數(shù)額。

一審法院認為，鎮(zhèn)政府與誠信公司簽訂的《關(guān)于西柳市場擴建工程市場南正樓的投資建設(shè)協(xié)議》是雙方當事人的真實意思表示，合法有效。誠信公司依據(jù)該協(xié)議向鎮(zhèn)政府交付了土地使用權(quán)轉(zhuǎn)讓金，委托鞍山市第八建筑工程公司完成了建設(shè)施工，支付了工程款，已經(jīng)實際履行了合同義務(wù)。鎮(zhèn)政府主張該協(xié)議已經(jīng)廢止，雙方另行約定了聯(lián)合開發(fā)的協(xié)議內(nèi)容，沒有確實充分的證據(jù)證明，不予采信。鎮(zhèn)政府雖以投資款名義轉(zhuǎn)給誠信公司1300萬元款項，但經(jīng)審計確認，該款是鎮(zhèn)政府預(yù)售誠信公司開發(fā)的房屋所得，并非鎮(zhèn)政府的實際投資。依據(jù)雙方協(xié)議的約定，工程建成后其產(chǎn)權(quán)歸誠信公司所有，前期預(yù)售的攤位、門點，應(yīng)由誠信公司為購房人辦理相應(yīng)的產(chǎn)權(quán)或使用權(quán)手續(xù)。因此鎮(zhèn)政府銷售攤位、門點所得款項應(yīng)當返還給誠信公司。鎮(zhèn)政府使用的四樓房屋，應(yīng)與誠信公司協(xié)商使用期限和房屋租金。鎮(zhèn)政府收取的3075.755萬元預(yù)售款，除已返還的2100萬元外，尚欠的975.755萬元應(yīng)當返還。鎮(zhèn)政府占用門點1860.49平方米，合款930.245萬元，亦應(yīng)返還。因雙方未約定銷售款的給付期限，且鎮(zhèn)政府為誠信公司銷售房屋亦做了一定工作，故鎮(zhèn)政府可不賠償上述款項的占款利息。關(guān)于已售出的攤位、門點的管理費，除應(yīng)由工商行政管理部門收取的管理費之外，其它基于市場南正樓房屋產(chǎn)權(quán)而產(chǎn)生的費用應(yīng)歸誠信公司所得。本案涉及的國有土地使用權(quán)和房屋產(chǎn)權(quán)權(quán)屬證書，誠信公司可持相關(guān)法律文件到有關(guān)行政管理部門辦理，鎮(zhèn)政府應(yīng)予配合。依據(jù)《中華人民共和國民法通則》第八十八條第一款、第一百一十七條第一款、《中華人民共和國城市房地產(chǎn)管理法》第五條的規(guī)定，判決：一、海城市百柳服裝市場南正樓的產(chǎn)權(quán)及相應(yīng)的國有土地使用權(quán)歸誠信公司所有；二、鎮(zhèn)政府于判決生效后10日內(nèi)返還誠信公司售房款975.755萬元；三、鎮(zhèn)政府于判決生效后10日內(nèi)將占用的門點房屋1860.49平方米返還給誠信公司，如不能返還房屋，則應(yīng)返還該房屋的折價款930.245萬元；四、駁回誠信公司的其它訴訟請求。案件受理費115010元，審計費30000元，由鎮(zhèn)政府負擔。

鎮(zhèn)政府不服一審判決向本院提？上訴，請求改判鎮(zhèn)政府對南正樓享有62％的產(chǎn)權(quán)，誠信公司享有38％的產(chǎn)權(quán)。理由是：1、1994年6月4日鎮(zhèn)政府與誠信公司簽訂的《關(guān)于西柳市場擴建工程市場南正樓的投資建設(shè)協(xié)議》是無效協(xié)議，實際上沒有履行。南正樓建設(shè)資金絕大部分來自攤位和門點的預(yù)售款。誠信公司稱南正樓工程款為3600萬元，而鎮(zhèn)政府陸續(xù)以“預(yù)售攤床款、工程款、付市場綜合樓投資款”的名義向誠信公司撥款3300萬元，因此預(yù)售攤位和門市的款項基本滿足了工程所需資金。如果認定為工程投資，也應(yīng)視為雙方投資，不能認定為單方投資。鎮(zhèn)政府與誠信公司曾口頭協(xié)商過鎮(zhèn)政府投資1500萬元，按62：38與誠信公司分配利潤的問題，在向誠信公司撥付預(yù)售攤床款的工程中，鎮(zhèn)政府也以“鎮(zhèn)政府投資款”的名義撥付了1503.35萬元，誠信公司開具了收據(jù)。因此口頭協(xié)議已經(jīng)實際履行，南正樓建成后，雙方也是基本按此比例實際占有的。另外，一審訴訟轉(zhuǎn)讓沒有實際解決，誠信公司1994年6月24日才領(lǐng)取其營業(yè)執(zhí)照，《關(guān)于西柳市場擴建工程市場南正樓的投資建設(shè)協(xié)議》應(yīng)認定為無效協(xié)議。2、一審判判決依據(jù)審計報告判令鎮(zhèn)政府返還誠信公司款項合計1905.1萬元數(shù)額有誤。誠信公司在起訴狀中稱鎮(zhèn)政府預(yù)售攤位和門點的收入共計3312.68萬元，先后轉(zhuǎn)給誠信公司3300萬元，尚欠12.68萬元。但一審判決卻判令鎮(zhèn)政府返還預(yù)售款975.755萬元。而一審訴訟中誠信公司并沒有增加訴訟請求。3、一審判決遺漏了鎮(zhèn)政府的其它投資。包括配套費663萬元、含南正樓在內(nèi)交納二期工程各種稅款2311萬元，南正樓防火設(shè)施費120萬元，獎勵施工單位90萬元等。

誠信公司答辯稱，《關(guān)于西柳市場擴建工程市場南正樓的投資建設(shè)協(xié)議》合法有效，已經(jīng)實際履行。根據(jù)人民政府組織法的規(guī)定，政府機關(guān)從事市場經(jīng)營行為是為我國法律所禁止的。鎮(zhèn)政府作為政府機關(guān)履行政府的社會管理職能，不能直接參與企業(yè)的經(jīng)營活動。鎮(zhèn)政府主張工程施工過程中雙方口頭達成聯(lián)建協(xié)議，沒有事實根據(jù)。一審法院委托沈陽市華倫審計事務(wù)所進行的審計是依據(jù)鎮(zhèn)政府提供的賬目進行的，結(jié)果客觀、公正。鎮(zhèn)政府所稱的其它投資從性？上看，配套費不是對南正樓的投資，稅款是整個市場工程的稅款，不僅是南正樓的稅款。防火設(shè)施費缺乏證據(jù)證實，獎勵施工單位的款項與本案無關(guān)，是鎮(zhèn)政府的單方行為，財務(wù)憑據(jù)上也表現(xiàn)為鞍山市第八建筑工程公司的借款單。同時鎮(zhèn)政府在一審期間也沒有提出反訴請求，主張其權(quán)利。請求駁回上訴，維持原判。

本院認為，鎮(zhèn)政府主張其與誠信公司存在聯(lián)建的“口頭協(xié)議”，缺乏證據(jù)。鎮(zhèn)政府作為政府機關(guān)，稱其與誠信公司“投資聯(lián)建”，與其政府機關(guān)的性質(zhì)、職能不符。1994年6月4日雙方訂立的《關(guān)于西柳市場擴建工程市場南正樓的投資建設(shè)協(xié)議》是土地使用權(quán)轉(zhuǎn)讓性質(zhì)的合同，其內(nèi)容不違反法律規(guī)定。雖然誠信公司1994年6月24日取得企業(yè)法人營業(yè)執(zhí)照，但雙方當事人已經(jīng)實際履行該協(xié)議，誠信公司是建設(shè)項目的投資者和建設(shè)者，一審法院認定合同合法有效并無不當。誠信公司對鎮(zhèn)政府預(yù)售攤位款的情況提出異議，請求對鎮(zhèn)政府的收款賬目進行審計，鎮(zhèn)政府表示同意。經(jīng)一審法院委托沈陽華倫會計師事務(wù)所進行審計，確定了鎮(zhèn)政府預(yù)售攤位的時間、數(shù)量、收款金額、資金流向及預(yù)售門點房的收款情況等，其依據(jù)是鎮(zhèn)政府提供的會計資料和鎮(zhèn)政府財政所提供的會計憑證和明細賬。審計鑒定程序合法，雙方當事人無異議，審計結(jié)論經(jīng)雙方當事人質(zhì)證。誠信公司于2001年2月11日請求一審法院對鎮(zhèn)政府欠款數(shù)額以審計報告為準，應(yīng)當視為其已變更了訴訟請求。一審法院依據(jù)雙方當事人一致同意的審計結(jié)論確認欠款數(shù)額作出判決并無不當。鎮(zhèn)政府上訴提出一審判決超出了誠信公司的訴訟請求的理由不能成立。本院二審期間，鎮(zhèn)政府也沒有對返還預(yù)售款的數(shù)額問題提交相反的證據(jù)證明審計結(jié)論有錯誤，因此鎮(zhèn)政府應(yīng)按審計結(jié)論確定的數(shù)額向誠信公司返還尚欠的預(yù)售款。鎮(zhèn)政府主張的配套費等“其它投資”問題，因鎮(zhèn)政府對此沒有提出反訴，可由鎮(zhèn)政府依法另行解決。鎮(zhèn)政府與誠信公司之間的《關(guān)于西柳市場擴建工程市場南正樓的投資建設(shè)協(xié)議》合法有效，鎮(zhèn)政府應(yīng)協(xié)助誠信公司辦理相關(guān)的房屋產(chǎn)權(quán)和土地使用權(quán)手續(xù)。我國實行的是國有土地有償使用制度，一審判決第一項確認海城市百柳服裝市場南正樓的土地使用權(quán)歸誠信公司所有不當。依據(jù)《中華人民共和國民事訴訟法》第一百五十三條第一款第（二）項的規(guī)定，判決如下：

一、變更遼寧省高級人民法院〈1999〉遼民初字第3號民事判決第一項為：誠信公司享有海城市西柳服裝市場南正樓的房屋產(chǎn)權(quán)和土地使用權(quán)。

二、維持遼寧省高級人民法院〈1999〉遼民初字第3號民事判決第二、三、四項。

一審案件受理費按一審判決執(zhí)行，二審案件受理費115010元，由鎮(zhèn)政府負擔。

本判決為終審判決。

                                                           審判長 胡仕浩

                                                           審判員 張雅芬

                                                         審判員 楊興業(yè)

第4篇：信息安全方針范文

關(guān)鍵詞：信息安全；管理；電子信息

引言

在計算機技術(shù)更新、發(fā)展迅速的今天，總有一些不法分子通過各種手段竊取企業(yè)信息，嚴重威脅企業(yè)財產(chǎn)、業(yè)務(wù)安全，甚至損壞企業(yè)形象與品牌。在傳統(tǒng)的信息安全管理中，往往忽略了人在信息安全方面的重要作用，而僅僅依賴于技術(shù)管理。雖然技術(shù)對信息安全管理有重要作用，但如果只依賴于技術(shù)管理，將不能起到良好的防范效果。因為據(jù)權(quán)威機構(gòu)的數(shù)據(jù)顯示，在所有信息安全事故中，70%-80%是因為內(nèi)部員工的疏忽或泄密引起的。因此，為了提高電子信息的安全管理，必須加強企業(yè)對網(wǎng)絡(luò)的防范意識，建立電子商務(wù)安全管理體系和信息安全管理制度等。

一、加強電子信息網(wǎng)絡(luò)安全防范意識

據(jù)調(diào)查，網(wǎng)站安全的隱患，在我國的許多企業(yè)都有存在，它的原因主要是企業(yè)管理者對網(wǎng)絡(luò)安全意識缺乏足夠的重視，他們大多數(shù)對網(wǎng)絡(luò)安全系統(tǒng)只建立了技術(shù)防范機制，用一些先進的技術(shù)手段阻隔竊取者的入侵，保證電子信息的安全，但是卻未形成互聯(lián)網(wǎng)易受攻擊的意識。這就為黑客等竊取者有機可乘。尤其在一些中小企業(yè)，認為自己公司的規(guī)模小，不會招致侵犯，如此態(tài)度，網(wǎng)絡(luò)安全就更難以得到保護。因此，要使電子商務(wù)信息安全得到保護，必須加強企業(yè)管理者與工作人員的安全防范意識，只有如此才能維護電子商務(wù)信息安全。

二、建立健全電子安全管理組織體系

加強對電子信息安全的保護，必須在堅持企業(yè)目標與安全方針的前提下，在企業(yè)內(nèi)部建立電子商務(wù)安全管理組織體系，就是建立信息安全指導(dǎo)委員會，對組織內(nèi)的信息安全問題定期進行討論與解決。他們主要負責審批信息安全方針、政策；分配信息安全管理職責；并對風險評估加以確認，對信息安全預(yù)算計劃及設(shè)施購置的審查與批復(fù)；此外，還有負責實施與評審信息安全的措施與監(jiān)測和對安全事故的處理；以及協(xié)調(diào)與信息安全管理有關(guān)的重大更改事項的決策，對信息安全管理隊伍與各部門之間的關(guān)系的等職能。

三、建立電子信息安全管理制度

電子商務(wù)信息安全管理制度主要有人員管理制度、保密制度、系統(tǒng)維護制度、病毒防范制度等。制定科學合理的電子信息安全管理制度，對企業(yè)的信息安全管理有著積極的促進作用。企業(yè)要根據(jù)自身的特點，在制度制定時對網(wǎng)絡(luò)信息的安全等級進行有序的劃分，以此使具體的安全目標加以確立。

1.人員管理制度

人員管理制度包括人事選拔制度、人員管理原則、網(wǎng)絡(luò)管理人員的基本要求等內(nèi)容。其中，良好的人事選拔制度是維護電子信息安全之本。人員管理的基本原則包括多人負責原則和輪崗原則、有限權(quán)力原則、離職控制原則。而網(wǎng)絡(luò)管理人員的基本要求包括以下幾個方面：

（1）不得隨便放置賬號和密碼；（2）在廢紙堆中不得放置敏感數(shù)據(jù)；（3）不得使陌生人進入要害部門；（4）要將防火墻等安全產(chǎn)品謹慎配置；（5）不得使用人人皆知的密碼和空密碼；（6）加強層層設(shè)防重要系統(tǒng)；（7）查閱安全日志需配備專人；（8）對員工的安全防范意識加以培訓(xùn)。

2.保密制度

企業(yè)的市場、生產(chǎn)、財務(wù)、供應(yīng)等多方面的機密，電子信息運營都有所涉及，因此制定和實行嚴格的保密制度是完全有必要的事情。我們依靠信息的性質(zhì)和重要程度，將保密信息劃分為三級。分別是必須實行強制安全保護的A級機密信息，必須實行自主安全保護的B級內(nèi)部信息與必須實行一般安全保護級的C級公共信息。

3.網(wǎng)絡(luò)系統(tǒng)的日常維護制度

網(wǎng)絡(luò)系統(tǒng)的日常維護制度是用于記錄系統(tǒng)運行的全過程。這就要求企業(yè)在網(wǎng)絡(luò)系統(tǒng)中建立網(wǎng)絡(luò)交易系統(tǒng)日志機制，并自動生成日志文件。日志文件主要內(nèi)容有：操作的日期、操作的方式、登錄的次數(shù)、運行的時間、交易的內(nèi)容等。它對監(jiān)督系統(tǒng)的運行、分析維護、恢復(fù)故障、防止盜密案件的發(fā)生等起著非常重要的作用。此外，它還有檢查系統(tǒng)日志、審核、對系統(tǒng)故意入侵行為及時發(fā)現(xiàn)的記錄和對系統(tǒng)安全功能違反的記錄、監(jiān)控和捕捉各種安全事件、保存、維護和管理系統(tǒng)日志等的審計作用。

4.防止病毒入侵制度

作為防止病毒襲擊，保證網(wǎng)上交易的一個重要方面，防病毒入侵制度對網(wǎng)上交易的順利開展，有著積極的防范作用。因此必須及時建立病毒防范措施，實行病毒定期清理制度，將處于潛伏期的病毒清除干凈，預(yù)防與阻止病毒的突然爆發(fā)，保持計算機的工作狀態(tài)始終處于良好的環(huán)境中，從而為網(wǎng)上交易的正常進行提供有力的保證。

四、結(jié)束語

企業(yè)電子信息的安全管理依賴于一個完整而有力的管理體系，來保證信息安全管理的規(guī)范與長效。而建立完善的管理體系需要注重人為方面的因素，將人為因素與科技因素結(jié)合起來，這樣才能達到企業(yè)安全管理的安全、可靠與穩(wěn)定。

參考文獻：

[1]趙剛；王興芬.電子信息安全管理體系架構(gòu)優(yōu)先出版[J].北京信息科技大學學報（自然科學版，2010（14）.

第5篇：信息安全方針范文

內(nèi)部控制是被審計單位為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果一級對法律法規(guī)的遵守，由管理層和其他人員設(shè)計和執(zhí)行的政策和程序。

ERP系統(tǒng)引入內(nèi)部控制是內(nèi)部控制的革新，ERP的引入給內(nèi)部控制帶來了新的方法，改變了內(nèi)部控制的方式，其集中性的數(shù)據(jù)處理使內(nèi)部控制程序化，擴大了內(nèi)部會計控制的范圍，改變了內(nèi)部控制的內(nèi)部與外部環(huán)境，改變了內(nèi)部會計控制的重點，使內(nèi)部控制的重點不只是在人員之間的互相牽制上。它還改變了信息與溝通的模式，電子化、程序化的信息傳遞取代了以信息存儲技術(shù)，物理性可視的手工信息傳遞，為管理者、員工和顧客等提供了更為方便的交流平臺。

二、ERP系統(tǒng)下企業(yè)內(nèi)部控制的風險

首先，ERP系統(tǒng)的實施本身就存在著很大的不確定性，總會存在著一些不可預(yù)見的影響因素凸顯出來，影響ERP系統(tǒng)在企業(yè)中的實施，由此而帶來的風險是一個方面，同時，企業(yè)內(nèi)部控制本來就存在著一些固有風險和不確定風險。這些風險主要表現(xiàn)在以下幾個方面：

1.系統(tǒng)設(shè)備的控制風險

設(shè)備是ERP系統(tǒng)運行的基礎(chǔ)，因此如何保證設(shè)備的安全是系統(tǒng)風險防范的基礎(chǔ)。設(shè)備安全面臨的風險主要是各種自然災(zāi)害和人員的偷竊行為。如果一個企業(yè)沒有對設(shè)備安全風險進行分析，并置備必要的預(yù)防系統(tǒng)，在事故突然發(fā)生時就不能迅速做出反應(yīng)，防止設(shè)備受到損害。

2.管理部門內(nèi)的控制風險

職責分離是企業(yè)內(nèi)部控制的基礎(chǔ)控制手段，其主要目標是預(yù)防因內(nèi)部人員的舞弊行為而使企業(yè)遭受損失。在ERP系統(tǒng)環(huán)境下，如果一個企業(yè)沒有對相關(guān)職位進行職責分離或者沒有嚴格分離，這些職位的責任人就都有可能隨便查看系統(tǒng)甚至修改系統(tǒng)，盜取系統(tǒng)數(shù)據(jù)，這對企業(yè)會造成很大的損失。

3.信息傳遞的控制風險

信息傳遞即企業(yè)ERP系統(tǒng)與網(wǎng)上采購系統(tǒng)以及財務(wù)會計系統(tǒng)等進行溝通。由工作人員將通過網(wǎng)上競標得到的供應(yīng)商信息錄入到ERP系統(tǒng)中進行物料采購的管理。各財務(wù)數(shù)據(jù)信息也由工作人員導(dǎo)入ERP系統(tǒng)中，由系統(tǒng)進行處理，形成可識別文件類型。這些都要在保證輸入正確的基礎(chǔ)上進行。在這一過程中，風險存在各個方面，如在輸入的過程中，可能產(chǎn)生輸入數(shù)據(jù)的錯誤，有時一個數(shù)據(jù)的錯誤就會導(dǎo)致整個系統(tǒng)的數(shù)據(jù)無法對上，再次錄入或者檢查又會浪費很多時間，大大降低工作效率。各個系統(tǒng)的連接，也可能出現(xiàn)問題，導(dǎo)致ERP系統(tǒng)的運用出現(xiàn)一系列差錯，等等。

三、ERP系統(tǒng)下企業(yè)內(nèi)部控制風險的防范

1.加強安全意識，完善安全管理

企業(yè)應(yīng)設(shè)立與安全相關(guān)部門，已設(shè)置安全部門的應(yīng)強調(diào)安全部門的重要作用，完善安全部門的職能，明確其工作重點與目標，加強安全防范。

2.嚴格部門內(nèi)部系統(tǒng)管理人員職責分離

在ERP系統(tǒng)環(huán)境下，可能發(fā)生舞弊行為的職位應(yīng)該分由不同的人員負責，避免一人負責幾個相關(guān)職務(wù)的工作。嚴格系統(tǒng)管理人員的職責分離，明確紀律，對工作人員進行這方面的教育，保證ERP系統(tǒng)的運行有一個安全正規(guī)的內(nèi)部環(huán)境。

3.加強員工的信息安全意識，進行信息安全控制的再教育

企業(yè)ERP系統(tǒng)和內(nèi)控系統(tǒng)的安全管理離不開人的作用，企業(yè)應(yīng)該從上至下建立起信息安全的觀念，管理層應(yīng)根據(jù)系統(tǒng)的需要和特點制定一套具體的信息安全指導(dǎo)方針，并向企業(yè)各部門。同時，對員工進行信息安全的再教育，培養(yǎng)員工的信息安全意識，使員工在進行業(yè)務(wù)處理時能夠依據(jù)企業(yè)的信息安全方針進行信息安全控制和風險防范，并使其成為員工的一項自覺的行為。

4.加強監(jiān)督

任何事情不僅要有一套實施的體系，還必須有相應(yīng)的監(jiān)督體系。缺少了監(jiān)督，就會日漸成風。這里所說的監(jiān)督，不是只對系統(tǒng)操作人員和管理人員等進行的監(jiān)督，也包括管理層人員和系統(tǒng)操作人員，還包括其他員工。系統(tǒng)操作人員是最直接與系統(tǒng)接觸的，在系統(tǒng)環(huán)境下，他們負責處理日常各種業(yè)務(wù)，舞弊的可能性最大，在企業(yè)中，對他們進行直接監(jiān)督的是上級管理人員，但這是不夠的，各管理層人員和其他員工都有監(jiān)督的權(quán)利和義務(wù)。對管理層人員來說，由于職權(quán)的關(guān)系，他們大多時候可以直接進入系統(tǒng)，所受約束比較小，舞弊和與系統(tǒng)操作人員共同舞弊的可能性也是很大的，因此管理人員也是應(yīng)該接受人們監(jiān)督的。員工，不僅系統(tǒng)操作部門的員工，也包括其他各部門員工，既有監(jiān)督他人的權(quán)利，也要受其他人的監(jiān)督。

第6篇：信息安全方針范文

關(guān)鍵詞： 企業(yè)信息系統(tǒng)；信息安全；安全策略

中圖分類號：F270.7 文獻標識碼：A 文章編號：1671－7597（2012）0220165－01

隨著市場經(jīng)濟的不斷發(fā)展，企業(yè)競爭越來越激烈，國際化合作不斷增多，隨之而來的企業(yè)信息安全是目前我國企業(yè)普遍存在的問題。對企業(yè)來說，信息安全是一項艱巨的工作，關(guān)系到企業(yè)的發(fā)展。近年來，圍繞企業(yè)信息安全問題的話題不斷，企業(yè)信息安全事件也頻頻發(fā)生，如何保證企業(yè)信息的安全，保證信息系統(tǒng)的正常運轉(zhuǎn)，已經(jīng)成為信息安全領(lǐng)域研究的新熱點。

1 企業(yè)信息安全的意義

信息安全是一個含義廣泛的名詞，是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞，或防止信息被非法辨識、控制，即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運轉(zhuǎn)，離不開信息資源的支撐。企業(yè)信息安全建設(shè)對企業(yè)的發(fā)展意義重大。

首先，信息安全是時展的需要。計算機網(wǎng)絡(luò)時代的發(fā)展，改變了傳統(tǒng)的商務(wù)運作模式，改變了企業(yè)的生產(chǎn)方式和思想觀念，極大推動了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設(shè)將使得企業(yè)的管理水平與國際先進水平接軌，從而成長為企業(yè)向國際化發(fā)展與合作的有力支撐。

其次，信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設(shè)帶來了生產(chǎn)效率提高、成本降低、業(yè)務(wù)拓展等諸多好處。當前越來越多的企業(yè)信息和數(shù)據(jù)，都是以電子文檔的形式存在，對企業(yè)來說，信息安全是使企業(yè)信息不受威脅和侵害的保證，是企業(yè)發(fā)展的基本保障，所以，在積極防御，綜合防范的方針指導(dǎo)下，有效地防范和規(guī)避風險，建立起一套切實可行的長效防范機制，逐步建立起信息安全保障體系，有利于企業(yè)的發(fā)展。

最后，信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進企業(yè)穩(wěn)定和信息化發(fā)展的重點，要充分認識信息安全工作的緊迫感和長期性，從企業(yè)的安全、經(jīng)濟發(fā)展、企業(yè)穩(wěn)定和保護企業(yè)利益的角度來思考問題，扎扎實實地做好基礎(chǔ)性工作和基礎(chǔ)設(shè)施建設(shè)，在建立信息安全保障體系的過程中，必須搞好鏈接信息安全保障體系建設(shè)安全、建設(shè)健康的網(wǎng)絡(luò)環(huán)境，關(guān)注信息戰(zhàn)略，保障和促進信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國企業(yè)信息安全包括計算機系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄露，使得系統(tǒng)連續(xù)、可靠、正常的運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機和網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性，使得企業(yè)信息安全成為一個需要持續(xù)更新和提高的領(lǐng)域。就目前來看，主要存在以下三個方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個比較新的領(lǐng)域，目前還缺少比較完善的法規(guī)，現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒有成熟和標準化，法規(guī)也不能很好地被執(zhí)行，安全標準和規(guī)范的缺少，導(dǎo)致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個系統(tǒng)工程，涉及到計算機技術(shù)和網(wǎng)絡(luò)技術(shù)以及管理等方方面面，同時，隨著信息系統(tǒng)的延伸和新興技術(shù)集成應(yīng)用升級換代，它又是一個不斷發(fā)展的動態(tài)過程。因此對企業(yè)信息系統(tǒng)運行風險和安全需求應(yīng)進行同期化的管理，不斷制定和調(diào)整安全策略，只有這樣，才能在享受企業(yè)信息系統(tǒng)便利高效的同時，把握住信息系統(tǒng)安全的大門。

2.2 員工缺少安全管理的責任心

一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的，不考慮全員參與的信息安全方案，恰恰忽視信息安全中最關(guān)鍵的因素――人，因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者，他們是影響信息安全系統(tǒng)能否達到預(yù)期要求的決定因素。在眾多的攻擊行為和事件中，發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部，而不是來自企業(yè)外部的黑客等攻擊者，安全事件造成最大的經(jīng)濟損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對內(nèi)部員工的泄密行為，目前還沒有成熟的、全面的解決，對于來自企業(yè)信息內(nèi)部信息泄密的安全問題，一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統(tǒng)缺乏信息安全技術(shù)

計算機信息安全技術(shù)是一門由密碼應(yīng)用技術(shù)、信息安全技術(shù)、數(shù)據(jù)災(zāi)難與數(shù)據(jù)恢復(fù)技術(shù)、操作系統(tǒng)維護技術(shù)、局域網(wǎng)組網(wǎng)與維護技術(shù)、數(shù)據(jù)庫應(yīng)用技術(shù)等組成的計算機綜合應(yīng)用學科。由于認識能力和技術(shù)發(fā)展的局限性，在硬件和軟件設(shè)計過程中，難免留下技術(shù)缺陷，網(wǎng)絡(luò)硬件、軟件系統(tǒng)多數(shù)依靠進口，由此可造成企業(yè)信息安全的隱患，現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng)，而是為了入侵應(yīng)用，竊取數(shù)據(jù)，帶有明顯的商業(yè)目的，許多黑客就是通過計算機操作系統(tǒng)的漏洞和后門程序進入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡(luò)應(yīng)用要求的越來越多，針對應(yīng)用的攻擊也越來越多，除了在管理制度上確保信息安全外，還要在技術(shù)上確保信息安全。

3 企業(yè)信息安全中存在的問題

信息時代的到來，從根本上改變了企業(yè)經(jīng)營形式，企業(yè)實施信息化為其帶來便利的同時也產(chǎn)生了巨大的信息安全風險。由于我國企業(yè)信息安全工作還處于起步階段，基礎(chǔ)薄弱，導(dǎo)致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡(luò)攻擊等，這些問題給企業(yè)造成直接的經(jīng)濟損失，成為企業(yè)信息安全的最大威脅，使企業(yè)信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼，它是具有破壞作用的程序或指令集合。計算機病毒已經(jīng)泛濫成災(zāi)，幾乎無孔不入，據(jù)統(tǒng)計，計算機病毒的種類已經(jīng)超過4萬多種，而且還在以每年40%的速度在遞增，隨著Internet技術(shù)的發(fā)展，病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快，其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音，黑客是利用技術(shù)手段進入其權(quán)限以外的計算機系統(tǒng)的人。黑客破解或破壞某個程序、系統(tǒng)及網(wǎng)絡(luò)安全，或者破解某系統(tǒng)或網(wǎng)絡(luò)以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等手段侵入計算機系統(tǒng)，盜竊系統(tǒng)保密信息，進行信息破壞或占用系統(tǒng)資源，黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

3.3 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊就是對網(wǎng)絡(luò)安全威脅的具體表現(xiàn)，利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進行的攻擊。尤其是在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助Internet運行業(yè)務(wù)的企業(yè)面臨著前所未有的風險。由此可知，企業(yè)的信息安全問題、以及對信息的安全管理都是至關(guān)重要的。要保證企業(yè)信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全，要堅持積極防御，綜合防范的方針，全面提高信息安全防護能力。因此，面對企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問題，必須實施對企業(yè)的信息安全管理，建設(shè)信息安全管理體系，只有建立完善的安全管理制度，將信息安全管理自始至終貫徹落實于信息管理系統(tǒng)的方方面面，企業(yè)信息安全才能得以實現(xiàn)。企業(yè)信息安全的解決方案，具體表現(xiàn)在以下三個方面：

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系，完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作，保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范，詳細說明各種信息安全策略。一個詳細的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業(yè)安全管理過程包括：采用科學的企業(yè)信息資產(chǎn)評估和風險分析模型法、設(shè)計完備的信息系統(tǒng)動態(tài)安全模型、建立科學的可實施的安全策略，采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的，企業(yè)網(wǎng)絡(luò)信息自身的情況不斷變化，新的安全問題不斷涌現(xiàn)，必須根據(jù)暴露出的一些問題，進行更新，保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，

4.2 提高企業(yè)員工的安全意識

科技以人為本，在信息安全方面也是靠人來維護企業(yè)的利益，我們在企業(yè)信息網(wǎng)絡(luò)鞏固正面防護的時候不能忽視對人的行為規(guī)范和績效管理。企業(yè)員工信息安全意識的高低是一個企業(yè)信息安全體系是否能夠最終成功實施的決定性因素。企業(yè)應(yīng)當制定企業(yè)人員信息安全行為規(guī)范，必須有專門管理人才，才能有效地實現(xiàn)企業(yè)安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。教育培訓(xùn)是培訓(xùn)信息安全人才的重要手段，企業(yè)可以對所有相關(guān)人員進行經(jīng)常性的安全培訓(xùn)，強化技術(shù)人員對信息安全的重視，提升使用人員的安全觀念，有針對性的開展安全意識宣傳教育，逐步提高員工的安全意識，強調(diào)人的作用，使他們明確企業(yè)各級組織和人員的安全權(quán)限和責任，使他們的行為符合整個安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術(shù)

企業(yè)一旦制定了一套詳細的安全規(guī)劃來武裝自己，保護其智力資產(chǎn)，它就開始投入到選擇采用正確信息安全技術(shù)上?？晒┢髽I(yè)選擇的防止信息安全漏洞的安全技術(shù)有很多。當企業(yè)選擇采用何種技術(shù)時，首先了解信息安全的三個領(lǐng)域是十分有幫助的，這三個領(lǐng)域變得：驗證與授權(quán)、預(yù)防和抵制、檢測和響應(yīng)。其中，用戶驗證是確認用戶身份的一種方法，一旦系統(tǒng)確認了用戶身份，那么它就可以決定該用戶的訪問權(quán)限，比如使用用戶名和密碼。預(yù)防和抵抗技術(shù)是指企業(yè)阻止入侵者訪問。對于任何企業(yè)，必須對那些故障做好準備和預(yù)測，目前可以幫助預(yù)防和建設(shè)抵抗攻擊的技術(shù)主要有內(nèi)容過濾、加密和防火墻，在選用防火墻的時候，需要對所安裝的防火墻做一些攻擊測試。此外，企業(yè)信息安全的最后一道屏障是探測和反應(yīng)技術(shù)，最常見的探測和反應(yīng)技術(shù)是殺毒軟件。

5 結(jié)語

總之，企業(yè)信息安全是一項復(fù)雜的系統(tǒng)工程，企業(yè)要適應(yīng)現(xiàn)代化發(fā)展的需要，要提高自身信息安全意識，加強對信息安全風險防范意識的認識，重視安全策略的施行及安全教育，必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強信息安全立法和執(zhí)法的力度，建立備份和恢復(fù)機制， 為企業(yè)設(shè)計適合實際情況的安全解決方案，制定正確和采取適當?shù)陌踩呗院桶踩珯C制，保證企業(yè)安全體系處于應(yīng)有的健康狀態(tài)。

參考文獻：

[1]張帆，企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（5）.

[2]諶曉歡，企業(yè)信息安全問題及解決方案[J].企業(yè)技術(shù)開發(fā)，2008（8）.

[3]付沙，企業(yè)信息安全策略的研究與探討[J].商場現(xiàn)代化，2007（26）.

[4]姜樺、郭永利，企業(yè)信息安全策略研究[J].焦作大學學報，2009（1）.

第7篇：信息安全方針范文

1.銷售系統(tǒng)設(shè)施建設(shè)。

硬件方面，各石油銷售企業(yè)都具有設(shè)施完善的中心計算機系統(tǒng)，供電采用UPS方式，采用“雙機熱備”的核心服務(wù)器工作模式，以確保整個硬件的可靠性和安全性；網(wǎng)絡(luò)方面，采用SDH光纖接入廣域網(wǎng)，包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式，設(shè)備之間，層層之間以光纖方式連接，以均衡網(wǎng)絡(luò)負載。除了安裝必備的防火墻，部分企業(yè)為進一步提高安全防范能力還安裝了外網(wǎng)入侵檢測系統(tǒng)；大多數(shù)加油站采用SSLVPN方式訪問企業(yè)內(nèi)部網(wǎng)，以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面，大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng)，實現(xiàn)PC機的MAC地址綁定。

2.銷售系統(tǒng)信息化建設(shè)。

目前，企業(yè)的銷售信息系統(tǒng)主要包括：加油卡系統(tǒng)、辦公自動化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點：一是用戶眾多，幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶；二是應(yīng)用領(lǐng)域廣，涉及企業(yè)經(jīng)營、管理、對外服務(wù)諸多方面；三是要求連續(xù)運轉(zhuǎn)，如ERP系統(tǒng)必須滿足7×24小時運轉(zhuǎn)。由于信息系統(tǒng)的安全運轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營管理的可持續(xù)性，其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以，基于上述的原因，企業(yè)對銷售信息系統(tǒng)的安全運轉(zhuǎn)提出了更高的要求。

3.銷售系統(tǒng)的信息安全現(xiàn)狀。

石油銷售管理系統(tǒng)是關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)，國家對其信息安全高度重視，并在《2006-2020年國家信息化發(fā)展戰(zhàn)略》中強調(diào)，我國要全面加強國家信息安全保障體系的建設(shè)，大力增強國家信息安全保障能力，實現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時，國內(nèi)石油銷售企業(yè)也長期重視信息安全工作，逐步建立了相應(yīng)的保障體系和規(guī)章制度，但還存在以下問題：

（1）范圍涉及廣泛。

石油銷售企業(yè)分支機構(gòu)多，終端運營組織龐大且分散，以中石油集團為例，其截至2013年分布在全國的加油站已超過30000座。在如此龐大的銷售系統(tǒng)中，信息網(wǎng)絡(luò)承載著指導(dǎo)業(yè)務(wù)運行的重要功能。大量、分散部署的加油終端，必然會造成聯(lián)網(wǎng)方式的多樣化、網(wǎng)絡(luò)環(huán)境的復(fù)雜化。

（2）設(shè)備系統(tǒng)眾多。

石油銷售企業(yè)信息化管理系統(tǒng)中所涉及的設(shè)備精度髙、技術(shù)要求深，并且范圍廣泛，包括加油站、油庫等大量的自動化控制系統(tǒng)。因此，業(yè)務(wù)管理流程復(fù)雜，安全風險增大。

（3）人員素質(zhì)不齊。

由于石油銷售屬于傳統(tǒng)行業(yè)，因此企業(yè)人員年齡跨度較大，對信息安全管理的職業(yè)組織參差不齊；甚至對于企業(yè)管理人員，對于信息安全的認識也多停留在紙上談兵；基層人員眾多，且直接面對客戶，流動性大，信息泄露風險極高。而且新生代的企業(yè)員工對計算機和網(wǎng)絡(luò)接觸早，應(yīng)用水平高，日常使用頻繁，在缺乏網(wǎng)絡(luò)安全防護意識的情況下更易導(dǎo)致信息泄漏，甚至在好奇心理的鼓動下主動發(fā)起網(wǎng)絡(luò)攻擊行為，所以企業(yè)內(nèi)網(wǎng)安全也成為一個突出的問題。

（4）資金投入有限。

國外企業(yè)在信息安全方面的資金投入達到了企業(yè)整體基建的5%-20%，而我國企業(yè)基本都在2%以下。全世界每年因信息安全方面的漏洞導(dǎo)致的經(jīng)濟損失達數(shù)萬億美元，中國的損失也達到了一百億美元以上，但是中國企業(yè)在這方面的投資只有幾十億美元。因此，我國企業(yè)整體信息化安全建設(shè)預(yù)算不足。石油企業(yè)信息化工程是一項繁重的任務(wù)，需要在信息安全方面有更大的投入。大型油企需要建立復(fù)雜龐大的數(shù)據(jù)庫備份體系，建立并維護高效的網(wǎng)絡(luò)殺毒系統(tǒng)、企業(yè)級防火墻、IDS、IPS系統(tǒng)和完善的補丁更新及發(fā)放機制，以保證企業(yè)各方面的數(shù)據(jù)安全。建立這一復(fù)雜的系統(tǒng)需要大量的資金投入，而且其投入回報慢，因此石油企業(yè)普遍輕視這方面的投入和維護，信息安全建設(shè)相對于企業(yè)的發(fā)展整體滯后。

二、石油銷售系統(tǒng)的信息安全管理系統(tǒng)設(shè)計

石油銷售系統(tǒng)的信息安全管理系統(tǒng)是一個程序化、系統(tǒng)化、文件化的管理體系，以預(yù)防控制為主，強調(diào)動態(tài)全過程控制。建立相應(yīng)的信息安全管理系統(tǒng)，需要從物理、信息、網(wǎng)絡(luò)、系統(tǒng)、管理等多方面保證整體安全；建立綜合防范機制，確保銷售信息安全以及加油卡、EPR等電子銷售系統(tǒng)的可靠運行，保障整體信息網(wǎng)絡(luò)的安全、高效、可靠運轉(zhuǎn)，規(guī)避潛在風險，供系統(tǒng)的可靠性和安全性。因此，石油銷售系統(tǒng)的信息安全管理系統(tǒng)構(gòu)架分為以下組成：

（1）組織層面。

石油銷售部門應(yīng)建立責任明確的各級信息安全管理組織，包括信息安全委員會、信息安全管理部門，并通過設(shè)立信息安全員，指定專人專項負責。通過這些部門和負責人開展信息安全認知宣傳和培訓(xùn)，提高企業(yè)員工對信息安全重要性的認識。

（2）制度層面。

制定安全方針、安全管理制度、安全操作規(guī)程和突發(fā)事件應(yīng)急預(yù)案等一系列章程，經(jīng)科學性審核和測試后下發(fā)各級部門，提升企業(yè)的信息安全管理的效能，減少事故發(fā)生風險，提高應(yīng)急響應(yīng)能力。

（3）執(zhí)行層面。

信息安全管理部門應(yīng)當定期檢查和隨機抽查相結(jié)合，監(jiān)督安全制度在各級部門的執(zhí)行情況，評估安全風險，負責PDCA的循環(huán)控制。

（4）技術(shù)層面。

信息安全管理部門要提供安全管理、防護、控制所需的技術(shù)支持，全面保障企業(yè)整體信息安全管理系統(tǒng)建設(shè)。通常信息安全技術(shù)分為物理安全、網(wǎng)絡(luò)安全、主機安全、終端安全、數(shù)據(jù)安全以及應(yīng)用安全等六個方面，主要包括監(jiān)控與審核跟蹤，數(shù)據(jù)備份與恢復(fù)，訪問管理與身份認證，信息加密與加固等具體技術(shù)措施。通過有效的信息安全管理平臺和運作平臺，在最短時間內(nèi)對信息安全事件進行響應(yīng)處理，保障信息安全管控措施的落實，實現(xiàn)信息安全管理的目標。

三、結(jié)語

第8篇：信息安全方針范文

隨著近年來信息安全話題的持續(xù)熱議，越來越多的企業(yè)管理人員開始關(guān)注這一領(lǐng)域，針對黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問題陸續(xù)采取了一系列措施，開始構(gòu)筑企業(yè)的信息安全防護屏障。然而在給企業(yè)做咨詢項目的時候，還是經(jīng)常會聽到這樣的話：

“我們已經(jīng)部署了防火墻、入侵檢測設(shè)備防范外部黑客入侵，采購了專用的數(shù)據(jù)防泄密軟件進行內(nèi)部信息資源管理，為什么還是會出現(xiàn)企業(yè)敏感信息外泄的問題？”

“我們的IT運營部門建立了系統(tǒng)的運行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實？各業(yè)務(wù)部門都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣。”

“我們已經(jīng)在咨詢公司的協(xié)助下建立了ISMS體系，投入了專門的人力進行安全管理和控制，并且通過了企業(yè)信息安全管理體系的認證和審核，一開始的確獲得了顯著的成效，但為什么經(jīng)過一年的運行后，卻發(fā)現(xiàn)各類安全事件有增無減？”

這些問題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護能力。上述的三個案例，案例一中企業(yè)發(fā)生過敏感信息外泄事件，于是采購了專用的數(shù)據(jù)防泄密軟件，卻并未制定相關(guān)的信息管理制度和進行員工保密意識培訓(xùn)，結(jié)果只能是防外不防內(nèi)，還會給員工的正常工作帶來諸多不便；案例二中企業(yè)管理者認識到安全管理的重要性，要求相關(guān)部門編制了大量的管理制度和規(guī)范，然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施，不切實際的管理制度最終因為業(yè)務(wù)部門的排斥而束之高閣；案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系，然而認證通過后隨著業(yè)務(wù)發(fā)展卻并未進行必要的改進和優(yōu)化，隨著時間的推移管理體系與實際工作脫節(jié)日益嚴重，各類安全隱患再次出現(xiàn)也就不足為奇。

其實，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫(yī)治標不治本，指的就是采取分片分析的發(fā)現(xiàn)問題―分析問題―解決問題的思路處理安全威脅，通過技術(shù)手段的積累雖然可以解決很多問題，但總會產(chǎn)生疲于應(yīng)付的狀況，難以形成有效的安全保障體系；類比于中醫(yī)理論將人體看為一個互相聯(lián)系的整體，信息安全管理體系的建立正是通過全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問題和隱患，緊密聯(lián)系業(yè)務(wù)工作和安全保障需要，形成系統(tǒng)的解決方案，通過動態(tài)的維護機制形成完善的防護體系。

總體來說，信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是基于業(yè)務(wù)風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動的結(jié)果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對ISMS的建立，我們可以從中醫(yī)“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論：

第一，“望聞問切”，全面的業(yè)務(wù)、資產(chǎn)和風險評估是ISMS建設(shè)的基礎(chǔ)；

第二，“對癥下藥”，可落實、可操作、可驗證的管理體系是ISMS建設(shè)的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問切

為了完成ISMS建設(shè)，就必然需要對企業(yè)當前信息資源現(xiàn)狀進行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進行ISMS建設(shè)。

首先，自然是對企業(yè)現(xiàn)有資源的梳理，重點可以從以下幾個方面入手：

1.業(yè)務(wù)主體（設(shè)備、人員、軟件等）。

業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺服務(wù)器、多少臺網(wǎng)絡(luò)設(shè)備，都屬于業(yè)務(wù)主體的范疇，按照業(yè)務(wù)主體本身的價值進行一個估值，也是進行整個信息系統(tǒng)資源價值評估的基礎(chǔ)評估。由于信息技術(shù)日新月異的變化，最好的主體未必服務(wù)于最核心的信息系統(tǒng)，同時價值最昂貴的設(shè)備未必最后對企業(yè)的價值也最大。在建立體系的過程中，對業(yè)務(wù)設(shè)備的盤點和清理是很重要的，也是進行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個重要數(shù)據(jù)。

2.業(yè)務(wù)數(shù)據(jù)（服務(wù)等）。

業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負責人逐步關(guān)注的方面，之前我們只關(guān)注設(shè)備的安全，網(wǎng)絡(luò)的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對業(yè)務(wù)和企業(yè)的重要性。現(xiàn)在，核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)，業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務(wù)數(shù)據(jù)意義也不大，保證業(yè)務(wù)數(shù)據(jù)，必須保證其運行的平臺和容器都是正常的，所以，業(yè)務(wù)數(shù)據(jù)也是我們重點分析的方面之一。

3.業(yè)務(wù)流程。

企業(yè)所有的信息資源都是通過業(yè)務(wù)流程實現(xiàn)其價值的，如果沒有業(yè)務(wù)流程，所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對業(yè)務(wù)流程的了解和分析也是很重要的一個方面。

以上三個方面是企業(yè)信息資源的三個核心方面，孤立地看待任何一個方面都是毫無意義的。

其次，當我們對企業(yè)的當前信息資產(chǎn)進行分析以后需要對其價值進行評估。

評估的過程就是對當前的信息資產(chǎn)進行量化的數(shù)據(jù)分析，進行安全賦值，我們將信息資產(chǎn)的安全等級劃分為 5 級，數(shù)值越大，安全性要求越高，5 級的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴重的損失。1 級的信息資產(chǎn)定義為不重要，其被損害不會對企業(yè)造成過大影響，甚至可以忽略不計。對信息資產(chǎn)的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個方面進行評估賦值，最后信息資產(chǎn)的賦值取 5 個屬性里面的最大值。

這里需要提出的是，這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務(wù)流程作為核心的信息資源也必須賦值，而且?guī)讉€基本要素之間的安全值是相互疊加的，比如需要運行核心流程的交換機的賦值，是要高于需要運行核心流程的交換機的賦值的。很多企業(yè)由于歷史原因，運行核心業(yè)務(wù)流程的往往是比較老的設(shè)備，在隨后的分析可以看得出來，由于其年代的影響，造成資產(chǎn)的風險增加，也是需要重點注意的一點。

最后，對企業(yè)當前信息資產(chǎn)的風險評估。

風險評估是 ISMS 建立過程中非常重要的一個方面，我們對信息資產(chǎn)賦值的目的就是為了計算風險值，從而我們可以看出整個信息系統(tǒng)中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式：風險值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對性的經(jīng)驗公式）。

ISMS 建設(shè)的最終目標是將整個信息系統(tǒng)的風險值控制在一定范圍之內(nèi)。

對癥下藥

經(jīng)過上階段的調(diào)研和分析，我們對企業(yè)面臨的安全威脅和隱患有一個全面的認識，本階段的ISMS建設(shè)重點根據(jù)需求完成“對癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設(shè)計和規(guī)劃。

在風險評估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計和規(guī)劃，根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進行實施。管理體系的規(guī)范針對不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結(jié)合，一旦缺乏結(jié)合性ISMS就會是孤立的，對企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)，見圖1。

圖1 信息安全管理體系

一級文件通過綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標、原則、要求和主要措施等頂層設(shè)計；二級文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務(wù)細分，將其細化為包括“任務(wù)輸入”、“任務(wù)活動”、“任務(wù)實施指南”和“任務(wù)輸出”等細則，便于操作人員根據(jù)規(guī)范進行實施和管理人員根據(jù)規(guī)范進行工作審核；三級文件則主要提供各項工作和操作所使用的表單和模板，以便各級工作人員參考使用。

同時，無論是制定新的信息管理規(guī)章制度還是進行設(shè)備的更換，都要量力而行，依據(jù)自己實際的情況來完成。例如，很多公司按照標準設(shè)立了由企業(yè)高級領(lǐng)導(dǎo)擔任組長的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室，具體負責企業(yè)的信息安全管理工作，在各級信息化技術(shù)部門均設(shè)置系統(tǒng)管理員、安全管理員、安全審計員，從管理結(jié)構(gòu)設(shè)計上保證人員權(quán)限互相監(jiān)督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實施和驗證

實施過程是最復(fù)雜的，實施之后需要進行驗證。實施是根據(jù) ISMS 的設(shè)計和體系規(guī)劃來做的，是個全面的信息系統(tǒng)的改進工作，不是單獨的設(shè)備更新，也不是單獨的管理規(guī)范的，需要企業(yè)從上至下，全面地遵照執(zhí)行，要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國外傳入的思路和規(guī)范，雖然切合國人中醫(yī)理論的整體思維方式，但在國內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進行信息安全管理體系的建設(shè)是一個為企業(yè)長久發(fā)展必須進行的工程。

到目前為止，和企業(yè)本身業(yè)務(wù)融合并沒有完美的解決方案，需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負責 ISMS 實施的工程人員一同討論決定適合企業(yè)自身的實施方案

最后，是企業(yè)信息安全管理體系的認證和審核

針對我們周圍很多重認證，輕實施的思想，這里有必要談一下這個問題，認證僅代表認證過程中的信息體系是符合 ISO27000（或者其他國家標準）的規(guī)范要求，而不是說企業(yè)通過認證就是一個在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業(yè)信息安全管理體系需要動態(tài)改進和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的，也需要有針對性地發(fā)展和變化，道高一尺魔高一丈，必須通過各種方法，進行不斷地改進和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進和跟蹤完善的手段，經(jīng)過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業(yè)及未來即將建立ISMS的企業(yè)，為了持續(xù)運轉(zhuǎn)ISMS，我們認為可以主要從以下三個方面著手：

第一，人員。

人員對于企業(yè)來講是至關(guān)重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運轉(zhuǎn)過程中，人員都應(yīng)該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內(nèi)的部門各自給出一名信息安全代表作為安全專員配合體系建立實施，且此名專員日后要持續(xù)保留，負責維護各自部門的信息資產(chǎn)、安全事件跟蹤匯報、配合內(nèi)審與外審、安全相關(guān)記錄收集維護等信息安全相關(guān)工作。

但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓(xùn)，面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等，因此對于企業(yè)來講，除了必要的體系維護人員，在ISMS持續(xù)運轉(zhuǎn)過程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責”的企業(yè)氛圍，則會為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開信息安全各項活動的同時，還會納入客戶、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業(yè)帶來的風險。

第二，體系。

ISMS自身的持續(xù)維護，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對于信息資產(chǎn)清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧，這項活動由于也是在相關(guān)標準中明確指出的，企業(yè)通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門發(fā)生重大調(diào)整時，都最好對ISMS進行重新的評審，必要時重新進行風險評估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風險，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化，企業(yè)每天所面臨的風險同樣也不是一成不變的，在更新維護信息資產(chǎn)清單的同時，對風險清單的回顧也是不可疏忽的，而這點往往是很多信息安全專員容易忽視的內(nèi)容。持續(xù)的維護才能保證ISMS的運轉(zhuǎn)，有效控制企業(yè)所面臨的各種風險。

第三，工具。

工具往往是企業(yè)在建立ISMS過程中投入大量資金的方面，工具其實是很大的一個泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計等各類工具，即使沒有實施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會出現(xiàn)如何將幾種類似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用，哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購買的工具無人使用或無法滿足業(yè)務(wù)需求等問題，導(dǎo)致資金資源的浪費，因此在持續(xù)運轉(zhuǎn)ISMS過程中，根據(jù)風險評估報告，及信息安全專員反映的各部門業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對工具進行統(tǒng)一規(guī)劃，盡量減少資源的浪費。

第9篇：信息安全方針范文

關(guān)鍵詞：國土資源；信息化；制度

中圖分類號：TP316 文獻標識碼：A文章編號：1007-9599 (2011) 10-0000-01

Talking on the Land System-level Protection Self-examination

Li Ling

(Guangxi Guigang Land&Resources Bureau,Guigang537100,China)

Abstract:Information Security Protection is a national economic and social information in the development process,improve the capacity and level of information security,national security,social stability and public interests, protect and promote the healthy development of basic information technology strategy.

Keywords:Land resources;Informatization;System

一、等級保護發(fā)展現(xiàn)狀

2007年由國土資源部信息化工作辦公室牽頭面開展了國土資源信息系統(tǒng)安全體系建設(shè)工作，其中嚴格根據(jù)等級保護管理辦法對全國整個國土信息系統(tǒng)安全等級保護工作主要分為定級、備案、整改、測評和監(jiān)督檢查五個環(huán)節(jié)。

二、等級保護定級簡法

等級保護政策將信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定：

一是從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護等級，稱業(yè)務(wù)信息安全保護等級。二是從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護等級，稱系統(tǒng)服務(wù)安全保護等級。我們可以將其歸納為如下表格方便我們自己定級：（例如，A系統(tǒng)是某單位門戶網(wǎng)站。當該網(wǎng)站被黑客攻擊后若篡改了系統(tǒng)內(nèi)容或者虛假新聞，則有可能對單位自身造成負面影響，使得公信力下降，屬于嚴重影響；其次該系統(tǒng)被黑客了虛假新聞有可能會煽動、迷惑社會群眾，造成社會混亂，屬于嚴重影響；但是該系統(tǒng)不涉及國家安全內(nèi)容，故對國家安全沒有任何影響）。

某單位A門戶網(wǎng)站系統(tǒng)定級：

業(yè)務(wù)信息安全被破壞時所侵害的客體 對相應(yīng)客體的侵害程度

一般損害 嚴重損害 特別嚴重損害

公民、法人和其他組織的合法權(quán)益 第一級 第二級 第二級

社會秩序、公共利益 第二級 第三級 第四級

國家安全 第三級 第四級 第五級

根據(jù)上表結(jié)果，某單位A門戶網(wǎng)站系統(tǒng)信息安全保護等級應(yīng)定為第三級（取最高級別）。

三、等級保護制度自查

安全管理制度主要涉及組織體系的運作規(guī)則，確定各種安全管理崗位和相應(yīng)的安全職責，并負責選用合適的人員來完成相應(yīng)崗位的安全管理工作，監(jiān)督各種安全工作的開展，協(xié)調(diào)各種不同部門在安全實施中的分工和合作，保證安全目標的實現(xiàn)。

制度的文檔化管理是非常重要的工作。無論是人員管理、資產(chǎn)管理，還是技術(shù)管理和操作管理，都應(yīng)該建立起完備的文檔化體系，一方面讓安全活動有所依據(jù)，另一方面也便于追溯和審查。安全策略文檔體系開發(fā)完成后，要形成包括信息安全方針、信息安全規(guī)范，相應(yīng)的安全標準和規(guī)范、各類管理制度、管理辦法和暫行規(guī)定等文檔。

各項制度自查項目如下：

1.存儲設(shè)備報廢銷毀管理規(guī)定；2.安全日志備份與檢查；3.人員離崗離職管理規(guī)定；4.固定資產(chǎn)管理制度；5.外部人員訪問機房管理情況；6.計算；7.機類設(shè)備維修維護規(guī)定；8.應(yīng)急預(yù)案；9.應(yīng)急演練；10.安全事件報告和處置管理制度；11.技術(shù)測評管理制度；12.安全審計管理制度。

四、等級保護技術(shù)自查

基本要求 技術(shù)要求控制點 技術(shù)防護措施

網(wǎng)絡(luò)安全 結(jié)構(gòu)安全 防火墻

訪問控制 防火墻或者路由器、交換機訪問控制列表

安全審計 安全審計系統(tǒng)

入侵防范 防火墻或者入侵防御系統(tǒng)

網(wǎng)絡(luò)設(shè)備防護 防火墻或者入侵防御系統(tǒng)

主機安全 身份鑒別 帳戶密碼、或者數(shù)字證書認證

訪問控制 防火墻或者路由器、交換機訪問控制列表

安全審計 安全審計系統(tǒng)

入侵防范 防病毒軟件

惡意代碼防范 防病毒軟件

資源控制 防火墻或者路由器、交換機訪問控制列表

應(yīng)用安全 身份鑒別 帳戶密碼、或者數(shù)字證書認證

訪問控制 防火墻或者路由器、交換機訪問控制列表

安全審計 安全審計系統(tǒng)

通信完整性 數(shù)字證書認證

通信保密性 數(shù)字證書認證或者VPN隧道

軟件容錯 雙機熱備系統(tǒng)

資源控制 防火墻或者路由器、交換機訪問控制列表

數(shù)據(jù)安全 數(shù)據(jù)完整性 數(shù)據(jù)庫加密

數(shù)據(jù)保密性 隔離網(wǎng)閘系統(tǒng)或者網(wǎng)絡(luò)隔離卡

安全備份 雙機熱備系統(tǒng)