企業信息安全管控精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業信息安全管控主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業信息安全管控范文

關鍵詞：企業內部控制；信息化；安全管理

隨著信息化技術的發展，企業信息化工具擴展度越來越高，擴展面越來越廣，大大提升了企業運營及管理的便捷性，企業依賴系統大數據的信息處理和分析來提升效率，信息化技術應用為企業創造了不可替代的價值。企業財務系統、資源管理系統、辦公系統等形成企業信息化綜合平臺，隨著信息數據的大量輸入、輸出、交換、應用，信息處理的便捷使企業信息化安全工作越來越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丟失或泄露，使企業產生影響或經濟損失，以信息化平臺為重要工作工具的單位，影響更加重大。4G時代的到來，為企業信息走向移動化鋪好了平臺，也為企業信息安全管理提出了新一步要求。

我國的《企業內部控制基本規范》中提到信息化安全管理問題，該規范第四十一條指出：“企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行?！彼孕畔⒒踩芾響獮楝F代企業內部控制管理重要內容，如何優化信息化管理，提升信息化安全，成為需要思考的問題。

一、信息化安全管理分析

企業信息化安全管理包括物理安全管理、網絡安全管理、系統安全管理、應用安全管理等，內部控制的實施有助于預防信息化管理下企業信息數據尤其是財務數據丟失的風險，降低借助信息系統舞弊的可能性，保證企業各項經營活動有效運行。企業應通過企業信息化安全工作分析，定期進行信息化安全工作檢查，落實信息化安全內部控制管理。

（一）物理安全內部控制管理

1.硬件安全

信息化處理以電腦、服務器、存儲設備、網絡設備、安全設備作為硬件設備，電腦等信息終端設備不完善或故障會影響辦公；服務設備如服務器、存儲設備的損壞，會直接造成數據的丟失和數據處理的中斷；網絡設備如路由器、交換機的損壞，會讓系統停止。沒有安全設備或安全設備不工作會讓系統受外界所攻擊或盜取重要信息。企業信息化安全管理應對硬件安全有應急預案，增加必要的備用設備，如服務器、路由器、交換機等，設備一旦損壞，備用設備馬上進入工作狀態，使業務不中止或恢復時間短。設備應支持雙路電源供電，對于有可能的停電，企業應準備和啟用備用電源。

2.信息設備環境安全

環境安全包含防火、防盜、溫度、濕度、潔凈度等環境安全，只有安全的信息設備環境才能保障信息設備正常、高效工作，防范設備滅失或信息損失。對于一個大型或中型企業應專門建設符合上述環境要素的機房，服務器等設備應放在機房，因機器不間斷運轉造成溫度較高，應配備精密空調等制冷設備，確保溫濕度得到精確控制，服務器的放置空間要合理，保持空氣的流通并符合設備散熱需求。機房配置消防報警裝置、氣體滅火裝置，以應對突發火災事件。機房重地應有門禁管理，確保防盜和人為破壞的發生，信息化管理人員應就機房建設及日常管理進行檢查。

另外移動辦公設備（筆記本電腦、平板電腦、手機）的廣泛使用使設備不安全性增加，云技術、云方案不斷推新應用，使移動辦公增加，企業應對于移動辦公設備丟失制訂預案，對重要移動設備做防盜防丟失部署，以使設備被盜或丟失時由信息管理員實施遠程鎖定，阻止非法入侵或直接銷毀設備中的數據。

3.數據安全

數據的安全分為數據保護、數據保密和數據恢復。存儲設備是數據的載體，也是實施信息化企業的生命，數據丟失可以是致命的，一個安全穩定的存儲設備對數據保護至關重要。重要數據應以加密存儲，存儲介質廢棄時的完全抹除是數據保密應注意事項，可使用硬件自加密硬盤簡化數據保密過程。而存儲備份和恢復方案的實施是數據安全的最后一道防線，可以在事件發生后數據得以恢復。企業應及時做好數據備份、異地備份，防范火災、地震等不可預知事項帶來的數據滅失。企業應做出數據恢復預案并進行演習以應對可能的數據安全事故。

（二）網絡安全與信息傳輸安全內部控制管理

網絡提供了便捷的信息傳遞、快速的信息查詢，實現多人多組織的便捷工作，但也帶來網絡風險。企業首先應做好網絡訪問控制，最主要的措施是建立有效的防火墻，應檢查企業網絡設備是否安裝了有效的防火墻，防火墻的版本是否能及時最新，是否安排專門人員定期通過收集分析網絡行為、安全日志等進行入侵檢測，檢查訪問控制權限審批授予是否得當，是否對不適當的人做訪問權限的撤銷管理。

終端用戶操作不當，如違規安裝軟件或互聯網資訊點擊可能使病毒侵入網絡，故企業防止內部局域網風險，需規范終端用戶操作，對網上下載文件有必要要求及管理。針對承載保密信息的電腦，企業應專機專用并禁止與外網進行連接。對于有特殊安全需求的部門可部署桌面云方案，將數據和操作安全策略放置到服務器上統一管理。企業可通過部署網絡防病毒軟件并實時更新保證各終端使用相同的安全策略，避免個體不正確的安全習慣，保證定期進行病毒和惡意軟件的查殺和清除，保障系統不因病毒侵入而崩潰，是信息化安全內控管理的有效手段。

運營商的線路故障，可能造成整個網絡信息溝通中斷，雖然幾率較少，但對于以信息化工具為重要手段的單位影響會很大；為防止外部網絡中斷，檢查評估是否需要選擇兩家運營商，保證信息傳輸的正常。

（三）系統安全內部控制管理

軟件是信息化實現的載體，所有信息都是基于軟件進行輸入、輸出、運算、分析和應用的。

軟件安全成為一個越來越不容忽視的問題，軟件漏洞會造成信息丟失、信息泄露。軟件病毒會造成系統崩潰、信息錯誤。提升軟件安全性，是企業信息化建設的重要環節。

企業的軟件安全管理應檢查是否使用可靠的系統操作平臺軟件，比如：Windows、Linux；是否安裝有效的防病毒軟件并及時更新，比如：卡巴斯基、諾頓等；是否選擇安全保障高的信息化應用系統軟件，比如：SAP、Oracle、金蝶、用友軟件等；信息化軟件是否有穩定后期保障服務。完善的軟件是信息化數據安全和信息化功能應用的保證。

（四）應用安全內部控制管理

1.系統平臺應用內部控制管理

企業信息化最主要應用是使用系統平成會計信息自動化處理與分析、實現業務流程記錄與信息傳遞。企業應做到信息化平臺統籌規劃，使財務信息化和業務流程信息化充分結合，提高信息處理效率及信息管控力度，將企業的管理思想有效置入信息化流程使信息化平臺成為企業內部控制管理的有效工具和手段。

企業信息化系統平臺應用工作包括系統上線實施建設和系統日常運維管理，都有內部控制風險點管理。系統上線實施建設為系統平臺應用的基礎，對企業信息化應用起到關鍵作用。對于信息化應用程度深的企業，若實施不成功會給企業帶來經濟損失乃至巨大風險，為內部控制管理重大風險點，應予以高度重視。企業應制定詳細的工作計劃及實施方案，優化系統流程，制定編碼規則，項目經理應實施有效的進度管理以保證系統上線成功，系統上線后應對項目進行驗收，對應用中發現問題予以改善。系統日常運維管理（包括變更管理）是信息化有效穩定運行的保證，企業應制定管理制度進行規范化管理，信息化管理人員做好工作表單記錄，通過檢查表單記錄評估信息化工作開展是否得當。

系統平臺應用離不開系統流程與系統授權管理，只有信息化系統操作流程及權限設置合適，內部控制管理工作才能有效開展，風險得到即時控制。系統流程管理要求系統流程與企業管理流程文件相符；系統流程設置應合理有效，以企業增值及反應速度為原則，在實現內部控制基礎上盡量做到流程簡化，體現內部控制管理的全面性、重要性、制衡性、適應性和成本效益性。授權管理為企業內部控制管理關鍵點，如何做好系統授權？首先，授權人適崗，要求系統授權人或批準人對公司流程掌握，對內部控制管理有清醒的認識，對不相容崗位分離有清楚的把握，保證授權批準人與執行人分離，業務執行人與審核人分離，執行人和記錄人分離，物資保管人與記錄人分離，執行業務人與物資保管人分離；其次，配備必要的授權審核人員，授權審核人員可以是企業內控管理人員也可以是企業制度制訂及管理人員，在系統流程制訂時對授權設置進行審核，定期開展授權審計，以發現授權中問題，及時更正；再次，授權管理包括授權工作也包括撤銷授權工作，需及時做好離職離崗人員系統權限調整，以保證系統操作人權限適合。

鑒于系統平臺將企業信息做了大規模的集中，信息泄露的風險加大，所以對于系統數據、信息引出（下載）的權限管理應高度重視，尤其是關鍵數據及信息引出，避免信息批量式流出或關鍵信息被不適合人使用，給企業帶來災難性損失或技術成果和管理成果被他人竊取。

2.密碼內部控制管理

服務器、電腦、平臺系統進入都需要密碼管理，企業應要求操作人員有效設置密碼，不得將密碼告知他人，定期更換密碼，企業應檢查企業員工外出離崗時有無告知他人密碼協助處理流程的行為。隨著技術進步，企業可通過技術手段實施密碼管理。

3.電子郵件和即時交流工具安全管理

信息傳輸的便捷性使信息化風險加大，信息傳輸風險包括重要信息流出后不受控制及內部數據信息通過電子郵件、QQ等即時通訊工具方式泄露，企業應評估重要崗位、重要文檔信息流出的風險度，必要時使用信息安全軟件管理，進行重要文檔加密或對特定區域信息加密管理；通過網絡行為管理軟件跟蹤敏感文件和信息的泄露，使企業信息安全得到控制。對于即時通訊系統如QQ等可能帶來的病毒和入侵風險，企業可根據信息化管理的重要程度確定是否部署內部專用即時通訊系統予以防范。

（五）隨著信息技術的不斷發展與進步，各種云平臺服務推出，服務提供商可以提供專業的機房、服務器、存儲、網絡、信息化平臺等供企業租用，企業只需付一定的服務費，為企業解決大部分信息化安全問題。使用云平臺服務要做好服務商的選擇，對于關鍵信息和數據采用做好方案選擇。

二、結語

第2篇：企業信息安全管控范文

關鍵詞：電力企業；信息安全；管控平臺；初步設計

中圖分類號：TP31 文獻標識碼：A

隨著我國社會經濟不斷地發展，人們的生活水平不斷地提高，我國電力企業得到高速發展，為滿足人們所提出的高要求，適應社會主義市場經濟體制的發展，電力企業必須轉變管理模式，采用現代化的管理手段，以尋求更好的發展。如今，計算機信息技術已被廣泛應用于社會各個領域中，具有重要的作用。電力企業在發展過程中，其規模越來越大，信息化的應用也有所突破，但仍然存在問題。為使信息化技術在電力企業中得到高效的應用，保障電力企業的信息安全，則必須建設電力企業信息安全管控平臺，以有效的控制電力企業的信息，充分發揮管控平臺的功能。

一、創建電力企業信息安全管控平臺的重要性

隨著我國電力企業的蓬勃發展，其經營規模越來越大，在企業中充分利用信息技術，以使電力企業具有時代特點。近幾年，計算機信息網絡技術不斷地改進和完善，逐漸成為我國社會生活生產中不可或缺的一部分，其在電力企業中的應用推動了電力企業的現代化發展，但與此同時其也為電力企業的信息安全帶來了挑戰。現階段，電力企業的信息安全問題已成為其發展過程中的亟待解決的重要研究課題。在電力企業中，由于其各級別的單位難以解決網絡分散性問題，無法有效地規避信息安全事件所帶來的高風險。在電力企業管理中無法全面的掌握企業信息安全狀況，缺少可靠的依據來開展風險評估工作，未能進行實時跟蹤監督，導致其難以制定科學的安全預警方案。鑒于這種情況，電力企業必須加強內部控制管理，做好事前預防、事中控制和事后監督。為實現有效的電力企業現代管理，必須創建具有實用性的電力企業信息安全管控平臺。這個平臺能讓電力企業實施可靠的安全監督，進行合理的安全預警工作，可促使電力企業做好風險評估工作，開展高效的監督工作，對企業信息進行統一管理，以建立完善的信息安全風險管理體系，從而提高電力企業信息安全管理水平。

二、電力企業信息安全管控平臺的初步設計

1電力企業信息安全管控平臺的設計原則

在設計電力企業信息安全管控平臺時，要遵循以下原則：首先，所創建的信息安全管控平臺必須滿足電力企業發展的需求，要以現代電力企業的管理體制為依據來創建，以保障信息安全管控平臺的可實行性；其次，電力企業信息安全管控平臺的設計需要先進的技術措施和科學的管理方法來支持，因而設計前，必須慎重的選擇技術和管理的實現方式；最后，電力企業所創建的信息安全管控平臺，其自身必須具有一定的安全性，為平臺在企業中的應用提供重要的保障。除此之外，在信息安全管控平臺的設計過程中，要先了解平臺工具的特殊性能，并以此為基礎來設計與之配套的功能服務，例如數據初始化，以保障信息安全管控平臺的順利運行。

2根據不同的角色來設計管控平臺

電力企業信息安全管控平臺的建設，必須與其企業的組織結構相配合。在設計管控平臺的時候，應該對不同角色的職能需求進行分析。對于上級信息安全主管單位，其所需要的是能全面掌握信息安全的動態，了解信息系統安全的狀況，做好網絡環境評估工作，主要功能是協調和監督；對于本地信息安全實施單位和主管單位，前者主要是設立安全運維人員等人來保障解本地信息安全，而后者則是全面了解企業信息安全狀況并且進行有效的細條；對外部信息安全支持單位，其主要是負責對企業信息安全實施監督和控制，以做好應急工作；對于應急聯動和專家機構，其職責在于為企業信息的安全提供技術保障。

3信息安全管控平臺在電力企業中的實現

信息安全管控平臺在電力企業中運行時，主要分為這幾個模塊：第一，基礎安全數據管理模塊，這一部分主要是的對企業信息系統中所產生的各類數據，如服務器的基本信息，安全配置知識庫等數據資料進行整合和儲存，具有查詢和修改的功能；第二，預案管理模塊，這一部分主要是用來對電力企業中的各級單位進行原的編制、和更新等。值得注意的是要為應急預案編制工作和審批制定統一的標準，加以規范。在預案管理部分，可充分利用工作流引擎來執行應急預案，以突出應急預案的作用和其有效性；第三，風險評估模塊，在這一部分主要是為信息安全風險評估工作提供可靠的數據信息作為依據，以根據矩陣型風險計算方式計算出風險，并制定出相應措施；第四，業務影響分析模塊，這一部分的功能與風險評估模塊的職責差不多，也是響應急預案提供有效信息，但是其在此過程中還必須注意信息系統業務之間的不同之處；第五部分是公告管理模塊，這一部分主要是提供瀏覽、查閱和管理等功能；第六。預警管理模塊，由兩個部分組成，一個是漏洞預警管理，另一個則是威脅預警管理，這兩個部分的級別分別是高、中、低；第七，安全事件管理模塊，這一部分是對信息安全事件進行處理；第八，信息安全狀況監視模塊，包括了宏觀態勢監視和應急監視。

結語

在電力企業中建立信息安全管控平臺，是保障電力企業信息安全的重要途徑，具有重要意義。電力企業信息安全管控平臺的建設是為了加強電力企業信息化程度，必須科學的制定設計方案，使其符合現階段電力企業的發展現狀和電力企業的發展特點。在電力企業中運行信息安全管控平臺，有利于及時發現信息安全中存在的問題，并加以解決，能確保企業信息的真實性、完整性和有效性。這種信息安全管控平臺的創建有其必要性，對電力企業的發展起到重要的影響作用，必須予以高度重視?？偠灾?，對電力企業信息安全管控平臺的研究具有重要的意義，而這一平臺的運行則具有較高的使用價值。

參考文獻

[1]樊凱.電力企業信息安全管控平臺設計與實現[J].現代計算機：下半月版，2012（17） .

[2]李正忠.電力企業信息安全網絡建設原則與實踐[J].中國新通信，2013（9） .

第3篇：企業信息安全管控范文

【關鍵詞】電力企業信息安全管理；組織管理；失誤因素

1 電力企業信息安全管理中組織管理失誤的分析方法

電力企業信息安全管理中的組織管理失誤分析法（英文：Cognitive Relia-bility andErrorAnalysisMethod，即CREAM），是可靠性分析法的典型代表，具有追溯分析功能。通過CREAM的應用，可以將失誤事件的外在表現形式稱為失效模式，并且將引起這些失誤事件的直接原因定義為前因。實踐中，前因可分為具體的前因、一般性前因，CREAM分析法是以失效模式作為出發點。首先，通過分析失效模式的一般前因、具體前因，得到失效模式前因表，在表中選定一個前因作為后果，然后分析引起這一后果的可能前因，最終得到包含這一后果、可能的前因追溯表；再以該可能前因為后果，分析可能的前因，通過連續不斷的尋找，最終找到引起事件失誤的根本原因。

2 在電力電力企業信息組織管理過程中，開展多項管控措施、分三步走

第一步，從思想上加強重視。實踐中，應當認真學習貫徹違規外聯、外網郵箱發送的要求，嚴格按照“業務工作誰主管，保密工作誰負責”以及“統一領導、分級負責”的原則，將信息安全保密職責有效地落實到人，讓每個員工熟悉、掌握保密工作的基本要求和規范。

第二步，深入檢查，全面整改。實踐中，應當嚴格按照檢查內容檢查，一定不能留死角、搞形式。在檢查中發現的問題，要立即糾正，認真整改，對存在嚴重問題的單位要監督整改，并組織復查；發生泄密、違規問題時，一定要嚴肅查處，必要時還要追究責任人的責任。

第三步，嚴格管理，務求實效。要進一步落實保密工作責任制，堅持標本兼治、系統治理，把檢查活動與日常保密工作安排結合起來，邊檢查邊整改，以查促管、以查促改、以查促教、以查促防，確保檢查取得實效。

3 電力企業信息系統安全管理的必要性

電力企業信息系統安全管理，是企業在一定范圍內建立起來的信息安全目標和方針，并通過努力完成目標。對于電力企業信息安全管理而言，可表示為方法、目的、基本原則和實施過程等要素集合，作為直接的信息安全管理結果。2014年8月，某技術質管部專責高某通過電子郵箱將創新成果--《電力設計企業基于桌面云技術的信息》以附件形式經壓縮、更名后在沒有經過加密的情況下，發送到某部門專家評審組；由于附件內容出現“保密”等敏感詞，該郵件被公司外網郵件攔截系統攔截。經現場查實，郵件均不涉商業秘密，但違反了“工作郵件只限于公司內網郵箱發送”規定。由此可見，電力企業信息系統安全管理工作非常重要，也非常有必要。通常情況下，電力企業信息安全管理工作主要包括制定信息安全管理的策略，合理、科學的對電力企業信息安全工作進行組織管理，具有非常重要的作用。電力企業應當提高全體員工的信息安全意識，加強電力電力企業信息內外網安全管理。第一，內、外網電腦都必須安裝三種軟件，即北信源、天以及趨勢殺毒。軟件有內、外網版本之別，而且客戶端也不同；第二，遵守專機、專網之規定，內網電腦不能與外網相連接，外網電腦不能連接內網，家用電腦不能接入內網使用，尤其是來歷不明、使用背景不明的電腦，一律禁止接入內網系統。

4 電力企業信息安全管理中組織管理常見失誤

近年來，隨著市場經濟體制改革的不斷深化，雖然電力企業信息安全管理水平有了很大程度的提升，但電力企業信息安全管理過程中依然存在著一些問題與不足，總結之，主要表現在以下幾個方面：

第一，信息安全措施和技術手段不成熟。對于大多數企業而言，在信息系統建設過程中欠缺完善的安全手段和措施，嚴重影響了安全措施的制定與執行。

第二，電力企業信息安全風險控制不到位。實踐中可以看到，很多企業在信息化規劃與建設過程中，對信息安全的前期分析比較欠缺，將分析對象主要集中在技術層面研究上，很難有效解決企業安全信息系統操作失誤、缺陷與不足等安全問題。

第三，信息安全意識不強，缺乏有效的安全管理機制。對于部分企業領導層而言，對信息安全的重視不夠，對潛在的各種風險和安全隱患問題分析不到位。

5 電力企業信息安全管理體現構建的有效策略

基于以上對當前企業安全管理中的問題分析，筆者認為要想減少和控制電力企業信息安全管理中組織管理失誤現象， 應當根據企業實際生產運營狀況，以IS027001信息安全管理體系標準為基礎，從組織、技術、管理以及運行和監督這等方面入手，對現有的信息安全管理架構進行改進和完善，增加運行、監督環節。

5.1 提高對電力企業信息安全的認知度

針對企業員工對信息安全知識掌握不足的現狀和問題，通過宣傳、教育和培訓等方法，提高企業全體員工對信息安全的認知度。首先，加強信息安全宣傳教育。電力企業信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性，了解信息安全管理目標，以此來提高企業員工的信息安全管理意識。

5.2 建立健全信息安全審計機制

內部審計是對電力企業信息安全管理體系建設與實施情況的評價，定期組織審計活動，以此來促進安全管理體系的改進與完善。企業的信息安全政策、規范制度是信息安全管理工作得以有效開展的重要依據，因此審計工作的主要內容是檢驗信息安全標準的符合性、執行情況。在審計過程中，主要包括如下內容，即檢驗是否按照要求制定規章制度、執行細則；檢驗員工對的規章制度執行狀況，對審計結果的整改落實情況進行核查；同時，還要對信息安全控制措施的應用效果進行全面檢查，確保評估的有效性。

5.3 建立和完善信息安全風險管理制度

信息安全風險，即威脅利用系統弱點對相關信息資產造成破壞、損失的可能性，信息系統安全與否，主要取決于其風險是否己在現有措施條件下實現了最小化，而非絕對沒有風險。

第4篇：企業信息安全管控范文

云環境下的五大趨勢

王興山所言之“新環境”，指的是“云環境”。他解釋說，云環境是指由云計算、移動互聯網、大數據、社會化網絡、物聯網、電子商務等諸多技術組成的新一代信息技術環境。他指出，在云環境下，以管理會計為抓手，大力推行精益財務，將是今后集團企業信息化建設的重要內容，也是集團管控進一步深化的核心所在。

浪潮通軟副總裁魏代森指出，具體來說集團企業管理信息化建設正呈現以下五大趨勢：

第一，建設財務共享服務中心成為集團企業的首要選擇。通過資源共享和專業化服務，將財務管理的重心轉向輔助業務管理和決策支持，進一步深化管理會計的推廣應用。

第二，在經濟形勢不明朗、企業轉型升級的大背景下，管理會計將越來越被集團企業所重視。

第三，發展電子商務是大勢所趨。電子商務是集團企業建立產業鏈整體管控、提升產業鏈整體競爭力的必要手段，是其進行業務模式創新的重要途徑。

第四，加速推進集團ERP建設，實現精益管理，已成集團企業共同選擇。

第五，加強自主可控，強化信息安全?！袄忡R門”事件給全球各界敲響了信息安全的警鐘。實現信息系統、基礎設施自主可控是解決中國信息安全威脅的關鍵所在。

“企業云”提供整合解決方案

正是在這些背景下，浪潮GS集團管控解決方案正在從核心基礎應用，向全過程、全職能、全相關方的應用發展，從集團財務、資金管理、全面預算，擴展到集團供應鏈、銷售與營銷、集團制造、集團人力資源及商務智能等領域，從而覆蓋整體產業鏈。王興山說，這正是云環境下浪潮集團管控信息化解決方案——浪潮“企業云”的優勢所在。

據悉，浪潮“企業云”主要由浪潮GS6.0管理軟件套件和浪潮移動應用套件IMAS2.0組成。其中，浪潮GS6.0管理軟件套件面向多層次、全價值鏈的多組織應用，支持不同類型的業務協作模式；面向決策者的應用需求，浪潮“企業云”支持“云+端”應用，支持集團企業深化集團管控，推動集約化管理與轉型升級。

第5篇：企業信息安全管控范文

摘 要 企業信息化程度發展到一定水平，從防火墻、入侵檢測等安全硬件到文檔防泄密、行為管理等安全軟件，技術上都比較成熟且大部分企業都已實施部分安全項目。但實施安全項目之后并不是高枕無憂，管理是否到位及企業員工安全意識成為企業信息安全的短板，如何從管理角度提高企業的信息安全水平，已成為一個重要的課題。

關鍵詞 信息安全；管理；意識

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）70-0171-02

從安全軟硬件出發，大多安全實施廠家已有較成熟的方案，一旦項目實施完成后，企業往往容易忽略人員意識、IT審計、后續管理等因素對信息安全的影響。本文就如何解決企業信息安全短板，從管理角度進行探討。

1 管理安全的含義和IT審計的特點

從大的方面來說，信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。直接反映到企業來說，就是要通過實施一整套適當的控制措施實現企業各業務系統正常運行，確保安全目標的實現。本文從管理角度探討企業的信息安全，可以簡稱為管理安全，它是指建立并有效落實企業規章制度、安全管理規定等，來保證系統安全生存與運行。

企業安全管理的規章制度是否運行有效直接關系到企業安全目標能否保障，在此管理過程中需要引入IT審計。IT審計重點內容之一就是發現信息系統的潛在風險，可以說企業信息中心對潛在的IT風險是比較重視的。IT審計相對技術而言，更多側重于管理，比如在安全策略方面更側重于訪問授權的控制，以及定期核查是否按相關信息化制度辦事，還有就是有無進行過適當的滲透去檢驗系統的可靠性等。實施IT審計能夠提高企業信息系統的安全性，能夠客觀評價信息系統安全現狀。

2 從管理角度看企業中存在的主要信息安全威脅

1）企業日常信息化管理中，會碰到以下一些現象，如：明知計算機病毒無孔不入，卻不安裝殺毒軟件；個人認證的物品（如員工門禁卡）隨意借用他人；進入門禁系統之后，對他人尾隨不理不問；移動存儲介質外借他人，卻不知可能造成感染病毒或泄密；打印服務器、掃描服務器等公用電腦臨時存放許多信息卻不刪除。

從上述現象中可以得知，企業員工信息安全意識淡薄會產生較多安全漏洞。據《2011年度中國企業員工信息安全意識調查報告》顯示，30%的受訪者從來沒有接受過信息安全培訓，只有30%的企業會進行定期的信息安全培訓[1]；

2）企業信息安全項目做的深度是與企業信息化發展水平相關的，一般企業會根據本身的信息化水平發展程度分步驟進行。企業初始階段會通過封USB端口，不配置光驅等形式防止電子文檔傳播至外界。現階段已有部分企業關注電子文檔防泄密的軟件，同時配以相應的制度，從一定程度上能達到預期的效果。項目實施后往往會發現效果難以保持，因為企業缺少相關的信息安全審計人員，在審計工作不到位的情況下，安全軟件的審計功能無法體現其價值；

3）企業通過安全軟件對電子文檔進行管理，在實物管理方面缺乏措施。辦公室文印區域是企業信息泄密的源頭之一，外單位人員進入企業進行交流時，通常會經過辦公室文印區域，員工打印文件后如不及時拿取，容易將技術資料留在在打印機上，給有心之人獲取，容易造成泄密。計算機、筆記本等辦公設備故障外移送修，送修前未經過審核批準，不對硬盤做處理，上述這些日常辦公現象存在著信息安全漏洞[2]。

3 信息安全短板的對策措施——強管理

盡管企業防火墻、防毒墻等安全硬件設施或安全軟件都較齊全，但是采取恰當的管理措施也能有效的提高信息安全水平，最終有效地保護企業信息資產。本文總結了以下幾種管理方法并加以說明。

1）提高員工安全意識，關鍵是做好培訓。一方面企業信息中心要組織好講師及培訓素材。培訓素材可結合生活中的信息安全案例或者通過動畫情景介紹等較生動的方式，寓教于樂，讓每個企業員工明白數據等無形資產的重要性，理解數據信息安全是企業的生存發展壯大的法寶。在培訓方式上，可采用循序漸進的培訓方式，不急于求全，可從最基本的啟用標準的計算機密碼（如大小寫字母+數字）、離開座位時使用屏保等開始培養。后續可陸續完善公司規章制度，同時認真落實，要讓員工真正懂得防止泄密的辦法；

2）通過IT審計嚴把信息安全管理關。企業做好IT審計，從以下幾方面入手：一方面是人才培養，企業審計部門需要引入類似IT審計師的角色，盡管現階段大部分中小企業未能做到這一點，但可參照國際上通用的認證培訓——國際信息系統審計師，把企業信息管理人員送出外培，提高兼職型IT審計人員的技術水平及能力；另一方面是IT審計人員職責要明確，從實踐上看，IT審計人員工作內容包括查看企業人員是否按照已有的規章制度進行審批手續、定期將審計報表反饋給高層，監督整改落實的情況及效果驗證，使企業自上而下重視信息安全管理；

3）讓安全軟件的審計功能發揮作用。市場上的電子文檔防泄密系統提供日志審計功能。日志系統主要用來跟蹤和記錄用戶對受控文件的操作、記錄管理員設定的策略和操作。企業系統管理員要對文件日志、部門日志、計算機日志、申請審批日志等進行定期檢查，同時發揮IT審計人員的監督作用，才可讓安全軟件的審計記錄發揮作用；

4）利用刷卡認證方式管理文檔輸出。辦公類信息安全管理方面，涉及到各類業務系統的賬戶管理、文檔輸出管理、存儲設備管理等?，F有企業一般是通過制度約束，但效果不明顯，這里結合新的管理方式對文檔輸出管理進行說明。一般我們不會一直等在打印機旁，沒有把打印好的資料及時拿走。而所打印的資料大多是技術圖紙、商務合同、計劃等資料，讓人不經意地看到相關內容及敏感信息。要減少因遺忘而將已輸出的文檔滯留在文印設備上，可結合IC刷卡認證的方式，企業通過為文印設備配備一些讀卡器，只有當刷員工卡時，文檔才從文印設備輸出，員工可即刻拿走。

總之，企業信息安全是一個多點因素的難題，涉及技術、管理、應用等方面，隨著企業信息化的發展，各類信息系統及軟件資產不斷增多，從管理角度保障信息安全，增強企業員工安全意識，成為企業成長的重中之重。

參考文獻

第6篇：企業信息安全管控范文

隨著網絡的建設，信息安全的不穩定因素主要體現在以下各方面：

1.客戶端數量不斷增多，意味著使用人員的增多。但實際情況中，許多人員并不重視自己所使用設備的安全性與可靠性，盲目的認為只要客戶端可以使用，數據存在就可以，殊不知，由于不重視將造成了網絡信息的嚴重安全隱患。

2.信息安全制度的不規范或實施不力，信息安全制度屬于信息管理制度，目前主要由信息部門進行制定同時推廣實施，但由于信息部門工作任務重，同時還要承擔信息技術研究、開發工作，無法兼顧實施，即使制度進行了推廣，但由于部門的局限性也無法得到很好的響應，就造成了安全制度的執行不力，也給網絡信息安全帶來嚴重的安全隱患。

3.客戶端操作系統漏洞升級不及時及安全應用軟件安裝不到位，目前一般的客戶端使用的均為微軟的操作系統，安全應用軟件為國產軟件。由于軍工企業一般要求內外網完全物理隔離，所以，當微軟公司成批量推出操作系統漏洞補丁時，如果信息部門不及時從互聯網上下載補丁同時下發，將造成客戶端計算機的漏洞大量存在，形成極大的安全隱患，同時，客戶端如果不按要求安裝安全應用軟件，也會給網絡造成安全隱患。

4.企業中便攜式設備管理松散，一般的軍工企業中都存在一部分便攜式設備，包括便攜式計算機、存儲設備等，雖然針對這部分設備一般企業都會制定嚴格的管理制度，包括使用、歸還、數據拷貝等都有詳細的要求描述，但由于各方面的原因，往往存在不按制度辦理的情況，造成信息安全的人為隱患。

二、解決安全隱患的有效途徑

以上四個問題是軍工企業信息安全中常見的安全隱患問題，如何解決，將是以下討論的重點：

1.做到制度從上到下一致執行，同時制度發行要講究方式方法，如組織全員學習制度規范，同時真正發揮企業領導小組的職能作用；信息安全的學習與意識培養，也是重要的組成部分，只有全員信息安全意識提升，才能時所有的信息安全制度深入到各方面的工作中，同時發揮信息中心的監管作用，對網絡客戶端制定信息安全制度制定的定期檢查工作，只有定期或不定期的排查、宣灌，才能真正的將信息安全制度推行到企業的每一個使用者，得到真正的執行。

2.由于軍工企業的特殊性，在企業的園區網絡中會存在大量的敏感信息，所以客戶端作為使用終端，是信息流通的一個重要環節，控制敏感信息的流向與操作權限將是企業信息安全的重要組成部分。加強企業客戶端的管理，安裝對客戶端使用行為進行管控的安全產品，制定不同客戶端的響應管控安全策略，同時保證策略下發到位是企業保證信息安全的一個重要手段。安全管理人員也應重視日?？蛻舳吮O控監控行為的日志分析工作，確保網絡客戶端的信息安全。

3.安裝漏洞掃描系統，對網絡進行統一的漏洞掃描，并及時安裝補丁下發系統（wsus），確保網絡中所有設備操作系統安全性與可靠性，防止應漏洞引起的安全問題。同時，及時對網絡防病毒軟件的病毒庫更新升級，網絡管理員在病毒庫更新后要下發到全網設備，對不及時升級的設備要執行強制升級，保證網絡的純凈，防止因后門或木馬病毒的擴散造成的信息安全隱患。

4.加強企業中便攜式設備的管理，對可以安裝安全軟件的設備一定要安裝，同時，要對所有便攜式設備統一管理，定期檢查。因在便攜式設備中安裝文檔加密軟件，防止設備中的敏感信息泄漏。

第7篇：企業信息安全管控范文

2013年以來，重鋼集團作為重慶市的大型重工業企業工控信息安全試點，進行了積極的探索和實踐。研究工控系統信息安全問題，制定工控系統信息安全實施指南，建立重鋼ICS工控信息安全的模擬試驗中心，進行控制系統信息安全的模擬試驗，采取措施提高重鋼控制系統的安全防御能力，以保證重鋼集團控制系統的信息安全和安全生產，盡到自己的社會責任。

1工控系統信息安全問題的由來

工業控制系統（industrycontrolsystem，以下簡稱ICS）信息安全問題的核心是通信協議缺陷問題。工控協議安全問題可分為兩類：

1.1ICS設計時固有的安全缺失

傳統的ICS采用專用的硬件、軟件和通信協議，設計上注重效率、實時性、可靠性，為此放棄了諸如認證、授權和加密等需要附加開銷的安全特征和功能，一般采用封閉式的網絡架構來保證系統安全。工業控制網的防護功能都很弱，幾乎沒有隔離功能。由于ICS的相對封閉性，一直不是網絡攻防研究關注的重點。

1.2ICS開放發展而繼承的安全缺失

目前，幾乎所有的ICS廠商都提出了企業全自動化的解決方案，ICS通信協議已經演化為在通用計算機\操作系統上實現，并運行在工業以太網上，TCP/IP協議自身存在的安全問題不可避免地會影響到相應的應用層工控協議。潛在地將這些有漏洞的協議暴露給攻擊者。隨著工業信息化及物聯網技術的高速發展，企業自動化、信息化聯網融合，以往相對封閉的ICS逐漸采用通用的通信協議、硬軟件系統，甚至可以通過實時數據采集網、MES、ERP網絡連接到企業OA及互聯網等公共網絡。傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也正在向ICS擴散。因此在ICS對企業信息化系統開放，使企業生產經營獲取巨大好處的同時，也減弱了ICS與外界的隔離，“兩化融合”使ICS信息安全隱患問題日益嚴峻。

2重鋼ICS信息安全問題的探索

2.1重鋼企業系統架構

重鋼新區的建設是以大幅提升工藝技術和控制、管理水平，以科技創新和裝備大型化推進流程再造為依據，降本增效、節能減排為目的來完成的。各主要工藝環節、生產線都實現了全流程智能化管控。依據“產銷一體化”的思想，重鋼在各產線上集成,實現“兩化”深度融合，形成了一個龐大而復雜的網絡拓撲結構。

2.2生產管控系統分級

管控系統按控制功能和邏輯分為4級網絡：L4（企業資源計劃ERP）、L3（生產管理級MES）、L2（過程控制級PCS）、L1（基礎自動化級BAS）。重鋼新區L1控制系統有：浙大中控、新華DCS、西門子PLC、GEPLC、MOX、施耐德和羅克威爾控制系統等。各主要生產環節L1獨立，L2互聯，L3和ERP是全流程整體構建。

2.3重鋼企業網絡架

重鋼新區網絡系統共分為4個層次：Internet和專線區，主干網區域，服務器區域，L2/L3通信專網區。

（1）主干網區域包括全廠無線覆蓋（用于各網絡點的補充接入備用）和辦公終端接入，主干網區域與Internet和專線區之間通過防火墻隔離，并部署行為管理系統；

（2）主干網區域與服務器區域之間通過防火墻隔離；

（3）L2與L3之間由布置在L2網絡的防火墻和L3側的數據交換平臺隔離；

（4）L2和L1之間通過L2級主機雙網卡方式進行邏輯隔離，各生產線L2和L1遍布整個新區，有多種控制系統。

（5）OA與ERP和MES服務器之間沒有隔離。在L2以下沒有防火墻，現有的安全措施不能保證ICS的安全。

2.4ICS安全漏洞

經過分析討論，我們認為重鋼管控系統ICS可能存在以下安全問題：

（1）通信協議漏洞基于TCP/IP的工業以太網、PROIBUS,MODBUS等總線通信協議，L1級與L2級之間通信采用的OPC協議，都有明顯的安全漏洞。

（2）操作系統漏洞：ICS的HMI上Windows操作系統補丁問題。

（3）安全策略和管理流程問題：安全策略與管理流程、人員信息安全意識缺乏，移動設備的使用及不嚴格的訪問控制策略。

（4）殺毒軟件問題：由于殺毒軟件可能查殺ICS的部分軟件，且其病毒庫需要不定期的更新，故此，ICS操作站\工程師站基本未安裝殺毒軟件。

3重鋼工控系統信息安全措施

對重鋼來說，ICS信息安全性研究是一個新領域，對此，需要重點研究ICS自身的脆弱性（漏洞）情況及系統間通信規約的安全性問題，對ICS系統進行安全測試，同時制定ICS的設備安全管理措施。

3.1制定ICS信息安全實施指南

根據國際行業標準ANSI/ISA-99及IT安防等級，重鋼與重慶郵電大學合作，制定出適合國內實際的《工業控制系統信息安全實施指南》（草案）。指南就ICS和IT系統的差異，ICS系統潛在的脆弱性，風險因素，ICS網絡隔離技術，安全事故緣由，ICS系統安全程序開發與部署，管理控制，運維控制，技術控制等多方面進行具體的規范，并提出ICS的縱深防御戰略的主要規則。并提出ICS的縱深防御戰略的主要規則。ICS的縱深防御戰略：

（1）在ICS從應用設計開始的整個生命周期內解決安全問題；

（2）實施多層的網絡拓撲結構；

（3）提供企業網和ICS的網絡邏輯隔離；

（4）ICS設備測試后封鎖未使用過的端口和服務，確保其不會影響ICS的運行；

（5）限制物理訪問ICS網絡和設備；

（6）限制ICS用戶使用特權，(權、責、人對應）；

（7）在ICS網絡和企業網絡分別使用單獨的身份驗證機制；

（8）使用入侵檢測軟件、防病毒軟件等，實現防御工控系統中的入侵及破壞；

（9）在工控系統的數據存儲和通信中使用安全技術，例如加密技術；

（10）在安裝ICS之前，利用測試系統測試完所有補丁并盡快部署安全補??；

（11）在工控系統的關鍵區域跟蹤和監測審計蹤跡。

3.2建立重鋼ICS信息安全模擬試驗中心

由于重鋼新區企業網絡架構異常復雜，要解決信息安全問題，必須對企業網絡及ICS進行信息安全測試，在此基礎上對系統進行加固。為避免攻擊等測試手段對正在生產運行的系統產生不可控制的惡劣影響，必須建立一個ICS信息安全的模擬試驗中心。為此，采用模擬在線運行的重鋼企業網絡的方式，構建重鋼ICS信息安全的模擬試驗中心。這個中心也是重鋼電子的軟件開發模擬平臺和信息安全攻防演練平臺。

3.3模擬系統信息安全的測試診斷

重鋼模擬系統安全測試，主要進行漏洞檢測和滲透測試，形成ICS安全評估報告。重鋼ICS安全問題主要集中在安全管理、ICS與網絡系統三個方面，高危漏洞占很大比重。

（1）骨干網作為內外網數據交換的節點，抗病毒能力弱、有明顯的攻擊路徑；

（2）生產管理系統中因為網絡架構、程序設計和安全管理等方面的因素，存在諸多高風險安全漏洞；

（3）L1的PLC與監控層之間無安全隔離，ICS與L2之間僅有雙網卡邏輯隔離，OA和ERP、MES的網絡拓撲沒有分級和隔離。對外部攻擊沒有防御手段。雖然各部分ICS(L1）相對獨立，但整個系統還是存在諸多不安全風險因素，主要有系統層缺陷、滲透攻擊、緩沖區溢出、口令破解及接口、企業網內部威脅五個方面。通過對安全測試結果進行分析，我們認為攻擊者最容易采用的攻擊途徑是：現場無線網絡、辦公網—HMI遠程網頁—HMI服務器、U盤或筆記本電腦在ICS接入。病毒最容易侵入地方是：外網、所有操作終端、調試接入的筆記本電腦。

3.4提高重鋼管控系統安防能力的措施

在原有網絡安全防御的基礎上根據ICS信息安全的要求和模擬測試的結果，我們采取一系列措施來提高重鋼管控系統的措施。

3.5安全管理措施

參照《工業控制系統信息安全實施指南》（草案），修訂《重鋼股份公司計算機信息網絡管理制度》，針對內部網絡容易出現的安全問題提出具體要求，重點突出網絡安全接入控制和資源共享規范；檢查所有ICS操作員\工程師站，封鎖USB口，重新清理所有終端，建立完整的操作權限和密碼體系。封鎖大部分骨干網區的無線接入，增加現場無線設備的加密級別。

3.6系統加固措施

3.6.1互聯網出口安全防護第一層：防火墻——在原來配置的防火墻上，清理端口，精確開放內部服務器服務端口，限制主要網絡木馬病毒入侵端口通訊；第二層：行為管理系統——對內外通訊的流量進行整形和帶寬控制，控制互聯網訪問權限，減少非法的互聯網資源訪問，同時對敏感信息進行控制和記錄；第三層：防病毒系統——部署瑞星防毒墻對進出內網的網絡流量進行掃描過濾，查殺占據絕大部分的HTTP、FTP、SMTP等協議流量，凈化內網網絡環境；

3.6.2內網（以太網）安全部署企業版殺毒系統、EAD準入控制系統(終端安裝)，進行交換機加固，增加DHCP嗅探功能，拒絕非法DHCP服務器分配IP地址，廣播風暴抑制。

3.6.3工業以太網安全L1級安全隔離應考慮ICS的特點：

（1）PLC與監控層及過程控制級一般采用OPC通訊，端口不固定。因此，安全隔離設備應能進行動態端口監控和防御。

（2）工控系統實時性高，要求通信速度快。因此，為保證所處理的流量較少，網絡延時小，實時性好，安全隔離設備應布置在被保護設備的上游和控制網絡的邊緣。圖3安全防御技術措施實施簡圖經過多方比較，現采用數據采集隔離平臺和智能保護平臺。在PLC采用終端保護，在L1監控層實現L1區域保護，在PCS與MES、ERP和OA之間形成邊界保護。接著考慮增加L1外掛監測審計平臺和漏洞挖掘檢測平臺。

3.6.4數據采集隔離平臺在L1的OPC服務器和實時數據庫采集站之間實現數據隔離，采用數據隔離網關+綜合管理平臺實現：動態端口控制，白名單主動防御，實時深度解析采集數據，實時報警阻斷。

3.6.5智能保護平臺快速識別ICS系統中的非法操作、異常事件及外部攻擊并及時告警和阻斷非法數據包。多重防御機制：將IP地址與MAC地址綁定，防止內部IP地址被非法盜用；白名單防御機制：對網絡中所有不符合白名單的安全數據和行為特征進行阻斷和告警，消除未知漏洞危害；黑名單防御機制：根據已知漏洞庫，對網絡中所有異常數據和行為進行阻斷和告警，消除已知漏洞危害。邊界保護：布置在L1邊界，監控L1網絡中的保護節點和網絡結構，配置信息以及安全事件。區域保護：布置在L1級ICS內部邊界，防御來自工業以太網以外及ICS內部其他區域的威脅。終端保護：布置在終端節點，防御來自外部、內部其他區域及終端的威脅。綜合管理平臺：通過對所在工控網絡環境的分析，自動組合一套規則與策略的部署方案；可將合適的白名單規則與漏洞防護策略下發部署到不同的智能保護平臺。

4結束語

第8篇：企業信息安全管控范文

關鍵詞：基層電力企業 ；信息安全；解決；方法

中圖分類號：F407文獻標識碼： A

伴隨著國家電網公司“三集五大”戰略目標的逐步實現，人資管控系統、財務FMIS、物資管理系統的集約化管理，ERP系統、SG186營銷管理系統、協同辦公等應用系統的相繼上線，所有的服務器、數據庫逐漸統一到省一級進行集中管理。網上服務受理等業務也由省公司做統一對外出口，基層電力企業沒有對外的出口。訪問互聯網的計算機嚴格按照要求獨立出來，與內部網絡進行物理隔離。因此，可以說基層電力企業信息安全面臨的問題大多數是內部安全問題。

一、 基層電力企業現有的信息安全防護手段

隨著電力信息化步伐的加速，基層電力企業大多都已具備較為完善的信息安全防護體系，有效的保障了電力信息化的快速發展。

1、 網絡防火墻：防火墻是企業局域網到外網（上級電業局單位與其它電力企業網絡）互聯的唯一出口，通過網絡防火墻，可以全面監視外網對內部網絡的訪問活動，并進行詳細的記錄，確保內網核心數據的安全性。通過以防火墻為中心的安全方案配置，能將所有安全軟件（比如口令、加密、身份認證等）配置在防火墻上。通過對訪問策略控制，關閉與工作無關的端口，拒絕一切未經許可的服務。所有的訪問都將通過防火墻進行，不允許任何繞過防火墻的連接。

2、入侵檢測系統（IDS）：入侵檢測系統是一種對網絡傳輸進行即時監視，它與其他網絡安全設備的不同之處便在于，IDS是一種積極主動的安全防護技術，它對所監測的網絡上的一切數據包或可疑數據包進行分析，如果數據包與產品內置的規則匹配，入侵檢測系統就會發出警報，甚至直接切斷網絡連接，從根本上彌補了企業防火墻的不足。

3、正向隔離裝置：利用正向隔離系統確保調度數據網絡與其它數據網絡隔離，讓調度數據可在客戶端被訪問而無法被修改，保障調度數據的安全性。

4、網絡版防病毒軟件：信息安全管理員通過在防病毒服務器上安裝殺毒軟件服務器端程序，在用戶終端安裝客戶端殺毒軟件，實現以防病毒服務器為核心，對客戶端殺毒軟件的統一管理，部署安全策略等。員工可通過客戶端殺毒軟件向服務器申請下載并更新病毒庫，定時或手動對計算機設備進行掃描和查殺，達到全系統、全網絡防毒的目的。

現階段基層電力企業信息安全存在的主要問題

信息安全是一個系統化工程。千里之堤、毀于蟻穴，信息安全體系的任何一個漏洞，都會導致信息安全問題。通過信息安全風險分析，能有效的找出安全體系的漏洞，加以鞏固。

1、員工安全意識差：員工安全意識不高，在日常使用中為圖方便，使用無口令或默認口令，隨意開啟文件共享，或將自己的賬號密碼告知他人等現象普遍存在。接收和發送數據較為隨意，出現重要數據丟失的現在屢有發生，給公司的生產和經營帶來了重大的安全隱患。

2、管理不到位：信息管理人員知識較為薄弱，在日常管理過程中存在麻痹大意的心理，對離職或退休員工的賬戶和權限沒有及時禁用或刪除。認為用戶計算機不連接互聯網就不會受到計算機病毒的感染或者黑客的入侵，對防病毒軟件掃描的漏洞提醒視而不見。對企業防火墻、系統服務器配置不當，造成整個安全防護體系的漏洞。

3、運維效率低：電力企業與其它行業相比，明顯的區別在于辦公場地分散，特別是基層供電企業，農村供電所眾多，使用人員水平較低，辦公環境復雜，計算機設備故障率高。在計算機設備出現故障時，員工電話報修，信息運維人員下現場解決似乎已成為企業目前一成不變的運維模式。這種頭痛醫頭，腳痛醫腳的管理方式不是不僅讓運維人員整日疲于奔波，更會讓管理出現疏漏。

4、移動存儲介質使用混亂：由于現在移動存儲介質（如U盤、MP3、SD卡等）價格低廉，員工基本人手一個。移動存儲介質的違規使用會造成重要數據非法拷貝、移動存儲介質不慎遺失、與互聯網連接而導致信息泄密、移動存儲介質的交叉使用造成病毒的交叉感染等問題，成為企業信息管理人員面臨的一大難題。

5、物理安全隱患：物理隱患是指工作場所或設備監管不到位帶來的安全隱患。主要包括信息機房安全隱患和用戶設備安全隱患。基層電力企業的用戶計算機出現故障時，如果是系統、軟件故障一般是信息運維人員自己解決，硬件設備故障則聯系品牌供應商進行售后服務?，F在品牌售后服務為了追求效率大多采用直接更換硬件的方法來解決問題，這就使得更換下來的如硬盤等硬件設備被帶走，造成數據丟失或泄漏。還有如果信息人員對打印機、掃描儀等外接設備重視不足，把這些外接設備承包給外部電腦維修公司維護的話，也很容易造成重要信息外泄，造成信息安全事件。

三、解決基層電力企業存在問題的方法

信息安全問題的解決，三分靠技術，七分靠管理，嚴格管理是企業避免信息安全遭受威脅的重要措施。

1、強化培訓，提升主動防御能力

信息管理人員除了要制止員工的不安全操作，也應該告知員工要如何做。讓員工明白使用弱口令、不安全賬戶、隨意共享等對企業信息安全的危害，教育員工正確使用終端設備、重要備份數據、利用壓縮軟件加密等操作，從源頭入手，堵塞信息安全漏洞。信息人員要保持“安全無小事”的心態，扎實落實好日常工作任務，為企業安全生產保駕護航。

2、實行信息安全“兩票制”

第三方信息工作人員需進入企業時，應有信息部門人員陪同。若要進行更換硬件設備、維護服務器等操作，須征得信息部門領導同意，對工作的必要性進行審查，注明維護范圍、時間和維護的方式，即開工作票。在操作過程中，陪同信息人員應逐項記錄如更換的設備型號、編碼、操作步驟、數據變化、操作人、操作時間等，實現操作全過程管控，確保操作的合理性，方便日后追溯、查詢。

3、重視機房安全

機房作為企業信息系統的核心，不允許非信息管理人員隨意進出。首先應當有完善的機房管理制度，每日對機房進行巡視，做好巡視記錄。非信息維護人員進入機房應有信息人員陪同，進出機房時做好記錄。同時具備門禁，UPS不間斷電源、消防、防雷，控制溫度和濕度等措施。

4、采用信息安全新技術，填補薄弱環節

第9篇：企業信息安全管控范文

信息安全是指計算機網絡系統中的硬件、軟件和其他數據等不受非法用法的破壞，主要指未經授權的訪問者無法使用訪問數據和修改數據，而只給授權的用戶提供數據服務和可信信息服務，并保證服務的完整性、可信性和機密性。電力信息安全是指供電系統中提供給用戶或公司內部員工的數據是安全的、可信的。供電公司管理系統是個繁雜的系統，涉及用電客戶和公司內部員工及第三方托管服務公司，系統的信息安全一直是公司發展的瓶頸。正確評估供電公司信息安全系統的合理性和安全性，針對安全風險進行分析，最后制訂供電公司信息安全的策略非常重要，也是至關重要的。

2供電企業信息安全的影響因素

盡管供電公司投入了大量的財力、物力建設電網信息安全系統，但供電企業內部網絡仍不健全，存在許多安全隱患。另外，供電公司信息化水平不高，信息安全保障措施薄弱也制約了其信息安全系統的建設。要構建一個健全的供電公司信息安全保障體系，就要首先分析供電公司信息安全的影響因素，對癥下藥，進一步提出供電企業加強信息安全管理的對策。

2.1不可抗拒因素

所謂“不可抗拒因素”，就是由于火災、水災、供電、雷電、地震等自然災害影響，供電公司的供電線路、計算機網絡信號、計算機數據等受到破壞，并威脅到供電公司的信息安全。

2.2計算機網絡設備因素

供電公司計算機系統中使用大量的網絡設備，包括集線器、網絡服務器和路由器等，其正常運行關系著供電公司內部網絡的正常運行，而計算機網絡設備的安全直接關系著供電公司的正常運行。

2.3數據庫安全因素

供電公司計算機系統監控用戶峰值，管理用電客戶信息及其他用戶繳費等情況，計算機數據庫的系統安全決定了供電企業的調度效率，也決定了供電公司公共信息的安全。供電公司應該使用專用網絡設備，確保企業內部網絡與外部互聯網的隔離。

2.4管理因素

供電公司員工的業務素質和職業修養參差不齊，直接影響到供電公司的網絡安全。供電公司應該建立過錯追究制度，提高員工的信息化素質，有效防止和杜絕管理因素造成的信息安全問題。

3供電企業加強信息安全管理的對策

3.1提升員工信息安全防患意識

開展信息安全管理工作，并非僅僅是系統使用或者管理部門的事，而是企業所有職工的事，因此，要增強全體員工的信息安全和防患意識。通過采取培訓和考核等有力措施，進一步提升全體員工對企業信息安全的認識，讓信息安全成為企業日常工作業務的一個組成部分，從而提升企業整體信息安全水平。

3.2采用知識型管理

傳統的安全管理大部分采取的是一種硬性的管理手段。在當今知識經濟的時代，安全管理應當以知識管理為主，從而使得安全管理措施與手段也越來越知識化、數字化和智能化，促使信息安全管理工作進入一個嶄新的階段。

3.3設置系統用戶權限

為了預防非法用戶侵入系統，應按照用戶不同的級別限制用戶的權限，并投入資金開展安全技術督查和安全審計等相關活動。信息安全并非一朝一夕就能完成的事，它需要一個長期的過程才能達到較高的水平，需建立并完善相應的管理制度，從平時的基礎工作著手，及時發現問題，匯報問題，分析問題并解決問題。

3.4防范計算機病毒攻擊

加速信息安全管控措施的建設，在電力信息化工作中，辦公自動化是其中一項非常重要的內容，而核心工作業務就是電子郵件的發送與接收，這也正是計算機病毒一個非常重要的傳播渠道。因此，必須大力促進個人終端標準化工作的建設，實現病毒軟件的自動更新、自動升級，不得隨意下載并安裝盜版軟件；加強對木馬病毒等的安全防范措施，對用戶訪問實施嚴格的控制。

3.5完善信息安全應急預案

嚴格規范信息安全事故通報程序，對于隱瞞信息事件的現象，必須嚴肅查處。對于國家和企業信息安全運行動態，要及時通報，分析事件，及時信息安全通告。對于己經制定的相關預案和安全措施，必須落到實處。另外，還要進一步加強信息安全技術督查隊伍的建設，提高信息安全考核與執行的力度。

3.6建立信息安全保密機制

加強信息安全保密措施的落實，禁止將計算機連接到互聯網及其他公共信息網絡，完善外部人員訪問的相關授權、審批程序。定期組織開展信息系統安全保密的各項檢查工作，切實做好文檔的登記、存檔和解密等環節的工作。

4結束語