信息安全審核制度精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全審核制度主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全審核制度范文

關(guān)鍵詞：等級(jí)保護(hù)；測(cè)評(píng)；信息安全；管理

中圖分類(lèi)號(hào)：TP393

文獻(xiàn)標(biāo)志碼：C

文章編號(hào)：1006-8228(2011)12-60-02

0 引言

信息安全等級(jí)保護(hù)作為國(guó)家信息安全工作的一項(xiàng)基本制度、基本國(guó)策，已經(jīng)在全國(guó)實(shí)行多年，各信息系統(tǒng)運(yùn)營(yíng)使用單位都深刻認(rèn)識(shí)到等級(jí)保護(hù)制度的重要性。在我國(guó)信息安全等級(jí)保護(hù)制度中，等級(jí)保護(hù)分五個(gè)工作環(huán)節(jié)――定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查。其中，等級(jí)測(cè)評(píng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，受有關(guān)單位委托，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的檢測(cè)評(píng)估活動(dòng)，是信息安全等級(jí)保護(hù)工作的重要環(huán)節(jié)。

隨著等級(jí)保護(hù)工作的不斷推進(jìn)，等級(jí)測(cè)評(píng)機(jī)構(gòu)的體系建設(shè)也在不斷深入，全國(guó)等級(jí)測(cè)評(píng)機(jī)構(gòu)的數(shù)量在不斷增加，測(cè)評(píng)機(jī)構(gòu)的品質(zhì)和能力、測(cè)評(píng)人員的水平和素質(zhì)、測(cè)評(píng)競(jìng)爭(zhēng)環(huán)境等諸多方面的問(wèn)題將不斷出現(xiàn)。因此，加強(qiáng)對(duì)等級(jí)測(cè)評(píng)機(jī)構(gòu)的合理、有效監(jiān)管，對(duì)提升測(cè)評(píng)行業(yè)質(zhì)量，保證測(cè)評(píng)數(shù)據(jù)公正、客觀，以及保障重點(diǎn)行業(yè)的重要信息系統(tǒng)安全等至關(guān)重要。

1 國(guó)家層面對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式

測(cè)評(píng)工作作為等級(jí)保護(hù)制度中最重要工作環(huán)節(jié)，具有明顯的專(zhuān)業(yè)性和技術(shù)性恃點(diǎn)，其政策導(dǎo)向性強(qiáng)。因此，僅有相關(guān)測(cè)評(píng)技術(shù)標(biāo)準(zhǔn)是不夠的，測(cè)評(píng)機(jī)構(gòu)的體系化、規(guī)范化管理也是關(guān)鍵。

2009年7月公安部開(kāi)始信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)試點(diǎn)工作，其目的是探索信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和管理的模式和經(jīng)驗(yàn)，保證全國(guó)重要信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)工作的順利開(kāi)展。試點(diǎn)工作主要在浙江、重慶、河南、廣東等省市展開(kāi)。其主要內(nèi)容是根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)完成五個(gè)方面的工作：一是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備的條件；二是檢驗(yàn)并完善等級(jí)測(cè)評(píng)機(jī)構(gòu)建設(shè)的主要內(nèi)容；三是檢驗(yàn)并完善等級(jí)測(cè)評(píng)人員管理的主要內(nèi)容；四是檢驗(yàn)并完善等級(jí)測(cè)評(píng)工作規(guī)范性要求的主要內(nèi)容；五是檢驗(yàn)并完善測(cè)評(píng)機(jī)構(gòu)監(jiān)督管理的主要內(nèi)容等。從試點(diǎn)工作情況分析，國(guó)家對(duì)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管模式采用的是能力評(píng)估和政府干預(yù)相結(jié)合的模式。

從工作程序上分為四個(gè)步驟：

(1)各測(cè)評(píng)機(jī)構(gòu)向設(shè)區(qū)的市級(jí)以上所在地公安網(wǎng)安部門(mén)申請(qǐng)，公安網(wǎng)安部門(mén)根據(jù)《信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范(試行)》對(duì)測(cè)評(píng)機(jī)構(gòu)所提交的申請(qǐng)材料進(jìn)行審核，審核通過(guò)后，提交給上一級(jí)公安網(wǎng)安部門(mén)報(bào)批，并予以受理。

(2)公安部網(wǎng)絡(luò)安全保衛(wèi)局統(tǒng)一將各地上報(bào)的測(cè)評(píng)機(jī)構(gòu)信息轉(zhuǎn)發(fā)給公安部信息安全等級(jí)保護(hù)評(píng)估中心，由評(píng)估中心按照《信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)能力要求(試行)》對(duì)各測(cè)評(píng)機(jī)構(gòu)進(jìn)行能力評(píng)估。能力評(píng)估通過(guò)后，由評(píng)估中心將能力評(píng)估材料遞交公安部網(wǎng)絡(luò)安全保衛(wèi)局審核批準(zhǔn)。

(3)各省公安網(wǎng)安部門(mén)收到公安部網(wǎng)絡(luò)安全保衛(wèi)局對(duì)測(cè)評(píng)機(jī)構(gòu)審核的意見(jiàn)及相關(guān)證書(shū)，下發(fā)給各地網(wǎng)安部門(mén)。

(4)公安部信息安全等級(jí)保護(hù)評(píng)估中心在網(wǎng)站上公布測(cè)評(píng)機(jī)構(gòu)名單，接受社會(huì)監(jiān)督。

能力評(píng)估的內(nèi)容和要求上，分為組織管理能力、測(cè)評(píng)實(shí)施能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、規(guī)范性保證能力、風(fēng)險(xiǎn)控制能力、可持續(xù)發(fā)展能力等七個(gè)方面和基本要求、約束性要求等兩個(gè)部分。

2 浙江省等級(jí)測(cè)評(píng)機(jī)構(gòu)現(xiàn)有監(jiān)管模式

浙江省信息等級(jí)保護(hù)工作一直處于國(guó)內(nèi)前列，2006年就頒布了《浙江省信息安全等級(jí)保護(hù)管理辦法》(省政府第223號(hào)令)，并在同年開(kāi)展了全國(guó)等級(jí)保護(hù)試點(diǎn)項(xiàng)目。通過(guò)多年積累的經(jīng)驗(yàn)，2007年浙江省開(kāi)始在測(cè)評(píng)機(jī)構(gòu)管理、測(cè)評(píng)工作模式等方面進(jìn)行探索，初步形成具有浙江特色的等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式。

(1)以社會(huì)協(xié)會(huì)管理為主，政府監(jiān)管為輔的管理模式

浙江省結(jié)合實(shí)際，政府層面出臺(tái)了《浙江省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理規(guī)定(試行)》，明確了省內(nèi)從事等級(jí)測(cè)評(píng)工作的單位性質(zhì)、條件和義務(wù)等要素。社會(huì)協(xié)會(huì)層面出臺(tái)了《浙江省信息安全測(cè)評(píng)機(jī)構(gòu)資信等級(jí)評(píng)定管理辦法(試行)》實(shí)現(xiàn)測(cè)評(píng)機(jī)構(gòu)資信等級(jí)一、二級(jí)管理，形成測(cè)評(píng)機(jī)構(gòu)管理行業(yè)規(guī)范，變政府由市場(chǎng)參與主體向市場(chǎng)監(jiān)管主體轉(zhuǎn)變，由管理審批型向管理服務(wù)型轉(zhuǎn)變、由直接行政干預(yù)向間接宏觀調(diào)控轉(zhuǎn)變。

(2)建立以行業(yè)自律管理為主的監(jiān)管體系

嚴(yán)格測(cè)評(píng)機(jī)構(gòu)行業(yè)自律管理，測(cè)評(píng)機(jī)構(gòu)間簽署《信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)行業(yè)自律公約》，強(qiáng)化機(jī)構(gòu)自律化管理，進(jìn)一步規(guī)范測(cè)評(píng)機(jī)構(gòu)行為和工作秩序。

(3)建立機(jī)構(gòu)統(tǒng)一管理標(biāo)準(zhǔn)，專(zhuān)控審查機(jī)構(gòu)自身及人員能力建設(shè)

全省測(cè)評(píng)機(jī)構(gòu)必須按照“審核標(biāo)準(zhǔn)統(tǒng)一，管理規(guī)范標(biāo)準(zhǔn)統(tǒng)一、技術(shù)標(biāo)準(zhǔn)統(tǒng)一、測(cè)評(píng)工具標(biāo)準(zhǔn)統(tǒng)一、報(bào)告樣式標(biāo)準(zhǔn)統(tǒng)一”的五統(tǒng)一規(guī)范開(kāi)展測(cè)評(píng)工作，并由政府組織機(jī)構(gòu)年審，設(shè)立準(zhǔn)入準(zhǔn)出機(jī)制。測(cè)評(píng)機(jī)構(gòu)的能力審查對(duì)測(cè)評(píng)過(guò)程中技術(shù)人員行為的規(guī)范性、合理性和程序標(biāo)準(zhǔn)性，對(duì)機(jī)構(gòu)業(yè)務(wù)范圍、管理能力和技術(shù)能力要求等給予明確規(guī)定，規(guī)范申請(qǐng)、審核、查驗(yàn)和推薦流程，組建由公安、保密、密碼管理、信息辦和安全等部門(mén)專(zhuān)家組成的專(zhuān)門(mén)審查小組對(duì)機(jī)構(gòu)背景、管理水平、資格和技術(shù)能力進(jìn)行量化評(píng)價(jià)，作為推薦依據(jù)。同時(shí)，嚴(yán)格規(guī)范測(cè)評(píng)機(jī)構(gòu)工作程序，加強(qiáng)對(duì)機(jī)構(gòu)內(nèi)部管理規(guī)范化建設(shè)督導(dǎo)，要求健全人員管理、項(xiàng)目管理、文檔管理、設(shè)備管理、保密制度等各項(xiàng)制度，要求制定《質(zhì)量手冊(cè)》、《程序文件》、《作業(yè)指導(dǎo)書(shū)》、《測(cè)評(píng)過(guò)程記錄表單》等測(cè)評(píng)實(shí)施過(guò)程文檔，完善測(cè)評(píng)實(shí)施規(guī)程。

全省機(jī)構(gòu)都已被要求必須獲得CMA中國(guó)計(jì)量認(rèn)證，并被引導(dǎo)和鼓勵(lì)去獲得CNAS實(shí)驗(yàn)室認(rèn)證、ISO27001認(rèn)證等。所有從業(yè)人員必須獲得初級(jí)以上“測(cè)評(píng)師”技術(shù)證書(shū)，測(cè)評(píng)工作中持證上崗。對(duì)測(cè)評(píng)從業(yè)人員要進(jìn)行錄用考核、備案和背景審查等工作。

3 現(xiàn)有監(jiān)管模式的不足

在現(xiàn)行的測(cè)評(píng)機(jī)構(gòu)監(jiān)管模式中，我們側(cè)重于對(duì)測(cè)評(píng)機(jī)構(gòu)應(yīng)具備條件(包括審核是否在境內(nèi)注冊(cè)成立、注冊(cè)資本多少、法人資格、公司已有的資質(zhì)、測(cè)評(píng)人員已獲得的技術(shù)認(rèn)證等)的監(jiān)管；僅關(guān)注機(jī)構(gòu)是否已具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等制度，而對(duì)這些制度的落實(shí)情況及執(zhí)行情況缺乏有效監(jiān)督；對(duì)測(cè)評(píng)活動(dòng)實(shí)施過(guò)程中的合法性，有效性問(wèn)題缺乏必要的考量。

4 對(duì)測(cè)評(píng)機(jī)構(gòu)進(jìn)行有效性監(jiān)管方法的探討

(1)對(duì)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)大綱實(shí)行報(bào)備審核

測(cè)評(píng)大綱應(yīng)是等級(jí)測(cè)評(píng)機(jī)構(gòu)的整體測(cè)評(píng)策略性文件，能綜合反映不同測(cè)評(píng)機(jī)構(gòu)從事等級(jí)測(cè)評(píng)活動(dòng)的經(jīng)驗(yàn)、知識(shí)、測(cè)評(píng)方法和測(cè)評(píng)程序?；趯?duì)被測(cè)評(píng)單位的利益保護(hù)以及對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)管要求，測(cè)評(píng)大綱應(yīng)具有法律效力，須報(bào)公安機(jī)關(guān)審核備案后使用。測(cè)評(píng)機(jī)構(gòu)只有按照測(cè)評(píng)大綱中明確的指標(biāo)嚴(yán)格檢測(cè)、測(cè)評(píng)，其測(cè)評(píng)結(jié)果才能真實(shí)地反映被測(cè)單位計(jì)算機(jī)信息

系統(tǒng)的安全狀況，為安全整改建設(shè)提供科學(xué)的依據(jù)和指南。

(2)對(duì)等級(jí)測(cè)評(píng)活動(dòng)的各周期程序?qū)嵭斜O(jiān)督指導(dǎo)

等級(jí)測(cè)評(píng)流程分為四個(gè)階段：測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)及報(bào)告編制，政府部門(mén)的督導(dǎo)工作須貫穿其中。如，在測(cè)評(píng)準(zhǔn)備階段，為了避免測(cè)評(píng)小組成員和委托人之間存在利害關(guān)系，影響測(cè)評(píng)結(jié)果的公平、客觀、真實(shí)，測(cè)評(píng)機(jī)構(gòu)在確定測(cè)評(píng)小組成員名單后讓測(cè)評(píng)委托人確認(rèn)簽字，確認(rèn)書(shū)要留檔備查，未經(jīng)確認(rèn)開(kāi)展的項(xiàng)目測(cè)評(píng)報(bào)告不具有法律效力。方案編制中，必須明確測(cè)評(píng)對(duì)象、范圍、依據(jù)法律法規(guī)和標(biāo)準(zhǔn)、制定具體的測(cè)評(píng)檢查表，記錄文件要測(cè)評(píng)雙方簽字確認(rèn)，方案和測(cè)評(píng)過(guò)程文檔應(yīng)留檔備查?，F(xiàn)場(chǎng)測(cè)評(píng)中，測(cè)評(píng)小組必須使用可信、安全等級(jí)測(cè)評(píng)工具采集數(shù)據(jù)，測(cè)評(píng)工具要向公安機(jī)關(guān)報(bào)備，現(xiàn)場(chǎng)測(cè)評(píng)要按照檢測(cè)程序全面檢測(cè)關(guān)鍵測(cè)評(píng)項(xiàng)，依據(jù)測(cè)評(píng)標(biāo)準(zhǔn)客觀、公正、準(zhǔn)確評(píng)價(jià)，政府主管部門(mén)應(yīng)隨機(jī)駐點(diǎn)督查現(xiàn)場(chǎng)測(cè)評(píng)過(guò)程實(shí)施情況。測(cè)評(píng)報(bào)告反映的是被測(cè)評(píng)單位信息系統(tǒng)的安全保護(hù)現(xiàn)狀，應(yīng)具有法律效力，報(bào)告要使用標(biāo)準(zhǔn)模板，起草過(guò)程中測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員應(yīng)當(dāng)遵守國(guó)家的有關(guān)法律法規(guī)，保守被測(cè)評(píng)單位秘密、保障被測(cè)單位利益，政府部門(mén)有必要明確測(cè)機(jī)構(gòu)及其工作人員的法律責(zé)任來(lái)規(guī)范其職業(yè)道德。測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)結(jié)果直接對(duì)信息系統(tǒng)運(yùn)營(yíng)使用單位的建設(shè)、整改和運(yùn)營(yíng)成本，以及對(duì)監(jiān)管部門(mén)的行政監(jiān)管成本產(chǎn)生影響，也就是說(shuō)，測(cè)評(píng)報(bào)告對(duì)國(guó)家和社會(huì)都會(huì)產(chǎn)生影響。因此，測(cè)評(píng)機(jī)構(gòu)要對(duì)自身的測(cè)評(píng)行為負(fù)責(zé)，政府主管部門(mén)將對(duì)機(jī)構(gòu)及從業(yè)人員違反法律規(guī)定的行為予以民事、行政或刑事處罰。

(3)對(duì)測(cè)評(píng)人員實(shí)行從錄用到離職的全程監(jiān)督

等級(jí)測(cè)評(píng)涉及用戶(hù)單位的核心業(yè)務(wù)系統(tǒng)，是一項(xiàng)高技術(shù)的專(zhuān)業(yè)安全服務(wù)，需要具有一定政治素質(zhì)、道德素質(zhì)和專(zhuān)業(yè)素質(zhì)的測(cè)評(píng)人員來(lái)支撐。管理應(yīng)進(jìn)一步加大對(duì)測(cè)評(píng)人員的政治背景、從業(yè)背景、專(zhuān)業(yè)背景、技術(shù)素養(yǎng)的審查力度，建立完備測(cè)評(píng)人員檔案庫(kù)，考量測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)人員穩(wěn)定性，重點(diǎn)加大對(duì)離職測(cè)評(píng)人員的管控，明確保密條約，關(guān)注人員離職去向。

(4)制定測(cè)評(píng)機(jī)構(gòu)優(yōu)劣考量機(jī)制，促進(jìn)誠(chéng)信服務(wù)的企業(yè)文化

等級(jí)測(cè)評(píng)的執(zhí)行主體是測(cè)評(píng)機(jī)構(gòu)，測(cè)評(píng)機(jī)構(gòu)的企業(yè)文化是否具有凝聚性，企業(yè)價(jià)值觀是否誠(chéng)信，內(nèi)部管理模式是否健康，關(guān)乎其市場(chǎng)競(jìng)爭(zhēng)力，更關(guān)乎測(cè)評(píng)機(jī)構(gòu)能否為信息系統(tǒng)安全等級(jí)保護(hù)工作提供安全、客觀、公正的檢測(cè)評(píng)估服務(wù)。因此，要求測(cè)評(píng)企業(yè)必須有一定的政治覺(jué)悟，要嚴(yán)格遵守國(guó)家有關(guān)法律法規(guī)，要承擔(dān)社會(huì)責(zé)任和法律責(zé)任，不能唯利是圖。政府部門(mén)要定期開(kāi)展管理評(píng)審，制定考量測(cè)評(píng)機(jī)構(gòu)優(yōu)劣評(píng)判標(biāo)準(zhǔn)，完善被測(cè)評(píng)單位滿(mǎn)意度反饋機(jī)制，建立機(jī)構(gòu)誠(chéng)信狀況、信用狀況、評(píng)級(jí)結(jié)果等信息公開(kāi)機(jī)制，將政府監(jiān)管和社會(huì)監(jiān)督結(jié)合起來(lái)，通過(guò)評(píng)星評(píng)級(jí)、市場(chǎng)退出和獎(jiǎng)懲機(jī)制的建立，鼓勵(lì)誠(chéng)信機(jī)構(gòu)，懲戒不誠(chéng)信機(jī)構(gòu)，增加機(jī)構(gòu)不規(guī)范測(cè)評(píng)行為的風(fēng)險(xiǎn)成本。

(5)規(guī)范價(jià)格體系，推動(dòng)測(cè)評(píng)機(jī)構(gòu)良性發(fā)展

等級(jí)測(cè)評(píng)是近兩年才興起的行業(yè)，政府要引導(dǎo)建立良好的測(cè)評(píng)市場(chǎng)價(jià)格體系，借鑒其他行業(yè)自律的經(jīng)驗(yàn)手段，避免惡性?xún)r(jià)格競(jìng)爭(zhēng)，要保障等級(jí)測(cè)評(píng)有一定的利潤(rùn)空間，以使得測(cè)評(píng)機(jī)構(gòu)能朝更專(zhuān)業(yè)、更具實(shí)力方向發(fā)展，充分調(diào)動(dòng)測(cè)評(píng)機(jī)構(gòu)提升品牌建設(shè)、服務(wù)工作效率、專(zhuān)業(yè)能力、測(cè)評(píng)人員素質(zhì)的內(nèi)在動(dòng)力。

第2篇：信息安全審核制度范文

信息安全大致可以分為兩個(gè)方面一個(gè)是管理層方面；另一個(gè)是網(wǎng)絡(luò)方面。本段將會(huì)對(duì)這兩個(gè)方面所包含的內(nèi)容作一下概述，以方便企業(yè)在進(jìn)行信息安全管理制度的建立上可以進(jìn)行全方位的掌控。

1.1管理層方面

管理層方面的信息安全大致也包括物理層方面和管理層方面。

(1)物理層方面的信息安全主要是指物理環(huán)境建設(shè)安全尤其是信息中心物理環(huán)境安全。環(huán)境安全包括防火防水防自然災(zāi)害和物理災(zāi)害等。在環(huán)境安全中，企業(yè)必須要有足夠的認(rèn)識(shí)，機(jī)房建設(shè)要嚴(yán)格按國(guó)家機(jī)房建設(shè)標(biāo)準(zhǔn)進(jìn)行，做好防雷、防水、防靜電等安全措施，從而杜絕各類(lèi)安全隱患的發(fā)生。對(duì)企業(yè)內(nèi)部員工要加強(qiáng)計(jì)算機(jī)安全使用規(guī)程的教育，確保計(jì)算機(jī)在安全的環(huán)境中使用，保證人長(zhǎng)時(shí)間離開(kāi)計(jì)算機(jī)時(shí)斷開(kāi)電源以確保安全。

(2)管理層方面的信息安全主要是指企業(yè)內(nèi)部的管理制度建立是否完善，執(zhí)行效果如何，企業(yè)內(nèi)部員工對(duì)于信息安全的認(rèn)識(shí)程度，企業(yè)內(nèi)部員工職業(yè)道德的培養(yǎng)，企業(yè)內(nèi)部員工信息安全的教育培訓(xùn)，網(wǎng)絡(luò)技術(shù)人員技術(shù)能力的審核與培訓(xùn)以及企業(yè)內(nèi)部部門(mén)的分工等。企業(yè)必須要建立完善的信息安全管理制度，這個(gè)制度是由一個(gè)總的管理制度和各部門(mén)的管理制度和監(jiān)督制度共同構(gòu)成的。每一個(gè)部門(mén)根據(jù)信息資產(chǎn)內(nèi)容的不同應(yīng)該有自己相應(yīng)的信息安全管理制度以確保制度的行之有效。其次要設(shè)有完善的監(jiān)督機(jī)制來(lái)配合管理制度的實(shí)施，一個(gè)制度的建立，必須要能夠執(zhí)行下去，且執(zhí)行過(guò)程是有效的才能夠發(fā)揮管理制度的功效。而監(jiān)督機(jī)制就是對(duì)制度執(zhí)行情況的進(jìn)行監(jiān)測(cè)，對(duì)執(zhí)行的效果進(jìn)行審核作用的機(jī)制。其次是對(duì)于企業(yè)員工的職業(yè)素養(yǎng)和信息安全的教育培訓(xùn)，這方面將在下一部分進(jìn)行具體論述。最后就是對(duì)干企業(yè)內(nèi)部各部門(mén)之間的分工。在一個(gè)企業(yè)內(nèi)部是有一套自己的工作流程的，但是這個(gè)工作流程是伴隨著信息的流動(dòng)產(chǎn)生的。所以在信息流動(dòng)的過(guò)程中需要將信息轉(zhuǎn)變的過(guò)程進(jìn)行分工，以此來(lái)保障信息在局部過(guò)程中的完整性，以防止一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題導(dǎo)致全局崩潰的情況發(fā)生。對(duì)此，企業(yè)內(nèi)部不但要細(xì)化工作流程，對(duì)于信息轉(zhuǎn)化過(guò)程也要進(jìn)行分工，以防止問(wèn)題的發(fā)生。

1.2網(wǎng)絡(luò)層方面

網(wǎng)絡(luò)層方面的信息安全主要是指網(wǎng)絡(luò)，系統(tǒng)和應(yīng)用三個(gè)方面。在網(wǎng)絡(luò)層方面的信息安全不只存在于IT部門(mén)，它應(yīng)該在整個(gè)企業(yè)內(nèi)部的員工中都得到重視。(1)網(wǎng)絡(luò)。主要是包括網(wǎng)絡(luò)上的信息以及設(shè)備的安全性能。其中可細(xì)化為網(wǎng)絡(luò)層身份的認(rèn)證，系統(tǒng)的安全，信息數(shù)據(jù)傳輸過(guò)程中的保密性，真實(shí)性和完整性以及網(wǎng)絡(luò)資源的訪問(wèn)控制等。而這些網(wǎng)絡(luò)層的信息安全出現(xiàn)問(wèn)題，可能導(dǎo)致有網(wǎng)絡(luò)黑客的侵入，計(jì)算機(jī)犯罪，信息丟失，信息竊取等威脅的存在。

(2)系統(tǒng)。造成系統(tǒng)層信息安全威脅的原因，可能出在兩個(gè)方面：操作系統(tǒng)本身就存在安全隱患，在配置操作系統(tǒng)的過(guò)程中存在安全配置的問(wèn)題。

(3)應(yīng)用。在應(yīng)用層影響信息安全的問(wèn)題上，是指應(yīng)用軟件以及一些業(yè)務(wù)往來(lái)數(shù)據(jù)的安全，例如即時(shí)通訊系統(tǒng)和電子郵件等。當(dāng)然，也包括一些病毒的入侵，對(duì)于系統(tǒng)所造成的威脅。

二、信息安全教育

2.1保密協(xié)議

在信息安全教育培訓(xùn)的第一步需要對(duì)保密協(xié)議進(jìn)行細(xì)致設(shè)計(jì)。有的企業(yè)認(rèn)為，保密協(xié)議應(yīng)該只針對(duì)于不同部門(mén)間需要保密的內(nèi)容進(jìn)行設(shè)計(jì)，使不同部門(mén)的員工簽署不同的保密協(xié)議。這是不妥的想法，而且也比較繁善。雖然不同部門(mén)間員工經(jīng)常涉及到的信息保密不同，但有可能員工會(huì)有不同部門(mén)間的調(diào)配或者是不同部門(mén)間信息的相互獲取。所以在保密協(xié)議上要讓員工簽署的是整個(gè)企業(yè)內(nèi)所有需要保密的內(nèi)容都要進(jìn)行保密協(xié)議的確認(rèn)。有些企業(yè)認(rèn)為保密協(xié)議的簽署應(yīng)該是在員工熟悉信息安全制度和進(jìn)行安全教育培訓(xùn)之后再進(jìn)行。這也是不妥的想法，因?yàn)樵趩T工進(jìn)入公司的那一刻幵始，他就開(kāi)始接觸企業(yè)內(nèi)的信息，所以需要員工在簽署勞動(dòng)合同的同時(shí)就要進(jìn)行保密協(xié)議的簽署。在新員工簽署保密協(xié)議的時(shí)候，企業(yè)的人力資源部門(mén)如果沒(méi)有對(duì)新員工講解企業(yè)保密協(xié)議，新員工對(duì)保密協(xié)議的內(nèi)容都不了解而盲目簽署，這使保密協(xié)議形同虛設(shè)，并不能發(fā)揮真正的作用，新員工對(duì)干信息安全的重要性也就得不到足夠的重視，所以必須認(rèn)真講解保密協(xié)議內(nèi)容后，使員工理解保密協(xié)議的重要性再進(jìn)行簽署。

2.2信息安全管理制度

信息安全管理制度確立以后，需要對(duì)員工進(jìn)行信息安全制度的培訓(xùn)。在培訓(xùn)過(guò)程中，企業(yè)不光要對(duì)于員工本崗位信息安全內(nèi)容作介紹，對(duì)于其他部門(mén)信息安全內(nèi)容也要做介紹，以確保員工形成信息安全的意識(shí)。在企業(yè)內(nèi)部，很多員工對(duì)于信息安全的意識(shí)不夠，甚至認(rèn)為企業(yè)的信息根本就沒(méi)有什么重要性，在工作外的時(shí)間里隨意的就將企業(yè)的一些重要信息透露出去從而可能導(dǎo)致企業(yè)受到損失。對(duì)此，加強(qiáng)企業(yè)內(nèi)部員工的信息安全教育培訓(xùn)是十分重要的。其中培訓(xùn)可以分為兩個(gè)部分。(1)對(duì)于企業(yè)內(nèi)部所有員工進(jìn)行信息安全意識(shí)的教育培訓(xùn)。(2)對(duì)于企業(yè)內(nèi)部的信息技術(shù)人員進(jìn)行扣關(guān)技術(shù)知識(shí)的教育培訓(xùn)。

2.3員工職業(yè)素養(yǎng)的教育

在企業(yè)內(nèi)部對(duì)員工的職業(yè)素養(yǎng)也需要進(jìn)行培訓(xùn)。譬如對(duì)干一些業(yè)務(wù)員來(lái)說(shuō)，職業(yè)素養(yǎng)的培訓(xùn)是非常重要的，業(yè)務(wù)員手中掌握的業(yè)務(wù)信息對(duì)于企業(yè)來(lái)說(shuō)是至關(guān)重要的信息，如果這方面的信息出現(xiàn)問(wèn)題就可能導(dǎo)致企業(yè)業(yè)務(wù)的流失，以及業(yè)務(wù)的持續(xù)性中斷。所以企業(yè)要對(duì)內(nèi)部員工的職業(yè)素養(yǎng)進(jìn)行培訓(xùn)，從而促使員工清楚保證企業(yè)的信息安全也是對(duì)一個(gè)員工職業(yè)素養(yǎng)的基要求。

2.4普及計(jì)算機(jī)及網(wǎng)絡(luò)知識(shí)的教育

企業(yè)內(nèi)部員工根據(jù)職能的不同對(duì)于計(jì)算機(jī)熟悉程度的要求也是不同的。對(duì)于普通的辦公室職員來(lái)說(shuō)，會(huì)簡(jiǎn)單的基本操作就可以了。但是，如果從信息安全的角度來(lái)講的話(huà)，員工只會(huì)基本的操作是遠(yuǎn)遠(yuǎn)不夠的，必須要普及網(wǎng)絡(luò)安全等方面的知識(shí)。譬如在計(jì)算機(jī)旁盡量不要有水或飲料的出現(xiàn)，因?yàn)橛锌赡芤驗(yàn)閱T工的不小心而將水灑在計(jì)算機(jī)：，從而導(dǎo)致計(jì)算機(jī)的短路等情況的發(fā)生。還有，員工在使用U盤(pán)的時(shí)候，有可能將家見(jiàn)或是其他計(jì)算機(jī)k的病毒帶到企業(yè)內(nèi)部，導(dǎo)致企、計(jì)算機(jī)被病毒入侵，促使信息的安全受到威脅。所以說(shuō)，對(duì)于企業(yè)內(nèi)部的員工，應(yīng)該普及計(jì)算機(jī)及網(wǎng)絡(luò)知識(shí)的教育和培訓(xùn)，以確保信息的安全，從而促使員工有更尚的信息安全意識(shí)。

三、結(jié)語(yǔ)

第3篇：信息安全審核制度范文

1.銷(xiāo)售系統(tǒng)設(shè)施建設(shè)。

硬件方面，各石油銷(xiāo)售企業(yè)都具有設(shè)施完善的中心計(jì)算機(jī)系統(tǒng)，供電采用UPS方式，采用“雙機(jī)熱備”的核心服務(wù)器工作模式，以確保整個(gè)硬件的可靠性和安全性；網(wǎng)絡(luò)方面，采用SDH光纖接入廣域網(wǎng)，包括接入層、匯聚層、核心層。核心層中路由器和交換機(jī)采用雙機(jī)模式，設(shè)備之間，層層之間以光纖方式連接，以均衡網(wǎng)絡(luò)負(fù)載。除了安裝必備的防火墻，部分企業(yè)為進(jìn)一步提高安全防范能力還安裝了外網(wǎng)入侵檢測(cè)系統(tǒng)；大多數(shù)加油站采用SSLVPN方式訪問(wèn)企業(yè)內(nèi)部網(wǎng)，以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面，大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護(hù)軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng)，實(shí)現(xiàn)PC機(jī)的MAC地址綁定。

2.銷(xiāo)售系統(tǒng)信息化建設(shè)。

目前，企業(yè)的銷(xiāo)售信息系統(tǒng)主要包括：加油卡系統(tǒng)、辦公自動(dòng)化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門(mén)戶(hù)網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點(diǎn)：一是用戶(hù)眾多，幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶(hù)；二是應(yīng)用領(lǐng)域廣，涉及企業(yè)經(jīng)營(yíng)、管理、對(duì)外服務(wù)諸多方面；三是要求連續(xù)運(yùn)轉(zhuǎn)，如ERP系統(tǒng)必須滿(mǎn)足7×24小時(shí)運(yùn)轉(zhuǎn)。由于信息系統(tǒng)的安全運(yùn)轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營(yíng)管理的可持續(xù)性，其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶(hù)的利益。所以，基于上述的原因，企業(yè)對(duì)銷(xiāo)售信息系統(tǒng)的安全運(yùn)轉(zhuǎn)提出了更高的要求。

3.銷(xiāo)售系統(tǒng)的信息安全現(xiàn)狀。

石油銷(xiāo)售管理系統(tǒng)是關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)，國(guó)家對(duì)其信息安全高度重視，并在《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》中強(qiáng)調(diào)，我國(guó)要全面加強(qiáng)國(guó)家信息安全保障體系的建設(shè)，大力增強(qiáng)國(guó)家信息安全保障能力，實(shí)現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時(shí)，國(guó)內(nèi)石油銷(xiāo)售企業(yè)也長(zhǎng)期重視信息安全工作，逐步建立了相應(yīng)的保障體系和規(guī)章制度，但還存在以下問(wèn)題：

（1）范圍涉及廣泛。

石油銷(xiāo)售企業(yè)分支機(jī)構(gòu)多，終端運(yùn)營(yíng)組織龐大且分散，以中石油集團(tuán)為例，其截至2013年分布在全國(guó)的加油站已超過(guò)30000座。在如此龐大的銷(xiāo)售系統(tǒng)中，信息網(wǎng)絡(luò)承載著指導(dǎo)業(yè)務(wù)運(yùn)行的重要功能。大量、分散部署的加油終端，必然會(huì)造成聯(lián)網(wǎng)方式的多樣化、網(wǎng)絡(luò)環(huán)境的復(fù)雜化。

（2）設(shè)備系統(tǒng)眾多。

石油銷(xiāo)售企業(yè)信息化管理系統(tǒng)中所涉及的設(shè)備精度髙、技術(shù)要求深，并且范圍廣泛，包括加油站、油庫(kù)等大量的自動(dòng)化控制系統(tǒng)。因此，業(yè)務(wù)管理流程復(fù)雜，安全風(fēng)險(xiǎn)增大。

（3）人員素質(zhì)不齊。

由于石油銷(xiāo)售屬于傳統(tǒng)行業(yè)，因此企業(yè)人員年齡跨度較大，對(duì)信息安全管理的職業(yè)組織參差不齊；甚至對(duì)于企業(yè)管理人員，對(duì)于信息安全的認(rèn)識(shí)也多停留在紙上談兵；基層人員眾多，且直接面對(duì)客戶(hù)，流動(dòng)性大，信息泄露風(fēng)險(xiǎn)極高。而且新生代的企業(yè)員工對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)接觸早，應(yīng)用水平高，日常使用頻繁，在缺乏網(wǎng)絡(luò)安全防護(hù)意識(shí)的情況下更易導(dǎo)致信息泄漏，甚至在好奇心理的鼓動(dòng)下主動(dòng)發(fā)起網(wǎng)絡(luò)攻擊行為，所以企業(yè)內(nèi)網(wǎng)安全也成為一個(gè)突出的問(wèn)題。

（4）資金投入有限。

國(guó)外企業(yè)在信息安全方面的資金投入達(dá)到了企業(yè)整體基建的5%-20%，而我國(guó)企業(yè)基本都在2%以下。全世界每年因信息安全方面的漏洞導(dǎo)致的經(jīng)濟(jì)損失達(dá)數(shù)萬(wàn)億美元，中國(guó)的損失也達(dá)到了一百億美元以上，但是中國(guó)企業(yè)在這方面的投資只有幾十億美元。因此，我國(guó)企業(yè)整體信息化安全建設(shè)預(yù)算不足。石油企業(yè)信息化工程是一項(xiàng)繁重的任務(wù)，需要在信息安全方面有更大的投入。大型油企需要建立復(fù)雜龐大的數(shù)據(jù)庫(kù)備份體系，建立并維護(hù)高效的網(wǎng)絡(luò)殺毒系統(tǒng)、企業(yè)級(jí)防火墻、IDS、IPS系統(tǒng)和完善的補(bǔ)丁更新及發(fā)放機(jī)制，以保證企業(yè)各方面的數(shù)據(jù)安全。建立這一復(fù)雜的系統(tǒng)需要大量的資金投入，而且其投入回報(bào)慢，因此石油企業(yè)普遍輕視這方面的投入和維護(hù)，信息安全建設(shè)相對(duì)于企業(yè)的發(fā)展整體滯后。

二、石油銷(xiāo)售系統(tǒng)的信息安全管理系統(tǒng)設(shè)計(jì)

石油銷(xiāo)售系統(tǒng)的信息安全管理系統(tǒng)是一個(gè)程序化、系統(tǒng)化、文件化的管理體系，以預(yù)防控制為主，強(qiáng)調(diào)動(dòng)態(tài)全過(guò)程控制。建立相應(yīng)的信息安全管理系統(tǒng)，需要從物理、信息、網(wǎng)絡(luò)、系統(tǒng)、管理等多方面保證整體安全；建立綜合防范機(jī)制，確保銷(xiāo)售信息安全以及加油卡、EPR等電子銷(xiāo)售系統(tǒng)的可靠運(yùn)行，保障整體信息網(wǎng)絡(luò)的安全、高效、可靠運(yùn)轉(zhuǎn)，規(guī)避潛在風(fēng)險(xiǎn)，供系統(tǒng)的可靠性和安全性。因此，石油銷(xiāo)售系統(tǒng)的信息安全管理系統(tǒng)構(gòu)架分為以下組成：

（1）組織層面。

石油銷(xiāo)售部門(mén)應(yīng)建立責(zé)任明確的各級(jí)信息安全管理組織，包括信息安全委員會(huì)、信息安全管理部門(mén)，并通過(guò)設(shè)立信息安全員，指定專(zhuān)人專(zhuān)項(xiàng)負(fù)責(zé)。通過(guò)這些部門(mén)和負(fù)責(zé)人開(kāi)展信息安全認(rèn)知宣傳和培訓(xùn)，提高企業(yè)員工對(duì)信息安全重要性的認(rèn)識(shí)。

（2）制度層面。

制定安全方針、安全管理制度、安全操作規(guī)程和突發(fā)事件應(yīng)急預(yù)案等一系列章程，經(jīng)科學(xué)性審核和測(cè)試后下發(fā)各級(jí)部門(mén)，提升企業(yè)的信息安全管理的效能，減少事故發(fā)生風(fēng)險(xiǎn)，提高應(yīng)急響應(yīng)能力。

（3）執(zhí)行層面。

信息安全管理部門(mén)應(yīng)當(dāng)定期檢查和隨機(jī)抽查相結(jié)合，監(jiān)督安全制度在各級(jí)部門(mén)的執(zhí)行情況，評(píng)估安全風(fēng)險(xiǎn)，負(fù)責(zé)PDCA的循環(huán)控制。

（4）技術(shù)層面。

信息安全管理部門(mén)要提供安全管理、防護(hù)、控制所需的技術(shù)支持，全面保障企業(yè)整體信息安全管理系統(tǒng)建設(shè)。通常信息安全技術(shù)分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、終端安全、數(shù)據(jù)安全以及應(yīng)用安全等六個(gè)方面，主要包括監(jiān)控與審核跟蹤，數(shù)據(jù)備份與恢復(fù)，訪問(wèn)管理與身份認(rèn)證，信息加密與加固等具體技術(shù)措施。通過(guò)有效的信息安全管理平臺(tái)和運(yùn)作平臺(tái)，在最短時(shí)間內(nèi)對(duì)信息安全事件進(jìn)行響應(yīng)處理，保障信息安全管控措施的落實(shí)，實(shí)現(xiàn)信息安全管理的目標(biāo)。

三、結(jié)語(yǔ)

第4篇：信息安全審核制度范文

關(guān)鍵詞：電力信息化；安全保障體系；

1關(guān)于電力信息化及其建設(shè)模式特點(diǎn)

電力信息化是由電力信息基礎(chǔ)設(shè)施(PII)和信息化應(yīng)用系統(tǒng)部分組成。計(jì)算機(jī)信息網(wǎng)絡(luò)及其通信網(wǎng)絡(luò)是電力信息化的基礎(chǔ)，各類(lèi)電力信息資源的開(kāi)發(fā)利用是電力信息化的核心。電力企業(yè)信息化是指各類(lèi)電力企業(yè)在電力生產(chǎn)和經(jīng)營(yíng)、管理和決策、研究和開(kāi)發(fā)、市場(chǎng)和營(yíng)銷(xiāo)等各方面應(yīng)用信息技術(shù)，建設(shè)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)，通過(guò)對(duì)信息和知識(shí)資源的有效開(kāi)發(fā)和利用，調(diào)整和重構(gòu)企業(yè)組織結(jié)構(gòu)和業(yè)務(wù)模式，服務(wù)企業(yè)發(fā)展目標(biāo)，提高企業(yè)競(jìng)爭(zhēng)力的過(guò)程。企業(yè)信息化包括生產(chǎn)過(guò)程自動(dòng)化和管理信息化兩方面內(nèi)容。生產(chǎn)型企業(yè)信息化的重點(diǎn)在于生產(chǎn)過(guò)程中供應(yīng)鏈的調(diào)配與優(yōu)化，如發(fā)電廠的重點(diǎn)是生產(chǎn)過(guò)程自動(dòng)化：商業(yè)銷(xiāo)售型企業(yè)，則利用信息系統(tǒng)進(jìn)行訂單管理、客戶(hù)關(guān)系管理、營(yíng)銷(xiāo)管理，與合作伙伴進(jìn)行協(xié)作交流，如供電企業(yè)的重點(diǎn)是營(yíng)銷(xiāo)自動(dòng)化：無(wú)論哪類(lèi)企業(yè)，其信息化的共同之處就是應(yīng)具備辦公自動(dòng)化、共享信息查詢(xún)、業(yè)務(wù)數(shù)據(jù)處理、電子郵件等基本功能即信息網(wǎng)扣安全保障體系的建立，如防病毒系統(tǒng)，防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、存儲(chǔ)備份系統(tǒng)等?，F(xiàn)針對(duì)不同類(lèi)型的電力企業(yè)，探討在電力信息化的建設(shè)特點(diǎn)。

2電力信息安全現(xiàn)狀與需求

2.1電力信息安全內(nèi)涵

電力信息安全是指電力主營(yíng)業(yè)務(wù)系統(tǒng)及企業(yè)信息安全，保障不被未經(jīng)授權(quán)者訪問(wèn)、利用和修改，為合法用戶(hù)提供安全、可信的信息服務(wù)，保證信息和信息系統(tǒng)的機(jī)密性、完整性、可用性、真實(shí)性和不可否認(rèn)性。

2.2電力信息安全存在的問(wèn)題

1)信息安全意識(shí)薄弱。信息安全由于無(wú)法量化、未發(fā)生重大事故等原因，往往被忽視，不少單位的網(wǎng)絡(luò)與系統(tǒng)基本處于不設(shè)防狀態(tài)；另外，電力企業(yè)IT用戶(hù)由于不了解安全威脅的嚴(yán)峻形勢(shì)和當(dāng)前的安全現(xiàn)狀，在使用個(gè)人計(jì)算機(jī)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)時(shí)只關(guān)注易用性，忽視了安全性。

2)信息安全保障工作沒(méi)有常態(tài)化。信息安全保障工作以檢查為主，如電監(jiān)會(huì)、上級(jí)公司的安全檢查，信息安全領(lǐng)導(dǎo)小組、工作組只在有信息安全事件發(fā)生時(shí)發(fā)揮作用，沒(méi)有形成常態(tài)化的工作機(jī)制。

3)信息安全運(yùn)作機(jī)制不完善。主要體現(xiàn)在業(yè)務(wù)連續(xù)性計(jì)劃不完備、業(yè)務(wù)系統(tǒng)開(kāi)發(fā)交付環(huán)節(jié)缺乏安全測(cè)試和對(duì)測(cè)試數(shù)據(jù)的管理、信息文檔管理不規(guī)范等。

4)短板現(xiàn)象顯著。電力企業(yè)辦公地理位置分散(如供電所、營(yíng)業(yè)廳)，不同片區(qū)的IT運(yùn)行維護(hù)(以下簡(jiǎn)稱(chēng)運(yùn)維)、安全管理缺乏規(guī)范，在信息化建設(shè)落后的地方，由于受經(jīng)濟(jì)、技術(shù)水平等因素限制，往往存在信息安全短板。

5)系統(tǒng)安全設(shè)計(jì)不足。業(yè)務(wù)系統(tǒng)建設(shè)時(shí)缺乏安全設(shè)計(jì)方案，造成系統(tǒng)存在sql注入、跨占腳本攻擊、無(wú)詳細(xì)的審計(jì)日志、身份認(rèn)證信息強(qiáng)度不足、軟件容錯(cuò)性差等問(wèn)題。

2.3信息安全保障需求

電力企業(yè)信息安全面臨的風(fēng)險(xiǎn)有病毒木馬、非法篡改信息、信息泄露、服務(wù)癱瘓，應(yīng)對(duì)風(fēng)險(xiǎn)安全保障需求可分為信息安全管理和信息安全技術(shù)2大類(lèi) 。

信息安全管理需求包括信息安全評(píng)估、安全策略規(guī)劃、制度規(guī)范和實(shí)施細(xì)則制訂、安全管理組織建立、信息安全培訓(xùn)、信息安全運(yùn)行管理、安全監(jiān)控、應(yīng)急響應(yīng)和恢復(fù)、安全監(jiān)督審計(jì)等方面；信息安全技術(shù)需求主要是通用信息安全技術(shù)手段(或安全服務(wù))，如身份認(rèn)證、訪問(wèn)管理、加密、防惡意代碼、加固、監(jiān)控、審核跟蹤和備份恢復(fù)等。

3建立安全的電力信息保障體系

3.1信息安全策略

信息安全策略應(yīng)由安全決策層制定并進(jìn)行宣傳，可從省級(jí)電網(wǎng)層面制定公司安全策略，各地市級(jí)供電局負(fù)責(zé)貫徹落實(shí)。電力信息安全策略的制定應(yīng)結(jié)合國(guó)家信息安全等級(jí)保護(hù)政策，以提升企業(yè)整體防病毒、防篡改、防攻擊、防泄密、防癱瘓能力為基礎(chǔ)，并結(jié)合自身信息化建設(shè)水平。

3.2信息安全管理

對(duì)比信息安全保障框架，電力企業(yè)在信息安全管理方面亟待加強(qiáng)，集中體現(xiàn)在以下幾個(gè)方面：雖然建立了信息安全管理組織，但并沒(méi)有有效運(yùn)轉(zhuǎn)；公司員工仍認(rèn)為信息安全是某一個(gè)IT部門(mén)的事，包括信息技術(shù)部?jī)?nèi)部部分管理人員，沒(méi)有樹(shù)立起全員信息安全意識(shí)；部分安全職責(zé)不明確或不履行職責(zé)，對(duì)安全管理制度置之不理；缺乏有效的安全通報(bào)考核機(jī)制；沒(méi)有建立起風(fēng)險(xiǎn)管理控制機(jī)制；信息安全管理體系沒(méi)有形成計(jì)劃、實(shí)施、檢查、處理閉環(huán)。

1)信息安全組織方面，應(yīng)建立安全決策機(jī)構(gòu)、管理機(jī)構(gòu)、執(zhí)行機(jī)構(gòu)和督察機(jī)構(gòu)。安全決策機(jī)構(gòu)應(yīng)由省級(jí)電網(wǎng)公司成立，并至少每年召開(kāi)信息安全工作會(huì)議，通報(bào)電力信息安全現(xiàn)狀和安全規(guī)劃；督察機(jī)構(gòu)可抽調(diào)企業(yè)內(nèi)部各單位信息安全業(yè)務(wù)骨干組成，至少每個(gè)月對(duì)信息安全狀況進(jìn)行檢察和上報(bào)；明確各級(jí)信息安全崗位職責(zé)，使安全管理組織真正運(yùn)轉(zhuǎn)起來(lái)。

2)安全風(fēng)險(xiǎn)管理是對(duì)企業(yè)殘余風(fēng)險(xiǎn)的管理控制，防止風(fēng)險(xiǎn)發(fā)生。實(shí)施信息安全風(fēng)險(xiǎn)管理流程優(yōu)化，控制變化帶來(lái)的風(fēng)險(xiǎn)，確保風(fēng)險(xiǎn)受控，實(shí)施年度風(fēng)險(xiǎn)管理審核機(jī)制， 由安全督察機(jī)構(gòu)實(shí)施風(fēng)險(xiǎn)審核。

3)電力信息安全保障應(yīng)引入PDCA閉環(huán)管理思想，建立安全監(jiān)察評(píng)價(jià)機(jī)制和信息安全考核評(píng)價(jià)指標(biāo)，通過(guò)對(duì)信息安全政策、標(biāo)準(zhǔn)、規(guī)章制度、措施執(zhí)行情況的檢查及借助信息技術(shù)手段分析信息安全情況，不斷優(yōu)化安全管理運(yùn)作過(guò)程。

信息系統(tǒng)運(yùn)維部門(mén)對(duì)系統(tǒng)安全風(fēng)險(xiǎn)最清楚，但運(yùn)維人員通常怕?lián)?zé)任，受批評(píng)，增加工作量，參與風(fēng)險(xiǎn)排查的積極性不高，故應(yīng)調(diào)動(dòng)一線(xiàn)運(yùn)維人員排查風(fēng)險(xiǎn)的積極性，在各信息系統(tǒng)的管理維護(hù)部門(mén)內(nèi)部建立風(fēng)險(xiǎn)排查機(jī)制，每個(gè)月進(jìn)行排查，提交月報(bào)；安全管理人員與各信息系統(tǒng)的管理維護(hù)部門(mén)聯(lián)合組織專(zhuān)題排查；安全督察機(jī)構(gòu)每年進(jìn)行強(qiáng)制性抽樣檢查，形成部門(mén)主動(dòng)排查為主，專(zhuān)家年度安全檢察為補(bǔ)充的安全監(jiān)察機(jī)制。安全考核評(píng)價(jià)應(yīng)結(jié)合安全監(jiān)察，至少每年1次，先由各單位或機(jī)構(gòu)根據(jù)自查情況進(jìn)行自評(píng)估，之后由安全督察機(jī)構(gòu)根據(jù)自評(píng)估結(jié)果，對(duì)部分部門(mén)實(shí)施強(qiáng)制性抽樣檢查，以保障安全考核評(píng)價(jià)的客觀性。另外，必須根據(jù)安全考核結(jié)果進(jìn)行通報(bào)和獎(jiǎng)勵(lì)。

3.3保證電力信息安全的技術(shù)措施

身份認(rèn)證和訪問(wèn)控制可通過(guò)公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure，PKI)技術(shù)進(jìn)行統(tǒng)一管理，建立省電網(wǎng)級(jí)認(rèn)證授權(quán)中心，提供目錄服務(wù)、身份管理、認(rèn)證管理、訪問(wèn)管理等功能。實(shí)現(xiàn)主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等的統(tǒng)一身份認(rèn)證管理。對(duì)營(yíng)銷(xiāo)、財(cái)務(wù)等系統(tǒng)中的機(jī)密數(shù)據(jù)，應(yīng)使用加解密、數(shù)字簽名、消息認(rèn)證碼等手段進(jìn)行保護(hù)，提高系統(tǒng)服務(wù)和數(shù)據(jù)訪問(wèn)的抗抵賴(lài)性。目前，電力企業(yè)多數(shù)系統(tǒng)通信過(guò)程都未采取加密、數(shù)字簽名等安全措施，加之企業(yè)內(nèi)網(wǎng)未實(shí)施有效的準(zhǔn)入控制，這給電力信息安全造成巨大風(fēng)險(xiǎn)，必須盡快梳理各類(lèi)信息的機(jī)密屬性，整體規(guī)劃，對(duì)應(yīng)用系統(tǒng)進(jìn)行升級(jí)改造，并實(shí)施內(nèi)網(wǎng)準(zhǔn)入機(jī)制。

電力管理信息大區(qū)網(wǎng)絡(luò)內(nèi)部應(yīng)建立病毒預(yù)防、檢測(cè)、隔離和清除機(jī)制，預(yù)防未知病毒入侵，迅速隔離被感染的主機(jī)，識(shí)別并清除網(wǎng)內(nèi)的已知病毒。

加固是指對(duì)信息系統(tǒng)安全領(lǐng)域受保護(hù)的對(duì)象進(jìn)行自身安全加固的保護(hù)，內(nèi)容主要包括安全漏洞掃描、滲透性測(cè)試、對(duì)象補(bǔ)丁的獲取和實(shí)施安全、關(guān)閉不必要的服務(wù)和防止拒絕服務(wù)的攻擊5部分。針對(duì)終端安全，應(yīng)由省級(jí)電網(wǎng)公司建立統(tǒng)一的桌面操作系統(tǒng)安全補(bǔ)丁管理體系、建立規(guī)范的桌面計(jì)算機(jī)系統(tǒng)軟件管理體系、建立完善的桌面計(jì)算機(jī)系統(tǒng)資產(chǎn)管理體系、建立嚴(yán)格的軟件監(jiān)控管理體系、建立有效的桌面辦公安全管理規(guī)范和技術(shù)規(guī)范等。針對(duì)主機(jī)安全，需搭建統(tǒng)一的補(bǔ)丁測(cè)試環(huán)境，對(duì)電力典型業(yè)務(wù)系統(tǒng)進(jìn)行補(bǔ)丁測(cè)試，建立統(tǒng)一的補(bǔ)丁測(cè)試、更新機(jī)制，建立主機(jī)平臺(tái)配置技術(shù)規(guī)范等。

監(jiān)控和審計(jì)可提高信息的安全性，提高問(wèn)題發(fā)生時(shí)的反應(yīng)速度，有效預(yù)防安全問(wèn)題的發(fā)生。應(yīng)進(jìn)行統(tǒng)一規(guī)劃，建立IT監(jiān)控平臺(tái)。目前廣東電網(wǎng)等省級(jí)電網(wǎng)公司都已經(jīng)開(kāi)始實(shí)施監(jiān)控平臺(tái)的建設(shè)。

備份恢復(fù)技術(shù)主要包括備份技術(shù)、冗余技術(shù)、容錯(cuò)技術(shù)和不間斷電源保護(hù)4個(gè)方面的內(nèi)容。備份恢復(fù)與容災(zāi)中心具有關(guān)聯(lián)性，建立容災(zāi)中心的單位應(yīng)每年至少進(jìn)行一次災(zāi)備恢復(fù)的演練，沒(méi)有容災(zāi)中心的單位應(yīng)將營(yíng)銷(xiāo)、生產(chǎn)、財(cái)務(wù)等核心數(shù)據(jù)定期進(jìn)行異地備份，并定期進(jìn)行備份恢復(fù)演練，提升應(yīng)對(duì)自然災(zāi)害的能力。

第5篇：信息安全審核制度范文

隨著近年來(lái)信息安全話(huà)題的持續(xù)熱議，越來(lái)越多的企業(yè)管理人員開(kāi)始關(guān)注這一領(lǐng)域，針對(duì)黑客入侵、數(shù)據(jù)泄密、系統(tǒng)監(jiān)控、信息管理等問(wèn)題陸續(xù)采取了一系列措施，開(kāi)始構(gòu)筑企業(yè)的信息安全防護(hù)屏障。然而在給企業(yè)做咨詢(xún)項(xiàng)目的時(shí)候，還是經(jīng)常會(huì)聽(tīng)到這樣的話(huà)：

“我們已經(jīng)部署了防火墻、入侵檢測(cè)設(shè)備防范外部黑客入侵，采購(gòu)了專(zhuān)用的數(shù)據(jù)防泄密軟件進(jìn)行內(nèi)部信息資源管理，為什么還是會(huì)出現(xiàn)企業(yè)敏感信息外泄的問(wèn)題？”

“我們的IT運(yùn)營(yíng)部門(mén)建立了系統(tǒng)的運(yùn)行管理和安全監(jiān)管制度和體系，為什么卻遲遲難以落實(shí)？各業(yè)務(wù)部門(mén)都大力抵制相關(guān)制度和技術(shù)措施的應(yīng)用推廣?！?/p>

“我們已經(jīng)在咨詢(xún)公司的協(xié)助下建立了ISMS體系，投入了專(zhuān)門(mén)的人力進(jìn)行安全管理和控制，并且通過(guò)了企業(yè)信息安全管理體系的認(rèn)證和審核，一開(kāi)始的確獲得了顯著的成效，但為什么經(jīng)過(guò)一年的運(yùn)行后，卻發(fā)現(xiàn)各類(lèi)安全事件有增無(wú)減？”

這些問(wèn)題的出現(xiàn)往往是由于管理人員采取了“頭痛醫(yī)頭，腳痛醫(yī)腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護(hù)能力。上述的三個(gè)案例，案例一中企業(yè)發(fā)生過(guò)敏感信息外泄事件，于是采購(gòu)了專(zhuān)用的數(shù)據(jù)防泄密軟件，卻并未制定相關(guān)的信息管理制度和進(jìn)行員工保密意識(shí)培訓(xùn)，結(jié)果只能是防外不防內(nèi)，還會(huì)給員工的正常工作帶來(lái)諸多不便；案例二中企業(yè)管理者認(rèn)識(shí)到安全管理的重要性，要求相關(guān)部門(mén)編制了大量的管理制度和規(guī)范，然而缺乏調(diào)研分析和聯(lián)系業(yè)務(wù)的落地措施，不切實(shí)際的管理制度最終因?yàn)闃I(yè)務(wù)部門(mén)的排斥而束之高閣；案例三中ISMS的建立有效地規(guī)范了公司原有的技術(shù)保障體系，然而認(rèn)證通過(guò)后隨著業(yè)務(wù)發(fā)展卻并未進(jìn)行必要的改進(jìn)和優(yōu)化，隨著時(shí)間的推移管理體系與實(shí)際工作脫節(jié)日益嚴(yán)重，各類(lèi)安全隱患再次出現(xiàn)也就不足為奇。

其實(shí)，企業(yè)面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類(lèi)似之處，我們常說(shuō)西醫(yī)治標(biāo)不治本，指的就是采取分片分析的發(fā)現(xiàn)問(wèn)題―分析問(wèn)題―解決問(wèn)題的思路處理安全威脅，通過(guò)技術(shù)手段的積累雖然可以解決很多問(wèn)題，但總會(huì)產(chǎn)生疲于應(yīng)付的狀況，難以形成有效的安全保障體系；類(lèi)比于中醫(yī)理論將人體看為一個(gè)互相聯(lián)系的整體，信息安全管理體系的建立正是通過(guò)全面的調(diào)研分析，充分發(fā)現(xiàn)企業(yè)面臨的各種問(wèn)題和隱患，緊密聯(lián)系業(yè)務(wù)工作和安全保障需要，形成系統(tǒng)的解決方案，通過(guò)動(dòng)態(tài)的維護(hù)機(jī)制形成完善的防護(hù)體系。

總體來(lái)說(shuō)，信息安全管理體系是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)企業(yè)的信息安全系統(tǒng)，目的是保障企業(yè)的信息安全。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過(guò)程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統(tǒng)。

針對(duì)ISMS的建立，我們可以從中醫(yī)“望聞問(wèn)切對(duì)癥下藥治病于未病”的三個(gè)角度來(lái)進(jìn)行分析和討論：

第一，“望聞問(wèn)切”，全面的業(yè)務(wù)、資產(chǎn)和風(fēng)險(xiǎn)評(píng)估是ISMS建設(shè)的基礎(chǔ)；

第二，“對(duì)癥下藥”，可落實(shí)、可操作、可驗(yàn)證的管理體系是ISMS建設(shè)的核心；

第三，“治病于未病”，持續(xù)跟蹤，不斷完善的思想是ISMS持續(xù)有效的保障。

望聞問(wèn)切

為了完成ISMS建設(shè)，就必然需要對(duì)企業(yè)當(dāng)前信息資源現(xiàn)狀進(jìn)行系統(tǒng)的調(diào)研和分析，為企業(yè)的健康把把脈，畢竟我們需要在企業(yè)現(xiàn)有的信息條件下進(jìn)行ISMS建設(shè)。

首先，自然是對(duì)企業(yè)現(xiàn)有資源的梳理，重點(diǎn)可以從以下幾個(gè)方面入手：

1.業(yè)務(wù)主體（設(shè)備、人員、軟件等）。

業(yè)務(wù)主體是最直觀、最直接的信息系統(tǒng)資源，比如多少臺(tái)服務(wù)器、多少臺(tái)網(wǎng)絡(luò)設(shè)備，都屬于業(yè)務(wù)主體的范疇，按照業(yè)務(wù)主體本身的價(jià)值進(jìn)行一個(gè)估值，也是進(jìn)行整個(gè)信息系統(tǒng)資源價(jià)值評(píng)估的基礎(chǔ)評(píng)估。由于信息技術(shù)日新月異的變化，最好的主體未必服務(wù)于最核心的信息系統(tǒng)，同時(shí)價(jià)值最昂貴的設(shè)備未必最后對(duì)企業(yè)的價(jià)值也最大。在建立體系的過(guò)程中，對(duì)業(yè)務(wù)設(shè)備的盤(pán)點(diǎn)和清理是很重要的，也是進(jìn)行基礎(chǔ)業(yè)務(wù)架構(gòu)優(yōu)化的一個(gè)重要數(shù)據(jù)。

2.業(yè)務(wù)數(shù)據(jù)（服務(wù)等）。

業(yè)務(wù)數(shù)據(jù)是現(xiàn)在企業(yè)信息化負(fù)責(zé)人逐步關(guān)注的方面，之前我們只關(guān)注設(shè)備的安全，網(wǎng)絡(luò)的良好工作狀態(tài)，往往忽略了數(shù)據(jù)對(duì)業(yè)務(wù)和企業(yè)的重要性。現(xiàn)在，核心的業(yè)務(wù)數(shù)據(jù)真正成為信息工作人員最關(guān)心的信息資產(chǎn)，業(yè)務(wù)數(shù)據(jù)存在于具體設(shè)備的載體之上，很多還需要軟件容器，所以，單純地看業(yè)務(wù)數(shù)據(jù)意義也不大，保證業(yè)務(wù)數(shù)據(jù)，必須保證其運(yùn)行的平臺(tái)和容器都是正常的，所以，業(yè)務(wù)數(shù)據(jù)也是我們重點(diǎn)分析的方面之一。

3.業(yè)務(wù)流程。

企業(yè)所有的信息資源都是通過(guò)業(yè)務(wù)流程實(shí)現(xiàn)其價(jià)值的，如果沒(méi)有業(yè)務(wù)流程，所有的設(shè)備和數(shù)據(jù)就只是一堆廢銅爛鐵。所以，對(duì)業(yè)務(wù)流程的了解和分析也是很重要的一個(gè)方面。

以上三個(gè)方面是企業(yè)信息資源的三個(gè)核心方面，孤立地看待任何一個(gè)方面都是毫無(wú)意義的。

其次，當(dāng)我們對(duì)企業(yè)的當(dāng)前信息資產(chǎn)進(jìn)行分析以后需要對(duì)其價(jià)值進(jìn)行評(píng)估。

評(píng)估的過(guò)程就是對(duì)當(dāng)前的信息資產(chǎn)進(jìn)行量化的數(shù)據(jù)分析，進(jìn)行安全賦值，我們將信息資產(chǎn)的安全等級(jí)劃分為 5 級(jí)，數(shù)值越大，安全性要求越高，5 級(jí)的信息資產(chǎn)定義非常重要，如果遭到破壞可以給企業(yè)的業(yè)務(wù)造成非常嚴(yán)重的損失。1 級(jí)的信息資產(chǎn)定義為不重要，其被損害不會(huì)對(duì)企業(yè)造成過(guò)大影響，甚至可以忽略不計(jì)。對(duì)信息資產(chǎn)的評(píng)估在自身價(jià)值、信息類(lèi)別、保密性要求、完整性要求、可用性要求和法規(guī)合同符合性要求等 5 個(gè)方面進(jìn)行評(píng)估賦值，最后信息資產(chǎn)的賦值取 5 個(gè)屬性里面的最大值。

這里需要提出的是，這里不僅僅應(yīng)該給硬件、軟件、數(shù)據(jù)賦值，業(yè)務(wù)流程作為核心的信息資源也必須賦值，而且?guī)讉€(gè)基本要素之間的安全值是相互疊加的，比如需要運(yùn)行核心流程的交換機(jī)的賦值，是要高于需要運(yùn)行核心流程的交換機(jī)的賦值的。很多企業(yè)由于歷史原因，運(yùn)行核心業(yè)務(wù)流程的往往是比較老的設(shè)備，在隨后的分析可以看得出來(lái)，由于其年代的影響，造成資產(chǎn)的風(fēng)險(xiǎn)增加，也是需要重點(diǎn)注意的一點(diǎn)。

最后，對(duì)企業(yè)當(dāng)前信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。

風(fēng)險(xiǎn)評(píng)估是 ISMS 建立過(guò)程中非常重要的一個(gè)方面，我們對(duì)信息資產(chǎn)賦值的目的就是為了計(jì)算風(fēng)險(xiǎn)值，從而我們可以看出整個(gè)信息系統(tǒng)中風(fēng)險(xiǎn)最大的部分在哪里。對(duì)于風(fēng)險(xiǎn)值的計(jì)算有個(gè)簡(jiǎn)單的參考公式：風(fēng)險(xiǎn)值 = 資產(chǎn)登記 + 威脅性賦值 + 脆弱性賦值（特定行業(yè)也有針對(duì)性的經(jīng)驗(yàn)公式）。

ISMS 建設(shè)的最終目標(biāo)是將整個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)值控制在一定范圍之內(nèi)。

對(duì)癥下藥

經(jīng)過(guò)上階段的調(diào)研和分析，我們對(duì)企業(yè)面臨的安全威脅和隱患有一個(gè)全面的認(rèn)識(shí)，本階段的ISMS建設(shè)重點(diǎn)根據(jù)需求完成“對(duì)癥下藥”的工作：

首先，是企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃。

在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上探討企業(yè)信息安全管理體系的設(shè)計(jì)和規(guī)劃，根據(jù)企業(yè)自身的基礎(chǔ)和條件建立ISMS，使其能夠符合企業(yè)自身的要求，也可以在企業(yè)本身的環(huán)境中進(jìn)行實(shí)施。管理體系的規(guī)范針對(duì)不同企業(yè)一定要具體化，要和企業(yè)自身具體工作相結(jié)合，一旦缺乏結(jié)合性ISMS就會(huì)是孤立的，對(duì)企業(yè)的發(fā)展意義也就不大了。我們一般建議規(guī)范應(yīng)至少包含三層架構(gòu)，見(jiàn)圖1。

圖1 信息安全管理體系

一級(jí)文件通過(guò)綱領(lǐng)性的安全方針和策略文件描述企業(yè)信息安全管理的目標(biāo)、原則、要求和主要措施等頂層設(shè)計(jì)；二級(jí)文件主要涉及業(yè)務(wù)工作、工程管理、系統(tǒng)維護(hù)工作中具體的操作規(guī)范和流程要求，并提供模塊化的任務(wù)細(xì)分，將其細(xì)化為包括“任務(wù)輸入”、“任務(wù)活動(dòng)”、“任務(wù)實(shí)施指南”和“任務(wù)輸出”等細(xì)則，便于操作人員根據(jù)規(guī)范進(jìn)行實(shí)施和管理人員根據(jù)規(guī)范進(jìn)行工作審核；三級(jí)文件則主要提供各項(xiàng)工作和操作所使用的表單和模板，以便各級(jí)工作人員參考使用。

同時(shí)，無(wú)論是制定新的信息管理規(guī)章制度還是進(jìn)行設(shè)備的更換，都要量力而行，依據(jù)自己實(shí)際的情況來(lái)完成。例如，很多公司按照標(biāo)準(zhǔn)設(shè)立了由企業(yè)高級(jí)領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)的信息安全領(lǐng)導(dǎo)小組和由信息化管理部門(mén)、后勤安全部門(mén)和審計(jì)部門(mén)組成的信息安全辦公室，具體負(fù)責(zé)企業(yè)的信息安全管理工作，在各級(jí)信息化技術(shù)部門(mén)均設(shè)置系統(tǒng)管理員、安全管理員、安全審計(jì)員，從管理結(jié)構(gòu)設(shè)計(jì)上保證人員權(quán)限互相監(jiān)督和制約。但是事實(shí)上繁多的職能部門(mén)和人員不僅未能提升企業(yè)信息系統(tǒng)安全性，反而降低了整個(gè)信息系統(tǒng)的工作效率。

其次，是企業(yè)信息安全管理體系的實(shí)施和驗(yàn)證

實(shí)施過(guò)程是最復(fù)雜的，實(shí)施之后需要進(jìn)行驗(yàn)證。實(shí)施是根據(jù) ISMS 的設(shè)計(jì)和體系規(guī)劃來(lái)做的，是個(gè)全面的信息系統(tǒng)的改進(jìn)工作，不是單獨(dú)的設(shè)備更新，也不是單獨(dú)的管理規(guī)范的，需要企業(yè)從上至下，全面地遵照?qǐng)?zhí)行，要和現(xiàn)有系統(tǒng)有效融合。

這里的現(xiàn)有系統(tǒng)既包含了現(xiàn)有的業(yè)務(wù)系統(tǒng)，也包含了現(xiàn)有的管理體制。畢竟ISMS是從國(guó)外傳入的思路和規(guī)范，雖然切合國(guó)人中醫(yī)理論的整體思維方式，但在國(guó)內(nèi)水土不服是正常的，主要表現(xiàn)就在于是否符合企業(yè)本身的利益，是否能夠和企業(yè)本身的業(yè)務(wù)、管理融合起來(lái)。往往最難改變的還是企業(yè)管理者的固有思維，要充分理解到進(jìn)行信息安全管理體系的建設(shè)是一個(gè)為企業(yè)長(zhǎng)久發(fā)展必須進(jìn)行的工程。

到目前為止，和企業(yè)本身業(yè)務(wù)融合并沒(méi)有完美的解決方案，需要企業(yè)領(lǐng)導(dǎo)組織本身、信息系統(tǒng)技術(shù)人員、業(yè)務(wù)人員和負(fù)責(zé) ISMS 實(shí)施的工程人員一同討論決定適合企業(yè)自身的實(shí)施方案

最后，是企業(yè)信息安全管理體系的認(rèn)證和審核

針對(duì)我們周?chē)芏嘀卣J(rèn)證，輕實(shí)施的思想，這里有必要談一下這個(gè)問(wèn)題，認(rèn)證僅代表認(rèn)證過(guò)程中的信息體系是符合 ISO27000（或者其他國(guó)家標(biāo)準(zhǔn)）的規(guī)范要求，而不是說(shuō)企業(yè)通過(guò)認(rèn)證就是一個(gè)在信息安全管理體系下工作的信息系統(tǒng)了。更重要的是貫徹實(shí)施整個(gè)體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書(shū)”。

“治病于未病”

企業(yè)信息安全管理體系需要?jiǎng)討B(tài)改進(jìn)和和優(yōu)化，畢竟企業(yè)和信息系統(tǒng)是不斷發(fā)展和變化的，ISMS 是建立在企業(yè)和信息系統(tǒng)基礎(chǔ)之上的，也需要有針對(duì)性地發(fā)展和變化，道高一尺魔高一丈，必須通過(guò)各種方法，進(jìn)行不斷地改進(jìn)和完善，才有可能保證ISMS 系統(tǒng)的持續(xù)作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續(xù)改進(jìn)和跟蹤完善的手段，經(jīng)過(guò)測(cè)評(píng)的管理體系僅僅一年之后就失去了大部分作用。對(duì)于這些企業(yè)及未來(lái)即將建立ISMS的企業(yè)，為了持續(xù)運(yùn)轉(zhuǎn)ISMS，我們認(rèn)為可以主要從以下三個(gè)方面著手：

第一，人員。

人員對(duì)于企業(yè)來(lái)講是至關(guān)重要且必不可缺的，在ISMS建立過(guò)程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續(xù)運(yùn)轉(zhuǎn)過(guò)程中，人員都應(yīng)該投入多少呢？通常在體系建立過(guò)程中，我們會(huì)建議所有體系管理范圍內(nèi)的部門(mén)各自給出一名信息安全代表作為安全專(zhuān)員配合體系建立實(shí)施，且此名專(zhuān)員日后要持續(xù)保留，負(fù)責(zé)維護(hù)各自部門(mén)的信息資產(chǎn)、安全事件跟蹤匯報(bào)、配合內(nèi)審與外審、安全相關(guān)記錄收集維護(hù)等信息安全相關(guān)工作。

但很多事情是一種企業(yè)文化的培養(yǎng)，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識(shí)培訓(xùn)，面向?qū)I(yè)人員的信息安全技術(shù)培訓(xùn)等，因此對(duì)于企業(yè)來(lái)講，除了必要的體系維護(hù)人員，在ISMS持續(xù)運(yùn)轉(zhuǎn)過(guò)程中，若能將企業(yè)內(nèi)的每名員工都納入到信息安全管理范圍內(nèi)，培養(yǎng)出“信息安全，人人有責(zé)”的企業(yè)氛圍，則會(huì)為企業(yè)帶大巨大的潛在收益。且有些企業(yè)在面向自身員工展開(kāi)信息安全各項(xiàng)活動(dòng)的同時(shí)，還會(huì)納入客戶(hù)、合作伙伴、供應(yīng)商等需要外界相關(guān)人員的參與，對(duì)外也樹(shù)立起自身對(duì)重視信息安全的形象，大力降低外界給企業(yè)帶來(lái)的風(fēng)險(xiǎn)。

第二，體系。

ISMS自身的持續(xù)維護(hù)，往往是企業(yè)建立后容易被忽視的內(nèi)容，一套信息安全管理文檔并不是在日益變化的企業(yè)中一直適用的，對(duì)于信息資產(chǎn)清單、風(fēng)險(xiǎn)清單、體系中的管理制度流程等文檔每年至少需要進(jìn)行一次正式的評(píng)審回顧，這項(xiàng)活動(dòng)由于也是在相關(guān)標(biāo)準(zhǔn)中明確指出的，企業(yè)通常不會(huì)忽略；但日常對(duì)于這些文檔記錄的更新也是必不可少的，尤其是重要資產(chǎn)發(fā)生重大變更，組織業(yè)務(wù)、部門(mén)發(fā)生重大調(diào)整時(shí)，都最好對(duì)ISMS進(jìn)行重新的評(píng)審，必要時(shí)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估，有助于發(fā)現(xiàn)新出現(xiàn)的重大風(fēng)險(xiǎn)，并且可以將資源合理調(diào)配，將有限的資源使用到企業(yè)信息安全的“短板”位置。

唯一不變的就是變化，企業(yè)每天所面臨的風(fēng)險(xiǎn)同樣也不是一成不變的，在更新維護(hù)信息資產(chǎn)清單的同時(shí)，對(duì)風(fēng)險(xiǎn)清單的回顧也是不可疏忽的，而這點(diǎn)往往是很多信息安全專(zhuān)員容易忽視的內(nèi)容。持續(xù)的維護(hù)才能保證ISMS的運(yùn)轉(zhuǎn)，有效控制企業(yè)所面臨的各種風(fēng)險(xiǎn)。

第三，工具。

工具往往是企業(yè)在建立ISMS過(guò)程中投入大量資金的方面，工具其實(shí)是很大的一個(gè)泛指，例如網(wǎng)絡(luò)安全設(shè)備、備份所需設(shè)備、防病毒軟件、正版軟件、監(jiān)控審計(jì)等各類(lèi)工具，即使沒(méi)有實(shí)施ISMS，企業(yè)在工具方面的投入也是必不可少的，但往往缺乏整體的規(guī)劃及與業(yè)務(wù)的結(jié)合，經(jīng)常會(huì)出現(xiàn)如何將幾種類(lèi)似工具充分利用，如何在各工具間建立接口，使數(shù)據(jù)流通共用，哪些工具應(yīng)該替換更新，數(shù)據(jù)如何遷移，甚至出現(xiàn)新購(gòu)買(mǎi)的工具無(wú)人使用或無(wú)法滿(mǎn)足業(yè)務(wù)需求等問(wèn)題，導(dǎo)致資金資源的浪費(fèi)，因此在持續(xù)運(yùn)轉(zhuǎn)ISMS過(guò)程中，根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告，及信息安全專(zhuān)員反映的各部門(mén)業(yè)務(wù)需求各種信息數(shù)據(jù)的收集，應(yīng)對(duì)工具進(jìn)行統(tǒng)一規(guī)劃，盡量減少資源的浪費(fèi)。

第6篇：信息安全審核制度范文

關(guān)鍵詞：計(jì)算機(jī)技術(shù)；網(wǎng)絡(luò)數(shù)據(jù)庫(kù)；安全管理技術(shù)

引言：

數(shù)據(jù)庫(kù)安全管理的工作重心應(yīng)始終放在保證用戶(hù)信息數(shù)據(jù)的完整性、一致性、安全性和保密性等方面，通過(guò)對(duì)硬軟件的規(guī)律維護(hù)、用戶(hù)賬號(hào)驗(yàn)證、審核訪問(wèn)操作、數(shù)據(jù)管理，備份與恢復(fù)、建設(shè)網(wǎng)絡(luò)防護(hù)系統(tǒng)等措施開(kāi)展安全管理工作。對(duì)此，管理人員應(yīng)積極加強(qiáng)工作能力的培養(yǎng)，切實(shí)落實(shí)管理步驟，保證信息安全。

1目前網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在的安全問(wèn)題

1.1軟硬件的穩(wěn)定與安全問(wèn)題

硬件的質(zhì)量與狀態(tài)是確保數(shù)據(jù)庫(kù)運(yùn)行穩(wěn)定性與安全性的前提，若出現(xiàn)硬件故障和問(wèn)題，可能會(huì)導(dǎo)致數(shù)據(jù)庫(kù)系統(tǒng)崩潰，信息數(shù)據(jù)丟失或損壞；系統(tǒng)與軟件的安全問(wèn)題表現(xiàn)在版本落后、漏洞沒(méi)有及時(shí)修復(fù)等，若無(wú)法及時(shí)解決，則可能造成信息數(shù)據(jù)遺失、或遭泄露、篡改等。

1.2賬戶(hù)認(rèn)證環(huán)節(jié)缺乏有效管理

目前數(shù)據(jù)庫(kù)的用戶(hù)密碼強(qiáng)度普遍偏低，在賬戶(hù)配置等方面留有隱患，加之賬戶(hù)審核與認(rèn)證環(huán)節(jié)缺乏有效管理，嚴(yán)重威脅了數(shù)據(jù)庫(kù)的安全。

1.3信息數(shù)據(jù)加密、備份與恢復(fù)工作不到位

數(shù)據(jù)庫(kù)運(yùn)營(yíng)應(yīng)時(shí)刻防范黑客攻擊和病毒、木馬等的入侵，同時(shí)也應(yīng)加強(qiáng)信息的加密、備份與恢復(fù)工作，否則可能導(dǎo)致庫(kù)內(nèi)信息被輕易破譯，或在遭遇非法操作與攻擊時(shí)無(wú)法及時(shí)恢復(fù)應(yīng)有狀態(tài)，對(duì)用戶(hù)造成損失。

1.4管理制度與體系不夠完善

目前與網(wǎng)絡(luò)信息安全相關(guān)的管理制度依舊不夠完善，法律對(duì)影響信息安全行為的打擊力度不足，且由于數(shù)據(jù)庫(kù)運(yùn)營(yíng)方安全管理體系建設(shè)不足，安全管理工作多由信息管理員兼任，導(dǎo)致了管理人員工作能力與精力不足、工作效率低、管理措施落實(shí)不到位等問(wèn)題[1]。

2加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理的措施

2.1加強(qiáng)對(duì)軟硬件的維護(hù)與管理

為保證數(shù)據(jù)庫(kù)系統(tǒng)的安全與穩(wěn)定，需要加強(qiáng)對(duì)軟硬件的維護(hù)與管理。維護(hù)人員應(yīng)對(duì)電源、網(wǎng)絡(luò)服務(wù)器和線(xiàn)路等硬件設(shè)備進(jìn)行規(guī)律性的檢修、維護(hù)、調(diào)整、更換與更新，確保硬件設(shè)備以最佳狀態(tài)運(yùn)行，同時(shí)，也應(yīng)及時(shí)對(duì)系統(tǒng)和軟件進(jìn)行調(diào)整與更新，及時(shí)修復(fù)漏洞，定期查毒，確保軟件性能和設(shè)置的安全性。

2.2加強(qiáng)賬戶(hù)認(rèn)證，對(duì)賬戶(hù)信息進(jìn)行加密

加強(qiáng)賬戶(hù)認(rèn)證、增強(qiáng)密碼強(qiáng)度、及時(shí)修補(bǔ)用戶(hù)配置預(yù)設(shè)中的隱患，是提升賬戶(hù)安全性的重要舉措。對(duì)此，應(yīng)及時(shí)修復(fù)賬戶(hù)驗(yàn)證系統(tǒng)中存在的漏洞與不足，使其達(dá)到應(yīng)有的阻隔惡意訪問(wèn)和操作的目標(biāo)。為有效保護(hù)賬戶(hù)密碼和用戶(hù)個(gè)人信息的安全，安全管理人員應(yīng)采取措施，對(duì)該部分?jǐn)?shù)據(jù)進(jìn)行強(qiáng)制加密，用以抵御不法分子的破譯與攻擊，增加破譯難度與成本，進(jìn)一步加強(qiáng)數(shù)據(jù)庫(kù)信息安全建設(shè)。

2.3加強(qiáng)對(duì)數(shù)據(jù)的加密、備份與恢復(fù)

為增強(qiáng)數(shù)據(jù)的保密性，數(shù)據(jù)庫(kù)管理方應(yīng)及時(shí)更新相關(guān)的加密技術(shù)，增加破譯成本與難度，從而有效保障數(shù)據(jù)安全，如今業(yè)內(nèi)主流的加密技術(shù)大致可分為全盤(pán)加密和驅(qū)動(dòng)級(jí)加密兩類(lèi)。其中驅(qū)動(dòng)級(jí)加密技術(shù)具有強(qiáng)制性和透明性的特征，操作上配置靈活、方便調(diào)整、監(jiān)督與控制，且不會(huì)影響用戶(hù)的正常操作，現(xiàn)已被廣泛運(yùn)用于企業(yè)文件與數(shù)據(jù)的加密操作。在強(qiáng)化數(shù)據(jù)加密的同時(shí)，為有效防范因系統(tǒng)故障或遭攻擊等造成的信息數(shù)據(jù)遺失或損壞，應(yīng)隨時(shí)做好數(shù)據(jù)備份、并及時(shí)在發(fā)生問(wèn)題時(shí)進(jìn)行數(shù)據(jù)恢復(fù)，盡量減少損失。目前在業(yè)內(nèi)常用的數(shù)據(jù)備份與恢復(fù)技術(shù)包括數(shù)據(jù)轉(zhuǎn)儲(chǔ)、數(shù)據(jù)鏡像和日志登記等。另外，為防止數(shù)據(jù)被非法篡改或刪除，可對(duì)數(shù)據(jù)進(jìn)行寫(xiě)保護(hù)操作，或在用戶(hù)權(quán)限上加大對(duì)修改文件數(shù)據(jù)方面的審核與監(jiān)控。

2.4積極建設(shè)并完善數(shù)據(jù)庫(kù)安全管理制度與體系

在采取各類(lèi)優(yōu)化、加密與保護(hù)措施的基礎(chǔ)上，數(shù)據(jù)庫(kù)管理方還應(yīng)積極與相關(guān)部門(mén)展開(kāi)合作，進(jìn)一步建設(shè)并完善相關(guān)的管理制度與體系，增強(qiáng)管理人員的安全意識(shí)，具體包括設(shè)立專(zhuān)業(yè)的安全管理崗位，對(duì)員工進(jìn)行安全管理培訓(xùn)，提高管理人員的綜合素質(zhì)與工作能力。完善并發(fā)展與網(wǎng)絡(luò)信息安全相關(guān)的制度法規(guī)，需要政府相關(guān)部門(mén)和數(shù)據(jù)庫(kù)管理方的通力合作和共同努力。對(duì)此，政府相關(guān)部門(mén)應(yīng)對(duì)網(wǎng)絡(luò)信息安全問(wèn)題給予高度重視，及時(shí)出臺(tái)相關(guān)的法律法規(guī)，明確運(yùn)營(yíng)方在保證數(shù)據(jù)安全方面的責(zé)任，并針對(duì)攻擊數(shù)據(jù)庫(kù)，損害或泄露重要、機(jī)密、敏感的信息與數(shù)據(jù)，危害他人利益的行為，追究當(dāng)事人的法律責(zé)任。對(duì)數(shù)據(jù)庫(kù)運(yùn)營(yíng)方而言，應(yīng)建立起一套完整的安全管理規(guī)章制度，并嚴(yán)格實(shí)施、貫徹到數(shù)據(jù)庫(kù)管理的各方面工作中。對(duì)此，管理方應(yīng)積極設(shè)立安全管理方面的獨(dú)立崗位，明確區(qū)分安全管理職責(zé)與系統(tǒng)管理與維護(hù)職責(zé)，從而有效減輕數(shù)據(jù)管理員的工作量與壓力，進(jìn)一步提升管理人員的專(zhuān)業(yè)技能水平，從而保證各方管理工作的有效進(jìn)行，提高數(shù)據(jù)管理和安全管理的效率與質(zhì)量。同時(shí)，單位還應(yīng)積極開(kāi)展安全管理相關(guān)培訓(xùn)，加強(qiáng)到崗人員的工作責(zé)任感，提升其安全管理能力，培養(yǎng)其面臨突發(fā)狀況或故障時(shí)的處理能力，盡可能在保證規(guī)范操作的基礎(chǔ)上縮短處理故障所需的時(shí)間，盡量減少系統(tǒng)故障對(duì)用戶(hù)使用體驗(yàn)的負(fù)面影響。在進(jìn)行安全管理工作時(shí)，安全管理人員應(yīng)始終堅(jiān)持嚴(yán)格遵守相關(guān)規(guī)章制度，明確并規(guī)范具體操作流程，減少不規(guī)范操作可能帶來(lái)的故障與問(wèn)題[2]。

3結(jié)語(yǔ)

積極增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理，有效防范泄露、篡改、非法竊取信息數(shù)據(jù)等行為，對(duì)維護(hù)先進(jìn)網(wǎng)絡(luò)信息安全、構(gòu)建和諧網(wǎng)絡(luò)環(huán)境意義重大。為此，數(shù)據(jù)庫(kù)管理方應(yīng)積極采取措施，消除目前網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全與穩(wěn)定患，積極完善相關(guān)管理制度、提高管理人員素質(zhì)，從而為網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的未來(lái)發(fā)展提供安全保障。

參考文獻(xiàn)：

第7篇：信息安全審核制度范文

【關(guān)鍵詞】船岸網(wǎng)絡(luò)；信息安全；航運(yùn)企業(yè)

0引言

一些航運(yùn)企業(yè)已開(kāi)始實(shí)施“數(shù)字化+互聯(lián)網(wǎng)”戰(zhàn)略，船舶運(yùn)營(yíng)參數(shù)及管理量化指標(biāo)被轉(zhuǎn)移至信息更加透明的互聯(lián)網(wǎng)平臺(tái)，船舶所有人可以通過(guò)互聯(lián)網(wǎng)平臺(tái)隨時(shí)隨地查看船舶動(dòng)態(tài)。航運(yùn)企業(yè)將船舶全權(quán)委托給第三方船舶管理公司管理，并通過(guò)互聯(lián)網(wǎng)平臺(tái)監(jiān)控船舶動(dòng)態(tài)。這種管理模式帶來(lái)一個(gè)全新的課題：船岸網(wǎng)絡(luò)信息化程度越高，信息系統(tǒng)遭受攻擊導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)越大。近年來(lái)已發(fā)生多起船員個(gè)人信息泄露導(dǎo)致的詐騙案件。這些個(gè)人信息泄露的源頭是船舶管理公司的信息系統(tǒng)。信息泄露會(huì)給個(gè)人造成損失，而信息系統(tǒng)遭受病毒攻擊則會(huì)給航運(yùn)企業(yè)造成巨大損失。因此，信息安全對(duì)航運(yùn)企業(yè)而言極為重要。

1船岸網(wǎng)絡(luò)管理現(xiàn)狀

船岸網(wǎng)絡(luò)技術(shù)的發(fā)展非常迅速，特別是海上衛(wèi)星通信服務(wù)商提供的海上高速網(wǎng)絡(luò)在資費(fèi)下降后極大地提高了船舶與管理方、服務(wù)供應(yīng)商、租船人和船舶所有人/經(jīng)營(yíng)人之間的信息交換頻率。海上高速網(wǎng)絡(luò)的普及給信息安全帶來(lái)更大的隱患。網(wǎng)絡(luò)沒(méi)有物理界限，任何具有網(wǎng)絡(luò)攻防知識(shí)并熟悉船舶扁平化網(wǎng)絡(luò)架構(gòu)的人或組織都可以通過(guò)Shodan搜索引擎獲得相關(guān)信息，對(duì)船岸網(wǎng)絡(luò)實(shí)施遠(yuǎn)程攻擊。通過(guò)對(duì)衛(wèi)星通信服務(wù)商IP地址段批量掃描發(fā)現(xiàn)：眾多安裝VSAT、FBB設(shè)備的船舶未加安全措施就向公網(wǎng)開(kāi)放了21/80/445/3389等弱口令TCP、UDP端口；供應(yīng)商為節(jié)約成本、方便遠(yuǎn)程維護(hù)管理，將Cobham、KVHCommBox、Inmarsat、Marlink等產(chǎn)品內(nèi)建的管理后臺(tái)映射到外網(wǎng)；絕大部分船舶沒(méi)有配置專(zhuān)業(yè)的硬件防火墻，岸基管理人員缺乏專(zhuān)業(yè)技能，最終導(dǎo)致船舶網(wǎng)絡(luò)安全得不到保障。

要做好船岸網(wǎng)絡(luò)安全工作，首先要了解船岸網(wǎng)絡(luò)設(shè)備運(yùn)行機(jī)制和原理。船舶內(nèi)網(wǎng)GPS、ECDIS、主機(jī)監(jiān)控系統(tǒng)服務(wù)器等多網(wǎng)卡設(shè)備既通過(guò)串口總線(xiàn)和CANBUS、MODBUS等協(xié)議控制舵機(jī)、智能電站及壓載水調(diào)平系統(tǒng)等設(shè)備，又通過(guò)網(wǎng)卡和SNMP、NMEA等協(xié)議進(jìn)行網(wǎng)絡(luò)通信，從而形成了一個(gè)可以網(wǎng)絡(luò)遠(yuǎn)程控制的船舶物聯(lián)網(wǎng)。由于某些船用通信協(xié)議存在設(shè)計(jì)缺陷，例如NMEA0183協(xié)議通過(guò)明文傳輸，缺乏加密、身份認(rèn)證和校驗(yàn)機(jī)制，為實(shí)施網(wǎng)絡(luò)攻擊制造了機(jī)會(huì)――攻擊者只需遠(yuǎn)程更改一兩個(gè)字符就可以命令船舶轉(zhuǎn)向。

2常見(jiàn)的網(wǎng)絡(luò)攻擊方式

廣義上對(duì)船岸網(wǎng)絡(luò)的攻擊主要有兩類(lèi)：（1）無(wú)目標(biāo)的攻擊。岸基或船舶內(nèi)網(wǎng)操作系統(tǒng)和第三方軟件漏洞是潛在受攻擊目標(biāo)之一，攻擊者利用0day漏洞進(jìn)行廣撒網(wǎng)式的無(wú)差別化攻擊，近幾年馬士基航運(yùn)集團(tuán)和中遠(yuǎn)海運(yùn)集運(yùn)北美公司遭遇的網(wǎng)絡(luò)攻擊屬于此類(lèi)。（2）有針對(duì)性的攻擊。攻擊者將某船岸信息系統(tǒng)設(shè)定為滲透目標(biāo)，利用專(zhuān)門(mén)開(kāi)發(fā)的繞過(guò)技術(shù)和工具躲避網(wǎng)絡(luò)防御機(jī)制（如震網(wǎng)病毒事件），實(shí)施多步驟攻擊，其破壞程度較無(wú)目標(biāo)的攻擊更大。

有針對(duì)性攻擊又分為以下6種類(lèi)型：

（1）主動(dòng)攻擊。攻擊者主動(dòng)攻擊網(wǎng)絡(luò)安全防線(xiàn)。主動(dòng)攻擊的方式為修改或創(chuàng)建錯(cuò)誤的數(shù)據(jù)流，主要攻擊形式有假冒、重放、篡改消息和使網(wǎng)絡(luò)拒絕服務(wù)等。

（2）被動(dòng)攻擊。攻擊者監(jiān)視相關(guān)信息流以獲得某些信息。被動(dòng)攻擊基于網(wǎng)絡(luò)跟蹤通信鏈路或系統(tǒng)，用秘密抓取數(shù)據(jù)的木馬程序代替系統(tǒng)部件。

（3）物理攻擊。未被授權(quán)者在物理上接入網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，以達(dá)到修改、收集信息或使網(wǎng)絡(luò)拒絕訪問(wèn)的目的。

（4）內(nèi)部攻擊。被授權(quán)修改信息安全處理系統(tǒng)，或具有直接訪問(wèn)信息安全處理系統(tǒng)權(quán)力的內(nèi)部人員，主動(dòng)傳播非法獲取的信息。

（5）邊界攻擊。網(wǎng)絡(luò)邊界由路由器、防火墻、入侵檢測(cè)系統(tǒng)（IDS）、虛擬專(zhuān)用網(wǎng)（VPN、DMZ）和被屏蔽的子網(wǎng)等硬件和軟件組成。硬件的操作系統(tǒng)與其他軟件一樣存在安全漏洞，攻擊者可利用操作系統(tǒng)漏洞，繞過(guò)已知安全協(xié)議達(dá)到攻擊的目的。

（6）持續(xù)性威脅。商業(yè)間諜組織可能會(huì)通過(guò)“釣魚(yú)手法”進(jìn)行攻擊。如以“某某船公司2020中期戰(zhàn)略企劃書(shū)”為關(guān)鍵詞投放電子誘餌，通過(guò)文檔追蹤工具進(jìn)行精準(zhǔn)定位，誘騙受害人打開(kāi)附件或點(diǎn)擊郵件鏈接從而入侵或破壞其信息系統(tǒng)。

3船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)

船岸網(wǎng)絡(luò)中易受攻擊的系統(tǒng)有綜合船橋和電子海圖系統(tǒng)、配載儀和船舶維修保養(yǎng)系統(tǒng)、主機(jī)遙控和能效系統(tǒng)、保安限制區(qū)域閉路電視監(jiān)控系統(tǒng)和各重點(diǎn)艙室門(mén)禁系統(tǒng)、乘員服務(wù)和管理系統(tǒng)、面向船員娛樂(lè)的公共網(wǎng)絡(luò)系統(tǒng)、船岸網(wǎng)絡(luò)通信系統(tǒng)、計(jì)算機(jī)操作系統(tǒng)及常用軟件等。

4船舶網(wǎng)絡(luò)安全配置建議

（1）禁用公網(wǎng)IP，使用URA系統(tǒng)遠(yuǎn)程管理。

（2）修改系統(tǒng)默認(rèn)密碼并使用高強(qiáng)度密碼。

（3）將船岸網(wǎng)絡(luò)操作系統(tǒng)和第三方軟件補(bǔ)丁、病毒特征庫(kù)升級(jí)至最新版本。

（4）對(duì)工控網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、娛樂(lè)網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)隔離和訪問(wèn)控制。

（5）通過(guò)策略制定公用電腦進(jìn)程白名單，禁用USB接口。

（6）向船員普及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范知識(shí)。

（7）要求設(shè)備供應(yīng)商提供必要的網(wǎng)絡(luò)安全事件應(yīng)對(duì)措施。

（8）不過(guò)度依賴(lài)遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控技術(shù)，增加現(xiàn)場(chǎng)勘查頻率。

5網(wǎng)絡(luò)攻擊事件的處置步驟

（1）風(fēng)險(xiǎn)識(shí)別。定義相關(guān)人員的崗位和職責(zé)，確保在日常管理中能夠及時(shí)發(fā)現(xiàn)可疑風(fēng)險(xiǎn)。

（2）事件預(yù)防。制定風(fēng)險(xiǎn)控制流程和應(yīng)急計(jì)劃，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，防范網(wǎng)絡(luò)攻擊。

（3）事件發(fā)現(xiàn)。檢查已確認(rèn)的網(wǎng)絡(luò)攻擊事件，評(píng)估損失并制定后續(xù)恢復(fù)方案。（4）事件恢復(fù)。制定計(jì)劃使系統(tǒng)恢復(fù)正常運(yùn)行。

（5）免疫措施。制定措施避免類(lèi)似網(wǎng)絡(luò)攻擊事件再次發(fā)生。

6網(wǎng)絡(luò)信息安全團(tuán)隊(duì)崗位職責(zé)

航運(yùn)企業(yè)應(yīng)設(shè)立信息安全官（CISO）崗位，其職責(zé)為：建立船岸網(wǎng)絡(luò)安全團(tuán)隊(duì)并管理成員，牽頭制定全面的船舶網(wǎng)絡(luò)安全應(yīng)急保護(hù)計(jì)劃（CSP），以持續(xù)保障船岸網(wǎng)絡(luò)安全。團(tuán)隊(duì)成員崗位職責(zé)如下：

（1）對(duì)船舶VSAT/FBB設(shè)備端口映射及防火墻規(guī)則進(jìn)行審核、分發(fā)、監(jiān)控，熟悉Infinity、XchangeBox等通信管理系統(tǒng)的后臺(tái)設(shè)置，監(jiān)控船岸網(wǎng)絡(luò)的可疑流量。

（2）對(duì)船岸內(nèi)網(wǎng)信息設(shè)備和辦公電腦軟硬件及時(shí)更新維護(hù)，熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識(shí)。

（3）定期優(yōu)化單船拓?fù)浣Y(jié)構(gòu)和更新船岸網(wǎng)絡(luò)病毒特征庫(kù)和漏洞補(bǔ)丁庫(kù)，不斷完善船岸網(wǎng)絡(luò)信息事故應(yīng)急預(yù)案。

（4）收集供應(yīng)商技術(shù)文件并集中存儲(chǔ)，向設(shè)備和服務(wù)供應(yīng)商提交并跟蹤審核通導(dǎo)信息類(lèi)設(shè)備保修工單（如KVH、Marlink、GEE、OneNet等）。

（5）跟蹤記錄新造船F(xiàn)BB、銥星移動(dòng)通信系統(tǒng)、VSAT和船載物聯(lián)網(wǎng)設(shè)備安裝調(diào)試情況，審核通信類(lèi)費(fèi)用憑證。

（6）具備防火墻、路由器、入侵檢測(cè)系統(tǒng)、交換機(jī)的豐富知識(shí)，MacOS、Windows、Linux等3大操作系統(tǒng)及域控、數(shù)據(jù)庫(kù)的基礎(chǔ)知識(shí)，并能熟練使用SQL、CrystalReports提取分析數(shù)據(jù)。

（7）參與船岸網(wǎng)絡(luò)的設(shè)計(jì)開(kāi)發(fā)和信息系統(tǒng)的迭代開(kāi)發(fā)，提出必要的安全策略規(guī)范要求。

（8）具備妥善監(jiān)控并處理網(wǎng)絡(luò)安全事件的能力和獨(dú)立撰寫(xiě)網(wǎng)絡(luò)安全事件調(diào)查報(bào)告的能力，并提出改進(jìn)措施。

7船岸網(wǎng)絡(luò)信息安全管理目標(biāo)

船岸網(wǎng)絡(luò)信息安全問(wèn)題從根本上說(shuō)是人的問(wèn)題，如何在制度上讓人遵守規(guī)則，如何在技術(shù)上減少或避免人為惡意攻擊，這是船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計(jì)的目標(biāo)。船岸網(wǎng)絡(luò)信息安全組織架構(gòu)設(shè)計(jì)的總體目標(biāo)可定義為：針對(duì)船岸網(wǎng)絡(luò)和信息安全需要，構(gòu)建系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和信息防護(hù)策略及措施，通過(guò)制度管理和技術(shù)防范來(lái)規(guī)范員工行為，達(dá)到網(wǎng)絡(luò)和信息資產(chǎn)安全可控的目的，最終達(dá)到“外人進(jìn)不來(lái)、進(jìn)來(lái)看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監(jiān)的基本職責(zé)是建立船岸網(wǎng)絡(luò)和信息安全團(tuán)隊(duì)并確保團(tuán)隊(duì)成員各司其職。團(tuán)隊(duì)成員既包括企業(yè)內(nèi)部的計(jì)算機(jī)安全專(zhuān)家，也包括企業(yè)外部的資深律師、會(huì)計(jì)師、技術(shù)專(zhuān)家等。

8經(jīng)驗(yàn)交流

網(wǎng)絡(luò)信息安全對(duì)于大部分人而言比較陌生。在實(shí)踐中，大部分航運(yùn)企業(yè)由總裁辦（行政事務(wù)部）或保密部門(mén)負(fù)責(zé)網(wǎng)絡(luò)信息安全，而網(wǎng)絡(luò)信息安全職能又隸屬話(huà)語(yǔ)權(quán)不高的IT部門(mén)，最終導(dǎo)致企業(yè)網(wǎng)絡(luò)信息安全工作進(jìn)展遲滯，制度實(shí)施緩慢。因此，建議由公司領(lǐng)導(dǎo)牽頭，技術(shù)保障部門(mén)負(fù)責(zé)具體實(shí)施。有條件的航運(yùn)公司應(yīng)該定期針對(duì)船岸網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全演習(xí)并配置網(wǎng)絡(luò)信息安全設(shè)備，以便當(dāng)船岸網(wǎng)絡(luò)信息系統(tǒng)被攻擊時(shí)，能夠迅速作出應(yīng)急反應(yīng)，盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)，盡可能挽回?fù)p失。此外，在員工手冊(cè)、船員上船協(xié)議中應(yīng)該賦予航運(yùn)公司相關(guān)職能部門(mén)通過(guò)技術(shù)手段來(lái)防止內(nèi)部威脅的權(quán)力，打擊隱蔽性較強(qiáng)的涉及船岸網(wǎng)絡(luò)的職務(wù)犯罪。

以某航運(yùn)企業(yè)為例，2018年初由公司領(lǐng)導(dǎo)牽頭與某船級(jí)社聯(lián)合成立了船岸網(wǎng)絡(luò)信息安全專(zhuān)項(xiàng)課題組，針對(duì)公司船岸網(wǎng)絡(luò)的特殊性制定了一套通用船舶網(wǎng)絡(luò)安全管理體系，并在超大型集裝箱船試行《船舶網(wǎng)絡(luò)信息安全實(shí)施指南（征求意見(jiàn)稿）》和相關(guān)配套制度，如《船舶網(wǎng)絡(luò)信息資產(chǎn)管理辦法》《船舶VSAT、局域網(wǎng)及防火墻設(shè)置規(guī)范》《船舶網(wǎng)絡(luò)信息安全員崗位職責(zé)》《船員網(wǎng)絡(luò)信息安全應(yīng)知手冊(cè)》等。此外，還對(duì)試點(diǎn)船舶就域控服務(wù)器（解決內(nèi)網(wǎng)信息審計(jì)問(wèn)題）、KMS激活服務(wù)器（解決操作系統(tǒng)、辦公軟件授權(quán)問(wèn)題）、自建CA授權(quán)機(jī)構(gòu)頒發(fā)數(shù)字證書(shū)（解決SHA256數(shù)據(jù)加密問(wèn)題）、某開(kāi)源局域網(wǎng)遠(yuǎn)程管理軟件以及等級(jí)保護(hù)一體機(jī)硬件部署（解決病毒庫(kù)、補(bǔ)丁庫(kù)離線(xiàn)升級(jí)問(wèn)題）等項(xiàng)目進(jìn)行技術(shù)驗(yàn)證，為下一步推廣應(yīng)用船岸網(wǎng)絡(luò)信息安全課題研究成果奠定了良好基礎(chǔ)。

第8篇：信息安全審核制度范文

以來(lái)，我鎮(zhèn)在縣委、縣政府的正確領(lǐng)導(dǎo)下，在縣信息中心的幫助和指導(dǎo)下，認(rèn)真按照市、縣關(guān)于電子政務(wù)工作的總體部署和要求，加強(qiáng)對(duì)電子政務(wù)的建設(shè)與管理，取得了一定的成效?，F(xiàn)將我鎮(zhèn)電子政務(wù)工作自查情況報(bào)告如下：

一、主要工作及成效

（一）組織及制度建設(shè)情況。一是領(lǐng)導(dǎo)重視，機(jī)構(gòu)健全。我鎮(zhèn)高度重視電子政務(wù)工作，成立了以鎮(zhèn)長(zhǎng)任組長(zhǎng)、鎮(zhèn)相關(guān)部門(mén)負(fù)責(zé)人為成員的鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)鎮(zhèn)電子政務(wù)工作，研究決定鎮(zhèn)電子政務(wù)建設(shè)中的重大問(wèn)題。領(lǐng)導(dǎo)小組辦公室設(shè)在鎮(zhèn)黨政綜合辦公室，并指定2名懂電腦操作、保密意識(shí)強(qiáng)的黨政綜合辦公室成員具體負(fù)責(zé)信息更新及網(wǎng)絡(luò)維護(hù)等日常工作，形成了機(jī)構(gòu)健全、分工明確、責(zé)任到人的良好工作格局。二是制定制度，按章辦事。根據(jù)市、縣文件要求，制定了電子政務(wù)工作各項(xiàng)管理制度及維護(hù)制度，包括專(zhuān)人維護(hù)、文件審核簽發(fā)等制度。三是加強(qiáng)培訓(xùn)，提高素質(zhì)。有計(jì)劃地組織各類(lèi)運(yùn)行維護(hù)人員進(jìn)行電子政務(wù)系統(tǒng)應(yīng)用有關(guān)知識(shí)、技能的培訓(xùn)，并按縣信息中心要求參加各類(lèi)培訓(xùn)，切實(shí)提高了各類(lèi)運(yùn)行維護(hù)人員的素質(zhì)，確保系統(tǒng)正常運(yùn)轉(zhuǎn)使用。

（二）網(wǎng)絡(luò)和信息安全情況。一是加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)工作。加強(qiáng)網(wǎng)絡(luò)運(yùn)行維護(hù)隊(duì)伍建設(shè)，進(jìn)一步充實(shí)網(wǎng)絡(luò)運(yùn)行維護(hù)人員，鎮(zhèn)直各部門(mén)均確定1名兼職網(wǎng)絡(luò)信息管理員，負(fù)責(zé)及時(shí)提供和審核本部門(mén)信息內(nèi)容。同時(shí)按照縣安全管理要求，制定和完善了我鎮(zhèn)電子政務(wù)安全保密措施，落實(shí)安全保密工作責(zé)任制，要求網(wǎng)絡(luò)運(yùn)行維護(hù)人員及時(shí)將異常情況上報(bào)至縣信息中心。全年未發(fā)現(xiàn)網(wǎng)絡(luò)異常。二是切實(shí)做好信息安全工作。安裝了專(zhuān)門(mén)的殺毒、殺木馬軟件，互聯(lián)網(wǎng)出口處部署了防火墻、日志審計(jì)等安全系統(tǒng)，有效防范了病毒、木馬、黑客等網(wǎng)絡(luò)攻擊，確保了信息和網(wǎng)絡(luò)運(yùn)行安全。三是開(kāi)展不定期檢查。我鎮(zhèn)電子政務(wù)工作領(lǐng)導(dǎo)小組不定期對(duì)電子政務(wù)工作辦公室的環(huán)境安全、設(shè)備安全、信息安全、管理制度落實(shí)情況等內(nèi)容進(jìn)行檢查，對(duì)存在的問(wèn)題及時(shí)進(jìn)行糾正，消除安全隱患。

（三）政務(wù)平臺(tái)應(yīng)用推廣情況。已經(jīng)應(yīng)用全縣政務(wù)統(tǒng)一平臺(tái)開(kāi)展網(wǎng)上協(xié)同辦公，及時(shí)收發(fā)公文和相關(guān)信息，積極開(kāi)展公文網(wǎng)上起草、登記、簽批、歸檔等日常工作，基本實(shí)現(xiàn)同全市其他政府機(jī)關(guān)網(wǎng)上協(xié)同辦公。

二、存在的困難和不足

雖然我鎮(zhèn)電子政務(wù)工作取得了一定的成效，但還存在一些困難和不足之處，主要體現(xiàn)在：一是辦公電腦設(shè)備陳舊老化，只有一臺(tái)已經(jīng)使用6年、內(nèi)存256m的電腦專(zhuān)門(mén)用于電子政務(wù)。二是機(jī)關(guān)工作人員年齡偏大，計(jì)算機(jī)知識(shí)程度不高，培訓(xùn)沒(méi)有完全跟上。三是信息未能完全做到及時(shí)更新，電子政務(wù)管理、使用有待于進(jìn)一步加強(qiáng)。

三、下一步改進(jìn)措施

（一）積極爭(zhēng)取財(cái)政資金支持。積極爭(zhēng)取上級(jí)部門(mén)資金支持，更新或配備電腦等必要的辦公設(shè)備。

（二）努力提高業(yè)務(wù)素質(zhì)。加強(qiáng)宣傳教育，進(jìn)一步提高全鎮(zhèn)人員對(duì)電子政務(wù)的認(rèn)知水平和責(zé)任意識(shí)，積極組織人員參加全縣電子政務(wù)培訓(xùn)，為電子政務(wù)的有效實(shí)施奠定更加堅(jiān)實(shí)的基礎(chǔ)。

第9篇：信息安全審核制度范文

證券業(yè)是無(wú)紙化的行業(yè)，證券業(yè)務(wù)完全是依賴(lài)信息系統(tǒng)完成的。中國(guó)證券市場(chǎng)從誕生、發(fā)展到現(xiàn)在僅僅十幾年時(shí)間，但由于技術(shù)起點(diǎn)高，中國(guó)證券業(yè)的信息化建設(shè)已達(dá)到了較高水平。

隨著我國(guó)證券業(yè)信息化的加速建設(shè)，信息系統(tǒng)規(guī)模越來(lái)越大，信息資產(chǎn)急劇增加，如何對(duì)這些資產(chǎn)進(jìn)行有效管理，對(duì)其實(shí)施不同級(jí)別的安全保護(hù)將是證券業(yè)面臨的巨大挑戰(zhàn)。同時(shí)，信息系統(tǒng)內(nèi)部采集、存儲(chǔ)、傳輸、處理的信息量越來(lái)越大，對(duì)證券信息系統(tǒng)及其網(wǎng)絡(luò)的依賴(lài)性更強(qiáng)，必須保證數(shù)據(jù)的安全采集、安全存儲(chǔ)、安全傳輸和安全處理。來(lái)自互聯(lián)網(wǎng)的威脅、網(wǎng)上交易潛在的威脅等都是值得我們關(guān)注的問(wèn)題。

中國(guó)銀河證券是國(guó)內(nèi)大型券商之一，全國(guó)有167家營(yíng)業(yè)部，分布在全國(guó)56個(gè)城市，客戶(hù)達(dá)到300多萬(wàn)?？上攵y河證券的信息系統(tǒng)也是十分龐大的。因此，銀河證券的信息安全保障工作也是十分艱巨的。

構(gòu)建安全體系

目前，銀河證券的安全保障體系已經(jīng)初步建立并在不斷完善中。公司已經(jīng)制定并了總體的安全策略文件。公司的信息安全體系文件是信息安全工作的內(nèi)部“法規(guī)”、實(shí)際工作的標(biāo)準(zhǔn)、內(nèi)部培訓(xùn)和審核的依據(jù)。信息安全體系建設(shè)過(guò)程中文件的創(chuàng)建工作是十分艱巨的，所以制定適合公司實(shí)際情況的信息安全體系文件是重點(diǎn)工作。策略文件包含建立信息安全體系的方針與目標(biāo)文件、風(fēng)險(xiǎn)評(píng)估方法描述文件、文件控制程序、內(nèi)部審核程序等文件。相關(guān)文件都應(yīng)符和相應(yīng)的標(biāo)準(zhǔn)。

信息安全體系是一個(gè)“人工系統(tǒng)”，需要組織管理才能運(yùn)行。在安全組織體系建設(shè)中，銀河證券建立了信息安全管理機(jī)構(gòu)――信息安全工作領(lǐng)導(dǎo)小組。信息安全工作由主管公司信息系統(tǒng)的公司領(lǐng)導(dǎo)負(fù)責(zé)，工作小組由信息技術(shù)中心領(lǐng)導(dǎo)牽頭，成員由各部門(mén)指定人員組成，形成了高層、中層、操作層的層次化管理。管理機(jī)構(gòu)負(fù)責(zé)定義信息安全體系方針和目標(biāo)、定義風(fēng)險(xiǎn)評(píng)估方法、創(chuàng)建體系文件、執(zhí)行風(fēng)險(xiǎn)評(píng)估、制定風(fēng)險(xiǎn)處理計(jì)劃、選擇和實(shí)施控制措施、評(píng)審及改進(jìn)等工作。

在信息安全體系建設(shè)的技術(shù)層面上，銀河證券已具有了相當(dāng)?shù)募夹g(shù)實(shí)力。IDS、防病毒、補(bǔ)丁分發(fā)、網(wǎng)絡(luò)加固、監(jiān)控系統(tǒng)、垃圾郵件網(wǎng)關(guān)等技術(shù)的應(yīng)用很好地保證了信息系統(tǒng)的安全。另外，公司聘請(qǐng)信息安全顧問(wèn)服務(wù)提供廠商，提供7×24小時(shí)信息安全解決方案和應(yīng)急服務(wù)。通過(guò)廠商的專(zhuān)業(yè)服務(wù)銀河證券信息安全工作得到很大改觀。

信息安全制度的實(shí)施十分關(guān)鍵，公司管理機(jī)構(gòu)高度重視，加大了執(zhí)行力度，并且計(jì)劃將績(jī)效考核與員工對(duì)相關(guān)制度的執(zhí)行情況掛鉤。同時(shí)，公司計(jì)劃通過(guò)內(nèi)部審核等手段來(lái)評(píng)估、完善相關(guān)制度。

集中管理與分散交易

銀河證券在信息安全保證體系建設(shè)中注重對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)的高等級(jí)保護(hù)。

首先，對(duì)公司所有的信息資產(chǎn)進(jìn)行徹底清查，為公司資產(chǎn)的等級(jí)化劃分及制定、實(shí)施相應(yīng)的保護(hù)策略提供了第一手資料，可以說(shuō)這是對(duì)公司信息資產(chǎn)實(shí)施等級(jí)保護(hù)的基礎(chǔ)工作。

第二，公司正在實(shí)施大集中項(xiàng)目建設(shè)。目前由于歷史的原因，公司的業(yè)務(wù)模式一直是以營(yíng)業(yè)部為中心運(yùn)營(yíng)，各營(yíng)業(yè)部采用不同的軟硬件平臺(tái)和交易系統(tǒng)，客戶(hù)的交易數(shù)據(jù)全放在營(yíng)業(yè)部，客戶(hù)的股票和資金全部由營(yíng)業(yè)部自行管理，每個(gè)營(yíng)業(yè)部直接將客戶(hù)的委托上報(bào)交易所。應(yīng)該講，這種業(yè)務(wù)模式在市場(chǎng)發(fā)展的初級(jí)階段是合理的、有效的。但隨著證券市場(chǎng)業(yè)務(wù)多樣化、監(jiān)管規(guī)范化，市場(chǎng)競(jìng)爭(zhēng)更加激烈，這種模式的弊端就日益顯現(xiàn)出來(lái)，特別是這種模式存在資源分散、重復(fù)建設(shè)、安全漏洞和系統(tǒng)風(fēng)險(xiǎn)大、缺乏行之有效的管理和監(jiān)控手段等問(wèn)題。

證券公司的IT系統(tǒng)是推動(dòng)業(yè)務(wù)轉(zhuǎn)型、推動(dòng)客戶(hù)服務(wù)的重要基石，建立集約化管理、集中式證券交易系統(tǒng)已經(jīng)成為業(yè)界共同的目標(biāo)。

銀河證券大集中交易總體目標(biāo)是實(shí)現(xiàn)“集中管理、分散交易”。在總部設(shè)立集中的業(yè)務(wù)管理中心，承擔(dān)所有營(yíng)業(yè)部的業(yè)務(wù)管理、清算等職能。營(yíng)業(yè)部剝離管理功能，形成以委托交易、營(yíng)銷(xiāo)服務(wù)為主的交易通道功能。

采用這種方案不僅實(shí)現(xiàn)了銀河這樣大型證券公司大集中交易的各項(xiàng)目標(biāo)，同時(shí)又不受客戶(hù)規(guī)模的影響，出現(xiàn)故障時(shí)能把損失減少到最小。各個(gè)交易中心可以在和總部通信中斷的情況下，不影響進(jìn)行本地委托交易。某個(gè)交易中心的故障不會(huì)影響到其他交易中心。簡(jiǎn)單地說(shuō)，就是前臺(tái)僅負(fù)責(zé)實(shí)時(shí)交易，后臺(tái)負(fù)責(zé)統(tǒng)一清算、統(tǒng)一賬戶(hù)管理、統(tǒng)一客戶(hù)管理、第三方存管等工作。

通過(guò)大集中項(xiàng)目，將公司的核心數(shù)據(jù)集中到總部統(tǒng)一管理，這樣不僅做到了核心資產(chǎn)的集中管理和監(jiān)控，同時(shí)也做到了風(fēng)險(xiǎn)控制點(diǎn)的集中管理，而且公司的集中模式并不會(huì)因?yàn)榧袔?lái)更大的風(fēng)險(xiǎn)。這樣就突出了公司最核心的等級(jí)保護(hù)級(jí)別，從而制定了針對(duì)此核心保護(hù)級(jí)別的保護(hù)策略。

實(shí)現(xiàn)兩網(wǎng)分離

另外，公司還實(shí)施了兩網(wǎng)分離項(xiàng)目。在項(xiàng)目實(shí)施之前，辦公網(wǎng)和業(yè)務(wù)網(wǎng)沒(méi)有分開(kāi)，辦公網(wǎng)主機(jī)的問(wèn)題很容易影響到業(yè)務(wù)網(wǎng)，例如辦公網(wǎng)的主機(jī)感染病毒，就很容易影響業(yè)務(wù)主機(jī)。同時(shí)沒(méi)有一個(gè)統(tǒng)一的IP地址規(guī)劃，一旦病毒等問(wèn)題出現(xiàn)，就很難快速地對(duì)病毒做控制，因?yàn)榧词贯槍?duì)的是同一項(xiàng)業(yè)務(wù)，也不能做統(tǒng)一的策略，必須對(duì)各個(gè)營(yíng)業(yè)部分別采取措施，這需要花費(fèi)大量的時(shí)間，而且不易實(shí)施，往往在控制病毒的同時(shí)也將一些正常的業(yè)務(wù)控制住了，影響了正常的業(yè)務(wù)開(kāi)展。

公司的業(yè)務(wù)網(wǎng)是公司的核心網(wǎng)絡(luò)，它的安全等級(jí)要比辦公網(wǎng)高得多，所以通過(guò)將業(yè)務(wù)網(wǎng)和辦公網(wǎng)分離，實(shí)施對(duì)業(yè)務(wù)網(wǎng)更高的保護(hù)級(jí)別達(dá)到保障公司關(guān)鍵業(yè)務(wù)的安全穩(wěn)定運(yùn)行。這樣，當(dāng)公司辦公網(wǎng)出現(xiàn)問(wèn)題時(shí)，不會(huì)影響到業(yè)務(wù)網(wǎng)，而一旦業(yè)務(wù)網(wǎng)出現(xiàn)問(wèn)題，可以切換到辦公網(wǎng)，保證業(yè)務(wù)運(yùn)行。通過(guò)兩網(wǎng)分離，加強(qiáng)了業(yè)務(wù)網(wǎng)的安全性，同時(shí)在連接辦公網(wǎng)的路由器上可以增加訪問(wèn)控制列表，使?fàn)I業(yè)部的辦公網(wǎng)只能訪問(wèn)總部的辦公網(wǎng)，如果營(yíng)業(yè)部的辦公主機(jī)想訪問(wèn)本營(yíng)業(yè)部的業(yè)務(wù)網(wǎng)，可以通過(guò)中間件來(lái)進(jìn)行。

項(xiàng)目實(shí)施后，完全達(dá)到了項(xiàng)目的要求，有利于公司根據(jù)兩網(wǎng)的不同特征制定不同的策略，實(shí)現(xiàn)不同的安全級(jí)別，從而使公司業(yè)務(wù)網(wǎng)達(dá)到了更高的保護(hù)級(jí)別，使業(yè)務(wù)系統(tǒng)運(yùn)行更加穩(wěn)定、安全，防止辦公網(wǎng)的問(wèn)題影響業(yè)務(wù)網(wǎng)。同時(shí)在實(shí)施過(guò)程中，通過(guò)及時(shí)調(diào)整業(yè)務(wù)網(wǎng)和辦公網(wǎng)的劃分及訪問(wèn)控制列表，達(dá)到了持續(xù)改進(jìn)的目的。

鏈接：何為風(fēng)險(xiǎn)評(píng)估？

風(fēng)險(xiǎn)評(píng)估是對(duì)信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具，包括定性和定量的方法，確定信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制順序。

在風(fēng)險(xiǎn)評(píng)估中，考慮的主要因素包括: 信息資產(chǎn)及其價(jià)值、對(duì)這些資產(chǎn)的威脅、它們發(fā)生的可能性、薄弱點(diǎn)、已有的安全控制措施等。