信息安全管理计划篇1
【关键词】智能电网信息安全管理体系
一、引言
智能电网可定义为以特高压电网为骨干网架、各级电网协调发展的坚强电网为基础,利用先进的通信、信息和控制技术,构建以信息化、自动化、数字化、互动化为特征的统一的坚强智能化电网[1]。随着智能电网建设的不断向前发展,信息安全的重要性也与日俱增。智能电网的特征使得其在发电、输电、变电、配电、用电和调度中各业务系统对信息安全防护体系提出了新的要求[2]。本文结合智能电网的特点,针对智能电网背景下对信息安全管理的需求,提出了全方位信息安全管理体系。
二、智能电网信息安全管理体系设计理念
根据信息安全管理体系(informationSecuritymanagementSystem,iSmS)模型,信息安全管理是一个持续发展的过程,遵循一般性的循环模式,其模型如下图所示:
计划(plan)――信息安全管理周期的起点,作为安全管理的准备阶段,为后续活动提供基础和依据[3]。计划阶段的活动包括:建立组织机构,明晰责任,确定安全目标、战略和策略,进行风险评估,选择安全措施,并在明确安全需求的基础上制定安全计划、业务连续性计划、意识培训等信息安全管理程序和过程。
实施(Do)――实施阶段是实现计划阶段确定目标的过程,包括安全策略、所选择的安全措施或控制、安全意识和培训程序等。
检查(Check)――信息管理安全实施过程的效果如何,需要通过监视、审计、复查、评估等手段来进行检查,检查的依据就是计划阶段建立的安全策略、目标、程序,以及标准、法律法规和实践经验,检查的结果是进一步采取措施的依据。
改进(action)――如果检查发现安全实施的效果不能满足计划阶段建立的需求,或者有意外事件发生,或者某些因素引起了新的变化,经过管理层认可,需要采取应对措施进行改进,并按照已经建立的响应机制来行事,必要时进入新的一轮信息安全管理周期,以便持续改进和发展信息管理安全。
智能电网的信息安全管理体系遵循上述循环模式,坚持智能电网系统建设与信息安全“同步规划、同步建设、同步投入运行”的“三同步”原则,将智能电网系统建设方案与信息安全防护方案有机结合,将信息安全落实到每个项目中,避免出现系统在规划、建设、投入运行过程中出现安全事件,影响公司整体信息安全。针对循环阶段的每一环节设计具有相应的管理行为,以达到多角度全方位的管理要求。
三、智能电网信息安全管理体系实践
本文通过上下线管理流程、科学运行方式编排、检修计划、统一运维入口、运维审计、全过程监控等方式实践智能电网系统安全管理体系,严抓系统上线安全管控,严把常态运维质量,实现科学管理,提升智能电网系统整体安全防护水平。
(一)上线管理
智能电网系统建设遵从国网公司统一指导方案落实,系统建设投运后,由相关部门单位依照“信息系统上下线管理办法”组织系统上线正式运行评价。相关专家鉴定通过,智能电网系统符合信息安全防护方案,达到安全防护目标值,则填报信息系统正式投运单完成系统建设转入运行,同时将各类权限移交运维部门,确保系统自身安全。
(二)运行方式编排
积极开展电网运行方式编制,统一编制一体化信息通信运行方式。运行方式编排整体提升信息系统安全运行风险预控能力,强化信息系统规划、建设和运行的有序衔接,实现对信息化建设项目进度的“可视化”把控、对网络与信息系统计划检修的“精准化”掌控、对信息资源的“合理化”利用。运行方式通过全面的信息系统建设、运行分析,合理编制全年信息系统上线计划、年度检修计划、运行方式变更等,将智能电网相关系统的建设、运行、检修、调度统一梳理,合理安排,避免出现无组织、无计划、无预控等现象,协调各类资源全面支撑信息系统安全防护。
(三)检修计划
检修计划落实以公司年度检修计划为基线,根据各类项目实际开展情况,科学编制月度检修计划,一级检修计划上报国网公司,二级及其他检修计划由公司本部统一把控,将智能电网系统与其他信息系统检修进行耦合分析,有序安排各项检修的先后顺序,避免出现安全事件发生。
(四)统一运维入口
智能电网系统运维严格执行“关闭、收集、映射”运维流程,系统建设投运后先关闭所有防火墙远程运维端口,只保留供安全审计系统使用的唯一入口,实现运维入口进行统一准入;其次收集汇总所有主机、数据库账号/口令等资源,建立资源库;再则将各系统映射到审计运维系统进行统一管理,确保智能电网主机系统的安全访问。
(五)运维审计
智能电网系统运维依照安全防护要求,采用完备运维审计管理策略,做到“预防、可控、可查,安全事件发生后迅速定位、取证”;长时间安全保存信息系统日志,避免日志被人为删除导致的审计依据缺失;通过运维审计,规范内部维护人员操作规范,减少内部运维过程中误操作、违规操作、越权操作行为;通过审计系统的快速检索、分析功能,提升安全事故的处理效率,加快安全事件响应速度。通过全操作流程运维审计,强化事后回查,遏制智能电网系统运维非法事件发生。
(六)全过程状态监控
智能电网系统运维由运维部门实施7*24小时监控,系统运维强化两票执行、进出登记、现场陪同、事后确认流程监控与监督,由专人对运维操作进行状态监控,对未授权的操作采取拒绝措施,对授权操作采取全程跟踪监控,从源头杜绝安全时间发生。
四、结语
智能电网系统信息安全管理是一项长期工程,需在现有信息安全体系的基础上,依托技术手段持续创新管理模式,不断完善安全管理机制。此外,要进一步加强新技术应用安全风险分析与管控手段。智能电网新技术应用过程中要坚持“安全第一,试点先行”的原则,高度重视物联网、云计算、虚拟化等先进信息通信技术引入的信息安全风险,要认真分析新技术应用后存在的安全管理薄弱环节,超前谋划,积极应对,真正实现科学管理,提升智能电网信息安全水平。
参考文献:
[1]马韬韬,李珂;《智能电网信息和通信技术关键问题探讨》[J];《电力自动化设备》;2010年05期。
[2]李建芳,盛万兴;智能配电网技术框架研究[J];能源技术经济;2011年03期。
[3]吕韩飞,王钧;信息安全策略实施困难的原因与对策[J];浙江海洋学院学报(自然科学版);2011年03期。
作者简介:
1.夏威(1986-),男,浙江绍兴人,工程师,从事网络与信息安全技术工作。
信息安全管理计划篇2
【关键词】井下;通风管理;信息管理系统
矿井通风管理是矿井生产过程中重要管理内容。通风状况直接影响到井下工人的生命安全和生产效率、经济效益。因此,要针对现场实际情况,解决相关的矿井通风技术难题,从系统安全角度出发,提高通风管理的整体水平。
1加强通风安全管理
1.1计划管理
在通风安全管理工作中预先的计划管理处于首要位置,主要包括以下内容:
(1)计划编制:编制计划的主要依据是国家安全生产方针、矿井生产发展计划、技术装备、技术水平及通风安全技术资料。计划可分为中长期计划、年度计划和月计划。
(2)计划落实:根据计划要求合理分配资金、人力、物力,认真贯彻落实,无特殊条件变化应确保计划实现。
(3)计划检查、总结和分析:每期计划执行中和结束后要进行检查、分析和总结,对事故隐患及计划存在的问题及时解决,并对下期计划进行全面安排,提出保证计划完成的措施。
(4)计划调整:如果计划在实施的过程中遇到地质条件变化、资金或设备不能到位,采取措施后仍不能解决时,可适当调整计划,但必须满足安全生产需要。
1.2技术管理
(1)技术文件和技术资料管理:图纸要齐全,反映实际情况。每个矿井必须有通风系统图、通风网络图和防尘管路布置图,对于有监测系统、煤矿防火灌浆和瓦斯抽放系统的矿井,要有监测系统图、防火灌浆和瓦斯抽放管路系统图等,技术数据要齐全。需要收集、储存的数据有主要井巷的通风参数,如长度、断面、风阻;煤矿中煤层瓦斯含量,瓦斯相对涌出量,瓦斯绝对涌出量,瓦斯地质资料,煤层的自燃倾向性鉴定资料,自然发火期统计资料,煤层的最短自然发火期等;主要通风机的性能曲线,局部通风机的型号及其性能参数。各种报表应数据齐可靠及时。技术文件要齐全。施工应有安全技术措施,各工种有岗位责任制和技术操作规程。建立健全技术档案。各种报表应存档,各类台账健全,各种检查记录齐全。
(2)制定符合本矿的风量计算办法,矿井和采掘工作面配风合理。定期进行主要通风机性能测定和矿井通风系统阻力测定,以获得主要通风机性能实测曲线和关键阻力路线的阻力分布等资料。
1.3通风系统管理
井下一切通风设施,如风门、风窗、风桥、密闭墙等必须有专人负责维修管理,使其保持完好状态。随工作面推进和迁移应及时进行通风系统调整和风量调节。在改变通风系统时应预先制定计划和安全技术措施,严格履行审批手续。
1.4通风仪表管理
矿井必须配备足够的通风安全检查仪表,并定期进行校准和维修,其完好率应达90%以上,下井仪器、传感器的合格率必须达l00%。
2通风安全的计算机管理
2.1建立通风安全数据库
建立和使用好通风安全数据库、图库、模型库是利用计算机定期进行通风系统模拟和分析及进行现代化管理的依据。通风安全数据库主要有通风系统、通风报表、防火和防尘、煤矿的瓦斯管理等。
2.2通风安全计算机辅助决策及设计
借助DoS或专家系统,可实现对矿井灾害的救灾方案预演、优化和科学决策。在进行矿井通风设计、调整通风系统和进行风量调节分配时,借助计算机进行通风网络解算、通风机优选、模拟各方案结果,对于优化方案,提高工作效率有很大帮助,同时,也可实现计算机绘制通风系统平面图、立体图和通风动态图等。现已开发应用矿井管理信息系统、通风安全管理信息系统和矿井救灾决策专家系统等软件,应用效果较好。
通风安全管理信息系统是用系统科学的观点,基于现代安全管理理论,以计算机和现代通讯技术为基本信息处理手段和传输工具的、能为管理决策提供信息服务的信息系统。它是由人与计算机组成的,能进行通风安全管理信息的收集、传递、储存、加工、分析和利用的系统。
2.3计算机技术管理
矿井通风技术管理信息系统根据矿井的实际情况,可包括如下子系统:建立煤矿瓦斯数据库,瓦斯突出数据库,防尘数据库,通风监测技术数据库,通风测定仪表数据库,矿井火灾数据库。矿井通风技术管理信息系统能有利于矿井通风技术管理,全面提高矿井通风科学管理水平。
3建立通风安全信息管理系统
矿井通风的日常事务管理主要包括人员的分工、停开工区域通风调整、通风报表、处理日常通风问题等。目前,我国煤矿通风管理的模式基本上是总工程师、通风副总工程师、通风区(科)长负责制。在进行具体决策时,由负责矿井通风和安全的通风区(科)长根据任务安排、通风调度的记录等进行。这种传统的通风管理方法的优点在于任务安排直接、决策快捷。但总工程师、通风(安全)副总工程师、通风区(科)长每天要做出大量决策,而对于某一具体决策,一般都是根据经验进行,由于个人经验的局限性,可能出现偏差。而通风日常管理信息系统,是将矿井通风所有信息存储在系统中,可以随意调用,且带有系统分析功能,能从一定程度上协助总工程师、通风区长进行决策,有利于实现决策的科学化。计算机通风信息管理系统的功能包括:
(1)计算机图形显示。包括矿井通风系统图、通风系统示意图、通风网络图、避灾路线图。在图上标明用风地点、风量分配、风流方向、通风设施位置等,主要图件根据矿井最新情况加以刷新。利用计算机显示矿井通风有关图形,更新快且容易。
(2)利用计算机建立通风设施管理数据库。包括矿井局部通风机运行情况,如风量、风压、风筒漏风、有毒有害气体浓度;各类通风设施,如风桥、风门、密闭的构筑位置及损坏程度;通风测量仪表的库存数量、使用、检测检修情况等;主要通风机的运转情况,包括工作风压、风量、耗电量、电机功率、效率等。
(3)通风管理制度及其执行记录数据库。包括有关矿井通风管理的法律法规、行业规范等文件。信息收集的范围是与技术管理有关的、矿井当前适用及今后可能遇到的技术问题。同时对信息进行分析和分类,建立可多条线索查询的数据库系统,技术人员可准确、完整地检索到相关的内容。
(4)提供各类统计分析报告。包括通风风量测定及全矿风量综合分析、通风阻力测定及阻力分布情况分析、主要通风机性能检测鉴定报告及性能评估分析、反风演习报告、煤矿瓦斯鉴定和分析、煤层自燃倾向性鉴定和矿井火区分布定位以及各参数测定时间和数据分析等。
(5)提供通风管理机构与管理人员信息,包括各类人员的工作、职位、素质等。计算机通风信息日常管理系统将全矿井与通风相关的基本情况通过计算机数据库统一管理,然后通过网络使其在全矿或更大范围内资源共享,决策人员可根据需要随时查询各种记录和状况,运用该系统能协助决策人员准确分析和科学决策。
【参考文献】
信息安全管理计划篇3
【关键词】项目管理信息安全企业
项目管理是最近几年工商管理专业的新兴学科。最近十几年来,我们国家的互联网技术迅速发展,企业的信息安全正在引起人们的重视。信息安全企业所提供的信息产品在市场中的地位越来越高,信息安全市场呈现爆发式的增长。对于现代企业而言,项目管理已经成为现代企业主要生存与发展的模式。首先项目管理是信息安全企业成长的主要动力。项目是企业发展的主要利润来源之一。其次项目是信息安全企业树立良好形象的窗口,良好的企业形象会吸引更多的潜在的客户,尤其是对信息安全企业而言,只有宣传自己做过的成功的项目,才能不断提升自己的形象。最后项目管理不仅是信息安全企业发展的内在的动力,同时也是衡量企业员工业绩的主要指标,更是激励信息安全技术人员的重要舞台。
1信息安全企业需要项目管理技术的原因分析
众所周知,如果一个企业在市场经济环境中所获取的利润主要来自于项目,那么这个企业就必须要建立相应的项目管理体系。一般的信息安全企业正是这样一类的企业,这种企业的生存与发展都是以项目为基础的。另外一个方面,项目管理提供的是一种企业管理的思路与方法。项目管理在信息安全企业中的应用主要体现在以下几个方面:(1)通过采用项目管理的具体形式,能够在一定程度上提升项目本身所带来的经济效益。(2)可以不断的提升客户对企业的满意程度。(3)通过项目管理的形式,可以提升项目成员的综合素质。
2如何构建信息安全企业的项目管理体系
2.1确定项目管理的总体目标
信息安全企业的项目管理就是在要在企业资源有限的情况下,尽量满足时间与成本及绩效的约束,最终实现企业与客户良好的关系互动。通常在管理过程中都要建立相应的项目管理流程。规范项目的管理流程主要是为了提高项目的管理效率,不能过分死板的依据项目的管理流程来做事情。其次,在信息安全企业中,项目的具体进程都处在动态之中,所以管理流程都应该随着企业发展的内部与外部环境的不断变化而变化。另外对于具体的项目管理流程而言,只有得到企业领导层的具体认可,才能够顺利的开展起来。
2.2制定项目进度计划和质量管理计划,对项目存在的风险做出合理的评估
制定项目计划的重点是为了企业在最短的时间内完成项目,找出尽可能多的项目管理的解决方法。信息安全企业的项目进度计划制定主要包括以下方面,比如项目管理工作的分解;建立相关的子项目之间的依赖关系;安排相关的人力资源事宜;资源的依赖关系。由于在实际的项目管理运行的过程中,并不是某项活动完成之后,才可以进行下一项活动。项目质量管理计划是后续阶段控制管理和指导的依据,制定争取的质量计划,是项目在后期实施管理的基础。在信息系统集成的项目中,下列事件的发生对项目管理风险的产生是巨大的,比如到货延迟、设备模块的匹配问题等。此外项目管理的内容还包括项目沟通管理和项目变更管理。
3信息安全企业建立项目管理制度的措施
3.1企业领导层要从思想观念上重视项目管理的作用
信息企业的项目观念里工作要始终牢记三个基本要素:范围、时间、成本。将项目管理的精髓渗透到企业经营管理的各个方面。目前国内的各个企业都没有建立自己的项目管理制度,仅凭个人的经验或者是传统的教条主义来管理公司的业务。笔者认为作为企业的管理层,应该时刻根据企业的发展状况,丰富和发展适合企业的项目管理的基本政策和制度。
3.2从组织结构上适应项目管理
对于信息安全企业,最好设立专门的项目管理办公室。首先从企业的内部架构来看,使得企业的组织机构趋向于项目管理型的方向发展,其次,信息安全企业的项目管理办公室专门从事项目管理工作过程中的标准化工作,使得项目管理的流程尽量的能够变成在企业内部行之有效的标准;最后信息安全企业可以逐步将良好的项目管理经验传播到整个公司内部,实现公司职能的内部职能转换。信息安全企业项目管理者的责任就是项目的促成者和培养者,不是项目的执行者。
3.3从信息企业的硬件设施上支持公司的项目管理
一般信息安全企业在实施项目管理的过程中都会考虑成本问题,自行开发项目管理系统软件的优点在于节约了很多的外包经费,另外这也同样有利于信息安全企业的技术人员了解和熟悉公司的业务。在具体的项目管理系统模块开发设计的方面可以开发企业内部所需要以及关注的领域。一个完整的项目管理系统通常包括建立项目信息,比如客户信息、商务信息、项目级别、项目团队成员的基本信息;在具体的项目计划模块还包括了很多内容,比如项目沟通计划,首付款计划,人力资源以及风险管理。对于硬件部分的项目报告模块和项目文档模块也在这个软件系统之中有所具体的表现。
4结语
项目管理是最近几年工商管理专业的新兴学科。本文重点分析了项目管理在信息安全企业中的具体的应用,探讨了信息安全企业的发展为什么需要项目管理,解析了如何构建信息安全企业的项目管理体系,主要包括确定项目管理的总体目标、制定项目进度计划和质量管理计划,对项目存在的风险做出合理的评估。通过对参考文献的分析,信息安全企业建立项目管理制度的措施主要包括四个方面,首先企业领导层要从思想观念上重视项目管理的作用;其次从组织结构上适应项目管理;然后从信息企业的硬件设施上支持公司的项目管理;最后从项目执行的具体流程上和人员培训管理上加强项目管理。
参考文献:
[1]邱苑华等著.现代项目管理学(第2版)〔m8,科学出版社2007年版:pl-p58.
信息安全管理计划篇4
关键词:铁路;信息技术设备;管理
根据《中国铁路总公司固定资产管理办法》(铁总财[2015]45号)所称固定资产是指使用寿命超过一年,单位价值(含增值税)在5000元及以上,为铁路运输、生产商品、提供劳务、出租或经营管理而持有的有形资产。按铁路固定资产分类,铁路信息技术设备是指通信设备、计算机、计算机设备、网络设备、安全监控信息系统等。随着现代化铁路的发展,铁路信息技术设备已融入传统的车务、机务、工务、电务、车辆等系统,在铁路运输安全生产和经营管理中发挥越来越重要的作用。如日常的计算机使用不言而喻;铁路客票系统大大方便了旅客出行购票;客专运营调度系统担负着组织和指挥行车的重大责任;而铁路运输管理信息系统(tmiS系统)更是铁路运输的中枢掌控着铁路机车、车辆、货物的实时追踪。现代铁路,信息技术设备无处不在,在安全生产和经营管理中举足轻重,因为信息技术设备专业管理要求高,所以各铁路局(铁路集团公司)都成立相应的信息技术所对其信息设备进行专业管理。由于信息技术设备数量多、设备分散,投资金额从几千元到上亿元不等,有的建设多年才能完成,所以加强铁路信息技术设备管理尤其重要。为此,信息技术所必须从计划的落实、任务的实施、项目的完成、设备的保管、资产的报损等方面着手,加强对信息技术设备实行全过程的控制管理。
一、上报项目建议书,落实更新改造计划
铁路更新改造计划实行统一规划,铁路总公司和路局分级管理。铁总和路局根据铁路发展规划和安全生产及经营管理需要,每年年中下达提报下年度更新改造建议计划,信息技术所根据生产实际,以保障运输安全、提升服务质量、拓展经营服务范围、促进增收节支、职工生产生活设施建设等为重点,按轻重缓急的原则,在上级规定期限内完成项目立项申请建议书,并及时提报下年度更新改造建议计划。除铁总管辖项目外,路局根据实际需求和资金情况,履行完审批和备案手续后,下达信息技术设备的更新改造计划给信息技术所。信息技术所必须明确技术管理部门负责做好项目的组织协调和立项申请等工作,并做好与上级的沟通对接,确保计划的落实。
二、确定项目责任人,实施更新改造任务
根据路局下达的更改计划,技术管理部门报请信息技术所领导批示,确定项目负责人负责对信息技术设备项目的采购、施工建设。零星采购电脑、打印机等不需安装的办公设备,由技术管理部门会同路局物资管理部门根据《中国铁路总公司物资采购管理办法》(铁总物资[2015]63号)和路局物资采购的有关规定主要通过公开招标方式采购;信息系统项目的实施,符合招标规定的,由技术管理部门牵头,项目负责人会同路局建设管理部门或物资管理部门根据《中国铁路总公司铁路建设管理办法》(铁总建设[2015]78号)和路局工程管理的有关规定或物资采购有关规定,提交项目招标申请,并配合路局完成招标工作;对非招标的项目,进行相关的竞价或商务洽谈程序。通过招标或其他方式确定采购单位或施工单位后,项目负责人负责草拟采购或施工合同,技术管理部门负责合同的会签,在报送路局审核流程完成后,项目负责人负责完成与合同对方当事人的签字盖章。合同的签订,预示着更改任务的正式实施。
三、加强项目监督制,完成更新改造项目
项目负责人根据合同规定的时间要求,合理安排好项目的计划进度,向技术管理部提交项目实施计划表并每月提交项目实施月报表,有序推进项目建设,确保年内下达计划的执行。在质量方面,信息技术设备专业性强,技术要求高,除规定项目有监理公司监督外,项目负责部门也要对施工单位进行质量把控,把好质量关,特别是一些隐蔽工程的施工,必须有严格的记录。技术管理部门负责协调和监督项目实施进度和合同的执行情况。同时,技术管理部门根据设备和项目验收报告,办理固定资产验收、移交记录,完成信息技术设备的组固工作。
四、明晰设备保管人,保证资产账实相符
新建(购置)固定资产验收交接记录,应由交接双方经办人、财务主管、技术主管、单位主管签章,设备保管人签字确认并双方单位盖章,技术管理部门据此对设备进行编码、贴上标签并录入相应的资产管理系统进行实物管理;财务部门据此由更新改造在建工程项目列转固定资产账务管理并建立相应固定资产台账。根据《中国铁路总公司固定资产管理办法》,信息技术所必须建立健全固定资产的管理制度和内部控制制度,加强信息技术设备的实物管理、清查和检查。信息技术设备遍布铁路沿线机房、车站、站段、车间,办公等电脑设备涉及使用人员众多,如果管理不到位,很容易造成管理混乱,所以必须落实制度,明确设备的保管人员,防止设备的丢失。
五、维护设备安全性,按规办理资产报废
现代铁路,无论安全生产和经营管理,无不依赖信息技术设备,铁路客票系统、客专运营调度系统、铁路运输管理信息系统等一旦出现问题,将对整个社会造成不良影响。因此,维护铁路信息技术设备的安全尤其重要。信息系统设备,除了确保生产商质量保证、设备委外保修外,信息技术所相关的使用部门、安全部门、维修部门、技术部门均要定期不定期地对设备进行检查,发现问题立即整改。信息技术系统设备基本全天24小时不间断运行,设备损耗自然较大,所以要做好日常安全检查,按规定对系统进行备份,演练应急预案,确保设备安全运行。随着技术的发展,信息技术设备性能不断提高,设备更新换代快,对于使用逾龄、性能老化、故障频繁等设备,使用部门应及时提出,经鉴定部门进行技术鉴定,无法继续使用,且无修复价值确需报废的,应按规定程序办理报废。技术管理部门提醒用户对存有程序、数据或资料的计算机设备的存储介质进行清除,并负责设备报废报批的有关手续,财务部门作设备报废的账务处理。为加强铁路信息技术设备的管理,信息技术所必须严格按照铁总及路局要求,对信息技术设备的计划、施工、实物、安全等方面全过程的控制管理,更好地为铁路安全生产和经营管理服务,保障铁路运输大动脉的安全畅通。
参考文献:
信息安全管理计划篇5
1企业信息安全风险管理所存在的问题
1.1缺乏信心安全意识
许多企业管理层对信息安全认识上缺乏重视,信息安全防护意识淡薄。究其根本则是大部分企业认为信息安全无法给企业带来直接的经济效益,而且要进行信息安全管理就和购买保险一样,不进行安全保护也没有出现什么损失。此外,进行企业信息安全管理需要投入相应的资源和时间,在业绩压力、资源限制的影响下,业务部门并不愿意将更多的精力用于保护信息安全上面。
1.2缺乏相应的信息安全组织架构
许多it企业都存在信息安全组织架构不明确的情况,仅设立了类似兼职的职位——信息安全主任,而且是设立在it部门内部,这在很大程度上减小了信息安全组织的执行力和管理能力。发生信息安全事件后,企业通常都是临时从业务部门或者it部门调配人手来建立项目小组,然后依照信息安全的新要求找出解决方案,问题解决后就会解散项目小组,所建立的流程也随之不会继续执行、跟进。信息安全没有进行定期的评审和审计,也就无法形成能够不断改进的信息安全机制,这就造成了在安全计划上做了许多重复性工作,增加了安全计划的成本,不利于效率的提高。
1.3不完善的信息安全监管机制和内部控制
在企业文件的控制管理系统中,it信息系统管理操作程序、管理指南都没有归入里面,也就不在其监管范围内,这也就导致相关流程的执行情况和指南、版本控制无法形成实质监督,以至流程同实际不符,出现不严格执行所制定流程的情况。此外,相关企业在历史数据的管理、储存上比较缺乏,业务数据记录不全面,如若出现问题,就很难对业务数据进行调查和恢复[1]。
2企业信息安全风险管理措施
2.1策划和准备
此阶段主要包含三个步骤:第一步建立安全风险管理开端。取得业务部门、管理层的大力支持,明确当前企业信息安全风险管理具体完善情况,明确职责范围,制定明确的风险管理计划。第二步在风险评估范围上必须进行确定。企业需结合风险管理实际完善情况做出评定,以此来对风险评估和管理划分业务区域,便于执行。第三步制定风险行动方案。在制定保护策略上,必须对企业信息风险的保护方法和具体处理手段做出相关规定,可在安全技术和风险管理上制定相应的策略。
2.2部署和执行
企业在实施安全控制计划过程中,所制定的合理步骤都必须切实执行,这就要求风险行动方案中的相关负责人对所计划的活动需认真安排和执行。此外相关负责人要多与员工进行沟通,行动计划的执行依据授权对员工进行分配,能有效减少员工在项目实施中的抵触情绪。让分配到行动计划任务的员工及其管理者明确了解此项工作的优先级为高,并通过实施安全培训使其重新确定工作的优先级,以合并他们的行动计划活动。另外,应该建立相关的保障机制,为行动计划的实施提供足够的资金、设备和其他必需的资源,确保行动计划的顺利进行。
2.3检查和监控
企业在对风险进行管理的过程中,需要成立专业化的监督小组,该小组可以对信息安全风险管理进行检查以及监控。进行该项操作的目的有两个方面。第一方面就是可以通过监控措施和方法对企业的安全信息进行收集,另一个方面就是采集企业安全环境发生改变的信息,这样便于第一时间对新风险进行预测。该小组获取信息后,可快速将这些信息反馈到上一级,从而方便领导决策层了解最新的安全动态[2]。
3对我国信息安全风险管理的未来展望
对于信息安全领域的专业人士来讲,信息安全风险管理可从下面几个方面进行突破。
3.1采用创新方法处理关键技术问题
衡量风险的一条重要途径就是对风险进行量化。在风险管理中,非常关键和基础的是风险计量和数学模型。对于评估的对象和度量的标准需要妥善解决。在对信息系统进行安全风险评估的时候,第一步骤就是要构建风险评估对象模型,使模型能够适应各种系统。在这个过程中,有一些比较优秀的数学工具可以提供分析和模拟。当前,在对复杂系统进行建模时,需要有构成国家关键信息基础设施的重要信息的大规模系统的能力。
3.2根据实际问题,挑选合适的选择标准
在风险评估中,测度体系非常重要,它是风险评估的关键环节。在这个过程中,需要解决好三大问题:首先是测量问题。其次是可用性问题,最后是可操作和解释。
3.3根据实际,处理好评估方法和测试工具问题
在信息系统安全风险评估中,其主要研究对象是传统风险评估方法在信息安全评估中的应用、评估新技术研究、针对特定应用专题的风险评估方法和风险评估方法工程应用。在进行风险评估的过程中,评估工具是必备的。目前,在国内信息系统安全风险评估工作中,测试数据没有实用技术支撑,这已经成为对我国信息安全风险评估进一步发展的障碍[3]。
信息安全管理计划篇6
关键词:电子政务;信息安全;改善
信息安全管理体系是信息安全保障的重要支撑环境,由于信息管理涉及到人事、组织机构、法律法规和技术标准等各方面,所以要采用系统管理的思想进行构建。做好信息安全工作既需要好的组织体系,也需要好的管理模式,两者缺一不可。建立信息安全管理体系要从符合法律法规、组织利益的角度,注重整体性原则,涉及电子政务体系的各个层面,建立电子政务信息安全保密管理的整体框架。根据现有电子政务的实际情况,为提高信息安全保密意识、强化信息安全管理,要制定统一、可行的管理制度并在整个网络系统中贯彻施行。具体来说,可从以下几个方面进行:
1.建立有效的信息安全管理机构
信息安全管理涉及方面多、范围广,需要政府各部门各单位与社会各单位各阶层之间加强沟通合作,需要有统一的领导管理机构,以保证异常情况下能迅速反应并制定防范措施。我国已经建立了中央网络安全和信息化领导小组,负责统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息,但还未有具体文件谈及如何加强完善互联网的管理体制,这方面还有待具体措施的落实。可通过建立分工、责任更为明确的主协部门,以加强各单位之间的沟通与合作,现实情况下可采取以国家安全机关或公安机关为中心,其他部门互相协作的方式,进行联合管理。
2.统一规划、同步建设信息安全系统
“凡事预则立,不预则废”,为避免重复建设,保障安全,在信息化建设初期,就应当认真遵照国家信息化领导小组制定的总体规划和统一部署,整体规划信息安全工作,统一安全标准和规范,并严格贯彻落实。处理好发展与安全的关系,综合比较安全成本和效益,制定完善电子政务信息安全管理体系。强调建立分层防御的信息安全保密管理体系,可让具备资质的信息安全机构提供信息安全规划与实施方案,从全局性、整体性出发,从信息流经的各个系统层面进行安全管理防御。建设阶段与运行维护阶段是电子政务信息安全系统生命的两个阶段,而从管理学的角度,电子政务信息安全管理则包括两种管理类型――项目管理和运营管理。信息安全系统的建设是先于系统的维护的,因此系统建设的好坏直接影响着系统的健壮性以及系统应用后的运行和维护。因此,电子政务安全项目的规划对整个电子政务系统安全程度起着重要作用。
一是正确划分政务内网与政务外网,重点抓好内网建设与应用中的保密管理。在电子政务建设的初期,有关政务部门就应与保密工作部门相结合,做好整体规划,根据实际需要,正确界定网络与非网络,做好政务内网与政务外网的划分,正确界定信息资源的“密”与“非密”,以正确把握信息的保密与公开。政务内网安全保密系统的规划与建设要与政务内网信息系统同步规划、同步建设、同步运行,要做为政务内网建设的重要组成部分,并保证进行安全保密建设所需的经费。政务内网的设计与建设要选择具有信息系统集成资质的单位来承担,同时要从实施能力、安全理念和保密制度等多方面对信息系统集成资质单位的安全资质进行严格审查,加强监督管理,掌握项目管理的主动权。有关政务部门要正确掌握建设标准,做好内网建设安全保密方案的设计和科学论证,尽量降低由于方案不足而带来的安全风险。政务内网信息系统投入使用前要通过国家保密行政管理部门授权的测评机构的安全保密测评,并通过具有审批权限的保密行政管理部门审批之后方能存储、处理国家秘密信息。
二是做好电子政务项目的规划。我国电子政务安全建设中,现有文件大多是纲领性的,缺少对具体设计和实施工作有指导意义的总体规划,因此,在信息安全问题上,我国应成立一个权威性的信息安全管理机构,建立与国家信息化进程相一致的信息安全工程规划。规划要体现在对建设目标的明确性、项目风险的预测上,合理的规划是保证电子政务项目建设得以顺利实施的基本条件,可以避免项目进行中遇到的问题。处理好安全需求分析、项目实施安全管理、项目的交付与使用等各个方面的问题,优化电子政务项目安全管理流程。(一)对项目安全做好风险评估。由于所处环境的多样性及信息技术的复杂性,电子政务系统面临着多方面、多层次的安全威胁,主要包括物理安全风险、网络层安全风险、通信传输风险、区域边界风险、管理安全风险以及其他可能危及政府信息系统中信息的保密性、完整性、可用性和系统正常运行的风险等。有效的安全风险评估,能保证安全系统项目建设的顺利进行,也可为消除安全系统所面对的威胁提供预案。(二)制定、实施策略。根据项目安全风险评估,制定工程实施中的安全策略。首先选择是降低或是避免或是转嫁或是接受风险的风险管理方式,再选择控制的方式和明确风险控制目标。安全策略包括电子政务安全等级和安全域的划分、安全问题的报告、对应安全等级措施的要求、应急措施和紧急情况的处理,可通过建立制度、实施安全工程等执行。(三)制定和执行标准。安全标准包括软硬件、人员、数据备份、系统物理安全和系统安全等,它是以政府信息系统具体的安全等级为对象制定的。电子政务安全策略是安全标准制定的指导思想,安全标准是电子政务系统的产品和设计的参考依据。安全标准执行的方式是实行认证制度,为确保电子政务信息安全,可建立相应的测评体系。(四)安全审计。安全审计贯穿于电子政务系统的整个过程,包括外部审计与内部审订。外部审计是为了检查国家相关标准和政策是否得到落实;内部审计则指单位本身为确保信息系统相关技术和策略动态发展,核查系统的运行状态、软硬件、人员操作记录及相关信息。(五)应急和响应。其作用一是明确响应主体,做好预防,以便在发生安全事故时,能采取有效措施降低损失,一是为了便于事故发生后的处理,及时加固安全薄弱环节。
三是有完善的安全系统设计。电子政务系统的主要目的是为政府及社会公众提供优质、透明、高效的服务和管理,在保证电子政务系统安全的同时,还必须考虑开放性和应用效率。安全系统设计阶段是将安全需求进行细化阶段,此阶段主要是设计和分析系统的逻辑结构和物理结构。要从不同层面对安全系统进行设计:从安全特性上,安全设计包括身份鉴别、数据保密、数据完整性、访问控制、防病毒等;从系统层面上,安全设计包括网络安全、数据安全和系统软件安全等。
3.制定切实可行的规章制度
信息安全管理计划篇7
关键词:铁路;信息系统;安全隐患;对策
1、铁路信息系统建设现状
经过30多年的发展,铁路信息系统从无到有、从小到大,从单机版本到多层次的网络应用,全路信息技术人员总数已达5500多人,拥有大、中、小型计算机1600余台,微型计算机近10万台,建立了覆盖铁道部、铁路局和主要站段的计算机网络及传输网、交换网、数据通信网3大通信基础网,先后开发了以列车调度指挥系统、客票发售与预订系统、铁路运输管理信息系统为代表的一大批应用信息系统,铁路信息系统建设取得了很大成就。
列车调度指挥系统(trainopera-tiondispatchingcommandsystem,tdcs)是一个采用现代信息技术改造传统落后的调度方式,建立集通信、信号、计算机网络、数据传输、多媒体为一体的3级4层(即铁道部、铁路局、原铁路分局3级再加上基层信息采集层)分散控制、集中管理的运输调度指挥系统。tdcs按照计划调度台编制的日、班行车计划,生成和下达阶段计划,并实时自动采集列车运行信息及现场信号设备状态信息,自动调整滚动阶段计划,实现对列车运行的实时追踪、实时调整和集中透明指挥。经过10多年的建设,哈尔滨、呼和浩特、柳州、成都、兰州、乌鲁木齐、青藏公司7个铁路局(公司)全面完成tdcs的建设,郑州、济南、上海、武汉、昆明铁路局主要干线实现了计算机自动绘制列车运行图。
客票发售和预订系统(ticketreservationsys-tem,trs)是覆盖全国铁路的大型计算机网络应用系统。trs由铁道部客票中心、地区客票中心和车站客票系统3级构成,车站售票系统主要负责售票的实时交易服务,地区客票中心主要负责以座席为核心的调度控制和客运业务管理,铁道部客票中心主要负责全路客运的协调管理、营销分析,并保障全路的联网售票。目前全路已建成铁道部客票中心1个、地区客票中心22个、计算机售票车站2183个,联网车站1385个,通过联网售票系统发售的客票约占全路客运发送量的90%以上、客票收入的95%以上。
铁路运输管理信息系统(transportationmanagementinformationsystem,tmis)是一个规模庞大、结构复杂、功能众多、实时性强的网络型计算机应用系统。1994年开始实施,2004年底tmis各子系统全面建成。整个信息系统在tmis网络平台上主要架构货票制票、列车预确报、车站综合管理、货运营销与生产管理、集装箱管理、大节点追踪、运输调度7大系统,基本覆盖了铁路货运生产的全过程。1)货票制票系统。货票制票系统是在全路日均装卸超过60车的大、中、小型货运站和所有车务段范围内实现微机编制货票,并通过计算机网络上报给铁路局软件的系统。目前全路2674个车站实现了微机制票,制票率达99.27%,路局货票信息入库率近100%。货票制票工程不仅实现了货票信息的实时处理,满足了铁路管理的需要,同时还为财务、收入、运输统计等部门提供了所需信息,实现了资源共享。2)列车预确报系统。列车预确报系统利用计算机网络实现车站发报,路局、铁道部按照既定原则转报的自动处理过程。路局、铁道部建立预确报信息库,为相关部门提供一系列统计、分析和查询功能,可供其它信息系统共享。目前全路开通预确报系统的车站已达912个,覆盖了全路所有的编组站,大、中、小型区段站和主要中间站以及所有的路局调度所。列车预确报系统的投入运行,为运输调度、车辆追踪奠定了良好基础。3)车站综合管理系统。车站综合管理系统是将货运管理、现车管理、集装箱管理、货运制票、营销计划、货运安全等功能融为一体的信息系统。目前已在全路1230个大、中、小型车站建成并投入运用。其功能涵盖车站作业生产和管理的各个环节,用现代管理取代了经验管理,对车站压缩列车中途停时,加速车辆周转,降低劳动强度,提高运输效率,发挥了重要作用,实现了铁路货车及货物原始信息的收集和共享。4)货运营销与生产管理系统。货运营销与生产管理系统主要包括货运计划和技术计划两大系统。货运计划系统在全路1487个货运站全面投产,完成货主提报的货运计划的受理,并通过网络将受理的货运计划原提实时上报铁路局、铁道部,各级按规定的权限对提报的货运计划原提进行审批并将审批信息自动下达。所有原提和批准信息在铁道部集中建库,为货源原始信息的统计分析和货运营销策略的制定提供依据。技术计划系统利用已批准的货运计划信息,编制车辆运用计划,通过合理安排各区段车辆,提高车辆运用效率和铁路运输能力,压缩铁路运输成本。5)集装箱管理系统。集装箱管理系统在全路600多个集装箱办理站投产使用,通过网络实时采集集装箱装车清单、卸车清单、空箱回送清单和集装箱运输日况表等信息,在铁道部按箱号建立集装箱动态库,通过与车号自动识别系统信息相结合来掌握集装箱运行位置。6)大节点追踪系统。根据车号自动识别系统实时采集的机车、车辆的车号、车次、属性和位置等信息,结合预确报、货票、集装箱等系统提供的信息,实现列车、机车、车辆、集装箱和货物的追踪。使运输调度指挥人员能及时、准确地掌握列车运行状态、车辆分布和使用情况,更有效地组织运输生产、进行车辆的调度和管理。同时可面向社会,为货主提供及时的信息服务。货车追踪系统已在全路投入运用,并在铁道部、铁路局分别建立车辆、列车、机车、集装箱的动态库、轨迹库和历史库,提供各种统计和分析,为铁路各级管理部门提供辅助决策支持。7)运输调度信息系统。铁路调度在管理上体制上由铁道部、铁路局和站段3级构成,在业务分工上,分为计划调度、列车调度、机车调度、货运调度、客运调度和统计分析等。
2、铁路信息系统面临的安全隐患
铁路信息系统建设虽然取得了很大成绩,但还面临一些安全隐患,主要是计算机病毒和黑客攻击。
2.1计算机病毒
计算机病毒是一种人为制造的在计算机运行中对计算机信息或系统产生破坏作用的程序。它并不独立存在,而是寄生于其他程序之中,隐蔽性很强,只要带病毒的电脑在运行过程中满足设计者所预定的条件,病毒便突然发作,破坏系统资料;计算机病毒的侵入在严重的情况下,会使网络系统瘫痪,重要数据无法访问甚至丢失。计算机病毒的主要特点主要表现在以下几方面:一是传播速度快,制毒周期短。1995年全世界平均每星期有10多种新病毒,至1999年平均每天出现6种新病毒。目前,全世界平均每隔20分钟产生一个新病毒,制毒周期明显缩短;二是扩散范围广,感染途径多。计算机病毒的传播途径不仅可由磁盘和光碟的读、写操作感染计算机,进而蔓延扩散,而且还可借助网络广为传播;其传播新途径有网络中的磁盘共享、网络中的共享文件夹、网络服务器访问、电子邮件等;三是种类繁多,数量巨大。计算机病毒种类以几何数增长,其活体病毒达14000种,病毒机理和变种不断演变,从最初的简单引导型、文件型或混合型发展成多形性、欺骗性、非文件型病毒;四是破坏严重,损失巨大。以cihv12病毒为例,在每年4月26日被触发后,对被感染计算机的bios芯片和硬盘驱动器发起攻击,将硬盘上最起决定性作用的部分用垃圾代码覆盖,同时,试图改写bios。一旦bios被破坏,系统将由于无法启动而不能使用,造成系统崩溃,甚至损坏硬件,构成对计算机毁灭性的打击。如果铁路信息系统感染了破坏力巨大的病毒,可能会造成巨大的损失。
2.2黑客攻击
黑客是网络中的一个复杂群体,其对的安全威胁主要包括发现和攻击网络操作系统的漏洞和缺陷,利用网络安全的脆弱性进行非法活动,如修改网页、非法进入主机破坏程序,窃取网上信息,进行电子邮件骚扰,阻塞网络和窃取网络用户口令等。其主要特点:一是手段多样,作案隐蔽;黑客采用穷举法,借助电脑和简单程序,在较短时间内逐个查验;启动破译和监听程序等,以盗窃口令和密码,修改、增删、破坏系统功能,甚至在远端控制整个系统使用权,从而制造不安和混乱;二是预谋作案,造成的经济损失大。随着信息技术的迅速发展,所有与互联网连结的计算机都可能遭受黑客的攻击。如果铁路信息系统遭到黑客攻击,其造成的后果将不堪设想。因此,必须采取有力措施,确保铁路信息系统安全。
3、保护铁路信息系统安全的建议
3.1反计算机病毒措施
对计算机病毒运用“预防为主,防杀结合”的战略,以预防、检测、清除等防治手段综合治理。首先查找病毒来源,堵塞传播渠道,把病毒拒于千里之外。例如,将所有exe和com文件赋予“r”只读属性;接收远程文件输入时,勿将文件直接写入本地硬盘;;严禁随意下载软件和非法拷贝文件;不使用来历不明的软盘、u盘,不轻易打开来历不明的邮件及其附件。其次,利用杀毒软件对付已侵入的病毒,例如,kv300系列、瑞星杀毒软件等,将其封杀在最小范围,不致危害整个铁路信息系统。注意对杀毒软件的升级工作,提高消毒能力;还可采用手工杀毒方法。再次,安装具有实时监控、报警功能的防杀毒软件,合理设置硬盘分区,对重要文件备份等。
3.2安装防火墙,防止黑客攻击铁路信息系统
对于黑客而言,他们的主要目的在于窃取数据和非法修改系统,其手段之一是窃取合法用户的口令,在合法身份的掩护下进行非法操作;其手段之二是利用网络操作系统的某些非法但不为系统管理员和合法用户所知的操作指令。目前,安装防火墙是一种比较有效的防止黑客攻击的手段。防火墙技术是近年来发展起来的一种保护计算机网络安全的访问控制技术。它在要求保护的内部网络与开放系统之间建立安全站点,阻止对信息资源的非法访问和外部不可预料的潜在破坏,也可防止内部网络重要信息向外泄露,在内外网间发挥隔离、检查、有选择有限度的沟通作用,实现网络安全策略。一般来说,铁路信息系统内部网络相连的各台计算机上,应该安装防火墙,以防止公司内部数据的外泄。
3.3加强人才培养和培训的力度
信息系统的安全性很重要的一点是人员素质,管理人员的安全意识和技术水平直接影响到整个系统的安全性。目前,已有许多成熟的安全技术、安全产品,但能否让这些技术和产品在实际应用中充分发挥作用,关键还在于我们如何规划、组织及配置,这些都是和管理人员与工程技术人员的素质分不开的,因此,应该加强人才培养力度,根据信息安全的特殊性和各种不同人才需求层次,进行有针对性的培养和培训,为确保铁路信息安全,培养一支实力强劲的专业队伍。
参考文献:
[1]马建军,许红,杨浩.铁路信息化发展战略规划研究[j].交通与计算机,2006年第3期.
[2]杨生强.防火墙的安全机制研究[j].航空计算技术,2000年第3期.
信息安全管理计划篇8
近年来随着网络信息技术的迅猛发展,信息技术被广泛应用于各个领域,在人们的日常生活与工作中占据着重要的地位,信息系统的应用已经深入到了社会的各个方面,大数据时代的到来引发了人们生活和工作方式的变革,信息系统的建立完善了各领域的工作结构,但目前信息系统存在一些安全隐患等待解决。本文从信息系统基础设施存在的一些问题出发,分析了信息系统建立安全保障体系的重要性,针对加强信息系统安全保障提出了几点合理的措施,以供参考。
【关键词】信息系统基础设施安全保障措施
在全球信息化飞速发展的今天,信息技术逐渐替代了传统的工作方式,为人们的生活和工作提供了巨大的便利条件,提高了工作效率,加快了文化更新的步伐。其中信息系统是一个集复杂性和多样性于一身的庞大系统,这也决定了基础设施的多样性,针对不同基础设施的安全措施也不尽相同,相关部门要做好信息系统基础设施的运行维护工作,从宏观认识安全保障对于信息系统的重要性。
1信息系统基础设施存在的安全问题
计算机信息系统分布广泛、结构开放,是实现资源共享的依靠,但是信息系统也面临着很多来自内外部的的威胁,对系统基础设施易造成一定的破坏,信息系统面临的主要问题表现在以下方面:
1.1基础设施面临的物理风险
信息系统基础设施多是由一些硬件组成,常见的物理风险会对信息系统产生很多不良影响,例如一些自然灾害如水灾、火灾、地震、台风等灾难会直接破坏信息系统的硬件设施,对数据存储媒介物也会产生破坏的威胁;电力供应不足或中断也是影响信息系统基础设施的重要因素;静电和强磁场可能会对硬件设备产生损坏;另外存储介质、传输介质、计算机设备和网络设备自身的老化问题也是一种威胁。
1.2计算机病毒和非授权存取
计算机病毒是对信息系统攻击性很大的一种病毒,一般病毒都以网络传播为主,实现对计算机信息系统的恶意攻击,但病毒的是计算机技术发展到一定阶段的必然产物,因为计算机病毒具有传染性和破坏性,一旦侵入信息系统,会破坏基础设施,还可能盗取重要数据。其次,网络黑客的攻击也是影响信息系统的重要因素,黑客通过窃取信息系统账户和秘钥口令等,避开访问机制,进入到信息系统进行恶意窃取,这对于信息系统的基础设施也带来一定的影响。
1.3信息系统基础设施管理不到位
目前,一些信息系统缺乏规范的管理机制,相关的法律法规也不够健全,管理机制有待完善,信息系统管理是否规范、制度是否落实等会影响信息系统的安全性。例如计算机信息系统硬件的存放位置和环境,相关操作人员是否按照正确流程操作设备设施,这些都是影响基础设施的问题,要避免因管理不善而导致系统的瘫痪等安全问题。
2建立信息系统基础设施安全保障体系的重要性
信息系统是伴随着网络通信技术的发展而产生的,早期信息系统一般都是单机工作,不需要联网,用简单的应用软件处理信息;后来出现联网工作,实现小范围的局域网络设置,实现局部信息共享,协同处理一些信息;随着计算机技术的发展,目前信息系统逐渐扩大规模,信息数据内容繁杂、实体数量众多、网络结构复杂、信息流方式多样,信息系统逐渐完善,但也十分复杂。
信息系统的安全问题是人们关注的重要问题,信息系统规模的不断扩大,使得系统结构日益复杂,信息的共享程度越高,公开化越大,面临的安全问题就越多,安全隐患也随之增加,涉及到信息安全、网络安全等多方面,信息系统的保密性、完整性和可控性也逐步有了新的要求。当今社会,信息是一种战略资源,军事、科技、文化和商业各个领域信息都是非常重要的,今天,信息传播要实现可控、共享和增值,因此,建立信息系统的安全保障体系十分必要,目前,信息安全问题已经成为社会的焦点之一,我国要立足本国,制定信息系统的安全策略,形成信息安全的产业链,这是关系国际民生和国家安全的大事。
3强化信息系统基础设施安全保障的措施
3.1加强信息体系管理队伍建设
信息系统的维护需要靠一大批专业的、高素质的技能人才,人的因素是任何一项工作中最重要的因素,相关部门要提高信息系统管理人员的综合素质和安全意识,提高其维护信息系统的技能和能力。首先,要建立信息安全领导组织。该组织由高层领导和相关业务部门负责人组成,对安全的重大问题做出决策,并监督制度实施。其次,要对管理人员进行考核,和培训,根据其工作职责选择具备专业技能的管理人才从事信息系统的安全维护工作。最后,要与安全维护人员签订工作协议和保密协议,确保网络信息安全。
3.2建立规范的安全计划
信息系统是一个庞大的系统,在其安全保障体系建立前必须做好系统的规划,制定一系列的计划和策略安排,安全计划的主要内容要包括安全组织、管理人员、规章制度等,计划的制定有利于降低信息系统的风险。首先,建立完整的信息安全计划,相关部门要制订一套清晰完备的策略方案。其次,要建立规范的安全制度,约束安全管理人员的行为,对涉及国家机密信息的工作人员,要用严格的制度进行约束。最后,依照安全操作指南和设备操作流程,针对不同的基础设施,制订相应的技术操作指南,对信息安全管理人员提出明确的技术要求和操作标准。
3.3运用多种技术实现基础设施维护
网络信息系统的安全技术很多,包括保护、检测、审计等,防御领域覆盖网络基础设施和计算机环境。首先,要建立网络边界防御体系,用物理办法实现边界隔离,在系统内部也要进行界限划分,确定不同设备的防护等级。其次,完善基础设施防御体系,提高网络骨干设备的安全性,保证远程管理的安全性等,通过技术手段建立防盗机制,对重点服务器加强维护和管理,对机房加装电磁屏蔽设备,加强主干线路的安全防护,保证数据安全。
3.4建立信息系统检测机制
信息系统安全管理要定期进行系统测试和应急演练,建立应急预案措施,建立信息系统安全保障体系。信息安全检测是有效测评风险的环节,可以对信息系统面临威胁的等级做一个清晰地划分,以便找到问题及时处理,风险评估及等级测评是信息安全管理的基础环节,通过测评,对系统中的业务活动、网络和信息系统脆弱性、和隐患进行分析,通过有针对性的方案进行管理和解决。
4结语
信息系统基础设施的有效维护是实现信息系统功能最大化的有效措施,对于推进各项工作和社会发展都有着不可忽视的作用。
参考文献
[1]王洋,刘海涛.简析计算机硬件安全的全面维护[J].中科技博,2012.
[2]李全喜.计算机网络安全漏洞与防范措施[J].计算机光盘软件与应用,2012(02).
信息安全管理计划篇9
第一条为规范*区政府信息工程项目的管理,根据国家有关的法律、法规和《深圳市信息工程建设管理办法》,结合*区实际,制定本办法。
第二条*区政府信息工程项目均适用本办法。但法律、法规另有规定的除外。
本办法所称的*区政府信息工程,是指部分或全额利用*区信息化建设资金或其它财政性资金建设的以计算机和通信技术为主要手段的信息网络、应用系统、信息资源开发等项目的新建、扩建、改造和维护工程,包括在信息工程项目实施过程中由于方案变更而增加的工程。
第三条*区政府信息工程项目包括网络基础设施建设(含光纤铺设、网络布线、连接设备、计算机等相关设备)、电子政务应用、电子商务应用、数据交换、数据库、安全系统、各类平台建设及应用系统等。
第四条区信息工程项目的管理模式是:各单位提出项目申请,信息管理部门负责统筹和技术审核,计划部门负责立项,财政部门负责资金安排,审计部门负责工程审计,监察部门负责廉政纪律的监督。
第二章信息工程项目建设的组织机构
第五条*区信息化领导小组是*区政府信息工程项目建设的决策机构。主要职责是:
(一)审定区信息化建设规划及年度工作计划;
(二)审定区政府信息工程项目年度计划安排;
(三)审定区信息化建设和管理的规范性文件;
(四)协调区信息化建设的重要事项。
第六条*区信息化办公室(以下简称区信息办)是*区信息化建设的主管部门,主要职责是:
(一)编制区信息化建设中长期发展规划和年度计划;
(二)制订和实施区信息化建设和管理的规范性文件;
(三)每年制订和《*区党政机关、事业单位办公电脑设备配置标准》;
(四)负责全区性信息工程项目的协调;
(五)负责信息工程项目的技术调研与评审;
(六)负责信息工程项目的验收。
第三章信息化建设规划
第七条编制区信息化建设总体规划,应当与深圳市信息化建设的总体规划相一致,并符合区国民经济与社会发展计划的要求。须报市批准的,经市有关部门批准后实施。
第八条区信息办负责区信息化建设的中长期规划的制订。规划的制订在征求各单位的意见后,提交信息化领导小组审议,经区政府常务会议批准后实施。
第九条制订信息化建设规划必须坚持统一规划、统一平台、统一标准、统一管理的原则,实现系统互联互通、资源共享,避免重复建设。
第十条区信息化建设规划制订后,各单位的信息化建设规划必须围绕区信息化建设的总体规划来进行,必须符合区信息化建设的相关技术标准,并报区政府审批。
第四章信息工程项目资金
第十一条区政府信息工程项目资金是指列入年度信息工程项目投资计划的资金,由区财政部门在编制年度财政预算时统一安排。
第十二条区信息办在对全区信息化建设需求调研的基础上,提出下一年度全区性信息工程项目的资金规模,报区财政部门审批。
第十三条全区性信息工程项目前期发生的费用,建设单位报计划部门立项后,由区财政部门拨付前期费用。其他项目的前期费用原则上由建设单位垫付,待项目正式立项后,费用纳入建设成本。
第十四条建设单位不按规定擅自开发建设的信息工程项目,区计划部门不予立项,区财政部门不予拨款。
第五章信息工程项目的申报、立项及审批
第十五条信息工程项目建设必须按照以下程序进行:
(一)区信息办每年第三季度发出编制下一年度信息工程项目计划的通知。各单位根据业务需求填写《信息工程项目立项申报表》,并提供技术方案、实施计划、资金规模等,于每年的12月1日前报区信息办;
(二)区信息办负责对各单位申报项目的组织技术调研和评审,拟订区政府下一年度信息工程项目计划;
(三)区计划部门将根据区信息化建设的总体规划和区信息办拟定的区政府下一年度信息工程项目计划,拟订下一年度区政府信息工程项目投资计划;
(四)区财政部门对区信息办拟订的区政府年度信息工程项目计划的资金预算进行审核,拟订区下一年度信息工程项目资金计划;
(五)区计划部门和财政部门分别将区下一年度信息工程投资计划和资金安排计划提交区信息化工作领导小组审定,并经区政府常务会议通过后,由区计划部门给项目申报单位发出《信息工程项目立项书》,区财政部门安排年度信息工程项目资金,并送区监察部门备案。
第六章信息工程项目招标
第十六条购买10万元以上的设备、软件必须进行政府采购,投资额在20万元以上的信息工程项目必须进行招标。具体办法按照《中华人民共和国招标投标法》、《深圳经济特区政府采购条例》、《深圳市信息工程建设管理办法》、《<深圳市信息工程建设管理办法>实施意见》等有关规定执行。
第七章信息工程项目合同
第十七条建设单位自签订合同之日起7日内应向区信息办提供合同正本一份,区信息办将对项目建设情况进行全程跟踪。
第十八条建设单位与中标人签订合同时应包括以下内容:
(一)项目的总体方案、技术参数、质量及安全要求;
(二)项目总金额及付款方式;
(三)工程项目实施细则、人员及进度安排;
(四)项目的维护费用;
(五)工程项目违约责任和争议处理;
(六)人员培训及费用;
(七)版权及成果归属;
(八)工程验收标准。
第十九条信息工程项目合同不允许转包。
在信息工程合同中应当体现前款内容,并约定相应的违约责任。
第八章信息工程项目监理、验收、审计与监督
第二十条区信息工程项目实施过程中,必须实行严格的信息工程项目监理制度。建设单位应与监理单位在项目实施前签订监理合同,并报区信息办备案,具体按照《<深圳市信息工程建设管理办法>实施意见》执行。
第二十一条建设单位在工程完工后必须进行工程验收。工程验收由区信息办负责,区信息办可委托*信息咨询开发中心或有关权威机构完成,所需经费在区年度信息工程项目资金计划中予以安排。
第二十二条凡政府投资的信息工程项目必须进行审计。具体标准按深圳市信息化办公室每年的《深圳市信息系统工程造价指导书》执行。
第二十三条区监察部门对区信息工程项目的项目评审、资金使用、工程招标、工程投标等过程进行监督。
第二十四条信息工程项目的项目法定代表人或项目负责人、施工单位、监理单位、质量监督单位和建设主管部门须与区纪律检查委员会、区监察部门共同签订《反腐保廉敬业守法合约》。
第九章信息工程项目技术标准
第二十五条信息工程项目的设计、施工应执行国家、行业及地方规定的强制性标准,确保建成后的信息网络、应用系统能够互联互通、资源共享。
第二十六条信息工程项目应符合区信息化建设有关技术规范和安全认证标准。
第十章信息资源的管理与使用
第二十七条区信息资源包括光纤管道资源、信息网络资源、数据库资源等。全区性的信息资源由区信息办负责管理。各单位需要使用相关资源时应向区信息办提出申请;各单位的信息资源应在一定的范围内允许其它部门共享。
第二十八条各单位在开发、建立相应的应用系统时,除涉及国家安全、国家另有规定外,应当遵守以下原则:
(一)各单位在开发、建立相应的应用系统时,应建立在*区统一的网络基础平台和应用开发平台之上,并遵循已有的技术标准,充分利用区信息办已有的网络资源和数据库资源,采取服务器托管等管理模式;
(二)*区光纤管道资源由区信息办统一规划、统一管理;
(三)全区性的信息工程项目,由区信息办统一规划,*信息咨询开发中心组织实施;
(四)各类应用系统的建设要充分利用*区电子政务平台,以实现各类应用系统的互联互通和资源共享。
第二十九条区政府对外公开的信息,应当允许社会组织和公民无偿地查询。
第三十条各单位信息工程项目必须建立和完善系统运行安全保障制度,并接受区保密部门、公安部门的检查和监督。
第十一章责任追究
第三十一条建设单位有下列行为之一的,责令限期整改,并依法追究违规单位主要负责人的行政责任,构成犯罪的,依法追究刑事责任:
(一)专项规划与总体规划有抵触的;
(二)未经批准擅自开工的;
(三)不按规定组织招标的;
(四)不执行有关标准的;
(五)验收不合格即交付使用的;
(六)违反国家有关信息安全保密原则的;
(七)其它严重违反本办法和有关法律、法规规定的行为。
第三十二条建设单位有下列行为之一的,责令限期整改,并依法追究违规单位主要负责人的行政责任,构成犯罪的,依法追究刑事责任:
(一)违法拨付建设资金的;
(二)违反程序批准立项的;
(三)违反国家有关信息安全保密原则的;
(四)其它严重违反本办法和有关法律、法规规定的行为。
第三十三条政府信息工程项目发生重大质量安全事故的,除分别依法追究建设、设计、施工、监理单位及其法定代表人、项目责任人和直接责任人的法律责任外,并依法追究有关行政领导人在项目审批、执行建设程序、干部任用和工程建设监督管理方面的行政责任;构成犯罪的,依法追究刑事责任。
第三十四条国家机关及有关单位的工作人员在政府信息工程项目建设过程中、、、索贿受贿的,依法追究其行政责任;构成犯罪的,依法追究刑事责任。
第十二章附则
信息安全管理计划篇10
关键词:信息技术;计划生育;档案管理;应用效果
随着信息化时代的发展,信息技术被广泛应用于各个领域和专业中。计划生育作为我国的一项基本国策,系统化的计划生育工作能有效解决我国人口众多的问题,提高我国人民的整体生活水平和生活质量,将先进的信息技术手段应用到计划生育档案管理中,有效促进我国计划生育工作的顺利实施。
一、计划生育档案管理中应用信息技术的重要性
1、提升计划生育服务技术
档案管理水平的高低是一个单位服务水平高低的真实体现,还能清楚的了解该单位发展的历程。计划生育管理部门通过信息技术形式来管理档案,是按照遵循政府服务部门发展要求的,按照法律制定管理工作的依据,加强档案管理的规范化是十分必要的。例如:以信息化管理档案能清楚的知道计划生育服务地和义务去计划生育手术的数量及基本情况,成为档案考核管理人员的重要依据。
2、切合档案信息化要求
在新的档案管理方式下,传统档案管理逐渐显现出其不足,如:档案以纸质形式存储,极易在储存过程中造成腐蚀、遗失。一旦发生上述情况,就会导致档案遗失,档案管理工作也会因此而打乱,提倡档案管理实行网络化和信息化,奖信息技术与档案信息化相融合,能促进计划生育档案管理工作的高效率、便利性,同时为档案管理员提供便利,实行更加优化的服务。
二、信息技术在计划生育档案管理中的应用分析
1、规范管理档案管理机制
将信息技术应用于计划生育档案管理中,为保证数据和网络在一个安全的环境内运行,需要制定相关规定,明确相关责任,建立起规范化管理体制。计划生育档案管理部门应根据国家制定的相关管理办法,建立健全计划生育档案管理规范、流程,按照严格的管理步骤,细化信息管理技术。加强对计划生育档案的传输,在传输过程中加强安全管理,保持档案管理的完整性。档案管理人员在实际工作中应保持高度的责任意识,保证档案管理的安全性与完整性。以信息化为手段,统一档案管理标准,在对档案进行收集、整理、编目与检索、统计以及保管等环节时均需统一的标准,标准化的管理能实现档案信息化管理的建立和网络资源共享。
2、提高档案管理人员的综合素质
人才是做好一切工作的保障,为促进信息技术在计划生育档案管理工作中的应用,应加强对档案管理人员的素质建设,首先,要让档案管理人员从根本意识上对档案管理工作起到重视,认识到档案管理工作与计划生育部门的密切联系,准确、详细的资料记录与广大计生家庭息息相关,从根本上提高档案管理人员对档案管理工作的重视,才能更加有效的开展档案管理工作。其次,还要加强对档案管理人员的计算机技能培训,全面提高档案管理人员的信息化技术水平,档案的登记、立卷、归档等都需要在计算机中呈现,这就需要档案管理人员具备交稿的计算机专业技能,只有这样才能保障档案管理工作的进一步开展。除上述措施外,计划生育档案管理人员还应具备较强的创新意识,在实际工作中培养创新能力,对于工作中存在的问题及时发现,及时解决,转变传统的管理思维模式,以新的方法和观念,积极探索。
3、统一档案管理设备
信息技术的应用是将档案信息转化为数字化信息,使不易保存的纸质信息转变为可以充分利用的电子档案资源,这就需要统一的管理设备和网络。让计划生育档案管理实现计算机化,在档案管理工作中利用信息技术,通过快速减速、编目、自动存储等功能,快速查找到需要档案信息,完善信息档案管理设备这一硬件条件,是实现自助化的前提。随着我国新生人口的增加,人口总量不断变化,城镇化的快速发展,人口流动性增强,计划生育档案的数量也随之增加,传统的纸质档案,既难以保存,所用纸张对环境造成了极大的破坏,档案管理机构面临着巨大的存储压力,利用光盘和磁盘储存能有效缓解存储压力,同时也减轻了档案管理人员的工作量,提高了档案管理的效率。在对档案信息进行存储时,还应保证数据的安全性,确保系统的安全性,防治不法分子钻漏洞盗取信息资料。将信息技术应用到计划生育档案管理中,能促进信息的高速传递,以创新的服务方式,充分实现信息的共享与交流。计划生育档案管理应不断适应当前经济社会发展的需要,以规范化、科学性、高效的信息管理方式实现信息的交流与共享。
4、注重资源共享
在计划生育档案管理中利用信息技术,电子档的来源是十分重要的,与原有传统记录方式相比,电子档案需要通过正式档案来源的真实性,来证明电子档案的真实性,从电子档案的最初形成到归档,需要经过一系列的过程,包括电子档的内容、框架等信息进行全面收集,最终形成资源共享。在生成电子档案的过程中,应保持软件格式的一致性,当前我国计划生育档案管理中,很难实现一体化工作模式,材料递送、数据转化均由不同人员完成,不同阶段经受的人不同,电子档案一旦发生格式变化,则会给后期工作带来较大影响。结语档案管理时一项长期、复杂的工作,将信息技术应用到计划生育档案管理之中,是计划生育档案管理适应当前经济社会发展的必经之路。在实际档案管理工作中,管理人员应积极转变工作思路和工作方法,正确面对当前计划生育管理中存在的问题,针对问题制定有效解决对策,促进我国计划生育工作向前推进。
作者:崔慧单位:辽宁省朝阳市人口和计划生育服务中心
参考文献:
[1]周金莲,盛吉燕.试论信息技术在计划生育档案管理中的应用[J].才智,2015,31:234.
[2]陈雪.刍议加强流动人口计划生育档案管理的措施[J].低碳世界,2016,15:256-257.
[3]王树菊.信息技术在计划生育档案管理中的应用探讨[J].东方企业文化,2015,09:203.