信息安全培訓方案范文

時間:2024-01-08 17:46:15

導語:如何才能寫好一篇信息安全培訓方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

信息安全培訓方案

篇1

組織防火演練和消防培訓活動是為了增強人們的安全防火意識的活動,讓大家進一步了解掌握火災的處理流程,增強人們在火災中互救、自救意識。小編在這里給大家帶來2020消防演練心得感悟_消防安全培訓學習心得,但愿對你有借鑒作用!

消防演練心得感悟1針對防火的必要性,以及各項的消防知識,消防老師為大家示范滅火器、逃生繩等自救設備的使用方法,為大家上了一堂精彩而生動消防知識講座。在課堂上,消防老師通過強烈震撼的火災視頻、生動的案例,條理清晰地從四個方面進行了詳細講解:

1、從發生火災的起因強調提高安全防范意識的重要性;

2、從日常生活中的火災隱患看加強學習消防知識的必要性;

3、掌握使用滅火器材的方法及其性能;

4、火災現場自救逃生的技能和撲救初期火災的時機和方法。

他重點講授了火場逃生知識,并詳細介紹干粉滅火器的構造和使用方法。

通過此次培訓,我覺得一個學校要想做好消防安全,應從以下五點做起:

一、領導要重視。這是學校消防安全工作得以順利開展的首要保證。各部門的負責人作為消防安全工作的第一責任人,要加大對安全工作的管理力度,定期組織安全檢查,查處隱患限期整改反饋,切實地把消防安全工作與生產經營管理工作相結合,確保各項工作能順利進行。

二、宣傳教育要到位。這是學校消防安全工作得以順利開展的第一前提。要通過開展培訓講座,發放消防宣傳資料和組織專業人員到生產一線宣講等形式宣傳消防安全知識,宣傳教育面要達到100%,提高職工的消防安全意識,提高職工在事故發生時的施救、自救能力。

三、制度措施要到位。這是學校消防安全工作得以順利開展的軟件保障。要根據上級有關消防的法律法規,結合本單位實際制定出一套行之有效的制度和措施,并嚴格抓落實,獎優罰劣,保障消防安全的各項工作能正常有序開展。

四、消防器材配備要到位。這是學校消防安全工作得以順利開展的硬件保障。根據消防管理部門,配備足夠數量的消防器材,定期對消防設備進行檢查和保養,對到期的器材及時換藥,以備發生事故時能及時啟動。

五、思想意識要到位。這是學校消防安全工作得以順利開展的重要基礎。加大對專(兼)職安全員的培訓力度,提高安全員的業務素質,培養出一支具備不計得失、樂于奉獻、忠于職守和敢抓敢管精神的專業隊伍,提升學校安全管理水平。定期組織消防演練,提升學校對事故的防范能力。

安全是學校的永恒課題,“水火無情、全員皆知”。消防安全事關學校的穩定和職工生命的安全,工作任重而道遠,我們只有把各項工作長抓不懈,真正落實“五個到位”,消除隱患以防為主,才能保持學校消防安全局面長期穩定。

消防演練心得感悟2冬姑娘邁著沉重的步伐悄悄的走來了,寒風呼呼的吹著,吹走了樹木的盛裝,吹的金黃的小草,姹紫嫣紅的花兒都彎下腰,低下了頭,靜靜的睡去了,一切都籠罩在一片寂靜中,只有風兒狂奔時號叫的聲音。

突然,廣播聲把這片沉靜打破了,只聽廣播中說,我校這天要搞一次消防演習,以備后患,具體安排是只要他一聲令下我們就跑到操場上集合,只聽“跑”的一聲,我們都奮力沖出教室,那時心中只有一個信念,就是以最快的速度沖向目的地,腳下像生了風一樣,跑的飛快,等跑到操場上時,已經有很多人了,回望后面,還有許多人在努力的向這邊跑來,有的則說說笑笑,像是散步,臉上洋溢著笑容向這邊“跑”來,因為是第一次,大家都很配合,按照老師的意思去做。當第二次起跑時,大家都不約而同的放慢了速度,步伐不再那么矯健,細細一看,大家都是手牽手一齊跑的,到了終點我就在想,如果大火真的降臨在我們頭上,那我們還會不會拉上自己的朋友一齊向前跑,當看到有人跌倒時,還會不會有人去攙扶他一齊逃離火災現場?;氐浇淌?,我情不自禁的對同學們說了我剛才的疑惑,大家都表示會帶上朋友一齊逃跑,他們有的說朋友就是有福同享,有難同當的,有的說到了關鍵時刻更就應不能只顧自己,置別人的生命于不顧,我聽了十高興,真是大火無情人有情,我相信只要各個部門、單位做好放火措施,火災不會發生,即使發生,只要我們齊心協力,有秩序的逃離,我相信我們必須能夠戰勝火災,逃離危險區域。放學后,同學的回答久久

縈繞在我心頭,他們的話語總是在我耳邊回響,只要人人都能夠像他們回答的那樣,那么建立平安上海這一奮斗目標就離我們越來越近了,校園這一消防演習好處十分重大,教育孩子火災逃生,以及一些應對措施,使我們心里有個準備,要不然火災突然降臨,對于我們來說肯定是手足無措的,十分的慌亂,到時候只會帶來更加嚴重的后果,這樣使我們懂得如何在大火中逃生,只要大家都團結在一齊,大火并不可怕,人們在火災中那份互幫互助的情感足以撲滅大火。

大火無情人有情,縱使火災十分的可怕,但只要我們齊心協力就能夠撲滅火災,要是人人心中都有助人為樂的想法,都有一顆火熱的心,那我們的社會會更加的和諧、完美,讓我們一齊努力,為建設平安上海,和諧社會一齊奮斗吧!

消防演練心得感悟3為了加強消防知識的普及,讓學生更加體會到消防知識的重要性,我校于5月25日上午進行了應急消防疏散演練活動。

消防演練的目的是讓我們在火災來臨時能夠更好地、本能地、鎮靜地去應對,這對我們來說是一次次的鍛煉和為生命在演習。讓我們的生命更加安康,透過這次消防演練,我看到了生命的延續,無私無畏精神的體現,更加體現出我們的本質,在慌亂中有備不亂的逃生,這是我們對生命的尊重,對生命的肯定和愛護。

安全職責大于天,生命誠可貴,在生命面前我們要重視自己的職責,安全為自己的生命豎立一道堅固的堡壘。將不安全因素阻擋在外,將萌芽扼殺在搖籃中。為了生命而奮斗,為了家人和自己而去踐行安全準則。

在火災面前,要迅速逃生,不要貪戀財物,只有生命在,錢財隨時都能夠賺回來,不要迎風快跑,更不要乘坐電梯逃生,以免被困無法脫險,要捂住口鼻,彎腰前行,以免吸入超多煙霧導致窒息,如果煙霧過大,無法逃生,等待救援,發出救援信號,水火無情,在災害面前,我們要有一顆平靜的心來應對,更要了解一些常識性的逃生方法和急救方法和措施。在災害面前,我們的力量是弱小的,我們務必要珍惜自己的生命。

不要玩火、不要抽煙、不要隨意點火,注意自身安全,珍愛他人健康,我們要珍愛生命,遠離火災。

消防演練心得感悟4為增強全校師生的消防安全意識,初步掌握火場逃生、自救的方法,提高同學們對發生火災等突發事件的應變能力,3月11日下午我們在學校舉辦了針對全體師生的消防演練應急活動。通過這次演習,同學們對應急疏散的程序,逃生和滅火知識有了切身的體會,一定程度上對火災事故應急疏散、正確逃生有了進一步的實際體驗。

下午第三節課,教室里按照正常的課程進行教學著,不一會兒隨著一聲刺耳的警報聲,消防演練正式開始。為了讓演習更有真實性,學校分別在二樓、三樓設置了兩個模擬火點。各年級的學生在聽到指令后,在班主任的帶領下,安全、有序、迅速撤離教室,并按指定路線到達安全地帶。同學們立即按照正確的逃生方法去做,都用袖口捂住口鼻然后彎著腰快速地,有秩序地向教室外逃生,在老師們組織學生向外逃生時,心里很緊張,直到我確定最后一名同學走出教室時,我才急忙追趕上最后的隊伍,全班脫離危險區到達安全的操場上時,用時只有一分鐘,并且無一人走失.這時,我那顆懸著的心才平靜下來.原來的一場演習,老師和同學的緊張逃生卻好像置身于真的火災逃生中.在大家的共同努力下,這次消防演練順利完成。

演練結束后,消防員對本次活動進行了總結,為同學們提出了一些安全建議,提醒大家不忘安全意識。同時為了使學生對消防演習更加的深刻認識,進行了一個類似逃生的“瓶口逃生”小游戲,每個班級派代表上臺進行游戲,讓學生從這個小游戲中認識到,逃生的有序的重要性,肯定了這次演練活動的成功,也指出了一些不足的地方。

這次消防演習活動,不僅讓學生們樹立了“以人為本,生命至上”的思想信念,又讓師生們學會了怎樣預防火災和火災中的逃生方式,進一步增強了學校的消防安全意識和廣大師生的逃生自救能力,也為學校今后處理各類安全應急預案和實際操作提供了一次難得的機會。

消防演練心得感悟5中午2:30,校園里濃煙滾滾,隨后陣陣火警聲響徹校園。隨著陣陣火警聲,從廣播里傳來了繆老師焦急的聲音:“同學們請注意!請注意!火勢已經曼延到了一樓,請一樓的同學火速撤離教室!一樓的同學聽到警報聲后,連忙從位子上站起來,貓著腰火速離開了教室。等一樓的同學撤離后,廣播里又傳來了繆老師急促的聲音:“三樓的同學請注意!請注意!緊張的逃生剛結束,接著是滅火演習。校長洪亮地宣布:“滅火演習現在開始!”話音剛落,操場上響起來熱烈的掌聲。消防叔叔們把火點燃了?;鸷么笱剑谶@燃眉之急,消防叔叔個個拿起滅火器直往火爐里噴,只見粉沫紛飛,我還來不及看清楚,火竟然滅了,叔叔的動作好快呀!還向大家介紹了消防車上的裝備,示范了快速穿消防服。同學們也積極參與到實踐體驗中來。雖然他們的動作有點生疏,但熱情非常高。

在這次消防演習中,我學會了如何安全的逃身、如何滅火、如何快速穿消防服,知道了消防車上的一些裝備。也深深的明白了遇到任何事情要鎮靜,不要慌張。---------曾經的我們,不知道進行過多少次的消防演練?!澳銈兇蠹乙欢ㄒ懦梢魂?,不要擁擠,一定要迅速的跑去操場集合,這是要進行考核的。”班主任一次又一次的反復重復著這些話,可每當我們聽到警報一響的時候,就會迅速的沖出教室,剛才班主任說的一切好像都拋到耳后去了??蛇@一次卻不一樣,所有人井然有序的從班級出來,排成很整齊的一隊迅速地下樓,聽著那按照規律發出的腳步聲,我心里不知怎么的就冒出了一個念頭:大家,真的都長大了。是啊,又是一年,又長大了一歲,按照爸媽的話就是:咱又老了一歲。我們真的有成熟了一些,老師說的每一句話都會放在心頭了,都會銘記在心里的最深處,因為那時我們最最寶貴財富。

這次的消防演練和以往的不同,我們還真正的親手去體驗了一把用滅火器滅火的滋味,雖然說并不是所有人都嘗試了,但是我們都看見了那個場景,看著濃濃的白煙飄過來,雖然說很嗆,但是我們經歷過了“火災”,我們以后就不會再害怕了對不對?我們都學會了要如何使用滅火器。其實,最后回班的時候我碰見體育老師了,我悄悄地問了一句:“滅火器好不好玩?”他告訴我說很好玩,我也很想去玩玩,但是我又不想要遇到危險,所以呢,還是算了吧。為了自己的生命安全。我不知道為什么,自己會有想玩滅火器的想法,我在想,我只是個孩子,我無權去考慮任何人的事情,但是,我覺得,我們可以真正的去了解安全、這個詞了。

篇2

“中國企業員工的信息安全意識可謂不容樂觀,提升員工信息安全意識刻不容緩?!惫劝蔡煜赂笨偨浝砦翰氏紝Ξ斍捌髽I員工的信息安全意識現狀表示擔憂,“不同行業的信息安全意識現狀不同,電信、金融等行業由于業務的特殊性,安全意識較高,而其他行業的信息安全意識整體狀況則依舊薄弱”。

調查顯示,接近50%的受訪者認為單位領導的信息安全意識一般、很差或者還不如自己。而據魏彩霞介紹,一些企業中即使領導非常重視信息安全,希望提升員工的保密意識,但“只是看到別人的明文密碼導致信息泄漏就更改自己的網頁設置等單個事件,并不能系統地提升企業員工整體的信息安全意識”。

由于員工信息安全意識薄弱而給企業帶來災難性損失的案例屢見不鮮。據統計,世界上每分鐘就有兩家企業因為信息安全的問題而倒閉。而在所有信息安全事件中,只有20%~30%是因為黑客入侵或其他外部原因造成,另外70%~80%是由于內部員工的疏忽或有意泄漏造成,而78%的企業數據泄漏是由于內部員工不規范的操作造成的。

篇3

隨著計算機軟件技術的發展,特別是分布式和軟件移動計算的廣泛應用,使得系統開放性越來越強,局域網內的用戶都可能訪問到應用系統和數據庫,這給醫院信息安全帶來了極大的挑戰。從收費數據到醫療信息、從病人隱私保密到管理信息的保密,都要求醫院管理系統要處于高度安全的環境中。醫院信息系統的穩定和安全運行,是醫院持續正常工作的組成部分。作為一個持續運行的事務處理系統,要求能每天24小時不間斷運行,不希望有中斷,否則會使醫院的聲譽受到影響。同時,隨著業務的發展,系統數據量的增加,要求系統能穩定地運行,不能使系統性能快速降低。在一些重要的系統中,如財務、人事、醫保實時交易等信息,已經不能滿足于簡單的本地保護,要求有更高的系統可靠性,保證系統能進行容災保護。一旦出現異常情況,如火災、爆炸、地震、水災、雷擊或某個方向線路故障等自然原因以及電源機器故障、人為破壞等非自然原因引起的災難后,系統能快速穩定地恢復正常工作。因此,信息安全已經不是人們傳統意義上的安全概念,是要保證系統避免一系列威脅,保證醫院業務的連續性,最大限度地減少醫院業務的損失,為醫院的業務發展提供信息安全保障。本文作者根據多年來從事醫院管理信息系統和網絡系統的建設及維護工作的經驗出發,探討安全建設和日常維護工作。

二、安全的硬指標

系統安全的硬指標考慮的問題是多方面的,包括如下。

(一)中心機房安全

中心機房是醫院信息系統設備的存放地,包括數據庫服務器、磁盤陣列、網絡主交換、應用服務器等設備,因此對環境的要求極高,應該做到:1.機房供電不少于兩路;2.雙路UPS供電、并采用智能報警管理UPS;3.防靜電地板、玻璃隔斷、防火墻面處理、外窗防水處理;4.火災探測器、防竊探測器;5.溫度、濕度恒定,防塵,防蟲鼠;6.三相四線雙變電站供電,安裝應急照明系統;7.專用機房接地系統,與主配線柜、主設備柜、防靜電地板下的接地線(環)相連;全方位防雷系統,強電、弱電都應安裝防雷保護器等。

(二)服務器及服務器操作系統安全

服務器是數據處理的核心單元,是軟件安全的基礎,因此,其安全應該做到:1.根據醫院業務狀況決定采用PC服務器或小型機,并配備磁盤陣列、冗余電源、大規模內存和高速緩存的自動糾錯,保證在連續工作狀態下保持穩定、快速;2.對服務器進行隔離,并采取嚴格的安全管理,各開箱鎖單獨保存;3.應用程序服務器和數據庫服務器必須嚴格分開;4.服務器操作系統應采用安全機制較高的系統,如Windows2000或Unix等;5.網絡操作系統的用戶資源權限控制以及安全審計等功能必須開啟;6.操作系統不相關的應用服務必須關閉;7.操作系統安全布丁必須定時更新。

(三)群集技術及磁盤陣列的可靠性

群集技術是能使服務器連續可靠運行的重要保證,簡單地說是兩臺服務器采用雙機熱備份工作狀態,當一臺機器出現問題后另一臺機器能快速接替主服務器的工作;服務器中易損部件是硬盤,硬盤損壞可以造成系統癱瘓,因此采用磁盤陣列進行冗余,其要求如下:1.為了避免出現災難性后果,必須每天檢查群集工作狀態;2.當群集中一臺機器出現問題時應該馬上解決,檢查主服務器,盡早恢復其工作;3.RAID保證數據庫的高可靠性,保證在部分存儲介質損壞時數據不丟失;4.必須定時檢查硬盤工作情況,發現問題及時處理。

(四)網絡安全

網絡安全主要是指當用戶通過網絡訪問應用服務器和數據庫服務器時如何保證網絡鏈路的安全,包括網絡布線安全和網絡設備安全。特別還應注意設備的軟故障,軟故障將造成網絡系統長時間無法正常運行,使得醫院處于一種半癱瘓狀態。軟故障包括廣播風暴、交換機等設備處于時好時壞狀態、網絡以極慢速率傳輸數據、頻繁出現丟包現象等,因此,基于安全的要求:1.對于光纖介質要求包括溫差、陽光、鼠害、碰撞摩擦、拐角半徑等的防護環境;2.對于雙絞線介質要求包括磁場、雷擊、電磁干擾、鼠害、溫差、濕度等的防護環境;3.網絡設備對環境的要求包括溫度、濕度、潔凈度、電源質量等;4.核心交換機也須采用雙冗余進行備份,確保該交換機出現故障后備份交換機能迅速接替工作;5.定時觀察服務器網絡傳輸數率。

(五)數據庫安全

在醫院信息系統的后臺,數據信息是整個系統的靈魂,其安全性至關重要,而數據庫管理系統是保證數據能有效保存、查詢、分析等的基礎;數據被安全存儲、合法地訪問數據庫以及跟蹤監視數據庫,都必須具有數據有效訪問權限,所以應該實現:1.數據庫管理系統提供的用戶名、口令識別,試圖、使用權限控制、審計、數據加密等管理措施;2.數據庫權限的劃分清晰,如登錄權限、資源管理權限和數據庫管理權限;3.數據表的建立、數據查詢、存儲過程的執行等的權限必須清晰;4.建立用戶審計,記錄每次操作的用戶的詳細情況;建立系統審計,記錄系統級命令和數據庫服務器本身的使用情況。

(六)數據存儲安全

數據存儲安全是數據庫存儲的信息不能因自然災害、人為原因和設備損壞而被破壞,同時保證數據可以長期保存,備份的數據可以正確恢復,其要求如下:1.建立數據備份方案,嚴格按照規定的備份時間、方式進行數據備份;2.數據備份要有多重冗余備份,要有異地數據備份,當某一地點數據丟失或破壞時,另一地點保存的副本可用于恢復;3.數據部分的有效性檢查,保證備份的數據萬無一失,做到定期檢查;4.建立快速恢復機制,明確出現故障后的快速恢復手段與方法,而且必須對之進行階段性檢查,進行災難模擬測試。

(七)應用軟件的安全

由于醫院信息系統的用戶量大、數據量大、涉及面廣、職責多樣、業務流程復雜和權限管理復雜等,所以對應用程序,系統安全設計的要求很高。1.設計安全審計功能,且每個審計事件都應和觸發該行為的用戶身份相關聯;2.審計查閱功能,為審計功能提供清晰易懂的審計日志;3.審計事件存儲,審計日志存儲空間溢滿時能導出審計日志并妥善保存;4.設計訪問控制策略和訪問控制功能;5.設計用戶標識、用戶主體綁定;6.設計多重會話并發限制、會話鎖定。

(八)病毒防護和防黑客攻擊安全

計算機病毒在網絡中的危害遠大于對單機的危害。網絡發生計算機病毒后最難處理的問題是清除病毒。對于服務器等關鍵設備應安裝殺毒軟件和防黑客攻擊軟件,網絡環境下要把防止計算機病毒進入系統放在首位,基于以上安全特性,要求:1.設備VLAN,在主域服務器上安裝網絡版殺毒軟件和防黑客攻擊軟件;2.定時更新病毒庫和殺毒引擎;3.定時更新操作系統漏洞布丁;4.關閉不用的操作系統服務;5.關閉不用的端口;6.盡量將醫院的內網與外網做到物理上的完全隔離。

三、安全的軟指標

系統安全的軟指標是指管理制度、應急方案、操作規范和安全培訓制度等。

(一)組織

成立系統安全工作領導小組、確定第一責任人、責任部門、相關部門和部門負責人,明確安全責任制,并定期檢查、督促落實。

(二)制度

建立信息安全管理制度也是安全管理的重要組成部分;完整的計算機文檔是分析故障、排除故障的基礎,是系統正常運行的保證;工作制度的建立與系統建設同步開始;同時,在日常工作中應該根據系統設置的變化進行修改,保證文檔和制度能真實反映系統狀態,具體制度為:1.建立網絡服務器管理制度;2.建立網絡設備管理制度;3.建立網絡工作站管理制度;4.建立網絡工作人員管理制度;5.技術文檔管理制度;6.“第三方”訪問管理制度。

(三)信息安全操作規范

很多安全隱患都來自于操作不規范,口令定期調整、程序升級、日志檢查都可能杜絕掉很多安全隱患,因此,應建立如下規范:1.建立操作系統操作規范;2.建立數據庫系統操作規范;3.應用系統操作規范。

(四)應急方案

醫院信息系統應急方案是在計算機出現故障,且不能短期完全恢復運行,并影響到局部或整體工作時,只有采用人工的方式來開展工作,保證正常醫療活動不被完全打亂,因此應做到:1.確定應急方案實施責任制;2.應急方案實施范圍和時間;3.應急方案通報制度;4.系統故障一般應急措施;5.業務應用應急實施細則。

(五)安全培訓制度

信息中心應負責全院相關部門和人員的信息系統安全教育和使用培訓的計劃制定、實施和組織協調工作:1.制定相應的安全培訓大綱、培訓計劃,有計劃地加以實施;2.對醫院決策層和管理層的應知應會培訓,充分認識信息安全的重要性和信息安全防御體系建設的必要性;3.對計算機科室管理人員的技能培訓;4.對操作層面人員的使用培訓;5.知識更新培訓及業務再培訓。

四、探討

以上的框架描述只是從作者的工作經驗和部分理論指導的角度出發,因此很多地方還有待探討。不同的醫院有不同的情況,不能一概而論,包括管理現狀、資金狀況、人員配備、技術支持等都會影響到信息安全的實施。醫院如何開展信息安全工作,應該本著從實際出發的精神,先進行風險評估,研究信息系統存在的漏洞缺陷、面臨的風險與威脅,對于可能發現的漏洞、風險,制定相應的策略:首先在技術上,確定操作系統類型、安全級別,以選擇合適的安全的服務器系統和相關的安全硬件;再確定適當的網絡系統,從安全角度予以驗證;選擇合適的應用系統,特別要強調應用系統的身份認證與授權。在行為上,對網絡行為、各種操作進行實時的監控,對各種行為規范進行分類管理,規定行為規范的范圍和期限,對不同類型、不同敏感度的信息,規定合適的管理制度和使用方法,限制一些不安全的行為。在管理上,制定各項安全制度,并定期檢查、督促落實;確定醫院的安全領導小組,合理分配職責,做到責任到人。當然,還要意識到信息安全工作的開展有可能會影響到系統使用的方便性,畢竟,安全和方便是矛盾的統一體,要安全就不會很方便,相關工作效率必定降低,要方便則安全得不到保證,因此必須權衡估量。

篇4

信息安全是國家安全的基礎和關鍵,在信息安全保障的三大要素(人員、技術、管理)中,管理要素的地位和作用越來越受到重視。面對越來越嚴重的安全威脅,不單在IT技術領域,各行業的企業組織都越來越意識到信息安全的重要性,但單純依靠技術方案來并不能解決如何保護企業信息資產的問題,因此這對當前高校的信息安全專業的人才培養也提出了更高的要求。

 

一、信息安全培訓體系概況

 

信息安全培訓作為高校信息安全專業教育的一種重要補充,主要用于解決學歷教育和社會實踐、社會認證培訓的結合、信息安全人才培養不規范等問題?,F有培訓主要可分為四類。

 

第一,安全意識培訓:其面向機構一般員工、非技術人員以及所有信息系統的用戶,目的是提高整個組織普遍的安全意識和人員安全防護能力,使組織員工充分了解既定的安全策略,并能夠切實執行。

 

第二,安全技能培訓:其面向機構網絡和系統管理員、安全專職人員、技術開發人員等,目的是讓其掌握基本的安全攻防技術,提升其安全技術操作水平,培養解決安全問題和杜絕安全隱患的技能。

 

第三,安全管理培訓:其面向組織的管理職能和信息系統、信息安全管理人員,目的是提升組織整體的信息安全管理水平和能力,幫助組織有效建立信息安全管理體系。

 

第四,認證資質培訓:其針對特殊崗位所需的職能人員,包括審核部門、監管部門、信息保障部門等。通過提供國際信息安全相關認證考試的輔導培訓,可以幫助人員順利通過考試獲得各類信息安全資質認證培訓。

 

前三類認證主要依托專業的培訓機構或安全設備廠商進行。第四類培訓是當前培訓的主體。

二、信息安全相關資質認證培訓情況

 

資質認證類培訓是針對資質認證特點和內容要求設計,依托專業機構進行的。一些認證的培訓機構是由資質管理機構專門指定的。當前,信息安全相關資質認證主要分三類:

 

第一,國內以信息產業部,信息安全評測機構為代表的組織來管理實施的信息安全資格認證(或與國際組織聯合頒發);這類的認證培訓有:CISP培訓、NCSE培訓、CISM培訓、INSPC培訓、CIW認證培訓等。

 

第二,由國外軟件、網絡產品廠商自己組織管理的產品專家認證(側重于廠商產品、技術認證);相關的認證培訓有:微軟Microsoft認證培訓、思科安全認證CCSP培訓、趨勢認證信息安全TCSE培訓等。

 

第三,國際權威信息安全組織、研究部門或培訓機構組來管理組織的國際化專業資格認證。相關的認證培訓有:信息系統安全認證CISSP培訓、信息安全管理體系主任審核員ISO 27001培訓、國際注冊信息系統審計師認證CISA培訓、國際IT運營與服務管理資格認證ITIL培訓等。

 

下面以CISP培訓為例,分析其知識體系構建情況。

 

CISP即“注冊信息安全專家”,是國家對信息安全人員資質的最高認可。其經由中國信息安全測評中心實施國家認證。CISP認證和培訓賦予如下專業資質和能力:有關信息安全企業、咨詢服務機構、測評認證機構、授權測評機構和企事業有關信息系統建設、運行和應用管理的技術部門和標準化部門必備的專業崗位人員。

 

在整個CISP的知識體系結構中,共包括信息安全保障概述、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規這五個知識類。 CISP知識體系以信息安全保障為主線,全面覆蓋信息安全保障工作所需的基礎、標準、法規、技術、管理和工程等領域。CISP培訓知識體系結構共包含五個知識類,分別為:(1)信息安全保障概述:介紹了信息安全保障的框架、基本原理和實踐,它是注冊信息安全專業人員首先需要掌握的基礎知識。(2)信息安全技術:主要包括密碼技術、訪問控制、審計監控等安全技術機制,網絡、操作系統、數據庫和應用軟件等方面的基本安全原理和實踐,以及信息安全攻防和軟件安全開發相關的技術知識和實踐。(3)信息安全管理:主要包括信息安全管理體系建設、信息安全風險管理、安全管理措施等相關的管理知識和實踐。(4)信息安全工程:主要包括信息安全相關的工程的基本理論和實踐方法。(5)信息安全標準法規:主要包括信息安全相關的標準、法律法規、政策和道德規范,是注冊信息安全專業人員需要掌握的通用基礎知識。

 

CISP的注冊要求如下:

 

第一,教育與工作經歷:碩士研究生以上,具有1年工作經歷;或本科畢業,具有2年工作經歷;或大專畢業,具有4年工作經歷。

 

第二,專業工作經歷:至少具備1年從事信息安全有關的工作經歷。

 

第三,培訓資格:在申請注冊前,成功地完成了CNITSEC或其授權培訓機構組織的注冊信息安全專業人員培訓課程相應資質所需的分類課程,并取得培訓合格證書。

 

第四,通過由CNITSEC舉行的注冊信息安全專業人員考試。

 

三、信息安全專業培訓體系構建的建議

 

1.構建完善的高校信息安全專業人才培訓體系

 

傳統的培訓體系,比較側重于知識和技能傳授的過程控制,在對知識的共享、隱性知識的轉換等方面,已經不能滿足當前的要求,高??梢酝ㄟ^借鑒、學習CISP認證和培訓體系結構和CISSP認證課程內容設置,從信安全崗位所需的基礎、標準、法規、技術、管理和工程等領域來完善信息安 全專業人才培訓體系。根據培訓對象的不同將課程分為五種類型(層次):操作層面的基本安全意識培訓;

 

技術層面的各項安全技能培訓;管理層面的信息安全管理培訓;專家級的資質認證培訓。當然在培訓體系里面信息安全技術方面的培訓仍然是重點,為了加強網絡基礎設施等新興重點網絡安全技術領域的培訓,可以參考思科安全認證CCSP培訓的模式,對當前使用的防火墻、侵入檢測、VPN、身份驗證和安全管理等主流網絡安全防護裝備進行系統性的專題培訓。

 

2.建立逐級培訓的信息安全專業人才培訓模式

 

當前信息安全技術的發展日新月異,信息化的網絡攻防形式也發生著翻天覆地的變化,因此對于信息安全專業人員的培訓,僅靠一兩次培訓是遠遠不夠的,必須連續、有針對性的接受相應崗位和層次的逐級培訓,才能保證知識、能力結構的不斷優化和提高。在逐級培訓過程中要明確不同職務、技術等級的不同要求,使得逐級培訓過程級與級之間層次清晰又銜接有序。如果沒有通過低級別的培訓、認證,便不能參加后門高級別的培訓。同時利用職業資格證、學歷證書、執行證書等為牽引,通過多階段培訓、資格培訓、升級培訓使得知識結構、能力素質、崗位需求同步發展,取得相應的職業證書才能晉升上崗,否則不予任用。

 

3.通過合理的認證標準來動態更新和完善培訓體系的目標任務

 

只有對培訓成果進行合理判斷,確定受訓人員知識技能水平的提高幅度,才能了解培訓項目是否達到原定的目標和要求,從而為進一步改進培訓體系提供重要依據。通過對培訓人員最終考評成績的分析以及部隊調研,培訓學員信息反饋等方式,針對培訓內容和教學組織形式聽取意見,并及時調整,使得培訓效果真正適應培訓學員的實際需求,提高培訓效果。這樣才能在保持相對穩定的情況下對培訓內容實施動態更新,不斷完善。

篇5

論文關鍵詞:電力;信息安全;解決方案;技術手段

1電力信息化應用和發展

目前,電力 企業 信息化建設硬件環境已經基本構建完成,硬件設備數量和網絡建設狀況良好,無論是在生產、調度還是營業等部門都已實現了信息化,企業信息化已經成為新世紀開局階段的潮流。在網絡硬件方面,基本上已經實現千兆骨干網;百兆到桌面,三層交換;vlan,mpls等技術也普及使用。在軟件方面,各應用十要包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關的應用子系統等。 計算 機及信息網絡系統在電力生產、建設、經營、管理、科研、設計等各個領域有著十分廣泛的應用,安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等方面取得了明顯的社會效益和 經濟 效益,同時也逐步健全和完善了信息化管理機制,培養和建立了一支強有力的技術隊伍,有利促進了電力 工業 的發展。

2電力信息網安全現狀分析

結合電力生產特點,從電力信息系統和電力運行實時控制系統2個方面,分析電力系統信息安全存在的問題。電力信息系統已經初步建立其安全體系,將電力信息網絡和電力運行實時控制網絡進行隔離,網絡間設置了防火墻,購買了網絡防病毒軟件,有了數據備份設備。但電力信息網絡的安全是不平衡的,很多單位沒有網絡防火墻,沒有數據備份的概念,更沒有對網絡安全做統一,長遠的規劃,網絡中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求,對網絡安全進行了全方位的保護,防火墻、防病毒、入侵檢測、網管軟件的安裝、verjtas備份系統的使用,確保了信息的安全,為生產、營業提供了有效的技術支持。但有些方面還不是很完善,管理起來還是很吃力,給網絡的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。

3電力信息網安全風險分析

計算機及信息網絡安全意識亟待提高。電力系統各種計算機應用對信息安全的認識距離實際需要差距較大,對新出現的信息安全問題認識不足。

缺乏統一的信息安全管理規范。電力系統雖然對計算機安全一+直非常重視,但由于各種原因,目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規范。

急需建立同電力行業特點相適應的計算機信息安全體系。相對來說,在計算機安全策略、安全技術和安全措施投入較少。為保證電力系統安全、穩定、高效運行,應建立一套結合電力計算機應用特點的計算機信息安全體系。

計算機網絡化使過去孤立的局域網在聯成廣域網后,面臨巨大的外部安全攻擊。電力系統較早的計算機系統一般都是內部的局域網,并沒有同外界連接。所以,早期的計算機安全只是防止外部破壞或者對內部人員的安全控制就可以了,但現在就必須要面對國際互聯網上各種安全攻擊,如網絡病毒、木馬和電腦黑客等。

數據庫數據和文件的明文存儲。電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質的人可以讀出這些信息;黑客可以饒過操作系統,數據庫管理系統的控制獲取這些信息;系統后門使軟硬件系統制造商很容易得到這些信息。弱身份認證。電力行業應用系統基本上基于商業軟硬件系統設計和開發,用戶身份認證基本上采用口令的鑒別模式,而這種模式很容易被攻破。有的應用系統還使用白己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天不能再使用了。沒有完善的數據備份措施。很多單位只是選擇一臺工作站備份一下數據就了事,沒有完善的數據備份設備、沒有數據備份策略、沒有備份的管理制度,沒有對數據備份的介質進行妥善保管。 

4電力信息網安全防護方案

4.1加強電力信息網安全 教育

安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。

主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。

信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。

4.2電力信息髓安全防護技術措旌

(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。d m z區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。

(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。

(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供 企業 級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為 網絡 管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。

(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持tcp/ip協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。

掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。

(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通過internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。

(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過vpn技術,提高實時的信息傳播中的保密性和安全性。

(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。

(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。 

4.3電力信息網安全防護管理措施

技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網絡安全的長期性和穩定性才能有所保證。

(1)要加強信息人員的安全 教育 ,保持信息人員特別是網絡管理人員和安全管理人員的相對穩定,防止網路機密泄露,特別是注意人員調離時的網絡機密的泄露。

(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。

(3)技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。

(4)數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。

(5)加強信息設備的物理安全,注意服務器、 計算 機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。

(6)注意信息介質的安全管理,備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀,特別要注意送出修理的設備上存儲的信息的安全。

5電力信息網絡安全工作應注意的問題

(1)理順技術與管理的關系。

解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。

(2)解決安全和 經濟 合理的關系。安全方案要能適應長遠的 發展 和今后的局部調整,防止不斷改造,不斷投入。

(3)要進行有效的安全管理,必須建立起一套系統全面的信息安全管理體系,可以參照國際上通行的一些標準來實現。

(4)網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,應該用系統工程的觀點、方法,分析網絡的安全及具體措施。

篇6

關鍵詞 電力企業;信息系統;信息安全

中圖分類號 TP 文獻標識碼 A 文章編號 1673-9671-(2011)122-0116-01

電力作為國民經濟的基礎設施行業,在國內較早開始了信息化建設工作。企業門戶、安全生產、營銷管理、協同辦公、電力負荷控制、客戶服務等信息網絡技術已經成功應用到各級電力企業。隨著電力信息化建沒和應用的快速發展,信息安全問題已日益突出,并成為國家安全戰略的重要組成部分。

研究信息安全技術,建立電力信息系統的安全防護體系和安全模型,對確保電力系統安全穩定、經濟優質運行,加速實現“數字電力系統”的進程具有重要的現實意義。

1 電力信息系統安全需求

一個全面、合理的電力信息系統安全體系和模型,應該滿足下列安全需求。

1)機密性。即確保信息僅對被授權者可用。信息的保護通過確保數據被限制于授權者(這里通過可審性來配合)使用,另外還應考慮信息所在的形式和狀態,是物理的紙面形式、電子文檔形式,還是傳輸中的介質形式。

2)完整性。是指數據不以未經授權方式進行改變或損壞的特性。電力企業的許多開放系統應用都有依賴于數據完整性的安全需求。完整性同樣應考慮信息所在的形式和形態。

3)可用性。指確保被授權用戶在需要時可以訪問系統中的信息和相關資產,不會因自然或人為原因使系統中信息的存儲、傳輸或處理延遲,或者系統服務被破壞、被拒絕達到不能容忍的程度。

4)可控性。指授權機構對信息的內容及傳播具有控制能力,可以控制授權訪問內的信息流向以及方式。

5)不可抵賴性。也稱信息的可確認性,是傳統社會的不可否認需求在信息社會的延伸。不可抵賴性包括:證據的生成、驗證和記錄,以及在解決糾紛時隨即進行的證據恢復和再次驗證。

6)可審性??蓪徯圆皇切畔⒆陨淼陌踩枨?,不能針對攻擊提供保護,但具有信息的責任需求,和他安全需求相結合使之更加有效。雖然可審性需求會增加系統的復雜性,降低系統的使用能力。但是其事后可追查這一特性,在電力信息系統安全中是重要的。

以上六個方面是保證信息系統的信息安全最基本的需求,它們互不能蘊含。

2 電力信息系統面臨的威脅和安全風險

電力信息系統安全在過去幾年雖然已經取得了長足發展,但是在信息系統的規劃、建設和運行維護過程中需要研究和解決的問題還很多。

1)面臨的威脅電力信息系統面臨的威脅來自各個方面。歸結起來主要包括以下幾個方面:①電力信息系統組件固有的脆弱性和缺陷;②地震、雷擊、洪災和火災等自然威脅;③意外人為威脅;④惡意人為威脅。

2)電力信息系統存在的安全風險。信息安全風險和信息化應用情況及采用的信息技術密切相關,電力企業信息系統面臨的主要風險存在于以下幾個方面:①計算機病毒的威脅最為廣泛;②網絡中服務器被黑客攻擊的事件層出不窮;③網絡安全問題日益突出,這是電力企業面臨的一個非常突出的問題;④電力企業與外單位信息傳遞的安全不容忽視;⑤電力企業用戶身份認證和信息系統的訪問控制急需加強。

3 電力信息系統安全的建設

為加強和規范信息安全工作,提高信息系統整體安全防護水平,實現信息安全的可控、能控、在控,結合電力企業自身的特點,堅持“安全第一,防御為主”方針,有目的、合理地設計電力信息系統安全體系和模型,建立健全與信息化相適應的信息安全保障、監督體系,積極防御和綜合防范信息技術風險。

1)建立信息安全工作機制。信息系統實行統一領導、分級管理,明確各單位主要負責人是本單位信息系統安全第一責任人。將信息系統安全納入公司安全管理體系,實行專業管理、歸口監督,明確責任人員,提高各級人員的信息安全意識,實現信息系統安全管理和防御措施落實到位。

2)明確信息安全管理范圍和任務。全面加強一體化企業級信息集成平臺和業務應用的安全管理,確保信息系統持續、穩定、可靠運行。堅持“分區、分級、分域”總體防護策略,實行“雙網雙機”,按照 “三同步”原則,與信息系統建設同步規劃、同步建設、同步投入

運行。

3)完善信息安全管理制度體系。統籌規劃,突出重點,加快信息安全管理制度和標準規范建設步伐,強化信息安全規章制度落實工作。嚴格遵守“不上網、上網不”紀律,開展網絡與信息系統定級、審批、備案工作。加強信息系統運行維護全過程管理,不斷完善應急預案。建立備份與恢復管理相關安全管理制度。

4)嚴格執行電力二次系統安全防護規定。要切實貫徹落實電力二次系統安全防護總體方案及各級調度中心二次系統安全防護方案,切實將其納入電力安全生產管理體系,建立健全電力二次系統安全聯合防護和應急機制,制定并完善應急預案。按照“安全分區、網絡專用、橫向隔離、縱向認證”的基本原則,加強調度數據網絡的建設和安全符理。

5)加快信息安全管控手段建設。全面推進個人終端標準化建設工作,實現個人終端補丁程序、病毒軟件自動更新、升級,強化防木馬病毒等安全措施。增加信息安全監控措施,加快建立信息安全監控手段,實現對防火墻、入侵檢測等安全防護設施的集中監視和事件預警。

6)強化信息安全應急與通報工作。不斷完善信息安全應急機制,制定預案,加強演練。規范信息安全事件通報程序,及時傳達國家和企業信息安全運行動態,及時響應和處理信息安全事件,加強事件分析,實時安全通告。

7)高度重視信息安全保密工作。嚴格做到“計算機不上網,上網計算機不”,禁止內容在互聯網上存儲和交叉使用,加強安全保密管理,嚴格人員審批,及時開展信息系統安全保密檢查,做好文檔的登記、存檔、銷毀、定密、解密等各環節工作,及時發現泄密隱患。

8)提高全員信息安全意識。開展全員信息安全培訓,全面樹立決策層、管理層、操作層信息安全風險意識,不斷積累信息安全管理經驗。開展不同層面的安全教育和培訓工作,適應信息技術發展的潛在

要求。

參考文獻

[1]計算機網絡技術[M].西安電子科技大學出版社,2006.

篇7

[關鍵詞]多體系;整合;實施方案

doi:10.3969/j.issn.1673 - 0194.2015.16.094

[中圖分類號]F279.23 [文獻標識碼]A [文章編號]1673-0194(2015)16-0-01

1 多體系獨立運行存在的問題

公司內通常有多個體系同時并存,如質量管理體系ISO 9001、職業健康體系ISO 18000、環境管理體系ISO 140000、信息安全管理體系ISO 27001、IT服務管理體系ISO 20000以及信息安全資質等,讓這些體系“和平共處”非常重要。如不能很好地解決這些體系的共存問題,各個體系將出現“打架”現象,輕則體系運行出現障礙,重則會讓整個公司管理體系運行陷入癱瘓狀態。

在一些公司中,由于歷史原因,多個體系分別獨立運行,或者僅有少量體系簡單整合,這給體系的良好運轉帶來極大挑戰。

1.1 過程文件 “打架”

同樣的事情,可能有多個不同的文件約定,如“培訓管理制度”在多個“體系”中同時存在,不同的“體系”中“培訓管理制度”因特定體系的要求不同,其內容亦存在差異,如在ISO 20000體系中的“培訓管理制度”規定每年年底收集培訓需求并制訂來年培訓計劃,而ISO 27001體系中規定每年年初收集培訓需求并制訂培訓計劃。這會引起培訓專員在實施培訓時的困惑,不確定究竟要按照哪個“培訓管理制度”執行。

1.2 過程難以實施

各個標準體系,其視角不同,對應的約定不同,但這些約定可能是針對公司同一個業務的不同方面,如在體系中不加以整合,則其實施會遇到很大挑戰。如基于ISO 9001,公司制訂了項目管理過程,針對項目從立項到結項的一列過程,而公司可能在ISO 27001中的“信息安全管理制度”中,根據ISO 27001附錄A6.1.5中有關對項目管理中信息安全要求,做出在項目實施過程中的信息安全要求“在項目實施計劃中,采用風險分析方法,分析項目信息安全風險,并根據分析結果,制訂信息安全實施措施”。這導致在業務過程中沒有規定其實施要求,這些要求反而分散在體系中各個不起眼的過程中,過程實施者在實施時很難聯想到這些規定,也無法很好地實施這些規定。

2 多體系整合實施思路

多體系整合基本上分4步進行。

2.1 合并同類項

這一步相對簡單,將相同的過程合并成同一個過程,如多個體系均有“培訓管理制度”,則保留其中一個就可以。

如果在多個體系中,有相同的管理制度,則保留一個即可,如這些約定有少量不同,則檢查不同點在哪里。不同點一般有兩種情況:一種是各個體系分別增加的,互不影響的約定,如ISO 20000“培訓管理制度”中有關培訓內容部分約定需要做IT服務意識培訓,而在ISO 27001中相應內容則約定需要做信息安全培訓,則只需要將這些約定整合在一起即可。另外一種情況是有沖突的約定,此時需要仔細分析甄別,取其中的合理成分。

如果在多個體系中,針對不同的業務,有類似的管理制度,則需將相同的內容加以整合,如公司系統集成有“系統集成項目實施制度”,軟件開發有“軟件開發項目實施制度”,運維服務有“運維服務項目實施管理制度”,這些項目實施管理制度,表面上看有諸多不同,但實際上,除部分細節差異外,其管理過程基本上完全一致,對其進行分析、整合,形成統一的、滿足公司所有項目實施的“項目管理制度”,有利于公司的過程規范和執行。

2.2 交叉融合

在該步驟中,將同一個過程中的不同約定,整合在一起,方便過程的執行。

如ISO 27001附錄A6.1.5中有關對項目管理中信息安全要求,不再獨立形成文件另行規定,而是整合在公司的“項目管理制度”中。

在該步驟中,實施的重點在于如何將不同文件的不同規定整合在一起。

2.3 過程驗證

對每個過程,針對公司的實際情況進行演練和驗證,確保各個過程符合公司現狀,過程定義規范、完整、可行。

2.4 過程對標

將整合好的管理體系,按照各ISO體系資質要求,找出每個標準、每個條款對應的過程文件,形成《標準條款對應一覽表》,以確認體系符合各個標準。

如該步驟不能通過,則返回第三步。

篇8

【關鍵詞】 電力企業;網絡安全;安全策略

一、安全風險分析

電力企業計算機網絡一般都會將生產控制系統和管理信息系統絕對分隔開來,以避免外來因素對生產系統造成損害,在生產控制系統中常見的風險一般為生產設備和控制系統的故障。管理網絡中常見的風險種類比較多,通??梢詣澐譃橄到y合法用戶造成的威脅、系統非法用戶造成的威脅、系統組建造成的威脅和物理環境的威脅。比如比較常見的風險有操作系統和數據庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權)、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數據丟失或數據錯誤,使數據可用性大大降低。網絡中的線路中斷、病毒發作或工作站失效、假冒他人言淪等風險,會使數據完整性和保密性大大降低。鑒于管理網絡中風險的種類多、受到攻擊的可能性較大,因此生產控制系統和管理系統之間盡量減少物理連接,當需要數據傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或專用隔離裝置(一般稱做網閘)。

二、安全需求分析

一般電力企業的安全系統規劃主要從安全產品、安全策略、安全的人3方面著手,其中安全策略是安全系統的核心,直接影響安全產品效能的發揮和人員的安全性(包括教育培訓和管理制度),定置好的安全策略將成為企業打造網絡安全最重要的環節,必須引起發電企業高度重視。安全產品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網絡信息系統發起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業務系統之間不產生消極影響的技術手段和工具,是確保業務和業務數據的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業經營鏈中的細胞,既可以成為良性資產又可能成為主要的威脅,也可以使安全穩固又可能非法訪問和泄密,需要加強教育和制度約束。

三、安全思想和原則

電力企業信息安全的主要目標一般可以綜述為:注重“電力生產”的企業使命,一切為生產經營服務;服從“集約化管理”的企業戰略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業生產控制系統不受干擾,保證系統安全事件(計算機病毒、篡改網頁、網絡攻擊等)不發生,保證敏感信息不外露,保障意外事件及時響應與及時恢復,數據不丟失。(1)先進的網絡安全技術是網絡安全的根本保證。影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素,它們是設計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術實現的基礎。要選擇相應的安全機制,集成先進的安全技術,形成全方位的安全系統。(2)嚴格的安全管理是確保安全策略落實的基礎。計算機網絡使用機構、企業、單位應建立相應的網絡管理辦法,加強內部管理,建立適合的網絡安全管理系統和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網絡安全意識。(3)嚴格的法律法規是網絡安全保障堅強的后盾。建立健全與網絡安全相關的法律法規,加強安全教育和宣傳,嚴肅網絡規章制度和紀律,對網絡犯罪嚴懲不貸。

四、安全策略與方法

1.物理安全策略和方法。物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路的設計,包括建設符合標準的中心機房,提供冗余電力供應和防靜電、防火等設施,免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料;要建立設備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權限,防止和控制越權操作。

2.訪問控制策略和方法。網絡安全的目的是將企業信息資源分層次和等級進行保護,主要是根據業務功能、信息保密級別、安全等級等要求的差異將網絡進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網內,提高網絡的整體安全水平,目前路由器、虛擬局域網VLAN、防火墻是當前主要的網絡分段的主要手段。而訪問管理控制是限制系統內資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術和安全管理中心結合起來,實現多重防護體系,防止內容非法泄漏,保證應用環境安全、應用區域邊界安全和網絡通信安全。

3.開放的網絡服務策略和方法。Internet安全策略是既利用廣泛、快捷的網絡信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術,利用防火墻來構建堅固的大門,同時對Web服務和FTP服務采取積極審查的態度,更要強化內部網絡用戶的責任感和守約,必要時增加審計手段。

4.電子郵件安全策略和方法。電子郵件策略主要是針對郵件的使用規則、郵件的管理以及保密環境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現象越來越多,迫使防范技術快速發展,電力企業可以在電子郵件安全方案加大投入或委托專業公司進行。

5.網絡反病毒策略和方法。每個電力企業為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發展到了到實時監控,并且針對特殊的應用服務還出現了相應的防毒系統,如網關型病毒防火墻以及郵件反病毒系統等。

6.加密策略和方法。信息加密的目的是保護網內的數據、文件、密碼和控制信息,保護網絡會話的完整性。其方法有虛擬私有網、公共密鑰體系、密鑰管理系統、加密機和身份認證鑰匙手段等。

7.攻擊和入侵應急處理流程和災難恢復策略和方法。主要方法是配備必要的安全產品,例如網絡掃描器、防火墻、入侵檢測系統,進行實時網絡監控和分析,及時找到攻擊對象采取響應的措施,并利用備份系統和應急預案以備緊急情況下恢復系統。

8.安全服務的策略。再好的安全策略和方法都要通過技術和服務來實現,安全產品和安全服務同樣重要,只有把兩者很好地結合起來,才能真正貫徹安全策略。

需要注意的是“最小的成本和以能接受的風險獲得IT投資的最大效益”。一個“大而全”的安全管理系統是不現實的,只有符合企業信息網絡架構和安全防護體系要求的產品,才能真正達到網絡的防護,一方面避免有漏洞的產品對系統安全造成更大的危害;另一方面避免造成成本上的浪費。目前承包商可以提供的安全服務主要有:安全需求分析、安全策略制定、系統漏洞審計、系統安全加固、緊急事件響應、網絡安全培訓。承包商還可以提供對資產管理保護類的產品,主要有實時監控的網管軟件、集中式安全管理平臺、安全監控和防御產品、內網安全管理、防止內部信息泄漏的安全管理、網絡訪問行為與通信內容審計等。

目前,計算機網絡與信息安全已經被納入電力企業的安全生產管理體系中,并根據“誰主管、誰負責、聯合保護、協調處置”的原則,與電力企業主業一樣實行“安全第一、預防為主、管理與技術并重、綜合防范”的方針,在建立健全企業內部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓體系,根據科學的網絡安全策略,定期進行風險評估/分析和審計,采用適合的安全產品,確保各項電力應用系統和控制系統能夠安全穩定的運行,為電力企業創造新業績鋪路架橋。

篇9

2010年,衛生系統各單位、各部門圍繞繼續擴大衛生信息化覆蓋的范圍和領域,提高衛生信息化應用水平,保障系統安全,持續努力工作,取得了顯著成績。受北京市衛生系統信息化領導小組委托,現在由我向大家做工作報告,總結2010年工作,部署2011年重點任務。

2010年衛生信息化工作情況

1. 積極推動醫改各項工作

2009年國家頒布新醫改方案,2010年北京市制定“北京市2010~2011深化醫藥衛生體制改革實施方案”。關于衛生信息化工作,在北京的醫改文件中提出:“啟動醫藥衛生信息綜合服務平臺建設前期工作。探索利用網絡信息技術,試點發展遠程會診。推進信息化標準建設,逐步統一規范醫院信息系統數據接口和信息采集,推進公共衛生、醫療、醫保、藥品、財務監管等信息系統互聯互通工作。提高信息化水平,城鄉居民電子健康檔案建檔率達到20%?!?/p>

2. 衛生信息化人員機構和隊伍建設又見成效

2010年,昌平區衛生局新成立了信息中心,使我市16個區縣中,區縣衛生局成立信息中心的數量達到12個。目前,只有海淀、豐臺、通州、門頭溝4個區縣衛生局仍然沒有成立信息中心。

3. 堅持衛生信息化行業管理不松懈

自2003年后,為避免信息化建設各自為政、重復建設、盲目建設、數據多頭采集,北京衛生信息化按照“統一規劃、統一標準、統一建設、統一管理”的“四統一”原則開展工作。

起草《北京市“十二五”衛生信息化規劃》

2010年是十二五規劃之年,《北京市“十二五”衛生信息化規劃》專項規劃是《北京市衛生事業發展改革“十二五”規劃》的重要組成部分。市衛生局全面征求區縣衛生局、直屬事業單位和直屬三級醫院的意見,多次組織召開專題研討會征求意見。目前,已經完成了規劃的制訂,準備近期。

制訂醫院門急診信息系統相關標準規范

完成《北京地區醫院門急診信息系統基本功能規范和數據采集規范》(試行稿),于9月19日向北京地區50家三級醫院及11家遠郊區縣中心醫院下發《關于建立北京地區醫療機構門急診信息報告制度的通知》(京衛醫字〔2010〕212號)以及《關于做好門急診信息系統接口改造工作的通知》,該規范作為醫院門、急診信息系統改造以及數據采集的規范依據正式試行。

完成了《北京市藥品分類與代碼規范》,北京市質量技術監督局已經將其列入2011年北京市地方標準修訂計劃之中。

完成衛生信息化項目前置審核工作

按照《北京市衛生信息化項目建設管理辦法》(京衛辦字〔2008〕107號),做好衛生信息化項目的前置審核評審等項目管理工作。2010年共收到各單位上報項目76項,涉及資金3億元。經市衛生局信息化領導小組審核,通過22項。

通過統一評審和歸口管理,可以全面了解各單位的衛生信息化情況,做到統籌管理,使得各部門的信息化建設符合衛生信息化總體規劃和發展方向;同時利用市公共衛生信息中心及相關專家資源對于項目建設方案進行評估,使得方案在總體設計、安全管理、網絡建設、國產軟硬件產品和信息共享等方面更加全面、科學。

4. 重點應用系統建設取得實效

新社區衛生信息系統推廣實施順利

新社區衛生服務綜合管理信息系統是全面覆蓋社區衛生服務機構和社區衛生管理機構,以建立居民健康檔案為核心,支持基本醫療和公共衛生服務的信息系統,符合社區衛生改革的要求。

在新社區衛生服務綜合管理信息系統中,著力建設社區衛生業務和財務等應用系統,實現市、區縣和基層三層體系架構。2010年完成了試點項目驗收,6月24日啟動全市推廣。截至到2011年3月6日,在西城、原崇文、原宣武、順義、朝陽、海淀、石景山等8個區縣、52個社區衛生服務中心、178個社區衛生服務站穩定運行,建立電子健康檔案526萬份,原東城、西城、崇文、宣武四個城區基本完成實施推廣任務,順義、海淀、石景山、昌平區、密云縣進展順利。

借助醫聯碼系統,實現門急診信息采集

北京市實名就診卡完善(醫聯碼系統)項目是我市建立門急診信息報告制度的支撐項目,是我局針對目前管理需求對原北京市實名就診卡完善項目進行變更后重新啟動的項目。該項目在全市三級醫院及十一家區級中心醫院實施,將為非醫?;颊呓⒔y一的條碼,通過此條碼采集門急診就診信息。項目實施至今,已在全市推開,醫聯碼發放及信息采集工作業已開始。截至3月15日,已有39家醫院完成接口改造,大興人民醫院、婦產醫院、同仁醫院、房山第一醫院等31家醫院共計發放醫聯碼28.95萬條。朝陽醫院、婦產醫院、人民醫院、北醫三院、中日友好醫院等17家醫院已經上報門急診信息,共計93.8萬條。

5. 固化衛生行業信息安全保障成果,提高安全管理水平

2010年的衛生行業信息安全的重點工作是固化奧運和國慶信息安全保障工作成果,在行業內以推動等級保護為依托,進一步提高全行業信息安全管理水平。在各級領導的重視下,各單位圓滿完成了2010年信息安全相關工作。

開展衛生行業信息安全檢查

2010年,為督促我市衛生行業各單位做好信息安全保障工作,細化各項信息網絡安全工作措施,進一步提升網絡與信息系統支撐醫療服務工作的效率和水平,確保我市衛生行業網絡與信息系統安全穩定運行,市公安局和市衛生局對全市大中型醫院及市屬醫療衛生機構開展了網絡和信息系統安全檢查。

出臺《醫療衛生信息安全等級保護實施指南》

2010年,結合近幾年信息安全聯合檢查中遇到的各類問題,信息中心組織出版了《醫療衛生信息安全等級保護實施指南》。規范了醫療衛生信息安全等級保護工作的基本思路和實施方法,指導我市醫療衛生信息建設中的信息安全保障工作,對搞好醫療衛生信息安全保障具有十分重要的現實意義。

開展信息安全培訓

2010年,在衛生局直屬單位開展了信息安全員信息安全保障知識培訓,共進行了8次授課,共400余人次接受了培訓,提高了信息安全員的信息安全保障能力,為各單位的信息安全保障奠定了基礎。

2011年衛生信息化重點任務

1. 十二五期間信息化建設基本任務

未來五年,衛生信息化建設的主要任務是建立“基于電子病歷和居民健康檔案的醫藥衛生信息化工程”,主要內容可以概括為一張網絡、兩級平臺、三個基礎數據庫。

一張網絡,是指全市各級各類醫療衛生機構與行政管理部門互聯互通的信息傳輸網絡;兩級平臺,是指市、區/縣兩級衛生信息交換平臺;三個基礎數據庫,是指執法相對人數據庫、醫療衛生資源數據庫和居民健康檔案數據庫。實現上述目標,依靠的是標準規范和信息安全保障兩個體系。

2. 推進醫院信息化建設

電子病歷試點工作

衛生部為推進醫藥衛生體制改革,加強醫院信息化建設,于2010年9月下發了《關于開展電子病歷試點工作的通知》(衛醫政發〔2010〕85號)文件,決定在北京市等22個?。▍^、市)部分區域和醫院開展電子病歷試點工作,確定試點工作時間為1年。市衛生局根據衛生部文件的精神和要求,組織制定了《北京市以電子病歷為核心的醫院信息化試點工作實施方案》,明確了指導思想、工作目標、組織管理、實施步驟及工作要求。同時還制定了《北京地區電子病歷試點技術方案》,指導試點醫院推進電子病歷工作。

醫聯碼相關工作

醫聯碼系統為北京地區醫療機構門急診信息采集提供了支持,奠定了基礎。根據北京市衛生局《關于建立北京地區醫療機構門急診信息報告制度的通知》(京衛醫字〔2010〕212號)文件要求,三級醫療機構及11家遠郊區縣區域醫療中心2011年1月起,正式啟用門急診信息上報工作。今年要繼續推進醫聯碼相關工作,希望各醫院建立院內的組織協調工作機制,積極開展醫聯碼接口改造、信息上傳、門急診就診信息上傳等工作。

3. 推廣實施社區衛生信息系統

市衛生局、市編辦、市發改委、市財政等八部門聯合下發的《關于進一步推進社區衛生改革與管理工作的意見》(京衛基層字〔2010〕25號)要求,“以有利于工作開展、有利于方便居民、有利于加強管理為目標,全面推廣應用全市統一的新社區衛生服務綜合管理信息系統,并不斷完善功能。到2011年底,建立起以健康檔案為基礎的覆蓋全市社區衛生服務和管理機構的信息化管理體系,搭建完成覆蓋全市社區衛生服務管理中心、社區衛生服務中心、社區衛生服務站的互聯互通的網絡。加強市、區兩級社區衛生服務綜合管理信息平臺的建設?!?/p>

各區縣積極推進社區衛生信息化工作,年底之前,完成16區縣推廣應用部署工作。目前,推進較好的區縣為東城、西城、順義、海淀、石景山、昌平、密云、大興等。

4. 加強公共衛生和衛生管理信息化建設和綜合利用

推動居民電子健康檔案建立工作

根據醫改要求,把為轄區常住人口重點人群自愿建立統一、規范的居民健康檔案,及時更新健康檔案,并逐步試行計算機管理等工作列為本市為居民提供的基本公共衛生服務項目。2011年的醫改任務責任書中,各區縣居民電子健康檔案建檔率指標有所不同,但全市總體要求達到50%以上。北京市新社區衛生服務信息系統已經提供了電子健康檔案建立的工具,請各區縣組織人員開展電子健康檔案相關工作,以便建立實時動態變化的社區居民電子健康檔案,為社區居民服務,為家庭醫生服務。

啟動婦幼保健網絡信息系統二期

3月啟動婦幼保健二期建設,系統將覆蓋北京市婦幼保健院、16所區縣婦幼保健院(所)、近800家承擔婦幼保健服務與管理工作的醫療保健機構、1000余家托幼園所等機構,以婦幼健康檔案為核心,實現與醫院和社區信息共享的、完整的、動態的、連續的婦女兒童保健信息庫。計劃9月開發完成,試運行。各區縣不需再單獨建立婦幼信息系統。

2011年工作要求

1. 領導重視,加快落實信息化機構和人才隊伍建設

目前,仍有部分區縣沒有成立信息中心,部分直屬機構沒有信息管理部門,衛生人才隊伍薄弱,嚴重影響了信息化建設。各單位領導要高度重視,盡快落實機構設置和人員配置問題。

2. 加強管理,保障信息系統安全

今年市衛生局將繼續以信息系統等級保護工作為依托,繼續加強全市衛生行業信息安全管理工作。

繼續聯合市公安局對行業進行信息安全檢查,重點針對電子病歷試點單位、重要公共衛生部門進行安全檢查。

按照市信息安全協調領導小組工作部署要求,進一步加快推動等級保護。

3. 樹立大局觀念,加快社區衛生信息系統的推廣應用

要求各區縣加強組織,落實責任,協調相關部門,加大推廣力度,2011年底之前完成任務。

使用全市統一的新社區衛生服務信息系統。

篇10

關鍵詞:信息化;信息安全管理;企業管理

中圖分類號:F279.23 文獻標識碼:A 文章編號:1001-828X(2012)03-00-01

隨著信息技術的發展和網絡化應用的普遍推廣,各機關組織和企事業單位都開展各類管理業務的信息化建立。企業的發展運作離不開信息系統的安全運行。信息安全通過保護企業信息的機密性、完整性和可用性,不僅保護了企業各類信息資產的安全,還能增強企業的核心競爭力,維護企業的形象和信譽。信息安全對企業的生存和發展的是至關重要的,需要從戰略的高度對信息安全進行規劃和管理。

一、企業中信息安全管理經常存在的問題

日常安全管理中存在的主要問題,首先是用戶安全意識和觀念薄弱的占58%,第二位的是網絡安全管理人員缺乏培訓,占39%;其后,依次是保障經費投入不足、缺乏安全信息共享和安全產品不能滿足要求。

不僅在日常管理中,在技術管理方面也存在一定的問題。在CSDN泄密門事件中,專業IT博客“月光博客”撰文表示“整個事件最不可思議的地方在于,像CSDN這樣的以程序員和開發為核心的大型網站,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道,為了用戶的安全,應該在數據庫里保存用戶密碼的加密信息,這樣黑客即使下載了數據庫,破解用戶密碼也不是一件容易的事情” ??梢?,有些涉及技術方面的問題,也并不是單純的技術問題,而是與技術人員安全意識不強、責任心不到位有關。

為了了解企業內部員工在信息安全問題上的看法及所做的努力,我們對一家電子商務企業和一家銀行的部分工作人員進行了問卷和訪談調查,發現在企業員工中存在如下一些問題:

1.是信息安全意識方面,被調查者認為信息安全對企業和個人都非常重要。但大多數受訪者對信息安全的問題了解很少等。

2.很多受訪者認為信息安全屬于技術人員的事情;與技術人員的交流非常少;忙于業務,沒有時間去處理。

3.是用戶認為信息安全管理措施效果不好。有些信息安全行為的規范標準雖然掛在網上或貼在墻上,很少有人去關注;公司發動的信息安全的培訓活動沒有收到好的效果。

二、信息安全問題的根源

通過對調查的結果進行深入分析,發現導致信息安全事件頻發、風險損失嚴重的原因從根本上來說,有以下幾個方面:

1.信息安全是一個多維問題,涉及到企業管理的方方面面。企業在信息安全問題上往往涉及多個部門。有些情況下,無法明確責任,使得信息安全得不到應有的重視以及有效的管理。

2.風險平衡理論認為,人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以到達絕對安全的狀態,由于人性的緣故,也不會那樣去做。

3.信息安全與效率和便利性本身是矛盾的。信息安全加強了,受到的約束也就多了,相應地效率也就降低了。比如簡單規律地密碼,可以不必費力去記;插入U盤時進行殺毒,必然要耽誤時間;沒有接入網絡,不可能受到網絡攻擊,但也就失去了網上瀏覽所需信息、網絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網絡的那臺計算機”。

4.由于某些緣故,網絡中總是存在黑客,專門竊取信息或破壞網絡系統。他們的水平都非常專業,一般的用戶難以預防。所謂“道高一尺,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進步的。

5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發生所帶來的損失的難以把握。

所有這一切因素,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免。這也是導致信息安全事件發生頻率居高不下,風險損失較大的主要原因。

三、相關的建議和策略

針對企業信息安全的問題,文章運用管理學的理論進行論述。企業管理涉及四個功能:計劃、組織、領導、控制 。

1.從計劃的角度來看:企業應當確立信息安全的發展戰略,從戰略的高度來對待和管理信息安全,確保信息安全所引發的風險達到可以接受的范圍之內。從全局角度制定信息安全的策略,確立信息安全的目標,以及實現目標需要的行動方案。

2.從組織的角度來看:人力資源的管理的觀點認為,企業的組織結構,取決于組織戰略 。在許多企業組織結構中,只有技術部門,沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過,技術管理與安全管理兩個部門必須設置成為兩個獨立的部門,否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門,這個部門并不負責具體的技術,但是要懂技術,主要是開展企業的安全培訓工作、日常的安全管理工作、對存在的風險進行評估,最大限度地降低安全風險。

3.從領導的角度來看:根據wilde的風險平衡理論,一個人會愿意承擔一定程度的風險。 “風險平衡”觀念會讓整個機構處于盲目樂觀的過度自信狀態,不管是企業的員工還是管理者都傾向于追求效率 ,從而忽視信息安全的投入。

在企業的管理過程中,應當加強信息安全、風險意識方面的培訓和教育,增進員工與技術人員的面對面的溝通與交流,開展有效的安全意識活動。

4.從控制的角度來看:對風險的控制要求企業對自己的安全狀況不斷評估,時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作。

文章從管理學的角度來分析信息安全風險管理,對信息安全問題做了實地調查,分析了目前信息安全存在的一些問題,并對存在的問題的根源進行了深入的分析,最后文章運用管理學的理論,從計劃、組織、領導、控制四個角度出了相應的建議和策略。

參考文獻:

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志華.企業管理[M].大連:東北財經大學出版社,2011,1.

[3]廖三余,曹會勇.人力資源管理[M].北京:清華大學出版社,2011,9.