信息安全管理計劃范文

導語：如何才能寫好一篇信息安全管理計劃，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】計算機；信息安全；管理工作；強化

一、引言

21世紀是電腦網絡科技的世紀，信息借助網絡傳輸既快速又廣泛的流通與交換，科技進步孕育出全球化社會。隨著網絡的普及化，信息安全的重要性更加凸顯，提升企事業組織信息安全防御能力，便成當務之急的工作。信息安全維護旨在確保信息的機密性、完整性與可用性，我們應當落實最佳安全實務準則及縱深防御策略，以應對信息網絡安全的威脅。有鑒于此，無論是防護機制建立、法令規范修訂、教育培訓與人才培養，均須落實執行。傳統的信息安全架構與信息服務的安全架構是目前經常被拿來相比較的議題，大多數的資料中心發展成信息服務中心時，傳統安全防護架構需要面臨擴充性以及適用性的挑戰，從信息基礎設施、運作應用程序以及各種不同類型的軟件服務，增加了管理上的復雜度。信息服務的營運管理，為確保信息服務內容與營運品質的重要因素，信息服務的管理，除了技術面的問題，許多必須注重在政策面的管理。

二、計算機信息安全管理工作開展思路

一是已知的信息安全脆弱性。假如一個公司或機構曾經對其本身的信息系統安全進行評估并研析評估資料，則這一公司或機構將可更有效地確保其信息系統的安全，同時可將其先前所存在的弱點的性質告知其他公司與機構，以節省彼此的時間及風險。但是，當相關公司擔心因對弱點的矯正不夠徹底而面臨法律問題時，則將影響此種信息分享的方式。舉例而言，若是某一公司或機構只對其系統中經確認的弱點的90加以改進，并將相關信息與其他公司分享，則這一公司可能會因違反管理標準而遭到處罰。

二是有關進行中的IT 方面的攻擊或持續存在的威脅的預警（但不提及“來源與方法”）。信息系統管理人員與網絡管理人員是最可能首先發現入侵行動或攻擊行動的人。他們大都不愿意將入侵事件向執法單位報告，因為他們擔心業主所擁有的信息會因而對外泄漏或一旦入侵事件公諸于世會危害機構或該公司的名譽。所以，當執法單位接獲有關持續進行的攻擊事件的報告時，應設法對這一信息加以篩選、分析，然后分送給其他可能會受影響的單位。如此一來，將可不在提及遭受攻擊的機構或公司名稱的情形下，確認潛在的脆弱性或攻擊行動。在另一方面，出現有計劃的攻擊或刺探行動時，因為這等行動通常普遍可能成為國家安全的隱憂或因為該行動是來自于某一特定的外國，故由執法單位進行的信息分享方式顯得特別重要。

三是用以對付某種型態的IT 方面的攻擊的策略。當某一機構發現了一項弱點或被告知某項弱點，而且也找到了解決辦法，則這一機構可能會抗拒與其他機構分享此方面的信息，因為這種解決辦法對業主而言極具價值。有關這一方面，政府的職責應在于對相關信息進行事前的篩選后加以分送，這一方面有助于其他機構做好預防工作，一方面又不至于泄漏關鍵信息。我們可要求各個公司提供有關新病毒、網絡蠕蟲與木馬的信息、某一特定黑客所使用的方法、與選定特定攻擊目標的黑客會面所收集到的信息等。這一做法未來將有助于建立與識別相關的軌跡，并有助于提升入侵偵測的能力以發揮更佳的保護效果。

四是通過偵測、分析、防御與應變程序進行信息服務的管理，面對所遭遇的問題，通過不斷的持續改善，依據所發掘的異常行為進行信息服務的改善，包括了基礎設施、系統平臺以及應用程序等，增加信息服務的完整性與可靠度。信息安全管理系統可應用于公有信息服務、私有信息服務或是混合性的信息服務架構中，通過整體的自我防御機制，以維持自然的生態平衡，能夠對于異常的行為特征進行應對與處置。信息安全管理系統，必須擁有自動化的處理能力，面對外來與內在的威脅，進行自我的防御與應變，以縮小影響的范圍與處理的時效，面對大量的資源而言，必須有效的掌握現有資源的狀態，以做為資源的調配上的參考指標。

三、計算機信息安全管理系統構建

信息運算環境下的安全威脅，以風險的角度可以分成信息安全技術、流程、程序、法律以及互信模式等項目進行討論，以信息安全技術而言，為符合服務導向的架構，目前進行信息安全的規劃與設計時，須先確定提供服務的內容與對象，以確定需要導入的信息安全技術為何。信息服務安全的標準化建設，必須具備以下幾項要件。

第一，信息安全管理系統將相同的理論應用在信息運算所提供的信息服務上，將整個信息架構分成了偵測、分析、防御、應變等幾個元件。一是偵測：通過信息安全相關的設備，如應用層防火墻、通訊協定分析設備、入侵偵測系統、誘捕系統等，建立信息環境的偵測點，運用特征比對與行為分析的方式，進行異常狀態的偵測，進行信息的收集，以提供后續的進行資料探勘與分析使用。二是分析：大尺度的信息環境，產生大量的系統日志與網絡流量等資料，因為信息服務維運的需求，又必須即時進行資料的探勘，以掌握信息服務的狀態，若有異常的行為出現，必須進行處置以避免影響信息服務的安全，因此通過建構日志系統以提供未來稽核所需要的佐證文件，為規劃與建構信息資料分析平臺不可或缺的考量。三是防御：信息環境須具備防御的機制，當有異常的行為出現時，必須能夠進行自我的防御，以避免影響其它的信息服務。四是應變：針對異常的行為或是威脅進行應變處置，必須具備自動化應變的能力，通過自主的應變措施，以提供信息環境掌控風險，并且結合風險評價與改善規劃，進行環境的調整，以達信息服務的持續提供。

第二，實現與維護信息安全計劃。完整的信息安全防護計劃，可以確保信息架構的安全，針對風險與威脅都進行管理與控制，并且能夠持續維護信息安全計劃的有效性，以應對新型態風險與威脅的出現，通過應變策略的擬定，針對信息服務的安全性進行掌握。另外，還需建構與管理信息安全的基礎設施。通過完整的基礎設施，能夠提供信息服務所需的高彈性資源調配，確保服務的可靠性，因此通過基礎設施的保護，為提供信息服務的基本要素，同時通過服務供應商，以確保在符合法律、法規以及客戶的要求下，有能力滿足對于所要求的服務內容。除此之外，確保機密資料安全防護。資料的安全防護為信息服務的核心原則，所有通過信息服務進行傳輸、存取與保存的資料，必須受到嚴格的資料安全防護機制，對于企業而言，機敏的資料必須確實受到安全的防護，才會考慮是否采用信息服務模式在其商業營運上，因此無論采用何種方式使用信息服務，所有的資料流均必須考慮到資料安全的防護問題。

第三，實現嚴謹的存取控制與身份識別管理。使用者可以由不同的管道使用信息服務，但是不論使用何種方式，均必須確保能夠正確的驗證使用者的身份，并且能夠針對使用者的權限進行有效的管理，以限制能夠提供存取的資料范圍。另外，需建立應用程序與環境的配置。當使用者通過信息服務的使用者界面進行服務內容的設定，信息服務的架構必須由一連串的變更進行環境的配置與設定，以確定能夠由自動化的程序，建立應用程序與環境的整合。

第四，實施信息治理與稽核管理規劃。對于信息環境的管理，必須配合稽核計劃進行，以確保所有的信息服務能夠在可被驗證與舉證的前提下，提供使用者安全上的信賴，其中必須涵蓋日志的收集以及需要進行稽核的紀錄，整體的管理規劃必須同時配合信息服務的推出進行建構。另外，需要實現弱點掃瞄與入侵偵測系統架構。在被信任的的信息服務中，必須實現信息架構中的基礎設施、系統平臺以及應用程序的弱點管理機制，通過管理機制的建立，以進行嚴格的弱點管理計劃，配合入侵偵測系統、入侵防御系統以及IT資源的管理，其中包括了網絡、服務器、基礎設施等元件，以確定提供信息服務的內容，不因為存在弱點而造成風險與威脅。

第五，采用對稱與非對稱式的信息加密防護策略。該加密過程至少包含以下元素：明文、加密演算法、加密鑰匙及密文。明文代表未加密內容，密文代表加密后內容，演算法代表加密規則、鑰匙代表加密時所要定義的參數。以替代加密法的例子為例，選定凱撒加密法為演算法，而決定字母要位移幾位，就是鑰匙，加解密雙方都必須知道這只鑰匙，才能順利加解密。加解密時使用同一把鑰匙，是一直以來的概念，也即密碼學發展到此時，均屬對稱式加密，諸如DES、RC2、Blowfish等。于是在加密法強化到難以破解后，鑰匙的交換與保護，便成為重要課題。無論資料如何加密保護，鑰匙的傳遞都必須曝露在相對公開的環境下傳送，非對稱式加密，即是為了解決這樣的困境而誕生的。

四、結語

信息安全研究中一項重要的目標是發展高度安全、可靠及彈性的信息系統，確保未來使用電腦、網絡與其他網絡系統變得和打開電燈或水龍頭一樣的安全及可靠。美國等發達國家十分重視保障未來各種信息系統安全的基礎建設，要求各種信息設備在出廠時即具有使用者可以信賴的安全性以及可靠度。在預算范圍內發展高度安全與可靠的系統將是未來追求的目標，并需通過全國性的網絡安全研究發展程序來達成。

我國開始關心數字社會信息安全的作業，時間尚短經驗的累積不多，許多應建立的價值、觀念、制度，大家都還在摸索之中。隨著信息技術的一日千里，在“運籌于虛擬實境之外，決勝在網頁方寸之中”的數字社會信息系統安全的環境下，如何應對我國民生息息相關的信息系統安全作業等議題，值得展開更深入的思考與討論。傳統的信息安全問題，仍然會出現在信息服務的環境中，但伴隨著虛擬化的架構、動態資源的調配以及跨越不同地理位置的服務模式，將讓信息安全的問題變得更為復雜，而且新型態的安全問題也隨著信息服務的提供而出現，因此更需要通過技術的層面以及管理的層面，整體的檢視信息服務與相關的架構，方能提供信息服務的使用者在安全防護上的保障，結合信息安全監控中心，對于信息環境內的狀態進行掌控，保存相關的系統日志與稽核紀錄，可做為信息安全事件分析的重要信息來源。

參考文獻

[1]張昱.對計算機網絡技術安全與網絡防御的分析[J].廣東科技，2011（10）.

[2]譚濤.淺談計算機網絡安全與防范[J].科技信息，2009（29）.

篇2

關鍵詞：信息安全；安全管理；體系；規劃設計

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Computer Information Security Management System Design and Planning

Chen Guo

(Chongqing University of Technology School of Business Information,Chongqing 400054,China)

Abstract:With the acceleration of information technology,information security technology,more and more attention has been paid,in particular,to do computer information security management system planning and construction,which is the information security one of the important issues facing, must be scientific analysis and layout,to safeguard the security of information systems.In this paper,computer information security management point of view,combined with the development of information security-related issues that exist in the effective analysis and discussion,and to make suggestions and countermeasures.

Keywords:Information security;Security management;System;Planning and design

計算機信息系統是一個較為復雜管理系統，在它的日常管理過程中，特別是保證其安全運行面臨著一系列問題的。計算機的管理是涉及到多個方面的問題，不僅包括硬件和軟件上的管理，與此同時在運行環境以及計算機病毒防止、計算機的安全響應上都要進行有效的維護，包括通訊故障或者是病毒干擾和感染上都需要采取一些列積極有效的措施，進而科學而有效的保障計算機的信息技術安全。我們知道，信息安全技術已經發展了長達二十多年，在這個過程中已經在不斷的完善，逐漸的形成了一個多學科的綜合性管理問題，在保障信息技術安全的進程中我們一定要注重綜合全局考慮。而針對于計算機的信息安全保障問題，我們一定要一個有效的安全保障機制，從涉及安全威脅的方方面面出發進行布局和規劃，進而建立起安全的保障體系。筆者將結合相關的問題在如下幾個方面對其進行有效的分析和探討。

一、計算機安全管理過程中的問題分析

（一）計算機信息安全維護過程中，保證網絡協議的安全性是其安全管理過程中的重要問題之一。在計算機的一些協議中，例如TCP/IP協議，這些協議和構架一般也都是互聯網上進行信息共享的，這樣一來其中就存在著一定的安全隱患和安全漏洞。這是當前計算機信息安全威脅的一個重要的來源，他對于計算機系統的破壞也是可想而知的，因此，開展計算機的信息系統維護一定要注意對其的防止，加強網絡上不明信息以及協議的安全管理，保障信息傳輸的安全性和科學性，始終以維護信息系統的安全為出發點進行全面客觀的分析。

（二）在計算機工作和運行的過程中存在的安全管理問題，也就是工作環境中所存在的安全漏洞。在現有的操作系統以及數據庫系統等典型的企業用戶工作環境中，其自身一般都會存在許多的安全漏洞，這是計算機安全的隱患之一，其主要包括了自身體系結構的建設問題，以及系統錯誤和混亂所帶來的漏洞，而這些底層的安全漏洞往往是不確定的，如果使用不當就會造成整個信息系統的崩潰。

（三）計算機系統產品自身的安全問題。一般來說網絡用戶大多已經采用了網絡以及相關的信息安全產品。在這個過程中如果其安全漏洞或錯誤，那么就會導致用戶內部網絡安全防范機制的失效。與此同時，計算機的安全隱患也不僅僅是安全產品自身的問題，即使安全產品自身不存在安全方面的隱患和漏洞，但計算機用戶在對產品進行實際的使用過程中，也會由于用戶的配置或使用不當從而造成對產品安全性能的破壞，使其自身性能大大的降低或者是喪失。

二、進行計算機信息安全體系的規劃和建設

（一）加強信息管理，設計加密系統進行保護。在信息化程度越來越高的今天，人們利用網絡進行信息的收集以及處理也越來越多，由此也會出現相關的信息安全問題，如果不多加防護，就會造成信息的泄露或者是文件的破壞等。針對這一問題，我們開展計算機的信息安全維護和系統建設一定要注意最基礎的信息加密體系建設。而信息的加密是為了更好的保護網內的數據、文件以及相關口令和控制信息。這樣一來，在網上進行數據的傳輸也就更加的具有針對性。而在加密管理的過程中一般有鏈路加密、端點加密和節點加密三種。一個加密網絡，不僅可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法。

（二）計算機信息安全審計系統的規劃和建設。我們知道，計算機系統在長期的運行過程中一般會出現這樣或者那樣的問題，如果不對其進行長期有效的檢查和維護的話，潛在的安全威脅就會趁虛而入。所以，加強計算機的信息安全維護一定要注意加強安全審計管理體系的建設，其主要內容就是針對系統中的所有資源和行為進行審計，其中包括數據庫、主機等。通過有效的審計，并對審計結果所作的記錄、得出的數據進行有效的分析，進而能更好的開展網絡安全防范和維護工作，一旦出現問題就可以及時有效、快速的找出原因進行妥善的解決。

（三）計算機信息安全的系統軟件系統建設。通常來說計算機所使用的各種版本的操作系統都存在一定不安全的因素，所以必須采取有效的措施加強安全系統的管理，對其中的數據庫軟件以及操作系統進行很好的維護。而這一問題的解決方法就要從系統終端的操作系統上進行相應的準備，重要的一點就是要采用統一的、相匹配的版本，這樣一來也可以從軟件系統的角度更好的進行維護和管理。

（四）計算機的物理環境安全防護體系建設。這一體系建設主要的就是針對于計算機所處的外部環境，也就是物理環境，包括對機房的監控系統維護、計算機所處的溫度等，甚至是漏水和電源情況等時刻進行監控。同時還需要考慮服務器的管理問題，保證外部的電源以及環境的溫濕度。

參考文獻：

[1]李濤.網絡安全概論[M].網絡安全,2004

[2]郝文江,李玉霞.基于計算機技術對信息的保護[M].2007,12

篇3

關鍵詞： 建筑安全；誠信體系；信息化管理

中圖分類號：TU714文獻標識碼： A

引言

建筑行業固有的低效能勞動密集型生產活動特點也決定了其較高的危險性。本文就建筑施工項目安全生產管理方面提出了若干辦法和建議以及相關法律法規的健全,與大家共同探討。

1、簡述建筑市場安全管理機制

1.1、安全管理機制

1.1.1、安全生產管理目標

安全生產管理目標必須明確、具體，針對地方、企業、項目的實際情況制定適用性強、操作性強、針對性強的全面、具體、詳細的安全生產管理目標、兼顧體現行業、地方、企業的總體先進水平，避免安全生產管理目標的過高過大或過低過粗，不利于安全生產管理工作的進步及保證項目的安全生產，更不利于保障企業和職工的生命與財產，違背了“以人為本”的精神，也違背了“安全第一，預防為主”的安全生產方針及相關的法律、法規。

1.1.2、安全生產管理體系

安全生產管理體系的科學，安全生產管理機構的健全，安全生產管理制度的完善，安全生產責任制的落實，是確保安全生產最基本、最關鍵的因素。沒有一個科學的安全生產管理體系，沒有一個高效運行的安全生產管理機構，沒有一套健全的安全生產管理制度，沒有落實的安全生產責任制度，安全生產就無從談起。 只有加強制度建設與落實，方可進一步確保安全技術措施及安全防護措施的落實，最終保證生產安全，保障企業及職工的利益。

1.2、證件管理

對于證件的管理指的是特種作業人員持證上崗、管理人員要求具備相關證件之后才可以在相關崗位上工作。作為安全生產的根本要求是管理人員需要做到持證上崗。主要包括有內容比較廣泛涉及到項目施工管理之中的任何一個方面，大到目經理，小到施工人員。而對與特種作業，尤其是對周圍設施有著較為重大危險的作業要求貫徹執行持證上崗制度，特種作業崗位證需要按照相關的規定按期加入到復檢，按時復檢、不合格和長期沒有在該崗位的工作人員工作的人員做好管理工作。

1.3、施工技術機械管理

施工機械、施工用電電器元件和一直相關的其他安全用品等需要具備出廠合格證，或者是質量性能檢測報告等件。同時需要定期檢測重要設施、安全用品的性能；制定各種專項檢查、驗收、維護、拆除等相關的管理制度；并且需要不斷做好對于各種安全防護措施、安全防護裝置（設備）的管理；及好對檢查、維護等過程制造之中出現的重大安全隱患進行整改的管理；專項整治的管理工作。

1.4、事故救援管理

施工企業及項目部制定好救援預案并保證在安全事故發生之時可以做到有條不紊，不斷提升安全應急能力。同時將應急救援人員配備到位，配備救援器材、設備，定期組織演練。安全事故應該急救援預案需要依據企業、項目等等具體情況制訂。

2、建筑企業安全生產誠信體系建設

2.1、我國建筑業安全管理存在的問題

2.1.1、培訓缺失

教育和培訓時間同樣不足，導致管理人員平常的管理工作之中對安全工作不夠重視，如何把安全管理工作同項目的生產、質量及成本管理工作彼此結合而缺乏常識，可以在第一時間避免安全事故的發生。而在另外一個方面，當前我國對于施工操作人員的安全培訓則一般是通過項目部依照相關的規章制度來執行，這樣就比較缺少較為有效的監督以及指導。所以諸多的項目將成本節約，同時不斷提升勞動生產率，那么在一定的程度之上減少安全培訓的時間和強度，使得諸多的施工人員在進入到施工現場之后就有一定的危險。而這些都給以后的安全管理工作的種下了安全隱患。

2.1.2、建筑企業需要不斷地提升安全度

當前建筑施工管理的安全管理人員比較少，并且從事安全管理工作的人員素質有待提升，于此同時建筑施工內部安全管理的投入不夠充分，在安全投入上就變為企業利潤挖掘的一種方法。同時安全管理人員的素質有待提升，建筑施工企業全投入不夠，而在安全上投入則變成企業利潤挖潛的一種變相的手段，做好安全自查、自控工作形式化，企業安全檢查工作則形同虛設，建筑企業如果過分依賴監督機構和監理單位，其在安全工作在一定的程度之上則是為了應付上級的檢查。沒有形成一個嚴格明確細化的過程安全控制，全過程安全控制運行體系就沒有辦法獲得高效的運行。建設工程的流水施工作業，作業地點環境更換頻繁。當前工程進展以及作業人員需要面對的工作環境、作業條件、施工技術等等需要不斷發生變化，此些變化則就給施工企業產生了較大的安全風險。

施工企業同項目部分離，使得安全措施沒有辦法獲得充分的落實。通常一個施工企業會承擔諸多項目的施工作業，企業同項目部之間一般是分離狀態。此種分離可以使得安全管理工作更多的由項目部承擔。然而，因為項目的臨時性以及建筑市場競爭的逐漸激烈，其在經濟上的壓力也與日俱增，公司的安全措施通常會被漠視。

在建筑施工的現場會存在諸多不安全的因素，建筑施工作為一種作業強度高、能耗較高以及施工作業的現場存在一定的制約性，同時施工現場的存在諸多的污染比如說噪聲、有害氣體、熱量以及沙塵等等。同時其勞動對象的規模的較大并且高空作業比較多，而此些工人則通常會露天作業，受到天氣、溫度的影響比較大，而此些則是工人經常面對的不利工作環境以及負荷。其施工作業的標準化程度通常達不到，也會使得施工現場危險因素逐漸增多。而工程的建設則是需要諸多參加，要求諸多專業技術知識；建筑企業數量比較多，同時在技術、人員、裝備、資金等等方面也有一定的差別。而這些也會使得建筑安全生產管理的難度逐漸提升，管理層次比較多，而管理關系也變得更加的復雜。

2.2、構建企業安全生產誠信體系的措施

2.2.1、認真搞好項目安全生產管理規劃

項目安全生產管理規劃,這是保證施工項目安全的十分重要的措施之一。諸多項目在項目總體策劃之中對于安全管理工作，通常較為一筆帶過,缺少具備針對項目不同施工階段存在的特點，編制較為詳盡的安全管理方案,使得安全生產管理過程之中缺少預見性,工作較為被動。

2.2.2、嚴格執行安全生產責任制。

需要逐漸樹立“以人為本”思想，將安全生產工作做好，這樣才可以事故的發生，堅持“安全第一，預防為主、綜合治理”的方針。在安全生產之中應該嚴格將安全生產責任制落實，首先應該明確具體的安全生產要求；對于具體安全生產程序也需要進行落實；其次，需要明確具體的安全生產管理人員，責任落實到人；再次，需要明確具體的安全生產培訓要求；第五，應該不斷具體的安全生產責任。建立安全生產責任制的考核辦法，使用考核的方式，實現獎優罰劣，這樣就可以提升全體從業人員執行安全生產責任制的自覺性，使得安全生產責任制的執行不斷鞏固。

2.2.3、積極推廣采用新技術、新工藝

在科學技術發展的推動之下,建筑施工企業需要不斷地提升其生產工藝,使用最新的技術,努力實現機械化、自動化進程,如此則就可以有效減少工人勞動強度,逐漸提升其施工安全技術水平,并且給安全生產創造條件。第一,應該對“四口”、“五臨邊”依照頒布標準進行水平以及立體防護的同時,同時設置定型化、工具化的防護欄桿、防護門、防護蓋板以及傳部位防護罩等防護用具；第二,應該設置統一的標準化安全警示牌、標志牌,將警示牌、標志牌的作用及時發揮出來,發揮出警示作業人員促進安全生產的作用；第三，應該嚴格檢查鍋爐、提升設備、塔吊、壓力容器、施工機具等安全設施,逐漸提升設備設置開門自鎖停靠裝置和防脫落斷繩保險裝置，堅持預防性電氣絕緣檢測、機械設備維修保養、機械強度試驗以及檢修制度，那么就可以使得傷亡事故在一定的程度之上有所控制。

2.2.4、規范防護用品采購、保管使用制度

施工現場安全防護用品這是施工生產過程之中預防事故、保護工人安全、健康一種十分重要的輔助手段,錯誤使用防護用品或者是使用假冒偽劣防護用品而導致出現的傷亡事故。因此對于偽劣防護用品流入應該做好管理工作，嚴禁其進入到施工場地。

2.3、特種設備在建筑施工安全管理中應采取的對策

加大隱患排查整改力度，依法進行定期檢驗。特種設備的單位應該使用經檢驗合格的設備，特種設備在安全檢驗合格有效期屆滿之前的1個月，使用單位需要向及時向特種設備檢驗檢測機構提出定期檢驗的要求，未經檢驗或者檢驗不合格的設備，不得繼續使用。各單位還要加強與外協隊伍的溝通協調，形成整體合力，并對特種設備依法進行定期檢驗，以便于對特種設備存在的安全隱患和不符合相應安全技術規范要求的項目進行整改和維護。加強特種設備操作人員持證上崗管理。為了避免特種作業操作人員無證上崗，違反特種設備及特種作業管理規定的情況的發生，要求操作人員必須是經考核培訓且持有效證件的熟練操作人員進行操作，堅決杜絕無證上崗現象。

此外，必須需要加強特種作業人員的管理工作，特種作業人員除了必須接受一般員工的安全教育外，還必須接受從事特種工種工作所要求的嚴格教育培訓。主要是三個方面：專業技術知識、安全知識、安全操作技能。這三個方面我們在傳授過程當中主要是通過安全生產方針政策與法律法規教育、一般安全生產技術知識教育、專業安全生產技術知識和安全生產技能教育、安全生產意識和事故案例教育來講授。比如說機械司機安全教育培訓梳理規范成以月度安全教育培訓為主線，其他例行性教育培訓（如崗前三級安全教育、班前安全教育等）、突發事件教育培訓（如事故分析處理通報教育等）、季節性教育培訓（如防風防臺學習培訓、防暑降溫與防雷培訓等）和專項性教育培訓（如應急常識及其演練培訓、回爐防疏培訓、安全操作和技術攻關交流與培訓等）等為支線，交接班安全生產信息交接以及臨時性安全生產短會為補充的安全教育培訓體系。

3、信息化管理的應用

3.1、重視起信息化的作用，推動信息化發展

面對時展的趨勢，我們不得不承認，不管是在現在還是在將來，信息技術化發展必將成為一個既定的發展趨勢，所以，作為一個建筑企業，既然想要在日益激烈的市場競爭中站住腳跟，就必須拋掉陳舊的思想，跟上社會發展的節奏，融入社會，全力推動信息化的發展，增加自己的競爭籌碼。就目前而言，我國的絕大部分的建筑企業依然沒有重視對于信息化的發展，這顯然是不行的，這樣的企業，在未來的科技化的社會競爭中，必將面臨著淘汰的危險。作為一個建筑企業，就應該做到管理辦公信息化，以提高企業的辦公效率，同時減少企業對于工作人員的要求，降低建設成本。而且，相對于人類來說，擁有系統化規范化處理技術的計算機，在核算以及統計規劃上，擁有著人類所無法比擬的巨大優勢。這些，都將成為提高企業經濟效益的資本，所以，作為建筑企業，應該重視信息化管理的作用，推動信息化技術的發展，拋出現今存在的局限性，以及不完全性的弊端，全力發展信息化技術。

3.2、重視信息化管理的應用，加強軟件的開發與更新

根據自身的實際情況，不同的建筑企業可以建立不同的信息化發展戰略，以改變建筑工程管理領域信息化應用程度較低的現狀。企業要重視起信息化管理的應用，絕不能僅僅使用在施工中的機械自動化中，在企業的管理中，同樣要利用起信息化，利用信息技術改造建筑業，充分發揮信息技術在建筑工程管理中的優勢。此外，應用軟件同樣也是實現建筑工程管理信息化應該具備的條件，而對建筑工程項目的相關業務缺少開發或者購置與之相應的軟件，那么比較難實現信息化建設的預期目的，也發揮不出硬件資源的作用。所以，為了可以不斷推進建筑工程管理的信息化，建筑企業需要對應用軟件給予一定程度的重視，不斷做好軟件的開發以及更新工作。

3.3、數字管理系統

數字管理系統是與當下計算機與網絡技術在建筑施工領域的不斷推廣相適應的，目前我國在建筑施工領域已經大面積實現了施工資料和建筑施工管理的電子化與網絡化，在安全生產管理中，無論是從業人員和管理人員數據的錄入，還是教育培訓的進行，都可以通過數字化文檔進行，更可以與網絡鏈接，傳遞與共享相關資料，而數字管理系統就是對企業安全生產管理中產生的數字化文檔進行整理和歸并，一方面以備查閱，同時也便于形成企業自身的安全管理數據庫。

4、結語

當前我國的經濟保持著比較好的增長勢頭，而作為國民經濟支柱產業的建筑業表現出良好的發展，當前我國建筑業較為落后的安全管理將會嚴重影響到建筑業的形象以及競爭力，所以安全生產管理工作具有十分重大的意義，因此需要對安全生產管理工作做好深入的探討。

參考文獻：

[1]彭本.建筑安全管理存在的問題及對策研究[D].大連理工大學,2013.

[2]齊新波.建筑生產安全事故預防基金研究[D].重慶大學,2013.

篇4

【關鍵詞】網絡安全；基層醫院；權限

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）01―0087-02

中央縣醫院能力建設使基層醫院信息化建設得到了迅猛發展，醫院信息系統已成為建設現代化醫院不可缺少的基礎設施和支撐環境。隨著越來越多的傳統的手工流程逐步轉變為軟件信息處理流程，醫院業務對于信息系統的依賴也越來越強，但信息安全是網絡時代產生的一個困擾所有使用者的問題，尤其是醫院業務所產生的數據具有隱私程度更高的特點，對于數據傳輸與數據存儲的安全性的要求更高，因此保障醫院信息的安全性成為醫院信息化建設過程中必須重視的關鍵問題。信息安全管理是通過維護信息的機密性、完整性與可用性來管理并保護組織所有的信息資產的一項體制。

1 醫院信息安全現狀

文獻對湖北省醫院信息安全狀況進行了調查和分析，調查結果如下：

醫院網絡安全措施方面，湖北省98.10%的二級及以上醫院已采用網絡安全措施，其中應用情況比較好的有防火墻設備、上網行為管理和域用戶管理模式，應用比例如圖1所示。

體系結構安全措施方面，醫院信息系統體系結構安全措施主要包括服務器雙機熱備、服務器集群、容錯機、服務器負載均衡等，湖北省二級及以上醫院信息系統總體采用率如圖2所示。

數據安全措施方面，數據安全是通過數據冗余、密碼認證等措施以防數據因系統硬件或軟件故障而引起數據丟失或泄漏的一種措施。調查結果顯示：應用率較高的安全措施，如數據庫鏡像備份、數據冷備份和數據離線存儲的應用率如圖3所示。

醫院信息安全制度和應急預案方面，93.51的二級醫院已制定醫院信息系統應急預案，其中制定比較完善的占30.93%；95.35%的三級醫院制定了醫院信息系統安全制度與措施，其中比較完善的占46.42%。

衛生部印發的衛辦綜發[2011]39號《基于電子病歷的醫院信息平臺建設技術解決方案（1.0版）》中對醫院信息平臺的安全體系框架給予了指導說明，如圖4所示。

基于電子病歷的醫院信息平臺安全體系總體框架包括：安全基礎設施、安全技術、安全管理三部分：

（1）安全基礎設施主要為基于電子病歷的醫院信息平臺安全運行所需的防護部件，通過安全基礎設施的安全互聯、接入控制與邊界防護、區域安全、通信安全、數據傳輸安全和安全管理等，為形成一體化的安全防護體系奠定基礎。

（2）安全技術包含安全計算環境、安全區域邊界、安全通信網絡、屋里安全及安全管理中心五個方面。

（3）安全管理建設需建立相應的信息安全管理機構、制定相應的信息安全管理制度、設置平臺運行所需的人員、崗位，建立對系統在運行開發過程中的制度，同時通過日常巡檢、咨詢、評估等運行管理來發現安全隱患并予以改進與提升。

2 醫院信息安全管理實踐措施

孝感市某醫院自2008年起開始全面建設醫院信息化，在軟件信息系統功能不斷提升改進的同時，也不斷地探索實踐信息安全保障的方式，形成了如圖5所示的醫院信息安全管理體系框架。

2.1 網絡安全管理

2.1.1 安全網關技術

采用路由器與防火墻相結合的Juniper SSG安全專用網關，通過網絡和應用層防護技術，用于阻斷蠕蟲、間諜軟件、木馬、惡意軟件和其他新興攻擊。此外，SSG安全網關設備還整合了防火墻系統ScreenOS，Juniper J系列路由器的廣域網接口模塊以及JUNOS系統廣域網封裝協議，以提供整合的安全和路由特性，可同時部署為防火墻和路由設備。

（1）內外網隔離：醫院內網與外部互聯網通過防火墻設置實現了內外網隔離，保證內網安全性。

（2）安全防護與效能：通過使用驗證的防火墻與丨 PSec VPN，加上UTM安全防護功能，包括IPS、防毒（包括防間諜軟件、防廣告軟件、防釣魚攻擊）、防垃圾郵件，以及Web過濾。

（3）網路分段功能：提供一組網絡分區特性，如安全區域、虛擬路由器和虛擬局域網等，允許管理員將網絡分割成不同的安全區域以部署不同的安全策略，從而為不同的用戶群提供不同級別的安全性。

（4）防火墻技術：通過防火墻技術，實現網絡攻擊檢測、DoS和DDoS防護、用于數據包碎片保護的TCP重組、異常數據包防護等功能。

（5）入侵檢測與防御系統：通過可定制的規則對本地的運行程序、注冊表的讀寫操作、以及文件讀寫操作進行判斷并允許或禁止。通過將入侵檢測與防御軟件安裝在硬件防火墻上，實現高端安全功能整合。

（6）日志記錄和監視：日志記錄和監視功能能夠實現監控多個服務器的系統日志，可進行路由跟蹤，可使用VPN隧道監視器。

（7）管理：具有本地管理員數據庫與外部的管理員數據庫，用戶級別分為根管理員、管理員和只讀用戶級別。

2.1.2 上網行為管理

通過將上網行為管理硬件部署在防火墻與交換機之間，實現P2P流量管理、防止內網泄密、防范法規風險、互聯網訪問行為記錄、上網安全等多個方面的功能。

（1）防止帶寬資源濫用：通過基于應用類型、網站類別、文件類型、用戶/用戶組、時間段等的細致帶寬分配策略限制P2P、在線視頻、大文件下載等不良應用所占用的帶寬，保障院內業務應用獲得足夠的帶寬支持，提升上網速度和網絡辦公應用的使用效率。

（2）防止無關網絡行為影響工作效率：上網行為管理產品可基于用戶/用戶組、應用、時間等條件的上網授權策略可以精細管控所有與工作無關的網絡行為，并可根據各組織不同要求進行授權的靈活調整，包括基于不同用戶身份差異化授權、智能提醒等。

（3）記錄上網軌跡滿足法規要求：上網行為管理產品可以幫助組織詳盡記錄用戶的上網軌跡，做到網絡行為有據可查，滿足組織對網絡行為記錄的相關要求、規避可能的法規風險。

（4）管控外發信息，降低泄密風險：上網行為管理產品充分考慮網絡使用中的主動泄密、被動泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密，為組織保護信息資產安全，降低網絡風險。

（5）為網絡管理與優化提供決策依據：上網行為管理產品提供了豐富的網絡可視化報表，能夠提供詳細報告讓管理者清晰掌握互聯網流量的使用情況，找到造成網絡故障的原因和網絡瓶頸所在，從而對精細化管理網絡并持續加以優化提供了有效依據。

（6）防止病毒木馬等網絡風險：通過上網行為管理產品，利用其內置的危險插件和惡意腳本過濾等創新技術過濾掛馬網站的訪問、封堵不良網站等，從源頭上切斷病毒、木馬的潛入，再結合終端安全強度檢查與網絡準入，DOS防御、ARP欺騙防護等多種安全手段，實現立體式安全護航，確保組織安全上網。

2.2 外部訪問安全控制管理

2.2.1 外部公眾訪問醫院宣傳網站的安全管理

對于醫院對外宣傳網站服務器，通過內網IP映射為外網IP，實現外部訪問，同時也保證了內部網站服務器的安全性。

2.2.2 外部開發與維護人員遠程訪問系統安全管理

醫院外部開發與維護人員遠程訪問系統皆通過VPN進行訪問（虛擬專用網絡）。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術保證連接的安全。

（1）為不同接入用戶分別建立獨立的VPN連接用戶：不同類別用戶各自擁有獨立的VPN連接用戶，例如，對于信息中心人員，每位員工擁有各自VPN用戶名及密碼，對于外部廠商人員，為每個廠商分配了VPN連接用戶，以在需要時區分遠程連接操作的操作者。

（2）安全特性：VPN后臺管理可以為設置VPN訪問策略；可以通過連接監控器管理歷史VPN連接訪問記錄。

2.3 數據庫安全管理

數據庫是醫院信息系統數據存儲的核心，數據不僅是各個應用系統的基礎，也是醫院的重要資源。數據安全是醫院信息系統安全的核心部分。

數據庫的安全威脅主要有三種：篡改、損壞、竊取。在數據庫安全管理層面，提供4種安全管理策略。

2.3.1 用戶注冊管理

系統管理員為不同類別用戶注冊不同用戶名，以方面針對性地進行權限管理與權限控制。

2.3.2 身份驗證管理

身份驗證管理包括數據庫服務器登錄的身份驗證管理與數據庫本身的登錄身份驗證管理。所有的用戶登錄均需要通過驗證用戶名與密碼。系統管理員按操作規程定期修改數據庫服務器密碼。

2.3.3 存取控制管理

對分配給數據庫進行操作的用戶根據用戶類型進行存取權限控制管理。例如管理員類用戶具有最高的讀寫、刪除權限。

2.4 應用系統權限管理

醫院所有應用系統通過集成平臺集成到統一的醫院門戶中。門戶下的應用權限分為兩級權限管理：門戶權限管理與應用系統內部權限管理。門戶系統權限設置基于用戶角色進行權限分配，醫院員工通過分配相應角色使用門戶功能；系統功能權限主要控制操作人是否可以進入該功能。

2.4.1 角色設置

醫院對相關的角色進行整體分類，劃分了以下角色：醫生、護士、藥劑科、門辦、醫務處、醫保辦等、職能科室負責人、醫院副職領導、院長、系統管理員、其他角色。

2.4.2 系統功能權限設置

將系統功能進行類別的劃分，例如業務處理、財務狀況、醫療動態、藥品信息、病人資料、人事行政、總務后勤、其他信息、系統維護。

2.4.3 角色具體權限分配

對所建立的角色分配權限，當新用戶加入時，通過為用戶分配角色，實現相應功能權限的分配。例如000586王新軍藥劑科管理員，具有藥庫系統；藥庫查詢；藥庫報表；藥庫維護；門診發藥；工作報表；統計查詢等權限。

2.5 院內終端設備安全管理

2.5.1 操作系統登錄用戶設置

院內所有終端電腦登錄用戶設置為不具有操作系統管理權限，同時對涉及安全操作功能對登錄用戶進行了屏蔽。保證了用戶登錄操作系統進行應用系統操作的同時，也不會因其他誤操作引起終端電腦產生安全漏洞。

2.5.2 終端電腦設置不能訪問外網

院內所有終端電腦安裝默認設置為不能訪問外網，只需接入醫院內網以滿足醫院業務應用操作需要。如因業務需要確實需要接入外網的終端，須經院內審核后進行設置。防止因終端電腦任意訪問外網所導致的網絡病毒的威脅及黑客攻擊。

2.5.3 終端電腦禁用USB接口

院內所有終端電腦操作系統設置為禁止使用USB接口。如因業務需要確實需要開通USB接口，須經院內審批后進行設置開通。防止因接入可能存在病毒及木馬的USB設備而引起的終端電腦病毒感染，避免終端電腦的文件及信息被竊取。

2.5.4 終端電腦安裝安全防護軟件

院內所有終端電腦上都安裝安全防護軟件對終端電腦進行系統與文件的安全保護，對有威脅的文件進行過濾及清除。及時發現、定位及清除病毒文件，為終端電腦提供實時的安全防護。

3 結束語

醫院信息安全作為醫院信息化管理的關鍵工作之一，是一個復雜的系統工程，醫院需要建立一套完整的信息安全管理體系，采用多種技術手段，建立有效、健全的安全防御體系來全方位的防止來自網絡內外的威脅，最終達到保護醫院信息安全的目的。

參考文獻

[1]孟一清.淺談醫院信息安全管理[J].中國衛生產業，2011，8（12）：168-169

[2]陳敏，鄭見立.湖北省醫院信息安全狀況調查與分析[J].中國醫院管理，2011，31（5）：20-21

[3]石凌云，詹建國.計算機網絡安全服務器入侵與防御研究[J].電腦知識與技術，2010，6（15）：4116-4119

[4]房寧.基于VPN技術及其應用的研究[J].計算機光盤軟件與應用，2012，11：32-33

[5]陳凌平，馬宗慶，郭振華.醫院信息系統安全與管理建設淺談[J].中國醫療器械信息，2010，16（3）：21-25

[6]田秀霞，王曉玲，高明，周傲英.數據庫服務――安全與隱私保護[J]. 軟件學報，2010，21（5）：991-1006

篇5

關鍵詞：企業信息化 信息安全管理 作用

1 企業信息化

信息化是指培養、發展以計算機為主的智能化工具為代表的新生力，并使之造福于社會的歷史過程。信息化代表了一種信息技術被高度應用，信息資源被高度共享，從而使得人的只能潛力以及社會物質資源潛力被充分發揮，個人行為，組織決策和社會運行趨勢于合理化的理想狀態。信息化是各企業管理運用中必須強化的一項內容。企業信息化是指企業以業務流程的優化和重構為基礎，在一定的深度和廣度上利用計算機網絡技術數據庫技術，控制和集成化管理企業生產經營活動中的各種信息，實現企業內外部信息的共享和有效利用，以提高企業的經濟效益和市場競爭力，這將涉及到對企業管理理念的創新。管理團隊的重組和管理手段的創新。

2 信息安全管理

2.1信息安全管理的概述

管理是一種基本的社會實踐活動，它貫穿于人類社會實踐的歷史過程。信息安全管理是通過對信息活動相關領域的管理，來實現信息安全管理的目的。信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。從廣義上來說，凡是涉及信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是信息安全的研究領域。

2.2信息安全管理的特征

2.2.1基礎性

信息安全管理是保障信息安全的基本途徑，也是實施信息安全活動的主要依托和必備手段。它既是行駛和保障合法權益的基本手段，也是整個信息社會正常運行的先決條件。信息安全管理的保障能力既是個人素質、企業實力、軍隊戰斗力的重要體現，也是國家和社會安全的重要標志。因此，信息安全管理不僅是任何個人、任何組織、任何行業、任何國家都需要的基本管理活動，而且是其實施信息安全活動的主要依托和必備手段。

2.2.2全局性

信息安全管理是一個龐大、復雜、動態的人機交互系統工程，是由一系列子系統構成的一個有機整體，涉及信息安全管理的人員、資產、技術、設備、環境、體制編制、政策法規、標準規范、管理理論、管理方法、教育訓練、政治工作及后勤保障等各方面。各個子系統之間既相互滲透又相互促進，共同構成了信息安全管理的全局。構建信息安全管理體系，進行全面的信息安全管理，其實質在于全面提高整體信息安全管理水平。這就從本質上說明了信息安全管理，都不是真正意義上的信息安全管理，只有在總體戰略上完成了信息安全管理的過程，才能稱為信息安全管理。因為當今的安全是包括各個領域的大安全，其信息領域的安全尤為重要。

3 動態性

由現代管理學可知，管理既是一種活動，也是一個過程。管理系統是一個運動著的有機體。管理系統內部的聯系及其與環境的相互作用都是一種運動。管理系統的功能是時間的函數，因為不論是管理系統要素的狀態和功能，還是環境的狀態或聯系的狀態都是在變化的，運動是管理系統的生命。例如在鋼鐵企業中社會經濟系統中的子系統，為了適應外部社會經濟的需要，必須不斷地完善和改變自己的功能，而鋼鐵企業內部各子系統的功能及相互關系也必須隨之相應的發展變化。

4 安全管理系統對企業信息化的作用

計算機安全管理系統與企業的正常運營有著密不可分的關系。信息安全管理體系主要分為三個要素，第一是資源條件，即組織中的人、財、物、時間、空間、信息、以及信息環境等；二是目標，信息安全管理目標是管理運行的動力和方向；三是管理者與被管理者。對于，企業而言。安全管理系統，系統信息技術的發展不僅改變了企業的外部環境，內部的管理模式也將因此而發生改革。企業信息化程度不斷提高。安全管理系統不僅在內部形成網絡，做到信息共享，使企業組織整體高效運營，而且企業還與外部網絡溝通，形成互聯網絡。信息技術、信息系統和信息作為一種資源已不再僅僅支撐鋼鐵企業戰略，而且還有助于決定企業戰略。企業信息化采用計算機安全管理系統，采用大量的安全信息技術，改進和強化了企業物流資、資金流、人員流及信息流的集成管理，對企業固有的經營思想和管理模式產生了強烈沖擊，帶來了根本性變革。計算機安全信息技術與企業的發展與融合，使企業競爭戰略不斷創新，提高了企業競爭力。企業運用安全信息系統管理，不僅提高了企業全體員工的整體素質，建立良好的管理規范和管理流程，構建扎實的企業管理基礎，實行科學管理，從而提高了企業的整體管理水平。計算機安全管理系統在企業內部的管理中起著重要性的作用。

5 結語

計算機安全管理系統在企業中的運用是建立國家信息安全保障體系的物質基礎。信息管理安全體系與企業管理是信息安全管理的重要組成部分。近年來，我國計算機信息安全技術研究與信息化取得了積極進展，但整體上還比較落后，關鍵是技術和產品受制于人，計算機信息安全系統是信息安全保障的關鍵，也是企業有效運行的重要條件。為使我國各企業經濟更好地發展。必須加強信息安全科學技術研究。要健全技術創新體系，提高我國信息安全自主創新能力，使計算機安全管理系統更進一步。有效地服務于各行各業中。

參考文獻：

[1]科飛管理咨詢公司.信息安全管理概論—BS7799理解與實施[M].北京：機械工業出版社，2002.

[2]戴宗坤，羅萬伯.信息系統安全.北京：電子工業出版社，2002：170-172

[3]沈昌祥.風險管理與應急體系.網絡安全技術與應用，2006（6）：6-7

篇6

【關鍵詞】醫院信息化建設；計算機網絡；安全管理；維護

現代計算機網絡技術的發展，帶動了醫療行業信息化建設的發展浪潮。隨著醫院信息化建設不斷深入，計算機網絡覆蓋了醫院各個部門，醫院業務越來越依靠計算機網絡來開展。智能高效的計算機網絡對于現代數字化智慧醫院的建設，起到了重要的促進作用。但是，醫院計算機網絡為醫院業務帶來高效率服務的同時，各種安全隱患威脅也隨之而來。從目前的醫院信息化應用發展的趨勢看，計算機網絡一旦發生問題，將給醫院信息安全帶來巨大的威脅。輕則影響醫院業務，重則危害公眾利益。因此加強醫院內部計算機網絡的安全管理與維護工作，十分重要。

1醫院信息化建設計算機網絡安全管理的重要性

1.1計算機網絡支撐醫院信息化建設

醫院信息化系統是利用計算機網絡和設備，為醫院各科室提供患者診療業務信息和行政管理信息收集與處理服務。沒有計算機網絡，醫院信息系統各模塊就無法通信，也無法實現其業務功能。建立了覆蓋全院各部門的計算機網架構，才能為建設全新的數字化智慧醫院奠定良好基礎。好比火車和鐵軌，要想火車要開到哪，鐵軌就得鋪設到哪。

1.2計算機網絡在醫院信息化建設中的應用

在醫院信息化建設中，計算機網絡的應用領域很多，如果進行簡單的分類，可以分為信息處理和信息傳遞兩部分。如病人到醫院就診掛號生成病人就診卡，醫院檢驗、放射、病理醫技檢查結果由計算機接收處理生成電子檢查單，是信息處理應用。醫生通過就診卡調取病人就診信息，查看檢查結果，是信息傳遞應用。醫院信息化建設通過計算機網絡，形成一個智能高效的醫院信息系統，包含醫院各類業務的數據。醫院各部門通過院內計算機網絡，按分配的權限從醫院系統的數據庫中調閱所需資料，取代了傳統的紙質記錄文檔，實現醫院日常業務工作“無紙化”。

1.3計算機網絡安全管理是醫院信息化建設的重點

醫院信息系統完全依賴醫院計算機網絡運行，一個安全穩定的計算機網絡，不但能提高醫院工作效率，還能促進醫院信息化建設發展。一旦醫院計算機網絡發生安全事故，就會造成醫院日常工作的癱瘓，而且病患的個人信息也極有可能泄露，從而使病患的隱私受到侵犯。由此可見，做不到醫院計算機網絡的安全與穩定，醫院信息化建設就象沙灘上建城堡，邊建立，邊破滅。

2醫院計算機網絡安全威脅分析

2.1醫院內部對計算機網絡安全管理的漠視

在當今信息化時代，醫院信息化建設已經為醫院帶來可巨大的經濟效益，醫院也越來越意識到計算機網絡的好處。但在醫院業務對計算機網絡依賴日益增加的今天，某些醫院人員對計算機網絡安全的重視，還停留在口頭上。醫院的醫務人員由于自身職業的緣故，缺乏專業計算機知識，不清楚網絡安全管理與維護的必要性。有些醫院信息維護管理部門管理不善，對于醫院計算機網絡用戶的權限需求不予限制，予取予求。而用戶獲得權限后沒有保密意識，權限被盜用導致數據泄密?；蚴轻t院用戶以工作效率等為借口，漠視醫院的計算機網絡安全管理制度，在醫院網絡系統中屢次發生違規操作，也同樣危害到計算機網絡安全。

2.2計算機網絡中硬件設備問題

（1）一般來說，醫院計算機網絡客戶端連接的設備，就是計算機。醫院的網絡用戶，是通過操作客戶端的計算機來接入醫院信息系統網絡工作。但醫院有時候從效益和節省成本的角度出發，計算機設備淘汰速度較慢。這些計算機運行速度較慢，容易死機，影響網絡工作流程。此外因為客觀條件的原因，目前絕大多數計算機使用的都是微軟公司的WINDOWS系列操作系統，有的甚至還在使用WINDOSXP系統。由于WINDOWS操作系統自身的原因，存在的漏洞如不及時修補極易受到攻擊，給計算機網絡造成安全威脅。（2）醫院的宗旨是救死扶傷，為了保障患者的診療業務正常開展，醫院計算機網絡要求全天24小時暢通。故醫院計算機網絡各節點的網絡設備，是全天候不間斷運行的。但網絡電子設備，總是無法避免發生故障：如雨天雷擊，炎熱高溫，意外斷電等會導致設備故障；網絡線路的斷裂，信號受到干擾，也會導致設備無法通信。網絡設備的故障對計算機網絡的破壞具有隱蔽性和突然性，還會造成故障排查上的困難。

2.3病毒侵襲和黑客攻擊

計算機病毒是一種惡意程序，而計算機網絡病毒是在計算機網絡上傳播、專門攻擊網絡薄弱環節、破壞網絡資源的計算機病毒。病毒尋找計算機網絡漏洞進行侵入，攻擊網絡上的主機，降低計算機工作效率，讓程序運行發生錯誤。另一方面，病毒的傳播擴散性，使得它會持續攻擊其他客戶端的計算機。網絡病毒的傳播，就會占用網絡帶寬，堵塞網絡，引起廣播風暴，最后導致計算機網絡癱瘓。計算機病毒的防治一直是令人頭痛的問題，因為病毒制造者一直在修改病毒程序，針對各種漏洞發動攻擊。和計算機病毒威脅相伴的，是網絡黑客攻擊。網絡黑客出于不同的目的對計算機網絡發動攻擊，他們攻擊醫院計算機網絡可能為了炫耀或報復，但更多是為了經濟利益。黑客對醫院網絡的攻擊方式主要有布置木馬程序，利用系統安全漏洞，盜用IP，竊取用戶賬號權限等。例如勒索病毒事件，黑客就是利用計算機系統的漏洞進行病毒攻擊并勒索錢財，國外多家醫院成為病毒感染“重災區”。

3醫院信息化建設中計算機網絡安全管理與維護策略分析

3.1完善管理組織機構，建立健全安全制度

俗話說：蛇無頭不行。醫院要做好計算機網絡的安全管理工作，要成立相應的安全管理機構，如成立醫院由醫院領導組成的信息化安全管理領導小組，全面落實醫院信息安全工作和醫院各部門職責。醫院要設立專職負責的醫院信息安全管理的技術部門，如醫院信息科。引進高水平的專業人才，設立專職的信息安全管理人員，打造專業的技術團隊。同時，結合醫院實際情況，建立安全管理制度，完善安全管理機制，制定各類網絡安全應急預案，并在醫院安全領導管理機構和專職技術部門的監督下，認真執行。

3.2加強計算機用戶培訓，統一信息安全防護意識

對醫院職工開展計算機教育和培訓。一方面進行基本的計算機信息安全知識培訓，另一方面加強法制教育，內容包括計算機安全法律法規、國家保密法、計算機犯罪法等，特別是2017年6月開始執行的《中華人民共和國網絡安全法》。通過教育，明確醫院各部門在計算機網絡安全管理中應履行的權利和義務，在思想上和行動上統一全院的信息安全防護意識。

3.3做好醫院計算機網絡與設備的維護

按照醫院的需求，做好每年醫院信息化建設的預算，預算包含采購醫院信息化硬件設備和網絡改造的資金。及時淘汰老化的計算機，網絡客戶端計算機使用windows7以上操作系統，及時更新補丁修復操作系統漏洞。對于關鍵業務點的客戶端，可增加多臺計算機客戶端保障業務通暢。根據醫院的信息化發展不斷完善醫院計算機網絡的綜合布線，改造舊網絡，替換過時的網絡設備。按醫院的實際情況設計網絡拓撲結構，主干線路用光纖，主要設備和鏈路采用冗余設計。樓宇間或懸空的網絡線路要注意防雷或使用光纖連接，主要網絡設備配備UPS不間斷電源供電。

3.4做好網絡訪問控制

要做到網絡安全防范與保護，主要策略就是采取網絡訪問控制。訪問控制就是利用多種技術手段保護網絡資源不被非法訪問和使用。為實現醫院信息化建設中的網絡安全管理，在規劃醫院計算機網絡拓撲結構時，可以根據醫院各部門業務和職能的差異劃分不同的區域，分配各自的地址段。尤其是醫院信息化系統的重要服務器，劃分進特定的區域重點防護，并做好服務器主機安全設置。在網絡上布置防火墻和安全網關實現邊界隔離和訪問控制，各區域按管理規定劃分訪問權限，限制或隔離醫院計算機網絡上各區域間的訪問，控制各客戶端對服務器重點區域的訪問。醫院計算機網絡各客戶端啟用IP/MAC地址綁定，防止非法計算機接入網絡。加強網絡用戶登陸網絡賬號的安全管理，同一用戶登陸進行兩種身份鑒定組合，如：采用U盤證書加口令等方式。

3.5提高網絡防病毒能力

計算機網絡容易受到網絡病毒的攻擊，安裝防病毒軟件能夠有效的避免病毒的侵襲。防病毒軟件包含有網絡殺毒軟件、病毒防火墻以及入侵檢測系統等。為網絡上各主機，尤其是信息系統服務器安裝正版網絡殺毒軟件，并設置防病毒服務器，對殺毒軟件進行自動升級，智能管理。病毒防火墻能檢測和防御通過網絡的方式來傳播病毒，對于一些網絡入侵的木馬程序，也能監控并清除。計算機網絡入侵檢測系統可做為防火墻的合理補充，通過數據審計和行為分析等手段，及時發覺網絡或系統受到攻擊的跡象。此外，為了保障網絡安全，分析潛在威脅，對各類安全審計日志，要保留足夠長的時間，例如保存半年以上。

3.6應用加密技術

目前看來，我國絕大多數醫院的計算機網絡使用TCP/IP進行具體通信。該協議過分強調了開發性和便利性，造成了很大的安全漏洞。故醫院信息系統在進行網絡數據傳輸的工程中，可以適當的考慮采用數據加密手段，來防止數據泄密。加密技術是利用技術手段把數據變為亂碼傳送，接收之后再用特定的手段還原。這就等于是為數據加了一層殼后再傳輸，就算數據被人中途截獲，沒有正確的方法也無法解密。

4結語

隨著醫院信息化建設的深入發展，各醫院不斷壯大基于大型網絡平臺的醫療信息系統建設，在這樣的大環境下，信息安全顯得尤為重要。國家中央網絡安全和信息化領導小組的成立，以及醫院信息系統安全等級保護測評的開展，充分說明了問題。加強醫院計算機網絡安全管理與維護是當今醫院信息安全建設的核心問題。因此，采取合理的手段，多措并舉，建立一套合理的醫院計算機網絡安全管理和維護機制，是未來醫院信息化建設順利發展和滿足信息安全管理需求的重要保障。

參考文獻

[1]潘帆.關于醫院計算機網絡安全管理工作的維護策略分析[J].技術與市場,2015,22(02):134-135.

[2]何薇.關于醫院計算機網絡安全管理工作的維護策略分析[J/OL].企業改革與管理,2014(14):23.

篇7

［關鍵詞］ 信息化技術； 食品安全； 管理； 作用

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 19. 047

［中圖分類號］ TS201.6 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）19- 0077- 01

近些年，伴隨著社會經濟的發展，食品安全問題引起了人們越來越廣泛的關注。食品安全無小事，這是長期實踐得出的正確結論，引起了社會各界人士的共鳴。在當代，隨著全球化的不斷深入，食品安全問題已經超越了國界，成為全世界人民面臨的共同問題。對于中國來說，其食品安全正處于一個重要的轉折期。這個轉折期就是由長期的食品短缺，過渡到食品相對過剩。這個轉折期能否順利度過，在很大程度上要依賴于管理的力量。但是，中國的食品安全管理現狀令人擔憂，管理的功效并沒有得到充分發揮。針對這種現狀，我們必須創新思維，為管理注入新的思想。在這種情況下，信息化技術的作用逐漸凸顯出來，成為攻克各種食品安全問題的“良藥”。由此可見，如何加大信息化技術在食品安全管理中的應用程度，是我們必須認真面對的重點課題與難點課題。

1 我國食品安全信息化管理現狀分析

從世界范圍看，我國食品安全問題已經相當嚴重。近些年，食品安全問題頻發，如“毒奶粉事件”、“地溝油事件”、“瘦肉精事件”等。這些食品安全問題，既損害了民眾的身心健康，也擾亂了正常的市場秩序，還玷污了我國的國際形象。

伴隨著食品安全形勢的發展，黨和政府加大了對食品安全問題的重視程度，并接連出臺了一些相關的政策、文件、法規。例如，科技部將食品安全列為“十五”重大科技專項，并聯合其他部門，設立2億元的關鍵技術研究資金。再如，農業部從2001年開始實施“無公害食品行動計劃”，將無公害的農產品作為重要的戰略目標。除此之外，國務院八部委聯合提出了“三綠工程”，即綠色消費、綠色通道、綠色市場，對食品質量安全實行全程控制。在21世紀，綠色生產與綠色消費已成為社會關注的熱點話題。

現在，在許多大中城市的帶動下，很多城市都實行了市場準入制度。但是，目前我國的市場監控體系還不夠健全，監督手段還有待提高，許多安全質量信息未能實現共享。在這種情況下，食品安全信息化管理逐漸得到重視，實施范圍和力度都在不斷加大。

2 加強食品安全信息化管理的發展趨勢分析

伴隨著食品安全信息化管理的不斷深入，人們切身感受到這種管理方式帶來的好處，并對其有了新的認識。與其他管理方式相比，信息化管理具有無法比擬的優勢。這種優勢主要體現在以下幾個方面：

數據管理優勢。信息化管理，顧名思義，就是用現代信息技術來管理食品安全。有信息技術就會有數據庫。依靠強大的數據管理系統，食品安全管理有了充足的、可靠的、實用的數據信息。有了這些數據信息，用戶可以根據自身的需求，快速查閱各種所需的信息，如政策法規、安全標準、技術指標等，為廣大用戶提供了優質的信息服務，實現信息共享。

檔案管理優勢。 除了數據管理以外，信息化管理還提供了相對健全的檔案管理系統，如企業注冊登記系統、產品認證系統、信用記錄系統等等。這些檔案管理系統，為日常的工作記錄提供了極大的便利。而且，它還能為決策者提供全面的信息服務。

信用跟蹤優勢。通過信息化管理，可以對生產、運輸、銷售、消費等各個環節進行跟蹤性的記錄和調查，以充分保證產品的質量。根據記錄和調查的結果，完善信用系統，以提高信用管理的便捷性和真實性。

風險評價優勢。在信息技術的幫助下，我們可以采用先進的風險評價方法，建立和完善風險預警與評價體系。根據預警和評價的結果，對市場發展形勢作出準確的預測，進而為決策者提供必要的支持，提高工作效率。

技術指導優勢。食品安全的信息化管理，還能為食品生產提供可靠的專家系統。在這種系統的幫助下，產品生產者可以獲取各種各樣的技術指導，這不僅從源頭上保證了食品的安全，而且保證了生產者的利益。

基于以上分析，我們不難得出這樣的結論：實行食品安全信息化管理，是今后食品安全管理工作的必然選擇。西方發達國家已在這方面取得豐碩的成果，也積累了許多寶貴的經驗。而我國還處于探索階段，在應用的過程中困難重重。

3 結束語

綜上所述，在新的市場環境下，加強食品安全管理是一項系統工程。要想夯實該項工程的基礎，就必須加大信息技術應用的廣度和深度。而在應用信息技術的過程中，我們要注意幾個問題：首先，我們要對信息技術應用的重要性和必要性有一個清晰的認識；其次，我們要對信息技術在食品安全管理中的應用現狀有一個全面的認識；最后，我們要采取各項有效措施，提高應用的針對性與實效性。只有這樣，才能真正實現信息技術與食品安全管理的有機統一，才能真正實現食品安全管理事業的又好又快發展。

主要參考文獻

［1］ 方海． 國外食品安全信息化管理體系研究及對我國的借鑒意義［D］． 上海：華東師范大學，2006．

篇8

關鍵字：基建施工管理安全質量基建工程安全質量一體化管理信息系統

Design and implementation of infrastructure project integration managementof safety and quality information system

Zhan Yun Teng1.2

(1.Northeeast Dianli University Department of Information Engineering.JiLin 132012; 2.TianJin ChengXi Power Supply Company of State Grid TianJin 300000)

Abstract：Summarizes the Tianjin West Division safety problems of quality management in recent years in infrastructure construction experience and the existing company, expounds the present situation of Tianjin West Branch infrastructure project construction management, further improve the company capital construction engineering safety quality integrated management system is divided into the west of Tianjin, to strengthen the mechanism construction of Tianjin West Branch construction engineering safety quality integration management, so as to realize the standardization, the company safety and quality management of West Tianjin power supply branch of the comprehensive, informationization, process standardization, standardization and diversification.

Keywords:The capital construction management;Safety and quality;Construction project integration management of safety and quality information system

中圖分類號：TU71文獻標識碼： A

為深入貫徹天津市電力公司發展戰略和適應“十二五”電網建設高速發展的形勢，根據國家電網公司在全系統實施“三集五大”體系工作中“大建設”體系建設的總體思路和部署，按照電網建設的客觀規律、科學程序和集約化、扁平化、專業化工作方向，秉承“細實”的工作理念，結合城西電網建設實際，近些年，國家電網公司一直將工程的質量、安全工作作為頭等大事來抓，在各種會議上，國家電網領導不斷強調各網省公司領導要高度重視基建工程建設過程中的質量、安全工作。

1電網基建工程管理當前存在的差距

近年來，我國國民經濟迅速發展，人們對電力需求日益提高，但我國電網基建工程質量、安全的管理發展相對緩慢，與國外發達國家相比還存在差距。差距主要體現在以下幾個方面：

（1）電網基建工程項目建設的依賴性很強?，F在電網基建工程項目建設主要依賴施工技術人員，項目沒有科學的管理和有效的監督，所以對整個工程項目建設的質量安全沒有提供保障；

（2）質量管理流于形式，電網基建工程項目缺乏監管力度；

（3）管理人員及相關工作人員責任制落實不到位。在基建工程中，一方面是一些管理人員自身不負責任、不清楚自己的管理職責、存在慣性思維、抱有僥幸心理，法律意識淡薄而使管理成為一句口號，給工程質量和安全埋下隱患；另一方面是管理辦法的實施沒有到位，而導致相關管理人員無法履行自己的管理職責；

（4）管理人員不具備相應的專業管理資質和管理經驗。電力基建工程的質量和投資效果重在管理，而管理水平的高低取決于管理人員專業水平的高低。在基建工程管理中一些管理人員可能不具備相應的管理資質，或其本身空有理論而沒有管理經驗，更有甚者既不具備管理理論又沒有實際管理經驗。這樣的管理必然會給基建工程埋下質量和安全隱患；

（5）電力基建工程的合同糾紛。在電力基建工程建設中，建設單位、施工單位和監理單位之間發生各種合同糾紛、合同違約屢見不鮮，其直接原因就是盲目簽訂合同、不合理簽訂合同以及合同本身不完善存在歧義或漏洞，在簽訂合同時存在相互隱瞞欺騙，在履行合同時鉆法律空子偷工減料。

基于上述原因，將安全、質量預案根據實際工作科學進行合并，形成一體預案管理模式，并且規范依據文件列表及內容，加強對業主項目部、施工項目部、監理項目部在安全、質量工作方面的管理，并建立相應的規章制度、考核辦法，為構建適應堅強智能電網建設要求的大建設體系，提高電網建設安全質量和工藝水平，提升建設管理效率與效益提供保障。

本課題在《國家電網公司“十一五”信息發展規劃》及國家電網公司“SG186工程”框架的指導下，結合天津城西分公司信息化建設發展需要和基建工程質量、安全管理體系化、規范化發展要求，將質量、安全一體化預案內容與天津市電力公司基建部已經梳理完成的工程建設標準化節點內容相結合，將安全、質量的管理內容進行細化，建立健全工程安全、質量管理體系、流程再造，設計并建立一個基建工程安全、質量管理生命周期過程全程化、關鍵工程安全、質量管理環節在控實時化、安全、質量檔案規范化、審核工作流程化，以及建設制度、技術規范全員培訓落實的新型基建工程安全、質量管理體系。本課題在實現電網建設工程安全質量管理工作的標準化、全面化、信息化、流程化、規范化、多樣化方面具有重要意義。

2電網基建工程管理系統相關概況研究

目前國內外相關行業對于基建工程安全和質量一體化預案管理和依據性文件標準庫的研究還處于初級階段，由于標準不明確，造成各個網省公司難以有效管理各個參建單位在安全、質量方面的工作。

在國網公司范圍內，基建工程的一體化管理雖然時有提及，但依然缺乏明確的制度指導和實施辦法，也還處于研究摸索階段。

目前在基建工程中，進度、造價、安全、質量、技術五大專業中，安全和質量的管理一直是比較薄弱的環節，沒有成熟的管理模型可以參考。

2.1 研究意義

對當前的基建工程管理現狀進行深入調研，重點對于安全管理和質量管理方面的現實情況。廣泛收集基建工程中安全質量方面的頻發問題，結合當前的實際管理情況，進行深入分析研究。

組織行業專家和基建工程管理內部人員，結合前期的調研分析成果和同行業的有益做法，形成一套切合實際的基建工程安全、質量一體化管理制度和管理辦法。并按照公司要求，組織進行培訓課件的編寫，制定培訓和推廣計劃。

分析目前在建項目的安全、質量預案所引用的依據性文件，形成文件列表，結合天津地區地址情況和氣象情況，形成適用于整個天津地區的依據性文件資料知識庫，廣泛收集各個參建單位的意見，形成最終版資料知識庫。

2.2 基建工程安全質量一體化管理信息系統總體原則及設計目標

基建工程安全質量一體化管理信息系統的總體設計目標是: 為了加快建設“一強三優”現代公司，早日建成“世界一流電網、國際一流企業”，按照“三抓一創”工作思路和“四個服務”的總體要求，充分結合天津電力公司的實際，符合天津城西分公司的發展需求，深入貫徹落實“三更兩全一強”的建設思路，在遵循《國家電網公司“十一五”信息發展規劃》，基于國家電網公司“SG186工程”框架的指導下，結合天津城西分公司信息化建設發展需要和基建工程質量、安全管理體系化、規范化發展要求，進行城西供電分公司質量安全一體化管理系統的建設。將質量、安全一體化預案內容與天津市電力公司基建部已經梳理完成的工程建設標準化節點內容相結合，將安全、質量的管理內容進行細化，建立健全工程安全、質量管理體系、流程再造，提升對安全、質量管理的整體水平，逐步建立基建工程安全、質量管理生命周期過程全程化、關鍵工程安全、主梁管理環節在控實時化、安全、質量檔案規范化、審核工作流程化，以及建設制度、技術規范全員培訓落實的新型基建工程安全、質量管理體系。從而實現天津城西供電分公司安全質量管理工作的標準化、全面化、信息化、流程化、規范化、多樣化。

基建工程安全質量一體化管理信息系統應滿足以下設計原則：通過統一組織搭建天津市電力公司城西供電分公司基建工程安全、質量一體化管理系統，運用信息技術手段，強化工程建設關鍵安全、質量節點的信息化管控，強化建設管理縱向各層級信息的雙向互動以及與其他業務之間的橫向共享，及時掌控在建工程安全、質量的信息和最新進展動態，切實提升管理效率，持續深入推進“三集五大”體系建設，為公司科學發展作出更大貢獻。

2.3 基建工程安全質量一體化管理體系框架

城西公司領導提出依靠信息化的手段解決管理人員過少的問題，“用電腦幫助人腦，用電腦約束人員”，通過信息化系統的建設，進一步規范基建工程安全、質量管理工作流程，細化管理細節，增加管理維度，使基建工程的安全、質量管理工作真正完全落地，全面保證設計項目部、施工項目部、監理項目部完全按照業主項目部的要求開展質量、安全管理工作，結合天津城西分公司信息化建設發展需要和基建工程質量、安全管理體系化、規范化發展要求，基建工程安全質量一體化管理體系框架如圖1所示。

圖1 基建工程安全質量一體化管理體系框架

3基建工程安全質量一體化管理系統設計

3.1主要的系統技術介紹

（1）系統架構的研究：擬采用三層架構，將系統分為UI層，業務邏輯層，數據訪問層，目前三層架構的思想已經很成熟。研究三層架構，有助于理解系統架構。

Struts+Hibernate+Spring現在已經逐漸成為開發網站的主流架構，本系統擬采用MVC（Model-View-Controller）設計模式的思想，將Struts2、Spring和Hibernate整合在一起；擬采用Struts2框架來解決用戶接口層，及其與后端應用層之間的交互。即，控制層由Action類進行請求分發,并執行相關的業務處理。然后將控制權交給JSP，讀出數據，數據持久層擬采用非侵入的ORM框架Hibernate，并通過使用javascript實現驗證，同時達到提高用戶體驗的效果。

（2）數據庫的設計以及優化：針對數據庫的設計，結合實際的應用以及理論知識的要求，設計出滿足需求的數據庫，并且，針對后期的維護，擬從查詢數據庫中表的數據來探討數據庫的查詢的優化方法，例如在模糊查詢中是否使用索引，以及建立索引之后的效率會相對于沒有建立時的不同，需要深入的研究數據庫的設計和優化。

本系統擬采用Microsoft SQL Server 2005數據庫。Microsoft SQL Server 2005 是一個全面的數據庫平臺，使用集成的商業智能 (BI)工具提供了企業級的數據管理。Microsoft SQL Server 2005數據庫引擎為關系型數據和結構化數據提供了更安全可靠的存儲功能，可以構建和管理用于業務的高可用和高性能的數據應用程序。

（3）用戶體驗和界面的友好性研究：本系統擬使用Ajax，jQuery等技術和JavaScript插件，來提高用戶體驗和用戶交互性。對于與用戶界面以及操作方面進行研究，讓界面更加美觀，操作更加人性化，提高用戶交互性和用戶體驗。例如用戶操作成功之后自動跳轉，減少用戶的操作次數。

（4）網站安全性研究：為防止系統被非法入侵造成合法用戶的損失,擬加入一些過濾技術,加密一些字符內容或者某個網頁（如用MD5算法對用戶密碼進行加密）。

（5）用戶權限研究：系統基于角色的權限管理，每個角色都有不同的權限，然后將角色授予用戶。從而達到權限的安全，用戶權限分配合理。

3.2 系統軟件架構

目前三層(多層)體系結構是數據庫應用系統構架方案的主流，如圖3所示。數據層(Data Service)、應用層(Business Logic)、展示層(Presentation)應為三層應相互獨立，保證其高聚合，低耦合的軟件特性。展示層負責與用戶交互并把相應請求通過調用中間層的組件傳遞給應用層。應用層的組件通過SQL等方式向第三層的組件提出資源及其他數據請求并執行具體的事務邏輯[5]。

圖3基建工程安全質量一體化管理系統軟件架構圖

3.3 系統硬件架構

應急管理系統應保證其安全性，高可靠性和具有高性能的軟硬件以便日后進行擴展。應能方便查詢可用人力資源、應急物資、工程車輛信息等的要求。系統物理架構類型主要有三種，分別為客戶機/服務器結構、終端/主機結構、瀏覽器/服務器結構。

底層平臺硬件應包括電源及應急后備電源、應急通訊系統，視頻圖像監視系統，視頻會議系統等基本應用的網絡服務器及其硬件設施。其中應急通訊系統在應急救援中起到至關重要的作用，建立通訊網時應以環網為主，或應用電網系統中已有的光纖通信網，盡量避免無線公網通信，以保證其安全性、穩定性及可靠性。

4結束語

從21世紀的整體趨勢來看，工程建設領域的信息化將會進一步將數字化數據的信息應用在項目的全過程，在項目的各個階段、各個過程均起到核心管控作用。同時隨著國網公司基建工程業主、監理、施工三個項目部標準化建設工作的深入，信息系統的應用情況（主要體現在各參建項目部數據錄入的及時、準確、完整性三個方面）也已作為對參建項目部考核評價的重要內容之一。因此不難預料，今后五年內各類信息化管理系統在電網建設工程中的應用應呈井噴態勢，只不過都需要在其自身管控的廣度與專業深度之間找到平衡而已。

參考文獻

[1]毛鶴琴，張遠林．施工項目質量與安全管理[M]．建筑工業出版社，2002

[2]李慧民．工程項目管理案例分析[M]．中國建筑工業出版社，2006

[3]田元福．建設工程項目管理[M]．清華大學出版社，2005

[4]孫衛琴、李洪成．Tomcat與Java Web開發技術詳解[M]．北京：電子工業出版社，2004

[5]曾云飛．基于Struts框架的電子政務研究和實現 [M]．東北大學出版社， 2005

[6]王路群．Java高級程序設計[M]．北京：中國水利水電出版社，2006

[7]常晉義．管理信息系統[M]．高等教育出版社，2005

[8]雷萬云．信息化與信息管理實踐之道[M]．清華大學出版社，2012

[9]劉瑞廷．信息管理實用技術教程[M]．北京：清華大學出版社， 2006

[10] 薩師煊，王 珊．數據庫系統概論[M]．北京：高等教育出版社，2000

[11] 張亮.電氣安全[J].電氣工業,2005(10)

[12] Robert J. Ellison. Security and Project Management[Z]. Carnegie MellonUniversity Software Engineering Institute, 2006

[13]ChrisHendrickson. Project Management for Construction[M]. Prentice Hall,2008

[14] Layne K,Lee．Developing fully functional.E-government:A four stage.model[J]．Government

Information Quarterly，2001(18):122-136

[15] Sang Yi-Shun．The adoption of electronic tax filing systems：an empirical study[J]．Government Information Quarterly，2002（20）：333-352

[16] Paul T JaegeLBenShneiderman,Kenneth R Fleis-chmann,et a1．Communityresponse grids:e-government,socialnetworks,and effective emergencymanagement[J].

Telecommunications Policy,2007.31(11-12):592-604

[17] 薛明,李紅燕.一種基于模板的管理Web頁面用戶交互表單的方法[J].北京大學學報(自然科學版),2004, 1(03):473-479.

[18] 肖文峰.通用表單工作流管理系統的設計[J].計算機時代,2005, 1(06):25-27.

[19] 程建霞,楊波,孫麗達,王小唯,潘啟樹.基于稿件管理數據庫信息共享的表單批量輸出方法[J].編輯學報,2004,1(03):190-191.

[20] 劉鴻洋.項目管理方法在XY公司STT電力工程項目中的應用研究[D].武漢:華中科技大學,2010 23-34.

[21] K.Knoll and SJarvenpaa. Information Technology Alignmentor “Fit” in HighlyTurbulent Environments: the Concept ofFlexibility[Z],Proceedings of the 1994Computer PersonnelResearch Conference on Reinventing 18,1994:1-14,

[22] G. Fakas, a and B. Karakostas. workflow management system based on intelligentcollaborative objects[J]. Information and Software Technology. 1999, 41(13):907-915.

[23] Leymann F. Workflow-based applications[J]. IBM Systems Journal, 1997, 36(1):102-123.

[24] 樂勛.基于表單化管理的電力建設項目質量控制研究[J].電子世界,2011,1,(12): 32-34.

[25] 陳厚勇,馮朝柄,肖舜富.采用過程方法建立和實施一體化管理體系[J].中國質量認證,2002,2: 27-31

[26] 陳雁.淺談質量、環境、職業健康安全管理體系在建設工程項目管理中的應用[J].安徽建筑,2010, 06:191-192

[27] 許曉華.從質量管理到項目管理一論質量管理體系與項目管理體系的關系[J].水利建設與管理,2008,04: 56-57

[28] Wilkinson, G.., Dale, B. G.. Integrated Management System: A model based ontotal quality approach[J].Managing Service Quality, 2001,318-330

篇9

[關鍵詞]信息化 ； 危險品運輸； 安全； 運用

中圖分類號：X913.1 文獻標識碼：A 文章編號：1009-914X（2014）23-0229-01

引言

某大型國企成品油運輸公司（以下簡稱“公司”）主要為其所屬的油田、煉化、銷售等企業提供專業化運輸服務，在全國31個省市自治區設立了分公司，在481個城市設立了配送中心（車隊），現有各類危險品運輸車輛12398臺，車輛行駛區域遍布全國各地。

運輸距離長、地域跨度大、安全風險高的特點及承運物質易燃易爆、有毒有害的特性，就決定了危險品運輸安全管理的難度。公司作為國內規模最大的危險品道路運輸企業，多年來始終積極探索危險品運輸安全管控的有效手段，建成了全國信息化平臺，形成了“連成線、蓋住片、全天候、全覆蓋”的信息服務網絡，推動危險品運輸的科學化、規范化、信息化管理。

1 強化車輛運行過程管控

全面推行車輛GPS監控系統，建成了覆蓋全國的監控平臺，最大限度的防范超定速、超路線、超范圍、超規則等違章行為。

1.1 建立有利于安全管控的監控平臺

“寶石花”車輛監控平臺，是公司在近10年GPS監控使用經驗的基礎上自主研發和設計的，主要是利用傳感器、信息資訊、衛星定位、無線傳輸等技術，及時獲取“人、車、貨、路、天氣”的安全五要素信息，具有里程統計、分段限速、線路偏離報警、違規?？繄缶⒏黝悎蟊韰R總等特色功能，配合使用集衛星定位語音導航、衛星定位監控、免提直接通話和視頻監控為一體的“四合一”終端，監控面覆蓋危險品車輛運行的全過程，實現了對危險品運輸車輛的“零距離”管控目標。

“寶石花”車輛監控平臺是目前國內功能最全、容量最大、穩定性最高、覆蓋面最廣的監控指揮體系，被交通部指定為該企業的唯一并網平臺，和交通部物聯網無縫對接。

1.2 健全有效的監控體系

公司建立了總調度室、二級單位、配送中心（車隊）三級監控管理體系，在北京和烏魯木齊設立了2個GPS總監控室，在運輸主業單位設立了52個監控中心，在基層配送中心（車隊）設立了480個監控室，全公司專兼職監控員已達1108人。按照“分級管理、各負其責，有效監控、全面覆蓋”的原則，詳細界定了各級管理體系的監控管理內容，制定了各級監控管理主體及調度員、監控員、駕駛員等相關責任人的考核辦法，考核結果直接與二級單位的年終評比、單位班子成員的業績兌現、各級監控人員的獎金掛鉤，并每月進行一次考核通報，確保各級監控管理責任落實到位。

1.3 完善具體的管控措施

通過GPS監控平臺，對車輛出車前、行車中、收車后三個重點環節，實施有效的動態管控。一是出車前的風險提示。當班調度在安排駕駛員出車前，對車輛行駛線路的風險控制點進行重點交代，并向駕駛員發放行車路線的“三規一限”（規定線路、規定時間、規定停車地點，分段限速）警示圖，超前做好風險預防和控制。調度員將當日車輛任務信息及時發送給監控員，監控員根據各自管控的車輛和區域，對運行的車輛進行實時監控。二是行車中的動態監控。通過監控平臺及時向運行車輛發送調度、安全警示、天氣變化、道路通行等提示信息，并對行駛過程中出現的超速行駛、偏離規定路線、未按時到達目的地、亂停亂放等違章行為進行實時的提醒、警示和處理，查明原因后按規定進行處罰。三是收車后的過程排查。通過監控平臺的軌跡回放功能，基層配送中心（車隊）的監控員對每臺車的運行過程進行跟蹤回放，對未及時發現的違章行為按規定進行處罰。并根據地理信息提供的固定停車點位，對歸場車輛進行點名，使用系統圍欄功能，對歸場車輛進行管理，避免車輛被盜或私自出車。

各級監控員認真履行“早點名、日監控、晚控制、勤提示、嚴糾錯、細統計、精分析、善指導”的工作職責，對行駛車輛進行24小時不間斷監控，每天統計當日車輛運行情況，填報監控日志，對車輛運行效率、監控上線率、車輛分布、超速、違規等內容按層級形成報表，為不同的管理者提供關注的信息，以確保各相關部門掌握整體情況。

2 強化生產管理過程管控

為了提高對車輛運行的指揮和管控能力，將管控延伸至生產管理的全過程，公司建成了北京、烏魯木齊兩個生產調度指揮中心和52個運輸主業單位的可視化調度指揮系統，及覆蓋全國609個地市級配送中心（車隊）的遠程視頻監控、視頻會議和電話會議系統，實現了兩級生產調度部門的實時音視頻交流和安全生產指令傳達，對各級生產管理人員的管理行為及車輛歸場、停放情況進行重點監控，安全管控手段更加有力。

3 強化駕駛員操作行為管控

在“人、車、路、環境”的交通管理因素中，“人”是最難管控、也是起到決定性作用的因素。為了更好的規范和控制駕駛員的駕車行為，公司采用了現代視頻監控信息技術，在危險品運輸車輛上安裝4個防爆視頻攝像頭。駕駛室副駕駛座位斜上方的攝像頭，可以直接監控駕駛員的操作行為，有效杜絕了駕車不系安全帶、接打電話、抽煙等嚴重違章行為及其他各類不安全行為，還可對駕駛室前方10米以內道路情況進行監控和錄像，如遇突發事件，錄像內容可作為有效證據，并可用于事件的原因分析。駕駛室頂部的攝像頭，主要用于監控罐體的裝油口。駕駛室左右兩側的攝像頭，主要用于監控罐體的卸油口和車輛油箱?；鶎优渌椭行模ㄜ囮牐┑谋O控員對駕駛員執行運輸任務過程中的操作行為進行實時監控，全力保障車輛運行安全，有效控制運輸過程中的數質量問題，確保只有“規定動作”，杜絕“自選動作”。

4 強化突發事件應急處置管控

危險品運輸突發事件的偶發性、時間不確定性、地點隨機性和后果的嚴重性，給應急救援處置工作到來了巨大挑戰。公司結合實際，開發實施了應急搶險指揮系統，在北京、烏魯木齊生產調度指揮中心設立了應急指揮中心，在自主設計的應急搶險車上安裝通信終端，遇有突發事件，應急搶險救援車根據指令第一時間趕赴現場，通過終端設備將前方的音視頻畫面傳送至應急指揮中心的大屏幕，實現了空間、地域的跨越，為科學合理處置突發事件提供實況信息，并可將應急指令一線直達，應對和處置突發事件的能力得到顯著提高。

5 取得的成效

5.1 違章現象明顯減少

自2004年以來，公司在車輛總數大幅增加的情況下，車輛違章超速報警頻次由以前每年的5000次/千臺下降到目前的46.5次/千臺；車輛偏離行駛路線、隨意停放從以前的253車次/天下降到目前的8.6車次/天。各類違規違章駕車行為得到有效遏制，安全生產形勢日趨好轉。

5.2 事件總量大幅降低

遠程視頻監控系統與GPS監控系統聯合應用至今，公司的車輛被盜和數質量事件明顯減少，各類事故事件得到有效控制。

篇10

關鍵詞：信息安全管理；測評；要素；指標

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）27-6080-03

人類進入信息化社會，社會發展對信息化的依賴程度越來越大，一方面信息化成果已成為社會的重要資源，在政治、經濟、國防、教育、科技、生活等發面發揮著重要的作用，另一方面由于信息技術的迅猛發展而帶來的信息安全事件、事故層出不窮，信息安全問題與矛盾日益突出。信息安全工程是一個多層面、多因素的、綜合的、動態的系統工程，其包括關鍵基礎設施及硬件安全、運行安全、軟件安全、通信安全、人員安全、傳輸安全、網絡安全、人員安全等。組織要實現信息安全目標，就必須建立一套行之有效信息安全管理與技術有機結合的安全防范體系。信息安全管理包括制定信息安全策略（包括計劃、程序、流程與記錄等）、風險評估、控制目標的選擇、控制措施的實施以及信息安全管理測評等。管理大師德魯克曾經說過“無法度量就無法管理”[1]，強調了測量對組織管理的重要意義，信息安全管理同樣也離不開測評。如何對信息安全管理有效性等進行測量，根據測量的結果對組織信息安全管理情況進行評價并進一步指導信息安全管理，提高信息安全管理能力和水平，目前已經成為信息安全領域的一個研究熱點[2]。

信息安全管理測評是組織圍繞信息化持續發展與信息安全保障的現狀和未來綜合能力的反映，不僅是對過去和現在的能力展現，而且為未來發展提供保障和動力。在我國，目前關于信息安全管理測評研究剛處于起步階段，還沒有一套可供使用的信息安全測評體系標準、方法等。因此，開展信息安全管理測評研究，對組織信息化建設既具有重要的現實意義也具有長遠的持續發展意義。

1 信息安全管理測評發展綜述與需求

關于信息安全測評，美國早在2002年通過的《聯邦信息安全管理法案》中就要求各機構每年必須對其信息安全實踐進行獨立測評，以確認其有效性。這種測評主要包括對管理、運行和技術三要素的控制和測試，其頻率視風險情況而定，但不能少于每年一次。在獨立評價的基礎上，聯邦管理與預算局應向國會上報評價匯總結果；而聯邦審計署則需要周期性地評價并向國會匯報各機構信息安全策略和實踐的有效性以及相關要求的執行情況。

2003年7月，美國國家標準與技術研究所（National Institute of Standards and Technology，NIST）了NIST SP 800-55《信息技術系統安全測量指南》，其包括以下內容[3]：

1） 角色和職責：介紹發展和執行信息安全測量的主要任務和職責。

2） 信息安全測量背景：介紹測量定義、進行信息安全測量的好處、測量類型、幾種可以進行信息安全測量的控制、成功測量的重要因素、測量對管理、報告和決策的作用。

3） 測量發展和執行過程：介紹用于信息安全測量發展的方法。

4） 測量項目執行：討論可以影響安全測量項目的技術執行的各種因素。

5） 以附件的形式給出的16種測量的模板。

2004年11月17日，美國的企業信息安全工作組（Corporate Information Security Working Group，CISWG）了CISWG CS1/05-0079《帶有支撐管理測量的信息安全計劃要素》[4]，2005年國際標準化組織（ISO/IEC SC27）提出了信息安全管理體系（Information Security Management Systems，ISMS）的系列標準——ISO27000系列。2005年1月10日又了修訂版，并作為針對ISO/IEC 2nd WD27004 的貢獻文檔提交給ISO/IEC JTC1 SC27，該文檔是根據CISWG的最佳實踐和測量小組的報告改編。

2005年8月31日，美國國際系統安全工程協會（International System Security Engineering Association，ISSEA）針對ISO/IEC 2nd WD 27004向ISO/IEC JTC1 SC27提交了題為“ISSEA Contribution Background”[5]（ISSEA測量的貢獻背景）和“ISSEA Metrics”[6]（ISSEA測量）兩個貢獻文檔。

2009年國際標準化組織（ISO）了ISO/IEC 27004：2009（信息技術一安全技術一信息安全管理測量）標準，為如何建立及測量ISMS及其控制措施提供了指導性建議[7]。

信息安全管理體系是信息安全保障體系的重要組成部分。近年來，隨著組織對信息安全保障工作重視程度的日益增強，不少組織都依據標準GB/T 22081-2008建立了一套比較完善的ISMS來保護組織的重要信息資產，但是體系建立起來了，不少管理者都對ISMS的運行效果極其控制措施的有效性，持懷疑的態度。故此組織很有必要建立一套相應的測評方法來全面的對ISMS的運行情況進行科學的評價，進一步提升ISMS的執行力。該文研究的信息安全管理測評將為確定ISMS的實現目標，衡量ISMS執行的效力和效率提供一些思想、方法，其結果具有客觀的可比性，還可以作為信息安全風險管理、安全投入優化和安全實現變更的客觀依據，有助于降低安全風險，減少安全事件的概率和影響，改進安全控制和管理過程的效率或降低其成本。

2 信息安全管理測評研究內容

信息安全管理測評是信息安全管理體系的重要部分，是信息安全管理測量與評價的綜合。信息安全管理測量的結果是信息安全績效評價的依據。信息安全管理測量比較具體，信息安全管理評價則通過具體來反映宏觀。

2.1 信息安全管理測評要素及其框架

信息安全管理測評要素包括：測評實體及其屬性、基礎測評方式、基礎測評變量、導出測評制式、導出測評變量、測評方法、測評基線、測評函數、分析模型、指示器、決策準則、測評需求和可測評概念等，其框架如圖3.1信息安全測評框架所示，包括：基于什么樣的需求來測評（即測評需求），對什么進行測評（即實體及其屬性），用什么指標體系來測評（包括測評制式、測評變量和測評尺度），用什么方法來測評（即測評方法），用什么函數來計算測評結果（即測評函數），用什么模型來分析測評結果（即分析模型），用什么方式來使分析結果能夠輔助決策（即指示器）等問題。

信息需求是測評需求方提出的對測評結果信息的需求。信息需求源自于組織的使命和業務目標，與相關利益者的利益訴求密切相關。指示器的生成和分析模型的選擇是以信息需求為導向的。

決策準則是一種決定下一步行為的閾值。他有助于解釋測評的結果。決策準則可能出自或基于對預期行為在概念上的理解和判斷。決策準則可以從歷史數據、計劃和探索中導出，或作為統計控制限度或統計信心限度計算出來。

可測評概念是實體屬性與信息需求之間的抽象關系，體現將可測評屬性關聯到信息需求以及如何關聯的思想?？蓽y評概念的例子有生產力、質量、風險、績效、能力、成熟度和客戶價值等。實體是能通過測評屬性描述的對象。一個實體是測評其屬性的一個對象，例如，過程、產品、系統、項目或資源。一個實體可能有一個或多個滿足信息需求的屬性。實踐中，一個實體可被歸類于多個上述類別。他可以是有形的也可是無形的。信息安全管理測評的實體包括信息安全管理體系建立過程中所有的控制項（信息安全管理測評要素）。屬性是實體可測評的、物理的或抽象的性質。一個屬性是能被人或自動手段定量或定性區分的一個實體的某一特性或特征。一個實體可能有多個屬性，其中只有一些可能對測評有價值。測評模型實例化的第一步是選擇與信息需求最相關的屬性。一個給定屬性可能被結合到支持不同信息需求的多個測評構造中。信息安全管理測評主要測評的是每一項控制措施的屬性（信息安全管理測評指標）。

測評是以確定量值為目的的一組操作。信息安全管理測評是確定控制項的每一個具體指標的一組操作，可以有多種測評方法?；A測評是依照屬性和定量方法而定義的測評方法，是用來直接測評某一屬性的，是根據屬性和量化他的方法來定義，他捕獲單獨屬性的信息，其功能獨立于其他測評。信息安全管理基礎測評是對于控制項的指標可以直接測評出來的量。導出測評是通過測評其他屬性來間接地測評某一屬性的測評，是根據屬性之間的關系來定義，他捕獲多個屬性或多個實體的相同屬性的信息，其功能依賴于基礎測評的，是兩個或更多基礎測評值得函數。

測評尺度是一組連續或離散的數字量值（如小數/百分比/自然數等）或離散的可數量值（如高/中/低/等）。測評尺度是規范測評變量取值的類型和范圍。測評方法將所測評屬性的量級影射到一個測評尺度上的量值后賦給測評變量。

測評尺度根據尺度上量值之間關系的性質分為四種類型：

名義（Nominal） ：測評值是直呼其名。

序數（Ordinal） ：測評值是有等級的。

間隔（Interval） ：測評值是等距離的，對應于屬性的等量，不可能是零值。

比率（Ratio） ：測評值是等距離的，對應于屬性的等量，無該屬性為零值。

測評單位是作為慣例定義和被廣泛接受的一個特定量。他被用作比較相同種類量值的基準，以表達他們相對于此量的量級。只有用相同測評單位表達的量值才能直接比較。測評單位的例子有公尺、公斤和小時等。

測評函數是將兩個或更多測評變量結合成導出測評變量的算法。導出測評變量的尺度和單位依賴于作為函數輸入的測評變量的尺度和單位以及他們通過函數結合的運算方式。分析模型是將一個或多個測評變量轉化為指示器的算法。他是基于對測評變量和/或他們經過一段時間的表現之間的預期關系的理解或假設。分析模型產生與信息需求相關的評估或評價。測評方法和測評尺度影響分析模型的選擇。

測評計劃定義了測評實施的目標、方法、步驟和資源。測評頻率是測評計劃的執行頻率。測評計劃應按規定的頻度定期地或在必要的時候不定期地執行。定期執行的規定頻度應建立在信息效益的需求與獲得他的成本之間的折中，可以是每周、每月、每季度或每年等。不定期執行的必要時候包括ISMS初始規劃和實施以及ISMS本身或運行環境發生重大變化。

2.2 信息安全管理測評量表體系

任何測評都必須具備參照點、單位和量表三個要素。信息安全測評指標體系是信息安全測評的基礎，是對指定屬性的評價，這些屬性與測評需求方的信息保障需求相關聯，對他們進行評價為測評需求方提供有意義的信息。其總是以滿足其信息保障需求和方便易理解的方式呈現給測評需求方的。標準GB/T 22081-2008是進行信息安全管理所參照的標準，其從信息安全方針、信息安全組織、法律法規符合性等11個方面，提出了133個控制措施供使用者在信息安全管理過程中選擇適當的控制措施來加強信息安全管理。該標準所提供的控制措施基本能覆蓋信息安全管理的各個方面。在建立信息安全管理測評指標體系的實踐中，通常以控制措施的實施情況作為指標，建立預選指標集，通過對預選指標集的分析，采用專家咨詢的方式篩選出能全面反映信息安全管理有效性的具體指標。

3 信息安全管理測評方法探討

測評方法通常影響到用于給定屬性的測評尺度類型。例如，主觀測評方法通常只支持序數或名義類型的測評尺度。測評方法是使用指定的測評制式量化屬性的操作邏輯序列。操作可能包括計算發生次數或觀察經過時間等。同樣的測評方法可能適用于多個屬性。然而，每一個屬性和測評方法的獨特結合產生一個不同的基礎測評。測評方法可能采用多種方式實現。測評規程描述給定機構背景下測評方法的特定實現。

測評方法根據量化屬性的操作性質分為兩種類型：

主觀：含有人為判斷的量化。

客觀：基于數字規則（如計數）的量化。這些規則可能通過人或自動手段來實現。

測評方法的可能例子有：調查觀察、問卷、知識評估、視察、再執行、系統咨詢、測試（相關技術有設計測試和操作有效性測試等）、統計（相關技術有描述統計、假設檢驗、測評分析、過程能力分析、回歸分析、可靠性分析、取樣、模擬、統計過程控制（SPC， statistical Process control） 圖和時序分析等）。

4 結束語

當前，信息安全領域的測評研究多側重于對技術產品、系統性能等方面的測評，其中信息安全風險評估可通過對重要信息資產面臨的風險、脆弱性的評價掌握組織的信息安全狀況；信息安全審計則只是對信息安全相關行為和活動提供相關證據；而信息安全管理評審則是符合性審核，他們都不能對信息安全管理的有效性以及信息安全管理中采取的控制措施的有效性做出評價。因此，非常有必要對信息安全管理的有效性進行測評，這將有助于了解信息安全管理過程中所采取的控制措施的有效性以及控制措施的執行情況，為管理者決策提供依據，也能為組織信息安全管理過程的持續改進提供足夠的幫助，達到更好地管理信息安全的最終目的。

參考文獻：

[1] 閆世杰，閔樂泉，趙戰生.信息安全管理測量研究[J].信息安全與通信保密，2009，5：53.

[2] 朱英菊，陳長松.信息安全管理有效性的測量[J].信息網絡安全，2009，1：87-88.

[3] Nist N. 800-55. security metrics guide for information technology systems[J]. NIST paper， 2003.

[4] CISWG CS1/05 -0079. Information Security Program Elements with Supporting Management Metrics ， Adapted from the report of the Best Practices and Metrics Teams ， Corporate Information Security Working Group （ CISWG ） ， 2004-11-17 （ Revised 2005-01-10 ）.

[5] ISO/IEC JTCI SC27 N4690 ISSEA Liaison Organization 's cofnfnents on SC27 N4474 ISO/IEC 2nd WD 27004 Information technology-Security techniques-Information Security management metric and measurement （in response to document SC27 N4485revl），2005-08-31