前言:中文期刊网精心挑选了信息安全管理办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全管理办法范文1
计算机技术在档案管理方面的应用,促进了我国档案信息化建设的发展。目前,我国各级别的档案馆(档案室)除了收到一些传统的纸质档案外,还会接收大量的数字档案。近年来,这些档案馆(档案室)每年接收到的数字档案的数量呈快速的上升趋势,数字档案系统的规模也在不断扩大,整个数字档案信息管理系统也变得比以往的复杂。由于数字档案信息的管理涉及到信息采集、传递等多个操作,而影响这些操作的因素又较多,所以对数字档案信息的安全性管理十分重要。
一、数字档案信息化相关信息简述
1、目前我国数字档案信息化的发展。近年来,计算机技术在档案管理中逐渐使用,并呈现快速发展趋势。由于电子文件的大量产生以及档案馆(档案室)中纸质档案的数字化速度的加快,导致了档案实体与所包含的信息内容加速度地增长,档案工作本身也随之发生变化,实体档案信息管理与数字档案信息管理彻底分离。目前,数字档案信息管理已经逐步建立起全国、全省性的档案目录中心和真正意义上的数字档案信息中心,从档案实体中分离出来的档案信息更是惊人地增加,人们更多地将从网络中获取档案信息,而档案实体将会从直接利用中脱身,只充当原始凭证和信息法官的角色。
2、数字档案信息安全管理的重要意义。目前,数字档案的发展为人们的生活提供了便利,因此对数字档案信息进行安全管理十分重要。通过对数字档案信息的安全管理,除了防止信息丢失以外,还能够激发其有效性,对实现信息化的发展有很大的推动作用。在进行安全管理时,需要建立相应的信息安全管理系统,并联系实际制定规范的操作和管理体系。同时,对数字档案信息进行安全管理对技术也有很高的要求,良好的技术是保证数字化管理过程正常运行的前提。此外,管理人员的素质也是数字档案信息安全管理重要的一部分,因此对人员进行合理的分配和管理也十分重要。
二、我国数字档案信息安全管理存在的问题
1、管理人员安全意识薄弱
目前,我国从事档案管理工作的人员整体上安全意识薄弱,对数字档案信息的安全管理并没有重视起来。很多工作人员在使用数字档案进行信息查询时,没有想过这些数字档案信息可能会由于一些问题消失,更不会去想如何能够保护这些信息的安全。作为数字档案信息的管理者,他们安全意识的缺乏,导致了数字档案信息的安全管理缺乏坚实的基础,不利于信息的安全管理。
2、管理环境较落后
我国数字档案信息管理的基础设施和运行的环境条件比较差,由于我国在该方面投入的资金较少,导致放置数字档案信息管理系统的机房安全等级低,条件差。在这种形势下,很多档案馆(档案室)的设施都设置在普通的办公室里,这便给系统留下了安全隐患,不利于数字档案信息的安全管理。
3、管理制度不完善
我国当下的数字档案信息安全管理缺乏完善的制度,导致管理过程中出现了一系列的问题。虽然我国大多数档案馆(档案室)都制度了相关的安全管理制度,但是这些制度存在很大的不足,并缺乏执行力度。在现有的安全管理制度中,很多制度都是为了应付上级的检查而制定的,互相抄袭的现象很严重,这便导致制定出来的很多制度都与本档案馆(档案室)的实际情况不符,出现了制度与管理工作脱节的现象,执行力度低。
4、管理水平落后
数字档案信息安全管理的水平落后,主要表现在工作岗位、操作人员和操作系统方面。工作岗位方面,由于缺乏明确的职责规划,导致业务操作的权限出现混乱的现象,工作人员越岗、代岗的现象十分严重。从操作人员的角度看,很多操作人员擅自使用计算机进行一些私人操作,他们在计算机上安装与工作不相关的软件等,造成计算机系统程序被更改,不利于数字档案信息的安全管理。在操作系统方面,一些计算机系统没有进行密保设置或者设置的密码过于简单,使得很多非工作人员使用计算机,他们操作的随意性很容易造成信息的丢失,此外,一些工作人员的不规范操作,也对数据的安全性带来威胁,严重时会导致操作系统的崩溃。
5、专业管理人员缺乏
数字档案信息安全管理的前提是有一批专业的管理人员,他们不仅熟悉计算机知识,还能熟练地掌握档案管理工作,但是目前我国相关部门缺乏这样的复合型人才。我国目前的档案管理人员的整体素质比较低,他们所掌握的的知识都比较陈旧,远远不能满足现代数字档案信息管理的需要。
三、完善数字档案信息的安全性管理的措施
1、提高档案人员的安全防护意识和能力
首先,作为档案人员,提高他们的安全意识十分重要。档案馆(档案室)应该定期组织宣传教育,数字档案信息系统的安全维护需要所有档案人员的参与,因为每一个档案人员都有可能在不经意之间泄露档案信息,因此要对所有的档案人员进行安全意识的培训。其次,要增强档案管理人员的安全防护能力,数字档案管理人员要有相应的安全防护技能,要会对秘密信息进行加密、定期清理计算机、灵活运用杀毒软件和防火墙并养成良好的上网习惯。此外,档案人员还应该了解保证数字档案信息载体物理安全方面的知识。
2、健全相关制度
要保证数字档案信息安全管理的顺利进行,必须要有相关的制度来进行规范指导。首先,要健全确保安全的法律法规体系,目前我国已颁布了《中华人民共和国档案法》、《中华人民共和国保守国家秘密法》等法律法规来保证数字档案信息的安全,维护国家的公共利益。其次,要完善管理制度,用规范的管理制度来约束数字档案的形成、归档、保管、利用等环节,在每一个环节上用技术和制度相结合的方式堵住信息失真的隐患。
3、完善基础设施建设
硬件设施的建设是保证数字档案信息安全管理的物质基础,没有优质的硬件设施做后盾,就不会有数字档案信息的安全。完善基础硬件设施,可以从以下几方面着手:一是挑选优质数字档案信息的存储设备,根据实际情况选择符合实际需要的存储介质,目前我国许多档案馆(档案室)基本上都采用光盘刻录技术;二是数字档案信息备份系统的完善,为了防止因操作失误、硬盘损坏、计算机病毒及自然灾害等造成的数据丢失,必须有计划地开展备份工作;三是数字档案信息传输设备的建设,网络的硬件基础设施主要包括网络布线、交换机、集线器、网关设备等等,所有的这些网络设备都存在着因自然老化、人为破坏和电磁辐射所带来的安全威胁,因此要加强对数字档案信息传输设备的管理,定时检修、及时更新并由专人负责管理。
信息安全管理办法范文2
通过此次总公司的安全生产管理总动员,我们对各口的规章制度重新进行了整顿、落实,确保物业公司各个环节安全、有序的运作。
工程维修中心负责小区公共设备设施的维护保养,强电、弱电的维修人员在作业过程中“安全第一、预防为主”的指导方针显得尤为重要,学习过程中,他们切实体会到了公司文件的精神所在,并更加重视生产中的安全问题;其它维修人员及护卫人员也领会了安全生产会议精神,对他们今后工作的顺利开展指明了方向,并追加了种种安全符号。
新出台的《安全生产法》体现了在安全生产管理上要强化“超前意识”、“预防为主”的理念,进一步明确了只有有效地预防生产安全事故的发生,才能使安全管理工作达到最高的境界。我们知道,生产安全事故一旦发生,将会带来一系列的社会问题和不可挽回的经济损失,即使多加几个“不放过”也为时晚矣。安全管理工作的“超前意识”,强调把安全工作的重点从事后处理转移到事前监督上来。要建立完善的事前监督管理体系,在贯彻“安全第一”工作中必须遵循“预防为主”的原则和“防范胜于救灾”的内涵。同时,也要形成建立积极向上的“安全文化”氛围,这是安全管理工作事前监督体系的重要环节。公司内部推行的安全生产热营造出浓厚的“安全文化”氛围,“安全文化”追求的是一种各级领导干部身体力行现出来的安全管理理念,从而促使所有人员表现出较高的重视安全工作的自觉性和积极性,并将安全生产工作放在自己的职业价值中去,从而使各项安全生产管理工作成为自己工作的行动指南。一个完善的考核机制应包含安全管理的各个环节,健全“责任链”的监控系统,提高“防患”意识,从小事做起,建立必备的安全防患措施,养成工作严谨、执行制度认真、工作程序规范的良好工作作风。在实际工作中提高自防和互防能力,做到“三不伤害”,从而建立起安全管理工作的新风尚。把生产过程中发生事故的可能性消灭在萌芽状态。
中国有句古话“千里之堤,溃于蚁穴”,生产过程中,如果不重视安全因素,那么等在后面的将是无数毁灭性后患。作为世界上头号超级大国,美国的电力设施也堪称是世界一流的。如果把它的电网比喻成千里之堤,也可以说是铜墙铁壁铸成的长堤。曾发生于美国东北部及加拿大部分地区的大面积停电的那次停电事故,对美国及加拿大的航空和陆路交通,正常科研,生产与居民生活造成严重影响,并直接影响到美国国家秩序的稳定,成为当时震动世界的大新闻。然而,就那样一个世界一流的大电网,由于对预警迹象的不够重视,致使电网陷入了大面积瘫痪的状态,真是应了“千里之堤,溃于蚁穴”的这句中国老话。
其实,蚁穴本身并不可怕,可怕的就是把它与长堤联系起来。如果单说违章操作的那个分解动作,本身也不可怕,可怕的就是把那个动作与电网联系起来。
信息安全管理办法范文3
甘肃建筑职业技术学院甘肃兰州730050
摘要:目前高校教学管理信息中安全问题频发,暴露出了诸多安全管理问题,文章对高校教学管理信息安全中存在的问题进行了仔细分析,并提出了相应的解决措施。
关键词 :信息安全;问题;措施
随着信息化建设进程的加快,信息安全问题逐步成为各高校所面临的难题。高校经过多年的不断努力,通过物理、技术、管理等方面的各种措施,来保障整个校园信息的安全,通过近年来的管理,也取得了一定的成效,但是高校网络信息安全的管理不单单是技术上的问题,也不单单是出台几个管理条例就能解决的事情。根据信息安全管理体系理论对高校信息安全管理的基本要求,高校要建成相对比较完善的信息安全管理制度体系、管理措施等。而通过对高校目前的信息安全管理现状分析来看,仍然存在多方面的不足。
1 高校信息安全管理存在的问题
1.1 信息安全意识淡薄。目前,高校在信息系统防御能力方面薄弱,网络硬件、软件、协议和安全防护存在较多缺陷和错误,且无法及时、定期修复,严重滞后于信息技术的发展。部分高校教师缺乏安全知识和信息技术水平,对防护措施漠不关心,片面认为学校信息安全是属于专业技术人员的工作。有些学校也不重视高校信息安全管理,导致缺乏安全管理人才及专业指导,同时缺少信息安全系统规划和合理整体布局,风险分析不彻底,制定保障策略存在漏洞。
1.2 过分依赖软硬件技术保护。投入信息安全产品,如专业防火墙、专业的VPN 通道设置等之后,软件和设备防护能力提高,起到信息安全保护与防范作用。但是仍然存在“重技术、轻管理”的思想,管理的意识不够,观念没有彻底转变。信息安全不仅是技术层面的工作,还需考虑物理、技术、管理安全方面的因素。目前,高校在技术措施上投入大量经费,购买安全产品,却在管理措施上投入较少,过分依赖于硬件技术的保护。信息安全事件主要是人为的管理不善,管理意识的淡薄、条例的不健全、操作过程不当等造成的。
1.3 信息安全管理人员配备不足。做好信息安全管理工作,需要有一支高素质的管理队伍,但高校在信息化办公室人员配置上数量较少,专业结构不合理,信息技术部门的工作人员只是购买安全软件装在服务器上。在服务器的管理和维护工作上,通常采用与校外公司签订维护服务协议解决人员紧缺及技术问题,但因不是本校员工,难免出现因事务繁杂而导致责任心不强的问题,有所疏忽将造成重大的损失。还有一种不能忽视的问题,在各个高校普遍存在,就是有部分信息安全管理人员不是计算机或者网络安全专业出身,不能胜任专业的信息安全管理工作,从一定意义上来说,这部分人员不是信息安全管理的专业人员。
1.4 管理制度体系不够完善。目前,很多高校没有成立信息安全组织机构,未配备专门人员,尽管部分高校制定了管理办法和规章制度,但达不到信息安全的管理要求。根据信息安全现状和管理要求,各高校都应成立相应的安全组织、管理和技术机构,形成系统的信息安全管理机制。同时,还有部分高校在信息安全管理方面,几乎没有应急预案,一旦出现信息安全问题,后果不堪设想,一些高校虽然制定了《大学网络与信息安全报告管理办法》,但没有真正发挥作用,未能起到预防信息安全事件发生和消除事件影响的作用。因此,完善高校信息安全管理体系还有很多工作要做。
1.5 信息安全管理和技术有待提高。高校信息安全管理规章制度权威性不足,没有形成长效机制,是目前普遍存在的问题。任何管理措施都需要执行力,尽管目前高校在教学、管理、服务等方面都普及了数字化,但由于信息安全风险的不确定性,致使信息安全不被充分重视,信息安全管理和保障设备投入有限,设施陈旧,组织框架混乱,安全管理工作的分工不明,导致不能预防和及时处理信息安全方面的问题。信息安全管理制度的落实是高校的重点工作,各高校要高度重视,加强软硬件建设,提高管理人员技术水平,保证高校信息的安全性和可恢复性。
2 高校信息安全防护措施
2.1 建立有效的信息安全防护系统。合理配置操作系统端口,详细设置防火墙,开放必须利用的端口,关闭其他不必要的端口;免费提供正版杀毒软件,供全校师生免费下载使用,定期修复系统漏洞,发送错误报告并进行分析处理,升级防毒软件,保障校内所有计算机的安全运行;安装与配置IDS 入侵检测系统,检测防火墙过滤后的隐匿攻击,安装漏洞扫描系统,内外兼防确保信息终端的可信赖性。
2.2 建立安全管理体系。在了解高校当前信息安全管理面临的威胁和风险,分析原因的基础上,结合现有信息安全管理现状,整体规划设计信息安全管理体系。制定相应的安全管理工作机制,明确各管理部门责权,对重点部门、重点节点重点进行安全风险的防控,有效确保整个信息安全管理工作的高效落实。
2.3 加强信息安全管理人员的配备和管理。成立学校信息安全管理机构,采取激励政策,引进培养素质高、数量足的高水平网络、数据管理人才队伍,并培养部门信息安全管理员,充分调动他们的积极性和主动性,为学校信息安全保驾护航。对全体师生进行信息安全技术培训,使广大师生熟练掌握日常的安全操作和系统维护,针对性的加强部门、学生内部安全意识和技术人才的培养,使教师学生掌握基本的网络防御技能和安全保密素质。
2.4 提高高校信息安全管理应急处理能力。信息安全事件具有隐蔽性、突发性的特征,甚至是具有灾难性和传播性的恶性事件。因此,要充分考虑信息安全事件发生时的影响度、损坏度,并进行风险评估,建立和完善信息安全预警与应急处理机制。各校要成立网络信息安全应急处理小组,明确应急处置流程、落实相关处置人员职责,以加强预防为主,在网络信息安全应急事件发生时,迅速实施应急预案,有效控制突发事件,妥善处理问题。在处理信息安全突发事件时,要兼顾高校正常工作中对网络的需求,在有效控制校园网络信息安全突发事件后尽快恢复校园网络,避免影响正常办公。
3 结语
总体来讲,高校目前在信息安全管理方面还存在很多缺陷,已有的安全管理规章和制度只是一种局部的、事后纠正式的安全管理方式,要从根本上避免和降低信息安全事件发生的概率,就必须要根据自身的实际情况,借鉴其他高校的相关经验,制定一套适合本校的安全管理策略和措施体系。
参考文献:
[1]聂磊,刘小玲.浅谈校园网络信息安全管理[J].教育教学论坛,2010(21).
信息安全管理办法范文4
关键词:煤炭企业;网络信息安全;问题;对策
引言:当前煤炭企业对网络安全威胁很难开展有效的监测,无法实现主动防御,只能处于一种被动防护状态,这无疑将会给煤炭企业引入极大的网络安全风险。煤炭企业上到领导下到普通职员,均对网络信息安全问题抱有侥幸的心理,觉得一般不会出大的问题,从而缺少积极的防范措施,使得煤炭企业当前在应对实际的网络安全威胁时不能有效的进行监测和防护。
一、关于煤炭企业当前面临的网络信息安全问题的分析
(1)煤炭企业员工的网络信息安全意识比较淡薄
当前很多煤炭企业对自身所处的网络信息安全现状依然缺少正确、完整的认识,他们企业管理者觉得煤炭企业信息化的水平不高,接入互联网的终端和用户比较少,因此企业的网络信息安全问题并不会给煤炭企业造成一定的威胁。另外,煤炭企业的管理层缺少对企业网络信息安全的有效支持,使得实际投入到企业网络和信息安全建设中的资金远远达不到应有的要求。
(2)煤炭企业内部网络信息系统的防护能力比较薄弱
从目前看来,依然存在一些煤炭企业缺少复杂的网络信息系统部署结构,已有的设备性能和配置也比较落后。在实际的网络系统部署中缺少有效的安全防护技术和手段,不能有效监测到网络安全的威胁,只能一直处于被动防护的状态。由于煤炭企业内部大多使用的还是比较老旧的操作系统,这些旧的终端设备本身就存在着大量的系统漏洞,很容易遭到黑客的攻击。当各个系统或软件厂商在网上修补漏洞的补丁时,很多煤炭企业员工和用户由于对这些网络安全问题缺少正确的认识,无法意识到这些系统和软件漏洞会给煤炭企业本身带来的安全威胁,使得企业内部网络终端设备很难全部完成漏洞的修补。
(3)煤炭企业缺乏有效的网络安全防范体系
调查发现,当前很多煤炭企业的网络信息安全管理较为混乱,没有形成一套科学完整的网络安全防范体系和机制。煤炭企业虽然制定了一些有关于网络信息安全的管理制度和工作方法,但是依然缺乏有效的网络安全威胁监测和应对方法,对于已有的网络安全管理办法也很难严格的去执行,不能达到预期的网络安全防护效果。另外,对于煤炭企业员工本身缺少有效的约束管理办法,大多数时候只能依靠員工本身的自律能力,没能从企业网络安全管理制度和办法上建立起一种行之有效的防范措施。
二、煤炭企业防范网络信息安全的对策
(1)加强企业内部网络信息安全管理
煤炭企业要想提高企业本身的网络安全防护能力,首先必须改变企业当前固有的网络安全管理方法,各个部门都需要制定出适合自己部门业务系统的网络安全防护管理机制和体系。煤炭企业必须加强企业内部自身的管理,为企业制定一套完整的网络安全审计体系,能够及时的发现潜在的安全威胁,并有效的追踪到问题责任人。煤炭企业的网络安全防护能力的强弱还需要根据企业员工网络安全意识的强弱来判断,因此在煤炭企业实际的运营当中,必须加大对企业网络安全技术培训和教育的投入。在煤炭企业中,网络信息安全相关知识的培训、教育以及宣传非常重要,尤其要加强企业员工对网络安全意识的培养,认识到网络安全对企业发展的重要性。要想让煤炭企业能够具备足够的网络安全知识和应急响应能力,就必须对企业员工开展定期的网络安全知识培训,从而不断维持煤炭企业较高的网络信息安全水平。
(2)引入先进的安全防护技术
除了刚刚提到的煤炭企业要加强企业内部网络信息安全管理之外,最为重要的就是煤炭企业必须要引入先进的网络安全防护技术。如果企业没有这些先进的安全防护技术,那么煤炭企业的网络信息安全管理做的再好也没有用,因为攻击者将能够直接不费吹之力拿下企业的整个网络系统,令企业面临巨大的经济或声誉损失。当前随着攻击者的攻击手段不断提高,网络安全防护技术也在不断地取得发展,因此煤炭企业必须要选择先进的安全防护技术来保护企业系统免受侵害。
首先,煤炭企业必须要给企业内部所有的办公终端安装网络版的防病毒软件,如此一来煤炭企业便可以实现对企业办公终端的集中式管理,使得企业的系统管理员能够及时的了解到当前网络环境中每个节点的网络安全状态,从而可以实现对企业办公终端的有效监管。此外,煤炭企业必须要在系统网络之间部署防火墙,避免攻击者通过非法的技术手段访问企业内部网络,从而有效保护企业内部网络的安全。防火墙技术能够实现煤炭企业内部网络和外部网络的有效隔离,所有来自煤炭企业外部网络的访问都需要经过防火墙的检查,从而提高企业内部网络的安全性。除此之外,煤炭企业还必须引入数据加密技术,来有效提高企业内部系统和数据的保密性,避免企业内部的机密数据被攻击者窃取或遭内部员工的泄露。机密数据在发送之前会被发送者使用密钥进行加密处理得到密文,然后密文会通过传输介质传送给接收者,接收者在拿到密文之后,需要利用密钥对密文进行解密处理得到原始的机密数据。这样一来便保证了数据信息的机密性,从而避免机密数据被黑客窃取给煤炭企业带来经济损失。
信息安全管理办法范文5
记者:为什么说信息科技风险管理对于商业银行是特别重要的一环?
徐徽:近年来,风险管理已成为商业银行经营管理活动的主旋律,信息科技风险作为银行风险的重要组成部分,受到越来越多的重视。从商业银行的角度看,这源于两方面的驱动因素。
一是内在驱动因素。目前信息技术已深入到商业银行经营管理的各个领域,几乎所有的改革发展任务都与信息技术密切相关,不管是业务的发展,还是管理的提升,都需要信息技术的配套支持。但是,信息技术固有的风险,包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等,是客观存在且难以完全规避的。由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响,在国内外都有很多案例。因此,信息技术在促进银行业务发展、推动金融创新的同时,也使银行业务面临巨大的安全隐患,信息科技风险牵一发而动全身,信息系统的安全性和可靠性关系到商业银行整体经营管理活动的稳定,应该得到而且已经得到了所有商业银行的重视。
二是外在驱动因素。近几年,中国人民银行、银监会等监管机构对于商业银行信息科技风险的监管要求越来越严、越来越细。银监会2009年3月下发的《商业银行信息科技风险管理指引》,从IT治理、风险管理策略、信息安全、开发测试和生产运行管理等方面对商业银行提出了具体而细致的风险管理要求,对于商业银行加强信息安全管理、防范信息技术风险起到了重要的指导作用。同时,银监会将商业银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对商业银行的信息科技风险防范工作提出了更髙的标准和要求。监管力度的加大,促使商业银行针对信息技术风险防控制定出更强有力的措施,不断提髙信息安全风险管理水平。
在上述内部要求和外部环境的双重要求和驱动下,商业银行信息科技风险管理的重要性日益凸显,信息安全管理成了各行科技工作的主题。
记者:现阶段,我国金融机构面临的信息科技风险主要来源于哪些方面?
徐徽:要严控信息科技风险,就要先弄清楚风险的来源,并根据不同来源对症下药。概括来说,信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险,这类风险往往很难主动防范,只能被动防御,通过事前建立完善的业务连续性方案和应急预案,事后及时启动应急方案和补救措施来弥补;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、系统软件缺陷、应用软件开发测试质量缺陷等,需要通过改善软硬件环境、完善应用软件来防范;三是管理缺陷导致的风险,是由管理制度的缺失或组织架构的制衡机制不完善引起的,需要从IT治理架构和管理机制上弥补管理和制度的空白及漏洞;四是人员违规操作风险,是由人员有意或无意的违规操作引起的,需要加强员工的安全培训和操作培训,提髙人员的信息安全意识和操作水平。其中,后三类风险需要以主动防范为主要安全管理措施,要建立风险事前防范、事中控制、事后监督和纠正的机制。
记者:为保障银行业务的安全,广发行信息科技风险管控采取了哪些具体措施?
徐徽:严控风险是我行2009年工作的主旋律之一,这也是行长辛迈豪在1月全行工作会议上确立的指导思想,在信息技术方面的定位就是“加强信息技术风险管控,将信息技术风险纳入银行全面风险管理体系”。信息安全管理工作是2009年全行科技工作的重点任务,是优先投入资源、重点保障的工作目标。由此可见我行对于信息科技风险管理的重视。
现阶段,根据我行技术和管理的实际情况,信息科技风险管理采用“广度优先、逐步提升”的策略,重点在管理、技术、人员等方面提升信息安全管理水平和管理能力,建立管理与技术结合的全方位的风险管理体系,变被动应对为主动防范。具体说来,主要采取以下几方面的措施开展信息安全工作。
第一,将信息科技风险管理和信息安全纳入我行五年科技战略规划的实施目标。为了提髙信息技术整体核心竞争力,提升信息技术对业务战略发展的长期可持续支持能力,我行于2008年完成了五年科技战略规划目标和实施路径的制定,信息科技风险管理和信息安全是科技规划的重要组成部分之一。科技规划中明确了信息安全工作的中长期目标,定义了信息安全机制建设、信息安全相关系统和管理平台建设等多方面的信息安全管理实施路径,我行在未来几年内将根据科技规划的实施路径逐步开展信息安全建设,提升信息风险防控能力。
第二,完善信息科技治理,大力开展信息科技风险管理机制建设,建立信息科技风险管理制度基础。以前,国内商业银行的信息安全管理普遍存在一个误区,认为部署了髙性能的硬件设备、实现了双机热备份、做好了生产运行风险控制,就算完成了信息科技风险控制的工作。其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。我行在信息科技治理方面的措施主要包括三个方面。首先,认真学习和领会监管机构对信息技术风险控制的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息技术风险管理组织架构和机制,建立了三道防线、三个小组和三项机制。三道防线是明确了信息技术部、合规部、稽核部为主体的信息技术风险三道防线的职能分工;三个小组是成立了信息系统突发事件应急领导小组、应急处置小组和支持保障小组,做好突发事件应急处理;三项机制是信息技术风险管理保障机制、信息技术风险评估和预警机制及信息技术风险应急处置机制。
其次,建立健全信息科技规章制度。为了做好制度建设,我行信息技术部专门制定了《科技规章制度管理办法》,明确了信息科技相关制度制定、修订、废止的流程和审批制度。在管理办法的指引下,切实抓好制度建设,近两年每年制定、修订的制度都在20项以上,形成了总数达到60余个的全行科技规章制度体系。同时加强制度的宣讲、检查、整改机制。对于新建立的制度,制定一项,宣讲一项,检查一项,违章整改一项。再次,加强信息安全队伍建设,提髙员工信息安全风险防范意识和水平,通过理论和实践的结合,培养髙素质的信息安全管理团队。去年我行在总行各部门和各分行科技部设立了信息安全岗,专门负责组织、落实本单位的信息安全管理工作。为了提髙信息安全岗人员的知识水平和操作技能,我行与广州市信息安全协会共同设计了培训课程,组织总行信息安全岗人员和总行信息技术部相关岗位人员分批参加了信息安全继续教育培训,实现总行信息安全岗满足《广东省公安厅关于计算机信息系统安全保护的实施办法》中关于持证上岗的监管要求,今年将实现分行信息安全岗全部持证上岗。我们同时认识到,信息科技风险防范不仅是信息安全岗的事情,而且是全体员工的基本任务。因此正在组织编写全员信息安全手册,对于桌面电脑安全、信息保密等基础信息安全知识开展普及教育,届时将人手一册,确保全体员工了解并遵守信息安全管理要求。
第三,采取有效的信息科技风险管理的手段防范和化解信息安全风险。首先,持续开展信息科技风险检查、评估、整改这一不断循环、螺旋上升的工作。一方面认真开展内部审计和外部审计工作,通过审计发现制度、流程、操作等方面中的风险;另一方面积极组织信息技术部的风险自查,每月定期开展总分行数据中心机房现场检查,每季度开展数据库操作、用户管理等髙风险操作的专项检查。根据审计要求和自查结果,严格落实风险整改工作,将整改任务落实到每季度、每月、每周的科技工作计划中。同时逐步扩大风险检查的广度和深度,主动发现并积极防范风险,通过风险整改实现持续改进。其次,严抓四方面的生产运行安全管理工作:一是完善基础设施建设,化解机房环境、硬件设备等基础设施的风险;二是建立和完善灾难备份中心,做好业务连续性建设;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极组织开展应急演练,切实提髙风险防控水平。
记者:信息科技风险管理有时会影响效率,您如何看待这两个因素的平衡?
信息安全管理办法范文6
关键词:外汇局;信息安全;数据管理;安全评估
中图分类号:TP393 文献识别码:A 文章编号:1001-828X(2015)024-000-01
随着外汇管理改革的推进,外汇业务系统已大部分实行了数据大集中的模式,同时,互联网的发展带动了外汇管理信息化建设的发展,外汇局与外部门信息的电子交互日益增多。新一届政府已将信息安全上升到国家层面的战略高度,因此信息安全是外汇局信息化建设的重要工作。随着国家外汇管理的逐步放开,外汇局数据信息的安全更加的重要。本文结合近期总局对分局的信息安全检查,针对省一级外汇局目前信息安全的现状,提出外汇局系统信息安全管理的工作和建议。
一、健全信息安全管理制度是首要任务
制度的建立是信息安全管理的重要依据,应从人员管理,数据管理,网络管理、系统授权管理、应急管理等方面给予完善。制度的制定应遵循“谁主管谁负责、谁运行谁负责”的原则,切实做到制度能被有效执行。海南省分局制定了《信息安全管理办法》等15项制度,明确信息安全工作总体目标。从内容上涵盖了分局子网站、系统授权等方面。
二、重点转好网络和客户端安全管理
抓好运维安全管理,特别是网络和客户端安全管理,提升分局防御信息安全风险的能力。为了做到“一人一IP”原则,对分局的办公网和业务网客户端没进行信息登记管理,且IP地址、MAC地址和工作区的物理端口进行绑定,防止未经授权的计算机接入办公网或业务网。实施防火墙访问控制制度,对于需要访问分局局域网上的服务器的外部网络,需要申请授权,并且仅允许外部网络的制定IP可以访问分局局域网,做到最大限度的禁止不被授权的访问。通过设置访问控制策略,海南分局允许所以IP能访问总局门户网站,仅有申请授权的访问才能访问对应的业务应用。严格按照人民银行科技部门的要求,在每个业务终端上安装防病毒软件、非法外联以及补丁分发的软件,确保业务终端抵御入侵。
三、定期开展应急演练
应急演练是检验处理信息安全重大突发事故的能力,比如海南外汇局模拟影响较大的网络主干出故障,通过主路由器断电模拟主路由器故障。对于应急演练,事前应做好应急演练方案,对网络配置进行备份,及时与通信提供商联系。应急演练应协调好含业务人员在内的全体相关人员,演练后要进行评估,对存在的不足要及时进行改正。如对数据库系统开展应急演练,应对被演练的数据库数据进行全量备份,并应对数据库系统做好备机准备,若演练失败,应能及时切换到备机工作,保证了数据信息的安全和业务的实时性。
四、数据信息安全管理
数据信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。近来来,随着涉外经济的发展,涉外收支数据快速增长,数据是外汇管理的支撑,按照国际收支申报办法,申报数据是保密,因此应从人员管理和技术管理上保证数据的安全。外汇局有多个部分均有检查和核查的职责,因此存在数据采集和使用的需要。从业务系统数据应严格按照授权的权限采集,将数据带到银行检查,必须存储在专用的不连互联网的电脑上,禁止将数据存储在互联网上使用的移动存储设备上,避免外汇管理数据的丢失。对于有些机密数据可以选择加密工具进行加密。对于存储过涉外收支数据的光盘应该用碎光盘机器予以销毁。
五、强化信息安全教育培训
信息安全管理以意识为先,因此提高全体人员的信息安全意识是至关重要的。可以通过举办信息安全培训班,通过在内部网上才一些信息安全案件的信息,提高对信息安全的敏感度。不定期地通过电子邮件向全体人员发送近期信息安全技术等内容,提高对新的问题处置能力。
六、深入开展信息安全检查工作
开展信息安全检查是确保信息安全的重要手段,需要建立长效机制,加强日常管理。分局每年应定期或不定期按照总局信息安全检查规范开展自查,也可以结合分局内控检查对中心支局、支局开展现场检查,扩大检查的广度和深度,跟踪存在的问题的整改,排查隐藏的风险。
七、及时开展信息安全评估
除了开展自查和对辖内中心支局和支局开展检查外,开展信息安全风险评估是信息安全的出发点。信息安全风险评估依据国家信息安全保障要求和有关信息技术标准,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御威胁的防护对策和整改措施。主要内容含资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议。2007年,外汇局各分局按照总局统一部署进行了评估,存在一些问题。外汇局的信息安全评估可以采用自评估和第三方机构(如中国测评中心)评估结合的方式,选取合适的风险评估工具,建立适合外汇局系统信息安全风险评估的标准,并根据外汇管理改革逐步更新,风险评估应涵盖网络管理、系统管理、数据管理以及用户管理等全方面,不留死角,对评估存在的问题,应由分管局长牵头各部门进行整改和完善。
总之,信息安全是一个长期重要的工作,是外汇管理工作的重要的组成部分。外汇局分局的信息安全保障工作应在外汇局总局部署下,结合实际开展。科技人员应该加强新技术的学习,不断更新信息安全管理方法,提高信息安全管理水平,确保外汇管理工作的正常开展。
