前言:中文期刊网精心挑选了企业信息安全意识范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全意识范文1
关键词:信息安全;体系建设;方案
中图分类号:TP309.2文献标识码:A文章编号:1009-3044(2008)36-2846-02
The Implementation Program of an Information Security System for an Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: In view of the enterprise information technology becoming more, the issue of business information security has become an important factor in life, an enterprise information security system for the implementation of the program. From the organization, management, construction and technical aspects on the construction of the three. In the specific implementation process, based on the specific circumstances at the same time or step-by-step building-related.
Key words: information security; system construction; program
1 引言
信息安全的体系建设就是让企业建立安全的组织架构,同时建立一套管理规范来规范成员的行为,并建立起安全的平台为企业提供安全支撑同时为企业创造效益。本文根据一些企业现在实际情况,针对其信息安全现状提出总体的实施步骤。企业在具体的实施过程中可参照这些步骤考虑实施。
下文将根据组织建设、管理建设和技术建设三个方面展开阐述。同时,在对技术建设阐述时,将从基础设施建设和系统建设两个方面分开阐述。
2 信息安全体系建设总体步骤
具体的实施步骤如图1所示,具体包括:组织建设、团队建设、管理规范、基础环境、资产定级和评估、支撑系统和服务运维。以上组成部分都可归结为组织建设、管理建设和技术建设三个方面。
图1 信息安全体系建设步骤
实施步骤中有的步骤是可以同时进行的,如图2所示。但有相对的优先级,优先级高的环节相应的应该放在优先考虑的位置。有些环节鉴于完成的周期较长,建议可以同步进行,避免信息安全实施周期过长,影响企业的目标达成。
3 组织建设
信息安全体系建设要做好,组织建设是关键。组织建设是所有其它建设的前提。而组织建设的第一步就是做好组织调整。组织调整就是把信息安全运营管理分为两个部门,一个是生产部门,一个是管理部门。
3.1 信息安全管理部门
信息安全管理部门有权对其它部门进行安全考核,同时信息安全生产部门是由信息安全的管理部门直接管理指挥的。信息安全管理部门的职责决定其管理部门对企业信息安全有着全局的管控能力,负责信息安全全局任务下达和监督,安全战略目标的建议以及政府、公安、司法等安全外联。
3.2 信息安全生产部门
信息安全生产的部门,其信息安全生产内容包括三个部分,对内是企业信息安全的支撑、对外提供企业信息安全服务和公众信息安全服务,接受安全管理部门的领导的管理和考核,和其他生产部门属平级关系。
4 管理建设
4.1 管理制度颁布
对于管理制度,必须对管理规范和流程进行规范定义,在管理制定颁布之前应该作以下的事情:由安全管理部门牵头召开各个部门参与的管理制定内容研究讨论会,收集各方建议;根据各个建议对管理制度进行修订;修订后管理制度,再次召集各个部门讨论并基本通过;安全管理部门颁布管理制度并确定管理制度的实施的开始时间;在制度实施开始时间之前,进行制度宣灌,组织各个部门参加学习,并进行相关学习的考试;管理制度开始实施。
4.2 管理制度落实
信息安全管理制度落实是由信息安全管理部门的管控部执行的,管控部包括考核、质检、审计三个小组共同组成,考核各个部门管理制度的落实情况。如何对各个部门的信息安全情况进行考核呢?不同时期有不同的做法,分为两个阶段:
一是SOC(信息安全运维中心)建设阶段。SOC建设阶段由于安全生产组织和安全支撑系统还不够健全,对安全的支撑十分有限,因此这个阶段的质检、审计、考核多以手工为主,信息安全审计和信息安全质检以部门抽样检查为主,无法做到全面的普查。信息安全质检组定期进行各个部门的信息安全检查,主要工作是定期的信息安全巡检工作。信息安全审计组对各个部门的工作日志进行定期的审计工作,特别是出现信息安全事件后的审计工作。信息安全生产部门配合管理部门进行信息安全质检工作和审计工作,同时信息安全生产部门承担着SOC支撑系统建设的需求分析、项目监督、系统验收等工作。
二是SOC运维阶段。SOC运维阶段,由于各个信息安全支撑系统已经较为完备,而且人员组织逐渐成熟,对信息安全的管控能力将实现一个质的飞越,信息安全质检组可随时对考核部门进行信息安全巡检,巡检可采用面向全网的信息安全自动巡检,全面系统的分析全网的安全状况,信息安全审计可分手工和自动相结合的方式进行审计,根据不同的业务应用、访问控制等进行审计分析,快速高效的进行审计。信息安全管控从抽样管理到全面管理,从静态管理到动态管理,从事后响应到事前预防。
5 基础设施建设及相关建设
信息安全基础设施建设的目的主要是实现对现有生产网资源的集中和优化,提高系统运行效率,并同时进行局部的信息安全加固和改进,使得在信息安全支持系统尚未建成时,使现有生产网系统的信息安全性和可用性提高到一个新的水准。其内容主要包括结构调整、优化整合和安全集成。结构调整主要是对信息安全体系存在重大影响的网络基础架构的调整;优化整合是对信息安全可用性和保密性的关键因素进行改进,如操作通道的加密;安全集成是根据企业信息安全需要综合分析后,得出在现有生产网上所要建设和购置的信息安全系统及产品。
此外,在经过资产的等级划分之后,并进行的相关信息资产的优化整合后,全网中大量的信息安全问题和隐患将被排除,但是还会有许多的薄弱点,这些薄弱点是在优化整合后还没有解决的或疏忽的问题,找出这些薄弱点就需要一次系统的信息安全评估过程,把目前安全存在的问题进行分析。信息安全评估的是根据信息资产的本身的所处的网络环境和信息资产价值有直接的关系,信息安全评估的目的不是要求企业把所有的问题一概而论的解决掉,而是告诉企业有这些一些问题值得关注,至于解决的问题的要投入的人力物力是根据信息资产的本身的价值而定。
6 系统建设
信息安全系统建设也即最后的信息安全体系建设的最后步骤,是具体实施的过程。在面上主要表现为依照信息安全体系建设规划方案进行采购与部署。这里的采购对象包括:产品采购类、服务产品类和研发产品类。
6.1 产品采购类
在建设信息安全支撑和信息安全服务系统过程中会涉及到许多安全产品的采购,如防火墙、黑洞、入侵检测、安全检测工具产品、成熟的安全集成产品等等采购,因此我们将这部分不需要太多定制开发可直接购买或集成的产品定义为产品采购类。其采用的原则是:
1)安全产品的本身应该具备的功能要求;2)安全产品本身应该具备的性能要求;3)安全产品本身应该具备的安全要求;4)安全产品应该具体的管理要求;5)安全产品的可扩展性要求。
6.2 服务产品类
图2 信息安全体系建设并行建设步骤
服务产品类,主要是针对对外安全服务的产品类,对外服务的产品类包括集成产品和服务内容。服务产品定义主要是根据市场运营所推出相应服务而定义。服务产品的实施原则如下:
1)产品市场潜力;2)产品的产出比战略研究;3)产品相关的信息安全等级评估;4)产品相关的信息安全策略;5)产品相关的响应团队;6)产品宣传渠道和策略分析;7)产品相关的增值服务;8)产品创造价值的统计分析。
6.3 研发产品类
信息安全支撑系统和信息安全服务系统建设中,一定有一些系统需要进行定制开发,这些定制开发的产品我们定义为研发类产品。研发类产品建设原则如下:
1)产品能够满足现有生产的功能要求;2)产品具有良好的可靠性和扩展性;3)产品具有一定先进性,能满足3-5年企业IT发展要求;4)产品要预留信息安全管理接口,能对系统日志进行采集和审计。
7 结束语
文章针对在企业信息化程度越来越高的情况下,信息安全成为关乎企业生命的重要因素,提出了一种针对企业的信息安全体系建设实施方案。在具体的实施过程中,可以基于具体情况分步骤或者同时进行相关建设。此方案对于指导企业的信息安全体系建设有一定的参考意义。
参考文献:
[1] 周学广,刘艺. 信息安全学[M]. 北京: 机械工业出版社,2003.
[2] 韩祖德. 计算机信息安全基础教程[M]. 北京: 人民邮电出版社, 2005.
[3] 陆广能. 浅析数字化档案信息安全问题[J]. 电脑知识与技术, 2005, (10):30-32.
[4] 李娟. 浅谈如何构建档案信息安全防护体系[J].河南职业技术师范学院学报, 2004, (4):20-25.
[5] 范开菊. 网络环境下档案信息安全问题探微[J]. 科技情报开发与经济, 2005, (2):47.
企业信息安全意识范文2
首先,鉴于中小企业的特点,在信息安全意识培训过程中需要考虑两个基本点。第一点,对全公司尽量培训一致的安全信息,并且这项计划要由信息技术部门负责管理。中小型企业规模往往比较小,不足以实行具有不同倾向性的多种培训计划。第二点,要清楚中小企业的大部分电脑使用者并不是专业人员,相关的培训应该简单且接近企业用户的水平。
其次,需要考虑的是中小企业信息安全方面需要培训哪些内容。一般而言,需要考虑的培训内容包括:用户管理、网络与电子邮件、移动设备与便携设备使用、对外保密、突发事件、系统操作安全等。
再次,需要根据自身特点选取适合中小企业信息安全意识的培训方法。一般来说,至少有三种途径可以用于企业进行安全意识培训:一是在公司内部寻找培训人员和培训部门,进行内部培训;二是聘请外部专业的培训公司进行培训;三是考虑依托于网络与电脑进行培训。但以上任何一种方案都有可能会超出中小型企业的能力,这时候还要根据企业自身特点来安排适当的途径进行培训。
那么,能满足规模较小的中小企业提高员工信息安全意识培训的合理途径是什么呢?有分析认为,可以在以上提到的三种途径的基础上加以改动,形成两种可用的途径:一是中小企业仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。二是中小企业可以创造性地在办公室张贴些成本低的彩色安全意识海报,对员工潜移默化地培训。
从企业内部来看,如果企业的信息技术部门能提供一个内部特制的培训计划是可行的。按照美国国家标准与技术研究院(NIST)的指导方针或其他材料,策划一天或半天的课程就足以使员工认识到有关电脑安全的一些重要问题。从企业外部来看,目前市场上也有不少专门面向中小型企业、价格合理的基于网络和电脑安全相关的培训。无论如何,需要考虑企业自身承受能力与受培训者的接受能力,根据实际情况来进行选择。
企业信息安全意识范文3
由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。
二、缺乏相关技术人才
大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。
三、中小企业信息化安全管理完善措施
(一)强化信息安全意识。企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视[2]。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。
(二)完善安全管理制度。有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。
(三)重点培养信息安全管理人才。任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强[3]。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。
四、结论
企业信息安全意识范文4
一、指导思想、基本原则与建设目标
(一)指导思想
全面贯彻党的十和十八届三中、四中、五中、六中全会精神,深入贯彻系列重要讲话精神,围绕统筹推进“五位一体”总体布局和协调推进“四个全面”战略布局,坚持创新、协调、绿色、开放、共享的发展理念,以保障民生为核心,以落实企业主体责任为基础,以信息化追溯和互通共享为方向,加强统筹规划,健全标准体系,创新发展模式,促进社会共治,建设覆盖全国、统一开放、先进适用的重要产品追溯体系,提升产品质量安全与公共安全保障能力,更好满足人民群众生产生活和经济社会健康发展需要。
(二)基本原则
1.统筹规划与属地管理相结合,兼顾地方需求特色。统一基础共性标准和建设规范,实现跨部门跨区域业务协同、资源整合、设施及信息开放共享,避免重复建设。在做好已明确的重要产品追溯工作基础上,鼓励地方结合实际确定追溯体系建设的重要产品名录。
2.政府引导与市场化运作相结合,发挥企业主体作用。在做好政府主导的试点示范工作和公益性追溯管理平台建设同时,强化企业主体责任,支持行业组织和企业自建产品追溯系统,并与政府和相关机构实现追溯信息互通共享,促进公益性和市场化两类追溯平台有机衔接、协调发展。
3.形式多样与互联互通相结合,注重产品追溯实效。坚持创新驱动,推进追溯理论、模式、管理和技术创新,鼓励追溯体系建设运行多样化发展。坚持追溯信息互通共享,统一优化公共服务,注重生产源头追溯信息的真实性、中间环节信息链条的连续性、消费端追溯信息获取的便捷性。
4.试点示范与复制推广相结合,建立科学推进模式。以与群众生产生活密切相关、质量安全问题较多的产品为重点,选择基础较好的地区、行业和企业开展试点示范,先易后难,以点带面,及时总结可复制推广的经验,逐步扩大覆盖范围,提高运行效果。
(三)建设目标
到2020年,初步建成全国上下一体、协同运作的重要产品追溯管理体制、统一协调的追溯标准体系和追溯信息服务体系;相关法律法规进一步健全;追溯数据统一共享交换机制基本形成,部门、地区和行业企业追溯信息初步实现互通共享和通查通识;重要产品生产管理信息化、标驶、集约化水平显著提高;追溯大数据分析应用机制进一步健全完善,追溯应急管理能力显著提高,追溯体系对群众安全消费、企业精准营销、行业管理优化、供应链安全保障及政府监测监管的服务能力不断增强。
国家重要产品追溯管理平台及食用农产品、食品、药品、农业生产资料、特种设备、危险品、稀土产品等分类产品追溯体系基本建成运行;有条件的地方和行业探索推进妇幼用品、建材、家电和汽车零配件、地方特色产品等追溯体系建设;企业产品质量安全主体责任意识显著增强,采用信息技术建设追溯体系的企业占比大幅提高;产品质量安全保障水平和品牌国际竞争力进一步提升;社会公众对追溯产品的认知度和接受度明显增强。
二、主要任务
(一)基本任务
1.建立目录管理制度。从产品对人身和生产安全的重要程度、危害事件发生概率及后果影响等方面进行科学评估,依法制定重点追溯产品目录和鼓励追溯产品目录。国家重要产品目录实行动态管理;各地酌情制定兼容国家目录的地方重要产品目录。
2.完善追溯标准体系。分析提炼追溯的核心技术要求和管理要求,明确不同层级、不同类别标准的定位和功能,建成国家、行业、地方、团体和企业标准相衔接,覆盖全面、重点突出、结构合理的重要产品追溯标准体系。研制一批追溯数据采集指标、编码规则、传输格式、接口规范等共性基础标准,实现产品追溯全过程的互联互通与通查通识。在追溯标准化研究的基础上,选择条件好、管理水平高的地区、行业、企业探索开展重要产品追溯标准化试点示范工作,推动标准制定和实施。针对重点产品和环节,根据产品形态、包装形式、生产经营模式、供应链协同、相关业务流程等特点,明确各品种追溯体系建设的技术要求,设计简便适用、易于操作的追溯规程和查询方式。探索推进重要产品追溯标准与国际接轨,携手打造中国与“一带一路”沿线国家重要产品追溯通用规则,逐步建立国际间重要产品追溯体系,增强中国标准的国际规则话语权。
3.健全认证认可制度。将重要产品追溯管理纳入现有强制性产品认证、有机产品认证、质量管理体系、食品安全管理体系、药品生产质量管理规范、药品经营质量管理规范、良好农业操作规范、良好生产规范、危害分析与关键控制点等制度。围绕健全追溯管理机制,建立追溯管理体系认证认可制度。完善认证规范、认证规则、认证工作后续监管及惩戒机制,建立与认证认可相适应的标识标记制度,方便消费者识别。
4.推进追溯体系互联互通。按照统一规划、科学管理原则,采用大数据、云计算、对象标识与标识解析等信息技术,逐步建设中央、省、市级重要产品追溯管理平台。建立追溯信息共享交换机制,实现中央平台与有关部门、地区、第三方平台之间的对接。推进各类追溯平台与检验检测信息系统、信用管理系统、综合执法系统、企业内部质量管理体系等对接。建设国家重要产品追溯综合门户网站,宣传政策法规和追溯知识,统一提供追溯信息查询服务。
加强追溯大数据开发利用。结合企业发展与行业监管需求,开发智能化的产品质量安全监测、责任主体定位、流向范围及影响评估、应急处置等功能,为企业管理、政务决策、风险预警与应急处置提供有力支持,严防区域性、系统性风险。构建供应链上下游企业追溯信息投入与收益的合理分配机制。在依法加强安全保障和商业秘密保护的前提下,实现追溯数据资源向社会有序开放。
5.促进线上线下融合。引导企业将追溯体系建设与信息化改造升级相结合,鼓励企业以建设追溯体系为契机,提高信息化、智能化管理水平。推进“互联网+追溯”创新发展,鼓励电子商务企业利用自身平台建设信息化追溯系统,实现销售与追溯双重功能,创建可追溯电商品牌,提高企业经济效益;支持生产加工、仓储物流、批发零售等企业将追溯体系建设与电子商务、智慧物流等信息化建设相结合,增强信息交互、在线交易、精准营销等功能;推动追溯体系与批发零售企业电子结算系统、冷链物流配送等体系融合发展。
6.强化追溯信用监管。建立可信数据支撑体系,确保追溯信息的真实性和有效性。以企业为主体,政府部门、行业组织、专业机构和消费者等多方参与,将供应链中的生产经营企业、检测认证机构、监管机构、消费者等主体纳入可信数据支撑体系,通过相关技术手段整合产品供应链各环节追溯信息,形成不可篡改的可信追溯信息链条。建立完善产品质量安全档案和失信“黑名单”制度。建立消费者和用户监督机制,畅通举报投诉渠道,形成有效监督的社会氛围。建立追溯信息系统成熟度评价体系,从追溯数据链、检验检测、消费者监督等方面,对企业及产品开展综合评价。
(二)分类任务
1.食用农产品追溯体系。全面推进现代信息技术在农产品质量安全领域的应用,加强顶层设计和统筹协调,尽快搭建国家农产品质量安全追溯管理信息平台,建立生产经营主体管理制度,将辖区内农产品生产经营主体逐步纳入国家平台管理,以责任主体和流向管理为核心,落实生产经营主体追溯责任,推动上下游主体实施扫码交易,如实采集生产流通追溯信息,确保农产品全链条可追溯。出台国家农产品质量安全追溯管理办法,制定追溯管理技术标准,明确追溯要求,统一追溯标识,规范追溯流程,健全管理规则。选择重点地区和重点品种,开展追溯管理试点应用,发挥示范带动作用,探索追溯推进模式。发挥国家平台功能作用,强化线上监管和线下监管,快速追查责任主体、产品流向、监管检测等追溯信息,挖掘大数据资源价值,推进农产品质量安全监管精准化和智能化。
完善肉类蔬菜追溯体系。中央财政资金支持开展肉类蔬菜追溯体系建设的地区,加快探索政府和社会资本合作模式,调动社会力量参与追溯体系建设运行;完善考核评估体系,建立健全长效机制;逐步扩大追溯体系覆盖范围,增加品种和节点数量;升级改造追溯管理平台,向生产和消费两端延伸追溯链条,开发智能监管功能,提高数据处理和综合分析能力。
加强监管部门协调配合,健全完善追溯管理与市场准入的衔接机制,以扫码入市或索取追溯凭证为市场准入条件,构建从产地到市场到餐桌的全程可追溯体系。
2.食品追溯体系。重点围绕婴幼儿配方食品、肉制品、乳制品、食用植物油、白酒等加工食品,推动生产加工企业建立追溯体系和管理制度。逐步U大食品种类范围,提高覆盖率和社会影响力。
充分利用已有信息化基础设施,实现食品追溯、食品安全监管、食品生产流通行业管理相关信息的互通共享,提高政府部门食品质量安全监管的信息化和协同水平。加快推进国家食品安全监管信息化工程建设,加强重点食品质量安全追溯物联网应用示范工程推广应用。
3.药品追溯体系。巩固提升中药材流通追溯体系。升级改造中药材流通追溯管理中央平台,促进不同药品追溯系统信息互通共享。逐步增加中药材追溯品种;逐步扩大覆盖范围,涵盖全国主要中药材批发市场所在地区;提高中药材种植养殖、经营、饮片和中成药生产经营主体、医疗机构及药店等节点的覆盖率。
推动药品生产流通企业落实主体责任,依据法律法规和国家标准,使用信息化技术采集留存原料来源、生产过程、购销记录等信息,保证药品的可追溯。扩大药品追溯监管覆盖范围,逐步实现全部药品从生产、流通到使用全程快速追溯。建立药品追溯管理机制。
4.主要农业生产资料追溯体系。在饲料上,推动饲料企业建立执行生产过程管理制度,实现从原料入厂到成品出厂的全程可控可追溯;在条件成熟的地区,推进饲料产品电子追溯码标识制度。在种子上,实行种子标签二维码标识制度,推动种子生产经营者建立包括种子来源、产地、数量、质量、销售去向、销售日期等内容的电子生产经营档案;引导种子批发和零售商建立种子来源、数量和销售去向的电子台账;建立全国统一的可追溯管理平台,整合行政审批、经营备案、市场监管等各方信息,实现全程、全面可追溯。在兽药上,进一步加强国家兽药基础数据信息平台建设,完善兽药生产企业、兽药产品批准文号等兽药基础信息数据库;深入开展兽药“二维码”追溯系统建设,全面实施兽药产品电子追溯码标识制度,逐步实现兽药生产、经营、使用全过程追溯。在农药、肥料上,建立追溯监管体系,推动生产经营企业建立原料控制、生产管理,流通企业扩大质量追溯体系建设范围,不断提高物联网技术的应用能力,实行电子追溯码标识制度。
拓展全国农业生产资料信息追溯监管服务平台功能,推进试点企业与全国农业生产资料信息追溯监管服务平台对接,加快农资质量追溯关键技术装备研发和示范。
5.特种设备追溯体系。以电梯、气瓶、移动式压力容器等特种设备为重点,建立全国特种设备追溯公共服务平台。推动企业建立特种设备信息化追溯系统,与全国特种设备追溯公共服务平台对接。逐步实现电梯的生产、使用、维护保养、检验、检测,以及车用气瓶和移动式压力容器的生产、使用、检验、检测、充装、报废等关键信息的记录、统计、分析、公示等功能,为社会提供追溯信息查询服务。
完善特种设备生产标识方法,健全生产单位、使用单位、检验检测机构数据报告制度和特种设备安全技术档案管理制度,建立企业生产流通全过程信息记录制度,为特种设备质量安全信息全生命周期可追溯提供制度保障。
6.危险品追溯体系。建设全国危险品追溯监管综合信息平台。利用物联网、云计算、大数据等现代信息技术手段,以民用爆炸物品、剧毒化学品、易爆危险化学品、烟花爆竹、放射性物品等为重点,形成国家、省、市、县、园区危险品信息追溯管控体系,探索实施高危化学品电子追踪标识制度,实现危险品全生命周期过程跟踪,信息监控与追溯。逐步增加危险品种类,扩大覆盖范围。
7.稀土产品追溯体系。以稀土矿产品、稀土冶炼分离产品为重点,以生产经营台账、产品包装标识等为主要内容,加快推进稀土产品追溯体系建设,实现全程可追溯。开展稀土企业追溯试点,建立稀土专用发票、稀土产品出口报关、企业经营档案等各项信息共享机制。推动稀土企业建设信息化追溯系统,采用信息化手段对生产、库存、销售等信息进行管理,实现信息完整归集和可追溯。
8.产品进出口追溯体系。以自由贸易试验区和跨境电子商务企业为重点,探索推进食品等重要产品和跨境电子商务零售等领域的进出口追溯体系建设。整合产品进出口国家(地区)、产地、生产商、品牌、批次、进出口商或商、收货人、进出口记录及销售记录等信息,与海关报关信息、检验检疫信息和产品标签标识相衔接,实现重点产品从生产到进出口销售全过程信息可追溯。落实进口食品的境外生产商、出口商、境内收货人注册备案和进口销售记录制度,建立进口食品信息追溯平台和全国统一的重要进出口产品平台,实现进出口产品流向和质量控制措施的可追溯,提升进出口企业和社会公众对质量追溯的认知度和接受度,实现进出口产品质量安全社会共治。
三、保障措施
(一)加强组织领导
建立完善追溯体系建设协调推进工作机制。商务部会同有关部门建立部际联席会议制度,强化宏观指导,落实部门分工,加强法律法规、政策措施、标准规范等方面的协调配合,督促各项工作落实。各地完善领导机制,将重要产品追溯体系建设纳入工作考核指标。推动建立追溯行业组织。
(二)完善法规制度
加快推进《农产品质量安全法》、《食品安全法实施条例》等相关法律法规和规章的制(修)订工作,完善重要产品追溯管理制度,细化明确生产经营者责任和义务。按照《产品质量法》、《食品安全法》、《社会信用体系建设规划纲要(2014年-2020年)》等要求,将追溯体系建设与构建社会诚信机制、化企业主体责任、问题产品召回紧密结合,最大限度发挥追溯体系的倒逼作用和服务功能。加快推动地方立法,实行依法建设,依法管理。
(三)营造发展环境
鼓励大型连锁企业、医院、学校等团体消费单位优先选购可追溯产品。培育创新创业新领域,营造追溯体系建设的众创空间。加强追溯技术成果转化与知识产权保护,加快推动技术研发、系统集成、业务咨询、工程监理、大数据分析等追溯服务产业发展,为追溯体系建设运行、扩大应用提供专业服务。加大对贫困地区政策倾斜力度,推动形成“互联网+产品追溯+精准扶贫”的政策组合与市场化运作模式。
(四)创新支持方式
加大政策支持力度,重点支持公益性重要产品追溯平台建设,以及完善标准、培育人才等追溯体系建设基础性工作。鼓励社会资本投入,采用市场化方式吸引企业加盟,为中小微企业提供信息化追溯服务。鼓励金融机构为开展追溯体系建设的企业提供信贷支持和产品责任保险。围绕重要产品追溯体系建设的重点、难点和薄弱环节,开展示范创建活动。支持有条件的地区创新追溯模式。及时总结经验,适时向其他地区复制推广。
(五)加强理论研究和人才培养
加强追溯理论和应用技术的研究与交流。鼓励科研机构建立质量安全追溯技术及应用工程实验室,鼓励大学设立追溯专业院系及课程。建立完善追溯专业人才培育机制,鼓励成立重要产品追溯体系建设咨询机构和专家委员会,对追溯体系建设运行开展前期咨询论证和后期跟踪评估,促进重要产品追溯体系创新发展;建立发展重要产品追溯体系培训机构,培养多层次的追溯人才。
(六)强化宣传教育
企业信息安全意识范文5
信息时代的到来,给现代企业的发展注入了新的发展元素,强化信息化建设成为企业内部控制管理的重要内容。但是,企业具有趋利的天性,强调经济效益为导向下的企业发展模式,进而对信息安全建设落实不到位。首先,企业缺乏信息安全防范意识,主观能动性相对比较欠缺;其次,企业信息安全宣传教育工作疏于开展,导致企业职工在网络操作中,出现不规范的违法行为,进而为黑客及病毒的攻击创造了机会;再次,企业缺乏信息安全风险管理制度的建立,导致信息风险管理流于形式,无法满足企业信息安全发展的需求。
2应用系统安全性不高
企业信息化建设的实现,依托于各种应用系统的有效应用。但应用系统安全性不高等问题,在很大程度上影响了企业的信息安全。一方面,应用系统设计本身存在不足或安全漏洞,如数据传输、存储采用明文的方式。这样一来,数据极易被恶意软件、木马所窃取,实现非法访问,进而造成企业信息丢失或泄露等安全风险;另一方面,企业应用系统的安全防范模式相对比较单一,通过“口令”的认证模式,难以构建完备的安全防范。并且,企业职工在密码设置上,过于简单,且操作行为不规范,这也造成应用系统安全风险增加的重要因素。
3企业信息安全风险的控制策略
企业信息安全风险的控制,关键在于如何营造安全的信息环境、强化安全技术体系的构建,以及风险控制的制度建设,从本质上优化企业信息安全的内外环境。因此,企业可着力于以下几个方面,优化与调整企业信息风险控制的有效性。
3.1注重信息安全建设,设置安全管理机构
信息安全是企业信息化建设的重要基础,注重信息安全建设的狠抓落实,是企业强化内部控制管理的必然需求。当前,企业疏于信息安全管理工作的落实,导致企业所处于的信息环境“危机四伏”。因此,首先,企业应加信息安全纳入到安全管理之中,夯实信息安全建设管理的重要地位。其次,建立健全的安全责任制度,并逐步形成联动的信息安全管理机制,提高信息安全管理的有效性;再次,设置安全管理机构,负责企业信息安全的建设、管理,以及信息安全人员的教育培训等工作,为企业信息安全风险的控制创造良好的内部环境。
3.2强化防火墙设计,提高信息安全防范能力
当前,黑客攻击、木马入侵等在很大程度上增加了企业信息安全风险,不利于企业信息化建设的推进。因此,强化防火墙设计是提高企业信息安全防范能力的重要举措。一些企业在信息安全设备的应用过程中,存在不规范、错误使用的问题。不同功能、品牌的安全设备由于兼容性差,导致安全设备的安全防范能力下降。这就强调,企业在安全防范体系的构建中,要注重科学合理原则,针对企业信息安全建设的需求,做到体系的完备性与安全性。例如,企业在信息安全风险防范体系的构建中,可以引入终端安全管理系统。在这方面,杀毒软件公司瑞星是典型的案例。瑞星公司在其终端安全管理体系的构建中,使用了“统一系统平台+独立功能模块”的设计理念,具体如图2所示。这样一来,不仅提高了企业信息安全防范体系的构建,而且优化了企业信息系统运行的环境。
3.3提高信息安全意识,规范操作行为
良好的主观能动性是提高企业信息安全风险控制的重要基础。首先,企业要强化安全管理人员的安全意识,规范并引导其管理工作的有效落实。尤其是在管理工作中,严格依照相关的规章制度进行,避免人为管理或操作不当,而造成信息安全问题;其次,积极推进企业安全文化建设,为信息安全风险控制的落实创造良好的内部环境。企业职工认识到信息安全的重要性,潜移默化中规范并引导职工规范信息操作;再次,做好信息设备的维护与保护等工作。一方面,要对企业的电脑等设备进行防雷、防磁等保护,让机械设备处于良好的环境下运行;另一方面,不定期开展设备维护工作,以便于及时发现问题、解决问题。
4结束语
企业信息安全意识范文6
【关键词】电力企业;信息安全;桌面管控技术
引言
随着信息技术的发展,信息系统的深入应用,信息安全成为国家电力企业信息化的重要工作内容。由于桌面终端和用户的数量多,从而容易带来信息安全隐患,致使信息管理部门难以开展工作。近几年,多数电力企业制定了对桌面的管理制度,统一了桌面终端管理系统。但是,如何将管理制度落实到实际工作中并将现有的技术应用到桌面信息安全管理,还需要不断的深入研究与实践。
1桌面终端信息安全管理现状
近几年,我国电力企业提出了信息安全的八不准和五禁止,由于电力企业提出上述措施,有利于各企业桌面终端系统信息安全工作的顺利开展,大力推广了桌面终端管理系统的应用,对非法接入外网实施了有效的监控,提升了对移动储存介质的管理。但根据桌面终端管理系统的相关数据显示,还没有达到对信息安全的要求,仍然存在很多问题,致使信息管理部门的工作难以开展[1]。因此必须要立足于桌面管控技术全面的提升电力企业信息安全水平,从而有效的保障电力企业的信息安全。
2桌面终端存在的问题
目前,桌面终端主要存在以下几个方面的问题:①接入外网时计算机感染病毒,特别是由于移动储存介质最容易感染,而且传播的速度极快;②部分员工利用电子邮件办公时,电子邮件里会出现一些敏感字体;③非法接入外网现象始终存在,桌面终端的口令设置较弱;④桌面终端补丁更新率、桌面终端注册率和杀毒软件安装率较低,没有达到企业的标准。致使以上问题出现的原因有:①对信息安全的管理力度不够,没有将其归入对信息管理部门工作人员的考核中,没有将现有的桌面管控技术手段深入应用;②对信息安全管理的要求较为分散,没有统一的管理标准,虽然通过各种方式开展宣传,但是仅对信息管理部门的工作人员有用,其他部门员工对信息安全的认知度不够[2];③部分员工信息安全意识淡薄,没有将信息安全管理的要求落实到实际工作中,认为信息安全可有可无,存在无所谓的心理。
3桌面管理及提升技术的措施
3.1桌面管理措施
3.1.1计算机安装流程标准化电力企业中,所有新购买的计算机统一由信息管理部门安装杀毒软件和操作系统。修补系统中存在的漏洞,注册桌面系统的新端口,初始开机口令的设置要符合国家统一的标准。只有完成以上流程,才能下发给网络用户并接入网络,严格把控好信息设备的安全性,从根源上消除桌面信息安全隐患。3.1.2完善管理制度企业应制定统一的管理制度,落实好信息管理部门的工作内容,其工作内容包括:信息设备的损坏修理、安装、领用、验收及信息的来源。由于笔记本计算机容易感染其他网络端口的病毒,出现重装系统的问题,致使管理人员不易管理,对此不允许接入其他网络,从制度的根本上确保企业内所有的联网端口都是由信息管理部门负责。除此之外,统一订购带有企业标志的移动储存介质,工作人员在领用时必须签字,待离职时交还信息管理部门。3.1.3提高工作人员信息安全意识由于工作人员的信息安全意识淡薄,不了解企业对信息安全的要求,还没有掌握信息安全的技术,这些都成为信息潜在的安全隐患,对此,加大对员工信息安全意识的培训力度显得至关重要。工作人员的信息安全意识应从第一天入职的时候就加以重视,培训人员要全方面的开展对新入职员工的培训,包括:技术手段、管理制度、信息安全意识、对信息保密等。培训之后,可以实施对信息安全有关知识和技术手段的考核[3]。除此之外,给员工配备计算机时,要给员工讲解使用的要求及注意事项,且让其签字。通过信息安全培训,使工作人员掌握桌面管控的相关知识和信息安全知识,提高了工作人员的信息安全技术水平和职业素养及其安全意识,给信息安全提供了强有力的技术支撑。3.1.4强化外网终端接入流程管理各地区电力企业的外网桌面终端接入要严格遵守内网终端接入的标准流程,电力企业外网终端接入需要由企业管理人员向协同办公系统签报流程提报申请,经外网管理部门领导审批后转发信通分公司,再由企业的网控室调整终端准入账号、分配IP地址,并根据各企业的具体情况派发终端,由运维人员将符合入网条件的外网终端入网并进行安装调试,再由网控室进行检查,确定是否达到入网的标准,如果没有达到标准要及时修改,值班人员需进行回访,将工作单及时归档[4]。具体的申请流程详见图1。
3.2提升桌面管理技术的措施
3.2.1定期检查、维护信息安全使用扫描设备对企业整个网络系统进行扫描,对出现的问题及漏洞及时解决,一旦发现有桌面终端不符合基线要求,可以通过北信源程序下发符合基线要求的方法,保证桌面终端达到基线的要求。信息管理部门的工作人员要定期检查桌面终端及控制系统的各项数据,出现异常要及时解决,逐步提升信息安全水平。3.2.2加固桌面终端由信息管理部门统一分配终端,完成对使用软件和操作系统的安装,并对桌面终端进行加固。接入网络时,严格按照企业制定的桌面管理系统和准入要求执行,安装必要的杀毒软件及办公软件。对于没有注册和没有安装杀毒软件的设备采取强制下线措施,对带有敏感字的文档给予提醒,以此保证杀毒软件的安装率和桌面终端的注册率。内、外网的桌面终端在接入后,需由信息管理部门工作人员绑定接入交换机,将没有使用到的端口关闭,预防其他用户非法侵入[5]。3.2.3使用桌面终端系统的监控功能除了可以使用桌面终端管理系统的非法接入外网、警告口令设置低、杀毒软件的安装率和桌面终端的注册率之外,该系统中还有控制的功能,可以通过控制功能,杜绝桌面终端用户的不安全行为。例如通过硬件资源管理中的控制系统,在特定的区域内禁止使用蓝牙设备与红外线设备。有利于防范终端用户使用信息内网接连计算机,有效解决了违规接入外网。3.2.4使用北信源系统在北信源系统(见图2)中可以采用硬件设备控制,通过设备控制禁止使用蓝牙设备和红外线设备;采用进程监控功能,防止无线网卡设备的侵入;设置防火墙,只允许桌面终端访问企业内部网址;将IP与MAC绑定,严禁使用用冗余网卡,防止修改IP与网关,以防发生违规外联事件;实施文件动态监控、文件内容检查和终端检查,确保敏感信息检查执行率及保密检测系统安装率指标水平。
4结语
21世纪以来,传统的桌面终端管理模式已经无法适应社会的需求,不能安全有效地管控桌面终端。通过企业制定的桌面管理制度和桌面终端管理系统,提升了桌面管控技术,使桌面终端的工作流程规范化,在提升信息安全的同时,也提高了工作人员的桌面安全管理意识。在电力企业中采用桌面管控技术来提升信息安全,还需要不断地实践与探索,只有坚持不懈,才能使企业保持信息安全,走可持续发展道路。
参考文献:
[1]姚玮.电力企业信息安全全生命周期管控[J].电力信息与通信技术,2015(08).
[2]马之力,张驯,崔阿军,袁晖.电网企业网络准入体系设计与应用[J].电力信息与通信技术,2015(05).
[3]陶明峰,刘志刚,徐胜朋,邢艺欣,袭建学.市县级电力公司网络一体化管理设计与研究[J].电力信息与通信技术,2015(05).
[4]吴石松,刘晔.电力企业桌面终端安全管理应用研究[J].现代计算机(专业版),2013(36).
