前言:中文期刊网精心挑选了信息安全管理要求范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全管理要求范文1
(一)基层央行的信息安全工作的内容
央行作为国家政府和大众认可的组织机构有着其他任何银行不具有的功能,央行调控其他社会上各个银行的借贷比例,调控市场上的资金数量,而且具有发行资金货币的功能,为保证其他银行的正常运营和管理,所有银行都需要向中央银行定期缴纳存款保证金,在其他各个银行发生资金危机时候可以向央行借贷资金。基层央行是央行在各个地方的分支机构,具有执行和监管央行工作实施情况的基本功能。
(二)基层央行的信息安全管理工作开展的意义
在日常的生活和工作过程中,并不是人人都是理财管理专家,社会大众对于劳动得到的财富的管理和控制远远不够,在这样的情况下银行就成为人们储存各种财富资金的主要地方。大众把自己的资金存入银行,银行拥有这些资金可以用于社会生产制造,为大众和社会发展创造收益,银行定期向大众返还利息,因此,银行的信息安全管理工作也是大众最关心的问题。基层央行作为信息安全管理的基层支持者,信息安全管理工作的效率决定了社会大众的财产安全,同时也决定了社会财务的安全,这对于社会发展和社会财务的管理有着重要的意义,尤其是社会财富的安全,基层央行必须要保证信息的安全,银行的工作人员要遵守自己的职业规定和职业道德,不泄露他人的银行信息和资金信息。做好信息安全工作对于维持社会稳定,保证社会财富的安全性,提高社会管理职能和效率都有非常重要的实际价值和意义。
二、基层央行信息安全管理工作存在的问题
基层央行的信息安全管理工作的效率和成果一直是社会和政府关注的重点,也是大众最关注的银行管理问题。尽管随着科学技术的发展和进步,基层央行的信息安全管理的技术和方法都已经得到了相当大的改善,但是不可否认的是,在这个过程中基层央行的信息安全管理工作仍然还存在着很多的问题,这些问题的存在给基层央行的信息安全管理带来了一定的影响,同时也给大众的资金、财产安全带来了威胁,以下主要针对基层央行信息安全管理存在的问题展开详细的分析和研究。
(一)基层央行信息安全管理工作人员的信息安全管理意识有待提高
基层央行的信息安全管理的工作人员是保证基层央行所有信息安全最直接的工作人员,所有的信息安全管理工作都必须要由他们来掌控,但是结合当下的实际基层央行的信息安全管理工作现状可以看出,基层央行的信息安全管理工作人员在银行信息管理和信息安全方面没有认真端正自己的思想,管理意识不够强,在实际的工作中并没有采取应有的严谨工作态度,实际上这主要是由于银行的管理疏忽造成的。如果银行能够加强对这些信息安全管理工作人员的监管力度,提升他们的工作能力和个人素质,这样的问题就可以避免,但是如果基层央行在管理过程中意识不到这个问题的严重性,这些信息安全管理的工作人员就很有可能会由于自身的原因导致银行的安全信息泄露,给银行和银行客户的安全造成严重的后果。
(二)基层央行的信息安全管理配备的科学技术人员不够科学、合理
实际上基层央行的信息安全管理需要的不仅仅是人工操作,更需要的是科学技术人员的配合,因为在实际的基层央行信息安全管理过程中需要用到很多的电子设备,大多数银行以及客户信息都需要通过这些设备智能化地存储和记忆,因此这些设备的研发和操作人员就是整个基层央行信息安全管理工作的核心,这些技术人员的分配以及工作效率都会影响到实际的基层央行信息安全管理工作的开展效率。从目前的基层央行信息安全管理工作现状可以看出,在实际的安全管理过程中存在的两个比较严重的问题:一是基层央行这样的科学技术人员非常欠缺,在某种程度上影响了基层央行的信息安全管理工作的顺利开展;二是基层央行的信息安全管理的方法和技术不到位,导致了在实际的安全管理操作过程中经常会出现失误,给基层央行的信息安全管理工作带来了非常大的影响。
(三)基层央行的信息安全管理制度
不完善管理制度是管理工作开展的基本条件,同时也是央行信息安全管理工作开展的必备条件。在实际的央行管理过程中,严格的管理制度是保障基层央行信息安全管理工作正常开展的根本。但是从目前的发展现状可以清楚地看出,基层央行的信息安全管理制度还不够完善,这在根本上影响了基层央行的信息安全管理工作的开展。从基本的制度设置和实施方面来说,造成这一问题的主要原因:一是基层央行的管理工作和管理意识不够达标,最终影响了制度的制定和实施,从而也影响了基层央行的信息安全管理工作的开展;二是制度制定者对于基层央行的信息安全管理工作的内容以及工作的重要性没有一个科学合理的认识,最终影响了基层央行的安全管理和信息管理。因此制度的完善和执行情况必须要得到相关部门的重视,只有这样才能使得基层央行的信息安全管理工作效率有所保证。
(四)基层央行的信息安全管理系统应急措施不完善
基层央行的信息安全管理应急系统主要是为了保证在发生突发的央行安全信息泄露或者重大信息安全问题时,及时对这些问题进行处理,挽救过失,并将对社会和大众的影响和损失降到最低的一个系统。可以说,应急系统是保证央行信息安全管理的最重要系统,但是结合当下的实际情况看,基层央行信息安全管理系统的应急措施并不能满足实际的需求,而且还有可能会在关键时刻失去原有的功能和作用。因此在实际的应用和发展过程中,必须要着重提升其功能和使用效率,使之能够更好地为央行的信息安全管理工作服务,更好地为保证社会安全和大众资金安全服务。
(五)对基层央行的信息安全管理的监管不到位
基层央行作为社会和大众财富的集中地,社会和大众应对其工作具有较强的监管能力,但是在实际的应用过程中,社会大众并没有行使其基本的权力,没有对基层央行的工作,尤其是基层央行的信息安全管理工作进行监管。社会相关部门尽管对基层央行的工作进行了监管和控制,但是在监管的过程中并没有按照实际的监管要求对这些基层央行的管理工作内容和执行情况进行监管,并且过于注重形式,没有实际的工作。因此对基层央行信息安全的管理应是基层央行在未来的工作中必须要解决和完善的地方。
三、提升基层银行信息安全管理工作效率的方法和措施
通过以上对基层央行信息安全管理过程中存在的问题的分析和讨论可以看出,基层央行信息安全管理工作确实存在很多问题,解决这些问题不仅是社会发展的需求,同时也是大众对于其财产安全管理的需求。以下主要针对提升基层央行的信息安全管理效率的方法和措施展开详细的分析和研究。
(一)提升基层央行信息安全管理工作人员的安全管理意识
提升基层央行信息安全管理工作人员的安全管理意识需要央行提高自己的管理意识、危机意识和安全意识。基层央行的管理者需要在实际管理工作中做到:严格要求基层央行的信息安全管理工作者,使得他们在实际的工作过程中严格要求自己,严格按照工作要求和工作制度标准开展工作,这样就可以有效避免由于工作人员的操作失误给整个基层央行的信息安全管理工作带来影响;另外就是基层央行在对信息安全管理工作者进行工作考核时必须要按照严格的要求,将其对信息安全管理工作的态度以及工作状况加入到实际的考核中去,这样不仅可以激励员工更加积极地对待工作,而且也可以提升工作效率;最重要的就是基层央行在招聘这些信息安全管理工作人员时,应该要提升对这些人员的要求和资格审查,这是从根本上提升基层央行信息安全管理工作安全性和工作效率的最佳措施。总的来说,提升基层央行信息安全管理工作人员的安全管理意识是基层央行在管理过程中的基本需求,同时也是最重要的管理目标之一。
(二)提升基层央行信息安全管理的科学技术人员配备的科学化和合理化
基层央行信息安全管理的科技人员配备的合理化和科学化是保证银行的各项科学技术工作更好地发展和完善的基础。最基本的条件之一就是必须要保证这些科学技术人员的配备能够满足实际的信息安全管理需要,保证当信息安全管理工作人员需要这些技术人员的配合和帮助时,技术人员能够以最快的速度达到,对存在的问题进行处理和解决,这是对基层央行技术人员配备的基本要求。
(三)完善基层央行的信息安全管理制度、提升管理制度的执行效率
完善基层央行信息安全管理制度要求基层央行在制度制定过程中,按照实际的信息安全管理需求设定相关制度,并以适合央行实际管理及信息安全,提升央行信息的安全性为基本要求和标准,提升管理制度的执行效率。
(四)提高基层央行的信息安全管理系统的应急处理能力和监管
提高基层央行应对紧急情况的信息安全管理系统问题要求基层央行的员工必须要对自己的工作内容非常熟悉,在发生紧急情况时候能够及时找到问题产生的原因,并及时采取措施,尤其是在发生恶性的信息泄露和信息安全问题时,能够及时进行处理。提高基层央行信息安全管理系统应急处理能力要求基层央行定期地对自己的员工进行培训,使他们能够对自己的工作流程和工作内容充分地了解,央行也可以通过提升对这些工作人员的要求来达到相应的目标,但是总的来说,提升基层央行信息安全管理系统的应急处理能力是基层央行必须要改善和提升的一个问题。与此同时,加强对基层央行的监管力度对于保证基层央行信息安全管理的规范性和科学性具有非常重要的意义。
四、小结
信息安全管理要求范文2
关键词:信息安全管理体系;信息资产;业务连续性;风险评估
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02
当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。
本省地税部门信息安全现状及面临形势
(一)取得的成绩
多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:
1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。
2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。
3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。
4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。
5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。
(二)存在的不足
通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:
1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。
2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分网络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。
3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。
(三)面临的形势
随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。
提高税务信息安全保障能力的有效途径
国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。
信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。
税务信息安全管理体系建设实践
税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。
(一)基本定位
1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;
2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;
3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平;
4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;
5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。
(二)设计原则
1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。
2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。
3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全管理体系的根本目标。
4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。
5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。
(三)总体架构
在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:
第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。
第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。
第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。
信息安全管理要求范文3
2012年央视“3・15晚会”所曝光的银行客户数据泄漏事件,给金融业再次敲响了警钟,随着金融监管机构对客户数据的安全管控要求逐步提升,各家银行都相继把对客户数据的安全保护力度提升到新的管理高度,信息安全管理也逐渐成为银行风险管理中一个重要的环节。
一直以来,广发银行信用卡中心十分重视信息安全工作,为全面保障信用卡业务的信息安全,保护好客户数据的安全,广发银行信用卡中心在2006年组建了专职的信息安全管理团队,参照ISO27001国际信息安全管理体系标准逐步建立起适合广发银行信用卡中心业务特色的信息安全管理体系框架。
2009年,广发银行信用卡中心开始实施ISO27001项目一期(ISO27001国际信息安全管理体系认证)。
2010年6月通过DNV(挪威船级社)的认证审核,获得UKAS国际信息安全管理体系证书,成为国内第一家信用卡业务领域通过ISO27001认证的千万量级发卡行。
2011年,为符合国家和行业监管要求,广发银行信用卡中心实施了ISO27001项目二期(GBT22080国家信息安全管理体系认证),2011年10月通过中国信息安全认证中心的认证审核,获得国家信息安全管理体系证书。
2012年,广发银行信用卡中心实施ISO27001项目三期,将强化信息安全“可落地、可量化、可视化和可考核”的精细化管理。
信息安全管理要求范文4
一、播控系统安全管理的内容和构成要素
制定信息安全工作的总体方针和安全策略,说明安全工作的总体目标、范围、原则和安全框架等;成立指导和管理信息安全工作的领导小组,设立信息安全管理工作的职能部门;制定各项信息安全制度和操作流程明确信息安全管理各项要求,形成由安全方针、管理制度、细化流程等构成的全面的信息安全管理制度体系。
安全管理策略是信息安全管理工作的重要基础和依据,由各种层次的体系文件构成,一般来说包括:
1.一级文件:信息安全总方针、主策略(战略性)――相当于信息安全策略体系中的业务模型,是信息安全各领域的总体策略。
2.二级文件:信息安全规范、程序(战役性)――相当于信息安全策略体系文件中的概念模型,是信息安全各领域的具体要求。
3.三级文件:信息安全手册、细则(战术性)――相当于信息安全策略体系中的逻辑模型和物理模型,是信息安全各领域的详细工作方法。
4.四级文件:信息安全记录、表单――记录信息安全策略体系中信息安全政策、标准、规程的实际执行结果。安全策略的制定和实施是一个管理过程,通常地,戴明环(PDCA循环)是进行安全管理体系实施的一个有效方法。
二、创造良好的设备运行环境
环境安全管理及对策播控系统的环境安全管理主要包括机房的温度、湿度等环境参数控制管理、用电安全管理和安保消防监控管理等方面。提高环境安全管理的主要措施包括:
1.播控机房的环境控制管理在重点区域所辖技术机房采取有效的降温除湿措施,并配备温度和湿度的检测装置。同时,建立相应的巡检制度,对机房温度和湿度进行定期检测。
2.播控机房的用电安全管理机房采用双路供电,其中至少有一路是UPS电源,未经UPS的设备供电电源应具备稳压措施,确保不因电压波动对设备造成影响。在关键设备选型时,尽可能选用双电源设备,并分接两路不同路由的设备电源,避免因电源问题形成系统的单点故障。在配电设计时应留有余量,保证三相负载均衡。同时,通过实时监控软件或建立巡检制度,加强对电源使用状况的监控,确保机房用电安全。
3.播控机房安保管理指定部门负责机房安全,对机房的出入、服务器的开机或关机等工作进行管理。应建立机房安全管理制度,规范机房物理访问、机房环境安全、工作人员行为等。系统建设安全管理及对策播控系统的建设安全管理主要包括系统建设安全方案管理,产品采购和使用的安全管理,自行开发软件的安全管理,外包软件开发的安全管理,工程实施过程的安全管理,系统交付和验收安全管理,系统资料备案管理和安全等级测评等方面。
三、提高系统建设安全管理的主要措施
1.系统建设安全方案管理。播控系统按照国家和行业标准、规范合理确定信息系统的边界和安全保护等级,并根据要求进行信息系统定级评审、审批、报备工作。
2.产品采购和使用安全管理。确保安全产品采购和使用符合国家的有关规定,确保密码产品采购和使用符合国家密码主管部门的要求,采购前对产品进行选型测试,确定其适用性后采购。
3.自行开发软件安全管理。确保开发环境与实际运行环境物理分开,开发人员和测试人员分离,测试数据和测试结果应受到控制。制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则。制定代码编写安全规范,要求开发人员参照规范编写代码,并审查软件中可能存在的后门漏洞等。确保提供软件设计的相关文档和使用指南,并由专人负责保管。确保对程序资源库的修改、更新、进行授权和批准。
4.外包软件开发安全管理根据开发需求检测外包软件的质量,在安装外包软件之前检测软件包中可能存在的恶意代码,要求开发单位提供软件设计的相关文档和使用指南,要求开发单位提供软件源代码,并审查软件中可能存在的后门漏洞等。
5.工程实施过程的安全管理指定或授权专门的部门或人员负责工程实施过程的管理,制定详细的工程实施方案控制实施过程,并要求工程实施单位能正式地执行安全工程过程。制定工程实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。
6.系统交付和验收安全管理系统交付时应制定详细的交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。对负责系统运行维护的技术人员进行相应的技能培训,提供系统建设过程中的文档和指导用户进行系统运行维护的文档。委托具有资质的第三方对系统进行信息安全测试,并出具报告。
7.系统资料备案管理和安全等级测评系统建设完成后应指定专门的部门或人员负责管理系统定级的相关材料,并控制这些材料的使用。将系统等级及相关材料报系统主管部门备案,同时将系统等级及其他要求的备案材料报相应公安机关备案。在系统运行过程中,按照国家和行业标准、规范要求对系统进行等级测评,发现不符合相应等级保护标准要求的及时整改。在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。选择国家和行业认可的信息安全资质单位进行等级测评。
信息安全管理要求范文5
一、明确试点思路,坚定开展信息安全规范化管理信心
为加强信息安全规范化管理,保障国家财产安全,保证金融事业顺利发展,我行认真学习《中华人民共和国人民银行法》、《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规,认真学习中支《关于开展信息安全规范化管理试点的通知》等相关文件,提高了对开展信息安全规范化管理试点工作重要意义的认识,坚定工作信心,认真扎实搞好信息安全规范化管理试点工作。我行明确试点思路:认真落实和执行《人民银行信息安全综合规范》要求,切实加强对信息工作的组织领导,促进计算机信息安全规范化管理深入发展,通过试点工作实现支行信息安全管理工作更加标准化、规范化、专业化、程序化和系统化,达到中支信息安全管理规范化试点的工作要求。
二、强化工作措施,扎实开展计算机信息安全规范化管理试点工作
一是加强组织领导,明确工作任务。加强信息安全规范化管理是金融形势不断发展的需要,具有重要的现实意义和深远的历史意义。我行加强对计算机信息安全规范化管理试点工作的领导,把试点工作列入支行重要议事日程,做到与其他业务工作同部署、同落实、同检查、同考核。成立支行信息安全规范化管理试点工作领导小组,切实加强对试点工作的领导,保证信息安全规范化管理试点工作人人有分工、事事有人抓,时时有人管、件件有落实。领导小组下设办公室,具体负责试点工作的组织和实施,保障试点工作顺利进行,取得实际成效。
二是建立工作制度,形成长效机制。为搞好试点工作,我行制定《中国人民银行行信息安全规范化管理试点实施方案》,明确试点工作的指导思想、工作目标、工作内容和工作要求,使试点工作有章可循、有据可依,有效推进。同时,花力气、下功夫,对支行信息安全管理制度进行疏理,重新修订公布了《中国人民银行支行科技人员岗位职责》、《中国人民银行支行计算机兼职安全员岗位职责》、《中国人民银行支行计算机设备操作规程》、《中国人民银行支行计算计设备管理办法》、《中国人民银行支行计算机机房管理制度》、《中国人民银行支行计算机病毒防治办法》、《中国人民银行支行内联网计算机使用注意事项》、《中国人民银行支行网络运行管理制度》、《中国人民银行支行接入国际互联网管理规定》、《中国人民银行支行计算机系统口令(密码)安全管理规定》和《中国人民银行支行移动存储介质管理办法》等11个制度,为试点工作开展提供制度保障。
三是细化工作任务、量化工作目标。我行做到依岗划责、定量明标,对每项工作都明确定责、细化目标,严格标准,细化到岗,量化到人,让每人都知道自己要“做什么”,“怎样做”和“做好的程度”。同时和每位员工签订信息安全承诺书,确保信守承诺,实现计算机信息安全规范化管理试点的工作目标。
四是开展业务培训,提升员工素质。我行采用自行培训和聘请外部专业人人士对员工进行信息安全管理知识培训,使员工进一步提升对信息安全管理重要性的认识,自觉树立信息安全意识,掌握信息安全管理知识,全面做好信息安全管理工作,达到标准化、规范化、专业化、程序化和系统化的要求。
五是夯实工作基础,强化监督检查。我行做细、做实信息安全管理基础工作,规范登记、检查、审批等程序,使支行信息安全管理工作均符合《人民银行信息安全综合规范》之规定。同时强化监督检查,对好的做法及时总结,加以推广;对存在的问题及时进行整改,确保试点工作健康发展,取得扎实成效。
三、持之以恒进行,取得试点工作的实际成效
我行严格工作要求,落实各项工作措施,持之以恒开展计算机信息安全规范化管理试点工作,取得了实际成效。一是支行员工提高了对计算机信息安全规范化管理试点工作重要意义的认识,自觉积极参与试点工作,提高了业务能力,取得良好成绩。二是建立系列制度和工作机制,使试点工作形成制度化、标准化、规范化的发展态势,计算机信息安全规范化管理上了一个新的台阶。三是认真落实和执行《人民银行信息安全综合规范》要求,安全管理工作更加标准化、规范化、专业化、程序化和系统化,达到中支信息安全管理规范化的工作要求。四是提高了我行计算机信息系统的整体安全水平和预防、打击利用或者针对计算机信息系统进行的违法犯罪活动能力,能够有效预防、处理各种安全事故,保障国家财产的安全。五是试点工作以来,我行信息安全管理水平不断提高,没有发生信息安全事故,促进各项业务工作平安、持续发展。
四、开展试点工作,获得了宝贵的经验启示
信息安全管理要求范文6
中国【关键词】信息安全管理;保险企业;体系构建
中图分类号:TU714文献标识码: A
.引言
社会保险工作不仅是一项政策性强、涉及面广、信息流量大、计算复杂、准确性要求高的工作,而且要求处理的数据量相当大,数据及档案保存的时间相当长(因为要记载每一个参保职工每月的投保情况及其个人帐户的累计缴纳情况,包括逐月利息情况,直至其退休)。要把这项工作搞好,使之稳定、健康地发展,仍凭手工操作、搞人海战术显然行不通,而且是很不现实的。因此必须应用计算机来管理,充分发挥网络系统速度快、精确度高、自动化程度高、信息资源充分共享和数据批量处理的特点,以适应保险工作的需要。
1.保险企业信息安全管理的现状
计算机信息安全问题不是保险企业才存在的问题,是全球企业都存在的普遍问题,越发达的地区,信息安全存在的隐患越多。一方面,现在互联网的发展速度非常快,信息技术的日趋完善,出现了很多的恶意攻击工具,再加上信息系统本身的漏洞,让一些破坏分子更是有机可乘;从另外一个角度来看,企业自身对信息安全管理不重视,也是导致出现信息安全问题的首要原因之一。近年来,保险行业处于高速发展的时期,暴露出的问题也相对比较多,我们应该重视起来。下面列出了当前的保险企业在信息安全管理上存在的主要几点问题:
1.1没有相关的法规来约束
与信息的安全有关的分散于各种法律、法规、标准、道德规范和管理办法的条文较多,但尚未形成一个较为规范完整的保障信息安全的法律制度、道德规范及管理体系。同时现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行。因此,保险行业的信息安全标准和规范的缺少和无体系化,导致保险企业不能很好的制定合理的安全策略并确保此策略能被有效执行。
1.2没有引起足够的重视
很多保险企业的管理层对信息安全管理不太关注,不够重视,没有投入足够的人力、物力和财力去管理。大部分保险企业在公司治理上重点关注的是企业的业务规模发展,销售策略调整,组织结构和运营流程的优化等,对信息安全管理不太重视,不太相信信息安全问题能给企业会带来严重危机,直到发生了信息安全事件后之后才开始重视。因此,保险企业必须在公司日常治理中投入足够的时间和精力去完善企业的信息安全管理体系。
1.3对存在的风险评估不够
很多保险企业在设计搭建相关信息系统的时候对存在的风险评估不够,没有充分考虑到信息化所带来的安全风险,通常只是考虑到信息技术问题,对于信息系统应用后出现的信息安全问题欠缺考虑。其实对信息系统安全风险不做评估或评估不充分,都会带来严重的后果,一旦信息系统出现严重缺陷或漏洞的时,系统受到破坏,正常的业务操作无法进行,严重的可能会导致企业内部机密、客户个人信息的泄露或者重要数据被盗、被篡改等。所以,保险企业面临解决诸如系统本身缺陷、操作失误等带来的安全问题的。
1.4没有制定相应的安全管理条例,无明确责任划分
保险企业相关的信息技术安全之所以存在一系列的问题,和企业没有制定相应的安全管理制度,没有明确责任划分等有很大的关系。没有相关的信息安全管理制度去制约,出了信息安全问题以后的责任划分不清晰,长此以往,信息安全问题的监管就会出很大的漏洞,也很难形成一个可控的信息安全管理体系。保险企业的信息安全管理应该是整个企业员工共同面对的问题,而不是企业某个部门或者某些个人能够决定的事情。保险企业的信息安全管理应该有相应的制度和明确的责任划分,每个部门都应该有信息安全的负责人,出了问题要做到有人承担,如果不这样的话就会影响到信息安全管理体系的构建,成为企业信息安全管理的绊脚石。
所以,针对以上种种问题和现状,保险企业必须要形成一个良好的信息安全管理体系,这样才能从根本上解决问题,发挥信息化建设的作用,保障企业的计算机信息安全。
2.社会保险计算机网络建设的重点
“计算机就是网络,网络就是计算机”。我们要一改过去的做法,社会保险自动化建设将由过去的封闭单一型向开发型过渡;从以社会保险内部业务管理为重点转向以公共信息服务和提高社会化管理程度为重点;由过去的单机操作向网络过渡,最终全面实现网络管理。
一个社会保险机构成功与否,取决于以下三个因素:一是在政策支持下的经费投入决定了硬件设备的规模,这是系统的外部条件。二是一套功能齐全、着眼点高、符合开发系统标准的应用软件,这是网络系统的灵魂。三是内容丰富、符合国际标准、具有本地特色和一定参保覆盖面的信息数据库,这是网络自动化的基础。这三个因素既是社会保险机构网络建设的关键因素,又是建设的重点。
3.保险企业计算机信息安全管理的体系构建
3.1掌握安全管理标准,构建安全管理基本框架
要熟悉掌握信息安全管理标准,对信息技术的安全管理标准要进行不断深入的理解,不能仅仅考虑到信息技术,而忽视了信息安全管理。国际上对安全管理研究已经取得了一定的成果,推出了信息安全标准,成立了信息安全标准化组织,搭建了信息安全标准体系框架。在我国,虽然信息安全的研究起步比较晚,但是也在不断的完善中,已经制定了适合我国国情的信息安全管理标准。我国提出的关于《计算机信息安全保护等级划分准则》中就明确了安全管理的标准,主要把信息安全划分成自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级等五个安全程度不同的安全等级,根据这五级标准,也分别提出了关于建立安全管理体系的相关措施。所以,保险企业应该参考这些标准,构建适合自身行业、企业信息的安全管理基本框架,这对于企业的健康稳健发展是非常有意义的。
3.2实现科学的信息安全管理
保险企业要实现科学的信息安全管理,不能不考虑信息安全影响而随意的进行信息管理。保险企业的信息安全管理应该要包括对机构安全管理和人员安全管理以及技术安全管理和场地设施安全管理。保险企业需要采用一些科学的方法,如科学化企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型等,建立科学的可实施的计算机系统安全策略,采取规范的安全防范措施,选用可靠稳定的安全产品,设计完善的安全评估标准和等级,实施有效的审核措施等来实现对信息的安全管理。
3.3进行有效的安全风险评估
保险企业在搭建信息化平台的时候,必须要进行安全风险的评估,没有风险的评估是很难实现信息安全管理的。同时,还需要在对信息安全风险的评估中制定出风险的应对方案,便于应对突发问题,从最大程度上保证信息的安全。
3.4合理配置安全产品
对于评估出来的风险,保险企业可以对信息系统配置一些安全产品来规避信息安全风险。比如说系统存在一些漏洞,这些漏洞很容易受病毒的攻击,那么企业可以配置一些能够定期更新的杀毒软件和防火墙来防止病毒的侵入。在配置产品的时候需要注意配置的合理性,不能什么安全产品都去配置,要通过最优化的安全产品配置达到企业信息的安全管理。
结语
随着社会保险制度改革的不断深人,社会保险业务管理工作日趋繁琐,其业务量、数据量大幅度增加,对信息处理的及时性和准确性要求也越来越高。社会保险管理信息系统的建设,要紧密结合各级社会保险机构的业务需求,遵循信息工程的理论和方法进行,其总的指导方针是:统一规划,统一标准,城市建网,网络互联,分级使用,分步实施。促进社会保险改革和发展,完善社会保障制度的需要。
【参考文献】
[1]许雅娟.网络攻击分类研究[J].硅谷,2011(06).
[2]宋晓萍.TDCS网络安全防护方案的研究[J].铁道运输与经济,2006(11).
[3]苗亮.计算机网络可靠性的研究[J].机械工程与自动化,2010(03).
