前言:中文期刊网精心挑选了公司信息安全管理体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
公司信息安全管理体系范文1
(一)管理使用的系统
ERP、加油站账册、二次物流管理、加油卡、办公自动化以及企业门户网站等系统是石化销售企业首要的应用系统。应用系统有以下特征:一是系统应用范围广,全程参与企业的经营、管理、对外服务等;二是系统用户众多,涵盖企业各阶层员工;三是系统对持续运转要求高,因此对应用系统的安全运转要求较高。对公司的经营管理而言,系统的安全稳定运行具有重大意义,系统数据是否安全、保密性和供应商、企业利益有密切关系。
(二)安全管理
随着我国经济水平不断提高,石化销售企业越来越离不开信息化管理,世界各地的公司对内部成立一个信息化团队,根据内部的需要制定出具有整体性的管理体系,并根据相关的信息安全规定对系统内部的安全等级做好评估保护工作。各企业制定了详细有效的“信息系统应急预案”以应付各类突发事件。近几年,中国石化内控体系在建设过程中不断加强、完善自身管理体系,也在IT控制方面占有一定的优势。当前,石化销售企业已基本形成一套完整的信息安全防御和管理体系,从而确保了网络信息系统的安全性。
二、信息安全风险的评估
衡量安全管理体系的风险主要方法是进行信息安全风险的评估,以此保障信息资产清单和风险级别,进而确定相应的防控措施。在石化销售企业进行信息安全风险的评估过程中,主要通过资金、威胁、安全性等识别美容对风险进行安全检测,同时结合企业自身的实际情况,拟定风险控制相应的对策,把企业内的信息安全风险竟可能下降到最低水平。
(一)物理存在的风险
机房环境和硬件设备是主要的的物理风险。当前,部分企业存在的风险有:1)企业机房使用年限过长,如早期的配电、布线等设计标准陈旧,无法满足现在的需求;2)机房使用的装备年限太长、例如中央空调老化,制冷效果不佳导致温度不达标,UPS电源续航能力下降严重,门禁系统损坏等,存在风险;3)机房安全防护设施不齐全,存在风险。
(二)网络和系统安全存在的风险
石化访问系统的使用和操作大量存在安全风险,其中主要风险包括病毒入侵、黑客袭击、防火墙无效、端口受阻以及操作系统安全隐患等。即使大部分企业已安装统一的网络防病毒体系、硬件防火墙、按期更新网络系统软件、安装上网行为监控等,但因为系统漏洞数目不断增多网络结构和袭击逐渐减弱或者因为信息系统使用人员操作系统本身的安全机制不完善、也会产生安全隐患。
(三)系统安全风险
没有经过许可进行访问、数据泄密和被删改等威胁着系统的安全性。提供各类应用服务是企业信息系统的首要任务,而数据正是应用信息系统的核心,因此,实际应用与系统安全风险密切联系。当前,信息应用系统存储了大量的客户、交易等重要信息,一旦泄露,造成客户对企业信任度影响的同时也会影响企业的市场竞争力。
(四)安全管理存在的风险
安全管理存在的主要指没有同体的风险安全管理手段,管理制度不完善、管理标准没有统一,人员安全意识薄弱等等都存在管理风险,因此,需要设立完善的信息系统安全管理体系,从严管理,促使信息安全系统正常运作。一方面要规范健全信息安全管理手段,有效较强内控IT管理流程控制力度,狠抓落实管理体系的力度,杜绝局部管理不足点;另一方面,由于信息安全管理主要以动态发展的形式存在,要不断调整、完善制度,以符合信息安全的新环境需求。
三、信息安全管理体系框架的主要构思
信息安全管理体系的框架主要由监管体系、组织体系和技术体系形成,特点是系统化、程序化和文件化,而主要思想以预防控制为主,以过程和动态控制为条件。完善安全管理体系,使石化销售企业信息系统和信息网络能够安全可靠的运作,从机密性、完整性、不可否认性和可用性等方面确保数据安全,提升系统的持续性,加强企业的竞争力。
(一)组织体系
企业在完善管理体系过程中应设立信息安全委员会和相关管理部门,设置相应的信息安全岗位,明确各级负责的信息安全和人员配置等内容。在全面提升企业人员对信息安全了解的过程中必须进行信息安全知识的相关培训,使工作人员提高信息安全管理意识,实现信息安全管理工作人人有责。
(二)制度体系
操作规范、安全策略、应急预案等各项管理制度经过计划和下发,让信息安全管理有据可依。企业参照合理完善的各项制度进一步优化业务流程,规范操作行为,降低事故风险,提升应急能力,以此加强信息安全的管理体系。
(三)技术体系
管理技术、防护技术、控制技术是信息安全管理体系的主要技术基础。安全技术包括物理安全技术、网络安全技术、主机安全技术、终端安全技术、数据安全、应用安全技术等。一旦出现信息安全事件,技术体系会在最短的时间内降低事件的不良影响,依靠相关的信息安全管理技术平台,以实现信息安全技术的有效控制。管理体系的核心是技术手段,先进的加密算法和强化密钥管理构成的数据加密方式全程控制数据传输和数据存储,可以保证数据的安全性。采用堡垒机、防火墙等安全系统可以过滤掉不安全的服务和非法用户,防止入侵者接近防御设备。IDS作为防火墙的重要功能之一,能够帮助网络系统快速检测出攻击的对象,加强了管理员的安全管理技术(包括审计工作、监视、进攻识别等技术),提高了信息安全体系的防范性。企业数据备份这一块可以采用双机热本地集群网、异地集群网等各种形式进行网络备份,利用体统的可用性和容灾性加强安全管理能力。
近年来各个企业的恶意软件、攻击行为手法变化多端很难防御,在各种压力下,传统的的安全防预技术受到了严峻的考验,这时“云安全”技术当之无愧成为当今最热的安全技术。“云安全”技术主要使用分部式运算功能进行防御,而“云安全”技术对于企业用户而言确实明显的保障了信息的安全性以及降低客户端维护量。“云安全”技术是未来安全防护技术发展的必由之路,且今后“云安全”作为企业安全管理的核心内容为企业的数据、服务器群组以及端点提供强制的安全防御能力。”
四、信息安全管理体系相关步骤
由于管理体系具有灵活性,企业可依据自身的特点和实际情况,使用最优方案,结合石化销售的特征,提出以下步骤:1)管理体系的重要目标;2)管理体系的主要范畴;3)管理体系现状考察与风险估量;4)完善管理体系的制度;5)整理管理体系的文档;6)管理体系的运行方式;7)信息安全管理体系考核。
五、结论
公司信息安全管理体系范文2
作为拥有丰富IT服务管理实施经验的咨询和培训机构,趋势引领以“传递先进的IT管理理念和经验,提高客户的IT管理成熟度”为使命,通过不断吸纳国内外先进管理方法,建立IT服务管理和信息安全管理体系,为企业获取ISO20000(IT服务管理), ISO27001(信息安全管理)和BS25999(业务连续性管理)提供认证咨询服务。
趋势引领的顾问和讲师均拥有多年IT服务管理和信息安全管理实践经验,对于如何提高信息安全的管控能力,保障信息系统服务稳定运营,降低IT运营成本,提高服务绩效,展现IT服务的价值,以及实现量化管理,具有独到的见解和方法。
服务理念
品质:公司全体员工贯彻“质量至上”的公司文化,以客户需求为导向,以责任为立足之本,以严格的项目管理方法为保障,为客户提供优质的培训和咨询服务。
个性:针对客户个性化的需求和特点,结合管理最佳实践和国际标准,为客户量身定制符合客户实际情况的培训与咨询方案。
实用:传授方法和实践经验,协助客户建立实用的管理体系,关注落地执行和实际效果,而不是照搬理论进行照本宣科式的咨询、培训。
创新:关注行业发展趋势,注重管理方法的探索和开发,通过创新提高服务的价值,为客户带来更大的收益。
业务培训服务内容
・ IT服务管理系列(ITIL、ISO20000)
・ 信息安全管理系列(ISMS、ISO27001)
・ 业务连续性管理系列(BCM、BS25999)
・ ICT项目管理系列(PRINCE2)
・ IT治理与审计(COBIT、CISA)
・ 企业综合管理系列(企业内控管理ERM、业务流程管理BPM、知识管理KM)
咨询服务
ITIL(IT基础架构库)的评估与实施 根据企业实际情况,建立符合ITIL标准的管理流程,提高企业的IT服务质量。
ISO20000 IT服务管理体系的评估与实施 获得此项认证将标志着企业在IT服务管理水平上达到了世界先进水平。趋势引领在对企业进行实地考察的基础上,为企业提供适合的实施方法,进而通过这一认证。
ISO27001信息安全管理体系的评估与实施 来自政府和监管机构的信息安全管理和审计要求日益严格,遵循ISO27001国际标准并取得相应认证已经成为趋势之一。趋势引领可为企业完善信息安全管理体系,提升信息安全的管控能力,保证业务的稳健发展,满足企业自身管理、行业监管、以及国家的各项法律法规的要求。
公司信息安全管理体系范文3
一、运用系统的思想和方法,查找信息安全管理的“短扳”
随着企业信息化的快速发展,信息安全管理工作显得相对滞后。管理思想和方法落后。过去基本上是参照电网安全管理一些传统做法,没有体现信息化特点和要求,越来越不适应信息系统的快速发展和变革;管理不够全面。以往只考虑硬件、软件,忽视了人、数据和文档、服务、无形资产等重要对象,对外来人员也缺乏有效的识别管理;管理制度不够系统。以前虽然制订了较多的制度和标准,当信息化发展到一定程度,这些制度就显得很单薄,就事论事的管理方式必然会产生安全管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切实际,往往束之高阁;风险评估不够科学。以往的信息风险评估不够系统,主观性过强,缺乏综合平衡,抓不住重点,或过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。
上述情形是企业在信息化建设中普遍感觉到的问题。随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此,嘉兴电力局根据国际上信息安全管理的最佳实践,结合供电企业的实际,从信息安全风险评估管理入手,贯彻ISO/IEC27001:**信息安全管理标准,建立了信息安全管理体系。通过体系有效运作,达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。
二、从资产识别入手,搞好信息安全风险评估
按《信息安全风险评估控制程序》,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产2810项,其中确定的重要资产总数为312项,形成了《重要资产清单》。
图1.《重要信息资产按部门分布图》
对重要的信息资产,由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别,并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析,确定风险等级和可接受程度,形成了《重要资产风险评估表》。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定措施失效发生的可能性,计算风险等级,判断风险为可接受的还是需要处理的。根据风险评估的结果,形成风险处理计划。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用适当的措施,确定是接受风险、避免风险,还是转移风险。
嘉兴电力局经过风险评估,确定了不可接受风险84项,其中硬件和设施52项,软件和系统0项,文档和数据8项,服务0项,人力资源24项。
根据风险评估的结果,对可接受风险,保持原有的控制措施,同时按ISO/IEC17799:**《信息技术-安全技术-信息安全管理实施细则》和系统应用的要求,对控制措施进行完善。针对不可接受风险,由各部门制定了相应的安全控制措施。制订控制措施主要考虑了风险评估的结果、管理与技术上的可行性、法律法规的要求,以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面,将风险降低到可接受的水平。
图2.《各类不可接受风险按系统分布图》。
三、按照ISO标准要求,建立信息安全管理体系
嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统,按ISO/IEC27001:**《信息技术-安全技术-信息安全管理体系要求》规定,参照ISO/IEC17799:**《信息技术-安全技术-信息安全管理实施细则》,建立信息安全管理体系,简称ISMS。确定信息安全管理体系覆盖范围,主要是根据业务特征、组织结构、地理位置、资产分布情况,涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是:“全面、完整、务实、有效。”
为实现信息安全管理体系方针,嘉兴电力局在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施,明确信息安全的管理职责;识别并满足适用法律、法规和相关方信息安全要求;定期进行信息安全风险评估,采取纠正预防措施,保证体系的持续有效性;采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;制定并保持完善的业务连续性计划,实现可持续发展。按照信息安全管理方针的要求,制订的信息安全管理目标是:2级以上信息安全事件为0;不发生信息系统的中断、数据的丢失、敏感信息的泄密;不发生导致供电中断的信息事故;减少有关的法律风险。
嘉兴电力局根据风险评估的结果、企业的系统现状和管理现状,按照ISO/IEC27001:**标准要求,整合原有的企业信息安全管理标准、规章制度,形成了科学、严密的信息安全管理体系文件框架,包括信息安全管理手册;《信息安全风险评估管理程序》、《业务持续性管理程序》等53个程序文件,制定了16个支撑性作业文件。
四、运用过程方法,实施信息安全管理体系
在信息安全管理过程中,重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节,采取明确职责、动态检查、严格考核等措施,使信息安全走上常态管理之路。
图3:信息安全管理体系实施过程
重视信息系统安全管理。因为信息系统支撑着企业的各项业务,信息安全管理体系实施涵盖信息系统的生命周期,表现在信息系统的软(硬)件购置、设备安装、软件开发和系统测试、上线、系统(权限)变更等方面,严格执行体系的相关控制程序。
强化人员安全管理。在劳动合同、岗位说明书中,明确员工信息安全职责。特殊岗位的人员规定特别的安全责任,对信息关键岗位实行备案制度。对岗位调动或离职人员,及时调整安全职责和权限。定期对员工进行信息安全教育和技能培训、比武、考试。
公司信息安全管理体系范文4
甘肃建筑职业技术学院甘肃兰州730050
摘要:目前高校教学管理信息中安全问题频发,暴露出了诸多安全管理问题,文章对高校教学管理信息安全中存在的问题进行了仔细分析,并提出了相应的解决措施。
关键词 :信息安全;问题;措施
随着信息化建设进程的加快,信息安全问题逐步成为各高校所面临的难题。高校经过多年的不断努力,通过物理、技术、管理等方面的各种措施,来保障整个校园信息的安全,通过近年来的管理,也取得了一定的成效,但是高校网络信息安全的管理不单单是技术上的问题,也不单单是出台几个管理条例就能解决的事情。根据信息安全管理体系理论对高校信息安全管理的基本要求,高校要建成相对比较完善的信息安全管理制度体系、管理措施等。而通过对高校目前的信息安全管理现状分析来看,仍然存在多方面的不足。
1 高校信息安全管理存在的问题
1.1 信息安全意识淡薄。目前,高校在信息系统防御能力方面薄弱,网络硬件、软件、协议和安全防护存在较多缺陷和错误,且无法及时、定期修复,严重滞后于信息技术的发展。部分高校教师缺乏安全知识和信息技术水平,对防护措施漠不关心,片面认为学校信息安全是属于专业技术人员的工作。有些学校也不重视高校信息安全管理,导致缺乏安全管理人才及专业指导,同时缺少信息安全系统规划和合理整体布局,风险分析不彻底,制定保障策略存在漏洞。
1.2 过分依赖软硬件技术保护。投入信息安全产品,如专业防火墙、专业的VPN 通道设置等之后,软件和设备防护能力提高,起到信息安全保护与防范作用。但是仍然存在“重技术、轻管理”的思想,管理的意识不够,观念没有彻底转变。信息安全不仅是技术层面的工作,还需考虑物理、技术、管理安全方面的因素。目前,高校在技术措施上投入大量经费,购买安全产品,却在管理措施上投入较少,过分依赖于硬件技术的保护。信息安全事件主要是人为的管理不善,管理意识的淡薄、条例的不健全、操作过程不当等造成的。
1.3 信息安全管理人员配备不足。做好信息安全管理工作,需要有一支高素质的管理队伍,但高校在信息化办公室人员配置上数量较少,专业结构不合理,信息技术部门的工作人员只是购买安全软件装在服务器上。在服务器的管理和维护工作上,通常采用与校外公司签订维护服务协议解决人员紧缺及技术问题,但因不是本校员工,难免出现因事务繁杂而导致责任心不强的问题,有所疏忽将造成重大的损失。还有一种不能忽视的问题,在各个高校普遍存在,就是有部分信息安全管理人员不是计算机或者网络安全专业出身,不能胜任专业的信息安全管理工作,从一定意义上来说,这部分人员不是信息安全管理的专业人员。
1.4 管理制度体系不够完善。目前,很多高校没有成立信息安全组织机构,未配备专门人员,尽管部分高校制定了管理办法和规章制度,但达不到信息安全的管理要求。根据信息安全现状和管理要求,各高校都应成立相应的安全组织、管理和技术机构,形成系统的信息安全管理机制。同时,还有部分高校在信息安全管理方面,几乎没有应急预案,一旦出现信息安全问题,后果不堪设想,一些高校虽然制定了《大学网络与信息安全报告管理办法》,但没有真正发挥作用,未能起到预防信息安全事件发生和消除事件影响的作用。因此,完善高校信息安全管理体系还有很多工作要做。
1.5 信息安全管理和技术有待提高。高校信息安全管理规章制度权威性不足,没有形成长效机制,是目前普遍存在的问题。任何管理措施都需要执行力,尽管目前高校在教学、管理、服务等方面都普及了数字化,但由于信息安全风险的不确定性,致使信息安全不被充分重视,信息安全管理和保障设备投入有限,设施陈旧,组织框架混乱,安全管理工作的分工不明,导致不能预防和及时处理信息安全方面的问题。信息安全管理制度的落实是高校的重点工作,各高校要高度重视,加强软硬件建设,提高管理人员技术水平,保证高校信息的安全性和可恢复性。
2 高校信息安全防护措施
2.1 建立有效的信息安全防护系统。合理配置操作系统端口,详细设置防火墙,开放必须利用的端口,关闭其他不必要的端口;免费提供正版杀毒软件,供全校师生免费下载使用,定期修复系统漏洞,发送错误报告并进行分析处理,升级防毒软件,保障校内所有计算机的安全运行;安装与配置IDS 入侵检测系统,检测防火墙过滤后的隐匿攻击,安装漏洞扫描系统,内外兼防确保信息终端的可信赖性。
2.2 建立安全管理体系。在了解高校当前信息安全管理面临的威胁和风险,分析原因的基础上,结合现有信息安全管理现状,整体规划设计信息安全管理体系。制定相应的安全管理工作机制,明确各管理部门责权,对重点部门、重点节点重点进行安全风险的防控,有效确保整个信息安全管理工作的高效落实。
2.3 加强信息安全管理人员的配备和管理。成立学校信息安全管理机构,采取激励政策,引进培养素质高、数量足的高水平网络、数据管理人才队伍,并培养部门信息安全管理员,充分调动他们的积极性和主动性,为学校信息安全保驾护航。对全体师生进行信息安全技术培训,使广大师生熟练掌握日常的安全操作和系统维护,针对性的加强部门、学生内部安全意识和技术人才的培养,使教师学生掌握基本的网络防御技能和安全保密素质。
2.4 提高高校信息安全管理应急处理能力。信息安全事件具有隐蔽性、突发性的特征,甚至是具有灾难性和传播性的恶性事件。因此,要充分考虑信息安全事件发生时的影响度、损坏度,并进行风险评估,建立和完善信息安全预警与应急处理机制。各校要成立网络信息安全应急处理小组,明确应急处置流程、落实相关处置人员职责,以加强预防为主,在网络信息安全应急事件发生时,迅速实施应急预案,有效控制突发事件,妥善处理问题。在处理信息安全突发事件时,要兼顾高校正常工作中对网络的需求,在有效控制校园网络信息安全突发事件后尽快恢复校园网络,避免影响正常办公。
3 结语
总体来讲,高校目前在信息安全管理方面还存在很多缺陷,已有的安全管理规章和制度只是一种局部的、事后纠正式的安全管理方式,要从根本上避免和降低信息安全事件发生的概率,就必须要根据自身的实际情况,借鉴其他高校的相关经验,制定一套适合本校的安全管理策略和措施体系。
参考文献:
[1]聂磊,刘小玲.浅谈校园网络信息安全管理[J].教育教学论坛,2010(21).
公司信息安全管理体系范文5
腾讯云计算公司副总裁曾佳欣女士表示,从苦练内功提升安全技术能力、到严格遵守国际安全管理规范化,腾讯云在安全领域从未停止脚步,为的是让客户可以放心地把业务部署在腾讯云上,借助云计算取得更大的成功。业内人士评论,腾讯云率先获得ISO 27001:2013认证,成为云计算信息安全管理的标杆,将有助于其获得客户,尤其是企业级客户和政企机构的信任,还将引发其他云服务供应商争相跟进。而国内云计算安全管理规范化也有望得到极大提升。
权威认证树立云安全标杆
据介绍,ISO 27001是以信息资产及业务风险管理为核心的管理体系,对企业建立、实施和文件化信息安全管理提出了极高的要求。ISO 27001的前身是BS 7799信息安全管理体系标准,由全球权威的标准研发和国际认证评审服务提供商BSI撰写,后被国际标准组织(International StandardizationOrganization,简称ISO)采纳升级为ISO27001国际信息安全管理体系认证标准。该标准已成为当今国际上最权威、最严格,也是最被广泛接受和应用的信息安全领域的体系认证标准。
近年来,云计算等新兴IT技术在全球范围内高速增长,同时也带来了全新的安全威胁。为此,ISO组织于2013年9月底将ISO27001:2005正式升级为ISO 27001:2013。 相较而言,ISO 27001:2005更加适用于传统的IT架构,而ISO 27001:2013则补足了2005版中缺失的新技术对于信息安全管理的相关要求。这意味着,通过ISO 27001:2013认证,更能体现企业对安全的承诺,表明企业信息安全管理已建立起一套科学有效的管理体系,能够为用户提供可靠的信息服务。目前国内外许多政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司均采用了此项ISO标准对自己的信息安全进行系统的管理。
据悉,腾讯云的云计算基础服务均已获得ISO 27001:2013认证,包括云服务器、负载均衡、云数据库、对象存储、云安全、云监控以及云拨测等的信息安全管理,这确保了腾讯云从底层应用开始,保障用户的信息安全。“此次认证不仅是对腾讯云研发、运维、企业综合管理等方面企业安全管理流程的认可,同时还促进了腾讯云内部的流程意识进一步加强,可以大大减小因流程执行不规范而导致的问题,进而由上而下系统化地保障用户信息的安全性、保密性、可用性及业务的连续性。”曾佳欣如是说。
此前,在今年7月工信部指导举办的“2014年可信云大会”上,腾讯云旗下的NoSOL高速存储及云数据库等服务首批获得可信云服务认证。此番率先获得国际信息安全管理领域最权威认证,进一步确立了腾讯云在云安全领域的标杆地位。
强大技术保障云安全服务
腾讯云作为国内最大的云计算服务提供商之一,提升安全能力,确保信息安全,是用户的需求,也是腾讯云自身的需求。
在互联网安全领域,腾讯各项业务所承担的安全风险之高当属业内之最,却鲜有重大安全事件发生,这足以证明腾讯的安全防护能力已经达到了极高的水平,而腾讯云承担着通过云计算方式将腾讯的安全产品、安全策略、安全手段开放共享给全社会的重任。
腾讯云安全可以提供包括DDoS防护、漏洞扫描、网站安全防护(WAF)、后门木马检测、DNS劫持检测、暴力破解告警、异地登陆提醒等服务,并且定期检测实时告警。此外,腾讯云安全可以定期提供各种安全检测服务,出现安全问题后通过邮件、消息中心等渠道及时告知用户,将潜在风险降到最低。
创立规范
打造健康云生态
公司信息安全管理体系范文6
在国网公司“三集五大”体系建设的大环境下,信息化全业务覆盖将渗透到县公司各个环节,县公司信息化建设有了重大进展和显著成效,尤其是在省电力公司信息系统全面推广应用后,建立合理、高效地信息安全管理体系显得尤为重要。西平县电业公司结合自己的实际情况,实施了一系列的信息安全方面的建设和管理,有效地保证了我公司的信息安全,提高了公司信息系统整体安全防护水平。
一、工作思路
(一)现状分析
西平县电业公司原来的局域网网络,由于内外网没有隔离,制度制定不全面,管理比较混乱,局域网内的计算机终端可以随意上网,由于没有桌面管理软件,私自接入路由器、交换机的情况比较严重,严重威胁到了公司局域网的网络安全。
(二)工作思路
为进一步加强我公司的信息安全管理,强化日常信息安全的监督、防控及应急处理体系,杜绝发生信息安全事故,有效提升全我公司整体信息安全防护水平,消除安全隐患,解决信息安全短板,强化信息安全建设,重新制定各种信息安全规章制度,明确信息安全责任人,对引起信息安全责任事故的,从严处罚;实施内网物理隔离,局域网内所有计算机终端安装省公司统一部署的北信源桌面管理系统和趋势杀毒软件,配备安全移动存储介质,最大限度消除各类信息安全隐患,确保公司局域网的安全。
二、主要做法
(一)加强组织机构与制度建设
我公司成立信息安全组织,以公司经理为组长,主管副经理为副组长,各部室主任为成员的安全信息管理网络体系,分级负责信息安全工作;信息安全管理实行统一领导、分级管理,各部门主要负责人是本单位信息安全第一责任人,公司信息化领导小组负责本单位信息安全重大事项决策和协调工作。公司负责人与各部室及各单位签订信息安全责任书,全体员工签订信息安全保密承诺书,对员工宣传“八不准、三个不发生”的安全要求,明确“谁使用、谁负责”的信息安全原则。信息安全纳入公司安全管理体系,实行专业管理、归口监督,科技信息部负责管理信息大区(信息内网和信息外网)的安全保障,负责指导、协调和检查各单位信息安全工作,组织落实公司信息系统等级保护制度,统筹开展公司信息系统风险评估和安全检查工作,负责规范公司信息系统安全产品的测评和选型工作。组织本单位信息系统安全的宣传和培训,建立健全信息系统安全管理体系,设立系统管理员、网络管理员、安全管理员等岗位。一是完善制度,制定包括各级信息安全岗位职责、值班制度、巡视检修制度、机房管理制度、业务受理制度、数据备份制度、信息与审核制度、信息安全审计制度等在内的各项制度;二是建立健全监督考核机制,严格系统分级权限分配、监督与管理;三是加强流程控制,数据录用前,必须要保证信息系统数据的合法性、安全性以及处理后数据的正确性,更重要的是对各环节人员操作程序进行安全管理,同时还要引进和强化计算机自动控制系统,以保证计算机系统及数据的安全性和数据处理的可靠性。四是建立完善了信息安全责任制度、信息系统日志管理制度、账号与口令管理制度、数据备份制度及应急预案制度等。
(二)加强硬件与软件及信息安全技术建设
为保障信息系统的安全,实施了内外网物理隔离,使互联网和局域网成为两个独立的网络,并配合省、市公司,对县—市—省三级联网通道进行改造,建设成了主通道为100M、备用通道为20M的光纤通道,与省、市公司互联。在各计算机终端安装了北信源桌面管理系统和趋势杀毒软件,启用桌面管理系统的补丁安装功能,对存在漏洞的计算机进行了补丁安装,对于个别无法安装补丁的计算机进行了重新安装操作系统,并实施了弱口令专项治理工作,坚决杜绝弱口令的发生。指派专人实时监控桌面管理系统,确保杀毒软件安装率、桌面管理系统注册率等达到100%。严格执行“不上网、上网不”的纪律要求。在内外网的网络终端上安装安全管理终端,登记内外网终端使用信息,监控网络终端基本信息。严禁违规上国际互联网及其他的信息网的现象;严禁内外网互联现象;严禁使用未登记备案的外网接口;严禁安装、使用未经批准的无线网络等,杜绝违规外联的发生。加强移动存储介质的使用和管理,专门配备了安全移动存储介质,保证了病毒、木马依靠移动存储介质进行传播。在各信息系统服务器上增加软件防火墙,取消不必要的协议及远程登录功能。对于远抄、集抄、智能手机抄表等信息系统,把原来的互联网接入方式更换为APN接入方式,保证了信息系统服务器的安全。对于入网及互联网用户实行严格的审批制度,并对其进行了MAC地址绑定,使局域网安全得以保障。
三、对实践过程的思考和对效果的评价