信息服务安全范例6篇

前言:中文期刊网精心挑选了信息服务安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

信息服务安全

信息服务安全范文1

创新场景名称

XX县物流信息服务与车辆安全监管平台

填报单位

XX县XXX汽车运输有限公司

联系人

XXX

职务

经理

手机

邮箱

XXXXX@126.com

应用级别

地级以上  县级市  ☑县(区)

新城新区  社区    产业园区   其他           

应用领域

政务领域      医疗领域    社区领域   公共安全领域 

就业领域      养老领域    餐饮领域   教育领域 

家庭服务领域  旅游领域    交通领域☑   社保领域 

扶贫领域      环保领域    其他              

场景说明

XXX物流信息服务与车辆监管平台由XX县XXX汽车运输有限公司于2015年投资建设,目前平台现有各类管理及技术人员20余名,入网车辆3000余台。平台建设落成后硬件设施到位的同时,经过多方考察论证并协商,2015年底公司与山东XX北斗网络科技有限公司签约合作,为车辆动态监控平台注入了后台技术数据支撑与手机APP联网应用的,在运行的过程中不断总结经验、经过两家公司4年的相互协作,目前配备了一支具备专业素质强、服务意识高的动态监控团队,为在线运营的道路货运车辆提供24小时实时监控与全国物流信息、收集服务,通过该平台的运用,能够及时发现车辆超速、疲劳驾驶等违章行为,并给车辆驾驶员发送安全信息、或者电话通知等方式,督促驾驶员纠正违章驾驶行为。有效的消除了营运行车辆在经营过程中的不安全因素,规避了安全隐患。车辆动态监控平台除了具备:定位监控、报警预警、安全信息推送、轨迹回放、报警分级管控、夜间提醒及重点区域车辆管理等基本功能以外,还能够在第一时间搜集到全国各地的货物运输及车辆待配载信息,大大缩短了车辆的配货时间及成本,减少车辆的空驶率。 

创新应用情况及效果

该平台是集物流信息与收集、车辆北斗系统实施定位与轨迹回放、货物实时追踪为一体的多功能专业性平台。该平台目前已入网货运车辆3000余台,能够实时对所有车辆进行实时位置定位,及时跟踪货物位置,并且能够实现车辆超速报警、疲劳驾驶报警、突发事件报警、夜间提醒、重点区域车辆管理等功能,平台能够向车辆发送安全提醒短信,杜绝驾驶员疲劳驾驶,可以查看车辆一个月内的所有行驶轨迹。

另外平台物流信息收集与功能,能够及时搜集到全国各地的货物运输信息及车辆待配载信息,大大缩短了车辆的配货时间及成本,减少车辆的空驶率。

该平台目前是XX县唯一一家集物流信息及车辆定位功能的服务性平台,在今后的工作中公司将继续加大对平台的进一步开发,扩大服务范围,力争在全省范围内达到领先水平。

代表性及推广价值

为了让更多的客户体验平台的便利性,目前平台免费为客户提供相关的数据服务,同时公司组建了专业的团队为平台新老客户提供24小时后台服务。

另外平台物流信息收集与功能,能够及时搜集到全国各地的货物运输信息及车辆待配载信息,大大缩短了车辆的配货时间及成本,减少车辆的空驶率。同时定位功能对货物与车辆的营运监管起到了良好的作用。

预期效果

平台物流信息收集与功能,能够及时搜集到全国各地的货物运输信息及车辆待配载信息,大大缩短了车辆的配货时间及成本,减少车辆的空驶率。

 

相似案例

其他

 

填表要求:

1.填表用语简洁明了,数据事实详实、准确。字体为“仿宋-GB2312”,字号为“小四”,行距为“单倍”,左对齐。

信息服务安全范文2

一、信息资源云服务体系及信息资源安全风险

信息资源云服务是通过云计算将分布式的信息资源进行资源整合、信息分析、数据挖掘等一系列操作后,为用户提供满足其信息需求的一种云端服务模式。信息资源云服务的客体是信息资源,主体则为云用户,在信息资源云服务体系中,大部分信息资源都存储在云端,因此,信息安全成为一个不得不考虑的问题,而这一问题牵涉信息资源云服务体系的各个方面,要想解决信息资源云服务的安全就必须结合通过云计算构建信息资源的流程及方法。信息资源云服务体系主要涉及资源层、用户层、服务层三个核心层次。

1.资源层与安全风险资源层是信息资源云服务体系的基础,旨在为用户提供满足需求的丰富的信息资源,主要通过终端输入和网络爬虫的方式采集信息资源后进行存储,建立资源池并生成信息索引。终端输入是信息资源供给方将本地的信息资源数字化后上传到云端服务器,而在数据传输过程中或许会面临遭遇网络攻击与重要信息资源被截取的可能,即信息资源传输风险,从而造成巨大的损失。资源层采集信息资源的另一种方式是网络爬虫,即网络爬虫是一种按照一定的规则自动抓取万维网资源的程序或者脚本,能在抓取一个或若干个初始网页的URL和网页内容的同时通过数据库比对、自然语言理解、交叉语言检索、数据挖掘等技术进行提取并建立自身的数据库。信息资源云服务的目的之一在于共享,但为保持各个信息资源供给方自身的优势,又有必要保留其特色信息资源,并且只能通过接口的方式访问,而网络爬虫的肆意抓取将会导致诸多信息资源供给方面临信息资源访问权的风险。另外,云存储风险是存在于资源层中的较大问题,云端数据的丢失将使整个信息资源云服务体系失去作用,例如,微软提供SIDEKICK服务曾中断了一个星期,导致用户不能访问自己的邮箱、日历还有其他个人数据,并且微软最后也承认这些数据无法恢复。因此,信息资源云服务中数据的完整性、可用性、保密性是开展云服务的基础。

2.用户层与安全风险信息资源云服务体系中资源池的构建不仅取决于云端信息资源的储备,也涵盖用户这一层面。在整个信息资源云服务体系中,云用户的信息需求直接影响信息资源的构建方向,云用户的个性化特征将指引服务模式的创新,因此,用户与信息资源云系统的交互在服务体系中担当着不可估量的角色。两者之间的交互具体体现在用户根据自身的信息需求向信息资源云系统请求服务和信息资源云系统分析用户信息行为两个方面。第一个方面,用户在请求服务前必须登入自己的云端账户以获取自己所需的信息资源。信息资源云服务的构建中用户分为普通用户和管理员用户,不同的用户拥有的权限必须有所区别。在信息资源云系统针对不同用户提供服务时,许多信息资源都要经过二次加工后才能满足用户的需求,而这类加工操作则必须由信息资源云系统的管理员才能完成,因此,权限的设定在服务中尤为重要,否则将引发管理权限风险。第二个方面,为了提供更好的个性化服务,信息资源云系统需要对用户的信息行为踪迹进行收集和分析,通过数据挖掘等技术发现用户的隐性需求,这也是云计算中普遍使用的一种方法。用户的个人信息行为属于用户隐私的范畴,因此云计算提供的服务与用户隐私间存在着持久的矛盾,对用户个人信息行为的分析是云计算提供更好服务的前提,但此举实际上又侵犯用户个人隐私。对于普通用户而言,用户隐私保护也是信息资源云服务的构建中迫切需要解决的问题。

3.服务层与安全风险信息资源云服务层为用户提供信息资源的检索、个性化定制、推送、云管理等信息资源云服务。信息资源云服务体系中使用的是公共云、私有云和混合云三种模式。信息资源公共云是第三方提供商为信息资源用户提供的能够使用的云;信息资源私有云是为一个信息资源用户单独使用而构建的,提供对数据、安全性和服务质量的最有效控制(这里的用户通常是信息资源方);而信息资源混合云则是两种云的混合,具备两者的基础特征。在信息资源云服务中,三种云之间的访问应是无缝连接的,能够同步完成信息资源的检索、个性化定制、推送等操作,要实现这些功能,必须拥有信息资源云管理的统一标准。轻量目录访问协议(LightweightDire-ctoryAccessProtocol,LDAP)是一个用来目录信息到许多不同资源的协议,能够构建一个这样的通用平台。LDAP通过TLS(安全传输层协议)和SASL(简单认证和安全层)来保证信息传输的安全性,但最近在拉斯维加斯举办的黑帽大会上,安全研究人员AngeloPrado、NealHarris与YoelGluck披露了一种名为BREACH(超文本自适应压缩浏览器勘测与渗透)的新技术,该技术能够获取来自SSL/TLS加密网络流量的敏感信息,并且三位研究人员声称,BREACH技术能给采用加密机制、算法的大部分TLS/SSL带来巨大威胁。由此可见,数据的安全传输在信息资源云服务层中是一个很大的问题。所以,信息安全问题在信息资源云服务体系中主要体现为:信息资源传输风险、资源访问权的风险、云存储风险、管理权限风险、用户隐私保护问题、数据的安全传输等几方面,归类后,安全问题可划分为信息资源过程管理和用户管理两大模块。

二、信息资源云服务中信息安全技术的应用

1.信息资源过程管理与信息安全技术信息资源过程管理包括信息采集、信息组织加工、信息存储与检索、信息服务四大子过程。在对信息资源进行云管理之前,可根据重要性对本地数字化的信息资源和网络爬虫抓取的信息资源划分为一般信息资源、重要信息资源和信息资源。一般信息资源的目的在于分享,其重要性往往较低,在信息资源安全问题的管理上,可采用HTTP(超文本传输协议)或HTTPS(安全超文本传输协议,采用完全套接字层SSL作为HTTP应用层的子层)的方式直接进行传输,以保证其使用效率,改善用户体验。重要信息资源旨在为拥有更高信息需求的用户提供服务,包括许多经过数据挖掘、信息分析和多次加工后的信息资源,这些资源也是增强用户对信息资源云服务粘合度的重要原因之一,因此有必要对这类信息资源进行进一步的加密,实现技术为可在信息资源云服务器上部署云端加解密模块。本地的重要信息资源数字化后,经过数字水印技术和AES(AdvancedEncryptionStandard,高级加密标准)算法加密后,通过VPN技术在公网上封装出一个数据通讯隧道,上传到云服务器,而网络爬虫抓取的信息资源则直接通过云端加密模块进行加密后保存。由于通过VPN技术访问信息资源的速度会降低不少,并且许多VPN技术受网络环境及使用平台影响的复杂程度也不尽相同,因此会导致用户的使用效率受到影响。在保证信息资源安全性的前提下,为了尽可能地提高使用效率,可采用SSLVPN协议。SSLVPN结合了SSL和VPN两者的优点,SSL处于网络结构体系的传输层和应用层之间,因此SSLVPN几乎支持所有的WEB浏览器,这也意味着用户不需要为了获取SSLVPN的支持而安装第三方软件,符合云计算开发的初衷。用户通过SSLVPN协议访问重要的信息资源不仅不受平台的限制,而且能极大地提高使用效率。信息资源理论上并不适合保存在云服务器上,其资源池的建立是为了解决部分用户因地域限制等因素而无法及时获取自己所需的那些保密性较高的信息资源。为保证这类信息资源的安全,可使用多重技术,即用户将访问保密信息资源的请求经数据通讯隧道发送给信息资源的另一服务器,由该服务器将请求转发给原始服务器,并最后得到所需的信息资源,这样做的目的是为了隐藏用户的目的及信息资源请求的来源,最大限度地保证这些保密信息不被窃取。信息资源能够保证使用的前提是其完整性,为了避免由于物理因素、网络安全风险、人为因素等引起的数据丢失、信息更改的现象,应适时采用云备份与磁盘备份相结合的方式对信息资源进行数据备份。

2.用户管理与信息安全技术用户的管理主要涉及用户权限管理和用户隐私保护。根据用户层对用户的分类,不同权限的用户拥有不同的访问权,在用户权限管理上应用的信息安全技术为信息确认技术和网络控制技术。信息确认技术的核心为涵盖消息确认、身份确认和数字签名的信息确认系统,对于需要一般信息资源的用户通常可采用静态密码的方式来确认身份,访问重要信息资源的用户则必须开通动态密码服务来获取身份的确认,而针对那些与信息资源有关的用户可根据实际情况采用生物识别技术。同时对普通用户和管理员而言,两者也不能出现超越限制权限的行为,否则会引起信息资源云服务的隐性风险,因此云服务器有必要通过网络控制技术来规范其行为,最典型的即为防火墙技术,通过该技术既能够允许获得授权的外部人员访问云服务器,又能够识别和抵制非授权者的访问。实际上,现有的防火墙技术并不能完全保证信息资源的安全,也存在被黑客突破的可能性,一旦突破,信息资源将完全呈现出来,同时外部用户的身份认证技术也无法解决这一问题,为此需要对信息资源本身的文件操作制定相应的规则,而这一技术就是主动防御系统(Host-basedIntrusionPreven-tionSystem,HIPS)。HIPS不仅能够限制用户的行为,也能保护用户隐私。HIPS包括应用程序防御体系、注册表防御体系和文件防御体系,通过定制合适的规则可实现对运行程序、注册表和文件读写操作的控制,在一定程度上可防止用户访问权限外的信息资源,同时也能保证用户的行为不被云服务器肆意跟踪。以上几种信息安全技术的综合应用将使用户管理更趋科学化、合理化。

三、结束语

信息服务安全范文3

 

1 社区卫生服务中心信息安全背景

 

20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,特别是原卫生部《卫生信息化发展规划(2011~2015年)》之后,明确了卫生信息化是深化医药卫生体制改革的重要内容。那么作为整个卫生信息化体系的“网底”的社区卫生服务中心,其重要性不言而喻。随着卫生信息化的建设不断扩展和深入,依托于区域卫生信息中心的各类应用系统不断上线推广应用。网络与数据安全已逐步成为各项卫生信息工作开展的重要基础依托。因此社区卫生服务中心作为区域卫生信息中心的重要结点。信息安全管理就显得尤为重要。

 

2 什么是信息安全管理

 

“三分技术,七分管理”是信息安全保障工作中经常提到的。可见,信息安全管理是信息安全保障的至关重要的组成部分。信息安全管理(Information Security Management)指组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动。作为组织完成的管理体系中的一个重要环节,它构成了信息安全具有能动性的部分,是指导和控制组织相互协调完成关于信息安全风险的活动,其对象就是包括人员在内的各类信息相关资产。在社区卫生服务中心由于信息系统应用较为广泛,基本包含了医疗、护理、医技、行政等所有科室及其人员。

 

长期以来,社区卫生服务中心在信息安全建设方面,存在重技术轻管理、重产品功能轻安全管理、缺乏整体性信息安全体系考虑等各方面的问题。区域卫生信息中心采用集中管理的信息安全技术及产品的应用,一定程度上可以来解决社区卫生服务中心在网络传输时的信息安全问题。但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。近年来,由于管理不善、操作失误等原因导致的卫生信息及病患基本信息泄露的安全事件数量不断攀升,更加剧了社区卫生服务中心需要信息安全管理的迫切性。

 

3 社区卫生服务中心信息安全管理作用

 

社区卫生服务中心信息安全管理的作用体现任以下几个方面。

 

3.1信息安全管理是社区卫生服务中心组织整体管理的重要的、固有的组织部分,是组织实现中心业务目标的重要保障。在信息时代的今天,信息安全威胁已经成为社区卫生服务中心等医疗机构业务正常运营和持续发展的最大威胁。如在社区卫生服务中心发生的费用结算85%以上通过医保信息系统来进行,所有的医生工作站都依托中心服务器来提供数据进行操作,医技部门也通过信息系统获取病人信息和传送结果。一旦信息系统发生故障对于社区卫生服务中心来说是灾难性的。因此中心需要信息安全管理,有其必然性。

 

3.2信息安全管理是信息安全技术的融合剂,是各项技术措施能够发挥作用的重要保障。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则,安全技术职能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那么信息安全管理就是融合剂和催化剂,良好的管理可以变废为宝,使现有的各项技术相互配合发挥应有的作用,而糟糕的管理会使技术措施变得毫无用处。实现信息安全,技术和产品是基础,管理才是关键。在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路

 

3.3信息安全管理是预防、阻止或减少信息安全事件发生的重要保障。早期人们对于信息安全的认识主要侧重在技术措施的开发和利用上,这种技术主导论的思路能够解决信息安全的一部分问题,但却解决不了根本,据权威机构统计表明,信息安全问题大约70%以上是由管理方面原因造成的,大多数信息安全事件的发生,与其说是技术上的原因,不如说是管理不善造成的。因此解决信息安全问题、防止发生信息安全事件不应仅从技术方面着手,同时更应加强信息安全的管理工作。

 

信息安全涉及的范畴非常广,信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。因此,要求社区卫生服务中心的相关人员正确理解信息安全、理解信息安全管理的关键作用,以更好地开展信息安全管理工作。强调信息安全管理的作用,并不是要削弱信息安全技术的作用;开展信息安全管理工作,要处理好管理和技术的关系,要坚持管理与技术并重的原则,这也是信息安全保障工作的主要原则之一。

 

4 社区卫生服务中心信息安全管理控制措施

 

在我国对于信息安全等同采用IS0 27002:2005,命名为《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。可见对于社区卫生服务中心的信息安全来说,安全控制措施是必要且十分重要的。其中比较重要的如下:

 

4.1安全方针 社区卫生服务中心的信息安全方针控制目标,是指中心的信息安全方针能够依据业务的要求和相关法律法规提供管理指导并支持信息安全。社区卫生服务中心信息安全方针文件的内容应包含中心管理者的管理承诺、组织管理信息安全的方法、中心信息安全整体目标和范围的定义、中心管理者意图的声明、控制目标和控制措施的框架、重要安全策略、原则、标准和符合性要求说明、中心信息安全管理的一般和特定职责的定义、支持方针的文件的引用等。

 

4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分,不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。

 

4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素,有资料表明,70%的安全问题是来自人员管理的疏漏,为了对人员有一个有效的管理,需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。

 

4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全,需考虑到角色是否适合相应岗位,以降低设施被窃、信息泄露和误用的风险,这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。

 

4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。

 

4.3.3社区卫生服务中心发生任用的终止或变更时,应确保信息的安全不外泄,确保员工、承包方人员和第三方人员以一个规范的方式退出或改变其任用关系。可以通过终止职责、资产的归还、撤销访问权限等控制措施来实现。

 

4.4物理和环境安全 社区卫生服务中心的物理和环境安全可以从安全区域和设备安全来入手管理。定义安全区域是为了防止对中心场所和信息的未授权物理访问、损坏和干扰。可以通过设置物理安全边界、物理入口控制、办公室房间和设施的安全保护、外部和环境的安全防护、在安全区域工作、公共访问和交接区安全。设备安全是指防止由于资产丢失、损坏、失窃而危及社区卫生服务中心的资产安全以及信息安全。中心可通过设备安置和保护、支持性设施、布缆安全、设备维护、场所外的设备安全、设备的安全处置和再利用,资产的移动等措施来进行保障。

 

4.5通信和操作管理 社区卫生服务中心的通信和操作管理一般可从操作规程和职责、第三方服务交付管理、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视等方面入手。

 

4.6访问控制 对于社区卫生服务中心来说,访问控制可从访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等控制目标来入手。

 

4.7信息安全事件管理 社区卫生服务中心的信息安全事件管理可以从报告信息安全事态和弱点、信息安全事件和改进的管理两个控制目标入手进行管理。

 

4.7.1报告信息安全事态和弱点这项控制目标旨在确保中心与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。该目标下有报告信息安全事态和报告安全弱点这两项控制措施来保障这一目标的实现。①报告信息安全事态控制措施,是指信息安全事态应该尽可能快地通过适当的管理渠道进行报告。实施过程中应建立正式的信息安全事态报告程序,以及在收到信息安全事态报告后采取措施的事件响应和上报程序。②报告安全弱点控制措施,是指中心应要求信息系统和服务的所有职员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。报告机制应尽可能容易、易理解和方便可用。应告知他们在任何情况下,都不应试图去证明被怀疑的弱点。

 

4.7.2信息安全事件和改进的管理。社区卫生服务中心信息安全事件和改进的管理这一控制目标旨在确保采用一致和有效的方法对信息安全事件进行管理。中心可以用职责和程序的控制措施、对信息安全事件的总结、证据的收集三项控制措施来保障这一目标的实现。①职责和程序的控制措施。它是指中心应当建立管理职责和程序,以确保能对信息安全事件做出快速、有效和有序的响应。该项措施实施时除了对中心的信息安全事态和弱点进行报告外,还应利用对系统、报警和脆弱性的监视来检测中心信息安全事件。遵循严格的信息安全事件管理程序的前提是中心需建立规程以处理不同类型的信息安全事件,如恶意代码、拒绝服务、信息系统故障和服务丢失、违反保密性和完整性、信息系统误用等。中心除了考虑正常的应急计划还要考虑事件原因的分析和确定、遏制事件影响扩大的策略、向合适的机构报告所采取的措施等。②中心对信息安全事件的总结控制措施,是指社区卫生服务中心应有一套机制量化和监视信息安全事件的类型、数量和代价。从信息安全事件评价中获取的信息应用来识别再发生的事件或高影响的事件。③证据的收集。证据的收集对于社区卫生服务中心来说,是指当中心的一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。过程有:为应对惩罚措施而收集和提交证据,应制定和遵循内部程序,为了获得被容许的证据,中心应确保其信息系统符合任何公布的标准或实用规则来产生被容许的证据:任何法律取证工作应仅在证据材料的拷贝上进行。

 

4.8业务连续性管理 对于社区卫生服务中心来说业务连续性管理是指防止中心业务中断,保证中心重要业务流程不受重大故障与灾难的影响。业务连续性管理过程中包含信息安全,该控制措施是指应为贯穿于组织的业务连续性开发和保持一个管理过程。解决中心的业务连续性所需的信息安全要求,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。应包含中心的信息安全、业务连续性和风险评估、制定和实施包含信息安全的连续性计划、业务连续性计划框架、测试、维护和再评估业务连续性计划等内容。

 

5 社区卫生服务机构信息安全的展望

 

对于社区卫生服务中心来说信息安全保障不仅仅是一门技术学科,信息安全保障应综合技术、管理和人。在中心的管理上,信息安全保障应考虑建立综合的信息化的组织管理体系,明晰相应的岗位职责、规章制度并严格执行等等。在人员上,应加强所有使用信息系统人员的安全意识和技能,以及中心从事信息系统专业人员的专业技能和能力。社区卫生服务中心的信息安全保障亦不是一种项目性的暂时行为,而是融入信息系统生命周期的全过程的保障。信息安全保障不是一种打补丁,头疼医头、脚疼医脚的临时行为,而是一种系统化、体系化的保障过程。信息安全保障的目的不仅仅是保障信息系统本身,信息安全保障的根本目的是通过保障信息系统进而保障运行于信息系统之上的中心业务系统。信息安全保障应以业务为主导、以社区卫生服务中心的使命、社会职责和社会服务性为出发点和落脚点。社区卫生服务中心的信息安全保障不仅仅是孤立的自身的问题,信息安全保障是一个社会化的、需要各方参与的工作。信息安全保障不仅仅是孤立的自身的问题,信息系统需要电信、电力等基础设施的支持、信息系统需要承担保密、公共安全、国家安全等社会职责,信息安全保障工作是一个社会化的、需要各方参与的综合的工作。社区卫生服务中心的信息安全保障是主观和客观的结合。没有绝对的安全,信息安全保障并不提供绝对的安全,信息安全保障是讨论风险和策略,讨论适度安全。因此,它是一个需要持之以恒和不断完善与发展的工作。

信息服务安全范文4

【关键词】电子政务;信息安全;策略

一般来说,电子政务是政府机构为了适应经济全球化和信息网络化的需要,应用现代信息技术,将政务处理、政府管理、政府服务等各项职能通过网络实现有机结合,并通过流程优化创新,实现提高政府管理效能,降低管理成本,改进政府服务水平,以适应信息化时代需要的现代政府公共管理实务中关于政务信息和管理的平台。为了打造服务型政务,实现政务公开,接受各方面的监督,必然要求在政务管理中推行电子政务,达到最大限度降低政府运作成本,提高了政府行政效率。

电子政务推行过程中的信息安全问题是政务运行的中心问题。这里的信息安全主要是指各类政务信息不得遭受偶然和恶意原因而受到破坏、更改、泄露。信息安全要求严格保护政务系统中信息网络的硬件、软件及其系统中的数据,切实做到系统连续、稳定、可靠正常地运行。

在当前信息技术飞速发展,各类黑客等破解软件系统的技术层出不穷,各级政府和商务网站收到攻击并导致瘫痪的事件时有发生,政务系统中的信息安全问题越来越尖锐,信息保护和防范的要求也越来越高。信息安全问题直接关系到政务信息及时和有效共享、政令畅通等,有些甚至更深层次地关系到国家的信息安全与稳定。

一、我国电子政务信息安全存在的问题

电子政务是一种全新的基于网络技术的综合性政府管理方式,其系统运行中的信息安全问题主要表现为管理和技术两个方面。电子政务运行过程中信息的技术问题是根本性问题,管理问题是基础和保障方面的问题,二者共同作用于电子政务平台的建设和发展。

1、管理方面问题

电子政务是利用先进的信息技术作为工具,帮助政府更好地履行管理职能。就具体运行过程看来,政府电子政务信息管理存在的问题主要包括以下几个方面:

(1)信息安全意思薄弱。电子政务在我国发展的起点低,很多政府工作人员对电子政务没科学、正确的认识,不适应信息化办公的要求。很多人将网络用于学习、工作和娱乐等,无暇顾及网络信息的安全性,安全意识薄弱。

(2)规范化信息安全管理制度严重缺乏。一直以来,各级政府为了保证信息安全,各级政府在电子政务的信息安全方面只从技术方面上采取了保障措施,严重缺乏规范的管理体制的建设。电子政务的信息安全要求制定并落实安全责任制,并且配备相应的完备的信息安全管理和认证机制等。而我国目前的电子政务系统在信息安全管理方面缺乏统一协调性,对故障定位不够准确,对安全责任的追查更加困难,一旦造成信息泄露的安全事故就无法应对。

(3)信息安全立法滞后。发达国家的经验表明,政府电子政务的快速发展必须要有健全的法制保障。当前,我国与电子政务相关的信息安全方面的相关法律法规非常欠缺。在全球范围内纵横交错的信息网络中,考虑到国内的电子政务系统与国际互联网直接连接,各种信息安全问题都会发生,即使有全面的技术规范,也难以避免各种不法侵害。当前,我国在电子政务信息安全方面立法滞后,也非常不完备,急需一些保障电子政务信息安全的配套的法律法规,以推动电子政务的普及,减少各类造成电子政务信息信息安全问题的障碍。

2、技术方面

电子政务发展的实践表明,技术是电子政务发展的最关键而又受到制约的重要因素。在电子中,尽管有着 “三分技术、七分管理”的说法,但是没有先进的技术做支撑,管理问题无从谈起,没有技术就更无从谈其发展问题。一旦技术出了问题,电子政务的发展就会面临重大困难。当前,电子政务的技术方面的问题主要表现在以下几个方面。

(1)不成熟的网络技术导致安全隐患。政府运用电子政务进行网络化办公,必然导致政府工作对网络具有很强的依赖性,这些依赖性必然产生脆弱性,包括技术的脆弱性、社会的脆弱性、人的脆弱性等等。这些脆弱性更多是由于网络技术不成熟,加上网络设置不科学导致的。网络技术自身不成熟,加上电子政务系统采用的网络设置不够科学,在信息安全技术方面存在很多安全弱点或隐患,例如,网络硬件设备的弱点、操作平台的弱点等各种安全问题。这些安全弱点迫切需要我们努力利用先进的网络技术来消除这些威胁。

(2)网络安全规划不到位导致网络结构的不合理性。由于信息技术发展过快,政府电子政务网络建设经常缺乏资金,加上网络建设规划缺少安全设计,更缺少前瞻性的系统规划。在电子政务的具体运行中,由于多个瓶颈限制网络流量,缺乏统一规划的IP 地址,更严重的是子网故障隔离性差,重要政务信息因流量缺乏,缺少服务质量保证等系列问题。在处理信息安全问题过程,不能立即收到应有的效果,只能修修补补的解决。

(3)未掌握关键核心技术,基础信息网络和重要信息系统存在安全隐患。我国对发达国家信息设备和信息技术存在很强的依赖性,信息化核心设备严重依赖国外,对引进的技术和设备缺乏必要的信息管理和技术改造。尤其是在系统安全和安全协议的研究和应用方面与发达国家的差距很大。目前组成我国电子政务网络的计算机网络系统所用各种硬件、软件、网络设备、服务器等基本上都是国外公司的产品,完全具有自主知识产权的产品基本没有。这些因素使我国的电子政务网络安全性能大大降低,使我国的经济和社会发展面临着重大风险。

二、政府电子政务信息安全管理工作的具体要求

电子政务在技术和管理上对信息安全提出了较高要求,具体而言,要求政府在电子政务信息安全管理方面,具体做好以下几点工作。

1、在政府机关内部加强电子政务信息安全和保密工程项目审批、监督和管理

政府部门在实施重大电子中由相关保密主管部门严格执行电子政务信息管理的安全和保密工作,具体包括使用登记后认可的专用密码,密码管理必须征求主管部门的审批和授权;涉及国家秘密的电子政务系统,接受有关主管部门的保密检查和信息安全检查。若发生重大问题,如泄密、遭到入侵、受到病毒攻击等,必须向有关主管部门报告。

2、遵守国家有关信息安全的技术标准和管理规范

相关信息安全技术、设备和应用系统的使用必须经过严格认证和测评,信息安全方案必须和国家总体方案和确定的技术标准相融合。

3、从事电子政务应用系统研发的单位,必须具有资质认证

对于开发涉及国家秘密的电子政务系统,还应具有国家保密主管部门颁发的特殊资质认证。

4、建立严格的内部电子政务系统运行管理制度

电子政务系统涉及的计算机设备的维护、电子政务信息和与数据有关的网络管理等必须符合国家有关主管部门的管理制度。关于电子政务信息处理设备的采购、运行、维修、报废、销毁等管理工作,必须按该设备所处理的电子政务信息的密级,并遵循最高密级的原则实施管理。对外托管等必须得到国家有关主管部门的审批,符合国家有关主管部门的安全、保密管理要求。

三、电子政务信息安全的应对策略

针对电子政务在管理和技术两方面问题,切实保障电子政务的信息安全,促进电子政务健康发展,结合政府在电子政务实际运行过程和信息安全管理中的问题,可采取以下策略。

1、建立功能完善的电子政务网络安全体系

建立功能完善的电子政务网络安全体系,首先要建立有完善的安全管理保障体系,稳固的基础安全服务设施;其次,还必须要有强大的科学合理的安全技术响应与恢复机制与安全技术支撑平台,这些安全技术的实现可以通过设置网络域访问控制,设置身份识别/认证机制,设置内部网的Internet访问策略,通讯加密,防病毒设置等等。

2、完善和规范信息安全的体制机制

通过明确责任、强化制度约束和规范从业人员的操作规范等形式,建立严格的、可操作性强的安全管理制度,在政府电子政务网络系统内部建立体系化的安全防御策略,另外加强工作人员的安全意识、信息素养和业务培训,保证安全管理制度的良好贯彻和执行。

3、加强网络核心技术研发,培养电子政务专业人才

当前,我国电子政务的信息设备和技术对发达国家的依赖性较强,为了提高电子政务系统的安全,必须组成核心攻坚团队,成立专门的电子政务网络系统的技术研发机构,及时解决各种信息安全问题。另外,还急需培养大批的电子政务专业人才,从事电子政务系统安全的诊断、预防和处理。

4、实施电子政务系统的风险评估和等级保护制度

针对电子政务系统的信息安全问题,必须营造纵深防御的安全保护环境,切合实际的开展电子政务信息系统安全风险评估,加强安全等级保护,有针对性的采取一整套切实有效的应对措施来保障电子政务信息系统的安全。

四、结语

电子政务信息安全的保障是一项关系多领域的综合工程,管理和技术两个层面是最根本的要达到绝对的安全是不可能的,应该从实际出发,从综合的角度出发,根据具体问题采取切实有效的措施,将电子政务信息安全隐患会降到最低。

信息服务安全范文5

遵循“务实求新”的传统,永达电子潜心研制,大胆创新,积极实践,凭借多年积累的安全管理理论研究基础,形成了以“安全管理与控制平台”为核心的一系列技术成果,并将这些成果产业化,成功地投入到国家重大信息安全等级保护工程建设中。

秉承“卓越创新”的理念,公司获得多项技术专利并成功应用于政府、交通、通信、金融等领域。本着“多元协作”的价值观,公司与国内外众多IT厂商、科研院校广泛合作,分别与IBM、HP建立了“Linux联合实验室”和“IA-64J技术应用研发中心”,主动与各界分享信息安全领域的先进技术和成功经验。

公司获得的资质有:国家信息安全服务二级资质;涉及国家秘密的计算机信息系统集成甲级资质;ISO9001:2008质量管理体系认证、深圳市重点软件企业;计算机信息系统集成二级资质、商用密码产品定点生产与销售单位。

公司获得荣誉有:四川省科技进步二等奖、国家火炬计划项目证书、国家重点新产品证书、奥运政务网络和信息安全优秀服务企业、铁道科技奖励证书、知识产权优势企业、国家“863”立项支持单位。

永达安全管理与控制平台是永达SOC安全体系中的核心,是信息安全的数据中心和分析决策中枢,汇聚并分析信息系统中安全事件,制定并分发安全策略,实现信息系统安全风险集中管理、监控。

信息服务安全范文6

论文关键词:政府;信息安全;信息安全人事管理

随着我国信息化建设的不断推进以及电子政务的持续发展,政府信息安全事故也频频发生。

资料表明,七成以上的政府信息安全事故是由政府内部相关工作人员引发的。可见,在信息安全事件中起决定作用的是人,人是信息安全保障T作中最活跃的因素。信息安全人事管理是指以现代人力资源管理理论为基础,从招聘选拔、人员培训、人员使用、绩效考核、人员激励、离职管理等主要职能人手,对组织中信息安全人员进行科学管理、合理配置和有效开发,籍以实现组织信息安全管理目标的活动。信息安全人事管理是信息安全管理的核心。作为信息安全保障的一个关键要素,信息安全人事管理的强化实施可以为政府搭建起一道牢固的“人力防火墙”。本文将现代人力资源管理相关理论与信息安全工作特点结合起来,发掘与提炼信息安全人事管理各主要职能具有特殊性与规律性的实务要点,以期为有关方面提供借鉴和参考。

一、信息安全人员招募与选拔

招募与选拔是政府信息安全人员的“入口”,直接影响到信息安全工作的质量和效率。信息安全人员的招募与选拔实务应该把握以下要点:

1.从招募与选拔的标准上看,突出对个人品德及专业知识的要求。信息安全工作具有保密性、综合性、层次性和规范性等特点,进而决定了信息安全从业人员具有诸多特殊性及要求:他们在工作中会接触到关系国家及组织荣辱兴衰、生死存亡的大量秘密,保守秘密是他们的基本职业道德;他们必须不断学习,对自己的知识与能力进行“升级”,才能适应信息时代信息安全工作的需要;他们必须遵守更多的规定,而且在组织中具有明确的职责,不能越雷池半步。这些都表明,信息安全人员必须具有更高的品德修养。这对应聘者提出更高的标准及要求:必须具有很强的组织纪律性和保密意识;具有很强的团队意识和合作精神,愿意为组织利益牺牲个人利益;具有长远眼光和接纳新事物的胸怀,不断更新自身素质。组织可以通过面试、心理测验、背景审查等选拔方式考察应聘者的德行。此外,管理与技术是做好信息安全工作的两大法宝,因此是否具备一定的信息安全管理与技术专业知识是信息安全人员招聘的另外一个主要标准。组织可以通过笔试来考察应聘者专业知识掌握的程度,并根据职位的不同定位来确定不同的考察重点。

2.从招募的途径上看,在内部招募和外部招募相结合的基础上,突出内部招募。内部招募是指从组织内部发现并培养所需要的各种人才,其方式包括内部晋升、岗位轮换和返聘等;外部招募是指按照一定的标准和程序,从组织外部的众多候选人中挑选符合空缺职位要求的人员,其方式包括人才招聘会与校园招聘等。内部招募和外部招募各有优劣,两者结合起来可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人员招募一般突出依赖内部招募,这主要是为了人员安全可靠的考虑,确保信息安全人员的稳定性。信息安全关键或领导职位出现空缺尤为如此。不过,由于当前我国政府信息安全人才仍旧匮乏,所以当内部招募满足不了组织用人需求时也适当考虑外部招募。招募非关键性信息安全人员时尤为如此。

3.从选拔的过程上看,尤为重视背景审查和保密协议签订两个环节。一般单位选拔人员可能也进行背景审查,但不一定是必须的,或者审查的过程与结果不一定非常严格与仔细。与之不同的是,信息安全人员的选拔尤为重视背景审查这个环节。该环节不仅不可或缺,而且在审查的时间、内容、过程、结果等方面比一般人员审查有更高的要求。其意义在于保证信息安全人员招聘的准确性与可靠性,并在“人口”或“源头”上控制信息安全人事风险。例如,美国中央情报局联邦调查局等部门在选拔关键涉密人员过程中经常采用“心理测谎术”等高科技手段来对候选人进行审查,以确定候选人的诚实度、心理健康度或意志力等。此外,一旦候选人接受了工作,录用合同就成为重要的安全手段。在合同中,组织可以将“政策认可”作为招聘的一个基本要求即在合同中附上一个保密协议,要求候选人在将来的工作甚至离职后的一段时间中,必须遵守组织相关保密规定,担负起保障组织信息安全的责任,否则就会

二、信息安全人员培训

信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括:

1.从培训原则看,坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作,特别是对于培训内容、时间和地点等,不可随意泄露,以免引起不必要的麻烦。此外,适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则,才能使信息安全人员跟踪本领域科技发展最新动态,掌握最先进的知识与技能,以防止思想观念陈旧与知识技能老化。

2.从培训内容看,侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终,但是工作时间越长员工大多会出现倦怠,信息安全意识便会降低逐渐放松警惕,信息安全风险随之倍增,所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传,包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上,在这些物体上印制上安全标语,用来提醒员工注意安全如在鼠标垫上印上“BeSafe:Think BethreYouClick”,使信息安全人员在每天工作时都最先考虑信息安全,树立自觉维护信息安全的意识。此外,信息安全行业的综合性使得组织必须根据学用一致的原则,加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术,使其掌握信息安全的基本原理、要求和惯例,才能提高其技术与管理水平。

三、信息安全人员使用

信息安全人员使用是指组织通过各种人事政策,促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等,以保障组织信息安全。信息安全人员使用实务要点是:

1.坚持责任分离和可监控原则。责任分离是一种控制机制,用来减少一个人破坏信息安全,

威胁到信息的机密性、完整性和可用性的机会。其具体要求是:(1)明确信息安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)避免一个人从事某项信息安全行为或保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核;(5)重要的任务有两人以上共同完成。此外,可监控原则是对责任分离原则的量化,使组织能够对信息安全人员的工作内容进行监督,进行明确的审查。其具体要求包括:每位员工对所有的相关操作做好记录,以便核查;重要的更改活动如更改配置,更新信息系统等,必须按层级权限申报,获得批准后方可实施;没有日期、没有内容、没有人签署而无法追查的活动,必须严格禁止。而且,由于员工非工作时间的种种表现也会影响信息安全,因此除了对员工在工作时间的表现进行监督,还必须掌握其非工作时间的一些异常表现。

2.防范信息安全人事风险。信息安全人事风险是指由于组织内信息安全人员的行为偏离组织期望和目标或违背客观规律、越轨等给组织信息安全造成的损失或危害。它主要是由于信息安全人员的使用不当而导致破坏计算机系统、越权处理公务等所造成的危害。人是信息安全中最活跃的因素,因此预防由人为因素导致的信息安全风险是信息安全人事风险防范的重中之重。政府可以采取以下措施防范信息安全人事风险:首先通过培训等方式,提高信息安全人员对信息安全人事风险的认识,增强防范意识;其次,健全人事管理周边制度,如督察制度、处理与反馈制度、惩罚制度、反馈制度等,以实现对信息安全人事风险的全过程监控。第,大力建设以人为本、诚实守信等有利于防范人事风险的文化氛围,提高信息安全人员的免疫力。

四、信息安全人员绩效考核

信息安全人员绩效考核是指按照事先确定的信息安全工作目标及衡量标准,考察信息安全人员实际完成工作情况的过程。绩效考核的结果是组织进行人事决策的基本依据。信息安全人员绩效考核是确保人员安全的有效手段,并可以帮助员工提高工作绩效,促进员工和组织共同发展。它包括以下实务要点:

1.从绩效考核的原则上看,坚持重点考核与分级分类考核相结合。重点考核是指对于那些涉密程度深、安全等级高的关键岗位的人员定期进行考核。其目的在于保证重点岗位的重要信息安全。分级分类考核是按照组织中对于安全保护等级的划分,制定不同的考核方法,有针对性地进行考核。2007年我国台的《信息安全等级保护管理办法》将信息安全分五级防护:第一级为自主保护级,第二级为指导保护级,第级为监督保护级,第四级为强制保护级,第五级为专控保护级。很明显,处于不同等级中的信息安全人员的职责与涉密程度是不一样的,加上不同岗位上不同类型的人员,如系统主管人员、数据录入人员、程序员等职责和要求也不同,冈此有必要遵循分级分类原则,避免“一刀切”的做法。

受到处罚。候选人只有在保密协议上签字,承诺遵守相关政策,组织才能录用。

二、信息安全人员培训

信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括:

1.从培训原则看,坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作,特别是对于培训内容、时间和地点等,不可随意泄露,以免引起不必要的麻烦。此外,适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则,才能使信息安全人员跟踪本领域科技发展最新动态,掌握最先进的知识与技能,以防止思想观念陈旧与知识技能老化。

2.从培训内容看,侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终,但是工作时间越长员工大多会出现倦怠,信息安全意识便会降低逐渐放松警惕,信息安全风险随之倍增,所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传,包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上,在这些物体上印制上安全标语,用来提醒员工注意安全如在鼠标垫上印上“BeSafe:Think BethreYouClick”,使信息安全人员在每天工作时都最先考虑信息安全,树立自觉维护信息安全的意识。此外,信息安全行业的综合性使得组织必须根据学用一致的原则,加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术,使其掌握信息安全的基本原理、要求和惯例,才能提高其技术与管理水平。

三、信息安全人员使用

信息安全人员使用是指组织通过各种人事政策,促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等,以保障组织信息安全。信息安全人员使用实务要点是:

1.坚持责任分离和可监控原则。责任分离是一种控制机制,用来减少一个人破坏信息安全,

威胁到信息的机密性、完整性和可用性的机会。其具体要求是:(1)明确信息安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)避免一个人从事某项信息安全行为或保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核;(5)重要的任务有两人以上共同完成。此外,可监控原则是对责任分离原则的量化,使组织能够对信息安全人员的工作内容进行监督,进行明确的审查。其具体要求包括:每位员工对所有的相关操作做好记录,以便核查;重要的更改活动如更改配置,更新信息系统等,必须按层级权限申报,获得批准后方可实施;没有日期、没有内容、没有人签署而无法追查的活动,必须严格禁止。而且,由于员工非工作时间的种种表现也会影响信息安全,因此除了对员工在工作时间的表现进行监督,还必须掌握其非工作时间的一些异常表现。

2.防范信息安全人事风险。信息安全人事风险是指由于组织内信息安全人员的行为偏离组织期望和目标或违背客观规律、越轨等给组织信息安全造成的损失或危害。它主要是由于信息安全人员的使用不当而导致破坏计算机系统、越权处理公务等所造成的危害。人是信息安全中最活跃的因素,因此预防由人为因素导致的信息安全风险是信息安全人事风险防范的重中之重。政府可以采取以下措施防范信息安全人事风险:首先通过培训等方式,提高信息安全人员对信息安全人事风险的认识,增强防范意识;其次,健全人事管理周边制度,如督察制度、处理与反馈制度、惩罚制度、反馈制度等,以实现对信息安全人事风险的全过程监控。第,大力建设以人为本、诚实守信等有利于防范人事风险的文化氛围,提高信息安全人员的免疫力。

四、信息安全人员绩效考核

信息安全人员绩效考核是指按照事先确定的信息安全工作目标及衡量标准,考察信息安全人员实际完成工作情况的过程。绩效考核的结果是组织进行人事决策的基本依据。信息安全人员绩效考核是确保人员安全的有效手段,并可以帮助员工提高工作绩效,促进员工和组织共同发展。它包括以下实务要点:

1.从绩效考核的原则上看,坚持重点考核与分级分类考核相结合。重点考核是指对于那些涉密程度深、安全等级高的关键岗位的人员定期进行考核。其目的在于保证重点岗位的重要信息安全。分级分类考核是按照组织中对于安全保护等级的划分,制定不同的考核方法,有针对性地进行考核。2007年我国台的《信息安全等级保护管理办法》将信息安全分五级防护:第一级为自主保护级,第二级为指导保护级,第级为监督保护级,第四级为强制保护级,第五级为专控保护级。很明显,处于不同等级中的信息安全人员的职责与涉密程度是不一样的,加上不同岗位上不同类型的人员,如系统主管人员、数据录入人员、程序员等职责和要求也不同,冈此有必要遵循分级分类原则,避免“一刀切”的做法。

2.从绩效考核的内容上看,突出考核信息安全人员的道德品质与工作事故情况,而且不仅考核工作时间内的表现,也考核工作时间外的表现。一般的组织在员工进行绩效考核时,多依据“事后”的工作结果及业绩,业绩高则评价高,业绩低则评价低。但是信息安全这一行业具有其特殊性,单纯以“事后”的结果与业绩作为考核标准,难免会在组织内出现业绩高、品德低以及不重视过程的人员,进而存组织内埋下安全隐患,因此应突出考核信息安全人员在工作过程中所表现出来的道德品质、心理素质、忠诚度等。这些素质是一个人的行为指向标,决定一个人的行为方向,其一般标准是责任心强、遵守职业道德、具有进取精神、作风正派、遵纪守法等。而且,由于信息安全工作对安全性要求明显,冈此还要突出考核信息安全人员存工作过程中是否能恪尽职守,有无工作事故的发生。另外,必须通过日常考核掌握信息安全工作人员工作时间外的表现,包括是否存在随便与人交往问题,家庭关系是否和谐,生活作风是否正常,以及非工作行为是否怪异等等。

3.从绩效考核的期间看,以平时考核为主。信息安全人员的工作由于涉及到安全问题,因此不能像一般丁作人员那样以年终考核为主,而应突出平时考核以实现日常监控,并达到天天、时时、秒秒不安全问题。基于此,信息安全人员绩效考核可实施“月考”、“周考”,甚至“日考”,可以说,考核时间越短越有利于确保安全。安全问题无小事,若不重视平时考核,由此引发的哪怕是一眨眼功夫发生的事故,也有可能导致组织在安全上“功亏一篑”、“全盘皆输”。考核周期短虽然做起来麻烦,但“安全问题高于一切”,只要有利于保障信息安全,工作上“麻烦”一点是值得的。

五、信息安全人员激励

信息安全人员激励的关键是调动工作积极性,激发信息安全人员的潜能去实现工作目标,实务要点包括:

1.重视满足归属、人际交往与尊重的需要。内容型激励理论认为,组织满足员工的归属、人际交往与尊重等需要可以激励员工努力工作。而信息安全人员,特别是关键涉密人员的工作基本上是单调、枯燥、责任重大的,他们经常需要长时间值班或加班,长期处于全封闭或半封闭式的环境中,在单位及花在工作上的时间要比常人多得多,生活及社交空间相对狭小,所以组织更要设法满足其归属、人际交往与尊重的需要,而这主要依靠在单位及岗位上与领导或同事之间的相互沟通与关爱中得以实现。因此,组织必须创设关系融洽、和谐的工作氛围,建立良好的上下级与同事关系,多关心、爱护、支持信息安全人员,以满足他们归属等需要,激发他们的工作积极性。

2.强化目标激励。过程型激励理论认为,明确而可行的工作目标可以牵引员工积极付出行动以实现目标。由于信息安全工作责任重、压力大,同时又相对封闭与单调,容易导致信息安全人员产生工作倦怠和目标迷失等不良现象,进而影响到他们职业发展与组织目标的实现。对此,应帮助信息安全人员树立合理可行的工作目标,特别要通过引导他们认识到自己所从事工作的光荣与神圣,进而激励他们努力干好信息安全工作,以此获得职业发展与心理满足等。

六、信息安全人员离职管理