前言:中文期刊网精心挑选了信息安全应急管理制度范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全应急管理制度范文1
关键词:企业档案信息安全风险识别风险控制
企业档案是企业知识资产和信息资源的重要组成部分,[1]是企业各方面活动的真实记录,对企业市场活力提升、制度改革和文化建设等有至关重要作用。企业档案信息安全管理是企业安全管理的重要组成部分,提前识别企业档案信息管理存在的安全风险,有利于采取有效控制手段规避风险,促进企业档案安全管理建设,防患于未然。本文以H企业为例,在调研基础上探讨企业档案信息存在的安全风险及控制手段。
一、H企业概况
H企业成立于2013年,主要经营金融板块、产业发展板块、城市功能性设施板块和出资人板块等四大业务板块,是战略性投资的融资平台和产业项目、城市功能性项目的先行战略投资者。[2]随着公司的发展壮大,档案数量呈现指数级增长趋势。H企业档案工作实行二级管理制,第一级管理是指由公司综合部负责统筹管理全公司的文书档案工作,第二级管理是指各部门负责本部门的档案资料使用管理工作。综合部的档案按文书、科技、财务、人事、声像、实体6种档案类别进行分类整理,公司用OA系统对电子文件进行日常管理,将部分重要的纸质档案进行数字化扫描,加以保存。
二、企业档案信息安全风险要素识别
企业档案信息安全风险要素识别是对企业档案信息安全管理工作中存在的薄弱环节进行确认。[3]在对H企业调研的基础上,将其所面临的企业档案信息安全风险要素划分为组织风险要素、人员风险要素与技术风险要素。
(一)组织风险要素
一是,企业重视程度低。企业档案信息效益的产生具有隐蔽性和延迟性,隐蔽性即档案部门投入清晰性和收益模糊性之间的矛盾,延迟性即档案工作的效益要在很长一段时间后才可能显现。[4]企业档案信息无法快速创造经济效益的特点使企业对其重视程度较低,档案信息安全管理投入的资金、人力较少。以H企业为例,文书档案工作人员仅一人且为兼管人员,档案管理投入资金少,专门存放档案的档案柜和档案安全管理设备至今尚未配备,档案信息安全管理专业技术人员、设施设备的缺乏给企业档案信息安全带来了巨大风险。
二是,档案安全管理制度缺失。企业迫切需要的档案安全开发、利用及电子文件长期保存等相关标准尚未制定,且存在与企业档案工作实际相脱节的情况。[5]以H企业为例,企业成立至今已4年,但尚未建立健全的档案安全管理制度体系。面对企业档案数量剧增与档案安全管理制度缺失之间的尖锐矛盾,企业档案工作者在处理文档工作时无章可循,业务工作缺乏规范性,企业档案信息安全管理工作缺乏制度的监督约束,档案信息安全缺口随之扩大。
(二)人员风险要素
企业档案管理岗位人员流动性大是造成档案泄密的主要原因。档案工作者的信息安全意识和素质水平会直接影响档案信息的安全。[6]以H企業为例,专职人员自2013年来更换了4人,企业档案管理岗位人员可直接接触记录企业生产经营、战略发展及科研技术等重要档案信息,随着企业人员离职跳槽向其他公司、行业流动,这部分涉及原企业商业机密的档案信息极可能随之外泄。
企业员工档案安全管理意识弱也会带来安全风险。譬如,各部门档案收集移交不及时,会对企业档案信息的完整性带来风险;各部门在档案整理、利用中造成档案载体损毁对企业档案信息的可用性带来风险;企业人员出于自身利益篡改档案信息内容,给企业档案信息的真实性带来风险等。
(三)技术风险要素
一是,信息系统及硬件故障。信息系统不稳定会导致档案信息数据丢失与损坏,硬件设施故障也会给档案信息安全带来风险。以H企业为例,公司日常行文均通过OA系统实现,OA系统中流转大量企业管理信息,H企业的OA系统分别于2015年8月及2016年3月出现异常引起系统崩溃,导致部分企业信息数据丢失且无法恢复。
二是,电子文件安全保障技术不成熟。如何保证企业档案系统中电子档案的安全,是现阶段企业档案安全管理的重难点。企业电子文件信息安全保障技术不成熟,会危及电子文件安全和正常运用。一旦系统遭遇病毒、黑客侵扰或信息载体物理损伤、外围设备技术障碍等,都会给电子文件带来无可挽回的损失。
三、企业档案信息安全风险控制对策
(一)从制度层面进行控制
1.企业档案信息安全管理制度的建立健全。健全的企业档案信息安全管理制度应包括以下几个方面:一是,企业档案日常安全管理制度,如档案保密制度、档案安全检查制度和档案安全追责制度等,明确企业各部门、人员的职责,建立档案信息安全管理的长效机制;二是,企业电子文件安全管理制度,确保电子档案信息存储、读取、利用过程的安全可靠;三是,应急响应制度,建立档案信息安全应急预案,提高企业档案管理部门应对自然灾害及突发事件的能力;四是,应急处理制度,对企业档案信息安全风险发生后,能在第一时间采取相应措施进行处理,将风险损失降至最低。
2.企业档案信息安全管理制度的适用。以企业档案信息安全管理制度的适用来实现对档案信息安全风险控制,主要从以下两个方面着手:一方面,不同企业形成的档案信息各有特点,安全保障要求各有不同,企业应根据本单位档案信息安全保障的实际需求,制定符合本企业特点与需求的档案信息安全管理制度。另一方面,企业档案信息安全风险要素具有动态性,企业档案信息安全管理制度应随着新技术、新风险的出现不断完善和更新,保证档案信息安全管理制度在多变的信息安全风险环境中的适用性。
3.企业档案信息安全管理制度的执行。档案工作者是规章制度的执行者,执行力度的大小关系到档案安全管理工作水平。[7]首先,企业应严格要求档案工作者照章管理档案,自上而下确保档案信息安全管理制度的执行,将制度的执行纳入企业管理运行程序,将公司档案管理纳入制度化轨道。其次,企业管理层要监督企业档案信息安全管理制度的执行情况,将制度的执行与员工绩效考核挂钩,定期对制度的执行情况进行评估并根据评估结果进行相应的奖惩。
(二)从管理层面进行控制
1.分级管理。分级管理即对企业档案信息和风险控制消减等工作进行安全等级评定,以最少的成本投入获得最大的档案信息安全保障效果。企业可根据档案信息对企业生产发展作用价值大小、涉密与否来划分重点档案和普通档案。企业档案中涉及企业商业机密,记录企业核心竞争力信息的这部分档案是企业发展的重要战略资源,如企业的项目档案、科技档案、客户资料以及反映企业发展历程的重大事件相关档案等,可划分为重点档案,其余日常业务工作中形成的文书档案等可划分为普通档案。在对所有档案进行安全管理的同时,对重点档案信息的安全进行重点监控,不同重要等级的档案进行分级管理。
2.人员管理。通过人员管理来控制企业档案信息安全风险的方式有:第一,倡导员工终身学习,针对企业档案信息安全内涵的拓展、风险要素的类型、应对风险的技术等内容定期开展档案信息安全管理培训,丰富企业员工档案信息安全保护理论知识,提高档案信息安全保护技能水平。第二,注重对企业员工职业道德的培养,使守护企业档案信息安全,严守企业档案机密信息的岗位职责内化为员工的职业道德。第三,注重企业文化的建设,培养员工对企业的认同感和归属感,减少因员工离职或跳槽而造成企业机密档案信息泄露。
3.动态管理。企业档案信息安全是企业生产经营安全的重要组成部分,伴随企业生存发展的始终。[8]档案安全管理面临的各类风险要素中,每种要素都处于不断变化之中,某一要素的变化会引起其他要素的联动变化。[9]因此企业应对档案信息安全实施动态管理,即随着新的风险点的产生,相应的保护方案、制度也应随之保持动态发展。此外,动态管理还体现在与外界的动态关联上,企业要与外部社会环境保持良好沟通联系,及时掌握档案信息风险变化的新动态。
(三)从技术层面进行控制
1.档案信息安全技术的应用。信息安全技术指用于保障信息、信息系统和网络安全的技术。[10]档案信息安全技术是电子档案信息安全的有力保障,企业可针对不同安全属性的档案信息采用不同的信息安全技术。在数据安全技术、网络安全技术和档案管理系统用户安全技术等方面强化保护措施,运用信息技术提高企业档案工作效率的同时,也保证企业档案信息的安全。
2.档案信息安全技术的更新。档案信息安全建设是基础性的长期工作,构建全面、能力可持续增长的安全防御体系才能保证档案信息系统的长期安全稳定运行。[11]档案信息安全技术是不断发展的,企业应及时了解和掌握最新的计算机病毒、黑客技术等档案信息存在的潜在风险,关注信息技术的更新动态,确保企业应用的档案信息安全技术与时俱进,为企业档案信息安全保驾护航。
四、结论
企业档案信息安全是企业生产经营安全的重要组成部分,伴随企业生存发展的始终。人员风险要素、组织风险要素与技术风险要素三者综合构成威胁企业档案信息安全的风险要素,为保障企业档案信息安全必须从管理、制度、技术三个层面三管齐下对这些风险要素进行有效控制,深入贯彻“预防为主,防治结合”的方针,保障企业档案信息安全无虞,让企业档案信息更好地服务于企业的发展。
参考文献:
[1]DA/T 42—2009.企业档案工作规范[S].
[2]中国—马来西亚钦州产业园区工管委办公室.中国—马来西亚钦州产业园区简介[EB/OL].[2017-11-01].http://qip.gov.cn/News/Detail/d3ad5db6- 9c0e- 435aa290-9f91a75beecc.
[3]张霞.档案安全风险评价指标的建立及其实现[J].青海师范大学学报(哲学社会科学版),2014(2):165-167.
[4]冯惠玲,张辑哲.档案学概论[M].北京:中国人民大学出版社,2006:107-108.
[5]康旭冉.企业档案安全保障体系建设研究[D].河北大学,2014:6.
[6]宗文萍.基于价值链理论的档案信息安全管理[J].档案学研究,2015(1):34-36.
[7][9]张锦云,秦垒.基于动态风险评估视角的档案安全管理研究[J].浙江档案,2017(2):11-13.
[8]吴绪成.企业档案信息安全策略简论[J].中国档案, 2012(4):62.
[10]聶云霞,张加欣,甘敏.信息生态视域下数字档案用户信息安全保障系统构建研究[J].档案学研究,2017(1): 66-72.
信息安全应急管理制度范文2
(一)基层央行的信息安全工作的内容
央行作为国家政府和大众认可的组织机构有着其他任何银行不具有的功能,央行调控其他社会上各个银行的借贷比例,调控市场上的资金数量,而且具有发行资金货币的功能,为保证其他银行的正常运营和管理,所有银行都需要向中央银行定期缴纳存款保证金,在其他各个银行发生资金危机时候可以向央行借贷资金。基层央行是央行在各个地方的分支机构,具有执行和监管央行工作实施情况的基本功能。
(二)基层央行的信息安全管理工作开展的意义
在日常的生活和工作过程中,并不是人人都是理财管理专家,社会大众对于劳动得到的财富的管理和控制远远不够,在这样的情况下银行就成为人们储存各种财富资金的主要地方。大众把自己的资金存入银行,银行拥有这些资金可以用于社会生产制造,为大众和社会发展创造收益,银行定期向大众返还利息,因此,银行的信息安全管理工作也是大众最关心的问题。基层央行作为信息安全管理的基层支持者,信息安全管理工作的效率决定了社会大众的财产安全,同时也决定了社会财务的安全,这对于社会发展和社会财务的管理有着重要的意义,尤其是社会财富的安全,基层央行必须要保证信息的安全,银行的工作人员要遵守自己的职业规定和职业道德,不泄露他人的银行信息和资金信息。做好信息安全工作对于维持社会稳定,保证社会财富的安全性,提高社会管理职能和效率都有非常重要的实际价值和意义。
二、基层央行信息安全管理工作存在的问题
基层央行的信息安全管理工作的效率和成果一直是社会和政府关注的重点,也是大众最关注的银行管理问题。尽管随着科学技术的发展和进步,基层央行的信息安全管理的技术和方法都已经得到了相当大的改善,但是不可否认的是,在这个过程中基层央行的信息安全管理工作仍然还存在着很多的问题,这些问题的存在给基层央行的信息安全管理带来了一定的影响,同时也给大众的资金、财产安全带来了威胁,以下主要针对基层央行信息安全管理存在的问题展开详细的分析和研究。
(一)基层央行信息安全管理工作人员的信息安全管理意识有待提高
基层央行的信息安全管理的工作人员是保证基层央行所有信息安全最直接的工作人员,所有的信息安全管理工作都必须要由他们来掌控,但是结合当下的实际基层央行的信息安全管理工作现状可以看出,基层央行的信息安全管理工作人员在银行信息管理和信息安全方面没有认真端正自己的思想,管理意识不够强,在实际的工作中并没有采取应有的严谨工作态度,实际上这主要是由于银行的管理疏忽造成的。如果银行能够加强对这些信息安全管理工作人员的监管力度,提升他们的工作能力和个人素质,这样的问题就可以避免,但是如果基层央行在管理过程中意识不到这个问题的严重性,这些信息安全管理的工作人员就很有可能会由于自身的原因导致银行的安全信息泄露,给银行和银行客户的安全造成严重的后果。
(二)基层央行的信息安全管理配备的科学技术人员不够科学、合理
实际上基层央行的信息安全管理需要的不仅仅是人工操作,更需要的是科学技术人员的配合,因为在实际的基层央行信息安全管理过程中需要用到很多的电子设备,大多数银行以及客户信息都需要通过这些设备智能化地存储和记忆,因此这些设备的研发和操作人员就是整个基层央行信息安全管理工作的核心,这些技术人员的分配以及工作效率都会影响到实际的基层央行信息安全管理工作的开展效率。从目前的基层央行信息安全管理工作现状可以看出,在实际的安全管理过程中存在的两个比较严重的问题:一是基层央行这样的科学技术人员非常欠缺,在某种程度上影响了基层央行的信息安全管理工作的顺利开展;二是基层央行的信息安全管理的方法和技术不到位,导致了在实际的安全管理操作过程中经常会出现失误,给基层央行的信息安全管理工作带来了非常大的影响。
(三)基层央行的信息安全管理制度
不完善管理制度是管理工作开展的基本条件,同时也是央行信息安全管理工作开展的必备条件。在实际的央行管理过程中,严格的管理制度是保障基层央行信息安全管理工作正常开展的根本。但是从目前的发展现状可以清楚地看出,基层央行的信息安全管理制度还不够完善,这在根本上影响了基层央行的信息安全管理工作的开展。从基本的制度设置和实施方面来说,造成这一问题的主要原因:一是基层央行的管理工作和管理意识不够达标,最终影响了制度的制定和实施,从而也影响了基层央行的信息安全管理工作的开展;二是制度制定者对于基层央行的信息安全管理工作的内容以及工作的重要性没有一个科学合理的认识,最终影响了基层央行的安全管理和信息管理。因此制度的完善和执行情况必须要得到相关部门的重视,只有这样才能使得基层央行的信息安全管理工作效率有所保证。
(四)基层央行的信息安全管理系统应急措施不完善
基层央行的信息安全管理应急系统主要是为了保证在发生突发的央行安全信息泄露或者重大信息安全问题时,及时对这些问题进行处理,挽救过失,并将对社会和大众的影响和损失降到最低的一个系统。可以说,应急系统是保证央行信息安全管理的最重要系统,但是结合当下的实际情况看,基层央行信息安全管理系统的应急措施并不能满足实际的需求,而且还有可能会在关键时刻失去原有的功能和作用。因此在实际的应用和发展过程中,必须要着重提升其功能和使用效率,使之能够更好地为央行的信息安全管理工作服务,更好地为保证社会安全和大众资金安全服务。
(五)对基层央行的信息安全管理的监管不到位
基层央行作为社会和大众财富的集中地,社会和大众应对其工作具有较强的监管能力,但是在实际的应用过程中,社会大众并没有行使其基本的权力,没有对基层央行的工作,尤其是基层央行的信息安全管理工作进行监管。社会相关部门尽管对基层央行的工作进行了监管和控制,但是在监管的过程中并没有按照实际的监管要求对这些基层央行的管理工作内容和执行情况进行监管,并且过于注重形式,没有实际的工作。因此对基层央行信息安全的管理应是基层央行在未来的工作中必须要解决和完善的地方。
三、提升基层银行信息安全管理工作效率的方法和措施
通过以上对基层央行信息安全管理过程中存在的问题的分析和讨论可以看出,基层央行信息安全管理工作确实存在很多问题,解决这些问题不仅是社会发展的需求,同时也是大众对于其财产安全管理的需求。以下主要针对提升基层央行的信息安全管理效率的方法和措施展开详细的分析和研究。
(一)提升基层央行信息安全管理工作人员的安全管理意识
提升基层央行信息安全管理工作人员的安全管理意识需要央行提高自己的管理意识、危机意识和安全意识。基层央行的管理者需要在实际管理工作中做到:严格要求基层央行的信息安全管理工作者,使得他们在实际的工作过程中严格要求自己,严格按照工作要求和工作制度标准开展工作,这样就可以有效避免由于工作人员的操作失误给整个基层央行的信息安全管理工作带来影响;另外就是基层央行在对信息安全管理工作者进行工作考核时必须要按照严格的要求,将其对信息安全管理工作的态度以及工作状况加入到实际的考核中去,这样不仅可以激励员工更加积极地对待工作,而且也可以提升工作效率;最重要的就是基层央行在招聘这些信息安全管理工作人员时,应该要提升对这些人员的要求和资格审查,这是从根本上提升基层央行信息安全管理工作安全性和工作效率的最佳措施。总的来说,提升基层央行信息安全管理工作人员的安全管理意识是基层央行在管理过程中的基本需求,同时也是最重要的管理目标之一。
(二)提升基层央行信息安全管理的科学技术人员配备的科学化和合理化
基层央行信息安全管理的科技人员配备的合理化和科学化是保证银行的各项科学技术工作更好地发展和完善的基础。最基本的条件之一就是必须要保证这些科学技术人员的配备能够满足实际的信息安全管理需要,保证当信息安全管理工作人员需要这些技术人员的配合和帮助时,技术人员能够以最快的速度达到,对存在的问题进行处理和解决,这是对基层央行技术人员配备的基本要求。
(三)完善基层央行的信息安全管理制度、提升管理制度的执行效率
完善基层央行信息安全管理制度要求基层央行在制度制定过程中,按照实际的信息安全管理需求设定相关制度,并以适合央行实际管理及信息安全,提升央行信息的安全性为基本要求和标准,提升管理制度的执行效率。
(四)提高基层央行的信息安全管理系统的应急处理能力和监管
提高基层央行应对紧急情况的信息安全管理系统问题要求基层央行的员工必须要对自己的工作内容非常熟悉,在发生紧急情况时候能够及时找到问题产生的原因,并及时采取措施,尤其是在发生恶性的信息泄露和信息安全问题时,能够及时进行处理。提高基层央行信息安全管理系统应急处理能力要求基层央行定期地对自己的员工进行培训,使他们能够对自己的工作流程和工作内容充分地了解,央行也可以通过提升对这些工作人员的要求来达到相应的目标,但是总的来说,提升基层央行信息安全管理系统的应急处理能力是基层央行必须要改善和提升的一个问题。与此同时,加强对基层央行的监管力度对于保证基层央行信息安全管理的规范性和科学性具有非常重要的意义。
四、小结
信息安全应急管理制度范文3
措施
信息化应急预案齐备,应急演练全面落实。5月31日之前,市局和各分局共制定奥运信息安全总体预案20个,机房、网络、网站、重要应用系统等专项预案78个。奥运会之前,市局及各区县分局都组织了信息安全应急演练,提升了全系统处置突发事件的能力。
严防死守,24小时值班。自7月20日起,市区两级信息化部门进入奥运实战状态,每日投入24小时值守人员超过40人。截至9月20日,累计值守超过2300人日,形成了一支7×24小时在岗值守的应急队伍,快速处理网络事故4次,突发事件3次。
加强巡检,保证设备设施运行状态良好。7月20日至9月20日,各级信息化部门完成机房巡检1900余次,完成重要设备设施巡检140余次,维修维护服务器设备21台次,维修维护PC机及打印机1973台次。
加大信息安全投入,信息安全整体水平全面提高。据不完全统计,今年以来,全系统在信息安全专项建设方面投入超过210万元,其中市局投入近120万元,全面加强了中心机房、IDC托管机房、核心网络、“北京工商”网站、防病毒和客户端设备安全防范水平。
经验
奥运期间信息安全保障的成功经验,主要体现在以下三个方面:
(一)立足全面,核心是健全和落实各项制度。虽然,这几年,在口令管理、数据管理、设备管理、网站安全等各方面先后制定了相应的制度。但是08北京奥运会给今年的信息安全保障工作提出了更高的要求,针对这一特殊情况,市局及时采取相应措施,健全和完善各项信息安全管理制度。一是下发了《北京市工商局关于加强信息安全保密工作的通知》,结合各分局实际情况进一步细化了相关制度要求。二是制定市局及各分局的奥运信息安全总体预案和专项预案。三是实行奥运期间24小时值守制度。
(二)突出重点,根本上控制风险。在信息风险控制上,提出了“重点先行,控制风险”的信息安全保障原则,将机房、网络、网站、重要应用系统(登记注册、食品安全、食品追溯、企业信用)列入重点保障范围,对市局中心机房和IDC托管机房进行了专项改造,提高其环境运行水平和网络保障能力。加强网络的安全监管。完成重要业务系统的安全定级、风险评估和整改加固。“七管其下”加强“北京工商”网站和“首都食品安全”网站的安全防护能力。在奥运前“北京工商”网站全面改版,网站安全具备坚实的底层环境。整合分局二级站点,纳入市局整体监控。部署多项主动安全防护产品。首次使用网页防篡改产品。后台登录集成CA电子证书认证。我们在后台集成了CA电子证书(USB Key)登录验证技术,给每个内容维护人员都配发一个硬件KEY,通过CA电子证书的硬件唯一性以及不可抵赖性,提高了信息安全,即使出现问题,也能够准确定位信息者。主动扫描网站漏洞并进行修补。在奥运期间,中心实行7x24小时值守制度,检查外网是否正常运行是值守的重要内容。同时还聘请第三方公司,由三名专人分三班,人工监控网站,每30分钟访问一次首页面和三十多个二级页面(包括整合后的分局页面)。如果发现无法访问或延迟访问或页面信息异常增减的情况,将立刻通过电话、短信和邮件的方式通知中心。
(三)注重细节,关键是严格程序,不留死角。信息安全工作是不允许有一丝马虎的。提高巡检频率,保证信息化设备始终处于良好的工作状态。加强信息安全演练,针对可能发生的信息安全事件进行反复推演,对每一个环节、细节进行测试,既验证了应急预案的可操作性,也提高了信息化队伍的实战水平。细化了对区县分局的业务指导。
启示
在全系统信息化部门的共同努力下,北京市的奥运信息安全保障工作圆满完成,实现了奥运和残奥期间零事故的目标。这得益于各项技术手段的实施,更得益于各项管理制度的落实。第一:“发展和安全并重”是搞好政府信息化建设的重要原则。对于现代化的首都工商来讲,计算机网络系统是生命线,保护工商业务和政务管理数据以及网络系统的正常运行,才能使工商行政管理工作得以持续不断地开展,因此信息和网络安全防范是信息化建设发展到一定阶段后的一个重要任务,要继续坚持“一手抓发展,一手抓安全”的电子政务建设思路。第二:加强信息安全预案和演练是做好信息安全工作的重要法宝。信息安全应急预案和演练制度要根据实际情况不断调整,实现常态化,作到更细、更实、更具操作性。第三:“大安全”是解决网络安全问题的根本手段。网络和信息安全涉及方方面面。不仅有技术因素,还包含管理因素;不仅包括硬件安全,还涉及软件安全;不仅要做好单一系统的安全,更重要的是实现整体安全。建设“大安全”,就是统一筹划全系统网络安全架构,建立包含网络物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全在内的整体安全体系。第四:引进外智,是提高信息安全水平的重要措施。这次奥运信息安全保障,通过与专业信息安全公司的合作,及时发现问题,弥补漏洞,极大地提高了工商系统信息安全防范和处置能力。今后,将继续探索这一方式,建立信息安全战略合作机制,引入专业信息安全机构通过咨询、建议、规划和方案实施等多种方式为工商系统信息安全工作提供长期、完整、全面、高效的技术和智力资源支持,在等级保护安全评估、安全加固、人才培养和日常维护等方面进行合作。
(作者:北京工商经济信息中心主任)
信息安全应急管理制度范文4
综合管理部:
2018年我行认真扎实开展信息科技各项工作,进一步完善了信息科技工作制度化和规范建设,逐化步增强信息科技在各项业务发展中的保障作用。现将全年信息科技工作情况总结如下:
一、继续加强网络与信息安全管理
保证网络与信息安全是科技信息工作中的重中之重,在上半年工作中,我行部署了一台H3C网络防火墙设备,有效保障我行内部业务网络与城域金融网之间信息传输的安全性。
二、建立健全信息安全管理体系,认真落实信息安全管理制度
没有规矩不成方圆,完善的制度是保证安全的基础,因此今年花费了大量的精力重新修订信息安全管理制度,补全各类规章制度,为我行的信息安全工作打下了良好的基础。
三、设备管理方面
1、加强现场设备巡检,及时消除设备隐患,确保设备良好运行。根据监管要求,我行加强了对业务设备的维护和管理,把原来制定的巡检制度、应急处置机制又进行了细化。对机房所属设备定时巡检,及时登记巡检情况,对发现的问题进行整改。同时,及时与设备厂家技术人员沟通,了解设备运行状况,发现问题积极协商解决。在发现重大问题上及时向上一级领导汇报,反映情况。
2、严把设备质量关。电子设备质量的好坏,直接影响到设备运转的稳定,影响到系统的稳定运行。作为科技人员,保证稳定是第一要务。无论是设备维护还是抢修,都要对设备仔细检查,对损坏设备积极查找原因,找出症结,及时解决,保证设备的稳定运行。
四、郭家店支行科技建设情况
在保证装修进度和安全的前提下,与各方面配合,保证郭家店支行网络建设质量。在支行装修过程中,加班加点,建设支行科技信息系统。
在配套项目建设方面,由科技信息组织和实施建设配套项目。包括机房建设、UPS供电系统、终端设备铺设、ATM移机安装、网络设备联调等,现已基本达到运行条件,为支行业务的开展打下了坚实基础。
五、工作的不足
在2018年一年的工作过程中,在以下几个方面还有待改进:
1、在设备管理方面,设备管理经验还不足,特别是设备管理制度、安全操作规程贯彻执行力度不够,有待加强和改进。
2、专业知识和技术水平有待提高。这些将会在以后的日子里通过努力学习、实践,不断的积累经验,在实践中来锻炼完善科技工作水平。
3、系统安全管理方面,牢固树立安全发展理念,“安全”两字要贯彻信息系统建设始终,“安全”就是要负责任,就是要三思而后行,就是要严格遵守规章制度,就是要每时每刻考虑到安全第一,做到预防为主。
六、下一步打算
1、要继续加强网络与信息安全管理,在终端管理,网络安全上狠下功夫,做到防患于未然。
2、要内部条件与外部环境相结合,进一步完善科技信息各项规章制度,特别是安全管理制度的执行落实情况。积极配合上级部门各项精神要求,要做到监管方面无遗漏,工作方面合规矩。
3、要加强设备档案管理,完善设备资产资料。通过对设备档案的检查,可对此设备的运行状况、损坏程度以及损坏的原因有一个深刻的认识,能及时调整对设备的运行条件和对设备的改进。保证设备档案也能及时反映出设备的使用情况,有利于对设备的管理。
4、加强设备巡检力度,及时发现问题并处理问题,做到安全第一,预防为主,保证设备正常稳定运行杜绝事故发生。
信息安全应急管理制度范文5
关键词:数字图书馆;网络信息安全;网络体系
DOIDOI:10.11907/rjdk.151166
中图分类号:TP309
文献标识码:A 文章编号:16727800(2015)006016703
作者简介作者简介:彭欢(1983-),男,湖北武汉人,硕士,中南民族大学图书馆助理实验师,研究方向为数字图书馆与网络安全。
0 引言
20世纪90年代以来,伴随着计算机技术和信息技术的发展,有“信息仓库”之称的图书馆,迈入了数字图书馆高速发展与建设期。目前,数字图书馆建设已经成为我国图书馆工作的重点,各图书馆都投入了大量的人力和财力[1]。同时,现代信息技术带来的网络信息安全问题,几乎无一例外地出现在数字图书馆中,并且在数字图书馆这个特定的领域表现出一些鲜明的特点。研究图书馆领域的网络信息安全问题并制定相关对策,成为数字图书馆建设的当务之急。
1 数字图书馆概述
1988年,美国学者伍尔夫(W.Wulf)首次提出了Digital Library这一概念[2]。在中国,数字图书馆这一概念则是在1996年北京召开的第62届国际图联(IFLA)大会上首次提出,IBM公司和清华大学图书馆联手展示了“IBM数字图书馆方案”。从此,数字图书馆进入到国家扶持和大规模研发阶段。21世纪初,国家重点科技项目“中国试验型数字图书馆”通过专家技术鉴定,预示着中国的数字图书馆研究、建设已经初具规模[3]。
目前,数字图书馆尚无一个业界公认的定义,但通过与传统图书馆的对比可以帮助人们更好地理解数字图书馆这一概念[4]。
从表1可以看出,数字图书馆具有如下基本特征:
(1)馆藏资源数字化。在信息载体上,传统图书馆完全依赖于纸质印刷的书刊、报纸等,数字图书馆则依托于电子书、声音、图像等多媒体数字资源;在存储方式上,传统图书馆需要大容量的物理馆藏空间,而数字图书馆则将数字资源存储在光盘、硬盘或者专业的存储服务器上[5]。
(2)服务推送方式网络化。传统图书馆以馆藏资源为中心,读者需要到图书馆查询和获取馆藏资源,接受图书馆的特定服务;而数字图书馆以读者为中心,根据读者的需求为读者定制个性化服务,读者足不出户就可以获取各种图书馆资源。
(3)管理方式高效化。包括对馆藏资源的管理、对读者享有的借阅权限的管理、对馆内各类馆员的权限管理等。这在传统图书馆时代完全依赖于人工、容易出错且不易控制和监督;而在数字图书馆时代,则可以借助专业的管理软件轻松完成,不易出错且便于监督。
2 数字图书馆网络信息安全现状
2.1 网络信息安全概念及特征
网络信息安全可以分为网络安全和信息安全两个层面,网络安全包含系统安全和应用服务安全;信息安全主要指数据安全,包含数据、加密、程序等。对于数字图书馆而言,网络信息安全尤为重要,它是数字图书馆提供优质、高效、连续服务的前提。网络信息安全根据其本质界定,具有以下几个特征[6]:
(1)完整性。信息在传输、存储、处理过程中保持原样性,这是网络信息安全最基本的安全特征。
(2)保密性。保密性指信息不泄漏给非授权人或实体。
(3)可用性。可用性指信息可以被授权实体正确访问,并按要求能正常访问或在非正常情况下能恢复使用的特征,即在系统正常运行时能正确存取所需信息,当系统遭受攻击或破坏时能迅速恢复并投入使用。
(4)可审查性。通信双方在交互过程中不能抵赖所做出的行为,也不能否认所接受到的对方的信息。
2.2 高校数字图书馆网络信息安全问题
文献[2]以30家各类数字图书馆作为样本,对我国数字图书馆的网络信息安全问题进行了详细调查。从调查结果来看,现阶段,我国数字图书馆无一例外地发生过网络信息安全事件,网络信息安全存在着诸多隐患[7]。
从发生的安全事件来看,我国数字图书馆存在的网络信息安全问题可分为内部安全风险和外部安全风险两个方面。
2.2.1 外部安全风险
外部安全风险主要有:
(1)黑客破坏。对于数字图书馆而言,黑客可以制造的危害主要体现在3个方面:①恶意破坏数字图书馆的信息管理系统。现代数字图书馆高度依赖信息管理系统,如果信息管理系统遭到恶意破坏,最严重的情况将是整个图书馆服务的瘫痪以及无法挽回的经济损失;②窃取数字图书馆所拥有的一些特色电子馆藏资源和花巨资购买的数据库资源。现代数字图书馆已经迈入了有偿商业化管理模式,正因为如此,这些有偿使用的信息资源就存在被黑客窃取的风险;③黑客利用非法手段来使用数字图书馆专享的网络资源。如果黑客控制了数字图书馆的网络系统,就可以不受任何限制的窃用数字图书馆精密的信息资源,严重危害数字图书馆的建设、维护和信息安全[8]。
(2)网络病毒。在数字图书馆时代,图书馆内部局域网与Internet之间的联系越来越紧密,使得图书馆的网络设备和服务器感染网络病毒的风险日益增加[9]。如果有网络设备或者服务器感染病毒,则数字图书馆的服务质量会大受影响;情况严重时,会造成数字图书馆的网络或服务器的瘫痪、网络信息服务无法开展,甚至会破坏图书馆信息管理系统,造成无法挽回的损失。
2.2.2 内部安全风险
内部安全风险主要有:
(1)软件风险。主要指操作系统和应用系统本身存在的安全漏洞,这些安全漏洞给黑客和网络病毒留下了可乘之机[10]。
(2)管理人员技术素质不足。目前仍有相当部分数字图书馆网络管理人员不是计算机网络专门人才。一方面,这些管理人员不能及时发现并排除网络信息安全隐患,另一方面,他们在进行网络配制和权限管理时容易留下安全漏洞。
(3)管理制度欠缺,执行不到位。当前,很多高校图书馆存在网络安全管理制度不健全或执行力度不够等问题,这使得网络安全体系的安全控制措施不能充分、有效地发挥其效能,从而给攻击者提供了可乘之机[11]。
综上可知,内部安全风险和外部安全风险是一种相互抑制、滋生的关系。任何一方面的安全风险如果暴露在网络环境里,都会被无限放大,并有可能导致其它安全风险。
3 解决对策
鉴于以上特点,笔者认为,要从根本上解决数字图书馆的网络信息安全问题,需要从以下3个方面入手:①构建一个安全的网络体系,保障网络自身安全和网络业务安全;②建立完善信息安全管理的应急处理机制;③加强管理人员技术素质,制定并落实管理制度。
3.1 构建安全的数字图书馆网络体系
构建一个安全的网络体系是维护整个数字图书馆网络信息安全的基础,而这恰恰是很多数字图书馆建设中的薄弱环节。
图1展示了一个典型的数字图书馆网络安全拓扑。一套完整的数字图书馆网络安全体系至少应该兼顾以下要素:远程接入安全、边界安全、内网安全、信息中心安全、上网行为安全与统一安全管理[12]。针对这些要素制定网络安全方案,设计合理的网络拓扑是构建数字图书馆网络安全体系的关键。
(1)远程接入安全。目前主要有两大远程接入安全技术:IPSec VPN和SSL VPN。IPSec VPN的优势在于保护点对点之间的通信安全;SSL VPN的优势在于Web,它注重的是应用软件的安全性,更多应用于Web的远程安全接入方面。对于数字图书馆而言,鉴于远程接入的移动性特点,可以考虑SSL VPN的安全产品。但同时也要考虑接入安全保障、安全管理平台以及可靠性方面的因素。
(2)边界安全。数字图书馆的网络体系和其它网络体系一样,需要对网络边界进行有效的管理的控制,以防范黑客、网络病毒和其它方面的网络入侵。数字图书馆在选购边界安全产品时除了要考虑产品的攻击防范能力外,还要考虑网络隔离需求、网络优化需求、用户管理需求等。
(3)内网安全。内网安全是最容易被忽视的一个环节。对于目前的网络管理者而言,更多的工作是预防来自外部的攻击,并进行检测和处理,而授予内部网络更多的信任。但统计数字表明,相当多的安全事件是内网用户有意或无意的操作而造成。对于内网安全,笔者认为,应当利用交换机和其它内网安全设备,强制终端用户在接入网络前通过入网强制技术进行身份认证和安全状态评估,帮助管理员实施安全策略,确保终端病毒库和系统补丁得到及时更新,降低病毒和蠕虫蔓延的风险,阻止来自用户内部的安全威胁。
(4)信息中心安全。信息中心是数字图书馆中数据流动最为频繁的区域,任何软硬件故障或其它安全问题都会导致不可预估的损失。对于信息中心安全,可以设置防火墙来应对面向网络层的攻击,部署入侵检测/防御设备来对抗应用层攻击。还有不可忽视的一点是,信息中心数据一定要做好冗余备份,制定灾难恢复策略。
(5)上网行为安全。通过部署上网行为管理(AC),可为不同部门、不同用户、基于时间段进行权限分配;在安全方面,通过安全网关的功能,保障内网用户的上网安全,在内网和外网之间设立一道安全屏障,使得外网威胁无法渗透到内网。
(6)统一安全管理。统一管理主要立足于对全网设备进行主动监控,提前采取主动的干预动作解决网络中的安全问题。在数字图书馆中部署统一管理平台,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,可以提高整个数字图书馆网络的关联分析和整体防御能力。
3.2 建立应急处理机制
在数字图书馆网络信息安全管理过程中,如何应对网络信息安全管理突发事件尤为重要。通过建立信息安全突发事件应急预案、强化科学处理信息安全突发事件等措施来完善信息安全应急处理机制,将对数字图书馆的信息安全管理工作起到关键性作用[13]。
首先要做好网络信息安全风险评估工作。一旦信息系统遭受攻击,就要对遭受攻击后的负面结果有一个预判,根据预判做好补救措施准备;根据安全事件发生的可能性和因此造成后果的严重程度来识别信息系统的安全风险,从而尽可能采取相应措施,减少弱点,避免攻击,保护信息系统免受损害。
其次要建立信息安全突发事件的应急预案。应急预案应当包括信息安全事件发生前采取的危机预警和检测以及预防等措施,还应包括信息安全事件发生后采取的应急处理和恢复措施。这将是处理信息安全事件成功的关键。
最后要科学处理信息安全突发事件。处理信息安全突发事件时要明确处理流程,落实相关处理人员,根据风险评估以及相对应的应急处理预案对号操作,根据预案制定相应的应急处理方案并加以处理。
3.3 加强管理人员技术素质,制定并落实管理制度
国内的数字图书馆大多缺乏专业的信息安全管理人员,或者说管理人员缺乏全面的信息安全管理知识和技能。因此,数字图书馆应适量引进信息安全管理方面的专门人才并对现有管理人员进行全面、系统、科学的安全管理培训,从管理人员素质入手,提高信息安全管理水平[14]。
此外,数字图书馆网络信息安全管理也离不开管理制度的建设和相应的制度执行力。一方面要制定有效的管理措施,对现阶段的管理现状进行改善,防范于未然;另一方面要提高网络信息安全管理工作中的制度执行力,加强管理人员对管理制度的执行意识,并落实监督机制,从而确保整个网络信息安全管理工作和基本效用和基础功能。
4 结语
网络信息安全是数字图书馆各项管理工作的基础,它将贯穿于数字图书馆建设和发展的全过程[15]。要解决数字图书馆的网络信息安全问题,就必须从数字图书馆的实际出发,分析数字图书馆网络信息安全问题的特点,找到一个系统的解决方法。监于此,本文提出了系统解决数字图书馆网络信息安全问题的一套方法。
目前,网络技术和计算机技术依然处于高速发展时期,在此大环境下,数字图书馆的网络信息安全也将面临一些新的问题和挑战。如何发现和解决新的问题、如何改进数字图书馆的网络信息架构,将是后续研究的重点。
参考文献:
[1] 邱均平,楼雯.我国电子图书数字图书馆建设现状的调查分析[J].图书情报工作,2014,58(5):2228.
[2] 王运景,王林毅.浅析高校数字图书馆建设[J].教育教学论坛,2014(1):89.
[3] 魏晓萍.我国数字图书馆研究回顾与展望(19982011)[J].图书馆,2013(4):7290.
[4] 杨莹.数字化图书馆的概念界定与要素分析[J].现代情报,2007(11):8789.
[5] 刘芝奇.数字图书馆建设与发展[J].信息系统工程,2013(1):115116.
[6] 禹玲.解读数字图书馆的网络安全目标与保障体系[J].漯河职业技术学院学报,2014,13(5):8586.
[7] 郑德俊,任妮,熊健,黄水清.我国数字图书馆信息安全管理现状[J].数字图书馆,2010(7):2732.
[8] 保洪才.数字化图书馆网络安全分析与对策探讨[J].兰台世界,2013(1):7273.
[9] 黄革.浅谈数字图书馆网络信息安全[J].黑龙江档案,2013(1):127127.
[10] 马敏,刘芳兰,宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报,2010,20(4):130135.
[11] 段春乐.数字图书馆主控机房安全分析[J].内蒙古科技与经济,2013(18):6972.
[12] 於建伟.数字图书馆网络安全体系研究[J].武汉船舶职业技术学院学报,2014(1):4649.
[13] 张明震.浅析如何完善高校网络信息安全管理应急处理机制[J].网络安全技术与应用,2014(3):141144.
信息安全应急管理制度范文6
1.1信息科技风险管理制度不到位
1.1.1制度建设不完善、不系统
多数农村信用社没有制定信息科技中长期发展规划和战略,信息科技风险管理和控制措施多分散于其他管理制度中,没有专门的科技风险管理制度.部分县联社的管理制度滞后于信息系统、信息技术的发展,没有随着新购买设备、设施而及时更新、完善相关的管理制度.没有随着信息系统的升级换代而重新修订,难以起到防范信息科技风险的作用.
1.1.2制度执行不到位、不全面
农村信用社信息安全领导小组流于形式,并没有充分发挥赋予的规划、管理和决策等职责,导致信息系统建设滞后.另外,多数农村信用社不能执行相关管理制度和规定.例如,对信息系统运行维护不到位,没有按照制度规定定期进行巡查,对发现的主机、数据库异常及故障没有记录或记录不全面.
1.2信息科技风险管控措施不到位
1.2.1第三方制约措施不到位
目前,县联社及所辖营业场所没有设立接受相关信息科技风险第三方评估报告的相应机制.农村信用社向有关监管部门提供的审计调查报告,由各级联社管理人员自我评测和分析,缺乏第三方独立评估和测试.报告得出的结论不能反映出客观的、真实的信息科技风险状况和管理水平,容易掩盖其信息科技风险隐患.
1.2.2风险管理架构不健全
农村信用社虽然设置了风险管理部门,但是在职能上并未包含信息科技风险的监察和控制,仅仅对资产负债业务、融资业务进行督查和规范.信息科技风险管理工作主要依靠科技部门,而科技部门是信息系统的建设者和维护者,由其承担科技风险管理职能,缺少必要的制衡机制.
1.3信息科技工作系统性管理不到位
1.3.1硬件基础设施薄弱
现在,农村信用社在物理层面上实现了内、外网络的隔离,但针对U盘、移动硬盘等设备尚没有建立防护策略和有效的管理制约手段.外网病毒容易通过上述设备侵入到内部网络,导致内网带宽被侵占,影响综合业务系统的正常运行.
1.3.2应急预案徒有形式
目前,农村信用社在联社层面上制定了系统应急预案,但大部分基层网点尚未根据预案对电力设备、网络设备等实施压力测试,也没有进行过应急演练.应急预案还只是停留在形式上,出现突发故障或紧急事件时不一定能达到预期的处置结果.另外,有些应急预案涵盖的项目过多,针对性和可操作性不强,影响应急预案的实效.
2加强信息科技风险管理的对策
中国银监会《商业银行信息科技风险管理指引》明确要求,各银行业金融机构要从满足业务发展需要出发,加强信息科技风险管理和控制,从“要我做”变为“我要做”.农村信用社应该切实转变以技术防范为主的被动的信息安全工作方式,积极构建防御策略.从事前、事中、事后三个环节建立以预防为主的主动信息科技风险管控机制,真正做到事前有预防、事中有控制和事后有检查.
2.1加强信息科技风险防范的基础设施建设
2.1.1加强组织领导各级领导要站在维护业务稳定和促进农村信用社发展的高度,充分认识信息科技安全的紧迫性和重要性,要看到农村信用社的现状和未来,充分认识IT价值,明确信息科技风险管理目标,将信息科技风险纳入自身的总体风险框架.
2.1.2打造一支稳定、团结、高效的科技队伍
农村信用社应该以市级或县级为单位,将全市或全县科技人员集中、分类管理,按照系统管理人员、安全管理员、维护操作人员等进行分类.以县级联社计算机系统管理员为重点管理对象,要求各位安全管理员务必保障各营业网点操作人员的正常业务运行.真正实现自上而下,从机关到网点逐级、有序地管理,使信息科技风险管理与控制的触角延伸到每一个基层营业网点,确保每一项业务的正常开展.
2.1.3构建信息科技风险管控长效机制
农村信用社要辩证地看待业务发展与信息科技风险防范之间的关系,提高对信息科技风险重大危害性的认识,构建全系统共同参与的、自上而下的信息科技风险管控长效机制.通过对信息科技风险的识别、计量、监测和控制,完善管控措施,加强领导管理,追究事故责任,消除风险隐患,推动业务发展和创新,进一步提高信息技术的基础性作用.
2.2信息科技风险防范的技术与制度
2.2.1提高农村信用社的信息技术水平
引进指纹认证系统,针对工作人员账户管理建立有效的、与访问级别相匹配的访问控制机制.工作人员访问系统和进入数据库必须通过认证.确保密匙使用安全,要通过风险预警,提高技术防范手段,加强后台监督.严格控制操作风险,通过改善门禁系统、防雷、消防等硬件设施,发展和使用计算机加密技术、访问控制技术、“防火墙”技术、病毒防治技术和监控技术,筑起多道计算机安全防范屏障,以科技技术保障制度的落实.
2.2.2完善信息科技风险管理制度
按照《商业银行信息科技风险管理指引》要求,农村信用社要建立健全科技风险管理制度和操作规程.针对应急演练和日常管理中出现的管理漏洞,认真进行梳理和归类,调整优化,确保管理制度不存在缺陷和漏洞,确保操作规程合理、完整、可行.
2.3加强信息科技风险管理的监督检查和审计
2.3.1探索信息科技风险管理方法
在进一步提高信息技术应用水平的基础上,积极探索风险管理的识别、计量、监测和控制的管理技术和管理工具,实时监测信息系统的风险隐患和漏洞,完善补救措施,积极加强整改.
2.3.2加强信息科技风险现场检查
进一步建立健全检查制度,开发和设计现场检查程序.综合运用数据检查、情景模拟或联网检查等方式和方法,及时查找和发现信息系统中存在问题和不足,及时纠正问题和消除隐患.进一步完善信息技术,加强信息管理.
2.3.3要加强外部审计监督
