信息安全管理制度体系

信息安全管理制度体系（精选十篇）

信息安全管理制度体系 篇1

一、信息安全管理体系的概述

1.1信息安全管理体系的定义

ISMS是信息安全管理体系的简称, 目前对信息安全管理体系的定义没有明确规定。信息安全管理体系主要指保证信息安全的整个过程, 信息管理主要针对信息安全风险的一系列调控活动, 主要包括信息安全方针的制定、风险评估及控制等内容。在国际标准ISO/IEC17799中, 信息安全管理体系是组织管理体系的组成部分, 主要对信息资源进行风险管理, 通过信息监测控制确保其安全性。

1.2信息安全管理体系的重要性

信息安全管理体系对于任何组织有着极其重要的意义, 是对组织信息的安全保护, 是保证组织竞争力的重要前提。信息安全性管理越来越重要, 做好信息安全管理体系的建设工作, 不仅能帮助组织实现轻松管理, 而且大大降低了信息资产的风险性。总而言之, 信息安全管理系统是信息安全的有效保障, 它为信息安全提供了相应的管理工具, 是实现信息安全管理目标的关键。

1.3我国信息安全管理的现状

随着信息技术的不断发展, 我国信息安全管理工作质量不断提高, 但是, 目前仍然存在着一些问题, 阻碍了信息安全管理的发展。首先, 我国信息安全管理法规体系不够完善, 相关方面的法律规定较少, 导致信息安全管理的实施得不到有效的法律保障。其次, 我国信息安全管理片面注重技术层面的维护, 缺乏有效的管理手段, 信息安全管理比较薄弱。最后, 信息安全管理主要采取被动手段, 科学性不高, 不能实现全面性管理, 而且一些高层领导对信息安全管理工作的重视程度偏低, 信息安全管理工作比较薄弱。

二、信息安全管理体系的构建

2.1策划准备

在构建信息安全管理体系前, 需要做好各种准备工作, 包括计划的制定、相关培训安排、组织调研活动、职责划分等内容。

2.2确定范围

根据组织中IT技术水平、信息资产、工作人员等实际情况, 进行信息安全管理体系适用的安全范围, 既可以选择部分区域, 也可选择整个区域。确定合理的安全范围后, 信息的安全管理更加方便。

2.3风险评估

构建信息安全管理体系时, 要做好信息处理、存储等工作的安全性调查, 预测可能发生的危害信息安全性的事件, 并对可能性危害事件会造成的影响做出判断, 然后根据评估结果做好信息风险管理工作。

2.4建立框架

要完成信息安全管理体系的构建, 离不开信息安全管理框架的建立, 这就需要我们要做到全方面考虑, 根据信息系统的实际情况, 结合组织特点、技术水平等条件建立相应的信息清单, 对信息管理做好风险分析、需求分析等内容, 并提出相应的问题解决方案, 进一步保证信息的安全性。

2.5文件编写

要构建信息安全管理体系, 还需要对范围确定、安全方针、风险评估等内容进行相应的文件编写, 建立各种文档, 为风险管理、体系改进等工作提供依据。

2.6体系运行

以上步骤完成后, 信息安全管理体系开始运行。在运行时期, 我们要进一步提高体系运作力度, 使体系的整体功能得到有效发挥。一旦发现体系存在问题, 要尽快找出解决措施, 及时解决相关问题, 不断完善信息安全管理体系。

2.7体系审核

信息安全管理体系的审核主要是对体系进行客观评价, 通过内部审核及外部审核两种方式对体系的运行及相关文件进行全方面检查。其中内部审核主要是组织内部的自我审核, 外部审核主要由外部相应的组织对体系进行检查, 通过内外审核进一步确定信息安全管理体系的安全性。

三、总结

综上所述, 信息对于部队来说非常重要, 作为信息安全管理者, 确保部队信息的安全性是我们的主要职责。信息安全管理需要从技术和管理两个方面入手, 时代环境在不断变化, 信息管理技术也要不断创新, 从而适应当前时代的需求。目前, 我国信息安全管理存在一定的问题, 需要我们采取积极的手段构建并完善相关体系, 进一步提高信息的安全管理质量。

参考文献

[1]曲成.在企业建立有效的信息安全管理体系[J].计算机安全, 2011 (11)

[2]刘晓红.信息安全管理体系认证及认可[J].认证技术, 2011 (05)

信息安全管理体系建设论文 篇2

关键词：信息化;信息安全;安全管理

1、企业信息安全现状

近几年，随着行业信息化建设逐步深入，伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用，与生产经营息息相关的关键业务对信息系统的依赖程度越来越高，企业也逐步认识到信息安全的重要性，企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度，并通过这几年信息安全检查工作，促进企业的信息安全水平得到了进一步提高。

由于企业信息安全意识不断提高，企业不断加大信息安全方面的投入，如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新，攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击，也要应对来自于企业内部的信息安全威胁，安全形势不容乐观。企业的信息安全已不仅仅是技术问题，还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识，一味注重“技术”的作用，忽略“管理”的重要性，就很难发挥信息安全技术的作用，无法把企业的各项信息安全措施落到实处，企业的信息安全也就无从谈起。只有切实发挥管理作用，企业的信息安全才能得到有效保障。

2、企业信息安全体系架构

在谈到信息安全时，大多数刚接触的人都比较疑惑，都说保障信息安全十分重要，那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。

2.1信息。对企业来说，信息是一种无形资产，具有一定商业价值，以电子、影像、话语等多种形式存在，必须进行保护。

2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制，避免造成不良影响或者资产损失。

2.3企业信息安全体系架构。在保障企业信息安全过程中，信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析，不难看出企业信息安全体系主要分为技术、管理两个重要体系，进一步细分则涉及安全运维方面。

2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品，合理制定安全策略，实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台，如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等，而信息安全技术则是指实现信息安全产品的技术基础。

2.3.2信息安全管理体系作用。完善信息安全组织机构、制度，细化职责分工，制定执行标准，确保日常管理、检查等制度有效执行，最大程度发挥信息安全技术体系作用，确保信息安全相关保护措施有效执行。通过上文简单介绍，对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全，因此，建立企业信息安全管理体系的重要性也就不言而喻。

3、信息安全管理体系概念

3.1信息安全管理。运用技术、管理手段，做好信息安全工作整体规划、组织、协调与控制，确保实现信息安全目标。

3.2管理体系。体系是指相互关联和相互作用的一组要素，而管理体系则是建立方针和目标并实现这些目标的体系。

3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标，采取或运用方法的体系。作为管理活动最终结果，包含方针、原则、目标、方法、过程、核查表等众多要素。

3.4建立信息安全管理体系的目的`。作为企业总管理体系的一个子体系，目的是建立、实施、运行、监视、评审、保持和改进信息安全。

3.5信息安全管理体系涉及的要素。

3.5.1信息安全组织机构。明确职责分工，确保信息安全工作组织与落实。

3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。

关于信息安全管理体系的研究 篇3

关键词：信息安全管理；风险评估；监控

中图分类号：TP393.08

信息是现代社会中不可缺少的一项重要元素，尤其是在商业活动中，信息已经成为市场竞争的重要手段，因此对信息安全的管理在商业活动中显得尤为重要。信息安全管理体系（Information Security Management System，简称为ISMS），是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

1 信息安全的风险评估与策略

1.1 信息安全的风险评估

信息安全管理属于风险管理，即如何在一个确定有风险的环境里把风险减至最低的管理过程。因此，管理的核心要素就是对风险进行准确识别和有效的评估，通过对信息安全进行风险评估可以获得安全管理的需求，帮助组织制定出最佳的信息安全管理策略，并且将风险控制在可承受的范围之内。一个科学、合理的信息安全风险评估策略应该具有形影的标准体系、技术措施、组织框架以及法律法规。

1.2 信息安全策略

信息安全策略（Information Security Policy）是一个组织机构中解决信息安全问题的重要组成部分。在一个组织内部，通常是由技术管理者指定信息安全策略，如果是一个较为庞大的组织，制定信息安全策略的则可能是一个技术团队。信息安全策略是基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产进行权限设定，它是组织管理人员在建立、使用和审计信息系统时的信息来源。

信息安全策略具有非常广泛的应用范围，在其基础上做出的安全决定需要提供一个较高层次的原则性观点。一个组织的信息安全策略能够反映出一个组织对现实和未来安全风险的认识水平，对于组织内部业务人员和技术人员安全风险的处理。信息俺去那策略的制定同时还需要参考相关标准文本和安全管理的经验。

1.3 信息安全管理措施

信息加密技术是网络安全管理的核心问题，通过对网络传输的信息资源进行加密，以确保传递过程中的安全性和可靠性。用户通过互联网进行网络访问时，应该能够控制访问属于自己的数据的访问者身份，并且可以对访问者的访问情况进行审核。这种访问权限的控制，需要开发相应的权限控制程度，以作为安全防范措施使用。

用户在对云计算网络的数据进行存储时，其他用户及云服务提供商在未被所有者允许的情况下不得对数据进行查看及更改。这需要将数据在网络存储时，对其他用户实行存储隔离措施，同时对服务提供商实行存储加密和文件系统的加密措施。鉴于云平台的搭建多数基于商业方面，因此用户的数据在基于云计算的网络上进行传输时要具有极高的保密性，包括在计算中心的内部网络和开放互联网络上。所以，应该对所传输的数据信息在传输层进行加密（HTTPS、VPN和SSL等），对服务提供商进行网络加密。由于基于云计算的网络的数据重要性，为了防止各种数据毁灭性灾难和突发性事件，进行按期定时的数据备份，使用数据库镜像策略和分布式存储策略等，是确保网络信息安全的一系列防范措施。

病毒对互联网的安全威胁最为严重，主要可以通过病毒防御技术提升信息管理安全性。病毒是利用计算机软硬件系统的缺陷，在原本正常运行的程序中插入的一段能够破坏计算机或数据的指令或代码段，从而在执行时影响计算机系统的正常运作而不易被人察觉，对计算机及信息安全的威胁最大。针对日益猖獗的计算机病毒，选择一款适合系统使用环境的反病毒软件显得尤为重要，发现病毒侵入应该及时查杀，同时要注意按时地更新病毒库，并升级反病毒软件版本。在杀毒的同时做好预防工作是最为行之有效的措施。防火墙是设置在不同类型网络间的一系列硬件和软件的集合，旨在控制不同网络间的访问、拒绝外部网络对内部网络或网络资源的非法访问，保证通过防火墙的数据包符合预设的安全策略，从而确保了网络信息的服务安全。

入侵检测作为防火墙技术的补充手段，是对成功绕过防火墙限制而入侵内部网络系统的行为进行技术攻防的策略。其实质是在不损耗网络性能的前提下进行监听分析用户系统活动和违反安全策略的行为，对已威胁网络安全的入侵行为识别并发出警报，同时生成异常行为分析，评估入侵行为带来的损害程度。

目前，利用防火墙和入侵检测相结合的方式，是防护网络、拒绝外部网络攻击的最有效手段之一。任何一个系统都会存在安全漏洞，这包含已知的和未知的在应用软件和操作系统两方面上的安全漏洞。在进行漏洞扫描时，可以及时系统和网络存在的安全漏洞，并打上漏洞补丁，进行主动防御。在使用时可以将漏洞扫描与防火墙技术、入侵检测技术三者相结合，形成网络安全防范和防御的“黄金三角”。数据加密分为对称性和非对称性加密两种，是在发送端以某种算法将数据明文转换成密文，在接收端以密钥进行解密，从而保证信息在网络存储和传输的过程中都是保密的，并且对网络环境没有任何特别的要求和限制。数据加密技术与防火墙技术相比较，对于信息安全的防护作用是全局性的，也是最后一道防线。

系统备份和数据恢复，是指对系统的重要核心数据和资料进行备份，当切防范和防御技术都失效并且计算机网络遭到黑客攻击时，能够对系统实施立即恢复的手段，这也是保证信息安全的挽救措施。除了以上所提及的技术性手段之外，大力开展信息安全教育和完善相关法律法规作为人为防范措施也不容被忽视。近年来，信息安全威胁之一的网络欺骗就是因为当事人的信息安全意识淡薄和相关的调查取证困难造成的。因此，有必要做出改善措施，与技术手段相结合对信息安全发挥行之有效的影响。

2 结束语

综上所述，随着计算机技术、网络通信技术和高密度存储技术的发展，电子信息化进程在各个领域中得到了广泛推广和不断深入研究。结合当今社会的信息量爆炸式的增长情况，以及现阶段的研究成果得出结论，当今电子信息工程的安全问题和信息的有效利用问题仍将为研究的重点。本文重点研究了信息安全管理体系，根据信息安全管理的标准以及信息安全风险的特征，提出了一些具有针对性的信息安全管理措施，以实现对信息安全风险的有效评估和准确预测，危险性安全管理体系的实施提供重要保证。

参考文献：

[1]张健.电子文件信息安全管理评估体系研究[J].档案学通讯，2011，4.

[2]马晓珺，赵哲.电子商务信息安全管理体系研究[J].安阳市师范学院学报，2008，2.

[3]刘晓红.信息安全管理体系认证及认可[J].认证技术，2011，5.

[4]乔甜.基于全员参与的信息安全管理体系研究[J].科技致富向导，2013，6.

[5]王新辉，张建，李伟涛.基于生命周期分析信息安全管理体系[J].计算机技术与发展，2012，3.

作者简介：刘斌（1981-），男，本科，助教，从事计算机科学与技术研究。

企业信息安全体系构建与管理分析 篇4

随着企业信息化水平的提升, 大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备, 但信息安全防护理念还停留在防的阶段, 信息安全策略都是在安全事件发生后再补救, 导致了企业信息防范的主动性和意识不高, 信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。

2 企业信息系统安全防护的构建原则

企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:

2.1 建立企业完善的信息化安全管理体系

企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范, 来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。

2.2 提高企业员工自身的信息安全防范意识

在企业信息化系统安全管理中, 防护设备和防护策略只是其中的一部分, 企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时, 绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前, 应制定企业员工信息安全行为规范, 有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行, 保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训, 强化企业员工对信息安全的概念, 提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。

2.3 及时优化更新企业信息安全防护技术

当企业对自身信息安全做出了一套整体完善的防护规划时, 就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源, 并且可以根据员工级别分配人员访问权限, 达到企业敏感信息的安全保障。

3 企业信息安全体系部署的建议

根据企业信息安全建设架构, 在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时, 我们需要重点关注以下几个方面:

3.1 实施终端安全, 规范终端用户行为

在企业信息安全事件中, 数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前, 企业员工对自己的个人行为不规范, 造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为, 我们在建设安全防护体系时, 仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前, 就对用户的终端系统进行安全规范检查, 符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计, 使得企业员工的操作行为符合企业制定的上网行为规范, 从终端用户提升企业的防护水平。

3.2 建设安全完善的VPN接入平台

企业在信息化建设中, 考虑总部和分支机构的信息化需要, 必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSec VPN, VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接, 这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下, 就必须做好对于移动终端的身份认证识别。其实我们在设备采购时, 可以要求设备商做好多种接入方式的需求, 并且帮助企业搭建认证方式。这将有利于企业日常维护, 提升企业信息系统的VPN接入水平。

3.3 优化企业网络的隔离性和控制性

在规划企业网络安全边际时, 要面对多个部门和分支结构, 合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下, 根据企业安全优先级及面临的风险程度, 做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护, 真正实现OSI的L2~L7层的安全防护。

3.4 实现企业信息安全防护体系的统一管理

为企业信息安全构建统一的安全防护体系, 重要的优势就是能实现对全网安全设备及安全事件的统一管理, 做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志, 如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时, 企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时, 就必须要考虑安全设备日志之间的统一化, 设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。

4 结束语

信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划, 实施过程中根据不断出现的情况及时调整安全策略和访问控制, 保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定, 这样才能为企业的信息安全提供生命力和主动性, 真正为企业的核心业务提供安全保障。

摘要：随着云计算、信息化、虚拟化等技术在企业的广泛应用, 大多数企业实现了核心业务的数字化, 使得企业的管理效率得到了提升。同时数字化成果的积累, 也给企业在核心数据上的带来了越来越多的风险。所以对企业的信息化安全提升提出了新的要求。

关键词：信息安全,管理,控制,构建

参考文献

[1]郝宏志.企业信息管理师[M].北京:机械工业出版社, 2005.

信息安全管理制度体系 篇5

一、适用

本计划为按照程序文件 ISMS-2002《信息安全风险管理程序》 要求各部门对本部门不可接受风险做出处理计划，由行政部负责汇总，提交信息安全管理 委员会评审以获得管理层批准实施。

二、目的根据表 ISMS-4024《重要信息资产风险评估表》中风险等级≥4 以上的资产采取控制措施，保证降低其风险等级至可接受风险等级。

三、职责

针对某项不可接受风险的资产责任人即为此计划的编制人和负责人。

四、详细处理计划

对于上述不可接受风险的资产，处理准则为，对面临同样风险的资产采取一类管理方法，举例对技术部公积金扫描验印系统、票据防伪系统、电子 验印系统、票据影像系统、光盘缩微系统、一票一密系统、上门收款原代码的管理方式应考虑通用的控制措施。

处理计划要求包含以下内容：

a)针对不可接受风险资产的范围。

b)风险计划实施部门，编制人，批准人、实施人，编制时间，生效时间。c)对资产的脆弱性和威胁做详细分析和描述。d)权衡成本和收益提出处理策略。对于计划处理效果显著，可以转变为公司的统一管理制度。此次风险评估的处理计划如下：

部集编JC编刘健 制2009-1-1 门 成部 号-001 制人 表时间

风资产名称：交换机、UPS 电源、技术部路由器

险描资产风险：

述

1、交换机：本公司的机房环境差，没有温湿度控制，没有除尘设施，机房布线混乱，交换机没有定期检测。

2、UPS：UPS 使用的时间接近报废时间，若出现 UPS 失效，而不

及时更换，电力供应中断后服务器数据丢失，不可恢复。

3、技术部路由器：技术部每天产生的项目代码需要通过路由器传到

备份服务器，对技术部的路由器的维护措施没有，有 中断业务的风险 目

1、降低交换机发生故障的概率。的

2、保障服务器的电力供应。

3、确保技术部的持续工作。

适江苏万佳技术部项目组

用范

围

风置详细策略

险处 交换机：

（1）交换机等放到机房，机房有独立的物理空间。

（2）在机房中配备温湿度计，安装空调，对机房用门隔离，门上贴

警示标识，将机房规定为敏感区域，墙上贴有机房进 去登记表，编制机房管理规定。

（3）定期对交换机功能检查，周期为一周一次。UPS：

（1）向行政部申请购买 2 台全新 UPS，以防止此 UPS 失效。技

术部路由器：

（1）将此路由器放置有保护的装置中，将技术部的合理区域划为设备存放地，贴一标识以防设备被无意损坏。

（2）定期对路由器检查，周期为一周一次。

惩（1）对违反机房管理规定者，首次予以警告，第二次违规罚款 20 罚 元，通报批评教育。

（2）对损坏公司网络硬件设备者，提交行政部视情节予以处理。引

用标

信息安全保障体系探讨 篇6

关键词：信息安全；安全技术；网络

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 (2012) 06-0085-01

一、信息安全的定义

20世纪70年代以前，信息安全的主要研究内容是计算机系统中的数据泄漏控制和通信系统中的数据保密问题。然而，今天计算机网络的发展使得这个当时非常自然的定义显得非常不恰当。首先，随着黑客、特洛伊木马及病毒的攻击不断升温，人们发现除了数据的机密性保护外，数据的完整性保护以及信息系统对数据的可用性支持都非常重要。其次，不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。综上分析，信息安全是研究在特定的应用环境下，依据特定的安全策略对信息及其系统实施防护检测和恢复的科学。

二、信息安全面临的威胁

由于信息系统的复杂性、开放性以及系统软件硬件和网络协议的缺陷，导致了信息系统的安全威胁是多方面的：网络协议的弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、恶意攻击、病毒、黑客的攻击、合法用户的攻击、物理攻击安全、管理安全等。

其次，非技术的社会工程攻击也是信息安全面临的威胁，通常把基于非计算机的欺骗技术成为社会工程。社会工程中，攻击者设法伪装自己的身份让人相信就是某个人，从而去获得密码和其他敏感的信息。目前社会工程攻击主要包括的方式为打电话请求密码和伪造E-mail。

三、信息安全相关的防护理念及其技术

计算机信息安全技术是针对信息在应用环境下的安全保护而提出的。是信息安全基础理论的具体应用。安全技术是对信息系统进行安检和防护的技术，其包括：防火墙技术、路由器技术、入侵检测技术、扫面技术等。

（一）防火墙技术

防火墙是指设置在不同网络（如可信任的企业内部和不可信任的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据个人的安全政策（允许、拒绝、检测）出入网络的信息流，且本身具有较强的抗攻击能力。一个防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。通过防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证和审计等）配置在防火墙上。

（二）路由器技术

随着网络各种领域应用的日益普及，网络信息安全问题趋于复杂化和多样话。针对网络存在各种安全隐患，安全路由器必须具有如下的安全特性：

（1）可靠性与线路安全（2）身份认证（3）访问控制（4）信息隐藏

（5）数据加密（6）攻击探测和防范（7）安全管理

（三）物理隔离器技术

隔离卡技术是将一台计算机划分成两个独立的虚拟计算机，分别连接公共网络和涉密网络。通过隔离卡，用户的硬盘被划分为公共区和安全区，装有独立的操作系统和应用软件。当用户在公共区启动时，计算机连接公共网络；当用户在安全区启动时，计算连接涉密网。

（四）防病毒技术

1.虚拟机技术

虚拟机技术是国际反病毒领域的前沿技术。这种技术更接近于人工分析，智能化极高，查毒的准确性也极高。虚拟技术的主要执行过程如下：

在查杀病毒时，在计算机内存中模拟出一个“指令执行虚拟计算机”，在虚拟环境中虚拟执行可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据如果含有可疑病毒代码，则说明发现了病毒。殺毒过程是在虚拟环境下摘除可疑代码然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除

2.监控病毒源文件

密切关注、侦测和监控网络系统外部病毒的动向，将所有病毒源堵截在网络入口处，是当前网络防病毒技术的一个重点。趋势科技针对网络防病毒所提出的可以远程中央空管的趋势病毒监控系统不仅可完成跨网域的操作而且在传输过程中还能保障文件的安全。

3.无缝隙连接技术

无缝隙连接技术也叫嵌入式杀毒技术。通过该技术，我们可以对病毒经常攻击的应用程序和信息提供重点保护。它利用操作系统或应用程序提供的内部接口来实现对使用频度高、范围广的主要应用软件提供被动式的保护

4.检查压缩文件技术

检查压缩文件中的病毒有两种思路。第一种思路：首先必须搞清压缩文件的压缩算法，然后根据压缩管理算法将病毒码压缩成病毒压缩码，最后根据病毒压缩码在压缩文件中查找以判断该文件是否有病毒。另一种检查压缩文件中病毒的思路：在搞清压缩文件的压缩算法和解压算法的基础上，首先解压待检查的压缩文件。随后在解压后的文件中检查病毒码来判断该文件是否有病毒，以此来说明原压缩文件是否有病毒。最后将文件还原成原来的压缩格式。

四、建立网络安全体系的必要性和发展信息安全体系的重要性

国际上信息安全研究起步较早，力度大，积累多，应用广，在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”的基础上，指定了“可信计算机系统安全评估准则”（TCSEC），其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。

完整的信息安全保障体系建设是信息安全走向成熟的标记，也受到了国家和众多企事业单位的重视。信息安全保障体系的建设，必须进行科学的规划，以用户身份认证为基础，信息安全保密为核心，网络边界防护和信息安全管理为辅助，建立全面有机的安全整体，从而建立真正有效的、能够为信息化建设提供安全保障的平台。

参考文献：

[1]徐茂智，雏维.信息安全概论.人民邮电出版社,2007

[2]张同光.信息安全技术实用教程.电子出版社,2008

信息安全管理制度体系 篇7

台式计算机和笔记本电脑等普通计算机终端作为日常办公设备, 数量众多, 分布范围广, 使用环境复杂, 用户群大, 网络暴露面广, 当遇到用户技术水平不高, 安全意识不强的情况, 容易遭受外来恶意软件入侵, 是黑客攻击控制的常见对象。我国个人计算机被植入木马成为“肉鸡”的数量已超400万台, 病毒木马从业人员也接近百万规模, 发展为包括木马制造、传播、密码窃取和售卖等环节在内的完整产业链。

普通计算机终端的安全防护缺陷能通过“木桶效应”传导, 容易造成单位整体安全防护体系短板。本文通过构建安全硬件支撑层、安全防护层、安全维护层和管理审计层4道防线, 围绕普通计算机办公终端设备生命周期, 结合终端立体安全防护网, 构筑信息安全基本防护面, 与读者一起探讨加强普通办公终端安全管理的措施和思路。

二、措施

(一) 构建安全硬件支撑层, 是加强办公终端安全管理的基础

一是在产品选择上, 优先选用国产品牌设备, 支持本土企业, 增强产品安全自主可控性, 选用具有国家主管部门认证的节能设备, 选择符合行业高标准的电源配件, 消除不合格产品引发的火灾隐患。二是在产品配置选择上, 依据不同的用途, 选择合适的硬件配置, 结合设备历史使用情况统计, 分析设备生命周期规律, 寻找设备配置水平与业务需求最佳平衡点, 寻找配置最佳组合, 优化设备购置需求, 形成高、中、低设备配置搭配格局, 在满足安全防护性能要求的前提下, 最大程度提高资金使用效率。三是在产品软件配置选择上, 选取成熟可靠、有专业服务支持的操作系统, 提倡使用国产操作系统, 从基础软件层面提高终端信息安全保障能力。安装硬盘健康情况监测软件, 监控硬盘运行状态, 及时发现硬盘故障, 并向用户发出告警信息, 避免出现因硬盘损坏引发数据丢失风险。此外, 整体上要保持新购置终端设备软硬件环境初始纯净性, 从设备引入伊始杜绝各类不安全软硬件。

(二) 打造全面可信的终端安全防护层, 是加强办公终端安全管理的关键

一是加固操作系统层。对每一类型的操作系统制定不同安全加固标准, 确保所有终端满足基本安全加固要求;根据用户角色的不同, 按照“必须知道”和“最小授权”的原则合理分配用户权限, 加强对最高权限用户的审批和审计管理;安装最新系统补丁, 并及时修复系统自身缺陷, 开启系统各项审核审计功能以及各类安全策略;关闭无关的系统服务和共享。

二是在操作系统安全加固基础上, 着力引入各类防护软件, 提高专业防护能力。安装专业的防病毒和防间谍软件, 在具备查杀病毒和恶意软件的能力的同时, 加入主动防御威胁的功能;部署专业的补丁分发系统, 对终端进行系统漏洞修复和提供关键基础软件更新;部署木马查杀工具, 定期对终端进行木马查杀和检测, 让终端远离“肉鸡”;部署专业入侵检测系统, 时刻监测网络上终端行为, 有效发现各类恶意入侵行为, 定位、隔离问题终端;部署终端综合管理软件, 从技术上强制规范终端各类外设的使用, 强制对系统进行各类基本安全加固, 避免因人为或误操作引发防护实效。

三是对特殊的系统类型进行有针对性的专业防护, 对终端按重要性进行分级、分区域管理, 因地制宜, 提高终端安全防护效能。

(三) 规范日常终端维护, 形成办公终端安全维护层, 是加强终端安全管理不可或缺的环节

一是采用成熟的网络准入技术, 定制终端准入标准, 实现对终端接入的自动化审批。准入标准一般包含两个方面, 一方面是技术防护要求, 包括终端系统加固要求、安全防护软件安装要求和用户个性化软件安装要求等;另一方面是身份认证审核机制, 即只有合法的用户才能被允许接入网络, 准入标准的制定可有效防止“不合格”终端接入网络, 或非法终端“潜入”网络。

二是保持和强化终端防护能力, 重在终端变更管理。要求在终端日常维护过程中, 不能破坏已建立的安全防护网, 不能降低防护能力, 维护过程应严格遵循风险防范标准, 扎牢终端安全防护的笼子。在人的要求和管理上, 技术维护人员要具有较高的专业知识和熟练的操作技能, 要有足够的保密意识和相应的维修维护资质。在维护工具选用上, 要使用安全的工具, 软件工具要无病毒、无木马, 软件来源安全, 硬件工具特别是电气类工具要满足行业标准, 避免存在短路等火灾隐患。在具体维护过程中, 要格外注意数据的处理, 避免数据丢失和数据接触范围扩大。在硬件故障的维修上, 要从正规渠道购置配件替换件, 避免引入有“夹带”的配件, 留下安全隐患。维修维护原则上不能移出办公地点, 采用定点定人维修机制, 杜绝携带信息存储部件送修;注重终端设备的生命终期的管理, 规范设备报废。

三是保持和强化终端防护能力, 需要知识的积累和延续。要建立终端维护文档, 积累经验知识, 同时也可作为一种行为日志记录, 用于监督和审计。一类是技术文档, 登记各种故障现象、处理方式以及技术操作要点, 有利于培养维护人才, 提高维护技能;另一类是日志文档, 记录终端编号、故障原因、现象等信息, 也保存维护人员和日期等信息, 有利于责任划分, 也可用于日后的监督审计。

(四) 全员参与, 强化过程监督, 建立管理审计层, 是加强办公终端安全管理必要措施

办公终端信息安全工作需要每一位终端设备使用人的共同参与。科技管理部门应定期组织开展全单位信息安全培训, 讲解信息安全保护的知识, 及时发布信息安全保护中的新风险、新技术, 灌输信息安全保护不利的严重后果, 使他们正确认识信息安全保护工作的重要性, 特别是重要岗位人员要熟悉信息保护流程, 掌握信息安全基本常识, 提高信息安全意识。要建立有效的组织结构, 群防群治, 明确分工, 责任到人, 通过信息安全交流平台, 及时发布风险预警信息。

一是通过部署行为审计和日志分析系统, 对终端进行全过程的行为记录和分析, 时时收集终端系统行为和用户行为信息, 自动分析行为信息日志, 较快发现异常行为, 定位问题终端, 发出告警信息, 及时排查和阻止终端的非法或不安全操作。根据维护日志和审计日志的统计分析, 建立终端防护能力曲线, 分析终端防护效果, 重点修补薄弱点。通过行为日志, 加强对“不稳定”人员的管理, 消除人为故意降低终端防护能力的风险隐患。

二是终端安全专项检查与各类综合检查相结合, 有利于强化终端安全管理力度, 提升用户对终端信息安全主动保护意识。

此外, 不能忽视便携式设备安全管理。笔记本计算机由于体积较小、重量轻, 方便携带, 已在各单位普遍使用, 在提供工作便利和工作效率的同时, 也存在被盗、被抢或遗失风险, 要重点根据笔记本计算机存储信息量大、移动性等特点制定有针对性的安全管理措施。其次加强对手机、平板等手持式移动终端的安全管理, 防止发生信息安全事件。

摘要：随着信息化建设的深入和新技术的不断涌现, 金融机构普通计算机终端面临更多攻击风险, 往往成为机构整体安全防护体系短板。本文通过构建安全硬件支撑层、安全防护层、安全维护层和管理层审计层4道防线, 围绕普通计算机办公终端设备生命周期, 与读者一起探讨加强普通办公终端安全管理的措施和思路。

关键词：计算机终端,安全防护,安全管理

参考文献

[1]商业银行信息科技风险管理指引[Z].中国银行业监督管理委员会.2009.

企业信息资源安全管理体系的构建 篇8

随着金川集团公司跨国经营战略的实施, 企业信息化进程不断深入, 企业信息安全己经引起公司领导的的高度重视, 但依然存在不少问题。调查结果表明, 造成网络安全事件发生的原因有很多, 一是安全技术保障体系尚不完善, 企业花了大量的金钱购买了信息安全设备, 但是技术保障不成体系, 达不到预想的目标;二是应急反应体系没有经常化、制度化;三是企业信息安全的标准、制度建设滞后。其中, 由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的80%, 登录密码过于简单或未修改密码导致发生安全事件的占19%。近年来, 虽然使用单位对信息网络安全管理工作的重视程度普遍提高, 80%的被调查单位有专职或兼职的安全管理人员, 但是, 很多企业存在安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题, 也说明目前安全管理水平还比较低。因此现代企业迫切需要建立信息资源安全管理体系。

二、企业信息资源安全管理体系构建

1、企业信息安全组织管理

企业信息安全组织体系定义为一个三层的组织, 组织架构如图所示:

l) 总经理通过总经办负责企业信息、安全的决策事项。2) 总经理任命一名信息安全主管负责企业信息安全的风险管理, 该主管领导一个有各个部门主要负责人参加的信息安全管理小组维护企业信息安全管理体系、管理企业信息安全风险。3) 总经理任命一名信息安全审计师, 负责企业信息安全活动的审计。4) 行政部门、业务部门和分支机构执行信息安全管理体系中的相应安全政策, 并在信息安全管理主管的领导下, 实施风险管理计划。各个部门负责人有义务向信息安全主管报告所管辖部门的信息安全状况, 信息安全主管应定期在组织范围内和向上级机关报告企业信息安全状况。

2、企业信息安全政策管理

根据企业信息安全风险分析的结果和信息安全政策制定的原则, 设计信息安全政策体系包括以下几点: (1) 企业信息安全风险管理政策:a) 信息安全风险定义, 包括风险等级定义和安全类别定义;b) 信息安全风险评估执行要求, 包括时问周期要求、范围要求、基于事件的风险评估要求:c) 信息安全风险评估责任, 包括信息安全管理人员责任和业务部门责任。 (2) 企业信息安全体系管理政策:a) 管理体系的规划, 包括规划的时机、规划的内容、规划的依据、规划的责任人:b) 管理体系的实施, 包括发布、培训、执行奖惩。c) 管理体系的验证, 包括周期管理评审、安全审计、事件评审、残留风险评估。d) 管理体系的改进, 包括分析和变更控制。 (3) 病毒抵御安全政策:a) 操作程序一运行网络管理人员日常工作的程序。这部分安全政策主要控制的风险是不规范的管理活动造成无效或低效的管理。b) 关键资源监控一识别出关键设备并对关键设备的运行状态进行监控。这部分安全政策主要控制的风险是关键资源异常情况不能被及时发现和处理。c) 软件系统维护一对软件系统及时地升级和打补丁。这部分安全政策主要控制的风险是软件系统未及时升级和/或打补丁而造成的信息故障或者安全事故。d) 敏感资料存储一对在业务进行过程中产生的敏感信息的存放管理。这部分安全政策主要控制的风险是由于对敏感资料存储不当导致资料的丢失或泄漏。

3、企业信息安全事件管理

目前, 没有任何一种具有代表性的信息安全策略或防护措施可对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施, 仍可能存在残留的弱点, 使得信息安全防护变得无效, 从而导致信息安全事件发生, 并对企业的业务运行直接或间接地产生负面影响。此外, 以前未被认识到的威胁也将会不可避免地发生。企业如果对如何应对这些事件没有作好充分准备, 其任何实际响应的效率都会大打折扣, 甚至还可能增加潜在的业务负面影响。因此, 企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必要过程包括: (1) 发现和报告发生的信息安全事态, 无论是由企业人员/顾客引起的还是自动发生的 (如防火墙警报) 。 (2) 收集有关信息安全事态的信息, 由企业的运行支持组人员进行评估, 确定该事态属于信息安全事件还是发生了误报。确认该事态是否属于信息安全事件, 如果是, 则立即作出响应, 同时启动必要的法律取证分析、沟通活动。 (3) 进行评审以确定该信息安全事件是否处于控制下。 (4) 如果处于控制下, 则启动任何所需要的进一步的后续响应, 以确保所有相关信息准备完毕, 供事件解决后评审所用。 (5) 如果不在控制下, 则采取“危机求助”活动并召集相关人员, 如企业中负责业务连续性的管理者和工作组。 (6) 在整个阶段按要求进行上报, 以便进一步评估和决策。 (7) 确保所有相关人员, 正确记录所有活动以备后面分析所用。 (8) 确保对电子证据进行收集和安全保存, 同时确保电子证据的安全保存得到持续监视, 以备法律起诉或内部处罚所需。 (9) 确保包括信息安全事件追踪和事件报告更新的变更控制制度得到维护, 从而使得信息安全事态/事件数据库保持最新。

4、企业信息安全技术管理

我们所构建的信息安全管理体系中, 不能忽视技术的作用, 虽然只使用技术控制不能保证一个信息安全环境, 但是在通常情况下, 它是信息安全项目的基础部分。 (1) 密码服务技术。密码服务技术为密码的有效应用提供技术支持。通常密码服务系统由密码芯片、密码模块、密码机或软件, 以及密码服务接口构成。通常, 企业会涉及以下几个方面的密码应用:数字证书运算、密钥加密运算、数据传输、数据储存、数字签名、数字信封。 (2) 故障恢复技术。故障恢复的主要措施有:群集配置, 由多台计算机组成群集结构, 尽可能消除整个系统可能存在的单点故障;双机热备份, 在任何一台设备失效的情况下, 按照预先定义的规则快速切换至相应的备份设备, 维持业务的正常运行;故障恢复管理, 由专门的集群软件进行管理和监控, 使应用系统在任何软硬件组成单元发生故障时, 能够根据故障情况重新分配任务。 (3) 恶意代码防范技术:恶意代码防范技术包括四大系统:病毒查杀系统、网关防毒系统、群件防毒系统、集中管理系统。 (4) 入侵检测技术。入侵检测系统是实现入侵检测功能的一系列的软件、硬件的组合。入侵检测系统以实时方式监测网络通信, 对其进行分析并实时安全预警, 从而使企业能够有效管理内部人员和资源, 并对外部攻击进行早期预警和跟踪, 有效保障系统安全。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较这些审计记录文件与攻击签名是否匹配, 如果匹配立即报警采取行动.基于网络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络适配器来实时监视并分析通过网络进行传输的所有通信业务。 (5) 扫描与分析技术。端口扫描工具能识别网络上活动的计算机, 同样也可以识别这些计算机上的活动端口和服务。可以扫描特定类型的计算机、协议和资源, 也可进行普遍扫描。漏洞扫描可以扫描网络并得到非常详细的信息。可以识别暴露的用户名和组, 显示开放的网络共享, 并暴露配置问题和其他服务器漏洞。内容过滤器也能有效地保护机构系统, 使其不受误用和无意的拒绝服务。

5、企业信息安全培训的必要性

公司目前很多岗位和部门的员工都从事涉密数据相关工作, 有很多数据和信息涉及到公司的机密和知识产权, 但是大多数员工信息安全意识差, 在平时的工作中在意识上和实际工作中存在很多问题, 导致涉密数据的外漏, 给公司的生产经营造成不可挽回的损失。在有管理组织、政策制度和技术保障的情况下, 通过对涉密数据相关工作人员的信息安全意识和信息安全操作培训是非常必要的。

三、结语

总之, 企业信息安全管理体系是一个企业日常经营和持续发展的基本保证, 也是企业战略和管理的重要环节。建立信息安全管理体系的目的就是降低信息风险对企业的危害。并将企业信息系统投资和商业利益最大化。信息安全不只是个技术问题, 而更多的是商业、管理和法律问题。实现信息安全不仅仅需要采用技术措施, 还需要更多地借助于技术以外的其他手段。

参考文献

[1]刘仁勇, 王卫平.企业信息安全管理研究[J].信息安全与通信保密, 2007 (6)

[2]林东岱, 曹天杰.企业信息系统安全——威胁与对策[M].北京:电子工业出版社, 2004

企业信息安全管理体系建设的探讨 篇9

伴随着信息化技术快速的发展以及其在企业中的广泛应用, 企业信息化的建设成为了企业发展较为主要的内容。我国各企业在信息安全管理体系的建设上虽然取得了长足的发展, 但是也逐渐的暴露了一些潜在的问题, 例如没有标准的规范、以及资金的投入不足等问题, 致使黑客攻击和计算机病毒侵略等信息安全问题频发, 严重的威胁着企业信息安全甚至经济安全。因此, 如何建立安全可靠的企业信息安全管理体系, 现已成为各企业内部信息管理部门的主要研究课题。

2 企业信息安全管理体系概述

企业信息安全管理体系指的是:企业在特定的范围之内建立起信息安全的方针和目标, 并努力将这些目标完成的方法体系。企业信息安全管理体系可以表示为目的、方法、原则及过程等一系列要素集合, 主要作为企业直接的信息安全管理活动结果。建立企业信息安全管理体系的目的主要是用来提高企业信息管理的效率, 同时也为了给解决网络信息安全的问题提供可靠的帮助。

一般情况下, 企业信息安全管理体系主要的信息管理内容有:制定出信息安全管理的具体策略, 科学和合理的对信息安全进行组织, 并对各类信息财产和用户信息安全实施分类和管理;除此之外, 还要对信息环境安全性、以及操作技术和通信安全性进行管理;最后, 对信息安全管理系统开发与持续运营情况采取针对性的管理措施, 并对系统的后继维护实施相应管理。

3 企业信息安全管理体系建设的现状

近年来, 我国许多的企业都已经取得了信息安全管理体系的认证, 政府对网络信息安全的保障工作也越来越重视, 不断的颁布了一些信息安全保护的条例、标准和法规。这也使得信息系统逐渐在政府组织和各企业中真正的应用, 大多企业对信息系统的依赖性不断增长, 另外, 出于信息系统运作的收益性和风险性等, 使信息安全管理体系逐渐成为关键部分。

企业信息安全管理体系的建设在取得进步的同时也存在着一些影响其发展的因素, 据相关资料统计显示, 我国企业信息安全管理体系建设和维护方面的资金投入仅仅只占网络建设所投入资金的一部分。由于资金预算不足, 又只重视利益回报较多和较直接的项目, 使得部分企业的信息安全管理问题被忽视, 加上欠缺专业的信息安全管理人员, 致使我国企业信息安全管理体系的建设不到位。

企业信息安全管理体系建设的不到位具体的体现在以下几个方面:⑴欠缺信息安全策略。大多企业在信息系统建设方面都欠缺完善的安全策略, 还有的企业虽具备安全策略但是属于静态的, 不能适应动态的应用环境;⑵由于没有标准和成熟的安全技术手段, 使现存的信息安全规范无法正常的执行, 也影响了安全策略的制定和有效的执行过程;⑶信息安全管理体系在信息安全风险分析方面做得不到位。大多企业进行信息化的规划以及建设时, 欠缺对信息安全前期的分析, 将分析的对象过多的集中在技术层面分析上, 而对应用分析和风险评估上所做工作较少, 难以解决安全信息系统的操作失误和自身缺陷等所有安全问题;⑷信息安全的意识和管理责任制欠缺。部分企业的领导人还没有真正意识到信息安全管理的迫切性与重要性, 也没有认识到潜在的安全隐患和风险。另外, 信息安全管理责任制欠缺, 过多的将信息安全责任归到技术部门, 而缺少全员参与。

4 企业信息安全管理体系建设的具体步骤

4.1 进行企业信息安全管理体系基本框架的构建和完善

企业信息安全管理体系中的每一个组成部分都必须依据自身实际情况, 建设起对自身发展有利的业务平台, 并制定出科学且相关的信息安全管理制度, 通过管理日常的业务组建起与安全管理数据信息相符合的信息安全管理体系框架。其中包括各类文件存储的信息、文档信息等, 对信息安全管理过程所出现的安全信息事件进行仔细的记录, 严格控制好安全管理的水平, 同时建立起信息安全风险评价的机制, 提高企业信息安全管理体系主动性。最后, 在信息安全管理体系出现安全问题时要进行积极的补救, 尽量降低损失。

4.2 科学的实施信息安全管理的过程

要使所构建的信息安全管理体系得以顺利的运行, 就必须要科学的实施信息安全管理的过程, 全面考虑会对企业信息安全产生影响的各种因素, 如:制度因素、技术因素、人为因素以及操作规范等。除此之外, 企业信息安全管理体系要将企业各安全要素作为基础, 从而实施全面的信息安全管理过程, 重点关注安全组织管理、安全保障服务、安全设施、安全政策等要素。总之, 企业信息安全管理的过程大致有以下几方面:科学的采用信息资产的评估法以及风险分析法;建立起可实施的信息安全管理策略, 并采取安全防范的措施;选择可靠的安全产品完善的信息安全评估等级和标准, 最后进行信息安全管理体系的审核。

4.3 对信息安全管理的有关文档进行建立并完善

由于企业信息安全管理的范围十分的广泛, 所涉及到的文档内容也是多种多样的, 其中包括了信息安全管理的标准、政策、操作步骤等, 这也就决定了文档形式多样性。因此, 在进行文档的保存时要尽可能的依据原有文档的形式, 同时为了使文档的读取和管理更加的便利, 可将文档分类为不同等级和类型, 在后续的信息安全管理工作中容易被第三方进行访问理解, 使文档得到充分的应用。

4.4 加强企业员工信息安全管理相关知识培训

为了使企业信息安全管理的要求更加的明确, 也为了使企业员工的信息安全管理意识进一步的强化, 必须加强员工的信息安全管理相关知识培训。首先要进行网络管理员培训, 重点培训硬件设备安装的和调试过程, 以及软件的配置等方面的内容。其次对网络客户端的用户进行培训, 主要进行操作培训, 之后制定出网络客户端用户的相关管理制度。最后对企业的领导层进行培训, 培训的目的是为了让领导层充分认识网络安全的概念和建设信息安全管理体系的必要性, 从而大力的支持并积极的参与到信息安全管理体系的建设过程中。

4.5 进行安全风险的分析

在进行企业信息安全管理体系的建设过程中, 需要充分的分析业务过程, 认识到会对业务的连续性产生影响的一系列因素, 并区分出不同类别的信息对于业务连续性的重要作用。从而进行规范化的安全等级的划分以及信息安全风险分析, 进一步科学化和规范化的规划企业的信息安全管理系统。除了进行上述安全风险的分析工作以外, 还需要对信息安全事件进行及时和详细的记录并反馈, 以便建立起信息安全有效的应对机制。信息安全事件的记录工作必须要清楚和明了, 对所记录的材料应该进行妥善的管理。

5 结束语

综上所述, 现在越来越多的企业已经将信息安全当做业务发展的重要前提之一, 通过建立企业信息安全管理体系能够使企业进一步的认识到应该关注的信息安全的重点对象, 同时更好的满足客户在信息安全方面的要求。对信息安全管理体系的建立一方面要参照国内外的相关标准, 另一方面要结合自身的特点合理的规划和实施, 彻底消除企业信息安全的隐患, 避免因信息安全事件给企业带来的损失。

参考文献

[1]曲成.在企业建立有效的信息安全管理体系[J].计算机安全, 2011, 25 (11) :476-477.

[2]冯晓娜, 韩小红, 刘文云.电子商务环境下基于ISO27001的企业信息安全管理体系研究[J].现代情报, 2011, 13 (02) 986-987.

[3]程绪红, 何昆, 崔银秋.信息安全管理体系在企业管理中的应用[J].上海质量, 2013, 15 (09) :486-521.

信息安全管理制度体系 篇10

随着我国高校信息化建设的不断推进, 各高校的网络安全意识不断增强, 普遍加大了对网络安全方面的投入, 配置了一些网络安全设备, 诸如硬件防火墙、VPN、入侵检测系统、防病毒系统、认证系统等, 基本形成了技术层面的一道保护屏障, 似乎可以一劳永逸了。但是, 服务器瘫痪、病毒感染、网页被篡改、机密资料泄露等各类信息安全事件依然频繁出现, 这些事件必将给学校的声誉甚至国家安全都带来严重的影响。

2011年年底发生的CSDN.NET (全球最大中文IT社区) 网站600万用户、天涯社区4000万用户数据泄露事件, 震惊了整个业界, 更让人惊讶的是这些用户的密码都是以明文形式存放于网站的后台数据库。这已经不是简单的技术性问题了, 而是暴露出严重的管理漏洞。

俗话说, “三分技术, 七分管理”, 本文以数字校园为背景, 从建立信息安全管理体系 (Information Security Management System, 简称ISM S) 入手, 用风险评估的方法, 探索在信息安全事件几乎不可避免地发生的情况下, 如何将风险控制在学校可以接受的范围内, 并运用PDCA过程方法, 持续改进, 不断地完善信息安全管理体系, 从而形成一种常态化的管理机制。

二﹑数字校园信息安全形势概述

不同于公司、企业环境的网络, 高校的网络氛围比较倡导自由与分享, 对上网行为受到各种限制比较反感, 这样一来, 一些应用于公司网络环境下的常规的安全管理策略, 就难以在学校应用和落实。

随着QQ、微博、微信等社交网络应用的普及, 教师、学生不再单纯是信息的“消费者”, 也是信息的“生产者”, 一旦有重大事件、突发事件发生, 甚至传播谣言, 必将给学校的日常管理和安全稳定造成巨大的挑战。

另外, 数字校园的Web网站数量众多, 代码开发质量更是参差不齐, 几乎每时每刻都面临来自内部、外部的各种网络攻击, 尤其是学校主页、招生网等访问量较大的Web站点, 经常是黑客攻击的重点目标, 表1是公开报道的近几年我国几所著名高校所发生的Web安全事件。

需要注意的是, 在当前的信息化背景下, 除了重视传统网络安全的管理, 还应加强对技术专利、重要合同、重大研究课题、关键技术人员、财务数据等具有重要价值的信息的安全管理。尤其是近些年来, 广大高校、科研院所承担了众多的国家级、省部级科研项目, 其中涉及重大国防军工科研项目、尖端技术以及国家重要政策的研究, 涉密程度较深, 其研究成果和进展情况等信息已经成为境内外敌对势力和国外情报机构窃密的重要目标[1]。

尽管各高校有针对性地开展了保密工作和信息系统安全等级保护工作, 但是由于各种原因, 各项制度落实不到位, 信息系统所定级别普遍较低, 而且备案系统的数量远远少于实际的信息系统数量, 无法对高校的信息资产进行科学性、系统性管理。

三﹑建立ISMS

针对上述问题, ISMS成为近年来在管理体系和信息安全领域兴起的一个热门话题, ISMS最初来源于英国标准学会发布的BS7799标准, 并伴随着其作为国际标准 (ISO/IEC 27001:2005和ISO/IEC 27001:2005) 的发布和普及而被广泛地接受, 我国已经完成了上述国际标准的转化工作, 等同采用、发布了GB/T 22080-2008 (ISO/IEC 27001:2005) 和GB/T 22081-2008 (ISO/IEC 27002:2005) , 并于2008年11月1日实施。

事实上, ISMS目前已是业界所公认的信息安全最佳实践之一[2], 依据上述标准, 要建立信息安全管理体系, 一般经过以下几个主要步骤, 如图1所示。

ISMS作为数字校园整体规划的一部分, 首先要获得主管校领导的强力支持和推动, 并建立信息安全组织机构。目前, 我国数字校园的建设主要由学校的网络中心负责, 而学校的网络中心普遍被视为提供技术服务的后勤保障部门, 而不是享有管理权限的职能部门, 因此, 在建立、实施和保持数字校园信息安全管理体系的过程中, 对学校的组织架构和职能划分提出了新的要求。

另一方面, 要分工明确, 目标清晰。如图2所示, 是一种典型的数字校园信息安全管理体系组织架构, 将相关人员大体上分为三类:高层、中层和基层。

(1) 高层:一般由信息中心主任作为管理者代表, 协助主管校领导建立、实施和保持信息安全管理体系、处理内部审核、管理评审等事务, 还包括一些相关事宜的外部联络。

(2) 中层:主要由数字校园信息系统主管 (内部审核员, 负责信息系统规划、人员培训、信息安全、文件编制等事务) 和数字校园网络主管 (内部审核员, 负责网络规划、人员培训、网络安全、文件编制、上网流量分析、上网行为管理等事务) 组成。

(3) 基层:主要由各分院 (部门) 信息员、网络管理员、各业务系统管理员等组成, 负责贯彻、执行信息安全管理体系各项要求, 完成高层、中层领导布置的各项任务。

四﹑实施和运行ISMS

如图3所示, 提供了一种数字校园信息安全管理体系实施框架, 针对确立的范围、方针和目标, 可以从组织管理和技术保障两方面来建立和规范相关的实施过程。具体可以参照GB/T 22080-2008 (ISO/IEC 27001:2 0 0 5) , 附录A提供了多达1 3 3项的信息安全控制措施, GB/T 22081-2008 (ISO/IEC 27002:2005) 第5章至第15章提供了最佳实践的实施建议和指南。

五﹑监视和评审ISMS

在建立数字校园信息安全管理体系的过程中, 需要制订和分发大量的管理体系文件, 典型的管理体系文件层次如图4所示, 包括管理手册、方针文件、程序文件、作业文件、记录表单等。

这些管理体系文件如果不落实、不执行, 那将是一纸空文, 依照ISMS相关标准, 组织需要定期进行内部审核, 发现不符合项, 开具不符合项报告, 并编写审核报告, 提交给管理者代表和最高管理者, 作为管理评审的输入[4]。对于高校来说, 可以根据实际情况自行选择内部审核和管理评审的时间间隔, 建议每学期至少一次内部审核, 每学年至少一次管理评审, 及时发现问题, 解决问题。如果条件允许, 甚至可以申请ISMS认证, 由第三方的认证机构来进行审核。

六﹑保持和改进ISMS

建立数字校园信息安全管理体系并不是以通过ISMS认证为目的, 也不是要从根本上杜绝信息安全事件的发生, 更不是一步到位, 一劳永逸, 而是建立一种常态化的管理体系。对于高校来讲, 可以同我国信息系统安全等级保护制度相结合, 在信息安全事件几乎不可避免地发生的情况下, 能将信息安全事件所带来的危害和损失控制在学校可以接受的范围之内, 并基于ISMS内部审核和管理评审的结果或者其他信息, 及时采取预防和纠正措施, 甚至可以根据实际情况调整接受风险的准则, 以持续改进ISMS。

七﹑总结

ISMS在我国高校还处于起步和应用阶段, 需要通过不断地实践和持续改进, 并根据数字校园自身的特点, 一方面加强宣传教育和培训, 提高广大教职工和学生的信息安全意识, 另一方面, 把组织管理和技术保障相结合, 充分识别资产以及资产面临的各项风险, 从而有的放矢, 将风险控制在学校可以接受的范围内。

参考文献

[1]徐业松.高校及科研机构泄密案件探因与防范措施研究[J].兰台世界, 2011 (8) .

[2]谢宗晓, 刘琦.信息安全管理体系实施案例及文件集[M].北京:中国标准出版社, 2010.

[3]郭夏言, 周洁.基于ISMS思想的涉密信息系统安全保密管理体系框架研究与构建[J].保密科学技术, 2011 (8) .