序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)��,特別為您篩選了11篇信息安全工作計(jì)劃范文����。如果您需要更多原創(chuàng)資料,歡迎隨時與我們的客服老師聯(lián)系��,希望您能從中汲取靈感和知識��!
篇1
一、傳統(tǒng)文化
1���、"牽手閔行���,心系交大"
與上海市閔行區(qū)閔行中學(xué)的共建項(xiàng)目開展于XX年10月份,自開展以來受到了學(xué)校各界的積極好評���。本項(xiàng)目主要包括對高三緊張應(yīng)考的學(xué)生進(jìn)行學(xué)習(xí)指導(dǎo)����,人生規(guī)劃指導(dǎo)�,報考指導(dǎo)。借鑒自身經(jīng)歷��,向更多高三學(xué)子傳授備考經(jīng)驗(yàn)等�。時至今年,我們將在今年10份繼續(xù)"牽手閔行�,心系交大",以指引更多優(yōu)秀的同學(xué)加入到交大人信安人的行伍之中�。
與此同時,我們將在借鑒往年經(jīng)驗(yàn)的基礎(chǔ)上����,擴(kuò)大規(guī)模�,擴(kuò)大范圍至整個閔行區(qū)����,并展開與學(xué)院學(xué)習(xí)部協(xié)作的機(jī)制�����,共同開展實(shí)施共建項(xiàng)目�����。
屆時��,我們將在基礎(chǔ)學(xué)年招募相關(guān)志愿者加入我們的行列���,我們期待你的加盟����!
2���、"團(tuán)改金"項(xiàng)目培訓(xùn)指導(dǎo)
"團(tuán)改金"全稱是團(tuán)組織生活改革基金���,是交大一個極具特色的學(xué)生活動�����,做為每個交大的學(xué)生都有必要參加��。主要是為了提供大家一個課外社會實(shí)踐的平臺����,促進(jìn)提高大家的能力?����,F(xiàn)在也有許多其他的高校采納)了我們的做法�,可見它的效果。而且���,優(yōu)秀的團(tuán)改金活動會得到相應(yīng)的獎勵����,來鼓勵大家繼續(xù)將這個活動做下去���。
本學(xué)期�����,我們將繼續(xù)對大一各個班級的團(tuán)支書同學(xué)進(jìn)行培訓(xùn)�����,以使得各個班級能順利的開展團(tuán)改金活動���,并提高支部的凝聚力。
歡迎大家前來學(xué)院組織部咨詢相關(guān)事宜��。
3�����、責(zé)任和義務(wù)
作為一名團(tuán)員��,按時交納團(tuán)費(fèi)��,積極完成團(tuán)組織的下達(dá)的指令和任務(wù)�����,切實(shí)履行團(tuán)員的職責(zé)�����。
本學(xué)期,我們將配合校團(tuán)委按時完成團(tuán)費(fèi)上繳和團(tuán)員統(tǒng)計(jì)工作�����,切實(shí)履行團(tuán)組織工作職能����。
我們感謝你的配合和理解!
二�����、前人種樹�����,后人乘涼
首先���,感謝過去一年為我們工作創(chuàng)造良好環(huán)境的老干部們:��。
(但凡組織部的干事�����,日后找此三人���,自報家門���,必衣食無憂!)
1����、破冰
我們將在學(xué)生會的統(tǒng)一安排下進(jìn)行招新工作,吸納更多的優(yōu)秀同學(xué)成為我部干事����。并將對其進(jìn)行定期的培訓(xùn)�,內(nèi)容包括:
a、與名師對話:邀請有學(xué)生工作經(jīng)驗(yàn)的學(xué)長�����,老師進(jìn)行工作交流和指導(dǎo)�����。
b���、破冰:在招募完成后��,立即進(jìn)行團(tuán)隊(duì)組建和破冰活動����,我們將突破以往的形式,實(shí)施新的部門工作形式�����。以工作小組和工作團(tuán)隊(duì)的形式進(jìn)行項(xiàng)目攻關(guān)�����,以提高效率和責(zé)任制��。同時�����,我們也希望組織各個班級的班長以及團(tuán)支書進(jìn)行相應(yīng)的培訓(xùn)�,以鼓勵大家在日后工作中積極的配合和協(xié)作!
c�����、交換生:我們將定期與其他部門進(jìn)行干事交換項(xiàng)目,以鍛煉更多的人才��。
2�����、utjs項(xiàng)目
utjs即是體驗(yàn)式培訓(xùn)項(xiàng)目的簡稱�,我們將在大一年級開展相關(guān)培訓(xùn),以增強(qiáng)支部的凝聚力�。我們將邀請我院資深培訓(xùn)導(dǎo)師,院團(tuán)委書記朱春玲老師為我們新生進(jìn)行指導(dǎo)培訓(xùn)工作����。
篇2
1.2網(wǎng)絡(luò)信息技術(shù)缺乏。信息技術(shù)的完善和成熟是檔案信息化建設(shè)的必要條件之一�����,而現(xiàn)有的技術(shù)只是針對網(wǎng)絡(luò)及生活的交流需要并沒有對文件的歸納管理以及檔案建設(shè)提供需求��。檔案信息化建設(shè)并不是人們所知的信息輸入到電腦上連接網(wǎng)絡(luò)后上傳就完成的���,一部分的專業(yè)管理技術(shù)仍需要相關(guān)人員進(jìn)一步更新和完善。如今�,許多相關(guān)的工作人員并沒有體會到檔案信息化給與的便利之處����,只因?yàn)樗麄儗τ谒^的信息技術(shù)沒有熟練的掌握更別提把這項(xiàng)先進(jìn)的技術(shù)與工作融會貫通�����。由于業(yè)務(wù)生疏�,便會出現(xiàn)我們上述闡述出如檔案混亂,信息丟失等問題����。
1.3管理的安全分析。檔案信息化的安全工作核心就是管理�。管轄范圍不明、責(zé)任不明�、管理制度不健全以及缺乏可行性操作等都有可能引起安全風(fēng)險。尤其是當(dāng)網(wǎng)絡(luò)出現(xiàn)漏洞�����、安全威脅和攻擊行為時����,更是無法及時的進(jìn)行實(shí)時監(jiān)測、報告�����、控制和預(yù)警。同時����,當(dāng)出現(xiàn)事故后,相關(guān)的工作人員也無法提供準(zhǔn)確的線索給與追蹤和定位�,既缺乏對網(wǎng)絡(luò)事故的可控性和可審查性。這就要求我們的相關(guān)工作人員具備一定的網(wǎng)絡(luò)技術(shù)����,以便及時發(fā)現(xiàn)不法分子的非法入侵。
1.4安全應(yīng)用系統(tǒng)的分析���。應(yīng)用系統(tǒng)的安全系數(shù)與具體使用有關(guān)��。應(yīng)用系統(tǒng)的安全是變化的�,并且類型也是不斷的增加��。在選擇應(yīng)用系統(tǒng)的安全性能上�,應(yīng)首先考慮最大化的建立起一個安全系統(tǒng)平臺���,并且可以通過專業(yè)的安全軟件以及技術(shù)不斷的更新發(fā)現(xiàn)系統(tǒng)威脅漏洞����,提高系統(tǒng)的安全指數(shù)。當(dāng)然使用的應(yīng)用系統(tǒng)安全性也會危及到數(shù)據(jù)���、信息的安全性�����。機(jī)密檔案的信息泄露�����、未經(jīng)允許授權(quán)的訪問���、試圖破壞信息的完整度、破壞系統(tǒng)的指令等都是對應(yīng)用程序安全性的考驗(yàn)�����。因此����,用戶使用計(jì)算機(jī)調(diào)動檔案信息時必須要進(jìn)行身份驗(yàn)證,對于檔案信息的傳送也要經(jīng)過管理員的授權(quán)和加密。采用多環(huán)節(jié)的訪問控制和權(quán)限控制���,保障數(shù)據(jù)信息的機(jī)密性和完整性�����。
2數(shù)據(jù)化工作的普及
2.1推進(jìn)網(wǎng)絡(luò)安全��。對于檔案管理的相關(guān)工作人員���,普及網(wǎng)絡(luò)安全知識已經(jīng)勢在必行。由于工作人員已經(jīng)習(xí)慣于使用傳統(tǒng)老舊的工作方式�,對于新興的網(wǎng)絡(luò)管理不能很快的熟練掌握。這是一個必然的過程�����,但面臨一個信息化的時代和工作環(huán)境����,認(rèn)真嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度卻是每一個檔案管理的相關(guān)工作人員必備的態(tài)度。不能因?yàn)椴皇炀毣蚴遣涣?xí)慣而忽略一些安全隱患����,最終因?yàn)榫W(wǎng)絡(luò)知識的缺乏而導(dǎo)致不必要的麻煩����。
2.2開發(fā)信息技術(shù)�����。阻礙檔案信息化進(jìn)程發(fā)展的是計(jì)算機(jī)信息技術(shù)的落伍���。而已經(jīng)存于市面上的先進(jìn)技術(shù)也不能應(yīng)用到檔案信息化的建設(shè)中。前者是因?yàn)榧夹g(shù)認(rèn)知的落后�,后者是因?yàn)閷?shí)踐與理論相背離。要知道檔案工作的信息化建設(shè)不是因?yàn)樾枰畔⒒畔⒒?���,而是因?yàn)橐N合大眾的需求,跟隨時代的腳步��。對于那些工作中遺留的落伍技術(shù)就應(yīng)該及時的更新?lián)Q代���。選擇時下已經(jīng)成型并且前景遠(yuǎn)大的新型信息技術(shù)�����。而對于成果失敗者����,應(yīng)當(dāng)加強(qiáng)實(shí)踐驗(yàn)證,拉近理論和實(shí)踐之間的縫隙���,把兩者之間存在的問題具體到應(yīng)用上并及時的反饋以便調(diào)整����,避免資源的浪費(fèi)�。
篇3
一、引言
21世紀(jì)是電腦網(wǎng)絡(luò)科技的世紀(jì)����,信息借助網(wǎng)絡(luò)傳輸既快速又廣泛的流通與交換,科技進(jìn)步孕育出全球化社會����。隨著網(wǎng)絡(luò)的普及化,信息安全的重要性更加凸顯��,提升企事業(yè)組織信息安全防御能力��,便成當(dāng)務(wù)之急的工作�。信息安全維護(hù)旨在確保信息的機(jī)密性、完整性與可用性��,我們應(yīng)當(dāng)落實(shí)最佳安全實(shí)務(wù)準(zhǔn)則及縱深防御策略,以應(yīng)對信息網(wǎng)絡(luò)安全的威脅���。有鑒于此,無論是防護(hù)機(jī)制建立�����、法令規(guī)范修訂��、教育培訓(xùn)與人才培養(yǎng)��,均須落實(shí)執(zhí)行����。傳統(tǒng)的信息安全架構(gòu)與信息服務(wù)的安全架構(gòu)是目前經(jīng)常被拿來相比較的議題,大多數(shù)的資料中心發(fā)展成信息服務(wù)中心時����,傳統(tǒng)安全防護(hù)架構(gòu)需要面臨擴(kuò)充性以及適用性的挑戰(zhàn),從信息基礎(chǔ)設(shè)施��、運(yùn)作應(yīng)用程序以及各種不同類型的軟件服務(wù)�����,增加了管理上的復(fù)雜度。信息服務(wù)的營運(yùn)管理��,為確保信息服務(wù)內(nèi)容與營運(yùn)品質(zhì)的重要因素���,信息服務(wù)的管理��,除了技術(shù)面的問題���,許多必須注重在政策面的管理。
二�、計(jì)算機(jī)信息安全管理工作開展思路
一是已知的信息安全脆弱性。假如一個公司或機(jī)構(gòu)曾經(jīng)對其本身的信息系統(tǒng)安全進(jìn)行評估并研析評估資料�,則這一公司或機(jī)構(gòu)將可更有效地確保其信息系統(tǒng)的安全,同時可將其先前所存在的弱點(diǎn)的性質(zhì)告知其他公司與機(jī)構(gòu)����,以節(jié)省彼此的時間及風(fēng)險。但是���,當(dāng)相關(guān)公司擔(dān)心因?qū)θ觞c(diǎn)的矯正不夠徹底而面臨法律問題時����,則將影響此種信息分享的方式�。舉例而言��,若是某一公司或機(jī)構(gòu)只對其系統(tǒng)中經(jīng)確認(rèn)的弱點(diǎn)的90加以改進(jìn)�����,并將相關(guān)信息與其他公司分享�����,則這一公司可能會因違反管理標(biāo)準(zhǔn)而遭到處罰。
二是有關(guān)進(jìn)行中的IT 方面的攻擊或持續(xù)存在的威脅的預(yù)警(但不提及“來源與方法”)�����。信息系統(tǒng)管理人員與網(wǎng)絡(luò)管理人員是最可能首先發(fā)現(xiàn)入侵行動或攻擊行動的人�。他們大都不愿意將入侵事件向執(zhí)法單位報告,因?yàn)樗麄儞?dān)心業(yè)主所擁有的信息會因而對外泄漏或一旦入侵事件公諸于世會危害機(jī)構(gòu)或該公司的名譽(yù)��。所以���,當(dāng)執(zhí)法單位接獲有關(guān)持續(xù)進(jìn)行的攻擊事件的報告時���,應(yīng)設(shè)法對這一信息加以篩選、分析�����,然后分送給其他可能會受影響的單位。如此一來���,將可不在提及遭受攻擊的機(jī)構(gòu)或公司名稱的情形下�����,確認(rèn)潛在的脆弱性或攻擊行動���。在另一方面,出現(xiàn)有計(jì)劃的攻擊或刺探行動時����,因?yàn)檫@等行動通常普遍可能成為國家安全的隱憂或因?yàn)樵撔袆邮莵碜杂谀骋惶囟ǖ耐鈬视蓤?zhí)法單位進(jìn)行的信息分享方式顯得特別重要�。
三是用以對付某種型態(tài)的IT 方面的攻擊的策略。當(dāng)某一機(jī)構(gòu)發(fā)現(xiàn)了一項(xiàng)弱點(diǎn)或被告知某項(xiàng)弱點(diǎn)�,而且也找到了解決辦法,則這一機(jī)構(gòu)可能會抗拒與其他機(jī)構(gòu)分享此方面的信息����,因?yàn)檫@種解決辦法對業(yè)主而言極具價值。有關(guān)這一方面���,政府的職責(zé)應(yīng)在于對相關(guān)信息進(jìn)行事前的篩選后加以分送��,這一方面有助于其他機(jī)構(gòu)做好預(yù)防工作�,一方面又不至于泄漏關(guān)鍵信息。我們可要求各個公司提供有關(guān)新病毒���、網(wǎng)絡(luò)蠕蟲與木馬的信息����、某一特定黑客所使用的方法��、與選定特定攻擊目標(biāo)的黑客會面所收集到的信息等���。這一做法未來將有助于建立與識別相關(guān)的軌跡,并有助于提升入侵偵測的能力以發(fā)揮更佳的保護(hù)效果����。
四是通過偵測、分析�、防御與應(yīng)變程序進(jìn)行信息服務(wù)的管理,面對所遭遇的問題�����,通過不斷的持續(xù)改善,依據(jù)所發(fā)掘的異常行為進(jìn)行信息服務(wù)的改善���,包括了基礎(chǔ)設(shè)施����、系統(tǒng)平臺以及應(yīng)用程序等�,增加信息服務(wù)的完整性與可靠度。信息安全管理系統(tǒng)可應(yīng)用于公有信息服務(wù)����、私有信息服務(wù)或是混合性的信息服務(wù)架構(gòu)中,通過整體的自我防御機(jī)制����,以維持自然的生態(tài)平衡,能夠?qū)τ诋惓5男袨樘卣鬟M(jìn)行應(yīng)對與處置����。信息安全管理系統(tǒng),必須擁有自動化的處理能力�����,面對外來與內(nèi)在的威脅,進(jìn)行自我的防御與應(yīng)變��,以縮小影響的范圍與處理的時效����,面對大量的資源而言,必須有效的掌握現(xiàn)有資源的狀態(tài)�����,以做為資源的調(diào)配上的參考指標(biāo)�����。
三�����、計(jì)算機(jī)信息安全管理系統(tǒng)構(gòu)建
信息運(yùn)算環(huán)境下的安全威脅����,以風(fēng)險的角度可以分成信息安全技術(shù)����、流程、程序、法律以及互信模式等項(xiàng)目進(jìn)行討論����,以信息安全技術(shù)而言,為符合服務(wù)導(dǎo)向的架構(gòu)���,目前進(jìn)行信息安全的規(guī)劃與設(shè)計(jì)時���,須先確定提供服務(wù)的內(nèi)容與對象,以確定需要導(dǎo)入的信息安全技術(shù)為何�。信息服務(wù)安全的標(biāo)準(zhǔn)化建設(shè),必須具備以下幾項(xiàng)要件�。
第一,信息安全管理系統(tǒng)將相同的理論應(yīng)用在信息運(yùn)算所提供的信息服務(wù)上���,將整個信息架構(gòu)分成了偵測��、分析�����、防御���、應(yīng)變等幾個元件。一是偵測:通過信息安全相關(guān)的設(shè)備,如應(yīng)用層防火墻����、通訊協(xié)定分析設(shè)備、入侵偵測系統(tǒng)��、誘捕系統(tǒng)等,建立信息環(huán)境的偵測點(diǎn),運(yùn)用特征比對與行為分析的方式��,進(jìn)行異常狀態(tài)的偵測,進(jìn)行信息的收集,以提供后續(xù)的進(jìn)行資料探勘與分析使用。二是分析:大尺度的信息環(huán)境����,產(chǎn)生大量的系統(tǒng)日志與網(wǎng)絡(luò)流量等資料�,因?yàn)樾畔⒎?wù)維運(yùn)的需求,又必須即時進(jìn)行資料的探勘�,以掌握信息服務(wù)的狀態(tài),若有異常的行為出現(xiàn)����,必須進(jìn)行處置以避免影響信息服務(wù)的安全����,因此通過建構(gòu)日志系統(tǒng)以提供未來稽核所需要的佐證文件,為規(guī)劃與建構(gòu)信息資料分析平臺不可或缺的考量。三是防御:信息環(huán)境須具備防御的機(jī)制����,當(dāng)有異常的行為出現(xiàn)時,必須能夠進(jìn)行自我的防御��,以避免影響其它的信息服務(wù)�����。四是應(yīng)變:針對異常的行為或是威脅進(jìn)行應(yīng)變處置��,必須具備自動化應(yīng)變的能力�����,通過自主的應(yīng)變措施�����,以提供信息環(huán)境掌控風(fēng)險�,并且結(jié)合風(fēng)險評價與改善規(guī)劃,進(jìn)行環(huán)境的調(diào)整���,以達(dá)信息服務(wù)的持續(xù)提供����。
第二,實(shí)現(xiàn)與維護(hù)信息安全計(jì)劃�。完整的信息安全防護(hù)計(jì)劃,可以確保信息架構(gòu)的安全��,針對風(fēng)險與威脅都進(jìn)行管理與控制�,并且能夠持續(xù)維護(hù)信息安全計(jì)劃的有效性,以應(yīng)對新型態(tài)風(fēng)險與威脅的出現(xiàn)�,通過應(yīng)變策略的擬定,針對信息服務(wù)的安全性進(jìn)行掌握���。另外���,還需建構(gòu)與管理信息安全的基礎(chǔ)設(shè)施。通過完整的基礎(chǔ)設(shè)施���,能夠提供信息服務(wù)所需的高彈性資源調(diào)配���,確保服務(wù)的可靠性,因此通過基礎(chǔ)設(shè)施的保護(hù)�,為提供信息服務(wù)的基本要素,同時通過服務(wù)供應(yīng)商����,以確保在符合法律、法規(guī)以及客戶的要求下�����,有能力滿足對于所要求的服務(wù)內(nèi)容����。除此之外,確保機(jī)密資料安全防護(hù)���。資料的安全防護(hù)為信息服務(wù)的核心原則���,所有通過信息服務(wù)進(jìn)行傳輸、存取與保存的資料����,必須受到嚴(yán)格的資料安全防護(hù)機(jī)制,對于企業(yè)而言�,機(jī)敏的資料必須確實(shí)受到安全的防護(hù),才會考慮是否采用信息服務(wù)模式在其商業(yè)營運(yùn)上���,因此無論采用何種方式使用信息服務(wù)�����,所有的資料流均必須考慮到資料安全的防護(hù)問題�。
第三,實(shí)現(xiàn)嚴(yán)謹(jǐn)?shù)拇嫒】刂婆c身份識別管理���。使用者可以由不同的管道使用信息服務(wù)���,但是不論使用何種方式,均必須確保能夠正確的驗(yàn)證使用者的身份��,并且能夠針對使用者的權(quán)限進(jìn)行有效的管理����,以限制能夠提供存取的資料范圍。另外��,需建立應(yīng)用程序與環(huán)境的配置�。當(dāng)使用者通過信息服務(wù)的使用者界面進(jìn)行服務(wù)內(nèi)容的設(shè)定,信息服務(wù)的架構(gòu)必須由一連串的變更進(jìn)行環(huán)境的配置與設(shè)定�����,以確定能夠由自動化的程序���,建立應(yīng)用程序與環(huán)境的整合��。
第四�,實(shí)施信息治理與稽核管理規(guī)劃�。對于信息環(huán)境的管理,必須配合稽核計(jì)劃進(jìn)行����,以確保所有的信息服務(wù)能夠在可被驗(yàn)證與舉證的前提下,提供使用者安全上的信賴���,其中必須涵蓋日志的收集以及需要進(jìn)行稽核的紀(jì)錄�,整體的管理規(guī)劃必須同時配合信息服務(wù)的推出進(jìn)行建構(gòu)���。另外��,需要實(shí)現(xiàn)弱點(diǎn)掃瞄與入侵偵測系統(tǒng)架構(gòu)����。在被信任的的信息服務(wù)中��,必須實(shí)現(xiàn)信息架構(gòu)中的基礎(chǔ)設(shè)施���、系統(tǒng)平臺以及應(yīng)用程序的弱點(diǎn)管理機(jī)制���,通過管理機(jī)制的建立��,以進(jìn)行嚴(yán)格的弱點(diǎn)管理計(jì)劃���,配合入侵偵測系統(tǒng)、入侵防御系統(tǒng)以及IT資源的管理����,其中包括了網(wǎng)絡(luò)、服務(wù)器�����、基礎(chǔ)設(shè)施等元件��,以確定提供信息服務(wù)的內(nèi)容��,不因?yàn)榇嬖谌觞c(diǎn)而造成風(fēng)險與威脅��。
第五����,采用對稱與非對稱式的信息加密防護(hù)策略����。該加密過程至少包含以下元素:明文���、加密演算法���、加密鑰匙及密文��。明文代表未加密內(nèi)容����,密文代表加密后內(nèi)容,演算法代表加密規(guī)則�、鑰匙代表加密時所要定義的參數(shù)。以替代加密法的例子為例����,選定凱撒加密法為演算法,而決定字母要位移幾位��,就是鑰匙�,加解密雙方都必須知道這只鑰匙,才能順利加解密。加解密時使用同一把鑰匙��,是一直以來的概念����,也即密碼學(xué)發(fā)展到此時,均屬對稱式加密�����,諸如DES����、RC2、Blowfish等���。于是在加密法強(qiáng)化到難以破解后��,鑰匙的交換與保護(hù)�,便成為重要課題��。無論資料如何加密保護(hù)�����,鑰匙的傳遞都必須曝露在相對公開的環(huán)境下傳送,非對稱式加密�,即是為了解決這樣的困境而誕生的。
四���、結(jié)語
信息安全研究中一項(xiàng)重要的目標(biāo)是發(fā)展高度安全����、可靠及彈性的信息系統(tǒng)�,確保未來使用電腦、網(wǎng)絡(luò)與其他網(wǎng)絡(luò)系統(tǒng)變得和打開電燈或水龍頭一樣的安全及可靠����。美國等發(fā)達(dá)國家十分重視保障未來各種信息系統(tǒng)安全的基礎(chǔ)建設(shè)�����,要求各種信息設(shè)備在出廠時即具有使用者可以信賴的安全性以及可靠度��。在預(yù)算范圍內(nèi)發(fā)展高度安全與可靠的系統(tǒng)將是未來追求的目標(biāo)��,并需通過全國性的網(wǎng)絡(luò)安全研究發(fā)展程序來達(dá)成��。
我國開始關(guān)心數(shù)字社會信息安全的作業(yè)��,時間尚短經(jīng)驗(yàn)的累積不多,許多應(yīng)建立的價值�、觀念、制度���,大家都還在摸索之中���。隨著信息技術(shù)的一日千里,在“運(yùn)籌于虛擬實(shí)境之外�,決勝在網(wǎng)頁方寸之中”的數(shù)字社會信息系統(tǒng)安全的環(huán)境下,如何應(yīng)對我國民生息息相關(guān)的信息系統(tǒng)安全作業(yè)等議題����,值得展開更深入的思考與討論。傳統(tǒng)的信息安全問題����,仍然會出現(xiàn)在信息服務(wù)的環(huán)境中,但伴隨著虛擬化的架構(gòu)���、動態(tài)資源的調(diào)配以及跨越不同地理位置的服務(wù)模式�����,將讓信息安全的問題變得更為復(fù)雜���,而且新型態(tài)的安全問題也隨著信息服務(wù)的提供而出現(xiàn)���,因此更需要通過技術(shù)的層面以及管理的層面,整體的檢視信息服務(wù)與相關(guān)的架構(gòu)�����,方能提供信息服務(wù)的使用者在安全防護(hù)上的保障��,結(jié)合信息安全監(jiān)控中心�,對于信息環(huán)境內(nèi)的狀態(tài)進(jìn)行掌控,保存相關(guān)的系統(tǒng)日志與稽核紀(jì)錄�,可做為信息安全事件分析的重要信息來源。
參考文獻(xiàn)
[1]張昱.對計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的分析[J].廣東科技��,2011(10).
篇4
關(guān)鍵詞:信息化管理對策
一�����、信息化條件下部隊(duì)安全管理工作面臨的新考驗(yàn)
(一)信息化條件下部隊(duì)安全形勢更加復(fù)雜����。一方面�����、部隊(duì)安全隱患呈現(xiàn)多樣化趨勢。相比以往的“人車槍彈酒��,水火電毒密”等傳統(tǒng)安全隱患���,網(wǎng)路保密安全��、官兵交往安全���、網(wǎng)路不良信息對我官兵的影響等方面的安全隱患,逐步呈現(xiàn)出高速增長的趨勢���,給部隊(duì)安全管理帶來的影響也越來越大����。而傳統(tǒng)安全隱患����,由于現(xiàn)代信息技術(shù)的發(fā)展,在數(shù)量上����、形式上��,也比以往更加紛繁復(fù)雜�����。另一方面�,各種安全隱患之間又存在著復(fù)雜的聯(lián)系性���。信息化條件的一個重要特點(diǎn)是其信息的交互性�����,由于信息技術(shù)的發(fā)展���,使得各個孤立的安全隱患能夠互相交互信息,產(chǎn)生影響�����。
(二)信息化條件下部隊(duì)安全隱患更加隱蔽�。一是時間上的不確定性。安全隱患的一個顯著特點(diǎn)是其在轉(zhuǎn)化為事故案件的時間上具有不確定性����。信息化條件下,各種安全隱患通過信息手段進(jìn)行交織影響�����,積累融合��,最后在爆發(fā)上具有明顯的突然性��,往往令人措手不及��。二是空間上的不受限性�。信息化時代的另一個顯著的特點(diǎn)是其在地域上沒有任何限制,無論身處何處����,只要有先進(jìn)的技術(shù)手段,都能進(jìn)行信息間的交流��。三是安全隱患的抽象性��。信息化條件下的新安全隱患不像傳統(tǒng)的水�����、電�、人員秩序管理等方面問題�,具有可見性����、可抓性,往往能及早發(fā)現(xiàn)���,及早整改��。而網(wǎng)絡(luò)保密安全���、部隊(duì)通信安全、人員通信交往等方面的隱患具有明顯的抽象性�����。
(三)信息化條件下部隊(duì)安全管理更加棘手����。一方面,在影響上具有廣泛性��。隨著手機(jī)��、筆記本電腦等個人通信設(shè)備的普及和寬帶網(wǎng)絡(luò)、3G網(wǎng)絡(luò)等現(xiàn)代技術(shù)手段的發(fā)展��,社會信息的獲得比以往更加容易�����,傳播速度更加快捷���,致使部隊(duì)一旦發(fā)生安全問題,其在影響上必然會更加的廣泛���。另一方面�����,在處理上具有急切的緊迫性�。信息在傳播速度上具有的高速性�����,導(dǎo)致我們在查找處理安全隱患的過程中���,必然在時間上是緊迫的����,一旦處理不夠及時,將會造成不利的影響����。
二、信息化條件下加強(qiáng)部隊(duì)安全管理工作的對策研究
(一)嚴(yán)格落實(shí)安全制度��。制度是防范一切安全隱患��、安全漏洞的銅墻鐵壁���。要嚴(yán)格落實(shí)各項(xiàng)安全管理制度���,正規(guī)部隊(duì)各項(xiàng)秩序;要堅(jiān)持落實(shí)安全檢查制度����,定期做好安全隱患排查;要突出抓好大項(xiàng)活動�、節(jié)假日期間的安全管理工作,確保敏感時期部隊(duì)安全穩(wěn)定����;要嚴(yán)格落實(shí)安全責(zé)任制��,確保分工明確�,責(zé)任到人�����,形成人人抓安全���,人人保安全的整體合力;要完善預(yù)警機(jī)制����,加強(qiáng)請示匯報,做到遇有隱患及時匯報�����;要強(qiáng)化監(jiān)督管理�,杜絕安全死角,確保管理不留漏洞��。
(二)加強(qiáng)官兵安全教育
再高科技的手段���、高尖端的技術(shù)����,只要官兵思想重視,各項(xiàng)工作符合安全規(guī)定����,部隊(duì)就能實(shí)現(xiàn)安全穩(wěn)定。一方面加強(qiáng)思想教育�����,提高重視程度�����。要以部隊(duì)最慘痛的案例為牽引�����,深入開展案例剖析��、自查互查�、安全評比等活動,不斷強(qiáng)化官兵的安全意識�����。另一方面要加強(qiáng)技能教育。邀請專業(yè)人員授課�����,介紹信息化條件下的各種安全風(fēng)險及預(yù)防對策�����,使官兵能夠獲得更清晰地認(rèn)識�,并掌握一定的預(yù)防方法。
篇5
我主要負(fù)責(zé)文明單位創(chuàng)建�、扶貧幫困��、工會�、群團(tuán)、作風(fēng)紀(jì)律����、網(wǎng)絡(luò)安全與信息化工作以及領(lǐng)導(dǎo)安排的其他工作,也曾擔(dān)任單位主題教育領(lǐng)導(dǎo)小組辦公室成員���。
在這一年里���,認(rèn)真服從單位的工作安排���,始終堅(jiān)持強(qiáng)化職能,做好本職工作�����,圓滿完成領(lǐng)導(dǎo)交辦的各項(xiàng)工作���,具體表現(xiàn)在以下幾方面:
1�、在文明單位創(chuàng)建方面��。按照市文明辦在創(chuàng)建文明單位方面的具體要求�����,結(jié)合單位實(shí)際情況認(rèn)真按照要求對文明單位考核所需材料進(jìn)行整理上報�����,在10月31日完成文明單位材料網(wǎng)上上報工作��,并取得了滿分的成績�����。
2、在單位扶貧幫困方面�����。按照上級單位關(guān)于扶貧幫困的要求����,本著實(shí)事求是的態(tài)度,及時上報所需的具體材料�����。
3�����、在單位工會���、群團(tuán)等集體活動方面。參與組織包括學(xué)雷鋒活動等�����,以及 “不忘初心�、牢記使命”主題教育��,以上活動在全體干部職工的共同努力下都取得了很好的效果��;
4��、網(wǎng)絡(luò)安全與信息化工作方面����。在網(wǎng)信工作越來越重要的時候�����,我身為網(wǎng)信管理員感覺到責(zé)任越來越大����,工作及日常生活中時刻關(guān)注本單位的網(wǎng)絡(luò)輿情,將負(fù)面輿論扼殺在搖籃里�,在單位的網(wǎng)絡(luò)信息推送平臺轉(zhuǎn)發(fā)推送市網(wǎng)信辦推送的正能量的文章,已將近1000余條���,不讓網(wǎng)絡(luò)成為傳播負(fù)面輿論的法外之地����。
二、經(jīng)驗(yàn)做法
經(jīng)過一年的工作�,在工作中有一些心得體會,也談不上經(jīng)驗(yàn)做法���,具體內(nèi)容如下:
1.做好工作分類��。要把每項(xiàng)工作都單獨(dú)建好一個文件夾進(jìn)行分類����,將與之有關(guān)的材料全部放到這個文件夾里��,保證不與其他工作混淆�。
2.保證材料唯一。及時清理修改過的材料��,確保電腦上能找到的是最終定稿的且是唯一的材料����。
3.做到計(jì)劃工作�����。對完成的工作做好計(jì)劃�,統(tǒng)籌協(xié)調(diào)手頭上各項(xiàng)工作��,確保上報材料按時上報�����。
4.定期梳理匯總�����。經(jīng)過一段時間的工作�����,要抽出固定時間對已完成的工作進(jìn)行梳理匯總����,區(qū)分已經(jīng)完成的和還未完成的工作����。
三�����、存在的問題及不足
由于工作時間尚短�,又是在黨務(wù)部門工作,自身的思想覺悟和理論知識還不能達(dá)到當(dāng)前工作的要求�,在工作上還存在等��、慢����、靠的情況���。
四�、2020年工作計(jì)劃
計(jì)劃目標(biāo):做到強(qiáng)化形象�,提高自身素質(zhì)��。
具體措施:
篇6
為了收集信息系統(tǒng)的運(yùn)行數(shù)據(jù)��、了解信息安全管理體系的運(yùn)行情況���,及時發(fā)現(xiàn)信息系統(tǒng)存在的安全問題和修補(bǔ)安全漏洞,各大銀行普遍采用安全檢查的方法����,提升信息系統(tǒng)的安全保障能力:一是檢查信息安全保障體系的建設(shè)情況��、信息系統(tǒng)安全管理制度的落實(shí)情況����,提高信息系統(tǒng)安全管理水平;二是檢查科技人員的安全技術(shù)水平以及安全培訓(xùn)教育情況����,強(qiáng)化他們的信息安全意識�����;三是檢查信息系統(tǒng)運(yùn)行情況���、日常操作中的安全控制措施,促進(jìn)完善安全內(nèi)控機(jī)制���,及時處置操作安全風(fēng)險���;四是檢查信息系統(tǒng)數(shù)據(jù)存儲���、傳輸、使用等數(shù)據(jù)管理情況���,防范數(shù)據(jù)泄露風(fēng)險��;五是檢查應(yīng)急預(yù)案制定情況以及應(yīng)急演練結(jié)果��,提高對突發(fā)事件的應(yīng)對能力��。信息安全檢查工作的內(nèi)容信息安全檢查工作是為了查找信息安全問題和薄弱環(huán)節(jié)��,采取一定的檢查或檢測方法���,發(fā)現(xiàn)安全現(xiàn)狀與安全要求之間的差距,以便有針對性地采取防范對策����、改進(jìn)防范措施,進(jìn)一步提升安全防范能力��,預(yù)防和減少重大信息安全事件的發(fā)生��,切實(shí)保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行���。在進(jìn)行安全檢查前�����,首先要確定安全要求�、明確信息安全檢查工作中要檢查的項(xiàng)目���。郵儲銀行以信息安全保障評估框架為指導(dǎo)�����,以等級保護(hù)系列標(biāo)準(zhǔn)為基礎(chǔ)����,結(jié)合銀監(jiān)會����、中國人民銀行等監(jiān)管機(jī)構(gòu)對信息安全管理的相關(guān)監(jiān)管要求,提取內(nèi)部管理制度中對安全的相關(guān)要求����,制定了具有特色的安全檢查要求,形成了《郵政金融計(jì)算機(jī)系統(tǒng)安全檢查手冊》����。該《手冊》從主機(jī)安全�����、網(wǎng)絡(luò)及邊界安全�、應(yīng)用安全�����、數(shù)據(jù)安全����、基礎(chǔ)設(shè)施安全、網(wǎng)點(diǎn)終端安全�����、運(yùn)行安全�、安全管理8個方面歸納整理出400多個安全檢查項(xiàng)。該《手冊》明確了信息安全檢查工作的檢查內(nèi)容�、檢查要點(diǎn)和檢查方法。
信息安全檢查的實(shí)踐
郵儲銀行開展的2014~2015年度信息安全檢查工作��,包括了制定檢查工作計(jì)劃����、信息安全檢查�、問題整改和檢查總結(jié)等階段��。制定檢查工作計(jì)劃��。在選取安全檢查項(xiàng)目時��,緊緊圍繞年度安全管理目標(biāo)����,結(jié)合年度信息安全工作的重點(diǎn)領(lǐng)域以及運(yùn)行維護(hù)工作中容易忽視的安全問題��。2015年的安全檢查在兼顧檢查全面性的同時�����,確定以網(wǎng)絡(luò)邊界安全���、主機(jī)安全��、數(shù)據(jù)安全3方面為檢點(diǎn)����,從《手冊》中選取100個檢查項(xiàng),同時規(guī)劃了現(xiàn)場檢查工作的方法�、工作過程等內(nèi)容,從而形成年度安全檢查方案����。隨后,根據(jù)各安全檢查項(xiàng)目在保障信息安全中的作用以及現(xiàn)有條件下實(shí)現(xiàn)的難度等實(shí)際情況�����,將安全檢查項(xiàng)分成基本要求項(xiàng)和增強(qiáng)要求項(xiàng)并對其賦予不同的分值�,建立起安全檢查的量化評價標(biāo)準(zhǔn)。檢查完成后��,可以通過評價標(biāo)準(zhǔn)直接給出的分?jǐn)?shù)�,直觀地評價、比較各分行信息安全工作的情況�����。在組建安全檢查隊(duì)伍時�����,每個檢查小組由總行、分行的信息安全人員組成��。各分行分組交叉檢查的方式����,便于各分行通過檢查相互學(xué)習(xí)、取長補(bǔ)短���,提高信息安全的保障能力和水平����。
實(shí)施信息安全檢查
信息安全檢查圍繞安全檢查項(xiàng)目�,采用登錄系統(tǒng)檢查���、在線工具檢查�、查閱制度文檔��、訪談關(guān)鍵人員����、巡查網(wǎng)點(diǎn)等方法,收集安全運(yùn)行數(shù)據(jù)���,評價安全管理水平�。登錄信息系統(tǒng)設(shè)備檢查安全配置基本情況,重點(diǎn)關(guān)注系統(tǒng)日志�����、操作日志�、配置文件等信息;使用安全漏洞掃描工具檢測設(shè)備存在的風(fēng)險點(diǎn)��;通過檢查設(shè)備的使用狀況��,評價基層單位對信息資源的控制能力是否滿足安全保護(hù)的要求�。查看各監(jiān)控系統(tǒng)的監(jiān)控記錄,確認(rèn)各項(xiàng)報警得到及時處理�����。查閱規(guī)章制度��,了解安全規(guī)定是否覆蓋安全工作的所有領(lǐng)域����;瀏覽審批記錄、登記表等詳細(xì)信息���,了解日常工作中安全規(guī)定的執(zhí)行情況���。通過訪談相關(guān)崗位人員�、現(xiàn)場觀察各崗位人員的實(shí)際配合情況�,了解日常工作流程中是否存在安全漏洞;通過實(shí)地檢查網(wǎng)點(diǎn)����,最直觀地從工作環(huán)境考察安全管理細(xì)節(jié),查看基層各項(xiàng)安全制度的落實(shí)情況����。在檢查過程中發(fā)現(xiàn)的問題,現(xiàn)場檢查組以事實(shí)確認(rèn)單的形式進(jìn)行記錄��,并在現(xiàn)場檢查總結(jié)會上與被檢查機(jī)構(gòu)的人員進(jìn)行溝通和確認(rèn),作為后期整改工作的基礎(chǔ)依據(jù)�����。
問題整改
在完成了現(xiàn)場檢查工作之后��,各檢查小組匯總事實(shí)確認(rèn)單��,梳理出需要各分行著手整改的問題��,針對每個分行簽發(fā)安全檢查整改通知書���,要求各分行對癥下藥完成整改工作�,以完善信息系統(tǒng)的安全防護(hù)措施��。對網(wǎng)絡(luò)邊界問題的整改��,完善了網(wǎng)絡(luò)各區(qū)域特別是第三方接入?yún)^(qū)防火墻�、路由器、交換機(jī)的安全配置��,對經(jīng)過網(wǎng)絡(luò)邊界的重要信息實(shí)施相應(yīng)保護(hù),提升了抵御外部網(wǎng)絡(luò)攻擊的能力�����。對主機(jī)安全問題的整改,調(diào)整了各類軟件的安全配置參數(shù)����,使之遵循最新版本安全配置基線的要求�����,提升了主機(jī)的安全防護(hù)能力。對數(shù)據(jù)安全問題的整改�,增強(qiáng)了數(shù)據(jù)訪問的身份認(rèn)證和訪問控制機(jī)制���,防止非授權(quán)使用,保證數(shù)據(jù)免遭泄露和篡改�。同時加強(qiáng)了對備份數(shù)據(jù)管理,有效保護(hù)了數(shù)據(jù)的高可用性。對檢查中發(fā)現(xiàn)的其他問題進(jìn)行整改��,促進(jìn)了在運(yùn)行維護(hù)過程中主動采取更加有效的安全措施�,升級管理手段�,使安全管理更加全面覆蓋到安全保障架構(gòu)的各個方面。
檢查總結(jié)
經(jīng)過一段時間的信息安全檢查整改工作���,各分行報告了每個問題的整改完成情況��。總行依據(jù)整改報告評價各項(xiàng)整改措施的有效性�,評估信息安全狀況和防護(hù)水平����,促進(jìn)總行對信息安全管理工作進(jìn)行持續(xù)監(jiān)管。
篇7
我局信息系統(tǒng)管理維護(hù)工作主要由計(jì)算機(jī)中心負(fù)責(zé)����,下設(shè)軟件科、系統(tǒng)科���、綜合科共14名在編人員�。信息系統(tǒng)的維護(hù)管理工作主要由系統(tǒng)科4名人員負(fù)責(zé)��。一方面在開展系統(tǒng)維護(hù)工作時人手不足��,無法覆蓋到區(qū)縣;另一方面由于新技術(shù)更新較快����,人員對新知識與新技術(shù)的掌握不足��,不利于有效的開展信息安全維護(hù)管理工作�����。
2系統(tǒng)漏洞影響大
稅務(wù)信息系統(tǒng)對數(shù)據(jù)完整性與服務(wù)實(shí)時性高要求非常高,當(dāng)今漏洞挖掘技術(shù)極大縮短系統(tǒng)漏洞的發(fā)現(xiàn)周期,經(jīng)常性對核心應(yīng)用系統(tǒng)進(jìn)行升級補(bǔ)丁將對系統(tǒng)數(shù)據(jù)完整性與保障系統(tǒng)服務(wù)及時性造成一定的風(fēng)險����。
3黑客攻擊與計(jì)算機(jī)病毒傳播路徑廣
我局內(nèi)部業(yè)務(wù)網(wǎng)已連接到全市23個下屬單位��,黑客可通過任何一個單位對我局核心業(yè)務(wù)應(yīng)用發(fā)起攻擊。同時隨著移動互聯(lián)網(wǎng)的快速發(fā)展�����,wfif�����、手機(jī)連接到終端計(jì)算機(jī)等都有可能成為業(yè)務(wù)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的接口�,使我局核心業(yè)務(wù)應(yīng)用遭受到互聯(lián)網(wǎng)的攻擊�。同時移動存儲介質(zhì)不安全的使用方式、工作員通過互聯(lián)網(wǎng)下載的軟件等都有可能導(dǎo)致病毒大規(guī)模傳播。
二、新形勢稅務(wù)信息安全管理工作實(shí)踐
1信息安全管理工作分解�,明確分工與職責(zé)
我局信息安全工作的未來發(fā)展方向與符合我局實(shí)際情況的管理要求��、監(jiān)督指導(dǎo)執(zhí)行層落實(shí)工作信息安全工作�、考評執(zhí)行層與支撐層的工作績效���。為全局的信息安全保障工作發(fā)揮著規(guī)劃����、指導(dǎo)�、監(jiān)督、考評作用��,推動我局各項(xiàng)信息安全管理工作得以落實(shí)��。執(zhí)行層由各區(qū)縣局單位指派在編工作人員擔(dān)任����,目前我局在各區(qū)縣局設(shè)立信息崗,由具備一定計(jì)算機(jī)基礎(chǔ)知識的工作人員擔(dān)任���。主要工任務(wù)是按照市局的管理要求開展日常的信息安全維護(hù)工作�,并處理常規(guī)信息安全問題��、向其他工作人員宣傳市局既定的管理要求��,提高全員的信息安全意識����。通過執(zhí)行層開展的信息安全工作,使市局規(guī)劃的各項(xiàng)信息安全管理要求在基層得到落實(shí)���。為提高執(zhí)行層的工作能力����,市局定期集中工作人員開展培訓(xùn)�����,傳達(dá)市局信息安全工作思路��、講解工作中涉及的信息安全技術(shù)���、宣傳信息安全形勢等�����。支撐層由第三方公司擔(dān)任�,為使我局信息安全管理工作更高效���,我局將信息系統(tǒng)各項(xiàng)技術(shù)維護(hù)工作外包給各技術(shù)領(lǐng)域有一定實(shí)力的公司���,由公司安排具備工作經(jīng)驗(yàn)與能力的專業(yè)技術(shù)人員常駐我局�,開展技術(shù)維護(hù)工作�����。我局管理人員根據(jù)制定的管理要求對各公司的維護(hù)工作進(jìn)行考評�����。
2周期性檢測�,評估安全風(fēng)險
漏洞挖掘技術(shù)很大程度的縮短了系統(tǒng)漏洞的發(fā)現(xiàn)周期,對稅務(wù)系統(tǒng)是個非常大的安全隱患��,常規(guī)的運(yùn)行維護(hù)難以發(fā)現(xiàn)深層次的安全漏洞���。因此我局將對信息系統(tǒng)及終端計(jì)算機(jī)的安全檢測列入周期性的工作計(jì)劃��,不流于風(fēng)險評估與等級保護(hù)測評的工作形式��。以實(shí)質(zhì)性的發(fā)現(xiàn)系統(tǒng)與終端安全漏洞為手段�����;以采取有效、可靠���、安全的處置方法���,降低系統(tǒng)安全風(fēng)險為目標(biāo)����。將安全檢測工作委托第三方專業(yè)的公司定期開展��,將檢查結(jié)果轉(zhuǎn)交各類技術(shù)的維護(hù)公司進(jìn)行處理�����。并對安全專業(yè)公司的檢測能力���,各類技術(shù)維護(hù)公司的處置能力納入到統(tǒng)一考評體系�����,確保我局安全漏洞檢測的全面性�����、準(zhǔn)確性����,問題處理的正常性、有效性�。3建立以制度為依據(jù)、以技術(shù)為支撐的監(jiān)督�����、管理工作流程為解決我局終端數(shù)量多���、地域分布廣�����、安全管理難度大的難題��,管理層經(jīng)討論����、研究針對終端安全及網(wǎng)絡(luò)邊界管理的方法����,論證管理要求與技術(shù)實(shí)現(xiàn)的可行性,制定終端安全管理與網(wǎng)絡(luò)邊界管理的總體綱領(lǐng)策略���。并測試���、采購符合我局安全管理需求的安全技術(shù)實(shí)施部署。市局下發(fā)針對性的安全管理要求文件�,安全技術(shù)根據(jù)市局管理要求部署基本的控制與審計(jì)策略。為更好的發(fā)揮技術(shù)平臺的管理功效�����,市局將基本安全管理策略之外的管理權(quán)限下放到各區(qū)縣局���,由各單位根據(jù)自身實(shí)際情況制定管理規(guī)則�����。市局根據(jù)平臺產(chǎn)生的數(shù)據(jù)�,對違規(guī)使用資源����、違規(guī)操作的個人與單位進(jìn)行監(jiān)督與通報,并納入對各單位的考評���。通過管理要求與技術(shù)平臺的有機(jī)結(jié)合���,使我局各項(xiàng)信息安全管理制度得到落實(shí)���,并定期召集各單位對信息安全管理工作的經(jīng)驗(yàn)進(jìn)行交流與推廣,提高全局的信息安全管理水平��。
三�、新形勢稅務(wù)信息安全管理探索方向
信息安全管理工作在設(shè)計(jì)上需成體系、在落實(shí)上需有支撐���,這項(xiàng)工作有著一定的復(fù)雜性�����、周密性與完整性��。并非依靠制定一系列的管理規(guī)定���,或部署完善的信息安全技術(shù)就能立即提高信息安全管理水平。而是需要規(guī)劃整體的安全管理方針與目標(biāo)�����;根據(jù)方針與目標(biāo)制定基礎(chǔ)的保障框架���;逐步完成基礎(chǔ)保障框架中的管理�、技術(shù)與過程建設(shè);并在運(yùn)行維護(hù)中不斷的找出管理��、技術(shù)與過程建設(shè)存在的不足����,并進(jìn)行改進(jìn)���,使信息安全管理水平不斷的提高�����,逐漸形成適合我局的信息安全管理體系��。目前我局制定信息安全管理的基本方針是建立以風(fēng)險管理為核心的信息安全管理體系�。在該方針的指導(dǎo)下�,我局計(jì)劃建立的基本信息安全保障框架為:
(1)以采取一切手段發(fā)現(xiàn)整體信息系統(tǒng)中存在的安全問題為基礎(chǔ)。
(2)以評估發(fā)現(xiàn)的問題對信息系統(tǒng)可能產(chǎn)生的安全風(fēng)險為支撐��。
(3)以找出問題的有效���、可靠�、安全處置機(jī)制為保障。
(4)以監(jiān)督��、評估問題處置的有效性���,降低安全風(fēng)險為目標(biāo)���。因此在已定的安全保障框架下,管理層還需繼續(xù)探索符合我局實(shí)際情況的信息安全管理方法�,以管理有效方法為基礎(chǔ)制定管理策略、以管理策略為依據(jù)選購安全技術(shù)����、以安全技術(shù)為支撐開展具體管理工作、以具體管理工作為監(jiān)督推動管理落實(shí)���、以管理落實(shí)效果為依據(jù)檢驗(yàn)管理方法�����、以優(yōu)化管理方法目標(biāo)提高安全管理效益����。
篇8
1.1 項(xiàng)目設(shè)計(jì)��。“十一五”期間�,省人口計(jì)生委全面推進(jìn)人口信息化管理,啟動建設(shè)國家中部人口信息中心和河南全員人口統(tǒng)籌管理信息系統(tǒng)(“金人”工程)��。以省級集中方式實(shí)現(xiàn)全員戶籍人口和流動人口信息管理��,個案信息納入省庫管理���,人口計(jì)生信息化網(wǎng)絡(luò)已經(jīng)覆蓋省��、市、縣���、鄉(xiāng)和30%以上的行政村����。信息工作全面推開�����,數(shù)字檔案信息安全管理出現(xiàn)了許多亟待解決的問題�����。項(xiàng)目目的是為摸清數(shù)字檔案信息安全現(xiàn)狀,發(fā)現(xiàn)信息安全管理工作中存在的問題及困難��,提出合理化建議�,以便采取有針對性的措施。
1.2 調(diào)研范圍與方式�����。此次調(diào)研從2011年3月起至2013年3月30日止���,在全省隨機(jī)選取4個省級計(jì)生部門(省計(jì)生科研院��、省藥具管理站和省計(jì)生協(xié)會����、省計(jì)生干部學(xué)院)�、26個市級計(jì)生部門(包括市計(jì)生委、市藥具站�、市協(xié)會、市技術(shù)指導(dǎo)站)���、63個縣區(qū)級計(jì)生部門(包括縣計(jì)生委�、縣計(jì)生指導(dǎo)站、縣藥具站)單位和個人���,發(fā)放調(diào)查表200份����,收回問卷196份����,有效率98%。
主要運(yùn)用問卷調(diào)查���、電話采訪與實(shí)地調(diào)研相結(jié)合的方法����,把影響數(shù)字檔案信息安全的管理�、硬件設(shè)施和人員素質(zhì)三個方面作為問卷設(shè)計(jì)和訪談內(nèi)容���。根據(jù)國家有關(guān)的電子文件歸檔管理文件和計(jì)生系統(tǒng)的實(shí)際�����,針對單位和個人設(shè)計(jì)了兩張問卷�����,單位問卷設(shè)置了21道題目����,個人問卷設(shè)置了2大類題,16道小題����。
2 數(shù)字檔案信息安全現(xiàn)狀與調(diào)查分析
2.1 數(shù)字檔案業(yè)務(wù)概況。在省級機(jī)構(gòu)�,2個單位有綜合檔案室,其他單位檔案按照業(yè)務(wù)劃分科室管理����,都有專兼職固定的檔案員,單位檔案管理狀況較好�����,數(shù)字檔案占全部檔案資料的7%���;受編制限制和工作業(yè)務(wù)限制�,市縣區(qū)級計(jì)生檔案部門紙質(zhì)檔案文件來源少�,最少的內(nèi)部發(fā)文只有10件,數(shù)字檔案數(shù)量更少,沒有實(shí)現(xiàn)集中管理�;全系統(tǒng)的檔案管理工作大多停留在傳統(tǒng)的保管紙質(zhì)檔案文件的工作模式上,電子文件不能有效歸檔���,從而無法實(shí)現(xiàn)妥善保管�����。
2.2 管理體制情況����。參與調(diào)研的單位中�,數(shù)字檔案信息安全工作均實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理的模式�����,包括業(yè)務(wù)督導(dǎo)和組織培訓(xùn)�����。省市級單位按要求全部參加全省人口計(jì)生系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)班�,對網(wǎng)絡(luò)基礎(chǔ)知識����、交換原理��、路由技術(shù)與路由器���、信息安全有一定了解。對本單位檔案部門或下屬單位檔案工作主要通過組織人員參加基本業(yè)務(wù)或?qū)n}培訓(xùn)班(如安裝統(tǒng)一的管理軟件)以及個別指導(dǎo)的方式進(jìn)行���。市縣級計(jì)生部門的數(shù)字檔案信息安全工作以接受上級監(jiān)督指導(dǎo)為主�,95%單位把數(shù)字檔案信息安全工作納入了年度工作計(jì)劃或“十二五”檔案數(shù)字加工與信息安全發(fā)展規(guī)劃���;用于數(shù)字檔案信息安全工作所需經(jīng)費(fèi)全部來自財政撥款���,投入比例信息大都不愿透露,無法了解到��;參與調(diào)研單位全部配備信息員和專���、兼職人員管理數(shù)字檔案信息工作��。
2.3 制度建設(shè)情況�。在省人口計(jì)生委突發(fā)公共事件應(yīng)急處理工作領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)下��,出臺了《河南省人口計(jì)生委突發(fā)公共事件應(yīng)急預(yù)案》,其中包含了數(shù)字檔案信息安全內(nèi)容���。70%以上的單位有信息安全緊急預(yù)案���,但是數(shù)字檔案信息安全專項(xiàng)制度缺失。
2.4 硬件配備情況�。安全基礎(chǔ)設(shè)施是數(shù)字檔案信息安全管理的保障。對安全基礎(chǔ)設(shè)施包括設(shè)備配置����、網(wǎng)站建設(shè)、是否安裝防病毒設(shè)施等方面進(jìn)行了調(diào)研��。在被調(diào)研的單位中����,98.89%市縣人口計(jì)生委單機(jī)配備數(shù)量和機(jī)關(guān)公務(wù)員編制人數(shù)(不含機(jī)房設(shè)備和筆記本計(jì)算機(jī))持平,市縣藥具站單機(jī)配備數(shù)量達(dá)到每個業(yè)務(wù)科室至少1臺標(biāo)準(zhǔn)����,95.37%以上單位計(jì)算機(jī)安裝有防火墻,但在入侵檢測�����、信息加密方面設(shè)施不足�����;大多應(yīng)用office辦公軟件對檔案進(jìn)行目錄級管理����,數(shù)字化管理檔案水平普遍偏低;省級�、市級計(jì)生部門全部建有網(wǎng)站和局域網(wǎng),26個市級調(diào)研單位中安裝數(shù)字化檔案采集轉(zhuǎn)化系統(tǒng)的有6個�����,占23.08%�����;安裝在線檔案存儲管理與安全系統(tǒng)的有4個��,占15.38%�����,縣區(qū)級計(jì)生部門安全設(shè)施建設(shè)在經(jīng)費(fèi)緊張的情況下��,投入較少。
2.5 人員數(shù)字檔案信息安全素質(zhì)情況��。從參加調(diào)研的196名工作人員中了解到��,工作上大量使用計(jì)算機(jī)����,每天使用電腦工作2小時~5小時的有83人,占總數(shù)的42.34%����,使用5小時~8小時的有54人,占總數(shù)的27.55%����。使用電腦的主要目的,選工作的有164人����,占總數(shù)的83.67%;查閱資料的有129人���,占總數(shù)的65.82%��。人員學(xué)歷水平�,中專學(xué)歷的有31人,占總數(shù)的15.81%����;大專以上學(xué)歷的有94人�����,占總數(shù)的47.95%���;本科以上學(xué)歷的有67人���,占總數(shù)的34.18%;碩士學(xué)位的有1人����,占總數(shù)的0.05%。
平常工作中�,使用殺毒軟件的有193人,占總數(shù)的98.47%�;能夠自行處理病毒(求助他人或者找專業(yè)人士)的有161人,占總數(shù)的82.14%��。在“您了解哪類信息安全技術(shù)和產(chǎn)品”問題的備選答案“防火墻��、反病毒軟件、反垃圾郵件����、動態(tài)密碼令牌”中,選擇最多的是防火墻���,占總數(shù)的83.81%�����。認(rèn)為當(dāng)前數(shù)字檔案信息安全障礙主要有:選擇信息安全人才不夠的有66人��,占總數(shù)的33.67%�;選擇技術(shù)不過關(guān)的有60人��,占總數(shù)的30.61%�����;選擇普遍缺乏信息安全意識的有44人���,占總數(shù)的22.45%���。參加了計(jì)算機(jī)安全知識培訓(xùn)的有158人�����,占總數(shù)的80.61%�,其中����,參加本單位檔案信息安全培訓(xùn)的有77人�,占總數(shù)的39.29%,參加計(jì)生委培訓(xùn)的有85人����,占總數(shù)的43.37%,86.53%的人員只接受過一次培訓(xùn)��。
3 關(guān)于我省計(jì)生系統(tǒng)數(shù)字檔案安全的建議
通過定量和定性的分析��,得出當(dāng)前計(jì)生系統(tǒng)的數(shù)字檔案信息安全存在以下問題:檔案的數(shù)字化水平偏低�����,多數(shù)人員對數(shù)字檔案信息安全管理的重要性�����、緊迫性認(rèn)識不足,認(rèn)為保障信息安全就是保障數(shù)字檔案信息安全��;對數(shù)字檔案信息安全知識了解甚少��,認(rèn)為保障數(shù)字檔案信息安全就是安裝殺毒軟件�、設(shè)置防火墻;接受檔案業(yè)務(wù)培訓(xùn)和數(shù)字檔案信息安全教育頻次偏低�����;行業(yè)性的數(shù)字檔案信息安全制度缺失���;缺乏專業(yè)數(shù)字檔案安全管理人才和硬件設(shè)備等問題���,與當(dāng)前數(shù)字檔案信息安全工作發(fā)展有相當(dāng)大差距,與大量應(yīng)用計(jì)算機(jī)工作實(shí)際情況極不協(xié)調(diào)�。針對以上問題,提出如下建議:
一是加強(qiáng)數(shù)字檔案信息安全意識教育和宣傳�。建議在已有的人口數(shù)據(jù)信息平臺的基礎(chǔ)上,利用全員�����、流動人口、利導(dǎo)�、人事、財務(wù)等人口信息系統(tǒng)服務(wù)基層�����,同時宣傳檔案和數(shù)字檔案信息安全知識��,以期達(dá)到良好效果�。在實(shí)際工作中,加強(qiáng)宣傳和管理力度�����,將數(shù)字檔案信息安全工作實(shí)行工作考核制����,納入年度考核和目標(biāo)考評���。
二是培養(yǎng)復(fù)合型人才��。專業(yè)信息安全管理人才是保障信息安全的最有效措施��。對計(jì)生部門全體人員根據(jù)對象的業(yè)務(wù)需求分層級�����、有重點(diǎn)�����、有周期地組織數(shù)字檔案信息安全知識培訓(xùn)���,提高數(shù)字檔案安全意識水平��,并保證各層級檔案人員接受培訓(xùn)的頻次����。如通過上級對下級的業(yè)務(wù)監(jiān)督指導(dǎo)或參加相關(guān)的數(shù)字檔案信息安全培訓(xùn)�����、組建QQ業(yè)務(wù)群��、制作數(shù)字檔案整理流程教學(xué)光盤�����、電子版制度匯編及業(yè)務(wù)手冊等手段��,實(shí)行多渠道、多層次����、多類型的方法培養(yǎng)人才,提高隊(duì)伍的整體數(shù)字檔案信息安全業(yè)務(wù)素質(zhì)�。
三是建立健全數(shù)字檔案信息安全規(guī)章制度。針對調(diào)研中發(fā)現(xiàn)的缺乏人口計(jì)生數(shù)字檔案信息安全標(biāo)準(zhǔn)規(guī)范體系問題����,今后,應(yīng)著重建立管理制度:首先是實(shí)行數(shù)字檔案信息安全管理崗位責(zé)任制���,做到分工明確���、層層負(fù)責(zé),確保網(wǎng)絡(luò)��、系統(tǒng)和數(shù)據(jù)的安全���,讓參與數(shù)字檔案信息安全保障的所有人員都能夠按照確定的要求去行動。其次是建立符合實(shí)際的數(shù)字檔案信息安全管理制度�����。根據(jù)數(shù)字檔案業(yè)務(wù)實(shí)際,對數(shù)字檔案信息化管理的軟件�����、操作系統(tǒng)��、數(shù)據(jù)的維護(hù)�、防災(zāi)和恢復(fù)建立相關(guān)制度,制定應(yīng)急處置預(yù)案���。定期開展應(yīng)急演練�,提高整體數(shù)字檔案信息安全防范水平���。最后是業(yè)務(wù)工作制度化�,對新發(fā)現(xiàn)的問題����,如人口科技檔案、免費(fèi)計(jì)生項(xiàng)目電子檔案的歸檔范圍及整理方式等制定相應(yīng)的管理規(guī)范���,及時統(tǒng)一歸檔����,為科技業(yè)務(wù)工作提供高質(zhì)量的數(shù)據(jù)支持。
四是項(xiàng)目帶動�,加快數(shù)字檔案信息硬件設(shè)施的建設(shè)。數(shù)字檔案信息安全工作包括人財物投入��、軟硬件的集成����,需要資金、技術(shù)�、政策等各方面的支持,通過計(jì)劃生育科技服務(wù)項(xiàng)目帶動數(shù)字檔案信息安全工作是很好的一個途徑��,爭取把數(shù)字檔案信息安全建設(shè)納入信息化建設(shè)總體規(guī)劃中�,從項(xiàng)目獲取數(shù)字檔案信息安全建設(shè)的專項(xiàng)資金支持。例如����,我院的孕前優(yōu)生項(xiàng)目數(shù)據(jù)庫的建設(shè),不僅為項(xiàng)目提供了所需的軟硬件設(shè)施���,也推動了單位的數(shù)字檔案信息安全網(wǎng)絡(luò)建設(shè)。
篇9
顧客導(dǎo)向
項(xiàng)目驅(qū)動
共同進(jìn)步
持續(xù)發(fā)展
二零一零年七月
為貫徹“顧客導(dǎo)向��、項(xiàng)目驅(qū)動���、共同進(jìn)步�����、持續(xù)發(fā)展”的公司管理思路����,做好“了解需求、抓準(zhǔn)問題���、找對 方法���、積極配合、有效解決”的職能支持與保障工作��,以確保華南區(qū)域 10/11 財年經(jīng)營管理目標(biāo)的順利實(shí)現(xiàn)�����,現(xiàn) 確定新世界中國地產(chǎn)華南區(qū)域與流程與信息管理部 10/11 財年管理責(zé)任書如下:
7����、 組織與管理優(yōu)化 會議支持
流程與信息專題工作的討論與決策,并跟進(jìn)相關(guān)會議決議事項(xiàng)的落實(shí)����,決策事項(xiàng)的跟進(jìn)率為 100%����。 建立和完善部門檔案電子平臺���,將部門相關(guān)文檔進(jìn)行歸類整理��,方便存放和查閱�����,并指定專 人負(fù)責(zé)定期整理和維護(hù)���。
例行 2010.10.30 半年 1 個 半年 1 個
8、 知識總結(jié)和案例 分享
總結(jié)日常電腦���、設(shè)備�、網(wǎng)絡(luò)維護(hù)過程中的案例至少 2 個��,并在公司內(nèi)部進(jìn)行分享���,促進(jìn) IT 日常維護(hù)水平的提高��。 總結(jié)信息安全的案例至少 2 個��,并在公司內(nèi)部進(jìn)行分享���,促進(jìn)信息安全意識和信息安全保障 水平的提高。
一����、 重點(diǎn)工作計(jì)劃和行動措施(圍繞五大職能展開)
工作計(jì)劃 1、提升日常 IT 系 統(tǒng)對業(yè)務(wù)的支撐作 用 行動措施 措施一: 黑莓手機(jī)電子審批功能的開發(fā)�����。通過黑莓手機(jī)實(shí)現(xiàn)休假����、出差、事務(wù)應(yīng)酬����、采購 等相關(guān)業(yè)務(wù)的電子申請與審批工作,進(jìn)一步提高公司管理層的工作效率和移動辦公能力���。 措施二: 固定資產(chǎn)實(shí)物管理系統(tǒng)���。配合人力資源與行政部自主開發(fā)固定資產(chǎn)實(shí)物管理系統(tǒng)�, 使整個區(qū)域固定資產(chǎn)的管理更加系統(tǒng)��、數(shù)據(jù)更加及時和準(zhǔn)確����。 措施一: 目前各項(xiàng)目在防火墻和防病毒方面比較薄弱,網(wǎng)絡(luò)安全性需要提升���。10/11 財年將 針對上述情況進(jìn)行優(yōu)化�����。 1) 2) 2�����、 進(jìn)一步加強(qiáng)網(wǎng)絡(luò) 及信息安全 3) 10 年 7 月份完成各項(xiàng)目公司網(wǎng)絡(luò)及信息安全優(yōu)化方案�; 10 年 12 月前�����,完成廣州地區(qū)網(wǎng)絡(luò)及信息安全的實(shí)施工作; 11 年 6 月前����,完成異地項(xiàng)目網(wǎng)絡(luò)與信息安全的實(shí)施工作。 2010-9-15 2011-6-30 2����、推進(jìn)設(shè)計(jì)管理 系統(tǒng)建設(shè) 3����、推進(jìn)成本及采 購系統(tǒng)建設(shè) 完成時間 2010-9-30 2010-11-30
二、 專項(xiàng)工作
工作事項(xiàng) 1���、推進(jìn)區(qū)域級物 業(yè)管理系統(tǒng)建設(shè) 衡量標(biāo)準(zhǔn)或輸出成果 推進(jìn)區(qū)域級物業(yè)管理系統(tǒng)建設(shè)��,通過業(yè)務(wù)梳理�����、總結(jié)和優(yōu)化��,打造區(qū)域物業(yè)管控及業(yè)務(wù)支撐 平臺����。 通過解決設(shè)計(jì)資料管理這一當(dāng)前面臨的緊迫問題為契機(jī),充分總結(jié)新世界過去在設(shè)計(jì)業(yè)務(wù)管 理方面的經(jīng)驗(yàn)�,并借鑒行業(yè)經(jīng)驗(yàn)的基礎(chǔ)上,完成對設(shè)計(jì)管理業(yè)務(wù)的梳理���、總結(jié)與優(yōu)化�����,并在 此基礎(chǔ)上完成設(shè)計(jì)資料管理部分的 IT 系統(tǒng)實(shí)施工作��。 由業(yè)務(wù)部門主導(dǎo)���,在充分總結(jié)公司過去在成本及采購業(yè)務(wù)方面的經(jīng)驗(yàn),適當(dāng)借鑒行業(yè)經(jīng)驗(yàn)的 基礎(chǔ)上�,形成全面業(yè)務(wù)梳理及解決方案,并在此基礎(chǔ)上完成 IT 系統(tǒng)的支撐和實(shí)施工作����。 完成時間 2010-2-1
2011-6-30
措施二: 加強(qiáng)《計(jì)算機(jī)及網(wǎng)絡(luò)管理規(guī)范》及《信息安全與保密管理規(guī)定》在公司的宣講和 落地,提高員工信息安全的意識和責(zé)任�,切實(shí)推動公司信息安全保障水平的全面提升。 措施三: 本著“三分技術(shù)���、七分管理”思路��,進(jìn)一步從意識�����、行為習(xí)慣��、管理體系上去加 強(qiáng)信息安全工作��,找到檢查點(diǎn)���,形成自檢互檢,公司監(jiān)督檢查等例行機(jī)制���,使信息安全工作 真正得到落實(shí)和加強(qiáng)��。 措施一: 租售升級系統(tǒng)的推廣工作����?����;跇I(yè)務(wù)需要���,配合營銷中心完成銷售升級系統(tǒng)在華 南區(qū)域的推廣工作�����。 1) 2) 8 月份完成東方項(xiàng)目和惠州項(xiàng)目的推廣及項(xiàng)目應(yīng)用工作�����; 12 月前按業(yè)務(wù)需要完成區(qū)域其它項(xiàng)目的銷售升級系統(tǒng)的項(xiàng)目應(yīng)用工作�����。
2011-6-30
三����、 團(tuán)隊(duì)建設(shè)
2011-6-30 工作事項(xiàng) 衡量標(biāo)準(zhǔn)或輸出成果 通過加強(qiáng)部門內(nèi)部培訓(xùn),培養(yǎng)部門員工一專多能的能力���,無論是網(wǎng)絡(luò)����、系統(tǒng)還是辦公設(shè)備����, 軟件開發(fā)都能具備交叉技能���。 2010-12-30 提高團(tuán)隊(duì)業(yè)務(wù)能 力及凝聚力 通過參與各類重點(diǎn) IT 項(xiàng)目,逐步培養(yǎng)部門員工具備獨(dú)立的承擔(dān)一定中大型項(xiàng)目的牽頭能力�����。 除了技術(shù)能力外��,要進(jìn)一步培養(yǎng)員工的文字能力�����,要具備編寫相應(yīng)管理辦法�����、制度流程和操 作指引的文字能力��。 逐步引進(jìn)和加大學(xué)習(xí)業(yè)界關(guān)于管理優(yōu)化的咨詢的這一方面的思維��、方法論和工具��。 2010-12-30 人員流失率 控制在 10%以內(nèi) 備注 例行 例行 例行 例行 例行
3�、加快 IT 系統(tǒng)在 華南區(qū)域的推廣力 度
措施二: CRM 客服系統(tǒng)華南區(qū)域推廣���?;跇I(yè)務(wù)需要,配合客戶關(guān)系部完成 CRM 客服系 統(tǒng)在華南區(qū)域的推廣工作��。 1) 2) 在 8 月份完成新凱公寓的 CRM 系統(tǒng)推廣����。 在 10 年 12 月前,按業(yè)務(wù)需要完成其它異地項(xiàng)目的推廣�。 2010-12-30 例行
措施一: 逐漸培養(yǎng)和建立長期 IT 辦公設(shè)備租賃及采購供應(yīng)商,使其能為公司提供更優(yōu)質(zhì)的 租賃和設(shè)備供應(yīng)服務(wù)�,并縮短租賃和采購周期,提高配置效率���。 4��、提高 IT 辦公設(shè) 備的配置與保障能 力 措施二: 對電腦等常用辦公設(shè)備要有配置預(yù)見性�,并保持一定的庫存儲備�,實(shí)現(xiàn)員工入職 2 天內(nèi)電腦配置到位的目標(biāo)。 措施三: 進(jìn)一步加強(qiáng)各類 IT 辦公設(shè)備的巡檢工作�����,每半年進(jìn)行一次全面巡檢,每月進(jìn)行一 次日常巡檢��,對存在問題的設(shè)備及時進(jìn)行維護(hù)和調(diào)整�,以保證設(shè)備的穩(wěn)定性和可用性,提高 公司的辦公效率�。 5、 進(jìn)一步加強(qiáng)對區(qū) 域流程及管理優(yōu)化 的支撐力度 6�、 進(jìn)一步完善部門 管理制度和操作指 引 進(jìn)一步幫助區(qū)域的管理優(yōu)化, 重點(diǎn)加強(qiáng)對流程��、 操作指引以及圍繞此的能力建設(shè)和意識建設(shè)����, 從引進(jìn)培訓(xùn)課程,親自主導(dǎo)部分培訓(xùn)����,引入工具方法,并重點(diǎn)參與一些優(yōu)化項(xiàng)目的推進(jìn)工作�����。 措施一: 完成部門與日常工作相關(guān)的各類軟硬件標(biāo)準(zhǔn)制定工作��。包括《計(jì)算機(jī)軟件安裝標(biāo) 準(zhǔn) 2010》�,《IT 辦公設(shè)備技術(shù)標(biāo)準(zhǔn)》�����,以保證工作執(zhí)行的安全性,避免由于個人經(jīng)驗(yàn)缺乏對 工作造成的影響���。 措施二: 完成部門核心業(yè)務(wù)相關(guān)的操作指引工作�����。包括《數(shù)據(jù)庫備份管理操作指引》�����,《網(wǎng) 絡(luò)安全標(biāo)準(zhǔn)及管理操作指引》�,以提高部門管理的規(guī)范性和有效性�。
四、 其他說明 1�����、此管理目標(biāo)責(zé)任書有效期自 2010 年 7 月 1 日至 2011 年 6 月 30 日�����。 2、此管理目標(biāo)責(zé)任書一式兩份��,雙方簽字確認(rèn)后生效��。
例行
發(fā)約人:新世界中國地產(chǎn)華南區(qū)域
2011-6-30
受約人:流程與信息管理部 助理區(qū)域總監(jiān): 部 長:
區(qū)域總監(jiān):
2010-9-30
篇10
二����、數(shù)字化進(jìn)程中高校檔案信息安全現(xiàn)狀
檔案數(shù)字化給高校檔案工作帶來了新的生機(jī),數(shù)字化檔案信息的網(wǎng)絡(luò)傳輸和查詢在為社會提供廣泛信息服務(wù)的同時��,也給高校檔案的信息安全帶來了嚴(yán)峻挑戰(zhàn)��。例如:在數(shù)字化加工過程中��,有的高校利用勤工助學(xué)學(xué)生或通過外包實(shí)現(xiàn)檔案全文數(shù)字化��,存在對學(xué)生培訓(xùn)不夠和對數(shù)字化加工服務(wù)機(jī)構(gòu)���、加工場地���、加工人員和加工成果等方面監(jiān)管不到位,管理不規(guī)范的問題�;有的高校檔案管理人員沒有經(jīng)過正規(guī)的機(jī)要保密培訓(xùn)�,在工作實(shí)踐中,對已觸“紅線”的檔案信息資料繼續(xù)以常規(guī)方法掛網(wǎng);有的政府信息安全部門對進(jìn)行檔案數(shù)字化工作的單位指導(dǎo)不到位等等�����。
1.高校檔案數(shù)字化進(jìn)程中沒有完整的法律法規(guī)制度保護(hù)信息安全�����。
目前����,各高校全文數(shù)字化工作主要依據(jù)《中華人民共和國檔案法》、《高等學(xué)校檔案管理辦法》�、《電子公文歸檔管理暫行辦法》等法規(guī)。法規(guī)制度分散零亂���,缺乏系統(tǒng)的規(guī)劃和設(shè)計(jì)��,對于高校檔案信息安全保障法規(guī)不成體系�,缺少專門的法規(guī)��。
2.高校檔案數(shù)字化沒有統(tǒng)一技術(shù)規(guī)范標(biāo)準(zhǔn)��。
目前����,沒有一套具體全面��、系統(tǒng)規(guī)范�����、科學(xué)合理��、可操作性強(qiáng)的檔案數(shù)字化技術(shù)規(guī)范��,來保證高校檔案數(shù)字化工作能夠安全���、科學(xué)、規(guī)范����、有序地進(jìn)行。
3.高校檔案數(shù)字化評估�、防范少,檔案信息安全缺乏預(yù)警能力�。
高校檔案信息安全保障體系的各部分建設(shè)仍處于相對獨(dú)立的狀態(tài),常將檔案信息安全保障與檔案信息安全保護(hù)混為一談�。人員崗位職責(zé)不明確,業(yè)務(wù)操作不規(guī)范���,有越崗代崗現(xiàn)象�����,有的操作人員在相關(guān)計(jì)算機(jī)上使用與檔案數(shù)字化無關(guān)的軟件���,難免帶來病毒侵襲等隱患,造成數(shù)字化系統(tǒng)癱瘓�����,使得安全保障階段的能力僅僅停留在保護(hù)的水平上�����,不能主動防御和動態(tài)保護(hù)檔案信息安全����。
4.高校檔案專業(yè)人才短缺,檔案信息安全保障缺乏發(fā)展能力����。
在檔案信息開發(fā)和利用過程中,人始終參與其中�����,是檔案信息安全的制造者,也是檔案信息安全的護(hù)衛(wèi)者�。隨著檔案信息化的推進(jìn)和檔案事業(yè)的發(fā)展,對檔案工作者的要求也越來越高�。在檔案信息安全保障體系建設(shè)中,專業(yè)的信息安全人才是不可或缺的部分�。
三、數(shù)字化進(jìn)程中高校檔案信息安全策略
1.遵循法律制度是高校檔案信息安全的基礎(chǔ)�����。
法律制度是高校檔案數(shù)字化工作生成����、管理、存儲���、利用各環(huán)節(jié)的參與人員共同遵守的規(guī)章或準(zhǔn)則的統(tǒng)稱���,包括政策、法律���、法規(guī)���、標(biāo)準(zhǔn)��、內(nèi)部規(guī)定等多種形式�。連續(xù)����、有效�、健全的制度是科學(xué)應(yīng)對檔案數(shù)字化進(jìn)程安全風(fēng)險的保障。通過科學(xué)的制度建設(shè)���,約束威脅數(shù)字檔案安全的人為因素�,調(diào)動各方面人員應(yīng)對安全風(fēng)險的積極性才是根本��。在數(shù)字化進(jìn)程中��,要保證高校檔案信息安全�,必須加強(qiáng)法制管理,充分運(yùn)用法律手段�����,規(guī)范檔案管理人員對數(shù)字化檔案信息的安全保障�����。把保障檔案信息安全的各項(xiàng)工作納入法制化、規(guī)范化的軌道�,進(jìn)而提高檔案管理部門對檔案信息安全工作的管理水平。目前�,高校檔案數(shù)字化進(jìn)程中應(yīng)遵循的相關(guān)法律法規(guī)包括:《中華人民共和國檔案法》、《中華人民共和國檔案法實(shí)施辦法》�、《高等學(xué)校檔案管理辦法》����、《電子公文歸檔管理辦法》等等����。這就要求高校有關(guān)部門一方面要依據(jù)現(xiàn)有法律法規(guī),加大執(zhí)法力度��,嚴(yán)格執(zhí)法�����,切實(shí)起到保障高校數(shù)字化檔案信息安全的作用�����,另一方面針對高校檔案信息安全面臨的復(fù)雜問題�,上級有關(guān)部門要進(jìn)一步完善高校檔案信息安全的法律法規(guī)���,盡早出臺有效的專門的法律依據(jù)���。同時,高校也要根據(jù)自身的實(shí)際情況�����,修訂數(shù)字化檔案信息安全管理辦法。
2.制定檔案信息安全標(biāo)準(zhǔn)是高校檔案信息安全的前提��。
檔案信息安全標(biāo)準(zhǔn)是一種多學(xué)科���、綜合性�����、規(guī)范性的標(biāo)準(zhǔn)����,其目的在于保證檔案信息系統(tǒng)的安全運(yùn)行����,保證利用者和設(shè)備操作者的人身安全。面對數(shù)字化檔案事業(yè)的不斷發(fā)展�,制定數(shù)字化檔案信息安全標(biāo)準(zhǔn)對保證高校數(shù)字化檔案信息安全與保密起著重要的作用。高校要根據(jù)國家相關(guān)標(biāo)準(zhǔn)與規(guī)范����,結(jié)合學(xué)校實(shí)際情況,在充分調(diào)查研究的基礎(chǔ)上����,制定一套具體全面�、系統(tǒng)規(guī)范�、科學(xué)合理、可操作性強(qiáng)的檔案信息安全標(biāo)準(zhǔn)�����,保證高校檔案數(shù)字化工作科學(xué)��、規(guī)范��、有序地進(jìn)行����。檔案信息安全標(biāo)準(zhǔn)包括以下幾個方面的內(nèi)容:一是網(wǎng)絡(luò)基礎(chǔ)標(biāo)準(zhǔn),主要涉及基礎(chǔ)通信工程建設(shè)����、網(wǎng)絡(luò)平臺建設(shè)�����、網(wǎng)絡(luò)互聯(lián)互通技術(shù)等方面����;二是應(yīng)用標(biāo)準(zhǔn),基于部分高校檔案數(shù)字化信息也會面向公眾,為社會提供必要的服務(wù)�,所以要制定字符內(nèi)部編碼標(biāo)準(zhǔn)、數(shù)據(jù)處理格式標(biāo)準(zhǔn)�、信息輸出標(biāo)準(zhǔn)等;三是應(yīng)用支撐標(biāo)準(zhǔn)�,主要涉及信息交換平臺、電子記錄管理和數(shù)據(jù)庫方面的標(biāo)準(zhǔn)��,能給高校檔案數(shù)字化提供各種支撐和服務(wù)�����;四是信息安全標(biāo)準(zhǔn)�,主要涉及安全級別管理、身份認(rèn)證����、訪問控制、加密算法和數(shù)字簽名方面的標(biāo)準(zhǔn)�����;五是管理標(biāo)準(zhǔn)�,主要涉及人員管理、制度管理和檔案信息管理等方面的內(nèi)容�。
3.安全技術(shù)保障是高校數(shù)字化檔案信息安全的核心��。
數(shù)字化檔案信息是高科技產(chǎn)物��,因此也需要高科技技術(shù)來保障檔案數(shù)字化信息服務(wù)��、編研工作和檔案信息安全工作�����。高校檔案數(shù)字化進(jìn)程中面臨的技術(shù)風(fēng)險多種多樣��,歸納起來主要有:軟硬件配置不當(dāng)�����、數(shù)字化技術(shù)不成熟等等���,這些都會對信息安全構(gòu)成隱患,但只要有防范意識����,絕大部分風(fēng)險都可以規(guī)避�����。目前,高校檔案數(shù)字化進(jìn)程中涉及到的信息安全技術(shù)主要有以下幾種:一是防火墻技術(shù)���。它是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障�,在外部網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)��,從而防止發(fā)生不可預(yù)測的�、潛在破壞性的侵入。它可以通過監(jiān)測�����、限制��、更改跨越防火墻的數(shù)據(jù)流����,盡可能地對外部屏敝網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況����,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。二是數(shù)據(jù)加密技術(shù)�。數(shù)據(jù)加密技術(shù)一般與防火墻技術(shù)配合使用,它是為提高信息系統(tǒng)及數(shù)字檔案信息的安全性和保密性����,防止機(jī)密信息被外部破析所采用的主要技術(shù)手段之一����。三是反病毒技術(shù)�����。反病毒技術(shù)包括預(yù)防病毒��、檢測病毒和消除病毒三種技術(shù)��。四是訪問控制技術(shù)��。在操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)中規(guī)定了訪問控制的權(quán)限�,如規(guī)定文件建立者具有可讀、寫��、修改或執(zhí)行的權(quán)限����。強(qiáng)制性訪問控制引入了安全管理員的機(jī)制,增加了安全保護(hù)�����,可防止用戶無意或有意地使用自主訪問的權(quán)利�。五是安全審計(jì)技術(shù)。通過對網(wǎng)絡(luò)內(nèi)發(fā)生的各種訪問情況記錄日志����,并對日志進(jìn)行統(tǒng)計(jì)分析,進(jìn)而對資源使用情況進(jìn)行事后分析���,它也是發(fā)現(xiàn)和追蹤事件的常用措施�����。
4.有效的安全管理是高校數(shù)字化檔案信息安全的關(guān)鍵��。
數(shù)字檔案信息安全管理是以數(shù)字檔案信息及其載體為對象的安全管理���,它的任務(wù)是保證高校數(shù)字檔案信息的使用安全和信息載體的運(yùn)行安全。數(shù)字檔案信息安全保障的管理體系是指以系統(tǒng)全面科學(xué)的安全風(fēng)險評估為基礎(chǔ)的�、體現(xiàn)“防患于未然”為核心的、動態(tài)的數(shù)字檔案信息安全管理�。數(shù)字檔案信息安全管理活動包括建立機(jī)構(gòu)、制定計(jì)劃��、開展培訓(xùn)��、落實(shí)措施、檢查效果和實(shí)施改進(jìn)等過程��。學(xué)校檔案部門必須成立一個安全管理工作組���,負(fù)責(zé)實(shí)施和監(jiān)控整個檔案數(shù)字化信息安全管理活動���,對檔案數(shù)字化信息及信息處理設(shè)施的威脅、影響��、脆弱性及三者發(fā)生的可能性進(jìn)行評估���;不定期對人員進(jìn)行安全策略及安全技術(shù)的培訓(xùn)�,有效地遏制來自外部和內(nèi)部的攻擊�,增強(qiáng)安全防護(hù)能力和隱患發(fā)現(xiàn)能力,確保高校數(shù)字檔案信息資源內(nèi)容和信息載體的安全�����。
5.高素質(zhì)的人才是高校數(shù)字化檔案信息安全的保證�����。人員管理是高校數(shù)字化檔案信息安全工作中最關(guān)鍵的部分,也是最難的部分�����。應(yīng)對各個時期的安全風(fēng)險��,有效管理參與人員應(yīng)建立在以下兩個假設(shè)之上:一是人人都可能帶來不確定的安全風(fēng)險因素���,人人都肩負(fù)著保證信息安全的職責(zé)。在對外部非授權(quán)用戶制定防護(hù)措施時�����,也要加強(qiáng)對內(nèi)部人員的管理�、培訓(xùn)、監(jiān)督和審計(jì)工作��。二是參與人員分工不同�����,每類人員參與檔案信息安全的工作分工也不同�����。在保證檔案信息安全工作計(jì)劃中,應(yīng)明確主管領(lǐng)導(dǎo)����、技術(shù)人員、管理人員���、數(shù)字檔案形成者和利用者的權(quán)利��、責(zé)任和義務(wù)�。
篇11
一�����、工控系統(tǒng)介紹
工業(yè)控制系統(tǒng)由各種組件構(gòu)成�����,有些組件是自動的��,有些是能進(jìn)行過程監(jiān)控的�����,兩種組件構(gòu)成了工業(yè)控制系統(tǒng)的主體�。該系統(tǒng)的主要目的就是在第一時間實(shí)現(xiàn)對數(shù)據(jù)的采集和監(jiān)控工業(yè)生產(chǎn)流程���。如圖,主要分為控制中心�����、通信網(wǎng)絡(luò)��、控制器組�。
工控系統(tǒng)主要包括過程控制��、數(shù)據(jù)采集系統(tǒng)(SCADA)���、分布式控制系統(tǒng)(DCS)����、程序邏輯控制(PLC)以及其他控制系統(tǒng)等���。一直以來�,這些系統(tǒng)被應(yīng)用在不同的工業(yè)領(lǐng)域���,成為了國家的重點(diǎn)基礎(chǔ)工程項(xiàng)目的建設(shè)中不可缺少的成分之一��。所有的工業(yè)控制系統(tǒng)中���, 工業(yè)控制過程都包括控制回路�、人機(jī)交互界面(HMI)及遠(yuǎn)程診斷與維護(hù)組件����。上圖為典型的ICS 控制過程。
二��、工控系統(tǒng)的安全現(xiàn)狀分析
隨著計(jì)算機(jī)技術(shù)和工業(yè)生產(chǎn)的結(jié)合���,工業(yè)控制系統(tǒng)(Industrial Control Systems��, ICS)已成為制造��、電力及交通運(yùn)輸?shù)刃袠I(yè)的基石�����。一方面�,工控系統(tǒng)為工業(yè)的發(fā)展帶來了巨大的積極作用�����,另一方面,因?yàn)楣I(yè)控制系統(tǒng)的安全防護(hù)體系做得還不是很到位����, 很多的非法入侵事件屢見不鮮,這對工業(yè)的發(fā)展��,甚至對整個國家的安全戰(zhàn)略提出了挑戰(zhàn)��。尤其是2010 年的Stuxnet 病毒的肆虐��,讓全球都明白�����,人們一直認(rèn)為相對安全的工業(yè)控制系統(tǒng)也成為了黑客攻擊的目標(biāo)����,因此���,在第一時間發(fā)現(xiàn)工控系統(tǒng)的安全問題���,并及時解決這些安全問題是極其重要的。此外����,建設(shè)安全可信的工控防御體系���,也是現(xiàn)在各國發(fā)展和建設(shè)的重要一環(huán)。
三�����、工控系統(tǒng)現(xiàn)存在的問題
3.1系統(tǒng)內(nèi)部風(fēng)險:操作系統(tǒng)存在安全漏洞����。由于工控軟件先設(shè)計(jì),之后操作系統(tǒng)才會發(fā)現(xiàn)漏洞進(jìn)行修復(fù)���,甚至絕大部分工控系統(tǒng)所使用的Windows XP系統(tǒng)生產(chǎn)者M(jìn)icrosoft公司申明:4月8日以后不會對XP系統(tǒng)安全漏洞進(jìn)行修復(fù)���,所以之后工控系統(tǒng)病毒的爆發(fā)會更加頻繁,使工控系統(tǒng)更加危險���。
無殺毒軟件的問題�����。使用Windows操作系統(tǒng)的工控系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮��,一般不會安裝殺毒軟件�����,給病毒的傳播與擴(kuò)散留下了空間��。
u盤傳播病毒問題���。在工控系統(tǒng)中的管理終端一般不會有專門軟件對U盤進(jìn)行管理����,導(dǎo)致外設(shè)的無序使用從而引發(fā)工控系統(tǒng)病毒傳播��。
工控系統(tǒng)存在被有意控制的風(fēng)險�����。沒有對工控系統(tǒng)的操作行為監(jiān)控和制定相應(yīng)的措施����,工控系統(tǒng)中的異常行為會給工控系統(tǒng)帶來較大的風(fēng)險�����。
3.2 外部問題。安全評估存在困難�����。安全評估是建立安全防護(hù)體系的第一步�����,工業(yè)控制系統(tǒng)信息安全評估標(biāo)準(zhǔn)是國家頒發(fā)的第一個關(guān)于工控系統(tǒng)安全方面的標(biāo)準(zhǔn)�,工信部2011年的通知中明確要求對重點(diǎn)領(lǐng)域的工業(yè)控制系統(tǒng)進(jìn)行安全評估,但2012 年這項(xiàng)工作遇到了例如缺少針對特定行業(yè)的評估規(guī)范�����、只能針對IT系統(tǒng)���,不能對非IT類的設(shè)備進(jìn)行評估等困難�����。
缺乏針對ICS安全有效的解決方案?�,F(xiàn)有的縱深防御架構(gòu)解決方案只針對一般ICS模型��,針對特定行業(yè)的工控系統(tǒng)進(jìn)行防護(hù)�����,還需要在未來大量實(shí)踐的基礎(chǔ)上才能完善��。
應(yīng)對APT攻擊解決效果不佳�����。從過去的幾次ICS安全事故來看�����,有針對性����、有持續(xù)性的APT攻擊威脅最大,APT 攻擊的防御一直是信息安全行業(yè)面臨的難題�����,即使是Google����、RSA 這些擁有許多專門人才和對信息安全有大投入的公司在APT攻擊面前也沒能幸免�����。
四、工控系統(tǒng)信息安全的解決
4.1硬件完善����。國際上有兩種不同的工控系統(tǒng)信息安全解決方案: 主動隔離式和被動檢測式
主動隔離式解決方案:即相同功能和安全要求的設(shè)備放在同一區(qū)域,區(qū)域間通信有專門通道�,加強(qiáng)對通道的管理來阻擋非法入侵,保護(hù)其中的設(shè)備�。例如:加拿大Byres Security公司推出的Tofino工控系統(tǒng)信息安全解決方案。
被動檢測式解決方案:除了身份認(rèn)證�����、數(shù)據(jù)加密等技術(shù)以外��,多采用病毒查殺���、入侵檢測等方式確定非法身份��,多層次部署與檢測來加強(qiáng)網(wǎng)絡(luò)信息安全���。例如:美國Industrial Defender公司的ICS安全解決方案。
4.2“軟件”完善:安全管理體系。安全管理防護(hù)體系由安全管理制度��、安全管理機(jī)構(gòu)����、人員安全管理、系統(tǒng)建設(shè)管理��、系統(tǒng)運(yùn)維管理五部分構(gòu)成�����。工控系統(tǒng)管理體系是一個循序漸進(jìn)的過程����,且要隨著時代的進(jìn)步隨時更新,逐步完善系統(tǒng)���,完善管理體系�,最終才能實(shí)現(xiàn)工控系統(tǒng)的真正的安全��。
安全管理制度:建立�����、健全工控系統(tǒng)安全管理制度,制定安全工作的總體方針和戰(zhàn)略���,工控系統(tǒng)安全防護(hù)及信息錄入納入日常工作管理體系,對安全管理人員或者操作人員所進(jìn)行的重要操作建立規(guī)范流程����;形成由安全政策、管理方法���、操作規(guī)范流程等構(gòu)成的安全管理制度體系�。
安全管理機(jī)構(gòu):專門設(shè)立的工控信息安全工作部門���,確定相關(guān)領(lǐng)導(dǎo)為安全事故責(zé)任人����,制定相關(guān)文件明確機(jī)構(gòu)�����、崗位���、個人的職責(zé)分工和要求等�����。
人員安全管理:規(guī)范重要崗位錄用流程�,對錄用者進(jìn)行相關(guān)身份、背景����、專業(yè)資質(zhì)的嚴(yán)格審查,進(jìn)行相關(guān)專業(yè)技能的考核��,與關(guān)鍵崗位的人員簽訂保密協(xié)議�����;對相關(guān)崗位人員進(jìn)行定期安全培訓(xùn)教育�����,嚴(yán)格限制外來人員訪問相關(guān)區(qū)域���、系統(tǒng)����、設(shè)備等���。
系統(tǒng)建設(shè)管理:首先要根據(jù)系統(tǒng)重要程度設(shè)立安全等級實(shí)施相應(yīng)的基本安全措施����,根據(jù)實(shí)時狀態(tài)更新完善系統(tǒng),制定相應(yīng)的補(bǔ)充調(diào)整安全措施制定長遠(yuǎn)的工作計(jì)劃�。
五���、工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢
