公司信息安全管理體系精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇公司信息安全管理體系，期待它們能激發(fā)您的靈感。

篇1

為貫徹學(xué)公司關(guān)于安全生產(chǎn)管理的文件精神，結(jié)合物業(yè)公司的實際情況，我們在公司范圍內(nèi)對文件進(jìn)行了深入學(xué)習(xí)，并將安全生產(chǎn)意識廣泛加以宣傳，各部門積極響應(yīng)，取得良好的宣傳效果。

通過此次總公司的安全生產(chǎn)管理總動員，我們對各口的規(guī)章制度重新進(jìn)行了整頓、落實，確保物業(yè)公司各個環(huán)節(jié)安全、有序的運作。

工程維修中心負(fù)責(zé)小區(qū)公共設(shè)備設(shè)施的維護(hù)保養(yǎng)，強(qiáng)電、弱電的維修人員在作業(yè)過程中“安全第一、預(yù)防為主”的指導(dǎo)方針顯得尤為重要，學(xué)習(xí)過程中，他們切實體會到了公司文件的精神所在，并更加重視生產(chǎn)中的安全問題；其它維修人員及護(hù)衛(wèi)人員也領(lǐng)會了安全生產(chǎn)會議精神，對他們今后工作的順利開展指明了方向，并追加了種種安全符號。

新出臺的《安全生產(chǎn)法》體現(xiàn)了在安全生產(chǎn)管理上要強(qiáng)化“超前意識”、“預(yù)防為主”的理念，進(jìn)一步明確了只有有效地預(yù)防生產(chǎn)安全事故的發(fā)生，才能使安全管理工作達(dá)到最高的境界。我們知道，生產(chǎn)安全事故一旦發(fā)生，將會帶來一系列的社會問題和不可挽回的經(jīng)濟(jì)損失，即使多加幾個“不放過”也為時晚矣。 安全管理工作的“超前意識”，強(qiáng)調(diào)把安全工作的重點從事后處理轉(zhuǎn)移到事前監(jiān)督上來。要建立完善的事前監(jiān)督管理體系，在貫徹 “安全第一”工作中必須遵循“預(yù)防為主”的原則和“防范勝于救災(zāi)”的內(nèi)涵。同時，也要形成建立積極向上的“安全文化”氛圍，這是安全管理工作事前監(jiān)督體系的重要環(huán)節(jié)。公司內(nèi)部推行的安全生產(chǎn)熱營造出濃厚的“安全文化”氛圍，“安全文化”追求的是一種各級領(lǐng)導(dǎo)干部身體力行現(xiàn)出來的安全管理理念，從而促使所有人員表現(xiàn)出較高的重視安全工作的自覺性和積極性，并將安全生產(chǎn)工作放在自己的職業(yè)價值中去，從而使各項安全生產(chǎn)管理工作成為自己工作的行動指南。一個完善的考核機(jī)制應(yīng)包含安全管理的各個環(huán)節(jié)，健全“責(zé)任鏈”的監(jiān)控系統(tǒng)，提高“防患”意識，從小事做起，建立必備的安全防患措施，養(yǎng)成工作嚴(yán)謹(jǐn)、執(zhí)行制度認(rèn)真、工作程序規(guī)范的良好工作作風(fēng)。在實際工作中提高自防和互防能力，做到“三不傷害”，從而建立起安全管理工作的新風(fēng)尚。把生產(chǎn)過程中發(fā)生事故的可能性消滅在萌芽狀態(tài)。

中國有句古話“千里之堤，潰于蟻穴”，生產(chǎn)過程中，如果不重視安全因素，那么等在后面的將是無數(shù)毀滅性后患。作為世界上頭號超級大國，美國的電力設(shè)施也堪稱是世界一流的。如果把它的電網(wǎng)比喻成千里之堤，也可以說是銅墻鐵壁鑄成的長堤。曾發(fā)生于美國東北部及加拿大部分地區(qū)的大面積停電的那次停電事故，對美國及加拿大的航空和陸路交通，正常科研，生產(chǎn)與居民生活造成嚴(yán)重影響，并直接影響到美國國家秩序的穩(wěn)定，成為當(dāng)時震動世界的大新聞。 然而，就那樣一個世界一流的大電網(wǎng)，由于對預(yù)警跡象的不夠重視，致使電網(wǎng)陷入了大面積癱瘓的狀態(tài)，真是應(yīng)了“千里之堤，潰于蟻穴”的這句中國老話。

篇2

一、實現(xiàn)思想政治工作科學(xué)化，樹立“思想安全隱患”和“思想信息化”新理念

思想是行動的先導(dǎo)。在煤礦安全事故中，絕大部分是由當(dāng)事人違章造成。然而，這些“違章”行為背后，一定存在著不科學(xué)、不健康的思想意識。這種思想意識就是安全的第一隱患，是安全“三違”行為內(nèi)因。而安全設(shè)施、安全質(zhì)量、安全制度、安全教育、安全環(huán)境等等管理行為才是“三違”的外因。外因作用于內(nèi)因才導(dǎo)致“三違”行為和安全事故的發(fā)生。從這個角度看，不健康的思想意識也是安全隱患。根據(jù)辯證唯物主義理論，思想意識是人大腦對外部客觀世界反映。外部世界又是以各種“信息”的形式，通過人的感覺器官系統(tǒng)，傳遞到大腦皮層，經(jīng)過自己不同的分析處理，形成人的不同思想意識。

由此可知，煤礦安全隱患中應(yīng)包括“思想安全隱患”?！八枷氚踩[患”的排查、處理，思想意識的改變，也具有“信息”特點，遵循“信息”的性質(zhì)和規(guī)律。按照《信息論》的理論，用信息化形式，解決、處理職工的“思想安全隱患”，就成了安全生產(chǎn)中思想政治工作科學(xué)化的一種新的模式。

基于這樣的認(rèn)識，陶二煤礦黨委提出了構(gòu)建基于安全事故“雙分析”基礎(chǔ)上的思想政治工作信息化科學(xué)管理新體系。

二、遵循信息處理四個機(jī)制，構(gòu)建了思想政治工作信息化管理體系

思想政治工作本身也是一門科學(xué)和專業(yè)。陶二煤礦黨委利用思想政治工作信息化特性，根據(jù)思想政治工作獨有的特點和規(guī)律，創(chuàng)建了科學(xué)的思想政治工作信息化體系。

（一）建立了安全思想信息搜集機(jī)制。搜集機(jī)制就是對職工日常和安全生產(chǎn)中思想信息進(jìn)行動態(tài)收集，查出思想安全隱患。一是日常安全思想信息的收集。陶二煤在班組建立政工員制度，實行職工24小時思想、現(xiàn)場雙掌控。就是對職工班前、班中、班后進(jìn)行環(huán)境安全和思想安全雙確認(rèn)，八小時以外實行家屬信息反饋，配合管理人員定期調(diào)研、職工來訪接待、談心交流等措施，把職工思想上安全隱患信息及時收集、掌握。二是重點安全思想信息的收集。實行了“安全事故雙分析、雙報告”制度，就是對一起安全事故，既要進(jìn)行安全責(zé)任分析，又要進(jìn)行思想隱患分析，既要提交安全事故分析報告，又要撰寫思想政治工作分析報告，反向挖掘職工思想安全隱患。

（二）建立了安全思想信息分析處理機(jī)制。就是對職工思想上存在的不安全思想意識進(jìn)行歸類，有針對性制度改進(jìn)措施和方案。面對職工思想存在問題，如何解決。必須建立科學(xué)分析研究機(jī)制。陶二礦設(shè)立了創(chuàng)新工作室，就是針對職工思想動態(tài)方面存在問題，進(jìn)行分析研究，提出改進(jìn)措施。參加人員主要有黨委書記、安全礦長、政工部門管理人員和安全監(jiān)察人員。如針對職工心理壓力比較大，提出了“把脈、疏通、解憂、呵護(hù)”四項環(huán)節(jié)十六種心理疏導(dǎo)方法。針對罐車落道事故，分析主要原因是道軌鋪設(shè)不合格，鋪設(shè)不合格的原因是施工人員不知道道軌鋪設(shè)標(biāo)準(zhǔn)，職工施工不合格主要是驗收人員監(jiān)督不到位，監(jiān)督不到位的原因是檢查員標(biāo)準(zhǔn)不熟悉，最后是培訓(xùn)體系不健全。為此，陶二煤礦從源頭抓起，完善了職工培訓(xùn)、考核機(jī)制。從根本上解決罐車落道事故。

（三）安全思想教育方案實施機(jī)制。就是制定好思想政治工作實施方案之后，按照質(zhì)量體系“凡事必規(guī)定、規(guī)定必執(zhí)行、執(zhí)行必記錄、記錄必檢查、檢查必糾錯、糾錯必驗證”要求，組織實施。實行“目標(biāo)日歷雙促法”，即每一天需要完成的工作量進(jìn)行提前標(biāo)記，上級可以督促下級，下級也可督促上級，從而保證工作如期開展。在執(zhí)行過程中，認(rèn)真做好記錄和歸檔工作。實施“紅、黃、綠、青、藍(lán)”檔案管理。即安排看策劃，過程看記錄、活動看照片、考核看獎罰、效果看總結(jié)。保證每一項活動完整，有效。

如我們在開展百日萬人解放思想大討論活動，做到安排有文件、學(xué)習(xí)有記錄、活動有照片、考核有獎罰、效果有評估。從而保證通過活動，起到解放干部職工思想觀念的目的。

（四）信息化思想教育評估提高機(jī)制。就是對思想政治工作進(jìn)行科學(xué)評估，針對存在問題進(jìn)行改進(jìn)提高。開展思想政治工作后，效果怎么樣，必須進(jìn)行評估。否則，容易出現(xiàn)兩張皮現(xiàn)象。比如，有一次我們到區(qū)隊對職工進(jìn)行安全事故案例警示教育，一些事故親歷者講的非常動情、感人。但效果怎么樣，我們進(jìn)行了評估。主要方法，就是走訪職工和讓職工填寫調(diào)查問卷。結(jié)果，很大一部分職工說，講的不錯，但我們剛上井，最需要的就是休息。休息好是安全的最好保證。從而也告訴我們，開展教育活動，不能影響到職工休息，進(jìn)行硬性灌輸。

三、堅持思想政治工作信息化管理，收到顯著效果

思想政治工作信息化管理體系有效運行，提高了思想政治工作效率、增強(qiáng)了思想政治工作針對性、實現(xiàn)了思想政治工作與安全生產(chǎn)有機(jī)融合、有效消除了安全思想隱患、促進(jìn)了企業(yè)安全生產(chǎn)和科學(xué)、和諧、健康發(fā)展。

（一）豐富安全管理理念，實現(xiàn)思想政治工作與安全生產(chǎn)的有機(jī)融合。把職工思想安全隱患明確列入安全管理隱患管理之中，對其排查解決，消除了安全事故的主觀因素。同時，與安全生產(chǎn)相結(jié)合，提高思想政治工作在安全生產(chǎn)中重要地位，為全面開展思想政治工作創(chuàng)造了良好條件。陶二礦在每個班組設(shè)立政工員、紀(jì)檢監(jiān)督員、心理咨詢員等政工工作人員，不僅得到了行政認(rèn)可，也受到了職工的歡迎。

（二）增強(qiáng)安全思想政治工作的針對性、提高了工作效率。特別是通過“安全事故雙分析、雙報告”制度，查出思想政治工作薄弱環(huán)節(jié)，使思想政治工作由按照理念灌輸，變?yōu)獒槍π蚤_展工作，提高了工作效率。如一次放炮員裝好炮后，由于生產(chǎn)原因不能拉炮。該放炮員沒有交接班，直接升井。嚴(yán)重違反了安全規(guī)程，按“三違”進(jìn)行了處理。經(jīng)過“雙分析”，主要原因還是職工存在僥幸心理。而造成僥幸心理原因有三個方面：一是日常檢查不細(xì)致不全面，不能實現(xiàn)違規(guī)必糾。二是處理不到位。使僥幸心理存在的“成本”較低。三是教育不到位，責(zé)任心不強(qiáng)。從而制訂了加強(qiáng)安監(jiān)員培訓(xùn)、加大嚴(yán)重“三違”處理力度和增強(qiáng)警示教育覆蓋面等措施，有針對性地解決。

（三）科學(xué)構(gòu)建信息化閉合管理體系，實現(xiàn)安全思想政治工作規(guī)范化管理。日常思想政治工作往往說教多、活動多、學(xué)習(xí)多，只是進(jìn)行普遍思想教育。實行思想政治信息化，則把思想工作從針對的問題和對象、制定科學(xué)方案、嚴(yán)格組織實施到思想教育效果評估，形成了一個完整的體系、實現(xiàn)了過程控制、形成了管理的閉合循環(huán)，使思想政治工作實現(xiàn)程序化、規(guī)范化，甚至標(biāo)準(zhǔn)化。

小張是一名生產(chǎn)骨干，一次班前確認(rèn)，班政工員發(fā)現(xiàn)小情緒低落。談心得知，小張妻子嫌小張不顧家，猜疑有外遇。正鬧矛盾，甚至都有了離婚念頭。支部根據(jù)小張家庭情況，研究出開個家屬座談會形式，讓妻子認(rèn)識到小張的價值。政工員具體負(fù)責(zé)組織。會上，妻子們充分交換思想，區(qū)隊把小張出色工作和避免幾次事故做了介紹，使其妻子認(rèn)識到小張確實是個負(fù)責(zé)任男子漢。兩人和睦如初。小張又精神飽滿地投入到工作，思想工作圓滿完成。

篇3

關(guān)鍵詞：企業(yè)信息化；信息安全管理體系；信息安全保障

1 企業(yè)信息安全需求與目標(biāo)

近年來隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展，企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)。作為中國高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點制造企業(yè)，公司的發(fā)展對高速動車行業(yè)產(chǎn)生著舉足輕重的作用；從企業(yè)信息安全現(xiàn)狀分析，公司IT部門主管深深意識到，盡管從自身情況來看，在信息安全方面已經(jīng)做了很多工作，如部署了防火墻、SSL VPN、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來自某個方面的安全威脅，無法產(chǎn)生協(xié)同效應(yīng)，距離國際同行業(yè)企業(yè)還存在一定的差距。

公司通過可行性研究及論證，決定借助外力，通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點，以科研項目方式，通過研究國家安全標(biāo)準(zhǔn)體系及國家對央企和上市企業(yè)的信息化安全要求，分析企業(yè)目前的現(xiàn)狀和國際標(biāo)準(zhǔn)ISO27001之間的差距，繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計，最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng)，建立一個有責(zé)（職責(zé)）、有序（秩序）、有效（效率）的信息安全管理體系，預(yù)防信息安全事件的發(fā)生，確保更小的業(yè)務(wù)損失，提供客戶滿意度，獲取更多的管理支持。在行業(yè)內(nèi)樹立標(biāo)桿和示范，提升企業(yè)形象，贏取客戶信任，增強(qiáng)競爭力。同時，使信息安全體系通過信息安全管理體系通過ISO 27001認(rèn)證標(biāo)準(zhǔn)。

2 企業(yè)信息安全管理體系建設(shè)過程

凡事預(yù)則立，不預(yù)則廢。對于信息安全管理建設(shè)的工作也先由計劃開始。信息安全管理體系建設(shè)分為四個階段：實施安全風(fēng)險評估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運行及改進(jìn)。也符合信息安全管理循環(huán)PDCA（Plan-Do-Check-Action）模型及ISO27001要求，即有效地保護(hù)企業(yè)信息系統(tǒng)的安全，確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗，重點論述上述幾個方面的內(nèi)容。

2.1 確立范圍

首先是確立項目范圍，從機(jī)構(gòu)層次及系統(tǒng)層次兩個維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上，可以考慮內(nèi)部機(jī)構(gòu)：需要覆蓋公司的各個部門，其包括總部、事業(yè)部、制造本部、技術(shù)本部等；外部機(jī)構(gòu)：則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。

從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計算機(jī)系統(tǒng)正常運行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等；網(wǎng)絡(luò)系統(tǒng)：構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)，設(shè)備和軟件；服務(wù)器平臺系統(tǒng)：支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫、中間件和Web系統(tǒng)等軟件平臺系統(tǒng)；應(yīng)用系統(tǒng)：支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)；數(shù)據(jù)：整個信息系統(tǒng)中傳輸以及存儲的數(shù)據(jù)；安全管理：包括安全策略、規(guī)章制度、人員組織、開發(fā)安全、項目安全管理和系統(tǒng)管理人員在日常運維過程中的安全合規(guī)、安全審計等。

2.2 安全風(fēng)險評估

企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供安全、可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。

本次進(jìn)行的安全評估，主要包括兩方面的內(nèi)容：

2.2.1 企業(yè)安全管理類的評估

通過企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實踐比對，以及在行業(yè)的經(jīng)驗上進(jìn)行“差距分析”，檢查企業(yè)在安全控制層面上存在的弱點，從而為安全措施的選擇提供依據(jù)。

評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

2.2.2 企業(yè)安全技術(shù)類評估

基于資產(chǎn)安全等級的分類，通過對信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點，為安全加固提供依據(jù)。

針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法，在應(yīng)用評估中將對應(yīng)用系統(tǒng)的威脅、弱點進(jìn)行識別，分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距，為后期改造提供依據(jù)。

提到安全評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優(yōu)點，同時結(jié)合企業(yè)自身的特點，建立風(fēng)險評估模型：

在風(fēng)險評估模型中，主要包含信息資產(chǎn)、弱點、威脅和風(fēng)險四個要素。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱點在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險的屬性是風(fēng)險級別的高低。風(fēng)險評估采用定性的風(fēng)險評估方法，通過分級別的方式進(jìn)行賦值。

2.3 規(guī)劃體系建設(shè)方案

企業(yè)信息安全問題根源分布在技術(shù)、人員和管理等多個層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系，并最終落實到管理措施和技術(shù)措施，才能確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險評估的基礎(chǔ)上，對企業(yè)中存在的安全風(fēng)險提出安全建議，增強(qiáng)系統(tǒng)的安全性和抗攻擊性。

在未來1-2年內(nèi)通過信息安全體系制的建立與實施，建立安全組織，技術(shù)上進(jìn)行安全審計、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署，實現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)，通過完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項目的建設(shè)，將企業(yè)建設(shè)成為一個注重管理，預(yù)防為主，防治結(jié)合的先進(jìn)型企業(yè)。

2.4 企業(yè)信息安全體系建設(shè)

企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上，建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力：即預(yù)警（Warn）、保護(hù)（Protect）、檢測（Detect）、反應(yīng)（Response）、恢復(fù)（Recover）和反擊（Counter-attack），體系應(yīng)該兼顧攘外和安內(nèi)的功能。

安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善；二是涉及到信息安全技術(shù)。首先，針對安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度、人員安全管理、安全運行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級、安全保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。

其次，信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)，以及安全基礎(chǔ)設(shè)施平臺；同時按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的安全技術(shù)以及未來信息系統(tǒng)發(fā)展的要求，規(guī)劃信息安全技術(shù)包括：

2.5 體系運行及改進(jìn)

信息安全管理體系文件編制完成以后，由公司企劃部門組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實際，在體系文件編制階段，將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系，如質(zhì)量、環(huán)境保護(hù)等體系文件，改歸并的歸并。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個月的努力，批準(zhǔn)并實施了信息安全管理系統(tǒng)的文檔。至此，信息安全管理體系將進(jìn)入運行階段。

有人說，信息系統(tǒng)的成功靠的是“三分技術(shù)，七分管理，十二分執(zhí)行”。“執(zhí)行”是要需要在實踐中去體會、總結(jié)與提高。對于信息系統(tǒng)安全管理體系建設(shè)更是如此！在此期間，以IT部門牽頭，加強(qiáng)宣傳力度，組織了若干次不同層面的宣導(dǎo)培訓(xùn)，充分發(fā)揮體系本身的各項功能，及時發(fā)現(xiàn)存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

3 總結(jié)

總結(jié)項目，建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)。當(dāng)然，體系建設(shè)過程中還存在不足，如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定，員工的認(rèn)知及接受程度還有待提高，體系在各部門領(lǐng)導(dǎo)重視程度、執(zhí)行力度、審核效果存在差距等等。最終，在公司各部門的共同努力下，體系經(jīng)歷了來自國際知名品牌認(rèn)證公司DNV及中國認(rèn)可委（CNAS）的雙重檢驗，并通過嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國內(nèi)和國際信息安全管理標(biāo)準(zhǔn)，提升公司信息安全管理的水平，從而為企業(yè)向國際化發(fā)展與合作提供有力支撐。

[參考文獻(xiàn)]

[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社，2003.7.

篇4

通過安全認(rèn)證

隨著國航信息系統(tǒng)建設(shè)的飛速發(fā)展,在奧運安全保障工作中,安全不再只是空防安全和飛行安全,信息安全已成為奧運安保的重要環(huán)節(jié),并納入公司和信息管理部2008年重點工作之中。國航信息安全規(guī)劃咨詢項目就是在奧運安保和國航信息系統(tǒng)跨越式發(fā)展的大背景下立項建設(shè)的,它旨在為國航信息安全體系建設(shè)打下堅實的理論基礎(chǔ)。

國航也是通過這個項目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃,建立了信息安全管理體系,于近日最終通過了ISO 27001信息安全管理體系認(rèn)證,使國航成為國內(nèi)首家通過此國際認(rèn)證的航空企業(yè),進(jìn)一步提升了公司的綜合競爭實力。

記者了解到,ISO 27001是國際信息安全領(lǐng)域的重要標(biāo)準(zhǔn),它的前身源自英國標(biāo)準(zhǔn)協(xié)會(British Standards Institute,BSI)在1995年2月制定的信息安全管理標(biāo)準(zhǔn) BS 7799,經(jīng)修訂后,于2005年10月15日作為國際標(biāo)準(zhǔn)ISOIEC 27001/2005。該標(biāo)準(zhǔn)基于風(fēng)險評估的風(fēng)險管理理念,可用于信息安全管理體系的建立和實施,保障信息安全,全面系統(tǒng)地持續(xù)改進(jìn)安全管理。國航的信息安全管理體系已于2008年12月就通過了國際權(quán)威認(rèn)證機(jī)構(gòu)的現(xiàn)場審核,具備了獲取ISO 27001信息安全管理體系國際認(rèn)證的條件。

在國航發(fā)展戰(zhàn)略中,信息安全占有非常重要的位置,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān),特別是涉及到飛行安全、客戶信任度的商務(wù)及財務(wù)方面信息等,都需要信息安全管理體系這張保護(hù)網(wǎng)的保障,在這種發(fā)展趨勢下,國航以建立起成熟的、具備國際水平的信息安全保障體系,保障核心業(yè)務(wù)不中斷、核心系統(tǒng)不被攻擊、客戶信息不泄露為信息安全愿景目標(biāo),

中國國際航空股份有限公司信息管理部總經(jīng)理劉東說,國航有幾百個系統(tǒng)每天運營著國航所有的正常航線、飛機(jī)維護(hù)、機(jī)組人員的管理、人員的編排,還有財務(wù)的收益管理,以及訂座系統(tǒng)、離崗系統(tǒng)、網(wǎng)絡(luò)收益系統(tǒng)。對于航空公司來講,每個系統(tǒng)都不能失控,也不能出問題。

安全蹺蹺板

曾經(jīng)主抓飛行安全如今管信息安全的中國國際航空股份有限公司副總裁賀利,在回顧國航在信息安全方面取得建設(shè)的一些建設(shè)成果時表示,“信息安全的體系是一個很復(fù)雜的體系,我們在業(yè)界經(jīng)常叫“安全蹺蹺板”,這個蹺蹺板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上,包括三方面內(nèi)容:一是技術(shù)平臺,二是組織和人員,三是制度和流程,由這三方面一起通過我們來執(zhí)行,去構(gòu)成信息安全體系。”

國航信息管理部技術(shù)管理辦公室高級經(jīng)理李宗琦表示,如果沒有信息安全管理體系這張保護(hù)網(wǎng),應(yīng)該說國航的飛行安全可能也無法得到保障。

第一要保證國航的核心業(yè)務(wù)不中斷,第二要保證國航信息系統(tǒng)不被攻擊,第三要保證重要客戶的信息不被泄漏,通過這樣的保障體系為國航的業(yè)務(wù)愿景的目標(biāo)實現(xiàn)保駕護(hù)航。

篇5

衡量安全管理體系的風(fēng)險主要方法是進(jìn)行信息安全風(fēng)險的評估，以此保障信息資產(chǎn)清單和風(fēng)險級別，進(jìn)而確定相應(yīng)的防控措施。在石化銷售企業(yè)進(jìn)行信息安全風(fēng)險的評估過程中，主要通過資金、威脅、安全性等識別美容對風(fēng)險進(jìn)行安全檢測，同時結(jié)合企業(yè)自身的實際情況，擬定風(fēng)險控制相應(yīng)的對策，把企業(yè)內(nèi)的信息安全風(fēng)險竟可能下降到最低水平。

（一）物理存在的風(fēng)險機(jī)房環(huán)境和硬件設(shè)備是主要的的物理風(fēng)險。當(dāng)前，部分企業(yè)存在的風(fēng)險有：1）企業(yè)機(jī)房使用年限過長，如早期的配電、布線等設(shè)計標(biāo)準(zhǔn)陳舊，無法滿足現(xiàn)在的需求；2）機(jī)房使用的裝備年限太長、例如中央空調(diào)老化，制冷效果不佳導(dǎo)致溫度不達(dá)標(biāo)，UPS電源續(xù)航能力下降嚴(yán)重，門禁系統(tǒng)損壞等，存在風(fēng)險；3）機(jī)房安全防護(hù)設(shè)施不齊全，存在風(fēng)險。

（二）網(wǎng)絡(luò)和系統(tǒng)安全存在的風(fēng)險石化訪問系統(tǒng)的使用和操作大量存在安全風(fēng)險，其中主要風(fēng)險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統(tǒng)安全隱患等。即使大部分企業(yè)已安裝統(tǒng)一的網(wǎng)絡(luò)防病毒體系、硬件防火墻、按期更新網(wǎng)絡(luò)系統(tǒng)軟件、安裝上網(wǎng)行為監(jiān)控等，但因為系統(tǒng)漏洞數(shù)目不斷增多網(wǎng)絡(luò)結(jié)構(gòu)和襲擊逐漸減弱或者因為信息系統(tǒng)使用人員操作系統(tǒng)本身的安全機(jī)制不完善、也會產(chǎn)生安全隱患。

（三）系統(tǒng)安全風(fēng)險沒有經(jīng)過許可進(jìn)行訪問、數(shù)據(jù)泄密和被刪改等威脅著系統(tǒng)的安全性。提供各類應(yīng)用服務(wù)是企業(yè)信息系統(tǒng)的首要任務(wù)，而數(shù)據(jù)正是應(yīng)用信息系統(tǒng)的核心，因此，實際應(yīng)用與系統(tǒng)安全風(fēng)險密切聯(lián)系。當(dāng)前，信息應(yīng)用系統(tǒng)存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業(yè)信任度影響的同時也會影響企業(yè)的市場競爭力。

（四）安全管理存在的風(fēng)險安全管理存在的主要指沒有同體的風(fēng)險安全管理手段，管理制度不完善、管理標(biāo)準(zhǔn)沒有統(tǒng)一，人員安全意識薄弱等等都存在管理風(fēng)險，因此，需要設(shè)立完善的信息系統(tǒng)安全管理體系，從嚴(yán)管理，促使信息安全系統(tǒng)正常運作。一方面要規(guī)范健全信息安全管理手段，有效較強(qiáng)內(nèi)控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態(tài)發(fā)展的形式存在，要不斷調(diào)整、完善制度，以符合信息安全的新環(huán)境需求[2]。

二、信息安全管理體系框架的主要構(gòu)思

信息安全管理體系的框架主要由監(jiān)管體系、組織體系和技術(shù)體系形成，特點是系統(tǒng)化、程序化和文件化，而主要思想以預(yù)防控制為主，以過程和動態(tài)控制為條件。完善安全管理體系，使石化銷售企業(yè)信息系統(tǒng)和信息網(wǎng)絡(luò)能夠安全可靠的運作，從機(jī)密性、完整性、不可否認(rèn)性和可用性等方面確保數(shù)據(jù)安全，提升系統(tǒng)的持續(xù)性，加強(qiáng)企業(yè)的競爭力。

（一）組織體系企業(yè)在完善管理體系過程中應(yīng)設(shè)立信息安全委員會和相關(guān)管理部門，設(shè)置相應(yīng)的信息安全崗位，明確各級負(fù)責(zé)的信息安全和人員配置等內(nèi)容。在全面提升企業(yè)人員對信息安全了解的過程中必須進(jìn)行信息安全知識的相關(guān)培訓(xùn)，使工作人員提高信息安全管理意識，實現(xiàn)信息安全管理工作人人有責(zé)。

（二）制度體系操作規(guī)范、安全策略、應(yīng)急預(yù)案等各項管理制度經(jīng)過計劃和下發(fā)，讓信息安全管理有據(jù)可依。企業(yè)參照合理完善的各項制度進(jìn)一步優(yōu)化業(yè)務(wù)流程，規(guī)范操作行為，降低事故風(fēng)險，提升應(yīng)急能力，以此加強(qiáng)信息安全的管理體系。

（三）技術(shù)體系管理技術(shù)、防護(hù)技術(shù)、控制技術(shù)是信息安全管理體系的主要技術(shù)基礎(chǔ)。安全技術(shù)包括物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、主機(jī)安全技術(shù)、終端安全技術(shù)、數(shù)據(jù)安全、應(yīng)用安全技術(shù)等。一旦出現(xiàn)信息安全事件，技術(shù)體系會在最短的時間內(nèi)降低事件的不良影響，依靠相關(guān)的信息安全管理技術(shù)平臺，以實現(xiàn)信息安全技術(shù)的有效控制[3]。管理體系的核心是技術(shù)手段，先進(jìn)的加密算法和強(qiáng)化密鑰管理構(gòu)成的數(shù)據(jù)加密方式全程控制數(shù)據(jù)傳輸和數(shù)據(jù)存儲，可以保證數(shù)據(jù)的安全性。采用堡壘機(jī)、防火墻等安全系統(tǒng)可以過濾掉不安全的服務(wù)和非法用戶，防止入侵者接近防御設(shè)備。IDS作為防火墻的重要功能之一，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速檢測出攻擊的對象，加強(qiáng)了管理員的安全管理技術(shù)（包括審計工作、監(jiān)視、進(jìn)攻識別等技術(shù)），提高了信息安全體系的防范性。企業(yè)數(shù)據(jù)備份這一塊可以采用雙機(jī)熱本地集群網(wǎng)、異地集群網(wǎng)等各種形式進(jìn)行網(wǎng)絡(luò)備份，利用體統(tǒng)的可用性和容災(zāi)性加強(qiáng)安全管理能力。近年來各個企業(yè)的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統(tǒng)的的安全防預(yù)技術(shù)受到了嚴(yán)峻的考驗，這時“云安全”技術(shù)當(dāng)之無愧成為當(dāng)今最熱的安全技術(shù)?！霸瓢踩奔夹g(shù)主要使用分部式運算功能進(jìn)行防御，而“云安全”技術(shù)對于企業(yè)用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護(hù)量?！霸瓢踩奔夹g(shù)是未來安全防護(hù)技術(shù)發(fā)展的必由之路，且今后“云安全”作為企業(yè)安全管理的核心內(nèi)容為企業(yè)的數(shù)據(jù)、服務(wù)器群組以及端點提供強(qiáng)制的安全防御能力。”

三、信息安全管理體系相關(guān)步驟

由于管理體系具有靈活性，企業(yè)可依據(jù)自身的特點和實際情況，使用最優(yōu)方案，結(jié)合石化銷售的特征，提出以下步驟：1）管理體系的重要目標(biāo)；2）管理體系的主要范疇；3）管理體系現(xiàn)狀考察與風(fēng)險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

四、結(jié)論