緒論:在尋找寫作靈感嗎�����?愛發(fā)表網(wǎng)為您精選了8篇信息安全管理要求����,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情����,歡迎您的閱讀與分享���!
篇1
國家��、省市已經(jīng)頒布各種法律法規(guī)�,各大單位也根據(jù)自己的具體情況��,建立了自己的規(guī)章制度���,維護信息安全已經(jīng)有法可依�。但是信息安全管理工作涉及的知識面非常廣,需要了解國家信息安全管理法規(guī)�����,需要學(xué)習(xí)信息技術(shù)一般理論��,需要知道信息安全漏洞知識����,需要明白信息安全禁令范疇。為提高學(xué)習(xí)效率和質(zhì)量���,全面掌握信息安全理論和方法���,按照信息安全管理知識體系,建設(shè)信息安全管理教學(xué)系統(tǒng)�����,提供學(xué)習(xí)信息安全管理的教學(xué)條件��,從而為各方面人員學(xué)習(xí)和執(zhí)行各種規(guī)章制度提供依據(jù)。相比其他管理工作��,信息安全管理工作需要比較多的理工專業(yè)基礎(chǔ)和比較高的電腦技術(shù)要求�����,在實際的信息安全管理工作中���,需要靈活的信息安全管理處置能力�����,更多的是判斷信息安全問題�����、識別信息安全陷阱�����、規(guī)范信息安全管理�����。由于知識背景和工作性質(zhì)特點,管理干部需要花費更多的時間和精力學(xué)習(xí)信息安全管理知識和技術(shù),才能具備基本的信息安全防范技能�����。為幫助他們更好地獨立處置信息安全管理問題�,掌握發(fā)現(xiàn)問題解決問題技能,依據(jù)現(xiàn)代教育理念和方法����,不僅需要提供深入淺出、知識完備的知識體系學(xué)習(xí)訓(xùn)練系統(tǒng)�����,而且需要信息安全管理能力訓(xùn)練系統(tǒng)����。
二、信息安全管理培訓(xùn)思路
為滿足信息安全管理工作在人員培訓(xùn)方面的需要�����,需要依托各級培訓(xùn)學(xué)校�����,按照國家和省市地方的制度法規(guī),借助現(xiàn)代教育思想�����,借助現(xiàn)代教育技術(shù)����,明確符合實際需要的功能定位,建設(shè)信息安全管理復(fù)合應(yīng)用型人才培訓(xùn)體系����,實現(xiàn)信息安全管理工作對培訓(xùn)教育、終身教育的培訓(xùn)要求��。
1.培訓(xùn)依據(jù)
(1)依據(jù)各種信息安全管理制度法規(guī)��。信息安全人員在履行工作職責(zé)的時候��,必須按照各種信息安全管理法規(guī)���、制度和要求實施�����,制訂人才培養(yǎng)方案和教學(xué)計劃必須依據(jù)國家���、省市和本部門的信息安全管理的相關(guān)規(guī)定,這樣的教學(xué)內(nèi)容才能保證人才培養(yǎng)的針對性和實用性�,保證管理干部履行信息安全管理職責(zé)的有效性。涉及信息安全制度法規(guī)的相關(guān)文件很多�,有的是專門為信息安全制訂的,有的制度和法規(guī)散落在各個業(yè)務(wù)管理制度中����。在建設(shè)信息安全管理知識體系時,必須將業(yè)務(wù)部門的相關(guān)規(guī)定融入知識體系中���,使得管理干部在處理具體業(yè)務(wù)中的信息安全管理工作具有針對性和有效性�。
(2)符合培訓(xùn)教育特點規(guī)律�����。信息安全管理技能是從事管理工作人員的基本技能����,屬于崗位專業(yè)培訓(xùn)或?qū)I(yè)技能培訓(xùn),屬于培訓(xùn)教育培訓(xùn)���。受訓(xùn)人員專業(yè)背景不同�,理論基礎(chǔ)不同,學(xué)習(xí)能力不同��,必須避免材���、統(tǒng)一授課����、統(tǒng)一訓(xùn)練��、和統(tǒng)一考核的傳統(tǒng)教學(xué)模式�,采取因人而異、因材施教的有針對性的教學(xué)方式����,強調(diào)個性化學(xué)習(xí),將不同層次受訓(xùn)者的信息安全管理能力達到信息安全管理工作所需要的水平上來�。
(3)遵循現(xiàn)代教育思想。在實施教育訓(xùn)練過程中���,現(xiàn)代教育思想要求采取“學(xué)為主體�����、教為主導(dǎo)”的教學(xué)理念�����,學(xué)員能夠方便地獲得完整的知識體系和解決問題的技能和方法��,自主學(xué)習(xí)����,開放學(xué)習(xí)����,自主理解、掌握知識和技能���。為實現(xiàn)教學(xué)目的��,需要分析信息安全管理技能特點���,需要分析管理干部學(xué)習(xí)動力,結(jié)合教學(xué)目標��,設(shè)計學(xué)員學(xué)習(xí)和訓(xùn)練的教育訓(xùn)練環(huán)境�,提供完整的知識體系、豐富的教學(xué)資源�����、模擬的問題情況、交互的學(xué)習(xí)平臺和方便的使用途徑�,提供與培訓(xùn)教育特點規(guī)律和技能訓(xùn)練要求相適應(yīng)的培訓(xùn)條件。
2.信息安全管理培訓(xùn)目標
按照信息安全管理工作的實際情況�,培養(yǎng)信息安全管理工作中管理、業(yè)務(wù)和技術(shù)三支人才隊伍���,突出業(yè)務(wù)和管理人才需要�,兼顧信息安全技術(shù)人員的人才培養(yǎng)��,以現(xiàn)代教育思想為指導(dǎo)����,以信息技術(shù)為核心支持技術(shù),建設(shè)滿足信息安全人才培養(yǎng)的現(xiàn)代培訓(xùn)條件�����。信息安全管理培訓(xùn)以管理干部為培訓(xùn)對象�����,以信息安全管理工作為培訓(xùn)內(nèi)容,區(qū)分信息安全管理人員�、業(yè)務(wù)干部和信息技術(shù)專門人員等不同層次,跟蹤信息安全管理形勢�����,實行階段反復(fù)輪訓(xùn)�����,以適應(yīng)信息安全管理不斷發(fā)展的需要�,確保信息安全管理工作的正常開展���。
三���、信息安全管理培訓(xùn)環(huán)境構(gòu)建
為適應(yīng)信息安全管理培訓(xùn)需要,適應(yīng)管理干部培訓(xùn)教育需要�,必須構(gòu)建遵循信息安全管理規(guī)定、符合現(xiàn)代教育思想�、依托信息技術(shù)手段、瞄準復(fù)合型適用人才培養(yǎng)的教育環(huán)境���。信息安全管理培訓(xùn)條件涉及面很廣�,包括組織機構(gòu)�����、舍堂館所、師資隊伍�����、后勤保障等等���,這里我們更關(guān)心符合培訓(xùn)思路的培訓(xùn)模式和教學(xué)支持��。從知識體系�����、學(xué)習(xí)途徑��、訓(xùn)練場所和訓(xùn)練系統(tǒng)多方面著手��,構(gòu)建信息安全管理訓(xùn)練體系�����,構(gòu)建管理人員信息安全人才培養(yǎng)條件�。依據(jù)教育信息化研究成果和培訓(xùn)教育教學(xué)特點,需要建立完整的信息安全管理知識體系�,建立開放式、自主式教育網(wǎng)絡(luò)平臺�,建立強時效性的教學(xué)資源體系,建立信息安全管理知識測試系統(tǒng)�,建立信息安全管理能力訓(xùn)練系統(tǒng),等等����。
1.構(gòu)建信息安全管理知識體系
培訓(xùn)教育的一個特點就是受訓(xùn)對象知識背景和技能掌握程度千差萬別,必須首先建立完整的知識體系�,以滿足不同基礎(chǔ)、不同需求受訓(xùn)者對知識掌握和能力訓(xùn)練的要求����。知識體系必須建立覆蓋學(xué)科知識和管理手段的所有內(nèi)容�,包括理論體系和教學(xué)資源兩部分,其中理論體系包括基礎(chǔ)知識�、安全理論、規(guī)范制度����、管理方法、歷史沿革����、防范手段和操作方法���,教學(xué)資源包括現(xiàn)狀分析、經(jīng)典案例��、技術(shù)講解�、訓(xùn)練題庫和數(shù)據(jù)模型,適應(yīng)和滿足每個受訓(xùn)對象的需求���。為滿足個性化服務(wù)需要�,可以按照知識點建設(shè)模塊化框架結(jié)構(gòu)����,設(shè)計具備菜單選擇功能的專家系統(tǒng),允許受訓(xùn)者建立適合自己的個性化教學(xué)計劃和實施方案����,確保受訓(xùn)者完成培訓(xùn)任務(wù)后勝任安全管理的崗位需要?����?梢越⒅悄芙虒W(xué)計劃生成系統(tǒng)�����,系統(tǒng)對每位受訓(xùn)者進行知識和技能測試,按照教學(xué)目標����,根據(jù)測試結(jié)果,將該學(xué)員沒有掌握或掌握不夠的知識內(nèi)容和技能形成列表��,從知識體系中搜尋相關(guān)知識和技能的概念�、理論、技術(shù)和操作技能�,形成該受訓(xùn)者個性化的教學(xué)計劃。隨著信息技術(shù)的發(fā)展和信息安全管理需求的變化��,信息安全管理知識體系應(yīng)該是動態(tài)更新的�����,剔除修改陳舊的���,充實替換實用的。
2.搭建開放�、共享和交流的網(wǎng)絡(luò)平臺
網(wǎng)絡(luò)平臺是信息資源共享的基礎(chǔ),是交流互動的基礎(chǔ)����。按照學(xué)科專業(yè)建設(shè)與管理規(guī)范建設(shè)知識體系�,以數(shù)字化形式在互聯(lián)網(wǎng)�����,實現(xiàn)信息安全管理教育資源共享����。作為資源共享平臺的網(wǎng)絡(luò)平臺,不僅為建設(shè)者資源共享提供平臺�����,而且可以為學(xué)習(xí)者提供資源上傳服務(wù)�,成為學(xué)習(xí)者之間相互交流資源的共享平臺,更為信息資源積累提供了很好的機制和存儲條件����。網(wǎng)絡(luò)具有兩個特點,一是允許網(wǎng)絡(luò)用戶365天24小時使用����,可以提供受訓(xùn)者隨時學(xué)習(xí)和訓(xùn)練,二是允許網(wǎng)絡(luò)用戶在任何有信息覆蓋的地方登錄��,可以提供受訓(xùn)者隨地學(xué)習(xí)和訓(xùn)練,這兩個特點打破了傳統(tǒng)教學(xué)時空的限制�����,為學(xué)員自主學(xué)習(xí)�����、教師開放教學(xué)�����、師生互動交流提供了可能�����,也為實施現(xiàn)代教育思想提供了條件�����。
3.建立虛擬講堂
優(yōu)秀教師的講授可以將學(xué)習(xí)效果演繹得趣味精彩�����,可以將學(xué)習(xí)內(nèi)容組織得明白易懂����,可以將現(xiàn)實運用解析得透徹自然。為更多學(xué)員獲得完美的教學(xué)體驗���,為積累并共享優(yōu)秀教學(xué)資源���,為學(xué)員快捷準確全面理解知識運用知識提供幫助,記錄����、整理并優(yōu)秀教師或?qū)<沂谡n錄像,供更多受訓(xùn)者學(xué)習(xí)參考�。教學(xué)錄像在網(wǎng)上成為虛擬講堂,成為不同專業(yè)不同時期受訓(xùn)者良好的教學(xué)資源�,目前全球風(fēng)行的慕課,可以成為這種培訓(xùn)目的的教學(xué)模式����,成本低,效益好�。因為技術(shù)層面的因素,信息安全管理知識體系在理論基礎(chǔ)和原理解釋有大量不易理解的知識點和疑難問題�����,學(xué)習(xí)時需要佐證的理論和嚴謹?shù)倪壿嫞枰獋魇谡攮h(huán)環(huán)相扣的謹密推演����,因此針對重要知識點和疑難雜診的講授片段是受訓(xùn)者自主式學(xué)習(xí)時需要的重要教學(xué)參考資料。各個大學(xué)基本都建設(shè)了網(wǎng)絡(luò)課堂��,為虛擬講堂建設(shè)提供了很好的技術(shù)平臺���。依據(jù)此平臺��,建設(shè)信息安全管理和教學(xué)資源和網(wǎng)絡(luò)課程���,可以構(gòu)筑完整的知識體系,為培訓(xùn)教育自主式學(xué)習(xí)提供了很好的學(xué)習(xí)資源�����。
4.建設(shè)信息安全管理實驗室
培訓(xùn)教育能力訓(xùn)練是教學(xué)環(huán)節(jié)中的主要部分����,驗證理論、觀摩操作方法和訓(xùn)練技能需要包括場所����、設(shè)備和軟件等實驗條件��,實驗室是完成實驗任務(wù)和檢驗方法效果必須具備的教學(xué)條件。理論��、方法和技能的實驗和訓(xùn)練是信息安全管理培訓(xùn)需要完成的教學(xué)環(huán)節(jié)�����,這些需要信息安全專業(yè)實驗室的支持���。信息技術(shù)具有可設(shè)計���、可復(fù)制、可重用的特點�����,使得基于信息技術(shù)的教育訓(xùn)練條件具備降低訓(xùn)練費用��、提高學(xué)員學(xué)習(xí)自主性����、提供學(xué)員反復(fù)學(xué)習(xí)等長處,結(jié)合音頻處理技術(shù)、視頻處理技術(shù)�、三維動畫技術(shù),可以為學(xué)員學(xué)習(xí)提供強烈逼真的感官刺激����、美輪美奐的藝術(shù)表現(xiàn)和自主操控的虛幻體驗。從訓(xùn)練目的而言�,實驗室可以分為虛擬實驗室和能力訓(xùn)練場兩部分。
(1)虛擬實驗室���。信息安全管理涉及大量技術(shù)手段��,信息安全技術(shù)攻擊和防范具有不可見�����、不易理解的特點��,需要顯而易見��、通俗易懂的形象展示����。虛擬實驗室是依托信息技術(shù)按照實驗室運行規(guī)律��、要求和任務(wù),以網(wǎng)頁形式在計算機網(wǎng)絡(luò)上建立的可以模擬實驗室運行的軟件系統(tǒng)����。虛擬實驗室內(nèi)設(shè)信息安全管理所需要的各種理論、方法和技能引擎�����,可以多維形象地反復(fù)演示信息安全管理的理論��、方法和技能����,可以允許受訓(xùn)者以第一人稱介入并依據(jù)受訓(xùn)者干預(yù)情況展示相應(yīng)信息安全分析結(jié)果��,虛擬實驗室可以記錄并考核受訓(xùn)者實驗過程和成績���。
篇2
(一)基層央行的信息安全工作的內(nèi)容
央行作為國家政府和大眾認可的組織機構(gòu)有著其他任何銀行不具有的功能�����,央行調(diào)控其他社會上各個銀行的借貸比例��,調(diào)控市場上的資金數(shù)量����,而且具有發(fā)行資金貨幣的功能,為保證其他銀行的正常運營和管理�����,所有銀行都需要向中央銀行定期繳納存款保證金��,在其他各個銀行發(fā)生資金危機時候可以向央行借貸資金���?����;鶎友胄惺茄胄性诟鱾€地方的分支機構(gòu)�����,具有執(zhí)行和監(jiān)管央行工作實施情況的基本功能����。
(二)基層央行的信息安全管理工作開展的意義
在日常的生活和工作過程中�,并不是人人都是理財管理專家,社會大眾對于勞動得到的財富的管理和控制遠遠不夠��,在這樣的情況下銀行就成為人們儲存各種財富資金的主要地方。大眾把自己的資金存入銀行����,銀行擁有這些資金可以用于社會生產(chǎn)制造,為大眾和社會發(fā)展創(chuàng)造收益�,銀行定期向大眾返還利息,因此���,銀行的信息安全管理工作也是大眾最關(guān)心的問題���?���;鶎友胄凶鳛樾畔踩芾淼幕鶎又С终撸畔踩芾砉ぷ鞯男蕸Q定了社會大眾的財產(chǎn)安全�,同時也決定了社會財務(wù)的安全,這對于社會發(fā)展和社會財務(wù)的管理有著重要的意義�����,尤其是社會財富的安全����,基層央行必須要保證信息的安全�����,銀行的工作人員要遵守自己的職業(yè)規(guī)定和職業(yè)道德�����,不泄露他人的銀行信息和資金信息�。做好信息安全工作對于維持社會穩(wěn)定�����,保證社會財富的安全性�,提高社會管理職能和效率都有非常重要的實際價值和意義。
二���、基層央行信息安全管理工作存在的問題
基層央行的信息安全管理工作的效率和成果一直是社會和政府關(guān)注的重點��,也是大眾最關(guān)注的銀行管理問題��。盡管隨著科學(xué)技術(shù)的發(fā)展和進步���,基層央行的信息安全管理的技術(shù)和方法都已經(jīng)得到了相當大的改善,但是不可否認的是�����,在這個過程中基層央行的信息安全管理工作仍然還存在著很多的問題,這些問題的存在給基層央行的信息安全管理帶來了一定的影響���,同時也給大眾的資金�、財產(chǎn)安全帶來了威脅���,以下主要針對基層央行信息安全管理存在的問題展開詳細的分析和研究�����。
(一)基層央行信息安全管理工作人員的信息安全管理意識有待提高
基層央行的信息安全管理的工作人員是保證基層央行所有信息安全最直接的工作人員�����,所有的信息安全管理工作都必須要由他們來掌控,但是結(jié)合當下的實際基層央行的信息安全管理工作現(xiàn)狀可以看出�����,基層央行的信息安全管理工作人員在銀行信息管理和信息安全方面沒有認真端正自己的思想����,管理意識不夠強����,在實際的工作中并沒有采取應(yīng)有的嚴謹工作態(tài)度����,實際上這主要是由于銀行的管理疏忽造成的。如果銀行能夠加強對這些信息安全管理工作人員的監(jiān)管力度�����,提升他們的工作能力和個人素質(zhì)����,這樣的問題就可以避免,但是如果基層央行在管理過程中意識不到這個問題的嚴重性�����,這些信息安全管理的工作人員就很有可能會由于自身的原因?qū)е裸y行的安全信息泄露��,給銀行和銀行客戶的安全造成嚴重的后果�。
(二)基層央行的信息安全管理配備的科學(xué)技術(shù)人員不夠科學(xué)、合理
實際上基層央行的信息安全管理需要的不僅僅是人工操作���,更需要的是科學(xué)技術(shù)人員的配合���,因為在實際的基層央行信息安全管理過程中需要用到很多的電子設(shè)備�����,大多數(shù)銀行以及客戶信息都需要通過這些設(shè)備智能化地存儲和記憶���,因此這些設(shè)備的研發(fā)和操作人員就是整個基層央行信息安全管理工作的核心,這些技術(shù)人員的分配以及工作效率都會影響到實際的基層央行信息安全管理工作的開展效率�。從目前的基層央行信息安全管理工作現(xiàn)狀可以看出,在實際的安全管理過程中存在的兩個比較嚴重的問題:一是基層央行這樣的科學(xué)技術(shù)人員非常欠缺���,在某種程度上影響了基層央行的信息安全管理工作的順利開展;二是基層央行的信息安全管理的方法和技術(shù)不到位�,導(dǎo)致了在實際的安全管理操作過程中經(jīng)常會出現(xiàn)失誤����,給基層央行的信息安全管理工作帶來了非常大的影響。
(三)基層央行的信息安全管理制度
不完善管理制度是管理工作開展的基本條件�����,同時也是央行信息安全管理工作開展的必備條件��。在實際的央行管理過程中�,嚴格的管理制度是保障基層央行信息安全管理工作正常開展的根本。但是從目前的發(fā)展現(xiàn)狀可以清楚地看出����,基層央行的信息安全管理制度還不夠完善,這在根本上影響了基層央行的信息安全管理工作的開展�����。從基本的制度設(shè)置和實施方面來說�����,造成這一問題的主要原因:一是基層央行的管理工作和管理意識不夠達標���,最終影響了制度的制定和實施����,從而也影響了基層央行的信息安全管理工作的開展;二是制度制定者對于基層央行的信息安全管理工作的內(nèi)容以及工作的重要性沒有一個科學(xué)合理的認識�,最終影響了基層央行的安全管理和信息管理。因此制度的完善和執(zhí)行情況必須要得到相關(guān)部門的重視��,只有這樣才能使得基層央行的信息安全管理工作效率有所保證�����。
(四)基層央行的信息安全管理系統(tǒng)應(yīng)急措施不完善
基層央行的信息安全管理應(yīng)急系統(tǒng)主要是為了保證在發(fā)生突發(fā)的央行安全信息泄露或者重大信息安全問題時,及時對這些問題進行處理����,挽救過失,并將對社會和大眾的影響和損失降到最低的一個系統(tǒng)�。可以說����,應(yīng)急系統(tǒng)是保證央行信息安全管理的最重要系統(tǒng),但是結(jié)合當下的實際情況看����,基層央行信息安全管理系統(tǒng)的應(yīng)急措施并不能滿足實際的需求,而且還有可能會在關(guān)鍵時刻失去原有的功能和作用����。因此在實際的應(yīng)用和發(fā)展過程中,必須要著重提升其功能和使用效率����,使之能夠更好地為央行的信息安全管理工作服務(wù),更好地為保證社會安全和大眾資金安全服務(wù)����。
(五)對基層央行的信息安全管理的監(jiān)管不到位
基層央行作為社會和大眾財富的集中地,社會和大眾應(yīng)對其工作具有較強的監(jiān)管能力����,但是在實際的應(yīng)用過程中,社會大眾并沒有行使其基本的權(quán)力�����,沒有對基層央行的工作�,尤其是基層央行的信息安全管理工作進行監(jiān)管。社會相關(guān)部門盡管對基層央行的工作進行了監(jiān)管和控制�,但是在監(jiān)管的過程中并沒有按照實際的監(jiān)管要求對這些基層央行的管理工作內(nèi)容和執(zhí)行情況進行監(jiān)管,并且過于注重形式��,沒有實際的工作�����。因此對基層央行信息安全的管理應(yīng)是基層央行在未來的工作中必須要解決和完善的地方����。
三、提升基層銀行信息安全管理工作效率的方法和措施
通過以上對基層央行信息安全管理過程中存在的問題的分析和討論可以看出�,基層央行信息安全管理工作確實存在很多問題,解決這些問題不僅是社會發(fā)展的需求,同時也是大眾對于其財產(chǎn)安全管理的需求�����。以下主要針對提升基層央行的信息安全管理效率的方法和措施展開詳細的分析和研究�����。
(一)提升基層央行信息安全管理工作人員的安全管理意識
提升基層央行信息安全管理工作人員的安全管理意識需要央行提高自己的管理意識��、危機意識和安全意識��?���;鶎友胄械墓芾碚咝枰趯嶋H管理工作中做到:嚴格要求基層央行的信息安全管理工作者,使得他們在實際的工作過程中嚴格要求自己�,嚴格按照工作要求和工作制度標準開展工作,這樣就可以有效避免由于工作人員的操作失誤給整個基層央行的信息安全管理工作帶來影響;另外就是基層央行在對信息安全管理工作者進行工作考核時必須要按照嚴格的要求�,將其對信息安全管理工作的態(tài)度以及工作狀況加入到實際的考核中去,這樣不僅可以激勵員工更加積極地對待工作��,而且也可以提升工作效率;最重要的就是基層央行在招聘這些信息安全管理工作人員時�,應(yīng)該要提升對這些人員的要求和資格審查,這是從根本上提升基層央行信息安全管理工作安全性和工作效率的最佳措施����。總的來說�,提升基層央行信息安全管理工作人員的安全管理意識是基層央行在管理過程中的基本需求,同時也是最重要的管理目標之一���。
(二)提升基層央行信息安全管理的科學(xué)技術(shù)人員配備的科學(xué)化和合理化
基層央行信息安全管理的科技人員配備的合理化和科學(xué)化是保證銀行的各項科學(xué)技術(shù)工作更好地發(fā)展和完善的基礎(chǔ)���。最基本的條件之一就是必須要保證這些科學(xué)技術(shù)人員的配備能夠滿足實際的信息安全管理需要,保證當信息安全管理工作人員需要這些技術(shù)人員的配合和幫助時���,技術(shù)人員能夠以最快的速度達到����,對存在的問題進行處理和解決��,這是對基層央行技術(shù)人員配備的基本要求��。
(三)完善基層央行的信息安全管理制度���、提升管理制度的執(zhí)行效率
完善基層央行信息安全管理制度要求基層央行在制度制定過程中����,按照實際的信息安全管理需求設(shè)定相關(guān)制度,并以適合央行實際管理及信息安全���,提升央行信息的安全性為基本要求和標準���,提升管理制度的執(zhí)行效率。
(四)提高基層央行的信息安全管理系統(tǒng)的應(yīng)急處理能力和監(jiān)管
提高基層央行應(yīng)對緊急情況的信息安全管理系統(tǒng)問題要求基層央行的員工必須要對自己的工作內(nèi)容非常熟悉����,在發(fā)生緊急情況時候能夠及時找到問題產(chǎn)生的原因,并及時采取措施����,尤其是在發(fā)生惡性的信息泄露和信息安全問題時,能夠及時進行處理�。提高基層央行信息安全管理系統(tǒng)應(yīng)急處理能力要求基層央行定期地對自己的員工進行培訓(xùn),使他們能夠?qū)ψ约旱墓ぷ髁鞒毯凸ぷ鲀?nèi)容充分地了解��,央行也可以通過提升對這些工作人員的要求來達到相應(yīng)的目標��,但是總的來說���,提升基層央行信息安全管理系統(tǒng)的應(yīng)急處理能力是基層央行必須要改善和提升的一個問題��。與此同時��,加強對基層央行的監(jiān)管力度對于保證基層央行信息安全管理的規(guī)范性和科學(xué)性具有非常重要的意義�����。
四��、小結(jié)
篇3
1信息安全管理系統(tǒng)現(xiàn)狀
信息安全管理系統(tǒng)作為信息安全的支撐體系以及實施信息安全維護的落腳點�,是信息安全管理中的重要組成部分����。目前我國的信息安全管理系統(tǒng)還尚未完善,其不足之處首先表現(xiàn)為缺少統(tǒng)一的存儲平臺來對眾多的文檔進行儲存����,從而導(dǎo)致大量文檔的丟失;其次,如果信息安全管理系統(tǒng)不完善�����,就不能降低資產(chǎn)等的風(fēng)險評估以及對資產(chǎn)進行集中式的管理;最后���,由于信息安全系統(tǒng)中各個報表功能的不完善����,文檔信息就無法快速、準確地透露出信息安全的實際狀況��,從而起到有效地保護作用�����。
信息安全管理系統(tǒng)主要能夠通過對關(guān)鍵資產(chǎn)實行定性和定量分析���,從而得出資產(chǎn)的精確風(fēng)險值��,識別系統(tǒng)中存在的重要因患資產(chǎn)�����,并進一步通知信息管理員采取適當?shù)胤椒▉頊p少隱患事件的發(fā)生�,通過科學(xué)的管理降低企業(yè)的資產(chǎn)風(fēng)險�����。由此可見�,完善的信息安全管理系統(tǒng)是不可或缺的,它一方面決定著信息安全管理體系的具體實施�,另一方面也可以促進企業(yè)信息安全管理體系的進一步維護與建設(shè)。
2信息安全管理系統(tǒng)標準
科學(xué)統(tǒng)一的國家信息安全標準�,有利于協(xié)調(diào)與融合各個信息安全管理系統(tǒng)的工作��,充分促進信息安全標準系統(tǒng)的功能發(fā)揮�。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分��。
2.1ISO/IEC27000系列標準
1995年���,英國標準協(xié)會(BSI)了BS7799-1和BS7799-2兩部標準�,隨著時代的進步其逐漸發(fā)展為ISO/IEC27001和ISO/IEC27002兩個部分���,并進一步成為目前信息安全管理體系的主要核心標準。BS7799的最初提出目的主要在于建立起一套能夠用于開發(fā)��、實施以及測量的科學(xué)信息安全管理慣例�����,并作為一種通用框架來促進貿(mào)易伙伴之間的信任�。ISO/IEC27001重視ISMS的建構(gòu)以及在PDCA基礎(chǔ)之上的進一步循環(huán)與完善,這一過程實質(zhì)上就是在宏觀的角度上來指導(dǎo)整個項目的有效實施��。它意在風(fēng)險管理的基礎(chǔ)之上���,用風(fēng)險分析的途徑��,把發(fā)生信息風(fēng)險的概率降到最低程度����,同時采取適當?shù)卮胧﹣肀U现黧w業(yè)務(wù)的順利進行。ISO/IEC27002主要闡述了133項控制細則�����,以及11項需要有效控制的項目�����,其中包括安全策略�、安全組織、信息安全事件管理��、人力資源安全���、符合性物理與環(huán)境安全�、訪問控制�、資產(chǎn)管理、系統(tǒng)的開發(fā)與維護����、業(yè)務(wù)連續(xù)性管理��、通信與操作安全等一系列的安全風(fēng)險評估與控制�。
2.2信息安全等級保護
1994年國務(wù)院出臺了《中華人民共和國計算機信息系統(tǒng)安全保護條例》����,該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進信息化的健康與發(fā)展����,從而進一步維護國家安全、社會發(fā)展以及人民群眾的利益�。它的核心標準《GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則]是在TCSEC的分級保護思想基礎(chǔ)之上,針對我國信息安全的發(fā)展實際進行改善�����,最終把安全等級縮減成更具可操作性的5個級別���。《GB/T22239-2008信息系統(tǒng)安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術(shù)要求兩類��,其中前者主要包括系統(tǒng)建設(shè)管理�、安全管理制度、系統(tǒng)運維管理、安全管理機構(gòu)和人員安全管理;后者主要包括應(yīng)用安全�����、網(wǎng)絡(luò)安全����、物理安全、主機安全以及數(shù)據(jù)安全與備份恢復(fù)���。此外�,信息安全等級保護的系列標準里還包括(〈GB/T20270-2006網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》以及《GB/T20271-2006信息系統(tǒng)安全通用要求》等一些關(guān)于信息安全維護細則的具體操作要求����。
3信息安全管理系統(tǒng)的模型設(shè)計
根據(jù)信息安全管理系統(tǒng)標準,結(jié)合以往的信息安全管理系統(tǒng)設(shè)計��,提出一種新型的四層信息安全管理系統(tǒng):
第一層是數(shù)據(jù)庫層:包括日志��、資產(chǎn)庫�����、異常日志以及資產(chǎn)弱點庫和資產(chǎn)風(fēng)險庫等�����。該數(shù)據(jù)庫層的主要功能在于對信息安全管理系統(tǒng)中的數(shù)據(jù)進行存儲。
第二層為功能模塊層:包括資產(chǎn)管理����、風(fēng)險管理、弱點管理����、信息安全管理規(guī)范下載管理資產(chǎn)等級評估管理、拓補管理以及日志分析��。
第三層為信息采集:主要包括人工脆弱性檢查�、漏洞掃描工具以及日志采集系統(tǒng)三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件����。
最后一層為展示層:它包含某個具體業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)系統(tǒng)整體安全狀況、資產(chǎn)安全狀況����、業(yè)務(wù)系統(tǒng)拓補以及異常安全事件等相關(guān)部分�����。
上述新型信息安全管理系統(tǒng)模型主要體現(xiàn)出以下六點創(chuàng)新之處:
(1)所設(shè)計的風(fēng)險模塊管理可以把風(fēng)險評估常態(tài)化、主動化��,使其對整個業(yè)務(wù)周期內(nèi)的所有資產(chǎn)風(fēng)險進行動態(tài)的跟蹤與準確分析;另外���,該信息安全系統(tǒng)的日志審計功能也可以實現(xiàn)被動式的安全管理����,從而使主動管理與被動管理在信息安全管理系統(tǒng)中充分融合���。
(2)業(yè)務(wù)系統(tǒng)的動態(tài)建模和系統(tǒng)支持資產(chǎn)����,可以把業(yè)務(wù)系統(tǒng)和資產(chǎn)二者綁定在一起�����,由此�,整個信息安全系統(tǒng)一方面可以準確地體現(xiàn)出在一個具體業(yè)務(wù)系統(tǒng)環(huán)境下,其單獨資產(chǎn)的具體安全狀況;另一方面該信息安全系統(tǒng)還能夠根據(jù)IS027001的具體標準��,反應(yīng)出整個資產(chǎn)所承載的整體業(yè)務(wù)系統(tǒng)的安全狀況����。
(3)該新安全管理系統(tǒng)增加并促進了拓補管理功能的發(fā)揮�����。
(4)該信息安全管理系統(tǒng)模型提供了統(tǒng)一的知識庫管理����,能夠?qū)θ罩?�、資產(chǎn)庫�、異常日志以及資產(chǎn)弱點庫和資產(chǎn)風(fēng)險庫等部分進行更有效的數(shù)據(jù)存儲與管理。
篇4
四大因素驅(qū)動管理水平提升
經(jīng)過十多年的建設(shè)與發(fā)展�����,中國移動已建成一個覆蓋范圍廣��、通信質(zhì)量高�、業(yè)務(wù)品種豐富、服務(wù)水平一流的移動通信網(wǎng)絡(luò)��。目前�,中國移動的網(wǎng)絡(luò)規(guī)模和客戶規(guī)模列全球第一。但近幾年來��,中國移動的信息安全管理壓力不斷加大����,這是由于以下四個因素:
首先,適應(yīng)信息安全形勢發(fā)展的基本需要��。隨著社會環(huán)境����、產(chǎn)業(yè)環(huán)境的變化,通信網(wǎng)的重要性日益凸顯��,民眾對通信網(wǎng)的依賴程度日益提高�����,網(wǎng)絡(luò)與我們的生產(chǎn)���、生活密不可分����。與此同時�����,網(wǎng)絡(luò)安全攻擊事件日益增多��,網(wǎng)絡(luò)攻擊技術(shù)越來越多樣化,攻擊的自動化程度也越來越高����,信息安全形勢日益嚴峻。作為國有重要骨干企業(yè)���,中國移動加強信息安全管理��,既是實現(xiàn)企業(yè)發(fā)展戰(zhàn)略目標的需要�,也是履行企業(yè)社會責(zé)任的基本需要�。
其次,Y本的市場監(jiān)管要求���。2002年�����,美國安然�����、世通等財務(wù)欺詐事件之后�����,美國立法機構(gòu)出臺了《薩班斯―奧克斯利法案》(以下簡稱《薩班斯法案》)����?����!端_班斯法案》不僅適用于美國上市公司��,也適用于在美國證監(jiān)會注冊的外國公司����。中國移動作為在美國證券交易市場上市的海外公司,也必須遵循《薩班斯法案》相關(guān)要求���。為了遵從《薩班斯法案》�����,中國移動制定的內(nèi)部控制矩陣中���,有313個項與信息安全有關(guān)。
再次�,滿足國內(nèi)監(jiān)管部門的監(jiān)管要求�����。隨著信息安全形勢的發(fā)展���,國內(nèi)監(jiān)管部門對信息安全管理提出了明確要求。公安部����、工業(yè)和信息化部、國家保密局和證監(jiān)會等部委陸續(xù)了相關(guān)文件對企業(yè)信息安全管理提出了要求���,如公安部��、國家保密局����、國家密碼管理局和國務(wù)院信息工作辦公室的《信息安全等級保護管理辦法》����,公安部的《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》,工業(yè)和信息化部的《通信網(wǎng)絡(luò)安全防護管理辦法》�����,財政部、 證監(jiān)會���、審計署���、銀監(jiān)會和保監(jiān)會印發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》等。
最后����,滿足企業(yè)自身管理提升的要求����。中國移動從提升自身管理的角度出發(fā),建立了較為完整的信息安全管理體系�����,覆蓋系統(tǒng)建設(shè)和運維���、業(yè)務(wù)經(jīng)營���、客戶信息保護等環(huán)節(jié)。
然而,由于信息安全管理涉及多個業(yè)務(wù)部門和管理部門����,管理復(fù)雜度高,工作繁雜�,過去難以進行體系化管理、執(zhí)行難度高成為中國移動信息安全管理工作的突出問題���。
五大管理措施保證信息安全
中國移動信息安全管理的總體目標是借鑒國際的先進GRC管理理念�,按照PDCA(Plan―Do―Check―Action��,計劃―實施―檢查―處理)模式�,建立涵蓋合規(guī)要求、合規(guī)執(zhí)行�����、合規(guī)檢查��、合規(guī)評價�����、合規(guī)整改的閉環(huán)管理機制��;采取相應(yīng)的技術(shù)手段、通過有效的管理措施�,保證信息資產(chǎn)免遭威脅,或?qū)⑼{帶來的不良后果降到最低�����;持續(xù)改進��,實現(xiàn)信息安全管理水平的螺旋式提升�,最終維護組織的正常運作和健康發(fā)展。具體來說����,中國移動主要采取了以下五項措施保證目標的實現(xiàn)��。
第一�,建立信息安全合規(guī)閉環(huán)管理機制。中國移動在信息安全管理方面借鑒了GRC管理理念�,參考了ISO27001信息安全閉環(huán)管理體系的PDCA模型,形成了特有的信息安全合規(guī)閉環(huán)管理機制��。中國移動結(jié)合自身的實際情況�,將信息安全合規(guī)管理工作劃分為合規(guī)要求、合規(guī)執(zhí)行���、合規(guī)檢查����、合規(guī)評價、合規(guī)整改等五個環(huán)節(jié)�。其中,合規(guī)要求對應(yīng)的是計劃(Plan)�,合規(guī)執(zhí)行對應(yīng)是實施(Do),合規(guī)檢查和合規(guī)評價對應(yīng)的是檢查(Check)���,合規(guī)整改對應(yīng)的是處理(Action)��。這五個環(huán)節(jié)形成了信息安全合規(guī)的閉環(huán)管理�,借助流程全面貫徹��。
第二��,進行集中�、制度化管理,全面滿足內(nèi)外部監(jiān)管需求����。中國移動根據(jù)外部的《薩班斯法案》、ISO27011信息安全管理最佳實踐�、國家信息安全等級保護�����、通信網(wǎng)安全防護等相關(guān)的合規(guī)要求�����,制定了多達200余個安全管理制度和標準��,覆蓋系統(tǒng)建設(shè)與運維����、業(yè)務(wù)經(jīng)營�、客戶信息保護等環(huán)節(jié),涉及多個業(yè)務(wù)部門和管理部門��,涵蓋了安全方針���、風(fēng)險管理、第三方管理��、安全事件處理�����、安全基線等數(shù)十個領(lǐng)域。
值得一提的是�����,由于需要遵從的合規(guī)要求較多���,部分“規(guī)”之間存在內(nèi)容交叉和要求不一致的情況��。如果缺少集中化的管理����,會導(dǎo)致日常的制度和標準查詢����、獲取和執(zhí)行都比較困難。為此���,中國移動對需要遵從的國際����、國內(nèi)��、行業(yè)和企業(yè)內(nèi)部的信息安全管理制度�����、標準進行了梳理,參照國內(nèi)外標準和最佳實踐��,形成了《中國移動信息安全管理制度體系框架》����。通過制度體系框架,相關(guān)人員可以掌握公司整體的信息安全管理全貌�����,方便��、快速地查找對應(yīng)的要求�����,高效地分析出哪些領(lǐng)域可能存在制度缺失�����,為進一步完善信息安全管理體系提供有力的支持��,為合規(guī)管理體系的建設(shè)提供有用的支撐��。
第三�,完善合規(guī)管理矩陣,將安全合規(guī)管理工作具體化�����。信息安全合規(guī)管理的核心是建立信息安全合規(guī)管理矩陣����。該矩陣是基于對各種信息安全管理制度、規(guī)范建立的���,是對各種信息安全管理要求的條目化�����、具體化�。中國移動在梳理合規(guī)制度和建立合規(guī)控制框架的基礎(chǔ)上��,首先建立信息安全責(zé)任制���、客戶信息安全�����、業(yè)務(wù)安全和基礎(chǔ)安全等子矩陣�,然后逐步豐富、完善子矩陣���,最終形成全面的信息安全合規(guī)矩陣���。合規(guī)矩陣包括控制矩陣、檢查矩陣��、對應(yīng)矩陣和資產(chǎn)矩陣���。
第四��,建立合規(guī)檢查規(guī)范���,實現(xiàn)制度化、規(guī)范化管理�����。為了做好合規(guī)檢查��,中國移動制定《信息安全監(jiān)督檢查工作規(guī)范》,實現(xiàn)合規(guī)檢查制度化����、規(guī)范化管理��。合規(guī)檢查分為普查模式和專項檢查兩種模式����。
第五,建立評價體系�,實現(xiàn)整改工作的閉環(huán)管理。中國移動通過實施多維度的合規(guī)評價�����,針對不符合合規(guī)要求的檢查點和評價相對較差的環(huán)節(jié)����,開展及時的問題整改工作,通過工單等工作流�,以下發(fā)、整改�、反饋和驗證四步閉環(huán)的管理模式,保證在問題發(fā)現(xiàn)后���,有要求����、有人改、有反饋�����、有驗證����,有效落實整改工作。
信息化平臺是不可或缺的支撐
為了有效應(yīng)對當前在信息安全合規(guī)管理方面所面臨的挑戰(zhàn)�����,中國移動在慧點科技協(xié)助下建立了全網(wǎng)集中的信息安全合規(guī)管理平臺����。中國移動的各省公司都可以登錄該平臺開展合規(guī)管理工作。該平臺針對中國信息安全合規(guī)管理需求���,固化了制度管理�、控制落實����、安全檢查�、合規(guī)評價和整改等信息安全管理流程��,為合規(guī)工作提供了流程化�����、平臺化的高效工具�。
中國移動信息安全合規(guī)管理平臺包括制度管理�����、矩陣管理����、執(zhí)行管理、合規(guī)檢查���、合規(guī)風(fēng)險評價和整改管理等核心功能模塊��,可以有效支撐信息安全合規(guī)的全生命周期流程管理��。
通過建立以信息安全合規(guī)管理矩陣為核心的合規(guī)管理體系�,全面部署信息安全合規(guī)管理平臺,中國移動實現(xiàn)了如下的效果:
第一����,提升了信息安全業(yè)務(wù)管理的統(tǒng)一性、完整性����;
第二,提升了集中化自主運營能力����,有效提升業(yè)務(wù)連續(xù)性;
篇5
關(guān)鍵詞:信息安全管理體系��;信息資產(chǎn)��;業(yè)務(wù)連續(xù)性�;風(fēng)險評估
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1001-828X(2014)08-0136-02
當前,隨著稅務(wù)部門管理和服務(wù)水平不斷提升的客觀需要�����,加強對稅收核心業(yè)務(wù)系統(tǒng)和關(guān)鍵信息資產(chǎn)的保護���,成為信息化工作中一項十分重要的使命��。
本省地稅部門信息安全現(xiàn)狀及面臨形勢
(一)取得的成績
多年來����,本省地稅部門在認真學(xué)習(xí)貫徹國家稅務(wù)總局和各相關(guān)主管部門頒布的信息安全管理制度、政策法規(guī)及技術(shù)標準基礎(chǔ)上���,結(jié)合工作實際�,陸續(xù)頒布��、制定了一系列信息安全管理辦法與措施�,具體包括:
1.安全管理制度方面����,制定了涵蓋物理層、網(wǎng)絡(luò)層和主機系統(tǒng)層的管理制度����,總體目標、范圍�、方針、原則和責(zé)任基本明確�����。
2.安全管理機構(gòu)方面,建立了信息安全領(lǐng)導(dǎo)小組��,配備了具有一定安全管理能力及技術(shù)能力的系統(tǒng)管理員���、網(wǎng)絡(luò)管理員����、安全管理員等����。
3.人員安全管理方面,在內(nèi)外部人員錄用前�����,對被使用人的身份����、背景和資質(zhì)等進行嚴格審查,按期組織信息安全崗位知識技能培訓(xùn)��。
4.系統(tǒng)建設(shè)管理方面�,嚴格遵照信息系統(tǒng)安全等級保護要求制定建設(shè)方案,并對定級結(jié)果的合理性和正確性進行論證和審定�����。
5.系統(tǒng)運維管理方面,對各種設(shè)備運轉(zhuǎn)情況進行定期檢查和實時監(jiān)測�����、報警����,權(quán)限設(shè)定遵循最小化授權(quán)原則,有配置變更管理的審批流程�����,對重要應(yīng)用程序和數(shù)據(jù)庫進行定期備份�。
(二)存在的不足
通過近期開展的風(fēng)險評估工作�,暴露出本省在信息系統(tǒng)安全方面還存在著一定程度的不足,主要是:
1.在安全管理方面����,已制定的各項管理規(guī)定缺乏全面性、系統(tǒng)性���,要求規(guī)范與實施細則未能很好的實現(xiàn)層次劃分���;有些制度����、標準更新不快�,缺乏可操作性,對基層的指導(dǎo)作用不十分明顯����;信息安全責(zé)任制度還需要進一步細化和落實。
2.在安全技術(shù)方面���,現(xiàn)有機房空間環(huán)境已不能完全適應(yīng)稅收業(yè)務(wù)發(fā)展的需要��;部分網(wǎng)絡(luò)�、安全設(shè)備老化需要更新�,部分核心業(yè)務(wù)網(wǎng)絡(luò)還未進行功能區(qū)域的細分,操作級的審計管理還不盡完善�;應(yīng)用系統(tǒng)開發(fā)中的安全機制尚不健全,身份認證等安全技術(shù)手段還未得到全面應(yīng)用���。
3.在安全運維方面�,現(xiàn)有巡檢工作中不包括安全技術(shù)措施的有效性檢查等內(nèi)容;網(wǎng)管��、動環(huán)���、安管等監(jiān)控系統(tǒng)還基本處于獨立運行狀態(tài)���,對于網(wǎng)絡(luò)或系統(tǒng)故障缺乏關(guān)聯(lián)性分析,未能形成統(tǒng)一的監(jiān)控�、分析、處置策略�;尚未結(jié)合實際業(yè)務(wù)制定出操作性較強的應(yīng)急預(yù)案,未進行過應(yīng)急演練����。
(三)面臨的形勢
隨著經(jīng)濟的持續(xù)發(fā)展和國際地位的不斷提高,我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全風(fēng)險日益嚴峻�,計算機病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗,網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升����,犯罪分子利用一些安全漏洞進行網(wǎng)絡(luò)盜竊���、網(wǎng)絡(luò)詐騙��、信息系統(tǒng)破壞等違法活動����,給國家政治、經(jīng)濟和社會生活造成嚴重負面影響����。中央已經(jīng)將信息安全與政治安全、經(jīng)濟安全�、文化安全并列為國家安全的重要組成要素。稅務(wù)信息系統(tǒng)作為政府信息系統(tǒng)的重要組成部分��,其安全運行不僅關(guān)系到政府機關(guān)的形象和稅收業(yè)務(wù)的持續(xù)運行�,還關(guān)系到社會穩(wěn)定和國家安全。
提高稅務(wù)信息安全保障能力的有效途徑
國家稅務(wù)總局在“金稅三期”項目建設(shè)中明確提出�,要高度重視信息安全保障工作:按照“四防”工作要求,進一步推進“人防”���,做好信息安全教育培訓(xùn)工作���;認真落實“制防”,推進信息安全標準體系和管理制度建設(shè)�;穩(wěn)步提升“技防”,持續(xù)保障“物防”�,做好安全防護體系建設(shè)和運行管理工作。因此,構(gòu)建符合信息系統(tǒng)運行需要的信息安全管理體系����,對進一步加強稅務(wù)部門內(nèi)部網(wǎng)絡(luò)的整體安全防護能力,全面提升信息安全管理水平�,就顯得尤為重要。
信息安全管理體系���,即Information Security Management System(簡稱ISMS)�,是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標����,以及完成這些目標所用的方法和體系。它是直接管理活動的結(jié)果��,表示為方針���、原則��、目標�����、方法、計劃、活動���、程序���、過程和資源的集合。組織通過確定信息安全管理體系范圍��,制定信息安全方針��,明確管理職責(zé)��,以風(fēng)險評估為基礎(chǔ)選擇控制目標與控制措施等一系列活動來建立信息安全管理體系���。
信息安全管理體系的建設(shè)可以提高稅務(wù)干部的信息安全意識��,規(guī)范各層級的信息安全行為�����;對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護�����,在信息系統(tǒng)受到侵襲時�����,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度�;在稅收各項工作順利開展的同時,提高社會公眾對政府部門的公信度����;另外,通過信息安全管理體系建設(shè)���,可以有效加強對信息技術(shù)風(fēng)險的管控��,通過與信息安全等級保護���、信息技術(shù)風(fēng)險評估等工作的融合與銜接,使信息安全管理更加具有科學(xué)性和系統(tǒng)性����。
稅務(wù)信息安全管理體系建設(shè)實踐
稅務(wù)信息安全管理體系的構(gòu)建,應(yīng)結(jié)合稅收改革發(fā)展要求�����,根據(jù)信息化工作職責(zé)��,制定相應(yīng)的策略,并最終實現(xiàn)總體的信息安全目標��。
(一)基本定位
1.在策略制度層面���,形成從方針策略、到要求規(guī)范�、操作規(guī)程直至記錄表單在內(nèi)的層次化文件體系,為信息安全管理體系奠定技術(shù)基礎(chǔ)�;
2.在組織建設(shè)方面,建立決策����、管理、執(zhí)行和監(jiān)督多維的組織架構(gòu)��,明確信息安全相關(guān)角色和職責(zé)����,奠定信息安全管理體系的組織基礎(chǔ);
3.在風(fēng)險管理方面�����,通過風(fēng)險評估和處置過程��,建立起全面的信息安全內(nèi)部控制,結(jié)合信息安全事件管理和業(yè)務(wù)連續(xù)性管理�,確保從整體上將信息安全風(fēng)險控制在可接受水平;
4.在人員意識方面����,通過有序組織信息安全培訓(xùn)及相關(guān)意識宣傳活動,確保人員具備基本的信息安全意識和操作技能����;
5.在支持保障方面,建立起內(nèi)(外)部審核�、管理評審、有效度量��、日常檢查等多項檢查監(jiān)督機制����,確保信息安全管理體系的持續(xù)運行和改進有著推動和保障基礎(chǔ)。
(二)設(shè)計原則
1.體現(xiàn)全面的特性�����。信息安全管理體系是一個涵蓋各個方面的工程����,它要求多角度���、多層次,從各個環(huán)節(jié)人手���,進行系統(tǒng)的考慮和規(guī)劃���。任何環(huán)節(jié)上的缺陷都會對信息系統(tǒng)構(gòu)成威脅���,要實現(xiàn)信息安全目標���,必須保證構(gòu)成信息安全管理體系這只“木桶”的所有木板都達到一定的標準。
2.體現(xiàn)持續(xù)改進�����、動態(tài)發(fā)展的特性�����。信息安全管理體系不僅僅是一套全面的規(guī)則集合���,而且還是在體系建設(shè)與實施過程中與所有利益相關(guān)者的互動過程�。另外,環(huán)境的動態(tài)性也決定了體系建設(shè)的動態(tài)性�����。因此�,在體系架構(gòu)設(shè)計和實施中應(yīng)遵循PDCA的模式,通過P(策劃)����、D(實施)、C(檢查)����、A(糾正)這四個步驟的循環(huán)運行,使信息安全管理水平獲得可持續(xù)性的發(fā)展����。
3.以保證業(yè)務(wù)連續(xù)性為根本目標。信息安全管理必須為業(yè)務(wù)服務(wù)�����,脫離業(yè)務(wù)的信息安全管理也就失去了其真正的意義���。因此��,保證信息系統(tǒng)的正常運行��,進而保障業(yè)務(wù)的連續(xù)開展�,是信息安全的根本目標,也是信息安全管理體系的根本目標�����。
4.領(lǐng)導(dǎo)重視��、全員參與的原則�。在信息安全管理體系的建設(shè)中�,應(yīng)由最高管理者確立統(tǒng)一的信息安全方針、政策和方向�����,創(chuàng)造并保持使員工能充分���、積極地參與實現(xiàn)信息安全戰(zhàn)略目標的內(nèi)部環(huán)境�;全體員工應(yīng)明確自己在信息安全管理中的職責(zé)���,積極參與信息安全管理體系的建設(shè)��。
5.技術(shù)與管理并重的原則�����。信息技術(shù)是信息安全管理的手段��,信息安全管理是利用信息技術(shù)實現(xiàn)安全目標的保障�����,在信息安全管理體系中���,技術(shù)與管理同等重要�����,缺一不可����,忽略任何一方都會阻礙信息安全工作的開展�。
(三)總體架構(gòu)
在稅務(wù)信息安全建設(shè)中,包含了信息安全管理���、信息安全運作��、信息安全技術(shù)三方面內(nèi)容��。信息安全管理體系則處于“管理一運行一技術(shù)”三元架構(gòu)的最上層���,包含信息安全政策��、規(guī)范與標準���、指南與細則等,從人員����、意識、職責(zé)���、監(jiān)督等方面,保證并指導(dǎo)下一層級的順利運行��。其建立和完善���,應(yīng)充分依據(jù)國家標準和稅務(wù)行業(yè)規(guī)范����,以融合化和層次化為指導(dǎo),并最大化地整合現(xiàn)有資源����,基本框架模型,可分為五層:
第一層��,總體方針���,是由省局信息安全領(lǐng)導(dǎo)小組簽署的書面文件�,其目的是明確信息安全管理工作的總體目標�、適用范圍、總體方針和原則等方向性綱領(lǐng)性文件��。
第二層���,管理要求�����,是省局對全系統(tǒng)提出要求的管理性文件�����,包括安全組織�����、資產(chǎn)安全���、人員安全��、信息系統(tǒng)安全等各個方面�。
第三層���,標準規(guī)范��,是針對管理要求中提出的內(nèi)容�����,制定的對共同使用和重復(fù)行為進行指導(dǎo)或規(guī)范的文件����,文件可以由省局制定�,也可以由基層單位制定���。
篇6
關(guān)鍵詞:航空管制�����;信息系統(tǒng)��;信息安全��;對策
1強化安全管理意識
航空管制信息安全管理工作人員的信息安全管理意識對于航管信息安全管理會產(chǎn)生直接的影響�����,也是航空管制信息安全管理過程中的重要因素�����。航空管制信息安全管理過程中出現(xiàn)的安全漏洞�,很大程度上就是由于相關(guān)工作人員安全意識的淡薄,在工作中對自已要求不嚴�,從而忽視了信息安全的重要性。為了強化航空管制信息安全管理工作�,就必須注重對工作人員信息安全管理意識的強化。其主要分為以下幾個方面:1)積極強化航空公司的各級領(lǐng)導(dǎo)信息安全意識���,首先確保最高決策者始終擁有高強度的安全意識��,并且以身作則�,在自己的實際工作中體現(xiàn)出對安全管理得重視,這樣才能帶動各級工作不斷提高自身的信息安全防范意識�����。信息安全管理工作����,主要內(nèi)容是“三分技術(shù),七分管理”�,各航空工作人員應(yīng)該始終將技術(shù)與管理結(jié)合起來,作為約束自己日常工作行為的基本準則�����。強化工作人員的信息安全意識�����,需要對其進行定期系統(tǒng)的信息安全教育(如信息安全管理知識講座等)���,以此為手段不斷發(fā)展航空管制人員的信息安全知識水平���,促使每一位工作人員都能擁有高度的自主安全管理意識。2)注重對航管人員自身信息技術(shù)素質(zhì)水平的培養(yǎng)���。在航空管制信息安全管理工作中���,良好的專業(yè)素養(yǎng)以及熟練的操作能力是每一位工作人員都必須具備的技能。況且���,隨著信息技術(shù)與人工智能技術(shù)逐漸的深入航空領(lǐng)域��,在以后的航空管制工作中����,若是沒有一定的信息技術(shù)專業(yè)知識�����,航管人員就無法準確高效的把握航管新裝備和新技術(shù)���。同時����,航管人員在學(xué)習(xí)信息技術(shù)知識的過程中,還能開拓自己的眼界����,豐富自身對現(xiàn)代化技術(shù)的認識,在強化自身工作能力和安全意識的同時��,還能為整個航空領(lǐng)域的發(fā)展提供幫助����,確保航管信息安全管理工作的順利進行。3)注重航管信息安全管理觀念創(chuàng)新�。在這個信息化的時代,各個領(lǐng)域都在飛速發(fā)展�。日新月異的信息技術(shù),大量的新型航空管制理念���,都要求航空管制信息安全工作要隨著時代的發(fā)展不斷變遷���、創(chuàng)新。不僅如此����,由于航空管制信息安全直接影響著飛機的飛行安全和乘客的人身安全,相關(guān)人員應(yīng)該始終保持本公司的運營理念與國際的新理念接軌���,根據(jù)市場需求不斷改善航管信息安全管理目標和具體實踐措施�����,創(chuàng)造屬于我們這個時代的航空管制信息安全管理模式��。將航管信息安全管理的策略落到實處���,確保航空運行過程中各個環(huán)節(jié)的信息安全[1]。
2抓住主要矛盾
要想最大程度的發(fā)揮出航管信息安全管理工作的作用�����,航空公司的決策者和相關(guān)工作人員就得明確航管信息安全管理過程中的重難點�,只有這樣,才能保證有目標���、有計劃的施以措施���。航管人員務(wù)必要高效的解決在航管信息安全管理工作中出現(xiàn)的各種矛盾,下文就以其中存在的主要矛盾為例說明���。航管信息安全管理的根本目的是保證航管信息的完整性�����、可控性及保密性等�����,除此之外���,還需要對航管信息資料進行防御����、檢測�、抑制、恢復(fù)和管理�����,從多方面著手�,保證航管工作的質(zhì)量。航管信息管理工作的重點是管理和控制航空管制信息系統(tǒng)�,其主要是對航管系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層進行安全控制�。航管工作中的系統(tǒng)層管理指的是對硬件和軟件的安全管理,而且軟件安全管理是整個航管信息安全管理工作中的重點�����。對于硬件系統(tǒng)的安全管理工作,一般將其列入物理安全范圍�����,主要是防電磁輻射�、電子干擾等因素[2]。在應(yīng)用軟件這一層面上�����,航管信息系統(tǒng)有時候會遭到黑客的侵襲��,因此���,相關(guān)技術(shù)人員務(wù)必要做好防“黑客”、防病毒的準備工作�����,而且在此基礎(chǔ)上���,還得不斷恢復(fù)信息管理系統(tǒng)��,優(yōu)化操作系統(tǒng)的可行性和安全性��,確保航管信息安全管理的效率���。在加強軟件系統(tǒng)管理工作的同時�����,還要對網(wǎng)絡(luò)層面的安全管理進行加強�����。其主要包含以下幾點:網(wǎng)絡(luò)報警����、網(wǎng)絡(luò)恢復(fù)����、數(shù)據(jù)保護、密鑰安全及內(nèi)部認證等���。對于網(wǎng)絡(luò)層面安全管理工作的加強����,工作人員應(yīng)該將重點放在各處子網(wǎng)的出入口設(shè)備上,同時��,軟件設(shè)施方面也應(yīng)配合硬件設(shè)施��,積極研發(fā)嵌入式操作系統(tǒng)�����,不斷創(chuàng)新�����,應(yīng)用更高水平的數(shù)字簽名技術(shù)���,對網(wǎng)絡(luò)層進行加密。
3完善航管部門信息安全防范體系
俗話說:“無規(guī)矩���,不成方圓”��。要想充分完善航管信息安全管理工作�����,對航管信息進行有效控制���,航管部門就需要根據(jù)自身的實際條件不斷健全航管部門的信息安全管理體系�。所以���,工作人員就要提前做好充分的市場調(diào)研����,就目前市場上的航管信息安全管理機構(gòu)設(shè)置進行討論研究�����,仔細觀察整個機構(gòu)設(shè)置的合理性和可行性��,對各個部門的航管信息安全管理職能進行明確劃分�,使信息安全管理要求與業(yè)務(wù)流程聯(lián)系起來,最大程度的發(fā)揮出航管信息安全管理機構(gòu)的作用��。不斷完善航管信息安全管理制度���,加上安全管理體系的建設(shè)����,實行統(tǒng)一規(guī)劃���、統(tǒng)一管理與統(tǒng)一監(jiān)督��。時刻與國際先進的技術(shù)保持聯(lián)系�����,將自身的發(fā)展與信息技術(shù)和人工智能緊密聯(lián)系起來����,將本航空公司的安全管理體系至于本行業(yè)發(fā)展的前沿。在航管過程中���,需要使用的儀器設(shè)備要盡量采用國產(chǎn)裝備��,特別是某些涉及到自主關(guān)鍵技術(shù)機密以及中國自主知識產(chǎn)權(quán)的核心儀器設(shè)備�����。與此同時,工作人員還應(yīng)該注重加強對網(wǎng)絡(luò)安全系統(tǒng)的規(guī)范管理制度����,逐漸建立出相應(yīng)系統(tǒng)的航管信息安全管理標準和統(tǒng)一的航管信息安全管理綜合評估體系以及針對航管信息的獲取和應(yīng)用等,需要明確的制定出切實可行的安全管理措施體系�。由此可見�,在航管信息安全管理的過程中�����,始終不能脫離完整����、規(guī)范的航管信息安全防范體系,只有通過航管部門系統(tǒng)全面嚴格的控制把關(guān)���,才能高效地處理航管信息安全工作中出現(xiàn)的各種問題��。在日常的航管部門信息安全管理工作中�����,工作人員務(wù)必要注意兩點����,一是加強對航管人員的信息安全教育�。要定期組織全體航空管制信息安全管理人員對工作中的專業(yè)知識以及某些設(shè)備的操作技術(shù)進行學(xué)習(xí),不斷的對航管人員注入最新的航管理念����,對航管人員的航空管制保密常識進行培訓(xùn)��,加強信息安全教育����,確保每一位航空管制人員都擁有深刻的信息安全意識�,以保證航空飛行安全。二是對整體航管人員實行保密信息封鎖制度��。航空公司應(yīng)該根據(jù)實際情況制定出適合自身發(fā)展的電子設(shè)備保密管理制度����,控制工作人員與外界不必要的聯(lián)系,始終嚴格約束所有工作人員的言行舉止�,切忌在日常交流以及聯(lián)系中向外界流失掉機密信息。不僅如此����,航空公司中的任何以為工作人員都不允許以任何一種形式對外界透露公司內(nèi)部的運行情況,更不能泄露涉及航管和飛行安全的信息[3]����。
4健全航管信息安全管理法規(guī)制度
航空公司嚴謹有序的運行模式���,不僅需要每一位工作人員的付出還需要高層決策者與各級工作人員商議之后制定出合理的法規(guī)制度��,以統(tǒng)一形式的制度��、要求及管理力度對員工進行統(tǒng)一管理���,一視同仁���,旨在提升對航管信息安全的管理效率。健全航管信息安全管理法規(guī)制度的要求分為兩個方面�,第一個方面,公司要盡快且保證質(zhì)量的建立屬于自己的航管信息安全評估系統(tǒng)���。在建設(shè)的過程中����,要始終按照國家的標準要求����,不管是信息基礎(chǔ)設(shè)施建設(shè),還是網(wǎng)絡(luò)規(guī)劃建設(shè)��,都必須通過國家相關(guān)管理部門的審批��。而在進行基礎(chǔ)設(shè)施建設(shè)和設(shè)備配備的過程中,則需要安全管理部門和質(zhì)量管理部門進行約束指導(dǎo)���,所有的信息建設(shè)只有在通過有效的信息安全質(zhì)量認證之后���,才能投入使用。第二個方面�,要想使航空管制信息安全管理過程中的規(guī)章制度得到系統(tǒng)化、明確化����、條理化,工作人員就必須以本航空公司的航管信息安全管理模式為出發(fā)點����,經(jīng)過多方面的調(diào)研分析,采取各個階層工作人員的意見整合之后制定出可行有效的信息安全規(guī)章制度�����,力爭在最短的時間內(nèi)使航空管制信息安全管理工作的可行性得到大幅度提升[4]�。
5結(jié)語
綜上所述,航空管制信息安全管理工作是所有航空公司正常運營的前提條件�����,也是順利開展航管業(yè)務(wù)的基礎(chǔ)工作,只有航管信息安全得到了保障���,飛機的飛行安全才能得到保障。航管人員在日常的工作之中要始終樹立堅實牢固的航管信息安全意識�,提高自身的航管能力。相應(yīng)的公司管理人員也應(yīng)不斷強化本公司的信息技術(shù)�����,結(jié)合國際上新型的航管理念發(fā)展自身的運行效率�,為飛機的安全飛行保駕護航。
參考文獻:
[1]許彬.航管信息情報系統(tǒng)的設(shè)計與實現(xiàn)[D].成都:電子科技大學(xué)�����,2014.
[2]魏純潔.空中交通管制安全評估關(guān)鍵技術(shù)研究[D].南京:南京航空航天大學(xué)��,2012.
篇7
【關(guān)鍵詞】電力企業(yè)信息安全管理�����;組織管理�;失誤因素
1 電力企業(yè)信息安全管理中組織管理失誤的分析方法
電力企業(yè)信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM)���,是可靠性分析法的典型代表���,具有追溯分析功能����。通過CREAM的應(yīng)用�����,可以將失誤事件的外在表現(xiàn)形式稱為失效模式��,并且將引起這些失誤事件的直接原因定義為前因�����。實踐中���,前因可分為具體的前因���、一般性前因,CREAM分析法是以失效模式作為出發(fā)點��。首先��,通過分析失效模式的一般前因、具體前因����,得到失效模式前因表,在表中選定一個前因作為后果�����,然后分析引起這一后果的可能前因�����,最終得到包含這一后果�����、可能的前因追溯表����;再以該可能前因為后果��,分析可能的前因��,通過連續(xù)不斷的尋找���,最終找到引起事件失誤的根本原因�����。
2 在電力電力企業(yè)信息組織管理過程中��,開展多項管控措施�����、分三步走
第一步���,從思想上加強重視���。實踐中,應(yīng)當認真學(xué)習(xí)貫徹違規(guī)外聯(lián)��、外網(wǎng)郵箱發(fā)送的要求����,嚴格按照“業(yè)務(wù)工作誰主管,保密工作誰負責(zé)”以及“統(tǒng)一領(lǐng)導(dǎo)�����、分級負責(zé)”的原則,將信息安全保密職責(zé)有效地落實到人�,讓每個員工熟悉、掌握保密工作的基本要求和規(guī)范�����。
第二步��,深入檢查�����,全面整改�����。實踐中����,應(yīng)當嚴格按照檢查內(nèi)容檢查�,一定不能留死角、搞形式���。在檢查中發(fā)現(xiàn)的問題�,要立即糾正,認真整改�����,對存在嚴重問題的單位要監(jiān)督整改���,并組織復(fù)查�����;發(fā)生泄密����、違規(guī)問題時����,一定要嚴肅查處,必要時還要追究責(zé)任人的責(zé)任�����。
第三步��,嚴格管理,務(wù)求實效�。要進一步落實保密工作責(zé)任制,堅持標本兼治���、系統(tǒng)治理�,把檢查活動與日常保密工作安排結(jié)合起來�,邊檢查邊整改,以查促管���、以查促改�����、以查促教��、以查促防,確保檢查取得實效����。
3 電力企業(yè)信息系統(tǒng)安全管理的必要性
電力企業(yè)信息系統(tǒng)安全管理,是企業(yè)在一定范圍內(nèi)建立起來的信息安全目標和方針����,并通過努力完成目標。對于電力企業(yè)信息安全管理而言,可表示為方法���、目的��、基本原則和實施過程等要素集合�,作為直接的信息安全管理結(jié)果�。2014年8月,某技術(shù)質(zhì)管部專責(zé)高某通過電子郵箱將創(chuàng)新成果--《電力設(shè)計企業(yè)基于桌面云技術(shù)的信息》以附件形式經(jīng)壓縮���、更名后在沒有經(jīng)過加密的情況下�,發(fā)送到某部門專家評審組����;由于附件內(nèi)容出現(xiàn)“保密”等敏感詞,該郵件被公司外網(wǎng)郵件攔截系統(tǒng)攔截���。經(jīng)現(xiàn)場查實���,郵件均不涉商業(yè)秘密,但違反了“工作郵件只限于公司內(nèi)網(wǎng)郵箱發(fā)送”規(guī)定�。由此可見,電力企業(yè)信息系統(tǒng)安全管理工作非常重要�,也非常有必要���。通常情況下,電力企業(yè)信息安全管理工作主要包括制定信息安全管理的策略����,合理、科學(xué)的對電力企業(yè)信息安全工作進行組織管理���,具有非常重要的作用�。電力企業(yè)應(yīng)當提高全體員工的信息安全意識��,加強電力電力企業(yè)信息內(nèi)外網(wǎng)安全管理�����。第一�����,內(nèi)�����、外網(wǎng)電腦都必須安裝三種軟件���,即北信源���、天以及趨勢殺毒。軟件有內(nèi)����、外網(wǎng)版本之別,而且客戶端也不同����;第二,遵守專機�、專網(wǎng)之規(guī)定,內(nèi)網(wǎng)電腦不能與外網(wǎng)相連接��,外網(wǎng)電腦不能連接內(nèi)網(wǎng)�,家用電腦不能接入內(nèi)網(wǎng)使用,尤其是來歷不明��、使用背景不明的電腦���,一律禁止接入內(nèi)網(wǎng)系統(tǒng)�。
4 電力企業(yè)信息安全管理中組織管理常見失誤
近年來�����,隨著市場經(jīng)濟體制改革的不斷深化,雖然電力企業(yè)信息安全管理水平有了很大程度的提升�,但電力企業(yè)信息安全管理過程中依然存在著一些問題與不足,總結(jié)之��,主要表現(xiàn)在以下幾個方面:
第一���,信息安全措施和技術(shù)手段不成熟����。對于大多數(shù)企業(yè)而言���,在信息系統(tǒng)建設(shè)過程中欠缺完善的安全手段和措施�,嚴重影響了安全措施的制定與執(zhí)行���。
第二�����,電力企業(yè)信息安全風(fēng)險控制不到位����。實踐中可以看到���,很多企業(yè)在信息化規(guī)劃與建設(shè)過程中�����,對信息安全的前期分析比較欠缺��,將分析對象主要集中在技術(shù)層面研究上�,很難有效解決企業(yè)安全信息系統(tǒng)操作失誤��、缺陷與不足等安全問題���。
第三��,信息安全意識不強�,缺乏有效的安全管理機制�。對于部分企業(yè)領(lǐng)導(dǎo)層而言,對信息安全的重視不夠�����,對潛在的各種風(fēng)險和安全隱患問題分析不到位���。
5 電力企業(yè)信息安全管理體現(xiàn)構(gòu)建的有效策略
基于以上對當前企業(yè)安全管理中的問題分析����,筆者認為要想減少和控制電力企業(yè)信息安全管理中組織管理失誤現(xiàn)象, 應(yīng)當根據(jù)企業(yè)實際生產(chǎn)運營狀況�����,以IS027001信息安全管理體系標準為基礎(chǔ)���,從組織�、技術(shù)����、管理以及運行和監(jiān)督這等方面入手,對現(xiàn)有的信息安全管理架構(gòu)進行改進和完善����,增加運行、監(jiān)督環(huán)節(jié)�����。
5.1 提高對電力企業(yè)信息安全的認知度
針對企業(yè)員工對信息安全知識掌握不足的現(xiàn)狀和問題,通過宣傳�、教育和培訓(xùn)等方法,提高企業(yè)全體員工對信息安全的認知度����。首先����,加強信息安全宣傳教育。電力企業(yè)信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性�����,了解信息安全管理目標�����,以此來提高企業(yè)員工的信息安全管理意識���。
5.2 建立健全信息安全審計機制
內(nèi)部審計是對電力企業(yè)信息安全管理體系建設(shè)與實施情況的評價���,定期組織審計活動,以此來促進安全管理體系的改進與完善����。企業(yè)的信息安全政策����、規(guī)范制度是信息安全管理工作得以有效開展的重要依據(jù)�����,因此審計工作的主要內(nèi)容是檢驗信息安全標準的符合性����、執(zhí)行情況。在審計過程中��,主要包括如下內(nèi)容�����,即檢驗是否按照要求制定規(guī)章制度���、執(zhí)行細則����;檢驗員工對的規(guī)章制度執(zhí)行狀況���,對審計結(jié)果的整改落實情況進行核查����;同時,還要對信息安全控制措施的應(yīng)用效果進行全面檢查���,確保評估的有效性�����。
5.3 建立和完善信息安全風(fēng)險管理制度
信息安全風(fēng)險,即威脅利用系統(tǒng)弱點對相關(guān)信息資產(chǎn)造成破壞��、損失的可能性�,信息系統(tǒng)安全與否,主要取決于其風(fēng)險是否己在現(xiàn)有措施條件下實現(xiàn)了最小化����,而非絕對沒有風(fēng)險。
篇8
2012年央視“3?15晚會”所曝光的銀行客戶數(shù)據(jù)泄漏事件��,給金融業(yè)再次敲響了警鐘����,隨著金融監(jiān)管機構(gòu)對客戶數(shù)據(jù)的安全管控要求逐步提升,各家銀行都相繼把對客戶數(shù)據(jù)的安全保護力度提升到新的管理高度,信息安全管理也逐漸成為銀行風(fēng)險管理中一個重要的環(huán)節(jié)�����。
一直以來���,廣發(fā)銀行信用卡中心十分重視信息安全工作�����,為全面保障信用卡業(yè)務(wù)的信息安全����,保護好客戶數(shù)據(jù)的安全���,廣發(fā)銀行信用卡中心在2006年組建了專職的信息安全管理團隊��,參照ISO27001國際信息安全管理體系標準逐步建立起適合廣發(fā)銀行信用卡中心業(yè)務(wù)特色的信息安全管理體系框架���。
2009年,廣發(fā)銀行信用卡中心開始實施ISO27001項目一期(ISO27001國際信息安全管理體系認證)��。
2010年6月通過DNV(挪威船級社)的認證審核��,獲得UKAS國際信息安全管理體系證書,成為國內(nèi)第一家信用卡業(yè)務(wù)領(lǐng)域通過ISO27001認證的千萬量級發(fā)卡行����。
2011年,為符合國家和行業(yè)監(jiān)管要求�����,廣發(fā)銀行信用卡中心實施了ISO27001項目二期(GBT22080國家信息安全管理體系認證)����,2011年10月通過中國信息安全認證中心的認證審核,獲得國家信息安全管理體系證書�����。
2012年���,廣發(fā)銀行信用卡中心實施ISO27001項目三期,將強化信息安全“可落地���、可量化�����、可視化和可考核”的精細化管理���。
