企業信息安全要求精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業信息安全要求主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業信息安全要求范文

【關鍵詞】信息安全 管理 控制 構建

1 企業信息安全的現狀

隨著企業信息化水平的提升，大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發生后再補救，導致了企業信息防范的主動性和意識不高，信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。

2 企業信息系統安全防護的構建原則

企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則：

2.1 建立企業完善的信息化安全管理體系

企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范，來保障信息安全制度的落實以及企業信息化安全體系的不斷完善?；酒髽I信息安全管理過程包括：分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。

2.2 提高企業員工自身的信息安全防范意識

在企業信息化系統安全管理中，防護設備和防護策略只是其中的一部分，企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時，絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前，應制定企業員工信息安全行為規范，有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行，保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓，強化企業員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。

2.3 及時優化更新企業信息安全防護技術

當企業對自身信息安全做出了一套整體完善的防護規劃時，就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源，并且可以根據員工級別分配人員訪問權限，達到企業敏感信息的安全保障。

3 企業信息安全體系部署的建議

根據企業信息安全建設架構，在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時，我們需要重點關注以下幾個方面：

3.1 實施終端安全，規范終端用戶行為

在企業信息安全事件中，數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前，企業員工對自己的個人行為不規范，造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為，我們在建設安全防護體系時，僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前，就對用戶的終端系統進行安全規范檢查，符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計，使得企業員工的操作行為符合企業制定的上網行為規范，從終端用戶提升企業的防護水平。

3.2 建設安全完善的VPN接入平臺

企業在信息化建設中，考慮總部和分支機構的信息化需要，必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接，這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設備采購時，可以要求設備商做好多種接入方式的需求，并且幫助企業搭建認證方式。這將有利于企業日常維護，提升企業信息系統的VPN接入水平。

3.3 優化企業網絡的隔離性和控制性

在規劃企業網絡安全邊際時，要面對多個部門和分支結構，合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為：物理層；數據鏈路層；網絡層；傳輸層；會話層；表示層；應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下，根據企業安全優先級及面臨的風險程度，做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護，真正實現OSI的L2～L7層的安全防護。

3.4 實現企業信息安全防護體系的統一管理

為企業信息安全構建統一的安全防護體系，重要的優勢就是能實現對全網安全設備及安全事件的統一管理，做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志，如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時，企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時，就必須要考慮安全設備日志之間的統一化，設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。

4 結束語

信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃，實施過程中根據不斷出現的情況及時調整安全策略和訪問控制，保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定，這樣才能為企業的信息安全提供生命力和主動性，真正為企業的核心業務提供安全保障。

參考文獻

[1]郝宏志.企業信息管理師[M].北京：機械工業出版社，2005.

[2]蔣培靜.歐美國家如何培養網絡安全意識[J].中國教育網絡，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人。現為中國市政工程華北設計研究總院有限公司工程師。研究方向為網絡安全與服務器規劃部署。

第2篇：企業信息安全要求范文

關鍵詞：信息安全防護體系；風險評估；信息安全隱患；應急預案

中圖分類號：F470.6 文獻標識碼：A 文章編號：

信息安全管理是信息安全防護體系建設的重要內容，也是完善各項信息安全技術措施的基礎，而信息安全管理標準又是信息安全管理的基礎和準則，因此要做好信息安全防護體系建設，必須從強化管理著手，首先制定信息安全管理標準。電力系統借鑒 ISO27000國際信息安全管理理念，并結合公司信息安全實際情況，制訂了信息安全管理標準，明確了各單位、各部門的職責劃分，固化了信息系統安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統計調查及組織整改等工作流程，促進了各單位信息安全規范性管理，為各項信息安全技術措施奠定了基礎，顯著提升了公司信息安全防護體系建設水平。

1電力系統信息安全防護目標

規范、加強公司網絡和信息系統安全的管理，確保信息系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性，防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰， 抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞，防止信息內容及數據丟失和失密，防止有害信息在網上傳播，防止公司對外服務中斷和由此造成的電力系統運行事故，并以此提升公司信息安全的整體管理水平。

2信息安全防護體系建設重點工作

電力系統信息安全防護體系建設應遵循“強化管理、標準先行”的理念。下面，結合本公司信息安全防護體系建設經驗，對信息安全防護體系建設四項重點工作進行闡述。

2.1 信息系統安全檢測與風險評估管理

信息管理部門信息安全管理專職根據年度信息化項目綜合計劃，每年在綜合計劃正式下達后，制定全年新建應用系統安全檢測與風險評估計劃，確保系統上線前符合國網公司信息安全等級保護要求。 應用系統在建設完成后 10個工作日內，按照《國家電網公司信息系統上下線管理辦法》要求進行上線申請。 由信息管理部門信息安全管理專職在接到上線申請 10個工作日內， 組織應用系統專職及業務主管部門按照《國家電網公司信息安全風險評估實施指南》對系統的安全性進行風險評估測試，并形成評估報告交付業務部門。 對應用系統不滿足安全要求的部分， 業務部門應在收到評估報告后 10個工作日內按照《國家電網公司信息安全加固實施指南（試行）》進行安全加固，加固后 5個工作日內，經信息管理部門復查，符合安全要求后方可上線試運行。應用系統進入試運行后，應嚴格做好數據的備份、保證系統及用戶數據的安全，對在上線后影響網絡信息安全的，信息管理部門有權停止系統的運行。

2.2 信息安全專項檢查與治理

信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項檢查工作計劃。檢查內容包括公司本部及各基層單位的終端設備、網絡設備、應用系統、機房安全等。 信息安全專職按照計劃組織公司信息安全督查員開展信息安全專項檢查工作，對在檢查中發現的問題，檢查后 5 個工作日內錄入信息安全隱患庫并反饋給各相關單位，隱患分為重大隱患和一般隱患，對于重大隱患，信息安全專職負責在錄入隱患庫 10 個工作日內組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個工作日內對發現的問題制定治理方案， 并限期整技信息部信息安全專職。信息管理部門安全專職對隱患庫中所有隱患的治理情況進行跟蹤，并組織復查，對未能按期完成整改的單位，信息安全專職 10 個工作日內匯報信息管理部門負責人， 信息管理部門有權向人資部建議對其進行績效考核。

2.3 信息安全應急預案管理

信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應急預案編制、演練及修訂計劃，并下發給各單位。各單位信息安全專職按照計劃組織本單位開展相關預案的制定，各種預案制定后 5 個工作日內交本部門主要負責人審批，審批通過后 5 個工作日內報信息管理部門信息安全專職。各單位信息安全專職負責組織對系統相關人員進行應急預案培訓，并按年度計劃開展預案演練。 根據演練結果，10 個工作日內組織對預案進行修訂。各單位信息安全預案應每年至少進行一次審查修訂， 對更新后的內容， 需在 10 個工作日內經本部門領導審批，并在審批通過后 5 個工作日內報信息管理部門備案。

2.4 安全事件統計、調查及組織整改

信息管理部門信息安全專職負責每月初對公司本部及各基層單位上個月信息安全事件進行統計。 各系統負責人、各單位信息安全管理專職負責統計本系統、單位的信息安全事件，并在每月 30 日以書面形式報告信息管理部門信息安全專職， 對于逾期未報的按無事件處理。 出現信息安全事件后 5 個工作日內，信息管理部門信息安全專職負責組織對事件的調查，調查過程嚴格按照《國家電網公司信息系統事故調查及統計規定(試行)》執行，并組織開展信息系統事故原因分析，堅持“四不放過”原則，調查后 5 個工作日內組織編寫事件調查報告。調查、分析完成后 10 個工作日內組織落實各項整改措施。信息安全事件調查嚴格執行《國家電網公司網絡與信息系統安全運行情況通報制度》制度。

3評估與改進

通過執行“強化管理、標準先行”的信息安全防護體系建設理念和實施電力公司信息安全管理標準， 明確了各項工作的“5W1H”。 使信息管理部門和各部門及下屬各單位的接口與職責劃分進一步清晰，有效協調了相互之間的分工協作。 并通過 ITMIS 系統進行對上述流程進行固化，在嚴格執行國網公司、省公司各項安全要求的基礎上簡化了工作流程， 搭建了信息安全防護建設工作的基礎架構，實現了信息安全防護建設工作的體系化。同時在標準的 PDCA 四階段循環周期通過管理目標、職責分工，管理方法，管理流程、考核要求，文檔記錄 6 種管理要素對信息系統安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統計調查及組織整改4 項管理內容進行持續改進，使信息安全防護體系建設工作的質量有了質變提升。 在信息安全防護建設工作的基礎架構搭建完成后，江蘇省電力公司常州供電公司下一步將重點完善信息安全防護體系中技術體系建設，管理與技術措施并舉，構建堅強信息安全防護體系。

第3篇：企業信息安全要求范文

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企業信息系統安全結構是計算機網絡安全系統結構的擴展。20 世紀80 年代末、90 年代初,信息系統安全系統結構的重要性開始引起發達國家關注。如,美國國家安全局(NAS) 20 世紀90 年代公布的國防信息系統安全計劃(DISSP) ,是由安全特性、系統組成部分、擴展的IS0 協議層等三維構成,它不僅考慮了信息傳輸安全、網絡安全,還考慮了信息處理安全、端系統及接口安全問題;此外,還增加了互操作性、質量保證、性能等安全特性。2001 年美國國家安全局(NAS )制定了信息技術保證框架(IATF),是從整體、過程的角度看待信息安全問題,它強調以人、技術、操作這三個核心原則,關注四個信息安全保障領域:保護網絡和基礎設施、保護邊界、保護計算環境、支撐基礎設施,并在4 個重點技術領域實施諸如應用層護衛、電路、文件加密等多種安全技術手段。再如,美國國防部所屬的國防信息系統局(DISA)1996 年制定了防御目標安全系統結構框架(DGSA V3.0),從系統單元構成的角度,提出了信息系統中各單元分的安全服務配置框架,目的是要從安全系統結構的高度對信息統的安全保護提出技術上和管理上的規范要求等。

在信息系統安全系統結構理論研究領域,有人提出開放分布式系統的安全結構;有人對網絡及信息系安全系統結構進行了初步的探討和研究,提出了計算機網絡實體安全系統結構和基于智能協作技術的信息系統安全系結構概念模型等。通過對上述的研究分析,可以看到國內外己有的安全系統結構和框架都描述了信息系統相關的安全系統結構及模型等安全要素,它們各不相同,實現方法等也并且都不完備。由于研究問題的層次和角度不同,對安全系統結構的具體含義的理解也同,從而導致信息系統安全系統結構在概念上、類型上及結構上的不一致,因此,為使信息系統安全系統結構研究和應用共同的概念依據和構建基礎,需要加強對信息系統安全結構的一些基本問題,諸如安全結構的類型及特征、構成要素及構建步驟等內容的學習研究,以引導企業安全系統的建立。

1 信息系統安全系統結構組成要素

實現信息安全系統結構的安全,要從多個方面考慮,通常定義的包括安全屬性、系統組成、安全策略、安全模型、安全機制等5 個方面。在每一個方面中,還可以繼續劃分多個層次;對于一個給定的層次,包括著多種安全要素。

1.1 安全屬性

安全本身是對信息系統一種屬性要求,信息系統通過安全服務來實現安全性?；镜陌踩瞻俗R與鑒別、保密性、完整性、可用性等。在1S07498 一2 中對安全服務和安全機制的對應關系給予了描述。它的核心內容是將5 大類安全服務:身份鑒別、訪問控制、數據保密、數據完整性、不可否認性及提供這些服務的8 類安全機制及其相應的0SI 安全管理等放置于0SI模型的7層協議中,以實現端系統信息安全傳送的通信通路。這樣從安全性到安全服務機制到具體安全技術手段形成了安全屬性的不同層次。

1.2 系統組成

系統組成描述信息系統的組成要素。對于信息系統的組成劃分,有不同的方法。可以分為硬件和軟件,在硬件和軟件中又可以進一步地劃分。對于分布的信息系統,可以將信息系統資源分為用戶單元和網絡單元,即將信息系統的組成要素分為本地計算環境和網絡,以及計算環境邊界。本地計算環境和網絡都還可以進一步劃分等。例如本地計算環境可以分為端系統、中繼系統和局部通信系統。端系統作為信息處理單元,可以繼續分為應用平臺和應用軟件;應用平臺包括操作系統、軟件工程服務、分布式服務、數據管理等:應用軟件中包括消息處理、web 應用等。

1.3 安全策略

在安全系統結構中,安全策略指用于限定一個系統、實體或對象進行安全相關活動的規則。 即要表明在安全范圍內什么是允許的,什么是不允許的。它直體現了安全需求,井且也有面向不同層次、視圖及原理的安全策略。其描述內容和形式也各不相同。對于抽象型和一般型安全系統結構而言,安全策略主要是對加密、訪問控制、多級安全等策略的通用規定,不涉及具體的軟硬件實現;而對于具體型安全系統結構,其安全策咯則是要對實現系統安全功能的主體和客體特性進行具體的標識和說明,亦即要描述允許或禁止系統和用戶何時執行哪些動作,井要能反射到軟硬件安全組件的具體配置,如,網絡操作系統的帳戶策略用戶權限策略和審計策略等安全策略就最終體現為發全功能的各種選項等。

1.4 安全模型

安全模型用于準確描述系絞在功能和結構上的安全特性,它反映了一定的支全策略,是引導、驗證安全系統開發設計的概念模型要求。對安全策略及形式化模型的研究起源于美國軍方對高安全級別的計算機系統的需求,它為計算機操作系統的安全性設計提供了理論基礎。這些安全模型通常被認為是經典安全模型。經典安全模型主要由身份標識、認證、授權、審核等4個環節構成。經典安全模型的前提假設是:引用監視器是主體對客體進行訪問的唯一路徑。身份標識與認證的機制是可靠的;審核文件和訪問控制數據庫本身受到充分的保護。而這些前提在實際的信怠系統中并不一定成立。因此,信息系統安全摸型的描述應反映相應層次和視圖上的安全策略。

1.5 安全機制

安全機制是實現信息系統安全需求及空全策略的各種措施,具體可以表現為所需要的安全白標準、安全協議、安全技術、安全單元等。對于不同層次、不同視圖及不同原理的安全系統結構,安全機制側重點也有所不同。例如:OSI安全系統結構中建議采用7種安全機制。而對于特定系統的安全系統結構,則要進一步說明有關安全機制的具體實現技術,如認證機制的實現可以有口令、密碼技術及實體特征鑒別等方法。

2 數學模型

把整個信息系統安全系統結構可看成為一個空間:組成信息系統安全系統結構的這些方面稱之為維,層次劃分中的特定層次下所包括的安全要素值均是每一維上的具體元素值的體現,通用的信息系統安全系統結構就是具有多維、多層和動態特性的空間(這里只是借用維空間的概念,除了考慮各維元素之間的相互作用而外并不考慮維空間中各個元素之間的運算)。通過數學描述,可以更好地對知識進行歸納和運用:一方面更容易量化,使得描述更為清晰;另一方面可以指導新的未知問題的探索,演繹出新的概念或理論。

3 結束語

企業信息系統安全系統結構的研究是一項復雜的系統工程。需要我們用系統工程的概念、理論和方法來研究、開發和實施系統安全結構的設計,安全系統結構理論就是要從整體上解決信息系統的安全問題,但目前在很多企業對安全系統結構的概念、類型、構建等問題上還沒有得到系統化的研究,以上從學習研究的角度對目前國內外安全系統結構和安全系統的研究進行了粗淺的學習分析,通過分析使對整個安全系統結構的認識進一步加深和清晰化,從而提出企業信息安全系統結構和模型。要使企業信息系統安全系統結構適合企業信息系統安全、全面、準確、可行的要求,同時要適應信息技術及其安全技術的飛速發展。只有這樣,才能確保信息安全系統適應更好地為企業服務。

參考文獻:

第4篇：企業信息安全要求范文

隨著近年來信息安全話題的持續熱議，越來越多的企業管理人員開始關注這一領域，針對黑客入侵、數據泄密、系統監控、信息管理等問題陸續采取了一系列措施，開始構筑企業的信息安全防護屏障。然而在給企業做咨詢項目的時候，還是經常會聽到這樣的話：

“我們已經部署了防火墻、入侵檢測設備防范外部黑客入侵，采購了專用的數據防泄密軟件進行內部信息資源管理，為什么還是會出現企業敏感信息外泄的問題？”

“我們的IT運營部門建立了系統的運行管理和安全監管制度和體系，為什么卻遲遲難以落實？各業務部門都大力抵制相關制度和技術措施的應用推廣?！?/p>

“我們已經在咨詢公司的協助下建立了ISMS體系，投入了專門的人力進行安全管理和控制，并且通過了企業信息安全管理體系的認證和審核，一開始的確獲得了顯著的成效，但為什么經過一年的運行后，卻發現各類安全事件有增無減？”

這些問題的出現往往是由于管理人員采取了“頭痛醫頭，腳痛醫腳”的安全解決方案，自然顧此失彼，難以形成有效的安全防護能力。上述的三個案例，案例一中企業發生過敏感信息外泄事件，于是采購了專用的數據防泄密軟件，卻并未制定相關的信息管理制度和進行員工保密意識培訓，結果只能是防外不防內，還會給員工的正常工作帶來諸多不便；案例二中企業管理者認識到安全管理的重要性，要求相關部門編制了大量的管理制度和規范，然而缺乏調研分析和聯系業務的落地措施，不切實際的管理制度最終因為業務部門的排斥而束之高閣；案例三中ISMS的建立有效地規范了公司原有的技術保障體系，然而認證通過后隨著業務發展卻并未進行必要的改進和優化，隨著時間的推移管理體系與實際工作脫節日益嚴重，各類安全隱患再次出現也就不足為奇。

其實，企業面臨的各種安全威脅和隱患，與人體所面臨的各種疾病有諸多類似之處，我們常說西醫治標不治本，指的就是采取分片分析的發現問題―分析問題―解決問題的思路處理安全威脅，通過技術手段的積累雖然可以解決很多問題，但總會產生疲于應付的狀況，難以形成有效的安全保障體系；類比于中醫理論將人體看為一個互相聯系的整體，信息安全管理體系的建立正是通過全面的調研分析，充分發現企業面臨的各種問題和隱患，緊密聯系業務工作和安全保障需要，形成系統的解決方案，通過動態的維護機制形成完善的防護體系。

總體來說，信息安全管理體系是企業在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是基于業務風險方法，來建立、實施、運行、監視、評審、保持和改進企業的信息安全系統，目的是保障企業的信息安全。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系統。

針對ISMS的建立，我們可以從中醫“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論：

第一，“望聞問切”，全面的業務、資產和風險評估是ISMS建設的基礎；

第二，“對癥下藥”，可落實、可操作、可驗證的管理體系是ISMS建設的核心；

第三，“治病于未病”，持續跟蹤，不斷完善的思想是ISMS持續有效的保障。

望聞問切

為了完成ISMS建設，就必然需要對企業當前信息資源現狀進行系統的調研和分析，為企業的健康把把脈，畢竟我們需要在企業現有的信息條件下進行ISMS建設。

首先，自然是對企業現有資源的梳理，重點可以從以下幾個方面入手：

1.業務主體（設備、人員、軟件等）。

業務主體是最直觀、最直接的信息系統資源，比如多少臺服務器、多少臺網絡設備，都屬于業務主體的范疇，按照業務主體本身的價值進行一個估值，也是進行整個信息系統資源價值評估的基礎評估。由于信息技術日新月異的變化，最好的主體未必服務于最核心的信息系統，同時價值最昂貴的設備未必最后對企業的價值也最大。在建立體系的過程中，對業務設備的盤點和清理是很重要的，也是進行基礎業務架構優化的一個重要數據。

2.業務數據（服務等）。

業務數據是現在企業信息化負責人逐步關注的方面，之前我們只關注設備的安全，網絡的良好工作狀態，往往忽略了數據對業務和企業的重要性。現在，核心的業務數據真正成為信息工作人員最關心的信息資產，業務數據存在于具體設備的載體之上，很多還需要軟件容器，所以，單純地看業務數據意義也不大，保證業務數據，必須保證其運行的平臺和容器都是正常的，所以，業務數據也是我們重點分析的方面之一。

3.業務流程。

企業所有的信息資源都是通過業務流程實現其價值的，如果沒有業務流程，所有的設備和數據就只是一堆廢銅爛鐵。所以，對業務流程的了解和分析也是很重要的一個方面。

以上三個方面是企業信息資源的三個核心方面，孤立地看待任何一個方面都是毫無意義的。

其次，當我們對企業的當前信息資產進行分析以后需要對其價值進行評估。

評估的過程就是對當前的信息資產進行量化的數據分析，進行安全賦值，我們將信息資產的安全等級劃分為 5 級，數值越大，安全性要求越高，5 級的信息資產定義非常重要，如果遭到破壞可以給企業的業務造成非常嚴重的損失。1 級的信息資產定義為不重要，其被損害不會對企業造成過大影響，甚至可以忽略不計。對信息資產的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規合同符合性要求等 5 個方面進行評估賦值，最后信息資產的賦值取 5 個屬性里面的最大值。

這里需要提出的是，這里不僅僅應該給硬件、軟件、數據賦值，業務流程作為核心的信息資源也必須賦值，而且幾個基本要素之間的安全值是相互疊加的，比如需要運行核心流程的交換機的賦值，是要高于需要運行核心流程的交換機的賦值的。很多企業由于歷史原因，運行核心業務流程的往往是比較老的設備，在隨后的分析可以看得出來，由于其年代的影響，造成資產的風險增加，也是需要重點注意的一點。

最后，對企業當前信息資產的風險評估。

風險評估是 ISMS 建立過程中非常重要的一個方面，我們對信息資產賦值的目的就是為了計算風險值，從而我們可以看出整個信息系統中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式：風險值 = 資產登記 + 威脅性賦值 + 脆弱性賦值（特定行業也有針對性的經驗公式）。

ISMS 建設的最終目標是將整個信息系統的風險值控制在一定范圍之內。

對癥下藥

經過上階段的調研和分析，我們對企業面臨的安全威脅和隱患有一個全面的認識，本階段的ISMS建設重點根據需求完成“對癥下藥”的工作：

首先，是企業信息安全管理體系的設計和規劃。

在風險評估的基礎上探討企業信息安全管理體系的設計和規劃，根據企業自身的基礎和條件建立ISMS，使其能夠符合企業自身的要求，也可以在企業本身的環境中進行實施。管理體系的規范針對不同企業一定要具體化，要和企業自身具體工作相結合，一旦缺乏結合性ISMS就會是孤立的，對企業的發展意義也就不大了。我們一般建議規范應至少包含三層架構，見圖1。

圖1 信息安全管理體系

一級文件通過綱領性的安全方針和策略文件描述企業信息安全管理的目標、原則、要求和主要措施等頂層設計；二級文件主要涉及業務工作、工程管理、系統維護工作中具體的操作規范和流程要求，并提供模塊化的任務細分，將其細化為包括“任務輸入”、“任務活動”、“任務實施指南”和“任務輸出”等細則，便于操作人員根據規范進行實施和管理人員根據規范進行工作審核；三級文件則主要提供各項工作和操作所使用的表單和模板，以便各級工作人員參考使用。

同時，無論是制定新的信息管理規章制度還是進行設備的更換，都要量力而行，依據自己實際的情況來完成。例如，很多公司按照標準設立了由企業高級領導擔任組長的信息安全領導小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室，具體負責企業的信息安全管理工作，在各級信息化技術部門均設置系統管理員、安全管理員、安全審計員，從管理結構設計上保證人員權限互相監督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業信息系統安全性，反而降低了整個信息系統的工作效率。

其次，是企業信息安全管理體系的實施和驗證

實施過程是最復雜的，實施之后需要進行驗證。實施是根據 ISMS 的設計和體系規劃來做的，是個全面的信息系統的改進工作，不是單獨的設備更新，也不是單獨的管理規范的，需要企業從上至下，全面地遵照執行，要和現有系統有效融合。

這里的現有系統既包含了現有的業務系統，也包含了現有的管理體制。畢竟ISMS是從國外傳入的思路和規范，雖然切合國人中醫理論的整體思維方式，但在國內水土不服是正常的，主要表現就在于是否符合企業本身的利益，是否能夠和企業本身的業務、管理融合起來。往往最難改變的還是企業管理者的固有思維，要充分理解到進行信息安全管理體系的建設是一個為企業長久發展必須進行的工程。

到目前為止，和企業本身業務融合并沒有完美的解決方案，需要企業領導組織本身、信息系統技術人員、業務人員和負責 ISMS 實施的工程人員一同討論決定適合企業自身的實施方案

最后，是企業信息安全管理體系的認證和審核

針對我們周圍很多重認證，輕實施的思想，這里有必要談一下這個問題，認證僅代表認證過程中的信息體系是符合 ISO27000（或者其他國家標準）的規范要求，而不是說企業通過認證就是一個在信息安全管理體系下工作的信息系統了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是掛在墻上的一張紙，放在抽屜里的一本書”。

“治病于未病”

企業信息安全管理體系需要動態改進和和優化，畢竟企業和信息系統是不斷發展和變化的，ISMS 是建立在企業和信息系統基礎之上的，也需要有針對性地發展和變化，道高一尺魔高一丈，必須通過各種方法，進行不斷地改進和完善，才有可能保證ISMS 系統的持續作用。

就像我們前面案例中提到的某公司一樣，缺乏了持續改進和跟蹤完善的手段，經過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業及未來即將建立ISMS的企業，為了持續運轉ISMS，我們認為可以主要從以下三個方面著手：

第一，人員。

人員對于企業來講是至關重要且必不可缺的，在ISMS建立過程中，選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續運轉過程中，人員都應該投入多少呢？通常在體系建立過程中，我們會建議所有體系管理范圍內的部門各自給出一名信息安全代表作為安全專員配合體系建立實施，且此名專員日后要持續保留，負責維護各自部門的信息資產、安全事件跟蹤匯報、配合內審與外審、安全相關記錄收集維護等信息安全相關工作。

但很多事情是一種企業文化的培養，需要更多的人員甚至全員參與，例如面向全員的定期信息安全意識培訓，面向專業人員的信息安全技術培訓等，因此對于企業來講，除了必要的體系維護人員，在ISMS持續運轉過程中，若能將企業內的每名員工都納入到信息安全管理范圍內，培養出“信息安全，人人有責”的企業氛圍，則會為企業帶大巨大的潛在收益。且有些企業在面向自身員工展開信息安全各項活動的同時，還會納入客戶、合作伙伴、供應商等需要外界相關人員的參與，對外也樹立起自身對重視信息安全的形象，大力降低外界給企業帶來的風險。

第二，體系。

ISMS自身的持續維護，往往是企業建立后容易被忽視的內容，一套信息安全管理文檔并不是在日益變化的企業中一直適用的，對于信息資產清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧，這項活動由于也是在相關標準中明確指出的，企業通常不會忽略；但日常對于這些文檔記錄的更新也是必不可少的，尤其是重要資產發生重大變更，組織業務、部門發生重大調整時，都最好對ISMS進行重新的評審，必要時重新進行風險評估，有助于發現新出現的重大風險，并且可以將資源合理調配，將有限的資源使用到企業信息安全的“短板”位置。

唯一不變的就是變化，企業每天所面臨的風險同樣也不是一成不變的，在更新維護信息資產清單的同時，對風險清單的回顧也是不可疏忽的，而這點往往是很多信息安全專員容易忽視的內容。持續的維護才能保證ISMS的運轉，有效控制企業所面臨的各種風險。

第三，工具。

工具往往是企業在建立ISMS過程中投入大量資金的方面，工具其實是很大的一個泛指，例如網絡安全設備、備份所需設備、防病毒軟件、正版軟件、監控審計等各類工具，即使沒有實施ISMS，企業在工具方面的投入也是必不可少的，但往往缺乏整體的規劃及與業務的結合，經常會出現如何將幾種類似工具充分利用，如何在各工具間建立接口，使數據流通共用，哪些工具應該替換更新，數據如何遷移，甚至出現新購買的工具無人使用或無法滿足業務需求等問題，導致資金資源的浪費，因此在持續運轉ISMS過程中，根據風險評估報告，及信息安全專員反映的各部門業務需求各種信息數據的收集，應對工具進行統一規劃，盡量減少資源的浪費。

第5篇：企業信息安全要求范文

【 關鍵詞 】 新版ISO27000；軟件行業；信息安全管理體系；PDCA模型

Based on the New ISO27000 to the Understanding of the Software Industry， Information Security

Wen Yan-ge Chen Wen-e Wang Gang

（Tianjin University of Commerce Tianjin 300134）

【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry， good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.

【 Keywords 】 the new iso27000； software industry； information security management system； the pdca model

1 引言

如今隨著信息化的步伐日益加速以及信息相關技術的飛猛發展，信息資源也日漸成為所有企業維持正常運轉的重要資源。信息以及載體信息系統、網絡等已經成為了企業生存和發展的重要資產。然而企業的信息安全和數據泄露仍然是企業管理者關注的主要問題之一。大部分企業基于企業實際情況，通過引入國際信息安全管理體系IS027000以及通過最佳的業務實踐，建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系（即ISMS），實現對信息安全的預控、在控、可控、能控。

而隨著2013年的ISO27000的改版，各行各業勢必會根據自身信息安全的情況對信息安全體系作出調整。本文將針對軟件行業在調整下的信息安全管理體系下，如何更好地保持和改進信息安全體系作出解讀，使企業更好地依據標準體系和方法論，制定出符合企業長久發展的信息安全管理體系。

2 ISO標準

2.1 ISO標準及變化

ISO/IEC27000（Information Security Management System Fundamentals And Vocabulary）是信息安全管理體系基礎和術語，ISO/IEC 27000提供了ISMS標準族中所涉及的通用術語及基本原則，是ISMS標準族中最基礎的標準之一。最新版本于2013年9月25日。

相對于2005版，新版本對于ISMS建立的基礎進行了調整和明確，相較于2005年版本以資產和技術為主題，新版標準則把更多的目光投向組織業務關系，更多地考慮到組織自身及利益相關方的需求，這也是時展的整體趨勢。新版控制措施ISO27002從舊版的11個領域更新為14個領域，刪除了舊版中一些重復的和操作級的控制項。具體是舊版通信與操作管理被劃分成為兩個獨立的領域操作安全和通信安全，足以見新版對這兩個領域的重視；新增密碼學和供應關系兩個獨立領域。新版ISO27001將舊版中4.1章節即有關建立和管理ISMS的總要求獨立成出來；為了使邏輯性更加嚴謹，人力資源安全、資產管理以及訪問控制位置發生一定改變；從章節上講，由8個章節拓展到10個章節，重新構建了ISO標準PDCA的章節構架。

2.2 關于PDCA模型

此處對于PDCA模型以及新版標準的劃分做一簡單說明：PDCA模式是國際認可的模型，很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架，每個階段都與其他階段相關聯。

PDCA模型分別由四部分組成：P（Plan）――建立ISMS， 根據組織的整體策略和目標，確定活動的計劃，包括第四至七章（組織背景、領導力、計劃、支持）；D（Do）――實施和運作ISMS，實際地去完成計劃中的內容，包括第八章（運行）；C（Check）――監視和評審ISMS，總結實施和運作的結果，查找問題，包括第九章（績效評價）；A（Action）――保持和改進ISMS，對評審的結果做出處理，成功的經驗要進行保持和推廣，失敗的教訓要尋找原因，避免下次再出現同樣的錯誤，沒有解決的問題放到下一個PDCA循環中，包括第十章（改進）。

PDCA模型是管理學中常用的一個模型。該模型在運作過程中，按照P-D-C-A 的順序依次進行，一次完整的循環可以看作是管理學上的一個管理周期，每經過一次循環，管理情況就會得到改善，同時進入更高的P-D-C-A周期循環，組織的管理體系不斷的得到提升，管理水平也不斷提高。而這四個步驟成為一個閉環，通過這個環的不斷運轉，使信息安全管理體系得到持續改進，使信息安全績效螺旋上升。

新的內容將使企業的側重點不同，從上面的論述中明顯可以看出新標準在企業建立信息安全體系之前加重了對企業內外環境信息安全的重視，在構建信息安全體系之前需要企業全方位考慮其組織環境、企業資源、管理現狀，了解其發展所面臨的機遇與風險，從而高標準、高精度、高要求來對待信息安全管理工作。

對于軟件行業來說，信息安全體系已初步建立和實施，主要是監視評審并持續改進自身信息安全體系的工作――PDCA模型的C和A。

3 軟件行業信息安全現狀及新標準變化下應對策略

軟件行業是對信息安全要求最高的行業，也是企業引入國際信息安全管理體系IS027000通過認證最多的行業。前面已經提到，軟件行業已經初步建立和實施自己的信息安全體系，面對新版ISO27000的要求，大刀闊斧地重新開始構建體系勢必會給企業帶來大的浪費和困擾。因此，在新的要求下如何監視并改進ISMS是軟件行業中企業面臨的最大的問題。ISO27001新標準中把舊版4.1獨立成章作為建立體系之前的組織環境的了解，將原來的領導力、可實現信息安全的計劃、資源等的支持都放入構建ISMS之前，也就是說軟件行業在監控并改進信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡單歸納為兩個方面：管理和技術。企業需要通過管理和技術的雙方面進行控制和管理來改善信息安全體系。

3.1 管理角度分析

從管理角度考慮，企業信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數據安全管理、人員安全管理、軟件安全管理、運行安全管理、系統安全管理、技術文檔安全管理，通過對風險的技術性控制和管理的實施、部署后，在風險控制管理中能保證防御大量存在的威脅，技術性的控制管理手段不僅包括從簡單直至復雜的各種具體的技術手段，還包括系統架構、系統培訓以及一系列的軟件、硬件的安全設備，這些措施和方式應該配套使用，從而保護關鍵數據、敏感信息及信息系統的功能。而這些也是ISO27001中第四章組織的背景、第五章領導力、第六章計劃、第七章支持對企業的具體要求。

主要管理措施可以從幾個方面出發。

（1）建立信息安全管理體系監督機制、在體系運行期間，要進行有效的檢查、監督、反饋和溝通，保證信息安全管理體系能夠按照公司制訂的方針策略，滿足公司業務的需求。

（2）根據企業自身的特點，制訂可行的獎懲制度，將信息安全的管理納入到績效考核，直接與工作和獎金掛鉤，將對違反信息安全管理體系規定進行懲罰。

（3）建立內部審核制度，各部門應按照信息安全管理體系的要求，進行自查和由負責部門進行隨時抽查，并在每年定期組織檢查，對表現好的單位給予嘉獎，同時對違反的單位進行懲罰，并進行公示；同時對信息安全審計、安全事件處理和外部組織進行反饋溝通，檢查信息安全管理體系的有效性和合理性。

（4）考慮組織和技術等的變化對信息安全管理體系的影響，應實時更新相關的規章制度，具體變化情況如：組織變化、技術變革、業務目標流程的改變、新的威脅和風險點的出現、法律法規的變化等；通過不斷的優化和改善，使信息安全管理體系能夠永遠適合企業業務的需要。

3.2 技術角度分析

新版ISO270002控制措施中新增和調整了一些措施，涉及信息系統開發、信息安全事件管理、業務連續性管理等部分，這些要求對軟件行業中企業的具體實行至關重要。從技術角度考慮，軟件行業企業信息安全管理體系中所需采取的安全技術體系包括幾個方面。

3.2.1物理環境安全信息系統硬件安全

這是無論舊版控制措施還是新版都沒有絲毫改變的控制項，也是軟件行業中企業應加強管理的基礎。在公司的信息系統硬件管理上，首先對機房的硬件環境進行安全管理，包括溫度、濕度、消防、電力等安全管理，對關鍵的應用需要采取UPS供電，同時采取相應的備份，對硬件的使用率進行實時地監控，避免硬件的使用率過高造成業務持續性的影響，另外需要對硬件的物理環境進行監控，避免非法人員的進入，同時也是對管理員的日常行動進行監控，最后需要對機房人員和物品的出入進行權限的管理和等級制度。

3.2.2操作系統與應用程序安全

這是新版控制措施新增的安全開發策略和系統開發程序等對企業新的要求，保證操作系統與應用程序的安全會保護企業在系統開發和集成工作的安全開發環境，使企業整個開發周期安全。

（1） 操作系統安全。除了進行必要的補丁和漏洞的管理和更新外，最主要的是進行防病毒管理，通過殺毒軟件來防止非法的木馬、惡意代碼、軟件對操作系統的安全影響；應用程序安全――直接關系信息系統的安全性，通過硬件、軟件的安全保護來保證應用程序的安全。

（2） 密碼算法技術。密碼學在新版控制措施中獨立成為一個領域，這就是企業必須要引起重視的理由，密碼算法技術，密碼算法技術應用主要是確保信息在傳送的過程中不被非法的人員竊取、篡改和利用，同時接收方能夠完整無誤的解讀發送者發送的原始信息。

（3） 安全傳輸技術與安全協議技術。這是針對新增供應關系領域企業需要加強的技術。為減緩供應商以及其他用戶訪問企業資產帶來的風險，對于重要的系統和對外的訪問，進行安全的傳輸技術，以此來保證信息在傳輸過程中的安全，避免被非法用戶竊取、篡改和利用。

（4） 安全協議技術。主要是指身份認證功能，目前企業系統的安全保護主要都是依賴于操作系統的安全，這樣入侵系統就非常容易，因此需要建立一套完善的身份認證系統，其目的是保證信息系統能確認系統訪問者的真正身份，身份認證協議都是使用數據加密或數字簽名等方法來確認消息發送方的身份。

（5） 信息處理設備冗余部署。這在新版控制措施第十七章信息安全方面的業務連續性管理中作為新增的控制措施，要求企業識別信息系統可用性的業務需求，如果現有系統框架不能保證可用性，應該考慮冗余組建或架構。在適當情況下，對冗余信息系統進行測試，保證在發生故障時可以從一個組件順利切換到另外一個組件。

4 結束語

信息安全管理體系的建設改進工作是持續進行的，是會隨著公司業務的發展、技術的更新、以及新標準的要求等不斷變化的。它需要采用科學的方法來保證體系的持續穩定運行，從而使信息安全管理體系化、常態化的保持下去。而新版ISO27000在信息安全體系的工作上，使各行各業都有了新的指導。本文主要針對軟件行業做出一定解讀。總體來講，我們需要對己經建立的信息安全管理體系進行監督、完善、優化，這實際上還是要求企業貫徹執行PDCA模型，無論從管理還是具體操作上不斷進行PDCA循環，才能使得企業信息安全管理體系不斷改進和優化。

參考文獻

[1] 高仁斗.企業安全工作中存在的問題與對策[J].中國職業安全衛生管理體系認證，2004（05）.

[2] 蔣永康，朱冬林，潘豐.我國中小企業法律法規體系建設現狀及對策[J].管理工程師，2012（06）.

[3] 楊愛民.電子商務安全的現狀及對策探討[J].科技資訊，2006.6.

作者簡介：

文艷閣（1993-），女，山西孝義人，天津商業大學，本科（在讀）。

第6篇：企業信息安全要求范文

早在去年8月份，國家發改委和信息產業部共同宣布組織實施“中小企業信息化推進工程”，這項工程包括萬家中小企業的免費培訓、百萬中小企業上網等，有望大大提高中小企業的信息化水平。此項工程得到了主流電信運營商的鼎立支持，各大運營商都充分利用自己的網絡資源優勢和客戶資源優勢推出了自己的中小企業信息化公共服務平臺，如廣東電信推出的“藍色魅力”、上海電信推出的“理想商務”平臺、江西電信推出的“商務領航”、網通推出的“寬帶商務”等。另外，不少地方政府相關部門也推出了中小企業信息化公共服務平臺，讓中小企業可以低成本地利用信息化手段來提高管理水平和生產率。

所謂中小企業信息化公共服務平臺，簡稱ASP平臺，就是讓中小企業無需投資昂貴的硬件、軟件系統和網絡設施，以及配置專業的IT技術人才，只要有電腦上網就可以以瀏覽器方式登錄ASP平臺，使用企業信息化所需的所有服務，包括域名注冊、企業郵局、虛擬主機、主機托管、網站設計（包括自助生成系統）、供求信息、企業即時通信、網站在線幫助、在線殺毒、客戶關系管理（CRM）、進銷存管理、辦公自動化（針對不同的行業）、供應鏈管理（SCM）、ERP、商業智能、知識管理、業務流程管理、企業POS、企業服務總線、企業門戶、網絡傳真、網絡電話（VoIP）、企業短信和移動辦公等。但據有關媒體報道，面對電信運營商和有關政府部門的大投入，中小企業并不買賬，出現建設熱鬧、買單使用少的現象。甚至面對免費贈送，一些中小企業也不愿使用。是中小企業不需要這些信息化服務嗎？答案當然是否定的。

筆者認為，主要原因是中小企業用戶不信任ASP服務平臺。造成這種不信任的一個重要因素是，ASP服務平臺的信息安全措施不足以讓用戶放心地把企業的機密信息（如客戶信息、財務信息）放在上面，是這些平臺缺乏“安全魅力”。那么，ASP服務平臺應該采用哪些技術措施才能讓用戶放心呢？除了防火墻等必要的網絡安全措施外，還需要有確保機密信息安全的技術措施。

首先，ASP平臺的所有應用服務器一定要部署全球通用的、支持所有瀏覽器的、真正 128 位的 SSL 數字證書。這樣可以確保用戶在使用瀏覽器登錄各個應用系統時，從瀏覽器到ASP服務器之間所有機密信息的高強度加密傳輸，從而有效地保證了用戶賬號、密碼和企業機密信息的機密性和完整性，杜絕非法竊聽和非法篡改。

其次，ASP平臺應為每個平臺用戶頒發一個全球通用的客戶端數字證書（個人數字證書和單位數字證書）。該證書用于登錄ASP平臺各個應用系統的身份認證和用于每個交易的數字簽名，從而杜絕了使用簡單的用戶名/口令認證系統容易造成的機密信息泄露，同時提供了網上交易不可否認的證據。為了杜絕使用公用電腦（網吧）和專用電腦的間諜軟件（木馬軟件）或其他可能的手段非法使用數字證書問題，推薦對安全要求高的企業用戶使用USB Key移動數字證書來確保是真實的用戶在合法登錄各個應用系統，在登錄時把USB Key插入電腦的USB口，退出登錄時拔下即可。

另外，ASP平臺中涉及到企業核心機密信息的系統（如客戶關系管理系統、辦公自動化系統）應該使用用戶的客戶端數字證書來加密存儲機密信息。這使得該機密信息只有用戶本人使用用戶自己的數字證書才能閱讀（即使是ASP平臺系統管理員也無法看到，因為客戶端數字證書在用戶手中），ASP平臺就像房地產開發商，房子賣或租給用戶就要把房子的鑰匙給用戶，只有用戶本人使用該鑰匙才能進屋，這個鑰匙就是分配給ASP用戶的客戶端數字證書。只有這樣，才能讓用戶放心地使用ASP平臺。

第7篇：企業信息安全要求范文

【關鍵詞】電力企業；網絡信息化

【中圖分類號】TM73

【文獻標識碼】A

【文章編號】1672-5158（2012）12-0016-01

1 電力行業網絡與信息安全工作開展情況

2000年以來，我國相繼發生了“二灘電廠停機事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業網絡與信息安全事件，造成了不同程度的事故影響，威脅到了電力系統安全穩定運行，同時也暴露出了我國電力行業在網絡安全接入方面、安全生產管理方面、人員信息安全培訓等方面存在薄弱環節。

針對類似電力信息安全事件，2002年，原國家經貿委第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護規定》，對電網和電廠計算機監控系統防護提出了要求。國家電監會成立后，對電力二次系統及網絡信息安全防護明確提出了“安全分區、專網專用、橫向隔離、縱向認證”的總體防護策略，并制定印發了《電力行業網絡與信息安全信息報送暫行辦法》、《電力行業網絡與信息安全應急預案》、《電力行業網絡與信息安全監督管理暫行辦法》等一系列管理辦法，使電力行業網絡與信息安全防護的理念更加系統化、具體化，增強了可操作性，電力行業網絡與信息安全防護工作進入了實質性建設階段。

2 目前我國電力信息網絡的現狀

（一）信息化網絡基本形成多年來我國一直非常重視電力行業信息化建設。從目前狀況來看，電力企業信息化建設硬件環境已經基本構建完成，硬件設備數量和網絡建設狀況良好，無論是在生產、調度還是營業等部門都已實現了信息化管理，在網絡硬件方面，基本能夠保證電力行業工作的正常運轉；在軟件建設方面，也實現了包括調度自動化系統、生產管理信息系統、營銷信息系統、負荷監控系統及各專業相關在內的應用系統設施。電力系統網絡化的實現，對保證安全生產、節能消耗、降低成本、縮短工期、提高勞動生產率等起到了促進作用。

（二）信息安全仍然存在不可忽視的問題、雖然網絡系統已經基本形成，但是信息安全還不盡樂觀，主要表現在信息網絡安全還沒有涉及到各個領域，其發展也是不平衡的。有的電力企業對信息的安全重視不夠。如很多電力企業的網絡系統還沒有防火墻，有的甚至沒有數據備份的概念，更沒有對網絡安全做統一長遠的規劃，因此，電力企業網絡中存在許多隱患。這種安全意識的淡薄，具體工作的不到位，導致了網絡信息系統的不完善，給網絡的安全帶來了很多的不利因素?？梢哉f，目前我國電力系統信息安全體系還不完備，缺乏統一的信息安全管理規范。

（三）對電力系統信息網絡的投入不足從目前我國電力行業網絡信息的綜合情況看，國家對電力行業信息化管理的投入還不均衡，特別是對邊遠地區的投入還有待加強。與電力行業其它方面的硬件投入相比，對網絡信息的投入也不夠。這就需要加大投入，以建立一個統一安全的信息網絡，以保證電力系統安全。

（四）電力行業的軟件開發還不到位由于經費不足等種種原因，軟件開發還沒有細化。如很多單位的數據庫數據和文件都停留在明文存儲階段，以明文形式存儲的信息存在泄漏的可能，拿到存儲介質的人可以讀出這些信息，黑客也可以繞過操作系統，從數據庫管理系統的控制處獲取信息。再如，用戶身份認證基本上采用口令鑒別模式，而這種模式很容易被攻破。還有的應用系統使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高、信息敏感性不斷增強的今天風險特別大。以上種種情況，究其原因，還是電力軟件開發得不夠所致，目前的軟件還不能完全適應形勢的需要和工作的需要。這是個亟待解決的問題，如果這個問題解決不好，會導致大的問題出現。

3 加強電力行業網絡信息安全的措施

（一）提高認識，強化信息化安全教育信息網絡如何能使用安全，很大程度上在于工作人員的認識程度。安全意識和相關技能的教育是企業安全管理中重要的內容，其實施力度將直接關系到電力企業安全策略被理解的程度和被執行的效果。如何能保證網絡信息的安全，一個重要的措施就是廣泛地進行信息管理人員的培訓。為了保證安全的成功和有效，電力行業的管理部門應該及時對企業各級管理人員、用戶、技術人員進行安全培訓，所有的企業人員必須了解并嚴格執行電力企業安全策略，要讓各級信息管理人員，重點是了解和掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。只有這樣，才能保證電力網絡信息系統的安全操作。

（二）采取措施，提高信息網安全防護技術水平一是對網絡防火墻高度重視。防火墻是電力企業信息網絡的唯一出口，所有的訪問都將通過防火墻進行，不允許任何繞過防火墻的連接。因此，做好這一通道的把關尤為關鍵，應該對這方面的技術重視起來，研究出更高水平的防護軟件，以適應信息網安全工作的需要。二是對入侵檢測系統高度重視。要部署先進的分布式入侵檢測構架，保證電力企業信息系統的安全檢測。入侵檢測系統要采用攻擊防衛技術，要具有高可靠性、高識別率、規則更新迅速等特點。三是對網絡隱患掃描系統高度重視。掃描網絡設備包括：服務器、工作站、防火墻、路由器、路由交換機等。掃描結束后生成詳細的安全評估報告，采用報表和圖形的形式對掃描結果進行分析，可以直觀地對用戶進行安全性能評估和檢查。四是對數據加密系統高度重視。要通過文件加密、信息摘要和訪問控制等安全措施，來實現文件存儲和傳輸的保密和完整性要求，實現對文件訪問的控制。對通信安全，采用數據加密，信息摘要和數字簽名等安全措施對通信過程中的信息進行保護，實現數據在通信中的保密、完整和不可抵賴性安全要求。五是對數據庫安全高度重視。要通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全?？傊W絡信息的安全技術對維護網絡信息的真正安全尤為重要，因此這方面的工作需要加強。

（三）加大力度，建立統一的信息網防護體系

一是要保證信息管理工作人員體系的相對穩定。防止網絡機密泄露，特別是注意人員凋離時的網絡機密的泄露。二是完善軟件和硬件管理體系。主要是指各種網絡設備，網絡安全設備的安全策略，如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略管理要切合實際。三是要注意信息介質的安全管理。主要是備份的介質要防止丟失和被盜，報廢的介質要及時清除和銷毀，特別要注意送出修理的設備上存儲信息的安全。

第8篇：企業信息安全要求范文

［關鍵詞］ 桌面安全；大型企業；中國石油

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034

［中圖分類號］ F272.7 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）14- 0058- 02

1 引 言

經過數十年的信息安全建設，國內大型企業的網絡及應用系統的安全防護能力已經達到一定水平。但是信息安全故障并沒有隨著信息安全投入的增加而下降。經過統計發現，內部網絡和應用系統發生故障的原因少部分是由于網絡設備和應用系統自身的問題所引起，更多的是因為內網的其他安全因素導致，如病毒爆發、資源濫用、惡意接入、用戶誤操作等。而這些安全因素，大多來源于用戶桌面計算機，桌面安全管理已經是各個企業迫在眉睫的安全建設內容。

2 影響桌面安全的因素

2.1 企業安全組織體系不健全，專職人員缺失

大型企業的業務跨度大，地域分布廣。各個二級單位的信息安全水平發展不一。有的二級單位信息部門職工上千名，有的單位卻沒有獨立的信息部門。但所有的二級單位都統一在企業內網中運行，各類統建系統在所有二級單位中運行。對于沒有沒有獨立的信息部門的二級單位 ，更沒有負責安全體系建設、運行和管理的專職機構及人員，兼職安全管理員有責無權的現象普遍存在，依據“短板”理論，極易從信息安全力量較弱的單位為突破口，進而影響到整個企業信息安全。特別是信息安全技術的快速發展，信息安全人員需不斷提升自身素質，加強業務水平，才能保證桌面安全運行。

2.2 企業職工計算機缺乏安全加固手段

盡管多數大型企業對桌面計算機的安全加固已經采取了部分安全措施，如安裝防病毒軟件和個人防火墻軟件，甚至部署了漏洞掃描系統定期對桌面計算機進行漏洞掃描，督促用戶及時更新操作系統補丁。但是，首先由于企業規模較大，管理者無法保證所有的終端用戶都安裝了防病毒軟件和防火墻軟件。其次，即便安裝了這些防護軟件，用戶也常常因為各種原因無法及時更新病毒庫。另外，系統漏洞掃描雖然可以獲得桌面計算機的補丁缺失情況，但是卻缺乏有效的補丁安裝手段。所有這些因素，均導致桌面計算機的安全無法得到有效的保障。

2.3 企業職工計算機缺少有效的接入控制手段

對于大型企業，內網計算機數量眾多且分布地域廣闊。網絡管理人員很難統計內網計算機的確切數量，也無法區分哪些是內網授權使用的計算機，哪些是外來的非授權使用的計算機。這種狀況下，很難控制外來人員隨意的計算機接入。很容易導致企業內網機密信息的泄漏，往往等泄密事件發生了，卻還無法判斷到底是哪一個環節出了差錯。另外，對于內網授權使用的計算機，任何一臺感染了病毒和木馬，網絡管理人員也無法及時定位和自動阻斷該計算機的破壞行為。往往需要花費很長的時間才能判斷和定位該計算機，然后再通過手動的方式斷網。對安全強度差的桌面計算機缺乏有效的安全狀態檢測和內網接入控制，是導致內網安全事件不斷發生的重要原因之一。

3 大型企業桌面安全管理建設

中國石油信息化建設處于我國大型企業領先地位，在國資委歷年信息化評比中都名列前茅，“十一五”期間，將企業信息安全保障體系建設列入信息化整體規劃中，并逐步實施，其中桌面安全管理建設是信息安全保障體系建設的重點工作，從組織、管理及技術3個方面進行全面建設。

3.1 完善安全組織體系建設

中國石油建立三級的終端安全組織架構，分別為石油總部、地區公司、地區二級單位。終端安全組織在每一級設立專門的組織，明確主管領導，確定組織責任，設置相應崗位，配備必要人員。其中集團信息化領導小組是信息系統安全工作的最高決策機構，信息管理部是集團公司信息系統安全的歸口管理部門，負責落實信息化工作領導小組的各項決策。企事業單位信息部門負責本單位信息系統安全的管理，并設立信息系統安全管理、審計、技術崗位，包括信息系統安全、應用系統、數據庫、操作系統、網絡等負責人和管理員，重要崗位設置兩名員工互為備份。

3.2 強化安全管理體系建設

安全管理體系從管理制度、培訓教育、運行管理及檢查考核4方面進行強化。①管理制度。根據中國石油信息安全的需求，分階段逐步制定并完善信息系統安全管理的規章制度，加大整個信息安全制度體系的貫徹執行力度，才能使安全防護能力得到不斷的提高，整體信息安全才能落到實處。②培訓教育。信息安全培訓涉及信息安全法律法規、信息安全事件案例等多方面，通過培訓一方面提高企業員工的安全意識，使員工自覺約束自我行為，遵守各項信息安全規章制度、標準規范；另一方面及時掌握必要的信息安全技術知識和技能，在實際工作中充分利用技術手段保障信息安全。③運行管理。 通過統一設計、統一平臺，統一硬件體系架構，建立中石油桌面運行管理系統。采用三級架構，分別在總部、區域數據中心部署服務器和管理軟件，各企事業單位的桌面計算機安裝客戶端軟件，整個運行管理由防病毒子系統、補丁分發子系統、端點準入子系統、電子文檔保護子系統、后臺管理子系統組成。其中通過端點準入防御系統，只有符合安全要求且通過用戶認證的計算機才能接入內部網絡使用，防止“危險”、“易感”終端接入網絡，控制病毒、蠕蟲的蔓延。補丁管理系統與防病毒系統相結合，實時監測和殺除病毒，實現對漏洞、病毒及惡意代碼的管理和控制，電子文檔保護子系統、后臺管理子系統增強系統及電腦文檔的安全性。④檢查考核。信息管理部門定期進行信息系統安全檢查與考核，包括信息系統安全政策與標準的培訓與執行情況、重大信息系統安全事件及整改措施落實情況、現有信息系統安全措施的有效性、信息系統安全技術指標的完成情況。各企事業單位信息部門按照本辦法和《集團公司信息系統運行維護管理辦法》進行信息系統安全自我考核，信息管理部進行綜合評價，形成年度考核報告，報信息主管領導。

3.3 增強桌面安全技術建設

桌面安全技術指物理安全、邏輯安全及運行安全三大模塊，通過與企業內控管理進行有機結合，依據《中國石油天然氣集團公司信息系統總體控制實施要求》，嚴格執行相關操作規范，其中物理安全指進入機房的物理安全訪問控制機制、設備的物理安全管理、敏感的紙質系統文件管理。邏輯安全包括系統登錄身份驗證、用戶賬號及特權用戶賬戶管理、密碼管理、用戶權限管理、終端合規性管理等。運行安全包括病毒防護及病毒事件的處理、安全系統的備份與恢復、應急事件的處理。

4 結束語

隨著信息技術應用的不斷深入，國內大型企業信息系統集中程度不斷提高，業務對信息系統依賴程度的不斷加大，迫切需要建立與業務發展和信息化水平相適應的信息安全體系。與此同時，國家了一系列相關文件，提出對涉及國家安全、經濟命脈、社會穩定的重點行業、企業的關鍵信息系統實施信息安全等級保護等要求。桌面安全責任也日益增大。只有通過從組織、管理、技術全面建設，才能有效提升桌面計算機抵御安全威脅的能力，提高桌面安全管理水平，達到桌面計算機有防護、有檢測、可控制、可審計，建設統一桌面安全管理系統，中石油通過兩年的桌面安全建設，取得了良好效果。

主要參考文獻

［1］孫海.醫院桌面終端信息安全管理思考 ［J］．現代醫院，2011（5）.

第9篇：企業信息安全要求范文

【關鍵詞】電力 信息化管理 研究

中圖分類號： F406 文獻標識碼： A 文章編號：

1 我國電力企業信息化發展的特征

1.1信息化基礎設施相對完善

我國電力企業信息化起源于20世紀60年代，電力行業相比其他行業的信息化進程較為領先。目前，電力系統的計算機裝備水平已大大提高，中小型機、微型計算機裝備級別不斷更新提高，路由器、交換機等網絡設備數量增加較快。

1.2電力調度自動化系統應用成熟

對于電網企業，提高電力調度自動化水平、提高電網運行質量是信息化建設的重點方向。目前電力調度自動化的各種系統，如SCADA、AGC、以及EMS等系統已建成，省電力調度機構全部建立了SCADA系統，電網的三級調度100%實現了自動化。我國電廠、電力調度的自動化水平達到國際先進水平。

1.3電力營銷管理系統得到廣泛應用

為適應電力市場化改革的需求，為客戶提供更好的服務，原國家電力公司在2002年提出改革傳統供電營銷管理模式，實施電力營銷全過程的計算機網絡化改造。各省公司供電局響應這種要求，普遍建立了用電管理信息系統，地（市）級供電企業基本實現了業務受理的計算機化。

1.4管理信息系統的建設與應用

管理信息系統（MIS）建設初具規模，建立了辦公自動化系統、綜合指標查詢系統，開發了計劃統計管理、人事勞資管理、生產管理、設備管理、安全監督管理、電力負荷管理、營銷管理、燃料管理、工程管理、財務管理、電網實時信息等應用系統為主要功能的網絡化的企業管理信息系統，實現辦公環境網絡化和計算機化。

1.5信息化機構建設尚需進一步健全

長期以來，信息部門在電力公司沒有一個專門機構配置，沒有規范的建制和崗位，信息化作為一項系統工程，需要專門的機構來推進和企業各個部門的配合。在當前企業信息化發展形勢下，這種狀況勢必不能適應信息化對人才、機構的要求。

1.6信息安全管理是電力企業信息化重點

電力信息網絡已經深入到電力生產和管理的全過程，涉及到電力生產的各個層面，電力生產與管理對其依賴性日益增大。因此對于信息系統的安全要求也更加提高，信息安全已納入到企業安全生產管理中。

2 電力企業信息化管理存在的問題

2.1規劃缺失導致信息化缺乏系統性

我國電力企業在不同時期不同部門為了滿足業務需要而進行了一系列信息系統建設，到目前為止，這些大大小小的信息系統數量眾多。由于這些系統都是在未經科學合理的整體規劃下建成的，各系統之間缺乏聯系，信息不同共享，業務不能協同開展，對企業管理決策的作用十分有限。

2.2 電力行業信息化缺乏統一的標準體系

目前，電力行業信息化尚未制定統一的信息化標準體系，電力企業內部信息系統的信息編碼、技術標準、規范也不統一。這就造成企業內部“信息孤島”無處不在、系統不能集成、資源不能共享的局面，嚴重制約企業信息化建設和應用。

2.3 電力企業管理模式阻礙了信息化的快速發展

電力行業長期的壟斷性經營導致了其特有的經營管理模式：重安全生產、輕企業管理，條塊分割、信息分散，以安全生產為中心的意識深深植入電力企業的領導、職工的觀念中。當前，電力行業競爭機制正在逐漸建立，電力企業面對競爭需要提升管理水平，信息化建設正是提升管理水平的有力途徑。

2.4信息系統建設缺乏統一規劃，統一組織的力度不強

信息化的開展往往是想到哪干到那，硬件設施更新快，應用系統成功使用不多，信息化發展不平衡，各區域信息化水平差異較大，在一定程度上阻礙了信息化的集約發展和整體應用水平的提高。此外，信息化組織建設滯后不利于信息化的推進

2.5 硬件與軟件投入上存在“重硬輕軟”

由于對信息化認識上的誤區，部分電力企業認為搞信息化主要就是買機器、建網絡，表現出一定程度的“重硬輕軟”情結。這種做法的結果是硬件設施脫離了軟件系統，從而硬件也發揮不出應有的作用，信息化建設沒有成效。

2.6企業信息系統孤立存在不能發揮整合效益

目前電力企業的生產自動化系統與管理信息系統處于相互分離狀態，彼此不能有效結合，不能實現管控一體化，數據信息不能集成共享，不利于實現企業的綜合管理。此外，由于缺乏總體數據規劃、數據整合，存在或多或少的“信息孤島”，部分數據有冗余和二意性，不能融合到整個管理信息平臺上。

3 電力行業信息化管理發展趨勢

3.1信息化觀念由重視生產自動化向重視管理信息化轉變，表現為由“硬”到“軟”。

3.2應用模式由管控分離向信息一體化轉變，即實現生產實時信息與管理信息的集成。

3.3應用架構由分散應用向整合應用轉變，即從部門級單項應用到企業級涵蓋生產、營銷及財務、人事、設備等環節的整體應用。

3.4數據管理由分散管理向集中管理轉變，形成信息共享、增值的機制,適應企業業務處理和經營運作快捷化、實時化的要求。

3.5實施模式由“用戶－供應商”模式向“用戶－咨詢/監理商－供應商”模式轉變，保證企業信息化切實從用戶需求出發，控制信息化建設的質量和風險。

4 提高電力行業信息化管理策略研究

4.1構建系統、完善的電力行業信息化架構

電力信息化的核心是由各方面建設內容構成的一個系統的、完整的架構。從以下六方面入手進行完善。

4.1.1應用功能架構：從業務運作與管理決策的需求出發，分析功能需求，建立企業信息化的功能模型。

4.1.2信息資源架構：對企業業務與管理活動涉及的信息進行分析、規劃，抽象提煉出信息分類體系，提供使用、共享、集成和管理信息的策略。

4.1.3應用系統架構：基于應用功能架構構建實現信息化功能的應用系統及其相互集成的模型。

4.1.4系統平臺架構：即支撐應用系統運行的操作系統平臺、數據庫平臺、應用服務平臺框架。

4.1.5網絡與基礎設施架構：規劃、選擇企業信息系統運行的基礎網絡與設施，保證信息系統高效、穩定、安全運行。

4.1.6信息安全架構：構建從網絡設備層、系統層到應用層的系統安全和科學的安全管理體系。

4.2以專業化的規劃為指導，制定企業信息化的頂層設計藍圖。電力集團以信息化整合產業鏈的資源，增強整體價值鏈的綜合競爭優勢。

4.3中小型電力企業以信息化規范管理、提高效率、增強對市場的響應能力和速度；以信息化帶動管理創新，以管理創新促進信息化，實現電力企業價值鏈的協同化運作，以整合化的系統應用為目標，促進信息化的價值實現，推動電力企業綜合競爭力的提升。

4.4以需求為導向，充分開發利用電力系統內部信息資源，有效整合電力企業現有信息資源，積極搜集各類電力信息，完善全國電力信息資源開發利用的保障體系，形成集中、統一、穩定的信息采集渠道，基本形成覆蓋全行業各門類的信息資源共享機制。

4.5在信息資源集成的基礎上，逐步建立多種形式的決策咨詢機制和完善的企業輔助決策支持系統；研究典型電力企業的業務流程重組(BPR)，塑造科學合理的電力企業業務流程，為順利實施企業ERP系統奠定堅實的基礎；配合電力體制改革進程，推動企業網上競價系統和電子商務平臺的實施工作。

4.6大力推進信息系統聯網，加大應用整合力度，實現部分關鍵業務系統的應用集成，構建統一的應用系統總體框架和企業信息門戶(EIP)平臺，在多個企業應用之間實現無縫集成，切實解決現存的“信息孤島”、重復建設等問題，為信息資源的整合和綜合利用奠定基礎。