企業(yè)信息安全管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全管理范文

【關(guān)鍵詞】企業(yè) 信息安全管理 對策

信息安全管理是指通過保證信息資產(chǎn)的機(jī)密性、完整性和可用性來保護(hù)和維護(hù)企業(yè)所有信息資產(chǎn)的一系列管理活動，是完整的企業(yè)組織管理體系的重要組成部分。其主要包括制定信息安全政策、風(fēng)險評估、控制目標(biāo)與方式選擇、制定規(guī)范的操作流程、對人員進(jìn)行安全意識培訓(xùn)等一系列工作。

知識經(jīng)濟(jì)時代，企業(yè)內(nèi)部各部門之間以及企業(yè)與外部之間的交流與合作日益頻繁，且對計(jì)算機(jī)信息技術(shù)的依賴也日益明顯，使得信息安全問題成為眾多企業(yè)的關(guān)注焦點(diǎn)。

企業(yè)的許多信息，包括一些戰(zhàn)略規(guī)劃的重要信息，均以電子文件形式存儲，而這些信息在存儲、處理以及傳輸過程中都有可能被非法截取、惡意破壞以及篡改，損失難以想象。保障信息系統(tǒng)的安全在企業(yè)的建設(shè)和發(fā)展當(dāng)中具有重要的作用。信息安全管理是確保信息系統(tǒng)順利運(yùn)行的有力武器。通過建立信息安全體系及相應(yīng)的規(guī)范機(jī)制，如加強(qiáng)對人員的管理、提升人員安全意識、促進(jìn)軟件和操作系統(tǒng)的操作及建設(shè)相關(guān)網(wǎng)絡(luò)等，就可以建立起完善的信息安全系統(tǒng)，促進(jìn)企業(yè)在知識經(jīng)濟(jì)時代平穩(wěn)、快速和健康的發(fā)展。

一　目前信息安全管理中存在的隱患

1．信息管理的安全意識方面

在傳統(tǒng)的企業(yè)生產(chǎn)中，企業(yè)所應(yīng)具有的基本生產(chǎn)要素主要有設(shè)備、原材料、人員和制度幾個方面。但隨著信息技術(shù)的發(fā)展，信息的重要性也日益突顯，從而也成為企業(yè)發(fā)展的基本要素之一。根據(jù)以往經(jīng)驗(yàn)來看，企業(yè)對信息安全的重視程度還遠(yuǎn)遠(yuǎn)不夠，表現(xiàn)在對企業(yè)信息的安全保護(hù)很不到位，這無疑給企業(yè)帶來了很大的損失。所以，企業(yè)必須要加強(qiáng)對信息安全的保護(hù)，建立起一套完善的信息安全體系來保證企業(yè)的信息安全。

2．缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機(jī)制

目前，“頭痛醫(yī)頭、腳痛醫(yī)腳”的現(xiàn)象十分普遍，原因在于眼于局部而忽視整體。企業(yè)只是在網(wǎng)絡(luò)中安裝了一些安全設(shè)備，卻未形成統(tǒng)一的安全策略及相關(guān)規(guī)劃方案。企業(yè)在建設(shè)信息化的過程中通常采取先開展業(yè)務(wù)，后關(guān)注安全的策略，使得安全的管理遠(yuǎn)遠(yuǎn)落后于開展業(yè)務(wù)發(fā)展。而由于缺少整體性的規(guī)劃，使得企業(yè)在問題已經(jīng)出現(xiàn)時才去彌補(bǔ)，對于安全建設(shè)只能用“亡羊補(bǔ)牢”來形容。

3．信息安全產(chǎn)品本身存在的問題

大多數(shù)企業(yè)通常在建設(shè)信息安全系統(tǒng)的過程中就采用了一些保證信息安全的產(chǎn)品。但并不是說使用了相關(guān)安全產(chǎn)品信息系統(tǒng)就安全了，因?yàn)橛?jì)算機(jī)系統(tǒng)所存在的一些安全隱患除了是由信息安全產(chǎn)品本身所具有的漏洞引起的之外，人員在使用信息安全產(chǎn)品的過程中所造成的操作失誤及用戶配置的錯誤也會對其產(chǎn)生影響。所以企業(yè)不僅要重視安全產(chǎn)品自身的問題，也要重視系統(tǒng)的操作與應(yīng)用過程。

4．資金投入不夠，缺乏安全技術(shù)人才

要想建構(gòu)起完善的信息安全體系，企業(yè)不僅要投入大量的資金，而且同時要引進(jìn)一批高端的IT人才，組建一支專業(yè)建設(shè)信息安全的團(tuán)隊(duì)。但遺憾的是，很多企業(yè)并未意識到信息安全的重要性，所以在資金投入方面很是不足，比如說，使用的電子郵箱和殺毒軟件等往往都是免費(fèi)的，也沒有構(gòu)建防火墻，這使得企業(yè)的信息安全得不到充分地保障。此外，雖然一些企業(yè)投資引進(jìn)了一些硬件設(shè)施，但對軟件的重視不足，表現(xiàn)為投入的滯后性，從而阻礙了硬件設(shè)施發(fā)揮應(yīng)有的功能。

還有一個問題，大部分企業(yè)在加強(qiáng)信息安全建設(shè)的過程中，通常都把注意力集中在搭建網(wǎng)絡(luò)平臺及硬件的選擇上了，卻忽視了對人才的引入和培養(yǎng)。具體表現(xiàn)在許多企業(yè)缺乏信息技術(shù)人才，而相關(guān)專業(yè)人才更是不足。按照要求，一個信息系統(tǒng)的運(yùn)作應(yīng)該由幾個技術(shù)人才相互配合、共同操作，但實(shí)際上卻恰恰相反，企業(yè)中的一個信息管理人員往往負(fù)責(zé)大量的操作，不僅要負(fù)責(zé)配置系統(tǒng)，還要負(fù)責(zé)管理系統(tǒng)的安全，導(dǎo)致對安全的設(shè)置和監(jiān)督由一個人負(fù)責(zé)，任務(wù)繁重。

二　加強(qiáng)企業(yè)信息安全管理的途徑

1．注重人員安全管理，提升信息安全意識

具體的操作人員在信息系統(tǒng)的建設(shè)和運(yùn)行過程中必不可少，人既是管理者又是被管理者，因?yàn)樗麄儾粌H要建設(shè)和應(yīng)用計(jì)算機(jī)系統(tǒng)，而且也信息管理的對象。所以在信息安全系統(tǒng)的管理中，最重要的就是對人員的安全管理，做到這一點(diǎn)要從以下幾個方面來進(jìn)行：要建立一個安全的組織結(jié)構(gòu)，對安全職能加以確認(rèn)，審查人員的安全狀況，和安全人員簽訂相關(guān)的保密合同，加強(qiáng)離職人員的安全管理等。

企業(yè)要對員工加強(qiáng)有關(guān)信息安全的教育，增強(qiáng)他們的安全意識。保障企業(yè)的信息安全是每個職工應(yīng)盡的義務(wù)。信息安全不是一種技術(shù)而是一種意識，所以僅從技術(shù)層面是無法保證企業(yè)的信息安全的。加強(qiáng)安全教育要企業(yè)要做到以下幾個方面，首先，加強(qiáng)員工的教育培訓(xùn)、普及互聯(lián)網(wǎng)和信息安全的相關(guān)知識、提升員工的安全意識并增強(qiáng)其防范能力，使整體員工都有一種為企業(yè)信息安全負(fù)責(zé)的意識。其次通過定期舉行有關(guān)信息安全的報(bào)告和講座等，使企業(yè)自上而下都形成安全意識并銘記于心。通過上述兩種途徑可以使企業(yè)的信息安全工作順利的開展。

2．建立、健全信息安全防范體系

對于企業(yè)中信息安全的管理機(jī)制及防護(hù)規(guī)范的發(fā)展和完善，可以使企業(yè)中的那些至關(guān)重要的信息得到很好的保護(hù)。即使信息系統(tǒng)遭到入侵也能夠保證企業(yè)業(yè)務(wù)的順利進(jìn)行，可以極大地降低企業(yè)的損失。

第一，提高安全系統(tǒng)的應(yīng)急能力，這就要求建立和完善相應(yīng)的應(yīng)急管理機(jī)制，并制定應(yīng)急預(yù)案。

第二，企業(yè)要建立起一個網(wǎng)絡(luò)和信息安全管理的平臺，在網(wǎng)絡(luò)內(nèi)外部署相關(guān)的信息安全設(shè)施，比如要加強(qiáng)網(wǎng)絡(luò)的安全性管理，在網(wǎng)絡(luò)中設(shè)置一些控制訪問的策略，并對網(wǎng)絡(luò)的安全使用加以規(guī)范，具體來說就是要安裝避免病毒入侵的軟件，對網(wǎng)絡(luò)經(jīng)常進(jìn)行檢測，提高防火墻的性能等。

第三，建立機(jī)制對信息安全進(jìn)行集中化管理。如數(shù)據(jù)安全控制和加密密鑰的集中化管理，前者可以做到自上而下的全面執(zhí)行企業(yè)的安全防范策略，后者可以降低人為原因?qū)е碌臄?shù)據(jù)安全的風(fēng)險，并可以保證不與其他的加密策略發(fā)生沖突，實(shí)現(xiàn)兼容。

第四，企業(yè)還要重視對于異地?cái)?shù)據(jù)的備份工作及當(dāng)遇到意外情況時可以實(shí)現(xiàn)信息恢復(fù)的機(jī)制設(shè)計(jì)，因?yàn)檫@可以保障信息系統(tǒng)的安全運(yùn)行。

第五，重視風(fēng)險評估工作。這要求企業(yè)在平時要對信息系統(tǒng)的安全性進(jìn)行定期的評估，以提高企業(yè)抵御風(fēng)險的能力。

3．健全用戶權(quán)限和上網(wǎng)管理制度

企業(yè)信息安全管理工作的一個重點(diǎn)就是要建立并完善用戶瀏覽的權(quán)限及網(wǎng)上管理的制度設(shè)計(jì)，并使之得到嚴(yán)格地執(zhí)行。同時隨著企業(yè)的發(fā)展和業(yè)務(wù)系統(tǒng)的完善要不斷對其補(bǔ)充和修正。

首先，對用戶權(quán)限的管理加以完善。這就要求企業(yè)改變以往把每個員工都當(dāng)成管理員可以隨意瀏覽信息的狀況，要將每個員工的權(quán)限加以明確并保證最小，減少他們對信息系統(tǒng)的操作從而在最大程度上保證系統(tǒng)的安全。

其次，要限制員工的上網(wǎng)行為。在信息化時代，要想控制眾多員工上網(wǎng)的行為，就必須要從管理和技術(shù)兩個方面來實(shí)現(xiàn)。此外，要嚴(yán)格檢測和控制那些從外部傳來的文件，防止它們給企業(yè)內(nèi)部的網(wǎng)絡(luò)帶來病毒。

4．進(jìn)一步健全、監(jiān)管第三方服務(wù)體系

由于對信息安全的擔(dān)憂和對服務(wù)質(zhì)量的懷疑，大部分企業(yè)都不愿意采取第三方提供的服務(wù)體系。在企業(yè)中，信息安全工作至關(guān)重要，如果不小心泄露了企業(yè)的重要資料，就會給企業(yè)帶來致命的打擊。

政府應(yīng)發(fā)揮作用加強(qiáng)有關(guān)第三方的法律法規(guī)建設(shè)并制定行業(yè)標(biāo)準(zhǔn)，排除企業(yè)對第三方的疑慮。企業(yè)應(yīng)加強(qiáng)與第三方的合作，雙方共同努力建設(shè)起符合企業(yè)特點(diǎn)的信息安全體系，使得企業(yè)的信息安全能夠獲得最有力的保證。企業(yè)應(yīng)設(shè)立專門的監(jiān)察職位，主要負(fù)責(zé)監(jiān)督、檢查企業(yè)管理信息系統(tǒng)的運(yùn)行情況并直接向企業(yè)總經(jīng)理負(fù)責(zé)。因其“第三者”的角色，可更加客觀、公正對企業(yè)信息安全以及業(yè)務(wù)流程進(jìn)行監(jiān)察，及時發(fā)現(xiàn)信息安全隱患。

5．加大建設(shè)資金投入，完善軟件硬件建設(shè)

要想順利建成企業(yè)的信息安全體系，大量的資金投入是必不可少的。企業(yè)應(yīng)投入足夠的資金來購買相應(yīng)的設(shè)備，如相關(guān)軟件和服務(wù)器等，同時企業(yè)也可以采取外包的形式。

首先，在加強(qiáng)硬件設(shè)施方面，企業(yè)可以應(yīng)用加密系統(tǒng)來保護(hù)有關(guān)的口令、文檔及網(wǎng)內(nèi)的重要數(shù)據(jù)。這樣我們就可以更有針對性的在網(wǎng)上傳輸數(shù)據(jù)。加密管理有三種類型，即端點(diǎn)、節(jié)點(diǎn)和鏈路加密，企業(yè)可以根據(jù)自己的實(shí)際情況從其中進(jìn)行選擇。特別是在控制信息系統(tǒng)開發(fā)的過程中就應(yīng)滲透信息安全保護(hù)機(jī)制，從根本上預(yù)防信息安全隱患。

其次，加強(qiáng)軟件建設(shè)，最主要的就是采取積極有效的措施使操作系統(tǒng)的安全性得到最大程度的保護(hù)。具體來說就是要對有關(guān)信息管理的各種軟件定期加以更新，保證數(shù)據(jù)庫和終端的操作系統(tǒng)的版本保持一致，這不僅有利于加強(qiáng)管理，而且可以提高系統(tǒng)的防御功能

此外，要做到經(jīng)常性的數(shù)據(jù)備份，選用高強(qiáng)度口令保護(hù)賬號安全，針對不同賬號設(shè)定不同密令，經(jīng)常更新殺毒軟件及補(bǔ)丁以及在局域網(wǎng)與互聯(lián)網(wǎng)之間安裝防火墻，并周期性的對文件進(jìn)行排查，及時發(fā)現(xiàn)已感染病毒的文件以及信息丟失的現(xiàn)象。

企業(yè)的信息安全管理是一個動態(tài)的過程，要隨時代的發(fā)展而不斷加以創(chuàng)新。因此，我們必須不斷探索加強(qiáng)信息安全管理的思路和方法，并對逐步構(gòu)建起相對完善、高效、可靠的信息安全管理體系，定期對企業(yè)的信息安全風(fēng)險和信息安全管理水平進(jìn)行評估。

參考文獻(xiàn)

第2篇：企業(yè)信息安全管理范文

【關(guān)鍵詞】信息化建設(shè)；安全管理；授權(quán)

【中圖分類號】TU714 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672—5158（2012）08—0255-02

0.引言

隨著信息技術(shù)的不斷發(fā)展以及市場競爭的不斷激烈，企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競爭力的重要途徑，杜絕信息泄露可以避免巨大的經(jīng)濟(jì)損失。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施，但是信息安全問題仍然頻發(fā)，對于企業(yè)的經(jīng)營活動帶來巨大的損失。加強(qiáng)企業(yè)內(nèi)部的計(jì)算機(jī)管理，提高對于信息安全的認(rèn)識程度，保證信息數(shù)據(jù)庫的安全，避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問題。

1.企業(yè)信息化建設(shè)信息安全影響因素分析

（1）信息系統(tǒng)實(shí)體安全。信息實(shí)體主要包括用于企業(yè)信息化建設(shè)的計(jì)算機(jī)、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施，對于信息實(shí)體安全影響因素主要包括火災(zāi)、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞，從而造成企業(yè)信息庫數(shù)據(jù)安全出現(xiàn)問題。

（2）信息系統(tǒng)運(yùn)行安全。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫的安全，采取各種措施對系統(tǒng)運(yùn)行進(jìn)行安全保護(hù)。由于信息數(shù)據(jù)庫有可能受到非授權(quán)的訪問、泄露、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅，因此確保信息系統(tǒng)運(yùn)行安全主要是保證信息數(shù)據(jù)庫的完整、保密以及時時可用性。

（3）信息系統(tǒng)管理人員安全責(zé)任意識。管理人員在日常工作中的安全管理意識、專業(yè)操作水平以及法律意識等均會對企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法，對于保證信息數(shù)據(jù)庫的安全十分重要。

2.企業(yè)信息安全管理問題分析

目前由于管理制度以及軟硬件設(shè)施等一系列的問題，企業(yè)數(shù)據(jù)庫破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時有發(fā)生，嚴(yán)重影響了企業(yè)的正常生產(chǎn)經(jīng)營活動，通過分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問題主要由以下幾方面：

（1）企業(yè)內(nèi)部移動存儲設(shè)備管理疏松，缺乏安全保密管理制度。由于許多企業(yè)在日常管理過程中，移動存儲設(shè)備使用較多，員工可以隨意對企業(yè)內(nèi)部的各種信息資料進(jìn)行備份，企業(yè)用于經(jīng)營活動的客戶信息、產(chǎn)品設(shè)計(jì)、財(cái)務(wù)管理等各項(xiàng)信息極易造成泄漏，帶來巨大的信息安全損失。部分企業(yè)由于對于信息安全管理認(rèn)識程度不足，企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度，安全管理職責(zé)權(quán)限不清，信息安全漏洞較多。

（2）對于內(nèi)部信息共享控制不嚴(yán)格，信息安全管理權(quán)限混亂。由于企業(yè)在生產(chǎn)經(jīng)營過程中為了提高生產(chǎn)經(jīng)營效率以及加強(qiáng)企業(yè)內(nèi)部各部門之間的溝通聯(lián)系，對于一些設(shè)計(jì)企業(yè)銷售計(jì)劃、客戶信息以及生產(chǎn)計(jì)劃等文件采取共享的措施，因此企業(yè)員工的流動或者其他管理不當(dāng)均會造成企業(yè)信息的泄露。

（3）信息權(quán)限管理混亂，企業(yè)的中介服務(wù)體系穩(wěn)定性較差。對于加密的授權(quán)訪問，權(quán)限管理則成為保護(hù)企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過程中體系混亂，操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問。而且對于部分中小企業(yè)由于信息化建設(shè)采取對外委托的方式，而中介第三方由于穩(wěn)定性難以保證，隨時更換或者退出的第三方極易造成企業(yè)有價值信息的泄漏，影響企業(yè)信息安全建設(shè)。

（4）信息管理安全防范體系不健全，缺乏針對信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認(rèn)識到信息化管理的重要性，并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備。但是缺乏一系列的安全管理機(jī)制，在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實(shí)措施。此外，由于大部分企業(yè)在信息安全管理工作中將重點(diǎn)放在軟硬件設(shè)施上，而忽略了對于信息安全技術(shù)人員的培養(yǎng)，而且為了減少人力資源支出成本，信息安全管理人員少工作任務(wù)重，管理權(quán)限集中化程度高，影響了信息化建設(shè)的安全管理。

3.企業(yè)信息建設(shè)信息安全管理措施

（1）加強(qiáng)對于信息庫硬件設(shè)備的保護(hù)管理。首先應(yīng)保證計(jì)算機(jī)等硬件設(shè)備具有安全的工作環(huán)境，做好計(jì)算機(jī)設(shè)備的防火、防潮、防盜措施，并避免強(qiáng)磁環(huán)境對信息數(shù)據(jù)可能造成的損壞。其次，在對各種硬件設(shè)備進(jìn)行檢修時，硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進(jìn)行監(jiān)督管理，對于需要外送檢修的設(shè)備，則應(yīng)提前進(jìn)行數(shù)據(jù)加密處理。

（2）提高企業(yè)內(nèi)部的信息安全管理意識。企業(yè)信息安全管理對于提高企業(yè)競爭力，避免企業(yè)經(jīng)濟(jì)損失具有重要的意義。在企業(yè)的正常管理過程中，加強(qiáng)信息安全宣傳工作，使員工充分認(rèn)識到企業(yè)信息安全管理的重要性，并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度，提高企業(yè)的整體信息安全防范水平。

（3）加強(qiáng)信息安全操作管理人員的管理。在企業(yè)信息日常管理過程中，應(yīng)加強(qiáng)對于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過企業(yè)管理者授權(quán)，系統(tǒng)管理人員在進(jìn)行企業(yè)相關(guān)信息數(shù)據(jù)庫的整理以及維護(hù)過程中，必須通過授權(quán)進(jìn)行。系統(tǒng)管理人員離開工作崗位后，相關(guān)責(zé)任人應(yīng)及時更換管理員操作代碼。

（4）加強(qiáng)企業(yè)信息數(shù)據(jù)庫的密碼與權(quán)限管理。對于涉及到企業(yè)信息數(shù)據(jù)庫安全的密碼，應(yīng)分別設(shè)置用戶密碼以及操作密碼，并提高密碼的安全程度，及時定期更換登陸操作密碼。對于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器、路由器等設(shè)施的設(shè)置管理工作，應(yīng)嚴(yán)格按照相關(guān)管理規(guī)定進(jìn)行設(shè)置。

（5）明確企業(yè)信息數(shù)據(jù)庫管理制度。對于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù)，并采取異地存放的方式對備份數(shù)據(jù)庫進(jìn)行管理。對于廢棄或者需要銷毀的數(shù)據(jù)信息，應(yīng)嚴(yán)格依照程序采取逐級審批的方式，避免數(shù)據(jù)信息的泄露。需要進(jìn)行數(shù)據(jù)恢復(fù)工作時，應(yīng)嚴(yán)格按照相關(guān)技術(shù)手冊，并對恢復(fù)的數(shù)據(jù)進(jìn)行驗(yàn)證確認(rèn)數(shù)據(jù)的完整可用。

（6）加強(qiáng)企業(yè)信息數(shù)據(jù)機(jī)房的管理。相關(guān)人員出入信息數(shù)據(jù)庫機(jī)房進(jìn)行數(shù)據(jù)查閱以及提取工作時，應(yīng)經(jīng)由相關(guān)主管人員的授權(quán)，并登記進(jìn)入。在日常管理過程中，定期對硬件設(shè)備進(jìn)行保養(yǎng)，同時研究違章操作在信息數(shù)據(jù)機(jī)房安裝外部其他軟件。

參考文獻(xiàn)

[1]沈路鐵路信息系統(tǒng)安全風(fēng)險評估研究[J]-鐵路計(jì)算機(jī)應(yīng)用2011（6）

第3篇：企業(yè)信息安全管理范文

[關(guān)鍵詞]石油企業(yè)；信息安全；信息管理

doi：10.3969/j.issn.1673 - 0194.2017.08.038

[中圖分類號]TE46 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2017）08-00-02

0 引 言

社會發(fā)展進(jìn)步和信息化時代的到來，給石油企業(yè)科技資料管理工作帶來了新的挑戰(zhàn)，石油科技信息安全，不僅對石油企業(yè)的發(fā)展舉足輕重，還關(guān)系著國家安全、經(jīng)濟(jì)發(fā)展和社會穩(wěn)定。因此，石油企業(yè)科技資料管理已成為近年來理論研究的熱點(diǎn)問題，加強(qiáng)石油企業(yè)科技資料管理，既是企業(yè)技術(shù)秘密保護(hù)的需要，也是企業(yè)保持競爭力發(fā)展的需求。本文基于信息安全視角，在分析石油企業(yè)科技資料管理工作現(xiàn)狀的基礎(chǔ)上，對科技資料管理問題進(jìn)行了研究，提出了改變傳統(tǒng)管理方式的必要性，探索創(chuàng)新石油企業(yè)科技資料管理模式。同時，通過分析新時期現(xiàn)代企業(yè)制度給科技資料管理工作提出的新要求，提出了拓展科技資料價值功能的設(shè)想，為企業(yè)建立科技資料管理新體系和完善現(xiàn)代企業(yè)制度提供新思路和新方法。

1 新形勢下強(qiáng)化石油企業(yè)信息安全管理的必要性

隨著社會經(jīng)濟(jì)及石油產(chǎn)業(yè)的迅速發(fā)展，石油企業(yè)不僅要適應(yīng)企業(yè)的運(yùn)行特點(diǎn)和發(fā)展趨勢，還要具備良好的前瞻性與可拓展性，通過更高效、更系統(tǒng)、更先進(jìn)的科技資料管理工作，推動企業(yè)在激烈的市場競爭中立足與發(fā)展。然而，我國石油企業(yè)的科技管理能力與國外石油公司相比仍有較大差距。在借鑒國外石油公司科技管理經(jīng)驗(yàn)和方法的基礎(chǔ)上，國內(nèi)石油企業(yè)可以通過加強(qiáng)科技工作，構(gòu)建一體化創(chuàng)新鏈條；強(qiáng)化科技規(guī)劃管理以及知識產(chǎn)權(quán)管理等科技管理工作，加強(qiáng)和改善企業(yè)的科技管理能力，有效提升企業(yè)的科技競爭力。

一方面，隨著信息技術(shù)的發(fā)展，大量的高新技術(shù)裝備被引入人們?nèi)粘Ｉ畹母鱾€領(lǐng)域，人們可以借助其處理圖像、存儲數(shù)據(jù)、互發(fā)郵件等，極大方便了人們的日常生活，徹底顛覆了傳統(tǒng)辦公模式。但相關(guān)人員要意識到高新技術(shù)在給人們帶來便利的同時，也帶來了比較嚴(yán)重的信息安全威脅，如黑客侵襲、數(shù)據(jù)竊賊、病毒等，致使信息安全保密問題在社會各個領(lǐng)域得到了高度關(guān)注。作為一種信息資源產(chǎn)業(yè)，石油企業(yè)科技資料是企業(yè)進(jìn)行技術(shù)、科研、生產(chǎn)和經(jīng)營的重要數(shù)據(jù)資料，其不僅具有企業(yè)無形資產(chǎn)的特點(diǎn)，還存在地域性、專業(yè)性等公共屬性，只要獲取了這些數(shù)據(jù)資料就相當(dāng)于獲取了企業(yè)獨(dú)有的知識和技術(shù)秘密。在新的時代，做好石油企業(yè)科技資料管理工作，對保護(hù)信息安全和促進(jìn)石油科技發(fā)展具有十分積極的意義。

另一方面，科技資料比科技檔案的內(nèi)涵更廣，科技資料是石油科技發(fā)展過程中比較重要的組成部分，科技資料與科技檔案不僅來自于人們的日常生活，且又回歸于人們的日常生活?？萍紮n案一般具有成套性的特征，由實(shí)施性材料、依據(jù)性材料、結(jié)果性材料等部分組成，是進(jìn)行科研、生產(chǎn)的重要依據(jù)，可以對一個單位（企業(yè)）、一個國家的科技成就給予直觀的反映?？萍假Y料、科技檔案有其共性，都是提供科技情報(bào)信息交流的重要手段和工具，都有轉(zhuǎn)化為物質(zhì)生產(chǎn)力的特性。因此，為了更好的提高科技資料和科技檔案的管理效率和管理質(zhì)量，石油企業(yè)需要借助電子計(jì)算機(jī)技術(shù)，做好石油科技資料的保護(hù)和管理工作，以更好的實(shí)現(xiàn)其經(jīng)濟(jì)效益與社會效益，推動我國石油企I的可持續(xù)發(fā)展，并有效提升企業(yè)的社會效益和經(jīng)濟(jì)效益。

2 新形勢下強(qiáng)化石油企業(yè)信息安全管理的基本思路

本文以確保石油企業(yè)科技資料信息安全為基礎(chǔ)，探索石油企業(yè)科技資料管理模式，著重深化以下三個方面的研究。一是建立完善的科技資料信息安全管理系統(tǒng)，不斷調(diào)整與完善石油企業(yè)內(nèi)部科技資料利用過程中的保密機(jī)制，從而強(qiáng)化石油企業(yè)科技資料的保密管理。二是借助信息系統(tǒng)有效實(shí)現(xiàn)科技資料的有效交流、快速傳輸、高效利用，確保數(shù)據(jù)信息被完好的保存。三是建立石油企業(yè)科技資料規(guī)范化管理運(yùn)行模式，實(shí)現(xiàn)科技資料管理的本質(zhì)安全。

（1）石油企業(yè)科技資料屬于該行業(yè)比較重要的信息資源，是企業(yè)技術(shù)、科研、生產(chǎn)和經(jīng)營等過程中最詳細(xì)、最真實(shí)的工作記錄，因此，這要求石油企業(yè)決策者要充分意識到科技資料的重要性，并做好這些數(shù)據(jù)資料的管理、保護(hù)和利用工作，以更好的提高企業(yè)的經(jīng)濟(jì)效益。

（2）石油企業(yè)在發(fā)展過程中需要科技資料作為保障，只有這樣，才能更好的發(fā)揮企業(yè)的實(shí)際效益。新形勢下，石油企業(yè)科技資料管理一般呈現(xiàn)出集成化、信息化和智能化的發(fā)展趨勢，如果能對其進(jìn)行科學(xué)、合理的利用，將會更好的發(fā)揮其效益，提高石油企業(yè)的經(jīng)濟(jì)效益。在對石油企業(yè)科技資料進(jìn)行管理的過程中，要盡可能滿足企業(yè)的實(shí)際發(fā)展需求，并具備良好的可拓展性與前瞻性，以更好地推動企業(yè)的可持續(xù)發(fā)展。石油是我國家社會經(jīng)濟(jì)發(fā)展的支柱性產(chǎn)業(yè)，因此，需要根據(jù)企業(yè)的生產(chǎn)規(guī)模與生產(chǎn)技術(shù)特點(diǎn)，對企業(yè)內(nèi)部科技資料進(jìn)行科學(xué)、合理的管理，明確石油科技資料管理過程中存在的缺陷和不足，對企業(yè)科技管理現(xiàn)狀進(jìn)行深入分析，以更好的提高科技資料管理人員的專業(yè)水平和綜合素質(zhì)。此外，完善信息化科技資料管理系統(tǒng)，對石油科技資料的管理制度和管理體制進(jìn)行不斷的優(yōu)化，以更好的提升科技資料管理工作效率和質(zhì)量。

（3）科技資料管理工作已進(jìn)入了一個全新的時代，做好石油企業(yè)科技資料管理工作必須順應(yīng)時展，從傳統(tǒng)型轉(zhuǎn)變?yōu)閼?yīng)對各類高科技盜密手段的新型管理體系，結(jié)合石油科技、油田生產(chǎn)實(shí)際，建立新的管理模式。

3 新形勢下加強(qiáng)石油企業(yè)信息安全管理的具體措施

新形勢下，對石油企業(yè)而言，保密管理與信息安全是一個多因素、多層面、系統(tǒng)的、動態(tài)的、綜合的管理過程，屬于“三分技術(shù)，七分管理”的過程，因此，相關(guān)人員要把技術(shù)與管理工作有效的結(jié)合在一起，以更好的提高企業(yè)的經(jīng)濟(jì)效益。辦公室信息安全保密，不要僅注重對“密”的保守，不要簡單的把信息安全保密管理看作為“?！保J(rèn)為放到保險柜里就安全了。實(shí)際上，信息安全保密工作還包括劃密、保密和泄密協(xié)助查處三方面的工作內(nèi)容，并且涉及了制度、技術(shù)防范、法律等多個領(lǐng)域的綜合應(yīng)用。

信息安全保密最為關(guān)鍵的環(huán)節(jié)就是劃密，它是開展保密工作的基礎(chǔ)。這里所提及的劃密通常是指明確信息是不是秘密？屬于哪個等級的秘密？然后根據(jù)劃分標(biāo)準(zhǔn)對其實(shí)施分級保護(hù)。一般情況下，秘密屬于集合概念的范疇，主要包括個人秘密、商業(yè)秘密、國家秘密、工作秘密等幾大類。所謂商業(yè)秘密，一般是指廣大民眾所不熟知的東西，且可以為所有人帶來豐厚利益，所有人進(jìn)行實(shí)施保密措施的經(jīng)營信息和技術(shù)信息。在黨政辦公室里所涉及的商業(yè)秘密不是很多，但并非絕對，因此需要對其給予針對性的看待，避免出現(xiàn)保密信息的泄露。所謂工作秘密，通常是指國家單位和機(jī)關(guān)在開展公務(wù)活動過程中一旦泄露會造成無法彌補(bǔ)的嚴(yán)重?fù)p失。

信息安全保密工作屬于信息安全管理的保密環(huán)節(jié)，不僅是保密工作的重中之重，同時也是保密工作的中心環(huán)節(jié)。這里所提及的保密，通常是指保護(hù)秘密不被泄露或竊取。因此，《保密法》明確了“人防、技防、物防”的三防原則。首先需要提高相關(guān)人員的保密意識，提高他們對保密工作的緊迫感和責(zé)任感。其次，對保密工作應(yīng)進(jìn)行規(guī)范化管理，對保密工作各個環(huán)節(jié)的關(guān)系進(jìn)行科學(xué)、合理的處理，尤其是處理好“傳統(tǒng)”與“現(xiàn)代”、“保密”與“公開”、“防外”與“防內(nèi)”之間的關(guān)系。最后，積極防范，M一步提高保密工作的管控能力，做好對保密人員的宣傳與教育工作，構(gòu)建“人防”的保密防線。同時推進(jìn)保密設(shè)備的使用，加強(qiáng)“物防”的保密防線。此外，規(guī)范保密技術(shù)手段的使用，完善“技防”的保密防線。

加強(qiáng)制度執(zhí)行是信息安全保密工作的第三層，其一般要求單位根據(jù)本部門的實(shí)際情況和高新技術(shù)產(chǎn)品的特點(diǎn)進(jìn)行針對性管理，并根據(jù)自身的實(shí)際責(zé)任認(rèn)真落實(shí)保密工作，明晰保密責(zé)任，簽訂保密責(zé)任書，以更好的提高他們的保密意識。同時，按照保密、密碼工作的相關(guān)規(guī)范和標(biāo)準(zhǔn)，對保密工作中存在的問題進(jìn)行全面、系統(tǒng)的分析和研究，把保密作為防范風(fēng)險隱患、強(qiáng)化內(nèi)部管理的主要工作進(jìn)行開展，不斷完善層層抓落實(shí)、一級抓一級的責(zé)任體系。加強(qiáng)保密基礎(chǔ)工作，提高保密要害機(jī)構(gòu)對工作的落實(shí)情況，明確保密要害部門的基本權(quán)力和職責(zé)，及時修訂完善法律制度，完善人防、技防、物防措施，更新工作臺賬，確保保密要害部門的工作順利開展。按照要求開展政務(wù)信息保密公開審查制度，明確審查的流程和責(zé)任，以更好地開展信息的保密工作，不斷深化保密宣傳工作，堅(jiān)持貼近工作、貼近形勢、貼近人員，完善技防手段，以更好的提高保密技術(shù)防護(hù)水平。此外，做好計(jì)算機(jī)網(wǎng)絡(luò)安全保密管理工作，不斷提高信息安全、密碼、保密工作規(guī)范化水平。

主要參考文獻(xiàn)

[1]雷麗.石油企業(yè)信息化項(xiàng)目風(fēng)險評估指標(biāo)體系研究[J].科技經(jīng)濟(jì)市場，2008（4）.

[2]呂健，余玲.基于風(fēng)險評估指數(shù)法的信息系統(tǒng)安全――以廣西工學(xué)院圖書館的信息化架構(gòu)為例[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2007（26）.

[3]廖善榕.淺議石油企業(yè)信息安全保障體系[J].信息網(wǎng)絡(luò)安全，2007（6）.

第4篇：企業(yè)信息安全管理范文

【關(guān)鍵詞】電力企業(yè)信息安全管理；組織管理；失誤因素

1 電力企業(yè)信息安全管理中組織管理失誤的分析方法

電力企業(yè)信息安全管理中的組織管理失誤分析法（英文：Cognitive Relia-bility andErrorAnalysisMethod，即CREAM），是可靠性分析法的典型代表，具有追溯分析功能。通過CREAM的應(yīng)用，可以將失誤事件的外在表現(xiàn)形式稱為失效模式，并且將引起這些失誤事件的直接原因定義為前因。實(shí)踐中，前因可分為具體的前因、一般性前因，CREAM分析法是以失效模式作為出發(fā)點(diǎn)。首先，通過分析失效模式的一般前因、具體前因，得到失效模式前因表，在表中選定一個前因作為后果，然后分析引起這一后果的可能前因，最終得到包含這一后果、可能的前因追溯表；再以該可能前因?yàn)楹蠊治隹赡艿那耙?，通過連續(xù)不斷的尋找，最終找到引起事件失誤的根本原因。

2 在電力電力企業(yè)信息組織管理過程中，開展多項(xiàng)管控措施、分三步走

第一步，從思想上加強(qiáng)重視。實(shí)踐中，應(yīng)當(dāng)認(rèn)真學(xué)習(xí)貫徹違規(guī)外聯(lián)、外網(wǎng)郵箱發(fā)送的要求，嚴(yán)格按照“業(yè)務(wù)工作誰主管，保密工作誰負(fù)責(zé)”以及“統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)”的原則，將信息安全保密職責(zé)有效地落實(shí)到人，讓每個員工熟悉、掌握保密工作的基本要求和規(guī)范。

第二步，深入檢查，全面整改。實(shí)踐中，應(yīng)當(dāng)嚴(yán)格按照檢查內(nèi)容檢查，一定不能留死角、搞形式。在檢查中發(fā)現(xiàn)的問題，要立即糾正，認(rèn)真整改，對存在嚴(yán)重問題的單位要監(jiān)督整改，并組織復(fù)查；發(fā)生泄密、違規(guī)問題時，一定要嚴(yán)肅查處，必要時還要追究責(zé)任人的責(zé)任。

第三步，嚴(yán)格管理，務(wù)求實(shí)效。要進(jìn)一步落實(shí)保密工作責(zé)任制，堅(jiān)持標(biāo)本兼治、系統(tǒng)治理，把檢查活動與日常保密工作安排結(jié)合起來，邊檢查邊整改，以查促管、以查促改、以查促教、以查促防，確保檢查取得實(shí)效。

3 電力企業(yè)信息系統(tǒng)安全管理的必要性

電力企業(yè)信息系統(tǒng)安全管理，是企業(yè)在一定范圍內(nèi)建立起來的信息安全目標(biāo)和方針，并通過努力完成目標(biāo)。對于電力企業(yè)信息安全管理而言，可表示為方法、目的、基本原則和實(shí)施過程等要素集合，作為直接的信息安全管理結(jié)果。2014年8月，某技術(shù)質(zhì)管部專責(zé)高某通過電子郵箱將創(chuàng)新成果--《電力設(shè)計(jì)企業(yè)基于桌面云技術(shù)的信息》以附件形式經(jīng)壓縮、更名后在沒有經(jīng)過加密的情況下，發(fā)送到某部門專家評審組；由于附件內(nèi)容出現(xiàn)“保密”等敏感詞，該郵件被公司外網(wǎng)郵件攔截系統(tǒng)攔截。經(jīng)現(xiàn)場查實(shí)，郵件均不涉商業(yè)秘密，但違反了“工作郵件只限于公司內(nèi)網(wǎng)郵箱發(fā)送”規(guī)定。由此可見，電力企業(yè)信息系統(tǒng)安全管理工作非常重要，也非常有必要。通常情況下，電力企業(yè)信息安全管理工作主要包括制定信息安全管理的策略，合理、科學(xué)的對電力企業(yè)信息安全工作進(jìn)行組織管理，具有非常重要的作用。電力企業(yè)應(yīng)當(dāng)提高全體員工的信息安全意識，加強(qiáng)電力電力企業(yè)信息內(nèi)外網(wǎng)安全管理。第一，內(nèi)、外網(wǎng)電腦都必須安裝三種軟件，即北信源、天以及趨勢殺毒。軟件有內(nèi)、外網(wǎng)版本之別，而且客戶端也不同；第二，遵守專機(jī)、專網(wǎng)之規(guī)定，內(nèi)網(wǎng)電腦不能與外網(wǎng)相連接，外網(wǎng)電腦不能連接內(nèi)網(wǎng)，家用電腦不能接入內(nèi)網(wǎng)使用，尤其是來歷不明、使用背景不明的電腦，一律禁止接入內(nèi)網(wǎng)系統(tǒng)。

4 電力企業(yè)信息安全管理中組織管理常見失誤

近年來，隨著市場經(jīng)濟(jì)體制改革的不斷深化，雖然電力企業(yè)信息安全管理水平有了很大程度的提升，但電力企業(yè)信息安全管理過程中依然存在著一些問題與不足，總結(jié)之，主要表現(xiàn)在以下幾個方面：

第一，信息安全措施和技術(shù)手段不成熟。對于大多數(shù)企業(yè)而言，在信息系統(tǒng)建設(shè)過程中欠缺完善的安全手段和措施，嚴(yán)重影響了安全措施的制定與執(zhí)行。

第二，電力企業(yè)信息安全風(fēng)險控制不到位。實(shí)踐中可以看到，很多企業(yè)在信息化規(guī)劃與建設(shè)過程中，對信息安全的前期分析比較欠缺，將分析對象主要集中在技術(shù)層面研究上，很難有效解決企業(yè)安全信息系統(tǒng)操作失誤、缺陷與不足等安全問題。

第三，信息安全意識不強(qiáng)，缺乏有效的安全管理機(jī)制。對于部分企業(yè)領(lǐng)導(dǎo)層而言，對信息安全的重視不夠，對潛在的各種風(fēng)險和安全隱患問題分析不到位。

5 電力企業(yè)信息安全管理體現(xiàn)構(gòu)建的有效策略

基于以上對當(dāng)前企業(yè)安全管理中的問題分析，筆者認(rèn)為要想減少和控制電力企業(yè)信息安全管理中組織管理失誤現(xiàn)象， 應(yīng)當(dāng)根據(jù)企業(yè)實(shí)際生產(chǎn)運(yùn)營狀況，以IS027001信息安全管理體系標(biāo)準(zhǔn)為基礎(chǔ)，從組織、技術(shù)、管理以及運(yùn)行和監(jiān)督這等方面入手，對現(xiàn)有的信息安全管理架構(gòu)進(jìn)行改進(jìn)和完善，增加運(yùn)行、監(jiān)督環(huán)節(jié)。

5.1 提高對電力企業(yè)信息安全的認(rèn)知度

針對企業(yè)員工對信息安全知識掌握不足的現(xiàn)狀和問題，通過宣傳、教育和培訓(xùn)等方法，提高企業(yè)全體員工對信息安全的認(rèn)知度。首先，加強(qiáng)信息安全宣傳教育。電力企業(yè)信息安全宣傳的目的在于讓全體員工清楚地認(rèn)識到信息安全管理工作的重要性，了解信息安全管理目標(biāo)，以此來提高企業(yè)員工的信息安全管理意識。

5.2 建立健全信息安全審計(jì)機(jī)制

內(nèi)部審計(jì)是對電力企業(yè)信息安全管理體系建設(shè)與實(shí)施情況的評價，定期組織審計(jì)活動，以此來促進(jìn)安全管理體系的改進(jìn)與完善。企業(yè)的信息安全政策、規(guī)范制度是信息安全管理工作得以有效開展的重要依據(jù)，因此審計(jì)工作的主要內(nèi)容是檢驗(yàn)信息安全標(biāo)準(zhǔn)的符合性、執(zhí)行情況。在審計(jì)過程中，主要包括如下內(nèi)容，即檢驗(yàn)是否按照要求制定規(guī)章制度、執(zhí)行細(xì)則；檢驗(yàn)員工對的規(guī)章制度執(zhí)行狀況，對審計(jì)結(jié)果的整改落實(shí)情況進(jìn)行核查；同時，還要對信息安全控制措施的應(yīng)用效果進(jìn)行全面檢查，確保評估的有效性。

5.3 建立和完善信息安全風(fēng)險管理制度

信息安全風(fēng)險，即威脅利用系統(tǒng)弱點(diǎn)對相關(guān)信息資產(chǎn)造成破壞、損失的可能性，信息系統(tǒng)安全與否，主要取決于其風(fēng)險是否己在現(xiàn)有措施條件下實(shí)現(xiàn)了最小化，而非絕對沒有風(fēng)險。

第5篇：企業(yè)信息安全管理范文

電力企業(yè)信息系統(tǒng)是基于電腦和網(wǎng)絡(luò)，實(shí)現(xiàn)電力制造、管理等信息的收集、存儲、分析及傳輸?shù)木C合性的有機(jī)系統(tǒng)。［1］信息作為一種重要的企業(yè)資源必須要對其進(jìn)行全面的安全管理，企業(yè)信息安全管理是引導(dǎo)和協(xié)調(diào)組織的關(guān)于信息化安全風(fēng)險的互相協(xié)調(diào)的活動，即企業(yè)管理層對企業(yè)相關(guān)信息和活動安排進(jìn)行合理的規(guī)劃和協(xié)調(diào)。一直以來，很多人特別是對于信息行業(yè)出身的工作人員，都受環(huán)境影響而陷入“技術(shù)就是一切”的誤區(qū)中，即人們把企業(yè)信息安全的全部希望都寄托在加密技術(shù)上，他們認(rèn)為只要通過加密技術(shù)，任何信息安全問題都能夠解決。隨著網(wǎng)絡(luò)防火墻技術(shù)的誕生，我們又常聽到“防火墻是網(wǎng)絡(luò)安全的有力保障”的論調(diào)。經(jīng)此之后，入侵檢測、VPN等更多新的概念及技術(shù)紛至沓來，但無論技術(shù)怎樣變化，終究還是突破不了技術(shù)統(tǒng)領(lǐng)信息安全的枷鎖。實(shí)際上，對企業(yè)信息安全技術(shù)的選擇及應(yīng)用只是企業(yè)信息系統(tǒng)安全化的一部分，它只是實(shí)現(xiàn)企業(yè)安全運(yùn)營的一個方法而己。大家之所以產(chǎn)生這樣的誤區(qū)，其原因是多方面的，站在企業(yè)安全技術(shù)提供商的角度來說，其側(cè)重點(diǎn)在于銷售，因此向相關(guān)客戶輸送的大多都是以技術(shù)為核心的理念和信息。站在客戶角度來說，只有企業(yè)的產(chǎn)品才是真實(shí)的、有形的，對投資方來說，這是十分重要的。因此，正是對于企業(yè)信息系統(tǒng)的錯誤認(rèn)識，導(dǎo)致一些極端現(xiàn)象的產(chǎn)生，比如：許多企業(yè)的信息化設(shè)備使用了防火墻、網(wǎng)絡(luò)云掃描等技術(shù)，但卻沒有設(shè)定出一套以安全策略為核心的合理的安全管理方案，從而造成安全技術(shù)及企業(yè)的產(chǎn)品生產(chǎn)十分混亂，不能做到技術(shù)及相關(guān)產(chǎn)品的及時、有效的更新。還有一些電力企業(yè)即使設(shè)定了一些安全管理措施，卻沒有使用有效的實(shí)施、監(jiān)督機(jī)制來執(zhí)行，這讓安全管理措施徒有其表，名存實(shí)亡。經(jīng)過研究及調(diào)查，現(xiàn)階段我國電力企業(yè)信息系統(tǒng)面臨的風(fēng)險主要有：（1）信息系統(tǒng)缺陷。隨著信息化的不斷發(fā)展，電力企業(yè)信息系統(tǒng)也一直在不斷完善中，目前，我國的電力企業(yè)在設(shè)計(jì)、制造及產(chǎn)品裝配中仍存在著許多安全隱患與風(fēng)險，比如來自軟硬件組件的安全隱患等，這些信息系統(tǒng)固有的缺陷對電力企業(yè)信息系統(tǒng)的安全造成了嚴(yán)重的威脅。（2）信息系統(tǒng)安全管理不規(guī)范?，F(xiàn)階段，我國電力企業(yè)對電力信息系統(tǒng)的安全愈來愈重視，很多電力企業(yè)都采取了各種風(fēng)險管理及預(yù)防措施，但是由于系統(tǒng)數(shù)據(jù)備份設(shè)備的不完善、數(shù)據(jù)丟失等信息系統(tǒng)安全管理不規(guī)范現(xiàn)象的出現(xiàn)，建立一套完善、合理的電力企業(yè)信息系統(tǒng)安全管理體系尤為重要。（3）網(wǎng)絡(luò)安全意識薄弱。由于電力企業(yè)的安全宣傳力度不夠，相關(guān)技術(shù)人員的安全意識薄弱而導(dǎo)致的信息系統(tǒng)安全問題時有發(fā)生，比如不能及時修補(bǔ)信息系統(tǒng)漏洞及補(bǔ)丁，相關(guān)人員不正確的操作、或通過U盤導(dǎo)致重要信息泄露等，處理不好都很有可能造成整個電力系統(tǒng)的不穩(wěn)定甚至系統(tǒng)癱瘓。（4）惡意人為破壞。隨著網(wǎng)絡(luò)共享度的提高，我國的電力企業(yè)信息系統(tǒng)逐漸向開放型及共享型發(fā)展，這使得一些不法分子有機(jī)可乘，他們?yōu)榱俗约旱睦妫ㄟ^各種手段非法入侵電力企業(yè)的信息系統(tǒng)，如植入病毒、竊聽、干擾阻斷等，這對我國電力企業(yè)信息系統(tǒng)的安全構(gòu)成了極大的威脅。

2電力企業(yè)信息系統(tǒng)安全管理研究

信息安全是一個復(fù)雜的、不斷變化的動態(tài)過程，如果電力企業(yè)只根據(jù)一時需要而忽略了信息安全的動態(tài)性，只是主觀的來制定一些風(fēng)險管理措施，就會造成在企業(yè)信息管理中顧此失彼，進(jìn)而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗。［2］其正確的做法是，電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實(shí)踐總結(jié)，結(jié)合企業(yè)自身對信息系統(tǒng)安全的實(shí)際需求，在進(jìn)行完善的風(fēng)險分析及風(fēng)險管理的基礎(chǔ)上，通過一些合理的、可行的安全風(fēng)險管理措施來使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)。除此之外，不斷更新的過程是電力企業(yè)進(jìn)行信息安全管理的最基本出發(fā)點(diǎn)，該過程還應(yīng)該是動態(tài)的、變化的，即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進(jìn)和完善，堅(jiān)決拒絕一成不變，這可以將信息系統(tǒng)的風(fēng)險降到最低。［3］所以說，基于風(fēng)險的評估及控制角度來說，電力企業(yè)信息系統(tǒng)的安全風(fēng)險與其他領(lǐng)域的風(fēng)險具有相似性，與此同時，電力系統(tǒng)信息系統(tǒng)安全風(fēng)險又具有其獨(dú)特性。將其他領(lǐng)域內(nèi)的風(fēng)險控制過程引入電力企業(yè)的信息風(fēng)險管理領(lǐng)域，需要同時考慮到其共性和個性。安全管理主要分為網(wǎng)絡(luò)級、系統(tǒng)級和應(yīng)用級3個部分：（1）網(wǎng)絡(luò)級安全管理。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險問題，其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個方面采取安全管理措施。網(wǎng)絡(luò)防火墻對企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用，它可以有效預(yù)防潛在的破壞性入侵，同時可以對即將進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格的檢測，并對非法、錯誤的網(wǎng)絡(luò)信息進(jìn)行隔離，從而保護(hù)電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。對于網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)電力企業(yè)信息系統(tǒng)的實(shí)際情況，相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計(jì)出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu)，該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯能力，從而對已有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了優(yōu)化。（2）系統(tǒng)級安全管理。在企業(yè)信息系統(tǒng)風(fēng)險管理中，系統(tǒng)級安全設(shè)計(jì)與用戶的具體應(yīng)用具有密切的聯(lián)系，具體而言，其分為操作系統(tǒng)與數(shù)據(jù)處理兩個方面。在操作系統(tǒng)方面，利用有效的網(wǎng)絡(luò)安全掃描對信息系統(tǒng)的安全風(fēng)險進(jìn)行合理評估，及時分析操作系統(tǒng)已有的漏洞，同時結(jié)合信息系統(tǒng)的漏洞自動修補(bǔ)技術(shù)，實(shí)現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患。在數(shù)據(jù)處理方面，企業(yè)要善于利用信息系統(tǒng)平臺再次對數(shù)據(jù)庫進(jìn)行數(shù)據(jù)安全加密，從而將信息系統(tǒng)的數(shù)據(jù)庫風(fēng)險降到最低。（3）應(yīng)用級安全管理。應(yīng)用級安全設(shè)計(jì)具有直觀、具體的特點(diǎn)，它是在設(shè)計(jì)電力企業(yè)的信息系統(tǒng)時，通過技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中，從而有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行。具體來說，電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問控制是根據(jù)訪問信息性質(zhì)的不同，分別進(jìn)行公開信息和私密信息的傳送、存儲及管理，從而實(shí)現(xiàn)在應(yīng)用層次上的訪問控制；而數(shù)字簽名技術(shù)可以通過對文件簽發(fā)者、日期等提供準(zhǔn)確的不可更改的歷史記錄，來保證系統(tǒng)所有文件的完整性。因此，我們得知，為了確保電力企業(yè)信息系統(tǒng)的安全，要采取合理、有效的管理手段來最大程度地降低風(fēng)險，即相關(guān)人員不僅要從技術(shù)層面來進(jìn)行安全管理的設(shè)計(jì)，還要從管理層面進(jìn)行安全管理設(shè)置。［4］具體來說可以從以下方面著手：（1）定期對企業(yè)系統(tǒng)的技術(shù)人員進(jìn)行安全教育，增強(qiáng)其信息系統(tǒng)的安全意識；（2）保持相關(guān)人員特別是管理層的人員穩(wěn)定，若有人員調(diào)離，需及時更換系統(tǒng)密碼，避免企業(yè)機(jī)密泄露；（3）設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等。

3結(jié)語

第6篇：企業(yè)信息安全管理范文

關(guān)鍵詞：信息安全管理；信息資產(chǎn)；模型；推廣方案

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 （2013） 02-0175-01

所謂的信息安全就是指信息的可用性、完整性、安全性以及保密性。信息安全管理主要是指組織為了確保信息的安全而進(jìn)行的控制、領(lǐng)導(dǎo)、組織、計(jì)劃的相關(guān)過程。隨著企業(yè)的飛速發(fā)展以及信息技術(shù)的不斷完善，各類企業(yè)的信息化程度也在不斷地提高，信息安全已經(jīng)成為了企業(yè)發(fā)展過程中的核心內(nèi)容之一。

一、企業(yè)信息安全管理的現(xiàn)狀

目前，絕大部分企業(yè)在發(fā)展的過程中已經(jīng)開始對企業(yè)的信息安全工作制定出了一系列的管理措施，不過，企業(yè)在對那些信息進(jìn)行安全管理的過程中，基本上是部署或購買信息安全產(chǎn)品。而這些產(chǎn)品基本上是為了達(dá)到某項(xiàng)安全功能而研發(fā)生產(chǎn)的、針對性較強(qiáng)的硬件或軟件產(chǎn)品。當(dāng)前市場上所出售的信息安全產(chǎn)品主要有四個層次：系統(tǒng)安全設(shè)備、網(wǎng)絡(luò)安全設(shè)備、終端安全設(shè)備、基礎(chǔ)安全設(shè)備。

企業(yè)通過這些信息安全產(chǎn)品雖然在某些方面具有一定的安全效果，不過企業(yè)自身的信息安全度仍沒有得到提高。所謂的企業(yè)信息安全管理就是指針對當(dāng)前企業(yè)所面臨的信息失控、惡意軟件、人為因素等復(fù)雜環(huán)境給予相應(yīng)的防護(hù)，確保企業(yè)的信息系統(tǒng)以及相關(guān)信息不會被非授權(quán)使用、訪問、中斷或修改。這樣做的目的主要是對企業(yè)的信息安全進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，并確保其具有可用性、真實(shí)性、完整性以及保密性。就目前的情況而言，絕大部分企業(yè)的信息安全管理存在下列問題：（1）缺乏足夠的安全防護(hù)意識，員工的信息安全教育力度較為薄弱；（2）管理過程中對于人為因素的管理較為缺乏；（3）只重視技術(shù)而忽略了管理；（4）缺乏系統(tǒng)性的管理方案；（5）缺乏專業(yè)的信息安全管理人員。

二、企業(yè)信息資產(chǎn)的安全管理方式

一般情況下，企業(yè)的信息資產(chǎn)具有以下三個重要屬性：即可用性、完整性以及保密性。在對企業(yè)的信息進(jìn)行管理的過程中，這三者缺一不可。在企業(yè)發(fā)展的不同時期以及不同階段，這三者的屬性以及地位也大不相同。對于絕大部分企業(yè)而言，對企業(yè)信息進(jìn)行安全管理的主要目的就是確保企業(yè)的信息資產(chǎn)具有較好的保密性，因此，信息的可用性以及完整性在信息安全管理過程中基本上就成為了附屬品。由此可見，對于絕大多數(shù)企業(yè)來說，信息的保密性更為重要。

由于企業(yè)的信息安全管理活動通常會涉及到企業(yè)的所有員工以及各個管理階層，因此，企業(yè)在開展此項(xiàng)活動的過程中，一定要注重全員參與的重要性，讓企業(yè)的各項(xiàng)工作以及每個員工都對企業(yè)的信息安全引起高度重視，并將企業(yè)的信息安全管理與企業(yè)文化融為一體，以便于從根本上實(shí)現(xiàn)企業(yè)的信息安全管理目標(biāo)。不過對于絕大部分企業(yè)而言，經(jīng)濟(jì)指標(biāo)才是員工以及管理層關(guān)注的重點(diǎn)內(nèi)容，而信息安全管理需要投入大量的人力、物力以及財(cái)力方能實(shí)現(xiàn)，因此，這對于大部分企業(yè)來說其操作性相對較低。由此可見，在對企業(yè)的信息安全進(jìn)行管理的過程中，一定要盡最大可能確保信息安全管理的簡潔性。

三、企業(yè)在進(jìn)行信息安全管理時所涵蓋的具體內(nèi)容

目前，信息安全管理過程中的內(nèi)容經(jīng)簡化和提煉后主要有“執(zhí)行力”、“堵”、“護(hù)”，在不同企業(yè)或同一企業(yè)發(fā)展過程中的不同階段，信息安全管理的計(jì)劃實(shí)施先后順序以及側(cè)重點(diǎn)也會有所不同。對于企業(yè)的普通員工以及管理人員而言，通過簡單地宣傳教育就很容易讓他們牢記“執(zhí)行力”、“堵”、“護(hù)”，而對于專業(yè)的信息安全管理人員則必須從以下幾個方面著手。

（一）構(gòu)建與企業(yè)文化相符合的安全體系

企業(yè)在構(gòu)建信息安全管理體系的過程中，它與企業(yè)文化的適應(yīng)程度有著十分密切的聯(lián)系，不同的企業(yè)有著不同的企業(yè)文化，因此，在進(jìn)行信息安全管理的過程中，其管理思路以及管理方法也會大不相同。一些執(zhí)行力較強(qiáng)的單位，通常會采用強(qiáng)制手段來進(jìn)行管理，且管理的效果相對較好，而對于執(zhí)行力相對較差的單位，通過制定出科學(xué)合理的管理方法，并加以相應(yīng)的監(jiān)控管理、審計(jì)以及技術(shù)支持也會取得相對較好的效果。

（二）對信息傳遞渠道進(jìn)行嚴(yán)格的管理

企業(yè)在對信息資產(chǎn)進(jìn)行安全管理時，一定要強(qiáng)化對信息傳遞渠道的管理，對信息資產(chǎn)的各個傳輸渠道進(jìn)行嚴(yán)格的分析，嚴(yán)禁出現(xiàn)非授權(quán)或授權(quán)范圍外的傳遞或訪問。在此過程中，“堵”的核心內(nèi)容就是人員的安全管理，這主要是因?yàn)槠髽I(yè)的信息資產(chǎn)都是通過人來進(jìn)行控制、管理的。在所有的信息安全管理過程中，對人的管理難度最大，因此，在開展信息安全管理活動時，一定要對員工的調(diào)動以及離職情況進(jìn)行嚴(yán)格的審計(jì)，以此來防止信息資產(chǎn)的不合理傳遞。

（三）核心信息資產(chǎn)的保護(hù)

所謂的核心信息資產(chǎn)的保護(hù)主要是指對企業(yè)的核心信息資產(chǎn)進(jìn)行科學(xué)有效的保護(hù)，這對于企業(yè)的發(fā)展有著至關(guān)重要的作用，同時它還是企業(yè)進(jìn)行信息資產(chǎn)安全管理的有效手段。由于企業(yè)的資源具有一定的有限性，因此，企業(yè)的信息安全也具有一定的相對性，基于此，在對企業(yè)的信息資產(chǎn)進(jìn)行安全管理的過程中，對核心信息資產(chǎn)進(jìn)行保護(hù)就顯得尤為重要了。所謂的核心信息資產(chǎn)就是指一旦泄露就有可能對企業(yè)造成嚴(yán)重的損失，或者是價值相對較高的信息。

四、結(jié)束語

隨著市場經(jīng)濟(jì)的不斷發(fā)展以及信息技術(shù)的日漸完善，企業(yè)在發(fā)展過程中的信息資產(chǎn)保護(hù)所面臨的形式也變得越來越嚴(yán)峻。為此，企業(yè)在發(fā)展的過程中，一定要根據(jù)自身的實(shí)際情況，建立相應(yīng)的管理體系，并將其納入企業(yè)的風(fēng)險管理中，盡量降低信息泄露對企業(yè)發(fā)展所造成的影響。

參考文獻(xiàn)：

[1]齊峰.COBIT在企業(yè)信息安全管理中的應(yīng)用實(shí)踐[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（10）：282-285.

[2]伏原.網(wǎng)絡(luò)信息安全管理在電力企業(yè)中的應(yīng)用[J].中華民居，2011，（8）：385-386.

[3]孟潔.國有企業(yè)中的信息安全管理和應(yīng)用[J].科技信息，2012，（2）：252.

第7篇：企業(yè)信息安全管理范文

【關(guān)鍵詞】電力企業(yè)信息安全管理策略

電力是國民經(jīng)濟(jì)的命脈，電力系統(tǒng)的安全穩(wěn)定，不但直接關(guān)系到國家經(jīng)濟(jì)的發(fā)展，還對民眾的日常生活有著巨大的影響。當(dāng)前隨著電力企業(yè)市場業(yè)務(wù)的不斷開展，其與互聯(lián)網(wǎng)的聯(lián)系也越來越密切，但互聯(lián)網(wǎng)存在著很大的自由性和不確定性，可能會給電力企業(yè)帶來潛在的不安全因素。而當(dāng)前電力企業(yè)的信息安全建設(shè)僅僅停留在封堵現(xiàn)有安全漏洞的階段，對于系統(tǒng)整體的信息安全意識還不夠。因此有必要對電力企業(yè)信息系統(tǒng)整體安全管理進(jìn)行分析研究，有針對性的采取應(yīng)對策略，確保電力企業(yè)網(wǎng)絡(luò)信息可以實(shí)現(xiàn)安全穩(wěn)定運(yùn)行。

1做好安全規(guī)劃

做好電力企業(yè)的網(wǎng)絡(luò)安全信息規(guī)劃需要做到以下兩點(diǎn)：

（1）要對電力企業(yè)的網(wǎng)絡(luò)管理進(jìn)行科學(xué)合理的規(guī)劃，要結(jié)合實(shí)際情況對電力企業(yè)的網(wǎng)絡(luò)信息安全管理進(jìn)行綜合考量，從整體上對網(wǎng)絡(luò)信息安全進(jìn)行考慮和布置。網(wǎng)絡(luò)安全信息管理的具體開展主要依靠于安全管理體系，這一點(diǎn)上可以參照一些國外經(jīng)驗(yàn)；

（2）電力企業(yè)因自身的獨(dú)特性質(zhì)，需要使用物理隔離的方法將內(nèi)外網(wǎng)隔離開來，內(nèi)網(wǎng)方面要合理規(guī)劃安全區(qū)域，要結(jié)合實(shí)際情況，將安全區(qū)域劃分成重點(diǎn)防范區(qū)域與普通防范區(qū)域。電力企業(yè)信息安全的內(nèi)部核心是重點(diǎn)防范區(qū)域，在此區(qū)域應(yīng)當(dāng)設(shè)置訪問權(quán)限，權(quán)限不足的普通用戶無法查看網(wǎng)頁。重要的數(shù)據(jù)運(yùn)行如OA系統(tǒng)和應(yīng)用系統(tǒng)等應(yīng)該在安全區(qū)域內(nèi)進(jìn)行，這樣可以保證其信息安全。

2加強(qiáng)制度建設(shè)

安全制度是保障電力企業(yè)網(wǎng)絡(luò)信息安全的關(guān)鍵部分，安全制度可以提升企業(yè)員工和企業(yè)領(lǐng)導(dǎo)對網(wǎng)絡(luò)信息安全的意識，電力企業(yè)需要將安全制度作為企業(yè)的工作核心，要結(jié)合當(dāng)前的實(shí)際情況，建立起符合電力企業(yè)網(wǎng)絡(luò)信息安全的管理制度，具體操作如下：

（1）做好安全審計(jì)，很多入侵檢測系統(tǒng)都有審計(jì)日志的功能，加強(qiáng)安全制度建設(shè)就需要利用好檢測系統(tǒng)的審計(jì)功能，做好對網(wǎng)絡(luò)日常工作的管理工作，對審計(jì)的數(shù)據(jù)必須要進(jìn)行嚴(yán)格的管理，不經(jīng)過允許任何人不得擅自修改刪除審計(jì)記錄。

（2）電力企業(yè)網(wǎng)絡(luò)系統(tǒng)需要安裝防病毒軟件來保障網(wǎng)絡(luò)信息的安全，安裝的防病毒軟件需要具備遠(yuǎn)程安裝、報(bào)警及集中管理等功能。此外，電力企業(yè)要建立好網(wǎng)絡(luò)使用管理制度，不要隨便將網(wǎng)絡(luò)上下載的數(shù)據(jù)復(fù)制在內(nèi)網(wǎng)主機(jī)上，不要讓來歷不清的存儲設(shè)備在企業(yè)的計(jì)算機(jī)中隨意使用。

（3）電力企業(yè)的管理者要高度重視其企業(yè)的網(wǎng)絡(luò)安全制度建設(shè)，不要把網(wǎng)絡(luò)信息安全管理僅僅看作是技術(shù)部門的工作，企業(yè)中應(yīng)建立起一支專門負(fù)責(zé)網(wǎng)絡(luò)信息安全的工作領(lǐng)導(dǎo)小組，要做好對企業(yè)內(nèi)所有職工的培訓(xùn)，最好能讓每一名職工都擁有熟練掌握網(wǎng)絡(luò)信息安全管理的能力。企業(yè)管理者要明確相關(guān)負(fù)責(zé)人的工作職責(zé)，定期對網(wǎng)絡(luò)安全工作開展督導(dǎo)檢查，管理制度需要具備嚴(yán)肅性、強(qiáng)制性和權(quán)威性，安全制度一旦形成，就必須要求職工嚴(yán)格執(zhí)行。

3設(shè)置漏洞防護(hù)

隨著當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，很多已經(jīng)投入運(yùn)行性的網(wǎng)絡(luò)信息系統(tǒng)和設(shè)備的技術(shù)漏洞也隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展而日益增加，這在很大程度上給了不法分子竊取電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)的機(jī)會，對此電力企業(yè)需要做好以下兩項(xiàng)工作：

（1）電力企業(yè)需要利用一些漏洞掃描技術(shù)來維護(hù)企業(yè)的網(wǎng)絡(luò)安全，要對企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)經(jīng)常開展掃描工作，從而及時發(fā)現(xiàn)系統(tǒng)漏洞并完成修復(fù)。這樣可以提升企業(yè)網(wǎng)絡(luò)信息安全系數(shù)，不但能阻斷不法分子入侵企業(yè)信息系統(tǒng)的途徑，還可以使企業(yè)避免需要經(jīng)常性更換網(wǎng)絡(luò)信息系統(tǒng)設(shè)備可能增加的經(jīng)濟(jì)負(fù)擔(dān)，從而促進(jìn)企業(yè)實(shí)現(xiàn)長遠(yuǎn)發(fā)展；

（2）電力企業(yè)需要提升對網(wǎng)絡(luò)信息安全的風(fēng)險防范意識，增強(qiáng)企業(yè)應(yīng)對突發(fā)事件的應(yīng)急處理能力，針對不同的信息安全風(fēng)險需要設(shè)置好不同的預(yù)警機(jī)制。要定期檢查企業(yè)的網(wǎng)絡(luò)信息安全技術(shù)，防止網(wǎng)絡(luò)安全漏洞的出現(xiàn)。還要及時做好對網(wǎng)絡(luò)信息防護(hù)新手段的更新工作，從而提升企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的保護(hù)強(qiáng)度。

4提高管理手段

科學(xué)合理的企業(yè)網(wǎng)絡(luò)信息安全管理手段不僅可以維持電力企業(yè)的工作進(jìn)度，還能有效規(guī)避企業(yè)網(wǎng)絡(luò)信息中所存在的安全隱患。提高企業(yè)網(wǎng)絡(luò)信息安全管理手段需要做到以下兩點(diǎn)：

（1）建立入侵保護(hù)系統(tǒng)IPS，提升企業(yè)網(wǎng)絡(luò)信息安全管理指標(biāo)。在電力企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中建立網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)IPS，可以為網(wǎng)絡(luò)信息提供一種快速主動的防御體系，IPS的設(shè)計(jì)理念是對常規(guī)網(wǎng)絡(luò)流量中攜帶的惡意數(shù)據(jù)包進(jìn)行數(shù)據(jù)安全檢測，若發(fā)現(xiàn)可疑數(shù)據(jù)IPS將發(fā)揮網(wǎng)絡(luò)安全防御功能，來阻止可疑數(shù)據(jù)侵入電力系統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)。與常規(guī)的網(wǎng)絡(luò)防火墻相比，IPS具備更加完善的安全防御功能，其不僅能對網(wǎng)絡(luò)惡意數(shù)據(jù)流量進(jìn)行檢測還能夠及時消除隱患。此外，IPS還能為電力企業(yè)的網(wǎng)絡(luò)提供虛擬補(bǔ)丁，從而預(yù)先對黑客攻擊和網(wǎng)絡(luò)病毒做出攔截，保證企業(yè)的網(wǎng)絡(luò)不受損害；

（2）電力企業(yè)要加大對新型網(wǎng)絡(luò)信息安全技術(shù)的研發(fā)投入，在組建企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)時，要對系統(tǒng)各組成部分做嚴(yán)格檢查，確保設(shè)備符合安全標(biāo)準(zhǔn)。對于組建網(wǎng)絡(luò)信息系統(tǒng)所需要的設(shè)備和部件則必須要求供應(yīng)商提供相應(yīng)的安檢報(bào)告，嚴(yán)防設(shè)備和部件的安全隱患。對于企業(yè)已投入使用的系統(tǒng)和設(shè)備，必須定期做好檢查，以確保安全系統(tǒng)能夠順利有效的開展防護(hù)工作。

5總結(jié)

綜上所述，本文通過維護(hù)電力企業(yè)網(wǎng)絡(luò)信息安全管理的相關(guān)策略進(jìn)行研究發(fā)現(xiàn)，運(yùn)用做好安全規(guī)劃、加強(qiáng)制度建設(shè)、設(shè)置漏洞防護(hù)和提高管理手段四項(xiàng)措施可以起到提升企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的保護(hù)強(qiáng)度、建立起符合電力企業(yè)網(wǎng)絡(luò)信息安全的管理制度從而確保安全系統(tǒng)能夠順利有效的開展防護(hù)工作的良好效果，希望本文的研究可以更好的提升我國電力企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)的安全管理水平，為維護(hù)我國電力系統(tǒng)的安全運(yùn)行做出貢獻(xiàn)。

參考文獻(xiàn) 

[1]鄭玉山.電力企業(yè)網(wǎng)絡(luò)和信息安全管理策略思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（06）：121+123. 

第8篇：企業(yè)信息安全管理范文

隨著現(xiàn)代化無紙辦公要求的提高，相應(yīng)的也就要求了現(xiàn)在企業(yè)辦公離不開網(wǎng)絡(luò)，便于辦公的企業(yè)都自行建立了自己的企業(yè)內(nèi)網(wǎng)，“企業(yè)自身處內(nèi)網(wǎng)環(huán)境中，黑客難以入侵。但實(shí)際上，無線網(wǎng)絡(luò)、眾多智能設(shè)備（如手機(jī)、Pad等）為黑客提供了更多便利，而企業(yè)所信任的防火墻在黑客面前形同虛設(shè)。”知名企業(yè)信息安全顧問、國家企業(yè)信息安全最高認(rèn)證（CISP）金牌講師張勝生在講座中對目前國內(nèi)企業(yè)普遍缺乏企業(yè)信息安全專業(yè)團(tuán)隊(duì)，漠視企業(yè)信息安全的現(xiàn)狀表示擔(dān)憂。

2013年中央電視臺播出的“棱鏡門 ”一時鬧的沸沸揚(yáng)揚(yáng)，棱鏡計(jì)劃（PRISM）是一項(xiàng)由美國國家安全局（NSA）自2007年小布什時期起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃。美國情報(bào)機(jī)構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作，從音頻、視頻、圖片、郵件、文檔以及連接信息中分析個人的聯(lián)系方式與行動。監(jiān)控的類型有10類：信息電郵、即時消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議、登錄時間、社交網(wǎng)絡(luò)資料的細(xì)節(jié)，其中包括兩個秘密監(jiān)視項(xiàng)目，一是監(jiān)視、監(jiān)聽民眾電話的通話記錄，二是監(jiān)視民眾的網(wǎng)絡(luò)活動。

該類事件也反應(yīng)了關(guān)于企業(yè)及個人企業(yè)信息安全的問題。

1 企業(yè)信息安全管理基礎(chǔ)

1.1 企業(yè)信息安全事件分析

統(tǒng)計(jì)結(jié)果表明，在所有企業(yè)信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于內(nèi)部人員的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)安全的全貌就會發(fā)現(xiàn)安全問題實(shí)際上都是人的問題，單憑技術(shù)是無法實(shí)現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。

1.2 企業(yè)信息安全管理的需求

企業(yè)信息安全取決于兩個因素：技術(shù)和管理。安全技術(shù)是企業(yè)信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑，企業(yè)信息安全管理是預(yù)防、阻止和減少企業(yè)信息安全事件發(fā)生的重要保障。

1.3 信息安全保障的內(nèi)涵

信息安全保障要綜合技術(shù)、管理、工程和人。應(yīng)融入信息系統(tǒng)生命周期的全過程，目的不僅僅是保障信息系統(tǒng)本身，更應(yīng)該是通過保障信息系統(tǒng)，從而保障運(yùn)行于信息系統(tǒng)之上的業(yè)務(wù)系統(tǒng)、保障組織機(jī)構(gòu)。信息安全保障不僅僅是孤立的自身的問題，更應(yīng)該是一個社會化的、需要各方參與的工作，信息安全保障是主觀和客觀的結(jié)合。

2 企業(yè)信息系統(tǒng)安全系統(tǒng)結(jié)構(gòu)組成要素

實(shí)現(xiàn)企業(yè)信息安全系統(tǒng)結(jié)構(gòu)的安全，要從多方面考慮，通常定義包括安全屬性、系統(tǒng)組成、安全策略、安全機(jī)制等4個方面。在每一個方面中，還可以繼續(xù)劃分多個層次；對于一個給定的層次，包含著多種安全要素。

2.1 安全屬性

安全本身是對信息系統(tǒng)一種屬性要求，信息系統(tǒng)通過安全服務(wù)來實(shí)現(xiàn)安全性?；镜陌踩?wù)包括標(biāo)識與鑒別、保密性、完整性、可用性等。安全服務(wù)和安全機(jī)制的對應(yīng)關(guān)系如下：5大類安全服務(wù)：身份鑒別、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整性、不可否認(rèn)性及提供這些服務(wù)的8類安全機(jī)制及其相應(yīng)的OSI安全管理等對應(yīng)OSI模型的7層協(xié)議中的不同層，以實(shí)現(xiàn)端系統(tǒng)企業(yè)信息安全傳送的通信通路。這樣從安全性到安全服務(wù)機(jī)制到具體安全技術(shù)手段形成了安全屬性的不同層次。

2.2 系統(tǒng)組成

系統(tǒng)組成描述信息系統(tǒng)的組成要素。對于信息系統(tǒng)的組成劃分，有不同的方法?？梢苑譃橛布蛙浖?，在硬件和軟件中又可以進(jìn)一步地劃分。對于分布的信息系統(tǒng)，可以將信息系統(tǒng)資源分為用戶單元和網(wǎng)絡(luò)單元，即將信息系統(tǒng)的組成要素分為本地計(jì)算環(huán)境和網(wǎng)絡(luò)，以及計(jì)算環(huán)境邊界。

2.3 安全策略

在安全系統(tǒng)結(jié)構(gòu)中，安全策略指用于限定一個系統(tǒng)、實(shí)體或?qū)ο筮M(jìn)行安全相關(guān)操作的規(guī)則。即要表明在安全范圍內(nèi)什么是允許的，什么是不允許的。直接體現(xiàn)了安全需求，并且也有面向不同層次、視圖及原理的安全策略。其描述內(nèi)容和形式也各不相同。對于抽象型和一般型安全系統(tǒng)結(jié)構(gòu)而言，安全策略主要是對加密、訪問控制、多級安全等策略的通用規(guī)定，不涉及具體的軟硬件實(shí)現(xiàn)；而對于具體型安全系統(tǒng)結(jié)構(gòu)，其安全策略則是要對實(shí)現(xiàn)系統(tǒng)安全功能的主體和客體特性進(jìn)行具體的標(biāo)識和說明，亦即要描述允許或禁止系統(tǒng)和用戶何時執(zhí)行哪些動作，并要能反射到軟硬件安全組件的具體配置，如，網(wǎng)絡(luò)操作系統(tǒng)的賬號、用戶權(quán)限等。

2.4 安全機(jī)制

安全機(jī)制是實(shí)現(xiàn)信息系統(tǒng)安全需求及安全策略的各種措施，具體可以表現(xiàn)為所需要的安全標(biāo)準(zhǔn)、安全?f議、安全技術(shù)、安全單元等。對于不同層次、不同視圖及不同原理的安全系統(tǒng)結(jié)構(gòu)，安全機(jī)制的重點(diǎn)也有所不同。例如：OSI安全系統(tǒng)結(jié)構(gòu)中建議采用7種安全機(jī)制。而對于特定系統(tǒng)的安全系統(tǒng)結(jié)構(gòu)，則要進(jìn)一步說明有關(guān)安全機(jī)制的具體實(shí)現(xiàn)技術(shù)，如認(rèn)證機(jī)制的實(shí)現(xiàn)可以有口令、密碼技術(shù)及實(shí)體特征鑒別等方法。

3 企業(yè)信息安全攻防技術(shù)

3.1 惡意代碼及網(wǎng)絡(luò)安全攻防

3.1.1 惡意代碼定義

惡意代碼（Unwanted Code，Malicious Software，Malware，Malicous code）是指沒有作用卻會帶來危險的代碼。

惡意代碼類型：二進(jìn)制代碼、二進(jìn)制文件、腳本語言、宏語言。

3.1.2 惡意代碼傳播方式

移動存儲、文件傳播、網(wǎng)絡(luò)傳播、網(wǎng)頁、電子郵件、漏洞、共享、即時通訊、軟件捆綁。

3.2 惡意代碼的防治

增強(qiáng)安全策略與意識：減少漏洞、補(bǔ)丁管理、主機(jī)加固、減輕威脅、防病毒軟件、間諜軟件檢測和刪除工具、入侵檢測/入侵防御系統(tǒng)、防火墻、路由器、應(yīng)用安全設(shè)置等。

3.3 惡意代碼檢測技術(shù)

3.3.1 特征碼掃描

工作機(jī)制：特征匹配、病毒庫（惡意代碼特征庫）、掃描（特征匹配過程）、優(yōu)勢、準(zhǔn)確（誤報(bào)率低）、易于管理不足、效率問題（特征庫不斷龐大、依賴廠商）、滯后（先有病毒后有特征庫，需要更新特征庫）。

3.3.2 惡意代碼檢測技術(shù)-沙箱技術(shù)

工作機(jī)制：將惡意代碼放入虛擬機(jī)中執(zhí)行，其執(zhí)行的所有操作都被虛擬化重定向，不改變實(shí)際操作系統(tǒng)優(yōu)勢。

優(yōu)點(diǎn)：能較好的解決變形代碼的檢測。

3.3.3 惡意代碼檢測技術(shù)-行為檢測

工作機(jī)制：基于統(tǒng)計(jì)數(shù)據(jù)、惡意代碼行為有哪些、行為符合度。

優(yōu)勢：能檢測到未知病毒。

不足：誤報(bào)率高。

難點(diǎn)：病毒不可判定原則。

3.3.4 惡意代碼清除技術(shù)

惡意代碼清除技術(shù)有：

（1）感染引導(dǎo)區(qū)型、修復(fù)/重建引導(dǎo)區(qū)。（2）文件感染型、附著型：病毒行為逆向還原、替換型：備份還原。（3）獨(dú)立型：獨(dú)立可執(zhí)行程序：終止進(jìn)程、刪除。（4）獨(dú)立依附型：內(nèi)存退出、刪除。（5）嵌入型。（6）更新軟件或系統(tǒng)。（7）重置系統(tǒng)。

4 企業(yè)信息安全攻防技術(shù)常見的手段和工具

4.1 攻擊的過程

4.1.1 攻擊的過程

信息安全??中攻擊方式有：信息收集、目標(biāo)分析、實(shí)施攻擊，留后門方便再次進(jìn)入、打掃戰(zhàn)場，清理入侵記錄。

針對以上提到的行為了解其原理并考慮應(yīng)對措施網(wǎng)絡(luò)攻擊的方式：（1）主動攻擊：掃描、滲透、拒絕服務(wù)等。（2）被動攻擊：嗅探、釣魚等。

攻擊過程的一些術(shù)語：后門、0-day、提權(quán)。

4.1.2 信息收集攻擊的第一步

信息收集-攻擊的第一步：獲取攻擊目標(biāo)資料，網(wǎng)絡(luò)信息，主機(jī)信息，應(yīng)用部署信息，漏洞信息，其他任何有價值的信息，分析目標(biāo)信息、尋找攻擊途徑，排除迷惑信息，可被利用的漏洞，利用工具。

4.2 收集哪些信息

目標(biāo)系統(tǒng)的信息系統(tǒng)相關(guān)資料：域名、網(wǎng)絡(luò)拓?fù)?、操作系統(tǒng)、應(yīng)用軟件、相關(guān)脆弱性、目標(biāo)系統(tǒng)的組織相關(guān)資料、組織架構(gòu)及關(guān)聯(lián)組織、地理位置細(xì)節(jié)、電話號碼、郵件等聯(lián)系方式、近期重大事件、員工簡歷、其他可能令攻擊者感興趣的任何信息。

4.2.1 信息收集的技術(shù)

（1）公開信息收集（媒體、搜索引擎、廣告等）。（2）域名及IP信息收集（whois、nslookup等）。（3）網(wǎng)絡(luò)結(jié)構(gòu)探測（Ping、tracert等）。（4）系統(tǒng)及應(yīng)用信息收集（端口掃描、旗標(biāo)、協(xié)議指紋等）。（5）脆弱性信息收集（nessus、sss等）。

4.2.2 域名信息收集

在維護(hù)企業(yè)信息安全的過程中需要搜集域名信息：（1）NSlookup域名解析查詢。（2）Whois 是一個標(biāo)準(zhǔn)服務(wù)，可以用來查詢域名是否被注冊以及注冊的詳細(xì)資料 Whois 可以查詢到的信息。（3）域名所有者。（4）域名及IP地址對應(yīng)信息。（5）聯(lián)系方式。（6）域名注冊日期。（7）域名到期日期。（8）域名所使用的 DNS Servers。

4.3 工具介紹

4.3.1 檢索工具

基礎(chǔ)檢索工具：（1）TFN2K。（2）Trinoo。

4.3.2 電子欺騙的類型

（1）IP欺騙（IP Spoof）。（2）TCP會話劫持（TCP Hijack）。（3）ARP欺騙（ARP Spoof）。（4）DNS欺騙（DNS spoof）。（5）路由欺騙（ICMP重定向報(bào)文欺騙、RIP路由欺騙、源徑路由欺騙）。

4.3.3 利用應(yīng)用腳本開發(fā)的缺陷-SQL注入

SQL注入原理：SQL注入（SQL Injection）：程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或進(jìn)行數(shù)據(jù)庫操作。

4.3.4 SQL注入防御

防御的對象：所有外部傳入數(shù)據(jù)、用戶的輸入、提交的URL請求中、參數(shù)部分、從cookie中得到的數(shù)據(jù)、其他系統(tǒng)傳入的數(shù)據(jù)。

防御的方法：

白名單：限制傳遞數(shù)據(jù)的格式。

黑名單：過濾特殊字串：update、insert、delete等。

開發(fā)時過濾特殊字符：單引號、雙引號、斜杠、反斜杠、冒號、空字符等的字符、部署防SQL注入系統(tǒng)或腳本。

第9篇：企業(yè)信息安全管理范文

信息化在提高企業(yè)管理效率的同時，也使企業(yè)同時承受著巨大的信息安全的風(fēng)險。據(jù)統(tǒng)計(jì)，全球平均20秒就發(fā)生一次計(jì)算機(jī)病毒入侵；互聯(lián)網(wǎng)上的防火墻約25％被攻破；竊取商業(yè)信息的事件平均以每月260％的速度增加；約70％的網(wǎng)絡(luò)主管報(bào)告了因機(jī)密信息泄露而受損失。我國公安機(jī)關(guān)2002年共受理各類信息網(wǎng)絡(luò)違法犯罪案件6633起，與上年相比增長45.9％。其中利用計(jì)算機(jī)實(shí)施的違法犯罪有5301起，占案件總數(shù)的79.9％。而病毒的泛濫，更讓國內(nèi)眾多企業(yè)蒙受了巨額的經(jīng)濟(jì)損失。因此，加強(qiáng)信息安全建設(shè)，已成為目前國內(nèi)外企業(yè)迫在眉睫的大事。信息資產(chǎn)管理，既有別于傳統(tǒng)意義上的固定資產(chǎn)管理，也和ERP(企業(yè)資源計(jì)劃)、EAM(企業(yè)資產(chǎn)管理)等系統(tǒng)中資產(chǎn)管理的概念有所不同，它更關(guān)注于對信息系統(tǒng)及其附屬設(shè)施中的相關(guān)資源進(jìn)行識別和集中管理，進(jìn)而實(shí)施有效的ISMS(信息安全管理體系)或SOC(安全運(yùn)營中心)，以保證信息系統(tǒng)所承載的企業(yè)業(yè)務(wù)的持續(xù)、有效的發(fā)展。

一、從業(yè)務(wù)安全到信息資產(chǎn)安全

企業(yè)的業(yè)務(wù)安全需求不斷變化，相關(guān)技術(shù)也在不斷進(jìn)步。企業(yè)不斷擴(kuò)展業(yè)務(wù)，員工、客戶以及合作伙伴越來越多地與企業(yè)網(wǎng)絡(luò)連接，進(jìn)行移動辦公和開展在線業(yè)務(wù)，這也就意味著對核心信息資產(chǎn)的威脅機(jī)會增加。信息安全已經(jīng)從單獨(dú)的保護(hù)計(jì)算機(jī)系統(tǒng)發(fā)展到保護(hù)業(yè)務(wù)安全。

信息安全問題之所以成為企業(yè)管理中很難解決的一個問題的主要原因在于：信息資產(chǎn)與物理資產(chǎn)的差異性。一般而言，信息資產(chǎn)與物理資產(chǎn)的基本區(qū)別是，信息資產(chǎn)是動態(tài)變化的，而物理資產(chǎn)是固定不變的。信息資產(chǎn)在許多方面表現(xiàn)出動態(tài)特征——從信息以運(yùn)行數(shù)據(jù)(客戶賬戶、業(yè)務(wù)交易等)的形式產(chǎn)生開始，直到在各種業(yè)務(wù)功能和過程中最終的應(yīng)用(ERP，CRM，商業(yè)智能)。IT界為信息生命周期的每一個階段推出了許多單一性的產(chǎn)品。這些產(chǎn)品分別用于解決生命周期中某個方面的問題，包括信息的生成、處理、分布、存檔、檢索和處置。某一種信息資產(chǎn)在生命周期的每一個階段各有其價值。企業(yè)的這種動態(tài)資產(chǎn)在其進(jìn)展的每一步中必須受到保護(hù)，以防止外部和內(nèi)部的威脅。但是，這種企業(yè)內(nèi)部開發(fā)的功能和目的相對單一的保護(hù)手段，常常因開發(fā)內(nèi)容不全面、缺乏統(tǒng)一規(guī)劃和部署等缺陷，造成企業(yè)、特別是中小企業(yè)處于一種“頭疼醫(yī)頭、腳疼醫(yī)腳”的被動狀況，使得企業(yè)在信息資產(chǎn)安全管理上常處于被動和盲目的局面，其信息資產(chǎn)在遭受破壞后常缺乏專門的調(diào)查取證和索賠力量而給企業(yè)帶來巨大損失。

二、法務(wù)會計(jì)在企業(yè)信息資產(chǎn)安全管理中的應(yīng)用

信息及信息用戶的社會屬性使得法務(wù)會計(jì)師為企業(yè)提供專業(yè)服務(wù)成為必要，而法務(wù)會計(jì)師因其所具備的法律和資產(chǎn)管理方面的獨(dú)特的知識結(jié)構(gòu)和專業(yè)經(jīng)驗(yàn)，使得其在企業(yè)信息安全管理中發(fā)揮著獨(dú)特作用。根據(jù)信息安全風(fēng)險的成因，法務(wù)會計(jì)師可以因地制宜地制定相關(guān)對策。

在企業(yè)信息資產(chǎn)保護(hù)中，定義信息資產(chǎn)，以信息資產(chǎn)為對象的形式是企業(yè)信息資產(chǎn)保護(hù)的關(guān)鍵。這是因?yàn)樵谄髽I(yè)信息安全管理中引入資產(chǎn)保護(hù)，可以使抽象、復(fù)雜的信息管理明朗化。企業(yè)信息資產(chǎn)是以多種形式存在的，它可以是有無形的、也可以是有形的，可以是硬件、也可以是軟件。因?yàn)?，信息資產(chǎn)具有不同的價值屬性和特點(diǎn)，其存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制也各不相同。因此，有必要對企業(yè)、機(jī)構(gòu)中的信息資產(chǎn)進(jìn)行科學(xué)分類，以便于進(jìn)行后期的信息資產(chǎn)抽樣、制定風(fēng)險評估策略、分析安全功能需求等活動。此外，信息資產(chǎn)還具有很強(qiáng)的時間特性，它的價值和安全屬性都會隨著時間的推移而發(fā)生變化，所以還應(yīng)該根據(jù)時間變化的頻度，制定資產(chǎn)相關(guān)的評估和安全策略的頻度。