企業(yè)信息安全治理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業(yè)信息安全治理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業(yè)信息安全治理范文

企業(yè)經(jīng)營(yíng)信息對(duì)于企業(yè)來(lái)說(shuō)是一種資源，對(duì)于企業(yè)自身來(lái)說(shuō)具有重要意義，企業(yè)需要妥善管理自身企業(yè)的信息。近年來(lái)，企業(yè)的各項(xiàng)經(jīng)營(yíng)活動(dòng)都逐漸開(kāi)始通過(guò)計(jì)算機(jī)，網(wǎng)絡(luò)開(kāi)展，因此，企業(yè)的信息安全管理對(duì)于企業(yè)越來(lái)越重要。許多企業(yè)開(kāi)始通過(guò)各種技術(shù)手段以及制度改革，把更多的注意力放在企業(yè)內(nèi)部的信息安全管理工作，同時(shí)將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制結(jié)合起來(lái)，這是一個(gè)正確的選擇，能夠幫助企業(yè)實(shí)現(xiàn)穩(wěn)定經(jīng)營(yíng)。在介紹企業(yè)信息安全管理以及風(fēng)險(xiǎn)控制前必須厘清企業(yè)信息安全管理的概念與企業(yè)風(fēng)險(xiǎn)控制定義，因此，本節(jié)將著重介紹企業(yè)信息安全管理的概念以及企業(yè)風(fēng)險(xiǎn)控制的定義。

企業(yè)的信息安全管理包含十分豐富的內(nèi)容，簡(jiǎn)單來(lái)說(shuō)是指企業(yè)通過(guò)各種手段來(lái)保護(hù)企業(yè)硬件和軟件，保護(hù)網(wǎng)絡(luò)存儲(chǔ)中的各種數(shù)據(jù)不受偶然因素的破壞或者惡意的原因被攻擊。對(duì)于信息安全的認(rèn)定通過(guò)包括4個(gè)指標(biāo)，即保證信息數(shù)據(jù)的完整，保證信息數(shù)據(jù)不被泄露，保證信息數(shù)據(jù)能夠正常使用，保證信息數(shù)據(jù)能夠控制管理。要想做好企業(yè)的信息安全管理，首先需要了解的是關(guān)于信息的傳輸方式。隨著信息技術(shù)的不斷普及，信息傳遞的方式越來(lái)越多，常見(jiàn)的信息傳遞方式主要有互聯(lián)網(wǎng)傳播，局域網(wǎng)傳播，硬件傳播等等。要想實(shí)現(xiàn)企業(yè)的信息安全管理，其中很重要的一項(xiàng)工作在于保護(hù)信源、信號(hào)以及信息。信息安全管理是一項(xiàng)需要綜合學(xué)科知識(shí)基礎(chǔ)的工作，從事企業(yè)信息安全管理工作的人員通過(guò)需要具有網(wǎng)絡(luò)安全技術(shù)、計(jì)算機(jī)技術(shù)、密碼技術(shù)、通信技術(shù)。從企業(yè)的信息安全管理來(lái)講，最為關(guān)鍵的一項(xiàng)工作時(shí)保護(hù)企業(yè)內(nèi)部經(jīng)營(yíng)信息數(shù)據(jù)的完整。經(jīng)過(guò)近十年來(lái)的企業(yè)信息安全管理工作經(jīng)驗(yàn)總結(jié)，企業(yè)信息安全不僅僅需要信息技術(shù)的支持，更需要通過(guò)建立完善的企業(yè)風(fēng)險(xiǎn)控制體系來(lái)幫助企業(yè)實(shí)現(xiàn)更好地保護(hù)企業(yè)信息安全的目標(biāo)。

所以，怎樣把企業(yè)信息安全管理與風(fēng)險(xiǎn)控制融合起來(lái)就是擺在企業(yè)經(jīng)營(yíng)管理者面前的一道難題。企業(yè)的信息安全風(fēng)險(xiǎn)控制必須通過(guò)企業(yè)建立完善的企業(yè)信息安全風(fēng)險(xiǎn)體系實(shí)現(xiàn)。企業(yè)的信息安全風(fēng)險(xiǎn)控制是指企業(yè)在企業(yè)信息安全遭遇威脅之前，提前對(duì)企業(yè)的信息進(jìn)行風(fēng)險(xiǎn)預(yù)估，并采取一系列的有針對(duì)性的活動(dòng)降低企業(yè)面臨的信息安全風(fēng)險(xiǎn)，從而盡可能減少因?yàn)槠髽I(yè)本身信息安全管理中存在漏洞給企業(yè)帶來(lái)不必要的損失。常見(jiàn)的企業(yè)信息安全風(fēng)險(xiǎn)體系建立主要包含以下幾個(gè)方面的內(nèi)容。第一，建立企業(yè)信息安全風(fēng)險(xiǎn)管理制度，明確企業(yè)信息安全管理的責(zé)任分配機(jī)制，明確企業(yè)各個(gè)部門(mén)對(duì)各自信息安全所應(yīng)承擔(dān)的責(zé)任，并建立相應(yīng)的問(wèn)責(zé)機(jī)制。第二，設(shè)置規(guī)范的企業(yè)信息安全風(fēng)險(xiǎn)管理指標(biāo)，對(duì)企業(yè)存在的可能威脅企業(yè)信息安全管理的漏洞予以風(fēng)險(xiǎn)定級(jí)，方便企業(yè)管理者對(duì)不同的信息安全管理漏洞采取有區(qū)別的對(duì)策。第三，企業(yè)要加強(qiáng)對(duì)信息安全管理人員的培訓(xùn)，提高企業(yè)信息安全管理工作人員的風(fēng)險(xiǎn)意識(shí)，讓企業(yè)內(nèi)部從事信息安全管理工作人員認(rèn)識(shí)到自身工作的重要性，讓企業(yè)內(nèi)部從事信息安全管理工作人員了解到規(guī)范自身行為，正確履行職責(zé)的重要性。第四，將企業(yè)信息安全管理與風(fēng)險(xiǎn)控制有效融合，重視企業(yè)信息安全管理工作，通過(guò)風(fēng)險(xiǎn)控制對(duì)企業(yè)內(nèi)部信息安全的管理方式進(jìn)行正確評(píng)估，找出現(xiàn)行的企業(yè)內(nèi)部信息安全管理手段中存在容易忽視的地方。

二、企業(yè)信息安全管理與風(fēng)險(xiǎn)控制存在的不足

1.企業(yè)信息安全管理工作人員素質(zhì)不高

對(duì)于企業(yè)來(lái)說(shuō)，企業(yè)信息安全管理工作是一項(xiàng)極為重要而隱秘的工作，因此，必須增強(qiáng)對(duì)企業(yè)信息安全管理工作人員的素質(zhì)要求。但是根據(jù)調(diào)查統(tǒng)計(jì)，目前很多企業(yè)對(duì)信息安全工作的管理僅僅停留在對(duì)企業(yè)信息安全管理工作人員的技術(shù)要求上，對(duì)企業(yè)信息安全管理工作人員的道德素養(yǎng)，職業(yè)素養(yǎng)，風(fēng)險(xiǎn)意識(shí)并沒(méi)有嚴(yán)格要求。此外，絕大多數(shù)企業(yè)并沒(méi)有意識(shí)開(kāi)展對(duì)企業(yè)信息安全管理工作的道德素質(zhì)的教育培訓(xùn)，并沒(méi)有通過(guò)建立相關(guān)管理制度以及問(wèn)責(zé)機(jī)制對(duì)企業(yè)信息安全管理工作人員實(shí)行監(jiān)督，這無(wú)疑給別有用心或者立場(chǎng)不堅(jiān)定的企業(yè)信息安全管理工作人員留下了危害企業(yè)信息安全的可乘之機(jī)。

2.企業(yè)信息安全管理技術(shù)不過(guò)關(guān)

企業(yè)信息安全管理工作涉及多許多技術(shù)，包括信息技術(shù)，計(jì)算機(jī)技術(shù)，密碼技術(shù)，網(wǎng)絡(luò)應(yīng)用技術(shù)等等，應(yīng)當(dāng)說(shuō)成熟的計(jì)算機(jī)應(yīng)用技術(shù)是做好企業(yè)信息安全管理的基礎(chǔ)，但是，現(xiàn)實(shí)是許多企業(yè)的信息安全管理技術(shù)并不過(guò)關(guān)，一方面企業(yè)的信息安全管理硬件并不過(guò)關(guān)，在物理層面對(duì)企業(yè)信息缺乏保護(hù)，另一方面，企業(yè)信息安全管理工作的專(zhuān)業(yè)技術(shù)沒(méi)有及時(shí)更新，一些企業(yè)信息安全管理工作人員缺乏企業(yè)信息安全管理的實(shí)踐經(jīng)驗(yàn)，企業(yè)信息安全管理的知識(shí)也并沒(méi)有及時(shí)更新，從而導(dǎo)致企業(yè)的信息安全管理理論嚴(yán)重滯后，這種技術(shù)的落后很容易讓企業(yè)成為不法分子的攻擊對(duì)象。近年來(lái)網(wǎng)絡(luò)病毒的傳播越來(lái)越猖狂，很多服務(wù)器、系統(tǒng)提示安全補(bǔ)丁的下載更新以及客戶端的時(shí)常更新成為一個(gè)惱人的問(wèn)題。作為一個(gè)行業(yè)中的大中型企業(yè)，企業(yè)內(nèi)部設(shè)備數(shù)量比較多，尤其是客戶端數(shù)量占了較大比重，僅僅靠少數(shù)幾個(gè)管理員進(jìn)行管理是難以承擔(dān)如此大量的工作量。另外，企業(yè)信息安全管理系統(tǒng)不成熟也是一個(gè)重大的隱患。

3.企業(yè)信息安全管理制度不健全

企業(yè)信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監(jiān)督機(jī)制保障企業(yè)信息安全管理的有效執(zhí)行。通過(guò)調(diào)查分析，許多企業(yè)雖然建立了企業(yè)信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業(yè)信息安全管理工作缺少有效的制約和監(jiān)督，企業(yè)信息安全管理工作人員缺乏執(zhí)行力。企業(yè)信息安全管理制度不健全，企業(yè)信息安全管理工作缺乏執(zhí)行力常常體現(xiàn)在以下幾個(gè)方面。第一，企業(yè)員工對(duì)于信息安全管理的認(rèn)識(shí)嚴(yán)重不足，對(duì)企業(yè)信息安全管理工作不重視。企業(yè)內(nèi)部計(jì)算機(jī)系統(tǒng)安全的計(jì)算機(jī)防病毒軟件并沒(méi)有及時(shí)更新，使用，甚至企業(yè)內(nèi)部計(jì)算機(jī)的防病毒軟件還被企業(yè)員工卸載了。部分企業(yè)員工認(rèn)為自己的工作與企業(yè)信息安全管理不相關(guān)，認(rèn)為做好企業(yè)信息安全管理工作僅僅是企業(yè)信息安全部門(mén)的事。第二，企業(yè)內(nèi)部信息安全管理制度并沒(méi)有形成聯(lián)動(dòng)機(jī)制，企業(yè)信息安全管理工作僅僅由企業(yè)信息安全部門(mén)“一人包干”，企業(yè)信息安全反映的問(wèn)題并沒(méi)有得到積極的反饋，一些企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)信息安全現(xiàn)狀所了解的少之又少。

三、企業(yè)信息安全管理常見(jiàn)的技術(shù)手段

1.OSI安全體系結(jié)構(gòu)

OSI概念化的安全體系結(jié)構(gòu)是一個(gè)多層次的結(jié)構(gòu)，它的設(shè)計(jì)初衷是面向客戶的，提供給客戶各種安全應(yīng)用，安全應(yīng)用必須依靠安全服務(wù)來(lái)實(shí)現(xiàn)，而安全服務(wù)又是由各種安全機(jī)制來(lái)保障的。所以，安全服務(wù)標(biāo)志著一個(gè)安全系統(tǒng)的抗風(fēng)險(xiǎn)的能力，安全服務(wù)數(shù)量越多，系統(tǒng)就越安全。

2.P2DR模型

P2DR模型包含四個(gè)部分：響應(yīng)、安全策略、檢測(cè)、防護(hù)。安全策略是信息安全的重點(diǎn)，為安全管理提供管理途徑和保障手段。因此，要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過(guò)程，必須制定一個(gè)企業(yè)的安全模式。在安全策略的指導(dǎo)下實(shí)施所有的檢測(cè)、防護(hù)、響應(yīng)，防護(hù)通常是通過(guò)采用一些傳統(tǒng)的靜態(tài)安全技術(shù)或者方法來(lái)突破的，比如有防火墻、訪問(wèn)控制、加密、認(rèn)證等方法，檢測(cè)是動(dòng)態(tài)響應(yīng)的判斷依據(jù)，同時(shí)也是有力落實(shí)安全策略的實(shí)施工具，通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的入侵行為，可以檢測(cè)出騷擾行為或錯(cuò)誤程序?qū)е碌木W(wǎng)絡(luò)不安全因素；經(jīng)過(guò)不斷地監(jiān)測(cè)網(wǎng)絡(luò)和系統(tǒng)來(lái)發(fā)現(xiàn)新的隱患和弱點(diǎn)。在安全系統(tǒng)中，應(yīng)急響應(yīng)占有重要的地位，它是解決危險(xiǎn)潛在性的最有效的辦法。

3.HTP模型

HTP最為強(qiáng)調(diào)企業(yè)信息安全管理工作人員在整個(gè)系統(tǒng)中的價(jià)值。企業(yè)信息安全工作人員企業(yè)信息安全最為關(guān)鍵的參與者，企業(yè)信息安全工作人員直接主導(dǎo)企業(yè)信息安全管理工作，企業(yè)信息安全工作人員不僅僅是企業(yè)信息安全的保障者，也是企業(yè)信息安全管理的威脅者。因此，HTP模型最為強(qiáng)調(diào)對(duì)企業(yè)信息安全管理工作人員的管理與監(jiān)督。另外，HTP模式同樣是建立在企業(yè)信心安全體系，信息安全技術(shù)防范的基礎(chǔ)上，HTP模式采取了豐富的安全技術(shù)手段確保企業(yè)的信息安全。最后，HTP強(qiáng)調(diào)動(dòng)態(tài)管理，動(dòng)態(tài)監(jiān)督，對(duì)于企業(yè)信息安全管理工作始終保持高強(qiáng)度的監(jiān)督與管理，在實(shí)際工作中，通過(guò)HTP模型的應(yīng)用，找出HTP模型中的漏洞并不斷完善。

四、完善企業(yè)信息安全管理與降低風(fēng)險(xiǎn)的建議

1.建設(shè)企業(yè)信息安全管理系統(tǒng)

（1）充分調(diào)查和分析企業(yè)的安全系統(tǒng)，建立一個(gè)全面合理的系統(tǒng)模型，安全系統(tǒng)被劃分成各個(gè)子系統(tǒng)，明確實(shí)施步驟和功能摸塊，將企業(yè)常規(guī)管理工作和安全管理聯(lián)動(dòng)協(xié)議相融合，實(shí)現(xiàn)信息安全監(jiān)控的有效性和高效性。

（2）成立一個(gè)中央數(shù)據(jù)庫(kù)，整合分布式數(shù)據(jù)庫(kù)里的數(shù)據(jù)，把企業(yè)的所有數(shù)據(jù)上傳到中央數(shù)據(jù)庫(kù)，實(shí)現(xiàn)企業(yè)數(shù)據(jù)信息的集中管理與有效運(yùn)用。

（3）設(shè)計(jì)優(yōu)良的人機(jī)界面，通過(guò)對(duì)企業(yè)數(shù)據(jù)信息進(jìn)行有效的運(yùn)用，為企業(yè)管理階層人員、各級(jí)領(lǐng)導(dǎo)及時(shí)提供各種信息，為企業(yè)領(lǐng)導(dǎo)的正確決策提供數(shù)據(jù)支持，根本上提高信息數(shù)據(jù)的管理水平。

（4）簡(jiǎn)化企業(yè)內(nèi)部的信息傳輸通道，對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行程序化設(shè)計(jì)，加強(qiáng)對(duì)提高企業(yè)內(nèi)部信息處理的規(guī)范性和準(zhǔn)確性。

2.設(shè)計(jì)企業(yè)信息安全管理風(fēng)險(xiǎn)體系

（1）確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在企業(yè)信息安全管理風(fēng)險(xiǎn)體系的設(shè)計(jì)過(guò)程中，首要工作是設(shè)計(jì)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)，只有明確了企業(yè)信息安全管理的目標(biāo)，明確了企業(yè)信息安全管理的要求和工作能容，才能建立相關(guān)圍繞信息安全風(fēng)險(xiǎn)控制為目標(biāo)的信息安全管理工作制度，才能順利通過(guò)對(duì)風(fēng)險(xiǎn)控制的結(jié)果的定量考核，檢測(cè)企業(yè)信息安全管理的風(fēng)險(xiǎn)，定性定量地企業(yè)信息安全管理工作進(jìn)行分析，找準(zhǔn)企業(yè)信息安全管理的工作辦法。

（2）確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

不同企業(yè)對(duì)于風(fēng)險(xiǎn)的承受能力是有區(qū)別的，因此，對(duì)于不同的企業(yè)的特殊性應(yīng)該采取不同的風(fēng)險(xiǎn)控制辦法，其中，不同企業(yè)對(duì)于能夠承受的信息安全風(fēng)范圍有所不同，企業(yè)的信息安全風(fēng)險(xiǎn)承受范圍需要根據(jù)企業(yè)的實(shí)際能力來(lái)制定。不僅如此，企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估范圍也應(yīng)當(dāng)根據(jù)企業(yè)的實(shí)際經(jīng)營(yíng)情況變化采取有針對(duì)性的辦法。

第2篇：企業(yè)信息安全治理范文

一、制造型企業(yè)信息安全的必要性

隨著我國(guó)市場(chǎng)信息化水平加深，網(wǎng)絡(luò)技術(shù)已經(jīng)成為了推動(dòng)社會(huì)發(fā)展重要因素之一。網(wǎng)絡(luò)的便捷性，使得任何人都可以利用網(wǎng)絡(luò)接受、傳送大量的網(wǎng)絡(luò)信息，或者是存在網(wǎng)絡(luò)云盤(pán)之中。而網(wǎng)絡(luò)的公開(kāi)性，也導(dǎo)致網(wǎng)絡(luò)對(duì)于任何人來(lái)說(shuō)都沒(méi)有門(mén)檻，這也是竊取信息的問(wèn)題不斷發(fā)生的主要原因。對(duì)于企業(yè)來(lái)說(shuō)，尤其是制造型企業(yè)，一旦企業(yè)賴(lài)以生存的核心技術(shù)被盜取，幾十年的勞動(dòng)成果皆拱手送人，企業(yè)將承受巨大的、甚至是毀滅性的損失。

企業(yè)信息泄露還有一種就是人才流動(dòng)，現(xiàn)如今企業(yè)人員流動(dòng)較大，企業(yè)信息可能被直接帶到其他企業(yè)之中，這也是個(gè)比較棘手的問(wèn)題。

另外一種情況是隨著企業(yè)之間的合作不斷增加，企業(yè)外派員工成為常見(jiàn)的現(xiàn)象，這樣就加大了企業(yè)間的交流和接觸時(shí)間，對(duì)于本企業(yè)的信息泄露也許就是在不經(jīng)意間。

無(wú)論是網(wǎng)絡(luò)問(wèn)題還是人為問(wèn)題，如果造成企業(yè)信息泄露，其對(duì)自身企業(yè)的損害是非常大的。以技術(shù)為核心的制造型企業(yè)加強(qiáng)信息安全管理勢(shì)在必行。

二、制造型企業(yè)信息安全管理的現(xiàn)狀及問(wèn)題

1.企業(yè)信息安全管理的被動(dòng)性

制造型企業(yè)的工作重點(diǎn)在產(chǎn)品制造與生產(chǎn)，對(duì)于網(wǎng)絡(luò)信息管理意識(shí)薄弱，很多時(shí)候企業(yè)只有發(fā)現(xiàn)企業(yè)信息泄露或者遭受病毒的攻擊等安全事件，才會(huì)關(guān)注企業(yè)信息安全問(wèn)題，進(jìn)而調(diào)動(dòng)技術(shù)部門(mén)前來(lái)解決問(wèn)題。這很大程度上反映制造型企業(yè)對(duì)網(wǎng)絡(luò)信息安全不夠重視，只有出現(xiàn)信息安全問(wèn)題時(shí)，才組建臨時(shí)小組來(lái)解決企業(yè)信息問(wèn)題，待到問(wèn)題解決后小組便被解散，沒(méi)有對(duì)企業(yè)信息后序的監(jiān)督和管理，企業(yè)信息安全管理缺乏系統(tǒng)策劃和制度化要求，管理活動(dòng)臨時(shí)性強(qiáng)，缺少日常的維護(hù)和預(yù)防，導(dǎo)致更多的是重蹈覆轍，這樣不僅沒(méi)有為企業(yè)省下對(duì)安全管理的資金，相反的恰恰是增加了企業(yè)的資金投入，直接增加了企業(yè)安全管理的成本。同時(shí)因?yàn)榕R時(shí)小組的組建，使得人員調(diào)動(dòng)頻繁，大大降低了工作效率，進(jìn)而對(duì)企業(yè)的經(jīng)濟(jì)效益造成影響。

2.員工使用內(nèi)部系統(tǒng)連接外網(wǎng)

雖然大部分制造型企業(yè)對(duì)企業(yè)自身的內(nèi)網(wǎng)進(jìn)行了防護(hù)監(jiān)測(cè)，而且對(duì)員工上網(wǎng)和網(wǎng)頁(yè)瀏覽采取了一定的限制措施，但是實(shí)際上，企業(yè)對(duì)員工上網(wǎng)的控制落實(shí)程度不夠，員工依舊可以在工作時(shí)間使用企業(yè)網(wǎng)絡(luò)進(jìn)行外部網(wǎng)絡(luò)連接，而且對(duì)于一些網(wǎng)站毫無(wú)防備。而網(wǎng)絡(luò)病毒是時(shí)刻都在通過(guò)網(wǎng)絡(luò)攻擊使用者的，特別對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)，黑客更是隨時(shí)隨地緊盯著企業(yè)內(nèi)網(wǎng)出現(xiàn)漏洞，進(jìn)而竊取企業(yè)內(nèi)部信息。由于企業(yè)員工的疏忽，會(huì)有很大幾率使得企業(yè)信息出現(xiàn)安全隱患，輕則影響企業(yè)正常的生產(chǎn)工作，重則企業(yè)商業(yè)、技術(shù)信息被盜取或者企業(yè)內(nèi)網(wǎng)癱瘓甚至縱，為企業(yè)帶來(lái)非常嚴(yán)重的后果及損失。

3.移動(dòng)設(shè)備限制力度不夠

制造型企業(yè)在信息安全管理方面通常采取的措施是限制流水線工人的移動(dòng)設(shè)備使用，但是對(duì)于辦公部門(mén)卻沒(méi)有嚴(yán)格要求，辦公人員可以自由攜帶智能手機(jī)、筆記本電腦、pad、硬盤(pán)等移動(dòng)設(shè)備。因辦公人員要對(duì)數(shù)據(jù)進(jìn)行處理，會(huì)導(dǎo)致企業(yè)內(nèi)部信息被無(wú)限制地拷貝。而且現(xiàn)如今的移動(dòng)智能設(shè)備都能直接通過(guò)企業(yè)的無(wú)線網(wǎng)絡(luò)，連接企業(yè)內(nèi)網(wǎng)以獲得權(quán)限，這樣的確提高了企業(yè)內(nèi)部的辦公效率，同時(shí)也給黑客病毒提供了通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行傳播的機(jī)會(huì)，提高了企業(yè)內(nèi)部信息安全的風(fēng)險(xiǎn)。

4.信息安全防護(hù)技術(shù)水平低

在我國(guó)，普遍存在信息安全研發(fā)技術(shù)水平較低的情況，這也是制造型企業(yè)安全技術(shù)不高的原因之一。制造型企業(yè)的工作重心偏重于生產(chǎn)、制造及商務(wù)活動(dòng)中，而對(duì)于網(wǎng)絡(luò)安全的防護(hù)意識(shí)不高。

作為企業(yè)，都會(huì)有一些信息安全意識(shí)。在企業(yè)成立初期，信息安全防護(hù)措施通常會(huì)被考慮并采納，尤其是一些進(jìn)口設(shè)備，但僅僅依賴(lài)進(jìn)口設(shè)備是遠(yuǎn)遠(yuǎn)不夠的。第一，進(jìn)口設(shè)備雖然技術(shù)先進(jìn)，但是出現(xiàn)問(wèn)題是在所難免的，往往出問(wèn)題的是一些關(guān)鍵的零部件，這些零部件不僅難以拆卸且是整臺(tái)設(shè)備的技術(shù)核心，設(shè)備廠商必然會(huì)控制其銷(xiāo)售渠道。第二，很多企業(yè)過(guò)于相信進(jìn)口設(shè)備的技術(shù)，力爭(zhēng)做到一步到位，使得企業(yè)發(fā)展中前期安全防護(hù)的確不錯(cuò)，但是卻忽略了系統(tǒng)的更新和維護(hù)，網(wǎng)絡(luò)病毒每天新出幾萬(wàn)種，就算設(shè)備再先進(jìn)，如果不進(jìn)行更新，遲早會(huì)被病毒攻破。第三，很多企業(yè)都采用家用式免費(fèi)殺毒軟件，這些殺毒軟件更新頻率快，一些簡(jiǎn)單病毒、木馬都能有效查殺，對(duì)家用來(lái)說(shuō)但是對(duì)企業(yè)來(lái)講遠(yuǎn)遠(yuǎn)不夠，企業(yè)一般是黑客重點(diǎn)關(guān)注的對(duì)象，黑客往往會(huì)研制更先進(jìn)的病毒來(lái)攻克企業(yè)的防火墻，一些免費(fèi)殺毒軟件很容易被攻破，增加制造企業(yè)內(nèi)部信息安全問(wèn)題。

5.企業(yè)出現(xiàn)安全問(wèn)題處理方法不當(dāng)

現(xiàn)如今研發(fā)病毒的技術(shù)快速而先進(jìn)，病毒出現(xiàn)時(shí)的及時(shí)處理是非常重要的，我國(guó)制造型企業(yè)在出現(xiàn)信息安全問(wèn)題的時(shí)候，雖然有相關(guān)的殺毒軟件，但因?yàn)榇蟛糠侄际敲赓M(fèi)的，其更新速度雖然頻率高，相對(duì)滯后性比較強(qiáng)，對(duì)于新病毒無(wú)法第一時(shí)間發(fā)現(xiàn)、處理。而且許多病毒都是潛在性的，企業(yè)內(nèi)部系統(tǒng)中毒之后沒(méi)有任何異樣，這就導(dǎo)致企業(yè)內(nèi)部人員無(wú)法及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)網(wǎng)是否被越權(quán)或遭到攻擊。同時(shí)，由于很多企業(yè)缺少專(zhuān)門(mén)管理信息安全的部門(mén)，并且對(duì)于病毒侵入缺乏有針對(duì)性的安全對(duì)策和應(yīng)急措施，這就導(dǎo)致就算病毒被發(fā)現(xiàn)，企業(yè)在第一時(shí)間也無(wú)從下手。

三、制造型企業(yè)容易出現(xiàn)安全問(wèn)題的原因

1.企業(yè)內(nèi)部信息安全意識(shí)低

制造型企業(yè)的本質(zhì)是通過(guò)生產(chǎn)經(jīng)營(yíng)活動(dòng)而獲得盈利，因此制造型企業(yè)的工作重點(diǎn)主要是企業(yè)生產(chǎn)、制造以及流通和服務(wù)。在此情況下，企業(yè)更關(guān)注盈利情況，而缺乏對(duì)信息安全的管理意識(shí)，對(duì)信息安全管理的重視度不足。導(dǎo)致這一現(xiàn)象的重要原因是安全防護(hù)不能為企業(yè)帶來(lái)直接的經(jīng)濟(jì)效益，反而要投入大量的人力、物力、財(cái)力。另一方面，從安全管理角度來(lái)說(shuō)，沒(méi)有事故發(fā)生才是管理績(jī)效的體現(xiàn)。相對(duì)于質(zhì)量管理、生產(chǎn)安全管理來(lái)說(shuō)，信息安全管理的管理性質(zhì)是類(lèi)似的，但因?yàn)槠涔芾韺?duì)象的不可見(jiàn)性，往往容易被企業(yè)高層忽視。同時(shí)，一般也會(huì)存在僥幸心理，感覺(jué)企業(yè)內(nèi)部網(wǎng)絡(luò)不會(huì)受到黑客攻擊，或是認(rèn)為就算受到病毒攻擊也不會(huì)對(duì)生產(chǎn)經(jīng)營(yíng)造成什么大影響，對(duì)企業(yè)整體利益影響不大?；鶎訂T工更是不明白什么是安全防護(hù)，對(duì)企業(yè)安全防護(hù)的重要性一無(wú)所知，這就導(dǎo)致許多企業(yè)內(nèi)部信息技術(shù)會(huì)從員工口中泄露。

2.信息安全管理模式不夠完善

制造型企業(yè)信息安全問(wèn)題頻發(fā)的原因，究其根本就是因?yàn)槠髽I(yè)信息安全管理模式不夠完善，具體原因是制造型企業(yè)不重視信息安全管理、缺少系統(tǒng)規(guī)范的信息安全管理制度、缺乏專(zhuān)業(yè)的信息安全管理技術(shù)和安全管理人員，企業(yè)信息系統(tǒng)設(shè)計(jì)沒(méi)有風(fēng)險(xiǎn)評(píng)估、沒(méi)有完善的業(yè)務(wù)流程，信息安全管理存在頭痛醫(yī)頭腳痛醫(yī)腳的現(xiàn)象。

3.信息安全系統(tǒng)沒(méi)有應(yīng)急措施

制造型企業(yè)信息安全系統(tǒng)缺少應(yīng)急措施，也可以說(shuō)沒(méi)有自我保護(hù)系統(tǒng)。自我保護(hù)系統(tǒng)是一種比較先進(jìn)的技術(shù)，一旦有病毒侵入系統(tǒng)，系統(tǒng)會(huì)自動(dòng)對(duì)重要信息進(jìn)行加密、封鎖，待系統(tǒng)安全后自動(dòng)解鎖。然而由于對(duì)信息管理的意識(shí)不足，使得很多制造型企業(yè)沒(méi)有建立信息安全自我保護(hù)系統(tǒng)。在我國(guó)，諸多制造型企業(yè)在信息管理方面更多的是依靠員工的經(jīng)驗(yàn)，對(duì)于網(wǎng)絡(luò)自身的保護(hù)信任度不足，也缺少對(duì)信息安全管理技術(shù)發(fā)展的關(guān)注和引用。

四、制造型企業(yè)信息安全管理存在問(wèn)題的對(duì)策

綜上所述，制造型企業(yè)信息安全問(wèn)題是由很多因素造成的，包括管理層的重視方面、技術(shù)方面、人員管理方面等。首要的，企業(yè)應(yīng)提升對(duì)信息安全管理的重視程度，只有加強(qiáng)意識(shí)，并建立有效的信息安全防范措施，才能有效保護(hù)企業(yè)自身的核心競(jìng)爭(zhēng)力，以獲得在市場(chǎng)經(jīng)濟(jì)中更好的發(fā)展。

1.提高企業(yè)內(nèi)部員工的信息安全意識(shí)

很多制造型企業(yè)信息泄露都是內(nèi)部員工無(wú)意間透露出去的，這也是最常見(jiàn)的企業(yè)內(nèi)部信息泄露渠道，企業(yè)應(yīng)充分重視員工的信息安全教育，定期對(duì)企業(yè)內(nèi)部員工進(jìn)行信息安全培訓(xùn)及考核，通過(guò)教育向員工灌輸信息安全的基本知識(shí)和常識(shí)、企業(yè)內(nèi)部信息的重要性、一旦發(fā)生企業(yè)核心技術(shù)泄露將產(chǎn)生的嚴(yán)重后果等信息。加強(qiáng)企業(yè)內(nèi)部員工信息安全意識(shí)，也就是從根本上降低了企業(yè)信息安全隱患，企業(yè)中如果基層員工都非常了解并重視信息安全問(wèn)題，那么這個(gè)企業(yè)在信息安全管理方面必然非常完善有效。

2.建立健全企業(yè)信息安全管理機(jī)制

由于很多制造型企業(yè)缺少健全的信息安全管理機(jī)制，這就給了很多黑客病毒更多的侵入機(jī)會(huì)。一套完善的信息安全管理機(jī)制能夠有效的保護(hù)企業(yè)信息安全，降低安全隱患。制造型企業(yè)應(yīng)該建立健全企業(yè)信息安全管理機(jī)制，設(shè)立專(zhuān)門(mén)的企業(yè)信息安全管理部門(mén)，這樣能最大程度保證信息的日常安全防范，也保證了一旦出現(xiàn)安全問(wèn)題，企業(yè)能更好、更快地解決問(wèn)題，健全的管理機(jī)制能夠?qū)︼L(fēng)險(xiǎn)有一定的預(yù)見(jiàn)性，把風(fēng)險(xiǎn)降到最低。

3.加大對(duì)信息安全管理的資金投入

任何新型技術(shù)都離不開(kāi)資金的投入，信息安全管理同樣也是，而且信息安全管理更多的屬于技術(shù)型投入，對(duì)資金依賴(lài)性更高。制造型企業(yè)想要獲得可持續(xù)發(fā)展，就必須要把目標(biāo)放得更加長(zhǎng)遠(yuǎn)。企業(yè)內(nèi)部信息往往是一個(gè)企業(yè)的核心，因此企業(yè)應(yīng)提高對(duì)信息管理的重視程度，加大對(duì)信息安全系統(tǒng)的投資，把信息安全管理作為企業(yè)管理重要的一部分，信息安全管理資金劃作專(zhuān)項(xiàng)資金專(zhuān)款專(zhuān)用。企業(yè)對(duì)信息安全管理的投資要有計(jì)劃性，確保突況的資金投入、技術(shù)更新的資金投入、管理人員的資金投入、安全教育的資金投入等。把信息安全管理納入企業(yè)整體的發(fā)展規(guī)劃中，這樣才能保證企業(yè)信息更加安全，企業(yè)才能獲得長(zhǎng)足的發(fā)展。

4.加大對(duì)信息安全管理人才的認(rèn)識(shí)

因?yàn)樾畔?duì)企業(yè)生存至關(guān)重要，信息安全甚至?xí)绊懙狡髽I(yè)的發(fā)展戰(zhàn)略的制定和落實(shí)，制造型企業(yè)應(yīng)當(dāng)把信息安全管理與生產(chǎn)經(jīng)營(yíng)提高到同一個(gè)層次。企業(yè)內(nèi)網(wǎng)是網(wǎng)絡(luò)技術(shù)領(lǐng)域，既然是技術(shù)，就離不開(kāi)專(zhuān)業(yè)人才的支持，企業(yè)應(yīng)該加強(qiáng)信息安全管理的人才培養(yǎng)，提高企業(yè)信息安全管理的質(zhì)量。如果企業(yè)內(nèi)部沒(méi)有專(zhuān)業(yè)的信息安全管理人才，企業(yè)可以通過(guò)對(duì)外招聘的形式，在社會(huì)中尋求人才?，F(xiàn)如今互聯(lián)網(wǎng)技術(shù)已經(jīng)逐步走向成熟，計(jì)算機(jī)人才更是越來(lái)越多，所以，制造型企業(yè)在社會(huì)中尋找信息安全管理的人才不會(huì)很難，同時(shí)還能促進(jìn)計(jì)算機(jī)技術(shù)人才就業(yè)，對(duì)于企業(yè)自身以及社會(huì)都有很大意義。

5.加強(qiáng)企業(yè)內(nèi)網(wǎng)管理

一般來(lái)說(shuō)，企業(yè)內(nèi)網(wǎng)系統(tǒng)中的信息很多都屬于商業(yè)機(jī)密，基層員工是無(wú)權(quán)了解的。制造型企業(yè)應(yīng)該把各個(gè)層級(jí)的員工賬號(hào)及內(nèi)網(wǎng)系統(tǒng)中的信息進(jìn)行分類(lèi)管理，按信息等級(jí)設(shè)置不同的訪問(wèn)權(quán)限和防范措施，以免企業(yè)員工在使用內(nèi)網(wǎng)時(shí)網(wǎng)絡(luò)病毒通過(guò)權(quán)限竊取過(guò)多的企業(yè)信息。另外，很多企業(yè)信息泄露都是由于某些員工通過(guò)企業(yè)無(wú)線網(wǎng)連接外網(wǎng)導(dǎo)致企業(yè)系統(tǒng)中毒，針對(duì)此類(lèi)情況企業(yè)要制定相應(yīng)的政策和管理制度，通過(guò)對(duì)硬件的管理和網(wǎng)頁(yè)訪問(wèn)權(quán)限設(shè)置，嚴(yán)禁員工上班時(shí)間通過(guò)移動(dòng)設(shè)備隨意連接外網(wǎng)。

五、結(jié)束語(yǔ)

第3篇：企業(yè)信息安全治理范文

劉保華：美國(guó)2003年推出薩班斯法案以來(lái)，越來(lái)越多的公司開(kāi)始按照這個(gè)法案的要求執(zhí)行。在你看來(lái)，現(xiàn)在

執(zhí)行的總體情況如何？

任家明：在美國(guó)，大公司的IT治理已經(jīng)比較成熟。它們往往有很多年的經(jīng)驗(yàn)，但薩班斯法案的遵從也需要一段適應(yīng)時(shí)間。這些公司一般都從財(cái)務(wù)方面著手，它們可以遵從一個(gè)叫COSO的框架。在《COSO內(nèi)部控制整合框架》中，內(nèi)部控制被定義為 ：由企業(yè)的董事會(huì)、管理層和其他人員參與控制的過(guò)程，旨在為下列目標(biāo)提供合理保證：（1）財(cái)務(wù)報(bào)告的可靠性；（2）經(jīng)營(yíng)的效果和效率；（3）符合適用的法律和法規(guī)?！禖OSO內(nèi)部控制整合框架》把內(nèi)部控制劃分為5個(gè)相互關(guān)聯(lián)的要素，分別是控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、監(jiān)控以及信息與溝通。其中每個(gè)要素均承載3個(gè)目標(biāo)：經(jīng)營(yíng)目標(biāo)、財(cái)務(wù)報(bào)告目標(biāo)和合規(guī)性目標(biāo)。

但是，很多企業(yè)在實(shí)施過(guò)程中發(fā)現(xiàn)，從IT角度看，上述框架用不上。COSO主要是財(cái)務(wù)方面的框架，但是很多公司的管理層都對(duì)一個(gè)問(wèn)題非常頭痛：他們并不懂IT治理。很多CEO從一開(kāi)始就覺(jué)得IT治理不是管理層該管的事，只是IT部門(mén)的事情。這個(gè)問(wèn)題在中國(guó)、日本、美國(guó)都很普遍。

劉保華：我們知道一個(gè)叫Cob的IT框架和薩班斯法案有密切的關(guān)系。你能否介紹一下Cob IT的框架？

任家明：IT治理研究所（以下簡(jiǎn)稱(chēng)ISACA）特別制定了一個(gè)針對(duì)IT的框架――Cob IT。這個(gè)框架在1995年開(kāi)始被企業(yè)采用。在薩班斯法案之后，很多IT或者財(cái)務(wù)方面的人士都知道這個(gè)框架。但是，銀行、保險(xiǎn)、制造業(yè)等企業(yè)要熟悉這一框架，還有一段路要走。

2007年，日本有一個(gè)叫J-sox的法案出臺(tái)。這個(gè)法案和美國(guó)的薩班斯法案非常相似。

劉保華：IT治理很重要的一個(gè)工作就是加強(qiáng)培訓(xùn)。我發(fā)現(xiàn)很多國(guó)際大公司對(duì)培訓(xùn)工作非常重視，IT內(nèi)控治理的需求非常大。目前ISACA在培訓(xùn)方面的工作開(kāi)展得如何？

任家明：薩班斯法案是從美國(guó)開(kāi)始推行的，美國(guó)的經(jīng)驗(yàn)會(huì)影響其他的國(guó)家。歐洲現(xiàn)在有了Euro-sox、日本有了J-sox、韓國(guó)有了K-sox，中國(guó)將來(lái)也可能有類(lèi)似的法律。美國(guó)企業(yè)的做法對(duì)世界其他國(guó)家的影響很大。你如果了解了美國(guó)企業(yè)怎么做，對(duì)于將來(lái)如何較好地應(yīng)對(duì)挑戰(zhàn)，非常有好處。

法規(guī)遵從 中外存異也求同

對(duì)于不同國(guó)家的企業(yè)，IT治理要走不同的道路。在中國(guó)，我們也應(yīng)該走中國(guó)特色的IT治理道路。但是對(duì)于全球IT治理共通性的話題，同樣需要認(rèn)真研究。

劉保華：薩班斯法案推出以后，我們做過(guò)很多報(bào)道。而且，我們發(fā)現(xiàn)這個(gè)法案對(duì)國(guó)內(nèi)企業(yè)的影響非常大。現(xiàn)在該法案推出已經(jīng)近6年了，你覺(jué)得中國(guó)企業(yè)應(yīng)該注意哪些問(wèn)題？

任家明：在美國(guó)，監(jiān)管的工作大同小異。而在中國(guó)，由于不同地域的差別實(shí)在太大，在監(jiān)管方面也出現(xiàn)千差萬(wàn)別的情況。因此你要明白這些差異，才能合理應(yīng)對(duì)。這也是為什么中國(guó)企業(yè)不能照搬很多美國(guó)企業(yè)經(jīng)驗(yàn)的原因。所以,現(xiàn)在很多公司在合規(guī)的時(shí)候，都是找香港公司幫忙。這些公司有美國(guó)和加拿大的經(jīng)驗(yàn)，而且也了解國(guó)內(nèi)的現(xiàn)實(shí)情況。

劉保華：中國(guó)內(nèi)地企業(yè)在做薩班斯法案合規(guī)的時(shí)候，普遍反映沒(méi)有合適的人來(lái)做，怎么辦？

任家明：其實(shí)這是目前IT治理最嚴(yán)重的一個(gè)問(wèn)題。ISACA在香港有超過(guò)3000個(gè)委員，但在內(nèi)地卻只有不到1000個(gè)委員。香港總?cè)丝谥挥?00萬(wàn)人，而內(nèi)地卻有13億。比較一下可以發(fā)現(xiàn)，內(nèi)地的人才缺乏是很?chē)?yán)重的。同時(shí)，現(xiàn)在國(guó)內(nèi)的教育機(jī)構(gòu)也還沒(méi)有來(lái)得及培訓(xùn)出足夠的人才。

我看到深圳、廣州很多公司的監(jiān)管者，他們也想做類(lèi)似美國(guó)薩班斯法案的監(jiān)管，同時(shí)他們也推薦公司的管理層去做類(lèi)似的公司內(nèi)控的評(píng)估，但是他們找不到相應(yīng)的人才，沒(méi)有合適的會(huì)計(jì)師。

就連全球4大會(huì)計(jì)事務(wù)所在中國(guó)也是這樣的情況。他們?cè)谥袊?guó)現(xiàn)在每天都在招人，但苦于找不到足夠的人才。除了會(huì)計(jì)師不夠，咨詢師也不夠。這個(gè)情況和美國(guó)也類(lèi)似。以前美國(guó)也沒(méi)有足夠的人才，他們只有找內(nèi)部的咨詢?nèi)藛T來(lái)做，但后來(lái)慢慢就跟上了。在內(nèi)地找IT治理的咨詢師，同樣很難。

所以要想做好IT治理，一方面需要足夠多的咨詢師，另一方面需要足夠多的會(huì)計(jì)師，兩者缺一不可。至于監(jiān)管框架的制定，有美國(guó)等發(fā)達(dá)國(guó)家的經(jīng)驗(yàn)，制定起來(lái)會(huì)很快。同時(shí)，IT治理關(guān)鍵還是需要國(guó)家來(lái)推進(jìn)。

劉保華：除了人才的問(wèn)題，如何對(duì)IT治理的效果進(jìn)行階段性的評(píng)估，也讓很多企業(yè)非常頭痛。你怎么看這個(gè)問(wèn)題？

任家明：美國(guó)企業(yè)一般有3個(gè)層次的評(píng)判：第一，你有沒(méi)有材料的審閱者；第二，根據(jù)材料模型，按照5個(gè)不同層次的要求將材料整理清楚；第三，把整理出來(lái)的材料，按照要求建立檔案。

信息安全是IT治理的基石

信息安全是一個(gè)系統(tǒng)工程，它和IT治理息息相關(guān)，是IT治理的基石。對(duì)于企業(yè)的CEO和CIO來(lái)說(shuō)，IT治理很重要的工作是通過(guò)IT治理來(lái)保證企業(yè)信息交互的安全可靠。

劉保華：你覺(jué)得一個(gè)比較完善的信息安全的生態(tài)系統(tǒng)和IT治理是什么關(guān)系？

任家明：不同的企業(yè)對(duì)信息安全和IT治理有不同的理解。很多國(guó)內(nèi)的企業(yè)都習(xí)慣從技術(shù)的角度來(lái)考慮信息安全的問(wèn)題。

在香港，很多公司都認(rèn)為信息安全有三寶，首先是反病毒軟件，其次是反間諜入侵軟件，最后是防火墻，認(rèn)為有這三寶就足夠安全了。但是，我們做了測(cè)試后發(fā)現(xiàn)，有了這三樣以后，仍然存在大量的信息安全漏洞。其實(shí)，一個(gè)完整的信息安全系統(tǒng)需要很多其他的東西，比如人才、流程等等，技術(shù)只是其中的一個(gè)工具而已。

比如，SAP、Oracle等公司都已經(jīng)有了一些很成熟的ERP軟件，它們?cè)谛畔踩矫嬉部紤]了很多。但是，公司如何根據(jù)自己的情況來(lái)進(jìn)行安全部署，仍然是一個(gè)很大的問(wèn)題。

劉保華：我們都是在一個(gè)開(kāi)放的空間運(yùn)作企業(yè)。為了應(yīng)對(duì)開(kāi)發(fā)環(huán)境的安全挑戰(zhàn)，現(xiàn)在很多IT解決方案提供商都提出了自己的方案，比如微軟提出“縱深防御體系”，賽門(mén)鐵克提出“端到端的防御”。你怎么看上述情況？從IT治理的角度，如何保證上述環(huán)境的信息安全？

任家明：如何控制風(fēng)險(xiǎn)，其實(shí)并不是太難的事情。使用有線網(wǎng)絡(luò)的時(shí)候，我們可以順著網(wǎng)絡(luò)線來(lái)找問(wèn)題，而現(xiàn)在員工都用無(wú)線網(wǎng)絡(luò)，安全的復(fù)雜性又增加了。

英國(guó)前不久做了調(diào)查，很多英國(guó)公司員工的IT賬戶和密碼都可以很輕易地通過(guò)公司IT內(nèi)部的無(wú)線網(wǎng)絡(luò)獲得。當(dāng)公司主管通過(guò)無(wú)線網(wǎng)絡(luò)傳遞一些涉及公司秘密的信息時(shí)，就存在很大的安全風(fēng)險(xiǎn)。

這些問(wèn)題其實(shí)在全球的公司中都存在。解決問(wèn)題的關(guān)鍵在于要找一個(gè)專(zhuān)業(yè)的機(jī)構(gòu)對(duì)公司的IT系統(tǒng)做一個(gè)風(fēng)險(xiǎn)的評(píng)估。有了這個(gè)評(píng)估之后，公司主管就知道問(wèn)題所在，從而制定相應(yīng)的解決方案，并把最重要的資源用來(lái)解決最重要的問(wèn)題。

IT治理人才現(xiàn)在將來(lái)會(huì)很貴

根據(jù)ISACA的統(tǒng)計(jì)，能夠幫助公司進(jìn)行法規(guī)遵從的人才全球大概不到5萬(wàn)人，而全球的需求目前已經(jīng)達(dá)到20萬(wàn)人，而且這個(gè)數(shù)字會(huì)隨著越來(lái)越多的國(guó)家在IT治理方面的立法和公司對(duì)IT治理的重視而提高。

劉保華：一個(gè)企業(yè)如果要進(jìn)行IT治理花費(fèi)很高。我聽(tīng)說(shuō)現(xiàn)在中國(guó)在IT治理上的成本要高于美國(guó)，是嗎？

任家明：企業(yè)在中國(guó)做合規(guī)所要花的錢(qián)，現(xiàn)在的確要比美國(guó)多。因?yàn)樵诿绹?guó)有很多相關(guān)的人才，而在中國(guó)，懂英語(yǔ)（很多材料都是英文的）、懂財(cái)務(wù)、懂IT等等知識(shí)的復(fù)合型人才非常少，所以很貴。

將來(lái)，如果中國(guó)有類(lèi)似薩班斯法案的法規(guī)出臺(tái)的話，這類(lèi)人才的薪酬一定會(huì)飆升得很快。所以我經(jīng)常跟我的朋友講，如果你想賺錢(qián)，多學(xué)一點(diǎn)IT治理的知識(shí)是一定有用的。我認(rèn)為中國(guó)雖然現(xiàn)在沒(méi)有類(lèi)似的監(jiān)管法規(guī)出臺(tái)，但隨著中國(guó)資本市場(chǎng)的成熟，隨著中國(guó)市場(chǎng)和世界市場(chǎng)的日益接軌，3到5年之后，中國(guó)應(yīng)該會(huì)有類(lèi)似的法案出臺(tái)。

劉保華：關(guān)于ISACA在中國(guó)的發(fā)展你們現(xiàn)在有什么具體的計(jì)劃？你們?nèi)绾闻c國(guó)內(nèi)的大學(xué)進(jìn)行合作，并把IT治理融入到大學(xué)的課程中。如何把美國(guó)的課程較好地引入到中國(guó)來(lái)，從而使其更加符合中國(guó)的國(guó)情？

任家明：ISACA目前在中國(guó)已經(jīng)有三個(gè)分會(huì)，分別在中國(guó)的香港、臺(tái)灣和澳門(mén)，但在中國(guó)內(nèi)地還沒(méi)有分會(huì)。將來(lái)我們會(huì)從幾個(gè)方面來(lái)推動(dòng)ISACA的發(fā)展。我們注意到，中國(guó)企業(yè)最需要的是最新的信息，但是目前的情況是信息太多，多到它們根本沒(méi)有足夠的時(shí)間去看這些信息。另外，這些信息全都是英文的，也影響了國(guó)內(nèi)企業(yè)的閱讀吸收。

所以我們有兩方面的工作要做。一方面，我們會(huì)利用香港的資源，把香港的經(jīng)驗(yàn)引入內(nèi)地，我們首先會(huì)制作中文網(wǎng)站，內(nèi)容也更符合國(guó)內(nèi)市場(chǎng)；另一方面，我們也會(huì)在內(nèi)地尋找合作伙伴和顧問(wèn)。

我們有很多很好的標(biāo)準(zhǔn)、框架、白皮書(shū)、文案等資料，這些都是非常好的內(nèi)容，中國(guó)相應(yīng)的工作人員都是需要的。我們現(xiàn)在正在把這些資料翻譯成中文。

目前，我們現(xiàn)在有三個(gè)不同的認(rèn)證，第一個(gè)是CISA，是一個(gè)IT審計(jì)員的認(rèn)證；第二個(gè)是CISN，是一個(gè)公司信息安全的認(rèn)證；第三個(gè)是IT管制的認(rèn)證，我們才剛剛開(kāi)始做。目前全國(guó)只有100人符合這個(gè)認(rèn)證的要求，而前兩個(gè)已經(jīng)有超過(guò)千人獲得了。

記者手記：將IT治理化為企業(yè)的核心競(jìng)爭(zhēng)力

今天，IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的重要組成部分，其作用和影響力已從單一的業(yè)務(wù)部門(mén)擴(kuò)散到企業(yè)與組織的每一個(gè)領(lǐng)域。在IT系統(tǒng)給企業(yè)帶來(lái)活力、利潤(rùn)和競(jìng)爭(zhēng)力的同時(shí)，也給企業(yè)增加了因此而帶來(lái)的風(fēng)險(xiǎn)――日益依賴(lài)IT系統(tǒng)的企業(yè)面臨著因IT系統(tǒng)故障導(dǎo)致的業(yè)務(wù)災(zāi)難。如何最大限度地降低IT對(duì)業(yè)務(wù)的負(fù)面影響，IT系統(tǒng)如何充分為企業(yè)戰(zhàn)略目標(biāo)服務(wù)，如何獲得IT價(jià)值最大化，這是每個(gè)企業(yè)都必須直接面對(duì)的問(wèn)題。

隨著眾多安全法規(guī)的不斷推出，越來(lái)越多的企業(yè)開(kāi)始關(guān)注法規(guī)遵從與企業(yè)信息安全的關(guān)系。與此同時(shí)，利用IT治理與安全架構(gòu)，企業(yè)可以在很大程度上防御IT帶來(lái)的信息安全風(fēng)險(xiǎn)。

信息安全架構(gòu)與IT治理密不可分。假如把信息安全治理比作指引組織進(jìn)行安全項(xiàng)目的路標(biāo)，那么安全架構(gòu)和設(shè)計(jì)便是組織通往信息安全這個(gè)目標(biāo)所用的交通工具的基本結(jié)構(gòu)。沒(méi)有了信息安全架構(gòu)，IT治理根本無(wú)從談起。

第4篇：企業(yè)信息安全治理范文

 

1 綜合治理信息安全的戰(zhàn)略背景

 

IT管理技術(shù)發(fā)展歷程，從被動(dòng)管理轉(zhuǎn)向主動(dòng)管理，從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價(jià)值。在科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn)：諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標(biāo)準(zhǔn);ISO20000ITIL 的國(guó)際標(biāo)準(zhǔn); COBIT面向IT審計(jì)的IT管理標(biāo)準(zhǔn);COSO企業(yè)內(nèi)部控制框架，面向內(nèi)部控制;ISO17799：信息安全管理國(guó)際標(biāo)準(zhǔn)。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考，其中非常有名的就是ISO/IEC27000系列標(biāo)準(zhǔn)。ISO/IEC 27001通過(guò)PDCA過(guò)程，指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系。

 

目前企業(yè)IT運(yùn)維管理現(xiàn)狀。需求變化：IT本身快速變更;管理目標(biāo)多角度變換并存。資源不足：IT 復(fù)雜性成長(zhǎng)快于人員成長(zhǎng);IT 人員持續(xù)流動(dòng)。業(yè)務(wù)影響：難以判斷事件對(duì)業(yè)務(wù)的影響和處理事件的優(yōu)先級(jí)。信息孤島：IT 資源多樣性的，不能進(jìn)行事件的關(guān)聯(lián)分析，缺少統(tǒng)一的健康視圖。IT網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維存在監(jiān)測(cè)盲點(diǎn)，缺少主動(dòng)預(yù)警和事件分析機(jī)制。

 

如何把此項(xiàng)復(fù)雜的工程進(jìn)行細(xì)化與落地，建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員、系統(tǒng)等)等的前提下，IT運(yùn)營(yíng)面臨嚴(yán)峻的挑戰(zhàn)，企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開(kāi)發(fā)能力，在很大程度上依賴(lài)于產(chǎn)品開(kāi)發(fā)商的支持，為此，要想實(shí)現(xiàn)從混亂到清晰、從被動(dòng)到主動(dòng)、從應(yīng)付到實(shí)現(xiàn)價(jià)值取向的服務(wù)思想，自主加外包的混合運(yùn)維方式無(wú)疑是一種好的服務(wù)方式。

 

2 建立和實(shí)施信息安全保障體系思路和方法

 

針對(duì)IT管理問(wèn)題和價(jià)值取向的服務(wù)方式，借鑒PDCA工作循環(huán)原理和標(biāo)準(zhǔn)化體系建設(shè)方法，從建立安全目標(biāo)和組織體系、制度體系和技術(shù)體系等三個(gè)主要層面構(gòu)建實(shí)施信息安全保障體系，以規(guī)范引導(dǎo)人、以標(biāo)準(zhǔn)流程引導(dǎo)人，以業(yè)績(jī)激勵(lì)人，從而促被動(dòng)變主動(dòng)，堅(jiān)持持續(xù)改善，促進(jìn)工作效率，促進(jìn)安全保障。

 

2.1 建立和推行目標(biāo)管理

 

體系建設(shè)應(yīng)以目標(biāo)管理為先導(dǎo)、循序漸進(jìn)，按頂層布局、中層發(fā)力、底層推動(dòng)內(nèi)容設(shè)計(jì)與構(gòu)建，為此，借鑒當(dāng)前IT運(yùn)維管理目標(biāo)演進(jìn)方式，確立各階段建設(shè)目標(biāo)。

 

基礎(chǔ)架構(gòu)建設(shè)階段(SMB)，手工維護(hù)階段。主要實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)。

 

網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段，重視自動(dòng)化監(jiān)控階段。主要實(shí)現(xiàn)IT設(shè)備維護(hù)和管理。

 

IT服務(wù)管理(ITSM)階段，重視流程管理階段。主要實(shí)現(xiàn)IT服務(wù)流程管理。

 

業(yè)務(wù)服務(wù)管理(BSM)階段，重視用戶服務(wù)質(zhì)量與滿意度。主要實(shí)現(xiàn)IT與業(yè)務(wù)融合管理。

 

從IT投入和業(yè)務(wù)價(jià)值來(lái)看，前三個(gè)階段是間接業(yè)務(wù)價(jià)值，第四階段才是直接業(yè)務(wù)價(jià)值。

 

根據(jù)ITIL這個(gè)IT服務(wù)管理的方法論，先是搭建一個(gè)框架，借用工具的配合促進(jìn)落地。如圖1、IT運(yùn)維管理系統(tǒng)參考模型。

 

從安全目標(biāo)出發(fā)，結(jié)合IT運(yùn)維管理系統(tǒng)參考模型，每個(gè)階段的工作向著實(shí)現(xiàn)直接業(yè)務(wù)價(jià)值，不斷消除或減輕對(duì)性能的約束，促進(jìn)IT產(chǎn)品或服務(wù)滿足確定的規(guī)范，實(shí)現(xiàn)企業(yè)效益最大化。服務(wù)好用屬性通過(guò)最終的績(jī)效和檢驗(yàn)結(jié)果監(jiān)視測(cè)量?jī)r(jià)值成分。如圖2。

 

2.2 規(guī)劃融合信息安全保障體系

 

通過(guò)從組織體系、制度體系、技術(shù)體系層面建立和實(shí)施縱深防御體系，實(shí)現(xiàn)穩(wěn)健的信息安全保障狀態(tài)。

 

①組織體系：通過(guò)企業(yè)中高層的支持實(shí)現(xiàn)業(yè)務(wù)驅(qū)動(dòng)和共同推動(dòng)信息安全體系建設(shè)。當(dāng)然，需要提出的問(wèn)題，組織有可能要依賴(lài)長(zhǎng)期可靠的合作伙伴：通過(guò)長(zhǎng)期可靠的合作關(guān)系，快速引進(jìn)外部專(zhuān)業(yè)資源和先進(jìn)技術(shù)，可以幫助企業(yè)推動(dòng)信息安全建設(shè)工作。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求，企業(yè)實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn)，組織應(yīng)做到定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)，通過(guò)相關(guān)審核，證明組織具備實(shí)施體系的意識(shí)和能力。

 

②制度體系：企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維系統(tǒng)建設(shè)的范圍包括機(jī)房安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、服務(wù)器安全、業(yè)務(wù)應(yīng)用安全、終端安全等。為此，企業(yè)應(yīng)明確內(nèi)部運(yùn)維和外部協(xié)同的內(nèi)容及其標(biāo)準(zhǔn)規(guī)范，包括績(jī)效標(biāo)準(zhǔn)。建立實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn)，首先把高效的信息安全做法固化下來(lái)形成規(guī)則制度或標(biāo)準(zhǔn)，成為組織中信息安全行為準(zhǔn)則。保證事前預(yù)防、事中監(jiān)控和事后審計(jì)等安全措施的得到有效執(zhí)行與落實(shí)。

 

③技術(shù)體系：一般來(lái)說(shuō)，網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來(lái)部署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、物理安全六個(gè)方面來(lái)選擇不同的安全工具。按照“適度防御”原則，綜合采用各種安全工具進(jìn)行組合，形成企業(yè)“適用的”安全技術(shù)防線。適時(shí)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。

 

其中，需要采用1～2種綜合管理的工具來(lái)幫助把所有的安全監(jiān)控工具進(jìn)行統(tǒng)一管控。例如SOC是給企業(yè)日常維護(hù)管理者使用，ITRM作為綜合風(fēng)險(xiǎn)呈現(xiàn)，是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用。

 

④體系運(yùn)行和監(jiān)控：體系的日常運(yùn)行和監(jiān)控就是從信息的生命周期進(jìn)行流程控制，即在信息的創(chuàng)建、使用、存儲(chǔ)、傳遞、更改、銷(xiāo)毀等各個(gè)階段進(jìn)行安全控制。之前不能忽視在信息創(chuàng)建開(kāi)發(fā)安全階段的一個(gè)細(xì)化控制手段。在運(yùn)行體系建設(shè)中，往往需要結(jié)合流程分析來(lái)關(guān)注信息的生命周期安全。運(yùn)行過(guò)程中還有一個(gè)應(yīng)急管理，包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持。特別是BS25999標(biāo)準(zhǔn)的頒布，給如何建立一套完善的應(yīng)急體系提供了參考。

 

3 企業(yè)建立和實(shí)施信息安全保障體系實(shí)踐

 

面對(duì)網(wǎng)絡(luò)系統(tǒng)互連，網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個(gè)復(fù)雜而且浩大的工程，井岡山卷煙廠不僅依靠個(gè)體分散的技術(shù)措施或者管理防護(hù)，而且結(jié)合國(guó)家、社會(huì)和個(gè)人的力量構(gòu)建綜合保障體系。

 

①依據(jù)ISO9000、ISO14000和OHSAS18000標(biāo)準(zhǔn)，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)，參考當(dāng)前科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn)，結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)等，識(shí)別這些與信息安全相關(guān)的法律法規(guī)及其它要求，將信息安全保障體系(框架)融合到企業(yè)質(zhì)量、環(huán)境和職業(yè)健康安全(以下簡(jiǎn)稱(chēng)為三標(biāo))綜合管理體系。

 

②確定信息安全管理目標(biāo)并分步實(shí)施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開(kāi)始，企業(yè)對(duì)照YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)要求，在梳理和評(píng)價(jià)2000年以來(lái)企業(yè)多個(gè)企業(yè)信息化三年實(shí)施規(guī)劃實(shí)踐環(huán)境以后，制訂了新的三年信息安全管理目標(biāo)和建設(shè)規(guī)劃，將目標(biāo)和規(guī)劃分解到各年度實(shí)施，并納入到企業(yè)年度三標(biāo)綜合管理體系建設(shè)目標(biāo)和管理績(jī)效考核。

 

③建立信息安全管理組織和工作標(biāo)準(zhǔn)，同時(shí)納入三標(biāo)綜合管理體系管理考核。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化，實(shí)現(xiàn)企業(yè)的物資(服務(wù))流、資金流和信息流的一體化，及時(shí)、準(zhǔn)確和完整地傳遞企業(yè)的經(jīng)營(yíng)數(shù)據(jù)，保證企業(yè)的經(jīng)營(yíng)管理。利用信息化改進(jìn)管理，形成企業(yè)信息安全文化，促進(jìn)員工接受、理解和主動(dòng)配合，不斷提升全員的信息安全意識(shí)和技能，從而使信息安全管理真正落到實(shí)處。

 

④建立和實(shí)施信息安全保障體系文件標(biāo)準(zhǔn)。根據(jù)國(guó)家信息安全相關(guān)的法律法規(guī)及其它要求，結(jié)合行業(yè)和企業(yè)的特點(diǎn)和發(fā)展趨勢(shì)，規(guī)范管理流程和模式。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長(zhǎng)遠(yuǎn)、分步實(shí)施、突出重點(diǎn)”，做到“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)、統(tǒng)一編碼”，同步實(shí)施信息系統(tǒng)等級(jí)保護(hù)制度，促進(jìn)企業(yè)與信息系統(tǒng)項(xiàng)目合作單位、地方通訊和公安等部門(mén)的社會(huì)化合作主要方式。企業(yè)內(nèi)部各項(xiàng)工作實(shí)現(xiàn)規(guī)范化、信息化，做到一切工作都按照程序辦，同時(shí)，事事處于相互制衡的環(huán)境之下、人人處于監(jiān)督管理之中，從而形成職責(zé)明確、運(yùn)轉(zhuǎn)協(xié)調(diào)、相互制衡的工作機(jī)制，為企業(yè)內(nèi)部信息安全監(jiān)管提供強(qiáng)有力的保障。

 

幾年來(lái)，企業(yè)堅(jiān)持企業(yè)信息安全方針目標(biāo)，以迅速響應(yīng)服務(wù)為宗旨。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學(xué)、規(guī)范、和諧、統(tǒng)一、開(kāi)放的管理體系，全面融入了質(zhì)量、安全和環(huán)境管理體系一體化建設(shè)和實(shí)踐，截止到2015年底，企業(yè)共梳理建立或整合并實(shí)施安全保障類(lèi)文件包括企業(yè)管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和工作標(biāo)準(zhǔn)共計(jì)31個(gè)標(biāo)準(zhǔn)文件。通過(guò)創(chuàng)新與改善和體系審核、管理評(píng)審和提高文件執(zhí)行率及持續(xù)改進(jìn)方式保持了信息安全保障管理體系的持續(xù)改進(jìn)和有效運(yùn)行。

第5篇：企業(yè)信息安全治理范文

上海信息化培訓(xùn)中心（以下簡(jiǎn)稱(chēng)“中心”）在上海市信息中心培訓(xùn)部的基礎(chǔ)上組建，于1998年正式掛牌成立。作為政府序列信息化促進(jìn)機(jī)構(gòu)，中心通過(guò)提供信息化管理和技術(shù)方面的培訓(xùn)，開(kāi)拓信息化人才資源培訓(xùn)服務(wù)。

中心專(zhuān)精于中國(guó)IT治理和管理專(zhuān)業(yè)領(lǐng)域，15年來(lái)在推動(dòng)中國(guó)信息化管理進(jìn)程中具有舉足輕重的作用。由中心自2005年發(fā)起的Future-S中國(guó)管理論壇也逐步造就了具備專(zhuān)業(yè)影響力的IT管理生態(tài)圈和價(jià)值鏈，受到業(yè)界高度肯定。

寰球同步，多層面課程打造高通過(guò)率

20世紀(jì)90年代末，隨著信息化技術(shù)的大面積鋪開(kāi)，IT培訓(xùn)也逐步為人所知。但早期信息化教育以企業(yè)內(nèi)部電腦使用的普及性培訓(xùn)為主，缺乏理論深度，培訓(xùn)范圍較小，對(duì)象也較為單一。

2002年，上海信息化培訓(xùn)中心開(kāi)始在IT管理培訓(xùn)領(lǐng)域起步，與全球接軌和專(zhuān)精國(guó)際IT管理成為其兩大特色。中心運(yùn)用國(guó)際最新理念組建起優(yōu)秀的講師團(tuán)隊(duì)，全面整合IT管理中的技術(shù)、人力、財(cái)務(wù)流程，開(kāi)發(fā)出最佳實(shí)踐創(chuàng)新課程，打造起獨(dú)有的IT治理和管理培訓(xùn)領(lǐng)導(dǎo)品牌。

憑借深厚的信息化管理知識(shí)積累，以及對(duì)先進(jìn)IT管理經(jīng)驗(yàn)的敏銳感知度，中心以世界級(jí)的IT服務(wù)管理和信息安全管理理念、最佳實(shí)踐和國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)，構(gòu)建并實(shí)際運(yùn)行著全套IT管理培訓(xùn)體系，開(kāi)創(chuàng)了多項(xiàng)國(guó)內(nèi)第一。其中比較典型的包括：自2002年起首家引入ITIL國(guó)際認(rèn)證培訓(xùn)；自2006年起首家舉辦COBIT4治理課程（2012年12月首家舉辦COBIT5公司IT治理課程）；自2007年起首家舉辦PRINCE2項(xiàng)目管理課程；自2012年開(kāi)始舉辦TOGAF企業(yè)架構(gòu)課程。培訓(xùn)課程涵蓋IT治理和管理的五大系列――IT服務(wù)管理、信息安全管理、IT項(xiàng)目管理、IT治理架構(gòu)、業(yè)務(wù)持續(xù)性管理，以及三個(gè)層面――戰(zhàn)略層面的高級(jí)管理課程、戰(zhàn)術(shù)層面的實(shí)施課程、日常層面的基礎(chǔ)課程。IT組織及IT經(jīng)理可根據(jù)不同的職業(yè)發(fā)展目標(biāo)和階段，選擇不同的學(xué)習(xí)路徑。并且，中心培訓(xùn)認(rèn)證考試通過(guò)率遠(yuǎn)超國(guó)際和國(guó)內(nèi)平均水平。

由于在IT治理和管理領(lǐng)域的豐富經(jīng)驗(yàn)，中心獲得了大量企業(yè)高管和團(tuán)隊(duì)的青睞，客戶遍布中國(guó)工商銀行、中國(guó)太保、IBM、英特爾、聯(lián)想、索尼、美國(guó)強(qiáng)生、上海貝爾、中興等跨領(lǐng)域公司，并逐漸成為這些企業(yè)的長(zhǎng)期合作伙伴。

分享理念，以職業(yè)價(jià)值匯聚精英人才

信息是企業(yè)經(jīng)營(yíng)中極為重要的資產(chǎn)，它貫穿并支持著整個(gè)經(jīng)營(yíng)活動(dòng)，從一般交易到公司合并，從大型項(xiàng)目到員工資料都會(huì)產(chǎn)生海量信息。如果沒(méi)有良好的管理體制，僅供組織內(nèi)部使用的敏感信息極易泄漏，并產(chǎn)生難以預(yù)測(cè)的后果。同時(shí)，混亂的信息管理還會(huì)導(dǎo)致與客戶交流不暢，甚至遺漏商機(jī)。而這就是企業(yè)需要IT管理人才的原因。

上海信息化培訓(xùn)中心為IT經(jīng)理人及團(tuán)隊(duì)提供國(guó)際化的IT管理專(zhuān)業(yè)培訓(xùn)，無(wú)論對(duì)企業(yè)成長(zhǎng)抑或個(gè)人發(fā)展都有極大的幫助。對(duì)于跨國(guó)公司在華分支機(jī)構(gòu)而言，了解公司總部IT管理理念對(duì)于子公司的管理體制和公司文化具有很好的指導(dǎo)作用。而對(duì)于本土企業(yè)團(tuán)隊(duì)，了解國(guó)際發(fā)展趨勢(shì)，無(wú)疑更能跟上世界的發(fā)展，對(duì)開(kāi)展跨國(guó)業(yè)務(wù)也有良好的接軌作用。而對(duì)于職業(yè)經(jīng)理人個(gè)人成長(zhǎng)來(lái)說(shuō)，通過(guò)國(guó)際IT管理認(rèn)證是個(gè)人職業(yè)價(jià)值的有力體現(xiàn)，是不斷自我知識(shí)更新的一種途徑，能有效幫助個(gè)人加快職業(yè)發(fā)展速度。

中心課程體系完善，以分享的理念為學(xué)員介紹IT組織管理的兩大核心議題，即IT服務(wù)管理和信息安全管理。課程能有效幫助企業(yè)IT管理者在最短時(shí)間內(nèi)掌握管理標(biāo)準(zhǔn)、方法與流程，充分發(fā)揮后發(fā)優(yōu)勢(shì)解決現(xiàn)實(shí)問(wèn)題。同時(shí)，中心還通過(guò)多種形式的系列活動(dòng)――如Future-S中國(guó)IT管理論壇、IT管理沙龍、講座等――分享IT管理國(guó)際最佳實(shí)踐成功經(jīng)驗(yàn)和案例。

Future-S，找到IT治理最佳領(lǐng)軍人物

2004年，在與學(xué)員的交流中，中心發(fā)現(xiàn)無(wú)論是企業(yè)還是個(gè)人，都希望獲得一個(gè)自由交流和相互促進(jìn)的平臺(tái)。于是，2005年1月Future-S中國(guó)管理論壇應(yīng)運(yùn)而生。通過(guò)與國(guó)際國(guó)內(nèi)眾多知名專(zhuān)業(yè)機(jī)構(gòu)合作，中心成功舉辦25站30多場(chǎng)Future-S大型峰會(huì)、講座、管理沙龍、經(jīng)濟(jì)專(zhuān)家講壇，并在上海、北京、深圳、廣州、蘇州等中心城市持續(xù)舉辦系列活動(dòng)，使Future-S逐步成為具備專(zhuān)業(yè)影響力的高端管理平臺(tái)之一。

第6篇：企業(yè)信息安全治理范文

【關(guān)鍵詞】 IT治理；IT內(nèi)部控制；對(duì)策研究

2008年6月，堪稱(chēng)我國(guó)SOX法案的《企業(yè)內(nèi)部控制基本規(guī)范》正式出臺(tái)；2010年，《企業(yè)內(nèi)部控制配套指引》全面推出，我國(guó)企業(yè)內(nèi)部控制規(guī)范體系正式形成，對(duì)內(nèi)部控制的重視達(dá)到了前所未有的高度。而探討企業(yè)內(nèi)部控制就必須注意到，隨著IT應(yīng)用的逐步深入，企業(yè)的日常運(yùn)營(yíng)越來(lái)越依賴(lài)于IT系統(tǒng)的支撐。IT的發(fā)展在給企業(yè)帶來(lái)收益的同時(shí)，也給企業(yè)帶來(lái)了越來(lái)越大的風(fēng)險(xiǎn)。沒(méi)有正確的IT治理機(jī)制，就無(wú)法確保IT決策的正確性，無(wú)法控制信息化進(jìn)程給企業(yè)帶來(lái)的各種風(fēng)險(xiǎn)。而我國(guó)企業(yè)目前仍處于IT內(nèi)控與風(fēng)險(xiǎn)管理的萌芽期，在基于IT治理的IT內(nèi)部控制制度建設(shè)方面較為薄弱，文章主要針對(duì)此問(wèn)題提出一些對(duì)策。

一、IT治理與IT內(nèi)部控制的相關(guān)概念

（一）IT治理

關(guān)于IT治理的概念，不同學(xué)者有著不同的定義，以下為有代表性的幾種：

ISACA（信息系統(tǒng)審計(jì)和控制協(xié)會(huì)）定義IT治理是一個(gè)由關(guān)系和過(guò)程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過(guò)平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。價(jià)值、風(fēng)險(xiǎn)與控制是IT治理的核心 ；

全球IT治理協(xié)會(huì)（ITGI）認(rèn)為IT治理主要是董事會(huì)和執(zhí)行層的責(zé)任，是企業(yè)治理的重要組成部分，通過(guò)領(lǐng)導(dǎo)、組織和過(guò)程來(lái)保證IT實(shí)現(xiàn)和推動(dòng)企業(yè)戰(zhàn)略目標(biāo)的發(fā)展；

Robert S . Roussey （美國(guó)南加州大學(xué)教授）認(rèn)為：IT治理用于描述被委托治理實(shí)體的人員在監(jiān)督、檢查、控制和指導(dǎo)實(shí)體的過(guò)程中如何看待信息技術(shù)。IT的應(yīng)用對(duì)于企業(yè)能否實(shí)現(xiàn)愿景、使命、戰(zhàn)略目標(biāo)至關(guān)重要 ；

Peter Weill 認(rèn)為IT治理是在IT應(yīng)用過(guò)程中，為鼓勵(lì)期望行為而明確的IT決策權(quán)和責(zé)任框架 ；

Gartner集團(tuán)（著名IT分析公司）認(rèn)為，IT治理是一種新的商業(yè)范式。這種新范式的形成是由戰(zhàn)略競(jìng)爭(zhēng)力、全球化、業(yè)務(wù)流程共享網(wǎng)絡(luò)和實(shí)時(shí)性的企業(yè)新需求所驅(qū)動(dòng)的；

德勤咨詢公司認(rèn)為IT治理是一個(gè)含義廣泛的術(shù)語(yǔ)，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問(wèn)題；

國(guó)內(nèi)學(xué)者胡克瑾（同濟(jì)大學(xué)博士生導(dǎo)師）認(rèn)為：IT治理是一個(gè)關(guān)系和過(guò)程的結(jié)構(gòu)，用來(lái)指導(dǎo)和控制企業(yè)，通過(guò)平衡在IT及其過(guò)程中的風(fēng)險(xiǎn)和回報(bào)來(lái)增加企業(yè)價(jià)值從而達(dá)到企業(yè)的目標(biāo)。

（二）IT治理的相關(guān)標(biāo)準(zhǔn)

目前在IT治理領(lǐng)域公認(rèn)的國(guó)際標(biāo)準(zhǔn)主要有以下幾種：

1.COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）模型。它是ISACA制定的面向過(guò)程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)，是基于IT治理概念的、面向IT建設(shè)過(guò)程的IT治理實(shí)現(xiàn)指南和審計(jì)標(biāo)準(zhǔn)。其側(cè)重點(diǎn)在于IT過(guò)程控制和IT度量評(píng)價(jià)，從戰(zhàn)略、戰(zhàn)術(shù)、運(yùn)營(yíng)層面給出了對(duì)IT的評(píng)測(cè)、量度和審計(jì)方法，它的應(yīng)用較為廣泛，其目標(biāo)對(duì)象是信息系統(tǒng)審計(jì)人員，企業(yè)高級(jí)IT管理人員。

2.ITIL（IT基礎(chǔ)架構(gòu)庫(kù)）。ITIL是一套IT管理指南，列出了各個(gè)服務(wù)管理流程“最佳”的目標(biāo)、活動(dòng)、輸入和輸出以及各個(gè)流程之間的關(guān)系，主要關(guān)注IT的戰(zhàn)術(shù)和運(yùn)營(yíng)層面，對(duì)IT服務(wù)的提供和支持定義了更為詳細(xì)和更易理解的過(guò)程集。

3.ISO/IEC 17799/27001，是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施，保障組織的信息安全，側(cè)重于強(qiáng)調(diào)信息安全管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開(kāi)放性，涵蓋內(nèi)容非常廣泛。

4.COSO委員會(huì)《企業(yè)風(fēng)險(xiǎn)管理――整合框架》和SOX法案（《2002年薩班斯-奧克斯利法案》）。前者是美國(guó)COSO委員會(huì)提出的內(nèi)部控制理論框架和操作框架，關(guān)注企業(yè)風(fēng)險(xiǎn)管理。從IT角度看，該框架關(guān)于IT對(duì)內(nèi)部控制影響的規(guī)范主要體現(xiàn)在“控制活動(dòng)”和“信息與溝通”要素中。后者對(duì)企業(yè)的公司治理、IT治理和IT控制提出了更嚴(yán)格的要求。

此外還有PRINCE2（受控環(huán)境下的項(xiàng)目）、CMM1（能力成熟度集成模型）和PMPOK等。PRINCE2重點(diǎn)強(qiáng)調(diào)項(xiàng)目的可控性，明確項(xiàng)目管理中人員、角色的具體職責(zé)，同時(shí)實(shí)現(xiàn)項(xiàng)目管理質(zhì)量的不斷改進(jìn)。CMM1是一種用于評(píng)價(jià)軟件組織能力并幫助改善軟件質(zhì)量的方法，已經(jīng)成為評(píng)價(jià)軟件組織開(kāi)發(fā)過(guò)程的標(biāo)準(zhǔn)，成為軟件組織過(guò)程改進(jìn)的參考依據(jù)。PMPOK主要適用于所有類(lèi)型的工程項(xiàng)目管理。這些模型從不同的角度對(duì)IT治理進(jìn)行了規(guī)范。

（三）IT內(nèi)部控制

當(dāng)前對(duì)IT控制并沒(méi)有較為權(quán)威和統(tǒng)一的定義，處于不同角度（例如外部審計(jì)人員和企業(yè)管理人員）對(duì)IT控制有著不同的理解，對(duì)其應(yīng)當(dāng)包含的內(nèi)容和控制目標(biāo)等的認(rèn)識(shí)也不盡相同。總體來(lái)說(shuō)，早期的IT控制概念來(lái)源于審計(jì)領(lǐng)域的EDP（電子數(shù)據(jù)處理系統(tǒng)）控制，主要指的是EDP環(huán)境下的會(huì)計(jì)控制，包括一般控制和應(yīng)用控制兩個(gè)類(lèi)別。其目標(biāo)主要是為保證計(jì)算機(jī)系統(tǒng)處理的數(shù)據(jù)質(zhì)量。這種控制包含兩個(gè)層面：一是對(duì)信息系統(tǒng)處理數(shù)據(jù)的控制；二是在信息系統(tǒng)中設(shè)計(jì)某些內(nèi)部控制措施。隨著IT在企業(yè)中的應(yīng)用越來(lái)越普及，IT控制的概念也逐漸變得更為寬泛，包括了IT在企業(yè)中多種形式的應(yīng)用，IT控制包含的范圍已超過(guò)了EDP控制對(duì)會(huì)計(jì)信息質(zhì)量目標(biāo)的單純追求，是由期望達(dá)到的（IT控制目標(biāo)）和達(dá)到這些目標(biāo)的方法（控制程序）構(gòu)成，有效的IT控制設(shè)計(jì)與實(shí)施指明了一個(gè)組織將IT條件下的風(fēng)險(xiǎn)降至可接受水平的途徑（孟秀轉(zhuǎn)，2007），IT控制實(shí)質(zhì)上是企業(yè)運(yùn)作過(guò)程中涉及IT這部分資產(chǎn)的購(gòu)入、使用及維護(hù)等不同階段的相關(guān)內(nèi)部控制過(guò)程（余瑾，2006）。

從上述概念中可以看出，對(duì)IT治理不管用何種界定，其內(nèi)容都包括通過(guò)有關(guān)責(zé)任與權(quán)利的劃分對(duì)企業(yè)戰(zhàn)略起到支持作用，從而確保企業(yè)價(jià)值最大化的目標(biāo)。IT控制則是在現(xiàn)有的IT治理環(huán)境下企業(yè)所采取的一列政策、程序和措施的總稱(chēng) 。IT治理相對(duì)IT控制來(lái)講，處于基礎(chǔ)地位，是IT控制發(fā)揮作用的先決條件，而IT治理目標(biāo)的實(shí)現(xiàn)又需要IT控制發(fā)揮作用。

二、IT內(nèi)部控制主要內(nèi)容及存在的主要問(wèn)題

從內(nèi)容上來(lái)劃分，IT控制分為一般控制和應(yīng)用控制，貫穿于整個(gè)信息化生命周期內(nèi)，涉及信息化各個(gè)領(lǐng)域。

（一）IT內(nèi)部控制的主要內(nèi)容

我國(guó)《企業(yè)內(nèi)部控制基本規(guī)范》對(duì)信息系統(tǒng)的控制重點(diǎn)體現(xiàn)在組織控制、系統(tǒng)開(kāi)發(fā)控制、系統(tǒng)操作控制、系統(tǒng)運(yùn)維控制和會(huì)計(jì)系統(tǒng)控制等幾方面。

1.組織控制。就IT角度而言，組織控制主要是指職責(zé)分離。職責(zé)分離包含兩個(gè)方面，一是業(yè)務(wù)部門(mén)與IT部門(mén)關(guān)于IT職責(zé)的分工，二是IT部門(mén)內(nèi)部職責(zé)的分工。業(yè)務(wù)部門(mén)與IT部門(mén)的職責(zé)分工較為規(guī)范，但I(xiàn)T部門(mén)內(nèi)部職責(zé)分工則在實(shí)際工作中普遍存在一個(gè)人同時(shí)有好幾個(gè)不同權(quán)限的問(wèn)題，在人手不足的情況下，每個(gè)人要參與多項(xiàng)工作，相應(yīng)的權(quán)限也就較多。

2.系統(tǒng)開(kāi)發(fā)、變更與運(yùn)維控制。包括職責(zé)分離，確保系統(tǒng)的合規(guī)合法性和可行性，開(kāi)發(fā)過(guò)程的人員控制、系統(tǒng)設(shè)計(jì)控制、系統(tǒng)的日常維護(hù)和系統(tǒng)功能的改進(jìn)與擴(kuò)充等。

3.操作控制。信息系統(tǒng)操作控制的主要內(nèi)容包括操作權(quán)限控制和操作規(guī)程控制兩個(gè)方面。

4.硬件管理控制。計(jì)算機(jī)系統(tǒng)對(duì)工作環(huán)境的要求比較高，對(duì)系統(tǒng)的自然環(huán)境、作業(yè)環(huán)境都應(yīng)有嚴(yán)格的控制措施，主要應(yīng)包括計(jì)算機(jī)系統(tǒng)硬件管理制度。

5.會(huì)計(jì)信息化及其控制。主要指企業(yè)實(shí)現(xiàn)會(huì)計(jì)信息化后給企業(yè)內(nèi)部控制帶來(lái)的新的風(fēng)險(xiǎn)。包括數(shù)據(jù)存儲(chǔ)介質(zhì)變換帶來(lái)的風(fēng)險(xiǎn)、操作人員權(quán)限控制不當(dāng)帶來(lái)的錯(cuò)誤和舞弊的風(fēng)險(xiǎn)、對(duì)軟件質(zhì)量過(guò)于依賴(lài)帶來(lái)的風(fēng)險(xiǎn)等。

（二）IT內(nèi)部控制中存在的主要風(fēng)險(xiǎn)

首先，我國(guó)企業(yè)和西方企業(yè)所處的政治經(jīng)濟(jì)環(huán)境不同，人文背景不同，在信息化建設(shè)上仍然屬于“人治時(shí)代”，信息化的隨意性較大。有些企業(yè)雖然已經(jīng)制定了信息化的相關(guān)制度，但整體而言仍然缺少對(duì)信息化進(jìn)行整體規(guī)劃、實(shí)施與控制的決策機(jī)制和責(zé)任擔(dān)當(dāng)框架。信息化成功與否往往在很大程度上取決于企業(yè)高層和董事會(huì)對(duì)信息化的理解和影響，一旦管理者的個(gè)人影響力發(fā)生變化，IT規(guī)劃建設(shè)就會(huì)失控，從而導(dǎo)致組織的信息化風(fēng)險(xiǎn)，這是IT治理風(fēng)險(xiǎn)的宏觀體現(xiàn)。

其次，在具體實(shí)踐中，企業(yè)信息化水平越來(lái)越高，其業(yè)務(wù)與財(cái)務(wù)報(bào)告流程對(duì)IT的依賴(lài)程度也隨之越來(lái)越高。一方面財(cái)務(wù)報(bào)告的內(nèi)部控制幾乎離不開(kāi)IT控制，另一方面即使業(yè)務(wù)層面的管理控制也是IT支撐環(huán)境下的控制。但信息技術(shù)是一把雙刃劍，隨著不安全因素的增多，信息安全的潛在風(fēng)險(xiǎn)也越來(lái)越大。從技術(shù)層面講，系統(tǒng)缺陷、人為誤操作、系統(tǒng)攻擊等不可預(yù)料的各種IT風(fēng)險(xiǎn)逐漸增多；從信息安全架構(gòu)層面講，沒(méi)有一個(gè)系統(tǒng)化、程序化和文件化的管理體系，就不可能有效防范信息安全風(fēng)險(xiǎn)。企業(yè)在建立安全有效的IT控制方面正面臨著巨大的挑戰(zhàn)，需要重視起來(lái)。

三、基于IT治理加強(qiáng)IT內(nèi)部控制的相關(guān)對(duì)策

IT系統(tǒng)已經(jīng)不僅僅是企業(yè)日常運(yùn)營(yíng)的重要支撐，它同時(shí)還是對(duì)企業(yè)活動(dòng)進(jìn)行控制的重要手段。以具體運(yùn)營(yíng)流程為基礎(chǔ)展開(kāi)的IT控制，直接關(guān)系到日常運(yùn)營(yíng)活動(dòng)的實(shí)施效果。事實(shí)上，有效的IT控制設(shè)計(jì)與實(shí)施指明了一個(gè)組織將信息技術(shù)條件下的風(fēng)險(xiǎn)降至可接受水平的途徑①。因而，在企業(yè)IT治理機(jī)制下加強(qiáng)IT內(nèi)部控制應(yīng)當(dāng)是突破口。

（一）從理論層面看，要構(gòu)建企業(yè)IT內(nèi)部控制體系

科學(xué)合理的IT控制體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機(jī)制，能融合防范與應(yīng)對(duì)信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項(xiàng)目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包方面的風(fēng)險(xiǎn)，并能有效地指導(dǎo)組織控制IT風(fēng)險(xiǎn)，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相匹配，促進(jìn)IT為組織持續(xù)地創(chuàng)造價(jià)值，以實(shí)現(xiàn)有效益的信息化。應(yīng)當(dāng)在充分考慮我國(guó)信息化建設(shè)的實(shí)際情況下，確定信息系統(tǒng)控制目標(biāo)，將信息系統(tǒng)項(xiàng)目運(yùn)作的全部過(guò)程置于有效的管理與控制之下，建立適用的、協(xié)同的IT治理標(biāo)準(zhǔn)模式，制定相關(guān)管理指南，提供集成的IT管理，指導(dǎo)我們建立起相應(yīng)的機(jī)制，對(duì)處理過(guò)程進(jìn)行有效監(jiān)控，保證有關(guān)企業(yè)信息處理過(guò)程的高效、有序。

（二）從企業(yè)信息化建設(shè)角度看，應(yīng)當(dāng)由整個(gè)企業(yè)來(lái)進(jìn)行IT內(nèi)部控制組織體系的構(gòu)建

企業(yè)應(yīng)當(dāng)組建科學(xué)合理的多層次內(nèi)部控制組織機(jī)構(gòu)，在《企業(yè)內(nèi)部控制規(guī)范》和《企業(yè)內(nèi)部控制配套指引》的規(guī)定下，參照上述第一點(diǎn)理論建設(shè)的國(guó)內(nèi)外研究成果，選取適合自身特點(diǎn)的控制流程，建立自己的IT內(nèi)部控制框架并組織實(shí)施。

（三）從用戶實(shí)踐層面看，針對(duì)本文第二部分所提到的幾大內(nèi)容進(jìn)行具體控制

信息工具的變革帶來(lái)了內(nèi)部控制手段的創(chuàng)新，嚴(yán)格的職責(zé)分離可以有效地避免錯(cuò)誤和舞弊行為的發(fā)生，如IT部門(mén)與業(yè)務(wù)部門(mén)之間、IT部門(mén)內(nèi)部之間、系統(tǒng)開(kāi)發(fā)部門(mén)內(nèi)部等都應(yīng)有明確的崗位責(zé)任。系統(tǒng)開(kāi)發(fā)環(huán)節(jié)應(yīng)當(dāng)注重成本與效益原則，判斷是否具有可行性；加強(qiáng)開(kāi)發(fā)過(guò)程的人員控制、系統(tǒng)設(shè)計(jì)控制和文檔控制等。在操作控制方面主要集中在操作權(quán)限控制和操作規(guī)程控制上兩方面。每個(gè)崗位的人員只能按照所授予權(quán)限進(jìn)行作業(yè)，不得越權(quán)接觸系統(tǒng)。權(quán)限控制不僅僅通過(guò)規(guī)章制度來(lái)執(zhí)行，更重要的是要由系統(tǒng)制定全縣標(biāo)準(zhǔn)體系，使之不被越權(quán)操作，例如用戶身份鑒定、口令設(shè)置、密碼保護(hù)、電子簽章等。應(yīng)用控制方面主要重視輸入控制、處理過(guò)程控制、輸出控制等。

建立合理的IT治理架構(gòu)是實(shí)現(xiàn)有效IT控制的基礎(chǔ)，IT治理為IT控制提供了制度環(huán)境；而IT控制的有效性又直接反映了IT治理的成效。企業(yè)只有在建立了完整的IT規(guī)范、有了明確的方向基礎(chǔ)上，IT控制才能達(dá)到高層管理者的要求。反之，沒(méi)有企業(yè)IT控制體系的暢通，單純的IT治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。

內(nèi)部控制體系建設(shè)是一個(gè)長(zhǎng)期的過(guò)程，其中IT內(nèi)部控制更是由于對(duì)硬件環(huán)境、軟件環(huán)境、工作人員素質(zhì)等方面有較高要求而面臨很多困難，還需要董事會(huì)、高管層和企業(yè)全體員工共同努力，才能真正落實(shí)和貫徹。

【主要參考文獻(xiàn)】

［1］ ITGI. Control Objective for Information and Related Technology （COBIT） 3rd Edition ［Z］. America， 2000.

［2］ ROBERT SROUSSEY. Challenges Facing the Profession Information Technology［J］. Enterprise Innovation& Risk， 2003（5）： 26-27.

［3］ PETER WEILL， JEANNE W ROSS. IT Governance on One Page. CISR Working Paper， ssrn. com， 2004.

［4］ 陶黎娟.IT環(huán)境下我國(guó)財(cái)務(wù)報(bào)告內(nèi)部控制研究［D］.廈門(mén)大學(xué)博士論文，2009：68.

第7篇：企業(yè)信息安全治理范文

住房和城鄉(xiāng)建設(shè)部于2011年就建筑業(yè)信息化的建設(shè)明確提出:深入貫徹落實(shí)科學(xué)發(fā)展觀，堅(jiān)持自主創(chuàng)新、重點(diǎn)跨越、支撐發(fā)展、引領(lǐng)未來(lái)的方針，高度重視信息化對(duì)建筑業(yè)發(fā)展的推動(dòng)作用，通過(guò)統(tǒng)籌規(guī)劃、政策導(dǎo)向，進(jìn)一步加強(qiáng)建筑企業(yè)信息化建設(shè)，不斷提高信息技術(shù)應(yīng)用水平，促進(jìn)建筑業(yè)技術(shù)進(jìn)步和管理水平提升?！段覈?guó)國(guó)民經(jīng)濟(jì)和社會(huì)十二五規(guī)劃綱要》進(jìn)一步強(qiáng)調(diào)在我國(guó)“推動(dòng)信息化和工業(yè)化的深度融合，推進(jìn)經(jīng)濟(jì)社會(huì)各領(lǐng)域信息化”。從“帶動(dòng)”到“促進(jìn)”;從“融合”到“深度融合”，充分表明我國(guó)信息化的發(fā)展戰(zhàn)略地位和重要作用正日益受到空前的重視。我國(guó)“十五”“十一五”推動(dòng)社會(huì)和企業(yè)信息化的實(shí)踐也充分證明，大力實(shí)施信息化是提升企業(yè)核心競(jìng)爭(zhēng)力，實(shí)現(xiàn)企業(yè)管理現(xiàn)代化，推動(dòng)行業(yè)持續(xù)、健康發(fā)展的重要手段。工程建設(shè)行業(yè)作為國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè)之一，信息化建設(shè)的水平不僅體現(xiàn)了行業(yè)科技進(jìn)步的水平，同時(shí)也反映了行業(yè)的綜合水平和實(shí)力。為加快推進(jìn)建筑業(yè)信息化建設(shè)，促進(jìn)建筑企業(yè)科學(xué)發(fā)展，做好做強(qiáng)做大，提高企業(yè)的核心競(jìng)爭(zhēng)力，結(jié)合行業(yè)和企業(yè)實(shí)際，在“十一五”建筑企業(yè)信息化取得長(zhǎng)足發(fā)展的基礎(chǔ)上，“十二五”期間建筑企業(yè)的信息化建設(shè)模式和重點(diǎn)，要從以下幾個(gè)方面進(jìn)行統(tǒng)籌規(guī)劃，以實(shí)現(xiàn)建筑企業(yè)信息化的快速發(fā)展。

1“十一五”企業(yè)信息化發(fā)展現(xiàn)狀

“十一五”期間，我國(guó)建筑企業(yè)緊緊圍繞工程建設(shè)行業(yè)的發(fā)展特點(diǎn)、企業(yè)發(fā)展戰(zhàn)略和核心業(yè)務(wù)，堅(jiān)持“政府引導(dǎo)、市場(chǎng)推進(jìn)、企業(yè)主導(dǎo)”和“做有效益的信息化”的原則，有計(jì)劃、有步驟地開(kāi)展企業(yè)信息化建設(shè)，建筑企業(yè)信息化工作取得了明顯成效。(1)據(jù)有關(guān)抽樣調(diào)查報(bào)告顯示，“十一五”期間我國(guó)建筑企業(yè)在企業(yè)戰(zhàn)略信息化方面有較快的發(fā)展和推進(jìn)。其中采用企業(yè)戰(zhàn)略實(shí)施控制的占抽樣樣本的58.8%，采用績(jī)效管理信息化的占抽樣樣本的76.5%，采用全面預(yù)算管理信息化的占抽樣樣本的65%等。雖然抽樣樣本的數(shù)量不能覆蓋全部建筑企業(yè)，但也從另一方面反映出我國(guó)一些管理水平高、綜合實(shí)力強(qiáng)的建筑企業(yè)，通過(guò)狠抓應(yīng)用，強(qiáng)調(diào)效果，積極開(kāi)發(fā)具有自主知識(shí)產(chǎn)權(quán)的應(yīng)用軟件系統(tǒng)，建筑信息化建設(shè)取得了新進(jìn)展和突破，為企業(yè)的可持續(xù)性發(fā)展奠定了較好的基礎(chǔ)。(2)“十一五”期間，住房和城鄉(xiāng)建設(shè)部為了推動(dòng)建筑企業(yè)的信息化建設(shè)，開(kāi)展了相關(guān)課題的研究工作和不同類(lèi)型企業(yè)信息化的示范。1)完成了涉及建筑業(yè)信息化發(fā)展的10項(xiàng)標(biāo)準(zhǔn)規(guī)范研究成果，涉及標(biāo)準(zhǔn)體系、標(biāo)準(zhǔn)術(shù)語(yǔ)、電子政務(wù)、施工、監(jiān)理、企業(yè)信息化、基礎(chǔ)數(shù)據(jù)、產(chǎn)品分類(lèi)等;2)信息技術(shù)應(yīng)用領(lǐng)域有較快的發(fā)展，如:有7個(gè)企業(yè)建設(shè)了BIM示范應(yīng)用項(xiàng)目;有20個(gè)企業(yè)實(shí)施了設(shè)計(jì)和施工一體化平臺(tái)建設(shè)示范應(yīng)用項(xiàng)目;工程項(xiàng)目協(xié)同管理信息化有20個(gè)企業(yè)參與示范應(yīng)用;建筑企業(yè)管理信息，包括知識(shí)管理、企業(yè)戰(zhàn)略實(shí)施控制(企業(yè)全面預(yù)算管理)等，在50個(gè)企業(yè)中等到實(shí)際的示范應(yīng)用;還有其他內(nèi)容的信息化項(xiàng)目在10個(gè)企業(yè)中建設(shè)并投入應(yīng)用。雖然“十一五”期間，建筑企業(yè)信息化的建設(shè)取得了一定的成效，但從整體上看，建筑企業(yè)信息化建設(shè)不管是從規(guī)模上還是從數(shù)量上，不管是應(yīng)用范圍和還是應(yīng)用深度上，都存在很大的差距和擴(kuò)展的空間以及發(fā)展的潛力，這也預(yù)示著“十二五”期間建筑企業(yè)信息化建設(shè)任重而道遠(yuǎn)。

2“十二五”企業(yè)信息化建設(shè)的指導(dǎo)思想與發(fā)展目標(biāo)

(1)指導(dǎo)思想1)培育良好的信息化應(yīng)用環(huán)境。以各種方式促進(jìn)、提高建筑企業(yè)管理者，對(duì)信息化建設(shè)的認(rèn)識(shí)和管理水平，逐步建立信息化建設(shè)市場(chǎng)競(jìng)爭(zhēng)機(jī)制和企業(yè)信息化水平評(píng)價(jià)引導(dǎo)機(jī)制，促進(jìn)提升信息化建設(shè)依托和服務(wù)平臺(tái)的水平，采用典型示范與普及推廣相結(jié)合，重點(diǎn)突破與整體推進(jìn)相結(jié)合，營(yíng)造出企業(yè)信息化建設(shè)環(huán)境，形成全行業(yè)、企業(yè)協(xié)同推進(jìn)，企業(yè)應(yīng)用信息技術(shù)互動(dòng)發(fā)展的新格局。2)以應(yīng)用促發(fā)展。結(jié)合國(guó)家和行業(yè)發(fā)展需要，聯(lián)系本企業(yè)的實(shí)際情況，以支持企業(yè)防范風(fēng)險(xiǎn)，實(shí)現(xiàn)企業(yè)戰(zhàn)略目標(biāo)為目的，應(yīng)用信息技術(shù)，促進(jìn)企業(yè)健康發(fā)展，走科學(xué)、簡(jiǎn)便實(shí)用，且能提升企業(yè)核心競(jìng)爭(zhēng)力的信息化建設(shè)道路。3)狠抓應(yīng)用效果。以科學(xué)發(fā)展企業(yè)統(tǒng)領(lǐng)全局，以管理創(chuàng)新、組織創(chuàng)新和制度創(chuàng)新為動(dòng)力，以轉(zhuǎn)型升級(jí)和做好做強(qiáng)做大主業(yè)為中心任務(wù)，積極研究、開(kāi)發(fā)、推廣和應(yīng)用信息技術(shù)。4)創(chuàng)價(jià)值見(jiàn)成效。在原有信息化建設(shè)成果的基礎(chǔ)上，以充分利用信息資源，提高企業(yè)工作效率和能力為目標(biāo)，深化應(yīng)用效果和領(lǐng)域，讓企業(yè)信息化建設(shè)創(chuàng)價(jià)值、見(jiàn)成效。(2)發(fā)展目標(biāo)未來(lái)，建筑企業(yè)信息化的建設(shè)和推進(jìn)，應(yīng)實(shí)現(xiàn)如下努力目標(biāo):1)以行業(yè)或?qū)I(yè)領(lǐng)域?yàn)橹鳎窘⑴c信息系統(tǒng)集成、共享、協(xié)同應(yīng)用有關(guān)的關(guān)鍵信息技術(shù)標(biāo)準(zhǔn)規(guī)范，以及企業(yè)信息化水平評(píng)價(jià)引導(dǎo)機(jī)制。2)大型、集團(tuán)型企業(yè)，繼續(xù)以企業(yè)管理標(biāo)準(zhǔn)化為抓手，要在信息化基礎(chǔ)設(shè)施建設(shè)、信息安全建設(shè)、企業(yè)風(fēng)險(xiǎn)防范和主營(yíng)業(yè)務(wù)信息化建設(shè)方面，形成一批達(dá)到或接近同行業(yè)的世界先進(jìn)水平的企業(yè)。3)企業(yè)管理和信息化建設(shè)水平較高的企業(yè)，要在企業(yè)管理標(biāo)準(zhǔn)化的基礎(chǔ)上，完成支撐企業(yè)發(fā)展戰(zhàn)略的核心業(yè)務(wù)的信息化建設(shè)工作，形成一批達(dá)到宣傳有窗口、溝通有平臺(tái)、核心業(yè)務(wù)處理有系統(tǒng)的國(guó)內(nèi)先進(jìn)水平的企業(yè)。4)中小企業(yè)信息化建設(shè)，要在不斷引進(jìn)新的管理理念和管理模式，注重投資與成效平衡的基礎(chǔ)上，加快信息化建設(shè)步伐，保證企業(yè)滿足快速發(fā)展的現(xiàn)代市場(chǎng)競(jìng)爭(zhēng)的需要。5)全面調(diào)查研究，總結(jié)一些有代表性的、不同企業(yè)規(guī)模、不同類(lèi)型、不同層次的且應(yīng)用成效好的企業(yè)管理信息系統(tǒng)和優(yōu)秀個(gè)人，建立信息化標(biāo)桿，并加大標(biāo)桿示范的推廣應(yīng)用。6)深化工具軟件的研究、開(kāi)發(fā)和應(yīng)用，力爭(zhēng)在虛擬施工、設(shè)計(jì)施工管理一體化以及工程生命期質(zhì)量安全遠(yuǎn)程協(xié)同監(jiān)控與管理等方面有所突破，基本形成軟件產(chǎn)品或半成品。

3“十二五”企業(yè)信息化建設(shè)的基本思路

(1)企業(yè)是應(yīng)用的主體。建筑企業(yè)應(yīng)站在企業(yè)發(fā)展戰(zhàn)略的高度，深刻理解和充分發(fā)揮信息化技術(shù)對(duì)企業(yè)可持續(xù)發(fā)展的支撐作用。正確處理企業(yè)改革發(fā)展與信息化建設(shè)的關(guān)系，結(jié)合企業(yè)自身發(fā)展的不同階段、管理模式、面臨的風(fēng)險(xiǎn)和所具備的資源，選擇不同的信息化發(fā)展道路、技術(shù)路線和建設(shè)內(nèi)容。(2)機(jī)制建設(shè)是保證。國(guó)家和行業(yè)主管部門(mén)應(yīng)站在建筑市場(chǎng)發(fā)展環(huán)境的高度，對(duì)參與建筑企業(yè)信息化建設(shè)的主體，建立有效的監(jiān)管機(jī)制，有關(guān)建筑企業(yè)信息化建設(shè)的指導(dǎo)意見(jiàn)和應(yīng)用績(jī)效評(píng)價(jià)引導(dǎo)機(jī)制。采用各種有效的方式，統(tǒng)籌規(guī)劃，大力推進(jìn)和指導(dǎo)企業(yè)信息化的建設(shè)。企業(yè)也應(yīng)根據(jù)自身的特點(diǎn)和外部環(huán)境，建立企業(yè)信息化建設(shè)的保障機(jī)制或信息化治理機(jī)制。(3)正確的技術(shù)路線是保障。建筑企業(yè)要在經(jīng)營(yíng)、管理、技術(shù)創(chuàng)新中充分發(fā)揮信息技術(shù)的作用，特別是在管理模式創(chuàng)新、業(yè)務(wù)模式創(chuàng)新、流程優(yōu)化設(shè)計(jì)等方面有效地采用具有自主知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)軟硬件產(chǎn)品和服務(wù)，大力推進(jìn)集成應(yīng)用技術(shù)，提升企業(yè)自主創(chuàng)新的能力。采用正確的技術(shù)路線，建立基于基礎(chǔ)數(shù)據(jù)元共享的信息交流平臺(tái)和企業(yè)級(jí)信息資源數(shù)據(jù)庫(kù)，實(shí)現(xiàn)數(shù)據(jù)資源的共享，達(dá)到真正意義上的協(xié)同工作和管理;另外，還要不斷提高信息安全的綜合防護(hù)和信息系統(tǒng)安全運(yùn)行能力。(4)服務(wù)企業(yè)決策是目的。實(shí)現(xiàn)業(yè)務(wù)模式創(chuàng)新和管理模式創(chuàng)新，應(yīng)作為企業(yè)信息化建設(shè)工作的重要抓手和切入點(diǎn)。建筑企業(yè)信息化建設(shè)要立足于企業(yè)實(shí)際需要，進(jìn)行“高層”設(shè)計(jì)，“底層”探索，建設(shè)能服務(wù)于企業(yè)決策、協(xié)調(diào)配置資源和支持企業(yè)業(yè)務(wù)發(fā)展的應(yīng)用信息系統(tǒng)。(5)應(yīng)用效果是根本。要圍繞企業(yè)發(fā)展戰(zhàn)略和主營(yíng)業(yè)務(wù)，以防范風(fēng)險(xiǎn)、降低成本、提高工作效率和管理效益為根本，積極探索有效的信息化發(fā)展模式，制定企業(yè)中長(zhǎng)期信息化建設(shè)規(guī)劃，加強(qiáng)標(biāo)準(zhǔn)化建設(shè)，確保信息系統(tǒng)建成后，可應(yīng)用、見(jiàn)成效。

4“十二五”企業(yè)信息化建設(shè)的主要內(nèi)容

首先，建筑企業(yè)要緊緊圍繞行業(yè)特點(diǎn)、公司發(fā)展戰(zhàn)略目標(biāo)和企業(yè)實(shí)際情況，制定科學(xué)的、可行的、合理的企業(yè)信息化建設(shè)規(guī)劃和項(xiàng)目計(jì)劃，機(jī)構(gòu)、人員和資金落實(shí)到位。其次，要注重建設(shè)與應(yīng)用并舉，著力提高現(xiàn)有應(yīng)用系統(tǒng)的集成水平，及時(shí)解決應(yīng)用中出現(xiàn)的新情況、新問(wèn)題，加快應(yīng)用系統(tǒng)的完善升級(jí)。加大對(duì)信息技術(shù)應(yīng)用的培訓(xùn)力度，扎實(shí)推進(jìn)系統(tǒng)深化應(yīng)用工作，進(jìn)一步提高信息化的價(jià)值。再次，建筑企業(yè)開(kāi)展信息化建設(shè)過(guò)程中，要積極打造一體化的信息技術(shù)管控平臺(tái)，加快建設(shè)支撐提升企業(yè)核心競(jìng)爭(zhēng)能力的應(yīng)用信息系統(tǒng)。在管理層面要建立保證企業(yè)發(fā)展戰(zhàn)略“落地”、科學(xué)決策和資源協(xié)調(diào)優(yōu)化配置的應(yīng)用信息系統(tǒng);在業(yè)務(wù)層面要建立崗位職責(zé)明晰、流程規(guī)范、業(yè)務(wù)過(guò)程可追溯、風(fēng)險(xiǎn)可掌控的應(yīng)用信息系統(tǒng)。在信息技術(shù)管控平臺(tái)方面，企業(yè)要統(tǒng)一系統(tǒng)規(guī)劃、統(tǒng)一技術(shù)平臺(tái)、數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)接口機(jī)制。其中，信息系統(tǒng)的建設(shè)要在以下幾個(gè)方面有所創(chuàng)新和突破:(1)業(yè)務(wù)財(cái)務(wù)集成應(yīng)用。建設(shè)以業(yè)務(wù)處理為基礎(chǔ)，合同、預(yù)算計(jì)劃管理為依據(jù)，成本、風(fēng)險(xiǎn)管控為目的，重點(diǎn)解決企業(yè)資金收支監(jiān)控、執(zhí)行與過(guò)程可追溯的應(yīng)用信息系統(tǒng)。(2)工程項(xiàng)目質(zhì)量安全保證與監(jiān)測(cè)。通過(guò)對(duì)建設(shè)工程項(xiàng)目的主材賦予“電子身份證”，混凝土中植入芯片，記錄施工過(guò)程以及實(shí)施、監(jiān)督和驗(yàn)收人員，重點(diǎn)解決工程質(zhì)量安全監(jiān)測(cè)，為工程項(xiàng)目安全使用和維護(hù)提供科學(xué)數(shù)據(jù)。(3)工程項(xiàng)目設(shè)計(jì)與施工管理集成應(yīng)用。建立工程項(xiàng)目設(shè)計(jì)三維模型數(shù)據(jù)庫(kù)，重點(diǎn)解決優(yōu)化設(shè)計(jì)、虛擬施工，為施工管理提供原型數(shù)據(jù)，尤其是工程量計(jì)算、施工進(jìn)度管理、采購(gòu)管理(物資、分包)、合同管理、成本管理等。(4)基于標(biāo)準(zhǔn)化管理的工程項(xiàng)目管理系統(tǒng)。確立項(xiàng)目管理思想和模型，以施工預(yù)算為基礎(chǔ)，優(yōu)化設(shè)計(jì)項(xiàng)目管理流程，制定建設(shè)工程項(xiàng)目管理信息化標(biāo)準(zhǔn)，重點(diǎn)解決工程項(xiàng)目管理信息系統(tǒng)的有效應(yīng)用和移動(dòng)應(yīng)用。(5)建立電子采購(gòu)平臺(tái)。建立能滿足企業(yè)相關(guān)組織、項(xiàng)目部、供應(yīng)商、評(píng)標(biāo)專(zhuān)家，協(xié)同工作的采購(gòu)平臺(tái)，滿足采購(gòu)相關(guān)方的信息溝通、評(píng)審定標(biāo)、簽訂合同、合同執(zhí)行監(jiān)控、支付與績(jī)效管理等。(6)進(jìn)一步完善和建立一批能提高企業(yè)工作效率和管理水平的工具軟件。根據(jù)技術(shù)和企業(yè)信息化發(fā)展的需要，應(yīng)在以下幾個(gè)方面推動(dòng)有關(guān)信息技術(shù)在建筑企業(yè)中的應(yīng)用。一是通過(guò)建立或采用移動(dòng)互聯(lián)網(wǎng)，建立企業(yè)資源協(xié)調(diào)調(diào)度系統(tǒng)(EIM)，掌握生產(chǎn)要素需求，及時(shí)協(xié)調(diào)企業(yè)生產(chǎn)要素。二是建立項(xiàng)目管理及移動(dòng)業(yè)務(wù)處理溝通平臺(tái)，實(shí)現(xiàn)信息和有關(guān)數(shù)據(jù)的快速移動(dòng)和交換。三是研發(fā)企業(yè)知識(shí)管理系統(tǒng)，及時(shí)采集企業(yè)管理知識(shí)和生產(chǎn)知識(shí)，加強(qiáng)企業(yè)知識(shí)積累、傳播和應(yīng)用能力。(7)注重安全體系和標(biāo)準(zhǔn)體系的建設(shè)。建筑企業(yè)信息化建設(shè)從規(guī)劃到實(shí)施和應(yīng)用維護(hù)各個(gè)階段，都要強(qiáng)化安全意識(shí)，從物理安全、系統(tǒng)運(yùn)行安全、信息安全和制度四個(gè)方面全面建設(shè)企業(yè)信息安全體系，全面提高信息安全防護(hù)水平，為企業(yè)信息化穩(wěn)定應(yīng)用提供保證。同時(shí)，建筑企業(yè)信息化要加強(qiáng)信息化技術(shù)標(biāo)準(zhǔn)和管理規(guī)范建設(shè)。遵循國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)，加快制訂符合行業(yè)、企業(yè)自身特點(diǎn)的標(biāo)準(zhǔn)規(guī)范，保障數(shù)據(jù)共享和應(yīng)用系統(tǒng)集成。

第8篇：企業(yè)信息安全治理范文

關(guān)鍵詞：電力；信息系統(tǒng)；數(shù)據(jù)；安全防護(hù)

引言

隨著我國(guó)信息化技術(shù)與管理水平的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)得以廣泛應(yīng)用。對(duì)于電力企業(yè)來(lái)說(shuō)，信息化項(xiàng)目已經(jīng)在安全生產(chǎn)、成本控制、節(jié)能減排等方面發(fā)揮積極作用，實(shí)現(xiàn)經(jīng)濟(jì)效益與社會(huì)效益。因此，電力企業(yè)越來(lái)越依賴(lài)信息化管理手段，但是隨之而來(lái)的信息化項(xiàng)目風(fēng)險(xiǎn)問(wèn)題已不容忽視，只有提高電力企業(yè)信息系統(tǒng)的安全性，才能確保電力企業(yè)的長(zhǎng)久、穩(wěn)定發(fā)展，實(shí)現(xiàn)供電可靠性目標(biāo)。

一、電力信息系統(tǒng)的安全需求

1. 電力信息系統(tǒng)安全問(wèn)題及威脅

從目前情況分析，電力信息系統(tǒng)存在的主要問(wèn)題包括兩個(gè)方面：一是普遍缺乏統(tǒng)一的安全管理體系和安全規(guī)劃，缺乏統(tǒng)一的規(guī)章制度和安全策略；二是缺乏完整的技術(shù)防護(hù)體系，目前各電力信息系統(tǒng)己經(jīng)采用了一些安全防護(hù)措施，但是相對(duì)于日益復(fù)雜多變的信息安全形勢(shì)，安全措施的采用還是不足的，存在嚴(yán)重的風(fēng)險(xiǎn)和安全威脅。從技術(shù)方面上分析，電力信息系統(tǒng)所面臨的安全威脅可分為以下兩種：

（1）對(duì)網(wǎng)絡(luò)中各類(lèi)設(shè)備的威脅；這類(lèi)威脅對(duì)網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、工業(yè)控制設(shè)備進(jìn)行遠(yuǎn)程控制、非法使用甚至破壞，使設(shè)備不能按正常工作、拒絕服務(wù)或者被植入后門(mén)，導(dǎo)致電力系統(tǒng)正常業(yè)務(wù)出現(xiàn)錯(cuò)誤甚至中斷。造成這類(lèi)威脅的原因主要包括網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)不合理，設(shè)備存在安全漏洞、病毒的侵害以及人員的惡意攻擊等。

（2）對(duì)電力系統(tǒng)中的數(shù)據(jù)進(jìn)行威脅，出現(xiàn)數(shù)據(jù)被截取、篡改或者破壞。對(duì)數(shù)據(jù)的威脅可能存在于數(shù)據(jù)的存儲(chǔ)、處理和傳輸整個(gè)過(guò)程中，這類(lèi)威脅的原因主要包括人員的非授權(quán)訪問(wèn)，操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)或者應(yīng)用系統(tǒng)設(shè)計(jì)缺陷造成信息泄露、人員的惡意攻擊，管理人員的素質(zhì)風(fēng)險(xiǎn)等。從信息安全發(fā)展趨勢(shì)來(lái)看，信息安全防護(hù)的核心都將歸終于數(shù)據(jù)安全，因此對(duì)于電力行業(yè)而言，保護(hù)電力數(shù)據(jù)安全是電力信息安全核心內(nèi)容。

2. 電力信息系統(tǒng)數(shù)據(jù)安全

電力信息系統(tǒng)面向電力企業(yè)，按照應(yīng)用領(lǐng)域不同，可以分為三類(lèi)：生產(chǎn)控制系統(tǒng)、行政管理系統(tǒng)和市場(chǎng)營(yíng)銷(xiāo)系統(tǒng)，其數(shù)據(jù)內(nèi)容按照領(lǐng)域可以分為與生產(chǎn)過(guò)程相關(guān)的數(shù)據(jù)、辦公數(shù)據(jù)以及市場(chǎng)營(yíng)銷(xiāo)方面的數(shù)據(jù)。電力信息系統(tǒng)數(shù)據(jù)安全隱患主要體現(xiàn)在數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩院驼鎸?shí)性上，通常電力信息系統(tǒng)數(shù)據(jù)安全至少需要解決以下問(wèn)題：

（1）保證電力數(shù)據(jù)的完整性，以防止電力系統(tǒng)各類(lèi)數(shù)據(jù)不被修改；

（2）保證電力敏感數(shù)據(jù)的保密性，例如：電力系統(tǒng)中的供電信息在傳輸途中不被非法截獲；

（3）保障電力數(shù)據(jù)的可用性：保證電力各類(lèi)數(shù)據(jù)能夠被授權(quán)人員訪問(wèn)。在實(shí)際電力信息系統(tǒng)應(yīng)用環(huán)境中，電力系統(tǒng)將電力設(shè)備、業(yè)務(wù)應(yīng)用軟件、計(jì)算機(jī)設(shè)備在網(wǎng)絡(luò)環(huán)境下組成一個(gè)有機(jī)整體，電力系統(tǒng)的數(shù)據(jù)安全防護(hù)不可能依靠某種單一的安全技術(shù)就能得到解決，必須在綜合分析電力系統(tǒng)整體安全需求的基礎(chǔ)上構(gòu)筑一個(gè)完整的數(shù)據(jù)安全服務(wù)體系。

二、電力信息系統(tǒng)數(shù)據(jù)安全防護(hù)策略

數(shù)據(jù)安全是電力信息系統(tǒng)安全的焦點(diǎn)，如何確保數(shù)據(jù)安全，成為數(shù)據(jù)管理上的難點(diǎn)和關(guān)鍵點(diǎn)。電力信息系統(tǒng)數(shù)據(jù)安全面向具體行業(yè)，實(shí)現(xiàn)安全目標(biāo)應(yīng)以密碼學(xué)、訪問(wèn)控制、網(wǎng)絡(luò)安全等信息安全的理論和方法為基礎(chǔ)，建立相應(yīng)的數(shù)據(jù)安全防護(hù)策略，其目的是為了解決電力部門(mén)如何保護(hù)自己的數(shù)據(jù)的安全性、完整性和可用性。確保電力企業(yè)數(shù)據(jù)安全不是簡(jiǎn)單的設(shè)置防火墻、安裝殺毒軟件、使用最新的補(bǔ)丁程序修補(bǔ)最近發(fā)生的漏洞或者進(jìn)行數(shù)據(jù)備份等，而是一個(gè)系統(tǒng)的、動(dòng)態(tài)的過(guò)程，也是一個(gè)與時(shí)俱進(jìn)的過(guò)程。

1. 加強(qiáng)數(shù)據(jù)存儲(chǔ)環(huán)境的安全

電力行業(yè)數(shù)據(jù)通常存在于各類(lèi)業(yè)務(wù)系統(tǒng)中，這些系統(tǒng)數(shù)據(jù)的存儲(chǔ)環(huán)境主要包括操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)。操作系統(tǒng)是連接計(jì)算機(jī)硬件與上層軟件之間用戶的橋梁，操作系統(tǒng)的安全性是至關(guān)重要的，為了減少操作系統(tǒng)的安全漏洞或隱患，需要對(duì)操作系統(tǒng)予以合理配置、管理和監(jiān)控；在數(shù)據(jù)庫(kù)系統(tǒng)中，電力行業(yè)所涉及的數(shù)據(jù)庫(kù)密級(jí)更高、實(shí)時(shí)性更強(qiáng)，因此有必要根據(jù)其特殊性完善安全策略，保證數(shù)據(jù)庫(kù)中的數(shù)據(jù)不會(huì)被有意的攻擊或無(wú)意的破壞，不會(huì)發(fā)生數(shù)據(jù)的外泄、丟失和毀損，即實(shí)現(xiàn)了數(shù)據(jù)庫(kù)系統(tǒng)安全的完整性、保密性和可用性。

2. 對(duì)敏感數(shù)據(jù)本身進(jìn)行防護(hù)

對(duì)于電力行業(yè)部門(mén)，各類(lèi)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)提供的安全控制措施只能滿足一般的數(shù)據(jù)庫(kù)應(yīng)用，而難以完全保證其數(shù)據(jù)的安全性。當(dāng)前基于內(nèi)網(wǎng)安全、終端安全和數(shù)據(jù)安全的方式在不同程度上對(duì)各類(lèi)數(shù)據(jù)進(jìn)行了保護(hù)，但對(duì)于敏感的數(shù)據(jù)內(nèi)容，需要采用對(duì)加密的方式對(duì)數(shù)據(jù)進(jìn)行保護(hù)，同時(shí)要對(duì)數(shù)據(jù)本身及其運(yùn)行支持系統(tǒng)進(jìn)行備份和對(duì)數(shù)據(jù)運(yùn)行的硬件環(huán)境進(jìn)行備份。

3. 加強(qiáng)數(shù)據(jù)交換的安全設(shè)計(jì)

針對(duì)數(shù)據(jù)交換過(guò)程中數(shù)據(jù)完整性、數(shù)據(jù)保密性、不可抵賴(lài)性等問(wèn)題，需要采用身份認(rèn)證、數(shù)據(jù)傳輸?shù)亩说蕉思用?、線路加密以及更強(qiáng)的應(yīng)用層協(xié)議進(jìn)行綜合防護(hù)。實(shí)現(xiàn)對(duì)用戶的統(tǒng)一

管理，統(tǒng)一授權(quán)，防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源，實(shí)現(xiàn)對(duì)發(fā)送的數(shù)據(jù)自動(dòng)加密，作為不可閱讀和不可識(shí)別的數(shù)據(jù)穿過(guò)互聯(lián)網(wǎng)，采用VPN 等手段對(duì)線路加密，以及采用更強(qiáng)的應(yīng)用層協(xié)議對(duì)數(shù)據(jù)包進(jìn)行深入分析，按照特征數(shù)據(jù)進(jìn)行匹配跟蹤，并可以通過(guò)終止所跟蹤的可疑會(huì)話來(lái)實(shí)時(shí)檢測(cè)和阻止各種非法攻擊對(duì)網(wǎng)絡(luò)的入侵。

三、電力信息系統(tǒng)的數(shù)據(jù)安全防護(hù)體系

當(dāng)前，隨著電力行業(yè)信息化的快速發(fā)展，云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)也逐漸應(yīng)用到電力行業(yè)，電力系統(tǒng)承載的數(shù)據(jù)內(nèi)容呈幾何級(jí)數(shù)增長(zhǎng)，如何保障這些數(shù)據(jù)的安全成為電力系統(tǒng)必須面對(duì)的重要問(wèn)題。

1. 電力信息系統(tǒng)數(shù)據(jù)安全體系

通過(guò)分析影響電力信息系統(tǒng)數(shù)據(jù)安全的因素，從數(shù)據(jù)安全評(píng)估、數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全管理體系等方面構(gòu)建電力系統(tǒng)數(shù)據(jù)安全防護(hù)體系框架。其中在數(shù)據(jù)安全技術(shù)體系中，與數(shù)據(jù)安全密切相關(guān)的技術(shù)主要包括數(shù)據(jù)中心建設(shè)、數(shù)據(jù)加解密技術(shù)以及對(duì)數(shù)據(jù)資源的訪問(wèn)控制技術(shù)等內(nèi)容，本文重點(diǎn)分析這三方面的技術(shù)內(nèi)容。

2. 電力信息系統(tǒng)數(shù)據(jù)存儲(chǔ)環(huán)境建設(shè)

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)信息系統(tǒng)安全的前提，對(duì)于電力系統(tǒng)數(shù)據(jù)而言，電力系統(tǒng)數(shù)據(jù)存儲(chǔ)環(huán)境建設(shè)是保障數(shù)據(jù)物理安全的前提，必須首先研究存儲(chǔ)環(huán)境安全技術(shù)，再保障硬件系統(tǒng)的安全，進(jìn)一步保證硬件上運(yùn)行的操作系統(tǒng)安全，最終實(shí)現(xiàn)數(shù)據(jù)的安全。電力系統(tǒng)數(shù)據(jù)存儲(chǔ)宜采用數(shù)據(jù)中心存儲(chǔ)方式進(jìn)行，通過(guò)對(duì)重要系統(tǒng)數(shù)據(jù)進(jìn)行集中管理，可以保障數(shù)據(jù)環(huán)境的物理安全，數(shù)據(jù)中心通過(guò)系統(tǒng)硬件支撐平臺(tái)的虛擬化，統(tǒng)一共享軟硬件基礎(chǔ)設(shè)施，實(shí)現(xiàn)信息資源的充分共享，通過(guò)整合、優(yōu)化基礎(chǔ)設(shè)施，采用服務(wù)器集群、服務(wù)器動(dòng)態(tài)負(fù)荷均衡、網(wǎng)絡(luò)存儲(chǔ)整合和虛擬化等國(guó)際前沿信息技術(shù)，形成靈活的 IT 硬件基礎(chǔ)架構(gòu)。在建設(shè)方面，可按照電力行業(yè)級(jí)別分別建立不同級(jí)別的數(shù)據(jù)中心，形成全面的以數(shù)據(jù)層面為基礎(chǔ)，面向各級(jí)信息系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)、主機(jī)、數(shù)據(jù)自上而下的全面的信息安全體系，促進(jìn)企業(yè)信息安全保障水平，保障電力企業(yè)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，促進(jìn)電力企業(yè)信息化建設(shè) IT 基礎(chǔ)架構(gòu)靈活化、存儲(chǔ)管理集中化、數(shù)據(jù)備份自動(dòng)化、數(shù)據(jù)管理全面化、信息安全一體化的發(fā)展。同時(shí)對(duì)數(shù)據(jù)中心應(yīng)進(jìn)行嚴(yán)格管理，配備防盜、防火、防水等設(shè)施，應(yīng)當(dāng)安裝監(jiān)控系統(tǒng)、監(jiān)控報(bào)警裝置等。建立嚴(yán)格的設(shè)備運(yùn)行日志，記錄設(shè)備運(yùn)行狀況。要規(guī)范操作規(guī)程，確保計(jì)算機(jī)系統(tǒng)的安全、可靠運(yùn)行。

3. 電力信息系統(tǒng)數(shù)據(jù)加解密技術(shù)

信息加密是一種行之有效的技術(shù)保護(hù)措施，是一種主動(dòng)的防衛(wèi)措施。通過(guò)某種加密算法將數(shù)據(jù)變換成只有經(jīng)過(guò)密鑰后才可讀的密碼來(lái)加以保護(hù)。信息加密包括兩方面的要求，一個(gè)是對(duì)數(shù)據(jù)保密性要求，使未經(jīng)授權(quán)的非法訪問(wèn)即使得到數(shù)據(jù)也難以解密 ； 另一個(gè)是對(duì)通信保密性要求，防止用戶通信數(shù)據(jù)篡改、通信數(shù)據(jù)插入、通信數(shù)據(jù)重用等非法操作。現(xiàn)代密碼算法不僅可以實(shí)現(xiàn)加密，還可實(shí)現(xiàn)數(shù)字簽名、鑒別等功能，有效地對(duì)抗截取、非法訪問(wèn)、破壞數(shù)據(jù)的完整性、冒充、抵賴(lài)、重演等威脅，因此密碼技術(shù)是數(shù)據(jù)安全的核心技術(shù)之一。常見(jiàn)的數(shù)據(jù)加密算法有 DES 算法、RSA 算法、IDEA 算法、DSA 算法等。

4. 電力信息系統(tǒng)身份認(rèn)證體系構(gòu)建

對(duì)數(shù)據(jù)安全、可靠、有效地存取是數(shù)據(jù)安全的關(guān)鍵，身份認(rèn)證技術(shù)是主要的實(shí)現(xiàn)手段，用戶認(rèn)證目的是驗(yàn)證用戶身份、訪問(wèn)請(qǐng)求的合法性，可有效地防止冒充和非法訪問(wèn)等威脅。對(duì)電力行業(yè)而言，由于組織機(jī)構(gòu)相對(duì)比較嚴(yán)密，分層明確，可以考慮采用公鑰基礎(chǔ)設(shè)施 （PKI：Public Key Infrastructure） 構(gòu)建身份認(rèn)證體系，建立電力系統(tǒng)的網(wǎng)絡(luò)信任機(jī)制，并通過(guò)數(shù)字證書(shū)的方式為每個(gè)合法的電力用戶提供一個(gè)合法身份的證明。PKI 從技術(shù)上解決了電力網(wǎng)絡(luò)上的身份認(rèn)證、信息完整性和抗抵賴(lài)等安全問(wèn)題，在保障電力應(yīng)用系統(tǒng)的認(rèn)證性、機(jī)密性、完整性、不可否認(rèn)性中發(fā)揮著重要作用。電力行業(yè) PKI 由于行業(yè)需求，一般為適應(yīng)不同級(jí)別信息安全的需要，CA 證書(shū)間需要相互交叉驗(yàn)證。但交叉認(rèn)證易造成信任鏈混亂，對(duì)于具有大量職員的電力行業(yè)，必須采取措施，嚴(yán)格管理交叉認(rèn)證，根據(jù) CA 認(rèn)證關(guān)系圖應(yīng)能明確判斷出各行為主體間的相互關(guān)系。

四、結(jié)語(yǔ)

數(shù)據(jù)安全作為電力信息系統(tǒng)中的核心資產(chǎn)，具有重要的地位，必須采用強(qiáng)有力的措施保證其安全性，確保能為用戶提供更為精細(xì)的服務(wù)，但信息安全是動(dòng)態(tài)的、整體的，安全總會(huì)隨著用戶網(wǎng)絡(luò)現(xiàn)況的變化而變化，電力系統(tǒng)完整的安全解決方案還必須包括長(zhǎng)期的、與項(xiàng)目相關(guān)的信息安全服務(wù)，必須建立健全信息安全組織保證體系、各種安全管理制度和培訓(xùn)機(jī)制，進(jìn)行動(dòng)態(tài)的安全評(píng)估，及時(shí)發(fā)現(xiàn)信息系統(tǒng)中最新的安全網(wǎng)絡(luò)，并采取風(fēng)險(xiǎn)控制措施，不斷完善信息安全體系的建設(shè)。

參考文獻(xiàn)

[1] 閃蘭魁 . 電力企業(yè)信息化建設(shè)中 IT 治理的研究 [D]. 華北電力大學(xué)（北京）：項(xiàng)目管理，2007

[2] 向家國(guó) . 電力企業(yè)網(wǎng)絡(luò)信息的安全體系架構(gòu)與防范制度研究 [J].科技展望，2010（9）

第9篇：企業(yè)信息安全治理范文

關(guān)鍵詞：電力系統(tǒng)；信息安全；管理系統(tǒng)

DOI：10.16640/j.cnki.37-1222/t.2018.09.159

0引言

伴隨著網(wǎng)絡(luò)化對(duì)于社會(huì)的影響，電力系統(tǒng)管理中自動(dòng)化技術(shù)安全管理的系統(tǒng)建設(shè)工作重要性不斷提高，同時(shí)也是優(yōu)化與改進(jìn)電力系統(tǒng)信息安全技術(shù)的多項(xiàng)措施，電力信息的安全管理標(biāo)準(zhǔn)屬于信息的安全管理基本標(biāo)準(zhǔn)、需求以及準(zhǔn)則，是提高管理效果的基本措施，其中最為重要的便是構(gòu)建一個(gè)關(guān)于電力系統(tǒng)的自動(dòng)化技術(shù)安全管理。對(duì)此，探討電力系統(tǒng)自動(dòng)化技術(shù)安全管理具備顯著現(xiàn)實(shí)意義。

1電力系統(tǒng)信息安全管理目標(biāo)

強(qiáng)化與規(guī)范電力系統(tǒng)的網(wǎng)路安全行以及自動(dòng)化管理效果，并保障自動(dòng)化管理系統(tǒng)的整體穩(wěn)定性、持續(xù)性、可靠性以及保障信息內(nèi)容的完整性、可用性以及機(jī)密性，預(yù)防因?yàn)樽詣?dòng)化管理系統(tǒng)本身的漏洞、故障而導(dǎo)致自動(dòng)化管理系統(tǒng)無(wú)法正常的運(yùn)行，在病毒、黑客以及多種惡意代碼的影響攻擊時(shí)及時(shí)起到行之有效的管理保護(hù)，對(duì)自動(dòng)化管理系統(tǒng)內(nèi)部的信息安全性實(shí)現(xiàn)較高的管理效果，預(yù)防信息內(nèi)容和數(shù)據(jù)的丟失，預(yù)防有害信息在網(wǎng)絡(luò)當(dāng)中的傳播，從而提高企業(yè)信息的整體管理效果[1]。

2自動(dòng)化技術(shù)安全管理建設(shè)內(nèi)容

2.1管理系統(tǒng)安全監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估管理

信息管理系統(tǒng)的建設(shè)必然需要管理部門(mén)的高度重視，要求管理部門(mén)以年度作為單位，對(duì)信息化的項(xiàng)目實(shí)行全面性、綜合性的管理，并在每一年的綜合計(jì)劃實(shí)行之后，制定這一整年在相關(guān)工作方面的創(chuàng)新計(jì)劃，保障系統(tǒng)在正式上線之前便可以有效的滿足整個(gè)系統(tǒng)在安全方面的需求[2]。采用的系統(tǒng)在建設(shè)完成之后的1個(gè)月之內(nèi)，必須根據(jù)相應(yīng)的“上下線管理辦法”實(shí)行申請(qǐng)，并通過(guò)信息管理部門(mén)專(zhuān)職人員進(jìn)行上線申請(qǐng)，組織應(yīng)用的系統(tǒng)專(zhuān)職和業(yè)務(wù)主管部門(mén)根據(jù)相應(yīng)的標(biāo)準(zhǔn)或指南對(duì)系統(tǒng)進(jìn)行安全性的評(píng)估，同時(shí)需要將評(píng)估的結(jié)果博鰲高發(fā)放到業(yè)務(wù)部門(mén)中。對(duì)于系統(tǒng)中存在的不足，業(yè)務(wù)部門(mén)在接收到報(bào)告之后需要在短時(shí)間內(nèi)進(jìn)行改進(jìn)，并在改進(jìn)之后進(jìn)行復(fù)查，確保其可以滿足上線要求。

2.2信息安全專(zhuān)項(xiàng)檢查與治理

信息管理部門(mén)在管理方面的具體實(shí)施必然是借助專(zhuān)職人員而實(shí)現(xiàn)，在每一年的年初均需要根據(jù)企業(yè)的實(shí)際情況具體的檢查計(jì)劃以及年度性的檢查目標(biāo)，檢查的具體內(nèi)容必須按照企業(yè)中每一個(gè)部門(mén)的工作特性而決定，例如網(wǎng)絡(luò)設(shè)備的安全性、終端設(shè)備的穩(wěn)定性以及系統(tǒng)版本的及時(shí)更新等[3]。對(duì)于重大隱患而言，信息安全管理人員需要及時(shí)錄入到系統(tǒng)當(dāng)中，并組織制定重大隱患的安全防治計(jì)劃，各個(gè)部門(mén)需要在接收到反饋之后及時(shí)對(duì)問(wèn)題提出整治方案，并在限期內(nèi)處理。信息管理部門(mén)的安全專(zhuān)職人員需要對(duì)隱患庫(kù)當(dāng)中所存在的隱患進(jìn)行跟蹤性治理，并組織相應(yīng)人員進(jìn)行復(fù)查，對(duì)于沒(méi)有及時(shí)按期整改的部門(mén)，信息安全專(zhuān)職人員需要在短時(shí)間內(nèi)上報(bào)給信息負(fù)責(zé)人，并由人力資源部門(mén)對(duì)其進(jìn)行績(jī)效考核。每一個(gè)部門(mén)的信息安全專(zhuān)職人員需要根據(jù)計(jì)劃組織該部門(mén)的人員制定相應(yīng)預(yù)案，每一份預(yù)案在制定之后需要在5天之內(nèi)交到本部門(mén)負(fù)責(zé)人審批，并在審批通過(guò)之后上報(bào)信息管理部門(mén)。

2.3安全事件統(tǒng)計(jì)、調(diào)查及組裝整改

信息管理部門(mén)的安全專(zhuān)職人員必須在每一個(gè)月月初時(shí)對(duì)基層部門(mén)的信息安全事件進(jìn)行統(tǒng)計(jì)分析。每一個(gè)系統(tǒng)的安全管理人員需要根據(jù)部門(mén)所發(fā)生的安全事件實(shí)行記錄記錄，并根據(jù)發(fā)生問(wèn)題的原因進(jìn)行針對(duì)性的分析，每一個(gè)月以書(shū)面的形式將所記錄的內(nèi)容提供給管理部門(mén)，由管理部門(mén)實(shí)現(xiàn)工作狀況的改進(jìn)與完善。如果后續(xù)查出存在漏報(bào)現(xiàn)象，則需要由人力資源部門(mén)進(jìn)行績(jī)效考核。在發(fā)生安全事件之后，需要在5個(gè)工作日之內(nèi)對(duì)事件進(jìn)行分析、統(tǒng)計(jì)并上報(bào)，調(diào)查過(guò)程中必須根據(jù)事故調(diào)查和統(tǒng)計(jì)的相關(guān)規(guī)定執(zhí)行，及時(shí)分析問(wèn)題發(fā)生的主要原因，并堅(jiān)持“四不放”的基本原則，在調(diào)查之后編制事件的調(diào)查報(bào)告，調(diào)查與分析完成之后需要組織相關(guān)人員落實(shí)具體的整改改進(jìn)措施，信息安全事件的每一項(xiàng)調(diào)查任務(wù)都必須嚴(yán)格根據(jù)電力企業(yè)的通報(bào)制度進(jìn)行，務(wù)必保障每一個(gè)行為的合理性。

3評(píng)估與改進(jìn)

借助開(kāi)展提高管理與標(biāo)準(zhǔn)理念以及管理標(biāo)準(zhǔn)，明確每一項(xiàng)工作的5W1H，在目的、對(duì)象、地點(diǎn)、時(shí)間、人員、方法等方面實(shí)行管理系統(tǒng)，促使信息管理部門(mén)與各個(gè)部門(mén)之間的接口、職責(zé)劃分清晰，達(dá)到協(xié)調(diào)性的分工合作，并借助ITMIS系統(tǒng)實(shí)行流程化的固定管理，嚴(yán)格執(zhí)行企業(yè)各項(xiàng)安全管理標(biāo)準(zhǔn)，構(gòu)建信息化的安全管理建設(shè)工作，實(shí)現(xiàn)信息化的安全管理系統(tǒng)建設(shè)，在標(biāo)準(zhǔn)的PDCA階段循環(huán)周期借助管理目標(biāo)、職責(zé)分工、管理方法、管理流程、文檔記錄、考核要求等多個(gè)方面的管理提高整體安全性，在信息安全管理的建設(shè)中確?；A(chǔ)結(jié)構(gòu)的搭建效果，借助行之有效的評(píng)估方式，對(duì)自動(dòng)化管理系統(tǒng)安全檢測(cè)與風(fēng)險(xiǎn)評(píng)估管理等多個(gè)方面進(jìn)行評(píng)估，并逐漸完善自動(dòng)化技術(shù)安全管理的建設(shè)任務(wù)，保障安全管理系統(tǒng)的持續(xù)改進(jìn)。

4結(jié)語(yǔ)

綜上所述，信息安全工作是系統(tǒng)性的工程，“防范”與“攻擊”、“脆弱”與“威脅”是相互成長(zhǎng)不斷發(fā)展的。對(duì)此，在新時(shí)代之下，電力系統(tǒng)的自動(dòng)化技術(shù)安全管理，務(wù)必從管理與技術(shù)兩個(gè)角度著手，確保網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、物理安全、數(shù)據(jù)安全，從而實(shí)行多種管理措施，達(dá)到多層面、多角度的安全管理保障，提高電力系統(tǒng)自動(dòng)化技術(shù)安全管理系統(tǒng)的整體建設(shè)效益，從而提高電網(wǎng)安全性。

參考文獻(xiàn)： 

[1]魏勇軍，黎煉，張弛等.電力系統(tǒng)自動(dòng)化運(yùn)行狀態(tài)監(jiān)控云平臺(tái)研究[J].現(xiàn)代電子技術(shù)，2017，40（15）：153-158. 

[2]朱澤宇，ZhuZe-yu.基于電氣工程自動(dòng)化技術(shù)在電力系統(tǒng)運(yùn)行中的應(yīng)用探析[J].自動(dòng)化與儀器儀表，2015，14（06）：233-234.