導語：如何才能寫好一篇網絡安全培訓計劃，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

 

一、加強頂層設計，確立信息安全教育國家戰(zhàn)略

 

1.《網絡空間安全國家戰(zhàn)略》

 

布什政府在2003年2月了《網絡空間安全國家戰(zhàn)略》，其中首次從國家層面提出了“提高網絡安全意識與培訓計劃”，指出，“除了信息技術系統(tǒng)的脆弱性外，要提高網絡的安全性至少面臨著兩個障礙：缺乏對安全問題的了解和認識;無法找到足夠多的經過培訓或通過認證的人員來建立并管理安全系統(tǒng)?！盀榇?，美國要開展全國性的增強安全意識活動，加強培訓和網絡安全專業(yè)人員資格認證。

 

2.《美國網絡安全評估》報告

 

2009年5月29日美國公布了《美國網絡安全評估》報告，評估了美國政府在網絡空間的安全戰(zhàn)略、策略和標準，指出了存在的問題，提出行動計戈IJ。所提議的優(yōu)先行動計劃之一就是“加強公眾網絡安全教育”。

 

3.《國家網絡安全綜合計劃》(CNCI)

 

2010年3月2日，奧巴馬政府對前布什政府在2007年制定的一份國家網絡安全綜合計劃的部分內容進行解密。CNCI計劃提出要實現(xiàn)重要目標之一就是：“為了有效地保證持續(xù)的技術優(yōu)勢和未來的網絡安全，必須制定一個技術熟練和精通網絡的勞動力和未來員工的有效渠道。擴大網絡教育，以加強未來的網絡安全環(huán)境?！?/p>

 

4.《國家網絡空間安全教育戰(zhàn)略計劃》

 

2011年8月11日，NIST授權《美國網絡

 

安全教育倡議戰(zhàn)略規(guī)劃：構建數(shù)字美國》草案，征求公眾意見。該規(guī)劃是美國網絡安全教育倡議(NICE)的首個戰(zhàn)略規(guī)劃，闡明了NICE的任務、遠景和目標。NICE旨在通過創(chuàng)新的網絡行為教育、培訓和加強相關意識，促進美國的經濟繁榮和保障國家安全，并通過以下三個目標實現(xiàn)這一愿景：增強公眾有關網上活動風險的意識;擴展能支持國家網絡安全的人員隊伍;建立和維持一支強大的具有全球競爭力的網絡安全隊伍。

 

二、做好立法工作，完善法規(guī)標隹體系

 

1.《聯(lián)邦信息安全管理法案》(FISMA)

 

2002年7月，美國政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經認識到信息安全對美國經濟和國家安全利益的重要性，并從風險管理角度提出了一個有效的信息安全管理體系。信息安全教育與培訓是信息安全管理體系中一個重要環(huán)節(jié)。

 

FISMA法案明確要求：聯(lián)邦政府機構須為內外部相關人員提供信息安全風險的安全意識培訓，為此還提議了一個較為完善的國家安全意識及其培訓系統(tǒng)。

 

2.國防部(DoD)8570指令

 

2005年12月，為了更好地支持“全球信息網格計戈j”，美國國防部了8570指令。該指令涵蓋以下主要內容：建立技術基準，管理職員的信息保障技能;實現(xiàn)正規(guī)的信息保障勞動力技能培訓和認證活動;通過標準的測試認證檢驗信息保障人員的知識和技能;在基礎教育和實驗教育中，持續(xù)的增加信息保障內容。

 

3.聯(lián)邦政府信息技術安全培訓標準(FIPS)

 

FISMA法案明確指定NIST負責制定聯(lián)邦政府(除國防、情報部門以外)所使用的信息安全技術、產品和培訓方面的國家標準。目前，NIST已制定和兩部權威的信息安全培訓標準：《信息技術安全培訓要求：基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓方案》(NISTSP800—50)cNIST在SP800—16標準中提出了信息安全培訓概念性的框架，依據這些框架，美國聯(lián)邦政府部門開展了很多綜合性的聯(lián)邦計算臟務(FSC)項目。

 

4.網絡安全法案

 

2010年3月24日，美國參議院商務、科學和運輸委員會全票通過了旨在加強美國網絡安全、幫助美國政府機構和企業(yè)有效應對網絡威脅的《網絡安全法案》。該法案要求政府機構和私營部門加強在網絡安全領域方面的信息共享，強調通過市場手段，鼓勵培養(yǎng)網絡安全人才，開發(fā)網絡安全產品和服務。

 

三、構建信息網絡安全組織機構，健全安全教育培訓管理體制

 

為了落實信息安全教育培訓相關政策和法律法規(guī)，美國將協(xié)調、執(zhí)行、監(jiān)督、管理等權利分配給多個政府部門，依據最新的《國家網絡安全教育戰(zhàn)略計劃》的思路，國家標準技術研究所(NIST)為整個計劃的負責單位，協(xié)調其他部門參與計劃的實施;國土安全部(DHS)、國防部(DoD)、國務院、教育部和國家科學基金會(NSF)協(xié)力加強公眾的信息安全意識;DHS、海關總署、NSF和國家安全局(NSA)共同加強從業(yè)人員f支術能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負責建立高端網絡安全人才隊伍。

 

社會各界積極參與

 

行業(yè)協(xié)會已經站到了信息安全教育培訓的前沿，成為信息安全教育培訓的踐行者。其職責主要是協(xié)助有關部門制定信息安全教育與培訓的標準，組織持續(xù)的教育活動，并向內部成員單位實施培訓。行業(yè)協(xié)會自身作為提供教育和培訓的主體，一方面可以根據政府的引導和企業(yè)的需求來設置培訓內容;另一方面可以利用政府和產業(yè)界的資源，充分發(fā)揮其在信息安全領域內不可替代的社會職能。行業(yè)協(xié)會提供的培訓標準是政府制定的培訓標準的主要補充，為規(guī)范和完善美國信息安全培訓行業(yè)提供了切實可行的保障。

 

(1)國際信息系統(tǒng)審計協(xié)會(丨SACA)

 

國際信息系統(tǒng)審計協(xié)會(ISACA)是一個為信息管理、控制、安全和審計專業(yè)設定規(guī)范標準的全球性組織，會員遍布逾160個國家，總數(shù)超過86,000人。ISACA成立于1969年，除贊助舉辦國際會議外，還編輯出版《信息系統(tǒng)監(jiān)控期刊》，制定國際信息系統(tǒng)的審計與監(jiān)控標準，以及頒授國際廣泛認可的注冊信息系統(tǒng)審計師(CISA)專業(yè)資格認證。CISA認證體系已通過美國國家標準協(xié)會(ANSI)依照ISO/IEC17024:2003標準對其進行的資格鑒定。同時，美國國防部也認可了CISA認證，并將其納入到國防系統(tǒng)信息技術人員技能商業(yè)資格認證體系當中。這產生了以下四方面的作用：認可CISA認證所提供的特有資格和專業(yè)知識技能;保護認證的信譽并提供法律保護;增進消費者和公眾對本認證和持證者的信心;使跨國、跨行業(yè)的人才流動更加便利。

 

(2)美國系統(tǒng)網絡安全(SANS)研究院SANS是于1989年創(chuàng)立的美國非政府組織(NGO)，是一所具有代表性的從事網絡安全研究教育的專業(yè)機構。1999年SANS首次推出了安全技術認證程序(GIAC)。

 

GIAC認證程序有以下幾個特點：

 

GIAC提供超過20種的信息安全認證，其大多數(shù)符合DOD8570指令。GIAC依據國家標準對安全專業(yè)人員及開發(fā)人員進行各方面技能認證。GIAC安全認證分為入門級信息安全基礎認證(GISF)和高級安全要素認證(GSEC)。兩種認證都重點考察安全基礎知識，保證揺正人員擁有必備的安全技能。其它GIAC安全認證包括：認證防火墻分析師(確認設計、配置和監(jiān)控路由器、防火墻和其它邊界設備所需的知識、技能和能力)、認證入侵分析師(評估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識)、認證事故處理員(考察考生處理事故和攻擊的能力)和認證司法辯論分析師(考查考生高效處理正式司法調查的能力。

 

(3)國際信息系統(tǒng)安全認證聯(lián)盟(ISC)2

 

國際信息系統(tǒng)安全核準聯(lián)盟(ISC)2成立于1989年，是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓和認證的國際領先非營利組織。在(ISC)2各種認證中，CISSP數(shù)量最多。截至2010年底，全球共有75000名CISSP獲證人員，其中，美國獲證人員數(shù)量超過70%^CISSP獲證人員中，約30%在政府部門工作，40%從事信息安全月服務行業(yè)，30%從事用戶終端工作。

 

注冊信息系統(tǒng)安全專業(yè)人員通用知識體(CISSPCBK)提供了通用的信息安全術語和原理框架，使得全世界的信息安全專業(yè)人員能夠以相同的術語和理念，討論、辯論和解決信息安全相關問題。

篇2

思想上不重視網絡教育培訓

目前，許多企業(yè)的領導不重視安全生產的網絡教育培訓工作，他們只看到傳統(tǒng)培訓的優(yōu)勢，并未充分認識到網絡教育培訓的優(yōu)點，所以在培訓投入的比例方面嚴重失衡，對于網絡培訓投入是少之又少，極大的影響了網絡安全培訓教育方面的建設。在培訓的實施上很多企業(yè)也是以傳統(tǒng)培訓為主，對網絡教育培訓重視度不夠，造成了網絡教育并未達到其應有的培訓效果。

網絡教育培訓規(guī)劃流于形式，學員學習效果不佳。網絡教育是對企業(yè)人員安全生產培訓的有效途徑之一，它有著傳統(tǒng)培訓不可替代的作用，應該是企業(yè)長期緊抓的工作。但一些單位或部門對于安全生產網絡培訓卻只在表面上做文章，主要表現(xiàn)在以下幾個方面。第一，培訓目標不清。有些單位或部門每年制訂的網絡培訓計劃，看似有目標、有目的，但卻沒有針對本單位在生產過程中存在的安全問題，制定長期性、連續(xù)性、系統(tǒng)性的培訓內容。第二，網絡培訓“寬進寬出”、學員為應付培訓而學習，不管學習效果如何，只要在網上學習的時間滿足一定的學時，人人都可以過關發(fā)證。

網絡教育培訓內容不完善，忽略網絡考核與評價。我國《安全生產法》中明確規(guī)定:“生產經營企業(yè)應當對從業(yè)人員進行安全生產教育和培訓，保證從業(yè)人員具備必要的安全生產知識，熟悉有關的安全生產規(guī)章制度和安全操作規(guī)程，掌握本崗位的安全操作技能?！币虼耍踩嘤枒茸⒅貑T工的思想培訓、規(guī)章制度培訓，同時還包括安全技術教育。而目前大多數(shù)網絡教育平臺都過多注重安全知識教育，而忽略思想培訓或規(guī)章制度的教育，對網絡學習后的考核與評價更是不加以重視，導致網絡培訓效果大打折扣。

培訓平臺設計功能不全，嚴重影響網絡培訓效果。菲爾迪維克將網上教學平臺分為三大部分:①管理，包括建立并維護網上課程，登記注冊，登錄控制，使用追蹤等;②教學，包括界面觀感，教學工具，評估工具，課程管理等;③學生使用，包括自我編程，自我評估等。從目前部分企業(yè)安全生產網絡教育平臺提供的各種功能來看，大多數(shù)都能有效的提供教與學的功能，但還是有很多平臺缺乏對網絡教學的管理功能。因此，針對上述企業(yè)安全生產網絡培訓所存在的問題，我們應該在熟悉企業(yè)安全生產網絡培訓特點的基礎上，根據網絡培訓的內容，提出解決問題策略。

企業(yè)安全生產網絡培訓的特點

企業(yè)安全生產網絡培訓兼具有企業(yè)安全教育培訓及網絡教育的特點，因此，除了具有網絡教育的時空分離、師生分離、實時與非實時交互的特點外，還應包括下面幾個特點:第一，長期性和艱巨性。由于生產條件的發(fā)展變化、勞動者的更替、勞動者心理和生理的變化，決定了安全教育的長期性和艱巨性。第二，廣泛性和實踐性。企業(yè)的所有人員都需要接受安全教育，都要把安全放在第一位。并且安全教育的效果要通過生產實踐來檢驗。第三，專業(yè)性和科學性。安全教育涉及到自然科學、社會科學、管理科學等科學，有自己基本的理論、獨特的內容和區(qū)別于其它教育的方式方法，必須科學施教。

企業(yè)安全生產網絡培訓的內容

國家安全生產監(jiān)督管理局件中明確了對企業(yè)主要負責人、安全生產管理人員及其他人員的安全生產培訓考核實行統(tǒng)一規(guī)劃、分類指導、分級實施的原則，并對這三類人員培訓的主要內容做出具體規(guī)定。其內容主要包括:安全生產新知識、新技術，安全生產法律法規(guī)、作業(yè)場所和工作崗位存在的危險因素、防范措施及事故應急措施等。因此企業(yè)安全網絡教育培訓要僅僅圍繞著這些內容開展。

企業(yè)安全生產網絡培訓的對策

(1)制定完善的安全教育網絡培訓制度。對于企業(yè)而言，在安全生產網絡教育方面的規(guī)章制度是對網絡教育管理和各項網絡教育培訓實施的指導性文件，通過安全生產網絡教育規(guī)章制度的實施可以有效地貫徹、執(zhí)行國家、企業(yè)的法律、法規(guī)，保障安全教育網絡培訓工作達到預期效果。因此，一定要制定完善的安全教育網絡培訓制度，明確了各級管理人員、各職能部門以及崗位人員的職責，充分調動各級人員和各部門在安全生產網絡培訓方面的積極性和主觀能動性。

(2)轉變觀念，加大網絡教育培訓的投入。首先，企業(yè)領導要轉變觀念，既要認識到傳統(tǒng)培訓的優(yōu)勢，又要認識到網絡培訓的優(yōu)缺點，這樣在安全教育教學中，才能揚長避短。其次，在安全教育資金投入上，重新調整分配方案，加大網絡培訓的費用，確保網絡教育培訓平臺的建設。最后，在網絡教育培訓實施過程中，要投入更多的精力，只有這樣，才能提高安全教育網絡培訓的質量，提高網絡學員的學習效果。

(3)嚴格網絡培訓考核制度，完善考核監(jiān)督機制。網絡教育培訓要嚴格培訓考核制度。培訓教育不能流于形式，要真正讓受訓人員達到培訓的目的。企業(yè)管理者高度重視職工的安全生產的網絡培訓工作，責令培訓部門在制定詳細培訓計劃的同時，要制定出嚴格的考核制度，堅決杜絕過去那種“寬進寬出、高分低能”，甚至交了錢就能拿證書的不良現(xiàn)象。同時網絡教育培訓還要建立和完善培訓考核監(jiān)督機制。網絡培訓質量的高低，最有說服力的是上崗后的表現(xiàn)和產生的效果。因此，安全生產培訓的考核，要改變培訓質量由培訓部門獨家評價的現(xiàn)象。不僅要注重理論上應知應會的考核，更要注重現(xiàn)場操作中應知應會和解決問題能力的考核，并作為對培訓部門工作業(yè)績考核和獎懲的重要依據，以此增強其責任心和壓力感。

(4)豐富企業(yè)安全生產網絡培訓的內容。具體地說，企業(yè)安全生產網絡培訓主要應該分為以下內容:①有關生產的法律、法規(guī)及有關本行業(yè)的規(guī)章、規(guī)程、規(guī)范和標準。通過對安全生產方針、政策的宣傳，對安全法制法規(guī)的貫徹和引導，以及勞動安全紀律的培訓，提高員工的安全意識，增強知法、守法的自覺性，確保安全責任制和安全操作規(guī)程的履行和執(zhí)行。②有關企業(yè)的安全生產知識。包括:企業(yè)的基本生產狀況，施工工藝和方法，施工中的危險區(qū)域和危險部位，各類不安全因素及其安全防護的基本知識，安全注意事項等。③安全技能培訓。結合具體崗位、工種、專業(yè)的特點，通過對實現(xiàn)安全操作、安全防護所必須具備的基本技術知識的學習和實際的操作演練。④事故應急救援和調查處理知識。通過實際事故案例分析和介紹，了解事故發(fā)生的條件、過程和后果，對認識事故發(fā)生規(guī)律、總結經驗、吸取教訓、防止同類事故再次發(fā)生。

篇3

電力企業(yè)使用的各種應用軟件都有可能存在一定的設計缺陷，這些缺陷通常稱之為漏洞。很多的黑客就是利用這些漏洞對企業(yè)的應用信息網絡實施攻擊，而很多的電力企業(yè)的局域網和國際互聯(lián)網是隔離的，這就造成企業(yè)的電腦應用軟件系統(tǒng)不能及時更新，漏洞不能第一時間修復，一旦木馬通過移動存儲設備入侵，就會造成難以估量的損失。

1.1電力企業(yè)的系統(tǒng)備份缺乏應用經驗

當前很多的維護人員對企業(yè)重要信息數(shù)據普遍采用每周備份，每星期對數(shù)據進行一次刻錄備份，而在實際的應用過程中，備份的信息數(shù)據只有在不斷訓練中才能保證及時有效應用。但是，從工作實際來看，備份恢復操作演練要比備份本身復雜得多，很多的維護工作人員寧可選擇每天備份，也不情愿組織一次數(shù)據恢復訓練。信息安全網絡應該是在建設、運行、維護和管理這幾個方面相互結合而的。信息安全是降低其企業(yè)風險和減少成本的一個必要的環(huán)節(jié)。

2.電力企業(yè)信息安全與管理問題對策探析

電力信息安全管理是一個技術和管理相互結合的一個問題。除了技術手段啊之外還需要落實安全管理。不斷提升企業(yè)的信息安全防護等級，緊盯當今世界信息安全防護領域的發(fā)展和技術突破，運用先進的信息技術來應對可能出現(xiàn)的安全問題，制定明確的安全防護策略和制度，確保信息安全有制度保障。根據著名的木桶原理，企業(yè)信息安全的隱患不在信息的優(yōu)勢環(huán)節(jié)，而在企業(yè)最為薄弱的管理應用環(huán)節(jié)。立足信息管理的現(xiàn)狀和時展需要，盡快構建高效安全的綜合性信息安全管理防范體系。

2.1健全電力企業(yè)的安全管理與考評機制

在很多的企業(yè)、事業(yè)單位了，一直都流行并經常驗證著這樣一個名言：“三分技術七分管理。”從技術的角度來看，防范一般都是已知的各種安全問題和威脅，三分技術；從管理的角度來看，工作是人的工作，人的工作是活的工作，人的工作具有很大的不確定性，這都給安全管理帶來諸多的不確定性，管理都是針對人，無論才能哪種安全管理制度來約束，還是使用一定的技術手段來要求限制，目的都是要約束人的行動，規(guī)范人的行為，盡可能不給安全威脅以任何機會。為此，就要建立切實可行并認真執(zhí)行的引進標準、風險評估、技術應用等技術管理機制；通過實行崗位安全責任制，嚴格明確各方的安全責任，依照法律規(guī)定和安全生產標準來建設信息系統(tǒng)和制定管理制度。并定期或不定期開展自查、自評、督查、考評等，把電力企業(yè)的安全責任嚴格落實到人，并將企業(yè)信息安全與管理和年讀考評直接掛鉤，確保制度健全，落實到位。這樣每個人都可以清楚的了解自己的職責所在的，員工都會積極的參與到信息安全管理之中。

2.2建立健全“長治機制”，做好信息安全教育培訓

電力企業(yè)信息安全管理是一項長期系統(tǒng)工程，需要常抓不懈，警鐘長鳴，不能風過無形，流于形式。重在落實，長期堅持，永不松懈。電力企業(yè)進行信息安全教育培訓是確保信息安全的又一重要保障。對企業(yè)員工的教育和技術培訓直接關乎安全的重視程度和執(zhí)行效果。只有不斷加強教育，才能引起員工對信息安全的足夠重視，只有不斷及時培訓，才能保證員工在技術上有可靠保障。為此，電力企業(yè)應建立一整套較為完善的信息安全培訓體系，制定翔實的技術培訓計劃，增強員工的安全意識，提高企業(yè)的應對水平。建立信息網絡安全按的一個組織系統(tǒng)，控制和開展信息安全的管理權限，并且積極學習關于信息安全的專業(yè)知識組建可行性的信息安全系統(tǒng)。

2.3規(guī)范使用各種移動存儲設備

由于現(xiàn)在各種移動存儲設備已經普及，使用的頻率非常之高，各級主管部門必須根據實際情況進行綜合管理和教育培訓。不可能禁止使用，又不能讓這些設備濫用。最好的辦法就是對員工進行積極教育培訓，引導員工科學、適時使用移動存儲設備，首先讓員工明白，使用移動存儲設備可能帶來的安全隱患，引導員工減少使用次數(shù)，增強安全意識；其次，進行技術培訓，引導員工按照插拔要領進行操作，使用讀寫開關和加密功能，定期進行病毒查殺，使用設備不得違反信息安全的管理制度等等。力爭員工養(yǎng)成良好的使用習慣，做到妥善保管，操作規(guī)范，嚴禁外借，及時殺毒，做好雙備份等。

3.結束語

篇4

一、建立電子檔案信息安全評價指標體系的必要性

信息技術在檔案管理中的廣泛應用，一方面提高了檔案工作的效率，擴大了檔案的社會影響力；另一方面也對檔案工作提出了新的要求，例如存儲介質的不穩(wěn)定、技術過時、黑客入侵、電腦病毒破壞等都使得電子檔案信息的安全保護面臨著前所未有的挑戰(zhàn)。

在2002年國家檔案局頒發(fā)的《全國檔案信息化建設實施綱要》和近期各省市的“十一五檔案信息化建設綱要”中都提出了“檔案信息安全保障體系建設”，但仍缺乏深入、系統(tǒng)的探討。電子檔案信息的安全管理是一個過程，而不是一個產品，我們不能期望通過一個安全產品就能把所有的安全問題都解決。對各檔案管理系統(tǒng)來說，解決電子檔案信息安全的首要問題就是要識別自身信息系統(tǒng)所面臨的風險，包括這些風險可能帶來的安全威脅與影響的程度，然后進行最充分的分析與評價。只有采用科學有效的模型和方法進行全面的安全評價，才能真正掌握內部信息系統(tǒng)的整體安全狀況，分析各種存在的威脅，以便針對高風險的威脅采取有效的安全措施，提高整體安全水平，逐步建成堅固的電子檔案信息安全管理體系。

二、電子檔案信息安全評價指標體系的組成

電子檔案信息系統(tǒng)是一個復雜的系統(tǒng)工程，既有硬件，又有軟件，既有外部影響，又有內部因素，而且許多方面是相互制約的。因此，必須有一個規(guī)范的、統(tǒng)一的、客觀的標準。根據國內外的電子檔案信息安全評估標準，國家對電子檔案信息和網絡信息系統(tǒng)安全性的基本要求，結合電子檔案管理和網絡管理經驗，綜合考慮影響電子檔案信息安全的各種因素，建立電子檔案信息安全評價指標體系。該體系主要包括五個大項二十個小項的評價指標。

1、物理安全評價指標

物理安全是指存儲檔案信息的庫房、計算機設備及管理人員工作場所內外的環(huán)境條件必須滿足檔案信息安全、計算機設備和管理人員的要求。對于各種災害、故障要采取充分的預防措施，萬一發(fā)生災害或故障，應能采取應急措施，將損失降到最低。物理安全包括環(huán)境安全、設備安全和載體安全三個方面。

(1)環(huán)境安全：主要指存儲檔案信息的庫房、計算機機房周圍環(huán)境是否符合管理要求和是否具備抵抗自然災害的能力，如庫房是否建在電力、水源充足，自然環(huán)境清潔，通訊、交通運輸方便的地方；有無防火、防水措施；有無監(jiān)控系統(tǒng)；有無防雷措施等。

(2)設備安全：主要是指對電子檔案信息系統(tǒng)設備的安全保護，包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。

(3)載體安全：保證設備安全的同時，也要保證載體安全，要對載體采取物理上的防盜、防毀、防霉等措施。

2、管理安全評價指標

安全管理在電子檔案信息安全保障中起著規(guī)范和制約的作用，科學的管理理念加上嚴格的管理制度才能最終保證電子檔案信息的安全。電子檔案信息的管理安全評價指標具體包括：

(1)專門的檔案信息安全組織機構和專職的檔案信息安全管理人員：檔案信息安全組織機構的成立與檔案信息安全管理人員的任命必須有相關單位的正式文件。

(2)規(guī)章制度：包括有無健全的電子檔案信息安全管理規(guī)章制度；檔案信息安全人員的配備、調離是否有嚴格的管理制度；設備與數(shù)據管理制度是否完備；是否有登記建檔制度；是否有完整的電子檔案信息安全培訓計劃和培訓制度；各類人員的安全職責是否明確，能否保障電子檔案信息的安全管理。

(3)是否有緊急事故處理預案：為減少電子檔案信息系統(tǒng)故障的影響，盡快恢復系統(tǒng)，應制定故障的應急措施和恢復規(guī)程以及自然災害發(fā)生時的應急預案，制成手冊，以備及時恢復系統(tǒng)運行。

3、網絡安全評價指標

越來越多的電子檔案在網絡上傳輸，而網絡作為一種構建在開放性技術協(xié)議基礎上的信息流通渠道，它的防衛(wèi)能力和抗攻擊能力較弱，可能會遭受到病毒、黑客的襲擊。為了保證電子檔案的安全必須保證其傳輸?shù)拿浇椤W絡的安全，網絡安全評價指標包括以下幾個方面：

(1)是否有計算機病毒防范措施

(2)是否有防黑客入侵設施：主要是設置防火墻和入侵檢測等設施。

(3)是否有訪問控制措施：訪問控制是指控制訪問網絡信息系統(tǒng)的用戶，當用戶之間建立鏈接時，為了防止非法鏈接或被欺騙，就可實施身份確認，以確保只有合法身份的用戶才能與之建立鏈接。

(4)是否有審計與監(jiān)控：審計與監(jiān)控是指應使用網絡監(jiān)控設備或實時入侵檢測設備，以便對進出各級局域網的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。

4、信息安全評價指標

在網絡能夠正常運行的基礎上，我們要保證在系統(tǒng)中傳輸、存貯的電子檔案信息是安全的，不被截取、篡改或盜用。

(1)是否采取加密措施：檔案的本質屬性是原始記錄性，而計算機和網絡的不穩(wěn)定性使得電子檔案信息的這一特性難以保證，而且有些電子檔案信息有密級限制，不能公開在網絡上傳輸，所以電子檔案信息在網絡傳輸時必須通過加密來保證其安全。

(2)是否有數(shù)據完整性鑒別技術：網絡上的傳輸使得電子檔案信息的完整性無法保證，黑客的攻擊可以改變信息包內部的內容，所以應采取有效的措施來進行完整性控制，這對于電子檔案信息來說至關重要。

(3)是否確保信息數(shù)據庫的安全：一個組織最核心的信息通常以數(shù)據庫的形式保存和使用，保證數(shù)據庫安全對于電子檔案信息來說有重要的作用。

(4)是否有信息防泄漏措施：信息防泄漏包括信息審計系統(tǒng)和密級控制兩方面。信息審計系統(tǒng)能實時對進出內部網絡的信息進行內容審計，以防止或追查可能的泄密行為；另外，可以根據信息保密級別的高低劃分公開范圍，并對用戶劃分訪問權限，進行分組管理。

(5)是否有防抵賴技術：防抵賴技術確保用戶不能否認自己所做的行為，同時提供公證的手段來解決可能出現(xiàn)的爭議，它包括對數(shù)據源和目的地雙方的證明，常用方法是數(shù)字簽名。

5、系統(tǒng)安全評價指標

這里的系統(tǒng)安全是指計算機整個運行體系的安全。在計算機上處理信息時，硬件、軟件出現(xiàn)故障或誤操作、突然斷電等都會使正在處理的信息丟失，造成無法彌補的損失。所以我們需要采取一系列措施保證系統(tǒng)的穩(wěn)定，確保信息的安全。計算機系統(tǒng)安全評價指標有：

(1)是否有系統(tǒng)操作日志：系統(tǒng)操作日志詳細記錄了系統(tǒng)的操作狀況，以便事后分析和追查系統(tǒng)損壞的原因，為系統(tǒng)提供進一步的安全保障。

(2)是否進行系統(tǒng)安全檢測：運用系統(tǒng)安全檢測工具對計算機和網絡進行安全檢測，可及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞或惡意的攻擊，進而采取有效的補救措施和安全策略，達到增強網絡安全性的目的。

(3)是否有操作系統(tǒng)防破壞措施：操作系統(tǒng)集中管理系統(tǒng)的資源，是計算機系統(tǒng)賴以正常運轉的中樞，它的安全性將直接影響到整個計算機系統(tǒng)的安全。操作系統(tǒng)應當建立某些相對的鑒別標準，保護操作系統(tǒng)本身在內的各個用戶，阻止有害功能的運行。

(4)是否進行系統(tǒng)信息備份：日常備份制度是系統(tǒng)備份方案的具體實施細則，應嚴格按照制度進行日常備份，否則將無法達到備份方案的目標。

(5)是否有災難恢復系統(tǒng)：當系統(tǒng)因人為或自然因素受到破壞時，我們應保證能夠盡快地恢復正常工作，把損失控制在最小范圍內。

三、電子檔案信息安全評價指標體系權重確定方法

用若干個指標進行綜合評價時，其對評價對象的作用，從評價目的來看，并不是同等重要的。指標越重要，權的數(shù)值就越大；反之，數(shù)值小則可以說明其重要程度相對較低。

合理地確定和適當?shù)卣{整指標權重，體現(xiàn)了系統(tǒng)評價指標中各因素之間的輕重有度、主次有別，更能增加評價因素的可比性。在安全評價中，具體確定權重的方法很多，如德爾菲法、主成分分析法、層次分析法、環(huán)比法等。其中，層次分析法比較適用于電子檔案信息安全的評價。

層次分析法的核心是對決策對象進行評價和選擇，并對它們進行優(yōu)劣排序，從而為決策者提供定量形式的決策依據。它充分利用人的分析、判斷和綜合能力，適用于結構較為復雜、決策準則較多且不易量化的決策問題。它將定性分析和定量分析相結合，具有高度的簡明性、有效性、可靠性和廣泛的適用性。而電子檔案信息安全指標體系因素多、主觀性強且決策結果難以直接準確計量，因而可以用層次分析法來確定指標體系的權重。層次分析法的基本步驟是：

1、將復雜問題概念化，找出研究對象所涉及的主要因素；2、分析各因素的關聯(lián)、隸屬關系，構建有序的階梯層次結構模型；3、對同一層次的各因素根據上一層次中某一準則的相對重要性進行兩兩比較，建立判斷矩陣；4、由判斷矩陣計算被比較因素對上一層準則的相對權重，并進行一致性檢驗；5、計算各層次相對于系統(tǒng)總目標的合成權重，進行層次總排序。

四、電子檔案信息安全評價指標體系綜合評價方法

綜合評價是指對被評價對象進行客觀、公正、合理的全局性、整體性評價。可以用作綜合評價的數(shù)學方法很多，但是每種方法考慮問題的側重點各有不同。鑒于所選擇的方法不同，有可能導致評價結果的不同，因而在進行多目標綜合評價時，應具體問題具體分析。根據被評價對象本身的特性，在遵循客觀性、可操作性和有效性原則的基礎上選擇合適的評價方法。在信息安全領域，目前存在的綜合評價方法有信息系統(tǒng)安全風險的屬性評估方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法等。對于這些方法，目前還沒有評論認為哪一種方法更適用于信息安全領域的綜合評價。鑒于此種情況，本指標體系采用模糊綜合評價方法。

模糊綜合評價就是以模糊數(shù)學為基礎，應用模糊關系合成的原理，將一些邊界不清、不易定量的因素定量化，進行綜合評價的一種方法。從評價對象來看，用模糊綜合評價方法來評價信息安全系統(tǒng)是可行的。首先，對于信息的安全管理而言，“安全”與“危險”之間沒有明顯的分界線，即安全與危險之間存在著一種中間過渡的狀態(tài)，這種中間狀態(tài)具有亦此亦彼的性質，也就是通常所說的模糊性。因此在安全的刻畫與描述上大多采用自然語言來表達，而自然語言最大的特點是它的模糊性。另外，電子檔案信息安全評價中，對一些評價要素的評價是具有模糊性的。如組織管理中的評價很難量化，一般只能用“好”、“一般”、“差”等等級概念來描述，具有較強的模糊性。而且一些評價要素受外界環(huán)境的影響較大，具有不確定性，如網絡攻擊、安全設施失效、人為失誤等偶然性較大，難以準確評價。對于這些模糊的、不確定性的問題通常采用模糊數(shù)學來研究。模糊綜合評價方法就是在對多種因素影響的事物或現(xiàn)象進行總的評價過程中涉及到模糊因素或模糊概念的一種評估方式，它通過運用模糊集合中隸屬度和隸屬度函數(shù)的理論來刻畫這種模糊性，以達到定量精確的目的。

總之，模糊綜合評價方法是一種適用于在信息安全管理方面進行系統(tǒng)評價的可行方法，其基本步驟為⑦：

1、確定評價集。評價集是以評判者對被評價對象可能做出的各種總的評判結果為元素組成的集合，例如我們可以對電子檔案信息安全評價采用五個等級的評語集合(很好，好，較好，一般，差)。

2、建立因素集。因素集是以影響評判對象的各種因素為元素組成的集合，在本文的電子檔案信息安全評價體系中，主因素層的因素集有物理安全、管理安全、網絡安全、信息安全和系統(tǒng)安全五個指標，其下層又有各自的影響因素集，由各自的具體影響指標組成。

3、建立權重集。由于各評價要素在評價中的重要程度不同，因而必須對各要素按其重要程度給出不同的權重，權重集通過層次分析法確定。