導語：如何才能寫好一篇審計信息安全管理，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【關鍵詞】建筑深基坑；基坑支護；技術管理

中圖分類號： TV551 文獻標識碼： A

一、引言

隨著國民經濟的迅猛發(fā)展，建筑業(yè)蓬勃發(fā)展．城市中心為了節(jié)省建筑用地和滿足停車位要求，各地人防管理部門、城市規(guī)劃部門均要求新建工程必須按一定比例建設戰(zhàn)時防空地下室平時作為地下停車場和設備用房的地下室。在給城市提供寶貴的建筑空間的同時．與基坑有關的安全事故也時有發(fā)生。輕者基坑邊坡位移，周邊道路、建筑物開裂；重者基坑整體失穩(wěn)破壞．傾覆坍塌，人員傷亡，周邊市政管網遭到破壞．毗鄰房屋結構安全受到影響建筑深基坑的安全隱患和事故已經引起各級政府建設行政主管部門和業(yè)內人士的高度關注住建部于2009年5月印發(fā)《危險性較大的分部分項工程安全管理辦法》(建質[2009]87號)，文中要求深基坑支護設計方案及深基坑工程專項施工方案均必須通過專家論證會．可見其重要性。

二、中心城區(qū)建筑深基坑的特點

中心城區(qū)建筑深基坑主要有如下特點：基坑周邊接近建筑用地紅線．基坑支護不允許超越紅線，基坑周邊地下存在大量電纜、光纜、給排水管道、液化氣管道和城市道路等基坑支護要求嚴格控制支護結構的位移和地面、管道的變形；基坑深度超過鄰近建筑物基礎的埋深．基坑土方開挖及降水不能影響鄰近建筑的結構安全基坑周邊需要材料堆場．可供材料、土方運輸?shù)牡缆肥芟蓿又ёo要考慮該處的地面超載等等有的基坑邊還存在古建筑或古樹等，須重點保護?？傊鞘兄行膮^(qū)建筑深基坑工程的特點是周邊環(huán)境因素復雜．須監(jiān)測保護的項目多．基坑支護不僅要滿足本基坑工程土方的開挖要求。同時還要保護好周邊的環(huán)境。

三、建筑深基坑事故的主要表現(xiàn)形式和原因

(1)深基坑工程施工中的安全事故主要表現(xiàn)形式有：

1)基坑支護結構局部破壞．局部側壁出現(xiàn)塌方，擋土樁出現(xiàn)開裂。

2)基坑截水帷幕功能失效．基坑大量進水或涌沙、涌泥。

3)基坑底部土體嚴重隆起。

4)基坑支護結構嚴重位移或破壞、或地下降水不當引起基坑周邊道路、地下管線、建筑物變形、破壞。

5)基坑支護結構整體失穩(wěn)坍塌，嚴重影響周邊的環(huán)境

(2)引起建筑基坑工程事故的主要原因有：

1)地址勘察單位提供的基坑巖土勘察資料不準確，不完整

2)設計單位提供的基坑支護設計方案不合理或存在嚴重的安全問題

3)施工單位對基坑工程不重視，未按規(guī)定編制可行的施工方案而隨意施工

4)基坑工程施工方案存在嚴重的缺陷

5)施工單位雖編制了切實可行的施工方案，但是在施工中為了省造價或趕工期而未按方案實施。

6)監(jiān)測單位提供的監(jiān)測資料不及時或資料有誤、不完整

7)基坑工程施工中遇到突發(fā)事故沒有切實可靠的應急處理方案

8)其他不可預知的因素或自然災害引起的基坑事故

四、建筑深基坑工程安全控制要點

(1)建筑基坑工程巖土勘察報告應準確完整巖土工程勘察報告(以下簡稱勘察報告)是基坑支護設計方案和降水方案的重要依據．其是否準確完整將對基坑支護設計方案產生重大的影響?？辈靾蟾鎽獫M足《建筑基坑支護技術規(guī)程》JGJ120―2012要求的深度，如基坑勘探點的位置、深度、間距，各含水土層地下水的埋深分布、水量大小、變化幅度、滲透參數(shù)、影響半徑等。《勘察報告》應提供“基坑支護主要參數(shù)值”，如各土層的重度、內聚力、摩擦角、樁周土的側阻力特征值等?！犊辈靾蟾妗愤€應查明基坑周邊環(huán)境條件，如周邊建筑的結構類型、層數(shù)、位置、基礎形式、埋深；周邊地下管網的分布、埋深；周邊道路的位置、寬度、道路行駛情況、最大車輛荷載等．并提出基坑支護的建議方案

(2)建筑深基坑支護設計方案應做到技術先進、安全可靠、經濟合理、切實可行。

l基坑支護設計方案對基坑工程的安全起關鍵性作用?；又ёo設計．其核心是為地下室基坑土方開挖施工提供技術支持基坑支護設計方案主要包含如下內容：

①用于基坑擋土的支擋結構設計；

②用于排水、隔水的地下水處理方案：

③用于土方分層開挖的側壁支護方案：

④對周邊環(huán)境的保護方案；

⑤對支護結構、工程樁、周邊環(huán)境的監(jiān)測方案等。

2)基坑支護設計執(zhí)業(yè)人員應具備一定的巖土工程和建筑結構專業(yè)知識以及豐富的實踐經驗．并以科學嚴謹、認真負責的工作態(tài)度進行方案設計。

一級基坑工程支護應由注冊巖土工程師和一級注冊結構工程師聯(lián)合設計基坑支護設計方案要做到技術先進、安全可靠、經濟合理，確?；庸こ碳爸苓叚h(huán)境的安全．主要考慮以下幾個方面：

①基坑支護設計前．要仔細研究勘察報告的有關內容，并到現(xiàn)場查明基坑周邊環(huán)境條件如基坑所處位置的地形、地貌、地質成因、各土層的物理指標，水位的高低及水壓力的大小：基坑周邊建(構)筑物、地下管網、道路等情況。對勘察報告描述不清或數(shù)據明顯有誤的地方．要求提出專項勘察．補充修正。

②支護設計方案比選。應針對基坑深度、規(guī)模、周邊環(huán)境的情況盡可能設計多種方案．并進行技術、安全、經濟比較后，選擇安全經濟型的設計方案。對于工程等級為一級．基坑開挖深度大于4m?；虻刭|條件、周邊環(huán)境和地下管線復雜，或毗鄰建筑物安全的基坑工程．設計方案應聘請當?shù)亟涷炟S富的專家進行技術論證

③基坑支護設計方案應綜合考慮工程地質與水文地質條件，主體地下結構要求，基坑開挖深度，降排水條件．周邊環(huán)境對側壁位移的要求．基坑周邊荷載，周邊建(構)筑物基礎的類型、埋深、間距，周邊道路、地下管線，當?shù)厥┕すに囁剑邮┕ぜ竟?jié)變化．支護結構合理使用期限等因素．做到因地制宜、因時制宜、技術先進、安全可靠、經濟合理、切實可行目前國內沿海軟土地區(qū)單層地下室常采

用的支護結構有重力式水泥土墻、土釘墻、復合土釘墻、排樁。兩層及兩層以上地下室采用排樁加內支撐，樁型有PHC管樁、鋼筋砼灌注樁、拉森板樁、三軸水泥攪拌樁(SMW工法)內插型鋼、鋼管樁等，還有造價較高的地下連續(xù)墻．逆作拱墻等

(3)深基坑工程施工方法、土方開挖順序應與設計工況相一致。

基坑工程施工前．施工單位應組織專業(yè)技術人員，依據基坑支護設計施工圖、巖土勘察報告、主體地下結構施工圖、項目總體施工組織設計方案、現(xiàn)行規(guī)范規(guī)程標準等資料編制施工專項方案方案中主要包含以下內容：

1)編制依據：相關法律法規(guī)、規(guī)范規(guī)程．施工組織設計，勘察報告，施工圖等；

2)工程概況：施工總平圖．工程等級．基坑開挖深度、基坑面積、周長，支護形式等：

3)施工方法：施工工藝，工藝流程。技術參數(shù)等：

4)施工計劃：人員、材料、設備、機械計劃．進度計劃等：

5)安全組織：建立專項安全管理機構：6)質量安全保證措施：質量檢測，檢測方法，安全管理措施等：

7)降排水措施：

8)基坑及周邊環(huán)境監(jiān)測要求：

9)環(huán)境保護措施：

10)應急預案等：

11)相關附圖及計算書。

如基坑工程屬于住建部規(guī)定的超過一定規(guī)模的危險性較大的分部分項工程時．施工單位還要就該方案組織專家論證會?；油练介_挖應與土釘、錨桿及降水施工密切結合．開挖順序、方法應與設計工況相一致對于復合土釘墻施工必須符合“超前支護、分層分段、逐層施作、限時封閉、嚴禁超挖”的要求，做到動態(tài)設計、信息化施工。施工中遇到地質情況與勘察報告不符或未探明的地質等特殊情況。應及時與設計、相關技術人員和專家會商，制定相應的對應措施．出現(xiàn)危險征兆．應立即啟動應急預案。

篇2

衛(wèi)生監(jiān)督信息系統(tǒng)信息安全技術體系建設，嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數(shù)據安全及備份恢復等5個方面進行設計。

1.物理安全

衛(wèi)生監(jiān)督中心現(xiàn)有南北兩個機房，機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統(tǒng)，南機房部署等級保護第二級信息系統(tǒng)，實現(xiàn)了第三級系統(tǒng)與第二級系統(tǒng)物理環(huán)境隔離。根據等級保護有關要求，機房均采用了精密空調、門禁系統(tǒng)、環(huán)境監(jiān)測系統(tǒng)等設備設施及技術手段，有效地保證了機房的物理安全。

2.網絡安全

主干網絡鏈路均采用雙鏈路連接，關鍵網絡、安全設備均采用雙機冗余方式，避免單點故障。采用防火墻、入侵防護系統(tǒng)、DDoS系統(tǒng)進行邊界防護，各網絡區(qū)域之間采用防火墻進行區(qū)域隔離，在對外服務區(qū)部署了入侵檢測系統(tǒng)，在交換服務區(qū)部署了網絡審計系統(tǒng)。在核心數(shù)據區(qū)部署了數(shù)據庫審計系統(tǒng)，對網絡行為進行監(jiān)控和記錄。在安全管理區(qū)部署安全管理系統(tǒng)，實現(xiàn)設備日志的統(tǒng)一收集及分析。

3.主機安全

所有服務器和管理終端配置了密碼安全策略；禁止用戶遠程管理，管理用戶必須進入機房通過KVM進行本地管理；所有服務器和管理終端進行了補丁更新，刪除了多余賬戶，關閉了不必要的端口和服務；所有服務器和管理終端開啟了安全審計功能；通過對數(shù)據庫的安全配置，實現(xiàn)管理用戶和特權用戶的分離，并實現(xiàn)最小授權要求。

4.應用安全

衛(wèi)生監(jiān)督中心7個應用系統(tǒng)均完成了定級備案，并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署，保證了系統(tǒng)的高可用性，同時建立了安全審計功能模塊，記錄登錄日志、業(yè)務操作日志、系統(tǒng)操作日志3種日志，并實現(xiàn)查詢和審計統(tǒng)計功能，配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統(tǒng)。信息安全等級保護第三級系統(tǒng)管理人員及高權限用戶均使用CA證書登錄相應系統(tǒng)。

5.數(shù)據安全及備份恢復

衛(wèi)生監(jiān)督信息報告系統(tǒng)數(shù)據庫服務器使用了雙機熱備，應用服務器采用多機負載均衡，每天本地備份，保證了業(yè)務系統(tǒng)的安全、穩(wěn)定和可靠運行。其余等級保護第三級信息系統(tǒng)使用了雙機備份，無論是軟件還是硬件問題，都可以及時準確地進行恢復并正常提供服務。同時，衛(wèi)生監(jiān)督中心在云南建立了異地數(shù)據備份中心，每天進行增量備份，每周對數(shù)據進行一次全備份。備份數(shù)據在一定時間內進行恢復測試，保證備份的有效性。

二、信息安全管理體系

在開展信息安全等級保護工作中，我們深刻體會到，信息安全工作“三分靠技術，七分靠管理”。為保證信息安全等級保護工作順利進行，參考ISO/IEC27001《信息安全管理體系要求》，衛(wèi)生監(jiān)督中心建立了符合實際工作情況的信息安全管理制度體系，明確了“統(tǒng)一領導，技管并重；預防為主，責權分明；重點防護，適度安全”的安全方針，涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理五大方面的要求。衛(wèi)生監(jiān)督中心建立了較為完善的信息安全責任制，設立了信息安全領導小組，領導小組組長由衛(wèi)生監(jiān)督中心主任擔任，成員由衛(wèi)生監(jiān)督中心有關處室負責人組成，信息處作為信息安全工作辦公室負責衛(wèi)生監(jiān)督中心日常信息安全管理工作。信息處設立了信息安全管理崗位，分別為網絡管理員、系統(tǒng)管理員、應用管理員、安全管理員、安全審計員、機房管理員，并建立了信息安全崗位責任制度。此外，衛(wèi)生監(jiān)督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂，確保信息安全工作落到實處。

三、信息安全運維體系

在信息安全工作中，建立信息安全管理制度不是目的，要以信息安全等級保護有關要求指導信息安全運維實踐。衛(wèi)生監(jiān)督中心結合實際情況，編制了《國家級衛(wèi)生監(jiān)督信息系統(tǒng)運行維護工作規(guī)范》，從運行維護流程、資源管理和環(huán)境管理三個方面進行了規(guī)范，將安全運維理念落到實處。運維人員在實際工作中，嚴格按照工作規(guī)范要求。利用衛(wèi)生監(jiān)督中心OA系統(tǒng)，建立了統(tǒng)一的服務臺，實現(xiàn)了事件、問題的全流程閉環(huán)管理（即：發(fā)現(xiàn)問題、登記問題、解決問題、解決反饋、解決確認）。年均處理信息安全事件近百件，將信息安全問題消滅在萌芽階段，有效地保證了信息系統(tǒng)穩(wěn)定運行，保證了衛(wèi)生監(jiān)督中心信息安全目標和方針的實現(xiàn)。

四、信息安全等級保護實踐經驗

1.規(guī)范管理，細化流程

衛(wèi)生監(jiān)督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設，為國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維管理工作中安全管理提供了重要指導。國家級衛(wèi)生監(jiān)督信息系統(tǒng)運維工作從安全管理體系的建設中吸取了很多有益經驗，不僅合理調配了運維管理人員，落實了運維管理組織機構和崗位職責，而且細化了運維管理流程，形成了“二級三線”的運維處理機制。

2.循序漸進，持續(xù)完善

篇3

【關鍵詞】電力企業(yè)信息安全管理策略

電力是國民經濟的命脈，電力系統(tǒng)的安全穩(wěn)定，不但直接關系到國家經濟的發(fā)展，還對民眾的日常生活有著巨大的影響。當前隨著電力企業(yè)市場業(yè)務的不斷開展，其與互聯(lián)網的聯(lián)系也越來越密切，但互聯(lián)網存在著很大的自由性和不確定性，可能會給電力企業(yè)帶來潛在的不安全因素。而當前電力企業(yè)的信息安全建設僅僅停留在封堵現(xiàn)有安全漏洞的階段，對于系統(tǒng)整體的信息安全意識還不夠。因此有必要對電力企業(yè)信息系統(tǒng)整體安全管理進行分析研究，有針對性的采取應對策略，確保電力企業(yè)網絡信息可以實現(xiàn)安全穩(wěn)定運行。

1做好安全規(guī)劃

做好電力企業(yè)的網絡安全信息規(guī)劃需要做到以下兩點：

（1）要對電力企業(yè)的網絡管理進行科學合理的規(guī)劃，要結合實際情況對電力企業(yè)的網絡信息安全管理進行綜合考量，從整體上對網絡信息安全進行考慮和布置。網絡安全信息管理的具體開展主要依靠于安全管理體系，這一點上可以參照一些國外經驗；

（2）電力企業(yè)因自身的獨特性質，需要使用物理隔離的方法將內外網隔離開來，內網方面要合理規(guī)劃安全區(qū)域，要結合實際情況，將安全區(qū)域劃分成重點防范區(qū)域與普通防范區(qū)域。電力企業(yè)信息安全的內部核心是重點防范區(qū)域，在此區(qū)域應當設置訪問權限，權限不足的普通用戶無法查看網頁。重要的數(shù)據運行如OA系統(tǒng)和應用系統(tǒng)等應該在安全區(qū)域內進行，這樣可以保證其信息安全。

2加強制度建設

安全制度是保障電力企業(yè)網絡信息安全的關鍵部分，安全制度可以提升企業(yè)員工和企業(yè)領導對網絡信息安全的意識，電力企業(yè)需要將安全制度作為企業(yè)的工作核心，要結合當前的實際情況，建立起符合電力企業(yè)網絡信息安全的管理制度，具體操作如下：

（1）做好安全審計，很多入侵檢測系統(tǒng)都有審計日志的功能，加強安全制度建設就需要利用好檢測系統(tǒng)的審計功能，做好對網絡日常工作的管理工作，對審計的數(shù)據必須要進行嚴格的管理，不經過允許任何人不得擅自修改刪除審計記錄。

（2）電力企業(yè)網絡系統(tǒng)需要安裝防病毒軟件來保障網絡信息的安全，安裝的防病毒軟件需要具備遠程安裝、報警及集中管理等功能。此外，電力企業(yè)要建立好網絡使用管理制度，不要隨便將網絡上下載的數(shù)據復制在內網主機上，不要讓來歷不清的存儲設備在企業(yè)的計算機中隨意使用。

（3）電力企業(yè)的管理者要高度重視其企業(yè)的網絡安全制度建設，不要把網絡信息安全管理僅僅看作是技術部門的工作，企業(yè)中應建立起一支專門負責網絡信息安全的工作領導小組，要做好對企業(yè)內所有職工的培訓，最好能讓每一名職工都擁有熟練掌握網絡信息安全管理的能力。企業(yè)管理者要明確相關負責人的工作職責，定期對網絡安全工作開展督導檢查，管理制度需要具備嚴肅性、強制性和權威性，安全制度一旦形成，就必須要求職工嚴格執(zhí)行。

3設置漏洞防護

隨著當前計算機網絡技術的迅速發(fā)展，很多已經投入運行性的網絡信息系統(tǒng)和設備的技術漏洞也隨著網絡技術的不斷發(fā)展而日益增加，這在很大程度上給了不法分子竊取電力企業(yè)網絡信息系統(tǒng)數(shù)據的機會，對此電力企業(yè)需要做好以下兩項工作：

（1）電力企業(yè)需要利用一些漏洞掃描技術來維護企業(yè)的網絡安全，要對企業(yè)的網絡信息系統(tǒng)經常開展掃描工作，從而及時發(fā)現(xiàn)系統(tǒng)漏洞并完成修復。這樣可以提升企業(yè)網絡信息安全系數(shù)，不但能阻斷不法分子入侵企業(yè)信息系統(tǒng)的途徑，還可以使企業(yè)避免需要經常性更換網絡信息系統(tǒng)設備可能增加的經濟負擔，從而促進企業(yè)實現(xiàn)長遠發(fā)展；

（2）電力企業(yè)需要提升對網絡信息安全的風險防范意識，增強企業(yè)應對突發(fā)事件的應急處理能力，針對不同的信息安全風險需要設置好不同的預警機制。要定期檢查企業(yè)的網絡信息安全技術，防止網絡安全漏洞的出現(xiàn)。還要及時做好對網絡信息防護新手段的更新工作，從而提升企業(yè)網絡信息系統(tǒng)的保護強度。

4提高管理手段

科學合理的企業(yè)網絡信息安全管理手段不僅可以維持電力企業(yè)的工作進度，還能有效規(guī)避企業(yè)網絡信息中所存在的安全隱患。提高企業(yè)網絡信息安全管理手段需要做到以下兩點：

（1）建立入侵保護系統(tǒng)IPS，提升企業(yè)網絡信息安全管理指標。在電力企業(yè)網絡管理系統(tǒng)中建立網絡入侵保護系統(tǒng)IPS，可以為網絡信息提供一種快速主動的防御體系，IPS的設計理念是對常規(guī)網絡流量中攜帶的惡意數(shù)據包進行數(shù)據安全檢測，若發(fā)現(xiàn)可疑數(shù)據IPS將發(fā)揮網絡安全防御功能，來阻止可疑數(shù)據侵入電力系統(tǒng)的網絡信息系統(tǒng)。與常規(guī)的網絡防火墻相比，IPS具備更加完善的安全防御功能，其不僅能對網絡惡意數(shù)據流量進行檢測還能夠及時消除隱患。此外，IPS還能為電力企業(yè)的網絡提供虛擬補丁，從而預先對黑客攻擊和網絡病毒做出攔截，保證企業(yè)的網絡不受損害；

（2）電力企業(yè)要加大對新型網絡信息安全技術的研發(fā)投入，在組建企業(yè)網絡信息安全系統(tǒng)時，要對系統(tǒng)各組成部分做嚴格檢查，確保設備符合安全標準。對于組建網絡信息系統(tǒng)所需要的設備和部件則必須要求供應商提供相應的安檢報告，嚴防設備和部件的安全隱患。對于企業(yè)已投入使用的系統(tǒng)和設備，必須定期做好檢查，以確保安全系統(tǒng)能夠順利有效的開展防護工作。

5總結

綜上所述，本文通過維護電力企業(yè)網絡信息安全管理的相關策略進行研究發(fā)現(xiàn)，運用做好安全規(guī)劃、加強制度建設、設置漏洞防護和提高管理手段四項措施可以起到提升企業(yè)網絡信息系統(tǒng)的保護強度、建立起符合電力企業(yè)網絡信息安全的管理制度從而確保安全系統(tǒng)能夠順利有效的開展防護工作的良好效果，希望本文的研究可以更好的提升我國電力企業(yè)的網絡信息系統(tǒng)的安全管理水平，為維護我國電力系統(tǒng)的安全運行做出貢獻。

參考文獻 

[1]鄭玉山.電力企業(yè)網絡和信息安全管理策略思考[J].網絡安全技術與應用，2017（06）：121+123. 

篇4

關鍵詞：審計；信息化，安全保障體系；主機審計

審計是客觀評價個人，組織、制度、程序、項目或產品。審計執(zhí)行是以確定有效性和可靠性的信息，還提供了一個可內控的評估系統(tǒng)。審計的目標是表達人、組織、系統(tǒng)等的評估意見，審計人員在測試環(huán)境中進行評估工作。審計必須出示合理并基本無誤的報表，通常是利用統(tǒng)計抽樣來完成。審計也是用來考察和防止虛假數(shù)據及欺騙行為，檢查、考證目標的完整性、準確性，以及檢查目標是否符合既定的標準、尺度和其它審計準則。實現(xiàn)審計的信息化，有利于管理層迅速準確的做出決定，對于政企業(yè)發(fā)展、社會經濟的進步都具有重要作用。目前，我國的審計工作尚存在性質認定模糊、工作范圍過于狹窄等問題，有待進一步加強和改進。

審計的基礎工作是內部審計，內審是審計監(jiān)督體系中不可或缺的重要組成部分，是全面經濟管理必不可少的手段，是加強任何機構內部管理的必要，推動經濟管理向科學化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的，促進黨風廉政建設、加強對黨政領導干部及管理人員的監(jiān)督都可以通過審計來完成。審計應用與高新技術機構中，在防范風險中發(fā)揮著重要作用，也有助于領導層做出正確決策。

一、審計工作的現(xiàn)狀及存在的問題

隨著我國經濟迅猛發(fā)展，審計監(jiān)督力度不斷增強，審計范圍也不斷擴大。當前，審計方式已由財政財務審計向效益審計發(fā)展，由賬項基礎審計向制度基礎審計、風險基礎審計發(fā)展，由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質量控制體系，要求審計機關把審計管理工作前移，把質量控制體系貫穿與審計工作中。在此趨勢下，傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢，使得完成審計任務，達到審計目標越發(fā)缺乏及時性。

(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下，基于加強經營管理的內在需要，也是內部審計賴以存在的客觀基礎。但是，現(xiàn)代內部審計的產生卻是一個行政命令產物，強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊，阻礙了內部審計的發(fā)展。內部審計很難融入經營管理中，審計工作很難正常開展，很難履行監(jiān)督評價職能和開展保證咨詢活動，因此就不能充分發(fā)揮其應有的內向的作用。

(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率，其職能是監(jiān)督和服務。但是，我國內部審計工作的重心局限在財務收支的真實性及合規(guī)性審計。長久以來內部審計突出了監(jiān)督職能，而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務素質不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴的原因。目前內部審計尚處在查錯階段，停留在調賬、糾正錯誤上，還不能多角度、深層次分析問題，沒有較國際先進的審計理念，我國內部審計的作用尚待開發(fā)。審計人員的計算機知識匱乏，不適應電算化、信息化的迅速發(fā)展。目前多數(shù)審計人員硬件知識掌握不熟練，軟件知識了解也不足，因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機審計軟件開發(fā)標準不同，功能也不完整，因此全面推廣計算機輔助審計就有一定難度，導致審計人員的知識和審計手段滯后于信息化的發(fā)展。

二、信息化審計體系的健全

當前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標準化、共享化、公開化，逐步達到向現(xiàn)代審計方式的轉變。這一趨勢是隨著當前科學發(fā)展、和諧社會的推進，國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的，三個“公共”的主旨是：國家財政資金的使用更注重民生；使用重點更注重服務；使用效益更注重民意。

信息安全審計是任何機構內控、信息系統(tǒng)治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統(tǒng)是否有效地做到保護資產、維護數(shù)據完整、完成目標，同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關，信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全，從而達到安全審計的目的，提高信息系統(tǒng)的安全性。由此，國際組織也制定了相關文件規(guī)范填補信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務規(guī)范》通過了國際標準化組織ISO的認可，正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統(tǒng)開展審計工作有關的通知》等文件，基本規(guī)范了內部審計機制，健全了內部審計機構；強調機構應加強內審工作，機構內部要形成有權就有責、用權受監(jiān)督的最佳氛圍；審計委員會直接對領導班子負責，其成員需具有相應的獨立性，委員會成員具良好的職業(yè)操守和能力，內審人員應當具備內審人員從業(yè)資格，其工作范圍不應受到人為限制。內部審計機構對審計過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向審計委員會或者領導層報告。

三、主機系統(tǒng)安全審計

信息技術審計，或信息系統(tǒng)審計，是一個信息技術基礎設施控制范圍內的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據，對信息系統(tǒng)是否能夠保護資產的安全、維護數(shù)據的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

以技術劃分，信息化安全審計主要分為主機審計、網絡審計、應用審計、數(shù)據庫審計，綜合審計。簡單的說獲取、記錄被審計主機的狀態(tài)信息和敏感操作就是主機審計，主機審計可以從已有的系統(tǒng)審計記錄中提取相關信息，并以審計規(guī)則為標準來分析判斷被審計主機是否存在違規(guī)行為?？傊?，為了在最大限度保障安全的基礎上找到最佳途徑使得業(yè)務正常工作的一切行為及手段，而對計算機信息系統(tǒng)的薄弱環(huán)節(jié)進行檢測、評估及分析，都可稱作安全審計。

主機安全審計系統(tǒng)中事件產生器、分析器和響應單元已經分別以智能審計主機、系統(tǒng)中心、管理與報警處置控制臺來替代。實現(xiàn)主機安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上，并按照設計思路監(jiān)視用戶操作行為，同時智能分析事件安全。從面向防護的對象可將主機安全審計系統(tǒng)分為系統(tǒng)安全審計、主機應用安全審計、用戶行為審計、移動數(shù)據防護審計等方面。

四、待解決的若干問題

計算機與信息系統(tǒng)廣泛使用，如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術體系。

保護網絡設備、設施、介質，對操作系統(tǒng)、數(shù)據庫及服務系統(tǒng)進行漏洞修補和安全加固，對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。

防火墻是保證網絡安全的重要屏障，也是降低網絡安全風險的重要因素。VPN可以通過一個公用網絡建立一個臨時的、安壘的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術、管理等方面進行全面的安全設計和建設，有效提高信息系統(tǒng)的防護、檢側、響應、恢復能力，以抵御不斷出現(xiàn)的安全威脅與風險，保證系統(tǒng)長期穩(wěn)定可靠的運行。嚴格的安全管理制度，明確的安全職責劃分，合理的人員角色定義，都可以在很大程度上減少網絡的安全隱患。

從戰(zhàn)略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關組織、機構和職責，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責任機制。為了確保突發(fā)重大安全事件時，能得到及時的響應和支援，信息系統(tǒng)必須建立和逐步完善應急響應支援體系，確保整個信息系統(tǒng)的安全穩(wěn)定運行。

參考文獻：

[1]宋新月，內部審計在經濟管理中的重要作用淺析[J]，知識經濟，2009

篇5

關鍵詞：計算機；信息安全；管理體系；有效實現(xiàn)

中圖分類號：TP309文獻標識碼：A文章編號：1007-9599 (2011) 16-0000-01

Computer Information Security Management System Effective Achievement

Tang Ping,Sha Jing

(China Petroleum Xinjiang Sales Company,Urumqi830002,China)

Abstract:In the computer industries,while providing strong support,it is the computer information security requirements have become more sophisticated.I work based on years of experience in computer security management,put forward some ideas and suggestions.

Keywords:Computer;Information security;Management system;Effective realization of

一、計算機信息安全管理的重要性分析

伴隨我國經濟和科學技術的快速發(fā)展，為了適應社會信息化的需求，計算機的應用領域在不斷擴展，為各行各業(yè)提供了強大的信息服務，為企業(yè)處理大量數(shù)據信息提供了快捷方便的服務。當然，我們在享受著計算機系統(tǒng)為我們帶來的諸多便利的時候，也必須認識到計算機系統(tǒng)所潛在的安全管理問題。目前，伴隨我國大多數(shù)企、事業(yè)單位計算機系統(tǒng)的應用，信息安全問題也日益成為影響其信息化效能的重要瓶頸，尤其是對那些用來處理和傳輸企業(yè)涉及國家信息秘密的計算機信息系統(tǒng)，若這些方面存在安全問題，那么就會危及到企業(yè)乃至國家的安全與利益。但是，信息安全問題是一個非常復雜的系統(tǒng)，需要以系統(tǒng)眼光來對待，而建立計算機信息安全管理體系正是解決這個復雜系統(tǒng)問題的有效方法。因此，為了保證信息系統(tǒng)的安全，必須建立完善的計算機信息安全的管理體系。

二、計算機信息安全管理主要方向分析

（一）進行加密保護。伴隨人們對計算機的依賴程度越來越高，計算機信息數(shù)據的重要性也就不言而喻了，而信息加密技術是很必要的。信息加密是為了保護網內數(shù)據、文件、口令和控制信息，網上傳輸?shù)臄?shù)據。加密方法有鏈路加密、節(jié)點加密和端點加密三種。一個進行了加密的網絡，不僅可以防止非授權用戶的搭線竊聽和入網，而且還是有效應對惡意軟件的有效方法。

（二）進行安全審計。安全審計是針對系統(tǒng)中的所有資源（包括數(shù)據庫、主機、操作系統(tǒng)、安全設備等）和行為的審計，審計記錄所有事件，提供給管理員作為系統(tǒng)維護以及安全防范的依據。一旦有任何突發(fā)事件可以快速地查閱行為記錄，確定問題，以便采取相應的措施。

（三）終端防護。終端防護就是對安全體系中細粒度進行控制，也是安全防護中的敏感區(qū)。終端主要分為移動終端和固定終端兩種，對于終端的管控行為主要是為使用行為控制和審查。傳統(tǒng)的防護方案側重于解決外部入侵或者保證網絡上數(shù)據傳輸?shù)陌踩?，但不能阻止內部事故的發(fā)生，因此終端防護對于防止內部問題和出現(xiàn)惡意用戶攻擊具有重要作用。

（四）物理安全。物理安全主要涉及周邊工作環(huán)境的安全、網絡的布線、安全設備的管理，重點是如何完成重點部位和重要數(shù)據的集中管制和防護。

（五）網絡安全。網絡安全在安全防護體系中涉及內容比較多，包括對網絡的防毒措施、內部網物理隔絕、傳輸加密措施、對用戶的監(jiān)控和管理措施以及審計措施等。對于內部網絡數(shù)據資源的共享和交互需要有嚴格的控制手段，控制應加在網絡安全的不同層次，包括終端安全、鏈路層安全以及應用層安全等。

三、安全管理體系的設計與實現(xiàn)

（一）體系結構。建設一個完備的信息安全管理體系有待解決的問題涉及面很廣，同時防護技術涉及技術體系多，主要有數(shù)字簽名技術、訪問控制技術、數(shù)據加密技術、終端防護技術、防病毒與反入侵技術、信息泄漏防護技術、安全評估技術與審計追蹤技術等，涉及到多種安全管理產品的應用。參照國家有關計算機信息系統(tǒng)安全防護標準，建立一個信息安全管理體系主要分為以下幾部分：安全管理、網絡安全、物理安全、用戶安全、應用安全、系統(tǒng)軟件安全、數(shù)據安全。各部分根據防護的重點采用相應的技術措施，形成獨立的子系統(tǒng)，其中主要包括：終端安全防護系統(tǒng)、入侵檢測系統(tǒng)、終端安全管理系統(tǒng)、身份認證系統(tǒng)、安全網關系統(tǒng)和病毒防護系統(tǒng)等。

（二）主要技術措施。

1.安全的系統(tǒng)軟件。所謂安全的系統(tǒng)和軟件是指操作系統(tǒng)、數(shù)據庫等系統(tǒng)軟件的安全。系統(tǒng)終端的操作系統(tǒng)首先應采用統(tǒng)一版本，這樣便于維護和管理。終端安全管理系統(tǒng)不僅能對系統(tǒng)的應用軟件進行遠程監(jiān)控管理，還能屏蔽不允許安裝或運行的軟件，屏蔽不安全的端口。系統(tǒng)終端安裝統(tǒng)一的殺毒軟件，而且還需要自動更新系統(tǒng)補丁，便于進行集中控管。還要定時對客戶端操作系統(tǒng)進行殺毒掃描和更新系統(tǒng)補丁。

2.物理環(huán)境安全防護。首先，機房應具有良好的接地和防雷等安全措施，部署機房監(jiān)控系統(tǒng)，對機房溫濕度、漏水和電源情況等時刻進行監(jiān)控。此外，基于應用成本和安全管理便捷的考慮，應將采用集中式防護，代替分布式防護。要將重要的數(shù)據系統(tǒng)和信息系統(tǒng)服務器集中放置，并在集中數(shù)據的機房安裝專用空調、大型UPS設備，準確控制機房的電源和環(huán)境溫濕度。最后還要考慮設備的電磁輻射安全，在主設備的安全距離低于200m時需要增加防電磁輻射以及電源濾波設備。

3.數(shù)據安全。首先要考慮的移動存儲設備，要進行統(tǒng)一的認證，沒有安裝安全終端管理軟件的設備無法識別加密文件格式。對于可信的移動存儲設備只能在內部網的可信終端上使用。在安全防護客戶端設置USB端口的安全管理策略，對沒有內部認證的移動存儲介質可以設置為只讀或者對其完全禁止。而對于那些對外交流的數(shù)據文件可以通過集中管理終端制作加密存儲的文件格式，這種格式只能在用戶輸入口令時才可看到。

4.網絡安全防護。鑒于目前外聯(lián)的主要手段是通過PCMCIA、USB端口、有線或無線網卡、藍牙等進行互聯(lián)，所以，最安全有效防護就是在終端進行阻斷非法行為。利用終端安全管理系統(tǒng)對網絡進行固定設置，屏蔽不明端口，對于非法外聯(lián)的，一旦檢測到非法的客戶端試圖連接網絡，立刻在交換機端口上對非法接入機器進行網絡阻斷。在重要服務器區(qū)部署安全認證網關，認證網關和CA認證系統(tǒng)進行聯(lián)動，實現(xiàn)用戶的安全訪問控制和傳輸通道的加密功能。

計算機信息安全問題是一個系統(tǒng)性的問題，涉及到了技術、使用、管理等多個方面，既涵蓋了計算機信息系統(tǒng)自身安全問題，也包括物理與邏輯方面的技術要求。因此，只有全面的做好各方面的管理與控制工作，才能真正確保計算機信息的安全性、完整性。

參考文獻：

篇6

在進行信息安全體系建設時，應對來自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。本文分析了終端安全管理體系應包含的內容，闡述了傳統(tǒng)分散式終端安全管理存在的問題，結合作者的工作實踐經驗，對一體化終端安全管理體系的建設，提出了自己的思路和見解。

關鍵詞：

終端安全；一體化；體系建設

隨著信息化建設不斷發(fā)展，信息安全的重要性日益顯露出來，在信息安全保護實踐中，各單位往往對數(shù)據集中的后臺服務器投入精力較多，對來自終端的威脅重視不足。信息安全事件調查經驗表明，多數(shù)信息安全事件的突破口來自終端，因此在進行信息安全體系建設時，應對來自終端的威脅給予足夠的重視，建立有效的終端安全管理體系。

1典型的終端安全管理體系應包括的內容

1.1防病毒及終端入侵防護

包括對全網病毒、木馬、蠕蟲、流氓軟件、間諜軟件等惡意代碼的識別、查殺，對可疑行為的阻斷和告警。此類功能主要是基于代碼檢測引擎和特征庫實現(xiàn)。

1.2補丁狀態(tài)檢查及分發(fā)

包括檢查是否已安裝操作系統(tǒng)相應的補丁，各類防護特征庫是否保持更新，能夠自動推送安裝補丁和特征庫等。此類功能主要通過安全軟件讀取系統(tǒng)注冊表及掃描特定位置文件系統(tǒng)，并自動執(zhí)行后臺腳本實現(xiàn)。

1.3移動存儲管理

防止內部濫用移動介質，杜絕內外部移動介質在內外網交叉使用，并通過特殊加密技術保證移動介質在非授權環(huán)境下不能被讀取。此類功能主要通過向操作系統(tǒng)底層驅動注入代碼和數(shù)據加密技術實現(xiàn)。

1.4終端準入管理

實現(xiàn)對網絡接入終端的安全準入管理與控制，確保接入網絡終端已安裝要求的防護系統(tǒng)，且符合安全策略要求，有效杜絕非法外來終端私自接入網絡。此類功能可以基于交換機端口進行控制或使用安全網關進行控制。

1.5非法外聯(lián)監(jiān)控

用于發(fā)現(xiàn)和阻止內部網絡用戶非法建立通路連接互聯(lián)網或非授權網絡的行為，以此防止引入安全風險或導致信息泄密。此類功能通常做法是定期檢查與某個互聯(lián)網地址或非授權網絡的連通性，若有連通便會觸發(fā)監(jiān)控報警。

1.6主機監(jiān)控審計

對終端用戶的操作行為進行管控與審計，對安裝的軟件實行黑白名單管理，當用戶的操作違反安全策略時，能夠自動禁止或記錄違規(guī)日志。此類功能一般需在終端駐留程序，根據設定的操作策略和軟件清單執(zhí)行。

2傳統(tǒng)分散式終端安全管理存在的問題

（1）產生兼容性問題。不同的終端安全防護產品均需要操作系統(tǒng)權限并向底層驅動注入代碼實現(xiàn)檢測，各產品之間的操作沖突、導致兼容性問題已是常見現(xiàn)象，即使能夠和平共存也會造成增加系統(tǒng)資源開銷，拖累系統(tǒng)變慢等一系列問題。

（2）缺乏統(tǒng)一管理。在終端上安裝使用多種安全防護產品，缺乏全局性安全管控，容易形成信息孤島，不利于開展諸如安全數(shù)據的收集、匯總、統(tǒng)計等關聯(lián)分析工作，無法系統(tǒng)性展示終端安全全貌。

（3）防護效果打折扣。不同的終端安全防護產品在功能上各有側重，組合在一起并不一定能全面覆蓋用戶的安全需求，由于底層機制的類同和兼容性沖突等原因，經常出現(xiàn)安全防護的真空地帶，產生1+1<2的現(xiàn)象，使防護效果大打折扣。

（4）運行維護成本高。多種終端安全防護產品同時使用，需同時與多個廠商采購維保服務，周期長投入大，運行上需要維護多套不同的策略表，從不同的來源更新補丁包、特征庫等，都給運維增加了不小的工作量。

（5）難以滿足自主可控的要求。出于國家安全戰(zhàn)略的需要，終端安全防護產品應盡可能滿足自主可控的要求。分散部署不同的終端安全防護產品，大多是基于歷史原因分批分步建設形成的，存在一定的不可控安全風險。

3一體化終端安全管理體系的建設思路

一體化終端安全管理體系的建設，應遵循“功能集中、統(tǒng)一建設”的原則，結合單位已有的終端安全防護現(xiàn)狀，采用“整合式替代、替代后實現(xiàn)一體化管理”的思路開展。替代過程中，應充分考慮安全設備國產化的要求，既實現(xiàn)終端安全防護各項功能，又可在統(tǒng)一平臺下管理終端資產、終端信息、終端安全防護系統(tǒng)等，實現(xiàn)終端一體化安全管理。終端一體化安全管理可極大地提高運維效率，增強終端類安全事件聯(lián)動，提高終端安全事件預警發(fā)現(xiàn)和處置能力，最終提高單位的信息安全管理水平。具體實施過程中，應以“資源整合、統(tǒng)一管理、分級部署、基準策略、量體裁衣、人力集約”為主要工作目標，最大程度整合單位現(xiàn)有軟硬件資源、技術人才資源，節(jié)約資源、資金、人力成本，集成各類終端管理功能，邏輯上實行統(tǒng)一管理，總部制定基準策略，各地分支機構針對自己的情況，定制適合本轄區(qū)情況的安全策略，預留一定擴展空間，供各級機構在統(tǒng)一終端管理平臺下的本地化處理。建議分四個步驟進行：①率先落實國產化替代，一體化終端安全管理體系建設不再考慮國外產品，實現(xiàn)完全國產自主可控，這一點無論是在技術上還是在市場上都已不存在問題。②整合現(xiàn)有終端安全防護系統(tǒng)的功能，在實現(xiàn)病毒防治、補丁分發(fā)、非法外聯(lián)監(jiān)控、準入控制、移動介質管控、安全策略管理等功能的基礎上，實現(xiàn)各功能模塊的數(shù)據整合與聯(lián)動。③增加資產管理、操作審計等功能，并實現(xiàn)一體化關聯(lián)和統(tǒng)一展現(xiàn)，進一步完善系統(tǒng)的管理功能，能夠進行終端狀態(tài)、終端信息、安全事件等信息的展示、分析和處理，實現(xiàn)對安全事件的及時發(fā)現(xiàn)、告警和處置，及時消除安全事件對終端的影響。④在系統(tǒng)建設的基礎上實現(xiàn)科學安全管理，通過對終端安全狀態(tài)的統(tǒng)一定量評估，實現(xiàn)對各部門、各分支機構的終端安全態(tài)勢評估，掌握終端安全管理的薄弱環(huán)節(jié)，為信息安全管理工作的整改完善提供數(shù)據支撐。在功能方面：一體化終端安全管理體系應主要包括但不限于防病毒管理、終端入侵檢測防護管理、補丁分發(fā)管理、移動介質管理、非法外聯(lián)管理、終端準入管理、主機監(jiān)控審計管理、終端信息管理、安全策略管理、終端運行狀態(tài)統(tǒng)計管理、安全事件管理、運行報表管理、考核指標管理、系統(tǒng)管理等功能。實現(xiàn)終端安全防護系統(tǒng)的一體化管理和安全防護系統(tǒng)的資源整合，實現(xiàn)安全防護策略的統(tǒng)一管理，建立全面、集中、統(tǒng)一的終端安全管理體系。在管理方面：實現(xiàn)與終端安全管理制度相適應的安全管理要求，實現(xiàn)總部與各分支機構終端信息的統(tǒng)一集中管理，實現(xiàn)終端安全控制策略的統(tǒng)一配置、自動篩查、告警和展現(xiàn)，實現(xiàn)定期安全類報表的自動生成和展現(xiàn)，實現(xiàn)安全管理人員的統(tǒng)一工作平臺。

4結語

要實現(xiàn)對信息安全閉環(huán)式管理，僅僅重視信息系統(tǒng)服務端的保護是不夠的，必須重視對每個入網終端的安全管理。一體化終端安全管理體系的建設，從技術上采取了多種手段強化終端的安全防護和管理，為強化單位的信息安全管理提供了必要的手段。同時，我們也必須認識到，終端安全管理體系的建設不是說建好系統(tǒng)就萬事大吉了，對一個單位的信息安全管理而言，永遠是“三分技術，七分管理”。再好的技術手段，也只有和管理制度相結合，并加以強力執(zhí)行，才能達到預定的安全目標。

參考文獻：

[1]孟粉霞，王越，雷磊.統(tǒng)一終端安全管理系統(tǒng)在內網中的分析及應用[J].信息系統(tǒng)工程，2013（8）：70~71.

[2]田永飛.一體化終端安全管理系統(tǒng)應用初探[J].金融科技時代，2015（12）：45~47.

[3]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內網應用的分析[J].計算機安全，2007（7）：63~65.

篇7

信息安全等級保護建設背景

信息安全等級保護制度是我們國家在國民經濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度。實行信息安全等級保護制度，能夠充分調動國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理，對促進我國信息安全的發(fā)展將起到重要推動作用。

2011年，原衛(wèi)生部了《關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函〔2011〕1126號）。針對醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（衛(wèi)發(fā)辦〔2011〕85號）要求三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)信息安全等級保護定級不低于第三級，并且要求2015年12月30日前完成信息安全等級保護建設整改工作，并通過等級測評。

醫(yī)療行業(yè)面臨的主要風險

1.醫(yī)療行業(yè)特點

隨著我國醫(yī)療衛(wèi)生事業(yè)的迅速發(fā)展，醫(yī)學科學的不斷進步，醫(yī)藥衛(wèi)生事業(yè)體制改革的逐步深入，醫(yī)院生存和發(fā)展的外部環(huán)境和內部機制都發(fā)生了很大的變化。當今計算機信息和網絡通信技術的深入發(fā)展為提高醫(yī)院管理水平創(chuàng)造了良好的條件，醫(yī)院信息化建設也因此逐漸在我國各級醫(yī)院中迅猛發(fā)展。目前醫(yī)療行業(yè)信息化有如下特點：系統(tǒng)運行連續(xù)性要求高，要求7×24小時不間斷服務；網絡間斷時間不允許超過2小時；信息高度集成，所有信息需要集中使用；異構系統(tǒng)多，系統(tǒng)復雜度高；系統(tǒng)間接口復雜，涉及廠家多；系統(tǒng)內存儲資料價值較高，存儲著醫(yī)院大量運用數(shù)據，其中包含大量患者隱私；存儲的數(shù)據內容本身具備法律效力；核心網絡采用網絡物理隔離。

2.信息系統(tǒng)的威脅來源

信息系統(tǒng)的威脅來源主要可以分為兩個方面，一個是環(huán)境因素造成的威脅，另一個方面是人為因素造成的威脅，而人為因素所帶來的損失往往是不可估量的。

在環(huán)境因素方面，威脅主要來自于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環(huán)境危害或自然災害，以及軟件、硬件、數(shù)據、通訊線路等方面的故障。

在人員因素方面又可以分為有意和無意兩種情況，對于有意而為之的人，通常指惡意造成破壞的人，懷不滿情緒的或有預謀的內部人員對信息系統(tǒng)進行惡意破壞，采用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取利益。而外部人員也可以利用信息系統(tǒng)的脆弱性，對網絡或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。對于無意的情況來說，通常指管理人員沒有意識到問題或者沒有盡心盡責的工作。例如，內部人員由于缺乏責任心，或者由于不關心或不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓、專業(yè)技能不足、不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊。

3.信息系統(tǒng)負面影響

醫(yī)院內部的信息系統(tǒng)如果受到威脅、入侵或被破壞等，會給國家、醫(yī)院以及人民的利益帶來嚴重的影響。

系統(tǒng)如果出現(xiàn)宕機的現(xiàn)象，首先會造成患者情緒激動，耽誤治療流程，甚至會威脅到患者生命的安危。其次會造成門診業(yè)務人員、主治醫(yī)生、護士等工作人員的工作慌亂，甚至成為情緒激動患者的放矢對象。門診辦主任、主管院領導、醫(yī)院院長電話問詢，信息中心則會電話不斷、手忙腳亂。醫(yī)院業(yè)務停頓，從經濟上受損失，而媒體也會曝光醫(yī)院，使得醫(yī)院信譽受損。

如果醫(yī)院信息系統(tǒng)的內部信息丟失，則會造成員工信息被公開、患者信息泄露等風險。例如，據《勞動報》報道，一名負責開發(fā)、維護市衛(wèi)生局出生系統(tǒng)數(shù)據庫的技術部經理利用工作之便，在2011年至2012年4月期間，每月兩次非法進入該院數(shù)據庫，偷偷下載新生兒出生信息并進行販賣，累計達到了10萬條，給醫(yī)療衛(wèi)生行業(yè)帶來了嚴重的負面影響。

信息安全等級保護建設體系

由于醫(yī)院信息系統(tǒng)復雜的特點、面臨的威脅及產生負面影響的嚴重性，醫(yī)院開展信息安全等級保護建設工作就尤為重要，急需一套適合醫(yī)院的等級保護安全防御體系。

信息安全等級保護體系主要包括技術與管理兩方面，在安全技術方面包括：物理安全、網絡安全、主機安全、應用安全、數(shù)據安全；在安全管理方面包括：安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。這10個方面里每一項都有若干控制項，順利通過測評至少要達到控制項的80%以上（表1）。

如表1所示，控制項中G表示基本要求類，三級必須達到G3標準；S表示業(yè)務信息安全類，A表示系統(tǒng)服務保證類，三級標準中S與A任選一項達到三級即可。

根據信息安全等級保護標準，我院主要建設經驗如下：

1.信息安全技術

（1）物理安全：數(shù)據中心機房是物理安全的核心，機房的裝修工程、動力配電系統(tǒng)、空調新風系統(tǒng)、消防系統(tǒng)、綜合布線系統(tǒng)等均需按照A級機房標準進行建設。此外，日常的管理工作也尤為重要，在物理權限控制方面應配備門禁系統(tǒng)，并且應做到兩種或兩種以上的身份識別機制，如指紋加密碼或IC卡加密碼等。環(huán)境監(jiān)控方面除了每天定時的人員巡檢還應在機房及各設備間部署監(jiān)控系統(tǒng)，利用傳感器監(jiān)控溫濕度、漏水、電壓、設備狀態(tài)等信息，一旦發(fā)生異常通過短信及時告知機房管理人員。

（2）網絡安全：按照等級保護思路進行安全域的劃分，將不同級別的信息系統(tǒng)通過防火墻和網閘進行隔離，根據每個安全域的特點設定不同的安全策略。服務器安全域制定細粒度訪問控制列表，僅開放必要的端口，并在旁路架設網絡流量審計設備和入侵檢測系統(tǒng)，對所有流量進行記錄及審計，能夠及時發(fā)現(xiàn)攻擊行為；客戶端安全域制定網絡準入和非法外聯(lián)策略，禁止未經授權的計算機隨意接入醫(yī)院網絡，并且通過管理軟件和網閘控制內網的計算機隨意訪問外網或互聯(lián)網；架設安全管理域，該區(qū)域主要用于對網絡設備、服務器、安全設備的管理，并集中收集設備的日志，及時通過分析日志發(fā)現(xiàn)安全隱患。

（3）安全：服務器進行統(tǒng)一安全策略的制定，部署網絡版殺毒系統(tǒng)、補丁分發(fā)系統(tǒng)、入侵防范系統(tǒng)等，并結合服務器承載的業(yè)務特點制定詳細的資源控制列表，按照最小授權原則，授予最低資源訪問權限。

（4）應用安全：部署數(shù)據庫審計系統(tǒng)，對所有流經數(shù)據庫的網絡流量進行數(shù)據分析，制定審計策略，發(fā)生違規(guī)數(shù)據操作及時通過短信報給安全審計人員；同時部署CA數(shù)字簽名系統(tǒng)，醫(yī)生通過USBKEY進行系統(tǒng)登錄，并對其所有操作進行數(shù)字簽名，有效保證了應用系統(tǒng)的安全性及數(shù)據的不可抵賴性。

（5）數(shù)據安全：利用專業(yè)的數(shù)據備份軟件在異地部署數(shù)據備份中心，對各系統(tǒng)數(shù)據庫和文件繼續(xù)高頻率集中加密備份，并且應至少六個月進行一次數(shù)據還原演練，保證在出現(xiàn)問題是可以有效進行恢復。

2.信息安全管理

（1）安全管理制度：從醫(yī)院層面制定信息安全管理制度，對信息安全制度進行重新整理修改，規(guī)定信息安全的各方面應遵守的原則、方法和指導策略，指定具體管理規(guī)定、處罰措施。制度應具備可操作性，同時應由專人負責隨時進行修正，并由信息安全領導小組進行評審，最終進行。

（2）安全管理機構：組織建立信息安全工作領導小組，設置信息安全管理崗位，設立獨立的系統(tǒng)管理員、網絡管理員、安全管理員、安全審計員等崗位，制定各崗位的工作職責，與各崗位相關人員簽署保密協(xié)議。同時制定溝通協(xié)作機制，內部定期組織會議進行信息安全工作部署，外部每日向公安局上報備案信息系統(tǒng)的安全情況，與數(shù)據庫、存儲、網絡設備、安全設備等廠商簽署協(xié)議，提供所有設備的備機備件，每月進行設備巡檢，并要求在發(fā)生緊急事件時及時到場提供技術支持。

（3）人員安全管理：在人員錄用方面，嚴格審查人員的背景、身份，并簽署保密協(xié)議，人員離崗時執(zhí)行離崗流程，各部門主管負責回收本部門負責的相關權限，所有權限回收后方可辦理離職手續(xù)。同時定期對人員進行相關培訓，每周進行一次內部培訓，每年進行兩次外部培訓。對于外部廠商人員，其對設備的相關操作均需進行審批流程，并通過技術手段記錄所有操作行為，做好操作記錄，并不定期進行行為審計。

篇8

1無意的人為因素

信息安全的問題有些是無意的人為因素引起的。如相關工作人員對網絡安全的配置不夠完善，導致出現(xiàn)安全漏洞；或者用戶自己信息安全意識差，未能完好的保存好相關登陸密碼，導致信息泄露。

2惡意的人為因素

惡意的人為因素主要來自黑客攻擊，惡意人為攻擊具有的指向性和目的性，因此這部分行為對安全信息是最大的隱患和威脅。

3應用軟件的漏洞

大多數(shù)應用軟件都存在一定的漏洞，這些漏洞會成為一些黑客的攻擊目標，因此應用軟件的漏洞也是造成信息安全的一個原因。

加強計算機信息安全的建議對策

當前計算機信息安全的防護重點在于建立和完善計算機信息安全防護體系。當前防護總體策略是在技術層面上建立完整的網絡安全解決方案，在管理層面上制定和落實嚴格的網絡安全管理制度。

1計算機安全技術方面

1.1防火墻技術防火墻技術是一種應用性安全技術，它是在現(xiàn)代通信網絡技術和信息安全技術基礎上建立的，是目前互聯(lián)網上廣泛應用的一種安全措施。它是在內部網絡和外部網絡之間建立一個安全網關，并能通過監(jiān)測、限制數(shù)據流來監(jiān)測網絡內外的信息以及運行狀況，它不僅能夠限制非法用戶的侵入，同時也能阻止內部保密信息非法輸出，本質上來講，防火墻技術是一種隔離技術，能夠隔離過濾掉有安全隱患、不健康的站點，從而大限度的降低被黑客攻擊的可能性。

1.2反病毒技術計算機病毒是一段具有自我復制與傳播能力的破壞性程序代碼，它能夠隱藏在可執(zhí)行文件或數(shù)據文件中，在特定的條件下能被激活，從而破壞相關程序。目前計算機網絡病毒的傳播主要是以硬盤、網絡等作為主要傳播媒介。計算機若中了病毒，一般會表現(xiàn)出運行緩慢、文件丟失破換、破壞操作系統(tǒng)等嚴重影響用戶信息安全。對計算機病毒的防護主要是預防為主、殺毒為輔。具體措施是要安裝殺毒軟件，并及時更新病毒庫，及時下載相關補丁；若收到一些不熟悉的郵件并帶有擴展名為exe的附件時，應及時刪除；病毒往往捆綁在某些軟件上，因此下載軟件時一般去正規(guī)的網站下載；對u盤、移動硬盤等儲存介質在使用前進行殺毒，防止病毒交叉感染。

1.3安全掃描及安全審計技術計算機系統(tǒng)和其他網絡設備都存在一定的安全漏洞，這些漏洞是攻擊者攻擊系統(tǒng)的目標。安全掃描技術是對系統(tǒng)和相關設備進行安全監(jiān)測，查找出安全隱患和可能被攻擊的漏洞。通過安全掃描，系統(tǒng)管理員就能排除相應的隱患，從而防止黑客入侵。安全審計技術主要對操作系統(tǒng)、數(shù)據庫、郵件系統(tǒng)等進行安全審計，是一種自動對用戶進行評估的技術，判斷用戶的合法性，一旦發(fā)現(xiàn)攻擊和用戶非法訪問，便可及時終止相關操作，從而起到保護信息安全的作用。

1.4數(shù)據加密技術計算機加密技術是一種非常重要的保護信息安全保障技術，它是講可閱讀的明文信息轉化成不可直接讀取的密碼信息，從而防止未授權用戶竊取數(shù)據信息。授權人通過相應的解密算法和密鑰還原成明文信息，從而有效防止在傳輸過程中的信息泄露。目前，數(shù)據加密仍然是一種最可靠的信息保護技術。

2計算機信息安全管理方面

在計算機信息安全管理方面首先需強化思想教育，加強制度落實，增強計算機信息安全保密意識和觀念，這些是計算機信息安全管理工作的基礎；其次，制定嚴格的信息安全管理制度，在制度層面上確保計算機信息安全；再者，加強計算機網絡人員的培訓，使網羅人員熟練通過計算機網絡實施正確有效的安全管理，保證網絡信息安全；最后，提高個人的信息安全觀念，對重要的不需修改數(shù)據資料建議直接刻錄在光盤上保存；對于一些較小的資料文件可上傳到相應的郵箱或者網盤?？傊畬?shù)據備份要做到備份多份，放在不同地點，同時保證資料的及時更新。

結語

篇9

關鍵詞信息安全 技術體系 管理體系

中圖分類號：TB497文獻標識碼： A 文章編號：

前言

企業(yè)的正常運作離不開信息資源的支持，企業(yè)信息化系統(tǒng)作為管理企業(yè)信息資源的電子化工具和企業(yè)實力的重要組成部分，在促進企業(yè)規(guī)范管理流程、提高生產效率的同時，在運行中累積的包括企業(yè)的經營計劃、知識產權、生產工藝、流程配方、方案圖紙、客戶資源等各種重要數(shù)據成為部門、企業(yè)的寶貴資產，關乎著企業(yè)的生存與發(fā)展。這些數(shù)據一旦損壞、丟失、泄漏或篡改，則會給企業(yè)帶來重大安全影響。

企業(yè)要保持健康可持續(xù)性發(fā)展，信息安全是基本的保證之一。為確保信息資產安全，很多企業(yè)都制定了“硬件備份、分權分域、多層防御、等級防護”等等信息安全技術目標，并且逐步落實。與此同時，還應該清醒地認識到，技術體系達到先進水平，并不意味著企業(yè)的信息安全整體水平也是同步發(fā)展的；而必須建設和落實與之相適配的信息安全管理體系，并將其逐步納入到企業(yè)的各級安全生產管理當中。

信息安全風險和措施概述

企業(yè)信息化系統(tǒng)在為企業(yè)帶來提高工作效率和管理水平、增強競爭能力等益處的同時，也為企業(yè)帶來了信息安全風險；而且信息安全風險與信息化水平和應用范圍的提高與擴大同步增長。

（1）接入和訪問方式多樣化帶來全網性風險

U盤、便攜電腦、無線網卡、智能手機的普及加劇了病毒、蠕蟲和間諜軟件等普遍存在的信息安全威脅，而且對網絡、系統(tǒng)、應用、信息的破壞程度和范圍持續(xù)擴大。

（2）來自外網的攻擊始終存在，攻擊方式向更高階段演化

和其他企業(yè)網一樣，企業(yè)的信息化系統(tǒng)也一直面臨著來自Internet和其他第三方對接網絡的外在威脅，并且很容易跨域突現(xiàn)。在攻擊手段上，攻擊者已經從以往直接針對網絡和系統(tǒng)的普遍攻擊，轉向了對更高層次的Web應用、信息數(shù)據的重點攻擊。

（3）安全意識和相關培訓不到位

職工信息安全培訓普及和素質培養(yǎng)方面卻沒有形成一個長效機制，信息安全意識不均衡情況也普遍存在。

（4）信息安全管理體系尚未成熟

在信息安全保障體系中，企業(yè)普遍存在過于依賴于技術保障，而管理保障和制度執(zhí)行相對薄弱等問題。大多數(shù)企業(yè)的信息安全管理體制還是沿襲傳統(tǒng)組織架構，并沒有咨詢過專業(yè)安全公司在信息安全管理體系建設上的意見，仍由檔案部門、調度部門兼職負責，而沒有設置專門的信息安全部門，從而造成管理體系不健全，責任不清晰等問題。

信息安全管理體系的主要環(huán)節(jié)

從業(yè)內最佳安全實踐來看，要想建立完善可行的信息安全管理體系，就要使之貫穿于整個企業(yè)信息安全建設和保障過程。一般說來，信息安全管理體系包括以下6個主要環(huán)節(jié)：

（1）信息風險評估程序：其目的是為了在企業(yè)、組織內部建立一套適合自身具體情況的信息風險評估機制，明確信息風險評估由誰來做、怎么做、做什么、重點解決什么等問題。這一環(huán)節(jié)有助于相關部門了解有哪些威脅會對企業(yè)信息真正造成影響、風險水平該如何確定。

（2）信息安全計劃：它是在信息風險評估的基礎上，結合企業(yè)的宏觀安全戰(zhàn)略與現(xiàn)實情況得出的，明確了信息安全工作應該“做什么”和“什么時候做”。

（3）項目管理：無論安全工作是內部人員來完成還是與專業(yè)安全公司協(xié)作來完成，每一項信息安全工作都可以視為一個安全項目。所以，還應充分考慮項目管理的各個階段（發(fā)起、啟動、計劃、執(zhí)行、控制、收尾）需要關注的問題和存在的風險。

（4）運行維護和培訓：對企業(yè)信息的運行維護監(jiān)控過程大部分是程序化和其他一些較為細碎的工作。同是，除了執(zhí)行命令、填寫表單以外，還需要通過各類培訓教育讓各級職工，尤其是掌握核心業(yè)務數(shù)據的崗位人員時刻保持風險預警意識。

（5）信息安全審計：其主要目的就是建立一個長效機制，明確對信息系統(tǒng)及其數(shù)據和信息的檢查周期、審計方式、評審制度等內容，確保能夠及時發(fā)現(xiàn)和彌補信息安全管理漏洞和缺陷。

（6）持續(xù)改進計劃：為了應對不斷變化的信息安全威脅和不斷嚴格的合規(guī)性要求，從根本上解決信息安全問題，企業(yè)、組織需要對信息安全過程、方法、程序、操作指南持續(xù)改進。

圖1 信息安全管理體系環(huán)節(jié)構成示意圖

信息安全管理體系的實施內容

從當前來看，信息安全管理體系的實施內容主要包括信息安全管理制度和信息安全操作流程組成，二者各司其職，又互為補充。

首先，信息安全管理制度主要是公司的相關部門根據自身的管理職能，針對各種與信息安全管理有關的資源制定的相關要求、政策。管理制度通常由相應的部門進行歸口管理和解釋，是職能化、專業(yè)化的直接體現(xiàn)。

其次，信息安全管理流程是根據一定的管理目標，對系列相關活動順序和操作規(guī)則的規(guī)定。通常管理流程會貫穿若干部門，使用相關資源，是流程化、規(guī)范化管理的體現(xiàn)。與管理制度相比，管理流程更注重過程管理，通常會使用一些流程測量指標，作為衡量效率和判斷是否合理的依據。

最后，在信息安全管理體系的實施中，如果關注結果，不注重或者難于監(jiān)控過程，就傾向于使用制度去約束，如近幾年在企業(yè)中大力推廣的口令加密存儲制度等。另一方面，如果在一個安全控制點上更關注過程，即關注是否具有完備的輸入，是否有合理可操作的處理過程，是否產生了預期的結果，那么就傾向使用操作流程進行記錄，如系統(tǒng)補丁加載等。

篇10

記者：為什么說信息科技風險管理對于商業(yè)銀行是特別重要的一環(huán)?

徐徽：近年來，風險管理已成為商業(yè)銀行經營管理活動的主旋律，信息科技風險作為銀行風險的重要組成部分，受到越來越多的重視。從商業(yè)銀行的角度看，這源于兩方面的驅動因素。

一是內在驅動因素。目前信息技術已深入到商業(yè)銀行經營管理的各個領域，幾乎所有的改革發(fā)展任務都與信息技術密切相關，不管是業(yè)務的發(fā)展，還是管理的提升，都需要信息技術的配套支持。但是，信息技術固有的風險，包括信息系統(tǒng)軟硬件本身的脆弱性、數(shù)據集中導致的風險集中等，是客觀存在且難以完全規(guī)避的。由于技術原因造成區(qū)域性和系統(tǒng)性的金融風險進而帶來嚴重的社會影響，在國內外都有很多案例。因此，信息技術在促進銀行業(yè)務發(fā)展、推動金融創(chuàng)新的同時，也使銀行業(yè)務面臨巨大的安全隱患，信息科技風險牽一發(fā)而動全身，信息系統(tǒng)的安全性和可靠性關系到商業(yè)銀行整體經營管理活動的穩(wěn)定，應該得到而且已經得到了所有商業(yè)銀行的重視。

二是外在驅動因素。近幾年，中國人民銀行、銀監(jiān)會等監(jiān)管機構對于商業(yè)銀行信息科技風險的監(jiān)管要求越來越嚴、越來越細。銀監(jiān)會2009年3月下發(fā)的《商業(yè)銀行信息科技風險管理指引》，從IT治理、風險管理策略、信息安全、開發(fā)測試和生產運行管理等方面對商業(yè)銀行提出了具體而細致的風險管理要求，對于商業(yè)銀行加強信息安全管理、防范信息技術風險起到了重要的指導作用。同時，銀監(jiān)會將商業(yè)銀行的信息系統(tǒng)納入現(xiàn)場和非現(xiàn)場監(jiān)管，大力開展信息科技風險現(xiàn)場檢查，對商業(yè)銀行的信息科技風險防范工作提出了更髙的標準和要求。監(jiān)管力度的加大，促使商業(yè)銀行針對信息技術風險防控制定出更強有力的措施，不斷提髙信息安全風險管理水平。

在上述內部要求和外部環(huán)境的雙重要求和驅動下，商業(yè)銀行信息科技風險管理的重要性日益凸顯，信息安全管理成了各行科技工作的主題。

記者：現(xiàn)階段，我國金融機構面臨的信息科技風險主要來源于哪些方面?

徐徽：要嚴控信息科技風險，就要先弄清楚風險的來源，并根據不同來源對癥下藥。概括來說，信息科技風險主要來自四個方面：一是自然原因導致的風險，包括地震、臺風等自然災害造成的風險，這類風險往往很難主動防范，只能被動防御，通過事前建立完善的業(yè)務連續(xù)性方案和應急預案，事后及時啟動應急方案和補救措施來彌補;二是系統(tǒng)風險，是由信息系統(tǒng)相關軟硬件的缺陷引起的，包括基礎設施和硬件設備老化、系統(tǒng)軟件缺陷、應用軟件開發(fā)測試質量缺陷等，需要通過改善軟硬件環(huán)境、完善應用軟件來防范;三是管理缺陷導致的風險，是由管理制度的缺失或組織架構的制衡機制不完善引起的，需要從IT治理架構和管理機制上彌補管理和制度的空白及漏洞;四是人員違規(guī)操作風險，是由人員有意或無意的違規(guī)操作引起的，需要加強員工的安全培訓和操作培訓，提髙人員的信息安全意識和操作水平。其中，后三類風險需要以主動防范為主要安全管理措施，要建立風險事前防范、事中控制、事后監(jiān)督和糾正的機制。

記者：為保障銀行業(yè)務的安全，廣發(fā)行信息科技風險管控采取了哪些具體措施?

徐徽：嚴控風險是我行2009年工作的主旋律之一，這也是行長辛邁豪在1月全行工作會議上確立的指導思想，在信息技術方面的定位就是“加強信息技術風險管控，將信息技術風險納入銀行全面風險管理體系”。信息安全管理工作是2009年全行科技工作的重點任務，是優(yōu)先投入資源、重點保障的工作目標。由此可見我行對于信息科技風險管理的重視。

現(xiàn)階段，根據我行技術和管理的實際情況，信息科技風險管理采用“廣度優(yōu)先、逐步提升”的策略，重點在管理、技術、人員等方面提升信息安全管理水平和管理能力，建立管理與技術結合的全方位的風險管理體系，變被動應對為主動防范。具體說來，主要采取以下幾方面的措施開展信息安全工作。

第一，將信息科技風險管理和信息安全納入我行五年科技戰(zhàn)略規(guī)劃的實施目標。為了提髙信息技術整體核心競爭力，提升信息技術對業(yè)務戰(zhàn)略發(fā)展的長期可持續(xù)支持能力，我行于2008年完成了五年科技戰(zhàn)略規(guī)劃目標和實施路徑的制定，信息科技風險管理和信息安全是科技規(guī)劃的重要組成部分之一?？萍家?guī)劃中明確了信息安全工作的中長期目標，定義了信息安全機制建設、信息安全相關系統(tǒng)和管理平臺建設等多方面的信息安全管理實施路徑，我行在未來幾年內將根據科技規(guī)劃的實施路徑逐步開展信息安全建設，提升信息風險防控能力。

第二，完善信息科技治理，大力開展信息科技風險管理機制建設，建立信息科技風險管理制度基礎。以前，國內商業(yè)銀行的信息安全管理普遍存在一個誤區(qū)，認為部署了髙性能的硬件設備、實現(xiàn)了雙機熱備份、做好了生產運行風險控制，就算完成了信息科技風險控制的工作。其實不然，因為信息安全不單是技術問題，更是管理問題，只有持續(xù)完善信息科技治理架構，從組織架構和制度等管理層面采取防范措施，才能真正實現(xiàn)信息安全管理的目標。我行在信息科技治理方面的措施主要包括三個方面。首先，認真學習和領會監(jiān)管機構對信息技術風險控制的要求，吸收借鑒同業(yè)經驗，將監(jiān)管要求和同業(yè)經驗轉化為行內工作規(guī)范，建立系統(tǒng)完善的信息技術風險管理組織架構和機制，建立了三道防線、三個小組和三項機制。三道防線是明確了信息技術部、合規(guī)部、稽核部為主體的信息技術風險三道防線的職能分工;三個小組是成立了信息系統(tǒng)突發(fā)事件應急領導小組、應急處置小組和支持保障小組，做好突發(fā)事件應急處理;三項機制是信息技術風險管理保障機制、信息技術風險評估和預警機制及信息技術風險應急處置機制。

其次，建立健全信息科技規(guī)章制度。為了做好制度建設，我行信息技術部專門制定了《科技規(guī)章制度管理辦法》，明確了信息科技相關制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下，切實抓好制度建設，近兩年每年制定、修訂的制度都在20項以上，形成了總數(shù)達到60余個的全行科技規(guī)章制度體系。同時加強制度的宣講、檢查、整改機制。對于新建立的制度，制定一項，宣講一項，檢查一項，違章整改一項。再次，加強信息安全隊伍建設，提髙員工信息安全風險防范意識和水平，通過理論和實踐的結合，培養(yǎng)髙素質的信息安全管理團隊。去年我行在總行各部門和各分行科技部設立了信息安全崗，專門負責組織、落實本單位的信息安全管理工作。為了提髙信息安全崗人員的知識水平和操作技能，我行與廣州市信息安全協(xié)會共同設計了培訓課程，組織總行信息安全崗人員和總行信息技術部相關崗位人員分批參加了信息安全繼續(xù)教育培訓，實現(xiàn)總行信息安全崗滿足《廣東省公安廳關于計算機信息系統(tǒng)安全保護的實施辦法》中關于持證上崗的監(jiān)管要求，今年將實現(xiàn)分行信息安全崗全部持證上崗。我們同時認識到，信息科技風險防范不僅是信息安全崗的事情，而且是全體員工的基本任務。因此正在組織編寫全員信息安全手冊，對于桌面電腦安全、信息保密等基礎信息安全知識開展普及教育，屆時將人手一冊，確保全體員工了解并遵守信息安全管理要求。

第三，采取有效的信息科技風險管理的手段防范和化解信息安全風險。首先，持續(xù)開展信息科技風險檢查、評估、整改這一不斷循環(huán)、螺旋上升的工作。一方面認真開展內部審計和外部審計工作，通過審計發(fā)現(xiàn)制度、流程、操作等方面中的風險;另一方面積極組織信息技術部的風險自查，每月定期開展總分行數(shù)據中心機房現(xiàn)場檢查，每季度開展數(shù)據庫操作、用戶管理等髙風險操作的專項檢查。根據審計要求和自查結果，嚴格落實風險整改工作，將整改任務落實到每季度、每月、每周的科技工作計劃中。同時逐步擴大風險檢查的廣度和深度，主動發(fā)現(xiàn)并積極防范風險，通過風險整改實現(xiàn)持續(xù)改進。其次，嚴抓四方面的生產運行安全管理工作：一是完善基礎設施建設，化解機房環(huán)境、硬件設備等基礎設施的風險;二是建立和完善災難備份中心，做好業(yè)務連續(xù)性建設;三是提升運行管理的水平，推進運行流程化和集中化管理，防范操作風險，確保信息系統(tǒng)的安全穩(wěn)定運行。四是完善應急預案，積極組織開展應急演練，切實提髙風險防控水平。

記者：信息科技風險管理有時會影響效率，您如何看待這兩個因素的平衡?