信息安全建設工作思路探討

時間:2022-06-03 10:53:28

導語:信息安全建設工作思路探討一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

信息安全建設工作思路探討

摘要:隨著互聯(lián)網(wǎng)+飛速發(fā)展,電子業(yè)務的不斷創(chuàng)新發(fā)展,加強信息安全建設逐漸成為各項工作中的頭等大事。本文重點分析了目前信息安全建設方面存在的不足和缺失,以及下階段如何開展工作不斷強化人員安全意識,加強信息安全建設工作,以保障信息化建設安全運行,各項工作順利開展,順應時代的大步伐跨越式發(fā)展。

關鍵詞:信息安全;信息科技風險;管理體系

1信息安全建設現(xiàn)狀

現(xiàn)行制度方面,現(xiàn)行有效制度涵蓋軟件開發(fā)、軟硬件運維、應急管理、安全操作、外包管理、供應商管理等方面,覆蓋面較為全面,但是缺乏體系,沒有根據(jù)一個標準系統(tǒng)的制定出一整套操作性強、執(zhí)行性強的制度體系。上報機制方面,目前采取信息處內(nèi)部逐級上報機制,即發(fā)現(xiàn)問題上報至科長,科長根據(jù)重要等級不同決定上報給處長、主管主任、信息科技委員會。內(nèi)部評審方面,現(xiàn)階段只針對現(xiàn)行制度對文檔的完整性和準確性進行事后自評,定期配合外部審計機構(gòu)進行專項審計;監(jiān)控平臺只對機房環(huán)境、硬件設備、網(wǎng)絡及系統(tǒng)軟件進行實時監(jiān)控。信息科技風險評估方面,根據(jù)國家標準從信息資產(chǎn)、威脅、脆弱性的識別、風險值評估、風險項統(tǒng)計分析、總體評價和不可接受風險處理等7個方面,對整體信息化系統(tǒng)包含的硬件設備、軟件系統(tǒng)、數(shù)據(jù)信息和管理制度等內(nèi)容進行了全面的評估,每半年上報一次信息科技風險報告,并制定相應的整改計劃。

2信息安全建設存在的問題

2.1管理制度建立不完善

目前,在信息科技風險的上報機制、自評機制和監(jiān)控機制都存在著不同程度上有所缺失,例如尚未建立雙向上報機制;自評范圍不全面,缺少對數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)等的覆蓋;缺少殘余信息科技風險的控制緩釋措施及評價流程。同時,現(xiàn)有信息科技風險管理制度的完整性、可操作性需要進一步改進。

2.2信息安全意識不強

職工信息安全意識較為缺乏,沒能把信息安全意識變成一種習慣、一種常態(tài)化的意識真正融入到日常的工作生活中,沒能真正意識到加強信息安全的重要程度。

3信息安全建設工作思路

隨著互聯(lián)網(wǎng)+迅猛發(fā)展,加強信息安全建設日益重要,我認為應從加強安全審計、建立風險上報機制、強化信息安全管理、科技信息風險防范等四個方面不斷加強信息安全建設工作:

3.1分析差距,完善內(nèi)審監(jiān)控管理體系

按照信息安全管理體系ISO27001標準梳理現(xiàn)狀,認真分析研究,查找存在的差距,制定信息安全內(nèi)控操作規(guī)程,針對軟件開發(fā)、軟件運維、硬件管理各項工作中具體內(nèi)控操作流程制定信息安全審計依據(jù)。可聯(lián)合相關處室,定期組織信息安全內(nèi)部審計,建立事前預警、事后考評的整套內(nèi)審監(jiān)控管理體系,對潛在的信息風險進行有效控制。

3.2安全防控,建立風險上報長效機制

依據(jù)CIA屬性對現(xiàn)有信息資產(chǎn)按照實物資產(chǎn)、人員資產(chǎn)、數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、服務資產(chǎn)進行分類賦值,識別信息資產(chǎn)面臨的威脅與弱點,推導出信息資產(chǎn)面臨的安全風險,提出相應的安全措施并制定整改計劃。另外,建立風險點上報機制,各個分管機構(gòu)風險管理員負責收集存在的風險點隱患并及時上報信息處、風險處,由信息處匯總風險點,雙向上報給風險處及相關領導,針對風險點中提出的問題及時跟進,并協(xié)調(diào)相關處室進行有效處理。

3.3強化意識,緊抓信息安全管理

針對目前職工信息安全意識較為薄弱的現(xiàn)狀,一是借助官方網(wǎng)站、微博、月刊、簡報等宣傳載體,開展形式多樣的信息安全的宣傳教育活動,讓每名干部職工時刻緊繃信息安全這根弦;二是邀請專家定期組織信息安全培訓,普及安全應用技術(shù),強化全員的安全責任和意識。三是結(jié)合各部門信息安全工作實際,就一段時期內(nèi)容易產(chǎn)生的安全問題組織不定期的安全技術(shù)人員專題講座,提高信息網(wǎng)絡安全管理人員的能力。

3.4抓好關鍵,確保信息安全工作無死角

一是抓好關鍵部位的安全。按照影響的重要程度劃分,重點加強對互聯(lián)網(wǎng)和未來電子業(yè)務的安全監(jiān)控,并定期進行安全掃描和測評,保證關鍵設備關鍵系統(tǒng)的安全運行。二是抓好關鍵時間的安全。針對管理現(xiàn)狀,我建議增加對值班人員的監(jiān)督管理,加強對交接班以及節(jié)假日關鍵時間節(jié)點的安全監(jiān)控;三是抓好關鍵崗位人員的安全。對新職工和重點崗位的人員要重點監(jiān)管,加強培訓和教育,時刻關注關鍵人員的思想動態(tài),以便及時采取安全防范措施。

作者:許璐 單位:天津市住房公積金管理中心