前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的加強信息安全管理主題范文,僅供參考,歡迎閱讀并收藏。
根據(jù)__、__和__、__有關(guān)要求,為進一步加強網(wǎng)絡(luò)和信息安全管理工作,經(jīng)__領(lǐng)導(dǎo)同意,現(xiàn)就有關(guān)事項通知如下。
一、建立健全網(wǎng)絡(luò)和信息安全管理制度
各單位要按照網(wǎng)絡(luò)與信息安全的有關(guān)法律、法規(guī)規(guī)定和工作要求,制定并組織實施本單位網(wǎng)絡(luò)與信息安全管理規(guī)章制度。要明確網(wǎng)絡(luò)與信息安全工作中的各種責(zé)任,規(guī)范計算機信息網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制及管理制度,切實做好本單位網(wǎng)絡(luò)與信息安全保障工作。
二、切實加強網(wǎng)絡(luò)和信息安全管理
各單位要設(shè)立計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理領(lǐng)導(dǎo)小組,負(fù)責(zé)對計算機信息網(wǎng)絡(luò)系統(tǒng)建設(shè)及應(yīng)用、管理、維護等工作進行指導(dǎo)、協(xié)調(diào)、檢查、監(jiān)督。要建立本單位計算機信息網(wǎng)絡(luò)系統(tǒng)應(yīng)用管理崗位責(zé)任制,明確主管領(lǐng)導(dǎo),落實責(zé)任部門,各盡其職,常抓不懈,并按照“誰主管誰負(fù)責(zé),誰運行誰負(fù)責(zé),誰使用誰負(fù)責(zé)”的原則,切實履行好信息安全保障職責(zé)。
三、嚴(yán)格執(zhí)行計算機網(wǎng)絡(luò)使用管理規(guī)定
各單位要提高計算機網(wǎng)絡(luò)使用安全意識,嚴(yán)禁計算機連接互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò),嚴(yán)禁在非計算機上存儲、處理信息,嚴(yán)禁在與非計算機之間交叉使用移動存儲介質(zhì)。辦公內(nèi)網(wǎng)必須與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)實行物理隔離,并強化身份鑒別、訪問控制、安全審計等技術(shù)防護措施,有效監(jiān)控違規(guī)操作,嚴(yán)防違規(guī)下載和敏感信息。嚴(yán)禁通過互聯(lián)網(wǎng)電子郵箱、即時通信工具等處理、傳遞、轉(zhuǎn)發(fā)和敏感信息。
四、加強網(wǎng)站信息審查監(jiān)管
各單位通過門戶網(wǎng)站在互聯(lián)網(wǎng)上公開信息,要遵循不公開、公開不的原則,按照信息公開條例和有關(guān)規(guī)定,建立嚴(yán)格的審查制度。要對網(wǎng)站上的信息進行審核把關(guān),審核內(nèi)容包括:上網(wǎng)信息有無問題;上網(wǎng)信息目前對外是否適宜;信息中的文字、數(shù)據(jù)、圖表、圖像是否準(zhǔn)確等。未經(jīng)本單位領(lǐng)導(dǎo)許可嚴(yán)禁以單位的名義在網(wǎng)上信息,嚴(yán)禁交流傳播信息。堅持先審查、后公開,一事一審、全面審查。各單位網(wǎng)絡(luò)信息審查工作要有領(lǐng)導(dǎo)分管、部門負(fù)責(zé)、專人實施。
五、組織開展網(wǎng)絡(luò)和信息安全清理檢查
信息系統(tǒng)的安全性、可靠性和有效性不僅是商業(yè)銀行賴以生存和發(fā)展的重要基礎(chǔ),還關(guān)系到整個銀行業(yè)的安全和國家金融體系的穩(wěn)定,因此國家金融監(jiān)管部門對銀行信息科技風(fēng)險管理日益重視,對銀行信息科技風(fēng)險管理提出了明確要求,各商業(yè)銀行也普遍提髙了對信息科技風(fēng)險管理的關(guān)注程度。
1.加強信息科技風(fēng)險管理是金融監(jiān)管部門高度重視的重要問題
中國銀監(jiān)會主席劉明康在信息科技風(fēng)險管理與評價審計工作會議上指出,根據(jù)近幾年國際上出現(xiàn)的信息系統(tǒng)故障事件分析,如果銀行信息系統(tǒng)中斷1小時,將直接影響該行的基本支付業(yè)務(wù);中斷1天,將對其聲譽造成極大傷害;中斷2?3天以上不能恢復(fù),將直接危及銀行乃至整個金融系統(tǒng)的穩(wěn)定。這在一定程度上反映了國家金融監(jiān)管部門對信息科技風(fēng)險的深刻認(rèn)識和日益重視。2008年7月,銀監(jiān)會頒發(fā)了《銀行業(yè)金融機構(gòu)信息系統(tǒng)安全保障問責(zé)方案》,明確各銀行的法定代表人為本單位信息系統(tǒng)安全保障的第一責(zé)任人,并要求逐級簽訂信息系統(tǒng)安全保障責(zé)任書。同時,中國人民銀行、銀監(jiān)會組織全國金融機構(gòu)開展了奧運信息科技風(fēng)險全面自查工作,并相繼對各主要商業(yè)銀行進行了現(xiàn)場專項檢查;國家審計署也在對6家大型商業(yè)銀行的2008年度全面審計工作中首次引入了信息科技審計的內(nèi)容,著重從信息安全的角度出發(fā),站在維護國家金融穩(wěn)定和國家安全的髙度,分析當(dāng)前我國銀行業(yè)信息科技工作面臨的主要風(fēng)險,并提出了有針對性的改進建議。國家有關(guān)監(jiān)管和審計部門推出的這些卓有成效的管理措施,對銀行不斷改進和完善信息科技風(fēng)險管理工作具有十分重要的指導(dǎo)意義,充分體現(xiàn)出了我國政府對銀行業(yè)信息科技風(fēng)險管理的尚度重視。
2.加強信息科技風(fēng)險管理是新《巴塞爾資本協(xié)議》的基本要求
在2004年正式公布的新《巴塞爾資本協(xié)議》中,重新修訂了銀行風(fēng)險的分類和定義,強調(diào)銀行在進行風(fēng)險管理的時候,不僅要重視傳統(tǒng)的信用風(fēng)險、市場風(fēng)險、流動性風(fēng)險,而且要將防范操作風(fēng)險放在一個重要的地位,并將信息科技風(fēng)險明確劃歸操作風(fēng)險的范疇,從而使得信息科技風(fēng)險管理成為了銀行全面風(fēng)險管理體系中的重要組成部分。
3.加強信息科技風(fēng)險管理是銀行提高IT治理水平的需要
根據(jù)IT治理模型,IT風(fēng)險管理與戰(zhàn)略一致性、資源管理、績效評估等構(gòu)成IT治理總體架構(gòu),而且是其中的一個重要方面。隨著各家銀行信息化建設(shè)的深入,對信息科技風(fēng)險的認(rèn)識也在逐步加深,從單一的信息安全轉(zhuǎn)變?yōu)楹w生產(chǎn)運行、應(yīng)用研發(fā)、信息安全等方面的全面IT風(fēng)險管理,信息科技風(fēng)險管理水平體現(xiàn)了銀行的信息化程度和整體的風(fēng)險管理水平。在商業(yè)銀行完成股份制改造和上市之后,商業(yè)銀行已普遍認(rèn)識到信息科技方面一旦發(fā)生風(fēng)險事件,不僅會影響業(yè)務(wù)的正常辦理,還可能會對銀行的聲譽和市值產(chǎn)生負(fù)面影響,因此更加重視信息科技風(fēng)險管理,對加強信息科技風(fēng)險管理提出了更髙的要求。
二、加強信息科技風(fēng)險管理的相應(yīng)舉措
根據(jù)國際權(quán)威機構(gòu)信息系統(tǒng)審計與控制委員會(ISACA)的信息系統(tǒng)風(fēng)險控制和IT審計工作的最佳實踐指南,信息科技風(fēng)險管理應(yīng)關(guān)注IT治理、軟件生命周期管理(即項目開發(fā)與變更)、IT服務(wù)交付與支持(即系統(tǒng)運行維護)、信息安全、業(yè)務(wù)連續(xù)性管理等五大領(lǐng)域。在上述領(lǐng)域,各家商業(yè)銀行紛紛采取了各種風(fēng)險管理措施。下面以中國工商銀行股份有限公司(以下簡稱“工商銀行”)為例進行介紹。
多年來,工商銀行堅持“科技興行'“科技引領(lǐng)”發(fā)展戰(zhàn)略,建立了集約化的科技組織體系,并逐步建立了與國際大銀行相適應(yīng)的先進的科技體系和技術(shù)平臺。自2006年起,工商銀行正式將信息科技風(fēng)險納入了全行風(fēng)險管理體系,作為操作風(fēng)險管理的重要內(nèi)容,并在信息科技風(fēng)險管理方面開展了大量工作。
1.信息科技風(fēng)險管理組織體系工商銀行成立了信息系統(tǒng)應(yīng)急領(lǐng)導(dǎo)小組,由行長擔(dān)任組長,主管副行長任副組長,信息科技部、辦公室、個人金融部、運行管理部等相關(guān)部門負(fù)責(zé)人為成員,負(fù)責(zé)領(lǐng)導(dǎo)和組織信息系統(tǒng)重大事件的應(yīng)急處理、災(zāi)難備份和恢復(fù)、計算機信息系統(tǒng)的安全防護等工作。科技部門定期向董事會、行長辦公會、技術(shù)審查委員會、風(fēng)險管理委員會匯報信息科技風(fēng)險管理工作。同時,工商銀行總行以及分行的科技部門均設(shè)有負(fù)責(zé)信息科技風(fēng)險管理的部門,建立了一支專業(yè)的風(fēng)險防護隊伍,為加強信息科技風(fēng)險管理提供了組織保障。
2008年,國家有關(guān)監(jiān)管、審計部門對工商銀行目前的信息科技風(fēng)險管理情況都給予了較髙的評價,認(rèn)為工商銀行構(gòu)建了較完整的信息科技治理結(jié)構(gòu),構(gòu)成了信息科技管理、信息科技風(fēng)險管理和信息科技審計三道防線。
2.項目開發(fā)管理
針對由于版本質(zhì)量造成的應(yīng)用研發(fā)風(fēng)險,工商銀行采取了一系列措施,嚴(yán)格保障應(yīng)用系統(tǒng)研發(fā)質(zhì)量。一是不斷改進研發(fā)和測試管理流程,加強需求管理、項目方案審查、研發(fā)過程管理和項目質(zhì)量控制;二是及時優(yōu)化調(diào)整應(yīng)用版本、測試和投產(chǎn)策略,針對版本投產(chǎn)比較頻繁等情況,明確了“版本集中投產(chǎn)”的原則,切實降低因版本投產(chǎn)和生產(chǎn)變更帶來的風(fēng)險隱患;三是與業(yè)務(wù)部門密切配合,力卩強溝通和協(xié)調(diào),實現(xiàn)風(fēng)險共擔(dān)。
3.運行維護和操作管理
生產(chǎn)運行風(fēng)險是信息科技風(fēng)險的突出表現(xiàn),并且根據(jù)實際情況統(tǒng)計,大約有50%的生產(chǎn)運行風(fēng)險是由管理操作原因引起的。為此,工商銀行始終堅持“將確保信息系統(tǒng)安全穩(wěn)定運行放在信息科技工作首位”的指導(dǎo)思想,并持續(xù)強化運行管理操作的各項措施,降低系統(tǒng)運行風(fēng)險。一是建立了全行統(tǒng)一集中的監(jiān)控管理平臺(ECC),對主機和開放平臺等各類應(yīng)用系統(tǒng)進行實時監(jiān)控,實現(xiàn)生產(chǎn)操作、監(jiān)控的自動化;二是通過部署幫助臺系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、性能容量管理系統(tǒng)、資源管理系統(tǒng)等工具和系統(tǒng),逐步提髙生產(chǎn)運行管理的自動化程度;三是建立了完備的應(yīng)急管理體系,明確了應(yīng)急預(yù)案和流程,確保出現(xiàn)緊急事件情況下能夠進行妥善處理,將事件影響降至最低。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的內(nèi)部控制體系,通過技術(shù)和管理手段,確保銀行信息系統(tǒng)和數(shù)據(jù)的機密性、完整性和可用性。為此,工商銀行建立了一支專門的信息安全防護隊伍,及時分析和解決存在的各類信息安全隱患。同時,積極落實信息安全體系規(guī)范和信息安全等級保護措施,部署了入侵檢測、漏洞掃描等一系列信息安全防護工具,實施了客戶端安全管理。由于采取了及時有效的防御措施,假冒網(wǎng)站、網(wǎng)絡(luò)攻擊等事件雖然時有發(fā)生,伹沒有對信息系統(tǒng)的穩(wěn)定運行造成不良影響。特別是在北京奧運會期間,工商銀行成功抵御了針對網(wǎng)上銀行系統(tǒng)的惡意攻擊,保障了電子銀行業(yè)務(wù)正常開展,維護了企業(yè)聲譽。
5.業(yè)務(wù)連續(xù)性管理
多年來,工商銀行始終堅持“數(shù)據(jù)集中處理、主機災(zāi)難備份、平臺多點接入、業(yè)務(wù)跨區(qū)受理”的原則開展信息系統(tǒng)技術(shù)體系建設(shè),自行建立了國內(nèi)同業(yè)領(lǐng)先的完善的技術(shù)災(zāi)備體系。2003年以后,工商銀行建立了核心業(yè)務(wù)異地災(zāi)難備份系統(tǒng),實施了同城磁盤鏡像,成為國內(nèi)同業(yè)第一家同時具備同城和異地災(zāi)備系統(tǒng)的銀行,為保障信息系統(tǒng)的連續(xù)性運行奠定了技術(shù)基礎(chǔ)。與此同時,工商銀行依靠自身力量制定了《信息系統(tǒng)連續(xù)性運作計劃(ITCP)》,并從2005年開始,每年都進行一次全行業(yè)務(wù)級災(zāi)難恢復(fù)應(yīng)急演練,模擬在上海的生產(chǎn)中心發(fā)生災(zāi)難或信息系統(tǒng)長時間無法得到恢復(fù)的情況下,將全行核心業(yè)務(wù)切換到北京的災(zāi)備中心的技術(shù)和業(yè)務(wù)處理,有效保障了災(zāi)備系統(tǒng)的有效性。
三、加強信息科技風(fēng)險管理需要思考的若干問題
目前,商業(yè)銀行在實施信息科技風(fēng)險管理過程中主要面對以下幾方面的問題。
1.要關(guān)注信息科技風(fēng)險計量和相關(guān)標(biāo)準(zhǔn)規(guī)范體系建設(shè)
對于銀行來說,操作風(fēng)險本身就是一種比較難以控制的風(fēng)險,目前世界銀行業(yè)也沒有一種公認(rèn)的成熟方法來計量。新《巴塞爾資本協(xié)議》要求2007年所有的銀行都要開始按照協(xié)議規(guī)定的三種方法中的一種來計算經(jīng)濟資本,進而控制操作風(fēng)險。伹據(jù)調(diào)查,60%以上的銀行未從2007年開始對操作風(fēng)險實行量化管理,大多數(shù)銀行的預(yù)期實施時間是2010年?2012年??梢姡y行業(yè)在對于整個操作風(fēng)險的管理體系、流程、計量方法和工具等方面的探索還遠遠落后于傳統(tǒng)的信用風(fēng)險和市場風(fēng)險管理等領(lǐng)域。而銀行信息科技風(fēng)險除了人為誤操作因素以外,還與日趨復(fù)雜的信息系統(tǒng)軟硬件環(huán)境直接相關(guān),因此要對其進行科學(xué)、準(zhǔn)確的度量和評估,存在更大難度。從全球范圍來看,盡管國際上一些大銀行在信息科技風(fēng)險管理方面已經(jīng)積累了一定的經(jīng)驗,伹迄今為止真正構(gòu)建出有效的、完善的、可量化的信息科技風(fēng)險管理體系的銀行卻為數(shù)寥寥。因此,國內(nèi)銀行業(yè)需要首先考慮建立一套量化的指標(biāo)體系,科學(xué)衡量銀行的信息科技風(fēng)險。同時,建議相關(guān)主管部門牽頭在信息科技管理領(lǐng)域建立相應(yīng)的標(biāo)準(zhǔn)規(guī)范,以指導(dǎo)和促進國內(nèi)商業(yè)銀行提髙信息科技風(fēng)險管理的規(guī)范化、標(biāo)準(zhǔn)化水平。
2.正確認(rèn)識災(zāi)難備份體系建設(shè)的內(nèi)涵
建立完備的災(zāi)備體系對銀行的重要意義毋庸置疑,伹災(zāi)備體系建設(shè)應(yīng)遵循什么樣的標(biāo)準(zhǔn)和原則,是否所有銀行系統(tǒng)都遵循同樣的標(biāo)準(zhǔn)建設(shè)災(zāi)備系統(tǒng),是商業(yè)銀行在災(zāi)備體系規(guī)劃和建設(shè)過程中需要認(rèn)真考慮的問題。通常情況下,銀行可以根據(jù)業(yè)務(wù)系統(tǒng)的重要性、災(zāi)難恢復(fù)的時效性要求和銀行自身的風(fēng)險承受能力等因素,參考相關(guān)國際標(biāo)準(zhǔn)n,綜合評定劃分災(zāi)備等級,確定業(yè)務(wù)恢復(fù)時間(RTO)、業(yè)務(wù)丟失時間(RPO)等關(guān)鍵指標(biāo),在此基礎(chǔ)上,遵循成本效益的原則,按照相應(yīng)的標(biāo)準(zhǔn)開展災(zāi)備建設(shè)。目前,國外現(xiàn)代化商業(yè)銀行普遍采用此種做法,首先確定系統(tǒng)的災(zāi)備等級,并相應(yīng)實施不同的災(zāi)備策略,重點對關(guān)鍵設(shè)施和系統(tǒng)實施髙等級的災(zāi)備保護措施。
因此,建議國內(nèi)相關(guān)行業(yè)主管部門積極引導(dǎo)各商業(yè)銀行根據(jù)實際情況,采取分級實施、逐步推進的原則,借鑒國外銀行的先進經(jīng)驗,優(yōu)先確保關(guān)鍵設(shè)施和重要業(yè)務(wù)系統(tǒng)的連續(xù)性運作,在實現(xiàn)災(zāi)備體系建設(shè)目標(biāo)的同時,也相應(yīng)降低建設(shè)和維護的成本。
3.信息科技風(fēng)險管理需要業(yè)務(wù)部門的關(guān)注和共同參與
與應(yīng)用產(chǎn)品創(chuàng)新工作需要科技部門和業(yè)務(wù)部門共同完成類似,雖然信息科技風(fēng)險管理更多關(guān)注的是IT領(lǐng)域,伹其中相當(dāng)一部分內(nèi)容與業(yè)務(wù)部門息息相關(guān)。
在業(yè)務(wù)連續(xù)性管理方面,在科技部門建成了災(zāi)備系統(tǒng)的基礎(chǔ)上,需要業(yè)務(wù)部門制定業(yè)務(wù)層面的應(yīng)急計劃,指導(dǎo)業(yè)務(wù)人員在信息系統(tǒng)中斷和恢復(fù)時進行業(yè)務(wù)的應(yīng)急處理,從而與科技部門協(xié)同開展應(yīng)急恢復(fù)工作。
[關(guān)鍵詞]企業(yè)安全;信息管理;設(shè)計;實現(xiàn)
doi:10.3969/j.issn.1673-0194.2015.08.057
[中圖分類號]TP311.52 [文獻標(biāo)識碼]A [文章編號]1673-0194(2015)08-0075-02
近年來,企業(yè)安全事故層出不窮,信息安全引起了越來越多企業(yè)管理者的重視,成為各個企業(yè)不容忽視的關(guān)鍵問題。為了加強企業(yè)信息安全,不少企業(yè)開始設(shè)立獨立部門對企業(yè)的信息安全進行專業(yè)管理,并開始培養(yǎng)專業(yè)的信息安全管理人才。
1 企業(yè)安全信息管理平臺的問題
1.1 安全意識不強
企業(yè)要重視信息安全并實施管控,信息安全管理的成敗取決于員工的安全意識。人員安全意識欠缺,導(dǎo)致政令不通,監(jiān)督不力,執(zhí)行不暢,往往導(dǎo)致信息外泄、系統(tǒng)故障等安全事故。只有樹立直接執(zhí)行人員牢固的信息安全意識,形成企業(yè)安全文化,企業(yè)信息安全才能真正長治久安。員工信息安全意識的提升并非一日之功,也不是通過簡單的一兩次培訓(xùn)就能奏效,而是一項持續(xù)的、長期的、有計劃的、多種方式并用的綜合性工作。信息安全意識提升面向企業(yè)廣泛的受眾,其內(nèi)容涵蓋信息安全相關(guān)各個領(lǐng)域,重點針對員工日常工作和個人行為,關(guān)注各種可能因個人行為不當(dāng)或警惕性不強而引發(fā)的信息安全隱患和事故。由于目標(biāo)對象的不同,信息安全意識提升內(nèi)容會呈現(xiàn)出不同的形式、程度,從簡潔明了的宣傳語,到淺顯易懂的安全提示,再到全面具體的安全手冊,建立企業(yè)專門的信息安全知識庫,滿足不同方面和不同層次的需要。
1.2 缺乏專業(yè)人才
隨著經(jīng)濟社會的不斷發(fā)展,企業(yè)對于信息安全管理人才的需求也越來越大。任何組織都是由人組成的,沒有人才,組織就不能取得長遠發(fā)展,更談不上不斷進步和自我完善。企業(yè)的發(fā)展需要不斷補充新的人才。對于多數(shù)企業(yè)來說,信息安全管理人員的素質(zhì)決定了單位能否長遠發(fā)展。信息安全管理是最近幾年才興起的,很多企業(yè)還沒有配備相關(guān)人才,不少高校也尚未開展相關(guān)專業(yè),培養(yǎng)信息安全管理方面的人才,國家對于信息安全管理專業(yè)的投入也不夠。社會整體尚未形成重視信息安全管理的氛圍。目前,不少企業(yè)的信息安全管理人員十分匱乏,很多企業(yè)沒有專門的信息安全管理機構(gòu),因此也沒有配備相應(yīng)的信息安全管理人員。只有少數(shù)企業(yè)認(rèn)識到信息安全管理的重要性,設(shè)立了相應(yīng)的信息安全管理機構(gòu)。但在這些企業(yè)當(dāng)中,多數(shù)企業(yè)的信息安全管理機構(gòu)十分簡陋,相關(guān)設(shè)備也不夠健全,專業(yè)人員的配備也存在缺失,有的企業(yè)雖然配備有信息安全管理人員,但這些人員多數(shù)沒有接受過系統(tǒng)的知識培訓(xùn),經(jīng)驗不夠豐富,責(zé)任心不強,不能履行信息安全管理人員的基本職責(zé)。信息安全管理人員素質(zhì)不高和專業(yè)人才的缺失,是企業(yè)的發(fā)展的阻礙,嚴(yán)重影響了企業(yè)的長遠發(fā)展。
1.3 監(jiān)管制度缺失
完善、科學(xué)的信息安全監(jiān)管制度對于企業(yè)的發(fā)展具有十分重要的意義和作用。行為規(guī)范制度是指導(dǎo)工作人員進行相關(guān)操作的準(zhǔn)則和辦法,只有建立一套系統(tǒng)的信息安全監(jiān)管制度,才能規(guī)范信息安全管理人員的行為,使操作有據(jù)可依,信息安全管理人員對自身行為負(fù)起責(zé)任。目前我國信息安全管理制度仍不健全,不少企業(yè)沒有建立起一套完善的內(nèi)部控制制度,使得很多行為沒有操作依據(jù),信息安全管理人員的行為無法有效約束,出現(xiàn)了許多不負(fù)責(zé)任的行為。這些行為不僅阻礙了企業(yè)的發(fā)展,也影響了企業(yè)的聲譽,不利于后續(xù)工作的開展。因此,必須建立健全企業(yè)信息安全監(jiān)管制度,為企業(yè)后續(xù)活動的開展提供保障。
1.4 管理技術(shù)落后
信息安全管理需要先進的管理技術(shù)和安全技術(shù),為信息安全管理提供有力的技術(shù)支持。企業(yè)在發(fā)展過程中,開發(fā)了一系列信息安全管理技術(shù)和管理技巧,發(fā)揮了一定的作用。但隨著經(jīng)濟社會的發(fā)展和科技的日新月異,不少技術(shù)已經(jīng)無法跟上時代步伐,很多技術(shù)面臨淘汰。這些管理技巧不但不能給企業(yè)帶來益處,反而有可能影響企業(yè)的信息安全。因此必須緊跟時代步伐,了解最新的信息安全管理技巧,結(jié)合企業(yè)實際情況,開發(fā)符合時代要求的管理技巧。同時,積極了解最新科技動態(tài),將適合于本企業(yè)的技術(shù)運用到企業(yè)的信息安全管理過程中。
2 如何完善企業(yè)安全信息管理平臺設(shè)計
2.1 增強信息安全管理意識
提高信息安全管理意識是完善企業(yè)信息安全管理的重要前提和關(guān)鍵因素。只要具備良好的內(nèi)部安全控制意識,才能順利開展后續(xù)工作。企業(yè)管理者必須深切意識到信息安全管理對于企業(yè)發(fā)展的重要性和必要性,加大投資力度,及時發(fā)現(xiàn)企業(yè)信息安全管理中存在的問題和不足。必須加強對企業(yè)信息安全管理的重視,切實意識到信息安全管理對于企業(yè)發(fā)展的重要性,加大資金投入,確保企業(yè)信息安全管理良好運作。
2.2 加強人員的素質(zhì)培訓(xùn)
人才對于企事業(yè)單位的發(fā)展具有不容忽視的作用。單位的競爭歸根結(jié)底是人才的競爭。信息安全管理人員的素質(zhì)對于企業(yè)的發(fā)展具有重要作用,具有良好素質(zhì)的信息安全管理人員可以促進企業(yè)的快速發(fā)展。企業(yè)必須重視對信息安全管理人員的培訓(xùn)和投資。信息安全管理人員的投資包括設(shè)備的更新,資金的投入和專業(yè)教育的提升。同時,要鼓勵信息安全管理人員學(xué)習(xí)最新的信息安全知識,不斷更新已有知識,緊跟時代的步伐。企業(yè)不僅要注重提高信息安全管理人員的專業(yè)素養(yǎng),也要重視對企業(yè)信息安全管理人員的道德培養(yǎng)。只有專業(yè)知識而缺乏道德素養(yǎng)的工作人員,不僅不能給企業(yè)帶來效益,反而會危害企業(yè)發(fā)展,因此必須重視企業(yè)信息安全管理人員的道德素養(yǎng)。信息安全必須不斷加強對信息安全管理人員的培訓(xùn),切實全面提高信息安全管理人員素質(zhì),增強信息安全管理人員靈活處理各項事務(wù)的能力,不斷鞏固自身基礎(chǔ)知識,培養(yǎng)信息安全管理人員的責(zé)任心和創(chuàng)新精神,真正做到與時俱進。只有不斷提升企業(yè)的信息安全管理人員素質(zhì),才能從整體上提升企事業(yè)單位的安全管理工作效率,促進企業(yè)的長遠發(fā)展。
2.3 強化信息安全監(jiān)督管理
監(jiān)督工作對于企業(yè)的發(fā)展具有重要作用和意義。良好的監(jiān)督是企事業(yè)單位正?;顒拥那疤?。沒有完善的監(jiān)督體系,企事業(yè)單位很難確保業(yè)務(wù)的正常開展。企事業(yè)單位應(yīng)強化信息安全監(jiān)督工作,建立相應(yīng)的監(jiān)督管理機構(gòu),對企業(yè)內(nèi)部各項經(jīng)濟活動進行有計劃地控制,及時發(fā)現(xiàn)企事業(yè)單位存在的問題,同時應(yīng)加強信息安全管理工作,不斷提升工作效率。凡事預(yù)則立,不預(yù)則廢。除了做好信息安全管理的內(nèi)部監(jiān)督工作外,不斷加強信息安全管理的外部監(jiān)督工作也是十分重要的環(huán)節(jié)。外部監(jiān)督主要包括新聞媒體監(jiān)督和社會大眾監(jiān)督。企事業(yè)單位管理者要認(rèn)識到內(nèi)部管理的不足之處,認(rèn)真改正有缺陷的地方,不斷完善內(nèi)部控制建設(shè)。同時,也要不斷加強新聞媒體的監(jiān)督作用,發(fā)揮輿論的監(jiān)督作用。內(nèi)部控制是一項巨大的完整的工程,具有完善的體系和結(jié)構(gòu),必須保證每個環(huán)節(jié)落實到位,才能確保整個體系的良性運行,從而發(fā)揮出最大的效益。
2.4 提高信息安全管理技巧
除此之外,信息安全管理技巧對于企事業(yè)單位的發(fā)展具有重要意義。不同的控制技巧適用于不同的企事業(yè)單位,也會產(chǎn)生不同的效果。企事業(yè)單位采取適合本單位的內(nèi)部控制技巧,可以提高企事業(yè)單位的行政效率。隨著時代的發(fā)展和進步,傳統(tǒng)的信息安全管理技巧已經(jīng)不適用于現(xiàn)代企業(yè)。因此,企業(yè)必須根據(jù)時代的發(fā)展,提升自身信息安全管理技巧,摒棄舊有落后工作模式。另外,在實施信息安全管理技巧時,必須考慮到事業(yè)單位的實際運作情況,切忌生搬硬套。應(yīng)根據(jù)企事業(yè)單位的具體情況,有針對性地提高信息安全管理的技巧,逐步解決企事業(yè)單位在實施信息安全管理時遇到的難題。
主要參考文獻
[1]侯衛(wèi)超.企業(yè)信息安全現(xiàn)狀分析與管理對策[J].科技信息:科學(xué)教研,2007(28).
[2]王超,林峰.高校校園網(wǎng)絡(luò)安全管理策略[J].科技資訊,2007(20).
安全管理在任何領(lǐng)域都是不可忽視的重要問題,高校作為國家孕育和培養(yǎng)高素質(zhì)人才的基地,主要面對的人群是尚未步入社會、毫無實踐經(jīng)驗的青年人,安全管理顯示著對國家未來人才的負(fù)責(zé)任態(tài)度。計算機作為一種基本的學(xué)習(xí)和交流工具,在高校內(nèi)已全面覆蓋應(yīng)用,對龐大的計算機數(shù)據(jù)和設(shè)備進行信息化安全管理同樣是對使用人群的負(fù)責(zé)任表現(xiàn)。通過以下幾點對信息化安全在高校計算機管理中的應(yīng)用進行闡述。
1加強硬件設(shè)備安全管理
1.1設(shè)置保密度高的登錄密碼
在計算機安全管理過程中,若網(wǎng)絡(luò)終端的登錄口令太過簡單,使用重復(fù)率較高或是較簡單的口令,如“123456”、“888888”等,極容易造成信息泄露的情況。高校要想加強網(wǎng)絡(luò)終端設(shè)備的安全管理,首要將原本簡單的登錄口令更換為保密度較高、較復(fù)雜的口令,如可以在密碼中加入字母、數(shù)字、特殊符號等,或者還可以使用專業(yè)的動態(tài)密碼登錄設(shè)備,在每次登錄時會隨機生成新密碼,可防止固定密碼被破解。另外,還應(yīng)加強教師和學(xué)生使用計算機的安全意識,要注意使用計算機時無意彈出的網(wǎng)絡(luò)連接、下載程序和電子郵件等。
1.2加強控制外部接入設(shè)備
在計算機安全管理過程中,還應(yīng)加強控制外部設(shè)備端口的安全管理,如串口、USB以及紅外等;同時還應(yīng)加強控制移動設(shè)備的安全管理,如無線、光驅(qū)、打印機等。對計算機外部接入設(shè)備的安全管理可分為只讀、禁止與安全三個層次,管理人員可通過授權(quán)認(rèn)證制度在發(fā)現(xiàn)違規(guī)操作或違規(guī)接入行為時,立即給予警告和制止。此外,還應(yīng)設(shè)置安全管理系統(tǒng),對外接設(shè)備的文件傳輸進行監(jiān)控和跟蹤,如文件復(fù)制、增加或刪除等,以避免發(fā)生信息泄露的情況。
1.3加強控制計算機網(wǎng)絡(luò)終端
以往傳統(tǒng)的計算機網(wǎng)絡(luò)終端使用分散式管理,沒有系統(tǒng)性的安全策略,且無整體防御措施。因此,計算機安全管理人員應(yīng)從網(wǎng)絡(luò)終端安全管理開始監(jiān)管。通過網(wǎng)絡(luò)終端接口認(rèn)證、安全策略服務(wù)器和全網(wǎng)絡(luò)客戶端等設(shè)備,對所以不符合安全管理要求的終端均控制在隔離區(qū)外。在必要時,可實施拒接入網(wǎng),或是可以將通過安全監(jiān)測的網(wǎng)絡(luò)終端直接接入內(nèi)部網(wǎng)絡(luò),從而實現(xiàn)從源頭上對計算機網(wǎng)絡(luò)終端進行安全控制和監(jiān)管的目標(biāo)。
2加強信息存儲安全管理
高校的計算機信息化安全管理應(yīng)建立一個統(tǒng)一的管理體系,由網(wǎng)絡(luò)安全管理軟件、檢測系統(tǒng)、防火墻、殺毒軟件等組成,對信息安全性、完整性、合規(guī)性進行管理。其中信息安全性管理包括程序安全管理、物理安全管理、數(shù)據(jù)安全管理;信息完整性管理主要對應(yīng)用程序安全與軟件質(zhì)量進行安全管理;信息合規(guī)性管理是指保證信息和信息的使用符合法律法規(guī)的要求。
2.1建立檢測系統(tǒng)
大多數(shù)的高校計算機信息方面的泄露事件或攻擊事件均發(fā)生于高校內(nèi)部網(wǎng)絡(luò),其中內(nèi)部人員的使用和操作是防火墻的盲區(qū)。因此,計算機信息安全管理人員應(yīng)加強對計算機信息安全的管理,建立信息安全管理檢測系統(tǒng),不僅可以彌補防火墻的不足,還可為信息安全提供全程檢測,在發(fā)現(xiàn)異常情況時可以立即采取相應(yīng)措施進行防護和修復(fù)。
2.2病毒的過濾及防護
計算機信息安全會受到多方面、多領(lǐng)域的病毒威脅,其中主要包括移動硬盤、光碟、U盤和互聯(lián)網(wǎng)等,為減少病毒的入侵和損害,大多數(shù)情況下會使用多層病毒防護體系來進行全網(wǎng)統(tǒng)一殺毒措施。其中全網(wǎng)分布式病毒防護的重要措施之一是在互聯(lián)網(wǎng)的網(wǎng)關(guān)上設(shè)置病毒過濾網(wǎng)關(guān)硬件,優(yōu)化的殺毒軟件可避免錯失防毒殺毒的最佳時機。
2.3防火墻設(shè)置
防火墻是設(shè)置不同網(wǎng)絡(luò)之間所有部件的組合,是通過網(wǎng)關(guān)來對信息交流進行控制。防火墻主要作用是防御外來網(wǎng)絡(luò)的攻擊,解決外來者是否被允許訪問內(nèi)部服務(wù)、內(nèi)部服務(wù)是否允許外部訪問等問題。高校計算機信息安全管理應(yīng)加強對防火墻的設(shè)置,以實現(xiàn)信息安全管理的目標(biāo)。
3結(jié)語
1 數(shù)字檔案信息安全管理中存在的問題
1.1 管理者的安全意識不強
檔案信息化水平不斷提升,這也使檔案信息安全問題越來越突出。當(dāng)前很多檔案管理人員對于檔案信息安全的重要性和緊迫性缺乏有效的認(rèn)知,特別是當(dāng)前檔案網(wǎng)站安全、計算機系統(tǒng)安全等問題普遍得不到重視。由于檔案管理者對數(shù)字檔案信息安全意識缺乏,這也導(dǎo)致普遍民眾對數(shù)字檔案信息的安全問題更是一無所知。很大一部分檔案管理人員在日常工作中都沒有意識到數(shù)字檔案存在的安全隱患,這些數(shù)字檔案信息可能隨時消失不見,對風(fēng)險缺乏有效的認(rèn)知,這也造成數(shù)字檔案信息安全問題始終存在,這對于數(shù)字檔案信息安全管理工作帶來了較大的挑戰(zhàn)和難度。
1.2 數(shù)字檔案信息安全管理技術(shù)滯后
隨著信息技術(shù)的快速發(fā)展,數(shù)字檔案檔案安全技術(shù)也緊跟信息技術(shù)發(fā)展步伐取得了較快的發(fā)展,但在發(fā)展過程中存在著技術(shù)層面專業(yè)問題的制約,這就導(dǎo)致數(shù)字檔案信息安全管理技術(shù)相對滯后。在實際工作中,往往都是檔案信息安全問題出現(xiàn)后,數(shù)字檔案信息安全技術(shù)才能針對出現(xiàn)的問題進行改進,從而取得技術(shù)上的發(fā)展。即在數(shù)字檔案信息管理工作中,安全隱患一直存在,風(fēng)險一直管觀存在,數(shù)字檔案信息安全時刻受到威脅,因此要??際工作中需要有效的降低風(fēng)險,即應(yīng)用數(shù)字檔案信息安全技術(shù)來將風(fēng)險降至最低水平。
1.3 數(shù)字檔案信息安全管理制度不完善
現(xiàn)今我國在數(shù)字檔案信息安全領(lǐng)域的制度不夠健全,所以才會在實際的數(shù)字檔案信息安全管理中出現(xiàn)許多紕漏。由于數(shù)字信息安全管理制度的殘缺導(dǎo)致我國的數(shù)字檔案信息安全管理水平普遍偏低。從實際出發(fā),我國大部分的檔案管理部門都制定了相應(yīng)的數(shù)字檔案信息管理制度,許多制度都是為了應(yīng)付檢查才制定的,相互抄襲的情況比較多,這樣的情況就會造成所制定的制度并不能與實際的數(shù)字檔案信息安全管理工作相匹配。對實際的數(shù)字檔案信息安全管理工作起不到任何制約與指導(dǎo)作用,甚至可能造成安全隱患給數(shù)字檔案信息安全管理工作帶來不必要的麻煩。
2 加強數(shù)字檔案信息安全管理的策略分析
2.1 加強對工作人員的培訓(xùn),樹立安全防范意識
隨著檔案信息化的不斷發(fā)展,檔案數(shù)字化全面普及率已成為檔案工作發(fā)展的必然趨勢。為了能夠更好的提高數(shù)字檔案信息管理的安全,需要遵循以人為本原則,重視檔案管理人員的培訓(xùn)工作,努力提高檔案管理人員的專業(yè)技能。在具體培訓(xùn)過程中,要加強對檔案管理人員信息安全知識的講解,使檔案管理人員樹立安全防范意識,認(rèn)識到數(shù)字檔案安全管理的重要性,并能夠在實際工作中利用安全技術(shù)來維護數(shù)字檔案信息的安全。培訓(xùn)過程中還要重視檔案管理人員計算機技術(shù)水平的提升,這樣在實際工作中才能更熟練的應(yīng)用檔案管理系統(tǒng),提高檔案管理系統(tǒng)的先進性,從而更好的實現(xiàn)對數(shù)字檔案信息的有效管理。
2.2 提高重要信息的加密性和計算機的安全性
網(wǎng)絡(luò)環(huán)境的不安全會影響數(shù)字檔案信息的安全性,因此要加大對網(wǎng)絡(luò)環(huán)境的保護力度,提高計算機環(huán)境的安全性。為防止重要信息被黑客入侵盜取,要加強對信息的加密保護,保證數(shù)字檔案信息的保密性,在網(wǎng)絡(luò)層能夠安全、自由的傳遞,特別是對帶有密級的數(shù)字檔案信息系統(tǒng),更應(yīng)該加強文件的加密保護能力,保護重要的檔案信息。對計算機要定期的清理,防止留下的瀏覽記錄被別有用心的人利用,可能會從中得到很多私人信息,提高計算機系統(tǒng)的安全性。因此在計算機上必然安全可靠的殺毒軟件和防火墻,做好安全防范工作,降低計算機系統(tǒng)受到病毒破壞及黑客攻擊的可能性,提高計算機系統(tǒng)的安全水平。同時檔案管理人員還要熟練應(yīng)用計算機軟件,并定期對病毒庫進行更新,強化計算機系統(tǒng)的安全防范,有效的提高數(shù)字檔案信息的安全性和可靠性。
2.3 健全數(shù)字檔案信息安全管理制度與法律
數(shù)字檔案信息安全管理是需要制度與法律作為強大的支撐的,所以要建立和完善數(shù)字檔案安全管理的規(guī)章制度。制定數(shù)字檔案信息安全管理的相關(guān)制度與法律是提高數(shù)字檔案信息安全管理水平的一個有效方法。要做到數(shù)字檔案信息安全管理其實是很難的,這其中所需要具備的條件很多、工程量極大。要結(jié)合管理工作中遇到的具體問題來制定與實際相符的并且執(zhí)行性較強的數(shù)字檔案信息安全管理制度。數(shù)字檔案信息安全從根本上看主要是人在發(fā)揮主要作用,并且我國為了保障數(shù)字檔案信息安全頒布了兩部相關(guān)法律。從目前形勢來看,數(shù)字檔案信息管理還存在許多不足之處有待于進一步完善,如數(shù)字檔案信息安全管理的相關(guān)制度與法律還需要進一步補充。還要從數(shù)字檔案的形成之時起一直到歸檔保存,這其中在每一個過程都必須嚴(yán)格遵守規(guī)范的管理制度,這樣才能從源頭就開始對數(shù)字檔案信息進行規(guī)范化管理,有利于后期的安全管理。
對比省級及以上級別的商業(yè)銀行,中小城市銀行分支機構(gòu)、村鎮(zhèn)銀行普遍存在信息安全基礎(chǔ)設(shè)施不達標(biāo)、技術(shù)水平落后、運維能力薄弱等問題。針對這些問題,本文提出了建立統(tǒng)一的信息安全基礎(chǔ)環(huán)境建設(shè)標(biāo)準(zhǔn)以及健全的信息安全管理體系,不斷提高信息安全運維水平,有效防范區(qū)域性信息安全風(fēng)險。
關(guān)鍵詞:
信息安全;中小城市;銀行分支機構(gòu);基礎(chǔ)設(shè)施
近年來,我國中小城市商業(yè)銀行不斷發(fā)展壯大,銀行業(yè)數(shù)據(jù)大集中趨勢越來越明顯,對于地級市商業(yè)銀行分支機構(gòu)和村鎮(zhèn)銀行等小微金融機構(gòu)而言,由于其存在規(guī)模小、信息安全專業(yè)人才相對匱乏、信息安全建設(shè)資金投入較少、信息安全意識淡薄、信息安全風(fēng)險防范能力不強等原因,風(fēng)險日益突出。因此,中小城市銀行分支機構(gòu)的信息安全管理應(yīng)引起高度關(guān)注。
一、中小城市銀行分支機構(gòu)信息安全管理現(xiàn)狀
以筆者所在城市最近5年的情況來看,新成立村鎮(zhèn)銀行有3家,商業(yè)銀行新設(shè)分支機構(gòu)有4家(不包括新設(shè)營業(yè)網(wǎng)點),根據(jù)歷年綜合執(zhí)法檢查的情況分析,這些銀行普遍存在機房基礎(chǔ)設(shè)施建設(shè)不達標(biāo)、網(wǎng)絡(luò)綜合布線不規(guī)范、應(yīng)急演練記錄缺失、應(yīng)急預(yù)案與實際不符、信息安全運維人員匱乏、工作人員信息安全意識薄弱等問題。大部分分支機構(gòu)的日常運維工作都采取外包服務(wù)的方式,其可靠性和安全性無法得到充分保障。
二、中小城市銀行分支機構(gòu)信息安全存在問題
(一)信息安全軟硬件環(huán)境不達標(biāo)。
一是機房、供電、綜合布線、防雷等安全保護措施等方面達不到相關(guān)標(biāo)準(zhǔn),設(shè)備、介質(zhì)等安全管理軟件欠缺。二是由于目前數(shù)據(jù)大集中趨勢,地市級銀行分支機構(gòu)的網(wǎng)絡(luò)和主機審計、接入認(rèn)證、系統(tǒng)授權(quán)管理等手段缺失,應(yīng)對信息安全風(fēng)險事件反應(yīng)較慢。三是主機病毒防護、系統(tǒng)安全、數(shù)據(jù)庫安全、身份鑒別、數(shù)據(jù)完整性、保密性等方面缺少必要的軟件,或相關(guān)安全配置工作不到位。四是大多數(shù)地市級銀行分支機構(gòu)缺少整體的運維監(jiān)控平臺,制約了應(yīng)急響應(yīng)處置能力。
(二)信息安全管理體系不健全。
信息安全管理工作主要由分支機構(gòu)綜合業(yè)務(wù)部負(fù)責(zé)。雖然人民銀行加強了“兩管理、兩綜合”檢查,對新成立的銀行分支機構(gòu)開展了開業(yè)管理,并要求建立全面的信息安全長效管理機制,但在通過開業(yè)申請之后,制度執(zhí)行力往往不夠,信息安全責(zé)任很難落實到位。應(yīng)急管理注重形式,缺乏與實際的結(jié)合,盡管制定了應(yīng)急預(yù)案,但應(yīng)急實戰(zhàn)演練較少、涵蓋范圍不全,應(yīng)急措施缺乏針對性、操作性和實效性。
(三)信息安全管理意識不強。
一是管理層對信息安全管理重視度不高,對信息安全的投入往往只有在機構(gòu)成立時的一次性投入,忽視了信息安全管理是一個持續(xù)長久的過程。二是信息系統(tǒng)的運維人員把信息安全管理工作看成是技術(shù)問題,過分強調(diào)信息系統(tǒng)的可用性,認(rèn)為信息安全管理工作就是網(wǎng)絡(luò)安全和核心主機安全。實際上,信息安全更多應(yīng)該是個管理問題,信息系統(tǒng)的可控性和保密性是信息安全不可或缺的部分。三是大部分員工只關(guān)注計算機的便捷性,而忽視了做好相關(guān)安全措施。
(四)信息安全運維能力薄弱。
首先,地市級銀行分支機構(gòu)科技運維大多采用外包方式,外包管理制度和約束不全面,使得系統(tǒng)運行風(fēng)險及運維難度加大,村鎮(zhèn)銀行等小微金融機構(gòu)大多并未配備科技人員,管理科技的人員往往身兼數(shù)職,很難對信息安全風(fēng)險進行及時響應(yīng)。其次,科技運維人員參加信息技術(shù)培訓(xùn)較少,缺少完整、系統(tǒng)的信息安全知識,應(yīng)對信息安全風(fēng)險處置能力不夠。
三、相關(guān)對策和建議
(一)建立一套中小城市銀行分支機構(gòu)信息安全軟硬件環(huán)境標(biāo)準(zhǔn)。
在不同等級的分支機構(gòu)及營業(yè)網(wǎng)點建立相配套的軟硬件設(shè)施,特別是加強機房、供配電、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的建設(shè)管理,在設(shè)備選型、施工安裝和運行維護等過程嚴(yán)把關(guān)。同時,后期維護和管理也應(yīng)持續(xù)遵循建設(shè)標(biāo)準(zhǔn),做到“有章可循,有據(jù)可依”,確保IT基礎(chǔ)設(shè)施安全穩(wěn)定運行。
(二)建立健全信息安全管理體系,將責(zé)任層層落實。
一是要建立相應(yīng)的信息安全領(lǐng)導(dǎo)小組,明確領(lǐng)導(dǎo)小組對信息安全管理和監(jiān)督工作的領(lǐng)導(dǎo),完善組織保障、協(xié)調(diào)機制,信息安全管理不只是科技部門的工作,應(yīng)將信息安全管理納入機構(gòu)管理范疇。形成各部門協(xié)調(diào)統(tǒng)一、齊抓共管的信息安全工作局面。二是實施有效的信息安全防范措施,制定應(yīng)急預(yù)案并與實際情況聯(lián)系,應(yīng)急操作要有針對性、實用性,要通過定期的演練來驗證應(yīng)急預(yù)案,并及時對應(yīng)急預(yù)案進行評估和修訂。
(三)不斷提高信息安全運維水平。
一是各商業(yè)銀行應(yīng)定期對中小城市銀行分支機構(gòu)的科技人員及全體員工進行信息安全培訓(xùn),提高風(fēng)險防范意識,培養(yǎng)信息安全業(yè)務(wù)骨干,提升分支機構(gòu)的應(yīng)急響應(yīng)和應(yīng)急處置能力。二是要建立統(tǒng)一的信息資產(chǎn)監(jiān)控平臺,讓分支機構(gòu)的科技人員參與進來,及時發(fā)現(xiàn)問題并解決問題。三是要加強外包服務(wù)管理,簽訂相關(guān)的保密協(xié)議,同時在運維過程中要做好文檔管理,充分考慮外包服務(wù)的連續(xù)性。
(四)監(jiān)管機構(gòu)要加強對當(dāng)?shù)厣虡I(yè)銀行和小微金融機構(gòu)的信息安全管理指導(dǎo)和監(jiān)督。
參考銀行業(yè)監(jiān)督管理委員會的《商業(yè)銀行信息科技風(fēng)險管理指引》和《人民銀行信息系統(tǒng)信息安全等級保護實施指引(試行)》,加強銀行分支機構(gòu)開業(yè)管理和指導(dǎo),定期對轄內(nèi)銀行機構(gòu)開展信息安全檢查,并納入全年商業(yè)銀行考評體系。
作者:李蘇 單位:中國人民銀行衡陽市中心支行
參考文獻:
【關(guān)鍵詞】 信息技術(shù) 電網(wǎng)企業(yè) 網(wǎng)絡(luò)信息 安全管理
一、我國電網(wǎng)企業(yè)網(wǎng)絡(luò)信息發(fā)展現(xiàn)狀
近幾年來,我國電網(wǎng)企業(yè)網(wǎng)絡(luò)信息發(fā)展迅猛,電網(wǎng)企業(yè)信息化基礎(chǔ)設(shè)施較為完善,電網(wǎng)企業(yè)和其他企業(yè)相比信息化程度相對較高,電網(wǎng)企業(yè)各部門人員都使用計算機進行辦公。電網(wǎng)企業(yè)營銷管理系統(tǒng)應(yīng)用廣泛,我國各地區(qū)電網(wǎng)企業(yè)都建立了網(wǎng)絡(luò)信息管理系統(tǒng),電網(wǎng)企業(yè)業(yè)務(wù)受理都呈現(xiàn)出信息化特征。隨著信息技術(shù)的不斷提高,我國電網(wǎng)企業(yè)網(wǎng)絡(luò)管理信息系統(tǒng)逐漸建立起來,并在一定程度上得到推廣,國家電網(wǎng)企業(yè)大力開展網(wǎng)絡(luò)管理信息系統(tǒng)建設(shè),在電力生產(chǎn)、電力設(shè)備使用、安全監(jiān)督和電力營銷等方面都應(yīng)用到網(wǎng)絡(luò)管理信息系統(tǒng),電網(wǎng)企業(yè)的網(wǎng)絡(luò)化和信息化增強,電網(wǎng)企業(yè)將網(wǎng)絡(luò)信息建設(shè)和管理放到首位,旨在通過信息技術(shù)推動電網(wǎng)企業(yè)的可持續(xù)發(fā)展。
二、電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理中存在的問題
1.信息化機構(gòu)建設(shè)尚不完善。電網(wǎng)企業(yè)網(wǎng)絡(luò)信息部門沒有受到足夠的重視,電網(wǎng)企業(yè)信息管理部門沒有在企業(yè)內(nèi)部設(shè)置專門的信息化機構(gòu),電網(wǎng)企業(yè)沒有科學(xué)合理的信息管理崗位,電網(wǎng)企業(yè)信息管理部門建設(shè)落后,信息化機構(gòu)建設(shè)尚不完善,電網(wǎng)企業(yè)缺乏專業(yè)技能良好、綜合素質(zhì)較高的復(fù)合型人才。2.電網(wǎng)企業(yè)網(wǎng)絡(luò)信息化管理水平低下。和我國信息技術(shù)的發(fā)展和應(yīng)用相比,國家電網(wǎng)企業(yè)網(wǎng)絡(luò)信息化管理水平相對較低,電網(wǎng)企業(yè)沒有對網(wǎng)絡(luò)信息化管理進行不斷優(yōu)化和革新,雖然我國很多電網(wǎng)企業(yè)都將先進的信息系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)運用到企業(yè)運營中,但是并沒有及時對電網(wǎng)企業(yè)的網(wǎng)絡(luò)信息管理模式進行革新和完善,這就導(dǎo)致網(wǎng)絡(luò)信息系統(tǒng)不能達到預(yù)期的使用效果。
三、加強電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理的有效措施
1.重視電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全規(guī)劃。對我國電網(wǎng)企業(yè)網(wǎng)絡(luò)信息進行規(guī)劃的主要目的是提升網(wǎng)絡(luò)信息系統(tǒng)的安全性,對電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全問題進行全面考慮,對電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全進行科學(xué)合理的規(guī)劃,建立全面統(tǒng)一的網(wǎng)絡(luò)信息安全管理體系,能在一定程度上提高電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全性。
2.合理劃分網(wǎng)絡(luò)安全區(qū)域。要對電網(wǎng)企業(yè)網(wǎng)絡(luò)安全區(qū)域進行合理劃分,根據(jù)電網(wǎng)企業(yè)各部分網(wǎng)絡(luò)信息的安全密級和安全規(guī)劃對網(wǎng)絡(luò)安全區(qū)域進行科學(xué)合理的劃分,通常情況下可以將電網(wǎng)企業(yè)網(wǎng)絡(luò)安全區(qū)域劃分為三部分,即重點防范區(qū)域、一般防范區(qū)域和完全開放區(qū)域,這樣才能實現(xiàn)電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全管理,使得個網(wǎng)絡(luò)區(qū)域的工作能夠順利開展。
3.加強網(wǎng)絡(luò)信息安全管理和制度建設(shè)。為確保電網(wǎng)企業(yè)網(wǎng)絡(luò)信息的安全性良好,電網(wǎng)企業(yè)應(yīng)該將網(wǎng)絡(luò)信息安全管理和相關(guān)制度建設(shè)當(dāng)做重點內(nèi)容,對電網(wǎng)企業(yè)網(wǎng)絡(luò)信息日志進行嚴(yán)格管理和安全審計,充分利用防火墻和入侵檢測系統(tǒng)的審計功能,對電網(wǎng)企業(yè)網(wǎng)絡(luò)信息日志進行準(zhǔn)確記錄。重視并加強電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理制度建設(shè),明確電網(wǎng)企業(yè)從業(yè)人員的職責(zé)和義務(wù),制定網(wǎng)絡(luò)信息安全事故應(yīng)急處理程序,加強電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理基礎(chǔ)設(shè)施建設(shè),確保網(wǎng)絡(luò)信息系統(tǒng)運行環(huán)境良好,電網(wǎng)企業(yè)應(yīng)該做好防火防水設(shè)計,確保電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全性能良好,運行可靠。
4.加強電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理人員的綜合培訓(xùn)。電網(wǎng)企業(yè)網(wǎng)絡(luò)信息管理人員的專業(yè)水平和綜合素質(zhì)對網(wǎng)絡(luò)信息安全具有極大的影響,電網(wǎng)企業(yè)必須重視并加強網(wǎng)絡(luò)信息管理人員的綜合培訓(xùn),提高網(wǎng)絡(luò)信息高級管理人員的綜合能力,使其了解網(wǎng)絡(luò)信息安全管理的策略及目標(biāo),制定科學(xué)合理的電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理制度。加強網(wǎng)絡(luò)信息系統(tǒng)安全運行管理和維護人員綜合能力的培訓(xùn),使其能夠充分理解電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理策略,掌握網(wǎng)絡(luò)信息系統(tǒng)安全操作和維護技術(shù)。讓網(wǎng)絡(luò)信息管理人員充分了解網(wǎng)絡(luò)信息安全操作流程,獲得全面的電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全知識,提高網(wǎng)絡(luò)信息管理人員的安全意識和技能,確保網(wǎng)絡(luò)信息管理人員專業(yè)水平較高,綜合素質(zhì)良好,使其在電網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)運行、管理和維護上充分發(fā)揮自己的職能。
總結(jié):隨著信息技術(shù)的快速發(fā)展,電網(wǎng)企業(yè)信息化成為一種必然的發(fā)展趨勢,電網(wǎng)企業(yè)在電力生產(chǎn)和運營的過程中只有做好網(wǎng)絡(luò)信息安全管理工作,在不斷的實踐過程中發(fā)現(xiàn)電網(wǎng)企業(yè)網(wǎng)絡(luò)安全管理中存在的問題,探索出加強電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全管理的有效措施,才能實現(xiàn)電網(wǎng)企業(yè)的可持續(xù)發(fā)展。
參 考 文 獻
[1]朱貴強.論企業(yè)網(wǎng)絡(luò)信息安全管理[J].中國科教博覽,2005,(6).
[2]閆斌,曲俊華,齊林海.電力企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)方案的研究[J].現(xiàn)代電力,2003,(1).
電子信息安全管理防范意識管理質(zhì)量近些年來,我國計算機網(wǎng)絡(luò)技術(shù)異乎尋常地突飛猛進,把人們帶入了前所未有的信息化時代,網(wǎng)絡(luò)和人們息息相關(guān),無論工作、學(xué)習(xí)、生活、購物乃至娛樂與游戲,一刻也離不開網(wǎng)絡(luò)的支持。信息化和網(wǎng)絡(luò)化時代,電子商務(wù)(Electronic Commerce)應(yīng)運而生。隨著電子商務(wù)的出現(xiàn),人們的交流更加便利,比如電子郵件可以隨時隨地地進行傳遞,電子商務(wù)讓人們的生活更加隨心所欲,工作效率得到了前所未有的提高。黑客(hacker)的出現(xiàn),極大地干擾了網(wǎng)絡(luò),帶來了一定的破壞,給人們帶來了巨大的經(jīng)濟損失和精神方面的憂慮,甚至一度引起全世界范圍內(nèi)的恐慌,人們對電子信息失去了信任,即使在安全的情況下,很多人依然心有余悸。以故,加強電子信息安全管理勢在必然。
一、電子信息安全管理中存在的問題
1.安全防范意識落后
我國的信息技術(shù)迅猛發(fā)展,人們沉浸在便利的喜悅中,忽略了安全管理。由于電子商務(wù)處于初步發(fā)展階段,很多技術(shù)方面尚不成熟,一些高標(biāo)準(zhǔn)的電子商務(wù)平臺尚還沒有搭建起來,對黑客缺乏防御的小型電子商務(wù)平臺雖然隨處可見,但其缺乏有效的安全管理,經(jīng)營者麻痹大意,心存僥幸,認(rèn)為“黑客”雖然存在,但是自身未必遭受攻擊,他們更多地關(guān)注業(yè)務(wù)的發(fā)展,重視平臺規(guī)模的擴大和系統(tǒng)功能的開發(fā)。在這種情況下,系統(tǒng)缺乏安全防御,一旦受到攻擊,立即癱瘓不能運轉(zhuǎn)和造成損失。此外,有些管理者為了防御黑客,在市場上購買了一些大眾化的安全管理軟件,便覺得安裝了這些“高新”產(chǎn)品,就會高枕無憂,永遠安全的使用電子商務(wù)。結(jié)果,常常事與愿違,造成巨大的損失。
2.信息安全技術(shù)匱乏
經(jīng)過一段時間的努力,國內(nèi)的信息安全管理技術(shù)不斷提升,連續(xù)邁上新的臺階,情況喜人。但是,我們也要有自知之明,因為和許多西方國家相比,信息安全防御與控制技術(shù)相對落后很多,并且,我們在經(jīng)費的投入方面,有明顯的差距;自主研發(fā)技術(shù)存在的不足之處多多,亟需改善。我們更要清楚的一點是:我們的技術(shù),很多都是借鑒國外的經(jīng)驗,缺乏獨創(chuàng)。如此步人后塵,電子信息安全管理質(zhì)量難以有質(zhì)的突破。
3.信息安全產(chǎn)品鑒定混亂無序
為了安全起見,很多企業(yè)花費不菲,購買了一些安全方面的軟件,殊不知,這些產(chǎn)品在一般情況下,確實能夠起到電子信息使用平臺的安全作用,但如果病毒強大,絕對的安全便難以保證。縱觀市場上的安全軟件產(chǎn)品,良莠不齊,并且,目前市場上對于安全產(chǎn)品的鑒定沒有統(tǒng)一標(biāo)準(zhǔn),各執(zhí)一說,很多都是主觀判斷,由此產(chǎn)生隱患。
二、電子信息安全管理的有效措施
在電子信息安全管理方面,一旦出現(xiàn)問題,就會造成損失,一些企業(yè)“吃一塹長一智”,采取了相關(guān)措施,不過,調(diào)查表明,大多數(shù)企業(yè)存在“重技術(shù),輕管理”的情況,而且由于一些企業(yè)尚未造成重大損失,管理層對安全問題漠不關(guān)心,或重視不夠。下面針對加強電子信息安全管理的主要措施做一探討。
1.構(gòu)建完善的管理組織機構(gòu),加強管理
電子信息安全管理組織機構(gòu)的完善有力地促進了企業(yè)的發(fā)展,從安全決策到認(rèn)真執(zhí)行,層層構(gòu)架,發(fā)揮職能。管理框架的構(gòu)建要集思廣益,審慎剴切;安全制度的審批須一絲不茍,審查入微;安全職責(zé)的分配必須認(rèn)真到位,監(jiān)督有力;遵照網(wǎng)絡(luò)系統(tǒng)安全制度,嚴(yán)肅執(zhí)行,進行網(wǎng)絡(luò)系統(tǒng)的日常維護。如屬于大型的電子商務(wù)平臺或者集團企業(yè),更加需要增加投入,比如聘請有造詣的專家成立顧問組織,以便企業(yè)進行疑難咨詢,或是參照出現(xiàn)的問題出列解決方案,爾后進一步對責(zé)任進行調(diào)查、評估。
2.電子信息安全管理制度有待進一步完善
電子信息安全管理制度主要包括兩方面的內(nèi)容,第一點就是構(gòu)建電子信息控制制度,第二點是出現(xiàn)問題之后的解決策略。關(guān)于第一點,需要明確責(zé)任,注重細(xì)節(jié),出現(xiàn)任何情況都要嚴(yán)格審核,并且定期檢查;至于第二點,注意信息傳遞過程中的信息維護,密切跟蹤,及時報告,達到有效監(jiān)督。最后,備份數(shù)據(jù)文件儲存。
3.專業(yè)亟待提升
互聯(lián)網(wǎng)的發(fā)展突飛猛進,普及千家萬戶,安全技術(shù)的研發(fā)相對于互聯(lián)網(wǎng)的發(fā)展遠遠落后,原因諸多,最重要的一點就是缺乏過硬的技術(shù)人員。一般而言,電子商務(wù)規(guī)模越大,電子信息安全管理隊伍的陣容也要隨之?dāng)U充,只有電子信息安全管理隊伍強大,才能夠產(chǎn)生無窮的智慧與應(yīng)對措施,保證電子商務(wù)平臺的安全。
4.系統(tǒng)安全檢測
黑客一詞被用于泛指那些專門利用電腦網(wǎng)絡(luò)和系統(tǒng)安全漏洞對網(wǎng)絡(luò)進行攻擊破壞或竊取資料的人。病毒與黑客不斷變換手段,頻頻對電子商務(wù)系統(tǒng)采取攻擊行動,有時候能導(dǎo)致整個系統(tǒng)癱瘓。出現(xiàn)意外情況,要立即檢測,要經(jīng)常更換密碼,設(shè)置復(fù)雜一些的密碼,要經(jīng)常對防火墻進行檢查,系統(tǒng)功能是否保持,是否出現(xiàn)漏洞等,要細(xì)致入微,不能有一絲一毫的疏忽,嚴(yán)防黑客侵入。
5.建立保護系統(tǒng)的方案
時常進行安全檢測,一旦系統(tǒng)的安全檢測失靈,必須立即建立系統(tǒng)安全防護措施。系統(tǒng)安全管理極其復(fù)雜,缺乏安全可靠的保護,電子商務(wù)在網(wǎng)絡(luò)平臺失去有效的依靠,隨時會出現(xiàn)漏洞。反之,安全策略嚴(yán)謹(jǐn),防護得力,即便系統(tǒng)遭受攻擊,也會及時發(fā)現(xiàn),能將損失最小化。
6.管理培訓(xùn)的重要性
防護系統(tǒng)的工作人員,要進行考試錄用、上崗培訓(xùn),企業(yè)經(jīng)常進行人員培訓(xùn),定期學(xué)習(xí)安全策略和規(guī)章制度。讓每一個員工加強安全觀念,提升對信息安全的重視,認(rèn)識到防護的重要性,堅守崗位,忠于職守,明了企業(yè)安全規(guī)章制度的含義。
三、結(jié)語
綜上所述,近年來經(jīng)濟騰飛,經(jīng)濟全球化進程不斷加快,計算機技術(shù)無所不在,網(wǎng)絡(luò)暢通無極,人們在網(wǎng)絡(luò)平臺上進行商務(wù)管理、學(xué)習(xí)、游戲、查找資料、購物匯款等等,網(wǎng)絡(luò)信息交互平臺已經(jīng)深入大家的生活,人們已經(jīng)一日不可沒有網(wǎng)絡(luò)的存在。網(wǎng)絡(luò)如此不可或缺,隨著計算機病毒造成的一次次的損失,人們對電子信息安全管理質(zhì)量憂心忡忡。
在這一背景下,很多電子信息安全管理研究機構(gòu)紛紛推出各類電子信息安全管理產(chǎn)品,盡管其對確保信息安全起到了一定的功效,但是,一切并不是萬能的。這也使得人們明白了技術(shù)產(chǎn)品并不僅僅是安全管理工作的全部。本文結(jié)合當(dāng)前電子信息安全管理現(xiàn)狀,提出了一些相應(yīng)的應(yīng)對措施,希望能夠有效提升電子信息安全管理的質(zhì)量。
參考文獻:
[1]姚帝曉.電子商務(wù)安全問題的思考[J].商場現(xiàn)代化,2006,(7):103.
一、學(xué)校領(lǐng)導(dǎo)高度重視、組織落實是做好校園網(wǎng)絡(luò)安全管理工作的重要前提
校黨政主要領(lǐng)導(dǎo)和分管安全保衛(wèi)工作的校領(lǐng)導(dǎo)高度重視網(wǎng)絡(luò)與信息安全工作,經(jīng)常在各種會議上強調(diào)做好校園網(wǎng)絡(luò)與信息安全工作對維護學(xué)校安全穩(wěn)定的極端重要性,對安全保衛(wèi)部門上報的有關(guān)網(wǎng)絡(luò)動態(tài)信息認(rèn)真閱讀和研判,并及時作出重要處理批示,在學(xué)校每次召開的有關(guān)維護校園穩(wěn)定的工作會議上都要對加強校園網(wǎng)的安全管理與監(jiān)控工作進行專門部署。學(xué)校還制定下發(fā)了《關(guān)于開展“平安校園”創(chuàng)建活動的實施意見》,其中指出“要堅持正確的輿論導(dǎo)向,防止信息傳媒的管理失控,要健全網(wǎng)絡(luò)管理機構(gòu),落實管理措施,強化網(wǎng)上監(jiān)控”,為做好校園網(wǎng)絡(luò)與信息的安全管理工作明確了目標(biāo)和方法。
二、各職能部門分工明確、互相配合是做好校園網(wǎng)絡(luò)安全管理工作的重要條件
在維護校園網(wǎng)絡(luò)安全方面,學(xué)校有關(guān)職能部門根據(jù)自身的工作性質(zhì)有著明確的分工。如校宣傳部門主要負(fù)責(zé)全校網(wǎng)絡(luò)安全教育,網(wǎng)絡(luò)信息動態(tài)的監(jiān)查、跟蹤和掌握并進行相關(guān)處置;校網(wǎng)絡(luò)主管部門主要負(fù)責(zé)加強整個校園網(wǎng)絡(luò)技術(shù)方面的安全防范、保障、封堵和指導(dǎo),采用合理的技術(shù)手段對網(wǎng)絡(luò)運行安全進行有效的監(jiān)查,為查處網(wǎng)絡(luò)不良、有害信息及案事件提供技術(shù)支持;保衛(wèi)部門主要負(fù)責(zé)對網(wǎng)絡(luò)不良、有害信息及案事件進行查處,并根據(jù)自身工作性質(zhì)對網(wǎng)絡(luò)信息進行監(jiān)查。各職能部門既各司其職又密切配合、協(xié)作形成合力,為做好校園網(wǎng)絡(luò)安全工作提供了重要的基礎(chǔ)條件,使工作更為順利、效率更為提高、成效更為明顯。
三、建全各項管理規(guī)章制度是做好校園網(wǎng)絡(luò)安全管理工作的重要基礎(chǔ)
學(xué)校根據(jù)國家網(wǎng)絡(luò)與信息安全管理的有關(guān)法律法規(guī),并結(jié)合學(xué)校的實際情況,制定了校園網(wǎng)絡(luò)安全管理條例與規(guī)定,并根據(jù)上級有關(guān)規(guī)定、形勢發(fā)展和學(xué)校具體實際情況,不斷予以修訂完善。各責(zé)任單位則根據(jù)學(xué)校有關(guān)規(guī)定和本單位的實際情況,制定網(wǎng)絡(luò)與信息安全管理方面的各項具體規(guī)章制度,如日常安全管理制度、信息審核制度、安全檢查制度、網(wǎng)管員工作職責(zé)等。由此校園網(wǎng)絡(luò)與信息安全管理工作做到有章可依,有章可循,不斷制度化、規(guī)范化。
四、建立和完善有效的管理機制是做好校園網(wǎng)絡(luò)與信息安全管理工作的保障
(一)實行分級管理、逐級負(fù)責(zé)制
學(xué)校成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組,由主要領(lǐng)導(dǎo)擔(dān)任雙組長、分管領(lǐng)導(dǎo)擔(dān)任副組長。領(lǐng)導(dǎo)小組定期不定期地對校園網(wǎng)絡(luò)安全情況進行分析研判,研究制定涉及網(wǎng)絡(luò)安全方面重大問題的對策、措施,并對一段時期內(nèi)的網(wǎng)絡(luò)與信息安全工作作出部署。領(lǐng)導(dǎo)小組下設(shè)辦公室,主要負(fù)責(zé)全校網(wǎng)絡(luò)與信息安全工作的管理和協(xié)調(diào)。各學(xué)院、部門、單位應(yīng)當(dāng)相應(yīng)成立網(wǎng)絡(luò)與信息安全工作小組,其主要負(fù)責(zé)人為第一責(zé)任人,并指定專人擔(dān)任網(wǎng)管員,負(fù)責(zé)本級網(wǎng)絡(luò)與信息安全工作。
(二)實行安全責(zé)任制
學(xué)校與各學(xué)院、部門、單位簽訂網(wǎng)絡(luò)與信息安全責(zé)任書,各責(zé)任單位要將網(wǎng)絡(luò)與信息安全管理責(zé)任層層落實到所屬各部門和人員。其中,各責(zé)任單位的網(wǎng)管員,具體負(fù)責(zé)本單位日常的網(wǎng)絡(luò)與信息安全工作,網(wǎng)絡(luò)與信息系統(tǒng)的主管單位承擔(dān)系統(tǒng)的安全管理和監(jiān)督責(zé)任,運行維護單位和個人承擔(dān)系統(tǒng)的技術(shù)安全保障責(zé)任,使用單位和個人承擔(dān)系統(tǒng)操作與信息內(nèi)容的直接安全責(zé)任。堅持“誰主管、誰負(fù)責(zé),誰運行、誰負(fù)責(zé)”的原則,切實落實網(wǎng)絡(luò)安全工作責(zé)任制。
(三)實行一票否決制
校園網(wǎng)絡(luò)與信息安全工作實行一票否決制。對在網(wǎng)絡(luò)與信息安全方面存在重大隱患和問題而不認(rèn)真及時進行整改,或發(fā)生重大網(wǎng)絡(luò)與信息安全事件的相關(guān)單位和責(zé)任人,實行一票否決制,取消當(dāng)年評先評優(yōu)及個人晉職晉級的資格。
(四)實行責(zé)任追究制
對網(wǎng)絡(luò)與信息安全責(zé)任不落實、日常安全管理措施不落實、安全教育不到位等,導(dǎo)致網(wǎng)絡(luò)與信息重大安全事故或事件的,學(xué)校將根據(jù)網(wǎng)絡(luò)與信息安全責(zé)任書的有關(guān)規(guī)定,追究相關(guān)單位和責(zé)任人的責(zé)任,并予以全校通報批評。對觸犯法律的,則移交司法機關(guān)依法處理。
(五)實行值班備勤制
各責(zé)任單位要指定專人進行日常網(wǎng)絡(luò)與信息安全保障工作,確保24小時通訊聯(lián)系保持暢通。在重要、敏感時期,重大節(jié)假日期間,安排值班人員,一旦發(fā)生問題快速反應(yīng),及時處置。
五、強化網(wǎng)絡(luò)安全形勢的預(yù)測研判是做好校園網(wǎng)絡(luò)安全管理工作的重要環(huán)節(jié)
學(xué)校各職能部門密切關(guān)注國內(nèi)外發(fā)生的重大事件及學(xué)校出臺的重大舉措,結(jié)合當(dāng)下校園網(wǎng)絡(luò)的具體實際并根據(jù)網(wǎng)絡(luò)本身的特點,對一段時期內(nèi)校園網(wǎng)絡(luò)的安全形勢進行分析研判并上報學(xué)校,為領(lǐng)導(dǎo)科學(xué)決策提供依據(jù)。特別是在每年重要敏感時間節(jié)點時,對校園網(wǎng)絡(luò)安全形勢進行預(yù)測研判并提出有關(guān)防范措施上報學(xué)校,使網(wǎng)絡(luò)安全防范工作更趨主動和有的放矢,例如,在北京奧運會、上海世博會、G20峰會等時期,均及時對校園網(wǎng)絡(luò)可能出現(xiàn)的輿情、動態(tài)預(yù)作研判,將防范工作做在前面。
六、切實加強宣傳教育活動是做好校園網(wǎng)絡(luò)安全管理工作的重要內(nèi)容