企业信息安全保障体系建设探索
电力企业信息安全保障体系建设探讨
2 电力 企业信 息 安全保 障体 系建设
安全体系建设是一个整体 、系统 的工程 ,不是刻板 的 “ 管理 教条” ,不是简单的 “ 技术积木” 。必须 以预防为主,管理与技术 双管齐下 ,相辅相成实现全面 、完整 、高效 的一体化安全体系建 设 ,为公 司的生产经营业务发展提供坚实的信息安全保 障。 2 . 1 信 息安全管理保 障体 系建设
科 学 之 友
F r i e n d o f S c i e n c e A m a t e u r s
2 0 1 3 年1 2 月
电力企 业信 息安全保 障体 系建设探讨
陈 J _ ; ; 己
( 江苏省 电力公 司常州供 电公 司,江苏 常州 2 1 3 0 0 0 )
一
人 的不安全 行为是导致信息系统事件发生的主要原 因,仅 凭信息人员 “ 救火式”的维护只能 “ 头疼 医头 、 脚痛治脚 ” , 治 标不治本 。提升全体 员工的信息安全意识才是保障安全的最关 键 因素 。常州公 司在人员培训方面采用分层面教育 ,多方式宣 传 ,创新新 式 ,不留死角 ,全方位营造安全氛 围,普及安全教
和安全责任制 的落实 。常州公 司构建了从公司领导到各部 门分 管负责人为成员 的信息安全 组织体系 ,公司设置信息安全管理 岗位 ,各基层单位均 明确信 息化网络管理成员专职 ( 兼职 ) 人 员 ,负责本单位信息安全工作的组织和项 目实施 。 2 . 1 . 2 规 章制度 “ 没有规矩 ,不成 方圆。 ”建章立制 、明确职责是加强 和规 范公 司信 息安全工作 ,做到 “ 流程管事 ,制 度管人 ,规范管理” 的前 提与基础 。常州公司修订完善了 《 信息化工作考核办法 》 、 《 信 息设 备管理办法 》 、《 网络与信息 系统突发事件应急预案 》 等一 系列制度 。对于制度 的执行情况 ,公司每季组织安全检查 , 每月 发布 《 信息安全月报 》 , 在公司安全 网络会议上通报近期信 息安全情 况 、分析违章原因 ,实现闭环管理 ,取得显著成效 。
企业信息安全标准体系建设的初步探讨
企业信息安全标准体系建设的初步探讨作者:苏宾成立权来源:《计算机光盘软件与应用》2012年第21期摘要:本文介绍了信息安全所涵盖的主要内容,列举分析了国内信息安全标准化体系的构成,同时结合航空企业信息安全标准体系建设现状,探讨了航空企业信息安全标准化工作存在的问题,并提出了后续的工作建议。
关键词:信息安全;标准化;体系建设中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2012) 21-0000-021 引言在信息社会中,信息不仅是社会财富的主要形态,而且也是维持社会活动和经济活动以及生产活动的重要资源,随着信息技术的不断发展,各行各业都在逐步深化信息技术的应用,以提高工作效率。
为保障各类信息系统的正常运行,信息安全就成了一个非常重要且不容忽视的问题。
为满足信息系统的安全需求,出现了多种多样的安全技术、产品、系统,包括各种安全管理手段在内构成了信息安全保障体系。
信息安全保障体系的建设和应用,是一个庞大的系统工程,需要有一整套完整、科学、覆盖面广的信息安全标准与之相适应。
2 信息安全管理信息系统是企业的重要的资产,为保证企业具有长期的竞争力,保持业务的正常运行,信息的保密性、完整性和可用性是至关重要的。
目前,信息系统所面临的安全威胁与日俱增,来源也日益广泛,如计算机病毒、黑客行为、恶意攻击等,企业对于信息系统的依赖意味着其自身更容易受到安全威胁的攻击。
因此,单纯通过技术手段获得的安全保障十分有限,必须有相应的管理手段和操作规范才能得到真正的安全保障。
信息安全管理是一个系统工程,它要求对信息系统的各个环节进行统一的综合考虑、规划和架构,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁,使得信息安全这只“木桶”出现若干“短板”从而无法提高安全水平,正确的做法是遵循国内外相关信息安全标准与最佳实践过程,充分考虑实际需求,在风险分析的基础上引入恰当控制,建立合理安全管理体系,从而保证企业信息资产的保密性、完整性和可用性。
信息化安全保障体系建设方案
信息化安全保障体系建设方案随着信息技术的迅速发展,各行各业都在日益依赖于信息化系统,而信息安全问题也逐渐引起了广泛关注。
为了保障企业的信息系统安全,构建一个完善的信息化安全保障体系是非常重要的。
本文将提出一份信息化安全保障体系建设方案。
一、制定信息安全管理策略首先,企业需要明确自己的安全目标,并制定相应的信息安全管理策略。
该策略应包括安全意识教育培训、安全规章制度建立、风险评估与控制、安全事件响应等内容,以确保全员参与到信息安全工作中。
二、加强物理安全措施为了保障系统的物理安全,企业应加强对机房和服务器等重要设施的保护。
采取措施如加强门禁管控、安装监控摄像头、加密存储设备等,以防止未经授权的人员进入和设备丢失或损坏。
三、加强网络安全防护网络安全是信息化安全的重要环节,企业应加强网络安全防护措施。
包括建立防火墙、安装入侵检测系统、定期进行漏洞扫描和安全评估等,确保网络安全稳定可靠。
四、加强身份认证与访问控制为了防止未授权人员访问系统,企业应实施身份认证与访问控制措施。
采用强密码策略、双因素认证、访问权限管理等方法,限制系统访问权限,确保系统只被授权人员使用。
五、加强数据备份与恢复数据备份与恢复是信息化安全中不可或缺的环节。
企业应建立完善的数据备份策略,定期备份关键数据,并进行数据恢复测试,以确保在意外情况下能够及时恢复数据。
六、加强安全事件响应与处置企业应建立健全的安全事件响应与处置机制,以应对各类安全事件的发生。
这包括建立安全事件管理团队、建立响应流程和标准、定期演练等,从而提高对安全事件的警觉性和应对能力。
综上所述,一个完善的信息化安全保障体系需要综合考虑物理安全、网络安全、身份认证与访问控制、数据备份与恢复、安全事件响应与处置等多个方面。
企业应根据自身需求和实际情况,制定合适的安全保障方案,并定期进行评估和更新,以应对日益复杂的信息安全威胁。
通过建立和执行这些措施,企业能够更好地保护其信息资产和业务运作的安全。
【新版】国家信息安全保障体系框架探索
21
2、社会公共服务类
– 基于数字证书的信任体系(PKI/CA) – 信息安全测评与评估体系 (CC/TCSEC/IATF) – 应急响应与支援体系(CERT) – 计算机病毒防治与服务体系(A-Virus) – 灾难恢复基础设施(DRI) – 密钥管理基础设施(KMI)
22
基于数字证书的信任体系(PKI/CA)
T6
SML1 EAL2 SML2 EAL3 SML2 EAL4
T7
SML1 EAL2 SML2 EAL3 SML2 EAL4
V4
V5
SML2 EAL1
SML2 EAL2
SML2 EAL2
SML2 EAL3
SML2 EAL3
SML3 EAL4
SML3 EAL4
SML3 EAL5
SML3 EAL5
SML3 EAL6
1、加强自主研发与创新
– 组建研发国家队与普遍推动相结合
– 推动自主知识产权与专利 – 建设技术工程中心与加速产品孵化
– 加大技术研发专项基金
– 全面推动与突出重点的技术研发
• 基础类:风险控制、体系结构、协议工程、有效评估、工程方法
• 关键类:密码、安全基、内容安全、抗病毒、RBAC 、 IDS、VPN、 强审计
推动安全产业发展,支撑安全保障体系建设
掌握安全产品的自主权、自控权 建设信息安全产品基地
形成信息安全产品配套的产业链
造就出世界品牌的安全骨干企业 安全产品制造业、集成业、服务业全面发展
尽快配套信息安全产业管理政策(准入、测评、资质、扶植、、)
重视TBT条款运用,保护密码为代表的国内安全产品市场
17
信息 价值 V1 V2 V3
信息安全体系建设
信息安全体系建设信息安全体系建设是企业在当前数字化时代面临的重要任务之一。
随着信息技术的不断发展和普及,企业面临的信息安全挑战也越来越复杂和严峻,因此建立健全的信息安全体系成为企业发展的重要保障。
首先,信息安全体系建设需要从制定信息安全政策和规范开始。
企业需要明确信息安全的重要性,设立信息安全管理机构和相关职能部门,建立健全的信息安全管理制度和流程,包括信息安全培训、审计、监控、应急响应等方面的规定。
只有明确了信息安全政策和规范,才能为信息安全体系的建设奠定基础。
其次,信息安全体系建设需要关注信息资产管理。
企业需要对重要信息资产进行分类,确定信息资产的风险等级和价值,制定相应的保护措施。
同时,企业需要建立完善的信息资产管理制度,包括信息资产的采购、使用、处置等方面的规定,确保信息资产的安全和合规。
另外,信息安全体系建设涉及到网络安全的保护。
企业需要建立强大的网络安全防护体系,包括网络边界防护、内部网络监控、安全访问控制等措施,确保网络系统的安全稳定运行。
此外,加强对外部攻击的防范,定期进行漏洞扫描和安全评估,及时修补系统漏洞,提升网络安全的防护能力。
此外,信息安全体系建设还需要重视数据保护和备份。
企业应加强对敏感数据的加密保护,建立完善的数据备份和恢复机制,确保数据的完整性和可用性。
同时,建立数据权限管理制度,限制员工访问敏感数据的权限,防止内部数据泄露的风险。
最后,信息安全体系建设需要持续改进和提升。
随着信息安全威胁的不断演变,企业需要加强信息安全意识培训,不断提升员工的信息安全意识和技能。
同时,定期对信息安全体系进行评估和审计,及时发现并解决存在的问题,不断改进和优化信息安全管理体系,确保信息安全的持续和稳定。
综上所述,信息安全体系建设是企业发展的重要保障,企业需要全面、系统地建立健全的信息安全管理体系,保护信息资产的安全,确保网络和数据的安全,持续改进和提升信息安全水平,以更好地应对日益复杂的信息安全威胁,实现信息安全和可持续发展的统一。
企业网络信息安全体系构建的途径
企业网络信息安全体系构建的途径
企业网络信息安全体系构建的途径:
随着网络的快速发展,网络信息安全已成为企业管理必须考虑和重视的重大问题之一。
建设一个完善的企业网络信息安全体系,是保障企业信息安全的有力措施。
下
面简单介绍几个构建企业网络信息安全体系的途径:
一、完善法律法规制度的建设
企业应制定一系列的战略、方针、政策、标准、规程等法律法规制度,以此确保企业网络信息安全。
二、信息安全管理体系的建设
建立信息安全管理体系是保障企业网络信息安全的关键环节。
信息安全管理体系的建设需要从战略、组织、技术等多个维度入手,以此确保信息安全管理体系的有效
性和可持续性。
三、技术措施的建设
企业应对网络信息安全进行技术措施的建设和管理。
技术措施包括安全防护设备、网络安全管理软件、信息安全管理工具、网络安全设备等,以此保障企业网络安全的
完整性、保密性和可用性。
四、安全意识教育培训
企业应加强安全意识、知识和技能的培训。
把网络安全纳入到员工的日常工作中,让每个员工都懂得网络信息安全的重要性,并能够树立起保护企业网络信息安全的思想。
总之,企业网络信息安全体系的建设需要从多个方面入手,确保信息安全的全面性,以此为企业的发展提供有力的保障。
如何打造高效的信息安全保障体系
如何打造高效的信息安全保障体系信息安全已经成为现代社会和企业至关重要的问题之一。
随着信息技术的进步和互联网的普及,网络攻击和数据泄露的风险也在不断增加。
为了保护企业和用户的利益,建立一个高效的信息安全保障体系变得至关重要。
一、制定完善的安全政策一个高效的信息安全保障体系需要从安全政策入手。
企业需要制定与其规模和业务相关的安全政策,并且这些政策需要得到领导层的支持和执行。
安全政策应该为员工提供清晰的指导和规定,告诉他们如何处理敏感信息、如何保护设备、如何处理风险和漏洞,以及何时需要向管理层汇报安全问题。
二、加强网络安全基础设施一旦知道了安全政策,企业就需要投入资金和资源来构建强大的网络安全基础设施。
这包括加强网络边界安全、实施网络访问控制、安装和配置安全设备、部署内部网络和外部网络安全措施、以及安装漏洞补丁和升级网络设备等。
确保网络的安全可以提高企业的安全性、最小化网络风险,并减少数据泄露事故的发生。
三、加强安全认证和授权企业在保护自己的网络和数据的同时,也需要确保只有授权的人员才能够访问敏感信息。
为了做到这一点,企业需要加强身份认证和访问授权。
这包括采用双因素认证,确保员工只能使用授权的设备来访问网络,以及实现访问控制,使得员工只能访问到他们需要的信息。
四、培训员工以提高安全意识企业的安全体系比任何一种技术方案都更重要,一个企业是否能够成功面对安全威胁取决于员工的敏感程度。
企业需要提高员工的安全意识,教育他们如何检测和避免安全威胁,以及如何正确地处理实际发生的安全事故。
安全培训应该成为企业文化的一部分,并且为员工提供一个安全的工作环境。
五、实时监控和分析网络事件最后,企业还需要建立一个实时的监控和分析系统,以便及时检测和响应网络攻击和其他安全威胁。
这包括实时监控网络流量、敏感数据的访问和用途、以及疑似攻击的事件。
分析这些数据可以帮助企业识别潜在的安全漏洞和威胁,并采取相应的措施来保护数据和网络。
信息安全保障体系的构建和优化
信息安全保障体系的构建和优化信息安全是当前社会发展过程中面临的最大挑战之一。
在信息化发展的今天,如何保障信息安全,成为了企业甚至国家级别都必须思考的问题。
信息安全保障体系的构建和优化,则是解决信息安全问题的重要手段。
一、信息安全保障体系的基本构成信息安全保障体系是由技术、人员、流程、管理四个方面构成的。
其中技术方面的保障是关键,但绝不能忽视人员、流程、管理等方面的保障。
技术方面主要包括:1.安全设备:包括防火墙、入侵检测和预防系统、入侵检测系统、反病毒系统、数据加密系统等。
2.网络安全:包括网络拓扑结构设计、网络维护、数据备份和恢复、网络拓扑优化和网络安全审计等。
3.应用安全:包括 Web 应用防火墙、应用代码审计、应用安全测试、网络安全保护、应用系统安全评估等。
人员方面主要包括:1.信息安全人员:需要拥有较高的信息安全意识和技能,能熟练操作安全设备、处理各类安全事件。
2.员工:企业的员工是信息安全的最薄弱环节,因此需要进行安全意识培训,增强员工的信息安全意识。
流程方面主要包括:1.安全审计:定期对信息系统中的安全问题进行排查和评估。
2.安全策略:设计和实施合理的安全策略,包括口令管理、访问控制等。
管理方面主要包括:1.信息安全管理体系:建立信息安全管理的组织、规定、职责、规程等。
2.安全事件预案:定期进行与企业实际情况相适应的安全事件预案和应急响应计划,确保在安全事件发生时,能够及时采取措施进行处置。
二、信息安全保障体系的优化信息安全保障体系的优化,有利于提高企业的信息安全水平和应对安全风险的能力。
具体而言,应该从以下几个方面进行优化。
1.技术设备优化企业应通过定期升级和更换设备等方式,保证企业的技术设备及时更新和升级,以满足企业不断发展的业务需求。
同时,选择安全设备时,应注重设备的可靠性和持续服务能力。
2.安全管理体系优化在建立和完善安全管理体系的同时,也应根据实际情况进行定制和改变。
因为不同企业之间存在差异,一些通用的安全管理措施并不能适用于所有企业。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于企业信息安全保障体系建设的探索
[摘要]信息安全保障体系是由美国首先提出,并将其上升到国家战略、国际战略的高度。
我国于2003年也明确提出建设我国的信息安全保障体系。
本文通过对国内外建设的介绍,进而列出中国石油信息安全体系建设内容及存在问题,供其他企业借鉴。
[关键词]信息安全保障体系;中国石油;企业
1信息安全保障体系概述
信息安全保障(informationassurance,ia)来源于1996年美国国防部dod指令5-3600.1(dodd5-3600.1)。
其发展经历了通信安全、计算机安全、信息安全直至现在的信息安全保障。
内容包括保护(protection)、检测(detection)、响应(response)、恢复(recovery) 4个环节,即pdrr模型。
信息安全保障体系分为人员体系、技术体系和管理体系3个层面,人员体系包括安全人员的岗位与职责、全体工作人员的安全管理两部分。
技术体系由本地计算环境、区域边界、网络基础设施及支撑性基础设施组成。
管理体系包括建立完善的信息安全管理体系、构建自上而下的各级信息安全管理组织架构、制定信息安全方针与信息安全策略及完善信息安全管理制度4个板块。
通过纵深防御的多层防护,多处设置保护机制,抵御通过内部或外部从多点向信息系统发起的攻击,将信息系统的安全风险降低到可以接受的程度。
2国外信息安全保障体系建设
美国的信息化程度全球最高,在信息技术的主导权和网络上的话语权等方面占据先天优势,他们在信息安全保障体系建设以及政策支持方面也走在全球的前列。
美国政府先后发布了一系列政策战略报告,将信息安全由“政策”、“计划”上升到“国家战略”及“国际战略”的高度。
美国国土安全局是美国信息安全管理的最高权力机构,其他负责信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等,主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。
其他国家也都非常重视信息安全保障工作。
构建可信的网络,建设有效的信息安全保障体系,实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。
信息化发展比较好的发达国家,如俄、德、日等国家都已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展,在信息安全领域不断进行着积极有益的探索。
3国内信息安全保障体系建设
我国信息化安全保障体系建设相对于发达国家起步较晚,2003年9月,中央提出要在5年内建设中国信息安全保障体系。
2006年9月,“十一五”发展纲要提出科技“支撑发展”的重要思想,提出要提高我国信息产业核心技术自主开发能力和整体水平,初步建立有中国特色的信息安全保障体系。
2007年7月20
日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开,标志着信息安全等级保护工作在全国范围内的开展与实施。
2011年3月《我国国民经济和社会发展十二五规划纲要》明确提出加强网络与信息安全保障工作。
通过一系列的文件要求,不断完善与提升我国的信息安全体系,强调信息安全的重要性。
我国信息安全保障体系建设主要包括:①加快信息安全立法、建立信息安全法制体系,做到有法可依,有法必依。
②建立国家信息安全组织管理体系,加强国家职能,建立职能高效、职责分工明确的行政管理和业务组织体系,建立信息安全标准和评价体系。
③建立国家信息安全技术保障体系,使用科学技术,实施安全的防护保障。
④在技术保障体系下,建设国家信息安全保障基础设施。
⑤建立国家信息安全经费保障体系,加大信息安全投入。
⑥高度重视人才培养,建立信息安全人才培养机制。
我国通过近几年的努力,信息安体保障体系取得了长足发展,2002年成立了全国信息安全标准化技术委员会,不断完善信息安全标准。
同时在互联网管理、信息安全测评认证、信息安全等级保护工作等方面取得了实质性进展,但cpu芯片、操作系统与数据库、网关软件仍大多依赖进口,受制于人。
4企业信息安全保障体系建设
中国石油集团公司信息化建设在我国大型企业中处于领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,公司
将企业信息安全保障体系建设纳入信息化整体规划中,并逐步实施。
其中涉及管理类项目3个,控制类项目3个,技术类项目5个。
管理类项目包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设3个项目。
信息安全组织完善是指完善信息安全的决策、管理与技术服务组织,合理配置岗位并明确职责,建立完备的管理流程,为信息安全建设与运行提供组织保障。
信息安全运行能力建设内容包括建立统一、完备的信息安全运行维护流程及组织it运行维护人员信息安全技能培训,较快形成基本的信息安全运行能力。
风险评估能力建设是指通过建立风险评估规范及实施团队,提高信息安全风险自评估能力和风险管理能力,强化保障体系的有效性。
信息安全控制类项目涉及信息安全制度与标准完善、基础设施安全配置规范开发、应用系统安全合规性实施3个项目。
信息安全制度与标准完善包括:①初步构建了制度和标准体系,发布了《信息系统安全管理办法》及系统定级实施办法。
②建立和完善了信息系统安全管理员制度,开展了信息安全培训。
③跟踪国家信息安全等级保护政策,开展信息系统安全测评方法研究等,规范了信息系统安全管理流程,提升安全运行能力。
基础设施安全配置规范开发目标是制定满足安全域和等级保护要求的信息技术基础设施
安全配置规范,提高信息技术基础设施的安全防护能力。
应用系统安全合规性实施是提供专业的信息安全指导与服务,支持国家等级
保护、中国石油内部控制等制度的实施,使信息化建设与应用满足合规性要求。
信息安全技术类项目由身份管理与认证、网络安全域实施、桌面安全管理、系统灾难恢复、信息安全运行中心5个项目组成。
身份管理与认证是指建成集中身份管理与统一认证平台,实现关键和重要系统的用户身份认证,提高用户身份管理效率,保证系统访问的安全性。
网络安全域包括广域网边界防护、广域网域间与数据中心防护、广域网域内防护3项内容。
广域网边界防护是指将全国各地的中国石油单位的互联网集中统一到16个区域网络中心,员工受控访问互联网资源,并最终实现实名制上网。
广域网域间与数据中心防护项目指建立。
区域间访问与防护标准、数据中心防护标准。
广域网域内防护将分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准。
桌面安全管理项目包括防病毒、补丁分发、端点准入、后台管理、电子文档保护和信息安全等级保护综合管理6个子系统。
系统灾难恢复包括:①对数据中心机房进行了风险评估,提出了风险防范和改进措施。
②对已上线的18个信息系统进行业务影响分析,确定了灾难恢复关键指标。
③制定整体的灾备策略和灾难恢复系统方案。
信息安全运行中心旨在形成安全监控信息汇总枢纽和信息安全事件协调处理中心,提高对信息安全事件的预警和响应能力。
5存在问题及建议
中国石油作为国资委超大型企业和能源工业龙头企业,集团领导和各级领导,一贯重视信息安全工作,在落实等级保护制度,加强信息安全基础设施建设,深入开展信息安全战略、策略研究等方面,都取得的丰硕成果,值得其他企业借鉴。
公司在信息安全保障体系建设中还存在以下问题:
(1)信息安全组织体系不够健全,不能较好地落实安全管理责任制。
目前,部分二级单位没有独立的信息部门,更没有负责安全体系建设、运行和管理的专职机构,安全的组织保障职能分散在各个部门,兼职安全管理员有责无权的现象普遍存在,制约了中国石油信息安全保障体系建设的发展。
需强制建立从上至下完善的管理体系,明确直属二级单位的信息部门建设,岗位设定、人员配备满足对信息系统管理的需求。
(2)信息安全法规、标准和制度建设需要进一步完善。
现阶段,标准与制度建设处于堵漏、补缺阶段,未能形成与国际标准、国家标准相衔接的具有石油行业特点的信息安全标准体系,同时对于标准宣贯工作需进一步加强。
企业应定期和有针对性地组织信息化工作人员学习新的标准及
有关制度和规范,使他们熟悉和掌握各项制度的基本内容,并完善对制度落实情况的监督检查和激励机制。