公务员期刊网 精选范文 审计信息安全管理范文

审计信息安全管理精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的审计信息安全管理主题范文,仅供参考,欢迎阅读并收藏。

审计信息安全管理

第1篇:审计信息安全管理范文

【关键词】保密意识 审计信息安全

审计信息是审计人员在工作中运用一定的技术、方法、手段,收集加工提炼整理的业务信息,是反映和体现审计工作成果的重要载体,主要包括审计工作信息和审计项目信息,涉及银行敏感信息及经营决策管理的商业秘密。审计人员泄密风险如影随形,无时不在,审计信息保密事关银行信息安全和审计声誉。因此,审计人员肩负审计数据及信息安全的重任,牢固树立保密意识、严格履行保密职责、执行保密纪律是每个审计人员义不容辞的责任。

一、审计信息渠道

审计信息主要来源于审计管理系统及平台信息和审计业务信息收集两个方面:

第一,审计管理系统及平台信息是审计人员在实施审计项目、进行审计管理的过程中,通过审计应用系统及平台获取审计业务操作与管理的业务和数据信息,包括非现场审计系统(OAS系统)信息、审计管理信息系统(AMIS系统)信息、审计知识库系统信息、任期经济责任审计信息资料库信息、总审计室信息平台等信息。

第二,审计业务信息是审计项目和日常审计工作中由各级机构提供的业务信息以及审计项目信息。业务信息包括审计机构审计计划、审计研究成果、被审计机构经营计划及业务指标、客户及其账户信息、业务管理信息等,以及通过Notes邮箱、办公自动化系统(OA系统)、档案管理信息系统等收集整理的各类业务信息。审计项目信息包括审计方案、审计报告、审计模型、审计证据、审计工作底稿,以及审计过程中通过会计档案管理系统、UAAP统一报表平台、对公信贷业务流程系统(CLPM系统)、个人信贷管理系统(A+P系统)、信贷管理系统(CMISII系统)、ODSB二期及ERPF报表查询等收集加工整理的各类信息。

二、主要问题和风险

(一)审计信息未集中管理,存在泄密的潜在风险隐患

便携式计算机是审计人员的必备工具,其中存储大量重要信息,实施审计项目按照审计方案要求分组开展,审计现场点多面广,审计资料不便于集中,审计人员注重信息资料使用忽视保密管理,对敏感及信息未经加密处理采取保密措施,形成审计信息安全隐患。一是项目实施过程中审计信息处于分散失控状态,缺乏安全管理;二是审计项目结束后,由于未明确和指定专人负责归集审计项目信息,致使审计人员未及时清理、归集移除审计项目电子信息资料,长久滞留审计人员计算机中将可能导致审计信息流失和泄密。

(二)计算机上网导致审计信息失密,造成损失形成银行声誉风险

计算机上网成为信息泄露的主要途径,计算机使用无线键盘或鼠标上网、移动存储介质与联网计算机交叉使用将会导致失泄密。一是审计人员因工作需要,有时通过互联网传送或下载工作信息,或上网查询信贷客户企业注册登记等信息,如果客户敏感信息被不法分子截获并利用,给客户带来不利影响的同时,将会导致银行声誉风险的严重后果。二是审计人员使用的计算机、U盘等磁介质若不采取保密措施,未经加密在互联网上传输行内重要数据或信息,被窃密者运用技术软件窃取,无意中将泄露银行敏感信息或商业秘密,给银行造成无可估量的损失。

(三)审计管理系统用户认证安全机制低、对客户敏感信息访问无控制

由于非现场审计系统对相关敏感数据字段未能加密,在审计项目实施过程中,审计人员登录系统可任意查询导出相关的信息及数据,存在敏感信息和商业秘密泄漏的风险。

三、审计信息安全管理措施

第一,健全制度,落实责任。为加强审计信息安全保密,对于计算机设备使用管理、审计管理系统运行管理及数据信息安全保密管理,制定信息安全管理制度,明确责任,落实保密职责。

第二,加强安全保密培训和教育,筑牢审计人员的安全和风险意识。一是要警钟长鸣,加强警示教育,做到防患于未然。二是建立信息安全的长效机制,将审计信息安全保密作为审计人员培训教育的重要内容,使之深刻认识安全无小事,牢记“失之毫厘、谬以千里”道理,始终绷紧安全保密意识的弦,严守保密纪律,自觉履行保密职责。

第三,加强审计系统用户管理,严格用户操作权限,禁止将用户口令及UKEY转借他人使用。在未开展审计项目阶段限制非现场审计系统操作用户,使用系统必须经过申请批准,以防止敏感信息泄露。搭建开放的非现场审计系统学习培训环境,提供审计人员用于学习操作非现场系统。

第四,利用管理信息平台FTP服务器对审计重要信息进行管理,实现远程资源共享,审计人员可查询相关工作信息,本机不再保存敏感信息和数据,切实防范便携机或移动硬盘存储审计信息失泄密的风险隐患。

第五,落实安全管理责任,签订《审计岗位人员保密协议》,强化保密意识,约束审计信息保密行为。

第六,加强计算机管理,严防信息失泄密。设置屏幕保护的时间和密码,确保在长时间不使用计算机时对屏幕上和系统内的敏感信息进行安全保护。计算机做到专机专用,与互联网物理隔离,禁止通过电子邮箱或互联网传输及重要工作信息,避免移动存储介质交叉使用。

第七,应用技术手段加强信息安全管理,审计条线全员推广使用Windows7(企业版)操作系统,应用全盘加密(BitLocker)功能,能够有效降低因设备物理丢失导致的审计信息泄露风险,有助于加强审计信息安全管理。

第2篇:审计信息安全管理范文

1.强化“制度”管理,为创建信息安全区提供制度保障。

我们根据《中国人民银行信息安全管理规定》和《河南省人民银行系统规范化管理办法》的相关要求,结合当地的实际,建立和完善组织机构建设、计算机安全设备管理、系统操作规程设计、网络建设的安全规划与立项、信息系统安全审计、应急处理预案建设、目标责任制落实等一整套涉及信息安全管理的规章制度,为各项工作创建的落实奠定一个完善的制度基础。与此同时,严格信息安全管理检查制度。科技部门每季会同保卫部门、人事部门、内审部门、纪委组织一次中支机关和辖内的信息安全检查,每次都制定了详细的检查方案,确保检查工作的可操作性和规范性。安全检查完成后及时形成检查报告,报中支信息安全领导小组,并经信息安全领导小组审阅后将检查整改报告送达被检查单位,限期整改并进行后续跟踪。

2.强化“组织”领导,为创建信息安全区提供组织保证。

一方面中支机关及所辖县(市)支行都按要求成立以行长为组长、其他领导班子成员任副组长、部门负责人为成员的信息安全领导小组。另一方面机关各部门设立信息安全管理岗位,指定一名责任心强,熟悉计算机相关知识的职工为信息安全员,具体负责本部门信息安全管理的有关事宜。信息安全领导小组下设办公室,由科技科具体负责协调机关及辖内信息安全管理工作,为信息安全领导小组提供重大事项决策的有关事宜,为信息安全管理提供高效的组织保证。

3.强化“操作”规程,确保信息安全区创建工作的规范化。

明确的岗位目标与操作规程是金融信息安全区创建的重要一环。我们对中支信息安全管理员(部门计算机安全员)、技术支持人员、业务操作人员、一般计算机用户等确定各自的岗位目标和操作规程及应当承担的安全义务。同时制订了明确的岗位操作规程,做到责权明晰,操作规范。同时,我们加强部门之间的协调,要求各部门都要制订业务应急预案和详细的操作规程,然后由科技科进行汇总、协调,形成有效的联防机制。

4.强化“责任”管理,加大金融信息安全区的创建力度。

按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,根据不同层次制订不同内容的信息安全管理责任书,落实各项责任制,信息安全领导小组组长与副组长和各县(市)支行行长、副组长与分管部门负责人、部门负责人与岗位责任人层层签订信息安全责任书,对没有按照规定签订责任书的部门,在出现安全事故时,按照“上溯一级”的原则,追究当事人的直接责任和部门负责人的领导责任。

5.强化“技术”指导,为创建信息安全区的提供智力支持。

重点强化了中支各部门计算机信息安全人员及所辖县市支行安全管理人员的技术指导和信息安全知识的传播,通过举办不同形式的信息安全培训班,提高他们自觉防范的意识和技能,为信息安全打好第一道防线。

6.强化“监督”管理,巩固金融信息安全区创建成果。

第3篇:审计信息安全管理范文

两个发展阶段

卫生监督中心信息安全等级保护工作大致经历了两个发展阶段。

启动与探索阶段(2007年~2008年):2007年12月,原卫生部组织专家组对部直属机关报送的信息安全等级保护定级情况进行了评审。卫生监督中心的卫生监督信息报告系统和卫生行政许可受理评审系统确定为第三级保护,卫生监督中心网站确定为第二级保护。卫生监督中心在了解了信息安全等级保护制度的同时,启动了信息安全等级保护相关工作。为摸清信息安全隐患,2008年卫生监督中心聘请了具有信息安全相关资质的信息安全咨询公司对等保涉及的信息系统进行了信息安全测评,并制定了相应的整改方案。由于2008年信息安全整改资金等原因,未开展相关整改工作。

发展阶段(2009年至今):本着统筹考虑、分布实施的原则,在实施国家级卫生监督信息系统建设项目之初就参照等级保护有关要求规划和设计业务应用系统及其运行环境,同时积极开展等级保护备案等工作。在国家级项目二期中,专项对信息安全进行加固。并每年邀请公安部信息安全等级保护评估中心,对卫生监督中心的第三级保护系统进行了安全等级测评。

截至目前,卫生监督中心共有3个信息安全等级保护第三级的信息系统,4个信息安全等级保护第二级的信息系统。

信息安全技术体系

卫生监督信息系统信息安全技术体系建设,严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。

1.物理安全

卫生监督中心现有南北两个机房,机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统,南机房部署等级保护第二级信息系统,实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求,机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段,有效地保证了机房的物理安全。

2.网络安全

主干网络链路均采用双链路连接,关键网络、安全设备均采用双机冗余方式,避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护,各网络区域之间采用防火墙进行区域隔离,在对外服务区部署了入侵检测系统,在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统,对网络行为进行监控和记录。在安全管理区部署安全管理系统,实现设备日志的统一收集及分析。

3.主机安全

所有服务器和管理终端配置了密码安全策略;禁止用户远程管理,管理用户必须进入机房通过KVM进行本地管理;所有服务器和管理终端进行了补丁更新,删除了多余账户,关闭了不必要的端口和服务;所有服务器和管理终端开启了安全审计功能;通过对数据库的安全配置,实现管理用户和特权用户的分离,并实现最小授权要求。

4.应用安全

卫生监督中心7个应用系统均完成了定级备案,并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署,保证了系统的高可用性,同时建立了安全审计功能模块,记录登录日志、业务操作日志、系统操作日志3种日志,并实现查询和审计统计功能,配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。

5.数据安全及备份恢复

卫生监督信息报告系统数据库服务器使用了双机热备,应用服务器采用多机负载均衡,每天本地备份,保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份,无论是软件还是硬件问题,都可以及时准确地进行恢复并正常提供服务。同时,卫生监督中心在云南建立了异地数据备份中心,每天进行增量备份,每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试,保证备份的有效性。

信息安全管理体系

在开展信息安全等级保护工作中,我们深刻体会到,信息安全工作“三分靠技术,七分靠管理”。为保证信息安全等级保护工作顺利进行,参考ISO/IEC 27001《信息安全管理体系要求》,卫生监督中心建立了符合实际工作情况的信息安全管理制度体系,明确了“统一领导,技管并重;预防为主,责权分明;重点防护,适度安全”的安全方针,涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。

卫生监督中心建立了较为完善的信息安全责任制,设立了信息安全领导小组,领导小组组长由卫生监督中心主任担任,成员由卫生监督中心有关处室负责人组成,信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位,分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员,并建立了信息安全岗位责任制度。

此外,卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订,确保信息安全工作落到实处。

信息安全运维体系

在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等级保护有关要求指导信息安全运维实践。

卫生监督中心结合实际情况,编制了《国家级卫生监督信息系统运行维护工作规范》,从运行维护流程、资源管理和环境管理三个方面进行了规范,将安全运维理念落到实处。

运维人员在实际工作中,严格按照工作规范要求。利用卫生监督中心OA系统,建立了统一的服务台,实现了事件、问题的全流程闭环管理(即:发现问题、登记问题、解决问题、解决反馈、解决确认)。年均处理信息安全事件近百件,将信息安全问题消灭在萌芽阶段,有效地保证了信息系统稳定运行,保证了卫生监督中心信息安全目标和方针的实现。

信息安全等级保护实践经验

1.规范管理,细化流程

卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设,为国家级卫生监督信息系统运维管理工作中安全管理提供了重要指导。

国家级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验,不仅合理调配了运维管理人员,落实了运维管理组织机构和岗位职责,而且细化了运维管理流程,形成了“二级三线”的运维处理机制。

2.循序渐进,持续完善

第4篇:审计信息安全管理范文

信息安全的总需求是边界安全、网络安全、主机安全、终端安全、应用安全和数据安全的最终目标,是确保信息机密性、完整性、可用性、可控性和抗抵赖性,以及企业对信息资源的控制[1]。2009年福建公司开展了等级保护工作,结合今年福建公司安全防护体系建设和等保测评成果,证明信息安全防护重点在于管理。现代企业管理实践也证明,任何工作均是3分技术,7分管理。电网企业信息安全工作也不例外,技术只是最基本的手段,规范、科学的管理才是发展根本的保障[2]。

2信息安全防护体系设计

2.1信息安全防护体系总体框架

在对多种信息安全防护体系进行研究分析后,参照ISO/27001信息安全管理标准,根据国家电网公司电网信息安全等级保护“双网双机、分区分域、等级防护、多层防御”原则,提出电网企业的信息安全防护体系框架。电网企业信息安全防护体系建设可从管理和技术层面进行[3]。该体系框架根据规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节的信息系统生命周期特征制定全过程安全管理;从物理、边界、网络、主机、终端、应用、数据7个方面制定全方位的技术防护措施。

2.2信息安全防护管理体系设计

电网企业信息安全在信息系统建设、运行、维护、管理的全过程中,任何一个环节的疏漏均有可能给信息系统带来危害。根据信息系统全生命周期,从规划设计、开发测试、实施上线、运行维护、系统使用和废弃下线6个环节,设计覆盖信息安全管理、运行、监督、使用职责的安全管控流程[3-4]。

2.2.1网络与信息系统安全管理

网络与信息系统是企业现代化管理的重点。由于网络与信息系统的动态性、复杂性和脆弱性,建立健全的信息安全管理体系已成为了保障网络与信息系统安全的重要手段。网络与信息系统的安全管理依照国家电网公司制定的《国家电网公司信息网络运行管理规程(试行)》,遵循信息安全等级保护“双网双机、分区分域、等级防护、多层防御”的原则。

2.2.2人员安全管理与岗位职责管理

安全问题的特点为“3分技术、7分管理”,而管理的核心是人,对于人员安全管理与岗位职责管理其主要包含如下管理内容:(1)岗位职责。制定岗位责任书,明确各岗位信息安全责任。(2)持证上岗。安全工作人员持证上岗。(3)保密管理。与员工签订保密协议,并定期进行检查与考核。(4)安全培训。对员工进行定期安全培训。(5)离职管理。对离岗离职人员账号、权限及信息资产进行清理和移交。

2.2.3全过程安全管理

(1)系统规划设计安全管理的主要内容包括:1)分析和确认系统安全需求。2)确定系统安全保护等级并备案。3)制定安全防护方案并进行评审。(2)系统研发安全管理的主要内容包括:1)制订研发安全管理机制,确保开发全过程信息安全。2)加强开发环境安全管理,与实际运行环境及办公环境安全隔离。3)严格按照安全防护方案进行安全功能开发并定期进行审查。4)定期对研发单位环境和研发管理流程进行安全督查。(3)系统实施与上线安全管理的主要内容包括:1)严格按照设计方案对网络、主机、数据库、应用系统等进行安全配置。2)严格遵循各项操作规程,避免误操作。3)组织安全测评机构进行上线环境安全测评。4)及时对系统试运行期间发现的安全隐患进行整改。(4)系统运行维护安全管理的主要内容包括:1)遵循运维安全规程,执行各项运维操作。2)对系统安全运行状况进行实时监控,及时采取预警和应急处置措施。3)定期进行安全风险评估、等级保护测评与整改。4)建立系统漏洞补丁的安全测试、分发和安装管理机制。5)根据数据重要性进行数据备份,并定期进行恢复测试。(5)系统使用安全管理的主要内容包括:1)终端准入控制,对各种移动作业、采集、专控等终端进行安全测评。2)终端外联控制,禁止终端跨网络接入。3)系统账号和权限管理,对系统使用人员及其权限进行严格管理。4)终端使用管理,防止终端交叉使用、用户越权访问等。5)终端数据存储、处理时的安全保护。6)对移动存储介质的安全管理。7)终端维修管理,由运维机构统一处理。8)终端下线、报废时的安全管理,对终端数据进行安全处理。(6)系统废弃下线安全管理的主要内容包括:1)评估系统下线对其它系统的安全性影响,制定下线方案并进行评审。2)系统下线前对重要数据进行备份和迁移。3)系统下线后对不再使用的数据与存储介质进行销毁或安全处理。4)系统下线后及时进行备案。

2.2.4系统测试评估安全机制与评价考核

信息系统建成后必须经过试运行并对系统的安全性、可靠性和应急措施进行全面测试,测试和试运行通过后方可投入正式运行,信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。安全管理机制的主要内容包括:事件管理、安全督查、等保管理、备案管理,应急管理等。

3信息安全防护体系

电网企业信息安全防护体系的设计[5],主要从物理、边界、网络、主机、终端、应用、数据7个方面进行,遵循环境分离、安全分域、网络隔离、终端准入、补丁加固、数据分级、安全接入、基线配置、应用审计、密钥应用等技术原则,辅以相应的技术措施实现全面的安全防护[6]。

3.1物理安全

物理环境分为室内物理环境和室外物理环境,根据设备部署安装位置的不同,选择相应的防护措施。室内机房物理环境安全需满足对应信息系统安全等级的等级保护物理安全要求,室外设备物理安全需满足国家要求。具体安全措施如下:(1)机房分区、门禁等准入控制。(2)设备物理安全需满足国家对于防盗、电气、环境、噪音、电磁、机械结构、铭牌、防腐蚀、防火、防雷、电源等要求。(3)机柜/机箱应避免可能造成的人身安全隐患,符合安装设备的技术需求。(4)机柜/机箱外应设有警告标记,并能进行实时监控,在遭受破坏时能及时通知监控中心。(5)研发场所分离并采取准入控制

3.2边界安全

边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐蔽通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪。

3.3网络安全

网络环境安全防护的目标是防范恶意人员通过网络对网络设备和业务系统进行攻击和信息窃取,在安全事件发生前可以通过集中的日志审计、入侵检测事件分析等手段,以及对信息内外网网络、终端以及防护设备等安全状态的感知和监测,实现安全事件的提前预警;在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件追踪、事件源定位,及时制定相应的安全策略防止事件再次发生;并能实现事后审计,对恶意行为和操作的追查稽核、探测入侵、重建事件和系统条件,生成问题报告。

3.4主机安全

主机系统安全的目标是采用信息保障技术确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性,采用相应的身份认证、访问控制等手段阻止未授权访问,采用主机防火墙、入侵检测等技术确保主机系统的安全,进行事件日志审核以发现入侵企图,在安全事件发生后通过对事件日志的分析进行审计追踪,确认事件对主机的损害程度以进行后续处理。

3.5终端安全

终端安全防护目标是确保智能电网业务系统终端、信息内外网办公计算机终端以及接入信息内、外网的各种业务终端的安全。目前重点终端类型包括:(1)配电网子站终端。(2)信息内、外网办公计算机终端。(3)移动作业终端。(4)信息采集类终端。对于各种终端,需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施。

3.6应用安全

按照国家信息安全等级保护的要求,根据确定的等级,部署身份鉴别及访问控制、数据加密、应用安全加固、应用安全审计、剩余信息保护、抗抵赖、资源控制、等应用层安全防护措施。

3.7数据安全

对数据的安全防护分为数据的灾难恢复、域内数据接口安全防护和域间数据接口安全防护。域内数据接口是指数据交换发生在同一个安全域的内部,由于同一个安全域的不同应用系统之间需要通过网络共享数据,而设置的数据接口;域间数据接口是指发生在不同的安全域间,由于跨安全域的不同应用系统间需要交换数据而设置的数据接口。

4结束语

第5篇:审计信息安全管理范文

 

云计算服务是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。基于云计算是一种提供信息技术服务的模式,积极推进云计算在政府部门的应用,获取和采用以社会化方式提供的云计算服务,将有利于减少各部门分散重复建设,有利于降低信息化成本、提高资源利用率。但云计算还处于不断发展阶段,技术架构复杂,采用社会化的云计算服务,使用者的数据和业务从自己的数据中心转移到云服务商的平台中心,大量数据集中,使云计算面临新的安全风险。当政府部门采用云计算服务,尤其是社会化的云计算服务时,应特别关注信息安全问题。因此政府部门在采购云计算服务时,要做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更好云服务商的安全风险,做好在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全使用云计算服务。

 

1 云计算服务信息安全管理存在的风险

 

在传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。存在诸多潜在的风险。

 

(1)客户对数据和业务系统的控制能力减弱及与云服务商之间的责任难以界定。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力,增加了客户数据和业务的风险。缺乏数据安全的责任主体界定的问题。

 

(2)可能产生司法管辖及容易产生对云服务商的过度依赖问题。在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心,改变了数据和业务的司法管辖关系。由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,导致客户对云服务商过度依赖

 

(3)数据保护更加困难,所有权保障面临风险。云计算平台采用虚拟化等技术实现多客户共享计算,资源,随着复杂性的增加,实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。

 

2 云计算服务信息安全管理的要求

 

采用云计算服务期间,为了能够保障云计算服务的安全,需对客户和云服务商在信息安全管理方面提出要求。

 

2.1 安全责任及安全管理水平不变

 

信息安全管理责任不应随服务外包而转移,无论客户数据和业务是处于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。

 

2.2 资源的所有权及司法管辖关系不变

 

客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。

 

客户数据和业务的司法管辖权不应因采用云计算服务而改变。

 

2.3 坚持先审后用原则

 

云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。

 

3 云计算服务的信息安全技术能力的要求

 

云服务商在提供云计算服务时,要相应具备云计算服务的信息安全技术能力要求,以保障云计算环境中客户信息和业务的安全,具体要求如下。

 

3.1 系统开发与供应链安全及系统与通信保护

 

云服务商应在开发云计算平台时对其提供充分保护,对信息系统、组件和服务的开发商提供相应要求,为云计算平台配置足够的资源,并充分考虑安全需求。云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。

 

3.2 访问控制及配置管理

 

云服务商应严格保护云计算平台的客户数据,在允许人员、进程、设备访问云计算平台之前,应对其进行身份标识及鉴别,并限制其可执行的操作和使用的功能。云服务商应对云计算平台进行配置管理,设置和实现云计算平台中各类产品的安全配置参数。

 

3.3 维护及应急响应与灾备

 

云服务商应维护好云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。

 

3.4 审计及风险评估与持续监控

 

云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查。云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单,对目标进行持续安全监控,并在发生异常和非授权情况时发出警报。

 

3.5 安全组织与人员及物理与环境保护

 

云服务商应确保能够接触客户信息或业务的各类人员上岗时具备履行其安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查。云服务商应确保机房位于中国境内、机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求,云服务商应对机房进行监控。

 

4 结语

 

本文通过云计算服务中信息安全管理存在的风险、云计算服务信息安全管理及技术能力等方面进行阐述,提出了云计算服务信息安全管理的具体措施及技术能力的具体要求,从管理及技术方面确保云计算服务的信息安全,保障云计算服务安全。

第6篇:审计信息安全管理范文

关键词:信息安全;需求;分析

中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2844-02

The Requirement of Information Security the Analysis for An Enterprise of Fujian

CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.

Key words: information security; requirement; analysis

1 引言

随着信息化程度的不断提高和互联网应用的不断发展,新的信息安全风险也随之不断暴露出来。原先由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失。根据CNCERT 统计报告指出,2007年接受网络安全事件报告同比2006年增长近3倍,目前我国大陆地区约1500多万个IP 地址被植入木马程序,位居全球第二位(其中福建省占10%,居全国第三位);有28477个网站被篡改(其中政府网站占16%);网站仿冒事件占居全球第二位;拒绝服务攻击事件频繁发生。

针对于次,为福建企业制定一个统一、规范的信息安全体系结构是迫在眉睫的。本文根据福建企业特点,参照国内外有的规范和理论体系,制定了企业信息安全需求调研计划,并对调研结果进行分析,为进一步制定信息安全体系结构和具体实施建议奠定坚实基础。整个分析报告按照图1的步骤形成。

2 分析报告指导理论模型框架

2.1 总体指导模型

一个完整的信息安全体系由组织体系、技术体系和管理体系组成,如图2所示。

其中,组织体系是有关信息安全工作部门集合,这些部门负责信息安全技术和管理资源的整合和使用;技术体系则是从技术的角度考察安全,通过综合集成方式而形成的技术集合,技术体系包含内容有安全防护、安全检测、安全审计、应急响应恢复、密码、物理安全、安全机制与安全服务等;管理体系则是根据具体信息系统的环境,而采取管理方法和管理措施的集合,管理体系涉及到的主要内容管理制度、管理规范、教育培训、管理流程等。

2.2 ISO/IEC 15408 标准

图1 分析报告形成流程

图2 信息安全体系结构

图3 GB/T18336 标准要素关系

信息技术安全性评估通用准则ISO15408已被颁布为国家标准GB/T18336,简称通用准则(CC),它是评估信息技术产品和系统安全性的基础准则。该标准提供关于信息资产的安全分析框架,其中安全分析涉及到资产、威胁、脆弱性、安全措施、风险等各个要素,各要素之间相互作用,如图3所示。资产因为其价值而受到威胁,威胁者利用资产的脆弱性构成威胁。安全措施则是对资产进行保护,修补资产的脆弱性,从而可降低资产的风险。

3 分析报告素材获取

作为分析报告,必须要有真实的分析素材才能得出可靠的分析结论。我们在素材获取方法、获取内容、获取对象和最后素材整理上都有具体规范。

3.1 获取方法

在素材获取方法上,采取安全访谈、调查问卷、文档资料收集等3种工作方法来获取信息安全需求。

3.2 获取对象与内容

素材获取对象为两种类型,分别为部门领导和普通员工。其中:部门领导主要侧重于信息安全管理、岗位、流程、资产和培训方面的信息获取;普通员工主要侧重于信息安全岗位责任、操作习惯和安全配置与管理方面的信息获取。

素材获取内容分三个方面:一是管理调研;二是业务;三是的IT技术调研。素材获取内容安排有五种类型,其中:管理类2种,分别为高层管理访谈和中层部门领导访谈;技术类2种,分别为网络安全访谈和主机及数据库信息安全访谈;业务类1种,为业务及应用系统安全访谈。

最后的素材资料整理分为管理和技术两大类资料。

4 目前信息安全现状的分析

4.1 组织现状分析

通过对最后资料的分析看出,目前有一些企业对信息安全的管理还是十分重视的,很多成立了自己的安全小组,安全小组也定义了各个岗位,并明确了职责。安全小组目前的还存在着几点不足的地方:

1)安全小组的人员大部分是兼职工作,安全工作往往和本职工作之间存在的工作上时间冲突问题;2)安全小组的侧重于生产安全,信息安全的工作内容不够突出,信息安全的专业性不够强;3)信息的安全的监督机制有,并有一些安全考核的指标,较难执行,执行力不够;4)信息安全的人事培训管理已经作得比较好,可以增加信息安全方面专家的培训内容,更好的提高每个员工的信息安全意识。

4.2 信息安全管理现状

目前,许多已经有IT支持能力的企业在信息安全管理方面还有以下地方可以完善:对信息安全策略定义可以进一步完善;控制方式比较分散,不够统一;制度上可进一步细化,增强可操作性;在项目的安全管理上还有很多可以完善的地方;增加人力投入,加强安全管控。

4.3 信息安全技术现状

通过对最后技术资料的分析,得知以下信息安全基本情况:

1)主机的安全运行有专门的技术人员支持和维护,建立了比较全面的安全操作规范,具备应对突发事件的能力,能够比较好的保障主机系统工作的连续性和完整性;2)主机系统的安全管理主要涉及到服务器硬件、操作系统、数据库系统、应用服务系统等内容,密钥管理手段不科学,主机系统的日志缺乏定期的安全分析,主机的安全风险依赖于管理者的安全配置,缺少安全管理工具和安全监测措施;3)主机安全人员配备上没有专职的系统安全管理员,一个人需要管理多台主机设备,主要靠人工监视主机系统的运作管理;4)用户安全管理方面,口令管理手段不科学;5)主机漏洞修补方面不及时,已知漏洞不能完全堵上;6)主机系统的安全管理手段主要依赖系统自身提供的安全措施;7)主机系统的日志没有无远程备份日志服务器;8)主机设备类型多,监测和管理手段依靠人工方式,没有自动工具;9)系统人员管理一般从远程管理主机,没有全部采取远程安全措施;10)部门分工按职能划分,未按系统划分。

5 分析结论:信息安全需求

基于以上分析,得出了以下结论,主要分为信息安全整体需求和集体归纳。

5.1 信息安全整体需求

大部分的企业没有建立起完善的信息安全组织、管理团队,技术方面欠缺。从总体上考虑,信息安全管理需要解决以下问题:

1)企业内部的信息安全组织结构的协调一致性;2)技术和管理方法的发展均衡性;3)公司内部的业务发展急迫性与信息安全建设周期性之间的矛盾;4)员工之间对信息安全认知的差异性;5)与第三方机构(供应商、服务商、应用开发商)之间的信息安全管理关系。

5.2 信息安全需求的集体归纳

5.2.1 信息安全组织与管理

根据上述对信息安全组织和管理现状的分析,安全组织与管理总体需求可以归纳为:在组织方面,建立打造一支具有专业水准和过硬本领的信息安全队伍;在管理方面建立相应的信息安全管理措施。

5.2.2 网络安全需求

网络安全,其目标是网络的机密性、可用性、完整性和可控制性,不致因网络设备、网络通信协议、网络管理受到人为和自然因素的危害,而导致网络传输信息丢失、泄露或破坏。集体为:

1)集中统一的网络接入认证、授权、审计安全技术;2)集中统一的网络安全状态监测技术;3)针对通讯网络系统的网络开发安全检查工具集,包括网络安全策略执行检查、网络漏洞扫描、网络渗透测试等;4)能够支持网络的安全综合管理平台,能够支持网络用户安全管理。

5.2.3 主机系统安全需求

主机系统的安全需求归纳如下:

1)诸多主机的集中认证、授权、审计安全管理技术;2)针对主机系统的安全状态监测技术;3)针对主机系统的安全检查工具包;4)能够支持主机的安全综合管理平台。

5.2.4 数据安全需求

数据安全,是指包括数据生成、数据处理、数据传输、数据存储、数据利用、数据销毁等过程的安全。其目标是保证数据的保密性、可用性、完整性、可控制性,确保不因数据操作、操作系统、数据库系统、网络传输、管理等因素受到人为的或自然因素的危害而引起数据丢失、泄露或破坏。具体需求要求如下:

1)需要建立一个支持认证、授权、审计、安全等功能的数据生命周期管理机制;2)需要建立一套数据攻击防范系统,包括非法行为监控、威胁报警、数据垃圾过滤等;3)需要建立一套数据容灾系统,能够提供数据应急响应、防止失窃、损毁和发霉变质。

5.2.5 应用系统安全需求

应用系统安全,是指包括需求调查、系统设计、开发、测试、维护中所涉及到的安全问题。其目标是应用信息系统的保密性、可用性、完整性、可控制性,不致因需求调查、系统设计、开发、测试、维护过程受到人为和自然因素的危害,从而导致应用信息系统数据丢失、泄露或破坏。应用方面的安全需求归纳如下:

1)需要建立一套关于应用系统分类、应用系统安全接口、应用系统操作流程等方面的应用系统管理规范;2)需要建立一套独立的应用系统安全测试环境,满足应用系统上线前能够得到充分的安全测试;3)需要建立一个基于角色认证、授权、审计的授权管理系统,能够支持按员工的工作岗位授权管理,能够支持事后责任追查的法律依据;4)需要建立一个统一集中的应用系统监控管理平台,能够支持检测到异常的操作。

6 结束语

文章通过对福建某企业的信息安全现状进行相关素材获取,依照信息安全体系相关标准对整理后资料进行分析,得出了该企业的信息安全现状的评估结论,并提出了此类企业在信息安全体系建设上的需求分析。本文的结论,对此类企业的信息安全体系建设有一定的参考意义。

参考文献:

[1] 张世永.网络安全原理与应用[M].北京:科学出版社,2003.

[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.

[3] 董良喜,王嘉祯,康广.计算机网络威胁发生可能性评价指标研究[J]. 计算机工程与应用,2004,40(26):143~148.

第7篇:审计信息安全管理范文

针对近年来频繁发生的网络犯罪事件,许多学者以及相关认识开始不断研究与应用更多的安全防护技术,其中较为常见的技术包括防火墙、入侵检测、数据加密以及VPN等技术。其中在防火墙技术方面,其主要通过安全网关的构建对外部网络攻击行为进行拦截,并有效监控网络运行的整体情况,是保证网络信息安全的重要措施。但其在应用中对病毒或黑客入侵的阻止并非万能,需同其他防护措施共同配合。在入侵检测技术方面,其作用在于利用相关硬件软件实时监测数据流,若发现入侵数据可能对网络安全造成威胁将采取相应的反应动作如禁止启动或切断网络等。在数据加密方面,主要对传输与存储的数据进行加密,常用到加密钥匙的方式实现防止数据外泄与窃取的目标。另外在VPN技术应用方面,其结合访问控制与加密措施,保证数据仅在可信公共信道中进行传输。综合来看,网络信息的安全很难通过其中一种技术手段实现,即使现阶段比较前沿的如PKI关键技术或防毒墙等,应用中都需配有其他辅技术,因此需构建更为有效的安全管理体系势在必行。

2网络信息安全存在的主要风险问题

现阶段网络信息安全的主要风险可具体细化为:①从网络层面。包括传输数据时存在的被篡改或窃取情况、网络边界方面的风险、过于单一的入侵检测手段以及审计系统的设计不完善等。②从系统层面。大多操作系统以及软件程序等本身在设计过程中便存在较多漏洞,若在使用中忽视对其进行定期更新与漏洞修复,很容易使系统安全受到木马病毒威胁。③从应用层面。其存在的信息安全问题主要体现在用户进行业务信息提交过程中可能被窃听或篡改、内网与外网交互使用为不法分子创造入侵条件等方面。④从管理层面。许多机关单位在网络安全风险管理制度方面缺乏一定的实效性,且存在设备通用、内外网混用等问题,许多如外部访问或访问权限等方面的设计并不严格,不利于网络信息安全性的提高。⑤从人员角度。网络安全得以保障关键在于相关人员是否具备相关的网络安全技术与安全技术,无论安全意识的缺失或技术能力不足都可能带来一定的安全风险。

3管理体系的具体构建思路

针对现行网络信息安全的相关防护技术与实际存在的安全威胁问题,在构建安全管理体系过程中主要可从两方面进行,包括技术应用与网络安全管理两方面,只有保证对二者采取相应的防御战略才可实现信息安全保障的目标。

(1)安全技术的应用

对于现行技术层面中存在的安全风险问题,除前文中提及的防火墙与入侵检测技术外,还需在系统设计中采取以下几方面技术策略:①注重联动方式与具体配置。在将防火墙与入侵检测系统实现联动的基础上,还需保证防火墙与IDS进行联动,这样可相互配合对攻击行为进行阻断,但需注意IDS控制台应在网中进行部署,或在其他区域SOC区中设置。②引入防病毒系统。对于现行多样化的病毒形式很难利用简单的病毒软件消除病毒,应在防毒系统应用中保证其不会占用过多的系统资源,且对核心服务器具有极强的防毒能力,如现阶段常用的OfficeScan,在防治病毒方面具有良好的效果。③审计系统的完善。在系统内部网络中应进行安全审计系统的设计,保证其能够对相关的网络行为、设备运行状态进行综合审计,及时找出存在的隐患。另外,设计过程中还可引入其他方面的技术措施如漏洞扫描、过滤网关或终端系统等方面,对网络信息安全性的提高可起到重要作用。

(2)网络安全管理工作

管权管理体系构建中除考虑引入相应的技术防护措施外,还需注重网络信息管理水平的提高。注重相关人员网络技术水平以及安全意识的提高,可通过相关的培训工作使人员正确认识木马病毒、网络攻击行为等。同时在安全管理制度方面应不断完善,如机房管理制度、操作管理制度以及技术保障制度等,以此确保应对风险的能力得以增强。

4结论

第8篇:审计信息安全管理范文

一、AMIS和OAS的应用成效

随着审计系统的升级、优化以及审计人员越来越熟练地掌握和运用,AMIS和OAS两大信息系统已经成为审计人员必备的审计工具,被广泛应用于审计各个环节和各类项目之中,取得可观的成效。1.AMIS发挥的功效。一是提高审计工作效率。作为审计信息的管理工具,AMIS对信息的采集、分析、记录和存储有利于提高审计业务的整体效率和管理水平,节约人力和财务成本,促进审计工作更加高效。二是规范审计操作流程。AMIS对审计项目操作流程规范化提出了刚性要求,要求审计项目的管理和实施必须遵从系统的既定流程和规则,而不能主观随意地操作,规避了审计风险。三是促进审计跟踪成效。通过筛查AMIS存储的以往审计发现,跟踪审计事项,督促被审计单位及时整改,并对整改的真实性、持续性和系统性做出评价,更好地发挥审计的职能作用。四是成为审计人员的良师益友。由于AMIS涵盖了审计人员需要的大部分知识和信息,且操作方法简便,其中的知识库子系统已成为审计人员的知识宝库,是学习和实施审计项目的典籍,在审计条线得到广泛使用和认可。2.OAS取得的效果。一是实现业务全面检查和常态化监测。由OAS获得较全面的业务数据,通过统计分析,对经营管理的整体情况进行全面的评价;同时,OAS定期加载被审计单位的交易数据,依据动态信息,实行常态化审计监测,及时发现、揭示关键控制环节的风险苗头和经营管理中存在的问题,为管理层预警信号、提供决策支持,实现对风险的防预性控制,提高审计的时效性,充分体现审计的价值。二是增强审计抽样的科学性。审计抽样是审计活动的重要环节,通过样本推断总体,进而判断出总体情况,样本质量的高低及其代表性的强弱,对审计结论的合理性和可靠性、审计目标的实现尤为重要。OAS具有强大的审计抽样功能,统一抽样标准和样本规模,有效避免人为偏差,大大提高审计样本的质量和审计查证的准确度。三是形成资源共享。内部审计机构秉承为建设银行经营发展保驾护航的审计理念,对驻地的一级分行开放使用OAS,实现了资源的共享。近年来,已对主要的条线管理部门开放了OAS的外部用户使用权限,并且对业务部门直接提出的数据需求,及时给予支持和满足,取得了一定的成效,得到驻地分行的肯定。

二、建设银行内部审计信息系统存在的问题

(一)AMIS存在的主要问题

自AMIS上线以来,虽然几经优化和改进,不断增强其应用性能,但是随着审计工作精细化管理要求的不断提升,该系统的部分应用功能仍有优化和拓展的空间。其主要问题表现为:一是检索功能有待提高。AMIS未采用智能搜索引擎技术,虽设置了高级搜索,但需要准确地输入“关键字”,查询效率低,影响了使用效率。二是审计发现的归纳整理有待细化。以往审计发现的问题未进行细致的整理,尤其针对屡查屡犯的问题未加以梳理和归纳,影响了审计成果的充分利用和深入研究,不利于跟踪审计的深度开展。三是经济责任审计资料库建设尚未纳入子模块。经济责任审计已成为内部审计一项重要的业务内容,而且受到企业高管层及外部监管机构的高度重视,审计流程建设快速,投入的资源较充足。建设银行各审计机构虽采取一定的技术方法,定期地搜集、存储了大量的文字和数据资料,但尚未将其纳入AMIS之中,不便于对资源的挖掘和利用。

(二)OAS凸现的主要问题

在内部审计充分应用OAS的同时,随着审计要求的不断提高,逐渐凸现系统运行效率低、应用管理制度不健全等问题,具体表现为:一是项目需求与资源有限的供给矛盾突出。审计项目对OAS的依赖程度越来越高,按审计计划实施的审计项目、非项目任务下发的模型、为满足日常非现场系统的使用需求进行研究的试运行模型等,使服务器运行承载着重负,进而导致模型运行时间相对集中,即使审计人员加班加点夜以继日地完成运行任务,由于多用户争用资源出现的运行错误,难以保证运行结果的正确性。因此,审计项目需求与服务器资源供给之间日益突出的矛盾,已经成为当前非现场服务器运行管理亟待解决的问题。二是信息安全制度建设不健全。OAS的数据信息在采集、传递、加工、存储、销毁等数据生命周期过程中产生的安全风险,需要建立制度予以规范和防控,但审计机构尚未全部建立数据安全管理制度。同时,信息安全管理是一项持续性的体系化工作,如果仅关注具体信息风险安全控制则很难弥补过程中的缺陷,还应强化信息安全的全流程管理,并根据风险环境变化不断加以完善。三是应用能力有待提高。OAS已成为内部审计的重要工具,但是要使用的得心应手,能够灵活地创建审计模型,还需要具有一定的应用技能,如具备计算机编程基础、熟悉各项业务流程、解读文件制度的能力。审计机构通过对信息系统应用能力的考评结果显示,那些从事审计工作时间较长、年龄偏大的审计人员虽业务经验丰富,但计算机编程能力不足;而新招入的年轻审计人员学习能力较强,通过强化训练能很快达到技能等级,但是业务经验不足。这种现象在各审计机构普遍存在,影响了审计质量。

三、加强建设银行信息系统建设的对策

(一)完善AMIS的对策

在AMIS系统现有结构的基础上,增强审计数据的维护和审计成果的利用,拓展知识生产、管理和应用。优化方案的核心内容应包括:一是引入智能搜索引擎,便于知识库快速检索。如引用Lucene等技术,以支持Office文档、PDF、网页文档等多种格式文档的搜索。应配置高级搜索功能,支持关键字的逻辑运算搜索,能同时含有两个关键字文档筛选。输入关键字时,可以识别拼音、汉字和联想最常用的词组,并按照搜索频率的高低排序。搜索结果应能显示文档名称、更新日期、部分摘要,查找的关键字在摘要和显示文档中以高亮突出。还可配置分类搜索功能,支持多维度分类方法,包括按文件所有者、文档类型、审计依据、审计成果、最新更新等维度搜索。其中最新更新维度,需按照更新时间顺序排列最近更新的文档,便于用户了解最新知识状态。二是优化审计发现库子模块功能,促进跟踪审计。跟踪审计已成为检验审计成效、提高审计质量的一项重要工作,应在审计发现库中增加对“整改三性”问题的提示功能。按照同类问题的出现次数、前后时间差、营业机构分布等情况进行计算、转换为系统的程序代码,使系统在接收整改信息时,能够自动识别并提示整改真实性、持续性和系统性的问题,同时支持相关信息的查询和统计。三是增设任期资料库,加大信息扩载量。将任期资料库纳入AMIS后台系统,增建为一个三级模块,再配置不同级别的开放权限,便于跨区域的经济责任审计项目及跟踪审计项目的开展。四是创建接口,加大知识信息的获取力度。采用文档管理技术,将原先要由不同系统处理的各类文档集中在一个平台统一管理,实现文档的分类归档、外部特征管理、关键词管理等。同时,采用自动维护和手工维护等多种方式,通过接口实现审计知识库系统与OA、NOTES等相关信息系统的交互,通过搜索引擎访问总行企业网门户、建设银行知识库系统、档案管理系统等自动获取知识,还能以链接访问其他的信息资讯系统,实时获取信息,加大知识积累。

(二)优化OAS的策略

第9篇:审计信息安全管理范文

【 关键词 】 高校;科研机构;信息安全;对策

Discussion on Scientific Research Institution of Universities in

Information Security Management and Measures

Zhang Jian-hua

(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)

【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.

【 Keywords 】 universities; scientific research institution; information security; measures

1 引言

随着信息技术的发展和信息化应用的日趋深入,信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可或缺的一环。高校等科研单位对信息安全管理的认识程度越来越高,研究院等单位的信息系统规模和水平也在不断攀升,然而随着高校各系统建设程度的不断完善,以高校为代表的科研机构的信息安全管理问题也愈加突出。

2 高校科研机构存在的信息安全管理问题

近年来,高校等科研机构逐步认识到信息安全对于自身的重要性,于是不少单位成立了“信息管理部门”来推行统一的管理规范和进行信息安全知识普及,其主要目的是为了从安全技术和管理两个方面来解决高校中科研机构的信息安全问题,充分提高机构人员的信息安全管理意识和保密工作的能力。当下,虽然有一些高校的科研单位在信息安全和管理建设方面已经取得了长足的进步,但其科研单位内部仍然存在着很多问题。

(1)首先,在以往长期封闭的科研环境影响下,相关科研人员目前依然不具备良好的安全意识,对于信息安全的认识水平不高。同时高校等相关管理部门较容易忽视信息安全在其科研系统中的发展战略和计划,这些都间接导致了信息安全管理制度推行力度不够,实施安全教育的硬性条件有限。其次,由于学科建设和专业水平所限,也使得国内技术过硬的信息安全专业人才供应不足,间接影响了相关单位的人才储备水平。

(2)当下许多高校等科研单位在信息系统不断增加的情况下,对以往基础设施配备水平存在着一定的依赖性,不能够很好的适应新环境。在信息系统运作业务的安全风险和意识提升上,又缺乏有效性验证与评估办法。现实中的任何信息系统都是一连串复杂的环节,信息安全措施必须渗透到信息系统的每一个部位,其中一些问题的解决方案,需要信息系统的设计人员、测试人员和使用人员都熟知并能够成为规范来遵守。

(3)不安全因素对于信息系统而言总是存在的,没有任何一个信息管理方法能提供绝对的保障。因此,高校等科研单位在认识和进行信息系统安全管理教育的时候,应该着重加强基层人员的信息安全管理实践教育,应让相关人员充分意识到,虽然信息安全建设并非意在建设一个创收的平台,但它是一个保障科研成果和提升工作效率的平台。管理者有必要做出适合科研单位进行教育实施的信息安全教育发展战略和计划,充分加强信息安全教育在管理实践上的投入,严格有效地执行相应的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系统时的固有风险。

(4)近年来,我国大型科研单位相继出现过不同程度的泄密事件,这些事件的直接后果是不仅导致了科研成果的流失,还造成了较大程度的经济损失和不良的社会影响。虽然各大信息系统工程和信息化程度要求非常高的相关行业,也都出台了对信息安全技术产品的应用标准和规范,但只有建立一个严格的信息安全管理策略,才能全面的保障其安全性。

3 解决高校科研机构存在的信息安全的对策

3.1 技术层面

在技术层面上:高校科研管理系统是以计算机和数据库通信网络为基础的应用管理系统,是一个开放式的互联网络系统,与网络系统连接的任何终端用户都可以进人和访问网络中的资源。作为信息通讯数据平台,其所受到的安全威胁主要存在于信息通信传输、存储和加工的各个阶段。因此在制定技术对策方面就需要制定统一全面的安全策略,同时也注重建设统一认证和授权管理系统,通过硬件接入设备和定制化管理软件的配合部署,加强网络层面和应用层面的安全资源整合,形成覆盖全网的科研信息化安全保障能力,并充分利用自主创新的科研信息化安全技术,不断增强基础运行平台的网络安全能力,为科研信息化基础环境和应用系统提供有力的安全保障。

在保障网络基础设施和重要应用系统的安全方面,一方面需要构建身份认证管理系统、网络安全管理平台、恶意代码防护系统、安全审计平台等面向全网用户的网络安全基础设施,实现实时预警、事件分析、决策支持、资源调度等功能;另一方面需要建立起包括安全咨询、安全规划、安全检测、安全培训等环节在内的安全服务体系,引入除技术体系和管理体系以外的第三方服务支持,实现安全事件的及时发现。

3.2 管理和教育层面

在管理和教育层面上:以企业为参考标度,对高校科研机构工作人员进行信息安全意识以及管理实践知识的普及,将信息安全管理理念提到战略高度来看待。充分遵循信息安全流程制定相应管理制度,除技术保障外,将人员、网络、环境有关的技术和管理规程的有机集合充分纳入其中。充分认识到信息安全管理实践是保障信息实现有效管理与控制的重要途径。所在部门应客观评估实现信息安全管理的需求水平,落实安全的组织和管理人员,明确每个人的角色与职责;制定并开发安全规划和策略,定期开展培训和工作会议;实施风险管理制度,制定业务持续性计划和灾难环境下恢复计划;选择实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查、处理安全事件。针对专业人员的培训和绩效需要有效结合目标管理和信息安全管理两方面来展开。

3.3 管理政策层面

在整个管理策略的制定上:建议采用分级策略,如果高校对于自身科研信息安全风险水平认定为较高,而自身建设能力有限,则可以考虑与相关专业咨询机构合作,引入专家机制来完成相关工作,提升建设效率。

4 结束语

在国家大力推行科教兴国与自主创新发展战略的今天,信息安全建设对于保障科技创新自有成果,确保自主知识产权的创造价值,都有着极其重要的作用。而如何确保其信息安全能够实现自主可控的目标,也是以高校为代表的科研机构行使和保障自身合法权益的重要途径。因此我们必须综合多方因素,系统考量,尽可能提供全面的、多方位的信息安全建设策略和信息安全管理与教育规范,以切实满足高校等科研单位对信息安全保障体系的需求,降低科研成果的安全风险,发挥高效的科研效率,保障科研生产的安全顺利进行。

参考文献

[1] 张广钦.信息管理教程[M].北京:北京大学出版社,2005.

[2] 徐茂智.信息安全概论[M].北京:人民邮电出版社,2007.

[3] 彭盛宏.浅析校园网存在的安全隐患及其对策[J].信息安全与技术,2012,(1).