企业信息安全要求精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业信息安全要求主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业信息安全要求范文

【关键词】信息安全 管理 控制 构建

1 企业信息安全的现状

随着企业信息化水平的提升，大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备，但信息安全防护理念还停留在防的阶段，信息安全策略都是在安全事件发生后再补救，导致了企业信息防范的主动性和意识不高，信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。

2 企业信息系统安全防护的构建原则

企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则：

2.1 建立企业完善的信息化安全管理体系

企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范，来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括：分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。

2.2 提高企业员工自身的信息安全防范意识

在企业信息化系统安全管理中，防护设备和防护策略只是其中的一部分，企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时，绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前，应制定企业员工信息安全行为规范，有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行，保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训，强化企业员工对信息安全的概念，提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。

2.3 及时优化更新企业信息安全防护技术

当企业对自身信息安全做出了一套整体完善的防护规划时，就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源，并且可以根据员工级别分配人员访问权限，达到企业敏感信息的安全保障。

3 企业信息安全体系部署的建议

根据企业信息安全建设架构，在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时，我们需要重点关注以下几个方面：

3.1 实施终端安全，规范终端用户行为

在企业信息安全事件中，数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前，企业员工对自己的个人行为不规范，造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为，我们在建设安全防护体系时，仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前，就对用户的终端系统进行安全规范检查，符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计，使得企业员工的操作行为符合企业制定的上网行为规范，从终端用户提升企业的防护水平。

3.2 建设安全完善的VPN接入平台

企业在信息化建设中，考虑总部和分支机构的信息化需要，必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN，VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接，这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下，就必须做好对于移动终端的身份认证识别。其实我们在设备采购时，可以要求设备商做好多种接入方式的需求，并且帮助企业搭建认证方式。这将有利于企业日常维护，提升企业信息系统的VPN接入水平。

3.3 优化企业网络的隔离性和控制性

在规划企业网络安全边际时，要面对多个部门和分支结构，合理的规划安全网络边际将是关键。企业的网络体系可以分为：物理层；数据链路层；网络层；传输层；会话层；表示层；应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下，根据企业安全优先级及面临的风险程度，做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护，真正实现OSI的L2～L7层的安全防护。

3.4 实现企业信息安全防护体系的统一管理

为企业信息安全构建统一的安全防护体系，重要的优势就是能实现对全网安全设备及安全事件的统一管理，做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志，如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时，企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时，就必须要考虑安全设备日志之间的统一化，设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。

4 结束语

信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划，实施过程中根据不断出现的情况及时调整安全策略和访问控制，保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定，这样才能为企业的信息安全提供生命力和主动性，真正为企业的核心业务提供安全保障。

参考文献

[1]郝宏志.企业信息管理师[M].北京：机械工业出版社，2005.

[2]蒋培静.欧美国家如何培养网络安全意识[J].中国教育网络，2008（7）：48-49.

作者简介

常胜（1982-），男，回族，天津市人。现为中国市政工程华北设计研究总院有限公司工程师。研究方向为网络安全与服务器规划部署。

第2篇：企业信息安全要求范文

关键词：信息安全防护体系；风险评估；信息安全隐患；应急预案

中图分类号：F470.6 文献标识码：A 文章编号：

信息安全管理是信息安全防护体系建设的重要内容，也是完善各项信息安全技术措施的基础，而信息安全管理标准又是信息安全管理的基础和准则，因此要做好信息安全防护体系建设，必须从强化管理着手，首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念，并结合公司信息安全实际情况，制订了信息安全管理标准，明确了各单位、各部门的职责划分，固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程，促进了各单位信息安全规范性管理，为各项信息安全技术措施奠定了基础，显著提升了公司信息安全防护体系建设水平。

1电力系统信息安全防护目标

规范、加强公司网络和信息系统安全的管理，确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃， 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故，并以此提升公司信息安全的整体管理水平。

2信息安全防护体系建设重点工作

电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面，结合本公司信息安全防护体系建设经验，对信息安全防护体系建设四项重点工作进行阐述。

2.1 信息系统安全检测与风险评估管理

信息管理部门信息安全管理专职根据年度信息化项目综合计划，每年在综合计划正式下达后，制定全年新建应用系统安全检测与风险评估计划，确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内，按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内， 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试，并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分， 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南（试行）》进行安全加固，加固后 5个工作日内，经信息管理部门复查，符合安全要求后方可上线试运行。应用系统进入试运行后，应严格做好数据的备份、保证系统及用户数据的安全，对在上线后影响网络信息安全的，信息管理部门有权停止系统的运行。

2.2 信息安全专项检查与治理

信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作，对在检查中发现的问题，检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位，隐患分为重大隐患和一般隐患，对于重大隐患，信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案， 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪，并组织复查，对未能按期完成整改的单位，信息安全专职 10 个工作日内汇报信息管理部门负责人， 信息管理部门有权向人资部建议对其进行绩效考核。

2.3 信息安全应急预案管理

信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划，并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定，各种预案制定后 5 个工作日内交本部门主要负责人审批，审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训，并按年度计划开展预案演练。 根据演练结果，10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订， 对更新后的内容， 需在 10 个工作日内经本部门领导审批，并在审批通过后 5 个工作日内报信息管理部门备案。

2.4 安全事件统计、调查及组织整改

信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件，并在每月 30 日以书面形式报告信息管理部门信息安全专职， 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内，信息管理部门信息安全专职负责组织对事件的调查，调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行，并组织开展信息系统事故原因分析，坚持“四不放过”原则，调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。

3评估与改进

通过执行“强化管理、标准先行”的信息安全防护体系建设理念和实施电力公司信息安全管理标准， 明确了各项工作的“5W1H”。 使信息管理部门和各部门及下属各单位的接口与职责划分进一步清晰，有效协调了相互之间的分工协作。 并通过 ITMIS 系统进行对上述流程进行固化，在严格执行国网公司、省公司各项安全要求的基础上简化了工作流程， 搭建了信息安全防护建设工作的基础架构，实现了信息安全防护建设工作的体系化。同时在标准的 PDCA 四阶段循环周期通过管理目标、职责分工，管理方法，管理流程、考核要求，文档记录 6 种管理要素对信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改4 项管理内容进行持续改进，使信息安全防护体系建设工作的质量有了质变提升。 在信息安全防护建设工作的基础架构搭建完成后，江苏省电力公司常州供电公司下一步将重点完善信息安全防护体系中技术体系建设，管理与技术措施并举，构建坚强信息安全防护体系。

第3篇：企业信息安全要求范文

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)06-1317-02

On Security Architecture for Enterprise Information Systems to Establish

LI Yu-lu

(Changzhou, Jiangsu Electric Power Company Power Company Information Center, Changzhou 213003, China)

Abstract: To improve the security of enterprise information systems that needs to start from the structure. This article describes the system structure of information system security status and structure of the standardized safety systems analysis, which describes the security requirements to meet the various security elements in the relationship between the proposed enterprise information security architecture model, in order to guide enterprise the development of safety standards, the system provides a reference.

Key words: enterprise information security; architecture; safety standard system

企业信息系统安全结构是计算机网络安全系统结构的扩展。20 世纪80 年代末、90 年代初,信息系统安全系统结构的重要性开始引起发达国家关注。如,美国国家安全局(NAS) 20 世纪90 年代公布的国防信息系统安全计划(DISSP) ,是由安全特性、系统组成部分、扩展的IS0 协议层等三维构成,它不仅考虑了信息传输安全、网络安全,还考虑了信息处理安全、端系统及接口安全问题;此外,还增加了互操作性、质量保证、性能等安全特性。2001 年美国国家安全局(NAS )制定了信息技术保证框架(IATF),是从整体、过程的角度看待信息安全问题,它强调以人、技术、操作这三个核心原则,关注四个信息安全保障领域:保护网络和基础设施、保护边界、保护计算环境、支撑基础设施,并在4 个重点技术领域实施诸如应用层护卫、电路、文件加密等多种安全技术手段。再如,美国国防部所属的国防信息系统局(DISA)1996 年制定了防御目标安全系统结构框架(DGSA V3.0),从系统单元构成的角度,提出了信息系统中各单元分的安全服务配置框架,目的是要从安全系统结构的高度对信息统的安全保护提出技术上和管理上的规范要求等。

在信息系统安全系统结构理论研究领域,有人提出开放分布式系统的安全结构;有人对网络及信息系安全系统结构进行了初步的探讨和研究,提出了计算机网络实体安全系统结构和基于智能协作技术的信息系统安全系结构概念模型等。通过对上述的研究分析,可以看到国内外己有的安全系统结构和框架都描述了信息系统相关的安全系统结构及模型等安全要素,它们各不相同,实现方法等也并且都不完备。由于研究问题的层次和角度不同,对安全系统结构的具体含义的理解也同,从而导致信息系统安全系统结构在概念上、类型上及结构上的不一致,因此,为使信息系统安全系统结构研究和应用共同的概念依据和构建基础,需要加强对信息系统安全结构的一些基本问题,诸如安全结构的类型及特征、构成要素及构建步骤等内容的学习研究,以引导企业安全系统的建立。

1 信息系统安全系统结构组成要素

实现信息安全系统结构的安全,要从多个方面考虑,通常定义的包括安全属性、系统组成、安全策略、安全模型、安全机制等5 个方面。在每一个方面中,还可以继续划分多个层次;对于一个给定的层次,包括着多种安全要素。

1.1 安全属性

安全本身是对信息系统一种属性要求,信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别、保密性、完整性、可用性等。在1S07498 一2 中对安全服务和安全机制的对应关系给予了描述。它的核心内容是将5 大类安全服务:身份鉴别、访问控制、数据保密、数据完整性、不可否认性及提供这些服务的8 类安全机制及其相应的0SI 安全管理等放置于0SI模型的7层协议中,以实现端系统信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。

1.2 系统组成

系统组成描述信息系统的组成要素。对于信息系统的组成划分,有不同的方法。可以分为硬件和软件,在硬件和软件中又可以进一步地划分。对于分布的信息系统,可以将信息系统资源分为用户单元和网络单元,即将信息系统的组成要素分为本地计算环境和网络,以及计算环境边界。本地计算环境和网络都还可以进一步划分等。例如本地计算环境可以分为端系统、中继系统和局部通信系统。端系统作为信息处理单元,可以继续分为应用平台和应用软件;应用平台包括操作系统、软件工程服务、分布式服务、数据管理等:应用软件中包括消息处理、web 应用等。

1.3 安全策略

在安全系统结构中,安全策略指用于限定一个系统、实体或对象进行安全相关活动的规则。 即要表明在安全范围内什么是允许的,什么是不允许的。它直体现了安全需求,井且也有面向不同层次、视图及原理的安全策略。其描述内容和形式也各不相同。对于抽象型和一般型安全系统结构而言,安全策略主要是对加密、访问控制、多级安全等策略的通用规定,不涉及具体的软硬件实现;而对于具体型安全系统结构,其安全策咯则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明,亦即要描述允许或禁止系统和用户何时执行哪些动作,井要能反射到软硬件安全组件的具体配置,如,网络操作系统的帐户策略用户权限策略和审计策略等安全策略就最终体现为发全功能的各种选项等。

1.4 安全模型

安全模型用于准确描述系绞在功能和结构上的安全特性,它反映了一定的支全策略,是引导、验证安全系统开发设计的概念模型要求。对安全策略及形式化模型的研究起源于美国军方对高安全级别的计算机系统的需求,它为计算机操作系统的安全性设计提供了理论基础。这些安全模型通常被认为是经典安全模型。经典安全模型主要由身份标识、认证、授权、审核等4个环节构成。经典安全模型的前提假设是:引用监视器是主体对客体进行访问的唯一路径。身份标识与认证的机制是可靠的;审核文件和访问控制数据库本身受到充分的保护。而这些前提在实际的信怠系统中并不一定成立。因此,信息系统安全摸型的描述应反映相应层次和视图上的安全策略。

1.5 安全机制

安全机制是实现信息系统安全需求及空全策略的各种措施,具体可以表现为所需要的安全白标准、安全协议、安全技术、安全单元等。对于不同层次、不同视图及不同原理的安全系统结构,安全机制侧重点也有所不同。例如:OSI安全系统结构中建议采用7种安全机制。而对于特定系统的安全系统结构,则要进一步说明有关安全机制的具体实现技术,如认证机制的实现可以有口令、密码技术及实体特征鉴别等方法。

2 数学模型

把整个信息系统安全系统结构可看成为一个空间:组成信息系统安全系统结构的这些方面称之为维,层次划分中的特定层次下所包括的安全要素值均是每一维上的具体元素值的体现,通用的信息系统安全系统结构就是具有多维、多层和动态特性的空间(这里只是借用维空间的概念,除了考虑各维元素之间的相互作用而外并不考虑维空间中各个元素之间的运算)。通过数学描述,可以更好地对知识进行归纳和运用:一方面更容易量化,使得描述更为清晰;另一方面可以指导新的未知问题的探索,演绎出新的概念或理论。

3 结束语

企业信息系统安全系统结构的研究是一项复杂的系统工程。需要我们用系统工程的概念、理论和方法来研究、开发和实施系统安全结构的设计,安全系统结构理论就是要从整体上解决信息系统的安全问题,但目前在很多企业对安全系统结构的概念、类型、构建等问题上还没有得到系统化的研究,以上从学习研究的角度对目前国内外安全系统结构和安全系统的研究进行了粗浅的学习分析,通过分析使对整个安全系统结构的认识进一步加深和清晰化,从而提出企业信息安全系统结构和模型。要使企业信息系统安全系统结构适合企业信息系统安全、全面、准确、可行的要求,同时要适应信息技术及其安全技术的飞速发展。只有这样,才能确保信息安全系统适应更好地为企业服务。

参考文献:

第4篇：企业信息安全要求范文

随着近年来信息安全话题的持续热议，越来越多的企业管理人员开始关注这一领域，针对黑客入侵、数据泄密、系统监控、信息管理等问题陆续采取了一系列措施，开始构筑企业的信息安全防护屏障。然而在给企业做咨询项目的时候，还是经常会听到这样的话：

“我们已经部署了防火墙、入侵检测设备防范外部黑客入侵，采购了专用的数据防泄密软件进行内部信息资源管理，为什么还是会出现企业敏感信息外泄的问题？”

“我们的IT运营部门建立了系统的运行管理和安全监管制度和体系，为什么却迟迟难以落实？各业务部门都大力抵制相关制度和技术措施的应用推广。”

“我们已经在咨询公司的协助下建立了ISMS体系，投入了专门的人力进行安全管理和控制，并且通过了企业信息安全管理体系的认证和审核，一开始的确获得了显著的成效，但为什么经过一年的运行后，却发现各类安全事件有增无减？”

这些问题的出现往往是由于管理人员采取了“头痛医头，脚痛医脚”的安全解决方案，自然顾此失彼，难以形成有效的安全防护能力。上述的三个案例，案例一中企业发生过敏感信息外泄事件，于是采购了专用的数据防泄密软件，却并未制定相关的信息管理制度和进行员工保密意识培训，结果只能是防外不防内，还会给员工的正常工作带来诸多不便；案例二中企业管理者认识到安全管理的重要性，要求相关部门编制了大量的管理制度和规范，然而缺乏调研分析和联系业务的落地措施，不切实际的管理制度最终因为业务部门的排斥而束之高阁；案例三中ISMS的建立有效地规范了公司原有的技术保障体系，然而认证通过后随着业务发展却并未进行必要的改进和优化，随着时间的推移管理体系与实际工作脱节日益严重，各类安全隐患再次出现也就不足为奇。

其实，企业面临的各种安全威胁和隐患，与人体所面临的各种疾病有诸多类似之处，我们常说西医治标不治本，指的就是采取分片分析的发现问题―分析问题―解决问题的思路处理安全威胁，通过技术手段的积累虽然可以解决很多问题，但总会产生疲于应付的状况，难以形成有效的安全保障体系；类比于中医理论将人体看为一个互相联系的整体，信息安全管理体系的建立正是通过全面的调研分析，充分发现企业面临的各种问题和隐患，紧密联系业务工作和安全保障需要，形成系统的解决方案，通过动态的维护机制形成完善的防护体系。

总体来说，信息安全管理体系是企业在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进企业的信息安全系统，目的是保障企业的信息安全。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合，涉及到人、程序和信息系统。

针对ISMS的建立，我们可以从中医“望闻问切对症下药治病于未病”的三个角度来进行分析和讨论：

第一，“望闻问切”，全面的业务、资产和风险评估是ISMS建设的基础；

第二，“对症下药”，可落实、可操作、可验证的管理体系是ISMS建设的核心；

第三，“治病于未病”，持续跟踪，不断完善的思想是ISMS持续有效的保障。

望闻问切

为了完成ISMS建设，就必然需要对企业当前信息资源现状进行系统的调研和分析，为企业的健康把把脉，毕竟我们需要在企业现有的信息条件下进行ISMS建设。

首先，自然是对企业现有资源的梳理，重点可以从以下几个方面入手：

1.业务主体（设备、人员、软件等）。

业务主体是最直观、最直接的信息系统资源，比如多少台服务器、多少台网络设备，都属于业务主体的范畴，按照业务主体本身的价值进行一个估值，也是进行整个信息系统资源价值评估的基础评估。由于信息技术日新月异的变化，最好的主体未必服务于最核心的信息系统，同时价值最昂贵的设备未必最后对企业的价值也最大。在建立体系的过程中，对业务设备的盘点和清理是很重要的，也是进行基础业务架构优化的一个重要数据。

2.业务数据（服务等）。

业务数据是现在企业信息化负责人逐步关注的方面，之前我们只关注设备的安全，网络的良好工作状态，往往忽略了数据对业务和企业的重要性。现在，核心的业务数据真正成为信息工作人员最关心的信息资产，业务数据存在于具体设备的载体之上，很多还需要软件容器，所以，单纯地看业务数据意义也不大，保证业务数据，必须保证其运行的平台和容器都是正常的，所以，业务数据也是我们重点分析的方面之一。

3.业务流程。

企业所有的信息资源都是通过业务流程实现其价值的，如果没有业务流程，所有的设备和数据就只是一堆废铜烂铁。所以，对业务流程的了解和分析也是很重要的一个方面。

以上三个方面是企业信息资源的三个核心方面，孤立地看待任何一个方面都是毫无意义的。

其次，当我们对企业的当前信息资产进行分析以后需要对其价值进行评估。

评估的过程就是对当前的信息资产进行量化的数据分析，进行安全赋值，我们将信息资产的安全等级划分为 5 级，数值越大，安全性要求越高，5 级的信息资产定义非常重要，如果遭到破坏可以给企业的业务造成非常严重的损失。1 级的信息资产定义为不重要，其被损害不会对企业造成过大影响，甚至可以忽略不计。对信息资产的评估在自身价值、信息类别、保密性要求、完整性要求、可用性要求和法规合同符合性要求等 5 个方面进行评估赋值，最后信息资产的赋值取 5 个属性里面的最大值。

这里需要提出的是，这里不仅仅应该给硬件、软件、数据赋值，业务流程作为核心的信息资源也必须赋值，而且几个基本要素之间的安全值是相互叠加的，比如需要运行核心流程的交换机的赋值，是要高于需要运行核心流程的交换机的赋值的。很多企业由于历史原因，运行核心业务流程的往往是比较老的设备，在随后的分析可以看得出来，由于其年代的影响，造成资产的风险增加，也是需要重点注意的一点。

最后，对企业当前信息资产的风险评估。

风险评估是 ISMS 建立过程中非常重要的一个方面，我们对信息资产赋值的目的就是为了计算风险值，从而我们可以看出整个信息系统中风险最大的部分在哪里。对于风险值的计算有个简单的参考公式：风险值 = 资产登记 + 威胁性赋值 + 脆弱性赋值（特定行业也有针对性的经验公式）。

ISMS 建设的最终目标是将整个信息系统的风险值控制在一定范围之内。

对症下药

经过上阶段的调研和分析，我们对企业面临的安全威胁和隐患有一个全面的认识，本阶段的ISMS建设重点根据需求完成“对症下药”的工作：

首先，是企业信息安全管理体系的设计和规划。

在风险评估的基础上探讨企业信息安全管理体系的设计和规划，根据企业自身的基础和条件建立ISMS，使其能够符合企业自身的要求，也可以在企业本身的环境中进行实施。管理体系的规范针对不同企业一定要具体化，要和企业自身具体工作相结合，一旦缺乏结合性ISMS就会是孤立的，对企业的发展意义也就不大了。我们一般建议规范应至少包含三层架构，见图1。

图1 信息安全管理体系

一级文件通过纲领性的安全方针和策略文件描述企业信息安全管理的目标、原则、要求和主要措施等顶层设计；二级文件主要涉及业务工作、工程管理、系统维护工作中具体的操作规范和流程要求，并提供模块化的任务细分，将其细化为包括“任务输入”、“任务活动”、“任务实施指南”和“任务输出”等细则，便于操作人员根据规范进行实施和管理人员根据规范进行工作审核；三级文件则主要提供各项工作和操作所使用的表单和模板，以便各级工作人员参考使用。

同时，无论是制定新的信息管理规章制度还是进行设备的更换，都要量力而行，依据自己实际的情况来完成。例如，很多公司按照标准设立了由企业高级领导担任组长的信息安全领导小组和由信息化管理部门、后勤安全部门和审计部门组成的信息安全办公室，具体负责企业的信息安全管理工作，在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员，从管理结构设计上保证人员权限互相监督和制约。但是事实上繁多的职能部门和人员不仅未能提升企业信息系统安全性，反而降低了整个信息系统的工作效率。

其次，是企业信息安全管理体系的实施和验证

实施过程是最复杂的，实施之后需要进行验证。实施是根据 ISMS 的设计和体系规划来做的，是个全面的信息系统的改进工作，不是单独的设备更新，也不是单独的管理规范的，需要企业从上至下，全面地遵照执行，要和现有系统有效融合。

这里的现有系统既包含了现有的业务系统，也包含了现有的管理体制。毕竟ISMS是从国外传入的思路和规范，虽然切合国人中医理论的整体思维方式，但在国内水土不服是正常的，主要表现就在于是否符合企业本身的利益，是否能够和企业本身的业务、管理融合起来。往往最难改变的还是企业管理者的固有思维，要充分理解到进行信息安全管理体系的建设是一个为企业长久发展必须进行的工程。

到目前为止，和企业本身业务融合并没有完美的解决方案，需要企业领导组织本身、信息系统技术人员、业务人员和负责 ISMS 实施的工程人员一同讨论决定适合企业自身的实施方案

最后，是企业信息安全管理体系的认证和审核

针对我们周围很多重认证，轻实施的思想，这里有必要谈一下这个问题，认证仅代表认证过程中的信息体系是符合 ISO27000（或者其他国家标准）的规范要求，而不是说企业通过认证就是一个在信息安全管理体系下工作的信息系统了。更重要的是贯彻实施整个体系的管理方式和管理方法。只有安全的思想深入人心了，管理制度才能做到“不只是挂在墙上的一张纸，放在抽屉里的一本书”。

“治病于未病”

企业信息安全管理体系需要动态改进和和优化，毕竟企业和信息系统是不断发展和变化的，ISMS 是建立在企业和信息系统基础之上的，也需要有针对性地发展和变化，道高一尺魔高一丈，必须通过各种方法，进行不断地改进和完善，才有可能保证ISMS 系统的持续作用。

就像我们前面案例中提到的某公司一样，缺乏了持续改进和跟踪完善的手段，经过测评的管理体系仅仅一年之后就失去了大部分作用。对于这些企业及未来即将建立ISMS的企业，为了持续运转ISMS，我们认为可以主要从以下三个方面着手：

第一，人员。

人员对于企业来讲是至关重要且必不可缺的，在ISMS建立过程中，选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中，人员都应该投入多少呢？通常在体系建立过程中，我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施，且此名专员日后要持续保留，负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。

但很多事情是一种企业文化的培养，需要更多的人员甚至全员参与，例如面向全员的定期信息安全意识培训，面向专业人员的信息安全技术培训等，因此对于企业来讲，除了必要的体系维护人员，在ISMS持续运转过程中，若能将企业内的每名员工都纳入到信息安全管理范围内，培养出“信息安全，人人有责”的企业氛围，则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时，还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与，对外也树立起自身对重视信息安全的形象，大力降低外界给企业带来的风险。

第二，体系。

ISMS自身的持续维护，往往是企业建立后容易被忽视的内容，一套信息安全管理文档并不是在日益变化的企业中一直适用的，对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾，这项活动由于也是在相关标准中明确指出的，企业通常不会忽略；但日常对于这些文档记录的更新也是必不可少的，尤其是重要资产发生重大变更，组织业务、部门发生重大调整时，都最好对ISMS进行重新的评审，必要时重新进行风险评估，有助于发现新出现的重大风险，并且可以将资源合理调配，将有限的资源使用到企业信息安全的“短板”位置。

唯一不变的就是变化，企业每天所面临的风险同样也不是一成不变的，在更新维护信息资产清单的同时，对风险清单的回顾也是不可疏忽的，而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转，有效控制企业所面临的各种风险。

第三，工具。

工具往往是企业在建立ISMS过程中投入大量资金的方面，工具其实是很大的一个泛指，例如网络安全设备、备份所需设备、防病毒软件、正版软件、监控审计等各类工具，即使没有实施ISMS，企业在工具方面的投入也是必不可少的，但往往缺乏整体的规划及与业务的结合，经常会出现如何将几种类似工具充分利用，如何在各工具间建立接口，使数据流通共用，哪些工具应该替换更新，数据如何迁移，甚至出现新购买的工具无人使用或无法满足业务需求等问题，导致资金资源的浪费，因此在持续运转ISMS过程中，根据风险评估报告，及信息安全专员反映的各部门业务需求各种信息数据的收集，应对工具进行统一规划，尽量减少资源的浪费。

第5篇：企业信息安全要求范文

【 关键词 】 新版ISO27000；软件行业；信息安全管理体系；PDCA模型

Based on the New ISO27000 to the Understanding of the Software Industry， Information Security

Wen Yan-ge Chen Wen-e Wang Gang

（Tianjin University of Commerce Tianjin 300134）

【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry， good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.

【 Keywords 】 the new iso27000； software industry； information security management system； the pdca model

1 引言

如今随着信息化的步伐日益加速以及信息相关技术的飞猛发展，信息资源也日渐成为所有企业维持正常运转的重要资源。信息以及载体信息系统、网络等已经成为了企业生存和发展的重要资产。然而企业的信息安全和数据泄露仍然是企业管理者关注的主要问题之一。大部分企业基于企业实际情况，通过引入国际信息安全管理体系IS027000以及通过最佳的业务实践，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（即ISMS），实现对信息安全的预控、在控、可控、能控。

而随着2013年的ISO27000的改版，各行各业势必会根据自身信息安全的情况对信息安全体系作出调整。本文将针对软件行业在调整下的信息安全管理体系下，如何更好地保持和改进信息安全体系作出解读，使企业更好地依据标准体系和方法论，制定出符合企业长久发展的信息安全管理体系。

2 ISO标准

2.1 ISO标准及变化

ISO/IEC27000（Information Security Management System Fundamentals And Vocabulary）是信息安全管理体系基础和术语，ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。最新版本于2013年9月25日。

相对于2005版，新版本对于ISMS建立的基础进行了调整和明确，相较于2005年版本以资产和技术为主题，新版标准则把更多的目光投向组织业务关系，更多地考虑到组织自身及利益相关方的需求，这也是时展的整体趋势。新版控制措施ISO27002从旧版的11个领域更新为14个领域，删除了旧版中一些重复的和操作级的控制项。具体是旧版通信与操作管理被划分成为两个独立的领域操作安全和通信安全，足以见新版对这两个领域的重视；新增密码学和供应关系两个独立领域。新版ISO27001将旧版中4.1章节即有关建立和管理ISMS的总要求独立成出来；为了使逻辑性更加严谨，人力资源安全、资产管理以及访问控制位置发生一定改变；从章节上讲，由8个章节拓展到10个章节，重新构建了ISO标准PDCA的章节构架。

2.2 关于PDCA模型

此处对于PDCA模型以及新版标准的划分做一简单说明：PDCA模式是国际认可的模型，很多著名的标准和管理体系都遵循这一模式。该模型是一个很好的周期性框架，每个阶段都与其他阶段相关联。

PDCA模型分别由四部分组成：P（Plan）――建立ISMS， 根据组织的整体策略和目标，确定活动的计划，包括第四至七章（组织背景、领导力、计划、支持）；D（Do）――实施和运作ISMS，实际地去完成计划中的内容，包括第八章（运行）；C（Check）――监视和评审ISMS，总结实施和运作的结果，查找问题，包括第九章（绩效评价）；A（Action）――保持和改进ISMS，对评审的结果做出处理，成功的经验要进行保持和推广，失败的教训要寻找原因，避免下次再出现同样的错误，没有解决的问题放到下一个PDCA循环中，包括第十章（改进）。

PDCA模型是管理学中常用的一个模型。该模型在运作过程中，按照P-D-C-A 的顺序依次进行，一次完整的循环可以看作是管理学上的一个管理周期，每经过一次循环，管理情况就会得到改善，同时进入更高的P-D-C-A周期循环，组织的管理体系不断的得到提升，管理水平也不断提高。而这四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效螺旋上升。

新的内容将使企业的侧重点不同，从上面的论述中明显可以看出新标准在企业建立信息安全体系之前加重了对企业内外环境信息安全的重视，在构建信息安全体系之前需要企业全方位考虑其组织环境、企业资源、管理现状，了解其发展所面临的机遇与风险，从而高标准、高精度、高要求来对待信息安全管理工作。

对于软件行业来说，信息安全体系已初步建立和实施，主要是监视评审并持续改进自身信息安全体系的工作――PDCA模型的C和A。

3 软件行业信息安全现状及新标准变化下应对策略

软件行业是对信息安全要求最高的行业，也是企业引入国际信息安全管理体系IS027000通过认证最多的行业。前面已经提到，软件行业已经初步建立和实施自己的信息安全体系，面对新版ISO27000的要求，大刀阔斧地重新开始构建体系势必会给企业带来大的浪费和困扰。因此，在新的要求下如何监视并改进ISMS是软件行业中企业面临的最大的问题。ISO27001新标准中把旧版4.1独立成章作为建立体系之前的组织环境的了解，将原来的领导力、可实现信息安全的计划、资源等的支持都放入构建ISMS之前，也就是说软件行业在监控并改进信息安全管理体系上要从这些方面完善自身。而这些方面在其信息安全管理措施上简单归纳为两个方面：管理和技术。企业需要通过管理和技术的双方面进行控制和管理来改善信息安全体系。

3.1 管理角度分析

从管理角度考虑，企业信息安全管理体系中所需采取的安全管理方面的措施主要包括物理安全管理、数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理，通过对风险的技术性控制和管理的实施、部署后，在风险控制管理中能保证防御大量存在的威胁，技术性的控制管理手段不仅包括从简单直至复杂的各种具体的技术手段，还包括系统架构、系统培训以及一系列的软件、硬件的安全设备，这些措施和方式应该配套使用，从而保护关键数据、敏感信息及信息系统的功能。而这些也是ISO27001中第四章组织的背景、第五章领导力、第六章计划、第七章支持对企业的具体要求。

主要管理措施可以从几个方面出发。

（1）建立信息安全管理体系监督机制、在体系运行期间，要进行有效的检查、监督、反馈和沟通，保证信息安全管理体系能够按照公司制订的方针策略，满足公司业务的需求。

（2）根据企业自身的特点，制订可行的奖惩制度，将信息安全的管理纳入到绩效考核，直接与工作和奖金挂钩，将对违反信息安全管理体系规定进行惩罚。

（3）建立内部审核制度，各部门应按照信息安全管理体系的要求，进行自查和由负责部门进行随时抽查，并在每年定期组织检查，对表现好的单位给予嘉奖，同时对违反的单位进行惩罚，并进行公示；同时对信息安全审计、安全事件处理和外部组织进行反馈沟通，检查信息安全管理体系的有效性和合理性。

（4）考虑组织和技术等的变化对信息安全管理体系的影响，应实时更新相关的规章制度，具体变化情况如：组织变化、技术变革、业务目标流程的改变、新的威胁和风险点的出现、法律法规的变化等；通过不断的优化和改善，使信息安全管理体系能够永远适合企业业务的需要。

3.2 技术角度分析

新版ISO270002控制措施中新增和调整了一些措施，涉及信息系统开发、信息安全事件管理、业务连续性管理等部分，这些要求对软件行业中企业的具体实行至关重要。从技术角度考虑，软件行业企业信息安全管理体系中所需采取的安全技术体系包括几个方面。

3.2.1物理环境安全信息系统硬件安全

这是无论旧版控制措施还是新版都没有丝毫改变的控制项，也是软件行业中企业应加强管理的基础。在公司的信息系统硬件管理上，首先对机房的硬件环境进行安全管理，包括温度、湿度、消防、电力等安全管理，对关键的应用需要采取UPS供电，同时采取相应的备份，对硬件的使用率进行实时地监控，避免硬件的使用率过高造成业务持续性的影响，另外需要对硬件的物理环境进行监控，避免非法人员的进入，同时也是对管理员的日常行动进行监控，最后需要对机房人员和物品的出入进行权限的管理和等级制度。

3.2.2操作系统与应用程序安全

这是新版控制措施新增的安全开发策略和系统开发程序等对企业新的要求，保证操作系统与应用程序的安全会保护企业在系统开发和集成工作的安全开发环境，使企业整个开发周期安全。

（1） 操作系统安全。除了进行必要的补丁和漏洞的管理和更新外，最主要的是进行防病毒管理，通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响；应用程序安全――直接关系信息系统的安全性，通过硬件、软件的安全保护来保证应用程序的安全。

（2） 密码算法技术。密码学在新版控制措施中独立成为一个领域，这就是企业必须要引起重视的理由，密码算法技术，密码算法技术应用主要是确保信息在传送的过程中不被非法的人员窃取、篡改和利用，同时接收方能够完整无误的解读发送者发送的原始信息。

（3） 安全传输技术与安全协议技术。这是针对新增供应关系领域企业需要加强的技术。为减缓供应商以及其他用户访问企业资产带来的风险，对于重要的系统和对外的访问，进行安全的传输技术，以此来保证信息在传输过程中的安全，避免被非法用户窃取、篡改和利用。

（4） 安全协议技术。主要是指身份认证功能，目前企业系统的安全保护主要都是依赖于操作系统的安全，这样入侵系统就非常容易，因此需要建立一套完善的身份认证系统，其目的是保证信息系统能确认系统访问者的真正身份，身份认证协议都是使用数据加密或数字签名等方法来确认消息发送方的身份。

（5） 信息处理设备冗余部署。这在新版控制措施第十七章信息安全方面的业务连续性管理中作为新增的控制措施，要求企业识别信息系统可用性的业务需求，如果现有系统框架不能保证可用性，应该考虑冗余组建或架构。在适当情况下，对冗余信息系统进行测试，保证在发生故障时可以从一个组件顺利切换到另外一个组件。

4 结束语

信息安全管理体系的建设改进工作是持续进行的，是会随着公司业务的发展、技术的更新、以及新标准的要求等不断变化的。它需要采用科学的方法来保证体系的持续稳定运行，从而使信息安全管理体系化、常态化的保持下去。而新版ISO27000在信息安全体系的工作上，使各行各业都有了新的指导。本文主要针对软件行业做出一定解读。总体来讲，我们需要对己经建立的信息安全管理体系进行监督、完善、优化，这实际上还是要求企业贯彻执行PDCA模型，无论从管理还是具体操作上不断进行PDCA循环，才能使得企业信息安全管理体系不断改进和优化。

参考文献

[1] 高仁斗.企业安全工作中存在的问题与对策[J].中国职业安全卫生管理体系认证，2004（05）.

[2] 蒋永康，朱冬林，潘丰.我国中小企业法律法规体系建设现状及对策[J].管理工程师，2012（06）.

[3] 杨爱民.电子商务安全的现状及对策探讨[J].科技资讯，2006.6.

作者简介：

文艳阁（1993-），女，山西孝义人，天津商业大学，本科（在读）。

第6篇：企业信息安全要求范文

早在去年8月份，国家发改委和信息产业部共同宣布组织实施“中小企业信息化推进工程”，这项工程包括万家中小企业的免费培训、百万中小企业上网等，有望大大提高中小企业的信息化水平。此项工程得到了主流电信运营商的鼎立支持，各大运营商都充分利用自己的网络资源优势和客户资源优势推出了自己的中小企业信息化公共服务平台，如广东电信推出的“蓝色魅力”、上海电信推出的“理想商务”平台、江西电信推出的“商务领航”、网通推出的“宽带商务”等。另外，不少地方政府相关部门也推出了中小企业信息化公共服务平台，让中小企业可以低成本地利用信息化手段来提高管理水平和生产率。

所谓中小企业信息化公共服务平台，简称ASP平台，就是让中小企业无需投资昂贵的硬件、软件系统和网络设施，以及配置专业的IT技术人才，只要有电脑上网就可以以浏览器方式登录ASP平台，使用企业信息化所需的所有服务，包括域名注册、企业邮局、虚拟主机、主机托管、网站设计（包括自助生成系统）、供求信息、企业即时通信、网站在线帮助、在线杀毒、客户关系管理（CRM）、进销存管理、办公自动化（针对不同的行业）、供应链管理（SCM）、ERP、商业智能、知识管理、业务流程管理、企业POS、企业服务总线、企业门户、网络传真、网络电话（VoIP）、企业短信和移动办公等。但据有关媒体报道，面对电信运营商和有关政府部门的大投入，中小企业并不买账，出现建设热闹、买单使用少的现象。甚至面对免费赠送，一些中小企业也不愿使用。是中小企业不需要这些信息化服务吗？答案当然是否定的。

笔者认为，主要原因是中小企业用户不信任ASP服务平台。造成这种不信任的一个重要因素是，ASP服务平台的信息安全措施不足以让用户放心地把企业的机密信息（如客户信息、财务信息）放在上面，是这些平台缺乏“安全魅力”。那么，ASP服务平台应该采用哪些技术措施才能让用户放心呢？除了防火墙等必要的网络安全措施外，还需要有确保机密信息安全的技术措施。

首先，ASP平台的所有应用服务器一定要部署全球通用的、支持所有浏览器的、真正 128 位的 SSL 数字证书。这样可以确保用户在使用浏览器登录各个应用系统时，从浏览器到ASP服务器之间所有机密信息的高强度加密传输，从而有效地保证了用户账号、密码和企业机密信息的机密性和完整性，杜绝非法窃听和非法篡改。

其次，ASP平台应为每个平台用户颁发一个全球通用的客户端数字证书（个人数字证书和单位数字证书）。该证书用于登录ASP平台各个应用系统的身份认证和用于每个交易的数字签名，从而杜绝了使用简单的用户名/口令认证系统容易造成的机密信息泄露，同时提供了网上交易不可否认的证据。为了杜绝使用公用电脑（网吧）和专用电脑的间谍软件（木马软件）或其他可能的手段非法使用数字证书问题，推荐对安全要求高的企业用户使用USB Key移动数字证书来确保是真实的用户在合法登录各个应用系统，在登录时把USB Key插入电脑的USB口，退出登录时拔下即可。

另外，ASP平台中涉及到企业核心机密信息的系统（如客户关系管理系统、办公自动化系统）应该使用用户的客户端数字证书来加密存储机密信息。这使得该机密信息只有用户本人使用用户自己的数字证书才能阅读（即使是ASP平台系统管理员也无法看到，因为客户端数字证书在用户手中），ASP平台就像房地产开发商，房子卖或租给用户就要把房子的钥匙给用户，只有用户本人使用该钥匙才能进屋，这个钥匙就是分配给ASP用户的客户端数字证书。只有这样，才能让用户放心地使用ASP平台。

第7篇：企业信息安全要求范文

【关键词】电力企业；网络信息化

【中图分类号】TM73

【文献标识码】A

【文章编号】1672-5158（2012）12-0016-01

1 电力行业网络与信息安全工作开展情况

2000年以来，我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件，造成了不同程度的事故影响，威胁到了电力系统安全稳定运行，同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。

针对类似电力信息安全事件，2002年，原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》，对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后，对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略，并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法，使电力行业网络与信息安全防护的理念更加系统化、具体化，增强了可操作性，电力行业网络与信息安全防护工作进入了实质性建设阶段。

2 目前我国电力信息网络的现状

（一）信息化网络基本形成多年来我国一直非常重视电力行业信息化建设。从目前状况来看，电力企业信息化建设硬件环境已经基本构建完成，硬件设备数量和网络建设状况良好，无论是在生产、调度还是营业等部门都已实现了信息化管理，在网络硬件方面，基本能够保证电力行业工作的正常运转；在软件建设方面，也实现了包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关在内的应用系统设施。电力系统网络化的实现，对保证安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等起到了促进作用。

（二）信息安全仍然存在不可忽视的问题、虽然网络系统已经基本形成，但是信息安全还不尽乐观，主要表现在信息网络安全还没有涉及到各个领域，其发展也是不平衡的。有的电力企业对信息的安全重视不够。如很多电力企业的网络系统还没有防火墙，有的甚至没有数据备份的概念，更没有对网络安全做统一长远的规划，因此，电力企业网络中存在许多隐患。这种安全意识的淡薄，具体工作的不到位，导致了网络信息系统的不完善，给网络的安全带来了很多的不利因素。可以说，目前我国电力系统信息安全体系还不完备，缺乏统一的信息安全管理规范。

（三）对电力系统信息网络的投入不足从目前我国电力行业网络信息的综合情况看，国家对电力行业信息化管理的投入还不均衡，特别是对边远地区的投入还有待加强。与电力行业其它方面的硬件投入相比，对网络信息的投入也不够。这就需要加大投入，以建立一个统一安全的信息网络，以保证电力系统安全。

（四）电力行业的软件开发还不到位由于经费不足等种种原因，软件开发还没有细化。如很多单位的数据库数据和文件都停留在明文存储阶段，以明文形式存储的信息存在泄漏的可能，拿到存储介质的人可以读出这些信息，黑客也可以绕过操作系统，从数据库管理系统的控制处获取信息。再如，用户身份认证基本上采用口令鉴别模式，而这种模式很容易被攻破。还有的应用系统使用自己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中，这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天风险特别大。以上种种情况，究其原因，还是电力软件开发得不够所致，目前的软件还不能完全适应形势的需要和工作的需要。这是个亟待解决的问题，如果这个问题解决不好，会导致大的问题出现。

3 加强电力行业网络信息安全的措施

（一）提高认识，强化信息化安全教育信息网络如何能使用安全，很大程度上在于工作人员的认识程度。安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到电力企业安全策略被理解的程度和被执行的效果。如何能保证网络信息的安全，一个重要的措施就是广泛地进行信息管理人员的培训。为了保证安全的成功和有效，电力行业的管理部门应该及时对企业各级管理人员、用户、技术人员进行安全培训，所有的企业人员必须了解并严格执行电力企业安全策略，要让各级信息管理人员，重点是了解和掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。只有这样，才能保证电力网络信息系统的安全操作。

（二）采取措施，提高信息网安全防护技术水平一是对网络防火墙高度重视。防火墙是电力企业信息网络的唯一出口，所有的访问都将通过防火墙进行，不允许任何绕过防火墙的连接。因此，做好这一通道的把关尤为关键，应该对这方面的技术重视起来，研究出更高水平的防护软件，以适应信息网安全工作的需要。二是对入侵检测系统高度重视。要部署先进的分布式入侵检测构架，保证电力企业信息系统的安全检测。入侵检测系统要采用攻击防卫技术，要具有高可靠性、高识别率、规则更新迅速等特点。三是对网络隐患扫描系统高度重视。扫描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。扫描结束后生成详细的安全评估报告，采用报表和图形的形式对扫描结果进行分析，可以直观地对用户进行安全性能评估和检查。四是对数据加密系统高度重视。要通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，实现对文件访问的控制。对通信安全，采用数据加密，信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。五是对数据库安全高度重视。要通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。总之，网络信息的安全技术对维护网络信息的真正安全尤为重要，因此这方面的工作需要加强。

（三）加大力度，建立统一的信息网防护体系

一是要保证信息管理工作人员体系的相对稳定。防止网络机密泄露，特别是注意人员凋离时的网络机密的泄露。二是完善软件和硬件管理体系。主要是指各种网络设备，网络安全设备的安全策略，如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略管理要切合实际。三是要注意信息介质的安全管理。主要是备份的介质要防止丢失和被盗，报废的介质要及时清除和销毁，特别要注意送出修理的设备上存储信息的安全。

第8篇：企业信息安全要求范文

［关键词］ 桌面安全；大型企业；中国石油

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034

［中图分类号］ F272.7 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）14- 0058- 02

1 引 言

经过数十年的信息安全建设，国内大型企业的网络及应用系统的安全防护能力已经达到一定水平。但是信息安全故障并没有随着信息安全投入的增加而下降。经过统计发现，内部网络和应用系统发生故障的原因少部分是由于网络设备和应用系统自身的问题所引起，更多的是因为内网的其他安全因素导致，如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素，大多来源于用户桌面计算机，桌面安全管理已经是各个企业迫在眉睫的安全建设内容。

2 影响桌面安全的因素

2.1 企业安全组织体系不健全，专职人员缺失

大型企业的业务跨度大，地域分布广。各个二级单位的信息安全水平发展不一。有的二级单位信息部门职工上千名，有的单位却没有独立的信息部门。但所有的二级单位都统一在企业内网中运行，各类统建系统在所有二级单位中运行。对于没有没有独立的信息部门的二级单位 ，更没有负责安全体系建设、运行和管理的专职机构及人员，兼职安全管理员有责无权的现象普遍存在，依据“短板”理论，极易从信息安全力量较弱的单位为突破口，进而影响到整个企业信息安全。特别是信息安全技术的快速发展，信息安全人员需不断提升自身素质，加强业务水平，才能保证桌面安全运行。

2.2 企业职工计算机缺乏安全加固手段

尽管多数大型企业对桌面计算机的安全加固已经采取了部分安全措施，如安装防病毒软件和个人防火墙软件，甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描，督促用户及时更新操作系统补丁。但是，首先由于企业规模较大，管理者无法保证所有的终端用户都安装了防病毒软件和防火墙软件。其次，即便安装了这些防护软件，用户也常常因为各种原因无法及时更新病毒库。另外，系统漏洞扫描虽然可以获得桌面计算机的补丁缺失情况，但是却缺乏有效的补丁安装手段。所有这些因素，均导致桌面计算机的安全无法得到有效的保障。

2.3 企业职工计算机缺少有效的接入控制手段

对于大型企业，内网计算机数量众多且分布地域广阔。网络管理人员很难统计内网计算机的确切数量，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。这种状况下，很难控制外来人员随意的计算机接入。很容易导致企业内网机密信息的泄漏，往往等泄密事件发生了，却还无法判断到底是哪一个环节出了差错。另外，对于内网授权使用的计算机，任何一台感染了病毒和木马，网络管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网。对安全强度差的桌面计算机缺乏有效的安全状态检测和内网接入控制，是导致内网安全事件不断发生的重要原因之一。

3 大型企业桌面安全管理建设

中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中都名列前茅，“十一五”期间，将企业信息安全保障体系建设列入信息化整体规划中，并逐步实施，其中桌面安全管理建设是信息安全保障体系建设的重点工作，从组织、管理及技术3个方面进行全面建设。

3.1 完善安全组织体系建设

中国石油建立三级的终端安全组织架构，分别为石油总部、地区公司、地区二级单位。终端安全组织在每一级设立专门的组织，明确主管领导，确定组织责任，设置相应岗位，配备必要人员。其中集团信息化领导小组是信息系统安全工作的最高决策机构，信息管理部是集团公司信息系统安全的归口管理部门，负责落实信息化工作领导小组的各项决策。企事业单位信息部门负责本单位信息系统安全的管理，并设立信息系统安全管理、审计、技术岗位，包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员，重要岗位设置两名员工互为备份。

3.2 强化安全管理体系建设

安全管理体系从管理制度、培训教育、运行管理及检查考核4方面进行强化。①管理制度。根据中国石油信息安全的需求，分阶段逐步制定并完善信息系统安全管理的规章制度，加大整个信息安全制度体系的贯彻执行力度，才能使安全防护能力得到不断的提高，整体信息安全才能落到实处。②培训教育。信息安全培训涉及信息安全法律法规、信息安全事件案例等多方面，通过培训一方面提高企业员工的安全意识，使员工自觉约束自我行为，遵守各项信息安全规章制度、标准规范；另一方面及时掌握必要的信息安全技术知识和技能，在实际工作中充分利用技术手段保障信息安全。③运行管理。 通过统一设计、统一平台，统一硬件体系架构，建立中石油桌面运行管理系统。采用三级架构，分别在总部、区域数据中心部署服务器和管理软件，各企事业单位的桌面计算机安装客户端软件，整个运行管理由防病毒子系统、补丁分发子系统、端点准入子系统、电子文档保护子系统、后台管理子系统组成。其中通过端点准入防御系统，只有符合安全要求且通过用户认证的计算机才能接入内部网络使用，防止“危险”、“易感”终端接入网络，控制病毒、蠕虫的蔓延。补丁管理系统与防病毒系统相结合，实时监测和杀除病毒，实现对漏洞、病毒及恶意代码的管理和控制，电子文档保护子系统、后台管理子系统增强系统及电脑文档的安全性。④检查考核。信息管理部门定期进行信息系统安全检查与考核，包括信息系统安全政策与标准的培训与执行情况、重大信息系统安全事件及整改措施落实情况、现有信息系统安全措施的有效性、信息系统安全技术指标的完成情况。各企事业单位信息部门按照本办法和《集团公司信息系统运行维护管理办法》进行信息系统安全自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。

3.3 增强桌面安全技术建设

桌面安全技术指物理安全、逻辑安全及运行安全三大模块，通过与企业内控管理进行有机结合，依据《中国石油天然气集团公司信息系统总体控制实施要求》，严格执行相关操作规范，其中物理安全指进入机房的物理安全访问控制机制、设备的物理安全管理、敏感的纸质系统文件管理。逻辑安全包括系统登录身份验证、用户账号及特权用户账户管理、密码管理、用户权限管理、终端合规性管理等。运行安全包括病毒防护及病毒事件的处理、安全系统的备份与恢复、应急事件的处理。

4 结束语

随着信息技术应用的不断深入，国内大型企业信息系统集中程度不断提高，业务对信息系统依赖程度的不断加大，迫切需要建立与业务发展和信息化水平相适应的信息安全体系。与此同时，国家了一系列相关文件，提出对涉及国家安全、经济命脉、社会稳定的重点行业、企业的关键信息系统实施信息安全等级保护等要求。桌面安全责任也日益增大。只有通过从组织、管理、技术全面建设，才能有效提升桌面计算机抵御安全威胁的能力，提高桌面安全管理水平，达到桌面计算机有防护、有检测、可控制、可审计，建设统一桌面安全管理系统，中石油通过两年的桌面安全建设，取得了良好效果。

主要参考文献

［1］孙海.医院桌面终端信息安全管理思考 ［J］．现代医院，2011（5）.

第9篇：企业信息安全要求范文

【关键词】电力 信息化管理 研究

中图分类号： F406 文献标识码： A 文章编号：

1 我国电力企业信息化发展的特征

1.1信息化基础设施相对完善

我国电力企业信息化起源于20世纪60年代，电力行业相比其他行业的信息化进程较为领先。目前，电力系统的计算机装备水平已大大提高，中小型机、微型计算机装备级别不断更新提高，路由器、交换机等网络设备数量增加较快。

1.2电力调度自动化系统应用成熟

对于电网企业，提高电力调度自动化水平、提高电网运行质量是信息化建设的重点方向。目前电力调度自动化的各种系统，如SCADA、AGC、以及EMS等系统已建成，省电力调度机构全部建立了SCADA系统，电网的三级调度100%实现了自动化。我国电厂、电力调度的自动化水平达到国际先进水平。

1.3电力营销管理系统得到广泛应用

为适应电力市场化改革的需求，为客户提供更好的服务，原国家电力公司在2002年提出改革传统供电营销管理模式，实施电力营销全过程的计算机网络化改造。各省公司供电局响应这种要求，普遍建立了用电管理信息系统，地（市）级供电企业基本实现了业务受理的计算机化。

1.4管理信息系统的建设与应用

管理信息系统（MIS）建设初具规模，建立了办公自动化系统、综合指标查询系统，开发了计划统计管理、人事劳资管理、生产管理、设备管理、安全监督管理、电力负荷管理、营销管理、燃料管理、工程管理、财务管理、电网实时信息等应用系统为主要功能的网络化的企业管理信息系统，实现办公环境网络化和计算机化。

1.5信息化机构建设尚需进一步健全

长期以来，信息部门在电力公司没有一个专门机构配置，没有规范的建制和岗位，信息化作为一项系统工程，需要专门的机构来推进和企业各个部门的配合。在当前企业信息化发展形势下，这种状况势必不能适应信息化对人才、机构的要求。

1.6信息安全管理是电力企业信息化重点

电力信息网络已经深入到电力生产和管理的全过程，涉及到电力生产的各个层面，电力生产与管理对其依赖性日益增大。因此对于信息系统的安全要求也更加提高，信息安全已纳入到企业安全生产管理中。

2 电力企业信息化管理存在的问题

2.1规划缺失导致信息化缺乏系统性

我国电力企业在不同时期不同部门为了满足业务需要而进行了一系列信息系统建设，到目前为止，这些大大小小的信息系统数量众多。由于这些系统都是在未经科学合理的整体规划下建成的，各系统之间缺乏联系，信息不同共享，业务不能协同开展，对企业管理决策的作用十分有限。

2.2 电力行业信息化缺乏统一的标准体系

目前，电力行业信息化尚未制定统一的信息化标准体系，电力企业内部信息系统的信息编码、技术标准、规范也不统一。这就造成企业内部“信息孤岛”无处不在、系统不能集成、资源不能共享的局面，严重制约企业信息化建设和应用。

2.3 电力企业管理模式阻碍了信息化的快速发展

电力行业长期的垄断性经营导致了其特有的经营管理模式：重安全生产、轻企业管理，条块分割、信息分散，以安全生产为中心的意识深深植入电力企业的领导、职工的观念中。当前，电力行业竞争机制正在逐渐建立，电力企业面对竞争需要提升管理水平，信息化建设正是提升管理水平的有力途径。

2.4信息系统建设缺乏统一规划，统一组织的力度不强

信息化的开展往往是想到哪干到那，硬件设施更新快，应用系统成功使用不多，信息化发展不平衡，各区域信息化水平差异较大，在一定程度上阻碍了信息化的集约发展和整体应用水平的提高。此外，信息化组织建设滞后不利于信息化的推进

2.5 硬件与软件投入上存在“重硬轻软”

由于对信息化认识上的误区，部分电力企业认为搞信息化主要就是买机器、建网络，表现出一定程度的“重硬轻软”情结。这种做法的结果是硬件设施脱离了软件系统，从而硬件也发挥不出应有的作用，信息化建设没有成效。

2.6企业信息系统孤立存在不能发挥整合效益

目前电力企业的生产自动化系统与管理信息系统处于相互分离状态，彼此不能有效结合，不能实现管控一体化，数据信息不能集成共享，不利于实现企业的综合管理。此外，由于缺乏总体数据规划、数据整合，存在或多或少的“信息孤岛”，部分数据有冗余和二意性，不能融合到整个管理信息平台上。

3 电力行业信息化管理发展趋势

3.1信息化观念由重视生产自动化向重视管理信息化转变，表现为由“硬”到“软”。

3.2应用模式由管控分离向信息一体化转变，即实现生产实时信息与管理信息的集成。

3.3应用架构由分散应用向整合应用转变，即从部门级单项应用到企业级涵盖生产、营销及财务、人事、设备等环节的整体应用。

3.4数据管理由分散管理向集中管理转变，形成信息共享、增值的机制,适应企业业务处理和经营运作快捷化、实时化的要求。

3.5实施模式由“用户－供应商”模式向“用户－咨询/监理商－供应商”模式转变，保证企业信息化切实从用户需求出发，控制信息化建设的质量和风险。

4 提高电力行业信息化管理策略研究

4.1构建系统、完善的电力行业信息化架构

电力信息化的核心是由各方面建设内容构成的一个系统的、完整的架构。从以下六方面入手进行完善。

4.1.1应用功能架构：从业务运作与管理决策的需求出发，分析功能需求，建立企业信息化的功能模型。

4.1.2信息资源架构：对企业业务与管理活动涉及的信息进行分析、规划，抽象提炼出信息分类体系，提供使用、共享、集成和管理信息的策略。

4.1.3应用系统架构：基于应用功能架构构建实现信息化功能的应用系统及其相互集成的模型。

4.1.4系统平台架构：即支撑应用系统运行的操作系统平台、数据库平台、应用服务平台框架。

4.1.5网络与基础设施架构：规划、选择企业信息系统运行的基础网络与设施，保证信息系统高效、稳定、安全运行。

4.1.6信息安全架构：构建从网络设备层、系统层到应用层的系统安全和科学的安全管理体系。

4.2以专业化的规划为指导，制定企业信息化的顶层设计蓝图。电力集团以信息化整合产业链的资源，增强整体价值链的综合竞争优势。

4.3中小型电力企业以信息化规范管理、提高效率、增强对市场的响应能力和速度；以信息化带动管理创新，以管理创新促进信息化，实现电力企业价值链的协同化运作，以整合化的系统应用为目标，促进信息化的价值实现，推动电力企业综合竞争力的提升。

4.4以需求为导向，充分开发利用电力系统内部信息资源，有效整合电力企业现有信息资源，积极搜集各类电力信息，完善全国电力信息资源开发利用的保障体系，形成集中、统一、稳定的信息采集渠道，基本形成覆盖全行业各门类的信息资源共享机制。

4.5在信息资源集成的基础上，逐步建立多种形式的决策咨询机制和完善的企业辅助决策支持系统；研究典型电力企业的业务流程重组(BPR)，塑造科学合理的电力企业业务流程，为顺利实施企业ERP系统奠定坚实的基础；配合电力体制改革进程，推动企业网上竞价系统和电子商务平台的实施工作。

4.6大力推进信息系统联网，加大应用整合力度，实现部分关键业务系统的应用集成，构建统一的应用系统总体框架和企业信息门户(EIP)平台，在多个企业应用之间实现无缝集成，切实解决现存的“信息孤岛”、重复建设等问题，为信息资源的整合和综合利用奠定基础。