對集團(tuán)公司信息安全工作的建議

1、關(guān)于集團(tuán)公司信息安全建設(shè)的建議（提綱）（分子公司名稱）一、本公司系統(tǒng)信息安全現(xiàn)狀二、關(guān)于集團(tuán)公司信息安全建設(shè)指導(dǎo)思想、目標(biāo)、原則的建議三、關(guān)于集團(tuán)公司信息安全策略的建議四、關(guān)于集團(tuán)公司信息安全體系的建議五、關(guān)于集團(tuán)公司信息安全建設(shè)內(nèi)容的建議（一）信息安全管理體系方面的建議（二）信息安全技術(shù)體系方面的建議（三）信息系統(tǒng)運(yùn)維安全方面的建議（四）信息項目建設(shè)與報廢安全方面的建議（五）信息安全平臺建設(shè)方面的建議（六）其它方面的建議六、關(guān)于集團(tuán)公司信息安全建設(shè)保障措施的建議1、加強(qiáng)對集團(tuán)公司信息化建設(shè)的領(lǐng)導(dǎo)。由集團(tuán)公司領(lǐng)導(dǎo)掛帥， 成立“信息安全管理組織” ，推行信息安全管理制度。這個組織是集團(tuán)公司在信息

2、系統(tǒng)安全方面的最高權(quán)力組織。信息安全是所有管理層成員所共有的責(zé)任，一個管理組織應(yīng)確保有明確的安全目標(biāo)。信息化建設(shè)必須由集團(tuán)公司領(lǐng)導(dǎo)親自 抓、親自參與，否則投入再大，做的再好，也有可能失敗。2、建立信息系統(tǒng)的安全風(fēng)險評估機(jī)制。 網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)應(yīng)該建立在風(fēng)險評估的基礎(chǔ)上， 這是信息化建設(shè)的內(nèi)在要求，集團(tuán)公司主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全評估 工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險評估、風(fēng)險管理的手段，才能避免重復(fù)建設(shè) 和投資的浪費(fèi)。3、提供足夠的資金保障。集團(tuán)公司應(yīng)該在每年的預(yù)算中規(guī)劃出一定數(shù)額的資金，專款專用，以 保證集團(tuán)信息化建設(shè)資金投入的需要。同時，集

3、團(tuán)公司在進(jìn)行基本建設(shè)和技術(shù)改造時，要充分考慮信 息化的需求。4、加強(qiáng)設(shè)備保障。設(shè)備指與信息化相關(guān)的所有軟硬件設(shè)備。引進(jìn)的硬件和軟件應(yīng)統(tǒng)一納入職能 部門固定資產(chǎn)管理范疇。引進(jìn)軟件要和軟件正版化規(guī)劃一起考慮；引進(jìn)硬件和計算機(jī)設(shè)備升級換代一 起考慮，實現(xiàn)設(shè)備管理規(guī)范化。確保集團(tuán)信息化建設(shè)必須的設(shè)備及時到位。5、加強(qiáng)集團(tuán)信息化人才隊伍的建設(shè)。制定吸引、穩(wěn)定信息化人才的措施，以確保人才不外流。 建立多層次、多渠道、重實效的信息化人力資源培養(yǎng)制度和考核機(jī)制。七、關(guān)于集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊修訂的建議1、制定集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊應(yīng)包含以下主要內(nèi)容：有主要領(lǐng)導(dǎo)負(fù)責(zé)的逐級安 全保護(hù)管理責(zé)任制，配備專職的

4、信息安全管理人員，各級職責(zé)劃分明確，并有效開展工作；明確 運(yùn)行和使用部門或崗位責(zé)任制， 建立信息安全管理規(guī)章制度； 在職工群眾中普及網(wǎng)路與信息安全 知識，對重點崗位職工進(jìn)行專門培訓(xùn)和考核；采取必要的安全技術(shù)措施；對出現(xiàn)的網(wǎng)絡(luò)與信息安 全問題應(yīng)有文檔記錄和應(yīng)對措施； 定期進(jìn)行網(wǎng)絡(luò)與信息安全檢查、 風(fēng)險分析及出現(xiàn)的隱患進(jìn)行整 改；實行信息安全等級保護(hù)制度。2 、在集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊中，還應(yīng)制定系統(tǒng)運(yùn)行情況記錄制度。1 ）、數(shù)據(jù)量處理：包括系統(tǒng)每天運(yùn)行的時間、處理內(nèi)容、數(shù)據(jù)吞吐量等內(nèi)容，這些資料是反應(yīng)信息系統(tǒng)軟硬 件功能和狀態(tài)最基本的數(shù)據(jù)。 2）、數(shù)據(jù)處理效率：如果信息安全管理人員“感覺”數(shù)

5、據(jù)處理速度 明顯變慢，那么就可以通過對歷史記錄的分析，找出可能的原因，并一一排除。3）、系統(tǒng)的故障及維修情況：無論系統(tǒng)故障大小，都應(yīng)該及時地記錄故障發(fā)生的時間、故障的現(xiàn)象、故障發(fā)生時的工作環(huán)境、處理方法、處理結(jié)果、處理人員、善后措施、原因分析等，這有利于信息管理人員 對系統(tǒng)的評價及提出進(jìn)一步擴(kuò)展完善建議。3、集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊要不斷的補(bǔ)充和完善。集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊是集 團(tuán)信息化建設(shè)的重要組成部分，它是集團(tuán)公司信息化建設(shè)過程中形成、積累的，是以文字、圖紙、 表格等多種形式記錄了集團(tuán)信息化的建設(shè)發(fā)展過程。所以要不斷的對集團(tuán)公司網(wǎng)絡(luò)與信息安全手 冊進(jìn)行補(bǔ)充和完善，來滿足集團(tuán)公司信息化

6、不斷發(fā)展建設(shè)的需要。八、其它有關(guān)集團(tuán)公司信息安全建設(shè)的建議1、要從技術(shù)手段上保證集團(tuán)信息化的安全。集團(tuán)信息化建設(shè)由于其本身開放性所帶來的各個方面的安全問題是事實存在的。集團(tuán)公司應(yīng)該正視這一事實的基礎(chǔ)上，承認(rèn)不可能有絕對安全的網(wǎng)絡(luò)系統(tǒng)的前提下，努力探討如何加強(qiáng)網(wǎng)絡(luò)安全防范性能，如何通過安全系列軟件、硬件及相關(guān)管理手段提 高網(wǎng)絡(luò)信息系統(tǒng)的安全性能，降低安全風(fēng)險，及時準(zhǔn)確地掌握網(wǎng)絡(luò)信息系統(tǒng)的安全問題及薄弱環(huán)節(jié)， 及早發(fā)現(xiàn)安全漏洞、攻擊行為井針對性地做出預(yù)防處理。2、要建立、健全集團(tuán)信息化安全管理制度。集團(tuán)信息化建設(shè)的安全，在很大程度上依賴于最初 設(shè)計時制定的網(wǎng)絡(luò)信息系統(tǒng)安全策略及相關(guān)管理策略。因為所

7、有安全技術(shù)和手段，都圍繞這一策略來 選擇和使用，如果在安全管理策略上出了問題，相當(dāng)于沒有安全系統(tǒng)。同時，從大角度來看，集團(tuán)信 息化建設(shè)安全與嚴(yán)格、完善的管理是密不可分的。在集團(tuán)信息化建設(shè)安全領(lǐng)域，技術(shù)手段和相關(guān)安全 工具只是輔助手段，離開完善的管理制度與措施，是沒法發(fā)揮應(yīng)有的作用并建設(shè)良好的網(wǎng)絡(luò)信息安全 空間的。集團(tuán)信息化建設(shè)一項重要而且長期的工作，為此必須建立一個信息安全工作的組織體系和常 設(shè)機(jī)構(gòu)，明確領(lǐng)導(dǎo)，設(shè)立專責(zé)人長期負(fù)責(zé)信息安全的管理工作和技術(shù)工作，才能取得好的成績。3、對集團(tuán)信息化建設(shè)要定期評估，不斷的發(fā)展，改進(jìn)，完善。集團(tuán)信息化應(yīng)用是隨著集團(tuán)的發(fā) 展而不斷發(fā)展的，信息技術(shù)更是日新月

8、異的發(fā)展的，安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜，在研制開發(fā)過 程中不可避免的會出現(xiàn)這樣或者那樣的問題，這就決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各 種已知的，未知的信息安全威脅。安全的需求也是逐步變化的，新的安全問題也會隨著集團(tuán)信息化建設(shè)過程中不斷產(chǎn)生，原來建設(shè) 的防護(hù)系統(tǒng)可能都不滿足在新形勢下的安全需要，這些都決定了信息安全建設(shè)是一個動態(tài)過程。需要 集團(tuán)信息管理人員定期對信息網(wǎng)絡(luò)安全狀況進(jìn)行評估，改進(jìn)安全方案，調(diào)整安全策略。還有不是所有 的信息安全問題都能一次解決，集團(tuán)信息化管理人員要對信息安全問題的認(rèn)識要隨著技術(shù)和應(yīng)用的發(fā) 展而不斷的提高。同時集團(tuán)信息化管理人員也要明白一個道理，市場上信息安全生產(chǎn)廠家所生產(chǎn)的安全系統(tǒng)和設(shè) 備，也僅僅是滿足某一些方面的安全需