信息安全建設(shè)工作思路探討_第1頁
信息安全建設(shè)工作思路探討_第2頁
信息安全建設(shè)工作思路探討_第3頁
信息安全建設(shè)工作思路探討_第4頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、信息安全建設(shè)工作思路探討 摘要:隨著互聯(lián)網(wǎng)+飛速發(fā)展,電子業(yè)務(wù)的不斷創(chuàng)新發(fā)展,加強信息安全建設(shè)逐漸成為各項工作中的頭等大事。本文重點分析了目前信息安全建設(shè)方面存在的不足和缺失,以及下階段如何開展工作不斷強化人員安全意識,加強信息安全建設(shè)工作,以保障信息化建設(shè)安全運行,各項工作順利開展,順應(yīng)時代的大步伐跨越式發(fā)展。 關(guān)鍵詞:信息安全;信息科技風險;管理體系 1信息安全建設(shè)現(xiàn)狀 現(xiàn)行制度方面,現(xiàn)行有效制度涵蓋軟件開發(fā)、軟硬件運維、應(yīng)急管理、安全操作、外包管理、供應(yīng)商管理等方面,覆蓋面較為全面,但是缺乏體系,沒有根據(jù)一個標準系統(tǒng)的制定出一整套操作性強、執(zhí)行性強的制度體系。上報機制方面,目前采取信息處

2、內(nèi)部逐級上報機制,即發(fā)現(xiàn)問題上報至科長,科長根據(jù)重要等級不同決定上報給處長、主管主任、信息科技委員會。內(nèi)部評審方面,現(xiàn)階段只針對現(xiàn)行制度對文檔的完整性和準確性進行事后自評,定期配合外部審計機構(gòu)進行專項審計;監(jiān)控平臺只對機房環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)及系統(tǒng)軟件進行實時監(jiān)控。信息科技風險評估方面,根據(jù)國家標準從信息資產(chǎn)、威脅、脆弱性的識別、風險值評估、風險項統(tǒng)計分析、總體評價和不可接受風險處理等7個方面,對整體信息化系統(tǒng)包含的硬件設(shè)備、軟件系統(tǒng)、數(shù)據(jù)信息和管理制度等內(nèi)容進行了全面的評估,每半年上報一次信息科技風險報告,并制定相應(yīng)的整改計劃。 2信息安全建設(shè)存在的問題 21管理制度建立不完善 目前,在信息

3、科技風險的上報機制、自評機制和監(jiān)控機制都存在著不同程度上有所缺失,例如尚未建立雙向上報機制;自評范圍不全面,缺少對數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)等的覆蓋;缺少殘余信息科技風險的控制緩釋措施及評價流程。同時,現(xiàn)有信息科技風險管理制度的完整性、可操作性需要進一步改進。 22信息安全意識不強 職工信息安全意識較為缺乏,沒能把信息安全意識變成一種習慣、一種常態(tài)化的意識真正融入到日常的工作生活中,沒能真正意識到加強信息安全的重要程度。 3信息安全建設(shè)工作思路 隨著互聯(lián)網(wǎng)+迅猛發(fā)展,加強信息安全建設(shè)日益重要,我認為應(yīng)從加強安全審計、建立風險上報機制、強化信息安全管理、科技信息風險防范等四個方面不斷加強信息安

4、全建設(shè)工作: 31分析差距,完善內(nèi)審監(jiān)控管理體系 按照信息安全管理體系iso27001標準梳理現(xiàn)狀,認真分析研究,查找存在的差距,制定信息安全內(nèi)控操作規(guī)程,針對軟件開發(fā)、軟件運維、硬件管理各項工作中具體內(nèi)控操作流程制定信息安全審計依據(jù)??陕?lián)合相關(guān)處室,定期組織信息安全內(nèi)部審計,建立事前預警、事后考評的整套內(nèi)審監(jiān)控管理體系,對潛在的信息風險進行有效控制。 32安全防控,建立風險上報長效機制 依據(jù)cia屬性對現(xiàn)有信息資產(chǎn)按照實物資產(chǎn)、人員資產(chǎn)、數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)進行分類賦值,識別信息資產(chǎn)面臨的威脅與弱點,推導出信息資產(chǎn)面臨的安全風險,提出相應(yīng)的安全措施并制定整改計劃。另外,建立風險點上報

5、機制,各個分管機構(gòu)風險管理員負責收集存在的風險點隱患并及時上報信息處、風險處,由信息處匯總風險點,雙向上報給風險處及相關(guān)領(lǐng)導,針對風險點中提出的問題及時跟進,并協(xié)調(diào)相關(guān)處室進行有效處理。 33強化意識,緊抓信息安全管理 針對目前職工信息安全意識較為薄弱的現(xiàn)狀,一是借助官方網(wǎng)站、微博、月刊、簡報等宣傳載體,開展形式多樣的信息安全的宣傳教育活動,讓每名干部職工時刻緊繃信息安全這根弦;二是邀請專家定期組織信息安全培訓,普及安全應(yīng)用技術(shù),強化全員的安全責任和意識。三是結(jié)合各部門信息安全工作實際,就一段時期內(nèi)容易產(chǎn)生的安全問題組織不定期的安全技術(shù)人員專題講座,提高信息網(wǎng)絡(luò)安全管理人員的能力。 34抓好關(guān)鍵,確保信息安全工作無死角 一是抓好關(guān)鍵部位的安全。按照影響的重要程度劃分,重點加強對互聯(lián)網(wǎng)和未來電子業(yè)務(wù)的安全監(jiān)控,并定期進行安全掃描和測評,保證關(guān)鍵設(shè)備關(guān)鍵系統(tǒng)的安全運行。二是抓好關(guān)鍵時間的安全。針對管理現(xiàn)狀,我建議增加對值班人員的監(jiān)督管理,加強對交接班以及節(jié)假日關(guān)鍵時間節(jié)點的安全監(jiān)控;三是抓好關(guān)鍵崗位人員的安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論