對集團公司信息安全工作的建議

1、關(guān)于集團公司信息安全建設(shè)的建議（提綱）（分子公司名稱）一、本公司系統(tǒng)信息安全現(xiàn)狀二、關(guān)于集團公司信息安全建設(shè)指導(dǎo)思想、目標、原則的建議三、關(guān)于集團公司信息安全策略的建議四、關(guān)于集團公司信息安全體系的建議五、關(guān)于集團公司信息安全建設(shè)內(nèi)容的建議（一）信息安全管理體系方面的建議（二）信息安全技術(shù)體系方面的建議（三）信息系統(tǒng)運維安全方面的建議（四）信息項目建設(shè)與報廢安全方面的建議（五）信息安全平臺建設(shè)方面的建議（六）其它方面的建議六、關(guān)于集團公司信息安全建設(shè)保障措施的建議1、加強對集團公司信息化建設(shè)的領(lǐng)導(dǎo)。由集團公司領(lǐng)導(dǎo)掛帥， 成立“信息安全管理組織” ，推行 信息安全管理制度。這個組織是集團公司在信

2、息系統(tǒng)安全方面的最高權(quán)力組織。信息安全是所有管理 層成員所共有的責任，一個管理組織應(yīng)確保有明確的安全目標。信息化建設(shè)必須由集團公司領(lǐng)導(dǎo)親自 抓、親自參與，否則投入再大，做的再好，也有可能失敗。2、建立信息系統(tǒng)的安全風險評估機制。 網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)應(yīng)該建立在風險評估的基礎(chǔ)上， 這是信息化建設(shè)的內(nèi)在要求，集團公司主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全評估 工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運用風險評估、風險管理的手段，才能避免重復(fù)建設(shè) 和投資的浪費。3、提供足夠的資金保障。集團公司應(yīng)該在每年的預(yù)算中規(guī)劃出一定數(shù)額的資金，專款專用，以 保證集團信息化建設(shè)資金投入的需要。同時

3、，集團公司在進行基本建設(shè)和技術(shù)改造時，要充分考慮信 息化的需求。4、加強設(shè)備保障。設(shè)備指與信息化相關(guān)的所有軟硬件設(shè)備。引進的硬件和軟件應(yīng)統(tǒng)一納入職能部門固定資產(chǎn)管理范疇。引進軟件要和軟件正版化規(guī)劃一起考慮；引進硬件和計算機設(shè)備升級換代一 起考慮，實現(xiàn)設(shè)備管理規(guī)范化。確保集團信息化建設(shè)必須的設(shè)備及時到位。5、加強集團信息化人才隊伍的建設(shè)。制定吸引、穩(wěn)定信息化人才的措施，以確保人才不外流。 建立多層次、多渠道、重實效的信息化人力資源培養(yǎng)制度和考核機制。七、關(guān)于集團公司網(wǎng)絡(luò)與信息安全手冊修訂的建議1、制定集團公司網(wǎng)絡(luò)與信息安全手冊應(yīng)包含以下主要內(nèi)容：有主要領(lǐng)導(dǎo)負責的逐級安全保護管理責任制，配備專職的

4、信息安全管理人員，各級職責劃分明確，并有效開展工作；明確運行和使用部門或崗位責任制，建立信息安全管理規(guī)章制度；在職工群眾中普及網(wǎng)路與信息安全知識，對重點崗位職工進行專門培訓(xùn)和考核；采取必要的安全技術(shù)措施；對出現(xiàn)的網(wǎng)絡(luò)與信息安 全問題應(yīng)有文檔記錄和應(yīng)對措施；定期進行網(wǎng)絡(luò)與信息安全檢查、風險分析及出現(xiàn)的隱患進行整 改；實行信息安全等級保護制度。2、在集團公司網(wǎng)絡(luò)與信息安全手冊中，還應(yīng)制定系統(tǒng)運行情況記錄制度。1 ）、數(shù)據(jù)量處理：包括系統(tǒng)每天運行的時間、處理內(nèi)容、數(shù)據(jù)吞吐量等內(nèi)容，這些資料是反應(yīng)信息系統(tǒng)軟硬 件功能和狀態(tài)最基本的數(shù)據(jù)。 2）、數(shù)據(jù)處理效率：如果信息安全管理人員“感覺”數(shù)據(jù)處理速度明顯

5、變慢，那么就可以通過對歷史記錄的分析，找出可能的原因，并一一排除。3）、系統(tǒng)的故障及維修情況：無論系統(tǒng)故障大小，都應(yīng)該及時地記錄故障發(fā)生的時間、故障的現(xiàn)象、故障發(fā)生時 的工作環(huán)境、處理方法、處理結(jié)果、處理人員、善后措施、原因分析等，這有利于信息管理人員 對系統(tǒng)的評價及提出進一步擴展完善建議。3、集團公司網(wǎng)絡(luò)與信息安全手冊要不斷的補充和完善。集團公司網(wǎng)絡(luò)與信息安全手冊是集 團信息化建設(shè)的重要組成部分，它是集團公司信息化建設(shè)過程中形成、積累的，是以文字、圖紙、 表格等多種形式記錄了集團信息化的建設(shè)發(fā)展過程。所以要不斷的對集團公司網(wǎng)絡(luò)與信息安全手 冊進行補充和完善，來滿足集團公司信息化不斷發(fā)展建設(shè)的

6、需要。八、其它有關(guān)集團公司信息安全建設(shè)的建議1、要從技術(shù)手段上保證集團信息化的安全。集團信息化建設(shè)由于其本身開放性所帶來的各個方面的安全問題是事實存在的。集團公司應(yīng)該正視這一事實的基礎(chǔ)上，承認不可能有絕對安全的網(wǎng)絡(luò)系統(tǒng)的前提下，努力探討如何加強網(wǎng)絡(luò)安全防范性能，如何通過安全系列軟件、硬件及相關(guān)管理手段提 高網(wǎng)絡(luò)信息系統(tǒng)的安全性能，降低安全風險，及時準確地掌握網(wǎng)絡(luò)信息系統(tǒng)的安全問題及薄弱環(huán)節(jié)，及早發(fā)現(xiàn)安全漏洞、攻擊行為井針對性地做出預(yù)防處理。2、要建立、健全集團信息化安全管理制度。集團信息化建設(shè)的安全，在很大程度上依賴于最初 設(shè)計時制定的網(wǎng)絡(luò)信息系統(tǒng)安全策略及相關(guān)管理策略。因為所有安全技術(shù)和手段

7、，都圍繞這一策略來 選擇和使用，如果在安全管理策略上出了問題，相當于沒有安全系統(tǒng)。同時，從大角度來看，集團信 息化建設(shè)安全與嚴格、完善的管理是密不可分的。在集團信息化建設(shè)安全領(lǐng)域，技術(shù)手段和相關(guān)安全 工具只是輔助手段，離開完善的管理制度與措施，是沒法發(fā)揮應(yīng)有的作用并建設(shè)良好的網(wǎng)絡(luò)信息安全 空間的。集團信息化建設(shè)一項重要而且長期的工作，為此必須建立一個信息安全工作的組織體系和常 設(shè)機構(gòu)，明確領(lǐng)導(dǎo)，設(shè)立專責人長期負責信息安全的管理工作和技術(shù)工作，才能取得好的成績。3、對集團信息化建設(shè)要定期評估，不斷的發(fā)展，改進，完善。集團信息化應(yīng)用是隨著集團的發(fā) 展而不斷發(fā)展的，信息技術(shù)更是日新月異的發(fā)展的，安全

8、防護軟件系統(tǒng)由于技術(shù)復(fù)雜，在研制開發(fā)過 程中不可避免的會出現(xiàn)這樣或者那樣的問題，這就決定了安全防護系統(tǒng)和設(shè)備不可能百分百的防御各種已知的，未知的信息安全威脅安全的需求也是逐步變化的，新的安全問題也會隨著集團信息化建設(shè)過程中不斷產(chǎn)生，原來建設(shè) 的防護系統(tǒng)可能都不滿足在新形勢下的安全需要，這些都決定了信息安全建設(shè)是一個動態(tài)過程。需要 集團信息管理人員定期對信息網(wǎng)絡(luò)安全狀況進行評估，改進安全方案，調(diào)整安全策略。還有不是所有 的信息安全問題都能一次解決，集團信息化管理人員要對信息安全問題的認識要隨著技術(shù)和應(yīng)用的發(fā) 展而不斷的提高。同時集團信息化管理人員也要明白一個道理，市場上信息安全生產(chǎn)廠家所生產(chǎn)的安全系統(tǒng)和設(shè) 備，也僅僅是滿足某一些方面