信息安全管理體系建立方案

信息安全管理體系建立方案(初稿)信息技術部2012年2月

隨著企業(yè)的發(fā)展狀大，信息安全逐漸被集團高層所重視，但直到目前為止還沒有一套非常完善的信息安全管理方案，而且隨著新技術的不斷涌現(xiàn)，安全防護又如何能做到一勞永逸的堅守住企業(yè)信息安全的大門便成為每個信息技術部門永恒不變的課題。作為天一藥業(yè)集團的新興部門，信息技術部存在的意義絕對不是簡單的電腦維修，它存在的意義在于要為企業(yè)建設好信息安全屏障，保護企業(yè)的信息安全，同時通過信息交互平臺，簡化辦公流程，提高工作效率，這才是部門存在的目的和意義，信息技術部通過不斷的學習，研究，通過大量的調研，終于開始著手建立屬于天一藥業(yè)自己的信息堡壘。企業(yè)信息安全主要包括了四個方面的內容，即實體安全、運行安全、信息資產安全和人員安全，信息技術部將從這四個方面詳細提出解決方案，供領導參考，評議。實體安全防護：所謂實體安全就是保護計算機設備、設施（含網(wǎng)絡）以及其他媒體免遭地震、水災、火災、有害氣體和其他環(huán)境事故破壞的措施和過程。要想做好實體安全就必須要保證以下幾點的安全：環(huán)境安全：每個實體都存在于環(huán)境當中，環(huán)境的安全對于實體來講尤為重要，但對于環(huán)境來講要想做到100%的安全那技術部工作的重中之重。結合集團現(xiàn)行的信息管理方式，根本沒有任何的信息資產安全防護手段，比如財務服務器由財務人員自行管理，一個人就可以操作財務服務器，而且服務器都開通了遠程桌面功能，有管理員的帳號、密碼就可以隨時在集團任何一臺計算上登陸服務器進行的操作，這是相當致命的，我們只能奢求操作人是可以信任的，否則后果真是不敢想象。出于以上考慮信息技術部建議從以下幾點進行改進：財務服務器應共由信息技術部與財務中心共同管理，服務器的登陸密碼由信息技術部掌握，金蝶軟件的高級密碼由財務中心掌握，當需要操作財務服務器時，應該有財務中心總經(jīng)理的審批手續(xù)方能操作服務器，信息技術部人員在見到財務中心總經(jīng)理的審批手續(xù)后方可與財務中心授權人共同進行機房操作服務器，同時應該記錄服務器操作日志，記錄操作過程，同時所有財務服務器操作人員與信息技術部人員都需要簽訂保密協(xié)議。財務服務器必須放置在機房并且具備上鎖功能的機柜里，同時關閉財務服務器的遠程桌面功能，每次的操作都需要審批后才能執(zhí)行。每季度對服務器的密碼進行更換（包括服務器登陸密碼及金蝶高級管理密碼），并由信息技術部監(jiān)督修改過程。每周對服務器數(shù)據(jù)進行備份操作，并做好數(shù)據(jù)備份登記工作，每季度對所備份數(shù)據(jù)進行恢復性測試，保證備份數(shù)據(jù)完整性。同時要進行必要的重要數(shù)據(jù)異地備份，強化數(shù)據(jù)的容災能力。每周對服務器進行一次升級、更新、殺毒操作，保障服務器不被病毒感染，以起到病毒防護的目的。為了能夠盡快的建立起信息安全管控網(wǎng)絡，希望集團可以盡快的引進上網(wǎng)行為管控設備，通過上網(wǎng)行為管控設備與易捷終端管控設備聯(lián)動管理，共同構建網(wǎng)絡應用安全環(huán)境。為了減少紙制文件泄露的風險，加快審批效率，建議集團盡快上一套辦公協(xié)同管理系統(tǒng)（OA），將所有的審批流程通過電子文件傳輸，一方面電子審批加強了訪問機制（未被授權無法訪問），另一方面電子審批可以加快審批速度，提高工作效率，同時通過辦公協(xié)同管理系統(tǒng)的網(wǎng)絡文件夾功能，可以把集團的重要資料統(tǒng)一管理，訪問資料需審批，以避免信息外泄的風險，同時也可解決一部分外發(fā)文件的保密性、安全性問題。人員安全防護：人員安全主要是指信息系統(tǒng)使用人員的安全意識、法律意識、安全技能等。人員的安全意識是與其所掌握的安全技能有關，而安全技能又與其所接受安全技能培訓有關。因此，人員的安全意識是通過培訓，以及安全技能的積累才能逐步提高。信息是不變的，而人是有思想的，只有人員的綜合素質提高了，意識提高了才能在根本上解決信息安全問題，所以應該有針對性的，有步驟的推進員工的安全培訓，增加員工信息安全意識，提升對企業(yè)的忠誠度，這樣就會大幅度降低企業(yè)信息外泄風險。綜上所述，以上的解決方案仍然不夠完善，但對于企業(yè)目前階段