序論:速發(fā)表網結合其深厚的文秘經驗����,特別為您篩選了11篇信息安全工作計劃范文�。如果您需要更多原創(chuàng)資料,歡迎隨時與我們的客服老師聯(lián)系���,希望您能從中汲取靈感和知識�����!
篇1
一�、傳統(tǒng)文化
1�、"牽手閔行,心系交大"
與上海市閔行區(qū)閔行中學的共建項目開展于XX年10月份�����,自開展以來受到了學校各界的積極好評����。本項目主要包括對高三緊張應考的學生進行學習指導,人生規(guī)劃指導���,報考指導����。借鑒自身經歷����,向更多高三學子傳授備考經驗等。時至今年�,我們將在今年10份繼續(xù)"牽手閔行,心系交大"����,以指引更多優(yōu)秀的同學加入到交大人信安人的行伍之中。
與此同時����,我們將在借鑒往年經驗的基礎上,擴大規(guī)模����,擴大范圍至整個閔行區(qū),并展開與學院學習部協(xié)作的機制�����,共同開展實施共建項目。
屆時����,我們將在基礎學年招募相關志愿者加入我們的行列,我們期待你的加盟��!
2����、"團改金"項目培訓指導
"團改金"全稱是團組織生活改革基金,是交大一個極具特色的學生活動�,做為每個交大的學生都有必要參加。主要是為了提供大家一個課外社會實踐的平臺����,促進提高大家的能力。現在也有許多其他的高校采納)了我們的做法�,可見它的效果。而且����,優(yōu)秀的團改金活動會得到相應的獎勵�,來鼓勵大家繼續(xù)將這個活動做下去����。
本學期�,我們將繼續(xù)對大一各個班級的團支書同學進行培訓,以使得各個班級能順利的開展團改金活動�,并提高支部的凝聚力。
歡迎大家前來學院組織部咨詢相關事宜���。
3�、責任和義務
作為一名團員�����,按時交納團費�����,積極完成團組織的下達的指令和任務�����,切實履行團員的職責�����。
本學期,我們將配合校團委按時完成團費上繳和團員統(tǒng)計工作��,切實履行團組織工作職能�。
我們感謝你的配合和理解!
二����、前人種樹,后人乘涼
首先���,感謝過去一年為我們工作創(chuàng)造良好環(huán)境的老干部們:���。
(但凡組織部的干事,日后找此三人��,自報家門�,必衣食無憂!)
1����、破冰
我們將在學生會的統(tǒng)一安排下進行招新工作,吸納更多的優(yōu)秀同學成為我部干事��。并將對其進行定期的培訓,內容包括:
a��、與名師對話:邀請有學生工作經驗的學長�,老師進行工作交流和指導�。
b、破冰:在招募完成后���,立即進行團隊組建和破冰活動����,我們將突破以往的形式����,實施新的部門工作形式。以工作小組和工作團隊的形式進行項目攻關�,以提高效率和責任制。同時�,我們也希望組織各個班級的班長以及團支書進行相應的培訓,以鼓勵大家在日后工作中積極的配合和協(xié)作���!
c�、交換生:我們將定期與其他部門進行干事交換項目����,以鍛煉更多的人才��。
2����、utjs項目
utjs即是體驗式培訓項目的簡稱�����,我們將在大一年級開展相關培訓�,以增強支部的凝聚力。我們將邀請我院資深培訓導師�,院團委書記朱春玲老師為我們新生進行指導培訓工作。
篇2
1.2網絡信息技術缺乏�����。信息技術的完善和成熟是檔案信息化建設的必要條件之一����,而現有的技術只是針對網絡及生活的交流需要并沒有對文件的歸納管理以及檔案建設提供需求。檔案信息化建設并不是人們所知的信息輸入到電腦上連接網絡后上傳就完成的���,一部分的專業(yè)管理技術仍需要相關人員進一步更新和完善��。如今��,許多相關的工作人員并沒有體會到檔案信息化給與的便利之處�,只因為他們對于所謂的信息技術沒有熟練的掌握更別提把這項先進的技術與工作融會貫通。由于業(yè)務生疏���,便會出現我們上述闡述出如檔案混亂���,信息丟失等問題�。
1.3管理的安全分析。檔案信息化的安全工作核心就是管理����。管轄范圍不明、責任不明�����、管理制度不健全以及缺乏可行性操作等都有可能引起安全風險�。尤其是當網絡出現漏洞、安全威脅和攻擊行為時����,更是無法及時的進行實時監(jiān)測����、報告����、控制和預警。同時��,當出現事故后�����,相關的工作人員也無法提供準確的線索給與追蹤和定位�����,既缺乏對網絡事故的可控性和可審查性���。這就要求我們的相關工作人員具備一定的網絡技術����,以便及時發(fā)現不法分子的非法入侵�。
1.4安全應用系統(tǒng)的分析。應用系統(tǒng)的安全系數與具體使用有關�����。應用系統(tǒng)的安全是變化的,并且類型也是不斷的增加��。在選擇應用系統(tǒng)的安全性能上�,應首先考慮最大化的建立起一個安全系統(tǒng)平臺,并且可以通過專業(yè)的安全軟件以及技術不斷的更新發(fā)現系統(tǒng)威脅漏洞��,提高系統(tǒng)的安全指數��。當然使用的應用系統(tǒng)安全性也會危及到數據��、信息的安全性�����。機密檔案的信息泄露�����、未經允許授權的訪問���、試圖破壞信息的完整度、破壞系統(tǒng)的指令等都是對應用程序安全性的考驗�。因此���,用戶使用計算機調動檔案信息時必須要進行身份驗證,對于檔案信息的傳送也要經過管理員的授權和加密���。采用多環(huán)節(jié)的訪問控制和權限控制����,保障數據信息的機密性和完整性��。
2數據化工作的普及
2.1推進網絡安全�����。對于檔案管理的相關工作人員�����,普及網絡安全知識已經勢在必行���。由于工作人員已經習慣于使用傳統(tǒng)老舊的工作方式����,對于新興的網絡管理不能很快的熟練掌握�����。這是一個必然的過程,但面臨一個信息化的時代和工作環(huán)境�,認真嚴謹的工作態(tài)度卻是每一個檔案管理的相關工作人員必備的態(tài)度。不能因為不熟練或是不習慣而忽略一些安全隱患��,最終因為網絡知識的缺乏而導致不必要的麻煩�。
2.2開發(fā)信息技術。阻礙檔案信息化進程發(fā)展的是計算機信息技術的落伍��。而已經存于市面上的先進技術也不能應用到檔案信息化的建設中�����。前者是因為技術認知的落后���,后者是因為實踐與理論相背離。要知道檔案工作的信息化建設不是因為需要信息化而信息化�,而是因為要貼合大眾的需求,跟隨時代的腳步�。對于那些工作中遺留的落伍技術就應該及時的更新?lián)Q代。選擇時下已經成型并且前景遠大的新型信息技術����。而對于成果失敗者���,應當加強實踐驗證,拉近理論和實踐之間的縫隙�����,把兩者之間存在的問題具體到應用上并及時的反饋以便調整�����,避免資源的浪費�。
篇3
一、引言
21世紀是電腦網絡科技的世紀����,信息借助網絡傳輸既快速又廣泛的流通與交換,科技進步孕育出全球化社會��。隨著網絡的普及化�����,信息安全的重要性更加凸顯���,提升企事業(yè)組織信息安全防御能力���,便成當務之急的工作���。信息安全維護旨在確保信息的機密性、完整性與可用性�����,我們應當落實最佳安全實務準則及縱深防御策略�,以應對信息網絡安全的威脅。有鑒于此��,無論是防護機制建立���、法令規(guī)范修訂�����、教育培訓與人才培養(yǎng)���,均須落實執(zhí)行�����。傳統(tǒng)的信息安全架構與信息服務的安全架構是目前經常被拿來相比較的議題,大多數的資料中心發(fā)展成信息服務中心時�,傳統(tǒng)安全防護架構需要面臨擴充性以及適用性的挑戰(zhàn),從信息基礎設施��、運作應用程序以及各種不同類型的軟件服務�����,增加了管理上的復雜度����。信息服務的營運管理,為確保信息服務內容與營運品質的重要因素���,信息服務的管理�����,除了技術面的問題�����,許多必須注重在政策面的管理���。
二��、計算機信息安全管理工作開展思路
一是已知的信息安全脆弱性�。假如一個公司或機構曾經對其本身的信息系統(tǒng)安全進行評估并研析評估資料����,則這一公司或機構將可更有效地確保其信息系統(tǒng)的安全,同時可將其先前所存在的弱點的性質告知其他公司與機構����,以節(jié)省彼此的時間及風險。但是��,當相關公司擔心因對弱點的矯正不夠徹底而面臨法律問題時��,則將影響此種信息分享的方式�。舉例而言,若是某一公司或機構只對其系統(tǒng)中經確認的弱點的90加以改進�����,并將相關信息與其他公司分享����,則這一公司可能會因違反管理標準而遭到處罰�。
二是有關進行中的IT 方面的攻擊或持續(xù)存在的威脅的預警(但不提及“來源與方法”)�。信息系統(tǒng)管理人員與網絡管理人員是最可能首先發(fā)現入侵行動或攻擊行動的人����。他們大都不愿意將入侵事件向執(zhí)法單位報告,因為他們擔心業(yè)主所擁有的信息會因而對外泄漏或一旦入侵事件公諸于世會危害機構或該公司的名譽���。所以��,當執(zhí)法單位接獲有關持續(xù)進行的攻擊事件的報告時�����,應設法對這一信息加以篩選���、分析,然后分送給其他可能會受影響的單位���。如此一來�,將可不在提及遭受攻擊的機構或公司名稱的情形下�����,確認潛在的脆弱性或攻擊行動。在另一方面����,出現有計劃的攻擊或刺探行動時,因為這等行動通常普遍可能成為國家安全的隱憂或因為該行動是來自于某一特定的外國�����,故由執(zhí)法單位進行的信息分享方式顯得特別重要�����。
三是用以對付某種型態(tài)的IT 方面的攻擊的策略�����。當某一機構發(fā)現了一項弱點或被告知某項弱點��,而且也找到了解決辦法����,則這一機構可能會抗拒與其他機構分享此方面的信息,因為這種解決辦法對業(yè)主而言極具價值���。有關這一方面����,政府的職責應在于對相關信息進行事前的篩選后加以分送,這一方面有助于其他機構做好預防工作���,一方面又不至于泄漏關鍵信息。我們可要求各個公司提供有關新病毒�、網絡蠕蟲與木馬的信息、某一特定黑客所使用的方法����、與選定特定攻擊目標的黑客會面所收集到的信息等。這一做法未來將有助于建立與識別相關的軌跡�����,并有助于提升入侵偵測的能力以發(fā)揮更佳的保護效果�����。
四是通過偵測�、分析、防御與應變程序進行信息服務的管理����,面對所遭遇的問題��,通過不斷的持續(xù)改善�,依據所發(fā)掘的異常行為進行信息服務的改善��,包括了基礎設施��、系統(tǒng)平臺以及應用程序等����,增加信息服務的完整性與可靠度。信息安全管理系統(tǒng)可應用于公有信息服務��、私有信息服務或是混合性的信息服務架構中�����,通過整體的自我防御機制�,以維持自然的生態(tài)平衡,能夠對于異常的行為特征進行應對與處置����。信息安全管理系統(tǒng),必須擁有自動化的處理能力��,面對外來與內在的威脅���,進行自我的防御與應變���,以縮小影響的范圍與處理的時效�����,面對大量的資源而言�����,必須有效的掌握現有資源的狀態(tài),以做為資源的調配上的參考指標����。
三、計算機信息安全管理系統(tǒng)構建
信息運算環(huán)境下的安全威脅�����,以風險的角度可以分成信息安全技術����、流程、程序��、法律以及互信模式等項目進行討論,以信息安全技術而言�,為符合服務導向的架構,目前進行信息安全的規(guī)劃與設計時�����,須先確定提供服務的內容與對象�����,以確定需要導入的信息安全技術為何����。信息服務安全的標準化建設,必須具備以下幾項要件�����。
第一�,信息安全管理系統(tǒng)將相同的理論應用在信息運算所提供的信息服務上,將整個信息架構分成了偵測�、分析、防御�、應變等幾個元件。一是偵測:通過信息安全相關的設備,如應用層防火墻�、通訊協(xié)定分析設備、入侵偵測系統(tǒng)�����、誘捕系統(tǒng)等����,建立信息環(huán)境的偵測點,運用特征比對與行為分析的方式���,進行異常狀態(tài)的偵測�����,進行信息的收集,以提供后續(xù)的進行資料探勘與分析使用��。二是分析:大尺度的信息環(huán)境�,產生大量的系統(tǒng)日志與網絡流量等資料,因為信息服務維運的需求��,又必須即時進行資料的探勘����,以掌握信息服務的狀態(tài)����,若有異常的行為出現����,必須進行處置以避免影響信息服務的安全,因此通過建構日志系統(tǒng)以提供未來稽核所需要的佐證文件���,為規(guī)劃與建構信息資料分析平臺不可或缺的考量�����。三是防御:信息環(huán)境須具備防御的機制�,當有異常的行為出現時�����,必須能夠進行自我的防御���,以避免影響其它的信息服務���。四是應變:針對異常的行為或是威脅進行應變處置�,必須具備自動化應變的能力���,通過自主的應變措施���,以提供信息環(huán)境掌控風險,并且結合風險評價與改善規(guī)劃����,進行環(huán)境的調整,以達信息服務的持續(xù)提供���。
第二����,實現與維護信息安全計劃���。完整的信息安全防護計劃,可以確保信息架構的安全��,針對風險與威脅都進行管理與控制��,并且能夠持續(xù)維護信息安全計劃的有效性�,以應對新型態(tài)風險與威脅的出現,通過應變策略的擬定,針對信息服務的安全性進行掌握��。另外����,還需建構與管理信息安全的基礎設施。通過完整的基礎設施��,能夠提供信息服務所需的高彈性資源調配�,確保服務的可靠性,因此通過基礎設施的保護�����,為提供信息服務的基本要素��,同時通過服務供應商�,以確保在符合法律、法規(guī)以及客戶的要求下�,有能力滿足對于所要求的服務內容。除此之外�,確保機密資料安全防護。資料的安全防護為信息服務的核心原則��,所有通過信息服務進行傳輸����、存取與保存的資料����,必須受到嚴格的資料安全防護機制�,對于企業(yè)而言,機敏的資料必須確實受到安全的防護�,才會考慮是否采用信息服務模式在其商業(yè)營運上,因此無論采用何種方式使用信息服務����,所有的資料流均必須考慮到資料安全的防護問題。
第三�,實現嚴謹的存取控制與身份識別管理。使用者可以由不同的管道使用信息服務�����,但是不論使用何種方式���,均必須確保能夠正確的驗證使用者的身份�,并且能夠針對使用者的權限進行有效的管理����,以限制能夠提供存取的資料范圍。另外�,需建立應用程序與環(huán)境的配置。當使用者通過信息服務的使用者界面進行服務內容的設定�,信息服務的架構必須由一連串的變更進行環(huán)境的配置與設定,以確定能夠由自動化的程序����,建立應用程序與環(huán)境的整合。
第四�����,實施信息治理與稽核管理規(guī)劃�。對于信息環(huán)境的管理,必須配合稽核計劃進行�����,以確保所有的信息服務能夠在可被驗證與舉證的前提下����,提供使用者安全上的信賴,其中必須涵蓋日志的收集以及需要進行稽核的紀錄���,整體的管理規(guī)劃必須同時配合信息服務的推出進行建構�����。另外�,需要實現弱點掃瞄與入侵偵測系統(tǒng)架構。在被信任的的信息服務中����,必須實現信息架構中的基礎設施、系統(tǒng)平臺以及應用程序的弱點管理機制����,通過管理機制的建立,以進行嚴格的弱點管理計劃����,配合入侵偵測系統(tǒng)、入侵防御系統(tǒng)以及IT資源的管理���,其中包括了網絡���、服務器、基礎設施等元件��,以確定提供信息服務的內容,不因為存在弱點而造成風險與威脅����。
第五�,采用對稱與非對稱式的信息加密防護策略。該加密過程至少包含以下元素:明文�����、加密演算法�����、加密鑰匙及密文�。明文代表未加密內容,密文代表加密后內容���,演算法代表加密規(guī)則����、鑰匙代表加密時所要定義的參數�����。以替代加密法的例子為例����,選定凱撒加密法為演算法��,而決定字母要位移幾位��,就是鑰匙����,加解密雙方都必須知道這只鑰匙�����,才能順利加解密���。加解密時使用同一把鑰匙����,是一直以來的概念����,也即密碼學發(fā)展到此時,均屬對稱式加密��,諸如DES、RC2��、Blowfish等��。于是在加密法強化到難以破解后����,鑰匙的交換與保護��,便成為重要課題���。無論資料如何加密保護���,鑰匙的傳遞都必須曝露在相對公開的環(huán)境下傳送,非對稱式加密��,即是為了解決這樣的困境而誕生的��。
四���、結語
信息安全研究中一項重要的目標是發(fā)展高度安全�、可靠及彈性的信息系統(tǒng)����,確保未來使用電腦���、網絡與其他網絡系統(tǒng)變得和打開電燈或水龍頭一樣的安全及可靠。美國等發(fā)達國家十分重視保障未來各種信息系統(tǒng)安全的基礎建設�,要求各種信息設備在出廠時即具有使用者可以信賴的安全性以及可靠度。在預算范圍內發(fā)展高度安全與可靠的系統(tǒng)將是未來追求的目標�,并需通過全國性的網絡安全研究發(fā)展程序來達成。
我國開始關心數字社會信息安全的作業(yè)����,時間尚短經驗的累積不多,許多應建立的價值���、觀念�����、制度�,大家都還在摸索之中���。隨著信息技術的一日千里�����,在“運籌于虛擬實境之外�����,決勝在網頁方寸之中”的數字社會信息系統(tǒng)安全的環(huán)境下�����,如何應對我國民生息息相關的信息系統(tǒng)安全作業(yè)等議題�����,值得展開更深入的思考與討論���。傳統(tǒng)的信息安全問題,仍然會出現在信息服務的環(huán)境中�,但伴隨著虛擬化的架構、動態(tài)資源的調配以及跨越不同地理位置的服務模式��,將讓信息安全的問題變得更為復雜���,而且新型態(tài)的安全問題也隨著信息服務的提供而出現���,因此更需要通過技術的層面以及管理的層面����,整體的檢視信息服務與相關的架構���,方能提供信息服務的使用者在安全防護上的保障�����,結合信息安全監(jiān)控中心�����,對于信息環(huán)境內的狀態(tài)進行掌控��,保存相關的系統(tǒng)日志與稽核紀錄�����,可做為信息安全事件分析的重要信息來源���。
參考文獻
[1]張昱.對計算機網絡技術安全與網絡防御的分析[J].廣東科技,2011(10).
篇4
關鍵詞:信息化管理對策
一���、信息化條件下部隊安全管理工作面臨的新考驗
(一)信息化條件下部隊安全形勢更加復雜����。一方面、部隊安全隱患呈現多樣化趨勢��。相比以往的“人車槍彈酒�,水火電毒密”等傳統(tǒng)安全隱患,網路保密安全��、官兵交往安全��、網路不良信息對我官兵的影響等方面的安全隱患���,逐步呈現出高速增長的趨勢�����,給部隊安全管理帶來的影響也越來越大。而傳統(tǒng)安全隱患����,由于現代信息技術的發(fā)展,在數量上���、形式上���,也比以往更加紛繁復雜�����。另一方面����,各種安全隱患之間又存在著復雜的聯(lián)系性���。信息化條件的一個重要特點是其信息的交互性�,由于信息技術的發(fā)展���,使得各個孤立的安全隱患能夠互相交互信息�,產生影響���。
(二)信息化條件下部隊安全隱患更加隱蔽��。一是時間上的不確定性����。安全隱患的一個顯著特點是其在轉化為事故案件的時間上具有不確定性�。信息化條件下��,各種安全隱患通過信息手段進行交織影響��,積累融合�,最后在爆發(fā)上具有明顯的突然性���,往往令人措手不及����。二是空間上的不受限性�。信息化時代的另一個顯著的特點是其在地域上沒有任何限制,無論身處何處���,只要有先進的技術手段�,都能進行信息間的交流���。三是安全隱患的抽象性。信息化條件下的新安全隱患不像傳統(tǒng)的水����、電、人員秩序管理等方面問題��,具有可見性、可抓性���,往往能及早發(fā)現��,及早整改�����。而網絡保密安全���、部隊通信安全、人員通信交往等方面的隱患具有明顯的抽象性����。
(三)信息化條件下部隊安全管理更加棘手。一方面�����,在影響上具有廣泛性���。隨著手機�、筆記本電腦等個人通信設備的普及和寬帶網絡、3G網絡等現代技術手段的發(fā)展�����,社會信息的獲得比以往更加容易���,傳播速度更加快捷��,致使部隊一旦發(fā)生安全問題���,其在影響上必然會更加的廣泛。另一方面�����,在處理上具有急切的緊迫性�����。信息在傳播速度上具有的高速性��,導致我們在查找處理安全隱患的過程中��,必然在時間上是緊迫的����,一旦處理不夠及時,將會造成不利的影響���。
二�����、信息化條件下加強部隊安全管理工作的對策研究
(一)嚴格落實安全制度��。制度是防范一切安全隱患���、安全漏洞的銅墻鐵壁。要嚴格落實各項安全管理制度���,正規(guī)部隊各項秩序��;要堅持落實安全檢查制度�����,定期做好安全隱患排查���;要突出抓好大項活動、節(jié)假日期間的安全管理工作,確保敏感時期部隊安全穩(wěn)定��;要嚴格落實安全責任制���,確保分工明確�����,責任到人���,形成人人抓安全,人人保安全的整體合力���;要完善預警機制���,加強請示匯報,做到遇有隱患及時匯報�����;要強化監(jiān)督管理�,杜絕安全死角,確保管理不留漏洞���。
(二)加強官兵安全教育
再高科技的手段��、高尖端的技術���,只要官兵思想重視,各項工作符合安全規(guī)定���,部隊就能實現安全穩(wěn)定���。一方面加強思想教育,提高重視程度�。要以部隊最慘痛的案例為牽引,深入開展案例剖析�、自查互查、安全評比等活動�,不斷強化官兵的安全意識。另一方面要加強技能教育�����。邀請專業(yè)人員授課��,介紹信息化條件下的各種安全風險及預防對策����,使官兵能夠獲得更清晰地認識��,并掌握一定的預防方法��。
篇5
我主要負責文明單位創(chuàng)建�、扶貧幫困�、工會、群團�、作風紀律、網絡安全與信息化工作以及領導安排的其他工作����,也曾擔任單位主題教育領導小組辦公室成員。
在這一年里�,認真服從單位的工作安排,始終堅持強化職能�,做好本職工作,圓滿完成領導交辦的各項工作�����,具體表現在以下幾方面:
1���、在文明單位創(chuàng)建方面��。按照市文明辦在創(chuàng)建文明單位方面的具體要求�,結合單位實際情況認真按照要求對文明單位考核所需材料進行整理上報,在10月31日完成文明單位材料網上上報工作��,并取得了滿分的成績�。
2、在單位扶貧幫困方面����。按照上級單位關于扶貧幫困的要求����,本著實事求是的態(tài)度,及時上報所需的具體材料����。
3、在單位工會����、群團等集體活動方面。參與組織包括學雷鋒活動等���,以及 “不忘初心�����、牢記使命”主題教育����,以上活動在全體干部職工的共同努力下都取得了很好的效果;
4��、網絡安全與信息化工作方面�����。在網信工作越來越重要的時候�����,我身為網信管理員感覺到責任越來越大��,工作及日常生活中時刻關注本單位的網絡輿情����,將負面輿論扼殺在搖籃里,在單位的網絡信息推送平臺轉發(fā)推送市網信辦推送的正能量的文章�����,已將近1000余條,不讓網絡成為傳播負面輿論的法外之地�。
二、經驗做法
經過一年的工作���,在工作中有一些心得體會��,也談不上經驗做法���,具體內容如下:
1.做好工作分類。要把每項工作都單獨建好一個文件夾進行分類��,將與之有關的材料全部放到這個文件夾里�����,保證不與其他工作混淆���。
2.保證材料唯一。及時清理修改過的材料����,確保電腦上能找到的是最終定稿的且是唯一的材料。
3.做到計劃工作����。對完成的工作做好計劃���,統(tǒng)籌協(xié)調手頭上各項工作,確保上報材料按時上報����。
4.定期梳理匯總。經過一段時間的工作���,要抽出固定時間對已完成的工作進行梳理匯總�����,區(qū)分已經完成的和還未完成的工作���。
三、存在的問題及不足
由于工作時間尚短����,又是在黨務部門工作,自身的思想覺悟和理論知識還不能達到當前工作的要求�,在工作上還存在等、慢、靠的情況����。
四、2020年工作計劃
計劃目標:做到強化形象�,提高自身素質。
具體措施:
篇6
為了收集信息系統(tǒng)的運行數據��、了解信息安全管理體系的運行情況�����,及時發(fā)現信息系統(tǒng)存在的安全問題和修補安全漏洞�����,各大銀行普遍采用安全檢查的方法����,提升信息系統(tǒng)的安全保障能力:一是檢查信息安全保障體系的建設情況���、信息系統(tǒng)安全管理制度的落實情況��,提高信息系統(tǒng)安全管理水平�����;二是檢查科技人員的安全技術水平以及安全培訓教育情況�,強化他們的信息安全意識;三是檢查信息系統(tǒng)運行情況�����、日常操作中的安全控制措施���,促進完善安全內控機制���,及時處置操作安全風險;四是檢查信息系統(tǒng)數據存儲��、傳輸�����、使用等數據管理情況���,防范數據泄露風險���;五是檢查應急預案制定情況以及應急演練結果,提高對突發(fā)事件的應對能力。信息安全檢查工作的內容信息安全檢查工作是為了查找信息安全問題和薄弱環(huán)節(jié)�����,采取一定的檢查或檢測方法�,發(fā)現安全現狀與安全要求之間的差距,以便有針對性地采取防范對策���、改進防范措施��,進一步提升安全防范能力��,預防和減少重大信息安全事件的發(fā)生����,切實保障信息系統(tǒng)的安全穩(wěn)定運行�。在進行安全檢查前,首先要確定安全要求�����、明確信息安全檢查工作中要檢查的項目����。郵儲銀行以信息安全保障評估框架為指導,以等級保護系列標準為基礎����,結合銀監(jiān)會、中國人民銀行等監(jiān)管機構對信息安全管理的相關監(jiān)管要求��,提取內部管理制度中對安全的相關要求����,制定了具有特色的安全檢查要求,形成了《郵政金融計算機系統(tǒng)安全檢查手冊》���。該《手冊》從主機安全�����、網絡及邊界安全��、應用安全����、數據安全�����、基礎設施安全、網點終端安全�、運行安全、安全管理8個方面歸納整理出400多個安全檢查項����。該《手冊》明確了信息安全檢查工作的檢查內容、檢查要點和檢查方法��。
信息安全檢查的實踐
郵儲銀行開展的2014~2015年度信息安全檢查工作��,包括了制定檢查工作計劃�、信息安全檢查、問題整改和檢查總結等階段����。制定檢查工作計劃。在選取安全檢查項目時�����,緊緊圍繞年度安全管理目標����,結合年度信息安全工作的重點領域以及運行維護工作中容易忽視的安全問題。2015年的安全檢查在兼顧檢查全面性的同時���,確定以網絡邊界安全�����、主機安全����、數據安全3方面為檢點���,從《手冊》中選取100個檢查項���,同時規(guī)劃了現場檢查工作的方法、工作過程等內容����,從而形成年度安全檢查方案。隨后��,根據各安全檢查項目在保障信息安全中的作用以及現有條件下實現的難度等實際情況�����,將安全檢查項分成基本要求項和增強要求項并對其賦予不同的分值�����,建立起安全檢查的量化評價標準。檢查完成后�����,可以通過評價標準直接給出的分數��,直觀地評價����、比較各分行信息安全工作的情況。在組建安全檢查隊伍時�,每個檢查小組由總行、分行的信息安全人員組成����。各分行分組交叉檢查的方式,便于各分行通過檢查相互學習���、取長補短����,提高信息安全的保障能力和水平�����。
實施信息安全檢查
信息安全檢查圍繞安全檢查項目,采用登錄系統(tǒng)檢查����、在線工具檢查�����、查閱制度文檔�、訪談關鍵人員、巡查網點等方法����,收集安全運行數據,評價安全管理水平��。登錄信息系統(tǒng)設備檢查安全配置基本情況����,重點關注系統(tǒng)日志、操作日志��、配置文件等信息���;使用安全漏洞掃描工具檢測設備存在的風險點��;通過檢查設備的使用狀況��,評價基層單位對信息資源的控制能力是否滿足安全保護的要求��。查看各監(jiān)控系統(tǒng)的監(jiān)控記錄�����,確認各項報警得到及時處理���。查閱規(guī)章制度�����,了解安全規(guī)定是否覆蓋安全工作的所有領域��;瀏覽審批記錄��、登記表等詳細信息����,了解日常工作中安全規(guī)定的執(zhí)行情況。通過訪談相關崗位人員�����、現場觀察各崗位人員的實際配合情況����,了解日常工作流程中是否存在安全漏洞;通過實地檢查網點���,最直觀地從工作環(huán)境考察安全管理細節(jié),查看基層各項安全制度的落實情況�。在檢查過程中發(fā)現的問題,現場檢查組以事實確認單的形式進行記錄�,并在現場檢查總結會上與被檢查機構的人員進行溝通和確認,作為后期整改工作的基礎依據�。
問題整改
在完成了現場檢查工作之后,各檢查小組匯總事實確認單����,梳理出需要各分行著手整改的問題,針對每個分行簽發(fā)安全檢查整改通知書����,要求各分行對癥下藥完成整改工作,以完善信息系統(tǒng)的安全防護措施。對網絡邊界問題的整改�,完善了網絡各區(qū)域特別是第三方接入區(qū)防火墻、路由器�����、交換機的安全配置���,對經過網絡邊界的重要信息實施相應保護��,提升了抵御外部網絡攻擊的能力�。對主機安全問題的整改�����,調整了各類軟件的安全配置參數��,使之遵循最新版本安全配置基線的要求�����,提升了主機的安全防護能力��。對數據安全問題的整改��,增強了數據訪問的身份認證和訪問控制機制,防止非授權使用��,保證數據免遭泄露和篡改��。同時加強了對備份數據管理�����,有效保護了數據的高可用性���。對檢查中發(fā)現的其他問題進行整改�,促進了在運行維護過程中主動采取更加有效的安全措施�����,升級管理手段�,使安全管理更加全面覆蓋到安全保障架構的各個方面��。
檢查總結
經過一段時間的信息安全檢查整改工作���,各分行報告了每個問題的整改完成情況����。總行依據整改報告評價各項整改措施的有效性����,評估信息安全狀況和防護水平,促進總行對信息安全管理工作進行持續(xù)監(jiān)管����。
篇7
我局信息系統(tǒng)管理維護工作主要由計算機中心負責,下設軟件科���、系統(tǒng)科��、綜合科共14名在編人員�。信息系統(tǒng)的維護管理工作主要由系統(tǒng)科4名人員負責��。一方面在開展系統(tǒng)維護工作時人手不足���,無法覆蓋到區(qū)縣�;另一方面由于新技術更新較快���,人員對新知識與新技術的掌握不足���,不利于有效的開展信息安全維護管理工作����。
2系統(tǒng)漏洞影響大
稅務信息系統(tǒng)對數據完整性與服務實時性高要求非常高�����,當今漏洞挖掘技術極大縮短系統(tǒng)漏洞的發(fā)現周期��,經常性對核心應用系統(tǒng)進行升級補丁將對系統(tǒng)數據完整性與保障系統(tǒng)服務及時性造成一定的風險����。
3黑客攻擊與計算機病毒傳播路徑廣
我局內部業(yè)務網已連接到全市23個下屬單位,黑客可通過任何一個單位對我局核心業(yè)務應用發(fā)起攻擊���。同時隨著移動互聯(lián)網的快速發(fā)展���,wfif、手機連接到終端計算機等都有可能成為業(yè)務內網與互聯(lián)網的接口���,使我局核心業(yè)務應用遭受到互聯(lián)網的攻擊。同時移動存儲介質不安全的使用方式���、工作員通過互聯(lián)網下載的軟件等都有可能導致病毒大規(guī)模傳播�����。
二�����、新形勢稅務信息安全管理工作實踐
1信息安全管理工作分解�����,明確分工與職責
我局信息安全工作的未來發(fā)展方向與符合我局實際情況的管理要求����、監(jiān)督指導執(zhí)行層落實工作信息安全工作、考評執(zhí)行層與支撐層的工作績效���。為全局的信息安全保障工作發(fā)揮著規(guī)劃���、指導、監(jiān)督���、考評作用�����,推動我局各項信息安全管理工作得以落實����。執(zhí)行層由各區(qū)縣局單位指派在編工作人員擔任,目前我局在各區(qū)縣局設立信息崗����,由具備一定計算機基礎知識的工作人員擔任。主要工任務是按照市局的管理要求開展日常的信息安全維護工作��,并處理常規(guī)信息安全問題���、向其他工作人員宣傳市局既定的管理要求�����,提高全員的信息安全意識�����。通過執(zhí)行層開展的信息安全工作����,使市局規(guī)劃的各項信息安全管理要求在基層得到落實�。為提高執(zhí)行層的工作能力,市局定期集中工作人員開展培訓�����,傳達市局信息安全工作思路�����、講解工作中涉及的信息安全技術���、宣傳信息安全形勢等���。支撐層由第三方公司擔任,為使我局信息安全管理工作更高效���,我局將信息系統(tǒng)各項技術維護工作外包給各技術領域有一定實力的公司���,由公司安排具備工作經驗與能力的專業(yè)技術人員常駐我局,開展技術維護工作�。我局管理人員根據制定的管理要求對各公司的維護工作進行考評。
2周期性檢測����,評估安全風險
漏洞挖掘技術很大程度的縮短了系統(tǒng)漏洞的發(fā)現周期���,對稅務系統(tǒng)是個非常大的安全隱患,常規(guī)的運行維護難以發(fā)現深層次的安全漏洞�。因此我局將對信息系統(tǒng)及終端計算機的安全檢測列入周期性的工作計劃,不流于風險評估與等級保護測評的工作形式�。以實質性的發(fā)現系統(tǒng)與終端安全漏洞為手段;以采取有效�、可靠、安全的處置方法����,降低系統(tǒng)安全風險為目標。將安全檢測工作委托第三方專業(yè)的公司定期開展����,將檢查結果轉交各類技術的維護公司進行處理。并對安全專業(yè)公司的檢測能力�����,各類技術維護公司的處置能力納入到統(tǒng)一考評體系�,確保我局安全漏洞檢測的全面性、準確性���,問題處理的正常性�����、有效性��。3建立以制度為依據�����、以技術為支撐的監(jiān)督����、管理工作流程為解決我局終端數量多����、地域分布廣、安全管理難度大的難題���,管理層經討論�����、研究針對終端安全及網絡邊界管理的方法����,論證管理要求與技術實現的可行性,制定終端安全管理與網絡邊界管理的總體綱領策略�����。并測試����、采購符合我局安全管理需求的安全技術實施部署。市局下發(fā)針對性的安全管理要求文件���,安全技術根據市局管理要求部署基本的控制與審計策略��。為更好的發(fā)揮技術平臺的管理功效����,市局將基本安全管理策略之外的管理權限下放到各區(qū)縣局����,由各單位根據自身實際情況制定管理規(guī)則。市局根據平臺產生的數據�,對違規(guī)使用資源、違規(guī)操作的個人與單位進行監(jiān)督與通報��,并納入對各單位的考評。通過管理要求與技術平臺的有機結合���,使我局各項信息安全管理制度得到落實���,并定期召集各單位對信息安全管理工作的經驗進行交流與推廣,提高全局的信息安全管理水平���。
三、新形勢稅務信息安全管理探索方向
信息安全管理工作在設計上需成體系����、在落實上需有支撐,這項工作有著一定的復雜性�����、周密性與完整性�����。并非依靠制定一系列的管理規(guī)定����,或部署完善的信息安全技術就能立即提高信息安全管理水平���。而是需要規(guī)劃整體的安全管理方針與目標;根據方針與目標制定基礎的保障框架����;逐步完成基礎保障框架中的管理、技術與過程建設�;并在運行維護中不斷的找出管理、技術與過程建設存在的不足�,并進行改進,使信息安全管理水平不斷的提高����,逐漸形成適合我局的信息安全管理體系。目前我局制定信息安全管理的基本方針是建立以風險管理為核心的信息安全管理體系�����。在該方針的指導下�,我局計劃建立的基本信息安全保障框架為:
(1)以采取一切手段發(fā)現整體信息系統(tǒng)中存在的安全問題為基礎。
(2)以評估發(fā)現的問題對信息系統(tǒng)可能產生的安全風險為支撐��。
(3)以找出問題的有效��、可靠���、安全處置機制為保障����。
(4)以監(jiān)督、評估問題處置的有效性����,降低安全風險為目標。因此在已定的安全保障框架下�,管理層還需繼續(xù)探索符合我局實際情況的信息安全管理方法,以管理有效方法為基礎制定管理策略���、以管理策略為依據選購安全技術、以安全技術為支撐開展具體管理工作���、以具體管理工作為監(jiān)督推動管理落實���、以管理落實效果為依據檢驗管理方法、以優(yōu)化管理方法目標提高安全管理效益��。
篇8
1.1 項目設計��?��!笆晃濉逼陂g�,省人口計生委全面推進人口信息化管理,啟動建設國家中部人口信息中心和河南全員人口統(tǒng)籌管理信息系統(tǒng)(“金人”工程)�����。以省級集中方式實現全員戶籍人口和流動人口信息管理����,個案信息納入省庫管理,人口計生信息化網絡已經覆蓋省���、市����、縣���、鄉(xiāng)和30%以上的行政村����。信息工作全面推開���,數字檔案信息安全管理出現了許多亟待解決的問題�����。項目目的是為摸清數字檔案信息安全現狀���,發(fā)現信息安全管理工作中存在的問題及困難����,提出合理化建議�����,以便采取有針對性的措施���。
1.2 調研范圍與方式。此次調研從2011年3月起至2013年3月30日止����,在全省隨機選取4個省級計生部門(省計生科研院、省藥具管理站和省計生協(xié)會��、省計生干部學院)��、26個市級計生部門(包括市計生委��、市藥具站、市協(xié)會����、市技術指導站)、63個縣區(qū)級計生部門(包括縣計生委��、縣計生指導站�����、縣藥具站)單位和個人���,發(fā)放調查表200份��,收回問卷196份��,有效率98%����。
主要運用問卷調查�、電話采訪與實地調研相結合的方法,把影響數字檔案信息安全的管理����、硬件設施和人員素質三個方面作為問卷設計和訪談內容����。根據國家有關的電子文件歸檔管理文件和計生系統(tǒng)的實際����,針對單位和個人設計了兩張問卷,單位問卷設置了21道題目����,個人問卷設置了2大類題,16道小題�����。
2 數字檔案信息安全現狀與調查分析
2.1 數字檔案業(yè)務概況��。在省級機構��,2個單位有綜合檔案室���,其他單位檔案按照業(yè)務劃分科室管理,都有專兼職固定的檔案員����,單位檔案管理狀況較好�,數字檔案占全部檔案資料的7%���;受編制限制和工作業(yè)務限制��,市縣區(qū)級計生檔案部門紙質檔案文件來源少�,最少的內部發(fā)文只有10件�,數字檔案數量更少,沒有實現集中管理�;全系統(tǒng)的檔案管理工作大多停留在傳統(tǒng)的保管紙質檔案文件的工作模式上,電子文件不能有效歸檔����,從而無法實現妥善保管。
2.2 管理體制情況�。參與調研的單位中,數字檔案信息安全工作均實行統(tǒng)一領導���、分級管理的模式��,包括業(yè)務督導和組織培訓�����。省市級單位按要求全部參加全省人口計生系統(tǒng)網絡安全培訓班���,對網絡基礎知識�、交換原理���、路由技術與路由器���、信息安全有一定了解��。對本單位檔案部門或下屬單位檔案工作主要通過組織人員參加基本業(yè)務或專題培訓班(如安裝統(tǒng)一的管理軟件)以及個別指導的方式進行�����。市縣級計生部門的數字檔案信息安全工作以接受上級監(jiān)督指導為主����,95%單位把數字檔案信息安全工作納入了年度工作計劃或“十二五”檔案數字加工與信息安全發(fā)展規(guī)劃��;用于數字檔案信息安全工作所需經費全部來自財政撥款,投入比例信息大都不愿透露�����,無法了解到�;參與調研單位全部配備信息員和專�����、兼職人員管理數字檔案信息工作���。
2.3 制度建設情況。在省人口計生委突發(fā)公共事件應急處理工作領導小組領導下���,出臺了《河南省人口計生委突發(fā)公共事件應急預案》,其中包含了數字檔案信息安全內容�。70%以上的單位有信息安全緊急預案,但是數字檔案信息安全專項制度缺失�����。
2.4 硬件配備情況��。安全基礎設施是數字檔案信息安全管理的保障��。對安全基礎設施包括設備配置����、網站建設�、是否安裝防病毒設施等方面進行了調研�����。在被調研的單位中�,98.89%市縣人口計生委單機配備數量和機關公務員編制人數(不含機房設備和筆記本計算機)持平���,市縣藥具站單機配備數量達到每個業(yè)務科室至少1臺標準,95.37%以上單位計算機安裝有防火墻���,但在入侵檢測、信息加密方面設施不足��;大多應用office辦公軟件對檔案進行目錄級管理�����,數字化管理檔案水平普遍偏低���;省級����、市級計生部門全部建有網站和局域網���,26個市級調研單位中安裝數字化檔案采集轉化系統(tǒng)的有6個���,占23.08%;安裝在線檔案存儲管理與安全系統(tǒng)的有4個��,占15.38%�,縣區(qū)級計生部門安全設施建設在經費緊張的情況下��,投入較少�����。
2.5 人員數字檔案信息安全素質情況���。從參加調研的196名工作人員中了解到,工作上大量使用計算機����,每天使用電腦工作2小時~5小時的有83人���,占總數的42.34%,使用5小時~8小時的有54人�,占總數的27.55%��。使用電腦的主要目的����,選工作的有164人��,占總數的83.67%�����;查閱資料的有129人�,占總數的65.82%���。人員學歷水平��,中專學歷的有31人����,占總數的15.81%;大專以上學歷的有94人��,占總數的47.95%�����;本科以上學歷的有67人,占總數的34.18%��;碩士學位的有1人����,占總數的0.05%�����。
平常工作中���,使用殺毒軟件的有193人,占總數的98.47%���;能夠自行處理病毒(求助他人或者找專業(yè)人士)的有161人,占總數的82.14%�����。在“您了解哪類信息安全技術和產品”問題的備選答案“防火墻��、反病毒軟件、反垃圾郵件���、動態(tài)密碼令牌”中,選擇最多的是防火墻�����,占總數的83.81%��。認為當前數字檔案信息安全障礙主要有:選擇信息安全人才不夠的有66人����,占總數的33.67%����;選擇技術不過關的有60人���,占總數的30.61%;選擇普遍缺乏信息安全意識的有44人����,占總數的22.45%����。參加了計算機安全知識培訓的有158人����,占總數的80.61%,其中���,參加本單位檔案信息安全培訓的有77人�����,占總數的39.29%,參加計生委培訓的有85人��,占總數的43.37%���,86.53%的人員只接受過一次培訓�。
3 關于我省計生系統(tǒng)數字檔案安全的建議
通過定量和定性的分析,得出當前計生系統(tǒng)的數字檔案信息安全存在以下問題:檔案的數字化水平偏低����,多數人員對數字檔案信息安全管理的重要性��、緊迫性認識不足��,認為保障信息安全就是保障數字檔案信息安全;對數字檔案信息安全知識了解甚少��,認為保障數字檔案信息安全就是安裝殺毒軟件����、設置防火墻�����;接受檔案業(yè)務培訓和數字檔案信息安全教育頻次偏低�;行業(yè)性的數字檔案信息安全制度缺失��;缺乏專業(yè)數字檔案安全管理人才和硬件設備等問題�����,與當前數字檔案信息安全工作發(fā)展有相當大差距,與大量應用計算機工作實際情況極不協(xié)調����。針對以上問題�����,提出如下建議:
一是加強數字檔案信息安全意識教育和宣傳����。建議在已有的人口數據信息平臺的基礎上�,利用全員�、流動人口、利導�、人事、財務等人口信息系統(tǒng)服務基層�,同時宣傳檔案和數字檔案信息安全知識�����,以期達到良好效果�����。在實際工作中�����,加強宣傳和管理力度��,將數字檔案信息安全工作實行工作考核制,納入年度考核和目標考評����。
二是培養(yǎng)復合型人才����。專業(yè)信息安全管理人才是保障信息安全的最有效措施���。對計生部門全體人員根據對象的業(yè)務需求分層級、有重點����、有周期地組織數字檔案信息安全知識培訓�,提高數字檔案安全意識水平��,并保證各層級檔案人員接受培訓的頻次��。如通過上級對下級的業(yè)務監(jiān)督指導或參加相關的數字檔案信息安全培訓、組建QQ業(yè)務群�、制作數字檔案整理流程教學光盤����、電子版制度匯編及業(yè)務手冊等手段���,實行多渠道、多層次�、多類型的方法培養(yǎng)人才����,提高隊伍的整體數字檔案信息安全業(yè)務素質。
三是建立健全數字檔案信息安全規(guī)章制度�。針對調研中發(fā)現的缺乏人口計生數字檔案信息安全標準規(guī)范體系問題��,今后����,應著重建立管理制度:首先是實行數字檔案信息安全管理崗位責任制�����,做到分工明確���、層層負責,確保網絡����、系統(tǒng)和數據的安全�,讓參與數字檔案信息安全保障的所有人員都能夠按照確定的要求去行動�。其次是建立符合實際的數字檔案信息安全管理制度�。根據數字檔案業(yè)務實際�����,對數字檔案信息化管理的軟件���、操作系統(tǒng)��、數據的維護��、防災和恢復建立相關制度����,制定應急處置預案���。定期開展應急演練����,提高整體數字檔案信息安全防范水平�����。最后是業(yè)務工作制度化��,對新發(fā)現的問題���,如人口科技檔案���、免費計生項目電子檔案的歸檔范圍及整理方式等制定相應的管理規(guī)范�,及時統(tǒng)一歸檔��,為科技業(yè)務工作提供高質量的數據支持。
四是項目帶動�,加快數字檔案信息硬件設施的建設��。數字檔案信息安全工作包括人財物投入���、軟硬件的集成�,需要資金�、技術�、政策等各方面的支持,通過計劃生育科技服務項目帶動數字檔案信息安全工作是很好的一個途徑�,爭取把數字檔案信息安全建設納入信息化建設總體規(guī)劃中��,從項目獲取數字檔案信息安全建設的專項資金支持�����。例如����,我院的孕前優(yōu)生項目數據庫的建設�����,不僅為項目提供了所需的軟硬件設施,也推動了單位的數字檔案信息安全網絡建設����。
篇9
顧客導向
項目驅動
共同進步
持續(xù)發(fā)展
二零一零年七月
為貫徹“顧客導向����、項目驅動�、共同進步��、持續(xù)發(fā)展”的公司管理思路����,做好“了解需求�、抓準問題�����、找對 方法�����、積極配合����、有效解決”的職能支持與保障工作,以確保華南區(qū)域 10/11 財年經營管理目標的順利實現����,現 確定新世界中國地產華南區(qū)域與流程與信息管理部 10/11 財年管理責任書如下:
7、 組織與管理優(yōu)化 會議支持
流程與信息專題工作的討論與決策�����,并跟進相關會議決議事項的落實���,決策事項的跟進率為 100%�。 建立和完善部門檔案電子平臺,將部門相關文檔進行歸類整理�����,方便存放和查閱����,并指定專 人負責定期整理和維護。
例行 2010.10.30 半年 1 個 半年 1 個
8��、 知識總結和案例 分享
總結日常電腦����、設備��、網絡維護過程中的案例至少 2 個�,并在公司內部進行分享���,促進 IT 日常維護水平的提高。 總結信息安全的案例至少 2 個���,并在公司內部進行分享�����,促進信息安全意識和信息安全保障 水平的提高�����。
一���、 重點工作計劃和行動措施(圍繞五大職能展開)
工作計劃 1�����、提升日常 IT 系 統(tǒng)對業(yè)務的支撐作 用 行動措施 措施一: 黑莓手機電子審批功能的開發(fā)。通過黑莓手機實現休假�����、出差��、事務應酬�����、采購 等相關業(yè)務的電子申請與審批工作,進一步提高公司管理層的工作效率和移動辦公能力�����。 措施二: 固定資產實物管理系統(tǒng)。配合人力資源與行政部自主開發(fā)固定資產實物管理系統(tǒng)�, 使整個區(qū)域固定資產的管理更加系統(tǒng)��、數據更加及時和準確。 措施一: 目前各項目在防火墻和防病毒方面比較薄弱��,網絡安全性需要提升��。10/11 財年將 針對上述情況進行優(yōu)化。 1) 2) 2��、 進一步加強網絡 及信息安全 3) 10 年 7 月份完成各項目公司網絡及信息安全優(yōu)化方案; 10 年 12 月前���,完成廣州地區(qū)網絡及信息安全的實施工作; 11 年 6 月前�,完成異地項目網絡與信息安全的實施工作����。 2010-9-15 2011-6-30 2��、推進設計管理 系統(tǒng)建設 3���、推進成本及采 購系統(tǒng)建設 完成時間 2010-9-30 2010-11-30
二�、 專項工作
工作事項 1��、推進區(qū)域級物 業(yè)管理系統(tǒng)建設 衡量標準或輸出成果 推進區(qū)域級物業(yè)管理系統(tǒng)建設,通過業(yè)務梳理����、總結和優(yōu)化����,打造區(qū)域物業(yè)管控及業(yè)務支撐 平臺����。 通過解決設計資料管理這一當前面臨的緊迫問題為契機���,充分總結新世界過去在設計業(yè)務管 理方面的經驗��,并借鑒行業(yè)經驗的基礎上,完成對設計管理業(yè)務的梳理�、總結與優(yōu)化����,并在 此基礎上完成設計資料管理部分的 IT 系統(tǒng)實施工作�����。 由業(yè)務部門主導�,在充分總結公司過去在成本及采購業(yè)務方面的經驗,適當借鑒行業(yè)經驗的 基礎上�����,形成全面業(yè)務梳理及解決方案����,并在此基礎上完成 IT 系統(tǒng)的支撐和實施工作�����。 完成時間 2010-2-1
2011-6-30
措施二: 加強《計算機及網絡管理規(guī)范》及《信息安全與保密管理規(guī)定》在公司的宣講和 落地�����,提高員工信息安全的意識和責任���,切實推動公司信息安全保障水平的全面提升。 措施三: 本著“三分技術���、七分管理”思路,進一步從意識��、行為習慣�、管理體系上去加 強信息安全工作,找到檢查點�,形成自檢互檢,公司監(jiān)督檢查等例行機制�����,使信息安全工作 真正得到落實和加強��。 措施一: 租售升級系統(tǒng)的推廣工作���。基于業(yè)務需要����,配合營銷中心完成銷售升級系統(tǒng)在華 南區(qū)域的推廣工作。 1) 2) 8 月份完成東方項目和惠州項目的推廣及項目應用工作�����; 12 月前按業(yè)務需要完成區(qū)域其它項目的銷售升級系統(tǒng)的項目應用工作�。
2011-6-30
三、 團隊建設
2011-6-30 工作事項 衡量標準或輸出成果 通過加強部門內部培訓�,培養(yǎng)部門員工一專多能的能力,無論是網絡�、系統(tǒng)還是辦公設備, 軟件開發(fā)都能具備交叉技能�����。 2010-12-30 提高團隊業(yè)務能 力及凝聚力 通過參與各類重點 IT 項目,逐步培養(yǎng)部門員工具備獨立的承擔一定中大型項目的牽頭能力���。 除了技術能力外�,要進一步培養(yǎng)員工的文字能力���,要具備編寫相應管理辦法��、制度流程和操 作指引的文字能力����。 逐步引進和加大學習業(yè)界關于管理優(yōu)化的咨詢的這一方面的思維��、方法論和工具。 2010-12-30 人員流失率 控制在 10%以內 備注 例行 例行 例行 例行 例行
3、加快 IT 系統(tǒng)在 華南區(qū)域的推廣力 度
措施二: CRM 客服系統(tǒng)華南區(qū)域推廣���?���;跇I(yè)務需要�����,配合客戶關系部完成 CRM 客服系 統(tǒng)在華南區(qū)域的推廣工作�����。 1) 2) 在 8 月份完成新凱公寓的 CRM 系統(tǒng)推廣��。 在 10 年 12 月前����,按業(yè)務需要完成其它異地項目的推廣。 2010-12-30 例行
措施一: 逐漸培養(yǎng)和建立長期 IT 辦公設備租賃及采購供應商�,使其能為公司提供更優(yōu)質的 租賃和設備供應服務,并縮短租賃和采購周期���,提高配置效率�。 4、提高 IT 辦公設 備的配置與保障能 力 措施二: 對電腦等常用辦公設備要有配置預見性��,并保持一定的庫存儲備�,實現員工入職 2 天內電腦配置到位的目標�����。 措施三: 進一步加強各類 IT 辦公設備的巡檢工作���,每半年進行一次全面巡檢���,每月進行一 次日常巡檢���,對存在問題的設備及時進行維護和調整,以保證設備的穩(wěn)定性和可用性����,提高 公司的辦公效率���。 5�、 進一步加強對區(qū) 域流程及管理優(yōu)化 的支撐力度 6����、 進一步完善部門 管理制度和操作指 引 進一步幫助區(qū)域的管理優(yōu)化, 重點加強對流程����、 操作指引以及圍繞此的能力建設和意識建設�, 從引進培訓課程���,親自主導部分培訓�����,引入工具方法����,并重點參與一些優(yōu)化項目的推進工作���。 措施一: 完成部門與日常工作相關的各類軟硬件標準制定工作。包括《計算機軟件安裝標 準 2010》�,《IT 辦公設備技術標準》����,以保證工作執(zhí)行的安全性���,避免由于個人經驗缺乏對 工作造成的影響���。 措施二: 完成部門核心業(yè)務相關的操作指引工作���。包括《數據庫備份管理操作指引》,《網 絡安全標準及管理操作指引》���,以提高部門管理的規(guī)范性和有效性。
四���、 其他說明 1、此管理目標責任書有效期自 2010 年 7 月 1 日至 2011 年 6 月 30 日��。 2、此管理目標責任書一式兩份�,雙方簽字確認后生效。
例行
發(fā)約人:新世界中國地產華南區(qū)域
2011-6-30
受約人:流程與信息管理部 助理區(qū)域總監(jiān): 部 長:
區(qū)域總監(jiān):
2010-9-30
篇10
二���、數字化進程中高校檔案信息安全現狀
檔案數字化給高校檔案工作帶來了新的生機���,數字化檔案信息的網絡傳輸和查詢在為社會提供廣泛信息服務的同時,也給高校檔案的信息安全帶來了嚴峻挑戰(zhàn)�。例如:在數字化加工過程中���,有的高校利用勤工助學學生或通過外包實現檔案全文數字化,存在對學生培訓不夠和對數字化加工服務機構����、加工場地、加工人員和加工成果等方面監(jiān)管不到位��,管理不規(guī)范的問題�;有的高校檔案管理人員沒有經過正規(guī)的機要保密培訓,在工作實踐中�,對已觸“紅線”的檔案信息資料繼續(xù)以常規(guī)方法掛網�;有的政府信息安全部門對進行檔案數字化工作的單位指導不到位等等���。
1.高校檔案數字化進程中沒有完整的法律法規(guī)制度保護信息安全�。
目前����,各高校全文數字化工作主要依據《中華人民共和國檔案法》、《高等學校檔案管理辦法》��、《電子公文歸檔管理暫行辦法》等法規(guī)����。法規(guī)制度分散零亂,缺乏系統(tǒng)的規(guī)劃和設計���,對于高校檔案信息安全保障法規(guī)不成體系��,缺少專門的法規(guī)���。
2.高校檔案數字化沒有統(tǒng)一技術規(guī)范標準。
目前���,沒有一套具體全面�、系統(tǒng)規(guī)范����、科學合理、可操作性強的檔案數字化技術規(guī)范�����,來保證高校檔案數字化工作能夠安全�����、科學���、規(guī)范����、有序地進行�。
3.高校檔案數字化評估、防范少�,檔案信息安全缺乏預警能力。
高校檔案信息安全保障體系的各部分建設仍處于相對獨立的狀態(tài)���,常將檔案信息安全保障與檔案信息安全保護混為一談�。人員崗位職責不明確,業(yè)務操作不規(guī)范����,有越崗代崗現象,有的操作人員在相關計算機上使用與檔案數字化無關的軟件�,難免帶來病毒侵襲等隱患,造成數字化系統(tǒng)癱瘓����,使得安全保障階段的能力僅僅停留在保護的水平上,不能主動防御和動態(tài)保護檔案信息安全�。
4.高校檔案專業(yè)人才短缺,檔案信息安全保障缺乏發(fā)展能力���。
在檔案信息開發(fā)和利用過程中�����,人始終參與其中��,是檔案信息安全的制造者��,也是檔案信息安全的護衛(wèi)者���。隨著檔案信息化的推進和檔案事業(yè)的發(fā)展�����,對檔案工作者的要求也越來越高。在檔案信息安全保障體系建設中���,專業(yè)的信息安全人才是不可或缺的部分�。
三����、數字化進程中高校檔案信息安全策略
1.遵循法律制度是高校檔案信息安全的基礎。
法律制度是高校檔案數字化工作生成��、管理���、存儲����、利用各環(huán)節(jié)的參與人員共同遵守的規(guī)章或準則的統(tǒng)稱�,包括政策、法律����、法規(guī)���、標準、內部規(guī)定等多種形式��。連續(xù)����、有效、健全的制度是科學應對檔案數字化進程安全風險的保障���。通過科學的制度建設�����,約束威脅數字檔案安全的人為因素�,調動各方面人員應對安全風險的積極性才是根本�����。在數字化進程中��,要保證高校檔案信息安全�,必須加強法制管理,充分運用法律手段,規(guī)范檔案管理人員對數字化檔案信息的安全保障����。把保障檔案信息安全的各項工作納入法制化、規(guī)范化的軌道��,進而提高檔案管理部門對檔案信息安全工作的管理水平��。目前����,高校檔案數字化進程中應遵循的相關法律法規(guī)包括:《中華人民共和國檔案法》�、《中華人民共和國檔案法實施辦法》、《高等學校檔案管理辦法》���、《電子公文歸檔管理辦法》等等�。這就要求高校有關部門一方面要依據現有法律法規(guī)�����,加大執(zhí)法力度�����,嚴格執(zhí)法,切實起到保障高校數字化檔案信息安全的作用�����,另一方面針對高校檔案信息安全面臨的復雜問題�,上級有關部門要進一步完善高校檔案信息安全的法律法規(guī),盡早出臺有效的專門的法律依據���。同時���,高校也要根據自身的實際情況,修訂數字化檔案信息安全管理辦法���。
2.制定檔案信息安全標準是高校檔案信息安全的前提��。
檔案信息安全標準是一種多學科���、綜合性、規(guī)范性的標準���,其目的在于保證檔案信息系統(tǒng)的安全運行����,保證利用者和設備操作者的人身安全。面對數字化檔案事業(yè)的不斷發(fā)展���,制定數字化檔案信息安全標準對保證高校數字化檔案信息安全與保密起著重要的作用���。高校要根據國家相關標準與規(guī)范,結合學校實際情況�,在充分調查研究的基礎上,制定一套具體全面�����、系統(tǒng)規(guī)范�����、科學合理�����、可操作性強的檔案信息安全標準���,保證高校檔案數字化工作科學、規(guī)范�����、有序地進行。檔案信息安全標準包括以下幾個方面的內容:一是網絡基礎標準����,主要涉及基礎通信工程建設、網絡平臺建設�、網絡互聯(lián)互通技術等方面;二是應用標準�����,基于部分高校檔案數字化信息也會面向公眾����,為社會提供必要的服務,所以要制定字符內部編碼標準����、數據處理格式標準、信息輸出標準等���;三是應用支撐標準��,主要涉及信息交換平臺�、電子記錄管理和數據庫方面的標準,能給高校檔案數字化提供各種支撐和服務���;四是信息安全標準��,主要涉及安全級別管理�、身份認證���、訪問控制����、加密算法和數字簽名方面的標準�;五是管理標準,主要涉及人員管理�、制度管理和檔案信息管理等方面的內容。
3.安全技術保障是高校數字化檔案信息安全的核心���。
數字化檔案信息是高科技產物,因此也需要高科技技術來保障檔案數字化信息服務���、編研工作和檔案信息安全工作�。高校檔案數字化進程中面臨的技術風險多種多樣����,歸納起來主要有:軟硬件配置不當����、數字化技術不成熟等等�,這些都會對信息安全構成隱患,但只要有防范意識���,絕大部分風險都可以規(guī)避���。目前,高校檔案數字化進程中涉及到的信息安全技術主要有以下幾種:一是防火墻技術�����。它是設置在被保護網絡和外部網絡之間的一道屏障����,在外部網與內部網之間建立起一個安全網關,從而防止發(fā)生不可預測的����、潛在破壞性的侵入。它可以通過監(jiān)測��、限制、更改跨越防火墻的數據流��,盡可能地對外部屏敝網絡內部的信息����、結構和運行狀況,以此來實現網絡的安全保護��。二是數據加密技術��。數據加密技術一般與防火墻技術配合使用�����,它是為提高信息系統(tǒng)及數字檔案信息的安全性和保密性��,防止機密信息被外部破析所采用的主要技術手段之一��。三是反病毒技術���。反病毒技術包括預防病毒���、檢測病毒和消除病毒三種技術�����。四是訪問控制技術。在操作系統(tǒng)和數據庫系統(tǒng)中規(guī)定了訪問控制的權限�,如規(guī)定文件建立者具有可讀、寫���、修改或執(zhí)行的權限�����。強制性訪問控制引入了安全管理員的機制�����,增加了安全保護�,可防止用戶無意或有意地使用自主訪問的權利�。五是安全審計技術。通過對網絡內發(fā)生的各種訪問情況記錄日志����,并對日志進行統(tǒng)計分析,進而對資源使用情況進行事后分析����,它也是發(fā)現和追蹤事件的常用措施�。
4.有效的安全管理是高校數字化檔案信息安全的關鍵���。
數字檔案信息安全管理是以數字檔案信息及其載體為對象的安全管理����,它的任務是保證高校數字檔案信息的使用安全和信息載體的運行安全���。數字檔案信息安全保障的管理體系是指以系統(tǒng)全面科學的安全風險評估為基礎的���、體現“防患于未然”為核心的、動態(tài)的數字檔案信息安全管理�。數字檔案信息安全管理活動包括建立機構、制定計劃��、開展培訓��、落實措施����、檢查效果和實施改進等過程。學校檔案部門必須成立一個安全管理工作組���,負責實施和監(jiān)控整個檔案數字化信息安全管理活動���,對檔案數字化信息及信息處理設施的威脅、影響��、脆弱性及三者發(fā)生的可能性進行評估��;不定期對人員進行安全策略及安全技術的培訓�,有效地遏制來自外部和內部的攻擊,增強安全防護能力和隱患發(fā)現能力����,確保高校數字檔案信息資源內容和信息載體的安全。
5.高素質的人才是高校數字化檔案信息安全的保證���。人員管理是高校數字化檔案信息安全工作中最關鍵的部分����,也是最難的部分����。應對各個時期的安全風險,有效管理參與人員應建立在以下兩個假設之上:一是人人都可能帶來不確定的安全風險因素�����,人人都肩負著保證信息安全的職責。在對外部非授權用戶制定防護措施時��,也要加強對內部人員的管理�、培訓、監(jiān)督和審計工作�����。二是參與人員分工不同�,每類人員參與檔案信息安全的工作分工也不同。在保證檔案信息安全工作計劃中��,應明確主管領導����、技術人員、管理人員���、數字檔案形成者和利用者的權利�、責任和義務���。
篇11
一����、工控系統(tǒng)介紹
工業(yè)控制系統(tǒng)由各種組件構成,有些組件是自動的��,有些是能進行過程監(jiān)控的�,兩種組件構成了工業(yè)控制系統(tǒng)的主體�。該系統(tǒng)的主要目的就是在第一時間實現對數據的采集和監(jiān)控工業(yè)生產流程。如圖���,主要分為控制中心�����、通信網絡�����、控制器組�。
工控系統(tǒng)主要包括過程控制���、數據采集系統(tǒng)(SCADA)�����、分布式控制系統(tǒng)(DCS)�����、程序邏輯控制(PLC)以及其他控制系統(tǒng)等����。一直以來,這些系統(tǒng)被應用在不同的工業(yè)領域�����,成為了國家的重點基礎工程項目的建設中不可缺少的成分之一�����。所有的工業(yè)控制系統(tǒng)中�, 工業(yè)控制過程都包括控制回路、人機交互界面(HMI)及遠程診斷與維護組件�����。上圖為典型的ICS 控制過程��。
二�、工控系統(tǒng)的安全現狀分析
隨著計算機技術和工業(yè)生產的結合���,工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS)已成為制造���、電力及交通運輸等行業(yè)的基石��。一方面�,工控系統(tǒng)為工業(yè)的發(fā)展帶來了巨大的積極作用��,另一方面�,因為工業(yè)控制系統(tǒng)的安全防護體系做得還不是很到位��, 很多的非法入侵事件屢見不鮮���,這對工業(yè)的發(fā)展�����,甚至對整個國家的安全戰(zhàn)略提出了挑戰(zhàn)����。尤其是2010 年的Stuxnet 病毒的肆虐��,讓全球都明白,人們一直認為相對安全的工業(yè)控制系統(tǒng)也成為了黑客攻擊的目標����,因此,在第一時間發(fā)現工控系統(tǒng)的安全問題�����,并及時解決這些安全問題是極其重要的����。此外,建設安全可信的工控防御體系���,也是現在各國發(fā)展和建設的重要一環(huán)���。
三、工控系統(tǒng)現存在的問題
3.1系統(tǒng)內部風險:操作系統(tǒng)存在安全漏洞�����。由于工控軟件先設計�����,之后操作系統(tǒng)才會發(fā)現漏洞進行修復,甚至絕大部分工控系統(tǒng)所使用的Windows XP系統(tǒng)生產者Microsoft公司申明:4月8日以后不會對XP系統(tǒng)安全漏洞進行修復���,所以之后工控系統(tǒng)病毒的爆發(fā)會更加頻繁�,使工控系統(tǒng)更加危險��。
無殺毒軟件的問題�����。使用Windows操作系統(tǒng)的工控系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮�,一般不會安裝殺毒軟件,給病毒的傳播與擴散留下了空間�。
u盤傳播病毒問題����。在工控系統(tǒng)中的管理終端一般不會有專門軟件對U盤進行管理,導致外設的無序使用從而引發(fā)工控系統(tǒng)病毒傳播�。
工控系統(tǒng)存在被有意控制的風險。沒有對工控系統(tǒng)的操作行為監(jiān)控和制定相應的措施�,工控系統(tǒng)中的異常行為會給工控系統(tǒng)帶來較大的風險。
3.2 外部問題����。安全評估存在困難��。安全評估是建立安全防護體系的第一步��,工業(yè)控制系統(tǒng)信息安全評估標準是國家頒發(fā)的第一個關于工控系統(tǒng)安全方面的標準���,工信部2011年的通知中明確要求對重點領域的工業(yè)控制系統(tǒng)進行安全評估,但2012 年這項工作遇到了例如缺少針對特定行業(yè)的評估規(guī)范�、只能針對IT系統(tǒng),不能對非IT類的設備進行評估等困難����。
缺乏針對ICS安全有效的解決方案。現有的縱深防御架構解決方案只針對一般ICS模型�,針對特定行業(yè)的工控系統(tǒng)進行防護,還需要在未來大量實踐的基礎上才能完善���。
應對APT攻擊解決效果不佳�。從過去的幾次ICS安全事故來看��,有針對性����、有持續(xù)性的APT攻擊威脅最大,APT 攻擊的防御一直是信息安全行業(yè)面臨的難題,即使是Google��、RSA 這些擁有許多專門人才和對信息安全有大投入的公司在APT攻擊面前也沒能幸免���。
四�、工控系統(tǒng)信息安全的解決
4.1硬件完善�。國際上有兩種不同的工控系統(tǒng)信息安全解決方案: 主動隔離式和被動檢測式
主動隔離式解決方案:即相同功能和安全要求的設備放在同一區(qū)域,區(qū)域間通信有專門通道�����,加強對通道的管理來阻擋非法入侵���,保護其中的設備���。例如:加拿大Byres Security公司推出的Tofino工控系統(tǒng)信息安全解決方案。
被動檢測式解決方案:除了身份認證��、數據加密等技術以外��,多采用病毒查殺����、入侵檢測等方式確定非法身份,多層次部署與檢測來加強網絡信息安全�����。例如:美國Industrial Defender公司的ICS安全解決方案���。
4.2“軟件”完善:安全管理體系���。安全管理防護體系由安全管理制度、安全管理機構���、人員安全管理�����、系統(tǒng)建設管理����、系統(tǒng)運維管理五部分構成��。工控系統(tǒng)管理體系是一個循序漸進的過程����,且要隨著時代的進步隨時更新,逐步完善系統(tǒng),完善管理體系����,最終才能實現工控系統(tǒng)的真正的安全。
安全管理制度:建立��、健全工控系統(tǒng)安全管理制度�����,制定安全工作的總體方針和戰(zhàn)略�,工控系統(tǒng)安全防護及信息錄入納入日常工作管理體系,對安全管理人員或者操作人員所進行的重要操作建立規(guī)范流程���;形成由安全政策�、管理方法�����、操作規(guī)范流程等構成的安全管理制度體系�。
安全管理機構:專門設立的工控信息安全工作部門,確定相關領導為安全事故責任人�����,制定相關文件明確機構��、崗位�、個人的職責分工和要求等。
人員安全管理:規(guī)范重要崗位錄用流程����,對錄用者進行相關身份、背景�����、專業(yè)資質的嚴格審查���,進行相關專業(yè)技能的考核����,與關鍵崗位的人員簽訂保密協(xié)議����;對相關崗位人員進行定期安全培訓教育,嚴格限制外來人員訪問相關區(qū)域��、系統(tǒng)�、設備等����。
系統(tǒng)建設管理:首先要根據系統(tǒng)重要程度設立安全等級實施相應的基本安全措施����,根據實時狀態(tài)更新完善系統(tǒng),制定相應的補充調整安全措施制定長遠的工作計劃�。
五、工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢
