對(duì)集團(tuán)公司信息安全工作的建議

1、關(guān)于集團(tuán)公司信息安全建設(shè)的建議（提綱）（分子公司名稱）一、本公司系統(tǒng)信息安全現(xiàn)狀二、關(guān)于集團(tuán)公司信息安全建設(shè)指導(dǎo)思想、目標(biāo)、原則的建議三、關(guān)于集團(tuán)公司信息安全策略的建議四、關(guān)于集團(tuán)公司信息安全體系的建議五、關(guān)于集團(tuán)公司信息安全建設(shè)內(nèi)容的建議（一）信息安全管理體系方面的建議（二）信息安全技術(shù)體系方面的建議（三）信息系統(tǒng)運(yùn)維安全方面的建議（四）信息項(xiàng)目建設(shè)與報(bào)廢安全方面的建議（五）信息安全平臺(tái)建設(shè)方面的建議（六）其它方面的建議六、關(guān)于集團(tuán)公司信息安全建設(shè)保障措施的建議1、加強(qiáng)對(duì)集團(tuán)公司信息化建設(shè)的領(lǐng)導(dǎo)。由集團(tuán)公司領(lǐng)導(dǎo)掛帥，成立“信息安全管理組織”，推行信息安全管理制度。這個(gè)組織是集團(tuán)公司在信息系統(tǒng)

2、安全方面的最高權(quán)力組織。信息安全是所有管理層成員所共有的責(zé)任，一個(gè)管理組織應(yīng)確保有明確的安全目標(biāo)。信息化建設(shè)必須由集團(tuán)公司領(lǐng)導(dǎo)親自抓、親自參與，否則投入再大，做的再好，也有可能失敗。2、建立信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估機(jī)制。網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)應(yīng)該建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，集團(tuán)公司主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過(guò)程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，才能避免重復(fù)建設(shè)和投資的浪費(fèi)。3、提供足夠的資金保障。集團(tuán)公司應(yīng)該在每年的預(yù)算中規(guī)劃出一定數(shù)額的資金，?？顚Ｓ?，以保證集團(tuán)信息化建設(shè)資金投入的需要。同時(shí)，集團(tuán)公司在進(jìn)行基本

3、建設(shè)和技術(shù)改造時(shí)，要充分考慮信息化的需求。4、加強(qiáng)設(shè)備保障。設(shè)備指與信息化相關(guān)的所有軟硬件設(shè)備。引進(jìn)的硬件和軟件應(yīng)統(tǒng)一納入職能部門固定資產(chǎn)管理范疇。引進(jìn)軟件要和軟件正版化規(guī)劃一起考慮；引進(jìn)硬件和計(jì)算機(jī)設(shè)備升級(jí)換代一起考慮，實(shí)現(xiàn)設(shè)備管理規(guī)范化。確保集團(tuán)信息化建設(shè)必須的設(shè)備及時(shí)到位。5、加強(qiáng)集團(tuán)信息化人才隊(duì)伍的建設(shè)。制定吸引、穩(wěn)定信息化人才的措施，以確保人才不外流。建立多層次、多渠道、重實(shí)效的信息化人力資源培養(yǎng)制度和考核機(jī)制。七、關(guān)于集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊(cè)修訂的建議1、制定集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊(cè)應(yīng)包含以下主要內(nèi)容：有主要領(lǐng)導(dǎo)負(fù)責(zé)的逐級(jí)安全保護(hù)管理責(zé)任制，配備專職的信息安全管理人員，各級(jí)職責(zé)

4、劃分明確，并有效開(kāi)展工作；明確運(yùn)行和使用部門或崗位責(zé)任制，建立信息安全管理規(guī)章制度；在職工群眾中普及網(wǎng)路與信息安全知識(shí)，對(duì)重點(diǎn)崗位職工進(jìn)行專門培訓(xùn)和考核；采取必要的安全技術(shù)措施；對(duì)出現(xiàn)的網(wǎng)絡(luò)與信息安全問(wèn)題應(yīng)有文檔記錄和應(yīng)對(duì)措施；定期進(jìn)行網(wǎng)絡(luò)與信息安全檢查、風(fēng)險(xiǎn)分析及出現(xiàn)的隱患進(jìn)行整改；實(shí)行信息安全等級(jí)保護(hù)制度。2、在集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊(cè)中，還應(yīng)制定系統(tǒng)運(yùn)行情況記錄制度。1）、數(shù)據(jù)量處理：包括系統(tǒng)每天運(yùn)行的時(shí)間、處理內(nèi)容、數(shù)據(jù)吞吐量等內(nèi)容，這些資料是反應(yīng)信息系統(tǒng)軟硬件功能和狀態(tài)最基本的數(shù)據(jù)。2）、數(shù)據(jù)處理效率：如果信息安全管理人員“感覺(jué)”數(shù)據(jù)處理速度明顯變慢，那么就可以通過(guò)對(duì)歷史記錄的分析

5、，找出可能的原因，并一一排除。3）、系統(tǒng)的故障及維修情況：無(wú)論系統(tǒng)故障大小，都應(yīng)該及時(shí)地記錄故障發(fā)生的時(shí)間、故障的現(xiàn)象、故障發(fā)生時(shí)的工作環(huán)境、處理方法、處理結(jié)果、處理人員、善后措施、原因分析等，這有利于信息管理人員對(duì)系統(tǒng)的評(píng)價(jià)及提出進(jìn)一步擴(kuò)展完善建議。3、集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊(cè)要不斷的補(bǔ)充和完善。集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊(cè)是集團(tuán)信息化建設(shè)的重要組成部分，它是集團(tuán)公司信息化建設(shè)過(guò)程中形成、積累的，是以文字、圖紙、表格等多種形式記錄了集團(tuán)信息化的建設(shè)發(fā)展過(guò)程。所以要不斷的對(duì)集團(tuán)公司網(wǎng)絡(luò)與信息安全手冊(cè)進(jìn)行補(bǔ)充和完善，來(lái)滿足集團(tuán)公司信息化不斷發(fā)展建設(shè)的需要。八、其它有關(guān)集團(tuán)公司信息安全建設(shè)的建議1

6、、要從技術(shù)手段上保證集團(tuán)信息化的安全。集團(tuán)信息化建設(shè)由于其本身開(kāi)放性所帶來(lái)的各個(gè)方面的安全問(wèn)題是事實(shí)存在的。集團(tuán)公司應(yīng)該正視這一事實(shí)的基礎(chǔ)上，承認(rèn)不可能有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)的前提下，努力探討如何加強(qiáng)網(wǎng)絡(luò)安全防范性能，如何通過(guò)安全系列軟件、硬件及相關(guān)管理手段提高網(wǎng)絡(luò)信息系統(tǒng)的安全性能，降低安全風(fēng)險(xiǎn)，及時(shí)準(zhǔn)確地掌握網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題及薄弱環(huán)節(jié)，及早發(fā)現(xiàn)安全漏洞、攻擊行為井針對(duì)性地做出預(yù)防處理。2、要建立、健全集團(tuán)信息化安全管理制度。集團(tuán)信息化建設(shè)的安全，在很大程度上依賴于最初設(shè)計(jì)時(shí)制定的網(wǎng)絡(luò)信息系統(tǒng)安全策略及相關(guān)管理策略。因?yàn)樗邪踩夹g(shù)和手段，都圍繞這一策略來(lái)選擇和使用，如果在安全管理策略上

7、出了問(wèn)題，相當(dāng)于沒(méi)有安全系統(tǒng)。同時(shí)，從大角度來(lái)看，集團(tuán)信息化建設(shè)安全與嚴(yán)格、完善的管理是密不可分的。在集團(tuán)信息化建設(shè)安全領(lǐng)域，技術(shù)手段和相關(guān)安全工具只是輔助手段，離開(kāi)完善的管理制度與措施，是沒(méi)法發(fā)揮應(yīng)有的作用并建設(shè)良好的網(wǎng)絡(luò)信息安全空間的。集團(tuán)信息化建設(shè)一項(xiàng)重要而且長(zhǎng)期的工作，為此必須建立一個(gè)信息安全工作的組織體系和常設(shè)機(jī)構(gòu)，明確領(lǐng)導(dǎo)，設(shè)立專責(zé)人長(zhǎng)期負(fù)責(zé)信息安全的管理工作和技術(shù)工作，才能取得好的成績(jī)。3、對(duì)集團(tuán)信息化建設(shè)要定期評(píng)估，不斷的發(fā)展，改進(jìn)，完善。集團(tuán)信息化應(yīng)用是隨著集團(tuán)的發(fā)展而不斷發(fā)展的，信息技術(shù)更是日新月異的發(fā)展的，安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜，在研制開(kāi)發(fā)過(guò)程中不可避免的會(huì)出現(xiàn)這樣或者那樣的問(wèn)題，這就決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的，未知的信息安全威脅。安全的需求也是逐步變化的，新的安全問(wèn)題也會(huì)隨著集團(tuán)信息化建設(shè)過(guò)程中不斷產(chǎn)生，原來(lái)建設(shè)的防護(hù)系統(tǒng)可能都不滿足在新形勢(shì)下的安全需要，這些都決定了信息安全建設(shè)是一個(gè)動(dòng)態(tài)過(guò)程。需要集團(tuán)信息管理人員定期對(duì)信息網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估，改進(jìn)安全方案，調(diào)整安全策略。還有不是所有的信息安全問(wèn)題都能一次解決，集團(tuán)信息化管理人員要對(duì)信息安全問(wèn)題的認(rèn)識(shí)要隨著技術(shù)和應(yīng)用的發(fā)展而不斷的提高。同時(shí)集團(tuán)信息化管理人員也要明白一個(gè)道理，市場(chǎng)上信息安全生產(chǎn)廠家所生產(chǎn)的安全系統(tǒng)和設(shè)備，也僅僅是滿足某一