信息安全建設(shè)工作思路探討

1、信息安全建設(shè)工作思路探討 摘要：隨著互聯(lián)網(wǎng)+飛速發(fā)展，電子業(yè)務(wù)的不斷創(chuàng)新發(fā)展，加強(qiáng)信息安全建設(shè)逐漸成為各項(xiàng)工作中的頭等大事。本文重點(diǎn)分析了目前信息安全建設(shè)方面存在的不足和缺失，以及下階段如何開展工作不斷強(qiáng)化人員安全意識(shí)，加強(qiáng)信息安全建設(shè)工作，以保障信息化建設(shè)安全運(yùn)行，各項(xiàng)工作順利開展，順應(yīng)時(shí)代的大步伐跨越式發(fā)展。 關(guān)鍵詞：信息安全；信息科技風(fēng)險(xiǎn)；管理體系 1信息安全建設(shè)現(xiàn)狀 現(xiàn)行制度方面，現(xiàn)行有效制度涵蓋軟件開發(fā)、軟硬件運(yùn)維、應(yīng)急管理、安全操作、外包管理、供應(yīng)商管理等方面，覆蓋面較為全面，但是缺乏體系，沒(méi)有根據(jù)一個(gè)標(biāo)準(zhǔn)系統(tǒng)的制定出一整套操作性強(qiáng)、執(zhí)行性強(qiáng)的制度體系。上報(bào)機(jī)制方面，目前采取信息處

2、內(nèi)部逐級(jí)上報(bào)機(jī)制，即發(fā)現(xiàn)問(wèn)題上報(bào)至科長(zhǎng)，科長(zhǎng)根據(jù)重要等級(jí)不同決定上報(bào)給處長(zhǎng)、主管主任、信息科技委員會(huì)。內(nèi)部評(píng)審方面，現(xiàn)階段只針對(duì)現(xiàn)行制度對(duì)文檔的完整性和準(zhǔn)確性進(jìn)行事后自評(píng)，定期配合外部審計(jì)機(jī)構(gòu)進(jìn)行專項(xiàng)審計(jì);監(jiān)控平臺(tái)只對(duì)機(jī)房環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)及系統(tǒng)軟件進(jìn)行實(shí)時(shí)監(jiān)控。信息科技風(fēng)險(xiǎn)評(píng)估方面，根據(jù)國(guó)家標(biāo)準(zhǔn)從信息資產(chǎn)、威脅、脆弱性的識(shí)別、風(fēng)險(xiǎn)值評(píng)估、風(fēng)險(xiǎn)項(xiàng)統(tǒng)計(jì)分析、總體評(píng)價(jià)和不可接受風(fēng)險(xiǎn)處理等7個(gè)方面，對(duì)整體信息化系統(tǒng)包含的硬件設(shè)備、軟件系統(tǒng)、數(shù)據(jù)信息和管理制度等內(nèi)容進(jìn)行了全面的評(píng)估，每半年上報(bào)一次信息科技風(fēng)險(xiǎn)報(bào)告，并制定相應(yīng)的整改計(jì)劃。 2信息安全建設(shè)存在的問(wèn)題 21管理制度建立不完善 目前，在信息

3、科技風(fēng)險(xiǎn)的上報(bào)機(jī)制、自評(píng)機(jī)制和監(jiān)控機(jī)制都存在著不同程度上有所缺失，例如尚未建立雙向上報(bào)機(jī)制;自評(píng)范圍不全面，缺少對(duì)數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)等的覆蓋;缺少殘余信息科技風(fēng)險(xiǎn)的控制緩釋措施及評(píng)價(jià)流程。同時(shí)，現(xiàn)有信息科技風(fēng)險(xiǎn)管理制度的完整性、可操作性需要進(jìn)一步改進(jìn)。 22信息安全意識(shí)不強(qiáng) 職工信息安全意識(shí)較為缺乏，沒(méi)能把信息安全意識(shí)變成一種習(xí)慣、一種常態(tài)化的意識(shí)真正融入到日常的工作生活中，沒(méi)能真正意識(shí)到加強(qiáng)信息安全的重要程度。 3信息安全建設(shè)工作思路 隨著互聯(lián)網(wǎng)+迅猛發(fā)展，加強(qiáng)信息安全建設(shè)日益重要，我認(rèn)為應(yīng)從加強(qiáng)安全審計(jì)、建立風(fēng)險(xiǎn)上報(bào)機(jī)制、強(qiáng)化信息安全管理、科技信息風(fēng)險(xiǎn)防范等四個(gè)方面不斷加強(qiáng)信息安

4、全建設(shè)工作: 31分析差距，完善內(nèi)審監(jiān)控管理體系 按照信息安全管理體系iso27001標(biāo)準(zhǔn)梳理現(xiàn)狀，認(rèn)真分析研究，查找存在的差距，制定信息安全內(nèi)控操作規(guī)程，針對(duì)軟件開發(fā)、軟件運(yùn)維、硬件管理各項(xiàng)工作中具體內(nèi)控操作流程制定信息安全審計(jì)依據(jù)?？陕?lián)合相關(guān)處室，定期組織信息安全內(nèi)部審計(jì)，建立事前預(yù)警、事后考評(píng)的整套內(nèi)審監(jiān)控管理體系，對(duì)潛在的信息風(fēng)險(xiǎn)進(jìn)行有效控制。 32安全防控，建立風(fēng)險(xiǎn)上報(bào)長(zhǎng)效機(jī)制 依據(jù)cia屬性對(duì)現(xiàn)有信息資產(chǎn)按照實(shí)物資產(chǎn)、人員資產(chǎn)、數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)進(jìn)行分類賦值，識(shí)別信息資產(chǎn)面臨的威脅與弱點(diǎn)，推導(dǎo)出信息資產(chǎn)面臨的安全風(fēng)險(xiǎn)，提出相應(yīng)的安全措施并制定整改計(jì)劃。另外，建立風(fēng)險(xiǎn)點(diǎn)上報(bào)

5、機(jī)制，各個(gè)分管機(jī)構(gòu)風(fēng)險(xiǎn)管理員負(fù)責(zé)收集存在的風(fēng)險(xiǎn)點(diǎn)隱患并及時(shí)上報(bào)信息處、風(fēng)險(xiǎn)處，由信息處匯總風(fēng)險(xiǎn)點(diǎn)，雙向上報(bào)給風(fēng)險(xiǎn)處及相關(guān)領(lǐng)導(dǎo)，針對(duì)風(fēng)險(xiǎn)點(diǎn)中提出的問(wèn)題及時(shí)跟進(jìn)，并協(xié)調(diào)相關(guān)處室進(jìn)行有效處理。 33強(qiáng)化意識(shí)，緊抓信息安全管理 針對(duì)目前職工信息安全意識(shí)較為薄弱的現(xiàn)狀，一是借助官方網(wǎng)站、微博、月刊、簡(jiǎn)報(bào)等宣傳載體，開展形式多樣的信息安全的宣傳教育活動(dòng)，讓每名干部職工時(shí)刻緊繃信息安全這根弦;二是邀請(qǐng)專家定期組織信息安全培訓(xùn)，普及安全應(yīng)用技術(shù)，強(qiáng)化全員的安全責(zé)任和意識(shí)。三是結(jié)合各部門信息安全工作實(shí)際，就一段時(shí)期內(nèi)容易產(chǎn)生的安全問(wèn)題組織不定期的安全技術(shù)人員專題講座，提高信息網(wǎng)絡(luò)安全管理人員的能力。 34抓好關(guān)鍵，確保信息安全工作無(wú)死角 一是抓好關(guān)鍵部位的安全。按照影響的重要程度劃分，重點(diǎn)加強(qiáng)對(duì)互聯(lián)網(wǎng)和未來(lái)電子業(yè)務(wù)的安全監(jiān)控，并定期進(jìn)行安全掃描和測(cè)評(píng)，保證關(guān)鍵設(shè)備關(guān)鍵系統(tǒng)的安全運(yùn)行。二是抓好關(guān)鍵時(shí)間的安全。針對(duì)管理現(xiàn)狀，我建議增加對(duì)值班人員的監(jiān)督管理，加強(qiáng)對(duì)交接班以及節(jié)假日關(guān)鍵時(shí)間節(jié)點(diǎn)的安全監(jiān)控;三是抓好關(guān)鍵崗位人員的安全