信息安全管理體系建立方案

1、word 完美格式信息安全管理體系建立方案(初稿)精心整理 學(xué)習(xí)幫手word 完美格式信息技術(shù)部2012 年 2 月精心整理 學(xué)習(xí)幫手word 完美格式隨著企業(yè)的發(fā)展?fàn)畲螅?信息安全逐漸被集團(tuán)高層所重視， 但直到目前為止還沒(méi)有一套非常完善的信息安全管理方案， 而且隨著新技術(shù)的不斷涌現(xiàn)， 安全防護(hù)又如何能做到一勞永逸的堅(jiān)守住企業(yè)信息安全的大門便成為每個(gè)信息技術(shù)部門永恒不變的課題。作為天一藥業(yè)集團(tuán)的新興部門， 信息技術(shù)部存在的意義絕對(duì)不是簡(jiǎn)單的電腦維修， 它存在的意義在于要為企業(yè)建設(shè)好信息安全屏障，保護(hù)企業(yè)的信息安全，同時(shí)通過(guò)信息交互平臺(tái)，簡(jiǎn)化辦公流程，提高工作效率，這才是部門存在的目的和意義，信

2、息技術(shù)部通過(guò)不斷的學(xué)習(xí)，研究，通過(guò)大量的調(diào)研，終于開始著手建立屬于天一藥業(yè)自己的信息堡壘。企業(yè)信息安全主要包括了四個(gè)方面的內(nèi)容， 即實(shí)體安全、 運(yùn)行安全、 信息資產(chǎn)安全和人員安全， 信息技術(shù)部將從這四個(gè)方面詳細(xì)提出解決方案，供領(lǐng)導(dǎo)參考，評(píng)議。一、 實(shí)體安全防護(hù)：所謂實(shí)體安全就是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過(guò)程。要想做好實(shí)體安全就必須要保證以下幾點(diǎn)的安全：1、 環(huán)境安全：每個(gè)實(shí)體都存在于環(huán)境當(dāng)中， 環(huán)境的安全對(duì)于實(shí)體來(lái)講尤為重要，但對(duì)于環(huán)境來(lái)講要想做到 100% 的安全精心整理 學(xué)習(xí)幫手word 完美格式那是不現(xiàn)實(shí)的，因?yàn)榄h(huán)境

3、是在不斷的變化的，所以我們只能做到相對(duì)的安全，對(duì)于天一集團(tuán)來(lái)講，集團(tuán)及各子廠所在的地理位置即稱之為環(huán)境， 計(jì)算機(jī)實(shí)體設(shè)備都存放于這個(gè)環(huán)境之中， 所以要求集團(tuán)及各子廠的辦公樓要具備一定的防災(zāi)（防震，防火，防水，防盜等）能力。機(jī)房作為服務(wù)器所在的環(huán)境，要求機(jī)房要具備防火、防塵、防水、防盜的能力，所以根據(jù)現(xiàn)用機(jī)房管理制度要求，集團(tuán)現(xiàn)用機(jī)房的環(huán)境除不具備防塵能力外，基本上仍能滿足環(huán)境安全條件。2、 設(shè)備及媒體安全：計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)） 、媒體設(shè)備的安全需要具備一定的安全保障，而為了保障設(shè)備安全，首先需要確定設(shè)備對(duì)象， 針對(duì)不同的管理設(shè)備制訂相應(yīng)的保障條例，比如計(jì)算機(jī)設(shè)備的管理?xiàng)l例中就應(yīng)該明確規(guī)定

4、里面的散件也應(yīng)屬于固定資產(chǎn)，應(yīng)對(duì)散件加強(qiáng)管理，每次固定資產(chǎn)盤點(diǎn)時(shí)應(yīng)仔細(xì)核對(duì)其配置信息， 而不是只盤點(diǎn)主機(jī)數(shù)量。同時(shí)為了保障機(jī)器中配件的安全，需要對(duì)所有設(shè)備加裝機(jī)箱鎖， 由信息技術(shù)部， 行政部共同掌握鑰匙。散件的使用情況必須建立散件庫(kù)臺(tái)帳， 由信息技術(shù)部管理，行政部將對(duì)信息部進(jìn)行監(jiān)督。對(duì)于移動(dòng)設(shè)備（筆記本、移動(dòng)硬盤、 U 盤等）不允許帶離集團(tuán)， 如必須帶離集團(tuán)需要經(jīng)信息部、 行政精心整理 學(xué)習(xí)幫手word 完美格式部以及申請(qǐng)部門共同簽字后方可帶走， 同時(shí)對(duì)帶離的設(shè)備進(jìn)行詳細(xì)登記， 同時(shí)還需標(biāo)注帶回時(shí)間。 對(duì)于未能按要求時(shí)間歸還的人員進(jìn)行處罰。二、 運(yùn)行安全防護(hù)：運(yùn)行安全是為了保障系統(tǒng)功能的安全實(shí)

5、現(xiàn)，提供一套安全措施來(lái)保護(hù)信息處理過(guò)程的安全。為了保障系統(tǒng)功能的安全，必須采取風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急處理等措施。1、 風(fēng)險(xiǎn)分析：這不僅僅是對(duì)新系統(tǒng)的風(fēng)險(xiǎn)分析，它更重要的是對(duì)現(xiàn)用系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析，對(duì)于運(yùn)營(yíng)環(huán)節(jié)、信息管控環(huán)節(jié)存在的風(fēng)險(xiǎn)予以封堵。所以集團(tuán)首先要建立一套完善的風(fēng)險(xiǎn)評(píng)估制度與風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)，這套標(biāo)準(zhǔn)需要詳細(xì)明確各風(fēng)險(xiǎn)項(xiàng)以及評(píng)分標(biāo)準(zhǔn)，這樣才能保證風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確客觀，但標(biāo)準(zhǔn)的制訂不是一個(gè)、兩個(gè)部門就可以完成的，因?yàn)轱L(fēng)險(xiǎn)評(píng)估將貫徹到集團(tuán)的各個(gè)環(huán)節(jié)， 各個(gè)部門，所以應(yīng)由各部門共同協(xié)作來(lái)完成。建議集團(tuán)盡快成立風(fēng)險(xiǎn)評(píng)估小組，小組成員應(yīng)包含各個(gè)部門的負(fù)責(zé)人，通過(guò)大家來(lái)集思廣益，完成風(fēng)險(xiǎn)評(píng)

6、估制度。2、 審計(jì)跟蹤：對(duì)于所有風(fēng)險(xiǎn)進(jìn)行評(píng)估后，由風(fēng)險(xiǎn)評(píng)估小組研究切實(shí)可行的方案與方法， 然后由相關(guān)部門落實(shí)實(shí)施，在實(shí)施的過(guò)程中需要由集團(tuán)審計(jì)、內(nèi)控等部門進(jìn)行跟蹤，對(duì)于執(zhí)行結(jié)果進(jìn)行評(píng)估。精心整理 學(xué)習(xí)幫手word 完美格式3、 應(yīng)急處理方案：由風(fēng)險(xiǎn)評(píng)估小組針對(duì)于集團(tuán)目前無(wú)法解決的問(wèn)題進(jìn)行風(fēng)險(xiǎn)預(yù)測(cè)，并制訂應(yīng)急處理方案，應(yīng)急處理方案不能為一套，因?yàn)橛酗L(fēng)險(xiǎn)就意味首有變數(shù)， 既然可變，那么處理的方式肯定會(huì)有不同，所以在研究應(yīng)急處理方案的時(shí)候應(yīng)該充分考慮到所有的因素、條件，研究出不少于 3 種的解決方案。4、 備份與恢復(fù)：這方面主要涉及的就是服務(wù)器（含網(wǎng)絡(luò)）的配置信息，因?yàn)榫W(wǎng)絡(luò)的安全運(yùn)行離不開網(wǎng)絡(luò)接入設(shè)

7、備，防火墻設(shè)備、網(wǎng)絡(luò)核心設(shè)備、服務(wù)器設(shè)備，終端設(shè)備等的通力合作，所以對(duì)于這些設(shè)備的配置信息一定要進(jìn)行相應(yīng)的備份操作，一旦出現(xiàn)故障，可以減少問(wèn)題的處理時(shí)間，可保障網(wǎng)絡(luò)及數(shù)據(jù)的盡快暢通，將損失降到最低。三、 信息資產(chǎn)安全防護(hù)：信息資產(chǎn)安全是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露、 更改、 破壞或使信息被非法的系統(tǒng)辨識(shí)、 控制，即確保信息的完整性、可用性、保密性和可控性。信息資產(chǎn)包括文件、數(shù)據(jù)等。信息資產(chǎn)安全包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、病毒防護(hù)、訪問(wèn)控制、加密、鑒別等。信息資產(chǎn)的安全是企業(yè)信息安全的核心問(wèn)題，信息資產(chǎn)作為企業(yè)的無(wú)形資產(chǎn)，其價(jià)格無(wú)可估量。有些信息還可能決定企業(yè)的生死存亡，所

8、以信息資產(chǎn)的安全防護(hù)是信息精心整理 學(xué)習(xí)幫手word 完美格式技術(shù)部工作的重中之重。結(jié)合集團(tuán)現(xiàn)行的信息管理方式，根本沒(méi)有任何的信息資產(chǎn)安全防護(hù)手段，比如財(cái)務(wù)服務(wù)器由財(cái)務(wù)人員自行管理，一個(gè)人就可以操作財(cái)務(wù)服務(wù)器，而且服務(wù)器都開通了遠(yuǎn)程桌面功能，有管理員的帳號(hào)、密碼就可以隨時(shí)在集團(tuán)任何一臺(tái)計(jì)算上登陸服務(wù)器進(jìn)行的操作，這是相當(dāng)致命的， 我們只能奢求操作人是可以信任的，否則后果真是不敢想象。出于以上考慮信息技術(shù)部建議從以下幾點(diǎn)進(jìn)行改進(jìn)：1、 財(cái)務(wù)服務(wù)器應(yīng)共由信息技術(shù)部與財(cái)務(wù)中心共同管理，服務(wù)器的登陸密碼由信息技術(shù)部掌握，金蝶軟件的高級(jí)密碼由財(cái)務(wù)中心掌握，當(dāng)需要操作財(cái)務(wù)服務(wù)器時(shí)，應(yīng)該有財(cái)務(wù)中心總經(jīng)理的審

9、批手續(xù)方能操作服務(wù)器，信息技術(shù)部人員在見(jiàn)到財(cái)務(wù)中心總經(jīng)理的審批手續(xù)后方可與財(cái)務(wù)中心授權(quán)人共同進(jìn)行機(jī)房操作服務(wù)器，同時(shí)應(yīng)該記錄服務(wù)器操作日志，記錄操作過(guò)程，同時(shí)所有財(cái)務(wù)服務(wù)器操作人員與信息技術(shù)部人員都需要簽訂保密協(xié)議。2、 財(cái)務(wù)服務(wù)器必須放置在機(jī)房并且具備上鎖功能的機(jī)柜里，同時(shí)關(guān)閉財(cái)務(wù)服務(wù)器的遠(yuǎn)程桌面功能，每次的操作都需要審批后才能執(zhí)行。3、 每季度對(duì)服務(wù)器的密碼進(jìn)行更換（包括服務(wù)器登陸密碼及金蝶高級(jí)管理密碼） ，并由信息技術(shù)部監(jiān)督修改過(guò)程。精心整理 學(xué)習(xí)幫手word 完美格式4、 每周對(duì)服務(wù)器數(shù)據(jù)進(jìn)行備份操作，并做好數(shù)據(jù)備份登記工作，每季度對(duì)所備份數(shù)據(jù)進(jìn)行恢復(fù)性測(cè)試，保證備份數(shù)據(jù)完整性。同時(shí)要

10、進(jìn)行必要的重要數(shù)據(jù)異地備份，強(qiáng)化數(shù)據(jù)的容災(zāi)能力。5、 每周對(duì)服務(wù)器進(jìn)行一次升級(jí)、更新、殺毒操作，保障服務(wù)器不被病毒感染，以起到病毒防護(hù)的目的。6、 為了能夠盡快的建立起信息安全管控網(wǎng)絡(luò)，希望集團(tuán)可以盡快的引進(jìn)上網(wǎng)行為管控設(shè)備，通過(guò)上網(wǎng)行為管控設(shè)備與易捷終端管控設(shè)備聯(lián)動(dòng)管理，共同構(gòu)建網(wǎng)絡(luò)應(yīng)用安全環(huán)境。7、 為了減少紙制文件泄露的風(fēng)險(xiǎn)，加快審批效率，建議集團(tuán)盡快上一套辦公協(xié)同管理系統(tǒng)（ OA ），將所有的審批流程通過(guò)電子文件傳輸， 一方面電子審批加強(qiáng)了訪問(wèn)機(jī)制 （未被授權(quán)無(wú)法訪問(wèn)） ，另一方面電子審批可以加快審批速度， 提高工作效率， 同時(shí)通過(guò)辦公協(xié)同管理系統(tǒng)的網(wǎng)絡(luò)文件夾功能，可以把集團(tuán)的重要資料

11、統(tǒng)一管理，訪問(wèn)資料需審批，以避免信息外泄的風(fēng)險(xiǎn)，同時(shí)也可解決一部分外發(fā)文件的保密性、安全性問(wèn)題。四、 人員安全防護(hù)：人員安全主要是指信息系統(tǒng)使用人員的安全意識(shí)、法律意識(shí)、安全技能等。人員的安全意識(shí)是與其所掌握的安全技能有關(guān)，而安全技能又與其所接受安全技能培訓(xùn)有精心整理 學(xué)習(xí)幫手word 完美格式關(guān)。因此，人員的安全意識(shí)是通過(guò)培訓(xùn)，以及安全技能的積累才能逐步提高。信息是不變的，而人是有思想的，只有人員的綜合素質(zhì)提高了，意識(shí)提高了才能在根本上解決信息安全問(wèn)題，所以應(yīng)該有針對(duì)性的，有步驟的推進(jìn)員工的安全培訓(xùn)，增加員工信息安全意識(shí)，提升對(duì)企業(yè)的忠誠(chéng)度，這樣就會(huì)大幅度降低企業(yè)信息外泄風(fēng)險(xiǎn)。綜上所述，以上的解決方案仍然不夠完善，但對(duì)于企業(yè)目前階段還是比較適用的，因?yàn)榘l(fā)展需要時(shí)間，制度的建立需要完善，但上網(wǎng)行為管控設(shè)備及辦公協(xié)同系統(tǒng)（ OA ）希望領(lǐng)導(dǎo)能夠盡快決定，以便能夠早一天完善信息安全體系，保障集團(tuán)信息網(wǎng)絡(luò)安全。歡迎您的 光臨， Word 文檔下 載后可 修改編 輯 雙 擊可刪 除頁(yè)眉 頁(yè)腳 謝謝！ 希望您 提出您 寶貴的 意見(jiàn)， 你的意 見(jiàn)是我 進(jìn)步的 動(dòng)力。 贈(zèng)語(yǔ)； 、如果我 們做與 不做都 會(huì)有人 笑，如 果做不 好與做 得好還 會(huì)有人 笑，那 么我們 索性就 做得更 好，來(lái) 給人笑 吧！ 、 現(xiàn)在你