前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全方針和策略范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

信息安全方針和策略范文第1篇

論文關(guān)鍵詞:信息安全外包風(fēng)險(xiǎn)管理

論文摘要:文章首先分析了信息安全外包存在的風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)提出信息安全外包的管理框架，并以此框架為基礎(chǔ)詳細(xì)探討了信息安全外包風(fēng)險(xiǎn)與管理的具體實(shí)施。文章以期時(shí)信息安全外包的風(fēng)險(xiǎn)進(jìn)行控制，并獲得與外包商合作的最大收益。

1信息安全外包的風(fēng)險(xiǎn)

1.1信任風(fēng)險(xiǎn)

企業(yè)是否能與信息安全服務(wù)的外包商建立良好的工作和信任關(guān)系，仍是決定時(shí)候?qū)踩?wù)外包的一個(gè)重要因素。因?yàn)樾畔踩耐獍炭梢栽L問(wèn)到企業(yè)的敏感信息，并全面了解其企業(yè)和系統(tǒng)的安全狀況，而這些重要的信息如果被有意或無(wú)意地對(duì)公眾散播出去，則會(huì)對(duì)企業(yè)造成巨大的損害。并且，如若企業(yè)無(wú)法信任外包商，不對(duì)外包商提供一些關(guān)鍵信息的話，則會(huì)造成外包商在運(yùn)作過(guò)程中的信息不完全，從而導(dǎo)致某些環(huán)節(jié)的失效，這也會(huì)對(duì)服務(wù)質(zhì)量造成影響。因此，信任是雙方合作的基礎(chǔ)，也是很大程度上風(fēng)險(xiǎn)規(guī)避的重點(diǎn)內(nèi)容。

1.2依賴風(fēng)險(xiǎn)

企業(yè)很容易對(duì)某個(gè)信息安全服務(wù)的外包商產(chǎn)生依賴性，并受其商業(yè)變化、商業(yè)伙伴和其他企業(yè)的影響，恰當(dāng)?shù)娘L(fēng)險(xiǎn)緩釋方法是將安全服務(wù)外包給多個(gè)服務(wù)外包商，但相應(yīng)地會(huì)加大支出并造成管理上的困難，企業(yè)將失去三種靈活性:第一種是短期靈活性，即企業(yè)重組資源的能力以及在經(jīng)營(yíng)環(huán)境發(fā)生變化時(shí)的應(yīng)變能力;第二種是適應(yīng)能力，即在短期到中期的事件范圍內(nèi)所需的靈活性，這是一種以新的方式處理變革而再造業(yè)務(wù)流程和戰(zhàn)略的能力，再造能力即包括了信息技術(shù);第三種靈活性就是進(jìn)化性，其本質(zhì)是中期到長(zhǎng)期的靈活性，它產(chǎn)生于企業(yè)改造技術(shù)基本設(shè)施以利用新技術(shù)的時(shí)期。進(jìn)化性的獲得需要對(duì)技術(shù)趨勢(shì)、商業(yè)趨勢(shì)的準(zhǔn)確預(yù)測(cè)和確保雙方建立最佳聯(lián)盟的能力。

1.3所有權(quán)風(fēng)險(xiǎn)

不管外包商提供服務(wù)的范圍如何，企業(yè)都對(duì)基礎(chǔ)設(shè)施的安全操作和關(guān)鍵資產(chǎn)的保護(hù)持有所有權(quán)和責(zé)任。企業(yè)必須確定服務(wù)外包商有足夠的能力承擔(dān)職責(zé)，并且其服務(wù)級(jí)別協(xié)議條款支持這一職責(zé)的履行。正確的風(fēng)險(xiǎn)緩釋方法是讓包括員工和管理的各個(gè)級(jí)別的相關(guān)人員意識(shí)到，應(yīng)該將信息安全作為其首要責(zé)任，并進(jìn)行安全培訓(xùn)課程，增強(qiáng)常規(guī)企業(yè)的安全意識(shí)。

1.4共享環(huán)境風(fēng)臉

信息安全服務(wù)的外包商使用的向多個(gè)企業(yè)提供服務(wù)的操作環(huán)境要比單獨(dú)的機(jī)構(gòu)內(nèi)部環(huán)境將包含更多的風(fēng)險(xiǎn)，因?yàn)楣蚕淼牟僮鳝h(huán)境將支持在多企業(yè)之間共享數(shù)據(jù)傳輸(如公共網(wǎng)絡(luò))或處理(如通用服務(wù)器)，這將會(huì)增加一個(gè)企業(yè)訪問(wèn)另一企業(yè)敏感信息的可能性。這對(duì)企業(yè)而言也是一種風(fēng)險(xiǎn)。

1.5實(shí)施過(guò)程風(fēng)險(xiǎn)

啟動(dòng)一個(gè)可管理的安全服務(wù)關(guān)系可能引起企業(yè)到服務(wù)外包商，或者一個(gè)服務(wù)外包商到另一個(gè)外包商之間的人員、過(guò)程、硬件、軟件或其他資產(chǎn)的復(fù)雜過(guò)渡，這一切都可能引起新的風(fēng)險(xiǎn)。企業(yè)應(yīng)該要求外包商說(shuō)明其高級(jí)實(shí)施計(jì)劃，并注明完成日期和所用時(shí)間。這樣在某種程度上就對(duì)實(shí)施過(guò)程中風(fēng)險(xiǎn)的時(shí)間期限做出了限制。

1.6合作關(guān)系失敗將導(dǎo)致的風(fēng)險(xiǎn)

如果企業(yè)和服務(wù)商的合作關(guān)系失敗，企業(yè)將面臨極大的風(fēng)險(xiǎn)。合作關(guān)系失敗帶來(lái)的經(jīng)濟(jì)損失、時(shí)間損失都是不言而喻的，而這種合作關(guān)系的失敗歸根究底來(lái)自于企業(yè)和服務(wù)外包商之間的服務(wù)計(jì)劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關(guān)系在任何階段都有可能失敗，如同其他商業(yè)關(guān)系一樣，它需要給予足夠的重視、關(guān)注，同時(shí)還需要合作關(guān)系雙方進(jìn)行頻繁的溝通。

2信息安全外包的管理框架

要進(jìn)行成功的信息安全外包活動(dòng)，就要建立起一個(gè)完善的管理框架，這對(duì)于企業(yè)實(shí)施和管理外包活動(dòng)，協(xié)調(diào)與外包商的關(guān)系，最大可能降低外包風(fēng)險(xiǎn)，從而達(dá)到外包的目的是十分重要的。信息安全外包的管理框架的內(nèi)容分為幾個(gè)主體部分，分別包括企業(yè)協(xié)同信息安全的外包商確定企業(yè)的信息安全的方針以及信息安全外包的安全標(biāo)準(zhǔn)，然后是對(duì)企業(yè)遭受的風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的評(píng)估.并根據(jù)方針和風(fēng)險(xiǎn)程度.決定風(fēng)險(xiǎn)管理的內(nèi)容并確定信息安全外包的流程。之后，雙方共同制定適合企業(yè)的信息安全外包的控制方法，協(xié)調(diào)優(yōu)化企業(yè)的信息安全相關(guān)部門的企業(yè)結(jié)構(gòu)，同時(shí)加強(qiáng)管理與外包商的關(guān)系。

3信息安全外包風(fēng)險(xiǎn)管理的實(shí)施

3.1制定信息安全方針

信息安全方針在很多時(shí)候又稱為信息安全策略，信息安全方針指的是在一個(gè)企業(yè)內(nèi)，指導(dǎo)如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的指導(dǎo)或者指示。信息安全的方針定義應(yīng)該包括:(1)信息安全的定義，定義的內(nèi)容包括信息安全的總體目標(biāo)、信息安全具體包括的范圍以及信息安全對(duì)信息共享的重要性;(2)管理層的目的的相關(guān)闡述;(3)信息安全的原則和標(biāo)準(zhǔn)的簡(jiǎn)要說(shuō)明，以及遵守這些原則和標(biāo)準(zhǔn)對(duì)企業(yè)的重要性;(4)信息安全管理的總體性責(zé)任的定義。在信息安全方針的部分只需要對(duì)企業(yè)的各個(gè)部門的安全職能給出概括性的定義，而具體的信息安全保護(hù)的責(zé)任細(xì)節(jié)將留至服務(wù)標(biāo)準(zhǔn)的部分來(lái)闡明。

3.2選擇信息安全管理的標(biāo)準(zhǔn)

信息安全管理體系標(biāo)準(zhǔn)BS7799與信息安全管理標(biāo)準(zhǔn)IS013335是目前通用的信息安全管理的標(biāo)準(zhǔn):

(1)BS7799:BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)指定的信息安全管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，標(biāo)準(zhǔn)包括如下兩部分:BS7799-1;1999《信息安全管理實(shí)施細(xì)則》;BS7799-2:1999((信息安全管理體系規(guī)范》。

(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實(shí)施IT安全管理的建議和指南。該標(biāo)準(zhǔn)目前分為5個(gè)部分，分別是信息技術(shù)安全的概念和模型部分;信息技術(shù)安全的管理和計(jì)劃部分;信息技術(shù)安全的技術(shù)管理部分;防護(hù)和選擇部分以及外部連接的防護(hù)部分。

3.3確定信息安全外包的流程

企業(yè)要根據(jù)企業(yè)的商業(yè)特性、地理位置、資產(chǎn)和技術(shù)來(lái)對(duì)信息安全外包的范圍進(jìn)行界定。界定的時(shí)候需要考慮如下兩個(gè)方面:(1)需要保護(hù)的信息系統(tǒng)、資產(chǎn)、技術(shù);(2)實(shí)物場(chǎng)所(地理位置、部門等)。信息安全的外包商應(yīng)該根據(jù)企業(yè)的信息安全方針和所要求的安全程度，識(shí)別所有需要管理和控制的風(fēng)險(xiǎn)的內(nèi)容。企業(yè)需要協(xié)同信息安全的外包商選擇一個(gè)適合其安全要求的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方案，然后進(jìn)行合乎規(guī)范的評(píng)估，識(shí)別目前面臨的風(fēng)險(xiǎn)。企業(yè)可以定期的選擇對(duì)服務(wù)外包商的站點(diǎn)和服務(wù)進(jìn)行獨(dú)立評(píng)估，或者在年度檢查中進(jìn)行評(píng)估。選擇和使用的獨(dú)立評(píng)估的方案要雙方都要能夠接受。在達(dá)成書面一致后，外包商授予企業(yè)獨(dú)立評(píng)估方評(píng)估權(quán)限，并具體指出評(píng)估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關(guān)于檢查范圍的進(jìn)一步消息和細(xì)節(jié)，以減少任何對(duì)可用性，服務(wù)程度，客戶滿意度等的影響。在評(píng)估執(zhí)行后的一段特殊時(shí)間內(nèi)，與外包商共享結(jié)果二互相討論并決定是否需要解決方案和/或開發(fā)計(jì)劃程序以應(yīng)對(duì)由評(píng)估顯示的任何變化。評(píng)估所需要的相關(guān)材料和文檔在控制過(guò)程中都應(yīng)該予以建立和保存，企業(yè)將這些文檔作為評(píng)估的重要工具，對(duì)外包商的服務(wù)績(jī)效進(jìn)行考核。評(píng)估結(jié)束后，對(duì)事件解決方案和優(yōu)先級(jí)的檢查都將記錄在相應(yīng)的文件中，以便今后雙方在服務(wù)和信息安全管理上進(jìn)行改進(jìn)。

3.4制定信息安全外包服務(wù)的控制規(guī)則

依照信息安全外包服務(wù)的控制規(guī)則，主要分為三部分內(nèi)容:第一部分定義了服務(wù)規(guī)則的框架，主要闡明信息安全服務(wù)要如何執(zhí)行，執(zhí)行的通用標(biāo)準(zhǔn)和量度，服務(wù)外包商以及各方的任務(wù)和職責(zé);第二部分是信息安全服務(wù)的相關(guān)要求，這個(gè)部分具體分為高層服務(wù)需求;服務(wù)可用性;服務(wù)體系結(jié)構(gòu);服務(wù)硬件和服務(wù)軟件;服務(wù)度量;服務(wù)級(jí)別;報(bào)告要求，服務(wù)范圍等方面的內(nèi)容;第三部分是安全要求，包括安全策略、程序和規(guī)章制度;連續(xù)計(jì)劃;可操作性和災(zāi)難恢復(fù);物理安全;數(shù)據(jù)控制;鑒定和認(rèn)證;訪問(wèn)控制;軟件完整性;安全資產(chǎn)配置;備份;監(jiān)控和審計(jì);事故管理等內(nèi)容。

3.5信息安全外包的企業(yè)結(jié)構(gòu)管理具體的優(yōu)化方案如下:

(1)首席安全官:CSO是公司的高層安全執(zhí)行者，他需要直接向高層執(zhí)行者進(jìn)行工作匯報(bào)，主要包括:首席執(zhí)行官、首席運(yùn)營(yíng)官、首席財(cái)務(wù)官、主要管理部門的領(lǐng)導(dǎo)、首席法律顧問(wèn)。CSO需要監(jiān)督和協(xié)調(diào)各項(xiàng)安全措施在公司的執(zhí)行情況，并確定安全工作的標(biāo)準(zhǔn)和主動(dòng)性，包括信息技術(shù)、人力資源、通信、法律、設(shè)備管理等部門。

(2)安全小組:安全小組的人員組成包括信息安全外包商的專業(yè)人員以及客戶企業(yè)的內(nèi)部IT人員和信息安全專員。這個(gè)小組的任務(wù)主要是依照信息安全服務(wù)的外包商與企業(yè)簽訂的服務(wù)控制規(guī)則來(lái)進(jìn)行信息安全的技術(shù)。

(3)管理委員會(huì):這是信息安全服務(wù)外包商和客戶雙方高層解決問(wèn)題的機(jī)構(gòu)。組成人員包括雙方的首席執(zhí)行官，客戶企業(yè)的CIO和CSO，外包商的項(xiàng)目經(jīng)理等相關(guān)的高層決策人員。這個(gè)委員會(huì)每年召開一次會(huì)議，負(fù)責(zé)審核年度的服務(wù)水平、企業(yè)的適應(yīng)性、評(píng)估結(jié)果、關(guān)系變化等內(nèi)容。

(4)咨詢委員會(huì):咨詢委員會(huì)的會(huì)議主要解決計(jì)劃性問(wèn)題。如服務(wù)水平的變更，新的技術(shù)手段的應(yīng)用，服務(wù)優(yōu)先等級(jí)的更換以及服務(wù)的財(cái)政問(wèn)題等，咨詢委員會(huì)的成員包括企業(yè)內(nèi)部的TI’人員和安全專員，還有財(cái)務(wù)部門、人力資源部門、業(yè)務(wù)部門的相關(guān)人員，以及外包商的具體項(xiàng)目的負(fù)責(zé)人。

(6)安全工作組:安全工作組的人員主要負(fù)責(zé)解決信息安全中某些特定的問(wèn)題，工作組的人員組成也是來(lái)自服務(wù)外包商和企業(yè)雙方。工作組與服務(wù)交換中心密切聯(lián)系，將突出的問(wèn)題組建成項(xiàng)目進(jìn)行解決，并將無(wú)法解決的問(wèn)題提交給咨詢委員會(huì)。

(7)服務(wù)交換中心:服務(wù)交換中心由雙方人員組成，其中主要人員是企業(yè)內(nèi)部的各個(gè)業(yè)務(wù)部門中與信息安全相關(guān)的人員。他們負(fù)責(zé)聯(lián)絡(luò)各個(gè)業(yè)務(wù)部門，發(fā)掘出企業(yè)中潛在的信息安全的問(wèn)題和漏洞，并將這些問(wèn)題報(bào)告給安全工作組。

（8）指令問(wèn)題管理小組:這個(gè)小組的人員組成全部為企業(yè)內(nèi)部人員，包括信息安全專員以及各個(gè)業(yè)務(wù)部門的負(fù)責(zé)人。在安全小組的技術(shù)人員解決了企業(yè)中的安全性技術(shù)問(wèn)題之后，或者，是當(dāng)CSO了關(guān)于信息安全的企業(yè)改進(jìn)方案之后，這些解決方案都將傳送給指令問(wèn)題管理小組，這個(gè)小組的人員經(jīng)過(guò)學(xué)習(xí)討論后，繼而將其到各個(gè)業(yè)務(wù)部門。

(9)監(jiān)督委員會(huì):這個(gè)委員會(huì)全部由企業(yè)內(nèi)部人員組成。負(fù)責(zé)對(duì)外包商的服務(wù)過(guò)程的監(jiān)督。

信息安全方針和策略范文第2篇

關(guān)鍵詞：

校園網(wǎng)安全系統(tǒng)的建設(shè)目標(biāo)是根據(jù)學(xué)校信息網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式，針對(duì)可能存在的安全漏洞和安全需求，在不同層次上提出安全級(jí)別要求，并提出相應(yīng)的解決方案，制訂相應(yīng)的安全策略，編制安全規(guī)劃，采用合理、先進(jìn)的技術(shù)實(shí)施安全工程，加強(qiáng)安全管理，保證系統(tǒng)的安全性。

對(duì)于這樣規(guī)模龐大、結(jié)構(gòu)復(fù)雜、涉及人員眾多的網(wǎng)絡(luò)體系需要建立全網(wǎng)安全保障系統(tǒng)，針對(duì)不同的業(yè)務(wù)特征進(jìn)行合理的安全保障，確保業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

我們?cè)谠O(shè)計(jì)學(xué)校信息安全保障體系的過(guò)程中，借鑒IATF的信息安全保障體系模型構(gòu)建學(xué)校信息安全保障體系的技術(shù)體系和管理體系，這些體系構(gòu)成學(xué)校所需的安全體系。在技術(shù)體系和管理體系中的安全控制和對(duì)策的選擇和定制中，采用“最佳實(shí)施”方法，通過(guò)列舉滿足實(shí)際需求和實(shí)際應(yīng)用來(lái)構(gòu)造安全保障體系。

在學(xué)校安全保障體系設(shè)計(jì)過(guò)程中，整體性一直是最核心的問(wèn)題，因此為了保障安全體系具有一定的完整性，避免對(duì)安全問(wèn)題的遺漏，需要在方法論中引入了安全框架模型。

安全保障體系框架示意圖

上圖中，最下層是安全體系要保護(hù)的對(duì)象，根據(jù)信息資產(chǎn)邏輯圖，將保護(hù)對(duì)象分成計(jì)算區(qū)域、區(qū)域邊界、通信網(wǎng)絡(luò)和基礎(chǔ)設(shè)施（指PKI/PMI/KMI中心和應(yīng)急響應(yīng)中心）等。計(jì)算區(qū)域部分主要指提供業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)，計(jì)算區(qū)域內(nèi)部可以根據(jù)學(xué)校信息化的實(shí)際需求進(jìn)一步細(xì)分為子區(qū)域，邊界和通信網(wǎng)絡(luò)。對(duì)不同區(qū)域、邊界和通信網(wǎng)絡(luò)，其安全需求是不同的。保護(hù)對(duì)象框架將學(xué)校信息系統(tǒng)的安全問(wèn)題細(xì)分為一組結(jié)構(gòu)化的安全需求。

通過(guò)將對(duì)策框架中的所有安全控制中的策略，組織，技術(shù)和運(yùn)作分別提煉，組成相應(yīng)的策略體系、組織體系、技術(shù)體系和運(yùn)作體系。每個(gè)體系由對(duì)策框架組成，對(duì)策框架由一組安全控制組成，這些安全控制是根據(jù)保護(hù)對(duì)象中的安全需求設(shè)計(jì)和選擇出來(lái)的。每一條安全控制都包含策略，組織，技術(shù)和運(yùn)作四個(gè)要素。

在校園網(wǎng)的信息系統(tǒng)安全等級(jí)保護(hù)方面，國(guó)內(nèi)尚未制定相關(guān)標(biāo)準(zhǔn)，但可以參考公安部制定的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行設(shè)計(jì)?；景踩蠓譃榛炯夹g(shù)要求和基本管理要求兩大類。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān)，主要通過(guò)在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來(lái)實(shí)現(xiàn)；管理類安全要求與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān)，主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)。

基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出；基本管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出，基本技術(shù)要求和基本管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。

根據(jù)公安部《信息系統(tǒng)等級(jí)保護(hù)技術(shù)要求》中相應(yīng)技術(shù)要求，以滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及存?zhèn)浞莼謴?fù)等幾方面的基本要求為前提。

在基于人、技術(shù)及運(yùn)行的信息安全縱深防御體系中，對(duì)人的行為的控制是信息安全保障最主要的方面。下圖所示為信息安全管理體系框架，該體系包括安全方針、安全策略、安全組織、人員安全、物理安全、安全制度與管理辦法、安全標(biāo)準(zhǔn)與規(guī)范、安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)、安全培訓(xùn)以及安全規(guī)范。

安全管理體系框架圖

安全策略作為建立安全機(jī)制必須首要考慮的核心，它對(duì)安全措施的具體實(shí)踐提供指導(dǎo)和支持。制定一套系統(tǒng)、科學(xué)的安全策略是指導(dǎo)學(xué)校等級(jí)化信息安全保障體系安全建設(shè)的重要內(nèi)容。

建立安全組織機(jī)構(gòu)、完善安全管理制度，建立有效的工作機(jī)制，做到事有人管，職責(zé)分工明確是有效防范由于內(nèi)部人員有意無(wú)意對(duì)系統(tǒng)造成破壞的有效保障措施。

在組織安全方針、安全策略、安全制度與管理方法、安全標(biāo)準(zhǔn)與規(guī)范的建設(shè)過(guò)程中充分體現(xiàn)國(guó)家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)是組織充分保障信息系統(tǒng)安全的基礎(chǔ)。國(guó)家安全政策、安全法律法規(guī)與標(biāo)準(zhǔn)從國(guó)家和行業(yè)的角度制約信息安全，組織必須遵循國(guó)家和相關(guān)主管部門關(guān)于信息系統(tǒng)安全方面的法律法規(guī)、政策和制度。

對(duì)內(nèi)部人員進(jìn)行有組織的安全培訓(xùn)、安全教育，規(guī)范人員行為、制定相關(guān)章程等對(duì)保障學(xué)校信息系統(tǒng)安全尤為重要。

信息安全方針和策略范文第3篇

關(guān)鍵詞：信息安全；管理體系；ISMS

中圖分類號(hào)：TP315　文獻(xiàn)標(biāo)識(shí)碼：A　文章編號(hào)：1009-8631(2010)05-0171-02

一、概述

當(dāng)前，信息資源的開發(fā)和利用，已成為信息化建設(shè)的核心。信息作為一種重要的資產(chǎn)，已成為大家的共識(shí)。其一旦損毀、丟失、或被不失當(dāng)?shù)仄毓?。將?huì)給組織帶來(lái)一系列損失。這些損失是我們不愿意面對(duì)的。因此信息安全越來(lái)越成為大家關(guān)注的熱點(diǎn)問(wèn)題。前國(guó)家科技部部長(zhǎng)徐冠華曾經(jīng)指出：“沒(méi)有信息安全保障的信息工程一定是豆腐渣工程”。

所謂信息安全，是針對(duì)技術(shù)和管理來(lái)說(shuō)的，為信息處理體統(tǒng)提供安全保護(hù)，保護(hù)計(jì)算機(jī)軟硬件及信息內(nèi)容不因偶然意外和惡意的原因而遭到破壞、更改和泄漏。信息安全包括實(shí)體安全、運(yùn)行安全、信息(針對(duì)信息內(nèi)容)安全和管理安全四個(gè)方面：

1)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施以及其他通信與存儲(chǔ)介質(zhì)免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施、過(guò)程。

2)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)。提供一套安全措施(如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急措施)來(lái)保護(hù)信息處理過(guò)程的安全。

3)信息安全是指防止信息資源的非授權(quán)泄漏、更改、破壞，或使信息被非法系統(tǒng)辨別、控制和否認(rèn)。即確保信息的完整性、機(jī)密性、可用性和可控性。

4)管理安全是指通過(guò)信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段，確保系統(tǒng)安全生存和運(yùn)營(yíng)。

信息安全是一個(gè)多層面、多因素、綜合和動(dòng)態(tài)的過(guò)程。安全措施必須滲透到所有的環(huán)節(jié)。才能獲得全面的保護(hù)。為了防范和減少風(fēng)險(xiǎn)，一般的信息系統(tǒng)都部署了基本的防御和檢測(cè)體系，如防火墻、防病毒軟件、入侵檢測(cè)系統(tǒng)、漏洞掃描設(shè)備等等。這些安全技術(shù)和安全設(shè)備及軟件的應(yīng)用，在很大程度上提高了信息系統(tǒng)的安全性。但是這樣做不能從根本上降低安全風(fēng)險(xiǎn)。解決安全問(wèn)題。因?yàn)椴荒馨研畔踩珕?wèn)題僅僅當(dāng)做是技術(shù)問(wèn)題，日常所說(shuō)的防范黑客入侵和病毒感染只能是信息安全問(wèn)題的一個(gè)方面。一方面由于所有安全產(chǎn)品的功能都是針對(duì)某一類問(wèn)題，并不能應(yīng)用到所有問(wèn)題上，所以說(shuō)它們的功能相對(duì)比較狹窄，因此想通過(guò)設(shè)置安全產(chǎn)品來(lái)徹底解決信息安全問(wèn)題是不可能的；另一方面，信息安全問(wèn)題并不是固定的、靜態(tài)的，它會(huì)隨著信息系統(tǒng)和操作流程的改變而變化。而設(shè)置安全產(chǎn)品則是一種靜態(tài)的解決辦法。一般情況下，當(dāng)產(chǎn)品安裝和配置一段時(shí)期后，舊的問(wèn)題解決了。新的安全問(wèn)題就會(huì)產(chǎn)生，安全產(chǎn)品無(wú)法進(jìn)行動(dòng)態(tài)調(diào)整來(lái)適應(yīng)安全問(wèn)題的變化。有效解決上述問(wèn)題的關(guān)鍵是搭建一個(gè)信息安全體系。建設(shè)體系化管理手段，通過(guò)安全產(chǎn)品的輔助，從而保障信息系統(tǒng)的安全。

二、搭建信息安全管理體系

(一)BS7799

信息安全管理體系是安全管理和安全控制的有效結(jié)合體，通過(guò)分析信息安全各個(gè)環(huán)節(jié)的實(shí)際需求情況和風(fēng)險(xiǎn)情況，建立科學(xué)合理的安全控制措施，并且同信息系統(tǒng)審計(jì)相結(jié)合，從而保證信息資產(chǎn)的安全性、完整性和可用性。國(guó)際上制定的信息安全管理標(biāo)準(zhǔn)主要有：英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定的信息安全管理體系標(biāo)準(zhǔn)-BS7799；國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)制定的信息和相關(guān)技術(shù)控制目標(biāo)-COBIT；是目前國(guó)際上通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)；英國(guó)政府的中央計(jì)算機(jī)和通信機(jī)構(gòu)提出的一套IT服務(wù)管理標(biāo)準(zhǔn)-ITIL；國(guó)際標(biāo)準(zhǔn)化組織(IS01和國(guó)際電工委員會(huì)(IEC)所制定信息安全管理標(biāo)準(zhǔn)-IS0／IECl335。其中BS7799英國(guó)的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)，于1995年2月制定的、世界上第一個(gè)信息安全管理體系標(biāo)準(zhǔn)。經(jīng)過(guò)不斷的修訂，目前已經(jīng)成為信息安全管理領(lǐng)域的權(quán)威標(biāo)準(zhǔn)。其兩個(gè)組成部分目前已分別成為IS017799和IS027001標(biāo)準(zhǔn)。BST799涵蓋了安全所應(yīng)涉及的方方面面，全面而不失操作性，提供了一個(gè)可持續(xù)發(fā)展提高的信息安全管理環(huán)境。在該標(biāo)準(zhǔn)中，信息安全已經(jīng)不只是人們傳統(tǒng)上所講的安全，而是成為一種系統(tǒng)化和全局化的觀念。和以往的安全體系相比，該標(biāo)準(zhǔn)提出的信息安全管理體系(SMS)具有系統(tǒng)化、程序化和文檔化的管理特點(diǎn)。

(二)息安全管理體系(ISMs)

信息安全管理體系(LSMS)是組織整體管理體系的一個(gè)重要組成部分，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系?；趯?duì)業(yè)務(wù)風(fēng)險(xiǎn)的分析和認(rèn)識(shí)，ISMS包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)。IS027001是建立和維護(hù)信息安全管理體系的準(zhǔn)繩，它一般是要求通過(guò)確定的過(guò)程來(lái)建立ISMS框架：確定體系范圍，制定信息安全策略，明確管理職責(zé)，通過(guò)風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制方式。整個(gè)體系一旦建立起來(lái)，組織就必須實(shí)施、維護(hù)和不斷改進(jìn)ISMS，保持整個(gè)體系運(yùn)作的有效性。

(三)ISMS搭建步驟

當(dāng)一個(gè)組織建立和管理信息安全體系時(shí)。BS7799提供了指導(dǎo)性的建議，即遵循PDCA(Plan，Check和Act)的持續(xù)改進(jìn)的管理模式。PDCA循環(huán)實(shí)際上是有效進(jìn)行任何一項(xiàng)工作的合乎邏輯的工作程序。對(duì)于搭建和管理信息安全體系，其PDCA過(guò)程如下：

1)信息安全體系(PLAN)

在PLAN階段通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)了解安全需求，根據(jù)需求設(shè)計(jì)解決方案。根據(jù)BS7799-2。搭建ISMS一般有如下步驟：

A、定義安全方針：信息安全方針是組織的信息安全委員會(huì)制定的高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。

B、定義1SMS的范圍：ISMS的范圍是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，組織可根據(jù)自己的實(shí)際情況。在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門或領(lǐng)域架構(gòu)ISMS。

C、實(shí)施風(fēng)險(xiǎn)評(píng)估：首先對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定或估計(jì)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定。

D、風(fēng)險(xiǎn)管理：根據(jù)風(fēng)險(xiǎn)評(píng)估與現(xiàn)狀調(diào)查的結(jié)果。確定安全需求，決定如何對(duì)信息資產(chǎn)實(shí)施保護(hù)及保護(hù)到何種程度限(如接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)或降低風(fēng)險(xiǎn))。

E、選擇控制目標(biāo)和控制措施：根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的結(jié)果，選擇合適的控制目標(biāo)和控制措施來(lái)滿足特定的安全需求。可以從BS7799-1的中進(jìn)行選擇，也可以應(yīng)選擇一些其它適宜的控制方式。

F、準(zhǔn)備適用性申明(SOA)：SOA是適合組織需要的控制目標(biāo)和控制的評(píng)論，記錄組織內(nèi)相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制措施。

2)實(shí)施信息安全體系(D01

在DO階段將解決方案付諸實(shí)現(xiàn)，實(shí)施組織所選擇的控制目標(biāo)與控制措施。

3)檢查信息安全體系(cHECK)

在CH ECK階段進(jìn)行有關(guān)方針、程序、標(biāo)準(zhǔn)與法律法規(guī)的符合性檢查，對(duì)存在的問(wèn)題采取措施，予以改進(jìn)，以保證控制措施的有效運(yùn)行。在此過(guò)程中，要根據(jù)風(fēng)險(xiǎn)評(píng)估的對(duì)象及范圍的變化情況。以及時(shí)調(diào)整或完善控制措施。常見的檢查措施有：日常檢查、從其他處學(xué)習(xí)、內(nèi)部ISMS審核、管理評(píng)審、趨勢(shì)分析等。

4)改進(jìn)信息安全體系(ACT)

在ACT階段對(duì)ISMS進(jìn)行評(píng)價(jià)。以檢查階段發(fā)現(xiàn)的問(wèn)題為基礎(chǔ)，尋求改進(jìn)的機(jī)會(huì)，采取相應(yīng)的措施進(jìn)行調(diào)整與改進(jìn)。

信息安全方針和策略范文第4篇

關(guān)鍵詞：信息安全 空間信息 信息共享 社區(qū)信息化 福州市

一、引言

社區(qū)信息化是城市信息化的基石。保障信息安全，是讓公眾充分利用空間信息及網(wǎng)絡(luò)技術(shù)對(duì)基層的公共事務(wù)和公益事業(yè)實(shí)行自我管理、自我服務(wù)、自我教育、自我監(jiān)督的重要前提。本文結(jié)合福州市公眾空間信息共享服務(wù)平臺(tái)的建設(shè)情況，對(duì)信息安全保障問(wèn)題進(jìn)行初步探討。

二、福州市公眾空間信息服務(wù)共享平臺(tái)的結(jié)構(gòu)

福州市公眾空間信息共享服務(wù)平臺(tái)是福州市政府基于中國(guó)福州門戶網(wǎng)站(政務(wù)外網(wǎng))向公眾提供空間信息的一站式服務(wù)平臺(tái)，以數(shù)據(jù)服務(wù)的形式為社區(qū)提供需要的海量空間地理基礎(chǔ)數(shù)據(jù)。公眾不必關(guān)心空間地理基礎(chǔ)數(shù)據(jù)的管理、維護(hù)、更新問(wèn)題，保證了數(shù)據(jù)的現(xiàn)勢(shì)性，節(jié)約了數(shù)據(jù)成本。不同權(quán)限的社區(qū)公眾可以通過(guò)訪問(wèn)不同的地圖服務(wù)達(dá)到訪問(wèn)不同數(shù)據(jù)圖層的目的。社區(qū)公眾經(jīng)政府培訓(xùn)認(rèn)證后,也可參與平臺(tái)的建設(shè)，疊加標(biāo)注所在社區(qū)的相關(guān)屬性信息，以達(dá)到社區(qū)自治的目的。

福州市公眾空間信息服務(wù)共享平臺(tái)包括應(yīng)用層、認(rèn)證層、接口層、服務(wù)層、數(shù)據(jù)層和管理維護(hù)層等六個(gè)層次，相互形成一個(gè)有機(jī)的整體。

⒈應(yīng)用層

應(yīng)用層是各社區(qū)基于平臺(tái)服務(wù)接口建立的社區(qū)應(yīng)用服務(wù)展示系統(tǒng),為社區(qū)公眾使用各類空間數(shù)據(jù)及服務(wù)提供途徑。從公眾角度看，平臺(tái)是一個(gè)信息服務(wù)機(jī)構(gòu)，可以是一個(gè)傳統(tǒng)意義上的桌面應(yīng)用程序，也可以是Web應(yīng)用程序或門戶網(wǎng)站。此外，通過(guò)建立面向不同社區(qū)的元數(shù)據(jù)目錄登記注冊(cè)，可以實(shí)現(xiàn)各類共享空間信息的查找，將解決這些數(shù)據(jù)“如何發(fā)現(xiàn)”的問(wèn)題。

⒉認(rèn)證層

認(rèn)證層是福州公眾空間信息共享服務(wù)平臺(tái)與政務(wù)專網(wǎng)的網(wǎng)絡(luò)安全體系集成接口。利用PKI/CA證書等成熟安全技術(shù)，通過(guò)身份標(biāo)識(shí)、授權(quán)控制，提供“統(tǒng)一認(rèn)證管理”，實(shí)現(xiàn)“單點(diǎn)登錄”。認(rèn)證層的設(shè)計(jì)對(duì)于平臺(tái)系統(tǒng)及其信息資源的安全保障非常必要，保證只有授權(quán)用戶才可以訪問(wèn)和使用平臺(tái)所提供的相關(guān)資源。

⒊接口層

接口層是提供給各類開發(fā)用戶的Web API(網(wǎng)絡(luò)應(yīng)用程序接口)。信息服務(wù)、中介機(jī)構(gòu)及社會(huì)公眾可以使用這些API來(lái)和自己的業(yè)務(wù)應(yīng)用進(jìn)行集成，形成自己的業(yè)務(wù)空間信息應(yīng)用系統(tǒng)，如商貿(mào)地理信息系統(tǒng)、三維旅游系統(tǒng)、現(xiàn)代物流系統(tǒng)、房產(chǎn)銷售管理系統(tǒng)，等等；平臺(tái)也可以使用這些API，來(lái)構(gòu)建綜合應(yīng)用展示系統(tǒng)、多源數(shù)據(jù)桌面瀏覽器等系統(tǒng)，為平臺(tái)使用者提供方便友好的接口。

⒋服務(wù)層

服務(wù)層是接口層的基礎(chǔ)，接口層是服務(wù)層的對(duì)外表現(xiàn)，服務(wù)層實(shí)現(xiàn)諸如二維數(shù)據(jù)引擎、地址編碼引擎、元數(shù)據(jù)引擎等，為接口層提供強(qiáng)大的后臺(tái)實(shí)現(xiàn)支持，這二者合稱為應(yīng)用接口層。通過(guò)應(yīng)用接口層，平成對(duì)各類空間地理基礎(chǔ)信息資源的對(duì)外共享和，將解決空間信息資源“如何”的問(wèn)題。

⒌數(shù)據(jù)層

數(shù)據(jù)層是整個(gè)平臺(tái)的基礎(chǔ)。平臺(tái)的數(shù)據(jù)，從內(nèi)容上是福州市空間地理基礎(chǔ)信息數(shù)據(jù)，并將在平臺(tái)運(yùn)行后逐步擴(kuò)大其覆蓋面；從表現(xiàn)形式上是存儲(chǔ)在于平臺(tái)數(shù)據(jù)中心及其他多個(gè)行業(yè)部門數(shù)據(jù)中心的分布式數(shù)據(jù)庫(kù)環(huán)境中。數(shù)據(jù)的完整性、實(shí)用性、精確性、動(dòng)態(tài)更新能力等從根本上決定了平臺(tái)的價(jià)值。根據(jù)不同的數(shù)據(jù)類型特點(diǎn)以及應(yīng)用的需要，建立實(shí)用有效的數(shù)據(jù)采集、加工及處理流程與規(guī)范，通過(guò)對(duì)原始數(shù)據(jù)的加工整合，將解決數(shù)據(jù)“如何制作”的問(wèn)題。

⒍管理維護(hù)層

管理維護(hù)層包括對(duì)平臺(tái)數(shù)據(jù)的管理和應(yīng)用及服務(wù)的管理，和上面五個(gè)層有著密切的聯(lián)系，是整個(gè)平臺(tái)正常運(yùn)維的保證；有數(shù)據(jù)入庫(kù)、更新維護(hù)、服務(wù)管理、運(yùn)行監(jiān)控、用戶及權(quán)限管理等應(yīng)用。對(duì)于社區(qū)公眾的權(quán)限管理將分為三個(gè)級(jí)別，即功能權(quán)限控制(能使用哪些功能)、圖層權(quán)限控制(能訪問(wèn)哪些圖層)及區(qū)域范圍權(quán)限控制(能訪問(wèn)什么范圍)，系統(tǒng)管理員可以根據(jù)社區(qū)公眾角色進(jìn)行授權(quán)，控制其對(duì)共享平臺(tái)的訪問(wèn)。

三、公眾空間信息共享服務(wù)平臺(tái)的安全保障體系設(shè)計(jì)

福州市公眾空間信息共享服務(wù)平臺(tái)安全保障體系就是要在中國(guó)福州門戶網(wǎng)站（政務(wù)外網(wǎng)）和互聯(lián)網(wǎng)環(huán)境下，以公眾服務(wù)平臺(tái)的安全需求和安全策略為依據(jù)，建立以系統(tǒng)可用性、完整性、機(jī)密性為目標(biāo)的信息安全保障體系。建立服務(wù)平臺(tái)安全保障體系是一項(xiàng)系統(tǒng)工程，它從安全策略、安全技術(shù)保障、安全組織、安全管理以及四個(gè)方面來(lái)系統(tǒng)考慮平臺(tái)建設(shè)的安全保障。

⒈安全策略

安全策略主要從整體上提供全局性指導(dǎo)，為具體的安全措施和規(guī)定提供一個(gè)全局性的框架。公眾空間信息共享服務(wù)平臺(tái)是依托中國(guó)福州門戶網(wǎng)站（政務(wù)外網(wǎng)）為互聯(lián)網(wǎng)公眾提供信息服務(wù)。根據(jù)電子政務(wù)系統(tǒng)業(yè)務(wù)特點(diǎn)和安全要求，按“分域防護(hù)、分級(jí)保護(hù)”的原則，要?jiǎng)澐植煌陌踩蚝蜆I(yè)務(wù)保護(hù)安全等級(jí)，制定與之適應(yīng)的安全防護(hù)措施和安全機(jī)制，通過(guò)集成相關(guān)的安全產(chǎn)品和安全服務(wù)，從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、安全管理等五個(gè)方面，構(gòu)造多層防御的安全保障體系，以確保平臺(tái)安全、高效、可靠運(yùn)行。

⒉安全技術(shù)保障

⑴安全基礎(chǔ)設(shè)施的建設(shè)

信息安全技術(shù)的設(shè)計(jì)必須滿足平臺(tái)建設(shè)的安全需求與安全策略。從技術(shù)保障體系結(jié)構(gòu)上，是按照分層防護(hù)的原則來(lái)設(shè)計(jì)的。通常，把物理安全、網(wǎng)絡(luò)安全和系統(tǒng)安全等安全措施統(tǒng)稱為安全基礎(chǔ)設(shè)施。安全基礎(chǔ)設(shè)施的建設(shè)主要包括：安全管理維護(hù)系統(tǒng)、設(shè)備安全管理、邊界訪問(wèn)控制系統(tǒng)、監(jiān)控和檢測(cè)系統(tǒng)、防病毒系統(tǒng)、主機(jī)加固和保護(hù)、容災(zāi)備份系統(tǒng)、遠(yuǎn)程安全接入（VPN）系統(tǒng)等。

安全網(wǎng)管和應(yīng)用監(jiān)控系統(tǒng)：實(shí)現(xiàn)對(duì)公眾空間信息共享服務(wù)平臺(tái)應(yīng)用統(tǒng)一監(jiān)控和預(yù)警，實(shí)現(xiàn)故障、事件統(tǒng)一管理。邊界訪問(wèn)控制系統(tǒng)：根據(jù)各安全域具體的安全防護(hù)策略，實(shí)現(xiàn)各安全域的邊界保護(hù)。在政務(wù)信息交換中心，政務(wù)外網(wǎng)和互聯(lián)網(wǎng)直接使用防火墻設(shè)備，在政務(wù)外網(wǎng)和內(nèi)網(wǎng)之間部署網(wǎng)閘設(shè)備。

監(jiān)控檢測(cè)系統(tǒng)：重點(diǎn)在于檢測(cè)和修補(bǔ)安全漏洞，入侵行為。該系統(tǒng)包括脆弱性評(píng)估、入侵檢測(cè)、web服務(wù)器防篡改等機(jī)制。

防病毒系統(tǒng)：防范病毒入侵和傳播。

容災(zāi)備份系統(tǒng)：在服務(wù)平臺(tái)信息中心對(duì)數(shù)據(jù)進(jìn)行容災(zāi)和備份。

接入網(wǎng)VPN：在網(wǎng)絡(luò)接入邊界提供VPN接入服務(wù)。

⑵應(yīng)用安全的建設(shè)

應(yīng)用安全的建設(shè)是公眾空間信息共享服務(wù)平臺(tái)安全保障體系的重點(diǎn)建設(shè)內(nèi)容，在建設(shè)過(guò)程中，必須考慮以下幾個(gè)方面：

統(tǒng)一身份認(rèn)證：通過(guò)跟福州市政務(wù)網(wǎng)建立統(tǒng)一接口，利用政務(wù)網(wǎng)已經(jīng)建成的基于LDAP的統(tǒng)一身份認(rèn)證系統(tǒng)、政務(wù)PKI/CA系統(tǒng)為共享服務(wù)平臺(tái)提供統(tǒng)一的身份認(rèn)證服務(wù)。

授權(quán)管理系統(tǒng)：提供授權(quán)管理服務(wù)，對(duì)服務(wù)訪問(wèn)用戶、數(shù)據(jù)管理用戶、空間信息資源共享平臺(tái)用戶及其權(quán)限進(jìn)行統(tǒng)一管理。

數(shù)據(jù)安全：實(shí)現(xiàn)對(duì)機(jī)密文件進(jìn)行加密、用訪問(wèn)控制列表限制數(shù)據(jù)的訪問(wèn)。建立關(guān)鍵數(shù)據(jù)的備份和恢復(fù)措施。

可信時(shí)間戳服務(wù)：公眾空間信息共享服務(wù)平臺(tái)上的應(yīng)用都具有很強(qiáng)的時(shí)序性，可信時(shí)間戳服務(wù)將成為建立有效服務(wù)和監(jiān)督機(jī)制的基石。

安全審計(jì)：安全審計(jì)對(duì)于應(yīng)用系統(tǒng)安全事故的分析和取證具有重要的作用，已經(jīng)成為信息系統(tǒng)安全的重要環(huán)節(jié)。⒊安全組織保障體系

電子政務(wù)信息安全的運(yùn)作需要強(qiáng)有力的組織體系保障，使得有關(guān)信息安全管理和實(shí)施的政令通暢。通常，電子政務(wù)安全組織保障體系包括三個(gè)層次，即決策層、管理層和執(zhí)行層。福州市政務(wù)信息中心負(fù)責(zé)制定全市公眾空間信息共享服務(wù)平臺(tái)建設(shè)規(guī)劃、政策法規(guī)，負(fù)責(zé)平臺(tái)的建設(shè)與管理工作。為了加強(qiáng)安全組織保障體系，必須進(jìn)一步明確崗位安全職責(zé)，明確決策層、管理層和執(zhí)行層三者的責(zé)任和權(quán)利，把安全措施落實(shí)到具體的崗位。

⒋安全管理流程控制

信息系統(tǒng)安全需要通過(guò)一系列科學(xué)規(guī)范的安全管理流程組織實(shí)施，安全管理流程明確了安全職責(zé)的劃分，合理的人員角色定義，可以很大程度上降低安全隱患。因此，公眾空間信息共享服務(wù)平臺(tái)的建設(shè)、運(yùn)行、維護(hù)、管理都要嚴(yán)格按制度執(zhí)行，明確責(zé)任義務(wù)，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理。

安全管理制度要通過(guò)安全管理流程來(lái)系統(tǒng)化實(shí)施，共享服務(wù)平臺(tái)在建立自己的信息安全體系時(shí)，其安全管理流程應(yīng)遵循著名的Plan―Do―Check―Action（PDCA），即“計(jì)劃―實(shí)施―檢查―措施”四個(gè)循環(huán)周期來(lái)實(shí)施。PDCA過(guò)程模式可簡(jiǎn)單描述如下：

計(jì)劃：依照整個(gè)方針和目標(biāo)，建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過(guò)程和程序。

實(shí)施：實(shí)施和運(yùn)作方針（過(guò)程和程序）。

檢查：依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測(cè)量，評(píng)估過(guò)程業(yè)績(jī)，并向決策者報(bào)告結(jié)果。

措施：采取糾正和預(yù)防措施進(jìn)一步提高過(guò)程業(yè)績(jī)。

四個(gè)步驟成為一個(gè)閉環(huán)，通過(guò)這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績(jī)效螺旋上升。

作者簡(jiǎn)介：

信息安全方針和策略范文第5篇

由于審計(jì)職業(yè)的特殊性，審計(jì)人員往往經(jīng)常出差到異地工作，筆記本電腦已經(jīng)成為審計(jì)人員隨身攜帶的必備工具；筆記本數(shù)據(jù)的安全又成為審計(jì)人員實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)安全的關(guān)鍵。筆者從“硬件”、“軟件”以及“制度”三方面談?wù)勅绾螌?shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)的安全。筆記本電腦，應(yīng)從整體上制訂集體的安全方案，至于個(gè)人應(yīng)根據(jù)自身的情況加以區(qū)別，但都應(yīng)包括防盜、防止系統(tǒng)崩潰、防止黑客攻擊和病毒感染以及數(shù)據(jù)備份，認(rèn)證加密等。

一、“軟”環(huán)境應(yīng)放在安全意識(shí)的首位

從軟件以及相關(guān)配置方面，是電腦操作者最關(guān)注的事，也是與其最密切相關(guān)的。審計(jì)人員的筆記本電腦應(yīng)設(shè)置BIOS開機(jī)密碼、硬盤密碼，并且使用加密軟件對(duì)重要數(shù)據(jù)進(jìn)行加密保護(hù)外，還要安裝防病毒和防火墻軟件，或者將機(jī)密數(shù)據(jù)保存在移動(dòng)硬盤、U盤或者刻錄到光盤等存儲(chǔ)介質(zhì)上加以備份，以防不測(cè)。具體應(yīng)注意以下幾方面：

（一）從開機(jī)開始，檢查筆記本電腦的安全保護(hù)性能是否完備。這其中又應(yīng)設(shè)置開機(jī)密碼，且開機(jī)密碼應(yīng)經(jīng)常更換和無(wú)規(guī)律可循。

（二）如有可能要設(shè)置硬盤鎖定密碼，確保筆記本電腦被盜后其中所存儲(chǔ)的重要數(shù)據(jù)不會(huì)落入他人之手。大多數(shù)筆記本電腦采用密碼機(jī)制對(duì)數(shù)據(jù)提供基本的保護(hù)措施，所以，最簡(jiǎn)單的措施是設(shè)置開機(jī)密碼。但只設(shè)置開機(jī)密碼還不能保證數(shù)據(jù)的安全性，因?yàn)楦`密人可以將硬盤拆卸下來(lái)拿到另外一臺(tái)計(jì)算機(jī)上讀取原始數(shù)據(jù)，所以還要設(shè)置硬盤鎖定密碼，這樣，該筆記本電腦在每次啟動(dòng)時(shí)都必須使用密碼對(duì)硬盤解密，這樣一來(lái)即使竊密人將硬盤拔插到另一臺(tái)計(jì)算機(jī)上也很難讀取原始數(shù)據(jù)。

（三）筆記本電腦所使用的操作系統(tǒng)應(yīng)具有較好的穩(wěn)定性，同時(shí)應(yīng)使用具有安全防護(hù)性能的操作系統(tǒng)，最好在筆記本上安裝WINDOWS2000作為操作系統(tǒng)平臺(tái)，并將分區(qū)設(shè)置為NTFS格式，然后設(shè)置登錄密碼，并確保在不使用時(shí)處于登錄前狀態(tài)，以防止他人乘機(jī)竊取筆記本電腦上的機(jī)密信息。

（四）對(duì)筆記本電腦中所存儲(chǔ)的重要文件采用加密存放的方式進(jìn)行保護(hù)。由于盜竊者攻擊破壞手段的不斷發(fā)展，僅僅依靠密碼并不足以阻止經(jīng)驗(yàn)豐富的竊密人擦除系統(tǒng)配置信息（包括密碼在內(nèi)），而后侵入系統(tǒng)，進(jìn)而獲取其中存放的機(jī)密信息。所以，要切實(shí)保護(hù)筆記本電腦中存儲(chǔ)的機(jī)密數(shù)據(jù)的安全，最好使用磁盤加密程序，如ISS LIMITED公司出品的IPROTECT，至少對(duì)于最重要的數(shù)據(jù)要采取以上保護(hù)措施（當(dāng)然也不要對(duì)所有對(duì)象都加密，這樣會(huì)降低計(jì)算機(jī)性能）。

（五）時(shí)常進(jìn)行數(shù)據(jù)備份，以防在萬(wàn)一丟失筆記本電腦的情況下減小損失。為預(yù)防意外，應(yīng)對(duì)筆記本電腦上的數(shù)據(jù)存有備份，這樣即使筆記本電腦丟失，仍能保證信息不至于丟失，將損失降至最低。

（六）使用數(shù)據(jù)恢復(fù)軟件，減少誤刪除所帶來(lái)的影響，建議使用FINAL DATA2.0以上版本。同時(shí)對(duì)于重要數(shù)據(jù)要作到徹底的刪除，市場(chǎng)上相關(guān)軟件也較多，另外新版的殺毒軟件有許多也擁有上述功能，可以加以發(fā)掘使用。

二、硬件方面是實(shí)現(xiàn)數(shù)據(jù)安全的捷徑

如果可能，可以考慮通過(guò)購(gòu)買相關(guān)的硬件提高審計(jì)人員筆記本電腦整體的安全性，防盜和防泄密。其中電腦防盜鎖簡(jiǎn)單實(shí)用，成為首選。電腦防盜鎖是專門為保護(hù)電腦而設(shè)計(jì)的。通常筆記本電腦身上都會(huì)有一個(gè)被稱為“SECURITY SLOT（安全接口）”的橢圓形防盜鎖孔，旁邊有一個(gè)鎖形標(biāo)志，這是KENSINGTON公司的專利標(biāo)志，現(xiàn)在已經(jīng)成為電腦業(yè)界的標(biāo)準(zhǔn)，目前市場(chǎng)上主流的筆記本產(chǎn)品、PDA、投影儀等都有這種防盜鎖孔。我們常用的筆記本電腦用的防盜鎖孔有線纜鎖和扣式鎖兩種。線纜相對(duì)比較便宜且耐用，扣式鎖功能較多但價(jià)格較高。

如果審計(jì)人員經(jīng)常在人多的場(chǎng)所使用筆記本電腦，存在向外泄密的可能性，會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)的安全帶來(lái)一定的威脅，可以選配防泄密濾鏡。他是一塊暗色的塑料屏幕，將他用膠帶粘在液晶屏后就只有筆記本正前方的人才能看見屏幕上的內(nèi)容，而旁邊的人只看見黑屏，從而防止了信息泄密。對(duì)于高級(jí)用戶，除了上述措施外，建議選購(gòu)帶有安全解決方案、IC智能卡、指紋識(shí)別系統(tǒng)等產(chǎn)品。

當(dāng)然，移動(dòng)辦公的安全防護(hù)是一個(gè)系統(tǒng)工程，也是一個(gè)體系，不但包含信息在存儲(chǔ)過(guò)程中的安全保護(hù)，還包括信息在傳輸流轉(zhuǎn)過(guò)程中的安全防護(hù)問(wèn)題，單是針對(duì)移動(dòng)辦公中的筆記本電腦的信息安全問(wèn)題，也有很多方面還需要進(jìn)一步引起重視。

三、安全意思必須通過(guò)制度和相應(yīng)的規(guī)則上加以規(guī)范

信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。目前，我國(guó)的信息安全管理主要依靠傳統(tǒng)的管理方式與技術(shù)手段來(lái)實(shí)現(xiàn)，傳統(tǒng)的管理模式缺乏現(xiàn)代的系統(tǒng)管理思想，用于管理現(xiàn)代信息往往不適用，而技術(shù)手段又有局限性。保護(hù)信息安全，國(guó)際公認(rèn)最有效的方式是采用系統(tǒng)的方式（管理+技術(shù)），即確定信息安全管理方針和范圍，在風(fēng)險(xiǎn)分析的基礎(chǔ)上選擇適宜的控制目標(biāo)與方式來(lái)進(jìn)行控制。我們?cè)谥朴啿块T信息安全制度或規(guī)則時(shí)，具體可以考慮具體研究BS7799。BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BRITISH STANDARDS INSTITUTION，簡(jiǎn)稱BSI）制訂的信息安全管理體系標(biāo)準(zhǔn)，它還包括兩部門，其第一部分《信息安全管理實(shí)施規(guī)則》于2000年底已經(jīng)被國(guó)際標(biāo)準(zhǔn)化組織（ISO）納入世界標(biāo)準(zhǔn)，編號(hào)為ISO／IEC17799。

BS7799廣泛地涵蓋了所有的信息安全議題，如安全方針的制定、責(zé)任的歸屬、風(fēng)險(xiǎn)的評(píng)估、定義與強(qiáng)化安全參數(shù)及訪問(wèn)控制，甚至包含防病毒的相關(guān)策略等，其中對(duì)于信息安全，特別是計(jì)算機(jī)數(shù)據(jù)安全有明確的規(guī)定。BS7799已經(jīng)成為國(guó)際公認(rèn)的信息安全實(shí)施標(biāo)準(zhǔn)，適用于各種產(chǎn)業(yè)與組織。