亚洲国产日韩欧美在线a乱码,国产精品路线1路线2路线,亚洲视频一区,精品国产自,www狠狠,国产情侣激情在线视频免费看,亚洲成年网站在线观看

企業(yè)實(shí)施信息安全保障體系的探索和實(shí)踐論文

時(shí)間:2020-12-11 20:16:19 信息安全畢業(yè)論文 我要投稿

企業(yè)實(shí)施信息安全保障體系的探索和實(shí)踐論文

  現(xiàn)代企業(yè)的生存與發(fā)展高度依賴網(wǎng)絡(luò)信息系統(tǒng)支持,確保網(wǎng)絡(luò)的通暢、信息系統(tǒng)安全可靠就顯得尤其重要。本文從信息安全綜合治理戰(zhàn)略理念出發(fā),結(jié)合當(dāng)前企業(yè)IT運(yùn)維管理現(xiàn)狀和安全風(fēng)險(xiǎn)防范的新思路、新方法,從組織體系、制度體系和技術(shù)體系三個(gè)層面論述建立和實(shí)施信息系統(tǒng)安全運(yùn)行治理防控保障體系,實(shí)現(xiàn)信息系統(tǒng)可持續(xù)改進(jìn)運(yùn)行。

企業(yè)實(shí)施信息安全保障體系的探索和實(shí)踐論文

  1 綜合治理信息安全的戰(zhàn)略背景

  IT管理技術(shù)發(fā)展歷程,從被動(dòng)管理轉(zhuǎn)向主動(dòng)管理,從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價(jià)值。在科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn):諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標(biāo)準(zhǔn);ISO20000ITIL 的國(guó)際標(biāo)準(zhǔn); COBIT面向IT審計(jì)的IT管理標(biāo)準(zhǔn);COSO企業(yè)內(nèi)部控制框架,面向內(nèi)部控制;ISO17799:信息安全管理國(guó)際標(biāo)準(zhǔn)。當(dāng)前有很多非常好的綜合性標(biāo)準(zhǔn)與規(guī)范可以參考,其中非常有名的就是ISO/IEC27000系列標(biāo)準(zhǔn)。ISO/IEC 27001通過(guò)PDCA過(guò)程,指導(dǎo)企業(yè)如何建立可持續(xù)改進(jìn)的體系。

  目前企業(yè)IT運(yùn)維管理現(xiàn)狀。需求變化:IT本身快速變更;管理目標(biāo)多角度變換并存。資源不足:IT 復(fù)雜性成長(zhǎng)快于人員成長(zhǎng);IT 人員持續(xù)流動(dòng)。業(yè)務(wù)影響:難以判斷事件對(duì)業(yè)務(wù)的影響和處理事件的優(yōu)先級(jí)。信息孤島:IT 資源多樣性的,不能進(jìn)行事件的關(guān)聯(lián)分析,缺少統(tǒng)一的健康視圖。IT網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維存在監(jiān)測(cè)盲點(diǎn),缺少主動(dòng)預(yù)警和事件分析機(jī)制。

  如何把此項(xiàng)復(fù)雜的工程進(jìn)行細(xì)化與落地,建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員、系統(tǒng)等)等的前提下,IT運(yùn)營(yíng)面臨嚴(yán)峻的挑戰(zhàn),企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開(kāi)發(fā)能力,在很大程度上依賴于產(chǎn)品開(kāi)發(fā)商的支持,為此,要想實(shí)現(xiàn)從混亂到清晰、從被動(dòng)到主動(dòng)、從應(yīng)付到實(shí)現(xiàn)價(jià)值取向的服務(wù)思想,自主加外包的`混合運(yùn)維方式無(wú)疑是一種好的服務(wù)方式。

  2 建立和實(shí)施信息安全保障體系思路和方法

  針對(duì)IT管理問(wèn)題和價(jià)值取向的服務(wù)方式,借鑒PDCA工作循環(huán)原理和標(biāo)準(zhǔn)化體系建設(shè)方法,從建立安全目標(biāo)和組織體系、制度體系和技術(shù)體系等三個(gè)主要層面構(gòu)建實(shí)施信息安全保障體系,以規(guī)范引導(dǎo)人、以標(biāo)準(zhǔn)流程引導(dǎo)人,以業(yè)績(jī)激勵(lì)人,從而促被動(dòng)變主動(dòng),堅(jiān)持持續(xù)改善,促進(jìn)工作效率,促進(jìn)安全保障。

  2.1 建立和推行目標(biāo)管理

  體系建設(shè)應(yīng)以目標(biāo)管理為先導(dǎo)、循序漸進(jìn),按頂層布局、中層發(fā)力、底層推動(dòng)內(nèi)容設(shè)計(jì)與構(gòu)建,為此,借鑒當(dāng)前IT運(yùn)維管理目標(biāo)演進(jìn)方式,確立各階段建設(shè)目標(biāo)。

  基礎(chǔ)架構(gòu)建設(shè)階段(SMB),手工維護(hù)階段。主要實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)。

  網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段,重視自動(dòng)化監(jiān)控階段。主要實(shí)現(xiàn)IT設(shè)備維護(hù)和管理。

  IT服務(wù)管理(ITSM)階段,重視流程管理階段。主要實(shí)現(xiàn)IT服務(wù)流程管理。

  業(yè)務(wù)服務(wù)管理(BSM)階段,重視用戶服務(wù)質(zhì)量與滿意度。主要實(shí)現(xiàn)IT與業(yè)務(wù)融合管理。

  從IT投入和業(yè)務(wù)價(jià)值來(lái)看,前三個(gè)階段是間接業(yè)務(wù)價(jià)值,第四階段才是直接業(yè)務(wù)價(jià)值。

  根據(jù)ITIL這個(gè)IT服務(wù)管理的方法論,先是搭建一個(gè)框架,借用工具的配合促進(jìn)落地。如圖1、IT運(yùn)維管理系統(tǒng)參考模型。

  從安全目標(biāo)出發(fā),結(jié)合IT運(yùn)維管理系統(tǒng)參考模型,每個(gè)階段的工作向著實(shí)現(xiàn)直接業(yè)務(wù)價(jià)值,不斷消除或減輕對(duì)性能的約束,促進(jìn)IT產(chǎn)品或服務(wù)滿足確定的規(guī)范,實(shí)現(xiàn)企業(yè)效益最大化。服務(wù)好用屬性通過(guò)最終的績(jī)效和檢驗(yàn)結(jié)果監(jiān)視測(cè)量?jī)r(jià)值成分。如圖2。

  2.2 規(guī)劃融合信息安全保障體系

  通過(guò)從組織體系、制度體系、技術(shù)體系層面建立和實(shí)施縱深防御體系,實(shí)現(xiàn)穩(wěn)健的信息安全保障狀態(tài)。

 、俳M織體系:通過(guò)企業(yè)中高層的支持實(shí)現(xiàn)業(yè)務(wù)驅(qū)動(dòng)和共同推動(dòng)信息安全體系建設(shè)。當(dāng)然,需要提出的問(wèn)題,組織有可能要依賴長(zhǎng)期可靠的合作伙伴:通過(guò)長(zhǎng)期可靠的合作關(guān)系,快速引進(jìn)外部專(zhuān)業(yè)資源和先進(jìn)技術(shù),可以幫助企業(yè)推動(dòng)信息安全建設(shè)工作。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求,企業(yè)實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn),組織應(yīng)做到定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育,包括:技能、職責(zé)和意識(shí),通過(guò)相關(guān)審核,證明組織具備實(shí)施體系的意識(shí)和能力。

 、谥贫润w系:企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維系統(tǒng)建設(shè)的范圍包括機(jī)房安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、服務(wù)器安全、業(yè)務(wù)應(yīng)用安全、終端安全等。為此,企業(yè)應(yīng)明確內(nèi)部運(yùn)維和外部協(xié)同的內(nèi)容及其標(biāo)準(zhǔn)規(guī)范,包括績(jī)效標(biāo)準(zhǔn)。建立實(shí)施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)維體系標(biāo)準(zhǔn),首先把高效的信息安全做法固化下來(lái)形成規(guī)則制度或標(biāo)準(zhǔn),成為組織中信息安全行為準(zhǔn)則。保證事前預(yù)防、事中監(jiān)控和事后審計(jì)等安全措施的得到有效執(zhí)行與落實(shí)。

 、奂夹g(shù)體系:一般來(lái)說(shuō),網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來(lái)部署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、物理安全六個(gè)方面來(lái)選擇不同的安全工具。按照“適度防御”原則,綜合采用各種安全工具進(jìn)行組合,形成企業(yè)“適用的”安全技術(shù)防線。適時(shí)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,采取相應(yīng)措施,降低風(fēng)險(xiǎn)。

  其中,需要采用1~2種綜合管理的工具來(lái)幫助把所有的安全監(jiān)控工具進(jìn)行統(tǒng)一管控。例如SOC是給企業(yè)日常維護(hù)管理者使用,ITRM作為綜合風(fēng)險(xiǎn)呈現(xiàn),是給企業(yè)風(fēng)險(xiǎn)或安全管理層使用。

 、荏w系運(yùn)行和監(jiān)控:體系的日常運(yùn)行和監(jiān)控就是從信息的生命周期進(jìn)行流程控制,即在信息的創(chuàng)建、使用、存儲(chǔ)、傳遞、更改、銷(xiāo)毀等各個(gè)階段進(jìn)行安全控制。之前不能忽視在信息創(chuàng)建開(kāi)發(fā)安全階段的一個(gè)細(xì)化控制手段。在運(yùn)行體系建設(shè)中,往往需要結(jié)合流程分析來(lái)關(guān)注信息的生命周期安全。運(yùn)行過(guò)程中還有一個(gè)應(yīng)急管理,包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標(biāo)準(zhǔn)與理論支持。特別是BS25999標(biāo)準(zhǔn)的頒布,給如何建立一套完善的應(yīng)急體系提供了參考。

  3 企業(yè)建立和實(shí)施信息安全保障體系實(shí)踐

  面對(duì)網(wǎng)絡(luò)系統(tǒng)互連,網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個(gè)復(fù)雜而且浩大的工程,井岡山卷煙廠不僅依靠個(gè)體分散的技術(shù)措施或者管理防護(hù),而且結(jié)合國(guó)家、社會(huì)和個(gè)人的力量構(gòu)建綜合保障體系。

 、僖罁(jù)ISO9000、ISO14000和OHSAS18000標(biāo)準(zhǔn),國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī),參考當(dāng)前科學(xué)的IT管理方法論方面形成了一系列標(biāo)準(zhǔn),結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)等,識(shí)別這些與信息安全相關(guān)的法律法規(guī)及其它要求,將信息安全保障體系(框架)融合到企業(yè)質(zhì)量、環(huán)境和職業(yè)健康安全(以下簡(jiǎn)稱為三標(biāo))綜合管理體系。

 、诖_定信息安全管理目標(biāo)并分步實(shí)施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開(kāi)始,企業(yè)對(duì)照YC/T384煙草企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)要求,在梳理和評(píng)價(jià)2000年以來(lái)企業(yè)多個(gè)企業(yè)信息化三年實(shí)施規(guī)劃實(shí)踐環(huán)境以后,制訂了新的三年信息安全管理目標(biāo)和建設(shè)規(guī)劃,將目標(biāo)和規(guī)劃分解到各年度實(shí)施,并納入到企業(yè)年度三標(biāo)綜合管理體系建設(shè)目標(biāo)和管理績(jī)效考核。

  ③建立信息安全管理組織和工作標(biāo)準(zhǔn),同時(shí)納入三標(biāo)綜合管理體系管理考核。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化,實(shí)現(xiàn)企業(yè)的物資(服務(wù))流、資金流和信息流的一體化,及時(shí)、準(zhǔn)確和完整地傳遞企業(yè)的經(jīng)營(yíng)數(shù)據(jù),保證企業(yè)的經(jīng)營(yíng)管理。利用信息化改進(jìn)管理,形成企業(yè)信息安全文化,促進(jìn)員工接受、理解和主動(dòng)配合,不斷提升全員的信息安全意識(shí)和技能,從而使信息安全管理真正落到實(shí)處。

 、芙⒑蛯(shí)施信息安全保障體系文件標(biāo)準(zhǔn)。根據(jù)國(guó)家信息安全相關(guān)的法律法規(guī)及其它要求,結(jié)合行業(yè)和企業(yè)的特點(diǎn)和發(fā)展趨勢(shì),規(guī)范管理流程和模式。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長(zhǎng)遠(yuǎn)、分步實(shí)施、突出重點(diǎn)”,做到“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)、統(tǒng)一編碼”,同步實(shí)施信息系統(tǒng)等級(jí)保護(hù)制度,促進(jìn)企業(yè)與信息系統(tǒng)項(xiàng)目合作單位、地方通訊和公安等部門(mén)的社會(huì)化合作主要方式。企業(yè)內(nèi)部各項(xiàng)工作實(shí)現(xiàn)規(guī)范化、信息化,做到一切工作都按照程序辦,同時(shí),事事處于相互制衡的環(huán)境之下、人人處于監(jiān)督管理之中,從而形成職責(zé)明確、運(yùn)轉(zhuǎn)協(xié)調(diào)、相互制衡的工作機(jī)制,為企業(yè)內(nèi)部信息安全監(jiān)管提供強(qiáng)有力的保障。

  幾年來(lái),企業(yè)堅(jiān)持企業(yè)信息安全方針目標(biāo),以迅速響應(yīng)服務(wù)為宗旨。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學(xué)、規(guī)范、和諧、統(tǒng)一、開(kāi)放的管理體系,全面融入了質(zhì)量、安全和環(huán)境管理體系一體化建設(shè)和實(shí)踐,截止到2015年底,企業(yè)共梳理建立或整合并實(shí)施安全保障類(lèi)文件包括企業(yè)管理標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和工作標(biāo)準(zhǔn)共計(jì)31個(gè)標(biāo)準(zhǔn)文件。通過(guò)創(chuàng)新與改善和體系審核、管理評(píng)審和提高文件執(zhí)行率及持續(xù)改進(jìn)方式保持了信息安全保障管理體系的持續(xù)改進(jìn)和有效運(yùn)行。

【企業(yè)實(shí)施信息安全保障體系的探索和實(shí)踐論文】相關(guān)文章:

1.實(shí)踐教學(xué)企業(yè)化的探索論文

2.企業(yè)統(tǒng)計(jì)信息化建設(shè)的探索與思考論文

3.現(xiàn)代企業(yè)會(huì)計(jì)控制體系的建立和實(shí)施論文

4.化工原理實(shí)踐教學(xué)的探索論文

5.企業(yè)信息管理與信息化的實(shí)施

6.循環(huán)經(jīng)濟(jì)的探索與實(shí)踐論文

7.教學(xué)模式的探索與實(shí)踐論文

8.企業(yè)信息系統(tǒng)項(xiàng)目管理的構(gòu)成要素與實(shí)施要點(diǎn)論文

9.大學(xué)英語(yǔ)分級(jí)教學(xué)實(shí)踐探索論文