日韩有码亚洲专区|国产探花在线播放|亚洲色图双飞成人|不卡 二区 视频|东京热av网一区|玖玖视频在线播放|AV人人爽人人片|安全无毒成人网站|久久高清免费视频|人人人人人超碰在线

首頁 > 文章中心 > 信息安全培訓(xùn)總結(jié)

信息安全培訓(xùn)總結(jié)

前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全培訓(xùn)總結(jié)范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。

信息安全培訓(xùn)總結(jié)

信息安全培訓(xùn)總結(jié)范文第1篇

“中國企業(yè)員工的信息安全意識可謂不容樂觀,提升員工信息安全意識刻不容緩?!惫劝蔡煜赂笨偨?jīng)理魏彩霞對當(dāng)前企業(yè)員工的信息安全意識現(xiàn)狀表示擔(dān)憂,“不同行業(yè)的信息安全意識現(xiàn)狀不同,電信、金融等行業(yè)由于業(yè)務(wù)的特殊性,安全意識較高,而其他行業(yè)的信息安全意識整體狀況則依舊薄弱”。

調(diào)查顯示,接近50%的受訪者認為單位領(lǐng)導(dǎo)的信息安全意識一般、很差或者還不如自己。而據(jù)魏彩霞介紹,一些企業(yè)中即使領(lǐng)導(dǎo)非常重視信息安全,希望提升員工的保密意識,但“只是看到別人的明文密碼導(dǎo)致信息泄漏就更改自己的網(wǎng)頁設(shè)置等單個事件,并不能系統(tǒng)地提升企業(yè)員工整體的信息安全意識”。

由于員工信息安全意識薄弱而給企業(yè)帶來災(zāi)難性損失的案例屢見不鮮。據(jù)統(tǒng)計,世界上每分鐘就有兩家企業(yè)因為信息安全的問題而倒閉。而在所有信息安全事件中,只有20%~30%是因為黑客入侵或其他外部原因造成,另外70%~80%是由于內(nèi)部員工的疏忽或有意泄漏造成,而78%的企業(yè)數(shù)據(jù)泄漏是由于內(nèi)部員工不規(guī)范的操作造成的。

信息安全培訓(xùn)總結(jié)范文第2篇

關(guān)鍵詞:公鑰基礎(chǔ)設(shè)施(PKI);數(shù)字認證(CA);礦區(qū)管理;信息安全;密碼服務(wù)器

0引言

當(dāng)前我國礦山企業(yè)安全生產(chǎn)形勢依然嚴峻,安全生產(chǎn)基礎(chǔ)相對薄弱,事故總量還是很大,煤礦、金礦等高危行業(yè)結(jié)構(gòu)不合理,應(yīng)急處置以及救援搶險能力相對不足,部分企業(yè)違規(guī)違章現(xiàn)象依然存在,給安全生產(chǎn)帶來一定的安全隱患[1]。隨著計算機通信和網(wǎng)絡(luò)技術(shù)的快速發(fā)展,礦山企業(yè)安全生產(chǎn)的信息化管理成為衡量企業(yè)現(xiàn)代化建設(shè)的重要指標,也是促進企業(yè)安全生產(chǎn)、提升效益的重要方式。礦區(qū)安全生產(chǎn)管理平臺在部署時,采用開放式架構(gòu),兼容主流信息技術(shù),在.NET平臺的基礎(chǔ)上,為了滿足多種信息源服務(wù)終端的需求,平臺采用了多種基礎(chǔ)數(shù)據(jù)庫模型技術(shù),保證安全管理平臺的系統(tǒng)整合能力。平臺采用面向服務(wù)的架構(gòu)(SOA)設(shè)計,并基于分層和分類結(jié)合的混合模式,數(shù)據(jù)交換模式采用標準的XML等技術(shù),應(yīng)用統(tǒng)一規(guī)范的數(shù)據(jù)交換接口及應(yīng)用程序接口,安全機制相對可靠[2]。平臺基于J2EE技術(shù)架構(gòu),支持HTML和DHTML等Web瀏覽器標準,設(shè)計原則遵循高內(nèi)聚、低耦合的原則,降低系統(tǒng)各個功能模塊間的耦合度,降低操作難度,提高系統(tǒng)的通用性。根據(jù)礦山企業(yè)礦區(qū)分散、不聚集的特點,為保證礦山生產(chǎn)網(wǎng)和辦公信息網(wǎng)之間以及與外網(wǎng)之間的信息交換暢通,確保信息在產(chǎn)生、存儲、傳輸和處理過程中的安全性,需要建立全網(wǎng)統(tǒng)一的認證與授權(quán)機制、時間服務(wù)和密碼服務(wù)。目前,在各種技術(shù),基于PKI/CA的信息安全技術(shù)能合理的作用于礦區(qū)安全生產(chǎn)信息化管理平臺,從而保證安全策略得以完整準確的實現(xiàn),該技術(shù)是解決數(shù)據(jù)加密、保護信息安全最有效的方案[3]。

1基于PKI技術(shù)的安全生產(chǎn)管理平臺體系研究

1.1安全生產(chǎn)管理平臺的需求分析

礦區(qū)安全生產(chǎn)管理平臺為解決礦山企業(yè)安全統(tǒng)一管理應(yīng)運而生,以安全生產(chǎn)風(fēng)險管控為核心的風(fēng)險管理平臺是目前各個礦山企業(yè)信息化建設(shè)的新趨勢。以安全生產(chǎn)管理為核心的平臺建設(shè)可以實現(xiàn)對危險隱患的合理分析,形成事前管理、事中風(fēng)險預(yù)控、事后應(yīng)急救援在內(nèi)貫穿安全生產(chǎn)管理全過程的監(jiān)督管理,從而達到提升安全管理水平的目的。

1.2安全生產(chǎn)管理平臺的系統(tǒng)功能設(shè)計

以礦區(qū)實際情況為前提,以信息資源規(guī)劃和開發(fā)利用為主線,以安全法律法規(guī)為支撐,根據(jù)功能需求,在成熟的軟件開發(fā)方法論的指導(dǎo)下,礦山企業(yè)安全生產(chǎn)信息化管理系統(tǒng)的主要功能框架如圖1所示,其子系統(tǒng)設(shè)計如下:包括風(fēng)險管理子系統(tǒng)、事故管理子系統(tǒng)、安全隱患管理子系統(tǒng)、應(yīng)急救援子系統(tǒng)、安全培訓(xùn)子系統(tǒng)、監(jiān)督檢查子系統(tǒng)、質(zhì)量標準化子系統(tǒng)等7大部分。其中風(fēng)險管理子系統(tǒng)主要負責(zé)礦區(qū)風(fēng)險評估,衡量事故發(fā)生的可能性并對其可能造成的相關(guān)損失進行評估,根據(jù)風(fēng)險評估結(jié)果,制定相應(yīng)的管理標準及措施;事故管理子系統(tǒng)主要負責(zé)對已發(fā)生的事故進行統(tǒng)計,形成事故報告、事故月報、事故數(shù)據(jù)庫等,方便查詢,根據(jù)需求進行事故通報和責(zé)任追究;安全隱患管理子系統(tǒng)主要進行安全隱患追蹤、及時對隱患信息進行登記、上報、匯總等,形成隱患整改通知單,及時開展追蹤和銷號管理等;應(yīng)急救援子系統(tǒng)主要針對突發(fā)緊急事件進行預(yù)防、救援、恢復(fù)等管理,以應(yīng)急救援案例庫為依托,類比實際案例,推送相關(guān)匹配度最高的案例輔助應(yīng)急救援決策,此外該模塊涵蓋救援隊伍、救援機構(gòu)等詳細信息;安全培訓(xùn)子系統(tǒng)主要負責(zé)相關(guān)人員安全的培訓(xùn)信息統(tǒng)計,及時對持證人員進行過期預(yù)警提示,服務(wù)于公司的安全培訓(xùn)管理等制度;監(jiān)督檢查子系統(tǒng)主要進行安全活動制定、、總結(jié)等,下設(shè)安全檢查、整改落實、經(jīng)驗總結(jié)等三個子模塊,為安全監(jiān)督管理機構(gòu)安全檢查發(fā)現(xiàn)的問題、形成原因、改進措施、整改建議等;質(zhì)量標準化子系統(tǒng)主要為管理人員提供標準庫查詢、檢查數(shù)據(jù)匯總等服務(wù),方便現(xiàn)場檢查及質(zhì)量便準化考核等。

1.3安全生產(chǎn)管理平臺的PKI/CA技術(shù)分析

1.3.1PKI技術(shù)體系簡介

隨著當(dāng)前信息系統(tǒng)建設(shè)的快速發(fā)展和數(shù)字網(wǎng)絡(luò)化的應(yīng)用的普及,不同部門之間、跨部門的信息共享和綜合分析的需求也在日益增加,與此同時當(dāng)前信息網(wǎng)絡(luò)應(yīng)用中也面臨著信息量大、數(shù)據(jù)種類繁多,不同數(shù)據(jù)訪問要求不同等現(xiàn)狀,因此包括信息保密性、身份認證、訪問權(quán)限管理等在內(nèi)的信息安全問題急需解決。公鑰基礎(chǔ)設(shè)施(publickeyinfrastructure)簡稱PKI,為解決大型信息網(wǎng)絡(luò)面臨的安全問題應(yīng)運而生。PKI是當(dāng)前信息化安全建設(shè)的基礎(chǔ)和重要保證。PKI是一種具有安全性和透明性的密鑰管理系統(tǒng),通過為用戶提供密鑰和證書管理服務(wù),提供安全策略,從而建立安全有效的網(wǎng)絡(luò)環(huán)境,保證數(shù)據(jù)信息在安全傳輸?shù)倪^程中不被非法偷看以及非授權(quán)者篡改等,從而達到保護用戶信息機密、完整的目的[4-6]。通常來說,一個完整的PKI系統(tǒng)包含認證中心數(shù)CA(certificateauthority)、證書庫、密鑰備份及恢復(fù)系統(tǒng),證書作廢處理系統(tǒng),客戶端證書處理系統(tǒng)等五大部分,其中CA是PKI的核心執(zhí)行機構(gòu),證書庫是存放公鑰和用戶證書的信息庫[5-7]。

1.3.2基于PKI體系的礦山安全生產(chǎn)信息化管理體系結(jié)構(gòu)

PKI作為一種安全技術(shù),已經(jīng)深入到常規(guī)網(wǎng)絡(luò)的各個層面,使用戶可以在多種應(yīng)用環(huán)境中使用加密及數(shù)據(jù)簽名技術(shù),是當(dāng)前網(wǎng)絡(luò)信息安全問題的綜合解決方案,為企業(yè)的信息安全保駕護航。對于本文分析的礦山企業(yè)安全生產(chǎn)管理平臺,PKI技術(shù)將重點解決用戶訪問權(quán)限、信息傳輸、數(shù)據(jù)共享等問題,如準確驗證登錄用戶身份、保證跨部門之間的信息保密與共享、防止信息竊取保證信息安全傳輸?shù)鹊?。礦山安全生產(chǎn)信息化管理平臺的PKI安全服務(wù)體系主要包括證書簽發(fā)管理和PKI安全服務(wù)兩部分,如圖2的方框所示。其中PKI的主體是證書機構(gòu)CA、注冊機構(gòu)RA(registrationauthority)、密鑰管理KM(keymanagement),其中核心組成CA是數(shù)字證書的頒發(fā)機構(gòu),數(shù)字證書就是網(wǎng)絡(luò)用戶的身份證,CA審核用戶身份等信息并與公鑰結(jié)合形成數(shù)字證書,從而確保其真實有效性,使得PKI能夠為網(wǎng)絡(luò)用戶提供較好的安全服務(wù)[7]。RA在整個體系中起承上啟下的銜接作用,是連接用戶和CA之間的橋梁,既向CA轉(zhuǎn)發(fā)證書請求,也向安全服務(wù)器轉(zhuǎn)發(fā)CA簽發(fā)的證書等。KM主要負責(zé)密鑰的備份、恢復(fù)、保存等管理服務(wù),三個系統(tǒng)完成了證書簽發(fā)、管理等功能。公共安全接口具有一套通用、抽象的系統(tǒng)函數(shù),實現(xiàn)語言較多,具體的密碼算法不會影響到該接口,設(shè)計者可以根據(jù)自己對于系統(tǒng)的需求對安全接口進行開發(fā),該接口根據(jù)工作環(huán)節(jié)及性能分為初始化部分、安全操作部分、解編部分、通信部分等。

管理調(diào)度單元銜接公共安全接口與密碼服務(wù)單元,公共安全初始化部分通過管理調(diào)度單元選擇密碼服務(wù)單元,而管理調(diào)度單元向負載最小的密碼服務(wù)單元進行申請密碼服務(wù),從而使得服務(wù)器負載均衡。當(dāng)系統(tǒng)調(diào)度單元出現(xiàn)故障時,系統(tǒng)會隨機分配一個密碼服務(wù)單元,保證應(yīng)用系統(tǒng)的正常運行,在保證系統(tǒng)負載均衡的同時,也保證數(shù)據(jù)的冗余備份,從而為應(yīng)用系統(tǒng)提供及時安全的密碼服務(wù)。密碼服務(wù)單元是PKI密碼服務(wù)的核心部分,負責(zé)提供相關(guān)密碼算法及密鑰管理功能。密碼服務(wù)器根據(jù)配置需求及應(yīng)用情況包含多個密碼服務(wù)單元,當(dāng)一個單元出現(xiàn)故障時,可以通過管理調(diào)度單元進行分配,從而保證應(yīng)用系統(tǒng)的正常運行。密碼算法根據(jù)功能特性主要分為三類:非對稱密碼算法(公鑰密碼)、對稱密碼算法(傳統(tǒng)密碼)和安全Hash算法[9-10]。非對稱密碼算法計算速度相對較慢,但其電子簽名和密鑰交換功能有更廣闊的應(yīng)用范圍;對稱密碼算法運算速度較快,適用于大數(shù)據(jù)高流速的數(shù)據(jù)加密/解密功能,但是難以實現(xiàn)用戶身份識別等功能;安全Hash算法可以用來實現(xiàn)數(shù)據(jù)完整性驗證和輔助電子簽名等功能。密鑰管理主要包括密鑰的產(chǎn)生、更新、泄露處理、有效期管理、存儲、銷毀等功能,從而保證密鑰的安全有效運行。實時監(jiān)控單元對密碼服務(wù)器中的單元狀態(tài)進行實時監(jiān)控,及時找到密碼服務(wù)的相關(guān)故障,此外實時監(jiān)控單元的日志功能可以記載密碼服務(wù)器出現(xiàn)問題的詳細信息。以PKI技術(shù)為核心的信息安全架構(gòu)體系可以有效的作用于礦山安全生產(chǎn)信息化管理平臺的正常設(shè)計和應(yīng)用中,尤其是多層次的網(wǎng)絡(luò)系統(tǒng)中,從而保證安全策略順利實施,從而保證整個平臺系統(tǒng)的信息安全和應(yīng)用安全。

2PKI/CA相關(guān)技術(shù)在礦山企業(yè)安全生產(chǎn)管理建設(shè)中的應(yīng)用效果

以密碼技術(shù)為核心的PKI/CA技術(shù),提高了網(wǎng)絡(luò)的安全性與可靠性,較好地解決了信息共享開放與信息保密隱私的關(guān)系、網(wǎng)絡(luò)互聯(lián)性與局部網(wǎng)絡(luò)隔離的關(guān)系,保證礦山企業(yè)安全生產(chǎn)管理建設(shè)的信息安全性,為企業(yè)內(nèi)部用戶提供了安全信賴的網(wǎng)絡(luò)環(huán)境,保證了企業(yè)不受信息安全威脅,為礦山的安全生產(chǎn)、信息管理提供了技術(shù)保障,在數(shù)據(jù)安全管理、業(yè)務(wù)協(xié)調(diào)以及實時智能指揮等領(lǐng)域取得了一定的應(yīng)用效果。

2.1在數(shù)據(jù)安全管理領(lǐng)域的應(yīng)用效果

2.1.1身份認證和訪問控制方面

安全生產(chǎn)管理平臺用戶角色眾多,有企業(yè)監(jiān)管人員,公眾訪問人員,平臺內(nèi)部測試管理人員等,一人多賬戶多角色多權(quán)限,容易帶來極大的安全隱患問題,因此具有支持多種認證方式同時具有統(tǒng)一認證訪問控制的安全機制及用戶權(quán)限管理方案變的非常重要。安全生產(chǎn)管理平臺基于PKI技術(shù)將證書策略應(yīng)用于用戶的訪問控制中,不同級別的登錄人員可以設(shè)置不同的訪問權(quán)限,通過網(wǎng)上進行信息傳遞的身份證明,為用戶和數(shù)據(jù)之間建立起可信任的橋梁,有效的保證了平臺信息的安全服務(wù)。

2.1.2安全傳輸方面

礦山安全生產(chǎn)信息化管理會產(chǎn)生大量的數(shù)據(jù),數(shù)據(jù)規(guī)模大、種類繁多,隨之而來的是數(shù)據(jù)安全管理和通訊安全的問題,安全的信息通訊是解決信息安全威脅的重要手段之一。安全生產(chǎn)管理平臺采用的PKI相關(guān)技術(shù),可以使用不同系統(tǒng)間的跨域共享和靈活授權(quán),可以提供不同系統(tǒng)訪問的授權(quán)管理、密鑰管理、身份認證、責(zé)任認定,使得系統(tǒng)傳輸?shù)臄?shù)據(jù)信息具有較高的安全性、完整性、并在消息傳遞過程中完成信息的加密和數(shù)字簽名,大大提高了平臺通訊的安全性。

2.2在業(yè)務(wù)協(xié)調(diào)、實時智能指揮領(lǐng)域的應(yīng)用效果

安全生產(chǎn)管理平臺以安全生產(chǎn)風(fēng)險管控為核心,在成熟的軟件開發(fā)方法論的指導(dǎo)下,將風(fēng)險管理、事故管理、安全隱患排查、應(yīng)急救援、安全培訓(xùn)、監(jiān)督檢查等內(nèi)容整合到統(tǒng)一平臺。PKI相關(guān)技術(shù)保證了各個系統(tǒng)之間的數(shù)據(jù)共享和安全通信,通過登陸人員訪問權(quán)限和各模塊之間協(xié)調(diào)管理,為公司的安全生產(chǎn)提供了技術(shù)保證,從而對生產(chǎn)過程中的風(fēng)險進行有效管理,提升安全管理效率,降低安全生產(chǎn)事故。PKI技術(shù)保證了系統(tǒng)通訊的正常安全運轉(zhuǎn),實現(xiàn)各個系統(tǒng)之間的資源共享,消除各個系統(tǒng)之間的信息孤島,實現(xiàn)各個子系統(tǒng)的協(xié)調(diào)調(diào)度,使得各類用戶可以方便快捷的訪問、管理平臺,將各類信息安全的聯(lián)系起來,同時借助系統(tǒng)對監(jiān)控數(shù)據(jù)進行智能分析和決策支持,使得事故實時智能指揮成為可能,并逐步實現(xiàn)了事故管理由事后應(yīng)急響應(yīng)到事前預(yù)警提示,對于提高礦區(qū)防災(zāi)能力,實現(xiàn)礦區(qū)安全高效生產(chǎn)、提高安全管理水平具有重要的引領(lǐng)作用。

3結(jié)語

PKI技術(shù)體系通過管理數(shù)字證書和密鑰的方式,為用戶搭建安全可靠的網(wǎng)絡(luò)平臺,使得用戶可以在多種用戶環(huán)境中方便的進行加密和數(shù)字簽名,保證了礦區(qū)安全生產(chǎn)管理平臺身份識別、信息傳遞、訪問權(quán)限等的安全實施,依托數(shù)字證書、密鑰管理等技術(shù),可以有效的生成、保存、更新管理密鑰,解決了網(wǎng)絡(luò)身份認證、信息完整性和抗依賴性等安全難題,為解決礦山安全生產(chǎn)信息化管理中存在的信息安全等因素提供了強大的技術(shù)支撐。考慮到PKI技術(shù)本身缺點以及礦山企業(yè)的行業(yè)特性,該技術(shù)仍有一定的缺陷。在實際中,PKI技術(shù)構(gòu)建和運行成本高昂,此外用戶認識水平、相關(guān)法律政策等因素的制約,都不利于PKI技術(shù)應(yīng)用發(fā)展。因此,需要解決多個獨立PKI系統(tǒng)之間的交叉認證與互操作性等,以及證書過期、撤銷、丟失帶來的密鑰托管和證書安全等問題[11]。盡管如此,PKI技術(shù)的前景仍然是廣闊的,隨著相關(guān)技術(shù)的快速發(fā)展,PKI相關(guān)技術(shù)仍然是礦山安全管理信息化建設(shè)中解決通訊安全問題的必然選擇。

參考文獻

[1]劉星魁,謝金亮,LIUXing-kui,等.煤礦安全生產(chǎn)現(xiàn)狀及對策探討[J].煤炭技術(shù),2008,27(1):139-141.

[2]史科蕾,石秋發(fā).基于PKI/CA技術(shù)在礦區(qū)服務(wù)平臺中安全管理的設(shè)計與實現(xiàn)[J].煤炭技術(shù),2013(6):280-281.

[3]熊萬安,龔耀寰.基于公開密鑰基礎(chǔ)結(jié)構(gòu)(PKI)的信息安全技術(shù)[J].電子科技大學(xué)學(xué)報:社會科學(xué)版,2001,3(1):4-6.

[4]張慧.PKI技術(shù)研究[J].湖北第二師范學(xué)院學(xué)報,2007,24(8):42-44.

[5]李彥,王柯柯.基于PKI技術(shù)的認證中心研究[J].計算機科學(xué),2006,33(2):110-112.

[6]謝冬青,冷?。甈KI原理與技術(shù)[M].北京:清華大學(xué)出版社,2004.

[7]黃蘭英.PKI技術(shù)和網(wǎng)絡(luò)安全模型研究[J].孝感學(xué)院學(xué)報,2007,27(6):62-64.

[8]陳雨婕.基于PKI的礦山企業(yè)網(wǎng)絡(luò)信息安全研究[J].礦山測量,2011(3):46-47.

[9]秦志光.密碼算法的現(xiàn)狀和發(fā)展研究[J].計算機應(yīng)用,2004,24(2):1-4.

[10]張曉豐,樊啟華,程紅斌.密碼算法研究[J].計算機技術(shù)與發(fā)展,2006,16(2):179-180.

信息安全培訓(xùn)總結(jié)范文第3篇

【關(guān)鍵詞】企業(yè)信息 信息資產(chǎn)

一、專業(yè)管理的目標描述

(1)專業(yè)管理的理念或策略。如果在工作中能做到卡帳物一一對應(yīng)將大大降低資產(chǎn)的日常維護的難度,當(dāng)用戶反應(yīng)設(shè)備出問題時候,可以第一時間的到達現(xiàn)場去維護。做好資產(chǎn)維護工作,更加有利于對資產(chǎn)的統(tǒng)計和審計工作,能更好地對資產(chǎn)全周期的管理。

(2)專業(yè)管理的目標和范圍。在公司日常的信息通信資產(chǎn)維護工作中,做到資產(chǎn)正確率百分之百成了運維工作中一個最主要的目標。信息資產(chǎn)管理的主要范圍為公司所述的全部信息設(shè)備,包括個人辦公電腦、打印機、掃描儀、網(wǎng)絡(luò)交換機和服務(wù)器等等。

二、專業(yè)管理的主要做法

(一)專業(yè)管理工作的流程圖

目前國網(wǎng)浙江浦江縣供電公司擁有個人辦公電腦753臺,打印機和掃描儀等附屬設(shè)備共計515臺。公司信息設(shè)備數(shù)量龐大,不僅如此,各類信息設(shè)備種類繁多,就以PC機為例,目前公司正在使用的有DELL740系列、DELL760系列、DELL780系列、聯(lián)想6100T系列和聯(lián)想8300T 系列等10余種型號,每種型號的配置也完全不同,而且辦公計算機所用的操作系統(tǒng)也完全不同,有WIN XP、WIN2003、WIN2008和WIN7等等,在對計算機的硬件和軟件采集工作也有較大的困難。所以如何做到設(shè)備的帳卡物對應(yīng)是一個難點工程。

目前國網(wǎng)浦江縣供電公司信息化管理部門共有成員3人,需要擔(dān)負著公司全承擔(dān)信息通信管理、建設(shè)、運維、服務(wù)的全部職能。與公司數(shù)量日益繁多的信息通信設(shè)備和維護工作相比,現(xiàn)在的人員配置簡直就是杯水車薪,好做好信息資產(chǎn)維護和管理工作是一個比較大的困難。所以,選擇一種合適本公司實情的信息資產(chǎn)管理辦法也就顯得尤為重要。經(jīng)過國網(wǎng)浙江浦江縣供電公司信息化管理部門經(jīng)過近兩年資產(chǎn)工作的總結(jié),制定了“四有”標準:即管理有制度、記錄有臺帳、體系有支撐、人員有培訓(xùn),規(guī)范推進信息資產(chǎn)管理,以相對完善的管理辦法、規(guī)范而又簡潔的工作流程,保證了資產(chǎn)管理的規(guī)范有序,提升了資產(chǎn)管理水平。

(二)主要流程說明

公司信息化管理部門在日常工作中,嚴格執(zhí)行圖一的工作流程。下面對照流程圖對公司信息資產(chǎn)維護的幾個步驟進行說明和解釋。

(1)管理有制度,以制度規(guī)范信息資產(chǎn)領(lǐng)用各環(huán)節(jié)。2013年年初的時候,通過借鑒相關(guān)經(jīng)驗和班組日常工作的總結(jié)和分析,研究出了一套相對于比較規(guī)范的信息資產(chǎn)管理的管理辦法,在征得公司領(lǐng)導(dǎo)同意的后以公司下文的形式下發(fā)《國網(wǎng)浙江浦江縣供電公司信息設(shè)備管理辦法》(如圖二所示),在管理辦法中明確對公司信息設(shè)備從申請、遷移、更換到報廢的全生命周期管理。

例如,以前公司某員工申請更換電腦一臺,往往申請的新電腦并未安裝給申請人或把更換下來的電腦又安裝給他人,在維護過程中,造成多臺信息設(shè)備資產(chǎn)的變更,稍不留神就會造成信息資產(chǎn)混亂。長此以往,信息資產(chǎn)將會產(chǎn)生一定的混亂和差錯,不利于信息運維。目前,針對此類情況嚴格按照這個管理辦法的規(guī)定,填寫相應(yīng)的申請單,在申請單中明確新裝還是更換,對于新裝一律執(zhí)行誰申請,誰使用,誰保管的原則,對于更換一律將新電腦裝給申請人,并把更換下來的電腦進行收回。有了這個管理流程之后,對于每臺信息設(shè)備從安裝源頭上進行規(guī)范,在電腦送到員工安裝前完成IMS系統(tǒng)上信息的變更以及完成資產(chǎn)二維碼的打印和粘貼,通過以上措施和辦法,在源頭上做到實物與IMS系統(tǒng)的一一對應(yīng)。

(2)記錄有臺賬,以痕跡化管理確保信息設(shè)備賬實相符。公司在每個部門設(shè)置一名兼職管理員,作為公司信息化管理隊伍的補充。通過下發(fā)《關(guān)于成立國網(wǎng)浙江浦江縣供電公司信息系統(tǒng)管理網(wǎng)絡(luò)的通知》(如圖三所示),以文件的形式任命了各部門的兼職管理員的職務(wù)。對于這支隊伍,公司每年開展兩次信息安全培訓(xùn)使其掌握最基礎(chǔ)的信息運維技能。每個季度的第一個月初,公司信息資產(chǎn)運維人員從IMS系統(tǒng)中導(dǎo)出各部門的信息設(shè)備資產(chǎn)清單以O(shè)A的形式發(fā)送給各部門的兼職管理員,兼職管理員通過對照清單現(xiàn)場核實所在部門的信息設(shè)備資產(chǎn),并將變動過的信息設(shè)備及時反饋給公司信息運維人員。對于信息兼職管理提出有問題和疑義的資產(chǎn),由信息資產(chǎn)運維人員在現(xiàn)場再次核實,對錯誤的資產(chǎn)在IMS系統(tǒng)上做相應(yīng)的更改。

與此同時,由于兼職管理員在無法實時對IMS系統(tǒng)的查看以及各部門存在信息設(shè)備使用人員更換情況,若各部門沒有一份自身的信息設(shè)備臺賬也會造成資產(chǎn)的管理混亂。班組通過制作了《信息設(shè)備臺賬》,要求各部門兼職管理員將部門內(nèi)的信息設(shè)備填寫在《信息設(shè)備臺賬》上,從而在日常使用上杜絕了因為部門內(nèi)部信息設(shè)備調(diào)整而引起的資產(chǎn)混亂的情況,實現(xiàn)信息設(shè)備的無死角管理。

(3)體系有支撐,以省公司IMS和ERP系統(tǒng)提升資產(chǎn)管理信息化水平。公司通過使用省公司的IMS和ERP系統(tǒng),把相應(yīng)的信息設(shè)備全部錄入系統(tǒng),實現(xiàn)實時全方面的對設(shè)備的管理。經(jīng)過公司近2個月的信息設(shè)備資產(chǎn)的普查并將相關(guān)資產(chǎn)信息錄入IMS系統(tǒng)。在日常工作中,對信息設(shè)備資產(chǎn)的變更及時在系統(tǒng)上更改,實現(xiàn)系統(tǒng)與實物相對應(yīng)。同時,IMS系統(tǒng)與ERP系統(tǒng)聯(lián)動保證資產(chǎn)的正確性。當(dāng)公司采購一批信息設(shè)備,公司將資產(chǎn)信息及時錄入IMS系統(tǒng),IMS系統(tǒng)自動同步到ERP系統(tǒng)中,將生成的資產(chǎn)號、設(shè)備號填回IMS系統(tǒng),實現(xiàn)新設(shè)備的賬卡物一一對應(yīng)。當(dāng)有資產(chǎn)因為使用年限過長等原因需要報廢的時候,及時在IMS系統(tǒng)中更改設(shè)備為退役,并聯(lián)系省信通公司財務(wù)部資產(chǎn)管理專職參與信息設(shè)備報廢,在將報廢的信息設(shè)備統(tǒng)一保管由省信通公司安排人員進行報廢,讓財務(wù)進行簽字確認,財務(wù)人員通過確認單及時在ERP系統(tǒng)上報廢相對應(yīng)的資產(chǎn)數(shù)據(jù),實現(xiàn)資產(chǎn)下線帳卡物統(tǒng)一。

(4)人員有培訓(xùn),以定期培訓(xùn)提升信息資產(chǎn)管理人員專業(yè)性。從2013年至今,公司信息化管理部門每年組織兩次針對全公司信息安全骨干的信息安全培訓(xùn)(如圖4所示)。培訓(xùn)的內(nèi)容包括如何采集計算機的硬件信息(包括電腦品牌型號、出廠編號、出廠日期、CPU類型、內(nèi)存大小和顯卡型號等等)和軟件信息(包括操作系統(tǒng)、IP地址和各硬盤容量等等),當(dāng)前信息安形勢,信息安全操作技能、違規(guī)外聯(lián)防范措施及案例以及有關(guān)桌面設(shè)備資產(chǎn)的兩個管理方法。在技術(shù)上給與了桌面設(shè)備管理里的支持。在每次信息安全培訓(xùn)的過程中,各部門兼職管理員對近半年以來的資產(chǎn)管理工作進行總結(jié),并提出有疑問的資產(chǎn)信息。信息化管理部門運維人員進行一一記錄后,進行逐一核實,保證信息資產(chǎn)的正確率達到百分之百。

(三)確保流程正常運行的人力資源保證

國網(wǎng)浦江縣供電公司在公司層面成立了國網(wǎng)浦江縣供電公司信息化管理領(lǐng)導(dǎo)小組,全面負責(zé)領(lǐng)導(dǎo)公司的信息化管理、日常運行維護和信息化設(shè)備建設(shè)工作。與此同時,成了公司信息化管理網(wǎng)絡(luò)團隊,在每個部門設(shè)置一名兼職管理員,在公司信息化管理小組的領(lǐng)導(dǎo)下,作為公司信息化管理隊伍的補充。

目前,公司信息資產(chǎn)維護工作處于“1+2+N”模式,“1”指的是公司信息化領(lǐng)導(dǎo)小組全面負責(zé)領(lǐng)導(dǎo),“2”指的是由信息化管理部門在信息資產(chǎn)管理中制定相應(yīng)的運維管理辦法和提供技術(shù)支持,“N”指的是由N名兼職管理員負責(zé)各部門信息資產(chǎn)的運行維護工作。在此工作模式下,上一級負責(zé)下一級的管理、指導(dǎo)、監(jiān)督和考核工作,責(zé)任落實到每個人員,保障資產(chǎn)維護工作的順利開展。

(四)保證流程正常運行的專業(yè)管理的績效考核與控制

在經(jīng)過公司主要領(lǐng)導(dǎo)同意以后,信息化管理部門聯(lián)合人力資源部制定了相應(yīng)的信息資產(chǎn)管理的考核標準,考核標準的主要指標是各部門信息資產(chǎn)的正確率,并以公司的名義進行了發(fā)文。在日常的信息資產(chǎn)運行維護過程中,嚴格管理信息資產(chǎn)的調(diào)整的每個環(huán)節(jié),并列入了班組的績效考核。

信息化管理部門將公司的信息資產(chǎn)信息按部門分配到部門管理人員中,部門各管理人員負責(zé)自己責(zé)任區(qū)內(nèi)的信息資產(chǎn)的管理和維護工作。每個季度的第一個月,班組對部門管理人員在自身責(zé)任區(qū)資產(chǎn)情況進行抽查,隨機抽取幾臺資產(chǎn)判斷其數(shù)據(jù)的正確性。若有發(fā)生錯誤時,對其個人及部門嚴格考核,列入個人或部門的月度、季度和年度的績效考核中。通過此項措施,可以把信息資產(chǎn)管理責(zé)任到部門管理人員,讓每名管理員都有責(zé)任心負責(zé)好自己責(zé)任區(qū)中的資產(chǎn)。

三、評估與改進

(一)專業(yè)管理的評估方法

判斷此項管理辦法是否有效最簡單的方法便是檢驗實施管理辦法前后信息資產(chǎn)正確率的變化。

通過公司信息化管理部門對兩年資產(chǎn)的維護工作總結(jié),公司信息資產(chǎn)正確率有了非常明顯的提高。2013年初的時候,公司信息資產(chǎn)管理較為混亂,IMS系統(tǒng)內(nèi)的信息資產(chǎn)數(shù)據(jù)半年都得不到更新一次,連資產(chǎn)設(shè)備總數(shù)與實際情況有較大的差距,系統(tǒng)的信息資產(chǎn)數(shù)據(jù)根本無法與實際相對應(yīng),更無法和財務(wù)的ERP系統(tǒng)的數(shù)據(jù)同步。在報廢工作中,舊倉庫的待報廢設(shè)備堆積如山,而且無法確定待報廢設(shè)備的種類和數(shù)量。所以,2013年之前公司信息資產(chǎn)管理工作是沒有任何頭緒的。經(jīng)過兩年多以來信息資產(chǎn)的規(guī)范化管理,資產(chǎn)的維護得到了明顯的改善。

目前,經(jīng)過班組自行的抽查,信息資產(chǎn)正確率達到了百分之百。在班組對公司信息資產(chǎn)的日常運行維護工作中,正確的資產(chǎn)信息帶來了極大的方便,一旦有員工反映所使用的設(shè)備有問題的時候,運維人員就能及時的查到該設(shè)備的任何硬件和軟件信息,提高了運維的效率。與此同時,報廢工作也有了流程化管理,對于每一臺報廢的信息設(shè)備做到了有章可循。

(二)專業(yè)管理存在的問題

雖然,公司在信息資產(chǎn)運行維護的工作上有了比較的進展,但是在目前信息資產(chǎn)運維的工作流程較為復(fù)雜,例如一名員工申請了一臺新的辦公計算機,需要將舊的計算機給另一名員工使用,現(xiàn)在的流程處理起來較為復(fù)雜,流程上需要運轉(zhuǎn)較長的時間。綜上所述,運維人員在處理信息資產(chǎn)管理流程的時間上過長。

信息安全培訓(xùn)總結(jié)范文第4篇

一、工作開展檢查情況;

信息科積極落實市文件精神對網(wǎng)絡(luò)安全開展自查梳理。目前本院內(nèi)外網(wǎng)屬于物理隔離,二個網(wǎng)段之間不能相互訪問,電腦USB端口設(shè)置禁用,較大避免因外部介質(zhì)感染和內(nèi)外互連互通導(dǎo)致可能出現(xiàn)病毒攻擊事件的發(fā)生。

1、檢查信息中心機房服務(wù)器端;

每周定期更新殺毒軟件病毒庫,服務(wù)器屏蔽高危端口和修改遠程訪問端,屏蔽全部不在用的端口、修改用戶訪問內(nèi)網(wǎng)服務(wù)器組策略、設(shè)置90天必須更換系統(tǒng)登錄密碼、密碼規(guī)則按照英文、數(shù)字、字符、大小寫等復(fù)雜程度設(shè)置、定期更換數(shù)據(jù)庫系統(tǒng)登錄密碼、修改內(nèi)網(wǎng)出口防火墻組策略和訪問進出入規(guī)則、更新服務(wù)器高危補丁漏洞,對服務(wù)器系統(tǒng)做全盤備份。專用殺毒軟件服務(wù)器每周定期下載更新最新版病毒庫更新,并對系統(tǒng)設(shè)置空閑時間自動查殺病毒和漏洞掃描。

2、檢查網(wǎng)絡(luò)設(shè)備和安全設(shè)備端;

從機房端排查到各個樓層交換機等網(wǎng)絡(luò)設(shè)備均一切正常,未發(fā)現(xiàn)人為的篡改和插拔網(wǎng)絡(luò),查詢?nèi)罩疚窗l(fā)現(xiàn)可疑設(shè)備和網(wǎng)絡(luò)地址攻擊,硬件防火墻工作一切正常。機房內(nèi)外網(wǎng)端口排查未發(fā)現(xiàn)內(nèi)外相互混插跳線,在內(nèi)網(wǎng)機器無法PING通外網(wǎng)電腦和網(wǎng)絡(luò)設(shè)備,機房網(wǎng)絡(luò)設(shè)備均有UPS電源輸出,保證在瞬間斷電,造成信息數(shù)據(jù)丟失和安全事件發(fā)生。從信息中心機房網(wǎng)絡(luò)設(shè)備端到內(nèi)網(wǎng)臨床科室工作站和樓層網(wǎng)絡(luò)安全設(shè)備上,內(nèi)網(wǎng)并未發(fā)現(xiàn)有網(wǎng)絡(luò)熱點設(shè)備私自違規(guī)接入使用。

3、檢查臨床科室醫(yī)護工作站內(nèi)網(wǎng)端;

本次檢查排摸醫(yī)院內(nèi)網(wǎng)電腦操作系統(tǒng)為WIN7和WIN10,WIN7微軟不再更新補丁,后期逐步替換更新成新的操作系統(tǒng),避免出現(xiàn)安全隱患。

按照區(qū)信息中心對工作站的管理要求,信息管理員落實封閉高危端口3389、445和屏蔽USB等移動設(shè)備外部接入,補打勒索病毒免疫補丁,升級殺毒軟件,設(shè)置醫(yī)生工作電腦開機登錄密碼,在醫(yī)護人員信息業(yè)務(wù)系統(tǒng)內(nèi)設(shè)置操作密碼登入,并且告知業(yè)務(wù)人員不得冒名頂替,必須專人專用,人機分離必須關(guān)閉個人在用操作的業(yè)務(wù)系統(tǒng),否則容易造成信息數(shù)據(jù)保密性和安全性得不到保護。容易他人直接查詢使用及不法分子進入蓄意破壞信息數(shù)據(jù)。

為了保護信息中心服務(wù)器和數(shù)據(jù)庫系統(tǒng),避免臨床工作站軟件需要直接訪問服務(wù)器端,信息科按照信息安全管理要求,將所有在用HIS業(yè)務(wù)系統(tǒng)全部拷貝到醫(yī)護工作站本地電腦上運行,不在實時調(diào)閱訪問服務(wù)器,盡量避免臨床工作站中毒導(dǎo)致機房服務(wù)器被攻擊或被篡改系統(tǒng)和數(shù)據(jù)庫密碼。

4、檢查醫(yī)院外網(wǎng)網(wǎng)絡(luò)及終端;

檢查醫(yī)院外網(wǎng)終端均可以使用USB接口,防病毒軟件為免費版360殺毒,內(nèi)部病毒庫和版本系統(tǒng)自動升級,無需人工手動下載干預(yù),外網(wǎng)端口未封閉,考慮外網(wǎng)為日常辦公需要,并未屏蔽端口和USB接口。外網(wǎng)終端操作系統(tǒng)設(shè)置登錄密碼。

二、 網(wǎng)絡(luò)信息安全自查存在的風(fēng)險;

1. 外網(wǎng)路由器端接入口未安裝硬件防火墻(已安裝的為軟路由帶防火墻功能),容易遭受外部網(wǎng)絡(luò)攻擊。醫(yī)院信息科已落實整改,將網(wǎng)絡(luò)安全申報在2021年的機房等保三級項目內(nèi)解決。

2. 按照區(qū)衛(wèi)計委信息中心檢查規(guī)范要求,需要網(wǎng)絡(luò)交換機設(shè)備上的運行日志保存6個月以上,目前醫(yī)院未安裝存儲設(shè)備,網(wǎng)絡(luò)交換機在斷電恢復(fù)后日志自動全部清零,在出現(xiàn)網(wǎng)絡(luò)攻擊和病毒感染時,無法追溯跟蹤分析來源,需要采購安裝網(wǎng)絡(luò)日志服務(wù)器,才能滿足網(wǎng)絡(luò)設(shè)備數(shù)據(jù)個性化存儲。醫(yī)院信息科已落實整改,將網(wǎng)絡(luò)安全申報在2021年的機房等保三級項目內(nèi)解決。

3. 臨床科室醫(yī)護人員普片對電腦系統(tǒng)加密和業(yè)務(wù)系統(tǒng)加密等網(wǎng)絡(luò)安全意識上比較模糊和意識不強,缺少風(fēng)險防范意識。后續(xù)需加強培訓(xùn)指導(dǎo)。目前已經(jīng)全部對在用電腦系統(tǒng)加密處理。

4. 檢查發(fā)現(xiàn)軟件公司部分業(yè)務(wù)應(yīng)用系統(tǒng)還是過度依賴高危端口,一旦高危端口屏蔽后,軟件業(yè)務(wù)出現(xiàn)各種報錯信息,影響客戶使用。目前醫(yī)院在用系統(tǒng)為C/S架構(gòu)需要把系統(tǒng)部署到到本地電腦上存儲運行數(shù)據(jù)。已經(jīng)聯(lián)系軟件公司,回復(fù)會新開發(fā)最新部署軟件,解決高危共享端口封閉后造成軟件不能使用的情況發(fā)生。

5. 信息安全管理人員較少,需要增加信息安全專業(yè)人員技術(shù)支持。

三、網(wǎng)絡(luò)信息安全自查工作建議

總體來說,我院領(lǐng)導(dǎo)對網(wǎng)絡(luò)與信息安全工作非常重視,從未發(fā)生過重大的安全事故,各系統(tǒng)運轉(zhuǎn)穩(wěn)定,各項業(yè)務(wù)能夠正常運行。但自查中也發(fā)現(xiàn)了不足之處,如目前醫(yī)院信息技術(shù)人員力量有限;全院醫(yī)護人員對信息安全意識還夠,個別科室缺乏維護信息安全的主動性防范和自覺性保護。

醫(yī)院將今后加強信息技術(shù)人員的網(wǎng)絡(luò)安全培訓(xùn)和外出學(xué)習(xí),更進一步提高信息安全技術(shù)管理水平;加強全院職工信息安全教育培訓(xùn),提高維護信息安全的主動性和自覺性;加大對醫(yī)院信息安全設(shè)備建設(shè)的投入,提升網(wǎng)絡(luò)安全設(shè)備的基礎(chǔ)配置和淘汰舊損工作站,引進主流配置計算機,解決醫(yī)護人員因電腦速度慢而影響工作效率,進一步提高醫(yī)療診療工作效率和網(wǎng)絡(luò)信息系統(tǒng)運行的安全性運行。

經(jīng)過近期自查工作,信息科充分意識到網(wǎng)絡(luò)信息安全工作是一個需要常抓不懈的工程,網(wǎng)絡(luò)信息安全需要人力物力的大力支持,要不斷的學(xué)習(xí)新出來的網(wǎng)絡(luò)安全知識,在改變舊有的管理方法和理念,同時要不斷創(chuàng)新,以適應(yīng)新形勢下的安全管理需要。為醫(yī)院帶來新的管理方法,保障醫(yī)院信息化健康持續(xù)發(fā)展。

信息安全培訓(xùn)總結(jié)范文第5篇

【關(guān)鍵詞】國有大型企業(yè) 信息安全管理 模糊綜合評價

隨著我國計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,很多國有大型企業(yè)對信息和信息技術(shù)的依賴程度越來越高,信息已經(jīng)成為企業(yè)一種嶄新的資產(chǎn),對企業(yè)的發(fā)展起到了至關(guān)重要的作用[1]。研究發(fā)現(xiàn),對于企業(yè)信息安全管理的評價多數(shù)側(cè)重于信息安全系統(tǒng)技術(shù)層面的評價 [2],或?qū)π畔踩燃壴u估和風(fēng)險的評估[3] [4]。但國有大型企業(yè)的信息安全管理是一個概念非常復(fù)雜的管理事務(wù),不能單純依賴技術(shù)及防護設(shè)備,還將涉及安全、風(fēng)險、人員、規(guī)章制度等管理因素,對其評價是一個定性與定量指標共存的綜合的評價,要運用綜合評價的思想和方法,才能夠使評價結(jié)果更嚴謹。

本文著重從管理的角度出發(fā),構(gòu)建了國有大型企業(yè)信息安全管理評價指標體系,應(yīng)用模糊綜合評價的方法建立評價模型,并結(jié)合實證研究,得出客觀、科學(xué)的評價結(jié)果。

1.評價指標體系構(gòu)建

1.1 指標體系的構(gòu)建

本文在研究了國外信息安全管理的評價標準[5] [6],以及國內(nèi)信息安全管理體系的發(fā)展狀況基礎(chǔ)上[7] [8],結(jié)合國家對國有大型企業(yè)信息系統(tǒng)安全性的基本要求[9],綜合考慮信息安全的技術(shù)屬性和管理要素,通過德爾菲法反復(fù)征詢5位專家的意見,構(gòu)建了國有大型企業(yè)信息安全管理評價指標體系。

該指標體系共分為5項一級指標和16項二級指標,其中一級指標包括安全管理、技術(shù)管理、風(fēng)險管理、人員管理和制度管理。各二級指標分別為物理安全、軟件安全、網(wǎng)絡(luò)安全;防御攻擊能力、預(yù)警能力、系統(tǒng)應(yīng)急反應(yīng)能力、技術(shù)創(chuàng)新能力;風(fēng)險識別、風(fēng)險評估、風(fēng)險控制;專業(yè)人員比例、考評上崗合格率、對員工的培訓(xùn)率;企業(yè)保密機制、安全規(guī)章制度、應(yīng)急處理預(yù)案。

1.2 指標權(quán)重的確定

選用層次分析法作為指標體系中確定權(quán)重的方法,具體步驟如下:

(1)建立遞階層次結(jié)構(gòu)模型,將決策問題的因素自上而下劃分為不同的層次,包括目標層、準則層、指標層等。

(2)構(gòu)造判別矩陣。一般用1―9標度的表示方法,把處于同一子集上的指標相對重要性進行專家評分,構(gòu)造一個以重要性標度Aij為元素的兩兩比較判別矩陣A=(Aij)m*n。

(3)層次單排序。根據(jù)判別矩陣,求解矩陣A的最大特征根?姿m?琢x=?蒡■■■所對應(yīng)的特征向量,并且做歸一化處理。

(4)一致性檢驗。判斷所得到的特征向量是否是權(quán)向量。

(5)層次總排序。層次總排序所得到的二級指標權(quán)重值等于層次單排序中每個二級指標的權(quán)值乘以其對應(yīng)的一級指標的權(quán)值。

應(yīng)用該方法,選取5位專家,結(jié)合已構(gòu)建的評價指標體系,分別對一級指標、二級指標進行1―9標度判別矩陣的排序,應(yīng)用層次分析法軟件得出各個指標的權(quán)重值,此數(shù)據(jù)將作為后續(xù)評價的主要依據(jù)。

2.案例研究

模糊綜合評價(Fuzzy Comprehensive Evaluation, FCE)是一種非常有效的多因素決策方法,主要運用模糊變換原理和最大隸屬度原則,綜合考慮與被評價事物相關(guān)的各個因素,對評估對象作綜合評價。一般分為確定評價因素集、評語集、權(quán)重集,進行單因素模糊綜合評價、多因素模糊綜合評價及對評價向量分析6個步驟[10]。

本文的評語集為{優(yōu)秀、良好、中等、一般、差} 5個等級,建立隸屬函數(shù),根據(jù)5位專家對指標的評分數(shù)據(jù),計算出各二級指標的隸屬度,最后分別得到安全管理、技術(shù)管理、風(fēng)險管理、人員管理和制度管理的綜合評價關(guān)系矩陣R1、 R2、 R3、 R4、 R5。

根據(jù)模型的計算公式,多因素模糊綜合評價矩陣Bn為權(quán)重向量Wn與單因素評價關(guān)系矩陣Rn相乘所得到的行向量,本指標體系的多因素模糊綜合評價矩陣分別為:B1=(0.29,0.65,0.06,0,0,B2=(0.25,0.67,0.08,0,0),B3=(0.14,0.51,0.35,0,0),B4=(0.39,0.27,0.34,

0,0),B5=(0.25,0.57,0.18,0,0)。

由B1、B2、B3、B4和B5構(gòu)成了該國有大型企業(yè)信息安全管理的單因素評價關(guān)系矩陣R,最終得到企業(yè)信息安全管理評價指標體系的總體評價結(jié)果如表1所示。

3.結(jié)論

根據(jù)表1,進一步對評價結(jié)果進行分析,該國有大型企業(yè)信息安全管理總體評價屬于“優(yōu)秀”、“良好”、“中等”的程度分別為24%、 57%、19%,按照隸屬度最大原則,企業(yè)信息安全管理總體評價結(jié)果為“良好”偏上,總體可以評定為“優(yōu)秀”。結(jié)合上述評價結(jié)果和企業(yè)自身的特點,給出以下幾點對策建議。

(1)加強國有大型企業(yè)信息安全的技術(shù)管理,注重技術(shù)創(chuàng)新。提高技術(shù)的全面性,以及企業(yè)信息安全技術(shù)的創(chuàng)新能力,將信息安全列入企業(yè)戰(zhàn)略規(guī)劃之中,用先進的技術(shù)手段保證企業(yè)的信息安全、完整。

(2)進一步提高國有大型企業(yè)的風(fēng)險管理,重視風(fēng)險評估。企業(yè)要組建專業(yè)的評估管理與實施團隊,進行系統(tǒng)、全面的調(diào)研工作,以確定信息安全風(fēng)險評估的目標和范圍。同時,及時進行風(fēng)險評估的總結(jié),將企業(yè)信息安全存在的風(fēng)險問題控制在一定范圍內(nèi),防止不必要的錯誤再次發(fā)生。

(3)加強企業(yè)對員工有關(guān)信息安全保密意識的培訓(xùn)力度。制定安全保密培訓(xùn)制度,增加對員工信息安全培訓(xùn)的次數(shù),明確崗位職責(zé),提高員工保密意識。

(4)重視企業(yè)信息安全的規(guī)章制度建設(shè),提高執(zhí)行能力。加強企業(yè)領(lǐng)導(dǎo)的重視,在信息安全管理的各個方面,成立安全監(jiān)管小組。在企業(yè)涉及信息安全的部門,制定相應(yīng)的規(guī)章制度,如機房管理制度、人員管理制度等,使企業(yè)高效率運行;設(shè)立績效獎懲制度,提高員工保護企業(yè)信息的積極性。

國有大型企業(yè)信息安全管理是一個復(fù)雜的、動態(tài)的過程,涉及到很多的因素,且因素間相互影響,目前現(xiàn)有的研究并不多。本文從管理的角度出發(fā),綜合考慮了國有大型企業(yè)信息安全管理的特點,構(gòu)建的評價指標體系具有科學(xué)、客觀性。同時,采用模糊綜合評價的方法將國有大型企業(yè)信息安全管理中的技術(shù)、安全、風(fēng)險、人員和制度等因素納入層次結(jié)構(gòu)模型中,對難以評價、模糊的指標信息予以處理,評價方法容易實現(xiàn)。本文的研究為評價國有大型企業(yè)信息安全管理工作提供了方法,具有一定的實際應(yīng)用價值。

*基金項目:國家自然科學(xué)基金項目“開放式服務(wù)交付平臺(OSDP)的運營模式分析與研究”(71172135)。

參考文獻:

[1]孟潔.國有企業(yè)中的信息安全管理和應(yīng)用[J].科技信息,2012,(2):252

[2]孫博.企業(yè)信息安全及相關(guān)技術(shù)概述[J].科技創(chuàng)新導(dǎo)報,2009,(4):211

[3]傅璧,丁爽,張愷.信息系統(tǒng)的安全風(fēng)險評估及風(fēng)險管理[J].企業(yè)導(dǎo)報,2011,(13):89―90

[4]吉增瑞.信息安全等級保護淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005,(1):55―57

[5]Mikko Siponen,Robert Willison. Information security management standards: Problems and solutions[J]. Information & Management, 2009,46(5):267-270

[6]Hyeun-Suk Rhee,Young U. Ryu, Cheong-Tag Kim.Unrealistic optimism on information security management[J].Computers & Security,2012,31(2):221-232

[7]高文濤.國內(nèi)外信息安全管理體系研究[J].計算機安全,2008,(12):95―97

[8]李曉玉.國內(nèi)外信息安全標準研究現(xiàn)狀綜述[J].信息安全與通信保密,2009,(8):167―171

[9]徐毅.信息安全管理標準及其應(yīng)用探討[J].科技信息,2008,(36):65―66

[10]黃芳芳,劉橋.基于模糊綜合評判的信息安全風(fēng)險量化分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009,(12):22―24

作者簡介:

王寧(1984-),女,遼寧錦州。北京郵電大學(xué)經(jīng)濟與管理學(xué)院研究生,研究方向是消費者決策分析。

王寧(1958-),男,遼寧撫順。北京郵電大學(xué)經(jīng)濟與管理學(xué)院教授,工學(xué)博士,研究方向是消費者行為與決策分析。