1、信息平安建设工作思路探讨 。随着互联网+飞速开展,电子业务的不断创新开展,加强信息平安建设逐渐成为各项工作中的头等大事。本文重点分析了目前信息平安建设方面存在的缺乏和缺失,以及下阶段如何开展工作不断强化人员平安意识,加强信息平安建设工作,以保障信息化建设平安运行,各项工作顺利开展,顺应时代的大步伐跨越式开展。 关键词:信息平安;信息科技风险;管理体系 1信息平安建设现状 现行制度方面,现行有效制度涵盖软件开发、软硬件运维、应急管理、平安操作、外包管理、供应商管理等方面,覆盖面较为全面,但是缺乏体系,没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面,目前采取信息处内部
2、逐级上报机制,即发现问题上报至科长,科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面,现阶段只针对现行制度对文档的完整性和准确性进行事后自评,定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面,根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面,对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估,每半年上报一次信息科技风险报告,并制定相应的整改方案。 2信息平安建设存在的问题 2.1管理制度建立不完善 目前,在信息科
3、技风险的上报机制、自评机制和监控机制都存在着不同程度上有所缺失,例如尚未建立双向上报机制;自评范围不全面,缺少对数据资产、人员资产、软件资产等的覆盖;缺少剩余信息科技风险的控制缓释措施及评价流程。同时,现有信息科技风险管理制度的完整性、可操作性需要进一步改进。 2.2信息平安意识不强 职工信息平安意识较为缺乏,没能把信息平安意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中,没能真正意识到加强信息平安的重要程度。 3信息平安建设工作思路 随着互联网+迅猛开展,加强信息平安建设日益重要,我认为应从加强平安审计、建立风险上报机制、强化信息平安管理、科技信息风险防范等四个方面不断加强信息平
4、安建设工作: 3.1分析差距,完善内审监控管理体系 按照信息平安管理体系iso27001标准梳理现状,认真分析研究,查找存在的差距,制定信息平安内控操作规程,针对软件开发、软件运维、硬件管理各项工作中具体内控操作流程制定信息平安审计依据。可联合相关处室,定期组织信息平安内部审计,建立事前预警、事后考评的整套内审监控管理体系,对潜在的信息风险进行有效控制。 3.2平安防控,建立风险上报长效机制 依据cia属性对现有信息资产按照实物资产、人员资产、数据资产、软件资产、效劳资产进行分类赋值,识别信息资产面临的威胁与弱点,推导出信息资产面临的平安风险,提出相应的平安措施并制定整改方案。另外,建立风险点
5、上报机制,各个分管机构风险管理员负责收集存在的风险点隐患并及时上报信息处、风险处,由信息处汇总风险点,双向上报给风险处及相关领导,针对风险点中提出的问题及时跟进,并协调相关处室进行有效处理。 3.3强化意识,紧抓信息平安管理 针对目前职工信息平安意识较为薄弱的现状,一是借助官方网站、微博、月刊、简报等宣传载体,开展形式多样的信息平安的宣传教育活动,让每名干部职工时刻紧绷信息平安这根弦;二是邀请专家定期组织信息平安培训,普及平安应用技术,强化全员的平安责任和意识。三是结合各部门信息平安工作实际,就一段时期内容易产生的平安问题组织不定期的平安技术人员专题讲座,提高信息网络平安管理人员的能力。 3.4抓好关键,确保信息平安工作无死角 一是抓好关键部位的平安。按照影响的重要程度划分,重点加强对互联网和未来电子业务的平安监控,并定期进行平安扫描和测评,保证关键设备关键系统的平安运行。二是抓好关键时间的平安。针对管理现状,我建议增加对值班人员的监督管理,加强对交接班以及节假日关键时间节点的平安监控;三是抓好关键岗位人员的平安。对新职工和重点岗位的人员要重点监管,加强培训和教育,时刻关注关键人员的思想动态,以便及时采取平安防范措施。 第4页 共4页