信息平安管理体系建立方案
(初稿)
信息技术部 2021年2月
1 / 8
随着企业的开展状大,信息平安逐渐被集团高层所重视,但直到目前为止还没有一套非常完善的信息平安管理方案,而且随着新技术的不断涌现,平安防护又如何能做到一劳永逸的坚守住企业信息平安的大门便成为每个信息技术部门永恒不变的课题。
作为天一药业集团的新兴部门,信息技术部存在的意义绝对不是简单的电脑维修,它存在的意义在于要为企业建立好信息平安屏障,保护企业的信息平安,同时通过信息交互平台,简化办公流程,提高工作效率,这才是部门存在的目的和意义,信息技术部通过不断的学习,研究,通过大量的调研,终于开场着手建立属于天一药业自己的信息堡垒。
企业信息平安主要包括了四个方面的内容,即实体平安、运行平安、信息资产平安和人员平安,信息技术部将从这四个方面详细提出解决方案,供领导参考,评议。 一、 实体平安防护:
所谓实体平安就是保护计算机设备、设施〔含网络〕以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。要想做好实体平安就必须要保证以下几点的平安: 1、 环境平安:
每个实体都存在于环境当中,环境的平安对于实体来讲尤为重要,但对于环境来讲要想做到100%的平安那
2 / 8
是不现实的,因为环境是在不断的变化的,所以我们只能做到相对的平安,对于天一集团来讲,集团及各子厂所在的地理位置即称之为环境,计算机实体设备都存放于这个环境之中,所以要求集团及各子厂的办公楼要具备一定的防灾〔防震,防火,防水,防盗等〕能力。
机房作为效劳器所在的环境,要求机房要具备防火、防尘、防水、防盗的能力,所以根据现用?机房管理制度?要求,集团现用机房的环境除不具备防尘能力外,根本上仍能满足环境平安条件。 2、 设备及媒体平安:
计算机设备、设施〔含网络〕、媒体设备的平安需要具备一定的平安保障,而为了保障设备平安,首先需要确定设备对象,针对不同的管理设备制订相应的保障条例,比方计算机设备的管理条例中就应该明确规定里面的散件也应属于固定资产,应对散件加强管理,每次固定资产盘点时应仔细核对其配置信息,而不是只盘点主机数量。同时为了保障机器中配件的平安,需要对所有设备加装机箱锁,由信息技术部,行政部共同掌握钥匙。散件的使用情况必须建立散件库台帐,由信息技术部管理,行政部将对信息部进展监视。
对于移动设备〔笔记本、移动硬盘、U盘等〕不
允许带离集团,如必须带离集团需要经信息部、行政
3 / 8
部以及申请部门共同签字前方可带走,同时对带离的设备进展详细登记,同时还需标注带回时间。对于未能按要求时间归还的人员进展处分。
二、 运行平安防护:
运行平安是为了保障系统功能的平安实现,提供一套平安措施来保护信息处理过程的平安。为了保障系统功能的平安,必须采取风险分析、审计跟踪、备份与恢复、应急处理等措施。
1、 风险分析:这不仅仅是对新系统的风险分析,它更重要的是对现用系统进展风险分析,对于运营环节、信息管控环节存在的风险予以封堵。所以集团首先要建立一套完善的风险评估制度与风险评估的标准,这套标准需要详细明确各风险项以及评分标准,这样才能保证风险评估的准确客观,但标准的制订不是一个、两个部门就可以完成的,因为风险评估将贯彻到集团的各个环节,各个部门,所以应由各部门共同协作来完成。建议集团尽快成立风险评估小组,小组成员应包含各个部门的负责人,通过大家来集思广益,完成风险评估制度。
2、 审计跟踪:对于所有风险进展评估后,由风险评估小组研究切实可行的方案与方法,然后由相关部门落实实施,在实施的过程中需要由集团审计、内控等部门进展跟踪,对于执行结果进展评估。
4 / 8
3、 应急处理方案:由风险评估小组针对于集团目前无法解决的问题进展风险预测,并制订应急处理方案,应急处理方案不能为一套,因为有风险就意味首有变数,既然可变,那么处理的方式肯定会有不同,所以在研究应急处理方案的时候应该充分考虑到所有的因素、条件,研究出不少于3种的解决方案。
4、 备份与恢复:这方面主要涉及的就是效劳器〔含网络〕的配置信息,因为网络的平安运行离不开网络接入设备,防火墙设备、网络核心设备、效劳器设备,终端设备等的通力合作,所以对于这些设备的配置信息一定要进展相应的备份操作,一旦出现故障,可以减少问题的处理时间,可保障网络及数据的尽快畅通,将损失降到最低。 三、 信息资产平安防护:
信息资产平安是防止信息资产被成心的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即确保信息的完整性、可用性、保密性和可控性。信息资产包括文件、数据等。信息资产平安包括操作系统平安、数据库平安、网络平安、病毒防护、访问控制、加密、鉴别等。
信息资产的平安是企业信息平安的核心问题,信息资产作为企业的无形资产,其价格无可估量。有些信息还可能决定企业的生死存亡,所以信息资产的平安防护是信息
5 / 8
技术部工作的重中之重。结合集团现行的信息管理方式,根本没有任何的信息资产平安防护手段,比方财务效劳器由财务人员自行管理,一个人就可以操作财务效劳器,而且效劳器都开通了远程桌面功能,有管理员的帐号、密码就可以随时在集团任何一台计算上登陆效劳器进展的操作,这是相当致命的,我们只能奢求操作人是可以信任的,否那么后果真是不敢想象。
出于以上考虑信息技术部建议从以下几点进展改良: 1、
财务效劳器应共由信息技术部与财务中心共同管
理,效劳器的登陆密码由信息技术部掌握,金蝶软件的高级密码由财务中心掌握,当需要操作财务效劳器时,应该有财务中心总经理的审批手续方能操作效劳器,信息技术部人员在见到财务中心总经理的审批手续前方可与财务中心授权人共同进展机房操作效劳器,同时应该记录效劳器操作日志,记录操作过程,同时所有财务效劳器操作人员与信息技术部人员都需要签订保密协议。 2、
财务效劳器必须放置在机房并且具备上锁功能的机
柜里,同时关闭财务效劳器的远程桌面功能,每次的操作都需要审批后才能执行。 3、
每季度对效劳器的密码进展更换〔包括效劳器登陆
密码及金蝶高级管理密码〕,并由信息技术部监视修改正程。
6 / 8
4、 每周对效劳器数据进展备份操作,并做好数据备份
登记工作,每季度对所备份数据进展恢复性测试,保证备份数据完整性。同时要进展必要的重要数据异地备份,强化数据的容灾能力。 5、
每周对效劳器进展一次升级、更新、杀毒操作,保
障效劳器不被病毒感染,以起到病毒防护的目的。 6、
为了能够尽快的建立起信息平安管控网络,希望集
团可以尽快的引进上网行为管控设备,通过上网行为管控设备与易捷终端管控设备联动管理,共同构建网络应用平安环境。 7、
为了减少纸制文件泄露的风险,加快审批效率,建
议集团尽快上一套办公协同管理系统〔OA〕,将所有的审批流程通过电子文件传输,一方面电子审批加强了访问机制〔未被授权无法访问〕,另一方面电子审批可以加快审批速度,提高工作效率,同时通过办公协同管理系统的网络文件夹功能,可以把集团的重要资料统一管理,访问资料需审批,以防止信息外泄的风险,同时也可解决一局部外发文件的保密性、平安性问题。 四、 人员平安防护:
人员平安主要是指信息系统使用人员的平安意识、法律意识、平安技能等。人员的平安意识是与其所掌握的平安技能有关,而平安技能又与其所承受平安技能培训有
7 / 8
关。因此,人员的平安意识是通过培训,以及平安技能的积累才能逐步提高。
信息是不变的,而人是有思想的,只有人员的综合素质提高了,意识提高了才能在根本上解决信息平安问题,所以应该有针对性的,有步骤的推进员工的平安培训,增加员工信息平安意识,提升对企业的忠诚度,这样就会大幅度降低企业信息外泄风险。
综上所述,以上的解决方案仍然不够完善,但对于企业目前阶段还是比拟适用的,因为开展需要时间,制度的建立需要完善,但上网行为管控设备及办公协同系统〔OA〕希望领导能够尽快决定,以便能够早一天完善信息平安体系,保障集团信息网络平安。
8 / 8
因篇幅问题不能全部显示,请点此查看更多更全内容