外審員信息安全精選(五篇)
發布時間:2023-10-09 17:40:48
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇外審員信息安全,期待它們能激發您的靈感。
篇1
[基金項目]教育部人文社會科學研究規劃項目(10YJA790182);南京審計學院校級一般項目(NSK2009/B22);江蘇省優勢學科“審計科學與技術”研究項目
[作者簡介]劉國城(1978― ),男,內蒙古赤峰人,南京審計學院講師,碩士,從事審計理論研究。
第27卷第3期2012年5月審計與經濟研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中觀信息系統風險與損失的成因基礎上,借鑒BS7799標準,一方面從物理層次與邏輯層次兩個方面研究中觀信息系統固有風險的評價模式;另一方面從一般控制與應用控制兩個層面探索中觀信息系統內部控制的評價機制。基于BS7799標準對中觀信息系統審計進行研究,旨在為IT審計師有效實施中觀信息系統審計提供應用指南。
[關鍵詞]BS7799標準;中觀審計;信息系統審計;內部控制;中觀信息系統;中觀信息系統風險
[中圖分類號]F239.4[文獻標識碼]A[文章編號]10044833(2012)03005007
所謂中觀信息系統審計就是指審計主體依據特定的規范,運用科學系統的程序方法,對中觀信息系統網絡的運行規程與應用政策實施的一種監督活動,旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性,以保障中觀信息系統的高效運行[1]。中觀信息系統的審計主體即IT審計師需要重視中觀信息系統審計的復雜性,且有必要借助BS7799標準,構建并完善中觀信息系統審計的實施流程,優化中觀信息系統審計工作,提高審計質量。之所以需要借助BS7799標準,是因為BS7799標準的眾多功能可以滿足中觀信息系統審計工作的需求。在尚未有詳細信息系統審計(以下簡稱“IS審計”)規范的條件下,中觀信息系統審計對信息安全管理策略的需求巨大,而BS7799標準恰恰是問世較早且相對成熟的信息安全管理標準,它能夠確保在計算機網絡系統進行自動通信、信息處理和利用時,在各個物理位置、邏輯區域、存儲和傳媒介質中,較好地實現保密性、完整性、有效性與可用性,能夠在信息管理與計算機科學兩個層面加強信息安全管理向中觀信息系統審計的理論轉化,中觀信息系統審計的需求與BS7799標準的功能具備整合的可行性。
一、 BS7799標準
1995年,英國貿工部制定了世界首部信息安全管理體系標準“BS77991:1995《信息安全管理實施規則》”,并作為各類組織實施信息安全管理的指南[2],由于該標準采用建議和指導的方式編寫,因而不作為認證標準使用;1998年,英國又制定了信息安全管理體系認證標準“BS77992:1998《信息安全管理體系規范》”,作為對組織信息安全管理體系進行評審認證的標準[3];1999年,英國再次對信息安全管理體系標準進行了修訂,形成“BS77991:1999”與“BS77992:1999”這一對配套標準;2000年12月,“BS77991:1999”被ISO/IEC正式采納為國際標準“ISO/IEC17799:2000《信息技術:信息安全管理實施規則》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作為藍本修訂,成為可用于認證的“ISO/IEC《信息安全管理體系規范》”;2005年,BS77991與BS77992再次改版,使得體系更為完善。BS7799標準體系包含10個管理要項、36個管理目標、127個控制目標及500多個管理要點。管理要項如今已成為組織實施信息安全管理的實用指南;安全控制目標能夠幫助組織識別運作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題,它主要告訴IT審計師安全管理的注意事項與安全制度。BS77992詳細說明了建立、實施和維護信息安全管理的要求,指出組織在實施過程中需要遵循的風險評估等級,從而識別最應該控制的對象并對自身需求進行適當控制。BS77991為信息系統提供了通用的控制措施,BS77992則為BS77991的具體實施提供了應用指南。
國外相對成熟的信息安全管理理論較多,它們各有千秋,彼此之間相互補充且有交叉。BS7799標準僅是眾多信息安全管理理論中的一種,與傳統審計方法相比,僅適用于IS審計范疇。然而,BS7799標準的特別之處表現在:其一,它是一部通用的信息安全管理指南,呈現了較為全面的系統安全控制措施,闡述了安全策略和優秀的、具有普遍意義的安全操作方法,能夠為IT審計師開展審計工作提供全程支持;其二,它遵循“計劃-行動-控制-改善方案”的風險管理思想,首先幫助IT審計師規劃信息安全審計的方針和范圍,其次在審計風險評估的基礎上選擇適當的審計方法及風險控制策略并予以實施,制定持續性管理規劃,建立并運行科學的中觀信息系統審計執行體系。
二、 中觀信息系統的風險與損失
中觀信息系統風險是指成功利用中觀信息系統的脆弱性或漏洞,并造成系統損害的可能性。中觀信息系統風險極其龐雜且非常普遍,每個中觀信息系統面臨的風險都是不同的,這種風險可能是單一的,也可能是組合的[4]。中觀信息系統風險包括:人員風險、組織風險、物理環境風險、信息機密性風險、信息完整性風險、系統風險、通信操作風險、設施風險、業務連續性風險、法律風險及黏合風險(見圖1),它們共同構成了中觀信息系統的風險體系,各種風險除具有各自的特性外,有時還可能相互作用。
中觀信息系統風險的成因離不開外來威脅與系統自身的脆弱性,且風險的最終后果就是損失。圖1中的“a.威脅性”是系統的“風險源”,它是由于未授權訪問、毀壞、數據修改以及拒絕服務等給系統造成潛在危害的任何事件。中觀信息系統的威脅來自于人為因素及非人為因素兩個方面。人為因素是對中觀信息系統造成威脅的決定性力量,人為因素造成威脅的主體有競爭對手、網絡黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統安全程序、管理控制、物理設計中存在的、可能被攻擊者利用來獲得未授權信息或破壞關鍵處理的弱點,由物理環境、技術問題、管理問題、法律問題四個方面組成。圖1中的“d.風險承受力”是指在中觀信息系統遭遇風險或受到攻擊時,維持業務運行最基本的服務和保護信息資產的抵抗力、識別力、恢復力和自適應能力。
中觀信息系統風險的產生有兩種方式:一是遵循“abc”路徑,這條路徑形成的風險為中觀信息系統“固有風險”,即假定中觀信息系統中不存在內部控制制度,從而造成系統存在嚴重錯誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風險源,對中觀信息系統構成威脅,該威脅產生后尋找并利用系統的脆弱點(假定中觀信息系統對該脆弱點沒有設計內控制度),當威脅成功作用于脆弱點后,就對系統進行有效攻擊,進而產生中觀信息系統風險。二是遵循“abPc”路徑,該路徑所形成的風險為中觀信息系統的“控制風險”,即內部控制制度體系未能及時預防或發現系統中的某些錯誤或不法行為,以致中觀信息系統遭受損失的可能性。與“abc”路徑比較,該路徑多出“P.內部控制”過程,這說明當威脅已產生并將利用系統的脆弱點時,中觀經濟主體已經對該脆弱點設計了內控制度體系,但是由于內部控制制度設計的不科學、不完善或沒有得到有效執行,從而造成內部控制未能阻止“威脅”,致使中觀信息系統形成風險。中觀信息系統損失的形成遵循“cde”路徑。然而,由于中觀信息系統自身具有一定的風險防御能力(即“d.風險承受力”),因而并非所有風險都將造成損失。當中觀信息系統識別并抵抗部分風險后,最終未能消除的風險通過對系統的負面作用,會給中觀信息系統造成間接或直接的損失。
三、 中觀信息系統固有風險的評價模式
圖1中的“abc”路徑是中觀信息系統固有風險產生的路徑,固有風險形成的條件是“假定不存在內部控制制度”。評價固有風險是中觀信息系統審計準備階段的一項基礎工作,只有正確評價固有風險,才能合理評估審計風險,準確確定審計范圍并制定審計計劃[56]。筆者認為,BS7799標準之所以能夠有效評價中觀信息系統的固有風險,是因為BS7799標準的管理要項、管理目標,控制措施與管理要點組成了信息安全管理體系,這個體系為IT審計師確定與評價系統固有風險提供了指南[7]。BS7799標準對IT審計師評價固有風險的貢獻見上表1。
(一) 物理層次的風險評價
物理層次的內容包括物理環境安全與物理環境設備[7],其中,物理環境安全包括硬件接觸控制、預防災難措施和網絡環境安全;物理環境設備包括支持設施、硬件設備和網絡物理環境。針對上述分類,下面對物理層次風險評價進行具體分析。
首先是物理環境安全風險評價。在評價物理環境安全風險時,可以借鑒BS7799標準A、B、D1、D3、E、G8、H5、I、J。例如,IT審計師在了解被審中觀信息系統的“預防災難措施”時,可參照“A.安全方針”,依據BS7799對“安全方針”進行闡述,了解被審系統的“信息安全方針”,關注被審系統在相關的“方針與策略”中是否估計到了系統可能遭遇的所有內外部威脅;當威脅發生時,是否有具體的安全保護規定及明確的預防措施;對于方針的執行,是否對每位員工都有所要求。假若IT審計師在審計中未找到被審系統的“安全方針”,或找到了但“安全方針”并未涉及有關“災難預防”方面的安全措施,則IT審計師可直接認定被審系統在這方面存在固有風險。其次,物理環境設備風險評價。在評價物理環境設備風險時,可以借鑒BS7799標準A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT審計師在了解被審系統有關“硬件設備”的情況時,可參照“C1.資產責任”。BS7799標準對“資產責任”的說明有“組織可根據運作流程與系統結構識別資產,列出清單”,“組織的管理者應該確定專人負責相關資產,防止資產的被盜、丟失與濫用”。借鑒C1的信息安全管理目標與措施,IT審計師可以關注被審單位是否列出了系統硬件設備的清單,是否有專人對資產負責。如果相關方面的管理完備,則說明“硬件設備”在責任方面不存在固有風險,IT審計師也不需要再對此方面的固有風險進行評價。再如,IT審計師在確認“硬件設備”方面的固有風險時,還可參照“E3.通用控制”。BS7799標準對“通用控制”的說明有“定期進行資產清查”,“未經授權,資產不能隨便遷移”等。借鑒這一措施,IT審計師需要了解被審系統的有關資產清查記錄以及資產轉移登記手續,如果相關記錄不完整或手續不完備,則IT審計師可直接認定“硬件設備”在控制方面存在固有風險。
(二) 邏輯層次的風險評價
邏輯層次的內容包括軟件環境、系統生命周期和邏輯安全[7]。其中,軟件環境包括系統軟件、網絡軟件與應用軟件;系統生命周期包括系統規劃、分析、設計、編碼、測試、試運行以及維護;邏輯安全包括軟件與數據接觸、數據加密機制、數據完整性、入侵檢測、病毒與惡意代碼以及防火墻。針對以上分類,下面對邏輯層次風險評價進行具體分析。
首先是軟件環境風險評價。在評價軟件環境風險時可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT審計師在掌握被審系統有關“網絡軟件”的情況時,可借鑒“G2.用戶訪問管理”標準。BS7799對該標準的闡述包括“建立用戶登記過程,對用戶訪問實施授權”,“對特權實行嚴格管理”,“對用戶口令進行嚴格管理”等。借鑒G2下相關信息安全管理措施,IT審計師可以詳細核查被審網絡軟件是否建立了用戶注冊與登記過程、被審軟件的特權管理是否嚴格、是否要求用戶秘密保守口令。假若IT審計師發現用戶并未得到訪問網絡軟件的權限卻可以輕易訪問網絡軟件,則該軟件必然存在風險,IT審計師就可通過與BS7799標準比照并發表評價結論。又如,IT審計師在評價“系統軟件”固有風險時,可借鑒“G5.系統訪問與使用的監控”標準。該標準的闡述有“使用終端安全登陸程序來訪問信息服務”,“對高風險的不活動終端采取時限措施”。IT審計師在評價“系統軟件”自身風險時,可套用上述安全措施,逐項分析被審系統軟件是否完全達到上述標準并作出合理的風險評價。其次是系統生命周期的風險評價。在評價系統生命周期風險時,可借鑒BS7799標準A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計師在檢查被審系統的“系統設計”時,可參照“H1.系統安全要求”。H1的解釋為“系統設計階段應該充分考慮系統安全性,組織在項目開始階段需要識別所有的安全要求,并將其作為系統設計開發不可或缺的一部分進行調整與確認”。因而,IT審計師在檢查系統設計有關資料時,需要分析被審單位是否把上述解釋融入系統設計中,或是否全面、有效地融入設計過程,如果被審單位考慮了諸因素,IT審計師就可以確認被審系統的設計環節在此方面不存在風險。假若IT審計師發現在系統設計階段被審單位沒有考慮到需要“引入控制”,且在系統運營期間對系統的“控制”也不夠重視,則IT審計師可以作出系統自身安全及系統設計開發過程存在風險的結論。第三是邏輯安全的風險評價。在評價邏輯安全風險時,可以借鑒BS7799標準A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計師在檢查被審系統的“病毒與惡意代碼”時,可借鑒“G4.網絡訪問控制”。BS7799對該標準的闡述有“建立并實施網絡用戶服務使用方針”,“從用戶終端到網絡服務的路徑必須受到控制”以及“對外部鏈接的用戶進行身份鑒別”等。IT審計師在審計過程中,應該關注被審系統在上述方面的執行思路與執行程度,假若被審單位對上述方面缺乏重視,則惡意用戶未經授權或未受限制就能輕易訪問系統,系統遭受病毒或惡意代碼損害的風險會相應加大。再如,IT審計師在評價系統“數據完整性”的風險時,可借鑒“F1.操作程序與職責”。該標準的描述有“在執行作業的過程中,提供差錯處理及例外情況的指導”,“進行職責分離,減少出現非授權更改與數據信息濫用的機會”等。結合上述措施,IT審計師應該關注被審單位是否通過外鍵、約束、規則等方式保障數據的完整性,如果被審單位沒有按照上述方法操作,則被審系統將會在“數據完整性”方面存在風險。
需要強調的是中觀信息系統固有風險的評價較為復雜。在理論研究中,本文僅選取BS7799的某些標準舉例進行闡述,但在實踐中,IT審計師不應只借鑒BS7799標準的單個或部分標準,就做出某方面存在“固有風險”的結論。如僅從C1看,“硬件設備”無固有風險,但從E3看,“硬件設備”確實存在固有風險。鑒于此,IT審計師應由“點”及“面”,全面借鑒BS7799標準的整個體系。只有如此,才能更科學具體地進行物理及邏輯層次的風險評價。
四、 中觀信息系統內部控制的評價機制
圖1中的“abPc”路徑是中觀信息系統控制風險產生的路徑,控制風險的形成條件是“假定存在內部控制制度,但是內控制度不科學、不健全或執行不到位”,產生控制風險最主要的原因是內部控制機制失效,即“P”過程出現問題。評價內部控制是IT審計師防范審計風險的關鍵,也是中觀信息系統審計實施階段的一項重要工作。然而,當前我國信息系統審計方面的標準與規范僅有四項,因而IT審計師對信息系統內部控制的評價還處于摸索階段,急需詳細的流程與規范進行指導。筆者認為,BS77991《信息安全管理實施細則》與BS77992《信息安全管理體系規范》能夠為IT審計師評價中觀信息系統的內部控制提供思路。BS7799是一套完備的信息安全管理體系,IT審計師完全可以借鑒其體系與框架來設計中觀信息系統內部控制評價流程,構建適用于中觀信息系統的審計流程。BS7799標準的具體借鑒思路見表1,具體闡述如下。
(一) 一般控制的評價
1. 組織管理的內部控制評價
在評價組織管理的內控時,可借鑒BS7799標準A、B、C1、D1、D3、E、F、G、H、I、J。IT審計師可將BS7799標準體系作為信息系統組織管理內部控制的衡量標準,并以此確認被審系統組織管理內控制度的科學性與健全性。假若某中觀經濟主體將信息系統的部分管理活動外包,則IT審計師可借鑒BS7799中的“B3.外包控制”標準,檢查外包合同的全面性與合理性。如果被審單位在外包合同中規定了信息系統的風險、承包主客體各自的系統安全控制程序,并明確規定了“哪些措施必須到位,以保證涉及外包的所有各方關注各自的安全責任”,“哪些措施用以確定與檢測信息資產的完整性和保密性”,“采取哪些實物的和邏輯的控制以限制和限定授權用戶對系統敏感信息的訪問”以及“發生災難時,采用怎樣的策略來維持服務可用性”,則IT審計師就可確認被審系統在外包方面的控制設計具有科學性與全面性,只需再對外包控制條款的執行效果進行評價就可以得出對被審單位外包活動評價的整體結論。
2. 數據資源管理的內部控制評價
在評價數據資源管理的內控時,可以借鑒BS7799標準A、B、C、D、E1、E3、F、G、H、I、J。信息系統數據包括數據字典、權限設置、存儲分配、網絡地址、硬件配置與系統配置參數,系統數據資源管理有數據存放、備份、恢復等,內容相對復雜。IT審計師在評價數據資源管理的內部控制時,也需要借鑒BS7799標準體系。例如,IT審計師可借鑒“F1.操作程序與職責”或“G6.應用訪問控制”評價數據資源管理。F1與G6的闡述有“識別和記錄重要數據的更改”、“對數據更改的潛在影響作出評估”、“向所有相關人員傳達更改數據的細節”、“數據更改不成功的恢復措施”、“控制用戶的數據訪問權,如對讀、寫、刪除等進行限制”、“在系統共享中,對敏感的數據實施高級別的保護”。IT審計師在審計時,有必要根據上述思路對系統數據管理的控制制度進行深層次評價。在當前缺乏信息系統審計規范的情況下,以BS7799體系作為評價數據資源管理內部控制的指南,不失為一種好的審計策略。
3. 環境安全管理的內部控制評價
在評價環境安全管理的內控時可以借鑒BS7799標準A、B、C1、D、E、F、G、H、I、J。信息系統的環境安全管理包括物理環境安全管理與軟件環境安全管理,系統環境是否安全決定著危險因素對脆弱性的攻擊程度,進而決定著信息系統風險。IT審計師在審計系統環境的安全管理過程時,需要關注設備、網絡、軟件以及硬件等方面。在評價系統環境安全管理的內部控制時,IT審計師有必要借助上述BS7799標準體系。例如,BS7799的“E1.安全區域”標準與“E2.設備安全”標準的解釋有“信息處理設施可能受到非法物理訪問、盜竊、泄密等威脅,通過建立安全區域、嚴格進入控制等控制措施對重要的系統設施進行全面保護”,“應該對信息處理設施運作產生不良影響的環境條件加以監控,如,濕度與溫度的影響”。類似上述的BS7799系列標準都為IT審計師如何確認環境安全管理的內控提供了審計指導,且其指導思路清晰、全面。IT審計師通過借鑒BS7799系列標準,可以深層次挖掘系統環境安全管理規章制度中存在的疏漏以及執行中存在的問題,從而有效評判環境安全管理的控制風險。
4. 系統運行管理的內部控制評價
在評價系統運行管理的內控時,可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。中觀經濟主體對運行系統的管理相對復雜,涉及到系統組織、系統維護、系統完善等多個方面。由于系統運行中需要管理的環節繁多,而且目前也沒有規范與流程可以參考,因而,評價系統運行管理的內控也有必要借鑒上述BS7799標準體系。例如,BS7799標準“D2.設備安全”與“H5.開發與支持過程中的安全”的闡述有“信息系統操作者需要接受安全意識培訓,熟悉與系統運行相關的安全職責、安全程序與故障制度”,“系統運行中,建立并實施更改控制程序”以及“對操作系統的更改進行技術評審”等方面。IT審計師采用詢問、觀察、檢查、穿行測試等方法評審系統運行管理的內部控制,需要有上述明細的、清晰的信息安全管理規則予以指導,這些標準可以指導IT審計師了解被審系統是否有健全的運行管理規范及是否得到有效運行,借此,IT審計師可以作出全面的內控判斷,進而出具正確的審計結論。
(二) 應用控制的評價
信息系統的應用控制包括輸入控制、處理控制與輸出控制。在評價系統輸入控制、處理控制以及輸出控制三者的內控時,同樣有必要借鑒BS7799標準,且BS7799標準中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對應的信息安全管理目標與措施能夠在IT審計師對三者進行內控評價時提供相對詳盡的審計框架。為確保信息系統輸入、處理與輸出的信息完整、正確,中觀經濟主體需要加強對信息系統的應用控制。IT審計師在中觀信息系統審計的過程中,需要做到對被審系統應用控制進行正確評價。
在IT審計師對應用控制的符合性測試過程中,上述BS7799標準體系可以對應用控制評價進行全程指導。例如,BS7799標準中“H2.應用系統的安全”提到“數據輸入的錯誤,可以通過雙重輸入或其他輸入檢查偵測,建立用于響應輸入錯誤的程序”,“已正確輸入的數據可因處理錯誤或故意行為而被破壞,系統應有確認檢查功能以探測數據的破壞”,“為確保所存儲的信息相對于各種情況的處理是正確而恰當的,來自應用系統的輸出數據應該得到確認”等控制策略,并提出了相對詳細的控制措施。應用控制環節是信息處理的脆弱集結點,IT審計師在進行應用控制的符合性測試環節時有必要考慮周全,詳盡規劃。IT審計師可以遵循H2全面實施針對應用控制的審計,依照BS7799標準體系,檢查被審系統對于超范圍數值、數據區中的無效字符、丟失的數據、未經認可的控制數據等系統輸入問題的控制措施以及應急處理能力;檢查是否對系統產生的數據進行了確認,系統的批處理控制措施、平衡控制措施等,以及相關控制行為的執行力度;檢查信息輸出是否實施了可信性檢查、一致性控制等措施,如果有相關措施,那么執行力度如何。BS7799標準體系較為全面,對于IT審計師評價系統的應用控制貢獻很大,如果IT審計師能夠創造性借鑒該標準,必可做好符合性測試,為實質性測試夯實基礎,也定會提高審計質量。
五、 結束語
表1是筆者在分析某商業銀行信息系統與某區域物流信息系統的基礎上,對“BS7799標準如何應用于信息系統審計”所進行的設計,當針對其他行業時,或許需要對表1進行適當調整。不同行業、不同特性的中觀經濟主體在信息系統審計中運用BS7799標準時側重點會有所不同。本文以分析中觀信息系統風險為著手點,沿用BS7799標準對中觀信息系統審計進行研究,旨在拋磚引玉。
參考文獻:
[1]王會金,劉國城.中觀經濟主體信息系統審計的理論分析及實施路徑探索[J].審計與經濟研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孫強.信息系統審計[M].北京:機械工業出版社,2003.
[5]劉國城,王會金.中觀信息系統審計風險的理論探索與體系構架[J].審計研究,2011(2):2128.
[6]王會金.中觀信息系統審計風險控制體系研究――以COBIT框架與數據挖掘技術相結合為視角[J].審計與經濟研究,2012(1):1623.
[7]科飛管理咨詢公司.信息安全管理概論-BS7799理解與實施[M].北京:機械工業出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
(Jinshen College of Nanjing Audit University, Nanjing 210029, China)
篇2
醫院電腦使用責任書【1】
一、目的
為切實加強我院計算機的使用、管理工作,提高工作效率,確保無紙化辦公的平穩有序開展,減少醫院管理系統的運行風險,特制定本責任書。
二、職責與管理
1、筆記本電腦實行使用人負責制,科室內電腦實行科主任負責制,科室成員為相關責任人。
2、對全院所有電腦,由財務科統一登記,列入醫院固定資產。
三、計算機使用和安全管理
1、應愛護計算機及相關設備,嚴禁在電腦前喝水等可能污損電腦的行為。
2、按規定程序開啟和關閉計算機系統,關機前應先退出應用程序。
3、加強個人用戶密碼管理,及時注銷登錄,防止無關人員盜用。
4、原則上禁止使用U盤等,確因需要,必須先查殺病毒再使用。
5、文件資料不要保存在系統C盤或桌面,以免系統故障而丟失資料。
四、處罰
1、所有電腦嚴禁安裝各種游戲。工作時間利用電腦玩游戲(包括蜘蛛紙牌等)、看電影或進行其它與工作無關的活動的,發現1次,罰款50元;由此造成醫療糾紛的,所有責任一律由本人承擔。
2、提高防范意識,加強計算機設備(尤其是筆記本電腦)的使用管理,丟失或被盜者,個人照價賠償。
3、對以下違反規定的行為,勒令改正,對造成損失的照價賠償;屢教不改者,醫院收回其電腦:
①擅自重裝、更改操作系統及軟件設置的,造成計算機故障的。
②私自安裝不正規軟件和卸載已有軟件。
③因訪問不良網站,或擅自使用帶有病毒的光盤、U盤、移動硬盤等,導致醫院局域網病毒蔓延,造成系統癱瘓,影響正常工作的。
④擅自允許他人(尤其是小孩)使用計算機的。
⑤擅自外借計算機設備,或通過計算機泄露信息的。
五、此責任書協議一式兩份,醫院和責任人各執一份,簽字蓋章后生效。
xxx衛生院
院長:
責任人:
二xxx年xx月xxx日
醫院電腦使用責任書【2】
各科室:
為保障醫院計算機局域網絡信息安全,加強醫院信息數據查詢和使用權限管理規范,避免發生計算機網絡失密事件,防止醫院信息數據的泄露,現與各中層干部簽訂信息安全責任書,確定每一位中層干部為所在科室的計算機信息安全責任人,并要求做到以下條款:
1.嚴格遵守醫院信息保密制度及相關的信息安全制度,定期或不定期的在科室內部進行培訓和教育,提高信息保密意識。
2.對信息查詢的需求,科室須進入OA系統中的數據查詢申請流程,填寫申請單,經分管信息工作院領導審批同意后方可查詢,同時應對查詢的數據結果保密,不能隨意泄露。
3.醫院內部網絡的計算機嚴禁被設定為網絡共享計算機,計算機內文件嚴禁被設定為網絡共享文件,嚴禁以任何形式將有關數據、報表帶出醫院。
4.計算機操作人員不得擅自更改醫院數據和計算機的二系統設置。禁止擅自將醫院辦公計算機連接互聯網(外網)。
5.操作計算機的人員必須使用自己的工號和密碼進行自己權限范圍內的操作,對自己的工號和密碼要進行嚴格管理,不得把相關的工號和密碼泄露給外人。禁止使用他人的工號和密碼進行操作,并嚴格做到人離機關。
6.嚴禁將醫院內部醫療信息或病患信息泄露給他人,包括私自統計藥品、高值耗材用量等信息并透漏給他人牟取不法利益,否則將按照法律法規和有關規章制度追究責任。
科室人員如違反以上條款,或科室管理中存在違反條款的行為,除依規處罰相關責任人外,同時將追究相關中層干部的管理責任,并將結果納入中層干部年度或任期考評,與干部的選拔、任用及獎勵掛鉤。
本責任書有效期至本屆中層干部任期結束。
部門(科室)
負責人簽字:
XXXX醫院
XXXX年X月X日
醫院電腦使用責任書【3】
為了切實加強北京大學人民醫院網站安全管理,增強醫院網絡為醫院醫療、教學、科研、管理和員工服務的功能,規范上網信息審核工作,結合我院的實際情況,特制定本責任書。
一、本責任書適用于所有與醫院科室/處室相關的網絡內容(含信息平臺信息、科室/處室自行設立的網站)。
二、各科室/處室網絡內容實行科室/處室主任負責制。確保上網信息內容中不含危害國家安全、社會穩定、醫院發展和職工團結的內容,不涉及非法內容,確保上網信息的真實性和準確性,不利用網站從事與醫院網站職能不符的活動;科室/處室主任對網站上的鏈接內容負責;涉及人數較多的大型活動或倡議書等一類信息,須報黨委院長辦公室審批同意后方可掛網。
三、本科室/處室上網內容由科/處室主任授權專人作為科室/處室網絡管理員,科/處室主任對上網內容審簽,并將審簽表交黨委院長辦公室備案。
四、科室/處室網絡管理員職責:對醫院網站后臺臨時權限保密;科室/處室上網內容上報科/處室主任審批,并將科/處室主任簽字的審批表交黨委院長辦公室存檔。
科室/處室:
責任人(科室/處室主任):
_____年_____月_____日
篇3
關鍵詞:信息安全;網絡安全危脅;安全防護系統
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)26-6245-03
計算機網絡技術迅猛發展,各發電企業信息化網絡日漸普及,成為了企業科技化管理的重要手段。通過對數據的集中、共享、處理使得信息系統為發電企業生產經營、安全生產等各方面提供了巨大的科技支撐。但同時伴隨出現的病毒蔓延、不良黑客入侵、流氓軟件等多方面問題成為了不得不面對的問題,同時對發電企業的安全生產也形成了巨大的威脅,以此進一步加強發電企業信息化安全是在信息化建設初期首要考慮的問題。
1發電企業面臨的網絡安全威脅
因為信息網絡的互通性,發電企業信息化威脅,既有可能來自本企業內部,也同時可能來源于外部。其內部威脅主要來自于員工、各信息系統管理員等,根據統計,網絡安全破壞活動近80%來自于競爭對手、任何惡意的組織和個人。主要表現的安全威脅為:
1)截獲用戶標識:截獲標識指以非法手段取得合法用戶的身份信息,主要是用戶的帳號和密碼,這是絕大多數發電信息系統采用的認證防護措施。如果侵入者得知了某位合法用戶的帳號和密碼,即便該合法用戶并未被賦予其他的特權,也有可能威脅整個系統的安全。如果帳號,特別是密碼,被以明文的方式由信息網絡傳遞,侵入者通過安裝協議分析軟件對網絡通信進行監視,則可以輕松獲取。如果密碼通過明文格式保存在用戶的計算機的內存或者硬盤中,侵入者更能夠有方法發現并利用這些密碼,同時如果密碼很簡單(如手機號碼、用戶生日、私家車號牌、用戶姓名等),更加容易被侵入者通過軟件得知,在網絡上大肆傳播的黑客工具都是通過幾種常用習慣的詞典來獲取用戶密碼。
2)偽裝:當未通過授權的用戶假扮成具有合法授權的用戶,登錄發電信息系統時就形成了偽裝。當未通過授權的用戶經過偽裝成信息系統管理員或者具有信息管理超級特權的有關用戶時,截獲用戶標識的情況是威脅最大的。應為侵入者已經獲取了某位合法用戶的標識,或者因為侵入者已經使信息系統相信其擁有另外的而實際上并不存在的權限,所以偽裝是很容易出現的。網絡地址欺騙實際上就是偽裝的一中形式,侵入者通過一個合法的IP地址,然后通過此地址截獲已被授予該合法地址的系統或者是服務器訪問權限。
3)非授權操作:非授權操作使用信息系統或者資源時,信息網絡安全就受到了極大的威脅。例如,企業的發電數據和財務數據有可能被未經授權的侵入者,非法修改并利用。
4)病毒:病毒是伴隨計算機技術產生,能夠通過不斷自我復制,大范圍傳播,對計算機、信息系統及其數據產生極大破壞的程序。因為病毒具有的隱藏性和可變異性,使得廣大用戶無法防范。據有關資料調查,99%的企業或者個人受到過計算機病毒的感染,63%的數據和系統損壞來源于病毒。給受害企業或個人帶來巨大的時間和人力資源的浪費,同時重要數據文件的丟失和損壞是無法用金錢來衡量的。
5)服務拒絕:通過向發電企業信息化系統發送大量的請求或者垃圾數據,使得服務器的資源被大量占用,直至資源耗盡,使其達到無法繼續提供正常服務或者服務器崩潰的目的。在發電企業信息化系統中,這樣的攻擊可能造成重大的安全威脅。
6)惡意程序代碼:伴隨著可自執行的計算機程序與WWW站點的集成,惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅。
7)特權濫用:信息系統的超級管理員故意或者錯誤地通過對某系統的特權來獲取其不應獲取的敏感數據。
8)誤操作:信息系統超級管理員、業務系統管理員、一般用戶等因對技術方面熟練度不高,操作時的失誤,引起對信息系統安全性、完整性和可靠性的損壞。
9)權限變更:一般用戶利用信息系統的漏洞提高其用戶等級,以獲取未經授權的系統權限。
10)后門:信息系統研發人員出于故意或者為了日后維護便利在信息系統中設置的專用通道,使用其可以不受企業信息系統安全措施的控制。經常被人為利用控制、破壞正常運行的系統。
11)系統研發中的錯誤和調試不全:其包含對有關數據不進行充分的檢查、對系統的邏輯運行定義不準確,同時這些錯誤和不完善沒有通過大量的、齊全的系統調試檢查出來,有可能在運行中導致數據被錯誤生成且引入信息系統,破壞了實際數據的準確性。
12)特洛伊木馬:它通過提供一些有價值的或者僅僅是有趣的功能,在用未經用戶許可的情況下拷貝文件、竊取用戶的帳號和密碼、發送用戶的重要資料或者破壞用戶系統等。木馬程序是一種常見的危害性較大的威脅,由于其不易被發現,在一般情況下,它是在二進制代碼中被發現,且大多數后綴名都為無法直接打開的文件,其特點與病毒有許多相似的地方。
13)社會工程共計:主要是的是攻擊者利用人的心理活動進行攻擊,其無需采用高深的科技手段,同時無需入侵系統來完成。僅需要通過向特定用戶了解帳號和密碼,達到其獲取數據或者信息系統訪問權的目的。絕大多數情況下、攻擊者的主要目標是企業的辦公室接待員、行政或者技術支撐人員,通過對這些類別的用戶通過電話、EMAIL或者聊天工具等方式即可完成攻擊。
2發電企業信息化情況(以五大發電集團某下屬發電公司為例)
2.1信息化網絡狀況
圖1
2.2信息化系統狀況
1)財務及資產管理(簡稱:FAM)系統,是集中部署的核心應用系統,涵蓋電廠財務核算、費用報銷、資金計劃、物資采購、庫存管理、物資計劃、超市管理、合同管理、缺陷管理、檢修管理、設備維護等功能模塊。
2)OA辦公自動化系統。實現下屬企業以及與集團公司間收發文交互、內部收發文管理、郵件及通訊目錄功能。系統還提供了值班管理、督察督辦、會議管理、車輛管理、辦公用品等行政辦公管理功能。
3)PI實時信息系統:本系統采集、存儲DCS系統、電能量、環保系統等實時運行參數,除滿足電廠對實施信息的管理需求外,還將有關數據實時傳送集成到集團公司實時系統、集團公司生產與營銷實時監管系統。
4)電廠多業務管理平臺。系統包括運行管理、計劃管理、生產統計、班組管理、標準制度、政工管理、監審管理、合理化建議等功能,其中統計、政工、監審等模塊實現了與集團公司層面相應管理模塊的系統集成。
5)安全管理平臺:功能包括安全信息、安全報表、安全檢查、工作票、操作票等管理。
6)公司MIS系統:本系統不僅作為下屬企業所有管理信息系統入口門戶,還提供了項目申報、生產日報、人力資源、融合機制管理、培訓考試、安全認證管理、靈活報表等應用功能。
7)檔案管理系統:本系統由集團公司統一實施,各單位檔案系統建設須按照集團公司統一規劃,以便于OA系統統一接口、版本升級、技術培訓等。
8)網站系統由各下屬企業自主建設和運維管理,界面設計須符合集團公司VI視覺識別系統標準,內容、運維管理遵照公司和集團公司有關規定和要求,嚴格執行安全保密等有關規定。
3發電企業網絡安全防護設計方案
發電企業信息安全體系機構由網絡安全防護、數據備份和恢復、應用系統安全、信息安全管理等幾部分組成。
3.1網絡安全防護
3.1.1系統安全域防護
將企業信息系統通過網絡安全域的形式,分為服務器、用戶兩個安全域,同時劃分多個二級安全域,主要為生產信息系統、財務系統、系統管理員、一線生產班組、普通用戶等。
3.1.2網絡的高可靠性
1)企業核心網絡設備采取雙機互為熱備形式,兩臺中心交換機設備通過雙鏈路互聯;接入層與核心層也通過雙鏈路互聯。
2)重要用戶安全域通過雙鏈路與企業核心交換連接,進一步保證其鏈路的可靠性。
3)企業核心業務系統服務器也必須通過雙鏈路接入核心層。
3.1.3防病毒
1)企業管理信息大區按照要求統一部署防病毒系統,采用國內知名品牌網絡版。安全區一、二與三區各自擁有自己的防病毒服務器。
2)對管理信息大區的服務器、終端用戶,強制按照規定部署統一的可網管的防病毒產品。
3)在互聯網接口部署防病毒網關,以防其從外部傳播到企業管理信息大區。
4)注重防病毒管理,保證病毒特征碼得到有效的更新,通過查看病毒軟件的歷史記錄,了解病毒威脅情況并積極應對。
3.1.4防火墻
在位于內外網接口處部署防火墻一臺,采用高性能硬件防火墻,國內知名品牌,具有雙安全操作系統;可以提供對復雜環境的接入支持,包括路由、透明以及混合接入模式;具備防火墻、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
3.1.5入侵檢測系統
在核心層部署一個入侵檢測的探頭,保證入侵檢測系統能夠及時發現有關威脅。
3.1.6主機安全加固
發電企業的關鍵應用系統(如生產營銷實施監管系統、財務系統)的服務器,采取定期安全加固的形式。形式包括:定期檢查安全配置、安全補丁、加強服務器系統的訪問控制能力等。
3.2備份與恢復
對于關鍵應用系統,必須采用每天定期備份,同時人工每月全備份一次。備份的數據必須采用異地存儲的形式,且需做到專人定期檢查,防止遺漏。
3.3應用系統安全
管理信息大區中的發電企業應用系統應著重確保其安全性能夠得到保證。其主要安全建設內容包括:對系統的訪問控制、用戶帳號密碼及權限管理、操作審計管理、數據加密管理、數據完整性檢查等。
3.4信息安全管理
1)通過成立企業信息化領導小組,加強信息工作包括信息安全工作的整體管理;
2)通過制定信息網絡管理制度及各級安全防護策略;并通過正式公文下發,嚴格執行。
3)通過設立專業的信息管理人員和成立涵蓋各業務部門的兼職信息員,形成覆蓋全面的信息化安全管理網絡。
綜上所述,發電企業網絡信息安全是一個系統工程,不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設備的防護,還要意識到計算機網絡系統是一個人機系統,在建立以計算機網絡安全硬件產品為基礎的網絡安全系統的同時,也應樹立各個用戶的網絡信息安全意識才能防微杜漸,構建一個高效、安全的網絡系統。
綜上所述,發電企業信息安全是一個系統工程,不僅需要入侵檢測系統、防火墻等硬件安全設備,同時還要注意信息系統是一個廣泛使用的人機互動系統,必須通過系列的安全管理措施和規章制度,進一步強化各級用戶的信息安全意識,做到信息安全人人有責、信息安全從自我做起,才能構建起一個高效、安全的企業信息化網絡。
參考文獻:
篇4
隨著近年來信息安全話題的持續熱議,越來越多的企業管理人員開始關注這一領域,針對黑客入侵、數據泄密、系統監控、信息管理等問題陸續采取了一系列措施,開始構筑企業的信息安全防護屏障。然而在給企業做咨詢項目的時候,還是經常會聽到這樣的話:
“我們已經部署了防火墻、入侵檢測設備防范外部黑客入侵,采購了專用的數據防泄密軟件進行內部信息資源管理,為什么還是會出現企業敏感信息外泄的問題?”
“我們的IT運營部門建立了系統的運行管理和安全監管制度和體系,為什么卻遲遲難以落實?各業務部門都大力抵制相關制度和技術措施的應用推廣。”
“我們已經在咨詢公司的協助下建立了ISMS體系,投入了專門的人力進行安全管理和控制,并且通過了企業信息安全管理體系的認證和審核,一開始的確獲得了顯著的成效,但為什么經過一年的運行后,卻發現各類安全事件有增無減?”
這些問題的出現往往是由于管理人員采取了“頭痛醫頭,腳痛醫腳”的安全解決方案,自然顧此失彼,難以形成有效的安全防護能力。上述的三個案例,案例一中企業發生過敏感信息外泄事件,于是采購了專用的數據防泄密軟件,卻并未制定相關的信息管理制度和進行員工保密意識培訓,結果只能是防外不防內,還會給員工的正常工作帶來諸多不便;案例二中企業管理者認識到安全管理的重要性,要求相關部門編制了大量的管理制度和規范,然而缺乏調研分析和聯系業務的落地措施,不切實際的管理制度最終因為業務部門的排斥而束之高閣;案例三中ISMS的建立有效地規范了公司原有的技術保障體系,然而認證通過后隨著業務發展卻并未進行必要的改進和優化,隨著時間的推移管理體系與實際工作脫節日益嚴重,各類安全隱患再次出現也就不足為奇。
其實,企業面臨的各種安全威脅和隱患,與人體所面臨的各種疾病有諸多類似之處,我們常說西醫治標不治本,指的就是采取分片分析的發現問題―分析問題―解決問題的思路處理安全威脅,通過技術手段的積累雖然可以解決很多問題,但總會產生疲于應付的狀況,難以形成有效的安全保障體系;類比于中醫理論將人體看為一個互相聯系的整體,信息安全管理體系的建立正是通過全面的調研分析,充分發現企業面臨的各種問題和隱患,緊密聯系業務工作和安全保障需要,形成系統的解決方案,通過動態的維護機制形成完善的防護體系。
總體來說,信息安全管理體系是企業在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進企業的信息安全系統,目的是保障企業的信息安全。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系統。
針對ISMS的建立,我們可以從中醫“望聞問切對癥下藥治病于未病”的三個角度來進行分析和討論:
第一,“望聞問切”,全面的業務、資產和風險評估是ISMS建設的基礎;
第二,“對癥下藥”,可落實、可操作、可驗證的管理體系是ISMS建設的核心;
第三,“治病于未病”,持續跟蹤,不斷完善的思想是ISMS持續有效的保障。
望聞問切
為了完成ISMS建設,就必然需要對企業當前信息資源現狀進行系統的調研和分析,為企業的健康把把脈,畢竟我們需要在企業現有的信息條件下進行ISMS建設。
首先,自然是對企業現有資源的梳理,重點可以從以下幾個方面入手:
1.業務主體(設備、人員、軟件等)。
業務主體是最直觀、最直接的信息系統資源,比如多少臺服務器、多少臺網絡設備,都屬于業務主體的范疇,按照業務主體本身的價值進行一個估值,也是進行整個信息系統資源價值評估的基礎評估。由于信息技術日新月異的變化,最好的主體未必服務于最核心的信息系統,同時價值最昂貴的設備未必最后對企業的價值也最大。在建立體系的過程中,對業務設備的盤點和清理是很重要的,也是進行基礎業務架構優化的一個重要數據。
2.業務數據(服務等)。
業務數據是現在企業信息化負責人逐步關注的方面,之前我們只關注設備的安全,網絡的良好工作狀態,往往忽略了數據對業務和企業的重要性。現在,核心的業務數據真正成為信息工作人員最關心的信息資產,業務數據存在于具體設備的載體之上,很多還需要軟件容器,所以,單純地看業務數據意義也不大,保證業務數據,必須保證其運行的平臺和容器都是正常的,所以,業務數據也是我們重點分析的方面之一。
3.業務流程。
企業所有的信息資源都是通過業務流程實現其價值的,如果沒有業務流程,所有的設備和數據就只是一堆廢銅爛鐵。所以,對業務流程的了解和分析也是很重要的一個方面。
以上三個方面是企業信息資源的三個核心方面,孤立地看待任何一個方面都是毫無意義的。
其次,當我們對企業的當前信息資產進行分析以后需要對其價值進行評估。
評估的過程就是對當前的信息資產進行量化的數據分析,進行安全賦值,我們將信息資產的安全等級劃分為 5 級,數值越大,安全性要求越高,5 級的信息資產定義非常重要,如果遭到破壞可以給企業的業務造成非常嚴重的損失。1 級的信息資產定義為不重要,其被損害不會對企業造成過大影響,甚至可以忽略不計。對信息資產的評估在自身價值、信息類別、保密性要求、完整性要求、可用性要求和法規合同符合性要求等 5 個方面進行評估賦值,最后信息資產的賦值取 5 個屬性里面的最大值。
這里需要提出的是,這里不僅僅應該給硬件、軟件、數據賦值,業務流程作為核心的信息資源也必須賦值,而且幾個基本要素之間的安全值是相互疊加的,比如需要運行核心流程的交換機的賦值,是要高于需要運行核心流程的交換機的賦值的。很多企業由于歷史原因,運行核心業務流程的往往是比較老的設備,在隨后的分析可以看得出來,由于其年代的影響,造成資產的風險增加,也是需要重點注意的一點。
最后,對企業當前信息資產的風險評估。
風險評估是 ISMS 建立過程中非常重要的一個方面,我們對信息資產賦值的目的就是為了計算風險值,從而我們可以看出整個信息系統中風險最大的部分在哪里。對于風險值的計算有個簡單的參考公式:風險值 = 資產登記 + 威脅性賦值 + 脆弱性賦值(特定行業也有針對性的經驗公式)。
ISMS 建設的最終目標是將整個信息系統的風險值控制在一定范圍之內。
對癥下藥
經過上階段的調研和分析,我們對企業面臨的安全威脅和隱患有一個全面的認識,本階段的ISMS建設重點根據需求完成“對癥下藥”的工作:
首先,是企業信息安全管理體系的設計和規劃。
在風險評估的基礎上探討企業信息安全管理體系的設計和規劃,根據企業自身的基礎和條件建立ISMS,使其能夠符合企業自身的要求,也可以在企業本身的環境中進行實施。管理體系的規范針對不同企業一定要具體化,要和企業自身具體工作相結合,一旦缺乏結合性ISMS就會是孤立的,對企業的發展意義也就不大了。我們一般建議規范應至少包含三層架構,見圖1。
圖1 信息安全管理體系
一級文件通過綱領性的安全方針和策略文件描述企業信息安全管理的目標、原則、要求和主要措施等頂層設計;二級文件主要涉及業務工作、工程管理、系統維護工作中具體的操作規范和流程要求,并提供模塊化的任務細分,將其細化為包括“任務輸入”、“任務活動”、“任務實施指南”和“任務輸出”等細則,便于操作人員根據規范進行實施和管理人員根據規范進行工作審核;三級文件則主要提供各項工作和操作所使用的表單和模板,以便各級工作人員參考使用。
同時,無論是制定新的信息管理規章制度還是進行設備的更換,都要量力而行,依據自己實際的情況來完成。例如,很多公司按照標準設立了由企業高級領導擔任組長的信息安全領導小組和由信息化管理部門、后勤安全部門和審計部門組成的信息安全辦公室,具體負責企業的信息安全管理工作,在各級信息化技術部門均設置系統管理員、安全管理員、安全審計員,從管理結構設計上保證人員權限互相監督和制約。但是事實上繁多的職能部門和人員不僅未能提升企業信息系統安全性,反而降低了整個信息系統的工作效率。
其次,是企業信息安全管理體系的實施和驗證
實施過程是最復雜的,實施之后需要進行驗證。實施是根據 ISMS 的設計和體系規劃來做的,是個全面的信息系統的改進工作,不是單獨的設備更新,也不是單獨的管理規范的,需要企業從上至下,全面地遵照執行,要和現有系統有效融合。
這里的現有系統既包含了現有的業務系統,也包含了現有的管理體制。畢竟ISMS是從國外傳入的思路和規范,雖然切合國人中醫理論的整體思維方式,但在國內水土不服是正常的,主要表現就在于是否符合企業本身的利益,是否能夠和企業本身的業務、管理融合起來。往往最難改變的還是企業管理者的固有思維,要充分理解到進行信息安全管理體系的建設是一個為企業長久發展必須進行的工程。
到目前為止,和企業本身業務融合并沒有完美的解決方案,需要企業領導組織本身、信息系統技術人員、業務人員和負責 ISMS 實施的工程人員一同討論決定適合企業自身的實施方案
最后,是企業信息安全管理體系的認證和審核
針對我們周圍很多重認證,輕實施的思想,這里有必要談一下這個問題,認證僅代表認證過程中的信息體系是符合 ISO27000(或者其他國家標準)的規范要求,而不是說企業通過認證就是一個在信息安全管理體系下工作的信息系統了。更重要的是貫徹實施整個體系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是掛在墻上的一張紙,放在抽屜里的一本書”。
“治病于未病”
企業信息安全管理體系需要動態改進和和優化,畢竟企業和信息系統是不斷發展和變化的,ISMS 是建立在企業和信息系統基礎之上的,也需要有針對性地發展和變化,道高一尺魔高一丈,必須通過各種方法,進行不斷地改進和完善,才有可能保證ISMS 系統的持續作用。
就像我們前面案例中提到的某公司一樣,缺乏了持續改進和跟蹤完善的手段,經過測評的管理體系僅僅一年之后就失去了大部分作用。對于這些企業及未來即將建立ISMS的企業,為了持續運轉ISMS,我們認為可以主要從以下三個方面著手:
第一,人員。
人員對于企業來講是至關重要且必不可缺的,在ISMS建立過程中,選擇合適的人員參與體系建立是ISMS建立成功的要素之一。在持續運轉過程中,人員都應該投入多少呢?通常在體系建立過程中,我們會建議所有體系管理范圍內的部門各自給出一名信息安全代表作為安全專員配合體系建立實施,且此名專員日后要持續保留,負責維護各自部門的信息資產、安全事件跟蹤匯報、配合內審與外審、安全相關記錄收集維護等信息安全相關工作。
但很多事情是一種企業文化的培養,需要更多的人員甚至全員參與,例如面向全員的定期信息安全意識培訓,面向專業人員的信息安全技術培訓等,因此對于企業來講,除了必要的體系維護人員,在ISMS持續運轉過程中,若能將企業內的每名員工都納入到信息安全管理范圍內,培養出“信息安全,人人有責”的企業氛圍,則會為企業帶大巨大的潛在收益。且有些企業在面向自身員工展開信息安全各項活動的同時,還會納入客戶、合作伙伴、供應商等需要外界相關人員的參與,對外也樹立起自身對重視信息安全的形象,大力降低外界給企業帶來的風險。
第二,體系。
ISMS自身的持續維護,往往是企業建立后容易被忽視的內容,一套信息安全管理文檔并不是在日益變化的企業中一直適用的,對于信息資產清單、風險清單、體系中的管理制度流程等文檔每年至少需要進行一次正式的評審回顧,這項活動由于也是在相關標準中明確指出的,企業通常不會忽略;但日常對于這些文檔記錄的更新也是必不可少的,尤其是重要資產發生重大變更,組織業務、部門發生重大調整時,都最好對ISMS進行重新的評審,必要時重新進行風險評估,有助于發現新出現的重大風險,并且可以將資源合理調配,將有限的資源使用到企業信息安全的“短板”位置。
唯一不變的就是變化,企業每天所面臨的風險同樣也不是一成不變的,在更新維護信息資產清單的同時,對風險清單的回顧也是不可疏忽的,而這點往往是很多信息安全專員容易忽視的內容。持續的維護才能保證ISMS的運轉,有效控制企業所面臨的各種風險。
第三,工具。
工具往往是企業在建立ISMS過程中投入大量資金的方面,工具其實是很大的一個泛指,例如網絡安全設備、備份所需設備、防病毒軟件、正版軟件、監控審計等各類工具,即使沒有實施ISMS,企業在工具方面的投入也是必不可少的,但往往缺乏整體的規劃及與業務的結合,經常會出現如何將幾種類似工具充分利用,如何在各工具間建立接口,使數據流通共用,哪些工具應該替換更新,數據如何遷移,甚至出現新購買的工具無人使用或無法滿足業務需求等問題,導致資金資源的浪費,因此在持續運轉ISMS過程中,根據風險評估報告,及信息安全專員反映的各部門業務需求各種信息數據的收集,應對工具進行統一規劃,盡量減少資源的浪費。
篇5
關鍵詞: 高校;小專業;教材;信息安全;特色專業;策劃
在殘酷的市場競爭壓力下,如今大多數出版社都不得不在兼顧社會效益的同時,更多地考慮經濟效益。畢竟,一家改制成企業的出版社,如果只顧社會效益而忽視經濟效益,那么遲早會被淹沒在市場競爭的浪潮中。這就造成了高校小專業教材出版的尷尬境遇:教材的利潤主要來自于高印量,而小專業教材因為學生人數少、市場容量有限,往往是很多出版社都不愿涉足的“雞肋”,從而使得其出版相當艱難。小專業教材的市場同類書少且內容陳舊,教材內容無法及時更新,又影響小專業的教學質量和學科發展,從而限制了招生規模,進一步影響教材的大批出版,造成惡性循環。
信息安全專業是一個新興的交叉學科,目前來說就是一個小專業,各校的招生人數較少。從2001年武漢大學首次開設信息安全專業以來,目前教育部正式批準開設信息安全專業的只有73所高校,另外還有約30多所省屬高校開設了信息安全方向,高校總數有100多所,每校招生規模一般為1~2個班(每班30人)。對于工科類的計算機、電子、通信等專業來說,信息安全專業的確是一個小眾專業,雖然目前其招生規模還比較小,但畢業生就業形勢很好,信息技術發達的今天,信息安全的重要性不言而喻,信息安全專業學生的社會需求是很大的,由此我們判斷這個專業有很好的發展前景。
從2008年8月起我們開始調研普通高校信息安全專業的教材情況,通過市場同類書調查、參加教指委會議、走訪信息安全專業排名靠前的高校,我們發現,雖然市場上信息安全的圖書已經有一些了,但主要以技術類圖書及專著為主,真正能作為本科生教材的很少,特別是符合教育部信息安全教指委2009年制定的最新專業規范和教學基本要求的則更少。可見,組織策劃一套貫徹最新專業規范和教學基本要求的本科教材是有一定市場需求和出版價值的。基于上述考慮,我們決定組織策劃一套普通高校的信息安全本科教材。這套教材我們定名為《普通高等院校信息安全類特色專業系列規劃教材》,同時我們爭取到了教育部信息安全教指委的支持,成立了以信息安全教指委委員為主,部分重點高校知名教授為輔的高水平編委會。目前這套教材規劃的14門核心課程已出版3本,計劃到明年9月之前全套出齊。下面就以《普通高等院校信息安全類特色專業系列規劃教材》為例,分六個方面,介紹小專業教材的策劃思路和心得體會。
一、策劃找準切入點,特色定位很關鍵
其實在我們策劃這套教材之前,高等教育出版社、清華大學出版社、國防工業出版社、北京郵電大學出版社等都已出版過信息安全方面的圖書,包括教材、技術書及專著,其中也不乏“十一五”國家級規劃教材,那么為什么我們這套教材能得到信息安全教指委和各高校的支持呢?一方面是我們抓住了信息安全教指委頒布最新專業規范和教學基本要求的時機,之前的教材由于出版時間早,內容都沒有按照專業規范和教學基本要求來編寫。各高校也希望能使用內容新穎、符合教指委規范的教材;另一方面,我們抓住了教育部提出的“建設3 000個左右特色專業建設點”這個機會,這也是教育部倡導的本科教學“質量工程”的內容之一。我們策劃的這套《普通高等院校信息安全類特色專業系列規劃教材》,之前沒有其他出版社提出過,與以往的教指委推薦教材或指定教材也不相同,信息安全教指委認為我們這套教材與其他出版社的教材有明顯區別,不雷同,同時各高校特色專業建設點也有出版此類教材的需求,所以這套教材才得到了信息安全教指委和各高校的大力支持。
明顯的特色。2007年年底教育部和財政部共同下文:《教育部財政部關于實施高等學校本科教學質量與教學改革工程的意見》(教高〔2007〕1號),為了適應國家經濟、科技、社會發展對高素質人才的需求,引導不同類型高校根據自己的辦學定位和發展目標,發揮自身優勢,辦出專業特色,“十一五”期間教育部、財政部將投入專門經費,擇優重點建設3 000個左右特色專業建設點。結合上述文件精神,我們確定這套教材為信息安全類特色專業教材,并由此確定了主編隊伍,主編人員全部來自教育部評選的第一批15所信息安全類特色專業建設點高校,這些高校也是信息安全學科排名靠前的高校,希望他們將各校信息安全的特色教學和科研成果體現到教材編寫中。此外,這套教材還將切實貫徹信息安全教指委2009年制定的最新專業規范和教學基本要求,這些將構成本套教材的主要特色。
明確的定位。這套信息安全本科教材,是考慮面向二、三本高校的學生,還是主要面向重點高校學生而兼顧二、三本高校學生呢?我們對此進行了認真分析:目前開設信息安全的高校并不太多,受辦學條件和師資力量的限制,二、三本高校的老師還不太容易能獨立編寫出高質量的教材,但這類高校的招生規模較大,對教材的需求比重點高校學生更加迫切,因此,我們決定本套教材主要面向重點高校學生,同時兼顧二、三本高校學生,由此也確定了編寫隊伍,即以重點高校的老師為主編,吸收一些一般高校的老師參編,這樣既能保證教材質量,又能擴大教材的適用面和用量。
二、按照專業成系列開發
小專業的教材因為單本書的用量較少,單本教材的開發成本及營銷成本都很高,所以必須利用經濟學上的“整體效應原則”來進行系列化的開發,即按照信息安全專業開設的主要課程來進行整體設計,形成“先修課程和后續課程相互銜接、專業基礎課與專業課遙相呼應”的格局,這樣也利于后期進行整體營銷推廣。我們以2009年年初信息安全教指委香山會議上確定的4套專業規范及教學基本要求為基礎,調研了10多所高校的教學計劃和課程設置,再征求編委會委員的意見,確定了系列教材的14門核心課程。
三、策劃思想重在執行
能否將策劃思想真正落實,是判斷編輯執行力強弱的重要指標。策劃思想再好,如果組不到合適的稿件,那么這套教材永遠只是計劃而不能成書。通過調研和前期策劃,我們已經初步勾畫出了信息安全特色專業系列教材的輪廓。根據確定的特色、定位及編委會等,我們撰寫了項目申請書,編輯拿著項目書,開始走訪排名靠前的信息安全特色專業高校,進行宣傳和組稿。同時也將編委會委員發動起來,他們也推薦了一些優秀的作者。通過半年時間的組稿,14本教材已經全部確定了主編。主編單位主要來自信息安全類特色專業建設點的名校,其中不乏國家級或省級精品課程主干教材,整體質量較好。
策劃一套高層次的系列教材,需要組建一個權威的編委會,利用編委會來進行質量把關和宣傳營銷。對出版社來說,組建編委會實質上就是整合各方資源,形成一個“磁場”,來吸引高水平的老師參與編寫。所以,編委會更多地起審稿把關和對外宣傳提升檔次的作用,組稿不能完全依靠編委會,還需要編輯自力更生,積極主動,否則組稿效率會很低,影響叢書的整體進度。
四、編前工作贏在細節
一套教材有了好的策劃思想,也有了理想的編寫隊伍,但是如果編前工作做得不好,這套書的質量還是無法保障,整個項目也就將功虧一簣。所以一定要注重編前工作這個細節,細節決定成敗。編前階段是指作者向出版社正式交稿前的寫作階段,也是編輯提供出版服務的重要階段。這個階段又被叫做“中耕”階段。在這個階段中,編輯需要給主編提供“著譯者編寫指南”、 “某一門課程的教學基本要求”等。編輯只有做好這個階段的工作,作者的稿件質量才能得到保證,并能為后期的編輯加工節約時間,提高效率。
審查編寫大綱,是進行稿件質量把關的第一步。為了提高這套書的整體編寫質量,我們要求主編在編寫書稿前要提交詳細到3級目錄的編寫大綱,為此,我們于2010年7月31日召開了這套教材的編委會議,信息安全教指委主任、副主任、10多位編委及教材專家委員出席了會議,另外還有一些感興趣的高校也派了代表參加。在會上,每位主編用PPT的形式介紹了各自的大綱,編委或教材專家委員現場進行討論并提出修改意見。通過這次會議,我們吸收了一些院校參與到部分教材的編寫中,同時也擴大了這套教材的知名度,提前進行了宣傳。
五、營銷貫穿策劃全過程
教材的營銷很重要,小專業教材的營銷就更加重要了。不能等到出書之后才想到營銷推廣,在選題策劃階段就要充分考慮如何開展有針對性的營銷,確定營銷策略。在策劃信息安全這套教材時,我們與北京郵電大學信息安全中心取得了聯系,通過多次溝通,雙方達成了共識并簽訂了協議:我們可以利用北郵信息安全中心每年組織全國青年教師培訓的機會,宣傳推廣我們的教材。除了會議營銷外,在調研階段,我們就查詢了目前開設信息安全專業的100多所高校負責人信息并錄入數據庫,為教材出版后贈送樣書作準備。另外,等大部分稿件交稿后,我們將制作宣傳頁,通過發送電子郵件或院校代表走訪等形式進行散發宣傳。為了宣傳這套教材,我們還將為每部書稿確定一位編委會委員作為主審人,一方面是對稿件質量把關,另一方面也利用主審人的學術影響來宣傳和提升本套教材的品質。
營銷一定要貫穿策劃全過程,并且隨著策劃的深入,還要不斷修正原來的營銷方案和策略,形成一套比較完善可行的營銷方案,并且從一開始就要分階段逐步實施。
六、團隊成長伴隨項目發展
出版工作主要依靠的是人,而選題策劃更是離不開編輯。策劃一個較大的項目,需要做的工作很多,環節也很復雜,一個編輯很難全部承擔,所以需要一個結構合理的團隊來共同完成。信息安全這套教材就是由我和另一位年輕編輯來共同完成的,我負責總體設計規劃、組建編委會及重要稿件的組稿,年輕編輯負責部分組稿、大部分后期生產及營銷等工作。
在項目實際運作中常常有一個“誰當項目負責人”的問題,是由部門領導擔任,還是由編輯獨立擔當,還是由部門領導帶培編輯?如果項目負責人全由部門領導一人擔任,編輯無法深度參與,得不到鍛煉機會,能力得不到提高,其工作積極性和主觀能動性就得不到充分發揮。我認為“誰當項目負責人”應當視項目的重要程度和編輯的成熟程度來定。如果項目很重要,責任重大,則必須由部門領導牽頭來做,在項目運作中盡快培養編輯,編輯成熟后部門領導逐漸淡出,項目具體事務交由編輯來做,部門領導只負責叢書整體規劃和選題把關。如果編輯已經有成熟的項目運作經驗,不妨放手讓編輯擔任項目負責人,給予其更大的施展空間和更多的鍛煉機會。
