前言：中文期刊網(wǎng)精心挑選了企業(yè)信息安全應(yīng)急預(yù)案范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

企業(yè)信息安全應(yīng)急預(yù)案范文1

關(guān)鍵詞：會計(jì)信息安全 組織環(huán)境 風(fēng)險(xiǎn)評估 監(jiān)控反饋 制度安排

中圖分類號：F23 文獻(xiàn)標(biāo)識碼：A 文章編號：1002-5812（2016）03-0026-04

隨著我國企業(yè)信息化的推進(jìn)，會計(jì)信息化逐步由簡單的單用戶電算化應(yīng)用向復(fù)雜的深層次網(wǎng)絡(luò)化運(yùn)用過渡，會計(jì)信息化系統(tǒng)也在一定程度上實(shí)現(xiàn)了由核算型向管理型的過渡。在企業(yè)會計(jì)信息化水平不斷提高的同時(shí)，作為企業(yè)重要資產(chǎn)的會計(jì)信息，其完整性、可用性、保密性等方面卻受到不同程度的挑戰(zhàn)和沖擊。如若企業(yè)會計(jì)信息安全不能得到有效保障，可能會引發(fā)相關(guān)商業(yè)機(jī)密的泄漏，嚴(yán)重的會導(dǎo)致企業(yè)失去客戶、市場，乃至核心競爭力；即便是信息系統(tǒng)的故障也會造成企業(yè)的相關(guān)業(yè)務(wù)中斷，給企業(yè)帶來資產(chǎn)與聲譽(yù)的損失。因此，為了使企業(yè)能持續(xù)不斷的發(fā)展，會計(jì)信息安全成為了企業(yè)管理越來越關(guān)注的內(nèi)容之一。

一、企業(yè)會計(jì)信息安全的影響因素

企業(yè)會計(jì)信息安全是指會計(jì)信息化環(huán)境下，會計(jì)信息處于完整性、可用性、保密性和可靠性的狀態(tài)，它來自于會計(jì)數(shù)據(jù)的完整和會計(jì)數(shù)據(jù)的安全。參照國際標(biāo)準(zhǔn)化組織和美國NSTISSC委員會對信息安全的闡述，本文認(rèn)為企業(yè)會計(jì)信息安全就是為了使會計(jì)信息具有完整性、可用性、保密性和可靠性，而讓企業(yè)的會計(jì)信息和會計(jì)信息系統(tǒng)處于必要的保護(hù)之下免于未經(jīng)授權(quán)的訪問、使用、泄漏、修改和破壞，并適當(dāng)采取相應(yīng)政策、培訓(xùn)和教育以及技術(shù)等必要手段，其實(shí)質(zhì)就是扎根于企業(yè)經(jīng)營實(shí)踐活動并與企業(yè)戰(zhàn)略密切聯(lián)系的業(yè)務(wù)保障和管理問題。顯然，影響企業(yè)會計(jì)信息安全的因素必然來源于企業(yè)的生產(chǎn)經(jīng)營實(shí)踐活動，并與企業(yè)的經(jīng)營管理過程結(jié)合在一起。鑒于此，本文認(rèn)為影響企業(yè)會計(jì)信息安全的因素不外乎組織環(huán)境、信息處理、風(fēng)險(xiǎn)評估、監(jiān)控反饋、制度安排五個(gè)方面內(nèi)容。

（一）組織環(huán)境。企業(yè)組織環(huán)境是指能對企業(yè)生產(chǎn)經(jīng)營活動和決策產(chǎn)生直接影響并與企業(yè)戰(zhàn)略目標(biāo)實(shí)現(xiàn)密切相關(guān)的因素。企業(yè)會計(jì)信息安全及相關(guān)會計(jì)信息系統(tǒng)的運(yùn)行都必須基于既有的企業(yè)組織環(huán)境。一般來說，企業(yè)組織環(huán)境包括企業(yè)愿景、企業(yè)戰(zhàn)略、企業(yè)文化、組織結(jié)構(gòu)、員工勝任能力以及管理者素質(zhì)、管理風(fēng)格、管理哲學(xué)等。企業(yè)組織環(huán)境對企業(yè)會計(jì)信息安全的影響作用在很大程度上取決于企業(yè)高層管理者。其原因在于，根據(jù)企業(yè)高層管理者的管理哲學(xué)與管理風(fēng)格以及由其演繹而成的組織結(jié)構(gòu)和企業(yè)文化形成了企業(yè)會計(jì)信息安全環(huán)境，并以此構(gòu)建相應(yīng)的會計(jì)信息安全管控框架，進(jìn)而形成相應(yīng)的會計(jì)信息安全策略。此外，相關(guān)的企業(yè)會計(jì)信息安全管控策略若要能在企業(yè)內(nèi)部得到有效的持續(xù)的實(shí)施，也需要企業(yè)內(nèi)所有管理者和員工的共同參與，更是與管理者和員工的安全意識和職業(yè)素養(yǎng)密切相關(guān)。高層管理者負(fù)責(zé)制訂與企業(yè)組織發(fā)展方向相關(guān)以及影響整個(gè)企業(yè)戰(zhàn)略的會計(jì)信息安全管控決策；中層管理者負(fù)責(zé)將高層管理者所制訂的會計(jì)信息安全管控決策目標(biāo)轉(zhuǎn)換成為基層管理者可執(zhí)行的會計(jì)信息安全管控具體目標(biāo)；基層管理者則負(fù)責(zé)直接指揮從事具體業(yè)務(wù)的相關(guān)員工進(jìn)行日常業(yè)務(wù)作業(yè)。

（二）信息處理。企業(yè)會計(jì)信息處理是一個(gè)比較復(fù)雜的系統(tǒng)，在這個(gè)系統(tǒng)中應(yīng)該能完整、可靠、安全地采集與企業(yè)經(jīng)營管理相關(guān)的各種會計(jì)信息，并使這些會計(jì)信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級及經(jīng)過適當(dāng)授權(quán)的客戶之間進(jìn)行有效傳遞和正確使用。因此，在會計(jì)信息化環(huán)境下為達(dá)到上述要求，企業(yè)需要為會計(jì)信息處理系統(tǒng)配置適當(dāng)?shù)能浻布Y源。在這種情況下，企業(yè)會計(jì)信息安全問題就集中于物理硬件的可靠性和支持軟件的有效性。物理硬件通常由系統(tǒng)主機(jī)、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護(hù)等組成，譬如給數(shù)據(jù)加密的專用設(shè)備，添加專用防火墻的服務(wù)器，具有加密算法和多數(shù)位加密的路由等。支持軟件則主要由能實(shí)現(xiàn)會計(jì)信息采集、整理、加工、傳送、使用等功能的會計(jì)信息管理軟件構(gòu)成，當(dāng)然還包括操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、壓縮、加密算法、防病毒等相關(guān)軟件。

（三）風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估就是分析、識別和控制相關(guān)影響會計(jì)信息安全目標(biāo)實(shí)現(xiàn)的各種風(fēng)險(xiǎn)的過程，它主要由會計(jì)信息安全的目標(biāo)設(shè)定、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)識別和風(fēng)險(xiǎn)控制等方面構(gòu)成。企業(yè)要確保其會計(jì)信息安全，則必須清楚且能應(yīng)對各種可能對其會計(jì)信息安全產(chǎn)生影響的風(fēng)險(xiǎn)，在不斷變化的企業(yè)經(jīng)營環(huán)境中進(jìn)行認(rèn)真分析，識別并把握其變化規(guī)律，制訂相關(guān)的應(yīng)對措施，依據(jù)會計(jì)信息安全面臨的問題適時(shí)調(diào)整企業(yè)會計(jì)信息安全管控策略和方法。這就要求企業(yè)的會計(jì)信息安全管控策略要有更長遠(yuǎn)的時(shí)間和更廣闊的視野來關(guān)注風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)意識貫穿于企業(yè)會計(jì)信息安全管控的始終，不斷完善包括企業(yè)經(jīng)營理念、管理方式、管理風(fēng)格在內(nèi)的控制風(fēng)險(xiǎn)環(huán)境。為此，企業(yè)還需要制訂相關(guān)的會計(jì)信息安全目標(biāo)，并將這一目標(biāo)與企業(yè)的供應(yīng)、生產(chǎn)、銷售等經(jīng)營活動進(jìn)行整合。唯有如此，才能實(shí)現(xiàn)整個(gè)企業(yè)經(jīng)營管理的協(xié)調(diào)一致。

（四）監(jiān)控反饋。企業(yè)必須制定監(jiān)控反饋的政策與程序，才能確保既定會計(jì)信息安全目標(biāo)和必要改進(jìn)措施的有效實(shí)施。一方面，企業(yè)經(jīng)營環(huán)境是不斷發(fā)生變化的，企業(yè)經(jīng)營活動也隨之不斷變化。在這種情況下，唯有對企業(yè)會計(jì)信息安全管控系統(tǒng)進(jìn)行必要的監(jiān)控，并在必要時(shí)加以修訂與調(diào)整，管控系統(tǒng)及相關(guān)的政策與程序才能反應(yīng)自如。另一方面，企業(yè)會計(jì)信息處理系統(tǒng)自身也會由于物理硬件或支持軟件方面的不確定因素而導(dǎo)致會計(jì)信息處理的延誤或失效。這樣，企業(yè)也需適時(shí)地對企業(yè)會計(jì)信息處理系統(tǒng)進(jìn)行監(jiān)控，排除不確定因素，維護(hù)會計(jì)信息處理系統(tǒng)的有效和安全。此外，還應(yīng)考慮制定怎樣的監(jiān)控反饋政策與程序。通常，過于集權(quán)的監(jiān)控政策會導(dǎo)致因信息缺乏而引起的成本，過于分權(quán)的監(jiān)控政策則會出現(xiàn)因目標(biāo)不一致而引起的成本。鑒于此，企業(yè)對會計(jì)信息安全的監(jiān)控反饋政策與程序的選擇應(yīng)該是權(quán)衡這兩類成本，使成本之和最小。

（五）制度安排。企業(yè)會計(jì)信息安全還與企業(yè)制度安排密切相關(guān)。好的政策制度，能有效協(xié)調(diào)和激勵(lì)合意的行為，約束和懲罰不合意的行為，從而帶來良好的經(jīng)濟(jì)績效；差的政策制度，則會產(chǎn)生相反的結(jié)果。因此，企業(yè)在進(jìn)行會計(jì)信息安全方面的制度安排時(shí)，需要依據(jù)會計(jì)信息安全的目標(biāo)，設(shè)計(jì)出良好的管控制度，做到能有效地協(xié)調(diào)和激勵(lì)符合企業(yè)會計(jì)信息安全的行為，并能夠約束和懲罰不符合企業(yè)會計(jì)信息安全的行為，進(jìn)而為企業(yè)帶來良好的會計(jì)信息安全管控效果。需要關(guān)注的是，制度安排的效果，還要與其實(shí)施的環(huán)境密切關(guān)聯(lián)。因?yàn)橹贫葘?shí)施的環(huán)境發(fā)生了變化，就有可能使得原先實(shí)施效果很好的制度不再那么有效，甚至失效。

二、企業(yè)會計(jì)信息安全的主要風(fēng)險(xiǎn)問題

通過上文的分析可知，企業(yè)會計(jì)信息安全受到?jīng)_擊和挑戰(zhàn)的原因很多，具體表現(xiàn)出來的風(fēng)險(xiǎn)問題也是多樣的。但是，具體到企業(yè)管理實(shí)踐中，會計(jì)信息安全的風(fēng)險(xiǎn)問題基本上集中于員工的會計(jì)信息安全認(rèn)知、會計(jì)信息處理系統(tǒng)、風(fēng)險(xiǎn)評估與監(jiān)控反饋的認(rèn)識以及對會計(jì)信息安全管控制度的執(zhí)行等幾個(gè)方面。

（一）員工的會計(jì)信息安全認(rèn)知不足。基于組織環(huán)境方面的會計(jì)信息安全風(fēng)險(xiǎn)問題多源于企業(yè)的員工對會計(jì)信息安全認(rèn)知的不足。其原因在于，與安全有關(guān)的問題都離不開“人”這個(gè)主體因素。一方面，許多企業(yè)管理者的會計(jì)信息安全意識、安全知識和安全管理等方面存在不足。譬如，在確定企業(yè)會計(jì)信息安全管控方案時(shí)沒有對企業(yè)進(jìn)行全面的自我診斷，僅是對企業(yè)的基本狀況做了一個(gè)大概了解，就直接在企業(yè)內(nèi)部實(shí)施現(xiàn)有的標(biāo)準(zhǔn)或者其他企業(yè)或組織的成功方案。由于企業(yè)既沒有充分挖掘會計(jì)信息安全現(xiàn)狀和對會計(jì)信息安全的內(nèi)在需求，也沒有全面考慮利益相關(guān)者的利益安全需求，必然會導(dǎo)致企業(yè)對會計(jì)信息安全的實(shí)際需求與其能提供的安全管控之間存在差距。更有甚者，企業(yè)管理者對會計(jì)信息安全的支持和重視不足，導(dǎo)致企業(yè)內(nèi)部會計(jì)信息安全文化缺失和普通員工會計(jì)信息安全意識淡薄。另一方面，企業(yè)信息化的發(fā)展，使得越來越多的非財(cái)會相關(guān)崗位的普通員工也被包含到企業(yè)會計(jì)信息安全體系之中。這些員工，甚至一些財(cái)會崗位的員工，要么不完全理解會計(jì)信息安全的重要性，要么過度信賴企業(yè)會計(jì)信息安全管控方案，而不愿意把自己的精力和資源放在會計(jì)信息安全防護(hù)上，或者從根本上就認(rèn)為即便對會計(jì)信息不采取安全防護(hù)措施也不一定會造成損失。當(dāng)然，也存在一些員工由于缺少必要的會計(jì)信息安全教育和培訓(xùn)，根本不知道自己不遵守和執(zhí)行相關(guān)的會計(jì)信息安全管控方案會對企業(yè)帶來怎樣的不利影響。

（二）會計(jì)信息處理系統(tǒng)安全技術(shù)滯后。企業(yè)會計(jì)信息安全需求是隨著企業(yè)的生產(chǎn)經(jīng)營活動和企業(yè)所處的內(nèi)外部環(huán)境的變化而變化的。但是，很多企業(yè)并沒有意識到企業(yè)會計(jì)信息安全需求的動態(tài)變化規(guī)律，對會計(jì)信息安全管控方案依然秉承“投資一次，受用終身”的觀念，抱陳守舊。這種投資觀直接導(dǎo)致企業(yè)會計(jì)信息處理系統(tǒng)安全技術(shù)跟不上企業(yè)生產(chǎn)經(jīng)營活動和企業(yè)所處的內(nèi)外部環(huán)境的變化。具體體現(xiàn)在企業(yè)使用的會計(jì)信息處理軟件本身設(shè)計(jì)存在缺陷或技術(shù)漏洞得不到及時(shí)的完善以及殺毒軟件、防火墻等相關(guān)支持軟件不能得到及時(shí)更新；沒有隨著企業(yè)業(yè)務(wù)和環(huán)境的變化更新會計(jì)信息處理系統(tǒng)導(dǎo)致業(yè)務(wù)流程描述錯(cuò)誤或漏洞、數(shù)據(jù)訪問權(quán)限設(shè)置不當(dāng)、關(guān)鍵數(shù)據(jù)備份不足等問題；以及系統(tǒng)主機(jī)、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護(hù)等老化損毀等。

（三）會計(jì)信息安全風(fēng)險(xiǎn)意識薄弱與風(fēng)險(xiǎn)評估體系缺失。當(dāng)前，不少企業(yè)員工，包括部分企業(yè)管理者，其會計(jì)信息安全風(fēng)險(xiǎn)意識淡薄，認(rèn)識不到企業(yè)會計(jì)信息安全風(fēng)險(xiǎn)的客觀性。實(shí)際上，企業(yè)生產(chǎn)經(jīng)營活動中，風(fēng)險(xiǎn)是客觀存在的，它是無處不在的，也是無時(shí)不在的。通常狀況下，企業(yè)所面臨的會計(jì)信息安全風(fēng)險(xiǎn)，也與威脅企業(yè)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)的相關(guān)事件密切相關(guān)。因此，企業(yè)會計(jì)信息安全風(fēng)險(xiǎn)的評估，要求企業(yè)所有員工能對貫穿于企業(yè)方方面面的會計(jì)信息安全風(fēng)險(xiǎn)有一個(gè)清晰的認(rèn)知。尤為突出的是，很多企業(yè)并沒有形成一套有效的會計(jì)信息安全風(fēng)險(xiǎn)評估體系來對會計(jì)信息處理系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估。會計(jì)信息安全風(fēng)險(xiǎn)評估體系可以確定各種會計(jì)信息采集、整理、處置、披露和使用等行為的邊界，明確什么行為是可以做的，什么行為是不可以做的。如果發(fā)現(xiàn)有越界的行為，能夠及時(shí)發(fā)現(xiàn)并對其進(jìn)行控制，進(jìn)而使得這些越界行為造成的損失降至最低。

（四）會計(jì)信息安全監(jiān)控反饋欠佳。一般來說，企業(yè)會計(jì)信息安全監(jiān)控反饋機(jī)制可以分為三個(gè)步驟。一是對實(shí)際會計(jì)信息安全的衡量與評估；二是將實(shí)際衡量與評估的結(jié)果與企業(yè)設(shè)定的或標(biāo)準(zhǔn)的安全目標(biāo)進(jìn)行比較；三是采取必要的管控行動來糾正比較后得出的偏差與不足。顯然，會計(jì)信息安全監(jiān)控反饋過程是一個(gè)連續(xù)行動的過程，其有效性歸根結(jié)蒂取決于以上的衡量、比較與糾偏三個(gè)步驟，其中任何一個(gè)步驟或者幾個(gè)步驟低效率或不作為就會影響企業(yè)會計(jì)信息安全監(jiān)控反饋機(jī)制的有效性。但是，在現(xiàn)實(shí)的企業(yè)經(jīng)營管理實(shí)際中，由于企業(yè)員工認(rèn)識不到會計(jì)信息安全監(jiān)控反饋機(jī)制是一個(gè)衡量、比較與糾偏的連續(xù)行動過程，而是過度強(qiáng)調(diào)這個(gè)監(jiān)控反饋機(jī)制中的某一個(gè)步驟或某幾個(gè)步驟，沒有從整個(gè)會計(jì)信息安全監(jiān)控反饋機(jī)制的全局上考慮，導(dǎo)致企業(yè)會計(jì)信息安全監(jiān)控反饋機(jī)制運(yùn)行不暢，監(jiān)控反饋效果大打折扣，最終使該機(jī)制的有效性受到質(zhì)疑，動搖該機(jī)制在企業(yè)會計(jì)信息安全管控體系中的地位。

（五）會計(jì)信息安全管控制度低效。會計(jì)信息化依然是個(gè)新生事物，企業(yè)對會計(jì)信息安全管控的認(rèn)知還處于初級階段，相關(guān)的制度建設(shè)尚不完善，有的還處于草創(chuàng)階段，導(dǎo)致企業(yè)日常會計(jì)事務(wù)的工作制度依然處于缺失狀態(tài)，會計(jì)信息處理系統(tǒng)的使用和維護(hù)行為缺乏合理的引導(dǎo)，會計(jì)信息處理設(shè)備的濫用和誤用、會計(jì)信息的不當(dāng)使用等現(xiàn)象時(shí)有發(fā)生，嚴(yán)重危害企業(yè)的會計(jì)信息安全。即便企業(yè)有相對健全的會計(jì)信息安全管控制度，若不能對相關(guān)執(zhí)行人進(jìn)行必要的激勵(lì)，也難以使相關(guān)制度得到有效執(zhí)行。其原因在于任何制度都是由人來執(zhí)行的，要保證制度的執(zhí)行效果，就必須對執(zhí)行人進(jìn)行激勵(lì)。激勵(lì)的目的就是當(dāng)個(gè)人的行為能促進(jìn)企業(yè)目標(biāo)的實(shí)現(xiàn)時(shí)，能得到企業(yè)提供給其相應(yīng)的價(jià)值回報(bào)，把企業(yè)員工的個(gè)人行為動機(jī)與企業(yè)目標(biāo)的實(shí)現(xiàn)密切關(guān)聯(lián)起來。事實(shí)上，很多企業(yè)在信息安全管控制度的執(zhí)行過程中，并沒有設(shè)立相應(yīng)的激勵(lì)指標(biāo)來推動企業(yè)員工為企業(yè)信息安全目標(biāo)的實(shí)現(xiàn)而工作。

三、企業(yè)會計(jì)信息安全的管控建議

針對以上風(fēng)險(xiǎn)問題，企業(yè)應(yīng)該在影響會計(jì)信息安全因素的組織環(huán)境、信息處理、風(fēng)險(xiǎn)評估、監(jiān)控反饋、制度安排等方面強(qiáng)化作為。

（一）加強(qiáng)會計(jì)信息安全管控組織環(huán)境建設(shè)。一方面，要強(qiáng)化企業(yè)會計(jì)信息安全文化建設(shè)，在企業(yè)內(nèi)部形成全體員工共同遵循的會計(jì)信息安全的信念、價(jià)值、意識以及經(jīng)營哲學(xué)等，以此為基礎(chǔ)設(shè)計(jì)相應(yīng)的企業(yè)會計(jì)信息安全管控制度，并提供理念支持。還可以在企業(yè)文化建設(shè)過程中，不斷強(qiáng)化企業(yè)會計(jì)信息安全的重要性和相關(guān)會計(jì)信息安全管制制度設(shè)計(jì)的員工參與度，以實(shí)現(xiàn)更加公平透明和執(zhí)行有效的企業(yè)會計(jì)信息安全管控文化。另一方面，要充分重視人的因素，加強(qiáng)企業(yè)員工的職業(yè)道德教育和業(yè)務(wù)素質(zhì)培養(yǎng)，提高全體員工的職業(yè)勝任能力，充分發(fā)揮每個(gè)員工在完善企業(yè)會計(jì)信息安全管控制度方面的主觀能動性。企業(yè)還可以依據(jù)員工的工作性質(zhì)和職位安排，適宜安排企業(yè)會計(jì)信息安全教育與培訓(xùn)。對企業(yè)管理者，強(qiáng)化會計(jì)信息安全核心知識、技術(shù)手段、風(fēng)險(xiǎn)管理等方面的教育與培訓(xùn)；對企業(yè)普通員工，則結(jié)合其所在部門的業(yè)務(wù)特點(diǎn)加強(qiáng)會計(jì)信息安全技術(shù)手段、風(fēng)險(xiǎn)意識等方面的教育與培訓(xùn)。這樣，就可以在企業(yè)內(nèi)部營造企業(yè)會計(jì)信息安全文化氛圍，最大程度地減少人為因素對企業(yè)會計(jì)信息安全的危害。

（二）適時(shí)更新會計(jì)信息處理系統(tǒng)安全技術(shù)。企業(yè)要遵循會計(jì)信息安全需求的動態(tài)變化規(guī)律，對會計(jì)信息安全管控方案放棄“投資一次，受用終身”的觀念，適時(shí)更新會計(jì)信息系統(tǒng)處理安全技術(shù)，按照“適度防御”的原則，選擇合適的安全技術(shù)與產(chǎn)品，形成企業(yè)適用的安全技術(shù)防線。首先，適時(shí)更新會計(jì)信息處理的安全技術(shù)。在企業(yè)會計(jì)信息處理系統(tǒng)中提供包括用戶名、口令等在內(nèi)的多種身份驗(yàn)證機(jī)制，必要時(shí)還需嵌入支持雙因素認(rèn)證和具備登錄控制模塊，同時(shí)在會計(jì)信息處理的日常作業(yè)不受影響的情況下，控制相應(yīng)員工的訪問權(quán)限，減少可能的越權(quán)操作，保障會計(jì)信息處理系統(tǒng)的安全。其次，適時(shí)更新會計(jì)數(shù)據(jù)的安全技術(shù)。企業(yè)應(yīng)通過適時(shí)更新加密等技術(shù)手段保護(hù)會計(jì)信息處理系統(tǒng)中數(shù)據(jù)的保密性和完整性，提高會計(jì)信息數(shù)據(jù)訪問的抗依賴性。此外，還需加強(qiáng)相關(guān)會計(jì)信息數(shù)據(jù)的異地崩潰或者災(zāi)難恢復(fù)機(jī)制，通過實(shí)現(xiàn)本地會計(jì)信息數(shù)據(jù)能夠異地備份和復(fù)制，避免本地會計(jì)信息處理系統(tǒng)由于崩潰或者災(zāi)難等而導(dǎo)致會計(jì)信息數(shù)據(jù)遺失。再次，適時(shí)更新網(wǎng)絡(luò)安全技術(shù)。不但要適時(shí)更新系統(tǒng)掃描技術(shù)并對會計(jì)信息處理系統(tǒng)和操作系統(tǒng)層設(shè)備進(jìn)行智能化檢測，幫助企業(yè)網(wǎng)絡(luò)管理人員高效完成定期檢測和操作系統(tǒng)的漏洞修復(fù)，還要適時(shí)更新系統(tǒng)實(shí)時(shí)入侵探測技術(shù)來監(jiān)控主機(jī)系統(tǒng)事件，檢測可疑特征并給予響應(yīng)和處置。此外，還要適時(shí)更新在企業(yè)內(nèi)外部部署的網(wǎng)絡(luò)和信息安全設(shè)施，強(qiáng)化會計(jì)信息處理系統(tǒng)的物理實(shí)體管理，同時(shí)加強(qiáng)對漏洞掃描系統(tǒng)和入侵檢測系統(tǒng)的更新，以實(shí)現(xiàn)會計(jì)信息處理系統(tǒng)受到內(nèi)外部誤操作或各種攻擊時(shí)的實(shí)時(shí)保護(hù)。最后，適時(shí)完善物理設(shè)備的安全防護(hù)技術(shù)。不但要采取全面可靠的防火墻技術(shù)和防病毒系統(tǒng)，還要針對環(huán)境的物理災(zāi)害、人為蓄意破壞甚至自然災(zāi)害采取有效的物化防護(hù)技術(shù)，保障相關(guān)物理設(shè)備的安全。

（三）形成會計(jì)信息安全風(fēng)險(xiǎn)評估體系。任何企業(yè)管理機(jī)制的構(gòu)建都是一個(gè)系統(tǒng)工程，能否構(gòu)建成功且在以后的運(yùn)行中有效，關(guān)鍵是相關(guān)風(fēng)險(xiǎn)的評估。正如管理大師德魯克所說，沒有評估就沒有管理。同樣的道理，沒有評估就不可能實(shí)現(xiàn)管理機(jī)制的構(gòu)建與施行。對會計(jì)信息安全管制機(jī)制的構(gòu)建亦是如此。為此，企業(yè)為了構(gòu)建有效的會計(jì)信息安全管理機(jī)制，就需對可能的損害企業(yè)會計(jì)信息安全的風(fēng)險(xiǎn)進(jìn)行歸集與分類，形成會計(jì)信息安全風(fēng)險(xiǎn)評估體系。具體做法，可以采用以下三步。第一步，構(gòu)建適應(yīng)企業(yè)經(jīng)營實(shí)踐和企業(yè)會計(jì)信息安全要求的會計(jì)信息安全風(fēng)險(xiǎn)評估目標(biāo)體系。既要根據(jù)會計(jì)信息的完整性、可用性、保密性和可靠性設(shè)置會計(jì)信息安全的一般目標(biāo)，又要根據(jù)會計(jì)信息安全管控環(huán)節(jié)設(shè)置具體目標(biāo)，譬如會計(jì)信息安全管控業(yè)務(wù)執(zhí)行的有效性、及時(shí)性、正確性等。第二步，按照會計(jì)信息處理的授權(quán)管理、崗位牽制、資源接觸等安全管控類型，分析并得出會計(jì)信息處理業(yè)務(wù)流程和各部門的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)和一般風(fēng)險(xiǎn)控制點(diǎn)。最后，根據(jù)上述風(fēng)險(xiǎn)控制點(diǎn)設(shè)置相應(yīng)的會計(jì)信息安全管控評估指標(biāo)，并對每個(gè)指標(biāo)進(jìn)行具體說明，且給出這些指標(biāo)的評估方法和評分標(biāo)準(zhǔn)。

（四）推行企業(yè)全面信息安全監(jiān)控反饋機(jī)制。會計(jì)信息安全管控不應(yīng)該僅僅是涉及到會計(jì)信息這樣一個(gè)狹小的范疇，而應(yīng)該是一個(gè)綜合的概念，要把企業(yè)的經(jīng)營環(huán)境、愿景理念、組織領(lǐng)導(dǎo)、戰(zhàn)略計(jì)劃等綜合起來考慮。既要認(rèn)識到現(xiàn)代企業(yè)中會計(jì)信息安全管控的重要性，也要能從會計(jì)信息安全的管控上升到企業(yè)信息安全管控，推行企業(yè)全面信息安全監(jiān)控反饋機(jī)制，實(shí)現(xiàn)企業(yè)全面信息安全管控，并使之成為企業(yè)的管理哲學(xué)。首先，要做到內(nèi)容方式的全面性。不僅要著眼于會計(jì)信息安全的管控，還要能從企業(yè)戰(zhàn)略的高度審視和評估會計(jì)信息安全管控，更要注重各種安全技術(shù)和方法的綜合使用，確保能實(shí)現(xiàn)從單純的會計(jì)信息安全管控向企業(yè)全面信息安全管控轉(zhuǎn)變。其次，要做到管控過程的全面性。要把會計(jì)信息安全管控作為核心貫穿到整個(gè)企業(yè)經(jīng)營過程中，即從市場調(diào)查、產(chǎn)品開發(fā)、生產(chǎn)銷售等環(huán)節(jié)延續(xù)到產(chǎn)品售后都要實(shí)行相應(yīng)的會計(jì)信息安全管控，確保會計(jì)信息從靜態(tài)安全管控向動態(tài)安全管控轉(zhuǎn)變，進(jìn)而實(shí)現(xiàn)會計(jì)信息的保護(hù)、檢測、反應(yīng)和恢復(fù)協(xié)調(diào)一致。最后，要做到管控人員的全面性。即要求包括企業(yè)高管、其他管理人員、工程技術(shù)人員和普通員工在內(nèi)的全體員工都要參與到全面信息安全管控中，各司其職，對會計(jì)信息安全負(fù)責(zé)。

（五）強(qiáng)化會計(jì)信息安全管控制度安排。強(qiáng)化企業(yè)會計(jì)信息安全管控制度建設(shè)，不外乎制度本身的完善和既有制度的有效執(zhí)行。會計(jì)信息安全管控制度的完善，就是建立一套完善的會計(jì)信息安全管控制度。這既是會計(jì)信息本身安全的基礎(chǔ)，也是會計(jì)信息安全管控的前提。完善的會計(jì)信息安全管控制度至少應(yīng)該包括會計(jì)信息處理系統(tǒng)的開發(fā)或選購、使用、維護(hù)和應(yīng)急制度，以及機(jī)房和終端等會計(jì)信息處理系統(tǒng)物理實(shí)體管理制度、會計(jì)信息數(shù)據(jù)的使用制度、會計(jì)信息數(shù)據(jù)備份制度、會計(jì)信息安全風(fēng)險(xiǎn)評估制度、會計(jì)信息安全審計(jì)制度等，實(shí)現(xiàn)從會計(jì)信息數(shù)據(jù)采集整理到會計(jì)信息數(shù)據(jù)使用備份的會計(jì)信息處理全程制度無縫構(gòu)建，并隨著企業(yè)經(jīng)營環(huán)境的變化適時(shí)更新和完善。而既有會計(jì)信息安全管控制度的有效執(zhí)行，則需充分重視企業(yè)員工績效考核制度。恰當(dāng)在企業(yè)員工的績效考核中納入企業(yè)會計(jì)信息安全評估的內(nèi)容，使其獲得報(bào)酬的變量和風(fēng)險(xiǎn)密切關(guān)聯(lián)于企業(yè)會計(jì)信息安全。這樣就可以保證企業(yè)員工在會計(jì)信息安全管控制度的執(zhí)行方面上，能夠基于企業(yè)的長期利益，而不是其個(gè)人利益，進(jìn)而實(shí)現(xiàn)既有會計(jì)信息安全制度的有效執(zhí)行。

四、結(jié)束語

企業(yè)會計(jì)信息安全對企業(yè)生產(chǎn)經(jīng)營活動的可持續(xù)發(fā)展以及對市場經(jīng)濟(jì)的建立健全等方面的作用是不容置疑的。但是，也要看到我國關(guān)于企業(yè)會計(jì)信息安全乃至整個(gè)企業(yè)信息安全管控實(shí)踐和研究的起步較晚，與發(fā)達(dá)市場經(jīng)濟(jì)國家在初始條件和實(shí)踐能力方面還存在一定程度的差距。這是我國企業(yè)在進(jìn)行會計(jì)信息安全管控時(shí)所必須要考慮到的一個(gè)基本現(xiàn)實(shí)。因此，本文認(rèn)為企業(yè)會計(jì)信息化安全管控，既是一個(gè)不斷發(fā)現(xiàn)問題和解決問題的過程，也是一個(gè)不斷迎接挑戰(zhàn)和接受沖擊的過程。

參考文獻(xiàn)：

[1]張紅旗，王新昌，楊英杰等.信息安全管理[M].北京：人民郵電出版社，2007.

[2]胡英松.信息化會計(jì)信息安全問題研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)（社會科學(xué)版），2009，（4）：83-85.

[3]ISO.ISO/IEC27002：2005[EB/OL].[2015-08-17].https：///obp/ui/#iso：std：iso-iec：27002：ed-1：v1：en.

[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online，http：//csrc.nist.ov/publications/history/dod85.pdf

[5]梅雨.企業(yè)財(cái)務(wù)監(jiān)控問題解析[J].中國管理信息化，2009，（9）：48-50.

[6]Schultz E.The Human Factor in Security[J].Computers and Security，2005，24（6）：425-426.

企業(yè)信息安全應(yīng)急預(yù)案范文2

關(guān)鍵詞 電力企業(yè)；信息系統(tǒng)；信息安全

中圖分類號 TP 文獻(xiàn)標(biāo)識碼 A 文章編號 1673-9671-(2011)122-0116-01

電力作為國民經(jīng)濟(jì)的基礎(chǔ)設(shè)施行業(yè)，在國內(nèi)較早開始了信息化建設(shè)工作。企業(yè)門戶、安全生產(chǎn)、營銷管理、協(xié)同辦公、電力負(fù)荷控制、客戶服務(wù)等信息網(wǎng)絡(luò)技術(shù)已經(jīng)成功應(yīng)用到各級電力企業(yè)。隨著電力信息化建沒和應(yīng)用的快速發(fā)展，信息安全問題已日益突出，并成為國家安全戰(zhàn)略的重要組成部分。

研究信息安全技術(shù)，建立電力信息系統(tǒng)的安全防護(hù)體系和安全模型，對確保電力系統(tǒng)安全穩(wěn)定、經(jīng)濟(jì)優(yōu)質(zhì)運(yùn)行，加速實(shí)現(xiàn)“數(shù)字電力系統(tǒng)”的進(jìn)程具有重要的現(xiàn)實(shí)意義。

1 電力信息系統(tǒng)安全需求

一個(gè)全面、合理的電力信息系統(tǒng)安全體系和模型，應(yīng)該滿足下列安全需求。

1）機(jī)密性。即確保信息僅對被授權(quán)者可用。信息的保護(hù)通過確保數(shù)據(jù)被限制于授權(quán)者（這里通過可審性來配合）使用，另外還應(yīng)考慮信息所在的形式和狀態(tài)，是物理的紙面形式、電子文檔形式，還是傳輸中的介質(zhì)形式。

2）完整性。是指數(shù)據(jù)不以未經(jīng)授權(quán)方式進(jìn)行改變或損壞的特性。電力企業(yè)的許多開放系統(tǒng)應(yīng)用都有依賴于數(shù)據(jù)完整性的安全需求。完整性同樣應(yīng)考慮信息所在的形式和形態(tài)。

3）可用性。指確保被授權(quán)用戶在需要時(shí)可以訪問系統(tǒng)中的信息和相關(guān)資產(chǎn)，不會因自然或人為原因使系統(tǒng)中信息的存儲、傳輸或處理延遲，或者系統(tǒng)服務(wù)被破壞、被拒絕達(dá)到不能容忍的程度。

4）可控性。指授權(quán)機(jī)構(gòu)對信息的內(nèi)容及傳播具有控制能力，可以控制授權(quán)訪問內(nèi)的信息流向以及方式。

5）不可抵賴性。也稱信息的可確認(rèn)性，是傳統(tǒng)社會的不可否認(rèn)需求在信息社會的延伸。不可抵賴性包括：證據(jù)的生成、驗(yàn)證和記錄，以及在解決糾紛時(shí)隨即進(jìn)行的證據(jù)恢復(fù)和再次驗(yàn)證。

6）可審性?？蓪徯圆皇切畔⒆陨淼陌踩枨?，不能針對攻擊提供保護(hù)，但具有信息的責(zé)任需求，和他安全需求相結(jié)合使之更加有效。雖然可審性需求會增加系統(tǒng)的復(fù)雜性，降低系統(tǒng)的使用能力。但是其事后可追查這一特性，在電力信息系統(tǒng)安全中是重要的。

以上六個(gè)方面是保證信息系統(tǒng)的信息安全最基本的需求，它們互不能蘊(yùn)含。

2 電力信息系統(tǒng)面臨的威脅和安全風(fēng)險(xiǎn)

電力信息系統(tǒng)安全在過去幾年雖然已經(jīng)取得了長足發(fā)展，但是在信息系統(tǒng)的規(guī)劃、建設(shè)和運(yùn)行維護(hù)過程中需要研究和解決的問題還很多。

1）面臨的威脅電力信息系統(tǒng)面臨的威脅來自各個(gè)方面。歸結(jié)起來主要包括以下幾個(gè)方面：①電力信息系統(tǒng)組件固有的脆弱性和缺陷；②地震、雷擊、洪災(zāi)和火災(zāi)等自然威脅；③意外人為威脅；④惡意人為威脅。

2）電力信息系統(tǒng)存在的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)和信息化應(yīng)用情況及采用的信息技術(shù)密切相關(guān)，電力企業(yè)信息系統(tǒng)面臨的主要風(fēng)險(xiǎn)存在于以下幾個(gè)方面：①計(jì)算機(jī)病毒的威脅最為廣泛；②網(wǎng)絡(luò)中服務(wù)器被黑客攻擊的事件層出不窮；③網(wǎng)絡(luò)安全問題日益突出，這是電力企業(yè)面臨的一個(gè)非常突出的問題；④電力企業(yè)與外單位信息傳遞的安全不容忽視；⑤電力企業(yè)用戶身份認(rèn)證和信息系統(tǒng)的訪問控制急需加強(qiáng)。

3 電力信息系統(tǒng)安全的建設(shè)

為加強(qiáng)和規(guī)范信息安全工作，提高信息系統(tǒng)整體安全防護(hù)水平，實(shí)現(xiàn)信息安全的可控、能控、在控，結(jié)合電力企業(yè)自身的特點(diǎn)，堅(jiān)持“安全第一，防御為主”方針，有目的、合理地設(shè)計(jì)電力信息系統(tǒng)安全體系和模型，建立健全與信息化相適應(yīng)的信息安全保障、監(jiān)督體系，積極防御和綜合防范信息技術(shù)風(fēng)險(xiǎn)。

1）建立信息安全工作機(jī)制。信息系統(tǒng)實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理，明確各單位主要負(fù)責(zé)人是本單位信息系統(tǒng)安全第一責(zé)任人。將信息系統(tǒng)安全納入公司安全管理體系，實(shí)行專業(yè)管理、歸口監(jiān)督，明確責(zé)任人員，提高各級人員的信息安全意識，實(shí)現(xiàn)信息系統(tǒng)安全管理和防御措施落實(shí)到位。

2）明確信息安全管理范圍和任務(wù)。全面加強(qiáng)一體化企業(yè)級信息集成平臺和業(yè)務(wù)應(yīng)用的安全管理，確保信息系統(tǒng)持續(xù)、穩(wěn)定、可靠運(yùn)行。堅(jiān)持“分區(qū)、分級、分域”總體防護(hù)策略，實(shí)行“雙網(wǎng)雙機(jī)”，按照 “三同步”原則，與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)、同步投入

運(yùn)行。

3）完善信息安全管理制度體系。統(tǒng)籌規(guī)劃，突出重點(diǎn)，加快信息安全管理制度和標(biāo)準(zhǔn)規(guī)范建設(shè)步伐，強(qiáng)化信息安全規(guī)章制度落實(shí)工作。嚴(yán)格遵守“不上網(wǎng)、上網(wǎng)不”紀(jì)律，開展網(wǎng)絡(luò)與信息系統(tǒng)定級、審批、備案工作。加強(qiáng)信息系統(tǒng)運(yùn)行維護(hù)全過程管理，不斷完善應(yīng)急預(yù)案。建立備份與恢復(fù)管理相關(guān)安全管理制度。

4）嚴(yán)格執(zhí)行電力二次系統(tǒng)安全防護(hù)規(guī)定。要切實(shí)貫徹落實(shí)電力二次系統(tǒng)安全防護(hù)總體方案及各級調(diào)度中心二次系統(tǒng)安全防護(hù)方案，切實(shí)將其納入電力安全生產(chǎn)管理體系，建立健全電力二次系統(tǒng)安全聯(lián)合防護(hù)和應(yīng)急機(jī)制，制定并完善應(yīng)急預(yù)案。按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基本原則，加強(qiáng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的建設(shè)和安全符理。

5）加快信息安全管控手段建設(shè)。全面推進(jìn)個(gè)人終端標(biāo)準(zhǔn)化建設(shè)工作，實(shí)現(xiàn)個(gè)人終端補(bǔ)丁程序、病毒軟件自動更新、升級，強(qiáng)化防木馬病毒等安全措施。增加信息安全監(jiān)控措施，加快建立信息安全監(jiān)控手段，實(shí)現(xiàn)對防火墻、入侵檢測等安全防護(hù)設(shè)施的集中監(jiān)視和事件預(yù)警。

6）強(qiáng)化信息安全應(yīng)急與通報(bào)工作。不斷完善信息安全應(yīng)急機(jī)制，制定預(yù)案，加強(qiáng)演練。規(guī)范信息安全事件通報(bào)程序，及時(shí)傳達(dá)國家和企業(yè)信息安全運(yùn)行動態(tài)，及時(shí)響應(yīng)和處理信息安全事件，加強(qiáng)事件分析，實(shí)時(shí)安全通告。

7）高度重視信息安全保密工作。嚴(yán)格做到“計(jì)算機(jī)不上網(wǎng)，上網(wǎng)計(jì)算機(jī)不”，禁止內(nèi)容在互聯(lián)網(wǎng)上存儲和交叉使用，加強(qiáng)安全保密管理，嚴(yán)格人員審批，及時(shí)開展信息系統(tǒng)安全保密檢查，做好文檔的登記、存檔、銷毀、定密、解密等各環(huán)節(jié)工作，及時(shí)發(fā)現(xiàn)泄密隱患。

8）提高全員信息安全意識。開展全員信息安全培訓(xùn)，全面樹立決策層、管理層、操作層信息安全風(fēng)險(xiǎn)意識，不斷積累信息安全管理經(jīng)驗(yàn)。開展不同層面的安全教育和培訓(xùn)工作，適應(yīng)信息技術(shù)發(fā)展的潛在

要求。

參考文獻(xiàn)

[1]計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].西安電子科技大學(xué)出版社,2006.

企業(yè)信息安全應(yīng)急預(yù)案范文3

關(guān)鍵詞：信息安全；防護(hù)體系

隨著企業(yè)各個(gè)業(yè)務(wù)系統(tǒng)的深化應(yīng)用，企業(yè)的日常運(yùn)作管理越來越倚重信息化，越來越多的數(shù)據(jù)都存儲在計(jì)算機(jī)上。信息安全防護(hù)變得日益重要，信息安全就是要保證信息系統(tǒng)安全、可靠、持續(xù)運(yùn)行，防范企業(yè)機(jī)密泄露。信息安全包括的內(nèi)容很多，包括主機(jī)系統(tǒng)安全、網(wǎng)絡(luò)安全、防病毒、安全加密、應(yīng)用軟件安全等方面。其中任何一個(gè)安全漏洞便可以威脅全局。隨著信息化建設(shè)地不斷深入和發(fā)展，數(shù)據(jù)通信網(wǎng)改造后，市縣信息網(wǎng)絡(luò)一體化相互融合，安全防護(hù)工作尤顯重要。如何保障縣公司信息網(wǎng)絡(luò)安全成為重要課題。信息安全健康率主要由兩方面體現(xiàn)，一是提升安全防護(hù)技術(shù)手段，二是完善安全管理體系。安全防護(hù)技術(shù)手段主要側(cè)重于安全設(shè)備的應(yīng)用、防病毒軟件的部署、安全策略的制定、桌面終端的監(jiān)管、安全移動介質(zhì)、主機(jī)加固和雙網(wǎng)雙機(jī)等方面，安全管理則側(cè)重于信息安全目標(biāo)的建立、制度的建設(shè)、人員及崗位的規(guī)范、標(biāo)準(zhǔn)流程的制定、安全工作記錄、信息安全宣傳等方面[1]。因此，企業(yè)要提升信息安全，必須從管理機(jī)制、技術(shù)防護(hù)、監(jiān)督檢查、風(fēng)險(xiǎn)管控等方面入手，并行采取多種措施，嚴(yán)密部署縣公司信息安全防護(hù)體系，確保企業(yè)信息系統(tǒng)及網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，主要體現(xiàn)在以下幾方面：

1機(jī)制建立是關(guān)鍵

企業(yè)信息安全防護(hù)“七分靠管理，三分靠技術(shù)”，沒有嚴(yán)謹(jǐn)?shù)墓芾頇C(jī)制，安全工作是一紙空談，因此，做好防護(hù)工作必須先建立管理體系。一是完善組織機(jī)制。在企業(yè)信息安全工作領(lǐng)導(dǎo)小組之下，設(shè)立縣公司數(shù)據(jù)通信網(wǎng)安全防護(hù)工作組，由信通管理部門歸口負(fù)責(zé)日常工作，落實(shí)信息安全各級責(zé)任。將信息安全納入縣公司安全生產(chǎn)體系，進(jìn)而明確信息安全保障管理和監(jiān)督部門的職責(zé)。建立健全信息安全管理等規(guī)章制度，加強(qiáng)信息安全規(guī)范化管理。二是強(qiáng)化培訓(xùn)機(jī)制。根據(jù)近年來信息安全的研究，企業(yè)最大信息安全的威脅來自于內(nèi)部，因此，企業(yè)應(yīng)以“時(shí)時(shí)講信息安全，人人重信息安全，人人懂信息安全”為目標(biāo)，開展“教育培訓(xùn)常態(tài)化、形式內(nèi)容多樣化、培訓(xùn)范圍全員化、內(nèi)容難度層次化”培訓(xùn)工作，為信息安全工作開展提供充分的智力保障。企業(yè)應(yīng)充分利用網(wǎng)絡(luò)大學(xué)、企業(yè)門戶、即時(shí)通訊等媒介，充實(shí)信息安全內(nèi)容，營造信息安全氛圍，進(jìn)而強(qiáng)化全員信息安全意識。三是建立應(yīng)急機(jī)制。完善反應(yīng)靈敏、協(xié)調(diào)有力的信息安全應(yīng)急協(xié)調(diào)機(jī)制，修訂完善縣公司數(shù)據(jù)網(wǎng)現(xiàn)場應(yīng)急處置預(yù)案，加強(qiáng)演練。嚴(yán)格執(zhí)行特殊時(shí)期領(lǐng)導(dǎo)帶班和骨干技術(shù)人員值班制度，進(jìn)一步暢通安全事件通報(bào)渠道，規(guī)范信息安全事件通報(bào)程序，做好應(yīng)急搶修人員、物資和車輛準(zhǔn)備工作，及時(shí)響應(yīng)和處理縣公司信息安全事件。重點(diǎn)落實(shí)應(yīng)對光纜中斷、電源失去、設(shè)備故障應(yīng)急保障措施，確保應(yīng)急處置及時(shí)有效。杜絕應(yīng)急預(yù)案編制后束之高閣和敷衍應(yīng)付的行為。

2技術(shù)防護(hù)是基礎(chǔ)

技術(shù)防護(hù)要從基礎(chǔ)管理、邊界防護(hù)、安全加固等方面入手[2]。（1）基礎(chǔ)管理方面。一是技術(shù)資料由專人負(fù)責(zé)組織歸類、整理，設(shè)備或接線如有變化，其圖紙、模擬圖板、設(shè)備臺帳和技術(shù)檔案等均應(yīng)及時(shí)進(jìn)行修正。二是將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識，屏（柜）前后屏眉有信息專業(yè)統(tǒng)一規(guī)范的名稱。三是設(shè)備自安裝運(yùn)行之日起建立單獨(dú)的設(shè)備檔案，有月度及年度檢修計(jì)劃并按計(jì)劃進(jìn)行檢修，檢修記錄完整。所有設(shè)備的調(diào)試、修復(fù)、移動及任一信息線或網(wǎng)絡(luò)線的拔插和所有設(shè)備的開關(guān)動作，都按有關(guān)程序嚴(yán)格執(zhí)行，并在相應(yīng)的設(shè)備檔案中做好記錄。四是加強(qiáng)運(yùn)行值班監(jiān)視和即時(shí)報(bào)告，確保系統(tǒng)缺陷和異常及時(shí)發(fā)現(xiàn)，及時(shí)消除。（2）安全隔離方面。安全隔離與信息交換系統(tǒng)（網(wǎng)閘）由內(nèi)、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機(jī)間按照指定的周期進(jìn)行安全數(shù)據(jù)的擺渡，從而在保證內(nèi)外網(wǎng)隔離的情況下，實(shí)現(xiàn)可靠、高效的安全數(shù)據(jù)交換，而所有這些復(fù)雜的操作均由隔離系統(tǒng)自動完成，用戶只需依據(jù)自身業(yè)務(wù)特點(diǎn)定制合適的安全策略，既可以實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)進(jìn)行安全數(shù)據(jù)通信，在保障用戶信息系統(tǒng)安全性的同時(shí)，最大限度保證客戶應(yīng)用的方便性。（3）邊界防護(hù)方面。一是部署防火墻，做好網(wǎng)絡(luò)隔離。在路由器與核心交換機(jī)之間配置防火墻，并設(shè)置詳細(xì)的安全防護(hù)策略。防火墻總體策略應(yīng)是白名單防護(hù)策略（即整體禁止，根據(jù)需要開放白名單中地址）。將內(nèi)部區(qū)域（下聯(lián)口）權(quán)限設(shè)置為禁止、外部區(qū)域（上聯(lián)口）權(quán)限設(shè)置為允許。定義防火墻管理地址范圍，針對PING、Webui、Gui三種服務(wù)進(jìn)行設(shè)置：只允許特定管理員地址遠(yuǎn)程管理。二是嚴(yán)格執(zhí)行防火墻策略調(diào)整審批程序，需要進(jìn)行策略調(diào)整的相關(guān)單位，必須填寫申請單，且必須符合相關(guān)安全要求，經(jīng)審批后進(jìn)行策略調(diào)整。三是嚴(yán)禁無線設(shè)備接入。（4）安全加固方面。一是應(yīng)以最小權(quán)限原則為每個(gè)帳號分配其必須的角色、系統(tǒng)權(quán)限、對象權(quán)限和語句權(quán)限，刪除系統(tǒng)多余用戶，避免使用弱口令。二是安裝系統(tǒng)安全補(bǔ)丁，對掃描或手工檢查發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行修補(bǔ)。三是關(guān)閉網(wǎng)絡(luò)設(shè)備中不安全的服務(wù)，確保網(wǎng)絡(luò)設(shè)備只開啟承載業(yè)務(wù)所必需的網(wǎng)絡(luò)服務(wù)。四是配置網(wǎng)絡(luò)設(shè)備的安全審計(jì)功能和訪問控制策略。五是開展風(fēng)險(xiǎn)評估工作中，認(rèn)真分析網(wǎng)絡(luò)與信息系統(tǒng)安全潛在威脅、薄弱環(huán)節(jié)，綜合運(yùn)用評估工具，在常規(guī)評估內(nèi)容基礎(chǔ)上，加強(qiáng)滲透性驗(yàn)證測試和密碼脆弱性測試，重視對系統(tǒng)結(jié)構(gòu)與配置的安全評估。根據(jù)評估結(jié)果，及時(shí)提出并落實(shí)整改方案，實(shí)施安全加固措施。

3監(jiān)督檢查是保障

全面落實(shí)“按制度辦事，讓標(biāo)準(zhǔn)說話”的信息安全管理準(zhǔn)則，在企業(yè)指導(dǎo)下，由縣公司信通專業(yè)牽頭，業(yè)務(wù)部門主導(dǎo)，分工協(xié)作建立督查機(jī)制，加強(qiáng)過程安全管控與全方位安全監(jiān)測，推進(jìn)安全督查隊(duì)伍一體化管理，完善督查流程和標(biāo)準(zhǔn)，開展好安全督查工作，以監(jiān)督促進(jìn)安全提升。一是全面提升責(zé)任部門安全人員專業(yè)技術(shù)水平，加強(qiáng)督查隊(duì)伍建設(shè)。二是完善督查機(jī)制，對督查中發(fā)現(xiàn)的問題督促落實(shí)整改，并開展分析總結(jié)，通報(bào)相關(guān)情況。三是開展常態(tài)督查，通過軟件掃描、終端監(jiān)測等手段，確保監(jiān)測全方位。四是加強(qiáng)考核，開展指標(biāo)評價(jià)。保障督查管理水平和工作質(zhì)量。

險(xiǎn)管控是對策

為確保公司信息化網(wǎng)絡(luò)安全，公司要將被動的事件驅(qū)動型管理模式轉(zhuǎn)變?yōu)橹鲃拥娘L(fēng)險(xiǎn)管控模式，主動地對威脅和風(fēng)險(xiǎn)進(jìn)行評估，主動地采取風(fēng)險(xiǎn)處置措施。通過資源的調(diào)控實(shí)現(xiàn)對信息安全工作的調(diào)控。公司應(yīng)在信息安全治理過程中大量借鑒管理學(xué)方法，進(jìn)行動態(tài)的控制和治理，通過治理的流程控制措施進(jìn)行資源的調(diào)配，實(shí)現(xiàn)對關(guān)鍵項(xiàng)目、關(guān)鍵技術(shù)、關(guān)鍵措施的扶持，對非關(guān)鍵活動的控制，確保公司信息化網(wǎng)絡(luò)安全。數(shù)據(jù)通信網(wǎng)升級改造為企業(yè)信息化發(fā)展擴(kuò)展了領(lǐng)域，同時(shí)，對信息安全工作提出了新的課題和更高的要求。本文通過分析企業(yè)信息化安全管理過程中的一些薄弱環(huán)節(jié)，提出了安全防護(hù)經(jīng)驗(yàn)的措施，從管理機(jī)制、技術(shù)防護(hù)、監(jiān)督檢查、風(fēng)險(xiǎn)管控等方面入手，提高了縣公司全體人員信息化安全意識，極大地保障了企業(yè)系統(tǒng)（含縣公司）信息網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運(yùn)行，完善了縣公司信息安全策略及總體防護(hù)體系，密織信息安全防護(hù)網(wǎng)，保障數(shù)據(jù)網(wǎng)不失密、不泄密，不發(fā)生信息安全事件。公司下一步將加強(qiáng)信息化常態(tài)安全巡檢，加強(qiáng)信息化相關(guān)資料的管理，加強(qiáng)單位干部員工的信息化安全培訓(xùn)力度，進(jìn)一步完善信息安全策略及總體防護(hù)體系。提高全體人員信息化安全意識，保障信息化網(wǎng)絡(luò)安全。企業(yè)信息安全建設(shè)是一項(xiàng)復(fù)雜的綜合系統(tǒng)工程，涵蓋了公司員工、技術(shù)、管理等多方面因素。企業(yè)要實(shí)現(xiàn)信息安全，必須加強(qiáng)安全意識培訓(xùn)，制定明確的規(guī)章制度，綜合各項(xiàng)信息安全技術(shù)，建立完善的信息安全管理體系，并將信息安全管理始終貫徹落實(shí)于企業(yè)各項(xiàng)活動的方方面面，做到管理和技術(shù)并重，形成一套完善的信息安全防護(hù)體系。

參考文獻(xiàn)：

[1]馬貴峰,馬巨革.構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)體系的思路及方法——淺談網(wǎng)絡(luò)信息安全的重要發(fā)展方向[J].信息系統(tǒng)工程,2010(6).

企業(yè)信息安全應(yīng)急預(yù)案范文4

(一)信息安全組織臨時(shí)化

通常,制造型企業(yè)只有在發(fā)生了信息泄露、病毒攻擊、系統(tǒng)破壞等信息安全事件時(shí),才會臨時(shí)從信息技術(shù)部和業(yè)務(wù)部門抽調(diào)人手處理和解決信息安全事件.出現(xiàn)新的信息安全要求時(shí),才會臨時(shí)組建項(xiàng)目小組,根據(jù)新的信息安全要求制定解決方案并實(shí)施計(jì)劃,項(xiàng)目完成后,臨時(shí)小組就會解散,沒有人會繼續(xù)跟進(jìn)和執(zhí)行解決方案.由于沒有定期的信息安全評估,安全計(jì)劃不斷地重復(fù)開始和結(jié)束,帶來大量的人財(cái)物重復(fù)投入,這將導(dǎo)致安全計(jì)劃成本不斷增加,企業(yè)的工作效率不斷降低,信息安全防護(hù)也未得到有效提升.

(二)員工上網(wǎng)無限制

雖然制造型企業(yè)為員工上網(wǎng)提供了用戶名及密碼,并且對其登錄的網(wǎng)站進(jìn)行了監(jiān)測,但是員工在工作時(shí)間還是可以無設(shè)防地利用外網(wǎng)進(jìn)行網(wǎng)頁游覽、網(wǎng)絡(luò)社交等行為,并且使用一些網(wǎng)站的免費(fèi)郵箱隨意地接收和發(fā)送電子郵件,這些給黑客、病毒、釣魚軟件等創(chuàng)造了對企業(yè)內(nèi)部網(wǎng)絡(luò)攻擊的機(jī)會.于是,員工在不了解原因的情況下,使得企業(yè)的信息被泄露或者內(nèi)部網(wǎng)絡(luò)癱瘓,從而影響企業(yè)的正常工作,造成企業(yè)資產(chǎn)的損失.

(三)個(gè)人移動設(shè)備(BYOD)使用泛濫

在制造型企業(yè)的辦公場合,員工會攜帶個(gè)人移動設(shè)備(BYOD)如筆記本電腦、平板電腦、智能手機(jī)、移動硬盤等進(jìn)行辦公.企業(yè)員工可以較為隨意地使用這些移動存儲設(shè)備對內(nèi)部文件進(jìn)行拷貝,并且可以使用移動設(shè)備接入企業(yè)內(nèi)網(wǎng)的無線WiGFi,并擁有一定程度的內(nèi)網(wǎng)數(shù)據(jù)讀取權(quán)限,這樣做雖然節(jié)約了企業(yè)的辦公成本,提高了辦公的效率,但是也增加了企業(yè)內(nèi)網(wǎng)病毒感染及遭受黑客惡意入侵的風(fēng)險(xiǎn).

(四)信息安全防護(hù)水平有限

出于性能、技術(shù)等因素的考慮,加之國內(nèi)自主研發(fā)的信息安全產(chǎn)品較少,目前進(jìn)口的信息安全產(chǎn)品受到許多制造型企業(yè)的廣泛采用.盡管這些企業(yè)的信息安全需求以此得到了滿足,但近幾年來,進(jìn)口產(chǎn)品設(shè)備故障的頻繁發(fā)生也對制造型企業(yè)的業(yè)務(wù)帶來了不同程度的影響.同時(shí),進(jìn)口信息安全產(chǎn)品已經(jīng)占據(jù)了這些企業(yè)信息系統(tǒng)的關(guān)鍵節(jié)點(diǎn),這使得企業(yè)的商業(yè)機(jī)密時(shí)刻處于高危狀態(tài).不僅如此,部分制造型企業(yè)仍舊停留在使用免費(fèi)的個(gè)人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統(tǒng)一的管理平臺對企業(yè)內(nèi)網(wǎng)的安全系統(tǒng)進(jìn)行統(tǒng)一的升級與維護(hù).另外,信息安全產(chǎn)品在企業(yè)內(nèi)的無序堆疊不僅使得各安全產(chǎn)品存在兼容性問題,同時(shí)也使得各產(chǎn)品廠商只能提供與自己產(chǎn)品有關(guān)的技術(shù)支持,導(dǎo)致企業(yè)對問題很難進(jìn)行跟蹤和排查.最后,企業(yè)電腦終端上的防毒程序未開啟或者未升級至最新版本,以及系統(tǒng)漏洞修補(bǔ)的不及時(shí)都造成了多病毒大面積入侵企業(yè)內(nèi)網(wǎng).

(五)信息安全事件處理不及時(shí)

制造型企業(yè)在發(fā)生信息安全事件時(shí),即使有相關(guān)的信息安全管理產(chǎn)品,但無法迅速定位安全事件,更無法快速進(jìn)行安全事件響應(yīng)處理,常處于混亂、無序的運(yùn)維管理狀態(tài).由于企業(yè)的安全管理人員無法全面了解整個(gè)企業(yè)網(wǎng)絡(luò)中正在發(fā)生的內(nèi)部越權(quán)訪問和外部攻擊,出現(xiàn)問題時(shí),他們多表現(xiàn)得無從下手或者手忙腳亂.而且,企業(yè)各部門各自為政,對發(fā)生信息安全事件無法進(jìn)行統(tǒng)一規(guī)范的快速處理.

二、制造型企業(yè)信息安全薄弱的原因

(一)員工信息安全意識淡薄

制造型企業(yè)員工信息安全意識比較淡薄,主要表現(xiàn)為企業(yè)管理層沒有充分認(rèn)識到信息安全的重要性,沒有將信息安全管理工作與企業(yè)生產(chǎn)安全管理工作放在同等重要的高度來對待,更沒有把它作為日常管理工作的一部分.管理層之所以沒有信息安全意識主要是因?yàn)樾畔踩粫苯訛槠髽I(yè)帶來經(jīng)濟(jì)效益,反而需要投入大量的時(shí)間和資源,尤其是對于受部門業(yè)績壓力和資源限制的業(yè)務(wù)部門來說,他們不愿意把時(shí)間和資源放在信息安全防護(hù)工作上,并且他們還認(rèn)為不采取安全防護(hù)措施不一定會造成損失.普通員工則表現(xiàn)在他們不了解什么信息安全,不知道遵守和執(zhí)行信息安全制度對自己及企業(yè)帶來的影響,缺少必要的信息安全教育與培訓(xùn),有意或無意地導(dǎo)致信息安全事件的發(fā)生.

(二)信息安全技術(shù)體系不完善

信息安全防護(hù)水平受到限制除了受上述因素影響外,還有就是沒有完善的物理安全、運(yùn)行安全和數(shù)據(jù)安全相統(tǒng)一的信息安全技術(shù)體系,具體體現(xiàn)在企業(yè)使用的軟件設(shè)計(jì)存在缺陷或者技術(shù)漏洞、殺毒軟件不及時(shí)更新;信息系統(tǒng)設(shè)計(jì)沒有以風(fēng)險(xiǎn)評估為基礎(chǔ)、業(yè)務(wù)流程描述錯(cuò)誤或漏洞、數(shù)據(jù)訪問權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒有備份等因素;物理安全邊界不明確、設(shè)備或存儲介質(zhì)缺乏安全措施、電纜損壞、不可抗力的自然災(zāi)害等.

(三)信息安全事件應(yīng)急響應(yīng)機(jī)制缺失

信息安全事件處理不及時(shí)很大程度上是因?yàn)闆]有建立信息安全事件應(yīng)急響應(yīng)機(jī)制.制造型企業(yè)沒有對信息安全事件進(jìn)行分級響應(yīng)與處置,也沒有結(jié)合企業(yè)的實(shí)際情況通過預(yù)測、評估和分析安全事件對企業(yè)造成的后果程度進(jìn)行等級劃分,并針對不同的安全事件制定相應(yīng)的應(yīng)急預(yù)案.同時(shí),大部分制造型企業(yè)在處理信息安全事件時(shí)更多依靠的是人的經(jīng)驗(yàn)和責(zé)任心,缺少標(biāo)準(zhǔn)化的信息安全事件處理流程,以及必要的審核和工具支撐.

三、改進(jìn)制造型企業(yè)信息安全的對策

通過上述分析可知,信息安全問題不僅出現(xiàn)在技術(shù)方面,還更多地出現(xiàn)在管理方面.因此,為了保障企業(yè)的業(yè)務(wù)持續(xù)運(yùn)行,加強(qiáng)企業(yè)的股東、客戶以及服務(wù)提供商對企業(yè)信息安全的信任,增強(qiáng)企業(yè)的核心競爭能力,制造型企業(yè)可以將管理、技術(shù)和運(yùn)維三方面有效地結(jié)合起來,促進(jìn)企業(yè)的可持續(xù)發(fā)展.

(一)建立健全的信息安全組織層級結(jié)構(gòu)

企業(yè)信息安全組織架構(gòu)的建立是圍繞企業(yè)信息安全管理的戰(zhàn)略目標(biāo),對企業(yè)的信息資源、人力資源、安全技術(shù)產(chǎn)品等進(jìn)行合理安排和配置,構(gòu)成相互協(xié)作的有機(jī)整體,使企業(yè)的信息安全活動協(xié)調(diào)有效地運(yùn)行.制造型企業(yè)通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執(zhí)行部的層級結(jié)構(gòu),不僅能在企業(yè)中形成一張網(wǎng),覆蓋企業(yè)的各個(gè)部門,有利于信息安全措施的實(shí)施和針對信息安全事件的快速響應(yīng),而且還能為后續(xù)建立信息安全管理體系提供組織上的保證.信息安全決策委員會主要負(fù)責(zé)制定信息安全制度和策略、明確各部門信息安全職責(zé)、協(xié)調(diào)各部門實(shí)施信息安全控制措施以及信息安全活動的實(shí)施等.信息安全工作部由各部門負(fù)責(zé)信息安全管理的工作人員構(gòu)成,實(shí)施決策委員會制定的信息安全策略、制度和方針,并負(fù)責(zé)各部門的信息安全管理工作.信息安全執(zhí)行部具體有三個(gè)部門,即信息安全規(guī)劃部、信息安全監(jiān)督審計(jì)部、信息安全運(yùn)行保障部,并且由各部門進(jìn)行業(yè)務(wù)支撐。

(二)加強(qiáng)人員教育培訓(xùn)和規(guī)范管理

信息安全最大的威脅不是來自于企業(yè)外部的攻擊或是企業(yè)信息安全技術(shù)的缺陷,而是企業(yè)人員缺乏信息安全意識.為了能夠有效地提高企業(yè)員工的信息安全意識,企業(yè)需要對員工進(jìn)行完善的信息安全教育培訓(xùn),這不僅能提高員工的信息安全保護(hù)技能,還能更好地保護(hù)企業(yè)的信息安全.制造型企業(yè)在制定信息安全教育培訓(xùn)內(nèi)容時(shí),可以根據(jù)員工在企業(yè)中所處的職位高低和工作性質(zhì)的不同有針對性地制定.對于企業(yè)管理者而言,教育培訓(xùn)以信息安全核心知識、風(fēng)險(xiǎn)管理、信息安全政策等為主;企業(yè)的信息技術(shù)人員,則是以信息安全技術(shù)教育培訓(xùn)為主;一般員工結(jié)合所在部門的業(yè)務(wù)特點(diǎn)以信息安全意識培訓(xùn)為主.除了對企業(yè)的人員進(jìn)行教育培訓(xùn),還需對其進(jìn)行規(guī)范化管理.對掌握產(chǎn)品生產(chǎn)、原材料采購等核心信息的管理者實(shí)施更加嚴(yán)格的信息安全監(jiān)督管理制度;對負(fù)責(zé)計(jì)算機(jī)系統(tǒng)及日常維護(hù)的人員界定其工作權(quán)限;規(guī)范化管理員工的上網(wǎng)行為,合理利用網(wǎng)絡(luò)資源,避免人為的網(wǎng)絡(luò)安全隱患.同時(shí)在規(guī)范管理中引入績效考核機(jī)制,這樣不僅使信息安全管理的指標(biāo)量化,而且,通過信息安全監(jiān)督審計(jì)工作組對員工信息安全工作進(jìn)行考核,使員工更加重視企業(yè)信息安全.因此,加強(qiáng)企業(yè)員工的教育培訓(xùn)和規(guī)范化管理,不僅可以營造企業(yè)信息安全文化氛圍,還可以約束員工的行為,減少人為因素導(dǎo)致的信息安全事件發(fā)生.

(三)完善信息安全技術(shù)體系

信息安全技術(shù)是企業(yè)信息安全的保障,完善的信息安全技術(shù)體系可以防止由于技術(shù)因素導(dǎo)致的信息安全漏洞,避免給外部攻擊者留下可乘之機(jī),從而減少技術(shù)因素導(dǎo)致的信息安全事件發(fā)生.制造型企業(yè)需從以下六個(gè)方面去建立完善的信息安全技術(shù)體系,并采用“適度防御”的原則,選擇合適的安全技術(shù)與產(chǎn)品,形成企業(yè)適用的安全技術(shù)防線.一是保障并完善數(shù)據(jù)安全,制造型企業(yè)需通過加密的手段保護(hù)企業(yè)系統(tǒng)中數(shù)據(jù)的機(jī)密性和完整性,從而提高數(shù)據(jù)訪問的抗抵賴性,同時(shí)加強(qiáng)數(shù)據(jù)的異地災(zāi)難恢復(fù)機(jī)制,實(shí)現(xiàn)本地?cái)?shù)據(jù)的實(shí)時(shí)遠(yuǎn)程復(fù)制與備份,避免本地系統(tǒng)遭受災(zāi)難性破壞導(dǎo)致企業(yè)系統(tǒng)中數(shù)據(jù)的遺失.二是保障并完善終端安全,制造型企業(yè)除了要采用全面可靠的防病毒體系和防火墻技術(shù)外,還需制定嚴(yán)格的移動終端設(shè)備使用制度,一方面是為了避免內(nèi)部員工利用移動終端設(shè)備隨意拷貝企業(yè)內(nèi)部文件,導(dǎo)致企業(yè)內(nèi)部信息向外泄露,另一方面是為了防止移動終端設(shè)備攜帶的病毒漏過企業(yè)系統(tǒng)設(shè)置的防火墻而直接在系統(tǒng)內(nèi)部傳播.三是保障和完善應(yīng)用安全,除了提供用戶名和口令外其他身份驗(yàn)證機(jī)制,必要時(shí)還需支持雙因素認(rèn)證和具備登錄控制模塊,同時(shí)在日常工作不受影響的情況下,控制員工訪問權(quán)限,減少越權(quán)操作的現(xiàn)象,最大限度地保障個(gè)人系統(tǒng)的安全.四是保障和完善網(wǎng)絡(luò)安全,制造型企業(yè)還需通過內(nèi)外部署相應(yīng)的網(wǎng)絡(luò)與信息安全設(shè)施使計(jì)算機(jī)設(shè)備的物理管理得到加強(qiáng),并對入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)進(jìn)行內(nèi)外部攻擊和誤操作的實(shí)時(shí)保護(hù)的安全設(shè)計(jì),使系統(tǒng)免于網(wǎng)絡(luò)攻擊的同時(shí),也提升了系統(tǒng)管理人員的安全管理水平.五是保障主機(jī)安全,除了采用系統(tǒng)掃描技術(shù)對操作系統(tǒng)層設(shè)備和系統(tǒng)進(jìn)行智能化檢測來幫助網(wǎng)絡(luò)管理人員高效地完成定期檢測和操作系統(tǒng)安全漏洞修復(fù)的工作,還應(yīng)采用系統(tǒng)實(shí)時(shí)入侵探測技術(shù)來監(jiān)控主機(jī)系統(tǒng)事件,檢測攻擊的可疑特征,并給予響應(yīng)和處理.六是保證物理安全,制造型企業(yè)需要保證機(jī)房與設(shè)施的安全,針對環(huán)境的物理災(zāi)害、自然災(zāi)害和人為的蓄意破壞采取安全措施,并通過防盜、防毀、防電磁干擾來保證設(shè)備的安全.

(四)建立信息安全事件應(yīng)急響應(yīng)機(jī)制

企業(yè)信息安全應(yīng)急預(yù)案范文5

關(guān)鍵詞：電力；信息；安全；風(fēng)險(xiǎn)；研究

一、電力信息安全風(fēng)險(xiǎn)分析

信息安全風(fēng)險(xiǎn)不僅和信息化應(yīng)用情況有密切關(guān)系，和采用的信息技術(shù)也密切相關(guān)。目前電力生產(chǎn)、經(jīng)營管理等活動已經(jīng)離不開信息系統(tǒng)，但高技術(shù)在帶來便利與效率的同時(shí)，也帶來了新的安全風(fēng)險(xiǎn)和問題。圖一所列的就是電力信息安全所面臨的主要威脅：

圖一 信息安全威脅歸類

1.計(jì)算機(jī)病毒的威脅

計(jì)算機(jī)病毒是目前信息安全中最嚴(yán)重的威脅，它發(fā)生的頻度大，影響的面廣，并且能對信息網(wǎng)絡(luò)造成極大的破壞。在當(dāng)前的網(wǎng)絡(luò)條件下，計(jì)算機(jī)病毒的傳播迅速，若一臺計(jì)算機(jī)感染病毒，在一兩天甚至幾小時(shí)內(nèi)可以感染到系統(tǒng)內(nèi)所有的計(jì)算機(jī)，使網(wǎng)絡(luò)通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，最后導(dǎo)致系統(tǒng)根本無法提供服務(wù)。

2.各個(gè)信息系統(tǒng)之間的互聯(lián)以及外聯(lián)的安全隱患

電力信息系統(tǒng)有發(fā)電信息網(wǎng)、供電信息網(wǎng)、電網(wǎng)調(diào)度自動化系統(tǒng)、管理信息系統(tǒng)（MIS）、辦公自動化系統(tǒng)、財(cái)務(wù)管理信息系統(tǒng)、客戶服務(wù)支持系統(tǒng)、遠(yuǎn)程教育培訓(xùn)系統(tǒng)、ERP系統(tǒng)等應(yīng)用信息系統(tǒng)。他們之間的互聯(lián)是必不可少的。

3.來自身份鑒別的安全隱患

當(dāng)前電力系統(tǒng)擁有的眾多信息系統(tǒng)一般為特定范圍的用戶使用，所包含的信息和數(shù)據(jù)也只對一定范圍的用戶開放，沒有得到授權(quán)的用戶不能訪問。各個(gè)信息系統(tǒng)中都設(shè)計(jì)了用戶管理模塊，該模塊具有建立用戶、設(shè)置權(quán)限、管理和控制用戶對本信息系統(tǒng)資源的訪問的功能。這些措施在一定程度上能夠加強(qiáng)系統(tǒng)的安全性，但在實(shí)際應(yīng)用中仍然存在撥號號碼、用戶名和密碼等資料有可能外泄；靜態(tài)用戶名和密碼容易被黑客試探猜出的隱患。

4.企業(yè)內(nèi)系統(tǒng)漏洞和使用非法工具的安全隱患

目前電力信息系統(tǒng)擁有大量用戶，其中個(gè)別用戶出于好奇的心理或者蓄意破壞的動機(jī)，利用系統(tǒng)漏洞和非法工具，對網(wǎng)絡(luò)上連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵、攻擊等行為，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)等。因此如何杜絕系統(tǒng)漏洞和防止使用非法工具，保護(hù)網(wǎng)上的信息系統(tǒng)和信息資源的安全，保證對網(wǎng)絡(luò)和信息資源的合法使用，是電力面臨的另一個(gè)非常突出的安全性問題。

二、信息安全事件發(fā)生原因分析

針對電力系統(tǒng)以往發(fā)生的信息安全事件，分析發(fā)生原因，主要有以下幾方面因素：

1.信息安全防護(hù)意識不強(qiáng)，思想麻痹，沒有重視內(nèi)外黑客入侵將造成的嚴(yán)重后果而舍不得或不知道要投入必要的人力、物力、財(cái)力來加強(qiáng)信息的安全防護(hù)。

2.信息技術(shù)人員總體業(yè)務(wù)水平較低，缺少必要的技術(shù)培訓(xùn)，跟不上信息技術(shù)快速發(fā)展的要求。

3.缺乏先進(jìn)可靠的信息安全技術(shù)、工具和產(chǎn)品。

4.對重要系統(tǒng)缺少應(yīng)急預(yù)案，并缺乏防事故演練；大多數(shù)縣局缺乏可靠的系統(tǒng)備份、恢復(fù)技術(shù)和工具。

5.重信息化建設(shè)，輕信息化管理。

三、加強(qiáng)電力信息安全的對策

1.針對計(jì)算機(jī)防病毒的安全對策

計(jì)算機(jī)防病毒系統(tǒng)是發(fā)展時(shí)間最長的信息安全技術(shù)，技術(shù)成熟且應(yīng)用效果非常明顯。電力目前已統(tǒng)一安裝了企業(yè)版Norton防病毒系統(tǒng)，架設(shè)了微軟SUS打補(bǔ)丁服務(wù)系統(tǒng)，能夠提供系統(tǒng)集中管理、服務(wù)器自動升級、客戶端自動更新等功能。

2.對各個(gè)信息系統(tǒng)之間的互聯(lián)以及外聯(lián)網(wǎng)絡(luò)安全對策

目前電力信息網(wǎng)絡(luò)在與外單位、系統(tǒng)單位間、重要服務(wù)器等關(guān)鍵關(guān)口處設(shè)置了防火墻，下一步將考慮逐步實(shí)施漏洞掃描、入侵檢測、網(wǎng)站保護(hù)等安全措施。

3.開展全員信息安全教育和培訓(xùn)活動

開展安全教育和培訓(xùn)應(yīng)該注意安全教育知識的層次性。主管信息安全工作的負(fù)責(zé)人和各級信息安全員，重點(diǎn)要了解和掌握信息安全的整體策略及目標(biāo)、安全管理部門的建立和管理制度的制定等；負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)要充分理解信息安全管理策略，掌握安全管理的基本方法，精通信息系統(tǒng)的安全維護(hù)技術(shù)等；廣大信息系統(tǒng)用戶重點(diǎn)要學(xué)習(xí)各種安全操作流程和行為規(guī)范，了解和掌握與其相關(guān)的信息安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

參考文獻(xiàn)：

[1] 潘明惠,偏瑞琪,李志民,陳學(xué)允. 電力系統(tǒng)信息安全應(yīng)用研究[J]中國電力, 2001,(S1) .

[2] 李文武,王先培,孟波,賀鵬. 電力行業(yè)信息安全體系結(jié)構(gòu)初探[J]中國電力, 2002,(05) .

企業(yè)信息安全應(yīng)急預(yù)案范文6

【關(guān)鍵詞】供電企業(yè)；信息系統(tǒng)安全；強(qiáng)化措施

面對當(dāng)代信息技術(shù)的發(fā)展與社會電力工作的要求，信息技術(shù)已經(jīng)逐漸覆蓋到電力系統(tǒng)的每個(gè)方面，同時(shí)也帶來了許多的安全隱患，時(shí)時(shí)威脅著供電企業(yè)的信息安全。電力是一個(gè)國家的基礎(chǔ)產(chǎn)業(yè)，關(guān)乎每一個(gè)領(lǐng)域，對全國經(jīng)濟(jì)建設(shè)發(fā)展起著決定性的作用。因此，供電企業(yè)的信息技術(shù)安全就顯的尤為重要。本文針對近些年來信息技術(shù)在供電企業(yè)應(yīng)用時(shí)所出現(xiàn)的安全問題進(jìn)行細(xì)致的探究，并且提出了相應(yīng)的防范措施。

1 供電企業(yè)信息化現(xiàn)狀

近些年來，以網(wǎng)絡(luò)、數(shù)據(jù)庫為代表的信息系統(tǒng)技術(shù)已經(jīng)滲透進(jìn)電力生產(chǎn)的每個(gè)環(huán)節(jié)，供電企業(yè)信息化現(xiàn)狀大致可以總結(jié)成以下五個(gè)方面：

（1）電力信息系統(tǒng)基礎(chǔ)設(shè)施已基本完成。電力信息系統(tǒng)以高速電力通訊網(wǎng)為基礎(chǔ)，覆蓋了各個(gè)供電企業(yè)和國家電網(wǎng)。電力信息系統(tǒng)通過發(fā)、輸、配三個(gè)環(huán)節(jié)，以光纖，衛(wèi)星等多種手段代替原有的通信網(wǎng)，覆蓋整個(gè)網(wǎng)絡(luò)。供電企業(yè)還在基礎(chǔ)設(shè)施上不斷創(chuàng)新和完善，用通訊網(wǎng)將各個(gè)公司、區(qū)域的信息系統(tǒng)相互聯(lián)系起來，形成共享網(wǎng)絡(luò)，有利于各個(gè)企業(yè)單位之間的聯(lián)系與資源共享。

（2）處于自主研發(fā)階段。原有的供電企業(yè)信息系統(tǒng)是單純引進(jìn)國際技術(shù)，隨著我國科學(xué)技術(shù)的發(fā)展，我國電力信息技術(shù)已經(jīng)逐漸達(dá)到國際現(xiàn)有的水平。我國自主研發(fā)的系統(tǒng)――能量管理，已經(jīng)在我國供電企業(yè)信息系統(tǒng)中得到了廣泛應(yīng)用。并且不斷推陳出新，為以后的電力信息系統(tǒng)提供基礎(chǔ)。

（3）供電企業(yè)信息安全工作進(jìn)展快速。我國建成了信息系統(tǒng)安全和供電企業(yè)電力系統(tǒng)網(wǎng)絡(luò)管理體系，保證了電力信息安全；建立了相應(yīng)的法律法規(guī)，為供電企業(yè)信息化發(fā)展提供了法律保障；國家大力支持電力信息系統(tǒng)，加快了電力信息系統(tǒng)基礎(chǔ)設(shè)施的建設(shè)；我國電力信息技術(shù)人才的培養(yǎng)，為供電企業(yè)信息系統(tǒng)的進(jìn)步提供了條件。

（4）電力信息系統(tǒng)出現(xiàn)重大轉(zhuǎn)變，為供電企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)與防范提供最要的技術(shù)來源和保障。電力信息系統(tǒng)從出現(xiàn)以來，實(shí)現(xiàn)了從自動化向信息化，從信息資源整合向信息資源利用，從協(xié)助管理向大力發(fā)展生產(chǎn)力三個(gè)方面的轉(zhuǎn)變。

（5）供電企業(yè)與電網(wǎng)企業(yè)共同發(fā)展。電網(wǎng)企業(yè)先實(shí)施了國家的信息化工程，初見成效，這為供電企業(yè)實(shí)施企業(yè)信息系統(tǒng)提供了方向指導(dǎo)。之后，供電企業(yè)與電網(wǎng)企業(yè)共同發(fā)展，在保證供電系統(tǒng)順利的運(yùn)作下，提高效率，降低成本，從而達(dá)到經(jīng)濟(jì)利益最大化，為整個(gè)行業(yè)的發(fā)展，奠定了堅(jiān)實(shí)的基礎(chǔ)。

2 供電企業(yè)信息系統(tǒng)安全的影響因素

隨著網(wǎng)絡(luò)、通信技術(shù)的發(fā)展，供電企業(yè)中信息技術(shù)處理的應(yīng)用系統(tǒng)越來越復(fù)雜，面臨的挑戰(zhàn)也越來越多，類似供電控制系統(tǒng)和網(wǎng)絡(luò)信息的安全性、保險(xiǎn)性、實(shí)時(shí)型都面臨著巨大的考驗(yàn)。以下舉出了供電企業(yè)信息系統(tǒng)安全的幾個(gè)重要的影響因素。

（1）自然及不可抗力因素。自然及不可抗力因素指的是自然災(zāi)害或者突發(fā)事件不可預(yù)期的因素。類似火災(zāi)、地震、雷電等，都會對供電信息系統(tǒng)造成破壞，導(dǎo)致供電系統(tǒng)工作的終止和信息系統(tǒng)數(shù)據(jù)的丟失。

（2）物理方面的風(fēng)險(xiǎn)。物理方面的風(fēng)險(xiǎn)指的是在信息系統(tǒng)技術(shù)應(yīng)用的過程中所使用的設(shè)備的風(fēng)險(xiǎn)。供電企業(yè)在信息系統(tǒng)運(yùn)行的過程中，需要用到交換機(jī)，路由器，工作站等設(shè)備，而這些設(shè)備在人為因素或者自然因素的條件下，很容易損壞或者報(bào)廢，斷電或者使原有的信息丟失，從而導(dǎo)致整個(gè)信息系統(tǒng)的癱瘓，會對供電企業(yè)造成不可預(yù)計(jì)的影響和損失。

（3）數(shù)據(jù)庫安全。供電企業(yè)的信息系統(tǒng)需要用到各種設(shè)備和應(yīng)用軟件系統(tǒng)，而這些設(shè)備和軟件系統(tǒng)在信息系統(tǒng)不完善的條件下，肯定會存在一定的漏洞，這將會導(dǎo)致供電企業(yè)內(nèi)部信息資料安全受到威脅。企業(yè)如果放松警惕，不法分子就會通過漏洞傳播病毒并且盜取企業(yè)的重要文件資料，這將導(dǎo)致供電企業(yè)無法正常供電，并且威脅著整個(gè)企業(yè)的內(nèi)部安全。

（4）管理系統(tǒng)安全。現(xiàn)在處于信息系統(tǒng)在供電企業(yè)發(fā)展過程中的初級階段，還沒有形成一整套針對供電企業(yè)信息系統(tǒng)安全的管理措施。這樣在信息系統(tǒng)的運(yùn)作過程中，將會出現(xiàn)很多不完善的地方，時(shí)刻威脅著供電企業(yè)生產(chǎn)的安全性，影響整個(gè)企業(yè)的正常供電。

（5）電磁干擾的影響。信息系統(tǒng)在各個(gè)領(lǐng)域中的應(yīng)用并未完善，而信息在傳輸?shù)倪^程中很容易被電磁干擾，導(dǎo)致信息的丟失。

3 信息系統(tǒng)安全的防范措施

強(qiáng)化員工的整體素質(zhì)與基礎(chǔ)知識的水平。供電企業(yè)的信息系統(tǒng)安全防范，不僅僅是相關(guān)部門的事情，而是整個(gè)供電企業(yè)內(nèi)部人員的事情。供電企業(yè)內(nèi)的每一個(gè)突發(fā)事件，都位于生產(chǎn)的細(xì)微環(huán)節(jié)，這就要求企業(yè)的員工需要有較高的知識水平與應(yīng)變能力，面對安全隱患及時(shí)做出相應(yīng)的防范措施，應(yīng)對自如。所以應(yīng)該提高全體員工的信息安全知識的學(xué)習(xí)以及必要的防范意識。在有條件的情況下可以開設(shè)信息安全相關(guān)的培訓(xùn)，以逢培必考方式，提高培訓(xùn)效果并落實(shí)一定的考核制度，有利于全體員工對信息安全知識的學(xué)習(xí)，也確保了供電企業(yè)安全穩(wěn)定的發(fā)展。

轉(zhuǎn)變傳統(tǒng)的管理制度，由傳統(tǒng)的硬性管理轉(zhuǎn)變成為適應(yīng)當(dāng)今企業(yè)發(fā)展的分區(qū)分域管理。分區(qū)管理就是對不同級別的信息進(jìn)行分區(qū)，建立網(wǎng)絡(luò)隔離系統(tǒng)；分域就是在分區(qū)管理的基礎(chǔ)上，針對生產(chǎn)域、營銷域、人資域、辦公域、財(cái)務(wù)域等，各專業(yè)信息系統(tǒng)的要求進(jìn)行更加細(xì)致的劃分。這樣有利于擺脫傳統(tǒng)管理模式中的漏洞，增加管理的靈活性、全面性。將知識管理與安全管理相結(jié)合，為供電企業(yè)信息系統(tǒng)的正常運(yùn)行提供基礎(chǔ)保障。

將電力通信及自動化的網(wǎng)絡(luò)與供電企業(yè)的內(nèi)部綜合數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行物理隔離，這有益于防止信息系統(tǒng)安全過程中產(chǎn)生的漏洞導(dǎo)致的病毒入侵現(xiàn)象，保護(hù)內(nèi)部資料的安全性。在建立最基本的管理制度的同時(shí)，從工作出發(fā)，對發(fā)現(xiàn)的問題及時(shí)匯報(bào)處理并且統(tǒng)計(jì)，建立特有的數(shù)據(jù)庫，為以后工作信息系統(tǒng)的防范提供基礎(chǔ)。

預(yù)防計(jì)算機(jī)病毒，防止病毒破壞。這是供電企業(yè)信息系統(tǒng)安全措施中最重要的一個(gè)環(huán)節(jié)。供電企業(yè)中，辦公最重要的一個(gè)內(nèi)容就是企業(yè)郵件的收發(fā)，這也是感染病毒最多的環(huán)節(jié)。必須加大對系統(tǒng)的升級和修復(fù)，建立和完善防病毒系統(tǒng)，實(shí)時(shí)對計(jì)算機(jī)進(jìn)行監(jiān)控，對用戶訪問進(jìn)行嚴(yán)格防控。

電力信息系統(tǒng)還處于發(fā)展階段，必須加強(qiáng)對信息技術(shù)安全的監(jiān)控，并且及時(shí)匯報(bào)，完善信息系統(tǒng)的應(yīng)急預(yù)案。這要求企業(yè)必須真實(shí)的對待每一個(gè)信息事件，及時(shí)通報(bào)，不得隱瞞。不斷改善原有的應(yīng)急措施，并且監(jiān)督每一次應(yīng)急措施的實(shí)施，提高整個(gè)供電企業(yè)面對信息系統(tǒng)的應(yīng)對能力。

提高供電企業(yè)信息系統(tǒng)的保密措施。在對信息系統(tǒng)網(wǎng)絡(luò)安全加強(qiáng)的同時(shí)，也要完善人為因素導(dǎo)致的信息泄露。嚴(yán)禁外部人員對計(jì)算機(jī)網(wǎng)絡(luò)的訪問，嚴(yán)格控制外來U盤等移動介質(zhì)的使用，對信息系統(tǒng)的安全進(jìn)行嚴(yán)格監(jiān)管，定期開展對保密工作的檢查，不放過任何一個(gè)中間環(huán)節(jié)。

4 總結(jié)

供電企業(yè)的信息系統(tǒng)安全涉及到企業(yè)的方方面面，包括自然因素，人為因素，物理因素等等。所以為供電企業(yè)信息系統(tǒng)制定防范措施就要從這些因素出發(fā)，全面分析，多重角度看待，才能制定有效的防范措施，保護(hù)整個(gè)供電企業(yè)的安全。

參考文獻(xiàn)：

[1]Christopher.信息安全管理[J].北京：清華大學(xué)出版社，2005.