信息安全建設工作思路探討

導語：信息安全建設工作思路探討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著互聯網+飛速發展，電子業務的不斷創新發展，加強信息安全建設逐漸成為各項工作中的頭等大事。本文重點分析了目前信息安全建設方面存在的不足和缺失，以及下階段如何開展工作不斷強化人員安全意識，加強信息安全建設工作，以保障信息化建設安全運行，各項工作順利開展，順應時代的大步伐跨越式發展。

關鍵詞：信息安全；信息科技風險；管理體系

1信息安全建設現狀

現行制度方面，現行有效制度涵蓋軟件開發、軟硬件運維、應急管理、安全操作、外包管理、供應商管理等方面，覆蓋面較為全面，但是缺乏體系，沒有根據一個標準系統的制定出一整套操作性強、執行性強的制度體系。上報機制方面，目前采取信息處內部逐級上報機制，即發現問題上報至科長，科長根據重要等級不同決定上報給處長、主管主任、信息科技委員會。內部評審方面，現階段只針對現行制度對文檔的完整性和準確性進行事后自評，定期配合外部審計機構進行專項審計;監控平臺只對機房環境、硬件設備、網絡及系統軟件進行實時監控。信息科技風險評估方面，根據國家標準從信息資產、威脅、脆弱性的識別、風險值評估、風險項統計分析、總體評價和不可接受風險處理等7個方面，對整體信息化系統包含的硬件設備、軟件系統、數據信息和管理制度等內容進行了全面的評估，每半年上報一次信息科技風險報告，并制定相應的整改計劃。

2信息安全建設存在的問題

2．1管理制度建立不完善

目前，在信息科技風險的上報機制、自評機制和監控機制都存在著不同程度上有所缺失，例如尚未建立雙向上報機制;自評范圍不全面，缺少對數據資產、人員資產、軟件資產等的覆蓋;缺少殘余信息科技風險的控制緩釋措施及評價流程。同時，現有信息科技風險管理制度的完整性、可操作性需要進一步改進。

2．2信息安全意識不強

職工信息安全意識較為缺乏，沒能把信息安全意識變成一種習慣、一種常態化的意識真正融入到日常的工作生活中，沒能真正意識到加強信息安全的重要程度。

3信息安全建設工作思路

隨著互聯網+迅猛發展，加強信息安全建設日益重要，我認為應從加強安全審計、建立風險上報機制、強化信息安全管理、科技信息風險防范等四個方面不斷加強信息安全建設工作:

3．1分析差距，完善內審監控管理體系

按照信息安全管理體系ISO27001標準梳理現狀，認真分析研究，查找存在的差距，制定信息安全內控操作規程，針對軟件開發、軟件運維、硬件管理各項工作中具體內控操作流程制定信息安全審計依據。可聯合相關處室，定期組織信息安全內部審計，建立事前預警、事后考評的整套內審監控管理體系，對潛在的信息風險進行有效控制。

3．2安全防控，建立風險上報長效機制

依據CIA屬性對現有信息資產按照實物資產、人員資產、數據資產、軟件資產、服務資產進行分類賦值，識別信息資產面臨的威脅與弱點，推導出信息資產面臨的安全風險，提出相應的安全措施并制定整改計劃。另外，建立風險點上報機制，各個分管機構風險管理員負責收集存在的風險點隱患并及時上報信息處、風險處，由信息處匯總風險點，雙向上報給風險處及相關領導，針對風險點中提出的問題及時跟進，并協調相關處室進行有效處理。

3．3強化意識，緊抓信息安全管理

針對目前職工信息安全意識較為薄弱的現狀，一是借助官方網站、微博、月刊、簡報等宣傳載體，開展形式多樣的信息安全的宣傳教育活動，讓每名干部職工時刻緊繃信息安全這根弦;二是邀請專家定期組織信息安全培訓，普及安全應用技術，強化全員的安全責任和意識。三是結合各部門信息安全工作實際，就一段時期內容易產生的安全問題組織不定期的安全技術人員專題講座，提高信息網絡安全管理人員的能力。

3．4抓好關鍵，確保信息安全工作無死角

一是抓好關鍵部位的安全。按照影響的重要程度劃分，重點加強對互聯網和未來電子業務的安全監控，并定期進行安全掃描和測評，保證關鍵設備關鍵系統的安全運行。二是抓好關鍵時間的安全。針對管理現狀，我建議增加對值班人員的監督管理，加強對交接班以及節假日關鍵時間節點的安全監控;三是抓好關鍵崗位人員的安全。對新職工和重點崗位的人員要重點監管，加強培訓和教育，時刻關注關鍵人員的思想動態，以便及時采取安全防范措施。

作者:許璐 單位:天津市住房公積金管理中心