導語：如何才能寫好一篇安全信息服務(wù)，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：長江水上安全信息臺 數(shù)字音頻

長江水上安全信息臺（以下簡稱信息臺）成立于2004年5月1日，是交通運輸部指定的唯一為長江航行船舶播發(fā)各類航運安全信息的公益性廣播電臺，現(xiàn)隸屬于長江海事局信息中心。信息臺的主要職責是代表長江航運主管部門安全預(yù)警、水位公報、氣象預(yù)報、航行通告、水上水下施工作業(yè)等各類航行安全信息，宣傳交通航運政策法規(guī)，通報長江水上安全形式，普及航運安全知識等。

目前信息臺通過甚高頻和同步調(diào)頻廣播這兩種廣播方式為船舶提供廣播服務(wù)，播發(fā)范圍為四川宜賓到上海2800多公里的長江干線，每天為7萬多艘船舶提供安全信息服務(wù)，船舶收聽率達到85%以上。

廣播在經(jīng)歷了調(diào)幅廣播、調(diào)頻立體聲廣播兩個技術(shù)發(fā)展階段后，正進入數(shù)字音頻廣播新階段。信息臺的數(shù)字化廣播系統(tǒng)與傳統(tǒng)的廣播電臺模式相比己經(jīng)是大不相同，與傳統(tǒng)廣播電臺相比省去了大量的CD、磁帶，同時減輕了編輯、主持人的工作量，并且提高了節(jié)目的播出質(zhì)量。計算機網(wǎng)絡(luò)技術(shù)的發(fā)展使孤立的多媒體制作工作站有效地連接在一起，并通過這一網(wǎng)絡(luò)實現(xiàn)全臺的節(jié)目共享和自動播出，進而實現(xiàn)整個信息臺從節(jié)目制作、存儲、管理到播出整個流程都是以數(shù)字的形式通過高速的計算機網(wǎng)絡(luò)在各工作站流動，最終各種音頻節(jié)目、文稿資料都保存在容量巨大、性能穩(wěn)定的大型數(shù)據(jù)庫中。

相較于調(diào)幅、調(diào)頻技術(shù)，數(shù)字化的影響遠遠超出了技術(shù)范疇，數(shù)字技術(shù)徹底改變了傳統(tǒng)廣播的運作方式。電腦數(shù)據(jù)庫、網(wǎng)絡(luò)共享、數(shù)字音頻處理等，成為其必須依托的技術(shù)平臺。人力成本的幾何級節(jié)省，是其最抓人眼球的特點。音樂、廣告、標頭、資訊等類型的音頻節(jié)目，預(yù)先錄制后，按設(shè)計好的節(jié)目表單，信息臺可以提前編排好一天、一個星期甚至一個月的節(jié)目，系統(tǒng)將自動控制播出。

在信息臺計算機綜合信息系統(tǒng)中，數(shù)字音頻工作站占據(jù)著相當重要的地位，可以說，是信息臺數(shù)字化的基礎(chǔ)。它的基本功能為實現(xiàn)從節(jié)目錄制、節(jié)目單編排、節(jié)目審核、節(jié)目管理、節(jié)目播出的整個過程的自動化、無磁帶化，以及播出監(jiān)控的數(shù)字化。由于它涉及到管理、播出的各個環(huán)節(jié)，一個比較完善的音頻工作站應(yīng)具備大容量錄制、全方位檢索、自動編排生成、定時播出、方便的管理等功能元素。因此設(shè)計一個合理的整體系統(tǒng)結(jié)構(gòu)和工作流程至關(guān)重要。

技術(shù)路線

Ajax的工作原理：AJAX（Asynchronous Javascript and XML，異步JavaScript與XML），是使用客戶端腳本與Web服務(wù)器交換數(shù)據(jù)的Web應(yīng)用開發(fā)方法，是多種技術(shù)的綜合。它使用XHTML和CSS標準化呈現(xiàn)，使用DOM實現(xiàn)動態(tài)顯示和交互，使用XML和XSTL進行數(shù)據(jù)交換與處理，使用XML Http Request對象進行異步數(shù)據(jù)讀取，使用JavaScript綁定和處理所有數(shù)據(jù)，更重要的是它打破了使用頁面重載的慣例技術(shù)組合，可以說AJAX己成為Web開發(fā)的重要武器。

Ajax的核心是JavaScript對象XML Http Request對象在Internet Explorer中首次引入，它是一種支持異步請求的技術(shù)。簡而言之，XML Http Request使您可以使用JavaScript向服務(wù)器提出請求并處理響應(yīng)，而不阻塞用戶。Ajax用來描述一組技術(shù)，它使瀏覽器可以為用戶提供更為自然的瀏覽體驗。在Ajax之前，Web站點強制用戶進入提交/等待/重新顯示范例，用戶的動作總是與服務(wù)器的“思考時間”同步，Ajax提供與服務(wù)器異步通信的能力，從而使用戶從請求/響應(yīng)的循環(huán)中解脫出來。借助于Ajax，可以在用戶單擊按鈕時，使用Javascript和DHTML立即更新UI，并向服務(wù)器發(fā)出異步請求，以執(zhí)行更新或查詢數(shù)據(jù)庫。當請求返回時，就可以使用Javascript和CSS來相應(yīng)地更新UI，而不是刷新整個頁面，最重要的是，用戶甚至不知道瀏覽器正在與服務(wù)器通信，Web站點看起來是即時響應(yīng)的。

系統(tǒng)介紹

錄音工作站：實現(xiàn)節(jié)目錄入和制作的功能，即實現(xiàn)節(jié)目的采集、壓縮、編輯、合成及音頻處理等功能，并保證較高的錄制質(zhì)量?？蓪⑵浞譃閮纱箢悾?/p>

1、音頻資料的灌入或精品節(jié)目的制作：這類節(jié)目一般需要長期保存，或用于播出，或用于節(jié)目素材，儲存在總臺或系列臺的音頻資料庫中；

2、播出用節(jié)目：這類節(jié)目時效性強，不需要作長期保存，一般在播出后即可刪除，儲存在播出庫中。

節(jié)目單編排審聽：完成音頻工作站系統(tǒng)中的節(jié)目按天、按模板編排節(jié)目單，可以查詢每一天的節(jié)目單，并可以進行節(jié)目單的試聽、審定，還可以對播出站的直播模塊進行編排等。

節(jié)目預(yù)載：播出工作站根據(jù)預(yù)先的設(shè)置提前將次日或次幾日要播出的節(jié)目內(nèi)容從音頻資料庫中預(yù)載到播出工作站的本地硬盤上，保證在網(wǎng)絡(luò)因故障癱瘓時也能正常播出。

播出工作站：實現(xiàn)信息臺的自動播出。它從播出節(jié)目庫中調(diào)入本欄目的節(jié)目，并按節(jié)目編排站編排的節(jié)目單自動播出或由主持人手動播出。

篇2

關(guān)鍵詞：政府；信息安全；信息安全人事管理

隨著我國信息化建設(shè)的不斷推進以及電子政務(wù)的持續(xù)發(fā)展，政府信息安全事故也頻頻發(fā)生。

資料表明，七成以上的政府信息安全事故是由政府內(nèi)部相關(guān)工作人員引發(fā)的?？梢姡谛畔踩录衅饹Q定作用的是人，人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現(xiàn)代人力資源管理理論為基礎(chǔ)，從招聘選拔、人員培訓、人員使用、績效考核、人員激勵、離職管理等主要職能人手，對組織中信息安全人員進行科學管理、合理配置和有效開發(fā)，籍以實現(xiàn)組織信息安全管理目標的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個關(guān)鍵要素，信息安全人事管理的強化實施可以為政府搭建起一道牢固的“人力防火墻”。本文將現(xiàn)代人力資源管理相關(guān)理論與信息安全工作特點結(jié)合起來，發(fā)掘與提煉信息安全人事管理各主要職能具有特殊性與規(guī)律性的實務(wù)要點，以期為有關(guān)方面提供借鑒和參考。

一、信息安全人員招募與選拔

招募與選拔是政府信息安全人員的“入口”，直接影響到信息安全工作的質(zhì)量和效率。信息安全人員的招募與選拔實務(wù)應(yīng)該把握以下要點：

1．從招募與選拔的標準上看，突出對個人品德及專業(yè)知識的要求。信息安全工作具有保密性、綜合性、層次性和規(guī)范性等特點，進而決定了信息安全從業(yè)人員具有諸多特殊性及要求：他們在工作中會接觸到關(guān)系國家及組織榮辱興衰、生死存亡的大量秘密，保守秘密是他們的基本職業(yè)道德；他們必須不斷學習，對自己的知識與能力進行“升級”，才能適應(yīng)信息時代信息安全工作的需要；他們必須遵守更多的規(guī)定，而且在組織中具有明確的職責，不能越雷池半步。這些都表明，信息安全人員必須具有更高的品德修養(yǎng)。這對應(yīng)聘者提出更高的標準及要求：必須具有很強的組織紀律性和保密意識；具有很強的團隊意識和合作精神，愿意為組織利益犧牲個人利益；具有長遠眼光和接納新事物的胸懷，不斷更新自身素質(zhì)。組織可以通過面試、心理測驗、背景審查等選拔方式考察應(yīng)聘者的德行。此外，管理與技術(shù)是做好信息安全工作的兩大法寶，因此是否具備一定的信息安全管理與技術(shù)專業(yè)知識是信息安全人員招聘的另外一個主要標準。組織可以通過筆試來考察應(yīng)聘者專業(yè)知識掌握的程度，并根據(jù)職位的不同定位來確定不同的考察重點。

2．從招募的途徑上看，在內(nèi)部招募和外部招募相結(jié)合的基礎(chǔ)上，突出內(nèi)部招募。內(nèi)部招募是指從組織內(nèi)部發(fā)現(xiàn)并培養(yǎng)所需要的各種人才，其方式包括內(nèi)部晉升、崗位輪換和返聘等；外部招募是指按照一定的標準和程序，從組織外部的眾多候選人中挑選符合空缺職位要求的人員，其方式包括人才招聘會與校園招聘等。內(nèi)部招募和外部招募各有優(yōu)劣，兩者結(jié)合起來可使招募效果最大化。由于信息安全工作的保密性要求，信息安全人員招募一般突出依賴內(nèi)部招募，這主要是為了人員安全可靠的考慮，確保信息安全人員的穩(wěn)定性。信息安全關(guān)鍵或領(lǐng)導職位出現(xiàn)空缺尤為如此。不過，由于當前我國政府信息安全人才仍舊匱乏，所以當內(nèi)部招募滿足不了組織用人需求時也適當考慮外部招募。招募非關(guān)鍵性信息安全人員時尤為如此。

3．從選拔的過程上看，尤為重視背景審查和保密協(xié)議簽訂兩個環(huán)節(jié)。一般單位選拔人員可能也進行背景審查，但不一定是必須的，或者審查的過程與結(jié)果不一定非常嚴格與仔細。與之不同的是，信息安全人員的選拔尤為重視背景審查這個環(huán)節(jié)。該環(huán)節(jié)不僅不可或缺，而且在審查的時間、內(nèi)容、過程、結(jié)果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準確性與可靠性，并在“人口”或“源頭”上控制信息安全人事風險。例如，美國中央情報局聯(lián)邦調(diào)查局等部門在選拔關(guān)鍵涉密人員過程中經(jīng)常采用“心理測謊術(shù)”等高科技手段來對候選人進行審查，以確定候選人的誠實度、心理健康度或意志力等。此外，一旦候選人接受了工作，錄用合同就成為重要的安全手段。在合同中，組織可以將“政策認可”作為招聘的一個基本要求即在合同中附上一個保密協(xié)議，要求候選人在將來的工作甚至離職后的一段時間中，必須遵守組織相關(guān)保密規(guī)定，擔負起保障組織信息安全的責任，否則就會

二、信息安全人員培訓

信息安全人員培訓是通過各種方式幫助信息安全人員習得相關(guān)的知識、技能、觀念和態(tài)度的學習過程以及開發(fā)其潛能的各種活動。其實務(wù)要點包括：

1．從培訓原則看，堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作，特別是對于培訓內(nèi)容、時間和地點等，不可隨意泄露，以免引起不必要的麻煩。此外，適時性原則主要是為了順應(yīng)當前信息安全科技發(fā)展迅猛、更新?lián)Q代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則，才能使信息安全人員跟蹤本領(lǐng)域科技發(fā)展最新動態(tài)，掌握最先進的知識與技能，以防止思想觀念陳舊與知識技能老化。

2．從培訓內(nèi)容看，側(cè)重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質(zhì)。信息安全意識貫穿于員工工作的始終，但是工作時間越長員工大多會出現(xiàn)倦怠，信息安全意識便會降低逐漸放松警惕，信息安全風險隨之倍增，所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳，包括鼠標墊、水杯、鋼筆或在工作期間經(jīng)常使用的任何物體上，在這些物體上印制上安全標語，用來提醒員工注意安全如在鼠標墊上印上“BeSafe：Think BethreYouClick”，使信息安全人員在每天工作時都最先考慮信息安全，樹立自覺維護信息安全的意識。此外，信息安全行業(yè)的綜合性使得組織必須根據(jù)學用一致的原則，加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術(shù)，使其掌握信息安全的基本原理、要求和慣例，才能提高其技術(shù)與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策，促使信息安全人員與信息安全工作兩者之間實現(xiàn)“人事相宜”、“人職匹配”等，以保障組織信息安全。信息安全人員使用實務(wù)要點是：

篇3

IT服務(wù)外包井噴式發(fā)展

在強調(diào)企業(yè)核心競爭力的今天，越來越多的公司將IT服務(wù)外包作為企業(yè)長期戰(zhàn)略成本管理的新興工具。服務(wù)外包的實質(zhì)是企業(yè)和服務(wù)商之間的“委托―”關(guān)系。企業(yè)需要對自己重新進行定位，截取價值鏈中較短的部分，縮小經(jīng)營范圍，在此基礎(chǔ)上重新配置企業(yè)的各種資源，將資源集中到最能反映企業(yè)優(yōu)勢的領(lǐng)域，從而更好地構(gòu)筑競爭優(yōu)勢，以此獲得可持續(xù)發(fā)展的能力。

隨著企業(yè)業(yè)務(wù)發(fā)展過程中信息系統(tǒng)所涉及的內(nèi)容越來越多、結(jié)構(gòu)越來越龐大，企業(yè)信息化再也不僅僅是IT部門自己的事情。企業(yè)市場競爭壓力越來越大，在信息化建設(shè)和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統(tǒng)多、任務(wù)重，另一方面是公司要求IT部門削減成本、并消除由于缺乏內(nèi)部控制和運作準則導致的混亂狀態(tài)，以更高效地服務(wù)業(yè)務(wù)部門。

在多重壓力之下，許多企業(yè)認為IT部門最重要的工作是確保信息和流程的順暢，而服務(wù)器、存儲系統(tǒng)、網(wǎng)絡(luò)或者交換機等設(shè)備并不是最重要。因此，許多企業(yè)傾向于將某些應(yīng)用系統(tǒng)、基礎(chǔ)設(shè)施和部分非核心系統(tǒng)外包給服務(wù)商負責維護。

IT服務(wù)外包的風險

企業(yè)借外部力量提供專業(yè)化服務(wù)、將部分非核心業(yè)務(wù)進行離岸資源外包的過程中，面臨著管控、運營等一系列風險，其中最重要的是信息安全風險的威脅。

從表面上看，采用IT外包策略不但可以節(jié)約成本，還能提高效率。但事實上，許多企業(yè)對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍，其好處是可以向企業(yè)灌輸技術(shù)與人才，幫助企業(yè)擺脫繁瑣的IT業(yè)務(wù)――有效的外包能讓公司更好的專注于核心業(yè)務(wù)。

但是進行IT外包并不是一件輕松的事情，如果處理不好，不僅不會帶來預(yù)期的效益，反而會變成一場噩夢和致命的災(zāi)難。所以對于企業(yè)IT主管部門而言，必須具有很強的經(jīng)驗和管理技能，才能談“外包” 二字。

IT外包服務(wù)要成為一種商品，就必須形成一套規(guī)范和標準，以約束買賣雙方。但目前國內(nèi)IT外包服務(wù)領(lǐng)域既無統(tǒng)一規(guī)范也無公認標準。概念模糊的用戶，面對同樣概念模糊的IT廠商，如何評估、簽合同、質(zhì)量控制和定價等都是潛在的“風險”。

此外，IT外包還面臨著 IT管理的復(fù)雜性、軟件缺失、知識產(chǎn)權(quán)以及IT外包服務(wù)提供商自身能否健康成長等風險。因此企業(yè)需要在風險、成本與效果、效率之間找到平衡點。

同時，由于委托方和方之間可能存在信息不對稱和信息扭曲等問題，加之市場及宏觀環(huán)境的不確定性，導致委托方在實施外包過程中承擔著種種風險。

外包服務(wù)關(guān)鍵詞：信息安全

企業(yè)在IT服務(wù)外包過程中面臨的最大挑戰(zhàn)，就是如何確保企業(yè)信息和數(shù)據(jù)的安全，如何建立起有效的信息安全管控框架，以符合企業(yè)信息安全要求。

首先，確認企業(yè)內(nèi)部信息安全管控過程是否可持續(xù)監(jiān)管和優(yōu)化。在信息防泄漏的“戰(zhàn)爭”中，相比于躲在暗處的泄密者和安全威脅，站在明處的企業(yè)顯然略失先機。但如果企業(yè)能夠做到預(yù)先防御，在對手出招之前采取針對性的保護措施，就能從根本上“轉(zhuǎn)被動為主動”，做好內(nèi)部數(shù)據(jù)安全防護。

因此，良好的信息防泄體系的前提就是要時刻掌握企業(yè)動態(tài)，做到要有的放矢。很重要的一點是要實現(xiàn)內(nèi)部操作的“可視化”，以隨時監(jiān)測整個信息系統(tǒng)的安全狀況，做到迅速反應(yīng)，甚至還能預(yù)測到潛在的風險，化被動防御為積極防御。

其次，企業(yè)信息安全體系設(shè)計需進行全局評估和建設(shè)，規(guī)避疏漏和風險。安全領(lǐng)域中的木桶理論和馬其頓防線的故事相信大家都了解――無論怎么豪華的防線，一個漏洞就可以毀滅所有一切。在企業(yè)中，有時候可能是一個小小的系統(tǒng)漏洞就可能毀滅了幾百萬投資的努力，或者一個無意的非法補丁行為就讓企業(yè)蒙受損失。

因此，在解決安全問題之時，不能僅僅依賴透明加密等技術(shù)手段，“頭痛醫(yī)頭，腳痛醫(yī)腳”地堆砌不同安全產(chǎn)品及封堵安全漏洞，而是需要站在一個更高的戰(zhàn)略角度來通盤考慮。如果缺乏整體的分析視角，企業(yè)可能會忽視或者低估某個安全攻擊的真正威脅，采取的安全措施也可能無法解決真正的問題。

所以，在實際的防泄漏建設(shè)中，必須從整體上來評估企業(yè)的信息安全狀況，運用統(tǒng)一平臺來進行風險和安全管理，檢測出內(nèi)部問題，從而描繪出整個企業(yè)當前安全情況的更清晰和更準確的圖景，采取針對性的防護措施，最大限度降低企業(yè)的安全風險。

另外，要有安全和防護等級措施。企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時并不是一刀切，不分輕重地在全公司范圍內(nèi)采取相同的策略，這樣雖然看似達到了最為安全的效果，但對業(yè)務(wù)造成的巨大影響，以及因此產(chǎn)生的高額成本，對企業(yè)來說，都是巨大的負擔。

對信息安全來說，威脅和風險往往和高價值的信息資產(chǎn)聯(lián)系在一起，安全保護工作也就應(yīng)該輕重有別，將重點放在高價值的信息資產(chǎn)上。在安全建設(shè)過程中，對程度高的部門或崗位進行力度大的防御，對程度低的部門采取相應(yīng)的安全防御。同時衡量提升安全性可能帶來的業(yè)務(wù)操作上的麻煩、企業(yè)安全成本等問題，是企業(yè)必須要做的事情。

在企業(yè)實施安全防護等級風險評估過程中，往往需要結(jié)合企業(yè)的實際情況，對三種技術(shù)手段整合運用：首先，在全公司范圍內(nèi)進行安全審計，掌握企業(yè)操作，發(fā)現(xiàn)安全隱患；其次，對特殊崗位和部門，進行嚴格管控，限制信息的帶出；最后，在核心部門內(nèi)部，對機密信息進行透明加密。這樣既可保證公司的正常業(yè)務(wù)運作，又能有的放矢地實現(xiàn)最優(yōu)化的信息防泄漏管理，還大大節(jié)約了投資成本。

此外，利用科學可行的安全策略和必要的技術(shù)手段實現(xiàn)動態(tài)性防護。動態(tài)性的信息泄露防護，對于目前泄密方式日益增多的企業(yè)來說，非常重要。某些企業(yè)往往在安全事件發(fā)生之后才對現(xiàn)在的策略進行被動的調(diào)整。這種“吃一塹、長一智”的防護模式，對于企業(yè)而言，有可能是致命的。一旦出了安全事故，恐怕亡羊補牢，為時已晚。

企業(yè)需要建立一個動態(tài)性的安全防護，前瞻性地發(fā)現(xiàn)安全威脅，并通過對技術(shù)或管理上的策略進行及時調(diào)整更新，防范潛在的安全風險。

最后要強調(diào)的是，信息安全體系必須便于使用和維護。如今，市場上五花八門的信息防泄漏產(chǎn)品讓企業(yè)眼花繚亂，企業(yè)期望這種“強強組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術(shù)的復(fù)雜性，還容易導致產(chǎn)品軟件沖突等問題，企業(yè)雖然“裝”了安全產(chǎn)品，但根本“用”不了。

目前，能夠提供整體解決方案的單一安全產(chǎn)品可謂不錯的選擇，它能夠幫助企業(yè)建立統(tǒng)一的安全管理平臺，無論企業(yè)安全邊界防護、還是內(nèi)部使用，都做了整體全面的考慮，同時簡化了日常的操作與管理、降低了系統(tǒng)的資源占用、避免了軟件沖突等多種問題，使用維護亦非常方便，大大節(jié)約了IT人員的時間和精力。

綜上所述，如企業(yè)信息防泄漏建設(shè)符合以上檢測標準，說明該企業(yè)已經(jīng)建立了一個完善的整體信息防泄漏體系，機密信息也得到了最大化的保護，實現(xiàn)了“成本、效率、安全”三者的最佳平衡，這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上，信息防泄本身就是一種博弈，是企業(yè)和人的博弈。它是一場思維的交鋒，企業(yè)只有掌握了內(nèi)部的行為操作，同時針對內(nèi)部安全威脅建立全面、立體化的安全防護，信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包（IT Outsourcing）服務(wù)，即“承接企業(yè)IT系統(tǒng)維護與管理，按雙方服務(wù)協(xié)議內(nèi)容完成相關(guān)服務(wù)”的業(yè)務(wù)模式。

隨著客戶對信息安全管理的要求越來越高，天璣科技把IT外包的信息安全管理放在首位，積極貫徹基于風險的管理方法，針對IT服務(wù)外包中的安全管理進行了系統(tǒng)思考和有益的嘗試。

外包基礎(chǔ)和簡單重復(fù)的服務(wù)：考慮到信息安全管理問題，天璣科技初期外包服務(wù)范圍主要以基礎(chǔ)服務(wù)外包為主，即將IT系統(tǒng)日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統(tǒng)的編碼等活動外包，而對于IT系統(tǒng)的規(guī)劃與管理、核心應(yīng)用系統(tǒng)（如ERP、CRM）的設(shè)計與維護仍然由企業(yè)IT部門承擔。這樣避免了IT服務(wù)人員接觸組織的核心系統(tǒng)信息，降低了IT服務(wù)外包對IT系統(tǒng)敏感部分帶來的安全風險。

具備信息安全管理資質(zhì)：由于IT外包服務(wù)過程中，IT服務(wù)人員必然會接觸到企業(yè)的系統(tǒng)設(shè)備甚至是內(nèi)容，如何成為一家可靠安全的IT服務(wù)外包供應(yīng)商也是在進行IT服務(wù)外包前必須考慮的重要方面。天璣科技是一家已經(jīng)建立起完善的信息安全管理體系，并通過了BSI安全認證審核的IT服務(wù)外包供應(yīng)商，專門從事IT服務(wù)外，擁有很多有影響的大客戶。天璣科技會根據(jù)服務(wù)內(nèi)容簽訂責任明確的服務(wù)合同，在服務(wù)合同中詳細闡明雙方在服務(wù)提供過程中對信息安全的責任十分關(guān)鍵。

強化日常服務(wù)的安全管理：信息安全管理的要求應(yīng)該體現(xiàn)在IT服務(wù)日常管理的各個方面，主要包括：日常活動規(guī)范的建立；服務(wù)變更控制；服務(wù)人員管理；安全事件處理；業(yè)務(wù)持續(xù)管理；知識產(chǎn)權(quán)保護和監(jiān)控與審核等內(nèi)容。

日?；顒右?guī)范的建立：針對服務(wù)協(xié)議中明確的服務(wù)內(nèi)容，建立規(guī)范的服務(wù)流程是開展IT服務(wù)活動的基礎(chǔ)。企業(yè)信息化主管部門根據(jù)雙方簽訂的服務(wù)協(xié)議，與供應(yīng)商IT服務(wù)主管人員一起建立一套完整的服務(wù)規(guī)范。服務(wù)規(guī)范中對服務(wù)過程中的安全風險均采取了適當?shù)目刂拼胧?，確保了服務(wù)活動滿足企業(yè)信息安全管理策略的要求。

服務(wù)變更控制：天璣科技遵從在調(diào)整其服務(wù)流程和變更服務(wù)技術(shù)前必須事前進行溝通，在企業(yè)評估變更的影響并確認采取了響應(yīng)控制措施后才能進行服務(wù)過程的變更。

服務(wù)人員管理：服務(wù)人員是IT服務(wù)活動的直接執(zhí)行者。為確保服務(wù)人員能夠滿足要求，天璣科技明確規(guī)定了IT服務(wù)人員的能力要求和標準，確保只有技術(shù)能力強、認真負責的服務(wù)人員才能進入服務(wù)項目組。同時，對服務(wù)人員篩選、培訓和變動也提出了具體要求。

安全事件管理：發(fā)生安全事件后，雙方人員的協(xié)調(diào)和互動將直接影響對事件處理的結(jié)果。在服務(wù)過程中發(fā)生和發(fā)現(xiàn)的信息安全事件必須第一時間上報企業(yè)主管部門，在企業(yè)主管部門的組織下完成對安全事件的處理。

業(yè)務(wù)持續(xù)管理：由于企業(yè)將核心網(wǎng)絡(luò)和系統(tǒng)硬件均托管給了IT服務(wù)供應(yīng)商進行日常維護。IT服務(wù)供應(yīng)商是否具備滿足組織業(yè)務(wù)需求的業(yè)務(wù)持續(xù)管理能力，成為保證企業(yè)信息系統(tǒng)業(yè)務(wù)持續(xù)的關(guān)鍵。在企業(yè)整個業(yè)務(wù)持續(xù)管理的框架下，對IT服務(wù)供應(yīng)商的業(yè)務(wù)持續(xù)管理能力提出了明確的要求，在服務(wù)協(xié)議中進行了明確的定義。同時，針對具體服務(wù)系統(tǒng)雙方共同制定了相應(yīng)的災(zāi)難恢復(fù)計劃。

知識產(chǎn)權(quán)保護：桌面服務(wù)中如何保護組織以及相關(guān)方的知識智力產(chǎn)權(quán)，是需要在進行IT服務(wù)外包過程中管理和控制的重要內(nèi)容。天璣科技在軟件安裝和服務(wù)過程中工具的使用過程都明確規(guī)定了對軟件許可證的跟蹤與管理要求，確保服務(wù)活動滿足對知識產(chǎn)權(quán)保護的要求。

篇4

研究院的安全服務(wù)主要包含四大獨立服務(wù)：安全服務(wù)、監(jiān)測服務(wù)、睿眼通和信息安全應(yīng)急響應(yīng)指揮平臺。服務(wù)內(nèi)容主要包括以下幾個方面：

首先是安全咨詢。以“業(yè)務(wù)需求管理”為核心出發(fā)點，依托ISO27001、ISO17799等國際信息安全標準和法規(guī)及行業(yè)規(guī)范，融合自上而下的指導方針、管理策略、業(yè)務(wù)流程運行規(guī)則、系統(tǒng)操作指南，建立信息安全管理體系。

其次是安全培訓。安全培訓旨在提高客戶的信息安全意識和技能，為最大程度上提高客戶的整體安全防衛(wèi)意識和安全防衛(wèi)技能，真正把信息安全管理體系落到實處，提供強力有效的技術(shù)支撐保障。

再次是安全評估。對信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性評估，為客戶信息安全管理體系策劃提供基礎(chǔ)。

最后是安全加固。結(jié)合等級保護國家政策及行業(yè)規(guī)范，通過現(xiàn)場調(diào)研，合理使用安全加固工具等為客戶提供安全加固服務(wù)，主要提供主機加固、系統(tǒng)加固、數(shù)據(jù)庫加固、應(yīng)用服務(wù)器加固、應(yīng)用加固等服務(wù)，安全補丁、安全策略調(diào)優(yōu)、配置優(yōu)化等服務(wù)。

七大監(jiān)測服務(wù)主要包括下幾個方面：

第一，“睿眼”外網(wǎng)安全監(jiān)測預(yù)警服務(wù)平臺是一套軟硬件一體化監(jiān)測平臺，以大數(shù)據(jù)技術(shù)為依托，集成了Web漏洞掃描檢測技術(shù)、采用遠程監(jiān)測對外網(wǎng)網(wǎng)站提供7×24小時實時安全監(jiān)測服務(wù)。通過對網(wǎng)站的不間斷監(jiān)測服務(wù)及時發(fā)現(xiàn)威脅，從而提升網(wǎng)站的安全防護能力和網(wǎng)站服務(wù)質(zhì)量，并通過安全監(jiān)測平臺的事件跟蹤功能建立起一種長效的安全保障機制。

第二，“睿眼”移動安全監(jiān)測預(yù)警服務(wù)平臺，為政府和企事業(yè)單位搭建一個應(yīng)用App統(tǒng)一存放、統(tǒng)一管理、統(tǒng)一安全監(jiān)測的AppStroe平臺，通過此平臺進一步提升用戶辦事體驗，同時方便國家、省部級對下級單位進行移動App管理和統(tǒng)計。

第三，“睿眼”內(nèi)網(wǎng)安全監(jiān)測預(yù)警服務(wù)平臺，基于對內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全運行的考慮，平臺提供對內(nèi)網(wǎng)的實時安全監(jiān)測、分析和預(yù)警功能。

睿眼通

睿眼通是七大監(jiān)測預(yù)警服務(wù)平臺提供給客戶的一款智能移動終端，基于客戶對信息安全情況的即時需求，以七大監(jiān)測預(yù)警服務(wù)平臺監(jiān)測結(jié)果為主線，可以成為客戶處理信息安全問題、了解安全狀態(tài)趨勢、掌握最新安全資訊的貼心助手，隨時隨地了解網(wǎng)站及信息系統(tǒng)等的整體運行情況。

信息安全應(yīng)急響應(yīng)指揮平臺

應(yīng)急響應(yīng)指揮平臺通過各大監(jiān)測預(yù)警服務(wù)平臺實時監(jiān)測結(jié)果，對告警的安全故障或安全威脅，以最短的時間進行故障排查定位和應(yīng)急處理。

安全產(chǎn)品

公司安全產(chǎn)品包括堡壘主機系統(tǒng)、系統(tǒng)安全加固、審計系統(tǒng)和信息共享管理系統(tǒng)。

（1）堡壘主機系統(tǒng)。堡壘主機是一種被加固的可以防御進攻的計算機，具備堅強的安全防護能力。堡壘主機系統(tǒng)軟件扮演著看門者的職責，所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從這扇大門經(jīng)過。

（2）系統(tǒng)安全加固。系統(tǒng)安全加固V1.0產(chǎn)品是軟硬件相結(jié)合的產(chǎn)品，通過硬件USB-KEY，提高了服務(wù)器系統(tǒng)的安全性，克服單純使用軟件防護的局限性；軟件部分包括服務(wù)器操作系統(tǒng)安全增強軟件、服務(wù)器安全，以及統(tǒng)一安全管理平臺軟件。

（3）審計系統(tǒng)

①日志審計系統(tǒng)。日志審計系統(tǒng)一方面可以集中收集、長時間存放所有的記錄日志，避免日志遭到惡意篡改或刪除而在安全事件發(fā)生時無據(jù)可查的狀況發(fā)生，另一方面日志審計系統(tǒng)強大的日志審計功能可以為組織審計人員提供日志實時監(jiān)控、高效檢索、審計報表等日志審計手段，從而使原本不可能完成的海量日志審計工作可以在短時間內(nèi)輕松完成，大大減少信息部門的工作量。

②網(wǎng)絡(luò)安全審計系統(tǒng)。網(wǎng)絡(luò)安全審計系統(tǒng)主要通過旁路監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對各類網(wǎng)絡(luò)行為的分析，實時地、智能地監(jiān)控審計，并將審計數(shù)據(jù)存儲，以便日后進行查詢、分析，實現(xiàn)對整個網(wǎng)絡(luò)環(huán)境內(nèi)的操作訪問行為的監(jiān)控和審計。

篇5

【論文關(guān)鍵詞】檔案信息服務(wù)；隱私權(quán)；網(wǎng)絡(luò)化

檔案信息是一種重要的原始信息，也是記錄隱私的重要載體，同時，作為歷史的記錄，檔案中的許多內(nèi)容涉及個人隱私，因此，檔案工作和隱私權(quán)保護有著必然的聯(lián)系。蓬勃發(fā)展起來的網(wǎng)絡(luò)環(huán)境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統(tǒng)模式的同時，也使隱私權(quán)保護呈現(xiàn)出新的特點。網(wǎng)絡(luò)本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡(luò)化服務(wù)進程中一個極為重要的問題，由于技術(shù)的不完善，第三方（如“黑客”等）對當事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個人資料或不同的檔案網(wǎng)站之間共享個人資料的某個環(huán)節(jié)，也可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程。這也從客觀上推動了我們對檔案信息（網(wǎng)絡(luò)化）服務(wù)中的隱私權(quán)保護問題的探討。

一、檔案信息服務(wù)中涉及的隱私權(quán)問題分析

在檔案信息服務(wù)中保護隱私權(quán)的意義不僅僅在于維護當事人的合法權(quán)益，而且在于為檔案事業(yè)的發(fā)展營造良好的社會氛圍，推動檔案信息化進程，促進檔案社會價值的發(fā)揮。

（一）個人資料收集中的隱私權(quán)問題

檔案是一種重要的原始信息，且具有保密性。其中包括公民的一些重要的個人信息，大多數(shù)鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都作了嚴格的規(guī)定，同時制定了檔案的開放期限，但其法律相對方主要是機關(guān)、團體、企事業(yè)單位，對于個人重要檔案信息沒有給予明確的說明。事實上，在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關(guān)于公民的檔案之初，就應(yīng)妥善處理好隱私權(quán)問題。

隱私權(quán)保護問題在傳統(tǒng)的個人資料收集過程中并不太引人注目，但在網(wǎng)絡(luò)化的今天，檔案館通過網(wǎng)絡(luò)收集個人資料變得快捷化、自動化、詳細化，隱私權(quán)問題相對也就更加突出。比如，檔案網(wǎng)站在接受訪問時往往要求用戶提供若干個人資料，包括年齡、性別、身份證號、職業(yè)、收入、工作單位、研究方向、聯(lián)系電話、傳真、電子信箱等；檔案網(wǎng)站可以利用一些追蹤軟件來持續(xù)掌握用戶的網(wǎng)上行為，判斷他們的檔案信息消費特點。

檔案網(wǎng)站采用先進的技術(shù)手段收集個人資料并非出于惡意，目的是通過對個人資料的分析與挖掘，找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求，改進服務(wù)工作，這是網(wǎng)絡(luò)環(huán)境中檔案信息服務(wù)和信息產(chǎn)品開發(fā)“量身定制”的個性化、多樣化的要求。但是，檔案網(wǎng)站在用戶毫不知情或無可奈何的情況下（例如有的網(wǎng)站拒絕為不提供個人資料的用戶服務(wù)）收集個人資料，就會侵犯用戶對其個人資料的占有權(quán)和支配權(quán)。

（二）個人資料傳輸和貯存中的隱私權(quán)問題

檔案信息傳輸和貯存過程中所涉及的隱私權(quán)問題，主要出現(xiàn)在檔案信息網(wǎng)絡(luò)化過程中。

網(wǎng)絡(luò)本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡(luò)化服務(wù)中可能產(chǎn)生隱私權(quán)問題的又一個原因。由于技術(shù)的不完善，第三方（如“黑客”等）對當事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個人資料或不同的檔案網(wǎng)站之間共享個人資料的某個環(huán)節(jié)，也可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。比如，第三方可以直接侵入檔案網(wǎng)站的用戶數(shù)據(jù)庫，觀看、篡改、傳播個人資料，如果這種行為是出于惡意，那么當事人的隱私權(quán)無疑將受到極大的威脅。

（三）個人資料利用中的隱私權(quán)問題

不恰當?shù)乩脗€人資料是檔案信息服務(wù)中可能產(chǎn)生隱私權(quán)問題的第三個原因。

檔案利用與隱私權(quán)保護之間存在著矛盾，檔案利用必然涉及到公民的隱私權(quán)保護問題。如果涉及隱私的檔案被自由利用，就可能導致政治與經(jīng)濟活動的混亂，使社會公民產(chǎn)生生活危機感，給社會的安寧團結(jié)帶來不利因素。因此，如何認識和正確處理好檔案利用與保護公民隱私權(quán)問題，是檔案利用工作在改革開放過程中的一個重要課題。由于這種侵權(quán)往往涉及到檔案館的管理職能及檔案館對個人資料的常規(guī)使用，所以控制和防止此種侵權(quán)的困難較大。比如，檔案館將用戶為了特定的目的提供的個人資料出于業(yè)務(wù)需要用于未經(jīng)授權(quán)的另一目的上，包括但不限于向別的檔案館提供該資料，且未限制該檔案館對個人資料的合理使用——雖然這種利用個人資料的方法對用戶的合法權(quán)益并無損害。

由于各種原因，目前在檔案開放利用工作中公民的隱私權(quán)得不到應(yīng)得的保護甚至被人們所忽視，這無疑給檔案信息服務(wù)工作帶來了一定隱患。在目前我國隱私權(quán)的觀念尚未深入人心，在人們普遍缺乏隱私權(quán)保護意識的情況下，檔案部門在開放利用中忽視隱私權(quán)保護的行為還能被社會所容忍。但伴隨著我國法制化建設(shè)的進程，公民隱私權(quán)意識的加強，檔案部門在實際工作中如不能很好地貫徹法律的規(guī)定，忽視了對公民隱私權(quán)的保護，那么將會在很大程度上影響檔案信息服務(wù)工作的開展。

二、檔案信息服務(wù)中保護隱私權(quán)的對策

要使得公民的隱私權(quán)在檔案信息服務(wù)過程中得到保護，必須走依法治檔的道路，進行相關(guān)方面的檔案法律建設(shè)。目前我國《檔案法》中沒有明確規(guī)定檔案信息所涉及的隱私權(quán)問題，僅在部分條款中作有類似說明。

在檔案信息服務(wù)過程中，檔案利用是涉及隱私權(quán)的一個關(guān)鍵環(huán)節(jié)，在利用時應(yīng)區(qū)別對待，通過控制使用這些涉及私人權(quán)益的檔案，限制其利用范圍，使隱私權(quán)受到必要的保護，做到合法利用。

做好檔案信息服務(wù)中的隱私權(quán)保護，檔案界和檔案館還應(yīng)采取以下對策：

（一）制定檔案行業(yè)的隱私權(quán)保護政策

1997年9月27日，國家檔案局、國家保密局聯(lián)合頒發(fā)了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》。該文件對于有效預(yù)防在檔案開放利用工作中發(fā)生對個人隱私的侵權(quán)，起到非常重要的作用。各級各類檔案部門以此項規(guī)定作為政策指導和保障，結(jié)合各自實際館藏狀況，制定了相關(guān)的規(guī)章制度，收效顯著。不僅如此，檔案學會和檔案館也應(yīng)制定本行業(yè)的網(wǎng)絡(luò)隱私權(quán)保護政策，并在網(wǎng)站主頁的顯著位置予以明示，內(nèi)容包括：告知網(wǎng)站收集個人資料的目的、方式、范圍；對個人資料提供保密和安全措施的承諾；告知用戶的請求閱覽權(quán)、補充修正權(quán)、刪除權(quán)、訴訟權(quán)等以及相關(guān)免責條款。 　檔案法律在以后的完善健全過程中，要著重注意解決一個問題，即檔案信息開放服務(wù)過程中公民隱私權(quán)與知情權(quán)的關(guān)系。在檔案利用實踐中，我們有時不得不在保護公民隱私權(quán)和維護公民知情權(quán)之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當檔案中的隱私涉及共同利益、公共需求、政治利益時，檔案部門就要偏向于后者，因為它符合大多數(shù)人的需要，從長遠來看，根本上也符合隱私權(quán)主體的利益。

（二）加強對個人檔案隱私權(quán)的管理與技術(shù)保護

1.在檔案管理中采取措施

這是合法利用檔案信息的前提條件，要求對涉及公民隱私權(quán)的檔案進行鑒定與區(qū)分，使之與一般檔案區(qū)別對待，分開保管，做到有關(guān)檔案的完整、安全和保密。目前，檔案法規(guī)對涉及公民隱私權(quán)檔案的劃分并不十分明確，在實際工作中不易操作，這種狀況亟待改善。

利用者在利用涉及隱私的檔案時，只限于達到既定目的，當按規(guī)定獲得了對檔案的利用權(quán)后，可對這些檔案進行閱覽、復(fù)制和摘錄，但不得將其以現(xiàn)行檔案法規(guī)中明令禁止的形式對外公布，不得擅自傳閱、散布、發(fā)表這些涉及他人隱私的檔案內(nèi)容。檔案工作者有必要在提供檔案信息服務(wù)過程中向利用者說明有關(guān)注意事項。

2.網(wǎng)絡(luò)化過程中的保護手段

相對于傳統(tǒng)的紙質(zhì)檔案而言，在檔案信息網(wǎng)絡(luò)化過程中，可以采取的技術(shù)保護手段可謂多種多樣。現(xiàn)在已經(jīng)有了Cookies軟件管理工具、個人隱私偏好平臺（P3P）、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術(shù)。檔案網(wǎng)站保護個人資料的技術(shù)也有很多種，比如：檔案館為了禁止未獲授權(quán)的人截取或查閱個人資料，可以通過設(shè)置本網(wǎng)站運行的服務(wù)器，自動使電子郵件傳輸?shù)揭粋€預(yù)先指定的服務(wù)器目錄機密郵箱，只供獲得授權(quán)的人查閱。

（三）提高檔案館保護隱私權(quán)的自律性

“自律”是檔案館保護隱私權(quán)的一條重要原則，即通過檔案館采取自律措施來規(guī)范自己在個人資料收集、存貯、傳輸利用中的行為，達到保護隱私權(quán)的目的。

1.檔案館應(yīng)開展檔案開放利用的鑒定工作

組織鑒定小組及時鑒定需要開放利用的檔案，著重分析檔案涉及隱私的內(nèi)容和本館檔案的類型，從而確定哪些檔案涉及個人隱私，屬于控制范圍。對個人資料的重要程度劃分等級，以決定采取不同的保護措施。檔案館還要建立一些規(guī)章制度，避免使所有的檔案館人員都能接觸到敏感的個人資料（如出身、種族、政治傾向、宗教信仰、犯罪記錄等），確保只有經(jīng)過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案，要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》中的相關(guān)規(guī)定，對擬開放檔案組織認真鑒定，以決定包含個人資料的檔案的開放時間、開放方式和范圍。

2.檔案工作者要注意保護他人隱私

篇6

【關(guān)鍵詞】檔案信息服務(wù)；隱私權(quán)；網(wǎng)絡(luò)化

檔案信息是一種重要的原始信息，也是記錄隱私的重要載體，同時，作為歷史的記錄，檔案中的許多內(nèi)容涉及個人隱私，因此，檔案工作和隱私權(quán)保護有著必然的聯(lián)系。蓬勃發(fā)展起來的網(wǎng)絡(luò)環(huán)境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統(tǒng)模式的同時，也使隱私權(quán)保護呈現(xiàn)出新的特點。網(wǎng)絡(luò)本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡(luò)化服務(wù)進程中一個極為重要的問題，由于技術(shù)的不完善，第三方（如“黑客”等）對當事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個人資料或不同的檔案網(wǎng)站之間共享個人資料的某個環(huán)節(jié)，也可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程。這也從客觀上推動了我們對檔案信息（網(wǎng)絡(luò)化）服務(wù)中的隱私權(quán)保護問題的探討。

一、檔案信息服務(wù)中涉及的隱私權(quán)問題分析

在檔案信息服務(wù)中保護隱私權(quán)的意義不僅僅在于維護當事人的合法權(quán)益，而且在于為檔案事業(yè)的發(fā)展營造良好的社會氛圍，推動檔案信息化進程，促進檔案社會價值的發(fā)揮。

（一）個人資料收集中的隱私權(quán)問題

檔案是一種重要的原始信息，且具有保密性。其中包括公民的一些重要的個人信息，大多數(shù)鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都作了嚴格的規(guī)定，同時制定了檔案的開放期限，但其法律相對方主要是機關(guān)、團體、企事業(yè)單位，對于個人重要檔案信息沒有給予明確的說明。事實上，在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關(guān)于公民的檔案之初，就應(yīng)妥善處理好隱私權(quán)問題。

隱私權(quán)保護問題在傳統(tǒng)的個人資料收集過程中并不太引人注目，但在網(wǎng)絡(luò)化的今天，檔案館通過網(wǎng)絡(luò)收集個人資料變得快捷化、自動化、詳細化，隱私權(quán)問題相對也就更加突出。比如，檔案網(wǎng)站在接受訪問時往往要求用戶提供若干個人資料，包括年齡、性別、身份證號、職業(yè)、收入、工作單位、研究方向、聯(lián)系電話、傳真、電子信箱等；檔案網(wǎng)站可以利用一些追蹤軟件來持續(xù)掌握用戶的網(wǎng)上行為，判斷他們的檔案信息消費特點。

檔案網(wǎng)站采用先進的技術(shù)手段收集個人資料并非出于惡意，目的是通過對個人資料的分析與挖掘，找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求，改進服務(wù)工作，這是網(wǎng)絡(luò)環(huán)境中檔案信息服務(wù)和信息產(chǎn)品開發(fā)“量身定制”的個性化、多樣化的要求。但是，檔案網(wǎng)站在用戶毫不知情或無可奈何的情況下（例如有的網(wǎng)站拒絕為不提供個人資料的用戶服務(wù)）收集個人資料，就會侵犯用戶對其個人資料的占有權(quán)和支配權(quán)。

（二）個人資料傳輸和貯存中的隱私權(quán)問題

檔案信息傳輸和貯存過程中所涉及的隱私權(quán)問題，主要出現(xiàn)在檔案信息網(wǎng)絡(luò)化過程中。

網(wǎng)絡(luò)本身的安全性并不十分可靠，這是檔案信息網(wǎng)絡(luò)化服務(wù)中可能產(chǎn)生隱私權(quán)問題的又一個原因。由于技術(shù)的不完善，第三方（如“黑客”等）對當事人隱私權(quán)的侵犯既可以發(fā)生在檔案館與用戶通過網(wǎng)絡(luò)傳送個人資料或不同的檔案網(wǎng)站之間共享個人資料的某個環(huán)節(jié)，也可以發(fā)生在檔案網(wǎng)站貯存?zhèn)€人資料的過程中。比如，第三方可以直接侵入檔案網(wǎng)站的用戶數(shù)據(jù)庫，觀看、篡改、傳播個人資料，如果這種行為是出于惡意，那么當事人的隱私權(quán)無疑將受到極大的威脅。

（三）個人資料利用中的隱私權(quán)問題

不恰當?shù)乩脗€人資料是檔案信息服務(wù)中可能產(chǎn)生隱私權(quán)問題的第三個原因。

檔案利用與隱私權(quán)保護之間存在著矛盾，檔案利用必然涉及到公民的隱私權(quán)保護問題。如果涉及隱私的檔案被自由利用，就可能導致政治與經(jīng)濟活動的混亂，使社會公民產(chǎn)生生活危機感，給社會的安寧團結(jié)帶來不利因素。因此，如何認識和正確處理好檔案利用與保護公民隱私權(quán)問題，是檔案利用工作在改革開放過程中的一個重要課題。由于這種侵權(quán)往往涉及到檔案館的管理職能及檔案館對個人資料的常規(guī)使用，所以控制和防止此種侵權(quán)的困難較大。比如，檔案館將用戶為了特定的目的提供的個人資料出于業(yè)務(wù)需要用于未經(jīng)授權(quán)的另一目的上，包括但不限于向別的檔案館提供該資料，且未限制該檔案館對個人資料的合理使用――雖然這種利用個人資料的方法對用戶的合法權(quán)益并無損害。

由于各種原因，目前在檔案開放利用工作中公民的隱私權(quán)得不到應(yīng)得的保護甚至被人們所忽視，這無疑給檔案信息服務(wù)工作帶來了一定隱患。在目前我國隱私權(quán)的觀念尚未深入人心，在人們普遍缺乏隱私權(quán)保護意識的情況下，檔案部門在開放利用中忽視隱私權(quán)保護的行為還能被社會所容忍。但伴隨著我國法制化建設(shè)的進程，公民隱私權(quán)意識的加強，檔案部門在實際工作中如不能很好地貫徹法律的規(guī)定，忽視了對公民隱私權(quán)的保護，那么將會在很大程度上影響檔案信息服務(wù)工作的開展。

二、檔案信息服務(wù)中保護隱私權(quán)的對策

要使得公民的隱私權(quán)在檔案信息服務(wù)過程中得到保護，必須走依法治檔的道路，進行相關(guān)方面的檔案法律建設(shè)。目前我國《檔案法》中沒有明確規(guī)定檔案信息所涉及的隱私權(quán)問題，僅在部分條款中作有類似說明。

在檔案信息服務(wù)過程中，檔案利用是涉及隱私權(quán)的一個關(guān)鍵環(huán)節(jié)，在利用時應(yīng)區(qū)別對待，通過控制使用這些涉及私人權(quán)益的檔案，限制其利用范圍，使隱私權(quán)受到必要的保護，做到合法利用。

做好檔案信息服務(wù)中的隱私權(quán)保護，檔案界和檔案館還應(yīng)采取以下對策：

（一）制定檔案行業(yè)的隱私權(quán)保護政策

1997年9月27日，國家檔案局、國家保密局聯(lián)合頒發(fā)了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》。該文件對于有效預(yù)防在檔案開放利用工作中發(fā)生對個人隱私的侵權(quán)，起到非常重要的作用。各級各類檔案部門以此項規(guī)定作為政策指導和保障，結(jié)合各自實際館藏狀況，制定了相關(guān)的規(guī)章制度，收效顯著。不僅如此，檔案學會和檔案館也應(yīng)制定本行業(yè)的網(wǎng)絡(luò)隱私權(quán)保護政策，并在網(wǎng)站主頁的顯著位置予以明示，內(nèi)容包括：告知網(wǎng)站收集個人資料的目的、方式、范圍；對個人資料提供保密和安全措施的承諾；告知用戶的請求閱覽權(quán)、補充修正權(quán)、刪除權(quán)、訴訟權(quán)等以及相關(guān)免責條款。

檔案法律在以后的完善健全過程中，要著重注意解決一個問題，即檔案信息開放服務(wù)過程中公民隱私權(quán)與知情權(quán)的關(guān)系。在檔案利用實踐中，我們有時不得不在保護公民隱私權(quán)和維護公民知情權(quán)之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當檔案中的隱私涉及共同利益、公共需求、政治利益時，檔案部門就要偏向于后者，因為它符合大多數(shù)人的需要，從長遠來看，根本上也符合隱私權(quán)主體的利益。

（二）加強對個人檔案隱私權(quán)的管理與技術(shù)保護

1.在檔案管理中采取措施

這是合法利用檔案信息的前提條件，要求對涉及公民隱私權(quán)的檔案進行鑒定與區(qū)分，使之與一般檔案區(qū)別對待，分開保管，做到有關(guān)檔案的完整、安全和保密。目前，檔案法規(guī)對涉及公民隱私權(quán)檔案的劃分并不十分明確，在實際工作中不易操作，這種狀況亟待改善。

利用者在利用涉及隱私的檔案時，只限于達到既定目的，當按規(guī)定獲得了對檔案的利用權(quán)后，可對這些檔案進行閱覽、復(fù)制和摘錄，但不得將其以現(xiàn)行檔案法規(guī)中明令禁止的形式對外公布，不得擅自傳閱、散布、發(fā)表這些涉及他人隱私的檔案內(nèi)容。檔案工作者有必要在提供檔案信息服務(wù)過程中向利用者說明有關(guān)注意事項。

2.網(wǎng)絡(luò)化過程中的保護手段

相對于傳統(tǒng)的紙質(zhì)檔案而言，在檔案信息網(wǎng)絡(luò)化過程中，可以采取的技術(shù)保護手段可謂多種多樣?，F(xiàn)在已經(jīng)有了Cookies軟件管理工具、個人隱私偏好平臺（P3P）、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術(shù)。檔案網(wǎng)站保護個人資料的技術(shù)也有很多種，比如：檔案館為了禁止未獲授權(quán)的人截取或查閱個人資料，可以通過設(shè)置本網(wǎng)站運行的服務(wù)器，自動使電子郵件傳輸?shù)揭粋€預(yù)先指定的服務(wù)器目錄機密郵箱，只供獲得授權(quán)的人查閱。

（三）提高檔案館保護隱私權(quán)的自律性

“自律”是檔案館保護隱私權(quán)的一條重要原則，即通過檔案館采取自律措施來規(guī)范自己在個人資料收集、存貯、傳輸利用中的行為，達到保護隱私權(quán)的目的。

1.檔案館應(yīng)開展檔案開放利用的鑒定工作

組織鑒定小組及時鑒定需要開放利用的檔案，著重分析檔案涉及隱私的內(nèi)容和本館檔案的類型，從而確定哪些檔案涉及個人隱私，屬于控制范圍。對個人資料的重要程度劃分等級，以決定采取不同的保護措施。檔案館還要建立一些規(guī)章制度，避免使所有的檔案館人員都能接觸到敏感的個人資料（如出身、種族、政治傾向、、犯罪記錄等），確保只有經(jīng)過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案，要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》中的相關(guān)規(guī)定，對擬開放檔案組織認真鑒定，以決定包含個人資料的檔案的開放時間、開放方式和范圍。

2.檔案工作者要注意保護他人隱私

檔案館向社會提供檔案信息服務(wù)這一工作性質(zhì)要求檔案工作者必須熟悉館藏，以方便利用，因此，檔案工作者更容易了解到檔案中所涉及的他人隱私。檔案工作者更要注意保護他人的隱私，不能因好奇心或別有用心地把館藏檔案中涉及個人隱私的內(nèi)容泄露于眾，否則是極不道德的，也是違法的。這就要加強對檔案工作人員職業(yè)道德的規(guī)范和約束，強調(diào)對服務(wù)對象隱私的保護。

在檔案信息服務(wù)中保護隱私權(quán)的意義不僅在于維護當事人的合法權(quán)益，滿足公眾對社會信息公開化需要的同時保障其隱私權(quán)，而且在于為檔案事業(yè)的發(fā)展營造良好的社會氛圍，推動檔案信息化進程，促進檔案社會價值的發(fā)揮。這就要求檔案部門在實際工作中，尤其在檔案信息服務(wù)過程中絕不能忽視或輕視隱私權(quán)的保護，在宣傳貫徹檔案立法，保證檔案信息服務(wù)工作沿著法制化的軌道健康發(fā)展的同時，不斷加強檔案信息隱私權(quán)保護方面的教育，提高檔案信息隱私權(quán)的保護意識，使檔案信息能夠健康、安全地服務(wù)于社會、服務(wù)于我們的生活。

參考文獻：

[1]張世林.檔案利用活動中的隱私權(quán)保護原則.檔案,2003(6).

[2]張寧.試論檔案法中的隱私權(quán)保護[J].檔案學通訊,2000(4).

[3]戴定麗.檔案信息網(wǎng)絡(luò)化服務(wù)中的隱私權(quán)保護[J].檔案與建設(shè),2003(5).

[4]張偉，張江珊.檔案開放利用與公民隱私權(quán)的法律保護[J].檔案管理,2003(6).

篇7

我國食品安全監(jiān)管的形勢

食品安全問題作為世界范圍的問題，逐漸受到全世界政府的廣泛關(guān)注。世界衛(wèi)生組織曾就食品安全問題展開過專門的討論，各國也在為改善人們的生活，對本國的食品安全問題進行相關(guān)方面的安全檢測。為適應(yīng)新時代的發(fā)展潮流，我國在不斷完善食品安全的監(jiān)管工作過程中，建立了專門的食品安全檢測制度和管理機制，明確了各部門之間的分工與合作。同時，通過采用科學化的監(jiān)管手段，對監(jiān)管措施進行不斷的細化、對監(jiān)管機制進行適當?shù)耐晟坪蛣?chuàng)新以及不斷加強對監(jiān)管基礎(chǔ)設(shè)施的建設(shè)，為提升科學監(jiān)管的能力和水平以及不斷提高我國的食品質(zhì)量安全具有重要意義。

從一定程度上講，對食品安全的監(jiān)管應(yīng)該從源頭抓起，逐步實現(xiàn)從農(nóng)田到餐桌的監(jiān)管，并不斷擴大監(jiān)管的范圍。到目前為止，我國的大多數(shù)省份已經(jīng)實現(xiàn)了對食品安全的監(jiān)管管理。此外，對于食品安全監(jiān)管的管理不應(yīng)該僅僅局限于調(diào)查和評價，對高風險的環(huán)節(jié)應(yīng)該進行重點監(jiān)管，保證在以后的食品安全的發(fā)展道路上，科學的制定與食品安全有關(guān)的規(guī)章制度，不斷提高我國餐飲服務(wù)業(yè)食品安全的監(jiān)管水平，使其可以邁向更高的臺階。

但是，目前我國的食品安全問題依然比較突出，食品問題正處于食品安全風險的發(fā)展期和高發(fā)期，影響食品安全問題的矛盾依然存在，總體來說，食品安全的形勢還是相當嚴峻。同時，餐飲食品安全的監(jiān)管作為我國藥品監(jiān)督系統(tǒng)進行調(diào)整后新增的職責，面對復(fù)雜的餐飲消費環(huán)節(jié)，相關(guān)的食品安全檢驗和監(jiān)督隊伍不健全、最基礎(chǔ)的設(shè)施條件比較差以及相關(guān)的技術(shù)能力薄弱，因此難以滿足和適應(yīng)當前我國食品安全的監(jiān)管需要。

餐飲服務(wù)食品安全監(jiān)測檢驗的必要性

近年來食品安全事件不斷發(fā)生，比如：蘇丹紅、毒豬油、瘦肉精事件，對廣大民眾的生活造成一定程度的不良影響，除造成民眾的恐慌外，食品安全問題也開始逐漸受到廣大社會的極力關(guān)注。據(jù)不完全統(tǒng)計，近年來每年因食品安全造成的中毒人口和死亡人口正在呈很明顯的直線上升，尤其是近期發(fā)生的地溝油和麥樂雞事件，這再度引起全社會對食品安全問題的高度重視，和人們對食品安全問題的恐慌。

餐飲消費環(huán)節(jié)是食品在進行生產(chǎn)、加工和消費過程中諸多問題暴露和許多不安全因素積累的關(guān)鍵環(huán)節(jié)，加強對食品安全的監(jiān)管已經(jīng)幾度成為兩會的熱門話題和兩會代表們的共識。因此，要把對餐飲服務(wù)食品的監(jiān)測和檢驗工作當作是監(jiān)管工作中一項最重要的基礎(chǔ)性工作，科學的進行食品安全的監(jiān)管，根據(jù)相關(guān)的基礎(chǔ)數(shù)據(jù)對各地區(qū)的食品安全狀況做出科學化的評價。

基于我國目前餐飲服務(wù)業(yè)比較發(fā)達，各部門種類繁多，管理起來相對比較復(fù)雜，因此餐飲服務(wù)的食品安全監(jiān)測工作仍然處于起步發(fā)展階段，還未能在全國范圍內(nèi)進行廣泛的推廣。這樣就從某程度上對食品安全的監(jiān)管效能造成一定的限制，但是，加強食品安全的監(jiān)測檢驗勢在必行。

加強食品安全監(jiān)管體系的有效策略

加強風險評估體系的建立。對潛伏在食品安全中的各種風險，通過采用科學化的手段進行有效地分析，對有害物質(zhì)進行一定的識別，分析危害物本身的嚴重性、不確定性以及可能性，可以通過專門的監(jiān)測技術(shù)對危害食品安全的因素進行檢驗。為此，國家應(yīng)該建立和健全符合我國國情的餐飲服務(wù)食品安全監(jiān)測和監(jiān)督體系，確保我國的食品安全，從而全面提升餐飲服務(wù)業(yè)食品安全的水平。

建立和健全食品藥品的檢驗系統(tǒng)。為確保食品的安全，應(yīng)該逐漸建立各級的食品藥品監(jiān)督體系，為適用餐飲服務(wù)的發(fā)展需要，食品藥品的檢驗體系應(yīng)該不斷的調(diào)整規(guī)劃的建設(shè)發(fā)展方向和具體的工作思路。其次完善相關(guān)的基礎(chǔ)設(shè)施的建設(shè)，積極的開展食品藥品安全方面的培訓，不斷提升食品藥品的檢驗水平。這對提高餐飲服務(wù)的食品安全監(jiān)測水平具有積極的作用。

歸納危害食品安全的源頭。影響我國食品安全的源頭主要有生物性、物理性和化學性有害物質(zhì)。首先正確認識和區(qū)分這三類有害物質(zhì)，便可以在餐飲服務(wù)的過程中有效的避免這三類有害物質(zhì)對食品安全和人們造成的傷害。其次，我國的餐飲文化在地域上有著明顯的差異，因此要針對不同地方的不同餐飲食品確定其危害的源頭，并對其進行歸納，有的放矢。

篇8

【 關(guān)鍵詞 】 信息安全架構(gòu)；企業(yè)戰(zhàn)略；信息安全服務(wù)； 信息安全價值； 一致性；可追溯性

【 文獻標識碼 】 A 【 中圖分類號 】 TP393.08

1 引言

信息安全技術(shù)和管理經(jīng)過不斷的發(fā)展和改善，已經(jīng)能夠比較有效地解決一些傳統(tǒng)信息安全問題，如信息安全風險管理、訪問控制，脆弱性管理、加密解密和災(zāi)難恢復(fù)等。隨著信息越來越成為組織的核心資產(chǎn)，保護信息的安全已不再只是局限于技術(shù)和日常管理層面的討論，信息的安全越來越關(guān)系到組織自身發(fā)展的安全。一次重大的信息泄露事故就能使企業(yè)的市值一落千丈。同時，一套合理的訪問控制解決方案能夠幫助企業(yè)快速推出核心產(chǎn)品（尤其是電子商務(wù)）和兼并其他企業(yè)。當前信息安全發(fā)展呈現(xiàn)出新的趨勢和要求：（1）信息安全部門逐漸從成本中心轉(zhuǎn)向價值中心，信息安全的各項活動越來越和企業(yè)戰(zhàn)略緊密相連；（2）企業(yè)內(nèi)部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務(wù)來支持業(yè)務(wù)的運行。

企業(yè)的信息安全部門在不斷增強其核心影響力的同時，也承擔著隨之而來的更多責任和挑戰(zhàn)。其一是如何將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃，將信息安全融入到組織的業(yè)務(wù)流程中，并且保持信息安全控制措施與企業(yè)戰(zhàn)略的一致性和可追溯性；其二是如何使信息安全的價值得到認可并在組織內(nèi)部最大化；其三是如何滿足企業(yè)內(nèi)部各部門有計劃或無計劃的信息安全服務(wù)需求；其四是如何確保以一種系統(tǒng)主動和集中統(tǒng)一的方式來管理業(yè)務(wù)和遵從性需求，并實現(xiàn)清晰的測量和不斷的改進。

當前各企業(yè)廣泛采用的標準或最佳實踐有幾種：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。這些標準各有優(yōu)點，但也有明顯的缺憾，如表1所示（缺憾部分用X表示）。

設(shè)計本信息安全架構(gòu)旨在解決上述問題并建立一種高效機制達到如下目標。

* 將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃，確保信息安全的可追溯性、持續(xù)一致性和簡潔性，以降低成本、減少重復(fù)和提高效率。將信息安全融入到組織的業(yè)務(wù)流程中，建立一致性和可追溯性；建立清晰的信息安全架構(gòu)和愿景，以減少重復(fù)和指導信息安全投入和解決方案的實施。

* 基于客戶服務(wù)理念，信息安全服務(wù)價值得到認可，信息安全靠攏業(yè)務(wù)部門，為信息安全管理和業(yè)務(wù)管理建立共同語言。

* 全面管理信息安全，滿足目前絕大多數(shù)法律法規(guī)、標準的最佳實際的要求，并具有靈活的可擴展性，當新需求出現(xiàn)后能夠?qū)⑵淦交娜谌氲浆F(xiàn)有架構(gòu)中。

* 系統(tǒng)和集中統(tǒng)一的方式，使信息安全管理可預(yù)測和可測量，并不斷的改進。

2 信息安全架構(gòu)設(shè)計

2.1 信息安全架構(gòu)設(shè)計所基于的原則

本信息安全架構(gòu)的設(shè)計遵循四大原則。

1） 業(yè)務(wù)驅(qū)動：所有的信息安全目標應(yīng)該從業(yè)務(wù)需求中來，從而保證信息安全管理總是做“正確的事”。

2） 整合、統(tǒng)一的架構(gòu)：現(xiàn)在有數(shù)以十計的信息安全相關(guān)的法律法規(guī)，標準和最佳實踐需要去符合或參考，且其各有不同的要求側(cè)重點和優(yōu)缺點。因此很有必要將所有相關(guān)的信息安全關(guān)注點整合到一個統(tǒng)一的架構(gòu)中，以保證所有要求都被滿足，同時避免不要的重復(fù)。例如，ISO27001關(guān)注全面安全控制和風險管理，PCIDSS側(cè)重支付卡環(huán)境中技術(shù)控制和策略管理等。

3） 系統(tǒng)化思維：運用系統(tǒng)化思維可以幫助組織解決復(fù)雜且動態(tài)的問題，適應(yīng)運營中的各種變化，減輕戰(zhàn)略上的不確定性和外部因素的影響。例如，需要整合機構(gòu)、人員、技術(shù)和流程；需要考慮安全、成本和易用性的權(quán)衡；需要靠持續(xù)改進（Plan-Do-Check-Act）；需要考慮全面防護和縱深防護。

4） 易用性：信息安全架構(gòu)的最大價值在于被理解和廣泛應(yīng)用于組織的實踐當中。因此，信息安全架構(gòu)必須易于理解并且實際可操作性要強，應(yīng)避免太過復(fù)雜和晦澀。

2.2 信息安全架構(gòu)實現(xiàn)

2.2.1 信息安全架構(gòu)-域試圖

基于上面的基本原則，本信息安全架構(gòu)由三個域組成（如圖1所示）：治理（Governance）、保障（Assurance）和服務(wù)（Services）。

治理（Governance）： 信息安全治理域強調(diào)戰(zhàn)略一致性，風險管理，資源管理和有效性測量。治理域又包括三個子域：愿景與戰(zhàn)略、風險與遵從性管理和測量。各子域主要功能如下所述。

* 愿景與戰(zhàn)略： 將遵從性要求，信息安全的發(fā)展趨勢，行業(yè)發(fā)展趨勢和業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為信息安全愿景、戰(zhàn)略和路線圖。

* 風險與遵從性管理： 管理信息安全風險使信息安全風險控制在組織可接受的范圍內(nèi)。

* 測量： 監(jiān)控和測量整體信息安全的有效性并持續(xù)提升信息安全對組織的價值。

保障： 保障域側(cè)重于信息安全的全面與縱深防護措施。保障域包含預(yù)防、監(jiān)測、響應(yīng)和恢復(fù)四個部分。各部分主要功能如下所述。同時保護的對象為不同層面的信息資產(chǎn)：數(shù)據(jù)層、應(yīng)用層、IT基礎(chǔ)設(shè)施層和物理層。

* 預(yù)防： 實施信息安全控制措施包括管理措施和技術(shù)措施，防止信息安全威脅損害組織的信息安全控態(tài)。

* 監(jiān)測： 部署信息安全監(jiān)測能力監(jiān)控正在發(fā)生或已經(jīng)發(fā)生的信息安全事態(tài)。

* 響應(yīng)：部署信息安全響應(yīng)體系迅速、高效的抑制信息安全事件。

* 恢復(fù)： 建立組織的可持續(xù)性能力，但重要信息系統(tǒng)不可用時，可以在計劃的時間內(nèi)恢復(fù)。

服務(wù)： 服務(wù)域顯示了面向客戶（內(nèi)部和外部），協(xié)作與知識更新對信息安全實踐非常重要。服務(wù)域包含三個部分：信息安全服務(wù)、知識管理、意識與文化。各部分主要功能如下所述。

* 信息安全服務(wù)： 信息安全團隊應(yīng)對待組織內(nèi)部其他部門和對外部客戶一樣，基于服務(wù)基本協(xié)議，提供高質(zhì)量的信息安全服務(wù)。

* 知識管理： 知識是信息安全實踐和服務(wù)的基石。信息安全知識管理包括獲取、維護和利用知識去獲取最大的信息安全專業(yè)價值。信息安全知識應(yīng)不僅在信息安全團隊內(nèi)部而且在整個組織被共享。

* 意識與文化： 信息安全意識與文化在組織內(nèi)部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全，關(guān)心信息安全、在日常工作中關(guān)注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風險至關(guān)重要。

2.2.2 信息安全架構(gòu)-組件試圖

為支撐信息安全架構(gòu)的三個域，本信息安全架構(gòu)組件融合了不同標準和最佳實踐的精華部分，并自成一體，如圖2所示。本架構(gòu)參考的標準主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構(gòu)在企業(yè)內(nèi)實際應(yīng)用效果分析

本信息安全架構(gòu)已被推廣和應(yīng)用到各個行業(yè)中，如保險業(yè)、銀行業(yè)、教育和非盈利性機構(gòu)等。本文選取一個保險企業(yè)的案例來說明本信息安全架構(gòu)給企業(yè)帶來的積極變化。

背景：此保險公司有3000名員工，計劃在加拿大多倫多（Toronto）上市，因此需要符合加拿大和行業(yè)的一些法律法規(guī)的要求，如Bill198、PIPEDA、PCIDSS等。同時公司高層決定借鑒信息安全管理的最佳實踐標準，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構(gòu)的特點就是融合各法規(guī)、標準和最佳實踐的要求，因此不需要做任何大的改動的情況下（降低成本）就能應(yīng)用到此保險公司中。

經(jīng)過9個月的實際運行，公司進行了各項測量指標重新評估并與實施本信息安全架構(gòu)前的指標進行了對比分析。

3.1 平衡計分卡（Balanced Scorecard）[10]測評分析

平衡計分卡是衡量信息安全對企業(yè)貢獻價值的一種分析工具。平衡計分卡包括四個測量項目：對企業(yè)的貢獻，對愿景的規(guī)劃，內(nèi)部流程的成熟度和面向客戶。該保險公司在實施本信息安全架構(gòu)前后分別進行了兩次測評。測評方法是由公司高級管理人員和各部門經(jīng)理對信息安全部門進行評估，0級表示無成績，5級表示完美，然后取平均值。2011年7月評估結(jié)果顯示“企業(yè)貢獻”為2.2，“愿景規(guī)劃”為2.5，“內(nèi)部流程”為2.8，“面向客戶”為2.1；2012年7月評估結(jié)果顯示“企業(yè)貢獻”為4.1，“愿景規(guī)劃”為3.9，“內(nèi)部流程”為3.8，“面向客戶”為4.1。如圖3所示。測評結(jié)果表明實施本信息安全架構(gòu)后企業(yè)高層及各部門對信息安全給企業(yè)帶來的價值的認可度有較為明顯提升。

3.2 總體信息安全成熟度級別分析

本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級，5級是最高級。該保險公司在實施本信息安全架構(gòu)前后分別進行了兩次自評估。2011年10月實施本信息安全架構(gòu)前成熟度水平是介于2.0-3.0之間， 2012年10月實施本信息安全架構(gòu)后成熟度水平是介于3.0-4.5之間，如圖4所示。成熟度級別分析結(jié)果表明實施本信息安全架構(gòu)后整體成熟度有較為明顯提升。

3.3 獨立審核發(fā)現(xiàn)點數(shù)量分析

第三方機構(gòu)獨立審核是從專業(yè)、客觀的角度來衡量整體信息安全控制措施，包括管理、技術(shù)和流程。審核發(fā)現(xiàn)點的數(shù)量越多，表明脆弱點越多，存在的風險越大。該保險公司在實施本信息安全架構(gòu)前后分別邀請用一個第三方審核機構(gòu)對其進行了全面審核與評估（依據(jù)上市公司的管控要求）。2011年9月審核結(jié)果顯示有4個高風險項，8個中風險項和13個第風險項；2012年9月審核結(jié)果顯示無高風險項，且只有2個中風險項和4個第風險項。如圖5所示。審核結(jié)果表明實施本信息安全架構(gòu)后整體風險水平有較為明顯降低。

3.4 信息安全事件發(fā)生數(shù)量分析

信息安全事件（特別是1級與2級事件）發(fā)生的數(shù)量標志著信息安全控制措施的全面性和有效性。信息安全事件數(shù)量越少，表明整體控制措施越有效。該保險公司統(tǒng)計了實施本信息安全架構(gòu)前后發(fā)生的信息安全事件數(shù)量。2011年1月-10月期間有4個一級安全事件（重大），12個二級安全事件（嚴重），25個三級安全事件和40個四級安全事件；2012年1月-10月期間有1個一級安全事件（重大），2個二級安全事件（嚴重），10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數(shù)量分析結(jié)果表明實施本信息安全架構(gòu)后安全控制措施的全面性和有效性有較為明顯增強。

3.5 魚叉式網(wǎng)絡(luò)釣魚模擬攻擊測試結(jié)果分析

模擬釣魚攻擊測試是對企業(yè)員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊（點擊鏈接）的人數(shù)越少，表明整體信息安全水平越高。該保險公司采用ThreatSim的模擬攻擊測試平臺，在實施本信息安全架構(gòu)前后分別選取了5個分支機構(gòu)（共200人）進行了模擬攻擊測試。測試的主要方法是注冊一個與該保險公司類似的網(wǎng)絡(luò)域名，然后偽造一份看似從信息安全管理員發(fā)出的E-mail，此E-mail的大致內(nèi)容是說該保險公司于近期對相關(guān)系統(tǒng)進行了升級，將會影響到原有的帳戶和密碼，要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網(wǎng)頁。

2011年5月測試結(jié)果顯示有47%的員工點擊了有害鏈接，點擊有害鏈接的員工中有18%的人輸入了密碼，點擊有害鏈接的員工中有68%的人完成了在線培訓內(nèi)容；2012年5月測試結(jié)果顯示有14%的員工點擊了有害鏈接，點擊有害鏈接的員工中有3%的人輸入了密碼，點擊有害鏈接的員工中有98%的人完成了在線培訓內(nèi)容。如圖7所示。模擬攻擊測試分析結(jié)果表明實施本信息安全架構(gòu)后該保險公司員工整體信息安全意識水平有較為明顯進步。

3.6 信息安全服務(wù)客戶滿意度調(diào)查結(jié)果分析

客戶滿意度調(diào)查是從被服務(wù)客戶的角度來衡量信息安全團隊的服務(wù)能力，以及給公司帶來的實際價值。滿意度百分比值越高，表明信息安全團隊的能力和服務(wù)價值越被認可。該保險公司在實施本信息安全架構(gòu)前后分別對精算部、個人保險部、商業(yè)保險部、索償部、渠道與銷售部做了信息安全服務(wù)滿意度調(diào)查。

2011年8月調(diào)查結(jié)果顯示對服務(wù)專業(yè)質(zhì)量的滿意度為72%，對服務(wù)請求響應(yīng)速度的滿意度為46%，對服務(wù)態(tài)度的滿意度為67%，整體滿意度為60%；2012年8月調(diào)查結(jié)果顯示對服務(wù)專業(yè)質(zhì)量的滿意度為95%，對服務(wù)請求響應(yīng)速度的滿意度為85%，對服務(wù)態(tài)度的滿意度為92%，整體滿意度為88%；如圖7所示?？蛻魸M意度分析結(jié)果表明實施本信息安全架構(gòu)后企業(yè)各部門對信息安全服務(wù)價值的認可度有較為明顯提升。

4 結(jié)束語

現(xiàn)階段信息安全管理著重在信息安全的風險控制，隨著信息安全管理角色的轉(zhuǎn)變，信息安全需要跟多的與組織戰(zhàn)略結(jié)合，為組織創(chuàng)造更多的價值，并通過提供信息安全服務(wù)使組織內(nèi)部各部門享受到信息安全給組織帶來的價值并認可這些價值。當前被廣泛采用的一些標準和最佳實踐有其優(yōu)點，但同時無法滿足一些新的挑戰(zhàn)。目前缺乏一種高效可執(zhí)行的信息安全架構(gòu)來將企業(yè)戰(zhàn)略轉(zhuǎn)化為信息安全計劃、基于客戶服務(wù)理念使信息安全服務(wù)價值最大化以及全面系統(tǒng)化管理信息安全。本文針對上述問題提出的一種面向企業(yè)戰(zhàn)略和服務(wù)的信息安全架構(gòu)。通過將本信息安全架構(gòu)應(yīng)用到實際的企業(yè)中，驗證了本信息安全架構(gòu)能夠為企業(yè)提供更多的價值、增強客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。

參考文獻

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者簡介：

篇9

敦化市農(nóng)業(yè)局在省、州農(nóng)委的正確領(lǐng)導下和市委、市政府的高度重視下，以完善鄉(xiāng)鎮(zhèn)監(jiān)管體系建設(shè)為突破點，以服務(wù)標準化生產(chǎn)為宗旨，以“技、監(jiān)、檢、認、教、宣”六措并舉為手段，精心組織、加大工作力度，保障全市農(nóng)產(chǎn)品質(zhì)量安全，實現(xiàn)了安民心、保穩(wěn)定、促和諧。

1.以標準化生產(chǎn)技術(shù)為依托，加快農(nóng)業(yè)標準化示范區(qū)建設(shè)

一是以吉林省地方標準和延邊州地方標準為依據(jù)，將現(xiàn)已制定出的主要農(nóng)作物標準化生產(chǎn)技術(shù)規(guī)程20項及地方標準5項進行一次全面清理，徹底解決標準重復(fù)、交叉、滯后的問題。把標準化生產(chǎn)的技術(shù)規(guī)程印制成通俗易懂的操作手冊10000份發(fā)放到農(nóng)戶手中。

二是嚴格落實標準化技術(shù)操作規(guī)程。印制了農(nóng)業(yè)標準化生產(chǎn)日志5000冊，完整記錄標準化生產(chǎn)全過程，實現(xiàn)農(nóng)產(chǎn)品質(zhì)量安全追溯。各鄉(xiāng)鎮(zhèn)農(nóng)業(yè)技術(shù)人員根據(jù)農(nóng)業(yè)生產(chǎn)環(huán)節(jié)定期到村屯進行檢查指導，避免違反規(guī)程操作，嚴格監(jiān)督生產(chǎn)全過程，從生產(chǎn)環(huán)節(jié)有效地保證了農(nóng)產(chǎn)品的質(zhì)量安全。全年推廣有機食品、綠色食品生產(chǎn)技術(shù)面積5萬畝；推廣無公害農(nóng)產(chǎn)品生產(chǎn)技術(shù)面積28萬畝，在增加農(nóng)民收入的同時，有效解決了土壤及地下水污染，保護了農(nóng)業(yè)生態(tài)環(huán)境，提高了農(nóng)產(chǎn)品的質(zhì)量安全和效益，深受農(nóng)民群眾的歡迎和好評。

三是嚴格執(zhí)行已制定的《農(nóng)產(chǎn)品標示管理辦法》、《農(nóng)產(chǎn)品質(zhì)量安全監(jiān)測制度》、《農(nóng)業(yè)投入品管理使用制度》、《農(nóng)產(chǎn)品質(zhì)量安全追溯制度》、《農(nóng)產(chǎn)品質(zhì)量安全工作制度》、《初級農(nóng)產(chǎn)品市場準入和產(chǎn)地準出制度》等6項質(zhì)量安全監(jiān)管制度，使工作有理有據(jù)，完善監(jiān)管體系。

四是創(chuàng)新科技推廣服務(wù)方式。敦化市結(jié)合農(nóng)業(yè)科技入戶和農(nóng)民培訓項目，結(jié)對培育農(nóng)業(yè)示范戶2000多戶，加快了農(nóng)業(yè)標準化技術(shù)成果轉(zhuǎn)化。主要技術(shù)成果的入戶率和應(yīng)用率達到85%以上，對全市農(nóng)業(yè)標準化生產(chǎn)發(fā)揮了重要的示范帶動作用。

五是規(guī)范核心示范區(qū)，增強農(nóng)業(yè)標準化生產(chǎn)的示范作用。圍繞主導特色產(chǎn)業(yè)，選擇一批基礎(chǔ)好的大宗農(nóng)產(chǎn)品生產(chǎn)基地，率先推進標準化生產(chǎn)，建設(shè)各具特色的農(nóng)業(yè)標準化示范區(qū)。形成縣有示范區(qū)、鄉(xiāng)有示范村、村有示范戶的農(nóng)業(yè)標準化示范推廣新格局。2012年組建了市、鄉(xiāng)二級科技示范園區(qū)16處，總面積175公頃（其中：食用菌100萬袋）。

六是借助農(nóng)業(yè)龍頭企業(yè)發(fā)展農(nóng)業(yè)標準化示范基地。為提高農(nóng)產(chǎn)品的質(zhì)量檔次，積極引導和指導農(nóng)業(yè)龍頭企業(yè)，實施訂單農(nóng)業(yè)，帶動標準化農(nóng)產(chǎn)品生產(chǎn)。全市共有21家農(nóng)產(chǎn)品加工企業(yè)，實現(xiàn)11萬多公頃訂單農(nóng)業(yè)，帶動4萬多戶農(nóng)民生產(chǎn)，帶動標準化生產(chǎn)種植面積達到40多萬畝。

七是堅持從實際出發(fā)，進一步完善“包村聯(lián)戶”的工作機制和“專家＋農(nóng)業(yè)技術(shù)人員＋科技示范戶＋輻射帶動戶”的技術(shù)服務(wù)模式，達到以科技服務(wù)農(nóng)民，科技帶動農(nóng)業(yè)的效果。

2.以完善鄉(xiāng)鎮(zhèn)質(zhì)量安全監(jiān)管體系為突破點，確保工作不留死角

敦化市高度重視鄉(xiāng)鎮(zhèn)農(nóng)產(chǎn)品質(zhì)量安全監(jiān)管機構(gòu)建設(shè)工作，由市編辦發(fā)文正式在全市16個鄉(xiāng)鎮(zhèn)成立農(nóng)產(chǎn)品質(zhì)量安全監(jiān)管服務(wù)機構(gòu)，在現(xiàn)有的鄉(xiāng)鎮(zhèn)農(nóng)業(yè)技術(shù)推廣站加掛農(nóng)產(chǎn)品質(zhì)量安全監(jiān)管站的牌子，履行工作職責。

從以下四個方面著手，確保監(jiān)管工作不留死角：一是要求16個鄉(xiāng)鎮(zhèn)政府成立農(nóng)產(chǎn)品質(zhì)量安全監(jiān)管鄉(xiāng)鎮(zhèn)領(lǐng)導小組，由各鄉(xiāng)鎮(zhèn)主要領(lǐng)導擔任組長，鄉(xiāng)鎮(zhèn)農(nóng)業(yè)技術(shù)推廣站為成員，鄉(xiāng)鎮(zhèn)農(nóng)業(yè)技術(shù)推廣站負責日常工作。每個鄉(xiāng)鎮(zhèn)質(zhì)量安全監(jiān)管機構(gòu)都確定監(jiān)管服務(wù)人員2人以上。完善了縣級農(nóng)業(yè)部門有專門監(jiān)管機構(gòu)、鄉(xiāng)鎮(zhèn)一級“有職能、有人員”的監(jiān)管工作體系；二是建立了農(nóng)產(chǎn)品質(zhì)量安全監(jiān)管工作制度，制作了巡查記錄，積極開展定期巡查，巡查對象為農(nóng)業(yè)生產(chǎn)基地和農(nóng)民合作社。注重指導與檢查相結(jié)合，把指導標準化生產(chǎn)作為第一目標，堅決杜絕出現(xiàn)使用國家明令禁止使用的高毒農(nóng)藥進行農(nóng)業(yè)生產(chǎn)的現(xiàn)象發(fā)生；三是建立鄉(xiāng)鎮(zhèn)蔬菜農(nóng)殘檢測制度，在主要蔬菜基地設(shè)立了常態(tài)化監(jiān)測點，配合市檢驗中心完成蔬菜農(nóng)殘抽樣工作；四是配合市農(nóng)業(yè)綜合執(zhí)法大隊在農(nóng)資銷售旺季對本鄉(xiāng)鎮(zhèn)全部農(nóng)資經(jīng)銷店進行農(nóng)資市場檢查。注重日常監(jiān)測，把群眾反映強烈、問題突出的產(chǎn)品和經(jīng)營點納入重點監(jiān)測范圍，及時主動和市農(nóng)業(yè)綜合執(zhí)法大隊溝通，為農(nóng)業(yè)綜合執(zhí)法提供第一手可靠信息，提高監(jiān)督抽查的針對性、實效性。2012年全年配合市農(nóng)業(yè)綜合執(zhí)法大隊檢查農(nóng)資市場29次。

3.以檢測服務(wù)為手段，提高農(nóng)產(chǎn)品質(zhì)量安全水平

為及時了解農(nóng)產(chǎn)品安全狀況，根據(jù)各個農(nóng)事季節(jié)、重要節(jié)假期及重大活動，堅持日常檢測和重點抽檢相結(jié)合，全年對全市范圍內(nèi)中心市場、萬客隆超市、康惠批發(fā)市場、江南鎮(zhèn)蔬菜基地等重點種植區(qū)提供檢測服務(wù)。形成了以市農(nóng)產(chǎn)品質(zhì)量檢測站為中心，以農(nóng)產(chǎn)品批發(fā)市場、規(guī)模生產(chǎn)基地、超市檢測點為基礎(chǔ)，布局合理、職能明確、專業(yè)齊全、運行高效的農(nóng)產(chǎn)品質(zhì)量檢測體系。2012年全年市農(nóng)產(chǎn)品質(zhì)量安全檢測中心共完成蔬菜農(nóng)藥殘留超標檢測41次，出動人員84人次，其中市場監(jiān)測17次，抽樣51個；生產(chǎn)基地檢測24次，抽樣72個，合格率在95%以上，確保了人民群眾消費安全。

4.以認證管理為標桿，樹立品牌優(yōu)勢

認真搞好已認證22種無公害農(nóng)產(chǎn)品、7種綠色食品A級產(chǎn)品、3種綠色食品AA級產(chǎn)品、7種有機食品級和5個無公害農(nóng)產(chǎn)品生產(chǎn)基地及生產(chǎn)企業(yè)的管理工作。圍繞全市優(yōu)勢主導產(chǎn)業(yè)，通過走基地、走企業(yè)進行農(nóng)產(chǎn)品質(zhì)量安全知識的宣傳普及和農(nóng)產(chǎn)品質(zhì)量安全認證管理，及時印發(fā)了《無公害農(nóng)產(chǎn)品管理辦法》、《綠色食品標志管理辦法》發(fā)放到各認證企業(yè)和生產(chǎn)基地，確保已認證產(chǎn)品質(zhì)量安全，樹立良好的品牌優(yōu)勢。

5.以科技培訓為基礎(chǔ)，深入發(fā)動標準化教育工作

按照實際需求制定了科學有效的《敦化市農(nóng)業(yè)局農(nóng)產(chǎn)品質(zhì)量安全宣傳教育工作綱要》，對行政轄區(qū)內(nèi)監(jiān)管部門工作人員和管理相對人分別展開培訓。一是先后四次組織鄉(xiāng)鎮(zhèn)農(nóng)產(chǎn)品質(zhì)量安全監(jiān)管站人員進行質(zhì)量安全監(jiān)管業(yè)務(wù)培訓，提高監(jiān)管服務(wù)人員業(yè)務(wù)水平；二是通過集中授課、多媒體教學、實地練兵開展了農(nóng)資市場監(jiān)管、農(nóng)產(chǎn)品質(zhì)量安全暨標準化和檢測人員3次集中培訓；三是整合項目資源對江南鎮(zhèn)、大石頭鎮(zhèn)、黃泥河鎮(zhèn)等主要蔬菜生產(chǎn)鄉(xiāng)鎮(zhèn)開展無公害蔬菜生產(chǎn)技術(shù)培訓班，提高農(nóng)戶無公害蔬菜種植技術(shù)。全年共計舉辦各類標準化生產(chǎn)技術(shù)培訓75場次，培訓4642人次。

篇10

體系壽光市農(nóng)產(chǎn)品質(zhì)量安全信息報送遵循由下到上的報送原則。在發(fā)現(xiàn)警情時，首先由信息員或農(nóng)戶、生產(chǎn)企業(yè)等采取控制措施，同時逐級或越級向當?shù)剞r(nóng)業(yè)行政主管部門報送，遇到特重警情，及時上報農(nóng)業(yè)部。在報送信息的同時，及時控制違規(guī)農(nóng)產(chǎn)品的流通，并通過媒體向公眾事件或警情的處置信息，避免造成不必要的恐慌。壽光市目前的信息平臺主要有市農(nóng)業(yè)局管理的“壽光市農(nóng)業(yè)信息網(wǎng)”和“壽光市農(nóng)產(chǎn)品質(zhì)量安全監(jiān)管網(wǎng)”，生產(chǎn)主體可以通過這些網(wǎng)絡(luò)了解標準化生產(chǎn)、農(nóng)業(yè)投入品的備案登記情況以及蔬菜質(zhì)量安全監(jiān)管的有關(guān)信息。經(jīng)國家質(zhì)量監(jiān)督檢驗檢疫總局、山東省濰坊市及壽光市質(zhì)量技術(shù)監(jiān)督局等部門共同協(xié)調(diào)，由國家條碼推進工程辦公室自2004年6月起在壽光田苑蔬菜基地和洛城蔬菜基地實施了“蔬菜安全可追溯性信息系統(tǒng)研究及應(yīng)用示范工程”，建立了具有中國特色的“無公害蔬菜質(zhì)量追溯系統(tǒng)”。

二、壽光市農(nóng)產(chǎn)品質(zhì)量安全信息管控體系存在的問題分析

（一）信息采集不全面

壽光市的生產(chǎn)主體主要包括農(nóng)產(chǎn)品生產(chǎn)企業(yè)、農(nóng)民專業(yè)合作社、家庭農(nóng)場和種養(yǎng)大戶等。目前壽光市的農(nóng)民專業(yè)合作社已超過900家，但多數(shù)不符合規(guī)范化要求，存在檢測率不高，包裝標識不全等現(xiàn)象，且多以經(jīng)銷農(nóng)資和蔬菜為目的，對農(nóng)產(chǎn)品質(zhì)量安全信息的管控比較松散。雖然壽光市建立了信息化采集系統(tǒng)，但是對生產(chǎn)者的信息采集還沒有實現(xiàn)全覆蓋。1.產(chǎn)地環(huán)境信息未列入信息采集范圍。目前壽光市對產(chǎn)地環(huán)境的信息采集相對較少，尤其對工業(yè)三廢、農(nóng)業(yè)投入品等對環(huán)境的影響未實現(xiàn)相應(yīng)的監(jiān)測和管控。2.生產(chǎn)信息采集不全面。部分農(nóng)戶對國家有關(guān)農(nóng)業(yè)投入品使用規(guī)定及符合質(zhì)量標準要求的生產(chǎn)操作規(guī)范尚不十分清楚，農(nóng)產(chǎn)品質(zhì)量安全追溯意識較差，缺乏生產(chǎn)記錄、包裝標識、打造品牌的意識，而且包裝標識不夠規(guī)范。3.監(jiān)管信息采集不全面。由于人員編制和硬件設(shè)施的限制，個別鄉(xiāng)鎮(zhèn)的農(nóng)產(chǎn)品質(zhì)量安全監(jiān)測信息不能及時準確地得到收集。4.追溯體系不夠健全。農(nóng)產(chǎn)品主要通過批發(fā)和商販收購兩種方式銷售，銷售方式比較分散，不易實現(xiàn)可追溯。一旦發(fā)生農(nóng)產(chǎn)品質(zhì)量安全事件，無法迅速查出問題發(fā)生根源和事故責任人，不能及時排除隱患和有效控制事故蔓延。

（二）評估預(yù)警系統(tǒng)不完善

盡管壽光市建立了農(nóng)產(chǎn)品質(zhì)量安全風險信息監(jiān)測體系，在執(zhí)法監(jiān)管和檢驗監(jiān)測等方面做了大量工作，也取得了較好成績，但是，農(nóng)產(chǎn)品質(zhì)量安全預(yù)警體系仍然沒有形成有關(guān)農(nóng)產(chǎn)品質(zhì)量安全的信息統(tǒng)一管理機制。1.農(nóng)產(chǎn)品質(zhì)量安全預(yù)警模型實踐不足。農(nóng)產(chǎn)品質(zhì)量安全預(yù)警體系的建立是一項長期的綜合性工作。由于壽光市農(nóng)產(chǎn)品風險危害因子較多且不易全部收集，加之危害因子的評價背景資料不夠詳實完善，單一的預(yù)警理論和方法無法準確實現(xiàn)預(yù)警效果等諸多制約因素，所以，需要對影響壽光市農(nóng)產(chǎn)品質(zhì)量安全的危害因子進行長期的、綜合的、專業(yè)的評估和研究，從而確定預(yù)警的閾值和預(yù)警的級別。2.專業(yè)風險預(yù)警人才匱乏。目前壽光市主要依靠“農(nóng)產(chǎn)品質(zhì)量安全視頻監(jiān)控與信息管理平臺”來進行數(shù)據(jù)的統(tǒng)計和分析預(yù)警，基層的專業(yè)風險評估人員缺乏，不能及時發(fā)現(xiàn)警情和分析研判，容易導致政府主管部門對潛伏的危機信息掌握不及時、不全面，從而造成風險應(yīng)對不力或滯后等被動情況。（三）應(yīng)急反饋機制不健全壽光市在應(yīng)對農(nóng)產(chǎn)品質(zhì)量安全警情和突發(fā)事件時，嚴格遵守《山東省農(nóng)業(yè)廳農(nóng)產(chǎn)品質(zhì)量安全事故應(yīng)急預(yù)案》的要求，積極快速地作出應(yīng)急響應(yīng)。但是事故應(yīng)急體系和服務(wù)體系尚不十分健全。1.輿情監(jiān)控體系不完善。目前壽光市對蔬菜等農(nóng)產(chǎn)品質(zhì)量安全的輿情監(jiān)控較少，對可疑的監(jiān)測信息及輿情信息，未能及時地開展隱患排查和應(yīng)對工作；對于一些不實信息，也不能夠及時向社會澄清事實，消除群眾消費恐慌。2.服務(wù)體系不健全。壽光市農(nóng)產(chǎn)品質(zhì)量安全目前主要以監(jiān)管為主，基層農(nóng)業(yè)服務(wù)體系建設(shè)尚需進一步完善。尚未充分發(fā)揮農(nóng)技站、獸醫(yī)站、林業(yè)站等站所的基層服務(wù)作用。

三、對我國產(chǎn)地農(nóng)產(chǎn)品質(zhì)量安全信息管控體系構(gòu)建的建議

（一）產(chǎn)地農(nóng)產(chǎn)品質(zhì)量安全信息采集體系

1.農(nóng)產(chǎn)品質(zhì)量安全信息的采集范圍。根據(jù)影響農(nóng)產(chǎn)品質(zhì)量安全的風險隱患及其發(fā)生的環(huán)節(jié)[1]，農(nóng)產(chǎn)品質(zhì)量安全信息的采集應(yīng)包括5個方面的關(guān)鍵內(nèi)容：（1）生產(chǎn)主體的基本信息。對生產(chǎn)企業(yè)、合作社、家庭農(nóng)場、種養(yǎng)殖大戶和散戶等5種農(nóng)產(chǎn)品生產(chǎn)主體[2]，詳細登記種養(yǎng)地址、種養(yǎng)規(guī)模、負責人姓名及聯(lián)系電話等。（2）產(chǎn)地環(huán)境信息。需要采集關(guān)于工業(yè)廢水、廢氣、固體廢棄物、農(nóng)業(yè)投入品以及農(nóng)業(yè)廢棄物對土壤、水體和空氣的影響及危害信息[3]。（3）生產(chǎn)過程信息。包括農(nóng)業(yè)投入品信息、農(nóng)事操作、病蟲害（動物疫?。┓揽亍⑥r(nóng)產(chǎn)品收獲（屠宰或捕撈）過程的基本信息。農(nóng)業(yè)投入品是指在農(nóng)產(chǎn)品生產(chǎn)過程中使用或添加的物質(zhì)，包括農(nóng)（獸、漁）藥、農(nóng)作物種子、水產(chǎn)苗種、種畜禽、飼料和飼料添加劑、肥料、獸醫(yī)器械、植保機械等農(nóng)用生產(chǎn)資料產(chǎn)品。對于生產(chǎn)主體來說，需建立農(nóng)業(yè)投入品使用臺賬。對于農(nóng)資企業(yè)來說，需建立農(nóng)業(yè)投入品經(jīng)營臺賬。另外，生產(chǎn)過程中還應(yīng)包括產(chǎn)地準出信息。（4）加工和包裝環(huán)節(jié)是農(nóng)產(chǎn)品原料經(jīng)粗加工成為半成品、成品的過程，包裝材料、加工過程、加工工藝、貯存條件和運輸條件等均會影響到農(nóng)產(chǎn)品質(zhì)量的安全性[4]。因此，還需采集加工、包裝及運輸環(huán)節(jié)中的農(nóng)產(chǎn)品質(zhì)量安全信息。（5）農(nóng)產(chǎn)品質(zhì)量監(jiān)管信息。包括農(nóng)產(chǎn)品質(zhì)量監(jiān)督和執(zhí)法中發(fā)現(xiàn)的農(nóng)產(chǎn)品質(zhì)量安全信息、消費者對農(nóng)產(chǎn)品質(zhì)量安全的舉報信息，以及媒體披露的農(nóng)產(chǎn)品質(zhì)量安全信息[5]。（6）其他信息。主要包括公正性信息和認證信息。公正性信息主要指由政府部門的農(nóng)產(chǎn)品和農(nóng)業(yè)投入品質(zhì)量安全例行監(jiān)測、監(jiān)督抽查，農(nóng)產(chǎn)品質(zhì)量安全突發(fā)應(yīng)急事件的預(yù)防、控制和處理措施，以及農(nóng)產(chǎn)品質(zhì)量安全基本科普知識等；認證信息目前主要為“三品一標”等優(yōu)質(zhì)、品牌農(nóng)產(chǎn)品認證信息。2.農(nóng)產(chǎn)品質(zhì)量安全信息采集機制。（1）組織機構(gòu)及人員。就產(chǎn)地來說，需設(shè)立或指定一個專門的機構(gòu)如農(nóng)產(chǎn)品質(zhì)量安全信息中心作為信息監(jiān)管部門，下設(shè)市級、縣區(qū)級、鄉(xiāng)鎮(zhèn)級和村級監(jiān)測機構(gòu)作為信息網(wǎng)點，每一網(wǎng)點為一個信息采集點。每個網(wǎng)點配備相對穩(wěn)定的信息收集人員和監(jiān)測隊伍，形成從下而上的信息采集體系。（2）采集方法。信息采集人員定期采集農(nóng)產(chǎn)品質(zhì)量安全的相關(guān)風險信息，及時上報農(nóng)產(chǎn)品質(zhì)量安全信息中心[6]。信息采集的同時，要建立一個類似“壽光市農(nóng)產(chǎn)品質(zhì)量安全視頻監(jiān)控與信息管理平臺”的數(shù)據(jù)庫[7]，覆蓋區(qū)域內(nèi)所有的農(nóng)產(chǎn)品質(zhì)檢機構(gòu)、大型批發(fā)市場、農(nóng)貿(mào)市場、超市和示范基地檢測站，通過對農(nóng)產(chǎn)品安全生產(chǎn)和市場銷售全過程監(jiān)控信息的采集，實現(xiàn)對農(nóng)產(chǎn)品安全生產(chǎn)和市場銷售的全過程監(jiān)控；集聚各檢測中心的檢測數(shù)據(jù)，實時分析相關(guān)數(shù)據(jù)，及時向政府部門、科研部門、消費者、生產(chǎn)者、經(jīng)營者和傳遞農(nóng)產(chǎn)品質(zhì)量安全信息，實現(xiàn)信息資源在部、省、市、縣等各個層面的共享，為全面推進市場準入制度提供數(shù)據(jù)支持[8]。

（二）農(nóng)產(chǎn)品質(zhì)量安全信息分析研判體系信息分析研判體系是農(nóng)產(chǎn)品安全信息體系的主要和核心環(huán)節(jié)，需要相關(guān)部門領(lǐng)導、專家學者及技術(shù)人員進行科學咨詢、分析、研究[9]。

1.分析研判專家團隊。信息分析研判包括數(shù)據(jù)分析和專家研判兩個部分。必須建立一支穩(wěn)定的、具有相當實踐經(jīng)驗的專家隊伍。專家隊伍至少包括管理部門的領(lǐng)導、具備豐富專業(yè)知識的專家學者及技術(shù)人員等。根據(jù)專家的調(diào)查研究和經(jīng)驗判斷，制定預(yù)警分析方案和評估預(yù)測結(jié)果，進行“及時、準確、科學、客觀”的分析研判。2.分析研判方法和程序。首先利用統(tǒng)計學技術(shù)，將采集到的各種農(nóng)產(chǎn)品質(zhì)量安全信息進行定性和定量分析，根據(jù)定性分析和定量分析結(jié)果撰寫基礎(chǔ)性農(nóng)產(chǎn)品質(zhì)量安全信息報告材料；然后組織農(nóng)產(chǎn)品質(zhì)量安全信息分析研判專家對信息開展深入的分析研判，確定觀察對象各指標的權(quán)重，計算出觀察對象危險程度的綜合分數(shù)；最后根據(jù)預(yù)先設(shè)定的警戒線（閾值），對不同預(yù)警對象進行預(yù)測和推斷，甄別出高危品種、高危地區(qū)、高危人群等[10]。3.信息分級。在農(nóng)產(chǎn)品質(zhì)量安全信息分析研判過程中，一般將農(nóng)產(chǎn)品質(zhì)量安全信息等級分為：特別關(guān)注（I級）、高度關(guān)注（II級）、重點關(guān)注（III級）、密切關(guān)注（IV級）4個等級。

（三）農(nóng)產(chǎn)品質(zhì)量安全信息報告和交流反饋體系農(nóng)產(chǎn)品質(zhì)量安全信息分析研判結(jié)果，要及時上報政府有關(guān)部門并向社會，正確引導輿論，維護消費者和農(nóng)民正當權(quán)益。