導(dǎo)語：如何才能寫好一篇單位網(wǎng)絡(luò)安全考評制度，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

1、 引言

隨著信息化建設(shè)的發(fā)展，信息安全越來越多的受到人們的重視，企業(yè)信息安全重點面臨的問題主要表現(xiàn)在[1]：1)網(wǎng)絡(luò)受到外部的惡意攻擊，部分單位無終端接入控制措施，使企業(yè)的正常業(yè)務(wù)無法開展或相關(guān)重要數(shù)據(jù)被盜取;2)網(wǎng)站受到黑客攻擊，由于部分掌握網(wǎng)絡(luò)技術(shù)的不法人員查詢到破解網(wǎng)站所存在的漏洞，加以利用并篡改網(wǎng)站信息及獲取網(wǎng)站管理權(quán)限，使得網(wǎng)站陷入癱瘓;3)信息的監(jiān)管不利產(chǎn)生不良的影響，通常情況下信息沒有主管部門負責(zé)審核導(dǎo)致監(jiān)管不到位，那么不良信息就可能由于工作人員的疏忽而上傳到網(wǎng)站上，造成不良影響;4)計算機病毒的危害，相關(guān)系統(tǒng)不及時更新補丁和升級，受到病毒入侵并加以利用，篡改應(yīng)用系統(tǒng)信息或獲取管理權(quán)限，使得應(yīng)用系統(tǒng)丟失重要信息。

當(dāng)前，有關(guān)信息系統(tǒng)的安全評價雖然存在著多種多樣的具體實踐方式，但在目前還沒有形成系統(tǒng)化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數(shù)學(xué)，而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數(shù)結(jié)合，建立了安全評價體系，并運用隸屬函數(shù)和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統(tǒng)安全的某一個方面出發(fā)，如技術(shù)、管理、過程、人員等，著重于評估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實踐規(guī)范。在操作上主觀隨意性較強，其評估過程主要依靠測試者的技術(shù)水平和對網(wǎng)絡(luò)系統(tǒng)的了解程度，缺乏統(tǒng)一的、系統(tǒng)化的安全評估框架，很多評估準(zhǔn)則和指標(biāo)沒有與被評價對象的實際運行情況和信息安全保障的效果結(jié)合起來。

大型企業(yè)信息安全管理體系的研究，就是為了尋找一個科學(xué)、合理的管理體系，并根據(jù)該體系和方法對大型企業(yè)的信息安全狀況和水平進行評價，對信息安全管理績效進行考核。

2、 大型企業(yè)信息安全管理體系的內(nèi)涵

通過管理體系的應(yīng)用，將對大型企業(yè)信息安全產(chǎn)生非常重要的作用。一是可以對企業(yè)信息安全的水平做出客觀的反應(yīng)，認識企業(yè)信息安全存在的不足之處，發(fā)揮考評體系的指導(dǎo)作用，引導(dǎo)企業(yè)“信息安全”工作健康科學(xué)發(fā)展;二是可以為企業(yè)信息安全的建設(shè)指明方向，為信息安全的發(fā)展提供有力支撐;三是可以幫助企業(yè)管理者建立起一套科學(xué)的信息安全管理系統(tǒng)，有效控制信息化活動的進程，提高信息安全級別，減少因信息安全事件引起的損失，有利于正確引導(dǎo)和規(guī)范企業(yè)的信息化建設(shè)，指導(dǎo)企業(yè)科學(xué)發(fā)展具有重要的意義。

3、 大型企業(yè)信息安全管理體系的主要做法

為了大型企業(yè)信息安全管理體系的建立，提出了管理體系的目標(biāo)：對于信息安全方面出現(xiàn)的問題，達到防范目的;對于信息安全工作進行查漏補缺，加強管理;通過評估體系的考核，落實相關(guān)信息安全文件、推進信息安全工作，為企業(yè)信息安全的建設(shè)指明方向，同時注重管理體系整體的時效性，根據(jù)信息安全發(fā)展的不同階段進行及時更新。

1) 建立大型企業(yè)信息安全體系

信息安全體系總體設(shè)計。信息安全體系設(shè)計共分為三級，包含9個一級指標(biāo)，14個二級指標(biāo)，27個三級指標(biāo)。一級指標(biāo)和二級指標(biāo)為共性指標(biāo)，三級指標(biāo)為數(shù)據(jù)采集項。一級指標(biāo)包括：網(wǎng)絡(luò)安全管理、環(huán)境安全管理、應(yīng)用系統(tǒng)安全管理、數(shù)據(jù)安全管理、終端安全管理、操作安全管理、網(wǎng)絡(luò)信息安全、移動信息化安全、服務(wù)器掃描情況。一級和二級指標(biāo)結(jié)構(gòu)圖如下：

2)信息安全考評指標(biāo)的權(quán)重設(shè)計

指標(biāo)權(quán)重理論思路。具體權(quán)重根據(jù)德爾菲法[4]、層次分析法，結(jié)合政策導(dǎo)向確定。

管理體系的指標(biāo)權(quán)重確定方法設(shè)計過程中，選取兩組技術(shù)、管理等方面的專家，其中一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，確定各指標(biāo)的相對重要性，采用層次分析法確定各指標(biāo)的權(quán)重。另外一組專家根據(jù)各指標(biāo)在企業(yè)信息化中的重要程度，對各指標(biāo)按百分制進行賦值，確定各指標(biāo)的權(quán)重。綜合兩組專家的意見，初步確定各指標(biāo)的權(quán)重，再組織專家研討會，最終確定各指標(biāo)的權(quán)重。

企業(yè)信息安全考評指標(biāo)總分計算方法：

I=Σ(Pi*Wi) (1)

I表示指標(biāo)體系的總得分;Pi表示第i個指標(biāo)的得分，各指標(biāo)得滿分都是100分;Wi表示第i個指標(biāo)的權(quán)重，所有指標(biāo)權(quán)重的和為100%。

3)建設(shè)大型企業(yè)信息化評價管理系統(tǒng)

為了實施信息安全措施體系，以信息安全體系、信息安全文件和考評制度為基礎(chǔ)，研發(fā)包括信息安全在內(nèi)的大型企業(yè)信息化評價管理系統(tǒng)。通過使用該系統(tǒng)，將減輕信息化管理部門的負擔(dān)，填報和匯總數(shù)據(jù)的效率顯著提高，最為突出的是以上報數(shù)據(jù)為基礎(chǔ)，可以自動、實時地形成各種統(tǒng)計、分析圖表，從而完成以往需要信息化管理人員幾天才能完成的大量統(tǒng)計工作，大大減輕了信息化管理部門的工作強度，增加了信息化管理部門對新情況快速反應(yīng)能力。

系統(tǒng)整體架構(gòu)由數(shù)據(jù)庫層、框架服務(wù)層、應(yīng)用邏輯層、界面表現(xiàn)層組成，系統(tǒng)部署了tomcat下運行的I@Report和BI@Report作為框架服務(wù)層，并在此基礎(chǔ)上開發(fā)了業(yè)務(wù)系統(tǒng)。

系統(tǒng)主要實現(xiàn)了如下功能：

編碼同步、基層權(quán)限管理、評價初始化、基層初評、數(shù)據(jù)提交、部門權(quán)限管理(含單位、指標(biāo)項)、管理部門復(fù)評、信息稽核、數(shù)據(jù)計算、統(tǒng)計管理、查詢管理、決策模型。

建立統(tǒng)一的數(shù)據(jù)報送平臺，提高企業(yè)信息整合水平。

建立在線交流及公告平臺。

系統(tǒng)根據(jù)建立的數(shù)學(xué)模型進行綜合分析，可自動、實時地形成各種統(tǒng)計分析圖表、報告等，例如：信息化評級、信息化水平評測報告。

4、 結(jié)束語

通過大型企業(yè)信息安全管理體系的實施，使企業(yè)信息化水平評估體系更加完善，在考評信息化建設(shè)水平的同時，又對信息安全水平等級有所提升。