導(dǎo)語：信息安全建設(shè)工作思路探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著互聯(lián)網(wǎng)+飛速發(fā)展，電子業(yè)務(wù)的不斷創(chuàng)新發(fā)展，加強(qiáng)信息安全建設(shè)逐漸成為各項工作中的頭等大事。本文重點分析了目前信息安全建設(shè)方面存在的不足和缺失，以及下階段如何開展工作不斷強(qiáng)化人員安全意識，加強(qiáng)信息安全建設(shè)工作，以保障信息化建設(shè)安全運(yùn)行，各項工作順利開展，順應(yīng)時代的大步伐跨越式發(fā)展。

關(guān)鍵詞：信息安全；信息科技風(fēng)險；管理體系

1信息安全建設(shè)現(xiàn)狀

現(xiàn)行制度方面，現(xiàn)行有效制度涵蓋軟件開發(fā)、軟硬件運(yùn)維、應(yīng)急管理、安全操作、外包管理、供應(yīng)商管理等方面，覆蓋面較為全面，但是缺乏體系，沒有根據(jù)一個標(biāo)準(zhǔn)系統(tǒng)的制定出一整套操作性強(qiáng)、執(zhí)行性強(qiáng)的制度體系。上報機(jī)制方面，目前采取信息處內(nèi)部逐級上報機(jī)制，即發(fā)現(xiàn)問題上報至科長，科長根據(jù)重要等級不同決定上報給處長、主管主任、信息科技委員會。內(nèi)部評審方面，現(xiàn)階段只針對現(xiàn)行制度對文檔的完整性和準(zhǔn)確性進(jìn)行事后自評，定期配合外部審計機(jī)構(gòu)進(jìn)行專項審計;監(jiān)控平臺只對機(jī)房環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)及系統(tǒng)軟件進(jìn)行實時監(jiān)控。信息科技風(fēng)險評估方面，根據(jù)國家標(biāo)準(zhǔn)從信息資產(chǎn)、威脅、脆弱性的識別、風(fēng)險值評估、風(fēng)險項統(tǒng)計分析、總體評價和不可接受風(fēng)險處理等7個方面，對整體信息化系統(tǒng)包含的硬件設(shè)備、軟件系統(tǒng)、數(shù)據(jù)信息和管理制度等內(nèi)容進(jìn)行了全面的評估，每半年上報一次信息科技風(fēng)險報告，并制定相應(yīng)的整改計劃。

2信息安全建設(shè)存在的問題

2．1管理制度建立不完善

目前，在信息科技風(fēng)險的上報機(jī)制、自評機(jī)制和監(jiān)控機(jī)制都存在著不同程度上有所缺失，例如尚未建立雙向上報機(jī)制;自評范圍不全面，缺少對數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)等的覆蓋;缺少殘余信息科技風(fēng)險的控制緩釋措施及評價流程。同時，現(xiàn)有信息科技風(fēng)險管理制度的完整性、可操作性需要進(jìn)一步改進(jìn)。

2．2信息安全意識不強(qiáng)

職工信息安全意識較為缺乏，沒能把信息安全意識變成一種習(xí)慣、一種常態(tài)化的意識真正融入到日常的工作生活中，沒能真正意識到加強(qiáng)信息安全的重要程度。

3信息安全建設(shè)工作思路

隨著互聯(lián)網(wǎng)+迅猛發(fā)展，加強(qiáng)信息安全建設(shè)日益重要，我認(rèn)為應(yīng)從加強(qiáng)安全審計、建立風(fēng)險上報機(jī)制、強(qiáng)化信息安全管理、科技信息風(fēng)險防范等四個方面不斷加強(qiáng)信息安全建設(shè)工作:

3．1分析差距，完善內(nèi)審監(jiān)控管理體系

按照信息安全管理體系ISO27001標(biāo)準(zhǔn)梳理現(xiàn)狀，認(rèn)真分析研究，查找存在的差距，制定信息安全內(nèi)控操作規(guī)程，針對軟件開發(fā)、軟件運(yùn)維、硬件管理各項工作中具體內(nèi)控操作流程制定信息安全審計依據(jù)。可聯(lián)合相關(guān)處室，定期組織信息安全內(nèi)部審計，建立事前預(yù)警、事后考評的整套內(nèi)審監(jiān)控管理體系，對潛在的信息風(fēng)險進(jìn)行有效控制。

3．2安全防控，建立風(fēng)險上報長效機(jī)制

依據(jù)CIA屬性對現(xiàn)有信息資產(chǎn)按照實物資產(chǎn)、人員資產(chǎn)、數(shù)據(jù)資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)進(jìn)行分類賦值，識別信息資產(chǎn)面臨的威脅與弱點，推導(dǎo)出信息資產(chǎn)面臨的安全風(fēng)險，提出相應(yīng)的安全措施并制定整改計劃。另外，建立風(fēng)險點上報機(jī)制，各個分管機(jī)構(gòu)風(fēng)險管理員負(fù)責(zé)收集存在的風(fēng)險點隱患并及時上報信息處、風(fēng)險處，由信息處匯總風(fēng)險點，雙向上報給風(fēng)險處及相關(guān)領(lǐng)導(dǎo)，針對風(fēng)險點中提出的問題及時跟進(jìn)，并協(xié)調(diào)相關(guān)處室進(jìn)行有效處理。

3．3強(qiáng)化意識，緊抓信息安全管理

針對目前職工信息安全意識較為薄弱的現(xiàn)狀，一是借助官方網(wǎng)站、微博、月刊、簡報等宣傳載體，開展形式多樣的信息安全的宣傳教育活動，讓每名干部職工時刻緊繃信息安全這根弦;二是邀請專家定期組織信息安全培訓(xùn)，普及安全應(yīng)用技術(shù)，強(qiáng)化全員的安全責(zé)任和意識。三是結(jié)合各部門信息安全工作實際，就一段時期內(nèi)容易產(chǎn)生的安全問題組織不定期的安全技術(shù)人員專題講座，提高信息網(wǎng)絡(luò)安全管理人員的能力。

3．4抓好關(guān)鍵，確保信息安全工作無死角

一是抓好關(guān)鍵部位的安全。按照影響的重要程度劃分，重點加強(qiáng)對互聯(lián)網(wǎng)和未來電子業(yè)務(wù)的安全監(jiān)控，并定期進(jìn)行安全掃描和測評，保證關(guān)鍵設(shè)備關(guān)鍵系統(tǒng)的安全運(yùn)行。二是抓好關(guān)鍵時間的安全。針對管理現(xiàn)狀，我建議增加對值班人員的監(jiān)督管理，加強(qiáng)對交接班以及節(jié)假日關(guān)鍵時間節(jié)點的安全監(jiān)控;三是抓好關(guān)鍵崗位人員的安全。對新職工和重點崗位的人員要重點監(jiān)管，加強(qiáng)培訓(xùn)和教育，時刻關(guān)注關(guān)鍵人員的思想動態(tài)，以便及時采取安全防范措施。

作者:許璐 單位:天津市住房公積金管理中心