審計信息安全管理精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的審計信息安全管理主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:審計信息安全管理范文
審計信息是審計人員在工作中運用一定的技術、方法、手段,收集加工提煉整理的業務信息,是反映和體現審計工作成果的重要載體,主要包括審計工作信息和審計項目信息,涉及銀行敏感信息及經營決策管理的商業秘密。審計人員泄密風險如影隨形,無時不在,審計信息保密事關銀行信息安全和審計聲譽。因此,審計人員肩負審計數據及信息安全的重任,牢固樹立保密意識、嚴格履行保密職責、執行保密紀律是每個審計人員義不容辭的責任。
一、審計信息渠道
審計信息主要來源于審計管理系統及平臺信息和審計業務信息收集兩個方面:
第一,審計管理系統及平臺信息是審計人員在實施審計項目、進行審計管理的過程中,通過審計應用系統及平臺獲取審計業務操作與管理的業務和數據信息,包括非現場審計系統(OAS系統)信息、審計管理信息系統(AMIS系統)信息、審計知識庫系統信息、任期經濟責任審計信息資料庫信息、總審計室信息平臺等信息。
第二,審計業務信息是審計項目和日常審計工作中由各級機構提供的業務信息以及審計項目信息。業務信息包括審計機構審計計劃、審計研究成果、被審計機構經營計劃及業務指標、客戶及其賬戶信息、業務管理信息等,以及通過Notes郵箱、辦公自動化系統(OA系統)、檔案管理信息系統等收集整理的各類業務信息。審計項目信息包括審計方案、審計報告、審計模型、審計證據、審計工作底稿,以及審計過程中通過會計檔案管理系統、UAAP統一報表平臺、對公信貸業務流程系統(CLPM系統)、個人信貸管理系統(A+P系統)、信貸管理系統(CMISII系統)、ODSB二期及ERPF報表查詢等收集加工整理的各類信息。
二、主要問題和風險
(一)審計信息未集中管理,存在泄密的潛在風險隱患
便攜式計算機是審計人員的必備工具,其中存儲大量重要信息,實施審計項目按照審計方案要求分組開展,審計現場點多面廣,審計資料不便于集中,審計人員注重信息資料使用忽視保密管理,對敏感及信息未經加密處理采取保密措施,形成審計信息安全隱患。一是項目實施過程中審計信息處于分散失控狀態,缺乏安全管理;二是審計項目結束后,由于未明確和指定專人負責歸集審計項目信息,致使審計人員未及時清理、歸集移除審計項目電子信息資料,長久滯留審計人員計算機中將可能導致審計信息流失和泄密。
(二)計算機上網導致審計信息失密,造成損失形成銀行聲譽風險
計算機上網成為信息泄露的主要途徑,計算機使用無線鍵盤或鼠標上網、移動存儲介質與聯網計算機交叉使用將會導致失泄密。一是審計人員因工作需要,有時通過互聯網傳送或下載工作信息,或上網查詢信貸客戶企業注冊登記等信息,如果客戶敏感信息被不法分子截獲并利用,給客戶帶來不利影響的同時,將會導致銀行聲譽風險的嚴重后果。二是審計人員使用的計算機、U盤等磁介質若不采取保密措施,未經加密在互聯網上傳輸行內重要數據或信息,被竊密者運用技術軟件竊取,無意中將泄露銀行敏感信息或商業秘密,給銀行造成無可估量的損失。
(三)審計管理系統用戶認證安全機制低、對客戶敏感信息訪問無控制
由于非現場審計系統對相關敏感數據字段未能加密,在審計項目實施過程中,審計人員登錄系統可任意查詢導出相關的信息及數據,存在敏感信息和商業秘密泄漏的風險。
三、審計信息安全管理措施
第一,健全制度,落實責任。為加強審計信息安全保密,對于計算機設備使用管理、審計管理系統運行管理及數據信息安全保密管理,制定信息安全管理制度,明確責任,落實保密職責。
第二,加強安全保密培訓和教育,筑牢審計人員的安全和風險意識。一是要警鐘長鳴,加強警示教育,做到防患于未然。二是建立信息安全的長效機制,將審計信息安全保密作為審計人員培訓教育的重要內容,使之深刻認識安全無小事,牢記“失之毫厘、謬以千里”道理,始終繃緊安全保密意識的弦,嚴守保密紀律,自覺履行保密職責。
第三,加強審計系統用戶管理,嚴格用戶操作權限,禁止將用戶口令及UKEY轉借他人使用。在未開展審計項目階段限制非現場審計系統操作用戶,使用系統必須經過申請批準,以防止敏感信息泄露。搭建開放的非現場審計系統學習培訓環境,提供審計人員用于學習操作非現場系統。
第四,利用管理信息平臺FTP服務器對審計重要信息進行管理,實現遠程資源共享,審計人員可查詢相關工作信息,本機不再保存敏感信息和數據,切實防范便攜機或移動硬盤存儲審計信息失泄密的風險隱患。
第五,落實安全管理責任,簽訂《審計崗位人員保密協議》,強化保密意識,約束審計信息保密行為。
第六,加強計算機管理,嚴防信息失泄密。設置屏幕保護的時間和密碼,確保在長時間不使用計算機時對屏幕上和系統內的敏感信息進行安全保護。計算機做到專機專用,與互聯網物理隔離,禁止通過電子郵箱或互聯網傳輸及重要工作信息,避免移動存儲介質交叉使用。
第七,應用技術手段加強信息安全管理,審計條線全員推廣使用Windows7(企業版)操作系統,應用全盤加密(BitLocker)功能,能夠有效降低因設備物理丟失導致的審計信息泄露風險,有助于加強審計信息安全管理。
第2篇:審計信息安全管理范文
1.強化“制度”管理,為創建信息安全區提供制度保障。
我們根據《中國人民銀行信息安全管理規定》和《河南省人民銀行系統規范化管理辦法》的相關要求,結合當地的實際,建立和完善組織機構建設、計算機安全設備管理、系統操作規程設計、網絡建設的安全規劃與立項、信息系統安全審計、應急處理預案建設、目標責任制落實等一整套涉及信息安全管理的規章制度,為各項工作創建的落實奠定一個完善的制度基礎。與此同時,嚴格信息安全管理檢查制度。科技部門每季會同保衛部門、人事部門、內審部門、紀委組織一次中支機關和轄內的信息安全檢查,每次都制定了詳細的檢查方案,確保檢查工作的可操作性和規范性。安全檢查完成后及時形成檢查報告,報中支信息安全領導小組,并經信息安全領導小組審閱后將檢查整改報告送達被檢查單位,限期整改并進行后續跟蹤。
2.強化“組織”領導,為創建信息安全區提供組織保證。
一方面中支機關及所轄縣(市)支行都按要求成立以行長為組長、其他領導班子成員任副組長、部門負責人為成員的信息安全領導小組。另一方面機關各部門設立信息安全管理崗位,指定一名責任心強,熟悉計算機相關知識的職工為信息安全員,具體負責本部門信息安全管理的有關事宜。信息安全領導小組下設辦公室,由科技科具體負責協調機關及轄內信息安全管理工作,為信息安全領導小組提供重大事項決策的有關事宜,為信息安全管理提供高效的組織保證。
3.強化“操作”規程,確保信息安全區創建工作的規范化。
明確的崗位目標與操作規程是金融信息安全區創建的重要一環。我們對中支信息安全管理員(部門計算機安全員)、技術支持人員、業務操作人員、一般計算機用戶等確定各自的崗位目標和操作規程及應當承擔的安全義務。同時制訂了明確的崗位操作規程,做到責權明晰,操作規范。同時,我們加強部門之間的協調,要求各部門都要制訂業務應急預案和詳細的操作規程,然后由科技科進行匯總、協調,形成有效的聯防機制。
4.強化“責任”管理,加大金融信息安全區的創建力度。
按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,根據不同層次制訂不同內容的信息安全管理責任書,落實各項責任制,信息安全領導小組組長與副組長和各縣(市)支行行長、副組長與分管部門負責人、部門負責人與崗位責任人層層簽訂信息安全責任書,對沒有按照規定簽訂責任書的部門,在出現安全事故時,按照“上溯一級”的原則,追究當事人的直接責任和部門負責人的領導責任。
5.強化“技術”指導,為創建信息安全區的提供智力支持。
重點強化了中支各部門計算機信息安全人員及所轄縣市支行安全管理人員的技術指導和信息安全知識的傳播,通過舉辦不同形式的信息安全培訓班,提高他們自覺防范的意識和技能,為信息安全打好第一道防線。
6.強化“監督”管理,鞏固金融信息安全區創建成果。
第3篇:審計信息安全管理范文
兩個發展階段
衛生監督中心信息安全等級保護工作大致經歷了兩個發展階段。
啟動與探索階段(2007年~2008年):2007年12月,原衛生部組織專家組對部直屬機關報送的信息安全等級保護定級情況進行了評審。衛生監督中心的衛生監督信息報告系統和衛生行政許可受理評審系統確定為第三級保護,衛生監督中心網站確定為第二級保護。衛生監督中心在了解了信息安全等級保護制度的同時,啟動了信息安全等級保護相關工作。為摸清信息安全隱患,2008年衛生監督中心聘請了具有信息安全相關資質的信息安全咨詢公司對等保涉及的信息系統進行了信息安全測評,并制定了相應的整改方案。由于2008年信息安全整改資金等原因,未開展相關整改工作。
發展階段(2009年至今):本著統籌考慮、分布實施的原則,在實施國家級衛生監督信息系統建設項目之初就參照等級保護有關要求規劃和設計業務應用系統及其運行環境,同時積極開展等級保護備案等工作。在國家級項目二期中,專項對信息安全進行加固。并每年邀請公安部信息安全等級保護評估中心,對衛生監督中心的第三級保護系統進行了安全等級測評。
截至目前,衛生監督中心共有3個信息安全等級保護第三級的信息系統,4個信息安全等級保護第二級的信息系統。
信息安全技術體系
衛生監督信息系統信息安全技術體系建設,嚴格遵循等級保護第三級的技術要求進行詳細設計、技術選擇、產品選型、產品部署。技術體系從物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等5個方面進行設計。
1.物理安全
衛生監督中心現有南北兩個機房,機房及相關配套設施面積總計160平方米。北機房部署等級保護第三級信息系統,南機房部署等級保護第二級信息系統,實現了第三級系統與第二級系統物理環境隔離。根據等級保護有關要求,機房均采用了精密空調、門禁系統、環境監測系統等設備設施及技術手段,有效地保證了機房的物理安全。
2.網絡安全
主干網絡鏈路均采用雙鏈路連接,關鍵網絡、安全設備均采用雙機冗余方式,避免單點故障。采用防火墻、入侵防護系統、DDoS系統進行邊界防護,各網絡區域之間采用防火墻進行區域隔離,在對外服務區部署了入侵檢測系統,在交換服務區部署了網絡審計系統。在核心數據區部署了數據庫審計系統,對網絡行為進行監控和記錄。在安全管理區部署安全管理系統,實現設備日志的統一收集及分析。
3.主機安全
所有服務器和管理終端配置了密碼安全策略;禁止用戶遠程管理,管理用戶必須進入機房通過KVM進行本地管理;所有服務器和管理終端進行了補丁更新,刪除了多余賬戶,關閉了不必要的端口和服務;所有服務器和管理終端開啟了安全審計功能;通過對數據庫的安全配置,實現管理用戶和特權用戶的分離,并實現最小授權要求。
4.應用安全
衛生監督中心7個應用系統均完成了定級備案,并按照等級保護要求開展了測評工作。應用服務器采取了集群工作部署,保證了系統的高可用性,同時建立了安全審計功能模塊,記錄登錄日志、業務操作日志、系統操作日志3種日志,并實現查詢和審計統計功能,配置了獨立的審計賬戶。門戶網站也采用了網頁防篡改、DDoS等系統。信息安全等級保護第三級系統管理人員及高權限用戶均使用CA證書登錄相應系統。
5.數據安全及備份恢復
衛生監督信息報告系統數據庫服務器使用了雙機熱備,應用服務器采用多機負載均衡,每天本地備份,保證了業務系統的安全、穩定和可靠運行。其余等級保護第三級信息系統使用了雙機備份,無論是軟件還是硬件問題,都可以及時準確地進行恢復并正常提供服務。同時,衛生監督中心在云南建立了異地數據備份中心,每天進行增量備份,每周對數據進行一次全備份。備份數據在一定時間內進行恢復測試,保證備份的有效性。
信息安全管理體系
在開展信息安全等級保護工作中,我們深刻體會到,信息安全工作“三分靠技術,七分靠管理”。為保證信息安全等級保護工作順利進行,參考ISO/IEC 27001《信息安全管理體系要求》,衛生監督中心建立了符合實際工作情況的信息安全管理制度體系,明確了“統一領導,技管并重;預防為主,責權分明;重點防護,適度安全”的安全方針,涵蓋等級保護管理要求中安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五大方面的要求。
衛生監督中心建立了較為完善的信息安全責任制,設立了信息安全領導小組,領導小組組長由衛生監督中心主任擔任,成員由衛生監督中心有關處室負責人組成,信息處作為信息安全工作辦公室負責衛生監督中心日常信息安全管理工作。信息處設立了信息安全管理崗位,分別為網絡管理員、系統管理員、應用管理員、安全管理員、安全審計員、機房管理員,并建立了信息安全崗位責任制度。
此外,衛生監督中心依據上年度運維中存在的信息安全隱患每年對其進行修訂,確保信息安全工作落到實處。
信息安全運維體系
在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等級保護有關要求指導信息安全運維實踐。
衛生監督中心結合實際情況,編制了《國家級衛生監督信息系統運行維護工作規范》,從運行維護流程、資源管理和環境管理三個方面進行了規范,將安全運維理念落到實處。
運維人員在實際工作中,嚴格按照工作規范要求。利用衛生監督中心OA系統,建立了統一的服務臺,實現了事件、問題的全流程閉環管理(即:發現問題、登記問題、解決問題、解決反饋、解決確認)。年均處理信息安全事件近百件,將信息安全問題消滅在萌芽階段,有效地保證了信息系統穩定運行,保證了衛生監督中心信息安全目標和方針的實現。
信息安全等級保護實踐經驗
1.規范管理,細化流程
衛生監督中心從安全管理制度、安全管理組織機構及人員、安全建設管理和安全運維管理等方面建立了較為完善的安全管理體系。通過管理體系的建設,為國家級衛生監督信息系統運維管理工作中安全管理提供了重要指導。
國家級衛生監督信息系統運維工作從安全管理體系的建設中吸取了很多有益經驗,不僅合理調配了運維管理人員,落實了運維管理組織機構和崗位職責,而且細化了運維管理流程,形成了“二級三線”的運維處理機制。
2.循序漸進,持續完善
第4篇:審計信息安全管理范文
信息安全的總需求是邊界安全、網絡安全、主機安全、終端安全、應用安全和數據安全的最終目標,是確保信息機密性、完整性、可用性、可控性和抗抵賴性,以及企業對信息資源的控制[1]。2009年福建公司開展了等級保護工作,結合今年福建公司安全防護體系建設和等保測評成果,證明信息安全防護重點在于管理。現代企業管理實踐也證明,任何工作均是3分技術,7分管理。電網企業信息安全工作也不例外,技術只是最基本的手段,規范、科學的管理才是發展根本的保障[2]。
2信息安全防護體系設計
2.1信息安全防護體系總體框架
在對多種信息安全防護體系進行研究分析后,參照ISO/27001信息安全管理標準,根據國家電網公司電網信息安全等級保護“雙網雙機、分區分域、等級防護、多層防御”原則,提出電網企業的信息安全防護體系框架。電網企業信息安全防護體系建設可從管理和技術層面進行[3]。該體系框架根據規劃設計、開發測試、實施上線、運行維護、系統使用和廢棄下線6個環節的信息系統生命周期特征制定全過程安全管理;從物理、邊界、網絡、主機、終端、應用、數據7個方面制定全方位的技術防護措施。
2.2信息安全防護管理體系設計
電網企業信息安全在信息系統建設、運行、維護、管理的全過程中,任何一個環節的疏漏均有可能給信息系統帶來危害。根據信息系統全生命周期,從規劃設計、開發測試、實施上線、運行維護、系統使用和廢棄下線6個環節,設計覆蓋信息安全管理、運行、監督、使用職責的安全管控流程[3-4]。
2.2.1網絡與信息系統安全管理
網絡與信息系統是企業現代化管理的重點。由于網絡與信息系統的動態性、復雜性和脆弱性,建立健全的信息安全管理體系已成為了保障網絡與信息系統安全的重要手段。網絡與信息系統的安全管理依照國家電網公司制定的《國家電網公司信息網絡運行管理規程(試行)》,遵循信息安全等級保護“雙網雙機、分區分域、等級防護、多層防御”的原則。
2.2.2人員安全管理與崗位職責管理
安全問題的特點為“3分技術、7分管理”,而管理的核心是人,對于人員安全管理與崗位職責管理其主要包含如下管理內容:(1)崗位職責。制定崗位責任書,明確各崗位信息安全責任。(2)持證上崗。安全工作人員持證上崗。(3)保密管理。與員工簽訂保密協議,并定期進行檢查與考核。(4)安全培訓。對員工進行定期安全培訓。(5)離職管理。對離崗離職人員賬號、權限及信息資產進行清理和移交。
2.2.3全過程安全管理
(1)系統規劃設計安全管理的主要內容包括:1)分析和確認系統安全需求。2)確定系統安全保護等級并備案。3)制定安全防護方案并進行評審。(2)系統研發安全管理的主要內容包括:1)制訂研發安全管理機制,確保開發全過程信息安全。2)加強開發環境安全管理,與實際運行環境及辦公環境安全隔離。3)嚴格按照安全防護方案進行安全功能開發并定期進行審查。4)定期對研發單位環境和研發管理流程進行安全督查。(3)系統實施與上線安全管理的主要內容包括:1)嚴格按照設計方案對網絡、主機、數據庫、應用系統等進行安全配置。2)嚴格遵循各項操作規程,避免誤操作。3)組織安全測評機構進行上線環境安全測評。4)及時對系統試運行期間發現的安全隱患進行整改。(4)系統運行維護安全管理的主要內容包括:1)遵循運維安全規程,執行各項運維操作。2)對系統安全運行狀況進行實時監控,及時采取預警和應急處置措施。3)定期進行安全風險評估、等級保護測評與整改。4)建立系統漏洞補丁的安全測試、分發和安裝管理機制。5)根據數據重要性進行數據備份,并定期進行恢復測試。(5)系統使用安全管理的主要內容包括:1)終端準入控制,對各種移動作業、采集、專控等終端進行安全測評。2)終端外聯控制,禁止終端跨網絡接入。3)系統賬號和權限管理,對系統使用人員及其權限進行嚴格管理。4)終端使用管理,防止終端交叉使用、用戶越權訪問等。5)終端數據存儲、處理時的安全保護。6)對移動存儲介質的安全管理。7)終端維修管理,由運維機構統一處理。8)終端下線、報廢時的安全管理,對終端數據進行安全處理。(6)系統廢棄下線安全管理的主要內容包括:1)評估系統下線對其它系統的安全性影響,制定下線方案并進行評審。2)系統下線前對重要數據進行備份和遷移。3)系統下線后對不再使用的數據與存儲介質進行銷毀或安全處理。4)系統下線后及時進行備案。
2.2.4系統測試評估安全機制與評價考核
信息系統建成后必須經過試運行并對系統的安全性、可靠性和應急措施進行全面測試,測試和試運行通過后方可投入正式運行,信息安全風險評估包括資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議等評估內容。安全管理機制的主要內容包括:事件管理、安全督查、等保管理、備案管理,應急管理等。
3信息安全防護體系
電網企業信息安全防護體系的設計[5],主要從物理、邊界、網絡、主機、終端、應用、數據7個方面進行,遵循環境分離、安全分域、網絡隔離、終端準入、補丁加固、數據分級、安全接入、基線配置、應用審計、密鑰應用等技術原則,輔以相應的技術措施實現全面的安全防護[6]。
3.1物理安全
物理環境分為室內物理環境和室外物理環境,根據設備部署安裝位置的不同,選擇相應的防護措施。室內機房物理環境安全需滿足對應信息系統安全等級的等級保護物理安全要求,室外設備物理安全需滿足國家要求。具體安全措施如下:(1)機房分區、門禁等準入控制。(2)設備物理安全需滿足國家對于防盜、電氣、環境、噪音、電磁、機械結構、銘牌、防腐蝕、防火、防雷、電源等要求。(3)機柜/機箱應避免可能造成的人身安全隱患,符合安裝設備的技術需求。(4)機柜/機箱外應設有警告標記,并能進行實時監控,在遭受破壞時能及時通知監控中心。(5)研發場所分離并采取準入控制
3.2邊界安全
邊界安全防護目標是使邊界的內部不受來自外部的攻擊,同時也用于防止惡意的內部人員跨越邊界對外實施攻擊,或外部人員通過開放接口、隱蔽通道進入內部網絡;在發生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發現攻擊企圖,安全事件發生后可以提供入侵事件記錄以進行審計追蹤。
3.3網絡安全
網絡環境安全防護的目標是防范惡意人員通過網絡對網絡設備和業務系統進行攻擊和信息竊取,在安全事件發生前可以通過集中的日志審計、入侵檢測事件分析等手段,以及對信息內外網網絡、終端以及防護設備等安全狀態的感知和監測,實現安全事件的提前預警;在安全事件發生后可以通過集中的事件審計系統及入侵檢測系統進行事件追蹤、事件源定位,及時制定相應的安全策略防止事件再次發生;并能實現事后審計,對惡意行為和操作的追查稽核、探測入侵、重建事件和系統條件,生成問題報告。
3.4主機安全
主機系統安全的目標是采用信息保障技術確保業務數據在進入、離開或駐留服務器時保持可用性、完整性和保密性,采用相應的身份認證、訪問控制等手段阻止未授權訪問,采用主機防火墻、入侵檢測等技術確保主機系統的安全,進行事件日志審核以發現入侵企圖,在安全事件發生后通過對事件日志的分析進行審計追蹤,確認事件對主機的損害程度以進行后續處理。
3.5終端安全
終端安全防護目標是確保智能電網業務系統終端、信息內外網辦公計算機終端以及接入信息內、外網的各種業務終端的安全。目前重點終端類型包括:(1)配電網子站終端。(2)信息內、外網辦公計算機終端。(3)移動作業終端。(4)信息采集類終端。對于各種終端,需要根據具體終端的類型、應用環境以及通信方式等選擇適宜的防護措施。
3.6應用安全
按照國家信息安全等級保護的要求,根據確定的等級,部署身份鑒別及訪問控制、數據加密、應用安全加固、應用安全審計、剩余信息保護、抗抵賴、資源控制、等應用層安全防護措施。
3.7數據安全
對數據的安全防護分為數據的災難恢復、域內數據接口安全防護和域間數據接口安全防護。域內數據接口是指數據交換發生在同一個安全域的內部,由于同一個安全域的不同應用系統之間需要通過網絡共享數據,而設置的數據接口;域間數據接口是指發生在不同的安全域間,由于跨安全域的不同應用系統間需要交換數據而設置的數據接口。
4結束語
第5篇:審計信息安全管理范文
云計算服務是指將大量用網絡連接的計算資源統一管理和調度,構成一個計算資源池向用戶按需服務。基于云計算是一種提供信息技術服務的模式,積極推進云計算在政府部門的應用,獲取和采用以社會化方式提供的云計算服務,將有利于減少各部門分散重復建設,有利于降低信息化成本、提高資源利用率。但云計算還處于不斷發展階段,技術架構復雜,采用社會化的云計算服務,使用者的數據和業務從自己的數據中心轉移到云服務商的平臺中心,大量數據集中,使云計算面臨新的安全風險。當政府部門采用云計算服務,尤其是社會化的云計算服務時,應特別關注信息安全問題。因此政府部門在采購云計算服務時,要做好采用云計算服務的前期分析和規劃,選擇合適的云服務商,對云計算服務進行運行監管,考慮退出云計算服務和更好云服務商的安全風險,做好在云計算服務的生命周期采取相應的安全技術和管理措施,保障數據和業務的安全,安全使用云計算服務。
1 云計算服務信息安全管理存在的風險
在傳統模式下,客戶的數據和業務系統都位于客戶的數據中心,在客戶的直接管理和控制下。在云計算環境里,客戶將自己的數據和業務系統遷移到云計算平臺上,失去了對這些數據和業務的直接控制能力。存在諸多潛在的風險。
(1)客戶對數據和業務系統的控制能力減弱及與云服務商之間的責任難以界定。客戶數據以及在后續運行過程中生成、獲取的數據都處于云服務商的直接控制下,云服務商具有訪問、利用或操控客戶數據的能力,增加了客戶數據和業務的風險。缺乏數據安全的責任主體界定的問題。
(2)可能產生司法管轄及容易產生對云服務商的過度依賴問題。在云計算環境里,數據的實際存儲位置往往不受客戶控制,客戶的數據可能存儲在境外數據中心,改變了數據和業務的司法管轄關系。由于缺乏統一的標準和接口,不同云計算平臺上的客戶數據和業務難以相互遷移,導致客戶對云服務商過度依賴
(3)數據保護更加困難,所有權保障面臨風險。云計算平臺采用虛擬化等技術實現多客戶共享計算,資源,隨著復雜性的增加,實施有效的數據保護措施更加困難,客戶數據被未授權訪問、篡改、泄露和丟失的風險增大。
2 云計算服務信息安全管理的要求
采用云計算服務期間,為了能夠保障云計算服務的安全,需對客戶和云服務商在信息安全管理方面提出要求。
2.1 安全責任及安全管理水平不變
信息安全管理責任不應隨服務外包而轉移,無論客戶數據和業務是處于內部信息系統還是云服務商的云計算平臺上,客戶都是信息安全的最終責任人。承載客戶數據和業務的云計算平臺應按照政府信息系統安全管理要求進行管理,為客戶提供云計算服務的云服務商應遵守政府信息系統安全管理政策及標準。
2.2 資源的所有權及司法管轄關系不變
客戶提供給云服務商的數據、設備等資源,以及云計算平臺上客戶業務系統運行過程中收集、產生、存儲的數據和文檔等都應屬客戶所有,客戶對這些資源的訪問、利用、支配等權利不受限制。
客戶數據和業務的司法管轄權不應因采用云計算服務而改變。
2.3 堅持先審后用原則
云服務商應具備保障客戶數據和業務系統安全的能力,并通過安全審查。客戶應選擇通過審查的云服務商,并監督云服務商切實履行安全責任,落實安全管理和防護措施。
3 云計算服務的信息安全技術能力的要求
云服務商在提供云計算服務時,要相應具備云計算服務的信息安全技術能力要求,以保障云計算環境中客戶信息和業務的安全,具體要求如下。
3.1 系統開發與供應鏈安全及系統與通信保護
云服務商應在開發云計算平臺時對其提供充分保護,對信息系統、組件和服務的開發商提供相應要求,為云計算平臺配置足夠的資源,并充分考慮安全需求。云服務商應在云計算平臺的外部邊界和內部關鍵邊界上監視、控制和保護網絡通信,并采用結構化設計、軟件開發技術和軟件工程方法有效保護云計算平臺的安全性。
3.2 訪問控制及配置管理
云服務商應嚴格保護云計算平臺的客戶數據,在允許人員、進程、設備訪問云計算平臺之前,應對其進行身份標識及鑒別,并限制其可執行的操作和使用的功能。云服務商應對云計算平臺進行配置管理,設置和實現云計算平臺中各類產品的安全配置參數。
3.3 維護及應急響應與災備
云服務商應維護好云計算平臺設施和軟件系統,并對維護所使用的工具、技術、機制以及維護人員進行有效的控制,且做好相關記錄。云服務商應為云計算平臺制定應急響應計劃,并定期演練,確保在緊急情況下重要信息資源的可用性。
3.4 審計及風險評估與持續監控
云服務商應根據安全需求和客戶要求,制定可審計事件清單,明確審計記錄內容,實施審計并妥善保存審計記錄,對審計記錄進行定期分析和審查。云服務商應定期或在威脅環境發生變化時,對云計算平臺進行風險評估,確保云計算平臺的安全風險處于可接受水平。云服務商應制定監控目標清單,對目標進行持續安全監控,并在發生異常和非授權情況時發出警報。
3.5 安全組織與人員及物理與環境保護
云服務商應確保能夠接觸客戶信息或業務的各類人員上崗時具備履行其安全責任的素質和能力,還應在授予相關人員訪問權限之前對其進行審查并定期復查。云服務商應確保機房位于中國境內、機房選址、設計、供電、消防、溫濕度控制等符合相關標準的要求,云服務商應對機房進行監控。
4 結語
本文通過云計算服務中信息安全管理存在的風險、云計算服務信息安全管理及技術能力等方面進行闡述,提出了云計算服務信息安全管理的具體措施及技術能力的具體要求,從管理及技術方面確保云計算服務的信息安全,保障云計算服務安全。
第6篇:審計信息安全管理范文
關鍵詞:信息安全;需求;分析
中圖分類號:TP309.2文獻標識碼:A 文章編號:1009-3044(2008)36-2844-02
The Requirement of Information Security the Analysis for An Enterprise of Fujian
CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprise's information security status of the analysis, come to conclusions, and the enterprise in the information security requirement.
Key words: information security; requirement; analysis
1 引言
隨著信息化程度的不斷提高和互聯網應用的不斷發展,新的信息安全風險也隨之不斷暴露出來。原先由單個計算機安全事故引起的損害可能傳播到其他系統和主機,引起大范圍的癱瘓和損失。根據CNCERT 統計報告指出,2007年接受網絡安全事件報告同比2006年增長近3倍,目前我國大陸地區約1500多萬個IP 地址被植入木馬程序,位居全球第二位(其中福建省占10%,居全國第三位);有28477個網站被篡改(其中政府網站占16%);網站仿冒事件占居全球第二位;拒絕服務攻擊事件頻繁發生。
針對于次,為福建企業制定一個統一、規范的信息安全體系結構是迫在眉睫的。本文根據福建企業特點,參照國內外有的規范和理論體系,制定了企業信息安全需求調研計劃,并對調研結果進行分析,為進一步制定信息安全體系結構和具體實施建議奠定堅實基礎。整個分析報告按照圖1的步驟形成。
2 分析報告指導理論模型框架
2.1 總體指導模型
一個完整的信息安全體系由組織體系、技術體系和管理體系組成,如圖2所示。
其中,組織體系是有關信息安全工作部門集合,這些部門負責信息安全技術和管理資源的整合和使用;技術體系則是從技術的角度考察安全,通過綜合集成方式而形成的技術集合,技術體系包含內容有安全防護、安全檢測、安全審計、應急響應恢復、密碼、物理安全、安全機制與安全服務等;管理體系則是根據具體信息系統的環境,而采取管理方法和管理措施的集合,管理體系涉及到的主要內容管理制度、管理規范、教育培訓、管理流程等。
2.2 ISO/IEC 15408 標準
圖1 分析報告形成流程
圖2 信息安全體系結構
圖3 GB/T18336 標準要素關系
信息技術安全性評估通用準則ISO15408已被頒布為國家標準GB/T18336,簡稱通用準則(CC),它是評估信息技術產品和系統安全性的基礎準則。該標準提供關于信息資產的安全分析框架,其中安全分析涉及到資產、威脅、脆弱性、安全措施、風險等各個要素,各要素之間相互作用,如圖3所示。資產因為其價值而受到威脅,威脅者利用資產的脆弱性構成威脅。安全措施則是對資產進行保護,修補資產的脆弱性,從而可降低資產的風險。
3 分析報告素材獲取
作為分析報告,必須要有真實的分析素材才能得出可靠的分析結論。我們在素材獲取方法、獲取內容、獲取對象和最后素材整理上都有具體規范。
3.1 獲取方法
在素材獲取方法上,采取安全訪談、調查問卷、文檔資料收集等3種工作方法來獲取信息安全需求。
3.2 獲取對象與內容
素材獲取對象為兩種類型,分別為部門領導和普通員工。其中:部門領導主要側重于信息安全管理、崗位、流程、資產和培訓方面的信息獲取;普通員工主要側重于信息安全崗位責任、操作習慣和安全配置與管理方面的信息獲取。
素材獲取內容分三個方面:一是管理調研;二是業務;三是的IT技術調研。素材獲取內容安排有五種類型,其中:管理類2種,分別為高層管理訪談和中層部門領導訪談;技術類2種,分別為網絡安全訪談和主機及數據庫信息安全訪談;業務類1種,為業務及應用系統安全訪談。
最后的素材資料整理分為管理和技術兩大類資料。
4 目前信息安全現狀的分析
4.1 組織現狀分析
通過對最后資料的分析看出,目前有一些企業對信息安全的管理還是十分重視的,很多成立了自己的安全小組,安全小組也定義了各個崗位,并明確了職責。安全小組目前的還存在著幾點不足的地方:
1)安全小組的人員大部分是兼職工作,安全工作往往和本職工作之間存在的工作上時間沖突問題;2)安全小組的側重于生產安全,信息安全的工作內容不夠突出,信息安全的專業性不夠強;3)信息的安全的監督機制有,并有一些安全考核的指標,較難執行,執行力不夠;4)信息安全的人事培訓管理已經作得比較好,可以增加信息安全方面專家的培訓內容,更好的提高每個員工的信息安全意識。
4.2 信息安全管理現狀
目前,許多已經有IT支持能力的企業在信息安全管理方面還有以下地方可以完善:對信息安全策略定義可以進一步完善;控制方式比較分散,不夠統一;制度上可進一步細化,增強可操作性;在項目的安全管理上還有很多可以完善的地方;增加人力投入,加強安全管控。
4.3 信息安全技術現狀
通過對最后技術資料的分析,得知以下信息安全基本情況:
1)主機的安全運行有專門的技術人員支持和維護,建立了比較全面的安全操作規范,具備應對突發事件的能力,能夠比較好的保障主機系統工作的連續性和完整性;2)主機系統的安全管理主要涉及到服務器硬件、操作系統、數據庫系統、應用服務系統等內容,密鑰管理手段不科學,主機系統的日志缺乏定期的安全分析,主機的安全風險依賴于管理者的安全配置,缺少安全管理工具和安全監測措施;3)主機安全人員配備上沒有專職的系統安全管理員,一個人需要管理多臺主機設備,主要靠人工監視主機系統的運作管理;4)用戶安全管理方面,口令管理手段不科學;5)主機漏洞修補方面不及時,已知漏洞不能完全堵上;6)主機系統的安全管理手段主要依賴系統自身提供的安全措施;7)主機系統的日志沒有無遠程備份日志服務器;8)主機設備類型多,監測和管理手段依靠人工方式,沒有自動工具;9)系統人員管理一般從遠程管理主機,沒有全部采取遠程安全措施;10)部門分工按職能劃分,未按系統劃分。
5 分析結論:信息安全需求
基于以上分析,得出了以下結論,主要分為信息安全整體需求和集體歸納。
5.1 信息安全整體需求
大部分的企業沒有建立起完善的信息安全組織、管理團隊,技術方面欠缺。從總體上考慮,信息安全管理需要解決以下問題:
1)企業內部的信息安全組織結構的協調一致性;2)技術和管理方法的發展均衡性;3)公司內部的業務發展急迫性與信息安全建設周期性之間的矛盾;4)員工之間對信息安全認知的差異性;5)與第三方機構(供應商、服務商、應用開發商)之間的信息安全管理關系。
5.2 信息安全需求的集體歸納
5.2.1 信息安全組織與管理
根據上述對信息安全組織和管理現狀的分析,安全組織與管理總體需求可以歸納為:在組織方面,建立打造一支具有專業水準和過硬本領的信息安全隊伍;在管理方面建立相應的信息安全管理措施。
5.2.2 網絡安全需求
網絡安全,其目標是網絡的機密性、可用性、完整性和可控制性,不致因網絡設備、網絡通信協議、網絡管理受到人為和自然因素的危害,而導致網絡傳輸信息丟失、泄露或破壞。集體為:
1)集中統一的網絡接入認證、授權、審計安全技術;2)集中統一的網絡安全狀態監測技術;3)針對通訊網絡系統的網絡開發安全檢查工具集,包括網絡安全策略執行檢查、網絡漏洞掃描、網絡滲透測試等;4)能夠支持網絡的安全綜合管理平臺,能夠支持網絡用戶安全管理。
5.2.3 主機系統安全需求
主機系統的安全需求歸納如下:
1)諸多主機的集中認證、授權、審計安全管理技術;2)針對主機系統的安全狀態監測技術;3)針對主機系統的安全檢查工具包;4)能夠支持主機的安全綜合管理平臺。
5.2.4 數據安全需求
數據安全,是指包括數據生成、數據處理、數據傳輸、數據存儲、數據利用、數據銷毀等過程的安全。其目標是保證數據的保密性、可用性、完整性、可控制性,確保不因數據操作、操作系統、數據庫系統、網絡傳輸、管理等因素受到人為的或自然因素的危害而引起數據丟失、泄露或破壞。具體需求要求如下:
1)需要建立一個支持認證、授權、審計、安全等功能的數據生命周期管理機制;2)需要建立一套數據攻擊防范系統,包括非法行為監控、威脅報警、數據垃圾過濾等;3)需要建立一套數據容災系統,能夠提供數據應急響應、防止失竊、損毀和發霉變質。
5.2.5 應用系統安全需求
應用系統安全,是指包括需求調查、系統設計、開發、測試、維護中所涉及到的安全問題。其目標是應用信息系統的保密性、可用性、完整性、可控制性,不致因需求調查、系統設計、開發、測試、維護過程受到人為和自然因素的危害,從而導致應用信息系統數據丟失、泄露或破壞。應用方面的安全需求歸納如下:
1)需要建立一套關于應用系統分類、應用系統安全接口、應用系統操作流程等方面的應用系統管理規范;2)需要建立一套獨立的應用系統安全測試環境,滿足應用系統上線前能夠得到充分的安全測試;3)需要建立一個基于角色認證、授權、審計的授權管理系統,能夠支持按員工的工作崗位授權管理,能夠支持事后責任追查的法律依據;4)需要建立一個統一集中的應用系統監控管理平臺,能夠支持檢測到異常的操作。
6 結束語
文章通過對福建某企業的信息安全現狀進行相關素材獲取,依照信息安全體系相關標準對整理后資料進行分析,得出了該企業的信息安全現狀的評估結論,并提出了此類企業在信息安全體系建設上的需求分析。本文的結論,對此類企業的信息安全體系建設有一定的參考意義。
參考文獻:
[1] 張世永.網絡安全原理與應用[M].北京:科學出版社,2003.
[2] Christopher Alberts, Audrey Dorofee. Managing Information Security Risks. Pearson Education, Inc. 2003:10,80~82.
[3] 董良喜,王嘉禎,康廣.計算機網絡威脅發生可能性評價指標研究[J]. 計算機工程與應用,2004,40(26):143~148.
第7篇:審計信息安全管理范文
針對近年來頻繁發生的網絡犯罪事件,許多學者以及相關認識開始不斷研究與應用更多的安全防護技術,其中較為常見的技術包括防火墻、入侵檢測、數據加密以及VPN等技術。其中在防火墻技術方面,其主要通過安全網關的構建對外部網絡攻擊行為進行攔截,并有效監控網絡運行的整體情況,是保證網絡信息安全的重要措施。但其在應用中對病毒或黑客入侵的阻止并非萬能,需同其他防護措施共同配合。在入侵檢測技術方面,其作用在于利用相關硬件軟件實時監測數據流,若發現入侵數據可能對網絡安全造成威脅將采取相應的反應動作如禁止啟動或切斷網絡等。在數據加密方面,主要對傳輸與存儲的數據進行加密,常用到加密鑰匙的方式實現防止數據外泄與竊取的目標。另外在VPN技術應用方面,其結合訪問控制與加密措施,保證數據僅在可信公共信道中進行傳輸。綜合來看,網絡信息的安全很難通過其中一種技術手段實現,即使現階段比較前沿的如PKI關鍵技術或防毒墻等,應用中都需配有其他輔技術,因此需構建更為有效的安全管理體系勢在必行。
2網絡信息安全存在的主要風險問題
現階段網絡信息安全的主要風險可具體細化為:①從網絡層面。包括傳輸數據時存在的被篡改或竊取情況、網絡邊界方面的風險、過于單一的入侵檢測手段以及審計系統的設計不完善等。②從系統層面。大多操作系統以及軟件程序等本身在設計過程中便存在較多漏洞,若在使用中忽視對其進行定期更新與漏洞修復,很容易使系統安全受到木馬病毒威脅。③從應用層面。其存在的信息安全問題主要體現在用戶進行業務信息提交過程中可能被竊聽或篡改、內網與外網交互使用為不法分子創造入侵條件等方面。④從管理層面。許多機關單位在網絡安全風險管理制度方面缺乏一定的實效性,且存在設備通用、內外網混用等問題,許多如外部訪問或訪問權限等方面的設計并不嚴格,不利于網絡信息安全性的提高。⑤從人員角度。網絡安全得以保障關鍵在于相關人員是否具備相關的網絡安全技術與安全技術,無論安全意識的缺失或技術能力不足都可能帶來一定的安全風險。
3管理體系的具體構建思路
針對現行網絡信息安全的相關防護技術與實際存在的安全威脅問題,在構建安全管理體系過程中主要可從兩方面進行,包括技術應用與網絡安全管理兩方面,只有保證對二者采取相應的防御戰略才可實現信息安全保障的目標。
(1)安全技術的應用
對于現行技術層面中存在的安全風險問題,除前文中提及的防火墻與入侵檢測技術外,還需在系統設計中采取以下幾方面技術策略:①注重聯動方式與具體配置。在將防火墻與入侵檢測系統實現聯動的基礎上,還需保證防火墻與IDS進行聯動,這樣可相互配合對攻擊行為進行阻斷,但需注意IDS控制臺應在網中進行部署,或在其他區域SOC區中設置。②引入防病毒系統。對于現行多樣化的病毒形式很難利用簡單的病毒軟件消除病毒,應在防毒系統應用中保證其不會占用過多的系統資源,且對核心服務器具有極強的防毒能力,如現階段常用的OfficeScan,在防治病毒方面具有良好的效果。③審計系統的完善。在系統內部網絡中應進行安全審計系統的設計,保證其能夠對相關的網絡行為、設備運行狀態進行綜合審計,及時找出存在的隱患。另外,設計過程中還可引入其他方面的技術措施如漏洞掃描、過濾網關或終端系統等方面,對網絡信息安全性的提高可起到重要作用。
(2)網絡安全管理工作
管權管理體系構建中除考慮引入相應的技術防護措施外,還需注重網絡信息管理水平的提高。注重相關人員網絡技術水平以及安全意識的提高,可通過相關的培訓工作使人員正確認識木馬病毒、網絡攻擊行為等。同時在安全管理制度方面應不斷完善,如機房管理制度、操作管理制度以及技術保障制度等,以此確保應對風險的能力得以增強。
4結論
第8篇:審計信息安全管理范文
一、AMIS和OAS的應用成效
隨著審計系統的升級、優化以及審計人員越來越熟練地掌握和運用,AMIS和OAS兩大信息系統已經成為審計人員必備的審計工具,被廣泛應用于審計各個環節和各類項目之中,取得可觀的成效。1.AMIS發揮的功效。一是提高審計工作效率。作為審計信息的管理工具,AMIS對信息的采集、分析、記錄和存儲有利于提高審計業務的整體效率和管理水平,節約人力和財務成本,促進審計工作更加高效。二是規范審計操作流程。AMIS對審計項目操作流程規范化提出了剛性要求,要求審計項目的管理和實施必須遵從系統的既定流程和規則,而不能主觀隨意地操作,規避了審計風險。三是促進審計跟蹤成效。通過篩查AMIS存儲的以往審計發現,跟蹤審計事項,督促被審計單位及時整改,并對整改的真實性、持續性和系統性做出評價,更好地發揮審計的職能作用。四是成為審計人員的良師益友。由于AMIS涵蓋了審計人員需要的大部分知識和信息,且操作方法簡便,其中的知識庫子系統已成為審計人員的知識寶庫,是學習和實施審計項目的典籍,在審計條線得到廣泛使用和認可。2.OAS取得的效果。一是實現業務全面檢查和常態化監測。由OAS獲得較全面的業務數據,通過統計分析,對經營管理的整體情況進行全面的評價;同時,OAS定期加載被審計單位的交易數據,依據動態信息,實行常態化審計監測,及時發現、揭示關鍵控制環節的風險苗頭和經營管理中存在的問題,為管理層預警信號、提供決策支持,實現對風險的防預性控制,提高審計的時效性,充分體現審計的價值。二是增強審計抽樣的科學性。審計抽樣是審計活動的重要環節,通過樣本推斷總體,進而判斷出總體情況,樣本質量的高低及其代表性的強弱,對審計結論的合理性和可靠性、審計目標的實現尤為重要。OAS具有強大的審計抽樣功能,統一抽樣標準和樣本規模,有效避免人為偏差,大大提高審計樣本的質量和審計查證的準確度。三是形成資源共享。內部審計機構秉承為建設銀行經營發展保駕護航的審計理念,對駐地的一級分行開放使用OAS,實現了資源的共享。近年來,已對主要的條線管理部門開放了OAS的外部用戶使用權限,并且對業務部門直接提出的數據需求,及時給予支持和滿足,取得了一定的成效,得到駐地分行的肯定。
二、建設銀行內部審計信息系統存在的問題
(一)AMIS存在的主要問題
自AMIS上線以來,雖然幾經優化和改進,不斷增強其應用性能,但是隨著審計工作精細化管理要求的不斷提升,該系統的部分應用功能仍有優化和拓展的空間。其主要問題表現為:一是檢索功能有待提高。AMIS未采用智能搜索引擎技術,雖設置了高級搜索,但需要準確地輸入“關鍵字”,查詢效率低,影響了使用效率。二是審計發現的歸納整理有待細化。以往審計發現的問題未進行細致的整理,尤其針對屢查屢犯的問題未加以梳理和歸納,影響了審計成果的充分利用和深入研究,不利于跟蹤審計的深度開展。三是經濟責任審計資料庫建設尚未納入子模塊。經濟責任審計已成為內部審計一項重要的業務內容,而且受到企業高管層及外部監管機構的高度重視,審計流程建設快速,投入的資源較充足。建設銀行各審計機構雖采取一定的技術方法,定期地搜集、存儲了大量的文字和數據資料,但尚未將其納入AMIS之中,不便于對資源的挖掘和利用。
(二)OAS凸現的主要問題
在內部審計充分應用OAS的同時,隨著審計要求的不斷提高,逐漸凸現系統運行效率低、應用管理制度不健全等問題,具體表現為:一是項目需求與資源有限的供給矛盾突出。審計項目對OAS的依賴程度越來越高,按審計計劃實施的審計項目、非項目任務下發的模型、為滿足日常非現場系統的使用需求進行研究的試運行模型等,使服務器運行承載著重負,進而導致模型運行時間相對集中,即使審計人員加班加點夜以繼日地完成運行任務,由于多用戶爭用資源出現的運行錯誤,難以保證運行結果的正確性。因此,審計項目需求與服務器資源供給之間日益突出的矛盾,已經成為當前非現場服務器運行管理亟待解決的問題。二是信息安全制度建設不健全。OAS的數據信息在采集、傳遞、加工、存儲、銷毀等數據生命周期過程中產生的安全風險,需要建立制度予以規范和防控,但審計機構尚未全部建立數據安全管理制度。同時,信息安全管理是一項持續性的體系化工作,如果僅關注具體信息風險安全控制則很難彌補過程中的缺陷,還應強化信息安全的全流程管理,并根據風險環境變化不斷加以完善。三是應用能力有待提高。OAS已成為內部審計的重要工具,但是要使用的得心應手,能夠靈活地創建審計模型,還需要具有一定的應用技能,如具備計算機編程基礎、熟悉各項業務流程、解讀文件制度的能力。審計機構通過對信息系統應用能力的考評結果顯示,那些從事審計工作時間較長、年齡偏大的審計人員雖業務經驗豐富,但計算機編程能力不足;而新招入的年輕審計人員學習能力較強,通過強化訓練能很快達到技能等級,但是業務經驗不足。這種現象在各審計機構普遍存在,影響了審計質量。
三、加強建設銀行信息系統建設的對策
(一)完善AMIS的對策
在AMIS系統現有結構的基礎上,增強審計數據的維護和審計成果的利用,拓展知識生產、管理和應用。優化方案的核心內容應包括:一是引入智能搜索引擎,便于知識庫快速檢索。如引用Lucene等技術,以支持Office文檔、PDF、網頁文檔等多種格式文檔的搜索。應配置高級搜索功能,支持關鍵字的邏輯運算搜索,能同時含有兩個關鍵字文檔篩選。輸入關鍵字時,可以識別拼音、漢字和聯想最常用的詞組,并按照搜索頻率的高低排序。搜索結果應能顯示文檔名稱、更新日期、部分摘要,查找的關鍵字在摘要和顯示文檔中以高亮突出。還可配置分類搜索功能,支持多維度分類方法,包括按文件所有者、文檔類型、審計依據、審計成果、最新更新等維度搜索。其中最新更新維度,需按照更新時間順序排列最近更新的文檔,便于用戶了解最新知識狀態。二是優化審計發現庫子模塊功能,促進跟蹤審計。跟蹤審計已成為檢驗審計成效、提高審計質量的一項重要工作,應在審計發現庫中增加對“整改三性”問題的提示功能。按照同類問題的出現次數、前后時間差、營業機構分布等情況進行計算、轉換為系統的程序代碼,使系統在接收整改信息時,能夠自動識別并提示整改真實性、持續性和系統性的問題,同時支持相關信息的查詢和統計。三是增設任期資料庫,加大信息擴載量。將任期資料庫納入AMIS后臺系統,增建為一個三級模塊,再配置不同級別的開放權限,便于跨區域的經濟責任審計項目及跟蹤審計項目的開展。四是創建接口,加大知識信息的獲取力度。采用文檔管理技術,將原先要由不同系統處理的各類文檔集中在一個平臺統一管理,實現文檔的分類歸檔、外部特征管理、關鍵詞管理等。同時,采用自動維護和手工維護等多種方式,通過接口實現審計知識庫系統與OA、NOTES等相關信息系統的交互,通過搜索引擎訪問總行企業網門戶、建設銀行知識庫系統、檔案管理系統等自動獲取知識,還能以鏈接訪問其他的信息資訊系統,實時獲取信息,加大知識積累。
(二)優化OAS的策略
第9篇:審計信息安全管理范文
【 關鍵詞 】 高校;科研機構;信息安全;對策
Discussion on Scientific Research Institution of Universities in
Information Security Management and Measures
Zhang Jian-hua
(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)
【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.
【 Keywords 】 universities; scientific research institution; information security; measures
1 引言
隨著信息技術的發展和信息化應用的日趨深入,信息安全建設及其應用正在成為教育科研單位日常教育管理和科研生產不可或缺的一環。高校等科研單位對信息安全管理的認識程度越來越高,研究院等單位的信息系統規模和水平也在不斷攀升,然而隨著高校各系統建設程度的不斷完善,以高校為代表的科研機構的信息安全管理問題也愈加突出。
2 高校科研機構存在的信息安全管理問題
近年來,高校等科研機構逐步認識到信息安全對于自身的重要性,于是不少單位成立了“信息管理部門”來推行統一的管理規范和進行信息安全知識普及,其主要目的是為了從安全技術和管理兩個方面來解決高校中科研機構的信息安全問題,充分提高機構人員的信息安全管理意識和保密工作的能力。當下,雖然有一些高校的科研單位在信息安全和管理建設方面已經取得了長足的進步,但其科研單位內部仍然存在著很多問題。
(1)首先,在以往長期封閉的科研環境影響下,相關科研人員目前依然不具備良好的安全意識,對于信息安全的認識水平不高。同時高校等相關管理部門較容易忽視信息安全在其科研系統中的發展戰略和計劃,這些都間接導致了信息安全管理制度推行力度不夠,實施安全教育的硬性條件有限。其次,由于學科建設和專業水平所限,也使得國內技術過硬的信息安全專業人才供應不足,間接影響了相關單位的人才儲備水平。
(2)當下許多高校等科研單位在信息系統不斷增加的情況下,對以往基礎設施配備水平存在著一定的依賴性,不能夠很好的適應新環境。在信息系統運作業務的安全風險和意識提升上,又缺乏有效性驗證與評估辦法。現實中的任何信息系統都是一連串復雜的環節,信息安全措施必須滲透到信息系統的每一個部位,其中一些問題的解決方案,需要信息系統的設計人員、測試人員和使用人員都熟知并能夠成為規范來遵守。
(3)不安全因素對于信息系統而言總是存在的,沒有任何一個信息管理方法能提供絕對的保障。因此,高校等科研單位在認識和進行信息系統安全管理教育的時候,應該著重加強基層人員的信息安全管理實踐教育,應讓相關人員充分意識到,雖然信息安全建設并非意在建設一個創收的平臺,但它是一個保障科研成果和提升工作效率的平臺。管理者有必要做出適合科研單位進行教育實施的信息安全教育發展戰略和計劃,充分加強信息安全教育在管理實踐上的投入,嚴格有效地執行相應的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系統時的固有風險。
(4)近年來,我國大型科研單位相繼出現過不同程度的泄密事件,這些事件的直接后果是不僅導致了科研成果的流失,還造成了較大程度的經濟損失和不良的社會影響。雖然各大信息系統工程和信息化程度要求非常高的相關行業,也都出臺了對信息安全技術產品的應用標準和規范,但只有建立一個嚴格的信息安全管理策略,才能全面的保障其安全性。
3 解決高校科研機構存在的信息安全的對策
3.1 技術層面
在技術層面上:高校科研管理系統是以計算機和數據庫通信網絡為基礎的應用管理系統,是一個開放式的互聯網絡系統,與網絡系統連接的任何終端用戶都可以進人和訪問網絡中的資源。作為信息通訊數據平臺,其所受到的安全威脅主要存在于信息通信傳輸、存儲和加工的各個階段。因此在制定技術對策方面就需要制定統一全面的安全策略,同時也注重建設統一認證和授權管理系統,通過硬件接入設備和定制化管理軟件的配合部署,加強網絡層面和應用層面的安全資源整合,形成覆蓋全網的科研信息化安全保障能力,并充分利用自主創新的科研信息化安全技術,不斷增強基礎運行平臺的網絡安全能力,為科研信息化基礎環境和應用系統提供有力的安全保障。
在保障網絡基礎設施和重要應用系統的安全方面,一方面需要構建身份認證管理系統、網絡安全管理平臺、惡意代碼防護系統、安全審計平臺等面向全網用戶的網絡安全基礎設施,實現實時預警、事件分析、決策支持、資源調度等功能;另一方面需要建立起包括安全咨詢、安全規劃、安全檢測、安全培訓等環節在內的安全服務體系,引入除技術體系和管理體系以外的第三方服務支持,實現安全事件的及時發現。
3.2 管理和教育層面
在管理和教育層面上:以企業為參考標度,對高校科研機構工作人員進行信息安全意識以及管理實踐知識的普及,將信息安全管理理念提到戰略高度來看待。充分遵循信息安全流程制定相應管理制度,除技術保障外,將人員、網絡、環境有關的技術和管理規程的有機集合充分納入其中。充分認識到信息安全管理實踐是保障信息實現有效管理與控制的重要途徑。所在部門應客觀評估實現信息安全管理的需求水平,落實安全的組織和管理人員,明確每個人的角色與職責;制定并開發安全規劃和策略,定期開展培訓和工作會議;實施風險管理制度,制定業務持續性計劃和災難環境下恢復計劃;選擇實施安全措施;保證配置、變更的正確與安全;進行安全審計;保證維護支持;進行監控、檢查、處理安全事件。針對專業人員的培訓和績效需要有效結合目標管理和信息安全管理兩方面來展開。
3.3 管理政策層面
在整個管理策略的制定上:建議采用分級策略,如果高校對于自身科研信息安全風險水平認定為較高,而自身建設能力有限,則可以考慮與相關專業咨詢機構合作,引入專家機制來完成相關工作,提升建設效率。
4 結束語
在國家大力推行科教興國與自主創新發展戰略的今天,信息安全建設對于保障科技創新自有成果,確保自主知識產權的創造價值,都有著極其重要的作用。而如何確保其信息安全能夠實現自主可控的目標,也是以高校為代表的科研機構行使和保障自身合法權益的重要途徑。因此我們必須綜合多方因素,系統考量,盡可能提供全面的、多方位的信息安全建設策略和信息安全管理與教育規范,以切實滿足高校等科研單位對信息安全保障體系的需求,降低科研成果的安全風險,發揮高效的科研效率,保障科研生產的安全順利進行。
參考文獻
[1] 張廣欽.信息管理教程[M].北京:北京大學出版社,2005.
[2] 徐茂智.信息安全概論[M].北京:人民郵電出版社,2007.
[3] 彭盛宏.淺析校園網存在的安全隱患及其對策[J].信息安全與技術,2012,(1).
