對集團公司信息安全工作的建議

1、關于集團公司信息安全建設的建議（提綱）（分子公司名稱）一、本公司系統(tǒng)信息安全現(xiàn)狀二、關于集團公司信息安全建設指導思想、目標、原則的建議三、關于集團公司信息安全策略的建議四、關于集團公司信息安全體系的建議五、關于集團公司信息安全建設內(nèi)容的建議（一）信息安全管理體系方面的建議（二）信息安全技術體系方面的建議（三）信息系統(tǒng)運維安全方面的建議（四）信息項目建設與報廢安全方面的建議（五）信息安全平臺建設方面的建議（六）其它方面的建議六、關于集團公司信息安全建設保障措施的建議1、加強對集團公司信息化建設的領導。由集團公司領導掛帥，成立“信息安全管理組織”，推行信息安全管理制度。這個組織是集團公司在信息系統(tǒng)

2、安全方面的最高權力組織。信息安全是所有管理層成員所共有的責任，一個管理組織應確保有明確的安全目標。信息化建設必須由集團公司領導親自抓、親自參與，否則投入再大，做的再好，也有可能失敗。2、建立信息系統(tǒng)的安全風險評估機制。網(wǎng)絡信息系統(tǒng)的安全建設應該建立在風險評估的基礎上，這是信息化建設的內(nèi)在要求，集團公司主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全評估工作。只有在建設的初期，在規(guī)劃的過程中，就運用風險評估、風險管理的手段，才能避免重復建設和投資的浪費。3、提供足夠的資金保障。集團公司應該在每年的預算中規(guī)劃出一定數(shù)額的資金，專款專用，以保證集團信息化建設資金投入的需要。同時，集團公司在進行基本

3、建設和技術改造時，要充分考慮信息化的需求。4、加強設備保障。設備指與信息化相關的所有軟硬件設備。引進的硬件和軟件應統(tǒng)一納入職能部門固定資產(chǎn)管理范疇。引進軟件要和軟件正版化規(guī)劃一起考慮；引進硬件和計算機設備升級換代一起考慮，實現(xiàn)設備管理規(guī)范化。確保集團信息化建設必須的設備及時到位。5、加強集團信息化人才隊伍的建設。制定吸引、穩(wěn)定信息化人才的措施，以確保人才不外流。建立多層次、多渠道、重實效的信息化人力資源培養(yǎng)制度和考核機制。七、關于集團公司網(wǎng)絡與信息安全手冊修訂的建議1、制定集團公司網(wǎng)絡與信息安全手冊應包含以下主要內(nèi)容：有主要領導負責的逐級安全保護管理責任制，配備專職的信息安全管理人員，各級職責

4、劃分明確，并有效開展工作；明確運行和使用部門或崗位責任制，建立信息安全管理規(guī)章制度；在職工群眾中普及網(wǎng)路與信息安全知識，對重點崗位職工進行專門培訓和考核；采取必要的安全技術措施；對出現(xiàn)的網(wǎng)絡與信息安全問題應有文檔記錄和應對措施；定期進行網(wǎng)絡與信息安全檢查、風險分析及出現(xiàn)的隱患進行整改；實行信息安全等級保護制度。2、在集團公司網(wǎng)絡與信息安全手冊中，還應制定系統(tǒng)運行情況記錄制度。1）、數(shù)據(jù)量處理：包括系統(tǒng)每天運行的時間、處理內(nèi)容、數(shù)據(jù)吞吐量等內(nèi)容，這些資料是反應信息系統(tǒng)軟硬件功能和狀態(tài)最基本的數(shù)據(jù)。2）、數(shù)據(jù)處理效率：如果信息安全管理人員“感覺”數(shù)據(jù)處理速度明顯變慢，那么就可以通過對歷史記錄的分析

5、，找出可能的原因，并一一排除。3）、系統(tǒng)的故障及維修情況：無論系統(tǒng)故障大小，都應該及時地記錄故障發(fā)生的時間、故障的現(xiàn)象、故障發(fā)生時的工作環(huán)境、處理方法、處理結果、處理人員、善后措施、原因分析等，這有利于信息管理人員對系統(tǒng)的評價及提出進一步擴展完善建議。3、集團公司網(wǎng)絡與信息安全手冊要不斷的補充和完善。集團公司網(wǎng)絡與信息安全手冊是集團信息化建設的重要組成部分，它是集團公司信息化建設過程中形成、積累的，是以文字、圖紙、表格等多種形式記錄了集團信息化的建設發(fā)展過程。所以要不斷的對集團公司網(wǎng)絡與信息安全手冊進行補充和完善，來滿足集團公司信息化不斷發(fā)展建設的需要。八、其它有關集團公司信息安全建設的建議1

6、、要從技術手段上保證集團信息化的安全。集團信息化建設由于其本身開放性所帶來的各個方面的安全問題是事實存在的。集團公司應該正視這一事實的基礎上，承認不可能有絕對安全的網(wǎng)絡系統(tǒng)的前提下，努力探討如何加強網(wǎng)絡安全防范性能，如何通過安全系列軟件、硬件及相關管理手段提高網(wǎng)絡信息系統(tǒng)的安全性能，降低安全風險，及時準確地掌握網(wǎng)絡信息系統(tǒng)的安全問題及薄弱環(huán)節(jié)，及早發(fā)現(xiàn)安全漏洞、攻擊行為井針對性地做出預防處理。2、要建立、健全集團信息化安全管理制度。集團信息化建設的安全，在很大程度上依賴于最初設計時制定的網(wǎng)絡信息系統(tǒng)安全策略及相關管理策略。因為所有安全技術和手段，都圍繞這一策略來選擇和使用，如果在安全管理策略上

7、出了問題，相當于沒有安全系統(tǒng)。同時，從大角度來看，集團信息化建設安全與嚴格、完善的管理是密不可分的。在集團信息化建設安全領域，技術手段和相關安全工具只是輔助手段，離開完善的管理制度與措施，是沒法發(fā)揮應有的作用并建設良好的網(wǎng)絡信息安全空間的。集團信息化建設一項重要而且長期的工作，為此必須建立一個信息安全工作的組織體系和常設機構，明確領導，設立專責人長期負責信息安全的管理工作和技術工作，才能取得好的成績。3、對集團信息化建設要定期評估，不斷的發(fā)展，改進，完善。集團信息化應用是隨著集團的發(fā)展而不斷發(fā)展的，信息技術更是日新月異的發(fā)展的，安全防護軟件系統(tǒng)由于技術復雜，在研制開發(fā)過程中不可避免的會出現(xiàn)這樣或者那樣的問題，這就決定了安全防護系統(tǒng)和設備不可能百分百的防御各種已知的，未知的信息安全威脅。安全的需求也是逐步變化的，新的安全問題也會隨著集團信息化建設過程中不斷產(chǎn)生，原來建設的防護系統(tǒng)可能都不滿足在新形勢下的安全需要，這些都決定了信息安全建設是一個動態(tài)過程。需要集團信息管理人員定期對信息網(wǎng)絡安全狀況進行評估，改進安全方案，調(diào)整安全策略。還有不是所有的信息安全問題都能一次解決，集團信息化管理人員要對信息安全問題的認識要隨著技術和應用的發(fā)展而不斷的提高。同時集團信息化管理人員也要明白一個道理，市場上信息安全生產(chǎn)廠家所生產(chǎn)的安全系統(tǒng)和設備，也僅僅是滿足某一些方面的安