论文部分内容阅读
摘 要 国家电网公司将信息安全作为公司安全生产的一个重要组成部分纳入体系一同管理。为切实加强信息安全工作,江苏南通海安县供电公司借鉴安全生产违章分类考核管理的办法,将信息安全违章行为进行分别界定,建立了信息安全违章分类考核机制,提高了员工信息安全责任意识,确保了信息安全目标的实现。
关键词 管理;信息;安全;违章
中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02
随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。
1 信息安全管理的目标描述
1.1 信息安全管理的理念
信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。
1.2 信息安全管理的范围和目标
1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。
2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。
2 信息安全分类考核的主要做法
2.1 建立信息安全分类考核机制的目的
为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。
2.2 信息安全分类考核的依据和原则
依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人誰负责”为原则。
2.3 信息安全违章行为界定
违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。
2.4 信息安全违章行为的分类
2.4.1 一般性违章(III类违章)
1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。
2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。
3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。
4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。
5)计算机未按要求进行注册或注册信息与责任人信息不一致。
6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。
7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。
2.4.2 较严重违章(II类违章)
1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。
2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。
3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。
4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。
5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。
6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。
7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。
8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。
9)在非涉密计算机中存储和处理及通过互联网传输国家、公司的涉密信息。
10)内网计算机私自带出公司。
11)擅自组建无线网络并接入信息内网。
12)干扰他人正常工作行为,包括:发布不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。
13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。
14)内外网计算机同处一室,经查实仍未按要求进行整改。
15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。
2.4.3 严重违章(Ⅰ类违章)
1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。 3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。
2.5 信息安全违章的督查
1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。
2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。
2.6 信息安全违章的处罚
1)处罚标准。
①I类违章:10000元以上或待岗处理。
②II类违章:500-2000元。
③III类违章:200-500元。
2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。
3)连带责任考核。
连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。
4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。
5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。
3 評估与改进
3.1 信息安全违章分类考核的评价
参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。
建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。
3.2 信息安全管理的提升
1)加强信息安全防范工作。
近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。
2)持续提高运维人员业务水平。
随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。
3)进一步加强员工信息安全意识。
加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。
4 结束语
生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。
参考文献
[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.
[2]杜新光.电力安全生产管理中存在的问题及其解决措施[J].中国电力教育,2009.
[3]李志民.浅谈电力企业安全生产管理[J].中小企业管理与科技,2009.
[4]唐纳.浅谈电力网络信息系统安全[J].企业技术开发,2011.
关键词 管理;信息;安全;违章
中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02
随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。
1 信息安全管理的目标描述
1.1 信息安全管理的理念
信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。
1.2 信息安全管理的范围和目标
1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。
2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。
2 信息安全分类考核的主要做法
2.1 建立信息安全分类考核机制的目的
为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。
2.2 信息安全分类考核的依据和原则
依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人誰负责”为原则。
2.3 信息安全违章行为界定
违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。
2.4 信息安全违章行为的分类
2.4.1 一般性违章(III类违章)
1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。
2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。
3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。
4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。
5)计算机未按要求进行注册或注册信息与责任人信息不一致。
6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。
7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。
2.4.2 较严重违章(II类违章)
1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。
2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。
3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。
4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。
5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。
6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。
7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。
8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。
9)在非涉密计算机中存储和处理及通过互联网传输国家、公司的涉密信息。
10)内网计算机私自带出公司。
11)擅自组建无线网络并接入信息内网。
12)干扰他人正常工作行为,包括:发布不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。
13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。
14)内外网计算机同处一室,经查实仍未按要求进行整改。
15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。
2.4.3 严重违章(Ⅰ类违章)
1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。 3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。
2.5 信息安全违章的督查
1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。
2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。
2.6 信息安全违章的处罚
1)处罚标准。
①I类违章:10000元以上或待岗处理。
②II类违章:500-2000元。
③III类违章:200-500元。
2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。
3)连带责任考核。
连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。
4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。
5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。
3 評估与改进
3.1 信息安全违章分类考核的评价
参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。
建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。
3.2 信息安全管理的提升
1)加强信息安全防范工作。
近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。
2)持续提高运维人员业务水平。
随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。
3)进一步加强员工信息安全意识。
加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。
4 结束语
生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。
参考文献
[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.
[2]杜新光.电力安全生产管理中存在的问题及其解决措施[J].中国电力教育,2009.
[3]李志民.浅谈电力企业安全生产管理[J].中小企业管理与科技,2009.
[4]唐纳.浅谈电力网络信息系统安全[J].企业技术开发,2011.