第一篇:淺談組織信息安全風險管理的重要性及實施步驟
淺談組織信息安全風險管理的重要性及實施步驟
山東省電子產品監(jiān)督檢驗所石秀芳
摘要:隨著信息技術的高速發(fā)展,特別是internet的問世及網上交易的啟用,許多信息安全的問題也紛紛出現(xiàn)。系統(tǒng)癱瘓、黑客入侵、病毒感染、網絡釣魚、網頁改寫、客戶資料的流失及公司內部資料的泄露等等。這些已給組織的經營管理、業(yè)務發(fā)展甚至生存都帶來嚴重的影響。在促進業(yè)務發(fā)展的同時如何保證自身的信息安全成了擺在面前的重要課題。文章通過對組織現(xiàn)有面臨的信息安全問題的分析,提出了通過建設信息安全管理體系解決信息安全問題,著重闡述了在推行信息安全管理體系時如何進行信息安全風險管理活動。論文關鍵詞:風險管理
隨著我國信息化和信息技術的快速發(fā)展,組織信息化水平的發(fā)展呈現(xiàn)良好態(tài)勢,在自身業(yè)務發(fā)展壯大的同時,信息安全重要性日益凸顯。在我們的周圍,信息安全威脅無處不在。有人認為,信息安全“不就是安裝殺毒軟件,在電腦上設設密碼嗎?”當我們這樣想,就和全世界95%的人一樣,都錯估、低估了信息對公司的致命影響。
日常工作中我們可能會碰到但住住被忽視的例子很多。
打印紙雙面打印---好習慣換取的大損失。節(jié)約用紙是很多公司的好習慣,員工往住會以使用背面打印紙為榮。其實,將擁有這種習慣公司的“廢紙”收集在一起,我們會發(fā)現(xiàn)打印、復印造成的廢紙所包含公司機密竟然如此全面,連執(zhí)行副總都會覺得汗顏,因為廢紙記載了公司里比他工作日記都全面的內容。
電腦易手---新員工真正的入職導師。所有的職業(yè)經理人可能都有過這樣的經歷:如果自己新到一家公司工作,在自己前任的電腦里漫游是了解新公司最好的渠道。在一種近似“窺探”的狀態(tài)下,公司里曾經發(fā)生過的事情“盡收眼底”,從公司以往的客戶記錄、獎懲制度、甚至還有幸閱讀前任的辭呈。如果是其他部門的電腦,自然也是另有一番樂趣。
光盤刻錄---資料在備份過程中流失。如果想要拿走公司的資料,最好的辦法是申請光盤備份,把文件做成特定的格式,交給網絡管理員備份,然后聲稱不能正常打開,要求重新備份,大多情況下,留在光驅里的“廢盤”就可以在下班后大大方方帶出公司。
郵箱---信息竊取的中轉站。利用電子郵件轉移竊取的公司資料占所有信息
竊取的八成以上。很多企業(yè)不裝軟驅、光驅、USB接口,卻沒有辦法避免員工通過電子郵件竊取信息,相比之下,以上方法顯得有些幼稚、可笑。
私人電腦---大量竊取資料常用手段。壓縮軟件的作用畢竟是有限的,如果把自己的筆記本電腦拿到單位來,連上局域網,只要半個小時,就是有1個G的文件也可以輕松帶走。
以上只是眾多信息安全問題中的幾個常見案例。人們利用這些手段能輕易獲得公司的秘密,如果給別有用心的人利用就可能給公司帶來嚴重的損失。從這些例子看,信息的泄漏很多時侯并不需要高超的技術手段,往往是由于公司沒有規(guī)定相關的信息安全規(guī)章制度或人們還沒有較高的信息安全意識。
如果組織有比較系統(tǒng)全面的信息安全制度,并在內部得到宣貫,90%的信息安全威脅都是可以避免的。所以,我們需要一個完整的、全方位的、系統(tǒng)的、整體規(guī)劃的信息安全管理體系,從預防控制的角度出發(fā),保障組織的信息系統(tǒng)與業(yè)務的安全與正常運作。
以上講述了信息安全所存在的威脅和可能性,為了解決信息安全問題,提高信息安全意識,保護信息資產的安全,重要的是按國際標準ISO/IEC 27005-2008提供的進行風險管理的方法定期進行組織內的風險管理活動。風險管理又名危機管理,是指如何在一個肯定有風險的環(huán)境里把風險減至最低的管理過程。包括了對風險的量度、評估和應變策略。理想的風險管理,是一連串排好優(yōu)先次序的過程,使當中的可以引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風險較低的事情則押后處理。
ISO/IEC 27005-2008《信息安全風險管理指南》中對風險管理的過程包括確定范圍、風險評估、風險處置、風險接受、風險監(jiān)控。
1、確定范圍
根據業(yè)務、組織、位置、資產和技術等方面的特性,確定組織風險管理的范圍和邊界。要將與企業(yè)的業(yè)務流程、組織架構、覆蓋的物理地址等相關的所有資產都納入到風險管理的范圍當中。
2、風險評估
風險評估包括風險分析和風險評價,是計算重要資產風險大小的過程,其目的是分開可接受的小風險和不能接受的大風險,為風險處置提供數(shù)據。風險評估
又包括以下4個方面。
(1)識別信息資產并賦值
在風險管理過程中所識別評估的資產有別于常見的固定資產,主要指信息、信息處理設施和信息使用者,包括硬件、軟件、數(shù)據、服務和其他。從信息的保密性、完整性和可用性三個屬性來評估資產的重要度等級。
(2)識別重要資產面臨的威脅
威脅是與資產相對應的,某一資產可能面臨多個威脅。在識別威脅時,主要從威脅源來識別出相對應的資產所面臨的威脅。識別出威脅后,綜合考慮威脅源的動機、能力和行為,對威脅進行評估。對威脅利用弱點導致危害的可能性進行不同等級的賦值。
(3)脆弱性評估
脆弱性是資產被威脅利用的屬性,一種威脅可能利用一種或多種脆弱性而產生風險。應從管理和技術兩個方面來識別脆弱性,一般采用調查問卷、文檔審核、人員訪談、現(xiàn)場檢查等方法進行脆弱性的識別。并對脆弱性被威脅利用后的嚴重性進行賦值。
(4)識別評估已有控制措施
在識別出威脅和脆弱性之后,要針對威脅利用脆弱性產生的風險,來識別組織自身是否已經采取了控制措施,并用定量賦值的方式來描述已采取控制措施的有效程度。
(5)風險評價
在評價風險時,需要考慮資產的重要度等級、威脅利用弱點導致危害的可能性、脆弱性被威脅利用后的嚴重性影響和已采取控制措施的有效性。然后依據組織制定的評價方法進行計算,計算出風險值,并根據組織制定的準則,將風險進行分級。
3、風險處置
風險處置是選擇并執(zhí)行控制措施來改變風險的過程,其目的是將評價出的不可接受風險降低、避免或轉移。制定《風險處理計劃》,選擇控制措施并實施。根據不同的情況,所實施的控制措施可以降低風險級但不會根除風險,實施控制措施后仍然存在的風險為殘余風險。
4、風險接受
對不可接受的風險采取一定的控制措施后還應再評估,以判斷實施控制措施后的殘余風險是否已經降低到適當?shù)乃健堄囡L險需經過組織管理者批準,若組織管理者批準即為風險接受,若組織管理者批示不接受,則針對該風險重新進行風險評價、風險處置直到組織管理者表示風險接受為止。
5、風險監(jiān)控
進行完一次風險評估后,并不代表今后就萬事大吉,不必再進行風險評估了,一般情況下組織需每年進行一次全面的風險評估復查,對風險評估結果,特別是采取的控制措施進行適當?shù)脑u審。遇有特殊情況應該及時對組織風險進行再評估。小結
本文通過對組織日常工作中所面臨的信息安全事件進行分析,知悉信息安全的重要性。如何避免安全事件的發(fā)生,目前最好的解決辦法是按照國際標準定期進行風險管理,讓全員樹立信息安全意識,形成良好的工作習慣,采取控制措施,完善管理制度,起到避免、預防信息安全事件的發(fā)生。
第二篇:信息安全及其重要性
信息安全及其重要性
信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統(tǒng)的安全性。信息安全本身包括的范圍很大,其中包括如何防范商業(yè)企業(yè)機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。網絡環(huán)境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統(tǒng)、各種安全協(xié)議、安全機制(數(shù)字簽名、消息認證、數(shù)據加密等),直至安全系統(tǒng),如UniNAC、DLP等,只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統(tǒng)(包括硬件、軟件、數(shù)據、人、物理環(huán)境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務不中斷,最終實現(xiàn)業(yè)務連續(xù)性。
信息安全學科可分為狹義安全與廣義安全兩個層次,狹義的安全是建立在以密碼論為基礎的計算機安全領域,早期中國信息安全專業(yè)通常以此為基準,輔以計算機技術、通信網絡技術與編程等方面的內容;廣義的信息安全是一門綜合性學科,從傳統(tǒng)的計算機安全到信息安全,不但是名稱的變更也是對安全發(fā)展的延伸,安全不在是單純的技術問題,而是將管理、技術、法律等問題相結合的產物。
信息安全產品
2012年信息安全產業(yè)將步入高速發(fā)展階段,而整個互聯(lián)網用戶對安全產品的要求也轉入“主動性安全防御”。隨著用戶安全防范意識正在增強,主動性安全產品將更受關注,主動的安全防御將成為未來安全應用的主流。終端方案
終端安全解決方案是以終端安全保護系統(tǒng)全方位綜合保障終端安全,并以數(shù)據安全保護系統(tǒng)重點保護終端敏感數(shù)據的安全。終端安全保護系統(tǒng)以“主動防御”理念為基礎,采用自主知識產權的基于標識的認證技術,以智能控制和安全執(zhí)行雙重體系結構為基礎,將全面安全策略與操作系統(tǒng)有機結合,通過對代碼、端口、網絡連接、移動存儲設備接入、數(shù)據文件加密、行為審計分級控制,實現(xiàn)操作系統(tǒng)加固及信息系統(tǒng)的自主、可控、可管理,保障終端系統(tǒng)及數(shù)據的安全。安全軟件
數(shù)據安全保護系統(tǒng)能夠實現(xiàn)數(shù)據文檔的透明加解密保護,可指定類型文件加密、指定程序創(chuàng)建文件加密,杜絕文檔泄密。實現(xiàn)數(shù)據文檔的強制訪問控制和統(tǒng)一管理控制、敏感文件及加密密鑰的冗余存儲備份,包括文件權限管理、用戶管理、共享管理、外發(fā)管理、備份管理、審計管理等。對政府及企業(yè)的各種敏感數(shù)據文檔,包括設計文檔、設計圖紙、源代碼、營銷方案、財務報表及其他各種涉及企業(yè)商業(yè)秘密的文檔,都能實現(xiàn)穩(wěn)妥有效的保護。
信息安全影響因素
信息安全與技術的關系可以追溯到遠古。埃及人在石碑上鐫刻了令人費解的象形文字;斯巴達人使用一種稱為密碼棒的工具傳達軍事計劃,羅馬時代的凱撒大帝是加密函的古代將領之一,“凱撒密碼”據傳是古羅馬凱撒大帝用來保護重要軍情的加密系統(tǒng)。它 是一種替代密碼,通過將字母按順序推后 3 位起到加密作用,如將字母 A 換作字母 D,將字母 B 換作字母 E。英國計算機科學之父阿蘭·圖靈在英國布萊切利莊園幫助破解了 德國海軍的 Enigma 密電碼,改變了二次世界大戰(zhàn)的進程。美國 NIST 將信息安全控制分 為 3 類。
(1)技術,包括產品和過程(例如防火墻、防病毒軟件、侵入檢測、加密技術)。
(2)操作,主要包括加強機制和方法、糾正運行缺陷、各種威脅造成的運行缺陷、物 理進入控制、備份能力、免予環(huán)境威脅的保護。(3)管理,包括使用政策、員工培訓、業(yè)務規(guī)劃、基于信息安全的非技術領域。信息系統(tǒng)安全涉及政策法規(guī)、教育、管理標準、技術等方面,任何單一層次的安全措 施都不能提供全方位的安全,安全問題應從系統(tǒng)工程的角度來考慮。圖 8-1 給出了 NSTISSC 安全模型。
安全威脅
(1)信息泄露:信息被泄露或透露給某個非授權的實體。
(2)破壞信息的完整性:數(shù)據被非授權地進行增刪、修改或破壞而受到損失。(3)拒絕服務:對信息或其他資源的合法訪問被無條件地阻止。
(4)非法使用(非授權訪問):某一資源被某個非授權的人,或以非授權的方式使用。(5)竊聽:用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信線路中傳輸?shù)男盘柎罹€監(jiān)聽,或者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。
(6)業(yè)務流分析:通過對系統(tǒng)進行長期監(jiān)聽,利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進行研究,從中發(fā)現(xiàn)有價值的信息和規(guī)律。
(7)假冒:通過欺騙通信系統(tǒng)(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是采用假冒攻擊。
(8)旁路控制:攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如,攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應保密,但是卻又暴露出來的一些系統(tǒng)“特性”,利用這些“特性”,攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內部。
(9)授權侵犯:被授權以某一目的使用某一系統(tǒng)或資源的某個人,卻將此權限用于其他非授權的目的,也稱作“內部攻擊”。
(10)特洛伊木馬:軟件中含有一個覺察不出的有害的程序段,當它被執(zhí)行時,會破壞用戶的安全。這種應用程序稱為特洛伊木馬(Trojan Horse)。
(11)陷阱門:在某個系統(tǒng)或某個部件中設置的“機關”,使得在特定的數(shù)據輸入時,允許違反安全策略。
(12)抵賴:這是一種來自用戶的攻擊,比如:否認自己曾經發(fā)布過的某條消息、偽造一份對方來信等。
(13)重放:出于非法目的,將所截獲的某次合法的通信數(shù)據進行拷貝,而重新發(fā)送。(14)計算機病毒:一種在計算機系統(tǒng)運行過程中能夠實現(xiàn)傳染和侵害功能的程序。(15)人員不慎:一個授權的人為了某種利益,或由于粗心,將信息泄露給一個非授權的人。(16)媒體廢棄:信息被從廢棄的磁碟或打印過的存儲介質中獲得。(17)物理侵入:侵入者繞過物理控制而獲得對系統(tǒng)的訪問。(18)竊取:重要的安全物品,如令牌或身份卡被盜。
(19)業(yè)務欺騙:某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等。
2014年信息安全大事件
1月,中國互聯(lián)網出現(xiàn)大面積DNS解析故障 2月,維護網絡安全首次被列入政府工作報告 3月,攜程“安全門”敲響網絡消費安全警鐘 4月,微軟停止XP支持,影響兩億國內用戶 5月,山寨網銀及山寨微信大量竊取網銀信息 6月,免費Wi-Fi存陷阱,竊取用戶手機敏感信息 7月,蘋果承認iPhone存在“安全漏洞” 8月,“XX神器”安卓系統(tǒng)手機病毒在全國蔓延 9月,2014年中國互聯(lián)網安全大會(ICS)召開 10月,2014中國網絡安全大會(NSC2014)召開 11月,首屆國家網絡安全宣傳周活動舉辦
12月,86萬條簡歷數(shù)據因某招聘網站漏洞而被泄露
信息安全的重要性
信息作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對于人類具有特別重要的意義。信息安全的實質就是要保護信息系統(tǒng)或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。根據國際標準化組織的定義,信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題,是一個不容忽視的國家安全戰(zhàn)略。但是,對于不同的部門和行業(yè)來說,其對信息安全的要求和重點卻是有區(qū)別的。
中國的改革開放帶來了各方面信息量的急劇增加,并要求大容量、高效率地傳輸這些信息。為了適應這一形勢,通信技術發(fā)生了前所未有的爆炸性發(fā)展。除有線通信外,短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應用。與此同時,國外敵對勢力為了竊取中國的政治、軍事、經濟、科學技術等方面的秘密信息,運用偵察臺、偵察船、偵察機、衛(wèi)星等手段,形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網,截取中國通信傳輸中的信息。
從文獻中了解一個社會的內幕,早已是司空見慣的事情。在20世紀后50年中,從社會所屬計算機中了解一個社會的內幕,正變得越來越容易。不管是機構還是個人,正把日益繁多的事情托付給計算機來完成,敏感信息正經過脆弱的通信線路在計算機系統(tǒng)之間傳送,專用信息在計算機內存儲或在計算機之間傳送,電子銀行業(yè)務使財務賬目可通過通信線路查閱,執(zhí)法部門從計算機中了解罪犯的前科,醫(yī)生們用計算機管理病歷,最重要的問題是不能在對非法(非授權)獲取(訪問)不加防范的條件下傳輸信息。
傳輸信息的方式很多,有局域計算機網、互聯(lián)網和分布式數(shù)據庫,有蜂窩式無線、分組交換式無線、衛(wèi)星電視會議、電子郵件及其它各種傳輸技術。信息在存儲、處理和交換過程中,都存在泄密或被截收、竊聽、竄改和偽造的可能性。不難看出,單一的保密措施已很難保證通信和信息的安全,必須綜合應用各種保密措施,即通過技術的、管理的、行政的手段,實現(xiàn)信源、信號、信息三個環(huán)節(jié)的保護,藉以達到秘密信息安全的目的。
第三篇:6s管理實施步驟
6s管理實施步驟
前言:實施6s管理,是一項系統(tǒng)工程、復雜工程,該工作涉及時間較長、任務量較大、資金投入較多;該項工作的實施,需要公司全方位支持,需要各部門配合、理解,才能達到應有的效果。按照學習內容,結合新東谷公司的現(xiàn)狀,建議采取以下實施步驟。
一、理論知識概述: 6s管理的基本知識 1、6s含義:
整理(seiri)—整頓(seiton)—清掃(seisou)—清潔(seiketsu)——安全(safety)—素養(yǎng)(sitsuke)
2、推行6s的目的及效用:
(1)改善和提升企業(yè)形象
虧損為零(2)促成效率的提高
不良為零(3)縮短作業(yè)時間,確保交貨
浪費為零(4)改善產品在庫周轉率
故障為零(5)減少直至消除故障,保障質量
切換為零(6)降低生產成本
事故為零(7)保障企業(yè)安全生產
投訴為零(8)改善員工精神面貌,使組織活力化
缺勤為零 6s的效用可歸納為“八大作用”或“八零工廠”。
(一)整理(seiri)
1、定義:在工作現(xiàn)場分開有用物品和無用物品,及時處理無用物品。
2、對象:主要清理工作現(xiàn)場所占用的有效“空間”。
3、目的:
(1)騰出寶貴的時間。(2)防止誤送、誤用。(3)防止變質與積壓資金。(4)制造清爽的工作場所。
4、整理的要點
整理的實施要點就是對生產現(xiàn)場中擺放和停置的物品進行分類,然后按照判斷基準區(qū)分出物品的使用等級。可見,整理的關鍵在于制定合理的判斷基準。在整理中有三個非常重要的基準:(1)“要與不要”的基準。(2)“場所”的基準。(3)廢棄處理的原則。
5、整理的實施步驟(1)現(xiàn)場檢查。
(2)區(qū)分必須品和非必須品。(3)清理非必須品。(4)處理廢棄物品。(5)每天循環(huán)整理。
(二)整頓
1、定義
對整理之后留在現(xiàn)場的必要的物品分門別類放置,排列整齊,明確數(shù)量,有效標識。
2、對象
主要減少工作現(xiàn)場所浪費的“時間”。
3、目的
(1)使工作場所一目了然。(2)整整齊齊的工作環(huán)境。(3)消除找尋物品的時間。(4)消除過多的積壓物品。
3、整頓的“三定”原則
定點——定容——定量
4、整頓的“三要素”
場所——方法——標識
5、整頓的實施步驟 落實整理工作——決定放置場所——決定放置方法——劃線歸位——標識 三(清掃)
1、定義:隨時打掃和清理垃圾、灰塵和污物。保持工作場所干凈、亮麗。
2、對象:主要是消除工作場所各處所發(fā)生的“臟污”。
3、目的:(1)減少工業(yè)傷害(2)保證質量(3)塑造高作業(yè)率的工作場所
4、清掃的“三原則”
掃黑——掃漏——掃怪
5、清掃的實施步驟
(1)確定清掃對象(設備、空間、料、地面...)(2)安排清掃人員(值日表、分工圖)(3)確定清掃方法(工具、時間、頻率、程序)(4)準備清掃工具(掃把、拖把、抹布等等)(5)清掃
6、清掃推行要領
員工教育——制定“清掃”責任區(qū)域制——從工作場所掃除一切垃圾——對清掃后進行立即檢查——整修發(fā)現(xiàn)的問題
(四)清潔
1、定義:將上面3s的實施制度化、規(guī)范化,并維護效果。
2、對象:主要透過整潔美化的廠區(qū)與環(huán)境發(fā)現(xiàn)“異常”。
3、目的:維護前3s成果——塑造潔凈的工作場所——提升公司形象
4、清潔的實施步驟:落實前期工作——制定目視管理與顏色管理標準——編制“清潔”手冊——制定檢查方法,制定獎懲制度并認真執(zhí)行——保持6s管理意識
5、清潔的原則
堅持(不恢復臟亂)
維持(不制造臟亂)
保持(不擴散臟亂)
(五)素養(yǎng)
1、定義:個人衛(wèi)生、品德行為、身體及規(guī)律性比較良好,并且遵守規(guī)定、規(guī)則,養(yǎng)成依照上司的方法做事,對待工作無條件服從。
2、對象:主要透過持續(xù)不斷的4s活動,改造人性,提升人的品質。
3、目的:(1)養(yǎng)成良好習慣(2)塑造守紀律的工作場所(3)營造團隊精神
4、素養(yǎng)的實施步驟
落實持續(xù)推動前4s活動——建立共同遵守的規(guī)則或約束——將各種規(guī)則或約定目視化——實施各種教育訓練——違反規(guī)則或約束給予糾正——接受指責糾正,立即改正——推動各種精神提升活動
(六)安全
1、定義:就是將個人、團體會發(fā)生不安全、危險的物品及動作習慣,減至最少。
2、安全的要點
(1)電源開關、風扇、燈管損壞及時報修。
(2)物品堆放、懸掛、安裝、設置不存在危險狀況。(3)特殊工位無上崗證嚴禁上崗。(4)正在維修或修理設備貼上標識。
(5)危險物品、區(qū)域、設備、儀器、儀表特別提示。
3、目的:保障企業(yè)財產安全、保證員工在生產過程中的健康與安全。杜絕事故苗頭,避免事故發(fā)生。
二、6s在我公司實施步驟
1、廠區(qū)公共區(qū)域:
(1)聘請專業(yè)技術人員,根據季節(jié)變化,結合苗木生長特性,及時進行補栽、替換、修剪、殺蟲、施肥、澆灌、割草、松土、清理雜草雜物等工作,根據季節(jié)的不同,制定相應的維護計劃,以期達到枝繁葉茂、四季常青的綠化效果;對公司內樹木掛牌,綠化帶設置提醒標志;廠區(qū)內嚴禁飼養(yǎng)家禽、寵物等,確保廠區(qū)環(huán)境整潔。
(2)專人對廠區(qū)內廁所定期進行清理,做好滅蠅工作;對廠區(qū)內公共衛(wèi)生區(qū)域及時清理。
(3)專人對廠區(qū)公共管網及時疏通,確保水路暢通。廢棄物品劃線存放并及時變賣或清理出廠。
2、餐廳:
(1)對就餐桌椅進行編號并擺放整齊。每餐結束后,餐廳工作人員及時清理桌面、地面衛(wèi)生,將桌面上雜物、剩余飯菜及時清理倒入垃圾桶并清運出廠。
(2)所使用的原輔料擺放規(guī)范有序。使用的菜品按照類別規(guī)范安全存放。操作完畢,將操作臺全部清理一次,確保整潔有序,創(chuàng)造良好的就餐環(huán)境。
(3)夏季溫度較高時,將風扇(空調)提前半小時開啟,待員工就餐結束,及時關閉電源;員工餐具使用后及時清洗放入櫥柜內,嚴禁隨意放置,嚴禁剩余的飯菜隨意亂扔亂倒。(4)增加消毒設施,確保使用安全。
3、車輛停放、人員出入:
(1)劃線標識小車停放區(qū)(公司車輛按照車號進行標識)、貨車停放區(qū);所有車輛(包括外來車輛)必須按照公司規(guī)定的劃線區(qū)域規(guī)范停放,嚴禁亂停亂放,嚴禁將小型車輛(非裝卸任務車輛)停放在辦公樓后任何區(qū)域(公司批準的臨時施工車輛除外)。
(2)廠區(qū)內不同路段設置限速和提醒標志。所有車輛進入公司必須限速行駛,確保行車及人員安全。電動車、自行車、三輪車等非機動車輛(包括外來人員車輛)規(guī)范停放在車棚內。(3)其它無業(yè)務關聯(lián)的車輛禁止入廠。門崗人員負責出入車輛、人員的登記工作,做到“一車一檢、一人一核”發(fā)現(xiàn)可疑車輛或人員要及時上報,必要時直接撥打110報警。在下班后及時關閉電動門。
4、辦公區(qū)域:
(1)對公司責任區(qū)進行規(guī)劃并進行公示和懸掛區(qū)域圖。各部門衛(wèi)生責任區(qū)要堅持每日徹底打掃,清理責任區(qū)綠化帶雜物、垃圾等,確保責任區(qū)衛(wèi)生清潔,垃圾桶垃圾及時清理清運;禁止垃圾亂堆亂放,甚至堵塞通道;清理工具使用后存放在合適位置。
(2)各自辦公室辦公用物品要規(guī)范擺放,無關物品、閑置物品、廢棄物品和不應存放的物品要及時清理出辦公區(qū)域,始終保持辦公區(qū)域的規(guī)范整潔,提高辦公空間的利用率。
(3)桌面、地面、檔案櫥、工作臺等衛(wèi)生要及時打掃,打掃工具要規(guī)范存放。堅持每天對辦公用設備外部衛(wèi)生進行清理,真正達到整潔、規(guī)范的效果。
(4)對部門負責的責任區(qū)、辦公區(qū)各墻壁灰塵、蜘蛛網等進行打掃清理,制止亂貼、亂畫、亂涂現(xiàn)象,確保提供良好的辦公和生活環(huán)境。(5)員工著裝要規(guī)范、得體;嚴禁穿奇裝異服。季節(jié)允許的情況下,要按照公司規(guī)定,統(tǒng)一穿工作服。
5、成品庫、材料庫區(qū)域:
(1)堅持每天對所負責的衛(wèi)生區(qū)進行清掃,落地面及時回收處理。(2)產品碼放、存放要規(guī)范有序,確保通道暢通。面粉托盤上下碼放要協(xié)調一致,確保碼放安全。(3)產品歸類存放并設置產品標識,提高發(fā)貨的效率和準確性。(4)保管室整體衛(wèi)生堅持每天清掃,垃圾及時清理外運。(5)物品、臺賬等要規(guī)范存放,確保整齊、安全。堅持每月底配合財務科對在庫產品進行全面盤點,確保數(shù)據準確,賬實相符。(6)材料庫備品備件要按照功能不同分類合理存放,設置相應的標識,提高領用的效率和準確性;要嚴格執(zhí)行出入庫手續(xù)合規(guī)性審核,確保備品備件庫存符合限量要求,滿足生產經營的需要。領用程序要合規(guī)。袋皮要按照類別、規(guī)格做好標識規(guī)范存放并按照規(guī)定領用,提高發(fā)貨的及時性和準確性。
(7)空托盤暫時存放在成品庫內合適位置,碼放整齊有序。面粉托盤按照類別整齊排放,有利于裝車和發(fā)貨的準確。叉車工要堅持每日上班前或下班后對叉車外部衛(wèi)生、責任區(qū)衛(wèi)生進行徹底清理,不使用叉車時,及時關閉油門將鑰匙取下保管好,將叉車放在合適位置。(8)成品庫內退貨產品、不合格產品、破袋、落地面要及時和車間聯(lián)系回機,確保成品庫內產品合格,存放安全。
(9)成品庫始終保持通風,經常查看溫度計、濕度計,確保符合產品存放條件。
(10)各裝車用輸送帶、拖帶等設備待裝車完畢后,及時關閉電源,放置在合理區(qū)域,不得影響道路暢通或亂扔亂放。輸送帶下懸掛“嚴禁站人”的安全提醒,防范安全事故的發(fā)生。
6、生產車間:
(1)各樓層(中控室)的地面、設備、管道、樓梯(扶手)、門窗、消防設備等堅持及時打掃、清理,下班前將責任區(qū)衛(wèi)生全部清理一遍,做好交班前的準備工作。衛(wèi)生清理工具分類存放,認真做好交接班工作。
(2)維修后現(xiàn)場要及時清理,確保現(xiàn)場的整潔規(guī)范。使用電氣焊維修作業(yè)時,要隨身攜帶滅火器。車間開機時,嚴禁明火作業(yè)。(3)各種維修保養(yǎng)記錄、工作交接班記錄、添加記錄、巡查巡檢記錄等要填寫清晰、完整,存放規(guī)范,便于復查。各設備檔案資料及工藝技術信息資料等要規(guī)范安全存放。
(4)員工著裝要得體、大方、規(guī)范,要按照公司的規(guī)定統(tǒng)一著工裝。嚴禁員工穿奇裝異服,嚴禁穿戴有礙工作安全和企業(yè)形象的外套、首飾、拖鞋、短褲、超短裙;做到言語文明、待人禮貌。
(5)員工隨身攜帶的衣物、錢包等一律存放在更衣室內。更衣室實行輪流值日制,確保更衣室環(huán)境整潔,無垃圾、廢物存在。(6)卸糧處及周邊衛(wèi)生做到每日清掃,落地小麥及時清掃入倉。每日卸糧工作結束后,及時關閉卷簾門。
(7)添加物、回機面要擺放整齊,回機面要及時安排回機。(8)托盤、塑料筐、推拉車輛做到整齊有序放置。
(9)車間內嚴禁私拉亂扯、亂堆亂放、繩捆索綁。徹底解決設備跑冒滴漏,提升車間整體管理水平。
(10)各種標識牌、警示標志、告知牌的張貼、懸掛要符合要求,也是展現(xiàn)車間規(guī)范化管理的重要一面。
(11)各樓層設備實行“設備管理卡”制度。定崗、定人對所管理的設備進行巡查、維護。設備出現(xiàn)按照“正常損毀、非正常無意損毀、非正常有意損毀”進行處理、處罰,增強員工大局意識,最大限度降低企業(yè)內損,提高企業(yè)經濟效益。
2017.10.29
第四篇:淺談部隊信息安全保密風險管理
淺談部隊信息安全保密風險管理
柳立強 劉 清 武瑞凱
信息化條件下,軍事秘密面臨的風險不斷加大,無意識泄密、間接泄密、計算機網絡泄密等現(xiàn)象時有發(fā)生,給部隊信息安全保密工作帶來了嚴重挑戰(zhàn)。信息安全保密風險管理從風險識別出發(fā),對軍事秘密面臨的風險進行客觀地全面分析和評估,并對風險實施有效控制,變事后補救為事先防范,這是形勢發(fā)展的需要,是確保軍事秘密安全的需要,也是做好信息化條件下部隊保密工作的必然要求。
一、系統(tǒng)識別,找出部隊信息安全保密重要風險
信息安全保密風險識別是指運用有關知識、方法、系統(tǒng)、全面和連續(xù)地發(fā)現(xiàn)部隊軍事秘密面臨的風險。風險識別是風險管理的首要步驟。部隊保密工作面臨的風險是錯綜復雜的,需要進行認識和辨別。只有全面、準確地發(fā)現(xiàn)和辨識風險,才能進行風險評估和選擇風險控制的措施。風險識別的方法有很多,比如保密清單損失法、專家調差分析法、經典案例分析法、等級全息建模法等等,不管用哪種方法,都要系統(tǒng)的識別以下幾個方面。
1.對保密資產的識別。保密資產就是要保護的秘密資產。主要包括涉密的電子文檔、涉密的實體信息以及涉密的裝備設施等。一個單位保密資產越多,秘密的級別越高,保密的風險就越大,需要采取的措施就要更嚴密。
2.對資產脆弱性的識別。要清楚這些保密資產它們的弱電在哪里,也就是說,這些保密資產哪些方面容易被敵對勢力利用。一般情況下,可以將脆弱性分為技術脆弱性和管理脆弱性兩類。技術脆弱性主要是保護資產所涉及到的所有設備,包括移動載體、計算機網絡、通信設備等本身所存在的一些技術隱患,比如一些后門程序等。管理的脆弱性主要是規(guī)章制度、責任區(qū)分等問題,要識別出在這些方面部隊有哪些弱點。
3.對威脅的識別。威脅是指可能對保密資產或組織造成損害的一種潛在的侵害。比如信息泄露、信息破壞等。這些侵害有些是非人為,可能是無意識的行為,有些是故意的,是敵方情報機關或者我方人員有意識的行為。以上關于保密資產、脆弱性以及威脅的識別,不僅要清楚它們單個因素的種類,同是還要結合部隊已有的安全措施,找出威脅利用脆弱性的可能性,以及發(fā)生以后對保密資產可能造成的損失,這就是保密風險。這些風險因素有很多,要通過進一步的識別,找出一些發(fā)生可能性大并且發(fā)生以后對保密資產影響較大的風險,也就是重要風險,將其進行評估。
二、量化評估,確定部隊信息安全保密風險等級
在對信息安全保密風險進行充分的認識和分析之后,就應該對風險進行量化評估,確定保密的風險等級。保密風險評估綜合分析資產、威脅、脆弱性、安全措施,判斷系統(tǒng)風險,為部隊識別安全重點、選擇合理使用是安全對策提供依據,是保密風險管理的基礎。
1.建立合理的評估指標體系。指標體系的建立對于風險的定量化評級至關重要。建立的指標不合理、不科學,即使評估的方法再科學,也會偏離評估的方向。風險識別階段已經將保密重要風險因素進行了篩選,可依據篩選的這些風險因素進行歸類。對哪些風險應該屬于什么類別,要做到心中有數(shù),這樣便于評估,同事也便于制定合理的措施。風險從組織領導、保密環(huán)境、涉密崗位人員、技術條件、制度建設等方面進行歸納,形成保密風險的一級指標,再將一級指標進行系統(tǒng)歸類,細分出更多的指標。
2.選擇合適的評估方法。目前在風險評估領域評估方法已經十分廣泛。部隊在保密風險評估工作中起步較晚,但是這些方法可以借鑒。模糊綜合評判法可以很好的解決保密風險評估量化問題。將建立的底層保密風險評估指標讓專家打分,根據打分的情況利用模糊數(shù)學的一些方法進行處理,再通過底層指標的風險計算一級指標值,最終得出部隊的保密風險綜合值。
3.對評估的結果進行認真分析。風險評估一般將單位的風險狀況區(qū)分為很低、低、中、高、很高五個等級。要根據評估的結果分析是什么原因導致的,對這些原因進行分析,進而找出影響評估結果的關鍵因素,為實施風險控制提供思路。
三、綜合控制,規(guī)避和降低部隊信息安全保密風險
在部隊信息安全保密風險進行定量化評估以后,就應該根據風險評估的結果,對重要風險進行規(guī)避或降低,將保密風險控制在可接受范圍內。風險控制是一個系統(tǒng)工程,不僅要找出風險和控制措施間的有效對應關系,還要從單位的保密文化環(huán)境、防范體系、防范策略等多方面進行綜合控制,這樣才能做到有的放矢,提高保密控制的效果。
1.營造信息安全保密的文化環(huán)境。忽略了官兵的信息安全保密意識和安全保密技能的提高,安全措施就不可能有效的發(fā)揮作用。通過對部隊發(fā)生的失泄密事故調查和分析,大部分原因都是由人的因素引起的,這其中包括保密意識的淡薄和保密技能的缺失。因此,要制定周密的計劃,通過安全教育和技能培訓,提高官兵的信息安全保密意識和應對保密風險控制的技能,使遵守各種保密制度成為官兵的一種習慣,從而形成良好的保密文化環(huán)境。
2.構建全維實時的信息安全保密風險防范體系。要從組織領導、技術條件、管理制度、保密法規(guī)等各個方面,綜合運用各種手段,實時監(jiān)督各類安全措施的執(zhí)行,落實安全獎懲措施,不斷削除信息安全保密風險管理中的弱點。
3.注意防范策略的靈活運用。防范策略主要包括規(guī)避風險、降低風險和接受風險。信息安全保密工作中有些風險屬于高風險,對于這類風險情況,可采取規(guī)避的方法,減少部隊的損失;有些風險情景是部隊在訓練、演習、學習等工作中必須面對的,這時主要采取相應的安全措施來降低風險,使其控制在部隊能接受的范圍;有些風險是無法消除的,這時部隊要勇敢面對,但是要實時監(jiān)控,使其不影響保密工作的總體成效。
信息安全保密風險管理不是一蹴而就的,而是一個周期的螺旋式發(fā)展過程。由于部隊任務轉換、環(huán)境變化、人員流動等各種因素,再加上風險情景的不斷變化,使得部隊必須不斷研究風險管理的新情況、新問題,不斷完善風險管理的過程,健全風險管理的防范體系,提高信息化條件下保密管理水平。
第五篇:信息安全的重要性
信息安全的重要性
信息作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對于人類具有特別重要的意義。信息安全的實質就是要保護信息系統(tǒng)或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。根據國際標準化組織的定義,信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。
信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題,是一個不容忽視的國家安全戰(zhàn)略。但是,對于不同的部門和行業(yè)來說,其對信息安全的要求和重點卻是有區(qū)別的。我國的改革開放帶來了各方面信息量的急劇增加,并要求大容量、高效率地傳輸這些信息。為了適應這一形勢,通信技術發(fā)生了前 所 未有的爆炸性發(fā)展。目前,除有線通信外,短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應用。與此同時,國外敵對勢力為了竊取我國的政治、軍事、經濟、科學技術等方面的秘密信息,運用偵察臺、偵察船、衛(wèi)星等手段,形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網,截取我通信傳輸中的信息。
從文獻中了解一個社會的內幕,早已是司空見慣的事情。在20世紀后50年中,從社會所屬計算機中了解一個社會的內幕,正變得越來越容易。不管是機構還是個人,正把日益繁多的事情托付給計算機來完成,敏感信息正經過脆弱的通信線路在計算機系統(tǒng)之間傳送,專用信息在計算機內存儲或在計算機之間傳送,電子銀行業(yè)務使財務賬目可通過通信線路查閱,執(zhí)法部門從計算機中了解罪犯的前科,醫(yī)生們用計算機管理病歷,((所有這一切,最重要的問題是不能在對非法(非授權)獲取(訪問)不加防范的條件下傳輸信息。
傳輸信息的方式很多,有局域計算機網、互聯(lián)網和分布式數(shù)據庫,有蜂窩式無線、分組交換式無線、衛(wèi)星電視會議、電子郵件及其它各種傳輸技術。信息在存儲、處理和交換過程中,都存在泄密或被截收、竊聽、竄改和偽造的可能性。不難看出,單一的保密措施已很難保證通信和信息的安全,必須綜合應用各種保密措施,即通過技術的、管理的、行政的手段,實現(xiàn)信源、信號、信息三個環(huán)節(jié)的保護,藉以達到秘密信息安全的目的。
點擊咨詢 