第一篇：ISO27001信息安全體系培訓(xùn)(條款A(yù)6-信息安全組織).

ISO27001培訓(xùn)系列V1.0 ISO 27001信息安全體系培訓(xùn)控制目標(biāo)和控制措施(條款A(yù)6-信息安全組織 2009年11月

董翼?xiàng)?dongyifeng78@hotmail.com 條款A(yù)6

信息安全組織 A6.1內(nèi)部組織 ?目標(biāo): 在組織內(nèi)管理信息安全。

?應(yīng)建立管理框架,以啟動和控制組織范圍內(nèi)的信息安全的實(shí)施。?管理者應(yīng)批準(zhǔn)信息安全方針、指派安全角色以及協(xié)調(diào)和評審整個組織安全的實(shí)施。

?若需要,要在組織范圍內(nèi)建立專家信息安全建議庫,并在組織內(nèi)可用。要發(fā)展與外部安全專家或組織(包括相關(guān)權(quán)威人士的聯(lián)系,以便跟上行業(yè)趨勢、跟蹤標(biāo)準(zhǔn)和評估方法,并且當(dāng)處理信息安全事件時,提供合適的聯(lián)絡(luò)點(diǎn)。應(yīng)鼓勵采用多學(xué)科方法,解決信息安全問題。

控制措施

管理者應(yīng)通過清晰的說明、可證實(shí)的承諾、明確的信息安全職責(zé)分配及確認(rèn),來積極支持組織內(nèi)的安全。

實(shí)施指南 ?管理者應(yīng): a確保信息安全目標(biāo)得以識別,滿足組織要求,并已被整合到相關(guān)過程中;b制定、評審、批準(zhǔn)信息安全方針;c評審信息安全方針實(shí)施的有效性;d為安全啟動提供明確的方向和管理者明顯的支持;e為信息安全提供所需的資源;f批準(zhǔn)整個組織內(nèi)信息安全專門的角色和職責(zé)分配;g啟動計(jì)劃和程序來保持信息安全意識;h確保整個組織內(nèi)的信息安全控制措施的實(shí)施是相互協(xié)調(diào)的(見A6.1.2。?管理者應(yīng)識別對內(nèi)外部專家的信息安全建議的需求,并在整個組織內(nèi)評審和協(xié)調(diào)專家建議結(jié)果。

?根據(jù)組織的規(guī)模不同,這些職責(zé)可以由一個專門的管理協(xié)調(diào)小組或由一個已存在的機(jī)構(gòu)(例如董事會承擔(dān)。

A6.1.2信息安全協(xié)調(diào)

信息安全活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé) 的代表進(jìn)行協(xié)調(diào)。

A6.1.2信息安全協(xié)調(diào)

?典型的,信息安全協(xié)調(diào)應(yīng)包括管理人員、用戶、行政人員、應(yīng)用設(shè)計(jì)人員、審核員和安全專員,以及保險(xiǎn)、法律、人力資源、IT 或風(fēng)險(xiǎn)管理等領(lǐng)域 專家的協(xié)調(diào)和協(xié)作。這些活動應(yīng): 確保安全活動的實(shí)施與信息安全方針相一致;確定如何處理不符合項(xiàng);核準(zhǔn)信息安全的方法和過程,例如風(fēng)險(xiǎn)評估、信息分類;識別重大的威脅變更和暴露于威脅下的信息和信息處理設(shè)施;評估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性;有效地促進(jìn)整個組織內(nèi)的信息安全教育、培訓(xùn)和意識;評價(jià)在信息安全事件的監(jiān)視和評審中獲得的信息,推薦適當(dāng)?shù)拇胧╉憫?yīng)識別的信息安 全事件。

?如果組織沒有使用一個獨(dú)立的跨部門的小組,例如因?yàn)檫@樣的小組對組織 規(guī)模來說是不適當(dāng)?shù)?那么上面描述的措施應(yīng)由其它合適的管理機(jī)構(gòu)或單

A6.1.3信息安全職責(zé)的分配 所有的信息安全職責(zé)應(yīng)予以清晰地定義。A6.1.3信息安全職責(zé)的分配

?信息安全職責(zé)的分配應(yīng)和信息安全方針(見 A5相一致。各個資產(chǎn)的保護(hù) 和執(zhí)行特定安全過程的職責(zé)應(yīng)被清晰的識別。這些職責(zé)應(yīng)在必要時加以補(bǔ) 充,來為特定地點(diǎn)和信息處理設(shè)施提供更詳細(xì)的指南。資產(chǎn)保護(hù)和執(zhí)行特 定安全過程(諸如業(yè)務(wù)連續(xù)性計(jì)劃的局部職責(zé)應(yīng)予以清晰地定義。?分配有安全職責(zé)的人員可以將安全任務(wù)委托給其他人員。盡管如此,他們 仍然負(fù)有責(zé)任,并且他們應(yīng)能夠確定任何被委托的任務(wù)是否已被正確地執(zhí) 行。

?個人負(fù)責(zé)的領(lǐng)域要予以清晰地規(guī)定;特別是,應(yīng)進(jìn)行下列工作: 與每個特殊系統(tǒng)相關(guān)的資產(chǎn)和安全過程應(yīng)予以識別并清晰地定義;應(yīng)分配每一資產(chǎn)或安全過程的實(shí)體職責(zé),并且該職責(zé)的細(xì)節(jié)應(yīng)形成文件(見 A7.1.2;授權(quán)級別應(yīng)清晰地予以定義,并形成文件。

A6.1.4信息處理設(shè)施的授權(quán)過程 ?新信息處理設(shè)施應(yīng)定義和實(shí)施一個管理授權(quán)過程。

?授權(quán)過程應(yīng)考慮下列指南: 新設(shè)施要有適當(dāng)?shù)挠脩艄芾硎跈?quán),以批準(zhǔn)其用途和使用;還要獲得負(fù)責(zé)維護(hù)本地系統(tǒng) 安全環(huán)境的管理人員授權(quán),以確保所有相關(guān)的安全方針策略和要求得到滿足;若需要,硬件和軟件應(yīng)進(jìn)行檢查,以確保它們與其他系統(tǒng)組件兼容;使用個人或私有信息處理設(shè)施(例如便攜式電腦、家用電腦或手持設(shè)備處理業(yè)務(wù)信 息,可能引起新的脆弱性,因此應(yīng)識別和實(shí)施必要的控制措施。

A6.1.5保密性協(xié)議

應(yīng)識別并定期評審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議 的要求。A6.1.5保密性協(xié)議

?保密或不泄露協(xié)議應(yīng)使用合法可實(shí)施條款來解決保護(hù)機(jī)密信息的要求。要識別保密或不泄 露協(xié)議的要求,需考慮下列因素: a 定義 要保護(hù)的信息(如機(jī)密信息;b 協(xié)議的期望 持續(xù)時間 ,包括不確定的需要維持保密性的情形;c 協(xié)議終止時所需的 措施;

d 為避免未授權(quán)信息泄露的簽署者的 職責(zé)和行為;e 信息所有者、商業(yè)秘密和 知識產(chǎn)權(quán) ,以及他們?nèi)绾闻c機(jī)密信息保護(hù)相關(guān)聯(lián);f 機(jī)密信息的許可使用,及簽署者使用信息的 權(quán)力;g 對涉及機(jī)密信息的活動的 審核和監(jiān)視 權(quán)力;h 未授權(quán)泄露或機(jī)密信息破壞的 通知 和報(bào)告過程;i 關(guān)于協(xié)議終止時信息 歸檔或銷毀 的條款;j 違反協(xié)議后期望采取的 措施。

?基于一個組織的安全要求,在保密性或不泄露協(xié)議中可能需要其他因素。?保密性和不泄露協(xié)議應(yīng)針對它適用的管轄范圍(見 A15.1.1遵循所有適用的法律法規(guī)。保密性和不泄露協(xié)議的要求應(yīng)進(jìn)行周期性 評審 ,當(dāng)發(fā)生影響這些要求的變更時,也要進(jìn)行

A6.1.6與政府部門的聯(lián)系

?應(yīng)保持與政府相關(guān)部門的適當(dāng) 聯(lián)系。

?組織應(yīng)有規(guī)程指明什么時候應(yīng)當(dāng)與哪個部門(例如,執(zhí)法部門、消防局、監(jiān)管部門聯(lián)系,以及懷疑已識別的信息安全事件可能 觸犯了法律時,應(yīng)如何及時報(bào)告。

?受到來自互聯(lián)網(wǎng)攻擊的組織可能需要外部第三方(例如互聯(lián)網(wǎng)服 務(wù)提供商或電信運(yùn)營商采取措施以應(yīng)對攻擊源。

?保持這樣的聯(lián)系可能是支持信息安全事件管理(A13.2或業(yè)務(wù)連續(xù)性和應(yīng)急規(guī)劃過程(A14的要 求。與法規(guī)部門的聯(lián)系有助于預(yù)先知道組織必須遵循的法律法規(guī)方面預(yù)期的變化,并為這些變化做 好準(zhǔn)備。與其他部門的聯(lián)系包括公共部門、緊急

服務(wù)和健康安全部門,例如消防局(A14章的業(yè)務(wù) 連續(xù)性有關(guān)、電信提供商(與路由和可用性有關(guān)、供水部門(與設(shè)備的冷卻設(shè)施有關(guān)。

A6.1.7與特定利益集團(tuán)的聯(lián)系

?應(yīng)保持與特定利益集團(tuán)、其他安全專家組和專業(yè)協(xié)會的適當(dāng)聯(lián)系。?應(yīng)考慮成為特定利益集團(tuán)或安全專家組的成員,以便: a 增進(jìn)對最佳實(shí)踐和最新相關(guān)安全信息的了解;b 確保全面了解當(dāng)前的信息安全環(huán)境;c 盡早收到關(guān)于攻擊和脆弱性的預(yù)警、建議和補(bǔ)丁;d 獲得信息安全專家的建議;e 分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱性的信息;f 提供處理信息安全事件時適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)(見 A13.2.1。A6.1.8信息安全的獨(dú)立評審

?組織管理信息安全的方法及其實(shí)施(例如信息安全的控制目標(biāo)、控制措施、策略、過程和程序應(yīng)按計(jì)劃的時間間隔進(jìn)行獨(dú)立評審,當(dāng)安全實(shí)施發(fā) 生重大變化時,也要進(jìn)行獨(dú)立評審。

?獨(dú)立評審應(yīng)由管理者啟動。對于確保一個組織管理信息安全方法的持續(xù)的適宜性、充分性 和有效性,這種獨(dú)立評審是必須的。評審應(yīng)包括評估安全方法改進(jìn)的機(jī)會和變更的需要, 包括方針和控制目標(biāo)。

?這樣的評審應(yīng)由獨(dú)立于被評審范圍的人員執(zhí)行,例如內(nèi)部審核部門、獨(dú)立的管理人員或?qū)?門進(jìn)行這種評審的第三方組織。從事這些評審的人員應(yīng)具備適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。

?獨(dú)立評審的結(jié)果應(yīng)被記錄并報(bào)告給啟動評審的管理者。這些記錄應(yīng)加以保持。

?如果獨(dú)立評審識別出組織管理信息安全的方法和實(shí)施不充分,或不符合信息安全方針文件(見 A5.1.1中聲明的信息安全的方向,管理者應(yīng)考慮糾正措施。

A6.2外部各方 ?目標(biāo): 保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全。

?組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)由于引入外部方的產(chǎn)品或服務(wù)而降低。

?任何外部方對組織信息處理設(shè)施的訪問、對信息資產(chǎn)的處理和通信都應(yīng)予以控制。

?若有與外部方一起工作的業(yè)務(wù)需要,它可能要求訪問組織的信息和信息處理設(shè)施、從外部方獲得一個產(chǎn)品和服務(wù),或提供給外部方一個產(chǎn)品和服務(wù),應(yīng)進(jìn)行風(fēng)險(xiǎn)評估,以確定涉及安全的方面和控制要求。在與外部方簽訂的協(xié)議中要商定和定義控制措施。

外部各方

?服務(wù)提供商(例如互聯(lián)網(wǎng)服務(wù)提供商、網(wǎng)絡(luò)提供商、電話服務(wù)、維護(hù)和支持服務(wù);?受管理的安全服務(wù);?顧客;?設(shè)施和運(yùn)行的外包,例如,IT系統(tǒng)、數(shù)據(jù)收集服務(wù)、中心呼叫業(yè)務(wù);

?管理者,業(yè)務(wù)顧問和審核員;?開發(fā)者和提供商,例如軟件產(chǎn)品和IT系統(tǒng)的開發(fā)者和提供商;?保潔、餐飲和其他外包支持服務(wù);?臨時人員、實(shí)習(xí)學(xué)生和其他臨時短期安排。控制措施

應(yīng)識別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn),并在允許訪問前實(shí)施適當(dāng)?shù)目刂拼胧?/p>

實(shí)施指南

?當(dāng)需要允許外部方訪問組織的信息處理設(shè)施或信息時,應(yīng)實(shí)施風(fēng)險(xiǎn)評估(見A4以識別特定控制措施的要求。

關(guān)于外部方訪問的風(fēng)險(xiǎn)的識別應(yīng)考慮以下問題: a外部方需要訪問的信息處理設(shè)施;b外部方對信息和信息處理設(shè)施的訪問類型,例如: 物理訪問,例如進(jìn)入辦公室,計(jì)算機(jī)機(jī)房,檔案室;邏輯訪問,例如訪問組織的數(shù)據(jù)庫,信息系統(tǒng);組織和外部方之間的網(wǎng)絡(luò)連接,例如,固定連接、遠(yuǎn)程訪問;現(xiàn)場訪問還是非現(xiàn)場訪問;c所涉及信息的價(jià)值和敏感性,及對業(yè)務(wù)運(yùn)行的關(guān)鍵程度;d為保護(hù)不希望被外部方訪問到的信息所需的控制措施;e與處理組織信息有關(guān)的外部方人員;

f能夠識別組織或人員如何被授權(quán)訪問、如何進(jìn)行授權(quán)驗(yàn)證,以及多長時間需要再確認(rèn);g外部方在存儲、處理、傳送、共享和交換信息過程中所使用的不同的方法和控制措施;h外部方需要時無法訪問,外部方輸入或接收不正確的或誤導(dǎo)的信息的影響;i處理信息安全事件和潛在破壞的慣例和程序,和當(dāng)發(fā)生信息安全事件時外部方持續(xù)訪問的條款和條件;j應(yīng)考慮與外部方有關(guān)的法律法規(guī)要求和其他合同責(zé)任;k這些安排對其他利益相關(guān)人的利益可能造成怎樣的影響。

?除非已實(shí)施了適當(dāng)?shù)目刂拼胧?才可允許外部方訪問組織信息,可行時,應(yīng)簽訂合同規(guī)定外部方連接或訪問以及工作安排的條款和條件,一般而言,與外部方合作引起的安全要求或內(nèi)部控制措施應(yīng)通過與外部方的協(xié)議反映出來(見A6.2.2和A6.2.3。

?應(yīng)確保外部方意識到他們的責(zé)任,并且接受在訪問、處理、通信或管理組織的信息和信息處理設(shè)施所涉及的職責(zé)和責(zé)任。

A6.2.2處理與顧客有關(guān)的安全問題 控制措施

應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的安全要求。A6.2.2處理與顧客有關(guān)的安全問題 實(shí)施指南

要在允許顧客訪問組織任何資產(chǎn)（依據(jù)訪問的類型和范圍，并不需要應(yīng)用所有的條款）前解決安全問題，應(yīng)考慮 下列條款： a 資產(chǎn)保護(hù)，包括： 及對已知脆弱性的管理；

保護(hù)組織資產(chǎn)（包括信息和軟件）的程序，以

判定資產(chǎn)是否受到損害（例如丟失數(shù)據(jù)或修改數(shù)據(jù)）的程序； 完整性； 對拷貝和公開信息的限制； b c d 擬提供的產(chǎn)品或服務(wù)的允許的訪問描述； 顧客訪問的不同原因、要求和利益； 訪問控制策略，包括： 方法，唯一標(biāo)識符的控制和使用，例如用戶ID和口令； 權(quán)過程； 沒有明確授權(quán)的訪問均被禁止的聲明；

用戶訪問和權(quán)限的授

撤消訪問權(quán)或中斷系統(tǒng)間連接的處理； e 信息錯誤（例如個人信息的錯誤）、信息安全事件和安全違規(guī)的報(bào)告、通知和調(diào)查的安排； f g h i j k 每項(xiàng)可用服務(wù)的描述； 服務(wù)的目標(biāo)級別和服務(wù)的不可接受級別； 監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動的權(quán)利； 組織和顧客各自的義務(wù)； 相關(guān)法律責(zé)任和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）。如果協(xié)議涉及與其他國家顧客的合作，特別要考慮到不同國家的法律體系（也 見A15.1）； 知識產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見A15.1.2）以及任何合著作品的保護(hù)（見A6.1.5）；-20-A6.2.3處理第三方協(xié)議中的安全問題 控制措施

涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信 的第三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié) 議，應(yīng)涵蓋所有相關(guān)的安全要求。-21-A6.2.3處理第三方協(xié)議中的安全問題 實(shí)施指南

協(xié)議應(yīng)確保在組織和第三方之間不存在誤解。組織應(yīng)使第三方的保證滿足自己的需要。為滿足識別的安全要求（見A6.2.1），應(yīng)考慮將下列條款包含在協(xié)議中： a b c d e f g h i j k l m n 信息安全方針； 確保資產(chǎn)保護(hù)的控制措施，對用戶和管理員在方法、程序和安全方面的培訓(xùn)； 確保用戶意識到信息安全職責(zé)和問題； 若適宜，人員調(diào)動的規(guī)定； 關(guān)于硬件和軟件安裝和維護(hù)的職責(zé)； 一種清晰的報(bào)告結(jié)構(gòu)和商定的報(bào)告格式； 一種清晰規(guī)定的變更管理過程； 訪問控制策略； 報(bào)告、通知和調(diào)查信息安全事件和安全違規(guī)以及違背協(xié)議中所聲明的要求的安排； 提供的每項(xiàng)產(chǎn)品和服務(wù)的描述，根據(jù)安全分類（見7.2.1）提供可獲得信息的描述； 服務(wù)的目標(biāo)級別和服務(wù)的不可接受級別； 可驗(yàn)證的性能準(zhǔn)則的定義、監(jiān)視和報(bào)告； 監(jiān)視和撤銷與組織資產(chǎn)有關(guān)的任何活動的權(quán)利； o p q r s t u v 審核協(xié)議中規(guī)定的責(zé)任、第三方實(shí)施的審核、列舉審核員的法定權(quán)限等方面的權(quán)利； 建立逐級解決問題的過程； 服務(wù)連續(xù)性要求，包括根據(jù)一個組織的業(yè)務(wù)優(yōu)先級對可用性和可靠性的測度； 協(xié)議各方的相關(guān)義務(wù)；

有關(guān)法律的責(zé)任和如何確保滿足法律要求（例如，數(shù)據(jù)保護(hù)法律）。如果該協(xié)議涉及與其他國家的組織的合作，特別要考慮到不同國家的法律體系（也見 15.1）； 知識產(chǎn)權(quán)（IPRs）和版權(quán)轉(zhuǎn)讓（見15.1.2）以及任何合著作品的保護(hù)（見6.1.5）； 涉及具有次承包商的第三方，應(yīng)對這些次承包商需要實(shí)施安全控制措施； 重新協(xié)商/終止協(xié)議的條件。-22-END Thank you！

董翼?xiàng)鳎╠ongyf@fugle.info）-23

第二篇：構(gòu)建信息安全保密體系

構(gòu)建信息安全保密體系

摘 要：信息安全保密已經(jīng)成為當(dāng)前保密工作的重點(diǎn)。本文從策略和機(jī)制的角度出發(fā)，給出了信息安全保密的服務(wù)支持、標(biāo)準(zhǔn)規(guī)范、技術(shù)防范、管理保障和工作能力體系，體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。關(guān)鍵詞：信息 安全 保密 體系

一、引言

構(gòu)建信息安全保密體系，不能僅僅從技術(shù)層面入手，而應(yīng)該將管理和技術(shù)手段有機(jī)結(jié)合起來，用規(guī)范的制度約束人，同時建立、健全信息安全保密的組織體制，改變現(xiàn)有的管理模式，彌補(bǔ)技術(shù)、制度、體制等方面存在的不足，從標(biāo)準(zhǔn)、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力，如圖1所示。圖 1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機(jī)制為核心，以信息安全保密服務(wù)為支持，以標(biāo)準(zhǔn)規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容，最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機(jī)制 所謂信息安全保密策略，是指為了保護(hù)信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密，對使用者（及其代理）允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā)，為了保護(hù)涉密信息資產(chǎn)，消除或降低泄密風(fēng)險(xiǎn)，制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等，都屬于安全保密策略。例如：禁止（工作或技術(shù)人員）將涉密軟盤或移動存儲設(shè)備帶出涉密場所；嚴(yán)禁（使用人員將）涉密計(jì)算機(jī)（連）上互聯(lián)網(wǎng)；不允許（參觀人員）在涉密場所拍照、錄像等。

信息安全保密機(jī)制，是指實(shí)施信息安全保密策略的一種方法、工具或者規(guī)程。例如，針對前面給出的保密策略，可分別采取以下機(jī)制：為涉密移動存儲設(shè)備安裝射頻標(biāo)識，為涉密場所安裝門禁和報(bào)警系統(tǒng)；登記上網(wǎng)計(jì)算機(jī)的（物理）地址，實(shí)時監(jiān)控上網(wǎng)設(shè)備；進(jìn)入涉密場所前，托管所有攝錄像設(shè)備等。

根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求，在制定其安全保密策略時，應(yīng)主要從物理安全保密策略，系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略，信息的加密策略，系統(tǒng)及網(wǎng)絡(luò)的安全管理策略，人員安全管理策略，內(nèi)容監(jiān)管策略等方面入手。在安全保密機(jī)制方面，應(yīng)主要從組織管理、安全控制和教育培訓(xùn)等方面，針對給出的安全保密策略，確定詳細(xì)的操作或運(yùn)行規(guī)程，技術(shù)標(biāo)準(zhǔn)和安全解決方案。

三、信息安全保密的服務(wù)支持體系

信息安全保密的服務(wù)支持體系，主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風(fēng)險(xiǎn)管理服務(wù)、系統(tǒng)測評服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)組成的，如圖2所示。其中，風(fēng)險(xiǎn)管理服務(wù)必須貫穿到信息安全保密的整個工程中，要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期，就進(jìn)行專業(yè)的安全風(fēng)險(xiǎn)評估與分析，并在系統(tǒng)或網(wǎng)絡(luò)的運(yùn)營管理過程中，經(jīng)常性地開展保密風(fēng)險(xiǎn)評估工作，采取有效的措施控制風(fēng)險(xiǎn)，只有這樣才能提高信息安全保密的效益和針對性，增強(qiáng)系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次，還要大力加強(qiáng)調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)的建設(shè)，對突發(fā)性的失泄密事件能夠快速反應(yīng)，同時盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能，以及他們的法規(guī)意識和防范意識，做到“事前有準(zhǔn)備，事后有措施，事中有監(jiān)察”。

加強(qiáng)信息安全保密服務(wù)的主要措施包括： 借用安全評估服務(wù)幫助我們了解自身的安全性

通過安全掃描、滲透測試、問卷調(diào)查等方式對信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價(jià)值、存在的脆弱性和面臨的威脅進(jìn)行分析評估，確定失泄密風(fēng)險(xiǎn)的大小，并實(shí)施有效的安全風(fēng)險(xiǎn)控制。采用安全加固服務(wù)來增強(qiáng)信息系統(tǒng)的自身安全性 具體包括操作系統(tǒng)的安全修補(bǔ)、加固和優(yōu)化；應(yīng)用服務(wù)的安全修補(bǔ)、加固和優(yōu)化；網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)、加固和優(yōu)化；現(xiàn)有安全制度和策略的改進(jìn)與完善等。部署專用安全系統(tǒng)及設(shè)備提升安全保護(hù)等級

借助目前成熟的安全技術(shù)和產(chǎn)品來幫助我們提升整個系統(tǒng)及網(wǎng)絡(luò)的安全防護(hù)等級，可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。

運(yùn)用安全控制服務(wù)增強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性

通過部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng)，以及集中式的安全控制平臺，增強(qiáng)對整個信息系統(tǒng)及網(wǎng)絡(luò)的可觀性，以及對使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。

加強(qiáng)安全保密教育培訓(xùn)來減少和避免失泄密事件的發(fā)生 加強(qiáng)信息安全基礎(chǔ)知識及防護(hù)技能的培訓(xùn)，尤其是個人終端安全技術(shù)的培訓(xùn)，提高使用和管理人員的安全保密意識，以及檢查入侵、查處失泄密事件的能力。引入應(yīng)急響應(yīng)服務(wù)及時有效地處理重大失泄密事件

具體包括：協(xié)助恢復(fù)系統(tǒng)到正常工作狀態(tài)；協(xié)助檢查入侵來源、時間、方法等；對網(wǎng)絡(luò)進(jìn)行安全評估，找出存在的安全隱患；做出事件分析報(bào)告；制定并貫徹實(shí)施安全改進(jìn)計(jì)劃。采用安全通告服務(wù)來對竊密威脅提前預(yù)警 具體包括對緊急事件的通告，對安全漏洞和最新補(bǔ)丁的通告，對最新防護(hù)技術(shù)及措施的通告，對國家、軍隊(duì)的安全保密政策法規(guī)和安全標(biāo)準(zhǔn)的通告等。

四、信息安全保密的標(biāo)準(zhǔn)規(guī)范體系 信息安全保密的標(biāo)準(zhǔn)規(guī)范體系，主要是由國家和軍隊(duì)相關(guān)安全技術(shù)標(biāo)準(zhǔn)構(gòu)成的，如圖3所示。這些技術(shù)標(biāo)準(zhǔn)和規(guī)范涉及到物理場所、電磁環(huán)境、通信、計(jì)算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對象，涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關(guān)安全保密防護(hù)規(guī)定，也有對人員的管理和操作要求。因此，它們是設(shè)計(jì)信息安全保密解決方案，提供各種安全保密服務(wù)，檢查與查處失泄密事件的準(zhǔn)則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需求，以及組織結(jié)構(gòu)和使用維護(hù)人員的配置情況，制定相應(yīng)的，操作性和針對性更強(qiáng)的技術(shù)和管理標(biāo)準(zhǔn)。

五、信息安全保密的技術(shù)防范體系 信息安全保密的技術(shù)防范體系，主要是由電磁防護(hù)技術(shù)、信息終端防護(hù)技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的，是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而保障信息及信息系統(tǒng)的安全，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)，以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的，一些最新的安全防護(hù)技術(shù)，如可信計(jì)算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等，可以極大地彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足，這就為我們降低安全保密管理的難度和成本，提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性，奠定了技術(shù)基礎(chǔ)。因此，信息安全保密的技術(shù)防范體系，是構(gòu)建信息安全保密體系的一個重要組成部分，應(yīng)該在資金到位和技術(shù)可行的情況下，盡可能采用最新的、先進(jìn)的技術(shù)防護(hù)手段，這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說，信息安全是“三分靠技術(shù)，七分靠管理”。信息安全保密的管理保障體系，主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險(xiǎn)管理等方面，加強(qiáng)安全保密管理的力度，使管理成為信息安全保密工作的重中之重。

技術(shù)管理主要包括對泄密隱患的技術(shù)檢查，對安全產(chǎn)品、系統(tǒng)的技術(shù)測評，對各種失泄密事件的技術(shù)取證；制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實(shí)；資產(chǎn)管理主要包括涉密人員的管理，重要信息資產(chǎn)的備份恢復(fù)管理，涉密場所、計(jì)算機(jī)和網(wǎng)絡(luò)的管理，涉密移動通信設(shè)備和存儲設(shè)備的管理等；風(fēng)險(xiǎn)管理主要是指保密安全風(fēng)險(xiǎn)的評估與控制。

現(xiàn)有的安全管理，重在保密技術(shù)管理，而極大地忽視了保密風(fēng)險(xiǎn)管理，同時在制度管理和資產(chǎn)管理等方面也存在很多問題，要么是管理制度不健全，落實(shí)不到位；要么是一些重要的資產(chǎn)監(jiān)管不利，這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來了人為的隱患。加強(qiáng)安全管理，不但能改進(jìn)和提高現(xiàn)有安全保密措施的效益，還能充分發(fā)揮人員的主動性和積極性，使信息安全保密工作從被動接受變成自覺履行。

七、信息安全保密的工作能力體系

將技術(shù)、管理與標(biāo)準(zhǔn)規(guī)范結(jié)合起來，以安全保密策略和服務(wù)為支持，就能合力形成信息安全保密工作的能力體系，如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn)，也能反映出當(dāng)前信息安全保密工作是否到位。它以防護(hù)、檢測、響應(yīng)、恢復(fù)為核心，對信息安全保密的相關(guān)組織和個人進(jìn)行工作考評，并通過標(biāo)準(zhǔn)化、流程化的方式加以持續(xù)改進(jìn)，使信息安全保密能力隨著信息化建設(shè)的進(jìn)展不斷提高。

八、結(jié)論

技術(shù)與管理相結(jié)合，是構(gòu)建信息安全保密體系應(yīng)該把握的核心原則。為了增強(qiáng)信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合安全保密能力，重點(diǎn)應(yīng)該在健全上述保密體系，尤其是組織體系、管理體系、服務(wù)體系和制度（技術(shù)標(biāo)準(zhǔn)及規(guī)范）體系的基礎(chǔ)上，規(guī)范數(shù)據(jù)備份、密鑰管理、訪問授權(quán)、風(fēng)險(xiǎn)控制、身份認(rèn)證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案，努力提高系統(tǒng)漏洞掃描、信息內(nèi)容監(jiān)控、安全風(fēng)險(xiǎn)評估、入侵事件檢測、病毒預(yù)防治理、系統(tǒng)安全審計(jì)、網(wǎng)絡(luò)邊界防護(hù)等方面的技術(shù)水平。

參考文獻(xiàn)：

[1]信息與網(wǎng)絡(luò)安全研究新進(jìn)展．全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集．第二十二卷[C]．合肥：中國科技大學(xué)出版社, 2007 [2]中國計(jì)算機(jī)學(xué)會信息保密專業(yè)委員會論文集．第十六卷[C]．合肥：中國科技大學(xué)出版社, 2006 [3]胡建偉．網(wǎng)絡(luò)安全與保密[M]．西安：西安電子科技大學(xué)出版社, 2003

第三篇：構(gòu)建信息安全保密體系.

構(gòu)建信息安全保密體系

摘要:信息安全保密已經(jīng)成為當(dāng)前保密工作的重點(diǎn)。本文從策略和機(jī)制的角度出發(fā),給出了信息安全保密的服務(wù)支持、標(biāo)準(zhǔn)規(guī)范、技術(shù)防范、管理保障和工作能力體系,體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則。

關(guān)鍵詞:信息安全保密體系

一、引言

構(gòu)建信息安全保密體系,不能僅僅從技術(shù)層面入手,而應(yīng)該將管理和技術(shù)手段有機(jī)結(jié)合起來,用規(guī)范的制度約束人,同時建立、健全信息安全保密的組織體制,改變現(xiàn)有的管理模式,彌補(bǔ)技術(shù)、制度、體制等方面存在的不足,從標(biāo)準(zhǔn)、技術(shù)、管理、服務(wù)、策略等方面形成綜合的信息安全保密能力,如圖1所示。

圖1 信息安全保密的體系框架

該保密體系是以信息安全保密策略和機(jī)制為核心,以信息安全保密服務(wù)為支持,以標(biāo)準(zhǔn)規(guī)范、安全技術(shù)和組織管理體系為具體內(nèi)容,最終形成能夠滿足信息安全保密需求的工作能力。

二、信息安全保密的策略和機(jī)制

所謂信息安全保密策略,是指為了保護(hù)信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密,對使用者(及其代理允許什么、禁止什么的規(guī)定。從信息資產(chǎn)安全管理的角度出發(fā),為了保護(hù)涉密信息資產(chǎn),消除或降低泄密風(fēng)險(xiǎn),制訂的各種綱領(lǐng)、制度、規(guī)范和操作流程等,都屬于安全保密策略。例如:禁止(工作或技術(shù)人員將涉密軟盤或移動存儲設(shè)備帶出涉密場所;嚴(yán)禁(使用人員將涉密計(jì)算機(jī)(連上互聯(lián)網(wǎng);不允許(參觀人員在涉密場所拍照、錄像等。

信息安全保密機(jī)制,是指實(shí)施信息安全保密策略的一種方法、工具或者規(guī)程。例如,針對前面給出的保密策略,可分別采取以下機(jī)制:為涉密移動存儲設(shè)備安裝射頻標(biāo)識,為涉密場所安裝門禁和報(bào)警系統(tǒng);登記上網(wǎng)計(jì)算機(jī)的(物理地址,實(shí)時監(jiān)控上網(wǎng)設(shè)備;進(jìn)入涉密場所前,托管所有攝錄像設(shè)備等。

根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求,在制定其安全保密策略時,應(yīng)主要從物理安全保密策略,系統(tǒng)或網(wǎng)絡(luò)的訪問控制策略,信息的加密策略,系統(tǒng)及網(wǎng)絡(luò)的安全管理策略,人員安全管理策略,內(nèi)容監(jiān)管策略等方面入手。在安全保密機(jī)制方面,應(yīng)主要從組織管理、安全控制和教育培訓(xùn)等方面,針對給出的安全保密策略,確定詳細(xì)的操作或運(yùn)行規(guī)程,技術(shù)標(biāo)準(zhǔn)和安全解決方案。

三、信息安全保密的服務(wù)支持體系

信息安全保密的服務(wù)支持體系,主要是由技術(shù)檢查服務(wù)、調(diào)查取證服務(wù)、風(fēng)險(xiǎn)管理服務(wù)、系統(tǒng)測評服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)組成的,如圖2所示。其中,風(fēng)險(xiǎn)管理服務(wù)必須貫穿到信息安全保密的整個工程中,要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期,就進(jìn)行專業(yè)的安全風(fēng)險(xiǎn)評估與分析,并在系統(tǒng)或網(wǎng)絡(luò)的運(yùn)營管理過程中,經(jīng)常性地開展保密風(fēng)險(xiǎn)評估工作,采取有效的措施控制風(fēng)險(xiǎn),只有這樣才能提高信息安全保密的效益和針對性,增強(qiáng)系統(tǒng)或網(wǎng)絡(luò)的安全可觀性、可控性。其次,還要大力加強(qiáng)調(diào)查取證服務(wù)、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)的建設(shè),對突發(fā)性的失泄密事件能夠快速反應(yīng),同時盡可能提高信息系統(tǒng)、信息網(wǎng)絡(luò)管理人員的安全技能,以及他們的法規(guī)意識和防范意識,做到“事前有準(zhǔn)備,事后有措施,事中有監(jiān)察”。

加強(qiáng)信息安全保密服務(wù)的主要措施包括: 借用安全評估服務(wù)幫助我們了解自身的安全性

通過安全掃描、滲透測試、問卷調(diào)查等方式對信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價(jià)值、存在的脆弱性和面臨的威脅進(jìn)行分析評估,確定失泄密風(fēng)險(xiǎn)的大小,并實(shí)施有效的安全風(fēng)險(xiǎn)控制。

采用安全加固服務(wù)來增強(qiáng)信息系統(tǒng)的自身安全性

具體包括操作系統(tǒng)的安全修補(bǔ)、加固和優(yōu)化;應(yīng)用服務(wù)的安全修補(bǔ)、加固和優(yōu)化;網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)、加固和優(yōu)化;現(xiàn)有安全制度和策略的改進(jìn)與完善等。

部署專用安全系統(tǒng)及設(shè)備提升安全保護(hù)等級

借助目前成熟的安全技術(shù)和產(chǎn)品來幫助我們提升整個系統(tǒng)及網(wǎng)絡(luò)的安全防護(hù)等級,可采用的產(chǎn)品包括防火墻、IDS、VPN、防病毒網(wǎng)關(guān)等。

運(yùn)用安全控制服務(wù)增強(qiáng)信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性

通過部署面向終端、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng),以及集中式的安全控制平臺,增強(qiáng)對整個信息系統(tǒng)及網(wǎng)絡(luò)的可觀性,以及對使用網(wǎng)絡(luò)的人員、網(wǎng)絡(luò)中的設(shè)備及其所提供服務(wù)的可控性。

加強(qiáng)安全保密教育培訓(xùn)來減少和避免失泄密事件的發(fā)生

加強(qiáng)信息安全基礎(chǔ)知識及防護(hù)技能的培訓(xùn),尤其是個人終端安全技術(shù)的培訓(xùn),提高使用和管理人員的安全保密意識,以及檢查入侵、查處失泄密事件的能力。

引入應(yīng)急響應(yīng)服務(wù)及時有效地處理重大失泄密事件

具體包括:協(xié)助恢復(fù)系統(tǒng)到正常工作狀態(tài);協(xié)助檢查入侵來源、時間、方法等;對網(wǎng)絡(luò)進(jìn)行安全評估,找出存在的安全隱患;做出事件分析報(bào)告;制定并貫徹實(shí)施安全改進(jìn)計(jì)劃。

采用安全通告服務(wù)來對竊密威脅提前預(yù)警

具體包括對緊急事件的通告,對安全漏洞和最新補(bǔ)丁的通告,對最新防護(hù)技術(shù)及措施的通告,對國家、軍隊(duì)的安全保密政策法規(guī)和安全標(biāo)準(zhǔn)的通告等。

四、信息安全保密的標(biāo)準(zhǔn)規(guī)范體系

信息安全保密的標(biāo)準(zhǔn)規(guī)范體系,主要是由國家和軍隊(duì)相關(guān)安全技術(shù)標(biāo)準(zhǔn)構(gòu)成的,如圖3所示。這些技術(shù)標(biāo)準(zhǔn)和規(guī)范涉及到物理場所、電磁環(huán)境、通信、計(jì)算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)等不同的對象,涵蓋信息獲取、存儲、處理、傳輸、利用和銷毀等整個生命周期。既有對信息載體的相關(guān)安全保密防護(hù)規(guī)定,也有對人員的管理和操作要求。因此,它們是設(shè)計(jì)信息安全保密解決方案,提供各種安全保密服務(wù),檢查與查處失泄密事件的準(zhǔn)則和依據(jù)。各部門應(yīng)該根據(jù)本單位信息系統(tǒng)、信息網(wǎng)絡(luò)的安全保密需

求,以及組織結(jié)構(gòu)和使用維護(hù)人員的配置情況,制定相應(yīng)的,操作性和針對性更強(qiáng)的技術(shù)和管理標(biāo)準(zhǔn)。

五、信息安全保密的技術(shù)防范體系

信息安全保密的技術(shù)防范體系,主要是由電磁防護(hù)技術(shù)、信息終端防護(hù)技術(shù)、通信安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)和其他安全技術(shù)組成的。這些技術(shù)措施的目的,是為了從信息系統(tǒng)和信息網(wǎng)絡(luò)的不同層面保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性,進(jìn)而保障信息及信息系統(tǒng)的安全,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的抗攻擊能力和安全可靠性。安全保密技術(shù)是隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù),以及各種入侵與攻擊技術(shù)的發(fā)展不斷完善和提高的,一些最新的安全防護(hù)技術(shù),如可信計(jì)算技術(shù)、內(nèi)網(wǎng)監(jiān)控技術(shù)等,可以極大地彌補(bǔ)傳統(tǒng)安全防護(hù)手段存在的不足,這就為我們降低安全保密管理的難度和成本,提高信息系統(tǒng)和信息網(wǎng)絡(luò)的安全可控性和可用性,奠定了技術(shù)基礎(chǔ)。因此,信息安全保密的技術(shù)防范體系,是構(gòu)建信息安全保密體系的一個重要組成部分,應(yīng)該在資金到位和技術(shù)可行的情況下,盡可能采用最新的、先進(jìn)的技術(shù)防護(hù)手段,這樣才能有效抵御不斷出現(xiàn)的安全威脅。

六、信息安全保密的管理保障體系

俗話說,信息安全是“三分靠技術(shù),七分靠管理”。信息安全保密的管理保障體系,主要是從技術(shù)管理、制度管理、資產(chǎn)管理和風(fēng)險(xiǎn)管理等方面,加強(qiáng)安全保密管理的力度,使管理成為信息安全保密工作的重中之重。

技術(shù)管理主要包括對泄密隱患的技術(shù)檢查,對安全產(chǎn)品、系統(tǒng)的技術(shù)測評,對各種失泄密事件的技術(shù)取證;制度管理主要是指各種信息安全保密制度的制定、審查、監(jiān)督執(zhí)行與落實(shí);資產(chǎn)管理主要包括涉密人員的管理,重要信息資產(chǎn)的備份恢復(fù)管理,涉密場所、計(jì)算機(jī)和網(wǎng)

絡(luò)的管理,涉密移動通信設(shè)備和存儲設(shè)備的管理等;風(fēng)險(xiǎn)管理主要是指保密安全風(fēng)險(xiǎn)的評估與控制。

現(xiàn)有的安全管理,重在保密技術(shù)管理,而極大地忽視了保密風(fēng)險(xiǎn)管理,同時在制度管理和資產(chǎn)管理等方面也存在很多問題,要么是管理制度不健全,落實(shí)不到位;要么是一些重要的資產(chǎn)監(jiān)管不利,這就給失竊密和遭受網(wǎng)絡(luò)攻擊帶來了人為的隱患。加強(qiáng)安全管理,不但能改進(jìn)和提高現(xiàn)有安全保密措施的效益,還能充分發(fā)揮人員的主動性和積極性,使信息安全保密工作從被動接受變成自覺履行。

七、信息安全保密的工作能力體系

將技術(shù)、管理與標(biāo)準(zhǔn)規(guī)范結(jié)合起來,以安全保密策略和服務(wù)為支持,就能合力形成信息安全保密工作的能力體系,如圖4所示。該能力體系既是信息安全保密工作效益與效率的體現(xiàn),也能反映出當(dāng)前信息安全保密工作是否到位。它以防護(hù)、檢測、響應(yīng)、恢復(fù)為核心,對信息安全保密的相關(guān)組織和個人進(jìn)行工作考評,并通過標(biāo)準(zhǔn)化、流程化的方式加以持續(xù)改進(jìn),使信息安全保密能力隨著信息化建設(shè)的進(jìn)展不斷提高。

八、結(jié)論

技術(shù)與管理相結(jié)合,是構(gòu)建信息安全保密體系應(yīng)該把握的核心原則。為了增強(qiáng)信息系統(tǒng)和信息網(wǎng)絡(luò)的綜合安全保密能力,重點(diǎn)應(yīng)該在健全上述保密體系,尤其是組織體系、管理體系、服務(wù)體系和制度(技術(shù)標(biāo)準(zhǔn)及規(guī)范體系的基礎(chǔ)上,規(guī)范數(shù)據(jù)備份、密鑰管理、訪問授權(quán)、風(fēng)險(xiǎn)控制、身份認(rèn)證、應(yīng)急響應(yīng)、系統(tǒng)及應(yīng)用安全等管理方案,努力提高系統(tǒng)漏洞掃描、信息內(nèi)容監(jiān)控、安全風(fēng)險(xiǎn)評估、入侵事件檢測、病毒預(yù)防治理、系統(tǒng)安全審計(jì)、網(wǎng)絡(luò)邊界防護(hù)等方面的技術(shù)水平。

參考文獻(xiàn): [1]信息與網(wǎng)絡(luò)安全研究新進(jìn)展.全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集.第二十二卷[C].合肥:中國科技大學(xué)出版社, 2007 [2]中國計(jì)算機(jī)學(xué)會信息保密專業(yè)委員會論文集.第十六卷[C].合肥:中國科技大學(xué)出版社, 2006

[3]胡建偉.網(wǎng)絡(luò)安全與保密[M].西安:西安電子科技大學(xué)出版社, 2003

第四篇：安全信息

安全工作心得體會安全對于每個人來說既是非常重要卻又容易忽視的，安全顧名思義，無危則安，無缺則安。安全就是要以人為本，就是要保護(hù)自己和他人的生命財(cái)產(chǎn)安全。從其他角度上來講，安全不僅牽扯到自己也牽扯到他人。而且還會危及到他人，自己出了事會抱憾終生，由于自己的失誤導(dǎo)致他人受到傷害或死亡，說嚴(yán)重點(diǎn)就是犯罪，要追究法律責(zé)任的。從道德上來講的話，自己的心里也會感到不安，會很愧疚。安全工作不只是在現(xiàn)場提醒施工人員安全施工，還要做到對現(xiàn)場發(fā)現(xiàn)的安全隱患及時徹底消除。做安全工作就是要細(xì)，正所謂安全無小事，所以要注重每個細(xì)節(jié)存在的安全隱患。其實(shí)發(fā)現(xiàn)安全隱患遠(yuǎn)比消除隱患落實(shí)措施要容易，所以說正真做到運(yùn)用正確恰當(dāng)?shù)拇胧﹣矸婪峨[患的發(fā)生還是很難得的。但是在工作中就是要積累經(jīng)驗(yàn)做到發(fā)現(xiàn)一處安全隱患就能及時的想到辦法解決。在做安全工作中就是要細(xì)，像在現(xiàn)場的監(jiān)督和檢查中可能很多小問題對于其他人來說真的不算什么，沒有注意到它成為隱患后會導(dǎo)致的后果，而做安全工作正是要發(fā)現(xiàn)這些小問題，把它們消滅在萌芽之中。在安全影視資料里看到了不少由于不注意這些小問題而導(dǎo)致悲劇上演的事例，所以我們經(jīng)常說的安全無小事就是說在安全上沒有事情是小事。有可能就是一件很小的事卻導(dǎo)致了事故的發(fā)生。還要做到在工作中是要事前、事中不要事后，就是指不要在事后再來分析問題的原因。要做到發(fā)現(xiàn)問題的時候就要把問題處理好，不要到了事情真的發(fā)生來再來總結(jié)。以前所發(fā)生的事故案例都是很好的例子，從中能夠分析出好多造成事故發(fā)生的內(nèi)因和外因。我覺得最重要的還是項(xiàng)目所有管理和施工人員都要有很好的安全意識，提高自身的安全技能，這樣才能更好地保障項(xiàng)目安全生產(chǎn)。

第五篇：安全信息

安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)三年行動

信息

（第4期）

南安市城鎮(zhèn)集體工業(yè)聯(lián)合社2011年6月28日

市城聯(lián)社六個措施開展安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)三年行動為做好安全標(biāo)準(zhǔn)化達(dá)標(biāo)創(chuàng)建活動，市城聯(lián)社以安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)三年行動工作為契機(jī)，全面深企業(yè)安全生產(chǎn)主體責(zé)任落實(shí)，全面推進(jìn)安全標(biāo)準(zhǔn)化達(dá)標(biāo)創(chuàng)建活動。一要加強(qiáng)組織領(lǐng)導(dǎo)。及時制定工作方案成立領(lǐng)導(dǎo)小組部署安全生產(chǎn)標(biāo)準(zhǔn)化建設(shè)三年行動。二要全面摸底。在過去三年企事業(yè)單位安全生產(chǎn)主體責(zé)任級別評定的基礎(chǔ)上分行業(yè)對全鎮(zhèn)企業(yè)再次進(jìn)行全面摸底。三要應(yīng)用信息化手段。把信息化技術(shù)運(yùn)用于全面落實(shí)企業(yè)安全生產(chǎn)主體責(zé)任和標(biāo)準(zhǔn)化創(chuàng)建工作之中，提高安全生產(chǎn)監(jiān)管工作科技含量。四要樹立典型。表彰一批安全生產(chǎn)標(biāo)準(zhǔn)化先進(jìn)企業(yè)，通過評比表彰，樹立典型，推動工作。五要加強(qiáng)企業(yè)安全文化建設(shè)。按照《國家安監(jiān)總局關(guān)于開展安全文化建設(shè)示范企業(yè)創(chuàng)建活動的指導(dǎo)意見》和《企業(yè)安全文化建設(shè)導(dǎo)則》，開展安全文化建設(shè)示范企業(yè)創(chuàng)建活動。六要熱情為企業(yè)服務(wù)。在企業(yè)推進(jìn)安全標(biāo)準(zhǔn)化建設(shè)工作中，要加強(qiáng)指導(dǎo)服務(wù)，不得為難和刁難企業(yè)，特別是要加強(qiáng)對中介機(jī)構(gòu)的規(guī)范管理，防止借安全評價(jià)、隱患排查、標(biāo)準(zhǔn)化咨詢和考核之機(jī)亂收費(fèi)，增加企業(yè)負(fù)擔(dān)。