信息安全管理体系建立方案

3/3信息安全管理体系建立方案信息安全管理体系建立方案

(初稿)

信息技术部

2012年2月

随着企业的发展状大，信息安全逐渐被集团高层所重视，但直到目前为止还没有一套非常完善的信息安全管理方案，而且随着新技术的不断涌现，安全防护又如何能做到一劳永逸的坚守住企业信息安全的大门便成为每个信息技术部门永恒不变的课题。

作为天一药业集团的新兴部门，信息技术部存在的意义绝对不是简单的电脑维修，它存在的意义在于要为企业建设好信息安全屏障，保护企业的信息安全，同时通过信息交互平台，简化办公流程，提高工作效率，这才是部门存在的目的和意义，信息技术部通过不断的学习，研究，通过大量的调研，终于开始着手建立属于天一药业自己的信息堡垒。

企业信息安全主要包括了四个方面的容，即实体安全、运行安全、信息资产安全和人员安全，信息技术部将从这四个方面详细提出解决方案，供领导参考，评议。

一、实体安全防护：

所谓实体安全就是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。要想做好实体安全就必须要保证以下几点的安全：

1、环境安全：

每个实体都存在于环境当中，环境的安全对于实体来讲尤为重要，但对于环境来讲要想做到100%的安全那

是不现实的，因为环境是在不断的变化的，所以我们只能做到相对的安全，对于天一集团来讲，集团及各子厂所在的地理位置即称之为环境，计算机实体设备都存放于这个环境之中，所以要求集团及各子厂的办公楼要具备一定的防灾（防震，防火，防水，防盗等）能力。

机房作为服务器所在的环境，要求机房要具备防火、防尘、防水、防盗的能力，所以根据现用《机房管理制度》要求，集团现用机房的环境除不具备防尘能力外，基本上仍能满足环境安全条件。

2、设备及媒体安全：

计算机设备、设施（含网络）、媒体设备的安全需要具备一定的安全保障，而为了保障设备安全，首先需要确定设备对象，针对不同的管理设备制订相应的保障条例，比如计算机设备的管理条例中就应该明确规定里面的散件也应属于固定资产，应对散件加强管理，每次固定资产盘点时应仔细核对其配置信息，而不是只盘点主机数量。同时为了保障机器中配件的安全，需要对所有设备加装机箱锁，由信息技术部，行政部共同掌握钥匙。

散件的使用情况必须建立散件库台帐，由信息技术部管理，行政部将对信息部进行监督。

对于移动设备（笔记本、移动硬盘、U盘等）不允许带离集团，如必须带离集团需要经信息部、行政

部以及申请部门共同签字后方可带走，同时对带离的

设备进行详细登记，同时还需标注带回时间。对于未

能按要求时间归还的人员进行处罚。

二、运行安全防护：

运行安全是为了保障系统功能的安全实现，提供一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全，必须采取风险分析、审计跟踪、备份与恢复、应急处理等措施。

1、风险分析：这不仅仅是对新系统的风险分析，它

更重要的是对现用系统进行风险分析，对于运营环节、信息管控环节存在的风险予以封堵。所以集团首先要建立一套完善的风险评估制度与风险评估的标准，这套标准需要详细明确各风险项以及评分标准，这样才能保证风险评估的准确客观，但标准的制订不是一个、两个部门就可以完成的，因为风险评估将贯彻到集团的各个环节，各个部门，所以应由各部门共同协作来完成。建议集团尽快成立风险评估小组，小组成员应包含各个部门的负责人，通过大家来集思广益，完成风险评估制度。

2、审计跟踪：对于所有风险进行评估后，由风险评估

小组研究切实可行的方案与方法，然后由相关部门落实实施，在实施的过程中需要由集团审计、控等部门进行跟踪，对于执行结果进行评估。

3、应急处理方案：由风险评估小组针对于集团目前无

法解决的问题进行风险预测，并制订应急处理方案，应急处理方案不能为一套，因为有风险就意味首有变数，既然可变，那么处理的方式肯定会有不同，所以在研究应急处理方案的时候应该充分考虑到所有的因素、条件，研究出不少于3种的解决方案。

4、备份与恢复：这方面主要涉及的就是服务器（含网

络）的配置信息，因为网络的安全运行离不开网络接入设备，防火墙设备、网络核心设备、服务器设备，终端设备等的通力合作，所以对于这些设备的配置信息一定要进行相应的备份操作，一旦出现故障，可以减少问题的处理时间，可保障网络及数据的尽快畅通，将损失降到最低。

三、信息资产安全防护：

信息资产安全是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保信息的完整性、可用性、性和可控性。信息资产包括文件、数据等。信息资产安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。

信息资产的安全是企业信息安全的核心问题，信息资产作为企业的无形资产，其价格无可估量。有些信息还可能决定企业的生死存亡，所以信息资产的安全防护是信息技术部工作的重中之重。结合集团现行的信息管理方式，

根本没有任何的信息资产安全防护手段，比如财务服务器由财务人员自行管理，一个人就可以操作财务服务器，而且服务器都开通了远程桌面功能，有管理员的、密码就可以随时在集团任何一台计算上登陆服务器进行的操作，这是相当致命的，我们只能奢求操作人是可以信任的，否则后果真是不敢想象。

出于以上考虑信息技术部建议从以下几点进行改进：

1、财务服务器应共由信息技术部与财务中心共同管理，服务器的登陆密码由信息技术部掌握，金蝶软件的高级密码由财务中心掌握，当需要操作财务服务器时，应该有财务中心总经理的审批手续方能操作服务器，信息技术部人员在见到财务中心总经理的审批手续后方可与财务中心授权人共同进行机房操作服务器，同时应该记录服务器操作日志，记录操作过程，同时所有财务服务器操作人员与信息技术部人员都需要签订协议。

2、财务服务器必须放置在机房并且具备上锁功能的机柜里，同时关闭财务服务器的远程桌面功能，每次的操作都需要审批后才能执行。

3、每季度对服务器的密码进行更换（包括服务器登陆密码及金蝶高级管理密码），并由信息技术部监督修改过程。

4、每周对服务器数据进行备份操作，并做好数据备份登记工作，每季度对所备份数据进行恢复性测试，保证备份

数据完整性。同时要进行必要的重要数据异地备份，强化数据的容灾能力。

5、每周对服务器进行一次升级、更新、杀毒操作，保

障服务器不被病毒感染，以起到病毒防护的目的。

6、为了能够尽快的建立起信息安全管控网络，希望集

团可以尽快的引进上网行为管控设备，通过上网行为管控设备与易捷终端管控设备联动管理，共同构建网络应用安全环境。

7、为了减少纸制文件泄露的风险，加快审批效率，建

议集团尽快上一套办公协同管理系统（OA），将所有的审批流程通过电子文件传输，一方面电子审批加强了访问机制（未被授权无法访问），另一方面电子审批可以加快审批速度，提高工作效率，同时通过办公协同管理系统的网络文件夹功能，可以把集团的重要资料统一管理，访问资料需审批，以避免信息外泄的风险，同时也可解决一部分外发文件的性、安全性问题。

四、人员安全防护：

人员安全主要是指信息系统使用人员的安全意识、法律意识、安全技能等。人员的安全意识是与其所掌握的安全技能有关，而安全技能又与其所接受安全技能培训有

关。因此，人员的安全意识是通过培训，以及安全技能的积累才能逐步提高。

信息是不变的，而人是有思想的，只有人员的综合素质提高了，意识提高了才能在根本上解决信息安全问题，所以应该有针对性的