如何建立一个完整的信息安全保障体系

关键词： 加大 新疆 信息化 企业

如何建立一个完整的信息安全保障体系（精选7篇）

篇1：如何建立一个完整的信息安全保障体系

如何建立一个完整的信息安全保障体系要建立一个完整的信息安全保障体系，包含以下几个方面：

1.建立统一的身份认证体系

身份认证是信息交换最基础的要素，如果不能确认交换双方的实体身份，那么信息的安全就根本无从得到保证。身份认证的含义是广泛的，其泛指一切实体的身份，包括人、计算机、设备和应用程序等等，只有确认了所有这些信息在存储、使用和传输中可能涉及的实体，信息的安全性才有可能得到基本保证。

2.建立统一的信息安全管理体系

建立对所有信息实体有效的信息管理体系，能够对信息网络系统中的所有计算机、输出端口、存储设备、网络、应用程序和其它设备进行有效集中的管理，从而有效管理和控制信息网络中存在的安全风险。信息安全管理体系的建立主要集中在技术性系统的建立上，同时，也应该建立相应的管理制度，才能使信息安全管理系统得到有效实施。

3.建立规范的信息安全保密体系

信息的保密性将是一个大型信息应用网络不可缺少的需求，所以，必须建立符合规范的信息安全保密体系，这个体系不仅仅应该提供完善的技术解决方案，也应该建立相应的信息保密管理制度。

4.建立完善的网络边界防护体系

重要的信息网络一般会跟公共的互联网进行一定程度的分离，在内部信息网络和互联网之间存在一个网络边界。必须建立完善的网络边界防护体系，使得内部网络既能够与外部网络进行信息交流，同时也能防止从外网发起的对内部网络的攻击等安全威胁。

篇2：如何建立一个完整的信息安全保障体系

智慧城市在国内进行的如火如茶，浩瀚的大工程需要建设者考虑到可能注意的每一个细节，根据智慧城市运营商贝尔信多年来在智慧城市落地实施上的经验总结，建立信息安全保障纵深防御体系是智慧城市建设的主要任务。智慧城市信息安全保障体系应是从智慧城市业务系统概念设计和建设实施，到后期运维各个环节充分保障智慧城市建设的信息安全，形成一个只会成好似建设信息安全保障的完整闭环。

建设信息安全组织保障体系。建立合理、有效的安全组织架构，配备和设立安全决策、管理、执行以及监管的主要责任人员岗位和机构，明确各级机构的角色与责任。建设信息安全制度保障体系。贝尔信认为，建立智慧城市建设信息安全总体方针框架、标准规范和信息安全管理规范、流程、制度体系，作为智慧城市建设信息安全保障的行为准则、依据和指导。

建设信息安全管理保障体系。在信息安全组织、运行和技术体系等标准化、制度化后形成一整套对信息安全有效管理的规定，完善信息安全管理与控制的流程，将高层人员参与、安全绩效考核、人员信息安全意识与技能培训和安全人员上岗/离岗控制等纳入信息安全管理保障体系，保证智慧城市建设安全运行。

建设信息安全技术保障体系。综合利用各种成熟的信息安全技术与产品，与时俱进不断开发适应信息安全新形势的新技术与产品，实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能，从物理、网络、主机、应用、终端和数据几个层面建立起强健的智慧城市信息安全技术保障体系。

建设信息安全灾难恢复体系。建设灾备中心，建立业务连续性计划、应急响应和灾难恢复计划等，定期对相应计划进行有效性评测和完善，定期开展会员参与的应急演练，保证只会成好似运行的业务连续性。

篇3：如何建立一个完整的信息安全保障体系

一、领导重视是做好信息安全工作的出发点

（一）建立强有力的组织领导机构

组织机构是信息安全体系建设的保障，没有一个强有力的领导班子和一个健全的组织机构，信息安全体系建设工作无从谈起。

2008年，我中支成立了信息安全体系建设工作领导小组，所属各单位、各部门也成立了相应的组织机构并配备了信息安全员。信息安全体系建设工作领导小组组长由一把手亲自担任，副组长由分管科技和办公室的副行长担任，领导小组的主要任务是领导全辖信息安全体系建设工作，发动全行职工参加信息安全体系建设，检查各单位和部门开展信息安全体系建设的情况。领导小组下设办公室和检查组。由于建立了强有力的组织机构，使该项工作得以扎实有效地开展起来。

（二）配齐配强科技队伍

为解决科技人员少、任务重的具体情况，中支党委自2008年先后为科技科增加了三人，这三人都具有本科学历，其中两人是新毕业的计算机系大学生。目前我中支专职科技人员已达6名，这与全省同类专业相比，无论是结构还是人员数量都是比较好的。

（三）中支党委不惜投资培养人才

一种是在上级行举办各类培训班时增加人员数量，自2008年以来共增派科技人员5人次，另一种方式是采取主动送出去、缺什么补什么的办法来增加科技人员的培训机会。据统计我中支自2008年以来采取该方式共增加培训机会9人次，两种方式合计新增培训费用14万元。

（四）在行内开展创建“学习型机关”和“三新”知识学习活动

我行通过开展创建“学习型机关”和“三新”知识学习活动，拓展了人才培养途径，充分开发现有人才资源，确立和形成人才培养的新理念和新机制。通过创建“学习型机关”和“三新”知识学习活动的开展，我行处处成为学习之所，人人都成为学习之人。正是通过这样人才的培养，我行的整体素质才得以明显提高。

（五）组织人员对各重要系统开展评估工作

有针对性做好信息安全工作，行领导建议并组成专门小组开展了重要业务系统安全评估工作。在评估工作中，行领导要求参评人员切实把握风险点，找出信息安全工作中的薄弱环节，彻底根除安全隐患。

二、狠抓队伍建设是建立信息安全工作的前提

（一）以培养服务意识、大局意识和责任意识为目标加强思想政治工作

在工作中牢固树立“三个意识”。一是大局意识，科技工作是中支工作的一部分，科技工作要自觉服从行内中心工作，自觉为金融工作服务，要坚持以金融服务和经济发展为己任，始终保持正确的科技工作方向。二是责任意识，荀子曰：“先事虑事，谓之接，接则事优成。”干部职工责任心强，就会把困难想在前头，把工作做在前头，把好事办得更好，才能想人之所想，急人之所急，真心诚意做好工作。三是服务意识，科技部门要立足本职工作，通过履行各种科技职能，为金融工作服务，要解决各部门和基层支行最关心、最直接、最现实的问题，充分发挥科技职能作用，为金融和社会发展提供有力的技术保障。

（二）以提高业务素质构建信息安全体系为目标开展科技培训工作

在中心支行自主外派的培训中，计算机安全培训的比例达60%。自2008年以来我们先后参加计算机安全培训6人次，其中有计算机网络安全、UNIX系统安全、WINDOWS系统安全、数据库系统安全、计算机病毒防护和防火墙技术应用等各种培训。为使培训工作达到预期效果，我们要求参加培训人员做好录音、记好笔记，回单位当好“二传手”。参训人员回到单位后，通过备课和授课不但起到了“二传手”的作用，而且也使自己所学的知识得到了巩固和提高。

三、不断充实和完善制度体系是做好信息安全工作基础

完善的制度体系是做好信息安全工作的前提，一个完善的制度体系需要与时俱进。为不断充实和完善信息安全制度，我中支信息安全领导小组每半年召开一次信息安全制度修订会。会议通过集体讨论方式来充实和完善信息安全制度体系。

四、做到“三个到位”是做好信息安全工作的切入点

（一）安全工作责任分解落实到位

信息安全工作坚持“分级管理，分级负责”及“谁主管，谁负责”的原则。单位(部门)负责人是本单位(部门)安全教育和管理的第一责任人，设备或系统使用人为安全工作的直接责任人。各单位(部门)实行安全管理岗位责任制，层层签订责任状，一级对一级负责，作到人人有责任，人人抓安全。

（二）安全工作检查处理到位

我们每个季度对全辖信息安全工作进行一次全面检查，为把检查工作落到实处我们每次检查前要制订检查方案，检查后要形成检查报告，通报全辖。对检查中发现的问题我们还根据有关规定进行了处理，截止2010年底我们对6个单位和部门进行了通报批评，对一名直接责任人扣发了当月效益工资。

（三）应急预案、应急演练完善操作到位

应急预案通过演练才能检验其操作性。为把该项工作落到实处，我们开展了多项应急预案的演练工作。其中在网络应急预案的演练中我们还是以培训形式开展的。在当前信息安全管理工作中，计算机网络安全工作已成为重中之重，某系统的安全工作再重要也只是一个点或者说是一个局部，而网络安全工作却是一个面。因此我中支决定以计算机网络安全为突破口，在2010年6月初举办了所辖县(市)计算机网络技术培训班。培训中，我们以应急预案的各项要求为主要内容，同时对网络协议、局域网地址分配、交换机的配置和VLAN划分等内容做了重点讲解。培训中，老师教得仔细，学员学得认真，经过为期两天的培训和演练，各县(市)支行的科技人员都感觉收获颇丰。

五、运用技术手段是增强信息安全性的重要措施

（一）采用LOTUS NOTES建设了数据异地备份系统

2007年和2009年鸡西两次4级左右的地震给我们系统安全和数据安全工作带来警示。我们将鸡西中支异地备份系统建设工作纳入日程，提出高标准建设“异地备份项目”的工作目标。为实现该目标，我们在本地和异地分别购置并安装了备份服务器，采用Lotus Domino Server 7.01开发了异地备份服务管理程序，以B/S结构实现了本地数据采集，本地服务器自动复制并发送远端。该项目的建设完成，为辖内系统安全运行提供了可靠的保证。

（二）完成了备机系统一期工程的建设工作

备机系统一期工程目标是完成和完善业务部门报备的34个业务系统(未包括科技科的17个业务系统)的备机建设，使其达到完全就绪状态。当业务系统主机出现故障时，备机可立即投入使用。

工作中我们充分利用业务部门现有计算机设备，采用GHOST镜像、硬盘镜像、交叉互备等技术手段进行业务系统备机建设。目前一期工程基本完工，各业务部门系统备机已处于就绪状态。

篇4：如何建立一个完整的信息安全保障体系

关键词：食品安全 保障体系 监管 完善

中图分类号：F426.82 文献标识码：A 文章编号：1672-5336（2015）02-0051-01

1 我国食品安全体保障系现状分析

食品是人类赖以生存的基础，是人们生活、生产中最基本的物质资料。人生的每一天都离不开食品，也正是因为这一原因让食品拥有巨大的市场潜力，且这一市场伴随人们消费水平的提升而不断扩大。在这种市场背景下，我国各地新型食品层出不穷，我们每天在生活中都能面临众多的食品广告，不管是街头、商场还是地摊，食品都占据主要的市场份额。近几年，随着我国食品生产制度的日趋成熟及各种新型媒体的兴起，食品安全事故时有曝光，这不仅给人们身体健康造成威胁，从内心深处给人们恐慌。

1.1 我国食品安全现状

民以食为天，食品是人类生存和生产的基础，也是关乎人们生命安全的内容，更是关系国民经济发展和社会和谐的重大问题。目前，食品安全已被我国政府列为继人口、资源和环境问题之后的第四大社会问题。就我国目前的食品安全现状分析，还存在众多的问题，其中主要包含了以下方面。首先，食品包装、卫生工作不到位，造成食品中各种真菌、细菌以及寄生虫滋生严重；其次，在食品生产中对食材选择不合理，食材中存在农药残留、有无污染、食品添加剂等化学因素等。这些问题是世界上每一个国家食品安全问题的常见现象，它并非一个朝夕之间就能得到改善和处理的过程，需要我们在工作中不懈努力、长期钻研，从而从根源上杜绝食品安全问题的发生。

1.2 食品安全保障体系现状

食品安全问题举世瞩目，是世界各國政府大力整改的公共安全问题，也让各国政府工作人员纷纷加大了相关的管理监控力度。食品安全保障体系作为当今食品安全监控的主要途径，它在食品安全问题上有着一定的作用，有效的推动食品加工产业的进一步发展，但就我国的食品安全保障体系分析，其中还存在一定的不足。所谓的食品安全主要是与人民日常生活挂钩的食品安全问题。食品安全是一个与人类生活、生产息息相关的内容，它直接关系到人民群众的身体健康与生命安全，更与社会和谐稳定发展密切相关。就我国食品安全的有关法律分析，我国的食品法律体系主要是由《食品卫生法》、《食品卫生行政处罚条例》、《程序食品卫生监督》等法律共同构成的，它是我国立法意识形态，是我国食品安全体系的构建基础，是全面提高我国食品安全工作的法律平台。但在具体的执法当中，许多有害物质都以蒙蔽过关的方式存在，同时各种先进技术和工业产品的出现让食品安全问题变得越来越复杂，给整个食品安全保障体系的建设造成新的影响。就先行食品安全保障体系而言，其中问题主要表现在消费者权益无法得到有效的保障、执法体系存在一定的漏洞、惩罚力度过小等。

2 完善我国食品安全体系的相关建议

自从改革开放以来，市场经济体制的日趋成熟给我国社会经济发展做出积极贡献，但也引发了许多的食品新问题。就这些问题分析，我国食品安全法律建设也取得了一定的成绩，初步奠定了相应的食品安全保障框架，但是由于我国食品安全法制建设本身存在缺陷，让整个食品安全制度并没有得到深入的落实和开展。面对这种情况，在目前的食品安全体系建设中，我们可以采用以下方面进行。

2.1 加强食品安全法律建设和法制管理

积极开展对外交流与合作，加强国外食品安全法律标准的、消化，借鉴发达国家经验，建立我国食品安全法律、行政法规、地方法规、行政规章、规范性文件等多层式法律体系，探索和发展既和国际接轨，又符合国情的、方法和体系

2.2 建立新的食品安全政策支持体系、宏观调控体系和管理体制

我们可借鉴世界上一些国家的做法，针对我国国情来建立农业管理部门与食品管理部门合一，对农业和食品工业实行一体化管理的机构。

2.3 加快食品安全信用体系建设

建立起我国食品安全信用体系的基本框架和运行机制，使我国食品安全迈上一个新台阶。在制度规范上，建立起食品安全信用的监管体制、征信制度、评价制度、披露制度、服务制度、奖惩制度等，使食品安全信用体系建设的主要方面有法可依，有章可循。

2.4 推进体制改革加强监督队伍建设

为了保证卫生监督的公正，加大食品卫生监督的力度，改革卫生监督体制，集中原来分散的卫生监督职能，撤销市、县级卫生防疫站、公共卫生监督所、劳动卫生监察所，组建新的卫生监督所，承担面向的综合卫生监督执法任务。

2.5 做好发展规划推动食品行业稳步发展

建立和完善食品安全法制保障体系、食品安全预警和控制体系、食品安全监管和卫生监督体系三大目标以及具体指标，同时从经费、人员、组织、管理等方面落实目标实现的保障措施，为食品卫生监督工作明确工作的重点和努力的方向。

3 结语

构建和完善食品安全保障体系是一个系统工程，需要各有关部门密切配合，全社会的共同努力。作为政府，应建立符合国情的法律体系、标准体系、监管体系、认证体系、宣传体系、风险评估体系等；作为企业，应守法经营，主动采用先进的标准和体系认证，生产出安全的食品；作为消费者，则必须增强食品安全意识和自我保护能力，把好“从田间到餐桌”的最后一关，对不符合卫生要求的食品做到能够识别、拒绝消费、积极举报，充分发挥社会舆论监督作用。只有全社会总动员，积极发挥各自的作用，才能构建行之有效的食品安全保障体系。

参考文献

[1]肖玫，袁界平，陈连勇.食品安全的影响因素与保障措施探讨.农业工程学报，2007，23（2）：286-289.

[2]李海金.食品安全存在的问题分析与对策思考.中国药事，2006，20（11）：643-645.

篇5：如何建立一套完整的薪资体系

XX公司是一家合资公司，公司成立于1995年，目前是中国目前最重要的中央空调和机房空调产品生产销售厂商之一。目前有员工300余人，在全国有17个办事处，随着销售额的不断上升和人员规模的不断扩大，企业整体管理水平也需要提升。

公司在人力资源管理方面起步较晚，原有的基础比较薄弱，尚未形成科学的体系，尤其是薪酬福利方面的问题比较突出。在早期，人员较少，单凭领导一双眼、一支笔倒还可以分清楚给谁多少工资，但人员的激增，只靠过去的老办法显然不灵，这样做带有很大的个人色彩，公平性、公正性、对外的竞争性就更谈不上。于是他们聘请普尔摩公司就其薪酬体系进行系统设计。

问题提出：

请根据该公司的具体情况，为他们制订一套完整的薪资体系。

案例分析：

该公司在这方面存在的主要问题有：

1、在薪酬分配原则不明晰，内部不公平；不同职位之间、不同个人之间的薪酬差别，基本上是凭感觉来确定。

2、不能准确了解外部特别是同行业的薪酬水平，无法准确定位薪酬整体水平。给谁加薪、加多少，老板和员工心里都没底。

3、薪酬结构和福利项目有待进一步合理化。固定工资、浮动工资、奖金的比例到底如何？如何有效地设立保险和福利项目？这需要细化。

4、需要建立统一的薪酬政策。

解决方案建议：

解决薪酬分配问题，需要一系列步骤，首先需要有职位说明书以作为公司人力资源管理的基础；其次，在职位说明的基础上，对职位所具有的特性进行重要性评价，我们依据国际上被广泛使用，是最权威的评估方法之一对该公司的职位等级进行评定，最终形成公司职级图。再次，公司委托专门的薪酬调查公司就同行业、同类别、同性质公司的薪酬水平进行调查，获得薪酬市场数据。另外，依据公司职级图、薪资调查的数据，公司的业务状况以及实际支付能力，我们对公司的薪酬体系进行设计，此项工作内容包括制订薪酬结构、制订不同人员的薪酬分配办法和薪酬调整办法、测算人力成本等。最后形成公司可执行、公布的薪酬政策。

经过双方的紧密配合以及我们积极务实的工作方法，该公司领导对最终形成的方案十分满意，因为他们再也不用为每月发工资的这件事头疼了，薪酬分配政策的公平性，也消除了员工之间的猜疑，增强了其工作热情。

一般来说，薪酬系统的设定可以划分为6个基本步骤：

一、制定薪酬策略（明确企业的总体战略）

这是企业文化的部分内容，是以后诸环节的前提，对后者起着重要的指导作用。它包括对职工本性的认识（人性观），对职工总体价值的评价，对管理骨干及高级专业人才所起作用的估计等这类核心价值观；以及由此衍生的有关薪资分配的政策和策略，如薪资等级间差异的大小。薪资。奖励、与福利费用的分配比例等。

二、职务分析与工作评价（职务分析又称工作分析，任务是进行组织结构设计编写职务说明书；工作评价则是确定薪酬因素，选择评价方法，大多数观点把这两块分开表述。）

这是薪资制度建立的依据，这一活动将产生企业的组织机构系统图及其中所有工作说明与规格等文件。

这是上述过程中保证内在公平的关键一步，要以必要的精确性，以具体的金额来表示每一职务对本企业的相对价值，此价值反映了企业对各工作承担者的要求。需要指出的是，这些用来表示工作相对价值的金额，并不就是各个工作承担者真正的薪资额，那是经过五个步骤，融入了外在公平性后，在第六个步骤“薪资分级与定薪”完成的。

三、市场薪酬调查（主要指地区及行业的调查）

这一步骤其实并不应列在上一步骤之后，两者应同时进行，甚至应在考虑外在公平性而对薪资结构线进行调整之前。这项活动主要需研究两个问题：要调查什么；怎样去调查和作数据收集。调查的内容，当然首先是本地区，本行业，尤其是主要竞争对手的薪资状况。参照同行或同地区其他企业的现有薪资来调整本企业对应工作的薪资，便保证了企业薪资制度的外在公平性。

四、薪资结构设计

经过工作评价这一步骤，无论采用那种方法，总可得到表明每一工作对本企业相对价值的顺序、等级，分数或象征性的金额。工作的完成难度越高，对本企业的贡献也越大，对企业的重要性也就越高，就意味着它的相对价值越大。使企业内所有工作的薪资都按同一的贡献律原则定薪，便保证了企业薪资制度的内在公平性。但找出了这样的理论上的价值后，还必须据此能转换成实际的薪资值，才能有使用价值。这便需要进行薪资结构设计。

所谓薪资结构，是指一个企业的组织机构中各项职位的相对价值及其对应的实付薪资间保持着什么样的关系。这种关系不是随意的，是服从以某种原则为依据的一定规律的。这种关系和规律通常多以“薪资结构线”来表示，因为这种方式更直观、更清晰、更易于分析和控制，更易于理解。

五、薪资分级和定薪（或称确定薪酬水平，主要内容是薪酬范围级数值的确定）

这一步骤是指在工作评价后，企业根据其确定的薪资结构线，将众多类型的职务薪资归并组合成若干等级，形成一个薪资等级（或称职级）系列。通过这一步骤，就可以确定企业内每一职务具体的薪资范围，保证职工个人的公平性。

六、薪资制度的控制与管理（或称薪酬评估与控制，主要内容是对薪酬的评估及成本控制）

企业薪资制度一经建立，如何投入正常运作并对之实行适当的控制与管理，使其发挥应有的功能，是一个相当复杂的问题，也是一项长期的工作。

XX公司目前是中国目前最重要的中央空调和机房空调产品生产销售厂商之一。目前有员工300余人，在全国有17个办事处，我们可以根据上面理论介绍来试着替他们做一份薪酬设计。

第一步是制定薪酬策略，由于对该公司的具体情况我们并不了解，所以我们不清楚他们的经营哲学、企业文化和核心价值观，所以我们这儿也不好说什么。但是任何一项薪酬策略都有它的。所以我们不妨假设XX公司薪酬设计的原则是对内具有公平性，对外具有竞争力，这样我们后面的分析就有方向了。

第二步是职务分析和工作评价。通过职务调查和职务分析，把职务本身的内容、特点以及履行职务时所必须的知识、能力条件等各项要素明确确定下来，写入职务说明书。进行职务评价根据此划分职务等级。评价职务的相对价值的职务评价法大多采用点数法，即依据评价要素确定其点数，然后加以汇总，再根据总点数确定职务等级。我们可以根据员工的工作岗位、教育背景、发展潜力、工作年限、工作绩效、特定的人力资源稀缺性等来确定。

第三步：进行薪酬调查。理论上面已经说了，我们谈谈具体操作吧。数据来源及渠道是我们最应该解决的问题。首先我们可以查阅国家及地区统计部门、劳动人事机构、工会等公开发布的资料，图书及档案馆中年鉴等统计工具书，人才交流市场与组织，各种咨询中介机构等；其次可以通过抽样采访或散发专门问卷进行收集。但因为我国目前许多企业不愿公开这些情况，我们不妨通过新招聘的职工和前来应聘的人员，来获得其他企业的奖酬状况。当然各企业发布的招聘广告和招聘信息中有时也披露其奖酬和福利政策，这也不失为来源之一。

第四步是进行薪资结构设计，我们要利用薪资结构线来表示。因为XX公司是生产销售型企业，而且前面也说到他们在全国建立了17个办事处，由于不同地区基本生活费用，业余文化生活，生活便捷程度方面的差异，所以不同地区应该有不同水平的薪酬，即使其他条件相同，不同地区同一薪点的薪酬客观上也存在着差异，所以由不同薪点的若干薪酬构成的薪酬曲线就不只是一条，而是可能有几条。

第五步是薪资分级和定薪，到这时候方案就快要出来了，薪酬的计量基准具一般有薪等和薪点，相对而言，薪点更具有科学性。由于XX公司规模并不是很大（员工300余人）。我们把XX公司的薪点设为30个。

第六步是薪资制度的控制与管理，薪酬制度一经建立，就应严格执行，发挥其应有的功能。在确定薪酬调整比例时，要对总体薪酬水平做出准确的预算。我们可以在人力资源部建好薪酬台帐借助数学和统计学进行预算。在制定和实施薪酬体系过程中，我们还有必要和员工进行及时的沟通和有效的宣传。要让员工满意。这样的薪酬政策充分体现了公平性，有助于消除员工之间的猜疑，增强其工作热情，也有利于XX公司内部的团结，从而创造一个和谐满意的工作环境。

西麦优仕教练点评：

篇6：如何建立一个完整的信息安全保障体系

1 企业信息安全现状

中国石油作为全球500强企业榜单中的一员,采用许多方面国内外先进的管理系统,随着ERP系统的推进,加油站管理系统也全面铺开,目前业务的增长对于信息化系统的依赖程度逐步提高,但是企业信息系统仍然面临许多不安全因素。如首先是计算机系统本身的因素(硬件设备、软件设备、通信线路、存储介质、电磁辐射);其次是自然因素,不可抗拒的自然灾害,或者突然地事件都能破坏信息的安全性甚至摧毁整个系统和所有的数据;第三是人为因素,操作人员有意识无意识的操作失误、或者有目的的破坏窃取信息都会危及企业信息安全。

2 信息安全相关概念

2.1 信息安全

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

2.2 信息安全的重要性

信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。石油行业规定信息安全指计算机网络及信息系统的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。虽然不同企业对于信息安全的要求和重点会有区别,但是信息安全对任何国家、政府、部门、行业都必须十分重视,是一个不容忽视的国家安全战略。

3 企业信息安全分类

造成企业信息安全的主要因素根据来源可以分为企业外部威胁和企业内部威胁两大类。

3.1 企业外部信息安全威胁

企业外部信息安全威胁在形式上保留了当前信息安全的各种形式,如病毒、木马、蠕虫、恶意软件等。据市场研究组织Webroot的最新统计,中国约有一半的企业受到了恶意攻击,有组织的恶意攻击呈上升趋势[1]。

3.2 企业内部信息安全威胁

据统计,有30%的企业同时存在由于终端不符合要求而带来的安全问题,这类安全问题往往来自企业内部。有最新的统计显示,企事业核心数据的流失实际上有80%左右源于企业内部人员的不正当行为,而只有20%来自外部侵犯。近来频频发生的因内部网络安全导致的商业情报失窃事件,如韩国起亚“索兰托”泄密事件也进一步证实了这种观点,并改变着管理人员的概念。因此如何保护企业的信息资产,如何防范内部人员犯罪,发生信息泄露事件之后如何进行取证、减少损失已经成为今后信息安全建设的一个重要部分。

简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题的95%是可以通过科学的信息安全管理来避免的。

4 企业信息安全的体系构架

通过对企业信息安全现状的简单分析,属于管理方面的安全问题是可以通过科学的信息安全管理来避免的,所以企业信息安全总体的构架可以分成技术体系和管理体系。目前“三分技术、七分管理”下,各企业都应该分析面临的安全威胁和安全问题,构建起符合企业实际,符合企业发展的安全体系[3]。

如何构建企业信息安全技术体系主要可以分物理安全、网络安全、系统平台安全(主机安全、数据安全)、应用安全。

4.1 物理安全

物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,它是技术体系的基本保障。其技术主要包括三个方面[2]:

(1)信息系统所处物理环境的安全技术要求,如机房要防火、防水、防静电等;

(2)信息系统的配套部件、设备安全技术要求,如机房温度、湿度、噪音、照明设施要符合要求;

(3)保障信息系统可靠运行的物理安全技术要求,如机房安全用电、防雷接地、供电设备、备用电源要安全有效。

4.2 网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。其全方位的安全体系包括防火墙技术、访问控制、检查安全漏洞、攻击监控、信息加密存储、身份认证、备份和恢复、多层防御、分级授权、隐藏内部信息。

4.3 系统平台安全

系统平台安全主要是保护主机上的操作系统与数据库系统安全。无论是操作系统还是数据库系统都由人来操作,因此首先要从人的因素去保护系统平台的安全,加强使用人员使用习惯以及业务技术,杜绝人为管理上的安全漏洞,其次是通过安全技术设备增强设备的安全防护能力。明确这两点我们在建设系统平台安全时应该注意以下几个问题[3]:

(1)加强主机操作系统、数据库系统的账户与口令管理。帐户要根据等级和权限进行分配,账号安全级别要够高,杜绝使用初始口令;

(2)建立操作系统、数据库和应用系统的相关应用和端口的对应关系,关闭主机系统上与应用服务无关的端口;

(3)为满足企业应用系统不断地升级,打补丁应该在应用系统上线投产前的调试阶段;

(4)对于企业采用的对外开发的应用系统,应该采取最小授权原则或者采用第三方监控、审计和身份认证工具。

4.4 应用安全

应用安全是指针对应用程序或者工具在使用过程中可能出现计算、传输数据的泄露和失窃,通过其他安全工具或者策略来消除隐患。安全体系的策略主要包括服务器报警、用户密码、用户安全、访问控制。其作用是保证服务器的稳定性以及限用户安全访问应用程序的安全设置。

5 如何构建石油销售企业信息安全管理体系

任何技术措施都只能够起到加强信息安全防范能力的作用,只有管理到位,才能够保障技术措施充分发挥作用,才能对信息网络有效地进行管理和控制。要想建立一个具有预警、保护、检测、反应、恢复、反击能力的安全体制,必须要注重企业信息系统建设全过程的安全管理。

信息系统全过程分为策划、实施、检查和处理四个阶段、每个阶段都有不同的安全管理重点和要求。

(1)在信息系统项目策划初期,要加强项目准备、风险评估与现状调研分析、总体架构设计、项目规划设计、项目可行性研究、项目验收等一切管理规划和实施细则,要根据自身的状况实事求是确定目标,分阶段实施,降低投资风险。

(2)在信息系统检查和处理阶段要加强对数据安全,应急预案,物理安全管理。该阶段是对已识别和实施的安全方案进行加强、修改和改进。在石油销售企业可以通过实施信息安全项目群,建设完善的信息安全保障体系来达到信息安全等级保护要求。信息安全项目群主要分为三大类:信息安全管理类项目、信息安全控制类项目、信息安全技术类项目。信息安全管理类项目主要包括信息安全组织完善、信息安全运行能力建设、风险评估能力建设。信息安全控制类项目包括基础设施安全配置规范、信息安全制度与标准、应用系统安全合规性实施。信息安全技术类项目包含身份管理与认证、网络安全实施、桌面安全实施、系统灾难恢复、信息安全运控中心。这些措施加强了信息网的操作系统、数据库、网络设备等的安全管理。为保证业务不间断运行,建立一套应急预案体系。同时保证信息安全中心的物理安全管理严格的落实到每个人,包括出入、机房管理、消防安全[4]。

(3)建立封闭式全程管理流程。封闭式全程的管理流程就是指在企业整体安全策略的控制和指导下,结合企业现有的管理和技术现状,通过安全风险评估和检测工具了解信息网存在的安全问题和安全隐患,再根据此方案制定安全建设规划和安全防范方案,综合应用各种安全防护产品,将系统调整到相对安全的状态。其中我们要注意:

a.企业的核心就是安全策略,制定明确有限的安全策略是必经之路。详细的流程、健全的规章制度、标准和安全建设规划、方案,这一系列的策略规范和保护企业的投资和信息资源安全。

b.制定完善的符合企业实际的信息安全策略,对于一个成长型企业我们既要节约成本,也要把安全风险降到最低。因此先要对企业信息系统进行安全评估,了解企业的信息资产价值和自身面临的安全威胁。从而制定针对性的安全策略来指导信息安全的建设和管理工作,建立与业务发展和信息化水平相适应的安全体系。

6 结语

在全面建设企业信息安全体系时,我们必须结合风险管理、IT服务管理等方法建立企业信息安全管理体系。建立全面的信息安全保障体系,才能使石油销售企业建成自己的安全体系。

摘要：计算机网络的快速发展,使石油企业信息安全面临着困惑。文章针对石油企业信息安全问题,分析了企业目前的现状以及不安全因素,阐述了如何建立符合石油企业的信息安全管理体系来保护企业的利益和信息的保密,为用户和投资者提供安全、可靠地服务。

关键词：石油销售企业,现状,信息安全,管理体系

参考文献

[1]周霞.信息安全现状及发展趋势[EB/OL].http://wenku.baidu.com/view/6faafd4e767f5acfa1c7cdb8.html

[2]王翌.企业计算机信息系统的安全与保护[J].计算机光盘软件与应用,2010(9):16.

[3]杨承伍.浅谈如何构建企业信息安全体系[EB/OL].http://tieba.baidu.com/f?kz=872779707.

篇7：如何建立一个完整的信息安全保障体系

习近平同志指出，建设美丽中国，要加强生态环境保护，推进制度创新，努力从根本上扭转环境质量恶化趋势。这些论述为进一步加强环境保护，建设美丽中国，走向生态文明新时代，指明了前进方向。不断推进生态文明制度化建设，已经成为全面深化改革的有机组成部分，成为完善和健全社会主义制度的重要内容，有利于全面推进中国特色社会主义事业，有利于经济社会全面、协调、可持续发展，有利于推进国家治理体系和治理能力的现代化。

一、从国家治理体系和治理能力现代化的高度，定位生态文明制度体系建设

全面深化改革的总目标是完善和发展中国特色社会主义制度，推进国家治理体系和治理能力现代化。在国家治理过程中，制度建设具有根本性、持续性和全局性。将比较成熟的方针、政策制度化、法治化是国家治理体系和能力现代化的重要组成部分与核心标志。全面深化改革的总目标能不能在2020年实现，就是要看在重要领域和关键环节改革上取得决定性成果，形成系统完备、科学规范、运行有效的制度体系，使各方面制度更加成熟更加定型。因此，社会主义各项事业的推进和发展都必须系统化、规范化和制度化，最终形成定型、成熟、有效的制度体系，实现各项工作的科学、持续运转，提高国家治理能力和治理水平。

生态文明制度是人类社会在长期与大自然相处过程中形成的理念、政策、做法。生态文明制度的层次和水平标志着人类治理艺术和技巧的成熟程度，它关系到全人类、全社会、各民族和各国家整体利益的实现状况和政权运作是否科学和稳定。就一国而言，生态文明制度文明建设是一个国家政治、经济、文化、社会和生态建设的重要内容，它的进程有赖于社会现有的物质文明和精神文明整体水平的提高。

在“五位一体”的中国特色社会主义事业总体布局中，生态文明建设既要同经济建设、政治建设、文化建设和社会建设一样，提高制度化水平，发挥生态文明制度为美丽中国建设和中华民族永续发展提供坚实保障和有力支撑的作用，而且还要发挥生态文明制度对其他领域制度的辐射作用和引领作用。

确立生态文明制度建设在国家治理体系中的定位，有助于明确生态文明制度建设的目标和内容。生态文明制度建设的目标是构建有利于环境保护、资源节约、人与自然和谐关系的系统性、完整性、科学性的制度体系，为环保政策、资源政策的落实提供坚实保障，形成全社会共建生态文明的完善性、稳固性、持续性的行为模式。生态文明制度建设的主要内容包括制度的建立和完善、制度的落实和执行、有关行为的激励与惩罚，以及预期的形成和定性。通过这四个环节，将尊重自然、顺应自然、保护自然的生态文明理念真正落到实处。这些目标和内容本身就说明生态文明制度是社会主义制度体系的主要内容和重要组成部分。

建设生态文明制度必须按照系统性要求进行，依据生态系统内在的高度多样性和复杂性规律，建立完整的制度体系。制度是否具有系统性、完整性和先进性，是生态文明水平的重要体现。先进的制度体系是生态文明的软实力，良好的生态环境是生态文明的硬实力。从根本上说，生态文明的制度水平决定了生态文明的建设水平。只有将生态文明建设的一系列理念、政策、规定和做法上升到制度水平，形成牢固的制度体系，并在实践中形成强有力的“激励相容”效应，才能切实保证生态文明建设形成良性的持续发展，才能切实保证“美丽中国”的理想和愿景逐步变成现实。

要按照基本制度、运行制度和符号制度三个子系统建构制度体系，克服目前存在的有序性、整体性不足的问题。基本制度作为内层，离制度体系的核心最近，是制度体系最深刻的反映；符号制度处于制度体系的外层，是制度体系价值最直观的反映。运行制度则是基本制度和符号制度的中间环节，起着桥梁和纽带的作用。具体到生态文明制度体系，我们可以将其划分为基本制度、管理制度、文化制度三个层面，基本制度是生态文明制度体系的基石和支柱，管理制度是生态文明制度体系的维系和保障，而文化制度是生态文明制度体系的社会基础。

二、建立坚实的生态文明基本制度

建立生态文明基本制度，首先要进一步加强制度体系建设的顶层设计，制定时间表和实施路线图。应抓住中央设立“经济体制与生态文明体制”专项小组的时机，尽快起草和出台“关于推进生态文明建设的指导意见”，以提高各级政府和社会各界对生态文明建设的认识。制定实施生态文明建设目标体系，要将生态空间、生态经济、生态环境、生态生活、生态制度和生态文化等内容纳入其中。同时，在总体设计上广泛听取各方面意见，注重跨部门和跨领域，形成建立生态文明制度体系的时间表和实施路线图，并以此为依据指导各部门执行分工任务。

其次，以市场作用的充分发挥，作为生态文明基本制度的基石。一是健全自然资源资产产权制度。产权是所有制的核心和主要内容，明晰产权是发挥市场机制的基本要求，自然资源资产产权制度是生态文明制度体系中的基础性制度。要对自然生态空间进行统一确权登记，形成归属清晰、权责明确、监管有效的自然资源资产产权制度。根据自然资源属性的多样化特征，通过比较广泛的地方试点示范，逐步修改完善现行法律有关国有和集体所有资源的产权制度规定，分类建立多样化的所有权体系。建立完整的自然资源资产的调查、评价和核算制度，并完善国有和集体自然资源资产代理或者托管及其经营管理的制度体系。二是在生产过程中发挥市场配置资源的决定性作用。要在力求厘清政府与市场关系的基础上，推进自然资源资产化管理，实行资源有偿使用制度和生态补偿制度，鼓励特许环境服务和协议保护，加快资源环境税费改革，构建体现生态文明理念的新型市场，探索排污权和碳排放交易，使资源能源、排放许可、生态服务等要素得到更高效的配置和利用。构建符合市场规律的自然资源定价机制，加快实施资源有偿使用制度、生态补偿制度、环境税收体系。进一步改革和完善环保事业的特许经营制度和特许保护制度，发挥市场激励的作用。

nlc202309032102

再次，以政府监管的有力有效，作为生态文明基本制度的支柱。一是建立自然资源用途管制制度。对用途进行管制，明确各类国土空间开发、利用及保护的边界，实现能源、水资源及矿产资源按质量进行分级，实现梯级利用。这是国家出于公共利益，使用国家权力，超越产权规定对自然资源进行管理的制度。这种管制充分体现了政府调控和监管对于弥补市场失灵的必要性和重要性，体现了政府职能的全面正确履行。比如自然保护区就属于用途管制制度，因为不管自然保护区属于谁管理，国家法规规定都不能在核心区内进行开发和建设活动。二是建立生态红线制度，划定并严守生态红线。生态红线观念一定要牢固树立起来，列入后全党全国就要一体遵行，决不能逾越。划定生态保护红线，建立国土空间开发保护制度，严格按照主体功能区定位推动发展，有序实现耕地、河湖休养生息。严格准入制度，实行最严格的土地用途管理、资源节约管理，强化规划，严格审查，禁止不符合用途管制和节约标准的开发活动。按照生态保护红线由生态功能红线、环境质量红线和资源利用红线构成的基本思路，研究编制关于构建国家生态保护红线的指导意见。

三、建立协调的生态文明管理制度

建立生态文明管理制度的核心是遵循打破生态系统系统性、整体性和政府运行的部门性、分割性的矛盾。首先，要以问题的整体性为基础，更加突出管理制度的整体性。比如建立和完善严格监管所有污染物排放的环境保护管理制度。污染物由污染源产生，通过环境介质传播和消纳，必须将三者统筹考虑。要按照生态系统管理方式要求，对工业点源、农业面源、交通移动源等全部污染源排放的所有污染物，对大气、土壤、地表水、地下水和海洋等所有纳污介质，加强统一监管，实现环境污染的全防全控。同时，要重视生态系统的整体性规律，充分认识污染防治与生态保护的内在必然联系，增强二者监管的协调性和统一性，建立污染防治和生态保护的联动 机制。

其次，要在政府部门分工和层级分权的现实条件下，更加突出管理制度的协调性。探索建立统筹协调的制度构架。环境问题产生并扩展为局地、区域和全球性问题，在我国目前最突出的就是区域性的灰霾污染和流域性的水污染。但是，这些环境问题所影响的空间范围往往与行政管辖的区域不一致，使现行管理体制难以解决跨行政区的环境问题。结构上，这些要素常常由不同部门来管理，使得环境管理缺乏整体性和协调性。功能上，现有体制实现资源环境的综合管理存在各种体制机制障碍。我们在保证生态环境保护完整性的同时，需要针对不同类型的问题设置相应的制度安排。对于幅员辽阔、资源环境复杂多样的发展中大国，完全通过一个部门实施统一监管显然是十分困难的。但无论采取哪种改革模式，建立统筹协调的制度构架是十分必要的。比如在环境监管和行政执法领域，由于职能交叉，造成执法主体和监测力量分散，环保领域多头执法问题突出。要健全“统一监管、分工负责”和“国家监察、地方监管、单位负责”的监管体系，有序整合不同领域、不同部门、不同层次的监管力量，完善监管的法律授权，建立独立而统一的环境监管体制。

再次，以生态绩效的“可视化”为导向，突出管理制度的激励作用。将资源消耗、环境损害、生态效益等体现生态文明建设状况的指标纳入经济社会评价体系，建立体现生态文明要求的目标体系、考核办法、奖惩机制。把生态效益等指标纳入经济社会发展综合评价体系，编制自然资源资产负债表，对领导干部实行自然资源资产和环境离任审计，加大资源消耗、环境损害、生态效益、产能过剩、科技创新的考核权重。加强生态环境实绩考核制度的权威性和执行力度，对生态文明建设成绩突出的地区，由上级财政给予转移支付，对单位和个人给予表彰奖励。建立责任追究制度，保持生态文明建设的持久性。建立完善的生态文明责任追究制度，明确责任主体、责任目标和责任范围。

四、建立长效的生态文明文化制度

生态文明制度既是约束人类行为的规则，同时也是衡量人类文明水平的标尺。对于生态文明制度而言，相比那些强制人们遵守的硬性规定和道德说教，那些成为人的价值观念甚至能铭刻在社会成员心中的“软规则”，在约束人们行为方面可能更为有力和持久。

首先，要积极倡导生态文明行为，培育绿色生活方式。制定并实施与生态文明和绿色发展相适应的可持续消费战略和行动计划，以党政机关、事业单位和国有企业为重点，开展生态文明单位建设活动，落实各项节能环保措施。采取政府采购服务等政策措施，推动消费方式变革，实行绿色设计和绿色制造，节约资源，减少污染，树立环保诚信。规范绿色产品生产，畅通绿色产品流通渠道，引导消费者购买节能环保低碳产品。推动全民在衣、食、住、行、游等各方面向简约适度、绿色低碳、文明健康的方式转变。推广绿色环保产品，倡导绿色出行，使绿色生活成为社会主流价值和生活时尚。

其次，以企业经营者为主要对象，把生态教育贯穿于企业生产经营活动的始终。企业主管部门要制定政策，促使企业自觉按照循环经济模式组织生产，实行生态友好的生产方式，节约能源资源，保护生态环境。要定期举办企业经营管理者培训班，全面进行生态意识教育和环境保护政策法规学习，使其在企业生产经营活动中始终把环保工作放在第一位。在企业立项审批过程中，要严格坚持环保准入关。建立企业环境信用等级评价制度，督促企业自觉履行环保法定义务。加快建立环境保护“守信激励、失信惩戒”的机制。对企业的环境信用实行等级评价制度，将其等级评定结果与企业信贷、融资直接挂钩。强化企业社会责任感和荣誉感，形成以“保护生态环境为荣”的道德风尚，对企业家进行生态环境及可持续发展教育。

（中国行政管理学会环境保护部宣传教育司联合课题组）