对集团公司信息安全工作的建议

对集团公司信息安全工作的建议

关于集团公司信息安全建设的建议

（提纲）

（分子公司名称）

一、本公司系统信息安全现状

二、关于集团公司信息安全建设指导思想、目标、原则的建议

三、关于集团公司信息安全策略的建议

四、关于集团公司信息安全体系的建议

五、关于集团公司信息安全建设内容的建议

（一）信息安全管理体系方面的建议

- 2 -

（二）信息安全技术体系方面的建议

（三）信息系统运维安全方面的建议

（四）信息项目建设与报废安全方面的建议

（五）信息安全平台建设方面的建议

（六）其它方面的建议

六、关于集团公司信息安全建设保障措施的建议

1、加强对集团公司信息化建设的领导。由集团公司领导挂帅，成立“信息安全管理组织”，推行信息安全管理制度。这个组织是集团公司在信息系统安全方面的最高权力组织。信息安全是所有管理

- 3 -

层成员所共有的责任，一个管理组织应确保有明确的安全目标。信息化建设必须由集团公司领导亲自抓、亲自参与，否则投入再大，做的再好，也有可能失败。

2、建立信息系统的安全风险评估机制。网络信息系统的安全建设应该建立在风险评估的基础上，这是信息化建设的内在要求，集团公司主管部门和运营、应用单位都必须做好本系统的信息安全评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，才能避免重复建设和投资的浪费。

3、提供足够的资金保障。集团公司应该在每年的预算中规划出一定数额的资金，专款专用，以保证集团信息化建设资金投入的需要。同时，集团公司在进行基本建设和技术改造时，要充分考虑信息化的需求。

4、加强设备保障。设备指与信息化相关的所有软硬件设备。引进的硬件和软件应统一纳入职能部门固定资产管理范畴。引进软件要和软件正版化规划一起考虑；引进硬件和计算机设备升级换代一起考虑，实现设备管理规范化。确保集团信息化建设必须的设备及时到位。

5、加强集团信息化人才队伍的建设。制定吸引、稳定信息化人才的措施，以确保人才不外流。建立多层次、多渠道、重实效的信息化人力资源培养制度和考核机制。

- 4 -

七、关于《集团公司网络与信息安全手册》修订的建议

1、制定《集团公司网络与信息安全手册》应包含以下主要内容：有主要领导负责的逐级

安全保护管理责任制，配备专职的信息安全管理人员，各级职责划分明确，并有效开展工作；

明确运行和使用部门或岗位责任制，建立信息安全管理规章制度；在职工群众中普及网路与信息安全知识，对重点岗位职工进行专门培训和考核；采取必要的安全技术措施；对出现的网络与信息安全问题应有文档记录和应对措施；定期进行网络与信息安全检查、风险分析及出现的隐患进行整改；实行信息安全等级保护制度。

2、在《集团公司网络与信息安全手册》中，还应制定系统运行情况记录制度。1）、数据

量处理：包括系统每天运行的时间、处理内容、数据吞吐量等内容，这些资料是反应信息系统软硬件功能和状态最基本的数据。2）、数据处理效率：如果信息安全管理人员“感觉”数据处理速度明显变慢，那么就可以通过对历史记录的分析，找出可能的原因，并一一排除。3）、系

- 5 -

统的故障及维修情况：无论系统故障大小，都应该及时地记录故障发生的时间、故障的现象、故障发生时的工作环境、处理方法、处理结果、处理人员、善后措施、原因分析等，这有利于信息管理人员对系统的评价及提出进一步扩展完善建议。

3、集团公司网络与信息安全手册要不断的补充和完善。集团公司网络与信息安全手册是集

团信息化建设的重要组成部分，它是集团公司信息化建设过程中形成、积累的，是以文字、图纸、表格等多种形式记录了集团信息化的建设发展过程。所以要不断的对集团公司网络与信息安全手册进行补充和完善，来满足集团公司信息化不断发展建设的需要。

八、其它有关集团公司信息安全建设的建议

1、要从技术手段上保证集团信息化的安全。集团信息化建设由于其本身开放性所带来的各个方面的安全问题是事实存在的。集团公司应该正视这一事实的基础上，承认不可能有绝对安全的网络系统的前提下，努力探讨如何加强网络安全防范性能，如何通过安全系列软件、硬件及相关管理手段提

- 6 -

高网络信息系统的安全性能，降低安全风险，及时准确地掌握网络信息系统的安全问题及薄弱环节，及早发现安全漏洞、攻击行为井针对性地做出预防处理。

2、要建立、健全集团信息化安全管理制度。集团信息化建设的安全，在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段，都围绕这一策略来选择和使用，如果在安全管理策略上出了问题，相当于没有安全系统。同时，从大角度来看，集团信息化建设安全与严格、完善的管理是密不可分的。在集团信息化建设安全领域，技术手段和相关安全工具只是辅助手段，离开完善的管理制度与措施，是没法发挥应有的作用并建设良好的网络信息安全空间的。集团信息化建设一项重要而且长期的工作，为此必须建立一个信息安全工作的组织体系和常设机构，明确领导，设立专责人长期负责信息安全的管理工作和技术工作，才能取得好的成绩。

3、对集团信息化建设要定期评估，不断的发展，改进，完善。集团信息化应用是随着集团的发展而不断发展的，信息技术更是日新月异的发展的，安全防护软件系统由于技术复杂，在研制开发过

- 7 -

程中不可避免的会出现这样或者那样的问题，这就决定了安全防护系统和设备不可能百分百的防御各种已知的，未知的信息安全威胁。

安全的需求也是逐步变化的，新的安全问题也会随着集团信息化建设过程中不断产生，原来建设的防护系统可能都不满足在新形势下的安全需要，这些都决定了信息安全建设是一个动态过程。需要集团信息管理人员定期对信息网络安全状况进行评估，改进安全方案，调整安全策略。还有不是所有的信息安全问题都能一次解决，集团信息化管理人员要对信息安全问题的认识要随着技术和应用的发展而不断的提高。

同时集团信息化管理人员也要明白一个道理，市场上信息安全生产厂家所生产的安全系统和设备，也仅仅是满足某一些方面的安全需求，并不是集团公司有某一方面的信息安全需要，市场上就有对应的成熟产品存在，因此不是所有的安全问题都可以找到有效的解决方案，而只能是逐步的去解决这些问题。

- 8 -

附件2

集团公司信息化规划宣贯暨信息安全工作研讨会

参会人员回执

姓名单位部门职务手机备注- 9 -