.
关于集团公司信息安全建设的建议
(提纲) (分子公司名称)
一、本公司系统信息安全现状
二、关于集团公司信息安全建设指导思想、目标、原则的建议
三、关于集团公司信息安全策略的建议
四、关于集团公司信息安全体系的建议
五、关于集团公司信息安全建设内容的建议 (一)信息安全管理体系方面的建议
.
(二)信息安全技术体系方面的建议
(三)信息系统运维安全方面的建议
(四)信息项目建设与报废安全方面的建议
(五)信息安全平台建设方面的建议
(六)其它方面的建议
六、关于集团公司信息安全建设保障措施的建议
1、加强对集团公司信息化建设的领导。由集团公司领导挂帅,成立“信息安全管理组织”,推行信息安全管理制度。这个组织是集团公司在信息系统安全方面的最高权力组织。信息安全是所有管理
- 2 -
层成员所共有的责任,一个管理组织应确保有明确的安全目标。信息化建设必须由集团公司领导亲自抓、亲自参与,否则投入再大,做的再好,也有可能失败。
2、建立信息系统的安全风险评估机制。网络信息系统的安全建设应该建立在风险评估的基础上,这是信息化建设的内在要求,集团公司主管部门和运营、应用单位都必须做好本系统的信息安全评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,才能避免重复建设和投资的浪费。
3、提供足够的资金保障。集团公司应该在每年的预算中规划出一定数额的资金,专款专用,以保证集团信息化建设资金投入的需要。同时,集团公司在进行基本建设和技术改造时,要充分考虑信息化的需求。
4、加强设备保障。设备指与信息化相关的所有软硬件设备。引进的硬件和软件应统一纳入职能部门固定资产管理范畴。引进软件要和软件正版化规划一起考虑;引进硬件和计算机设备升级换代一起考虑,实现设备管理规范化。确保集团信息化建设必须的设备及时到位。
5、加强集团信息化人才队伍的建设。制定吸引、稳定信息化人才的措施,以确保人才不外流。建立多层次、多渠道、重实效的信息化人力资源培养制度和考核机制。
- 3 -
七、关于《集团公司网络与信息安全手册》修订的建议
1、制定《集团公司网络与信息安全手册》应包含以下主要内容:有主要领导负责的逐级安全保护管理责任制,配备专职的信息安全管理人员,各级职责划分明确,并有效开展工作;明确运行和使用部门或岗位责任制,建立信息安全管理规章制度;在职工群众中普及网路与信息安全知识,对重点岗位职工进行专门培训和考核;采取必要的安全技术措施;对出现的网络与信息安全问题应有文档记录和应对措施;定期进行网络与信息安全检查、风险分析及出现的隐患进行整改;实行信息安全等级保护制度。
2、在《集团公司网络与信息安全手册》中,还应制定系统运行情况记录制度。1)、数据量处理:包括系统每天运行的时间、处理内容、数据吞吐量等内容,这些资料是反应信息系统软硬件功能和状态最基本的数据。2)、数据处理效率:如果信息安全管理人员“感觉”数据处理速度明显变慢,那么就可以通过对历史记录的分析,找出可能的原因,并一一排除。3)、系统的故障及
- 4 -
维修情况:无论系统故障大小,都应该及时地记录故障发生的时间、故障的现象、故障发生时的工作环境、处理方法、处理结果、处理人员、善后措施、原因分析等,这有利于信息管理人员对系统的评价及提出进一步扩展完善建议。
3、集团公司网络与信息安全手册要不断的补充和完善。集团公司网络与信息安全手册是集团信息化建设的重要组成部分,它是集团公司信息化建设过程中形成、积累的,是以文字、图纸、表格等多种形式记录了集团信息化的建设发展过程。所以要不断的对集团公司网络与信息安全手册进行补充和完善,来满足集团公司信息化不断发展建设的需要。
八、其它有关集团公司信息安全建设的建议
1、要从技术手段上保证集团信息化的安全。集团信息化建设由于其本身开放性所带来的各个方面的安全问题是事实存在的。集团公司应该正视这一事实的基础上,承认不可能有绝对安全的网络系统的前提下,努力探讨如何加强网络安全防范性能,如何通过安全系列软件、硬件及相关管理手段提
- 5 -
对集团公司信息安全工作的建议
