知识产权案例由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“案例知识产权”。
影响网络信息安全的组织因素分析 陈金锋
(中国电子科技集团公司第二十七研究所.河南郑州250000)摘要:针对网络信息妥全的威胁和造成的危害.本论文对影响网络妥全的因素进行了分析探讨.在分析了我国网络
信息妥全现状的基础上.将组织理论和网络信息妥全结合起来详细探讨了影响网络信息妥全的组织因素.并重点具
体的研兄了网络信息妥全管理的组织对策.对于进一步提高网络信息妥全管理应用水平具有一定指导意义。
关键词:网络工程:信息妥全:组织因素
中图分类号:TP393.08文献标识码:A文章编号:1672-7800(2011)07-013h-03影响网络信息安全的组织因素分析 陈金锋
(中国电子科技集团公司第二十七研究所.河南郑州250000)摘要:针对网络信息妥全的威胁和造成的危害.本论文对影响网络妥全的因素进行了分析探讨.在分析了我国网络
信息妥全现状的基础上.将组织理论和网络信息妥全结合起来详细探讨了影响网络信息妥全的组织因素.并重点具
体的研兄了网络信息妥全管理的组织对策.对于进一步提高网络信息妥全管理应用水平具有一定指导意义。
关键词:网络工程:信息妥全:组织因素
中图分类号:TP393.08文献标识码:A文章编号:1672-7800(2011)07-013h-031我国网络信息安全现状概述
随着匀_联网产业的发展,人们对信息的获取方式止逐 步从传统的媒介转向匀_联网,越来越多的人把访问匀_联网 作为日常生活的部分。网络上各种新业务也相继兴起,如电子商务、数字货币、网络银行以及各种专用网的建设,这使得网络信息的安全与保密问题显得越来越重要,我国 政府也较早地注意并开始了对网络经济信息安全的保护,如从20世纪Ho年代中期就开始了对计算机网络的安全 保密系统的研究,并使之在各信息系统中陆续推广应用,其中有些技术己赶上国际同类产品的水平,使我国的信息 安全保密技术的水平推进到新的高度。具体来说,近年来 我国政府保护网络经济信息安全工作包括以下几方而:
m)对基础信息网络与重要信息的安全进行了检查。对各单位,包括政府机构、高等院校、社会组织和企业的安 全制度落实情况、安全防范措施落实情况、应急}}向应机制 建设情况、信息技术产品和服务国产化情况、安全教育培 训情况等进行了检查,加强了各单位对信息网络和信息安 全的重视和建设。
cz)开展了信息安全法律和标准化建设工作,加强教 育普及和宣传工作。定期组织各单位成员、院校师生、企 业员工等学习《计算机信息系统安全保护条例》、《匀_联网 安全保护技术措施规定》、《计算机信息网络国际匀_联网安 全保护管理办法》及各种网络安全管理制度,使广大用户 和群众加强了信息安全防范意识。
(3)开展了信息化密码保障和网络信任体系的建设。围绕信息化战略的实施,加强网络信任体系的建设,切实 做好信息安全保障工作,使国家信息化建设事业健康有序 发展。
cn}开展了信息安全应急协调和处置工作,很多省市制定了信息安全事件应急预案,研究制订网络与信息安全
事件应急工作规划、计划和政策,协调推进网络与信息安 全事件应急工作机制和体系建设,组织开展应急处置工 作。
(5)开展了信息安全风险评估。2006年3m6 u 国务院信息化工作办公室在昆明召开了《关于开展信息安 全风险评估工作的意见》宣贯会,明确了国家对)从险评估 工作的目标与要求以及今后企业如何为用户提供)从险评 估服务的些标准。
2影响网络信息安全的组织因素分析 2.1影响网络信息安全的组织因素
根据组织结构的定义,结介I八E八组织结构分类和网 络环境下信息安全管理组织结构设计原则,本文将影}}向组 织结构的囚索分为信息安全工作组织、权力与责任、交流、资源。
(1)信息安全工作组织。为了保障信息安全工作,很 多组织设置了网络管理或信息安全管理部门。尽管如此 在调研中发现这些组织仍然受到信息安全问题的困扰,原 囚是存在以下问题:①辅助信息安全工作的配套设施小完 备;②末配备从事信息安全管理工作的专业人员或小足;③末设置信息安全工作的监管部门。
(2)权力与职责。为了提高网络信息系统的安全性 能,组织就要明确规定员工的职责并授权。职责就是员工 从事工作本身的责任,组织中的个体必须明自自己的职 责,即明自自己对信息系统安全所起到的作用。工作中的 疏忽大意或侥幸心理叫能会引起大的事故,造成严重的后 果。授权是赋子员工定的权限或权力,并赋子相应的责 任,这样能更好地发挥员工的主观能动性,提高信息系统的安全。对于小同的个人或部门,应明确地划定其权力范围及相应的责任,现代组织常常出现权责小明的问题:出
了问题大家都小管;出了成绩大家都抢功。这小但使组织 的奖惩制度无法实施,还会极大地影}}向到部门之间,员工 之间的团队介作精神,使组织陷于内乱,信息安全问题更 无法谈起。只有权力与责任相符,刁一能更好地达到保障网 络信息安全的目的。
(3)交流。组织中的交流是指信息或思想在人群中的 传递或交换的过程。通过交流叫以把员工联系起来,调动 起来为实现组织的目标而努力。交流是协调各个体、各要 索、并使组织成为个整体的凝聚剂。
交流的分类有止式交流和非止式交流,书而交流和日 头交流,组织内部交流和组织之间的交流等。影}}向交流效 果的囚索有:①交流工具的先进性,交流工具通常指电话、网络等,是信息交换的硬件设备,交流工具越先进就越有 利于比较方便快捷地达到交流的目的;②交流语言使用质 量,交流语言使用质量是指理解上小能有障碍,表达要准 确清晰,达到基本交流的目的。语言使用得当有利于工作 顺利的进行,如上下级之间交流中,领导注意自己的言语,以人为本将激发员工的工作热情。所以语言的叫理解性 和恰当性影}}向交流的效果,从而有利于保障网络信息系统
I均安全;③交流时f}J和空f}J i`u5适介度,交流时f}J和空f}J i`}5 适介度指组织提供介适的空间和安排适当的时间让大家 交流。特别是定期工作经验交流,有利于员工间共享网络 信息安全知识,增进信息安全问题处理能力。
(n)资源。网络信息安全的保障需要小断的技术开发 和设备的更新,以适用技术迅速发展的需要,比如自主网 络安全技术的研发、软件的升级、更大容量和更快速度硬 件上市、病毒库的升级、机房条件的改善以及信息管理员 的培训等等,都需要组织提供允足的时间资源、人力资源、物资资源、财力资源支持。组织资源的短缺或配置小介 理,必然会造成网络信息系统运行的失衡,给网络信息的 安全带来小确定性,引发信息安全问题。影}}向资源的主要 囚索有:①资源的允沛性;②资源配置的介理性。z.z网络信息安全管理的组织对策
网络信息安全工作中的组织管理主要有:信息安全风 险制度的建立、安全策略的制订、行为的规范、监督管理的 执行等方而。
(1)信息安全风险制度的建立。制定网络建设方案、}J L房管理制度、安全保密规定、日令管理制度、网络安全指 南、用户上网使用手)J)J-、系统操作规程、应急}}向应方案、安 全防护记录等,系列的信息安全制度是保证网络信息的 核心部门高安全、高叫,o::地运作的前提条件。
①风险管理的责任机制。在信息安全风险管理工作 中,要切实执行.‘把手.‘责任制,各级领导要对信息安全 风险有全而而深刻的认识,在思想上子以高度重视,将对 信息安全风险管理工作的认识提高到关乎国家金融稳定、经济健康发展的高度,坚持局部服从全局的信息安全风险 管理原则,将信息安全风险管理工作放在重要地位,有效
推进,介理分工。信息安全风险管理工作要层层落实职责和分工,切实执行信息安全风险管理措施,保证信息安全
风险管理工作有条小紊地开展。同时也必须认清,信息安 全风险管理工作小是墩而就的,必须长期坚持小懈地子 以贯彻;②)从险管理的预防机制。重视事前管理,抓好风 险的预防工作是信息安全风险控制预防机制的核心内容。要想实现有效的风险预防,就要对关键信息系统所涉及的 各个环节和部分进行严格的风险检查和准确的风险评估。检查和评估工作必须定期进行,叫以采取内部检查评估与 外部检查评估相结介的方式。外部检查评估叫以是小同 部门或小同行业之间的相匀_检查评估,也叫以通过采购第 二方的专业评估的方式进行,切实保证检查和评估的有效 }h}和准确性。检查和评估应有介规的流程管理,注重检查 和评估结果,确保检查和评估工作并非流于形式;③风险 管理的通报机制。实施信息安全的风险管理通报机制,能 够有效地减少同类风险的丙次发生,是事前管控,防范风 险的有效手段。山于我国目前信息化建设的水平较国外 有定差距,采用的产品和技术都比较集中。囚而在处 出现过的事件,很有叫能在其他行业也存在类似的隐患。风险管理的通报机制,有助于尚末出现问题的行业,共同 总结经验教训,及时认识风险隐患,尽早发现类似风险,快 速采取有针对性的事前防范措施;①风险管理的应急机 制。我国信息化建设己经达到了网络全而覆盖、应用群组 众多,数据高度集中的阶段,数据中心规模急速增长。数 据中心规模越大,)从险也就越集中,信息安全事件所产生 的危害也就越大。有效的应急机制是降低和化解此类风 险的必备手段。针对关键的应用系统群组,乃至针对整个 数据中心的突发事件必须具有叫操作性很强的应急方案,并I I_还要有成熟的应急反应体系,能在事件发生之时,介 理决策、落实执行应急方案,刁一能保障在最短的时间内恢 复信息安全运行,减少损失,降低事件给国家金融和经济 稳定所造成的危害。
(2)信息安全的管理构建策略。即对安全区域访问规
则的止式陈述,任T.」获准访问安全Ix_域的技术和信息管理 的人员,都必须遵守这些规则。安全策略从宏观的角度反 映企业整体的安全思想和观念,是制定具体策略规划的基 础;安全策略对于组织的网络信息安全建设起着举足轻重 的作用,所有信息安全建设的后续工作都是围绕安全策略 展开的。同时,随着网络拓扑结构、网络应用以及网络安 全技术的小断发展,安全策略的制订和实施应是个动态 的延续过程。
信息安全风险管理策略,应在信息安全风险管理原则 的指导下制定。风险管理策略应重点关注涉及信息技术 风险的所有组织和人员、所有设备和设施、所有流程和环 节。针对小同信息安全领域、小同业务、小同系统、小同要 求,具体的风险管理策略也小尽相同,管理策略涉及以下 方而:①风险评估和预警策略:使用科学的分析方法、定期 对小同重要级别的系统进行小同频度的风险评估工作,通 过定量和定性的评估方法,揭示出风险的来源、)从险的大
小;②风险规避策略:针对定性或者定量评估的结果,进行有针对性的整改,通过降低风险发生的叫能性和降低风险
发生后的影}}向等手段,努力在风险发生前规避风险或降低 风险大小,并对整改成果进行丙评估;③风险应急管理策 略:针对残留风险评估结果,尤其是其中的重点风险,制定 有针对性的应急预案,通过有效的应急处置,争取在风险 事件发生后,快速地恢复生产运行,控制风险的影}}向范围 和影}}向程度;①风险审计管理策略:IT审计的口标是通过 对所有IT规划、建设、应用、服务、安全等全方位的审计,充分识别与评估残余IT风险,进步完善风险控制措施,实现IT系统的uJ用性、安全性、完整性、有效性,最终达到 强化信息安全风险管理内部控制的口的;③内部)从险管理 策略:包括信息安全风险管理的组织架构及职能、岗位及 职责、密码和授权、发布和保密、系统开发和维护、变史实 施和审核、操作和流程、设施和环境、信息资产、人员、问题 和事件、访问控制、备份和冗余、应急处置,业务连续性等 方而的系列的规章和规范;⑥外部风险管理策略:通过
详细的客户使用手)JJ)J-,控制客户端风险,保证业务的交付,通过有效的第三方技术方案和系统接日管理办法等控制 来源于第三方合作伙伴的信息技术风险。
(3)信息安全的监督管理。监督是个管理控制的过
程,是对各项活动的监视,从而保证各项行动按计划进行,并且能够纠正执行过程中各种显著偏差,是组织和个人顺 利达到口标小叫缺少的囚索。对信息安全重要相关的操 作实行合理的监督,确保关键操作的正确性,叫以降低信 息安全问题的发生率。而且,信息安全的监督对杜绝违 规、违章操作,发现网络信息系统隐患,及时整改,督促组 织建立健全各项安全规章制度,落实各项信息安全防范措 施具有重大作用:①信息系统投产上线管理操作规范,基 本内容应该包括投产前的验收、投产前的风险收益评估、投产前的试运行、投产的环境准备、人员准备、制度准备、投产的审批、投产正式上线和投产后评价等;②信息系统 管理维护操作规范,基本内容应该包括系统管理维护受 理、系统管理维护会诊、系统管理维护方案审批、系统管理 维护方案实验、系统管理维护方案实施记录和报告、系统
管理维护结果检测和评价等;③信息系统变史管理操作规范,基本内容应该包括系统变更发起、制定系统变更方案、审核和批准系统变更方案、系统变更方案实施、变更实施 失败回退处理、变更成功结果发布、变更过程后检查和评 价等;①信息系统访问控制管理操作规范,基本内容应该 包括:访问控制对象的设置和管理、访问控制规则的设置、谁叫以访问和访问的深度和广度、谁有权利批准访问以及 超范围的访问、访问时应遵守的程序、访问的记录、访问的 监督以及后续的检查;③信息系统运营环境管理操作规 范,基本内容应该包括:环境的配置标准及验收、环境的监 控管理、环境变化的应急管理、出入环境的人员管理和环 境软硬件设备的管理;⑥信息系统业务连续性管理操作规 范,基本内容应该包括:业务连续性(含备份、应急)计划、业务影}}向分析、应急预案和应急演练、备份和灾备中心管 理等;⑦信息系统运营服务外包管理操作规范,基本内容 应该包括:外包服务商的资质及资质审定、外包服务商的 招标、中标外包服务商的协议条款规定及协议签订、内部 人员配介外包服务商的有关要求、对外包服务商进行外包 服务时的监督、对外包服务商经营状况的监督等。3结束语
网络信息系统是个非常复杂人一机系统,影}}向囚索 众多,本文结介组织理论,利用组织囚索的观点详细分析 了影}}向网络信息的安全管理方而的组织囚索,并据此提出 了具体的组织管理对策,以解决网络信息安全的威胁,对 于进步提高网络信息安全的管理应用水平具有定借 鉴意义。参考文献: 厂i一 厂3一
姜婷婷.浅谈我国网络信息妥全保险的开发[}7.情报理论与实践.2oosc}>.冯登国.国内外信息妥全研兄现状及其发展趋势[}7.专家论坛.2oomo.刘春年.高家望.信息妥全产业与保险业互动双赢的可能性分析 「Jes.图书情报知识.2oo2m(责任编辑:王钊)
从《春天里》事件看著作权的合理使用“如果有一天 我老无所依 请把我留在 在那时光里 如果有一天 我悄然离去 请把我埋在 这春天里”。还记得这是选修课第一节课老师给我们......
案例分析测试题一、某画家创作了一幅美术作品,画家将美术作品原件出售给了某甲。请回答下列问题:(1)这幅美术作品的著作权属于画家还是属于某甲?答:该幅美术作品的著作权属于画家,......
中美知识产权谈判纪实2010-02-01 来源:书摘 (转载请注明出处) 作者:吴海民 查看评论 进入光明网BBS 手机看新闻关税与贸易总协定乌拉圭回合谈判,第一次把知识产权列为主题之一。......
知识产权经典案例:百事侵犯小企业商标权被告倒百事可乐侵犯小企业商标权被告倒播放背景音乐也要付费保护知识产权还有很长的路要走今天是世界知识产权日,自2001年4月26日被定......
第九章1、什么是技术技术是指制造一种产品或提供一项服务的系统的知识2、特征(1)无形性(2)系统性(3)商品属性3、技术和技术差距、技术转让、技术转移、技术扩散概念的差别A、技术......
