信息安全建设工作思路探讨

摘要：随着互联网+飞速发展，电子业务的不断创新发展，加强信息安全建设逐渐成为各项工作中的头等大事。本文重点分析了目前信息安全建设方面存在的不足和缺失，以及下阶段如何开展工作不断强化人员安全意识，加强信息安全建设工作，以保障信息化建设安全运行，各项工作顺利开展，顺应时代的大步伐跨越式发展。

关键词：信息安全；信息科技风险；管理体系

1信息安全建设现状

现行制度方面，现行有效制度涵盖软件开发、软硬件运维、应急管理、安全操作、外包管理、供应商管理等方面，覆盖面较为全面，但是缺乏体系，没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面，目前采取信息处内部逐级上报机制，即发现问题上报至科长，科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面，现阶段只针对现行制度对文档的完整性和准确性进行事后自评，定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面，根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面，对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估，每半年上报一次信息科技风险报告，并制定相应的整改计划。

2信息安全建设存在的问题

2．1管理制度建立不完善

目前，在信息科技风险的上报机制、自评机制和监控机制都存在着不同程度上有所缺失，例如尚未建立双向上报机制;自评范围不全面，缺少对数据资产、人员资产、软件资产等的覆盖;缺少残余信息科技风险的控制缓释措施及评价流程。同时，现有信息科技风险管理制度的完整性、可操作性需要进一步改进。

2．2信息安全意识不强

职工信息安全意识较为缺乏，没能把信息安全意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中，没能真正意识到加强信息安全的重要程度。

3信息安全建设工作思路

随着互联网+迅猛发展，加强信息安全建设日益重要，我认为应从加强安全审计、建立风险上报机制、强化信息安全管理、科技信息风险防范等四个方面不断加强信息安全建设工作:

3．1分析差距，完善内审监控管理体系

按照信息安全管理体系ISO27001标准梳理现状，认真分析研究，查找存在的差距，制定信息安全内控操作规程，针对软件开发、软件运维、硬件管理各项工作中具体内控操作流程制定信息安全审计依据。可联合相关处室，定期组织信息安全内部审计，建立事前预警、事后考评的整套内审监控管理体系，对潜在的信息风险进行有效控制。

3．2安全防控，建立风险上报长效机制

依据CIA属性对现有信息资产按照实物资产、人员资产、数据资产、软件资产、服务资产进行分类赋值，识别信息资产面临的威胁与弱点，推导出信息资产面临的安全风险，提出相应的安全措施并制定整改计划。另外，建立风险点上报机制，各个分管机构风险管理员负责收集存在的风险点隐患并及时上报信息处、风险处，由信息处汇总风险点，双向上报给风险处及相关领导，针对风险点中提出的问题及时跟进，并协调相关处室进行有效处理。

3．3强化意识，紧抓信息安全管理

针对目前职工信息安全意识较为薄弱的现状，一是借助官方网站、微博、月刊、简报等宣传载体，开展形式多样的信息安全的宣传教育活动，让每名干部职工时刻紧绷信息安全这根弦;二是邀请专家定期组织信息安全培训，普及安全应用技术，强化全员的安全责任和意识。三是结合各部门信息安全工作实际，就一段时期内容易产生的安全问题组织不定期的安全技术人员专题讲座，提高信息网络安全管理人员的能力。

3．4抓好关键，确保信息安全工作无死角

一是抓好关键部位的安全。按照影响的重要程度划分，重点加强对互联网和未来电子业务的安全监控，并定期进行安全扫描和测评，保证关键设备关键系统的安全运行。二是抓好关键时间的安全。针对管理现状，我建议增加对值班人员的监督管理，加强对交接班以及节假日关键时间节点的安全监控;三是抓好关键岗位人员的安全。对新职工和重点岗位的人员要重点监管，加强培训和教育，时刻关注关键人员的思想动态，以便及时采取安全防范措施。

作者:许璐 单位:天津市住房公积金管理中心