首页资料文库正文

信息安全管理论文十篇

时间：2023-03-25 08:23:21

信息安全管理论文

信息安全管理论文篇1

通过对航空公司组织机构及职责的调研与梳理，得到航空公司安全信息管理的六大流程。

1.1航空公司安全信息的获取

航空公司安全信息管理工作始于安全信息的获取。航空公司航安部负责获取与收集各类与其运行有关的内部、外部安全信息和数据。航空公司内部安全信息有强制信息与自愿信息两类。强制信息是公司规定员工必须上报的各类安全信息。自愿信息则是员工自发上报或举报的信息。外部信息则主要是来自于外部各类相关民航安全的法律法规及信息。

1.2航空公司安全信息的预处理

航空公司航安部获得安全信息后，通过对各类信息的筛选、判断，最终选择有价值的信息对其进行编码、分类，即安全信息的预处理。该环节为航空公司安全信息后续处理提供基础数据。

1.3航空公司安全信息的传输

经过预处理的安全信息，航空公司将根据各类信息的重要性及其使用方式，通过计算机网络系统、宣传媒体（广播、电视、板报等）、媒介形式（报表、通知、文件、通报）、安全例会等不同形式传递安全信息。其中，运行类信息，传递给值班经理室；服务类信息，传递给服务发展部；空防类信息，传递给保卫部。

1.4航空公司安全信息的处理

安全信息的处理是航空公司安全信息管理流程的核心环节。通过该环节，航空公司各职能部门制定相应的安全事件管理措施，进而提高运行安全水平。对于各类强制报告信息，航空公司将根据信息类别启动事件调查程序。对事件原因、经过、设施设备、责任人等进行严密调查，得出事件结论交由职能部门评估。若评估不符合要求，则重新由责任部门获取信息，进行事故调查，直至结论符合要求。随后由接收到信息的部门进行最终审核。对于自愿报告信息，将判断信息的清晰性与完整性，审核后进行统计。

1.5航空公司安全信息的存储

航空公司安全信息的存储对于整个安全信息管理工作至关重要，它是安全信息管理分析和运行的基础和保障。该流程从安全信息管理的第一个环节便开始进行，航安部获取到安全信息后对各类信息进行存储和归档。由于安全信息的类型和形态的多样化，航空公司安全信息的存储形式也各不相同，其主要存储形式有数据类、文字类、图像类、音频类、视频类；同时由于安全信息的价值随着时间推移会发生变化，对于已经失效的信息，还将进行归档及作废处理，以免引起后期的错误使用。

1.6航空公司安全信息的反馈

航空公司安全信息管理过程由最后一个反馈环节构成一个闭环系统。航空公司利用反馈不停地去调节、修正原有的安全信息管理流程，进而完善其安全管理工作。航安部在经过上述五个环节的安全信息处理后，会将最终的安全信息处理意见反馈给相关部门：①外部信息反馈。航空公司将外部信息如规章、要求等进行分析处理，并将有关指标和要求反馈各部门。②内部安全信息反馈。航空公司通过对安全信息的分析和处理，将安全数据和态势传递给各部门及一线人员，进而提高一线安全运行水平。

2航空公司安全信息管理核心业务仿真系统设计

通过对航空公司安全信息管理流程的分析和梳理，其仿真系统主要实现两大业务功能与模块：安全信息展示平台和安全保证运行平台。安全保障运行平台主要包括各类安全信息的上报、处理、反馈及各类安全信息的统计分析、调查；安全信息展示平台主要包括内部和外部各类安全信息的、传递、展示功能。

3结束语

信息安全管理论文篇2

(一)计算机软件故障

计算机对数字化档案数据进行一定的处理，要依靠于计算机操作系统及信息数据处理的相关软件，数字化档案信息数据的完整性及安全性与计算机软件的性能有着直接的关系，随着数字化档案信息系统的不断完善，对计算机软件的要求也在不断的提高，所以，计算机软件的性能无法满足现阶段数字化档案信息系统的要求，在计算机软件使用的过程中也无法保证相关软件性能的稳定性。虽然计算机软件故障直接影响数字化档案信息系统的操作，但是与计算机硬件故障相比较，其发生故障的几率较小。

(二)数字化档案的信息安全管理策略

数字化档案工作是不同于一般的档案，数字化档案工作者应具备的专业的管理知识，也要熟悉计算机信息网络安全技术。然而，普通的数字化档案工作人员要么只了解档案管理知识，但是这些工作人员不了解网络安全对数字化档案管理的重要性，在工作中不重视安全管理，导致数字化档案信息数据出现泄漏或者损坏等问题。据相关机构通过调查得知，在数字化档案信息安全管理中，出现安全问题原因大多数源于档案管理内部泄密，根本原因就是档案管理工作人员不注重安全问题。

(三)管理制度缺失带来的风险

在我国，数值化档案建设工作刚刚起步，不同于以往的数字化档案管理机制，国家没有颁布相关的法律法规来规范和调整数字化档案信息管理。几乎所有的数字档案管理工作的法人，国家机构和社会组织因为没有法律保护承担着更大的数字化档案信息管理的安全风险，在我国现阶段，当前的计算机和数字化档案相关的法律法规不能满足现代数字化档案信息安全管理方的需求。一旦黑客或者恶意攻击都会对数字化档案相关数据存在一定的安全隐患，法律规范难以发挥有效的作用，且相关案件的证据是很难获得的，即使是依靠政府相关部门的帮助，也无法有效的实现。同时，发生类似案件后，往往会对国家的先关组织机构甚至国家造成严重的损害，而侵权人往往逍遥法外。

二、数字化档案的信息安全管理策略

针对数字化档案信息安全管理不仅要选择一个可靠的硬件设备，采用先进科学技术对数字化档案进行保护，更要对数字档案信息安全进行全方位的管理，只有这样，才能有效地解决数字化档案信息安全存在的相关问题，提高数字化档案信息的完善性及安全性。以下就现阶段数字化档案信息安全存在的问题所提出相关的解决措施：

(一)硬件设备安全管理

据调查了解计算机硬件发生故障率是非常频繁的，对数字化档案信息安全给管理有着至关重要的影响，在数字化档案信息安全管理中的首要任务是科学的选择和管理的计算机的硬件设备。应根据数字化档案信息系统的实际情况选择性能良好的的计算机硬件和软件。在选择计算机硬件和软件的过程中应注重计算机的品牌和服务器，全面对计算机硬件的兼容性和可扩展性进行一定的审核，这样做的目的是为了避免当计算机系统在升级时数字化档案信息的相关数据丢失。

(二)信息技术安全管理

依靠数字化档案信息安全管理人员在强度安全管理是不够的，还需要现阶段科学信息技术援助。为了保证数字化档案信息数据的安全，在数字化档案信息安全管理工作中可以运用一些先进的科学信息技术来提高数字化档案信息安全。例如，可以设置信息的访问认证，防病毒系统，同时也对数字化档案信息相关机密数据进行加密操作，以数据加密的形式，可以有效地防止数字化档案信息数据被一些木马病毒和被非法网站入侵，进行安全管理对保护数字化档案信息安全是非常有效的。

(三)提高管理人员的安全意识

相关的工作人员利用电子设施在网络环境中开展对应的相关工作，对相关的数字档案实现有效地管理，也就是个相关人员自身的能力大小对相关的数字档案工作的安全性有着比较大的影响。这就要求在具体的工作中，相关的数字档案管理人员要熟悉管理方面的相关专业理论，还要在具体的工作中树立其较强的管理安全意识，不断充实自己，提高数字化档案安全管理的实践工作技能。在工作中如果发生外部入侵的行为，相关的工作人员要及时的采取相应措施进行解决，以此有效地维护数据信息的安全；一旦是在工作中内部成员想要泄露档案信息，相关的管理人员就要切实提高警惕，有效的增强风险思想，确保信息在实际的工作中受到严密的保存；与此同时，有关的组织机构还要组织针对性的人员培训活动，有效地提高相关管理人员的安全理念，以此达到万无一失。

(四)完善信息安全管理制度

要维护数字信息的安全，不仅要依靠技术手段，除此之外，还要做好对信息的管理工作，通过制定一系列的严密并且合理的管理规范与措施，从而保证数字信息的完整。真实和可靠。要充分保证数字化档案信息的安全，就需要通过制定一系列的规章制度来进行规范。第一，就是要建立人员安全的管理制度，主要包括有岗位安全考核制度、安全审查制度、安全培训制度等；第二是建立文档的管理制度，按照一定的密级对易经存储的数字信息进行分类，对于机密新信息和敏感信息需要进行加密并且脱机存储在安全的地方，以防信息被窃听、毁坏或者变更；三是建立起系统运行安全环境安全管理制度，主要包括有环境条件保障管理、防护设施管理、自然灾害防护、电磁波与磁场防护、机房出入控制等；第四是建立应用系统运营安全管理制度主要包括有，操作权限管理、操作责任管理、安全管理、操作规范管理、操作监督管理、应用备份管理、操作恢复管理、应用软件维护安全管理等。运用技术措施，防止文件被认为的进行修改，保证电子文件的可靠性与凭证性。

三、结束语

信息安全管理论文篇3

1.目标加强信息数据安全管理，实现数据信息的安全共享与交流，为公司的生产、经营、管理提供数据参考和技术支撑，保障办公自动化、营销、调度、财务等信息管理系统的持续稳定运行，在本地或异地实现对数据安全存储及整个系统的灾难恢复。

2.专业管理的范围数据管理是利用计算机软、硬件技术对数据进行有效的收集、存储、处理和应用的过程。将专业管理的范围分成四大部分：网络数据管理、服务器数据管理、终端设备数据管理和人员管理，涉及公司客户服务中心、安全运检部、财务资产部等各专业部门和单位。针对每一部分的特点制定相应的管理方案，保证数据的独立性、可靠性、安全性与完整性，减少了数据冗余，提高数据共享程度及数据管理效率，使信息数据安全管理覆盖整个信息网络。

二、信息数据安全管理实施过程

1.信息数据管理为了保障信息数据的安全，信息中心根据网络实际运行情况对防火墙及交换机进行安全配置，添加防火墙访问策略及交换机访问控制列表，对外部用户访问进行限制，只允许访问指定服务器，防止来自外部的黑客攻击；对局域网划分网段，配置访问权限，保证局域网内部传输安全。利用终端安全控制软件对局域网内所有联网终端进行统一管理，监控终端机器运行状况，禁止用户私自对终端硬件及系统设置进行修改，锁定终端机器光驱，软驱，移动存储介质等数据交换设备，终端USB端口只识别公司专用U盘及打印机，并对终端数据的流入流出进行安全审计，保存记录，保障公司信息数据的流出、流入安全。

2.服务器运行管理信息机房值班人员每天定时对机房进行巡视，查看服务器机房温湿度及空调、UPS电源运行状态，确保服务器运行环境稳定。检测服务器软、硬件运行状态，并填写机房巡视记录，保证信息服务器稳定运行。执行“切换冗余服务器”运行管理，重要信息系统服务器运行实现双机热备，其它信息系统进行双机互备，如果一台服务器运行出现故障，需要较长时间修复，则立即启动备用服务器，恢复信息系统运行，保证服务器稳定高效运行。

3.数据存储备份管理根据公司实际将重要信息数据划分为公司级重要数据和个人重要数据，并对规定的计算机专责人（兼职）进行权限的设置，公司级重要数据备份后存入指定备份文件夹，个人重要数据由个人整理后转存至备份服务器中个人备份空间。计算机专责人（兼职）按规定的备份周期，利用自动备份软件对所管理信息系统进行本机数据备份。农电营销系统数据每月十八日进行上一月数据的完整备份，电费收取计算时，每日进行备份；其它信息系统每周一进行上一周数据的备份。信息系统管理员将本机数据进行可用性检查，确认数据无误，将数据刻录成DVD数据盘并备份至本地备份服务器进行存放，确保数据存放安全。重要数据存储备份采取“数据异地多点存储”，与潍坊市领近县公司建立互备关系，并在服务器中实施了相关安全策略和设置对应访问权限，签订了数据互备安全协议，保证数据在异地的安全，确保在本地发生重大灾难时，能够有效的恢复系统数据。

4.移动存储设备管理信息中心利用移动存储认证管理软件，将唯一代码写入移动存储设备内进行认证，认证后只能在公司许可机器中识别读取。人员调离工作岗位需要交回移动存储介质，信息中心在收回认证移动存储设备后，确认数据不再需要，将移动存储设备信息进行集中销毁，保证数据不会流出。

5.数据恢复管理信息数据管理员将数据拷贝至服务器相应文件夹内，进行信息数据的恢复操作。进行数据恢复操作以后，登陆信息系统查看数据恢复情况，进行数据恢复测试，测试恢复的数据是否完整可靠，确保信息系统恢复正常运行。

三、效益分析

1.经济效益当前电力企业的财务、人事、生产等信息都已实现了电子化，所有的业务数据都存放于服务器中，随时读取，随时更新，大大减少了数据查询和存储的时间，不仅节省了人力、物力，而且大大提高了生产率。但随着信息化的迅速发展和信息技术运用的深入、普及，信息数据安全管理变得日益重要，其存储的安全性越来越令人担忧。重要信息数据一旦丢失，将为企业带来不可估量的损失。加强信息数据安全管理，可为企业信息化建设和各项工作的持续开展保驾护航。

2.管理效益信息数据的安全管理保证了管理信息系统的稳定运行，使我公司各级管理人员能够在日常工作中方便、快捷的查询业务数据，切实做到了日常工作的网络化、实用化、效率化，管理者借助于现代计算机技术的优势，可快速查阅准确、完整的各类数据的统计分析，提高了工作效率，显著增强了企业办公与服务水准，促进了企业现代化建设管理的进程。

四、结论

信息安全管理论文篇4

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

图一信息安全风险管理模型

既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

b)分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。

信息安全管理论文篇5

医院信息系统的常态运行和医疗数据资源的保存、利用与开发对医院发展起着非常重要的作用．因此作为信息系统的“神经中枢”及数据存储中心的机房标准设计就显得尤为重要。如何使中心机房内的设备安全有效地运行，如何保证数据及时有效地满足医院应用，很重要的一个环节就是计算机机房建设。中心机房的安全应注意计算机机房的场地环境、计算机设备及场地的防雷、防火和机房用电安全技术的要求等问题。机房安全是整个计算机系统安全的前提，所以在新建、改建和扩建的计算机机房，在具体施工建设中都有许多技术问题要解决，从计算机系统自身存在的问题、环境导致的安全问题和人为的错误操作及各种计算机犯罪导致的安全问题入手，规范机房管理，机房安全是可以得到保障的。

2服务器及服务器操作系统安全

随着医院业务对IT系统的依赖不断增大，用户对于医院系统的可用性要求也不断上升。一旦某一台服务器由于软件、硬件或人为原因发生问题时，系统必须维持正常运行。因此，应采用双机热备份的方式实现系统集群，提高系统可用性。服务器以主从或互备方式工作，通过心跳线侦查另一台服务器的工作情况，一旦某台机器发生故障，另外一台立即自动接管，

变成工作主机，平时某台机器需要重启时，管理员可以在节点间任意切换，整个过程只要几秒钟，将系统中断的影响降到最低。此外，还可以采用第三台服务器做集群的备份服务器。在制度上，建立服务器管理制度及防护措施，如：安全审计、入侵检测（IDS）、防病毒、定期检查运行情况、定期重启等。

3网络安全

恶意攻击是医院计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁，每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络安全防范，因此防范人为的恶意攻击将是医院网络安全工作的重点。

医院网络信息安全是一个整体的问题，系统网络所产生数据是医院赖以生存的宝贵财富，一旦数据丢失或出现其他问题，都会给医院建设带来不可估量巨大的损失。所以必须高度重视，必须要从管理与技术相结合的高度，制定与时俱进的整体管理策略，并切实认真地实施这些策略，才能达到提高网络信息系统安全性的目的。

4数据库安全

在医院信息系统的后台，数据信息是整个系统的灵魂，其安全性至关重要，而数据库管理系统是保证数据能有效保存、查询、分析等的基础；数据被安全存储、合法地访问数据库以及跟踪监视数据库，都必须具有数据有效访问权限，所以应该实现：数据库管理系统提供的用户名、口令识别，试图、使用权限控制、审计、数据加密等管理措施；数据库权限的划分清晰，如登录权限、资源管理权限和数据库管理权限；数据表的建立、数据查询、存储过程的执行等的权限必须清晰；建立用户审计，记录每次操作的用户的详细情况；建立系统审计，记录系统级命令和数据库服务器本身的使用情况。

医院如何开展信息安全工作，应该本着从实际出发的精神，先进行风险评估，研究信息系统存在的漏洞缺陷、面临的风险与威胁，对于可能发现的漏洞、风险，制定相应的策略:首先在技术上，确定操作系统类型、安全级别，以选择合适的安全的服务器系统和相关的安全硬件；再确定适当的网络系统，从安全角度予以验证；选择合适的应用系统，特别要强调应用系统的身份认证与授权。在行为上，对网络行为、各种操作进行实时的监控，对各种行为规范进行分类管理，规定行为规范的范围和期限，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法，限制一些不安全的行为。在管理上，制定各项安全制度，并定期检查、督促落实；确定医院的安全领导小组，合理分配职责，做到责任到人。

当然，还要意识到信息安全工作的开展有可能会影响到系统使用的方便性，毕竟，安全和方便是矛盾的统一体，要安全就不会很方便，相关工作效率必定降低，要方便则安全得不到保证，因此必须权衡估量。

参考文献：

[1]王淑容，刘平.医院管理信息系统的设计与实现.四川轻化工学院学报.2002.

[2]上海市医院计算机信息网络系统安全策略.上海市卫生局信息中心.2003.

信息安全管理论文篇6

一、税务信息化建设安全的重要性

税务信息化有利于提高宏观决策的科学性和宏观调控的效率。涉税信息是进行制定税收政策、实施宏观调控的依据，是否拥有足够的信息是宏观决策与调控能否成功的前提。税务信息化的发展将改变税务信息生产方式，提高税务信息的生产效率和精确程度，这样，一方面能为税收政策的制订提供更为充足的信息，另一方面能改善宏观调控中的传导机制，并实现调控效果的及时反馈。

通过信息化的安全建设，使得增值税复杂的管理性和操作性要求得到支撑，使得增值税税制和以增值税为主体的整个新税制在中国运行良好。此外，通过信息化的安全建设，有效实现了上级对下级的监控，制约了自由裁量权，一方面执法水平提高、各项税收政策更加落实，另一方面税务系统内部上级行政管理的要求更加落实。

二、当前，我国税务信息化建设存在的安全隐患

随着我国税收信息化的迅速发展，信息安全问题变得日益严峻。从税务部门来看，些税务局没有备用服务器，外部备份设备少，一旦出现故障，很容易造成网络瘫痪或数据丢失。随着局域网、广域网、INTERNET的大范围应用，数据的接收、传送很容易传染计算机病毒。

（一）部分税务人员信息安全意识不强

随着税务信息化进程的不断加快和电脑技术、电脑知识技能的日渐普遍，广大税务人员逐渐认识到了信息化的重要性，但是由于传统观念、手工操作习惯等方面的束缚，不少税务人员对税务信息的安全意识还比较弱，缺乏全面、深刻的领悟能力。突出表现在：他们不了解信息技术对整个社会经济所带来的冲击，看不到税务信息建设的安全重要性，认为税务信息的安全与他们无关，甚至有透露里面重要信息的人员，以为仅仅是一些数据无关紧要。由于对税务信息安全建设的认识能力不够，存在着诸多的误区，也就直接导致拉在实际的工作中，税务信息安全建设问题频频出现“人为”的漏洞。

（二）计算机中出现的各种硬件问题，为黑客等网络侵入提供了可乘之机

从税务部门来看，有些税务局没有备用服务器，外部备份设备少，一旦出现故障，很容易造成网络瘫痪或数据丢失；随着局域网、广域网、取TERNET的大范围应用，数据的接收、传送很容易感染计算机病毒，防火墙可能被破解，有些密码机制不够安全等。诸如这些对计算机的外部、内部保护不够力度，会直接导致网络黑客们利用这些电脑漏洞来作案。

（三）操作人员、专业技术人员的技能有限

要使税收管理电子化的开发运用在实际工作中取得实效，要使得税务信息的管理能安全有效地运行，就需要高素质的计算机管理和技术人才，必须对税务管理的过程有一个较全面的了解，至少能够站在一个地区的税收总体工作要求和经济发展要求的角度，就需要对税收工作和税收管理电子化的开发及发展趋势有一个相对超前的认识，对税务信息安全的重要性有个全新的认识。但是，当前我国信息技术队伍和管理队伍的建设与信息化发展的要求不同步，管理队伍不健全，职能不明确，缺乏符合市场机制的足够的激励机制。对于配备完善的税务安全信息产品，由于操作人员、技术人员的技能有限，不能完全认识、运用这些安全信息产品，不能针对出现的问题及时解决。

三、完善我国税务信息化建设的整合化策略

如何成功处理信息安全问题，使国家税务系统在充分利用信息技术的同时，保障系统的安全，对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。

（一）做好“四防”，构建信息安全保障体系

注重“人防”。要提高全体税务工作人员信息安全意识和能力，构建牢固的信息安全内部防范基础。落实“制度防范”。加强制度和标准规范的建设，规范信息安全防护工作。“提高技术防范的能力”，合理地运动信息安全技术手段，合理地运用当前高新技术，提高信息安全全方位防御能力。保障“物防”，保障信息安全工作中设备、资金的投入，确保经费到位，设备到位、后勤保障到位。

（二）加强对电子商务的税收管理

电子商务是指交易双方以国际互联网为媒介而进行的商品和劳务交易。电子商务具有全球性、流动性、隐蔽性、数字化的特点。交易不涉及现金，无需具收支凭证，以电子流代替了实物流，传统的实物交易和服务被转换成数据，在互联网上传输和交易，大量减少人力、物力，降低成本。但是也对税务信息化的建设提出了更高的要求。为此，我们可以通过修改现有的法律法规、制定新法律法规，将有关电子商务的一些特定内容，纳入法律法规的规范范围；建立专门的电子商务税务登记制度；加快税收部门自身的网络建设，尽早实现与国际互联网、网上用户、银行、海关等相关部门的连接；利用电子商务提高为纳税人服务的质量等几个方面加强对电子商务的税务管理。

（三）建立计算机技术的网络安全体系

解铃还须系铃人，计算机中出现的各种漏洞给了网络黑客们可乘之机，税务部门应建立各级技术层次的安全体系。一般税务信息系统所采用的安全架构模型如图所示。

网路级别的安全体系建构，可以采用数据备份恢复、数据日志、故障处理等对策功能，保护纳税信息的安全，以适应税收征管信息系统安全运行的需要。

系统级别的安全建构可以从计算机技术这方面加强管理，用网络系统、数据库系统和应用系统的安全机制设置，拒绝非法用户进入系统和合法用户的越权操作，避免系统遭到破坏，防止系统数据被窍取和篡改。

物理级别的安全体系建构可以从以下几个方面进行：第一采用具有容错功能的服务器和具有双机热备份技术的硬件设备，出现故障时能够迅速恢复并有适当的应急措施；第二，采用数据备份恢复、数据日志、故障处理等系统故障对策；严格执行并切实做好信息系统的安全工作，选择合适的网络管理软件进行网络管理，健全工作人员的操作规范，采取有效的身份认证、密码验证、访问限制、防火墙等计算机应用技术手段加强内部网络和数据库安全管理，保护纳税信息和办公信息的安全，以适应当前税收信息系统安全、持续稳定运行的需要。

（四）不断加强领导干部及员工队伍的安全与责任意识

第一，领导干部对信息化安全认识的问题。解决了领导的认识问题实际上就从根本上解决了规划和力度的问题。在当今经济全球化、信息化告诉发展、知识经济大爆发的时代，作为税务机关的主要领导干部，要适应经济发展和现代化管理的需要。很显然，原来的知识结构，甚至思维方式已明显不相适应，必须在较短的时间内进行知识更新，转变观念，掌握现代化管理手段，否则就要落伍，甚至给税收事业造成难以挽回的损失。面对迅速变化的形势和繁重艰巨的任务，如果各级领导干部不能适应当前瞬息万变的时代变化，要搞好信息化安全建设是不可能的。第二，加强队伍素质能力的建设。目前整个税务干部队伍的科技素质较低，特别是干部队伍的信息安全意识比较弱，且整体的安全防范水平低下。基于这种情况，要加强多层次的安全知识、技能的培训，提高各级干部队伍及员工队伍对税务信息安全的责任意识，提高他们对信息安全重要性的认识。

信息安全管理论文篇7

各级单位应高度重视档案信息化工作，把档案信息化工作作为事业发展的一项重要指标，在发展基础建设中，应规划如何通过为电子档案管理搭建一个公共的支撑环境和平台，实现对各类档案统一的采集、管理、查询、加载及展现，实现电子档案统一入口、电子资料统一管理、档案流程统一管理等核心功能。电子档案为档案工作人员及用户带来了传递、收集、整理和使用上的便捷和规范，但是也不能回避和忽略档案管理电子化在信息安全领域存在和面临的问题，并有必要对增强其安全性进行探讨和研究，从而采取有针对性的措施杜绝各类危害档案安全事故发生，确保档案资料安全和最大限度的延长档案寿命。

二、目标

（一）信息安全网络结构

信息安全网络结构方面的建设目标，是以安全域划分为基础，使安全域划分成为信息安全建设过程中一个不可忽视的重要环节。良好的安全域划分是安全管理的体现，不仅可以大大提高网络整体安全性，而且可以节省大量的管理成本。

（二）信息安全技术体系

信息安全技术体系方面的建设目标，主要是依据国标《信息安全技术信息系统安全通用技术要求》，以现有的网络环境和技术防护为基础，针对电子档案管理系统所面临的安全风险，从区域边界安全、通信网络安全、计算环境安全、安全管理中心等层面规划相应的安全防护系统，实现必要的安全功能，达到降低安全威胁，控制安全风险的效果。

（三）信息安全管理体系

信息安全管理体系方面的建设目标，主要是依据国标《信息系统安全等级保护基本要求》中的管理要求而设计，实现对通信中心电子档案的决策、管理、运维、服务、监督与保障。

三、电子档案管理安全领域探讨与研究

（一）档案分类

以交通行业某单位电子档案为例，可以存储类型进行分类：由计算机处理，记录信息方式分为文字档案、图形档案、声像档案、数据文件档案。以组织职能进行分类：有党群工作、行政管理、各事业部经营管理、各交通行业管理、基本建设、会计管理类的档案。以数据来源进行分类：有卫星信息管理、公路信息管理、水运信息管理、运输信息管理、职能交通信息管理、航海保障信息管理等。以数据属性特征进行分类：以保密周期为依据，结合各单位的特点，期限划分为永久和定期（定期一般分为30年、10年）。对上述档案根据从存储类型、组织职能、数据来源、数据属性划分后，归入电子档案分类管理，从而形成一套完整的档案体系，在访问电子档案时，对不同类型的档案，提供相应的查询检索，并控制权限。

（二）权限控制

电子档案在分类后，需要根据档案的档案密级划分设定访问权限，其中密级分为绝密、机密、秘密、内部四个级别，绝密级档案禁止调阅；机密级档案只能在电子档案室阅览，不准外借；秘密级档案经审批可以借阅，但借阅时间不得超过4小时；内部级是没有公布于社会的文件，只限于内部有关人员使。秘密级档案的借阅必须主管领导批准。在完成电子档案密级管控基础上，可按管理级别、部门、用户级别设定访问权限。利用通信中心网络环境实时浏览检索到的档案文件、图像、图形等，还可在权限允许范围内下载档案。可将档案部门现有的档案目录管理系统中的数据直接转入新的企业档案管理系统，可在系统中继续管理上传文件，提供借阅、归还、催还等功能。同时日志库自动记录对档案库的所有检索、调档、增加、删除、修改等操作。

（三）信息安全体系

1.物理设施安全。物理设施包含电子档案系统物理设备（网络、服务器、存储等设备）及所在环境的各种基础设施（机房、供电设施等）。

（1）环境安全。机房选择在具有防震、防风和防雨等能力的建筑内，避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。设置避雷装置、交流电源地线、火灾自动消防系统，将重要设备与其他设备隔离开。安装对水敏感的检测仪表或元件，同时采用防静电地板。设置温、湿度自动调节设施。机房出入口安排专人值守，控制、鉴别和记录进入的人员；实行区域管理，在重要区域前设置交付或安装等过渡区域。设置冗余或并行的电力电缆线路为电子档案系统供电，并利用光、电等技术设置机房防盗报警系统。

（2）设备安全。电子档案系统将主要设备放置在机房内，并对主要部件进行固定，设置明显的不易除去的标记；将通信线缆铺设在隐蔽处，铺设在地下或管道中；对介质分类标识，存储在介质库或档案室中。

2.网络结构安全。对电子档案系统进行安全区域划分，保证网络拓扑具备冗余结构，并根据不同功能、重要性和所涉及信息的重要程度等因素划分不同的子网和网管，同时避免将重要网段部署在网络边界处且直接连接外部信息系统。

（1）内外分区。首先实现对电子档案系统的安全区域划分，安全区域的划分应根据网络性质、数据流传输方向、连接性质等因素相结合的方式综合分析、统一规划。

（2）科学分域。在分区的基础上，通过所属安全域、网络性质、服务对象、网络连接类型、数据流向、Internet连接情况、潜在风险级别等方面进行综合分析，对分区进行进一步的分析并细化。

（3）纵深防御。在确定安全区域以后，从安全域边界、安全域内部、多个层面（网络、主机、应用、数据安全、安全管理等）进行信息安全防护，形成纵深防御体系。

（4）认证加密。电子档案系统涉及的业务范围多、范围广，并且用户的网络情况复杂、无法完全掌控，面对众多的接入类型和不可控的用户网络环境，在用户身份认证及数据加密传输两个方面加强安全防护措施，以保证用户身份的可信性和数据传输的私密性。

3.区域边界安全。在电子档案系统网络层进行访问控制需要部署防火墙和Web应用防护（WAF）产品，对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。同时可以和入侵防护系统、入侵检测系统等进行安全联动，为网络创造纵深的安全防御体系。

4.通信网络安全。在电子档案系统网络层进行传输保护需要部署防火墙或VPN等产品，对所有流经网络的数据包按照严格的安全规则进行传输加密。

5.计算环境安全。为提高主机系统层面安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，加固包括身份鉴别、访问控制、安全审计、资源控制等方面。同时部署网页防篡改产品实现了在应用层面对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。

6.安全管理中心。通过对电子档案系统安全管理风险与需求分析，需部署补丁管理系统、综合监管平台、数据库审计系统、安全漏洞扫描系统、网络管理系统、堡垒主机系统、安全接入平台、PKI/CA系统等产品实现系统管理、安全管理和综合审计管理，明确管理员职责和权利，并通过三权分立原则，在各管理员之间形成相互制约关系。

（四）管理手段

企事业单位电子档案的信息安全领域，不但需要体系化分类、基础设施保障和权限的分配，规范明确的管理手段也至关重要。管理手段包括制度、人员、电子档案实物三方面，如下：

1.制度管理

（1）日常管理制度：文件形成部门负责电子文件的形成、承办、运转、收集、登记，确保其真实性、完整性、有效性和安全性，并定期向档案管理部门移交；档案管理部门应对电子文件的形成、收集、积累、鉴定、归档等实行全过程管理与监控，规定电子文件的归档时间、范围、技术环境、相关软件、版本、检测数据等要求。

（2）周期管理制度：为保证电子文件的完整、真实和有效在安全领域达到要求，从电子文件产生时就应按照制度要求，妥善管理，以确保其不散失、不损毁、不失真、不超限传播，达到安全保密要求。

（3）信息保密制度：档案管理人员应严格保密档案人员的个人信息以及其他的档案材料的内容。

2.人员管理

制定人员行为管理规范，确定人员管理范围及职责（如：信息系统工程验收人员管理规范、信息系统运维管理规范、信息系统人员保密协议规范、信息系统外部人员管理规范等）。制定信息系统人员管理流程，从信息系统人员的需求、审查、招聘、离职等方面进行规定；制定信息系统人员监管机制，明确各类人员的管理机构和职责。如：内部员工由谁管理、外部人员由谁管理、人员的职能执行情况如何等；制定信息系统人员考核机制，对职能完成情况进行评定、奖惩；制定信息系统人员培训机制，加强信息系统人员管理水平、保障技能、安全意识教育培训，并形成管理、技能、安全意识考核机制。建立信息系统人员沟通机制，随时与IT信息部门、第三方权威安全机构互动，了解最新的安全态势的安全漏洞。

3.电子档案实物管理

归档电子文件的电子数据及封存载体不应非法拷贝、外借。未经批准任何单位或人员不允许擅自复制电子文件。

四、结束语

信息安全管理论文篇8

随着我国各行业向信息化社会迈进，在全国范围利用计算机网络进行各类犯罪活动的案件每年以30%的速度递增。利用计算机网络进行犯罪的案件，在校园系统中也不断出现。防微杜渐做好计算机信息系统安全至关重要。目前学校内信息系统所面临的威胁基本上可分为两种：一是对系统中的数据信息的威胁；二是对网络中设备的威胁。针对网络安全威胁隐患主要有四个方面：

1.计算机网络病毒的危害。

在危及信息系统安全的诸多因素中，计算机病毒一直排在首要的防范对象之列，日益增加的无孔不入的计算机网络病毒，就对网络计算机安全运行构成了最为常见、最为广泛的每日每时、无处不在的头号威胁。计算机病毒发作轻则在硬盘删除文件、破坏盘上数据、造成系统瘫痪、造成无法估量的直接和间接损失。严重的情况下会影响教学管理，校内信息等难以弥补的延续后果。

2.人为的无意失误。

如操作员安全配置不当，造成的安全漏洞。用户安全意识不强，用户口令选择不慎，用户随意将自己的帐号转借他人或与别人共享等都会对信息系统安全带来威胁。

3.人为的恶意攻击。

这是计算机网络所面临的最大威胁。黑客的攻击和计算机犯罪就属于这一类。这类攻击有两种情况：一种是主动攻击。它以各种方式有选择地破坏重要数据信息的完整；另一种是被动攻击。它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种情况的攻击都会对计算机信息系统造成极大的危害，并导致机密数据的泄露。

4.操作系统及网络软件的漏洞和"后门"。

当前计算机的操作系统和网络软件不可能是百分之百的无缺陷和无漏洞，然而这些漏洞的缺陷恰恰是黑客进行攻击的首选目标，另外，软件的"后门"都是软件公司设计编程人员为了自己方便而设置的，一般不为外人所知，但一旦"后门"洞开，其后果将不堪设想。

二、安全措施

针对学校里使用的各类信息管理系统，要构建完善的校园系统安全体系，网络安全建设主要包括以下几方面内容：应用防病毒技术，建立全面的网络防病毒体系；应用防火墙技术，控制访问权限、实现网络安全集中管理，必要时采用内网与外部网络的物理隔离，根本上杜绝来自internet的黑客入侵；应用入侵检测技术保护主机资源，防止内部输入端口入侵；应用安全漏洞扫描技术主动探测网络安全漏洞，进行定期网络安全评估与安全加固；应用网络安全紧急响应体系，做好日常数据备份、防范紧急突发事件。

1.建立网络防病毒体系。

在校园网络中要做好对计算机病毒的防范工作，首先要在校园系统内部制定严格的安全管理机制，提高网络管理人员和系统管理员的防范意识，使用正版的计算机防毒软件，并经常对计算机杀毒软件进行升级。

2.建立防火墙体系。

防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡来自外部网络的侵入，使内部网络的安全有了很大的提高。

3.建立入侵检测系统。

入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击。其次是因为它能够缩短黑客入侵的时间。在需要保护的主机网段上安装入侵检测系统，可以实时监视各种对主机的访问请求，并及时将信息反馈给控制台，这样全网任何一台主机受到攻击时系统都可以及时发现。网络系统安装网络入侵检测系统后，可以有效的解决来自网络安全多个层面上的非法攻击问题。它的使用既可以避免来自外部网络的恶意攻击，同时也可以加强内部网络的安全管理，保证主机资源不受来自内部网络的安全威胁，防范住了防火墙后面的安全漏洞。

4.建立安全扫描系统。

安全扫描技术是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为,做到防患于未然。

5.建立计算机灾难恢复系统。

灾难恢复系统是为了保障计算机系统和业务在发生灾难的情况下能够迅速地得以恢复而建立的一套完整的系统。它包括备份中心、计算机备份运行系统、可根据需要重置路由的数据通讯线路、电源以及数据备份等。此外灾难恢复系统还应当包括对该系统的测试和对人员的培训，这将有助于参与灾难恢复系统的系统管理员能够更好地对灾难的发生做出合理的响应。

三、结语

信息安全管理论文篇9

随着时代经济的飞速发展，计算机信息管理技术在我国各个领域均有着较为广泛的应用，尤其是网络安全管理中的应用，同时网络信息安全不仅仅对人们的财产权有着一定的影响作用，同时对于人们的生命权也有着一定的影响作用，因此加强网络信息的安全管理,更要对网络信息安全管理体系进行合理化的建立，具体体现如下：

1对网络信息安全管理模型加以建立

计算机信息管理技术在网络安全管理中的应用中，更要对网络信息安全管理模型加以建立，并对全面的计划进行制定，进而做出相对详细的安排，并对高效和高质量的管理模型加以建立，并做好信息的执行和维护工作，加强混合型模型的建立，并对大量的相关资料进行查阅，加强对信息网络安全控制的研究力度。

2做好技术的控制

计算机网络在实际的安全管理过程中，就要做好技术的控制工作，并将网络安全管理的关键技术进行管理，对健全信息的安全系统加以建立，并在对各个方面的因素进行综合性的考虑，加强技术管理人员的培训，做好相关人员专业知识的培训，进而提高技术管理人员对突况的处理能力，在实际的工作中，将责任加以落实，并对系统运行的安全性和合理性加以保证，从根本上使得系统处于一种良性发展的过程。

3将安全防范管理加强

做好计算机信息管理技术在网络安全管理中的应用，就要加强其安全防范管理，将网络安全的管理逐渐扩大，并将其在安全防范体系和机制上进行延伸，进入保证计算机硬件和软件系统有着一定的衔接性，并做好计算机信息安全技术的处理控制工作。

4做好操作中安全系统的防护工作

计算机信息管理技术在网络安全管理中的应用过程中，更要对计算机漏洞进行严格的检查，及时的发现问题和总结问题，对科学的安全运行方案加以建立，并及时的采取相关的补救措施，将其对身份的验证管理加强，从根本上将用户身份验证法规进行完善，最大程度上保证网络中的一些上网口令运行过程有着一定的安全性和可靠性，并将病毒和黑客对系统造成的危害加以避免。总而言之，计算机信息管理技术在网络安全管理中的应用，就要合理的应用计算机信息管理技术，将网络安全管理的关键技术进行管理，并加强系统的安全防范管理，对其技术进行科学化的控制，进而实现信息网络的安全性管理。

二、结语

信息安全管理论文篇10

关键词：信息安全管理；课程建设；激发兴趣

G642.2

一、引言

信息安全是国家安全的基础和关键，信息安全保障能力已成为21世纪综合国力、经济竞争实力和民族生存能力的重要组成部分，尤其在军事领域，信息安全理论与技术的应用，更加广泛而深入。随着信息安全理论与技术的发展，信息安全保障的概念得以提出并得到一致认可，而在信息安全保障的三大要素（人员、技术、管理）中，管理要素的作用和地位越来越得到重视。为适应新时期军事斗争准备的需要，培养适应未来战争需要的高素质复合型信息安全技术人才，我校在信息安全专业开设《信息安全管理》课程。本课程是信息安全专业的专业必修课。

二、课程特点

“信息安全管理”课程与其他课程相比较有很明显的不同，具体说有如下几点：

（1）信息安全管理是随着信息和信息安全的发展而发展起来的，因此该课程涉及到密码学、计算机网络与通信、信息安全技术等多门课程，不存在单一的基础理论来解释信息安全管理各部分的内容及关系，要求学员具有一定的密码学、计算机和信息安全方面的理论知识。

（2）该课程的知识体系与内容既涉及到规范性的标准、法律、法规等内容，又涉及到更新速度较快的新技术。因此本课程要处理好较固定的标准和变化快的新技术之间的关系。

（3）本课程教学注重理论性和实践性相结合。以实践驱动理论学习，以理论学习指导实践。能够拟定简单的信息安全管理解决方案，应用信息安全管理手段构建简单的信息安全管理体系，解决实际安全问题。

三、课程建设目标

针对信息安全专业人才培养需求，结合云计算、大数据、态势感知等新技术的发展趋势，吸收信息安全管理新型案例、科研成果、国家标准等素材，更新优化课程教学内容，修订课程标准。遵循高等教育教育学规律，改革教学方法和手段，使之适应本科教学的规律。分析传统的考核评价机制，改革课程考核方式，激励学员学习的积极性和主动性，力争将本课程建设为校级精品课程。

四、课程建设内容改革与探索

本课程的教学坚持以人为本、以学为主、注重创新意识和综合素质培养的指导思想，坚持将对知识、能力、素质的培养融为一体，将信息安全管理知识学习与实际应用相结合，提高学员获取吸收知识的能力、运用知识的能力，以及实践创新能力。本文主要从教学内容、教学方法、教学实践、考核方式等方面对信息安全管理课程建设内容进行改革与探索。

（1）基于信息安全管理新技术，加强课程内容体系建设

随着云计算、大数据、态势感知等新技术的快速发展，对信息安全管理课程提出了许多新的挑战。本课程教学以信息安全管理基本理论为基础，以信息安全管理体系为内容框架，介绍信息安全管理体系的各项内容及其实施方法，并紧扣学科发展前沿，获取信息安全管理领域的新知识、新信息，将云计算、大数据、网络态势感知等新知识、新技术融入教学内容，不断更新教学内容。

本课程教学按照由浅入深，由总体到部分，从信息安全管理的内涵、作用和地位入手，逐步引入信息安全管理体系的基本概念、构建方法及其实施过程，重点阐述信息安全策略管理、信息安全风险管理、系统安全运维、云计算的安全管理等方面的一般管理方法与技术手段。课程实施过程主要包括：信息安全管理体系、信息安全策略管理、信息安全风险管理、信息系统安全运维和云计算信息安全管理五个单元。

信息安全管理体系单元主要包括：信息安全管理模型；基于ISO/IEC 27000信息安全管理体系的内容框架、构建过程、审核与认证；基于等级保护的信息安全管理体系标准，等级保护控制关键点，等级保护安全支撑平台构建方法，跨级跨系统等级保护方法等内容。

信息安全策略在整个信息安全管理中的占有重要地位。从信息安全领域中发生的事件来看，信息安全策略的核心地位变得越来越明显。信息安全策略管理单元主要包括：信息安全策略管理的内涵、作用与地位；信息安全策略的分类；信息安全策略的规划与设计、管理与实施的基本思想、技术与方法等内容。

风险是信息安全中的基本概念，只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。因此必须深刻地认识到我们所面临的风险，加强对信息系统的风险评估，采取有效的风险管理从而降低、避免、规避风险，为信息系统的安全建设提供支撑。信息安全风险管理单元主要包括：信息安全风险管理内涵及相关基本概念；信息安全风险管理的内容和过程；信息安全风险评估的目的和意义；信息安全风险评估的实施过程、方法与技术；信息安全风险度量的基本原理；信息安全风险控制的基本原理与方法等内容。

随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进，占信息系统生命周期70%-80%的信息安全运维体系的建设已经越来越受到人们的重视。信息安全运维管理单元主要包括：信息安全运维发展历程；信息安全运维定义；信息安全运维体系构建方法；信息安全运维技术等内容。

应对云时代的安全风险，确保数据的安全可靠，规避信息泄露的风险，需遵循信息安全管理体系的基础逻辑，为承载云计算应用的信息系统建立一套完善的云计算信息安全管理体系。云计算信息安全管理单元主要包括：云计算面临的信息安全问题；云计算信息安全管理标准；云计算安全管理方法和模型；云计算风险评估的特点和方式；云计算的风险控制措施；云计算环境的信息安全管理w系构建方法等内容。

（2）采用多模式融合教学模式，逐步改革课堂教学方法与手段

为了贯彻素质教育、创新教育的思想和教为主导、学为主体的思想，《信息安全管理》课程是集理论、技术、工程实践为一体的综合性工科类学科。根据该课程的教学特点，将讲授、案例式、启发式、问题式、任务驱动式、研讨式、微课、微信学习等多种教学模式相结合，形成一种多模式融合的教学方法，充分激发学生学习的积极性和主动性，提高教学质量。

多模式融合教学方法在教学实施过程中分阶段分模式进行，主要分为以下四个阶段：

第一个阶段，启发式和问题式相融合教学阶段。该阶段主要由教员引导学员从需求出发，通过启发式和问题式教学方法，为学员设置问题场景，启发学员找出需要解决的问题，从而使学员明确学习目标，便于后续学习任务的开展。

第二阶段，讲授式和案例式相融合阶段。该阶段教员主要采用讲授式和案例式等教学方法，对课程中存在的各种定义、体系、模型、内涵等知识点进行讲解，由于这些内容具有理论性强、概念抽象等特点，教员在讲授的过程中不仅要准确解释各个基本概念，清晰阐明基本概念的内涵和相互联系。还需结合具体的案例，力求将抽象概念形象化、具体化，以加深学员对信息安全管理基本概念的理解。

第三个阶段，任务驱动式和研讨式相融合教学阶段。该阶段教员结合实际应用部署具体任务，学员以任务为目标，通过分组研讨逐一解决遇到的问题，最终通过完成任务达到主动学习、深刻理解、灵活应用信息安全管理技术和方法的目的。

第四个阶段，微课和微信方式相融合阶段。该阶段教员首先将课程中关键的知识点以微课的形式，录制成小视频。然后以微信的方式建立学习小组微信群，教员可以通过在课前或课后在群中微课视频，布置预习内容，开展群讨论等方式帮助学员进行预习和复习。于此同时，教员还可以通过微信群进行答疑和成果验收。

（3）强化实验教学，进一步完善、丰富实验内容

《信息安全管理》实验教学是巩固信息安全管理基本理论知识、提高学员信息安全技术应用能力、掌握信息安全管理基本方法和手段的有效途径和重要环节，在《信息安全管理》教学中具有重要作用。

实验教学安排遵循“巩固课堂教学知识，突出实践能力培养”的指导思想，坚持技术验证性实验与综合设计性实验相结合的原则。在内容安排上，对原有的实验内容进行适当的调整，结合信息安全管理新理论和新技术，进一步完善和丰富实验内容。实验涵盖等级保护平台搭建、等级保护验证核查、终端安全核查、风险评估、安全运维方案设计和云端数据安全审计等安全管理中具有代表性的实验，实验成果有实验分析报告、程序设计报告、程序代码、环境搭建等多种形式。

通过实验项目，培养学员基本的信息安全管理实验操作技能和实验思维方法，通过实验验证加深对信息安全管理的理解，培养运用所学知识解决信息安全管理问题的能力，扩展实际应用中信息安全管理实施方案的设计能力，提升信息系统综合安全防御的素养。

（4）探索课程考核方式改革，建立全方位考核机制

通过课程考核考察学员掌握知识和具备能力的情况，检查教学效果，改进教学工作，提高教学质量。因此，对课程考核评价方式的改革与探索也是教学方法改革中的一个重要环节。结合《信息安全管理》课程考核要求，在原有笔试考试的基础上，增加实验成绩，阶段性测试和过程性测试，逐步建立全过程、全方位考核机制。在考核时机上，采用平时考核、阶段性考核和课终考核；在考核形式上，采取笔试、课堂问答、论文研讨、小组汇报、实践操作等方式；在成绩总评分上，期末笔试成绩占60%，平时成绩占20%，实验成绩占20%。基本达到了对学生理论知识、应用能力、方案设计、工程实践等全方位的考核。

五、结束语

为了建设好《信息安全管理》课程，教学团队一方面持续跟踪国内外最新的信息安全管理相关技术的最新研究成果，及时消化吸收，转化到教学内容建设中；一方面持续关注相关课程建设的最新研究进展，借鉴吸收先进的教学理念与方法。从而不断改革教学内容、教学方法和教学手段，保持信息安全管理课程建设各个方面的先进性和新鲜性。与此同时，随着MOOCs（MassiveOpen Online Course，大规模开放在线课程）教学模式已成为高等教育发展的新趋势，本课程下一步结合《信息安全管理》课程的特点，尝试将MOOCs教学模式与现有教学模式相融合，取长补短充分发挥各自的优势，进一步提高《信息安全管理》课程的教学质量和教学效果。

参考文献：

[1]赵刚.“信息安全管理与风险评估”课程建设思考.中国电力教育.2014.

[2]张晓峰.信息安全课程教学方法探索.电脑知识与技术.2014

[3]姚利民，段文.高校教学方法改革探讨.中国科学大学.2013

[4]徐东华，封化民.信息安全管理的概念与内容体系探究.2008