首页资料文库正文

资产安全管理范文10篇

时间：2023-12-05 17:30:02

资产安全管理

资产安全管理范文篇1

一、运用系统的思想和方法，查找信息安全管理的“短扳”

随着企业信息化的快速发展，信息安全管理工作显得相对滞后。管理思想和方法落后。过去基本上是参照电网安全管理一些传统做法，没有体现信息化特点和要求，越来越不适应信息系统的快速发展和变革；管理不够全面。以往只考虑硬件、软件，忽视了人、数据和文档、服务、无形资产等重要对象，对外来人员也缺乏有效的识别管理；管理制度不够系统。以前虽然制订了较多的制度和标准，当信息化发展到一定程度，这些制度就显得很单薄，就事论事的管理方式必然会产生安全管理的盲区，有些制度内容重复、交叉、不一致，有些制度不切实际，往往束之高阁；风险评估不够科学。以往的信息风险评估不够系统，主观性过强，缺乏综合平衡，抓不住重点，或过度保护，或产生管理死角，事后控制多，事前预控少，不能涵盖信息系统的生命周期。

上述情形是企业在信息化建设中普遍感觉到的问题。随着科学技术的进步，企业信息运行管理模式也发生了巨大的变化，为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此，嘉兴电力局根据国际上信息安全管理的最佳实践，结合供电企业的实际，从信息安全风险评估管理入手，贯彻ISO/IEC27001：**信息安全管理标准，建立了信息安全管理体系。通过体系有效运作，达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。

二、从资产识别入手，搞好信息安全风险评估

按《信息安全风险评估控制程序》，对所有的资产进行了列表识别，并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中，共识别资产2810项，其中确定的重要资产总数为312项，形成了《重要资产清单》。

图1.《重要信息资产按部门分布图》

对重要的信息资产，由资产的所有者（归口管理部门）对其可能遭受的威胁及自身的薄弱点进行识别，并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析，确定风险等级和可接受程度，形成了《重要资产风险评估表》。针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定措施失效发生的可能性，计算风险等级，判断风险为可接受的还是需要处理的。根据风险评估的结果，形成风险处理计划。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用适当的措施，确定是接受风险、避免风险，还是转移风险。

嘉兴电力局经过风险评估，确定了不可接受风险84项，其中硬件和设施52项，软件和系统0项，文档和数据8项，服务0项，人力资源24项。

根据风险评估的结果，对可接受风险，保持原有的控制措施，同时按ISO/IEC17799：**《信息技术-安全技术-信息安全管理实施细则》和系统应用的要求，对控制措施进行完善。针对不可接受风险，由各部门制定了相应的安全控制措施。制订控制措施主要考虑了风险评估的结果、管理与技术上的可行性、法律法规的要求，以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面，将风险降低到可接受的水平。

图2.《各类不可接受风险按系统分布图》。

三、按照ISO标准要求，建立信息安全管理体系

嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统，按ISO/IEC27001：**《信息技术-安全技术-信息安全管理体系要求》规定，参照ISO/IEC17799：**《信息技术-安全技术-信息安全管理实施细则》，建立信息安全管理体系，简称ISMS。确定信息安全管理体系覆盖范围，主要是根据业务特征、组织结构、地理位置、资产分布情况，涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是：“全面、完整、务实、有效。”

为实现信息安全管理体系方针，嘉兴电力局在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施，明确信息安全的管理职责；识别并满足适用法律、法规和相关方信息安全要求；定期进行信息安全风险评估，采取纠正预防措施，保证体系的持续有效性；采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；制定并保持完善的业务连续性计划，实现可持续发展。按照信息安全管理方针的要求，制订的信息安全管理目标是：2级以上信息安全事件为0；不发生信息系统的中断、数据的丢失、敏感信息的泄密；不发生导致供电中断的信息事故；减少涉密有关的法律风险。

嘉兴电力局根据风险评估的结果、企业的系统现状和管理现状，按照ISO/IEC27001：**标准要求，整合原有的企业信息安全管理标准、规章制度，形成了科学、严密的信息安全管理体系文件框架，包括信息安全管理手册；《信息安全风险评估管理程序》、《业务持续性管理程序》等53个程序文件，制定了16个支撑性作业文件。

四、运用过程方法，实施信息安全管理体系

在信息安全管理过程中，重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节，采取明确职责、动态检查、严格考核等措施，使信息安全走上常态管理之路。

图3：信息安全管理体系实施过程

重视信息系统安全管理。因为信息系统支撑着企业的各项业务，信息安全管理体系实施涵盖信息系统的生命周期，表现在信息系统的软（硬）件购置、设备安装、软件开发和系统测试、上线、系统（权限）变更等方面，严格执行体系的相关控制程序。

强化人员安全管理。在劳动合同、岗位说明书中，明确员工信息安全职责。特殊岗位的人员规定特别的安全责任，对信息关键岗位实行备案制度。对岗位调动或离职人员，及时调整安全职责和权限。定期对员工进行信息安全教育和技能培训、比武、考试。

资产安全管理范文篇2

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

图一信息安全风险管理模型

既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

b)分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。

资产安全管理范文篇3

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

图一信息安全风险管理模型

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

4.6威胁分析

4.7威胁影响分析

4.8威胁可能性分析

资产安全管理范文篇4

关键词：电力信息；安全现状；改善策略

电力系统是一个涉及了继电保护、电网调度自动化、配电网自动化等方面的大型系统工程。在电力企业快速发展的背景之下，信息安全问题与电力企业生产经营活动存在紧密的联系，直接影响着电力企业能否进行安全生产。

1电力企业存在的主要信息安全管理风险

1.1信息安全体系层面。（1）信息网络结构与边界风险。从信息网络结构方面来看，电力企业面临着核心交换机选型缺乏合理性这一问题，比如，核心交换机属于一台二层交换机，只有充分利用系统才能够有效地解决网络安全问题。除此之外，绝大部分的电力企业会采用多种形式连接互联网，但是不同的安全域间的网络连接并未采取任何的访问控制措施，导致互联网访问的过程中会面临扫描攻击、非法侵入以及DOS攻击等各种问题。（2）病毒侵害与网络攻击。随着电子邮件系统运用范围地扩大，加快了计算机病毒扩散的速度，各种病毒会通过网络进行传播，越来越多的电力企业网络面临着计算机病毒入侵的安全风险。现在的网络攻击手法结合了许多技术，多数电力企业虽然安装了防病毒软件，但是这些软件仅仅起到病毒查杀的作用，无法阻止病毒传播。针对网络中传播的蠕虫，虽然入侵检测系统可以检查出来，但是无法对蠕虫进行彻底地清除。此外，运用补丁管理虽然可以避免蠕虫的感染，但是同样无法实现对蠕虫的查杀。除此之外，在现阶段，企业各个安全产品大多是独立工作，不能对病毒进行系统化地查杀。（3）系统安全风险。就系统安全风险内容来看，它具体指的是下面几点内容：第一，操作系统风险；第二，数据库系统风险，第三，各类运用系统风险。在现阶段，许多电力企业将Windows操作系统作为主要的操作系统，然而任何操作系统都不可避免地存在漏洞，漏洞会给入侵者提供可乘之机，一旦入侵者掌握了管理员权限，必然会对网络系统进行攻击。1.2信息安全管理层面。（1）信息安全管理措施落实不到位。由于资金不足，许多的电力企业不能及时替换陈旧的操作系统和邮件程序，而入侵者极容易利用内部网络的缺陷来进行攻击。此外，由于企业的管理人员网络安全意识淡薄，就会忽视同步升级用户系统。另外，部分电力企业使用开放程度过高的操作系统，由于安全级别低下，加上未采取任何安全措施，就无法实现对黑客与信息炸弹地有效抵御。（2）企业信息管理革新滞后于技术发展。近些年，我国的信息技术快速发展，但是电力企业的管理水平一直没有得到提升，虽然部分企业采用了最新的业务系统以及管理系统，但是并未及时更新管理模式，以至于无法充分发挥出信息系统的价值。信息安全工作是一项兼具复杂性与系统性的工作，对工作人员的专业水平有着较高的要求，所涉及的知识面十分的广泛。很显然，现阶段的技术人员无法满足新时期电力企业对信息安全管理工作的要求。（3）工作人员安全意识十分淡薄。目前，许多工作人员不能够认识到网络信息安全的重要性，没有拿出足够的时间与精力投入到网络信息安全的学习之中。此外，大多数电力企业的安全意识淡薄，忽视安全领域的投入，以至于网络信息安全长时间处于封堵漏涮状态。与此同时，绝大部分工作人员缺乏良好的安全意识，对于共用口令、企业内部信息传播以及复制等涉及的安全问题了解不够，给了黑客攻击可乘之机，导致经常出现信息泄露问题，最终影响了企业网络信息的安全性。

2电力企业信息安全管理对策

2.1强化对企业工作人员的规范化管理。首先，强化对企业高层管理人员的管理，严格执行信息安全管理制度。作为一个企业的重要力量，高层管理人员务必以身作则，积极落实信息安全管理工作，为企业全体员工树立起良好的榜样。此外，高层管理人员要做好信息资产的保管工作，避免工作中因失误而失去宝贵的资产，只有这样才能够保障企业的健康发展。其次，针对离职人员要做好信息安全审查工作，在其出现离职倾向后，要即刻变更其信息资源访问权限，仔细清点离职人员手中掌握的信息资产。此外，离职人员在企业的剩余时间，对其要加强监督与控制，避免发生各种异常事件。再次，针对以下几种特殊人员务必要实行严格的信息安全管理制度，需要对其展开多次全面的检查。具体来说，包括以下几类人群：第一，与开发源代码直接接触的人员；第二，与企业核心商业机密直接接触的人员；第三，直接从事信息安全管理的人员等。最后，强化供应商与合作伙伴之间的信息安全管理。针对合作伙伴以及供应商有必要制定信息安全管理规定，防止对方有目的性地收集我方重要的商业情报。此外，对于日常的沟通与交流，务必要严格遵守有关规定，禁止随意对外公开以及透露其他重要信息。2.2强化对企业信息资产的分析与管理。首先，根据信息资产的载体质、价值实现形式以及来源等方面内容，认真地识别信息资源。树立信息资源理念，形成良好的信息资产商品观、资产观以及素质观，提升企业的劳动生产率，在社会范围内塑造良好的企业形象。其次，构建完善的信息资产管理组织体系，制定科学的信息资产管理制度，改进信息资产管理方式，以实现对信息系统地全方位管理，充分发挥信息资产的价值，增强电力企业的市场竞争实力。再次，强化对信息资源运用的管理。实现信息资产资源与其他各种生产力要素的结合，在保证生产要素保值增值的同时，帮助电力企业实现经济效益最大化的目标。最后，加快构建信息资源共享机制，推进信息资产的再创新，不断形成企业内部信息资产，从而推进外源信息资产的再增值。2.3构建完善的信息安全应急保障机制。电力企业有必要加快制定应急预案，强化对工作人员的培训，保障具备充足的人力技术设备等资源。同时，电力企业要建立健全备份与恢复管理制度，对数据备份与恢复过程进行严格控制，认真做好备份记录的保存工作，保证定期恢复程序地严格执行。除此之外，还要加强对容灾方案可行性的相关研究，并结合实际需要进行容灾系统的建设工作。

3结论

综上所述，电力信息安全是影响企业生产经营与管理活动的重要因素，因此电力企业要高度重视信息安全管理工作，从系统工程方法出发，制定有效的管理措施，避免管理漏洞影响信息安全。除此之外，在发展过程之中，电力企业务必要统筹兼顾，建立健全信息安全管理系统，最大程度地消除信息安全管理风险，正确处理信息安全管理中的问题，不断地提高信息安全管理水平，为电力信息系统的安全性、稳定性与可靠性提供重要保障。

参考文献：

[1]王凤彬.信息安全技术在电力信息系统中的应用分析[J].现代国企研究，2015（16）：83.

[2]张鑫，陈雪华，刘新.电力系统信息安全基线标准体系的构建[J].电力信息与通信技术，2013，11（11）：110-114.

资产安全管理范文篇5

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

图一信息安全风险管理模型

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

4.6威胁分析

4.7威胁影响分析

4.8威胁可能性分析

资产安全管理范文篇6

论文摘要：随着软件行业特别是软件外包行业在国内的蓬勃发展，如何保证自身的信息安全成了摆在软件企业面前的重要课题。文章通过对软件企业现有信息安全问题的分析，提出了采用信息安全体系建设系统解决信息安全问题，着重阐述了信息安全风险管理的原理和方法在软件行业中的应用。

论文关键词：软件企业；信息安全；风险管理

随着国家大力推动软件外包行业和IT行业的发展，软件企业发展呈现良好态势，在自身业务发展壮大的同时，软件企业信息安全重要性日益凸显。互联网和IT技术的普及，使得应用信息突破了时间和空间上的障碍，信息的价值在不断提高。但与此同时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示，2007年5月～2008年5月间，有62．7％的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序的安全事件为85．5％，遭到端口扫描或网络攻击的占31．4％，垃圾邮件占25．4％。

信息是软件企业的重要资源，是非常重要的“无形财富”，分析当前的信息安全问题，有如下典型的信息安全问题急需解决。

(1)网络共享与恶意代码防控。

网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。

(2)信息化建设超速与安全规范不协调。

网络安全建设缺乏规范操作，常常采取“亡羊补牢”之策，导致信息安全共享难度递增，也留下安全隐患。

(3)信息产品国外引进与安全自主控制。

国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前，国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。

(4)IT产品单一性和大规模攻击问题。

信息系统中软硬件产品单一性，如同一版本的操作系统、同一版本的数据库软件等，这样一来攻击者可以通过软件编程，实现攻击过程的自动化，从而常导致大规模网络安全事件的发生，例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。

(5)IT产品类型繁多和安全管理滞后矛盾。

目前，信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。但是，不同类型的信息产品之间缺乏协同，特别是不同厂商的产品，不仅产品之问安全管理数据缺乏共享，而且各种安全机制缺乏协同，各产品缺乏统一的服务接口，从而造成信息安全工程建设困难，系统中安全功能重复开发，安全产品难以管理，也给信息系统管理留下安全隐患。

(6)IT系统复杂性和漏洞管理。

多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。由于管理、软件工程难度等问题，新的漏洞不断地引入到网络环境中，所有这些漏洞都将可能成为攻击切入点，攻击者可以利用这些漏洞入侵系统，窃取信息。为了解决来自漏洞的攻击，一般通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，即使发现网络系统存在安全漏洞，系统管理员也不敢轻易地安装补丁。特别是大型的信息系统，漏洞修补是一件极为困难的事。因为漏洞既要做到修补，又要能够保证在线系统正常运行。

(7)攻击突发性和防范响应滞后。

网络攻击者常常掌握主动权，而防守者被动应付。攻击者处于暗处，而攻击目标则处于明处。以漏洞的传播及利用为例，攻击者往往先发现系统中存在的漏洞，然后开发出漏洞攻击工具，最后才是防守者提出漏洞安全对策。

(8)口令安全设置和口令易记性难题。

在一个网络系统中．每个网络服务或系统都要求不同的认证方式，用户需要记忆多个口令，据估算，用户平均至少需要四个口令，特别是系统管理员，需要记住的口令就更多，例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则，口令设置既要求复杂，而且口令长度要足够长，但是口令复杂则记不住，因此，用户选择口令只好用简单的、重复使用的口令，以便于保管，这样一来攻击者只要猜测到某个用户的口令，就极有可能引发系列口令泄露事件。

(9)远程移动办公和内网安全。

随着网络普及，移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络，安全程度难以得到保证，如果内部网络直接允许远程访问，则必然带来许多安全问题，而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网，又要保证内部网络的安全”就成了一个许多单位都面临的问题。

(10)内外网络隔离安全和数据交换方便性。

由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统，窃取数据或恶意破坏数据。同时，内部网的用户因为安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，“内外网及上网计算机实现物理隔离，以求减少来自外网的威胁。”但是，从目前网络应用来说，许多企业或机构都需要从外网采集数据，同时内网的数据也需要到外网上。因此，要想完全隔离开内外网并不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。

(11)业务快速发展与安全建设滞后。

在信息化建设过程中，由于业务急需要开通，做法常常是“业务优先，安全滞后”，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是亡羊补牢，出了安全事件后才去做。这种情况，在企业中表现得更为突出，市场环境的动态变化，使得业务需要不断地更新，业务变化超过了现有安全保障能力。

(12)网络资源健康应用与管理手段提升。

复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、色情网站，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要求能做到“可信、可靠、可视、可控”。

(13)信息系统用户安全意识差和安全整体提高困难。

目前，普遍存在“重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，“安全就是安装防火墙，安全就是安装杀毒软件”，人员整体信息安全意识不平衡，导致一些安全制度或安全流程流于形式。典型的事例如下：用户选取弱口令，使得攻击者可以从远程直接控制主机；用户开放过多网络服务，例如：网络边界没有过滤掉恶意数据包或切断网络连接，允许外部网络的主机直接“ping”内部网主机，允许建立空连接；用户随意安装有漏洞的软件包；用户直接利用厂家缺省配置；用户泄漏网络安全敏感信息，如DNS服务配置信息。

(14)安全岗位设置和安全管理策略实施难题。

根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。

(15)信息安全成本投入和经济效益回报可见性。

由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从而造成企业领导人的误判，进而造成信息安全建设资金投入困难。这样一来，信息安全建设投入往往是“事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本上是“头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命，成了“救火队员”。

为了解决信息安全问题，保护企业信息的安全，建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求，越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全，通过建设信息安全管理体系中降低组织存在的信息安全风险的方法，来提高组织信息的安全性。由此可见信息安全风险管理，是我们建立信息安全管理体系的一个重要环节，也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。

1．信息安全风险管理概述

我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理，风险管理被认为是良好管理的一个组成部分，

2．确定范围

在建立信息安全管理体系之初，根据业务、组织、位置、资产和技术等方面的特性，我们确定了组织ISMS的范围，那么风险管理的范围应该和我们确定的ISMS的范围相一致。在软件企业中，我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中

3．风险分析

风险分析是标识安全风险，确定其大小和标识需要保护措施地区域的过程，其目的是分离可接受的小风险和不能接受的大风险，为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法，主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性，相对于威胁发生的可能性，该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围)，并采用从不同来源中得到的数据进行分析，其主要步骤集中在现场调查阶段，针对系统关键资产进行定量的调查、分析，为后续评估工作提供参考数据。在软件企业进行风险分析时，因为定量分析方法中的数值、数据不易获取，我们通常采用定性分析方法。风险分析又包括以下4个方面，针对定性分析方法，具体过程如下：

(1)识别评估资产。

在ISMS中所识别评估的资产有别于常见的固定资产，这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时，我们需要选择适合的分类原则和识别粒度。在软件企业中，通常把资产划分为硬件、软件等方面，还需要对这些方面进行细分，也就是进行二级分类。

在评估资产时，我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值：

①资产属于“高”等级重要度，赋值为“3”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成严重或无法挽回的经济损失；

②资产属于“中”等级重要度，赋值为“2”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成一定的经济损失；

③资产属于“低”等级重要度，赋值为“1”，该类信息资产若发生泄露、损坏、丢失或无法使用，会给公司造成轻微的经济损失。

(2)识别评估威胁。

我们应该清楚威胁一定是与资产相对应的，某一资产可能面临多个威胁。在识别威胁时，我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后，综合考虑威胁源的动机、能力和行为，对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁，这种威胁动机、能力较强。

(3)识别评估脆弱性。

脆弱性可以理解为资产可以被某种威胁所利用的属性，一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性，通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁，软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。

(4)识别评估控制措施。

在我们识别出威胁和脆弱性之后，我们要针对威胁利用脆弱性产生的风险，来识别组织自身是否已经采取控制措施，并采取叙述性数值的方式来描述已采取控制措施的有效性，评估的标准由组织进行制定，例如控制措施有效性可以定义进行如下定义和赋值：

①控制措施影响程度为“好”，赋值为“1”，该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果，能够满足公司的信息安全管理要求；

②控制措施影响程度为“中”，赋值为“2”，该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果，需要增加辅助的控制措施满足公司信息安全管理要求；

③控制措施影响程度为“低”，赋值为“3”，该类控制措施已经对信息资产威胁和脆弱性未起到控制效果，需要重新制定新的控制措施满足公司信息安全管理要求。

控制措施的有效性是我们风险评价的依据之一。

4．风险评价

风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程，其结果是具有不同等级的风险列表，目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程：

(1)分析评估可能性和影响。

“可能性”指威胁利用脆弱性的可能性，“影响”指威胁利用脆弱性后，对组织资产造成的影响。在分析可能性时，我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时，依据组织制定的评估准则，对可能性进行描述，例如将可能性进行如下定义和赋值：

①可能性级别“高”，赋值为“1”，威胁源具有强烈动机和足够的能力，防止脆弱性被利用的防护措施是无效的；

②可能性级别“中”，赋值为“0．5”，威胁源具有一定的动机和能力，但是已经部署的安全防护措施可以阻止对脆弱性的成功利用；

③可能性级别“低”，赋值为“0”，威胁源缺少动机和能力，或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。

在分析影响时，我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时，同样依据组织制定的评估准则，对影响进行描述，例如将影响进行如下定义和赋值：

①影响级别“高”，赋值为“l00”，该级别影响对脆弱性的利用：a．可能导致有形资产或资源的高成本损失；b．可能严重违犯、危害或阻碍单位的使命、声誉或利益；c．可能导致人员死亡或者严重伤害；

②影响级别“中”，赋值为“50”，该级别影响对脆弱性的利用：a．可能导致有形资产或资源的损失．b．可能违犯、危害或阻碍单位使命、声誉或利益-c．可能导致人员伤害。

③影响级别“低”，赋值为“10”，该级别影响对脆弱性的利用：a．可能导致某些有形资产或资源的损失；b．可能导致单位的使命、声誉或利益造成值得注意的影响。

参考“风险分析”中的例子，病毒、木马攻击的动机、能力很强，员工很容易忽略对杀毒软件病毒库的升级，病毒、木马攻击很可能导致公司重要数据的丢失或损坏，那么这种威胁利用脆弱性的可能性就比较高，影响也比较高，均属于“高”等级。

可能性和影响都是我们进行风险评价的依据。

(2)评价风险。

在评价风险时，我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响，通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式，计算出风险值，并根据组织制定的准则，将风险进行分级，例如将风险进行如下分级：

①“高”等级风险：如果被评估为高风险，那么便强烈要求有纠正措施。一个现有系统可能要继续运行，但是必须尽快部署针对性计划；

②“中”等级风险：如果被评估为中风险，那么便要求有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动；

③“低”等级风险：如果被评估为低风险，那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。

5．风险处置。

风险处置是选择并执行措施来更改风险的过程，其目的是将评价出的不可接受风险降低，包括以下几个过程：

①行动优先级排序。

行动优先级排序主要依据风险级别进行，对于不可接受的高等级风险应最优先。

②评估建议的安全选项

评估建议的安全选项主要考虑安全选项的可行性和有效性。

③实施成本效益分析。

对建议的安全选项进行成本效益分析，帮助组织的管理人员找出成本有效性最好的安全控制措施。

④选择控制措施。

在成本效益分析的基础上，组织的管理人员应确定成本有效性最好的控制措施，来降低组织的风险。

⑤责任分配。

根据确定的控制措施，选择拥有合适的专长和技能，能实现相应控制措施的人员，并赋以相关责任。

⑥制定控制措施的实施计划。

明确控制措施的具体行动时间表。

⑦实现所选择的安全防护措施。

根据各自不同的情况，所实现的安全防护措施可以降低风险级但不会根除风险，实现安全防护措施后仍然存在的风险为残余风险，残余风险需经过组织管理者批示，若组织管理者批准即为风险接受，若组织管理者批示不接受，则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。

资产安全管理范文篇7

关键词：信息安全管理；信息安全体系；网络安全

1信息安全管理的重要性

信息安全问题是企业在管理中遇到的最新的问题，信息是数字的载体，现代化办公都是利用各种信息来提高工作效率。而如何在提高效率的同时不仅要保障信息系统中各种数据的安全、还要保证数据的正确性、完整性、持续性、稳定性等，成为非常重要的问题。从国家层面上来说也是很重视，已相继出台网络安全方面的法律法规，2019年又修订了信息系统安全等级保护的基本要求。信息安全主要指信息数据安全、信息设备安全、系统软件安全等在内的企业信息安全。一个大型企业的信息安全性不足的话，很容易造成机密信息泄露，文件和重要图纸遭受窃取或破坏，甚至重要的系统被黑客攻破导致企业正常的办公和生产瘫痪。特别是国企有工控系统的，如果被攻破会导致数控机床失控或人员受伤。因此为了避免以上情况的出现，必须做好企业的信息安全管理。企业信息安全是否得到正确的管理，主要通过以下几个方面来判断：第一，完整性和正确性。要求信息数据在处理和传输过程中没有遭到破坏或恶意修改。第二，保密性或隐私性。是指在信息数据不会泄露给没有授权的个人或组织。第三，持续可用性。信息系统或网络在被攻击时，可迅速的恢复网络使用和数据的持续可用，满足企业业务要求。第四，可控制。企业必须有强制手段对网络信息进行监控，有可查日志，从而在信息系统出现问题时可马上进行数据恢复，避免不必要的损失。

2分析信息安全隐患

2.1漏洞。漏洞包含两个方面：操作系统漏洞和开发的信息平台系统漏洞。计算机操作系统或服务器的操作系统本身就有很多漏洞，所以就需要不断地更新补丁，但是常用端口还是有可以利用的漏洞，例如：9699、8080端口等，特别是远程端口经常被利用或攻击。而在信息系统中存在漏洞就更多，开发软件中为了功能的便捷往往都会忽视网络信息安全问题，造成系统中的数据很多都没有基础保护，如果用的完全是软件开发公司的系统，更是有很多漏洞，而往往这些漏洞都是难以弥补的。2.2病毒。计算机病毒或网络病毒，首先都是各种数据代码组成并会传播的，往往一台有或者一个网端上有就会影响到整个网络，不仅破坏系统运行还能损毁数据；其次病毒有多样的表现形式，并具有潜伏隐蔽性，而且还能升级，例如近年代表性的“勒索病毒”。病毒除了通过网络传播，最主要的传播还是在介质上，特别是U盘。因此防病毒，不仅要依靠防病毒软件，还要有对介质、网络隔离、数据传输等进行严密的管理来控制。2.3环境和人为因素。网络环境是信息安全保障的基础，企业要加强基础设施的投入，加强物理安全设备的管理。有些自然因素是无法避免的，例如雷电、防火、防水等。这些引发的灾害造成的信息安全事件，很容易影响网络信息安全。在网络环境中人绝对是关键因素，规范人的信息安全管理非常重要[1]。无论是信息安全的基础设施如何，无论技术手段如何，也无论是恶意行为还是失误操作，人都是信息安全事件发生的因素。企业员工对于网络信息安全保护意识很薄弱，而专业的网络技术人员在企事业中也很缺乏，而专职的信息安全管理人才更是少之又少。

3信息安全的技术手段

防病毒技术是最常见也是最早用于企业信息安全中的技术，其大部分都是以客户端模式安装在终端系统的形式出现，是信息安全技术最为基础手段。核心技术就是对计算机病毒的检测和查杀（或隔离）。入侵检测技术是由硬件和软件，从网络的内部和外部同时通过防御检测的形式组成的系统。通过入侵检测生成的报告给出的事件（例如：TracerouteICMP/IPOPT探测网络拓扑操作；MicrosoftWindows柯达图像查看器远程代码执行攻击（MS07-055）等），从而主动地来化解潜在威胁，更有利于信息安全的管理。入侵检测还能自定义敏感信息、恶意代码，有针对地进行检测。防火墙技术通常用于内外网之间，隔离外网恶意软件入侵和控制内网向外的信息传输[2]。对外可完全阻隔，对内可选择性的封锁或部分开发，为企业提供了一个相对安全的网络环境，从本质上保护信息系统，减少网络安全隐患。并且该技术可以通过安全策略提供信息交换点，有利于网络信息体系的构建。现在还有工控防火墙，使用在工业控制网与管理网络交接点。身份认证技术，身份指各类型用户，例如：计算机终端用户、各个信息系统用户、各类技术控制平台用户，这些用户中还有权限分级。所以身份的不同，认证要求也是不同的。普通信息系统用户认证可以通过简单口令来认证，对于严格的域环境用户需要通过安全平台和口令一起认证，不同的身份会赋予不同的权限，高权限的身份认证必须包含复杂性、多变性，甚至可以智能化认证。身份认证技术完全可以提高信息系统数据的安全性。身份认证技术基本都是通过网络安全平台、网络设备、信息系统的基础管理功能来实现的。加密技术是利用数字方法重新对数据进行组织，从而实现加密，是一种有效的信息安全防护措施。网络技术有虚拟专网技术、网络隔离技术。虚拟专网技术指依靠ISP和其他NSP（网络服务提供者）在公用网络（如Internet、FrameRelay、ATM）建立专用的数据通信网络的技术[3]。大型企业分公司多使用虚拟专网技术可降低企业成本。网络完全隔离技术是通过隔离物理链路来实现的，利用这种技术会使内网环境相对良好可控制。

4信息安全管理体系

任何技术都是实现信息安全管理的手段和基础保障，有了技术更是需要完整制度来规范行为。因此，需要根据标准要求建立符合企业实际业务需求的信息安全管理体系。信息安全管理系统建立，首先要组建完整的体系管理职责架构，分职分角色分管信息安全的各个方面，主要领导人根据实际业务需求负责规划信息安全管理目标和方针，成立专业的信息安全工作组合理配置资源，体系范围内的员工需在工作中认真贯彻信息安全管理要求，确保信息系统安全；其次，信息安全管理体系的建立是依据法律法规以及管理标准，建立各类人员职责相互监督制约机制，提高监控、检测等约束手段降低安全风险。第三，通过建立规范化的信息安全工作流程，对信息系统安全工作进行合理控制，降低由于工作随意性而产生的安全风险，同时提升信息安全管理制度的可操作性。体系建成后要不断地持续改进，提升体系的全面性、适用性和有效性。信息安全管理体系标准包含200多个要求，企业建体系都要根据实际情况来规范信息安全控制程序文件。信息安全控制程序都要有明确的目的、实际内容、适用范围、人员职责以及程序的工作流程，并且有具体的材料来支持。而具体建立几个控制程序都是根据企业实际业务需求和实际基础环境来决定的。一般来说，企业都会建立的控制程序，例如人力资源控制程序、信息资产控制程序、信息系统开发建设安全控制程序等。人力资源控制程序的目的是对人力资源优化管理与开发，为信息安全管理体系的有效运行提供保障而制定的。详细规定了公司与信息安全有关的人员的招聘、任用、培训、调岗、离职等方面的管理。信息资产控制程序为建立统一的资产分类和重要程度的分级标准，明确资产责任和关键资产的要求，规范公司信息资产的使用，特制定本控制程序。程序规定了硬件资产、软件资产、数据、文档、人员、服务等的管理。信息系统开发建设安全控制程序的目的是为对公司信息系统建设的策划、开发、实施、测试等过程进行有效的控制，确保信息安全是信息系统建设过程中的一个有机组成部分。规定了公司信息系统建设的策划、开发、实施、测试等过程中的信息安全控制要求。当然，有些体系标准在各行各业的企业中会出现不适用的情况。

5总结

科学技术的进步为各行各业甚至整个世界提供了一个数字世界，而今对企业来说已经离不开这个世界。信息是数字世界中的元素，必将会受到网络威胁的不断和持续的攻击。企业必须重视信息安全的管理，而结合企业内部实际环境建立完善规范的信息安全管理体系，加强信息安全的投入，能有效地从各个方面解决信息安全问题。

参考文献：

[1]JackieCraig.网络安全研究——成功的数字化未来的关键[J].Engineering，2018.

[2]张建鹏.海关通关系统开发环境下Linux网络防火墙的设计与应用[D].北京工业大学，2018.

资产安全管理范文篇8

我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作，完成了许多安全技术标准的制定，如GB／T18336、GB17859等。在信息系统的安全管理方面，我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订，我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧，信息系统的安全问题越来越受到人们的普遍关注，如今国内高校已经加强关于信息安全管理方面的研究与实践。

2高校信息安全风险评估模型

2.1信息安全风险评估流程

[2]在实施信息安全风险评估时，河南牧业经济学院成立了信息安全风险评估小组，由主抓信息安全的副校长担任组长，各个相关单位和部门的代表为成员，各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训，熟悉运作的流程、理解信息安全管理基本知识，掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面：建立风险评估准则。建立评估小组，前期调研了解安全需求，确定适用的表格和调查问卷等，制定项目计划，组织人员培训，依据国家标准确定各项安全评估指标，建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁，衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述，依据国家标准划分风险等级评价风险，编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制，编制风险处理计划。学院信息安全风险评估流程图如图1所示：

2.2基于PDCA循环的信息安全风险评估模型

PDCA（策划—实施—检查—措施）经常被称为“休哈特环”或者“戴明环”，是由休哈特（WalterShewhart）在19世纪30年代构想，随后被戴明（EdwardsDeming）采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入，该循环在各类管理领域得到广泛使用，取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段，每个阶段都有阶段任务和目标，如图2所示，四个阶段为一个循环，一个持续的循环使过程的目标业绩持续改进，如图3所示。

3基于PDCA循环模型的信息安全风险评估的实现

[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足，本着边实践边改进，逐步优化的原则，学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据，是有效进行信息安全风险评估的前提。学院拥有3个校区，正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统，同时各院系有自己的各类教学系统平台，由于网络环境的复杂性，经常会监控到信息系统受到内外部的网络攻击，信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估（图4），以便下一步对存在的风险进行有效的管理，根据信息系统安全风险评估报告，提出相应的系统安全方案建议，对全院信息系统当前突出的安全问题进行实际解决。

3.1建立信息安全管理体系环境风险评估（P策划）

风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状，制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准，评估小组开始实施和运作信息安全管理体系。

3.2实施并运行信息安全管理体系（D实施）

该阶段的任务是管理运作适当的优先权，执行选择控制，以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具，将常见的风险评估方法集成到软件之中，包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具，安全风险评估工作都得到了简化，减轻人员的工作量，帮助信息安全管理人员完成复杂的风险评估工作，从而提高学院的信息安全管理水平。

3.3监视并评审信息安全管理体系（C检查）

检查阶段是寻求改进机会的阶段，是PDCA循环的关键阶段。信息安全管理体系分析运行效果，检查到不合理、不充分的控制措施，采取不同的纠正措施。学院在系统实施过程中，规划各院系的信息安全风险评估由本系专门人员上传数据，但在具体项目实施中，发现上传的数据随意甚至杜撰，严重影响学院整体信息系统安全评估的可靠性，为了强化人员责任意识，除了加强风险评估的培训外，还制定相应的惩罚奖励制度，实时进行监督检查，尽最大可能保证风险评估数据的准确性[6]。

3.4改进信息安全管理体系（A措施）

经过以上3个步骤之后，评估小组报告该阶段所策划的方案，确定该循环给管理体系是否带来明显的效果，是继续执行，还是升级改进、放弃重新进行新的策划。学院在项目具体实施后，信息安全状况有了明显的改善，信息管理人员安全责任意识明显提升，遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域，开始了新一轮的PDCA循环持续改进信息安全风险评估。

4结语

资产安全管理范文篇9

1农电安全管理面临的形势

1.1农电安全管理的安全责任和风险加大

农电体制改革前，农村用电管理及公有电力设施的更新改造与维护由村级组织实施。农电体制改革后，农村公有电力资产移交给供电企业，由原来的村级组织管理变为农村供电所直接管理，管理范围延伸到户，加之农村供电网络面广分散，管理范围及资产成倍扩大，线路及设备维护管理的安全责任和风险明显加重。

1.2农电队伍的不稳定增加了管理难度

农电体制改革前，供电企业对乡电管站或供电所实行的是松散型管理，乡电管站和农村电工在人、财、物上都有较大的自主权，且收入相对较高。而且，由于电价、电费管理漏洞较多，他们的安全责任和工作压力也不大。农电体制改革后，农电职工人数大大下降，工作量成倍增加，而且要求也大大提高。供电所规范化管理和标准化台区的管理，线损、均价及其他工作考核，供电服务“十项承诺”和员工服务行为“十不准”的出台和实施，使农电职工承受着前所未有的工作压力和安全责任，但农电职工的工作环境和收入待遇未跟上，挫伤了广大农电职工的工作和学习积极性，特别是农村电工的工资和待遇更低，养老、医疗、失业等保险得到落实的极少，职工编制尚未落实解决，引起了思想上的不稳定，导致部分农村电工外出打工或从事其他工作等。农村电工实行职业化、正规化、专业化管理目前还难以实现，必然增大农电安全管理的难度。

1.3电力设施保护责任与维护管理难度加大

农村电力设施点多、线长、面广且布置分散，电力资产移交后，电力设施的防护难度进一步加大，矛盾突出。除了来自自然灾害的威胁使维护管理难度加大外，由于电力设施的分散性，电力设施成为一些不法分子的盗窃和破坏目标，供电企业的保护责任加大。电力体制改革后，供电企业没有行政执法权，尽管《电力法》、《电力设施保护条例》从法律上给予支持，但在法律观念较为淡薄的农村，供电企业虽付出了艰苦的努力，往往是效果甚微。电力设施保护区内违章建房、作业及植树等现象严重，安全隐患较多却难以消除。

1.4县级供电企业的经营负担和安全风险加重

一期农网改造是国家投资，资产不属于县级供电企业，维护管理这部分资产，加重了县级供电企业的经营负担和安全风险。改造过的线路设备已运行了5～7年，线路及设备大部分已到了检修或大修时限，随着农村经济的快速发展，线路及设备已满足不了日益增长的用电负荷的需求，出现了超负荷和卡脖子现象，再改造和更换超负荷线路和配变费用较大；线路设备日常维护、修理费用越来越多；近几年自然灾害较多，造成倒杆断线及设备损坏，由于种种原因，保险公司赔偿资金难以兑现等，使供电企业特别是供电量小的企业难以承受。

1.5服务延伸到户给供电企业带来的压力和风险

电力优质服务开展以来，社会公众对供电企业优质服务给予了高度的评价和充分的肯定，但是“95598电力服务到您家”及“只要用户一个电话，其余事情由我们来做”等电力服务宣传口号，让部分客户对电力服务产生了一定的误解和一些模糊的认识，对服务范围和要求期望过高，甚至提出无理要求。有些用户内部电力设施出现故障，甚至是用户家中的灯泡、插座损坏或保险丝熔断，也要求供电企业派人处理，如有迟疑就骂人或威胁投诉，给农电抢修人员造成一定的精神压力，也给供电企业带来一定的责任和风险。

2农电安全管理中存在的主要问题

农村供电所是县级供电企业生产经营的最基层单位，担负着繁重的生产和管理任务，安全生产管理的优劣，直接影响企业的安全生产局面。在一些农村供电所由于安全管理基础比较薄弱，农电安全事故仍屡屡发生，安全形势不容乐观。

2.1安全意识淡薄

部分农电人员，包括供电所负责人安全意识淡薄，在日常工作中重经营管理，轻安全管理，不注重电网的运行和维护管理，不能坚持定期巡视和消缺，对季节性安全检查和安全活动应付了事，甚至事故发生后，总希望“大事化小，小事化了”，以致事故原因不能查清，事故教训不能汲取。

2.2文化素质偏低

农电人员尤其是农村电工文化素质偏低，而且没有接受过系统的专业培训，技术水平参差不齐，与其承担的工作任务、安全责任和社会责任不相适应，制约着农电安全和农电事业的健康发展。

2.3安全生产规程、制度落实不到位

虽然电力系统和县级供电企业有一整套的安全生产规程、制度，但执行力不强，没有很好地落实到位，有些甚至流于形式。

2.4电力设施存在安全隐患

近几年来国家虽投入巨资对农网进行了改造，但标准往往偏低，先进技术装备应用不足，安全设施投入不够，还有许多遗留问题难以解决，电力设施仍存在较多薄弱环节和安全隐患。

2.5用户安全用电意识淡薄

虽然供电企业加大了社会安全用电知识的宣传力度，但用户对安全用电知识了解不足，安全用电意识淡薄。比如：不舍得投入，使用不合格的用电材料和设施，私拉乱接严重，尤其是临时用电，很不规范，事故经常发生。

3农电安全管理的措施

3.1正确定位体制改革后的农电安全工作

农电体制改革后，供电企业要找准农电工作的重点及其在整个供电企业中的位置，把农电安全工作的重点放在防止发生生产性人身事故、社会人身触电伤亡事故和电网事故上，并把供电所安全管理规范化作为农电安全管理的基础，这是规避农电安全风险的重要保障。

3.2落实各级安全生产责任制

安全生产要进行全方位、全过程管理，不断完善和建立农村安全管理体系。制定安全生产目标和计划，将线路、设备划分区域，以线路及配变台区为单位，把安全责任层层分解落实到人，实行各级承包。供电企业与农电管理部门，农电管理部门与供电所，供电所与农村电工，层层签订《安全生产目标责任书》，实行《安全风险抵押金制度》，形成安全生产一级抓一级，一级保一级的局面，将考核指标与部门、班组和个人经济利益挂钩，真正使农电安全管理工作形成纵到底、横到边、全员化、全方位、全过程管理的新格局。

3.3深化农电体制改革

创新农电发展思路，积极探索农电公司化运作模式，成立农电服务有限责任公司。根据管理及服务范围，与供电企业签订《代维护及管理合同》，明确管理范围和安全责任，实行竞争上岗，优化农电工队伍，提高员工素质；依据《劳动法》与农电工签订用工合同，明确其身份，为农电工办理相关保险，提高待遇，稳定农电工队伍；根据农电工的技术水平、管理能力和工作业绩，进行工资等级评定，实行动态管理，激发农村电工创业和学技术的积极性，有效规避供电企业的用工风险和安全责任。

3.4抓好农电队伍的安全教育培训

针对农电职工未受过系统化、专业化培训，文化素质偏低、人员分散等问题，供电企业要制订切实可行的培训计划，对供电所所长、技术人员和安全员实施系统化培训，把农村电工的培训列入供电企业的议事日程，从提高培训的质量和效果着手，开展形式多样的安全教育培训活动，同时供电所要把自我培训工作长期化、制度化，与生产紧密结合，不流于形式，从而提高农电队伍的整体素质和安全生产的管理能力。

3.5完善和健全安全监督检查考核体系

健全3级安全网，完善安全生产管理制度，成立反违章纠察队，进行现场监督检查，实行《违章挂牌制》和《安全生产流动红旗制》，增强职工严格执行各项安全生产规程、制度的自觉性，对各类事故要坚持“四不放过”的原则，严格按照《安全生产责任追究制度》进行责任追究，用“三铁”反“三违”，杜绝各种违章违规行为，有效促进安全规程制度的落实。

3.6强化安全用电管理

在开展常规性安全用电检查的基础上，加强临时用电的安全检查，规范安全用电行为，采取灵活多样的方式，有针对性地开展好安全用电知识的宣传教育活动，普及安全用电知识，着眼提高电力用户的自我保护意识和能力，同时要加强三级剩余电流动作保护的安装、投运、检查及管理，有效减少社会人身触电伤亡事故的发生。

3.7签订《供用电合同》，规避安全风险

坚持依法经营，必须在供电区域内与每个高、低压用户签订《供用电合同》，以资产产权分界点为界，明确产权界限和安全管理责任，依靠法律保护，规避安全风险。

3.8加强线路设备维护，提高电网健康运行水平

扎扎实实地开展日常性的设备巡视检查和定期检修，结合季节特点，有针对性地开展好春、秋季安全大检查和安全性评价工作，及时发现缺陷和隐患，制订整改措施和计划并实施，做到闭环管理，把隐患消灭在萌芽状态。

3.9应用现代化的管理手段，提高安全生产水平

科学技术是第一生产力，供电企业要有计划地运用新技术和新设备，来提高农村电网的科技含量，依靠科技进步来提高农电安全生产管理水平。

3.10争取政策支持，减轻压力和风险

资产安全管理范文篇10

1.1电信企业的特点

近10年来，电信企业经历了高速的发展，网络规模庞大、用户数量众多、业务发展多元化，使得电信企业具有了如下的主要运营特点：（1）电信企业业务种类繁多，流程复杂程度高。当前，随着人们需求的多元化和个性化，单一的话音业务已不能满足用户通信的需求，电信企业根据不同细分市场的用户需求提供多种多样的增值电信业务，业务流程复杂性增大。同时，电信企业的部分业务涉及多方参与，除了最终用户，还有众多第三方公司，甚至还有当地政府部门。在监管方面，电信企业也必须依照国家法律对第三方提供内容监管，防止其提供违法信息。（2）电信业务涉及大量的电子业务数据交互，数据涉及用户的个人敏感信息。电信企业内部运作主要依赖于各种IT系统，大部分业务数据和内部管理运作轨迹数据都是以电子数据的形式存在于各系统的数据库中。海量的业务数据中，包含了用户的个人敏感信息，诸如用户个人身份信息、订购信息、交易信息等；内部管理数据中，包含了企业发展战略、重要规章制度、管理信息等机密内容。不同的业务数据之间要进行交互，如果人为通过系统后台改变用户的账户或交易信息，将会对业务结算或者财务带来风险。（3）业务运营和企业内部运作对支撑系统依赖程度高，平台种类繁多。电信企业所提供的服务都需要后台支撑系统的支持，如业务运营支撑系统就承载着计费、结算、营业账务和客户服务等多项核心业务，这些业务都要求有一个高度稳定、运行顺畅、安全可靠的系统。同时，企业内部工作主要依赖管理信息系统，如现在重要的公文审批都会通过OA系统进行签批，业务系统账号申请与维护也是在内部管理信息系统中完成。电信行业的这些特点，不难得出信息化运营和管理在电信行业发展中的重要地位，一旦信息安全出现问题，必将带来十分严重的后果。因此，从电信行业的运营特点出发，构建全面的信息安全合规管理体系，是电信企业实现业务快速、稳定、健康发展的必由之路。

1.2信息安全管理面临的问题

近年来，各大电信企业针对信息安全建设进行了大量的工作，但是依然面临着很多问题，主要表现在：（1）信息安全管控要求多。存在多个部门、维护信息安全制度的情况，缺乏平台化的制度管理机制，具体的执行人员很难在第一时间了解最新的安全制度要求。此外，针对同样的安全管控内容，不同的信息安全制度常常存在标准不统一的情况，令执行人员无所适从。（2）部分信息安全制度中的规定缺乏实质性管控要求，无法明确有效地转化到执行层面予以落实。同时，往往信息安全管理要求没有落实到具体的部门，更没有落实到具体的岗位，面对大量的安全管控要求，执行起来非常困难。（3）信息安全检查缺乏统一的标准，并且主要采用人工检查，每次检查往往需要进行人工访谈、资料查阅、现场测试等多个环节，耗费大量的时间、人力和物力。检查内容、检查方法、检查工具、检查人员的能力等都成为影响检查效果的因素。（4）针对企业各个层面的信息安全管理情况缺乏统一的评价标准，不能进行量化考核；没有量化数据，无法实现对部门和系统合规水平综合评价的数据支撑。（5）没有统一的信息安全合规管理平台，就无法为信息安全合规管理的体系落地、执行提示、监督检查和水平评价提供统一、全面的系统管理支撑基础。

1.3信息安全管理的解决之道

针对上述信息安全管理面临的问题，本文借鉴国际上的GRC管理理念和SOX内控矩阵的思想，按照PDCA管理模式来构建电信企业的信息安全合规管理体系，从而解决信息安全体系化管理难、落实执行难、监督检查难、量化管理难的问题。通过建立信息安全合规管理系统，形成信息安全合规整体视图，实现安全要求、任务执行、监督检查、整改跟踪、量化评价的管理闭环，支撑信息安全全生命周期的管理，最终达到信息安全水平的持续螺旋式提升。

2信息安全合规管理体系

信息安全合规管理应借鉴国际先进管理理念，明确管理体系的核心要素，从信息安全组织与人员的构建、信息安全矩阵的知识支撑、信息安全合规管理平台建设等方面入手，来构建电信企业的信息安全合规管理体系。

2.1GRC理念

GRC理念是国际先进的现代化企业管理理念。作为企业上层建筑，GRC包含了公司治理、战略绩效管理、风险管理、审计、法律、合规遵从、IT治理、道德和企业社会责任、质量管理、人力资本、企业文化、财务等广泛的领域。GRC理念应用的价值在于，以企业管控、风险和法规遵从为对象，为决策层和管理层提供综合信息和流程控制支持，帮助企业安全、高效地实现预期目标。

2.2管理体系的核心机制

信息安全合规管理体系以制度策略、管控执行、安全检查、整改跟踪为主线，实现信息安全合规的闭环管理，也即管理体系的核心机制：（1）制度策略：信息安全管理体系的建设阶段，针对信息安全制度进行统筹化、体系化管理，掌握制度体系建设全貌，有效警示制度的缺失和盲点。（2）管控执行：信息安全管理体系的实施阶段，将信息安全管控要求明确落实到企业的各个责任部门、岗位和人员，具体执行人员在落实管控要求时，都能得到知识的指导和定期的提醒。（3）安全检查：信息安全管理体系的检查阶段，推动执行标准化、统一化、平台化的安全检查，及时发现安全管控薄弱环节，为潜在风险提供有效的预警和整改过程的跟踪。（4）整改跟踪：信息安全管理体系的评价阶段，收集并分析安全检查的结果数据，跟踪整改效果，评价安全管控水平，通过统计视图展现安全合规整体视图，获取可视化的安全决策信息，支撑今后的信息安全建设方向。制度策略和管控执行，对应的即是GRC中的G，前者作为信息安全治理的依据和执行指导，后者正是治理要求在具体执行层面的事实与落实；安全检查，则对应着GRC中的R，检查信息安全治理要求的落实情况和风险规避的水平；合规评价，对应着GRC中的C，评价信息安全管控措施的内外部合规程度，指导未来的改进方向。

2.3管理体系的实现要素

企业任何业务的有效运行，都离不开人、流程和技术3个层面的有机组合。因而，成熟的电信行业信息安全合规管理体系，人、流程和技术也构成了其实现的要素。针对信息安全合规管理，具体来说，“人”这一要素构成了企业的信息安全组织，“技术”这一要素就是指信息安全矩阵，即支撑信息安全管理执行落实、安全检查以及合规评价的知识基础，“流程”这一要素指的是信息安全合规管理平台，将制度管理、控制落实、安全检查、合规评价以及整改等信息安全管理流程固化到平台中，提供流程化、平台化的高效管理。

2.3.1信息安全组织

电信企业都是大型企业，包含有集团总部和各个省市公司，因而应该建立自上而下、分层分级、涵盖各IT相关部门的信息安全组织。信息安全组织由安全决策层、安全管理层和安全执行层3个层面的人员组成。安全决策层负责制定公司的信息安全目标、掌握整体的信息安全管控与风险水平，部署信息安全改进建设方向。安全管理层负责制定并审查信息安全制度规定，建立信息安全的管控要求、执行标准和检查依据，监督安全问题的整改落实情况。安全执行层主要是按照要求，落实好公司的各项管控要求，保证信息安全工作落实到岗到人，对于存在问题的地方做好彻底的整改工作。

2.3.2信息安全矩阵

信息安全合规管理的核心是建立信息安全矩阵。需要对内外部信息安全合规要求进行体系化梳理，建立信息安全矩阵框架，包括控制矩阵、检查矩阵、对应矩阵以及资产矩阵。控制矩阵，主要提供信息安全的各项管控要求，指导执行人员予以落实，其关键属性主要包含有控制点描述、控制领域、控制类型、控制频率。检查矩阵，主要提供对控制矩阵中的各个控制点执行情况的好坏，提供检查的标准和具体的检查步骤，用以指导检查人员进行安全检查工作，其关键属性主要包含有检查点描述、检查方式、检查步骤、检查点固有严重度、执行建议、控制点编号、资产类型。对应矩阵，主要提供企业内部信息安全制度与信息安全控制矩阵的对应关系，便于相应的查询分析的需要；提供外部信息安全监管规范要求与信息安全控制矩阵的对应关系，便于分析当前的控制矩阵是否能够充分满足外部监管机构的监管要求，其关键属性主要包含有内部制度/外部规范控制要求编号和控制点编号。资产矩阵，主要提供对信息安全资产进行定义、分类、管理和查询等；为控制点执行管理、信息安全检查、信息安全合规与风险评价等，提供统一的资产数据接口，其关键属性主要包含有资产编号、所属部门、资产责任人、资产类型、资产重要性等级。如图1所示，通过信息安全各个矩阵的映射关联关系，可以进行多维度的查询分析。

2.3.3信息安全合规管理平台

在构建了企业级的全面层次化的信息安全组织，建立了信息安全矩阵后，为了能够有效地进行信息安全合规闭环管理，就需要搭建一个信息安全合规管理平台，支撑各个信息安全管理流程的平台化管理和实施。信息安全合规管理平台，从业务角度出发，需要实现以下功能需求：（1）企业各类信息安全管理工作要求能够成体系、易维护。（2）企业任何人员可以通过该平台了解企业针对自己所属组织乃至自身所提出的信息安全工作要求。（3）企业各级部门通过该平台明确自己的安全工作目标，各级信息安全管理部门可以通过该平台对企业各组织、系统进行安全管理工作检查、评价和整改指导。（4）企业各级信息安全管理部门可以通过该平台进行安全风险分析和量化评价。

3信息安全合规管理平台的建设思路

为了有效地解决电信行业当前信息安全合规所面临的问题和挑战，未来的合规平台将通过制度管理、信息安全矩阵管理、执行管理、合规检查、合规风险评价等功能模块，来实现并支撑信息安全合规的全生命周期流程管理。基于上述各功能模块的平台整体业务功能框架视图如图2所示。其中，平台的核心功能主要包含如下。（1）信息安全矩阵管理：该功能模块主要提供信息安全矩阵的导入导出与维护管理、关联查询、版本管理和分级管理等功能，支撑对企业各级公司均适用的信息安全矩阵的统一和管理，作为整个企业的信息安全管控要求的统一标准。（2）执行管理：该功能模块主要是提供执行任务分配、执行人变更管理、控制执行提醒和控制执行查询等功能，保证将控制点和检查点的具体执行要求落实到具体的控制点执行人员；针对那些周期性执行的控制点，通过平台向执行人员定期发送提醒，督促其按时完成控制点的执行要求。（3）合规检查：该功能模块主要是提供检查计划管理、人工检查管理和自动检查管理功能，用来完成信息安全检查计划的制定，对人工检查和自动检查进行过程管理，在线记录或者自动生成相应的安全检查结果。（4）合规风险评价：该功能模块主要是根据安全检查的结果，提供量化的合规评价、风险评价和综合评价功能。合规评价，主要是通过对检查点结果统计，得出满足检查要求的控制点的比例，主要反映控制点管控落实的工作量。风险评价，主要是针对那些不合规的控制点，根据其实际的执行情况，分析并得出该控制点的潜在风险高低和影响大小。综合评价，主要是基于对合规满足度的评价结果和不合规控制点的风险大小，综合给出合规管控工作的完成效果，便于进行横向比较。根据电信企业的特点和信息安全分级管理的需要，可考虑实施集团总部和各个省市公司的两级/多级平台基础架构的部署。其中，集团总部的合规一级平台将主要负责制度管理、信息安全矩阵管理，制定全集团的安全检查计划，分析和评价各省市公司的安全管控水平和风险。省市公司的合规二级平台，则侧重于分配落实好集团控制矩阵的各项控制点和要求的责任人，落实集团或者制定省内的安全检查计划，实施安全检查工作，分析和评价省内的安全管控水平和安全风险，根据检查结果完成后期安全整改工作。

4信息安全合规管理体系的应用与价值

通过搭建信息安全合规管理平台，实施信息安全合规管理体系，能够带来重要的价值。（1）提升信息安全管理的统一性和有效性。将分散的信息安全制度进行集中管理，形成以信息安全合规矩阵为核心，在全公司普遍适用，具有标杆意义的制度框架体系。通过制度体系在平台中的固化，可以随时随地进行信息安全制度的查询、分析和对标，制度体系的更新与维护也变得十分便捷。同时，建立整个企业的标准的信息安全合规管理体系框架，通过平台统一企业总部及子公司的信息安全管控落实与检查评价工作，有效避免实际执行工作中的差异性。（2）实现信息安全合规管控落实的常态化和流程化。通过信息安全合规管理平台固化了信息安全管控执行流程和信息安全矩阵，包括控制执行方式、控制执行频率、控制所属岗位、控制关联资产配置等信息，指导具体的IT人员执行落实安全管控的工作要求。通过执行工作的流程化，将安全管控要求落实到人，确保管理要求能有效执行，或结合安全控制要求的执行频率，定期自动向执行人员发送例行提醒，推动合规管控落实的常态化。（3）提升信息安全合规检查的效率。通过集成标准化检查工具，遵循规范的检查要求和步骤，大大降低了人工检查的成本，避免检查过程中标准不一致和质量参差不齐的问题。针对不同的专项检查需要，可以通过平台方便地定制有针对性的检查计划。针对新的内外部信息安全监管要求，能够及时便捷的更新补充相应的检查内容和要求到平台中，保证与外部监管要求的一致性和实效性。同时，针对检查中发现的问题，通过平台能够提供流程化的整改任务派发工单，发送给安全管理人员予以整改，并限定时间，与提醒机制联动，整改过程可以通过平台进行有效的跟踪，保证信息安全问题得到及时整改。（4）提升信息安全合规的量化评价水平和决策支撑能力。建立统一的信息安全量化的评价体系和标准，固化到平台中，实现安全合规水平的量化管理，结合平台的数据处理分析能力，提供信息安全合规管控情况和风险的多维度、可视化视图。执行层可以获得基于部门、省市公司、IT或者业务流程、资产、外部合规要求等不同维度的统计和分析信息，为信息安全合规工作的持续改进提供充足的信息。管理层可以通过统计的结果，直观地掌握企业整体安全管控水平全貌和当前面临的主要风险，为决策提供有力的数据支撑。

5展望