加强信息安全管理精品(七篇)
加强信息安全管理篇(1)
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
三、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
四、信息安全前景:
在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展,电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上,还要及时关注新技术,不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。
加强信息安全管理篇(2)
关键词:校园 网络 文化 管理
网络成为了高校师生获取知识、进行交流的重要渠道,并对广大师生的学习、生活乃至思想观念产生深刻的影响。同时,网上良莠不齐的信息增加了青年学生辨别真伪的难度,容易产生某些思想的混乱,影响高校和社会的稳定。加强学校网络文化建设与管理,净化网络育人环境,非常之必要。目前,很多高校开办了自己的官方网站。高校对外网站是学校对外宣传、开展教科研活动、进行教学交流、呈现学校资源的网络平台,是展示学院形象和学校教育的重要窗口。学院主页及部门网页的内容和编辑不仅反映了学校的水平和形象,也将影响到学校的招生、就业,科研项目的争取等关系发展的重大事项。利用好、建设好、管理好校园网站,是高校网络文化建设的主要途径之一。要把校园网站建设成为传播主旋律的主渠道,信息安全是第一要务,主要就是要加强制度建设和信息员队伍的建设。
1 制定严格的对外网站信息管理办法
高校加强对外网站管理的制度建设的核心内容是制定严格的《网站信息管理办法》,主要应包含以下规定:①网站信息的必须遵守国际、国内有关法律的规定。不得与宪法和法律相悖、危害国家安全和利益的、宣扬封建迷信、侮辱诽谤他人的、破坏学校安定团结、有损学校形象等有关法律、法规禁止的信息内容。②高校网站信息的管理部门是党委宣传部,各系部也要成立部门的网站管理小组,配备部门的网站信息员。网站信息员名单需报学校备案。③网上信息采取责任追究制度,信息工作坚持“谁谁负责”的原则,网站信息员对本部门网站信息的安全性、准确性负责。登录密码和帐号一般应由网站信息工作小组组长和信息员掌握,不得向他人泄漏。④学校党委宣传部负责学校外网主页内容的审查和更新,负责各部门网页内容的审查和备案,负责校园网络信息安全的监控、负责校园网络突发事件的预防和处理、网络舆论情报的搜集与反馈等。⑤各系、各部门定期在校园网上充实更新部门网页,充分利用网站宣传学校,提升学校的知名度和美誉度。各部门的信息内容必须由网站信息小组组长确认,并交学校党委宣传部审核、备案后方可。⑥任何部门未经申请同意,不得私设部门网站,各种信息,更不准将个人网站链接到学校网站。
2 高度重视网站信息员队伍建设
建立一支高素质的网站信息员队伍是用积极、健康的思想文化占领网络阵地、进一步净化校园网络环境的重要手段,也是加快和谐校园建设的一项重要任务。
2.1 信息员的选任条件和要求 ①具有较高的思想政治素质,有较强的政治敏感性和政治鉴别力,能较好地把握正确的舆论导向,有较高的政策理论水平,具有一定的思想政治工作经验或学生教育管理经验。②了解掌握高等教育法律法规,熟悉高等教育政策和学校的基本情况,具有较强的工作责任心,富有社会责任感、正义感,热心服务高等教育的改革和发展。③熟悉网络基本操作技术,了解网络传播特点和规律,善于运用网络语言,知识面广,有较强的文字功底。
2.2 信息员的职责义务 努力充分挖掘本系部信息题材,弘扬本系部正面舆论,利用学校网站传播平台和技术支持,把校园网建设成为立德树人的新阵地,师生精神文化活动的新空间,校园文化和服务的新平台。
①信息员要充分调动本系部教师、学生提供有价值信息线索的积极性,尤其是学生干部的积极性,对系部、师生中出现的新闻信息要及时报道,写成通讯发送到学校网站上。②信息员要及时关注关于学院和本系部的网上舆论信息。经常查询关于学校和本系部的网上评论,重大问题要及时向宣传部报告。③信息员要主动介入校园BBS和校外一些网站的交互式栏目(论坛、贴吧、说吧、留言板等),在网上就师生关注的热点问题、难点问题参与评论,积极跟帖。还可以通过创建贴吧,QQ群,播客、在论坛上发表文章等形式,用生动活泼的语言,塑造学校和各系部的正面形象。④对于突发事件,信息员要及时引导网上舆论,维护正面声音,最大程度消除各种负面影响,维护学校稳定。信息员要加强对学生思想动态和活动情况的调查了解,对校园网上表达正能量的信息,要予以保留和支持,加强正面引导力度。对未经证实的信息和各种制造恐慌、影响稳定的谣言,要认真核实、及时澄清、公开辟谣。⑤信息员要不断加强政治理论、高等教育法律法规、政策以及网络技术等方面的学习,努力提高理论素养、政策水平和业务水平,以高度的政治责任感和历史使命感,按照“加强网络文化建设和管理,营造良好网络环境”的要求努力创造文明健康、积极向上的校园网络文化。
2.3 加强信息员队伍建设的组织领导 要不断加强信息员队伍建设的组织领导。党委宣传部定期召开会议,听取网上舆情引导工作汇报,及时解决网络评论工作中出现的问题。党委宣传部负责信息员队伍的人员选拔、业务培训、工作考核、实绩奖励。不断完善网络信息员培训和学习机制,特别是要在如何有效地提高舆情引导能力,消除负面影响等方面加强培训,不断提高信息员政治业务素质、网上舆论引导能力和计算机网络应用水平。
参考文献:
[1]李欣.高校校园网络安全探索[J].中国现代教育装备,2007(01).
[2]龙冬阳.网络安全技术及应用[M].华南理工大学出版社,2006.
[3]黄昌富.网络不安全因素[J].信息网络安全.2004(08).
加强信息安全管理篇(3)
关键词 军队院校 信息安全 保密管理
中图分类号: G482 文献标识码:A
随着军队信息化建设的全面推进,计算机网络在军队院校的应用越来越广泛,在其丰富信息资源、方便信息共享、提高工作效率、拓展指挥手段的同时,也给信息安全保密工作带来新的问题和隐患,加强军队院校网络信息安全管理已经成为当前保密工作的重点和难点。
1军队院校网络信息安全工作存在的问题
1.1网络安全建设技术基础和防护能力薄弱
军队院校网络安全防护体系基础建设相对滞后,重建设轻防护的现象普遍,很难达到与网络建设同步规划,同步建设,同步验收。网络安全防护手段和设备总体比较落后,现有的安全防护系统和设备陈旧,在网络访问控制、审计跟踪、入侵检测、漏洞扫描、病毒防范等方面存在一些隐患,安全保密防范能力弱,整体防护效能较低。
1.2管理制度不健全,落实不严格
近年来,国家和军队相继出台了一系列网络安全保密的法规制度,从一定程度上规范了军队网络信息的安全管理,但还不能充分满足军队网络信息安全管理的发展需求,许多方面还需要根据单位实际情况进一步完善。很多院校网络重使用轻管理,军队已有的政策、法规贯彻不够有力,落实不够严格,如访问权限划分不严格,上网信息审查把关不严,信息监管不力等,给信息安全保密管理带来一定的隐患。
1.3网络信息安全防范意识与技能不强
军队院校计算机网络用户快速增长,但部分人员网络知识缺乏,安全意识不强,不能正确认识信息安全保密工作面临的严峻形势,网络终端不设置开机、登录、屏保口令,不安装、升级杀毒软件,不修补系统漏洞补丁,不关闭无关的共享和服务程序,对系统的安全漏洞不能及时升级或修补,网络安全意识和防范能力较弱,降低了网络安全防护能力。
1.4网络管理人员素质不高
部分院校网络安全管理人才匾乏,安全措施不到位,设备配置不科学,网络安全管理的技术和经验不足,责任心不强,出现安全问题后缺乏综合性的解决方案,整个信息安全系统在迅速反应、快速行动和预警防范等主要方面缺少方向感、敏感度和应对能力,在整个网络运行过程中缺乏行之有效的安全检查和应对保护制度。
2做好军队院校网络信息安全工作的主要对策
2.1完善技防措施,打牢网络防护基础
按照军队有关要求和建设标准,大力加强信息安全防范设施配套建设,建立完善的技术防护体系。一是要及时更新完善网络硬件防火墙、入侵检测系统和杀毒软件数据,建立病毒特征码库、漏洞补丁库,定期进行漏洞修补和病毒清理,不断提高信息网络安全防御能力。二是要加强终端安全防护,采取主机登录控制、端口权限绑定、外联监测封堵和安装内网综合防护系统等措施,对网络运行和终端操作行为进行实时监控,防止非授权计算机接入网和“一机跨两网”,采取安装注册《保密管理系统》、正确设置管理策略等措施,封堵外设接口,防止非授权电子设备接入拷贝数据。
2.2健全网络安全管理法规,加大管理力度
健全的制度和严格的管理是做好网络安全保密工作的关键环节。军队院校网络要适应信息化发展的要求,不断完善各项网络安全管理法规、制度,坚持技术防范与强化管理相结合。一是要加强制度法规建设,依据上级有关法规,结合本单位实际,制定信息网络管理使用的基本制度,明确信息网络安全防御的基本任务,规范信息网络安全防御建设的基本流程,使信息网络安全防御步入正规化、法制化轨道。要建立身份鉴别、访问控制、信息加密等制度,严格资格审查和工作监督。二是加强经常性的监督检查,既要检查人员管理情况和规章制度落实情况,又要检查系统、设备等运行使用情况,将各种隐患消灭在萌芽状态。
2.3强化网络安全保密教育,增强信息安全意识
强化网络安全保密教育是做好网络安全保密工作的基础和前提。一是要开展经常性的信息安全保密教育,通过开展多形式的宣传、教育、学习活动普及网络安全保密知识,结合分析典型泄密事件,提高官兵对信息安全保密重要性和泄密危害性的认识,提高官兵的网络安全保密观念和责任感。二是要有计划地对官兵进行安全技术教育和培训,使官兵及时掌握相关理论知识和防护技能,形成网络安全防护齐抓共管的局面。
2.4注重网络信息安全人才培养,提高信息安全管理能力
加强信息安全管理篇(4)
[关键词]高校 安全管理 网络防范 对策
[作者简介]王华彪(1973- ),男,湖北汉川人,河北建筑工程学院,副教授,硕士,研究方向为思想政治教育。(河北 张家口 075000)孙智宏(1981- ),男,吉林长春人,河北广播电视大学党(校)办副主任,讲师,硕士,研究方向为思想政治教育、职业指导。(河北 张家口 050000)林青(1978- ),男,河北南宫人,河北建筑工程学院,讲师,研究方向为思想政治教育。(河北 张家口 075000)
[基金项目]本文系2014年河北省哲学社会科学基金项目“实现中国梦愿景下培育和践行社会主义核心价值观研究”(项目编号:HB2014WK023)、2013年河北省哲学社会科学基金项目“新媒体语境下政府应对网络舆情的对策研究”(项目编号:HB13ZZ004)和2011年河北省教育厅人文社会科学青年基金项目“七位一体的思政理论课实践性教学研究”(项目编号:S2011408)的阶段性研究成果。
[中图分类号]G642 [文献标识码]A [文章编号]1004-3985(2014)35-0177-02
一、信息多变性,传播快捷性,网络时代给高校安全管理带来诸多挑战
1.网络信息的多变性和丰富性,使高校安全面临巨大挑战,受不良信息负面影响持续加大。当今社会,信息的巨大冗余是高校师生最直接的感受,信息以网络形式为主,结合其他不断进化的传统媒体,无时无刻不在浸泡着年轻一代师生。其中一些极具煽动性和蛊惑力的偏激言论,如与当前社会的负面因素相联系,必然会使青年师生的世界观、价值观受到强烈的冲击和影响。保持广大师生思想、政治上纯洁稳定,难度增大,任务艰巨。
2.网上沟通的复杂性和隐身性,使新的犯罪诱因大量滋生,给高校预防工作带来诸多问题。互联网、移动通信等新型信息交流平台的特有属性,对人们的思想、行为和社会交往方式产生了深远影响,也衍生出许多新的诱发违法违纪问题的因素,给高校预防犯罪工作带来诸多新的课题。一是网络使犯罪活动隐身。手机、互联网交流的匿名性、虚拟性特点,助长了个别人以此进行违法犯罪活动的侥幸心理。近年来,高校发生的各类犯罪案件中,涉案人员都想方设法利用手机、网络的这种特性进行违法犯罪活动。二是网络使聊天交友便捷。手机、互联网交流的适时性、开放性特点,为个别师生不正当交往提供了便利渠道。随着拇指一族、网络一族走进高校,以网上交流不当而导致的违法违纪问题层出不穷。三是网络使痴迷者心理失衡。网上聊天、网络游戏的依赖性、成瘾性特点,使许多痴迷者产生了严重的网络心理问题。近年来,师生心理问题引发的案件事故逐渐增多,其中网络心理问题占有相当比例,应予以高度关注。四是网络使不良信息泛滥成灾。互联网是一个畅通无阻的虚拟世界,使信息交流呈现出前所未有的便利和开放性特点,从而使信息内容的可控性大大降低。长期接触网上不良信息,部分高校师生极易产生心理偏差,进而导致大量心理性疾病的产生。
3.网络传播的适时性和快捷性,使不良事态发展难以控制,给高校危机管理带来新挑战。一是事态发展难把握。信息化条件下,一件极小的事情,一旦处置不当就可能通过网络迅速升级,引起师生广泛关注,甚至使参与者成几何级数增长,最终导致事态越来越严重。二是影响范围难控制。网络时代条件下,即便是发生在偏远地方的事件,只要进入网络就会被迅速扩散,引起广泛的社会影响。三是负面影响难消除。任何信息只要接触网络,往往都会在极短的时间内被克隆延伸出无数个版本,转接到各个网站,甚至被下载到各个网络用户的终端,无法彻底清除。高校发生的各类问题,只要被发送到互联网上,就很难根除痕迹,随时有被人任意篡改、恶意歪曲、重新炒作的可能。必须清醒认识到信息网络所具有的负面作用。
二、认识有偏差,防范不到位,网络尚未完全纳入高校安全管理范畴
1.对网络的现实威胁和潜在影响,认识不够。一是对网络信息的影响力认识不清。对网络信息给师生思想带来的消极影响认识不清楚。有的认为网络信息如同报纸、电视、广播等大众传媒一样,是社会发展到一定阶段的必然产物,忽视了必要的教育引导;有的不善于学习研究新事物,对网络信息一知半解,对网络信息的危害说不清、道不明,缺乏教育引导的说服力。二是对网络窃密的严峻性认识不清。对网络技术已成为隐蔽敌对势力渗透重要工具的现实危险认识不清楚。有的思想麻痹,对隐蔽敌对势力进攻的猖狂程度估计不足,有的敌情观念淡薄,对互联网给意识形态渗透工作带来的冲击和影响估计不足。三是对涉网事件的冲击力认识不清。对涉网事件可能给高校声誉、政治稳定造成的恶劣影响认识不清。有的高校思想政治工作者仍然只注意传统媒体信息,对网络信息关注不够,特别是对涉及高校的负面信息在网上的传播、炒作缺乏应有的警惕。
2.对网络的巨大冲击和负面因素,措施不利。一是思想工作不深入。有的搞教育时不注重对象,不从实际出发,“一刀切”“一锅煮”;有的矫正错误思想软弱无力,少数师生受社会错误思潮的影响,拜金主义、享乐主义和极端个人主义不断增长,甚至在日常生活中都有所流露,所在单位普遍忽视对他们的教育帮助,错失了将事件扼杀在萌芽状态的良机。二是交往关口没把住。不正常对外交往是案件和问题发生的重要原因。有的案犯案发前就交往过滥,单位不少人包括高校的党政领导都可能知道,但没有人制止;有的学生平时生活西化,酗酒上网,夜不归校,高校学工干部没有深究细查;有的热衷网络交友,有事不找教工找网友,经常去网吧,或与网友约会,甚至把网友带入校园留宿,但学校却没有采取有效措施解决。
三、教育谋实效,管理求科学,加强信息化条件下高校安全管理工作
1.加强警示教育力度,筑牢高校安全管理的思想防线。一是教育要有针对性。就警示性法制教育效果而言,教育要有针对性,立足师生不同的文化程度、不同的家庭背景、不同的生活经历、不同的思想觉悟、不同的工作性质、组织的不同教育内容和教育方法,做到因人施教,因事施教,因时施教。人员上要区分干部、群众,科研岗位、教学岗位、服务岗位干部和高年级、低年级学生等层次;环节上要区分入学、实习和社会实践等学习时段;时机上要区分重要节日、重大活动、敏感时期、季节变化、重大舆情发生及毕业生离校、新生入学、干部调整工作接替敏感时机等。二是教育要有渗透性。要把教育渗透到具体工作中,结合师生的本职岗位、本职工作搞好经常性教育。把教育渗透到现实生活中,注重运用身边违法违纪的人和事,教育警示师生,让师生切实感受到违法违纪行为给他人、自己、家庭、高校、社会造成的严重危害,自觉远离违法乱纪。要把教育渗透到校园环境中,坚持点滴养成,耳濡目染,在校区、实习场所以及办公场所等重点部位,适当张贴警示性标语,营造警示性氛围,使师生抬头见警示、低头思责任,时刻注意安全稳定。通过强有力的教育渗透,真正使企图违法犯罪的人受到震慑,知道违法犯罪是要受到法律制裁的,使心存侥幸的人悬崖勒马,使违反纪律的人受到警醒,使每一名师生都受到触动,知道工作失职酿成重大案件是要追究责任的,自觉远离法律的“高压线”、划清道德的“情感线”、把握工作的“原则线”、绷紧学习的“意识线”。三是教育要有融合性。善于把警示教育与高校主题教育相融合,搞好统筹,保证效果。善于把警示性教育与管理相结合,既突出教育的引导作用、警示作用,更发挥教育的行为规范作用,让师生边提高思想认识边矫正不良行为,培养良好的思想道德品质和行为习惯。四是教育要有覆盖面。警示性教育必须强调覆盖全员,既要抓基层师生,又要突出领导机关和学工干部;既要抓好在校人员的基本教育,又要强化外出实践学习流动人员的延伸管理,确保人人受教育,个个受触动。
2.把握网络问题重点,做好高校涉网案件的预防工作。注重预防受网上舆论影响可能发生的政治性问题。针对网上集中出现的政治性敏感、热点话题和错误言论以及各种不良政治信息,要保持高度的政治敏锐性。始终把坚定师生政治信仰、把握高校的社会主义办学方向、确保党对高校的绝对领导,放在安全稳定工作最核心、最重要的位置来抓。及时加强对师生的正面教育和思想引导,澄清各种错误思想的影响和干扰,严格政治纪律,坚决抵御、反对不负责任的政治言论,坚决查处违背政治纪律的言行,确保高校政治上的集中统一。注重预防网上敌对势力和错误思潮的引诱。近年来,高校发生的此类案件和问题重点集中在以下五种人:犯了错误、受了挫折,丧失了前进动力的人;提职无望、晋升职称泡汤,认为组织亏待了自己的人;纪律性差、经常外出,交往过滥的师生;追求高消费、花钱大手大脚,经济花费超出家庭承载供给能力的学生;个人家庭生活困难且长期得不到解决,思想波动较大的人。要重点加强教育和管控,切实掌握他们的思想底数和行为动向,满腔热忱、想方设法帮他们解决工作和生活上的各种实际困难。网络信息交流已成为当下师生社会交往的重要渠道之一,特别是网络征婚、求偶、,对高校年轻师生更具吸引力。要通过深入细致的思想政治工作,真诚务实地抓好高校内部风气、内部关系建设,切实把师生从被网络恋情的虚无寄托中拉回来,防止由此引发的各种违法违纪行为。
3.妥善处理涉网危机,确保高校危机管理不失控。网络时代条件下,高校安全稳定与社会的关联性、互动性进一步增强,案件和问题的多样性、突发性和不可控性特征明显。一般性案件问题诱发、转化为重大安全问题的可能性大大增加,及时稳妥地应对处置各种危机问题至关重要。危机处置要“快”。受领情况要快,行动部署要快,调查处置要快,善后处理要快,要用处置工作的高速度和高效益来应对网络传播的高速,通过快速反应取得的正面效果来遏制消除网上可能形成的负面影响。问题解决要“早”。危机具有复杂性和传染性,特别是在信息化条件下,信息传递扩散的速度快,控制影响难,如果危机处理不当,极易带来连锁反应,使小问题酿成重大安全问题,个体问题扩展成,单一问题发展成复杂的国际外交问题,必须见事早、反应快,及时采取有效措施,努力把危机化解在初期、控制在局部、解决在当地,把危害控制在最小程度。处理质量要“高”。危机处置事关所在单位和相关人员的切身利益,如果凭感情、想当然,主观臆断,草率从事,处理不公,极易拖泥带水,产生一系列后遗症。在危机处置过程中,应严格掌握政策法规,坚持客观、公正、准确,坚持精到、坚决、彻底,努力使问题的处理经得起政策、法律和历史的检验,做到案结即事了,不留后患。校内校外联合要“牢”。危机处置涉及高校建设的方方面面,网络时代条件下发生的的可控性差,仅靠高校自身很难控制局面,需要高校和地方维护治安的公安人员联合采取行动,才能尽快平息事态。在危机处置中应充分发挥地方政府和有关部门的资源和技术优势,加强沟通协调,在资源共享中消除危机,在互助共赢中维护稳定。
[参考文献]
加强信息安全管理篇(5)
改革开放以来,顺应信息全球化的潮流,我国的科学技术也得到了迅速的发展。信息全球化将来自世界各地的信息进行无障碍的整合传输,使人们获取信息的渠道更加广泛,获得信息更加高效。但在信息高度共享化的局面下,对信息安全的管理意识也应该得到不断的加强。尤其是基于政府角度考虑,对电子政务信息的安全管理应该实施有效措施进行严加管控。政府信息的安全直接决定着国家安全,政府必须以维护国民安全的名义维护电子政务信息的安全。
1 电子政务信息安全概述
电子政务信息是在社会信息化和共享化影响下发展出来的一种更加便捷的政府工作组织结构,通过对计算机和现代信息技术的使用实现精简高效、廉洁公正的一种政府运作方式。一般情况下将电子政务信息模式分为两种:一种是在政府内部使用,对政府内部的信息化管理的技术;另一种是联系政府和民众的电子政府信息系统,旨在加强群众监督和政务信息的交流。由于这些电子政务信息模式都是以电子信息和计算机网络为媒介,而众所周知,计算机信息传输虽然迅速,但容易出现安全问题,造成信息的泄露。因此,加强电子政务信息在传输过程中的安全管理,保证政务信息能够快捷迅速地传输,保证民众接受的信息准确。只有如此才能保障我国政府系统的正常运行。
2 电子政务信息安全保密管理现存的问题
2.1 信息安全技术水平有待提高
由于我国正处在科学技术的高速发展时期,因此本质上信息安全技术水平是低于国外发达国家的水平的。在信息安全技术的发展上,虽然意识到其中的重要性,但限于技术水平,而无法达到理想的信息安全技术水平目标。我国的信息安全技术水平还是有很大的提升空间的,应该加强对信息安全方面的科研力度,提升我国的信息安全技术水平。
2.2 保密管理体制不完善
保证政务信息安全的基本前提是拥有较高的信息安全技术水平,但这并不意味着信息安全就能得到完全保障,信息保密管理体制是保障信息安全技术能够有序有效实施的前提。但在我国的信息安全管理系统中,管理條例和体制还不是十分完善,还需要进一步加强。
2.3 相关法律法规建设滞后
管理体制的不完善主要是管理条例不完善,管理体制存在漏洞或不合理,相关法律法规也无法对应建立。拥有完善的管理体制和管理条例是相关法律法规有的放矢的前提,因此没有完善的管理体制和条例,就无法及时地进行法律法规的制定或修补,从而导致了相关法律法规的制定滞后。
2.4 电子政务系统使用人员安全意识欠缺
拥有强烈的信息安全意识是实现信息安全管理的重中之重。由于我国的电子政务系统使用技术相对迟缓,因此对政务系统电子信息的安全保护意识并不强烈。电子政务系统的使用人员对电子政务系统的使用和操作也并不规范,由于安全保护意识薄弱导致政务信息泄露,危害政务系统的健康运行。
3 电子政务信息安全保密管理的强化策略
3.1 建设信息安全系统
信息安全系统的建立是为信息安全管理的措施实施提供程序结构,通过对基本的系统结构的建立来确定管理系统的骨架,根据基本框架就容易进行细节的修订和完善。而且,建设信息安全系统为加强电子政务信息的安全管理提供了基本条件,拥有科学合理的信息安全系统能使安全管理工作更加高效地进行。政务信息安全系统的建立应该更加注重对信息公开、群众监督、政府信息安全、信息交流等综合因素的考虑。尽量在信息安全系统建立时,对各种影响因素考虑全面。
3.2 制定有效的规章制度
任何机构工作效力的产生都必须建立在有序合理的基础之上,而制定相关的规章制度,对工作过程进行管理和调整是确保机构工作效率的关键。因此根据建立的信息安全系统进行相关规章制度的制定,通过科学合理的方法使二者产生对应的制约关系,加强信息安全系统的可控制性,有效提高信息安全系统的工作效力。在进行相关规章制度的建立时,同时考虑信息技术方面和管理实施两方面的影响因素,着重考虑规章制度的可实施性和实施效果,确保所制定的规章制度是科学合理、切实可行的。
3.3 建设有效的信息安全管理机构
建立信息安全管理机构是为了能将安全管理措施落到实处,对安全管理进行实际效力的施行。信息安全管理机构是信息安全的直接保障者,在信息安全管理机构的设置上要考虑其设置的合理性,至少要保障信息安全管理机构对基本安全管理措施的实施能力,同时还要保证相关管理机构能够对该机构具有一定程度的有效管理来确保其运行秩序。
3.4 加强工作人员保密意识、培养专业人才
工作人员作为信息安全管理的基本组成单位,对信息的安全具有不可推卸的责任,对信息的保密拥有重要的意义。在工作人员的选拔上,相关单位一定要对其专业知识、工作素养等进行考量。对在岗人员也要进行职业道德、职业素养和职业能力的定期培养,提高工作人员的保密意识,规范工作人员的操作,培养更加专业的人才。
3.5 做好信息公开保密审查工作
对公开信息和保密信息要有一定的区分标准,通过相关审查部门对信息的可公开性进行审查后再确定政务信息是否纳入政务信息系统,是否完全公开或部分公开。这就需要建立严谨的审查制度,对审查部门的资格进行严格审定,确保其审查效力。另外还要对审查后的信息进行公开部门的选定,对公开部门的公开资格也要进行明确规定,对其可公开信息的公开平台进行合理选定。
4 结 语
综上所述,对电子政务信息的安全保密管理工作并不是通过简单的单方面技术或意识的提升就能够完成的,而是必须进行综合能力的提升。通过信息安全保护意识的加强、信息管理系统的完善、严谨的信息审查、完善的规章制度等工作的全面提高,来实现对电子政务信息的安全管理。
主要参考文献
[1]王小红.电子政务信息安全保密性管理探析[J].卷宗,2016,6(1):246.
加强信息安全管理篇(6)
关键词: 美军;军事信息;安全管理;启示
中图分类号:E712 文献标识码:A 文章编号:1006-4311(2014)01-0201-02
0 引言
获取一场军事斗争的胜利的一个重要因素就是信息,随着现代信息技术的迅猛发展,原先处于从属地位的信息现在已经上升到了主导地位,让战场发展成了“陆海空天电”的五维空间。从某种程度上来说,第五维空间就是“信息”空间。所以,在未来的军事斗争中信息战一定是主要形式,而信息安全也不可避免的成为未来军事斗争输赢的
关键。
1 军事信息安全管理的概念
军事信息安全管理,是综合运用各种手段,确保军事秘密信息、信息设施等安全保密的活动。信息安全管理的对象,是信息活动的过程以及从事信息活动的人员及其物质手段。军事信息安全管理,涉及的内容和环节多,是一项政策性、技术性很强的系统工程,只有建立完善的信息安全管理体系,把信息安全管理与安全法规结合起来,整个网络信息系统的安全才有保证,国防安全才能有保证。
2 军事信息安全管理的意义
战争史上,信息保密曾推动了现代信息技术的发展。随着信息技术的发展,信息战的具体样式也越来越丰富多彩。在信息获取、处理、传输、利用各个环节上都存在着泄密的可能,所以加强军事信息安全管理具有重要意义。①军事信息安全是国家安全的重要保证。由于信息时代里信息是继能源之后的一种战略资源,国家除了政治之外还有信息,国家安全不仅局限于领土、领海和领空这些物理边界,还受到信息边界的影响。维护信息安全已经成为国家安全的重要安全领域。②军事信息安全是维护国防的重要措施。由信息安全的概念可知,军事信息安全也要涉及信息自身的完整性、可用性和合法占有性。但军事是一种国家和社会政治集团之间的武装对抗关系,军事信息安全不仅表现于和平时期,更表现于战时,军事信息安全不仅要诉诸法律,而且要诉诸武力。窃密与反窃密、渗透与反渗透,历来是军事领域中的敌我双方隐蔽斗争的一种形式。只不过,信息时代窃密与渗透的手段更加隐蔽、更加复杂。对军事信息安全管理,即确保平时维护军事信息的完整性、可用性和军事信息的合法占有,为国防和军队建设服务,战时使己方信息安全畅通,遏制敌方信息畅通传递,夺取制信息权,为打赢信息化战争奠定基础。③军事信息安全是军队信息化管理的重要内容。信息安全保障问题,是军队信息化建设的基础性工作之一。在国外,各发达国家对此都给予高度重视。当前,我军正大力推进信息化建设,提高基于信息系统体系作战能力,必须努力提高军事通信网信息安全管理水平。分析国内外军队建设的实例可以发现,越是信息化水平高的军队,它对信息安全管理的依赖就越大。一方面,要想让信息系统价值最大化,得到更多的军事效益,保证信息系统的安全可靠是关键环节。另一方面,一旦信息系统的安全性得不到保障,会给国防和军队造成很大的安全隐患。
3 美军军事信息安全管理
美国是世界上网络技术应用最广泛的国家,美军是世界上最依赖信息技术和网络技术的部队,同时,美军也是世界比较早在各层次上建立了网络信息资源安全防范体系的军队。
3.1 建立网络技术管理体系,确保信息系统保密安全
为了加强网络的防护,美军采取了一系列的新措施,加强自身的信息保密安全防范体系,比如美国安全局成立网络安全中心机构、美国国家安全委员会成立国家保密政策委员会和信息系统安全保密委员会等,这些机构的形成使美军建成了一个全方位的信息保密安全防范体系。此外,陆海空三军还分别设立了“信息管理主任执行委员会”、“空间和信息战指挥与控制局”和“网络战司令部”、“网络危险评估小组”。所有这些机构组成了美国国家和军队网络指挥系统,确保了信息系统的保密性。
3.2 组建网络信息战部队,提高网上防护及作战能力
网络战具有突发性和毁灭性的特点,网络攻击没有平时和战时之分,要求军队具有很强的网络防护快速反应能力,所以,建立应急反应机制是当务之急。美国的国防部和三军都依据应急作战模式建立了相应的网络安全防护部队,比如陆军将“计算机网络防御联合特遣部队”改组为“计算机网络作战联合特遣部队”,以此来加强对网络保密情况的监控,给网络防护预警提高支持,其应急部队的职责是维护各陆军基地的信息系统保密安全,重点应对战术层次对自动化指挥控制系统的威胁。海军成立了“网络与空间对抗司令部”和“网络防御作战中心”,隶属于大西洋舰队的“舰队信息战中心”,主要负责海军空间和全球远程通信保密系统的运行和维护,监控个海军网络系统的运行,协调海军计算机网络系统的防御工作。空军所有基地都配备了网络安全管理系统,下属各作战司令部也组建了网络作战和安全中心,以确保空军信息的绝对保密。
3.3 拓宽网络信息技术的应用领域,提高网络信息保密的应用能力 一是加密和破译新技术得到广泛应用。美军对生物学加密技术非常重视并积极资助研究,因为未来的新生物计算机可作为密码编码和分析的理论依据。二是研制了网络防御智能软件。美国防部加紧研发“网络狼”软件,以抵制网络攻击,可实时收集、记录来自传感器、软件和计算机的入侵数据,自动处理、审查、提取、浓缩入侵图样,可降低误警、虚警率,提高系统的保密管理效率。美空军信息战实验室已在试验一种在网络战中制服内外入侵者的新武器——“网络诱骗”系统,主要用于检测、追踪和确认潜在的网络入侵者。在网络管理员不知晓网络入侵的情况下,该系统会建立虚假网络,诱惑敌人攻击并浏览其中的虚假情报,同时将入侵者的行踪通知网络管理员。
3.4 加强保密网络系统建设,全方位提高网络信息保密能力 美国的信息网络系统为了支持国家的各项军事作战任务,除了自身的信息基础设施拥有庞大的用户外,还和全球的很多虚拟网络连接在一起。面对这种现状,传统的保密措施已经无法很好的达到保密的效果了,必须建立保护、检测、反应、恢复等四个动态反馈环节,只有这样才能满足信息安全的需要。如此一来,即使美军的军事信息系统的某个环节遭到了破坏,其他的保护机制也能及时的发挥作用,这种深层次防御的策略,让攻击者想通过只是攻破一层或一类保护机制而达到破坏整个信息基础设施的目的无法得逞。美陆军为了加强网络基础设施的安全性,提高网络的纵深防御能力,计划全面推广“防火墙安全改进方案”,拟在陆军骨干网络设立800个防火墙,2700个探测传感器,并将陆军计算机网络与国际互联网的联接严格控制在。
4 美军信息安全管理对我军的启示
信息保密与窃密之间的斗争虽然没有刀光剑影,没有弥漫硝烟,但它关系到千军万马的生死,影响着战争的成败。信息时代已向我们走来,信息安全受到了国内外的高度重视。借鉴美军的信息安全管理经验,我们可以得到很多好的启示。
4.1 强化信息安全行政管理机制 分析国内外无数的实例可知,一个网络系统即使它的硬件设备和信息安全很达标,如果它的行政管理机制不完善,也很难保证整个网络系统的安全性,因此强化信息安全行政管理机制是当务之急。一是建立组织机构,落实组织保障。每一级的信息化应用系统都应该建立一个专门的负责信息安全的管理机构,根据信息系统的大小确定管理机构的规模和层次,只有健全组织,才能够加强领导。二是加强人事管理,消除人为隐患。在信息安全管理中,不仅要防御外部的入侵,也要杜绝内部因素造成的信息泄露,因此必须加强对内部人员的管理,在有关人员的各个环节,比如人员的筛选和录用、岗位和职责范围的确定、工作轮岗、免职等,都应该设置一些具体而详尽的措施来保障信息的安全。三是定期监督检查,加大执法力度。在建立组织机构和加强人事管理的基础上,应该组织有关人员定期的监督检查,加大执法的力度,首先要建立完善的监督检查机制,做到出现问题有法可依,有章可循,一旦发现违纪、违法人员一定要严惩不贷。
4.2 加强军事信息系统安全警卫,确保系统正常运行
没有一个信息或系统是绝对安全的,信息或系统在很多方面的局限性决定了它的安全性一定是相对的。或者说,如果在安全逻辑空间上有一条安全边界,那么边界的内外是动态的、相对的,可以转化的,因为边界以内是相对于边界以外而言的。为了保障军事信息安全,应该做好安全警卫,比如加强机房设备、通信线路等软硬件设施的管理;应该设置多层安全防护措施;加强出入验证和管理,防止无关人员随意出入。
4.3 建立完善的法律法规制度 要想让我国的军事信息安全管理工作得到长足的发展,必须建立完善的法律法规制度,只有这样军事信息管理的各项工作才能有法可依、有章可循,进而加大军事信息系统的安全性。现阶段虽然我国在建立相关的法律法规制度方面做出了很多的努力,但仍然无法满足目前的军事信息安全管理工作的现实要求。所以我军应该借鉴美军的成功经验,结合自身形势,建立一个有很强系统性和操作性的信息安全法规体系。一方面注重信息系统规范、科学、实用。第一是规范性,结合信息安全的基本特点,尽量的规范所有的需要及时规范的管理问题。第二是兼容性,具体表现在建立的规章制度不能和现行的法规体系相悖,应该使系统更加的科学和完善。第三是可操作性,在“维护信息资源及其合理使用,维护信息正常流通,维护用户正当权益”的基础上制定出便于管理者操作的安全管理法规体系。另一方面突出信息技术标准立法。尽管我国已经了一套有关信息安全技术标准的军用标准,但是并没有完善的标准体系的规定。我军应该借鉴国外的先进经验尽快的把信息技术标准立法。
总而言之,信息的安全性一定要得到保证,否则在未来的战争中可能会造成很多信息被窃、网络被毁等严重的后果,甚至影响到我国政治、军事和经济的安全,使我国在很长的时间里都摆脱不了信息战的威胁,让我国的军队在日益激烈的信息争夺战中处于被动挨打的地位,所以,我军一定要积极的借鉴美军的军事信息管理经验,加强信息安全管理。
参考文献:
[1]杨槐,宫研生.军事信息系统安全问题研究田[J].通信技术,2012(3):38-44.
加强信息安全管理篇(7)
【关键词】商业银行;信息系统;研发风险;组织体系
根据Gartner统计,互联网75%攻击行为已经由网络层转移到应用层,另据NIST报告,目前已经发现漏洞有92%源自系统应用软件,加强信息系统研发风险管理,增强信息系统安全性,已成为商业银行信息系统研发管理的重要内容之一。
随着金融信息化的深入,科技自主创新价值日益凸显,国内大中型商业银行普遍建立了自己的信息科技部门或研发中心,以科技创新驱动业务、服务和管理创新。在研发风险管理方面,部分商业银行建立了研发风险管理体系,从组织、管理、技术等各方面体系化提高和保障信息系统安全性。
商业银行信息系统研发风险组织以安全知识探索和研发风险管理为主要活动,通过建立和实施研发风险管理工作流程,提供安全技术支持服务,在产品立项、安全需求转化、安全编码、安全测试等阶段落实安全技术要求,提高信息系统安全性。因此,研发风险管理组织是商业银行研发风险管理体系的重要组成部分,对于加强商业银行信息系统研发风险管理具有重要的基础性意义。
一、建立研发风险管理组织体系的必要性
1.完善全面风险管理组织体系的需要。
2004年的新《巴塞尔资本协议》强调商业银行不仅要重视传统的信用风险、市场风险和流动性风险,而且提出操作风险管理要求,并将信息科技风险划归操作风险管理范畴。信息科技风险已经成为商业银行全面风险管理体系的组成部分之一,而信息系统研发风险又是信息科技风险的重要内容,因此,加强信息系统研发风险管理,建立健全研发风险管理组织体系,是对商业银行全面风险管理组织体系的完善。
2.满足监管要求的需要。
随着信息技术的不断进步与发展,信息系统的安全建设显得尤为重要。2012年6月29日,人民银行下发“银发[2012]163号”文件,要求进一步落实《信息安全等级保护管理办法》(公通字[2007]43号),加强银行业信息安全等级保护工作。此外,银监会、公安部、审计局等监管机构对信息系统风险管理和开展安全检查都有明确要求。信息系统安全建设需要专门的工作组织来推动落实,因此,建立健全商业银行信息系统研发风险管理组织体系,开展安全制度建设、安全标准建设、项目安全管理和信息系统安全达标评审等一揽子工作,成为防范信息系统研发风险管理的迫切需要。
3.提升研发风险管理水平的需要。
随着商业银行经营发展对信息系统的依赖性越来越大,信息系统故障所带来的影响也越来越大。信息系统的健壮性和稳定性已经成为衡量商业银行服务水平的重要方面。建立健全完善的研发风险管理组织体系,增强开发人员安全意识,指导开发人员安全设计和安全编码,加强信息系统研发风险管理,成为全面提升研发风险管理水平的需要。
二、研发风险管理组织体系现状与问题
商业银行信息科技部门或研发中心普遍设立了风险管理委员会和安全管理部门,形成了信息科技风险管理组织,满足了基本工作需要。但是,多数商业银行的信息科技风险管理组织未能深入到研发风险管理领域,在一定程度上制约了研发风险管理工作的开展。主要问题包括:一是研发风险管理组织机构不完善,缺少专职部门推动研发风险管理工作开展;二是研发风险管理组织职能不完善,相关机构仍然以迎接上级检查为主业,未能真正履行研发风险管理职责;三是研发风险管理角色不明确,未在项目组设立研发风险管理角色,研发风险管理组织与项目组之间缺乏沟通联系,相关管理要求难以传导和落地;四是研发风险管理人才队伍不完整,研发人员缺乏安全技术、技能,整个组织层面缺少安全专家团队对信息系统安全设计进行指导和把关。
三、研发风险管理组织体系建设思路
完善的信息系统研发风险管理组织体系的主要特点在于组织和运行机制的创新性,以及适应研发风险管理组织职能而形成的新管理制度。在组织和体制创新基础上,研发风险管理组织必将在信息科技风险管理中崭露头角,并以强劲的势头向科技创新的各个环节渗透。
1.信息系统研发风险管理组织体系架构
信息系统研发风险管理组织以提升信息系统安全性,实现持续的高水平研发服务为目标,不仅需要进行信息系统架构设计和产品研发工作,还需要开展产品质量控制和安全标准研究等工作。因此必须在层级式研发风险管理组织体系总体框架下,加强架构设计、质量控制、安全指导和标准研究等的力量,同时增进各执行层级间的互动,构建和形成“层级+互动式”的信息系统研发风险管理组织体系。
图1 信息系统研发风险管理组织体系
构建完善的信息系统研发风险管理组织体系,需从以下几方面开展。
一要坚持风险管理委员会的顶层设计,贯彻安全与发展并重思想,将系统等级保护要求和监管要求等融入信息系统建设,努力从战略层面建设安全稳定的信息系统。
二要加强安全管理部门的安全管理职能,大力开展安全标准研究和源代码扫描等技术支持服务,推动信息系统事前定级工作,建立信息系统研发风险管理机制和统一的安全需求规范并严格落实,事中开展源代码漏洞扫描等安全技术支持服务工作。改变原有的事后定级,安全措施与等级保护级别不一致,安全整改难度大等的被动局面。
三要加强应用开发部门、技术管理部门、质量管理部门、安全管理部门和安全专家组的安全人员建设,增强风险管理委员会与各部门或者各部门间的衔接,形成研发风险管理组织体系。通过安全人员的安全管理活动,构建安全稳定的信息系统,增强市场竞争力。
信息安全经理是项目组安全开发负责人,负责在研发过程中落实信息系统安全需求,提升开发人员的安全意识,降低因安全意识薄弱等导致的风险;信息安全督导团队是各部门联系的纽带,督导信息安全经理落实安全需求,辅助开展源代码漏洞扫描等安全技术支持服务,减少信息系统风险隐患;架构设计团队承担着信息系统架构分析设计职责,架构设计好坏决定了信息系统的成败;质量管理团队是信息系统研发生命周期质量管理体系的制定实施者,负责制定研发过程规范及配套度量体系,加强信息系统研发生命周期源代码、技术文档等的质量管理;安全专家组参与信息系统研发风险管理各评审和审核等,切实提升信息系统的安全性。
四要加强测试管理部门信息系统安全测试工作,在业务功能测试基础之上,强化信息系统安全功能测试和安全漏洞扫描测试,以进一步验证信息系统安全功能的有效性,排查可能导致黑客攻击的安全漏洞。
2.明确的职能定位是研发风险管理组织发展的根本保障
信息系统研发风险管理组织的兴起和发展具有强烈的需求导向性,根据需求导向设计组织结构,明确信息系统研发风险管理任务,开展研发安全管理活动。加强信息系统研发风险管理,提升信息系统安全性为信息系统研发风险管理组织建立和发展提供了根本动力。
组织职能定位是研发风险管理组织生存和发展的关键。风险管理委员会是信息系统研发风险管理组织体系的决策机构,负责贯彻执行信息科技风险管理策略,制定研发过程安全管理整体策略,对研发过程安全管理工作进行监督和指导,体现了组织机构的发展方向。
应用开发部门、技术管理部门、质量管理部门、安全管理部门和测试管理部门在风险管理委员会统一领导下,开展信息系统研发安全保障工作。技术管理部门开展信息系统安全架构分析;质量管理部门保障信息系统研发生命周期质量安全;安全管理部门职能重塑,在原有应对监管部门监督检查基础之上,进行信息系统安全标准研究、制定维护安全技术规范、组织研发安全管理活动、督导开发人员落实安全需求和提供源代码扫描技术支持服务等;测试管理部门开展信息系统投产前的安全功能测试和安全漏洞扫描测试;安全专家组是信息系统安全管理和研发领域的佼佼者,参与研发安全评审。明确的职能定位必将带动信息系统研发风险管理组织的发展。
3.形成符合科技发展的可持续改进运行机制
在遵循科技发展规律基础之上开展信息系统研发风险管理是研发风险管理组织保持活力的前提。研发风险管理组织的生命力在于按照科技发展规律来设计组织和运行机制。应用开发部门、技术管理部门、质量管理部门、安全管理部门、测试管理部门、安全专家组等紧密围绕信息系统研发主线,并在风险管理委员会统一领导下进行协作,提升信息系统安全性。对具体信息系统来说,其研发风险管理的角色来源于不同的部门。他们同时接受项目组和所属部门的管理,也充当着项目组和部门之间联系的纽带。这种矩阵式管理能够充分发挥不同领域专业人员的优势,取长补短,互通有无,使研发风险管理组织的整体运作效能达到最佳。
研发风险管理组织按照信息系统研发项目而组织产生,它加强了不同部门之间的配合和信息交流,同时由于对重要决策问题有发言权,增加了参与者的责任感和积极性,再通过相关组织的研究审核后经风险管理委员会,有利于形成研发风险管理决策的良性循环。在研发风险管理工作过程中,应根据商业银行信息科技组织结构调整,以及外部监管要求的变化,定期对研发风险管理组织进行改进维护,以确保研发风险管理组织的持续有效运转。
商业银行信息系统研发风险管理组织体系是研发风险管理体系的重要组成部分,是信息系统研发风险经营风格和战略思想的具体体现,是实现优良研发产品和保持长期竞争战略的基本保障,是研发中心的安身立命之本。
参考文献:
[1]信息安全技术,信息系统安全等级保护基本要求[Z].GB/T22239-2008.
[2]操龙灿.基于自主创新的大企业研发组织体系构建与界面管理[J].合肥工业大学学报(社会科学版),2007(02):99-100.
[3]陈宝明.我国新型研发组织发展现状与政策建议[J].中国科技论坛,2013(03):27-31.
