第一篇:浅谈组织信息安全风险管理的重要性及实施步骤
浅谈组织信息安全风险管理的重要性及实施步骤
山东省电子产品监督检验所石秀芳
摘要:随着信息技术的高速发展,特别是internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现。系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、业务发展甚至生存都带来严重的影响。在促进业务发展的同时如何保证自身的信息安全成了摆在面前的重要课题。文章通过对组织现有面临的信息安全问题的分析,提出了通过建设信息安全管理体系解决信息安全问题,着重阐述了在推行信息安全管理体系时如何进行信息安全风险管理活动。论文关键词:风险管理
随着我国信息化和信息技术的快速发展,组织信息化水平的发展呈现良好态势,在自身业务发展壮大的同时,信息安全重要性日益凸显。在我们的周围,信息安全威胁无处不在。有人认为,信息安全“不就是安装杀毒软件,在电脑上设设密码吗?”当我们这样想,就和全世界95%的人一样,都错估、低估了信息对公司的致命影响。
日常工作中我们可能会碰到但住住被忽视的例子很多。
打印纸双面打印---好习惯换取的大损失。节约用纸是很多公司的好习惯,员工往住会以使用背面打印纸为荣。其实,将拥有这种习惯公司的“废纸”收集在一起,我们会发现打印、复印造成的废纸所包含公司机密竟然如此全面,连执行副总都会觉得汗颜,因为废纸记载了公司里比他工作日记都全面的内容。
电脑易手---新员工真正的入职导师。所有的职业经理人可能都有过这样的经历:如果自己新到一家公司工作,在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似“窥探”的状态下,公司里曾经发生过的事情“尽收眼底”,从公司以往的客户记录、奖惩制度、甚至还有幸阅读前任的辞呈。如果是其他部门的电脑,自然也是另有一番乐趣。
光盘刻录---资料在备份过程中流失。如果想要拿走公司的资料,最好的办法是申请光盘备份,把文件做成特定的格式,交给网络管理员备份,然后声称不能正常打开,要求重新备份,大多情况下,留在光驱里的“废盘”就可以在下班后大大方方带出公司。
邮箱---信息窃取的中转站。利用电子邮件转移窃取的公司资料占所有信息
窃取的八成以上。很多企业不装软驱、光驱、USB接口,却没有办法避免员工通过电子邮件窃取信息,相比之下,以上方法显得有些幼稚、可笑。
私人电脑---大量窃取资料常用手段。压缩软件的作用毕竟是有限的,如果把自己的笔记本电脑拿到单位来,连上局域网,只要半个小时,就是有1个G的文件也可以轻松带走。
以上只是众多信息安全问题中的几个常见案例。人们利用这些手段能轻易获得公司的秘密,如果给别有用心的人利用就可能给公司带来严重的损失。从这些例子看,信息的泄漏很多时侯并不需要高超的技术手段,往往是由于公司没有规定相关的信息安全规章制度或人们还没有较高的信息安全意识。
如果组织有比较系统全面的信息安全制度,并在内部得到宣贯,90%的信息安全威胁都是可以避免的。所以,我们需要一个完整的、全方位的、系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务的安全与正常运作。
以上讲述了信息安全所存在的威胁和可能性,为了解决信息安全问题,提高信息安全意识,保护信息资产的安全,重要的是按国际标准ISO/IEC 27005-2008提供的进行风险管理的方法定期进行组织内的风险管理活动。风险管理又名危机管理,是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。
ISO/IEC 27005-2008《信息安全风险管理指南》中对风险管理的过程包括确定范围、风险评估、风险处置、风险接受、风险监控。
1、确定范围
根据业务、组织、位置、资产和技术等方面的特性,确定组织风险管理的范围和边界。要将与企业的业务流程、组织架构、覆盖的物理地址等相关的所有资产都纳入到风险管理的范围当中。
2、风险评估
风险评估包括风险分析和风险评价,是计算重要资产风险大小的过程,其目的是分开可接受的小风险和不能接受的大风险,为风险处置提供数据。风险评估
又包括以下4个方面。
(1)识别信息资产并赋值
在风险管理过程中所识别评估的资产有别于常见的固定资产,主要指信息、信息处理设施和信息使用者,包括硬件、软件、数据、服务和其他。从信息的保密性、完整性和可用性三个属性来评估资产的重要度等级。
(2)识别重要资产面临的威胁
威胁是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。对威胁利用弱点导致危害的可能性进行不同等级的赋值。
(3)脆弱性评估
脆弱性是资产被威胁利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。应从管理和技术两个方面来识别脆弱性,一般采用调查问卷、文档审核、人员访谈、现场检查等方法进行脆弱性的识别。并对脆弱性被威胁利用后的严重性进行赋值。
(4)识别评估已有控制措施
在识别出威胁和脆弱性之后,要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取了控制措施,并用定量赋值的方式来描述已采取控制措施的有效程度。
(5)风险评价
在评价风险时,需要考虑资产的重要度等级、威胁利用弱点导致危害的可能性、脆弱性被威胁利用后的严重性影响和已采取控制措施的有效性。然后依据组织制定的评价方法进行计算,计算出风险值,并根据组织制定的准则,将风险进行分级。
3、风险处置
风险处置是选择并执行控制措施来改变风险的过程,其目的是将评价出的不可接受风险降低、避免或转移。制定《风险处理计划》,选择控制措施并实施。根据不同的情况,所实施的控制措施可以降低风险级但不会根除风险,实施控制措施后仍然存在的风险为残余风险。
4、风险接受
对不可接受的风险采取一定的控制措施后还应再评估,以判断实施控制措施后的残余风险是否已经降低到适当的水平。残余风险需经过组织管理者批准,若组织管理者批准即为风险接受,若组织管理者批示不接受,则针对该风险重新进行风险评价、风险处置直到组织管理者表示风险接受为止。
5、风险监控
进行完一次风险评估后,并不代表今后就万事大吉,不必再进行风险评估了,一般情况下组织需每年进行一次全面的风险评估复查,对风险评估结果,特别是采取的控制措施进行适当的评审。遇有特殊情况应该及时对组织风险进行再评估。小结
本文通过对组织日常工作中所面临的信息安全事件进行分析,知悉信息安全的重要性。如何避免安全事件的发生,目前最好的解决办法是按照国际标准定期进行风险管理,让全员树立信息安全意识,形成良好的工作习惯,采取控制措施,完善管理制度,起到避免、预防信息安全事件的发生。
第二篇:信息安全及其重要性
信息安全及其重要性
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
信息安全产品
2012年信息安全产业将步入高速发展阶段,而整个互联网用户对安全产品的要求也转入“主动性安全防御”。随着用户安全防范意识正在增强,主动性安全产品将更受关注,主动的安全防御将成为未来安全应用的主流。终端方案
终端安全解决方案是以终端安全保护系统全方位综合保障终端安全,并以数据安全保护系统重点保护终端敏感数据的安全。终端安全保护系统以“主动防御”理念为基础,采用自主知识产权的基于标识的认证技术,以智能控制和安全执行双重体系结构为基础,将全面安全策略与操作系统有机结合,通过对代码、端口、网络连接、移动存储设备接入、数据文件加密、行为审计分级控制,实现操作系统加固及信息系统的自主、可控、可管理,保障终端系统及数据的安全。安全软件
数据安全保护系统能够实现数据文档的透明加解密保护,可指定类型文件加密、指定程序创建文件加密,杜绝文档泄密。实现数据文档的强制访问控制和统一管理控制、敏感文件及加密密钥的冗余存储备份,包括文件权限管理、用户管理、共享管理、外发管理、备份管理、审计管理等。对政府及企业的各种敏感数据文档,包括设计文档、设计图纸、源代码、营销方案、财务报表及其他各种涉及企业商业秘密的文档,都能实现稳妥有效的保护。
信息安全影响因素
信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字;斯巴达人使用一种称为密码棒的工具传达军事计划,罗马时代的凯撒大帝是加密函的古代将领之一,“凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统。它 是一种替代密码,通过将字母按顺序推后 3 位起到加密作用,如将字母 A 换作字母 D,将字母 B 换作字母 E。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了 德国海军的 Enigma 密电码,改变了二次世界大战的进程。美国 NIST 将信息安全控制分 为 3 类。
(1)技术,包括产品和过程(例如防火墙、防病毒软件、侵入检测、加密技术)。
(2)操作,主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物 理进入控制、备份能力、免予环境威胁的保护。(3)管理,包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。信息系统安全涉及政策法规、教育、管理标准、技术等方面,任何单一层次的安全措 施都不能提供全方位的安全,安全问题应从系统工程的角度来考虑。图 8-1 给出了 NSTISSC 安全模型。
安全威胁
(1)信息泄露:信息被泄露或透露给某个非授权的实体。
(2)破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。(3)拒绝服务:对信息或其他资源的合法访问被无条件地阻止。
(4)非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。(5)窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
(6)业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。
(7)假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。
(8)旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。
(9)授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。
(10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。
(11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。
(12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。
(13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。(14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。(15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。(16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。(17)物理侵入:侵入者绕过物理控制而获得对系统的访问。(18)窃取:重要的安全物品,如令牌或身份卡被盗。
(19)业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。
2014年信息安全大事件
1月,中国互联网出现大面积DNS解析故障 2月,维护网络安全首次被列入政府工作报告 3月,携程“安全门”敲响网络消费安全警钟 4月,微软停止XP支持,影响两亿国内用户 5月,山寨网银及山寨微信大量窃取网银信息 6月,免费Wi-Fi存陷阱,窃取用户手机敏感信息 7月,苹果承认iPhone存在“安全漏洞” 8月,“XX神器”安卓系统手机病毒在全国蔓延 9月,2014年中国互联网安全大会(ICS)召开 10月,2014中国网络安全大会(NSC2014)召开 11月,首届国家网络安全宣传周活动举办
12月,86万条简历数据因某招聘网站漏洞而被泄露
信息安全的重要性
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。
中国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取中国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、侦察机、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取中国通信传输中的信息。
从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把日益繁多的事情托付给计算机来完成,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。
传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
第三篇:6s管理实施步骤
6s管理实施步骤
前言:实施6s管理,是一项系统工程、复杂工程,该工作涉及时间较长、任务量较大、资金投入较多;该项工作的实施,需要公司全方位支持,需要各部门配合、理解,才能达到应有的效果。按照学习内容,结合新东谷公司的现状,建议采取以下实施步骤。
一、理论知识概述: 6s管理的基本知识 1、6s含义:
整理(seiri)—整顿(seiton)—清扫(seisou)—清洁(seiketsu)——安全(safety)—素养(sitsuke)
2、推行6s的目的及效用:
(1)改善和提升企业形象
亏损为零(2)促成效率的提高
不良为零(3)缩短作业时间,确保交货
浪费为零(4)改善产品在库周转率
故障为零(5)减少直至消除故障,保障质量
切换为零(6)降低生产成本
事故为零(7)保障企业安全生产
投诉为零(8)改善员工精神面貌,使组织活力化
缺勤为零 6s的效用可归纳为“八大作用”或“八零工厂”。
(一)整理(seiri)
1、定义:在工作现场分开有用物品和无用物品,及时处理无用物品。
2、对象:主要清理工作现场所占用的有效“空间”。
3、目的:
(1)腾出宝贵的时间。(2)防止误送、误用。(3)防止变质与积压资金。(4)制造清爽的工作场所。
4、整理的要点
整理的实施要点就是对生产现场中摆放和停置的物品进行分类,然后按照判断基准区分出物品的使用等级。可见,整理的关键在于制定合理的判断基准。在整理中有三个非常重要的基准:(1)“要与不要”的基准。(2)“场所”的基准。(3)废弃处理的原则。
5、整理的实施步骤(1)现场检查。
(2)区分必须品和非必须品。(3)清理非必须品。(4)处理废弃物品。(5)每天循环整理。
(二)整顿
1、定义
对整理之后留在现场的必要的物品分门别类放置,排列整齐,明确数量,有效标识。
2、对象
主要减少工作现场所浪费的“时间”。
3、目的
(1)使工作场所一目了然。(2)整整齐齐的工作环境。(3)消除找寻物品的时间。(4)消除过多的积压物品。
3、整顿的“三定”原则
定点——定容——定量
4、整顿的“三要素”
场所——方法——标识
5、整顿的实施步骤 落实整理工作——决定放置场所——决定放置方法——划线归位——标识 三(清扫)
1、定义:随时打扫和清理垃圾、灰尘和污物。保持工作场所干净、亮丽。
2、对象:主要是消除工作场所各处所发生的“脏污”。
3、目的:(1)减少工业伤害(2)保证质量(3)塑造高作业率的工作场所
4、清扫的“三原则”
扫黑——扫漏——扫怪
5、清扫的实施步骤
(1)确定清扫对象(设备、空间、料、地面...)(2)安排清扫人员(值日表、分工图)(3)确定清扫方法(工具、时间、频率、程序)(4)准备清扫工具(扫把、拖把、抹布等等)(5)清扫
6、清扫推行要领
员工教育——制定“清扫”责任区域制——从工作场所扫除一切垃圾——对清扫后进行立即检查——整修发现的问题
(四)清洁
1、定义:将上面3s的实施制度化、规范化,并维护效果。
2、对象:主要透过整洁美化的厂区与环境发现“异常”。
3、目的:维护前3s成果——塑造洁净的工作场所——提升公司形象
4、清洁的实施步骤:落实前期工作——制定目视管理与颜色管理标准——编制“清洁”手册——制定检查方法,制定奖惩制度并认真执行——保持6s管理意识
5、清洁的原则
坚持(不恢复脏乱)
维持(不制造脏乱)
保持(不扩散脏乱)
(五)素养
1、定义:个人卫生、品德行为、身体及规律性比较良好,并且遵守规定、规则,养成依照上司的方法做事,对待工作无条件服从。
2、对象:主要透过持续不断的4s活动,改造人性,提升人的品质。
3、目的:(1)养成良好习惯(2)塑造守纪律的工作场所(3)营造团队精神
4、素养的实施步骤
落实持续推动前4s活动——建立共同遵守的规则或约束——将各种规则或约定目视化——实施各种教育训练——违反规则或约束给予纠正——接受指责纠正,立即改正——推动各种精神提升活动
(六)安全
1、定义:就是将个人、团体会发生不安全、危险的物品及动作习惯,减至最少。
2、安全的要点
(1)电源开关、风扇、灯管损坏及时报修。
(2)物品堆放、悬挂、安装、设置不存在危险状况。(3)特殊工位无上岗证严禁上岗。(4)正在维修或修理设备贴上标识。
(5)危险物品、区域、设备、仪器、仪表特别提示。
3、目的:保障企业财产安全、保证员工在生产过程中的健康与安全。杜绝事故苗头,避免事故发生。
二、6s在我公司实施步骤
1、厂区公共区域:
(1)聘请专业技术人员,根据季节变化,结合苗木生长特性,及时进行补栽、替换、修剪、杀虫、施肥、浇灌、割草、松土、清理杂草杂物等工作,根据季节的不同,制定相应的维护计划,以期达到枝繁叶茂、四季常青的绿化效果;对公司内树木挂牌,绿化带设置提醒标志;厂区内严禁饲养家禽、宠物等,确保厂区环境整洁。
(2)专人对厂区内厕所定期进行清理,做好灭蝇工作;对厂区内公共卫生区域及时清理。
(3)专人对厂区公共管网及时疏通,确保水路畅通。废弃物品划线存放并及时变卖或清理出厂。
2、餐厅:
(1)对就餐桌椅进行编号并摆放整齐。每餐结束后,餐厅工作人员及时清理桌面、地面卫生,将桌面上杂物、剩余饭菜及时清理倒入垃圾桶并清运出厂。
(2)所使用的原辅料摆放规范有序。使用的菜品按照类别规范安全存放。操作完毕,将操作台全部清理一次,确保整洁有序,创造良好的就餐环境。
(3)夏季温度较高时,将风扇(空调)提前半小时开启,待员工就餐结束,及时关闭电源;员工餐具使用后及时清洗放入橱柜内,严禁随意放置,严禁剩余的饭菜随意乱扔乱倒。(4)增加消毒设施,确保使用安全。
3、车辆停放、人员出入:
(1)划线标识小车停放区(公司车辆按照车号进行标识)、货车停放区;所有车辆(包括外来车辆)必须按照公司规定的划线区域规范停放,严禁乱停乱放,严禁将小型车辆(非装卸任务车辆)停放在办公楼后任何区域(公司批准的临时施工车辆除外)。
(2)厂区内不同路段设置限速和提醒标志。所有车辆进入公司必须限速行驶,确保行车及人员安全。电动车、自行车、三轮车等非机动车辆(包括外来人员车辆)规范停放在车棚内。(3)其它无业务关联的车辆禁止入厂。门岗人员负责出入车辆、人员的登记工作,做到“一车一检、一人一核”发现可疑车辆或人员要及时上报,必要时直接拨打110报警。在下班后及时关闭电动门。
4、办公区域:
(1)对公司责任区进行规划并进行公示和悬挂区域图。各部门卫生责任区要坚持每日彻底打扫,清理责任区绿化带杂物、垃圾等,确保责任区卫生清洁,垃圾桶垃圾及时清理清运;禁止垃圾乱堆乱放,甚至堵塞通道;清理工具使用后存放在合适位置。
(2)各自办公室办公用物品要规范摆放,无关物品、闲置物品、废弃物品和不应存放的物品要及时清理出办公区域,始终保持办公区域的规范整洁,提高办公空间的利用率。
(3)桌面、地面、档案橱、工作台等卫生要及时打扫,打扫工具要规范存放。坚持每天对办公用设备外部卫生进行清理,真正达到整洁、规范的效果。
(4)对部门负责的责任区、办公区各墙壁灰尘、蜘蛛网等进行打扫清理,制止乱贴、乱画、乱涂现象,确保提供良好的办公和生活环境。(5)员工着装要规范、得体;严禁穿奇装异服。季节允许的情况下,要按照公司规定,统一穿工作服。
5、成品库、材料库区域:
(1)坚持每天对所负责的卫生区进行清扫,落地面及时回收处理。(2)产品码放、存放要规范有序,确保通道畅通。面粉托盘上下码放要协调一致,确保码放安全。(3)产品归类存放并设置产品标识,提高发货的效率和准确性。(4)保管室整体卫生坚持每天清扫,垃圾及时清理外运。(5)物品、台账等要规范存放,确保整齐、安全。坚持每月底配合财务科对在库产品进行全面盘点,确保数据准确,账实相符。(6)材料库备品备件要按照功能不同分类合理存放,设置相应的标识,提高领用的效率和准确性;要严格执行出入库手续合规性审核,确保备品备件库存符合限量要求,满足生产经营的需要。领用程序要合规。袋皮要按照类别、规格做好标识规范存放并按照规定领用,提高发货的及时性和准确性。
(7)空托盘暂时存放在成品库内合适位置,码放整齐有序。面粉托盘按照类别整齐排放,有利于装车和发货的准确。叉车工要坚持每日上班前或下班后对叉车外部卫生、责任区卫生进行彻底清理,不使用叉车时,及时关闭油门将钥匙取下保管好,将叉车放在合适位置。(8)成品库内退货产品、不合格产品、破袋、落地面要及时和车间联系回机,确保成品库内产品合格,存放安全。
(9)成品库始终保持通风,经常查看温度计、湿度计,确保符合产品存放条件。
(10)各装车用输送带、拖带等设备待装车完毕后,及时关闭电源,放置在合理区域,不得影响道路畅通或乱扔乱放。输送带下悬挂“严禁站人”的安全提醒,防范安全事故的发生。
6、生产车间:
(1)各楼层(中控室)的地面、设备、管道、楼梯(扶手)、门窗、消防设备等坚持及时打扫、清理,下班前将责任区卫生全部清理一遍,做好交班前的准备工作。卫生清理工具分类存放,认真做好交接班工作。
(2)维修后现场要及时清理,确保现场的整洁规范。使用电气焊维修作业时,要随身携带灭火器。车间开机时,严禁明火作业。(3)各种维修保养记录、工作交接班记录、添加记录、巡查巡检记录等要填写清晰、完整,存放规范,便于复查。各设备档案资料及工艺技术信息资料等要规范安全存放。
(4)员工着装要得体、大方、规范,要按照公司的规定统一着工装。严禁员工穿奇装异服,严禁穿戴有碍工作安全和企业形象的外套、首饰、拖鞋、短裤、超短裙;做到言语文明、待人礼貌。
(5)员工随身携带的衣物、钱包等一律存放在更衣室内。更衣室实行轮流值日制,确保更衣室环境整洁,无垃圾、废物存在。(6)卸粮处及周边卫生做到每日清扫,落地小麦及时清扫入仓。每日卸粮工作结束后,及时关闭卷帘门。
(7)添加物、回机面要摆放整齐,回机面要及时安排回机。(8)托盘、塑料筐、推拉车辆做到整齐有序放置。
(9)车间内严禁私拉乱扯、乱堆乱放、绳捆索绑。彻底解决设备跑冒滴漏,提升车间整体管理水平。
(10)各种标识牌、警示标志、告知牌的张贴、悬挂要符合要求,也是展现车间规范化管理的重要一面。
(11)各楼层设备实行“设备管理卡”制度。定岗、定人对所管理的设备进行巡查、维护。设备出现按照“正常损毁、非正常无意损毁、非正常有意损毁”进行处理、处罚,增强员工大局意识,最大限度降低企业内损,提高企业经济效益。
2017.10.29
第四篇:浅谈部队信息安全保密风险管理
浅谈部队信息安全保密风险管理
柳立强 刘 清 武瑞凯
信息化条件下,军事秘密面临的风险不断加大,无意识泄密、间接泄密、计算机网络泄密等现象时有发生,给部队信息安全保密工作带来了严重挑战。信息安全保密风险管理从风险识别出发,对军事秘密面临的风险进行客观地全面分析和评估,并对风险实施有效控制,变事后补救为事先防范,这是形势发展的需要,是确保军事秘密安全的需要,也是做好信息化条件下部队保密工作的必然要求。
一、系统识别,找出部队信息安全保密重要风险
信息安全保密风险识别是指运用有关知识、方法、系统、全面和连续地发现部队军事秘密面临的风险。风险识别是风险管理的首要步骤。部队保密工作面临的风险是错综复杂的,需要进行认识和辨别。只有全面、准确地发现和辨识风险,才能进行风险评估和选择风险控制的措施。风险识别的方法有很多,比如保密清单损失法、专家调差分析法、经典案例分析法、等级全息建模法等等,不管用哪种方法,都要系统的识别以下几个方面。
1.对保密资产的识别。保密资产就是要保护的秘密资产。主要包括涉密的电子文档、涉密的实体信息以及涉密的装备设施等。一个单位保密资产越多,秘密的级别越高,保密的风险就越大,需要采取的措施就要更严密。
2.对资产脆弱性的识别。要清楚这些保密资产它们的弱电在哪里,也就是说,这些保密资产哪些方面容易被敌对势力利用。一般情况下,可以将脆弱性分为技术脆弱性和管理脆弱性两类。技术脆弱性主要是保护资产所涉及到的所有设备,包括移动载体、计算机网络、通信设备等本身所存在的一些技术隐患,比如一些后门程序等。管理的脆弱性主要是规章制度、责任区分等问题,要识别出在这些方面部队有哪些弱点。
3.对威胁的识别。威胁是指可能对保密资产或组织造成损害的一种潜在的侵害。比如信息泄露、信息破坏等。这些侵害有些是非人为,可能是无意识的行为,有些是故意的,是敌方情报机关或者我方人员有意识的行为。以上关于保密资产、脆弱性以及威胁的识别,不仅要清楚它们单个因素的种类,同是还要结合部队已有的安全措施,找出威胁利用脆弱性的可能性,以及发生以后对保密资产可能造成的损失,这就是保密风险。这些风险因素有很多,要通过进一步的识别,找出一些发生可能性大并且发生以后对保密资产影响较大的风险,也就是重要风险,将其进行评估。
二、量化评估,确定部队信息安全保密风险等级
在对信息安全保密风险进行充分的认识和分析之后,就应该对风险进行量化评估,确定保密的风险等级。保密风险评估综合分析资产、威胁、脆弱性、安全措施,判断系统风险,为部队识别安全重点、选择合理使用是安全对策提供依据,是保密风险管理的基础。
1.建立合理的评估指标体系。指标体系的建立对于风险的定量化评级至关重要。建立的指标不合理、不科学,即使评估的方法再科学,也会偏离评估的方向。风险识别阶段已经将保密重要风险因素进行了筛选,可依据筛选的这些风险因素进行归类。对哪些风险应该属于什么类别,要做到心中有数,这样便于评估,同事也便于制定合理的措施。风险从组织领导、保密环境、涉密岗位人员、技术条件、制度建设等方面进行归纳,形成保密风险的一级指标,再将一级指标进行系统归类,细分出更多的指标。
2.选择合适的评估方法。目前在风险评估领域评估方法已经十分广泛。部队在保密风险评估工作中起步较晚,但是这些方法可以借鉴。模糊综合评判法可以很好的解决保密风险评估量化问题。将建立的底层保密风险评估指标让专家打分,根据打分的情况利用模糊数学的一些方法进行处理,再通过底层指标的风险计算一级指标值,最终得出部队的保密风险综合值。
3.对评估的结果进行认真分析。风险评估一般将单位的风险状况区分为很低、低、中、高、很高五个等级。要根据评估的结果分析是什么原因导致的,对这些原因进行分析,进而找出影响评估结果的关键因素,为实施风险控制提供思路。
三、综合控制,规避和降低部队信息安全保密风险
在部队信息安全保密风险进行定量化评估以后,就应该根据风险评估的结果,对重要风险进行规避或降低,将保密风险控制在可接受范围内。风险控制是一个系统工程,不仅要找出风险和控制措施间的有效对应关系,还要从单位的保密文化环境、防范体系、防范策略等多方面进行综合控制,这样才能做到有的放矢,提高保密控制的效果。
1.营造信息安全保密的文化环境。忽略了官兵的信息安全保密意识和安全保密技能的提高,安全措施就不可能有效的发挥作用。通过对部队发生的失泄密事故调查和分析,大部分原因都是由人的因素引起的,这其中包括保密意识的淡薄和保密技能的缺失。因此,要制定周密的计划,通过安全教育和技能培训,提高官兵的信息安全保密意识和应对保密风险控制的技能,使遵守各种保密制度成为官兵的一种习惯,从而形成良好的保密文化环境。
2.构建全维实时的信息安全保密风险防范体系。要从组织领导、技术条件、管理制度、保密法规等各个方面,综合运用各种手段,实时监督各类安全措施的执行,落实安全奖惩措施,不断削除信息安全保密风险管理中的弱点。
3.注意防范策略的灵活运用。防范策略主要包括规避风险、降低风险和接受风险。信息安全保密工作中有些风险属于高风险,对于这类风险情况,可采取规避的方法,减少部队的损失;有些风险情景是部队在训练、演习、学习等工作中必须面对的,这时主要采取相应的安全措施来降低风险,使其控制在部队能接受的范围;有些风险是无法消除的,这时部队要勇敢面对,但是要实时监控,使其不影响保密工作的总体成效。
信息安全保密风险管理不是一蹴而就的,而是一个周期的螺旋式发展过程。由于部队任务转换、环境变化、人员流动等各种因素,再加上风险情景的不断变化,使得部队必须不断研究风险管理的新情况、新问题,不断完善风险管理的过程,健全风险管理的防范体系,提高信息化条件下保密管理水平。
第五篇:信息安全的重要性
信息安全的重要性
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。
信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前 所 未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。
从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把日益繁多的事情托付给计算机来完成,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,((所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。
传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。