浅谈部队信息安全保密风险管理

时间:2019-05-15 02:25:26下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《浅谈部队信息安全保密风险管理》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《浅谈部队信息安全保密风险管理》。

第一篇:浅谈部队信息安全保密风险管理

浅谈部队信息安全保密风险管理

柳立强 刘 清 武瑞凯

信息化条件下,军事秘密面临的风险不断加大,无意识泄密、间接泄密、计算机网络泄密等现象时有发生,给部队信息安全保密工作带来了严重挑战。信息安全保密风险管理从风险识别出发,对军事秘密面临的风险进行客观地全面分析和评估,并对风险实施有效控制,变事后补救为事先防范,这是形势发展的需要,是确保军事秘密安全的需要,也是做好信息化条件下部队保密工作的必然要求。

一、系统识别,找出部队信息安全保密重要风险

信息安全保密风险识别是指运用有关知识、方法、系统、全面和连续地发现部队军事秘密面临的风险。风险识别是风险管理的首要步骤。部队保密工作面临的风险是错综复杂的,需要进行认识和辨别。只有全面、准确地发现和辨识风险,才能进行风险评估和选择风险控制的措施。风险识别的方法有很多,比如保密清单损失法、专家调差分析法、经典案例分析法、等级全息建模法等等,不管用哪种方法,都要系统的识别以下几个方面。

1.对保密资产的识别。保密资产就是要保护的秘密资产。主要包括涉密的电子文档、涉密的实体信息以及涉密的装备设施等。一个单位保密资产越多,秘密的级别越高,保密的风险就越大,需要采取的措施就要更严密。

2.对资产脆弱性的识别。要清楚这些保密资产它们的弱电在哪里,也就是说,这些保密资产哪些方面容易被敌对势力利用。一般情况下,可以将脆弱性分为技术脆弱性和管理脆弱性两类。技术脆弱性主要是保护资产所涉及到的所有设备,包括移动载体、计算机网络、通信设备等本身所存在的一些技术隐患,比如一些后门程序等。管理的脆弱性主要是规章制度、责任区分等问题,要识别出在这些方面部队有哪些弱点。

3.对威胁的识别。威胁是指可能对保密资产或组织造成损害的一种潜在的侵害。比如信息泄露、信息破坏等。这些侵害有些是非人为,可能是无意识的行为,有些是故意的,是敌方情报机关或者我方人员有意识的行为。以上关于保密资产、脆弱性以及威胁的识别,不仅要清楚它们单个因素的种类,同是还要结合部队已有的安全措施,找出威胁利用脆弱性的可能性,以及发生以后对保密资产可能造成的损失,这就是保密风险。这些风险因素有很多,要通过进一步的识别,找出一些发生可能性大并且发生以后对保密资产影响较大的风险,也就是重要风险,将其进行评估。

二、量化评估,确定部队信息安全保密风险等级

在对信息安全保密风险进行充分的认识和分析之后,就应该对风险进行量化评估,确定保密的风险等级。保密风险评估综合分析资产、威胁、脆弱性、安全措施,判断系统风险,为部队识别安全重点、选择合理使用是安全对策提供依据,是保密风险管理的基础。

1.建立合理的评估指标体系。指标体系的建立对于风险的定量化评级至关重要。建立的指标不合理、不科学,即使评估的方法再科学,也会偏离评估的方向。风险识别阶段已经将保密重要风险因素进行了筛选,可依据筛选的这些风险因素进行归类。对哪些风险应该属于什么类别,要做到心中有数,这样便于评估,同事也便于制定合理的措施。风险从组织领导、保密环境、涉密岗位人员、技术条件、制度建设等方面进行归纳,形成保密风险的一级指标,再将一级指标进行系统归类,细分出更多的指标。

2.选择合适的评估方法。目前在风险评估领域评估方法已经十分广泛。部队在保密风险评估工作中起步较晚,但是这些方法可以借鉴。模糊综合评判法可以很好的解决保密风险评估量化问题。将建立的底层保密风险评估指标让专家打分,根据打分的情况利用模糊数学的一些方法进行处理,再通过底层指标的风险计算一级指标值,最终得出部队的保密风险综合值。

3.对评估的结果进行认真分析。风险评估一般将单位的风险状况区分为很低、低、中、高、很高五个等级。要根据评估的结果分析是什么原因导致的,对这些原因进行分析,进而找出影响评估结果的关键因素,为实施风险控制提供思路。

三、综合控制,规避和降低部队信息安全保密风险

在部队信息安全保密风险进行定量化评估以后,就应该根据风险评估的结果,对重要风险进行规避或降低,将保密风险控制在可接受范围内。风险控制是一个系统工程,不仅要找出风险和控制措施间的有效对应关系,还要从单位的保密文化环境、防范体系、防范策略等多方面进行综合控制,这样才能做到有的放矢,提高保密控制的效果。

1.营造信息安全保密的文化环境。忽略了官兵的信息安全保密意识和安全保密技能的提高,安全措施就不可能有效的发挥作用。通过对部队发生的失泄密事故调查和分析,大部分原因都是由人的因素引起的,这其中包括保密意识的淡薄和保密技能的缺失。因此,要制定周密的计划,通过安全教育和技能培训,提高官兵的信息安全保密意识和应对保密风险控制的技能,使遵守各种保密制度成为官兵的一种习惯,从而形成良好的保密文化环境。

2.构建全维实时的信息安全保密风险防范体系。要从组织领导、技术条件、管理制度、保密法规等各个方面,综合运用各种手段,实时监督各类安全措施的执行,落实安全奖惩措施,不断削除信息安全保密风险管理中的弱点。

3.注意防范策略的灵活运用。防范策略主要包括规避风险、降低风险和接受风险。信息安全保密工作中有些风险属于高风险,对于这类风险情况,可采取规避的方法,减少部队的损失;有些风险情景是部队在训练、演习、学习等工作中必须面对的,这时主要采取相应的安全措施来降低风险,使其控制在部队能接受的范围;有些风险是无法消除的,这时部队要勇敢面对,但是要实时监控,使其不影响保密工作的总体成效。

信息安全保密风险管理不是一蹴而就的,而是一个周期的螺旋式发展过程。由于部队任务转换、环境变化、人员流动等各种因素,再加上风险情景的不断变化,使得部队必须不断研究风险管理的新情况、新问题,不断完善风险管理的过程,健全风险管理的防范体系,提高信息化条件下保密管理水平。

第二篇:部队保密风险评估

部队保密风险评估

摘要

“保守秘密是御敌之盾,失密泄密是刺已之剑。”“信息是生成战斗力的数据库,保密是保护战斗力的防火墙。”在信息化条件下,做好保密工作是部队的中心工作之一,军队保密风险评估是军队保密工作的重要组成部分。军队保密风险评估要坚持以科学发展观为指导,深入调查研究,全面掌握军队保密风险因素及其影响,进而准确掌握军队保密工作面临的形势、存在的问题和努力方向。有效控制知悉范围、降低保密负荷、增强保密能力、防范窃密活动、消除泄密隐患、确保秘密安全,这是做好保密工作的基本要求。要实现这一目标,就要对军事秘密存在的风险进行识别、分析,确定评估的指标体系,建立军队保密风险综合评估的数学模型。通过对军队保密风险的科学评估,准确把握涉密单位和涉密人员所掌管的秘密面临的风险,为进一步控制保密风险提供科学依据,实现军队保密工作的前馈管理。

关键词:保密 军队 风险评估

“保密是军队永恒的战斗力,泄密是军队失败的导火索。”在信息化条件下,做好保密工作是部队的中心工作之一,军队保密风险评估是军队保密工作的重要组成部分。军队保密风险评估要坚持以科学发展观为指导,深入调查研究,全面掌握军队保密风险因素及其影响,进而准确掌握军队保密工作面临的形势、存在的问题和努力方向。有效控制知悉范围、降低保密负荷、增强保密能力、防范窃密活动、消除泄密隐患、确保秘密安全,这是做好保密工作的基本要求。要实现这一目标,就要对军事秘密存在的风险进行识别、分析和评估,并对客观存在的风险和潜在的风险进行有效的控制与防范。通过对军队保密风险的科学评估,准确把握涉密单位和涉密人员所掌管的秘密面临的风险,为进一步控制保密风险提供科学依据,实现军队保密工作的前馈管理。

下面我们将结合军队保密管理工作的实际情况,研究解决以系为基本单位的保密工作问题。

我们可以将保密风险评估分成这几个方面: 1.评估密级 2.评估威胁 3.评估损失

模型的建立

一. 明确保密对象密级

1.网络设备:3G手机、无线路由器、网卡、网线 3级

2.存储介质:软盘、移动硬盘、U盘、光盘等 2级

3.硬件设备:个人笔记本电脑,军网电脑,手机,可上网的MP4等 1级

(上述为自主设定密级,且等级越高,密级越高)

第三篇:信息安全与保密管理规定

信息安全与保密管理规定目的为维护公司内部网络信息安全,防止外部对网络的攻击和入侵,防止网络内部信息的泄露,特制定本规定。信息安全管理内容

2.1所有直接或间接接入公司网络的信息终端,包括电脑、手机、PDA及实验设备等,一律纳入公司管理的范畴。

2.2所有纳入公司管理范畴的信息终端统一由总经理工作部管理。

2.3由总经理工作部科信专责负责制定信息安全管理措施,并负责实施。

2.4任何员工不得危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。

2.5所有需要接入公司网络的电脑必须安装有效的杀毒软件,公司所有的电脑由科信专责指定杀毒软件并强制安装,统一升级。科信专责有权针对特定病毒采取的必要措施,以达到有效预防、消除病毒影响的目的。

2.6公司所有的电脑上不得擅自安装或运行修改操作系统运行参数的软件。不得从事扰乱公司网络正常运行的活动。

2.7所有员工必须保管好自己的网络帐号信息,只准本人使用,不得借与他人使用,不得以任何理由将自己的网络帐号泄露给公司外部的人员。

2.8至少每月修改一次密码。密码被他人获悉后,必须及时更改密码。密码长度必须在十位以上,并符合复杂性要求。

2.9各部门存取必须建立访问控制与审核机制,严格控制重要资料的存取。

2.10科信专责负责对所有电脑的操作系统做升级、补漏洞的工作,降低系统的运行风险。

2.11科信专责负责设置安全可靠的防火墙,安装防病毒软件,定期进行安全风险分析与系统漏洞测试,适时对软硬件进行升级,确保系统安全、可靠、稳定地运行。

2.12由科信专责严格控制所有信息终端访问Internet网的行为,并建立审核机制。

2.13所有信息终端所在场所必须有必要的防盗、消防设施,并严格控制相关人

员进出。

2.14科信专责负责对公司OA系统使用人员进行审核。信息保密管理

3.1涉密信息定义范围包括《保密制度》所定义的范围但不仅限于该范围,还包括公司信息网络的架构、设备资料等相关信息。

3.2涉密信息的密级参照《保密制度》。严格执行访问控制与审核机制。涉及公司商业机密和技术机密的资料必须实行“涉密资料原则上不上网”的要求。对各级涉密信息具体要求如下:

3.2.1绝密资料必须使用文件系统权限控制,并作审核。不允许使用网络共享等易泄漏的方式传递。传递时必须使用强密码加密;

3.2.2机密资料必须使用文件系统权限控制,并作审核。传递时必须使用强密码加密;

秘密资料传递时必须使用强密码加密;

3.2.3所有有机会直接或间接地接触本涉密信息的人员(包括员工、外聘的管理顾问等)均为涉密人员。涉密人员必须签《商业秘密保证及竞业限制协议》。

3.2.4涉密场所必须严格控制人员的进出。

3.2.5所有涉密介质(软盘、光盘、硬盘等)必须实行使用登记。使用完后必须作脱密处理。

3.2.6对外公布有关公司的信息必须经过有关部门审核、批准后方可执行。4附则。

4.1本规定由总经理工作部负责解释。

4.2本规定自颁布之日起执行。

第四篇:信息安全与保密管理

信息安全与保密管理规定

为了保护我院信息安全,为了保护患者信息,防止计算机失泄密问题的发生,为了加强医院信息系统的领导和管理,促进医院信息化工程的应用和发展,保障系统有序运行, 根据卫生部医管司修订《医院工作制度与人员岗位职责》,信息安全等级保护管理办法(公通字[2007]43号)结合我院实际,制定本制度。

一、计算机网络信息安全保密管理规定

(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在我院计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。

(2)接入本院网络的计算机严禁将计算机设定为网络共享,严禁将文件设定为网络共享文件。

(3)为防止黑客攻击和网络病毒的侵袭,接入本院网络的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。

(4)禁止将文件存放在网络共享硬盘上。(5)保密级别材料可通过本院内网OA软件,严禁院内材料通过电子信箱、QQ等网上传递和报送。

(6)计算机严禁直接或间接连接外网和其他公共信息网络,必须实行物理隔离。

(7)要坚持“谁上网,谁负责”的原则,信息上网必须经过信息科及主管院长审查,并经主管院长批准。

(8)外网必须与涉密计算机系统实行物理隔离。

(9)在与外网相连的信息设备上不得存储、处理和传输任何涉密信息。(10)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。

二、计算机维修维护管理规定

(1)计算机和存储介质发生故障时,应当向信息科提出维修申请,经批准后到指定维修地点修理,一般应当由信息科人员实施,须由外部人员到现场维修时,整个过程应当有信息科人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的信息,维修后应当进行检查。

(2)信息科应将本院所属科室设备的故障现象、故障原因记录在设备的维修档案记录本上。

(3)凡需外送修理的设备,必须经信息科和主管领导批准,并将文件进行不可恢复性删除处理后方可实施。

(4)如不能保证安全保密,应当办理审批手续,由专人负责送到信息科予以销毁。

(5)由信息科工作人员负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。

(6)计算机的报废由信息科专人负责。

三、用户密码安全保密管理规定

(1)用户密码管理的范围是指办公室所有计算机所使用的密码。

(2)计算机的密码管理由信息科负责,计算机的密码管理由使用人负责。(3)用户密码使用规定

1)密码必须由数字、字符和特殊字符组成;

2)计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;

3)计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;

4)计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。(4)密码的保存 1)计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示信息科工作人员认可;

2)计算机设置的用户密码须登记造册,并将密码本存放于文件柜内,由信息科管理。

四、涉密电子文件保密管理规定

(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。

(2)电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。

(3)各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。

(4)电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。

(5)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。

(6)各院内科室自用信息资料由本部门管理员定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。

(7)各部门要对备份电子文件进行规范的登记管理。每周做增量备份,每月做全量备份;备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。

(8)涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。

(9)备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。

五、涉密计算机系统病毒防治管理规定

(1)涉密计算机必须安装经过信息科许可的查、杀病毒软件。(2)每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本,同时将升级记录登记备案。

(3)绝对禁止计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。

(4)每周对计算机、服务器病毒进行一次查、杀检查,并将查、杀结果登记造册。

(5)计算机、服务器应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。

(6)对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。

(7)对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。

六、上网发布信息保密规定

(1)上网信息的保密管理坚持“谁发布谁负责”的原则。凡向外网站点提供或发布信息,必须经过信息科审查,报主管院长批准。提供信息的部门应当按照一定的工作程序,健全信息审批制度。

(2)凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。凡对网上信息进行扩充或更新,应当认真执行信息审核制度。

第五篇:信息安全与保密管理规定

DEJIN

公司管理制度

信息安全与保密管理规定

总则

一、目的

为了保证我局各中心、各股、各部门人员充分合理利用网络资源,提高网络带宽利用率,方便网络流量控制和带宽管理;为了保证财政系统内部网络安全,保护内部数据,防止机密信息泄露,消除企业潜在滥用互联网的法律风险;为了保证员工使用先进的系统工具提高工作效率, 规范员工的网络行为;结合各中心、各部门、各岗位工作实际需要,特制定本制度。

二、信息安全管理规定

(1)信息中心负责硬件及软件的统一管理和安全运行,服务器上数据资料、信息资料的保密。

(2)各股室负责本部门硬件和软件的安全运行,数据信息、资料的保密。(3)计算机操作人员负责本人使用的计算机的开机口令、网络口令及用户口令的保密。

(4)新购置的软件(除设备带的软件)必须由信息中心登记,并将副本移交综合档案室。

(5)计算机操作人员负责对本机硬盘中的重要数据、资料、文件等及时做好备份工作。

(6)不得超越自己的权限范围,修改他人或服务器内的公用数据。(7)所有直接或间接接入财政内网的信息终端的电脑,一律纳入我局管理 DEJIN

公司管理制度 的范畴。

(8)所有纳入我局管理范畴的信息终端统一由信息中心管理。(9)由信息中心负责制定信息安全管理策略,并负责实施。

(10)任何员工不得危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。

(11)需要接入财政内网的电脑必须安装有效的杀毒软件,我局所有的电脑由信息中心指定杀毒软件并强制安装,统一升级。信息中心有权针对特定病毒采取的必要措施,以达到有效预防、消除病毒影响的目的。

(12)我局所有的电脑上不得擅自安装或运行修改操作系统运行参数的软件。不得从事扰乱公司网络正常运行的活动。

(13)所有员工必须保管好自己的网络帐号信息,只准本人使用,不得借与他人使用,不得以任何理由将自己的网络帐号泄露给财政系统以外的人员。

(14)至少每月修改一次密码。密码被他人获悉后,必须及时更改密码。

(15)各部门存取必须建立访问控制与审核机制,严格控制重要资料的存取。

(16)信息中心负责对所有电脑的操作系统做升级、补漏洞的工作,降低系统的运行风险。

(17)信息中心负责设置安全可靠的防火墙,安装防病毒软件,定期进行安全风险分析与系统漏洞测试,适时对软硬件进行升级,确保系统安全、可靠、稳定地运行。

(l8)由信息中心严格控制所有信息终端访问Internet网的行为,并建立 2 DEJIN

公司管理制度

审核机制。

(19)所有信息终端所在场所必须有必要的防盗、消防设施,并严格控制相关人员进出。

三、信息保密管理规定

(1)涉密信息定义范围包括《保密管理规定》所定义的范围但不仅限于该范围,还包括我局信息网络的架构、设备资料等相关信息。

(2)涉密信息的密级参照《保密管理规定》。严格执行访问控制与审核机制。涉及财政系统机密和技术机密的资料必须实行,涉密资料原则上不允许上网。

(3)涉密场所必须严格控制人员的进出。

(4)所有涉密介质(软盘、光盘、硬盘等)必须实行使用登记。使用完后必须作脱密处理。

(5)对外公布有关财政信息必须经过有关部门审核、批准后方可执行。

四、执行力度保障

(1)实行“领导责任制”。各部门主管负责本部门的安全工作。

(2)信息中心定期抽查各部门安全工作,并随时进行突击检查。

下载浅谈部队信息安全保密风险管理word格式文档
下载浅谈部队信息安全保密风险管理.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    信息安全保密协议书

    信息系统安全保密协议书 甲方: 乙方: 为规范与XXX单位信息化建设合作各公司派驻本院定点工作工程师的管理,根据《XXX单位信息系统合作公司工程师管理规定》,特制定本协议。 协议......

    信息安全保密协议书

    信息安全保密协议书 甲方: 乙方: 根据《中华人民共和国计算机信息系统安全保护条例》等相关法律法规规定,甲、乙双方本着平等、自愿、公平和诚实信用的原则,订立本保密协议。......

    信息安全保密承诺书

    信息安全保密承诺书 根据《中华人民共和国计算机信息系统安全保护条例》等相关法律法规规定及公司的各项规章制度规定,本人向*********郑重承诺: 一、不制作、复制、发布、转......

    信息安全保密协议书

    信息安全保密协议书 甲方: 乙方: 根据《中华人民共和国计算机信息系统安全保护条例》等相关法律法规规定、甲方各项规章制度的规定,乙方向甲方郑重承诺: 一、不制作、复制、发布......

    信息安全保密承诺书

    信息保密承诺书 本人 (姓名: 身份证号: )是XXX公司员工,将于 年 月 日离职。 鉴于本人在公司的职位为重要涉密岗位,且工作期间接触了很多公司的商业秘密和信息,为保障XXX公司与我......

    信息安全保密保证书

    信息安全保密保证书 信息安全保密保证书一 我主要负责20xx年普通高等学校招生全国统考试卷安全保卫工作,我将严格履行保密员职责,坚守工作岗位,保守国家秘密,努力工作,保证试卷运......

    信息安全保密协议书

    信息安全保密协议书 甲方:有限公司(以下简称甲方) 乙方:中汇江苏税务师事务所有限公司(以下简称乙方) 甲方已经与乙方签订审计业务约定书,考虑到乙方在审计甲方财务报表过程中需要......

    信息安全保密管理制度

    信息安全保密管理制度 第一条 为处理网站信息资源发布过程中涉及的办公秘密信息和业务秘密信息,特制定本制度。 第二条 网站应建立规范的信息采集、审核和发布机制,实行网站编......