前言:中文期刊網精心挑選了信息服務安全范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
信息服務安全范文1
創新場景名稱
填報單位
XX縣XXX汽車運輸有限公司
聯系人
XXX
職務
經理
手機
郵箱
XXXXX@126.com
應用級別
地級以上 縣級市 ☑縣(區)
新城新區 社區 產業園區 其他
應用領域
政務領域 醫療領域 社區領域 公共安全領域
就業領域 養老領域 餐飲領域 教育領域
家庭服務領域 旅游領域 交通領域☑ 社保領域
扶貧領域 環保領域 其他
場景說明
XXX物流信息服務與車輛監管平臺由XX縣XXX汽車運輸有限公司于2015年投資建設,目前平臺現有各類管理及技術人員20余名,入網車輛3000余臺。平臺建設落成后硬件設施到位的同時,經過多方考察論證并協商,2015年底公司與山東XX北斗網絡科技有限公司簽約合作,為車輛動態監控平臺注入了后臺技術數據支撐與手機APP聯網應用的,在運行的過程中不斷總結經驗、經過兩家公司4年的相互協作,目前配備了一支具備專業素質強、服務意識高的動態監控團隊,為在線運營的道路貨運車輛提供24小時實時監控與全國物流信息、收集服務,通過該平臺的運用,能夠及時發現車輛超速、疲勞駕駛等違章行為,并給車輛駕駛員發送安全信息、或者電話通知等方式,督促駕駛員糾正違章駕駛行為。有效的消除了營運行車輛在經營過程中的不安全因素,規避了安全隱患。車輛動態監控平臺除了具備:定位監控、報警預警、安全信息推送、軌跡回放、報警分級管控、夜間提醒及重點區域車輛管理等基本功能以外,還能夠在第一時間搜集到全國各地的貨物運輸及車輛待配載信息,大大縮短了車輛的配貨時間及成本,減少車輛的空駛率。
創新應用情況及效果
該平臺是集物流信息與收集、車輛北斗系統實施定位與軌跡回放、貨物實時追蹤為一體的多功能專業性平臺。該平臺目前已入網貨運車輛3000余臺,能夠實時對所有車輛進行實時位置定位,及時跟蹤貨物位置,并且能夠實現車輛超速報警、疲勞駕駛報警、突發事件報警、夜間提醒、重點區域車輛管理等功能,平臺能夠向車輛發送安全提醒短信,杜絕駕駛員疲勞駕駛,可以查看車輛一個月內的所有行駛軌跡。
另外平臺物流信息收集與功能,能夠及時搜集到全國各地的貨物運輸信息及車輛待配載信息,大大縮短了車輛的配貨時間及成本,減少車輛的空駛率。
該平臺目前是XX縣唯一一家集物流信息及車輛定位功能的服務性平臺,在今后的工作中公司將繼續加大對平臺的進一步開發,擴大服務范圍,力爭在全省范圍內達到領先水平。
代表性及推廣價值
為了讓更多的客戶體驗平臺的便利性,目前平臺免費為客戶提供相關的數據服務,同時公司組建了專業的團隊為平臺新老客戶提供24小時后臺服務。
另外平臺物流信息收集與功能,能夠及時搜集到全國各地的貨物運輸信息及車輛待配載信息,大大縮短了車輛的配貨時間及成本,減少車輛的空駛率。同時定位功能對貨物與車輛的營運監管起到了良好的作用。
預期效果
平臺物流信息收集與功能,能夠及時搜集到全國各地的貨物運輸信息及車輛待配載信息,大大縮短了車輛的配貨時間及成本,減少車輛的空駛率。
相似案例
無
其他
無
填表要求:
1.填表用語簡潔明了,數據事實詳實、準確。字體為“仿宋-GB2312”,字號為“小四”,行距為“單倍”,左對齊。
信息服務安全范文2
一、信息資源云服務體系及信息資源安全風險
信息資源云服務是通過云計算將分布式的信息資源進行資源整合、信息分析、數據挖掘等一系列操作后,為用戶提供滿足其信息需求的一種云端服務模式。信息資源云服務的客體是信息資源,主體則為云用戶,在信息資源云服務體系中,大部分信息資源都存儲在云端,因此,信息安全成為一個不得不考慮的問題,而這一問題牽涉信息資源云服務體系的各個方面,要想解決信息資源云服務的安全就必須結合通過云計算構建信息資源的流程及方法。信息資源云服務體系主要涉及資源層、用戶層、服務層三個核心層次。
1.資源層與安全風險資源層是信息資源云服務體系的基礎,旨在為用戶提供滿足需求的豐富的信息資源,主要通過終端輸入和網絡爬蟲的方式采集信息資源后進行存儲,建立資源池并生成信息索引。終端輸入是信息資源供給方將本地的信息資源數字化后上傳到云端服務器,而在數據傳輸過程中或許會面臨遭遇網絡攻擊與重要信息資源被截取的可能,即信息資源傳輸風險,從而造成巨大的損失。資源層采集信息資源的另一種方式是網絡爬蟲,即網絡爬蟲是一種按照一定的規則自動抓取萬維網資源的程序或者腳本,能在抓取一個或若干個初始網頁的URL和網頁內容的同時通過數據庫比對、自然語言理解、交叉語言檢索、數據挖掘等技術進行提取并建立自身的數據庫。信息資源云服務的目的之一在于共享,但為保持各個信息資源供給方自身的優勢,又有必要保留其特色信息資源,并且只能通過接口的方式訪問,而網絡爬蟲的肆意抓取將會導致諸多信息資源供給方面臨信息資源訪問權的風險。另外,云存儲風險是存在于資源層中的較大問題,云端數據的丟失將使整個信息資源云服務體系失去作用,例如,微軟提供SIDEKICK服務曾中斷了一個星期,導致用戶不能訪問自己的郵箱、日歷還有其他個人數據,并且微軟最后也承認這些數據無法恢復。因此,信息資源云服務中數據的完整性、可用性、保密性是開展云服務的基礎。
2.用戶層與安全風險信息資源云服務體系中資源池的構建不僅取決于云端信息資源的儲備,也涵蓋用戶這一層面。在整個信息資源云服務體系中,云用戶的信息需求直接影響信息資源的構建方向,云用戶的個性化特征將指引服務模式的創新,因此,用戶與信息資源云系統的交互在服務體系中擔當著不可估量的角色。兩者之間的交互具體體現在用戶根據自身的信息需求向信息資源云系統請求服務和信息資源云系統分析用戶信息行為兩個方面。第一個方面,用戶在請求服務前必須登入自己的云端賬戶以獲取自己所需的信息資源。信息資源云服務的構建中用戶分為普通用戶和管理員用戶,不同的用戶擁有的權限必須有所區別。在信息資源云系統針對不同用戶提供服務時,許多信息資源都要經過二次加工后才能滿足用戶的需求,而這類加工操作則必須由信息資源云系統的管理員才能完成,因此,權限的設定在服務中尤為重要,否則將引發管理權限風險。第二個方面,為了提供更好的個性化服務,信息資源云系統需要對用戶的信息行為蹤跡進行收集和分析,通過數據挖掘等技術發現用戶的隱性需求,這也是云計算中普遍使用的一種方法。用戶的個人信息行為屬于用戶隱私的范疇,因此云計算提供的服務與用戶隱私間存在著持久的矛盾,對用戶個人信息行為的分析是云計算提供更好服務的前提,但此舉實際上又侵犯用戶個人隱私。對于普通用戶而言,用戶隱私保護也是信息資源云服務的構建中迫切需要解決的問題。
3.服務層與安全風險信息資源云服務層為用戶提供信息資源的檢索、個性化定制、推送、云管理等信息資源云服務。信息資源云服務體系中使用的是公共云、私有云和混合云三種模式。信息資源公共云是第三方提供商為信息資源用戶提供的能夠使用的云;信息資源私有云是為一個信息資源用戶單獨使用而構建的,提供對數據、安全性和服務質量的最有效控制(這里的用戶通常是信息資源方);而信息資源混合云則是兩種云的混合,具備兩者的基礎特征。在信息資源云服務中,三種云之間的訪問應是無縫連接的,能夠同步完成信息資源的檢索、個性化定制、推送等操作,要實現這些功能,必須擁有信息資源云管理的統一標準。輕量目錄訪問協議(LightweightDire-ctoryAccessProtocol,LDAP)是一個用來目錄信息到許多不同資源的協議,能夠構建一個這樣的通用平臺。LDAP通過TLS(安全傳輸層協議)和SASL(簡單認證和安全層)來保證信息傳輸的安全性,但最近在拉斯維加斯舉辦的黑帽大會上,安全研究人員AngeloPrado、NealHarris與YoelGluck披露了一種名為BREACH(超文本自適應壓縮瀏覽器勘測與滲透)的新技術,該技術能夠獲取來自SSL/TLS加密網絡流量的敏感信息,并且三位研究人員聲稱,BREACH技術能給采用加密機制、算法的大部分TLS/SSL帶來巨大威脅。由此可見,數據的安全傳輸在信息資源云服務層中是一個很大的問題。所以,信息安全問題在信息資源云服務體系中主要體現為:信息資源傳輸風險、資源訪問權的風險、云存儲風險、管理權限風險、用戶隱私保護問題、數據的安全傳輸等幾方面,歸類后,安全問題可劃分為信息資源過程管理和用戶管理兩大模塊。
二、信息資源云服務中信息安全技術的應用
1.信息資源過程管理與信息安全技術信息資源過程管理包括信息采集、信息組織加工、信息存儲與檢索、信息服務四大子過程。在對信息資源進行云管理之前,可根據重要性對本地數字化的信息資源和網絡爬蟲抓取的信息資源劃分為一般信息資源、重要信息資源和信息資源。一般信息資源的目的在于分享,其重要性往往較低,在信息資源安全問題的管理上,可采用HTTP(超文本傳輸協議)或HTTPS(安全超文本傳輸協議,采用完全套接字層SSL作為HTTP應用層的子層)的方式直接進行傳輸,以保證其使用效率,改善用戶體驗。重要信息資源旨在為擁有更高信息需求的用戶提供服務,包括許多經過數據挖掘、信息分析和多次加工后的信息資源,這些資源也是增強用戶對信息資源云服務粘合度的重要原因之一,因此有必要對這類信息資源進行進一步的加密,實現技術為可在信息資源云服務器上部署云端加解密模塊。本地的重要信息資源數字化后,經過數字水印技術和AES(AdvancedEncryptionStandard,高級加密標準)算法加密后,通過VPN技術在公網上封裝出一個數據通訊隧道,上傳到云服務器,而網絡爬蟲抓取的信息資源則直接通過云端加密模塊進行加密后保存。由于通過VPN技術訪問信息資源的速度會降低不少,并且許多VPN技術受網絡環境及使用平臺影響的復雜程度也不盡相同,因此會導致用戶的使用效率受到影響。在保證信息資源安全性的前提下,為了盡可能地提高使用效率,可采用SSLVPN協議。SSLVPN結合了SSL和VPN兩者的優點,SSL處于網絡結構體系的傳輸層和應用層之間,因此SSLVPN幾乎支持所有的WEB瀏覽器,這也意味著用戶不需要為了獲取SSLVPN的支持而安裝第三方軟件,符合云計算開發的初衷。用戶通過SSLVPN協議訪問重要的信息資源不僅不受平臺的限制,而且能極大地提高使用效率。信息資源理論上并不適合保存在云服務器上,其資源池的建立是為了解決部分用戶因地域限制等因素而無法及時獲取自己所需的那些保密性較高的信息資源。為保證這類信息資源的安全,可使用多重技術,即用戶將訪問保密信息資源的請求經數據通訊隧道發送給信息資源的另一服務器,由該服務器將請求轉發給原始服務器,并最后得到所需的信息資源,這樣做的目的是為了隱藏用戶的目的及信息資源請求的來源,最大限度地保證這些保密信息不被竊取。信息資源能夠保證使用的前提是其完整性,為了避免由于物理因素、網絡安全風險、人為因素等引起的數據丟失、信息更改的現象,應適時采用云備份與磁盤備份相結合的方式對信息資源進行數據備份。
2.用戶管理與信息安全技術用戶的管理主要涉及用戶權限管理和用戶隱私保護。根據用戶層對用戶的分類,不同權限的用戶擁有不同的訪問權,在用戶權限管理上應用的信息安全技術為信息確認技術和網絡控制技術。信息確認技術的核心為涵蓋消息確認、身份確認和數字簽名的信息確認系統,對于需要一般信息資源的用戶通常可采用靜態密碼的方式來確認身份,訪問重要信息資源的用戶則必須開通動態密碼服務來獲取身份的確認,而針對那些與信息資源有關的用戶可根據實際情況采用生物識別技術。同時對普通用戶和管理員而言,兩者也不能出現超越限制權限的行為,否則會引起信息資源云服務的隱性風險,因此云服務器有必要通過網絡控制技術來規范其行為,最典型的即為防火墻技術,通過該技術既能夠允許獲得授權的外部人員訪問云服務器,又能夠識別和抵制非授權者的訪問。實際上,現有的防火墻技術并不能完全保證信息資源的安全,也存在被黑客突破的可能性,一旦突破,信息資源將完全呈現出來,同時外部用戶的身份認證技術也無法解決這一問題,為此需要對信息資源本身的文件操作制定相應的規則,而這一技術就是主動防御系統(Host-basedIntrusionPreven-tionSystem,HIPS)。HIPS不僅能夠限制用戶的行為,也能保護用戶隱私。HIPS包括應用程序防御體系、注冊表防御體系和文件防御體系,通過定制合適的規則可實現對運行程序、注冊表和文件讀寫操作的控制,在一定程度上可防止用戶訪問權限外的信息資源,同時也能保證用戶的行為不被云服務器肆意跟蹤。以上幾種信息安全技術的綜合應用將使用戶管理更趨科學化、合理化。
三、結束語
信息服務安全范文3
1 社區衛生服務中心信息安全背景
20世紀90年代以來,信息技術不斷創新,信息產業持續發展,信息網絡廣泛普及,特別是原衛生部《衛生信息化發展規劃(2011~2015年)》之后,明確了衛生信息化是深化醫藥衛生體制改革的重要內容。那么作為整個衛生信息化體系的“網底”的社區衛生服務中心,其重要性不言而喻。隨著衛生信息化的建設不斷擴展和深入,依托于區域衛生信息中心的各類應用系統不斷上線推廣應用。網絡與數據安全已逐步成為各項衛生信息工作開展的重要基礎依托。因此社區衛生服務中心作為區域衛生信息中心的重要結點。信息安全管理就顯得尤為重要。
2 什么是信息安全管理
“三分技術,七分管理”是信息安全保障工作中經常提到的。可見,信息安全管理是信息安全保障的至關重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標,遵循安全策略,按照規定的程序,運用恰當的方法,而進行的規劃、組織、指導、協調和控制等活動。作為組織完成的管理體系中的一個重要環節,它構成了信息安全具有能動性的部分,是指導和控制組織相互協調完成關于信息安全風險的活動,其對象就是包括人員在內的各類信息相關資產。在社區衛生服務中心由于信息系統應用較為廣泛,基本包含了醫療、護理、醫技、行政等所有科室及其人員。
長期以來,社區衛生服務中心在信息安全建設方面,存在重技術輕管理、重產品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區域衛生信息中心采用集中管理的信息安全技術及產品的應用,一定程度上可以來解決社區衛生服務中心在網絡傳輸時的信息安全問題。但是僅僅靠這些產品和技術還不夠,即使采購和使用了足夠先進、足夠多的信息安全產品,仍然無法避免一些信息安全事件的發生。近年來,由于管理不善、操作失誤等原因導致的衛生信息及病患基本信息泄露的安全事件數量不斷攀升,更加劇了社區衛生服務中心需要信息安全管理的迫切性。
3 社區衛生服務中心信息安全管理作用
社區衛生服務中心信息安全管理的作用體現任以下幾個方面。
3.1信息安全管理是社區衛生服務中心組織整體管理的重要的、固有的組織部分,是組織實現中心業務目標的重要保障。在信息時代的今天,信息安全威脅已經成為社區衛生服務中心等醫療機構業務正常運營和持續發展的最大威脅。如在社區衛生服務中心發生的費用結算85%以上通過醫保信息系統來進行,所有的醫生工作站都依托中心服務器來提供數據進行操作,醫技部門也通過信息系統獲取病人信息和傳送結果。一旦信息系統發生故障對于社區衛生服務中心來說是災難性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技術的融合劑,是各項技術措施能夠發揮作用的重要保障。安全技術是信息安全控制的重要手段,許多信息系統的安全性保障都要依靠技術手段來實現,但光有安全技術還不行,要讓安全技術發揮應有的作用,必然要有適當的管理程序的支持,否則,安全技術職能趨于僵化和失敗。如果說安全技術是信息安全的構筑材料,那么信息安全管理就是融合劑和催化劑,良好的管理可以變廢為寶,使現有的各項技術相互配合發揮應有的作用,而糟糕的管理會使技術措施變得毫無用處。實現信息安全,技術和產品是基礎,管理才是關鍵。在信息安全保障工作中必須管理與技術并重,進行綜合防范,才能有效保障安全,這也是實現信息安全目標的必由之路
3.3信息安全管理是預防、阻止或減少信息安全事件發生的重要保障。早期人們對于信息安全的認識主要側重在技術措施的開發和利用上,這種技術主導論的思路能夠解決信息安全的一部分問題,但卻解決不了根本,據權威機構統計表明,信息安全問題大約70%以上是由管理方面原因造成的,大多數信息安全事件的發生,與其說是技術上的原因,不如說是管理不善造成的。因此解決信息安全問題、防止發生信息安全事件不應僅從技術方面著手,同時更應加強信息安全的管理工作。
信息安全涉及的范疇非常廣,信息安全不是產品的簡單堆積,也不是一次性的靜態過程,它是人員、技術、操作三者緊密結合的系統工程,是不斷演進、循環發展的動態過程。因此,要求社區衛生服務中心的相關人員正確理解信息安全、理解信息安全管理的關鍵作用,以更好地開展信息安全管理工作。強調信息安全管理的作用,并不是要削弱信息安全技術的作用;開展信息安全管理工作,要處理好管理和技術的關系,要堅持管理與技術并重的原則,這也是信息安全保障工作的主要原則之一。
4 社區衛生服務中心信息安全管理控制措施
在我國對于信息安全等同采用IS0 27002:2005,命名為《信息技術安全技術信息安全管理實用規則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的,包括策略、過程、規程、組織結構以及軟件和硬件功能。可見對于社區衛生服務中心的信息安全來說,安全控制措施是必要且十分重要的。其中比較重要的如下:
4.1安全方針 社區衛生服務中心的信息安全方針控制目標,是指中心的信息安全方針能夠依據業務的要求和相關法律法規提供管理指導并支持信息安全。社區衛生服務中心信息安全方針文件的內容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。
4.2信息安全組織 信息安全組織一般分為內部組織和外部組織。社區衛生服務中心內部組織的信息安全控制目標是指在中心內管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分,不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協調、信息安全職責的分配、信息處理的授權、保密協議、信息安全的獨立評審等。社區衛生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統外單位信息通信相關風險的識別、處理相關的安全問題和處理第三方協議中的安全問題等。
4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素,有資料表明,70%的安全問題是來自人員管理的疏漏,為了對人員有一個有效的管理,需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。
4.3.1任用之前控制是指社區衛生服務中心任用人員之前為了確保人力資源的安全,需考慮到角色是否適合相應崗位,以降低設施被竊、信息泄露和誤用的風險,這一目標的實現需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。
4.3.2任用中社區衛生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針,以減少人為過失的風險。
4.3.3社區衛生服務中心發生任用的終止或變更時,應確保信息的安全不外泄,確保員工、承包方人員和第三方人員以一個規范的方式退出或改變其任用關系。可以通過終止職責、資產的歸還、撤銷訪問權限等控制措施來實現。
4.4物理和環境安全 社區衛生服務中心的物理和環境安全可以從安全區域和設備安全來入手管理。定義安全區域是為了防止對中心場所和信息的未授權物理訪問、損壞和干擾。可以通過設置物理安全邊界、物理入口控制、辦公室房間和設施的安全保護、外部和環境的安全防護、在安全區域工作、公共訪問和交接區安全。設備安全是指防止由于資產丟失、損壞、失竊而危及社區衛生服務中心的資產安全以及信息安全。中心可通過設備安置和保護、支持性設施、布纜安全、設備維護、場所外的設備安全、設備的安全處置和再利用,資產的移動等措施來進行保障。
4.5通信和操作管理 社區衛生服務中心的通信和操作管理一般可從操作規程和職責、第三方服務交付管理、系統規劃和驗收、防范惡意和移動代碼、備份、網絡安全管理、介質處置、信息的交換、電子商務服務、監視等方面入手。
4.6訪問控制 對于社區衛生服務中心來說,訪問控制可從訪問控制的業務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。
4.7信息安全事件管理 社區衛生服務中心的信息安全事件管理可以從報告信息安全事態和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。
4.7.1報告信息安全事態和弱點這項控制目標旨在確保中心與信息系統有關的信息安全事態和弱點能夠以某種方式傳達,以便及時采取糾正措施。該目標下有報告信息安全事態和報告安全弱點這兩項控制措施來保障這一目標的實現。①報告信息安全事態控制措施,是指信息安全事態應該盡可能快地通過適當的管理渠道進行報告。實施過程中應建立正式的信息安全事態報告程序,以及在收到信息安全事態報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施,是指中心應要求信息系統和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下,都不應試圖去證明被懷疑的弱點。
4.7.2信息安全事件和改進的管理。社區衛生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結、證據的收集三項控制措施來保障這一目標的實現。①職責和程序的控制措施。它是指中心應當建立管理職責和程序,以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態和弱點進行報告外,還應利用對系統、報警和脆弱性的監視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規程以處理不同類型的信息安全事件,如惡意代碼、拒絕服務、信息系統故障和服務丟失、違反保密性和完整性、信息系統誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構報告所采取的措施等。②中心對信息安全事件的總結控制措施,是指社區衛生服務中心應有一套機制量化和監視信息安全事件的類型、數量和代價。從信息安全事件評價中獲取的信息應用來識別再發生的事件或高影響的事件。③證據的收集。證據的收集對于社區衛生服務中心來說,是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時,應收集、保留和呈遞證據,以使證據符合相關訴訟管轄權。過程有:為應對懲罰措施而收集和提交證據,應制定和遵循內部程序,為了獲得被容許的證據,中心應確保其信息系統符合任何公布的標準或實用規則來產生被容許的證據:任何法律取證工作應僅在證據材料的拷貝上進行。
4.8業務連續性管理 對于社區衛生服務中心來說業務連續性管理是指防止中心業務中斷,保證中心重要業務流程不受重大故障與災難的影響。業務連續性管理過程中包含信息安全,該控制措施是指應為貫穿于組織的業務連續性開發和保持一個管理過程。解決中心的業務連續性所需的信息安全要求,保護關鍵業務過程免受信息系統重大失誤或災難的影響,并確保他們的及時恢復。應包含中心的信息安全、業務連續性和風險評估、制定和實施包含信息安全的連續性計劃、業務連續性計劃框架、測試、維護和再評估業務連續性計劃等內容。
5 社區衛生服務機構信息安全的展望
對于社區衛生服務中心來說信息安全保障不僅僅是一門技術學科,信息安全保障應綜合技術、管理和人。在中心的管理上,信息安全保障應考慮建立綜合的信息化的組織管理體系,明晰相應的崗位職責、規章制度并嚴格執行等等。在人員上,應加強所有使用信息系統人員的安全意識和技能,以及中心從事信息系統專業人員的專業技能和能力。社區衛生服務中心的信息安全保障亦不是一種項目性的暫時行為,而是融入信息系統生命周期的全過程的保障。信息安全保障不是一種打補丁,頭疼醫頭、腳疼醫腳的臨時行為,而是一種系統化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統本身,信息安全保障的根本目的是通過保障信息系統進而保障運行于信息系統之上的中心業務系統。信息安全保障應以業務為主導、以社區衛生服務中心的使命、社會職責和社會服務性為出發點和落腳點。社區衛生服務中心的信息安全保障不僅僅是孤立的自身的問題,信息安全保障是一個社會化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題,信息系統需要電信、電力等基礎設施的支持、信息系統需要承擔保密、公共安全、國家安全等社會職責,信息安全保障工作是一個社會化的、需要各方參與的綜合的工作。社區衛生服務中心的信息安全保障是主觀和客觀的結合。沒有絕對的安全,信息安全保障并不提供絕對的安全,信息安全保障是討論風險和策略,討論適度安全。因此,它是一個需要持之以恒和不斷完善與發展的工作。
信息服務安全范文4
XP停止服務影響巨大
XP停止服務的決定,將會給中國的信息安全帶來巨大的影響。微軟停止XP服務意味著它將不再對XP的安全問題負責,它將不再XP的漏洞和補丁,這顯然會讓XP用戶面臨很大的安全風險。看來,微軟此舉是希望XP用戶在這種壓力下能升級到“Windows 8”。
在中國的PC用戶中,XP的市場份額占73.5%,即XP在用量約為2億臺,其中84.2%用戶沒有升級到“Windows 8”的計劃。也就是說,絕大多數中國XP的用戶都希望繼續使用XP,微軟的決定不符合他們的愿望。由于微軟此舉涉及的電腦數量巨大,因此是一個重大的信息安全事件,需要認真應對。
中國將要為此付出巨大的成本。應對這一事件需要作長期打算,不僅是為了減輕近期風險,而且還要大大增強長期的信息安全,為此進行投入、付出代價都是值得的。
現實情況是,中國在智能終端操作系統上完全受制于人。所謂智能終端,指的是各種信息終端,隨著云計算的興起,這些就是各種接受云服務的終端,包括桌面PC、智能手機、平板電腦、智能電視等家用智能終端、可穿戴設備、車載設備等等。這類智能終端使用的操作系統具有高度的壟斷性,現在全世界基本上只有三家――蘋果、谷歌和微軟的系統。中國盡管是世界上智能終端的最大制造國,可是我們制造的所有智能終端都是用的這三家系統,這種局面不改變,不僅我們智能終端制造業的利潤和發展受到制約,而且所有終端都運行外國操作系統,從大數據的角度看,我國用戶的數據都被人所掌握,信息安全沒有保障。由此可見,解決這個問題是刻不容緩的。
積極構建信息安全環境
過去我們在信息安全方面的許多措施,例如在信息系統設置防火墻、進行漏洞掃描,安裝殺毒、殺木馬軟件等等,不一定真正解決問題。例如2008年微軟對其認為是使用盜版軟件的用戶電腦實行“黑屏”,當時有人問:我的電腦裝了殺毒軟件,為什么防不了“黑屏”?這是因為操作系統是最基礎的軟件,是一切軟件運行的平臺,殺毒軟件也在操作系統之上運行,也受它的控制,當然不可能干預操作系統,操作系統要電腦“黑屏”,其他軟件是無法阻止的。
應當指出,信息系統的核心軟硬件,尤其是操作系統和CPU芯片等與系統的安全關系極大,一些重要信息系統中,大量采用外國的操作系統和CPU等核心軟硬件,存在極大的安全隱患,為了從根本上增強信息安全,今后我們要對這些系統中使用的核心軟硬件以自主可控的國產軟硬件進行替代,由替代XP所引發的操作系統國產化替代就是重要的環節。
在信息安全領域,我們應當針對在信息安全領域的那些受制于人的關鍵核心技術,包括上述的智能終端操作系統、CPU和網絡架構等等,發展自主可控的國產技術和設備,推進若干國產化替代工程,以便達到自主可控的目標。當然,自主可控只是一個先決條件,在這基礎上還要做到安全可信,最終使國家信息安全得到有力保障。
發展國產操作系統
據報道,我國版權局曾就微軟停止XP服務一事與微軟商議,希望微軟能考慮用戶的需求,延長支持,但微軟并未響應。不論此事是否合理,要真正解決問題,停留在議論上是沒有用的,必須立即采取果斷措施,應對此事帶來的安全風險。
那么,針對微軟的決定,產業界等應該如何來應對呢?我認為,為長遠著想,首先應防止“Windows 8”進入政府和重要行業。回顧2006年微軟“Windows Vista”時,當時有關機構根據專家評估,確認其架構會使用戶電腦被微軟高度掌控。其結果是“Vista”未列入政府采購目錄。現同類架構的“Windows 8”的安全風險遠超過“Vista”,更不應被引入政府和重要行業,故不應將其列入政府采購目錄。
同時,應在信息安全領域權威機構――中國國家信息安全漏洞庫的支撐下,集中我國信息安全領域的力量協同攻關,采用自主創新的可信計算技術進行安全加固,在微軟停止對“XP”支持后,推出有公信力的“安全云服務”,接管我國2億臺XP電腦用戶的服務支撐。這樣,可防止在微軟中止支持XP后,繼續使用XP的電腦出現嚴重安全事件。
中國“政產學研用”各界要共同努力,自主發展替代XP的國產操作系統及其生態環境。
為此,要發揚“兩彈一星”和載人航天精神,加大自主創新力度,學習“北斗”、“TD”等產業聯盟的成功經驗,創新地組織面向智能終端操作系統的產業聯盟,發揮市場在資源配置中的決定性作用,整合全國資源,吸收社會資金,協調一致,避免內耗,盡快推出國產操作系統及其生態環境來替代XP,并以此為突破點,進而以點帶面,推進到替代其他桌面操作系統,然后再擴展到替代移動操作系統。最終,我們希望中國國產智能終端操作系統能成為世界上繼蘋果、谷歌和微軟三家系統后的第四家系統。
信息服務安全范文5
遵循“務實求新”的傳統,永達電子潛心研制,大膽創新,積極實踐,憑借多年積累的安全管理理論研究基礎,形成了以“安全管理與控制平臺”為核心的一系列技術成果,并將這些成果產業化,成功地投入到國家重大信息安全等級保護工程建設中。
秉承“卓越創新”的理念,公司獲得多項技術專利并成功應用于政府、交通、通信、金融等領域。本著“多元協作”的價值觀,公司與國內外眾多IT廠商、科研院校廣泛合作,分別與IBM、HP建立了“Linux聯合實驗室”和“IA-64J技術應用研發中心”,主動與各界分享信息安全領域的先進技術和成功經驗。
公司獲得的資質有:國家信息安全服務二級資質;涉及國家秘密的計算機信息系統集成甲級資質;ISO9001:2008質量管理體系認證、深圳市重點軟件企業;計算機信息系統集成二級資質、商用密碼產品定點生產與銷售單位。
公司獲得榮譽有:四川省科技進步二等獎、國家火炬計劃項目證書、國家重點新產品證書、奧運政務網絡和信息安全優秀服務企業、鐵道科技獎勵證書、知識產權優勢企業、國家“863”立項支持單位。
永達安全管理與控制平臺是永達SOC安全體系中的核心,是信息安全的數據中心和分析決策中樞,匯聚并分析信息系統中安全事件,制定并分發安全策略,實現信息系統安全風險集中管理、監控。
信息服務安全范文6
論文關鍵詞:政府;信息安全;信息安全人事管理
隨著我國信息化建設的不斷推進以及電子政務的持續發展,政府信息安全事故也頻頻發生。
資料表明,七成以上的政府信息安全事故是由政府內部相關工作人員引發的。可見,在信息安全事件中起決定作用的是人,人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現代人力資源管理理論為基礎,從招聘選拔、人員培訓、人員使用、績效考核、人員激勵、離職管理等主要職能人手,對組織中信息安全人員進行科學管理、合理配置和有效開發,籍以實現組織信息安全管理目標的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個關鍵要素,信息安全人事管理的強化實施可以為政府搭建起一道牢固的“人力防火墻”。本文將現代人力資源管理相關理論與信息安全工作特點結合起來,發掘與提煉信息安全人事管理各主要職能具有特殊性與規律性的實務要點,以期為有關方面提供借鑒和參考。
一、信息安全人員招募與選拔
招募與選拔是政府信息安全人員的“入口”,直接影響到信息安全工作的質量和效率。信息安全人員的招募與選拔實務應該把握以下要點:
1.從招募與選拔的標準上看,突出對個人品德及專業知識的要求。信息安全工作具有保密性、綜合性、層次性和規范性等特點,進而決定了信息安全從業人員具有諸多特殊性及要求:他們在工作中會接觸到關系國家及組織榮辱興衰、生死存亡的大量秘密,保守秘密是他們的基本職業道德;他們必須不斷學習,對自己的知識與能力進行“升級”,才能適應信息時代信息安全工作的需要;他們必須遵守更多的規定,而且在組織中具有明確的職責,不能越雷池半步。這些都表明,信息安全人員必須具有更高的品德修養。這對應聘者提出更高的標準及要求:必須具有很強的組織紀律性和保密意識;具有很強的團隊意識和合作精神,愿意為組織利益犧牲個人利益;具有長遠眼光和接納新事物的胸懷,不斷更新自身素質。組織可以通過面試、心理測驗、背景審查等選拔方式考察應聘者的德行。此外,管理與技術是做好信息安全工作的兩大法寶,因此是否具備一定的信息安全管理與技術專業知識是信息安全人員招聘的另外一個主要標準。組織可以通過筆試來考察應聘者專業知識掌握的程度,并根據職位的不同定位來確定不同的考察重點。
2.從招募的途徑上看,在內部招募和外部招募相結合的基礎上,突出內部招募。內部招募是指從組織內部發現并培養所需要的各種人才,其方式包括內部晉升、崗位輪換和返聘等;外部招募是指按照一定的標準和程序,從組織外部的眾多候選人中挑選符合空缺職位要求的人員,其方式包括人才招聘會與校園招聘等。內部招募和外部招募各有優劣,兩者結合起來可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人員招募一般突出依賴內部招募,這主要是為了人員安全可靠的考慮,確保信息安全人員的穩定性。信息安全關鍵或領導職位出現空缺尤為如此。不過,由于當前我國政府信息安全人才仍舊匱乏,所以當內部招募滿足不了組織用人需求時也適當考慮外部招募。招募非關鍵性信息安全人員時尤為如此。
3.從選拔的過程上看,尤為重視背景審查和保密協議簽訂兩個環節。一般單位選拔人員可能也進行背景審查,但不一定是必須的,或者審查的過程與結果不一定非常嚴格與仔細。與之不同的是,信息安全人員的選拔尤為重視背景審查這個環節。該環節不僅不可或缺,而且在審查的時間、內容、過程、結果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準確性與可靠性,并在“人口”或“源頭”上控制信息安全人事風險。例如,美國中央情報局聯邦調查局等部門在選拔關鍵涉密人員過程中經常采用“心理測謊術”等高科技手段來對候選人進行審查,以確定候選人的誠實度、心理健康度或意志力等。此外,一旦候選人接受了工作,錄用合同就成為重要的安全手段。在合同中,組織可以將“政策認可”作為招聘的一個基本要求即在合同中附上一個保密協議,要求候選人在將來的工作甚至離職后的一段時間中,必須遵守組織相關保密規定,擔負起保障組織信息安全的責任,否則就會
二、信息安全人員培訓
信息安全人員培訓是通過各種方式幫助信息安全人員習得相關的知識、技能、觀念和態度的學習過程以及開發其潛能的各種活動。其實務要點包括:
1.從培訓原則看,堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作,特別是對于培訓內容、時間和地點等,不可隨意泄露,以免引起不必要的麻煩。此外,適時性原則主要是為了順應當前信息安全科技發展迅猛、更新換代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則,才能使信息安全人員跟蹤本領域科技發展最新動態,掌握最先進的知識與技能,以防止思想觀念陳舊與知識技能老化。
2.從培訓內容看,側重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質。信息安全意識貫穿于員工工作的始終,但是工作時間越長員工大多會出現倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風險隨之倍增,所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳,包括鼠標墊、水杯、鋼筆或在工作期間經常使用的任何物體上,在這些物體上印制上安全標語,用來提醒員工注意安全如在鼠標墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時都最先考慮信息安全,樹立自覺維護信息安全的意識。此外,信息安全行業的綜合性使得組織必須根據學用一致的原則,加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術,使其掌握信息安全的基本原理、要求和慣例,才能提高其技術與管理水平。
三、信息安全人員使用
信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實現“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實務要點是:
1.堅持責任分離和可監控原則。責任分離是一種控制機制,用來減少一個人破壞信息安全,
威脅到信息的機密性、完整性和可用性的機會。其具體要求是:(1)明確信息安全系統中每個人的職責,要求“誰管理,誰負責”;(2)關鍵崗位的人員不得再兼任其他職位,嚴格控制使用兼職人員;(3)避免一個人從事某項信息安全行為或保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進行審核;(5)重要的任務有兩人以上共同完成。此外,可監控原則是對責任分離原則的量化,使組織能夠對信息安全人員的工作內容進行監督,進行明確的審查。其具體要求包括:每位員工對所有的相關操作做好記錄,以便核查;重要的更改活動如更改配置,更新信息系統等,必須按層級權限申報,獲得批準后方可實施;沒有日期、沒有內容、沒有人簽署而無法追查的活動,必須嚴格禁止。而且,由于員工非工作時間的種種表現也會影響信息安全,因此除了對員工在工作時間的表現進行監督,還必須掌握其非工作時間的一些異常表現。
2.防范信息安全人事風險。信息安全人事風險是指由于組織內信息安全人員的行為偏離組織期望和目標或違背客觀規律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當而導致破壞計算機系統、越權處理公務等所造成的危害。人是信息安全中最活躍的因素,因此預防由人為因素導致的信息安全風險是信息安全人事風險防范的重中之重。政府可以采取以下措施防范信息安全人事風險:首先通過培訓等方式,提高信息安全人員對信息安全人事風險的認識,增強防范意識;其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實現對信息安全人事風險的全過程監控。第,大力建設以人為本、誠實守信等有利于防范人事風險的文化氛圍,提高信息安全人員的免疫力。
四、信息安全人員績效考核
信息安全人員績效考核是指按照事先確定的信息安全工作目標及衡量標準,考察信息安全人員實際完成工作情況的過程。績效考核的結果是組織進行人事決策的基本依據。信息安全人員績效考核是確保人員安全的有效手段,并可以幫助員工提高工作績效,促進員工和組織共同發展。它包括以下實務要點:
1.從績效考核的原則上看,堅持重點考核與分級分類考核相結合。重點考核是指對于那些涉密程度深、安全等級高的關鍵崗位的人員定期進行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護等級的劃分,制定不同的考核方法,有針對性地進行考核。2007年我國臺的《信息安全等級保護管理辦法》將信息安全分五級防護:第一級為自主保護級,第二級為指導保護級,第級為監督保護級,第四級為強制保護級,第五級為專控保護級。很明顯,處于不同等級中的信息安全人員的職責與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統主管人員、數據錄入人員、程序員等職責和要求也不同,岡此有必要遵循分級分類原則,避免“一刀切”的做法。
受到處罰。候選人只有在保密協議上簽字,承諾遵守相關政策,組織才能錄用。
二、信息安全人員培訓
信息安全人員培訓是通過各種方式幫助信息安全人員習得相關的知識、技能、觀念和態度的學習過程以及開發其潛能的各種活動。其實務要點包括:
1.從培訓原則看,堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作,特別是對于培訓內容、時間和地點等,不可隨意泄露,以免引起不必要的麻煩。此外,適時性原則主要是為了順應當前信息安全科技發展迅猛、更新換代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則,才能使信息安全人員跟蹤本領域科技發展最新動態,掌握最先進的知識與技能,以防止思想觀念陳舊與知識技能老化。
2.從培訓內容看,側重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質。信息安全意識貫穿于員工工作的始終,但是工作時間越長員工大多會出現倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風險隨之倍增,所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳,包括鼠標墊、水杯、鋼筆或在工作期間經常使用的任何物體上,在這些物體上印制上安全標語,用來提醒員工注意安全如在鼠標墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時都最先考慮信息安全,樹立自覺維護信息安全的意識。此外,信息安全行業的綜合性使得組織必須根據學用一致的原則,加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術,使其掌握信息安全的基本原理、要求和慣例,才能提高其技術與管理水平。
三、信息安全人員使用
信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實現“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實務要點是:
1.堅持責任分離和可監控原則。責任分離是一種控制機制,用來減少一個人破壞信息安全,
威脅到信息的機密性、完整性和可用性的機會。其具體要求是:(1)明確信息安全系統中每個人的職責,要求“誰管理,誰負責”;(2)關鍵崗位的人員不得再兼任其他職位,嚴格控制使用兼職人員;(3)避免一個人從事某項信息安全行為或保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進行審核;(5)重要的任務有兩人以上共同完成。此外,可監控原則是對責任分離原則的量化,使組織能夠對信息安全人員的工作內容進行監督,進行明確的審查。其具體要求包括:每位員工對所有的相關操作做好記錄,以便核查;重要的更改活動如更改配置,更新信息系統等,必須按層級權限申報,獲得批準后方可實施;沒有日期、沒有內容、沒有人簽署而無法追查的活動,必須嚴格禁止。而且,由于員工非工作時間的種種表現也會影響信息安全,因此除了對員工在工作時間的表現進行監督,還必須掌握其非工作時間的一些異常表現。
2.防范信息安全人事風險。信息安全人事風險是指由于組織內信息安全人員的行為偏離組織期望和目標或違背客觀規律、越軌等給組織信息安全造成的損失或危害。它主要是由于信息安全人員的使用不當而導致破壞計算機系統、越權處理公務等所造成的危害。人是信息安全中最活躍的因素,因此預防由人為因素導致的信息安全風險是信息安全人事風險防范的重中之重。政府可以采取以下措施防范信息安全人事風險:首先通過培訓等方式,提高信息安全人員對信息安全人事風險的認識,增強防范意識;其次,健全人事管理周邊制度,如督察制度、處理與反饋制度、懲罰制度、反饋制度等,以實現對信息安全人事風險的全過程監控。第,大力建設以人為本、誠實守信等有利于防范人事風險的文化氛圍,提高信息安全人員的免疫力。
四、信息安全人員績效考核
信息安全人員績效考核是指按照事先確定的信息安全工作目標及衡量標準,考察信息安全人員實際完成工作情況的過程。績效考核的結果是組織進行人事決策的基本依據。信息安全人員績效考核是確保人員安全的有效手段,并可以幫助員工提高工作績效,促進員工和組織共同發展。它包括以下實務要點:
1.從績效考核的原則上看,堅持重點考核與分級分類考核相結合。重點考核是指對于那些涉密程度深、安全等級高的關鍵崗位的人員定期進行考核。其目的在于保證重點崗位的重要信息安全。分級分類考核是按照組織中對于安全保護等級的劃分,制定不同的考核方法,有針對性地進行考核。2007年我國臺的《信息安全等級保護管理辦法》將信息安全分五級防護:第一級為自主保護級,第二級為指導保護級,第級為監督保護級,第四級為強制保護級,第五級為專控保護級。很明顯,處于不同等級中的信息安全人員的職責與涉密程度是不一樣的,加上不同崗位上不同類型的人員,如系統主管人員、數據錄入人員、程序員等職責和要求也不同,岡此有必要遵循分級分類原則,避免“一刀切”的做法。
2.從績效考核的內容上看,突出考核信息安全人員的道德品質與工作事故情況,而且不僅考核工作時間內的表現,也考核工作時間外的表現。一般的組織在員工進行績效考核時,多依據“事后”的工作結果及業績,業績高則評價高,業績低則評價低。但是信息安全這一行業具有其特殊性,單純以“事后”的結果與業績作為考核標準,難免會在組織內出現業績高、品德低以及不重視過程的人員,進而存組織內埋下安全隱患,因此應突出考核信息安全人員在工作過程中所表現出來的道德品質、心理素質、忠誠度等。這些素質是一個人的行為指向標,決定一個人的行為方向,其一般標準是責任心強、遵守職業道德、具有進取精神、作風正派、遵紀守法等。而且,由于信息安全工作對安全性要求明顯,岡此還要突出考核信息安全人員存工作過程中是否能恪盡職守,有無工作事故的發生。另外,必須通過日常考核掌握信息安全工作人員工作時間外的表現,包括是否存在隨便與人交往問題,家庭關系是否和諧,生活作風是否正常,以及非工作行為是否怪異等等。
3.從績效考核的期間看,以平時考核為主。信息安全人員的工作由于涉及到安全問題,因此不能像一般丁作人員那樣以年終考核為主,而應突出平時考核以實現日常監控,并達到天天、時時、秒秒不安全問題。基于此,信息安全人員績效考核可實施“月考”、“周考”,甚至“日考”,可以說,考核時間越短越有利于確保安全。安全問題無小事,若不重視平時考核,由此引發的哪怕是一眨眼功夫發生的事故,也有可能導致組織在安全上“功虧一簣”、“全盤皆輸”。考核周期短雖然做起來麻煩,但“安全問題高于一切”,只要有利于保障信息安全,工作上“麻煩”一點是值得的。
五、信息安全人員激勵
信息安全人員激勵的關鍵是調動工作積極性,激發信息安全人員的潛能去實現工作目標,實務要點包括:
1.重視滿足歸屬、人際交往與尊重的需要。內容型激勵理論認為,組織滿足員工的歸屬、人際交往與尊重等需要可以激勵員工努力工作。而信息安全人員,特別是關鍵涉密人員的工作基本上是單調、枯燥、責任重大的,他們經常需要長時間值班或加班,長期處于全封閉或半封閉式的環境中,在單位及花在工作上的時間要比常人多得多,生活及社交空間相對狹小,所以組織更要設法滿足其歸屬、人際交往與尊重的需要,而這主要依靠在單位及崗位上與領導或同事之間的相互溝通與關愛中得以實現。因此,組織必須創設關系融洽、和諧的工作氛圍,建立良好的上下級與同事關系,多關心、愛護、支持信息安全人員,以滿足他們歸屬等需要,激發他們的工作積極性。
2.強化目標激勵。過程型激勵理論認為,明確而可行的工作目標可以牽引員工積極付出行動以實現目標。由于信息安全工作責任重、壓力大,同時又相對封閉與單調,容易導致信息安全人員產生工作倦怠和目標迷失等不良現象,進而影響到他們職業發展與組織目標的實現。對此,應幫助信息安全人員樹立合理可行的工作目標,特別要通過引導他們認識到自己所從事工作的光榮與神圣,進而激勵他們努力干好信息安全工作,以此獲得職業發展與心理滿足等。
六、信息安全人員離職管理
