信息安全管理论文第1篇
国家、省市已经颁布各种法律法规,各大单位也根据自己的具体情况,建立了自己的规章制度,维护信息安全已经有法可依。但是信息安全管理工作涉及的知识面非常广,需要了解国家信息安全管理法规,需要学习信息技术一般理论,需要知道信息安全漏洞知识,需要明白信息安全禁令范畴。为提高学习效率和质量,全面掌握信息安全理论和方法,按照信息安全管理知识体系,建设信息安全管理教学系统,提供学习信息安全管理的教学条件,从而为各方面人员学习和执行各种规章制度提供依据。相比其他管理工作,信息安全管理工作需要比较多的理工专业基础和比较高的电脑技术要求,在实际的信息安全管理工作中,需要灵活的信息安全管理处置能力,更多的是判断信息安全问题、识别信息安全陷阱、规范信息安全管理。由于知识背景和工作性质特点,管理干部需要花费更多的时间和精力学习信息安全管理知识和技术,才能具备基本的信息安全防范技能。为帮助他们更好地***处置信息安全管理问题,掌握发现问题解决问题技能,依据现代教育理念和方法,不仅需要提供深入浅出、知识完备的知识体系学习训练系统,而且需要信息安全管理能力训练系统。
二、信息安全管理培训思路
为满足信息安全管理工作在人员培训方面的需要,需要依托各级培训学校,按照国家和省市地方的制度法规,借助现代教育思想,借助现代教育技术,明确符合实际需要的功能定位,建设信息安全管理复合应用型人才培训体系,实现信息安全管理工作对培训教育、终身教育的培训要求。
1.培训依据
(1)依据各种信息安全管理制度法规。信息安全人员在履行工作职责的时候,必须按照各种信息安全管理法规、制度和要求实施,制订人才培养方案和教学计划必须依据国家、省市和本部门的信息安全管理的相关规定,这样的教学内容才能保证人才培养的针对性和实用性,保证管理干部履行信息安全管理职责的有效性。涉及信息安全制度法规的相关文件很多,有的是专门为信息安全制订的,有的制度和法规散落在各个业务管理制度中。在建设信息安全管理知识体系时,必须将业务部门的相关规定融入知识体系中,使得管理干部在处理具体业务中的信息安全管理工作具有针对性和有效性。
(2)符合培训教育特点规律。信息安全管理技能是从事管理工作人员的基本技能,属于岗位专业培训或专业技能培训,属于培训教育培训。受训人员专业背景不同,理论基础不同,学习能力不同,必须避免材、统一授课、统一训练、和统一考核的传统教学模式,采取因人而异、因材施教的有针对性的教学方式,强调个性化学习,将不同层次受训者的信息安全管理能力达到信息安全管理工作所需要的水平上来。
(3)遵循现代教育思想。在实施教育训练过程中,现代教育思想要求采取“学为主体、教为主导”的教学理念,学员能够方便地获得完整的知识体系和解决问题的技能和方法,自主学习,开放学习,自主理解、掌握知识和技能。为实现教学目的,需要分析信息安全管理技能特点,需要分析管理干部学习动力,结合教学目标,设计学员学习和训练的教育训练环境,提供完整的知识体系、丰富的教学资源、模拟的问题情况、交互的学习平台和方便的使用途径,提供与培训教育特点规律和技能训练要求相适应的培训条件。
2.信息安全管理培训目标
按照信息安全管理工作的实际情况,培养信息安全管理工作中管理、业务和技术三支人才队伍,突出业务和管理人才需要,兼顾信息安全技术人员的人才培养,以现代教育思想为指导,以信息技术为核心支持技术,建设满足信息安全人才培养的现代培训条件。信息安全管理培训以管理干部为培训对象,以信息安全管理工作为培训内容,区分信息安全管理人员、业务干部和信息技术专门人员等不同层次,跟踪信息安全管理形势,实行阶段反复轮训,以适应信息安全管理不断发展的需要,确保信息安全管理工作的正常开展。
三、信息安全管理培训环境构建
为适应信息安全管理培训需要,适应管理干部培训教育需要,必须构建遵循信息安全管理规定、符合现代教育思想、依托信息技术手段、瞄准复合型适用人才培养的教育环境。信息安全管理培训条件涉及面很广,包括组织机构、舍堂馆所、师资队伍、后勤保障等等,这里我们更关心符合培训思路的培训模式和教学支持。从知识体系、学习途径、训练场所和训练系统多方面着手,构建信息安全管理训练体系,构建管理人员信息安全人才培养条件。依据教育信息化研究成果和培训教育教学特点,需要建立完整的信息安全管理知识体系,建立开放式、自主式教育网络平台,建立强时效性的教学资源体系,建立信息安全管理知识测试系统,建立信息安全管理能力训练系统,等等。
1.构建信息安全管理知识体系
培训教育的一个特点就是受训对象知识背景和技能掌握程度千差万别,必须首先建立完整的知识体系,以满足不同基础、不同需求受训者对知识掌握和能力训练的要求。知识体系必须建立覆盖学科知识和管理手段的所有内容,包括理论体系和教学资源两部分,其中理论体系包括基础知识、安全理论、规范制度、管理方法、历史沿革、防范手段和操作方法,教学资源包括现状分析、经典案例、技术讲解、训练题库和数据模型,适应和满足每个受训对象的需求。为满足个性化服务需要,可以按照知识点建设模块化框架结构,设计具备菜单选择功能的专家系统,允许受训者建立适合自己的个性化教学计划和实施方案,确保受训者完成培训任务后胜任安全管理的岗位需要。可以建立智能教学计划生成系统,系统对每位受训者进行知识和技能测试,按照教学目标,根据测试结果,将该学员没有掌握或掌握不够的知识内容和技能形成列表,从知识体系中搜寻相关知识和技能的概念、理论、技术和操作技能,形成该受训者个性化的教学计划。随着信息技术的发展和信息安全管理需求的变化,信息安全管理知识体系应该是动态更新的,剔除修改陈旧的,充实替换实用的。
2.搭建开放、共享和交流的网络平台
网络平台是信息资源共享的基础,是交流互动的基础。按照学科专业建设与管理规范建设知识体系,以数字化形式在互联网,实现信息安全管理教育资源共享。作为资源共享平台的网络平台,不仅为建设者资源共享提供平台,而且可以为学习者提供资源上传服务,成为学习者之间相互交流资源的共享平台,更为信息资源积累提供了很好的机制和存储条件。网络具有两个特点,一是允许网络用户365天24小时使用,可以提供受训者随时学习和训练,二是允许网络用户在任何有信息覆盖的地方登录,可以提供受训者随地学习和训练,这两个特点打破了传统教学时空的限制,为学员自主学习、教师开放教学、师生互动交流提供了可能,也为实施现代教育思想提供了条件。
3.建立虚拟讲堂
优秀教师的讲授可以将学习效果演绎得趣味精彩,可以将学习内容组织得明白易懂,可以将现实运用解析得透彻自然。为更多学员获得完美的教学体验,为积累并共享优秀教学资源,为学员快捷准确全面理解知识运用知识提供帮助,记录、整理并优秀教师或专家授课录像,供更多受训者学习参考。教学录像在网上成为虚拟讲堂,成为不同专业不同时期受训者良好的教学资源,目前全球风行的慕课,可以成为这种培训目的的教学模式,成本低,效益好。因为技术层面的因素,信息安全管理知识体系在理论基础和原理解释有大量不易理解的知识点和疑难问题,学习时需要佐证的理论和严谨的逻辑,需要传授者环环相扣的谨密推演,因此针对重要知识点和疑难杂诊的讲授片段是受训者自主式学习时需要的重要教学参考资料。各个大学基本都建设了网络课堂,为虚拟讲堂建设提供了很好的技术平台。依据此平台,建设信息安全管理和教学资源和网络课程,可以构筑完整的知识体系,为培训教育自主式学习提供了很好的学习资源。
4.建设信息安全管理实验室
培训教育能力训练是教学环节中的主要部分,验证理论、观摩操作方法和训练技能需要包括场所、设备和软件等实验条件,实验室是完成实验任务和检验方法效果必须具备的教学条件。理论、方法和技能的实验和训练是信息安全管理培训需要完成的教学环节,这些需要信息安全专业实验室的支持。信息技术具有可设计、可复制、可重用的特点,使得基于信息技术的教育训练条件具备降低训练费用、提高学员学习自主性、提供学员反复学习等长处,结合音频处理技术、视频处理技术、三维动画技术,可以为学员学习提供强烈逼真的感官刺激、美轮美奂的艺术表现和自主操控的虚幻体验。从训练目的而言,实验室可以分为虚拟实验室和能力训练场两部分。
(1)虚拟实验室。信息安全管理涉及大量技术手段,信息安全技术攻击和防范具有不可见、不易理解的特点,需要显而易见、通俗易懂的形象展示。虚拟实验室是依托信息技术按照实验室运行规律、要求和任务,以网页形式在计算机网络上建立的可以模拟实验室运行的软件系统。虚拟实验室内设信息安全管理所需要的各种理论、方法和技能引擎,可以多维形象地反复演示信息安全管理的理论、方法和技能,可以允许受训者以第一人称介入并依据受训者干预情况展示相应信息安全分析结果,虚拟实验室可以记录并考核受训者实验过程和成绩。
信息安全管理论文第2篇
通过对航空公司组织机构及职责的调研与梳理,得到航空公司安全信息管理的六大流程。
1.1航空公司安全信息的获取
航空公司安全信息管理工作始于安全信息的获取。航空公司航安部负责获取与收集各类与其运行有关的内部、外部安全信息和数据。航空公司内部安全信息有强制信息与自愿信息两类。强制信息是公司规定员工必须上报的各类安全信息。自愿信息则是员工自发上报或举报的信息。外部信息则主要是来自于外部各类相关民航安全的法律法规及信息。
1.2航空公司安全信息的预处理
航空公司航安部获得安全信息后,通过对各类信息的筛选、判断,最终选择有价值的信息对其进行编码、分类,即安全信息的预处理。该环节为航空公司安全信息后续处理提供基础数据。
1.3航空公司安全信息的传输
经过预处理的安全信息,航空公司将根据各类信息的重要性及其使用方式,通过计算机网络系统、宣传媒体(广播、电视、板报等)、媒介形式(报表、通知、文件、通报)、安全例会等不同形式传递安全信息。其中,运行类信息,传递给值班经理室;服务类信息,传递给服务发展部;空防类信息,传递给保卫部。
1.4航空公司安全信息的处理
安全信息的处理是航空公司安全信息管理流程的核心环节。通过该环节,航空公司各职能部门制定相应的安全事件管理措施,进而提高运行安全水平。对于各类强制报告信息,航空公司将根据信息类别启动事件调查程序。对事件原因、经过、设施设备、责任人等进行严密调查,得出事件结论交由职能部门评估。若评估不符合要求,则重新由责任部门获取信息,进行事故调查,直至结论符合要求。随后由接收到信息的部门进行最终审核。对于自愿报告信息,将判断信息的清晰性与完整性,审核后进行统计。
1.5航空公司安全信息的存储
航空公司安全信息的存储对于整个安全信息管理工作至关重要,它是安全信息管理分析和运行的基础和保障。该流程从安全信息管理的第一个环节便开始进行,航安部获取到安全信息后对各类信息进行存储和归档。由于安全信息的类型和形态的多样化,航空公司安全信息的存储形式也各不相同,其主要存储形式有数据类、文字类、***像类、音频类、视频类;同时由于安全信息的价值随着时间推移会发生变化,对于已经失效的信息,还将进行归档及作废处理,以免引起后期的错误使用。
1.6航空公司安全信息的反馈
航空公司安全信息管理过程由最后一个反馈环节构成一个闭环系统。航空公司利用反馈不停地去调节、修正原有的安全信息管理流程,进而完善其安全管理工作。航安部在经过上述五个环节的安全信息处理后,会将最终的安全信息处理意见反馈给相关部门:①外部信息反馈。航空公司将外部信息如规章、要求等进行分析处理,并将有关指标和要求反馈各部门。②内部安全信息反馈。航空公司通过对安全信息的分析和处理,将安全数据和态势传递给各部门及一线人员,进而提高一线安全运行水平。
2航空公司安全信息管理核心业务仿真系统设计
通过对航空公司安全信息管理流程的分析和梳理,其仿真系统主要实现两大业务功能与模块:安全信息展示平台和安全保证运行平台。安全保障运行平台主要包括各类安全信息的上报、处理、反馈及各类安全信息的统计分析、调查;安全信息展示平台主要包括内部和外部各类安全信息的、传递、展示功能。
3结束语
信息安全管理论文第3篇
在企业内部进行安全信息处理的目的有两方面:一是希望降低信息的处理费用,减少人力和财***开支;另一个是提高信息处理的速度和质量,以改善管理部门的效率。由此产生的安全管理事务处理系统,又称之为安全管理电子数据处理系统。它主要是为组织的安全管理作业层服务,是执行和记录企业安全管理活动所必须的日常事务的计算机系统。这类系统是安全管理信息系统在组织中的早期应用形式,也是最基本的形式,是构成现代计算机辅助安全管理系统的基础。事务处理系统充分利用了计算机对事故数据和其他安全信息进行快速运算和大量存储的能力、因此它是基层安全管理者的得力助手。目前在我国发展阶段绝大多数应用于安全管理的计算机系统,不论其名称如何,其实质都是这类系统。
2安全知识作业和办公自动化系统
安全知识作业和办公自动化系统在组织中的作用是不可低估的。“安全第一”深入到人们的意识,企业的安全生产对生产力的影响逐渐被人们认识,安全管理的信息资源也在管理过程中发挥出它预防事故、保证生产顺利进行的功能。当人们逐渐依赖于安全信息反映组织的安全状况和安全生产趋势,安全信息资源的管理就得到了管理者的高度重视。安全知识作业和办公自动化系统在信息资源的管理方面显示出强大的优势。20世纪80年代开始,企业计算机管理向办公自动化及生产自动化的方向发展。这个时期计算机软件和硬件都有了很大发展,不仅可以进行数字信息的处理,而且也可对***形、文字、声音等方便地进行处理,促使安全管理信息系统向综合性的或者专业性的安全管理信息系统发展。
3安全管理信息系统
20世纪70年代初期到中期,是管理信息系统的完善时期。在理论和方法上都取得了重大的发展,主要内容有:建立了管理信息系统的规划方法,强调系统化、工程化以及系统开发思想在软件中的应用;建立管理信息系统分析和设计理论,强调对系统进行结构化分析、设计;建立管理信息系统的组织理论,企业的组织结构会影响信息系统的建立,反之亦然。第四代计算机的出现,使信息处理速度更快,大规模信息存储问题得以解决。数据库技术和远程通信技术的发展使企业信息系统逐步网络化,可以对分散在各个管理环节的信息进行实时和综合处理。随着计算机科学和系统工程的发展,信息论和控制论同时逐渐成熟,这些都为安全管理信息系统的发展提供了坚实的理论基础和物质基础,使安全信息管理的理论和方法运用于实际安全管理工作成为现实。不过,目前大多数安全管理信息系统使用的程序还是比较简单,而不是复杂的数学模型或统计技术;支持作业和管理控制层的结构化和半结构化决策;系统对高级管理层的计划工作也是有用的,一般是面向报告和控制;系统依赖于组织现有的数据和数据流;它的分析能力与决策支持系统相比较差,灵活性还不够。有人认为,安全管理信息系统是早期的称呼,如今成为安全决策支持系统,强调系统产生安全管理决策处理的过程。
4安全管理决策支持系统
4.1决策支持系统的主要特征
4.1.1从要解决的问题来看,DSS是解决面向中高层管理人员所面临的半结构化问题。半结构化问题的解决既要有自动化数据处理,又要靠主管人员的直观判断。因此,它对人的技能要求与传统的数据处理要求不一样,如在MIS分析与设计中,主要是以数据流为系统分析的中心,MIS处理结构化决策时,人并不起主导作用,决策全靠计算机系统自动做出。决策支持系统的分析与设计,不仅要考虑到主管人员在这种系统中的主导作用,还要进一步考虑决策者在系统中所起的作用。4.1.2从处理来看,结构化的问题易于明确地表达出来,因而能用一套明确的形式模型来解决这类问题。而决策支持系统的处理是模糊的、演进的,对问题的了解不是很清楚,这样的模型往往有限。决策支持系统除了具有数据存取和检索的功能外,在很大程度上,还依靠推测性论据以及利用那些有助于主管人员进行决策的模型与数据库。总的来说,决策支持系统的特征是:处理半结构化问题为主;系统本身具有灵活性;多数为联机对话式。即决策支持系统的分析与设计是围绕着以决策人为行动主体进行的。决策支持系统是“支持”决策而不是“代替”决策。DSS与MIS的区别在于MIS可以在无人干预下解决预先设计好逻辑的管理决策问题,而在DSS中所有的决策最后都要靠人来做决定。人是决策行动的主体,一切信息技术只是协助决策人做出有效的决定,而非代替人去做最后决定。在决策过程中过分强调计算机的作用,或把计算机的作用放在第一位是不妥当的。
4.2安全决策支持系统的基本构成
决策支持系统是以信息技术为手段,应用决策科学及有关学科的理论和方法,针对某一类型结构化或非结构化的决策问题,通过提供背景材料,协助明确问题,修改和完善模型,列举可能的安全管理解决方案,进行分析和比较等方式,帮助管理者作出快速、正确决策纳入机交互式信息系统。安全决策支持系统以安全管理信息系统为基础,充分利用SDSS信息收集存储、整理、统计、资料动态组合查询和报表输出等功能。SDSS通过对系统当前安全数据的处理来获取相关信息,管理和控制系统安全运行。利用过去的安全数据和模型预测未来的安全状态,以辅助支持安全管理的决策活动,最有效地实现安全管理信息化。
4.3安全决策支持系统的内容
信息安全管理论文第4篇
税务信息是国家税务决策、税收计划制定与调整的重要依据,是税务机关税收征管工作的必要支撑,也是纳税人信息权利的核心内容,因而其安全管理具有重要意义。税务信息安全管理有利于维护并促进国家职能的实现。税收是实现国家宏观调控职能的重要手段,而这一手段必须借助和运用税务信息才能达到。因为税务信息管理一方面能使信息正确地反映经济税源和税收进度情况,为制定国民经济和社会发展计划及调整国民经济结构提供可靠依据。另一方面,可了解纳税人的经济活动状况,并掌握国民经济发展变化情况,鉴定税收***策与经济发展需要是否相适应,以便迅速做出明智的决策,有效地发挥税收调节经济的作用。换言之,如果税务信息安全无法得到保障的话,既无法实现税收为国家筹集财***收入的职能,也将使国家以税收进行宏观调控经济的***策大打折扣,影响经济与社会的发展。税务信息安全管理有利于税务机关税收征管的现代化。税务信息安全管理是税收征管的组成部分,正确、及时、安全的税务信息是把握财***发展和税务管理客观规律的钥匙,有利于实现税务管理科学化、现代化,使税务管理工作从经验走向科学,以适应社会和经济形势发展对税务管理的要求;有利于提高税务管理水平和税务管理效率,做到努力开发税源,尽力足额征收,增加税收收入;有利于提高税务管理队伍的素质,强化信息意识,掌握信息技术,开展税务管理工作,适应社会主义市场经济体制下的税务管理需要。税务信息安全管理有利于纳税人权利的保障。从纳税人角度而言,税收是纳税人根据法律的规定及程序向税务机关提供纳税申报资料并缴纳税款的过程。在此过程中,不论是纳税人提供的纳税申报资料,还是税务机关依法定职权收集的信息,不可避免的会涉及到纳税人的商业秘密(客户资料、销购价格、专利技术等),正常生产经营信息(生产经营范围、工商税务登记证件号等),个人隐私(个人及家庭身份信息、社会关系等),涉税负面信息(欠税记录、税务处罚信息等),一旦这些信息的泄露不仅会对企业的正常经营带来严重影响,而且还会给个人和家庭生活带来恶性干扰,甚至还有可能引起诈骗和金融犯罪。因此,税务信息安全管理是纳税人权利的重要保障。
2基层税务信息安全管理的难题
2.1基层税务信息安全管理存在的风险
信息技术飞速发展,尤其是大数据时代的到来,基层税务信息安全技术管理风险与日俱增。科学技术水平日新月异,移动互联网、虚拟化、云技术、大数据应用等新技术层出不强。此类技术的应用对于专业技术的要求较高,安全保障措施也较为严密,但现有的税务信息安全管理的软硬件、制度、顶层设计、税务人员素质、社会要求等方面无法适应其方便、快捷、高效的特点,使得税务信息暴露在数据的海洋,极易造成信息被盗取、被非法病毒所侵入,税务信息安全技术管理必然风险激增。改革不断深化,尤其是简***放权要求逐步提高,基层税务信息安全行***管理风险突飞猛进。全面深化改革的推进,行***管理被要求回归理性简***放权,实现由权力管制到权利治理,基层税务部门必然面临着工作重心后移及***风险加大的交汇压力,后续管理将成为税务部门工作的一种常态。税务管理信息化是保证后续管理科学、有效、规范进行的基本方式且根本保障,而税务信息安全管理是税务管理信息化的基础,是故税务信息安全管理必然成为税收征收与管理过程的基础和支撑。税务管理信息化下税务信息不论是频率还是数量均不断提高,数量和质量相生相克,前者的增多必然导致后者的下降,税务信息安全行***管理风险骤升。依法治税加强,尤其是纳税人权利意识的觉醒,基层税务信息安全管理涉纷风险不断提高。随着经济、社会以及文化的不断发展,纳税人权利意识在不断觉醒,私权保护、正当程序、公平正义成为了普遍诉求。纳税人信息是税务信息安全管理的重要内容之一,包含着巨大的商业价值,税务机关在采集、保管和使用纳税人信息过程中往往由于安全措施不到位而导致纳税人权利受到损害事件时有发生,甚至诱发违法犯罪。近些年来,由于税务信息安全管理不善带来的税务纠纷呈水涨船高之势,纳税人诉诸法律途径的越来越多,基层税务部门涉议、涉诉风险不断提高。
2.2基层税务信息安全管理面临的困境
2.2.1税务信息安全管理意识淡薄
税务管理信息化在我国方兴未艾,关于税务信息安全的理解、保护方法、风险防范手段等社会所知甚微。就税务部门而言,大部分基层税务工作人员对于税务信息安全管理是什么、税务信息安全管理意义是什么、怎样实现税务信息安全管理等内容的认识与理解存在偏差,主观地认为税务信息安全与税务部门的核心业务无关,是一种简单的信息存储与传输,意义不大。甚至是一提到税务信息安全,不少人就当然的认为是病毒和黑客,而往往忽视内部人员的过错或故意行为等因素。就纳税人而言,大部分纳税人抱有这样的态度,就是只要按照法定规定和法定程序上缴完税,其他的就与自己没有多大干系,税务信息安全管理也是如此,因而往往不配合税务信息的收集等工作。由于少数人的安全意识淡薄和管理不善,会影响整个税务信息系统的安全性。
2.2.2税务信息安全管理方式滞后
整体上看,基层税务信息安全管理还主要是依靠单一的技术方法,税务信息保密措施少、身份认证未得到全面应用、缺少路由安全和防止入侵的技术措施,难以适应税务信息安全管理的要求。首先,税务信息技术管理方式赖以生存的硬件设施可靠性、稳定性不足,缺少日常维护及安全配套措施。其次,税务信息技术管理核心之处的软件设施开放性强,比如,内部网路终端信息共享范围广、操作系统主要是国外研发的,内外网机器存在混用现象,极大增加了税务信息安全风险。最后,采集数据分散,不能形成有效共享,普遍存在“信息孤岛”现象;业务信息不能通过计算机有效流转,自动化管理过程隔离;尤其是信息缺乏高效的数据监控措施,没有形成科学的内、外监督体系,不断遭受黑客攻击,还出现数据丢失的现象等。
2.2.3税务信息安全管理制度不完善
税务信息采集、整理、贮存、传输、反馈及应用等过程中安全管理的理念并未得到贯彻,税务信息安全管理制度还不全面、缺乏体系性、可操作性也不强。具体来讲,一是缺乏强有力的税务信息安全管理领导制度。一般而言,基层税务信息安全管理主要是由税务信息中心实施,与其他内设机构之间是并列关系,信息安全管理无法渗透到税收征管的其他环节。二是缺乏科学的税务信息安全事故预防、报告及处理制度,各基层税务部门普遍缺失完备的信息安全事故报告程序与预防处理方案,税务信息安全事故的预防、处理没有可持续的制度支撑。三是缺乏规范的税务信息安全管理考核制度,基层税务信息安全岗位与责任相适应的考核标准,机制不规范,致使信息安全管理深度与力度得不到有效落实。此外,信息安全责任制度还需进一步细化和完善。
2.2.4信息安全风险管理机制存在缺陷
税务信息化下,税务信息安全风险有来自基础设施毁损的风险,有技术应用带来的风险,有人为操作引发的风险,可谓无处不在、无时不有。但目前基层税务机关并没有形成体系化的税务信息安全风险识别、评估、控制等管理机制。就税务信息安全风险识别而言,税务信息并未被确定成为一种资产,因而缺乏税务信息必要的分类管理。同时,这种安全风险识别仅局限于技术硬件故障或错误、技术软件故障或错误、技术淘汰等技术层面,而对于其他层面的信息安全威胁鲜有涉及。就税务信息安全风险评估而言,由于专业技术和人才的缺乏,加之评估频率与方法不当,很难真正分析出信息安全风险的高低,影响到控制措施的选择。就税务信息安全风险控制而言,由于识别与评估分析中的不健全,使得风险控制策略选择失去了可信基础,致使避免、转移、缓解及接受等风险控制策略无从选择。
3基层税务信息安全管理的应对
3.1加大信息安全管理教育培训,更新税务信息安全管理理念
应当认识到,税务信息安全管理既是国家信息安全管理的有机构成,也是基层税务工作的重要组成部分,它涵盖税收信息的采集、整理、存储、传输、反馈、开发及应用等全过程,不仅可以加强税收收入的规划性,有效发挥税收促进生产,调节、监督经济的作用,还能衡量税收分配是否合理,税负负担是否平衡,保障纳税人的权利。因此,基层税务部门要摒弃税务信息安全管理不重要的观念,提高对税务信息安全的认识,充分了解税务信息安全管理的内容、作用及方法,以此更新税务信息安全管理理念。税务信息安全管理意识之所以淡薄,原因在于信息安全管理教育与培训少,税务信息安全管理专业人才匮乏。对此,一方面要灵活多样地培训学习形式,综合平衡信息安全相关项目,提高税务工作人员的信息安全意识与能力水平;另一方面,要建立税务信息安全管理培训机制,通过组织开展多层次、多方位的信息安全培训,提高安全员信息安全防范技能,培养税务信息安全管理骨干。此外,税收普法宣传教育中还要强化纳税人信息安全意识。
3.2综合内外部控制手段,实现税务信息安全管理方式多元化
税务信息安全管理是一个系统工程,涉及信息技术体系、信息风险管理及组织管理框架等诸多方面,面对终端规模大、地域分布广、技术类型多的现实,单纯的依靠外部技术手段无法实现税务信息安全管理,需要内部控制措施予以协同,多元化的管理方法才能更好地、更有效地保障税务工作人员完成信息安全管理工作。首先,完善税务信息安全技术手段,做好信息安全防护体系建设和运行管理。不论是采取何种技术手段进行税务信息管理,都要建立完备的病毒防范、身份鉴别与访问控制、入侵检测及信息加密等信息安全管理技术体系,定时检查并更新硬件设备以确保其可靠性与稳定性。其次,要克服“唯技术论”的倾向,税务部门要建立统一的信息安全保障中心,保证税务信息安全集中和集成管理,努力形成完整的数据安全与备份体系。最后,完善税务信息安全管理内部控制手段,以减轻由于内部人员道德风险、系统资源风险所造成的信息危害。主要是采用人机联控的控制方式,通过实施一系列的控制活动和保护措施,以实现对与税务信息安全相关的人与物的管理,并最大限度地保障税务信息安全。
3.3完善税务信息安全管理框架,健全税务信息安全管理制度
借鉴信息安全管理一般理论,完整的税务信息安全管理框架包括定义税务信息安全***策、定义税务信息安全管理范围、进行税务信息安全风险评估、确定管理目标和选择管理措施、准备税务信息安全适用性声明、建立相关文档、文档的严格管理及安全事件记录回馈。针对目前税务信息安全管理框架的不完善,税务部门应严格按照信息安全管理框架,制定完善的信息安全规章、明确管理范围、风险、目标、措施等予以完善。与此同时,还要健全税务信息安全管理相关制度。一是建议基层税务机关应成立信息安全领导小组,各区局、科室、所都应明确专人负责税务信息安全的管理,以健全税务信息安全管理领导制度;二是建议明确安全事故预防任务、报告时限与程序、处理方法与措施,以健全税务信息安全事故预防、报告及处理制度;三是建议制定规范、可行的信息安全管理考核机制,明确规定每个税务工作人员在信息安全方面应承担的责任、保密要求以及违约责任,以健全税务信息安全管理责任制度。总之,就是要建立安全管理机构,确定安全管理人员,建立安全管理制度,建立责任和监督机制,切实保障税务信息安全管理有效开展。
3.4实施税务信息分类管理,健全税务信息安全风险管理机制
信息安全管理论文第5篇
关键词:仓库管理模块化设计安全报警。
一、引言
计算机技术、网络技术、多媒体技术的成熟与发展,为仓储管理自动化提供了强有力的技术支持。当前已有的系统其功能一般比较单一。如防盗系统只管防盗;仓储管理系统只负责仓库物品的数据处理;控制系统只完成简单的环境控制功能(如开关门、开关灯、通风等)。将这些功能彼此***的系统有机结合起来,组成一个既能完成管理,又能实现实时监控的一体化自动管理系统具有重要的意义。我们所设计的这套仓库安全管理综合信息系统,是把门禁系统(IC卡开门)、环境监控系统、财务管理系统、合同管理系统、报警控制系统和数据处理系统结合在一起,充分利用了先进的计算机技术和控制手段。它既能通过音频、视频以及红外线、雷达、震动等传感器实时监控对所有分库的开门、取物、检修等操作,又能对防区内的警报信号立即处理或自动上报;它还是一个仓库的数据中心,能完成人员、仓储信息处理以及自动报时、鸣号、熄灯、开关高压电网、布撤防等控制。另外,该系统还与财务管理系统、合同管理系统集成在一起构成一个安全、主动和综合的仓库管理系统。
二、系统的基本要求
目前的仓库管理系统一般技术比较落后、性能较差且很不完备,有的甚至没有安全防盗功能。即使有安全防盗功能其性能一般也不太理想,人工干涉多,操作使用不方便,有的还故障率高而不实用。随着社会信息交流的日益加强和信息量的集聚增加,再加上盗窃活动的团伙化、智能化和高技术化等特点,仓储管理部门越来越需要一套低成本、高性能、方便使用、功能完善的综合仓库监控管理系统。要求它具有立即捕捉警情并提供警情发生地的有关信息(如地***、位置、类型、程度、平面***、地形***、结构***以及警情发生地的仓储情况等),计算机系统马上对警情做出反应,迅速通知值班人员和仓库管理员(通过声光等信号形式),可能的话还可立即对警情发生地实施控制(如接通高压电网、自动封闭门窗、拉响警笛、打开探照灯等)。对重要的警情要立即通过计算机网络或内部电话自动交换网上报上级主管部门。特别是要求系统能完整记录从发生警情到上报,进而做出处理的全过程,以便于事后分析处理。
仓库大门的钥匙管理和开门方法应采用较科学的电子识别手段(如磁卡、IC卡)进行控制,仓库内外的温度和湿度用温湿度传感器自动测量和记录。发现越限时报警通知管理员,以便于管理员及时采取通风降温和除湿等方法,确保仓储物品的安全。除此之外,系统还可以对仓储物品的出入库、物品订购合同、财务信息以及人员信息等内容进行统一的管理,以提高办公自动化的程度。
三、系统功能描述
1.定时自动测量和记录湿度和温度,并能够触发越界报警;
2.可挂接多种类型的防区,每个防区可以是震动、雷达、红外线等类型的一种;
3.系统对每个警情立即反应,指出地点、位置等,给出警情所在地的结构***,并能自动启动警号、灯光等报警设备,必要时可立即自动拨号上报上级主管部门;
4.双IC卡开门,并自动记录开门时间,持卡者身份等信息;
5.对钥匙统一管理,记录取钥匙的时间,人员等信息;
6.可以进行人员管理、仓储管理、财务管理、合同管理等内容;
7.自动记录管理员交接班日志,对仓库的操作也均有记录;
8.可根据综合条件检索历史记录,并可打印输出。
9.对人员的情况、密码(管理员)、防区所接传感器参数均可随时更新。
综上所述,系统所完成的功能是比较全面的。其中以处理警情的优先级最高,一旦发生警报,应立即停止其它事务性处理工作,转为响应处理警报。由于这种系统具有一定的技术先进性、新颖性和实用性,可以对仓储信息进行有效的安全管理。
四、系统的设计结构
系统实现采用结构化和面向对象的设计技术,硬件结合了单板机廉价、稳定的优点和PC机大容量、高速度、界面友好的特点,将整个系统分成功能相对***的若干子模块,使系统结构层次分明,结构严谨,极易于维护和使用。由于系统采用结构化设计,自顶向下逐步分解精化而成,由多个模块组成,因此可按散件组装法则根据现场实际需求,灵活取舍组合系统各组成部件。对于一些特殊要求也可以采用模块化形式方便地实现其功能的扩展,从而形成由低成本、简单功能到高投入、复杂功能不同层次的系列产品,但无论怎样组合均不会降低系统整体性能。系统的逻辑功能结构。
五、操作使用简介
系统运行于WINDOWS环境,其界面同时具有字符、***形、动画、菜单命令等各种输入输出格式,友好且直观形象,再加上采用了WINDOWS所特有的联机提示和后援帮助作辅助手段,使系统的使用简单易学,非常便于普及推广。整个操作可分为四大部分::
1.利用按钮完成各种控制功能;
2.***形操作界面,利用鼠标代替键盘输入,快速直观,一学就会;
3.对记录的数据进行综合条件的检索,查询并打印输出,可用鼠标选择查询条件;
4.基本信息库的更新,维护(如人员,仓储,值班员密码、报警代码表、IC卡发卡等)等。
信息安全管理论文第6篇
作为知识型组织的大学内部,其学术文化应适应新的环境和要求,而信息技术的应用及其代表的IT文化也必须是创新性的能够符合学术领域的要求。此两方面基于双向动态变化的结合奠定了数字校园发展的建构基础。信息化建设应当在以下几个方面服务于校园管理和建设。
(一)服务于高校核心任务信息技术对大学的多个方面都能产生重要影响,但需要分清主次,要利用它与大学的核心任务———教学与科学研究相结合。数字校园的一切建设都应以此为中心和主旨来展开。信息技术之核心在于创新而不在于复制。数字校园所追求的是将信息技术创造性地应用于大学的管理、教学、科学研究和服务中,技术所提供的创新性应用是永无止境的,关键在于如何将之与大学的各项工作有机地结合起来。
(二)服务于教学双方的交流互动无论在校园中还是在学术团体中,数字校园的首要目标都是要利用互联网来创建一个相互交流与对话的社区,在功能上,数字化也承担着网上考试、网上就业、招生以及相关信息通报等,从技术的角度来说,可以通过BBS、博客、微信群等来实现。而现在需要做的是,让越来越多的校园成员开始使用并建设其基于网络的交流平台。
(三)提供更多的数字化共享资源数字校园建设实现了大学各种资源的数字化,并通过互联网来实现不同院校甚至不同国家之间的资源共享与交流,有助于开展更广泛深入的教学和科研交流。
(四)数字化本身需要创建相应的支持环境要想支持和创建数字校园,大学首先需要创建一个与之相应的***策与组织结构。“在理想状态下,应建立一个专门的技术支持部门来为各个院系服务,形成一个网络咨询委员会和“红色意见领袖群”,制定数字环境下的知识产权保护***策,在学院的每一个重要部门中都培训一名技术专家,并在学校设置相应的管理人员。与此同时,若想使校园各成员在各自的工作及学习中充分利用数字校园的成果,适当地教育与培训同样不可缺少。
二、数字校园管理应对信息安全问题的举措
(一)建立可靠的信息控制系统要成立专门的安全信息管理机构,建立校园公共安全信息平台,完善公共安全信息通报制度。培养高素质的安全运行维护队伍。高校可以组建一支以学生为主体的安全运行维护队伍,由网络中心统一领导、专业老师负责,对学生等用户进行安全管理方面的培训和指导,加强校园网的管理和维护力量,力争对突发安全事件做到及时响应,快速解决,保证校园网方便、快捷、规范地运行。制定完善安全管理规章制度。安全管理贯穿于安全防范体系的始终,是保证网络安全的基础。各部门配备专职的信息安全管理人员,落实建立信息安全责任制度和工作章程,负责并保证组织内部的信息安全。管理人员必须做到及时进行漏洞修补、定期软件升级和定期安全系统巡检,保证对网络的监控和管理。同时必须制订一系列的安全管理制度,并遵循可操作、动态性、管理与技术的有机结合等原则,使校园网的信息安全工作进一步走向规范化和制度化。利用多种形式进行信息安全教育。高校应利用多种形式进行信息安全教育:一是利用行***手段,通过各种会议进行信息安全教育;二是利用教育手段,通过信息安全学术研讨会、安全知识竞赛、安全知识讲座等进行信息安全教育;三是利用学校传播媒介、舆论工具等手段,通过校刊、校报、校园网络、广播、宣传栏等进行信息安全教育。构建良好的校园文化氛围。信息安全是高校实现教育信息化的头等大事,除先进的技术、完善的管理外,良好的校园文化氛围也是保证高校信息安全工作顺利开展的前提。
(二)海量数据管理能力教学信息系统软件承担着海量空间数据的应用和管理能力,需要具备足够空间的数据管理、更新和服务能力,才能保证***文一体化的数字校园管理系统正常运转。数字校园管理系统中的教学基础数据、数字监控数据等海量数据的频繁调用,海量数据管理能力是保障数字校园管理信息系统正常运行的关键技术。
信息安全管理论文第7篇
1、企业信息安全管理要素构成对于企业信息安全管理要素的构成,国际上普遍遵循的是ISO17799:2005标准的分类方法。ISO17799将企业信息安全管理实施分为11个方面,分别是物理和环境安全、信息安全事件管理、人力资源安全、安全***策、组织信息安全、资产管理、通信与操作管理、访问控制、业务连续性管理、信息系统获取开发和维护、符合性。这其中,除了与技术关系较为紧密的访问控制、信息系统获取开发和维护、通信与操作管理这3个方面外,其他信息安全管理要素更侧重于组织整体的运营管理,在实施企业信息安全管理过程中有较高的参考意义。为了实证分析中数据测量方便,本文参考该标准,从企业的角度,按照各要素属性及控制措施的相似性,将ISO17799标准中的11个要素整合为6个要素,分别为组织环境(符合性、安全***策、组织信息安全)、人力资源安全、资产设备安全(资产管理、物理和环境安全)、操作管理(通信与操作管理、访问控制)、应急响应机制(信息安全事件管理、业务连续性管理)和信息系统开发与维护。
2、研究假设
(1)组织环境。
本文中的组织环境侧重于企业中的***策制度、人文环境等软环境,主要指所有潜在影响信息安全管理活动的因素或力量,在企业的信息安全管理中起导向性的作用,具体包括企业的安全***策方针、安全文化氛围和业务符合性等。企业信息安全管理成功的实现离不开组织环境的支持,良好的组织环境对企业的信息安全管理有重要的推动作用,它有助于企业各项安全***策、安全策略的实施。组织的安全***策是组织实施信息安全活动的战略导向。完备的安全***策、方针可以为企业的每一个员工提供基本的行为准则、指南,使得企业信息安全管理的各项活动都有章可循,促进信息安全管理进程的实施。齐晓云(2011)通过实证验证了企业信息系统的失败与缺乏相应的制度与机制保障之间存在强相关关系,制度与机制保障对信息系统成功有正向的影响作用。企业的安全文化氛围等人文环境是组织环境的一个重要组成部分,它是企业的一种无形的管理思想。相关研究表明,环境对人的安全行为习惯养成有着较大的影响。其中,人文环境的影响尤为明显。VanNiekerk(2010)指出,导致信息安全事故的主要因素是企业信息安全文化氛围的减少。良好的安全文化氛围可以提高员工的安全意识,不单能避免由员工的不安全行为所产生的风险,更能促进全体员工参与到保障组织信息安全的行动中来,最大程度消除事故隐患,有效预防和减少各类事故的发生。Herath(2009)通过问卷调研的实证研究验证了惩罚力度是企业员工的安全行为重要影响因素之一,说明企业的***策制度对人力资源安全有着正向的影响。
(2)人力资源安全。
人在企业信息安全管理活动中不仅是主体,也是客体。主体是指许多信息安全控制措施实施的实现是由“人”来完成的;客体是指“人”也是信息安全管理中所要管理的对象。据有关统计表明,在所有的信息安全事故中,约有52%是人为因素造成的,因此,人力资源安全管理显得十分重要。在企业中,高层领导轻视信息安全是导致企业信息安全文化欠缺和员工信息安全意识薄弱的主要因素。中层管理者是衔接企业高层与基层的桥梁,企业信息安全管理实施的效果直接取决于中层管理者对上级决策的执行力度。Ashenden(2008)通过实证研究发现中层管理者的执行力度不足会造成高层管理者和员工之间对信息安全管理存在理解上的差异,这种差异会对企业的信息安全管理产生不利影响。普通员工对信息安全管理的参与配合不够会导致各项安全***策、方针不能准确落实,继而影响到信息安全管理的其他方面。
二、研究过程
1、研究设计与样本
(1)研究设计。
本文在借鉴国内外现有成果的基础上,结合企业信息安全管理的实施程序,设计预测试问卷。问卷采用Likert5点量表对各个项目加以度量,1表示“非常不符合”,5表示“非常符合”,根据答题者对每一项目的打分来判断企业对某一现象表述的态度或看法,若分数越高,认同度越高。
(2)调查样本。
本文采取简单随机抽样的方式形成样本,面向长三角发放调查问卷200份(其中150份通过电子邮件发放,50份通过实地走访企业完成),最终收回155份,有效问卷率为69.5%。调查企业均为中小型企业。
2、测量工具及其信度和效度检验
(1)信度检验。
本研究首先对量表进行信度检验。信度检验采用了学术界普遍使用的Cronbach''''sα系数来衡量数据的内在一致性信度。一般情况下,若Cronbach''''sα系数小于0.35为低信度,在0.35到0.5之间勉强可信,0.5到0.7之间信度较好,大于0.7则属于高信度。本文通过对6个维度进行信度检验,发现6个维度的Cronbach''''sα系数最小值是0.669,其余都大于0.7,量表总体的Cronbach''''sα系数未0.897,表明此量表的可靠性较高,量表选项设计是合理有效的。
(2)效度检验。
首先采用了KMO度量和Bartlett球形度检验对量表的内容效度进行检验。各维度的KMO度量介于0.638到0.907之间,总体样本KMO度量达到0.833,所有的显著性系数均趋近于0,低于设定的显著性水平(p<0.01),表明量表的内容效度较高。从探索性因子分析结果看,信息安全管理量表的每一项目的因子载荷均大于0.55,大于前人所建议的社会科学量表因子载荷0.55的临界值。从验证性因子分析的结果看,除GFI和NFI没有通过检验外,其他统计检验量全部通过检验,整体通过率为77.7%,见表4,因此可以判定量表与数据之间具有不错的拟合性,量表整体结构效度较好。
3、结构方程模型构建
在理论模型的基础上,运用结构方程软件AMOS7.0构建了初始结构方程模型,并进行拟合优度检验。根据运行结果,GFI值(0.884)、NFI值(0.736)、CFI值(0.899)小于0.9的参考值,PNFI值(0.448)小于0.5的参考值,未能通过检验,说明结构模型与数据的拟合程度处于不可接受的状态,因此需要对初始模型进行一定的修正。另外,运行结果表明,组织环境对资产设备安全和应急响应机制的影响路径系数未达显著性水平,因此在修正时将这两条路径删除。修正后的指数均达到模型可以接受的标准,即修正后的结构模型与实际数据可以适配。
4、研究结果
将AMOS输出的路径系数进行整理,其中,直接效应是指潜在自变量到结果变量的直接影响,用潜在自变量到结果变量的路径系数来衡量直接效应的大小。间接效应是指潜在自变量通过影响一个或多个中介变量,而对结果变量的间接影响。在本研究中,组织环境是潜在自变量,它对其余五个结果变量有直接或间接影响。同时,组织环境通过影响人力资源安全,从而对其余四个结果变量产生间接影响,因此人力资源安全是模型的中介变量。上述实证结果表明,组织环境主要通过人力资源安全间接影响资产设备安全和应急响应机制。间接效应系数均为正,分别为0.121和0.27,研究结果对假设H4、假设H5呈现弱支持。总的来说,组织环境对信息安全管理的各个要素有着不同程度的直接或间接的影响,这也验证了组织环境在企业信息安全管理中的中心地位,对企业的信息安全管理有着决定性的影响,企业应该首要考虑如何完善这一要素。人力资源安全对其余四个要素的作用均为正,且四条路径系数都达到了显著性水平,假设H6-H9得到了支持。在这四条路径中,人力资源安全是组织环境和其余四个要素的中介变量,通过该中介变量的间接效应,组织环境对四个潜在变量的总效应系数明显增大。可见,人力资源安全在信息安全管理中发挥中介作用,组织环境通过人力资源安全部分中介作用于信息安全管理其他要素,对其他因素产生关联性影响。因此,企业在信息安全管理活动应充分发挥人力资源安全的中介作用,使各项安全***策、规章制度的实施达到事半功倍的效果。
三、结语