时间:2023-03-01 16:22:27
引言:寻求写作上的突破?我们特意为您精选了4篇信息安全调研报告范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
随着企业信息化的快速发展,信息安全管理工作显得相对滞后。管理思想和方法落后。过去基本上是参照电网安全管理一些传统做法,没有体现信息化特点和要求,越来越不适应信息系统的快速发展和变革;管理不够全面。以往只考虑硬件、软件,忽视了人、数据和文档、服务、无形资产等重要对象,对外来人员也缺乏有效的识别管理;管理制度不够系统。以前虽然制订了较多的制度和标准,当信息化发展到一定程度,这些制度就显得很单薄,就事论事的管理方式必然会产生安全管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切实际,往往束之高阁;风险评估不够科学。以往的信息风险评估不够系统,主观性过强,缺乏综合平衡,抓不住重点,或过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。
上述情形是企业在信息化建设中普遍感觉到的问题。随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此,嘉兴电力局根据国际上信息安全管理的最佳实践,结合供电企业的实际,从信息安全风险评估管理入手,贯彻ISO/IEC27001:**信息安全管理标准,建立了信息安全管理体系。通过体系有效运作,达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。
二、从资产识别入手,搞好信息安全风险评估
按《信息安全风险评估控制程序》,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产2810项,其中确定的重要资产总数为312项,形成了《重要资产清单》。
图1.《重要信息资产按部门分布图》
对重要的信息资产,由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别,并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析,确定风险等级和可接受程度,形成了《重要资产风险评估表》。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定措施失效发生的可能性,计算风险等级,判断风险为可接受的还是需要处理的。根据风险评估的结果,形成风险处理计划。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用适当的措施,确定是接受风险、避免风险,还是转移风险。
嘉兴电力局经过风险评估,确定了不可接受风险84项,其中硬件和设施52项,软件和系统0项,文档和数据8项,服务0项,人力资源24项。
根据风险评估的结果,对可接受风险,保持原有的控制措施,同时按ISO/IEC17799:**《信息技术-安全技术-信息安全管理实施细则》和系统应用的要求,对控制措施进行完善。针对不可接受风险,由各部门制定了相应的安全控制措施。制订控制措施主要考虑了风险评估的结果、管理与技术上的可行性、法律法规的要求,以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面,将风险降低到可接受的水平。
图2.《各类不可接受风险按系统分布图》。
三、按照ISO标准要求,建立信息安全管理体系
嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统,按ISO/IEC27001:**《信息技术-安全技术-信息安全管理体系要求》规定,参照ISO/IEC17799:**《信息技术-安全技术-信息安全管理实施细则》,建立信息安全管理体系,简称ISMS。确定信息安全管理体系覆盖范围,主要是根据业务特征、组织结构、地理位置、资产分布情况,涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是:“全面、完整、务实、有效。”
为实现信息安全管理体系方针,嘉兴电力局在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施,明确信息安全的管理职责;识别并满足适用法律、法规和相关方信息安全要求;定期进行信息安全风险评估,采取纠正预防措施,保证体系的持续有效性;采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;制定并保持完善的业务连续性计划,实现可持续发展。按照信息安全管理方针的要求,制订的信息安全管理目标是:2级以上信息安全事件为0;不发生信息系统的中断、数据的丢失、敏感信息的泄密;不发生导致供电中断的信息事故;减少有关的法律风险。
嘉兴电力局根据风险评估的结果、企业的系统现状和管理现状,按照ISO/IEC27001:**标准要求,整合原有的企业信息安全管理标准、规章制度,形成了科学、严密的信息安全管理体系文件框架,包括信息安全管理手册;《信息安全风险评估管理程序》、《业务持续性管理程序》等53个程序文件,制定了16个支撑性作业文件。
四、运用过程方法,实施信息安全管理体系
在信息安全管理过程中,重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节,采取明确职责、动态检查、严格考核等措施,使信息安全走上常态管理之路。
图3:信息安全管理体系实施过程
重视信息系统安全管理。因为信息系统支撑着企业的各项业务,信息安全管理体系实施涵盖信息系统的生命周期,表现在信息系统的软(硬)件购置、设备安装、软件开发和系统测试、上线、系统(权限)变更等方面,严格执行体系的相关控制程序。
药品安全信用水平偏低。一是农民对农村药品安全信用状况评价总体较低。在本次抽样调查的350位农民中,对农村药品安全信用状况予以评价的有326人,其中,认为农村药品安全信用状况良好的43人,占总体的13.2%;认为农村药品安全信用状况一般的81人,占总体24.8%;认为农村药品安全信用较差的202人,占总体62%。二是乡镇、农场机关及村委会对农村药品安全信用认可度较低。在104个乡镇、村委会、农场机关及农场连队的调查中,认为农村药品安全信用良好的有16家,认为农村药品安全信用一般的有33家,认为农村药品安全信用较差的有55家,分别占总体15.4%、31.7%和52.9%。
药品安全信息渠道不畅通。我县区域面积6262.48平方公里,分布着五乡四镇,三个国营农场,128个自然村、屯、农场连队,全县总人口8.2万人,其中农村人口6.6万人,占全县人口的80%,是国家级贫困县。由于村屯偏远,经济欠发达,所以信息网络建设不完善,对外界的信息较闭塞。农民获取的信息微乎其微,对经营者个人信誉信息更是所知甚少,农村药品经营企业和医疗机构的不良行为也未见披露,未形成足够的影响力,特别是药品安全方面的信息,就调查的326人当中,了解农村药品经营企业和医疗机构有无失信行为的人员几乎为零。
农村药品安全中出现诚信缺失的现象,概括起来,主要是以下几个方面的原因
追求利益最大化是农村药品经营企业和医疗机构诚信缺失产生的主要原因。有些原本就是劣质药品经营企业和医疗机构,思想动机不纯,获取最大利润是其唯一目标,蒙骗欺诈农民患者是他们惯用的卑劣手段。另外一些农村药品经营企业和医疗机构,由于同行业间的激烈竞争,再加上有些低价的假冒伪劣药品充斥于市,企业和医疗机构无正常利润可得,以至亏损时,一些企业和医疗机构就往往会做出一些失信的行为。
农村药品经营和医疗市场规则不健全也是农村药品经营企业和医疗机构诚信缺失产生的另一因素。虽然医疗机构诚信缺失具有很大的危害性,然而就地方政府和相关职能部门而言,它不但不能给地方政府和相关职能部门带来经济效益,增加财政收入,相反建立诚信体系和处理诚信缺失还要支付成本,增加行政费用,这无疑对地方政府和相关职能部门是没什么眼前利益可言的,由此,一些地方政府和相关职能部门在诚信体系建设上的积极性不高。
药品安全信用意识普遍淡薄。信用观念、信用意识在大多数农村药品经营企业和医疗机构负责人的头脑中还没有真正建立起来。一是大多数农村药品经营企业和医疗机构负责人不够重视提高自己企业的信用水平。二是多数农村药品经营企业和医疗机构对自身的发展前景感到非常渺茫,抱着干一天算一天的态度。
经营者的职业道德素质影响农村药品安全信用建设。经营者既是普通公民,又是企业的核心力量,是企业的领导者。他们的职业道德水准是左右企业信用水平的重要因素,尤其是在个人说了算的私营药品经营企业和医疗机构中,往往起着决定性作用。我县农村药品经营企业和医疗机构绝大多数是个体经营,经营者均没有经过严格、规范的职业道德教育,缺乏职业道德意识,法制意识也比较淡薄,因此在药品经营和医疗服务中不讲职业道德的行为时有发生,使用假冒伪劣过期失效药品等现象在农村时有所见。就我局20__——20__年查办的86起药品违法案件中,有50起发生在农村药品经营企业和农村医疗机构中,占案件总数的58.12%,从非法渠道采购假冒药品的案件占总数的75%,个别批发企业向农村药品零售企业和医疗机构销售假冒伪劣药品的案件占25%。另外,在20__——20__年全县抽验的107批不合格药品中,有78批来自于农村药品经营使用单位,占不合格药品总数的72.9%。 因此,假冒伪劣药品的频繁发生,直接影响了农村药品经营企业和农村医疗机构的信誉。
个人信用制度建设不健全,导致农村药品安全信用低下。由于政府的个人诚信体系不健全,缺乏药品质量安全个人公共信息,相关职能部门在办理业务工作中无据可查,不利于约束从业人员的公共行为,致使个别农村医疗机构经营地址不固定,失信案件时有发生,据统计,20__——20__年有12家具有不良行为的农村药品使用单位频繁变更注册地址。
药品信用安全城乡差别悬殊。在全社会普遍关注信用问题,政府大力提倡建设信用__的大环境下,我县药品安全信用水平也处于不断提高之中。在全县各类药品经营企业和医疗机构中,城内大型药品经营企业、医疗机构的信用水平提高较快,而农村药品经营企业、医疗机构的信用水平却在下降,失信现象仍较普遍。从调查情况看,有286人及69家乡、镇、村委会、农场、连队认为最近两年我县城内药品经营企业和医疗机构的信用状况是提高的,而认为农村药品安全信用在下降的乡、镇、村委会、农场、连队分别占0.96%、11.4%和18.2%。农村药品经营企业和医疗机构不守信是当前经济
生活中存在较为普遍的现象,已经成为损害农村经济环境、影响农村药品安全的毒瘤。
加强农村药品经营企业和医疗机构信用体系建设的对策建议
奠定企业信用建设的经济基础。调查资料表明,社会对实力强的大型企业和大型医疗机构信用评价普遍较高,这提示我们要把发展经济、增强企业实力作为企业信用建设的第一要务。我县正在实行“加快发展,富民强边”战略,把发展经济作为全县人民的首要任务,在经济建设过程中,帮助企业做大做强,在尊重市场经济规律、尊重企业意愿的前提下,运用市场机制促进企业的发展壮大,从而促进企业信用水平的提高。
营造诚实守信的社会环境。进行社会动员,加强投入,着力构筑社会诚信体系,大力营造社会诚信氛围,培育社会诚信意识;营造、整治企业诚信环境;充分发挥政策、法规、制度的监督约束作用,强化综合治理;药监、卫生、工商、质检、税务等部门要通力协作,形成合力,整合诚信资源,搞好诚信服务。
加强法制教育,推进法制建设。以法律手段规范市场经济秩序,严厉打击制售假冒伪劣药品行为,抑制恶性竞争,大力提倡诚实守信、打击不守信行为。要突出对企业经营者的教育,切实提高他们的综合素质,增强他们的法制观念、道德观念、信用观念,为诚信经营提供思想意识保障。鼓励企业自觉地讲诚信、重商德,推动和引导企业重视信用建设,夯实社会经济活动正常运行的信用基础,形成一个企业互相监督、自觉守法、公平竞争的社会环境。
建立健全农村药品安全信息渠道。在法律允许的范围内,通过开通药品质量安全信息网站、编发药品安全信息简报和在村屯张贴违法违规行为公告等形式,以方便迅捷的途径向社会公开药品经营企业和医疗机构药品安全信誉信息,让广大农民知情,这对于保障农村患者权利和促进农村药品经营企业、医疗机构信誉建设,将起到积极作用。另外,通报药品安全信誉信息,畅通农村药品安全信息渠道,也是保证农村用药安全、提高农村药品安全信用体系建设的一个有效措施。
建立和完善企业和个人的资信信息系统。一是建立和完善企业信用服务系统。由政府部门组织牵头,食药监、卫生、工商、质量技术监督等各职能部门共同参与,建立全县药品质量安全信用公共登记系统,搭建以政府为主的“诚信”信息平台,相互联网,汇集各方信息,数据开放,实现区域性诚信数据网络互连互通,信息共享,并以网络技术为依托,建立全县药品经营企业和医疗机构信用查询平台,向社会公开药品经营企业和医疗机构的信用记录,这有助于职能部门在办理相关业务工作时有据可查和约束从业人员的公共行为。二是建立和完善个人信用制度。个人信用制度是指在经济生活中管理、监督和保障个人信用活动的一整套规则、政策和法律的总和,其主要目的是为证明、解释和查验自然人信用情况提供依据,并通过一系列法规、制度来规范个人信用活动当事人的信用行为,提高守信意识,为建立良好的市场经济运行秩序提供制度保障。个人信用制度的建立,有助于加强各职能部门间的沟通,保证药品经营、使用队伍的纯洁性。三建立和完善个人资信档案登记机制。个人资信档案登记是开展个人信用活动的基础,建立和完善药品经营、使用个人信用档案和个人信用信息库,记录经营者的不良行为,在办理行政许可业务中,资信档案将随个人申办材料一起交付相关职能部门,对于申办药品经营企业和医疗机构的情况进行后续记录。这有助于对药品经营使用人员的个人信用信息进行积累,供相关职能部门参考,相关职能部门依据个人信用记录的相关内容办理药品经营、使用许可。
(一) 现行体制
中国互联网行业的现行管理机构为中国信息产业部电信管理局。国内尚未出台中国电信法,这对政府部门作到依法管理在一定程度上造成障碍。目前中国政府对互联网行业的发展以管理规范为主,其管理范畴主要集中在四个领域,即准入管理、出口管理、域名注册和安全监督。
准入管理
根据邮电部1993年制定的《从事放开经营电信业务审批管理暂行办法》,计算机信息服务、电子信箱和电子数据交换业务均向社会放开经营。这对在1995年后民营网络服务商和网上内容提供商的大量兴起和迅速发展起到了积极作用。
根据国务院1993年《关于进一步加强业务市场管理意见的通知》,我国境内的共用通信网、专用通信网的有线电、无线电通信业务,一律不允许境外各类团体、企业、个人以及在我国境内已兴办的外商独资、中外合资和合作企业经营或参与经营,也不得以任何形式吸引外资参股经营。因此,目前中国的网络接入服务商和网络运营商尚不允许外资进入,但信息内容服务商不受此项控制。目前,信息产业部对互联网接入服务商、信息服务商的进入进行许可证管理,经营国内网络电话业务的企业也须首先获得政府颁发的许可证。
出口管理
目前,中国国际互联网的国际出口统一归信息产业部电信管理局管理,电信管理局下设国际通信处具体承担管理事物。管理依据的有关法规主要包括《中华人民共和国计算机信息网络国际联网管理暂行办法》(1996)和《实施办法》(1997)、《计算机信息网络国际联网出入口信道管理办法》。
域名管理
1997年5月20日,国务院信息办制订了《中国互联网络域名注册暂行管理办法》及实施细则,并成立了中国互联网络信息中心(CNNIC),负责国内域名的注册事项。该机构是一家非盈利的管理与服务性机构,其宗旨是促进中国互联网络行业健康、有序地发展。目前,CNNIC是APNIC的联盟会员,其在业务上受国务院信息办领导和信息产业部的指导,中国科学院计算机网络信息中心承担了CNNIC的运行和管理工作。
安全监督
中国互联网安全管理由信息产业部、公安部和国家安全部共同负责。法律依据包括国务院1994年颁布的《中华人民共和国计算机信息系统安全保护条例》和公安部1997年颁布的《计算机信息网络国际联网安全保护管理办法》等。上述三部还联合成立了安全监控中心,具体工作由中国电信数据通信处实施,对网上信息的安全进行实时的监视。
1998年7月25日,公安部成立了中国互联网安全产品测评认证中心。这家非盈利性的技术支持与服务性机构是中国第一个信息安全测评认证机构,是国家信息安全基础设施之一。其服务宗旨是对中国互联网络中使用的信息安全产品和系统,进行公正、客观和权威的测评、评估和认证。该中心的主要职责包括:对国内外信息安全设备和信息技术产品进行安全性检验与测试;对国内信息工程和信息系统进行安全性评估;提供与信息安全有关的信息服务、技术服务及人员培训等。目前,该中心已具有ATM、帧中继、TCP/IP等测试环境,并开发出相关的测试工具和测试方法,具备了对防火墙、虚拟专用网(VPN)设备、鉴别设备等安全产品的测评认证能力[2]。
(二) 中国互联网络基础结构体系
中国互联网产业的构架尚在搭建之中,基础通信网络的绝大部分由国家投资兴建。从市场专业化分工的角度来看,互联网产业研究涉及到的服务商包括网络供应商、接入服务商、咨询服务商、域名服务商、电子邮件商、在线服务商、评级服务商、平台服务商、搜索引擎和大量针对特定需求用户的信息内容或数据库提供商。中国互联网产业目前实际利用和可利用的网络资源包括国家基础通信网、四大互联计算机网、有线电视网和其它一些专线网络。
1.基础通信网
国际互联网虽然是全球范围内的计算机互联网络,但它主要是在现有的全球电信网络的基础上,利用各种数据通信设备将世界各地的计算机联结起来。从这个意义上说,基础电信网是国际互联网构建和发展的网络基础和主要约束。
90年代以来,中国在共用数据通信方面取得了迅速发展,目前已经基本建成的四大公用数据通信网,为中国国际互联网产业的发展创造了条件。四大公用数据通信网分别为:
(1)中国公用分组交换数据网(ChinaPAC),1993年9月开通,目前已覆盖全国地市以上城市和90%以上的县市以及部分发达地区的乡镇,分组交换网端口总容量达到18万个。
1 计算机通识教育内涵
通识教育也常被称为“博雅教育”,与专业化教育相比,通识教育更加注重提高大学生的基本素养和综合能力。当今社会是一个高速发展的信息社会,大学生必须具备获取信息、处理信息和传递信息的能力,而这些都离不开计算机知识和技术。计算机通识教育是现代教育体制的重要组成内容,是通过计算机知识技术的传授及训练,在培养专业人才的过程中进行的专业辅助教育[1]。计算机通识教育旨在培养学生的信息素养,在实施过程当中更应注重将计算机技术与学生本专业知识相结合,注重计算机专业知识与非计算机学科之间的交叉融合。
2 大学生信息素养现状
“信息素养”是指具有对信息的获取、处理、创新、管理等方面的知识、能力和素质的总和。在当今信息社会大学生必须具备良好的信息素养才能更好地实现自我发展和服务社会。而要培养大学生信息素养则离不开计算机通识教育。
针对目前大学生信息素养的现状,有诸多学者和研究人员进行了调研[2-4],结合当地高校实际情况和学者们的调研情况,总结大学生信息素养存在的问题如下:
⑴大学生具备一定的信息意识和信息能力,但是综合信息素养水平较低。以我校实际情况为例,我校学生具备一定的信息素养,但还存在很多不足,表现为:①掌握办公自动化软件的基本应用,但是缺乏高级应用能力,并且缺乏将这些软件应用于自身专业当中的意识和行动力。②具备一定的信息检索能力,但是缺乏缺乏检索意识、系统的信息检索知识和技术。
⑵大学生信息道德和信息法规意识薄弱。以我校实际情况为例,我校在开设《大学计算机基础》课程时,具有针对性地开设一节内容――计算机信息安全。主要介绍计算机安全、计算机病毒、信息安全法规、信息环境等方面的知识。学生学习兴趣高,但实际应用能力欠缺。比如不注重预防计算机病毒,U盘经常携带病毒,导致机房机器中毒,成为计算机病毒的传播者。不注重信息法规和道德方面的问题,比如在论坛中垃圾信息、大面积复制在网络中检索到的论文等。
3 基于计算机通识教育培养大学生信息素养
针对大学生的信息素养所存在的问题,如何更好地利用计算机通识教育培养大学生信息素养是一个亟待解决的问题。
⑴注重计算机通识课程与大学生的专业课程相结合。要想在当今的信息社会中立足和发展,大学生必须学会使用计算机、网络和相关的信息技术。以我校实际情况为例,我校开设的计算机通识课程有《大学计算机基础》、《信息技术基础》、《计算机程序设计》等,旨在培养大学生计算机能力和信息素养。针对非计算机专业的学生,将计算机知识与其专业紧密结合,可以实现计算机的应用性、提升学生学习兴趣,并在授课过程中鼓励学生自主学习,学会主动将计算机技术应用于学习过程当中,培养学生自主学习能力和创新能力,增强学生的信息意识、提升学生的信息素养。比如在讲到Excel软件应用时,针对经济类的学生制作案例《购房贷款试算表》,其中应用到财务函数中的PMT函数来计算每月的还款金额。
⑵改革计算机通识教育教学方法。注重实验课和实践课程,仅仅纸上谈兵是不可取的,在教学过程中广泛采用案例教学法和项目教学法,“以学生为中心”,加强对计算机实际操作能力和使用能力的培养。一是要深化知识目标,现在的学生都具备一定的计算机基础,所以更应在基础知识上进行深化。二是要通过大量趣味性案例和项目进行强化训练。比如在讲到PPT的动画效果设置时,可引入有趣案例进行讲解。首先观看PPT大赛的优秀作品,分析作品动画效果的设置,然后鼓励学生进行实践并根据自己的设计创新作品。三是要强化学生用计算机技术解决实际问题的意识和能力。比如在遇到办公软件使用方面的问题时,首先让学生利用网路手段搜索问题解决的方法。四是要开设信息检索相关课程,系统培养学生信息检索能力,使学生学会利用网络资源解决学习和生活中的诸多问题,增强学生信息意识和信息能力。
⑶注重计算机通识教育中信息安全方面知识的普及。在计算机通识教育课程中开设信息安全方面的课程或组织开设相关讲座知识,加强信息安全知识的普及工作,强化学生信息安全意识。在机房上课时要及时提醒学生对U盘进行防毒、杀毒,要求学生文明上网,注重网络资源的知识产权问题。
[参考文献]
[1]刘菲.美国高校计算机通识教育研究.教育与职业,2012,第36期.