摘　要：針對燃?xì)馄髽I(yè)存在的信息安全問題，本文試圖通過PDCA的理論方法，體系化的從規(guī)劃、實(shí)施、檢查、處置4個步驟，循環(huán)推進(jìn)企業(yè)信息安全建設(shè)。并提出要特別重視解決風(fēng)險評估、人的角色和職責(zé)、信息資產(chǎn)管理、信息安全事件管理等關(guān)鍵環(huán)節(jié)來保障企業(yè)信息安全建設(shè)有效實(shí)施。

關(guān)鍵詞：信息安全　風(fēng)險評估　管理　燃?xì)?span lang="EN-US">

Information Security Management of Gas Enterprises

Abstract：Aiming at solving the problems of information seeurity system of gas enterprises,this paper attempts to use PDCA theory and its methods and through four steps of Planning．Doing．Checking and Acting to promote the construction of enterplise information secnrity．It also pays high attention to the key links of addressing risk assessments，the personal roles and responsibilities，the management of information assets and the management information security incidents and puts forward ways to ensure the effective implementation ot enterprise information security．

Keywords：information security risk assesslnenl manageinent gas

如今，信息已成為企業(yè)生產(chǎn)和發(fā)展的重要資源之一。它以多種形式存在，如被打印或?qū)懺诩埳希灰噪娮臃绞酱鎯?；用郵寄或電子手段傳送；呈現(xiàn)在膠片上或用語言表達(dá)。無論信息以什么形式存在，用哪種方法存儲或共享，都應(yīng)對它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。否則，企業(yè)將面臨著較大的信息安全風(fēng)險，甚至給企業(yè)帶來不良的影響和后果。

1　燃?xì)馄髽I(yè)管理存在的信息安全問題

信息安全問題是企業(yè)的共性問題，企業(yè)規(guī)模越大，所擁有價值的信息量就越大；企業(yè)經(jīng)營性質(zhì)越特殊，受保護(hù)的信息量就越多。燃?xì)馄髽I(yè)足高危服務(wù)性行業(yè)，應(yīng)當(dāng)把燃?xì)膺\(yùn)營安全放在首位，但是也不能忽視了企業(yè)的信息安全。信息安全問題在燃?xì)馄髽I(yè)普遍存在。

1．1　缺乏系統(tǒng)的信息安全管理

網(wǎng)絡(luò)安全領(lǐng)域有一句至理名言“三分技術(shù)，七分管理”，這句話對于信息安全領(lǐng)域也同樣適用。安全與管理常常是密不可分的，很多企業(yè)對信息安全的認(rèn)識僅僅是依靠信息防護(hù)技術(shù)應(yīng)用，比如安裝防火墻，反病毒軟件等。但信息軟件技術(shù)只是信息安全的一部分，即便在安全設(shè)備與系統(tǒng)上做了很大的投入，缺乏完整、系統(tǒng)的安全管理方法及制度并貫徹實(shí)施，信息仍然得不到很好的保護(hù)。尤其是那些對于針對黑客攻擊還顯得相對脆弱的企業(yè)網(wǎng)絡(luò)，一旦遭遇惡意入侵，馬上便顯得不堪一擊，信息安全當(dāng)然就完全談不上。而現(xiàn)實(shí)情況是，許多燃?xì)馄髽I(yè)因為缺乏信息安全管理制度、方法和應(yīng)急預(yù)案，對于這種情況全然沒有有效的防備和事后補(bǔ)救措施，這樣災(zāi)難自然就是難免的了。

1．2　信息安全意識有待提高

當(dāng)前，企業(yè)的信息載體日益電子化，信息系統(tǒng)、辦公電腦、移動存儲設(shè)備的不規(guī)范使用增加了電子信息的泄露發(fā)生率。在百度、谷歌、網(wǎng)絡(luò)文庫上稍加搜索就可以輕易的獲得某家燃?xì)饧瘓F(tuán)或公司重要文件。這些重要信息資料被暴露在公眾中，正是由于燃?xì)馄髽I(yè)以及員工信息安全意識不強(qiáng)所造成的。而不少企業(yè)的領(lǐng)導(dǎo)者對于重要信息的保護(hù)意識不強(qiáng)，尤其是企業(yè)員工，從思想上就不重視企業(yè)的信息安全，信息傳遞和交接都帶有很大的隨意性，更有些“大嘴巴”事件，使得企業(yè)許多重要信息外流，如客戶信息、企業(yè)內(nèi)部信息，更有甚者，許多商業(yè)機(jī)密也輕易外泄，如燃?xì)馕ｋU源信息或燃?xì)獬杀镜取?span lang="EN-US">

1．3　缺乏信息安全技術(shù)人才

在燃?xì)馄髽I(yè)，由于對企業(yè)信息安全的重要性認(rèn)識不足，普遍缺乏信息安全管理人員和信息系統(tǒng)安全技術(shù)人員。雖然近年來燃?xì)馄髽I(yè)各類信息系統(tǒng)不斷增多，如地理信息系統(tǒng)、客戶服務(wù)系統(tǒng)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)等，涌現(xiàn)出了一批信息化技術(shù)人才，但是要從安全角度出發(fā)，能夠進(jìn)行綜合信息安全管理的技術(shù)性人才在整個燃?xì)馄髽I(yè)員工的比例仍然相當(dāng)?shù)?。燃?xì)馄髽I(yè)在信息安全人才和信息技術(shù)人才培養(yǎng)方面與企業(yè)快速發(fā)展帶來的信息化需求和信息安全需求顯然不能同步，這樣一來，對于信息外泄，信息安全防不勝防，便會出現(xiàn)“領(lǐng)導(dǎo)干瞪眼，群眾干著急”的局面。

2　理解信息安全的盡本內(nèi)容和信息安全建設(shè)的主要任務(wù)

2．1　什么是信息安全?

在GB／T22081-2008中，信息安全被這樣定義：保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險最小化、投資回報和商業(yè)機(jī)遇最大化。其主要是指在企業(yè)信息安全管理中首先要最大限度的保護(hù)企業(yè)信息資產(chǎn)，保障業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行，其次，一旦發(fā)生安全事故可以最大限度地挽同所造成的損失。

信息的安全風(fēng)險主要來自于信息的保密性、完整性和可用性。在企業(yè)中，信息可能會通過口頭、網(wǎng)絡(luò)、打印機(jī)、復(fù)印機(jī)、存儲設(shè)備等途徑不經(jīng)意地泄露。要避免重要信息的泄露，在信息的傳遞和保管過程中要把好關(guān)；然后，還要防止信息被誤變更或被惡意變更，做到保護(hù)信息的完整性；最后，要做好信息源頭的安全保障，即要保障信息處理設(shè)備和信息傳遞渠道的高可用性。制定清晰的信息處理流程，建立滿足服務(wù)的完善運(yùn)維保障，以及設(shè)法保持業(yè)務(wù)連續(xù)性管理都是保證信息高可用的重要措施。正是信息的這3個屬性結(jié)合才形成了信息的安全性，如圖1所示：

2．2　信息安全建設(shè)的主要工作任務(wù)應(yīng)由以下幾方面構(gòu)成

即體系化的企業(yè)信息建沒，信息安全風(fēng)險控制和確保企業(yè)信息的機(jī)密性、完整性和可用性。而對于不少燃?xì)馄髽I(yè)來說，卻常常足重視了第l點(diǎn)，而忽略第2和第3點(diǎn)。因此，有計劃的解決企業(yè)存在的信息安全風(fēng)險，以及可持續(xù)提高管理的有效性和不斷提高自身的信息安全管理水平是企業(yè)的當(dāng)務(wù)之急。

3　采用PDCA循環(huán)的方法建設(shè)氽業(yè)信息安傘

作為一項安全管理活動，信息安全建設(shè)應(yīng)該是符合一般管理活動的規(guī)律的。所以，用PDCA管理模式，即規(guī)劃(Plan)實(shí)施(Do)檢查(Check)處置(Act)的循環(huán)管理模式來指導(dǎo)燃?xì)馄髽I(yè)信息安全建設(shè)十分必要也非常合適。

PDCA的概念最早由美國質(zhì)量管理專家戴明提出來，起初用于質(zhì)量管理，后逐漸應(yīng)用于各行各業(yè)。通過PDCA方法管理能使信息安全建設(shè)有效的按照一種合乎邏輯的工作程序進(jìn)行。對其具體應(yīng)用，筆者結(jié)合自己所學(xué)的理論知識和工作經(jīng)驗進(jìn)行了總結(jié)。

3．1　P階段

(1)分析公司信息管理中存在的不安全因素，采用合理的風(fēng)險評估方法，確定風(fēng)險并對風(fēng)險進(jìn)行分級；

(2)找出不安全因素產(chǎn)生的原因，特別是在企業(yè)管理層面上存在原因和需要企業(yè)高層處理的問題；

(3)針對存在的問題，根據(jù)風(fēng)險等級對存在的隱患制訂措施計劃和解決方案，制定的措施方案要有較強(qiáng)的可操作性，便于執(zhí)行，并能收到較好的效果。對于整改資金必須從安全與生產(chǎn)發(fā)展的總體考慮，結(jié)合實(shí)際，因地制宜，合理投入。

3．2　D階段

(1)對風(fēng)險整改計劃進(jìn)行宣貫和指導(dǎo)，讓企業(yè)員工認(rèn)識到存在的安全現(xiàn)狀和不安全因素，以及怎樣去改進(jìn)。計劃要落實(shí)到人，整改的人要清楚的理解為什么要改進(jìn)和怎樣改進(jìn)；

(2)層層細(xì)化風(fēng)險改進(jìn)計劃，并與員工的工作實(shí)際相結(jié)合。計劃可以從企業(yè)管理層開始細(xì)化直至崗位上的每一個操作環(huán)節(jié)。如果細(xì)化不徹底，那么企業(yè)的總汁劃中的方案措施再有可操作性，相對于班組、崗位都存在不同程度的粗放性，很難與基層實(shí)際吻合。

3．3　C階段

(1)開展企業(yè)各層級員工對自己工作進(jìn)展情況的自查，查找問題，分析原因，及時整改；

(2)開展信息安全專項檢查，定期和不定期檢查風(fēng)險改進(jìn)的執(zhí)行情況，階段性的總結(jié)和考評執(zhí)行效果。檢查最好能通過量化式檢查得出定性結(jié)論。這一方法的最大優(yōu)點(diǎn)就是對每一個PDCA循環(huán)層進(jìn)行橫向比較時，能得到較為準(zhǔn)確的評價，找準(zhǔn)薄弱點(diǎn)和工作漏洞：

(3)對檢查結(jié)果和現(xiàn)存信息風(fēng)險重新進(jìn)行總結(jié)和評估，并根據(jù)評估結(jié)果調(diào)整風(fēng)險級別和風(fēng)險值，找出重點(diǎn)關(guān)注環(huán)節(jié)。

3．4　A階段

(1)統(tǒng)計匯總信息安全風(fēng)險控制的成果，去除已經(jīng)解決的問題，制訂對新問題的改進(jìn)計劃；

(2)分清計劃未完成的原因并確立相關(guān)責(zé)任人，依據(jù)有關(guān)規(guī)定進(jìn)行嚴(yán)考核硬兌現(xiàn)；

(3)把遺留和新發(fā)現(xiàn)問題轉(zhuǎn)入下一個PDCA管理循環(huán)。

4　重點(diǎn)解決信息安全建設(shè)中的幾個關(guān)鍵問題

4．1　把握風(fēng)險評估尺寸，正確處理存在的風(fēng)險

風(fēng)險評估的實(shí)施方法有許多，在做信息安全風(fēng)險評估時，應(yīng)從企業(yè)整體出發(fā)，從企業(yè)需求出發(fā)。通過《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》(GB／T20984-2007)給出的風(fēng)險評估實(shí)施流程可以較為全面評估出企業(yè)存在的信息安全風(fēng)險。

信息安全風(fēng)險識別出后，采用合理的處置辦法也非常重要。采用的處理方式主要有：①風(fēng)險減緩，即采用適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險。如對重要信息處理設(shè)備采用冗余配置措施以避免單點(diǎn)故障的發(fā)生；②風(fēng)險接受，在明顯滿足組織方針策略和接受風(fēng)險準(zhǔn)則的條件下，有意識地、客觀地接受風(fēng)險。特別是適當(dāng)接受那些“風(fēng)險級別低的風(fēng)險”，以確保高級別風(fēng)險能及時而有效地處置；③風(fēng)險規(guī)避，在可能的情況下，避免某些特殊風(fēng)險，如將重要信息文件進(jìn)行加密來避免未授權(quán)人獲得；④風(fēng)險轉(zhuǎn)移，將相關(guān)業(yè)務(wù)風(fēng)險轉(zhuǎn)移到其它地方，如將網(wǎng)站業(yè)務(wù)的維護(hù)托管到第三方專業(yè)維保單位管理，并與其簽訂信息安全保密協(xié)議等。

4．2　重視人在燃?xì)馄髽I(yè)信息安全管理中的作用

在企業(yè)管理中，所有的管理活動離不開“人”。“人”是信息安全活動中最復(fù)雜、最難控制的對象，許多信息安全事件的發(fā)生是由人而起。要對企業(yè)中人的行為進(jìn)行約束，明確人的信息安全管理角色和管理職責(zé)；加強(qiáng)人的思想認(rèn)識，進(jìn)行信息安全的教育和培訓(xùn)，才能構(gòu)建良好的信息安全文化。

筆者所在公司在信息安全管理中，首先成立了信息安全小組，把企業(yè)的“一把手”作為推動信息安全的組長，把企業(yè)內(nèi)不同部門的人作為參與信息安全管理的對象，其中經(jīng)理層和關(guān)鍵崗位人員是安全小組組員，明確了組長和組員的信息安傘責(zé)任和義務(wù)；然后把信息安全責(zé)任制落實(shí)到企業(yè)安全責(zé)任狀中，要求層層簽訂層層落實(shí)，通過與經(jīng)理層、關(guān)鍵崗位人員簽訂保密承諾書，來進(jìn)一步保障企業(yè)信息安全；最后注重培育企業(yè)自己的信息安全文化，特別是通過報紙、宣傳欄、企業(yè)OA系統(tǒng)向員工宣傳日常信息安全做法，從小事出發(fā)將注重信息安全形成習(xí)慣。例如，對電子文件進(jìn)行簡單加密，離開電腦時進(jìn)行鎖屏保護(hù)、給電腦打開沒定密碼保護(hù)、重要文件不被設(shè)為共享，不把公司的文件傳送給第三方(其它公司、網(wǎng)上文庫)，及時粉碎重要紙質(zhì)文件，及時做好重要數(shù)據(jù)備份，及時更新殺毒軟件病毒庫等。

4．3　做好信息資產(chǎn)分類，把資產(chǎn)管理好

信息是一種對燃?xì)馄髽I(yè)具有價值的資產(chǎn)，但是要想把這種資產(chǎn)管好，必須做到以下幾點(diǎn)：第一，它有兩種存在形式，即有形和無形，要建立信息資產(chǎn)清單來管理，這樣在管理中才能做到“胸中有數(shù)”；第二，不同信息有著不同保護(hù)要求，要進(jìn)行信息分類管理，根據(jù)不同分類等級采取不同的保護(hù)措施。信息保護(hù)等級可分為：絕密、機(jī)密、秘密、受限、內(nèi)部公開、公開。在分類時特別要注意的是考慮共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影響，避免信息保護(hù)等級被設(shè)定過高，實(shí)際操作時影響到業(yè)務(wù)的開展；第三，信息的處理過程很難控制，需要對信息做好標(biāo)記，標(biāo)記的內(nèi)容要包括安全處理、存儲、傳輸、刪除、銷毀的處理程序，標(biāo)記的程序要涵蓋物理和電子格式的信息資產(chǎn)，不能有遺漏。特別是對報廢的存儲介質(zhì)處理，應(yīng)確保銷毀，因為以目前的數(shù)據(jù)恢復(fù)技術(shù)而言，采用格式化的方法來處理數(shù)據(jù)存儲的物理介質(zhì)很容易被恢復(fù)。因此，最好的辦法是物理銷毀、數(shù)據(jù)覆蓋或者利用不可逆專門工具處理。

4．4　合理規(guī)劃信息安全區(qū)域，做好信息處理設(shè)備的安全管理

在燃?xì)獍踩a(chǎn)建設(shè)中分清防爆區(qū)域非常重要，其實(shí)信息安全管理中也要分清信息安全區(qū)域，通常在實(shí)際應(yīng)用中將總經(jīng)理室、財務(wù)部門、人力資源部門、檔案部門、圖紙設(shè)計部門、信息化部門、信息系統(tǒng)機(jī)房等具有敏感信息的部門劃定住安全區(qū)域內(nèi)，并在物理邊界上加以防護(hù)，防止未授權(quán)的人員進(jìn)入損壞、盜竊、截取。如在財務(wù)部門、信息化機(jī)房入口安裝門禁、視頻監(jiān)控、同欄、紅外報警器等。

此外，還要考慮安全區(qū)域內(nèi)的信息安全。筆者發(fā)現(xiàn)在日常工作中設(shè)備故障所造成的信息處理過程不安全最為常見。因此，對提供信息處理支持性設(shè)施要格外關(guān)注，要加強(qiáng)沒施的運(yùn)維管理，建立運(yùn)維管理制度，安排專人定期巡檢設(shè)備運(yùn)行情況。條件允許下，還可以配置冗余的硬件設(shè)備，雙凹路的供電電源，應(yīng)急電源等。

4．5　加強(qiáng)信息安全事件管理，預(yù)防信息安全事件發(fā)生

據(jù)燃?xì)馄髽I(yè)發(fā)生的各種信息安全事件的統(tǒng)計結(jié)果，最典型的有有害程序、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件等。其中，帶來的損失最嚴(yán)重的是有害程序、網(wǎng)絡(luò)攻擊事件。針對這些事件，可以采取相應(yīng)的技術(shù)防范措施，如安裝反病毒產(chǎn)品、防火墻產(chǎn)品、入侵檢測與入侵防御產(chǎn)品，對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行脆弱性掃描等，同時做好定期設(shè)備的巡查，及時更換失效的產(chǎn)品。

另一方面，根據(jù)本企業(yè)白身情況建立信息安全應(yīng)急預(yù)案，搭建應(yīng)急組織機(jī)構(gòu)，對信息安全事件分級，并制定應(yīng)急響應(yīng)機(jī)制、應(yīng)急處置流程(即事故上報流程)以及恢復(fù)程序。每年開展一次應(yīng)急演練，提高信息安全應(yīng)急預(yù)案的可操作性以及相關(guān)人員對信息安全事件響應(yīng)的熟練程度，可以提高信息安全事件的預(yù)防和處置能力。

5　未來持續(xù)性做好信息安全工作的幾點(diǎn)探索

“發(fā)展”和“變化”始終是未來信息安全的重要特征，只有緊緊抓住這個特征才能正確地處理和對待信息安全問題。筆者認(rèn)為燃?xì)馄髽I(yè)未來應(yīng)從如下兩個方面持續(xù)做好信息安全管理。

5．1　正確面對新技術(shù)的應(yīng)用

隨著無線技術(shù)、物聯(lián)網(wǎng)技術(shù)、“云”技術(shù)等新技術(shù)在企業(yè)中應(yīng)用，企業(yè)在信息應(yīng)用上取得很大突破，新的信息技術(shù)為企業(yè)發(fā)展帶來了新的機(jī)遇。但是不斷革新的技術(shù)就像一把“雙刃劍”，一方面它促成了企業(yè)的新發(fā)展，而另一方面也會為企業(yè)帶來新的信息安全問題。因此，企業(yè)應(yīng)正確的面對新技術(shù)，在新技術(shù)應(yīng)用同時，重視加強(qiáng)入侵檢測技術(shù)、RFID(射頻識別)技術(shù)、數(shù)字認(rèn)證加密技術(shù)、災(zāi)難備份技術(shù)等安全防護(hù)技術(shù)的應(yīng)用，以保障企業(yè)在新形勢下的信息安全。與此同時，通過實(shí)踐我們也應(yīng)該提高防范意識，謹(jǐn)防別有用心之人利用信息新技術(shù)來造成信息破壞或信息安全事故。

5．2　大力發(fā)揮人才的優(yōu)勢

信息安全管理離不開人，信息技術(shù)的應(yīng)用和維護(hù)更離不開人。筆者認(rèn)為持續(xù)性做好信息安全管理的另一突破點(diǎn)在人才管理上。燃?xì)馄髽I(yè)應(yīng)著力培養(yǎng)一批懂信息技術(shù)、懂安全、懂燃?xì)獾木C合性人才，大力發(fā)揮人才優(yōu)勢，才能使得信息安全保護(hù)持續(xù)性得到有力支撐。

參考文獻(xiàn)

1 CB／T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求

2 GB／T22081-2008信息技術(shù)安傘技術(shù)信息安全管理實(shí)用規(guī)則

3 GB／T20984-2007信息安傘技術(shù)信息安全風(fēng)險評估規(guī)范

本文作者：周濱

作者單位：鎮(zhèn)江華潤燃?xì)庥邢薰?span lang="EN-US">