信息安全方針范例6篇

前言：中文期刊網精心挑選了信息安全方針范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

信息安全方針范文1

關鍵詞：RSSP-1安全協議；安全通信模塊；有軌電車仿真培訓系統

中圖分類號：TP311.1 文獻標識碼：A 文章編號：1009-3044（2016）28-0036-02

Abstract：This paper is aimed at the secure communication requirements between the tram operation management system and the simulation training system ，through writing c + + class by VS2005， realized the security communication module which transmited data between two systems safely. The communication function of this module used c + + datagram socket function to realize， which can set up end-to-end communication without connection between two computers， the real-timing of communication is high；the security functions is designed by RSSP C 1 which is the railway signal safety communication protocol ， the function is realized by software design ，which can make the module reach the standard of the railway’s safety communication. In addition， the secure communication module is universal， and can be used for data communication between various systems of the tram signal system.

Key words： RSSP C 1 protocol； safety communication； Trams simulation training system

有軌電車信號系統是有軌電車重要組成部分，實現行車指揮、列車運行監督和管理技術措施及配套裝備的集合體。有軌電車信號系統分為運營控制子系統（Operating Control Center，OCC）[1]、正線道岔控制子系統[2]、平交路口信號控制子系統、車載子系統。其中運營控制子系統具有時刻表編制、行車運營調度等功能。信號系統的子系統之間通過封閉式傳輸網絡和無線網絡傳遞信息。

1 有軌電車仿真培訓系統設計

設計有軌電車仿真培訓系統的目的是：本系統搭建了一個仿真平臺，可以對OCC系統進行使用前的測試驗證，也可以為使用本套OCC系統的運維人員進行培訓。本系統由運營控制系統和仿真平臺兩部分組成。為了便于培訓，本系統的運營控制系統與有軌電車信號系統的OCC系統一致。仿真平臺與OCC系統有數據安全傳輸需求，有必要設計安全通信模塊來保障安全通信。

2 安全通信模塊設計

安全通信模塊通過封閉式傳輸網絡與OCC系統的通信服務器完成通信過程。安全通信模塊采集了仿真平臺的車輛速度位置、正線道岔正反位、平交路口信號燈、線路等信息，發送給OCC系統的通信服務器，并實時獲取OCC系統下發的指令。本模塊安全功能根據RSSP-1安全協議[3]設計，以保障數據安全傳輸。傳輸層采用以太網通信[4]傳輸數據。

2.1 RSSP-1協議簡介

EN50159-2011標準[5]判定封閉式傳輸系統存在以下安全隱患：數據幀重復、丟失、插入、錯序、錯碼、延遲。RSSP-1安全協議針對這些安全隱患設計，能提供有效的防御措施。RSSP-1協議是由我國原鐵道部科技司制定的鐵路信號安全通信協議，用于封閉式數據傳輸系統防御潛在風險。

2.2 安全通信模塊結構設計

按照功能定位的不同，安全通信模塊分為四個部分，分別是通信模塊，套接字模塊，為傳輸數據添加安全防護的安全校驗模塊，提供對外接口的接口模塊。本模塊具有參數初始化、數據收/發、通信開/關接口。應用程序通過調用安全通信模塊的接口，實現數據通信，應用程序的數據均保存在數據緩沖區以便讀寫。

2.3 靜態類圖設計

根據UML語言設計安全通信模塊的類圖[6]，如圖1所示。安全通信模塊分為4個部分，因此設計了4個類。類的說明如下：

（1） 通信模塊的Communication類：該類是整個安全通信模塊的通信核心，實現安全通信的功能。設計了Binary結構體和Telegram結構體，以便存儲傳輸的數據和報文。該類的主要方法有兩個，分別是sendSafetyData方法和udpReceive方法。功能是調用安全模塊發送安全數據和UDP端口接收數據。還有主方法調用的其他方法，如創建套接字、UDP端口發送數據、解析數據包、報文頭尾校驗等。

（2） 安全校驗模塊的Safety類：該類根據RSSP-1協議設計，保證數據傳輸符合鐵路信號系統的安全標準。設計了通信節點結構體Node保存通信參數。主要方法分別是對接收到的安全數據進行校驗的SafetyCheck方法，生成安全校驗數據的GetSafeData方法。

（3） 接口模塊的Interface類：該類提供了安全通信模塊的接口。在類中定義了通信參數結構體CommPara，用于初始化通信節點的通信參數。本類的主要方法，一個是InitApplication方法，初始化應用程序的各種通信參數和安全參數；另一個是TimerProcess方法，定時發送數據。

（4） 套接字模塊的CClientSocket類：該類繼承自mfc類庫的套接字類，是實現網絡通信的基礎步驟。

2.4 動態時序圖設計

圖2為安全通信模塊UML時序圖設計，是本模塊運行詳細動態描述，具體過程如下：

（1）打開通信： 應用程序打開通信，首先調用初始化接口，初始化通信層通信參數、安全層安全參數、分配內存、建立CRC校驗表[7]等，然后調用套接字模塊打開通信、建立連接。

（2）發送數據：應用程序的定時器程序每隔250ms定時發送數據到對方通信節點。

1通信層的數據發送函數采集并打包站場數據，按協議轉化為傳輸過程中使用的二進制數據。

2調用安全層的安全校驗數據生成函數[8]，為二進制數據添加安全防護，按協議生成RSD安全報文。

3通信層調用套接字模塊的數據發送函數，向通信節點的所有關聯IP發送數據。

4若檢測到通信中斷等通信問題，通信層觸發SSE報文函數，以校正時序。

（3）接收數據：通信層調用套接字的接收函數，被動接收數據。首先端口接收到數據，進行安全傳輸校驗。

安全傳輸校驗：通信功能模塊對接收到的整包數據進行處理，判斷報文頭的源地址和目的地址是否正確，數據包是否為完整數據包，以及CRC報文尾校驗，若傳輸有誤則直接丟棄該報文。

若傳輸無誤，則根據協議判斷報文的數據類型，有三種可能。

1若報文為RSD數據包，判斷該包數據序列號是否正確，時序有誤則觸發SSE報文以矯正時序。時序正確就進行安全編碼校驗，通過則將數據保存在緩沖區，若未通過觸發SSE報文。

2若報文為SSE請求數據包，則判斷剛發送數據包是否為SSR數據包，若是則不再處理，若不是則根據協議生成SSR數據包，調用安全模塊的生成安全校驗數據函數，生成SSR安全校驗數據，并發送給對方。

3若報文為SSR請求回應數據包，判斷是否發起了SSE請求、SSE等待SSR是否未超時、SSR與發送的SSE數據包序列號是否相一致。若無誤，則調用安全模塊的時序校正恢復功能恢復時序。若有誤，則不再處理。

（4）結束通信：若需斷開通信，接口層調用套接字模塊直接關閉通信。

2.5 安全通信功能模塊的封裝

安全通信功能模塊根據RSSP-1協議設計，適合封閉式網絡信息安全傳輸，具有通用性。在有軌電車信號系統中可以廣泛使用，只需要配置不同的參數（IP地址和端口號），就能實現通信功能。因此有必要將安全通信模塊封裝為一個獨立的模塊，通信時直接調用該模塊。通過VC++的DLL封裝功能，封裝了該模塊。DLL文件的預留接口包括初始化、通信開/關、數據收/發，可以實現完整的數據安全通信過程。

3 總結

安全通信功能模塊已經實現，它是有軌電車仿真培訓系統的一個重要模塊，負責有軌電車仿真平臺和OCC系統之間命令消息的傳遞。本模塊實現通信功能，并依據RSSP-1協議，設計一系列安全措施防御通信安全問題。進行模塊封裝設計，使用簡便。本設計能夠安全穩定的傳輸數據，滿足了安全通信的需求。

參考文獻：

[1] 唐賈言. 現代有軌電車的運營控制系統[J]. 自動化應用， 2010（12）.

[2] 楊小會，喬玉蓉. 新型有軌電車道岔控制系統方案研究[J]. 電子科技， 2016，29（3）.

[3] 中華人民共和國鐵道部.RSSP-1鐵路信號安全通信協議（V1.0） [s].鐵道部科學技術司，鐵道部運輸局，2010： 1-22.

[4] 吳功宜，吳英編.計算機網絡應用技術教程[M]. 清華大學出版社， 2002.

[5] 楊霓霏，段武，盧佩玲. 鐵路信號系統安全相關通信標準與安全協議研究[J]. 中國鐵路. 2008.

[6] 哈貴庭. 基于UDP協議進行數據傳輸的研究與設計[J]. 電腦編程技巧與維護， 2010（18）.

信息安全方針范文2

關鍵詞：信息安全管理體系；信息資產；業務連續性；風險評估

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1001-828X（2014）08-0136-02

當前，隨著稅務部門管理和服務水平不斷提升的客觀需要，加強對稅收核心業務系統和關鍵信息資產的保護，成為信息化工作中一項十分重要的使命。

本省地稅部門信息安全現狀及面臨形勢

（一）取得的成績

多年來，本省地稅部門在認真學習貫徹國家稅務總局和各相關主管部門頒布的信息安全管理制度、政策法規及技術標準基礎上，結合工作實際，陸續頒布、制定了一系列信息安全管理辦法與措施，具體包括：

1.安全管理制度方面，制定了涵蓋物理層、網絡層和主機系統層的管理制度，總體目標、范圍、方針、原則和責任基本明確。

2.安全管理機構方面，建立了信息安全領導小組，配備了具有一定安全管理能力及技術能力的系統管理員、網絡管理員、安全管理員等。

3.人員安全管理方面，在內外部人員錄用前，對被使用人的身份、背景和資質等進行嚴格審查，按期組織信息安全崗位知識技能培訓。

4.系統建設管理方面，嚴格遵照信息系統安全等級保護要求制定建設方案，并對定級結果的合理性和正確性進行論證和審定。

5.系統運維管理方面，對各種設備運轉情況進行定期檢查和實時監測、報警，權限設定遵循最小化授權原則，有配置變更管理的審批流程，對重要應用程序和數據庫進行定期備份。

（二）存在的不足

通過近期開展的風險評估工作，暴露出本省在信息系統安全方面還存在著一定程度的不足，主要是：

1.在安全管理方面，已制定的各項管理規定缺乏全面性、系統性，要求規范與實施細則未能很好的實現層次劃分；有些制度、標準更新不快，缺乏可操作性，對基層的指導作用不十分明顯；信息安全責任制度還需要進一步細化和落實。

2.在安全技術方面，現有機房空間環境已不能完全適應稅收業務發展的需要；部分網絡、安全設備老化需要更新，部分核心業務網絡還未進行功能區域的細分，操作級的審計管理還不盡完善；應用系統開發中的安全機制尚不健全，身份認證等安全技術手段還未得到全面應用。

3.在安全運維方面，現有巡檢工作中不包括安全技術措施的有效性檢查等內容；網管、動環、安管等監控系統還基本處于獨立運行狀態，對于網絡或系統故障缺乏關聯性分析，未能形成統一的監控、分析、處置策略；尚未結合實際業務制定出操作性較強的應急預案，未進行過應急演練。

（三）面臨的形勢

隨著經濟的持續發展和國際地位的不斷提高，我國基礎信息網絡和重要信息系統面臨的安全風險日益嚴峻，計算機病毒傳播和網絡非法入侵十分猖獗，網絡違法犯罪持續大幅上升，犯罪分子利用一些安全漏洞進行網絡盜竊、網絡詐騙、信息系統破壞等違法活動，給國家政治、經濟和社會生活造成嚴重負面影響。中央已經將信息安全與政治安全、經濟安全、文化安全并列為國家安全的重要組成要素。稅務信息系統作為政府信息系統的重要組成部分，其安全運行不僅關系到政府機關的形象和稅收業務的持續運行，還關系到社會穩定和國家安全。

提高稅務信息安全保障能力的有效途徑

國家稅務總局在“金稅三期”項目建設中明確提出，要高度重視信息安全保障工作：按照“四防”工作要求，進一步推進“人防”，做好信息安全教育培訓工作；認真落實“制防”，推進信息安全標準體系和管理制度建設；穩步提升“技防”，持續保障“物防”，做好安全防護體系建設和運行管理工作。因此，構建符合信息系統運行需要的信息安全管理體系，對進一步加強稅務部門內部網絡的整體安全防護能力，全面提升信息安全管理水平，就顯得尤為重要。

信息安全管理體系，即Information Security Management System（簡稱ISMS），是組織在整體或特定范圍內建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系。

信息安全管理體系的建設可以提高稅務干部的信息安全意識，規范各層級的信息安全行為；對組織的關鍵信息資產進行全面系統的保護，在信息系統受到侵襲時，確保業務持續開展并將損失降到最低程度；在稅收各項工作順利開展的同時，提高社會公眾對政府部門的公信度；另外，通過信息安全管理體系建設，可以有效加強對信息技術風險的管控，通過與信息安全等級保護、信息技術風險評估等工作的融合與銜接，使信息安全管理更加具有科學性和系統性。

稅務信息安全管理體系建設實踐

稅務信息安全管理體系的構建，應結合稅收改革發展要求，根據信息化工作職責，制定相應的策略，并最終實現總體的信息安全目標。

（一）基本定位

1.在策略制度層面，形成從方針策略、到要求規范、操作規程直至記錄表單在內的層次化文件體系，為信息安全管理體系奠定技術基礎；

2.在組織建設方面，建立決策、管理、執行和監督多維的組織架構，明確信息安全相關角色和職責，奠定信息安全管理體系的組織基礎；

3.在風險管理方面，通過風險評估和處置過程，建立起全面的信息安全內部控制，結合信息安全事件管理和業務連續性管理，確保從整體上將信息安全風險控制在可接受水平；

4.在人員意識方面，通過有序組織信息安全培訓及相關意識宣傳活動，確保人員具備基本的信息安全意識和操作技能；

5.在支持保障方面，建立起內（外）部審核、管理評審、有效度量、日常檢查等多項檢查監督機制，確保信息安全管理體系的持續運行和改進有著推動和保障基礎。

（二）設計原則

1.體現全面的特性。信息安全管理體系是一個涵蓋各個方面的工程，它要求多角度、多層次，從各個環節人手，進行系統的考慮和規劃。任何環節上的缺陷都會對信息系統構成威脅，要實現信息安全目標，必須保證構成信息安全管理體系這只“木桶”的所有木板都達到一定的標準。

2.體現持續改進、動態發展的特性。信息安全管理體系不僅僅是一套全面的規則集合，而且還是在體系建設與實施過程中與所有利益相關者的互動過程。另外，環境的動態性也決定了體系建設的動態性。因此，在體系架構設計和實施中應遵循PDCA的模式，通過P（策劃）、D（實施）、C（檢查）、A（糾正）這四個步驟的循環運行，使信息安全管理水平獲得可持續性的發展。

3.以保證業務連續性為根本目標。信息安全管理必須為業務服務，脫離業務的信息安全管理也就失去了其真正的意義。因此，保證信息系統的正常運行，進而保障業務的連續開展，是信息安全的根本目標，也是信息安全管理體系的根本目標。

4.領導重視、全員參與的原則。在信息安全管理體系的建設中，應由最高管理者確立統一的信息安全方針、政策和方向，創造并保持使員工能充分、積極地參與實現信息安全戰略目標的內部環境；全體員工應明確自己在信息安全管理中的職責，積極參與信息安全管理體系的建設。

5.技術與管理并重的原則。信息技術是信息安全管理的手段，信息安全管理是利用信息技術實現安全目標的保障，在信息安全管理體系中，技術與管理同等重要，缺一不可，忽略任何一方都會阻礙信息安全工作的開展。

（三）總體架構

在稅務信息安全建設中，包含了信息安全管理、信息安全運作、信息安全技術三方面內容。信息安全管理體系則處于“管理一運行一技術”三元架構的最上層，包含信息安全政策、規范與標準、指南與細則等，從人員、意識、職責、監督等方面，保證并指導下一層級的順利運行。其建立和完善，應充分依據國家標準和稅務行業規范，以融合化和層次化為指導，并最大化地整合現有資源，基本框架模型，可分為五層：

第一層，總體方針，是由省局信息安全領導小組簽署的書面文件，其目的是明確信息安全管理工作的總體目標、適用范圍、總體方針和原則等方向性綱領性文件。

第二層，管理要求，是省局對全系統提出要求的管理性文件，包括安全組織、資產安全、人員安全、信息系統安全等各個方面。

第三層，標準規范，是針對管理要求中提出的內容，制定的對共同使用和重復行為進行指導或規范的文件，文件可以由省局制定，也可以由基層單位制定。

信息安全方針范文3

 

1 社區衛生服務中心信息安全背景

 

20世紀90年代以來，信息技術不斷創新，信息產業持續發展，信息網絡廣泛普及，特別是原衛生部《衛生信息化發展規劃(2011～2015年)》之后，明確了衛生信息化是深化醫藥衛生體制改革的重要內容。那么作為整個衛生信息化體系的“網底”的社區衛生服務中心，其重要性不言而喻。隨著衛生信息化的建設不斷擴展和深入，依托于區域衛生信息中心的各類應用系統不斷上線推廣應用。網絡與數據安全已逐步成為各項衛生信息工作開展的重要基礎依托。因此社區衛生服務中心作為區域衛生信息中心的重要結點。信息安全管理就顯得尤為重要。

 

2 什么是信息安全管理

 

“三分技術，七分管理”是信息安全保障工作中經常提到的。可見，信息安全管理是信息安全保障的至關重要的組成部分。信息安全管理(Information Security Management)指組織中為了完成信息安全目標，遵循安全策略，按照規定的程序，運用恰當的方法，而進行的規劃、組織、指導、協調和控制等活動。作為組織完成的管理體系中的一個重要環節，它構成了信息安全具有能動性的部分，是指導和控制組織相互協調完成關于信息安全風險的活動，其對象就是包括人員在內的各類信息相關資產。在社區衛生服務中心由于信息系統應用較為廣泛，基本包含了醫療、護理、醫技、行政等所有科室及其人員。

 

長期以來，社區衛生服務中心在信息安全建設方面，存在重技術輕管理、重產品功能輕安全管理、缺乏整體性信息安全體系考慮等各方面的問題。區域衛生信息中心采用集中管理的信息安全技術及產品的應用，一定程度上可以來解決社區衛生服務中心在網絡傳輸時的信息安全問題。但是僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，仍然無法避免一些信息安全事件的發生。近年來，由于管理不善、操作失誤等原因導致的衛生信息及病患基本信息泄露的安全事件數量不斷攀升，更加劇了社區衛生服務中心需要信息安全管理的迫切性。

 

3 社區衛生服務中心信息安全管理作用

 

社區衛生服務中心信息安全管理的作用體現任以下幾個方面。

 

3.1信息安全管理是社區衛生服務中心組織整體管理的重要的、固有的組織部分，是組織實現中心業務目標的重要保障。在信息時代的今天，信息安全威脅已經成為社區衛生服務中心等醫療機構業務正常運營和持續發展的最大威脅。如在社區衛生服務中心發生的費用結算85%以上通過醫保信息系統來進行，所有的醫生工作站都依托中心服務器來提供數據進行操作，醫技部門也通過信息系統獲取病人信息和傳送結果。一旦信息系統發生故障對于社區衛生服務中心來說是災難性的。因此中心需要信息安全管理，有其必然性。

 

3.2信息安全管理是信息安全技術的融合劑，是各項技術措施能夠發揮作用的重要保障。安全技術是信息安全控制的重要手段，許多信息系統的安全性保障都要依靠技術手段來實現，但光有安全技術還不行，要讓安全技術發揮應有的作用，必然要有適當的管理程序的支持，否則，安全技術職能趨于僵化和失敗。如果說安全技術是信息安全的構筑材料，那么信息安全管理就是融合劑和催化劑，良好的管理可以變廢為寶，使現有的各項技術相互配合發揮應有的作用，而糟糕的管理會使技術措施變得毫無用處。實現信息安全，技術和產品是基礎，管理才是關鍵。在信息安全保障工作中必須管理與技術并重，進行綜合防范，才能有效保障安全，這也是實現信息安全目標的必由之路

 

3.3信息安全管理是預防、阻止或減少信息安全事件發生的重要保障。早期人們對于信息安全的認識主要側重在技術措施的開發和利用上，這種技術主導論的思路能夠解決信息安全的一部分問題，但卻解決不了根本，據權威機構統計表明，信息安全問題大約70%以上是由管理方面原因造成的，大多數信息安全事件的發生，與其說是技術上的原因，不如說是管理不善造成的。因此解決信息安全問題、防止發生信息安全事件不應僅從技術方面著手，同時更應加強信息安全的管理工作。

 

信息安全涉及的范疇非常廣，信息安全不是產品的簡單堆積，也不是一次性的靜態過程，它是人員、技術、操作三者緊密結合的系統工程，是不斷演進、循環發展的動態過程。因此，要求社區衛生服務中心的相關人員正確理解信息安全、理解信息安全管理的關鍵作用，以更好地開展信息安全管理工作。強調信息安全管理的作用，并不是要削弱信息安全技術的作用;開展信息安全管理工作，要處理好管理和技術的關系，要堅持管理與技術并重的原則，這也是信息安全保障工作的主要原則之一。

 

4 社區衛生服務中心信息安全管理控制措施

 

在我國對于信息安全等同采用IS0 27002：2005，命名為《信息技術安全技術信息安全管理實用規則》(GB/T 22081-2008)。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規程、組織結構以及軟件和硬件功能。可見對于社區衛生服務中心的信息安全來說，安全控制措施是必要且十分重要的。其中比較重要的如下：

 

4.1安全方針 社區衛生服務中心的信息安全方針控制目標，是指中心的信息安全方針能夠依據業務的要求和相關法律法規提供管理指導并支持信息安全。社區衛生服務中心信息安全方針文件的內容應包含中心管理者的管理承諾、組織管理信息安全的方法、中心信息安全整體目標和范圍的定義、中心管理者意圖的聲明、控制目標和控制措施的框架、重要安全策略、原則、標準和符合性要求說明、中心信息安全管理的一般和特定職責的定義、支持方針的文件的引用等。

 

4.2信息安全組織 信息安全組織一般分為內部組織和外部組織。社區衛生服務中心內部組織的信息安全控制目標是指在中心內管理信息安全。組織的安全建立在每一位人員不同責任分工的劃分，不同的責任會有不同的工作指導原則。其中應當包括信息安全的管理承諾、信息安全協調、信息安全職責的分配、信息處理的授權、保密協議、信息安全的獨立評審等。社區衛生服務中心外部組織的信息安全控制目標是保持中心被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理的安全。主要包括中心與系統外單位信息通信相關風險的識別、處理相關的安全問題和處理第三方協議中的安全問題等。

 

4.3人力資源安全 人員在中心的信息安全管理中是一個最重要的因素，有資料表明，70%的安全問題是來自人員管理的疏漏，為了對人員有一個有效的管理，需要從任用之前、任用中、任用的終止或變更三項控制目標進行管理。

 

4.3.1任用之前控制是指社區衛生服務中心任用人員之前為了確保人力資源的安全，需考慮到角色是否適合相應崗位，以降低設施被竊、信息泄露和誤用的風險，這一目標的實現需通過角色和職責、審查、任用條款和條件三項控制措施的落實來保障。

 

4.3.2任用中社區衛生服務中心的信息安全控制目標就是確保所有的員工、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險。

 

4.3.3社區衛生服務中心發生任用的終止或變更時，應確保信息的安全不外泄，確保員工、承包方人員和第三方人員以一個規范的方式退出或改變其任用關系。可以通過終止職責、資產的歸還、撤銷訪問權限等控制措施來實現。

 

4.4物理和環境安全 社區衛生服務中心的物理和環境安全可以從安全區域和設備安全來入手管理。定義安全區域是為了防止對中心場所和信息的未授權物理訪問、損壞和干擾?？梢酝ㄟ^設置物理安全邊界、物理入口控制、辦公室房間和設施的安全保護、外部和環境的安全防護、在安全區域工作、公共訪問和交接區安全。設備安全是指防止由于資產丟失、損壞、失竊而危及社區衛生服務中心的資產安全以及信息安全。中心可通過設備安置和保護、支持性設施、布纜安全、設備維護、場所外的設備安全、設備的安全處置和再利用，資產的移動等措施來進行保障。

 

4.5通信和操作管理 社區衛生服務中心的通信和操作管理一般可從操作規程和職責、第三方服務交付管理、系統規劃和驗收、防范惡意和移動代碼、備份、網絡安全管理、介質處置、信息的交換、電子商務服務、監視等方面入手。

 

4.6訪問控制 對于社區衛生服務中心來說，訪問控制可從訪問控制的業務要求、用戶訪問管理、用戶職責、網絡訪問控制、操作系統訪問控制、應用和信息訪問控制、移動計算和遠程工作等控制目標來入手。

 

4.7信息安全事件管理 社區衛生服務中心的信息安全事件管理可以從報告信息安全事態和弱點、信息安全事件和改進的管理兩個控制目標入手進行管理。

 

4.7.1報告信息安全事態和弱點這項控制目標旨在確保中心與信息系統有關的信息安全事態和弱點能夠以某種方式傳達，以便及時采取糾正措施。該目標下有報告信息安全事態和報告安全弱點這兩項控制措施來保障這一目標的實現。①報告信息安全事態控制措施，是指信息安全事態應該盡可能快地通過適當的管理渠道進行報告。實施過程中應建立正式的信息安全事態報告程序，以及在收到信息安全事態報告后采取措施的事件響應和上報程序。②報告安全弱點控制措施，是指中心應要求信息系統和服務的所有職員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。報告機制應盡可能容易、易理解和方便可用。應告知他們在任何情況下，都不應試圖去證明被懷疑的弱點。

 

4.7.2信息安全事件和改進的管理。社區衛生服務中心信息安全事件和改進的管理這一控制目標旨在確保采用一致和有效的方法對信息安全事件進行管理。中心可以用職責和程序的控制措施、對信息安全事件的總結、證據的收集三項控制措施來保障這一目標的實現。①職責和程序的控制措施。它是指中心應當建立管理職責和程序，以確保能對信息安全事件做出快速、有效和有序的響應。該項措施實施時除了對中心的信息安全事態和弱點進行報告外，還應利用對系統、報警和脆弱性的監視來檢測中心信息安全事件。遵循嚴格的信息安全事件管理程序的前提是中心需建立規程以處理不同類型的信息安全事件，如惡意代碼、拒絕服務、信息系統故障和服務丟失、違反保密性和完整性、信息系統誤用等。中心除了考慮正常的應急計劃還要考慮事件原因的分析和確定、遏制事件影響擴大的策略、向合適的機構報告所采取的措施等。②中心對信息安全事件的總結控制措施，是指社區衛生服務中心應有一套機制量化和監視信息安全事件的類型、數量和代價。從信息安全事件評價中獲取的信息應用來識別再發生的事件或高影響的事件。③證據的收集。證據的收集對于社區衛生服務中心來說，是指當中心的一個信息安全事件涉及到訴訟(民事的或刑事的)，需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據，以使證據符合相關訴訟管轄權。過程有：為應對懲罰措施而收集和提交證據，應制定和遵循內部程序，為了獲得被容許的證據，中心應確保其信息系統符合任何公布的標準或實用規則來產生被容許的證據：任何法律取證工作應僅在證據材料的拷貝上進行。

 

4.8業務連續性管理 對于社區衛生服務中心來說業務連續性管理是指防止中心業務中斷，保證中心重要業務流程不受重大故障與災難的影響。業務連續性管理過程中包含信息安全，該控制措施是指應為貫穿于組織的業務連續性開發和保持一個管理過程。解決中心的業務連續性所需的信息安全要求，保護關鍵業務過程免受信息系統重大失誤或災難的影響，并確保他們的及時恢復。應包含中心的信息安全、業務連續性和風險評估、制定和實施包含信息安全的連續性計劃、業務連續性計劃框架、測試、維護和再評估業務連續性計劃等內容。

 

5 社區衛生服務機構信息安全的展望

 

對于社區衛生服務中心來說信息安全保障不僅僅是一門技術學科，信息安全保障應綜合技術、管理和人。在中心的管理上，信息安全保障應考慮建立綜合的信息化的組織管理體系，明晰相應的崗位職責、規章制度并嚴格執行等等。在人員上，應加強所有使用信息系統人員的安全意識和技能，以及中心從事信息系統專業人員的專業技能和能力。社區衛生服務中心的信息安全保障亦不是一種項目性的暫時行為，而是融入信息系統生命周期的全過程的保障。信息安全保障不是一種打補丁，頭疼醫頭、腳疼醫腳的臨時行為，而是一種系統化、體系化的保障過程。信息安全保障的目的不僅僅是保障信息系統本身，信息安全保障的根本目的是通過保障信息系統進而保障運行于信息系統之上的中心業務系統。信息安全保障應以業務為主導、以社區衛生服務中心的使命、社會職責和社會服務性為出發點和落腳點。社區衛生服務中心的信息安全保障不僅僅是孤立的自身的問題，信息安全保障是一個社會化的、需要各方參與的工作。信息安全保障不僅僅是孤立的自身的問題，信息系統需要電信、電力等基礎設施的支持、信息系統需要承擔保密、公共安全、國家安全等社會職責，信息安全保障工作是一個社會化的、需要各方參與的綜合的工作。社區衛生服務中心的信息安全保障是主觀和客觀的結合。沒有絕對的安全，信息安全保障并不提供絕對的安全，信息安全保障是討論風險和策略，討論適度安全。因此，它是一個需要持之以恒和不斷完善與發展的工作。

信息安全方針范文4

隨著信息技術的不斷發展，我國信息安全管理工作質量不斷提高，但是，目前仍然存在著一些問題，阻礙了信息安全管理的發展。首先，我國信息安全管理法規體系不夠完善，相關方面的法律規定較少，導致信息安全管理的實施得不到有效的法律保障。其次，我國信息安全管理片面注重技術層面的維護，缺乏有效的管理手段，信息安全管理比較薄弱。最后，信息安全管理主要采取被動手段，科學性不高，不能實現全面性管理，而且一些高層領導對信息安全管理工作的重視程度偏低，信息安全管理工作比較薄弱。

二、信息安全管理體系的構建

2.1策劃準備

在構建信息安全管理體系前，需要做好各種準備工作，包括計劃的制定、相關培訓安排、組織調研活動、職責劃分等內容。

2.2確定范圍

根據組織中IT技術水平、信息資產、工作人員等實際情況，進行信息安全管理體系適用的安全范圍，既可以選擇部分區域，也可選擇整個區域。確定合理的安全范圍后，信息的安全管理更加方便。

2.3風險評估

構建信息安全管理體系時，要做好信息處理、存儲等工作的安全性調查，預測可能發生的危害信息安全性的事件，并對可能性危害事件會造成的影響做出判斷，然后根據評估結果做好信息風險管理工作。

2.4建立框架

要完成信息安全管理體系的構建，離不開信息安全管理框架的建立，這就需要我們要做到全方面考慮，根據信息系統的實際情況，結合組織特點、技術水平等條件建立相應的信息清單，對信息管理做好風險分析、需求分析等內容，并提出相應的問題解決方案，進一步保證信息的安全性。

2.5文件編寫

要構建信息安全管理體系，還需要對范圍確定、安全方針、風險評估等內容進行相應的文件編寫，建立各種文檔，為風險管理、體系改進等工作提供依據。

2.6體系運行

以上步驟完成后，信息安全管理體系開始運行。在運行時期，我們要進一步提高體系運作力度，使體系的整體功能得到有效發揮。一旦發現體系存在問題，要盡快找出解決措施，及時解決相關問題，不斷完善信息安全管理體系。

2.7體系審核

信息安全管理體系的審核主要是對體系進行客觀評價，通過內部審核及外部審核兩種方式對體系的運行及相關文件進行全方面檢查。其中內部審核主要是組織內部的自我審核，外部審核主要由外部相應的組織對體系進行檢查，通過內外審核進一步確定信息安全管理體系的安全性。

三、總結

信息安全方針范文5

【 關鍵詞 】 信息安全；電力企業；風險評估；管理模式

1 引言

在如今的信息化社會中，信息通過共享傳遞實現其價值。在信息交換的過程中，人們肯定會擔心自己的信息泄露，所以信息安全備受關注，企業的信息安全就更為重要了。但是網絡是一個開放互聯的環境，接入網絡的方式多樣，再加上技術存在的漏洞或者人們可能的操作失誤等，信息安全問題一刻不容忽視。尤其是電力，是國家規定的重要信息安全領域。所以電力企業要把信息安全管理體系的建設，作為重要的一環納入到整個企業管理體系中去。

2 電力企業信息管理體系建設的依據

關于企業的安全管理體系方面的標準有很多。英國BSI/DISC的BDD信息管理委員會制定的安全管理體系主要包含兩個部分內容：信息安全管理實施規則和信息安全管理體系規范。信息安全管理實施規則是一個基礎性指導文件，里面有10大管理項、36個執行的目標和127種控制的方法，可以作為開發人員在信息安全管理體系開發過程中的一個參考文檔。信息安全管理體系規范則詳細描述了在建立、施工和維護信息安全管理體系過程的要求，并提出了一些具體操作的建議。

國際標準化組織也了很多關于信息安全技術的標準，如ISO x系列、ISO/IEC x系列等。我國也制定了一系列的信息安全標準，如GB 15851―1995。

關于企業信息安全管理體系方面的標準眾多，如何針對企業自身實際情況選擇合適的參考標準很重要，尤其是電力企業有著與其他企業不同的一些特殊性質，選擇信息安全體系建設的參考標準更要謹慎。我國電力企業已經引入了一些國際化標準作為建立和維護企業運轉的保證，關于信息安全體系的標準也應納入到保證企業運轉的一系列參考中去。電力企業總體應有一致的安全信息管理體系參考標準，但是具體地區的公司又有著本身自己的特殊環境，所以在總體一致的信息安全標準的情況下，也應該根據企業自身地區、人文、政策等的不同制定一些企業內部自己信息安全標準作為建立、實施和維護信息安全管理體系的依據。信息安全管理體系顧全大局又要有所側重的體現電力企業安全標準的要求。

3 信息安全管理體系里的重要環節

3.1 硬件環境要求

信息安全管理體系并沒有特別要求添加什么特別的設備，只是對企業用到的設備做一些要求。電力企業一般采用內外網結合的方式，內外網設備要盡量進行物理隔離。企業每個員工基本都有自己的移動設備，如手機等，為了增加信息安全的系數，企業可以限制公司設備的無線網絡拓展。另外，實時監控系統也應該覆蓋企業的重要設備，監控硬件設備的安全。

3.2 軟件環境要求

在企業設備（主要是計算機）上部署相關軟件環境是信息安全管理體系中最重要的部分。比如防病毒軟件的部署、桌面系統弱口令監控軟件的部署等，以此防止網絡攻擊或者提高安全系數。另外，企業設備所用系統的安全漏洞修復、數據的加密解密、數據的備份恢復及數據傳輸通道的加密解密等問題，都在信息安全管理體系設計的考慮范疇。

3.3 企業員工管理

盡管現在一直倡導智能化，但是企業內進行設備等操作的主體還是員工。不管是對設備終端操作來進行信息的首發，還是對企業軟硬件系統進行維護工作，都是有員工來進行的。所以，對企業內部員工進行信息安全培訓，提高員工的信息安全防范意識，讓員工掌握一定的信息安全防范與處理手段是非常重要的事情。針對不同的職位，在員工上崗前應該進行相關的信息安全方面的培訓，然后對培訓結果進行考核，不合格的人員不準上崗。在崗的人員也要定期進行培訓與考核。另外，如果有條件的話，企業應該定期（例如每年）進行一次信息安全的相關演習。

另外，電力企業有些項目是外包給其他相應公司的，這時候會有施工人員和駐場人員在電力企業，對這些人員也應該進行電力企業信息安全的培訓。

3.4 信息安全管理體系的風險系數評估

風險評估在信息安全管理體系中是確定企業信息安全需求的一個重要途徑，它是對企業的信息資產所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用下所帶來的風險可能性的評測。風險評估的主要任務是：檢測評估對象所面臨的各種風險，估計風險的概率和可能帶來的負面影響的程度，確定信息安全管理體系承受風險的能力，確定不同風險發生后消減和控制的優先級，對消除風險提出建議。在信息安全管理體系的風險系數評估過程中，形成《風險系數評估報告》、《風險處理方案》等文檔，作為對信息安全管理體系進行調整的參考。風險系數的評估要盡可能全面的反映企業的信息安全管理體系，除了常規手段，也可以使用一些相應的軟件工具的結果作為參考。另外很值得注意的是企業的員工對風險的理解，企業員工對他們所操作的對象有比較深刻的理解，對其中可能存在的不足也有自己的見解，在風險系數評估的過程中，可以進行一些員工的問卷調查等，把員工對風險的認識納入風險評估的考慮范疇。

企業的設備會老舊更換，員工也會更換，所以企業的信息安全是動態的，因此風險評估工作也要視具體情況定期進行，針對當前情況作評估報告，然后制定相應的風險處理方案。還有，之所以要建立信息安全管理體系，其中很重要的一點就是體系內各個模塊的結合，信息安全管理體系的風險評估與關鍵內容的實時監控就應該結合起來。

為了降低信息安全管理體系的風險系數，提升信息安全等級，要做的工作很多。滲透測試就是其中很有必要的一項工作。滲透測試是測試人員通過模擬惡意攻擊者的攻擊方式，來評估企業計算機網絡系統安全的一種評測方法。這個測試過程會對系統的可知的所有弱點、技術方面的缺陷或者漏洞等作主動的分析。滲透測試對于網絡信息安全的組織具有實際應用價值。隨著技術的不斷進步，可能還會出現其他的更有價值的信息安全技術，作為信息安全備受矚目的電力企業，應當時刻關注相關技術的進展，并及時將它們納入企業信息安全管理體系中來。

3.5 信息安全管理體系的管理模式

文章前面提到企業信息安全是動態的，所以信息安全管理體系需要建立一個長效的機制，針對最新的情況及時對自身作出調整，使信息安全管理體系有效的運行?，F在一般會采用PDCA循環過程模式：計劃，依照體系整個的方針和目標，建立與控制風險系數、提高信息安全的有關的安全方針、過程、指標和程序等；執行：實施和運作計劃中建立的方針、過程、程序等；評測：根據方針、目標等，評估業績，并形成報告，也就是文章前面說到的風險系數評估；舉措：采取主動糾正或預防措施對體系進行調整，進一步提高體系運作的有效性。這四個步驟循環運轉，成為一個閉環，是信息安全管理體系得到持續的改進。

4 重要技術及展望

4.1 安全隔離技術

電力企業的信息網絡是由內外網兩部分組成，從被防御的角度來看的話，內網的主要安全防護技術為防火墻、桌面弱口令監控、入侵檢測技術等；而主動防護則主要采用的是安全隔離技術等。安全隔離技術包括物理隔離、協議隔離技術和防火墻技術。一般電力企業采用了物理隔離與防火墻技術，在內網設立防火墻，在內外網之間進行物理隔離。

4.2 數據加密技術

企業的數據在傳輸過程中一般都要進行加密來降低信息泄露的風險?？梢愿鶕娏ζ髽I內部具體的安全要求，對規定的文檔、視圖等在傳輸前進行數據加密。尤其是電力企業通過外網傳輸的時候，除了對數據進行加密外，還應該在鏈路兩端進行通道加密。

4.3 終端弱口令監控技術

終端設備眾多，而且是業務應用的主要入口，所以終端口令關乎業務數據的安全以及整個系統的正常運轉。如果終端口令過于簡單薄弱，相當于沒有設定而將設備暴露。終端的信息安全是電力企業信息安全的第一道防線，因此采用桌面系統弱口令監控技術來加強這第一道防線的穩固性對電力企業的信息安全非常重要。

電力企業信息安全管理體系是一個復雜的系統，包含眾多的安全技術，如數據備份及災難恢復技術、終端安全檢查與用戶身份認證技術、虛擬專用網技術、協議隔離技術等。凡是與信息安全相關的技術，電力企業都應當關注，并根據企業自身的情況決定是否將之納入到信息安全管理體系中去。

智能化已成為不管是研究還是社會應用的熱門詞匯。電力企業的信息安全管理體系是否可以智能化呢？不妨做一個展望，電力企業的信息安全管理體系有了很強的自我學習與自我改進的能力，在信息安全環境越來越復雜，信息量越來越龐大的情況下是否會更能發揮信息安全管理體系的作用呢？這應該是值得期待的。

5 防病毒軟件部署

電力企業信息安全管理體系有很多軟件系統的部署，如防病毒軟件部署、桌面弱口令監控系統部署、系統安全衛士部署等。但是它們的部署情況類似，這里用防病毒軟件的部署來展示電力企業信息安全管理體系中軟件系統的部署情況。如圖1所示為防病毒軟件的部署框架。

殺毒軟件種類有很多，這里以賽門鐵克殺毒軟件為例。企業版的賽門鐵克防病毒軟件系統相比單機版增加了網絡管理的功能，能夠很大程度地減輕維護人員的工作量。為了確保防病毒軟件系統的穩定運行，在電力企業內部正式使用時，盡量準備一立的服務器作為防病毒軟件專用的服務器。

服務器安裝配置好賽門鐵克防病毒軟件后，可以遠程控制客戶端與下級升級服務器的軟件安裝與升級。

電力企業內網可能是禁止接入外網的，這樣的話，防病毒軟件的更新可能無法自動完成。防病毒軟件需要升級的時候，維護人員在通過外網在相應網址下載賽門鐵克升級包，然后通過安全U盤拷貝到防病毒軟件系統專用服務器進行升級操作。在圖1中，省電力公司的防病毒管理控制臺獲得升級包可以下發給下級升級服務器和客戶端進行防病毒軟件系統的自動升級更新。圖1是一個簡單的框圖，如果電力企業的內網規模很大的話，還可以更多級地分布部署。

6 結束語

電力企業的信息安全與企業的生產與經營管理密切相關，是企業整個管理系統的一部分。信息安全管理體系是一個整體性的管理工作，把體系中涉及的內容統一進行管理，讓它們協調運作，實現信息安全管理體系的功能。電力企業信息安全的建立與體系不斷的改進定能穩定、有效地維護企業的信息安全。

參考文獻

[1] 王志強，李建剛.電網企業信息安全管理體系建設[J].浙江省電力公司，2008，6（3）：26-29.

[2] 陳賀，宮俊峰.淺析信息安全體系如何建立[J].中國管理信息化，2014，17（1）：74-76.

[3] 郭建，顧志強.電力企業信息安全現狀分析及管理對策[J].信息技術，2013（1）：180-187.

[4] 沈軍.火力發電廠信息你安全體系構建與應用[J].電力信息通信技術，2013，11（8）：103-108.

[5] 左鋒.信息安全體系模型研究[J].信息安全與通信保密，2010，01（10）：68-71.

[6] 楊柳.構建供電企業信息安全體系[J].電腦知識與技術，2005（29）.

[7] 曹鳴鵬， 趙偉， 許林英. J2EE技術及其實現[J]. 計算機應用，2001， 21（10）： 20-23.

[8] 江和平.淺談網絡信息安全技術[J].現代情報學，2004（14）：125-127.

作者簡介：

崔阿軍（1984-），男，甘肅平涼人，碩士研究生，工程師；主要研究方向和關注領域：電力信息通信安全技術研究。

張馴（1984-），男，江蘇揚州人，本科，工程師；主要研究方向和關注領域：電力信息通信安全技術研究。

李志茹（1984-），女，山東平度人，碩士研究生，工程師；主要研究方向和關注領域：信息化建設及安全技術。

龔波（1981-），男，湖南新邵人，本科，工程師；主要研究方向和關注領域：電力信息化建設及安全技術。

信息安全方針范文6

由于審計職業的特殊性，審計人員往往經常出差到異地工作，筆記本電腦已經成為審計人員隨身攜帶的必備工具；筆記本數據的安全又成為審計人員實現計算機數據安全的關鍵。筆者從“硬件”、“軟件”以及“制度”三方面談談如何實現計算機數據的安全。筆記本電腦，應從整體上制訂集體的安全方案，至于個人應根據自身的情況加以區別，但都應包括防盜、防止系統崩潰、防止黑客攻擊和病毒感染以及數據備份，認證加密等。

一、“軟”環境應放在安全意識的首位

從軟件以及相關配置方面，是電腦操作者最關注的事，也是與其最密切相關的。審計人員的筆記本電腦應設置BIOS開機密碼、硬盤密碼，并且使用加密軟件對重要數據進行加密保護外，還要安裝防病毒和防火墻軟件，或者將機密數據保存在移動硬盤、U盤或者刻錄到光盤等存儲介質上加以備份，以防不測。具體應注意以下幾方面：

（一）從開機開始，檢查筆記本電腦的安全保護性能是否完備。這其中又應設置開機密碼，且開機密碼應經常更換和無規律可循。

（二）如有可能要設置硬盤鎖定密碼，確保筆記本電腦被盜后其中所存儲的重要數據不會落入他人之手。大多數筆記本電腦采用密碼機制對數據提供基本的保護措施，所以，最簡單的措施是設置開機密碼。但只設置開機密碼還不能保證數據的安全性，因為竊密人可以將硬盤拆卸下來拿到另外一臺計算機上讀取原始數據，所以還要設置硬盤鎖定密碼，這樣，該筆記本電腦在每次啟動時都必須使用密碼對硬盤解密，這樣一來即使竊密人將硬盤拔插到另一臺計算機上也很難讀取原始數據。

（三）筆記本電腦所使用的操作系統應具有較好的穩定性，同時應使用具有安全防護性能的操作系統，最好在筆記本上安裝WINDOWS2000作為操作系統平臺，并將分區設置為NTFS格式，然后設置登錄密碼，并確保在不使用時處于登錄前狀態，以防止他人乘機竊取筆記本電腦上的機密信息。

（四）對筆記本電腦中所存儲的重要文件采用加密存放的方式進行保護。由于盜竊者攻擊破壞手段的不斷發展，僅僅依靠密碼并不足以阻止經驗豐富的竊密人擦除系統配置信息（包括密碼在內），而后侵入系統，進而獲取其中存放的機密信息。所以，要切實保護筆記本電腦中存儲的機密數據的安全，最好使用磁盤加密程序，如ISS LIMITED公司出品的IPROTECT，至少對于最重要的數據要采取以上保護措施（當然也不要對所有對象都加密，這樣會降低計算機性能）。

（五）時常進行數據備份，以防在萬一丟失筆記本電腦的情況下減小損失。為預防意外，應對筆記本電腦上的數據存有備份，這樣即使筆記本電腦丟失，仍能保證信息不至于丟失，將損失降至最低。

（六）使用數據恢復軟件，減少誤刪除所帶來的影響，建議使用FINAL DATA2.0以上版本。同時對于重要數據要作到徹底的刪除，市場上相關軟件也較多，另外新版的殺毒軟件有許多也擁有上述功能，可以加以發掘使用。

二、硬件方面是實現數據安全的捷徑

如果可能，可以考慮通過購買相關的硬件提高審計人員筆記本電腦整體的安全性，防盜和防泄密。其中電腦防盜鎖簡單實用，成為首選。電腦防盜鎖是專門為保護電腦而設計的。通常筆記本電腦身上都會有一個被稱為“SECURITY SLOT（安全接口）”的橢圓形防盜鎖孔，旁邊有一個鎖形標志，這是KENSINGTON公司的專利標志，現在已經成為電腦業界的標準，目前市場上主流的筆記本產品、PDA、投影儀等都有這種防盜鎖孔。我們常用的筆記本電腦用的防盜鎖孔有線纜鎖和扣式鎖兩種。線纜相對比較便宜且耐用，扣式鎖功能較多但價格較高。

如果審計人員經常在人多的場所使用筆記本電腦，存在向外泄密的可能性，會對計算機數據的安全帶來一定的威脅，可以選配防泄密濾鏡。他是一塊暗色的塑料屏幕，將他用膠帶粘在液晶屏后就只有筆記本正前方的人才能看見屏幕上的內容，而旁邊的人只看見黑屏，從而防止了信息泄密。對于高級用戶，除了上述措施外，建議選購帶有安全解決方案、IC智能卡、指紋識別系統等產品。

當然，移動辦公的安全防護是一個系統工程，也是一個體系，不但包含信息在存儲過程中的安全保護，還包括信息在傳輸流轉過程中的安全防護問題，單是針對移動辦公中的筆記本電腦的信息安全問題，也有很多方面還需要進一步引起重視。

三、安全意思必須通過制度和相應的規則上加以規范

信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。目前，我國的信息安全管理主要依靠傳統的管理方式與技術手段來實現，傳統的管理模式缺乏現代的系統管理思想，用于管理現代信息往往不適用，而技術手段又有局限性。保護信息安全，國際公認最有效的方式是采用系統的方式（管理+技術），即確定信息安全管理方針和范圍，在風險分析的基礎上選擇適宜的控制目標與方式來進行控制。我們在制訂部門信息安全制度或規則時，具體可以考慮具體研究BS7799。BS7799是英國標準協會（BRITISH STANDARDS INSTITUTION，簡稱BSI）制訂的信息安全管理體系標準，它還包括兩部門，其第一部分《信息安全管理實施規則》于2000年底已經被國際標準化組織（ISO）納入世界標準，編號為ISO／IEC17799。

BS7799廣泛地涵蓋了所有的信息安全議題，如安全方針的制定、責任的歸屬、風險的評估、定義與強化安全參數及訪問控制，甚至包含防病毒的相關策略等，其中對于信息安全，特別是計算機數據安全有明確的規定。BS7799已經成為國際公認的信息安全實施標準，適用于各種產業與組織。