对集团公司信息安全工作的建议.doc

专业资料专业资料参考首选关于集团公司信息安全建设的建议(提纲) (分子公司名称) 一、本公司系统信息安全现状二、关于集团公司信息安全建设指导思想、目标、原则的建议三、关于集团公司信息安全策略的建议四、关于集团公司信息安全体系的建议五、关于集团公司信息安全建设内容的建议(一)信息安全管理体系方面的建议-2- (二)信息安全技术体系方面的建议(三)信息系统运维安全方面的建议(四)信息项目建设与报废安全方面的建议(五)信息安全平台建设方面的建议(六)其它方面的建议六、关于集团公司信息安全建设保障措施的建议 1、加强对集团公司信息化建设的领导。由集团公司领导挂帅,成立“信息安全管理组织”,推行信息安全管理制度。这个组织是集团公司在信息系统安全方面的最高权力组织。信息安全是所有管理-3- 层成员所共有的责任,一个管理组织应确保有明确的安全目标。信息化建设必须由集团公司领导亲自抓、亲自参与,否则投入再大,做的再好,也有可能失败。 2、建立信息系统的安全风险评估机制。网络信息系统的安全建设应该建立在风险评估的基础上, 这是信息化建设的内在要求,集团公司主管部门和运营、应用单位都必须做好本系统的信息安全评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,才能避免重复建设和投资的浪费。 3 、提供足够的资金保障。集团公司应该在每年的预算中规划出一定数额的资金,专款专用,以保证集团信息化建设资金投入的需要。同时,集团公司在进行基本建设和技术改造时,要充分考虑信息化的需求。 4 、加强设备保障。设备指与信息化相关的所有软硬件设备。引进的硬件和软件应统一纳入职能部门固定资产管理范畴。引进软件要和软件正版化规划一起考虑;引进硬件和计算机设备升级换代一起考虑,实现设备管理规范化。确保集团信息化建设必须的设备及时到位。 5 、加强集团信息化人才队伍的建设。制定吸引、稳定信息化人才的措施,以确保人才不外流。建立多层次、多渠道、重实效的信息化人力资源培养制度和考核机制。-4- 七、关于《集团公司网络与信息安全手册》修订的建议 1、制定《集团公司网络与信息安全手册》应包含以下主要内容:有主要领导负责的逐级安全保护管理责任制,配备专职的信息安全管理人员,各级职责划分明确,并有效开展工作;明确运行和使用部门或岗位责任制,建立信息安全管理规章制度;在职工群众中普及网路与信息安全知识,对重点岗位职工进行专门培训和考核;采取必要的安全技术措施;对出现的网络与信息安全问题应有文档记录和应对措施;定期进行网络与信息安全检查、风险分析及出现的隐患进行整改;实行信息安全等级保护制度。 2、在《集团公司网络与信息安全手册》中, 还应制定系统运行情况记录制度。1)、数据量处理:包括系统每天运行的时间、处理内容、数据吞吐量等内容,这些资料是反应信息系统软硬件功能和状态最基本的数据。2)、数据处理效率:如果信息安全管理人员“感觉”数据处理速度明显变慢, 那么就可以通过对历史记录的分析,找出可能的原因,并一一排除。3)、系统的故障-5- 及维修情况:无论系统故障大小,都应该及时地记录故障发生的时间、故障的现象、故障发生时的工作环境、处理方法、处理结果、处理人员、善后措施、原因分析等,这有利于信息管理人员对系统的评价及提出进一步扩展完善建议。 3 、集团公司网络与信息安全手册要不断的补充和完