導(dǎo)語：如何才能寫好一篇信息安全審核制度，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

1信息系統(tǒng)安全等級保護(hù)測評依據(jù)的標(biāo)準(zhǔn)

GB/T28449—2012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》規(guī)定了信息系統(tǒng)安全等級保護(hù)測評工作的測評過程，既適用于測評機(jī)構(gòu)、信息系統(tǒng)的主管部門及運營使用單位對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行的安全測試評價，也適用于信息系統(tǒng)的運營使用單位在信息系統(tǒng)定級工作完成之后，對信息系統(tǒng)的安全保護(hù)現(xiàn)狀進(jìn)行的測試評價，獲取信息系統(tǒng)的全面保護(hù)需求。GB/T28448—2012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》針對信息系統(tǒng)中的單項安全措施和多個安全措施的綜合防范，對應(yīng)地提出單元測評和整體測評的技術(shù)要求，用以指導(dǎo)測評人員從信息安全等級保護(hù)的角度對信息系統(tǒng)進(jìn)行測試評估。GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全保護(hù)等級信息系統(tǒng)的最低保護(hù)要求，即基本安全要求，包括基本技術(shù)要求和基本管理要求，該標(biāo)準(zhǔn)適用于指導(dǎo)不同安全保護(hù)等級信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。

2整合實施的思路

2.1審核與測評的過程整合整合是為了在組織內(nèi)部建立一套信息安全管理體系及制度，而且該制度既符合信息安全管理體系又符合信息系統(tǒng)安全等級保護(hù)的管理要求，并給組織帶來收益，避免不必要的沖突和資源浪費。根據(jù)對審核和測評的過程分析得知審核從表面上執(zhí)行了測評的管理內(nèi)容，但從整個審核和測評活動可得出，兩者的活動內(nèi)容和組織方式非常相似，因此具備很強(qiáng)的整合條件，兩者的具體活動如表1所示。

2.2審核與測評的控制措施整合整合GB/T22239—2008中的控制措施部分與GB/T22080—2008的附錄A完全可行，且整合后可避免多余、重復(fù)的管理資源。如GB/T22239—2008三級信息系統(tǒng)對資產(chǎn)管理的要求和GB/T22080—2008中的“A.7資產(chǎn)管理”基本保持了一致，具體標(biāo)準(zhǔn)條款映射如表2所示。若組織內(nèi)存在等級保護(hù)三級或三級以上的信息系統(tǒng)，則該組織應(yīng)建立信息安全管理制度體系，這與組織單獨建立ISMS所達(dá)到的目標(biāo)基本一樣，從整合的角度來看，通過實施整合，可以取得“一舉兩得”的效果。具體的整合檢查表如表3所示。

3結(jié)語

篇2

由英標(biāo)管理體系認(rèn)證有限公司(BSI)開發(fā)、由國際標(biāo)準(zhǔn)化組織2006年頒布的兩個標(biāo)準(zhǔn)：ISO20000和ISO27001為迎接管理挑戰(zhàn)，建立信息安全體系和IT服務(wù)管理體系提供了理論指導(dǎo)框架。

ISO20000&ISO27001認(rèn)證項目于2007年5月8日正式啟動，計劃在2007年“十一”前完成。

公司聘請了英標(biāo)管理體系認(rèn)證有限公司(BsI)和中國信息安全認(rèn)證中心(ISCCC)擔(dān)任認(rèn)證審核工作，聘請北京趨勢引領(lǐng)信息咨詢有限公司作為顧問公司協(xié)助項目執(zhí)行。管理體系的建立依據(jù)ISO9001／ISO20000／ISO27001的標(biāo)準(zhǔn)要求，實施采取總部信息技術(shù)部先通過認(rèn)證和管理覆蓋全部31個分支機(jī)構(gòu)IT相關(guān)崗位的策略。項目分為現(xiàn)狀調(diào)查和差距評估階段、體系建制階段、試運行階段、認(rèn)證審核四階段。

在體系建制階段，公司管理層明確了信息技術(shù)“規(guī)范、安全、高效、創(chuàng)新”的管理方針。經(jīng)公司會議決定對原有組織機(jī)構(gòu)進(jìn)行了適當(dāng)調(diào)整，新增專門負(fù)責(zé)信息安全和IT服務(wù)質(zhì)量工作的崗位，在信息技術(shù)部內(nèi)落實每個管理流程的具體角色。為保證項目的順利開展和兩個標(biāo)準(zhǔn)的導(dǎo)入，信息技術(shù)部組織了全國范圍內(nèi)IT相關(guān)崗位的信息安全與IT服務(wù)質(zhì)量意識培訓(xùn)。

在咨詢公司的協(xié)助下，梳理業(yè)務(wù)流程，發(fā)現(xiàn)業(yè)務(wù)操作問題和管理盲點，并依據(jù)標(biāo)準(zhǔn)要求和公司管理需要進(jìn)行體系制度的建立和完善。新的管理體系架構(gòu)由基于服務(wù)的、橫向的管理流程，基于業(yè)務(wù)處理的、縱向的管理規(guī)程，以及融入到流程、規(guī)程、辦法、手冊中的信息安全管控措施等三部分內(nèi)容組成。

流程是依據(jù)ISO20000標(biāo)準(zhǔn)和信息技術(shù)部管理要求制定的；規(guī)程是依據(jù)ISO900I標(biāo)準(zhǔn)和信息技術(shù)部業(yè)務(wù)要求制定的；信息安全管控措施是依據(jù)ISO27001并結(jié)合信息技術(shù)部的信息安全要求，以及相關(guān)的法律法規(guī)制定的。

由于項目時間緊湊，體系試運行階段與體系建制階段采取疊接進(jìn)行的策略。試運行階段要求全體人員參與，旨在檢查新的管理體系的執(zhí)行的有效性和適宜性。到了9月，審核結(jié)果的宣布是激動人心的時刻，中國信達(dá)資產(chǎn)管理公司歷史性地成為中國金融界第一家同時實施并獲得ISO20000和ISO27001雙認(rèn)證的機(jī)構(gòu)。是信達(dá)公司信息化建設(shè)進(jìn)程中的又一次飛躍。

整合的ISO9001、ISO20000和ISO27001管理體系更加注重服務(wù)質(zhì)量、信息安全，更加強(qiáng)調(diào)了規(guī)范化操作，并且形成PDCA持續(xù)改進(jìn)的企業(yè)文化。

篇3

 

1.引言

 

省級電網(wǎng)公司信息安全防護(hù)工作事關(guān)電力安全生產(chǎn)和電網(wǎng)公司穩(wěn)定運營，意義重大[1]。由于大多數(shù)業(yè)務(wù)應(yīng)用已經(jīng)省級集中，常規(guī)信息安全技術(shù)監(jiān)督工作多被認(rèn)為是省級公司層面的問題。省級單位監(jiān)督力量不足，久而久之，信息安全監(jiān)督工作流于形式，檢查前重視、檢查后忽視，信息安全地區(qū)差異大，網(wǎng)絡(luò)末端安全防護(hù)不足。究其根源在于：(1)信息安全技術(shù)監(jiān)督未成體系，監(jiān)督力量多依靠公司級監(jiān)督隊伍，市、縣公司專(兼)職信息安全員未被賦予督查的權(quán)力，導(dǎo)致基層單位日常督查的力度和效果不夠，各項技術(shù)措施落實情況管控不足。(2)基層單位地區(qū)經(jīng)濟(jì)水平、單位領(lǐng)導(dǎo)信息安全重視程度、信息從業(yè)人員技術(shù)水平存在差異，造成信息安全意識宣貫和管理手段不同，且各單位缺乏安全技術(shù)交流。

 

為此，本文結(jié)合作者單位實際，提出一種電力企業(yè)信息安全技術(shù)監(jiān)督體系，從組織架構(gòu)、工作組織形式、主要技術(shù)手段、人力資源資格審核與培養(yǎng)以及制度規(guī)范等5個方面具體分析工作機(jī)制，并總結(jié)其實際工作成效。

 

2.電力企業(yè)信息安全技術(shù)監(jiān)督體系的設(shè)計

 

2.1 組織架構(gòu)

 

信息安全技術(shù)監(jiān)督不僅僅是公司層面的問題，為充分發(fā)揮信息安全監(jiān)督體系的整體作用，促進(jìn)信息安全管理水平的不斷提升，電力企業(yè)應(yīng)建立貫穿所屬各單位的信息安全監(jiān)督網(wǎng)絡(luò)，健全完善信息安全技術(shù)督查工作體系，如圖1所示。

 

2.1.1 省公司級信息安全監(jiān)督網(wǎng)絡(luò)

 

由省級單位信息管理部門、省級信息技術(shù)研究單位信息安全分管領(lǐng)導(dǎo)和專職組成。主要負(fù)責(zé)貫徹落實上級單位有關(guān)信息通信系統(tǒng)安全的方針政策、規(guī)范和標(biāo)準(zhǔn);組織公司信息通信安全技術(shù)督查工作，督促有關(guān)單位及時有效整改，建立常態(tài)信息通信安全技術(shù)督查機(jī)制;根據(jù)公司實際情況，組織制定公司信息通信安全技術(shù)督查工作實施細(xì)則、考核細(xì)則;健全公司信息通信安全技術(shù)督查執(zhí)行隊伍，定期組織督查執(zhí)行人員的培訓(xùn)和考核，負(fù)責(zé)督查資質(zhì)證書的認(rèn)定工作。

 

2.1.2 市公司級信息安全監(jiān)督網(wǎng)絡(luò)

 

由市級單位信息管理部門信息安全分管領(lǐng)導(dǎo)和信息安全專職組成，主要負(fù)責(zé)依據(jù)信息安全技術(shù)督查有關(guān)政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)程、制度，執(zhí)行公司級信息安全督查執(zhí)行隊伍安排的信息安全技術(shù)督查和跨單位互查工作;開展本單位運維范圍內(nèi)的日常督查，將運行維護(hù)階段的督查內(nèi)容融入日常安全工作中，對督查要求執(zhí)行情況進(jìn)行檢查，及時發(fā)現(xiàn)問題并提出處理意見和技術(shù)措施建議;參與本單位信息通信系統(tǒng)重大技術(shù)措施與技術(shù)改造方案的制訂，督查、促進(jìn)和檢查本單位范圍內(nèi)的技術(shù)標(biāo)準(zhǔn)、反事故措施、改造方案的貫徹和執(zhí)行。

 

2.1.3 縣級信息安全監(jiān)督網(wǎng)絡(luò)

 

由縣級單位信息管理部門信息安全分管領(lǐng)導(dǎo)和專(兼)職信息安全員組成，主要負(fù)責(zé)開展本單位日常督查，將運行維護(hù)階段的督查內(nèi)容融入各自單位的日常安全工作中，對本單位運行維護(hù)階段的督查要求執(zhí)行情況進(jìn)行檢查，及時發(fā)現(xiàn)問題并提出處理意見和技術(shù)措施建議。

 

2.2 工作組織形式

 

監(jiān)督工作應(yīng)包括年度督查、日常督查、專項督查三種類型，以遠(yuǎn)程檢查、區(qū)域互查、現(xiàn)場抽查等多種形式加強(qiáng)監(jiān)督工作，監(jiān)測分析當(dāng)前信息通信安全形勢，及時發(fā)現(xiàn)和消除安全隱患。

 

2.2.1 年度督查

 

公司級信息安全監(jiān)督網(wǎng)應(yīng)根據(jù)全年信息化和通信工作情況，按照橫向到邊、縱向到底的原則，每年至少實施兩次由公司級和市級督查執(zhí)行隊伍聯(lián)合開展的年度督查工作，以區(qū)域互查的方式，全方位的查找信息系統(tǒng)安全隱患，督促隱患整改。

 

2.2.2 日常督查

 

市級和縣級督查執(zhí)行隊伍應(yīng)在日常工作中履行信息安全管理員的職責(zé)，每月對本單位的信息內(nèi)外網(wǎng)網(wǎng)絡(luò)與信息系統(tǒng)、桌面終端、存儲介質(zhì)等進(jìn)行全方位督查。

 

2.2.3 專項督查

 

根據(jù)具體信息項目或信息安全工作需求，由省公司級督查執(zhí)行隊伍對信息系統(tǒng)的規(guī)劃、設(shè)計、實施、運行維護(hù)、廢棄等過程，安全評估、等級測評等信息安全技術(shù)服務(wù)開展專項督查。

 

2.3 主要技術(shù)要求

 

2.3.1 風(fēng)險評估及漏洞掃描

 

通過定期開展的信息安全風(fēng)險評估及漏洞掃描，對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)、核心路由器、交換機(jī)等網(wǎng)絡(luò)及設(shè)備、數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器等關(guān)鍵服務(wù)器，業(yè)務(wù)流程、安全策略的安全漏洞，安全威脅及潛在影響進(jìn)行分析，并提出合理的安全建議和解決方案;對全網(wǎng)網(wǎng)絡(luò)設(shè)備、服務(wù)器、桌面終端進(jìn)行漏洞掃描，及時發(fā)現(xiàn)各種安全漏洞，并根據(jù)危害程度以保證系統(tǒng)資產(chǎn)的機(jī)密性、完整性和可用性的基本安全屬性[2]。

 

2.3.2 應(yīng)用系統(tǒng)安全測評

 

每年各單位都有新應(yīng)用系統(tǒng)上線運行，由于系統(tǒng)開發(fā)人員信息安全意識不足，存在不少安全漏洞。按照信息安全技術(shù)監(jiān)督工作要求，在系統(tǒng)上線前由信息安全技術(shù)監(jiān)督人員參與信息系統(tǒng)技術(shù)措施與技術(shù)改造方案的制訂，審核信息安全技術(shù)與工作內(nèi)容。在系統(tǒng)投運前開展系統(tǒng)穩(wěn)定性、安全性測試。通過上線前安全測評及時發(fā)現(xiàn)并排除應(yīng)用系統(tǒng)存在的安全隱患。

 

2.3.3 安全監(jiān)控及遠(yuǎn)程檢查

 

利用信息外網(wǎng)安全監(jiān)測系統(tǒng)、信息運維綜合監(jiān)管系統(tǒng)、信息安全綜合工作平臺等各類安全技術(shù)手段，對各單位互聯(lián)網(wǎng)出口、桌面終端、移動存儲介質(zhì)、弱口令等開展安全監(jiān)控;利用互聯(lián)網(wǎng)出口部署的入侵監(jiān)測設(shè)備和上網(wǎng)行為管理系統(tǒng)，對互聯(lián)網(wǎng)攻擊情況和上網(wǎng)行為進(jìn)行內(nèi)容審計和處理。

 

2.4 人力資源資格與培養(yǎng)

 

2.4.1 持證上崗

 

各級督查執(zhí)行人員需持證上崗，經(jīng)公司統(tǒng)一組織的安全督查培訓(xùn)和考核后，分級別發(fā)放《信息安全技術(shù)督查證》。公司級督查執(zhí)行人員還應(yīng)通過注冊信息安全專業(yè)人員(CISP)培訓(xùn)及認(rèn)證。

 

2.4.2 技術(shù)培訓(xùn)

 

邀請系統(tǒng)內(nèi)、外信息安全領(lǐng)域?qū)＜?，定期開展信息安全技術(shù)培訓(xùn)和講座，宣貫國家和公司信息安全形勢和要求，學(xué)習(xí)當(dāng)前最新信息安全技術(shù)和裝備，分析典型信息安全風(fēng)險隱患案例。

 

2.5 制度規(guī)范

 

制度規(guī)范是信息安全監(jiān)督工作執(zhí)行的依據(jù)，根據(jù)國網(wǎng)公司制定并下發(fā)的信息安全政策標(biāo)準(zhǔn)和管理規(guī)定，公司編制和實施細(xì)則和《信息安全督查作業(yè)指南》，對日常督查工作中各個流程的工作要求、工作模板進(jìn)行描述。

 

3.工作成效

 

公司信息安全督查體系建立完善期間正值“三集五大”建設(shè)的關(guān)鍵時期，各單位業(yè)務(wù)切換、人員調(diào)動頻繁，管理難度大為增加，如果沒有很好的監(jiān)督體系，各項管理制度和技術(shù)措施的落實，特別是管理末端桌面終端的安全漏洞就會暴露出來。經(jīng)過短短幾個月監(jiān)督工作的開展，各單位信息安全工作井然有序，沒有發(fā)生一起因信息安全引發(fā)的信息系統(tǒng)運行事故。

 

(1)通過各種形式督查工作的開展，對檢查暴露的安全隱患積極整改，有效消缺，保障了公司發(fā)展、運營和改革工作;通過對新上線系統(tǒng)的應(yīng)用系統(tǒng)安全測評，有力支撐了改革期間大量應(yīng)用的開發(fā)和運行工作。(2)通過持證上崗和各種培訓(xùn)工作，培養(yǎng)了一支信息安全人才隊伍。目前所有公司級督查人員全部通過了CISP認(rèn)證，市、縣級專職督查人員逐步實現(xiàn)持證上崗，提高了公司各單位信息安全從業(yè)人員的技術(shù)素質(zhì)。(3)通過區(qū)域間安全互查，加強(qiáng)了各單位信息安全經(jīng)驗交流，對消除地區(qū)差異，以弱帶強(qiáng)，提升公司整體信息安全防護(hù)能力具備積極意義。

 

4.結(jié)論

 

通過信息安全技術(shù)監(jiān)督體系的建立和實現(xiàn)，實現(xiàn)了貫穿公司各單位的信息安全督查網(wǎng)絡(luò)，各地區(qū)信息安全從業(yè)人員技術(shù)水平平衡發(fā)展，監(jiān)督和保障信息安全技術(shù)措施和管理要求有效落實，推進(jìn)了公司整體信息安全管理水平。

篇4

關(guān)鍵詞：行政事業(yè)單位 傳統(tǒng)模式 網(wǎng)上報銷

為全面推進(jìn)行政事業(yè)單位內(nèi)部控制建設(shè)，規(guī)范行政事業(yè)單位內(nèi)部經(jīng)濟(jì)和業(yè)務(wù)活動，提高內(nèi)部控制的針對性和有效性，財政部了《關(guān)于全面推進(jìn)行政事業(yè)單位內(nèi)部控制建設(shè)的指導(dǎo)意見》（財會[2015]24號），對健全內(nèi)部控制體系，加強(qiáng)內(nèi)部權(quán)力制衡，有效控制財務(wù)風(fēng)險提出了更高的要求。同時，隨著計算機(jī)信息處理技術(shù)的飛速發(fā)展，使得行政事業(yè)單位的報銷模式由傳統(tǒng)模式向信息化趨勢發(fā)展。傳統(tǒng)的報銷模式效率低下，費用控制管理滯后，已無法適應(yīng)當(dāng)前工作的需要，而網(wǎng)上報銷模式能夠提升工作效率，完善內(nèi)部控制體系，符合更加長遠(yuǎn)的發(fā)展需要。

一、傳統(tǒng)報銷模式的弊端

傳統(tǒng)的報銷模式以紙質(zhì)版報銷單為介質(zhì)，職工在費用發(fā)生之后，需要填寫各類紙質(zhì)版報銷單，隨后請業(yè)務(wù)分管領(lǐng)導(dǎo)以及財務(wù)分管領(lǐng)導(dǎo)簽批，最后將報銷單移交財務(wù)部門進(jìn)行報銷。這種傳統(tǒng)的報銷模式存在以下幾點弊端：

（一）業(yè)務(wù)審批效率低下。在傳統(tǒng)報銷模式下，業(yè)務(wù)人員需要手工填寫報銷單之后找各級領(lǐng)導(dǎo)簽字審批，當(dāng)領(lǐng)導(dǎo)外出工作時，報銷業(yè)務(wù)就得不到及時處理，影響報銷進(jìn)度，過多占用工作時間，而有效工作時間的浪費將直接導(dǎo)致行政事業(yè)單位組織運營成本的增加。

（二）財務(wù)審核效率低下。報銷人員將大量報銷單據(jù)送到財務(wù)部門以后，財務(wù)人員既要審核業(yè)務(wù)審批流程是否合理，又要審核原始憑證，復(fù)核各項金額，過多地忙碌于機(jī)械檢查復(fù)核，弱化了財務(wù)分析、內(nèi)部控制等管理工作，不利于財務(wù)管理水平的提高。

（三）無法有效落實內(nèi)部控制。在傳統(tǒng)報銷模式下，報銷流程無法固化，報銷人員如不熟悉流程，很可能導(dǎo)致報銷審批流程不符合內(nèi)控規(guī)定，而財務(wù)人員機(jī)械化的工作，也可能導(dǎo)致報銷流程出現(xiàn)錯誤，繼而出現(xiàn)遺漏審批、越級審批等現(xiàn)象，無法有效落實內(nèi)部控制。

二、網(wǎng)上報銷模式的特點與優(yōu)勢

（一）網(wǎng)上報銷模式的特點。網(wǎng)上報銷通過線上單據(jù)填寫、線上業(yè)務(wù)審批、線上財務(wù)審核，形成了一套跨部門開放式的財務(wù)管理流程。在此模式下，報銷人員可以在任意時間任意地點提交報銷申請，并以附件形式上傳相關(guān)原始憑證，相關(guān)審批領(lǐng)導(dǎo)可在任意時間任意地點以數(shù)字簽名的方式進(jìn)行業(yè)務(wù)審批，財務(wù)人員在審核相關(guān)原始憑證及報銷金額后，點擊生成報銷單據(jù)。作為對傳統(tǒng)報銷模式的創(chuàng)新與探索，具有以下幾點鮮明的特征：

1.報銷流程的可視性。每一位報銷人員均可在提交報銷流程后，在任意時間登陸網(wǎng)上報銷系統(tǒng)，實時查看待辦的報銷事項在整個報銷流程過程中的狀態(tài)，例如：報銷流程已經(jīng)完成了哪幾個環(huán)節(jié)，目前在哪個環(huán)節(jié)等待審批，接下來還需要經(jīng)過幾個環(huán)節(jié)的流轉(zhuǎn)等。各業(yè)務(wù)分管領(lǐng)導(dǎo)及財務(wù)分管領(lǐng)導(dǎo)可以實時查看報銷人員上傳的原始憑證，并通過待辦事項了解還有哪些流程及事項需要審批。

2.報銷流程的可關(guān)聯(lián)性。在網(wǎng)上報銷系統(tǒng)中，單一的報銷流程可以與事先完成的審批流程或其他報銷流程相互關(guān)聯(lián)。通過科學(xué)地設(shè)定審批流程、審批權(quán)限、預(yù)算額度等關(guān)鍵內(nèi)控節(jié)點，規(guī)范了審批流程的流轉(zhuǎn)程序及審批權(quán)限，固化了預(yù)算數(shù)據(jù)的使用范圍及使用額度，使得每一個報銷流程都“事先審批，有章可循”。

3.流程審批的數(shù)字化。在網(wǎng)上填寫報銷單據(jù)以后，報銷人員無需再找相關(guān)領(lǐng)導(dǎo)簽字審批，系統(tǒng)自動將流程流轉(zhuǎn)給業(yè)務(wù)分管領(lǐng)導(dǎo)及財務(wù)分管領(lǐng)導(dǎo)審批，各審批領(lǐng)導(dǎo)利用數(shù)字簽名審批各類業(yè)務(wù)，安全的數(shù)字簽名相比傳統(tǒng)模式下的手工簽名，不僅快速高效，而且更加安全可靠，從源頭上有效杜絕了冒充簽字的風(fēng)險，也避免了財務(wù)人員的審核困擾。

4.報銷信息的公開性。在網(wǎng)上報銷系統(tǒng)中，經(jīng)過授權(quán)的報銷人員可以在線查詢各類報銷信息及流程，對行政事業(yè)單位會計核算及財務(wù)管理的規(guī)范性和精確性提出了更高的要求。通過網(wǎng)上報銷系統(tǒng)使報銷信息得到了高度共享及有效監(jiān)督，形成了一個多部門、多用戶，各級領(lǐng)導(dǎo)、全體職工共同參與的監(jiān)督體系，促進(jìn)財務(wù)信息在單位內(nèi)部公開，提升了財務(wù)人員的信息公開意識，推動了財務(wù)信息公開平臺的建設(shè)。

5.財務(wù)信息的及時性。在傳統(tǒng)模式下，經(jīng)濟(jì)業(yè)務(wù)發(fā)生后的報銷、核算、記賬，是對已經(jīng)發(fā)生的經(jīng)濟(jì)業(yè)務(wù)的事后反映，如需要報表數(shù)字的匯總數(shù)，則需要等待更長的時間，信息反饋具有滯后性。而在網(wǎng)上報銷模式下，只要報銷流程一經(jīng)啟動，財務(wù)信息能夠及時快速地進(jìn)入到系統(tǒng)中，當(dāng)需要某個財務(wù)信息時，只需要調(diào)用系統(tǒng)中的匯總數(shù)即可，實現(xiàn)了財務(wù)動態(tài)數(shù)據(jù)的有效更新，保證了財務(wù)信息的及時性。

（二）網(wǎng)上報銷模式的優(yōu)勢。網(wǎng)上報銷模式是以計算機(jī)信息技術(shù)為手段，以提高工作效率為中心，體現(xiàn)集約化管理的現(xiàn)代財務(wù)管理模式。它既是一個信息系統(tǒng)，又是一種管理模式；既是一種技術(shù)創(chuàng)新，更是一種管理理念的更新。相對于傳統(tǒng)模式，網(wǎng)上報銷模式有以下幾大優(yōu)勢：

1.有效完善內(nèi)部控制。通過將內(nèi)部控制流程以及財務(wù)報銷制度“固化”到網(wǎng)上報銷系統(tǒng)中，在系統(tǒng)中按照預(yù)設(shè)金額報銷，按照預(yù)設(shè)流程審批，使得業(yè)務(wù)審批更趨規(guī)范化，報銷流程更趨標(biāo)準(zhǔn)化，全面杜絕了遺漏審批、越級審批等現(xiàn)象，進(jìn)一步提升了行政事業(yè)單位財務(wù)管理和會計核算的規(guī)范性，加強(qiáng)了內(nèi)部控制的執(zhí)行力度。

2.切實提高工作效率。網(wǎng)上報銷系統(tǒng)通過將報銷人、審批人、財務(wù)人員三者有效地相互協(xié)調(diào)，形成了一個科學(xué)有效的報銷流程。報銷人員提交報銷申請后，不再需要拿紙質(zhì)的報銷單找各級審批領(lǐng)導(dǎo)簽字，而是通過網(wǎng)上報銷系統(tǒng)提請領(lǐng)導(dǎo)審批，并且可以隨時查看報銷流程的流轉(zhuǎn)進(jìn)度。財務(wù)人員也不再需要對報銷審批流程進(jìn)行審核，大大提高了業(yè)務(wù)人員和財務(wù)人員的工作效率。

3.有效改變財務(wù)管理理念。網(wǎng)上報銷系統(tǒng)的深入應(yīng)用，有效地將務(wù)人員的工作重心由財務(wù)核算轉(zhuǎn)向優(yōu)化財務(wù)管理水平。在減輕日常核算工作量以后，財務(wù)人員能夠?qū)⒏嗟臅r間精力投入到財務(wù)管理事務(wù)中，使會計信息更加及時有效，保證會計信息能夠科學(xué)指導(dǎo)行政決策，也切實提高了財務(wù)人員的整體素質(zhì)。

4.促進(jìn)單位內(nèi)部財務(wù)信息公開。隨著財政部門規(guī)范和加強(qiáng)財務(wù)信息公開的相關(guān)文件出臺，各級政府部門的主體意識也日漸增強(qiáng)，增加預(yù)決算公開信息，加大預(yù)決算公開力度，增進(jìn)社會公眾對政府的理解，有效提升政府公信力。通過網(wǎng)上報銷系統(tǒng)的運行，各行政事業(yè)單位能夠科學(xué)、公開、透明地在單位內(nèi)部實現(xiàn)財務(wù)信息公開，通過財務(wù)信息的高度共享，形成單位內(nèi)部切實有效的立體監(jiān)督格局，有效增進(jìn)單位職工的責(zé)任感、使命感和內(nèi)部凝聚力。

三、網(wǎng)上報銷系統(tǒng)運行過程中面臨的挑戰(zhàn)以及改進(jìn)措施

（一）梳理完善相關(guān)內(nèi)控制度，把控流程節(jié)點。財會[2015]24號文要求各行政事業(yè)單位健全內(nèi)部控制體系，加強(qiáng)內(nèi)部權(quán)力制衡及監(jiān)督檢查工作。目前各單位內(nèi)部控制制度體系不甚完善，落后于政府預(yù)算管理制度、財政國庫管理制度等，并影響了制度的執(zhí)行效率和科學(xué)完整，因此，在設(shè)計網(wǎng)上報銷流程時，應(yīng)結(jié)合本單位具體情況，更新工作方法及管理理念，全面梳理業(yè)務(wù)流程，完善風(fēng)險評估機(jī)制，準(zhǔn)確把握各報銷業(yè)務(wù)的授權(quán)事項環(huán)節(jié)，找準(zhǔn)內(nèi)控流程關(guān)鍵點，將科學(xué)完善的內(nèi)控制度嵌入到網(wǎng)上報銷系統(tǒng)中去。

（二）實現(xiàn)網(wǎng)上報銷流程的有效關(guān)聯(lián)，提升財務(wù)服務(wù)水平。在網(wǎng)上報銷系統(tǒng)中，單一的報銷流程無法達(dá)到行政事業(yè)單位有效內(nèi)部控制的要求，不同流程之間的有效相互關(guān)聯(lián)，是構(gòu)建整個報銷系統(tǒng)的核心工作之一。各個報銷流程都需要與事先的資金預(yù)算審核流程相關(guān)聯(lián)?？茖W(xué)地設(shè)置各類單據(jù)及關(guān)聯(lián)流程，能有效地事先控制費用，從源頭杜絕資金風(fēng)險，真正發(fā)揮出預(yù)算管理的作用，增強(qiáng)經(jīng)濟(jì)業(yè)務(wù)活動事先審批的規(guī)范性，保證了網(wǎng)上報銷系統(tǒng)的良性運行，也有效提升了財務(wù)部門的服務(wù)水平。

（三）建立健全信息安全制度，保障信息安全。網(wǎng)上報銷系統(tǒng)既涉及資金安全又涉及會計信息安全，對網(wǎng)絡(luò)信息安全的要求很高，但目前行政事業(yè)單位普遍存在網(wǎng)絡(luò)監(jiān)督技術(shù)相對落后、信息網(wǎng)絡(luò)系統(tǒng)不完善以及信息安全規(guī)章制度不合理等問題。因此，要努力做好數(shù)據(jù)信息安全維護(hù)工作，申請信息安全管理認(rèn)證，建立健全信息安全管理規(guī)章制度。在網(wǎng)上報銷系統(tǒng)中嚴(yán)格設(shè)置審批權(quán)限，實現(xiàn)系統(tǒng)內(nèi)部有效牽制，并深入宣傳，有效提高全員安全防范意識。

（四）注重提高人員綜合素質(zhì)，網(wǎng)上報銷循序漸進(jìn)。將信息技術(shù)與財務(wù)管理相結(jié)合，并應(yīng)用于行政事業(yè)單位財務(wù)工作涉及整個管理模式的變革，除了需要借鑒和學(xué)習(xí)先進(jìn)的技術(shù)和管理理念，還需要通過培訓(xùn)提高業(yè)務(wù)人員和財務(wù)人員的C合素質(zhì)。例如：推出詳細(xì)的用戶操作手冊，指導(dǎo)相關(guān)人員盡快適應(yīng)和熟悉網(wǎng)上報銷系統(tǒng)的流程和操作方法；在實施階段通過傳統(tǒng)紙質(zhì)報銷和網(wǎng)上報銷同時進(jìn)行，完成流程測試和業(yè)務(wù)評價，逐步發(fā)現(xiàn)問題并及時改進(jìn)。

（五）拓展財務(wù)管理信息化平臺職能，實現(xiàn)向財務(wù)共享模式的最終轉(zhuǎn)變。網(wǎng)上報銷系統(tǒng)應(yīng)與財務(wù)軟件、預(yù)算管理、銀企直連等系統(tǒng)實現(xiàn)無縫對接，但目前，行政事業(yè)單位的系統(tǒng)開發(fā)還處于分散階段，各個系統(tǒng)獨立進(jìn)行，網(wǎng)上報銷系統(tǒng)僅僅是原有的傳統(tǒng)報銷流程再造，前端沒有和預(yù)算管理相連接，后端沒有和資金支付及賬務(wù)處理系統(tǒng)相連接，隨著信息技術(shù)的進(jìn)一步發(fā)展，在財政部門的支持下，應(yīng)繼續(xù)拓展平臺職能，實現(xiàn)與預(yù)算管理系統(tǒng)相結(jié)合，實時了解預(yù)算使用情況；與資金支付系統(tǒng)相結(jié)合，直接將報銷金額轉(zhuǎn)入報銷人員銀行卡中；與賬務(wù)處理系統(tǒng)相結(jié)合，直接生成會計憑證，簡化財務(wù)工作，提高工作效率。

參考文獻(xiàn)：

[1]徐永凡.網(wǎng)上報銷的基本內(nèi)容及應(yīng)注意的幾個問題[J].商業(yè)會計，2009，（24）：49-50.

[2]張擁軍.行政事業(yè)單位網(wǎng)上報銷模式探討[J].財會通訊，2011，（8）：70-71.

[3]莊麗.科研事業(yè)單位網(wǎng)上報銷財務(wù)控制系統(tǒng)基礎(chǔ)建設(shè)[J].財會研究，2013，（23）：227.

篇5

關(guān)鍵詞：信息安全 教育 企業(yè) 培訓(xùn)

中圖分類號：G658.3 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2013）07（b）-0017-02

信息安全問題或許能夠得到企業(yè)的認(rèn)識，但更多的企業(yè)內(nèi)部員工并沒有認(rèn)識到信息安全的重要性。甚至一些企業(yè)都沒有預(yù)見到信息安全可能是阻礙企業(yè)長期發(fā)展的關(guān)鍵性問題。對此，企業(yè)普及信息安全的教育，確保企業(yè)信息的機(jī)密性、完整性和可用性變的越來越重要。

1 信息安全教育的必要性

信息安全對于企業(yè)來說是十分重要的?，F(xiàn)在因為信息安全問題而造成經(jīng)濟(jì)損失的企業(yè)很多，其原因基本都是對信息安全的不夠重視，而對于制造業(yè)來說信息安全則尤為重要。制造業(yè)面臨著很多的問題，譬如說生產(chǎn)的產(chǎn)品都大同小異，沒有技術(shù)方面的優(yōu)勢，產(chǎn)品屬于勞動密集型的產(chǎn)品，在強(qiáng)手如林的市場經(jīng)濟(jì)中可以獲得經(jīng)濟(jì)利益，卻不能夠?qū)崿F(xiàn)企業(yè)的長足發(fā)展。對于此問題，各制造業(yè)都會將眼光放在產(chǎn)品的創(chuàng)新上，通過產(chǎn)品的研發(fā)設(shè)計優(yōu)勢、技術(shù)優(yōu)勢來沖破密集型產(chǎn)品給企業(yè)發(fā)展帶來的阻礙。但是，如果企業(yè)保證產(chǎn)品優(yōu)勢的信息被別人竊取或是模仿，最終就可能導(dǎo)致產(chǎn)品的大眾化，使企業(yè)產(chǎn)品的優(yōu)勢不復(fù)存在。即便企業(yè)知道信息安全的重要性，但企業(yè)內(nèi)部員工如果沒認(rèn)識到信息安全的重要性和嚴(yán)重性，也可能導(dǎo)致信息的流失，從而損害企業(yè)的利益。對此，制造業(yè)更應(yīng)該對信息安全問題加以重視。

2 信息安全的內(nèi)容

信息安全大致可以分為兩個方面一個是管理層方面；另一個是網(wǎng)絡(luò)方面。本段將會對這兩個方面所包含的內(nèi)容作一下概述，以方便企業(yè)在進(jìn)行信息安全管理制度的建立上可以進(jìn)行全方位的掌控。

2.1 管理層方面

管理層方面的信息安全大致也包括物理層方面和管理層方面。

（1）物理層方面的信息安全主要是指物理環(huán)境建設(shè)安全尤其是信息中心物理環(huán)境安全。

環(huán)境安全包括防火防水防自然災(zāi)害和物理災(zāi)害等。在環(huán)境安全中，企業(yè)必須要有足夠的認(rèn)識，機(jī)房建設(shè)要嚴(yán)格按國家機(jī)房建設(shè)標(biāo)準(zhǔn)進(jìn)行，做好防雷、防水、防靜電等安全措施，從而杜絕各類安全隱患的發(fā)生。對企業(yè)內(nèi)部員工要加強(qiáng)計算機(jī)安全使用規(guī)程的教育，確保計算機(jī)在安全的環(huán)境中使用，保證人長時間離開計算機(jī)時斷開電源以確保安全。

（2）管理層方面的信息安全主要是指企業(yè)內(nèi)部的管理制度建立是否完善，執(zhí)行效果如何，企業(yè)內(nèi)部員工對于信息安全的認(rèn)識程度，企業(yè)內(nèi)部員工職業(yè)道德的培養(yǎng)，企業(yè)內(nèi)部員工信息安全的教育培訓(xùn)，網(wǎng)絡(luò)技術(shù)人員技術(shù)能力的審核與培訓(xùn)以及企業(yè)內(nèi)部部門的分工等。

企業(yè)必須要建立完善的信息安全管理制度，這個制度是由一個總的管理制度和各部門的管理制度和監(jiān)督制度共同構(gòu)成的。每一個部門根據(jù)信息資產(chǎn)內(nèi)容的不同應(yīng)該有自己相應(yīng)的信息安全管理制度以確保制度的行之有效。其次要設(shè)有完善的監(jiān)督機(jī)制來配合管理制度的實施，一個制度的建立，必須要能夠執(zhí)行下去，且執(zhí)行過程是有效的才能夠發(fā)揮管理制度的功效。而監(jiān)督機(jī)制就是對制度執(zhí)行情況的進(jìn)行監(jiān)測，對執(zhí)行的效果進(jìn)行審核作用的機(jī)制。

其次是對于企業(yè)員工的職業(yè)素養(yǎng)和信息安全的教育培訓(xùn)，這方面將在下一部分進(jìn)行具體論述。

最后就是對于企業(yè)內(nèi)部各部門之間的分工。在一個企業(yè)內(nèi)部是有一套自己的工作流程的，但是這個工作流程是伴隨著信息的流動產(chǎn)生的。所以在信息流動的過程中需要將信息轉(zhuǎn)變的過程進(jìn)行分工，以此來保障信息在局部過程中的完整性，以防止一個環(huán)節(jié)出現(xiàn)問題導(dǎo)致全局崩潰的情況發(fā)生。對此，企業(yè)內(nèi)部不但要細(xì)化工作流程，對于信息轉(zhuǎn)化過程也要進(jìn)行分工，以防止問題的發(fā)生。

2.2 網(wǎng)絡(luò)層方面

網(wǎng)絡(luò)層方面的信息安全主要是指網(wǎng)絡(luò)，系統(tǒng)和應(yīng)用三個方面。在網(wǎng)絡(luò)層方面的信息安全不只存在于IT部門，它應(yīng)該在整個企業(yè)內(nèi)部的員工中都得到重視。

（1）網(wǎng)絡(luò)。

主要是包括網(wǎng)絡(luò)上的信息以及設(shè)備的安全性能。其中可細(xì)化為網(wǎng)絡(luò)層身份的認(rèn)證，系統(tǒng)的安全，信息數(shù)據(jù)傳輸過程中的保密性，真實性和完整性以及網(wǎng)絡(luò)資源的訪問控制等。而這些網(wǎng)絡(luò)層的信息安全出現(xiàn)問題，可能導(dǎo)致有網(wǎng)絡(luò)黑客的侵入，計算機(jī)犯罪，信息丟失，信息竊取等威脅的存在。

（2）系統(tǒng)。

造成系統(tǒng)層信息安全威脅的原因，可能出在兩個方面：操作系統(tǒng)本身就存在安全隱患，在配置操作系統(tǒng)的過程中存在安全配置的問題。

（3）應(yīng)用。

在應(yīng)用層影響信息安全的問題上，是指應(yīng)用軟件以及一些業(yè)務(wù)往來數(shù)據(jù)的安全，例如即時通訊系統(tǒng)和電子郵件等。當(dāng)然，也包括一些病毒的入侵，對于系統(tǒng)所造成的威脅。

3 信息安全教育

3.1 保密協(xié)議

在信息安全教育培訓(xùn)的第一步需要對保密協(xié)議進(jìn)行細(xì)致設(shè)計。有的企業(yè)認(rèn)為，保密協(xié)議應(yīng)該只針對于不同部門間需要保密的內(nèi)容進(jìn)行設(shè)計，使不同部門的員工簽署不同的保密協(xié)議。這是不妥的想法，而且也比較繁雜。雖然不同部門間員工經(jīng)常涉及到的信息保密不同，但有可能員工會有不同部門間的調(diào)配或者是不同部門間信息的相互獲取。所以在保密協(xié)議上要讓員工簽署的是整個企業(yè)內(nèi)所有需要保密的內(nèi)容都要進(jìn)行保密協(xié)議的確認(rèn)。

有些企業(yè)認(rèn)為保密協(xié)議的簽署應(yīng)該是在員工熟悉信息安全制度和進(jìn)行安全教育培訓(xùn)之后再進(jìn)行。這也是不妥的想法，因為在員工進(jìn)入公司的那一刻開始，他就開始接觸企業(yè)內(nèi)的信息，所以需要員工在簽署勞動合同的同時就要進(jìn)行保密協(xié)議的簽署。

在新員工簽署保密協(xié)議的時候，企業(yè)的人力資源部門如果沒有對新員工講解企業(yè)保密協(xié)議，新員工對保密協(xié)議的內(nèi)容都不了解而盲目簽署，這使保密協(xié)議形同虛設(shè)，并不能發(fā)揮真正的作用，新員工對于信息安全的重要性也就得不到足夠的重視，所以必須認(rèn)真講解保密協(xié)議內(nèi)容后，使員工理解保密協(xié)議的重要性再進(jìn)行簽署。

3.2 信息安全管理制度

信息安全管理制度確立以后，需要對員工進(jìn)行信息安全制度的培訓(xùn)。在培訓(xùn)過程中，企業(yè)不光要對于員工本崗位信息安全內(nèi)容作介紹，對于其他部門信息安全內(nèi)容也要做介紹，以確保員工形成信息安全的意識。在企業(yè)內(nèi)部，很多員工對于信息安全的意識不夠，甚至認(rèn)為企業(yè)的信息根本就沒有什么重要性，在工作外的時間里隨意的就將企業(yè)的一些重要信息透露出去從而可能導(dǎo)致企業(yè)受到損失。對此，加強(qiáng)企業(yè)內(nèi)部員工的信息安全教育培訓(xùn)是十分重要的。其中培訓(xùn)可以分為兩個部分。

（1）對于企業(yè)內(nèi)部所有員工進(jìn)行信息安全意識的教育培訓(xùn)。

（2）對于企業(yè)內(nèi)部的信息技術(shù)人員進(jìn)行相關(guān)技術(shù)知識的教育培訓(xùn)。

3.3 員工職業(yè)素養(yǎng)的教育

在企業(yè)內(nèi)部對員工的職業(yè)素養(yǎng)也需要進(jìn)行培訓(xùn)。譬如對于一些業(yè)務(wù)員來說，職業(yè)素養(yǎng)的培訓(xùn)是非常重要的，業(yè)務(wù)員手中掌握的業(yè)務(wù)信息對于企業(yè)來說是至關(guān)重要的信息，如果這方面的信息出現(xiàn)問題就可能導(dǎo)致企業(yè)業(yè)務(wù)的流失，以及業(yè)務(wù)的持續(xù)性中斷。所以企業(yè)要對內(nèi)部員工的職業(yè)素養(yǎng)進(jìn)行培訓(xùn)，從而促使員工清楚保證企業(yè)的信息安全也是對一個員工職業(yè)素養(yǎng)的基本要求。

3.4 普及計算機(jī)及網(wǎng)絡(luò)知識的教育

企業(yè)內(nèi)部員工根據(jù)職能的不同對于計算機(jī)熟悉程度的要求也是不同的。對于普通的辦公室職員來說，會簡單的基本操作就可以了。但是，如果從信息安全的角度來講的話，員工只會基本的操作是遠(yuǎn)遠(yuǎn)不夠的，必須要普及網(wǎng)絡(luò)安全等方面的知識。譬如在計算機(jī)旁盡量不要有水或飲料的出現(xiàn)，因為有可能因為員工的不小心而將水灑在計算機(jī)上，從而導(dǎo)致計算機(jī)的短路等情況的發(fā)生。還有，員工在使用U盤的時候，有可能將家里或是其他計算機(jī)上的病毒帶到企業(yè)內(nèi)部，導(dǎo)致企業(yè)的計算機(jī)被病毒入侵，促使信息的安全受到威脅。所以說，對于企業(yè)內(nèi)部的員工，應(yīng)該普及計算機(jī)及網(wǎng)絡(luò)知識的教育和培訓(xùn)，以確保信息的安全，從而促使員工有更高的信息安全意識。

4 結(jié)語

在企業(yè)當(dāng)中，對于企業(yè)內(nèi)部員工普及信息安全的教育是十分重要的。一個企業(yè)僅有對信息安全的意識是不足夠的，它需要建立完善的信息安全管理制度，通過完善的信息安全管理制度去強(qiáng)制員工履行其信息安全的義務(wù)。其次，企業(yè)應(yīng)該對員工進(jìn)行信息安全教育培訓(xùn)，從信息安全知識、員工職業(yè)素養(yǎng)以及計算機(jī)及網(wǎng)絡(luò)知識的培訓(xùn)來對員工進(jìn)行深層次信息安全的教育。只有員工有了信息安全意識，才能夠使整個企業(yè)具備防范信息安全威脅的能力。

參考文獻(xiàn)

[1] 陳華.美國高校信息安全管理體系及其啟示[J].科教導(dǎo)刊，2013（1）.

[2] 范映紅.關(guān)于大學(xué)生信息安全教育問題的思考[J].學(xué)理論，2012（29）.

[3] 劉飛.對高校信息安全教育之思考[J].群文天地，2012（2）.

篇6

論文摘要:作為未來最適應(yīng)時代要求的政府工作形態(tài)，電子政務(wù)建設(shè)是我國當(dāng)前信息化工作的重，點，未來政府辦會發(fā)展的趨勢。本文探論了綜合電子政務(wù)平臺的棍念、結(jié)構(gòu)和相關(guān)技術(shù)，分析了電子政務(wù)所面臨的安全威脅，并提出了相應(yīng)的解決方案。

1綜合電子政務(wù)平臺概述

    電子政務(wù)是指政府機(jī)構(gòu)應(yīng)用信息技術(shù)提高政府事務(wù)處理的信息流效率，對政府機(jī)構(gòu)和職能進(jìn)行優(yōu)化，改善政府組織和公共管理能力。通常由核心網(wǎng)絡(luò)、接人網(wǎng)絡(luò)及訪問網(wǎng)絡(luò)三部分組成。建設(shè)內(nèi)容一般包括:電子政務(wù)網(wǎng)絡(luò)平臺、政府門戶網(wǎng)站、電子政務(wù)主站點、“一站式”行政審批系統(tǒng)、視頻會議系統(tǒng)、公文交換和信息報送系統(tǒng)、電子郵件系統(tǒng)、辦公自動化系統(tǒng)等。

    電子政務(wù)網(wǎng)絡(luò)平臺網(wǎng)絡(luò)結(jié)構(gòu)中，核心網(wǎng)絡(luò)擁有重要的信息資源，并處理政府部門間的核心業(yè)務(wù)。政府部門間的數(shù)據(jù)交換流程是閉環(huán)的，即任何一個節(jié)點既是用戶又是數(shù)據(jù)源。因此，核心網(wǎng)絡(luò)節(jié)點之間的業(yè)務(wù)流程應(yīng)該是高速、嚴(yán)密、安全的，并且有嚴(yán)格的審核機(jī)制。核心網(wǎng)絡(luò)與接人網(wǎng)絡(luò)形成上下級關(guān)系的協(xié)同工作平臺，進(jìn)行信息、數(shù)據(jù)的交換。它們之間的信息往來必須具備信任安全體系。政府核心網(wǎng)絡(luò)面向社會公眾提供信息服務(wù)，對外宣傳政府信息，與訪問網(wǎng)絡(luò)建立連接。

2綜合電子政務(wù)平臺的安全風(fēng)險

2.1網(wǎng)絡(luò)安全域的劃分和控制問題

    電子政務(wù)中的信息涉及國家秘密、國家安全，因此它需要絕對的安全。但是同時電子政務(wù)現(xiàn)在很重要的發(fā)展方向是要為社會提供行政監(jiān)管的渠道，為社會提供公共服務(wù)，如社保醫(yī)保、大量的公眾咨詢、投訴等等，它同時又需要一定程度的開放。因此如何合理地劃分安全域顯得非常重要。

2.2內(nèi)部監(jiān)控、審核問題

    目前絕大部分單位都沒有系統(tǒng)可以實時地對內(nèi)部人員除個人隱私以外的各項具體操作進(jìn)行監(jiān)控和記錄，更不用談對一些非法操作進(jìn)行屏蔽和阻斷了。

2.3電子政務(wù)的信任體系問題

    電子政務(wù)要做到比較完善的安全保障體系，第三方認(rèn)證是必不可少的。只有通過一定級別的第三方認(rèn)證，才能說建立了一套完善的信任體系。

2 .4數(shù)字簽名(簽發(fā))問題

    在電子政務(wù)中，要真正實行無紙化辦公，很重要的一點是實現(xiàn)電子公文的流轉(zhuǎn)，而在這之中，數(shù)字簽名(簽發(fā))問題又是重中之重。

2.5電子政務(wù)的災(zāi)難響應(yīng)和應(yīng)急處理問題

    很多單位在進(jìn)行網(wǎng)絡(luò)規(guī)劃的時候，沒有考慮到作為系統(tǒng)核心部分一一數(shù)據(jù)庫本身的安全問題，完全依賴干整個網(wǎng)絡(luò)的防護(hù)能力，一旦網(wǎng)絡(luò)的安全體系被穿破或者直接由內(nèi)部人員利用內(nèi)網(wǎng)用戶的優(yōu)勢進(jìn)行破壞，“數(shù)據(jù)”可以說無任何招架之力

3綜合電子政務(wù)平臺安全體系建設(shè)方案

3 .1技術(shù)保障體系

    技術(shù)保障體系是安全管理體系的重要組成部分。它涉及兩個層面的問題，一是信息安全的核心技術(shù)和基本理論的研究與開發(fā)，二是信息安全產(chǎn)品和系統(tǒng)構(gòu)建綜合防護(hù)系統(tǒng)。

    信息安全技術(shù)。信息安全的核心技術(shù)主要包括數(shù)據(jù)加密技術(shù)、信息隱藏技術(shù)和信息認(rèn)證技術(shù)。數(shù)據(jù)加密是把有意義的信息編碼為偽隨機(jī)性的亂碼，以實現(xiàn)信息保護(hù)的目的。數(shù)字簽名是指只有發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對發(fā)送者信息真實性的證明。

    信息安全防護(hù)體系。目前，主要的信息安全的產(chǎn)品和系統(tǒng)包括防病毒軟件、防火墻、入侵檢測系統(tǒng)、漏洞掃描、安全審計系統(tǒng)、物理隔離系統(tǒng)等。我們可采用屏蔽子網(wǎng)體系結(jié)構(gòu)保證核心網(wǎng)絡(luò)的安全。屏蔽子網(wǎng)體系結(jié)構(gòu)通過添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與internet隔離開。在這種結(jié)構(gòu)下，即使攻破了堡壘主機(jī)，也不能直接侵人內(nèi)部網(wǎng)絡(luò)，它將仍然必須通過內(nèi)部路由器。

3.2運行管理體系

    安全行政管理。電子政務(wù)的安全行政管理應(yīng)包括建立安全組織機(jī)構(gòu)、安全人事管理、制定和落實安全制度。

    安全技術(shù)管理。電子政務(wù)的安全技術(shù)管理可以從三個方面著手:硬件實體、軟件系統(tǒng)、密鑰。

    風(fēng)險管理。風(fēng)險管理是對項目風(fēng)險的識別、分析和應(yīng)對過程。它包括對正面事件效果的最大化及對負(fù)面事件影響的最小化。

3.3社會服務(wù)體系

    安全管理服務(wù)。目前，一些信息安全管理服務(wù)提供商(managed  security service providers, mssp)正在逐步形成，它們有的是專門從事安全管理服務(wù)達(dá)到增值目的的，有的是一些軟件廠商為彌補(bǔ)其軟件系統(tǒng)的不足而附加一些服務(wù)的，有的是一些從it集成或咨詢商發(fā)展而來提供信息安全咨詢的。

    安全測評服務(wù)。測評認(rèn)證的實質(zhì)是由一個中立的權(quán)威機(jī)構(gòu)，通過科學(xué)、規(guī)范、公正的測試和評估向消費者、購買者即需方，證實生產(chǎn)者或供方所提供的產(chǎn)品和服務(wù)，符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。

    應(yīng)急響應(yīng)服務(wù)。應(yīng)急響應(yīng)是計算機(jī)或網(wǎng)絡(luò)系統(tǒng)遇到安全事件如黑客人侵、網(wǎng)絡(luò)惡意攻擊、病毒感染和破壞等時，所能夠提供的緊急的響應(yīng)和快速的救援與恢復(fù)服務(wù)。

3.4基礎(chǔ)設(shè)施平臺

    法規(guī)基礎(chǔ)建設(shè)。主要有以下幾方面:在國家憲法和各部門法中對各類法律主體的有關(guān)信息活動涉及國家安全的權(quán)利和義務(wù)進(jìn)行規(guī)范，形成國家關(guān)于信息及信息安全的總則性、普適性的法規(guī)體系;針對各類計算機(jī)和網(wǎng)絡(luò)犯罪，制訂直接約束各社會成員的信息活動的行為規(guī)范，形成計算機(jī)、網(wǎng)絡(luò)犯罪監(jiān)察嶼防范體系;對信息安全技術(shù)、信息安全產(chǎn)品(系統(tǒng))的授權(quán)審批應(yīng)制訂相應(yīng)的規(guī)定，形成信息安全審批與監(jiān)控體系;針對信息內(nèi)容的安全與保密問題，制訂相應(yīng)規(guī)定，形成信息內(nèi)容的審批、監(jiān)控、保密體系;從國家安全的角度，制訂網(wǎng)絡(luò)信息預(yù)警與反擊體系等。

篇7

實現(xiàn)安全管理體系一體化是航空公司獲取最佳安全績效，減少管理成本，提高系統(tǒng)效能和資源利用率的重大管理舉措。春秋航是國內(nèi)唯一一家實現(xiàn)了SMS和SeMS一體化管理體系的航空公司，涵蓋了SMS四大支柱和SeMS四個子體系的十大安全管理機(jī)制，包括安全責(zé)任、目標(biāo)控制、安全信息、風(fēng)險管理、規(guī)章建設(shè)、監(jiān)督審核、安全教育、系統(tǒng)評價、安全績效和應(yīng)急救援等機(jī)制，初步實現(xiàn)了安全與安?；顒咏y(tǒng)籌兼顧，達(dá)到了六個“統(tǒng)一”。

解決投入比重問題，強(qiáng)化績效落實基礎(chǔ)

安全投入是保障安全生產(chǎn)的重要基礎(chǔ)，不僅是成本，更是效益。春秋航雖然低成本運行，但在安全投入上絕不打折扣，不僅有利于安全保障的優(yōu)先投入，還有利于安全提升的重點投入。春秋航在民航局每年組織進(jìn)行的民航企業(yè)安全保障財務(wù)考核（包括安全保障能力指標(biāo)、安全保障程度指標(biāo)、企業(yè)誠信指標(biāo)）中，截至2012年已連續(xù)4年在42家公司中得分排名前三。

在設(shè)施設(shè)備和技術(shù)方面，春秋航投資2個多億建設(shè)模擬機(jī)培訓(xùn)中心，占地30畝，一期建設(shè)6個模擬機(jī)機(jī)位，可滿足150架機(jī)隊訓(xùn)練，將于2014年8月投入使用；投資近5億用于維修機(jī)庫的土地規(guī)劃、機(jī)庫建筑及購買設(shè)備；41架飛機(jī)中34架裝有無線QAR（今后引進(jìn)的飛機(jī)皆有）；具備CAT II類、RNP APRH、CDFA和RNAV-5運行資質(zhì)；投入400多萬元用于EFB；自主開發(fā)FOC系統(tǒng)、MIS系統(tǒng)、飛行準(zhǔn)備系統(tǒng)、安全質(zhì)量管理網(wǎng)、離港系統(tǒng)、智慧客艙、智慧地服等，其中14個安全生產(chǎn)用電子系統(tǒng)獲得了專利申請。

春秋航在2013年安全生產(chǎn)專業(yè)人員培養(yǎng)、能力保持和素質(zhì)提高的投入達(dá)4千2百多萬元。同時，對核心隊伍的安全獎勵達(dá)4千余萬元，安全教育與宣傳活動投入60多萬元，對安全績效的改進(jìn)起到了良好的激勵作用。

解決責(zé)任資質(zhì)問題，強(qiáng)化績效核心功能

春秋航建立了安全責(zé)任清單和資質(zhì)評價機(jī)制，制定了與安全績效管理機(jī)制相匹配的差錯標(biāo)準(zhǔn)/偏差標(biāo)準(zhǔn)（包括飛行類/維修類/運控類/客艙類/空防類/地服類/危險品類/車輛類/食品類/信息安全類10大類差錯和安全管理類/規(guī)章文件類/資質(zhì)管理類/業(yè)務(wù)管理類/行政管理類5大類偏差），安全重大事宜掛牌督辦制度、安全生產(chǎn)獎懲規(guī)定、安全績效積分測評規(guī)定（包括結(jié)果型、行為型/過程型、任務(wù)型三大類80多項），結(jié)合年度安全目標(biāo)，通過可測量形式，對安全責(zé)任點進(jìn)行“過程必控制、績效必量化、問題必明確、責(zé)任必落實”。

春秋航已連續(xù)8年完成了局方下發(fā)的安全指標(biāo)，近3年來萬小時嚴(yán)重差錯率連續(xù)下降達(dá)10%以上，年度確定的重點安全工作任務(wù)完成率達(dá)83%以上。

解決信息平臺問題，強(qiáng)化績效系統(tǒng)監(jiān)測

2012年初，經(jīng)過充分調(diào)研、評估，本著“功能齊全、系統(tǒng)規(guī)范、重點突出、實用好用、易于擴(kuò)展”的原則，春秋航自行設(shè)計與開發(fā)了一個統(tǒng)一涵蓋SMS和SeMS要素、包括10大安全機(jī)制的電子化安全質(zhì)量管理網(wǎng)（SQM）。SQM分為4個系統(tǒng)模塊：信息收集、信息處理、輸出與反饋、其他輔助，包括18個一級功能和85個二級功能。形成了一個系統(tǒng)化、過程化、數(shù)據(jù)化的事前風(fēng)險防范、事中過程控制、事后糾正完善的可持續(xù)發(fā)展的電子化平臺，具有數(shù)據(jù)信息整合、數(shù)據(jù)監(jiān)測分析、發(fā)現(xiàn)問題、制定措施與執(zhí)行、持續(xù)監(jiān)測分析、綜合評價和共享的功能，為安全管理改進(jìn)提供數(shù)據(jù)分析、過程控制、系統(tǒng)評價的支持。并涵蓋10項安全管理機(jī)制，融入了“管理制度流程化、責(zé)任控制透明化、操作方法規(guī)范化、表單記錄結(jié)構(gòu)化、不同模塊關(guān)聯(lián)化、數(shù)據(jù)分析自動化、績效監(jiān)控系統(tǒng)化”的現(xiàn)代安全管理理念。

解決目標(biāo)控制問題，強(qiáng)化績效導(dǎo)向控制

安全目標(biāo)是衡量公司安全管理績效水平的評價標(biāo)準(zhǔn)。春秋航以安全目標(biāo)為導(dǎo)向，設(shè)置結(jié)果型、任務(wù)型/行為型安全目標(biāo)，明確安全工作方向，建立了縱向“公司目標(biāo)部門指標(biāo)過程指標(biāo)（行為指標(biāo)）”的目標(biāo)分解和橫向“制定實施控制改進(jìn)”的目標(biāo)實現(xiàn)雙循環(huán)機(jī)制，并與規(guī)程、風(fēng)險管理實現(xiàn)了關(guān)聯(lián)。

解決風(fēng)險落地問題，強(qiáng)化績效關(guān)注區(qū)域

風(fēng)險管理是SMS的核心，也是安全管理關(guān)口前移、預(yù)防為主的關(guān)鍵。建立“公司風(fēng)險評估專家小組部門風(fēng)險管理小組”兩級風(fēng)險管理專業(yè)隊伍；每年至少梳理一次風(fēng)險管理過程庫（危險源庫）；將危險源的風(fēng)險屬性、事件調(diào)查的原因、監(jiān)督審核發(fā)現(xiàn)的問題進(jìn)行分類統(tǒng)一；針對不同項目制定風(fēng)險管理方案，針對組織變更、規(guī)章變化、新開基地/航線、新項目/產(chǎn)品（如CATII，RNP、服務(wù)項目變化等）運行、安全水平波動、運行條件/環(huán)境變化等情況，及時啟動風(fēng)險管理，并風(fēng)險通告或預(yù)警。

通過安全數(shù)據(jù)分析，確定了春秋航2013年存在的五大類主要風(fēng)險，包括飛行安全類風(fēng)險（包括人為因素和意外安全）、運行保障類風(fēng)險（包括機(jī)械故障、運行控制、地面運行保障、食品安全）、客艙安全類風(fēng)險、空防安全類風(fēng)險、安全類風(fēng)險，并統(tǒng)計分析出各類風(fēng)險的主要風(fēng)險因素（見圖1）。

透過數(shù)據(jù)看管理風(fēng)險，表現(xiàn)為執(zhí)行不力、制度不全、質(zhì)量不高的風(fēng)險，具體為“四多、三低、兩難”（見圖2）：工作落實問題多、規(guī)章標(biāo)準(zhǔn)問題多、資質(zhì)與培訓(xùn)問題多、違章違紀(jì)問題多；重要安全任務(wù)完成率低、糾正預(yù)防/風(fēng)險控制措施有效率低、各類安全活動參與率低；關(guān)鍵崗位人員資質(zhì)能力監(jiān)督難，飛機(jī)維修管理質(zhì)量監(jiān)督難。

解決監(jiān)控重點問題，強(qiáng)化績效過程控制

安全監(jiān)督審核是保證SMS與SeMS有效運行和持續(xù)改進(jìn)的必要條件和重要保障。春秋航以安全監(jiān)督審核為利器，建立三級監(jiān)督審核機(jī)制，聘任了48名公司專兼職安全監(jiān)察員/審核員，實施主任監(jiān)察員/審核員負(fù)責(zé)制，按不同專業(yè)劃分14項授權(quán)項目，并予以“兩個獨立、兩個參與、兩個建議”的權(quán)力。針對安全監(jiān)督審核的關(guān)鍵區(qū)域，采取多種方式和手段（如定期抽查CVR、網(wǎng)絡(luò)監(jiān)測等），開展全面（被監(jiān)督審核部門包括安監(jiān)部、保衛(wèi)部）、日常、專項的安全監(jiān)督審核（如危險品運輸、食品安全、信息安全等），對于發(fā)現(xiàn)問題采取“五必須”原則（須調(diào)查、須結(jié)論、須措施、須驗證、須效果），確保糾正預(yù)防措施落實到位，較好地發(fā)揮了系統(tǒng)和過程監(jiān)督的作用。

解決數(shù)據(jù)評價問題，強(qiáng)化績效測量標(biāo)準(zhǔn)

安全信息收集與分析是一個發(fā)揮安全信息價值的動態(tài)過程，便于管理者全面掌握信息進(jìn)行客觀決策。春秋航以安全信息為驅(qū)動，拓展信息報告途徑，如24小時值班手機(jī)、微信端口報告、MIS（維修信息系統(tǒng)）信息共享等；擴(kuò)展信息收集范圍，如安全隱患/危險、安全建議/投訴、信息安全、食品安全、QAR數(shù)據(jù)、事件調(diào)查等；推行安全信息主動報告減免、獎勵和規(guī)章約束，促使信息質(zhì)量和數(shù)量大幅提升；開展各類安全信息專項分析、月/季/年分析等，對發(fā)現(xiàn)的運行過程缺陷、程序漏洞、違章行為、管理不足等問題，及時提出安全建議和改進(jìn)要求。

篇8

通過安全認(rèn)證

隨著國航信息系統(tǒng)建設(shè)的飛速發(fā)展,在奧運安全保障工作中,安全不再只是空防安全和飛行安全,信息安全已成為奧運安保的重要環(huán)節(jié),并納入公司和信息管理部2008年重點工作之中。國航信息安全規(guī)劃咨詢項目就是在奧運安保和國航信息系統(tǒng)跨越式發(fā)展的大背景下立項建設(shè)的,它旨在為國航信息安全體系建設(shè)打下堅實的理論基礎(chǔ)。

國航也是通過這個項目完成了未來3~5年信息安全建設(shè)的發(fā)展規(guī)劃,建立了信息安全管理體系,于近日最終通過了ISO 27001信息安全管理體系認(rèn)證,使國航成為國內(nèi)首家通過此國際認(rèn)證的航空企業(yè),進(jìn)一步提升了公司的綜合競爭實力。

記者了解到,ISO 27001是國際信息安全領(lǐng)域的重要標(biāo)準(zhǔn),它的前身源自英國標(biāo)準(zhǔn)協(xié)會(British Standards Institute,BSI)在1995年2月制定的信息安全管理標(biāo)準(zhǔn) BS 7799,經(jīng)修訂后,于2005年10月15日作為國際標(biāo)準(zhǔn)ISOIEC 27001/2005。該標(biāo)準(zhǔn)基于風(fēng)險評估的風(fēng)險管理理念,可用于信息安全管理體系的建立和實施,保障信息安全,全面系統(tǒng)地持續(xù)改進(jìn)安全管理。國航的信息安全管理體系已于2008年12月就通過了國際權(quán)威認(rèn)證機(jī)構(gòu)的現(xiàn)場審核,具備了獲取ISO 27001信息安全管理體系國際認(rèn)證的條件。

在國航發(fā)展戰(zhàn)略中,信息安全占有非常重要的位置,幾乎所有業(yè)務(wù)都與信息技術(shù)相關(guān),特別是涉及到飛行安全、客戶信任度的商務(wù)及財務(wù)方面信息等,都需要信息安全管理體系這張保護(hù)網(wǎng)的保障,在這種發(fā)展趨勢下,國航以建立起成熟的、具備國際水平的信息安全保障體系,保障核心業(yè)務(wù)不中斷、核心系統(tǒng)不被攻擊、客戶信息不泄露為信息安全愿景目標(biāo),

中國國際航空股份有限公司信息管理部總經(jīng)理劉東說,國航有幾百個系統(tǒng)每天運營著國航所有的正常航線、飛機(jī)維護(hù)、機(jī)組人員的管理、人員的編排,還有財務(wù)的收益管理,以及訂座系統(tǒng)、離崗系統(tǒng)、網(wǎng)絡(luò)收益系統(tǒng)。對于航空公司來講,每個系統(tǒng)都不能失控,也不能出問題。

安全蹺蹺板

曾經(jīng)主抓飛行安全如今管信息安全的中國國際航空股份有限公司副總裁賀利,在回顧國航在信息安全方面取得建設(shè)的一些建設(shè)成果時表示,“信息安全的體系是一個很復(fù)雜的體系,我們在業(yè)界經(jīng)常叫“安全蹺蹺板”,這個蹺蹺板主要是在IT基礎(chǔ)結(jié)構(gòu)的基礎(chǔ)上,包括三方面內(nèi)容:一是技術(shù)平臺,二是組織和人員,三是制度和流程,由這三方面一起通過我們來執(zhí)行,去構(gòu)成信息安全體系。”

國航信息管理部技術(shù)管理辦公室高級經(jīng)理李宗琦表示,如果沒有信息安全管理體系這張保護(hù)網(wǎng),應(yīng)該說國航的飛行安全可能也無法得到保障。

第一要保證國航的核心業(yè)務(wù)不中斷,第二要保證國航信息系統(tǒng)不被攻擊,第三要保證重要客戶的信息不被泄漏,通過這樣的保障體系為國航的業(yè)務(wù)愿景的目標(biāo)實現(xiàn)保駕護(hù)航。

篇9

根據(jù)《市人民政府辦公室關(guān)于開展全市重要計算機(jī)信息系統(tǒng)安全等級保護(hù)檢查工作的通知》精神，市信息安全等級保護(hù)檢查工作領(lǐng)導(dǎo)小組抽調(diào)市政府辦公室和市公安局網(wǎng)絡(luò)警察支隊有關(guān)工作人員組成檢查小組，對我市相關(guān)單位的信息安全等級保護(hù)工作進(jìn)行了督導(dǎo)檢查，同時，對五縣的等級保護(hù)工作開展情況進(jìn)行了督導(dǎo)?，F(xiàn)將第一階段檢查情況通報如下：

一、自2011年8月25日開始，市信息安全等級保護(hù)檢查工作小組以我市銀行、稅務(wù)、工商、教育等行業(yè)為對象，進(jìn)行了為期一周的第一階段監(jiān)督檢查工作，重點檢查各單位信息安全等級保護(hù)工作情況、信息安全責(zé)任制落實、信息安全保障工作情況等，督促各單位全面落實和完善各項信息安全管理制度和保護(hù)措施，全面提高重要信息系統(tǒng)安全保護(hù)能力和水平。

二、在第一階段的檢查中，檢查組每到一個單位，都認(rèn)真聽取了被檢查單位自查情況匯報，核對各單位提交的相關(guān)材料，審核備案定級是否準(zhǔn)確并按照檢查表逐項檢查，對問題嚴(yán)重的下發(fā)了整改通知書限期改正。檢查中大多數(shù)單位均能根據(jù)此次檢查工作要求，認(rèn)真開展自查工作，提供了較為完善的相關(guān)資料并提交自查情況匯報，履行有關(guān)備案手續(xù)。蘭考縣政府、蘭考縣公安局高度重視信息安全等級保護(hù)工作，及時成立信息安全等級保護(hù)檢查工作領(lǐng)導(dǎo)小組，對本縣區(qū)內(nèi)的重要計算機(jī)信息系統(tǒng)進(jìn)行了等級保護(hù)檢查，取得了一定成效。市商業(yè)銀行、市地稅局領(lǐng)導(dǎo)重視、措施得力，認(rèn)真開展了本系統(tǒng)的信息安全等級保護(hù)工作，定級客觀準(zhǔn)確，為等級保護(hù)工作的深入開展奠定了基礎(chǔ)。

三、檢查中，雖然大部分單位均能按照信息安全等級保護(hù)要求開展工作，但仍有個別單位對等級保護(hù)工作敷衍應(yīng)付。中國工商銀行分行未開展等級保護(hù)工作，沒有意識到作為重要計算機(jī)信息系統(tǒng)的分支同樣需要定級和備案，在信息安全等級保護(hù)工作中不自查、不定級、不備案，嚴(yán)重影響了今后等級保護(hù)工作的開展。

在下一階段檢查工作中，各相關(guān)單位要進(jìn)一步提高認(rèn)識，加強(qiáng)等級保護(hù)工作的領(lǐng)導(dǎo)，主要領(lǐng)導(dǎo)要親自抓落實，對照前一階段檢查中存在的問題，抓緊做好自查和迎接檢查的準(zhǔn)備工作，對工作不力、不落實整改要求的，檢查工作領(lǐng)導(dǎo)小組將給予通報批評并通知上級相關(guān)部門處理。

篇10

國面臨的網(wǎng)絡(luò)信息安全挑戰(zhàn)越來越嚴(yán)重。

近年來，從“震網(wǎng)門”、“火焰門”、“棱鏡門”到微軟停止XP升級服務(wù)，全球范圍的嚴(yán)重網(wǎng)絡(luò)事件頻發(fā)，發(fā)達(dá)國家長期壟斷核心技術(shù)和關(guān)鍵產(chǎn)品，信息安全隱患頻頻暴露。

信息安全關(guān)乎國家的政治安全、經(jīng)濟(jì)安全、國防安全和社會穩(wěn)定。中央日前成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，正是因應(yīng)當(dāng)前形勢的重大舉措。

補(bǔ)上核心短板

核心信息技術(shù)和裝備是保障國家安全和信息安全的重要基石。近年來，在“核高基”等國家科技重大專項支持下，國產(chǎn)關(guān)鍵軟硬件發(fā)展已經(jīng)取得了長足的進(jìn)步，成就喜人。

但是，中國產(chǎn)業(yè)創(chuàng)新能力不足，技術(shù)路徑依賴國外，核心信息技術(shù)和重大裝備供給能力不足，國外技術(shù)和產(chǎn)品長期主導(dǎo)國內(nèi)市場和關(guān)鍵應(yīng)用的局面，尚未有根本性改變，國家基礎(chǔ)通信網(wǎng)絡(luò)設(shè)施、黨政軍機(jī)關(guān)和關(guān)系國計民生的命脈領(lǐng)域等重要信息系統(tǒng)大多基于國外的關(guān)鍵基礎(chǔ)軟硬件，被入侵、被滲透、被控制的安全風(fēng)險嚴(yán)峻，國家安全受到嚴(yán)重威脅。

中央處理器、操作系統(tǒng)、數(shù)據(jù)庫、高端服務(wù)器、核心通信網(wǎng)絡(luò)設(shè)備、關(guān)鍵信息安全產(chǎn)品以及重要應(yīng)用系統(tǒng)，是與信息安全緊密相關(guān)的核心信息技術(shù)和重大裝備，其自主發(fā)展能力和應(yīng)用水平事關(guān)信息安全的根本，加快核心信息通信技術(shù)裝備在國家基礎(chǔ)信息網(wǎng)絡(luò)設(shè)施、重要信息系統(tǒng)中的國產(chǎn)化應(yīng)用替代，是打牢信息安全大廈根基、增強(qiáng)國家網(wǎng)絡(luò)和信息安全保障能力、提高產(chǎn)業(yè)自主發(fā)展能力的必由之路。

所以，我們要立足于現(xiàn)有產(chǎn)業(yè)基礎(chǔ)，明確核心信息技術(shù)重大裝備發(fā)展和信息安全保障的戰(zhàn)略目標(biāo)。

我們要通過長期不懈的努力，力爭電子信息產(chǎn)業(yè)的核心技術(shù)、關(guān)鍵產(chǎn)品和知識產(chǎn)權(quán)的整體水平達(dá)到國際先進(jìn)，骨干企業(yè)具備與跨國企業(yè)在國內(nèi)外市場同臺競爭的能力，構(gòu)建起以國產(chǎn)CPU和操作系統(tǒng)為核心、以全國產(chǎn)整機(jī)為牽引的自主產(chǎn)業(yè)生態(tài)體系，核心信息技術(shù)產(chǎn)品和信息安全服務(wù)的供給能力全面滿足國內(nèi)應(yīng)用需求，通過強(qiáng)化產(chǎn)業(yè)安全保障信息安全，徹底擺脫國外技術(shù)和產(chǎn)品長期主導(dǎo)國內(nèi)市場和關(guān)鍵應(yīng)用的不利局面，確保國家信息安全能夠得到可靠的、堅實的保障。

如何確保國家信息安全

立足于全面保障信息安全的國家戰(zhàn)略需求，統(tǒng)籌核心信息技術(shù)和重大裝備的發(fā)展。

必須發(fā)揮國家戰(zhàn)略引領(lǐng)作用，從國家層面統(tǒng)籌部署信息產(chǎn)業(yè)核心技術(shù)裝備的創(chuàng)新發(fā)展，強(qiáng)化政府引導(dǎo)，推動機(jī)制創(chuàng)新；要充分發(fā)揮市場配置資源的決定性作用，突出企業(yè)市場主體地位，廣泛調(diào)動行業(yè)用戶積極性，推動產(chǎn)學(xué)研用協(xié)同創(chuàng)新；著力突破核心關(guān)鍵技術(shù)，全面提高系統(tǒng)集成化、一體化的應(yīng)用能力，以應(yīng)用為紐帶，以整機(jī)和系統(tǒng)為牽引，加快黨政機(jī)關(guān)和重要行業(yè)的推廣應(yīng)用步伐，提高應(yīng)用水平和服務(wù)保障能力；加快全產(chǎn)業(yè)鏈協(xié)同部署，力爭技術(shù)研發(fā)、產(chǎn)業(yè)發(fā)展、應(yīng)用推廣和安全保障等綜合能力的全面提升，著力從根本上解決信息產(chǎn)業(yè)供給能力不足瓶頸，全面提升中國信息安全保障能力。

要立足自主創(chuàng)新，加快突破自主核心關(guān)鍵技術(shù)。

加大研發(fā)投入，統(tǒng)籌政府資源，以企業(yè)為主體，以應(yīng)用為導(dǎo)向，在引進(jìn)消化吸收再創(chuàng)新的基礎(chǔ)上，立足自主創(chuàng)新，集中力量突破CPU芯片、操作系統(tǒng)、數(shù)據(jù)庫、整機(jī)、信息安全、通信網(wǎng)絡(luò)關(guān)鍵設(shè)備等核心技術(shù)；抓住全球技術(shù)和產(chǎn)業(yè)格局加速變革的歷史機(jī)遇，積極謀劃部署云計算、大數(shù)據(jù)、下一代網(wǎng)絡(luò)等新架構(gòu)、新技術(shù)、新模式、新應(yīng)用，力爭謀取產(chǎn)業(yè)發(fā)展的主動權(quán)、主導(dǎo)權(quán)。立足于全面突破核心關(guān)鍵技術(shù)，為信息安全提供堅強(qiáng)的基礎(chǔ)保障。

要提高國產(chǎn)軟硬件的一體化集成應(yīng)用能力，重點開展整機(jī)、系統(tǒng)適配技術(shù)的聯(lián)合攻關(guān)。

發(fā)揮中國整機(jī)廠商的技術(shù)、生產(chǎn)、市場和品牌優(yōu)勢，以龍頭整機(jī)廠商為牽頭，整合產(chǎn)學(xué)研用的力量，集成上、下游軟硬件廠商資源，集中力量攻克基于國產(chǎn)CPU、基礎(chǔ)軟件的系統(tǒng)適配和集成應(yīng)用技術(shù)，提高安全可控關(guān)鍵軟硬件的整體適配能力，全面滿足黨政軍和能源、電信、金融等重要行業(yè)的核心業(yè)務(wù)需求。

加快國產(chǎn)關(guān)鍵軟硬件推廣應(yīng)用，不斷深化應(yīng)用層次。

提高系統(tǒng)集成能力，以安全可控產(chǎn)品的整體集成為應(yīng)用方向，在黨政軍領(lǐng)域率先應(yīng)用國產(chǎn)核心信息技術(shù)和重大裝備，逐步在關(guān)系國計民生的重要行業(yè)加快推廣應(yīng)用，力爭在國家基礎(chǔ)網(wǎng)絡(luò)設(shè)施中實現(xiàn)核心網(wǎng)絡(luò)節(jié)點的中高端設(shè)備全國產(chǎn)化替代，通過應(yīng)用不斷提高產(chǎn)品成熟度、可靠性、安全性，增強(qiáng)系統(tǒng)整體集成應(yīng)用和協(xié)同運行水平，全面提高一體化集成應(yīng)用和服務(wù)保障能力。

要加快全產(chǎn)業(yè)鏈部署，不斷完善產(chǎn)業(yè)生態(tài)體系。

新一代信息技術(shù)產(chǎn)業(yè)的競爭已經(jīng)不是單純的技術(shù)、單一產(chǎn)品的競爭，而是演化為生態(tài)體系的競爭。

產(chǎn)學(xué)研用深度結(jié)合，軍民深度融合，自主創(chuàng)新和引進(jìn)消化吸收相結(jié)合，以安全可控的CPU、操作系統(tǒng)為核心，集聚CPU、基礎(chǔ)軟件、整機(jī)、系統(tǒng)集成、應(yīng)用開發(fā)、測試驗證、產(chǎn)業(yè)聯(lián)盟等產(chǎn)業(yè)鏈上下游力量，打造整機(jī)產(chǎn)品、關(guān)鍵應(yīng)用軟件、周邊設(shè)備構(gòu)建的自主產(chǎn)業(yè)生態(tài)體系，構(gòu)筑安全可控、適用好用的信息技術(shù)平臺。