网络安全培训计划范文

导语：如何才能写好一篇网络安全培训计划，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

 

一、加强顶层设计，确立信息安全教育国家战略

 

1.《网络空间安全国家战略》

 

布什政府在2003年2月了《网络空间安全国家战略》，其中首次从国家层面提出了“提高网络安全意识与培训计划”，指出，“除了信息技术系统的脆弱性外，要提高网络的安全性至少面临着两个障碍：缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此，美国要开展全国性的增强安全意识活动，加强培训和网络安全专业人员资格认证。

 

2.《美国网络安全评估》报告

 

2009年5月29日美国公布了《美国网络安全评估》报告，评估了美国政府在网络空间的安全战略、策略和标准，指出了存在的问题，提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。

 

3.《国家网络安全综合计划》(CNCI)

 

2010年3月2日，奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是：“为了有效地保证持续的技术优势和未来的网络安全，必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育，以加强未来的网络安全环境。”

 

4.《国家网络空间安全教育战略计划》

 

2011年8月11日，NIST授权《美国网络

 

安全教育倡议战略规划：构建数字美国》草案，征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划，阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识，促进美国的经济繁荣和保障国家安全，并通过以下三个目标实现这一愿景：增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。

 

二、做好立法工作，完善法规标隹体系

 

1.《联邦信息安全管理法案》(FISMA)

 

2002年7月，美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性，并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。

 

FISMA法案明确要求：联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训，为此还提议了一个较为完善的国家安全意识及其培训系统。

 

2.国防部(DoD)8570指令

 

2005年12月，为了更好地支持“全球信息网格计戈j”，美国国防部了8570指令。该指令涵盖以下主要内容：建立技术基准，管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中，持续的增加信息保障内容。

 

3.联邦政府信息技术安全培训标准(FIPS)

 

FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前，NIST已制定和两部权威的信息安全培训标准：《信息技术安全培训要求：基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架，依据这些框架，美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。

 

4.网络安全法案

 

2010年3月24日，美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享，强调通过市场手段，鼓励培养网络安全人才，开发网络安全产品和服务。

 

三、构建信息网络安全组织机构，健全安全教育培训管理体制

 

为了落实信息安全教育培训相关政策和法律法规，美国将协调、执行、监督、管理等权利分配给多个政府部门，依据最新的《国家网络安全教育战略计划》的思路，国家标准技术研究所(NIST)为整个计划的负责单位，协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。

 

社会各界积极参与

 

行业协会已经站到了信息安全教育培训的前沿，成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准，组织持续的教育活动，并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体，一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源，充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充，为规范和完善美国信息安全培训行业提供了切实可行的保障。

 

(1)国际信息系统审计协会(丨SACA)

 

国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织，会员遍布逾160个国家，总数超过86,000人。ISACA成立于1969年，除赞助举办国际会议外，还编辑出版《信息系统监控期刊》，制定国际信息系统的审计与监控标准，以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时，美国国防部也认可了CISA认证，并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用：认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。

 

(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO)，是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。

 

GIAC认证程序有以下几个特点：

 

GIAC提供超过20种的信息安全认证，其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识，保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括：认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。

 

(3)国际信息系统安全认证联盟(ISC)2

 

国际信息系统安全核准联盟(ISC)2成立于1989年，是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中，CISSP数量最多。截至2010年底，全球共有75000名CISSP获证人员，其中，美国获证人员数量超过70%^CISSP获证人员中，约30%在政府部门工作，40%从事信息安全月服务行业，30%从事用户终端工作。

 

注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架，使得全世界的信息安全专业人员能够以相同的术语和理念，讨论、辩论和解决信息安全相关问题。

篇2

思想上不重视网络教育培训

目前，许多企业的领导不重视安全生产的网络教育培训工作，他们只看到传统培训的优势，并未充分认识到网络教育培训的优点，所以在培训投入的比例方面严重失衡，对于网络培训投入是少之又少，极大的影响了网络安全培训教育方面的建设。在培训的实施上很多企业也是以传统培训为主，对网络教育培训重视度不够，造成了网络教育并未达到其应有的培训效果。

网络教育培训规划流于形式，学员学习效果不佳。网络教育是对企业人员安全生产培训的有效途径之一，它有着传统培训不可替代的作用，应该是企业长期紧抓的工作。但一些单位或部门对于安全生产网络培训却只在表面上做文章，主要表现在以下几个方面。第一，培训目标不清。有些单位或部门每年制订的网络培训计划，看似有目标、有目的，但却没有针对本单位在生产过程中存在的安全问题，制定长期性、连续性、系统性的培训内容。第二，网络培训“宽进宽出”、学员为应付培训而学习，不管学习效果如何，只要在网上学习的时间满足一定的学时，人人都可以过关发证。

网络教育培训内容不完善，忽略网络考核与评价。我国《安全生产法》中明确规定:“生产经营企业应当对从业人员进行安全生产教育和培训，保证从业人员具备必要的安全生产知识，熟悉有关的安全生产规章制度和安全操作规程，掌握本岗位的安全操作技能。”因此，安全培训应既注重员工的思想培训、规章制度培训，同时还包括安全技术教育。而目前大多数网络教育平台都过多注重安全知识教育，而忽略思想培训或规章制度的教育，对网络学习后的考核与评价更是不加以重视，导致网络培训效果大打折扣。

培训平台设计功能不全，严重影响网络培训效果。菲尔迪维克将网上教学平台分为三大部分:①管理，包括建立并维护网上课程，登记注册，登录控制，使用追踪等;②教学，包括界面观感，教学工具，评估工具，课程管理等;③学生使用，包括自我编程，自我评估等。从目前部分企业安全生产网络教育平台提供的各种功能来看，大多数都能有效的提供教与学的功能，但还是有很多平台缺乏对网络教学的管理功能。因此，针对上述企业安全生产网络培训所存在的问题，我们应该在熟悉企业安全生产网络培训特点的基础上，根据网络培训的内容，提出解决问题策略。

企业安全生产网络培训的特点

企业安全生产网络培训兼具有企业安全教育培训及网络教育的特点，因此，除了具有网络教育的时空分离、师生分离、实时与非实时交互的特点外，还应包括下面几个特点:第一，长期性和艰巨性。由于生产条件的发展变化、劳动者的更替、劳动者心理和生理的变化，决定了安全教育的长期性和艰巨性。第二，广泛性和实践性。企业的所有人员都需要接受安全教育，都要把安全放在第一位。并且安全教育的效果要通过生产实践来检验。第三，专业性和科学性。安全教育涉及到自然科学、社会科学、管理科学等科学，有自己基本的理论、独特的内容和区别于其它教育的方式方法，必须科学施教。

企业安全生产网络培训的内容

国家安全生产监督管理局件中明确了对企业主要负责人、安全生产管理人员及其他人员的安全生产培训考核实行统一规划、分类指导、分级实施的原则，并对这三类人员培训的主要内容做出具体规定。其内容主要包括:安全生产新知识、新技术，安全生产法律法规、作业场所和工作岗位存在的危险因素、防范措施及事故应急措施等。因此企业安全网络教育培训要仅仅围绕着这些内容开展。

企业安全生产网络培训的对策

(1)制定完善的安全教育网络培训制度。对于企业而言，在安全生产网络教育方面的规章制度是对网络教育管理和各项网络教育培训实施的指导性文件，通过安全生产网络教育规章制度的实施可以有效地贯彻、执行国家、企业的法律、法规，保障安全教育网络培训工作达到预期效果。因此，一定要制定完善的安全教育网络培训制度，明确了各级管理人员、各职能部门以及岗位人员的职责，充分调动各级人员和各部门在安全生产网络培训方面的积极性和主观能动性。

(2)转变观念，加大网络教育培训的投入。首先，企业领导要转变观念，既要认识到传统培训的优势，又要认识到网络培训的优缺点，这样在安全教育教学中，才能扬长避短。其次，在安全教育资金投入上，重新调整分配方案，加大网络培训的费用，确保网络教育培训平台的建设。最后，在网络教育培训实施过程中，要投入更多的精力，只有这样，才能提高安全教育网络培训的质量，提高网络学员的学习效果。

(3)严格网络培训考核制度，完善考核监督机制。网络教育培训要严格培训考核制度。培训教育不能流于形式，要真正让受训人员达到培训的目的。企业管理者高度重视职工的安全生产的网络培训工作，责令培训部门在制定详细培训计划的同时，要制定出严格的考核制度，坚决杜绝过去那种“宽进宽出、高分低能”，甚至交了钱就能拿证书的不良现象。同时网络教育培训还要建立和完善培训考核监督机制。网络培训质量的高低，最有说服力的是上岗后的表现和产生的效果。因此，安全生产培训的考核，要改变培训质量由培训部门独家评价的现象。不仅要注重理论上应知应会的考核，更要注重现场操作中应知应会和解决问题能力的考核，并作为对培训部门工作业绩考核和奖惩的重要依据，以此增强其责任心和压力感。

(4)丰富企业安全生产网络培训的内容。具体地说，企业安全生产网络培训主要应该分为以下内容:①有关生产的法律、法规及有关本行业的规章、规程、规范和标准。通过对安全生产方针、政策的宣传，对安全法制法规的贯彻和引导，以及劳动安全纪律的培训，提高员工的安全意识，增强知法、守法的自觉性，确保安全责任制和安全操作规程的履行和执行。②有关企业的安全生产知识。包括:企业的基本生产状况，施工工艺和方法，施工中的危险区域和危险部位，各类不安全因素及其安全防护的基本知识，安全注意事项等。③安全技能培训。结合具体岗位、工种、专业的特点，通过对实现安全操作、安全防护所必须具备的基本技术知识的学习和实际的操作演练。④事故应急救援和调查处理知识。通过实际事故案例分析和介绍，了解事故发生的条件、过程和后果，对认识事故发生规律、总结经验、吸取教训、防止同类事故再次发生。

篇3

电力企业使用的各种应用软件都有可能存在一定的设计缺陷，这些缺陷通常称之为漏洞。很多的黑客就是利用这些漏洞对企业的应用信息网络实施攻击，而很多的电力企业的局域网和国际互联网是隔离的，这就造成企业的电脑应用软件系统不能及时更新，漏洞不能第一时间修复，一旦木马通过移动存储设备入侵，就会造成难以估量的损失。

1.1电力企业的系统备份缺乏应用经验

当前很多的维护人员对企业重要信息数据普遍采用每周备份，每星期对数据进行一次刻录备份，而在实际的应用过程中，备份的信息数据只有在不断训练中才能保证及时有效应用。但是，从工作实际来看，备份恢复操作演练要比备份本身复杂得多，很多的维护工作人员宁可选择每天备份，也不情愿组织一次数据恢复训练。信息安全网络应该是在建设、运行、维护和管理这几个方面相互结合而的。信息安全是降低其企业风险和减少成本的一个必要的环节。

2.电力企业信息安全与管理问题对策探析

电力信息安全管理是一个技术和管理相互结合的一个问题。除了技术手段啊之外还需要落实安全管理。不断提升企业的信息安全防护等级，紧盯当今世界信息安全防护领域的发展和技术突破，运用先进的信息技术来应对可能出现的安全问题，制定明确的安全防护策略和制度，确保信息安全有制度保障。根据著名的木桶原理，企业信息安全的隐患不在信息的优势环节，而在企业最为薄弱的管理应用环节。立足信息管理的现状和时展需要，尽快构建高效安全的综合性信息安全管理防范体系。

2.1健全电力企业的安全管理与考评机制

在很多的企业、事业单位了，一直都流行并经常验证着这样一个名言：“三分技术七分管理。”从技术的角度来看，防范一般都是已知的各种安全问题和威胁，三分技术；从管理的角度来看，工作是人的工作，人的工作是活的工作，人的工作具有很大的不确定性，这都给安全管理带来诸多的不确定性，管理都是针对人，无论才能哪种安全管理制度来约束，还是使用一定的技术手段来要求限制，目的都是要约束人的行动，规范人的行为，尽可能不给安全威胁以任何机会。为此，就要建立切实可行并认真执行的引进标准、风险评估、技术应用等技术管理机制；通过实行岗位安全责任制，严格明确各方的安全责任，依照法律规定和安全生产标准来建设信息系统和制定管理制度。并定期或不定期开展自查、自评、督查、考评等，把电力企业的安全责任严格落实到人，并将企业信息安全与管理和年读考评直接挂钩，确保制度健全，落实到位。这样每个人都可以清楚的了解自己的职责所在的，员工都会积极的参与到信息安全管理之中。

2.2建立健全“长治机制”，做好信息安全教育培训

电力企业信息安全管理是一项长期系统工程，需要常抓不懈，警钟长鸣，不能风过无形，流于形式。重在落实，长期坚持，永不松懈。电力企业进行信息安全教育培训是确保信息安全的又一重要保障。对企业员工的教育和技术培训直接关乎安全的重视程度和执行效果。只有不断加强教育，才能引起员工对信息安全的足够重视，只有不断及时培训，才能保证员工在技术上有可靠保障。为此，电力企业应建立一整套较为完善的信息安全培训体系，制定翔实的技术培训计划，增强员工的安全意识，提高企业的应对水平。建立信息网络安全按的一个组织系统，控制和开展信息安全的管理权限，并且积极学习关于信息安全的专业知识组建可行性的信息安全系统。

2.3规范使用各种移动存储设备

由于现在各种移动存储设备已经普及，使用的频率非常之高，各级主管部门必须根据实际情况进行综合管理和教育培训。不可能禁止使用，又不能让这些设备滥用。最好的办法就是对员工进行积极教育培训，引导员工科学、适时使用移动存储设备，首先让员工明白，使用移动存储设备可能带来的安全隐患，引导员工减少使用次数，增强安全意识；其次，进行技术培训，引导员工按照插拔要领进行操作，使用读写开关和加密功能，定期进行病毒查杀，使用设备不得违反信息安全的管理制度等等。力争员工养成良好的使用习惯，做到妥善保管，操作规范，严禁外借，及时杀毒，做好双备份等。

3.结束语

篇4

一、建立电子档案信息安全评价指标体系的必要性

信息技术在档案管理中的广泛应用，一方面提高了档案工作的效率，扩大了档案的社会影响力；另一方面也对档案工作提出了新的要求，例如存储介质的不稳定、技术过时、黑客入侵、电脑病毒破坏等都使得电子档案信息的安全保护面临着前所未有的挑战。

在2002年国家档案局颁发的《全国档案信息化建设实施纲要》和近期各省市的“十一五档案信息化建设纲要”中都提出了“档案信息安全保障体系建设”，但仍缺乏深入、系统的探讨。电子档案信息的安全管理是一个过程，而不是一个产品，我们不能期望通过一个安全产品就能把所有的安全问题都解决。对各档案管理系统来说，解决电子档案信息安全的首要问题就是要识别自身信息系统所面临的风险，包括这些风险可能带来的安全威胁与影响的程度，然后进行最充分的分析与评价。只有采用科学有效的模型和方法进行全面的安全评价，才能真正掌握内部信息系统的整体安全状况，分析各种存在的威胁，以便针对高风险的威胁采取有效的安全措施，提高整体安全水平，逐步建成坚固的电子档案信息安全管理体系。

二、电子档案信息安全评价指标体系的组成

电子档案信息系统是一个复杂的系统工程，既有硬件，又有软件，既有外部影响，又有内部因素，而且许多方面是相互制约的。因此，必须有一个规范的、统一的、客观的标准。根据国内外的电子档案信息安全评估标准，国家对电子档案信息和网络信息系统安全性的基本要求，结合电子档案管理和网络管理经验，综合考虑影响电子档案信息安全的各种因素，建立电子档案信息安全评价指标体系。该体系主要包括五个大项二十个小项的评价指标。

1、物理安全评价指标

物理安全是指存储档案信息的库房、计算机设备及管理人员工作场所内外的环境条件必须满足档案信息安全、计算机设备和管理人员的要求。对于各种灾害、故障要采取充分的预防措施，万一发生灾害或故障，应能采取应急措施，将损失降到最低。物理安全包括环境安全、设备安全和载体安全三个方面。

(1)环境安全：主要指存储档案信息的库房、计算机机房周围环境是否符合管理要求和是否具备抵抗自然灾害的能力，如库房是否建在电力、水源充足，自然环境清洁，通讯、交通运输方便的地方；有无防火、防水措施；有无监控系统；有无防雷措施等。

(2)设备安全：主要是指对电子档案信息系统设备的安全保护，包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。

(3)载体安全：保证设备安全的同时，也要保证载体安全，要对载体采取物理上的防盗、防毁、防霉等措施。

2、管理安全评价指标

安全管理在电子档案信息安全保障中起着规范和制约的作用，科学的管理理念加上严格的管理制度才能最终保证电子档案信息的安全。电子档案信息的管理安全评价指标具体包括：

(1)专门的档案信息安全组织机构和专职的档案信息安全管理人员：档案信息安全组织机构的成立与档案信息安全管理人员的任命必须有相关单位的正式文件。

(2)规章制度：包括有无健全的电子档案信息安全管理规章制度；档案信息安全人员的配备、调离是否有严格的管理制度；设备与数据管理制度是否完备；是否有登记建档制度；是否有完整的电子档案信息安全培训计划和培训制度；各类人员的安全职责是否明确，能否保障电子档案信息的安全管理。

(3)是否有紧急事故处理预案：为减少电子档案信息系统故障的影响，尽快恢复系统，应制定故障的应急措施和恢复规程以及自然灾害发生时的应急预案，制成手册，以备及时恢复系统运行。

3、网络安全评价指标

越来越多的电子档案在网络上传输，而网络作为一种构建在开放性技术协议基础上的信息流通渠道，它的防卫能力和抗攻击能力较弱，可能会遭受到病毒、黑客的袭击。为了保证电子档案的安全必须保证其传输的媒介——网络的安全，网络安全评价指标包括以下几个方面：

(1)是否有计算机病毒防范措施

(2)是否有防黑客入侵设施：主要是设置防火墙和入侵检测等设施。

(3)是否有访问控制措施：访问控制是指控制访问网络信息系统的用户，当用户之间建立链接时，为了防止非法链接或被欺骗，就可实施身份确认，以确保只有合法身份的用户才能与之建立链接。

(4)是否有审计与监控：审计与监控是指应使用网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

4、信息安全评价指标

在网络能够正常运行的基础上，我们要保证在系统中传输、存贮的电子档案信息是安全的，不被截取、篡改或盗用。

(1)是否采取加密措施：档案的本质属性是原始记录性，而计算机和网络的不稳定性使得电子档案信息的这一特性难以保证，而且有些电子档案信息有密级限制，不能公开在网络上传输，所以电子档案信息在网络传输时必须通过加密来保证其安全。

(2)是否有数据完整性鉴别技术：网络上的传输使得电子档案信息的完整性无法保证，黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制，这对于电子档案信息来说至关重要。

(3)是否确保信息数据库的安全：一个组织最核心的信息通常以数据库的形式保存和使用，保证数据库安全对于电子档案信息来说有重要的作用。

(4)是否有信息防泄漏措施：信息防泄漏包括信息审计系统和密级控制两方面。信息审计系统能实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为；另外，可以根据信息保密级别的高低划分公开范围，并对用户划分访问权限，进行分组管理。

(5)是否有防抵赖技术：防抵赖技术确保用户不能否认自己所做的行为，同时提供公证的手段来解决可能出现的争议，它包括对数据源和目的地双方的证明，常用方法是数字签名。

5、系统安全评价指标

这里的系统安全是指计算机整个运行体系的安全。在计算机上处理信息时，硬件、软件出现故障或误操作、突然断电等都会使正在处理的信息丢失，造成无法弥补的损失。所以我们需要采取一系列措施保证系统的稳定，确保信息的安全。计算机系统安全评价指标有：

(1)是否有系统操作日志：系统操作日志详细记录了系统的操作状况，以便事后分析和追查系统损坏的原因，为系统提供进一步的安全保障。

(2)是否进行系统安全检测：运用系统安全检测工具对计算机和网络进行安全检测，可及时发现系统中存在的漏洞或恶意的攻击，进而采取有效的补救措施和安全策略，达到增强网络安全性的目的。

(3)是否有操作系统防破坏措施：操作系统集中管理系统的资源，是计算机系统赖以正常运转的中枢，它的安全性将直接影响到整个计算机系统的安全。操作系统应当建立某些相对的鉴别标准，保护操作系统本身在内的各个用户，阻止有害功能的运行。

(4)是否进行系统信息备份：日常备份制度是系统备份方案的具体实施细则，应严格按照制度进行日常备份，否则将无法达到备份方案的目标。

(5)是否有灾难恢复系统：当系统因人为或自然因素受到破坏时，我们应保证能够尽快地恢复正常工作，把损失控制在最小范围内。

三、电子档案信息安全评价指标体系权重确定方法

用若干个指标进行综合评价时，其对评价对象的作用，从评价目的来看，并不是同等重要的。指标越重要，权的数值就越大；反之，数值小则可以说明其重要程度相对较低。

合理地确定和适当地调整指标权重，体现了系统评价指标中各因素之间的轻重有度、主次有别，更能增加评价因素的可比性。在安全评价中，具体确定权重的方法很多，如德尔菲法、主成分分析法、层次分析法、环比法等。其中，层次分析法比较适用于电子档案信息安全的评价。

层次分析法的核心是对决策对象进行评价和选择，并对它们进行优劣排序，从而为决策者提供定量形式的决策依据。它充分利用人的分析、判断和综合能力，适用于结构较为复杂、决策准则较多且不易量化的决策问题。它将定性分析和定量分析相结合，具有高度的简明性、有效性、可靠性和广泛的适用性。而电子档案信息安全指标体系因素多、主观性强且决策结果难以直接准确计量，因而可以用层次分析法来确定指标体系的权重。层次分析法的基本步骤是：

1、将复杂问题概念化，找出研究对象所涉及的主要因素；2、分析各因素的关联、隶属关系，构建有序的阶梯层次结构模型；3、对同一层次的各因素根据上一层次中某一准则的相对重要性进行两两比较，建立判断矩阵；4、由判断矩阵计算被比较因素对上一层准则的相对权重，并进行一致性检验；5、计算各层次相对于系统总目标的合成权重，进行层次总排序。

四、电子档案信息安全评价指标体系综合评价方法

综合评价是指对被评价对象进行客观、公正、合理的全局性、整体性评价。可以用作综合评价的数学方法很多，但是每种方法考虑问题的侧重点各有不同。鉴于所选择的方法不同，有可能导致评价结果的不同，因而在进行多目标综合评价时，应具体问题具体分析。根据被评价对象本身的特性，在遵循客观性、可操作性和有效性原则的基础上选择合适的评价方法。在信息安全领域，目前存在的综合评价方法有信息系统安全风险的属性评估方法、模糊综合评价方法、基于灰色理论的评价方法、基于粗糙集理论的评价方法等。对于这些方法，目前还没有评论认为哪一种方法更适用于信息安全领域的综合评价。鉴于此种情况，本指标体系采用模糊综合评价方法。

模糊综合评价就是以模糊数学为基础，应用模糊关系合成的原理，将一些边界不清、不易定量的因素定量化，进行综合评价的一种方法。从评价对象来看，用模糊综合评价方法来评价信息安全系统是可行的。首先，对于信息的安全管理而言，“安全”与“危险”之间没有明显的分界线，即安全与危险之间存在着一种中间过渡的状态，这种中间状态具有亦此亦彼的性质，也就是通常所说的模糊性。因此在安全的刻画与描述上大多采用自然语言来表达，而自然语言最大的特点是它的模糊性。另外，电子档案信息安全评价中，对一些评价要素的评价是具有模糊性的。如组织管理中的评价很难量化，一般只能用“好”、“一般”、“差”等等级概念来描述，具有较强的模糊性。而且一些评价要素受外界环境的影响较大，具有不确定性，如网络攻击、安全设施失效、人为失误等偶然性较大，难以准确评价。对于这些模糊的、不确定性的问题通常采用模糊数学来研究。模糊综合评价方法就是在对多种因素影响的事物或现象进行总的评价过程中涉及到模糊因素或模糊概念的一种评估方式，它通过运用模糊集合中隶属度和隶属度函数的理论来刻画这种模糊性，以达到定量精确的目的。

总之，模糊综合评价方法是一种适用于在信息安全管理方面进行系统评价的可行方法，其基本步骤为⑦：

1、确定评价集。评价集是以评判者对被评价对象可能做出的各种总的评判结果为元素组成的集合，例如我们可以对电子档案信息安全评价采用五个等级的评语集合(很好，好，较好，一般，差)。

2、建立因素集。因素集是以影响评判对象的各种因素为元素组成的集合，在本文的电子档案信息安全评价体系中，主因素层的因素集有物理安全、管理安全、网络安全、信息安全和系统安全五个指标，其下层又有各自的影响因素集，由各自的具体影响指标组成。

3、建立权重集。由于各评价要素在评价中的重要程度不同，因而必须对各要素按其重要程度给出不同的权重，权重集通过层次分析法确定。