安全信息服务范文

导语：如何才能写好一篇安全信息服务，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：长江水上安全信息台 数字音频

长江水上安全信息台（以下简称信息台）成立于2004年5月1日，是交通运输部指定的唯一为长江航行船舶播发各类航运安全信息的公益性广播电台，现隶属于长江海事局信息中心。信息台的主要职责是代表长江航运主管部门安全预警、水位公报、气象预报、航行通告、水上水下施工作业等各类航行安全信息，宣传交通航运政策法规，通报长江水上安全形式，普及航运安全知识等。

目前信息台通过甚高频和同步调频广播这两种广播方式为船舶提供广播服务，播发范围为四川宜宾到上海2800多公里的长江干线，每天为7万多艘船舶提供安全信息服务，船舶收听率达到85%以上。

广播在经历了调幅广播、调频立体声广播两个技术发展阶段后，正进入数字音频广播新阶段。信息台的数字化广播系统与传统的广播电台模式相比己经是大不相同，与传统广播电台相比省去了大量的CD、磁带，同时减轻了编辑、主持人的工作量，并且提高了节目的播出质量。计算机网络技术的发展使孤立的多媒体制作工作站有效地连接在一起，并通过这一网络实现全台的节目共享和自动播出，进而实现整个信息台从节目制作、存储、管理到播出整个流程都是以数字的形式通过高速的计算机网络在各工作站流动，最终各种音频节目、文稿资料都保存在容量巨大、性能稳定的大型数据库中。

相较于调幅、调频技术，数字化的影响远远超出了技术范畴，数字技术彻底改变了传统广播的运作方式。电脑数据库、网络共享、数字音频处理等，成为其必须依托的技术平台。人力成本的几何级节省，是其最抓人眼球的特点。音乐、广告、标头、资讯等类型的音频节目，预先录制后，按设计好的节目表单，信息台可以提前编排好一天、一个星期甚至一个月的节目，系统将自动控制播出。

在信息台计算机综合信息系统中，数字音频工作站占据着相当重要的地位，可以说，是信息台数字化的基础。它的基本功能为实现从节目录制、节目单编排、节目审核、节目管理、节目播出的整个过程的自动化、无磁带化，以及播出监控的数字化。由于它涉及到管理、播出的各个环节，一个比较完善的音频工作站应具备大容量录制、全方位检索、自动编排生成、定时播出、方便的管理等功能元素。因此设计一个合理的整体系统结构和工作流程至关重要。

技术路线

Ajax的工作原理：AJAX（Asynchronous Javascript and XML，异步JavaScript与XML），是使用客户端脚本与Web服务器交换数据的Web应用开发方法，是多种技术的综合。它使用XHTML和CSS标准化呈现，使用DOM实现动态显示和交互，使用XML和XSTL进行数据交换与处理，使用XML Http Request对象进行异步数据读取，使用JavaScript绑定和处理所有数据，更重要的是它打破了使用页面重载的惯例技术组合，可以说AJAX己成为Web开发的重要武器。

Ajax的核心是JavaScript对象XML Http Request对象在Internet Explorer中首次引入，它是一种支持异步请求的技术。简而言之，XML Http Request使您可以使用JavaScript向服务器提出请求并处理响应，而不阻塞用户。Ajax用来描述一组技术，它使浏览器可以为用户提供更为自然的浏览体验。在Ajax之前，Web站点强制用户进入提交/等待/重新显示范例，用户的动作总是与服务器的“思考时间”同步，Ajax提供与服务器异步通信的能力，从而使用户从请求/响应的循环中解脱出来。借助于Ajax，可以在用户单击按钮时，使用Javascript和DHTML立即更新UI，并向服务器发出异步请求，以执行更新或查询数据库。当请求返回时，就可以使用Javascript和CSS来相应地更新UI，而不是刷新整个页面，最重要的是，用户甚至不知道浏览器正在与服务器通信，Web站点看起来是即时响应的。

系统介绍

录音工作站：实现节目录入和制作的功能，即实现节目的采集、压缩、编辑、合成及音频处理等功能，并保证较高的录制质量。可将其分为两大类：

1、音频资料的灌入或精品节目的制作：这类节目一般需要长期保存，或用于播出，或用于节目素材，储存在总台或系列台的音频资料库中；

2、播出用节目：这类节目时效性强，不需要作长期保存，一般在播出后即可删除，储存在播出库中。

节目单编排审听：完成音频工作站系统中的节目按天、按模板编排节目单，可以查询每一天的节目单，并可以进行节目单的试听、审定，还可以对播出站的直播模块进行编排等。

节目预载：播出工作站根据预先的设置提前将次日或次几日要播出的节目内容从音频资料库中预载到播出工作站的本地硬盘上，保证在网络因故障瘫痪时也能正常播出。

播出工作站：实现信息台的自动播出。它从播出节目库中调入本栏目的节目，并按节目编排站编排的节目单自动播出或由主持人手动播出。

篇2

关键词：政府；信息安全；信息安全人事管理

随着我国信息化建设的不断推进以及电子政务的持续发展，政府信息安全事故也频频发生。

资料表明，七成以上的政府信息安全事故是由政府内部相关工作人员引发的。可见，在信息安全事件中起决定作用的是人，人是信息安全保障T作中最活跃的因素。信息安全人事管理是指以现代人力资源管理理论为基础，从招聘选拔、人员培训、人员使用、绩效考核、人员激励、离职管理等主要职能人手，对组织中信息安全人员进行科学管理、合理配置和有效开发，籍以实现组织信息安全管理目标的活动。信息安全人事管理是信息安全管理的核心。作为信息安全保障的一个关键要素，信息安全人事管理的强化实施可以为政府搭建起一道牢固的“人力防火墙”。本文将现代人力资源管理相关理论与信息安全工作特点结合起来，发掘与提炼信息安全人事管理各主要职能具有特殊性与规律性的实务要点，以期为有关方面提供借鉴和参考。

一、信息安全人员招募与选拔

招募与选拔是政府信息安全人员的“入口”，直接影响到信息安全工作的质量和效率。信息安全人员的招募与选拔实务应该把握以下要点：

1．从招募与选拔的标准上看，突出对个人品德及专业知识的要求。信息安全工作具有保密性、综合性、层次性和规范性等特点，进而决定了信息安全从业人员具有诸多特殊性及要求：他们在工作中会接触到关系国家及组织荣辱兴衰、生死存亡的大量秘密，保守秘密是他们的基本职业道德；他们必须不断学习，对自己的知识与能力进行“升级”，才能适应信息时代信息安全工作的需要；他们必须遵守更多的规定，而且在组织中具有明确的职责，不能越雷池半步。这些都表明，信息安全人员必须具有更高的品德修养。这对应聘者提出更高的标准及要求：必须具有很强的组织纪律性和保密意识；具有很强的团队意识和合作精神，愿意为组织利益牺牲个人利益；具有长远眼光和接纳新事物的胸怀，不断更新自身素质。组织可以通过面试、心理测验、背景审查等选拔方式考察应聘者的德行。此外，管理与技术是做好信息安全工作的两大法宝，因此是否具备一定的信息安全管理与技术专业知识是信息安全人员招聘的另外一个主要标准。组织可以通过笔试来考察应聘者专业知识掌握的程度，并根据职位的不同定位来确定不同的考察重点。

2．从招募的途径上看，在内部招募和外部招募相结合的基础上，突出内部招募。内部招募是指从组织内部发现并培养所需要的各种人才，其方式包括内部晋升、岗位轮换和返聘等；外部招募是指按照一定的标准和程序，从组织外部的众多候选人中挑选符合空缺职位要求的人员，其方式包括人才招聘会与校园招聘等。内部招募和外部招募各有优劣，两者结合起来可使招募效果最大化。由于信息安全工作的保密性要求，信息安全人员招募一般突出依赖内部招募，这主要是为了人员安全可靠的考虑，确保信息安全人员的稳定性。信息安全关键或领导职位出现空缺尤为如此。不过，由于当前我国政府信息安全人才仍旧匮乏，所以当内部招募满足不了组织用人需求时也适当考虑外部招募。招募非关键性信息安全人员时尤为如此。

3．从选拔的过程上看，尤为重视背景审查和保密协议签订两个环节。一般单位选拔人员可能也进行背景审查，但不一定是必须的，或者审查的过程与结果不一定非常严格与仔细。与之不同的是，信息安全人员的选拔尤为重视背景审查这个环节。该环节不仅不可或缺，而且在审查的时间、内容、过程、结果等方面比一般人员审查有更高的要求。其意义在于保证信息安全人员招聘的准确性与可靠性，并在“人口”或“源头”上控制信息安全人事风险。例如，美国中央情报局联邦调查局等部门在选拔关键涉密人员过程中经常采用“心理测谎术”等高科技手段来对候选人进行审查，以确定候选人的诚实度、心理健康度或意志力等。此外，一旦候选人接受了工作，录用合同就成为重要的安全手段。在合同中，组织可以将“政策认可”作为招聘的一个基本要求即在合同中附上一个保密协议，要求候选人在将来的工作甚至离职后的一段时间中，必须遵守组织相关保密规定，担负起保障组织信息安全的责任，否则就会

二、信息安全人员培训

信息安全人员培训是通过各种方式帮助信息安全人员习得相关的知识、技能、观念和态度的学习过程以及开发其潜能的各种活动。其实务要点包括：

1．从培训原则看，坚持保密性原则和适时性原则。保密性原则是指信息安全人员的培训要做好保密工作，特别是对于培训内容、时间和地点等，不可随意泄露，以免引起不必要的麻烦。此外，适时性原则主要是为了顺应当前信息安全科技发展迅猛、更新换代速度加快而提出来的。信息安全人员培训只有遵循适时性原则，才能使信息安全人员跟踪本领域科技发展最新动态，掌握最先进的知识与技能，以防止思想观念陈旧与知识技能老化。

2．从培训内容看，侧重于信息安全意识与信息安全知识与技能培训。高度的信息安全意识是信息安全人员必须具备的基本素质。信息安全意识贯穿于员工工作的始终，但是工作时间越长员工大多会出现倦怠，信息安全意识便会降低逐渐放松警惕，信息安全风险随之倍增，所以加大信息安全意识培训力度势在必行。政府可以使用各种媒介进行宣传，包括鼠标垫、水杯、钢笔或在工作期间经常使用的任何物体上，在这些物体上印制上安全标语，用来提醒员工注意安全如在鼠标垫上印上“BeSafe：Think BethreYouClick”，使信息安全人员在每天工作时都最先考虑信息安全，树立自觉维护信息安全的意识。此外，信息安全行业的综合性使得组织必须根据学用一致的原则，加强对信息安全人员进行信息安全知识与技能的培训。只有不断给员工“输入”新观念、新知识与新技术，使其掌握信息安全的基本原理、要求和惯例，才能提高其技术与管理水平。

三、信息安全人员使用

信息安全人员使用是指组织通过各种人事政策，促使信息安全人员与信息安全工作两者之间实现“人事相宜”、“人职匹配”等，以保障组织信息安全。信息安全人员使用实务要点是：

篇3

XP停止服务影响巨大

XP停止服务的决定，将会给中国的信息安全带来巨大的影响。微软停止XP服务意味着它将不再对XP的安全问题负责，它将不再XP的漏洞和补丁，这显然会让XP用户面临很大的安全风险。看来，微软此举是希望XP用户在这种压力下能升级到“Windows 8”。

在中国的PC用户中，XP的市场份额占73.5%，即XP在用量约为2亿台，其中84.2%用户没有升级到“Windows 8”的计划。也就是说，绝大多数中国XP的用户都希望继续使用XP，微软的决定不符合他们的愿望。由于微软此举涉及的电脑数量巨大，因此是一个重大的信息安全事件，需要认真应对。

中国将要为此付出巨大的成本。应对这一事件需要作长期打算，不仅是为了减轻近期风险，而且还要大大增强长期的信息安全，为此进行投入、付出代价都是值得的。

现实情况是，中国在智能终端操作系统上完全受制于人。所谓智能终端，指的是各种信息终端，随着云计算的兴起，这些就是各种接受云服务的终端，包括桌面PC、智能手机、平板电脑、智能电视等家用智能终端、可穿戴设备、车载设备等等。这类智能终端使用的操作系统具有高度的垄断性，现在全世界基本上只有三家――苹果、谷歌和微软的系统。中国尽管是世界上智能终端的最大制造国，可是我们制造的所有智能终端都是用的这三家系统，这种局面不改变，不仅我们智能终端制造业的利润和发展受到制约，而且所有终端都运行外国操作系统，从大数据的角度看，我国用户的数据都被人所掌握，信息安全没有保障。由此可见，解决这个问题是刻不容缓的。

积极构建信息安全环境

过去我们在信息安全方面的许多措施，例如在信息系统设置防火墙、进行漏洞扫描，安装杀毒、杀木马软件等等，不一定真正解决问题。例如2008年微软对其认为是使用盗版软件的用户电脑实行“黑屏”，当时有人问：我的电脑装了杀毒软件，为什么防不了“黑屏”？这是因为操作系统是最基础的软件，是一切软件运行的平台，杀毒软件也在操作系统之上运行，也受它的控制，当然不可能干预操作系统，操作系统要电脑“黑屏”，其他软件是无法阻止的。

应当指出，信息系统的核心软硬件，尤其是操作系统和CPU芯片等与系统的安全关系极大，一些重要信息系统中，大量采用外国的操作系统和CPU等核心软硬件，存在极大的安全隐患，为了从根本上增强信息安全，今后我们要对这些系统中使用的核心软硬件以自主可控的国产软硬件进行替代，由替代XP所引发的操作系统国产化替代就是重要的环节。

在信息安全领域，我们应当针对在信息安全领域的那些受制于人的关键核心技术，包括上述的智能终端操作系统、CPU和网络架构等等，发展自主可控的国产技术和设备，推进若干国产化替代工程，以便达到自主可控的目标。当然，自主可控只是一个先决条件，在这基础上还要做到安全可信，最终使国家信息安全得到有力保障。

发展国产操作系统

据报道，我国版权局曾就微软停止XP服务一事与微软商议，希望微软能考虑用户的需求，延长支持，但微软并未响应。不论此事是否合理，要真正解决问题，停留在议论上是没有用的，必须立即采取果断措施，应对此事带来的安全风险。

那么，针对微软的决定，产业界等应该如何来应对呢？我认为，为长远着想，首先应防止“Windows 8”进入政府和重要行业。回顾2006年微软“Windows Vista”时，当时有关机构根据专家评估，确认其架构会使用户电脑被微软高度掌控。其结果是“Vista”未列入政府采购目录。现同类架构的“Windows 8”的安全风险远超过“Vista”，更不应被引入政府和重要行业，故不应将其列入政府采购目录。

同时，应在信息安全领域权威机构――中国国家信息安全漏洞库的支撑下，集中我国信息安全领域的力量协同攻关，采用自主创新的可信计算技术进行安全加固，在微软停止对“XP”支持后，推出有公信力的“安全云服务”，接管我国2亿台XP电脑用户的服务支撑。这样，可防止在微软中止支持XP后，继续使用XP的电脑出现严重安全事件。

中国“政产学研用”各界要共同努力，自主发展替代XP的国产操作系统及其生态环境。

为此，要发扬“两弹一星”和载人航天精神，加大自主创新力度，学习“北斗”、“TD”等产业联盟的成功经验，创新地组织面向智能终端操作系统的产业联盟，发挥市场在资源配置中的决定性作用，整合全国资源，吸收社会资金，协调一致，避免内耗，尽快推出国产操作系统及其生态环境来替代XP，并以此为突破点，进而以点带面，推进到替代其他桌面操作系统，然后再扩展到替代移动操作系统。最终，我们希望中国国产智能终端操作系统能成为世界上继苹果、谷歌和微软三家系统后的第四家系统。

篇4

研究院的安全服务主要包含四大独立服务：安全服务、监测服务、睿眼通和信息安全应急响应指挥平台。服务内容主要包括以下几个方面：

首先是安全咨询。以“业务需求管理”为核心出发点，依托ISO27001、ISO17799等国际信息安全标准和法规及行业规范，融合自上而下的指导方针、管理策略、业务流程运行规则、系统操作指南，建立信息安全管理体系。

其次是安全培训。安全培训旨在提高客户的信息安全意识和技能，为最大程度上提高客户的整体安全防卫意识和安全防卫技能，真正把信息安全管理体系落到实处，提供强力有效的技术支撑保障。

再次是安全评估。对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性评估，为客户信息安全管理体系策划提供基础。

最后是安全加固。结合等级保护国家政策及行业规范，通过现场调研，合理使用安全加固工具等为客户提供安全加固服务，主要提供主机加固、系统加固、数据库加固、应用服务器加固、应用加固等服务，安全补丁、安全策略调优、配置优化等服务。

七大监测服务主要包括下几个方面：

第一，“睿眼”外网安全监测预警服务平台是一套软硬件一体化监测平台，以大数据技术为依托，集成了Web漏洞扫描检测技术、采用远程监测对外网网站提供7×24小时实时安全监测服务。通过对网站的不间断监测服务及时发现威胁，从而提升网站的安全防护能力和网站服务质量，并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。

第二，“睿眼”移动安全监测预警服务平台，为政府和企事业单位搭建一个应用App统一存放、统一管理、统一安全监测的AppStroe平台，通过此平台进一步提升用户办事体验，同时方便国家、省部级对下级单位进行移动App管理和统计。

第三，“睿眼”内网安全监测预警服务平台，基于对内网网络系统安全运行的考虑，平台提供对内网的实时安全监测、分析和预警功能。

睿眼通

睿眼通是七大监测预警服务平台提供给客户的一款智能移动终端，基于客户对信息安全情况的即时需求，以七大监测预警服务平台监测结果为主线，可以成为客户处理信息安全问题、了解安全状态趋势、掌握最新安全资讯的贴心助手，随时随地了解网站及信息系统等的整体运行情况。

信息安全应急响应指挥平台

应急响应指挥平台通过各大监测预警服务平台实时监测结果，对告警的安全故障或安全威胁，以最短的时间进行故障排查定位和应急处理。

安全产品

公司安全产品包括堡垒主机系统、系统安全加固、审计系统和信息共享管理系统。

（1）堡垒主机系统。堡垒主机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。堡垒主机系统软件扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。

（2）系统安全加固。系统安全加固V1.0产品是软硬件相结合的产品，通过硬件USB-KEY，提高了服务器系统的安全性，克服单纯使用软件防护的局限性；软件部分包括服务器操作系统安全增强软件、服务器安全，以及统一安全管理平台软件。

（3）审计系统

①日志审计系统。日志审计系统一方面可以集中收集、长时间存放所有的记录日志，避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生，另一方面日志审计系统强大的日志审计功能可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段，从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成，大大减少信息部门的工作量。

②网络安全审计系统。网络安全审计系统主要通过旁路监视并记录对数据库服务器的各类操作行为，通过对各类网络行为的分析，实时地、智能地监控审计，并将审计数据存储，以便日后进行查询、分析，实现对整个网络环境内的操作访问行为的监控和审计。

篇5

【论文关键词】档案信息服务；隐私权；网络化

档案信息是一种重要的原始信息，也是记录隐私的重要载体，同时，作为历史的记录，档案中的许多内容涉及个人隐私，因此，档案工作和隐私权保护有着必然的联系。蓬勃发展起来的网络环境在改变档案信息收集、整理、贮存、传递、利用的传统模式的同时，也使隐私权保护呈现出新的特点。网络本身的安全性并不十分可靠，这是档案信息网络化服务进程中一个极为重要的问题，由于技术的不完善，第三方（如“黑客”等）对当事人隐私权的侵犯既可以发生在档案馆与用户通过网络传送个人资料或不同的档案网站之间共享个人资料的某个环节，也可以发生在档案网站贮存个人资料的过程。这也从客观上推动了我们对档案信息（网络化）服务中的隐私权保护问题的探讨。

一、档案信息服务中涉及的隐私权问题分析

在档案信息服务中保护隐私权的意义不仅仅在于维护当事人的合法权益，而且在于为档案事业的发展营造良好的社会氛围，推动档案信息化进程，促进档案社会价值的发挥。

（一）个人资料收集中的隐私权问题

档案是一种重要的原始信息，且具有保密性。其中包括公民的一些重要的个人信息，大多数鲜为人知。虽然档案法对保密档案的管理和利用、密级的变更和解密都作了严格的规定，同时制定了档案的开放期限，但其法律相对方主要是机关、团体、企事业单位，对于个人重要档案信息没有给予明确的说明。事实上，在档案所有人向档案馆移交、捐赠、寄存或档案馆自行收集关于公民的档案之初，就应妥善处理好隐私权问题。

隐私权保护问题在传统的个人资料收集过程中并不太引人注目，但在网络化的今天，档案馆通过网络收集个人资料变得快捷化、自动化、详细化，隐私权问题相对也就更加突出。比如，档案网站在接受访问时往往要求用户提供若干个人资料，包括年龄、性别、身份证号、职业、收入、工作单位、研究方向、联系电话、传真、电子信箱等；档案网站可以利用一些追踪软件来持续掌握用户的网上行为，判断他们的档案信息消费特点。

档案网站采用先进的技术手段收集个人资料并非出于恶意，目的是通过对个人资料的分析与挖掘，找出可能连用户自己都没有意识到的档案信息消费习惯或消费需求，改进服务工作，这是网络环境中档案信息服务和信息产品开发“量身定制”的个性化、多样化的要求。但是，档案网站在用户毫不知情或无可奈何的情况下（例如有的网站拒绝为不提供个人资料的用户服务）收集个人资料，就会侵犯用户对其个人资料的占有权和支配权。

（二）个人资料传输和贮存中的隐私权问题

档案信息传输和贮存过程中所涉及的隐私权问题，主要出现在档案信息网络化过程中。

网络本身的安全性并不十分可靠，这是档案信息网络化服务中可能产生隐私权问题的又一个原因。由于技术的不完善，第三方（如“黑客”等）对当事人隐私权的侵犯既可以发生在档案馆与用户通过网络传送个人资料或不同的档案网站之间共享个人资料的某个环节，也可以发生在档案网站贮存个人资料的过程中。比如，第三方可以直接侵入档案网站的用户数据库，观看、篡改、传播个人资料，如果这种行为是出于恶意，那么当事人的隐私权无疑将受到极大的威胁。

（三）个人资料利用中的隐私权问题

不恰当地利用个人资料是档案信息服务中可能产生隐私权问题的第三个原因。

档案利用与隐私权保护之间存在着矛盾，档案利用必然涉及到公民的隐私权保护问题。如果涉及隐私的档案被自由利用，就可能导致政治与经济活动的混乱，使社会公民产生生活危机感，给社会的安宁团结带来不利因素。因此，如何认识和正确处理好档案利用与保护公民隐私权问题，是档案利用工作在改革开放过程中的一个重要课题。由于这种侵权往往涉及到档案馆的管理职能及档案馆对个人资料的常规使用，所以控制和防止此种侵权的困难较大。比如，档案馆将用户为了特定的目的提供的个人资料出于业务需要用于未经授权的另一目的上，包括但不限于向别的档案馆提供该资料，且未限制该档案馆对个人资料的合理使用——虽然这种利用个人资料的方法对用户的合法权益并无损害。

由于各种原因，目前在档案开放利用工作中公民的隐私权得不到应得的保护甚至被人们所忽视，这无疑给档案信息服务工作带来了一定隐患。在目前我国隐私权的观念尚未深入人心，在人们普遍缺乏隐私权保护意识的情况下，档案部门在开放利用中忽视隐私权保护的行为还能被社会所容忍。但伴随着我国法制化建设的进程，公民隐私权意识的加强，档案部门在实际工作中如不能很好地贯彻法律的规定，忽视了对公民隐私权的保护，那么将会在很大程度上影响档案信息服务工作的开展。

二、档案信息服务中保护隐私权的对策

要使得公民的隐私权在档案信息服务过程中得到保护，必须走依法治档的道路，进行相关方面的档案法律建设。目前我国《档案法》中没有明确规定档案信息所涉及的隐私权问题，仅在部分条款中作有类似说明。

在档案信息服务过程中，档案利用是涉及隐私权的一个关键环节，在利用时应区别对待，通过控制使用这些涉及私人权益的档案，限制其利用范围，使隐私权受到必要的保护，做到合法利用。

做好档案信息服务中的隐私权保护，档案界和档案馆还应采取以下对策：

（一）制定档案行业的隐私权保护政策

1997年9月27日，国家档案局、国家保密局联合颁发了《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》。该文件对于有效预防在档案开放利用工作中发生对个人隐私的侵权，起到非常重要的作用。各级各类档案部门以此项规定作为政策指导和保障，结合各自实际馆藏状况，制定了相关的规章制度，收效显著。不仅如此，档案学会和档案馆也应制定本行业的网络隐私权保护政策，并在网站主页的显著位置予以明示，内容包括：告知网站收集个人资料的目的、方式、范围；对个人资料提供保密和安全措施的承诺；告知用户的请求阅览权、补充修正权、删除权、诉讼权等以及相关免责条款。 　档案法律在以后的完善健全过程中，要着重注意解决一个问题，即档案信息开放服务过程中公民隐私权与知情权的关系。在档案利用实践中，我们有时不得不在保护公民隐私权和维护公民知情权之间做出选择。档案部门所作出的选择要符合法律利益最大化原则。如当档案中的隐私涉及共同利益、公共需求、政治利益时，档案部门就要偏向于后者，因为它符合大多数人的需要，从长远来看，根本上也符合隐私权主体的利益。

（二）加强对个人档案隐私权的管理与技术保护

1.在档案管理中采取措施

这是合法利用档案信息的前提条件，要求对涉及公民隐私权的档案进行鉴定与区分，使之与一般档案区别对待，分开保管，做到有关档案的完整、安全和保密。目前，档案法规对涉及公民隐私权档案的划分并不十分明确，在实际工作中不易操作，这种状况亟待改善。

利用者在利用涉及隐私的档案时，只限于达到既定目的，当按规定获得了对档案的利用权后，可对这些档案进行阅览、复制和摘录，但不得将其以现行档案法规中明令禁止的形式对外公布，不得擅自传阅、散布、发表这些涉及他人隐私的档案内容。档案工作者有必要在提供档案信息服务过程中向利用者说明有关注意事项。

2.网络化过程中的保护手段

相对于传统的纸质档案而言，在档案信息网络化过程中，可以采取的技术保护手段可谓多种多样。现在已经有了Cookies软件管理工具、个人隐私偏好平台（P3P）、加密软件、自动删除个人资料软件等由用户自己保护个人资料的技术。档案网站保护个人资料的技术也有很多种，比如：档案馆为了禁止未获授权的人截取或查阅个人资料，可以通过设置本网站运行的服务器，自动使电子邮件传输到一个预先指定的服务器目录机密邮箱，只供获得授权的人查阅。

（三）提高档案馆保护隐私权的自律性

“自律”是档案馆保护隐私权的一条重要原则，即通过档案馆采取自律措施来规范自己在个人资料收集、存贮、传输利用中的行为，达到保护隐私权的目的。

1.档案馆应开展档案开放利用的鉴定工作

组织鉴定小组及时鉴定需要开放利用的档案，着重分析档案涉及隐私的内容和本馆档案的类型，从而确定哪些档案涉及个人隐私，属于控制范围。对个人资料的重要程度划分等级，以决定采取不同的保护措施。档案馆还要建立一些规章制度，避免使所有的档案馆人员都能接触到敏感的个人资料（如出身、种族、政治倾向、宗教信仰、犯罪记录等），确保只有经过批准的档案馆人员才能收集、查阅、传播这些个人资料。对于已到开放期的档案，要严格按照《各级国家档案馆开放档案办法》、《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》中的相关规定，对拟开放档案组织认真鉴定，以决定包含个人资料的档案的开放时间、开放方式和范围。

2.档案工作者要注意保护他人隐私

篇6

[关键词]档案信息服务 保护 网络化 隐私权 建议

中图分类号：G270.7 文献标识码：A 文章编号：1009-914X（2014）01-0283-02

引言：档案信息作为一种原始信息，是记录隐私的重要载体，因此，档案管理工作和隐私权保护有着必然的联系。当今社会信息技术迅速发展，促使了知识经济环境的产生和信息网络环境的形成。现在档案信息的网络化应用已遍及人们工作和生活的各个角落，且继续快速发展。网络环境在改变档案信息收集、整理、贮存、传递、利用的传统模式的同时，使隐私权保护也呈现出新的特点。

一、档案信息网络隐私权概述

网络环境下的档案也即档案信息的网络化。这是一个信息网络化的时代，无处不在的互联网络将各种各样的计算机、多媒体掌上终端、智能手机、数据库系统联接到一起，将信息空间、生活空间融合为一体，深刻的影响了人们的工作和生活方式。在这个奇特的空间中，人们可以随时随地通过网络来获得多种多样的数字化信息服务，而档案信息的网络化是实现这些服务的关键。当然，如同西方的一句谚语一样――每一枚硬币都有两面组成，档案信息的网络化如同一把双刃剑，在给人们的生活带来无限方便的同时也给档案管理服务工作带来了新的压力与挑战，其中最突出的就是隐私权的保护问题。

隐私权是自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权 。具体而言可分为四种类型，即：资料隐私权、通讯隐私权、身体隐私权和领域隐私权。身体隐私与领域隐私权属于有形隐私权，本人易于控制且法律对于其保护也比较全面，不易受损，即或受损也有法可依可得到有效的法律救助。资料隐私权和通讯隐私权属于无形隐私权，个人不易控制且相关的立法也不全面，因此易受损害而且往往无法受到及时有效的法律保护。在网络环境里无形隐私权的保护问题面对着更加严峻的挑战，被人们称为“网络隐私权”或“个人数据隐私权”的保护问题。

基于网络技术，个人资料可以被无限复制转载，弄得面目全非，更甚者则被心怀叵测者获取，利用这些隐私已达其造谣、诬蔑、诽谤、诋毁当事人名誉的目的。侵犯隐私权活动日益严重，用户对网络不由产生不安全感和不信任感，这在一定程度上阻碍了网络服务业的发展。

通过对各种法律规定的归纳，能动的隐私权包括控制权、获取权、知悉权、修改权、抗辩权、安全权和利用限制权。很多国际组织与国家政府都在对传统的隐私权保护政策和法律进行调整，以提高对网络隐私权的保护力度。1998年欧盟《个人数据处理和自由流动中个体权利保护指令》正式实施，规定了当事人享有接触个人资料的权利、更正、删除或封存个人资料的权利和拒绝利用个人资料的权利这三项权利，这大大有利于保护网络隐私权。

二、档案信息网络化服务中产生隐私权问题的原因分析

1、收集过程

档案中往往包括公民的重要个人信息，具有保密性。虽然档案法对保密档案的管理利用和解密等作出了严格的规定，但其对个人重要档案信息并没有给予明确的说明。事实上，在档案馆自行收集公民的档案过程中和档案所有人向档案馆移交、捐赠、寄存的过程中，最易发生隐私权问题。尤其在网络化的今天，通过网络收集个人资料已成为收集档案信息最主要的方式之一，且具有快捷化、自动化、详细化等特点，隐私权问题也就日益突出。

如今档案网站在接受访问时往往要求用户提供若干个人资料，档案网站利用追踪软件可以持续掌握用户的网上行为，判断他们的档案信息消费特点。当然，采用先进技术收集公民个人资料并非出于恶意，但是，有些档案网站在用户毫不知情或是无可奈何的情况下收集个人资料，这实际上在某种程度上就侵犯了公民的隐私权。

无论对当事人会否产生伤害，也无论是否经过当事人的同意，利用网络这种先进技术收集公民个人资料必须严格限于法定的职权范围。其次，欧盟《指令》第10条规定，收集个人资料应事先征得当事人的同意。档案网站收集个人资料必须遵循“告知原则”，这是档案网站应尽的义务。

2、传输和贮存过程

网络本身就是虚拟的，其安全性存在很大风险，并不十分可靠，这是档案信息网络化服务中可能产生隐私权问题的另一个原因。在网络与应用技术的发展迅速的同时，与安全技术对抗的技术也层出不穷，而不断出现的应用安全问题在一定程度上也成为促进安全技术发展的动力。从这个意义上看，安全技术总是滞后于其对抗技术的发展的。

由于对抗技术的存在，在网络传送个人资料、共享个人资料的某个环节或者在贮存个人资料的过程中，第三方（如电脑“黑客”）就可能利用其掌握的技术对公民的隐私权造成侵害，使之泄露。如果第三方出于恶意直接侵入档案网站的用户数据库，观看、篡改、传播网站上的个人资料，那么这种行为必将对当事人的隐私权造成侵犯，甚至会对当事人造成无法挽回的伤害，包括财产方面，更包括精神方面。因而为个人资料的安全提供必要的技术与非技术支持是十分必要的。各国也先后对此作出明确规定，如澳大利亚有如下法律规定：除非能提供相应的保护措施，禁止计算机互联、特别是通过链接、合并或下载包含有个人数据的文档；禁止从第三方可查询的文件中建立新的文档；禁止第三方掌握的文档资料或个人数据与包括档案馆在内的公共机构掌握的一个或多个文档资料进行对比或互联。

3、利用过程

档案信息服务中可能产生隐私权问题的第三个原因是不恰当地利用个人资料。由于档案是一种原始信息，包含公民若干个人资料，具有不可告知性，那么档案利用就极有可能涉及到公民的隐私权保护问题。如果涉及隐私的资料被恶意自由利用，就会使社会公民产生生活危机感，造成一定的混乱，影响社会安定。这往往与档案馆对个人资料的常规使用和档案馆的管理职能相关，因而控制和防止此种侵权的难度较大。比如，当事人为某一特定目的提供个人资料，而档案馆却出于业务需要未经当事人同意而用于另一目的，这在无意中也可能会给当事人带来隐私权问题的干扰。

4、管理的滞后性

第一，人文管理滞后。现在的网站大部分存在严重的漏洞，档案信息网络安全人才十分匮乏。由于多数单位对此并不重视，其网络管理人员没有受过正规的安全培训，甚至很多站点的管理员都是新手，在操作中漏洞百出，很多服务器至少有3 种以上的漏洞可以使入侵者获取系统的最高控制权 。第二、组织管理滞后。现代信息环境是动态发展变化的，安全与效率在本质上是一对不可避免的矛盾，在追求安全与效率兼得的过程中管理就显得特别重要。今天的信息操作环境高度分散、高度复杂，传统的组织管理已变得力不从心。所以，构建一种制度法规管理和技术管理相结合的新的管理模式已迫在眉睫。

三、档案信息网络化服务中保护隐私权的建议

依法治档是使公民隐私权在档案信息网络化服务过程中得到保护的必由之路，在档案信息服务中为有效保护公民的隐私权，笔者有如下建议：

1、健全档案管理制度

网络环境下，建立安全的档案制度屏障，事关重大

首先，要制定一定的规范，来限制个人资料的收集。必须通过合法的途径收集当事人个人资料且需在与当事人达成合意的目的范围内对所收集的资料进行使用和披露；其次，资料收集和使用机构务必采取一切可能的措施，来保障所收集的个人资料的安全性，包括资料在传输过程中和存储过程中的安全性；再次，

对档案借阅、保密、鉴定、销毁等各种制度和要求要作出明确和详细的规定；第四，对档案工作人员必须进行相关培训，且需细化档案人员的工作职责，使得从事档案信息服务的工作人员成为专、精、强的专业高素质人才；最后，设立专门机构对档案中个人资料进行保护，由相关专业人士组成该机构对有关档案信息网络化服务中个人资料的隐私权事务进行管理，这将有利于维护公民生活稳定，有利于维护整个社会的大安定。

2、为网络环境下档案安全提供技术屏障

安全技术作为对公民档案信息中个人资料有效保护主要措施，其主要包括两个方面：通信安全技术和计算机安全技术。 1.通信安全技术。在保证通信安全方面。通常可以采取以下技术：一是，档案信息加密技术。它是保障档案信息安全的最核心的技术措施。档案信息加密过程是由形形的加密算法来具体实施的，它以较小的代价获得较大的安全保护。 2.档案信息确认技术。它通过手段，以档案业务管理系统为依托，向档案电子化管理发展，促使档案信息长期保存已是必然趋势。确保档案信息长期存取的关键是建立一种结构方法来描述和记录用于管理信息资源的长期保存的信息，这就是常称的保存元数据。

3、依法治档

国家应制定相应的法律法规，使公民在权利遭受侵害时可依法得到保护。我们可以借鉴别国做法，明确规定权利人被侵权的救济方式，规定其可向侵权人请求损害赔偿，包括物质方面也包括精神损害赔偿。其中，对于物质赔偿的损害赔偿范围既可是法定数额，也可是实际损害赔偿数额，依权利人选择。

4、加强行业自律

外因通过内因起作用，内因才是事物生存及发展的根本，因此在网络环境下建立我国档案信息服务行业的行业自律体系颇为重要。应当充分发挥档案服务机构的自我管理的作用，在业内规范工作人员的工作态度和行为准则，规定对公民“档案信息网络服务中隐私权”的保护政策，将此政策作为最低标准以期达到行业自律，有效地保护档案中公民的隐私权。

结语：信息时代的到来带给人类的是知识和信息量的大爆炸，而档案信息是众多信息中最基础的一类，因此在档案信息服务中保护隐私权的重要性不言而喻。这不仅有利于维护当事人的合法权益，而且有利于档案事业的发展。这就需要社会各个阶层、各类部门、特别是档案信息服务部门在工作和生活中时时留心，处处自律，以保证在网络环境下档案部门能够更加健康、安全地服务于社会。

参考文献

[1] 王利明.《人格权法新论》[M].

篇7

我国食品安全监管的形势

食品安全问题作为世界范围的问题，逐渐受到全世界政府的广泛关注。世界卫生组织曾就食品安全问题展开过专门的讨论，各国也在为改善人们的生活，对本国的食品安全问题进行相关方面的安全检测。为适应新时代的发展潮流，我国在不断完善食品安全的监管工作过程中，建立了专门的食品安全检测制度和管理机制，明确了各部门之间的分工与合作。同时，通过采用科学化的监管手段，对监管措施进行不断的细化、对监管机制进行适当的完善和创新以及不断加强对监管基础设施的建设，为提升科学监管的能力和水平以及不断提高我国的食品质量安全具有重要意义。

从一定程度上讲，对食品安全的监管应该从源头抓起，逐步实现从农田到餐桌的监管，并不断扩大监管的范围。到目前为止，我国的大多数省份已经实现了对食品安全的监管管理。此外，对于食品安全监管的管理不应该仅仅局限于调查和评价，对高风险的环节应该进行重点监管，保证在以后的食品安全的发展道路上，科学的制定与食品安全有关的规章制度，不断提高我国餐饮服务业食品安全的监管水平，使其可以迈向更高的台阶。

但是，目前我国的食品安全问题依然比较突出，食品问题正处于食品安全风险的发展期和高发期，影响食品安全问题的矛盾依然存在，总体来说，食品安全的形势还是相当严峻。同时，餐饮食品安全的监管作为我国药品监督系统进行调整后新增的职责，面对复杂的餐饮消费环节，相关的食品安全检验和监督队伍不健全、最基础的设施条件比较差以及相关的技术能力薄弱，因此难以满足和适应当前我国食品安全的监管需要。

餐饮服务食品安全监测检验的必要性

近年来食品安全事件不断发生，比如：苏丹红、毒猪油、瘦肉精事件，对广大民众的生活造成一定程度的不良影响，除造成民众的恐慌外，食品安全问题也开始逐渐受到广大社会的极力关注。据不完全统计，近年来每年因食品安全造成的中毒人口和死亡人口正在呈很明显的直线上升，尤其是近期发生的地沟油和麦乐鸡事件，这再度引起全社会对食品安全问题的高度重视，和人们对食品安全问题的恐慌。

餐饮消费环节是食品在进行生产、加工和消费过程中诸多问题暴露和许多不安全因素积累的关键环节，加强对食品安全的监管已经几度成为两会的热门话题和两会代表们的共识。因此，要把对餐饮服务食品的监测和检验工作当作是监管工作中一项最重要的基础性工作，科学的进行食品安全的监管，根据相关的基础数据对各地区的食品安全状况做出科学化的评价。

基于我国目前餐饮服务业比较发达，各部门种类繁多，管理起来相对比较复杂，因此餐饮服务的食品安全监测工作仍然处于起步发展阶段，还未能在全国范围内进行广泛的推广。这样就从某程度上对食品安全的监管效能造成一定的限制，但是，加强食品安全的监测检验势在必行。

加强食品安全监管体系的有效策略

加强风险评估体系的建立。对潜伏在食品安全中的各种风险，通过采用科学化的手段进行有效地分析，对有害物质进行一定的识别，分析危害物本身的严重性、不确定性以及可能性，可以通过专门的监测技术对危害食品安全的因素进行检验。为此，国家应该建立和健全符合我国国情的餐饮服务食品安全监测和监督体系，确保我国的食品安全，从而全面提升餐饮服务业食品安全的水平。

建立和健全食品药品的检验系统。为确保食品的安全，应该逐渐建立各级的食品药品监督体系，为适用餐饮服务的发展需要，食品药品的检验体系应该不断的调整规划的建设发展方向和具体的工作思路。其次完善相关的基础设施的建设，积极的开展食品药品安全方面的培训，不断提升食品药品的检验水平。这对提高餐饮服务的食品安全监测水平具有积极的作用。

归纳危害食品安全的源头。影响我国食品安全的源头主要有生物性、物理性和化学性有害物质。首先正确认识和区分这三类有害物质，便可以在餐饮服务的过程中有效的避免这三类有害物质对食品安全和人们造成的伤害。其次，我国的餐饮文化在地域上有着明显的差异，因此要针对不同地方的不同餐饮食品确定其危害的源头，并对其进行归纳，有的放矢。

篇8

【 关键词 】 信息安全架构；企业战略；信息安全服务； 信息安全价值； 一致性；可追溯性

【 文献标识码 】 A 【 中图分类号 】 TP393.08

1 引言

信息安全技术和管理经过不断的发展和改善，已经能够比较有效地解决一些传统信息安全问题，如信息安全风险管理、访问控制，脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产，保护信息的安全已不再只是局限于技术和日常管理层面的讨论，信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时，一套合理的访问控制解决方案能够帮助企业快速推出核心产品（尤其是电子商务）和兼并其他企业。当前信息安全发展呈现出新的趋势和要求：（1）信息安全部门逐渐从成本中心转向价值中心，信息安全的各项活动越来越和企业战略紧密相连；（2）企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。

企业的信息安全部门在不断增强其核心影响力的同时，也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划，将信息安全融入到组织的业务流程中，并且保持信息安全控制措施与企业战略的一致性和可追溯性；其二是如何使信息安全的价值得到认可并在组织内部最大化；其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求；其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求，并实现清晰的测量和不断的改进。

当前各企业广泛采用的标准或最佳实践有几种：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。这些标准各有优点，但也有明显的缺憾，如表1所示（缺憾部分用X表示）。

设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。

* 将企业战略转化为信息安全计划，确保信息安全的可追溯性、持续一致性和简洁性，以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中，建立一致性和可追溯性；建立清晰的信息安全架构和愿景，以减少重复和指导信息安全投入和解决方案的实施。

* 基于客户服务理念，信息安全服务价值得到认可，信息安全靠拢业务部门，为信息安全管理和业务管理建立共同语言。

* 全面管理信息安全，满足目前绝大多数法律法规、标准的最佳实际的要求，并具有灵活的可扩展性，当新需求出现后能够将其平滑的融入到现有架构中。

* 系统和集中统一的方式，使信息安全管理可预测和可测量，并不断的改进。

2 信息安全架构设计

2.1 信息安全架构设计所基于的原则

本信息安全架构的设计遵循四大原则。

1） 业务驱动：所有的信息安全目标应该从业务需求中来，从而保证信息安全管理总是做“正确的事”。

2） 整合、统一的架构：现在有数以十计的信息安全相关的法律法规，标准和最佳实践需要去符合或参考，且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中，以保证所有要求都被满足，同时避免不要的重复。例如，ISO27001关注全面安全控制和风险管理，PCIDSS侧重支付卡环境中技术控制和策略管理等。

3） 系统化思维：运用系统化思维可以帮助组织解决复杂且动态的问题，适应运营中的各种变化，减轻战略上的不确定性和外部因素的影响。例如，需要整合机构、人员、技术和流程；需要考虑安全、成本和易用性的权衡；需要靠持续改进（Plan-Do-Check-Act）；需要考虑全面防护和纵深防护。

4） 易用性：信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此，信息安全架构必须易于理解并且实际可操作性要强，应避免太过复杂和晦涩。

2.2 信息安全架构实现

2.2.1 信息安全架构-域试图

基于上面的基本原则，本信息安全架构由三个域组成（如图1所示）：治理（Governance）、保障（Assurance）和服务（Services）。

治理（Governance）： 信息安全治理域强调战略一致性，风险管理，资源管理和有效性测量。治理域又包括三个子域：愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。

* 愿景与战略： 将遵从性要求，信息安全的发展趋势，行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。

* 风险与遵从性管理： 管理信息安全风险使信息安全风险控制在组织可接受的范围内。

* 测量： 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。

保障： 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产：数据层、应用层、IT基础设施层和物理层。

* 预防： 实施信息安全控制措施包括管理措施和技术措施，防止信息安全威胁损害组织的信息安全控态。

* 监测： 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。

* 响应：部署信息安全响应体系迅速、高效的抑制信息安全事件。

* 恢复： 建立组织的可持续性能力，但重要信息系统不可用时，可以在计划的时间内恢复。

服务： 服务域显示了面向客户（内部和外部），协作与知识更新对信息安全实践非常重要。服务域包含三个部分：信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。

* 信息安全服务： 信息安全团队应对待组织内部其他部门和对外部客户一样，基于服务基本协议，提供高质量的信息安全服务。

* 知识管理： 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。

* 意识与文化： 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全，关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。

2.2.2 信息安全架构-组件试图

为支撑信息安全架构的三个域，本信息安全架构组件融合了不同标准和最佳实践的精华部分，并自成一体，如图2所示。本架构参考的标准主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架构在企业内实际应用效果分析

本信息安全架构已被推广和应用到各个行业中，如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。

背景：此保险公司有3000名员工，计划在加拿大多伦多（Toronto）上市，因此需要符合加拿大和行业的一些法律法规的要求，如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求，因此不需要做任何大的改动的情况下（降低成本）就能应用到此保险公司中。

经过9个月的实际运行，公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。

3.1 平衡计分卡（Balanced Scorecard）[10]测评分析

平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目：对企业的贡献，对愿景的规划，内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估，0级表示无成绩，5级表示完美，然后取平均值。2011年7月评估结果显示“企业贡献”为2.2，“愿景规划”为2.5，“内部流程”为2.8，“面向客户”为2.1；2012年7月评估结果显示“企业贡献”为4.1，“愿景规划”为3.9，“内部流程”为3.8，“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。

3.2 总体信息安全成熟度级别分析

本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级，5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间， 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间，如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。

3.3 独立审核发现点数量分析

第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施，包括管理、技术和流程。审核发现点的数量越多，表明脆弱点越多，存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估（依据上市公司的管控要求）。2011年9月审核结果显示有4个高风险项，8个中风险项和13个第风险项；2012年9月审核结果显示无高风险项，且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。

3.4 信息安全事件发生数量分析

信息安全事件（特别是1级与2级事件）发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少，表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件（重大），12个二级安全事件（严重），25个三级安全事件和40个四级安全事件；2012年1月-10月期间有1个一级安全事件（重大），2个二级安全事件（严重），10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。

3.5 鱼叉式网络钓鱼模拟攻击测试结果分析

模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击（点击链接）的人数越少，表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台，在实施本信息安全架构前后分别选取了5个分支机构（共200人）进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名，然后伪造一份看似从信息安全管理员发出的E-mail，此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级，将会影响到原有的帐户和密码，要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。

2011年5月测试结果显示有47%的员工点击了有害链接，点击有害链接的员工中有18%的人输入了密码，点击有害链接的员工中有68%的人完成了在线培训内容；2012年5月测试结果显示有14%的员工点击了有害链接，点击有害链接的员工中有3%的人输入了密码，点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。

3.6 信息安全服务客户满意度调查结果分析

客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力，以及给公司带来的实际价值。满意度百分比值越高，表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。

2011年8月调查结果显示对服务专业质量的满意度为72%，对服务请求响应速度的满意度为46%，对服务态度的满意度为67%，整体满意度为60%；2012年8月调查结果显示对服务专业质量的满意度为95%，对服务请求响应速度的满意度为85%，对服务态度的满意度为92%，整体满意度为88%；如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。

4 结束语

现阶段信息安全管理着重在信息安全的风险控制，随着信息安全管理角色的转变，信息安全需要跟多的与组织战略结合，为组织创造更多的价值，并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点，但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中，验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。

参考文献

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者简介：

篇9

敦化市农业局在省、州农委的正确领导下和市委、市政府的高度重视下，以完善乡镇监管体系建设为突破点，以服务标准化生产为宗旨，以“技、监、检、认、教、宣”六措并举为手段，精心组织、加大工作力度，保障全市农产品质量安全，实现了安民心、保稳定、促和谐。

1.以标准化生产技术为依托，加快农业标准化示范区建设

一是以吉林省地方标准和延边州地方标准为依据，将现已制定出的主要农作物标准化生产技术规程20项及地方标准5项进行一次全面清理，彻底解决标准重复、交叉、滞后的问题。把标准化生产的技术规程印制成通俗易懂的操作手册10000份发放到农户手中。

二是严格落实标准化技术操作规程。印制了农业标准化生产日志5000册，完整记录标准化生产全过程，实现农产品质量安全追溯。各乡镇农业技术人员根据农业生产环节定期到村屯进行检查指导，避免违反规程操作，严格监督生产全过程，从生产环节有效地保证了农产品的质量安全。全年推广有机食品、绿色食品生产技术面积5万亩；推广无公害农产品生产技术面积28万亩，在增加农民收入的同时，有效解决了土壤及地下水污染，保护了农业生态环境，提高了农产品的质量安全和效益，深受农民群众的欢迎和好评。

三是严格执行已制定的《农产品标示管理办法》、《农产品质量安全监测制度》、《农业投入品管理使用制度》、《农产品质量安全追溯制度》、《农产品质量安全工作制度》、《初级农产品市场准入和产地准出制度》等6项质量安全监管制度，使工作有理有据，完善监管体系。

四是创新科技推广服务方式。敦化市结合农业科技入户和农民培训项目，结对培育农业示范户2000多户，加快了农业标准化技术成果转化。主要技术成果的入户率和应用率达到85%以上，对全市农业标准化生产发挥了重要的示范带动作用。

五是规范核心示范区，增强农业标准化生产的示范作用。围绕主导特色产业，选择一批基础好的大宗农产品生产基地，率先推进标准化生产，建设各具特色的农业标准化示范区。形成县有示范区、乡有示范村、村有示范户的农业标准化示范推广新格局。2012年组建了市、乡二级科技示范园区16处，总面积175公顷（其中：食用菌100万袋）。

六是借助农业龙头企业发展农业标准化示范基地。为提高农产品的质量档次，积极引导和指导农业龙头企业，实施订单农业，带动标准化农产品生产。全市共有21家农产品加工企业，实现11万多公顷订单农业，带动4万多户农民生产，带动标准化生产种植面积达到40多万亩。

七是坚持从实际出发，进一步完善“包村联户”的工作机制和“专家＋农业技术人员＋科技示范户＋辐射带动户”的技术服务模式，达到以科技服务农民，科技带动农业的效果。

2.以完善乡镇质量安全监管体系为突破点，确保工作不留死角

敦化市高度重视乡镇农产品质量安全监管机构建设工作，由市编办发文正式在全市16个乡镇成立农产品质量安全监管服务机构，在现有的乡镇农业技术推广站加挂农产品质量安全监管站的牌子，履行工作职责。

从以下四个方面着手，确保监管工作不留死角：一是要求16个乡镇政府成立农产品质量安全监管乡镇领导小组，由各乡镇主要领导担任组长，乡镇农业技术推广站为成员，乡镇农业技术推广站负责日常工作。每个乡镇质量安全监管机构都确定监管服务人员2人以上。完善了县级农业部门有专门监管机构、乡镇一级“有职能、有人员”的监管工作体系；二是建立了农产品质量安全监管工作制度，制作了巡查记录，积极开展定期巡查，巡查对象为农业生产基地和农民合作社。注重指导与检查相结合，把指导标准化生产作为第一目标，坚决杜绝出现使用国家明令禁止使用的高毒农药进行农业生产的现象发生；三是建立乡镇蔬菜农残检测制度，在主要蔬菜基地设立了常态化监测点，配合市检验中心完成蔬菜农残抽样工作；四是配合市农业综合执法大队在农资销售旺季对本乡镇全部农资经销店进行农资市场检查。注重日常监测，把群众反映强烈、问题突出的产品和经营点纳入重点监测范围，及时主动和市农业综合执法大队沟通，为农业综合执法提供第一手可靠信息，提高监督抽查的针对性、实效性。2012年全年配合市农业综合执法大队检查农资市场29次。

3.以检测服务为手段，提高农产品质量安全水平

为及时了解农产品安全状况，根据各个农事季节、重要节假期及重大活动，坚持日常检测和重点抽检相结合，全年对全市范围内中心市场、万客隆超市、康惠批发市场、江南镇蔬菜基地等重点种植区提供检测服务。形成了以市农产品质量检测站为中心，以农产品批发市场、规模生产基地、超市检测点为基础，布局合理、职能明确、专业齐全、运行高效的农产品质量检测体系。2012年全年市农产品质量安全检测中心共完成蔬菜农药残留超标检测41次，出动人员84人次，其中市场监测17次，抽样51个；生产基地检测24次，抽样72个，合格率在95%以上，确保了人民群众消费安全。

4.以认证管理为标杆，树立品牌优势

认真搞好已认证22种无公害农产品、7种绿色食品A级产品、3种绿色食品AA级产品、7种有机食品级和5个无公害农产品生产基地及生产企业的管理工作。围绕全市优势主导产业，通过走基地、走企业进行农产品质量安全知识的宣传普及和农产品质量安全认证管理，及时印发了《无公害农产品管理办法》、《绿色食品标志管理办法》发放到各认证企业和生产基地，确保已认证产品质量安全，树立良好的品牌优势。

5.以科技培训为基础，深入发动标准化教育工作

按照实际需求制定了科学有效的《敦化市农业局农产品质量安全宣传教育工作纲要》，对行政辖区内监管部门工作人员和管理相对人分别展开培训。一是先后四次组织乡镇农产品质量安全监管站人员进行质量安全监管业务培训，提高监管服务人员业务水平；二是通过集中授课、多媒体教学、实地练兵开展了农资市场监管、农产品质量安全暨标准化和检测人员3次集中培训；三是整合项目资源对江南镇、大石头镇、黄泥河镇等主要蔬菜生产乡镇开展无公害蔬菜生产技术培训班，提高农户无公害蔬菜种植技术。全年共计举办各类标准化生产技术培训75场次，培训4642人次。

篇10

体系寿光市农产品质量安全信息报送遵循由下到上的报送原则。在发现警情时，首先由信息员或农户、生产企业等采取控制措施，同时逐级或越级向当地农业行政主管部门报送，遇到特重警情，及时上报农业部。在报送信息的同时，及时控制违规农产品的流通，并通过媒体向公众事件或警情的处置信息，避免造成不必要的恐慌。寿光市目前的信息平台主要有市农业局管理的“寿光市农业信息网”和“寿光市农产品质量安全监管网”，生产主体可以通过这些网络了解标准化生产、农业投入品的备案登记情况以及蔬菜质量安全监管的有关信息。经国家质量监督检验检疫总局、山东省潍坊市及寿光市质量技术监督局等部门共同协调，由国家条码推进工程办公室自2004年6月起在寿光田苑蔬菜基地和洛城蔬菜基地实施了“蔬菜安全可追溯性信息系统研究及应用示范工程”，建立了具有中国特色的“无公害蔬菜质量追溯系统”。

二、寿光市农产品质量安全信息管控体系存在的问题分析

（一）信息采集不全面

寿光市的生产主体主要包括农产品生产企业、农民专业合作社、家庭农场和种养大户等。目前寿光市的农民专业合作社已超过900家，但多数不符合规范化要求，存在检测率不高，包装标识不全等现象，且多以经销农资和蔬菜为目的，对农产品质量安全信息的管控比较松散。虽然寿光市建立了信息化采集系统，但是对生产者的信息采集还没有实现全覆盖。1.产地环境信息未列入信息采集范围。目前寿光市对产地环境的信息采集相对较少，尤其对工业三废、农业投入品等对环境的影响未实现相应的监测和管控。2.生产信息采集不全面。部分农户对国家有关农业投入品使用规定及符合质量标准要求的生产操作规范尚不十分清楚，农产品质量安全追溯意识较差，缺乏生产记录、包装标识、打造品牌的意识，而且包装标识不够规范。3.监管信息采集不全面。由于人员编制和硬件设施的限制，个别乡镇的农产品质量安全监测信息不能及时准确地得到收集。4.追溯体系不够健全。农产品主要通过批发和商贩收购两种方式销售，销售方式比较分散，不易实现可追溯。一旦发生农产品质量安全事件，无法迅速查出问题发生根源和事故责任人，不能及时排除隐患和有效控制事故蔓延。

（二）评估预警系统不完善

尽管寿光市建立了农产品质量安全风险信息监测体系，在执法监管和检验监测等方面做了大量工作，也取得了较好成绩，但是，农产品质量安全预警体系仍然没有形成有关农产品质量安全的信息统一管理机制。1.农产品质量安全预警模型实践不足。农产品质量安全预警体系的建立是一项长期的综合性工作。由于寿光市农产品风险危害因子较多且不易全部收集，加之危害因子的评价背景资料不够详实完善，单一的预警理论和方法无法准确实现预警效果等诸多制约因素，所以，需要对影响寿光市农产品质量安全的危害因子进行长期的、综合的、专业的评估和研究，从而确定预警的阈值和预警的级别。2.专业风险预警人才匮乏。目前寿光市主要依靠“农产品质量安全视频监控与信息管理平台”来进行数据的统计和分析预警，基层的专业风险评估人员缺乏，不能及时发现警情和分析研判，容易导致政府主管部门对潜伏的危机信息掌握不及时、不全面，从而造成风险应对不力或滞后等被动情况。（三）应急反馈机制不健全寿光市在应对农产品质量安全警情和突发事件时，严格遵守《山东省农业厅农产品质量安全事故应急预案》的要求，积极快速地作出应急响应。但是事故应急体系和服务体系尚不十分健全。1.舆情监控体系不完善。目前寿光市对蔬菜等农产品质量安全的舆情监控较少，对可疑的监测信息及舆情信息，未能及时地开展隐患排查和应对工作；对于一些不实信息，也不能够及时向社会澄清事实，消除群众消费恐慌。2.服务体系不健全。寿光市农产品质量安全目前主要以监管为主，基层农业服务体系建设尚需进一步完善。尚未充分发挥农技站、兽医站、林业站等站所的基层服务作用。

三、对我国产地农产品质量安全信息管控体系构建的建议

（一）产地农产品质量安全信息采集体系

1.农产品质量安全信息的采集范围。根据影响农产品质量安全的风险隐患及其发生的环节[1]，农产品质量安全信息的采集应包括5个方面的关键内容：（1）生产主体的基本信息。对生产企业、合作社、家庭农场、种养殖大户和散户等5种农产品生产主体[2]，详细登记种养地址、种养规模、负责人姓名及联系电话等。（2）产地环境信息。需要采集关于工业废水、废气、固体废弃物、农业投入品以及农业废弃物对土壤、水体和空气的影响及危害信息[3]。（3）生产过程信息。包括农业投入品信息、农事操作、病虫害（动物疫病）防控、农产品收获（屠宰或捕捞）过程的基本信息。农业投入品是指在农产品生产过程中使用或添加的物质，包括农（兽、渔）药、农作物种子、水产苗种、种畜禽、饲料和饲料添加剂、肥料、兽医器械、植保机械等农用生产资料产品。对于生产主体来说，需建立农业投入品使用台账。对于农资企业来说，需建立农业投入品经营台账。另外，生产过程中还应包括产地准出信息。（4）加工和包装环节是农产品原料经粗加工成为半成品、成品的过程，包装材料、加工过程、加工工艺、贮存条件和运输条件等均会影响到农产品质量的安全性[4]。因此，还需采集加工、包装及运输环节中的农产品质量安全信息。（5）农产品质量监管信息。包括农产品质量监督和执法中发现的农产品质量安全信息、消费者对农产品质量安全的举报信息，以及媒体披露的农产品质量安全信息[5]。（6）其他信息。主要包括公正性信息和认证信息。公正性信息主要指由政府部门的农产品和农业投入品质量安全例行监测、监督抽查，农产品质量安全突发应急事件的预防、控制和处理措施，以及农产品质量安全基本科普知识等；认证信息目前主要为“三品一标”等优质、品牌农产品认证信息。2.农产品质量安全信息采集机制。（1）组织机构及人员。就产地来说，需设立或指定一个专门的机构如农产品质量安全信息中心作为信息监管部门，下设市级、县区级、乡镇级和村级监测机构作为信息网点，每一网点为一个信息采集点。每个网点配备相对稳定的信息收集人员和监测队伍，形成从下而上的信息采集体系。（2）采集方法。信息采集人员定期采集农产品质量安全的相关风险信息，及时上报农产品质量安全信息中心[6]。信息采集的同时，要建立一个类似“寿光市农产品质量安全视频监控与信息管理平台”的数据库[7]，覆盖区域内所有的农产品质检机构、大型批发市场、农贸市场、超市和示范基地检测站，通过对农产品安全生产和市场销售全过程监控信息的采集，实现对农产品安全生产和市场销售的全过程监控；集聚各检测中心的检测数据，实时分析相关数据，及时向政府部门、科研部门、消费者、生产者、经营者和传递农产品质量安全信息，实现信息资源在部、省、市、县等各个层面的共享，为全面推进市场准入制度提供数据支持[8]。

（二）农产品质量安全信息分析研判体系信息分析研判体系是农产品安全信息体系的主要和核心环节，需要相关部门领导、专家学者及技术人员进行科学咨询、分析、研究[9]。

1.分析研判专家团队。信息分析研判包括数据分析和专家研判两个部分。必须建立一支稳定的、具有相当实践经验的专家队伍。专家队伍至少包括管理部门的领导、具备丰富专业知识的专家学者及技术人员等。根据专家的调查研究和经验判断，制定预警分析方案和评估预测结果，进行“及时、准确、科学、客观”的分析研判。2.分析研判方法和程序。首先利用统计学技术，将采集到的各种农产品质量安全信息进行定性和定量分析，根据定性分析和定量分析结果撰写基础性农产品质量安全信息报告材料；然后组织农产品质量安全信息分析研判专家对信息开展深入的分析研判，确定观察对象各指标的权重，计算出观察对象危险程度的综合分数；最后根据预先设定的警戒线（阈值），对不同预警对象进行预测和推断，甄别出高危品种、高危地区、高危人群等[10]。3.信息分级。在农产品质量安全信息分析研判过程中，一般将农产品质量安全信息等级分为：特别关注（I级）、高度关注（II级）、重点关注（III级）、密切关注（IV级）4个等级。

（三）农产品质量安全信息报告和交流反馈体系农产品质量安全信息分析研判结果，要及时上报政府有关部门并向社会，正确引导舆论，维护消费者和农民正当权益。