信息安全审核制度范文
时间:2024-04-10 16:37:08
导语:如何才能写好一篇信息安全审核制度,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
1信息系统安全等级保护测评依据的标准
GB/T28449—2012《信息安全技术信息系统安全等级保护测评过程指南》规定了信息系统安全等级保护测评工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。GB/T28448—2012《信息安全技术信息系统安全等级保护测评要求》针对信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,包括基本技术要求和基本管理要求,该标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
2整合实施的思路
2.1审核与测评的过程整合整合是为了在组织内部建立一套信息安全管理体系及制度,而且该制度既符合信息安全管理体系又符合信息系统安全等级保护的管理要求,并给组织带来收益,避免不必要的冲突和资源浪费。根据对审核和测评的过程分析得知审核从表面上执行了测评的管理内容,但从整个审核和测评活动可得出,两者的活动内容和组织方式非常相似,因此具备很强的整合条件,两者的具体活动如表1所示。
2.2审核与测评的控制措施整合整合GB/T22239—2008中的控制措施部分与GB/T22080—2008的附录A完全可行,且整合后可避免多余、重复的管理资源。如GB/T22239—2008三级信息系统对资产管理的要求和GB/T22080—2008中的“A.7资产管理”基本保持了一致,具体标准条款映射如表2所示。若组织内存在等级保护三级或三级以上的信息系统,则该组织应建立信息安全管理制度体系,这与组织单独建立ISMS所达到的目标基本一样,从整合的角度来看,通过实施整合,可以取得“一举两得”的效果。具体的整合检查表如表3所示。
3结语
篇2
由英标管理体系认证有限公司(BSI)开发、由国际标准化组织2006年颁布的两个标准:ISO20000和ISO27001为迎接管理挑战,建立信息安全体系和IT服务管理体系提供了理论指导框架。
ISO20000&ISO27001认证项目于2007年5月8日正式启动,计划在2007年“十一”前完成。
公司聘请了英标管理体系认证有限公司(BsI)和中国信息安全认证中心(ISCCC)担任认证审核工作,聘请北京趋势引领信息咨询有限公司作为顾问公司协助项目执行。管理体系的建立依据ISO9001/ISO20000/ISO27001的标准要求,实施采取总部信息技术部先通过认证和管理覆盖全部31个分支机构IT相关岗位的策略。项目分为现状调查和差距评估阶段、体系建制阶段、试运行阶段、认证审核四阶段。
在体系建制阶段,公司管理层明确了信息技术“规范、安全、高效、创新”的管理方针。经公司会议决定对原有组织机构进行了适当调整,新增专门负责信息安全和IT服务质量工作的岗位,在信息技术部内落实每个管理流程的具体角色。为保证项目的顺利开展和两个标准的导入,信息技术部组织了全国范围内IT相关岗位的信息安全与IT服务质量意识培训。
在咨询公司的协助下,梳理业务流程,发现业务操作问题和管理盲点,并依据标准要求和公司管理需要进行体系制度的建立和完善。新的管理体系架构由基于服务的、横向的管理流程,基于业务处理的、纵向的管理规程,以及融入到流程、规程、办法、手册中的信息安全管控措施等三部分内容组成。
流程是依据ISO20000标准和信息技术部管理要求制定的;规程是依据ISO900I标准和信息技术部业务要求制定的;信息安全管控措施是依据ISO27001并结合信息技术部的信息安全要求,以及相关的法律法规制定的。
由于项目时间紧凑,体系试运行阶段与体系建制阶段采取叠接进行的策略。试运行阶段要求全体人员参与,旨在检查新的管理体系的执行的有效性和适宜性。到了9月,审核结果的宣布是激动人心的时刻,中国信达资产管理公司历史性地成为中国金融界第一家同时实施并获得ISO20000和ISO27001双认证的机构。是信达公司信息化建设进程中的又一次飞跃。
整合的ISO9001、ISO20000和ISO27001管理体系更加注重服务质量、信息安全,更加强调了规范化操作,并且形成PDCA持续改进的企业文化。
篇3
1.引言
省级电网公司信息安全防护工作事关电力安全生产和电网公司稳定运营,意义重大[1]。由于大多数业务应用已经省级集中,常规信息安全技术监督工作多被认为是省级公司层面的问题。省级单位监督力量不足,久而久之,信息安全监督工作流于形式,检查前重视、检查后忽视,信息安全地区差异大,网络末端安全防护不足。究其根源在于:(1)信息安全技术监督未成体系,监督力量多依靠公司级监督队伍,市、县公司专(兼)职信息安全员未被赋予督查的权力,导致基层单位日常督查的力度和效果不够,各项技术措施落实情况管控不足。(2)基层单位地区经济水平、单位领导信息安全重视程度、信息从业人员技术水平存在差异,造成信息安全意识宣贯和管理手段不同,且各单位缺乏安全技术交流。
为此,本文结合作者单位实际,提出一种电力企业信息安全技术监督体系,从组织架构、工作组织形式、主要技术手段、人力资源资格审核与培养以及制度规范等5个方面具体分析工作机制,并总结其实际工作成效。
2.电力企业信息安全技术监督体系的设计
2.1 组织架构
信息安全技术监督不仅仅是公司层面的问题,为充分发挥信息安全监督体系的整体作用,促进信息安全管理水平的不断提升,电力企业应建立贯穿所属各单位的信息安全监督网络,健全完善信息安全技术督查工作体系,如图1所示。
2.1.1 省公司级信息安全监督网络
由省级单位信息管理部门、省级信息技术研究单位信息安全分管领导和专职组成。主要负责贯彻落实上级单位有关信息通信系统安全的方针政策、规范和标准;组织公司信息通信安全技术督查工作,督促有关单位及时有效整改,建立常态信息通信安全技术督查机制;根据公司实际情况,组织制定公司信息通信安全技术督查工作实施细则、考核细则;健全公司信息通信安全技术督查执行队伍,定期组织督查执行人员的培训和考核,负责督查资质证书的认定工作。
2.1.2 市公司级信息安全监督网络
由市级单位信息管理部门信息安全分管领导和信息安全专职组成,主要负责依据信息安全技术督查有关政策、法规、标准、规程、制度,执行公司级信息安全督查执行队伍安排的信息安全技术督查和跨单位互查工作;开展本单位运维范围内的日常督查,将运行维护阶段的督查内容融入日常安全工作中,对督查要求执行情况进行检查,及时发现问题并提出处理意见和技术措施建议;参与本单位信息通信系统重大技术措施与技术改造方案的制订,督查、促进和检查本单位范围内的技术标准、反事故措施、改造方案的贯彻和执行。
2.1.3 县级信息安全监督网络
由县级单位信息管理部门信息安全分管领导和专(兼)职信息安全员组成,主要负责开展本单位日常督查,将运行维护阶段的督查内容融入各自单位的日常安全工作中,对本单位运行维护阶段的督查要求执行情况进行检查,及时发现问题并提出处理意见和技术措施建议。
2.2 工作组织形式
监督工作应包括年度督查、日常督查、专项督查三种类型,以远程检查、区域互查、现场抽查等多种形式加强监督工作,监测分析当前信息通信安全形势,及时发现和消除安全隐患。
2.2.1 年度督查
公司级信息安全监督网应根据全年信息化和通信工作情况,按照横向到边、纵向到底的原则,每年至少实施两次由公司级和市级督查执行队伍联合开展的年度督查工作,以区域互查的方式,全方位的查找信息系统安全隐患,督促隐患整改。
2.2.2 日常督查
市级和县级督查执行队伍应在日常工作中履行信息安全管理员的职责,每月对本单位的信息内外网网络与信息系统、桌面终端、存储介质等进行全方位督查。
2.2.3 专项督查
根据具体信息项目或信息安全工作需求,由省公司级督查执行队伍对信息系统的规划、设计、实施、运行维护、废弃等过程,安全评估、等级测评等信息安全技术服务开展专项督查。
2.3 主要技术要求
2.3.1 风险评估及漏洞扫描
通过定期开展的信息安全风险评估及漏洞扫描,对现有的网络结构、核心路由器、交换机等网络及设备、数据库服务器、邮件服务器、应用服务器等关键服务器,业务流程、安全策略的安全漏洞,安全威胁及潜在影响进行分析,并提出合理的安全建议和解决方案;对全网网络设备、服务器、桌面终端进行漏洞扫描,及时发现各种安全漏洞,并根据危害程度以保证系统资产的机密性、完整性和可用性的基本安全属性[2]。
2.3.2 应用系统安全测评
每年各单位都有新应用系统上线运行,由于系统开发人员信息安全意识不足,存在不少安全漏洞。按照信息安全技术监督工作要求,在系统上线前由信息安全技术监督人员参与信息系统技术措施与技术改造方案的制订,审核信息安全技术与工作内容。在系统投运前开展系统稳定性、安全性测试。通过上线前安全测评及时发现并排除应用系统存在的安全隐患。
2.3.3 安全监控及远程检查
利用信息外网安全监测系统、信息运维综合监管系统、信息安全综合工作平台等各类安全技术手段,对各单位互联网出口、桌面终端、移动存储介质、弱口令等开展安全监控;利用互联网出口部署的入侵监测设备和上网行为管理系统,对互联网攻击情况和上网行为进行内容审计和处理。
2.4 人力资源资格与培养
2.4.1 持证上岗
各级督查执行人员需持证上岗,经公司统一组织的安全督查培训和考核后,分级别发放《信息安全技术督查证》。公司级督查执行人员还应通过注册信息安全专业人员(CISP)培训及认证。
2.4.2 技术培训
邀请系统内、外信息安全领域专家,定期开展信息安全技术培训和讲座,宣贯国家和公司信息安全形势和要求,学习当前最新信息安全技术和装备,分析典型信息安全风险隐患案例。
2.5 制度规范
制度规范是信息安全监督工作执行的依据,根据国网公司制定并下发的信息安全政策标准和管理规定,公司编制和实施细则和《信息安全督查作业指南》,对日常督查工作中各个流程的工作要求、工作模板进行描述。
3.工作成效
公司信息安全督查体系建立完善期间正值“三集五大”建设的关键时期,各单位业务切换、人员调动频繁,管理难度大为增加,如果没有很好的监督体系,各项管理制度和技术措施的落实,特别是管理末端桌面终端的安全漏洞就会暴露出来。经过短短几个月监督工作的开展,各单位信息安全工作井然有序,没有发生一起因信息安全引发的信息系统运行事故。
(1)通过各种形式督查工作的开展,对检查暴露的安全隐患积极整改,有效消缺,保障了公司发展、运营和改革工作;通过对新上线系统的应用系统安全测评,有力支撑了改革期间大量应用的开发和运行工作。(2)通过持证上岗和各种培训工作,培养了一支信息安全人才队伍。目前所有公司级督查人员全部通过了CISP认证,市、县级专职督查人员逐步实现持证上岗,提高了公司各单位信息安全从业人员的技术素质。(3)通过区域间安全互查,加强了各单位信息安全经验交流,对消除地区差异,以弱带强,提升公司整体信息安全防护能力具备积极意义。
4.结论
通过信息安全技术监督体系的建立和实现,实现了贯穿公司各单位的信息安全督查网络,各地区信息安全从业人员技术水平平衡发展,监督和保障信息安全技术措施和管理要求有效落实,推进了公司整体信息安全管理水平。
篇4
关键词:行政事业单位 传统模式 网上报销
为全面推进行政事业单位内部控制建设,规范行政事业单位内部经济和业务活动,提高内部控制的针对性和有效性,财政部了《关于全面推进行政事业单位内部控制建设的指导意见》(财会[2015]24号),对健全内部控制体系,加强内部权力制衡,有效控制财务风险提出了更高的要求。同时,随着计算机信息处理技术的飞速发展,使得行政事业单位的报销模式由传统模式向信息化趋势发展。传统的报销模式效率低下,费用控制管理滞后,已无法适应当前工作的需要,而网上报销模式能够提升工作效率,完善内部控制体系,符合更加长远的发展需要。
一、传统报销模式的弊端
传统的报销模式以纸质版报销单为介质,职工在费用发生之后,需要填写各类纸质版报销单,随后请业务分管领导以及财务分管领导签批,最后将报销单移交财务部门进行报销。这种传统的报销模式存在以下几点弊端:
(一)业务审批效率低下。在传统报销模式下,业务人员需要手工填写报销单之后找各级领导签字审批,当领导外出工作时,报销业务就得不到及时处理,影响报销进度,过多占用工作时间,而有效工作时间的浪费将直接导致行政事业单位组织运营成本的增加。
(二)财务审核效率低下。报销人员将大量报销单据送到财务部门以后,财务人员既要审核业务审批流程是否合理,又要审核原始凭证,复核各项金额,过多地忙碌于机械检查复核,弱化了财务分析、内部控制等管理工作,不利于财务管理水平的提高。
(三)无法有效落实内部控制。在传统报销模式下,报销流程无法固化,报销人员如不熟悉流程,很可能导致报销审批流程不符合内控规定,而财务人员机械化的工作,也可能导致报销流程出现错误,继而出现遗漏审批、越级审批等现象,无法有效落实内部控制。
二、网上报销模式的特点与优势
(一)网上报销模式的特点。网上报销通过线上单据填写、线上业务审批、线上财务审核,形成了一套跨部门开放式的财务管理流程。在此模式下,报销人员可以在任意时间任意地点提交报销申请,并以附件形式上传相关原始凭证,相关审批领导可在任意时间任意地点以数字签名的方式进行业务审批,财务人员在审核相关原始凭证及报销金额后,点击生成报销单据。作为对传统报销模式的创新与探索,具有以下几点鲜明的特征:
1.报销流程的可视性。每一位报销人员均可在提交报销流程后,在任意时间登陆网上报销系统,实时查看待办的报销事项在整个报销流程过程中的状态,例如:报销流程已经完成了哪几个环节,目前在哪个环节等待审批,接下来还需要经过几个环节的流转等。各业务分管领导及财务分管领导可以实时查看报销人员上传的原始凭证,并通过待办事项了解还有哪些流程及事项需要审批。
2.报销流程的可关联性。在网上报销系统中,单一的报销流程可以与事先完成的审批流程或其他报销流程相互关联。通过科学地设定审批流程、审批权限、预算额度等关键内控节点,规范了审批流程的流转程序及审批权限,固化了预算数据的使用范围及使用额度,使得每一个报销流程都“事先审批,有章可循”。
3.流程审批的数字化。在网上填写报销单据以后,报销人员无需再找相关领导签字审批,系统自动将流程流转给业务分管领导及财务分管领导审批,各审批领导利用数字签名审批各类业务,安全的数字签名相比传统模式下的手工签名,不仅快速高效,而且更加安全可靠,从源头上有效杜绝了冒充签字的风险,也避免了财务人员的审核困扰。
4.报销信息的公开性。在网上报销系统中,经过授权的报销人员可以在线查询各类报销信息及流程,对行政事业单位会计核算及财务管理的规范性和精确性提出了更高的要求。通过网上报销系统使报销信息得到了高度共享及有效监督,形成了一个多部门、多用户,各级领导、全体职工共同参与的监督体系,促进财务信息在单位内部公开,提升了财务人员的信息公开意识,推动了财务信息公开平台的建设。
5.财务信息的及时性。在传统模式下,经济业务发生后的报销、核算、记账,是对已经发生的经济业务的事后反映,如需要报表数字的汇总数,则需要等待更长的时间,信息反馈具有滞后性。而在网上报销模式下,只要报销流程一经启动,财务信息能够及时快速地进入到系统中,当需要某个财务信息时,只需要调用系统中的汇总数即可,实现了财务动态数据的有效更新,保证了财务信息的及时性。
(二)网上报销模式的优势。网上报销模式是以计算机信息技术为手段,以提高工作效率为中心,体现集约化管理的现代财务管理模式。它既是一个信息系统,又是一种管理模式;既是一种技术创新,更是一种管理理念的更新。相对于传统模式,网上报销模式有以下几大优势:
1.有效完善内部控制。通过将内部控制流程以及财务报销制度“固化”到网上报销系统中,在系统中按照预设金额报销,按照预设流程审批,使得业务审批更趋规范化,报销流程更趋标准化,全面杜绝了遗漏审批、越级审批等现象,进一步提升了行政事业单位财务管理和会计核算的规范性,加强了内部控制的执行力度。
2.切实提高工作效率。网上报销系统通过将报销人、审批人、财务人员三者有效地相互协调,形成了一个科学有效的报销流程。报销人员提交报销申请后,不再需要拿纸质的报销单找各级审批领导签字,而是通过网上报销系统提请领导审批,并且可以随时查看报销流程的流转进度。财务人员也不再需要对报销审批流程进行审核,大大提高了业务人员和财务人员的工作效率。
3.有效改变财务管理理念。网上报销系统的深入应用,有效地将务人员的工作重心由财务核算转向优化财务管理水平。在减轻日常核算工作量以后,财务人员能够将更多的时间精力投入到财务管理事务中,使会计信息更加及时有效,保证会计信息能够科学指导行政决策,也切实提高了财务人员的整体素质。
4.促进单位内部财务信息公开。随着财政部门规范和加强财务信息公开的相关文件出台,各级政府部门的主体意识也日渐增强,增加预决算公开信息,加大预决算公开力度,增进社会公众对政府的理解,有效提升政府公信力。通过网上报销系统的运行,各行政事业单位能够科学、公开、透明地在单位内部实现财务信息公开,通过财务信息的高度共享,形成单位内部切实有效的立体监督格局,有效增进单位职工的责任感、使命感和内部凝聚力。
三、网上报销系统运行过程中面临的挑战以及改进措施
(一)梳理完善相关内控制度,把控流程节点。财会[2015]24号文要求各行政事业单位健全内部控制体系,加强内部权力制衡及监督检查工作。目前各单位内部控制制度体系不甚完善,落后于政府预算管理制度、财政国库管理制度等,并影响了制度的执行效率和科学完整,因此,在设计网上报销流程时,应结合本单位具体情况,更新工作方法及管理理念,全面梳理业务流程,完善风险评估机制,准确把握各报销业务的授权事项环节,找准内控流程关键点,将科学完善的内控制度嵌入到网上报销系统中去。
(二)实现网上报销流程的有效关联,提升财务服务水平。在网上报销系统中,单一的报销流程无法达到行政事业单位有效内部控制的要求,不同流程之间的有效相互关联,是构建整个报销系统的核心工作之一。各个报销流程都需要与事先的资金预算审核流程相关联。科学地设置各类单据及关联流程,能有效地事先控制费用,从源头杜绝资金风险,真正发挥出预算管理的作用,增强经济业务活动事先审批的规范性,保证了网上报销系统的良性运行,也有效提升了财务部门的服务水平。
(三)建立健全信息安全制度,保障信息安全。网上报销系统既涉及资金安全又涉及会计信息安全,对网络信息安全的要求很高,但目前行政事业单位普遍存在网络监督技术相对落后、信息网络系统不完善以及信息安全规章制度不合理等问题。因此,要努力做好数据信息安全维护工作,申请信息安全管理认证,建立健全信息安全管理规章制度。在网上报销系统中严格设置审批权限,实现系统内部有效牵制,并深入宣传,有效提高全员安全防范意识。
(四)注重提高人员综合素质,网上报销循序渐进。将信息技术与财务管理相结合,并应用于行政事业单位财务工作涉及整个管理模式的变革,除了需要借鉴和学习先进的技术和管理理念,还需要通过培训提高业务人员和财务人员的C合素质。例如:推出详细的用户操作手册,指导相关人员尽快适应和熟悉网上报销系统的流程和操作方法;在实施阶段通过传统纸质报销和网上报销同时进行,完成流程测试和业务评价,逐步发现问题并及时改进。
(五)拓展财务管理信息化平台职能,实现向财务共享模式的最终转变。网上报销系统应与财务软件、预算管理、银企直连等系统实现无缝对接,但目前,行政事业单位的系统开发还处于分散阶段,各个系统独立进行,网上报销系统仅仅是原有的传统报销流程再造,前端没有和预算管理相连接,后端没有和资金支付及账务处理系统相连接,随着信息技术的进一步发展,在财政部门的支持下,应继续拓展平台职能,实现与预算管理系统相结合,实时了解预算使用情况;与资金支付系统相结合,直接将报销金额转入报销人员银行卡中;与账务处理系统相结合,直接生成会计凭证,简化财务工作,提高工作效率。
参考文献:
[1]徐永凡.网上报销的基本内容及应注意的几个问题[J].商业会计,2009,(24):49-50.
[2]张拥军.行政事业单位网上报销模式探讨[J].财会通讯,2011,(8):70-71.
[3]庄丽.科研事业单位网上报销财务控制系统基础建设[J].财会研究,2013,(23):227.
篇5
关键词:信息安全 教育 企业 培训
中图分类号:G658.3 文献标识码:A 文章编号:1672-3791(2013)07(b)-0017-02
信息安全问题或许能够得到企业的认识,但更多的企业内部员工并没有认识到信息安全的重要性。甚至一些企业都没有预见到信息安全可能是阻碍企业长期发展的关键性问题。对此,企业普及信息安全的教育,确保企业信息的机密性、完整性和可用性变的越来越重要。
1 信息安全教育的必要性
信息安全对于企业来说是十分重要的。现在因为信息安全问题而造成经济损失的企业很多,其原因基本都是对信息安全的不够重视,而对于制造业来说信息安全则尤为重要。制造业面临着很多的问题,譬如说生产的产品都大同小异,没有技术方面的优势,产品属于劳动密集型的产品,在强手如林的市场经济中可以获得经济利益,却不能够实现企业的长足发展。对于此问题,各制造业都会将眼光放在产品的创新上,通过产品的研发设计优势、技术优势来冲破密集型产品给企业发展带来的阻碍。但是,如果企业保证产品优势的信息被别人窃取或是模仿,最终就可能导致产品的大众化,使企业产品的优势不复存在。即便企业知道信息安全的重要性,但企业内部员工如果没认识到信息安全的重要性和严重性,也可能导致信息的流失,从而损害企业的利益。对此,制造业更应该对信息安全问题加以重视。
2 信息安全的内容
信息安全大致可以分为两个方面一个是管理层方面;另一个是网络方面。本段将会对这两个方面所包含的内容作一下概述,以方便企业在进行信息安全管理制度的建立上可以进行全方位的掌控。
2.1 管理层方面
管理层方面的信息安全大致也包括物理层方面和管理层方面。
(1)物理层方面的信息安全主要是指物理环境建设安全尤其是信息中心物理环境安全。
环境安全包括防火防水防自然灾害和物理灾害等。在环境安全中,企业必须要有足够的认识,机房建设要严格按国家机房建设标准进行,做好防雷、防水、防静电等安全措施,从而杜绝各类安全隐患的发生。对企业内部员工要加强计算机安全使用规程的教育,确保计算机在安全的环境中使用,保证人长时间离开计算机时断开电源以确保安全。
(2)管理层方面的信息安全主要是指企业内部的管理制度建立是否完善,执行效果如何,企业内部员工对于信息安全的认识程度,企业内部员工职业道德的培养,企业内部员工信息安全的教育培训,网络技术人员技术能力的审核与培训以及企业内部部门的分工等。
企业必须要建立完善的信息安全管理制度,这个制度是由一个总的管理制度和各部门的管理制度和监督制度共同构成的。每一个部门根据信息资产内容的不同应该有自己相应的信息安全管理制度以确保制度的行之有效。其次要设有完善的监督机制来配合管理制度的实施,一个制度的建立,必须要能够执行下去,且执行过程是有效的才能够发挥管理制度的功效。而监督机制就是对制度执行情况的进行监测,对执行的效果进行审核作用的机制。
其次是对于企业员工的职业素养和信息安全的教育培训,这方面将在下一部分进行具体论述。
最后就是对于企业内部各部门之间的分工。在一个企业内部是有一套自己的工作流程的,但是这个工作流程是伴随着信息的流动产生的。所以在信息流动的过程中需要将信息转变的过程进行分工,以此来保障信息在局部过程中的完整性,以防止一个环节出现问题导致全局崩溃的情况发生。对此,企业内部不但要细化工作流程,对于信息转化过程也要进行分工,以防止问题的发生。
2.2 网络层方面
网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。
(1)网络。
主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。
(2)系统。
造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。
(3)应用。
在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。
3 信息安全教育
3.1 保密协议
在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁杂。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。
有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻开始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。
在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对于信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。
3.2 信息安全管理制度
信息安全管理制度确立以后,需要对员工进行信息安全制度的培训。在培训过程中,企业不光要对于员工本岗位信息安全内容作介绍,对于其他部门信息安全内容也要做介绍,以确保员工形成信息安全的意识。在企业内部,很多员工对于信息安全的意识不够,甚至认为企业的信息根本就没有什么重要性,在工作外的时间里随意的就将企业的一些重要信息透露出去从而可能导致企业受到损失。对此,加强企业内部员工的信息安全教育培训是十分重要的。其中培训可以分为两个部分。
(1)对于企业内部所有员工进行信息安全意识的教育培训。
(2)对于企业内部的信息技术人员进行相关技术知识的教育培训。
3.3 员工职业素养的教育
在企业内部对员工的职业素养也需要进行培训。譬如对于一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基本要求。
3.4 普及计算机及网络知识的教育
企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机上,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家里或是其他计算机上的病毒带到企业内部,导致企业的计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更高的信息安全意识。
4 结语
在企业当中,对于企业内部员工普及信息安全的教育是十分重要的。一个企业仅有对信息安全的意识是不足够的,它需要建立完善的信息安全管理制度,通过完善的信息安全管理制度去强制员工履行其信息安全的义务。其次,企业应该对员工进行信息安全教育培训,从信息安全知识、员工职业素养以及计算机及网络知识的培训来对员工进行深层次信息安全的教育。只有员工有了信息安全意识,才能够使整个企业具备防范信息安全威胁的能力。
参考文献
[1] 陈华.美国高校信息安全管理体系及其启示[J].科教导刊,2013(1).
[2] 范映红.关于大学生信息安全教育问题的思考[J].学理论,2012(29).
[3] 刘飞.对高校信息安全教育之思考[J].群文天地,2012(2).
篇6
论文摘要:作为未来最适应时代要求的政府工作形态,电子政务建设是我国当前信息化工作的重,点,未来政府办会发展的趋势。本文探论了综合电子政务平台的棍念、结构和相关技术,分析了电子政务所面临的安全威胁,并提出了相应的解决方案。
1综合电子政务平台概述
电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。
电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。
2综合电子政务平台的安全风险
2.1网络安全域的划分和控制问题
电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。
2.2内部监控、审核问题
目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
2.3电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
2 .4数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。
2.5电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力
3综合电子政务平台安全体系建设方案
3 .1技术保障体系
技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。
信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。
信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。
3.2运行管理体系
安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。
安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。
风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。
3.3社会服务体系
安全管理服务。目前,一些信息安全管理服务提供商(managed security service providers, mssp)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从it集成或咨询商发展而来提供信息安全咨询的。
安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。
3.4基础设施平台
法规基础建设。主要有以下几方面:在国家宪法和各部门法中对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范,形成国家关于信息及信息安全的总则性、普适性的法规体系;针对各类计算机和网络犯罪,制订直接约束各社会成员的信息活动的行为规范,形成计算机、网络犯罪监察屿防范体系;对信息安全技术、信息安全产品(系统)的授权审批应制订相应的规定,形成信息安全审批与监控体系;针对信息内容的安全与保密问题,制订相应规定,形成信息内容的审批、监控、保密体系;从国家安全的角度,制订网络信息预警与反击体系等。
篇7
实现安全管理体系一体化是航空公司获取最佳安全绩效,减少管理成本,提高系统效能和资源利用率的重大管理举措。春秋航是国内唯一一家实现了SMS和SeMS一体化管理体系的航空公司,涵盖了SMS四大支柱和SeMS四个子体系的十大安全管理机制,包括安全责任、目标控制、安全信息、风险管理、规章建设、监督审核、安全教育、系统评价、安全绩效和应急救援等机制,初步实现了安全与安保活动统筹兼顾,达到了六个“统一”。
解决投入比重问题,强化绩效落实基础
安全投入是保障安全生产的重要基础,不仅是成本,更是效益。春秋航虽然低成本运行,但在安全投入上绝不打折扣,不仅有利于安全保障的优先投入,还有利于安全提升的重点投入。春秋航在民航局每年组织进行的民航企业安全保障财务考核(包括安全保障能力指标、安全保障程度指标、企业诚信指标)中,截至2012年已连续4年在42家公司中得分排名前三。
在设施设备和技术方面,春秋航投资2个多亿建设模拟机培训中心,占地30亩,一期建设6个模拟机机位,可满足150架机队训练,将于2014年8月投入使用;投资近5亿用于维修机库的土地规划、机库建筑及购买设备;41架飞机中34架装有无线QAR(今后引进的飞机皆有);具备CAT II类、RNP APRH、CDFA和RNAV-5运行资质;投入400多万元用于EFB;自主开发FOC系统、MIS系统、飞行准备系统、安全质量管理网、离港系统、智慧客舱、智慧地服等,其中14个安全生产用电子系统获得了专利申请。
春秋航在2013年安全生产专业人员培养、能力保持和素质提高的投入达4千2百多万元。同时,对核心队伍的安全奖励达4千余万元,安全教育与宣传活动投入60多万元,对安全绩效的改进起到了良好的激励作用。
解决责任资质问题,强化绩效核心功能
春秋航建立了安全责任清单和资质评价机制,制定了与安全绩效管理机制相匹配的差错标准/偏差标准(包括飞行类/维修类/运控类/客舱类/空防类/地服类/危险品类/车辆类/食品类/信息安全类10大类差错和安全管理类/规章文件类/资质管理类/业务管理类/行政管理类5大类偏差),安全重大事宜挂牌督办制度、安全生产奖惩规定、安全绩效积分测评规定(包括结果型、行为型/过程型、任务型三大类80多项),结合年度安全目标,通过可测量形式,对安全责任点进行“过程必控制、绩效必量化、问题必明确、责任必落实”。
春秋航已连续8年完成了局方下发的安全指标,近3年来万小时严重差错率连续下降达10%以上,年度确定的重点安全工作任务完成率达83%以上。
解决信息平台问题,强化绩效系统监测
2012年初,经过充分调研、评估,本着“功能齐全、系统规范、重点突出、实用好用、易于扩展”的原则,春秋航自行设计与开发了一个统一涵盖SMS和SeMS要素、包括10大安全机制的电子化安全质量管理网(SQM)。SQM分为4个系统模块:信息收集、信息处理、输出与反馈、其他辅助,包括18个一级功能和85个二级功能。形成了一个系统化、过程化、数据化的事前风险防范、事中过程控制、事后纠正完善的可持续发展的电子化平台,具有数据信息整合、数据监测分析、发现问题、制定措施与执行、持续监测分析、综合评价和共享的功能,为安全管理改进提供数据分析、过程控制、系统评价的支持。并涵盖10项安全管理机制,融入了“管理制度流程化、责任控制透明化、操作方法规范化、表单记录结构化、不同模块关联化、数据分析自动化、绩效监控系统化”的现代安全管理理念。
解决目标控制问题,强化绩效导向控制
安全目标是衡量公司安全管理绩效水平的评价标准。春秋航以安全目标为导向,设置结果型、任务型/行为型安全目标,明确安全工作方向,建立了纵向“公司目标部门指标过程指标(行为指标)”的目标分解和横向“制定实施控制改进”的目标实现双循环机制,并与规程、风险管理实现了关联。
解决风险落地问题,强化绩效关注区域
风险管理是SMS的核心,也是安全管理关口前移、预防为主的关键。建立“公司风险评估专家小组部门风险管理小组”两级风险管理专业队伍;每年至少梳理一次风险管理过程库(危险源库);将危险源的风险属性、事件调查的原因、监督审核发现的问题进行分类统一;针对不同项目制定风险管理方案,针对组织变更、规章变化、新开基地/航线、新项目/产品(如CATII,RNP、服务项目变化等)运行、安全水平波动、运行条件/环境变化等情况,及时启动风险管理,并风险通告或预警。
通过安全数据分析,确定了春秋航2013年存在的五大类主要风险,包括飞行安全类风险(包括人为因素和意外安全)、运行保障类风险(包括机械故障、运行控制、地面运行保障、食品安全)、客舱安全类风险、空防安全类风险、安全类风险,并统计分析出各类风险的主要风险因素(见图1)。
透过数据看管理风险,表现为执行不力、制度不全、质量不高的风险,具体为“四多、三低、两难”(见图2):工作落实问题多、规章标准问题多、资质与培训问题多、违章违纪问题多;重要安全任务完成率低、纠正预防/风险控制措施有效率低、各类安全活动参与率低;关键岗位人员资质能力监督难,飞机维修管理质量监督难。
解决监控重点问题,强化绩效过程控制
安全监督审核是保证SMS与SeMS有效运行和持续改进的必要条件和重要保障。春秋航以安全监督审核为利器,建立三级监督审核机制,聘任了48名公司专兼职安全监察员/审核员,实施主任监察员/审核员负责制,按不同专业划分14项授权项目,并予以“两个独立、两个参与、两个建议”的权力。针对安全监督审核的关键区域,采取多种方式和手段(如定期抽查CVR、网络监测等),开展全面(被监督审核部门包括安监部、保卫部)、日常、专项的安全监督审核(如危险品运输、食品安全、信息安全等),对于发现问题采取“五必须”原则(须调查、须结论、须措施、须验证、须效果),确保纠正预防措施落实到位,较好地发挥了系统和过程监督的作用。
解决数据评价问题,强化绩效测量标准
安全信息收集与分析是一个发挥安全信息价值的动态过程,便于管理者全面掌握信息进行客观决策。春秋航以安全信息为驱动,拓展信息报告途径,如24小时值班手机、微信端口报告、MIS(维修信息系统)信息共享等;扩展信息收集范围,如安全隐患/危险、安全建议/投诉、信息安全、食品安全、QAR数据、事件调查等;推行安全信息主动报告减免、奖励和规章约束,促使信息质量和数量大幅提升;开展各类安全信息专项分析、月/季/年分析等,对发现的运行过程缺陷、程序漏洞、违章行为、管理不足等问题,及时提出安全建议和改进要求。
篇8
通过安全认证
随着国航信息系统建设的飞速发展,在奥运安全保障工作中,安全不再只是空防安全和飞行安全,信息安全已成为奥运安保的重要环节,并纳入公司和信息管理部2008年重点工作之中。国航信息安全规划咨询项目就是在奥运安保和国航信息系统跨越式发展的大背景下立项建设的,它旨在为国航信息安全体系建设打下坚实的理论基础。
国航也是通过这个项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,于近日最终通过了ISO 27001信息安全管理体系认证,使国航成为国内首家通过此国际认证的航空企业,进一步提升了公司的综合竞争实力。
记者了解到,ISO 27001是国际信息安全领域的重要标准,它的前身源自英国标准协会(British Standards Institute,BSI)在1995年2月制定的信息安全管理标准 BS 7799,经修订后,于2005年10月15日作为国际标准ISOIEC 27001/2005。该标准基于风险评估的风险管理理念,可用于信息安全管理体系的建立和实施,保障信息安全,全面系统地持续改进安全管理。国航的信息安全管理体系已于2008年12月就通过了国际权威认证机构的现场审核,具备了获取ISO 27001信息安全管理体系国际认证的条件。
在国航发展战略中,信息安全占有非常重要的位置,几乎所有业务都与信息技术相关,特别是涉及到飞行安全、客户信任度的商务及财务方面信息等,都需要信息安全管理体系这张保护网的保障,在这种发展趋势下,国航以建立起成熟的、具备国际水平的信息安全保障体系,保障核心业务不中断、核心系统不被攻击、客户信息不泄露为信息安全愿景目标,
中国国际航空股份有限公司信息管理部总经理刘东说,国航有几百个系统每天运营着国航所有的正常航线、飞机维护、机组人员的管理、人员的编排,还有财务的收益管理,以及订座系统、离岗系统、网络收益系统。对于航空公司来讲,每个系统都不能失控,也不能出问题。
安全跷跷板
曾经主抓飞行安全如今管信息安全的中国国际航空股份有限公司副总裁贺利,在回顾国航在信息安全方面取得建设的一些建设成果时表示,“信息安全的体系是一个很复杂的体系,我们在业界经常叫“安全跷跷板”,这个跷跷板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,由这三方面一起通过我们来执行,去构成信息安全体系。”
国航信息管理部技术管理办公室高级经理李宗琦表示,如果没有信息安全管理体系这张保护网,应该说国航的飞行安全可能也无法得到保障。
第一要保证国航的核心业务不中断,第二要保证国航信息系统不被攻击,第三要保证重要客户的信息不被泄漏,通过这样的保障体系为国航的业务愿景的目标实现保驾护航。
篇9
根据《市人民政府办公室关于开展全市重要计算机信息系统安全等级保护检查工作的通知》精神,市信息安全等级保护检查工作领导小组抽调市政府办公室和市公安局网络警察支队有关工作人员组成检查小组,对我市相关单位的信息安全等级保护工作进行了督导检查,同时,对五县的等级保护工作开展情况进行了督导。现将第一阶段检查情况通报如下:
一、自2011年8月25日开始,市信息安全等级保护检查工作小组以我市银行、税务、工商、教育等行业为对象,进行了为期一周的第一阶段监督检查工作,重点检查各单位信息安全等级保护工作情况、信息安全责任制落实、信息安全保障工作情况等,督促各单位全面落实和完善各项信息安全管理制度和保护措施,全面提高重要信息系统安全保护能力和水平。
二、在第一阶段的检查中,检查组每到一个单位,都认真听取了被检查单位自查情况汇报,核对各单位提交的相关材料,审核备案定级是否准确并按照检查表逐项检查,对问题严重的下发了整改通知书限期改正。检查中大多数单位均能根据此次检查工作要求,认真开展自查工作,提供了较为完善的相关资料并提交自查情况汇报,履行有关备案手续。兰考县政府、兰考县公安局高度重视信息安全等级保护工作,及时成立信息安全等级保护检查工作领导小组,对本县区内的重要计算机信息系统进行了等级保护检查,取得了一定成效。市商业银行、市地税局领导重视、措施得力,认真开展了本系统的信息安全等级保护工作,定级客观准确,为等级保护工作的深入开展奠定了基础。
三、检查中,虽然大部分单位均能按照信息安全等级保护要求开展工作,但仍有个别单位对等级保护工作敷衍应付。中国工商银行分行未开展等级保护工作,没有意识到作为重要计算机信息系统的分支同样需要定级和备案,在信息安全等级保护工作中不自查、不定级、不备案,严重影响了今后等级保护工作的开展。
在下一阶段检查工作中,各相关单位要进一步提高认识,加强等级保护工作的领导,主要领导要亲自抓落实,对照前一阶段检查中存在的问题,抓紧做好自查和迎接检查的准备工作,对工作不力、不落实整改要求的,检查工作领导小组将给予通报批评并通知上级相关部门处理。
篇10
国面临的网络信息安全挑战越来越严重。
近年来,从“震网门”、“火焰门”、“棱镜门”到微软停止XP升级服务,全球范围的严重网络事件频发,发达国家长期垄断核心技术和关键产品,信息安全隐患频频暴露。
信息安全关乎国家的政治安全、经济安全、国防安全和社会稳定。中央日前成立网络安全和信息化领导小组,正是因应当前形势的重大举措。
补上核心短板
核心信息技术和装备是保障国家安全和信息安全的重要基石。近年来,在“核高基”等国家科技重大专项支持下,国产关键软硬件发展已经取得了长足的进步,成就喜人。
但是,中国产业创新能力不足,技术路径依赖国外,核心信息技术和重大装备供给能力不足,国外技术和产品长期主导国内市场和关键应用的局面,尚未有根本性改变,国家基础通信网络设施、党政军机关和关系国计民生的命脉领域等重要信息系统大多基于国外的关键基础软硬件,被入侵、被渗透、被控制的安全风险严峻,国家安全受到严重威胁。
中央处理器、操作系统、数据库、高端服务器、核心通信网络设备、关键信息安全产品以及重要应用系统,是与信息安全紧密相关的核心信息技术和重大装备,其自主发展能力和应用水平事关信息安全的根本,加快核心信息通信技术装备在国家基础信息网络设施、重要信息系统中的国产化应用替代,是打牢信息安全大厦根基、增强国家网络和信息安全保障能力、提高产业自主发展能力的必由之路。
所以,我们要立足于现有产业基础,明确核心信息技术重大装备发展和信息安全保障的战略目标。
我们要通过长期不懈的努力,力争电子信息产业的核心技术、关键产品和知识产权的整体水平达到国际先进,骨干企业具备与跨国企业在国内外市场同台竞争的能力,构建起以国产CPU和操作系统为核心、以全国产整机为牵引的自主产业生态体系,核心信息技术产品和信息安全服务的供给能力全面满足国内应用需求,通过强化产业安全保障信息安全,彻底摆脱国外技术和产品长期主导国内市场和关键应用的不利局面,确保国家信息安全能够得到可靠的、坚实的保障。
如何确保国家信息安全
立足于全面保障信息安全的国家战略需求,统筹核心信息技术和重大装备的发展。
必须发挥国家战略引领作用,从国家层面统筹部署信息产业核心技术装备的创新发展,强化政府引导,推动机制创新;要充分发挥市场配置资源的决定性作用,突出企业市场主体地位,广泛调动行业用户积极性,推动产学研用协同创新;着力突破核心关键技术,全面提高系统集成化、一体化的应用能力,以应用为纽带,以整机和系统为牵引,加快党政机关和重要行业的推广应用步伐,提高应用水平和服务保障能力;加快全产业链协同部署,力争技术研发、产业发展、应用推广和安全保障等综合能力的全面提升,着力从根本上解决信息产业供给能力不足瓶颈,全面提升中国信息安全保障能力。
要立足自主创新,加快突破自主核心关键技术。
加大研发投入,统筹政府资源,以企业为主体,以应用为导向,在引进消化吸收再创新的基础上,立足自主创新,集中力量突破CPU芯片、操作系统、数据库、整机、信息安全、通信网络关键设备等核心技术;抓住全球技术和产业格局加速变革的历史机遇,积极谋划部署云计算、大数据、下一代网络等新架构、新技术、新模式、新应用,力争谋取产业发展的主动权、主导权。立足于全面突破核心关键技术,为信息安全提供坚强的基础保障。
要提高国产软硬件的一体化集成应用能力,重点开展整机、系统适配技术的联合攻关。
发挥中国整机厂商的技术、生产、市场和品牌优势,以龙头整机厂商为牵头,整合产学研用的力量,集成上、下游软硬件厂商资源,集中力量攻克基于国产CPU、基础软件的系统适配和集成应用技术,提高安全可控关键软硬件的整体适配能力,全面满足党政军和能源、电信、金融等重要行业的核心业务需求。
加快国产关键软硬件推广应用,不断深化应用层次。
提高系统集成能力,以安全可控产品的整体集成为应用方向,在党政军领域率先应用国产核心信息技术和重大装备,逐步在关系国计民生的重要行业加快推广应用,力争在国家基础网络设施中实现核心网络节点的中高端设备全国产化替代,通过应用不断提高产品成熟度、可靠性、安全性,增强系统整体集成应用和协同运行水平,全面提高一体化集成应用和服务保障能力。
要加快全产业链部署,不断完善产业生态体系。
新一代信息技术产业的竞争已经不是单纯的技术、单一产品的竞争,而是演化为生态体系的竞争。
产学研用深度结合,军民深度融合,自主创新和引进消化吸收相结合,以安全可控的CPU、操作系统为核心,集聚CPU、基础软件、整机、系统集成、应用开发、测试验证、产业联盟等产业链上下游力量,打造整机产品、关键应用软件、周边设备构建的自主产业生态体系,构筑安全可控、适用好用的信息技术平台。
相关期刊
精品范文
4信息简报