信息管理体系篇1

本文依据实际工作经验，对如何结合ISO/IEC27000系列标准与信息安全等级保护标准建议适用于企业的信息安全管理体系提出了部分探讨性意见。

【关键词】信息安全管理体系ISMS

近些年来，随着信息化的急速发展，国内多次暴露的信息安全事件泄密、系统遭受入侵等安全事件都在刺激着中国国内企业对信息安全的建设。导致国内纵多企业渴求参照权威的标准建立适合企业自身的信息安全管理体系（ISMS，InformationSecurityManagementSystem），从而把握全局性的信息安全建设，对安全建设进行科学的规划。因此本文旨在通过研究相关权威标准，对引用标准建立适合企业自身发展需求的信息安全管理体系的参考意见。

1标准介绍与对比

目前，国内最为流行的信息安全标准主要是ISO/IEC27000系列标准和信息安全等级保护标准。下面将简单介绍这两个标准。

1.1ISO/IEC27000系列标准

ISO/IEC27000系列标准是国际化组织为信息安全管理体系制定的一套标准，其核心标准ISO/IEC27001、ISO/IEC27002分别由英国标准协会（BSI）于1995年颁布的BS7799-1和BS7799-2演化而来。BS7799最初由英国贸工部（DTI）立项，经业界、政府和商业机构共同倡导，旨在开发一套可供开发、实施和测量有效信息安全管理惯例并提供贸易伙伴间信任的通用框架。

ISO/IEC27001类似于ISO9000系列中的ISO9001，强调ISMS的构建和基于PDCA模型的不断循环和改善。安全模型主要建立在风险管理的基础上，通过风险分析的方法，使信息风险发生概率和后果降低到可接受水平，并采取相应措施保证业务不会因安全事件的发生而中断。这个标准中安全管理体系框架构建过程就是宏观上指导整个项目实施的过程。

ISO/IEC27002则给出了11类需要进行控制的部分：安全策略、安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、信息安全事件管理、业务连续性管理、符合性等方面的安全风险评估和控制，以及133项控制细则。

1.2信息安全等级保护

信息安全等级保护制度是国家为了提高信息安全保障能力和水平、维护国家安全、社会稳定和公共利益、保障和促进信息化健康发展的一项基本制度，最早起源于1994年我国国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，其核心标准《GB17859-1999计算机信息系统安全保护等级划分准则》吸取了TCSEC分等级保护的基本思想，根据我国信息安全的需要进行了改进和完善，把安全等级精简为更具可操作性的五个等级。

《GB/T22239-2008信息系统安全等级保护基本要求》将信息安全控制要求分为技术要求和管理要求两大类。技术要求为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。同时，信息安全等级保护系列标准还具备《GB/T20270-2006网络基础安全技术要求》、《GB/T20271-2006信息系统安全通用要求》等细则方面的具体指导要求。

1.3对比分析

通过两套标准的介绍对比不难发现，虽然ISO/IEC27000系列标准与信息安全等级保护系列标准都是为了保障企业信息安全，但两套标准的产生背景、实施流程、标准的涵盖范围及侧重点都略有不同。ISO/IEC27000作为国际通用标准对于企业开拓国外市场更具备信服力，而信息安全等级保护则作为国家战略需求更贴切国内情况，因此企业在建立信息安全管理体系时可结合两套体系的标准，建立一套信息安全管理体系可以取长补短，进一步的保障企业的信息安全。

2信息安全等级保护的融合

ISO/IEC27000系列标准的实施步骤是：风险评估安全措施的选择再评估管理体系常态化，这样的评估流程非常全面，但在实施时会存在以下问题：

（1）ISO/IEC27000系列标准中体现的风险评估方法非常科学，并能全面地评估组织ISMS范围内所有威胁以及脆弱点，但是存在风险评估方法选择困难、实施难度大、耗时长、成本高等问题。

（2）ISO/IEC27002中包含11项控制领域的39项控制目标和133项控制措施，涵盖了安全管理的各个方面。但在实施过程中，如何选择控制措施很困难，如何有重点有针对地选择控制措施更困难。

（3）ISO/IEC27001侧重于安全管理方面的标准，虽然后来的改版充分考虑了信息处理技术的发展，但ISO/IEC27001中没有涉及对系统和产品技术指标的评估，让企业在构建信息安全管理体系时对于如何在技术上达到安全标准要求缺乏细节指导。

融合信息安全等级保护的分级保护思想及其更为细致的配套实施细则可以有效地降低ISMS建设难度，同时保证ISMS更加完善。

2.1ISMS目标、范围定义融合

信息安全等级保护基于单个信息系统的安全管理实施，对不同级别的信息系统有明确的安全保护目标。因此，梳理出企业的信息系统定级对象、信息系统的边界及安全保护等级可以帮助明确ISMS的目标、范围。

2.2控制措施的选择融合

《信息系统安全等级保护基本要求》中对每一等级的基本要求内容较为详细，可直接作为该等级信息系统的实施指南。

2.3控制措施的实施融合

对于如何达到控制要求，信息安全等级保护制度标准有详细的配套标准，如《GB/T20270-2006网络基础安全技术要求》、《GB/T20271-2006信息系统安全通用要求》等细则方面的具体指导。因此企业在建立实施时可以参考相关实施细则确保可以满足控制措施要求。

3总结

世界上没有绝对的信息安全，构建ISMS也并非意味着企业的信息安全保障能力可以杜绝一切对企业信息的破坏，但构建ISMS却可以有效的减少、削弱企业面临的信息安全风险。而常态化运行的ISMS也会随着时间的推移、企业的发展、环境的变化等因素而改进，让企业从容的面对新的信息安全风险。

信息管理体系篇2

关键词：软件体系结构；人事信息系统；软件体系结构演化

中图分类号：TP302.1文献标识码：A文章编号：1007-9599(2011)11-0000-02

SoftwareArchitectureEvolutionResearchofManagementInformationSystem

ZhangHaipan1,YangJia2

(1.InformationCenter,Xi’anJiaoTongUniversity,Xi’an710049,China;2.Xi’anInstituteofOpticsandPrecisionMechanicsofCAS,Xi’an710119,China)

Abstract:TheSoftwareSystemStructureTechnologycangivemorepracticalvaluetothesoftwaredevelopment,itsdevelopmentofsoftwaresystemswithreusable,sharedandmaintainability,alsocanimprovethesoftwarelifecycle.Thispaperresearchedthediscovery,evolutionandreuseoftheintegratedpersonnelinformationsystemarchitecture,fourarchitecturesoftheintegratedpersonnelinformationsystemdevelopmentwereanalyzed,theevolutionprocessoftheintegratedpersonnelinformationsystemwasrevealedfromPipeModeltoHeterogeneousModel.TheresearchachievementshaveanimportantreferencevalueforManagementinformationsystemsoftwarearchitecturedesign.

Keywords:Softwarearchitecture;Personnelinformationsystem;Softwarearchitectureevolution

一、引言

软件体系结构作为软件工程中一个基础研究领域，将软件系统的结构信息独立于算法与数据，创建满足系统需要的结构，定义系统结构，并提供系统开发的框架。软件体系结构是从土木工程的视角研究软件工程问题。定义体系结构的工作比开发一个应用系统或一个构件系统更困难，软件体系结构的设计是目前软件开发中的热点问题。

在软件体系结构设计中，如何继承系统原有的数据和构件，是新的软件系统软件体系结构设计的一个重要方面。要进行数据和构件的复用，就要进行逆向工程，对已有软件系统的软件体系结构进行软件体系结构发现研究，软件体系结构发现是软件体系结构研究的一个重要方面。在对已有软件系统的软件体系结构发现和新系统软件体系结构设计的基础上，进行软件体系结构演化的研究，对软件生产有重要指导意义。根据这一现状，本文以综合人事信息系统为例，从软件体系结构模式入手，对软件体系结构的发现、演化进行了研究。

二、软件体系结构模式

体系结构构建模式是指在众多系统中所拥有的共同的结构和语义特性，知道如何将各个模块和子系统组织成一个完整的系统。软件体系结构抽象出了很多常见的系统构建模式，下面提出并概要介绍一些目前应用比较广泛的模式。

（一）管道过虑模式。在管道过虑模式下，每个功能模块都有一组输入和输出。功能模块从输入集合读入数据流，并在输出集合产生输出数据流，即功能模块对输入数据流进行增量计算得到输出数据流。在管道过虑模式下，功能模块称作过滤器（filters）；功能模块间的连接可以看作输入、输出数据流之间的通路，所以称作管道（pipes）。管道过虑模式的特性之一在于过滤器的相对独立性，即过滤器独立完成自身功能，相互之间无需进行状态交互。（二）面向对象模式。面向对象模式集数据抽象、抽象数据类型、类继承为一体，使软件工程公认的模块化、信息隐藏、抽象、重用性等原则，在面向对象模式下得以充分实现。面向对象模式设计的根本出发点是追求自然的刻画和求解现实世界中的问题，即追求问题空间和软件系统空间结构的一致性。它把系统中的所有资源，如数据、模块等均看作对象（一组数据以及可在其上进行的操作所构成的独立单元），可以通过对象对被求解的问题及其诸要素进行抽象；它将自己的数据结构定义和功能实现封装起来，实现了信息隐藏和数据抽象，体现了模块性，可作为基本构件单元被不同软件系统复用。

（三）事件驱动模式。在基于事件驱动模式的系统设计中，系统的每个子系统在设计过程中要考虑其完整性和相对独立性，绝对不依赖于某一子系统，系统之间的协调和管理都是通过消息传递和收集来进行的。基于事件驱动模式的系统必须把系统内的各个子系统看作是个性和共性的对立统一体，即考虑到每个子系统的“社会性”，也考虑到它的“独立性”。（四）分层模式。一个分层系统采用层次化的组织方式构建，系统中的每一层都要承担两个角色。首先，它要为结构中的上层提供服务；其次，它作为结构中下面层次的客户，调用下层提供的功能函数。在某些分层系统中，内部层次仅和自己紧密相关的外部层次交互信息，对其他层次而言完全透明。在一些特定情况下，出于处理的需要，内部层次也可能会开放一些服务供其他层次调用。这样，分层系统中各个组件在不同层次上形成了不同功能级别的虚拟机，各虚拟机之间通过系统设计时约定的协议进行通讯，而不相邻之间的通讯，受到一些限制条件的束缚。分层模式有如下的优点：（1）分层模式支持系统设计过程中的逐级抽象。（2）分层模式的系统具有较好的可扩展性。（3）分层模式支持软件复用。

分层模式应注意考虑某些功能放到系统的哪一层，这也是分层系统的难点之一。（五）另外还有知识库模式、解释器模式、过程空置模式，这里就不详细介绍了。（六）异构模式的集成。面对一个实际系统，很难判断它究竟是A型，还是B型，或者是C型，单纯把它归到任何一型都是很勉强的。这样的系统可以称为复合型系统，这样的系统构建模式就称为异构模式的集成。

三、软件体系结构发现与演化

软件体系结构发现解决如何从已经存在的系统中提取软件的体系结构，属于逆向工程范畴。类似于“盲人摸象”的迭代式体系结构发现过程，即由不同的人员对系统进行描述，然后对这些描述进行分类并融合，发现并解决冲突，将体系结构新属性加入到已有的体系结构模型中，并重复过程直至体系结构描述充分。由于综合人事信息系统已经存在一些开发完成的子系统，从已开发的子系统中提取软件体系结构，就成了课题的重要研究方向之一。

由于系统需求、技术、环境、分布等因素的变化而最终导致软件体系结构的变动，称之为软件体系结构的演化。软件系统在运行时刻的体系结构变化称为体系结构的动态性，而将体系结构的静态修改称为体系结构的扩张。体系结构扩展与体系结构动态性都是体系结构适应性和演化性的研究范畴。人事制度改革的不断深入（政策的多变性）就要求本课题注意软件体系结构演化的研究。

体系结构复用属于设计复用，比代码复用更抽象。一般认为易于复用的标准包括：领域易于理解，变化相对慢，内部有构件标准，与已存在的基础设施兼容，在大规模开发时体现规模效应。由于软件体系结构是系统的高层抽象，反映了系统的主要组成元素及其交互关系，因而较算法更稳定，更适合于复用。在综合人事信息系统具备以上的部分特点，软件体系结构复用有现实意义。体系结构模式就是体系结构复用研究的一个成果，综合人事信息系统体系结构的研究，将有助于建立综合人事信息系统的参考模型。

四、综合人事信息系统软件体系结构演化研究

研究综合人事信息系统软件体系结构的演化就首先要研究软件体系结构的发现，因为在软件体系结构广泛研究之前，人事信息系统已经得到了广泛的应用，首先本文从已经开发的人事系统中提取出软件体系结构。随着综合人事信息系统采用软件体系结构的设计方法，人事信息系统的某些构件也应用到了其他的一些管理信息系统当中，这就需要我们再研究综合人事信息系统的复用问题。

（一）早期人事信息系统软件体系结构的发现。早期的人事信息系统是基于DOS操作系统，DBASEIII数据库（按现在的标准，其不能称之为数据库）或FOXBASE数据库。本文以下简称早期的人事信息系统为A型。当时人事信息系统主要是提供人员基本信息表、工资表的录入、查询、修改、打印功能。由于业务逻辑与数据放在一起，并不能分开，所以不适合用分层模式表达。这是的人事系统还不能对业务逻辑进行处理，是直接对数据库进行操作。这时的人事信息系统可以使用相对独立的两个构件表达，即人员基本信息构件和工资构件。A型软件体系结构类似于管道型模式。A型软件体系结构分别是数据入口、数据加工、数据出口。（二）图形界面下单机版的人事信息系统。Windows下单机版的人事信息系统已经有窗体、按钮、事件、消息触发等一系列可视化的编程工具，开发工具有FOXPRO等。本文以下简称Windows下单机版的人事信息系统为B型。可以部分对业务逻辑进行处理，但是由于数据与程序仍然没有分开，也不能进行多机操作，因此许多管理上需要几个科室协作的业务还不能实现。（三）基于数据库、网络方式的人事信息系统体系结构。这时的综合人事信息系统是标准的C/S结构的管理信息系统，一般数据库采用Sybase、ORACLE等数据库软件，客户机采用各种各样的语言开发，如VB、PB、Delph等。本文以下简称基于数据库、网络方式的人事信息系统为C型。C型软件体系结构类似于分层模式。C型软件体系结构的层级分别是数据库层，数据接口层，逻辑层。这种结构可以将数据和代码分开。（四）异构模式的人事信息系统体系结构。软件体系结构抽象出了很多常见的系统构建模式，面对综合人事信息系统这样一个实际系统，很难判断它究竟是A型，还是B型，或者是C型，单纯把它归到任何一型都是很勉强的。综合人事信息系统是复合型系统，综合人事信息系统的参考模型为异构模式。以下简称目前应用本文中体系结构参考模型的人事信息系统为D型，D型软件体系结构为异构模式。D型软件体系结构可以看作是分层模式、面向对象模式、管道模式的组合，从不同的视角，分别可以将D型软件体系结构看作分层模式和面向对象模式，可以将数据加工部分看作是管道模式。D型软件体系结构绘制出图形类似网格（Grid）结构。采用D型软件体系结构的人事信息系统增加了许多面向服务的应用，提高了数据共享的能力和处理业务逻辑的能力。（五）人事信息系统体系结构的演化历程。从以上描述可以看到在每次人事信息系统的演化过程中，数据都可以被保留下来。在采用软件体系结构进行综合人事信息系统软件开发之前，A型B型的综合人事信息系统，数据都被保留下来，如果有任何的需求变动都要重新修改代码。在综合人事信息系统从B型过渡到C型的时候，程序都没有被保留。在C型系统到D型系统的演化过程中，其数据保留，代码大部分保留，体系结构也基本保留下来，可以看出采用软件体系结构的开发方法，可以节约投资，使用历史的优秀软件资产。

作者认为，综合人事信息系统软件体系结构将来的发展方向主要有两点，一是在软件功能上从重管理轻服务向管理与服务并重发展，着重发展以前欠缺的面向服务的功能。二是更加强调信息的共享，加强与数字化校园或ERP等的接口。

五、结束语

在软件生产中，必须保留历史数据，并尽可能对成熟软件构建进行复用，为了解决这些问题，就需要软件体系结构的发现和演化进行研究。

论文首先介绍了软件体系结构模式，主要包括管道模式、分层模式、面向对象模式和异构模式。软件体系结构发现是软件体系结构的逆向工程，软件体系结构演化就是研究软件体系结构的变化过程。论文对综合人事信息系统软件体系结构的发现、演化、复用进行了研究，分析了综合人事信息系统体系结构发展中的四种体系结构。提出了综合人事信息系统体系结构演化历程和发展方向。

论文的研究工作主要是揭示了管理信息系统体系结构演化历程，对管理信息系统软件生产提供重要的参考依据。

参考文献：

[1]孙昌爱,金茂忠,刘超.软件体系结构研究综述[J].软件学报,2002,13(7):1228-1235

[2]覃征等.软件体系结构[J].西安:西安交通大学出版社,2002,12

[3]覃征,谢国彤等.电子商务体系结构及系统设计[J].西安:西安交通大学出版社,2001

[5]梅宏,陈锋,冯耀东,杨杰.ABC:基于软件体系结构,、面向构件的软件开发方法[J].中国科技论文在线

http：//

[6]欧阳,康徐明.基于面向对象技术的人力资源测评系统设计[J].中国电化教育,2003,7

[7]刘超,张莉.可视化面向对象建模技术――标准建模语言UML教程[M].1999

[8]邵维忠,麻志毅,蒋严冰.UML的现状及未来发展[J].2002

信息管理体系篇3

确定信息安全管理体系适用的范围。信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况，可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作，应将组织划分成不同的信息安全控制领域，这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时，应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。

现状调查与风险评估.依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。

建立信息安全管理框架：建立信息安全管理体系要规划和建立一个合理的信息安全管理框架，要从整体和全局的视角，从信息系统的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选择安全控制，准备适用性声明等步骤，从而建立安全体系并提出安全解决方案。

信息安全管理体系文件编写：建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。

信息安全管理体系的运行与改进。信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。

信息管理体系篇4

目前，我国商业银行种类繁多，所以商业银行在风险管理方面涉及的范围也很广泛。本文将从宏观角度研究探索，主要从我国商业银行的经营过程中信息安全风险分析，该安全风险包括技术和管理风险两类。文章将侧重讲述我国商业银行信息安全风险管理体系构架。

【关键词】商业银行信息安全风险管理体系构架

在我国加入世贸组织后，在市场经济的影响下逐步形成一个与全球经济同步的开放整体，我国很多商业银行都开始设立国外分行，同时，国外银行也在不断开拓国内市场，这就表明，我国商业银行信息系统安全隐患也将由国内范围加深到世界范围。这时候，应该从分析了解我国商业银行信息系统特性着手，准备把握我国商业银行信息系统的安全风险信息，也可借鉴国外已经成熟了的银行信息系统安全管理体制，再根据本行的信息安全系统的特点，构建并完善我国商业银行信息系统安全风险管理体制，及时防范并有效降低我国商业银行信息的安全损害，确保我国商业银行的信息安全，已经成为我国金融机构热议的话题，必须引起银行以及监督管理机构的重视。

1我国商业银行信息安全风险管理现状

1.1信息安全与风险管理

广义上来说，信息安全是在特定社会背景下，国家为维护自身信息安全、低于国外信息威胁利用信息安全的通讯技术、网络IT技术的一种能力。从狭义上来讲，信息安全就是信息内容不被随意泄漏和改变，信息体统不受威胁与攻击。当前，风险管理已经在国际上越来越广泛地被运用，有效的风险管理不但可以削减企业经营风险，还能够在企业决策上提供一定的支持，保障企业的可持续发展。所以，风险管理有非常巨大的存在意义。风险管理是信息安全的基本观念。目前，普遍认为信息安全是识别信息系统风险，并能够采取相应措施不断完善信息系统的一个过程。

1.2网络风险

在管理商业银行信息系统时，一定要非常谨慎的对待风险管理过程。在评估风险时，可能会发现网络被没有被充分的保护，需要增加一些软件、硬件或者是加强安全管理意识等进行充分保护。网络安全能够平衡银行业务、客户功能和速度。要证明减少某些操作是无误的，比如关闭Active，该行为的发生必须在能够保证银行业务和用户在一个安全的环境下。企业最高决策机构必须时刻强调时刻注意企业的安全，以风险管理为原则不断识别企业网络存在的安全隐患，能准确判断网络容易受到攻击地方，并能够从根本上加强保护。风险评估是风险管理的基础，主要根据三个步骤来实现风险评估：

1.2.1网络价值的判断

一定要从银行的有形资产和无形资产两方面考虑来评估商业银行的网络价值。比如，在系统出现故障的时候，要考虑到该故障会对企业的财政收入造成的影响；在网络出现故障时，要考虑修复网络需要花费的人力、物力成本，重建网络信息要消耗的资金；在商业银行网络中有重要信息被泄漏，要考虑到整个公司的财政将会受到多大的影响。

1.2.2定义威胁

商业银行的网络和网络数据经常会很容易被内外部环境的威胁攻击。所以，了解每种类型的威胁是非常必要的，还要尽可能多的鉴别可能存在的威胁。目前，很多管理网络的人员都并不能清楚理解环境自身的威胁。内部威一般很常见也很容易定义、识别。外部威胁就相对较难定义，首先要做的是判断破坏机密文件的以未授权方式的患者记录或者信用卡号。可能是企业的竞争对手为了找到银行客户资料，也可能是为了改变银行的数据并破坏数据的可用性的黑客所为；准确判断网络容易受攻击的地方。安全弱点就是已经被识别的威胁，按等级分类所识别的威胁：威胁的关注度、威胁的可行性。

1.2.3设定方案

如何执行一个安全的解决方案是网络风险管理过程中的最后一步。该方案需要从以下几方面着手：加强客户以及网络管理人员的安全防范意识；改变并创新网络结构；稳固安全硬件；关闭银行中有安全威胁的并不常用或者根本就不需要的测试、服务以及补丁程序。

网络风险主要表现在这几个方面：安全性风险、网络故障风险、法律媒体风险。防范网络风险需要对网络安全进行风险评估，建立网络安全管理构架，最后制定一系列安全防范措施。评估风险首先需要企业内部专门的网络安全管理人员分析并诊断企业网络安全的状况，然后从管理与技术两个方面探讨研究网络安全问题的存在。网络安全管理体系架构需要考虑到的网络风险的几个方面：通过完善网络设备性能、提高网络承受力、先进传输技术的引进以及定期核查网络设备的方式来避免网络故障风险；通过加强宣传并提高社会成员法律安全意思制定一定的法律条款来防范法律媒体风险；通过增加设立持续不断的电源、增加投保企业保险、加强网络机器安全管理等方法来避免网络安全风险中如断电、火灾等的自然风险。针对网络自身的风险以及网络攻击风险，需要遵循一定的有限级有条理有选择的来解决来自数据、应用、系统、网络的信息安全问题。利用防火墙技术、安全监督体制、IT设计工具、VNP设备、数据加密技术以及数字签名等技术保障网络风险的最小化，并制定符合法律规则的有一定安全标准的全面完善的网络安全风险管理体制。

1.3外包业务风险

当前，我国商业银行中有一大部分的银行属于中小型银行，在资金水平以及信息技术能力的限制下，缺乏独立的信息系统开发能力，只有通过业务的外包来满足银行信息系统，导致大量的银行核心代码分散到外包公司信息系统中。如果商业银行在这种情况下没有谨慎对待外包商、依据法律条款签订相应的协议、明确协议双方的职责，那么，银行信息系统的信息安全以及系统业务的可持续性将会受到加大的威胁。与此同时，在银行维护信息系统的时候，外包公司审核的不够严谨，没能积极修复系统漏洞、优化信息系统，也会威胁到银行信息系统的安全。银行在与外包公司签订合同协议的时候，如果没有做好协议数据保密工作、外包公司蓄意泄密或者转包服务等情况，都会产生信息安全风险，甚至会给银行带来销毁性的打击。

2我国商行银行信息安全风险管理体系架构

我国商业银行存在一定信息安全风险是必然的，即使不能避免和杜绝这种风险，也要采取相应的措施最大程度的控制、削减、化解风险的发生频率。我国商业银行信息安全风险管理体系架构主要从技术、运作以及管理组织平台三方面设计。

2.1管理组织平台

风险管理组织平台处于我国商行银行信息安全风险管理体系的最高层，为整个管理体系提供策略性的引导。主要从商业银行信息安全风险管理的制度与策略、管理人才以及组织机构三方面着手。

2.2运行平台

我国商业银行信息安全风险管理体系的中间部分就是风险管理的运行平台，也是商业银行信息安全风险管理体系的核心与主体部分。风险运行的整个过程包含了风险的识别、评估以及应对等诸多活动，着重体现一种风险管理持续完善的理念。该过程依据PDCA模式，严格按照计划、实施、改进的管理模式管理商业银行信息安全风险，持续完善商业银行信息安全风险管理体系架构，有利于银行创建良好的安全的信息环境。

2.3技术平台

商业银行信息安全风险管理体系的最底层便是风险管理的技术平台。技术平台为运行与组织平台的创建和实施提供有力的技术支持，也为我国商业银行信息安全风险管理体系提供了安全性技术保障。从时效上将技术平台分为预防、实时跟踪以及事后恢复三大技术。

我国商业银行信息安全风险管理体系架构主要从技术平台、运行平台、组织平台三方面的构建组成。风险管理组织平台的构建是我国商业银行信息安全风险管理体系的重要组成部分，为整个管理体系提供策略性的引导；风险管理运行平台的构建是我国商业银行信息安全风险管理体系的核心组成部分，风险管理的运行过程严格遵循PDCA的循环定律。通过资产、威胁、脆弱性三方面的评估形成对应的资产、威胁、脆弱性信息，为满足银行业务的需求，可以采取转移风险法、规避风险法、接受风险法以及消减风险法加以应对我国商业银行信息安全风险。具体利用数字加密技术、身份认证技术、控制访问技术、检测入侵技术、数据备份以及恢复技术为我国商业银行信息安全风险管理体系的构架提供安全有力的技术支持。

在我国商行银行信息安全风险管理体系基本构建完成后，还需要对该体系做出评审、改建意见以及相关说明等后期工作。该后期工作的主要内容包括内部审计、外部审计以及文件管理。需要注意的是，在审计过程中，常常会遇到银行信息系统中的大量的铭感信息，假若不能够正确处理审计过程中遇到的银行敏感信息将会给银行的信息安全带来不可忽视的威胁，所以，加强严格管理与控制我国商业银行的外部审计是我国商业银行当前面临的一项刻不容缓的任务。银行最高决策机构应该依据法律制度，设计出相应的整改方案，并定期实施有效方案，提高我国商业银行信息的安全度，保障我国商业银行信息安全风险管理体系的成功构建。

3结束语

信息在网络信息迅速发展的背景下已经成为一项可贵的必不可少的资源。一般来讲，掌握的信息越多、越准确就越有取胜以及权威的先机。信息对于我国商业银行这样一个特别的行业更是非常重要。在商业银行网络与业务规模不断扩大的背景下，我国商业银行在信息安全保护方面面临严峻的考验，所以，保障商业银行信息安全风险管理体系的安全已经成为目前金融行业重要的使命。

参考文献

[1]陈小娟.我国银行信息安全风险管理体系研究[D].苏州大学，2013.

信息管理体系篇5

关键词：信息化；档案管理体系；构建；方法

1实行信息化档案管理的优势

首先，实行信息化的档案管理，可以利用数字化的网络系统对不同种类的档案进行统一规范的管理，还可以对档案进行多维度的传输，并且也不受空间的限制而进行不同领域内资源的共享，此外还可以跨行业和领域进行相关信息的分发和收集。而对信息资源的共享是网络时代的一大优势，同时还可以结合移动终端设备来实现档案信息快速有效的传播。实行信息化的档案管理，还可以促进不同部门和机构在信息资源上的连通，进而对相关档案信息进行结构化的保存，此外，借助信息化的管理系统还可以方便用户对数据的访问，从而有效提高档案管理工作的水平和效率。其次，在对档案信息进行管理的过程中，可以借助网络系统对信息资源进行全面覆盖，从而实现对档案信息资源的可视化检索。而利用信息化技术可以让管理者和查询者更好的借助搜索引擎来进行信息资源的搜索，同时，搜索引擎还可以依据相关关键词给予有效的参考信息。最后，利用信息化技术来管理档案，可以实现档案管理工作的规范化。在对除了以纸质文献为载体的档案数据管理外，其中还包括一些电子类和录音影像类的档案资源，如果利用传统的档案管理有可能使录音影像类资源在高频率使用的情况下出现信息无法显现的问题，进而导致后期档案信息文件的缺失和损坏。但在利用网络系统进行档案信息保存，可以有效存储音频类资源，并在后期对档案数据进行安全加密，以此确保数据的安全性。

2推进信息化档案管理体系构建的意见

2.1建立完善的信息化档案管理模式

借助现代化信息技术和网络，建立完善的档案管理模式，需要相关工作人员具备先进的管理技术和管理意识，进而使用先进的管理技术来不断提升档案管理水平。可见，建立完善的信息化档案管理模式可以有效推进档案管理信息化的建设。为了不断提升档案管理的信息化就需要对档案管理的工作管理模式进行改进，不断优化其架构，并引入先进的档案管理方法合技术，实现档案信息系统管理的数字化构建，从而实现高效的档案管理。

2.2加强对档案工作人员的培训，提高其管理意识

构建信息化的档案管理体系，需要加强对档案工作人员的培训，不断提升其管理意识。并将先进的档案信息化管理技术应用于实践中。此外，还要将专业的信息化人才引入到档案管理部门中，并定期开展专业的讲座，以此强化档案管理工作人员的管理意识。

3推进信息化档案管理体系构建的方法

首先，对外部机制环境的完善。在互联网时代背景下，构建档案管理信息化体系需要对其中关键性的重要数据进行挖掘和分析，从而促使真正有价值的信息形成核心的生产力。同时，还要保障档案信息网络数据以及用户隐私的安全性。而基于网络的数据信息非常大，因此有部分数据资源会曝光在网络环境中，因此，制定相关的安全和隐私保护律法和健全的管理机制是保障档案信息管理体系安全运作的有效措施。其次，建立档案信息数据开发和利用的门户网站，并确立开发和利用的大数据挖掘机制。对于档案信息而言，有长期保存而很少利用的，因此这部分档案数据就无法得到最大限度的开发。而通过建立门户网站可以方便用户对各方面档案数据进行访问和利用。但要在海量的数据中获取有价值的信息，就需要最大限度对大数据进行挖掘，进而从中提取有价值的信息加以利用。

4推进信息化档案管理体系构建的方法

首先，建立完善的制度，对于现阶段我国档案管理部门在对信息化档案管理制度方面仍有不足之处。因此，制定有效可行的制度来加强管理，可以有效保障档案管理工作中涉及到的版权等问题。并利用制度去约束各项工作的落实。其次，合理分配和利用以及共享资源。例如，对于出版社的档案管理工作而言，在对物流库存进行统计时，如果使用手工盘库存就会既费时又耗力，因此，可以通过信息化系统对其进行统计，进而避免繁琐的程序。此外，通过档案资源共享，可以方便出版社相关人员对发货记录数据和库存数据有全面了解和掌握，从而为出版社节省大量的工作时间，也间接的为其带来经济效益。同时，基于网络建立档案管理部门之间的合作关系，从而实现数据信息资源的共享，从而有效提升档案信息的高效利用率。

5结束语

综上所述，现阶段要实现档案管理体系的信息化构建，就需要利用信息化技术，调整单位内部管理机制，不断改进管理模式，创新管理方法，实现资源合力开发分配和利用以及共享，从而更好的实现档案信息数据的高效利用。

参考文献

信息管理体系篇6

论文关键词:信息系统;安全管理;体系

现代金融业是基于信息、高度计算化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleScuritySurvey,DeloitteToucheTohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。

长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。

1安全管理体系构建

信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。

金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。

2安全管理平台

安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。

2.1安全预警管理

安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。

2.2安全监控管理

通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。

1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。

2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。

3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。

4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。

2.3安全防护与响应管理

在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。

1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。

2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。

3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。

2.4安全反击管理

安全反击管理包括安全事件的取证管理和安全事件的追踪反击。

1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。

2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。

3安全管理措施建议

在安全管

理技术手段的基础上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。

1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。

2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。

3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。

4)坚持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息进行跟踪记录,为系统审计提供依据。

5)重视和加强信息安全等级保护工作,对金融信息系统中的信息实施一般保护、指导保护、监督保护和强制保护策略,尤其对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。

6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技术又懂管理的复合型人才的培养力度。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。