信息系統(tǒng)數(shù)據(jù)管制制度1

1、信息系統(tǒng)數(shù)據(jù)管理制度1公司信息系統(tǒng)數(shù)據(jù)管理制度第一條為防止數(shù)據(jù)的非法生成、變更、泄漏、丟失與被破壞, 確保數(shù)據(jù)的有據(jù)性、準(zhǔn)確性、完整性、及時(shí)性、保密性，特制訂 本制度。第二條數(shù)據(jù)管理范圍包括所有利用計(jì)算機(jī)進(jìn)行輸入、存儲(chǔ)、 處理、再加工及輸出的數(shù)據(jù)，它包括文字材料、報(bào)表、各類原始 憑證、圖形、圖像等輸入處理對(duì)象，又包括存儲(chǔ)于計(jì)算機(jī)內(nèi)部及 傳輸?shù)母黝悢?shù)據(jù)，還包括計(jì)算機(jī)輸出的磁存儲(chǔ)、光存儲(chǔ)、電存儲(chǔ) 及各類打印數(shù)據(jù)。第三條數(shù)據(jù)必須是有據(jù)的，能夠辨認(rèn)數(shù)據(jù)的內(nèi)容、用途和使 用方法；必須經(jīng)過(guò)合法的手續(xù)和規(guī)定的渠道采集、加工、處理和 傳播數(shù)據(jù)；數(shù)據(jù)應(yīng)只用于明確規(guī)定的目的，未經(jīng)批準(zhǔn)不得它用； 采用的數(shù)據(jù)范圍應(yīng)與

2、規(guī)定用途相符。第四條數(shù)據(jù)管理者應(yīng)承擔(dān)保存或處理數(shù)據(jù)的保護(hù)職責(zé)，防止 數(shù)據(jù)的丟失、誤用或破壞；特殊或重要數(shù)據(jù)，應(yīng)采用多種記錄手 段異地保存，免遭意外風(fēng)險(xiǎn)。第五條數(shù)據(jù)使用者有權(quán)查閱被授權(quán)的數(shù)據(jù)，索取數(shù)據(jù)記錄復(fù) 制件，更正有關(guān)自身的任何不準(zhǔn)確數(shù)據(jù)；享受有限次數(shù)規(guī)定的有 問(wèn)必答權(quán)利。第六條根據(jù)使用的不同系統(tǒng)制訂相應(yīng)的數(shù)據(jù)存取細(xì)則，采取 措施防止數(shù)據(jù)被非法修改，堵塞管理操作的疏忽或蓄謀竊取數(shù)據(jù)的漏洞。第七條無(wú)正當(dāng)理由和有關(guān)批準(zhǔn)手續(xù)，不得通報(bào)數(shù)據(jù)內(nèi)容，不 得泄漏數(shù)據(jù)給內(nèi)部或外部的無(wú)關(guān)人員，不得篡改數(shù)據(jù)庫(kù)數(shù)據(jù)內(nèi) 容，必要修改時(shí)，應(yīng)經(jīng)由部門主管及公司分管領(lǐng)導(dǎo)審批，提交數(shù) 據(jù)管理部門，經(jīng)管理部門領(lǐng)導(dǎo)審批同意后由

3、數(shù)據(jù)管理員進(jìn)行修 改。第八條不應(yīng)造成可從發(fā)布的統(tǒng)計(jì)數(shù)據(jù)屮推斷出保密或敏感 的信息。第九條不同數(shù)據(jù)用途建立適當(dāng)?shù)谋O(jiān)督、管理機(jī)制，保證與數(shù) 據(jù)有關(guān)的個(gè)體和數(shù)據(jù)管理者的合法權(quán)益不被侵犯。第十條有新系統(tǒng)上線或升級(jí)時(shí)，數(shù)據(jù)管理部門應(yīng)當(dāng)切實(shí)做好 上線或升級(jí)前的各項(xiàng)準(zhǔn)備工作，應(yīng)查驗(yàn)設(shè)備廠商或軟件開發(fā)商或 開發(fā)人員提交的有關(guān)運(yùn)行維護(hù)資料，并負(fù)責(zé)監(jiān)督設(shè)備廠商或軟件 開發(fā)商提供對(duì)相關(guān)崗位人員的技術(shù)培訓(xùn)。制定科學(xué)的上線計(jì)劃和 新舊系統(tǒng)數(shù)據(jù)切換方案，考慮應(yīng)急預(yù)案，確保新舊系統(tǒng)順利切換 和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還應(yīng)由設(shè)備廠商或軟件 開發(fā)商制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃并經(jīng)由數(shù)據(jù)管理部門及分管領(lǐng) 導(dǎo)審批同意后執(zhí)行。第

4、十一條信息系統(tǒng)屮的信息應(yīng)該根據(jù)其重要性、密級(jí)、應(yīng)用 需求等分別實(shí)施相應(yīng)的加密措施，未經(jīng)流程及領(lǐng)導(dǎo)許可，保密信 息不得以明文形式存儲(chǔ)和傳送。由信息所有者根據(jù)信息的重要 性、密級(jí)規(guī)定及用途，決定操作人員的存取權(quán)限和存取方式。所 有的統(tǒng)計(jì)信息應(yīng)根據(jù)其重要程度進(jìn)行密級(jí)劃分，并制訂相應(yīng)的管 理辦法，確定允許對(duì)外發(fā)布和交流的信息指標(biāo)、報(bào)批權(quán)限和手續(xù)。(1) 備份的數(shù)據(jù)、打印出的數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或 指定的場(chǎng)所保管，并指定專人負(fù)責(zé)保管(2) 數(shù)據(jù)保管員必須用文件管理等方法，對(duì)數(shù)據(jù)進(jìn)行登記 管理。(3) 未經(jīng)流程及領(lǐng)導(dǎo)許可，禁止數(shù)據(jù)的外借，內(nèi)部無(wú)權(quán)查 閱和無(wú)正式批文的人員不得查閱。對(duì)于經(jīng)正式批文借出的數(shù)

5、據(jù)必 須登記，并由經(jīng)手人簽字，便于發(fā)生數(shù)據(jù)泄漏時(shí)分清責(zé)任人。(4) 未經(jīng)流程及領(lǐng)導(dǎo)許可，數(shù)據(jù)保管員不得修改所保管的 任何數(shù)據(jù)。(5) 電腦操作人員要定期清理服務(wù)器屮的數(shù)據(jù)，將過(guò)期的、 作廢的數(shù)據(jù)全部清除，每天作廢的打印數(shù)據(jù)必須銷毀。(6) 數(shù)據(jù)是公司的重要資料，必須按嚴(yán)格地制度進(jìn)行數(shù)據(jù) 備份。(7)每天將所有數(shù)據(jù)備份到專門用于備份的工作站硬盤上 和備份服務(wù)器上。(8)每周，將備份在工作站上的所有歷史數(shù)據(jù)刻錄在只讀 光碟上保存，備份數(shù)據(jù)一式三份，并用統(tǒng)一格式的標(biāo)簽和目錄清 單。并必須異地存放。(9)公司總部及其分支機(jī)構(gòu)必須進(jìn)行交易數(shù)據(jù)的多重備份。 備份數(shù)據(jù)應(yīng)異地存放并送交一份至公司財(cái)務(wù)部門保管。

6、送交至公 司財(cái)務(wù)部門保管的備份必須采用只讀介質(zhì)。（10）數(shù)據(jù)備份及歷史數(shù)據(jù)的存放應(yīng)保證防火、防熱、防塵、 防潮及防磁。磁記錄介質(zhì)應(yīng)存放于距鋼筋房柱或類似結(jié)構(gòu)物十厘 米以外處，以防雷電經(jīng)鋼筋傳播時(shí)產(chǎn)生的磁場(chǎng)破壞所存數(shù)據(jù)。（11）未經(jīng)流程及領(lǐng)導(dǎo)許可，嚴(yán)禁修改歷史數(shù)據(jù)。（12）當(dāng)軟件更換或版本大的升級(jí)后，應(yīng)做好原系統(tǒng)完整的 程序和數(shù)據(jù)的備份，并寫出詳細(xì)的文檔資料，記載超級(jí)管理員的 操作號(hào)以及密碼。信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與管理，網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,網(wǎng)絡(luò)安全技術(shù)與應(yīng)用:王春鳳【摘要】隨著我國(guó)經(jīng)濟(jì)和技術(shù)的飛速發(fā)展，我國(guó)互聯(lián)網(wǎng)得到 了廣泛的應(yīng)用，不管是個(gè)人還是企業(yè)對(duì)互聯(lián)網(wǎng)技術(shù)都產(chǎn)生了不同 的依賴性，信息系統(tǒng)是

7、組織的重要戰(zhàn)略資源，做好信息系統(tǒng)網(wǎng)絡(luò) 安全工作是首要任務(wù)。如果信息系統(tǒng)受到破壞，那么信息就會(huì)流 失，這不僅對(duì)我國(guó)和企業(yè)造成傷害，還會(huì)造成很大的損失。因此, 加強(qiáng)信息系統(tǒng)網(wǎng)絡(luò)安全管理工作十分重要。本文對(duì)目前信息系統(tǒng) 網(wǎng)絡(luò)安全管理的現(xiàn)狀以及風(fēng)險(xiǎn)進(jìn)行分析，并對(duì)風(fēng)險(xiǎn)進(jìn)行提出相關(guān) 的管理措施。【關(guān)鍵詞】信息系統(tǒng)；網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)；問(wèn)題；管理一、信息系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題現(xiàn)狀分析根據(jù)目前的情形，信息系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題面臨著很嚴(yán)重的挑 戰(zhàn)，其安全問(wèn)題方面不容樂(lè)觀。信息系統(tǒng)是一個(gè)龐大復(fù)雜的大系 統(tǒng)，一般由多種軟件、接口、硬盤等等組件構(gòu)成，由于技術(shù)和設(shè) 計(jì)上存在不完善性，大量的漏洞和缺陷隨Z而來(lái)，這些弱點(diǎn)構(gòu)成 了信息系統(tǒng)

8、的脆弱性。信息系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題主要來(lái)自兩大方 面：首先是人們技術(shù)能力和創(chuàng)造能力的局限性，使得信息系統(tǒng)在 網(wǎng)絡(luò)上存在本身的弱點(diǎn)；其次是社會(huì)現(xiàn)實(shí)引起的爭(zhēng)斗，商業(yè)競(jìng)爭(zhēng)、 個(gè)人報(bào)復(fù)等等犯罪行為從信息系統(tǒng)的弱點(diǎn)進(jìn)行入手，來(lái)對(duì)信息系 統(tǒng)網(wǎng)絡(luò)進(jìn)行攻擊。信息系統(tǒng)在不斷的更新和完善，這是一個(gè)無(wú)止境的過(guò)程，縱 觀計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，每一項(xiàng)新技術(shù)的推出，都會(huì)有隨Z 而來(lái)的被“破解”，它的脆弱性會(huì)很快被顯現(xiàn)出來(lái)，然后就是不斷 的進(jìn)行完善。同樣，信息系統(tǒng)也如此，設(shè)計(jì)者在設(shè)計(jì)和工程上存 在錯(cuò)誤或失誤導(dǎo)致信息系統(tǒng)存在一定的缺陷，根據(jù)IBM研究人 員的統(tǒng)計(jì)結(jié)果顯示：計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)都是由幾萬(wàn)行、幾 十萬(wàn)行程序代碼所

9、編寫而成，平均一千行代碼屮就可能存在一個(gè) 錯(cuò)誤，那么，信息系統(tǒng)在互聯(lián)網(wǎng)上的應(yīng)用朝著互聯(lián)互通的一體化 方向發(fā)展，技術(shù)要求越高，其復(fù)雜性就越來(lái)越大，同時(shí)，導(dǎo)致其 網(wǎng)絡(luò)安全的脆弱性因素就越來(lái)越多。病毒是互聯(lián)網(wǎng)屮普遍的存在，還有一種特殊的存在-照客， 黑客作為擁有主觀能動(dòng)性的存在，是信息空間屮一種特殊文化現(xiàn) 象的產(chǎn)生，他伴隨著信息系統(tǒng)的發(fā)展而存在，并也隨著信息系統(tǒng) 的技術(shù)提高而提高，黑客扮演著陰暗面的角色，對(duì)全球信息系統(tǒng) 的惡意攻擊呈現(xiàn)著愈演愈烈的趨勢(shì)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，病毒 和照客的攻擊也在不斷的發(fā)展進(jìn)步，黑客的攻擊方法也在發(fā)生變 化，不僅是黑客本身利用IP地址來(lái)欺騙，利用程序代碼、分析 源代碼或

10、者發(fā)掘應(yīng)用程序的缺陷來(lái)攻擊，而且還有黑客技術(shù)和病 毒傳播相結(jié)合的方式。如上所述，信心系統(tǒng)網(wǎng)絡(luò)安全的問(wèn)題的現(xiàn) 狀一直都存在，技術(shù)人員在不斷的創(chuàng)新，同時(shí)也在不斷的與網(wǎng)絡(luò) 上的安全問(wèn)題、陰暗面在做斗爭(zhēng)，修補(bǔ)脆弱的一面，致力于提高 信息系統(tǒng)網(wǎng)絡(luò)安全。二、信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析(1) 盜取和截獲信息系統(tǒng)網(wǎng)絡(luò)屮的信息。如果信息系統(tǒng)本 身的防火墻和安全措施、加密措施的強(qiáng)度不夠，攻擊者會(huì)通過(guò)互 聯(lián)網(wǎng)、電話線、電磁波輻射范圉內(nèi)所安裝的裝置、路由器上等可 以利用的裝置來(lái)截獲傳輸中的數(shù)據(jù)信息；更有甚者通過(guò)對(duì)信息流 量數(shù)據(jù)、通信次數(shù)的分析，來(lái)套取信息系統(tǒng)屮的信息。因此，應(yīng) 運(yùn)用加密技術(shù)對(duì)信息系統(tǒng)網(wǎng)絡(luò)來(lái)進(jìn)行加密處理以

11、保證其機(jī)密性。(2) 篡改和假冒信息系統(tǒng)網(wǎng)絡(luò)屮的信息。當(dāng)攻擊者破解了 信息系統(tǒng)的程序，熟悉了信息系統(tǒng)的網(wǎng)絡(luò)信息內(nèi)容格式后，很有 可能會(huì)利用技術(shù)和手段在信息系統(tǒng)傳輸信息的過(guò)程屮，入侵其中 并篡改信息內(nèi)容，從而破壞信息的真實(shí)性和完整性。所以，要預(yù) 防信息系統(tǒng)網(wǎng)絡(luò)中的隨意修改、生成、刪除情況。信息系統(tǒng)網(wǎng)絡(luò) 屮還會(huì)出現(xiàn)假冒的信息，攻擊者摸索到信息系統(tǒng)網(wǎng)絡(luò)中數(shù)據(jù)規(guī)律 或解密了機(jī)密信息后，可以假冒合法用戶去發(fā)送假冒信息去欺騙 用戶，在公司屮也可假冒領(lǐng)導(dǎo)發(fā)號(hào)施令，調(diào)閱機(jī)密文件等等。(3) 信息有效性得不到保障。互聯(lián)網(wǎng)應(yīng)用的發(fā)展，信息化 社會(huì)隨Z到來(lái)，電了設(shè)備的信息傳遞，其有效性是值得關(guān)注的問(wèn) 題。由電了商務(wù)

12、作為領(lǐng)軍，以電了化形式取代了紙張形式的信息 傳遞方式，其信息的有效性是開展業(yè)務(wù)的前提。信息系統(tǒng)屮信息 的有效性關(guān)系到企業(yè)、個(gè)人甚至國(guó)家，因此，對(duì)網(wǎng)絡(luò)故障、應(yīng)用 程序代碼、系統(tǒng)硬件、軟件、病毒等潛在威脅加以預(yù)防和控制， 以保證信息系統(tǒng)網(wǎng)絡(luò)傳遞的信息是有效的，正確的。以上三點(diǎn)是信息系統(tǒng)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)的存在不是 一步就可以解決的問(wèn)題，分析出了哪些方面存在風(fēng)險(xiǎn)，才可以更 好的預(yù)防和控制。三、信息系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的目的信息系統(tǒng)網(wǎng)絡(luò)的安全是人類面臨的新問(wèn)題，它普遍的存在人 們的日常生活屮，信息系統(tǒng)的復(fù)雜性和安全問(wèn)題的突發(fā)性、不確 定性使得安全問(wèn)題的解決面臨困難，沒(méi)有完善的全面防范，防范 的重點(diǎn)難

13、以確定，具有高突發(fā)性的信息安全問(wèn)題。積極尋求解決 方法和手段是進(jìn)行治理信息系統(tǒng)網(wǎng)絡(luò)安全的務(wù)實(shí)選擇。在尋求解 決方法、有效對(duì)策時(shí)，防范不足信息安全會(huì)失效；全面防范會(huì)造 成財(cái)力、人力、物力的浪費(fèi)，或是信息系統(tǒng)網(wǎng)絡(luò)的可用性下降。 因此，信息系統(tǒng)風(fēng)險(xiǎn)管理是要盡可能的安全卻又不能太過(guò)于安全 的，要從經(jīng)濟(jì)、技術(shù)的可行性上來(lái)有效的進(jìn)行管理。進(jìn)入互聯(lián)網(wǎng)時(shí)代以后，信息網(wǎng)絡(luò)安全威脅不斷增加，也在不 斷的迫使人們重新考慮合適的安全模式，信息系統(tǒng)網(wǎng)絡(luò)安全觀念 是人們探索的新產(chǎn)物。信息安全問(wèn)題也從過(guò)去單純的應(yīng)對(duì)威脅拓 展到既要應(yīng)對(duì)威脅，又要面對(duì)挑戰(zhàn)。在當(dāng)今復(fù)雜的信息系統(tǒng)環(huán)境 下，風(fēng)險(xiǎn)總是存在的，無(wú)論你采取多么完美的信息

14、系統(tǒng)安全手段, 都難以徹底消除安全問(wèn)題的威脅。對(duì)信息系統(tǒng)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)管 理，可以將攻擊和破壞產(chǎn)生后果的程度限制在可承受范圍內(nèi)，風(fēng) 險(xiǎn)管理是對(duì)信息系統(tǒng)的一個(gè)動(dòng)態(tài)管理，是一個(gè)連續(xù)的過(guò)程，即在 特定的安全方案下將風(fēng)險(xiǎn)降到最低以致于可以接受的過(guò)程，并非 完全的消滅風(fēng)險(xiǎn)。風(fēng)險(xiǎn)可以不被一舉消除，但是必須要控制在可 接受范圍內(nèi)，有了對(duì)風(fēng)險(xiǎn)的管理，人們就不在被動(dòng)的受威脅，完 全可以在主動(dòng)、防患于未然的常態(tài)下出擊，從而使信息系統(tǒng)網(wǎng)絡(luò) 得到安全的保障。信息系統(tǒng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理信息安全的新模式， 如果運(yùn)用好風(fēng)險(xiǎn)管理的手段，將會(huì)對(duì)信息系統(tǒng)起到很好的保障的 作用。四、信息系統(tǒng)網(wǎng)絡(luò)安全管理方法(1)增強(qiáng)安全防護(hù)體系。每一項(xiàng)

15、信息系統(tǒng)都會(huì)有相應(yīng)的安 全防護(hù)體系，但是安全防護(hù)體系的脆弱性是網(wǎng)絡(luò)攻擊者的目標(biāo)， 現(xiàn)在的網(wǎng)絡(luò)安全已不再是一個(gè)簡(jiǎn)單的概念，它與國(guó)家、企業(yè)、個(gè) 人Z間緊密相關(guān)，例如對(duì)于企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全而言，安全問(wèn) 題涉及到多層數(shù)據(jù)信息，幾乎覆蓋了企業(yè)信息的通信平臺(tái)、網(wǎng)絡(luò) 平臺(tái)、應(yīng)用平臺(tái)等系統(tǒng)單元，是企業(yè)網(wǎng)絡(luò)至關(guān)重要的核心部分。 增強(qiáng)安全防護(hù)體系不僅僅是常人眼中的防火墻，還需要更全面的 防護(hù)體系，來(lái)提供安全的服務(wù)。（2）樹立信息安全管理意識(shí)?，F(xiàn)今信息系統(tǒng)的網(wǎng)絡(luò)安全的 使用者還是以電了商務(wù)的銀行、證券、電信等為主，中小企業(yè)也 隨Z使用，對(duì)網(wǎng)絡(luò)安全的問(wèn)題也R益重視。信息系統(tǒng)網(wǎng)絡(luò)根據(jù)互 聯(lián)網(wǎng)的特點(diǎn)，是信息在人與人Z間的支配，在造成信息破壞的因 素中，認(rèn)為失誤的破壞率遠(yuǎn)遠(yuǎn)大于技術(shù)失誤，所以要提高信息安 全的管理意識(shí)，三分靠技術(shù)，七分靠管理，安