如何进行信息系统的安全管理

[管理信息系统中一道综述题：如何深刻认识管理信息系统不仅是]之所以说MIS是一个技术系统，我认为应该是说MIS的发展是伴随着计算机技术的发展而展开的，之所以有MIS的产生，计算机技术是它得以存在的基础。第一台电子计算机于1946年问世，50多...+阅读

如何进行信息系统的安全管理

一、信息系统安全的基本概念

（一）信息系统及其特点概述信息系统是基于计算机系统和通信系统的十分复杂的现代信息资源网络系统，其中，计算机系统是信息系统的核心，由软件和硬件组成，用以完成对信息的自动处理过程；通信系统由工作站、计算机网络和通信网络构成，可以通过线路与计算机之间或通过线路与终端设备之间进行数据传输。

计算机系统和通信系统的结合，使具有动态、随机和瞬时发生等特性的信息传输和处理跨越了地理位置的障碍实现了全球互通互联。信息系统的9大特性是系统开放性、资源共享性、介质存储高密性、数据互访性、信息聚生性、保密困难性、介质剩磁效应性、电磁泄露性、通信网络的脆弱性等。显然，这些特性都与信息系统的安全性密切相关，决定了信息系统的不安全特质，信息系统的上述特性对其安全构成了潜在的危险。

这些特性如果被利用，系统的资源就将会受到很大损失，甚至关系到企业组织的生死存亡。因此，加强对信息系统的安全管理十分必要。

（二）信息系统的安全性原理与技术概述

1、信息系统安全性的基本概念随着信息技术的发展，信息系统在运行操作、管理控制、经营管理计划、战略决策等社会经济活动各个层面的应用范围不断扩大，发挥着越来越大的作用。

信息系统中处理和存储的，既有日常业务处理信息、技术经济信息，也有涉及企业或政府高层计划、决策信息，其中相当部分是属于极为重要并有保密要求的。社会信息化的趋势，导致了社会的各个方面对信息系统的依赖性越来越强。信息系统的任何破坏或故障，都将对用户以至整个社会产生巨大的影响。信息系统安全上的脆弱性表现得越来越明显。

信息系统的安全日显重要。信息系统的安全性是指为了防范意外或人为地破坏信息系统的运行，或非法使用信息资源，而对信息系统采取的安全保护措施。与信息系统安全性相关的因素主要有以下7种： 1）自然及不可抗拒因素：指地震、火灾、水灾、风暴以及社会暴力或战争等，这些因素将直接地危害信息系统实体的安全。 2）硬件及物理因素：指系统硬件及环境的安全可靠，包括机房设施、计算机主体、存储系统、辅助设备、数据通讯设施以及信息存储介质的安全性。

3）电磁波因素：计算机系统及其控制的信息和数据传输通道，在工作过程中都会产生电磁波辐射，在一定地理范围内用无线电接收机很容易检测并接收到，这就有可能造成信息通过电磁辐射而泄漏。另外，空间电磁波也可能对系统产生电磁干扰，影响系统正常运行。 4）软件因素：软件的非法删改、复制与窃取将使系统的软件受到损失，并可能造成泄密。

计算机网络病毒也是以软件为手段侵入系统进行破坏的。 5）数据因素：指数据信息在存储和传递过程中的安全性，这是计算机犯罪的主攻核心，是必须加以安全和保密的重点。 6）人为及管理因素：涉及到工作人员的素质、责任心、以及严密的行政管理制度和法律法规，以防范人为的主动因素直接对系统安全所造成的威胁。 7）其他因素：指系统安全一旦出现问题，能将损失降到最小，把产生的影响限制在许可的范围内，保证迅速有效地恢复系统运行的一切因素。

2、信息系统安全保护措施分类及其相互关系信息系统的安全保护措施可分为技术性和非技术性两大类： 1）技术性安全措施——是指通过采取与系统直接相关的技术手段防止安全事故的发生； 2）非技术性安全措施——指利用行政管理、法制保证和其他物理措施等防止安全事故的发生，它不受信息系统的控制，是施加于信息系统之上的。

与人们想象的刚好相反，其实，在系统的安全保护措施中，技术性安全措施所占的比例很小，而更多则是非技术性安全措施，两者之间是互相补充、彼此促进、相辅相成的关系。广大信息化工作者应该明白：信息系统的安全性并不仅仅是简单的技术问题，而严格管理和法律制度才是保证系统安全和可靠的根本保障。

3、信息系统存在的主要安全隐患概述已在社会经济生活中广为应用的信息系统极其脆弱，频繁发生的系统安全隐患有： 1）数据输入隐患：数据通过输入设备进入系统过程中，输入数据容易被篡改或掺假； 2）数据处理隐患：数据处理部分的硬件容易被破坏或盗窃，并且容易受电磁干扰或因电磁辐射而造成信息泄漏； 3）通信线路隐患：通信线路上的信息容易被截获，线路容易被破坏或盗窃； 4）软件系统隐患：操作系统、数据库系统和程序容易被修改或破坏； 5）输出系统隐患：输出信息的设备容易造成信息泄漏或被窃取。

4、信息系统的实体安全和技术安全概述信息系统的实体安全指为保证信息系统的各种设备及环境设施的安全而采取的措施，主要包括场地环境、设备设施、供电、空气调节与净化、电磁屏蔽、信息存储介质等的安全。信息系统的技术安全即在信息系统内部采用技术手段，防止对系统资源非法使用和对信息资源的非法存取操作。信息资源的安全性分为动态和静态两类。

动态安全性是指对数据信息进行存取操作过程中的控制措施；静态安全性是指对信息的传输、存储过程中的加密措施。

什么是安全生产隐患排查治理体系

试读结束，如需阅读或下载，请点击购买>

原发布者：王子殿下666007

******有限公司（*******Co.,Ltd.）事故隐患排查治理体系修订版编制：****审核：*****签发人：********有限公司事故隐患排查治理体系一、隐患排查制度一公司安全部是安全检查管理的职能部门，负责公司的隐患排查治理监督检查工作，检查各车间部门对隐患的排查治理情况，负责对隐患治理情况的验收；建立隐患排查档案：包括隐患排查情况，整改治理情况，隐患治理资料的整理、分类、汇总和事故隐患上报等情况。二各车间部门负责本部门辖区范围内的隐患排查，根据风险分级管控作业指导书划分的风险等级，将设备风险和作业过程风险划分到具体责任人，作业人员每班都要对设备及作业过程风险进行隐患排查，查出隐患后及时将隐患情况汇总给值班长，对当班能处理的隐患，值班长组织人员处理；当班不能处理的隐患，及时上报车间；交班时应将隐患情况及采取的防范措施书面告知接班人员。三日常安全隐患检查：（1）岗位操作工人巡查，以设备运行状况、工艺指标、正常作业下的安全措施为主要检查内容。（2）车间主任、班组长检查，以人的不安全行为，物的不安全状态、环境不安全因素为主要检查内容。（3）每日值班领导检查，全公司、全方位、全天候、无死角对人、设备、工艺、安全措施方方面面检查后填写值班记录，次日张贴公布。四季节性安全隐患检查：（一）春季安全检查，以防雷、防跑冒滴漏及防火为重点检查内容；（二）夏季安全检查，以防汛、防暑、防中毒、防雷为

兼职安全管理人员怎么帮企业建立双重预防机制

不论是专职还是兼职安全管理人员，都必须肩负起企业安全管理的重任，不能因为兼职就掉以轻心。具体可以从以下几方面着手：

1、理清安全风险和事故隐患的概念，风险辨识侧重于认知固有风险，而隐患排查侧重于各项措施生命周期过程管理。风险辨识要定期开展，在工艺技术、设备设施以及组织管理机构发生变化时要开展；而隐患排查则要求全时段、全天候开展，随时发现技术措施、管理措施的漏洞和薄弱环节。

2、建立安全风险分级管控制度及隐患排查治理制度，并融入企业实际生产中。

3、建立完善的企业安全风险清单和数据库。风险辨识时要充分考虑分析“三种时态”和“三种状态”下的危险有害因素，分析危害出现的条件和可能发生的事故或故障模型。要利用信息化手段将安全风险清单清单电子化，建立并及时更新安全风险数据库。如赛为的“安全眼”实现了app及电脑端的风险点进行记录汇总。

4、建立隐患排查治理台账或数据库。隐患排查要求全时段、全天候开展，随时发现技术措施、管理措施的漏洞和薄弱环节。要利用信息化手段将事故隐患清单电子化，建立并及时更新事故隐患数据库。如赛为的“安全眼”实现了app及电脑端的日常安全检查或隐患排查，能实时监督隐患的整改情况，通过不断的隐患排查治理，使得安全隐患持续减少。

5、建立安全风险分级管控与隐患排查治理闭环管理信息系统。要绘制动态企业安全风险四色分布图，并将重大风险监测监控数据接入信息化平台，充分发挥信息系统自动化分析和智能化预警的作用。要充分利用已有的安全生产管理信息系统和网络综合平台，尽量实现风险管控和隐患排查信息化的融合，通过一体化管理避免信息孤岛，提升工作效率和运行效果。

6、制定有效的重大安全风险管控措施

上图是危险源辨识、风险评估、隐患排查治理流程

7、设置重大安全风险公告栏，制作岗位安全风险告知卡。

8、风险辨识与隐患排查的工作主体都要求全员参与，工作对象都要涵盖人、机、环、管各个方面。所以企业要强化全员培训，让全体员工都接受并自觉践行风险优先的理念，学习风险管理的基本知识，掌握风险辨识和隐患排查的基本方法。