公司内部人员怎么做好信息安全

[怎么做好内部审计]为您转载以下资料，供您参考：内部审计是内部控制的一个环节，是组织内部监督的重要组成部分，也是内部控制的再控制。内部审计工作做得好，对组织加强管理、堵塞漏洞、提高效益等工作...+阅读

公司内部人员怎么做好信息安全

作者结合工作实际阐述了计算机信息安全管理三个组件（风险评估、安全策略和安全教育），分析企事业单位信息安全面临的风险，提出制定企业的计算机信息安全管理的策略，以及如何进行安全知识教育提高企业人员的风险意识。在信息安全领域，我们经常听到这样的信息被病毒、蠕虫造成了严重的破坏？黑客获取了信用卡的信息，大型网站主页被黑等等。大部分的人们对安全普遍认识是企业是否安装了安全产品（如：防火墙、入侵检测系统、防病毒系统等），通常只关心病毒、黑客入侵和操作系统的漏洞，然而这些只是安全广义概念中某些重要的组件。“七分管理三分技术”.在安全业界，信息安全管理是企业信息安全的核心的观念已被广泛接纳.计算机信息安全管理包括风险评估、安全策略和安全教育。

这三个组件是企业安全规划的基础。二、计茸机信安全的风险评估风险分析是识别企业信息资产和关键资产的使用过程？这个是一个非常关键重要的过程，必须非常认真地执行。本质上？这就是确定你要试图保护什么，试图从谁那里保护它，以及准备如何保护它的过程。为了能够成功地进行风险分析，则必须很好地了解企业的运作方式，其工作和业务过程的方式，确定可能产生安全问题的设备和规程。风险应当被识别、分类，真实的风险是很难估量的，但是对潜在风险进行估量是可取的。在考虑企业的信息安全时，必须重视如下的几种风险：（ 1）物理破坏火灾、水灾、电源损坏等；（2）人为错误偶然的或不经意的行为造成破坏；（ 3）设备故障系统及外围设备的故障；（ 4）内、外部攻击内部人员、外部黑客的有无目的的攻击；（5）数据误用共享机密数据，数据被窃；（ 6）数据丢失故意或非故意的以破坏方式丢失数据：（ 7）程序错计算错误、输入错误、缓冲区溢出等。

风险评估是识别各种潜在的威胁，由于计算机网络的复杂性、开放性和共享性，网络信息系统自身的脆弱性，如操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素等，都会给网络信息系统的安全带来威胁。三、对计算机信息安全问.翻定安全策企业的计算机信息是否安全，其核心是管理。企业的安全策略是对企业信息管理的重要手段，任何获准访问某个机构技术和信息资产的人员，都必须遵守这些规则。安全策略由高级管理部门制定，在不妨碍企业员工和用户从事他们正常的工作下，确保企业的网络系统运行在一种合理的安全状态。

目前信息安全管理存在的问题

经过这些年的发展，常用的信息安全技术产品如防火墙、防病毒和入侵检测的应用已经非常普及。近几年，信息安全管理、信息安全风险管理、信息安全风险评估等也成为热门话题。可以说信息安全技术和信息安全管理得到了前所未有的重视。但是信息安全事件却一直处于有增无减的状态，企业信息安全的状况仍不容乐观，企业信息安全活动的努力可以说是“事倍功半”。其中原因之一就是大部分组织并没有很好地将信息安全管理落实。实际上，只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践和规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。跟上信息安全的发展脚步——制度化的浪潮，采用信息安全管理体系标准并得到认证无疑是组织应该考虑的方案之一。

将27001作为依据，建设信息安全管理体系的确是个不错的选择！

维护信息安全重在管理制度的依据

企业信息安全管理制度

一、计算机设备管理制

1. 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

2. 非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。

3. 严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。

二、操作员安全管理制度

（一）. 操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要及岗位职责而设置；

（二）.系统管理操作代码的设置与管理

1、系统管理操作代码必须经过经营管理者授权取得；

2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护；

3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权；

4、系统管理员不得使用他人操作代码进行业务操作；

5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；

（三）.一般操作代码的设置与管理

1、一般操作码由系统管理员根据各类应用系统操作要生成，应按每操作用户一码设置。

2、操作员不得使用他人代码进行业务操作。

3、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。

四、数据安全管理制度

1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放，并明确落实异地备份数据的管理职责；

2. 注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理，保证存储介质的物理安全。

3. 任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批，以保证备份数据安全完整。

4.数据恢复前，必须对原环境的数据进行备份，防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行，出现问题时由技术部门进行现场技术支持。数据恢复后，必须进行验证、确认，确保数据恢复的完整性和可用性。

5.数据清理前必须对数据进行备份，在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存，并确保可以随时使用。数据清理的实施应避开业务高峰期，避免对联机业务运行造成影响。

6.需要长期保存的数据，数据管理部门需与相关部门制定转存方案，根据转存方案和查询使用方法要在介质有效期内进行转存，防止存储介质过期失效，通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。

7.非本单位技术人员对本公司的设备、系统等进行维修、维护时，必须由本公司相关技术人员现场全程监督。计算机设备送外维修，须经设备管理机构负责人批准。送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。

8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除，并妥善处理废弃无用的资料和介质，防止泄密。

9.运行维护部门需指定专人负责计算机病毒的防范工作，建立本单位的计算机病毒防治管理制度，经常进行计算机病毒检查，发现病毒及时清除。

10. 营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体（包括软盘、光盘、移动硬盘等）。