信息管理與信息系統論文范文

信息管理與信息系統論文范文第1篇

關鍵詞：陜西化建;物資管理;存在問題;建議

陜西化建工程有限責任公司是國家化工石油工程施工總承包一級資質企業，是陜西省唯一從事石油化工建設的大型股份制企業。作為延長石油集團的二級單位，陜西化建先后承建了1500多項國家和省、市重點工程，足跡遍及全國20多個省、市、自治區，參加緬甸、伊朗、越南和孟加拉國的工程建設。該企業大部分項目工程的材料成本要占到整個項目成本的30%左右(主材基本甲供)，少部分項目工程的物資材料成本占到項目成本的60%以上(主材乙供)。所以物資材料供應的及時性、材料的采購價格、減少材料使用過程中的浪費，對整個企業的生產管理和成本控制起著至關重要的作用。

1 陜西化建物資管理在常規模式中存在的問題

在常規的管理模式下，化建公司物資管理主要存在以下幾方面問題：

(1)大部分項目要求工期短、圖紙到位晚、部分設計院設計粗糙，導致提供的物資需用計劃屬性描述不清，計劃審核不嚴，或計劃分期分批提出，采購次數、頻率頻繁;

(2)供應管理人員偏少，特別是計劃管理人員，全公司項目部專門從事物資需用計劃管理的人員數量遠遠不能滿足項目需要;

(3)二級倉庫的建設、管理不符合要求，材料二級庫的建設均未達到應有的管理效果;

(4)所有合同均由項目部自行與供貨單位簽訂，未經過法律事務部及相關部門確認，合同簽訂、審批不嚴謹，驗收不嚴肅。部分項目部存在合同中未體現中標單位提供產品的生產廠家，或存在供貨單位提供產品的生產廠家不符合合同約束的要求;

(5)物資利庫難度增加。公司物資庫存由于受儲存環境影響，部分物資質量狀態、包括表面狀態較差，二次用到工程實體難度增加。

2 陜西化建物資管理信息系統開發需求和功能劃分

為了加強物資管理水平，不斷提升企業競爭水平，公司擬開發物資管理信息系統。要求系統對外能利用互聯網實行網上招投標、網上采購等電子商務，降低采購成本;對內實行人力、資金、物料、信息資源的統一規劃、管理、配置和協調，使信息技術與管理業務流程相互整合，不斷提高企業管理效率。

物資管理系統管理功能應包括物資臺帳，物資價格信息庫，合格物資供應商臺帳，物資采購計劃管理，物資采購管理，物資驗收、入庫、出庫管理，不合格物資管理等。

2.1 物資臺帳。按照項目逐一建立物資庫存一覽表。應能夠索引一覽表中任意物資的基本情況，至少包括物資供應信息、價格信息等。投標單位應對索引信息做出具體說明。

2.2 物資價格信息庫。物資價格信息庫上應包含或索引所有物資的預算價格、信息價格、招標價格限價、采購價格信息和信息形成時間，建立材料價格分析機制。應能夠索引同一物資不同項目的價格信息;自動生成各供應商在公司各個項目的供應信息。

2.3 合格物資供應商臺帳。建立公司合格物資供應商一覽表。合格物資供應商臺帳上應包含或索引所有物資供應商的供應范圍、聯系方式等基本情況。投標單位對索引的內容做出具體說明。以上三項要能互相關聯，互相查找，即供應商、供應范圍、供應價格應是相互可以查找的，找到供應商就能找到供應價格，找到供應價格或供應物資類別就能找到供應商。

2.4 物資采購計劃管理。物資采購計劃應包括：各專業物資采購計劃臺帳。臺帳應包括總物資計劃、根據工程進度要求的采購實施計劃。采購計劃應能夠索引專業班組的物資材料計劃及審批情況。

2.5 物資采購管理。除按照本文件要求的合同管理外，應能夠索引所有物資的預算價格、信息價格、招標價格限價、采購價格等。應能夠反映物資采購招議標或比價記錄。

2.6 物資驗收、入庫、出庫管理。投標單位應提供物資驗收、入庫、出庫管理的相關臺帳表格。應能夠反映實際到貨時間與采購實施計劃到貨時間的偏差。

2.7 不合格物資管理。建立不合格物資臺帳。索引不合格物資供應商、識別、處置流程和處置辦法等。

3 陜西化建物資管理信息系統功能的實現

根據以上功能的劃分，建立相關數據庫。用戶的需求具體體現在各種信息的提供、保存、更新和查詢等方面，這就要求數據庫結構能充分滿足各種信息的輸出和輸入。收集基本數據、數據結構以及數據處理的流程，組成一份詳盡的數據字典，為后面的具體設計打下基礎。針對一般物資管理信息系統的需求，通過對物資調配工作過程的內容和數據流程分析，設計相應數據項和數據結構。

4 對系統的應用效果進行客觀評價

隨著物資管理信息系統在三個試點基層單位和項目部的應用，我們發現公司標準化、規范化管理的水平明顯提高。主要表現為：信息化管理系統能全面反映物資的采購情況、領用情況、損耗情況、以及人員和部門的領用情況。信息化管理系統提供的統一的表格、數據采集標準，為企業的管理制定了一個標準，推進了標準化管理進程，減少了物資管理的中因項目管理人員水平的差別造成管理缺位或交叉重復，促進了整體管理水平的提高。借助功能強大的查詢及報表功能使管理人員能及時、準確地了解所需信息，為企業的決策提供了正確、便捷的支持平臺，幫助企業更有效、更全面地管理物資。

但由于施工項目具有點多、線長、面廣、高度分散、流動性強的特點，物資管理信息化工作的開展和運行還存在著部分問題和困難：

(1)部分基層單位領導及項目部領導對物資管理信息化工作不重視，對自己單位或項目上的物資管理信息化工作放任物資管理人員自行管理，不督促、不要求、不檢查，導致有些基層單位數據填報量很少，填報數據很不規范;

(2)部分項目部太偏遠，網絡配置太差，導致數據填報不暢;

(3)基層單位和項目部物資管理人員素質參差不齊，部分人員對物資管理信息化軟件的操作不是很熟練，甚至于不懂得怎樣操作;

(4)項目部物資管理人員流動性較大，經常因為新開項目從其它項目部抽調人員，無法實現專職專人操作管理;

(5)很多物資管理人員雖然應用信息化軟件，但是沒有修改密碼，別人可以輕易登陸其賬戶查看信息，公司多次強調要求操作人員修改密碼，仍有許多人員沒有修改，對物資數據安全造成較大隱患;

(6)存在項目部和基層單位計劃員或材料員替代部門領導或單位領導完成審批工作的情形，甚至一個人同時代替完成幾個人操作工作。

5 針對運行過程中發現的問題提出相關建議

解決以上問題的建議和措施：

(1)要求各級領導干部加強對物資管理信息化工作的重視程度;

(2)強化偏遠項目部的網絡設施配置，保障數據傳輸的及時性;

(3)加強物資管理人員培訓，提高他們的綜合素養;

(4)成立統一的物資配送中心，強化物資材料的統一管理;

(5)強制要求修改密碼，公司管理職能部門通過技術手段檢查密碼修改情況，再不修改者停止其進入系統操作;

(6)要求各級審批人員必須親自查看信息流程并審批，如有數據安全事故及責任由個人承擔。

6 結束語

以上是筆者對陜西化建物資管理由常規模式向信息化系統管理轉變過程中存在問題和解決辦法的研究，希望對該單位的物資管理信息化工作有所幫助。物資管理信息系統的有效建立和推廣使用是化建行業企業發展壯大的必然要求，也希望此文能夠為其它石油化工施工企業提供實踐經驗。

參考文獻：

[1]夏雪剛.基于軟件工程的數據庫應用系統開發[J].科技信息，2009.

作者單位：西安石油大學 計算機學院，西安 710065

信息管理與信息系統論文范文第2篇

1 涉密信息系統概述

1.1 涉密信息系統界定

涉密信息系統主要指用于處理涉密信息的計算機設備或者用于實現內部辦公自動化的涉密信息交換網絡體系。通常情況下涉密信息系統是指有著一定安全保密需要和要求的計算機系統, 按照國家強制性標準和規定, 達到一定安全等級的計算機系統被稱之為涉密信息系統。

簡而言之, 一個計算機信息系統是否具備涉密屬性, 能夠稱之為涉密信息系統, 主要是看這個計算機系統里面的信息是不是涉及到國家秘密, 涉密信息的數量多與少不論, 只要存儲或者處理、傳輸了涉密信息, 那么這個信息系統就應確定為涉密信息系統。從這個概念出發, 可以看出并不是所有涉密信息系統都是較高安全等級的計算機信息系統, 也不是所有安全等級的計算機信息系統都是涉密信息系統。隨著商業競爭的越發激烈, 目前, 一些企業為保障其商業信息安全, 采取了非常多的安全保密措施, 引進了信息安全保密技術和設備, 這些企業信息安全管理的等級非常高, 但這些企業內部的信息系統, 并不是涉密信息系統。通常的涉密信息系統都是黨政機關內部使用的計算機系統, 只要計算機系統當中運行或者存儲、處理、傳輸了國家秘密信息, 那么這個系統就是涉密信息系統, 不論其信息等級高低, 只要涉密, 都應被稱之為涉密信息系統, 進而能夠實現更為規范的管理, 實現安全可控。

1.2 涉密信息系統分級保護

通常情況下對涉密信息系統施以保護都是按照分級原則進行分級實施的。涉密系統的安全管理級別分為絕密級、機密級、秘密級, 有效分級后, 才能更進一步實施分級保護, 提升管理效能, 提升安全標準。

1.2.1 秘密級

信息系統當中包含有秘密級的國家秘密, 其總體的防護水平不應該低于國家信息安全等級保護三級的要求, 信息系統應該達到分級保護的技術標準。

1.2.2 機密級

信息系統當中包含有機密級國家秘密, 其防護水平不應低于國家信息安全等級保護四級要求, 同時, 還需要符合分級保護的保密技術要求。

1.2.3 絕密級

信息系統當中包含有絕密級國家秘密, 其防護水平應不低于國家信息安全等級保護五級要求, 需符合分級保護的保密技術要求。同時, 絕密級涉密信息系統應該被建設并應用到封閉的場地建筑之內, 不能與外網連接。

隨著信息化技術的發展, 建立系統標準化的分級保護體系已經成為一種必然之舉。政府機關根據涉密信息的涉密等級, 對涉密信息的重要性進行分析, 結合不同的保護措施對信息系統加以有效保護。從過程控制的角度分析, 當前涉密信息系統分級保護的管理過程主要分為8個具體階段, 即系統定級階段、安全規劃方案設計階段、安全工程實施階段、信息系統測評階段、系統審批階段、安全運行及維護階段、定期評測與檢查階段和系統隱退終止階段等。在涉密系統的實際使用過程中, 在對系統定級、安全管理規劃設計與實施、安全管理行為等方面重點關注。

為了規范涉密信息系統的管理和保護工作, 國家保密局對涉密信息系統如何進行分級保護, 進行了進一步明確, 制定出臺一系列的管理辦法和技術標準。目前, 通常使用的保密標準, 是BMB17《涉及國家秘密的信息系統分級保護技術要求》和BMB20《涉及國家秘密的信息系統分級保護管理規范》。涉密信息系統的保密等級和效果應通過專業機構測試方能明確。不同的管理規范和標準當中都明確指出了涉密信息系統應該按照國家保密標準去配備設備、設施, 其保密設備、設施應該與信息系統建設管理同步規劃、建設, 涉密信息系統投入使用之前, 需經保密管理部門的審核檢查。

2 涉密信息系統安全管理主要內容分析

社會的發展進步, 使信息技術越發被重視。為了有效適應信息化、網絡化社會基礎條件, 需要構建一套全方位、系統化、穩定的信息管理模式, 進而全面提升信息系統安全防范能力和水平, 而構建涉密信息系統安全管理模式或體系, 需要重點考慮多重問題, 不論是制度問題還是執行問題都要涉及其中, 缺一不可。

2.1 完善責任制度突出管理職能

責任制度的不斷完善, 能夠發揮基礎保障作用, 當涉密信息系統的管理責任更加突出, 則信息系統的應用效率和安全水平更高。通過制度建設, 各類政府機構應搭建符合本部門實際的涉密信息系統安全管理制度, 實施涉密信息分類分級管理, 在單位內部明確各個職能部門的安全信息管理職能, 健全層級分明的安全工作責任制。

2.2 強化內部管理實現過程控制

涉密信息系統的管理和使用機構, 應做好工作人員的日常管理, 對涉密信息系統的日常操作員加強規范和制約。從人員聘用到人員上崗整個過程都應該建立在安全管理需求的基礎條件上。做好崗前培訓和崗位職能培訓, 只有從根本上提升人員的綜合素質, 才能切實提升涉密信息系統的安全管理水平和效能。在簽訂管理責任書同時, 政府機構要做好監督管理, 對操作行為進行實時監督, 一旦出現違規操作, 視具體情節處理相關責任人。

2.3 做好長效化管理工作實現日常規范化管理

涉密信息系統的維護重在日常, 只有實現長效化管理, 才能從根本上解決長期存在的一系列問題, 避免泄密問題出現。信息系統的應用和運行本身就有一定的客觀要求, 長效化就是要求任何一名操作員要真正履行職責, 嚴格按照規范進行操作, 接入系統之前, 需進行身份鑒別, 對違規訪問和登陸要及時予以清退。

2.4 突出涉密信息系統的多元化管理

涉密信息系統的管理涵蓋于多方面, 實施多元化管理是涉密信息系統最終能夠有效得到推廣和應用的關鍵所在, 對于多元化管理這一概念, 其目的在于編織一套層次分明、權責對等的管理網絡, 安全管理的主要責任就是要保證涉密信息不外泄, 使信息能夠安全存儲和有效提取、轉移。任何一家建設并使用涉密信息系統的政府機構都應該從管理有效性角度出發, 自查自糾尚存的安全性問題, 進而使管理的多元化能夠最終有所體現和顯現, 尤其是在高級別涉密信息管理過程中, 如何突出多元化管理, 已經成為一個主要課題。一方面, 政府機關應遵守法律和政策規定, 嚴格實施具體管理行為;另一方面, 要結合本部門的實際情況, 突出管理的實效性, 不能脫離實際, 在符合實際需求的基礎上, 提升管理的標準和效能。政府機關要建立起實時動態監控機制, 對涉密信息系統的使用實施24小時監控, 嚴格按照專網運行機制對涉密信息進行傳輸。一旦發現違規操作行為應及時預警, 對于違規操作自動加以處理, 暫停操作人員權限, 只有通過這種人工與智能技術相結合的方式, 才能實現多元化管理效果, 才能確保安全管理工作落實到實處, 制度上墻, 雖然能夠起到警示作用, 但缺乏監督的制度體系, 是不是能夠發揮長效化作用, 切實有實際價值, 則值得推敲和反思, 多元化并不是技術層面上的, 而是多方面的。

2.5 從硬件入手打造實時監控網絡

涉密信息系統一般情況下不應該接入互聯網、城域網等外網, 通常都是運行在內網網絡框架體系當中。內網的安全性是外網無法比擬的, 而政府機構為了能夠提升涉密信息系統的整體安全水平和質量, 必然要從控制網絡接入入手。當前的信息網絡技術已經完全能夠做到對每一臺網絡終端接入設備進行監控, 對非授權接入外網的行為, 涉密信息系統應具備自動斷網和示警的功能, 使網絡管理員能夠及時的掌握相關信息, 進而做出決策和抉擇, 按照規范流程確保涉密信息的安全性。涉密信息系統的安全管理總的來看是一個綜合性工作:一方面, 需要技術支持;另一方面也需要管理體系制度的維護。技術是涉密信息系統安全管理水平提升的基礎保障, 實時監控網絡的打造需要技術手段作為依托, 硬件的構建必須嚴格按照技術標準和規范實施, 通過分級管理的方式, 使涉密信息系統安全管理技術標準有效分類, 不同等級的涉密信息系統需要配置不同的硬性設施, 進而使管理的針對性和有效性更加突出。

摘要：涉密信息系統安全管理工作是一項持續而突出的現實任務。自20世紀90年代末起, 互聯網得到高速發展, 互聯網信息技術為政府提升工作效能提供了保障, 但同時也帶來一系列安全問題, 如何提升涉密信息安全管理水平值得深思。本文從理論研究角度出發, 對涉密信息相關概念進行分析, 同時提出涉密信息系統安全管理的基本內容。

關鍵詞：涉密信息,安全管理,分級

參考文獻

[1]孔斌.涉密信息系統檢測評估綜述[J].保密科學技術, 2011 (5) :14-17.

[2]孔斌.試論涉密信息系統安全保障評價[J].保密科學技術, 2011 (2) :71-74.

[3]李元峰, 蔡雅良.淺析涉密信息系統的分級保護[J].信息安全與通信保密, 2008 (6) :78-79.

[4]劉玉林, 王建新, 謝永志.涉密信息系統風險評估與安全測評實施[J].信息安全與通信保密, 2007 (1) :142-144.

[5]王杰.涉密信息系統中風險評估開展過程的研究[J].信息安全與通信保密, 2009 (8) :103-106.

[6]蔡萍.涉密信息系統保密管理工作的思考[J].計算機安全, 2013 (4) :90-91.

[7]王典.如何實現應用系統的信息分級保護功能[J].科技信息, 2013 (4) :302.

信息管理與信息系統論文范文第3篇

【關鍵詞】信息系統;安全建設;防護體系

1.企業信息系統安全防護的價值

隨著企業信息化水平的提高，企業對于IT系統的依賴性也越來越高。一方面，“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化，各種應用系統如ERP、MES為企業的生產效率的提高起到了關鍵的作用。有效的管控IT環境，確保IT業務系統的持續穩定運行作為企業競爭力的一部分，已成為IT系統安全防護的主要目標和關鍵驅動力。另一方面，企業IT安全的建設也是“法規遵從”的需要。IT系統作為企業財務應用系統的重要支撐，必須提供可靠的運行保障和數據正確性保證。

2.企業信息系統安全建設的現狀分析

在企業信息化建設的過程中，業務系統的建設一直是關注的重點，但是IT業務系統的安全保障方面，往往成為整個信息化最薄弱的環節，尤其是在信息化水平還較低的情況下，IT系統的安全建設缺乏統一的策略作為指導。歸結起來，企業在IT系統安全建設的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規范不健全

盡管知道IT安全事故后果比較嚴重，但是企業的高層領導心中仍然存在著僥幸心理，更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證，由此帶來的后果是諸如對網絡的任意使用，導致公司的機密文檔被擴散。同時在發生網絡安全問題的時候，也因為缺乏預先設置的各種應急防護措施，導致安全風險得不到有效控制。

2.2 應用系統和安全建設相分離，忽視數據安全存儲建設

在企業IT應用系統的建設時期，由于所屬的建設職能部門的不同，或者是因為投資預算的限制，導致在應用系統建設階段并沒有充分考慮到安全防護的需要，為后續的應用系統受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失;各種自然災難、IT系統故障，也對數據安全帶來了巨大沖擊。遺憾的是很多企業在數據的安全存儲方面，并沒有意識到同城異地災難備份或遠程災難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統的建設，“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統一規劃，這樣的后果就是網絡上的設備五花八門，設備方案之間各自為戰，缺乏相互關聯，從而導致了多種問題。

3.企業信息系統安全建設規劃的原則

企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值，在設計高水平的安全防護體系時應該遵循以下幾個原則：

(1)統一規劃設計。信息安全建設，需要遵循“統一規劃、統一標準、統一設計、統一建設”的原則;應用系統的建設要和信息安全的防護要求統一考慮。

(2)架構先進，突出防護重點。要采用先進的架構，選擇成熟的主流產品和符合技術發展趨勢的產品;明確信息安全建設的重點，重點保護基礎網絡安全及關鍵應用系統的安全，對不同的安全威脅進行有針對性的方案建設。

(3)技術和管理并重，注重系統間的協同防護。“三分技術，七分管理”，合理劃分技術和管理的界面，從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在系統設計、建設和運維的多環節進行綜合協同防范。

(4)統一安全管理，考慮合規性要求。建設集中的安全管理平臺，統一處理各種安全事件，實現安全預警和及時響應;基于安全管理平臺，輸出各種合規性要求的報告，為企業的信息安全策略制定提供參考。

(5)高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求，是業務連續性的需要，是滿足企業發展擴容的需要。

4.企業信息系統安全建設的部署建議

以ISO27001等企業信息安全法規[1]遵從的原則為基礎，通過分析企業信息安全面臨的風險和前期的部署實踐，建立企業信息安全建設模型，如圖1所示。

圖1 企業信息系統安全建設模型

基于上述企業信息安全建設模型，在建設終端安全、網絡安全、應用安全、數據安全、統一安全管理和滿足法規遵從的全面安全防護體系時，需要重點關注以下幾個方面的部署建議：

4.1 實施終端安全，關注完整的用戶行為關聯分析

在企業關注的安全事件中，信息泄漏是屬于危害比較嚴重的行為?，F階段由于企業對網絡的管控不嚴，員工可以通過很多方式實現信息外泄，常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業在建設信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中，系統從用戶接入的那一時刻開始，就對用戶的桌面行為進行監控，同時配合internet上網行為審計設備，對該員工的上網行為進行監控和審計，真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中，提升企業的防護水平。

4.2 建設綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業在VPN建設過程中必然會遇到的需求。當前階段，總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題。而統一接入認證的方式，如采用USBKEY等，甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業整體的VPN接入水平。

4.3 優化安全域的隔離和控制，實現L2～L7層的安全防護

在建設安全邊界防護控制過程中，面對企業的多個業務部門和分支機構，合理的安全域劃分將是關鍵。按照安全域的劃分原則，企業網絡包括內部園區網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節。在多樣化安全域劃分的基礎上，深入分析各安全域內的業務單元，根據企業持續性運行的高低優先級以及面臨風險的嚴重程度，設定合適的域內安全防護策略及安全域之間的訪問控制策略，實現有針對性的安全防護。例如，選擇FW+IPS等設備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應對，真正實現L2～L7層的安全防護。

4.4 強調網絡和安全方案之間的耦合聯動，實現網絡安全由被動防御到主動防御的轉變

統一規劃的技術方案，可以做到方案之間的有效關聯，實現設備之間的安全聯動。在實際部署過程中，在接入用戶側部署端點準入解決方案，實現客戶端點安全接入網絡。同時啟動安全聯動的特性，一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊，可以實現對攻擊者接入位置的有效定位，并采取類似關閉接入交換機端口的動作響應，真正實現從被動防御向主動防御的轉變。

4.5 實現統一的安全管理，體現對整個網安全事件的“可視、可控和可管”

統一建設的安全防護系統，還有一個最為重要的優勢，就是能實現對全網安全設備及安全事件的統一管理。面對各種安全設備發出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初，就需要考慮到各種安全設備之間的日志格式的統一化，需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表，只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發，以及整網安全設備的防控策略的統一管理，最終實現安全運行中心管控平臺的建設。[3]

4.6 關注數據存儲安全，強調本地數據保護和遠程災難備份相結合

在整體數據安全防護策略中，可以采用本地數據保護和遠程災備相結合的方式?；贑DP的數據連續保護技術可以很好地解決數據本地安全防護的問題，與磁帶庫相比，它具有很多的技術優勢。在數據庫代理的配合下，通過連續數據快照功能實現了對重要數據的連續數據保護，用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態，同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時，可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上，生產中心和災備中心采用基于磁盤陣列的異步復制技術，實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器，以提供對關鍵業務的應用級接管能力，從而實現對數據安全的有效防護。

5.結束語

企業信息安全防護體系的建設是一個長期的持續的工作，不是一蹴而就的，就像現階段的信息安全威脅也在不斷的發展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中，這種動態的過程將使得企業的信息安全防護更有生命力和主動性，真正為企業的業務永續運行提供保障。

參考文獻

[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業，2013.

[2]李群，周相廣，陳剛.中國石油上游信息系統災難備份技術與實踐[J].信息技術與信息化，2010，06.

[3]劉仁山，孟祥宏.基于層次分析法的信息系統安全評價研究[J].河北工業科技，2013，01.

作者簡介：顧宇(1977—)，男，吉林吉林人，高級工程師，吉化信息網絡公司軟信分公司副經理，主要從事企業信息系統的建設和運行維護工作。

信息管理與信息系統論文范文第4篇

[摘要] 我國證券市場現在正處于大變革之中，對上市公司各種不規范的行為的治理成為相關管理機構制定政策的主旋律，其中上市公司的會計行為的不規范尤其受到重視，如何規范上市公司會計行為成了理論界和實務界的一個普遍的難題。本文分析了公司治理與會計信息系統的相互作用機理，從而使人們更清楚地認識我國現在公司治理及會計信息的現狀，把握未來改善的方向。

[關鍵詞] 公司治理 會計信息系統 相互作用

一、概念

1.公司治理

公司治理是規范公司不同權利主體之間權、責、利的一系列制度安排，通過這一系列的制度安排來達到各權利主體間的監督與制衡。這些權利主體涉及到廣泛的利益相關者，包括股東、債權人、供應商、客戶、雇員、政府、社區等與公司有利益關系的集團。公司治理就是通過一套包括正式或非正式的、內部的或外部的制度或機制來協調公司與所有這些權利主體之間的利益關系，以保證公司決策的科學性，從而最終維護各方面的利益。

2.會計信息系統

會計作為“當今公司治理結構的語言”，主要體現了公司治理的機制和效果，其基本目標是向信息使用者提供有利于其決策的可靠、相關的會計信息?！镀髽I會計準則——基本準則》對會計信息的質量要求做了具體規定：可靠性、相關性、可理解性、可比性、實質重于形式、重要性、謹慎性和及時性八大原則。

二、公司治理與會計信息系統的相互關系

1.公司治理與會計信息都是現代企業制度的產物

現代企業制度的典型特征是所有權和經營權分離，由此產生了企業的委托代理關系。由于企業的運行環境存在資源有限性、環境復雜性和不確定性等特點，有限理性和有限知識儲備的管理者難免出現機會主義行為和決策不當，由此產生了公司治理的制度安排。

而會計信息也是在這樣的背景下產生的，委托代理關系產生了信息不對稱，對外提供財務報告正是基于解決這種信息不對稱的一種措施。會計信息不僅是公司內部經濟決策的基礎，而且是外部市場和政府資源配置的基礎。

2.會計信息與公司治理相伴而生，相互制約、相互促進

會計信息系統與公司治理有著天然的聯系，兩者之間是一個相互作用的過程。在公司治理結構形成與運行的過程中，會計信息披露發揮著重要的作用；同樣，有效的公司治理結構也有助于上市公司會計信息質量的改進。它們之間就是系統與環境的關系，不斷發生著信息的輸入、輸出、相互作用。一方面，會計信息系統在公司治理這套制度安排中充當信息提供者和監督管理的重要角色，是所有者對經營者進行控制的主要工具，它不斷作用于公司治理這一環境。另一方面，公司治理結構這一制度環境在很大程度上會影響會計信息系統輸出的會計信息質量。

(1)高質量的會計信息是公司治理的基石

如前所述，在兩權分離下產生了公司治理的制度安排，其核心問題就是要制約代理人的行為，使得其按照委托人的目標函數執行公司事務。但是由于委托人和代理人之間信息不對稱，公司治理這一目標的實現就主要依賴于高質量的會計信息。

所有者的目標函數是企業價值最大化，或者說股東財富最大化，而經營者總是背離股東的目標。這種背離表現在兩個方面，即道德風險與逆向選擇。股東一般通過監督與激勵的手段來解決這一問題。股東在做出采取何種監督與激勵的具體方法時必須依賴高質量的會計信息，否則肯定會導致決策的失效。另外，在公司治理過程中，無論股東還是其他利害關系者，都會對財務會計信息的真實性、相關性、完整性和及時性極為關注，他們通過對財務會計信息的分析可獲得許多重要而有價值的結論，這些結論直接或間接地支持了信息使用者的決策和行動。所以，高質量的會計信息是公司治理機制有效運行的基石，實踐也證明，會計信息質量的高低直接關系到公司治理的成效。

(2)完善的公司治理是高質量會計信息的環境保證

會計信息披露是將公司的經營狀況、財務成果、現金流量等信息以公開的方式告知企業的利益相關者，它是公司會計及對外報告體系的產物，其制度的形成與發展是利益相關者利益沖突與協調的結果。會計信息產生于企業內部，供給于企業外部市場，從而受到公司治理的制約。會計信息系統的有效運作離不開公司有效的治理結構和科學合理的治理機制。董事、監事和社會公眾要從企業管理系統中獲取會計信息，而企業的會計活動又直接或間接地接受董事會或監事會的領導。因此，公司治理對會計信息披露有著非常重要的影響。國內外許多學者通過研究都證實了公司股權結構、董事會特征以及公司治理模式對會計信息披露質量的影響。

綜上所述，公司治理機制有效，才能保證會計信息的高質量；而會計信息的高質量是公司治理的基本條件。近幾年，我國在改善公司治理和會計信息方面也做出了不少努力：2005年4月中國證監會實施了股權分置改革（通過完善上市公司的治理結構改善上市公司的信息披露也是這次股權分置改革的目標之一）；2006年頒布了會計新準則并于2007年實施，與國際標準進一步接軌。但是其效果還有待進一步驗證，同時鑒于我國公司治理的現狀，公司治理結構還有待進一步完善。

參考文獻：

[1]李維安:中國公司治理原則與國際比較[M].中國財經出版社,2001

[2]喬旭東:上市公司會計信息披露與公司治理結構的互動：一種框架分析[J].會計研究,2003，(5):46～49

[3]孫奕馳:朱琳上市公司治理結構與會計信息不對稱的相關性研究[J].財會通訊（學術版）,2007（12）

[4]杜興強溫日光:公司治理與會計信息質量：一項經驗研究[J].財經研究,2007（1）

[5]鄒勇燕:淺議會計信息與公司治理[J].中國管理信息化,2007（5）

信息管理與信息系統論文范文第5篇

關鍵詞：金色年華,教育,管理,信息系統

1行業背景

1.1教育行業的背景

20世紀以來, 科學技術的飛速發展, 特別是信息技術的進步, 對世界經濟的發展和人類社會的進步起到了巨大的推動作用?？茖W技術的進步、發展和普及仍是21世紀中國科學技術事業極為重要的組成部分, 特別是“科教興國”戰略的實施, 極大推動了教育信息化、教育網絡化的進程。

隨著教育理念由“應試教育”向“素質教育”的轉變, 使學校與深長深刻認識到“因材施教”的價值與意義。在知識經濟的競爭環境中, 教育是一個永恒的主題, 學習型社會是未來的發展趨勢。如何更好地推動家庭教育配合學校教育, 讓學校教育指導好家庭教育, 最終讓家庭教育、學校教育、社會教育全面協同, 成為新世紀實施“素質教育”的新課題。為此“金色年華”系統的開發“無線互聯-家校合作-協同教育”這樣的先進理念與變革, 致力于為家長、教師、學生之間提供更方便、更快捷的互動信息平臺。

1.2教育政策的背景

《中小學學生學籍信息化管理基本信息規范》中指出:中小學學生學籍管理中涉及入學、轉學、借讀、休學、復學、升級、畢業、綜合素質評價、學業考試、獎勵、處分等管理工作所需的基本信息, 包括:主管單位信息、學校信息、班級信息和學生信息等。以促進全國范圍內學籍管理信息的共享。規范建立主管單位信息模型、學校信息模型、班級信息模型和學生信息模型, 并且規定了這些信息模型中數據的多值性、約束性和數據類型等屬性。

教育部基礎教育司2003年工作要點第19條指出:進一步推進德育課程和評價改革, 研究制定《中學思想政治課貫徹十六大精神指導意見》。完成《初中思想品德課程標準 (實驗稿) 》, 研制《高中思想政治課課程標準》。建立科學的評價體系, 形成良性的學校德育工作評估機制, 加強過程性評價。教育部教基[2000]34號文件《教育部關于在中小學實施“校校通”工程的通知》。

“校校通”工程的目標是:用5~10年時間, 使全國90%左右的獨立建制的中小學校能夠上網, 使中小學師生都能共享網上教育資源, 提高所有中小學的教育教學質量, 使全體教師能普遍接受旨在提高實施素質教育水平和能力的繼續教育。

2產品介紹

2.1產品簡介

“金色年華”教育管理互聯信息系統是面向基礎教育行業開發的, 利用手機與Internet實現學校與家長之間信息互動, 同時又實現對學校教育管理的一個平臺。作為教育信息服務信息的系統, “金色年華”為學生、家長、老師、學校之間架起信息溝通的橋梁, 從而為學校、老師、家長、學生信息互動提供了全方位服務。

該系統融合了計算機數據庫、互聯網、無線通信等多種先進的技術, 且在操作上非常簡便;學校的管理員只要會上網和打字即可;“金色年華”教育管理信息系統實現了學校、教師網絡化管理, 學校對學生學籍、德育智能化管理, 教師對學生考試成績、思想變化深入統計分析。搭建了學校、老師、家長關心學生學習互動的無界限溝通平臺。

2.2系統的使用者

“金色年華教育管理互聯信息系統”服務的主要客戶和使用對象有兩類。一是學校的校長、各部門領導、教師和職工;二是學生的家長。以上二類客戶可以通過該系統、學校信息化管理、移動電話短信息服務, 發布和接受各種信息, 實現彼此的交流;從而擺脫了家長與學校之間交流的束縛, 使協同教育成為現實。

3金色年華教育管理互聯信息系統模型的構建

3.1金色年華教育管理互聯信息系統的總體框架

根據使用對象, 該系統有四個主要模塊, 分別是校長使用模塊、教師使用模塊、家長使用模塊及學校信息管理員使用模塊。

3.2各使用子模塊的功能設計

3.3該系統模型可擴展性與優勢

3.3.1具備管理功能

可以實現: (1) 分班; (2) 成績分析統計、報表自動生成、打印; (3) 排課; (4) 學籍管理; (5) 教職工管理等; (6) 學校與教職工短信互通; (7) 信息定時發送?？煞植煌慕巧哂胁煌墓δ?。

3.3.2該系統根據不同的使用角色提供不同的使用界面

不僅適用班主任老師與家長的溝通, 還是用校長與老師, 部門領導與本部門老師以及老師之間的溝通交流。

3.3.3該系統具有強大的技術服務和支持

實行24小時跟蹤服務。建立了信息瀏覽服務, 提醒服務, 回訪服務, 鼓勵老師多發短信, 發送質量高的短信, 動員家長經常與老師溝通。

3.4該系統的特點與不足

金色年華不同于家校通, 它是一個教育管理信息系統。校長可以通過系統對全校教職工進行管理;學校各部門領導可以對本部門的教職工進行管理;全校教職工之間可以通過系統進行交流;班主任老師可以通過系統和學生家長進行交流, 信息互動, 共同關心學生的成長。學?？梢酝ㄟ^本系統實現無紙化辦公, 節省辦公用品開支, 且操作方便快捷。但是, 本研究雖然盡量考慮了影響模型構建的各方面因素, 但是仍然不夠全面, 對中小學教師使用信息技術進行的需求分析難免會有所遺漏, 需要再進一步地收集并分析用戶的數據, 以逐步完善該系統模型的構建。

參考文獻

[1]教育管理信息化標準.

[2]教育管理信息系統互操作規范.CELTS-40 WD1.0全國信息技術標準化技術委員會教育技術分技術委員會.

[3]王德祿.知識管理的IT實現—樸素的知識管理[M].北京:電子工業出版社.

[4]朱從娜, 楊開城, 李秀蘭.電子績效支持系統及相關概念探究[J].中國電化教育, 2002 (8) .

信息管理與信息系統論文范文第6篇

第一條 為加強公司計算機和信息系統(包括涉密信息系統和非涉密信息系統)

安全保密管理，確保國家秘密及商業秘密的安全，根據國家有關保密法規標準和中核集團公司有關規定，制定本規定。

第二條 本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的，按照一定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡，包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。

第三條 涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針，堅持“誰主管、誰負責，誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則，確保涉密信息系統和國家秘密信息安全。

第四條 涉密信息系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統，不得投入使用。

第五條 本規定適用于公司所有計算機和信息系統安全保密管理工作。 第二章 管理機構與職責

第六條 公司法人代表是涉密信息系統安全保密第一責任人，確保涉密信息系統安全保密措施的落實，提供人力、物力、財力等條件保障，督促檢查領導責任制落實。 第七條 公司保密委員會是涉密信息系統安全保密管理決策機構，其主要職責：

(一)建立健全安全保密管理制度和防范措施，并監督檢查落實情況;

(二)協調處理有關涉密信息系統安全保密管理的重大問題，對重大失泄密事件進行查處。

第八條 成立公司涉密信息系統安全保密領導小組，保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位，在公司黨政和保密委員會領導下，組織協調公司涉密信息系統安全保密管理工作。

第九條 保密辦主要職責：

(一)擬定涉密信息系統安全保密管理制度，并組織落實各項保密防范措施;

(二)對系統用戶和安全保密管理人員進行資格審查和安全保密教育培訓，審查涉密信息系統用戶的職責和權限，并備案;

(三)組織對涉密信息系統進行安全保密監督檢查和風險評估，提出涉密信息系統安全運行的保密要求;

(四)會同科技信息部對涉密信息系統中介質、設備、設施的授權使用的審查，建立涉密信息系統安全評估制度，每年對涉密信息系統安全措施進行一次評審;

(五)對涉密信息系統設計、施工和集成單位進行資質審查，對進入涉密信息系統的安全保密產品進行準入審查和規范管理，對涉密信息系統進行安全保密性能檢測;

(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核;

(七)組織查處涉密信息系統失泄密事件。 第十條

科技信息部、財會部主要職責是：

(一)組織、實施涉密信息系統的規劃、設計、建設，制定安全保密防護方案;

(二)落實涉密信息系統安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統進行風險評估，提出整改措施，經涉密信息系統安全保密領導小組批準后組織實施，確保安全技術措施有效、可靠;

(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;

(四)配備涉密信息系統管理員、安全保密管理員和安全審計員，并制定相應的職責; “三員”角色不得兼任，權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;

(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網絡的安全管理，負責日常業務數據及其他重要數據的備份管理;

(六)配合保密辦對涉密信息系統進行安全檢查，對存在的隱患進行及時整改;

(七)制定應急預案并組織演練，落實應急措施，處理信息安全突發事件。 第十一條 黨政辦公室主要職責：

按照國家密碼管理的相關要求，落實涉密信息系統中普密設備的管理措施。

第十二條 相關業務部門、單位主要職責：涉密信息系統的使用部門、單位要嚴格遵守保密管理規定，教育員工提高安全保密意識，落實涉密信息系統各項安全防范措施;準確確定應用系統密級，制定并落實相應的二級保密管理制度。

第十三條 涉密信息系統配備系統管理員、安全保密管理員、安全審計員，其職責是：

(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作，確保信息系統的安全、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理員。

(二)安全保密管理員負責安全技術設備、策略實施和管理工作，包括用戶帳號管理以及安全保密設備和系統所產生日志的審查分析。

(三)安全審計員負責安全審計設備安裝調試，對各種系統操作行為進行安全審計跟蹤分析和監督檢查，以及時發現違規行為，并每月向涉密信息系統安全保密領導小組辦公室匯報一次情況。 第三章 系統建設管理

第十四條 規劃和建設涉密信息系統時，按照涉密信息系統分級保護標準的規定，同步規劃和落實安全保密措施，系統建設與安全保密措施同計劃、同預算、同建設、同驗收。

第十五條 涉密信息系統規劃和建設的安全保密方案，應由具有“涉及國家秘密的計算機信息系統集成資質”的機構編制或自行編制，安全保密方案必須經上級保密主管部門審批后方可實施。

第十六條 涉密信息系統規劃和建設實施時，應由具有“涉及國家秘密的計算機信息系統集成資質”的機構實施或自行實施，并與實施方簽署保密協議，項目竣工后必須由保密辦和科技信息部共同組織驗收。

第十七條 對涉密信息系統要采取與密級相適應的保密措施，配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統使用的軟件產品必須是正版軟件。

第四章 信息管理

第一節 信息分類與控制

第十八條 涉密信息系統的密級，按系統中所處理信息的最高密級設定，嚴禁處理高于涉密信息系統密級的涉密信息。

第十九條 涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求及時定密、標密，并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離，密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總，并在保密辦備案。 第二十條 涉密信息系統應建立安全保密策略，并采取有效措施，防止涉密信息被非授權訪問、篡改，刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。

第二十一條 向涉密信息系統以外的單位傳遞涉密信息，一般只提供紙質文件，確需提供涉密電子文檔的，按信息交換及中間轉換機管理規定執行。

第二十二條 清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時，必須使用符合保密標準、要求的工具或軟件。 第二節 用戶管理與授權

第二十三條 根據本部門、單位使用涉密信息系統的密級和實際工作需要，確定人員知悉范圍，以此作為用戶授權的依據。 第二十四條 用戶清單管理

(一)科技信息部管理“研究試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計核算網”用戶清單;

(二)新增用戶時，由用戶本人提出書面申請，經本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統一建立用戶;“財務會計核算網”的用戶由財會部統一建立;

(三)刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準后由安全保密管理員即時將用戶在涉密信息系統內的所有帳號、權限廢止;“財務會計核算網”密辦審核，公司分管領導審批。開通、審批堅持“工作必須”的原則。

第六十四條 國際互聯網計算機實行專人負責、專機上網管理，嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立使用登記制度。

第六十五條 上網信息實行“誰上網誰負責”的保密管理原則，信息上網必須經過嚴格審查和批準，堅決做到“涉密不上網，上網不涉密”。對上網信息進行擴充或更新，應重新進行保密審查。

第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家秘密信息。

第六十七條 從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統，經科技信息部審批后，按照信息交換及中間轉換機管理規定執行。 第九章 便攜式計算機管理 第六十八條 便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行 “誰擁有，誰使用，誰負責”的保密管理原則，使用者須與公司簽定保密承諾書。

第六十九條 涉密便攜式計算機根據工作需要確定密級，粘貼密級標識，按照涉密設備進行管理，保密辦備案后方可使用。

第七十條 便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等安全保密防護措施。

第七十一條 禁止使用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。

第七十二條 涉密便攜式計算機不得處理絕密級信息。未經保密辦審批，嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行，并與涉密便攜式計算機分離保管。

第七十三條 禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。

第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質，按照 “集中管理、審批借用”的原則進行管理，建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司，返回時須進行技術檢查。 第七十五條 因工作需要外單位攜帶便攜式計算機進入公司辦公區域，需辦理保密審批手續。

第十章 應急響應管理

第七十六條

為有效預防和處置涉密信息系統安全突發事件，及時控制和消除涉密信息系統安全突發事件的危害和影響，保障涉密信息系統的安全穩定運行，科技信息部和財會部應分別制定相應應急響應預案，經公司涉密信息系統安全保密領導小組審批后實施。

第七十七條 應急響應預案用于涉密信息系統安全突發事件。突發事件分為系統運行安全事件和泄密事件，根據事件引發原因分為災害類、故障類或攻擊類三種情況。

(一)災害事件：根據實際情況，在保障人身安全前提下，保障數據安全和設備安

(二)故障或攻擊事件：判斷故障或攻擊的來源與性質，關閉影響安全與穩定的網絡設備和服務器設備，斷開信息系統與攻擊來源的網絡物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息，修復被破壞的信息，恢復信息系統。按照事件發生的性質分別采用以下方案：

1、病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失，保護計算機，必要時可關閉相應的端口，尋找并公布病毒攻擊信息，以及殺毒、防御方法;

2、外部入侵：判斷入侵的來源，評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外部入侵，定位入侵的IP地址，及時關閉入侵的端口，限制入侵的IP地址的訪問。對于已經造成危害的，應立即采用斷開網絡連接的方法，避免造成更大損失和帶來的影響;

3、內部入侵：查清入侵來源，如IP地址、所在區域、所處辦公室等信息，同時斷開對應的交換機端口，針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的，應及時關閉被入侵的服務器或相應設備;

4、網絡故障：判斷故障發生點和故障原因，能夠迅速解決的盡快排除故障，并優先保證主要應用系統的運轉;

5、其它未列出的不確定因素造成的事件，結合具體的情況，做出相應的處理。不能處理的及時咨詢，上報公司信息安全領導小組。

第七十八條 按照信息安全突發事件的性質、影響范圍和造成的損失，將涉密信息系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。

(一)一般事件由科技信息部(或財會部)依據應急響應預案進行處置;

(二)較大事件由科技信息部(或財會部)、保密辦依據應急響應預案進行處置，及時向公司信息安全領導小組報告并提請協調處置;

(三)重大事件啟動應急響應預案，對突發事件進行處置，及時向公司黨政報告并提請協調處置;

(四)特別重大事件由公司報請中核集團公司對信息安全突發事件進行處置。

第七十九條 發生突發事件(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理：

(一)上報科技信息部和保密辦;

(二)關閉系統以防止造成數據損失;

(三)切斷網絡，隔離事件區域;

(四)查閱審計記錄尋找事件源頭;

(五)評估系統受損程度;

(六)對引起事件漏洞進行整改;

(七)對系統重新進行風險評估;

(八)由保密辦根據風險評估結果并書面確認安全后，系統方能重新運行;

(九)對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄;

(十)依照法規制度對責任人進行處理。

第八十條

科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練，檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效，并對其效果進行評估，以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容，并記錄備案。 第十一章 人員管理

第八十一條 各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓，并記錄備案。 第八十二條

涉密人員離崗、離職，應及時調整或取消其訪問授權，并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。

第八十三條 承擔涉密信息系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。 第十二章 督查與獎懲

第八十四條 公司每年應對涉密信息系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查，并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的安全保密測評或保密檢查，檢查結果存檔備查。

第八十五條 檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所使用的安全保密、漏洞檢查(取證)軟件等，應覆蓋保密檢查的項目，并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新，確保檢查時使用最新版本。

第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統安全保密管理制度的情況，納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人，按公司保密責任考核及獎懲規定執行。 第十三章 附 則

第八十七條 本規定由保密辦負責解釋與修訂。

第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號：(廠1908號)]、《涉密計算機信息系統保密管理規定》[制度編號:(2006)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規定》[制度編號:(2007)廠1925號]、《國際互聯網信息發布保密管理規定》[制度編號:(2007)廠1926號]、《涉密信息系統信息保密管理規定》[制度通告:(2008)0934號]、《涉密信息系統安全保密管理規定》[制度通告:(2008)0935號]同時廢止。

關于公司計算機信息系統安全和保密管理工作的規定 各部門：

為了認真貫徹落實XX保密委《關于傳發<全市XX組織開展互聯網涉密及敏感信息檢查清除活動實施方案>的通知》精神和要求，進一步加強公司各部門網絡及計算機信息安全的保密管理，防止網上泄密事件發生，確保公司網絡及計算機工作安全可靠，結合公司實際情況，現就進一步加強計算機信息系統安全和保密管理工作有關事宜規定如下：

一、計算機操作人員必須遵守國家有關法律，任何人不得利用計算機從事違法活動。

二、按照“誰主管、誰負責”和“誰使用、誰負責”的原則，開展自查。

1.明確內網使用人責任，簽訂《職工信息安全保密責任書》，認真落實各項安全保密管理規章制度，積極參加各類安全保密學習和活動，知道“一機兩用”違規行為的類型，不違反相關的制度規定。

2.嚴禁在互聯網上發布公司涉密文件、資料、信息、數據。未經主管領導批準，不得向外提供公司信息和資料，堅持做到“誰上網、誰負責”，“上網不涉密、涉密不上網”。

三、嚴禁公司內網計算機終端上操作事項。 2 / 3 1.內網計算機終端上違規處理、存儲的國家秘密信息; 2.內網移動存儲介質中違規存儲的國家秘密信息; 3. 內網服務器上違規處理、存儲的國家秘密信息; 4. 內網網站上違規發布的國家秘密信息。

四、嚴禁公司互聯網網計算機終端上操作事項。

1.互聯網計算機終端上違規處理、存儲的國家秘密和警務工作秘密信息;

2.互聯網移動存儲介質中違規存儲的國家秘密和警務工作秘密信息;

3.互聯網服務器上違規處理、存儲的國家秘密和警務工作秘密信息;

4.互聯網上開設的網站中違規發布的國家秘密和警務工作秘密信息;

5.互聯網社會網站上開通的微博、電子郵箱等信息發布和傳輸平臺中違規發布、存儲的國家秘密和警務工作秘密信息。

五、專用于存儲公司財務、工程設計方案、安保方案應急預案等資料和內部文件的計算機要由專人使用，并設置密碼，禁止網絡上的其它計算機訪問，禁止訪問互聯網及其它外部網絡系統。

六、做好計算機網絡病毒防治工作。每臺計算機要由專人負責，定期升級計算機殺毒軟件，進行查殺病毒，在使用3 / 3軟盤、U盤和移動硬盤等存儲、拷貝文件之前，要先查殺病毒。嚴禁在計算機有毒未殺的情況下發電子郵件和拷貝文件到公司的其它計算機上。

七、嚴格按照操作程序使用計算機，認真做好計算機防盜工作。公司員工要愛護計算機。下班及節假日，務必將電源開關關閉，徹底切斷計算機電源，關好門窗，做好防火、防盜工作。

八、嚴格工作紀律。禁止瀏覽和下載不健康的網上信息，禁止從網上下載與工作無關的軟件。二〇一二年五月三日

計算機網絡及信息資源安全保密管理制度 第一節總則

第一條為保護公司計算機信息資源的安全，并規范公司計算機及網絡 硬件的采購、安裝(建設)、維護、管理等環節的管理要求，根據《中華人民共和國保守國家秘密法》，《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》和《中國公用計算機互聯網國際聯網管理辦法》，特制定本規定。 第二條 本規定適用于公司內部所有單位所使用的計算機系統。 第二節計算機的涉密管理規定

第三條 公司內部計算機信息系統的安全保密工作由信息技術部負責具體實施。公司各下屬單位、部門主要領導主管本單位、本部門的計算機信息系統的安全保密工作。 第四條存放過秘密信息的計算機及相應介質未在徹底格式化前不能降低密級使用。 第五條存儲有秘密信息的計算機及相應存儲裝置在維修時，應采取措施保 證所存儲的秘密信息不被泄露。

第六條企業內部規劃和建設任何計算機信息系統，應當同步規劃落實相應 的信息資源安全保密措施。

第七條對涉及企業經營、管理、技術和人事秘密的數據庫以及計算機應用系統，必須采取技術安全保密措施，并且不得與外部連通。 第三節計算機及網絡硬件管理

第八條所有計算機及網絡硬件的采購和建設實施，須在總體規劃目標指導下進行。 第九條進入總體規劃的計算機及網絡硬件在采購和建設實施時，需提前預算。作為預算的申請依據，信息技術部每年第四季度在公司開始下一的預算工作前，發布次年各類主要計算機設備的采購計劃價。

第十條總部部門或事業部在申請預算(或追加預算)時若涉及計算機購買計劃，須提交《計算機設備預算追加及采購審批表》，并履行相應的審核手續。

第十一條信息技術部負責編制公司網絡中心及主干網絡硬件采購計劃和預算，報公司批準后執行?？偛扛鞑块T獲批準的計算機預算，由信息技術部監管使用。

第十二條各事業部每年底將下的計算機及網絡硬件采購計劃和預算報信息技術部審核。信息技術部有權糾正事業部硬件采購計劃或硬件預算中不合理的需求。 第十三條每預算定稿之后，運營管理部負責將總部部門及各事業部獲準采購計算機的數字通報信息技術部，信息技術部負責監管各單位的采購行為。

第十四條信息技術部在每季度的第一周發布本季度的計算機硬件采購選型指導，供全公司統一執行。

第十五條對公司總部及各事業部需求量較大的計算機設備，信息技術部會同運營管理部通過招標談判在計算機供貨商中選定戰略合作伙伴，使公司總部及各事業部能夠以統一的優惠價格采購到所需的計算機產品。

第十六條公司總部的硬件采購工作，委托裝載機事業部代為實施。裝載機事業部接受委托時須對申請部門提交的《計算機設備預算追加及采購審批表》確認后,方可采購。 第十七條各事業部計算機維修配件的采購，由各事業部根據不同計算機的具體情況相應處理。

第十八條在硬件采購合同執行的過程中，如遇到特殊情況需要更改采購技術型號的，

必須經過信息技術部復審同意。

第十九條公司總部的計算機，由信息技術部負責硬件安裝、維修、服務和管理。各事業部的計算機，由事業部備案的硬件崗位人員負責軟硬件安裝、維修、服務和管理。 第二十條公司總部各部門和各事業部每年底要將本單位的計算機設備狀況、配置變動、責任人變動等情況填表報信息技術部。

第二十一條崗位上的計算機超過使用年限之后，如果因為主要部件的故障頻率高并無法修復的，經過所在資產管理實體的資產管理人員及硬件專業人員審核同意后，可以申

第四節網絡的接入管理

第二十二條信息技術部是管理企業網絡接入的責任部門。信息技術部的網絡管理員是整個柳工網絡的總管理員，對全網安全總負責，并牽頭與各子域網絡管理員組建企業網絡管理委員會，共同維護企業的網絡安全以及信息安全。

第二十三條為保障企業網絡的安全，所有連接到企業內部網的計算機必須經過信息技術部的企業網絡管理員注冊登記。每臺聯網的計算機都必須確定責任人，對該機的遵紀使用及安全狀況負責。不得私自在內部網上接入未經網管注冊的計算機，否則視同竊取企業機密，一旦發現，按照有關規定進行處理。

第二十四條為保證網絡信息資源安全，嚴格便攜機的管理，在柳工網內使用便攜機的特殊用戶必須登記備案，并接受網絡安全措施、信息安全培訓和病毒防護管理。 第二十五條為防止信息流失和計算機病毒，要嚴格控制內部網與外部的直接I/O 通道，所有聯網的計算機都要拆除軟驅、光驅、刻錄設備及其他移動存儲設備。需要保留的，必須經過企業信息工作主管領導的特別批準，向信息技術部的網絡管理員登記注冊。 第二十六條未經信息技術部批準和備案，私自在企業網絡的計算機上安裝各種通訊和存儲設備(如MODEM、軟驅、光驅等)、私自往廠區內帶入未經注冊登記的便攜機和存儲設備等行為，均視同竊取企業機密，一經發現，須沒收上交企業保密委員會，按照有關規定進行處理。

第二十七條合作單位人員因業務交流需要帶入計算機及有關設備的，不得接入企業網絡，由接待部門領導負責相應的信息安全責任。要進行數據交換的，按本規定有關條文處理。 第二十八條

通過MODEM、VPN 等各種方式連入企業內部網的遠程訪問用戶也要柳工內部控制制度接受企業網絡總管理員的管理，否則將不允許連接到企業內部網。

第二十九條企業網絡是工作網絡，禁止任何利用企業網絡以及企業集成信息平臺進行有損企業安定團結局面的行為，違犯者將被追究紀律甚至法律的責任。

第三十條企業的網絡和計算機都屬于企業生產、工作的重要設備，任何破壞企業網絡和計算機的行為都視同破壞企業生產、工作的嚴重行為，需要追究紀律和法律的責任。 第五節數據及信息安全的管理 第三十一條

數據及信息的安全包括數據的物理安全以及信息保密。企業各計算機信息系統都要建立相應的安全管理制度，信息技術部對企業的全局數據庫信息資源安全負責，各應用系統、單位部門的主要負責人對本應用系統、單位部門的計算機信息資源安全負責。 第三十二條各應用系統、主要單位部門及各域都必須建立相應的數據備 份與災難恢復制度和策略，并切實執行。

第三十三條

確有特殊需求經批準在企業網的某些計算機上保留有光驅和軟驅的部門，其部門領導和系統管理員必須對該I/O 通道的安全負責，各類數據的拷出必須有相關領導的審批以及文字性記錄備案。

第三十四條除網絡管理員及其授權人員外，其余人員無權擅自在網絡上傳播、擴散來自企業網絡以外的其它軟件和電子文檔。

第三十五條