摘 要 近年来,随着网络技术的普及运用,社会逐渐面向信息化、数据化发展,如何保障信息系统运行的安全性、高效性以及准确性是当前各行业急需解决的问题。在大数据的发展步伐中,信息系统的规范化运行维护以及体系建设日趋重要,档案系统运行维护的主要目的是保证网络系统的高速运行,逐步提高企业档案管理的信息化程度,以此更好的促进数据归档的有效性。基于此,本文简要提出企业档案管理系统运行维护以及的要点,并以石油企业为例,提出当前我国石油企业档案管理系统工作中存在的主要问题以及解决措施,得以为相关工作人员提供理论参考依据。
关键词 企业档案管理系统 运行维护 体系建设
随着信息化技术的快速发展,档案管理系统在各个领域中的运用更加广泛,发展空间也随着扩大。现阶段,为了适应社会发展的步伐,企业对其档案管理系统的运行质量提出了更高的要求,同时,企业档案管理工作中信息化技术的优势越来越突出。信息化电子档案作为新时期企业发展中必不可少一项工作方式以及工具,其运行水平直接关系到企业档案管理工作的正常运行,尤其是在石油企业中,强化其档案管理系统的运行维护以及体系建设具有重要的意义。因此,相关工作人员应当积极分析档案管理运行系统中存在的主要问题并提出有效的措施加以解决。
一、企业档案管理系统运行维护和体系建设要点
在企业档案管理系统的运行管理工作中,通过有效的手段维护以及管理一个已经建设完毕信息系统,保障其长期性的顺利运行并长时间发挥其运用效益,比新系统的建设更具价值。
(一)企业档案管理系统任务
在企业档案管理实践工作中发现,信息管理系统的运行以及维护并非简单的维持系统的顺利运行,同时,也包含多方面的工作任务,具体如:在保证系统正常运行的基础上,对系统运行功能的应用加以推广;不断充实、修改、更新系统中的信息资源,尽可能避免以及排除档案系统的运行风险以及系统错误;逐渐完善以及强化系统功能;实现档案信息系统的实时监控;创新相关新系统的建设;充分发挥档案的利用率等。
(二)企业档案管理系统建设原则
在企业档案管理系统的建设过程中,应当遵循三个基本原则:(1)预警性原则。一般来说,企业档案管理运维系统包括多种预案,争在系统出现故障性问题或者系统的紧急状态,能够及时预警并找出相关应急措施,这对于系统运行维护效率的提高以及运维成本的降低具有重要意义。(2)科学性原则。企业档案运行维护管理系统的不能处于事务性处理这一局面,同时,各级运行维护系统应当避免问题的重复性处理,逐步实现系统工作的科学化。(3)指导性原则。。
(三)企业档案管理系统建设功能
运行维护技术对于档案管理系统平台功能有着至关重要的影响。一方面,系统平台应当实现问题的分析、处理以及问题反馈的高速运行,保障信息系统的正常工作,以此逐步实现系统数据的准确性目标。另一方面,系统平台应当具备指导以及操作功能,企业分公司在使用管理系统的过程中,由于存在系统更新、工作人员缺乏经验、业务变动等问题,常常由于系统缺乏有效的功能指导,应当系统功能的发挥。在系统工作环节,通过有效的指导以最大限度的降低数据故障以及系统故障,能够降低系统运行维护的压力,并逐步提高系统运行维护的准确性。
另外,针对企业方案管理系统而言,还应当具备系统优化功能,即在系统运行维护过程中及时发现系统存在的问题,并不断积累解决问题的经验,进而通过系统的优化设计以及系统功能的不断完善,进一步提高系统的运行功能。同时,档案管理系统也应当具备信息仓库功能,通过信息仓库收集系统故障及其解决措施,这对于系统信息的再利用具有重要的意义;信息仓库也包含信息流转、系统功能运行指导等方面的信息,能够为系统的推广运用奠定良好的基础。
(四)制度保障体系的必要性
在企业档案管理系统的运行维护以及体系建设过程中,管理人员应当建设相关制度保障体系,比如系统运行维护管理制度、考核制度以及应急制度等,以此不断提高系统运维系统的有效性以及实用性。从某种程度上来说,运维制度的完善是系统安全稳定运行的前提,系统管理人员的有效维护,能够降低系统运行中的风险,有效改善系统工作的质量以及系统服务水平。通过科学的考核以及激励,合理评价信息系统管理人员的行为,不仅能够激发其工作热情,同时也能够有效提升工作效率,促进系统运行维护的健康发展。
二、石油企业档案管理系统运行维护和体系建设现状
石油企业是我国经济产业发展中的重要组成部分,企业管理人员应当提高对于其档案管理系统维护管理工作的重视,建设统一化的信息资源管理平台。现阶段,石油企业的档案管理系统全面记录着企业的发展历史,是企业发展方向的一大依据,通过档案资料的有效分析,不仅能够明确其自身发展目标、扬长避短,促进企业的长远发展。同时,通过档案资料的管理方便与企业领导及时了解其各个单位的发展情况,并以档案作为实际出发点制定一系列管理方案,保障企业经营的有效性。当就目前而言,我国许多石油企业的档案管理工作依然存在诸多不足,还需不断完善和改进。
(一)真实性问题
一方面,现代社会处于信息化发展的新时代,档案是石油企业中重要的信息资源,管理人员应当确保其真实性。以往的档案管理模式难以保障档案信息以及相关重要数据的安全,使用档案文件时很有可能出现信息篡改或者数据遗失的情况,无法保障信息的安全,极大降低了企业档案信息的真实性。另一方面,在石油企业中,石油企业的档案管理系统中多为图表资料,档案资料的负责人不明确,无法保障资料的权威性,或者存在档案资料的删改情况也难以发现,因此,企业档案管理的真实性问题是应当逐渐引起重视。
(二)保密性问题
随着信息化技术的进步,以往的电子式文件档案或者手写档案已经难以适应社会的发展,文件档案容易出现遗失等问题,极大影响其安全性以及保密性。而使用计算机作为网络终端,能够极大提高信息传递速度,提高档案管理的工作效率,但是不利于档案资料的保密。
(三)长久性问题
随着办公系统的数据化发展,许多单位逐步面向无人办公状态发展,信息化文件档案的运用范围也不断拓宽。现阶段,企I信息、数据均可以储存在电子档案中,工作人员只需手动操作就可以在较短时间内得到企业所需要的信息,企业档案管理的信息化方式简化了办公程序,但是一旦计算机出现故障,就会导致档案信息在较短时间内全部遗失,造成难以估量的后果,影响企业档案管理的长久性发展。
(四)广泛性问题
档案管理按照原来传统管理制度,利用率并不高,查阅资料难,不能准确、快速的找到相关文档,档案不能被广泛应用。企业档案管理系统运行维护后,可以快速定位档案位置,准确找到原始档案,并能让存放的档案内容得到更好的运用,充分发挥历史档案资源的作用。
三、企业档案管理系统运行维护和体系建设措施
(一)库房的智能化管理
随着信息化技术的不断推进,其在企业各个领域的运用更加深入,有关工作人员应当以计算机技术作为基础,建设全新的、能够与之适应的档案库房管理系统,并充分发挥计算机的优势,通过其时效性特点逐渐实现库房的实时监控,有效控制库房的空调设备以及温度,在提高工作效率的同时,逐步实现库房管理的现代化以及智能化。
(二)建设档案管理相应的网络
现代化社会的信息数据量不断扩大,档案管理部门的工作质量已经逐渐成为企业市场竞争中不可忽视的一个成分,因此,在这一时代中,企业应当不断完善其档案管理模式,充分发挥企业档案管理系统的价值。建设档案管理系统是改善传统管理方式中问题的主要手段,信息化系统的建设不仅能够促进计算机技术在档案管理中的推广化运用,同时也能满足数据量剧增情况下人们的工作需求。。
(三)提高工作人员综合素质
在石油企业中,档案管理工作人员的素质直接影响其工作水平,因此,管理人员应当提高重视,定期组织企业档案管理系统运行维护管理与体系建设的工作人员开展培训工作,在提高其职业技能的同时,强化对于工作人员职业素养的培养。同时,石油企业应当加大人员培训投资,邀请相关专家举办讲座培训活动,需要指出的是,在实际的培训过程中,管理人员不仅要重视理论知识的学习,也应结合实际案例进行实际演练,以此培养工作人员发现问题,解决问题的能力,为企业档案管理工作质量的提高创造条件。
(四)积极引进信息技术的应用
近年来,我国经济发展速度较快,信息技术逐渐被运用在各个领域。尤其是在企业档案管理国策过程中,信息技术的运用从根本上转变了以往的工作方式,在企业的经营过程中发挥着积极作用。然而,就现阶段来说,我国信息技术水平与发达国家相比仍然存在一定差距,尤其是石油企业的档案管理系统运行与体系建设并不完善,因此,相关管理人员应当树立正确的意识,充分意识到技术发展的中心作用,引进国内外先进管理技术,通过有效措施提高信息化系统在档案管理中的可靠性。
四、结语
石油企业的发展不仅关系到人民的正常生活,同时也影响我国国民经济的健康发展。企业档案管理系统运行水平影响着企业的正常运营,在信息技术的支持下,企业档案管理系统的运行维护以及体系建设水平将进一步提高,有关人员应当引起重视,积极分析其中存在的问题,并通过有效措施加以解决,以促进企业的健康发展。
参考文献:
[1] 杨海燕.石油企业档案管理系统运行维护与体系建设[J].现代企业,2016.10(15):847-849.
[2] 陈永生,苏焕宁,杨茜茜.电子政务系统中的档案管理:安全保障[J].档案学研究,2015.04(18):63-66.
[3] 祝云飞.企业数字档案馆(室)建设解析[J].机电兵船档案,2016.05(12):251-253.
前言
乳山公司信息网络共覆盖公司5个办公区,在运业务信息系统32个,信息系统已全面渗透到公司的各个管理领域和业务环节,信息安全已纳入公司安全生产管理体系中。面对当前复杂严峻的信息安全形势,乳山供电公司成功构建起了三维立体式终端信息安全防护体系,探索出一条行之有效的信息安全管理新模式,极大提高了信息安全的可控、能控、在控能力,规避了信息安全事故,确保了电息安全,为公司战略发展和坚强智能电网建设提供了有力支撑。
一、三维立体式终端信息安全防护体系建设的背景
近年来各地供电公司信息安全事件呈上升趋势。乳山公司虽然集中部署了防火墙、入侵防御系统、防病毒系统等软硬件设备,但信息安全形势仍不乐观。究其根源,企业没有构建以终端管理为核心的信息安全防护体系。随着智能电网建设的深入,迫切需要建设一个更为智能化的、具有主动防御能力的、全过程的终端信息安全防护体系,从被动防护寻求主动防御,从源头上消除安全威胁和漏洞,促进电网企业业务应用系统的安全、稳定、高效运行。
二、三维立体式终端信息安全防护体系建设内涵
三S立体式终端信息安全防护体系以技术体系、管理体系、服务体系三个维度统筹建设、并重开展。管理体系以构建桌面终端全生命周期管理流程为基础,实现对桌面终端管理的标准化、规范化、流程化和考核化;技术体系通过采取终端基线安全策略、终端网络准入控制、访问控制、监控审计等技术手段,全面支撑桌面终端安全管控工作;而服务体系贯穿整个过程,以提高三线服务质量为核心面向用户和终端资产两个层面落实企业终端管理策略,确保终端安全管理策略的有效执行。
三、三维立体式终端信息安全防护体系建设的做法
1.加强运维服务体系建设,做好全过程安全管控保障
(1)健全运维服务制度。乳山供电公司依照科学严格的制定标准,健全完善了一系列的信息系统安全管理规范和实施细则。这些管理制度的使各级单位在推行企业信息系统安全管理工作中有章可依和有据可循。
(2)深化运维服务平台。。
(3)建设运维服务团队。遵循“三线运维”原则,组建运维服务团队,由“一线前台服务台,二线后台运行维护,三线技术支持”的结构组成,加大运维人才的培养力度,建立运维人才培养长效机制,逐步形成一支技术过硬、层次分明、结构合理的运维团队。
2.规范终端安全管控,做到“三阶段”全过程管控
(1)加强宣传和管控,做好事前预防管理
通过编写《乳山市供电公司桌面终端安全管控体系建设工作方案》,加强培训宣传,完善访问控制、身份认证机制,实施安全评估、安全加固工作。
(2)规范作业流程,做到事中高效运维
严格监控运行,及时发现违规事件。通过对桌面终端的安全事件进行监控,如:违规外联、异常网络流量等。对安全事件进行初步分析,生成信息安全督查整改通知单处理。
(3)持续体系改进,实现事后完善提升
及时事后分析,查找问题源头。在事件处理终结后,对重大安全事件或重复发生的安全事件进行分析,提交分析报告,并依据管理规定对相关人员和单位提出考核意见。通过考核通报不断找差改进,整体提升桌面终端安全水平。
3.强化技术管控,提高终端安全水平
(1)强制实施终端基线安全策略,提高免疫能力,确保终端可信
乳山供电公司在信息内网搭建AD域策略服务器,通过域控制服务策略,已入域的桌面终端自动接收安全策略,完成配置身份验证、访问控制、安全审计、入侵防范等方面的终端安全基线策略,而全过程用户无须任何操作。
(2)实施终端网络准入和访问控制,提供主动防御能力,确保接入终端可管
对桌面终端IP地址统一管理,采用基于802.1X协议的认证系统。终端接入网络前,必须接受身份认证和安全度量,执行严格的强制安全策略检查,只有可信并且符合强制安全策略的终端才获准接入公司信息内。使入网的终端有较高的健康度和可信度,从而从源头上消除桌面终端的安全隐患。
(3)全过程终端安全指标监测,提高应急处置能力,确保终端可控
充分挖掘桌面终端管理系统的用户行为管理和审计功能,并依托防病毒系统、补丁升级系统、漏洞扫描系统等技术支撑保障平台,对桌面终端的安全状况进行7×24小时实时动态监测,评估及安全事件的准确全程跟踪定位,对发生的各类安全事件进行应急处置,最大程度地减少安全事件对公司网络和业务的影响。
四、 三维立体式终端信息安全防护体系建设的效果
(1)保障了业务信息系统的健康运行
实施三维立体式终端信息安全防护体系以来,信息安全水平逐步提高,未发生一起信息系统安全事故,保障了信息系统安全、稳定、持续和高效运行。
(2)桌面终端安全性、可靠性得到极大提升
实施三维立体式终端信息安全防护体系以来,建立桌面终端风险预警、识别模型,对终端运行风险进行规划、识别、分析,变“事后救火”为“事先控制”,预防为主,关口前移,防患于未然,全过程地进行风险管理,检查、监控、识别、控制解决可能出现的安全隐患。
(3)信息运维效率、服务质量得到极大提升
1 综合治理信息安全的战略背景
IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。
目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。
如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。
2 建立和实施信息安全保障体系思路和方法
针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。
2.1 建立和推行目标管理
体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。
基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。
网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。
IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。
业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。
从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。
根据ITIL这个IT服务管理的方,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。
从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。
2.2 规划融合信息安全保障体系
通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。
①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。
②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。
其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践
面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。
关键词:供电企业;IT运维;风险管理;IT监控
。(广东 广州 510620)
中图分类号:F270.7 文献标识码:A 文章编号:1007-0079(2013)27-0162-02
IT运维服务管理为供电企业安全稳定运行提供了重要的科技保障和技术支撑。如何加强信息科技风险管理,完善研发和运维有机结合体系,强化供电企业运维体系建设是提高运维服务管理能力的一个重要课题。长期以来,广大供电企业致力于提升信息安全管理水平,保障供电服务持续安全稳定,在实践中摸索形成了信息科技运维体系的长效管理机制。
在供电企业强化IT运维体系建设的实践过程中,本文从应用角度出发,提出应该围绕流程建设的关键需要,紧抓三个工作关键点,遵循优化管理方,通过分析与结合五个重要因素的方式,积极推动供电企业IT服务管理从被动的基础的IT运维工作向主动的高层次的IT服务管理发展。
一、重视运维管理的“三个关键点”
在供电企业运维管理体系建设阶段,应紧密围绕运维的三个关键点开展工作:完善运维流程管理、打造监控及一体化管理、强化应急管理。
1.完善运维流程管理
按照ITIL规范,重点加强事件管理、变更管理、问题管理、配置管理等关键管理流程和设备管理、机房管理、数据管理等制度标准的建立与执行。为了整合管理流程,完善信息交互机制,形成闭环管理,应明确事件分级方法,建立有效的事件升级及响应机制,加强事件后续分析与处理,不断优化管理流程。在变更管理方面,建立变更分类标准和变更分级审批流程,完善变更窗口管理制度,有效降低变更对生产运行的负面影响;在配置管理方面,制定配置参数移植、修改、备份、存储、更新、销毁等方面的管理制度,控制配置项操作引发的风险;在数据管理方面,完善数据存储、使用、传输、备份和销毁管理,重点强化客户信息和经营分析数据等敏感数据访问的授权、清理、销毁等使用管理;在机房管理方面,进一步加强企业机房人员、供电条件、空调环境、防火防鼠等物理环境管理。
另外,应妥善处理业务、开发与运维的关系,做到界限明确,职责明晰,有条不紊。三者间的职责分工可按图1所示处理。其中,业务部门负责协调和处理系统应用过程的业务问题,负责制定应用系统的业务规范和制度,规范统一业务流程和业务功能应用,信息运维部门负责系统的日常运行维护工作,包括运行监控、用户管理、变更管理、安全管理和最终用户系统问题支持,业务问题则按照业务操作手册进行支持,记录、评审、跟踪最终用户的各种需求。
2.加大集中监控及一体化管理力度
首先,制定生产系统中软硬件、网络环境及应用系统性能监测的监控策略与指标体系。在实现对设备、网络、物理环境、应用系统等进行监控的基础上,重点加强对核心企业级应用系统和对外营销客服系统的监控,确保企业核心应用系统和关乎企业形象的重要系统稳定运行;建设统一的系统监控平台,为了展示全局视图、快速定位故障、缩短处理时间,统一管理和展现各种监控资源,提供集中的IT配置库和知识库,实现简洁易用的集中告警方式,全面、及时掌握系统整体运行状态。
其次,加大跨专业平台监控系统的整合力度,提高上级部门对基层单位实际生产状况的监管能力,通过监控手段逐步完善跨部门在流程启动、处理、监控、报告、跟踪和反馈各个环节的运行机制,完成全范围覆盖供电企业的基础设施和主要应用系统运行情况的总体监控,从而切实提高IT运维管理的自动化水平,逐步推进企业级应用系统的统一建设,最终促进实现运维管理一体化的建设目标。
3.加强应急处理,提高跨部门协同能力
应急管理的范围包括故障应急处理、灾难恢复计划(DRP)或业务连续性计划(BCP)等方面。
首先,建立健全供电企业应对重大事件或突发事件的及时预警、报告、决策、指挥、响应和退出等节点的应急处理机制。建立清晰明确的报告流程和报告路线;建立应急指挥和跨部门统筹协调机制,实现高效决策,保证指挥流程畅通;制定应急处置响应流程,加强关键岗位人员的配置和培训。风险管理机制应包含跨部门的横向协助模式,包括客户服务中心、新闻中心、辖属供电所的高效联动和紧密沟通协作。
其次,建立应急预案一体化管理体系。建立包括常态预案和专项预案的框架;统筹预案管理,加强预案之间的衔接与配套;制定预案编制规范,保证预案编制质量;建立有效的预案维护机制,涵盖预案的制定、评审、、变更和回收过程;建立预案后评价与持续改进机制,保证预案有效性。另外,逐步加强灾备体系建设,根据风险战略与业务连续性目标,制定灾难备份体系建设策略与实施路线;以业务快效恢复为目标,逐步推进异地灾难备份建设。同时,供电企业应把服务水平协议(SLA)与运维绩效考核(KPI)逐步固化到ITIL运维流程管理系统,执行以KPI为引导的管理指标。
最后,供电企业应开展计划性安全演练,对每次演练工作做到事前严谨策划部署,事中严格按照流程处理,事后认真评估总结提高。
综上所述,在供电企业IT运维服务管理建设实践中,应考虑完善运维流程管理、打造监控及一体化管理平台、加强应急管理等功能,依照ITIL规范,推行“以客户为中心,以流程为导向,实现全生命周期管理”的IT运维新型模式。随后应从自身企业管理文化出发,在超越ITIL的IT运维服务管理流程基础上,按照自身特点,逐步把IT运维管理的最佳实践和企业自身实际相结合,从而有效提升企业的IT运维服务管理水平。
二、加强运维管理的“五个结合”
围绕IT运维管理的三个工作关键点,识别出五个重要因素,即领导决策、制度保障、流程优化、技术支持和培训。五个重要因素之间的关系如图2所示。
1.领导决策
在调研和分析现状的基础上,领导决策是领导者制定决策和实施决策的过程,发挥着决定性作用。在决策过程中,企业领导在专家和员工集体智慧的支持下,对各种实施方案的提出进行分析和选择,决定IT运维服务管理的整体部署、工作思路、实施步骤、持续改进提升方案等,以保证整体工作按计划有效推进。另外,按照增量问题及时进行讨论和研究,作出调整和应对,在跨部门资源调配、跨岗位人员协调配合、项目实施进度和质量管控方面发挥着重要作用。从满足监管以及风险管理迫切需求的角度来说,领导决策的科学性和规范化应予以重视,需要合理的管理流程和安全高效的管理控制手段相结合。
2.制度保障
设立制度和规范是保证供电企业IT运维工作有序开展的重要基础与前提。供电企业应以上级电网公司出台的标准和监管要求为基准,结合IT服务管理的最佳实践ITIL和相关国际标准制定符合企业实际情况的IT服务管理标准,并不断健全运维管理的制度和标准。
3.流程优化
流程是保证业务正常运作的重要纽带。流程“透明化”需要落实在供电企业的具体实践中,不断健全运维绩效考核评价机制和更新SLA内容,保证服务级别协议的执行和服务报告的常态化管理。运维管理要实现企业内外的透明度,需要清醒的认识到,指标只是衡量的一种显性方式,关键是如何融合到工作流程中,让每一位员工都了解KPI,并实时掌握自己当前的绩效,从而真正发挥KPI的导向作用。做好从时效、质量、满意度等考虑的事件、问题、变更管理的基础工作,包括以SLA、系统可用率考核的重大事件或故障、系统容量、性能管理等工作,打好基础,才能具备实现“透明化”目标的条件,才能帮助运维部门把日常工作的压力转变成动力,完成从被动IT运维到主动IT服务的转变。
4.技术支持
采取现代计算机技术是实现IT运维的助推器。。同时,把各种行之有效的IT服务管理思想、IT管理流程和运维管理经验在系统中固化并在工作实践中不断优化和完善,如通过提供知识库等服务拓宽系统支撑功能。
5.人员培训
加强对运维人员的培训力度,通过知识库积累学习、专家授课、资深员工传帮带、宣贯制度和规范等多种形式,保证运维人员掌握必备的技能,按照工作岗位职责需要提升个人技能。另外,对员工培训情况进行定期评估,按照PDCA方式循环提高培训质量,促进培训效果的发挥。。
三、总结
本文根据IT服务管理识别工作关键点原则,探讨了供电企业信息科技运维服务工作的思路。以IT运维流程管理为基础,识别工作关键点和重要因素,把IT服务管理的理念和最佳实践融合进IT运维服务管理平台中,真正推动供电企业的IT运维管理转变为主动的高层次的IT服务管理,为构建智能数字化电网的宏伟目标提供完善的科技保障和技术支持。
参考文献:
[1]许宏彬.面向业务服务的供电企业IT运维管理研究[J].电力信息化,2010,8(10):30-37.
[2]洪汛.供电企业IT资产全寿命管理的实施[J].科技与企业,
2013,(3).
[3]杨先杰.ITSM运维体系在电力企业的研究与应用[J].电力信息化,2010,8(2):78-81.
关键词:电信企业;信息安全;风险防控;管理体系;建设;研究
一、电信企业信息管理的现状与作用
(一)电信企业信息管理体系的现状
随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。
(二)企业信息安全管理的作用
信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。
二、电信企业信息管理建设的有效方法
(一)制定有效的信息管理计划
在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。
(二)电信企业信息管理建设的范围
对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。
(三)建立企业信息管理框架
对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。
三、结束语
综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好和公共利益安全,为建设信息化强国做出应有的贡献。
参考文献:
[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014
[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016
【 关键词 】 信息安全;信息安全保障体系;国家大剧院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
随着信息技术的飞速发展,人类正以前所未有的速度进入以网络为主的信息时代,网络的快速发展不仅促进了人们的通信和交流,同时也带来了商业和经济模式的巨大变革。
国家大剧院是国家新建的重要文化设施,也是一处别具特色的景观胜地。。
。随着国家大剧院近几年影响力和地位的不断提升以及业务的发展壮大,对信息化建设提出了更高要求,同时对信息安全的需求也越来越迫切,结合国家等级保护制度来进行安全保障建设成为国家大剧院信息化建设的有益补充。
2 现状及问题
目前国家大剧院局域网骨干带宽为千兆,双核心。已部署的安全设施,如在整个局域网的出口均部署了防火墙,内网服务器域边界部署了防火墙;;内部终端还广泛部署了防病毒软件,以防范计算机病毒在局域网内传播和破坏。。
根据对国家大剧院信息化及信息安全现状的分析,结合国内外信息安全发展态势,发现国家大剧院面临着一些信息安全问题及风险。
。。。
系统入侵或网络攻击风险。。同时,也可能由于软件漏洞或者安全意识单薄等造成内部邮件等信息泄露。
非授权访问风险。。
数据安全风险。媒资库建设完成后将承载大量的媒体资料,这些有艺术价值的音像资料是国家大剧院的宝贵资产,一旦由于自然灾害、人员非法入侵、内部人员误操作等造成数据丢失损坏,将对国家大剧院造成重大损失。
。。
内控管理风险。据权威调查报告显示,内部员工的粗心大意是企业信息安全的最大威胁,由此造成的安全事故高达78%。。
3 信息安全保障体系探索
3.1 总体目标
通过对国家大剧院信息安全现状、问题以及信息安全建设需求的分析,可知国家大剧院信息安全保障体系建设的总体目标是按照国家信息安全等级保护相关要求,从风险控制、技术设施、管理及运维服务等方面入手,基于成熟的安全技术,借鉴先进可行的管理理念,加强外御威胁防护、构建内控管理机制、强化数据保护措施,建立和完善信息安全管理,加强安全服务保障,设计适合国家大剧院信息化发展的安全保障体系,从而确保业务流程可控、业务状态可视,保障业务整体安全。
3.2 设计思路
针对国家大剧院安全保障目标,在信息安全保障体系设计上基于几种设计思路。
。同时,基于可信证书类产品,确保系统管理用户身份的真实性。。
3.2.2建设安全可靠的办公网络平台
积极推进信息安全等级保护建设,通过制定安全策略、部署安全设备,完善安全保密管理制度,加强安全运维支撑建设,从物理安全、网络安全、主机安全、应用安全、数据安全、流程安全、人员安全等多方面保障系统的安全稳定运行。
3.2.3建立网络信任服务
。
3.3 体系框架
。国家大剧院信息系统整体安全保障体系模型如图1所示。
国家大剧院信息系统整体安全保障体系模型主要由三个方面组成。
3.3.1安全技术体系
参考国家标准《信息安全技术 信息系统等级保护安全设计技术要求》按照威胁分析,将信息资产划分为若干保护对象,并按照“一个中心”管理下的“三重保护”的设计框架,构建国家大剧院信息安全技术体系保障机制和策略,为国家大剧院信息系统的运行提供安全保护环境。该环境共包括四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。
3.3.2安全管理体系
以国家大剧院现有业务系统所服务对象为基础,建立完善的安全管理体系,建立信息安全管理机构、制定信息安全管理制度、设置信息安全管理岗位。
3.3.3安全运维服务体系
针对业务安全运行的需要,以日常巡检、咨询、评估等建立有效的运维服务机制,加强对资产管理的分析、隐患发现、策略审核考评等,不断发现平台在运行中的安全隐患,降低系统脆弱性和面临潜在的威胁带来的影响及损失,以及时对安全策略实现完善和防护措施的改进提升。
3.4 信息安全体系建设实践
国家大剧院信息安全保障工作经过长期的努力,已经初见成效。在安全体系的建设实践中,总结出几点实践经验。
3.4.1制定标准规范,奠定保障基础
信息安全保障建设的一项重要工作之一是参照国家等级保护的技术要求完成相应的合规性检查。因此,国家大剧院应据此建立适合国家大剧院的信息安全管理基线,坚持常态化管理和动态控制,达到并保持国家相关安全主管部门的安全审计要求。
3.4.2重视管理,制度先行
信息安全是一个动态发展的过程,每年随着业务发展变化而变化,同时随着信息安全技术的不断演变,都会出现新的安全防护技术的使用。经过多年实践证明,每个系统或者防护设备上线前,都必须在遵守总体防护规范的前提下,编制好具有针对性的管理要求,才有有效降低安全风险引入的可能。
3.4.3定期组织代码审计和渗透测试等系统检测
代码安全审计是通过人工分析和工具扫描的方式检验应用程序的源代码,利用大量的代码安全规则,来分析源代码中的违反规则部分,进而确定可能存在的安全漏洞和隐患。应用系统生命周期安全的从SDL实践上看,安全做的越早效果越好(但开发模式改动的成本也相对比较大),代码审计作为保证代码安全的最低低线,其作用是不可取代的。
另外,除了从代码开发过程中保证开发出安全的应用系统以外,针对已开发的系统,国家大剧院还组织第三方测试机构,从攻击者视角检测信息系统安全防护能力是否达到,是否存在成功攻入系统的途径。
4 信息安全建设意义
通过构建信息安全保障平台,保障我剧院信息系统可安全合规运行。基于国家信息安全等级保护制度要求,建设国家大剧院信息系统整体安全保障体系模型信息安全保障基础设施,制定安全策略,为国家大剧院系统提供安全可靠的运行环境。
提高国家大剧院电子票务等信息系统的安全运行平稳度。。
提高用户的安全便捷以及系统安全管理能力。通过构建可信的电子票务运营环境,为用户提供身份认证及网络信任机制,加强用户的身份、资金安全保障,并且提高系统安全管理能力。
提升安全隐患发现能力。安全隐患的发现能力是信息安全管理中的关键能力,关系到能否将风险消除在事件发生之前。通过建立入侵监测系统、防病毒系统以及定期的安全脆弱性检测等,大大提升我剧院信息系统的安全隐患发现能力。
5 结束语
建设和完善信息安全保障体系是为了保证国家大剧院的业务在今后发展过程中对信息安全建设的要求。
信息安全保障体系建设涵盖安全管理体系、安全技术体系、安全运维体系的复杂系统工程,是一项长期性的专业的细致的认为,需要以信息安全技术为基础,持续投入大量的人力和物力。为使国家大剧院建设成为国际化、现代化的大剧院提供有力的信息安全保障。
参考文献
[1] 关于大力推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号).
[2] 信息安全管理实用规则(GB/T 22081-2008).
[3] 信息系统等级保护安全设计技术要求(GBT25070-2010).
[4] 信息系统安全等级保护体系框架(GA/T 708-2007).
[5]
[6] 国家大剧院安全服务保障方案.内部资料,2011.
因篇幅问题不能全部显示,请点此查看更多更全内容