安全管理体系论文
安全管理体系论文范文第1篇
随着我国档案信息化建设工作已日渐深入,加强档案信息安全保障体系的建设尤为重要。档案信息安全保障体系,简单来讲,就是在档案信息系统的整个生命周期内,从技术、管理和标准法规等多方面,以积极防御、适度安全和动态保障为安全保护原则,保障档案信息安全的保密性、完整性、可用性、真实性、可核查性、抗抵赖性和可控性属性,并保障系统安全的持续性的体系。档案信息安全保障体系建设,是目前档案信息化建设中的重要工作,全国上下都高度重视,也在不断探索有效的构建方法,并加以规范和推广。但是,在档案信息安全保障体系建设中还存在一些不容忽视的问题。一是档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。二是档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。三是各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。四是缺乏法律与制度支持。档案信息化安全保障体系建设并非是一个单纯的技术层面的问题,它还涉及到管理、意识和国家法律等各个层面,因此,档案信息安全其实是一个综合性的问题,各个环节紧密衔接在一起。使用相关安全产品的同时,应在组织与制度上采用相应措施加以完善。因此,需要从理论上进一步加强研究,切实为档案信息安全保障体系建设提供坚实的思想保障,进一步健全档案信息安全保障体系。
二、加强行政执法,为档案安全保障体系提供法制保障
《档案法》颁布实施以来,使档案事业有法可依,并有力地促进了档案事业的发展。但是,目前的档案执法还处于初级阶段,还存在着一些亟待解决的问题。有的档案部门领导和工作人员缺乏对依法治档、依法行政重要性和必要性的认识;一些单位重视业务指导,忽视依法监管,在贯彻实施《档案法》过程中,还带有主观片面性和随意性,未获得人们所期望达到的效果。这就要求档案行政管理部门进一步建立健全档案执法监督制度,强化执法监督职能。一要从思想上入手,巩固提高依法治档、依法行政观念。档案行政管理部门是代表各级政府主管本地档案事业的部门,也是《档案法》所确定的档案行政执法主体和监督机构,这也使得管理档案事业有了法律的保障。我们的各级档案工作者特别是领导干部首先要带头认真学习档案法律、法规,做到知法、懂法、守法,并严格执法,带头依法办事、依法行政。《档案法》和《档案法实施办法》规定了档案部门是行政执法部门,要履行法律法规赋予档案部门的这一职能,应强化执法意识。二要从立法入手,完善档案法规体系。在建立社会主义市场经济体制过程中,真正做到执法机构依法行政,全体公民自觉守法,尚有待于法律体系的不断完善,而档案执法监督必须有完善的监督法律体系作为依据,健全完善操作性强的法律规章和相关监督条例,强化制约功能,是亟待解决的重要任务,各级地方人大、政府应依照《档案法》结合本地区实际,制定出配套性、实用性、可操作性较强的法规、规章文件,依法明确档案执法监督的形式、程序和手段,从而能够实行科学、合理、有效的监督,确保档案工作方针和法律法规的得以贯彻实施。三要从规范档案行政执法入手,加强档案监督制约机制的建设。在加强内部监督制约机制上,将档案工作列入本单位的目标管理责任制中,考核指标主要由贯彻《档案法》、档案业务等方面组成,定期对档案工作进行检查,以引起部门的高度重视,加大对档案依法管理工作的监督力度,确保机关档案的安全性;在加强外部监督制约机制上,与外部档案行政执法检查部门加强联系,通过行政执法部门对档案工作的指导和专业性的检查,对不规范或不符合要求的地方及时进行整改,以促进机关档案工作依法管理。通过外部监督,强化机关档案工作的法制建设。
三、加强制度建设,为档案安全保障体系提供机制保障
1.建立组织保障体系。档案安全保障体系建设需要有人来计划、设计和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级档案部门领导要高度重视,并积极实施有关档案系统安全方面的各项措施;另一方面,让工作人员和用户对网络安全性要有深入地了解,使他们积极地自觉地遵守各项信息系统安全制度和措施,防患于未然,就能降低档案网络信息系统的安全风险。档案信息以及档案工作者头脑中的包括直觉知识、阅历、情感等进行综合、概括、提炼的知识。档案信息专家能够充分使用认知、自然、情感和行为各个组成部分,在显性信息服务向隐性知识服务转变的过程中发挥重要作用。所以,一个高水平的档案馆必须重视档案信息专家的引进和培养,必须注重发挥档案信息专家的作用。业务工作者也是掌握多项技能的复合型人才,要求机构中的每位员工都把信息化和档案业务作为同等重要的基础性工作来开展。2.建立制度保障体系。建立有效的管理制度是保障档案信息安全的关键。规范档案管理、保障档案信息安全的永久性措施应该是建立程序化、制度化管理模式并严格执行、落实到位。这同样需要分别制定相应的政策与规范,并采取必要的措施强化落实,做到制度正确,落实见效。要积极争取上级有关部门的政策支持,根据档案部门的实际情况,参考《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国档案法》、《中华人民共和国保密法》等法律、法规,制定出适合档案部门的规章制度,以此约束所有用户、系统管理员以及其他成员,保证档案信息系统安全、可靠地正常运行。由于网络设备和系统软件本身存在一定的缺陷,再加上从事黑客的个人或组织技术在不断升级,所以,档案信息系统没有绝对的安全,只有相对的安全。档案信息化安全保障体系是一个动态的概念,面对档案信息系统安全的诸多问题,必须时刻警惕,运用多种手段,不断在技术上更新,管理体制上完善,人员素质和管理理念上紧跟网络发展的步伐。只有时刻从档案数据安全的方方面面出发,点滴不漏,常抓不懈,才能建立起完善的档案信息安全保障体系,确保档案信息系统的安全,保证档案信息化建设顺利进行。
四、加强设施建设,为档案安全保障体系提供物质保障
一是加强档案库房建设。为了档案工作的可持续发展,我们必须做好档案实体的保护工作。因此,在档案库房与门窗的设计、防火材料、消防系统、库房温湿度、技术与管理方面,需要进一步加大投入。库房是保管档案的场所,档案库房多数是在机关办公大楼上的,客观上不具备建档案库房的条件。在这样的情况下,首先要考虑档案库房的承重问题。一般作为档案库房,钢筋的密度要大,数量要多,型号要粗。预防火灾对机关档案实体安全来说是头等大事。随着科学技术的发展,建筑材料、各种电器设备的种类日益增多,档案库房引起火灾的危险性可能性进一步增大。火灾是当今档案部门的头号灾害,为预防火灾,档案库房门口,必须配备消防器材,如手提灭器或手推移动灭火器等。档案库房要做好防火防潮的处理,保存的各种载体的档案对温湿度都有严格的要求,在技术参数范围内,档案能够长久的保存。反之,温湿度过高过低,都会影响档案的寿命。门窗要严格按国家档案局要求安装。作为档案实体安全的装具,我们仍然要求采用可移动铁皮柜和不可移动密集架,它具有防火、防鼠功能。档案盒作为贴身装具,制作档案盒的牛皮纸要做去酸处理,这样做,有利于档案实体安全的保护。二是加强档案数字化建设。在系统硬件设备方面,要做到:第一,内外网隔离。根据有关安全保密部门的网络安全规定,的计算机信息系统,不得直接或间接与国际互联网或其它公共信息网互相连接,必须实行隔离。因此,对档案部门的内部网络和国际互联网,要严格地进行隔离,防止不宜公开的内部档案信息通过网络连接泄露到外部公众网。第二,将内部网络划分成若干个安全级别不同的子网,实现内部一个网段与另一个网段的隔离。这样,就能防止某一个网段的安全问题在整个网络传播,限制局部网络安全问题对全局网络安全造成的影响。第三,每个厂家的设备有它独特的优点也有它不可克服的致命弱点,因此在选用档案网络设备时,尽量选用不同厂家不同型号的设备,做到优势互补,封堵网络漏洞,增强系统的安全性能。
五、加强技术建设,为档案安全保障体系提供安全保障
网络、计算机、存储器和信息系统是数字化档案信息生存的基础,也是引发安全问题的风险基地。黑客攻击、病毒蔓延、信息窃取、技术落后、制度不健全、管理不规范、措施不到位、治理不及时是产生不安全因素的根源,其中有客观的因素,也有主观的原因。因此,加强对客观侵害行为的防范,对主管漏洞的治理,对安全事故的补救是保障网络畅通、系统稳定、数据安全的重要措施。只有网络和系统安全了,数字化档案信息的安全才能得以保障。建立技术保障体系是提高网络和系统免疫力的重要措施。1.保障网络安全:防火墙和入侵检测技术是常用的保障网络安全的两种手段,入侵检测技术侧重于监测、监控和预警,而防火墙则在内外网之间的访问控制领域具有明显的优势、功能强大,效果明显。面对网络攻击手段复杂度的不断提高及融合能力的逐渐加强,要在网络层采取安全技术的应用和安全产品的联动启用措施,全面提高网络的综合防范能力。2.保障系统安全:加强升级服务,做到无漏洞运行。目前各操作系统的开发商已经开通了专业通道,提供升级服务的补丁程序下载、安装和检测服务,而且大多是免费的,因此,能否做到系统的无漏洞运行,关键在于人们是否使用正版软件,增强了安全意识并做到及时升级,及时打补丁,,保障每台客户端的无漏洞运行。3.保障档案信息系统的安全:要做好系统用户的安全管理,不给偷窃者以机会。
目前,保障合法用户的做法是采取强身份认证、加密和防密码偷窃等技术,并保证内部安全管理制度和措施的有效性实施与落实。4.保障档案数据的安全:实行隔离、加密、备份等措施。安全管理的最终目的就是保障网络上传输的、系统中存储的、用户访问到的档案数据和信息是真实、完整和有效的,并保障系统操作者能够方便地访问自身权限范围内的数据,杜绝无权用户进入系统,因此数据加密、硬盘加密、文件系统加密,增加系统存储的复杂性等都成为保障数据安全的有效措施。5.病毒防范:建立网络化的病毒防范体系,实现病毒库的同步升级几乎有网络和计算机存在的地方,病毒都会伴随。每台计算机上都应安装防病毒软件系统,并及时更新病毒库,而对于网络环境下的一个组织而言,病毒杀不尽的原因则是网络上至少有一台机器有病毒,并在网上扩散传播,因此购买网络版的防病毒软件,建立网络化的病毒防范体系,实现病毒库的统一管理,同步升级,是防范病毒侵害数字化档案信息的有效措施之一。同时,加强对病毒知识的学习,提高机构中每位员工的主动防范意识和警惕性也是非常重要的保障措施。
安全管理体系论文范文第2篇
1家禽的健康标准
作为一名合格的养殖场管理者,必须要了解本公司/本场所饲养的家禽的健康状况,也只有了解了家禽的健康状况,才能为下一步的生产经营做出正确的决策。设立家禽的健康标准需要关注四方面内容:家禽外观评价标准、家禽的运动指标、家禽的生产指标和实验室检测指标。前三项健康标准来源于养殖现场的观察和数据统计,可以比较直观的反应家禽的健康状况。健康的家禽外观标准,包含了家禽精神状态、体型、眼睛、鼻冠喙、羽毛、翅、等内容;家禽的运动指标包含了家禽的动作姿势、呼吸、吃料、喝水等内容;家禽的生产指标包含了死淘率、产蛋率、受精率、周增重等内容。不健康的家禽会在这些评价指标区别于健康的家禽,这种差别就会第一时间给养殖场管理者足够的信息,帮助其了解家禽所处的健康状态。
2家禽的健康评估体系
建立了健康标准,就可以根据健康标准设立一套可行的健康评估体系,利用评估体系作为工具,对饲养的家禽进行定期的健康评估。根据评估结果,可把家禽分为健康、亚健康和发病三种状态,不同的状态采取不同的处理方式。家禽健康评估需要注意三点:定期评估、全面评估和及时记录分析。家禽在不同的周龄、不同的季节和不同的时间段都有特定的表现,健康评估体系要和这些特定表现相对应,评估结果才会更加有针对性和指导意义,例如对呼吸道的评估就要夜晚熄灯后进行。3家禽健康检测体系健康的家禽,有其外在的健康标准,同时也有一些内在的健康标准。这些内在的健康标准,就需要我们借助化验室检测体系进行评估,主要包含免疫抗体水平的高低、区域内流行毒株抗体水平高低、家禽的带菌或者带毒情况、免疫抑制病等几个方面评估,如果有条件还可以对肠道微生物检测、分离菌株耐药性检测、脏器的病理学变化等进行检测分析,更加系统的、全面的了解家禽的健康状况。
3健康管理方案
安全管理体系论文范文第3篇
一、风险管理与安全管理关系的认识
在分析电子文件安全管理的问题之前,我们应该要加强对风险管理与安全管理关系的认识。而要真正认清两者之间的关系,首先,要对风险与安全有深刻的认识。在新华字典中,对风险的释义是“危险;遭受损失、伤害、不利或毁灭的可能性。”对安全的释义是“不受威胁,没有危险、危害、损失。”从两者的释义中,我们不难看出风险与安全是有密切关系的,都是通过与“危险、危害、损失”的关系来体现的,但这并不是说风险就意味着不安全,这跟人们日常的理解可能有出入,在大多数人看来,风险就是安全的对立面,风险的存在就意味着安全事故的发生,这种理解是不准确的。风险其实主要强调的是“可能性”,而“可能性”就意味着风险的发生可能会引起安全事故,造成危险、危害或损失,也可能不会。另外,还必须认识的是风险包含威胁和机会两层含义,即风险造成的影响包括消极的威胁和积极的机会两面,而不仅指传统意义的威胁。威胁与机会的转换关键是在于平衡安全、成本和效率之间的关系。正如电子文件的 网络 化利用,可能比传统纸质化利用面临的风险要大得多,但不能因为风险大就不利用电子文件,之所以电子文件网络化利用迅速 发展 ,关键在网络化利用给档案工作带来的机会更大,利用成本更低、利用效率更高。其次,要对风险管理与安全管理有深刻的认识。风险管理是指管理组织对可能遇到的风险进行计划、识别、评估、应对、监控的全过程,是以 科学 的管理方法实现最大安全保障的实践活动的总称。③风险管理主要通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。应该说,风险管理本身就是安全管理一部分,而且是核心组成部分,它既是一种安全指导思想,同时也是一种安全实践方式。安全管理只有在风险管理正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在安全的投资、安全措施的选择、安全保障体系的建设等问题中做出合理的决策。基于风险管理的安全管理体系就是将风险管理自始至终贯穿于整个安全管理体系中,这种体系并不能完全消除安全的风险,只是尽量减少风险,将攻击造成损失的降低到最低限度,从而达到安全风险、成本与效率的平衡。
二、从风险管理的视角探讨电子文件安全管理问题
(一)缺乏科学的安全管理理论与方法指导
信息安全风险管理是解决如何确切掌握信息及其依赖信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要指导理论和方法。从这个视角来看文档工作我们会发现,一直以来,文件、档案安全管理工作都是沿袭传统档案载体保护工作来开展,以此形成的相关理论也是以传统档案载体研究为基础的,随着电子文件的出现,传统以档案载体保护为核心的档案安全管理理论就很难适用于电子文件的安全管理。虽然档案部门也对电子文件安全管理做过很多理论探讨,提出“前端控制思想”、“全程管理思想”、“文件连续体理论”、“后保管时代”、“文件运动理论模型”等理论来强化电子文件的安全管理,但不可否认的是,这些理论并不是专门的安全管理理论,很难在电子文件安全管理上取得实质性效果,由此指导的电子文件安全管理工作存在种种疑难点,如电子文件安全事故衡量标准是什么?如何选择安全产品?安全控制全面吗?是否冗余?是否达到预期效果?安全等级如何划分?安全代价如何衡量?这些疑难点的出现,归根到底就是因为现阶段的电子文件安全管理工作缺乏科学的安全管理理论与方法指导。
(二)对安全管理的认识存在偏差
信息安全风险管理提倡的是一种适度安全,即风险是绝对的,安全就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度;同时也强调树立风险意识,并通过风险的大小来度量信息的安全性,将“信息”提升到“资产”的高度来进行安全管理。然而,传统电子文件安全管理对此认识却存在偏差。
1、追求绝对的安全。一直以来由于档案部门缺乏安全风险意识,总是想找到绝对安全的方法和措施来追求档案各安全属性(如保密性、完整性、可用性、真实性、不可否认性、可追究性和可读性等)的绝对安全。然而,从理论上讲,风险是绝对的,安全是相对的;风险是永恒的,安全是暂时的。而电子文件安全管理工作从本质上来讲,也就是风险管理工作。电子文件的每个安全属性都有相应的保证级别作为其强度的测量尺度,在实践中追求各安全属性的绝对安全,并不能达到最佳安全效果,也是不切实际的。同样,从信息安全保密的实践 历史 来讲,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。因此,档案部门将安全管理目标定位于“系统绝对安全、数据永不丢失,档案永不泄密,电子文件万无一失”,那是永远不可能的!
2、风险意识薄弱,对安全风险认识存在偏差。一些安全管理人员风险意识淡薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事,庸人自扰之”,根本没有从风险管理的角度来度量电子文件的安全性。这些都严重影响了正确认识安全形势和树立科学的电子文件安全风险观。
3、忽视了对“资产”评估鉴定。从目前情况看,文件、档案管理部门虽都认识到电子文件的重要性,但绝大多数部门只是将电子文件作为日常办公的一种辅助帮助,并没有将电子文件提升到“资产”高度来管理,就更谈不上对“资产”进行评估鉴定。然而,从安全管理角度讲,一个组织系统内的资产在没有被评估鉴定前,是不可能成功实施安全管理并进行维护的。④
(三)管理环节不完善
信息安全风险管理强调对信息系统生命周期的全过程管理,包括一个完整的风险管理环节:风险计划的制订、风险识别、风险评估、风险应对、风险监控。从这个视角来看,当前电子文件安全管理存在明显的薄弱环节。首先,安全管理计划缺乏依据。现有的电子文件安全管理计划的制订,绝大多数是凭借个人经验或者参照其他管理部门计划来制定的,而不是依据风险应对、风险监控实际情况来制订的,具有很大的盲目性。其次,缺乏关键的风险评估环节。风险评估是电子文件安全管理的基础和关键环节。没有风险评估,电子文件的安全管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向,由此而引发的安全管理措施就具有很大的盲目性。虽然大部分管理部门强调采取各种措施来确保电子文件“万无一失”,但大多是“人云亦云”,进行简单的跟风或对安全产品与技术进行简单地堆叠,没有针对性。对于引起本组织电子文件风险的因素没有深入探究,甚至谈不上什么了解,对于所采取的应对措施更谈不上什么研究,对其用途更是“知其然,不知其所以然”,最终在风险来临之时,不能有效地控制风险。最后,安全监控力度有限。电子文件是动态存在的,其安全现状也是随时在变化的。在采取安全措施后,还必须强化电子文件全生命周期的风险监控,实时监视残余风险、识别新风险,执行风险应对计划,以及评估这些工作的有效性。然而现有的电子文件安全监控力度十分有限,绝大部分是局限于电子文件载体的温湿度控制,而不是对整个生命周期的残余风险、新风险的监控。
(四)缺乏系统性和动态性
信息安全风险管理基于系统、全面、 科学 的安全风险评估,强调对信息的全过程、动态控制,对信息进行系统化安全管理,使安全风险发生的概率和结果降低到可接受的范围,从而实现系统安全的动态平衡。传统的 电子 文件安全管理,一方面,绝大多数是针对电子文件载体本身的安全管理,采取的是往往单一的安全管理措施,对于电子文件的安全管理容易出现“头痛医头,脚痛医脚”的弊病,最终还是不能避免电子文件风险的发生。⑤虽然在理论上我们强调要收集全电子文件相关的背景、结构信息,但具体实践中由于没有科学界定电子文件安全管理范围,其背景、结构信息也就难以收集齐全, 自然 安全管理工作就不系统。另一方面,忽视整个电子文件保管环境的安全管理。电子文件保护的过程是一个复杂的过程,对于其自身及其所依赖信息环境的保护是一个系统性工程。从风险管理的角度讲,电子文件的安全管理不仅要对电子文件自身所面临的风险进行管理,更重要的是对其依赖的信息系统风险进行综合管理。而这点是传统电子文件管理所被忽视的,传统的安全管理大都是从电子文件本身风险因素出发而制定安全措施的,这很难在电子文件安全管理上取得实质性效果。此外,值得注意的是,传统的电子文件安全管理大多是静态地管理,更多的是实践经验的 总结 与应用,一般将文件按其形成过程分成若干阶段,分析各阶段潜在的风险因素,从而制定相应的对策。从表面上看,这种方法也适合电子文件安全管理,但毕竟是以静态的眼光来分析风险,各个阶段的安全管理工作缺乏必要和有机的联系,没有将各阶段的安全工作、工序和风险因素统一起来进行综合考虑,很难应对日益复杂、严峻的电子文件安全问题。
(五)忽视了对安全风险、成本和效率的权衡
信息安全风险管理宗旨之一,就是在综合成本和效率的前提下,找到安全风险、安全成本与效率之间平衡点,通过安全措施来控制风险,使残余风险降低到可接受的范围。安全风险、安全成本与效率的关系如下图所示:
安全风险、安全成本与效率关系示意图
从图中我们可以看出,只有当安全风险与安全成本控制达到平衡点时,安全效率才能达到最佳效果。实际上,绝对的安全是没有的,电子文件的安全管理也不是“越安全越好”。不同部门不同种类的电子文件,对于安全的需求是不同的;同一份电子文件其安全保密性超出安全保密的管理需求不但没有必要,而且还会造成资金上的浪费。正如一扇门配几把锁取决于门内放的东西的重要程度,锁越多,门的安全成本也就越高,而门的使用效率就越低。然而,当前的电子文件管理重安全,却忽视了对安全、成本和效益的综合权衡。很多文件、档案管理部门在没有对本部门安全现状和安全需求进行认真分析的基础上,为了追求安全就不惜成本盲目地追求新的安全产品与技术,结果采用了一大批新安全产品与技术,却收效甚微,造成资金的严重浪费。此外,由于我国一直以来强调以纵深防御体系设计作为安全管理的核心,这种防御体系强化安全管理的纵向层次和深度,侧重安全管理的宏观指导,但在指导安全管理的具体实践方面,缺乏科学依据和方法,无法对电子文件的安全风险进行度量,自然就无法权衡电子文件的安全、成本和效益,结果在实际的电子文件安全管理工作中,安全投入成了一个无底洞,安全管理成本经常是远远高于电子文件所带来的效益,最终安全管理失去原有的意义。
三、结论
传统的电子文件安全管理基本上还处于在一个局部的、静态的、少数人负责的、突击式、事后纠正的管理方式,导致的结果是不能从根本上避免降低各类风险,也不可能降低电子文件安全事故导致的综合损失。而基于风险管理的电子文件安全管理体系是一个系统化、程序化和文件化的管理体系,基于系统、全面、动态、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全原则前提下合理选择控制方式以保护电子文件,使电子文件安全风险的发生概率和结果降低到可接受的水平。这种管理体系更加适合于电子文件的安全管理,因此,文件、档案管理部门应尽快建立自身的电子文件风险管理体系。
注释:
1、吴世忠:《信息风险管理动态与动态与趋向》,《 计算 机安全》2007年第4期。
2、冯惠玲:《论电子文件的风险管理》,《档案学通讯》2005年第3期。
3、 陈国云:《档案信息建设的风险管理》,《档案管理》2008年第1期。
安全管理体系论文范文第4篇
[关键词]工程哲学;信息安全;管理体系;ISMS
doi:10.3969/j.issn.1673 - 0194.2015.16.162
[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194(2015)16-0-03
0 引 言
信息安全是信息化发展到一定阶段的必然产物。Tanenbaum认为网络仅局限于研究人员相互发邮件时自然不会凸显信息安全的重要性,但是一旦渗透到包括银行转账和网上购物等日常行为,或者过渡到云计算时代,信息安全问题就无法再回避。
信息安全管理体系(Information Security Management System,ISMS)被认为是良好的信息安全管理实践集之一,从工程哲学的视野来看,这是由某一(或某些)专业技术为主体和与之配套通用的相关技术,按照一定规则、规律所组成的,为实现某一(或某些)工程目标的组织、集成活动。这其中包括人与自然的关系,也包括人与人、人与社会的关系,并由此构筑了新的存在物。目前绝大部分的研究都集中于信息安全管理体系的应用,而缺乏从整体角度出发,以工程创新为主线,从工程哲学的角度进行审视、思考和分析的研究,本文对这些问题进行分析。
1 以“三元论”的视角审视信息安全管理体系
1.1 科学、技术和工程“三元论”
Mitcham提出工程哲学(Engineering Philosophy)词汇,并阐述哲学对工程的重要性,但是他认为工程处于技术之下,是技术的一部分,而李伯聪教授则认为科学、技术和工程是彼此独立的个体,彼此既有联系又有区别,科学、技术和工程“三元论”是工程哲学得以成立的基础。
科学活动是以探索发现为核心的活动,技术活动是以发明革新为核心的活动,工程活动是以集成建构为核心的活动。人们既不应把科学与技术混为一谈,也不应把技术与工程混为一谈。工程并不是单纯的科学应用或技术应用,也不是相关技术的简单堆砌和剪贴拼凑,而是科学要素、技术要素、经济要素、管理要素、社会要素、文化要素、制度要素以及环境要素等多要素的集成、选择和优化。“三元论”明确承认科学、技术与工程存在密切的联系,而且突出强调它们之间的转化关系,强调“工程化”环节对于转化为直接生产力的关键作用、价值和意义,强调应努力实现工程科学、工程技术和工程实践的有机互动与统一。
1.2 信息安全管理体系的工程本质及特点
信息安全管理体系是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准为ISO/IEC 27000标准族。在ISO/IEC 27000标准族中,不但给出了“建立、实施、运行、监视、评审、保持和改进信息安全的”“基于业务风险(的)方法”,而且还给出了信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等。例如,仅GB/T 22081-2008/ISO/IEC 27002:2005信息安全管理实用规则,就包括了11个控制域,39个控制目标,133项控制措施。
信息安全管理体系可在不同的学科中找到其渊源,在实施框架上,信息安全管理体系应用了质量管理中的Plan-Do-Check-Act的戴明环,在具体的控制措施上,则包括了密码学、人员安全以及各类信息安全技术,其研究的特点是将科学思维、工程思维和社会思维相结合,但更强调工程思维的“设计”理论。工程研究活动不同于科学研究活动的基本特征就是“设计”。工程设计活动包括对象设计和过程设计。例如,建造水坝的坝体设计是对象设计,如何实施就是过程设计,在信息安全中,设计组织自己的信息安全管理体系是对象设计,设计如何部署是过程设计。
按照“三元论”理论,信息安全管理体系在其中的位置如图1所示。
2 信息安全管理体系的演化过程与规律
2.1 信息安全管理体系的起源和发展
信息安全管理体系是建立在体系(System)化基础上的“最佳实践集”,到国际标准的正式公布,大致经历了3个阶段。
第一阶段为过度关注技术,忽略人的作用的“技术浪潮”阶段,在这个阶段涌现出了大量的信息安全技术产品,例如,防火墙、防病毒和入侵检测系统(IDS)等。
第二阶段为强调人的作用的“管理浪潮”阶段,在这个阶段大部分企业开始设置专职的信息安全管理岗位,以加强对个人行为的控制。
第三阶段即“体系阶段”,在体系阶段信息安全以目标为导向,不再局限于手段的应用,而是技术、制度和人员管理等各个方面的有机结合。这个阶段是信息安全的工程化阶段,体现了工程的实践性、经验性、继承性、创造性和系统性等特点。
2.2 信息安全管理体系的动力和机制分析
信息安全管理体系的产生和发展过程是一个“需求驱动”的过程。Alvin Toffler在其经典著作《第三次浪潮》中,将人类发展史划分为第一次浪潮的“农业文明”,第二次浪潮的“工业文明”以及第三次浪潮的“信息社会”。在信息社会时代,“信息”成为重要的生产资料,价值非凡,因此面临诸多风险,为保护信息,安全需求的出现是必然的。
科学与技术的进步是信息安全管理体系的推动力。新密码算法的产生,各类以“信息技术解决信息安全”的思路涌现,为信息安全管理体系的产生奠定了基础。信息安全产生的本质原因是信息技术的发展和应用,反过来,解决信息安全问题又依赖于信息技术的发展。例如,速度更快,与防火墙形成联动的入侵检测系统。
国家政策是信息安全管理体系应用的导向力。任何工程活动都是在社会大系统中开展的,都要接受国家(政府)的引导和调控。对工程创新的应用,企业的认识往往是滞后的,因此,国家出台了一系列引导性政策。例如:商务部印发的商资发[2006]556号及商资函[2006]110号,以及各地方政府的鼓励引导政策。
2.3 信息安全管理体系的工程演化特点、方式和规律
对比国外,信息安全管理体系在国内发展体现出了明显的跳跃性,这种跳跃性不但体现在信息工程领域,也表现在其他诸多领域。国内一般不会沿袭其循序渐进的路线,而是直接引用国外的先进经验或者在国外已有的原型上进行模仿开发。
在科学、技术和工程3个领域内,与文化、制度、历史等环境因素联系最紧密的就是工程。在信息安全领域内,作为基础科学的密码学,其算法“放之四海而皆准”,不会因东西方文化的不同而显现不同的特征,绝大部分技术亦如此。但在工程层次,不同的文化制度有时会产生大相径庭的结果,例如,腾讯QQ本来是模仿国际聊天软件ICQ,但是经过十几年的发展后,ICQ,MSN等点对点国外聊天软件均濒临破产,但QQ在线用户却在2010年突破1亿。信息安全管理体系虽然修改自国际标准,但也显现出鲜明的文化特征。例如更强调保密性,和国外用户相比,更多的认证取向等。
3 信息安全管理体系的工程思维与工程方法论
3.1 信息安全管理体系的工程思维
科学思维是“反映性思维”“发现性思维”,体现理论理性的认识,工程思维是“构建性思维”“设计性思维”和“实践性思维”,体现实践理性的认识。科学家通过科学思维发现外部世界中已经存在的事物和自然规律,工程师在工程活动中创造出自然界中从来没有的工程构建物,工程设计是以价值当事人的特定需要为出发点,以构建某种与主体需要相符合的实体为归宿的筹划。
信息安全管理体系标准族的GB/T 22080-2008/ISO/IEC 27001:2005原文别强调:“采用ISMS应当是一个组织的一项战略性决策。一个组织ISMS的设计和实施受其需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响,且上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。”信息安全管理体系的部署过程也专门设有信息安全风险评估,目的就是找到企业实际存在的问题,然后“对症下药”。
3.2 信息安全管理体系的工程方法论
信息安全管理体系应用了PDCA戴明环,与A.D.Hall的系统工程方法略有差别,但在本质上是遵循这个基本框架的,如图2所示。
参照图2所示的基本工作过程并结合专门指导信息安全管理体系实施的《ISO/IEC 27003:2010信息安全管理体系应用指南》,提取其中的关键过程,并与工程设计的一般过程进行对比,如图3所示,其中左侧为设计方法,右侧为信息安全管理体系设计。
4 结 语
信息安全管理体系既包括数论、密码学和近世代数等科学元素,也包括软件开发技术、单片机技术和网络技术等技术元素,在工程哲学的视野下,是建立在一系列科学与技术基础上的集成创新。在工程创新成为创新活动主战场的今天,对其进行哲学分析,显得尤为重要。这其中包括以下几点。首先,要辩证地对待便利性与安全性的问题。正确利用信息系统,不仅是技术问题,也是哲学命题。坚持用“两点论”的观点看待便利性和安全性,在信息化发展的不同阶段,正确分析主要矛盾和次要矛盾。在信息化发展初期,信息系统尚未大规模使用,主要矛盾是便利性,提高效率,但到现在,信息安全事件层出不穷,美国甚至成立了网络战争司令部,信息战成为攻击手段之一,安全性就成了主要矛盾,“两点论”是有重点的两点论,要在看到主次矛盾和矛盾的主次方面的同时,分清主次,抓住主要矛盾和矛盾的主要方面。其次,从信息安全管理体系演化规律中发现集成创新的一般规律。科学、技术转化为现实生产力的功能一般都要通过工程这一环节,因此,在我国建设创新型国家战略的实施过程中,工程创新是一个关键性的环节。只有从大量的工程中发现工程创新的一般规律,从工程哲学的角度加以分析、归纳和引导,才能创新信息安全管理体系建设,发挥我国信息化发展的后发优势。
主要参考文献
[1]Tanenbaum A.S,Whterall D.J.计算机网络[M].第5版.严伟,潘爱民,译.北京:清华大学出版社,2012.
[2]张艳,胡新.云计算模式下的信息安全风险及其法律规制[J].自然辩证法研究,2012(10).
[3]谢宗晓.信息安全管理体系实施指南[M].北京:中国标准出版社,2012.
[4]张志会.米切姆的工程哲学思想初探[J].工程研究――跨学科视野中的工程,2008.
[5]李伯聪.工程哲学引论――我造物故我在[M].郑州:大象出版社,2002.
[6]殷瑞钰,汪应洛,李伯聪.工程哲学[M].北京:高等教育出版社,2007.
[7]谢宗晓.信心安全管理体系应用手册[M].北京:中国标准出版社,2008.
[8]王宏波.工程哲学与社会工程[M].北京:中国社会科学出版社,2006.
[9]Von Solms Basie.Information Security:The Third Wave[J].Computer & Security,2000(12).
[10]殷瑞钰,汪应洛,李伯聪.工程演化论[M].北京:高等教育出版社,2011.
[11]谢宗晓.信息安全管理体系实施案例[M].北京:中国标准出版社,2012.
安全管理体系论文范文第5篇
安全法律法规核心作用原理体现了安全法律法规对研究对象的作用机理及作用方式,属于安全法律法规基础理论的范畴。安全法律法规核心作用原理是以安全系统工程学、安全法学为理论基础,基于安全法律法规的特点、规律以及体系结构,能够表达安全法律法规在运用、实施、监督、管理等过程中的普适性基础规律。安全法律法规核心作用原理及其方法论体系结构作为安全法学的重要组成部分,其研究对象主要包括:人的行为、物的状态以及管理环境等。1)人的行为。人是行为的主体,安全法律法规主要是约束并规范人的行为,确保系统不会因为人的不安全行为而引发事故,有利于促进系统安全性能的提高。2)物的状态。作为引发事故的直接原因,物的不安全状态应该作为安全法律法规方面的隐患进行监督管理。安全法律法规约束物的状态有利于保证安全法律法规的有效实施,同时也有利于安全法律法规学科的构建。3)管理环境。管理环境属于人-机-环系统的重要组成部分,良好的管理环境对系统具有非常重要的意义,所以管理环境应该作为重点研究对象,使其能够更好的为安全生产服务。
2核心作用原理及其内涵
安全法律法规核心作用原理是对安全法律法规学科作用对象和研究内容的提炼总结,笔者提出安全法律法规核心作用原理下属4条原理:安全法治原理、安全规范原理、安全标准化原理以及安全发展原理。
2.1安全法治原理
安全法治原理是指以安全法律法规为基础,规范人的行为,消除安全隐患,增强安全法律法规作用效果,从而达到系统安全的目的。完善的安全法律法规制度使安全管理有法可依,有利于安全法治原理发挥其促进作用,有利于减少危险有害事故的发生,有利于提高系统的安全性能。法治可以消除人治的多种弊端,明确权利责任,使安全管理高效、合理。安全法治原理与依法治国一脉相承,均是依靠健全的法律法规体系制度维护系统的稳定有序,如果制度不完善就会降低制度本身的效能,进而可能会引发人们对法治的信任危机。安全法治原理的影响因素主要有安全法律法规不健全、体系得不到贯彻实施、监督监管系统不能有效地发挥作用。1)安全法治的原则性。原则性包括客观性、合法性、合理性、逻辑性等多项原则。其中客观性原则主要包括认识的客观性、法律法规的客观性、二者之间关系的客观性;合法性则是表达对宪法作为根本大法的尊重与认同;合理性原则则是强调理论与实践相统一;逻辑性原则表达了其他原则的实现需要建立在逻辑性的基础之上,在运用法律法规的时候可以依靠逻辑思维提炼安全法律法规,以促进安全法律法规制度的完善和发展。2)安全法治的至上性。安全法律法规至高无上,它是评判系统中所有成员行为的唯一标准,同时也是最高标准。系统中任何成员都必须在安全法律法规所制定的范围内进行活动,否则都得受到相应的制裁。简言之,就是有法必依,违法必究。3)安全法治的普适性。安全法律法规面前人人平等,不能搞特殊化和个别化。另一方面,安全法律法规要在社会、政治、经济等各个领域都能起到反馈调节作用。同时,要加强社会监督监管,避免出现执法不严、违法不究的现象出现,力求做到公平正义,从而保障系统秩序的稳定。
2.2安全规范原理
安全规范原理是指由国家制定或认可,并由强制力保证实施,规定具体的权利和义务,指导并约束人的行为、物的状态以及法律实施环境的行为准则。安全规范原理主要是从规范人的行为、物的状态、法律管理环境等3个方面进行研究。安全法律法规的有效实施,能够起到安全指引、安全预测、安全评价、安全教育等4个方面的作用。这4个方面的作用可以有效的规范人的行为、物的状态、环境状态,有利于提高系统的安全性能。安全规范原理可以从人-机-环三个方面具体阐释:1)规范人的行为。人的不安全行为是导致事故发生的重要因素,因此确保人的行为的安全性至关重要。安全法律法规可以有效的规范人的行为,可以有效的降低因人的不安全行为而引发事故的可能性,安全规范原理具有指引作用,将为人的行为树立正确的导向起到积极的作用。2)规范物的状态。基于安全规范原理对人的行为的规范作用,使人的行为与物的状态达到协调统一。规范物的状态中的“物“,包括各种设备、设施,保障设备、设施的安全性和稳定性,从而避免了因为物的不安全状态对人身安全造成不可估量的后果,进而促进了系统整体的安全性。3)规范环境的状态。环境既指系统大环境,又指法律实施的环境。保障安全法律法规的有效实施,不仅需要有素质较高的执法队伍还要有非常有效的监督监管机构力行做好安全法律法规实施的监督监管工作,保证安全法律法规的实施环境。另一方面,良好的环境状态将人的行为、物的状态紧密的结合在一起,有利于安全法律法规发挥其作用,有利于提升系统的安全性能。
2.3安全标准化原理
安全标准化原理是通过建立完善的安全法律法规制度,辨识并消除危险源,使人、机、环处于安全状态,促进系统整体安全性能的提高,进而促进安全法学、安全学的发展。建立完善的安全法律法规制度,既要保持先进性,又要与中国国情相结合;既要确保安全法律法规制度的系统性、强制性和权威性,又要保证安全法律法规制度的有效实施。建立健全安全法律法规标准化体系,有利于提高安全管理效率,保障系统的整体安全性能。我国安全法律法规相关体系还不够完善,系统性和操作性均较差,甚至有些方面暴露出专业涵盖面不足等问题。基于以上各方面存在的问题,提高安全法律法规标准化需要从以下三个方面考虑:1)全面性。安全法律法规需要全面覆盖行业体系,但是部分行业现有的安全法律法规还未能全面体现本行业当今的发展现状;同时,安全法律法规应该集中立法,不应出现体系建设分散的状况,只有保证安全法律法规体系的全面性才能更好的保障系统安全。2)系统性。运用安全系统工程原理和方法,采用计划、组织、协调、控制等方法,构建更加有效的安全法律法规体系,可以使其更加有效的发挥作用。同时,安全法律法规的系统性反作用于安全法律法规,使其更加有效的发挥作用,可以很好的解决因为系统性不强而导致的作用效果不佳的问题。3)强制性。强制性可以保证安全法律法规制度的有效实施,是安全法律法规标准化体系建设的重要依据。增强安全法律法规的强制性,可以提高制度本身的效率。安全法律法规只有依靠国家强制力保证实施,才能显示其巨大的威慑力和权威性,才能更好的为整个安全系统服务,提高系统整体安全性能。
2.4安全发展原理
安全法律法规应有与时俱进的发展性,通过安全发展原理,可以更加有效的传承安全法律法规的精髓,同时又可以根据其原有的基础性结构再基于现实发展的需要,修订、补充、废除部分安全法律法规,从而尽可能消除危险有害因素,保障系统的安全性能。安全法律法规原理从实践中来,再到实践中去,需要从发展的角度看待安全法律法规。安全发展原理不仅要根据安全现状提高安全法律法规的先进性,同时也要对人的行为进一步管理,尽量降低因为人的不安全行为造成的人员伤亡和财产损失。对于安全发展原理可以从以下四个方面理解:1)保持创新性。创新是安全法律法规体系不竭的动力,是应对新形势,解决新问题的必然方法。创新不只是安全法律法规具体内容的创新,更要求在人的行为和安全管理等层面上做到真正意义的创新,从而促进系统安全性能的提高。2)增强先进性。我国的一些安全法律法规体系标准还没有达到发达国家的水平,尽可能与国际接轨,应对法规标准的世界化和标准化。不论在安全法律法规的制定和执行方面,均应朝着先进性的方向发展,促进安全法律法规先进性建设和体系化建设是安全发展原理的重中之重。3)相似和谐性。相似和谐性可以帮助人们在生活中提高安全性能,增强安全意识,促进和谐稳定的工作环境。同时,相似和谐性对于安全法律法规的发展具有很好的促进作用,这一性质对于促进安全法律法规核心原理中的发展原理、规范原理、标准化原理等具有很强的促进作用。4)构建发展趋势预测模型。安全法律法规的发展与创新需要有学科理论知识作基础,更需要构建良好的发展趋势模型作参考,为安全法律法规的发展提供方向性、纲领性指导。2.5基于4条安全法律法规核心作用原理构建的轮型模型基于4条安全法律法规核心作用原理构建轮型模型,如图1所示。首先,运用安全系统工程的原理和方法构建该轮型模型,系统各要素之间相互作用、互相影响构成统一整体。其次,该轮型模型内部共有4个子系统,围绕安全法律法规核心作用原理运转,共同促进安全法律法规学科的发展。最后,每个子系统又受到多个要素的影响,通过系统工程与安全法律法规学科的交叉融合,共同构成了该轮型模型。基于4条安全法律法规核心作用原理构建的轮型模型,可以为安全法律法规学科的发展提供理论指导,四条核心作用原理之间的协同和促进作用有利于完善安全法律法规学科体系建设,有利于安全法律法规学科建设的发展和创新。4条核心作用原理从不同层面分析了安全法律法规学科的深刻内涵,对安全法律法规基础知识理论的完善具有指导意义,为安全法律法规有效地应用于实践之中提供了理论依据,保证了系统安全性能的提升,进而有利于促进安全法学的发展。
3基于霍尔方法论构建安全法律法规方法论的四维体系结构
3.1霍尔方法论简介
霍尔方法论是基于三维结构的系统工程研究方法[10],其中,三维分别是时间维、逻辑维、专业维。霍尔方法论的核心是最优化,特点是任何现实问题都有可能被弄清且目标非常明确。霍尔方法论结构如图2所示。1)时间维:对于一个工程项目,从规划到更新共经历了7个阶段,这7个阶段按照时间先后顺序紧密衔接在一起。2)逻辑维:将研究工作过程展开,从摆明问题到决策实施共分6步,条理清晰,逻辑严谨。3)专业维:专业维又称知识维,根据工程项目的不同,涉及的专业知识各异。专业维是为了完成工程项目各阶段所需要的专业知识和专业技能。
3.2基于霍尔方法论构建安全法律法规方法论的四维体系结构
安全法律法规方法论是运用系统工程的思想分析问题,把目标对象作为一个整体进行研究,是分析、辨识、处理及解决危险有害因素的工作方法。通过专业维、逻辑维、时间维三个维度对安全法律法规方法论进行分析研究,消除系统中存在的危险有害因素,提高系统安全性能,使系统达到最优化,与霍尔方法论三维体系结构研究方法相吻合,故将霍尔方法论应用于安全法律法规方法论的研究之中具有很强的可行性。随着技术的不断革新,社会不断发展,环境对系统安全的影响越来越大,故参照霍尔方法论三维体系结构并增加环境维,构建安全法律法规方法论的四维体系结构,如图3所示。1)时间维:针对一个工程项目的安全法律法规问题,按照时间的先后顺序共分为安全规划、设计、运行、更新4个阶段,形成一条闭环回路系统,根据时间维的4个阶段分析并处理问题,更加合理有效。2)逻辑维:如图3所示,从摆明安全问题到安全措施实施共7步:摆明安全问题、确定安全目标、系统安全综合、系统安全分析、系统安全评价、安全决策和安全措施实施。从逻辑维的角度处理安全法律法规问题,环环相扣严谨有效。3)专业维:不同的工程项目,不同的安全法律法规问题所涉及的专业不同,安全工程、安全管理以及安全法学都是以系统工程为核心,并围绕其展开。其中安全法学是重点,安全法律法规问题应该更多的从安全法学的专业角度分析,能够更加有效的解决问题并得出结论。4)环境维:环境适应性是系统的固有属性,系统与环境之间必然存在着物质、能量和信息的交换,增加环境维构建安全法律法规方法论的四维体系结构,有利于促进安全法律法规学科的发展。
4应用分析
安全法律法规核心作用原理及方法论的四维体系结构对于安全学科建设、安全生产管理、安全文化的发展具有指导意义,不论从理论研究的层面还是从实践应用的层面分析,均可发挥其促进作用。1)对安全学科建设的作用。安全法律法规核心作用原理及方法论的四维体系结构对安全法学、安全学、系统工程学等学科体系的完善具有推动作用,法治、规范、标准化、发展等原理不仅提供了理论支撑,而且通过深入分析四条核心原理及其内涵有利于其他学科的完善,有利于交叉学科的发展。2)对安全生产管理的作用。安全法律法规核心作用原理及方法论的四维体系结构对人的行为、物的状态以及管理环境等三方面产生巨大的影响力,促进了整个人-机-环系统的安全性能的提高。另外,对于辨识、分析、处理系统中存在的危险源、危险有害因素,保障系统安全性提供了有效的技术指导。3)对安全文化发展的作用。有利于系统内形成安定有序的制度环境,形成和谐文明的文化氛围,对于系统内部安全文化的塑造具有良好的促进作用。同时,四条核心作用原理的促进作用有利于提高系统内部安全意识、增强安全责任感,有利于加强安全精神文化、制度文化、行为文化的建设。
5结论
