企业信息安全服务范文第1篇

【 关键词 】 信息安全架构；企业战略；信息安全服务； 信息安全价值； 一致性；可追溯性

【 文献标识码 】 A 【 中图分类号 】 TP393.08

1 引言

信息安全技术和管理经过不断的发展和改善，已经能够比较有效地解决一些传统信息安全问题，如信息安全风险管理、访问控制，脆弱性管理、加密解密和灾难恢复等。随着信息越来越成为组织的核心资产，保护信息的安全已不再只是局限于技术和日常管理层面的讨论，信息的安全越来越关系到组织自身发展的安全。一次重大的信息泄露事故就能使企业的市值一落千丈。同时，一套合理的访问控制解决方案能够帮助企业快速推出核心产品（尤其是电子商务）和兼并其他企业。当前信息安全发展呈现出新的趋势和要求：（1）信息安全部门逐渐从成本中心转向价值中心，信息安全的各项活动越来越和企业战略紧密相连；（2）企业内部其他部门越来越多的要求信息安全部门提供清晰、可测量的服务来支持业务的运行。

企业的信息安全部门在不断增强其核心影响力的同时，也承担着随之而来的更多责任和挑战。其一是如何将企业战略转化为信息安全计划，将信息安全融入到组织的业务流程中，并且保持信息安全控制措施与企业战略的一致性和可追溯性；其二是如何使信息安全的价值得到认可并在组织内部最大化；其三是如何满足企业内部各部门有计划或无计划的信息安全服务需求；其四是如何确保以一种系统主动和集中统一的方式来管理业务和遵从性需求，并实现清晰的测量和不断的改进。

当前各企业广泛采用的标准或最佳实践有几种：ISO27001：2005，COBIT4.1，NISTSP800或PCIDSSv2.0等。这些标准各有优点，但也有明显的缺憾，如表1所示（缺憾部分用X表示）。

设计本信息安全架构旨在解决上述问题并建立一种高效机制达到如下目标。

* 将企业战略转化为信息安全计划，确保信息安全的可追溯性、持续一致性和简洁性，以降低成本、减少重复和提高效率。将信息安全融入到组织的业务流程中，建立一致性和可追溯性；建立清晰的信息安全架构和愿景，以减少重复和指导信息安全投入和解决方案的实施。

* 基于客户服务理念，信息安全服务价值得到认可，信息安全靠拢业务部门，为信息安全管理和业务管理建立共同语言。

* 全面管理信息安全，满足目前绝大多数法律法规、标准的最佳实际的要求，并具有灵活的可扩展性，当新需求出现后能够将其平滑的融入到现有架构中。

* 系统和集中统一的方式，使信息安全管理可预测和可测量，并不断的改进。

2 信息安全架构设计

2.1 信息安全架构设计所基于的原则

本信息安全架构的设计遵循四大原则。

1） 业务驱动：所有的信息安全目标应该从业务需求中来，从而保证信息安全管理总是做“正确的事”。

2） 整合、统一的架构：现在有数以十计的信息安全相关的法律法规，标准和最佳实践需要去符合或参考，且其各有不同的要求侧重点和优缺点。因此很有必要将所有相关的信息安全关注点整合到一个统一的架构中，以保证所有要求都被满足，同时避免不要的重复。例如，ISO27001关注全面安全控制和风险管理，PCIDSS侧重支付卡环境中技术控制和策略管理等。

3） 系统化思维：运用系统化思维可以帮助组织解决复杂且动态的问题，适应运营中的各种变化，减轻战略上的不确定性和外部因素的影响。例如，需要整合机构、人员、技术和流程；需要考虑安全、成本和易用性的权衡；需要靠持续改进（Plan-Do-Check-Act）；需要考虑全面防护和纵深防护。

4） 易用性：信息安全架构的最大价值在于被理解和广泛应用于组织的实践当中。因此，信息安全架构必须易于理解并且实际可操作性要强，应避免太过复杂和晦涩。

2.2 信息安全架构实现

2.2.1 信息安全架构-域试图

基于上面的基本原则，本信息安全架构由三个域组成（如图1所示）：治理（Governance）、保障（Assurance）和服务（Services）。

治理（Governance）： 信息安全治理域强调战略一致性，风险管理，资源管理和有效性测量。治理域又包括三个子域：愿景与战略、风险与遵从性管理和测量。各子域主要功能如下所述。

* 愿景与战略： 将遵从性要求，信息安全的发展趋势，行业发展趋势和业务战略转化为信息安全愿景、战略和路线图。

* 风险与遵从性管理： 管理信息安全风险使信息安全风险控制在组织可接受的范围内。

* 测量： 监控和测量整体信息安全的有效性并持续提升信息安全对组织的价值。

保障： 保障域侧重于信息安全的全面与纵深防护措施。保障域包含预防、监测、响应和恢复四个部分。各部分主要功能如下所述。同时保护的对象为不同层面的信息资产：数据层、应用层、IT基础设施层和物理层。

* 预防： 实施信息安全控制措施包括管理措施和技术措施，防止信息安全威胁损害组织的信息安全控态。

* 监测： 部署信息安全监测能力监控正在发生或已经发生的信息安全事态。

* 响应：部署信息安全响应体系迅速、高效的抑制信息安全事件。

* 恢复： 建立组织的可持续性能力，但重要信息系统不可用时，可以在计划的时间内恢复。

服务： 服务域显示了面向客户（内部和外部），协作与知识更新对信息安全实践非常重要。服务域包含三个部分：信息安全服务、知识管理、意识与文化。各部分主要功能如下所述。

* 信息安全服务： 信息安全团队应对待组织内部其他部门和对外部客户一样，基于服务基本协议，提供高质量的信息安全服务。

* 知识管理： 知识是信息安全实践和服务的基石。信息安全知识管理包括获取、维护和利用知识去获取最大的信息安全专业价值。信息安全知识应不仅在信息安全团队内部而且在整个组织被共享。

* 意识与文化： 信息安全意识与文化在组织内部建立一个整体的信息安全氛围。一个好的信息安全意识与文化意味着每个人都每个人都了解信息安全，关心信息安全、在日常工作中关注信息安全。信息安全意识与文化对提升组织整体信息安全成熟度和降低信息安全风险至关重要。

2.2.2 信息安全架构-组件试图

为支撑信息安全架构的三个域，本信息安全架构组件融合了不同标准和最佳实践的精华部分，并自成一体，如图2所示。本架构参考的标准主要有如下一些：ISO27001：2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架构在企业内实际应用效果分析

本信息安全架构已被推广和应用到各个行业中，如保险业、银行业、教育和非盈利性机构等。本文选取一个保险企业的案例来说明本信息安全架构给企业带来的积极变化。

背景：此保险公司有3000名员工，计划在加拿大多伦多（Toronto）上市，因此需要符合加拿大和行业的一些法律法规的要求，如Bill198、PIPEDA、PCIDSS等。同时公司高层决定借鉴信息安全管理的最佳实践标准，如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架构的特点就是融合各法规、标准和最佳实践的要求，因此不需要做任何大的改动的情况下（降低成本）就能应用到此保险公司中。

经过9个月的实际运行，公司进行了各项测量指标重新评估并与实施本信息安全架构前的指标进行了对比分析。

3.1 平衡计分卡（Balanced Scorecard）[10]测评分析

平衡计分卡是衡量信息安全对企业贡献价值的一种分析工具。平衡计分卡包括四个测量项目：对企业的贡献，对愿景的规划，内部流程的成熟度和面向客户。该保险公司在实施本信息安全架构前后分别进行了两次测评。测评方法是由公司高级管理人员和各部门经理对信息安全部门进行评估，0级表示无成绩，5级表示完美，然后取平均值。2011年7月评估结果显示“企业贡献”为2.2，“愿景规划”为2.5，“内部流程”为2.8，“面向客户”为2.1；2012年7月评估结果显示“企业贡献”为4.1，“愿景规划”为3.9，“内部流程”为3.8，“面向客户”为4.1。如图3所示。测评结果表明实施本信息安全架构后企业高层及各部门对信息安全给企业带来的价值的认可度有较为明显提升。

3.2 总体信息安全成熟度级别分析

本文采取的信息安全总体成熟度的评价是基于ISO27002的控制域和CMMI[11]的评估级别。0级是最低级，5级是最高级。该保险公司在实施本信息安全架构前后分别进行了两次自评估。2011年10月实施本信息安全架构前成熟度水平是介于2.0-3.0之间， 2012年10月实施本信息安全架构后成熟度水平是介于3.0-4.5之间，如图4所示。成熟度级别分析结果表明实施本信息安全架构后整体成熟度有较为明显提升。

3.3 独立审核发现点数量分析

第三方机构独立审核是从专业、客观的角度来衡量整体信息安全控制措施，包括管理、技术和流程。审核发现点的数量越多，表明脆弱点越多，存在的风险越大。该保险公司在实施本信息安全架构前后分别邀请用一个第三方审核机构对其进行了全面审核与评估（依据上市公司的管控要求）。2011年9月审核结果显示有4个高风险项，8个中风险项和13个第风险项；2012年9月审核结果显示无高风险项，且只有2个中风险项和4个第风险项。如图5所示。审核结果表明实施本信息安全架构后整体风险水平有较为明显降低。

3.4 信息安全事件发生数量分析

信息安全事件（特别是1级与2级事件）发生的数量标志着信息安全控制措施的全面性和有效性。信息安全事件数量越少，表明整体控制措施越有效。该保险公司统计了实施本信息安全架构前后发生的信息安全事件数量。2011年1月-10月期间有4个一级安全事件（重大），12个二级安全事件（严重），25个三级安全事件和40个四级安全事件；2012年1月-10月期间有1个一级安全事件（重大），2个二级安全事件（严重），10个三级安全事件和16个四级安全事件。如图6所示。信息安全事件数量分析结果表明实施本信息安全架构后安全控制措施的全面性和有效性有较为明显增强。

3.5 鱼叉式网络钓鱼模拟攻击测试结果分析

模拟钓鱼攻击测试是对企业员工整体信息安全意识水平一种比较客观的考核方式。收到攻击（点击链接）的人数越少，表明整体信息安全水平越高。该保险公司采用ThreatSim的模拟攻击测试平台，在实施本信息安全架构前后分别选取了5个分支机构（共200人）进行了模拟攻击测试。测试的主要方法是注册一个与该保险公司类似的网络域名，然后伪造一份看似从信息安全管理员发出的E-mail，此E-mail的大致内容是说该保险公司于近期对相关系统进行了升级，将会影响到原有的帐户和密码，要求终端用户尽快修改密码。此E-mail包含一个链接到修改密码的伪网页。

2011年5月测试结果显示有47%的员工点击了有害链接，点击有害链接的员工中有18%的人输入了密码，点击有害链接的员工中有68%的人完成了在线培训内容；2012年5月测试结果显示有14%的员工点击了有害链接，点击有害链接的员工中有3%的人输入了密码，点击有害链接的员工中有98%的人完成了在线培训内容。如图7所示。模拟攻击测试分析结果表明实施本信息安全架构后该保险公司员工整体信息安全意识水平有较为明显进步。

3.6 信息安全服务客户满意度调查结果分析

客户满意度调查是从被服务客户的角度来衡量信息安全团队的服务能力，以及给公司带来的实际价值。满意度百分比值越高，表明信息安全团队的能力和服务价值越被认可。该保险公司在实施本信息安全架构前后分别对精算部、个人保险部、商业保险部、索偿部、渠道与销售部做了信息安全服务满意度调查。

2011年8月调查结果显示对服务专业质量的满意度为72%，对服务请求响应速度的满意度为46%，对服务态度的满意度为67%，整体满意度为60%；2012年8月调查结果显示对服务专业质量的满意度为95%，对服务请求响应速度的满意度为85%，对服务态度的满意度为92%，整体满意度为88%；如图7所示。客户满意度分析结果表明实施本信息安全架构后企业各部门对信息安全服务价值的认可度有较为明显提升。

4 结束语

现阶段信息安全管理着重在信息安全的风险控制，随着信息安全管理角色的转变，信息安全需要跟多的与组织战略结合，为组织创造更多的价值，并通过提供信息安全服务使组织内部各部门享受到信息安全给组织带来的价值并认可这些价值。当前被广泛采用的一些标准和最佳实践有其优点，但同时无法满足一些新的挑战。目前缺乏一种高效可执行的信息安全架构来将企业战略转化为信息安全计划、基于客户服务理念使信息安全服务价值最大化以及全面系统化管理信息安全。本文针对上述问题提出的一种面向企业战略和服务的信息安全架构。通过将本信息安全架构应用到实际的企业中，验证了本信息安全架构能够为企业提供更多的价值、增强客户满意度、提升整体安全成熟度和员工信息安全意识水平。

参考文献

[1] International Organization for Standardization， International Electrotechnical Commission. ISO/IEC 27001：2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland： ISO copyright office， 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1，USA： IT Governance Institute， 2007.

[3] National Institute of Standards and Technology， U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures， Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework （IATF） version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0，USA： IT Governance Institute， 2012.

[8] Sharon Taylor， Majid Iqbal， Michael Nieves， 等. Information Technology Infrastructure Library ， England： Office of Government Commerce， ITIL Press Office， 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook， information security Booklet. USA： FFIEC， 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1， 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute， a Strategy Management Group company， 2008.

[12] Software Engineering Institute， Carnegie Mellon University. Capability Maturity Model Integration （CMMI） Version 1.3. USA： Carnegie Mellon University， 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者简介：

企业信息安全服务范文第2篇

关键词：云环境 中小企业 会计信息安全

随着我国信息产业的飞速发展，越来越多的企业开展了与信息技术相关的变革，中小企业作为我国企业的重要组成部分也参与到信息化改革的进程中去。目前几乎所有的中小企业都面临着移动、互联社交和云环境三种改革。基于云环境开发的国内中小企业服务使用的会计信息化软件可以为企业带来极大的便利性，从某种程度上讲能有效地促进我国中小企业的信息化变革，但中小企业财务信息化的云环境开发同时也存在诸多信息安全方面的问题，值得我们去探析和研究。

一、会计云计算

所谓云指的就是后台网络，云是一种基于网络的运算方式，采取“云”方式可以实现共同拥有软件和硬件等资源和信息的目的，同时还可以根据需要向计算机和其他设备提供这些资源。云技术实现这种功能的主要技术手段是依据网络相关服务的增加以及使用、交付模式，云技术所提供的资源一般是动态易扩展且具有虚拟化特征的资源。云计算可以看作是后台计算，是网络和互联网的一种比喻说法。

当前，会计云计算主要有三种实现方式：一是基础设施级运算。它是以数据库和信息系统这些设备为基础进行的集成操作，基础设施服务的完善依靠的是消费者，通过互联网这一途径实现。二是平台级服务。平台级服务的平台指的是软件开发平台，将这一平台作为服务的一种形式。三是软件级应用。它以互联网为平台，供应商向客户提供软件，软件使用者不需要购买软件，而是通过租用软件的形式完成所需的功能。软件级应用是我国最常见的会计云计算方式。

二、会计云计算下中小企业信息化优势

与传统的信息化模式相比，中小企业信息化进程采用云技术一般具有两方面优势。

（一）降低了在会计管理以及信息化处理方面的费用

对于一些中小企业来说，信息化程度还不是很高，这些企业采用的服务器规模不大并且运行慢，整体质量低。企业需要在服务器维护上花费很多成本。企业信息化的领域比较局限，仅仅在财务、采购、销售等领域实现，以保障企业必要的信息化管理要求。云会计出现以后，对于中小企业来说，可以大大降低会计成本，中小企业不用背负服务器和信息处理软件等大投资的成本，而是可以通过租用供应商的硬件和软件，实现企业的信息化服务。中小企业减少了在信息化处理过程中需要投入的购买硬件和软件的投资，可以降低企业经营成本。不仅如此，对于服务器的维护以及软件的升级等都不需要企业来考虑，这一部分所花费的费用也就可以减少，综合可见，中小企业使用云会计服务后其信息化处理成本将会大大降低。

（二）保证了中小企业会计信息化的拓展需求

供应商为用户提供了最专业的信息处理软件，并且会不断为这些软件进行更新以提供更多功能，使得企业可以通过供应商获得最先进的管理技术，更加全面、深入地满足了企业对于信息处理的要求，并且还大大降低了中小企业在会计信息化进程中的风险。其次，云会计的实现是以云计算发展为前提的。中小企业可以在云空间内存储企业的财务信息，即使中小企业的规模扩大，财务信息不断增加也不用担心其安全性和存储空间的占用，另外，利用云会计技术，企业的财务信息等还可以同其他企业以及政府部门共享，发挥出中小企业在整个商业链中的作用，拓展企业会计信息的利用程度。随着云技术的不断发展，会计云计算会越来越多的用于企业的会计核算，而且云技术提供的会计信息可以共享到企业的各个领域，这大大提高了会计信息的使用价值。

三、会计云计算下中小企业的信息安全问题

从现实情况来看，云技术确实使得中小企业的信息化进程得以提升，但是同时也带来了不可避免的安全问题，因为存储在云端的企业财务信息不同于保留在企业内部的信息那样不容易被挪用，相反，在云端的信息由于其开放性以及传输的快速性很容易被调用，在企业进行会计运算时需要将大量企业信息上传到服务器，虽然云会计的服务提供商有严格的信息安全管理机制，但是在巨大的利益面前，这些信息的安全性势必会减弱。

（一）会计信息的存储安全及其问题

中小企业将企业的会计信息存储在云端非常的方便快捷，在中小企业需要这些会计信息时还可以很快地从服务器中把信息调用出来。但是，只要企业的信息传输到云端，其位置便不是固定的，而是被供应商分布存储。用户并不清楚会计的具体存储位置，而云会计的服务提供商如果擅自违法利用某些特殊的权限会给中小企业带来不良的后果，如果存储安全制度不完善，存储在云端的信息就很容易被盗走，势必造成很大的安全隐患。这就使得存储在云端的会计信息急需解决数据的完整性、机密性以及安全性等重要问题。保障会计信息安全的最常用的做法是采用数据加密的方式。为了确保会计信息的安全，必须采用可靠的会计信息数据加密算法，这必须考虑到算法的先进性以及经济性。但云会计技术的使用者在信息处理和加密等技术上并不熟悉，所以不能够独自完成加密工作，需要供应商提供服务支持，但云会计服务提供商面临的客户量十分巨大，这就需要为大量的用户提供各种加密算法，这大大增加了云会计服务商提供安全管理的难度。由于云会计服务提供商管理难度的加大，会导致人员配置的增多，再加上因特网的开放性，难免会出现一些新的问题。由于云会计服务提供商出于自身利益或者其他原因，有意或者无意地泄露了一些企业的机密信息，或者一些网络黑客侵入到服务器中，通过病毒或者其他的盗取软件从服务器中盗取到竞争对手的商业机密，这些都会对企业的经营造成严重的损失，使得企业的发展受制于人。

（二）会计信息的传输

传统会计信息技术管理下，企业在传输内部会计信息时，往往不需要对传输的数据进行加密，虽然有时也做一些必要的加密，但是总体来说十分安全，但是在云会计下，信息需要传输到网络，在传输过程中，更需要注意信息的安全问题，一是需要保证传输到云端的信息的完整性，防止信息丢失，二是需要保证信息的安全性，防止被盗走。在这种情况下，云服务供应商要研究开发和使用更加复杂的加密算法，还要特别注意防止企业的会计信息泄露给没有经过授权的用户，而企业也要根据需要在传输协议中加强对会计信息工作完整性的校验。会计信息的传输必须依赖于互联网，但信息传输的载体会不断的变化，近几年来手机、ipad等都成为信息传递的载体，这使得信息流动的载体的确认手段也必须丰富多样。而在云服务提供商进行数据交换时，有时竞争对手会截取竞争企业的会计信息，然后做一些手脚，信息在网络上传输也随时会留下痕迹和信息记录，黑客等技术人员就是利用这些蛛丝马迹来获取竞争对手的信息，正是由于这些情况的出现，使得应用云会计时的安全问题值得深思并找到解决之道。

（三）会计信息的使用

会计信息可以说是企业商业机密的集中地，一般只有企业的管理者以及财务人员才能接触到企业财务信息。这是因为在会计信息的使用环节若出现了重大问题，则会对企业产生致命的影响，甚至会导致企业的破产和倒闭。因此，云环境下，会计信息的安全防护非常重要，服务商必须做到万无一失，从而解决客户对系统安全性的担心。而云会计的服务提供商还要保证企业存放的会计信息的安全性并防止信息的泄漏，这些都是使用云会计服务提供商和中小企业亟待解决的问题。企业的财务人员并不具备使用财务信息处理系统的保密常识，并且其保密意识往往也很低，而相关的操作人员在工作中会出现人员和机器的分离，还有些企业出于方便用户的目的，将账号密码设置简化、操作权限设置不当等，导致会计信息在使用过程中存在重大安全风险。

由于会计的云计算模式，很多企业的信息储存在同一个位置的情况并不罕见，企业的会计信息具有核心机密性，绝大多数的中小企业都会担心会计信息的安全，而且出于防范意识更是会担心自己的机密信息被别人知道。在云会计系统中，从上传到存储再到提取会涉及到种种安全问题。这些安全问题如果想要解决，只能依靠供应商的不断壮大，其安全技术的不断提升以及所提供的软件的不断更新。一旦企业会计信息数据的动态调整成为常态，中小企业在选择云会计时必须考虑提供商如何保证企业数据迁移、传输的完整性以及准确性。

四、云计算下中小企业会计信息安全的策略选择

中小企业信息安全政策需要根据云环境的特点制定，从云技术本身、中小企业信息化管理以及云会计服务供应商三个角度入手。

（一）云技术本身

云技术本身就具有安全防范的功能，云技术可以对访问者的身份进行认证和管理，还要加强电子密钥的管理技术，对企业存放于云中的会计信息数据进行加密，并由企业掌握算法的密钥，有效防止服务商和未授权用户访问数据。还要利用虚拟机对信息安全进行保护，由各类服务商提供服务器，对黑客、恶意软件的入侵进行不间断地检测和防御，构建中小企业的虚拟化的安全网关。

（二）中小企业信息化管理

云会计服务提供商自身的技术水平会给中小企业会计信息安全带来风险以外，本企业的非授权员工在工作过程或多或少也会出现各种错误操作，这都会导致企业的会计信息安全受到威胁。企业在内部管理和内部控制过程中，必须要加强对员工在云会计系统中权限的管理，只有部门的核心领导才有权对云系统中每个账号的权限进行开通、变更以及删除。中小企业在与供应商达成安全协议时，要注意对于企业的账号密码等信息的审阅权利，供应商应该记录下公司每个账号的动用情况，并交给公司的管理者。这样可以保证权限不被滥用，避免了本企业的非授权员工泄露或破坏企业内部的会计信息。

想要解决云会计的信息安全问题，需要从多个方面着手，首先是硬件，比如服务器硬件和存储设备，然后是软件系统的安全，信息化安全管理系统的建立应该是每个企业根据自身特点而形成的，除了企业需要建立自身的安全管理系统外，云会计服务的提供商更应着重保护用户的信息安全。中小企业作为云会计技术的使用客户，在众多的信息安全问题中，绝大部分安全风险都是用户的风险防范意识差造成，必须加强用户的安全管理意识，这对于会计信息的安全保障是十分重要的。用户的安全管理包括用户的权限管理以及用户授权审批与控制的各个流程。企业内部不同岗位都应有不同的云会计操作权限以保证信息的安全，当该用户的岗位职责权限发生变化时，必须迅速调整权限。还有，企业的各个账户和密码都应该加以保护，尤其是对于企业的员工来说，一定要有很好的保密意识，这就需要企业进行培训，不泄漏密码给任何人。企业要按照用户安全管理的要求进行检查以及审核。企业必须根据会计信息的安全性规定，通过建立信息安全管理体系，规定好每个用户的操作权限，以及安全的操作流程，通过体系和制度对安全操作加以规定和约束。企业还要完善对各用户的会计信息系统以及操作行为的操作备忘，要详细记录使用会计信息系统的人员名单、操作时间、操作范围、操作功能、涉及的信息等内容。为防止用户的错误操作，中小企业的会计信息系统必须对用户的操作行为进行不间断的审计和监控，当会计信息出现安全风险和事故时追求法律责任的有效证据。

（三）云会计服务供应商

对于云会计服务的供应商必须做好信息系统的数据备份工作，备份可以增加一份，比如既要有一个日常的备份，还要增加一个异地的备份，一式两份可以保证当一份数据出现问题时可以调用另一份数据，不至于丢失重要的数据，从而导致损失。

定期地进行数据的恢复性测试非常重要，所以云技术服务供应商还要根据情况建立完善的数据恢复性测试制度，并需要书面记录其测试结果，通过测试减少应急状态下，处理突发事故的失误，增强数据的安全性，保证用户正常业务的有效进行。

会计信息的安全绝大程度上决定于会计信息系统的安全性，而会计信息的安全性又与会计信息系统的功能以及会计信息系统的可信性密切相关。从现实情况来看，单纯由供应商提供安全防护以及企业自身提高安全意识并不能满足对安全的需求，需要国家相关安全部门的介入，通过安全部门将各大供应商在安全防护方面的优势加以融合，从而提出更具有针对性的安全防护措施，通过各大系统联合对付安全漏洞来解决一些难以攻克的安全难题。

会计信息是组成会计信息系统的主要单位，这要求中小企业必须对云服务提供的会计信息有充足的信任，否则会计信息的安全性也就无从谈起。也就是说必须先增加客户对会计信息系统的信任程度，只有客户充分的信任云会计系统，其可靠性才会更高，客户的信任程度指的就是客户在应用供应商提供的云服务时对这一系统的主观感受，往往有很多因素决定了客户的使用感受，比如客户在使用软件时，软件所表现出的专业性、可靠性、可用性等等。而安全性、实时性、可维护性以及可用性这些都属于可信性的范围。

企业选择好供应商提供的信息处理系统之后，会查看这一系统所表现出的可信属性，如果这一系统可以实现企业需要实现的工作任务，那么其可信性就高，当客户定制完需要的功能，供应商提供了相应的系统时，需要对这一系统进行可行性的评估，以保证系统的可信性达标。

综上可以看出，信息技术的发展是二十一世纪最伟大的进步，它影响到了生活的方方面面，作为时展的一大趋势，企业以及服务供应商和国家相关部门必须联合起来，为了保障整个经济社会的信息安全而共同努力，保证企业能够在安全的信息环境中持续、稳定经营发展。Z

参考文献：

1.程平，何雪峰.“云会计”在中小企业会计信息化中的应用[J].重庆理工大学学报（社会科学），2011（25）：55-60.

2.Michael Miller.云计算为财务协作[J].北京：中国计算机用户，2009，（12）：52-53.

3.李莉，廖剑伟，欧灵.云计算初探[J].成都：计算机应用研究，2010，27（12）.

作者简介：

企业信息安全服务范文第3篇

【关键词】 物联网 标码 食品质量安全 追溯 公共服务平台

一、引言

目前，食品安全问题已成为国家层面关注的焦点，关系到国家的未来。食品工业作为制造业中关系国计民生的重要行业，其产品质量安全与企业管理水平及信息化水平、行业监管水平、产业链上下游协同程度、标准规范等因素都密不可分；其中，婴幼儿配方乳粉、白酒、肉制品等细分行业的质量安全问题尤为突出。为有效提升食品质量水平、提振社会消费信心，亟需运用信息化手段，建立面向公众的食品质量安全信息追溯体系。该体系的建设是一项复杂的系统工程，需要在通信、电子、IT、软件、食品工业等各行业间展开合作，存在许多问题和困难，包括：食品企业的生产特点各不相同，信息系统标准不统一，难以实现从源头到消费者的全程追溯等。

目前，国内部分食品生产企业已建立了企业级质量安全追溯系统，但各自为政，缺乏统一的规范与公信力。因此，亟需建设部级的追溯公共服务平台，为消费者随时随地提品质量安全信息、协助生产企业品牌建设与打假、支撑政府监管。

二、追溯体系建设思路

尽管生产企业的质量安全追溯工作基础日益加强，但对产品可追溯信息查询的便捷性不足已成为凸显的难题。目前，消费者需进入不同企业各自的追溯平台（网站、移动客户端等）查询产品信息；例如有上百家生产企业开放了追溯服务，则消费者需下载多达上百种查询软件，使用十分繁琐。此外，从消费者角度看，企业自建追溯平台的公信力有所不足。因此，亟需构建具有公信力的公共服务平台。首先，许多企业已建立了追溯系统，并在产业链上下游进行了延伸，要充分运用现有的工作基础；其次，应充分体现公共服务平台的公信力，即由相关政府部门引导其建设；第三，应实现消费者便捷查询，例如通过公共扫码软件或某些专用软件的统一入口实现对不同企业、产品的统一查询。

针对上述问题，工业和信息化部提出了相应的工作规划。2013年5月，工信部了《食品质量安全追溯体系试点工作实施方案》（工信厅消费[2013]92号文件），指出要“建立食品企业质量安全信息追溯体系，为消费者安全消费、监督和政府服务、监管，提供实时、准确、一体化的食品质量安全信息可追溯公共服务，保障食品质量安全”。2013年8月，工信部又了《两化深度融合专项行动计划》，指出要“搭建食品质量安全信息可追溯公共服务平台，在婴幼儿配方乳粉、白酒、肉制品等领域开展食品质量安全信息追溯体系建设试点，面向消费者提供企业公开法定信息实时追溯服务，强化企业质量安全主体责任”。

在上述背景下，工信部组织实施了食品质量安全追溯试点工作及食品质量安全追溯公共服务平台建设。首先，要在若干重点行业的试点企业建成实用、便捷、可扩展的产品质量安全信息追溯体系及追溯公共服务平台，实现消费者采用智能手机等终端或政府网站平台等方式对企业基本法定信息的实时追溯。基本法定信息指的是企业根据《食品安全法》以及其他法律法规、标准规范所必须而且应当公开的信息。在此基础上，应实现生产企业所有应公开信息，以及产品生产、流通使用等产业链全程信息的实时实地跟踪、信息汇总与分类使用；上述信息并非向消费者全部公开，而是按需向政府部门或生产企业提供。

三、公共服务平台设计

（1）公共服务平台架构设计

依据追溯体系建设思路，图1给出了食品质量安全信息追溯公共服务平台的架构图。平台由六个部分组成，从用户到食品产业链各环节的子系统分别实现相应的功能。首先在食品产业链上的生产企业端，为保证产品追溯编码的唯一性，将基于全球通用的物联网标识标码（Handle）为企业现有追溯编码体系统一分配标识“前缀”；“前缀”可位于编码最前端或其他字段，企业可根据实际需求灵活分配。企业不改变原有编码体系，将标识前缀置入自有编码体系中，并采用该编码对产品信息及产业链上下游信息进行标识，即可实现与公共服务平台的无缝对接。此外，生产企业需在企业信息系统中梳理、整合可追溯的信息群，对尚未进入信息系统的数据、文件等进行录入。

第二，企业的可追溯信息应自动推送至公共平台，无需人工操作。因此，在产业链上的各企业端，需要部署物联网标识应用的核心前端节点“企业数据交换系统”，实现对企业内部可追溯（公开）信息数据的自动抓取，同时可在企业端实现数据缓存等。

第三，需建设对追溯请求进行解析与处理的“公共标识服务系统”，即企业和追溯查询终端、查询网站间数据流传桥梁。利用物联网标识解析技术，可为生产企业分配、注册物联网标识前缀及编码，可将用户的追溯请求分发到不同的试点企业或者产品信息数据库，从而调取相应的追溯信息。该结构安全可控，依托“国家物联网标识管理公共服务平台”实现标识的注册、解析等管理功能。

第四，需建设为用户提供web查询、存储追溯信息的行业应用公共系统。一方面，充分利用政府相关资源，例如“国家食品工业企业诚信信息公共服务平台”，在其门户网站中提供追溯查询入口，实现信息追溯。另一方面，通过建立产品公共信息数据库，提取企业法定公共数据集，可建立公共、具有高可信度的法定追溯信息库，为企业自有数据提供验证并与其互为备份。

第五，需建设“客户终端查询系统”，开发通用的客户端应用程序，在手机端方便用户查询信息，同时开发专用终端（硬件、软件等），为执法人员或商超提供查询服务。同时需建立相应的客户端管理平台，和移动运营商实现无缝对接，充分运用客户资源。

第六，需建设“安全认证系统”，贯穿整个体系。在企业层面进行认证，确保企业信息合法准确；在用户层面应防止用户的恶意攻击及对企业端数据的恶意查询。

（2）公共服务平台工作流程

图2给出了公共服务平台的工作流程。从客户终端或门户网站接受用户的追溯请求（扫码或其他方式）；请求在公共标识服务层进行解析，并转发到相应的产品信息数据库或企业端，从而调取相应数据。数据获取之后，再通过公共标识服务层转交客户端即可。数据交互采用通用的XML格式进行交换。

（3）追溯信息群设计

公共平台建设中，存在追溯信息群分类等标准规范问题。根据国家《食品安全法》和相应的法律法规，追溯体系中可制定不同类别的信息群，重点考虑消费者对信息获取和认知的方便程度及企业内部需求。一次信息群主要用于消费者通过智能终端快速掌握基本信息，包括产品动态信息：如生产日期、有效期、产品许可证、使用禁忌等。一次信息主要辅助消费者的消费决策或者消费开始阶段的基本了解。二次信息群主要用于消费者面临质量问题或需进一步了解产品信息，可通过网站或移动终端进一步获取，其中包括企业生产环节的信息，以及原辅料检验报告等，同时包括企业想公布的其他个性化信息。三次信息群则存储在企业本地，其中包括企业内部信息系统中产业链管理、企业内控等信息，满足政府监管和接受群众举报投诉的查询。上述信息应当有相应的机制保证企业上传后不会随意篡改，需要时可进行可靠调取。

四、追溯体系技术基础

上述追溯体系采用了国际接轨、自主可控的标码技术，为追溯体系提供全产业链信息的集成与共享、追溯与运用等功能。标码技术作为下一代网络关键技术，由“互联网之父”罗伯特・卡恩创建，可解决网络中编码标准不统一的瓶颈问题，得到多国高度关注。标码属于“国家物联网标识公共服务平台”支持的三大标识技术之一，可兼容不同的物联网标识，并通过对等互联机制实现随时随地的解析查询，为用户提供便捷的物联网查询服务。在物联网标识领域，电子一所牵头设立并运行全球标码运营管理机构非盈利国际组织DONA授权的标码全球主根节点，负责亚太区标码运营管理，提供注册解析、应用推广等服务。

标码技术拥有成熟性（拥有全球分布式系统，在近70国应用）、兼容性（兼容现有各种标识）、唯一性（保证标识在全球范围内唯一）、安全性（可保证标识注册、解析、管理操作安全）、可扩展性（拥有足够容量）、实用性（形态极简，易于存储、读取和处理，经济性较好）等特点，技术成熟，已成功运营二十年，具有国际接轨和自主可控两大关键优势，对于企业选择不同的二维码码制、编码规则不存在任何约束。标码的形式为两段式，前段是全球唯一的授权号码（前缀），后段是企业本地自主的编码；通过前段和后段即可保证整个码在全球的唯一性，从而实现产品在国内外的便捷查询。

五、产业链全程信息追溯模式浅析

追溯体系建设启动以来，公共服务平台的建设已基本完成，其中部分婴幼儿配方乳粉试点企业（伊利、完达山、三元、雅士利等）将于2014年上半年正式与公共平台实现对接，实现消费者通过公共平台对企业产品的追溯。

除满足消费者查询的基本需求外，追溯公共服务平台还应当为企业提供更大的价值。采用标码作为追溯公共服务平台中的标识技术，其优势在于可方便地实现产业链不同环节上信息的关联，从而以较低的代价实现产业链上下游信息的共享、集成与分类利用，进而辅助企业进行原料管理、打假、防串货、客户管理等，打造产业链全程信息追溯模式。

在未来的产业链全程信息追溯模式中，可以寻求一个“集中”和一个“分布”。“集中”是指生产企业对追溯信息要落实主体责任，即对上游原料、下游流通环节的信息都要做到可控可了解；“分布”指的是上下游的信息无需全部传输并存储到生产企业，而是在各环节本地分布式存储即可。在进行全程追溯时，为将各环节信息进行集成并提供给企业或消费者，可以依托标码技术实现；尽管信息采用了分布式存储，但只要产业链上各环节纳入了追溯体系、运用了标码技术进行信息关联，在产品经过这些环节时，其彼此间的关联关系便已基于标码技术进行了生成并传输至生产企业，当出现追溯请求时，生产企业根据关联关系调取相应信息并聚合，再统一展示即可。

举例而言，消费者在超市购买奶粉时，也许会买到假货或串货的产品；仅凭二维码，既无法实现有效防伪，也无法判断假货、串货是经由产业链上哪个环节流入的，其根本原因在于二维码易复制，且当前的追溯系统提供的信息大多源自生产企业的信息系统，是静态的、不包括流通环节信息的。而通过引入产业链全程信息追溯，辅以动态信息甄别，扫码后即可获取某罐奶粉由何厂家在何时何地生产、何时经由何环节经销及分销、何时在何卖场上架及销售等信息。如果扫描在北京家乐福买到奶粉的二维码，追溯系统中显示的信息指出该二维码对应的产品实际流向了上海沃尔玛，则造假或串货情况一目了然。

综上所述，依托标码等物联网技术，可以构建低成本、高效的追溯体系及公共服务平台；在实现基本追溯服务的基础上，通过产业链各环节的加入，可构建更加有效的全程信息追溯模式。可以预见，通过新一代信息技术的不断发展与合理运用，追溯公共服务平台将为社会和企业创造更大的价值。

参 考 文 献

企业信息安全服务范文第4篇

关键词：云计算 中小企业 财务信息化

数据时代背景下，信息化的浪潮已经席卷各行业领域，企业在享受信息化带来的便利化、高效化的同时，也受到市场竞争的冲击。中小企业资金薄弱、管理水平不高、抵抗风险能力低，财务管理信息化步伐较慢。云计算是计算机网络技术的实际应用，为中小企业推进财务管理信息化提供了途径。

一、云计算在财务管理信息化中的应用

（一）云计算与财务管理信息化

云算是以计算机为媒介，通常涉及通过互联网来提供动态、易扩展、虚拟化的资源。“云”是对互联网一种形象的说法，数据上传云端后，由云服务商储存管理，云计算就是云服务商利用网络计算机媒介，为服务需求者提供普通的或者特色的处理服务。云计算具有规模大、广泛的访问性、扩散性、自助按需提供服务等多种特点。云计算服务功能的实现包括服务平台、应用软件和计算基础设施三个方面。

随着计算机网络技术的发展，财务管理信息化诞生。上世纪50年代，企业利用计算机为工人发工资，标志着企业财务信息化的开始。大量财务管理应用软件的开发和应用提升了企业财务管理信息化水平。大型企业基本具备了自主开发财务软件的能力，在会计日常管理系统、财务管理系统和财务决策系统等都引入了计算机处理技术。中小企业不具备自主研发软件、独立操作的技术和实力，推进财务会计信息化困难多，影响中小企业管理水平提升。

（二）在中小企业财务管理信息化中应用云计算的优势

1.改变传统的操作模式。中小企业推进财务管理信息化是趋势，云计算彻底改变企业财务管理的传统模式，促使日常会计核算管理、财务管理、财务决策在网络端进行，提高处理效率。同时，云计算可以帮助企业管理者实时掌控会计数据，管理指令、审核审批，特别对跨国业务的项目，云计算可以极大提高引用效率。

2.降低中小企业费用成本压力。中小企业之所以推动财务管理信息化缓慢，最主要受到成本的限制。云计算改变服务提供模式，由企业自主研发、维护、管理转向由服务商提供，企业只需根据自身需求，一次性购买实施费用或者软件租赁费用，就可以享受云服务，无需承担开发、硬件设施建设、维护等费用。节约成本是中小企业选择云服务的最大吸引力。

3.促进中小企业管理水平提升。云计算是与传统财务管理模式截然不同的新模式，对中小企业会计工作是一次彻底的管理创新，对改变中小企业传统管理模式起到“牵一发而动全身”的作用，可以促进中小企业整体管理水平的提升。同时，云计算是网络开放的系统，便于广大客户加强对服务提供商行为的监督，促进服务提供商行为规范。

二、云计算应用财务管理信息化的模式

（一）软件即服务模式（SaaS）

软件即服务模式以软件为服务载体，向需求方提供软件附有的应用程序功能。SaaS提供商为企业提供所有的基础设施和软硬件平台，企业不需要购买软硬件及基础设施建设，就可以通过互联网使用信息系统。云计算下SaaS模式为中小企业财务管理信息化提供解决方案，利用计算机和互联网实现云端操作，降低企业信息化成本，以较小的成本使企业生命周期的价值达到最大化，根据企业需求购买，服务企业更灵活，同时培训和维护成本也降低了，提高企业运行效率和管理水平。对于中小企业而言SaaS模式较经济实用，是比较好的实现财务信息化的途径。

（二）平台即服务模式（PaaS）

平台即服务模式是指将软件研发的平台作为一种服务，以SaaS模式提交给用户来使用。所用的开发语言和工具开发的（或收购的）应用程序部署到供应商的云计算基础设施上去，用户不需要维护管理底层的基础设施，但可以控制其应用程序。它是业务定制的模式，是软件即模式的一种拓展，扩大了云计算在中小企业适用范围。平台即服务模式为企业提供基础的数据处理功能，不能满足中小企业多样化的需求。PaaS采用企业定制的模式提供服务，企业业务专家成为服务功能的设计者，增强了服务功能的灵活性，促进云计算的长远发展。

（三）基础设施即服务（IaaS）

IaaS就是将云计算硬件基础设施资源和相关资源租赁给客户，包括处理器、存储、网络等基础资源，客户可以部署运行任意软件。云计算硬件设施资源价格昂贵，中小企业无力购买，但可根据短期内特殊需求，租赁基础设施资源。IaaS模式有两种服务供给模式，按需租赁和外包，按需租赁满足中小企业对IT资源需求不均衡的特点，外包在云计算平台上输入自身应用，降低企业基础设施投入成本。

三、云计算下中小企业推进财务管理信息化存在的问题

（一）中小企业用户接受程度低

思想认识决定行动，中小企业“重业务、轻管理”的思想普遍存在，对如何发展业务保持热情，而对如何通过加强管理提高竞争力较为冷淡。试想，对企业内部管理都不够重视，对财务管理信息化就更加忽视。没有认识财务管理信息化的作用，不愿意将更多的成本投入到短期内难以见效益的财务管理信息化上，导致云计算在中小企业财务管理信息化领域的普及难度增加。同时，在社会诚信体系缺失的条件下，诚信危机加剧，企业间信任感降低，云计算打破了会计信息存储的时间和空间界限，脱离“面对面”的线上交易，改变了传统的交易模式，企业对财务数据的安全性存在担忧，内心产生抵触情绪。

（二）云计算服务产品供应能力低

我国云计算模式还处于发展的初级阶段，中小企业用户的需求还未激发，服务商供给能力也比较低下。目前，我国云计算服务商的功能相对单一，比如现行的阿里巴巴开发的钱掌柜、在线管理软件伟库等，主要为用户提供财务管理中现金管理、在线记账、营销等基本功能，服务未纵深到企业会计核算、日常管理、财务决策分析、风险防范等领域，限制了云计算的发展。

（三）云计算法律法规体系建设滞后

任何行业的健康发展都离不开法律法规的约束和规范。我国云计算行业处于发展初期，市场活力还不足，一系列的法律法规体系还未健全，还未对云计算的网络安全问题和技术标准进行规定，在一定程度上导致云计算发展混乱。作为新兴的行业，云计算的发展更需要法律法规的约束，避免因标准不统一、监管不严格，导致一系列隐患和问题，阻碍云计算行业的发展。

（四）用户财务信息的隐私性和安全性存在隐患

云计算是以互联网为媒介连接用户和服务商。互联网在推进信息化的同时，必然Ю赐络安全问题，网络安全是网络发展的永恒话题，特别是云计算可能是众多用户共享一朵“云”，信息数据可能会紊乱。财务会计信息是企业最核心的信息资源，关系到企业的核心机密，企业对信息安全高度重视，在云计算存在黑客攻击、篡改数据、数据缺失等网络安全的问题下，不愿意将财务会计信息置于危险的地位。同时，服务提供商作为云端数据的搜集管理者，需通过加密的方式确保云端数据安全可靠，而云端数据量庞大，数据的加密和密钥保管极大地增加了服务商的工作量，容易造成泄密事件。

四、云计算推进中小企业财务管理信息化的对策

（一）引导中小企业转变认识

在日益激烈的市场竞争大环境下，中小企业面临的生存和发展环境相对恶劣，苦于寻找出路。政府应加大对中小企业的引导力度，鼓励企业通过改变传统思想，引入先进理念和技术，重视企业内部管理等途径，提升自身竞争力。加强社会诚信建设，进一步加大对违法乱纪企业的惩罚力度，提高违法成本，重塑社会诚信。促进服务商和用户之间的联系，规定云计算服务商向中小企业用户提供企业账号浏览情况，让用户参与到账户企业账户管理，减少信息不对称。规范云计算服务商管理，探索建立认证标准，由国家统一对云计算服务商资质进行评定，强化云计算数据安全监管，消除中小企业用户对服务供应商的担忧。

（二）提高云计算服务商产品设计、研发能力

政府应进一步加大对云计算服务产业的扶持力度，通过金融扶持、税收优惠等政策，为云计算服务商提供良好的发展环境。云计算服务商应加强产品设计、技术研发、产品推广，推出我国中小企业更加适用的软件、平台和设施，刺激中小企业用户实际需求。注重对会计管理功能的开发，ERP是云计算发展的一个趋势，应按照ERP的理念，进一步拓展服务范围，既注重云计算软件会计日常服务功能，也注重研发具有决策分析、风险防范等财务管理功能的软件，为中小企业提供在线财务分析、管理决策、财务风险预测等方面的服务。

（三）规范行业标准，加强政府监管

加快建立完善云计算服务行业网络安全管理标准和法律法规，依据法律规定加强对云计算服务商的监管和评价，从源头上把好安全和管理问题，维护中小企业的核心利益。加强优胜劣汰选择机制，严把行业准入关和淘汰关，对诚信度低、技术实力不过关的企业实施严厉的制裁措施，建立安全可靠的财务数据“云环境”。

（四）进一步加强数据信息安全防护

随着云计算的发展和普及，网络安全问题会日益突出。服务商应加强日常安全防护，加大网络安全技术研发投入，不断创新安全防护方法，加强身份认证管理，身份认证密钥由企业指定专人负责，服务商不享有秘钥知情权，防止不相干人窃取信息，保障财务会计信息存储、传输、迁移安全。服务商应加强技术攻关，加强对恶意软件、黑客、病毒监测，建立虚拟防护网。加强数据管理，定期备份会计数据，防止发生意外情况。建立完善数据恢复检测体系，定期指派专人对云计算数据恢复性进行检测，保障数据恢复功能完好。

中小企业面临着财务管理信息化的窘状，一方面需要通过财务管理信息化促进管理水平和竞争能力的提升，另一方面又欠缺所需的资金和技术。因此，中小企业在财务信息化过程中要充分结合企业的实际需求，选择经济实用的方式。另外中小企业应加快转变观念，寻求合作途径和解决办法，推进财务管理信息化建设。Z

参考文献：

企业信息安全服务范文第5篇

按照“政府倡导、社会参与、科学规划、加强指导、有序推进、逐步完善”的要求，通过建设各级“中小企业公共信息服务网”，实现企业与企业、企业与市场、企业与中介组织、企业与政府间的全方位、一站式互动与交流。为企业畅通信息渠道，改善经营管理，提高发展质量，增强市场竞争力，推动创新发展，实现信息资源整合，拓展服务领域，建成体系完善、运转协调、权威高效的中小企业信息服务平台。

二、建设原则

（一）统筹规划，分工负责

信息服务体系建设是一项长期工作，需要统一规划目标、标准、制度，分步骤、分阶段实施落实。市、县（区）、乡镇三级明确职责，各负其责，共同做好我市企业信息服务平台建设工作。

（二）整合资源，共建共享

充分利用已有设施、人员、软件及技术资源，进行资源整合共享，避免重复建设；协调有关部门积极参与，相互配合，各展所长，共同建设中小企业信息服务网站，实现网络信息、数据库共建共享。

（三）政府支持，市场运作

积极协调各方关系，争取财政支持，加大资金投入，确保我市中小企业信息服务平台建设的顺利实施；运用市场机制，整合社会资源，逐步培育专业化的信息人才队伍和社会中介服务机构。

（四）服务企业，发展经济

服务本地经济发展，强化服务意识，提高服务质量，是信息服务平台建设的根本目标。在建立健全本单位和企业信息网络的同时，还要通过电视台、电台、报刊、门户网站等公共媒体，定期与企业需求相关的信息，使信息能有效服务于我市经济发展。

三、建设目标

到“十二五”末，依托市电子政务平台，建成覆盖全市的，以市中小企业公共服务信息网为核心，以县区信息服务网为辅助，以各类网下实体服务单位现有信息系统为支撑的上下互动的大型信息网络和服务平台，为企业提供政策、融资、信用、咨询、宣传、市场开拓、法律维权以及综合事项等八方面的服务，构建市中小企业一站式信息服务平台。

四、实施步骤

第一阶段（2012年）重点加强县市两级信息服务平台建设。基本建成市县两级中小企业信息服务机构，落实工作机构、办公设施和人员编制。建成“市中小企业公共服务信息网”及各县市区“中小企业公共服务信息分网”，实现市县两级网站的互通互联、资源共享。目前已有中小企业分网的县（区），网站要按照八项服务的要求，进一步完善网站功能，拓展应用服务事项，丰富网站信息服务内容，不断提升网站服务水平。

第二阶段（2013年）重点加强乡镇及园区的信息服务平台建设、专业化的信息服务机构建设及重点企业的信息网站建设。全市30%以上的乡镇，35个工业园区，50%以上的500万元以上企业要建立自己的信息网站；建立中小企业数据库，300万元以上企业逐步纳入数据库管理；逐步培育一批具有一定规模的中小企业专业信息服务机构。

第三阶段（2014年）逐步推广，有序推进。公共服务信息网建设，要逐步推广、覆盖到多数乡镇及500万元以上企业。力争全市60％的乡镇（办）及所有500万元以上企业建立自己的信息网站。逐步实现乡以上各级主管部门和500万元以上企业之间的信息网络联通，基本形成政府和企业互联互通的中小企业信息服务平台。

第四阶段（2015年）创新服务，完善提高。各类信息服务机构，要本着服务中小企业的宗旨，进一步创新信息服务方式，丰富信息服务内容，提高信息服务质量。市主站、各县乡分站与市内的主要电子商务网站、500万元以上企业网站建立链接。在服务对象、内容和方式上突出特色，互为补充，形成覆盖广泛、功能完善、交流迅速的全市中小企业网络平台。逐步形成以市、县、乡及企业信息平台为载体，以专业化的中介服务机构为依托的社会化信息服务体系，为企业提供政策、融资、信用、咨询、宣传、市场开拓、法律维权以及综合事项等八方面的服务。

五、主要任务

（一）建立中小企业信息咨询服务机构

由市县两级中小企业管理部门、财政局等相关部门积极配合，建立市县两级为中小企业提供信息咨询服务的常设机构，固定办公场所，配置一定人员负责管理信息咨询服务工作。中小企业管理部门规划筹建，财政局提供财力支持，相关部门提供信息来源。

（二）建立中小企业公共服务信息网站

由市县乡各级中小企业管理部门牵头，各级财政提供一定资金支持，信息办提供网站技术支持，建立“市中小企业公共服务信息总网”、各县区“中小企业公共服务分网”及各乡镇“中小企业公共服务支网”，并逐步实现三级网站相互连接，为中小企业提供政策、融资、信用、咨询等全方位服务。

（三）成立中小企业信息化联盟

积极引导IT企业、行业中介服务机构等共同成立中小企业信息化联盟，形成社会性中小企业信息服务平台支撑体系。引导现有大型IT企业、教育、科研机构和行业中介、咨询、诊断、指导机构，积极帮助中小企业发挥信息技术在企业生产、经营、决策中的作用。

（四）建立多元化投资体制

设立市县两级扶持中小企业信息化和信息服务平台建设的专项资金，重点对中小企业信息化和信息服务体系建设给予扶持；以市场为导向，推动公益性和商业有机结合。政府全额扶持的服务机构原则上实行无偿服务，其他服务机构按照企业自愿、规范行为、有偿服务、合理收费的原则，实行市场化运作。

（五）开展“送信息到企业活动”

了解企业需求，建立联系渠道，及时为企业提供所需信息。同时对企业进行培训，帮助企业掌握获取信息的渠道和方法。为中小企业提供网上查询、主页制作、网上商城等综合性信息服务。

（六）成立中小企业信息服务呼叫中心

借助互联网和现代通讯技术，打造虚拟政府服务平台，为全市中小企业提供全天候、全方位和全覆盖的优质服务。

六、保障措施

信息服务平台建设是一项艰巨而复杂的系统工程，必须采取有力措施，确保实现目标任务。

（一）加强领导，落实责任。各级中小企业主管部门要把加快信息服务平台建设作为加强自身建设、增强服务能力和促进企业发展的一件大事来抓，纳入重要议事日程，强化组织领导，落实措施责任，加强工作考核，主要领导要亲自挂帅，分管领导要具体抓好落实。

（二）统筹规划，明确目标。各级中小企业主管部门具体负责信息服务平台建设的规划、协调、指导、督促和检查工作。要从提升区域经济竞争力出发，结合不同行业特点，组织制定本地区中小企业信息服务体系建设规划或实施意见，并将中小企业信息服务平台建设工作纳入本地区信息化总体发展规划或重点建设项目。实行分类指导，抓好示范项目，以点带面，力求实效，稳步推进。

（三）增加投入，突出重点。各级财政部门要加大对中小企业服务平台建设的支持力度，加大投入，确保各级中小企业信息服务体系建设的顺利进行。各级中小企业主管部门要积极引导和鼓励社会及企业，多方面参与、多渠道筹资、多元化投入，加快中小企业信息服务平台建设。各级中小企业发展专项资金（基金）每年要安排一定规模用于中小企业信息服务平台建设。通过财政无偿投入、贴息等方式，引导和推动网络运营商、IT服务商加大研发和投入，引导和推动社会资金、民间资金和企业资金投向信息服务平台建设项目。