第一篇:烟草行业信息化建设
烟草行业信息化建设分析
21世纪是以信息技术为核心的高新技术主导的世纪。信息化已成为衡量一个国家、一个行业现代化程度的重要标志之一。烟草行业在世界经济全球化、信息网络化的时代背景下,特别是在加入WTO后,面临国内市场国际化的严峻挑战,以及行业内部兼并、重组,深化改革的形势,尤其是国家对垄断行业市场化改革的不断加快,行业的宏观调控与企业创新能力将是决定行业竞争成败的关键。烟草行业用信息化推进现代化,就是要用最先进的信息技术全面渗入烟草行业生产、流通、管理过程,改变传统的生产经营模式,加速烟草产业、产品结构的调整,完善烟草行业管理体制,满足市场和消费者的需求,提高适应市场能力,提升整体竞争实力。行业信息化发展与企业联合重组、资产一体化、集团化管理、工商信息协同密不可分,但又是动态变化的。可以说,其建设成功与否是体现行业综合实力强弱的重要标志。因此,对行业信息化建设的实施策略进行研究与探索,具有十分重要的现实意义。
烟草行业信息化基础已具规模
烟草行业信息化建设在党的十六大提出的以信息化带动工业化、以工业化促进信息化,走新型工业化道路的战略指引下,按照“统一标准、统一平台、统一数据、统一网络”,逐步实现系统集成、资源整合、信息共享的总体要求,全面启动数字烟草建设,有效地推动了行业的规范管理,有力地促进了行业的深化改革。
(一)烟草行业网络基础设施建设已具规模,实现了互联互通。
行业地面通信骨干网已建成并全网投入运行,实现了国家局与行业各直属单位及所属卷烟厂、分公司、烟机厂和进出口口岸公司等69个节点之间的互联互通,入网率达到了100%;基本完成了行业各直属单位省域网建设,各直属单位与所属单位的联网率达到了96%;行业网络与信息安全体系初步形成,网络运行管理进一步加强。启动了烟草行业安全认证体系(CA)建设和烟草行业信息安全等级划分的研究工作。
(二)信息化在行业应用范围更加广泛,建成了业务主题数据库。
随着烟草市场竞争的国际化,行业信息化重点工程建设已经关系到烟草行业的生存和发展,促进和推动了行业信息化整体水平的提高。近年来,行业信息化工作围绕应用系统建设,狠抓重点、突出亮点、破解难点,取得了实质性进展。
1.完成了以办公自动化为主要内容的行业电子政务体系建设,建成有“公文传输、公文流转、档案管理、门户网站”基本功能的办公自动化系统。自2004年9月系统运行以来,公文传输效率由原来的平均5天下降到平均2分钟,效率提高多倍,实现网上查询文档,实行网上审批,有力地促进了办公效率和服务质量的提高,促进了转变职能和政务公开。
2.完成了“行业卷烟生产经营决策管理系统”(以下简称“决策管理系统”)的重点工程,初步实现了全行业卷烟生产经营数据的实时自动生成,有效保障了行业生产经营决策和宏观调控的科学性、及时性。
该项目采用了物流数码跟踪技术,将卷烟生产计划管理与生产过程结合起来,通过“计划取码、物流跟踪、到货确认”这样一个流程,实现对行业生产经营的日跟踪、旬分析、月调控,有效地保障了卷烟生产经营基础数据采集和管理的准确性、及时性,实现数据采集自动化;形成了行业统一的数据交换与传输体系、标准体系、数据中心及应用集成平台,为行业信息化的集成与整合提供手段,也为行业现代化物流建设奠定了一定的基础。
通过“决策管理系统”这一快捷有效的信息通道,行业可以更为及时地把握市场信息,提高应对变化和抵御风险的能力,并以此为契机进一步规范内部管理,促进管理创新,提升管理水平。这不仅是提高行业宏观决策水平的必要手段,也是提高企业核心竞争力的有效途径。该系统已全面实施并于2006年3月通过验收。
3.建设了电子商务系统,实行网上交易。2003年,行业取消了现场交易模式,一律在网上进行交易。随着行业卷烟交易方式的改革,行业内卷烟、烟叶和卷烟辅料等均在网上交易,完成了省内卷烟交易统一平台的建设工作。同时,以信息技术为手段的卷烟销售网络建设水平不断提高,有力地推进了传统商业向以“电话订货、网上配货、电子结算、现代物流”为主要特征的现代流通的转变。
4.国家局开发应用的专卖证件管理系统、统计和财务报表系统、卷烟工业基础软件、卷烟销售基础软件、烟叶基础软件等以及行业各单位自行开发建设的管理信息系统(MIS)、企业资源计划(ERP)、办公自动化(OA)、业务流程再造(BPR)、制造执行系统(MES)、供应链管理(SCM)、客户关系管理(CRM)、现代集成制造系统(CIMS)等,为行业数据中心的建立积累了大量的信息资源,奠定了一定的基础。
(三)行业信息化服务工作已上新台阶,加强和规范了行业信息化建设。
行业信息化服务工作从加强管理、加强规划、加强指导入手,服务质量和水平不断提高。行业信息化组织机构和人才队伍建设更加完善,有一支近5000名信息化专业队伍;行业信息化发展的目标更加清晰,制定并发布了《数字烟草发展纲要》,进一步明确了打造数字烟草的建设目标和任务,为行业信息化建设科学有序发展提供了一个既明晰又可操作的规划。
行业信息化的制度建设逐步完善。近几年,行业先后出台了《全国烟草行业信息化工作管理办法》、《全国烟草行业信息化工作考核办法》、《烟草行业信息化建设统一技术平台要求》、《烟草行业信息化标准体系》和《烟草行业计算机网络和信息安全技术与管理规范》等重要文件,用制度规范了行业信息化管理工作。
行业信息化建设更加适应并促进了行业体制优势。整个行业的信息化建设逐步实现了从基础性向应用性、从局部性向全局性、从分散性向集中性建设与管理的转变,从而有力地保证和促进了行业“统一领导、垂直管理、专卖专营”的体制优势。
业务复杂多变困难多多
近年来,烟草行业信息化建设虽然取得了较大进展,收到了一定效益,技术水平不断提高,信息资源有了一定的积累,技术应用
初见成效。但行业信息化的实施还面临着环境复杂多变的挑战。
首先是业务的复杂多变和企业组织结构的调整。面对日益激烈的国际国内竞争,适应市场需求的变化,企业业务流程再造,企业重组和资产重组,企业组织结构、管理体系和业务模式等更加复杂多变,在此背景下,信息化项目就必须具备能满足这些变化要求的能力。
其次是IT产业格局和技术快速发展,对行业信息化建设的投资保护、IT成本控制等提出了更严峻的挑战。在行业信息化建设过程中这两个挑战集中反映为以下突出问题:一是信息不共享,现有的信息系统存在“信息孤岛”问题。无论是独立的工具软件还是集成的解决方案,大多数是孤岛型的应用,或者是业务功能模块的简单累加,相互之间是孤立封闭的,无法做到信息资源的共享;二是行业应用系统的开发、推广、应用多是以条、块为主,开发比较分散,也基本是相互独立的,形成较多的“信息烟囱”,给行业统一管理、共享数据资源造成了障碍,影响了国家局对整个行业的监控力度和管理的有效性;三是信息化建设不统
一、发展不平衡,缺乏统筹规划和统一标准,对总体技术规范、标准、技术要求贯彻执行的力度不够;四是网络互联互通不到位,信息传输通道不统一,安全体系建设不完善,网络管理能力不足。由于上述问题的存在,影响了行业信息化的进程,制约了行业信息化建设水平的提升。因此,信息资源和应用系统的整合集成、应用提高是目前行业信息化建设的重点工作。要实现系统集成、资源整合、信息共享,就要逐步解决影响行业信息化建设的障碍性因素,实施消除“信息孤岛”,整合信息资源的策略,促进行业信息化建设协调健康发展。
烟草行业信息化该怎么建设?
“信息系统发展阶段论”研究成果可以概括为:起步期、增长期、成熟期和更新期四个阶段及五要素模型,即米歇模型。
用此模型考察行业信息化,可以认为,烟草行业整体上处于增长阶段,其典型特征就是系统林立,耗资甚大,而技术标准与业务规范并不统一。随着实践的发展,行业必须充分考虑在标准规范基础上的数据集中管理和数据综合利用、深度挖掘等问题,也就是向成熟阶段过渡。这是几十年国内外信息化建设实践所证明的不可逾越的一个阶段。
借助理论工具和实践考量,确认烟草行业信息化目前处于增长阶段,对于科学规划行业信息化发展战略,推动信息化进程具有重要的现实意义。
行业信息化走向“集成和整合”,是信息化的发展规律和现实所决定的。围绕行业体制改革,进行数据集成和系统整合是行业改革与发展的内在需要,是行业信息化进一步发展的主要任务和核心内容。通过数据集成和系统整合,可以快速有效地推进行业的业务流程标准化、规范化,实现流程重组和再造,从而推动行业体制改革和信息化的进程。
(一)烟草行业信息化建设目标要求。
围绕烟草行业发展的新形势、新任务和新要求,行业信息化建设的总体要求是:进一步贯彻落实科学发展观,坚持以信息化促进行业的现代化,全力打造数字烟草,充分发挥信息化在改造传统产业、优化资源配置、提升管理水平、提高总体竞争实力等方面的作用,努力使行业信息化建设水平达到国内先进水平。认真落实《数字烟草发展纲要》,建立统一标准、统一平台、统一数据库、统一网络的行业数据中心,有效整合信息资源。围绕行业电子政务、电子商务、管理决策三大应用体系建设,积极推进行业信息化重点工程项目建设。
烟草行业按照“四统一”的要求进行信息化建设。
统一标准就是统一烟草行业信息标准体系,它是行业信息化建设的前提。统一平台就是统一烟草行业信息技术平台,它是行业信息化建设的基础。统一数据库就是统一烟草行业数据中心建设,它是行业信息化建设的核心。统一网络就是以行业地面骨干网为核心,覆盖全行业互联互通的地面网络。统一网络是行业信息化建设的保障。
烟草行业信息化建设按照上述“四统一”的要求建设行业数据中心,进行数据集成、应用集成、流程集成和面向用户的集成。建设行业信息化三大应用体系,保障行业网络互联互通和信息安全,努力实现系统集成、资源整合、资源共享的目标
(二)烟草行业信息化建设实施策略
1.建设行业数据中心,有效整合信息资源。
数据集中是信息化发展的必然选择。统一的全国性数据中心,既可以改变传统的管理模式,又可以改变生产经营的运营模式,是管理理念、管理技术、管理水平的一次提升,可有效实现对业务的集约经营、集中监控和风险防范。
要建设好行业数据中心,就要在保证不同业务系统数据相对独立的基础上,建立数据交换和共享机制,通过对数据的加工、清洗、传递和交换,使得不同业务系统及时汇集相关的共享信息,实现行业公用数据的标准化、一致化,并不断更新和加强信息安全管理。逐步建立和完善数据分类描述、分析处理和传输交换等技术标准,以指导行业各级数据中心的建设。
要建设好行业数据中心,关键是要建成基于不同类型业务主题的高水平数据应用环境,统一数据标准,做到资源上协同应用,技术上协同关联,应用上协同共享,提高信息资源有效利用率。
(1)烟草行业数据中心建设目标:建设为行业改革与发展服务的数据中心;建设有价值的数据中心;建设有力支撑生产经营管理的数据中心;建设三大应用体系构成的数据中心;建设统一标准、统一技术要求的数据中心;建设行业不同层级、互联互通、信息共享的数据中心。
(2)基本思路:数据中心建设是实现系统集成、资源整合、信息共享的必然途径,是行业信息化更高层次的要求,要统筹规划、突出重点、分级建设、逐步完善。要以行业重点工程的数据为基础构建行业数据中心,完善数据交换平台,构建工商信息协同平台,不断充实和完善数据中心的内容及标准体系,并进行主题分析,提供辅助决策支持。
(3)建设内容:包括三部分:一是行业数据交换平台,从技术上保障行业各类数据的上传下达;二是行业信息协同平台,用于工商信息衔接,支持新型工商关系的建立;三是行业信息资源服务平台,用于加强对信息的分析应用,服务行业宏观调控和科学决策,服务行业经济运行,提高行业管理水平。
(4)建设要求:行业数据中心由国家局、省级局及工业公司、基层工商企业三级数据中心构成,逐步向上集中。在国家局数据中心的统一管理下,要通过数据整合,按照一定的规则和权限,在行业内部实行各取所需、授权访问,做到行业信息共享,横向纵向互联互通。各省级局、工业公司(集团)按照集成整合的要求和统一技术标准,规划和建设数据中心;不具备数据中心建设条件的单位,也要保证国家局行业数据中心对数据的要求。
2.建设行业信息化三大应用体系,加快重点工程的实施。
行业进行电子政务、电子商务和管理决策三大应用体系建设,需要通过统一的、具体的行业信息化项目建设来实现,以构成三大应用体系。
(1)做好“决策管理系统”打码到条及订单采集系统建设。打码到条是为了卷烟产品物流信息的完整,为行业现代物流建设打下基础;是“决策管理系统”的延伸,同时一并有机整合呼叫中心功能,实施订单数据的采集,实现行业供应链环节的商业企业与零售客户的信息协同,做到真实、客观地反映市场需求,不断提高快速响应订单和适应市场能力,提高行业市场化水平。
建设原则:突出信息整合、实现系统集成,利用现有资源、降低运行成本。
建设目标:一是完善卷烟产品实物流跟踪;二是通过统一行业电话订货系统的业务规范和数据标准,逐步做到真正统一行业网建标准和模式,建立订单信息的共享渠道,实现供应链环节上的商业企业与零售客户的信息协同,做到真实反映市场需求,支持行业市场化取向的改革;三是通过与“决策管理系统”和行业电子商务系统的集成,实现烟草行业工业、商业和零售客户的数据交换与信息协同,为“按客户订单组织货源”提供有效支持,进一步实现系统的集成与整合;四是提高行业对卷烟成品经营流通的专卖监管水平。
基本思路:统一功能需求、统一数据标准、统一操作流程;以省为单位自行按上述标准,对呼叫中心软件进行改造和升级;横向打通供应链的商业企业与零售客户环节,同时使该环节的纵向信息流协同共享,与“决策管理系统”紧密衔接,使商流、物流更加耦合;在国家局建立客户订单电话监督与审计系统,为有效考核监管提供手段。
建设内容:一是打码到条。通过对出库领用的件烟扫码(三扫),件码派生条码,实现打码到条,获取准确、真实、完整的卷烟库存和销售,完善卷烟成品的物流信息;统一行业条烟打码内容,实现货单关联和件条关联,使条烟具有身份识别码,为规范内部管理、加强专卖管理提供手段。
二是呼叫标准体系建设。制订呼叫业务系统的标准体系,包括:基础数据字典、业务指标体系、数据交换标准、业务功能流程图、技术环境规范等。
三是远程呼叫监督。远程呼叫监督:通过对行业呼叫座席通话情况进行抽样,同时实时抓取座席操作界面,实现实时远程监督。异步语音与采集订单数据联查:通过对行业呼叫座席进行远程录音,并与数据采集渠道上传的需求订单数据进行关联,对录入的需求和订单数据与语音数据进行事后异步核对、检查、查询。
四是采集与传输。利用行业基础信息平台提供的数据采集及交换功能,通过增加数据指标项,采集卷烟实物库存和销售数据、电话呼叫客户档案、客户需求和执行订单的汇总数据,以及与语音关联的需求和订单明细数据,上传至省公司和国家局。
五是分析与反馈。在国家局数据中心,实现完整物流信息的跟踪分析和展现应用,以及对呼叫数据的汇总、排名对比、覆盖情况、区间对比走势等进行分析展现应用。通过“在线查询、离线应用”的方式,将汇总分析的数据反馈给省工业公司、卷烟工业企业。
(2)加强行业电子政务建设,完善办公自动化系统。烟草行业从巩固和完善现行管理体制出发,以加强监管、转变职能、政务公开、提高办公效率和服务质量为目标,依照国家电子政务建设标准和要求,全面推进烟草行业特色的电子政务建设。进一步推动行业办公自动化系统建设,推进网上审批系统的应用和系统对接。通过改进审批方式,开展网上审批,促进政务公开,增强透明度和公正性,提高管理水平、办事效率和服务质量。
(3)加强行业电子商务系统建设,实现商流、物流、资金流的统一。在专卖管理体制下,推动行业电子商务向更高水平迈进,建立高效、协调、完整的行业现代流通电子商务运行体系,是行业工商交易方式改革的需要,是行业“按客户订单组织货源”试点工作的需要。烟草行业电子商务应用体系可概括为:两级平台,一个中心。两级平台,即工商交易电子商务平台和商业与零售客户交易的电子商务平台,实现支付型电子商务与现代物流相结合;一个中心,即行业统一的工商协同中心,实现行业协同供应链管理与企业内部资源计划相结合。
行业电子商务系统包括交易子系统、准运证管理子系统和网上资金结算子系统三个部分。在总体设计上以“决策管理系统”的物流信息为基础,实现商流、物流、资金流和专卖等信息流的统一。电子商务平台要建成一个标准统
一、高效运行、提高服务价值、降低交易成本的大平台,全面支持卷烟、烟叶、物资、烟机及零备件等的网上购销活动。要在网上交易的基础上实行网上资金结算,实现工商支付型电子商务,加强对企业资金收支情况的实时监测,逐步开展资金监管系统建设工作。
行业电子商务系统建设目标:在供应链管理环节上打通工业与商业企业之间的信息流;完成卷烟、烟叶等成品交易的业务协同和信息协同;为卷烟产销间的相关商务流动提供切实的业务支持服务,并为“按客户订单组织货源”提供技术手段。
基本思路和内容:交易、准运证管理、网上资金结算三个子系统为一个项目,要统一规划、分部实施。交易子系统:完成工商企业之间产销交易的商流,为工商企业的产销交易活动提供平台。准运证管理子系统:统一省内省际准运证,完成准运证的申领、发放,并与“决策管理系统”对接,在物流环节实施协同。
网上资金结算子系统:完成交易活动中的资金流,通过银行实现货款收支与资金结算,并为行业资金监管提供服务。
3.严格执行《烟草行业信息化标准体系》,加强行业信息化标准制定和贯标工作。
标准化工作是一切工作规范化的基础,统一标准是烟草行业信息化建设的基础工作,是实现信息共享的基本前提。离开了标准化,计算机系统就无法体现其技术优势。因此,行业在信息化建设中必须高度重视并实施信息化管理相关的各种数据、指标和流程的标准化工作,要统一信息化建设标准,统一信息资源标准,统一数据传输标准。要按照行业的统一要求,逐步规范行业各方面信息化建设的基本业务流程、信息资源标准和数据交互机制,形成标准化体系框架。建设标准化体系要采取渐进方式,一是要先建立标准化框架,行业已发布《烟草行业信息化标准体系》;二是对急需的、重要的标准要优先制定。行业将制定烟叶类代码、烟草行业工商统计数据元、烟草行业统一会计科目及编码等标准规范;三是通过行业重点信息化工程项目的推广运行,完成相关标准化工作。做好代码标准化、接口标准化、业务流程规范化、数据结构规范化等一些标准、规范性工作,最终实现横向纵向信息的互连互通,达到信息共享。
要切实加强贯标力度。要以新的行业信息分类编码管理系统的建设为契机,提高代码类和数据元类标准的信息化水平,逐步建立更加快捷的代码申报、审核、发布、下载和维护机制,通过技术手段支持统一标准目标的实现。
4.贯彻落实两个《技术与管理规范》,做好行业内联网的运行维护和信息安全保障工作。
随着行业信息化建设的全面推进,传统的管理机制在改革与创新中逐渐消亡,人们在处理信息和日常办公中越来越依赖计算机和网络,机密与财富越来越集中在计算机系统和网络中。因此,行业各应用系统和计算机网络的安全可靠运行,面临着十分严峻的挑战,网络与信息安全已成为行业信息化建设非常重要的问题。烟草行业必须从行业内联网和信息安全的高度,切实加大网络建设的管理力度,建立严格有效的制度,落实好《烟草行业计算机网络建设技术与管理规范》和《烟草行业计算机网络和信息安全技术与管理规范》。运用先进的安全技术,切实组织管理好信息网络安全工作,建设行业网络与信息安全体系,逐步开展行业网络安全审计和行业计算机病毒防护系统建立工作,提高信息系统的安全性,保证系统稳定、可靠运行。要加强安全管理建设,切实做好信息系统的软件安全设计,强化数据安全策略,采用成熟的信息系统安全技术和控制方法,逐步实现网络管理的可视、可控、可管,所有网上运行的应用系统与设备应实现统
一、智能化的实时监控,实现应用系统与设备故障的预警和自动报警,实现网络资源的合理分配。凡由国家局统一组织开发的在全行业运行的信息系统,要统一使用行业CA安全认证体系,实现全行业的互通、互认和互信。要建立行业信息安全管理标准和技术标准,构筑行业信息化安全机制,降低和消除各种信息安全隐患,确保信息传输与反馈畅通、及时和安全,为行业信息化建设保驾护航。
烟草行业信息化发展已经进入到一个新的历史阶段。用信息化改变传统生产经营模式,通过实施行业整个供应链一体化管理,实现以市场为导向、优化资源配置、提高效率、降低成本、提升效益的目标,运用信息化开展产品创新、技术创新、管理创新和制度创新,提升行业宏观调控能力和生产经营管理水平,提高应对国际竞争环境的能力,实现物流、资金流、信息流的集中控制,为行业宏观调控和科学决策提供有力的支撑。在烟草行业信息化建设中要牢固树立和认真落实科学的发展观,体现时代性、把握规律性、赋予创造性,全面推进数字烟草建设。
第二篇:烟草行业信息化建设解决方案模板
烟草行业信息化建设解决方案
中国移动通信集团江苏有限公司
盐城分公司
2007年9月
第一部分 烟草现状及需求分析
1、烟草行业语音市场现状
盐城市烟草分公司现有正式人员326人,从收集到的通讯录分析,移动成员为290人,联通用户为46人,小灵通及双机用户为48人,移动占比为79%。其中市公司为单独的语音集团,其余县公司各成一体,未形成统一的语音集团。
零售户语音状况:目前烟草客户经理能收集的烟草专卖户的资料共10811户,其中移动占比58%,联通约占19%,小灵通用户占比为23%。
2、烟草行业信息化建设背景
“订单供货”是烟草行业继工商分离后的又一次重大的改革。在
烟草行业,卷烟交易很大程度上是自上而下的交易方式,订单不是真正来自市场,卷烟产销与市场存在脱节现象.当前烟草订烟主要以电话访销方式为主,但存在较多问题:1)、
运营成本较高;2)、与零售商之间的信息存在严重的不对称;3)、不能为零售商提供畅通的沟通平台,客户满意度较差。
目前解决烟草订烟的移动信息化产品主要有:烟草信息机(基
于移动GPRS网络)和 OTA卡,均存在较大的缺点:一是烟草信息机终端昂贵,每台700-1000元,部分烟草零售商无法承担,同时后期维护成本较高,有一定推广难度;二是OTA卡基于手机短信技术,由于烟草种类繁多,订烟过程中短信互动频繁,使用不便。
借助移动网络优势和用户规模优势,通过手机上网(WAP方式)+烟草信息机模式实现网上烟草订购、查询、退订等等功能。无线订烟系统将作为烟草公司与零售商沟通的基础平台,通过此平台,烟草公司可以实现对烟草零售户的销售管理、库存管理、需求收集,以及完成烟草内部一些报表原始数据的收集。
第二部分行业解决方案
一 定烟系统解决方案
1、方案简介:盐城烟草订烟系统的主要功能是实现通过手机+信
息机提交烟草定单,同时在烟草公司与零售商之间架起一个便捷沟通平台,提高工作效率。
本系统由WAP订烟程序、管理程序和后台服务程序三部分组成。
WAP订烟程序包括用户登陆、定单查询、卷烟订购和密码修改四个
部分。实现手机订烟的全过程。
管理程序包括系统配置、短信发送、用户管理和访销管理四个部
分。实现系统参数、短信、管理员、访销列表的管理。
后台服务程序,以windows服务的方式实现短信发送、订货提醒
和数据库维护功能。
二 功能介绍
(1)手机订烟:烟草零售户通过手机登陆到盐城烟草无线订烟网
站,进行订购自己需要的卷烟,也可通过网站直接向烟草公司反馈自己对烟草服务的意见和举报烟草销售中的问题,同时可以浏览网站相关信息。
(2)信息收集。借助无线订烟平台,收集各类信息,包括零售户
的库存、销售情况,服务满意度调查。
(3)需求分析,通过对收集一线数据分析,掌握市场动态,科学
分配货源。
第三部分行业拓展计划
盐城市烟草分公司行业拓展主要有以下四个部份:
第一部份:以呼叫中心优化为突破,实现烟草话务中心、客户经理、烟草零售户之间通话优惠。
第二部份:定烟系统解决方案。
第三部份:语音集团进一步扩大至全市范围内的聘用人员。
第四部份:对物流中心的所有配送车辆进行GPS定位。
针对以上情况,行业拟推出以下解决方案
呼叫中心:为解决现在的所有烟草零售户必须守在电话机旁等定货电话
的局面,使用户实时、实地、更加快捷的得到定货信息,同
时也为降低烟草访销过程中的运营成本,具体方案为:在烟草
公司的“东软”营销平台上植入移动公司提供的移动总机的
号码,取代当前的电信固定电话号码,成立移动烟草话务中
心,将中心、客户经理、零售户的所有移动号码加入烟草集
团网,实现相互通话优惠,以此来带动烟草零售户中的联通、
小灵通用户的转网。
目前烟草每月上缴电信电话费4万元左右,我们可以将呼叫中
心费用减半或者直接免掉。从而带动语音市场的移动普及率。
定烟系统:实现盐城烟草与烟草专卖户进行信息交互,收集烟草专卖户的
销售需求,同时提供其他的服务信息。目前具备订货、订单
查询、退货、货源与计划、意见反馈和帮助6大功能 。
语音集团:为使市县公司联系更加通畅便捷,节约通讯成本,移动公司
拟为烟草公司组建市级语音集团,将现有的正式编制及聘用
人员中的移动成员直接加入市公司语音集团,同时针对联通
和小灵通用户提供相应的转网优惠。
车辆定位:省烟草公司于下半年开始招标“优化配送路线”软件,针对
此情况下一步即是所有物流配送车辆的运送轨迹的实时监控
和定位。江苏移动现有的公共定位平台具有地图地理信息全
面、定位精度准确的优点。烟草企业使用该平台业务实施对
物流车辆的监控,将节约高额的系统建设费用与平台维护费
用,起到低投入、高回报的效果。信息化的应用,将物流配送环节由原有的无从监控管理到现有的实时控制调度,通过无线定位手段进行科学的管理,实现最优化的组合。大大降低物流成本。
第三篇:烟草行业信息安全保障体系建设指南
国家烟草专卖局 二〇〇八年四月
前
言
烟草行业信息安全保障体系是行业信息化健康发展的基础和保障,是行业各级数据中心的重要组成部分。为推进行业信息安全保障体系建设,提高信息安全管理水平和保障能力,国家烟草专卖局制订了《烟草行业信息安全保障体系建设指南》(以下简称《指南》)。行业各单位要结合本单位实际情况认真落实《指南》的各项要求,构建“组织机制、规章制度、技术架构”三位一体的信息安全保障体系,做到信息安全工作与信息化建设同步规划、同步建设、协调发展。
《指南》按照《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求,依照《信息系统安全保障评估框架》(GB/T 20274—2006)等有关国家标准,运用目前信息安全领域广泛应用的思想和方法,明确了烟草行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理、技术和运维三大体系的建设工作提出了指导性意见和要求。由于水平所限,对《指南》中的不足之处,望各单位在应用过程中提出宝贵意见。
《指南》由国家烟草专卖局烟草经济信息中心和中国信息安全产品测评认证中心共同组织编写。《指南》编写组组长:高锦;副组长:陈彤;主要成员:张雪峰,王海清,耿刚勇,张利,孙成昊,黄云海,耿欣,刘辉等。
目
录
1 2 范围 .......................................................................................................3 引用和参考文献 ...................................................................................3 2.1 2.2 2.3 3 国家信息安全标准、指南 .........................................................3 国际信息安全标准 .....................................................................4 行业规范 .....................................................................................5
术语定义和缩略语 ...............................................................................5 3.1 3.2 3.3 3.4 3.5 3.6 安全策略 .....................................................................................5 安全管理体系 .............................................................................5 安全技术体系 .............................................................................5 安全运维体系 .............................................................................6 信息系统 .....................................................................................6 缩略语 .........................................................................................6
4 信息安全保障体系建设总体要求 .......................................................7 4.1 4.2 4.3 信息安全保障体系建设框架 .....................................................7 信息安全保障体系建设原则 .....................................................9 信息安全保障体系建设基本过程 .......................................... 10
5 6 信息安全保障体系建设规划 ............................................................. 11 安全策略 ............................................................................................ 12 6.1 6.2 总体方针 .................................................................................. 13 分项策略 .................................................................................. 14
7 管理体系 ............................................................................................ 15 7.1 7.2 7.3 7.4 8 组织机构 .................................................................................. 15 规章制度 .................................................................................. 18 人员安全 .................................................................................. 18 安全教育和培训 ...................................................................... 22
技术体系 ............................................................................................ 24 8.1 8.2 8.3 8.4 8.5 8.6 8.7 访问控制 .................................................................................. 25 信息系统完整性保护 .............................................................. 30 系统与通信保护 ...................................................................... 33 物理环境保护 .......................................................................... 36 检测与响应 .............................................................................. 39 安全审计 .................................................................................. 41 备份与恢复 .............................................................................. 42
9 运维体系 ............................................................................................ 45 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 流程和规范 .............................................................................. 46 安全分级 .................................................................................. 46 风险评估 .................................................................................. 47 阶段性工作计划 ...................................................................... 49 采购与实施过程管理 .............................................................. 50 日常维护管理 .......................................................................... 53 应急计划和事件响应 .............................................................. 56 绩效评估与改进 ...................................................................... 59
1 范围
本《指南》明确了行业信息安全保障体系建设的总体原则和建设内容,对行业信息安全策略的制订,以及信息安全管理体系、信息安全技术体系和信息安全运维体系的建设工作提出了指导意见和要求。
《指南》中涉及的信息安全,是指由信息系统产生的信息的保密性、完整性和可用性不遭受破坏。
本《指南》仅适用于行业中不涉及国家秘密的信息系统,涉及国家秘密的信息系统的安全保护工作应按照国家及国家局保密部门的相关规定进行。
2 引用和参考文献
本文在编制过程中,依据和参考了国内外信息安全方面的相关标准、法规、指南以及烟草行业的相关标准规范,主要包括:
2.1 国家信息安全标准、指南
GB/T 20274—2006 信息系统安全保障评估框架
GB/T 19715.1—2005 信息技术—信息技术安全管理指南第1部分:信息技术安全概念和模型
GB/T 19715.2—2005 信息技术—信息技术安全管理指南第2部分:管理和规划信息技术安全
GB/T 19716—2005 信息技术—信息安全管理实用规则 GB/T 18336—2001 信息技术—安全技术—信息技术安全性评估准则
GB 17859—1999 计算机信息系统安全保护等级划分准则 电子政务信息安全等级保护实施指南(试行()国信办[2005]25号) GB/T 20984—2007信息安全技术 信息安全风险评估规范 GB/T 20988—2007信息系统灾难恢复规范 GB/Z 20986—2007信息安全事件分类分级指南
2.2 国际信息安全标准
ISO/IEC 27001:2005信息安全技术 信息系统安全管理要求 ISO/IEC 13335—1: 2004 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型
ISO/IEC TR 15443—1: 2005 信息技术安全保障框架 第一部分 概述和框架
ISO/IEC TR 15443—2: 2005信息技术安全保障框架 第二部分 保障方法
ISO/IEC WD 15443—3 信息技术安全保障框架 第三部分 保障方法分析
ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估 2.3 行业规范
烟草行业计算机网络和信息安全技术与管理规范(国烟法[2003]17号) 烟草行业计算机网络建设技术与管理规范(国烟办综[2006]312号) 3 术语定义和缩略语
下列术语和定义适用于本《指南》。
3.1 安全策略
安全策略是为保障一个单位信息安全而规定的若干安全规划、过程、规范和指导性文件等。
3.2 安全管理体系
安全管理体系简称“管理体系”,是为保障信息安全以“安全策略”为核心而采取的一系列管理措施的总和,内容主要包括建立健全组织机构和管理制度、实施人员管理和安全教育等。
3.3 安全技术体系
安全技术体系简称“技术体系”,是为保障 “安全策略”的贯彻落实而采取的一系列技术措施的总和,内容主要包括访问控制、信息完整性保护、系统与通信保护、物理与环境保护、检测与响应、安全审计、备份与恢复等。
3.4 安全运维体系
安全运维体系简称“运维体系”,是为保障管理措施和技术措施有效执行“安全策略”而采取的一系列活动的总和,内容主要包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强维护管理、安全事件响应、绩效评估与改进等。
3.5 信息系统
信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.6 缩略语
PDCA 规划 实施 检查 调整(Plan Do Check Action) P2DR2 策略 防护 检测 响应 恢复(Policy Protection Detection Response Recovery)
MAC
介质存取控制(Media Access Control) IP
网际协议(Internet Protocol)
EAP
扩展鉴权协议(Extensible Authentication Protocol) CNCERT国家计算机网络应急技术处理协调中心(National Computer Network Emergency Response Technical Team) IDS
入侵侦测系统(Intrusion Detection System) IPS
入侵防护系统(Intrusion Prevention System) DoS
拒绝服务(Denial Of Service ) AV
病毒防护(Anti—Virus) PKI
公钥基础设施(Public Key Infrastructure) PMI
特权管理基础设施(Permission Management Infrastructure)
CA
数字证书认证机构(Certificate Authority)
注:凡在本文中使用但未定义的术语按相关国家标准或规范解释,无相关国家标准或规范的,按学术界惯例解释。本文中除非特殊说明,所指行业均为烟草行业。
4 信息安全保障体系建设总体要求
4.1 信息安全保障体系建设框架
根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(以下简称27号文件)的精神,按照《信息系统安全保障评估框架》(GB/T 20274—2006)、《信息安全管理实用规则》(GB/T 19716—2005)等有关标准要求,本《指南》提出了以策略为核心,管理体系、技术体系和运维体系共同支撑的行业信息安全保障体系框架(如图1—1)。
图1—1行业信息安全保障体系框架
在安全策略方面,应依据国家信息安全战略的方针政策、法律法规、制度,按照行业标准规范要求,结合自身的安全环境,制订完善的信息安全策略体系文件。信息安全策略体系文件应覆盖信息安全工作的各个方面,对管理、技术、运维体系中的各种安全控制措施和机制的部署提出目标和原则。
在管理体系方面,应按照27号文件的有关要求,将“安全策略”提出的目标和原则形成具体的、可操作的信息安全管理制度,组建信息安全组织机构,加强对人员安全的管理,提高全行业的信息安全意识和人员的安全防护能力,形成一支过硬的信息安全人才队伍。
在技术体系方面,应按照P2DR2模型,通过全面提升信息安全防护、检测、响应和恢复能力,保证信息系统保密性、完整性和可用性等安全目标的实现。 在运维体系方面,应制订和完善各种流程规范,制订阶段性工作计划,开展信息安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行。
4.2 信息安全保障体系建设原则
行业信息安全保障体系建设应遵循以下原则:
1) 同步建设原则:信息安全保障体系建设应与信息化建设同步规划,同步建设,协调发展,要将信息安全保障体系建设融入到信息化建设的规划、建设、运行和维护的全过程中。
2) 综合防范原则:信息安全保障体系建设要根据信息系统的安全级别,采用适当的管理和技术措施,降低安全风险,综合提高保障能力。
3) 动态调整原则:信息安全保障体系建设要根据信息资产的变化、技术的进步、管理的发展,结合信息安全风险评估,动态调整、持续改进信息安全保障体系,贯彻“以安全保发展,在发展中求安全”的精神,保障和促进行业业务的发展。
4) 符合性原则:信息安全保障体系建设要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合有关国家技术标准,以及行业的技术标准和规范。 4.3 信息安全保障体系建设基本过程
信息安全保障体系建设是管理与技术紧密结合,集“组织机构、规章制度、技术架构”三位一体的系统工程,也是与信息化同步发展,不断提高和完善的动态过程。行业信息安全保障体系的建设与发展遵循《ISO/IEC 27001:2005 信息技术—安全技术—信息安全管理系统要求》提出的PDCA(Plan—Do—Check—Action)循环模式(如下图)。
“P”是规划过程,根据信息化建设的需求和信息安全风险现状,结合信息系统等级保护的要求,提出信息安全保障体系建设的总体目标、实施步骤和资源分配方式;“D”是实施过程,依据规划制订信息安全策略,给信息安全保障体系建设提供明确的目标和原则并通过安全管理体系、安全技术体系和安全运维体系的建立实施,贯彻和落实安全策略。“C”是检查过程,通过检查和评估及时发现信息安全保障体系存在的弱点和不足。“A”是纠正调整过程,它是一个阶段任务的结束,也是新的阶段工作的开始,该过程针对信息安全保障体系运行过程中发现的新风险,以及信息化发展中出现的新需求,采取纠正和调整措施并根据信息化的发展提出新一轮建设规划,从而使信息安全保障体系循环提高、持续发展。
应根据国家局的总体要求和自身实际情况,从PDCA循环的某一环节入手,作为本单位信息安全保障体系建设的切入点,按照本《指南》提出的建设内容,持续不断地提高和完善信息安全保障体系。
5 信息安全保障体系建设规划
信息安全保障体系建设规划(简称安全规划)是描述信息安全保障体系建设的总体目标、实施步骤、时间计划以及资金、人员等资源的分配方式的文件。安全规划的表现形式可以是信息化建设总体规划文件的一个部分,也可以是单独的信息安全规划文件,或是结合具体技术细节而形成的信息安全保障体系建设方案。安全规划的内容应覆盖安全策略建设、安全管理体系建设、安全技术体系建设和安全运维体系建设等方面。
安全保障体系规划的制订工作,可以邀请具有相关专业知识和经验的外部专家或安全服务机构协助完成。
要求:
1) 安全规划要符合本单位信息化发展战略的总体要求,应与信息化建设的实际需求和信息安全风险的实际状况相结合,遵循国家的法律法规、技术标准和行业的有关规定并且具有明确的指导性和可实施性。 2) 应制订本系统所有单位共同执行的统一的安全规划。制订安全规划应做好三个方面工作,一要对本单位信息安全的基本现状进行科学、全面的调研分析,准确了解本单位各信息系统的功能作用、系统架构以及在安全方面存在的隐患和弱点;二要根据安全建设需求,对所需的资金、人员和政策进行分析;三要依据分析结果以及安全保障体系建设总体原则,区分主次,突出重点,制订总体目标、实施步骤和资源分配方式。
3) 安全规划要有时效性,制订完成后,应确保相关人员全面了解规划的内容和要求并及时实施。在安全规划执行过程中,应及时开展阶段性或整体的绩效评估工作。
6 安全策略
安全策略是一个单位对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。安全策略是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据。
安全策略体系文件应由总体方针和分项策略两个层次组成并具备以下七个特性:
指导性:安全策略体系文件应对单位整体信息安全工作提供全局性的指导。
原则性:安全策略体系文件不涉及具体技术细节,不需要规定具体的实现方式,只需要指出要完成的目标。
可行性:安全策略体系文件应适应本单位的现实情况和可预见的变化,在当前和未来的一段时间内切实可行。
动态性:安全策略体系文件应有明确的时效性,不能长期一成不变。随着信息安全形势的动态变化和信息技术的不断发展,需要对策略体系文件进行不断的调整和修正。
可审核性:安全策略体系文件应可作为审核和评价本单位内部对信息安全策略遵守和执行情况的依据。
非技术性:安全策略体系文件不是具体的技术解决方案,应以非技术性的语言详细说明。
文档化:安全策略体系文件应用清晰和完整的文档进行描述。
6.1 总体方针
总体方针是指导本单位所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。总体方针的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。
要求:
1) 总体方针应紧紧围绕行业的发展战略,符合本单位实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。
2) 总体方针中须明确阐述本单位所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。 3) 总体方针应经过本单位信息安全决策机构批准并使之具备指导和规范信息安全工作的效力。
4) 总体方针中应规定其自身的时效性,当信息系统运行环境发生重大变化时,应及时对总体安全策略进行必要的调整,调整后的策略必须经过信息安全决策机构批准。
6.2 分项策略
分项策略是在总体方针的指导下,对信息安全某一方面工作的目标和原则进行阐述的文件。
要求:
1) 分项策略要依据总体方针制订,明确信息安全各方面工作的目标和原则。
2) 分项策略应包括但不限于以下内容:物理安全策略、网络安全策略、系统安全策略、应用安全策略、数据安全策略、病毒防护策略、安全教育策略、信息系统备份与恢复策略、业务连续性策略、账号口令策略、安全审计策略、系统开发策略、人员安全策略等。
3) 分项策略中必须明确负责执行该策略的责任单位(部门)、该策略的适用范围、该策略所针对的信息安全工作的目标和原则。
4) 分项策略中应规定其自身的时效性,当信息系统运行环境发生变化时,应及时对分项策略进行必要的调整。 7 管理体系
安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。
7.1 组织机构
建立信息安全组织机构的目的是通过合理的组织结构设臵、人员配备和工作职责划分,对信息安全工作实行全方位管理,充分发挥各部门和各类人员在信息安全工作中的作用,共同遵守和执行安全规章制度,以保障信息安全策略的贯彻落实。
信息安全组织机构应由决策机构、管理机构和执行机构三个层面组成。
7.1.1 决策机构
信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构,按照国家和国家局的方针、政策和要求,对本单位信息安全进行统一领导和管理。
要求:
1) 应成立由本单位主要领导负责、各有关部门参加的信息安全工作领导小组作为信息安全决策机构。 2) 信息安全决策机构应承担如下主要工作职责:审议和批准信息安全保障体系建设规划、信息安全策略、规章制度和信息安全工程建设方案等,为本单位信息安全保障体系建设提供各类必要的资源,对信息安全的宏观问题进行决策,审定信息安全重大突发事件应急预案。
7.1.2 管理机构
信息安全管理机构处于安全组织机构的第二个层次,在决策机构的领导下,负责组织制订信息安全保障体系建设规划,以及信息安全的管理、监督、检查、考核等工作。日常的信息安全管理工作主要由信息化工作部门负责。
要求:
1) 应成立由信息化工作部门牵头,保密、行政、人事和业务等相关部门共同参与组成的信息安全管理机构并明确该机构的成员。应在信息化工作部门设立专门组织或指定专职人员,负责管理信息安全日常事务。
2) 信息安全管理机构应承担的职责主要包括:信息安全保障体系建设规划、安全策略、规章制度的制订并组织贯彻落实;规章制度执行情况的监督与检查;信息安全建设项目的组织实施;人员安全,安全教育与培训的实施;协调信息安全日常工作中的各项事宜等。
3) 应在安全规章制度中明确安全管理机构中各部门和各类人员的工作职责与责任。 7.1.3 执行机构
信息安全执行机构处于信息安全组织机构的第三个层次,在管理层的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理。
要求:
1) 执行机构应由信息化工作部门具体负责信息系统管理和信息安全管理工作的技术人员及相关部门的专职(或兼职)信息安全员组成。应至少设臵系统管理员、网络管理员、信息安全管理员等岗位,并确定各个岗位的岗位职责、访问权限。关键操作应配备多人共同负责,关键岗位应定期轮岗。
2) 信息安全管理员的主要职责是管理维护本单位信息安全设备,监测本单位信息安全状态,进行安全审计,在发生安全事件后及时组织有关技术人员进行事件响应。原则上信息安全管理员不应由系统管理员、网络管理员、数据库管理员等兼任。
3) 应明确重要信息资产的安全负责人,有关责任人应清楚地了解自己担负的安全责任。
4) 信息系统的使用部门要设立专职(或兼职)的信息安全员,参与相应信息系统的安全管理,指导本部门各项安全措施的落实。
5) 计算机和信息系统使用人员都有义务参与信息安全工作,贯彻执行各项安全规章制度。 7.2 规章制度
信息安全规章制度是所有与信息安全有关的人员必须共同遵守的行为准则。信息安全规章制度的作用在于通过规范所有与信息安全有关人员的行为来保证实现安全策略中规定的目标和原则。
要求:
1) 信息安全规章制度内容应包括但不限于以下几方面:信息安全组织机构和岗位职责、人员管理制度、信息安全工作考核制度、信息系统采购开发与设计实施管理制度、机房安全管理制度、核心资产安全管理制度、密码管理制度、数据备份管理制度、业务连续性管理制度、计算机终端管理制度、应用系统日常操作安全管理制度、网络设备日常操作安全管理制度、安全设备日常操作管理制度等。
2) 信息安全管理制度必须符合安全策略和本单位的实际情况,其内容和要求应当清晰明确并且可执行、可审查。
3) 应通过下发文件、会议宣传和培训等多种方式确保所有相关人员知悉规章制度的内容和要求。
4) 应根据本单位实际情况的变化,及时对信息安全管理制度的可行性和实施效果进行评估并根据评估结果对其进行调整和完善。
7.3 人员安全
人员安全是指通过管理控制手段,确保单位内部人员(特别是信息系统的管理维护人员)和第三方人员在安全意识、能力和素质等方面都满足工作岗位的安全要求,减少对信息安全有意或无意的人为威胁。
人员安全主要包括工作岗位风险分级、人员审核、工作协议、人员离职、人员调动及第三方人员安全等几个方面。人员安全管理工作需要由信息安全管理机构和本单位有关行政管理部门共同完成。 7.3.1 工作岗位风险分级
工作岗位风险分级是依据本单位各工作岗位的职责范围和性质,划分岗位的信息安全风险级别,根据风险级别分配相应的信息访问权限。
要求:
1) 应在人员管理制度中,根据不同岗位的性质和工作职责,规定其信息安全风险级别并针对不同的岗位风险级别赋予信息访问权限。
2) 人员管理制度中有关工作岗位风险分级的规定,应在日常工作中得到落实,所有工作人员应当明确自己所在岗位的信息访问权限。
7.3.2 人员审核
人员审核是核查人员管理或使用信息系统,接触重要信息是否合适,是否值得信任的一项工作。人员审核应采用技术技能测试、法律法规及相关管理规定了解情况的测试、人员背景审查等多种方式来进行。 要求:
1) 应结合本单位自身的业务需求、相关的法律法规、被访问信息的分类及面临风险等因素,在人员管理制度中规定人员审核的方法和流程,规定在不同的情况下何人负责审核,何时进行审核,依据什么标准,通过什么方式进行审核。
2) 应根据人员管理制度的有关规定,对内部工作人员进行定期考核,考核中发现问题时,应根据具体情况进行教育培训。
3) 应根据人员管理制度的有关规定,在合作者、第三方人员进入本单位工作前进行人员审查,未通过的人员不能获得信息的访问权限。
7.3.3 工作协议
对信息系统的维护人员和重要信息访问权限的管理人员(特别是数据库管理员、网络管理员、系统管理员等可查询及更改业务信息与系统配臵的人员),应签订有关信息安全的工作协议,明确其应尽的安全保密义务,保证在岗工作期间和离岗后一定时期内,均不得违反工作协议,对违反工作协议的行为应制订惩处制约条款。
要求:
1) 应在人员管理制度中规定工作协议的内容(如保密协议条款、操作流程和规范等)、管理和落实工作协议的部门、以及签署工作协议的流程。
2) 重要信息系统的管理、维护和使用人员在上岗前,应严格按照信息安全规章制度中的有关规定签署工作协议。 7.3.4 人员调动
通过严格的管理手段,保证人员内部调动,不会对信息安全造成危害。
要求:
1) 工作人员岗位调动时,必须移交原工作岗位的工作资料和软硬件设备。
2) 工作人员岗位调动时,信息安全管理机构必须及时对其信息系统访问授权进行调整。
3) 工作人员岗位调动时,信息安全管理机构应告知其信息安全责任的变化和新的注意事项。 7.3.5 人员离职
通过严格的管理手段,保证工作人员离职后,不会对信息安全造成危害。
要求:
1) 对离职人员应立即终止其所有与原工作职责有关的信息访问权限。
2) 对离职人员应立即收回出入机房和其他重要办公场所的证件、钥匙、胸卡,以及单位提供的软硬件设备等。
3) 拥有重要信息访问权限的人员,在离职时应在有关部门办理严格的离职手续并明确离职后的保密义务。 7.3.6 第三方人员安全
第三方人员的管理是人员安全管理的重要内容。第三方人员是指来自外单位的专业服务机构,为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。第三方人员工作岗位和职责具有其特殊性,可以比较深入地了解本单位的信息系统情况和大量重要信息,因此由第三方人员导致泄密和系统遭受破坏的风险较大。
要求:
1) 应制订第三方人员安全管理规定,明确第三方人员在管理、使用和维护信息系统,安装部署信息化产品和提供信息化技术服务等活动中应遵守的安全要求并明确定义其安全角色和责任。
2) 第三方人员进入本单位开始工作前,应与其所在单位签订保密协议。
3) 信息安全管理机构应根据第三方人员安全管理规定,采取必要的管理和技术手段,对第三方人员是否遵从安全要求进行检查监督。
7.4 安全教育和培训
安全教育和培训是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。 7.4.1 安全教育
安全教育是针对信息系统的所有合法用户进行的,目的是使其了解信息安全的基本常识、信息安全的重要性以及个人对信息安全应负的责任,确保其在工作中自觉地遵守相关安全制度,维护信息系统安全。
要求:
1) 应根据信息系统的特定安全要求,制订具有针对性的安全教育内容,确保所有人员在被授权访问信息系统之前已进行了基本的信息安全教育。
2) 通过安全教育活动,相关人员应具备基本的信息安全意识,了解信息安全常识、熟悉信息系统使用规范、安全职责和惩戒措施等。 7.4.2 安全培训
安全培训是指对本单位承担信息系统管理、使用和运行维护人员进行的专业培训。
安全培训应根据不同的岗位职责和安全责任,制订有针对性的培训计划、培训教材并保证所有相关人员在从事本职工作之前就接受了必要的信息安全管理和技术培训。
要求: 1) 应在工作人员被授予访问权限之前,依据其安全角色和职责,进行具有针对性的安全培训。
2) 应科学的制订培训计划,认真组织培训,及时验证培训效果并形成相关的培训记录。
3) 应为重要信息系统的信息安全工作人员参加专业的信息安全培训和职业资格认证提供条件,使其系统地、全面地提高信息安全知识和技能水平。
8 技术体系
信息安全技术体系的作用是通过使用安全产品和技术,支撑和实现安全策略,达到信息系统的保密、完整、可用等安全目标。按照P2DR2模型,行业信息安全技术体系涉及信息安全防护、检测、响应和恢复四个方面的内容:
1) 防护:通过访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护等安全控制措施,使信息系统具备比较完善的抵抗攻击破坏的能力。
2) 检测:通过采取入侵检测、漏洞扫描、安全审计等技术手段,对信息系统运行状态和操作行为进行监控和记录,对信息系统的脆弱性以及面临的威胁进行评估,及时发现安全隐患和入侵行为并发出告警。
3) 响应:通过事件监控和处理工具等技术措施,提高应急处理和事件响应能力,保证在安全事件发生后能够及时进行分析、定位、跟踪、排除和取证。
4) 恢复:通过建立信息系统备份和恢复机制,保证在安全事件发生后及时有效地进行信息系统设施和重要数据的恢复。
8.1 访问控制
访问控制是对信息系统中发起访问的主体和被访问的数据、应用、人员等客体之间的访问活动进行控制,防止未经授权使用信息资源的安全机制。
访问控制包括对各类信息系统的用户进行有效的标识鉴别和权限管理,以及根据信息系统的安全需求对网络基础设施、操作系统、应用系统、远程访问、无线接入、用户终端的访问活动进行有效限制。标识鉴别和权限管理是访问控制的核心与基础。
敏感信息、特殊功能的访问,必须有完整的日志记录。日志记录的访问与分析用户应与产生此日志的操作用户分离。 8.1.1 标识鉴别
访问控制的过程中对访问者和被访问者身份的声明称为标识,对身份的确认称为鉴别。标识与鉴别可以确定访问主体和访问客体的身份,是进行访问控制的前提。信息系统中的访问主体和访问客体都可能是一个用户,或者一个设备,所以标识鉴别的对象应该既包括系统用户,又包括系统中的软硬件设备。
要求: 1) 信息系统中的用户应具有唯一的标识并且通过唯一的方法进行鉴别,应通过适当选择静态口令、一次性口令、数字证书、生物特征或多种方式相结合的方法来实现。
2) 当使用口令机制进行鉴别时,应采用组成复杂、不易猜测的口令并制订口令最大生命周期限制,禁止口令被多次重用。
3) 应保证口令文件安全及口令存放介质的物理安全,口令应加密存储,当口令需要网络传输时,必须进行加密。
4) 信息系统对用户的鉴别应具有时效性,当用户在规定的时间段内没有做任何操作和访问时,应重新进行鉴别。
5) 应使用已知的共享信息(如MAC地址、IP地址)或采取特定协议(如IEEE802.1X,EAP,Radius)对网络设备进行标识和鉴别。 8.1.2 权限管理
权限管理是指限制和控制访问权限的分配和使用。在进行权限管理时应当遵守最小特权原则。
要求:
1) 应采用适当的技术措施(如操作系统和应用系统的用户权限管理工具、PMI系统等)为系统中的用户和设备分配相应的访问权限。
2) 对用户的授权应以满足其工作需要的最小权限为原则,不应分配与用户职责无关的权限。 8.1.3 网络访问控制
网络访问控制是防止对网络服务的未授权访问。网络访问控制首先要对各类网络进行清晰的边界划分,进而在网络边界部署技术措施并通过合理的配臵使其有效发挥作用。
要求:
1) 应清晰划分外网与内网的边界并对内网中不同类型的网络(如骨干网、省域网、局域网、以及局域网内部的不同区域)进行严格划分。
2) 在网络边界处设臵网络访问控制技术措施,保证用户只能按照其得到的授权使用网络服务。 8.1.4 操作系统访问控制
操作系统访问控制是防止对操作系统的未授权访问并在出现违规登录操作系统时发出警报。
要求:
1) 应使用具有安全登录功能的操作系统。
2) 重要操作系统口令应为8位以上,且由字母、数字和特殊符号共同组成。
3) 当访问者连续非法登录操作系统3次以上时,应自动锁定该账户或延长该账户下一次登录的时间。
4) 应设臵操作系统的最长访问时间,当用户对系统访问超时,须强制用户重新登录。 5) 当某一账户处于空闲状态一段时间后,操作系统能够自动锁定该账户,要求重新登录。 8.1.5 应用系统访问控制
应用系统访问控制是防止对应用系统功能和信息进行未授权访问。
要求:
1) 应用系统和数据库系统开发过程中,应设臵必要的访问控制机制,保证用户对信息和应用系统功能的访问遵守已确定的访问控制策略。
2) 应用系统的访问控制机制应覆盖其所有用户,所有功能和信息,以及所有的操作行为。
3) 应根据应用系统的重要性设臵访问控制的粒度,一般应用系统应达到访问主体为用户组级,访问客体为功能模块级,重要信息系统应达到访问主体为用户级,访问客体为文件、数据表级。
4) 应严格限制默认用户的访问权限。 8.1.6 远程访问控制
远程访问控制是指对来自外网(如广域网)对本单位内网(如局域网)的访问进行控制,防止远程用户的未授权访问,以及在远程访问过程中的信息泄露。
要求: 1) 应明确远程访问的授权范围和访问方式并使用必要的控制措施管理远程访问。
2) 应使用加密传输来保护远程访问会话的机密性。 3) 应对远程访问用户进行身份识别。 8.1.7 无线接入访问控制
无线接入访问控制是对使用无线通信技术接入内网的用户进行访问控制,防止通过无线技术进行的未授权访问。
要求:
1) 使用必要的无线接入访问控制技术,保证用户在通过无线接入内网前必须经过严格的身份鉴别。
2) 应使用必要的加密技术保护通过无线通信系统传输信息的完整性和保密性。 8.1.8 用户终端访问控制
用户终端访问控制是防止由于终端计算机使用人员的误操作、越权访问、安装和使用与工作无关的个人软件,影响信息系统的正常工作,造成信息安全风险。
要求:
1) 应采用适当的技术手段,对用户终端的违规操作(如安装和使用间谍黑客软件,未经授权使用拨号上网等)进行监测和有效控制。
2) 应通过适当的技术手段,防止未经授权的用户终端接入本单位网络系统尤其要防止外单位人员的用户终端在未经批准的情况下接入本单位网络系统。
3) 接入行业网络的用户终端应进行必要的安全检测,满足接入条件。
4) 因工作岗位变动不再需要使用用户终端时,应对其进行妥善处理并及时删除用户终端内敏感数据。
8.2 信息系统完整性保护
信息系统的完整性是指信息系统没有遭受篡改或破坏。为保持信息系统的完整性,在信息系统的采购和开发过程中,应当充分考虑相应的保护机制,如错误处理、输出信息校验,尽量消除信息系统存在的自身缺陷;在信息系统的运行阶段,应当使用适当的技术手段修补系统中存在的漏洞并采用技术措施防范恶意代码造成的破坏等。 8.2.1 错误处理
错误处理是指应用系统辨别和处理运行中由于操作不当和运行环境等因素造成的错误,以提高应用系统的容错能力。
要求:
1) 在应用系统的开发过程中,应充分考虑系统可能出现的操作错误,为操作界面提供撤销操作的功能;当某一功能发生错误故障时,尽量保障其他功能依然可用。
2) 应用系统应具备错误检测能力,在发生错误和故障时发出报错信息;报错信息应只显示给拥有授权的用户,防止报错信息为攻击者提供敏感信息和有关系统脆弱性的信息。 8.2.2 输出信息处理
应用系统应以正确的方式对输出的信息进行处理和保存,确保输出信息的完整性。
要求:
1) 应用系统应具备对系统输出信息进行校验的功能,保证输出信息的准确性。
2) 应用系统应能够为信息的阅读者或输出信息的接收系统提供用以确定输出信息完整性的信息。
3) 应用系统应能够对输出信息的去向进行记录。 8.2.3 恶意代码防范
恶意代码防范是通过部署恶意代码防护措施,降低由于恶意代码的传播造成的系统崩溃、数据丢失等安全风险。
要求:
1) 应在网络边界和网络中的服务器、用户终端等设备中部署恶意代码防范工具。
2) 必须在本单位的网络系统中部署病毒集中防御系统,对系统中的防病毒软件进行统一管理,防止恶意代码通过网络大范围传播。
3) 在重要应用系统的开发中,应当对应用程序代码进行安全性审查,识别应用系统中可能存在的后门、系统炸弹、隐蔽通道等恶意代码。
8.2.4 漏洞修补
漏洞修补是指分析信息系统中存在的安全漏洞,对受到这些漏洞影响的系统进行安全加固,防止攻击者利用漏洞对信息系统进行攻击。
要求:
1) 应及时跟踪国家有关部门(如公安部国家网络与信息安全通报中心、信产部CNCERT)、操作系统开发商和数据库系统开发商最新发布的漏洞公告,为信息系统获取相关的补丁软件。
2) 在对系统漏洞进行修补前,应对补丁文件的有效性和安全性进行测试。
3) 应采取有效的管理和技术措施,及时发现漏洞并及时修补。 8.2.5 数据的完整性
数据的完整性是指数据在输入、存储、处理和传输的过程中,没有发生错误、篡改和遗漏。
要求:
1) 应利用访问控制设备和信息系统本身的安全防护机制,防止篡改信息系统中的业务数据和配臵信息。
2) 对自开发的应用系统应采用奇偶校验,循环冗余检验,哈希函数等技术机制或专门的技术产品来保证数据的完整性。
3) 应使用密码技术保证数据在网络中传输的完整性。 8.2.6 垃圾邮件防范
应采取适当的技术措施防止利用垃圾邮件对系统进行恶意攻击。 要求:
1) 应为本单位的邮件系统部署有效的反垃圾邮件工具。 2) 要避免本单位邮件系统成为垃圾邮件的源头。
8.3 系统与通信保护
系统与通信保护是指通过一系列技术措施,保证信息系统的各个组成部分和信息系统中的通信活动按照安全策略正常工作。包括以下内容:安全域划分、拒绝服务保护、边界保护、传输加密、公钥基础设施和抗抵赖服务等。 8.3.1 安全域划分
在信息系统中,遵守相同的信息安全策略的集合(包括人员,软硬件设备)称为安全域。它的目的是对信息系统中的不同安全等级区域分别进行保护。
要求:
1) 应根据网络结构、应用系统用途以及信息的安全等级等因素,对信息系统进行安全域的划分。
2) 应将不同用途的系统划分在不同安全域,应将信息系统用户功能区域与信息系统管理功能区域划分在不同安全域,应将应用服务(如门户网站、应用系统操作界面)与数据存储服务(如中间件服务器、数据库服务器)划分在不同安全域。
3) 应采用合理的技术措施对跨越安全域边界的访问进行有效控制。
8.3.2 拒绝服务防范
拒绝服务(DoS)是指系统被破坏或出现暂时不可用的故障,而导致服务的中断。应通过部署网络边界防护设备和系统安全加固来降低拒绝服务攻击的风险。
要求:
1) 应在网络边界设备上制订访问控制规则,以保护本单位内网和局域网设备不受拒绝服务攻击的直接影响。
2) 对于互联网应用,应适当采用扩充系统容量、增加带宽、备份冗余等方式增强抵御拒绝服务攻击的能力。
3) 应及时进行系统安全加固,对存在的安全漏洞进行修补,避免利用系统漏洞的拒绝服务攻击。 8.3.3 网络边界保护
网络边界保护是在网络边界部署安全控制措施对网络通信进行监测和严格控制,以防止来自外部的攻击,保护信息系统关键信息的通信安全。 要求:
1) 应监视和控制本单位网络对外出口和内部网络边界的通信情况。
2) 应采用防火墙、代理服务器,路由器安全配臵等方式对网络边界进行保护。
3) 在具有公众服务的边界出口处,应采用入侵防护系统(IPS)、病毒网关防护系统(AV)、流量整形系统等防护措施来加强保障。 8.3.4 传输加密
传输加密的目的是防止搭线窃听、诱骗等安全威胁,保护信息传输过程中的机密性。
要求:
1) 在传输涉及行业秘密或敏感信息时,应使用国家有关部门认可的或符合行业有关要求的加密设备进行加密传输。 8.3.5 公钥基础设施
公钥基础设施用于为信息系统用户提供第三方的身份标识和鉴别服务。
要求:
1) 应按照国家局的要求,建设、使用和规范管理PKI/CA认证体系,对重要信息系统必须使用PKI/CA认证体系进行用户身份的标识和鉴别。 8.3.6 抗抵赖服务
抗抵赖服务是指监控个人对信息系统执行特定的操作并对其进行准确记录。抗抵赖服务的目的是防止用户不承认执行过某个操作而推卸责任。
要求:
1) 重要的应用系统应具有抗抵赖功能,能确定某人是否执行了某个特定的操作(如创建信息、发送信息、接收到信息等),并产生和储存相关的证据。
2) 应利用公钥基础设施为重要的网络设备和服务器建立有效抗抵赖措施。
8.4 物理环境保护
物理环境保护是指将信息系统硬件设备放臵在安全区域内并通过物理屏障、监控设施和保持良好的物理环境进行保护,避免对信息系统硬件物理上的破坏和干扰。 8.4.1 物理访问控制
物理访问控制是指通过物理屏障、监控设备、物理标识和人员监督等措施,保证只有经过授权的人员可以对信息系统的硬件设备进行访问。
要求:
1) 各类人员只有在持有访问许可时才可以接近信息系统核心硬件,对于不再需要进行访问的人员应及时收回访问许可。
2) 应当在信息系统核心硬件设施的物理访问进出点,对进出人员的访问许可进行核实,同时记录访问时间和事由。
3) 应通过定期检查和分析物理访问记录,及时发现违规或可疑的物理访问并及时采取补救或防范措施。 8.4.2 传输介质保护
传输介质保护是指防止传输信息的线缆遭到物理损坏,以致通信中断、通信效果下降或泄密。
要求:
1) 应在网络布线工程过程中严格遵守有关标准规范,保证布线的质量和工艺水平。
2) 应采取有效措施控制对本单位局域网信息传输线路的物理接触,以防止搭线窃听、传输过程中的数据篡改和干扰、以及对线缆的物理破坏。
3) 应尽量避免在网络中使用共享式网络设备,如HUB。 8.4.3 存储介质保护
存储介质是信息静态的载体,包括硬盘、光盘、U盘等多种形式。介质保护是指对介质进行适当的标识和访问控制,以合理的方式进行介质的保存,传送和废弃。
要求: 1) 应在重要的存储介质上粘贴纸质标签,标签上要印有介质的编号、名称、类别、负责保管和使用的人员和部门,该介质使用范围的限制和操作中的注意事项等。
2) 应对重要存储介质进行妥善保管,保证只有经过授权的人可以访问存储有重要信息的介质并防止由于人为破坏,以及高温、潮湿等自然因素影响介质的可用性。
3) 对不再需要保留的重要信息或存储介质废弃时,应将其从存储介质中彻底清除。 8.4.4 显示介质访问控制
信息的显示介质,如计算机屏幕、传真机、扫描仪、打印机等,有可能成为泄密渠道。显示介质访问控制是指防止未经授权的人,通过接近或使用信息显示介质,破坏信息的安全性。应设臵有效的访问控制措施,限制非授权人员偷窥或直接使用显示介质获取行业的重要信息。
要求:
1) 应有效防止非授权人员接近正在或可以显示重要信息的显示介质,防止未经授权的人员浏览显示内容。
2) 在显示介质无人值守时应该通过适当的标识鉴别机制防止未经授权的人员使用显示介质。 8.4.5 机房环境安全
计算机机房的环境安全必须符合国家有关规范和国家局有关规定的要求,为信息系统的正常稳定运行,提供良好的物理环境。
要求:
1) 省级以上单位或重要单位的机房应达到国家A级以上标准,其他单位机房应达到国家B级以上标准。
8.5 检测与响应
检测与响应是指对信息安全事件进行预警、识别和分析并对已经发生的安全事件做出及时有效响应。 8.5.1 入侵检测
入侵检测是对信息系统的运行状况进行监视,以发现各种攻击企图、攻击行为或者攻击结果。
要求:
1) 应使用入侵检测工具对信息系统中的安全事件进行实时监控。
2) 应定期查看入侵检测工具生成的报警日志,及时发现信息系统中出现的攻击行为。 8.5.2 漏洞扫描
漏洞扫描是使用专用工具,及时检测、发现信息系统中关键设备存在的漏洞,为安全加固提供准备。
要求:
1) 已配备漏洞扫描工具的单位,信息安全管理员应能熟练使用漏洞扫描工具,及时更新漏洞扫描工具的软件版本和漏洞库,及时发现信息系统中存在的漏洞并且保证漏洞扫描工具的使用不会对信息安全造成负面影响。
2) 未配备漏洞扫描工具的单位,可采取委托第三方专业机构的方式,定期进行漏洞扫描。
3) 应针对漏洞扫描的结果,对重要信息系统及时进行安全加固。
8.5.3 安全事件告警和响应
信息安全事件告警和响应,是指在发生安全事件时发出告警信息并做出及时响应。
要求:
1) 应在网络中部署安全监控和审计设备并能通过适当的方式,及时向信息安全管理员发出安全事件的告警。
2) 应在保证业务连续性不受影响的前提下,选用带有自动响应机制的安全技术或设备,如IDS与防火墙联动、IPS、有过滤功能的内容审计系统,自动终止信息系统中发生的安全事件并保存有关记录。 8.6 安全审计
安全审计是对信息系统中的操作行为和操作结果进行收集和准确记录并可以重现用户的操作行为的过程,为安全管理提供用于安全事件分析的数据与事后的行为取证。 8.6.1 网络行为安全审计
网络行为主要指使用者接入网络、使用网络资源的记录,也包括运维人员对网络的维护操作行为。
要求:
1) 应根据信息系统资产的重要性和风险情况,合理确定审计对象与审计内容并采用实用有效的审计工具。
2) 用户上网记录应包括:登录网络时间、离开时间、登录地点、使用网络资源;若是维护人员还应包括维护系统的操作命令记录。
3) 安全事件记录应包括:安全事件发生的时间、导致安全事件产生的使用者、事件的类型及事件造成的结果。
4) 应妥善保护信息系统中重要审计记录,防止丢失、损坏、伪造与篡改,保证审计信息的完整性。
5) 当审计目标范围较大、审计结果庞大复杂时,应采用专门的信息安全审计工具,对审计记录进行集中存储、分析和管理,提高审计工作的效率。 8.6.2 业务合规性审计
业务合规性审计指对有关行业涉密信息以及业务流程审批的操作规定,在业务系统中要可以记录业务流程操作过程与涉密信息使用记录并提供事后审计的功能。
要求:
1) 应根据行业相关的管理要求,合理确定审计对象与审计内容并采用有效的审计工具,必要时可以对业务开发单位提出审计开发要求。
2) 涉密信息使用记录包括:信息标识、使用人员、使用时间、操作内容等。
3) 业务合规性检查包括:业务是否符合有关审批规定、是否符合财务规定、是否符合行业的其他规定等。
4) 应对审计记录进行妥善的保护,防止丢失、损坏、伪造与篡改,保证审计信息的完整性。
5) 当审计目标范围较大、审计结果庞大复杂时,应采用专门的信息安全审计工具,对审计记录进行集中存储、分析和管理,提高审计工作的效率。
8.7 备份与恢复
备份与恢复是指将信息和信息系统以某种方式进行复制,在其遭受破坏或故障时,重新加以利用的一个过程。备份与恢复系统的建设,要根据信息和信息系统重要程度制订明确的备份恢复策略,采用必要的技术产品和备份恢复机制,实现备份恢复策略。 8.7.1 信息系统备份
信息系统备份是指对信息和信息系统软硬件进行备份,以便在信息或信息系统遭到破坏时重新恢复使用。
要求:
1) 应根据信息系统的重要性,合理选择适当的备份机制,对不同类型的信息和信息系统软硬件进行合理的备份。
2) 备份的对象不仅应包括业务信息和软硬件设备,还应包括用于恢复系统的配臵信息。
3) 应采用有效的技术手段保证备份系统的可靠性和备份信息的完整性并且对备份系统的有效性进行定期测试。 8.7.2 备用存储站点
备用存储站点是指为重要信息建立的备用存储系统,以便在重要信息遭到破坏后对其进行恢复。
要求:
1) 应根据本单位特点和实际需求,为重要信息建设备用存储站点。
2) 备用存储站点应与主站点保持一致的安全防护等级。 3) 备用存储站点应与主站点保持足够的距离,以避免受到同一灾难的影响。 8.7.3 备用处理站点
备用处理站点是指为重要信息系统建立备用的处理系统,以保证重要信息系统在发生安全事件后可以保持处理能力的连续性。
要求:
1) 应根据本单位特点和实际需求,建立备用处理站点,当重要的信息处理能力失效后,可以及时使用备用处理站点保证数据处理的连续性。
2) 备用处理站点应与主站点保持一致的安全防护等级。 3) 应对备用处理站点进行有效配臵,使之可以随时进入到正式运行状态。
4) 应定期对备用处理站点进行测试,检查备用处理站点的有效性。
8.7.4 备份通信线路
备份通信线路是指为重要信息系统建立的备用网络传输线路,在主线路不能正常工作时可以保持数据传输的能力。
要求:
1) 应为重要网络通信线路建立备份线路。 2) 备份线路与主线路应保持一致的安全防护等级。 3) 应定期测试备份通信线路,保证备份通信线路的有效性。 4) 互为备份的线路应避免同一性质故障的影响。 8.7.5 信息系统恢复和重建
信息系统恢复和重建是指信息系统的应用软件和系统软件被重新安装,最近备份的业务信息和配臵信息仍然有效,在灾难发生后系统能够恢复正常运行。
要求:
1) 应参照国家公布的《信息系统灾难恢复指南》,采取技术措施并建立相应的流程,保证重要的业务系统在遭到破坏后可以迅速地恢复或重建。
2) 应定期组织重要信息系统恢复与重建的演练。
9 运维体系
信息安全运维体系的作用是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行安全策略规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足本单位信息化建设的需要时,应当制订新的安全保障体系建设规划,进而通过新一轮信息安全保障体系建设,使安全保障体系的保障能力得到全面提升。
行业信息安全运维体系建设工作的内容应当包括制订流程和规范、制订阶段性工作计划、开展风险评估、实施安全分级、规范产品与服务采购、加强日常维护管理、提高紧急事件响应能力、进行绩效评估与改进等。 9.1 流程和规范
流程和规范是指规定信息安全运行维护工作的具体内容,规范信息安全运行维护工作方式和次序的一系列文件。流程和规范的作用是将信息安全维护工作规范化和标准化,保障信息安全策略和规章制度有效落实并便于审查。
要求:
1) 制订全面、合理、可行的流程和规范,其内容必须覆盖风险评估、产品与服务采购、系统维护、应急计划和事件响应等运行维护的各个方面。
2) 流程和规范应明确描述信息安全运行维护各项工作的工作程序、操作次序、记录表单和文档模版。
3) 应通过下发文件、会议宣贯、组织学习、专业培训等多种方式确保所有相关人员熟悉、理解和遵守相关的流程和规范。
4) 应定期审查流程和规范的执行情况,考核信息安全运维人员完成安全运维工作的规范程度。
5) 当流程和规范与总体安全策略和信息安全管理制度发生冲突,或者与实际情况产生矛盾的时候,应及时对其进行调整和完善。
9.2 安全分级
安全分级是指对信息及信息系统,按照本单位的安全策略以及相关法规和标准的要求进行分级,以对不同类别的信息和信息系统提供不同等级的安全保护。应按照国家有关标准、规范,遵照国家局关于行业信息系统安全等级保护工作的有关要求,确定本单位信息系统和信息子系统的安全级别。分级应考虑如下要素:
1) 信息系统的资产价值。 2) 信息系统的业务信息类别。 3) 信息系统的服务范围。 4) 信息系统对业务的影响。 要求:
1) 应根据本单位实际情况对信息系统进行准确定级。
2) 应根据信息系统的定级情况,落实相应安全保障措施,达到相应的安全保障目标。
9.3 风险评估
风险评估是指对信息系统面临的安全威胁,存在的脆弱性,以及它们综合作用带来负面影响的严重性和可能性进行系统化的分析和评价。风险评估的作用是了解信息和信息系统面临的安全风险,为实施安全控制措施,降低安全风险提供依据。 9.3.1 风险评估实施
风险评估的实施是指选择适当的评估方法,由信息安全评估专业人员和信息系统用户共同参与,对信息安全风险进行评价的过程。风险评估的实施应以《信息安全技术 信息安全风险评估规范》、《信息安全技术 信息系统安全保障评估框架》和国家的有关文件要求为依据。行业的风险评估可采取自评估(自身发起)和检查评估(上级主管部门或国家有关职能部门发起)两种方式。风险评估工作应委托具有相应资质的风险评估服务机构,有条件的单位也可依靠自己的技术力量进行。
应定期进行全面的风险评估并在下列情况下,及时对信息系统实施不同范围的风险评估:
1) 信息安全保障体系建设前期进行全面的风险评估。 2) 在技术平台进行大规模更新时,进行全面的风险评估。 3) 重要信息系统升级时,针对信息系统可能受到影响的部分进行风险评估。
4) 对目前的重要信息系统增加新应用时,针对信息系统可能受到影响的部分进行风险评估。
5) 在与其他单位(部门)进行网络互联时,针对重要信息系统可能受到影响的部分进行风险评估。
6) 在发生信息安全事件之后,或怀疑可能会发生安全事件时,针对信息系统可能受到影响的部分进行风险评估。
要求:
1) 应根据实际情况制订风险评估工作计划并通过风险评估的实施,确定信息系统的资产价值,识别信息系统面临的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性并分析可能造成的损失、评价系统的风险状况。
2) 对重要信息系统应定期进行风险评估,以评估系统的安全风
第四篇:国家烟草专卖局办公室关于举办2010烟草行业财务信息化培训班的通知 (2010-7-7)
国家烟草专卖局办公室培训通知书
国烟办培„2010‟47号
国家烟草专卖局办公室关于举办2010
烟草行业财务信息化培训班的通知
行业各直属单位,国家局、总公司机关各专业性公司:
为了进一步提高行业财务人员的信息化应用水平,定于7—10月份在郑州举办4期财务信息化培训班。现将有关事宜通知如下:
一、参加人员
各省级局(公司)、工业公司统一选派所属企业的财务信息化工作人员参加学习,每期各单位1至3人。
二、培训内容
集团管控与财务信息化;用友NC5.0会计核算软件提升应用;久其报表分析等。
三、时间、地点及联系人
第1期7月12日至7月16日(7月12日报到)。
第2期8月9日至8月13日(8月9日报到)。 第3期9月13日至9月17日(9月13日报到)。 第4期10月11日至10月15日(10月11日报到)。 培训地点:中国烟草总公司职工进修学院(地址:河南省郑州市北林路7号)。
国家局财务司联系人艾栋 ,电话:010—63606170。 中国烟草总公司职工进修学院联系人郭艳,电话:0371—65857555,E_mail: pxbm @163.com。
四、 其他事项
1.各单位财务部门要合理安排时间,统一组织人员参加培训。
2.学员食宿及培训费用自理,每人每天300元。
3.需要接站的学员,请至少提前一天告知联系人所乘车次或航班及到达时间,并请出站后及时到达接站点。火车站接站点:北出站口检票口正前方。飞机场接站点:接机大厅内“机场售票处VIP会员中心”(5号出口向西20米)。
二○一○年七月七日
另请注意:在合肥举办的新财会知识培训班第二期将于7月11日恢复,本期将继续讲解《烟草行业工业企业成本费用核算办法》,但从第三期起将不再安排此部分内容。请各单位合理安排时间和人员参加。
第五篇:烟草行业文化建设历程概况
30年来,行业文化从无到有,经历了从感知到试用、从试用到完善,从完善到创新的不断提升过程,走过了因文化而文化,文化与活动结合、与品牌广告结合、与管理、企业战略的相融的道路。
烟草行业文化建设历程概况
滴水能折射太阳的光辉,行业的进步与发展,从文化足以得到淋漓尽致的反映,从1978年到现在,灵动的足音,真实而亲切。今天文化已作为国家的软实力写入党的报告进行倡导,作为企业核心竞争力的重要元素进行提升,并逐步呈现出春色满园的喜人景象。30多年的文化之旅,正合拍于30多年改革的步伐,烛照行业思想解放的进程,映射中国烟草经济跃迁。回顾历程,莫不有这样的感慨:成功之花,人们只惊睦她现时的明艳,然而在她当初的牙儿,浸透了牺牲的血汗,洒遍了奋斗的泪雨!
30年来,行业文化从无到有,经历了从感知到试用、从试用到完善,从完善到创新的不断提升过程,走过了因文化而文化,文化与活动结合、与品牌广告结合、与管理、企业战略的相融的道路。
蹒跚学步,从感知到试用。当改革开放打开尘封已久的国门,伴随先进的技术、设备、管理的引进,企业文化如清新的风从远方徐徐吹来,60-70年代实践之果结于日本企业,70-80年代初理论之花开于美国的新型科学慢慢亮像于人们的视野,刷新人们的思维,思想超前的企业家们在欣喜之余开始起步,在进行理论探索、认知的同时,带着几分懵懂、几分激情、甚至是形而上学,勇敢的迈出了实践的步伐。在此之前,企业文化多在靠企业家的创业精神、大庆的王铁人精神、雷锋精神维系。当时,常德卷烟厂是启动文化较早的烟草企业之一,听当事人回忆:“都感到企业文化很重要,大家满腔热血,把当时仅有的国外翻译来的文化理论书看了一遍又一遍,但还是像狗咬刺猬一样,不知道如何下手,不知是谁,想到了要征集厂歌。”于是,以政工部门的名义向全厂发起了征集。一时间全厂闻风而动,会写会唱的积极填词谱曲,广泛征求员工的意见和建议,军旅出身的转业干部乐树生创作的歌词为基础,请来省内的词曲名家润色后,形成当时为数不多的工厂厂歌,传唱下来让员工们洋溢着骄傲与自豪。在歌词的中提炼出了“爱国爱厂爱岗位,争先争优争贡献”的企业精神。随后作为文化的传播的工具,常德烟厂报创刊,其时是1984年5月1日,当工厂几个人在简陋的办公室自编自画,报纸散发出淡淡墨香时,才知道这就是行业最早的报刊。当时上海、杭州、济南等厂也有了行动。很显然,这一时期是文化导入的最初阶段,工厂不仅文化人才奇缺,而且文化载体也凤毛麟角,不仅理念打上当时政治化的深深烙印,而且活动也停留在文体层面,多以精神文明为主,文化建设自发但零星,其效果也可想而知,迷茫与希望交织。
迈开正步,从试用到完善。80年代末-90年代初,文化专业机构相继涌现,处于文化建设迷茫时期的企业,依稀看到希望的星光,将青睐的目光投射到专业公司,寻求他们的指导来构建理想中的文化,常烟与当时的湖南大学下属的一家文化设计公司携手,专业公司提出了根据企业精神,对厂徽进行设计的想法,几几经沟通,确定方案为常烟拼音字母声母C与Y的变形构成,圆、三角与长方形的线条的组合,类似于以后的太阳神口服液的标识,虽然现在看来简单、还有几分幼稚,也没有充分表达出企业精神的内核,但当时足以让我们欢欣鼓舞,随后,做成厂旗在大门口和国旗一起迎风飘扬的时候,感到是多么的庄严与神圣。后来,专业公司又提出成立企业公关和军乐礼仪队。一下子让工厂像煮沸的水开了锅。反对的、好奇的、赞同的呼声都有,更多的有对公关礼仪队曲解,仿佛就是在挑选三陪的先生和小姐,但礼仪队还是在不同声音中坚持成立,好在不久的厂庆大型活动中,礼仪队彬彬有礼的表现打消了员工的顾虑。那时,专业公司专业化程度远不如今天,对企业文化的设计只是停留从企业到的表层着手。所以,文化用起来总有隔靴搔痒般不过瘾。
1994年,常烟又一次引入广东的一家专业公司,这一次与以往不一样的是,企业和专业公司的相法与任务都非常明确,企业因为以前专业公司为企业设计的厂徽和太阳神口服液的标识惊人的相似,需要创新,而专业公司不仅仅只考虑企业的VI体系,而是还考虑了和企业品牌发展战略的切合,常烟“全球、高效、多元”的发展战略,“超越自我、挑剔自我、完善自我”的精神,“三高”的品牌战略,都得到企业高层的认同,这为芙蓉王的问世奠定了初步的理念基础。
这一时期文化多是和品牌携手前行,和传播相映生辉。同时,行业黄山烟“一品黄山、天高云淡”广告亮相于香港新世纪广场,经济日报“痛心疾首说玉溪”拉开了品牌文化传播的先河。曲靖烟厂的“福”文化,长沙烟厂“飞翔”的鹤文化,宁波烟厂“胜利”的鹰文化,龙崖烟厂“拼搏”的狼文化,相继成型,无不突出品牌文化。湖南零陵烟厂以文学促品牌文化,芙蓉王品牌传播语从“华夏瑰宝、一王情深”到“创造无限、体验成功”再到“传递价值,成就你我” 也实现了从品牌诉求到文化诉求的转型。许多卷烟企业将企业理念纷纷附加到品牌上,倡导“赋予品牌丰富的企业文化内涵”。这样将品牌文化视为企业文化,将企业文化强加在品牌上,让品牌传递企业理念。
快步加速,从完善到创新。品牌文化终究不能担负企业文化的功能,行业开始企业文化建设的全面探索和创新。2001年开始,常德卷烟厂和很多烟草企业一样,再次开始企业文化的整合提炼,这一次,采取招标形从品牌的功能诉求式,专业公司在实战中成长,专业化水平水涨船高,三家国内大型文化专业公司前来竟标,他们理直气壮的拿出成堆卷的象模象样的案例里面,响当当的名企和名人从中熠熠闪亮,叫你不由不信还拍案叫绝,任务是对企业文化的理念和行为规范系统进行丰富和提升。常烟文化办应运而生,由企业一把手挂帅,抽调了厂内的文化、管理、营销方面的年轻骨干,一同参与,文化访谈、实态调研,一同头了头脑风暴、设计提炼,相互交融,相互挑剔,不断完善,让激情与理性结合,形成了具有常烟特色的芙蓉文化。
芙蓉文化在打上企业历史的深深烙印后显现出个性。常烟50多年积淀的优良传统,不仅深入人心,而且成为了企业不竭的动力之源。成为后来企业精神“超越”的有力前奏。芙蓉文化在针对企业现实的千丝万缕中体现出特色。文化通过融入管理发挥作用。在烟草企业长期在专卖体制的保护伞下,竞争、创新、效率等元素稀缺,激励手段失效,市场应变力不强等铁一样的现实,在企业文化新定位中得到了高度强化。如“直面竞争,力求双赢”的竞争观,“严明精准,效率至上”的效率观,“做得更好就是创新”的创新观,“快速反应,精确执行”的管理原则等,都针对现实的不足表明了鲜明的导向。芙蓉文化在引领企业未来的战略导向中寻求不同。基于国家局烟草局对行业发展归核化的要求;基于常烟与世界烟草巨头和国内烟草龙头企业在品牌实力上的差距;基于入世之后国际化发展方向对中国烟草提出的客观需求。将企业战略确定为“专业化、品牌化、国际化”。 同时,将常烟的战略目标确定为“成熟企业、行业先锋”。
芙蓉文化不仅成为企业党代会的思想主旋律,而且在机构改革、人力资源改革中不断强化芙蓉文化的导向,芙蓉文化逐步深入人心开花结果,姜成康局长称:常烟文化清新自然,2002年中央电视台一频道当地工人节目花了半小时时间以“学习的快乐“为题对常烟文化进行了报道。随后又在中央电视台国际频道对企业的责任文化与欧洲社会责任协会进行了探讨。 这时期,行业不少工商企业形成各具特色的文化管理模式,促进了企业业绩的卓越,受到业界的推崇,如长沙烟厂的简单管理,红河烟厂“不求最大,但求最好”的经营战略,湖北鄂州家的文化以及红塔集团“超越自我”的文化等等。 2005 年初,国家局党组制定下发了《中国烟草企业文化建设纲要》,印发了《烟草行业文化架构体系》;《烟草行业文化评价体系》,企业文化以组织保障的方式从上而下全面推进,从企业文化建设试点铺开、到自觉自发。为行业发展注入新的活力。尤其是推进联合重组的,谋求更大的发展,发挥重点企业的优势。增强中国烟草的总体竞争实力。应对跨国烟草公司的竞争,加快培养具有国际竞争力的大企业、大集团。文化就是变革的源动力。
2006年第二届烟草行业企业文化展示展览在北京举行,全国25家烟草工商企业参加文化盛典,企业文化建设多姿多彩,呈现出勃勃生机,企业文化品牌,春华秋实,硕果满枝。上海烟厂文化的精强稳健,嘉兴烟草文化与人文风物的诗情相融,吉林烟草文化的创新模式、广东中烟文化的市场导向等无不引人注目,给人们以启迪。
2006年起,湖南中烟工业公司内外结合,及时推出了公司母文化,以核心理念层的构建回答了“我们信奉什么,我们要成为什么、我们生存为什么、我们要弘扬什么,我们要怎么做”的五大关键问题,经营理念和员工行为规范,用以指导经营管理和员工行为准则,并且对构建母子文化提出了:“一元主导,整体协调,尊重个性、融合创新”的建设原则,常烟根据行业对生产工厂的新定位进行了工厂子文化的构建,这一次的文化提炼的没有外脑的参与,从调研、框架设计,到理念诠释凭着自身力量拿捏,形成具有自身特色的工厂文化,工厂文化即考虑和公司母文化的融合,又考虑对芙蓉文化的传承,还考虑了和管理的对接,更考虑了工厂未来发展的导向,丰富充实了母文化的内容,2013年,湖南中烟又对企业文化进行了全新的设计,以13233为发展目标,和21有发展坐标,一路走来,充满艰辛也伴随喜悦与欢笑,不只是常烟,烟草人一批批文化人已经成长,在国家文化促进会和劳动保障部认可的中高级文化师名录中烟草人就达100人之多,可以预言文化的烟草一定赢得更加美好的明天。
【烟草行业信息化建设】相关文章:
烟草行业信息化投资09-03
烟草行业政策信息化09-03
烟草行业加强责任建设05-09
烟草行业企业信息化之知识管理初探09-10
烟草行业党风廉政建设04-22
对烟草行业企业文化建设思考的汇报05-02
加强建设烟草企业信息化论文04-28
电力行业信息化建设05-02
行业信息安全建设05-05