加强信息安全建设,构建一个有效的企业内部信息安全防护体系,对于企业而言尤为重要。西开电气作为集团信息化建设的样板单位,在信息安全建设方面先行一步,经过多年的实践,积累了宝贵的经验,也取得了显著的成绩。
第一,加强组织领导,建立健全安全保密制度体系。
建立健全企业信息安全管理制度和操作规程制度建设是确保企业信息安全的关键。西开电气以“实体可信,行为可控,资源可管,事件可查,运行可靠”作为信息安全工作的原则,根据新形势下保密工作的新特点、新要求,成立了保密委员会,并下设信息安全保密室,明确职责分工;建立健全保密管理制度体系,包括保密工作管理制度、档案管理制度、涉密信息管理制度、网络安全管理制度等,不仅严格规范日常执行,并且随着信息安全工作的不断发展及时修订完善。同时,制定了信息系统的维护制度和应急预案,以确保企业信息系统的安全管理。
第二,严格防范措施,建设完善网络安全防范体系。
西开电气始终把保障信息安全作为信息化发展的支撑点,通过实施内外网物理隔离、身份认证、上网行为管理等多种防范措施,确保了信息化工作安全可控,公司内部网络安全防范体系初具规模。一是实施内外网物理隔离、身份认证与上网行为管理三大防范措施;二是加强网络边界防护,对内采取涉密终端防范措施;三是实施物理层安全防范措施,降低网络的物理安全风险。
第三,重点管理技术部门信息,确保企业核心竞争力。
技术研发部门是掌握公司重要机密的核心部门,其信息安全关系着企业在市场上的竞争力。因此,对技术研发部门的信息管理是公司信息安全建设的重中之重。
一是计算机硬件的管理。对技术研发部门所有分配给个人的客户端计算机其端口(光驱、软驱、USB口等)进行封闭,机箱进行加锁处理。技术研发部门计算机上需要安装应用软件等工作时,需由公司信息中心负责,不允许安装与工作无关的程序软件;对存有涉密信息的外部存储介质,与涉密文件一样对待,除正常工作需要外,不得复制、摘抄、使用,带出科室;对打印机采取集中管理,楼层打印机放置在资料室由资料员集中管理,确保涉密资料不外流。
二是研发人员权限的管理。技术研发部门计算机管理员用户密码收归信息中心统一管理。技术系统网络中的文件服务器实施用户限制访问权限,各科室只能访问本科室文件夹,禁止访问其他科室文件夹。
三是文件加密的管理。在处理技术文件的计算机上安装文件加密软件。凡计算机安装加密软件的部门,只有该部门领导具有文件解密权限。
四是对外交流的管理。技术研发部门或技术人员因公需要对外进行文件交流时,必须经过文件提供部门专人检查及相关部门领导审批后,才可以发送。关键图纸电子版拷贝发邮件必须经过副总经理及以上领导批准,方可进行。
第四,做好数据安全备份,制定突发事件应急预案。
为保证数据安全保密,公司对重要业务数据在传输和存储时采用符合国家相关要求的加密技术。并根据数据的重要性,制定数据的备份策略和恢复策略,定期进行完整性和可用性检查,以确认数据没有受到损坏或丢失。
同时,为预防突发事件对信息系统造成的不良影响,公司还建立了信息安全应急工作机制。在统一的应急预案框架下,制定不同事件的应急预案,包括:启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等。公司定期对应急预案进行演练,详细记录应急演练的过程,并根据演练情况对预案进行修订,尽可能减少和预防突发事件对系统的影响。
随着西开电气信息化建设的不断深化,信息安全管理将作为一项长期的系统化工作,公司以“思想是保障,制度是根本,坚持是关键”为原则,持之以恒地进行信息系统安全维护管理,用安全、可靠的信息数据为企业管理和发展提供有力支撑。
新闻中心