公司信息安全建设篇1

1.电力系统的安全指标

电力系统为各产业的发展提供电力资源，建立信息数据网有利于保障电力控制系统的安全。信息系统主要负责数据信息的传输，同时在运行效率、管理控制方面发挥着不可忽视的作用。信息系统的安全不仅局限于信息的保护，还包括对信息系统的保护、检测和恢复等[1]。为保证信息系统的稳定传输，电力企业应制定相应的安全指标。

1.1使用指标

系统中存储的信息必须具有使用价值，否则就没有必要存储进信息系统。因此，电力企业应确定采取安全保护措施的信息的可用性。如果用户有需要，系统应为其提供相应的访问服务，避免因服务功能不及时等问题造成系统信息的异常存储、传输和处理，给系统功能的正常发挥带来影响。

1.2保密指标

电力企业信息系统所用的数据信息必须进行保密，只允许授权使用的人员查看，并不得透露给其他人员。目前，多数电力企业采用“授权、认证”的方式进行信息的保密，只允许授权使用的用户使用信息系统。执行保密指标，必须确保信息不被损坏、篡改和窃取。

1.3存储指标

实现网络化控制是地理企业的改革创新，在网络系统的运行期间必须保证信息存储的完整性。首先要确定纸质、电子档等信息存储的形式，然后再根据实际需要进行合适的存储指标选择，保证使每项信息都能得到有效存储和维护。

1.4审核指标

对数据信息进行定期审核有助于信息的安全管理。电力企业管理人员应在的科学指导下进行审核工作，给管理人员提供正确的决策和指示。此外，进行信息审核能够及时发现系统中存在的问题，提醒网络控制人员对异常情况进行及时处理，防止给信息系统的安全运行带来安全隐患。

1.5人员指标

人是电力网络信息系统中最关键的因素，系统最终需要技术人员的操作控制，如果专业人员技能不足，会给信息安全系统带来很大风险。如：操作人员随意安装操作系统、随意更改计算机代码、随意更新升级各类软件等，都会给网络信息系统带来安全隐患，破坏网络信息传输的正常进行。

2.网络信息安全防护对策

对于电力企业来说，电力资源信息化涉及的面广，工程技术比较复杂，必须从总体考虑网络资源的安全问题。为规避风险，使网络系统的运行更加安全、高效，必须保证网络的安全隔离。具体可采用以下技术解决网络资源的安全：

2.1虚拟网技术

网络管理者掌握虚拟网技术可以营造网络运行的稳定环境，避免其受到外界因素的干扰。。在公共数据网络上，采用访问控制和数据加密技术，可以将两个或多个可信内部网进行互联[2]。

2.2数据库技术

为提前防范电力网信息出现被盗、丢失等异常，运用数据库技术通过数据备份的方式保存原资料，可以保证信息的安全。电力企业应创建数据备份中心，选择高品质的数据恢复技术，如遇到信息数据受损，可以进行提前修复补充，以保证信息系统的正常运行。

2.3防火墙技术

防火墙属于访问控制产品，它能够隔离开信任网络和不信任网络，在内部网络与外部不安全的网络之间设置障碍，对外界异常信息进行过滤控制，阻止来自外界的非法访问。能够有效的阻止黑客的攻击，实现对数据流的监控。如防火墙中的强制实糟，能避免企业信息遭受非法攻击或存取。

2.4病毒防护技术

电力信息网络系统所遭受的最大病害是病毒，它对各类信息的安全具有较大的破坏力。要解决好这个问题，应通过防毒、杀毒的等方式进行处理，营造稳定的信息系统运行的环境。可以在电力企业的服务器上安装防病毒软件，在每台PC机上安装防病毒软件。

2.5安全审核技术

安全审核技术的作用是审核系统上流通的数据信息，及时将在异常的数据信息拦截，避免其给网络系统造成干扰，有效的保护信息系统的安全[3]。

3.加强安全制度管理

电力企业的网络安全管理中，技术仅仅是一部分，经营者还应加强管理决策的改革创新，制定出科学的管理规划和制度。日常管理中，应从以下方面加强管理：

3.1强化安全意识

安全意识涉及到领导者和网络系统运用管理的每个人。电力企业的经营者应将安全意识放在首位，从安全角度出发，制定现有网络系统的安全管理策略，避免来自外在的破坏因素干扰或危害网络系统。企业的员工要不断的培养自己的安全意识，坚持以安全为原则进行系统操作，把握好每个步骤。

3.2及时进行故障处理

网络信息系统发生故障在所难免，当出现故障时，应及时、尽快组织技术人员进行处理，尽早解决故障给系统造成的不良影响。

3.3规划管理制度

网络完全管理制度的严格执行可实现网络系统的有序操作，让系统的每个环节都能安全可靠的运行。电力企业应制定网络系统安全管理的制度，对计算机操作人员进行专业考核、加强设备的管理等，有效预防并避免意外故障的发生。

4.小结

计算机网络系统在电力企业的运用深刻而广泛，存在各种各样的安全威胁。电力企业必须加强安全技术的管理和应用，确保信息系统的安全运行，为企业的安全生产提供有力的保证。

参考文献：

公司信息安全建设篇2

（一）核心财务、业务数据集中程度逐步加强，大部分公司实现了财务、业务信息系统的无缝对接。为加强管控，堵塞系统漏洞，防范科技风险，各保险总公司加快了数据全国集中进度和业务系统整合力度，全面收回了分支机构开发核心系统的权限，消除了各地区各自为政、系统平台不一致的现象。目前，绝大部分公司已经实现了系统平台的全国统一。实现了业务、财务数据的全国集中,实现了财务、业务系统的无缝对接。

（二）内部管理和业务处理的信息化程度不断提高。为适应保险业创新和发展的需要，各保险公司分支机构加快了内部办公系统和业务支撑系统的应用步伐。目前，大部分分支机构的内部管理和保险业务纳入了信息系统管理，并且在总公司的授权下，通过提取核心业务系统的数据，开发了一系列支撑查询的业务系统，为分支机构业务发展和管理决策提供数据支撑和系统支持。

（三）信息系统安全保障体系初步建立。信息安全保障工作关系到信息化建设的成败、公司的稳定发展。近年来，各公司逐步制订了信息安全管理的各项制度，积极开展信息安全教育培训和宣传工作，推进各项信息安全技术的应用，加快信息安全设施建设。大部分公司开展了灾难演习、制订了灾难演习工作计划，部分公司正在建设异地灾备中心、计划建设异地灾备中心，信息安全保障体系逐步建立。

二、保险公司分支机构信息系统建设存在的主要问题

（一）部分公司未完全实现财务、业务信息系统无缝对接。目前，仍有个别公司的个别业务系统数据集中于省级分公司，业务系统的收付费信息不能直接作为财务系统的原始数据，业务实际发生收付费或应收保费时，收付费信息不能流转到财务系统，供财务系统核对和生成记账凭证。由于财务系统不能直接提取业务系统数据，财务人员需根据业务系统日结与银行存款对账后手工入账，存在较大的管控风险。

（二）业务信息系统存在漏洞，为违规经营提供了可乘之机。如部分公司业务处理系统对于学平险等个别险种允许进行倒签单，为“先出险后承保”提供了系统支持，而且在系统内未做到一人一单；单证管理系统不完善，一些公司的部分险种单证未实现全流程系统管理，无法在单证系统中实时查询保单状态，单证管理系统不能根据单证使用情况进行实时自动核销，只能由单证管理人员依据单证交接清单及单证作废清单等，在单证系统中进行手工核销，没有形成单证管理系统和业务系统的“无缝对接”；意外险系统存在漏洞，部分公司的短期健康意外险系统无法对航意险按每份保单进行管理，保单采用批量方式进行系统录入，无法查询每份保单的详细信息；建工险在系统中未按条款要求登记被保险人姓名等。

（三）信息系统安全投入不足，安全保障体系不完善。突出表现为：信息安全滞后于信息化发展，信息系统安全建设和管理的目标不够明确，信息安全保障工作的重点不够突出，信息安全的投入严重不足。有的省级分公司没有一台信息安全设备，也没有专门机构或人员负责信息安全工作，抵御灾难的能力处于较低水平，一旦发生灾难极易造成重大损失，成为影响和制约保险业健康发展的一大隐患。

三、改善和提高保险公司分支机构信息系统建设水平的对策建议

（一）加大信息化投入力度，加强对信息化工作的人员建设和组织管理。保险公司分支机构普遍存在的信息化投入不足和信息化人员匮乏的现象，已经严重制约了公司的业务发展。应进一步优化信息化工作的组织结构，明确各层级的信息化工作职责，规范工作流程；要吸引高素质的信息技术和管理人才，加大培训力度，打造一支高效的信息技术人才队伍；要进一步加大信息化投入力度，优化投入结构；将信息化绩效考核纳入公司总体目标考核体系中，使之成为提高公司综合竞争能力的重要手段。

公司信息安全建设篇3

2供电企业信息安全的影响因素

尽管供电公司投入了大量的财力、物力建设电网信息安全系统，但供电企业内部网络仍不健全，存在许多安全隐患。另外，供电公司信息化水平不高，信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系，就要首先分析供电公司信息安全的影响因素，对症下药，进一步提出供电企业加强信息安全管理的对策。

2.1不可抗拒因素

所谓“不可抗拒因素”，就是由于火灾、水灾、供电、雷电、地震等自然灾害影响，供电公司的供电线路、计算机网络信号、计算机数据等受到破坏，并威胁到供电公司的信息安全。

2.2计算机网络设备因素

供电公司计算机系统中使用大量的网络设备，包括集线器、网络服务器和路由器等，其正常运行关系着供电公司内部网络的正常运行，而计算机网络设备的安全直接关系着供电公司的正常运行。

2.3数据库安全因素

供电公司计算机系统监控用户峰值，管理用电客户信息及其他用户缴费等情况，计算机数据库的系统安全决定了供电企业的调度效率，也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备，确保企业内部网络与外部互联网的隔离。

2.4管理因素

供电公司员工的业务素质和职业修养参差不齐，直接影响到供电公司的网络安全。供电公司应该建立过错追究制度，提高员工的信息化素质，有效防止和杜绝管理因素造成的信息安全问题。

3供电企业加强信息安全管理的对策

3.1提升员工信息安全防患意识

开展信息安全管理工作，并非仅仅是系统使用或者管理部门的事，而是企业所有职工的事，因此，要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施，进一步提升全体员工对企业信息安全的认识，让信息安全成为企业日常工作业务的一个组成部分，从而提升企业整体信息安全水平。

3.2采用知识型管理

传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代，安全管理应当以知识管理为主，从而使得安全管理措施与手段也越来越知识化、数字化和智能化，促使信息安全管理工作进入一个崭新的阶段。

3.3设置系统用户权限

为了预防非法用户侵入系统，应按照用户不同的级别限制用户的权限，并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事，它需要一个长期的过程才能达到较高的水平，需建立并完善相应的管理制度，从平时的基础工作着手，及时发现问题，汇报问题，分析问题并解决问题。

3.4防范计算机病毒攻击

加速信息安全管控措施的建设，在电力信息化工作中，办公自动化是其中一项非常重要的内容，而核心工作业务就是电子邮件的发送与接收，这也正是计算机病毒一个非常重要的传播渠道。因此，必须大力促进个人终端标准化工作的建设，实现病毒软件的自动更新、自动升级，不得随意下载并安装盗版软件；加强对木马病毒等的安全防范措施，对用户访问实施严格的控制。

3.5完善信息安全应急预案

严格规范信息安全事故通报程序，对于隐瞒信息事件的现象，必须严肃查处。对于国家和企业信息安全运行动态，要及时通报，分析事件，及时信息安全通告。对于己经制定的相关预案和安全措施，必须落到实处。另外，还要进一步加强信息安全技术督查队伍的建设，提高信息安全考核与执行的力度。

3.6建立信息安全保密机制

加强信息安全保密措施的落实，禁止将计算机连接到互联网及其他公共信息网络，完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作，切实做好文档的登记、存档和解密等环节的工作。

公司信息安全建设篇4

引言

随着池州市县公司电网规模的不断增长，变电站、供电营业所等基础设施的增加使得信息通信网络覆盖地域增大、信息通信设备数量激增，业务应用对信息通信的支撑要求越来越高，对信息通信的运维管理均提出了更高的标准。同时随着国网公司对信息通信专业安全运行要求的标准化、精细化和规范化，市公司信息通信管理运维水平不断提升，基本保障了业务应用的稳定、安全运行。但县公司作为电网的有机组成部分，其信息通信专业业务与市公司逐步融合，县公司信息通信的管理水平也成为整个市公司信息通信专业管理水平的基线，只有全面掌握县公司信息通信专业运行现状，有效提升县公司信息通信的管理水平才可提升全网的信息通信安全。为此有必要加强县公司信息通信网络系统的运行监控，构建全新的信息通信市县一体化运行监控体系（以下简称运监体系）已成为迫切需求。

1.需求现状分析

1.1 现状分析

池州供电公司下属县公司根据自身信息通信运行现状及管理需求，本着满足生产应用基本需求、避免重复建设的原则，在市公司的统一安排下进行了部分支撑系统的建设，包括VRV桌面管控系统、防病毒系统及北塔网络管理系统，其中多数系统依托市公司硬件设施及部署的信息系统。目前系统建设可满足县公司日常运行监控基本需求，但存在如下问题：

（1）县公司部分业务系统部署在市公司虚拟机或业务系统中，受限于或系统缺陷、系统运行效率低、系统故障维护不及时。如贵池、青阳、石台公司的趋势系统直接接入市公司系统，由于系统不支持分区域告警，使得运维工作主要集中在市公司，县公司被动接受运维工单，整个处理流程效率较低。

（2）县公司部分信息通信业务系统缺乏必要的系统运维与系统完善，目前多数系统只能提供设备故障告警。同时由于版本差异，不能和市公司系统实现级联管理。

（3）由于缺乏运维人员及完善的管理考核机制，县公司信息系统基础数据质量不高，深化应用水平较低，无法适应更精细化的管理需求。

1.2 运行监控体系需求

针对池州供电公司信息通信运维现状，提出建立市县信息通信运行监控一体化平台，并满足以下管理需求：

（1）借鉴市公司实行的信息运行过程评价指标体系，结合县公司管理现状，给出适用县公司信息运行过程评价的动态指标体系设计，并建立指标动态调整机制;依据指标评价体系定期开展县公司指标对标活动，发现市、县公司管理差异点并进行改善;

（2）建设一体化监控平台，打通市县公司北塔网管系统、趋势防病毒系统、VRV等系统之间的数据级联，并基于指标体系在市公司层面实现统一的系统应用指标监控;实现县公司信息、通信故障的实时告警及市公司层面的实时监控，并建立工单闭环处理流程，通过规范工单处理流程提升县公司的运维水平;

（3）以建立监控运行一体化平台为依托，实现对信息通信网络、设备、业务系统、终端、信息安全、机房的全面、全方位、全过程监管，全面提升信息通信系统运行管控能力;以平台建设、运维经验为基础，依托网省公司信息通信制度标准，研究制定市县信息通信一体化监控标准体系、一体化运维工作标准体系。

2.系统建设

2.1 建设目标

根据1.2节描述的需求，同时依据网省公司对信息通信专业的运维管理规范，通过建设信息通信一体化运行监控体系，统一市县公司信息通信管理方法，将市县公司信息通信资源纳入统一监控运行，建成信息通信设备实时监控、信息通信资源统一调配、信息通信缺陷闭环管理、信息通信方式在线管控的信息通信一体化运行监控系统。健全完善信息通信市县一体化运行监控管理和技术标准，优化信息通信运行调度人力资源配置，最终建成信息通信市县一体化运行监控体系，保障信息通信系统安全稳定运行。

2.2 建设方法

体系建设涉及到多应用系统数据抽取、分析及管理流程优化，是一项长期优化工程。为此立足池州供电公司信息通信专业现状，在体系建设时先确定建设范围及建设目标，在此基础上设计满足市县一体化运行监控需求的业务流程并确定体系建设功能。

（a）运监范围定义

根据信息通信运监业务需求，结合信息通信考核指标体系，确定信息通信运监范围。运行监控对象包括网络设备、机房环境和服务系统三类。其中网络设备包括信息专业的网络设备（内外信息网）、主机、终端及安全设备，通信专业的传输网、交换网、支撑网及接入网设备;机房环境包括视频监控系统、动力环境监控系统;服务系统包括VRV桌面系统、趋势防病毒系统。

（b）运监业务流程设计

现有市、县公司信息通信业务流程独立运行，难以支撑目前的市县一体化运行监控需求，运行监控信息流转不及时、运维人员调配效率较低，需要重新设计综合市县公司人力资源、系统资源及管理目标的运行监控业务流程，并以业务流程为指导建设信息通信一体化运行监控体系。

本文流程设计以信息通信运行监控运行值班和186服务台为核心，实时监管信息通信系统运行状态，统筹监管信息通信资源变更、检修等工作（承担许可、安全监护职责）。主要流程包括运行值班、186服务台、一单两票、缺陷管理、检修管理、方式管理、日志管理（信息）、基本信息管理和资源管理。

（c）运监功能设计

围绕综合运行指标及业务流程，一体化运行监控体系建设监控中心、告警中心、运维中心及评价中心，主要功能规划如图1所示，详细功能规划如图2所示。

图1 一体化运行监控体系功能规划

图2 一体化运行监控体系功能设计

图3 信息通信系统市县一体化全景监控视图

为最大复用现有系统功能，监控中心采用异构数据抽取方法集成多个应用系统的监控功能模块，同时在监控中心的不同屏幕展示业务系统的监控界面。

2.3 综合运行指标管理

信通信运维工作的量化考核是管理工作的重点，合理的量化考核机制可促进信息通信运维水平的不断提升。如何合理的设计运行考核指标，评价信息通信专业运维质量，是一体化运行监控体系建设的重点。本文以现有市公司运行指标库为基础，结合县公司的运维管理现状，首先建立起全面的考核指标库，再根据县公司的运维水平及各个阶段的管理需求，从指标库中选取部分指标构成当前阶段的考核指标体系。考核指标包括现有各类设备和系统的各类异构信息，如网络设备、安全设备、应用系统和终端管理中各种事件，以及经过综合分析后设备运行状态预测等。为便于监控人员直观掌握指标现状，一体化平台通过图形化方式实现关键指标的综合展示。以下是池州供电公司建设的运行指标图形化综合展示系统界面。

2.4 系统实现 （下转第109页）（上接第73页）

监控中心及运维管理中心是一体化体系建设的重点。

（a）监控中心

在市公司建立集中监控中心，实现市县信息通信系统运行监控一体化管理和集中实时监控，实现对市、县公司信息通信网络、网络设备、业务系统、终端设备、信息安全、机房的实时全面监测，实现信息通信系统运行监控和故障信息的统一显示和。

在图3中上方通过气泡图的形式展现各个系统的运行情况，图中每个小气泡代表一个系统的一项指标，绿色图标表示系统的这项指标运行正常，红色图标代表系统指标有告警信息并提示业务人员处理，带感叹号的图标表示系统指标有告警信息并提示业务人员处理。当图标是红色或者是带感叹号业务人员可以点击查看该指标的具体告警信息。

在图3中下方是以图表的形式展现告警信息的处理情况、待办工单和链接地址，告警信息的处理情况显示各系统的运行告警信息包含告警时间、单位、系统、事件等级、描述、状态和事件类型，当其中一条告警信息变成已处理，该行字体的颜色变成银灰色以便区分未处理的告警信息。链接地址是把各个运行系统的地址集成在以便业务人员快捷的进入各个运行系统查看告警情况，点击右边的箭头即可进入该系统。待办工单和库存资源统计各个状态的数量。

（b）运维管理中心

以集中监控中心为依托，采用分级处理模式，建立市县公司信息通信一体化运维流程，将运维管理工作以任务工作单的方式传递，设计科学的、符合运维管理规范的工作流程，在处理过程中实现电子化的自动流转，缩短流程周期，减少人工错误，并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。同时提供对市县一体化运行监控信息系统运行情况、事件响应、运维工单等的综合评估、考核管理功能。

3.建设成效

市县公司信息安全水平的整体提升是保障电力信息网络安全运行的重要基础，池州供电公司通过建设信息通信一体化监控体系在市县公司信息通信一体化运行管理方面做了有益的实践。通过将市公司信息专业化管理方法延伸至县公司，结合信息通信考核指标体系，确定信息通信运监内容，部署运行监控平台，最终实现了信息通信专业的统一客服、统一运维和统一监控。随着一体化运维体系的建设，公司信息通信专业管理效率、运维质量、服务能力及安全水平全面提升，取得了很好的应用实效。

（1）设备集中管控

实现对市县公司信息通信设备的集中管控，管控率达100%。

（2）终端规范管理

实现对市县公司内外网终端进行集中监管，规范终端入网、维修、更换、应用等流程，确保终端设备状态在控、可控、能控。

（3）业务规范操作

实现市县公司信息通信设备集中管控、资源统一调度，通过工作联系单、工作票等措施，规范信息通信业务操作，确保信息通信系统稳定运行。

（4）安全有效管控

通过对市县公司信息通信设备的集中管控，实时监视，及时发现隐患、消除缺陷，切实降低安全风险。

（5）安全可靠的技术支撑

通过信息通信市县一体化运行监控体系试点建设，打造安全、稳定的信息通信系统，为“三集五大”体系正常运转提供安全、可靠的技术支撑。

4.总结与展望

信息通信市县一体化运行监控体系建设是一项复杂的系统工程，需要持续的发展完善，建设过程中涉及环境、网络、系统、业务、人员培训等各方面的管理，任何一个环节的缺位或失误都可能影响运维工作的质量与效率，既不能一蹴而就，也不能一劳永逸。为此，需要进一步深化强化信息通信一体化管理体系，加强信息通信系统调度管理体系建设，形成“统一指挥、反应灵敏、协调有序、运转高效”的管理机制，切实提高信息通信系统运维水平和工作质效，确保信息通信一体化监控体系在电力生产中发挥重要作用。

参考文献

[1]梁云，姚继明，建波.电力信息通信一体化运维体系探讨[J].价值工程，2012，36：43-45.

[2]潘崎.浅谈电力系统中信息通信融合的应用[J].中国新通信，2013，12.

[3]常英贤，张鑫，谢飞.信息通信融合的一体化管理体系研究[J].电力信息化，2013（04）：36-38.

[4]王志强，蒋城颖.电网企业信息通信融合的探讨[J].电力信息与通信技术，2013（10）：1-4.

[5]周海艳.浅谈县级供电公司信息通信一体化管理[J].科技创新导报，2012，29：212-213.

公司信息安全建设篇5

1 信息安全建设的目标

吕梁供电公司信息安全建设的目标是：基于安全基础设施、以安全策略为指导，提供全面的安全服务内容，覆盖从物理、网络、系统、直至数据和应用平台各个层面，构建全面、完整、高效的信息安全体系，从而提高公司信息系统的整体安全等级，为公司的业务发展提供坚实的信息安全保障。

1.1 信息安全管理的理念或策略 从宏观的、整体的角度出发，系统的建设公司信息安全体系，不仅仅局限于技术层面，而是全面构架信息安全技术体系，覆盖从物理安全、网络安全、主机系统安全、到数据和应用系统安全各个层面。同时，建立全面有效的安全管理体系和运行保障体系。技术和管理并重，突出安全管理在信息安全体系中的重要性，仅仅凭借安全技术体系，无法解决所有的安全问题，安全管理体系和技术防护相互配合，增强技术防护体系的效率和效果，同时也弥补当前技术无法完全解决的安全缺陷，使得安全技术体系发挥最佳的保障效果。

1.2 信息安全管理的范围和目标 吕梁供电公司信息安全防护的总体目标是为了贯彻和落实公安部、国家保密局、国家密码管理局、电监会等国家有关部门信息安全工作要求，全面完善公司信息安全防护体系，落实国网公司“双网双机、分区分域、等级防护、多层防御”的安全防护策略，确保信息系统持续、稳定、可靠运行，确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的一次系统事故。确保信息安全工作在公司的顺利开展，逐步提高公司信息安全整体防护水平。

对吕梁供电公司信息系统进行安全风险评估，涵盖管理与技术两部分，其中管理包括管理机构、管理制度、系统运维、人员安全和系统建设五个方面，技术则包括物理安全、网络安全、主机安全、应用安全和数据安全五个方面。通过评估的实施，不仅可以进一步提高信息系统安全保护符合性要求，而且可以将整个信息系统的安全状况提升到一个较高的水平，并尽可能地消除或降低信息系统的安全风险。

1.3 信息安全管理的指标体系及目标值

1.3.1 分区分域 依据国家电网公司安全分区、分级、分域及分层防护的原则，吕梁供电公司信息网络已划分为信息内网和信息外网。

信息内网依据总体方案“二级系统统一成域，三级系统独立分域”方法，结合公司实际，信息内网系统可分为：营销系统二级域；财务系统二级域；公共服务域（WWW、DNS、办公自动化系统等）；桌面终端域。

信息外网的系统可分为：对外应用系统域；桌面终端域。

安全域的具体实现采用物理防火墙、虚拟防火墙或VLAN、VPN等隔离方法。基本实现目标为划分的各域边界可进行访问控制。

进行安全域划分后,公司内网二级域3个，桌面终端域1个；外网服务域1个，桌面终端域1个。

1.3.2 控制指标 公司同业对标指标目标值：信息安全次数为0次，信息系统可用率为100%，信息系统应用指标为100%。

2 专业管理的主要做法

2.1 主要做法说明

2.1.1 物理安全 物理安全主要是网络设备及主机安全，吕梁供电公司网络设备及系统服务器存放在专门的计算机机房，首先通过门禁系统保证这些设备自身的安全性，并建立了专门的人员出入访问控制机制，严格控制人员出入计算机机房和其他重要安全区域，便于检查和分析。其次，指定专门的人员，负责计算机机房地建设和管理工作，建立了计算机机房管理制度，对设备安全管理、介质安全管理、人员出入访问控制管理等作出了详细的规定，并定期对计算机机房各项安全措施和安全管理制度的有效性和实施状况进行检查，发现问题，及时整改。

2.1.2 运行安全 为了保证信息网络的安全运行，吕梁供电公司开展了双网双机建设，也就是内网和外网物理逻辑隔离，内网用计算机与外网用计算机物理分开的建设。

2.1.3 信息安全 吕梁供电公司要求每位员工有效利用各种口令，每台机器都设置有开机口令，确保口令长度至少8个字符，并且是大小写字母、数字和特殊字符中的三种组合，并要求至少3个月更换一次口令。

关于信息加密方面，公司要求重要信息、文件等不能在外网传送，必须在内网发送，并且要加密发送，并要求关闭计算机文件共享，确保信息不会泄露。

每台计算机必须安装省公司统一推广的趋势杀毒软件及启用防火墙，发现有未安装杀毒软件的机器立即短网，防止外部用户非法进入。

2.2 确保流程正常运行的人力资源保证 根据省公司对于信息安全的总体部署，为切实做好信息系统安全工作，我公司成立了以公司经理为组长，分管科技信息工作的副经理为常务副组长，各部门和所属单位一把手为成员的“网络与信息安全领导小组”，全面负责公司的信息安全工作。领导组下设办公室，由科信部全体成员和所属各单位专责人共同组成，负责信息安全方面的有关技术保障、事故应急处理以及信息风险和事故评估等具体工作。

公司要求所属各单位、各部门要认真按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和属地化管理的要求，认真履行信息系统安全职责，严格按照“三个百分之百”要求，落实公司信息系统与保密工作的制度和规定，执行“双网双机、分区分域、等级防护、多层防御”的信息安全总体防护策略，切实抓好信息系统安全责任和制度的落实，确保完成了双网隔离、等级保护，确保了信息系统安全建设，安全运行，安全应用。

组织所属各单位的信息专责人进行了信息安全学习和警示教育，组织学习公司信息化规章制度，重点学习电监会《关于开展电网企业信息安全检查的通知》（电监信息［2009］3号，国网公司《关于进一步加强网络和信息系统安全的紧急通知》（办信息［2009］3号），以及《信息化“SG186”工程安全防护总体方案（试行）》（国家电网信息[2008]316号），深入了解公司面临的严峻的信息系统安全形势，全面掌握公司部署的应对措施，结合工作实际，借鉴信息安全保电经验，对曾经出现的信息系统安全事件与薄弱环节进行汇总、分析，普及信息系统安全警示教育，整肃安全管理作风。

整理完成了包括电监办、国网公司、省公司、公司规章制度在内的《网络与信息系统规章制度汇编》，修订下发了《吕梁供电公司信息系统安全管理办法》、《吕梁供电公司信息安全总体防护方案》。进一步完善了专项应急预案的制订和审查备案等工作。

3 评估与改进

通过在管理方面和技术方面采取的有效措施，使公司同业对标信息化指标上半年完成情况：信息安全次数为为0次，信息系统可用率为100%，信息系统应用指标为100%。

公司信息安全建设篇6

一、引言

 

时代的发展和科技的进步，使得互联网信息技术被迅速普及，作为需要保持与时俱进思想的公司管理阶层，毫无疑问地将网络技术的高效和便利进行了充分利用，许多公司的业务发展也交由网络全权处理。这无疑是公司运营的一项革新，为公司带来了极大的便利，既然网络应用受到如此器重，更是提醒了我们要对公司的信息安全做到万全的保障。

 

信息网络存在有终端分布不均、开放程度较大、相互链接用户多一级连接形式多元化等特性，并且在面对日趋增长的网络攻击和数据入侵现象时，公司的网络安全保障显得分外重要。对此，我们应该加强相关的管理力度，除了更好的预防经济损失以外，也使得人力物力资源方面得以节省。下面，笔者就公司网络运营的风险分析和如何提高公司网络系统的安全性，建立相应的安全保障体系做详细的介绍。

 

二、当下公司信息安全体系中较为常见的管理问题

 

作为一个新生名词，公司信息安全体系的定义还不被大众所知。所谓公司信息安全体系，其所包括的内容有：信息安全组织、信息安全策略、信息技术安全以及相关安全管理的构建及管理。它是公司内部信息不被人侵盗取或恶意泄露的基本安全保障措施，上述四项内容是公司安全体系的重要组成部分，它们既是彼此关联的也是彼此支撑的。据笔者对当下公司信息安全体系建立情况的了解，普遍存在有以下问题。

 

2.1 信息安全网络建设规划不够全面

 

信息安全网络的建设存在一定的缺陷，其中，当下的公司信息的安全网络中，既没有较为完善的管理制度，相关部门也没有岗位职责的明确划分，从而使得相关信息安全工作的开展和施行难以落实到位;同时，公司职员中懂得信息安全管理的人数并不多，甚至是十分匮乏，以至于公司内部没有建立相关的安全管理制度，公司成员也没有信息安全保护的意识。信息安全网络建设的到位是公司信息安全保障的基础，而当下所反映的情况看来，其建设构架还是不够全面。

 

2.2 信息安全技术不够完善

 

现阶段的公司信息安全技术没有一个统一的运行标准。而信息网络自其诞生以来，就在安全管理方面存在有许多不足之处，这些不足对于信息数据库系统、操作系统以及应用软件等关键的公司内部资料掌控部分存在着“致命”的潜在威胁。恶意用户可以通过这些系统漏洞进行系统入侵，从而引发公司的信息危机。相对而言，依照当下的信息安全技术，公司信息安全运行体系的构建不全面的情况下，相关的安全保障决策并没有被组织并颁布，从而在贯彻实施方面不够彻底。

 

2.3 网络安全管理存在有一定的风险

 

大部分公司的网络用户认证的强度都是比较薄弱的，而公司业务不断拓展的过程中，数据和信息之间的交换是其网络技术所依附的基本形式，为了信息获取与交换之间的便利，公司的网络联接关系变得十分复杂，而当下的网络安全管理中，公司没有意识到网络技术防范措施实行的必要性，这样的思想对公司的信息安全存在一定的威胁。不管是应用系统的安全功能管理还是用户认证的强度，都是现阶段公司网络技术管理需要注意的方面，针对一些必要的信息系统审计和监控，都需要给予高度重视。

 

2.4 信息安全管理的不足

 

关于IT项目安全管理体系的建设，现阶段仍是不完善的，由于相关的应用系统进行建设时没有考虑到信息安全的同步要求，所以存在有一定的安全漏洞。而且据笔者了解，公司的信息安全管理并没有成立具体的职责部门，并且对于其安全管理的制度不够完善，导致其贯彻落实的不到位。

 

三、从管理角度探讨如何构建公司信息安全体系

 

信息安全的保障不仅仅是依靠于一些基础的信息技术，现阶段所迫切需要的是高效的管理制度。某一体系从构建到运行再到发展性的保持，技术层面所占有的运用比例为百分之三十，发挥其持久性作用的主要支撑力量还是有效的管理。只有进行了恰当的管理措施，才能保障其技术的有效发挥，从而控制住公司信息安全管理的局面。下面，笔者主要就动态闭环管理的过程的建立和信息安全管理的加强来谈谈自己的看法。

 

3.1 动态闭环管理方式的建立

 

现阶段的公司信息网络仍然处于一个不稳定的阶段，基本的建设和调整还在进行当中。安全漏洞的出现总是接连不断的，传统的静态管理方式已经不能满足当下的安全管理需求。因此，动态闭环的管理是应该受到大力推广的管理方式。直白的说，采取了这样的管理方式后，以公司的安全决策和控制体系为依据，经过相关的审核评测工具来排除信息网络中存在的安全隐患和问题，并就此结果制定出一系列的建设规划和维护方案，使得信息安全系统处于较为稳定的状态。在这个过程中，还有以下两点需要予以注意：

 

3.1.1 信息安全评测的施行

 

信息安全体系的构建和相关安全决策的制定，必须要对公司内部的信息安全情况有较为全面的了解和掌握，即施行信息安全评测。公司信息资产的安全技术和现阶段的管理状况是安全评测的主要内容，这两点是公司所要弄清的潜在安全问题，通过测评使得公司管理层面对其安全隐患有所了解以后，方能制定出适宜公司的安全决策。

 

3.1.2 适宜的安全决策制定

 

就公司的信息安全而言，其相关决策的制定是体系构建的关键所在。明确、清晰、高效是公司安全决策制定的标准，公司的安全组织部门能够依据该决策的方向确立规划信息安全规章制度、相关测评标准以及信息安全体系构建方案等，进一步保障了公司内部信息安全规章制度实行落实，就此保护公司不受到由于信息泄露而造成的经济损失。

 

3.2 安全管理过程的加强

 

3.2.1 加强安全建设及管理规划

 

信息安全体系在构建的过程中，公司应该充分考虑到内部信息安全体系构建的要求和标准，规划人力、物力、财力的投入力度，做到有条理、有思路的完成安全体系的构建。不管公司规模的大小，其安全体系的构建都是逐步发展的过程，阶段性目标的实现是达成稳定信息安全体系的基础。

 

3.2.2 构建阶段的管理

 

信息安全体系构建的过程中，内部信息的安全要求、需要加强巩固的安全性能以及保护措施的检测试验都是安全管理部门所要考虑全面的安全构建基础。需要给予注意的就是技术开发的内部资料、技术人员的保密管理，同时不能松懈对于技术施行环境、用户认证、内部网络、管理资源以及核心代码的加强管理。

 

公司信息安全建设篇7

实事求是地说，财务公司做存贷、结算、票据业务方面，优势可能不如银行；做租赁业务的优势可能不如金融租赁公司，做担保业务优势可能不如担保公司。如果与这些机构进行同质化竞争，不但业务做不大，形成不了核心竞争力，还有较大的政策风险。财务公司只能是在银行和其他金融服务机构的夹缝中求生存谋发展，这也对财务公司的信息化建设提出了更特殊、更高的要求，要求信息化系统要来源于银行又要在某些方面，特别是在贴近企业、服务企业方面要优于银行、高于银行、快于银行。

现就财务公司信息化建设的相关问题谈几点体会：

1 加强队伍建设 ，进一步充实专业人才 ，形成对业务的快速反应和有效带动。

这是最关键的问题，没有充足的专业人才，细节的事情都不易于操作，总体规划无法落实。当然财务公司也没有必要建立像大银行那样的庞大的开发中心，今后的信息化建设工作还是应该与特定的 1- 2 家软件公司达成长期合作意向，主要工作还是要依靠软件公司来做，但基本的人员配置是必须的。必须建立高效精干的项目经理团队，这些项目经理应该具备银行 IT 系统建设经验，最好也对企业特点有一定的了解，他们一方面要对业务进行分析，一方面要对系统进行总体规划，同时还要组织监督项目的实施。只有这样才能将规划迅速落地，快速满足业务部门的需要，并且带动和促进业务的发展。

2 要全面部署，分步实施。

在具体实施过程中，要针对目前财务公司信息化的现状，充分考虑公司管理变革的承受力，制定分步实施计划，充分分析、研究业务需求，对项目实际目标做出切合实际的估计，明确阶段性目标，不断巩固、强化应用，不盲目追求高标准和期望一步到位，不影响正常的生产经营活动秩序，用全面、科学、规范的业务流程、操作规范来巩固实施效果和规范公司基本业务处理行为，确保该管理模式符合公司管理需要，逐步实现财务公司信息化建设的整体目标，保证项目整体实施效果。

3 要突出重点，以点带面，加快财务公司信息化建设步伐。

以点带面中的“点”是紧迫要建立的业务系统，“面”既包括基础架构建设，也包括与此“点”相关的决策支持系统。要实现这个目标，首先必须对现有系统进行全面梳理，明确各系统之间的关系，找出不足；其次必须参考银行信息化系统，对财务公司未来信息化系统的概貌有清楚的认识和定位；最后还需要在满足不断增长的业务需要的同时，顺势开展基础架构建设，否则业务系统林立，底层难以融合，又步入了银行的老路。

财务公司信息化建设基础比较弱，这也是发展中难以避免的问题，银行也都曾经历过这个阶段。现在财务公司信息化部门的主要目标应该跨越式地经过这个阶段而不是照着银行走过的路再重新走一遍。有些步骤财务公司可以迅速跨越，而银行则无法迅速跨越。所以财务公司的信息化建设工作理论上应该能够比银行快，也必须比银行快。要实现这个目标，困难是现实的，但这些困难也必须是要克服的，否则一步赶不上步步赶不上，始终处于落后地位。

4 要加强流程、环节控制，保障网络安全性。

在系统建设、运行等不同阶段应遵守不同的安全管理目标，对系统建设、规划进行全面调查、分析、研究，对实施方案进行充分验证，充分考虑公司的实际情况，在合适的时间通过合理的方式，循序渐进，逐步改善，保证公司管理体系的完整和安全。在系统建设过程中，各单位还必须建立、健全安全管理责任制，制定安全策略，建立操作系统的安全机制，使用安全方式连接客户端与应用服务器，划分管理权限，实行身份认证，形成数据库系统、数据存放的安全机制和网络备份机制。信息安全与信息系统同步规划、同步建设，完善信息安全保障体系，建立对病毒和黑客的防范措施，确保财务管理业务不间断和财务信息高度安全。

5 厘清财务公司 IT 系统与集团的关系， 建立相对独立的 IT 运作机制。

公司信息安全建设篇8

    实事求是地说,财务公司做存贷、结算、票据业务方面,优势可能不如银行;做租赁业务的优势可能不如金融租赁公司,做担保业务优势可能不如担保公司。如果与这些机构进行同质化竞争,不但业务做不大,形成不了核心竞争力,还有较大的政策风险。财务公司只能是在银行和其他金融服务机构的夹缝中求生存谋发展,这也对财务公司的信息化建设提出了更特殊、更高的要求,要求信息化系统要来源于银行又要在某些方面,特别是在贴近企业、服务企业方面要优于银行、高于银行、快于银行。

    现就财务公司信息化建设的相关问题谈几点体会

    1 加强队伍建设 ,进一步充实专业人才 ,形成对业务的快速反应和有效带动。

    这是最关键的问题,没有充足的专业人才,细节的事情都不易于操作,总体规划无法落实。当然财务公司也没有必要建立像大银行那样的庞大的开发中心,今后的信息化建设工作还是应该与特定的 1- 2 家软件公司达成长期合作意向,主要工作还是要依靠软件公司来做,但基本的人员配置是必须的。必须建立高效精干的项目经理团队,这些项目经理应该具备银行 IT 系统建设经验,最好也对企业特点有一定的了解,他们一方面要对业务进行分析,一方面要对系统进行总体规划,同时还要组织监督项目的实施。只有这样才能将规划迅速落地,快速满足业务部门的需要,并且带动和促进业务的发展。

    2 要全面部署,分步实施。

    在具体实施过程中,要针对目前财务公司信息化的现状,充分考虑公司管理变革的承受力,制定分步实施计划,充分分析、研究业务需求,对项目实际目标做出切合实际的估计,明确阶段性目标,不断巩固、强化应用,不盲目追求高标准和期望一步到位,不影响正常的生产经营活动秩序,用全面、科学、规范的业务流程、操作规范来巩固实施效果和规范公司基本业务处理行为,确保该管理模式符合公司管理需要,逐步实现财务公司信息化建设的整体目标,保证项目整体实施效果。

    3 要突出重点,以点带面,加快财务公司信息化建设步伐。

    以点带面中的“点”是紧迫要建立的业务系统,“面”既包括基础架构建设,也包括与此“点”相关的决策支持系统。要实现这个目标,首先必须对现有系统进行全面梳理,明确各系统之间的关系,找出不足;其次必须参考银行信息化系统,对财务公司未来信息化系统的概貌有清楚的认识和定位;最后还需要在满足不断增长的业务需要的同时,顺势开展基础架构建设,否则业务系统林立,底层难以融合,又步入了银行的老路。

    财务公司信息化建设基础比较弱,这也是发展中难以避免的问题,银行也都曾经历过这个阶段。现在财务公司信息化部门的主要目标应该跨越式地经过这个阶段而不是照着银行走过的路再重新走一遍。有些步骤财务公司可以迅速跨越,而银行则无法迅速跨越。所以财务公司的信息化建设工作理论上应该能够比银行快,也必须比银行快。要实现这个目标,困难是现实的,但这些困难也必须是要克服的,否则一步赶不上步步赶不上,始终处于落后地位。

    4 要加强流程、环节控制,保障网络安全性。

    在系统建设、运行等不同阶段应遵守不同的安全管理目标,对系统建设、规划进行全面调查、分析、研究,对实施方案进行充分验证,充分考虑公司的实际情况,在合适的时间通过合理的方式,循序渐进,逐步改善,保证公司管理体系的完整和安全。在系统建设过程中,各单位还必须建立、健全安全管理责任制,制定安全策略,建立操作系统的安全机制,使用安全方式连接客户端与应用服务器,划分管理权限,实行身份认证,形成数据库系统、数据存放的安全机制和网络备份机制。信息安全与信息系统同步规划、同步建设,完善信息安全保障体系,建立对病毒和黑客的防范措施,确保财务管理业务不间断和财务信息高度安全。

    5 厘清财务公司 IT 系统与集团的关系, 建立相对独立的 IT 运作机制。

公司信息安全建设篇9

中图分类号：F470.6 文献标识码：A 文章编号：

信息安全管理是信息安全防护体系建设的重要内容，也是完善各项信息安全技术措施的基础，而信息安全管理标准又是信息安全管理的基础和准则，因此要做好信息安全防护体系建设，必须从强化管理着手，首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念，并结合公司信息安全实际情况，制订了信息安全管理标准，明确了各单位、各部门的职责划分，固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程，促进了各单位信息安全规范性管理，为各项信息安全技术措施奠定了基础，显著提升了公司信息安全防护体系建设水平。

1电力系统信息安全防护目标

规范、加强公司网络和信息系统安全的管理，确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃， 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故，并以此提升公司信息安全的整体管理水平。

2信息安全防护体系建设重点工作

电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面，结合本公司信息安全防护体系建设经验，对信息安全防护体系建设四项重点工作进行阐述。

2.1 信息系统安全检测与风险评估管理

信息管理部门信息安全管理专职根据年度信息化项目综合计划，每年在综合计划正式下达后，制定全年新建应用系统安全检测与风险评估计划，确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内，按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内， 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试，并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分， 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南（试行）》进行安全加固，加固后 5个工作日内，经信息管理部门复查，符合安全要求后方可上线试运行。应用系统进入试运行后，应严格做好数据的备份、保证系统及用户数据的安全，对在上线后影响网络信息安全的，信息管理部门有权停止系统的运行。

2.2 信息安全专项检查与治理

信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作，对在检查中发现的问题，检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位，隐患分为重大隐患和一般隐患，对于重大隐患，信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案， 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪，并组织复查，对未能按期完成整改的单位，信息安全专职 10 个工作日内汇报信息管理部门负责人， 信息管理部门有权向人资部建议对其进行绩效考核。

2.3 信息安全应急预案管理

信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划，并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定，各种预案制定后 5 个工作日内交本部门主要负责人审批，审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训，并按年度计划开展预案演练。 根据演练结果，10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订， 对更新后的内容， 需在 10 个工作日内经本部门领导审批，并在审批通过后 5 个工作日内报信息管理部门备案。

2.4 安全事件统计、调查及组织整改

信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件，并在每月 30 日以书面形式报告信息管理部门信息安全专职， 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内，信息管理部门信息安全专职负责组织对事件的调查，调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行，并组织开展信息系统事故原因分析，坚持“四不放过”原则，调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。

3评估与改进

公司信息安全建设篇10

回顾信息化建设的工作，主要包括以下几个方面：

第一、加强组织领导，促进信息化规范管理制度。公司成立了以总经理为组长的信息化领导小组，建立各种制度，明确人员职责。重视管理，由办公室信息化专人开展工作，抓好公司的信息化建设。

第二、信息化建设得到了进一步规范推进和强化。按照集团要求，落实了信息网络安全防患措施以及网络与信息系统安全保障工作机制，加强了信息系统、财务软件的管理升级等实施工作，保障了企业内部办公系统的安全稳定运行。认真做好信息化设备低值易耗品计划和管理。

第三、信息网络安全检查机制得到巩固和保障。按照集团信息安全严格规范的总要求，结合企业网络信息安全管理工作要求，从网络信息安全、网络工作环境净化源头抓起，一是做好信息系统的后台管理与日常维护，开展了信息网络安全定期巡检、定期检查、日常维护检查和问题排查处理。及时做好信息系统安全升级工作，做好节假日信息安全部署与检查工作。

第四、是信息化队伍建设和人员素质得到了巩固和提高。我公司坚持抓好信息化队伍建设及学习培训，提升应用水平。结合公司要求，开展了信息安全教育、操作系统安全运行和日常维护管理等方面知识培训。通过这些学习培训活动，促进了全公司员工信息化应用水平提高。

二、下一步信息化工作的计划

接下来我们要以企业发展为契机，着力推进信息化建设

1、加强组织领导，进一步规范工作制度，落实工作责任，加快信息化基础设施建设。

2、加强信息人才队伍的建设，建立完善多层次、多渠道、重实效的信息化队伍的培训制度，努力建设一支过硬的信息化队伍。

公司信息安全建设篇11

关键词：设计 供电企业 信息系统

一、供电企业信息化建设现状分析

（一）早在2000年10月，《中共中央关于制定国民经济和社会发展第十个五年计划的建议》就向全党、全国人民指出“大力推进国民经济和社会信息化，是覆盖现代化建设全局的战略举措。以信息化带动工业化，发挥后发优势，实现社会生产力的跨越式发展。”

（二）几年来，信息化作为划时代的产物己被全社会认识和接受并且逐渐深入人心，国内互联网用户前五年呈几何级数增长，网络无处不在、无时没有、触手可及、内容丰富，正在深刻改变人们的工作方式乃至生活方式，为信息化的深入发展提供了法律和政策保障。

（三）供电企业是我国计算机应用较早的行业之一，信息技术在电力生产、建设、经营、管理、科研、没计等各个领域有着十分广泛的应用，在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益，有力促进了供电企业的发展。

（四）随着全社会对电力的需求持续增长，人们对电网调度“三公”信息及时披露、发电量竞价上网、电力营销优质服务等也提出了越来越高的要求，公司系统对外网站成了与人民群众密切联系的桥梁和纽带。

（五）当代信息技术飞速发展、日新月异，强有力地支持人们对信息化的巨人需求。电力体制改革处在持续渐进的过程中，在某些方面还存在不确定性，以面向管理为重点的信息化建设如过于超前就会面临较大的风险。

二、供电企业管理信息系统构建的指导思想

供电企业管理信息系统构建的指导思想：紧密围绕“一强三优”现代公司发展目标，贯彻集约化管理的思路，以安全生产为基础，以经济效益为中心，以强化管理为重点，以优质服务为宗旨，充分利用当代信息技术和先进理念，以国际先进水平为导向，以国际一流电力公司为标杆，加大信息化投入，实现信息资源的优化整合，大力推进公司管理信息化建设，以信息化带动生产自动化、管理现代化和决策科学化，全面实现公司核心业务的信息化，为公司的可持续发展提供强有力的管理手段和技术保障。

三、供电企业管理信息系统构建的基本原则

（一）战略驱动原则。坚持信息化建设围绕公司战略目标的原则。围绕公司的发展目标和战略，以公司各部门的需求为基础，结合信息化的实践和对信息技术发展趋势的把握，提出公司的信息化远景、目标和战略，全面系统地指导公司信息化进程，并且将信息化建设目标转换成可操作的短期实施计划，及时满足公司发展的需要。

（二）统筹规划原则。信息化建设必须坚持“统筹规划、分步实施”、“远近结合、突出重点”的原则，从公司实际出发，以业务需求为导向，统一安排应用系统的建设和推广应用，突出重点，优先安排基础设施和公司发展急需的应用系统的建设，分步实施，分层推进，促进各层面（各级企业、各种业务）和各主线（关键业务、流程）信息技术的广泛应用和信息化发展的有序、协调发展。

（三）管控联合协调发展原则。供电企业信息化建设包括电网自动化与管理自动化两大要素，管理信息系统要与自动化系统有机结合，实现管控联合，提升公司信息系统的实时化水平，及时反应公司运营动态，在公司核心业务和流程所涉及的各个层面和环节提供无缝支持，实现生产运营的全面信息化。

（四）集约化标准化原则。在确保信息安全的前提下实现信息资源的优化配置、统一管理、充分共享、安全可靠。健全信息化标准体系，新建、升级的应用系统必须采用公司规定的标准，己建的系统要逐步改造以满足标准的要求。

（五）实用先进原则。信息技术应用和系统建设要兼顾先进性、开放性、成熟度和公司实际情况，积极采用先进技术手段，适应技术发展和需求变化的要求，实现实用性与适度超前、经济性与灵活性、可扩充性的有机统一。

（六）建管并用原则。加强信息系统的全生命周期管理，统一考虑系统建设、运行、维护、应用等信息化建设过程各环节，从组织、人员、资金等各方面加以系统性落实，实现各个环节的平稳过渡和有序衔接。

四、供电企业管理信息系统构建的总体目标

供电企业管理信息系统构建的总体目标为基本建成满足“十一五”信息化发展需要面向未来的一体化信息化基础设施，基本实现公司核心业务的全面信息化，使“十五”期间初具规模的“供电公司数字化电网、信息化企业”发展到新阶段，在国内电力行业继续处于领先地位。

①为保障系统的正常运行，操作系统的版本要求相对稳定，版本的升级或补丁的修订按公司统一部署实施。②根据供电公司管理信息系统的特点，系统采用基于J2EE技术的多层WEB应用程序架构，它具有可伸缩、事务处理能力强、可扩展且安全可靠等特点。③在系统安全方面，采用电力统一推广应用的PKI安全认证技术，实现系统用户的身份认证和数字签名，以保证系统安全、可靠运行。④接口设计：接口程序的设计基于“数据整合、功能融合”的大思路，在具体实现上采用松散偶合的结构，使各个系统保持一定的独立性，保证在没有接口的情况下系统能够正常运行，同时尽量不要引起这些系统的程序改动。

最后，应用系统包括覆盖公司全部业务领域的生产管理、财务管理、工程管理、营销管理、人力资源管理等专业系统，是公司信息化建设的主要组成部分。

参考文献：

[1]王继业.对电力体制改革候电力信息化建设模式的分析与探讨，电力信息化，2004，（1）：12-14

[2]张华钦.电力企业信息化与管理变革[J]电力信息化，2004（8）：19-22

[3]彭安福.电力企业现代管理[M]北京：中国水利电力出版社，1999 12

[4]孙成宝，李广泽.配电网实用技术[M]北京：电力出版社，2002，2

[5]国家电网公司，信息化十一五规划，北京：2006 3

[6]叶世勋.现代电网控制与信息化[M]北京：中国水利水电出版社，2005，1

公司信息安全建设篇12

笔者就职于四川电力建设三公司（以下简称为“公司”），从事企业信息化管理工作。四川电力建设三公司是一家典型的电力施工企业，拥有众多的施工项目，分散在国内外各地。随着信息技术的飞速发展，公司也紧跟时代的脚步，开发并使用了一系列信息系统，包括公司OA办公系统、数据报表系统、人事管理系统、财务资金管理系统、资产管理系统、邮件系统等。由于公司是一家大型电力施工企业，主营业务为电源建设，项目投资金额大、项目周期长、生产环节繁杂、参与人员较多，因此信息系统的数据流链条较长、信息采集点较多，且包含大量公司商业秘密，信息系统的安全保障是公司异常关注的重点工作。本人在多年的工作实践中，积累了一定的信息系统保障工作经验，现对此项工作进行全面总结。信息系统安全保障工作，从宏观角度可以分为信息安全管理体系建设、信息安全组织与管理、信息安全法规与标准化工作、信息安全技术工程几个方面。

信息安全体系建设主要指信息安全管理体系ISMS的建立与运行。信息安全管理体系ISMS是目前国际上使用较广泛的信息安全管理方法，其认证标准对企业进行信息安全保障工作具有较强的指导意义。公司作为一家大型电力施工企业，未雨绸缪，在本世纪初就开始了相关的体系建设工作。信息安全管理体系ISMS的相关标准有ISO/IEC27001和GB/ T22080，主要有规划建立、实施运行、监视评审、保持改进四个过程。

1、在规划建立阶段，公司参照国际国内先进企业经验，确定了公司ISMS组织结构范围、业务范围、信息系统范围和物理范围，制订了ISMS方针，确定了风险评估方法。2、在实施运行阶段，公司制定了风险处理计划、实施风险处理计划、开发有效测量程序、实施培训和意识教育计划、管理ISMS运行。其中，工作重点是对具体风险的有效应对与控制。公司针对面临的各项风险制定了专门的风险管理计划，对每一项风险的处理优先顺序、处理措施、所需资源、责任人、验证方式进行了详细定义，确保风险管理的可执行性。3、在监视评审阶段，公司通过日常监视与检查、内部审核、风险评估、管理评审等活动确保整体监控水平。4、保持改进阶段，公司主要活动为实施纠正和预防措施，消除各个管理不符合项，确保在发生信息安全事件时，能够从容应对、科学分析，并采取最优的处理措施。

公司信息安全建设篇13

当今，很多企业会谈到云计算。因为云的弹性，让原本清规戒律般必须死守的信息化建设思路，一下改变了风格。“像用水用电一样使用IT资源”—随着时间的推移，众多企业不断将这一理想推向现实的土壤，期待它早日从超现实状态，迈入企业日常运转当中。2012年春季第四届CCS云计算高峰论坛中，很多优秀的企业发出了“云计算”已经落地的信号，可是事实是否如此，还有待时间去考验。

云计算这一模式是否已经通过成熟的案例成功落地还有待进一步考验，但很多企业早已经在进行信息化建设的时候，充分考虑到这一要素。如果产品具备高可扩展性，这会让该产品得到很多企业的关注和使用，利安人寿保险股份有限公司（以下简称“利安人寿”）就是对这一特征高度关注的一家企业。

利安人寿成立于2011年7月，注册资本10亿，53%的股份是国企资本，47%是民营。从数据上看，这是一家处于高速成长期的中小企业。

处于高速成长期的企业，最大的特点就是不确定性—今天的高度，很有可能是昨天的规划书中无法描绘的，而明天的高度，很有可能被今天视为痴人说梦。对于这样的一家企业，什么是实惠？选择到能让节约成本“动起来”的产品，就是实惠。

然而能够真正享受这样的实惠，重要的一点，就是先学会“过日子”。

不做“小白鼠”

利安人寿的发展，每一步都体现出公司“精打细算”的特点。

年轻的企业，会具备这一阶段企业的共性—精简、高效、适应能力强。为此，公司在发展的各方面，有不同的要求：在使用人才方面，每一位员工自身必须具备高素质；在对待工作方面，每一位员工必须高要求对待任务；在公司产品设计方面，每一位员工必须按照高标准为客户服务。在这样的企业文化感召之下，利安人寿的发展也非常迅速。“对于利安人寿而言，这‘三高’是我们一贯坚持的要求。”利安人寿信息技术部基础架构的负责人周可牧表示。

良好的势头，不代表公司就有了足够的实力，能够把投入公司信息化系统建设的每一分钱用到位，正是公司信息化建设部门必须考虑的问题。在市场中选择理想产品的时候，利安人寿并不愿意做一锤子买卖。如果产品需要一次性投入，利安人寿多数会将其视为第二，甚至是第三备选。

为扩大公司硬件的容量，简化软件的重新配置过程，让信息化建设工作尽快赶上公司发展的速度，公司没有采购单台PC服务器，而是采购了刀片服务器，并大量使用虚拟化技术。一方面节约了成本，一方面提升了效率。“我们的工作，就是通过信息化手段，提升公司的业务能力，寻找缩减成本的空间。”周可牧说。

这样精打细算的特点，也体现在数据中心搭建的过程中。为完成信息化基础设施建设工作，公司在基础架构建设方面投入1300多万元，信息化建设总投入达到3000万元。公司搭建的数据中心，都是紧紧围绕业务上线；为了缩短业务系统的上线时间，公司外包了应用系统的建设工作。围绕信息化的所有工作，都是为业务提供尽可能多的支撑，如果项目资金的总投入中，管理费用占据了大部分，这就不是公司所需的。

企业的发展已经离不开信息化建设，这已经得到公司从上到下的承认，但是对于利安人寿来讲，大刀阔斧地改革信息化，很有可能造成适得其反的结果，这更不是公司最初的想法。为了做好信息化的建设工作，很多企业会选择制定前期规划，将工作细化至具体环节的每一步。云计算的理念出现后，很多企业曾有过大量资金的投入，建设公有云和私有云项目，革命性地推进信息化建设，既有成功的案例，同样也有失败的案例，利安人寿并不想成为后者，于是步步为营的方针在信息化部门体现得非常明显。“我们不要做信息化建设的小白鼠。”周可牧说。

利安人寿的“口碑论”

对保险业而言，电话系统是非常重要的环节，因此在选择产品的过程中，利安人寿非常谨慎。

在选择产品的过程中，公司的原则还是成本，在市场中寻找高性价比的产品。面对浩如烟海的企业宣传册，口碑相传的产品会让负责该工作的周可牧更为看重。很多时候，同类型同规模的企业谈论电话系统产品的优劣，周可牧都会记住话题产品。得知利安人寿的采购信息，很多企业闻讯而来，推销员多次联系周可牧，希望利安人寿能够选择他们提供的产品，但最终周可牧还是否定了他们。

经多方打听，周可牧最终将目标锁定在Avaya IP Office产品。“Avaya公司以及他的合作伙伴并没有谁来找过我，是我们在查阅资料，了解情况之后，主动联系他们的。”周可牧表示，在与他人交谈电话系统的话题中，Avaya经常会成为话题中心，通过各种渠道了解Avaya的产品之后，周可牧判断该公司的产品能够满足利安人寿的业务需求。“除了我了解的同类型企业之外，Avaya还有其他保险行业的成功案例，很多知名的保险公司都是他们的客户，这远比之前推销员的介绍更加吸引我们。”周可牧补充道。

目前，利安人寿主要在江苏省内开展业务，总公司和分公司选择了Avaya的高端产品，规模较小的地市级分支机构全部使用了IP Office的产品。由于该产品组网的灵活性，利安人寿实现了IP Office电话系统与总公司、分公司高端Avaya产品的互联，让全省所有的通话、沟通成本降为零，通信的费用降低了30%。“利安人寿是全国性的寿险公司，未来将逐步在全国各省内开设分支机构。即使在其他地级市采用这种组网方式，利安人寿分支机构内部通话也都能实现完全免费。这样的投资回报是相当可观的。从公司业务收入情况粗略估算，三到五年可以收回全部投资。”周可牧表示。

让人头痛的人才问题

和所有新企业一样，利安人寿为整体发展配备的人手还不够。