您的位置首页百科知识

信息安全方案

信息安全方案

信息安全方案(精选8篇)

为了确保事情或工作有效开展,就常常需要事先准备方案,方案一般包括指导思想、主要目标、工作重点、实施步骤、政策措施、具体要求等项目。那么我们该怎么去写方案呢?下面是小编为大家整理的信息安全方案,欢迎阅读与收藏。

  一、指导思想

通过开展信息安全教育活动,广泛宣传国家互联网管理、使用及网络安全等法律法规,营造文明健康网络环境,倡导文明上网,引导学生健康上网,自觉抵制网络不良信息,促进青少年学生健康成长。

  二、活动安排

1.广泛深入开展宣传。班级各结合实际,充分利用周会升旗、道法课、信息课及黑板报,班队会等广泛开展宣传动员,使学生充分认识信息道德教育的必要性和重要性。

2.努力营造健康网络信息环境。计算机要安装绿色上网过滤软件,利用技术手段及时发现并处理网络不良信息,确保建设绿色校园网络环境。密切社区、家庭的联系,通过家长会、手机短信(家校通)、致家长一封信等形式,争取社会、家庭的广泛支持,努力营造关心、支持学生信息安全教育的良好氛围。

3.切实加强信息法制和安全教育。认真贯彻落实《中小学法制教育指导纲要》,引导学生自觉践行《全国青少年网络文明公约》,树立网络信息责任意识和安全意识,自觉抵制网络不良行为。将网络信息法制教育、网络信息安全教育纳入学校德育和安全教育工作内容之中,制定工作计划,有目的、有步骤地开展好活动。

4.突出重点。要根据各年龄段学生的身心特点和学习的需要,有针对性地开展教育活动,尤其是对进城务工人员随迁子女和留守儿童等重点群体进行重点关注和引导,让学生形成对网络信息安全的正确认知,增强安全判断能力,自觉形成文明上网的良好习惯。

5.注重总结,形成班级管理长效机制。及时对班级此次教育活动中存在的问题、取得的成效进行总结,注意树立典型,以典型促发展,增强网络安全教育工作的实效性,并逐步建立健全相关规章制度,形成网络安全教育的班级长效机制。

  三、活动内容及方式

1.积极开展“安全网上行”主题班队会活动。通过灵活多样的形式,引导学生安全上网,形成正确的网络认识观,享受着网络给我们带来的便捷,对沉迷网络、浏览不良信息等现象严加抨击。

2.以《全国青少年网络文明公约》的“五要五不”为基础,全面开展网络法制教育。通过讲座、主题讨论的方式,运用正反事例,让学生较深刻地体会网络不良信息的存在与危害,敲响警钟,引起学生的警醒,产生内在的免疫力,自觉远离网络垃圾,抵制不良的上网行为。

3.开展“安全上网”网络征文等活动,依托吸引力强、参与性高的文娱和益智活动,用健康向上的校园网络活动充实学生课余生活。

4.通过致家长的一封信,争取广大家长与学校一起有效监控和引导学生正确使用互联网和手机,倡导家长对孩子上网进行合理引导和约束。

为落实省联社《关于印发《黑龙江省农村信用社网络与信息安全检查工作方案》》的通知精神,力求使本次检查工作达到预期效果,特制定本方案。

  一、检查目的

通过开展信息安全检查,进一步梳理、掌握本单位重要网络与信息安全基本情况,查找突出的问题和薄弱环节,分析面临的安全威胁和风险,有针对性的采取防范对策和改进措施,加强网络与信息系统安全管理和技术防护,促进安全防护能力和水平提升,预防和减少重大信息安全事件的发生。

  二、检查范围

此次检查工作范围是辖内的网络与信息系统,检查工作按照“谁主管谁负责、谁运行谁负责”的原则开展。

  三、检查重点

(一)系统安全运行情况。

检查各个信息系统运行情况。综合业务网络杀毒软件更新、运行情况;外网办公用计算机病毒查杀情况;操作系统和软件使用情况是否安全;是否存在内外网混用情况;终端机是否开启安全防护措施。

(二)安全管理情况。

1、信息安全主管领导、信息安全管理部门、信息安全工作人员履职以及岗位责任情况等;

①信息安全主管领导明确及工作落实情况。

是否有领导分工等相关文件,是否明确了信息安全主管领导,检查信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。

②信息安全管理部门指定及工作落实情况。

检查部门分工文件,是否指定了信息安全管理部门。是否制定了工作计划、工作方案、管理规章制度、监督检查记录等文件,检查管理部门工作落实情况。

③信息安全工作人员配备及工作落实情况。

检查人员列表、岗位职责分工等文件,是否配备了信息安全工作人员。

2、日常安全管理制度建立和落实情况。

检查人员管理、设备管理、运行维护管理情况。

①人员管理制度。

检查人员管理制度文件,是否有岗位信息安全责任,人员离岗离职管理、外部人员来访管理等制度。检查人员离岗离职管理落实情况。

②设备管理制度。

检查设备管理制度等文件。是否有设备发放、使用、维修、维护和报废等相关制度,是否明确了相关管理责任人。硬件设备登记情况,包括PC机,路由器,交换机,UPS及其他主要设备。检查《计算机硬件设备登记簿》。

③运行维护管理制度。

检查是否建立了运行维护管理等相关制度文件,是否包含事故处理记录、数据维护情况等相关内容。检查运维操作手册和运维相关记录,检查是否有事故处理记录、数据维护记录、运行维护管理制度落实情况及相关记录完整性。

(三)柜员卡安全管理。

1、是否存在柜员未随身携带柜员卡,离岗人走卡未收情况。

2、是否存在柜员卡随意转交他人使用,主要表现为柜员临时离岗不办理授权顶岗交接而直接把卡交给顶岗人使用。

3、是否存在一人多卡,两张或两张以上的柜员卡同在抽屉里存放。

4、是否存在在办理需要授权的业务时,授权柜员未按规定认真审核,将授权柜员卡随意交给前台柜员使用。

5、柜员暂时离岗未退出综合业务系统操作界面。

6、柜员卡权限调整登记簿,柜员卡使用及指纹系统使用情况。

7、柜员卡是否在领取、交接、使用、挂失上应完善制和健全登记薄。

(四)技术防护情况。

检查所有接入互联网的计算机设备是否安装了最新的杀毒软件和病毒防火墙,统计网络外连的出口个数,是否每个出口都进行了安全措施。检查网点路由器、交换机等设备配置是否合理,是否启用了有效的身份控制、访问控制功能。

(五)应急处理及容灾备份情况。

重点检查应急预案、应急演练和灾备措施情况。检查应急预案制定和修订情况。检查应急演练人员对预案的熟悉程度。检查冗余设备情况。

  四、检查工作领导小组

组长:王占斌

副组长:郎天德、赵长斌、申佳军、徐丽虹、石振涛、池忠波

成员:张鑫磊、徐传恒、荆长宇、高享、秦阳、丛克刚

检查工作领导小组办公室设在网络中心。

  一、工作目的

按照《云南省工业和信息化委员会关于开展20xx年度云南省政府信息系统安全检查工作的通知》要求,根据《国务院办公厅关于加强政府信息安全和保密管理工作的通知》、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》以及《云南省政府办公厅关于印发<政府信息系统安全检查实施办法>的通知》、《20xx年度云南省政府信息系统安全检查指南》、《昆明市人民政府办公厅关于印发昆明市政府信息系统安全检查工作方案的通知》精神,坚持“谁主管谁负责,谁运行谁负责、谁使用谁负责”的原则,开展20xx年度石林彝族自治县人民政府信息系统安全检查工作,贯彻落实国家对于信息安全工作的各项要求,在全县范围内对各乡镇、各部门信息系统安全工作进行全面检查,掌握我县党政信息系统安全状况,发现存在的主要问题和薄弱环节,完善信息安全制度,加强安全防护措施,提高信息安全水平,信息安全工作方案。

  二、组织机构

成立石林彝族自治县网络信息安全检查领导小组(以下简称领导小组)。

组长:

副组长:

成员:

领导小组下设办公室在县信息产业办,负责组织实施本次安全检查工作,由段圳宗同志兼任办公室主任,办公室工作人员从领导小组成员单位抽调。

  三、具体工作

(一)检查范围:各乡镇人民政府,县直各部委办局在内外网运行的办公系统、业务系统、网站系统等。各乡镇、各部门的重要业务系统、门户网站是检查重点。

(二)按照《政府信息系统安全检查实施办法》、《20xx年度云南省政府信息系统安全检查指南》(附件一),请各乡镇、各单位对照进行自检,并形成书面材料(附电子文档),填写《20xx年石林彝族自治县人民政府信息系统安全检查报告表》(附件二、三)盖章并附电子文档,于20xx年6月13日前一并报领导小组办公室。

(三)针对当前政府信息系统存在的薄弱环节,按照《云南省政府信息系统安全检查实施办法》要求,重点检查以下内容:

1、信息安全组织机构。

2、日常信息安全管理。

3、等级保护与风险评估。

4、建设防范手段建设。

5、应急管理工作开展。

6、信息技术产品和信息安全产品使用。

7、信息安全服务。

8、信息安全教育培训。

9、信息安全经费保障。

10、安全隐患排除及整改。

(四)领导小组对县重点部门的网络信息安全进行现场抽查。

(五)20xx年6月中下旬接受市网络信息安全检查工作组到石林检查,具体检查单位根据市检查组通知临时确定。

(六)20xx年9月根据我县的信息安全检查结果,对检查中发现的问题,将按照《政府信息系统安全检查办法》的规定,责令相关部门限期整改,并追究有关人员的责任。

(七)自20xx年10月起,各乡镇、各单位开展20xx年下半年信息安全检查工作。在上半年工作的基础上,进行自评、自查并形成书面材料(附电子文档),填写《20xx年度石林彝族自治县政府信息系统安全检查报告表》(附件二、三)盖章并附电子文档,于20xx年10月15日前一并报领导小组办公室,规划方案《信息安全工作方案》。

  四、工作要求

各乡镇、各部门要把政府信息系统安全检查工作列入重要议事日程,加强领导,明确检查责任,落实专职的检查人员和经费,保证检查工作顺利进行。要求所有参与检查的人员必须严格按照《云南省政府信息系统安全检查实施办法》和《20xx年度云南省政府信息系统安全检查指南》要求开展工作,要特别强调工作中注意信息安全和保密。涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。

根据总分行相关文件精神,为妥善应对和处置我行重要信息系统突发事件,确保重要信息系统安全、稳定、持续运行,防止造成重大损失和影响,进一步提高网络与信息系统应急保障能力,特制定本演练方案:

  一、指导思想

以维护我行重要业务系统网络及设备的正常运行为宗旨。按照“预防为主,积极处置”的原则,进一步完善丹东中支应急处置机制,提高突发事件的应急处置能力。

  二、组织机构

(一)应急演练指挥部:

总指挥:xxx

成员:xxx、xxx

职责是:负责信息系统突发事件应急演练的指挥、组织协调和过程控制;向上级部门报告应急演练进展情况和总结报告,确保演练工作达到预期目的。

(二)应急演练工作组

组长:xxx

成员:xxx、xxx、xxx、xxx

职责是:负责信息系统突发事件应急演练的具体工作;对信息系统突发事件应急演练业务影响情况进行分析和评估;收集分析信息系统突发事件应急演练处置过程中的数据信息和记录;向应急指挥部报告应急演练进展情况和事态发展情况。并做好后勤保障工:提供应急演练所需人力和物力等资源保障;做好对受影响客户的解释和安抚工作;做好秩序维护、安全保障支援等工作;建立与电力、通讯、公安等相关外部机构的应急演练协调机制和应急演练联动机制;其它为降低事件负面影响或损失提供的应急支持保障等。

  三、演练方案

(一)演练时间

xxxx年xx月xx日举行应急演练,全体科技科成员参加。

(二)演练内容:

1、与分支机构网络通信线路故障及排除。

2、电力故障及排除。

3、机房进水。

(三)演练的目的:

突发事件应急演练以提高科技部门应对突发事件的综合水平和应急处置能力,以防范信息系统风险为目的,建立统一指挥、协调有序的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。坚持以预防为主,建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,减少重大突发事件发生的可能性,加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力操作准确,降低事件可能造成的损失。

  四、演练的准备阶段

(一)学习教育。组织员工学习《银行业重要信息系统突发事件应急管理规范(试行)》、《xxxx计算机突发事件应急预案》,以网点为单位认真学习和模拟演练我社制订的应急预案,提高员工对于突发事件的应急处置意识;熟悉在突发事件中各自的职责和任务,保证信用社业务的正常开展。

(二)下发《农村信用合作联社重要信息系统突发事件应急演练实施方案》;

(三)演练指挥部全面负责各项准备工作的协调与筹划。明确责任,严格组织实施演练活动,确保演练活动顺利完成,达到预期效果。

(四)应急演练组要提前在中支中心机房要做好充分准备,在演练前一天准备好所有应急需要联系的电话号码,检查供电线路,计划好断电点,演练时掐断电源,模拟供电故障;并按演练背景做好其它准备。

  五、应急演练阶段

(一)请我行信息安全员,讲解演练知识及演练过程中的注意事项,并与其他相关同事一起温习应急预案。

(二)按照预定发生突发事故的时间表,总指挥逐项发出演练通知;

(三)参与部门及人员。科技科的全体员工都要参加,把演练当成实战,认真对待。

(四)演练的事项

1、20xx年6月30日上班后,发现网络不通,不能与辖内县支行进行通讯,无法正常办理业务,立即报告至科技科网络管理员,科技部门立即将此情况报告应急演练指挥部。指挥部启动相关应急预案并组织人员进行故障排除,网络故障排除后,网络恢复正常,可办理业务。

2、20xx年6月30日在没有接到任何通知的情况下,突然遭遇不知原因的停电,所有设备陷入瘫痪状态。办公室立即将此情况报告我行应急演练指挥部。指挥部启动相关应急预案并组织人员联系供电部门进行维修与排除。

3、由于空调损坏,导致我行中心机房进水,科技部门立即将此情况上报至应急指挥部,指挥部启动相关应急预案并组织人员进行判断与排除。科技科查明原因后立即进行排水工作,以保证我行正常业务的开展。

  六、演练要求:

1、加强领导,确保演练工作达到预期目的。在指挥部的统一部署下,科技部门全体工作人员要高度重视,提高认识,积极参加,确保演练效果。

2、科技部门调整好工作,确保人员参加,增强自己处理突发事件的能力技能。

3、完善规章制度,强化责任制的落实。演练结束后,科技科要对这次演练活动进行认真的总结,针对演练中出现的问题要及时进行整改,设备需要更新的立即请示行领导进行解决,制度不完善的立即着手完善,对于各岗位的责任制要再次加以明确和落实。

  七、总结汇报

演练结束后,科技科要对演练进行总结,针对演练中出现的问题要及时上报并进行整改。

  一、指导思想

为贯彻落实银发〔20xx〕102号《中国人民银行关于进一步加强征信信息安全管理的通知》的文件精神,进一步增强征信信息安全意识、加强征信信息安全管理,切实保护信息主体合法权益,提升人民群众在征信领域的幸福感和安全感,切实防范违规查询和非法出售征信信息等行为的发生。我公司以“重规范、保安全”为工作理念,强化征信信息安全管理意识,明晰征信信息安全主体责任,完善征信内控问责机制,完备征信业务和征信信息安全操控流程,建立健全征信信息异议事件上报处理机制与安全事件应急处置机制。严防征信信息泄露风险,坚决维护客户征信信息安全,主动自觉加强我公司征信信息安全管理工作的部署和协调。

  二、总体目标

1、加强征信管理,明确权责关系,提高征信人员思想认识。要清醒认识当前征信信息安全面临的严峻形势,切实增强征信信息安全管理意识。按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则,明确领导层中分管征信工作的责任关系。

2、加强征信培训,提高征信人员业务水平。熟练掌握征信业务操作流程,提高征信信息安全管理水平。对征信各级管理人员和从业人员进行全员征信合规性教育培训,牢牢守住不发生征信信息安全风险的底线。

3、加强异议处理,提高异议回复质量。分级建立征信用户查询操作日核查机制,完善异常查询监控、处置与报告机制,优化和调整征信查询日核查与实时监控指标,不断提高本公司自查与自控的能力。

4、完善征信内控制度及问责制度,提高安全管理水平。结合自身情况对自身的内控制度及问责制度进行全面自建自查,查漏补缺、,补齐短板。

5、加强征信自纠自查,提高制度执行力。本公司将征信管理工作纳入常规管理,按规定执行查询操作、档案管理、信用报告使用、异议处理、安全管理等问题,明确人员责任,加大处罚力度,将相关制度落到实处,切实防范征信信息泄露风险。

  三、组织领导及工作任务

为确保征信信息安全管理工作顺利推进,由征信信息安全工作领导小组组长为第一责任人,副组长为直接责任人,组员由征信录入人员及征信查询人员组成。

1、小组组长负责全面部署此次工作,并督查工作进度。

第一,保证公司关于征信合规与信息安全内控制度及问责制度有效、全面且具备可执行性;

第二,明确征信信息安全工作领导小组成员岗位职责;

第三,建立征信合规与信息安全自查自纠制度;

第四,制定征信信息安全事件应急处理方案。

将上述四项制度及方案整理成文,在小组内部研讨学习,并监督落实情况。

2、小组副组长负责分配任务及推进工作,并组织组员学习领会中国人民银行银发〔20xx〕102号文件精神。根据公司实际情况,负责本公司征信信息安全内部控制系统的运行、修订和维护工作。

落实征信信息安全问责制度及自查自纠制度的实施,并组织工作小组学习征信信息安全事件应急处置方案。负责应对各种征信合规与信息安全相关问题,必要时可上报组长,以及时准确解决相关问题。

3、小组成员中,征信录入人员及征信查询人员应全面领会征信岗位职责,明确征信信息安全内控制度及问责制度相关要求,合规合法开展征信工作。

  四、工作措施

1、加强公司内部对征信管理重要性和必要性的认识,明确分配权责关系,提高小组全员重视度,切实加强小组成员对征信信息安全管理意识。

第一,由副组长认真研读银发〔20xx〕102号文件,并梳理、提炼文件精神,组织全小组成员学习,并以学习报告的方式验收学习成果,确保文件精神深入人心,并可以指导日后征信信息安全工作的顺利推进。

第二,确保公司内部订立的征信安全相关岗位职责、内控制度和问责制度行之有效、切实落地。组长和副组长分级管理、逐级负责,小组成员谁使用谁负责。

第三,小组全员凝心聚力,确保征信信息安全管理工作顺利推进。

2、强化小组成员征信录入及查询培训,确保征信人员业务水平到位。

第一,要求小组成员熟练掌握征信业务操作流程,提高征信信息安全管理水平。

第二,通过定期检查与不定期抽查方式考核征信录入人员与征信查询人员业务水平,并纳入公司考核制度,以敦促小组成员尽职尽责。

第三,对征信各级管理人员和从业人员进行全员征信合规性教育,提高征信工作人员思想觉悟,牢牢守住不发生征信信息安全风险的底线。

3、设立征信异常查询自查机制,妥善办理异议与投诉,设置异议处理流程及制度,提高异议回复与处理质量。优化和调整征信查询日核查与实时监控指标,不断提高本公司自查与自控的能力。

第一,将异议处理职责纳入小组成员岗位职责,切实达到责任到人,有责可依。并将异议处理结果纳入问责机制,以期妥善处理异议及投诉。

第二,严格遵守异议处理事件,规范异议处理流程,按规定出具相关文书,做好异议申请、处理资料的保管、归档。

第三,强化投诉办理,规范投诉流程,及时办理信息主体投诉,提高信息主体的满意度。

第四,以异议和投诉为重要线索,对可能涉及的征信信息安全风险事件及时进行全面排查,及时发现问题和排除隐患。

4、不断完善征信内控制度及问责制度,以提高安全管理水平为目标,审视自身情况,对公司征信信息安全相关内控制度及问责制度进行由内到外、由表及里地自查自修,查找纰漏,补充缺口,健全制度体系,确保制度层次的稳健性和系统化。

第一,建立健全征信内控制度及问责制度,并及时向人民银行报备制度变更情况。

第二,建立征信信息安全情况报告制度。每月5日前向市人民银行报送异常查询、违规查询、非法提供、违规使用、信用报告泄露等征信信息安全情况统计表。及时未发生征信信息安全风险事件,亦采取玲报告制度。

第三,建立征信合规与信息安全自查自纠制度及报告制度。建立分级监控、专项核查的工作机制,按照征信内控制度的规定,对日常监测发现的风险线索以及异常查询线索,与对应的信贷业务进行逐笔核实,从授权、审核、查询、使用、存储等各个环节梳理是否存在征信违规风险隐患。按季度开展内部征信合规和信息安全自查自纠,并将自查自纠情况向人民银行书面报告。

5、不断加强本公司征信信息安全的自纠自查能力,提高全体小组成员的制度执行力,加大违反制度的惩罚力度。

第一,切实将征信管理工作纳入公司日常考核管理。

第二,按规定执行查询操作、档案管理、信用报告使用、异议处理、安全管理等问题,明确人员责任,加大处罚力度,将相关制度落到实处,切实防范征信信息泄露风险。

  五、工作要求

1、统一认识,提高认识。统一全体小组成员的思想认识,深刻把握开展征信信息安全管理的重要意义,深刻理解银发〔20xx〕102号文件的精神实质,强化全员的能动意识,人人明确岗位责任制,激发全员参与强化征信信息安全管理工作的积极性,主动性和创造性。

2、抓住重点,解决问题。针对文件精神、内控制度、问责制度、岗位职责、自查制度、应急机制和异议处理机制等内容和要求,进一步结合公司加强征信信息安全管理方面的需要,在小组内全面系统地开展自我诊断工作,找准导致公司产生征信信息安全风险的主要问题,在深入实施观察,充分论证的基础上,重点攻关,狠抓落实,确保客户信息得到有效保护,做好新时代征信信息安全维护工作,切实保护客户的合法权益,为提升人民群众在征信领域的幸福感和安全感不懈努力。

3、明确责任,抓好落实。细化工作任务、明确责任、强化考评,从严管理,全面落实各项制度规章及岗位职责,推动征信信息安全管理工作地深入开展,确保征信信息安全工作取得实效。

4、有序推进,合理安排。要集中力量解决征信信息安全工作中的瓶颈和主要矛盾,优先解决紧迫的、急的、需要快速处理的问题,对于长期的问题要制订出长期的解决措施,形成短、中、长兼顾,立体式的有序推进机制。在市人民银行的正确引导下,在完备的内控制度的有力制约下,为我国征信信息系统不断趋于完善添砖加瓦。

5、固化成果,不断进步。及时总结提炼征信信息安全管理工作经验,促进工作创新成果的有效转化,以执行制度、贯彻精神的行动理念保障工作成果,以完善标准、修订制度的方式方法固化工作成果,以服从引导、积极配合的'实际行动显现工作成果。

我公司征信信息安全工作领导小组将严格执行本工作方案,落实关于加强征信信息安全管理的各项方针要求,积极配合市人民银行的相关工作,高度重视此次征信信息安全管理工作。领会并掌握文件精神;修订并完善自身制度;具备并提升工作自觉性;认识并强化沟通交流;建立并完善审核报送机制。为提升人民群众在征信领域的幸福感和安全感做出应有贡献!

  一、企业移动信息安全方案设计

1.系统安全设计

1.1移动安全设计原则

第一、合规性原则:系统安全设计要符合国家法律法规及企业的信息安全政策,实现厂商、技术、产品整体合规。

第二、区域防护原则:根据移动应用数据的处理和传输过程,对其进行物理和逻辑多层次区域防护,以满足国家信息系统安全等级三级保护基本要求。

第三、统一规划、分布实施原则:规划统一的移动应用平台安全方案,配合企业移动应用试点、建设、推广三个阶段分布实施。

第四、保护现有投资原则:在企业现有的信息安全管理体系框架和安全技术架构基础上,根据移动应用安全的特点和管控要求进行安全功能细化和完善,保护企业现有投资。

第五、可扩展原则:在信息安全系统功能、容量、覆盖能力等各方面,系统安全架构要易于扩展,以适应业务快速变化对企业移动应用安全的安全管控要求。

1.2移动安全技术方案架构

第一、移动安全区域划分:企业移动应用平台所涉及的信息资产具有不同的安全属性和价值,因而需要不同级别的安全保护。

第二、技术功能组件设计:结合信息安全等级保护要求以及信息安全技术架构参考模型ISO13335/15408,安全技术功能分为移动应用物理安全防护、移动应用安全网络安全防护、移动终端安全防护、移动应用安全防护、移动数据安全防护等安全防护子系统。

1.3方案特点分析

企业移动应用平台系统安全方案通过管理及技术控制措施的部署,对移动应用过程中的信息安全风险进行了有效的控制,实现了风险可识别、可控制、可化解的风险管理要求。通过移动管控系统,采用主动与被动相结合方式,对整个移动应用进行任何时间、任何地点、任何人、任何事件的监督、控制和审计,确保系统安全。整体架构可充分满足国家安全及企业信息保密的管理和技术控制要求,紧扣国家及企业保密相关政策,满足合规性要求。

2.灾备方案设计

根据备份灾备需求分析,企业移动平台的灾备等级定义为六级,即数据零丢失和远程群集支持。企业移动平台的灾备方案、数据归档、同城备份、异地灾备组成多级的高可用和灾备方案,同时涉及到备份流程、恢复流程、介质管理等相关流程。

  二、企业移动信息保密方案

企业保密方案主要分为几个部分,其中重点是信息的生成、使用与交换。

  1.信息生成

对企业移动应用平台信息资产按照企业信息保密要求进行分类、分级和标识,对不同安全级别的信息资产采取保护措施。

1.1管理方案

根据相关规章制度对企业移动应用平台涉及的企业三星级及以下商业秘密信息进行分类、分级和标识,并将秘密知悉范围限定在最小范围。

三星级商业秘密是对企业整体利益、运营安全和竞争优势产生严重影响的核心秘密,包括涉及国家安全的发展战略、企业核心技术、重大经营管理决策、重大合资合作项目等事项的相关信息。

二星级商业秘密是对企业整体利益、运营安全和竞争优势产生一定影响的秘密,包括企业重要技术、重要经营管理、重要交易等事项的相关信息。

一星级商业秘密是对企业局部利益、运营安全和竞争优势产生影响的秘密,包括一般的技术和经营等事项的相关信息。

1.2技术方案

企业内部应用系统自身的办公管理类、经营管理类、生产运行类、基础应用类等四类应用系统信息数据生成现有应用系统,企业移动应用平台仅通过应用接口服务器与其进行信息访问交互,可确保业务应用信息的生成在原有应用系统的安全环境下不被破坏。企业移动应用平台自身生成的信息数据主要包含操作系统、应用程序、配置信息、应用缓存、用户缓存、审计日志等,其信息数据的生成在经过三层网络及应用安全防护安全系统架构保护环境之下,同时最核心的用户信息数据在网络及应用防护的最内层保护,可确保数据生成环境的安全。

  2.信息使用

建立统一的、基于用户身份和角色的企业移动应用平台,并建立对用户企业移动应用平台信息访问过程的日志记录和审计。

1.1管理方案

对企业移动应用平台用户进行统一的身份认证、授权、审计及账户生命周期管理,防止恶意人员假冒用户身份对企业移动应用平台信息进行滥用或故意泄露;对企业移动应用平台信息的访问和使用情况定期进行设计,确保信息使用过程是合规的经授权访问;对企业移动应用平台系统操作系统、数据库系统、应用系统管理员进行职责分离,防止内部人员对企业移动应用平台信息的滥用或恶意泄露;利用数据中心现有物理安全防护措施,实现对企业移动应用平台信息及其信息载体的物理安全使用和访问控制。

1.2技术方案

通过密码技术和企业统一的PKI/CA融合实现企业移动应用平台用户统一身份认证和单点登录,实现安全的企业移动应用平台信息访问。为移动办公终端用户每个人均下发终端特制密码设备,该终端特制密码设备内含企业广域网PKI/CA系统下发的数字证书。在移动接入区部署安全接入认证网关,终端在接入移动办公应用平台之前,必须经过安全接入认证网关对数字证书的身份认证。终端特制密码设备内置了PIN码,且具备自动锁死功能,用户连续输入PIN码错误超过设定的次数,终端特制密码设备将不能使用,进而采用双因子的身份认证保证了接入者的身份真实性。移动终端在接入企业移动应用平台之前,安全接入认证网关会对终端自身的唯一标识、终端自身唯一标识与用户终端特制密码设备的从属关系进行校验,确保合法用户在其可使用的合法终端上对企业移动应用平台进行访问。

  3.信息的存储、交换、备份/恢复、销毁。

1.1信息存储:对企业移动应用平台信息及其存储介质进行集中和统一管理,通过物理和逻辑的访问控制,实现信息的完整性和可用性保护。

1.2信息交换:建立统一的企业移动应用平台信息交换策略和控制程序,规范信息传输和交换方式,并对信息交换内容进行安全控制和审计。

1.3信息备份/恢复:建立企业移动应用平台信息的备份及恢复策略,对研发数据进行有效的备份和恢复。

1.4信息销毁:对物理设备上存储的敏感信息进行安全的清除或销毁,降低残余信息泄露的风险。

技术手段是信息安全保密工作的基础,管理制度是信息安全保密工作的保障,使用者则是信息安全保密工作的主体,只有技术到位、制度健全和使用正确,才能最大限度地消除甚至杜绝工作中的信息安全保密问题。

为增强我园教师及幼儿家长的网络xx安全意识,提高网络xx安全防护技能,按照商教发《关于开展全县第二届网络xx安全宣传周活动的通知》(商教发〔20XX〕119号)精神,我园决定开展第二届网络xx安全宣传周活动,有关事项安排如下:

  一、活动主题

本次活动主题为"共建网络xx安全,共享网络文明",旨在提高和普及我园教师及幼儿家长的网络xx安全知识,重点围绕网络诈骗、网购安全等开展宣传活动,让教师、幼儿家长了解、感知、感受身边的智能手机、网络泄密及网络购物方面的网络xx安全潜在风险,提高安全防范意识。

  二、活动时间

20XX年6月1日至7日。

  三、活动内容

1.组织教师学习党和国家网络xx安全战略、方针、政策,了解目前国家在网络xx安全方面的前沿动态。

2.我园积极采用线上加线下的方式进行网络xx安全宣传,开展网络xx安全知识普及活动。

  四、活动形式

1、针对本次活动,利用我园ETC电子显示屏制定宣传标语为:共建网络xx安全,共享网络文明。

2、在我园网站公布网络xx安全活动实施方案,扩大宣传效果。(保教处XX负责方案制定)

3、在班级家园栏向广大家长广泛宣传网络xx安全教育相关知识。(各班主任负责)

4、向家长发放网络xx安全宣传传单。

5、全体教师进行了一次网络xx安全知识培训,组织全体教师观看相关视频资料,培训内容简单实用,可操作性强。

  五、活动要求

1、保教处6月3号前制定活动方案,安排部署相关工作,活动之后要进行成果汇总,形成总结报告。

2、XX要将开展此次活动的相关材料(文本、图片等)6月8日下午6时前报县信息电教中心办公室。

安全工作报告制度,是小学安全工作的一项重要措施。

1、小学发生学生伤害事故后,小学除及时启动预案组织施救外,必须在24小时内将有关情况报告教育行政主管部门和当地人民政府,属于死亡3人以上重大事故的,小学应当在2小时内报教育行政主管部门和当地人民政府,教育行政部门接到报告后,应当在2小时内报告上级教育行政部门和同级人民政府安监部门。

2、小学发生涉及学生伤害的违法犯罪事件、交通事故以及火灾、食物中毒、急性的传染病症状等情况的,除向教育行政主管部门和当地人民政府报告外,还必须立即报告当地公安、卫生等有关部门。

3、小学安全事故报告范围,除包括校内校外各种非正常死亡外,也包括对校园秩序和师生人身安全造成较大影响的、抢劫、纵火、爆炸、盗窃等重大刑事案件以及校舍倒塌、校园火灾、食物中毒等重大安全事故。

4、在实施安全工作目标考评中,对校园内或由小学组织的活动发生死亡事故或重大刑事案件和安全事故瞒报现象的,将实施安全工作“一票否决制”。对发生迟报现象的,小学必须向教委作出书面解释,理由不充分的,将给予通报批评。情节严重的,直接予以通报批评。对由于瞒报、迟报导致安全事故扩大或造成重大经济损失的,将严肃追究相关责任人和主要领导者的责任。

5、学生到校和放学时间、学生非正常缺席或者擅自离校情况、以及学生身体和心理的异常状况等关系学生安全的信息,及时告知其监护人。

6、对有特异体质、特定疾病或者其他生理、心理状况异常以及有吸毒行为的学生,小学应当做好安全信息记录,妥善保管学生的健康与安全信息资料,依法保护学生的个人隐私。