利剑分享 | 信息化系统的安全管理需要关注哪些重点？从零基础到精通，收藏这篇就够了！

最新推荐文章于 2025-04-23 16:14:44 发布

程序员霸哥

最新推荐文章于 2025-04-23 16:14:44 发布

阅读量920

点赞数 24

分类专栏：计算机工具程序员网络安全文章标签：安全网络 php 开发语言运维 python java

本文链接：https://blog.csdn.net/logic1001/article/details/147124573

版权

程序员同时被 3 个专栏收录

2352 篇文章

订阅专栏

网络安全

2274 篇文章

订阅专栏

计算机工具

1230 篇文章

订阅专栏

信息化系统安全管理需要关注哪些重点

近年来，随着信息技术的不断应用，信息系统已经成为各级政府、纪检监察机关业务系统、办公系统的主要支撑平台，应用范围日益广泛，但其建设过程中缺乏统筹规划和设计、预算编制不合理、资金使用不合规、资金使用绩效不佳、建设程序不合规、安全管理责任缺失、日常安全管理不严格等问题也较为突出。我们在信息化建设以及安全管理过程中应该注意哪些方面，我们通过公开资料整理了一些要点：

关注的重点

**一是关于信息系统的安全性与数据保护。**我们需要评估信息系统和数据是否得到了有效的保护和合法的利用。具体来说，我们需要确认系统是否具备足够的防御能力，以防止受到任何形式的干扰、破坏或未经授权的访问。同时，我们也要确保数据的安全性，防止数据泄露、被窃取或篡改。这些都是保障信息系统和数据安全的重要方面。

**二是关于信息系统的稳定性与数据质量。**我们需要关注信息系统是否能够稳定可靠地运行。这包括系统是否具备保障数据真实性、完整性和可用性的能力。一个稳定可靠的信息系统不仅能够确保数据的准确性，还能提供持续的服务，满足用户的各种需求。

**三是关于信息系统建设与运维的资金管理。**我们需要关注信息系统建设和运维过程中的资金管理情况。具体来说，我们需要评估资金使用的成本节约水平，即是否在满足需求的前提下，尽可能减少了不必要的开支。同时，我们还要关注资金使用的合理性和效益性，确保每一笔资金都得到了有效的利用，为信息系统的建设和运维提供了有力的支持。

关注的内容

0****1

网络安全管理

主要关注网络安全防护、权限保密管理、政务云安全防护和落实数据安全法等新规情况。

0****1

网络安全防护情况

定级、备案与测评：是否按照《信息安全等级保护管理办法》等相关制度，对信息系统进行了准确的定级、备案，并完成了相应的安全测评工作。这是确保信息系统符合安全标准，防范潜在风险的基础步骤。
容灾备份与网络日志：信息系统是否建立了有效的容灾备份机制，以应对可能发生的自然灾害或人为事故导致的数据丢失。同时，检查是否留存了完整的网络日志，以便在发生安全事件时进行追溯和分析。
应急预案与演练：是否制定了完善的网络安全应急预案，并定期开展应急演练，以检验预案的有效性和应急响应的及时性。
重大网络安全事件：是否发生过重大网络安全事件，并是否及时报告和妥善处理。这有助于发现潜在的安全漏洞和弱点，进而采取改进措施。

0****2

权限保密管理情况

**最高管理员权限：**信息系统的数据库、操作系统、机房等最高管理权限是否由公司内部人员负责管理，防止外部运维人员滥用权限或泄露敏感信息。
**安全保密协议与背景审查：**是否与参与信息化建设的企业签订了安全保密协议，并对关键岗位人员进行了必要的安全背景审查，以确保人员具备相应的安全意识和能力。
**数据存放与管理：**政务信息系统是否由政府部门直接管理，防止建设或运维企业擅自留存政务数据。对于涉及敏感信息的信息系统，应特别关注其安全防护措施是否到位，数据是否存在泄露风险。

0****3

政务云安全防护情况

私有云模式部署：存储重要政务数据、个人敏感信息的政务云平台是否采用私有云模式进行部署，以提高数据的安全性和可控性。
安全评估与境内设置：云平台是否通过了安全评估，并确保云平台设在境内，防止敏感信息在境外传输、处理和存储，从而避免潜在的安全风险。

落实数据安全法等新规情况

智能化服务：智能化公共服务和政务App是否充分考虑了不同用户的需求，特别是老年人和残疾人等群体，确保其使用便捷、无障碍。
数据分类分级保护：是否已落实数据分类分级保护制度，并确定了重要数据的具体目录，以便对不同级别的数据采取不同的保护措施。
数据安全责任与机构：重要数据的处理是否明确了数据安全负责人和管理机构，并确保数据安全保护等责任落实到位，以强化数据安全管理。

0****2

系统可靠运行

主要关注信息系统稳定可靠运行情况，可围绕信息安全技术控制和信息安全管理控制开展。

0****1

信息安全防护情况

 信息安全技术控制涉及多个层面，包括物理安全、主机安全、应用安全、数据安全和装备自主可控等，这些层面共同构成了信息系统的技术防线。

物理安全：主要关注系统机房及其重要工作房间的安全防护。通过合理的物理位置选择、严格的物理访问控制、防盗窃和防破坏措施，以及防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应和电磁防护等手段，确保信息系统物理层面的安全稳定。
主机安全：主要关注服务器操作系统、终端操作系统和数据库管理系统的安全策略与防护措施。通过身份鉴别、访问控制、剩余信息保护、入侵防范、恶意代码防范和资源控制等措施，保障主机系统的稳定运行和数据安全。
应用安全：主要关注应用系统的身份鉴别、访问控制、通信完整性、通信保密性、软件容错和资源控制等方面的安全策略与防护措施。这些措施有助于防范应用层面的安全威胁，确保应用系统的稳定运行。
数据安全：主要关注系统管理数据、鉴别信息和重要业务数据的完整性、保密性、备份和恢复等方面的安全策略与防护措施。通过数据加密、备份恢复、访问控制等手段，确保数据的安全性和可用性。
装备自主可控：主要关注信息系统在网络、主机、安全、系统软件和应用软件等方面的自主可控性。通过选用自主可控的装备和技术，促进信息系统内外结合的安全防护，提升信息系统的整体安全性能。

0****2

信息安全管理情况

 信息安全管理控制涉及安全管理机构、安全管理制度、人员安全管理、系统建设安全管理和系统运维安全管理等多个方面，这些方面共同构成了信息系统的管理防线。

安全管理机构：建立健全的安全管理机构，明确岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等职责和流程，确保安全管理工作的有序开展。
安全管理制度：建立完善的安全管理制度体系，包括总体方针、安全策略、管理制度、操作规程等文件，覆盖物理、网络、主机、应用和数据的建设及管理等内容。同时，确保制度的及时评审、发布、修订和实施，以适应不断变化的安全环境。
人员安全管理：加强运维人员离岗、安全意识教育和培训等方面的管理，提高人员的安全意识和技能水平。同时，严格外部人员访问管理，防止未经授权的访问和泄露敏感信息。
系统建设安全管理：在系统建设阶段，注重安全定级、安全方案设计、产品采购和使用、软件外包开发、工程实施、测试验收、系统交付、系统安全备案和安全服务商选择等方面的管理，确保系统建设符合安全标准和要求。
系统运维安全管理：在系统运维阶段，加强环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置和应急预案管理等方面的工作，确保系统运维的安全稳定。同时，对于采用第三方外包方式进行系统运维的情况，要加强第三方运维管理，确保其有利于系统运维安全，避免引入新的安全风险。

0****3

资金使用合规

主要关注****资金申报、资金使用、资金绩效和违规收费等情况。

0****1

资金申报情况

立项资料：信息化项目立项审批台账，调阅信息化建设项目立项申报资料、批复情况及资金申请计划、审核资料是否完备合规。
重复建设：是否存在同一信息化项目多头申请资金或申请资金建设功能重复的信息系统，特别是因部门职能调整，职能承接部门重复建设信息系统等情况或沟通不畅导致不同部门重复建设功能近似的信息系统等问题。

0****2

资金使用情况

**使用程序：**财政预算编制、指标下达和国库集中支付相关文件、台账等资料是否完备合规，结合部门科目余额表、明细账及会计原始凭证等财务资料，信息化建设资金的拨付、使用和结余结转情况程序是否合规。
**支出用途：**信息化项目己验收，结余资金是否及时上缴财政；是否存在项目资金被挤占挪用，特别是用于违规发放津补贴、弥补人员支出和公用支出；是否存在为满足财政资金使用绩效考核等要求，在不满足付款条件下，项目单位违规突击花钱等情况。

0****3

资金绩效情况