本站小編為你精心準備了石化銷售企業信息論文參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

一、信息安全風險的評估

衡量安全管理體系的風險主要方法是進行信息安全風險的評估，以此保障信息資產清單和風險級別，進而確定相應的防控措施。在石化銷售企業進行信息安全風險的評估過程中，主要通過資金、威脅、安全性等識別美容對風險進行安全檢測，同時結合企業自身的實際情況，擬定風險控制相應的對策，把企業內的信息安全風險竟可能下降到最低水平。

（一）物理存在的風險機房環境和硬件設備是主要的的物理風險。當前，部分企業存在的風險有：1）企業機房使用年限過長，如早期的配電、布線等設計標準陳舊，無法滿足現在的需求；2）機房使用的裝備年限太長、例如中央空調老化，制冷效果不佳導致溫度不達標，UPS電源續航能力下降嚴重，門禁系統損壞等，存在風險；3）機房安全防護設施不齊全，存在風險。

（二）網絡和系統安全存在的風險石化訪問系統的使用和操作大量存在安全風險，其中主要風險包括病毒入侵、黑客襲擊、防火墻無效、端口受阻以及操作系統安全隱患等。即使大部分企業已安裝統一的網絡防病毒體系、硬件防火墻、按期更新網絡系統軟件、安裝上網行為監控等，但因為系統漏洞數目不斷增多網絡結構和襲擊逐漸減弱或者因為信息系統使用人員操作系統本身的安全機制不完善、也會產生安全隱患。

（三）系統安全風險沒有經過許可進行訪問、數據泄密和被刪改等威脅著系統的安全性。提供各類應用服務是企業信息系統的首要任務，而數據正是應用信息系統的核心，因此，實際應用與系統安全風險密切聯系。當前，信息應用系統存儲了大量的客戶、交易等重要信息，一旦泄露，造成客戶對企業信任度影響的同時也會影響企業的市場競爭力。

（四）安全管理存在的風險安全管理存在的主要指沒有同體的風險安全管理手段，管理制度不完善、管理標準沒有統一，人員安全意識薄弱等等都存在管理風險，因此，需要設立完善的信息系統安全管理體系，從嚴管理，促使信息安全系統正常運作。一方面要規范健全信息安全管理手段，有效較強內控IT管理流程控制力度，狠抓落實管理體系的力度，杜絕局部管理不足點；另一方面，由于信息安全管理主要以動態發展的形式存在，要不斷調整、完善制度，以符合信息安全的新環境需求[2]。

二、信息安全管理體系框架的主要構思

信息安全管理體系的框架主要由監管體系、組織體系和技術體系形成，特點是系統化、程序化和文件化，而主要思想以預防控制為主，以過程和動態控制為條件。完善安全管理體系，使石化銷售企業信息系統和信息網絡能夠安全可靠的運作，從機密性、完整性、不可否認性和可用性等方面確保數據安全，提升系統的持續性，加強企業的競爭力。

（一）組織體系企業在完善管理體系過程中應設立信息安全委員會和相關管理部門，設置相應的信息安全崗位，明確各級負責的信息安全和人員配置等內容。在全面提升企業人員對信息安全了解的過程中必須進行信息安全知識的相關培訓，使工作人員提高信息安全管理意識，實現信息安全管理工作人人有責。

（二）制度體系操作規范、安全策略、應急預案等各項管理制度經過計劃和下發，讓信息安全管理有據可依。企業參照合理完善的各項制度進一步優化業務流程，規范操作行為，降低事故風險，提升應急能力，以此加強信息安全的管理體系。

（三）技術體系管理技術、防護技術、控制技術是信息安全管理體系的主要技術基礎。安全技術包括物理安全技術、網絡安全技術、主機安全技術、終端安全技術、數據安全、應用安全技術等。一旦出現信息安全事件，技術體系會在最短的時間內降低事件的不良影響，依靠相關的信息安全管理技術平臺，以實現信息安全技術的有效控制[3]。管理體系的核心是技術手段，先進的加密算法和強化密鑰管理構成的數據加密方式全程控制數據傳輸和數據存儲，可以保證數據的安全性。采用堡壘機、防火墻等安全系統可以過濾掉不安全的服務和非法用戶，防止入侵者接近防御設備。IDS作為防火墻的重要功能之一，能夠幫助網絡系統快速檢測出攻擊的對象，加強了管理員的安全管理技術（包括審計工作、監視、進攻識別等技術），提高了信息安全體系的防范性。企業數據備份這一塊可以采用雙機熱本地集群網、異地集群網等各種形式進行網絡備份，利用體統的可用性和容災性加強安全管理能力。近年來各個企業的惡意軟件、攻擊行為手法變化多端很難防御，在各種壓力下，傳統的的安全防預技術受到了嚴峻的考驗，這時“云安全”技術當之無愧成為當今最熱的安全技術。“云安全”技術主要使用分部式運算功能進行防御，而“云安全”技術對于企業用戶而言確實明顯的保障了信息的安全性以及降低客戶端維護量。“云安全”技術是未來安全防護技術發展的必由之路，且今后“云安全”作為企業安全管理的核心內容為企業的數據、服務器群組以及端點提供強制的安全防御能力。”

三、信息安全管理體系相關步驟

由于管理體系具有靈活性，企業可依據自身的特點和實際情況，使用最優方案，結合石化銷售的特征，提出以下步驟：1）管理體系的重要目標；2）管理體系的主要范疇；3）管理體系現狀考察與風險估量；4）完善管理體系的制度；5）整理管理體系的文檔；6）管理體系的運行方式；7）信息安全管理體系考核。

四、結論

現代企業管理與信息安全技術的發展要求我們對信息安全技術和產品本身不能完全的依賴，因為即使企業投入了巨大的人力、物理、財力，現實中也很難做到百分百的安全。信息安全標準越高，企業投放就越大，所以需要在信息安全標準與企業效益之間尋求一個平衡點。另外，企業要保持信息安全管理體系長久有效運行，最主要的是設立信息安全獎懲機制、連續改進機制和內部信息安全審計機制。在信息安全管理體系建設全過程中，更要注重專業人才的建設和培養。要廣泛的開展信息安全宣傳、教育不斷提升全體員工的安全意識，使“要我安全”向“我要安全”的意識轉變。

作者：馮剛單位：中石化山西忻州石油分公司