趙首花+閆育蕓+楊向東

建設(shè)信息化，用信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化，是我們的戰(zhàn)略方針。重視信息系統(tǒng)的安全問(wèn)題與發(fā)展信息化同等重要。如果對(duì)信息安全問(wèn)題熟視無(wú)睹，信息安全得不到保障，那么，信息化對(duì)工業(yè)化的推動(dòng)作用將很難得到有效發(fā)揮。因此，信息安全是兩化融合發(fā)展的前提和保障，要想兩化融合能夠較好較快地穩(wěn)定發(fā)展，必須注重信息安全的建設(shè)。

建立完善管控體系

隨著信息化的發(fā)展，管理者的職能也在不斷變化。對(duì)于如何加快信息化的進(jìn)程來(lái)說(shuō)，傳統(tǒng)工業(yè)時(shí)代下的管理控制模式已經(jīng)不能適應(yīng)發(fā)展的需求，因此，需要建立更加有效的信息化管理體制，確保信息化建設(shè)有序推進(jìn)，最終實(shí)現(xiàn)組織信息化發(fā)展的戰(zhàn)略目標(biāo)。

在信息化時(shí)代下，完善的體制架構(gòu)被劃分為機(jī)構(gòu)協(xié)調(diào)、職能分工和運(yùn)作規(guī)則等幾個(gè)部分。就機(jī)構(gòu)協(xié)調(diào)而言，不再是傳統(tǒng)的金字塔模式，即信息自下而上層層傳遞，決策由上而下層層布置；而是采用更加扁平的組織流模式，管理趨向于文化，而不在是制度，組織的信息化水平越高，即信息傳遞速度越快，內(nèi)容描述得越精準(zhǔn)，管理就變得越簡(jiǎn)單，國(guó)家或企業(yè)的安全就更加可控。

實(shí)施科學(xué)風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估作為保障信息安全的重要措施之一，其在信息化發(fā)展方面起著至關(guān)重要的作用。隨著信息化的不斷發(fā)展，各種社會(huì)組織都越來(lái)越多地依賴于信息技術(shù)和信息系統(tǒng)來(lái)處理其信息和管理業(yè)務(wù)，從而提高自身競(jìng)爭(zhēng)力，風(fēng)險(xiǎn)管理也隨之在信息化的推進(jìn)和管理中扮演越來(lái)越重要的角色。信息化作為兩化融合的重要組成部分，所涉及的眾多信息都具有保密性，即使安全功能再?gòu)?qiáng)大的網(wǎng)絡(luò)系統(tǒng)，也有被非法攻擊的可能性，因此，對(duì)基于兩化融合思路的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)也顯得更為重要。尋求完善有效的基于兩化融合思路信息安全風(fēng)險(xiǎn)評(píng)估模式，是保障信息安全的有效措施，也已成為世界各國(guó)兩化融合工作的新方向。

信息安全風(fēng)險(xiǎn)管理是一個(gè)包括識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)以及采取措施降低風(fēng)險(xiǎn)至可以接受的程度在內(nèi)的全過(guò)程，其目標(biāo)是要保護(hù)重要的信息系統(tǒng)和信息安全，幫助管理層更好地做出與管理風(fēng)險(xiǎn)相關(guān)的各種決策，幫助管理層更好地審批和建設(shè)信息系統(tǒng)，掌握其可能面臨的風(fēng)險(xiǎn)。它從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平。這樣綜合評(píng)估的結(jié)果可以幫助風(fēng)險(xiǎn)管理進(jìn)行決策，即需要采取什么樣的風(fēng)險(xiǎn)管理措施，優(yōu)先次序是什么，以及如何落實(shí)這些風(fēng)險(xiǎn)控制措施。

進(jìn)行整體安全防范

對(duì)信息網(wǎng)絡(luò)的整體安全防范應(yīng)該在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上進(jìn)行相應(yīng)的信息安全等級(jí)保護(hù)和重要信息安全保護(hù)。信息安全等級(jí)保護(hù)是指國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中，提高信息安全保障能力和水平，維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。實(shí)行信息安全等級(jí)保護(hù)制度，能夠充分調(diào)動(dòng)國(guó)家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達(dá)到有效保護(hù)的目的，增強(qiáng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性，使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理，對(duì)促進(jìn)我國(guó)信息安全的發(fā)展將起到重要推動(dòng)作用，進(jìn)而保障兩化融合的順利實(shí)施。

分析關(guān)鍵管理過(guò)程

每一項(xiàng)業(yè)務(wù)過(guò)程都可分解為幾個(gè)關(guān)鍵的管理過(guò)程，企業(yè)內(nèi)部相應(yīng)的管理和控制部門，都具有履行并完成業(yè)務(wù)相關(guān)行為的職責(zé)。在信息化推進(jìn)工業(yè)化過(guò)程中，為了確保信息化更好地為工業(yè)化服務(wù)，我們需要分析系統(tǒng)過(guò)程中的關(guān)鍵管理活動(dòng)，明確每項(xiàng)關(guān)鍵管理過(guò)程的業(yè)務(wù)流程、所有涉及部門、相應(yīng)業(yè)務(wù)負(fù)責(zé)人，以及每項(xiàng)關(guān)鍵管理活動(dòng)審批流程和管理過(guò)程的記錄。根據(jù)對(duì)組織關(guān)鍵管理過(guò)程的分析，完善關(guān)鍵管理活動(dòng)所需的所有資源，從而確保組織業(yè)務(wù)正常運(yùn)行，達(dá)到對(duì)兩化融合的促進(jìn)作用。

（作者單位：陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心）