烟草行业信息化：信息安全管理不可忽视

       信息化在推动烟草行业更快更好的发展上起到了不可替代的作用，但是，信息化是把“双刃剑”，在给烟草行业带来发展的同时，也同样带来了风险，如电脑本身的不安全(软件设计不周全、系统开放性与安全性的矛盾等)、人为的攻击破坏(病毒侵扰、黑客等)。因此，加强信息安全管理，对保障行业健康稳定发展具有重要意义。

    信息安全管理现状

    管理滞后。近年来，我国烟草行业信息化应用取得了重大进展，但少数单位在一定程度上存在着重应用、轻安全的现象，导致企业缺乏先进安全设备和安全技术，信息安全管理滞后。

    制度不够健全。行业企业大多都制定了信息安全管理制度，但有些是为了应付检查而定，互相抄袭的多，结合本单位、本部门、本应用系统制定的少，致使执行起来难，制度与管理工作脱节。

    日常操作不够规范。一是岗位、职责范围划分不明确，业务操作权限混乱，有越岗、代岗现象;二是操作人员擅自修改计算机软、硬件设置，在计算机上安装、使用与业务无关的软件，容易造成操作系统、业务程序的瘫痪;三是重要业务系统的计算机密码未定期更换或设置过于简单，使得非操作人员极易进入应用系统，随意操作计算机，容易造成系统数据的丢失。

    员工网络安全意识淡薄，防范意识差。有的重要业务系统岗位的操作人员由于缺乏网络安全知识，存在“有什么问题由网络管理员管”的依赖思想，没有充分认识到不规范操作所产生的严重危害，容易违规操作，且习惯随意乱放带有单位内部涉密数据的软盘或U盘。此外，由于网络管理员数量有限，加之查杀病毒的软件更新不及时，容易对出现的问题疲于应付，从而导致出现一定的网络安全隐患和事故。

    加强信息安全管理的对策

    加强领导，转变观念。信息安全管理工作必须坚持“预防为主”的原则，使网络应用风险防范工作落到实处。建立信息安全管理工作责任制，明确各部门责任，严格奖惩。同时，实行一把手负责制，充分发挥信息安全管理领导小组的作用。小组负责人要定期召开信息安全工作会议，听取信息部门的工作汇报，认真部署信息安全防范工作，提高防范能力。

    加强信息安全管理制度建设。就目前而言，各单位应根据烟草行业信息化管理的各项要求，结合自身现有条件和实际情况，建立健全本企业的各项信息安全管理制度，并严格按照制度和操作规程执行，使信息安全管理有章可循。同时，各业务部门要制定相关的业务操作规范，对原来已有的制度可以根据信息安全管理的要求进行修改后实施。此外，建立并完善各种业务应用系统维护制度，如各种定期检查制度、密钥管理制度等。

    提高员工信息安全意识，群防群治。信息安全管理工作具有“群防群治”的特点，只有提高全员信息安全意识，群策群力，才能构筑一道坚实的安全屏障。一是通过加强安全思想政治工作，开展网络安全管理争先创优活动，造就一支爱岗敬业、乐于奉献的网络管理员队伍;二是通过举办计算机知识培训等活动，加强对计算机操作人员的教育和培训;三是设立兼职信息安全员，在各业务部门选择有责任心和一定网络系统知识的业务人员担当信息安全协管员，赋予他们相应的职责和权限，形成一个以信息部门专职网络管理员为主体的、以各科室兼职信息安全协管员为辅助的专兼职信息安全管理机制，确保网络应用安全运行无事故。

    开展信息安全检查，强化执行力度。在企业信息安全管理领导小组的带领下，加强信息日常管理和风险控制，查找信息安全管理中存在的漏洞，定期或不定期地对计算机机房、信息中心等的安全工作进行检查，强化安全管理执行力度。同时，定期备份相应业务数据。通过经常性安全检查，做到及时发现问题，及时进行整改，消除信息安全隐患。