地市烟草商业企业网络安全责任落实探析

　　网络安全毕业论文第五篇：地市烟草商业企业网络安全责任落实探析

　　摘要：互联网络与国家发展紧密联系日益剧增，各行各业也都顺应时势加强互联网络的应用，网络安全问题也随之而来。本文分析了作者所在地市烟草商业企业网络安全现状，结合国家及行业要求，从责任意识、制度建设、技术防护、考核问责等方面探讨了网络安全工作责任的落实。

　　关键词：烟草; 网络安全; 责任落实;

　　随着互联网络的迅猛发展，经济、政治、科技、文化等领域与信息网络形成了深入整合，信息网络突显了强大的创新力，推进社会各项事业高质量发展。但同时由于信息安全管理、外部攻击、网络舆论等事件的发生，信息网络强大的破坏力和影响力也为人们敲响了警钟。为此，党和国家也愈加重视网络安全，相继成立了中央及地方各级网信办、制定发布《网络安全法》系列法律法规，网络安全已经上升至国家安全高度。

　　维护网络安全重要手段之一是有效落实网络安全主体责任。烟草企业是国家经济发展的重要支柱，更应加强责任、思想、制度、技术等建设，全面加强网络安全责任落地。

　　1 网络安全责任落实现实问题

　　1.1 网络安全管理秩序不佳。

　　一是工作职责执行不够严格，管理所（营销部）-县局（营销部）-市局（公司）三个层级网络安全职责较为明确，但日常实际工作中，下级单位没有严格履行职责，最后部分工作由上级单位承担；二是信息系统建设及管理职责不清，由于行业业务系统、自建信息系统相应职责没有明确，业务管理存在“只用不管”现象，账户及数据管理不严，存在安全风险。

　　1.2 网络安全与信息化建设不同步。

　　信息化规划由于客观条件，关键信息基础设施早期没有较好保证安全技术措施同步规划、同步建设、同步使用。近年来，微信、钉钉及附属应用由于功能完善、价格实惠、即买即用等显着特点被广泛应用，同时缺少信息系统安全等级保护测评、定级、备案等手续，以及企业内部审核手续，企业内部数据被录入至互联网应用及服务中，存在信息数据安全风险[1]。

　　1.3 员工网络安全责任意识不强。

　　少数部门对网络安全工作的重要性认识不足、重视不够，安全防范意识不强，基础设施安全保障能力不强。基层员工普遍存在网络安全技术性太强、网络安全不会造成生命危险、出现事故没有财产损失影响不大等思想，责任意识相当薄弱。

　　1.4 专业人员力量较为薄弱

　　县局（营销部）通常仅用1名计算机相关人员担任兼职网络安全员，同时还承担其他管理部门日常工作，市局（公司）共有4名人员，需要承担市局（公司）计算机机房、网络链路、信息系统、信息化终端及维护、安全培训等诸多管理工作，工作量超出负荷较为严重。

　　2 网络安全责任落实主要手段

　　2.1 提高责任意识

　　加强市局县局两级党组（党委）对本单位网信工作的集中统一领导，党组（党委）对本单位网络安全工作负主体责任；发挥网信领导小组决策和统筹协调作用，每年至少召开一次网信领导小组会议，集中研究本单位网络安全和信息化推进方向、工作重点和目标任务；分管网络安全的领导班子成员每季度召集一次专题会议，听取网络安全工作汇报，研究网络安全工作。

　　强化网络安全全员责任意识，按照（市、县）主体责任、（业务部门、信息部门）主管责任、（网络安全员、部门安全员、个人）执行责任、（运维厂商）第三方责任四个层面，围绕“组织保障、管理手段、技术防护、应急处置、宣传教育”五个维度，建立网络安全工作责任体系，确保网络安全责任落实到岗、责任到人。

　　2.2 强化制度建设

　　按照《网络安全法》等法律法规及行业相关要求，针对市局（公司）当前网络安全管理中存在的突出问题，全面梳理现有制度和标准中存在的不足以及未涵盖的内容，实现制度修订常态化，全面完善现有网络安全管理制度和流程。

　　通过新增和修订一批综合类管理制度、基础设施类管理制度、应用软件类管理制度、数据类管理制度，建立符合国家网络安全法，契合市局（公司）实际，适应互联网+发展要求的网络安全制度体系，全面提升网络安全基础管理水平。

　　2.3 提升技术防护

　　在信息化基础设施、网络链路、信息系统建设初期，充分考虑行业网络安全规划、等保2.0等要求，结合自身特点加强前瞻性思考、全局性谋划、战略性布局，高标准高质量做好网络安全规划。

　　在终端、应用、系统、网络和物理五个层面，通过广泛采用用户名密码、CA认证、访问控制、入侵防护、终端加密等等安全防护技术和安全产品，在身份认证、访问控制、内容安全、监控审计、备份恢复等网络安全防范关键节点加强针对性技术管控，保障当前网络安全的稳定可靠。

　　针对基层员工账号口令管理不严、信息系统权限分配较为粗放、敏感数据查询下载管控不严等现象，通过流程固化、在线审核、溯源追踪等技术手段，消除因管理工作随意性造成安全隐患，实现通过“技术管人”提升安全性。

　　2.4 狠抓责任落实

　　管理手段方面，充分运用行业安全运维平台，形成标准化、流程化、一体化的安全运维管理机制和模式，保证应用系统的运行安全、信息安全、人员安全、资产安全。实现统一管理、分级负责、流程规范、安全高效的网络安全管控机制。

　　隐患整改方面，针对历年安全专项检查、自查等发现的问题，建立整改清单，实行销号管理，全面落实整改，并在网络安全季度报告中向上级报告整改进度。同时，结合省局网络安全月度运行通报、专项检查等反馈问题，结合实际工作对照自查自身是否存在类似问题并予以整改。

　　应急处置方面，编制年度应急演练计划，每年至少开展一次实战演练，每季度开展一次预案演练，定期上报演练结果，每年滚动完善演练方案，实现常态化的应急演练。

　　2.5 严格考核问责

　　建立网络安全责任制检查考核制度，完善健全考核机制、流程、方法。将网络安全工作责任制考核结果纳入考核评价中。不定期开展检查，每季度开展通报，年度网络安全工作责任制考评结果不合格或因发生网络安全事件被通报批评的，将对分管领导进行约谈。对发生重大网络安全事件的逐级倒查，追究当事人、网络安全责任人直到主要负责人责任，按照有关法律、法规严肃处理。

　　不断完善监控手段，推动定期考核向实时监控转变。持续细化各层级、各岗位的责任考核指标，充分利用先进技术手段，逐步实现考核指标的可量化、数据化和自动化抽取，推进以网络安全考核指标体系为核心的监控平台建设，实时掌握网络安全责任落实情况和风险隐患，变被动处置为主动预防，提升网络安全数字化监控能力。

　　3 结语

　　网络安全不是独立的单项工作，与企业日常经营管理工作已经深入整合，只有各层级、环节、岗位对规定责任不打折扣高效落实，才能实现企业整体网络安全。国家经济社会、企业需求、内外部安全威胁不断在变，网络安全面临的压力也随之在变，责任落实机制及手段也需要适时调整及完善。

　　参考文献

　　[1] 何洪峰.企业落实网络安全责任思考与实践[J].广东公安科技，2018(2):47-49