公司主要从事测绘、自动化控制、信息化管理软件研发三大业务。随着公司业务的拓展，新产品的开发市场竞争的激烈，信息系统在公司发展中的作用和地位日趋重要。公司对信息系统的依赖性也在不断增长。随质量方法之。信息安全问题也变得日益突出。信息系统的脆弱性也日渐凸显。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储，以及无线网络等，安全问题出现的途径也是千奇百怪，如何保证公司测绘数据、通信传输以及源代码的安全，防止商业、技术、知识产权等信息损坏或泄露是关系到公司的生存和发展的大事。

为提高员工的信息安全意识，规范信息安全行为，加强信息资产的安全性，保障业务持续性，公司自2009年就开始实施信息安全管理体系。围绕信息资产——威胁一脆弱性——风险——风险控制——控制测量——持续改进这条主线，充分考虑法律法规、客户和第三方，公司内部的要求，经过两年的发展和努力，已经初步建立起信息安全管理框架，形成了20个安全管理程序文件，31个安全管理作业指导文件，在实际工作中取得了一定的成效。

一、注重发挥全员参与的基础作用性

公司在建立管理体系之初，就确立了信息安全管理方针：注重资产保护，规范信息安全，打造民族疏浚产业核心技术。而且公司知晓信息安全管理体系的建立和运行是一个系统工程，涉及到每一位员工的每一个工作环节，因此，在体系编写过程中，公司注重发挥全员参与的积极性。

公司除成立信息安全推进小组，负责管理手册和程序文件的编写外，所有作业指导性文件，均由各部门相应岗位人员按手册和程序文件的要求编写，做到全员参与，并严把文件编写的质量审核关，真正做到理论联系实践，建立起了符合公司实际的信息安全管理体系。同时，通过全员参与，在建立信息安全管理体系之初就对体系进行了宣传和培训，为体系今后的运行铺平了道路。

二、从技术，管理、资源三方面综合考虑，确保公司信息安全管理体系有效运行

1．确保技术安全

公司通过技术手段对业务系统和数据库服务器等设定了信息的访问权限，提高对恶意代码和未授权移动代码的防范和检测；遵循信息安全管理体系中的权限最小化原则，即受保护的公司信息只能在限定范围内共享。员工仅被授予为顺利履行工作职责而能访问敏感信息的适当权限。对公司敏感数据的获取人员加以限制，仅对有工作需要的人员采取限制性开放。

在网络访问方面，由于机关人员的增加，信息化服务的增长，现场人员带回公司临时使用的电脑增多，公司网络经常处于饱和与受病毒攻击状态。公司网站服务器曾经受过饱和攻击和恶意篡改网页的事件，为阻止恶意者访问内部信息，公司采用网络防火墙技术，控制内部和外部网络的访问，通过明确访问权限的设置和申请流程，网络监视和流量分配，此类事件得到有效解决。为保证信息在传输过程中的安全，公司对于核心数据实行加密传输，对需保密的信息进行加密处理，使只有拥有密钥的授权人才能解密获取信息。无密钥的恶意者即使截获传递中的信息也是无法窥视内容，只能获得零散无用的信息。

2．加强管理安全

在制定了信息安全管理体系方针目标后，通过建立信息安全管理体系管理组织机构，确立各部门各岗位人员在体系运行中的职责，以确保信息安全控制措施的实施和协调，以及外部人员访问信息和信息处理设施的安全。

根据以往管理工作中的薄弱点，着重加强了在软件开发过程中的管理。在软件研发业务发展初期，开发的软件由于开发功能简单，缺乏开发流程，也没有制作系统的文件化的操作程序，软件产品的交接完全依靠个人经验。开发需求缺乏完整的信息安全需求，特别是外购的软件，由于没有得到外购系统的源代码，不了解其数据库结构和编码实现方式，当系统发生问题时，无法确定系统问题的原因，因而成为影响整个公司办公系统稳定的最大风险来源。

为避免这一系统风险，公司加强了自己进行开发系统的管理。在开发项目初期的需求分析中较多考虑安全控制方面的要求，如身份鉴别、访问控制、交易安全，数据安全，日志与审计等。对于硬件、软件的大型变更管理，制定了系统变更的操作与测试流程，避免了系统上线前由于测试不充分，导致上线后出现故障、影响业务的正常开展的情况发生。同时也加强了外包软件的管理，包括外包商的选择，评价、外包人员管理、外包过程管控，产品质量控制，外包商考核指标／惩处措施／赔付条款等问题，加大了对于外包开发的软件的内置木马和后门的防范和检测力度。

3．注重资源安全

（1）人力资源安全

公司信息的安全离不开人，信息安全各环节的执行最终都需要由人这个主体来完成。如果相关人员的安全意识薄弱，不小心泄密，则比其他安全不足带来的损失会更大。没有信息安全意识的员工常常会成为信息安全中最薄弱的一环。信息安全管理体系的实施弥补了公司人力资源安全方面的空白，公司人力资源管理主要分为两部分，公司内部人员管理和第三方人员管理。对于内部人员，人力资源部在人员入职前进行人员资料核对要求员工签字承诺对自己资料的真实性负责，对于重要岗位人员进行背景调查；入职后签订保密协议，员工离职时，由人力资源部通知设备事业部网管关闭其OA帐户、邮件服务器帐户、VPN帐户等账户。个人工作电脑移交设备事业部，由设备事业部主管人员对电脑帐户及存储内容进行处理后交仓库备用。离职后要进行工作交接，并签定离职保密协议。在员工培训方面，无论是新员工的入职培训还是老员工的在职培训，增加信息管理方面内容，使员工了解信息安全知识和公司可利用的IT资源，遵守信息安全管理制度。

第三方人员在进行项目时，公司都会与其签订保密协议，对第三方使用的设备进行必要的技术控制，与第三方对项目交付物的知识产权有比较明确的约定，对于外部第三方人员的安全管理主要遵守相关的合同和公司的相关制度。

(2)信息处理设施安全

在机房安全管理方面，实施了较多的控制措施。包括办公区的门禁系统，监控装置、机房消防设施，机房部署UPS和发电机，提供必要的空调、通风系统，机房内部实行分区管理等。对于敏感性业务部门如软件研发部门，质检部，执行禁止非本部门或本室人员进入的制度。对于已过期的保密信息，采取集中销毁；对于报废设备处理时销毁遗存在设备上涉及安全的信息。

(3)数据安全

在数据的安全方面，各部门对信息资产的归属管理方面一直存在着所有权和管理权不清的问题，特别是跨部门流程中涉及到的信息资产，经常存在着找不到所属部门的情况，出了问题，部门间则存在扯皮现象。通过制定资产管理和识别办法，加大了资产管理覆盖范围，明确了各部门、人员在资产管理中的职责，识别了资产所面临的威胁和可能被威胁利用的脆弱点，资产在丧失保密性、完整性和可用性时可能造成的后果，同时针对风险采取了有效的风险控制措施。

三．注重实效，持续改进。

不断提高体系运行质量公司信息安全管理体系实施两年来，随着公司的发展、社会的变化，技术的更新，体系也在不断持续改进。公司在日常的体系运行中，通过过程的控制，内审，管理评审、外审，从中不断发现自身的不足和需要改进的方面，如人员对信息安全的参与程度方面不全面，信息安全的支持还是停留在13头层面，语言多于行动；中层人员，特别是业务部门的中层领导人员参与信息安全工作的力度和深度存在着不足，业务部门忙于业务目标的达成也是重要的一个因素；基层员工方面，虽然各部门指定了部门信息安全联络人或信息安全管理员角色，但这些人员基本都是兼职的，平时忙于本职工作，对于信息安全的时间投入明显不足。造成这种现象的根本原因在于，未能将信息安全工作纳入部门与人员工作绩效考核体系，在公司层面缺乏一套完善的信息安全绩效评估体系。对此，公司将整合后的四合一体系(质量、环境、职业健康安全、信息安全)运行情况纳入到公司绩效考核中，通过绩效考核切实加强体系运行。

在体系运行和实施过程中，认证机构上海质量体系审核中心提出了体系运行过程中存在的需要改进的方面，对公司降低管理风险，有效地识别风险和控制风险具有十分重要的作用。例如：在IT机房管理、测绘软件和知识产权等核心资产保护以及资源的合理配置等提供了认证的增值服务，表现在:

一是提高了员工信息管理安全意识，提升了公司信息安全管理的水平，增强了抵御灾难性事件的能力：

二是在信息化建设推进中，加大了信息管理工作的安全性和可靠性，增强了合作伙伴的信心，使其更好地服务于业务发展；

三是通过信息安全管理体系的建设，有效提高了对信息管理安全风险的管控能力；四是通过与等级保护、风险评估等工作接续起来，使得信息安全管理更加科学有效。

信息安全管理体系建设是公司打造核心技术，保证业务连续的强有力保证，在过去的两年里，公司以信息安全管理体系为抓手，围绕公司信息安全管理工作，取得了一定成效。然而，管理要求是无止境的，公司将认真领悟信息安全管理体系标准内涵，将标准要求与行业结合，加快信息化建设，不断创新，不断追求持续改进，不断提升信息安全管理水平。