论信息安全管理

温馨提示：本“论文生成器”可以节省您大量的时间，并根据您的个性生成完整的论文。但是，论文要想精彩，必须结合您的实际经验，按您的习惯和思路重新改写论文。您的经验案例和您的思路，犹如“画龙点睛”之笔，使论文生动起来。

如果您的性格是“拖到最后才做事”，你可能是： 

1. 完美主义者 

2. 对当前的工作没兴趣 

3. 对当前的工作不熟悉，不知道该怎么办 

4. 性格拖沓，甚至懒惰 

无论你是哪种情况，请尝试下面的一些方法： 

1. 万里之行，始于足下。你把工作分解，分解为许多更细的、更容易的活动。从中，挑出你喜欢的、擅长的活动，先做它们！做完后，就建立了信心！然后再做分量更重的活动，一部分一部分完成，大的困难也就不在话下了。 

2. 另外，不要追求完美的计划！不要花太多时间整理和规划，刚开始时，计划可以粗一些，一筹莫展时，甚至可以先完成小的突破点，马上开始行动。

论文作业：论信息系统项目的安全管理

2017年6月1日《中华人民共和国网络安全法》正式实施，全社会对信息安全的关注提到前所未有的新高度，目前，很多单位都建立了信息安全管理体系，制定了信息安全相关的制度，规范或要求等。在项目实施过程中如何遵循这些制度、规范和要求，成为项目经理需要重点关注的问题。

请以“信息系统项目的安全管理”为题，分别从以下三个方面进行论述：

1、概要叙述你参与过的或者你所在组织开展过的信息系统相关项目的基本情况（项目背景、规模、目的、项目内容、组织结构、项目周期、支付成果等），并说明你在其中承担的工作。

2、结合项目实际，论述你对项目安全管理的认识，可以包括但不限于以下几个方面。

⑴信息安全管理的主要工作内容。

⑵信息安全管理中可以使用的工具、技术和方法等。

⑶信息安全管理工作内容、使用的工具、技术和方法如何在项目管理的各方面（如人力资源管理、文档管理、沟通管理、采购管理）得到体现。

3、请结合论文中所提到的信息系统项目，介绍你是如何进行安全管理的，包括具体做法和经验教训。

正文

某三甲医院，是一所有着五十多年历史集医疗、预防、保健、康 复、教学于一体的综合性医院。随着业务量的不断发展，对于IT业务的需求也在不断发展。近期医院正在规划建设全新的院区，新院区数据中心将拥有全套的核心业务系统（包括：HIS、EMR、CIS、LIS、PACS等），该业务应用将直接关乎医院未来整体架构的高可用性和支撑主院区业务的能力。同时对于数据的安全性、高效率等要求很高。在此规划过程中，会涉及到数据核心服务器、核心存储、存储虚拟化、双活架构方案、连续数据保护、容灾备份保护等多项技术细节。为了建设全套的核心业务系统、并保障信息的安全，该三甲医院投入重金，向社会进行公开的招标。我公司经过激烈的市场竞争一举中标。我受命领导项目团队，经过艰辛的努力，终于建成了核心系统，并保障了信心安全。此次项目的成功实施，不仅有力促进了医院的业务，也必将给对未来IT业务的发展奠定良好的基础。

一、组建信息安全团队，制定切合客户需要的、确保项目信息安全的实施方案

根据销售提供的信息以及客户要求，我组意识到，应建立专业的项目信息安全团队，专门负责项目的信息安全工作。根据客户要求，项目中涉及安全服务及安全产品集成的工作，因此我通过与单位信息安全部沟通，确认了信息安全团队的具体负责人，由我对项目总负责，包括项目各个方案的制定、内部组织协调、项目推进、以及与客户的沟通。根据客户对于应用系统的规划，包括了网络接入区、网络DMZ区、业务区、数据区、管理区等区域。根据这些区域的不同，并且根据国家对信息安全等级保护的规定，我首先针对这些不同的区域设置安全服务保障等级和安全业务保障等级。据此我与信息安全部的同事一起，针对客户的需求，详细制定了落实系统安全的实施方案。

二、细化、优化信息安全实施方案

参考已制定的系统安全的实施方案，我组织制定了更加详细的项目管理计划。首先是跟进客户要求，指定项目实施时间表，根据客户的要求，希望尽快完成项目。因此我们计划用一个月的时间，完成系统初步建设和实施工作。因为项目属于信息安全等级保护的方案，我根据信息安全等级保护的中需要，定级、测评、整改、实施的步骤，首先确定系统需要的定级，由于客户是新建的系统，因此在建设后才进行定级备案的工作，但是在建设时就要按照定级指南和基本要求的指标来建设。根据三级和二级信息安全等级保护的要求，需要针对区域边界、通信网络、计算环境等三种角度来考虑系统建设的情况，并且根据主机安全、数据安全、应用安全、物理安全、通信网络安全来具体考虑整体的项目建设。根据整体管理的建立初步的范围说明书，物理安全属于已经建设完毕的项目，因此不属于此次项目建设的要求，因此我们就根据基本要求的指标，具体对于每一项进行分析，提出符合信息安全等级保护规定的系统信息安全组合的方案。由于系统需要在建设完成后再进行定级备案工作，我们先根据我们的理解针对区域边界，我们部署防火墙等产品，针对应用安全，我们部署入侵检测产品，针对通信网络，我们启用防火墙上的VPN功能。针对数据安全，我们启用防火墙上的防病毒软件的功能，并且启用数据库审计产品，做到对信息安全事件的事后审计，并且部署包括针对路由器、交换机操作命令的审计系统安全运维审计。针对三级系统需要的漏洞扫描产品，我们也部署在了管理区域。

三、依据信息系统项目的安全策略和计划，积极实施信息安全工作

在进行了系统方案设计后，我们就开始了项目实施的工作，针对此次项目中涉及的产品大约有70个产品，我们将安全产品的部署工作划分为2个小组，每个小组一个人，1小组负责防火墙、入侵检测、漏洞扫描、WEB应用防火墙，二小组负责安全审计、安全管理平台、安全运维审计，两个小组同时进行，这样可以保证项目进度。由于该系统的建设是得先建设业务系统，再建设安全网络，因此我们根据业务系统建设方提供的业务系统建设方案，制定了安全保障的方案，在先建设业务系统方案时，我们对于正在部署的系统，就同步的建设安全保障系统，并且可以在业务系统建设部署时，就部署安全产品，采用这样快速跟进的方式，最大限度的保证项目的整体进度计划的实施。最终我们在实施中通过一个月的努力，完成了项目的整体实施工作。

四、通过信息安全的定级工作，建立起系统的信息安全防护体系

在项目实施完成后，需要进行整体通过信息安全等级保护的定级工作，定级工作需要准备大量的材料，我根据信息安全等级保护定级指南的要求，提交了包括定级备案表、定级说明、方案拓扑等资料，并且要求专家来进行方案的评审，在方案评审中，专家对于我们提交的网络拓扑和建设方案，提出了宝贵意见，包括三级系统的边界应采用冗余设计，在防火墙内部应具有防范应用层的过滤的功能。我们根据专家提交的意见，会同客户一起，提出了系统的变更请求，最终我们的方案在经过客户领导的同意后，修改了方案的拓扑，并且在防火墙内部修改了安全策略，最终我们的方案通过了评审，实现了等级保护的定级工作。

五、定期检查监控项目的信息安全体系的运行状况

项目在完成定级工作后，就需要进行等级保护的测评工作，我们根据原先制定的安全服务的规划，我们让安全服务人员进驻，对系统进行风险评估、安全加固、安全值守、安全运维、安全体系建设等工作，我们通过2个月左右的时间，对于整体的信息安全和业务系统进行了风险评估，对于系统存在的漏洞提出了整改的意见，并以报告的形式，递交给客户人员。由于系统漏洞有高、中、低不同的风险等级，我们重点告诉客户人员高风险和中等风险的信息，对于低风险的漏洞，建议采用接受的方式，在经过客户人员的同意后，我们对于系统存在的高、中等漏洞信息进行修补。

许多人相信，人工智能将为社会带来巨大的收益，特别是在研究和医疗保健等领域。然而，疫情时代网络信息，以及患者的个人信息如人脸图片、个人身份、手机号码、微信、账户等关键信息资产受到了倒卖、泄露、黑客攻击等威胁。面对这些威胁，我采取了如下措施： 1. 员工权限最小化：只显示与员工本岗有关的部分信息，且员工只有屏幕上“读”的权限、没有打印权限、也没有转出权限； 2. 封死员工PC的USB端口； 3. 系统管理员的权限，一分为三； 4. 定期进行安全审计； 5. 引入AI技术，能够从其环境中学习，分析应用程序和系统以实时发现和利用新的漏洞。 通过以上措施，大大降低了信息泄露的风险。

通过本次项目的成功实施，我、项目团队以及用户都充分认识到计算机网络与信息安全的重要性，对网络和信息安全保密意识进一步提高，对搞好信息网络安全提高了信心，保障了用户的网络安全和网络运行效率，除加强了网络安全外，还规范了用户的工作流程，为他们各项工作的顺利开展提供了重要的安全保障。

需要论文批改和辅导？请加高章舜老师的QQ：614185778，注明“软考”即可。

有专门的钉钉网课（可回放）支持软考的中项、高项及所有高级资格考生的备考。目前开设的网课共分项目管理、集成技术、案例分析、冲刺、论文写作等5门专题课。前4门为中项、高项共同的课程。而论文写作仅面向高项和软考其他高级资格，包括写作方法、写作实战、论文批改、论文重点以及运筹学等高项专属内容。

开源开放的精神和优质的服务是网课的信念。

访客guest的论文网页，只预览，不保存。无论是否注册用户，建议用“另存为WORD文件”存到你本地计算机里，注册用户点击论文网页顶端的“删除文章”以免论文被别人看到后雷同。