鲁西集团信息安全管理实现标准化

　　随着科技的发展，信息化技术已经触及到社会的每个角落，给人类工作、生活带来了极大的方便，信息化技术已经成为推动社会进步的主导力量。如何充分利用信息化技术服务于生产经营和管理，鲁西集团一直在积极的探讨与尝试，建设了基于实际应用的智慧管控平台、“系统当家工程”等独具特色的信息化工程，引领行业信息化技术的应用与发展，并且取得了很好的实践效果，得到了各级政府及业内的高度认可。

　　信息化技术普及的同时，信息安全问题是不可疏忽的大事，国内外通过信息化技术盗窃企业技术秘密、商业秘密等事件越来越多，对企业生产经营存在很大的潜在影响。鲁西集团再次超前谋划信息安全管理，积极推行信息安全管理标准化。

　　任何管理都要讲科学，必须要有系统思维。经过外出对标交流、查阅相关资料，公司决定导入《信息技术安全技术 信息安全管理体系要求》管理标准，结合企业实际建立信息安全管理体系，依靠国际标准实现信息安全管理的规范化、标准化。

　　学习理解标准要求，由信息部和人力资源管理部联合牵头组织开展贯标培训。邀请专业老师，结合标准的特点和使用范围，首先组织对各职能部门进行培训，然后在此基础上挑选年轻的业务骨干，组建了内审员队伍，对内审员进行深度培训。制定了不同的考核标准，要求内审员不但要理解标准还要会应用标准，其他人员主要任务是认知标准、理解标准。通过学习标准让大家明白了“信息安全管理有科学的依据和方法”。

　　辨识信息安全管理风险，要想管控风险必须先要知道风险、认识风险。依据标准要求和老师的辅导，组织各单位系统辨识日常工作中存在的信息安全风险，形成风险清单，再经过逐级、反复评审，最终确定需要管控的风险清单，并进行了分级，针对不同的风险制定了不同的管控措施，确保所有风险可控。

　　建立信息安全管控制度，各部门结合职责，辨识主要工作过程，将标准要求、风险控制要求融入业务过程，明确过程管控要点，建立管理制度和作业指导书。通过制度强制各单位执行标准,通过作业指导书规范工作动作。另外，对原有的岗位职责、管理制度进行对照评审，部门职责中增加了信息安全管理要求，与信息化相关的制度融入信息安全管控要求，搭建起了系统的信息安全管理框架。

　　建立三级监督检查机制，严抓体系的有效运行。一是各职能部门日常工作检查落实增加了信息安全管理方面的要求；二是每年组织内审，对照标准逐项检查标准以及制度执行情况；三是邀请外部专业老师进行现场审核，从第三方的角度评价信息安全管理标准的落实情况。通过有效的监督检查与考核，强化信息安全标准的落地实施。