網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃范文

導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

 

一、加強(qiáng)頂層設(shè)計(jì)，確立信息安全教育國家戰(zhàn)略

 

1.《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》

 

布什政府在2003年2月了《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》，其中首次從國家層面提出了“提高網(wǎng)絡(luò)安全意識(shí)與培訓(xùn)計(jì)劃”，指出，“除了信息技術(shù)系統(tǒng)的脆弱性外，要提高網(wǎng)絡(luò)的安全性至少面臨著兩個(gè)障礙：缺乏對(duì)安全問題的了解和認(rèn)識(shí);無法找到足夠多的經(jīng)過培訓(xùn)或通過認(rèn)證的人員來建立并管理安全系統(tǒng)。“為此，美國要開展全國性的增強(qiáng)安全意識(shí)活動(dòng)，加強(qiáng)培訓(xùn)和網(wǎng)絡(luò)安全專業(yè)人員資格認(rèn)證。

 

2.《美國網(wǎng)絡(luò)安全評(píng)估》報(bào)告

 

2009年5月29日美國公布了《美國網(wǎng)絡(luò)安全評(píng)估》報(bào)告，評(píng)估了美國政府在網(wǎng)絡(luò)空間的安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，指出了存在的問題，提出行動(dòng)計(jì)戈IJ。所提議的優(yōu)先行動(dòng)計(jì)劃之一就是“加強(qiáng)公眾網(wǎng)絡(luò)安全教育”。

 

3.《國家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)

 

2010年3月2日，奧巴馬政府對(duì)前布什政府在2007年制定的一份國家網(wǎng)絡(luò)安全綜合計(jì)劃的部分內(nèi)容進(jìn)行解密。CNCI計(jì)劃提出要實(shí)現(xiàn)重要目標(biāo)之一就是：“為了有效地保證持續(xù)的技術(shù)優(yōu)勢(shì)和未來的網(wǎng)絡(luò)安全，必須制定一個(gè)技術(shù)熟練和精通網(wǎng)絡(luò)的勞動(dòng)力和未來員工的有效渠道。擴(kuò)大網(wǎng)絡(luò)教育，以加強(qiáng)未來的網(wǎng)絡(luò)安全環(huán)境。”

 

4.《國家網(wǎng)絡(luò)空間安全教育戰(zhàn)略計(jì)劃》

 

2011年8月11日，NIST授權(quán)《美國網(wǎng)絡(luò)

 

安全教育倡議戰(zhàn)略規(guī)劃：構(gòu)建數(shù)字美國》草案，征求公眾意見。該規(guī)劃是美國網(wǎng)絡(luò)安全教育倡議(NICE)的首個(gè)戰(zhàn)略規(guī)劃，闡明了NICE的任務(wù)、遠(yuǎn)景和目標(biāo)。NICE旨在通過創(chuàng)新的網(wǎng)絡(luò)行為教育、培訓(xùn)和加強(qiáng)相關(guān)意識(shí)，促進(jìn)美國的經(jīng)濟(jì)繁榮和保障國家安全，并通過以下三個(gè)目標(biāo)實(shí)現(xiàn)這一愿景：增強(qiáng)公眾有關(guān)網(wǎng)上活動(dòng)風(fēng)險(xiǎn)的意識(shí);擴(kuò)展能支持國家網(wǎng)絡(luò)安全的人員隊(duì)伍;建立和維持一支強(qiáng)大的具有全球競爭力的網(wǎng)絡(luò)安全隊(duì)伍。

 

二、做好立法工作，完善法規(guī)標(biāo)隹體系

 

1.《聯(lián)邦信息安全管理法案》(FISMA)

 

2002年7月，美國政府制定了《聯(lián)邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美國政府已經(jīng)認(rèn)識(shí)到信息安全對(duì)美國經(jīng)濟(jì)和國家安全利益的重要性，并從風(fēng)險(xiǎn)管理角度提出了一個(gè)有效的信息安全管理體系。信息安全教育與培訓(xùn)是信息安全管理體系中一個(gè)重要環(huán)節(jié)。

 

FISMA法案明確要求：聯(lián)邦政府機(jī)構(gòu)須為內(nèi)外部相關(guān)人員提供信息安全風(fēng)險(xiǎn)的安全意識(shí)培訓(xùn)，為此還提議了一個(gè)較為完善的國家安全意識(shí)及其培訓(xùn)系統(tǒng)。

 

2.國防部(DoD)8570指令

 

2005年12月，為了更好地支持“全球信息網(wǎng)格計(jì)戈j”，美國國防部了8570指令。該指令涵蓋以下主要內(nèi)容：建立技術(shù)基準(zhǔn)，管理職員的信息保障技能;實(shí)現(xiàn)正規(guī)的信息保障勞動(dòng)力技能培訓(xùn)和認(rèn)證活動(dòng);通過標(biāo)準(zhǔn)的測試認(rèn)證檢驗(yàn)信息保障人員的知識(shí)和技能;在基礎(chǔ)教育和實(shí)驗(yàn)教育中，持續(xù)的增加信息保障內(nèi)容。

 

3.聯(lián)邦政府信息技術(shù)安全培訓(xùn)標(biāo)準(zhǔn)(FIPS)

 

FISMA法案明確指定NIST負(fù)責(zé)制定聯(lián)邦政府(除國防、情報(bào)部門以外)所使用的信息安全技術(shù)、產(chǎn)品和培訓(xùn)方面的國家標(biāo)準(zhǔn)。目前，NIST已制定和兩部權(quán)威的信息安全培訓(xùn)標(biāo)準(zhǔn)：《信息技術(shù)安全培訓(xùn)要求：基于角色和表現(xiàn)的模型》(NISTSP800-16)和《建立信息安全意i只和培訓(xùn)方案》(NISTSP800—50)cNIST在SP800—16標(biāo)準(zhǔn)中提出了信息安全培訓(xùn)概念性的框架，依據(jù)這些框架，美國聯(lián)邦政府部門開展了很多綜合性的聯(lián)邦計(jì)算臟務(wù)(FSC)項(xiàng)目。

 

4.網(wǎng)絡(luò)安全法案

 

2010年3月24日，美國參議院商務(wù)、科學(xué)和運(yùn)輸委員會(huì)全票通過了旨在加強(qiáng)美國網(wǎng)絡(luò)安全、幫助美國政府機(jī)構(gòu)和企業(yè)有效應(yīng)對(duì)網(wǎng)絡(luò)威脅的《網(wǎng)絡(luò)安全法案》。該法案要求政府機(jī)構(gòu)和私營部門加強(qiáng)在網(wǎng)絡(luò)安全領(lǐng)域方面的信息共享，強(qiáng)調(diào)通過市場手段，鼓勵(lì)培養(yǎng)網(wǎng)絡(luò)安全人才，開發(fā)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。

 

三、構(gòu)建信息網(wǎng)絡(luò)安全組織機(jī)構(gòu)，健全安全教育培訓(xùn)管理體制

 

為了落實(shí)信息安全教育培訓(xùn)相關(guān)政策和法律法規(guī)，美國將協(xié)調(diào)、執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個(gè)政府部門，依據(jù)最新的《國家網(wǎng)絡(luò)安全教育戰(zhàn)略計(jì)劃》的思路，國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)為整個(gè)計(jì)劃的負(fù)責(zé)單位，協(xié)調(diào)其他部門參與計(jì)劃的實(shí)施;國土安全部(DHS)、國防部(DoD)、國務(wù)院、教育部和國家科學(xué)基金會(huì)(NSF)協(xié)力加強(qiáng)公眾的信息安全意識(shí);DHS、海關(guān)總署、NSF和國家安全局(NSA)共同加強(qiáng)從業(yè)人員f支術(shù)能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)負(fù)責(zé)建立高端網(wǎng)絡(luò)安全人才隊(duì)伍。

 

社會(huì)各界積極參與

 

行業(yè)協(xié)會(huì)已經(jīng)站到了信息安全教育培訓(xùn)的前沿，成為信息安全教育培訓(xùn)的踐行者。其職責(zé)主要是協(xié)助有關(guān)部門制定信息安全教育與培訓(xùn)的標(biāo)準(zhǔn)，組織持續(xù)的教育活動(dòng)，并向內(nèi)部成員單位實(shí)施培訓(xùn)。行業(yè)協(xié)會(huì)自身作為提供教育和培訓(xùn)的主體，一方面可以根據(jù)政府的引導(dǎo)和企業(yè)的需求來設(shè)置培訓(xùn)內(nèi)容;另一方面可以利用政府和產(chǎn)業(yè)界的資源，充分發(fā)揮其在信息安全領(lǐng)域內(nèi)不可替代的社會(huì)職能。行業(yè)協(xié)會(huì)提供的培訓(xùn)標(biāo)準(zhǔn)是政府制定的培訓(xùn)標(biāo)準(zhǔn)的主要補(bǔ)充，為規(guī)范和完善美國信息安全培訓(xùn)行業(yè)提供了切實(shí)可行的保障。

 

(1)國際信息系統(tǒng)審計(jì)協(xié)會(huì)(丨SACA)

 

國際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)是一個(gè)為信息管理、控制、安全和審計(jì)專業(yè)設(shè)定規(guī)范標(biāo)準(zhǔn)的全球性組織，會(huì)員遍布逾160個(gè)國家，總數(shù)超過86,000人。ISACA成立于1969年，除贊助舉辦國際會(huì)議外，還編輯出版《信息系統(tǒng)監(jiān)控期刊》，制定國際信息系統(tǒng)的審計(jì)與監(jiān)控標(biāo)準(zhǔn)，以及頒授國際廣泛認(rèn)可的注冊(cè)信息系統(tǒng)審計(jì)師(CISA)專業(yè)資格認(rèn)證。CISA認(rèn)證體系已通過美國國家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)依照ISO/IEC17024:2003標(biāo)準(zhǔn)對(duì)其進(jìn)行的資格鑒定。同時(shí)，美國國防部也認(rèn)可了CISA認(rèn)證，并將其納入到國防系統(tǒng)信息技術(shù)人員技能商業(yè)資格認(rèn)證體系當(dāng)中。這產(chǎn)生了以下四方面的作用：認(rèn)可CISA認(rèn)證所提供的特有資格和專業(yè)知識(shí)技能;保護(hù)認(rèn)證的信譽(yù)并提供法律保護(hù);增進(jìn)消費(fèi)者和公眾對(duì)本認(rèn)證和持證者的信心;使跨國、跨行業(yè)的人才流動(dòng)更加便利。

 

(2)美國系統(tǒng)網(wǎng)絡(luò)安全(SANS)研究院SANS是于1989年創(chuàng)立的美國非政府組織(NGO)，是一所具有代表性的從事網(wǎng)絡(luò)安全研究教育的專業(yè)機(jī)構(gòu)。1999年SANS首次推出了安全技術(shù)認(rèn)證程序(GIAC)。

 

GIAC認(rèn)證程序有以下幾個(gè)特點(diǎn)：

 

GIAC提供超過20種的信息安全認(rèn)證，其大多數(shù)符合DOD8570指令。GIAC依據(jù)國家標(biāo)準(zhǔn)對(duì)安全專業(yè)人員及開發(fā)人員進(jìn)行各方面技能認(rèn)證。GIAC安全認(rèn)證分為入門級(jí)信息安全基礎(chǔ)認(rèn)證(GISF)和高級(jí)安全要素認(rèn)證(GSEC)。兩種認(rèn)證都重點(diǎn)考察安全基礎(chǔ)知識(shí)，保證揺正人員擁有必備的安全技能。其它GIAC安全認(rèn)證包括：認(rèn)證防火墻分析師(確認(rèn)設(shè)計(jì)、配置和監(jiān)控路由器、防火墻和其它邊界設(shè)備所需的知識(shí)、技能和能力)、認(rèn)證入侵分析師(評(píng)估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識(shí))、認(rèn)證事故處理員(考察考生處理事故和攻擊的能力)和認(rèn)證司法辯論分析師(考查考生高效處理正式司法調(diào)查的能力。

 

(3)國際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC)2

 

國際信息系統(tǒng)安全核準(zhǔn)聯(lián)盟(ISC)2成立于1989年，是一家致力于為全球信息系統(tǒng)安全從業(yè)人員提供信息安全專業(yè)技能培訓(xùn)和認(rèn)證的國際領(lǐng)先非營利組織。在(ISC)2各種認(rèn)證中，CISSP數(shù)量最多。截至2010年底，全球共有75000名CISSP獲證人員，其中，美國獲證人員數(shù)量超過70%^CISSP獲證人員中，約30%在政府部門工作，40%從事信息安全月服務(wù)行業(yè)，30%從事用戶終端工作。

 

注冊(cè)信息系統(tǒng)安全專業(yè)人員通用知識(shí)體(CISSPCBK)提供了通用的信息安全術(shù)語和原理框架，使得全世界的信息安全專業(yè)人員能夠以相同的術(shù)語和理念，討論、辯論和解決信息安全相關(guān)問題。

篇2

思想上不重視網(wǎng)絡(luò)教育培訓(xùn)

目前，許多企業(yè)的領(lǐng)導(dǎo)不重視安全生產(chǎn)的網(wǎng)絡(luò)教育培訓(xùn)工作，他們只看到傳統(tǒng)培訓(xùn)的優(yōu)勢(shì)，并未充分認(rèn)識(shí)到網(wǎng)絡(luò)教育培訓(xùn)的優(yōu)點(diǎn)，所以在培訓(xùn)投入的比例方面嚴(yán)重失衡，對(duì)于網(wǎng)絡(luò)培訓(xùn)投入是少之又少，極大的影響了網(wǎng)絡(luò)安全培訓(xùn)教育方面的建設(shè)。在培訓(xùn)的實(shí)施上很多企業(yè)也是以傳統(tǒng)培訓(xùn)為主，對(duì)網(wǎng)絡(luò)教育培訓(xùn)重視度不夠，造成了網(wǎng)絡(luò)教育并未達(dá)到其應(yīng)有的培訓(xùn)效果。

網(wǎng)絡(luò)教育培訓(xùn)規(guī)劃流于形式，學(xué)員學(xué)習(xí)效果不佳。網(wǎng)絡(luò)教育是對(duì)企業(yè)人員安全生產(chǎn)培訓(xùn)的有效途徑之一，它有著傳統(tǒng)培訓(xùn)不可替代的作用，應(yīng)該是企業(yè)長期緊抓的工作。但一些單位或部門對(duì)于安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)卻只在表面上做文章，主要表現(xiàn)在以下幾個(gè)方面。第一，培訓(xùn)目標(biāo)不清。有些單位或部門每年制訂的網(wǎng)絡(luò)培訓(xùn)計(jì)劃，看似有目標(biāo)、有目的，但卻沒有針對(duì)本單位在生產(chǎn)過程中存在的安全問題，制定長期性、連續(xù)性、系統(tǒng)性的培訓(xùn)內(nèi)容。第二，網(wǎng)絡(luò)培訓(xùn)“寬進(jìn)寬出”、學(xué)員為應(yīng)付培訓(xùn)而學(xué)習(xí)，不管學(xué)習(xí)效果如何，只要在網(wǎng)上學(xué)習(xí)的時(shí)間滿足一定的學(xué)時(shí)，人人都可以過關(guān)發(fā)證。

網(wǎng)絡(luò)教育培訓(xùn)內(nèi)容不完善，忽略網(wǎng)絡(luò)考核與評(píng)價(jià)。我國《安全生產(chǎn)法》中明確規(guī)定:“生產(chǎn)經(jīng)營企業(yè)應(yīng)當(dāng)對(duì)從業(yè)人員進(jìn)行安全生產(chǎn)教育和培訓(xùn)，保證從業(yè)人員具備必要的安全生產(chǎn)知識(shí)，熟悉有關(guān)的安全生產(chǎn)規(guī)章制度和安全操作規(guī)程，掌握本崗位的安全操作技能。”因此，安全培訓(xùn)應(yīng)既注重員工的思想培訓(xùn)、規(guī)章制度培訓(xùn)，同時(shí)還包括安全技術(shù)教育。而目前大多數(shù)網(wǎng)絡(luò)教育平臺(tái)都過多注重安全知識(shí)教育，而忽略思想培訓(xùn)或規(guī)章制度的教育，對(duì)網(wǎng)絡(luò)學(xué)習(xí)后的考核與評(píng)價(jià)更是不加以重視，導(dǎo)致網(wǎng)絡(luò)培訓(xùn)效果大打折扣。

培訓(xùn)平臺(tái)設(shè)計(jì)功能不全，嚴(yán)重影響網(wǎng)絡(luò)培訓(xùn)效果。菲爾迪維克將網(wǎng)上教學(xué)平臺(tái)分為三大部分:①管理，包括建立并維護(hù)網(wǎng)上課程，登記注冊(cè)，登錄控制，使用追蹤等;②教學(xué)，包括界面觀感，教學(xué)工具，評(píng)估工具，課程管理等;③學(xué)生使用，包括自我編程，自我評(píng)估等。從目前部分企業(yè)安全生產(chǎn)網(wǎng)絡(luò)教育平臺(tái)提供的各種功能來看，大多數(shù)都能有效的提供教與學(xué)的功能，但還是有很多平臺(tái)缺乏對(duì)網(wǎng)絡(luò)教學(xué)的管理功能。因此，針對(duì)上述企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)所存在的問題，我們應(yīng)該在熟悉企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)特點(diǎn)的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)培訓(xùn)的內(nèi)容，提出解決問題策略。

企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)的特點(diǎn)

企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)兼具有企業(yè)安全教育培訓(xùn)及網(wǎng)絡(luò)教育的特點(diǎn)，因此，除了具有網(wǎng)絡(luò)教育的時(shí)空分離、師生分離、實(shí)時(shí)與非實(shí)時(shí)交互的特點(diǎn)外，還應(yīng)包括下面幾個(gè)特點(diǎn):第一，長期性和艱巨性。由于生產(chǎn)條件的發(fā)展變化、勞動(dòng)者的更替、勞動(dòng)者心理和生理的變化，決定了安全教育的長期性和艱巨性。第二，廣泛性和實(shí)踐性。企業(yè)的所有人員都需要接受安全教育，都要把安全放在第一位。并且安全教育的效果要通過生產(chǎn)實(shí)踐來檢驗(yàn)。第三，專業(yè)性和科學(xué)性。安全教育涉及到自然科學(xué)、社會(huì)科學(xué)、管理科學(xué)等科學(xué)，有自己基本的理論、獨(dú)特的內(nèi)容和區(qū)別于其它教育的方式方法，必須科學(xué)施教。

企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)的內(nèi)容

國家安全生產(chǎn)監(jiān)督管理局件中明確了對(duì)企業(yè)主要負(fù)責(zé)人、安全生產(chǎn)管理人員及其他人員的安全生產(chǎn)培訓(xùn)考核實(shí)行統(tǒng)一規(guī)劃、分類指導(dǎo)、分級(jí)實(shí)施的原則，并對(duì)這三類人員培訓(xùn)的主要內(nèi)容做出具體規(guī)定。其內(nèi)容主要包括:安全生產(chǎn)新知識(shí)、新技術(shù)，安全生產(chǎn)法律法規(guī)、作業(yè)場所和工作崗位存在的危險(xiǎn)因素、防范措施及事故應(yīng)急措施等。因此企業(yè)安全網(wǎng)絡(luò)教育培訓(xùn)要僅僅圍繞著這些內(nèi)容開展。

企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)的對(duì)策

(1)制定完善的安全教育網(wǎng)絡(luò)培訓(xùn)制度。對(duì)于企業(yè)而言，在安全生產(chǎn)網(wǎng)絡(luò)教育方面的規(guī)章制度是對(duì)網(wǎng)絡(luò)教育管理和各項(xiàng)網(wǎng)絡(luò)教育培訓(xùn)實(shí)施的指導(dǎo)性文件，通過安全生產(chǎn)網(wǎng)絡(luò)教育規(guī)章制度的實(shí)施可以有效地貫徹、執(zhí)行國家、企業(yè)的法律、法規(guī)，保障安全教育網(wǎng)絡(luò)培訓(xùn)工作達(dá)到預(yù)期效果。因此，一定要制定完善的安全教育網(wǎng)絡(luò)培訓(xùn)制度，明確了各級(jí)管理人員、各職能部門以及崗位人員的職責(zé)，充分調(diào)動(dòng)各級(jí)人員和各部門在安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)方面的積極性和主觀能動(dòng)性。

(2)轉(zhuǎn)變觀念，加大網(wǎng)絡(luò)教育培訓(xùn)的投入。首先，企業(yè)領(lǐng)導(dǎo)要轉(zhuǎn)變觀念，既要認(rèn)識(shí)到傳統(tǒng)培訓(xùn)的優(yōu)勢(shì)，又要認(rèn)識(shí)到網(wǎng)絡(luò)培訓(xùn)的優(yōu)缺點(diǎn)，這樣在安全教育教學(xué)中，才能揚(yáng)長避短。其次，在安全教育資金投入上，重新調(diào)整分配方案，加大網(wǎng)絡(luò)培訓(xùn)的費(fèi)用，確保網(wǎng)絡(luò)教育培訓(xùn)平臺(tái)的建設(shè)。最后，在網(wǎng)絡(luò)教育培訓(xùn)實(shí)施過程中，要投入更多的精力，只有這樣，才能提高安全教育網(wǎng)絡(luò)培訓(xùn)的質(zhì)量，提高網(wǎng)絡(luò)學(xué)員的學(xué)習(xí)效果。

(3)嚴(yán)格網(wǎng)絡(luò)培訓(xùn)考核制度，完善考核監(jiān)督機(jī)制。網(wǎng)絡(luò)教育培訓(xùn)要嚴(yán)格培訓(xùn)考核制度。培訓(xùn)教育不能流于形式，要真正讓受訓(xùn)人員達(dá)到培訓(xùn)的目的。企業(yè)管理者高度重視職工的安全生產(chǎn)的網(wǎng)絡(luò)培訓(xùn)工作，責(zé)令培訓(xùn)部門在制定詳細(xì)培訓(xùn)計(jì)劃的同時(shí)，要制定出嚴(yán)格的考核制度，堅(jiān)決杜絕過去那種“寬進(jìn)寬出、高分低能”，甚至交了錢就能拿證書的不良現(xiàn)象。同時(shí)網(wǎng)絡(luò)教育培訓(xùn)還要建立和完善培訓(xùn)考核監(jiān)督機(jī)制。網(wǎng)絡(luò)培訓(xùn)質(zhì)量的高低，最有說服力的是上崗后的表現(xiàn)和產(chǎn)生的效果。因此，安全生產(chǎn)培訓(xùn)的考核，要改變培訓(xùn)質(zhì)量由培訓(xùn)部門獨(dú)家評(píng)價(jià)的現(xiàn)象。不僅要注重理論上應(yīng)知應(yīng)會(huì)的考核，更要注重現(xiàn)場操作中應(yīng)知應(yīng)會(huì)和解決問題能力的考核，并作為對(duì)培訓(xùn)部門工作業(yè)績考核和獎(jiǎng)懲的重要依據(jù)，以此增強(qiáng)其責(zé)任心和壓力感。

(4)豐富企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)的內(nèi)容。具體地說，企業(yè)安全生產(chǎn)網(wǎng)絡(luò)培訓(xùn)主要應(yīng)該分為以下內(nèi)容:①有關(guān)生產(chǎn)的法律、法規(guī)及有關(guān)本行業(yè)的規(guī)章、規(guī)程、規(guī)范和標(biāo)準(zhǔn)。通過對(duì)安全生產(chǎn)方針、政策的宣傳，對(duì)安全法制法規(guī)的貫徹和引導(dǎo)，以及勞動(dòng)安全紀(jì)律的培訓(xùn)，提高員工的安全意識(shí)，增強(qiáng)知法、守法的自覺性，確保安全責(zé)任制和安全操作規(guī)程的履行和執(zhí)行。②有關(guān)企業(yè)的安全生產(chǎn)知識(shí)。包括:企業(yè)的基本生產(chǎn)狀況，施工工藝和方法，施工中的危險(xiǎn)區(qū)域和危險(xiǎn)部位，各類不安全因素及其安全防護(hù)的基本知識(shí)，安全注意事項(xiàng)等。③安全技能培訓(xùn)。結(jié)合具體崗位、工種、專業(yè)的特點(diǎn)，通過對(duì)實(shí)現(xiàn)安全操作、安全防護(hù)所必須具備的基本技術(shù)知識(shí)的學(xué)習(xí)和實(shí)際的操作演練。④事故應(yīng)急救援和調(diào)查處理知識(shí)。通過實(shí)際事故案例分析和介紹，了解事故發(fā)生的條件、過程和后果，對(duì)認(rèn)識(shí)事故發(fā)生規(guī)律、總結(jié)經(jīng)驗(yàn)、吸取教訓(xùn)、防止同類事故再次發(fā)生。

篇3

電力企業(yè)使用的各種應(yīng)用軟件都有可能存在一定的設(shè)計(jì)缺陷，這些缺陷通常稱之為漏洞。很多的黑客就是利用這些漏洞對(duì)企業(yè)的應(yīng)用信息網(wǎng)絡(luò)實(shí)施攻擊，而很多的電力企業(yè)的局域網(wǎng)和國際互聯(lián)網(wǎng)是隔離的，這就造成企業(yè)的電腦應(yīng)用軟件系統(tǒng)不能及時(shí)更新，漏洞不能第一時(shí)間修復(fù)，一旦木馬通過移動(dòng)存儲(chǔ)設(shè)備入侵，就會(huì)造成難以估量的損失。

1.1電力企業(yè)的系統(tǒng)備份缺乏應(yīng)用經(jīng)驗(yàn)

當(dāng)前很多的維護(hù)人員對(duì)企業(yè)重要信息數(shù)據(jù)普遍采用每周備份，每星期對(duì)數(shù)據(jù)進(jìn)行一次刻錄備份，而在實(shí)際的應(yīng)用過程中，備份的信息數(shù)據(jù)只有在不斷訓(xùn)練中才能保證及時(shí)有效應(yīng)用。但是，從工作實(shí)際來看，備份恢復(fù)操作演練要比備份本身復(fù)雜得多，很多的維護(hù)工作人員寧可選擇每天備份，也不情愿組織一次數(shù)據(jù)恢復(fù)訓(xùn)練。信息安全網(wǎng)絡(luò)應(yīng)該是在建設(shè)、運(yùn)行、維護(hù)和管理這幾個(gè)方面相互結(jié)合而的。信息安全是降低其企業(yè)風(fēng)險(xiǎn)和減少成本的一個(gè)必要的環(huán)節(jié)。

2.電力企業(yè)信息安全與管理問題對(duì)策探析

電力信息安全管理是一個(gè)技術(shù)和管理相互結(jié)合的一個(gè)問題。除了技術(shù)手段啊之外還需要落實(shí)安全管理。不斷提升企業(yè)的信息安全防護(hù)等級(jí)，緊盯當(dāng)今世界信息安全防護(hù)領(lǐng)域的發(fā)展和技術(shù)突破，運(yùn)用先進(jìn)的信息技術(shù)來應(yīng)對(duì)可能出現(xiàn)的安全問題，制定明確的安全防護(hù)策略和制度，確保信息安全有制度保障。根據(jù)著名的木桶原理，企業(yè)信息安全的隱患不在信息的優(yōu)勢(shì)環(huán)節(jié)，而在企業(yè)最為薄弱的管理應(yīng)用環(huán)節(jié)。立足信息管理的現(xiàn)狀和時(shí)展需要，盡快構(gòu)建高效安全的綜合性信息安全管理防范體系。

2.1健全電力企業(yè)的安全管理與考評(píng)機(jī)制

在很多的企業(yè)、事業(yè)單位了，一直都流行并經(jīng)常驗(yàn)證著這樣一個(gè)名言：“三分技術(shù)七分管理。”從技術(shù)的角度來看，防范一般都是已知的各種安全問題和威脅，三分技術(shù)；從管理的角度來看，工作是人的工作，人的工作是活的工作，人的工作具有很大的不確定性，這都給安全管理帶來諸多的不確定性，管理都是針對(duì)人，無論才能哪種安全管理制度來約束，還是使用一定的技術(shù)手段來要求限制，目的都是要約束人的行動(dòng)，規(guī)范人的行為，盡可能不給安全威脅以任何機(jī)會(huì)。為此，就要建立切實(shí)可行并認(rèn)真執(zhí)行的引進(jìn)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評(píng)估、技術(shù)應(yīng)用等技術(shù)管理機(jī)制；通過實(shí)行崗位安全責(zé)任制，嚴(yán)格明確各方的安全責(zé)任，依照法律規(guī)定和安全生產(chǎn)標(biāo)準(zhǔn)來建設(shè)信息系統(tǒng)和制定管理制度。并定期或不定期開展自查、自評(píng)、督查、考評(píng)等，把電力企業(yè)的安全責(zé)任嚴(yán)格落實(shí)到人，并將企業(yè)信息安全與管理和年讀考評(píng)直接掛鉤，確保制度健全，落實(shí)到位。這樣每個(gè)人都可以清楚的了解自己的職責(zé)所在的，員工都會(huì)積極的參與到信息安全管理之中。

2.2建立健全“長治機(jī)制”，做好信息安全教育培訓(xùn)

電力企業(yè)信息安全管理是一項(xiàng)長期系統(tǒng)工程，需要常抓不懈，警鐘長鳴，不能風(fēng)過無形，流于形式。重在落實(shí)，長期堅(jiān)持，永不松懈。電力企業(yè)進(jìn)行信息安全教育培訓(xùn)是確保信息安全的又一重要保障。對(duì)企業(yè)員工的教育和技術(shù)培訓(xùn)直接關(guān)乎安全的重視程度和執(zhí)行效果。只有不斷加強(qiáng)教育，才能引起員工對(duì)信息安全的足夠重視，只有不斷及時(shí)培訓(xùn)，才能保證員工在技術(shù)上有可靠保障。為此，電力企業(yè)應(yīng)建立一整套較為完善的信息安全培訓(xùn)體系，制定翔實(shí)的技術(shù)培訓(xùn)計(jì)劃，增強(qiáng)員工的安全意識(shí)，提高企業(yè)的應(yīng)對(duì)水平。建立信息網(wǎng)絡(luò)安全按的一個(gè)組織系統(tǒng)，控制和開展信息安全的管理權(quán)限，并且積極學(xué)習(xí)關(guān)于信息安全的專業(yè)知識(shí)組建可行性的信息安全系統(tǒng)。

2.3規(guī)范使用各種移動(dòng)存儲(chǔ)設(shè)備

由于現(xiàn)在各種移動(dòng)存儲(chǔ)設(shè)備已經(jīng)普及，使用的頻率非常之高，各級(jí)主管部門必須根據(jù)實(shí)際情況進(jìn)行綜合管理和教育培訓(xùn)。不可能禁止使用，又不能讓這些設(shè)備濫用。最好的辦法就是對(duì)員工進(jìn)行積極教育培訓(xùn)，引導(dǎo)員工科學(xué)、適時(shí)使用移動(dòng)存儲(chǔ)設(shè)備，首先讓員工明白，使用移動(dòng)存儲(chǔ)設(shè)備可能帶來的安全隱患，引導(dǎo)員工減少使用次數(shù)，增強(qiáng)安全意識(shí)；其次，進(jìn)行技術(shù)培訓(xùn)，引導(dǎo)員工按照插拔要領(lǐng)進(jìn)行操作，使用讀寫開關(guān)和加密功能，定期進(jìn)行病毒查殺，使用設(shè)備不得違反信息安全的管理制度等等。力爭員工養(yǎng)成良好的使用習(xí)慣，做到妥善保管，操作規(guī)范，嚴(yán)禁外借，及時(shí)殺毒，做好雙備份等。

3.結(jié)束語

篇4

一、建立電子檔案信息安全評(píng)價(jià)指標(biāo)體系的必要性

信息技術(shù)在檔案管理中的廣泛應(yīng)用，一方面提高了檔案工作的效率，擴(kuò)大了檔案的社會(huì)影響力；另一方面也對(duì)檔案工作提出了新的要求，例如存儲(chǔ)介質(zhì)的不穩(wěn)定、技術(shù)過時(shí)、黑客入侵、電腦病毒破壞等都使得電子檔案信息的安全保護(hù)面臨著前所未有的挑戰(zhàn)。

在2002年國家檔案局頒發(fā)的《全國檔案信息化建設(shè)實(shí)施綱要》和近期各省市的“十一五檔案信息化建設(shè)綱要”中都提出了“檔案信息安全保障體系建設(shè)”，但仍缺乏深入、系統(tǒng)的探討。電子檔案信息的安全管理是一個(gè)過程，而不是一個(gè)產(chǎn)品，我們不能期望通過一個(gè)安全產(chǎn)品就能把所有的安全問題都解決。對(duì)各檔案管理系統(tǒng)來說，解決電子檔案信息安全的首要問題就是要識(shí)別自身信息系統(tǒng)所面臨的風(fēng)險(xiǎn)，包括這些風(fēng)險(xiǎn)可能帶來的安全威脅與影響的程度，然后進(jìn)行最充分的分析與評(píng)價(jià)。只有采用科學(xué)有效的模型和方法進(jìn)行全面的安全評(píng)價(jià)，才能真正掌握內(nèi)部信息系統(tǒng)的整體安全狀況，分析各種存在的威脅，以便針對(duì)高風(fēng)險(xiǎn)的威脅采取有效的安全措施，提高整體安全水平，逐步建成堅(jiān)固的電子檔案信息安全管理體系。

二、電子檔案信息安全評(píng)價(jià)指標(biāo)體系的組成

電子檔案信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)工程，既有硬件，又有軟件，既有外部影響，又有內(nèi)部因素，而且許多方面是相互制約的。因此，必須有一個(gè)規(guī)范的、統(tǒng)一的、客觀的標(biāo)準(zhǔn)。根據(jù)國內(nèi)外的電子檔案信息安全評(píng)估標(biāo)準(zhǔn)，國家對(duì)電子檔案信息和網(wǎng)絡(luò)信息系統(tǒng)安全性的基本要求，結(jié)合電子檔案管理和網(wǎng)絡(luò)管理經(jīng)驗(yàn)，綜合考慮影響電子檔案信息安全的各種因素，建立電子檔案信息安全評(píng)價(jià)指標(biāo)體系。該體系主要包括五個(gè)大項(xiàng)二十個(gè)小項(xiàng)的評(píng)價(jià)指標(biāo)。

1、物理安全評(píng)價(jià)指標(biāo)

物理安全是指存儲(chǔ)檔案信息的庫房、計(jì)算機(jī)設(shè)備及管理人員工作場所內(nèi)外的環(huán)境條件必須滿足檔案信息安全、計(jì)算機(jī)設(shè)備和管理人員的要求。對(duì)于各種災(zāi)害、故障要采取充分的預(yù)防措施，萬一發(fā)生災(zāi)害或故障，應(yīng)能采取應(yīng)急措施，將損失降到最低。物理安全包括環(huán)境安全、設(shè)備安全和載體安全三個(gè)方面。

(1)環(huán)境安全：主要指存儲(chǔ)檔案信息的庫房、計(jì)算機(jī)機(jī)房周圍環(huán)境是否符合管理要求和是否具備抵抗自然災(zāi)害的能力，如庫房是否建在電力、水源充足，自然環(huán)境清潔，通訊、交通運(yùn)輸方便的地方；有無防火、防水措施；有無監(jiān)控系統(tǒng)；有無防雷措施等。

(2)設(shè)備安全：主要是指對(duì)電子檔案信息系統(tǒng)設(shè)備的安全保護(hù)，包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。

(3)載體安全：保證設(shè)備安全的同時(shí)，也要保證載體安全，要對(duì)載體采取物理上的防盜、防毀、防霉等措施。

2、管理安全評(píng)價(jià)指標(biāo)

安全管理在電子檔案信息安全保障中起著規(guī)范和制約的作用，科學(xué)的管理理念加上嚴(yán)格的管理制度才能最終保證電子檔案信息的安全。電子檔案信息的管理安全評(píng)價(jià)指標(biāo)具體包括：

(1)專門的檔案信息安全組織機(jī)構(gòu)和專職的檔案信息安全管理人員：檔案信息安全組織機(jī)構(gòu)的成立與檔案信息安全管理人員的任命必須有相關(guān)單位的正式文件。

(2)規(guī)章制度：包括有無健全的電子檔案信息安全管理規(guī)章制度；檔案信息安全人員的配備、調(diào)離是否有嚴(yán)格的管理制度；設(shè)備與數(shù)據(jù)管理制度是否完備；是否有登記建檔制度；是否有完整的電子檔案信息安全培訓(xùn)計(jì)劃和培訓(xùn)制度；各類人員的安全職責(zé)是否明確，能否保障電子檔案信息的安全管理。

(3)是否有緊急事故處理預(yù)案：為減少電子檔案信息系統(tǒng)故障的影響，盡快恢復(fù)系統(tǒng)，應(yīng)制定故障的應(yīng)急措施和恢復(fù)規(guī)程以及自然災(zāi)害發(fā)生時(shí)的應(yīng)急預(yù)案，制成手冊(cè)，以備及時(shí)恢復(fù)系統(tǒng)運(yùn)行。

3、網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)

越來越多的電子檔案在網(wǎng)絡(luò)上傳輸，而網(wǎng)絡(luò)作為一種構(gòu)建在開放性技術(shù)協(xié)議基礎(chǔ)上的信息流通渠道，它的防衛(wèi)能力和抗攻擊能力較弱，可能會(huì)遭受到病毒、黑客的襲擊。為了保證電子檔案的安全必須保證其傳輸?shù)拿浇椤W(wǎng)絡(luò)的安全，網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)包括以下幾個(gè)方面：

(1)是否有計(jì)算機(jī)病毒防范措施

(2)是否有防黑客入侵設(shè)施：主要是設(shè)置防火墻和入侵檢測等設(shè)施。

(3)是否有訪問控制措施：訪問控制是指控制訪問網(wǎng)絡(luò)信息系統(tǒng)的用戶，當(dāng)用戶之間建立鏈接時(shí)，為了防止非法鏈接或被欺騙，就可實(shí)施身份確認(rèn)，以確保只有合法身份的用戶才能與之建立鏈接。

(4)是否有審計(jì)與監(jiān)控：審計(jì)與監(jiān)控是指應(yīng)使用網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r(shí)入侵檢測設(shè)備，以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。

4、信息安全評(píng)價(jià)指標(biāo)

在網(wǎng)絡(luò)能夠正常運(yùn)行的基礎(chǔ)上，我們要保證在系統(tǒng)中傳輸、存貯的電子檔案信息是安全的，不被截取、篡改或盜用。

(1)是否采取加密措施：檔案的本質(zhì)屬性是原始記錄性，而計(jì)算機(jī)和網(wǎng)絡(luò)的不穩(wěn)定性使得電子檔案信息的這一特性難以保證，而且有些電子檔案信息有密級(jí)限制，不能公開在網(wǎng)絡(luò)上傳輸，所以電子檔案信息在網(wǎng)絡(luò)傳輸時(shí)必須通過加密來保證其安全。

(2)是否有數(shù)據(jù)完整性鑒別技術(shù)：網(wǎng)絡(luò)上的傳輸使得電子檔案信息的完整性無法保證，黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容，所以應(yīng)采取有效的措施來進(jìn)行完整性控制，這對(duì)于電子檔案信息來說至關(guān)重要。

(3)是否確保信息數(shù)據(jù)庫的安全：一個(gè)組織最核心的信息通常以數(shù)據(jù)庫的形式保存和使用，保證數(shù)據(jù)庫安全對(duì)于電子檔案信息來說有重要的作用。

(4)是否有信息防泄漏措施：信息防泄漏包括信息審計(jì)系統(tǒng)和密級(jí)控制兩方面。信息審計(jì)系統(tǒng)能實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計(jì)，以防止或追查可能的泄密行為；另外，可以根據(jù)信息保密級(jí)別的高低劃分公開范圍，并對(duì)用戶劃分訪問權(quán)限，進(jìn)行分組管理。

(5)是否有防抵賴技術(shù)：防抵賴技術(shù)確保用戶不能否認(rèn)自己所做的行為，同時(shí)提供公證的手段來解決可能出現(xiàn)的爭議，它包括對(duì)數(shù)據(jù)源和目的地雙方的證明，常用方法是數(shù)字簽名。

5、系統(tǒng)安全評(píng)價(jià)指標(biāo)

這里的系統(tǒng)安全是指計(jì)算機(jī)整個(gè)運(yùn)行體系的安全。在計(jì)算機(jī)上處理信息時(shí)，硬件、軟件出現(xiàn)故障或誤操作、突然斷電等都會(huì)使正在處理的信息丟失，造成無法彌補(bǔ)的損失。所以我們需要采取一系列措施保證系統(tǒng)的穩(wěn)定，確保信息的安全。計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)指標(biāo)有：

(1)是否有系統(tǒng)操作日志：系統(tǒng)操作日志詳細(xì)記錄了系統(tǒng)的操作狀況，以便事后分析和追查系統(tǒng)損壞的原因，為系統(tǒng)提供進(jìn)一步的安全保障。

(2)是否進(jìn)行系統(tǒng)安全檢測：運(yùn)用系統(tǒng)安全檢測工具對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行安全檢測，可及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞或惡意的攻擊，進(jìn)而采取有效的補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。

(3)是否有操作系統(tǒng)防破壞措施：操作系統(tǒng)集中管理系統(tǒng)的資源，是計(jì)算機(jī)系統(tǒng)賴以正常運(yùn)轉(zhuǎn)的中樞，它的安全性將直接影響到整個(gè)計(jì)算機(jī)系統(tǒng)的安全。操作系統(tǒng)應(yīng)當(dāng)建立某些相對(duì)的鑒別標(biāo)準(zhǔn)，保護(hù)操作系統(tǒng)本身在內(nèi)的各個(gè)用戶，阻止有害功能的運(yùn)行。

(4)是否進(jìn)行系統(tǒng)信息備份：日常備份制度是系統(tǒng)備份方案的具體實(shí)施細(xì)則，應(yīng)嚴(yán)格按照制度進(jìn)行日常備份，否則將無法達(dá)到備份方案的目標(biāo)。

(5)是否有災(zāi)難恢復(fù)系統(tǒng)：當(dāng)系統(tǒng)因人為或自然因素受到破壞時(shí)，我們應(yīng)保證能夠盡快地恢復(fù)正常工作，把損失控制在最小范圍內(nèi)。

三、電子檔案信息安全評(píng)價(jià)指標(biāo)體系權(quán)重確定方法

用若干個(gè)指標(biāo)進(jìn)行綜合評(píng)價(jià)時(shí)，其對(duì)評(píng)價(jià)對(duì)象的作用，從評(píng)價(jià)目的來看，并不是同等重要的。指標(biāo)越重要，權(quán)的數(shù)值就越大；反之，數(shù)值小則可以說明其重要程度相對(duì)較低。

合理地確定和適當(dāng)?shù)卣{(diào)整指標(biāo)權(quán)重，體現(xiàn)了系統(tǒng)評(píng)價(jià)指標(biāo)中各因素之間的輕重有度、主次有別，更能增加評(píng)價(jià)因素的可比性。在安全評(píng)價(jià)中，具體確定權(quán)重的方法很多，如德爾菲法、主成分分析法、層次分析法、環(huán)比法等。其中，層次分析法比較適用于電子檔案信息安全的評(píng)價(jià)。

層次分析法的核心是對(duì)決策對(duì)象進(jìn)行評(píng)價(jià)和選擇，并對(duì)它們進(jìn)行優(yōu)劣排序，從而為決策者提供定量形式的決策依據(jù)。它充分利用人的分析、判斷和綜合能力，適用于結(jié)構(gòu)較為復(fù)雜、決策準(zhǔn)則較多且不易量化的決策問題。它將定性分析和定量分析相結(jié)合，具有高度的簡明性、有效性、可靠性和廣泛的適用性。而電子檔案信息安全指標(biāo)體系因素多、主觀性強(qiáng)且決策結(jié)果難以直接準(zhǔn)確計(jì)量，因而可以用層次分析法來確定指標(biāo)體系的權(quán)重。層次分析法的基本步驟是：

1、將復(fù)雜問題概念化，找出研究對(duì)象所涉及的主要因素；2、分析各因素的關(guān)聯(lián)、隸屬關(guān)系，構(gòu)建有序的階梯層次結(jié)構(gòu)模型；3、對(duì)同一層次的各因素根據(jù)上一層次中某一準(zhǔn)則的相對(duì)重要性進(jìn)行兩兩比較，建立判斷矩陣；4、由判斷矩陣計(jì)算被比較因素對(duì)上一層準(zhǔn)則的相對(duì)權(quán)重，并進(jìn)行一致性檢驗(yàn)；5、計(jì)算各層次相對(duì)于系統(tǒng)總目標(biāo)的合成權(quán)重，進(jìn)行層次總排序。

四、電子檔案信息安全評(píng)價(jià)指標(biāo)體系綜合評(píng)價(jià)方法

綜合評(píng)價(jià)是指對(duì)被評(píng)價(jià)對(duì)象進(jìn)行客觀、公正、合理的全局性、整體性評(píng)價(jià)。可以用作綜合評(píng)價(jià)的數(shù)學(xué)方法很多，但是每種方法考慮問題的側(cè)重點(diǎn)各有不同。鑒于所選擇的方法不同，有可能導(dǎo)致評(píng)價(jià)結(jié)果的不同，因而在進(jìn)行多目標(biāo)綜合評(píng)價(jià)時(shí)，應(yīng)具體問題具體分析。根據(jù)被評(píng)價(jià)對(duì)象本身的特性，在遵循客觀性、可操作性和有效性原則的基礎(chǔ)上選擇合適的評(píng)價(jià)方法。在信息安全領(lǐng)域，目前存在的綜合評(píng)價(jià)方法有信息系統(tǒng)安全風(fēng)險(xiǎn)的屬性評(píng)估方法、模糊綜合評(píng)價(jià)方法、基于灰色理論的評(píng)價(jià)方法、基于粗糙集理論的評(píng)價(jià)方法等。對(duì)于這些方法，目前還沒有評(píng)論認(rèn)為哪一種方法更適用于信息安全領(lǐng)域的綜合評(píng)價(jià)。鑒于此種情況，本指標(biāo)體系采用模糊綜合評(píng)價(jià)方法。

模糊綜合評(píng)價(jià)就是以模糊數(shù)學(xué)為基礎(chǔ)，應(yīng)用模糊關(guān)系合成的原理，將一些邊界不清、不易定量的因素定量化，進(jìn)行綜合評(píng)價(jià)的一種方法。從評(píng)價(jià)對(duì)象來看，用模糊綜合評(píng)價(jià)方法來評(píng)價(jià)信息安全系統(tǒng)是可行的。首先，對(duì)于信息的安全管理而言，“安全”與“危險(xiǎn)”之間沒有明顯的分界線，即安全與危險(xiǎn)之間存在著一種中間過渡的狀態(tài)，這種中間狀態(tài)具有亦此亦彼的性質(zhì)，也就是通常所說的模糊性。因此在安全的刻畫與描述上大多采用自然語言來表達(dá)，而自然語言最大的特點(diǎn)是它的模糊性。另外，電子檔案信息安全評(píng)價(jià)中，對(duì)一些評(píng)價(jià)要素的評(píng)價(jià)是具有模糊性的。如組織管理中的評(píng)價(jià)很難量化，一般只能用“好”、“一般”、“差”等等級(jí)概念來描述，具有較強(qiáng)的模糊性。而且一些評(píng)價(jià)要素受外界環(huán)境的影響較大，具有不確定性，如網(wǎng)絡(luò)攻擊、安全設(shè)施失效、人為失誤等偶然性較大，難以準(zhǔn)確評(píng)價(jià)。對(duì)于這些模糊的、不確定性的問題通常采用模糊數(shù)學(xué)來研究。模糊綜合評(píng)價(jià)方法就是在對(duì)多種因素影響的事物或現(xiàn)象進(jìn)行總的評(píng)價(jià)過程中涉及到模糊因素或模糊概念的一種評(píng)估方式，它通過運(yùn)用模糊集合中隸屬度和隸屬度函數(shù)的理論來刻畫這種模糊性，以達(dá)到定量精確的目的。

總之，模糊綜合評(píng)價(jià)方法是一種適用于在信息安全管理方面進(jìn)行系統(tǒng)評(píng)價(jià)的可行方法，其基本步驟為⑦：

1、確定評(píng)價(jià)集。評(píng)價(jià)集是以評(píng)判者對(duì)被評(píng)價(jià)對(duì)象可能做出的各種總的評(píng)判結(jié)果為元素組成的集合，例如我們可以對(duì)電子檔案信息安全評(píng)價(jià)采用五個(gè)等級(jí)的評(píng)語集合(很好，好，較好，一般，差)。

2、建立因素集。因素集是以影響評(píng)判對(duì)象的各種因素為元素組成的集合，在本文的電子檔案信息安全評(píng)價(jià)體系中，主因素層的因素集有物理安全、管理安全、網(wǎng)絡(luò)安全、信息安全和系統(tǒng)安全五個(gè)指標(biāo)，其下層又有各自的影響因素集，由各自的具體影響指標(biāo)組成。

3、建立權(quán)重集。由于各評(píng)價(jià)要素在評(píng)價(jià)中的重要程度不同，因而必須對(duì)各要素按其重要程度給出不同的權(quán)重，權(quán)重集通過層次分析法確定。