急需建立完善的信息安全监管系统

    信息安全法规政策的建立    信息安全管理的一个重要方面是运用管理的法律方法。目前，我国的信息化立法，尤其是信息安全立法，尚处于起步阶段。形成一个与此有关的具备完整性，适用性和针对性的法律体系，一方面依赖与我国信息过程的深化，另一方面依赖与人们对信息化和信息安全的认识情况和相关技术及法律学意义上的超前研究。

    从我国宪法和其它部门法的高度对个人、法人和其它组织的涉及国家安全的信息活动的权利和义务进行规范。

    其次，直接约束计算机安全和Internet安全。

    最后，对信息内容、信息安全技术和信息安全产品的授权审批进行规定。其中，第一个层次上的法律主要有宪法、刑法、国家安全法和国家保密法。第二层次主要包括《中华人民共和国计算机信息系统安全保护条例》（简称《安保条例》）、《中华人民共和国计算机信息网络国际互联网管理暂行规定》（简称《联网规定》）和《中华人民共和国计算机信息网络国际联网安全保护管理办法》等法规。第三个层次则主要包括《电子出版物管理暂行规定》、《中国互联网络域名注册暂行管理办法》和《计算机系统安全专用产品检测和销售许可证管理办法》等规定。目前，《安保条例》和《联网规定》是指导国务院各相关主管部门展开维护信息安全工作的重要依据。

    机构部门的安全管理原则制定    维护信息安全，仅仅有关专门的组织机构和法规政策不够。各个机构和部门都应在具备专门的安全管理机构，专门的安全管理人员，逐步完善的安全管理制度和逐步提高的安全技术设施的前提下，依据有效的管理原则进行保障信息安全的活动。其信息安全管理活动应涉及人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理和密码密钥管理等方面内容。其管理活动应遵循以下基本原则：

    规范原则 在信息系统的规划、设计、实现和运行过程中，根据本机构（部门）的安全要求制定相应的安全政策，使该系统满足必要的安全规范要求。安全政策应规定根据需要选用必要的安全功能和安全设备，避免盲目开发、自由设计、违章操作和无人管理的情况发生。

    预防原则 依据以预防为主的思想考虑信息安全问题，在信息系统的规划、设计、采购、集成和安全过程中同步考虑安全政策和安全功能所具备的程度。

    立足国内原则 未经许可和消化改造不直接使用国外的安全保密技术和设备、安全技术和设备的选用首先立足国内。

    选用成熟技术原则 在采用新技术时重视其成熟程度。

    注重实效原则 在信息系统的规划、设计、实现和运行过程中，使资金、设备和人力投入尽可能地与该系统所需要的安全功能相适应，不盲目追求与现实条件不符、难于实现或投资过大的目标。

    系统化原则 依据系统工程思想，使信息系统的前期投入与后期要求相匹配，以便不断扩展系统安全功能，最大限度地利用和保护以有投资。

    均衡防护原则 注意安全防护的均衡性，注意安全防护中是否存在薄弱环节。

    分权制衡原则 对安全管理的重要环节采取分权制衡原则，在相互制约的同时提高系统安全性。

    应急原则 有安全管理的应急响应方案，在出现问题时能够立即采取应急措施。

    灾难恢复原则 在不同时受可能的灾难影响的地区建立系统备份中心（对实时运行系统，备份中心应与主系统保持数据一致），保证在灾难发生的情况下，通过立即启用备份而使系统连续工作。

    信息安全的漏洞如此之多，如何才能做到电子文件的安全呢?

    首先需要提高企业信息安全管理水平，同时还要采用强而有力的技术手段进行管理支持，重要的对策和手段就是要建立一套企业信息安全监管系统，进行全面的信息监管。因此，建立企业信息安全监管系统是非常重要和必要，缘由显而易见：

    第一、防范企业机密资料被窃取

    企业信息的数字化科技给企业带来了很大的便利，企业的信息资产、产品设计资料、价格、成本、交易秘密以及其它各种企业机密信息都能很方便地被雇员使用，但同时也带来了企业机密外泄的危险。

    目前，企业防范机密外泄的主要办法通过应用防火墙、加密、密码保护、保密协议以及员工行为规范来实现，但调查资料表明超过70％的企业机密外泄是由内部员工造成的，而以上这些方法都无法真正地保证企业信息的安全。

    监管系统可以快速有效地保护企业信息资产的安全。监管系统是一个简单易用、功能完善的电脑使用监视和控制工具，便于企业控制信息资料流向，及时发现可疑行为，将机密外泄的风险降到最低，保留操作记录，便于举证。

监管系统通过限制移动存储设备和应用程序的使用防止内部文档被拷贝出去，可以有效地防范企业信息资产被盗用，系统同时会详细记录文档的操作、打印以及相应的屏幕录像，帮助企业及时发现违规行为，减少损失，保留证据。

    第二、追查可疑行为，保留电脑操作证据

    公司可能已经怀疑员工有窃取公司机密的行为，却苦于没有证据，窃取公司机密行为持续得越长，公司的损失就越大，因此迅速而准确地发现泄密者对公司来说是非常重要的。

    监管系统正是这样一个能帮助企业调查电脑使用情况的工具。通过监管系统可以详细地了解每个员工在电脑上的行为，包括应用程序的使用、浏览的网页、文档的操作和打印、甚至包括每台电脑的屏幕记录，通过查看这些记录，可以迅速发现泄密的员工，及时制止这种行为继续危害公司利益，将损失控制在最小；同时可以保留证据，依靠法律手段解决问题。

    第三、规范员工使用电脑行为

    现代企业基本普及了电脑化办公，大部分企业还给公司电脑提供了接人互联网的功能，现代化的办公方式虽然提高了工作效率，但也带来了一些负面的难以控制的行为，员工可能会花很多时间在电脑上玩游戏、浏览与工作无关的网站（色情、购物、股票、新闻等等）、收发个人信件、同朋友在网上聊天……，如果不能有效地监管员工使用电脑和互联网，员工的工作效率会大大下降，由此提高了公司的生产成本和管理成本。

    监管系统能有效地监管员工使用电脑和互联网，通过提供详细的电脑使用记录、分析和完善的报表输出功能，能全面地了解员工使用电脑和互联网的情况，及时客观地了解员工的工作效率，防止人为好恶，及时发现并纠正违反公司规定的行为，降低管理成本，促进员工生产效率的提高。

    第四、方便电脑资产管理

    现代企业随着信息化的普及，电脑在企业内部的应用也越来越普及，购买和维护电脑软、硬件的支出也越来越大，如果不能有效管理好电脑的使用，会给企业带来很大的生产成本支出。

    监管系统可以帮助IT管理员方便地管理和全面了解企业电脑软硬件资产的使用情况，合理分配资源，及时发现和制止违规行为。系统自动记录企业内部每台电脑的软硬件的配置和变化情况，帮助IT管理员全面真实地掌握企业电脑资产，及时发现违规改变企业软、硬件配置的情况。