赵首花+闫育芸+杨向东

建设信息化，用信息化带动工业化，以工业化促进信息化，是我们的战略方针。重视信息系统的安全问题与发展信息化同等重要。如果对信息安全问题熟视无睹，信息安全得不到保障，那么，信息化对工业化的推动作用将很难得到有效发挥。因此，信息安全是两化融合发展的前提和保障，要想两化融合能够较好较快地稳定发展，必须注重信息安全的建设。

建立完善管控体系

随着信息化的发展，管理者的职能也在不断变化。对于如何加快信息化的进程来说，传统工业时代下的管理控制模式已经不能适应发展的需求，因此，需要建立更加有效的信息化管理体制，确保信息化建设有序推进，最终实现组织信息化发展的战略目标。

在信息化时代下，完善的体制架构被划分为机构协调、职能分工和运作规则等几个部分。就机构协调而言，不再是传统的金字塔模式，即信息自下而上层层传递，决策由上而下层层布置；而是采用更加扁平的组织流模式，管理趋向于文化，而不在是制度，组织的信息化水平越高，即信息传递速度越快，内容描述得越精准，管理就变得越简单，国家或企业的安全就更加可控。

实施科学风险评估

风险评估作为保障信息安全的重要措施之一，其在信息化发展方面起着至关重要的作用。随着信息化的不断发展，各种社会组织都越来越多地依赖于信息技术和信息系统来处理其信息和管理业务，从而提高自身竞争力，风险管理也随之在信息化的推进和管理中扮演越来越重要的角色。信息化作为两化融合的重要组成部分，所涉及的众多信息都具有保密性，即使安全功能再强大的网络系统，也有被非法攻击的可能性，因此，对基于两化融合思路的信息安全风险评估服务也显得更为重要。寻求完善有效的基于两化融合思路信息安全风险评估模式，是保障信息安全的有效措施，也已成为世界各国两化融合工作的新方向。

信息安全风险管理是一个包括识别风险、评估风险以及采取措施降低风险至可以接受的程度在内的全过程，其目标是要保护重要的信息系统和信息安全，帮助管理层更好地做出与管理风险相关的各种决策，帮助管理层更好地审批和建设信息系统，掌握其可能面临的风险。它从风险管理角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平。这样综合评估的结果可以帮助风险管理进行决策，即需要采取什么样的风险管理措施，优先次序是什么，以及如何落实这些风险控制措施。

进行整体安全防范

对信息网络的整体安全防范应该在风险评估的基础上进行相应的信息安全等级保护和重要信息安全保护。信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用，进而保障两化融合的顺利实施。

分析关键管理过程

每一项业务过程都可分解为几个关键的管理过程，企业内部相应的管理和控制部门，都具有履行并完成业务相关行为的职责。在信息化推进工业化过程中，为了确保信息化更好地为工业化服务，我们需要分析系统过程中的关键管理活动，明确每项关键管理过程的业务流程、所有涉及部门、相应业务负责人，以及每项关键管理活动审批流程和管理过程的记录。根据对组织关键管理过程的分析，完善关键管理活动所需的所有资源，从而确保组织业务正常运行，达到对两化融合的促进作用。

（作者单位：陕西省网络与信息安全测评中心）