[主持人的话]
　　
　　东方网在通过质量管理体系复评的基础上，首次通过了信息安全管理体系的现场审核，使东方网又成为实施“信息安全管理体系”的首家网络新闻媒体单位。正在运营大型综合性服务类网站——东方新闻网站(www.eastday.com)的上海东方网股份有限公司，于2006年12月29日全面通过了信息安全管理体系的现场认证，不仅成为目前国内首家通过ISO认证的新闻媒体整建制单位，同时也是实施“信息安全管理体系”的首家网络新闻媒体单位。
　　
　　2007年3月6日下午16：00－16：45，上海质量体系审核中心为东方网举行信息安全管理体系网上颁证仪式。欢迎网友参与并提问！聊天现场

    【嘉宾介绍】

    孙纯一，女，研究生学历，国家质量、环境、职业安全健康管理体系注册高级审核员，现任上海质量科学研究院副院长、上海市质量协会副秘书长、上海质量体系审核中心主任。

    王正华，男，大学学历，国家质量、环境、职业安全健康管理体系注册高级审核员、信息安全管理体系审核员；现任上海质量体系审核中心认证注册部部长。担任东方网Iso质量管理体系和信息安全管理体系认证的外审审核组长。

    李智平，男，高级编辑、研究生学历。长期从事新闻传媒工作，1988年后担任《青年报》日报、《生活周刊》、《青年社交》等报刊的青年报社总编辑、社长、党委书记。2000年1月起参加筹建东方网eastday.com,并出任上海东方网股份有限公司总经理。

    金丹，女，曾是文汇报记者，后在文汇新民联合报业集团组织人事处，2000年2月起 参加筹建东方网eastday.com,出任上海东方网股份有限公司人事总监和管理者代表。

    郑士强，男，理学学士，高级工程师，曾经担任上海市信息中心应用开发部主任、上海公共文化信息中心副主任、上海信息港专家、上海电子商务专家。目前担任东方网技术总监。

　　信用专家朱荣恩谈“上海诚信体系建设现状与发展”

　　哲学家俞吾金教授在线开讲“遏止虚无主义，弘扬人文主义”

　　著名社会学家邓伟志教授在线解读新《婚姻登记条例》

　　学者文人说学论道： 文学 艺术 新闻学 中国学 上海学 其他学科……

    [聊天实录]

　　[嘉宾孙纯一]开场白：各位网友大家好，很高兴能有机会到东方网嘉宾聊天室和大家聊天。非常有幸对东方网进行信息安全管理体系认证，而且据我们目前所知，这是新闻传媒中第一家获得信息安全管理体系的认证单位。

　　[嘉宾李智平]开场白：各位网友，大家好！今天我们这场聊天是很有特点的，聊的是一个新的一个管理体系，主要是信息安全。这在信息化程度高度化的今天，具有很大的应用意义。东方网刚刚通过了信息安全管理体系的认证，据认证机构透露，这项认证在我国刚刚开始试点，我们是首家获得这个认证的新闻媒体单位。我们在感到荣幸的同时，也愿意跟网民一起分享这一方面的体验，欢迎大家提出问题。今天由我和认证单位的领导、专家一起跟大家交流。同时我把东方网认证过程当中的两位重要同事介绍给大家，一位是管理者代表，也是东方网的人力资源总监金丹女士；还有一位是东方网技术中心总监郑士强。

　　[嘉宾王正华]开场白：很高兴参加这个与网民交流互动的活动，通过这么一个活动与大家一起交流有关信息安全管理体系的话题。希望大家能够积极参与讨论，目的是扩大有关信息安全体系的影响，引起大家对信息安全管理体系的重视。

　　[嘉宾金丹]开场白：作为管理者代表，觉得这个认证对提高东方网的管理水平和信息安全都具有很高的价值，同时对提高员工的安全意识也有很大的促动作用。希望我们的经验能够对网友，以及你们从事的工作有所借鉴。

　　[嘉宾郑士强]开场白：各位网友，大家好！很高兴又能跟大家交流和沟通，在这一次质量管理体系的复审和信息安全体系的建立过程中，我和我的同事在网站领导和网站职能部门的统一协调和指挥下，做了一些配合的工作，同时也提升了我们对质量管理和信息安全管理的意识，对我们整个信息资产的认知有了大幅度提升。希望这次的所得能融入我们接下来的直接工作中，使我们借助这个平台更好地适应东方网的发展，更好地满足广大网友的需要。

    [网友only]问：东方网在实施信息安全管理体系中的心得有哪些？

　　[嘉宾李智平]答：首先对一个现代企业制度的建立来说，质量管理体系是最基本的，但是随着信息技术发展到一定水平，信息化深入到一定程度之后，信息安全的问题和管理就日显重要。有一套管理体系来加以这一方面的培训、评估、风险规避等机制建设，意义重大。我们在实践中认识到，为了保障信息安全，单靠技术和法律法规还不能够实现针对企业特点的有效的全覆盖。对一家企业来说，有时一张打印纸的散落或一台服务器某一天没有备份都可能会导致信息安全问题，甚至可能会给公司带来难以弥补的损失。信息安全管理体系的建立就使我们公司的全体员工树立起“信息就是资产”的观念，以及信息资产的风险观念，并建立起各个部门、各个岗位信息资产保护、信息风险规避和信息安全保障的机制，并加以有效地执行。

　　我感到，在实施信息安全管理体系后，东方网对公司已有的资产和存在的风险都做了系统的评估和识别，并采取了相关措施，使真正有价值的信息和可能发生的风险得到了管理，尤其是员工的安全意识得到了加强。虽然不能说建立了信息安全管理体系就不会发生信息安全问题，但是这套以风险评估为基础，自上而下的管理方法，从组织、人员、流程、技术、法律法规、持续经营等全方位实施的管理体系确实给我们带来了安全感，给公司的健康运行增强了安全度。

　　[网友爽快]问：请问孙女士，通过ISO认证的意思何在？

　　[嘉宾孙纯一]答：谢谢你的提问，关于“ISO认证”涉及很多标准。比如说，ISO9001质量管理体系标准，ISO14001环境管理体系标准，ISO22000食品安全管理体系，ISO27001信息安全管理体系标准，这些标准都不是强制性要求，组织根据自己管理的需要给予实施和贯彻。通过这些标准的贯彻提升组织的产品质量、顾客满意、相关方满意、树立良好的社会形象，而是否实施“认证”，是组织根据自身的需求来确定。通过认证这样一种形式，由具备资格的第三方的认证机构进行符合性的评价来证明组织满足了管理体系标准的要求。

　　[网友lily]问：信息安全实施的难点和重点有哪些？

　　[嘉宾郑士强]答：东方网主要的业务平台是伴随互联网存在的，互联网本身的机制决定了互联网的业务是一种全开放、波动性大、功能因素复杂的信息体系。而我们的从业员工大量是年轻有为、有闯劲、有冲劲的工程师，他们的信息安全、政治意识需要经验实践的锤炼，这些因素都表明在我们这种行业实施信息安全所面临的环境是非常严峻的。最简单的说，互联网整个传输环节的一些核心设备的核心模块是国外制造的，这在国家战略和政治格局当中就会存在一定信息安全的干扰因素。其次，各种各样的应用本身是在一个逐步发展的过程当中，由于系统本身的不完整性会引发大量的信息安全问题。更进一步，有不少网友会有意或无意地尝试一些自己明白或者不明白的代码，引发一些局部的信息安全灾难。但从我们自身而言，我们还是要从内部着手，努力地把信息安全的防线逐步向外推进，相信能有效地提升我们信息安全的能级。

　　[网友安安]问：要推行信息安全管理体系，需要做哪些准备工作？

　　[嘉宾王正华]答：感谢你的提问。一般来说，来贯彻信息安全管理体系的组织已经具备一定的管理水平，包括通过了质量管理体系认证。在这个基础上，我们要首先组织学习信息安全管理体系标准，达成对标准理解的一致意见。其次，我们在理解标准的基础上，组织对存在的信息资产的风险进行识别、评价并制定相应的对策，然后对组织的文件系统进行修改和完善，包括制定信息安全管理体系方针、目标和适用性声明。在体系运行一段时间以后，进行内审和管理评审，确保体系的持续有效地运行。

    [网友think]问：通过建立信息安全管理体系给东方网带来哪些好处？是否会增加管理成本？

　　[嘉宾郑士强]答：信息安全体系的建立过程本身对我们所有的信息资产作了一个认知性的盘点和评估，使我们知道我们基本上有哪些家当，以后在调整的时候，我们都会在程序上做严密的记录，这是第一个收获。我们通过信息安全风险的评估，对一些信息安全的重要理念和重点应用点做了一些标注，并辅以一定的管理措施和管理流程，以规避能够预估的风险，这本身也是一个巨大收获。更进一步说，我们发现了已经存在的一些风险点，并做了规划，逐渐弥补，优化我们的平台，使我们平台的运行能更健壮，这也是一个收获。至于是否会增加管理成本，我想起步肯定是的，但在以后正常运行的过程中，整个积累的文档和规程是可以反复使用的。所以长期来说，应该是优化和提升了我们的管理，不会长久增加我们的成本。

　　[网友物质]问：如果我们单位想申请信息安全认证，该到哪个部门如何办理手续？企业内部该做些什么工作？

　　[嘉宾王正华]答：谢谢！企业内部该做的工作在刚才的问题当中已经作了回答。有关到哪个部门办理手续，可以登陆我们的网站www.sac.org.cn访问或者与我联系，电话：52389916。

　　[网友不动]问：人力资源部跟信息安全认证有什么关系？金总监怎么会参与到这个工作当中来的？

　　[嘉宾金丹]答：应该说这是一个组织安排的。我是东方网的筹建者之一，对东方网的整体情况和人员情况都比较熟悉，这对我担任这份工作是一个相当丰富的宝贵经验。我曾经是、现在仍然是ISO的管理者代表，东方网信息安全管理体系的建设是在ISO的基础上进行的，顺理成章，顺其自然。

　　[网友小二]问：上海质量体系审核中心是个怎么样的单位组织？能请嘉宾介绍一下吗？

　　[嘉宾孙纯一]答：上海质量体系审核中心是中国第一家体系认证机构，成立于1992年。经国家认监委批准，获得中国合格评定国家认可委员会（CNAS）的认可，同时还获得美国国家标准学会-美国质量协会国家认可委员会（ANAB）、荷兰国家认可委员会（RvA）的认可。SAC严格按照《中华人民共和国认证认可条例》、国际认可准则等各项规定，从事自愿性产品认证、有机产品认证，质量、环境、职业健康安全、食品安全、信息安全等管理体系认证活动。SAC坚持信誉第一、公正至上的宗旨，以国家法规和国际/国家标准为依据，视信誉为生命，严格执行认证基本规范、认证规则规定的程序，以科学严谨、灵活求实的作风，认真为各类组织提供认证服务，确保认证的完整、客观、真实，为各类组织提升管理水平，增强竞争力提供有效的增值服务，可通过一次审核同时颁发CNAS、ANAB、RvA认可的各类认证证书。SAC的服务领域遍及各行各业，服务地域立足长江三角洲，面向全国；2002年起又在日本的名古屋、爱知、三重、神奈川、大阪等地区为日本企业提供认证服务。

　　[网友扣子]问：请问金丹总监，作为东方网的管理者代表应该履行什么样的职责？

　　[嘉宾金丹]答：协助东方网高层建设东方网信息安全管理体系的思路和框架，同时探索在实践中有效的执行力。比如：培训员工、灌输理念、利用东方网技术中心现有的技术资源和人力资源财富，进行全面的体系建设。

　　[网友评估]问：孙嘉宾，风险评估是不是信息安全管理体系的必要环节？

　　[嘉宾孙纯一]答：风险评估是信息安全管理体系的必要环节，因为信息安全管理体系的管理对象是风险，所以必须对风险进行识别、评估，根据评估得出的风险大小来确定采取相对应的控制措施。

　　[嘉宾孙纯一]结束语：感谢各位网民的关心和支持。上海东方网股份有限公司通过建立信息安全管理体系，实现了信息服务的连续性，防止信息资源的非法访问和非授权访问，防止入侵者对关键应用系统的恶意攻击，确保桌面免遭电脑病毒攻击，有效地降低了客户的投诉率。在此我代表上海质量体系审核中心向上海东方网股份有限公司表示热烈祝贺。如果各位网民还有什么问题可以通过东方网，也可以登陆上海质量体系认证中心的网站进行沟通与联络。

　　[嘉宾王正华]结束语：谢谢各位网民，上海质量体系审核中心将以专业的服务、真诚的态度来为客户提供认证服务。

　　[嘉宾郑士强]结束语：为了能够始终和你们在一起，我们作为东方网信息安全的主体支持部门，一定竭尽全力、保障安全，希望“对视”到永远。

　　[嘉宾金丹]结束语：为了东方网事业的稳健发展，也为了回报你们始终不变的厚爱，作为管理者代表，我将一如既往地始终履行我的职责，使东方网信息安全管理体系建设得越来越完善，确保为你们提供一流的信息服务。感谢大家参与这次的网上交流活动，希望以后会有更多的机会在网上与大家见面。

　　[嘉宾李智平]结束语：很高兴在这段时间里和广大网民进行了这方面的专业交流。东方网信息安全体系的建设，以及最为主要的是东方网本身的全面建设，都始终离不开你们的注视。希望在东方网今后的发展历程中，依然有你的支持和爱护。