图4 TWT公司信息流通示意图

3.TWT公司信息安全管理体系模型
    根据不同类别信息流和相同类别的不同层次的信息流的各自的特征、安全需求，制定出相应的安全策略，采用相应的安防技术。因此，按照TWT公司信息网络环境和信息流通模式的实际状况，构建一个多层次的信息安全管理体系（见图5），对不同类别和不同层次的信息流进行保护和监测，保证信息流的真实、完整和安全。特别对一些产品创新信息、企业经营信息等一些涉及企业根本利益的机密信息流，采用特殊的信息安全管理模式，达到“可靠的人，获得可靠的信息”的目的。 

图5 TWT公司信息安全管理体系模型

TWT公司围绕着企业信息流，采用多层次的信息安全管理技术，使它们发挥各自的作用，相互弥补各自的不足。使得：
    1).硬件系统方面有智能化诊断技术、自动恢复技术等；
    2).软件系统方面有病毒检测技术、入侵检测技术等；
    3).信息流方面有信息加密技术、数据备份和灾难恢复技术；
    4).操作方面有身份认证技术、权限限制技术、访问控制技术；
    5).管理配套方面有一系列信息安全管理规章制度等。
    五.信息流安全管理层次划分
    TWT公司按照信息流的层次、使用单位和使用对象，在信息安全管理体系中给予充分体现。总经理办公室和公司信息中心是信息安全管理体系的归口管理部门，总经理办公室主要负责建立涉及企业信息安全管理体系的各种行政管理制度和日常的监督检查，信息中心负责计算机硬件、软件、局域网、操作日志、各部门子系统管理员的购买、维护、监督和授权等。而企业各部门只负责本部门的授权事宜。TWT公司对各级员工分为两类五级，即普通工作人员的初级、中级、高级3级和管理人员2级。
    1).初级人员一般在OA或PDM或ERP平台下，通过用户名和登录口令进入相应的操作软件，如CAD、WORD或OA、PDM、ERP的子系统进行操作，并将操作的结果按照事先规定的原则放置在相应的位置和提交。初级人员在信息安全管理体系中只有对部分信息的获取和信息的建立（输入）。初级人员的信息，除属于个人隐私或上级指定的信息外，其余信息对企业内部开放。
    2).中级人员除拥有初级人员的权利外，还可以根据工作需要（如项目组）建立自己的信息源，并获取比初级人员更多的信息和对初级人员的信息（输入）进行审核。中级人员的信息源可以不对初级人员开发或部分开放。
    3).高级人员除拥有初级、中级人员的权利外，还可以根据工作需要建立自己的跨部门、跨专业的信息源，并获取比初级、中级人员更多的信息和对初级、中级人员的信息（输入）进行审核。高级人员的信息源可以不对初级、中级人员开放或部分开放。
    4).中级管理人员（一般为部门级经理）除拥有一般员工的权利外，还可以根据工作需要建立自己和部门的信息源，并获取比部门其他员工更多的信息和对其他员工的信息（输入）进行审核。中级管理人员的信息源可以不对本部门其他员工开发或部分开放。
    5).高级管理人员（一般为企业级经理）除拥有中层管理人员和一般员工的权利外，还可以根据工作需要建立自己和企业（主管工作区域）的信息源，并获取比中层管理人员和普通员工更多的信息和对中层管理人员和普通员工的信息（输入）进行审核。高级管理人员的信息源可以不对其他员工开发或部分开放。
    TWT公司针对企业信息安全管理体系的要求，设置了专门人员负责计算机网络和信息安全管理体系的日常维护。设置了系统管理员、日志管理员、安全管理员、数据管理员和文件打印员等岗位，在工作权限方面进行分工，相互制约。