你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
当前位置: 首页 精选范文 企业信息安全治理

企业信息安全治理范文

发布时间:2023-10-10 17:16:32

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业信息安全治理范例,将为您的写作提供有力的支持和灵感!

企业信息安全治理

篇1

【关键词】网络环境;企业信息安全;综合治理

一、网络环境下企业信息安全问题

网络环境下企业的信息安全是一个系统概念,分为网络安全和信息安全两个层面。网络安全的定义是:确保以电磁信号为主要形式的,在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位Z、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和可抗抵赖性的与人、网络、环境有关的技术和管理规程的有机集合;信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断。网络环境下企业信息安全问题主要有:

(一)数据窃听和拦截

数据“窃听”和拦截是指直接或间接截获网络上的特定数据包并进行分析来获取所需信息。在网络中,当信息进行传播时,利用工具将网络接口设Z在监听模式,便可截获或捕获到网络中正在传播的信息,从而进行攻击。因此,一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。

(二)数据丢失

计算机系统由于系统崩溃、硬件设备的故障或损坏、网络黑客入侵、计算机病毒发作以及管理员的误操作等各种原因会导致数据出错、丢失和损害,如果没有事先对数据进行备份,后果不堪设想。

二、网络环境下企业信息安全问题的成因

(一)信息系统的安全缺陷

信息系统是计算机技术和通信技术的结合体,计算机系统的安全缺陷和通信链路的安全缺陷构成了信息系统的潜在安全缺陷。计算机硬件资源易受自然灾害和人为破坏的影响,软件资源和数据信息易受计算机病毒的侵扰、非授权用户的复制、篡改和毁坏。计算机硬件工作时的电磁辐射以及软硬件的自然失效、外界电磁干扰等均会影响计算机的正常工作。通信链路易受自然灾害和人为破坏。信息系统的安全缺陷通常包括物理网络的安全缺陷、过程网络的安全缺陷以及通信链路的安全缺陷三种。如网络协议和软件的安全缺陷,因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的,很容易被窃听和欺骗。

(二)恶意攻击

这主要是指人为威胁,通过攻击系统暴露出的要害或弱点,使得网络信息的保密性、完整性、可靠性、可控性、可用性等受到伤害,造成不可估量的经济和政治损失。人为威胁又分为两种:一种是以操作失误为代表的无意威胁(偶然事故);另一种是以计算机犯罪为代表的有意威胁(恶意攻击)。恶意攻击的方式多种多样,主要有中断、截获、篡改、伪造,无论哪种方式,其结果造成的危害都是很严重的。

三、网络环境下企业信息安全问题的综合治理

(一)容灾备份

首先,要解决网络的物理安全,网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。这个是整个网络系统安全的前提。

其次采用容灾备份技术。容灾备份是通过特定的容灾机制,在各种灾难损害发生后,仍然能够最大限度地保障提供正常应用服务的信息系统。容灾备份可以分为数据备份和应用备份。数据备份需要保证用户数据的完整性、可靠性和一致性。而对于提供实时服务的信息系统,用户的服务请求在灾难中可能会中断,应用备份却能提供不间断的应用服务,让客户的服务请求能够继续运行,保证信息系统提供的服务完整、可靠、一致。一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。当然并不是所有的企业都需要这样一个系统,只有对不可中断的关键业务才有必要建立容灾备份中心。

(二)信息保密

1、信息的加密

加密是提高计算机网络中信息的保密性、完整性,防止信息被外部破析所采用的主要技术手段,也是最可靠、最直接的方案。加密算法主要有两种:私钥(对称密钥)加密法和公钥(非对称密钥)加密法。在计算机网络的出入口处设置用于检查信息加密情况的保密网关,对内部网内出网的电子文件,规定必须加保密印章标识,并对其进行检查和处理:无密级的文件,允许出关。由国家保密局立项研制的内部网保密网关已经投入了使用,它能够为保证计算机网络的信息保密起到重要的防范作用。

2、数据完整性验证技术

数据完整性验证是指在数据处理过程中,验证接收方接收到的数据就是发送方发送的数据,没有被篡改。

3、网上信息内容的保密检查技术

为了了解网络用户执行保密法规制度的情况,及时发现泄密问题,必须加强对网上信息内容的保密检查。

4、身份验证技术

为了使网络具有是否允许用户存取数据的判别能力,避免出现非法传送、复制或篡改数据等不安全现象,网络需要采用的识别技术。常用的识别方法有口令、唯一标识符、标记识别等。口令是最常用的识别用户的方法,通常是由计算机系统随机产生,不易猜测、保密性强,必要时,还可以随时更改,实行固定或不固定使用有效期制度,进一步提高网络使用的安全性;唯一标识符一般用于高度安全的网络系统,采用对存取控制和网络管理实行精确而唯一的标识用户的方法,每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字,且该数字在系统周期内不会被别的用户再度使用;标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式,一个标记是一个口令的物理实现,用它来代替系统打入一个口令。一个用户必须具有一个卡片,但为了提高安全性,可以用于多个口令的使用。

(四)病毒防治

防病毒软件必须满足以下要求:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。

在实施过程中,企业可以以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如:管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。要做到经常对防病毒定义码进行更新与升级,防止由防病毒软件产生的漏洞。对于防火墙,除合理布署外,安全策略要从严掌握。要尽量关闭信息系统不使用的端口,以防止入侵者对系统的攻击。需要注意的是,计算机管理人员要了解应用程序所使用的端口,以免造成系统不能正常运行。

篇2

一、电力企业网络安全存在的问题

网络本身存在着脆弱性,导致电力企业网络安全存在一定的危险性。威胁手段也分为好多种,包括计算机网络病毒的传播、用户安全意识薄弱、黑客手段的恶意攻击等等方式,导致网络存在许多安全问题。

1、计算机网络病毒的传播

一般来说,计算机网络的基本构成包括网络服务器和网络节点站。计算机病毒一般首先通过有盘工作站到软盘和硬盘进入网络,然后开始在网上的传播。具体地说,其传播方式有:病毒直接从有盘站拷贝到服务器中;病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中。计算机病毒具有感染速度快、扩散面广、传播的形式多样、难以彻底消除、破坏性大等特点。

2、用户安全意识的淡薄

目前,在网络安全问题上还存在不少认知盲区和制约因素,一部分用户认为只要在电脑上安装了杀毒软件,那么系统就是安全的,不会意外中毒。或者上网过程中无意点击一个网页链接就有可能中了别人的"套",有的是木马,有的是病毒,这恶意程序一旦运行就会读取你本地计算机的信息,你的安全防护即被打破。更有甚者,直接获取你的IP地址后直接入侵你的个人计算机,从而远程在线读取你本地磁盘的文件和相关信息,你确丝毫没有发现已被入侵。这样的网络安全意识淡薄的朋友们一定要注意一些垃圾网站和恶意链接。最值得一提的就是大多是用户在系统安装完成后,由于个人的惰性,不设置密码直接进入系统,或者有的设置密码了,但都是弱口令,很容易就能被破解。

3、黑客技术的恶意入侵

黑客技术是对计算机系统和网络的缺陷和漏洞的发现,以及针对这些缺陷实施攻击的技术。这里说的缺陷包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误等。黑客技术对网络具有破坏能力,导致了网络安全行业的产生。电力企业网络上有很多重要资料,包括机密度很高的资料。所以,想得到这些资料的人,会通过网络攻击人侵来达到目的。网络攻击人侵是一项系统性很强的工作,主要内容包括:目标分析、文档获取、密码破解、登陆系统、获取资料与日志清除等技术。一些常用的入侵方式有以下几种:口令入侵、特洛伊木马技术、监听法、e-mail技术、病毒技术、隐藏技术等。

二、电力企业网络安全的基本防范措施

计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。一般来讲,计算机网络安全的功能主要体现在网络、系统、用户、应用程序、数据等方面,每一面都应该有不同的技术来达到相应的安全保护。针对电力系统网络的脆弱性,需要采取的策略机制有以下几点:

1、密码策略

我们生活在信息时代,密码对每个人来说,并不陌生。在电力企业的网络运行环境中,密码更是显得尤为重要。可以这样说,谁掌握了密码,谁就掌握了信息资源。密码的重要性体现在很多方面:用户认证、访问控制、安全保密、安全审计、安全恢复等。2

密码的形成也不尽相同,它具有不同的加密方式:RSA算法、四方密码、替换加密法、换位加密法、波雷费密码,不同的加密法有各自的有点和缺点。密码技术有加密技术、认证技术和秘钥管理技术。密码分析者攻击密码的方式有:穷举攻击、统计分析攻击、数学分析攻击等。

2、防火墙机制

防火墙是在内部网和外部网之间实施安全防范的系统,是由一个或一组网络设备组成。防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙是最近几年发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制逾出两个方向通信的门槛。35防火墙逻辑位置示意图如下图1所示:

3、入侵检测技术

入侵检测(Intrusion Detection)是对入侵行为的发觉,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实施保护。4Dennying于1987年提出了一个通用的入侵检测模型,如下图2所示:

4、虚拟局域网(VLAN)技术和虚拟专用网(VPN)技术

局域网的发展是VLAN产生的基础,每一个局域网都是一个单独的广播域,处于同一个子网的主机节点可以直接通信,而处于不同子网的设备主机之间要通信只能通过路由器或交换机进行。随着发展,局域网接入主机越来越多,网络结构也渐趋复杂,更多的主机和更多的路由器让整个网路时延增大,网路传输速率下降,因为数据包的从一个路由发到另一个路由,要查询路由表再选择最佳路径转发出去。

虚拟专用网络是企业网在因特网等公用网络上的延伸,通过一个私用的通道来创建一个安全的私有连接。虚拟专用网络通过安全的数据通道将远程用户、公司分支机构、公司的业务合作伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。VLAN用来在局域网内实施安全防范技术,而VPN则专用于企业内部网与Internet的安全互联。VPN不是一个独立的物理网络,他只是逻辑上的专用网,属于公网的一部分,是在一定的通信协议基础上,通过Internet在远程客户机与企业内网之间,建立一条秘密的、多协议的虚拟专线。

三、构建电力企业网络安全管理机制

一个完整的网络安全管理系统不只是依赖于高端的科技手段,还需要有优秀的管理模式,正所谓“三分技术,七分管理”。管理是企业发展中不可缺少的一部分,它直接影响到企业的生存和持续。只有建立完善的安全管理制度,才能使网络信息安全管理在企业中得到充分发挥,保证信息安全的完整性和可使用性。6

1、建立合理的管理措施

1.1、运行维护管理

建立信息机房管理制度,确保机房运行环境符合要求,机房出入进行严格控制并记录备案;加强信息化资产管理,建立信息化资产清单,并根据国家规定的资产标示规范对资产进行标识;对信息系统软硬件设备选型、采购、使用等实行规范化管理,建立相应操作规程,对终端计算机、工作站、便携机、系统和网络等设备操作实行标准化作业,强化存储介质存放、使用、维护和销毁等各项措施。定期开展运行日志和审计数据分析工作,及时发现异常行为并进行分析和总结。

1.2、人员行为管理

加强个人计算机信息安全和保密管理,严格用户帐户口令管理,严格执行内外网终端使用要求,严禁泄漏、窃取企业保密信息、敏感信息,做到信息不上网,上网信息不;严禁利用信息化系统及资源从事与企业业务无关的事项。加强信息安全督查,定期对网络和信息系统进行全面信息安全检查,包括现有信息安全技术措施的有效性、安全配置与安全策略的一致性、信息安全管理制度的执行情况等。建立信息安全通报及考核机制,定期通报信息安全问题,信息安全执行情况将纳入企业信息化考核。

2、建立精湛的技术措施

坚持“分区分域、分级保护”的总体防护策略,内外网物理隔离,信息系统按照等级保护要求进行防护,对基础设施、网络、应用、数据等进行全面的安全技术手段。

2.1、基础设施安全

信息机房的新建、改建、扩建必须按照国家有关规定和技术规范进行。信息机房附近的施工工作不得危害信息系统的安全。制定信息机房管理规范,加强机房安全监控,确保机房运行环境符合要求。信息系统测试环境和信息系统正式运行环境要物理分离。

2.2、网络安全

网络核心交换机、路由器等网络设备要冗余配置,合理分配网络带宽;根据业务需求划分不同子网,建立业务终端与业务服务器之间的访问控制;对重要网段采取网络层地址与数据链路层地址绑定措施。信息内网禁止使用无线网络组网;采用防火墙或入侵防护设备对网络边界实施访问审查和控制;对进出网络信息内容实施过滤,对应用层常用协议命令进行控制,网关应限制网络最大流量数及网络连接数;加强网络安全审计工作,定期分析审计报表。

2.3、应用安全

加强系统用户帐户管理,要求对用户身份进行鉴别,删除示例帐户、测试帐户,禁止帐户存在弱口令;加强系统访问控制管理,保证操作系统与数据库特权用户权限分离;加强系统资源控制,控制用户会话数和并发连接数,及时监测系统故障;加强系统安全审计,应定期生成系统审计报表,审计记录应受到保护,避免删除、修改或破坏。

2.4、数据安全

重要和敏感信息实行加密传输和存储;对重要数据实行自动、定期备份;对外网站应具有防篡改机制和措施。

综合上述几方面的论述,企业必须充分重视和了解网络信息系统的安全威胁所在,制定保障网络安全的应对措施,落实严格的安全管理制度,才能使网络信息得以安全运行。由于网络信息安全的多样性和互连性,单一的信息技术往往解决不了信息安全问题,必须综合运用各种高科技手段和信息安全技术、采用多级安全措施才能保证整个信息体系的安全。要做到全面的网络安全,需要综合考虑各个方面,包括系统自身的硬件和软件安全,也包括完善的网络管理制度以及先进的网络安全技术等。

参考文献

[1] 刘凡馨,《黑客攻防》,清华大学出版社2011

[2] 刘晓辉,《网络安全技术》,化学工业出版社2010

[3] 孟洛明,《现代网络管理技术》,北京邮电大学出版社2001

篇3

1 大数据对企业档案管理工作的意义

 

基于计算机网络技术的发展而形成的大数据技术,能对大规模的档案数据资源进行分析与处理,挖掘海量数据中的有用信息,便于档案信息的检索和利用,对于企业档案管理工作意义重大,主要表现为:

 

其一,使企业档案管理更加智能化、人性化。大数据的技术分析能使档案管理更具人性化和智能化,提高企业档案信息服务质量。大数据分析技术能精准分析信息数据资源,搜索有用信息,并简单方便地获取所需数据。同时,通过档案数据信息的网络共享和系统建设,能加强企业各部门的联系,实现档案信息的系统化和体系化,在档案利用的时候能够精确导出数据信息,提供更加优质的服务。

 

其二,有利于档案信息的管理与使用。企业档案管理并非简单的分类与存储,还需要对档案价值、利用率等进行区分,以优化档案信息调取,满足用户的搜索习惯,为用户提供个性化服务。此外,大数据技术还能对档案调取时间、地点、使用目的以及被利用情况进行记录,追踪档案信息来源及调用情况,有利于档案信息的管理。

 

2 目前企业档案信息管理存在的安全隐患分析

 

现代信息技术迅猛发展,也给企业档案信息管理带来了安全隐患,主要表现在:

 

其一,网络环境的不安全将威胁档案信息安全管理。信息化管理在给企业档案管理带来便利的同时,也使其容易遭受来自网络的威胁,比如木马病毒、黑客入侵等安全事件随时都有可能发生。木马病毒一旦植入档案信息系统,有可能破坏档案数据库,造成数据的丢失、损毁、篡改和泄漏,使档案管理变得混乱,威胁档案信息安全。此外,以硬盘、光盘、U盘为载体的档案信息存储具有其难以克服的缺点,如数据易损坏、难固定保存等,加之计算机存储设备升级更新迅速,若不对硬盘、光盘等存储设备及时更新,极易造成信息数据读取困难,不利于档案的使用。

 

其二,管理制度不健全易带来信息安全隐患。有的企业虽然档案建设工作做得很好,但未建立健全的档案管理制度,使得不法分子有机可乘,利用管理漏洞窃取档案信息,给信息安全造成危害。例如,有的企业实现了各部门资源共享,由于存在管理漏洞和缺乏必要的技术保障措施,致使个人在进入公司内部网络系统后极容易查阅到员工的个人信息,包括个人收入情况等隐私信息,这就造成了档案信息的泄漏。

 

其三,档案管理人员素质不高带来的安全隐患。档案信息化管理要求管理人员不仅具有专业知识,还需掌握一定的计算机操作方法。但是,目前一些企业档案管理人员由于知识结构存在差异,知识更新不及时,对档案管理软件操作不熟练,极易造成档案的意外损毁、删除,给档案管理带来安全隐患。

 

3 大数据背景下优化企业档案信息安全管理的策略

 

(一)确保档案信息管理软件的安全可靠

 

企业档案信息管理软件应在技术测评与审查以后投入使用,以确保软件的安全可靠。在应用过程中,还需应用各种网络安全技术,如安全检测技术、病毒防治技术等。一方面,可设置档案系统访问权限,以识别访问者身份,可采用用户名、密码等方式检验,防控网络非法操作;另一方面,利用病毒查杀软件定期对档案管理软件进行软件升级和病毒查杀,以防止病毒入侵。此外,还可通过监视计算机网络服务器,对电子档案信息实行安全监控及保护。

 

(二)确保档案信息采集及存储的安全可靠

 

企业应该建起档案信息数据存储中心,采用集中存储和双机备份等方式确保信息的采集及存储安全。一方面,信息采集过程中应注意保护信息安全,避免信息外泄,另一方面,可通过在线备份管理对档案信息进行备份,确保数据安全。在实际操作中,可通过配置磁盘、硬盘阵列扩充计算机存储容量,以保证容量充足。此外,还可采用加密技术,对存储的档案信息进行加密管理,以防止信息被篡改和泄漏。

 

(三)确保网络运行环境的安全可靠

 

电子档案信息管理具有信息容量大、提取及时等优点,但在具体的网络运行环境中也容易受到网络安全的威胁,因此,企业档案管理人员应优化网络运行环境,以确保信息管理安全。具体而言,可对本地系统和非常态数据之运行做好监控,构建档案网络系统的安全壁垒,采用身份认证、防火墙等技术,加强网络安全防控,保障信息安全。在进行网页操作时,应对计算机页面做好实时监控,避免进入存在安全隐患的网页;在运行软件时,要进行杀毒监控,监测防火墙运行状态,保障档案信息安全。

 

(四)制定行之有效的档案信息管理制度

 

有关资料显示,大部分档案信息泄漏和网络入侵事件都可通过加强安全管理来规避。为确保档案信息安全管理,企业还应建立行之有效的档案信息管理制度,以强化对企业内部的管理,明确各部门职责,落实责任到人,保证管理工作有序进行。企业应根据《档案法》来制定符合自身需求和管理实际的规章制度,包括档案归档制度、档案借阅制度、档案存储制度、档案保密制度、档案收集制度、档案销毁制度等,并明确保存期限、保密级别,以规范档案管理,做好企业档案信息安全管理的防控。

 

(五)提高档案管理人员的安全防范意识

 

人是档案信息管理的主体,企业档案管理是否安全,关键在于管理人员是否具备专业化素养和较强的安全管理意识。因此,企业应强化对管理人员的培训,提高其安全防范意识。首先,要使企业档案管理人员提高对自身工作的认识,明确档案管理的重要性,以提升其服务意识。其次,企业可与相关档案工作人员签订档案信息安全管理责任书,明确管理责任,提升管理人员的责任意识,加强对企业档案信息的保密管理,防止人为因素造成的档案信息泄漏。最后,为更好地加强人员管理,企业还应优化对人才的选拔与聘用,建立一支专业化的档案管理人员队伍,加强业务培训和安全防范意识培养,提升档案管理部门人员的整体技能水平。

 

4 结语

 

篇4

与传统企业相比,高新技术企业人力资本与物质资本的关系发生了深刻变化,主要表现在以下三点:

1.从雇用关系到合作关系的转变

传统企业的最大特征是生产的资本化,即在企业的创立和发展过程中,物质资本投入比重非常大并远远超过人力资本投入比重;同时,从市场供求关系看,物质资本供应相对稀缺,而人力资本(主要是普通劳动力)相对充足。因此,传统企业的主人是物质资本所有者。人力资本在形式上隶属于物质资本,纳入到物质资本运动中并服从物质资本的需要,支配了物质资本也就支配了人力资本,产权的运作仅是物质资本的运动,即资本增值和创造利润的过程。这样,企业的契约关系表现为物质资本所有者雇用人力资本所有者的关系。即使是在“两权分离”的现代企业里,企业经营管理职责由人力资本所有者(企业家或职业经理人)承担,物质资本所有者(股东)投入的股本在公司中转化为公司的法人财产,这种安排仍没改变股东是企业的所有者、经营者是股东的被雇用者的状态,经营者仅被视为股东的人,股东通过董事会或股东会“用手投票”行使企业的控制权,或通过资本市场“用脚投票”制约管理者。

与传统企业相比,高新技术企业主要依赖于人力资本,这一重要特点决定了高新技术企业的创立主要有两种方式。第一种方式是既拥有高科技知识和创新成果又具有经营管理才能的人力资本所有者,通过自身的内部融资自己创立企业和组织生产经营活动,由此人力资本与物质资本融为一体;第二种方式是拥有创新知识和技术成果的人力资本所有者,与提供货币资本的物质资本所有者共同创立企业和经营管理企业。由于高新技术企业投资具有突出的风险性,传统的债务融资并不适用于企业的融资需要,因此高新技术企业的物质资本主要表现为风险资本,风险资本的突出特点是股权资本融资,其最终目的是赢利退出,而非长期控制企业,一旦创业成功风险投资者将在市场抛售股票以收回资本、获得巨额利润,并开始扶持新的高新技术企业。因此,高新技术企业是人力资本所有者和物质资本所有者在共同利益基础上创立和发展的,前者提供管理能力、创新知识和技术成果,后者提供物质资本,企业的契约关系从一开始就表现为合作关系,而不是雇用与被雇用关系。

2.从单一委托关系到多重委托关系的转变

企业是委托人和人之间围绕风险分配所做的一种契约安排,委托权的本质是承担风险,因此成为委托人所需的根本条件是承担风险。在传统企业,企业的风险主要表现在物质资本的风险上,物质资本所有者几乎承担着企业的全部风险,所以传统企业的委托—关系是以物质资本为核心要素构建的单一委托关系,即物质所有者是委托人,人力资本所有者是人。但是,在高新技术企业里,物质资本所有者(即风险资本投资者)通常将风险资本委托或投资于风险投资公司,由风险投资公司再投资于高新技术企业,由于风险投资公司的最大优势是资本经营与运作而非企业管理与运行,因此他们一般担任董事会建设者的角色,这样,风险资本投资者不仅不参与高新技术企业的创立,而且不参与企业经营管理,而人力资本所有者成为高新技术企业创立的主要角色。此时,在现代市场经济条件下,物质资本投资者的风险日益社会化,风险资本不能承担企业全部风险,而只是对自己的投资承担风险,而人力资本在高新技术企业的专用性和团队化日益提高,一旦退出企业或企业失败,其价值将大大降低,人力资本投资者,特别是创业企业家和核心技术人员也成为高新技术企业风险的承担者。显然,风险资本投资者、风险投资家、企业家和技术创新者形成了风险共担、收益共享的格局,这种格局打破了只有物质资本所有者是惟一的委托人,而其他人只能做人的产权配置态势,传统的单一的委托关系发生了质的变化,变成多重委托关系。在这种新型委托关系中,每一个所有者在凭借对自己拥有的生产要素产权行使委托人权利时,也同时是其他生产要素所有者的人,每一个要素所有者都有资格管理他人,同时也接受他人的管理。如拥有技术创新能力的人力资本所有者在委托风险投资者和企业家人力资本所有者把自己的创新知识、创新技术和创新设计商品化、产业化时,也他们行使技术创新的职能。这种新型委托关系为高新技术企业产权关系和治理结构优化、最大限度降低风险创造了条件。

3.从天然对立关系到有效合作关系的转变

长期以来,传统企业的所有权被认为是物质资本的企业所有权,在企业治理结构中只存在一种所有权,即物质资本所有权,这种所有权能够量化、价值化和资本化;相反,人力资本的企业所有权表现为非价值化和非资本化,两种资本的企业所有权是非对称的。同时,传统企业的委托关系特征决定了人的行为目标应该与委托人(股东)的目标一致,即企业的惟一目标是股东利益的最大化。企业所有权主体的惟一性和企业目标的惟一性导致传统企业中物质资本所有者和人力资本所有者的天然对立。但是,高新技术企业人力资本所有者和物质资本所有者的合作性质和新型委托关系,决定了企业所有权主体是多元的,企业的目标既是物质资本所有者(股东)利益的最大化,也是人力资本所有者利益的最大化,这有效地实现了两者利益目标取向的一致性,使两者的对立关系转变为有效合作关系。

二、高新技术企业产权结构特征

1.高新技术企业产权多元化

与传统企业相比,高新技术企业的产权结构是多元化的,由两种主要的产权形式构成,即物质资本产权和人力资本产权。前者的人格化代表是风险资本投资者,其投资主体也是多元化的,主要包括三者:一是政府,如美国政府建立了中小企业投资公司,为每一美元风险投资提供四美元的低息贷款;二是资本市场上的各种金融中介机构,如证券公司、投资银行、保险公司和各种基金组织等,由这些组织组成的各种形式的风险投资基金;三是风险投资公司,它通常是由一些大公司设立的。后者的人格化代表是拥有管理能力和技术创新能力的创业者(企业家)和核心技术人员。高新技术企业的高风险性,对其创业者提出了很高的要求,要求他不仅要有全面的专业知识、丰富的市场经验,而且要有处险不惊、果敢刚毅的人格魅力。在一定意义上可以说,创业者决定着风险企业是成功还是失败。因此,创业者作为企业创始人以及他的知识和经验作为企业专用的资产,其往往拥有较多的股权。同时,技术创新对高新技术企业的决定性意义远胜于一般企业,技术的复杂性和不确定性决定了技术的定价非常困难,甚至无法定价,而且技术创新过程是一种创造性的智力活动,对技术创新人员的工作过程和结果进行监督并不能导致效率最大化,因此高新技术企业不是采用传统企业中将技术人员置于被雇用者地位的做法,而是将核心技术以股权等形式进入企业的产权结构安排中。

由物质资本产权和人力资本产权为主体构成的风险资本投资者、创业者和核心技术人员,一开始就进入高新技术企业的产权结构中。这种产权结构既强调物质资本产权的实现,也强调人力资本产权的实现,对两种产权的权利、责任和利益进行了明确界定:对风险资本产权而言,风险资本所占股份为多少,风险资本退出的周期多长以及如何实现成功退出,风险资本如何进行风险控制管理,等等;对人力资本产权而言,技术创新的周期多长,技术创新成果的市场经济价值多大,值多少股份,创业者在创业过程中的权利、责任与利益如何安排,等等。高新技术企业产权多元化,既激励约束了风险资本投资者,也激励约束了人力资本所有者,体现了高科技时代企业增长和经济发展的创新模式。物质资本产权和人力资本产权的结合构成了高新技术企业产权的全部内涵。

2.人力资本产权的独立性、股份化和可交易性

在传统企业里,人力资本所有者虽然参与了企业的剩余索取权和控制权,但这种权利并不是以所有者的身份获得的,而是物质资本所有者对人力资本所有者的奖励或激励,因此,在企业产权结构中,两种产权是不对等的,物质资本产权统治和支配着人力资本产权,人力资本产权从属于物质资本产权,人力资本剩余索取权仅仅表现为一定量的利润分享,并没有股份化和市场化,由此人力资本产权不能在资本市场进行交易。在高新技术企业里,由于人力资本所有者是企业的合作者之一,因而人力资本产权是以所有者身份获取的,是一种独立的、与物质资本产权对等的产权形式。

高新技术企业人力资本产权的另一个重要特征是人力资本产权的股份化和可交易性。人力资本产权部分是以创业者身份和技术创新成果获得的股份,部分是以企业家人力资本和技术型人力资本获得的股票期权。随着高新技术企业成长到一定阶段,它已积累了一定资产,并向有限公司转变,这不仅为人力资本转化为货币资本提供了条件,而且为人力资本所有者从对企业承担无限责任向承担有限责任转变提供了条件。在高新技术企业公开招股上市,完成由封闭公司向公众公司转变时,人力资本产权的最终实现是产权的股份化,人力资本所有者本身就成为企业股份的所有者,真正成为拥有剩余索取权和剩余控制权的股东,人力资本所有者的人力资本彻底向货币资本转化,并可在资本市场进行交易。因此,在高新技术企业发展过程中,逐步实现人力资本产权资本化、股份化,并可以在资本市场交易和变现,这既能促进人力资本产权价值的真正实现,又对高新技术企业发展和产权结构调整具有重要意义。

3.高新技术企业产权高度流动性

高新技术企业流动性快,增长性也快,面临很大的不确定性,风险资本投资者投资于高新技术企业的目的是为了获得高额回报,为了控制和避免风险,获取高额收益,无论是风险资本投资者还是创业者,都要求高新技术企业的产权具有高流动性,都要求产权能迅速变现。首先,高新技术企业能根据企业发展阶段和经营状况调整企业的产权结构。在高新技术企业创立初期,创业者和风险资本投资者根据出资量和估算的技术成果市场价值来确定双方的股权结构,但创业者一般持有普通股,风险资本投资者持有可转换优先股或可换股债券等复合金融工具。可转换优先股的优势:一是转换价格和转股比例可以依据企业发展状况而灵活变化;二是具有优先清偿权;三是附加有股息率和支付条款。这种优势可以保证风险资本投资者在企业发展的不同阶段选取对自己最有利的股权方式。因此,创业者收益与企业经营业绩紧密联系,企业业绩越好,创业者可获得更多的股票份额和更高的股票价值;当企业经营不善时,风险资本投资者的优先股转股比例提高,创业者持股比例下降,而且在支付优先股利息之后,普通股已经大大贬值了。这种产权结构流动既激励约束了创业者,也保护了风险资本投资者的产权利益。

其次,高新技术企业发展到成熟阶段,风险资本投资者能适时将手中的高新技术企业产权转让变现,通过产权流动实现风险资本和人力资本产权回报。高新技术企业产权流动的主要形式有:一是技术转让,即通过将新研发的技术卖出,收回风险资本投资本金并实现技术创新者的人力资本价值。二是经营运作,一方面通过产品的持续销售获得利润,逐步收回投资本金;另一方面通过确认人力资本的股权和持续的利润分配,实现各类人力资本产权的价值。三是资产转让,即将企业资产连同新技术一并卖出,收回风险资本投资本金并同时实现各类核心人员的价值。四是股权转让,即将一部分或全部股权转让给其他投资者,从而收回风险资本投资本金和实现人力资本产权价值。五是公司上市,即通过公司股份在证券交易场所上市流通,卖出股份,收回投资本金和实现人力资本产权价值。这五种产权流动形式虽各有优势和不足,但从功能从较角度来看,“公司上市”最为重要。通过提供多元化的风险资本退出渠道和建立多层次的资本市场体系促进产权流动,风险资本投资者和人力资本所有者获得产权回报,也使企业获得进一步发展。美国通过纽约证券交易所、NASDAQ全国市场及小型市场、各类场外交易市场等多层次资本市场,为风险资本提供良好的退出通道,同时为其他投资主体进入高新技术企业产权结构中提供了通道,这就保证高新技术企业产权能迅速、顺畅地流动,从而确保了风险资本和人力资本产权的实现,也保证了高新技术企业持续稳定发展。

4.高新技术企业创业阶段一般采取有限合伙制的产权制度安排

有限合伙制在产权结构上具有以下特征:

(1)人力资本产权的无限责任与风险资本产权的有限责任统一。高新技术企业创业阶段由有限合伙人和普通合伙人组成,有限合伙人是风险资本投资者,其投资量一般占总投资的99%,并以其所投资本承担有限责任,企业成功后可分得75~85%的资本利润;普通合伙人是风险资本家和创业者,他们是企业的管理者和决策层,其投资量仅为总投资的1%,但对企业的经营承担连带无限责任,成功后可分得15~25%的利润。人力资本产权的无限责任将人力资本与企业发展紧密地联系在一起,既是一种股份激励制度,也是一种企业治理的约束制度,风险资本产权的有限责任有利于吸纳高新技术企业所需的资金,因此人力资本产权的无限责任和风险资本产权的有限责任的产权制度安排,促进了高新技术企业的技术创新和科技成果转化,充分实现了两种资本的高效配置。

(2)有限期限的封闭式风险资本和强制分配条款。风险资本投资的主要功能在于向高新技术企业提供长期融资,由于高新技术企业还未上市,因此风险资本投资一般采用封闭式,有限合伙人一般不能撤资,风险资本流动性较差,且投资周期有限,通常为7~10年。为了保护有限合伙人的利益,产权契约规定投资期满后,除非2/3的有限合伙人同意延长一年,否则风险资本家和创业者必须退还本金和分配收益。

(3)有限合伙人虽没有管理权,但在关键问题上有投票的权利,如有限合伙协议的修订,合伙关系的提前解除,基金寿命的延长,风险资本家的撤换等。

三、新技术企业治理结构特征

1.强化人力资本治理结构

传统的公司理论是以“股东资本本位”理论构建的,公司被理解为是一个由物质资本所有者组织起来的联合体,在股东的资本和管理者、生产者的劳动这两个生产要素中,为公司提供物质资本的“资本家”对企业拥有绝对的所有权,管理者或生产者只是股东资本的雇佣者。因此,公司治理结构所要解决的问题是,在公司所有权与经营权分离的条件下,如何确保物质资本所有者获得投资回报,即物质资本所有者通过什么机制迫使经营者将公司的利润作为投资回报返还给自己;如何约束经营者的行为并使其在物质资本所有者的利益范围内从事经营活动。但是,在知识经济的模式下,一方面,高新技术企业核心价值掌握在人力资本所有者手里,人力资本已经成为企业生存和发展的决定性生产要素;另一方面,高新技术企业的生产、经营活动已经高度专业化,分工也越来越细。生产者、经营者对专有知识、专有信息独占性越来越强,与物质资本所有者的“信息不对称”现象也越来越严重,并且也越来越不可逾越。在这种情况下,传统的企业制度和治理结构形式显然无法容纳人力资本的作用,为了解决上述问题,适应高新技术企业发展的需要,高新技术企业公司治理结构的重心产生了重大变化,发生了从“以资为本”向“以人为本”的转变。即企业已从过去那种以物质资本为基础,以物质资本的所有者和经营者的关系如何界定为中心的治理结构。转向了以物质资本和人力资本为基础,以这两种资本的权利关系如何界定为中心的治理结构,企业治理结构主要围绕如何激励以调动人力资本的积极性和如何适当约束人力资本的短期行为,激励机制可以保证人力资本应有的地位及利益,而约束机制则可以防止人力资本侵犯物质资本的利益,从而维护物质资本的地位及利益,通过建立激励与约束兼容的机制来实现两种资本双赢。因此,高新技术企业的人力资本成为企业治理结构安排的重要要素,强化人力资本治理结构成为知识经济条件下高新技术企业最典型的企业治理结构形态。

高新技术企业人力资本治理结构主要表现为:首先,人力资本股权激励成为高新技术企业治理机制的重要组成部分。为了激励人力资本,高新技术企业在股权安排方面往往通过股权激励制度安排使人力资本所有者拥有股权。股权激励采取的形式一般有两种,一种是将企业的一部分股权作为人力资本所有者的非现金收入或直接发放给他们作为管理股和技术股,人力资本所有者直接成为企业所有者;另一种是实行人力资本所有者股票期权,股票期权是规定人力资本所有者在某一段时期内按照某一约定的较低价格买进股票的权利,其实质是让经营者能够分享企业长期发展之后的价值增值,将人力资本所有者的收益与企业的利益紧密结合在一起。这种内在的联系使得经营者克服了决策和规划的短期效应,在公司的经营管理和发展战略问题上考虑的是企业的长期赢利能力。在高新技术企业治理中,一方面,股权激励使人力资本成为企业的所有者之一,增大了人力资本所有者经济实力,增强了人力资本所有者对企业的控制能力,从而强化了人力资本在企业治理结构中的作用;另一方面,股权激励使人力资本既分享企业增长所带来的收益,也承担企业风险所带来的损失,从而人力资本与企业的发展休戚相关,同时,人力资本所有者与物质资本所有者形成利益共同体,双方共同分担风险,相互制约,相互促进,降低了成本。

其次,董事会作用的弱化和首席执行官(CEO)制度的形成。CEO拥有远远大于以往总经理的权利,不仅正常的经营管理,而且在公司战略、重大投资、财务安排等方面拥有很大权力,还具有提名内部董事的资格,因此一般认为CEO拥有相当于50~60%的董事长权力。董事会的决策作用和监督作用都开始弱化,董事会的权力只局限于挑选一位合格CEO,当公司战略出现重大失误或者业绩出现严重问题时选择新的CEO代替前任。与此相对应的是,为保证权力巨大的CEO不滥用权力,CEO常常以管理层收购或者购买期权的形式拥有相当数量的企业股权,不再是单纯的公司雇员。CEO制度的产生实际上表明了高新技术企业治理结构的全面调整,一方面对人力资本和物质资本的地位和权利做重新的界定,主要是提高了人力资本在企业中的地位,增大了人力资本在企业中的权利,而物质资本的权利大多表现在产权的利益回报上,而不是其他方面,不再强调物质资本对企业的控制;另一方面对人力资本和物质资本进行功能性分工,经营活动已由CEO来独立进行,董事长不再进行重大经营决策。

最后,高新技术企业风险投资制度的发展更强化了人力资本治理。虽然风险资本投资者持有公司相当一部分股权,甚至持有大部分股权,但风险投资的持股期限是有限的,对经营管理的介入也是有限的,这使得风险资本具有某种“借贷资本”的性质,较多注重收益而较少注重管理。

2.风险资本的相机治理

风险资本在高新技术企业中一般采取相机治理的方式参与企业治理。风险资本在高新技术企业投资过程中,通常采用的投资工具有可转换优先股、可转换债券和附购股权债券等。其中可转换优先股是最普遍的一种形式,其优势在于:其一,持有优先股可优先获得固定的股息,并可以在企业经营状况良好时通过转换为普通股而分享企业利润增长的利益;其二,可转换优先股一般附有赎回条款,在投资者对企业前景信心不足时,持有人可要求企业赎回股票,从而避免更大的损失,同时也对企业创业者形成更大的压力和约束;其三,可转换优先股通过转换为普通股可加强持有人对企业的监督控制。一般企业的优先股意味着优先分配利润和没有表决权,放弃对企业重大决策的参与。而在高新技术企业里风险资本投资者在投入风险资本时,投资者和创业者双方要签订契约,把大量防范风险、确保回报的条款列入契约,风险投资虽持有优先股,却享有参加董事会并参与重大决策的权利,享有对某些重大事项如企业产权转让、出售、上市等的完全否决权或超股权比例的否决权。可转换债券是持有人能以约定期限和约定价格转换为企业股份的债券,选择可转换债券使风险投资者在取得稳定收益的基础上,通过债权转股的方式获得参与企业经营管理并分享成长潜力的机会。附购股权债券是指风险资本以债权形式进入高新技术企业时可获得一项认股权,即能够在未来按某一特定价格买进既定数量的股票,这使得投资者未来可能以较低价格获得企业股份,从而加强对企业的监控地位。

3.以高度发达的人力资本市场和资本市场为主导的外部治理机制

人力资本需要经过市场的洗礼,需要在企业经营中证实与不断证实,如果人力资本所有者的经营绩效不好,就会失去在人力资本市场中的“声誉”,很难再有机会成为风险资本投资者搜寻的对象。因此,人力资本市场实际上是满足市场基本门槛、对学历、背景、业绩与失误详细记载的动态人群,通过这个市场,作为一种资本的人力资本能不断流动,把真正具有价值的人力资本留下来,这对企业中的人力资本形成强大外部压力,从而对人力资本起到了重要的约束作用。管理者更替是美国高新技术企业治理的重要组成部分,这依赖于高度发达的人力资本市场。在美国高新技术企业中大多实行驻守企业家制度,即风险资本投资者通过人力资本市场物色有成功创业经历的优秀企业家,让他们在风险基金中任职,参与组建高新技术企业,在必要时担任新组建的高新技术企业的管理者。

资本市场主要通过两个方面对企业治理产生作用。一是价格机制。企业股票在资本市场的价格反映了企业管理者的经营管理水平,物质资本投资者通过对企业市场价格的观察和预期,来评价管理者的经营管理水平,降低了监督成本;同时,根据评价结果物质资本所有者可以采取更换管理者、出售股票、寻找合作伙伴以及引进新的投资者和管理者等行为,这些行为将给管理者带来巨大压力,迫使其尽职尽责提高企业经营业绩。二是退出机制。风险资本投资高新技术企业的目的并不是永久地拥有企业,而是希望通过投资运营,达到资本增值,然后以某种退出方式实现投资回收。风险资本投资的这个特点,隐含了一个创业者通过首次公开发行重新由风险资本投资者手中获得企业控制权的期权,即在风险资本投资者和创业者之间签订的持股契约中,允许企业者在达到某种业绩标的时(一般是首次公开发行),可以增加创业者股份份额(通常是普通股)和重新获得控制权,这给予创业者很大的激励。因此,发达的资本市场在为风险资本提供顺利的退出渠道时,也同时实现了高新技术企业控制权的重新分配,从而优化了企业治理结构。

篇5

与传统企业相比,高新技术企业人力资本与物质资本的关系发生了深刻变化,主要表现在以下三点:

1.从雇用关系到合作关系的转变

传统企业的最大特征是生产的资本化,即在企业的创立和发展过程中,物质资本投入比重非常大并远远超过人力资本投入比重;同时,从市场供求关系看,物质资本供应相对稀缺,而人力资本(主要是普通劳动力)相对充足。因此,传统企业的主人是物质资本所有者。人力资本在形式上隶属于物质资本,纳入到物质资本运动中并服从物质资本的需要,支配了物质资本也就支配了人力资本,产权的运作仅是物质资本的运动,即资本增值和创造利润的过程。这样,企业的契约关系表现为物质资本所有者雇用人力资本所有者的关系。即使是在“两权分离”的现代企业里,企业经营管理职责由人力资本所有者(企业家或职业经理人)承担,物质资本所有者(股东)投入的股本在公司中转化为公司的法人财产,这种安排仍没改变股东是企业的所有者、经营者是股东的被雇用者的状态,经营者仅被视为股东的人,股东通过董事会或股东会“用手投票”行使企业的控制权,或通过资本市场“用脚投票”制约管理者。

与传统企业相比,高新技术企业主要依赖于人力资本,这一重要特点决定了高新技术企业的创立主要有两种方式。第一种方式是既拥有高科技知识和创新成果又具有经营管理才能的人力资本所有者,通过自身的内部融资自己创立企业和组织生产经营活动,由此人力资本与物质资本融为一体;第二种方式是拥有创新知识和技术成果的人力资本所有者,与提供货币资本的物质资本所有者共同创立企业和经营管理企业。由于高新技术企业投资具有突出的风险性,传统的债务融资并不适用于企业的融资需要,因此高新技术企业的物质资本主要表现为风险资本,风险资本的突出特点是股权资本融资,其最终目的是赢利退出,而非长期控制企业,一旦创业成功风险投资者将在市场抛售股票以收回资本、获得巨额利润,并开始扶持新的高新技术企业。因此,高新技术企业是人力资本所有者和物质资本所有者在共同利益基础上创立和发展的,前者提供管理能力、创新知识和技术成果,后者提供物质资本,企业的契约关系从一开始就表现为合作关系,而不是雇用与被雇用关系。

2.从单一委托关系到多重委托关系的转变

企业是委托人和人之间围绕风险分配所做的一种契约安排,委托权的本质是承担风险,因此成为委托人所需的根本条件是承担风险。在传统企业,企业的风险主要表现在物质资本的风险上,物质资本所有者几乎承担着企业的全部风险,所以传统企业的委托—关系是以物质资本为核心要素构建的单一委托关系,即物质所有者是委托人,人力资本所有者是人。但是,在高新技术企业里,物质资本所有者(即风险资本投资者)通常将风险资本委托或投资于风险投资公司,由风险投资公司再投资于高新技术企业,由于风险投资公司的最大优势是资本经营与运作而非企业管理与运行,因此他们一般担任董事会建设者的角色,这样,风险资本投资者不仅不参与高新技术企业的创立,而且不参与企业经营管理,而人力资本所有者成为高新技术企业创立的主要角色。此时,在现代市场经济条件下,物质资本投资者的风险日益社会化,风险资本不能承担企业全部风险,而只是对自己的投资承担风险,而人力资本在高新技术企业的专用性和团队化日益提高,一旦退出企业或企业失败,其价值将大大降低,人力资本投资者,特别是创业企业家和核心技术人员也成为高新技术企业风险的承担者。显然,风险资本投资者、风险投资家、企业家和技术创新者形成了风险共担、收益共享的格局,这种格局打破了只有物质资本所有者是惟一的委托人,而其他人只能做人的产权配置态势,传统的单一的委托关系发生了质的变化,变成多重委托关系。在这种新型委托关系中,每一个所有者在凭借对自己拥有的生产要素产权行使委托人权利时,也同时是其他生产要素所有者的人,每一个要素所有者都有资格管理他人,同时也接受他人的管理。如拥有技术创新能力的人力资本所有者在委托风险投资者和企业家人力资本所有者把自己的创新知识、创新技术和创新设计商品化、产业化时,也他们行使技术创新的职能。这种新型委托关系为高新技术企业产权关系和治理结构优化、最大限度降低风险创造了条件。

3.从天然对立关系到有效合作关系的转变

长期以来,传统企业的所有权被认为是物质资本的企业所有权,在企业治理结构中只存在一种所有权,即物质资本所有权,这种所有权能够量化、价值化和资本化;相反,人力资本的企业所有权表现为非价值化和非资本化,两种资本的企业所有权是非对称的。同时,传统企业的委托关系特征决定了人的行为目标应该与委托人(股东)的目标一致,即企业的惟一目标是股东利益的最大化。企业所有权主体的惟一性和企业目标的惟一性导致传统企业中物质资本所有者和人力资本所有者的天然对立。但是,高新技术企业人力资本所有者和物质资本所有者的合作性质和新型委托关系,决定了企业所有权主体是多元的,企业的目标既是物质资本所有者(股东)利益的最大化,也是人力资本所有者利益的最大化,这有效地实现了两者利益目标取向的一致性,使两者的对立关系转变为有效合作关系。

二、高新技术企业产权结构特征

1.高新技术企业产权多元化

与传统企业相比,高新技术企业的产权结构是多元化的,由两种主要的产权形式构成,即物质资本产权和人力资本产权。前者的人格化代表是风险资本投资者,其投资主体也是多元化的,主要包括三者:一是政府,如美国政府建立了中小企业投资公司,为每一美元风险投资提供四美元的低息贷款;二是资本市场上的各种金融中介机构,如证券公司、投资银行、

保险公司和各种基金组织等,由这些组织组成的各种形式的风险投资基金;三是风险投资公司,它通常是由一些大公司设立的。后者的人格化代表是拥有管理能力和技术创新能力的创业者(企业家)和核心技术人员。高新技术企业的高风险性,对其创业者提出了很高的要求,要求他不仅要有全面的专业知识、丰富的市场经验,而且要有处险不惊、果敢刚毅的人格魅力。在一定意义上可以说,创业者决定着风险企业是成功还是失败。因此,创业者作为企业创始人以及他的知识和经验作为企业专用的资产,其往往拥有较多的股权。同时,技术创新对高新技术企业的决定性意义远胜于一般企业,技术的复杂性和不确定性决定了技术的定价非常困难,甚至无法定价,而且技术创新过程是一种创造性的智力活动,对技术创新人员的工作过程和结果进行监督并不能导致效率最大化,因此高新技术企业不是采用传统企业中将技术人员置于被雇用者地位的做法,而是将核心技术以股权等形式进入企业的产权结构安排中。 由物质资本产权和人力资本产权为主体构成的风险资本投资者、创业者和核心技术人员,一开始就进入高新技术企业的产权结构中。这种产权结构既强调物质资本产权的实现,也强调人力资本产权的实现,对两种产权的权利、责任和利益进行了明确界定:对风险资本产权而言,风险资本所占股份为多少,风险资本退出的周期多长以及如何实现成功退出,风险资本如何进行风险控制管理,等等;对人力资本产权而言,技术创新的周期多长,技术创新成果的市场经济价值多大,值多少股份,创业者在创业过程中的权利、责任与利益如何安排,等等。高新技术企业产权多元化,既激励约束了风险资本投资者,也激励约束了人力资本所有者,体现了高科技时代企业增长和经济发展的创新模式。物质资本产权和人力资本产权的结合构成了高新技术企业产权的全部内涵。

2.人力资本产权的独立性、股份化和可交易性

在传统企业里,人力资本所有者虽然参与了企业的剩余索取权和控制权,但这种权利并不是以所有者的身份获得的,而是物质资本所有者对人力资本所有者的奖励或激励,因此,在企业产权结构中,两种产权是不对等的,物质资本产权统治和支配着人力资本产权,人力资本产权从属于物质资本产权,人力资本剩余索取权仅仅表现为一定量的利润分享,并没有股份化和市场化,由此人力资本产权不能在资本市场进行交易。在高新技术企业里,由于人力资本所有者是企业的合作者之一,因而人力资本产权是以所有者身份获取的,是一种独立的、与物质资本产权对等的产权形式。

高新技术企业人力资本产权的另一个重要特征是人力资本产权的股份化和可交易性。人力资本产权部分是以创业者身份和技术创新成果获得的股份,部分是以企业家人力资本和技术型人力资本获得的股票期权。随着高新技术企业成长到一定阶段,它已积累了一定资产,并向有限公司转变,这不仅为人力资本转化为货币资本提供了条件,而且为人力资本所有者从对企业承担无限责任向承担有限责任转变提供了条件。在高新技术企业公开招股上市,完成由封闭公司向公众公司转变时,人力资本产权的最终实现是产权的股份化,人力资本所有者本身就成为企业股份的所有者,真正成为拥有剩余索取权和剩余控制权的股东,人力资本所有者的人力资本彻底向货币资本转化,并可在资本市场进行交易。因此,在高新技术企业发展过程中,逐步实现人力资本产权资本化、股份化,并可以在资本市场交易和变现,这既能促进人力资本产权价值的真正实现,又对高新技术企业发展和产权结构调整具有重要意义。

3.高新技术企业产权高度流动性

高新技术企业流动性快,增长性也快,面临很大的不确定性,风险资本投资者投资于高新技术企业的目的是为了获得高额回报,为了控制和避免风险,获取高额收益,无论是风险资本投资者还是创业者,都要求高新技术企业的产权具有高流动性,都要求产权能迅速变现。首先,高新技术企业能根据企业发展阶段和经营状况调整企业的产权结构。在高新技术企业创立初期,创业者和风险资本投资者根据出资量和估算的技术成果市场价值来确定双方的股权结构,但创业者一般持有普通股,风险资本投资者持有可转换优先股或可换股债券等复合金融工具。可转换优先股的优势:一是转换价格和转股比例可以依据企业发展状况而灵活变化;二是具有优先清偿权;三是附加有股息率和支付条款。这种优势可以保证风险资本投资者在企业发展的不同阶段选取对自己最有利的股权方式。因此,创业者收益与企业经营业绩紧密联系,企业业绩越好,创业者可获得更多的股票份额和更高的股票价值;当企业经营不善时,风险资本投资者的优先股转股比例提高,创业者持股比例下降,而且在支付优先股利息之后,普通股已经大大贬值了。这种产权结构流动既激励约束了创业者,也保护了风险资本投资者的产权利益。

其次,高新技术企业发展到成熟阶段,风险资本投资者能适时将手中的高新技术企业产权转让变现,通过产权流动实现风险资本和人力资本产权回报。高新技术企业产权流动的主要形式有:一是技术转让,即通过将新研发的技术卖出,收回风险资本投资本金并实现技术创新者的人力资本价值。二是经营运作,一方面通过产品的持续销售获得利润,逐步收回投资本金;另一方面通过确认人力资本的股权和持续的利润分配,实现各类人力资本产权的价值。三是资产转让,即将企业资产连同新技术一并卖出,收回风险资本投资本金并同时实现各类核心人员的价值。四是股权转让,即将一部分或全部股权转让给其他投资者,从而收回风险资本投资本金和实现人力资本产权价值。五是公司上市,即通过公司股份在证券交易场所上市流通,卖出股份,收回投资本金和实现人力资本产权价值。这五种产权流动形式虽各有优势和不足,但从功能从较角度来看,“公司上市”最为重要。通过提供多元化的风险资本退出渠道和建立多层次的资本市场体系促进产权流动,风险资本投资者和人力资本所有者获得产权回报,也使企业获得进一步发展。美国通过纽约证券交易所、NASDAQ全国市场及小型市场、各类场外交易市场等多层次资本市场,为风险资本提供良好的退出通道,同时为其他投资主体进入高新技术企业产权结构中提供了通道,这就保证高新技术企业产权能迅速、顺畅地流动,从而确保了风险资本和人力资本产权的实现,也保证了高新技术企业持续稳定发展。

4.高新技术企业创业阶段一般采取有限合伙制的产权制度安排

有限合伙制在产权结构上具有以下特征:

(1)人力资本产权的无限责任与风险资本产权的有限责任统一。高新技术企业创业阶段由有限合伙人和普通合伙人组成,有限合伙人是风险资本投资者,其投资量一般占总投资的99%,并以其所投资本承担有限责任,企业成功后可分得75~85%的资本利润;普通合伙人是风险资本家和创业者,他们是企业的管理者和决策层,其投资量仅为总投资的1%,但对企业的经营承担连带无限责任,成功后可分得15~25%的利润。人力资本产权的无限责任将人力资本与企业发展紧密地联系在一起,既是一种股份激励制度,也是一种企业治理的约束制度,风险资本产权的有限责任有利于吸纳高新技术企业所需的资金,因此人力资本产权的无限责任和风险资本产权的有限责任的产权制度安排,促进了高新技术企业的技术创新和科技成果转化,充分实现了两种资本的高效配置。

(2)有限期限的封闭式风险资本和强制分配条款。风险资本投资的主要功能在于向高新技术企业提供长期融资,由于高新技术企业还未上市,因此风险资本投资一般采用封闭式,有限合伙人一般不能撤资,风险资本流动性较差,且投资周期有限,通常为7~10年。为了保护有限合伙人的利益,产权契约规定投资期满后,除非2/3的有限合伙人同意延长一年,否则风险资本家和创业者必须退还本金和分配收益。

(3)有限合伙人虽没有管理权,但在关键问题上有投票的权利,如有限合伙协议的修订,合伙关系的提前解除,基金寿命的延长,风险资本家的撤换等。

三、新技术企业治理结构特征

1.强化人力资本治理结构

传统的公司理论是以“股东资本本位”理论构建的,公司被理解为是一个由物质资本所有者组织起来的联合体

,在股东的资本和管理者、生产者的劳动这两个生产要素中,为公司提供物质资本的“资本家”对企业拥有绝对的所有权,管理者或生产者只是股东资本的雇佣者。因此,公司治理结构所要解决的问题是,在公司所有权与经营权分离的条件下,如何确保物质资本所有者获得投资回报,即物质资本所有者通过什么机制迫使经营者将公司的利润作为投资回报返还给自己;如何约束经营者的行为并使其在物质资本所有者的利益范围内从事经营活动。但是,在知识经济的模式下,一方面,高新技术企业核心价值掌握在人力资本所有者手里,人力资本已经成为企业生存和发展的决定性生产要素;另一方面,高新技术企业的生产、经营活动已经高度专业化,分工也越来越细。生产者、经营者对专有知识、专有信息独占性越来越强,与物质资本所有者的“信息不对称”现象也越来越严重,并且也越来越不可逾越。在这种情况下,传统的企业制度和治理结构形式显然无法容纳人力资本的作用,为了解决上述问题,适应高新技术企业发展的需要,高新技术企业公司治理结构的重心产生了重大变化,发生了从“以资为本”向“以人为本”的转变。即企业已从过去那种以物质资本为基础,以物质资本的所有者和经营者的关系如何界定为中心的治理结构。转向了以物质资本和人力资本为基础,以这两种资本的权利关系如何界定为中心的治理结构,企业治理结构主要围绕如何激励以调动人力资本的积极性和如何适当约束人力资本的短期行为,激励机制可以保证人力资本应有的地位及利益,而约束机制则可以防止人力资本侵犯物质资本的利益,从而维护物质资本的地位及利益,通过建立激励与约束兼容的机制来实现两种资本双赢。因此,高新技术企业的人力资本成为企业治理结构安排的重要要素,强化人力资本治理结构成为知识经济条件下高新技术企业最典型的企业治理结构形态。 高新技术企业人力资本治理结构主要表现为:首先,人力资本股权激励成为高新技术企业治理机制的重要组成部分。为了激励人力资本,高新技术企业在股权安排方面往往通过股权激励制度安排使人力资本所有者拥有股权。股权激励采取的形式一般有两种,一种是将企业的一部分股权作为人力资本所有者的非现金收入或直接发放给他们作为管理股和技术股,人力资本所有者直接成为企业所有者;另一种是实行人力资本所有者股票期权,股票期权是规定人力资本所有者在某一段时期内按照某一约定的较低价格买进股票的权利,其实质是让经营者能够分享企业长期发展之后的价值增值,将人力资本所有者的收益与企业的利益紧密结合在一起。这种内在的联系使得经营者克服了决策和规划的短期效应,在公司的经营管理和发展战略问题上考虑的是企业的长期赢利能力。在高新技术企业治理中,一方面,股权激励使人力资本成为企业的所有者之一,增大了人力资本所有者经济实力,增强了人力资本所有者对企业的控制能力,从而强化了人力资本在企业治理结构中的作用;另一方面,股权激励使人力资本既分享企业增长所带来的收益,也承担企业风险所带来的损失,从而人力资本与企业的发展休戚相关,同时,人力资本所有者与物质资本所有者形成利益共同体,双方共同分担风险,相互制约,相互促进,降低了成本。

其次,董事会作用的弱化和首席执行官(CEO)制度的形成。CEO拥有远远大于以往总经理的权利,不仅正常的经营管理,而且在公司战略、重大投资、财务安排等方面拥有很大权力,还具有提名内部董事的资格,因此一般认为CEO拥有相当于50~60%的董事长权力。董事会的决策作用和监督作用都开始弱化,董事会的权力只局限于挑选一位合格CEO,当公司战略出现重大失误或者业绩出现严重问题时选择新的CEO代替前任。与此相对应的是,为保证权力巨大的CEO不滥用权力,CEO常常以管理层收购或者购买期权的形式拥有相当数量的企业股权,不再是单纯的公司雇员。CEO制度的产生实际上表明了高新技术企业治理结构的全面调整,一方面对人力资本和物质资本的地位和权利做重新的界定,主要是提高了人力资本在企业中的地位,增大了人力资本在企业中的权利,而物质资本的权利大多表现在产权的利益回报上,而不是其他方面,不再强调物质资本对企业的控制;另一方面对人力资本和物质资本进行功能性分工,经营活动已由CEO来独立进行,董事长不再进行重大经营决策。

最后,高新技术企业风险投资制度的发展更强化了人力资本治理。虽然风险资本投资者持有公司相当一部分股权,甚至持有大部分股权,但风险投资的持股期限是有限的,对经营管理的介入也是有限的,这使得风险资本具有某种“借贷资本”的性质,较多注重收益而较少注重管理。

2.风险资本的相机治理

风险资本在高新技术企业中一般采取相机治理的方式参与企业治理。风险资本在高新技术企业投资过程中,通常采用的投资工具有可转换优先股、可转换债券和附购股权债券等。其中可转换优先股是最普遍的一种形式,其优势在于:其一,持有优先股可优先获得固定的股息,并可以在企业经营状况良好时通过转换为普通股而分享企业利润增长的利益;其二,可转换优先股一般附有赎回条款,在投资者对企业前景信心不足时,持有人可要求企业赎回股票,从而避免更大的损失,同时也对企业创业者形成更大的压力和约束;其三,可转换优先股通过转换为普通股可加强持有人对企业的监督控制。一般企业的优先股意味着优先分配利润和没有表决权,放弃对企业重大决策的参与。而在高新技术企业里风险资本投资者在投入风险资本时,投资者和创业者双方要签订契约,把大量防范风险、确保回报的条款列入契约,风险投资虽持有优先股,却享有参加董事会并参与重大决策的权利,享有对某些重大事项如企业产权转让、出售、上市等的完全否决权或超股权比例的否决权。可转换债券是持有人能以约定期限和约定价格转换为企业股份的债券,选择可转换债券使风险投资者在取得稳定收益的基础上,通过债权转股的方式获得参与企业经营管理并分享成长潜力的机会。附购股权债券是指风险资本以债权形式进入高新技术企业时可获得一项认股权,即能够在未来按某一特定价格买进既定数量的股票,这使得投资者未来可能以较低价格获得企业股份,从而加强对企业的监控地位。

3.以高度发达的人力资本市场和资本市场为主导的外部治理机制

篇6

思想是行动的先导。在煤矿安全事故中,绝大部分是由当事人违章造成。然而,这些“违章”行为背后,一定存在着不科学、不健康的思想意识。这种思想意识就是安全的第一隐患,是安全“三违”行为内因。而安全设施、安全质量、安全制度、安全教育、安全环境等等管理行为才是“三违”的外因。外因作用于内因才导致“三违”行为和安全事故的发生。从这个角度看,不健康的思想意识也是安全隐患。根据辩证唯物主义理论,思想意识是人大脑对外部客观世界反映。外部世界又是以各种“信息”的形式,通过人的感觉器官系统,传递到大脑皮层,经过自己不同的分析处理,形成人的不同思想意识。

由此可知,煤矿安全隐患中应包括“思想安全隐患”。“思想安全隐患”的排查、处理,思想意识的改变,也具有“信息”特点,遵循“信息”的性质和规律。按照《信息论》的理论,用信息化形式,解决、处理职工的“思想安全隐患”,就成了安全生产中思想政治工作科学化的一种新的模式。

基于这样的认识,陶二煤矿党委提出了构建基于安全事故“双分析”基础上的思想政治工作信息化科学管理新体系。

二、遵循信息处理四个机制,构建了思想政治工作信息化管理体系

思想政治工作本身也是一门科学和专业。陶二煤矿党委利用思想政治工作信息化特性,根据思想政治工作独有的特点和规律,创建了科学的思想政治工作信息化体系。

(一)建立了安全思想信息搜集机制。搜集机制就是对职工日常和安全生产中思想信息进行动态收集,查出思想安全隐患。一是日常安全思想信息的收集。陶二煤在班组建立政工员制度,实行职工24小时思想、现场双掌控。就是对职工班前、班中、班后进行环境安全和思想安全双确认,八小时以外实行家属信息反馈,配合管理人员定期调研、职工来访接待、谈心交流等措施,把职工思想上安全隐患信息及时收集、掌握。二是重点安全思想信息的收集。实行了“安全事故双分析、双报告”制度,就是对一起安全事故,既要进行安全责任分析,又要进行思想隐患分析,既要提交安全事故分析报告,又要撰写思想政治工作分析报告,反向挖掘职工思想安全隐患。

(二)建立了安全思想信息分析处理机制。就是对职工思想上存在的不安全思想意识进行归类,有针对性制度改进措施和方案。面对职工思想存在问题,如何解决。必须建立科学分析研究机制。陶二矿设立了创新工作室,就是针对职工思想动态方面存在问题,进行分析研究,提出改进措施。参加人员主要有党委书记、安全矿长、政工部门管理人员和安全监察人员。如针对职工心理压力比较大,提出了“把脉、疏通、解忧、呵护”四项环节十六种心理疏导方法。针对罐车落道事故,分析主要原因是道轨铺设不合格,铺设不合格的原因是施工人员不知道道轨铺设标准,职工施工不合格主要是验收人员监督不到位,监督不到位的原因是检查员标准不熟悉,最后是培训体系不健全。为此,陶二煤矿从源头抓起,完善了职工培训、考核机制。从根本上解决罐车落道事故。

(三)安全思想教育方案实施机制。就是制定好思想政治工作实施方案之后,按照质量体系“凡事必规定、规定必执行、执行必记录、记录必检查、检查必纠错、纠错必验证”要求,组织实施。实行“目标日历双促法”,即每一天需要完成的工作量进行提前标记,上级可以督促下级,下级也可督促上级,从而保证工作如期开展。在执行过程中,认真做好记录和归档工作。实施“红、黄、绿、青、蓝”档案管理。即安排看策划,过程看记录、活动看照片、考核看奖罚、效果看总结。保证每一项活动完整,有效。

如我们在开展百日万人解放思想大讨论活动,做到安排有文件、学习有记录、活动有照片、考核有奖罚、效果有评估。从而保证通过活动,起到解放干部职工思想观念的目的。

(四)信息化思想教育评估提高机制。就是对思想政治工作进行科学评估,针对存在问题进行改进提高。开展思想政治工作后,效果怎么样,必须进行评估。否则,容易出现两张皮现象。比如,有一次我们到区队对职工进行安全事故案例警示教育,一些事故亲历者讲的非常动情、感人。但效果怎么样,我们进行了评估。主要方法,就是走访职工和让职工填写调查问卷。结果,很大一部分职工说,讲的不错,但我们刚上井,最需要的就是休息。休息好是安全的最好保证。从而也告诉我们,开展教育活动,不能影响到职工休息,进行硬性灌输。

三、坚持思想政治工作信息化管理,收到显著效果

思想政治工作信息化管理体系有效运行,提高了思想政治工作效率、增强了思想政治工作针对性、实现了思想政治工作与安全生产有机融合、有效消除了安全思想隐患、促进了企业安全生产和科学、和谐、健康发展。

(一)丰富安全管理理念,实现思想政治工作与安全生产的有机融合。把职工思想安全隐患明确列入安全管理隐患管理之中,对其排查解决,消除了安全事故的主观因素。同时,与安全生产相结合,提高思想政治工作在安全生产中重要地位,为全面开展思想政治工作创造了良好条件。陶二矿在每个班组设立政工员、纪检监督员、心理咨询员等政工工作人员,不仅得到了行政认可,也受到了职工的欢迎。

(二)增强安全思想政治工作的针对性、提高了工作效率。特别是通过“安全事故双分析、双报告”制度,查出思想政治工作薄弱环节,使思想政治工作由按照理念灌输,变为针对性开展工作,提高了工作效率。如一次放炮员装好炮后,由于生产原因不能拉炮。该放炮员没有交接班,直接升井。严重违反了安全规程,按“三违”进行了处理。经过“双分析”,主要原因还是职工存在侥幸心理。而造成侥幸心理原因有三个方面:一是日常检查不细致不全面,不能实现违规必纠。二是处理不到位。使侥幸心理存在的“成本”较低。三是教育不到位,责任心不强。从而制订了加强安监员培训、加大严重“三违”处理力度和增强警示教育覆盖面等措施,有针对性地解决。

(三)科学构建信息化闭合管理体系,实现安全思想政治工作规范化管理。日常思想政治工作往往说教多、活动多、学习多,只是进行普遍思想教育。实行思想政治信息化,则把思想工作从针对的问题和对象、制定科学方案、严格组织实施到思想教育效果评估,形成了一个完整的体系、实现了过程控制、形成了管理的闭合循环,使思想政治工作实现程序化、规范化,甚至标准化。

篇7

随着信息科技的高度发展,越来越多的企业引进了基于计算机网络的信息管理系统,信息系统的引入提高了企业的工作效率,同时也带来了不可避免的安全问题,做为国家重要基础设施行业之一的电力企业,信息安全尤为重要,不可忽视。

 

信息安全隐患不仅是一 个技术问题,也不单是一个管理问题,它不光涉及到信息从业人员,更多的是覆盖所有使用计算机的终端用户。因此,明确信息安 全隐患排查治理的内涵,确立信息安全隐患排查治理的方法和流程,是做好隐患排查工作的重点。

 

一、供电公司信息安全隐患分析

 

引起信息安全造成危害的因素是多方面的,从某种角度来讲,信息安全隐患存在的过程就是信息安全管理的过程,而信息安全管理过程中,涉及到人和物两个方面的因素。因此,我们可从以下几个角度来进行探析:

 

(1)由人引起的安全隐患

 

参与到供电公司信息安全系统操作过程的职位有:操作人员,维护人员,开发人员,网管和用户等。如果在此环节中,容易导致出现安全隐患的原因有:其一,工作人员信息安全管理知识不夯实,技能掌握不全面,难以将切实的信息安全管理工作落实下去;其二,信息安全管理制度不完善,各个部门之间的权责划分不明确,难以做到有重点,有层次的进行信息安全管理 工作;其三,信息安全管理系统配套设施管理不善,尤其是交换机,路由器和防火墙的配置存在不合理的地方,由此也会出现信息安全隐患;其四,惯性违章的行为,如病毒软件卸载,系统补丁不全,信息安全隐患不断出现。

 

(2)由物引起的安全隐患

 

用户信息安全管理意识淡薄,常常出现习文件权限管理不善等,由此使得供电企业其一,从通信线路可靠性的角度来看,主要涉及到物理设备安全,机房安全和通信线路安全等内容,如果此方面出现运行状态不佳的情况,势必会造成比较严重的信息安全问题;其二,软硬件由于质量,使用期限的问题,出现了各种各样的故障,从而难以满足信息安全系统的运行需求,由此也会造成严重的信息安全隐患;其三,网络设备不安全隐患,也会带来诸多安全隐患;其四,软件本身的安全漏洞隐患和病毒带来的不安全隐患。

 

二、供电公司信息安全隐患的排查

 

1.隐患排查目的和范围

 

(1)隐患排查目的。排查目的旨在排除重点部位、关键环节、关键部位的隐患,将检查工作落到实处,通过信息安全检查,提高网络和信息系统的可靠性。

 

(2)隐患排查范围。按照作用对象分类分为设备质量、信息技术管理、信息安全行为性3类确立信息安全隐患的排查和治理范围。其中设备质量范围对象包括:信息基础设施质量隐患:网络设备、主机以及其他信息设备质量隐患。信息技术管理范围对象包括:软、硬件设备安全性测试技术和方法欠缺:信息技术管理和设备运行管理的制度 不完善。信息安全行为性范围对象包括个人终端计算机使用管理、移动设备丢 失和滥用、非法外联等违规行为导致的数据泄密和病毒泛滥安全隐患。

 

2. 信息安全隐患排查的方法

 

针对于不同的信息安全隐患,应该采用不同的信息安全隐患排查方法,以保证做到具体问题具体分析。具体包括:

 

(1)隐患排查方法。信息安全隐患排查,需按照信息专业所辖设备和技术管理职能进行分工,采取信息隐患排查表法和信息安全督查方法进行。一是信息隐患排查表法。它把信息安全隐患所涉及的安全元素和检查项目用表格系统的方式罗列出来,逐项对照检查评审的方式,是隐患排查最常用的方法。

 

(2)信息安全督查法。主要采取日常督查、专项督查和年度督查相结合的方式。利用安全监控、内容审计、安全扫描等多种技术手段开展隐患排查。

 

①日常督查。 结合日常开展督查工作进行信息安全隐患排查工作。

 

②专项督查。根据特定时段、特定事件而发起的信息安全隐患排查。

 

③年度督查。年度排查结合日常督查、专 项督查,由公司督查组组织专人,按照国网公司《信息安全年度督查方案》通过 访谈、查看文档、技术检查以及工具扫描等方式进行现场督查。督查结束后,督 查组将督查结果和整改建议形成《信息安全技术督查整改通知单》,并于当月底,通过《信息安全技术督查通报》对督查结果及整改情况进行通报。

 

三、供电公司信息安全隐患的治理

 

1.运行中的设备隐患治理

 

(1)信息网非常态运行况下(设备检修、新主干设备接入信息网、技术改造、受灾等)可能存在的动态隐患,由信息部门组织信息专业人员,在设备调整前进行认真分析,制定隐患预控方案,实施预控措施。

 

(2)信息网正常运行况下存在的运行方式隐患。由信息安全技术监督组成员提出事 故预想,加强信息网运行监视,使隐患可控、能控、在控。

 

(3)对在特殊条件下可能出现设备、线路超限额运行的隐患。信息安全技术监督 组成员应提前进行分析,提出备用控制预案,由当值运行值班员进行控制。

 

2.系统安全隐患治理

 

(1)对于操作系统漏洞存在的隐患,由信息部门利用技术手段,桌面管理系统实时 向各客户端机器进行推装,并不定期组织相关技术人员进行抽检,预防隐患发生。

 

(2)结合信息安全日常督查的工作对于服务器端操作系统的安全策略进行检查并 优化,对策略的调整上报信息主管部门备案。

 

(3)对于各业务应用系统的隐患,由相关业务部门负责治理,应用系统相关权限的设置以及废弃用户的处理,由相关 业务部门进行治理,上报信息主管部门备案。

 

3.对用户行为性而引起的隐患治理

 

此类活动是由用户习惯性违章而造成的安全隐患,由信息部门督促用户进行整改。具体包括:1)采取多种方式开展用户信息安全知识的培训,通过公司主页进行宣传、发放信息安全知识手册、及时转发上级下发的有关信息违规通报,提高终端用户 的信息安全意识。2)通过桌面系统对用户弱口令情况进行不定期检查,由信息主管部门进行通 报,对违规用户由公司对所在部门进行考核。3)不定期对自行安装操作系统、卸载防病毒软件、不安装桌面管理客户端的用户进行抽查,如发现一例要进行严肃处理。由公司进行通报。对违规用户由供电公司对所在部门进行考核。

 

4.重视信息安全隐患排查人才培养

 

供电公司信息安全隐患排查和治理工作的开展,需要重视企业信息安全隐患排查和治理人才的培养,以保证其有效性和安全性。

 

具体来讲,我们可从以下角度入手:其一,严格把握信息安全管理人员的招聘和选拔过程,从根本上控制企业信息安全管理队伍的综合素质;其二,积极组织开展全面的信息安全隐患排查人员的培训和教育,实现其综合排查技能的提升,以保证切实的将各项工作落实下 去;其三,给予公司信息安全隐患排查工作人员合理的待遇和薪酬,并且建立高效的绩效考核制度,以此激发信息安全隐患排查人员的工作积极性。

 

篇8

随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:

1机制建立是关键

企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。

2技术防护是基础

技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。

3监督检查是保障

全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。

险管控是对策

为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。

参考文献:

篇9

中图分类号:F470.6 文献标识码:A 文章编号:

信息安全管理是信息安全防护体系建设的重要内容,也是完善各项信息安全技术措施的基础,而信息安全管理标准又是信息安全管理的基础和准则,因此要做好信息安全防护体系建设,必须从强化管理着手,首先制定信息安全管理标准。电力系统借鉴 ISO27000国际信息安全管理理念,并结合公司信息安全实际情况,制订了信息安全管理标准,明确了各单位、各部门的职责划分,固化了信息系统安全检测与风险评估管理、信息安全专项检查与治理、信息安全预案管理、安全事件统计调查及组织整改等工作流程,促进了各单位信息安全规范性管理,为各项信息安全技术措施奠定了基础,显著提升了公司信息安全防护体系建设水平。

1电力系统信息安全防护目标

规范、加强公司网络和信息系统安全的管理,确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃, 抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故,并以此提升公司信息安全的整体管理水平。

2信息安全防护体系建设重点工作

电力系统信息安全防护体系建设应遵循“强化管理、标准先行”的理念。下面,结合本公司信息安全防护体系建设经验,对信息安全防护体系建设四项重点工作进行阐述。

2.1 信息系统安全检测与风险评估管理

信息管理部门信息安全管理专职根据年度信息化项目综合计划,每年在综合计划正式下达后,制定全年新建应用系统安全检测与风险评估计划,确保系统上线前符合国网公司信息安全等级保护要求。 应用系统在建设完成后 10个工作日内,按照《国家电网公司信息系统上下线管理办法》要求进行上线申请。 由信息管理部门信息安全管理专职在接到上线申请 10个工作日内, 组织应用系统专职及业务主管部门按照《国家电网公司信息安全风险评估实施指南》对系统的安全性进行风险评估测试,并形成评估报告交付业务部门。 对应用系统不满足安全要求的部分, 业务部门应在收到评估报告后 10个工作日内按照《国家电网公司信息安全加固实施指南(试行)》进行安全加固,加固后 5个工作日内,经信息管理部门复查,符合安全要求后方可上线试运行。应用系统进入试运行后,应严格做好数据的备份、保证系统及用户数据的安全,对在上线后影响网络信息安全的,信息管理部门有权停止系统的运行。

2.2 信息安全专项检查与治理

信息管理部门信息安全管理专职每年年初制定公司全年信息安全专项检查工作计划。检查内容包括公司本部及各基层单位的终端设备、网络设备、应用系统、机房安全等。 信息安全专职按照计划组织公司信息安全督查员开展信息安全专项检查工作,对在检查中发现的问题,检查后 5 个工作日内录入信息安全隐患库并反馈给各相关单位,隐患分为重大隐患和一般隐患,对于重大隐患,信息安全专职负责在录入隐患库 10 个工作日内组织制定重大隐患治理方案。 各单位必须在收到反馈 5 个工作日内对发现的问题制定治理方案, 并限期整技信息部信息安全专职。信息管理部门安全专职对隐患库中所有隐患的治理情况进行跟踪,并组织复查,对未能按期完成整改的单位,信息安全专职 10 个工作日内汇报信息管理部门负责人, 信息管理部门有权向人资部建议对其进行绩效考核。

2.3 信息安全应急预案管理

信息管理部门信息安全管理专职每年 年初制定公司全年信息安全应急预案编制、演练及修订计划,并下发给各单位。各单位信息安全专职按照计划组织本单位开展相关预案的制定,各种预案制定后 5 个工作日内交本部门主要负责人审批,审批通过后 5 个工作日内报信息管理部门信息安全专职。各单位信息安全专职负责组织对系统相关人员进行应急预案培训,并按年度计划开展预案演练。 根据演练结果,10 个工作日内组织对预案进行修订。各单位信息安全预案应每年至少进行一次审查修订, 对更新后的内容, 需在 10 个工作日内经本部门领导审批,并在审批通过后 5 个工作日内报信息管理部门备案。

2.4 安全事件统计、调查及组织整改

信息管理部门信息安全专职负责每月初对公司本部及各基层单位上个月信息安全事件进行统计。 各系统负责人、各单位信息安全管理专职负责统计本系统、单位的信息安全事件,并在每月 30 日以书面形式报告信息管理部门信息安全专职, 对于逾期未报的按无事件处理。 出现信息安全事件后 5 个工作日内,信息管理部门信息安全专职负责组织对事件的调查,调查过程严格按照《国家电网公司信息系统事故调查及统计规定(试行)》执行,并组织开展信息系统事故原因分析,坚持“四不放过”原则,调查后 5 个工作日内组织编写事件调查报告。调查、分析完成后 10 个工作日内组织落实各项整改措施。信息安全事件调查严格执行《国家电网公司网络与信息系统安全运行情况通报制度》制度。

3评估与改进

篇10

(2)检查手段、结果重复每年国家、行业或上级单位会定期下发相关检查要求,并通过现场检查、远程扫描、配置核查、渗透测试等手段对供电企业进行合规性安全检查,检查内容和结果容易存在一定的重复性,建立和整合统一风险库也存在一定难度。

(3)安全合规工作繁重供电企业安全人员在执行安全合规工作的过程中,不可避免地要在每次合规检查中面临自查、加固、迎检、整改、复查等一系列工作,当此系列工作在一定时间内重复出现的时候,合规管控工作将变得繁重且效率不高。

(4)相关人员协调难度大信息安全管控工作往往跨越多个部门,横向沟通成本较大、难度也高。最常见的问题就是实施方和相关配合人员因关注点不同而导致的工作分歧,若合规检查时需要相关部门及人员多次重复性工作,往往导致人员情绪抵触并影响工作效率。

2多标准合规管控概念的提出

针对以上信息安全合规管控工作中遇到的难题和挑战,本文提出了多标准合规管控的概念,试图通过对各个合规标准进行研究和学习,探寻一条可以减轻合规管控过程中工作量繁重、重复的道路,研究一套把多个合规标准整合和统一的方法论。多标准合规管控,就是以现有的信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础,通过进一步的比对梳理、分析、加工和整合,形成一个更具体的安全执行标准库,覆盖目前所有的检查要求,是所有检查标准的最大并集,利用此执行标准指导信息安全的合规管控工作,争取达到一次配置满足多个标准的目的。

3多标准合规管控体系建立

本文以信息安全等级保护、IT治理、安全督查、一体化风险评估、入网安评、安全基线等标准为理论和参照基础,阐述多标准合规管控体系的建立过程。建立PDCA过程指导思想:通过对现有各个合规标准的体系文件、测评要求、规范标准进行对比、分析、梳理和整合,制作出多标准合规管控体系的相关组件文档,具体包括体系文件、配置方法、规范标准。主要研究步骤如下:

(1)理解各信息安全检查的要求、目的和目标

①安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

②IT治理IT治理是企业治理在信息时代的重要发展,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息技术与过程的风险、确保实现组织的战略目标。

③安全督查信息安全督查是供电企业根据国家信息安全管理体系要求、结合供电企业信息技术监督规范的要求建立的日常工作机制,负责各单位的信息安全技术指导、监督、检查、督促改进等工作。

④入网安评为保障信息系统的正常运行,需加强系统及设备入网管理,规范新设备入网前的相关活动并进行安全评测,保障每一台入网设备都符合企业安全规范要求,不会给现有网络带来新的安全隐患。

(2)对各合规标准进行对比分析,找出异同点通过仔细的分析对比,找出各合规标准要求项的差异并进行标注,研究差异的原因,探讨差异点存在的价值。由于企业安全基线经过多年的实践和修正,具有较高的规范性和实操价值,符合供电企业的IT现状,故以安全基线文档为底板进行增删减优化操作。

(3)整合和梳理各合规标准,形成备查项将各合规标准整合到统一文档表格中,并以安全基线、等级保护测评要求文档为主要参照物,对其他合规要求进行梳理和排序。通过不同标准文件对相同控制点的不同描述进行再加工,整合出一个覆盖各个标准要求的执行标准。此步骤不仅方便标准集合的制作,也保留了各个标准要求的原貌,方便日后查阅检索。下表示例说明某个信息安全控制点执行标准集合:

(4)整合多个合规标准,形成具体执行标准要求通过上一步骤对统一文档产生的执行标准集合进行提炼和整合,排序形成涵盖多个合规标准的具体执行规范文档。

4多标准合规管控设计重点难点分析

(1)设计过程考虑最小和最大安全保障问题信息系统安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求;而信息安全执行标准在某一个程度上是一个信息系统的最大安全保证,即信息安全执行标准已经覆盖了合规管控的多个标准要求。如何在最小安全保证和最大安全保证之间进行取舍与平衡,是企业面临的首要问题。本文建议解决办法是保留各个标准的要求文档,供执行人员备查,在实际执行过程中根据系统级别进行相应的取舍。

(2)设计过程考虑结果文档的来源问题信息安全执行标准是一个实践性文档,在实践的过程中难免会存在疑问和顾虑,如何快速并准确地定位到配置要求的来源和依据是面临的第二个问题。由于短期无法一次性创造一个安全合规体系,只能先对多个标准体系进行整合和梳理,因此建议保留初始合规标准的原型,在执行人员出现疑问的时候能够找到相关的依据。

篇11

2.用户参与对信息安全管理有效性的影响——多重中介方法

3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程

4.论电子档案开放利用中信息安全保障存在的问题与对策

5.美国网络信息安全治理机制及其对我国之启示

6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究

7.“棱镜”折射下的网络信息安全挑战及其战略思考

8.再论信息安全、网络安全、网络空间安全

9.“云计算”时代的法律意义及网络信息安全法律对策研究

10.计算机网络信息安全及其防护对策

11.网络信息安全防范与Web数据挖掘技术的整合研究

12.现代信息技术环境中的信息安全问题及其对策

13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角

14.论国民信息安全素养的培养

15.国民信息安全素养评价指标体系构建研究

16.高校信息安全风险分析与保障策略研究

17.大数据信息安全风险框架及应对策略研究

18.信息安全学科体系结构研究

19.档案信息安全保障体系框架研究

20.美国关键基础设施信息安全监测预警机制演进与启示

21.美国政府采购信息安全法律制度及其借鉴

22.“5432战略”:国家信息安全保障体系框架研究

23.智慧城市建设对城市信息安全的强化与冲击分析

24.信息安全技术体系研究

25.电力系统信息安全研究综述

26.美国电力行业信息安全工作现状与特点分析

27.国家信息安全协同治理:美国的经验与启示

28.论大数据时代信息安全的新特点与新要求

29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究

30.工业控制系统信息安全研究进展

31.电子文件信息安全管理评估体系研究

32.社交网络中用户个人信息安全保护研究

33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述

34.三网融合下的信息安全问题

35.云计算环境下信息安全分析

36.信息安全风险评估研究综述

37.浅谈网络信息安全技术

38.云计算时代的数字图书馆信息安全思考

39.“互联网+金融”模式下的信息安全风险防范研究

40.故障树分析法在信息安全风险评估中的应用

41.信息安全风险评估风险分析方法浅谈

42.计算机网络的信息安全体系结构

43.用户信息安全行为研究述评

44.数字化校园信息安全立体防御体系的探索与实践

45.大数据时代面临的信息安全机遇和挑战

46.企业信息化建设中的信息安全问题

47.基于管理因素的企业信息安全事故分析

48.借鉴国际经验 完善我国电子政务信息安全立法

49.美国信息安全法律体系考察及其对我国的启示

50.论网络信息安全合作的国际规则制定  

51.国外依法保障网络信息安全措施比较与启示

52.云计算下的信息安全问题研究

53.云计算信息安全分析与实践

54.新一代电力信息网络安全架构的思考

55.欧盟信息安全法律框架之解读

56.组织信息安全文化的角色与建构研究

57.国家治理体系现代化视域下地理信息安全组织管理体制的重构

58.信息安全本科专业的人才培养与课程体系

59.美国电力行业信息安全运作机制和策略分析

60.信息安全人因风险研究进展综述

61.信息安全:意义、挑战与策略

62.工业控制系统信息安全新趋势

63.基于MOOC理念的网络信息安全系列课程教学改革

64.信息安全风险综合评价指标体系构建和评价方法

65.企业群体间信息安全知识共享的演化博弈分析

66.智能电网信息安全及其对电力系统生存性的影响

67.中文版信息安全自我效能量表的修订与校验

68.智慧城市环境下个人信息安全保护问题分析及立法建议

69.基于决策树的智能信息安全风险评估方法

70.互动用电方式下的信息安全风险与安全需求分析

71.高校信息化建设进程中信息安全问题成因及对策探析

72.高校图书馆网络信息安全问题及解决方案

73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析

74.云会计下会计信息安全问题探析

75.智慧城市信息安全风险评估模型构建与实证研究

76.试论信息安全与信息时代的国家安全观

77.IEC 62443工控网络与系统信息安全标准综述

78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义

79.浅谈网络信息安全现状

80.大学生信息安全素养分析与形成

81.车联网环境下车载电控系统信息安全综述

82.组织控制与信息安全制度遵守:面子倾向的调节效应

83.信息安全管理领域研究现状的统计分析与评价

84.网络信息安全及网络立法探讨

85.神经网络在信息安全风险评估中应用研究

86.信息安全风险评估模型的定性与定量对比研究

87.美国信息安全战略综述

88.信息安全风险评估的综合评估方法综述

89.信息安全产业与信息安全经济分析

90.信息安全政策体系构建研究

91.智能电网物联网技术架构及信息安全防护体系研究

92.我国网络信息安全立法研究

93.电力信息安全的监控与分析

94.从复杂网络视角评述智能电网信息安全研究现状及若干展望

95.情报素养:信息安全理论的核心要素

96.信息安全的发展综述研究

97.俄罗斯联邦信息安全立法体系及对我国的启示

篇12

中图分类号:TU758.7 文献标识码:A 文章编号:1009-914X(2016)04-0071-01

引言

现代信息技术的发展和应用,促进了我国社会的快速发展,现代信息技术的应用领域在不断扩大,在人们的工作、生活、学习等过程中都有所应用,尤其是在企业信息化过程中,扮演的角色越来越重要。信息技术的应用给我们的生活带来了很大的变化,在企业的发展过程中,也积极加强了对信息系统的应用。随着计算机信息技术为越来越多的人所接受,各种信息的泄露、不良信息的传播成为人们使用网络时的安全忧患。尤其是各种信息的泄露,导致当前很多人的生活受到影响,企业管理过程中应该要加强对安全隐患的防范,可以使得企业的管理水平得到提升。

一、企业信息化过程中的安全隐患

在新的时代背景下,企业管理过程中加强对信息化的应用,可以使得企业的各项资料、信息管理更加井然有序,并且可以提高信息资料传递的速率,使得企业的管理效率不断提升。但是由于信息系统本身就面临一些威胁,所以企业网络信息安全在进行传递、存储以及使用的过程中,都面临着较大的危害。一些企业网络信息安全系统存在软件和硬件的漏洞,比如一个恶意的数据包就有可能导致各种设备出现瘫痪,最终使得各种信息出现泄漏。这些危害很有可能导致企业网络信息的安全受到威胁,严重时还有可能导致整个信息系统出现瘫痪。比如一些企业中存储有关于国家历史的文件资料,一旦出现了信息安全危害,严重时还会对整个国家造成影响。在企业的发展和管理过程中加强对信息系统的应用,常常出现的一个严重的问题就是信息泄露。信息泄露主要有几个方面,第一,失密、泄密。失密、泄密指的是非法的用户在使用过程中采用各种违法的手段获取企业的信息从而导致信息出现泄漏的现象。企业网络信息的失密和泄密的途径主要有几种,即磁泄漏、传输泄漏、侦收破译泄密、存储不利泄露等。这种泄密方式具有不可见性和不易察觉性,危害比较严重、持续时间也比较长。这种对于企业以及各种机构组织产生的影响比较大,很有可能会导致一些机密信息的出现。第二,数据遭受破坏。企业在日常管理过程中往往会利用计算机技术、互联网等对各种信息进行传递,在这个过程中也会对信息进行相应的处理,比如企业的工作人员在利用网络上传或者下载信息的时候,有些资源会被压缩,在信息处理过程中最容易出现数据破坏的现象,这种信息的破坏往往是不可逆转的,也就是修改之后的数据恢复起来难度比较大。第三,网络入侵威胁。由于当前的时代是信息网络时代,企业网络系统的基础是互联网,没有网络,企业的网络系统不能正常工作。但是企业网络系统应用的过程中,往往会存在很多恶意的侵犯,最终使得信息受损。

二、 企业网络信息安全隐患的防护

在新形势下,企业的信息化发展是一个必然的趋势,在这个过程中,必须要加强对网络信息安全的保护,加强对计算机系统的安全保护,从而使得企业发展过程中能够对各种信息进行加密处理,确保企业的健康发展。

(一)加强工作人员对信息安全工作的重视

在企业的发展过程中,工作人员对信息安全工作的重视程度如何,将会对企业的发展带来十分重要的影响,只有不断提高工作人员的信息安全意识,才能从根本上杜绝一些危害的出现。比如引导企业的工作人员形成安全意识,使得他们在使用计算机以及网络的时候可以注意不要去点一些不安全的网站,不会下载一些非法的东西,从而确保企业的信息系统的运营环境的安全性,确保企业的各种信息数据可以得到有效的保护。

(二)采用技术手段对各种安全隐患进行控制

在企业的发展过程中,为了对各种信息进行安全保护,则必须要从技术手段加强安全保护,比如对于企业的电脑,要安装防病毒系统,购买一些正版的杀毒软件,安装防火墙等,使得企业的信息系统可以得到有效的保护,加强对病毒的预防,从而不断提高企业的信息安全水平。其次,对于企业发展过程中的各种重要的信息要进行加密处理,尤其是在各种商业信息,是企业发展过程中的重要内容,为了防止信息被黑客窃取,则可以使用相应的数据加密技术,使得密码破译的难度增大,从而对一些违法的入侵行为进行规避,这种方法可以规避数据破坏、窃听等恶意行为。另外,在企业内部应该要建立一个相对独立的网络,从而可以对企业发展过程中的各种信息进行有效的传递,使得信息传递的网络环境是健康的,相关的技术人员应该要定期对该网络进行检查,确定内部网络的健康性。

(三)加强企业网络信息安全管理体制的建立

在企业网络信息安全防护过程中,应该要对管理制度进行完善,首先要定期修改管理制度,加强对技术人员安全的培训,以更好地适应现代化信息社会。其次,要开发计算机信息与网络安全的监督管理系统,并且对安全监管系统的管理责任进行细分,落实到具体的责任人身上,一旦出现网络信息安全时要及时找到相应的责任人,对网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则,实现安全保护责任制,逐渐实现企业网络信息完全管理的科学化和规范化发展。第三,在管理的过程中,要对企业的安全技术管理人员的责任进行确定,一旦企业的信息系统出现了安全问题,则应该要按照相应的责任关系找到责任人,对具体的责任进行承担,从而使得企业的信息安全系统管理更加科学。

结语

综上所述,在信息技术时代,信息网络系统在企业管理过程中的应用越来越多,同时也产生了较大的信息安全隐患。对此要积极加强信息安全工作,从人员安全意识的提升以及应用安全防护技术手段角度着手,对企业的信息安全保护工作进行加强,并且建立相应的严密的管理制度,从而使得企业的网络信息安全管理工作水平可以得到有效的提升,促进企业在信息化过程中的健康发展。

参考文献

篇13

3月29日,在上海召开的IT决策者峰会就探讨了新雷区的特点与排雷的对策。

“无疆界”的困惑

当Web2.0、无线移动这些IT新技术把世界的阻碍铲平之后,“无疆界沟通”随即大行其道,无疆界企业、无疆界金融、无疆界商贸、无疆界社区……让人目不暇接。无疆界沟通的最大特征,被认为是降低了网络使用的成本和门槛,方便了用户的参与,譬如博客,譬如P2P和YouTube。“众人拾柴火焰高”,这让用户和商家都兴奋不已。

然而人们很快发现,与“应用无疆界”相伴的,不但有“商机无疆界”,还有“危险无疆界”,以至于出现了“2007年是风险管理年”之说。

“过去一个公司的内部网和外部网的边界是清晰的,现在不行了,无疆界沟通使‘任何人在任何地点利用任何设备’都可以访问到你,你很难说清楚企业的疆界在哪里。再加上电子邮件、MSN以及QQ等大量非格式信息在企业的使用,更使信息系统的治理难上加难。这是CIO们的一个新课题。”路透社全球技术政策与标准主管George Wang说。

屋漏偏逢连阴雨。过去微软的操作系统从发现漏洞到遭受攻击,通常要间隔几个月,而如今黑客的攻击手段也“与时俱进”,几天甚至几小时就可以针对漏洞发起攻击。加之IT已经渗透到企业运营的每一个环节和流程,数据处理量越来越大,稍有风吹草动就会造成系统瘫痪。“IT已成为企业运营面临的主要风险之一。”德勤企业风险服务部潘晓欧这样认为。

新的风险还与IT地位的提升有关。人们常用“工具”定位 IT,然而最近发生的许多事件表明,这个“工具”不仅服务于业务,还可以左右业务,甚至关乎企业的生死存亡。“IT系统如果出了问题,引发的危机是巨大的,可能会大到使CEO辞职、使企业破产。日本东京证券交易所最近的三次交易系统瘫痪就直接导致其CEO辞职,这充分证明了‘信息化能载舟,亦能覆舟’的道理。”中国银河证券信息技术中心主任王恒说。

危机当然并不都是坏事,上述事件促使CEO加倍关注IT。王恒指出,“以往很多CEO认为IT是CIO的事――CIO抬轿子,CEO坐轿子。现在CEO们终于明白,抬轿子的如果出现闪失,坐轿子的也死定了。因此,越来越多的CEO开始转变观念,IT人员在企业的地位也有所提升。”

治理模式转型

形势变了,企业环境变了,IT治理模式也要随之改变。

与会专家们提出的“危机对策”林林总总,其中的一项得到了高度认同。该项对策主张:应对危机的理念和策略需要转型――“要从IT基础架构的保护转向对企业信息的保护”。

专家们分析,当企业边界变得模糊时,仅仅依靠防火墙、入侵检测、渗透测试、补丁管理等IT基础架构的保护已远远不够,企业应当学会两条腿走路,工作重心也应转向企业信息的保护。

转型是一个庞大的系统工程,包括观念变迁、政策调整、制度建设,还须针对需要保护的业务信息的特征,分门别类地进行管理。以证券业为例,业务信息安全保护包括:人员操作风险、权限管理风险、参数管理风险、业务数据风险、合规性业务风险等。

不过,“安全保护”也是双刃剑,在获得安全的同时,企业也要付出效率、成本等方面的代价。因此,聪明的企业不会无限制地提升安全性,只能权衡利弊,区别层次与范围进行安全管理。其中的“度”不易把握,又必须好好把握,有所追求就要有所放弃,如同雇佣最优秀的员工就不可能支付最低的薪水一样。

在工作方法上,企业应遵循ISO17799、COBIT国际信息安全标准,有框架、有步骤地制定信息安全管理体系,治理策略和治理标准必须成为公司的强制性政策。

专家们认为,CIO也必须进行角色转型,要从IT技术专家转向业务风险控制专家。以往人们说IT管理是“三分技术、七分业务”,现在应再追加一句“十二分管理”。因为IT治理转型之后,管理难度加大了。

华特迪士尼(上海)有限公司高级信息技术经理韦国锋对CIO转型的看法是:CIO向业务渗透只能是“渗透”,不应该也不可能替代业务主管。术业有专攻,CIO的专业是IT,业务上不可能超过业务人员,否则他就应改行做业务了。韦同时认为, CIO们可以不具备高超的业务能力,却必须具备“与业务人员的沟通能力、理解业务流程的能力、把IT非核心业务外包出去的能力”。

“信息的价值”还是“价值的信息”

在各路专家大谈“信息的价值”时,奥托诺尼(北京)公司总经理伍昕的观点有些另类,他认为:“信息的价值”固然要讲,“价值的信息”更不可忽略。

“价值的信息”即“有用的信息”,何为“有用”?对一个明天去上海出差的人,“明天上海的天气”就是有用的信息,而“一个月之前上海的天气”则没什么用,但后一个信息可能会对气象部门的研究有用。这就是“在正确的时间把正确的信息传递给正确的人”。

从“信息的价值”到“价值的信息”,是时下很多人迷茫的问题,也是企业信息化的一个难点。互联网把信息送到了我们指尖上,也把一个恼人的问题推到前台:如何花最短的时间在信息海洋中找到对自己有用的信息?特别是那些大企业,探索与获取信息已经彻底解决,问题是如何快速找出对决策有用的信息。很多CIO的感受,是“就要被信息的海洋淹死了”。

虽然解决这个问题早已有了数据仓库、搜索引擎等工具,还有许多“可自动执行信息检索”的软件,有的软件甚至可以按用户的需求自动探索或锁定视频信息,提供“概念聚类”、“热点图示”、“摘要生成”和“提醒”等智能化服务,不过这些应用在国内企业进展得并不顺利,还有很多障碍。

友情链接