你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
当前位置: 首页 精选范文 企业信息安全重要性

企业信息安全重要性范文

发布时间:2023-10-09 18:03:30

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇企业信息安全重要性范例,将为您的写作提供有力的支持和灵感!

企业信息安全重要性

篇1

引言

信息网络看不见摸不着,却又切实围绕在每个人的身边,并渗透进了经济发展的每个细胞里。现代企业作为推动国家经济发展的细胞,繁荣衰盛牵动着国家经济的每一根神经,计算机网络在企业的应用是不可阻挡的趋势,他给企业,给社会经济的发展带来的益处不言而喻,数不胜数,可任何事情都有其发展的轨道和两面性,信息网络在带给社会便利的同时,其安全性也对大环境下经济发展构成威胁。现今,网络发展促使越来越多的计算机人才的涌现,利用好了便造福于社会,否则便会成为威胁网络安全的罪魁祸首。为了确保网络的安全性,全社会从上至下树立起安全用网的意识,完善相关法律法规的制定,各部门加强防范意识,坚持自主创新,具体情况具体分析,完善内部网络安全,创造网络发展良好环境,使得网络健康有序地服务于社会经济的发展。

一、网络使用在企业中的现状

信息网的安全性破坏绝非一朝一夕的事情,许多的网络木马病毒总是会从各种渠道悄无声息侵入到整个系统,致使信息网的瘫痪,造成不可估量的损失。现今,网络安全主要会从以下方面受到威胁:1.1、企业员工,员工的网络意识不高,多数员工并没有意识到网络信息不安全的事实,在使用内部计算机时,会因为安全配置不当,而造成的网络安全漏洞,随意浏览网页或与他人共享网络资源,用户口令选择不当安全意识不强,等等都会为网络病毒提供有乘之机.1.2、企业忽视对网络的建设,企业经营者注重的往往是网络效应,缺乏对构建安全网络的投入,使得许多的企业网络基本处于被动防御封堵网络漏洞的状态,缺乏安全意识,没有建立主动防范的网络体系,提高网络检测、防护和恢复能力.1.3、网络信息安全还有很大一部分原因要归咎与人为的恶意攻击。他们熟知网络的运作方式,拥有纯熟的网络技术和操作水平。如近年来,网络黑客以及其他的网络犯罪活动猖獗,他们攻击方式主要分为有目的的攻击,也就是主动窃取目标信息,有选择地破坏企业内部信息的完整性和机密性,另外一种是被动攻击,被动攻击是在不影响网络正常工作的前提下,截获或窃取公司的机密信息,这两种攻击破坏力都非常强,企业必须对此提高警惕,完善防范和监督体系。第四、相关法律法规的缺失,对恶意攻击网络的行为惩罚力度不够,间接促使了人为攻击和网络犯罪的频增。

二、保障信息网络安全,促进企业稳定发展

2.1、完善网络使用的规章制度,提高员工安全防范意识

网络安全从内部抓起,健全和完善企业网络使用的规章制度,监督体系,并建立明确奖惩规则,如严令禁止私人使用移动存储设备,强制性杜绝利用企业网络处理私人问题的行为;贴封条,并定期检查网络设备,加大对网络维护和监测力度,同时加强对员工的思想教育,提高员工的整体素质,明确滥用网络的危害性,增强员工的企业责任心,普及安全用网知识,人为的对网络进行控制和监管,防止信息泄露,和网络漏洞的出现。

2.2、完善企业信息网络的防范系统和监督体系

企业管理人员应加大对主动防范领域的投资,转被动封漏为主动出击,加强防范与监督,严防网络病毒的入侵,一旦发现病毒及时查杀,并定期更新完善杀毒软件,检查网络设备。注重企业的紧急预警,发生病毒侵入事故,立即执行有效的应对方案,及时减少不必要的损失,防患于未然。加强企业内部自身的防御体系建设,建立完备的防火墙,防水墙体系,定期按时监测。加大企业对计算机技术人才的投资,调高企业相关技术人员的技能和技术水平,加大网络建设的人才投资,调高技术员工的综合素质,完善企业内部的计算机信息网络,保障信息网络的安全,谨防企业内部的机密信息外泄,给企业带来的难以挽回的损失,对企业的持续,健康,稳定的发展十分重要。

2.3、建立健全的法律法规

市场经济条件下,企业之间,各部门之间资源流通,实现高度共享,充分利用资源,谋求发展。这个信息公开透明的环境,为网络犯罪活动提供良好的途径,除了企业自身应该加强防范系统的建设与监测以外,国家作为宏观调控的有效手段,应该加强网络市场的监管,为经济发展营造一个公平公正的环境。针对网络黑客的恶意攻击,国家应当完善当前网络犯罪惩治的法律法规,对网络犯罪行为施以重击,从源头上打击这类方法活动,使其望而却步。同时加紧完善网络监督体系,严格把关每一类流放市场的信息的合法性,这对社会经济充分发展,企业资源实现共享,发展新型健康经济,提供了重要的基础。

结语:

市场经济为企业的发展提供了良好的平台,实现了企业之间的资本快速流通,信息网络的发展则为企业发展实现资源共享,为经济良性循环发展提供了有效的方式,企业信息网络安全,对保护企业核心信息,保障企业核心竞争力十分重要;同时信息网络安全对市场经济健康发展,营造公平公正公开的市场竞争环境有着举足轻重的作用。加强企业信息网络安全,决不是只凭借一人之力就能完成的,个人,集体,社会必须统一加强网络安全意识,企业管理应注重完善内部网络的监督与防范体系,保护核心利益不受莫名损害,社会应从源头上,建立健全网络监督体制,和法律法规,对网络犯罪活动严惩不贷,上下齐心,打造安全的网络环境。

参考文献:

篇2

中图分类号: F279 文献标识码: A

前言

文章对企业计算机网络安全存在的问题进行了介绍,对影响企业计算机网络系统安全的因素进行了阐述,通过分析,并结合自身实践经验和相关理论知识,对加强企业网络安全管理措施进行了探讨。

二、企业计算机网络安全存在的问题

1.安全意识淡薄

在企业网络系统中,每一台计算机的安全性都会影响整个系统的安全性能,网络安全与每个用户息息相关。内部员工了解公司的网络结构、数据存放方式和地点甚至掌握业务系统的密码。在具有严格访问权限的系统中,使用弱密码的用户有可能成为安全系统中的缺陷,甚至有些人随意改动系统注册表,使得整个网络安全系统失效。

2.网络安全体系不健全

当前很多企业尽管采取了一些安全措施,但安全保护措施较为零散,缺乏整体性与系统性,对于企业网络信息安全保护缺乏统一的、明确的指导思想,没有建立一个完善的安全体系,这是引发安全问题的主要源头。

3.网络黑客攻击

黑客肆意妄为,破坏的手段也越来越多样化。企业的内部资料对于整个企业经营来说相当重要,因为它关系到整个企业的生死存亡。企业存放信息会因网络黑客攻击而造成资料的泄密。

4.来自企业外部的感染

来自企业外部的计算机病毒具有传播性、破坏性、隐蔽性、潜伏性和可触发性等特点,通过入侵网络系统和设备,对数据进行破坏,使网络瘫痪,不能正常运作。网络蠕虫由于不需要用户干预就能触发,因而其传播速度要远远大于计算机病毒,其对网络性能产生的影响也更为显著和严重。木马是指附着在应用程序中或者单独存在的一些恶意程序,它可以利用网络远程控制安装有服务端程序的主机,实现对主机的控制或者窃取主机上的机密信息。

5.来自企业网络内部的攻击

企业防护重点是对外,往往忽视对内部防护的重视。利用企业内部计算机对企业局域网络进行攻击,企业局域网络也会受到严重攻击,当前企业内部攻击行为大大加强了企业网络安全的风险。

三、影响企业计算机网络系统安全的因素

1.病毒攻击

目前,计算机病毒的制造者大多利用Internet网络进行传播,因中小企业防范薄弱管理规范性有待提高,所以他们很大可能要遭到病毒的攻击。病毒可能会感染大量的机器系统,也可能会大量占用网络带宽,阻塞正常流量,如:发送垃圾邮件的病毒,从而影响企业计算机网络的正常运行。

2.软件漏洞

任何软件都有漏洞,这是客观事实。而同时中小企业在软件采用上大都以节约为本,不注重也不舍得花销来进行软件更新的后期升级服务,以至于非法用户正好通过这些需要升级的漏洞窃取用户信息和破坏信息,针对固有的安全漏洞进行攻击。

3.职员不当操作

中小企业计算机管理人员配置少,监督管理都难以细致,其它职工在信息化系统操作中容易出现工作马虎,不细心,不按成型的规范操作,不遵守制定的相应规章制度。中小企业中很多职工信息安全意识不强,将自己的生日或工号作为系统口令,或将单位的账号随意转借他人使用,从而造成信息的丢失或篡改。

四、加强企业网络安全管理措施

1.要加大对计算机网络与信息安全工作的投入。信息技术进步神速,我国在这一领域同发达国家比,并没有优势。因此我国更应加大投入,刻苦攻关,掌握一些关键的信息技术,以确保我国在信息安全方面的自主能力。可以毫不夸张地说,今年安全方面的自主能力,将制约我国的综合国力和国防实力,因此,我国应当像五六十年展“两弹一星”一样,集中力量,加大投入,迎接信息技术革命的挑战,保卫国家安全。这一点,我们不能幻想通过进口来解决问题。在信息安全技术方面,发达国家一方面极为重视研究开发,美国政府曾为了改进美国政府的计算机安全系统,投入巨大的资金;另一方面,又严格控制信息安全技术的出口。以美国为代表的发达国家,对信息安全产品出口,已作出许多严格限制,以维护其在信息技术领域的绝对优势。

2.关键数据采用加密手段。在企业计算机网络中关于数据安全的隐患无处不在。尤其是一些机密数据库、商业数据等一定要保证它的安全性,这时一般会采取对数据加密的手段,它是一种保护数据在存储和传递过程中不被窃取或修改的一种手段,该数据加密系统在使用的过程中需要综合考虑执行效率与安全性之间的平衡。

3.加强安全管理力度健全管理制度。首先,加强信息安全管理力度应积极采取宏观管理与重点监控相结合的方式,保证信息化项目的安全性。系统的实施及管理部门应该全面掌握各单位的计算机网络系统的相关情况,为企业统一管理提供可靠依据。同时,对重点工程实地考察,对信息安全进行检查,发现问题及时解决。

4.事务管理和故障恢复。事务管理和故障恢复主要是对付系统内发生的自然因素故障,保证数据和事务的一致性和完整性。故障恢复的主要措施是进行日志记录和数据复制。计算机同其他设备一样,都可能发生各种各样的故障,比如电源故障、软件故障、灾害故障以及人为破坏等,这些故障可能会造成数据库的数据丢失,因此为了保证计算机的安全运行,必须在发生故障时采取必要的措施恢复数据库,事务管理和故障恢复就是这个作用,它能够保障数据库在出现故障时,仍可以把数据库系统还原到正常状态。

五、企业信息安全新形势

网络信息安全工作始终是通信行业最为关键的工作之一,具有长期性、复杂性和艰巨性的特点。2010年3G及宽带网络蓬勃发展,三网融合开始实施操作,云计算和物联网产业方兴未艾,需求的个性化、数字的海量化、业务的复杂化给通信行业网络信息安全带来了新的更大的挑战,行业中企业要进一步提高对网络信息安全重要性的认识,发展与管理并重,加强部门协调配合,加强网络基础管理工作,加强网络信息安全保障能力建设,特别是要加快网络信息安全关键基础产业的研发应用和产业化,通过核心技术掌握自主知识产权,加快发展自主可控的信息安全产业,建设新时期通信行业网络安全、信息安全长城。

从国际国内出现的安全现象出发,应对多种复杂的安全新问题,应该借助于RFID等物联网新技术,并通过极主动地建立网络与信息安全的保障体系,技术和管理并重,加强立法建设、政策制订、技术研究、标准制订、队伍建设、人才培养、市场服务、宣传教育等多方面的工作,通过产业链各方的紧密合作共同构造一个全方位多层次的网络与信息安全环境,来共同改善全球的网络与信息安全问题。

结束语

随着科技的发展,一些不法份子和黑客通过计算机网络窃取企业商业机密的现象越来越多,因此,对于计算机网络信息安全管理应该予以高度重视,否则可能对企业造成不可预估的损失。

参考文献

[1]林延君.局域网企业信息安全系统的设计与实现[D].大连理工大学,2006年.

篇3

中图分类号:TP31 文献标识码:A

随着我国社会经济不断地发展,人们的生活水平不断地提高,我国电力企业得到高速发展,为满足人们所提出的高要求,适应社会主义市场经济体制的发展,电力企业必须转变管理模式,采用现代化的管理手段,以寻求更好的发展。如今,计算机信息技术已被广泛应用于社会各个领域中,具有重要的作用。电力企业在发展过程中,其规模越来越大,信息化的应用也有所突破,但仍然存在问题。为使信息化技术在电力企业中得到高效的应用,保障电力企业的信息安全,则必须建设电力企业信息安全管控平台,以有效的控制电力企业的信息,充分发挥管控平台的功能。

一、创建电力企业信息安全管控平台的重要性

随着我国电力企业的蓬勃发展,其经营规模越来越大,在企业中充分利用信息技术,以使电力企业具有时代特点。近几年,计算机信息网络技术不断地改进和完善,逐渐成为我国社会生活生产中不可或缺的一部分,其在电力企业中的应用推动了电力企业的现代化发展,但与此同时其也为电力企业的信息安全带来了挑战。现阶段,电力企业的信息安全问题已成为其发展过程中的亟待解决的重要研究课题。在电力企业中,由于其各级别的单位难以解决网络分散性问题,无法有效地规避信息安全事件所带来的高风险。在电力企业管理中无法全面的掌握企业信息安全状况,缺少可靠的依据来开展风险评估工作,未能进行实时跟踪监督,导致其难以制定科学的安全预警方案。鉴于这种情况,电力企业必须加强内部控制管理,做好事前预防、事中控制和事后监督。为实现有效的电力企业现代管理,必须创建具有实用性的电力企业信息安全管控平台。这个平台能让电力企业实施可靠的安全监督,进行合理的安全预警工作,可促使电力企业做好风险评估工作,开展高效的监督工作,对企业信息进行统一管理,以建立完善的信息安全风险管理体系,从而提高电力企业信息安全管理水平。

二、电力企业信息安全管控平台的初步设计

1电力企业信息安全管控平台的设计原则

在设计电力企业信息安全管控平台时,要遵循以下原则:首先,所创建的信息安全管控平台必须满足电力企业发展的需求,要以现代电力企业的管理体制为依据来创建,以保障信息安全管控平台的可实行性;其次,电力企业信息安全管控平台的设计需要先进的技术措施和科学的管理方法来支持,因而设计前,必须慎重的选择技术和管理的实现方式;最后,电力企业所创建的信息安全管控平台,其自身必须具有一定的安全性,为平台在企业中的应用提供重要的保障。除此之外,在信息安全管控平台的设计过程中,要先了解平台工具的特殊性能,并以此为基础来设计与之配套的功能服务,例如数据初始化,以保障信息安全管控平台的顺利运行。

2根据不同的角色来设计管控平台

电力企业信息安全管控平台的建设,必须与其企业的组织结构相配合。在设计管控平台的时候,应该对不同角色的职能需求进行分析。对于上级信息安全主管单位,其所需要的是能全面掌握信息安全的动态,了解信息系统安全的状况,做好网络环境评估工作,主要功能是协调和监督;对于本地信息安全实施单位和主管单位,前者主要是设立安全运维人员等人来保障解本地信息安全,而后者则是全面了解企业信息安全状况并且进行有效的细条;对外部信息安全支持单位,其主要是负责对企业信息安全实施监督和控制,以做好应急工作;对于应急联动和专家机构,其职责在于为企业信息的安全提供技术保障。

3信息安全管控平台在电力企业中的实现

信息安全管控平台在电力企业中运行时,主要分为这几个模块:第一,基础安全数据管理模块,这一部分主要是的对企业信息系统中所产生的各类数据,如服务器的基本信息,安全配置知识库等数据资料进行整合和储存,具有查询和修改的功能;第二,预案管理模块,这一部分主要是用来对电力企业中的各级单位进行原的编制、和更新等。值得注意的是要为应急预案编制工作和审批制定统一的标准,加以规范。在预案管理部分,可充分利用工作流引擎来执行应急预案,以突出应急预案的作用和其有效性;第三,风险评估模块,在这一部分主要是为信息安全风险评估工作提供可靠的数据信息作为依据,以根据矩阵型风险计算方式计算出风险,并制定出相应措施;第四,业务影响分析模块,这一部分的功能与风险评估模块的职责差不多,也是响应急预案提供有效信息,但是其在此过程中还必须注意信息系统业务之间的不同之处;第五部分是公告管理模块,这一部分主要是提供浏览、查阅和管理等功能;第六。预警管理模块,由两个部分组成,一个是漏洞预警管理,另一个则是威胁预警管理,这两个部分的级别分别是高、中、低;第七,安全事件管理模块,这一部分是对信息安全事件进行处理;第八,信息安全状况监视模块,包括了宏观态势监视和应急监视。

结语

在电力企业中建立信息安全管控平台,是保障电力企业信息安全的重要途径,具有重要意义。电力企业信息安全管控平台的建设是为了加强电力企业信息化程度,必须科学的制定设计方案,使其符合现阶段电力企业的发展现状和电力企业的发展特点。在电力企业中运行信息安全管控平台,有利于及时发现信息安全中存在的问题,并加以解决,能确保企业信息的真实性、完整性和有效性。这种信息安全管控平台的创建有其必要性,对电力企业的发展起到重要的影响作用,必须予以高度重视。总而言之,对电力企业信息安全管控平台的研究具有重要的意义,而这一平台的运行则具有较高的使用价值。

参考文献

[1]樊凯.电力企业信息安全管控平台设计与实现[J].现代计算机:下半月版,2012(17) .

篇4

在科技飞速发展的大环境下,信息化已经成为当今时代的发展趋势,企业信息化建设已经成为企业发展的必经之路,企业通过对信息化建设过程中的信息安全的探索,保证企业信息化建设过程中的信息安全与系统稳定,从而使企业在竞争中处于不败之地,让企业在工业化与信息化深度融合下,快速发展,与时俱进。

1 当前企业信息化建设中的信息安全问题

1.1 信息安全管理问题

目前企业的信息安全管理上存在的问题,首先,信息管理人员缺乏或者人员经验不足:计算机信息安全很大程度上取决于管理人才,调查显示,我国七成IT企业信息安全系统保障不足,主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程,需要不断对现有系统进行安全检查、评估,及时发现新的问题,跟踪最新安全技术,及时调整安全策略,增强企业信息安全性。其次,在企业的信息化建设中信息安全管理系统不完善,信息安全管理系统,如果没有一个很好的保障体系,会使得信息的管理错乱,无秩序,重复管理、漏管等现象发生,使得信息系统出现漏洞,安全性降低。最后,安全以人为本,如果管理不善,人为原因,造成的操作失误,误用或滥用关键、敏感数据或资源等导致信息丢失泄露,外部人员和硬件的商家等对于企业的系统有一定的了解,有权限合法访问,这也会造成信息的安全问题。

1.2 信息化建设中的硬件问题

近年来,由于信息化发展较快,企业信息化建设的成本也在不断提高,由于信息化建设投资大、回报慢,一些企业虽然有信息化建设的意愿,但是在实际投入上比较小,这就使得企业信息化建设过程中,企业的硬件设施跟不上时代的不发,导致企业信息化建设止步不前,计算机硬件设施的老化,对企业信息化建设过程中的安全问题存在这一定的隐患,而且,计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备(路由器、交换机、防火墙、通讯线路故障)等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。

1.3 信息化建设中的软件问题

(1)国内的软件水平与世界先进水平还存在较大的差距,更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。

(2)配置中存在的问题,很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口,而这些都容易造成信息的泄露。

(3)Web服务中的安全问题,www体系的主要特点是开放、共享、交互,这使得信息安全问题增加,安全漏洞多样,如果服务器的保密信息被窃取,信息系统就会受到攻击,获取Web主机信息,使机器暂时不能使用,使机器暂时不能使用,服务器和客户端之间的信息被监听等。

(4)路由器信息的不安全行为,路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。

2 企业信息化建设中信息安全的对策

信息安全是企业信息化建设中的重要问题,只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设,主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。

2.1 强化信息安全观念

在企业信息化建设中,一旦企业信息被盗取或丢失,对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性,强化信息安全的观念,提高信息安全意识,从思想上认识提高信息安全的必要性。

2.2 加强硬件建设安全防护

加强企业信息化建设过程中的硬件建设安全,首先要保证计算机的安全。企业的信息化建设离不开计算机,要保证计算机的安全就要对计算机进行定期的维护与保养,避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。

另外,企业的信息化建设中,要加强网络硬件的建设。目前,市场上应用比较广泛的企业网络协议就是TCP/IP协议,硬件组成有服务器、通信设备、网络安全设备,主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术,同时还有支持网络运行的支撑系统,整个硬件建设安全、稳定、可靠。

2.3 提升软件建设安全措施

要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施,要采用高性能的安全软件对系统进行防护,使用防护软件要使其发挥其价值所在,不要因小失大。目前,大多数企业的软件防护措施不到位,主要原因就在于软件防护措施不到位,例如企业在公共区域设置无密码的无线路由器,等于是向所有人公开企业的信息,安全无法保证。因此,企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。

3 小结

企业在信息化建O过程中的信息安全问题,有着很广泛的内容,企业信息化建设中信息安全的监控、维护等涉及的面比较广。在信息安全问题上主要应该以防护为主,从良好的管理开始,将信息安全风险扼杀在摇篮中,形成安全保障体系。信息时代,企业的信息化建设是企业发展和提高竞争力的基础,我国的企业信息系统长期处于不安全状态,没有足够认识到企业信息安全的重要性,希望通过本文的探索和论述,能够引起企业的关注,加强信息安全的防护。

参考文献

[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用,2015(03).

[2]辛玉红.企业信息化建设中的信息安全问题[J].现代情报,2004(11).

[3]马良.企业信息化建设中的信息安全问题[J].才智,2014(01).

[4]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程,2013(14).

篇5

【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0255-02

0.引言

随着信息技术的不断发展以及市场竞争的不断激烈,企业信息安全建设已经成为提高企业竞争力的重要途径,杜绝信息泄露可以避免巨大的经济损失。虽然大多数企业在信息安全管理方面采取了较多的措施,但是信息安全问题仍然频发,对于企业的经营活动带来巨大的损失。加强企业内部的计算机管理,提高对于信息安全的认识程度,保证信息数据库的安全,避免信息泄露的发生已经成为现阶段企业信息化建设亟待解决的管理问题。

1.企业信息化建设信息安全影响因素分析

(1)信息系统实体安全。信息实体主要包括用于企业信息化建设的计算机、网络连接、服务器等媒介硬件设施,对于信息实体安全影响因素主要包括火灾、水灾、失窃或者是其他事故造成设备硬件的损坏,从而造成企业信息库数据安全出现问题。

(2)信息系统运行安全。信息系统的安全是指为了保证企业信息数据库的安全,采取各种措施对系统运行进行安全保护。由于信息数据库有可能受到非授权的访问、泄露、数据纂改或者是被其他非法程序控制的威胁,因此确保信息系统运行安全主要是保证信息数据库的完整、保密以及时时可用性。

(3)信息系统管理人员安全责任意识。管理人员在日常工作中的安全管理意识、专业操作水平以及法律意识等均会对企业信息数据的安全产生影响。信息安全管理人员的日常管理工作责任心以及工作方式方法,对于保证信息数据库的安全十分重要。

2.企业信息安全管理问题分析

目前由于管理制度以及软硬件设施等一系列的问题,企业数据库破坏以及重要数据信息泄漏的现象时有发生,严重影响了企业的正常生产经营活动,通过分析发现影响企业信息化建设信息安全的问题主要由以下几方面:

(1)企业内部移动存储设备管理疏松,缺乏安全保密管理制度。由于许多企业在日常管理过程中,移动存储设备使用较多,员工可以随意对企业内部的各种信息资料进行备份,企业用于经营活动的客户信息、产品设计、财务管理等各项信息极易造成泄漏,带来巨大的信息安全损失。部分企业由于对于信息安全管理认识程度不足,企业内部信息安全管理缺乏必要的规章制度,安全管理职责权限不清,信息安全漏洞较多。

(2)对于内部信息共享控制不严格,信息安全管理权限混乱。由于企业在生产经营过程中为了提高生产经营效率以及加强企业内部各部门之间的沟通联系,对于一些设计企业销售计划、客户信息以及生产计划等文件采取共享的措施,因此企业员工的流动或者其他管理不当均会造成企业信息的泄露。

(3)信息权限管理混乱,企业的中介服务体系稳定性较差。对于加密的授权访问,权限管理则成为保护企业信息安全的重要因素。但是由于企业在信息安全管理过程中体系混乱,操作权限不清晰导致经常出现影响信息安全的非授权访问。而且对于部分中小企业由于信息化建设采取对外委托的方式,而中介第三方由于稳定性难以保证,随时更换或者退出的第三方极易造成企业有价值信息的泄漏,影响企业信息安全建设。

(4)信息管理安全防范体系不健全,缺乏针对信息安全管理的专业技术人才。虽然部分企业已经认识到信息化管理的重要性,并在企业网络内设置了必要的安全设备。但是缺乏一系列的安全管理机制,在信息安全管理方面缺乏行之有效的整体规划与具体落实措施。此外,由于大部分企业在信息安全管理工作中将重点放在软硬件设施上,而忽略了对于信息安全技术人员的培养,而且为了减少人力资源支出成本,信息安全管理人员少工作任务重,管理权限集中化程度高,影响了信息化建设的安全管理。

3.企业信息建设信息安全管理措施

(1)加强对于信息库硬件设备的保护管理。首先应保证计算机等硬件设备具有安全的工作环境,做好计算机设备的防火、防潮、防盗措施,并避免强磁环境对信息数据可能造成的损坏。其次,在对各种硬件设备进行检修时,硬组织企业内部相关技术人员进行监督管理,对于需要外送检修的设备,则应提前进行数据加密处理。

(2)提高企业内部的信息安全管理意识。企业信息安全管理对于提高企业竞争力,避免企业经济损失具有重要的意义。在企业的正常管理过程中,加强信息安全宣传工作,使员工充分认识到企业信息安全管理的重要性,并熟悉企业相关信息数据保密的规则制度,提高企业的整体信息安全防范水平。

(3)加强信息安全操作管理人员的管理。在企业信息日常管理过程中,应加强对于业务操作以及数据存取控制代码的管理。系统管理操作代码的获得应经过企业管理者授权,系统管理人员在进行企业相关信息数据库的整理以及维护过程中,必须通过授权进行。系统管理人员离开工作岗位后,相关责任人应及时更换管理员操作代码。

(4)加强企业信息数据库的密码与权限管理。对于涉及到企业信息数据库安全的密码,应分别设置用户密码以及操作密码,并提高密码的安全程度,及时定期更换登陆操作密码。对于组成企业内部局域网络的服务器、路由器等设施的设置管理工作,应严格按照相关管理规定进行设置。

(5)明确企业信息数据库管理制度。对于企业重要的数据应存放备份数据,并采取异地存放的方式对备份数据库进行管理。对于废弃或者需要销毁的数据信息,应严格依照程序采取逐级审批的方式,避免数据信息的泄露。需要进行数据恢复工作时,应严格按照相关技术手册,并对恢复的数据进行验证确认数据的完整可用。

(6)加强企业信息数据机房的管理。相关人员出入信息数据库机房进行数据查阅以及提取工作时,应经由相关主管人员的授权,并登记进入。在日常管理过程中,定期对硬件设备进行保养,同时研究违章操作在信息数据机房安装外部其他软件。

参考文献

篇6

1.1信息安全管理问题

目前企业的信息安全管理上存在的问题,首先,信息管理人员缺乏或者人员经验不足:计算机信息安全很大程度上取决于管理人才,调查显示,我国七成IT企业信息安全系统保障不足,主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程,需要不断对现有系统进行安全检查、评估,及时发现新的问题,跟踪最新安全技术,及时调整安全策略,增强企业信息安全性。其次,在企业的信息化建设中信息安全管理系统不完善,信息安全管理系统,如果没有一个很好的保障体系,会使得信息的管理错乱,无秩序,重复管理、漏管等现象发生,使得信息系统出现漏洞,安全性降低。最后,安全以人为本,如果管理不善,人为原因,造成的操作失误,误用或滥用关键、敏感数据或资源等导致信息丢失泄露,外部人员和硬件的商家等对于企业的系统有一定的了解,有权限合法访问,这也会造成信息的安全问题。

1.2信息化建设中的硬件问题

近年来,由于信息化发展较快,企业信息化建设的成本也在不断提高,由于信息化建设投资大、回报慢,一些企业虽然有信息化建设的意愿,但是在实际投入上比较小,这就使得企业信息化建设过程中,企业的硬件设施跟不上时代的不发,导致企业信息化建设止步不前,计算机硬件设施的老化,对企业信息化建设过程中的安全问题存在这一定的隐患,而且,计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备(路由器、交换机、防火墙、通讯线路故障)等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。

1.3信息化建设中的软件问题

(1)国内的软件水平与世界先进水平还存在较大的差距,更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。

(2)配置中存在的问题,很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口,而这些都容易造成信息的泄露。

(3)Web服务中的安全问题,www体系的主要特点是开放、共享、交互,这使得信息安全问题增加,安全漏洞多样,如果服务器的保密信息被窃取,信息系统就会受到攻击,获取Web主机信息,使机器暂时不能使用,使机器暂时不能使用,服务器和客户端之间的信息被监听等。

(4)路由器信息的不安全行为,路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。

2企业信息化建设中信息安全的对策

信息安全是企业信息化建设中的重要问题,只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设,主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。

2.1强化信息安全观念

在企业信息化建设中,一旦企业信息被盗取或丢失,对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性,强化信息安全的观念,提高信息安全意识,从思想上认识提高信息安全的必要性。

2.2加强硬件建设安全防护

加强企业信息化建设过程中的硬件建设安全,首先要保证计算机的安全。企业的信息化建设离不开计算机,要保证计算机的安全就要对计算机进行定期的维护与保养,避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。

另外,企业的信息化建设中,要加强网络硬件的建设。目前,市场上应用比较广泛的企业网络协议就是TCP/IP协议,硬件组成有服务器、通信设备、网络安全设备,主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术,同时还有支持网络运行的支撑系统,整个硬件建设安全、稳定、可靠。

2.3提升软件建设安全措施

要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施,要采用高性能的安全软件对系统进行防护,使用防护软件要使其发挥其价值所在,不要因小失大。目前,大多数企业的软件防护措施不到位,主要原因就在于软件防护措施不到位,例如企业在公共区域设置无密码的无线路由器,等于是向所有人公开企业的信息,安全无法保证。因此,企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。

篇7

【关键词】

信息安全管理;有效性测量;方法

在21世纪的社会发展新时代,网络、计算机、信息技术被大量的企业纳入到自身的生产经营管理之中,在基本运行中会涉及到企业众多的机密文件和信息,直接关系的企业的发展运行,所以,一旦出现安全问题就会对企业产生重要的影响。所以,在不断深化的应用中,企业开始注重对信息安全的管理,并通过多样化的技术手段和方式来进行强化,但是这样的方式决定了对安全管理的有效性不能进行合理的把握和控制,并且对整体的安全水准也没有实现准确的衡量。所以,如果企业只是强化了信息安全在技术方面的建设,而并没有开展有效的安全管理评估工作,就会使信息安全系统在整体的规划中存在缺陷和漏洞,所以,进行信息安全管理的有效性测量是极为重要的。企业也逐渐认识到其重要性,使得近年来,我国企业对于信息安全有效性的测量需求不断增多,但是,在这方面我国起步较晚,存在着很多不足和缺陷,这就需要在有效的研究中寻找适当的方法来提升测量的整体有效性。

一、信息安全管理有效性测量的目的

通过实现有效性的测量,能够真实评估和反映企业信息安全管理的整体水平,以使企业在后续的信息安全管理中有明确的发展目标和整体方向。企业进行信息系统的建立时,往往会依据企业自身的发展需求、信息组成、安全标准、组织结构、利益关系等方面的需求进行,进而构筑相应的信息安全的整体体系和相关模型。通过对企业的信息安全管理进行有效性的测量,可以在技术的管理支撑下客观真实的反映企业信息管理的整体性评估,会能实现对企业信息安全管理目标的运行程度进行说明,并能对企业信息安全管理的系统效能开展准确科学的评测,为企业提供进行信息安全管理考核的基本依据[1]。就企业的整体发展实际来看,如果不开展信息安全管理的有效性测量,会使企业的整体管理水平只依赖于基本测评状态下的运行管理水平,难以同真实的信息安全运行环境相脱离,造成企业在安全管理过程中的漏洞和误差,使得企业在正常的运营和发展中的实际需求同所进行信息安全管理的整体水平不相一致,并且在对基础环节下的表面数据有所依赖时,并不能发现运行中的不足和缺陷,更遑论进行有效合理的解决,极大化的为企业的发展运行埋下了信息安全的运行隐患。而通过有效性的测量活动,能够准确的将企业在信息安全方面的漏洞进行定位,并且还能够有效指导基本的解决策略,有效保障企业信息管理系统的整体安全和有效。

二、信息安全管理有效性的测量方法

在开展信息安全管理有效性的测量时,需要对进行测量的指标进行量化的处理,并最终形成具有实际可行性的量化测量指标。在测量中,不同的指标则需要不同的测量方法来进行,一般而言,具有风险分析、问卷调查、内部审核、渗透性测试、个人访谈、内外对比、风险评估、报表统计等不同的方法。通过不同指标的不同测量之后,能够得得出各个指标的测度结果,在此基础上再根据不同的技术需要对结果进行科学有效的取值管理,给各个指标赋予不同的安全分险权重,然后综合计算企业信息安全管理有效性的整体水平[2]。比如在进行信息安全管理整体运行的有效性测量时,在对基本技术要求进行测量评估时,还需要对企业的环境安全、人员安全、业务联系、安全意识、事件管理等开展管理有效性的评估,以保障最终结果的综合有效性。在信息安全管理有效性的测量发展中,相关专业机构提出了同通过整体的系统模型来实现信息系统的整体安全性的方法。通过信息安全测量模型的建立,将信息系统运行中需要进行安全检测的对象中的某一些属性在通过一系列的检测管理过程之后,得出最后的测量结果,其中最为重要的就是测量方法和基本测度。将测量对象的多个属性应用不同的测量方法之后就能够得到基本测度,而基本测量方法的获取是通过多样化的数据资源进行测量对象的数据获取,比如风险评估结果、日志报表统计记录、调查表、测量结果等途径。就我国当前进行信息安全管理有效性测量的方式而言,在设定环节相对复杂和冗余,但在基本的项目实践中得出如下的基本运行方法:

2.1审计监控系统回顾

在进行检测时,需要尽可能的发现各个环节所存在违反和潜在信息安全的现象和事件,以实现有效的防治,实现影响的最小化[3]。

2.2纠正预防措施验证

对已经纳入整体有效性测量计划的纠正预防措施,在开展检测时进行检查和回顾,以保证检验过程中对于信息安全管理系统所采取的各项措施是否合乎当下的现状和企业具体要求。

2.3信息安全事故统计

主要是对已经发生过的安全事件进行统计和分析,以为检测的有效性提供更加高效合理的方法指引,以实现进行更高角度的评估以及在控制措施方面的有效性。这样的方式是将基本的计划和检测方式实现了有效的结合,并在各种方法的支撑下,实现综合型的检测,做到有效的预防和纠正,从不同的层面反应了进行信息安全检测的有效性,并保障整体运行体系的完整有效性,进而形成一个有效的良性循环。

三、结束语

就我国的整体实际而言,信息安全管理有效性的测量方法,还处于基础的起步阶段,而且相关的各项理论研究和测量指标等也均没有达到完善的阶段,这就需要进行不断的发展和探索,而且实践证明,进行信息安全管理有效性的研究是有着极为广阔的发展前景的,在保障整体信息运行管理的安全性基础上,能够使企业提升整体的竞争力和自身生存能力,并且能够将测量中发现的问题和相关数据进行分析,然后具有针对性的使企业所存在的风险得到最大化的控制,最终达到基本业务的正常有效运行。

作者:薛拥华 邓冲 陈宇 刘板浩 黄刚 单位:精诚瑞宝计算机系统有限公司

参考文献

篇8

1企业信息安全现状

近几年,随着行业信息化建设逐步深入,伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用,与生产经营息息相关的关键业务对信息系统的依赖程度越来越高,企业也逐步认识到信息安全的重要性,企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度,并通过这几年信息安全检查工作,促进企业的信息安全水平得到了进一步提高。由于企业信息安全意识不断提高,企业不断加大信息安全方面的投入,如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新,攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击,也要应对来自于企业内部的信息安全威胁,安全形势不容乐观。企业的信息安全已不仅仅是技术问题,还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识,一味注重“技术”的作用,忽略“管理”的重要性,就很难发挥信息安全技术的作用,无法把企业的各项信息安全措施落到实处,企业的信息安全也就无从谈起。只有切实发挥管理作用,企业的信息安全才能得到有效保障。

2企业信息安全体系架构

在谈到信息安全时,大多数刚接触的人都比较疑惑,都说保障信息安全十分重要,那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。2.1信息。对企业来说,信息是一种无形资产,具有一定商业价值,以电子、影像、话语等多种形式存在,必须进行保护。2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制,避免造成不良影响或者资产损失。2.3企业信息安全体系架构。在保障企业信息安全过程中,信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析,不难看出企业信息安全体系主要分为技术、管理两个重要体系,进一步细分则涉及安全运维方面。2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品,合理制定安全策略,实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台,如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等,而信息安全技术则是指实现信息安全产品的技术基础。2.3.2信息安全管理体系作用。完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度有效执行,最大程度发挥信息安全技术体系作用,确保信息安全相关保护措施有效执行。通过上文简单介绍,对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全,因此,建立企业信息安全管理体系的重要性也就不言而喻。

3信息安全管理体系概念

3.1信息安全管理。运用技术、管理手段,做好信息安全工作整体规划、组织、协调与控制,确保实现信息安全目标。3.2管理体系。体系是指相互关联和相互作用的一组要素,而管理体系则是建立方针和目标并实现这些目标的体系。3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标,采取或运用方法的体系。作为管理活动最终结果,包含方针、原则、目标、方法、过程、核查表等众多要素。3.4建立信息安全管理体系的目的。作为企业总管理体系的一个子体系,目的是建立、实施、运行、监视、评审、保持和改进信息安全。3.5信息安全管理体系涉及的要素。3.5.1信息安全组织机构。明确职责分工,确保信息安全工作组织与落实。3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。3.5.3资源。提供体系运转所需的资金、设备与人员等。

4信息安全管理体系机构设置以及作用

在建立企业的信息安全管理体系之前,如果没有设置相应的信息安全组织机构,那么建立体系所需要的资源(资金、人员等)就无法得到保障,企业的信息安全制度和策略也就无法贯彻落实,企业的信息安全管理体系就形同虚设起不到任何作用。因此,企业在建立信息安全管理体系前必须建立健全信息安全组织机构,机构设置可以根据职责分为三个层次。4.1信息安全决策机构。信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构。应以单位主要领导负责,对信息安全规划、信息安全策略和信息安全建设方案等进行审批,并为企业信息安全工作提供各类必要资源。4.2管理机构。处于安全组织机构的第二个层次,在决策机构的领导下,主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作,此类工作大部分都由企业的信息化部门承担。4.3执行机构。处于信息安全组织机构的第三个层次,在管理机构的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理,执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。

5信息安全管理体系的建立

ISO/IEC27001:2005标准的“建立ISMS”章节中,已明确了信息安全管理体系建立的10项强制性要求和步骤。企业应结合自身实际情况,遵照这些内容和步骤,建立自己的信息安全管理体系,并形成相应的体系文件。5.1建立的步骤。(1)结合企业实际,明确体系边界与范围,并编制体系范围文件。(2)明确体系策略,构建目标框架、风险评价的准则等,形成方针文件。(3)确定风险评估方法。(4)识别信息安全风险,主要包括信息安全资产、责任、威胁以及造成的后果等。(5)进行安全风险分析评价,编制评估报告,确定信息安全资产保护清单。(6)明确安全保护措施,编制风险处理计划。(7)制定工作目标、措施。(8)管理者审核、批准所有残余风险。(9)经管理层授权实施和运行安全体系。(10)准备适用性声明。以上步骤解释不详尽之处,参看ISO/IEC27001:20054.2.1章节中A-J部分。5.2信息安全管理体系涉及的文件。文件作为体系的主要元素,必须与ISO/IEC27001:2005标准保持一致,同时也要结合企业实际,确保员工遵照要求严格执行。而且也要符合企业的实际情况和信息安全需要。在实际工作中,企业员工应按照文件要求严格执行。5.2.1体系文件类型主要涉及方针、程序与记录三类。方针类主要是指管理体系方针与信息安全方针,涵盖硬件、网络、软件、访问控制等;程序类主要是指“过程文件”,涉及输入、处理与输出三个环节,结果常以“记录”形式出现;记录类主要是记录程序文件结果,常以是表格形式出现。至于适用性声明文件,企业应结合自身情况,参照ISO/IEC27001:2005标准的附录A,有选择性地作出声明,并形成声明文件。5.2.2体系必须具备的文件。主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等。5.2.3任意性文件。企业可以针对自身业务、管理与信息系统等情况,制定自己独有的信息方针、程序类文件。5.2.4文件的符合性。文件必须符合相关法律法规、ISO/IEC27001:2005标准以及企业实际要求,保证与企业其他体系文件协调一致,避免冲突,同时在文字描述准确且无二义。

6体系实施与运行

主要包括策略控制措施、过程和程序,涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等。

7体系的监视与评审

主要指对照策略、目标与实际运行情况,监控与评审运行状态,主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节,并根据评审结果编制与完善安全计划。

8体系的保持和改进

主要是依据监视与评审结果,有针对性地持续改进。主要包括改进措施、制定完善措施、整改总结等,同时需相关方进行沟通,确保达到预计改进标准。

篇9

信息安全管理有效性测量的根本目的,是评估企业信息安全管理的真实水平。在企业建立信息系统时,通常都会依据企业的发展需要、组织结构、信息组成、利益关系、安全标准等方面的要求,来设定企业信息系统的安全管理目标,构筑相应的安全管理体系和措施。对企业信息安全管理有效性进行测量,不仅可以对企业信息安全管理目标实现程度进行科学准确的评估,还能准确地评测企业信息安全管理系统的效能,作为企业信息安全管理考核的依据。实际上,如果不进行有效性测量,只依赖于信息系统安全测量标准来评估企业信息系统安全管理水平,将会造成极大的误差,甚至产生很多安全漏洞,使企业实际信息安全管理水平与所需达到的水平相差甚远,如果仅依赖于表面的数据将使这些漏洞和不足无法得到有效的解决,造成巨大的信息安全隐患。通过有效性测量,能更好地找出企业信息安全管理需要改进的地方,充分反应企业信息安全管理存在的问题和严重程度,为企业信息安全管理工作的改进提供依据。

1.2信息安全管理有效性测量指标

信息安全管理不仅是国内企业的需要,也是国外企业的需要,相对来说,国外在信息安全管理方面的水平更高。目前,在国际上普遍采用ISO/IEC27002作为信息安全管理标准,以此来实施信息安全管理,这一标准是当前最权威和最科学的信息安全管理标准,在这一标准中从信息安全方针、组织、管理等方面,提出了100余个控制措施,信息安全管理中可以根据企业的需要选择相应的措施进行信息安全管理,该标准所提出的措施,基本覆盖了企业信息安全管理的各个方面。在构建信息安全管理有效性测量指标体系时,也可以按照ISO/IEC27002标准进行,将测量内容分解为管理控制、运行控制、技术控制3个方面,并根据企业实际情况采用具有代表性、可测量的指标建立起测量指标集,对这些指标实施情况进行采集分析,再通过专家咨询评测最终得到企业信息安全管理有效性的具体指标,评估企业信息安全达到的水平,找出企业信息安全管理的不足。

2测量方法和指标计算

2.1测量方法

在信息安全管理有效性测量中,应当对指标进行量化处理,最终形成量化测量结果。不同的指标,所采用的测量方法并不相同,通常采用的测量方法有风险分析、风险评估、问卷调查、个人访谈、内部审核、报表统计、渗透性测试、内外对比等方法。对不同的指标采用相应的测量方法进行测量后,得到各指标的基本测度结果,再运用不同的技术对所获得的基本测度结果进行取值,赋予不同指标以不同的安全风险权重,最终算出企业信息安全管理有效性水平。例如在信息安全管理控制方面,需要对信息系统安全性,信息处理、信息传输、信息存储安全性进行评价,并评估这些风险可能对企业资产造成的威胁以及威胁程度,结合安全问题所涉及的资产价值来判断可能造成的影响,以评估信息安全管理控制的有效性,这其中,就需要将信息安全管理控制分解为多个指标进行测量,并根据对资产价值的影响能力赋予不同的权重和取值,才能最终确定出企业信息安全管理控制方面的有效性水平。再如在信息安全管理运行有效性方面,需要对人员安全、安全意识、环境安全、业务联系、事件管理等进行有效性评估,其中人员安全包括各个人员的安全评级和安全管理情况,安全意识包括企业安全教育、人员安全技术水平等,环境安全包括物理安全环境、技术安全环境等。

2.2指标计算

在信息安全管理有效性测量中,各指标的在安全管理有效性中的权重并不相同,因此信息安全管理有效性测量结果,不是对各指标的测量结果进行简单相加,而是要对不同的指标赋予不同的权重,构建起评测矩阵,并充分考虑各指标之间的联系赋值,如极端重要、强烈重要、明显重要、稍微重要等,根据不同指标的权重进行重要性排序后,对其特征向量进行求解,确定各指标在企业信息安全管理中的影响能力。各指标的权重,并没有统一的标准,也不可能简单地借鉴其他企业的测量权重,根据不同企业有不同的特点,在进行测量时,应当有相当数量的专家参与权重赋值,在消除偶然因素的影响后建立起符合企业特点的指标权重体系,得出较为科学合理的指标权重,这样才能使最重的测量结果更为科学合理。

篇10

中图分类号:P9.T3308 文献标识码:A 文章编号:1009-914X(2016)21-0400-01

1、 引言

随着信息化建设的发展,信息安全越来越多的受到人们的重视,企业信息安全重点面临的问题主要表现在[1]:1)网络受到外部的恶意攻击,部分单位无终端接入控制措施,使企业的正常业务无法开展或相关重要数据被盗取;2)网站受到黑客攻击,由于部分掌握网络技术的不法人员查询到破解网站所存在的漏洞,加以利用并篡改网站信息及获取网站管理权限,使得网站陷入瘫痪;3)信息的监管不利产生不良的影响,通常情况下信息没有主管部门负责审核导致监管不到位,那么不良信息就可能由于工作人员的疏忽而上传到网站上,造成不良影响;4)计算机病毒的危害,相关系统不及时更新补丁和升级,受到病毒入侵并加以利用,篡改应用系统信息或获取管理权限,使得应用系统丢失重要信息。

当前,有关信息系统的安全评价虽然存在着多种多样的具体实践方式,但在目前还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论(Gray Theory)或者模糊(Fuzzy)数学,而评价方法基本上用层次分析法AHP[2](Analytic Hierarchy Process)或模糊层次分析法Fuzzy AHP[3]将定性因素与定量参数结合,建立了安全评价体系,并运用隶属函数和隶属度确定待评对象的安全状况。上述各种安全评估思想都是从信息系统安全的某一个方面出发,如技术、管理、过程、人员等,着重于评估网络系统安全某一方面的实践规范。在操作上主观随意性较强,其评估过程主要依靠测试者的技术水平和对网络系统的了解程度,缺乏统一的、系统化的安全评估框架,很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。

大型企业信息安全管理体系的研究,就是为了寻找一个科学、合理的管理体系,并根据该体系和方法对大型企业的信息安全状况和水平进行评价,对信息安全管理绩效进行考核。

2、 大型企业信息安全管理体系的内涵

通过管理体系的应用,将对大型企业信息安全产生非常重要的作用。一是可以对企业信息安全的水平做出客观的反应,认识企业信息安全存在的不足之处,发挥考评体系的指导作用,引导企业“信息安全”工作健康科学发展;二是可以为企业信息安全的建设指明方向,为信息安全的发展提供有力支撑;三是可以帮助企业管理者建立起一套科学的信息安全管理系统,有效控制信息化活动的进程,提高信息安全级别,减少因信息安全事件引起的损失,有利于正确引导和规范企业的信息化建设,指导企业科学发展具有重要的意义。

3、 大型企业信息安全管理体系的主要做法

为了大型企业信息安全管理体系的建立,提出了管理体系的目标:对于信息安全方面出现的问题,达到防范目的;对于信息安全工作进行查漏补缺,加强管理;通过评估体系的考核,落实相关信息安全文件、推进信息安全工作,为企业信息安全的建设指明方向,同时注重管理体系整体的时效性,根据信息安全发展的不同阶段进行及时更新。

1) 建立大型企业信息安全体系

信息安全体系总体设计。信息安全体系设计共分为三级,包含9个一级指标,14个二级指标,27个三级指标。一级指标和二级指标为共性指标,三级指标为数据采集项。一级指标包括:网络安全管理、环境安全管理、应用系统安全管理、数据安全管理、终端安全管理、操作安全管理、网络信息安全、移动信息化安全、服务器扫描情况。一级和二级指标结构图如下:

2)信息安全考评指标的权重设计

指标权重理论思路。具体权重根据德尔菲法[4]、层次分析法,结合政策导向确定。

管理体系的指标权重确定方法设计过程中,选取两组技术、管理等方面的专家,其中一组专家根据各指标在企业信息化中的重要程度,确定各指标的相对重要性,采用层次分析法确定各指标的权重。另外一组专家根据各指标在企业信息化中的重要程度,对各指标按百分制进行赋值,确定各指标的权重。综合两组专家的意见,初步确定各指标的权重,再组织专家研讨会,最终确定各指标的权重。

企业信息安全考评指标总分计算方法:

I=Σ(Pi*Wi) (1)

I表示指标体系的总得分;Pi表示第i个指标的得分,各指标得满分都是100分;Wi表示第i个指标的权重,所有指标权重的和为100%。

3)建设大型企业信息化评价管理系统

为了实施信息安全措施体系,以信息安全体系、信息安全文件和考评制度为基础,研发包括信息安全在内的大型企业信息化评价管理系统。通过使用该系统,将减轻信息化管理部门的负担,填报和汇总数据的效率显著提高,最为突出的是以上报数据为基础,可以自动、实时地形成各种统计、分析图表,从而完成以往需要信息化管理人员几天才能完成的大量统计工作,大大减轻了信息化管理部门的工作强度,增加了信息化管理部门对新情况快速反应能力。

系统整体架构由数据库层、框架服务层、应用逻辑层、界面表现层组成,系统部署了tomcat下运行的I@Report和BI@Report作为框架服务层,并在此基础上开发了业务系统。

系统主要实现了如下功能:

编码同步、基层权限管理、评价初始化、基层初评、数据提交、部门权限管理(含单位、指标项)、管理部门复评、信息稽核、数据计算、统计管理、查询管理、决策模型。

建立统一的数据报送平台,提高企业信息整合水平。

建立在线交流及公告平台。

系统根据建立的数学模型进行综合分析,可自动、实时地形成各种统计分析图表、报告等,例如:信息化评级、信息化水平评测报告。

4、 结束语

通过大型企业信息安全管理体系的实施,使企业信息化水平评估体系更加完善,在考评信息化建设水平的同时,又对信息安全水平等级有所提升。

参考文献

[1] 周学广,刘艺.信息安全学[M].北京:机械工业出版社,2003.

篇11

doi:10.3969/j.issn.1673 - 0194.2016.16.000

[中图分类号]TM73;TP309 [文献标识码]A [文章编号]1673-0194(2016)16-00-02

1 我国电力企业的信息系统存在的问题

1.1 电力企业的信息安全意识比较差

信息化给企业带来的各方面积极作用已经被人们熟知和认可,然而,信息技术的作用在被人们关注的同时,信息化安全方面的问题层出不穷。安全问题出现的原因主要是由电力企业基层员工的安全意识较差造成的。近几年来,随着信息安全事件的不断出现,电力企业的管理者加大了对安全问题的重视,其安全意识不断提高,但是电力企业的基层员工对于信息安全的重要性认识还不足,造成了企业的信息安全问题依然不断出现。一方面,电力企业信息安全问题直接影响企业的管理,对于基础员工的直接影响较小,因此,对于信息安全问题电力企业的管理者比较敏感,电力企业的基层员工的安全意识比较差。另一方面,电力企业的管理层虽然提高了对信息安全问题的重视,但是却很少有企业制定切实可行的规章制度或者解决措施,更没有把相关的规章制度有效的执行下去,落实到企业每个员工的身上,因此,电力企业的基层员工对于信息安全的认识不足,安全意识相对较差。

1.2 电力企业信息系统的技术性较差

信息技术随着社会的进步在不断的革新。因此电力企业的信息系统必须要随着信息技术的进步不断的变化,由此可知,电力企业的信息系统是动态的发展过程,因此,电力企业在应用全新的信息系统的过程中难免存在技术缺陷,这就为电力企业日常的经营与管理埋下了安全隐患,一旦出现安全问题,企业的重要信息资源可能被盗取,直接影响企业的经济利益以及长期稳定的发展。例如:TCP/IP协议设计如果不够全面、科学就会直接导致信息系统的软件和硬件存在安全隐患,严重时会导致企业的软件崩溃,企业的重要信息资源也将瞬间化为乌有,影响企业的日常管理,对于企业长期稳定的发展非常不利。

1.3 信息系统的管理水平相对较低

信息系统安全问题给电力企业带来的危害是巨大的,这一点已经引起了电力企业管理层的高度重视,然而,目前电力企业的信息系统管理水平不是很高,企业管理中的漏洞给信息系统带来了很多问题;部分管理人员在管理信息系统的过程中疏忽大意,增加了企业信息系统安全问题发生率;信息操作人员的操作程序不规范,一旦信息系统出现问题,企业的管理者不能第一时间知道是哪个程序出现了问题,从而不能及时解决信息安全问题,最终可能影响到企业的信息安全,给企业带来巨大的损失。

1.4 电力企业信息系统集成性低

电力企业的业务部门相对较多,各个部门之间缺乏必要的沟通和有效的渗透,因此,企业信息系统的集成性较低。企业的信息系统中,各个部门的相关业务相互独立,相互之间缺乏联系,使得企业的信息系统中各个部门之间的数据信息存在很大的差距,各种信息的相关性不高,数据信息之间的联系非常小,信息数据不能有效地衔接在一起。最终使企业信息化缺乏整体性,信息化应用的最终目的不能实现,电力企业及时信息化程度非常高,难以实现信息化给企业带来的优势。

2 加强电力信息安全运行维护与管理的措施

2.1 提高企业信息安全意识,不断完善企业的安全管理制度

电力企业必须认识到应用信息技术的前提就是要保证企业信息的安全性,如果不能有效地保证企业信息的安全,那么电力企业应用信息技术的初衷将不能很好的实现。为了有效提高企业的安全意识,首先,电力企业的管理者人员应该加强对企业员工信息安全知识的教育,让每个工作人员都能意识到信息安全的重要性,积极地为企业提高信息安全出谋划策。其次,电力企业应该积极地学习西方先进的安全防范措施,根据自身的实际情况制定有效的措施。最后,电力企业应该制定完善的安全管理制度,合理保证企业信息的安全性。在制定安全管理制度的过程中一定要保证责任到人,一旦出现信息安全问题,电力企业能够第一时间找到问题的所在,及时解决相关问题,同时还能追究直接责任人的相关责任,保证企业安全制度落实到实处。

2.2 提高信息系统技术水平

面对技术缺陷,电力企业应该积极的提高信息系统的技术水平,采取有效措施避免系统缺陷导致的安全问题。首先,电力企业应该设置有效的应急措施,一旦信息系统出现技术上的问题,必须要保证信息的完整性,防止不法分子利用技术缺陷来危害企业的信息系统。例如:企业可以安装自动报警系统,一旦发现有人利用技术缺陷盗取企业的数据信息,第一时间报警,让相关人员采取应急措施防止企业信息泄露。其次,电力企业应该不断提升信息系统的技术水平,加强对信息技术的研究与探索,利用高级、精密、尖端的技术来规避企业信息系统中的技术缺陷,保证企业信息的安全。再次,电力企业要加强网络防护技术在信息系统中的应用,安装IDS以及IPS技术系统加强企业信息系统的网络防护能力。最后,电力企业应该启动安全审计系统,对企业信息系统进行严格的审计,一方面,企业能够第一时间发现信息系统的问题,及时解决相关问题;另一方面,通过审计系统的分析,企业能够全面了解信息系统的运行情况,帮助企业更好地查看信息系统的运行状况。

2.3 提高信息管理的水平

电力企业的管理者在重视信息安全问题的同时,必须加强对信息的管理,提升企业的信息管理水平。制定严格的工作责任制,一旦发现信息安全问题,做到责任到人,防止管理人员由于麻痹大意而导致的信息安全问题。作为信息管理人员,如果自身的管理范围内出现了信息安全问题,企业一定会追究其管理责任,这对于提高管理人员的警惕性,减少其麻痹大意的作用非常有效。电力企业对于信息系统的操作人员要进行定期培训,强调信息操作标准的重要性,对于不严格按照信息操作标准操作的工作人员进行严厉处罚,情节严重的给予开除。另外,电力企业要加强对信息系统的维护,及时修复信息系统的漏洞,提高企业的信息管理水平。

2.4 提升电力企业信息系统的集成水平

信息系统的集成性是指企业在一定的技术指导下,能够实现对企业各个部门的有效调配,从整体上掌握企业日常运行情况以及企业在日常管理中存在的问题,满足客户对于企业的不同需求,在提高企业管理水平的同时,实现企业的高速发展。电力企业针对目前集成水平低的问题,必须要引起高度重视,采取有效措施提高企业集成水平。首先,电力企业应该加强各个部门之间的沟通与联系,保证企业各个部门数据信息的衔接度。其次,电力企业应该加强企业信息系统的一体化建设,站在企业的高度对企业中的财务系统、生产系统以及办公系统进行统一的管理与应用,提升企业信息系统的集成水平。

3 结 语

电力是我国经济发展的基础。电力企业必须拥有足够的安全意识,保证企业长期稳定的发展。我国电力企业采用信息技术来帮助企业更好的运营和管理是很有必要的,其出发点与落脚点都非常符合我国市场经济发展的要求。然而,如果电力企业的安全防范不能及时地跟上企业信息技术的应用步伐,那么电力企业应用信息技术的目的不但不能实现,很可能会适得其反,使电力企业降低经济效益。

篇12

1概述

现代企业经营发展进程中面对日益激烈的市场竞争环境,积极采用信息化管理模式,引入现代信息技术手段势在必行。随着企业信息化发展进程的不断深入,网络安全问题渐渐变成企业快速发展阶段中的绊脚石。为此,做好信息安全建设,加强安全管理,有效应用信息安全技术成为一项重要对策。

2信息安全技术内涵

信息安全技术具体涵盖防火墙系统技术、保密技术、防范病毒系统、入侵检测系统、专用网系统技术、安全扫描、虚拟技术手段等。信息安全技术应用功能在于保证各类重要信息资源的完整、安全,确保不会出现机密信息丢失的问题,同时体现信息资源的可用性,提升信息系统的可靠稳定性。另外,还可预防由于系统自身出现故障导致信息数据外流或是有害内容蔓延引起不良的社会反映。有效应用信息安全技术可全面抵御病毒入侵造成的伤害、避免恶意代码造成的不良攻击,促进信息系统可靠安全的应用与运行。

3企业发展运行中信息安全技术应用重要性

企业发展运行中有效应用信息安全技术创建信息安全管理系统极为重要,其主体优势表现在下述几个方面。首先,可满足企业自动化发展经营的现实需要,在企业内部创建网络化管理模式,辅助企业制定智能化管理对策。透过信息安全系统,可实现全面信息共享,使企业库存量全面降低、缩减运营管理与生产成本。同时,企业可全面明确客户现实需要,进而依照具体需求做好生产分配,全面提升工作效率,使各项信息数据第一时间更新。信息流则可更快速的在企业内部或是各个企业单位之中流动。当然,伴随企业信息化建设步伐的日益加快,信息安全问题逐步显现出来并成为新时期现代社会需要共同应对的一项重要课题。为确保企业信息化发展应用技术可靠安全,需要引入现代化网络系统、必备的管理程序,保护信息数据机密、内容完整、实用可靠。企业应依照自身发展特征、核心价值创建与之适应的信息系统,对网络资源形成良好保障,确保各项控制业务的可靠运转。例如,需要对系统应用的物理环境进行动态化安全监测,确保企业各项资源、系统设施的可靠安全,设定应急预案,做好应用系统、各类软硬件工具安全维护管理。

4企业管理存在的安全问题

纵观当前企业经营管理发展不难看出,其存在一定的信息安全问题,倘若不加控制,采用科学有效的安全技术手段,将导致内部重要信息非法泄露、被不良篡改,甚至被黑客窃取。具体来说,较多企业存在防范网络安全问题意识薄弱的现象。伴随数字化、现代化技术的快速发展,网络办公室管理模式受到更多企业的追捧,然而由于大部分企业过分依赖办公自动化系统,导致单位内部安全防护系统受到了越来越大的威胁。较多员工由于没能重视安全防护管理,制定的安全机制并不完善,采用的网络恢复手段较为陈旧,总体防御能力不强,进而令企业重要的信息资源面临着更大的威胁与影响。一些非法分子为了窃取企业机密信息、获取更大利益而采用高科技手段入侵至企业办公自动化系统中,对各类网络信息肆意窃取。更有甚者冒充企业员工在网络上从事欺骗行为,对重要信息内容进行篡改导致一部分数据资源泄露出来,该类现象均对企业信息系统造成了不良威胁,成为主要的不安全因素。当前,企业信息化系统感染病毒的途径多种多样,例如打开不明电子邮件、登录网站下载软件工具、打开不明文件等,均有可能激发病毒,同时其快速广泛的传播也会导致网络病毒造成的危害快速扩大。

5企业管理中信息安全技术应用科学对策

为全面提升企业管理综合水平,开创优质安全的信息技术应用环境,首要对策在于确保物理安全,杜绝计算机应用系统、服务器系统、打印机等重要硬件工具以及通信链路受到自然灾害的影响,或是出现人为破坏的现象以及引发搭线攻击问题。通过应用信息安全物理防控对策可快速检验用户身份以及访问权限,预防非法越权行为,给企业计算机应用系统开创一个优质的电磁兼容运行环境。企业可创建相对完备、合理的安全管理机制,以预防非法入侵控制室以及引发各类偷窃行为、人为破坏事件。为有效保障企业网络系统安全,应采取必要的访问控制对策。具体来说即确保各类重要网络资源不会被非法访问或是应用,同时还是确保网络系统可靠、资源完整全面的必要途径。具体来说,企业可进一步加强网络登录访问控制、应用权限控制、目录安全级别管控、服务器应用安全管控、系统检测、锁定目标与控制系统端口以及重要结点。另外,企业应进一步加强防火墙控制,有效预防网络系统中出现黑客入侵、非法登录网络系统的问题。通过创建防火墙系统,企业可控制进、出通信系统的门槛,通过创建有效的监控体系阻隔企业内外网,进而将外网入侵事件机率大大降低。目前,普遍应用的技术手段包括包过滤系统技术、技术以及双穴主机系统技术等。通过信息加密技术手段可确保企业内网信息、资源的可靠安全。一般来说,有效的技术手段包括链路加密、结点以及端点加密技术等。企业可依照自身现实需要采取与之相适应的加密技术手段,进而有效防控信息安全问题,达到事半功倍的工作效果。总之,信息时代,企业应用有效的信息安全技术十分必要。面对日益激烈的市场竞争环境,谁创建了安全可靠的信息化工作系统,谁便拥有了宝贵财富,将全面提升工作效率,使重要的企业信息资源得到最合理化的应用。为此,我们只有针对现实工作中存在的问题制定科学对策,方能真正激发信息安全技术应用价值,推动现代企业实现可持续的全面发展。

作者:刘嬴 单位:哈尔滨市人才服务局

参考文献:

[1]董淑杰,翟慧慧,姜丽珍,路正霞.信息安全技术在电力内网中的应用[J].电子测试,2016(7).

篇13

随着我国计算机技术和网络技术的迅速发展,很多国有大型企业对信息和信息技术的依赖程度越来越高,信息已经成为企业一种崭新的资产,对企业的发展起到了至关重要的作用[1]。研究发现,对于企业信息安全管理的评价多数侧重于信息安全系统技术层面的评价 [2],或对信息安全等级评估和风险的评估[3] [4]。但国有大型企业的信息安全管理是一个概念非常复杂的管理事务,不能单纯依赖技术及防护设备,还将涉及安全、风险、人员、规章制度等管理因素,对其评价是一个定性与定量指标共存的综合的评价,要运用综合评价的思想和方法,才能够使评价结果更严谨。

本文着重从管理的角度出发,构建了国有大型企业信息安全管理评价指标体系,应用模糊综合评价的方法建立评价模型,并结合实证研究,得出客观、科学的评价结果。

1.评价指标体系构建

1.1 指标体系的构建

本文在研究了国外信息安全管理的评价标准[5] [6],以及国内信息安全管理体系的发展状况基础上[7] [8],结合国家对国有大型企业信息系统安全性的基本要求[9],综合考虑信息安全的技术属性和管理要素,通过德尔菲法反复征询5位专家的意见,构建了国有大型企业信息安全管理评价指标体系。

该指标体系共分为5项一级指标和16项二级指标,其中一级指标包括安全管理、技术管理、风险管理、人员管理和制度管理。各二级指标分别为物理安全、软件安全、网络安全;防御攻击能力、预警能力、系统应急反应能力、技术创新能力;风险识别、风险评估、风险控制;专业人员比例、考评上岗合格率、对员工的培训率;企业保密机制、安全规章制度、应急处理预案。

1.2 指标权重的确定

选用层次分析法作为指标体系中确定权重的方法,具体步骤如下:

(1)建立递阶层次结构模型,将决策问题的因素自上而下划分为不同的层次,包括目标层、准则层、指标层等。

(2)构造判别矩阵。一般用1―9标度的表示方法,把处于同一子集上的指标相对重要性进行专家评分,构造一个以重要性标度Aij为元素的两两比较判别矩阵A=(Aij)m*n。

(3)层次单排序。根据判别矩阵,求解矩阵A的最大特征根?姿m?琢x=?蒡■■■所对应的特征向量,并且做归一化处理。

(4)一致性检验。判断所得到的特征向量是否是权向量。

(5)层次总排序。层次总排序所得到的二级指标权重值等于层次单排序中每个二级指标的权值乘以其对应的一级指标的权值。

应用该方法,选取5位专家,结合已构建的评价指标体系,分别对一级指标、二级指标进行1―9标度判别矩阵的排序,应用层次分析法软件得出各个指标的权重值,此数据将作为后续评价的主要依据。

2.案例研究

模糊综合评价(Fuzzy Comprehensive Evaluation, FCE)是一种非常有效的多因素决策方法,主要运用模糊变换原理和最大隶属度原则,综合考虑与被评价事物相关的各个因素,对评估对象作综合评价。一般分为确定评价因素集、评语集、权重集,进行单因素模糊综合评价、多因素模糊综合评价及对评价向量分析6个步骤[10]。

本文的评语集为{优秀、良好、中等、一般、差} 5个等级,建立隶属函数,根据5位专家对指标的评分数据,计算出各二级指标的隶属度,最后分别得到安全管理、技术管理、风险管理、人员管理和制度管理的综合评价关系矩阵R1、 R2、 R3、 R4、 R5。

根据模型的计算公式,多因素模糊综合评价矩阵Bn为权重向量Wn与单因素评价关系矩阵Rn相乘所得到的行向量,本指标体系的多因素模糊综合评价矩阵分别为:B1=(0.29,0.65,0.06,0,0,B2=(0.25,0.67,0.08,0,0),B3=(0.14,0.51,0.35,0,0),B4=(0.39,0.27,0.34,

0,0),B5=(0.25,0.57,0.18,0,0)。

由B1、B2、B3、B4和B5构成了该国有大型企业信息安全管理的单因素评价关系矩阵R,最终得到企业信息安全管理评价指标体系的总体评价结果如表1所示。

3.结论

根据表1,进一步对评价结果进行分析,该国有大型企业信息安全管理总体评价属于“优秀”、“良好”、“中等”的程度分别为24%、 57%、19%,按照隶属度最大原则,企业信息安全管理总体评价结果为“良好”偏上,总体可以评定为“优秀”。结合上述评价结果和企业自身的特点,给出以下几点对策建议。

(1)加强国有大型企业信息安全的技术管理,注重技术创新。提高技术的全面性,以及企业信息安全技术的创新能力,将信息安全列入企业战略规划之中,用先进的技术手段保证企业的信息安全、完整。

(2)进一步提高国有大型企业的风险管理,重视风险评估。企业要组建专业的评估管理与实施团队,进行系统、全面的调研工作,以确定信息安全风险评估的目标和范围。同时,及时进行风险评估的总结,将企业信息安全存在的风险问题控制在一定范围内,防止不必要的错误再次发生。

(3)加强企业对员工有关信息安全保密意识的培训力度。制定安全保密培训制度,增加对员工信息安全培训的次数,明确岗位职责,提高员工保密意识。

(4)重视企业信息安全的规章制度建设,提高执行能力。加强企业领导的重视,在信息安全管理的各个方面,成立安全监管小组。在企业涉及信息安全的部门,制定相应的规章制度,如机房管理制度、人员管理制度等,使企业高效率运行;设立绩效奖惩制度,提高员工保护企业信息的积极性。

国有大型企业信息安全管理是一个复杂的、动态的过程,涉及到很多的因素,且因素间相互影响,目前现有的研究并不多。本文从管理的角度出发,综合考虑了国有大型企业信息安全管理的特点,构建的评价指标体系具有科学、客观性。同时,采用模糊综合评价的方法将国有大型企业信息安全管理中的技术、安全、风险、人员和制度等因素纳入层次结构模型中,对难以评价、模糊的指标信息予以处理,评价方法容易实现。本文的研究为评价国有大型企业信息安全管理工作提供了方法,具有一定的实际应用价值。

*基金项目:国家自然科学基金项目“开放式服务交付平台(OSDP)的运营模式分析与研究”(71172135)。

参考文献:

[1]孟洁.国有企业中的信息安全管理和应用[J].科技信息,2012,(2):252

[2]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009,(4):211

[3]傅璧,丁爽,张恺.信息系统的安全风险评估及风险管理[J].企业导报,2011,(13):89―90

[4]吉增瑞.信息安全等级保护浅析[J].网络安全技术与应用,2005,(1):55―57

[5]Mikko Siponen,Robert Willison. Information security management standards: Problems and solutions[J]. Information & Management, 2009,46(5):267-270

[6]Hyeun-Suk Rhee,Young U. Ryu, Cheong-Tag Kim.Unrealistic optimism on information security management[J].Computers & Security,2012,31(2):221-232

[7]高文涛.国内外信息安全管理体系研究[J].计算机安全,2008,(12):95―97

[8]李晓玉.国内外信息安全标准研究现状综述[J].信息安全与通信保密,2009,(8):167―171

[9]徐毅.信息安全管理标准及其应用探讨[J].科技信息,2008,(36):65―66

[10]黄芳芳,刘桥.基于模糊综合评判的信息安全风险量化分析[J].网络安全技术与应用,2009,(12):22―24

作者简介:

王宁(1984-),女,辽宁锦州。北京邮电大学经济与管理学院研究生,研究方向是消费者决策分析。

友情链接