企业信息安全管理体系精选(九篇)
第1篇:企业信息安全管理体系范文
关键词:信息安全管理;网络安全;风险评估
中图分类号:TP393.08
随着信息化技术的高速发展和深入应用,企业对信息系统的依赖性越来越强,绝大部分的业务从纸面迁移到信息系统当中,如何建立稳固的信息安全管理体系已经成为各企业信息管理部门甚至管理层的重要课题。本文将通过对目前国际信息安全行业发展的分析,提出企业构建稳固的信息安全管理架构,提高信息安全水平的初步构想。
1企业信息安全政策
信息安全政策作为信息安全工作的重中之重,直接展现了企业的信息安全工作的思路。其应当由企业信息安全工作的使命和远景,实施准则等几部分组成。
1.1信息安全工作的使命
信息安全工作的核心意义是将企业所面临的风险管理至一个可接受的水平。
当前主流的风险控制包含以下四个步骤:通过风险评估方法来评估风险;制定安全策略来降低风险;通过监控控制恶意未授权行为;有效地审计。
1.2信息安全工作的愿景
安全的企业信息化环境可以为任何企业用户提供安全便捷的信息化服务,应用,基础设施,并保护用户的隐私。让用户有安全的身份验证;能安全便捷的使用需要的数据和应用资源;保证通讯和数据的保密性;明确自身的角色,了解角色在企业中的信息安全责任;身边出现的信息安全风险和威胁能得到迅速响应。
要达到上述目的,企业需要进行有效的风险管理。风险管理是一个识别风险、评估风险、降低风险的过程。在这个过程中,需要权衡降低风险的成本和业务的需求,确定风险的优先级别,为管理层的决策提供有效的支持。
1.3信息安全准则
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。
良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN[2-3]技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USB KEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec[4]技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统[5]。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传
提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
当前,越来越多的企业已经把信息安全看做影响业务发展的核心因素之一,信息安全管理已经成为企业管理的重点。本文对信息安全政策,安全管理手段等方面进行了剖析,结合当前国际主流的信息安全解决办法,为企业做好,做强信息安全管理体系给出了一些通用性的标准,对企业构建信息安全管理体系,消除信息安全隐患,避免信息安全事件造成的损失,确保信息系统安全、稳定运行具有探索意义。
参考文献:
[1]何剑虹,白晓颖,李润玲,崔智社.基于SLA的面向服务的基础设施[J].电讯技术,2011,51(9):100-105.
[2]胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004.
[3]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
第2篇:企业信息安全管理体系范文
关键词:电信企业;信息安全;风险防控;管理体系;建设;研究
一、电信企业信息管理的现状与作用
(一)电信企业信息管理体系的现状
随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。
(二)企业信息安全管理的作用
信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。
二、电信企业信息管理建设的有效方法
(一)制定有效的信息管理计划
在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。
(二)电信企业信息管理建设的范围
对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。
(三)建立企业信息管理框架
对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。
三、结束语
综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。
参考文献:
[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014
[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016
第3篇:企业信息安全管理体系范文
关键词:企业;信息安全;风险控制
一、引言
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
(3)组建适当的评估管理与实施团队
企业信息安全风险控制体系的建立需要企业内部各个部门的参与,因为各个部门工作人员对于企业风险的认是有所不同的,企业要想了解企业承担的经营管理风险,就必须让企业各个部门工作人员共同参与进来。
参考文献:
[1]焦洪涛.中小企业信息安全管理策略研究[D].西安理工大学,2009.
[2]李慧.信息安全管理体系研究[D].西安电子科技大学,2005.
[3]梁军.湖南电信公司内网信息安全体系建设的研究[D].湖南大学,2007.
第4篇:企业信息安全管理体系范文
关键词:信息安全;企业管理;经济
信息管理高效的经济信息管理是企业不断发展的重要保障,而要想实现高效的信息管理,对信息安全性的管理与控制是十分重要的一个因素。近年来,随着科技与管理理念的不断丰富,对信息管理中的信息安全性控制也在不断强化并起到了一定的作用。但是,由于企业信息管理涉及的因素较多,导致目前仍旧存在一定的安全隐患。因此,有必要对企业的经济信息管理中的信息安全进行分析与探讨。
一、企业经济信息管理的信息安全存在的问题
(一)企业管理力度不足
企业管理力度不足是信息管理目前存在的普遍问题,也是导致企业信息管理存在安全隐患的主要原因之一。一方面,部分企业将管理重点放在了人员管理与财务控制方面,忽视了对经济信息安全的管理与控制;另一方面,部分企业的管理人员由于专业素质与工作经验的缺乏,对信息安全管理没有采取科学的方式方法,导致信息安全管理难以充分发挥其作用与价值,进而导致信息管理存在一定的安全隐患。总之,管理人员与管理制度是导致企业管理力度不足的重要因素。
(二)缺乏总体规划
在企业管理中,对经济信息的管理涉及到许多因素,所以高效的管理需要一个科学的总体规划。对于企业来说,经济信息管理不是单个部门或人员的工作,而是需要整个企业人员都具有信息保护的意识。但在实际工作中,由于工作内容具有一定的差异性或工作重点不同等原因,使得不同的员工与信息安全的意识程度不同,所以管理效果也难以达到最佳状态。考虑到这些问题,企业在进行经济信息管理时就需要制定一个整体规划,但许多企业在这方面的工作力度仍有不足。(三)对信息安全不够重视随着我国经济的不断发展,市场竞争也越来越激烈,此时保证企业的经济信息安全是管理中十分重要的一部分。但是,在实际竞争中,许多企业对经济信息的安全保障意识不够强烈。只是单一的对市场信息进行分析,而没有完善的管理系统,难免会导致信息储存或管理出现一定的问题,甚至造成企业关键经济信息的泄露,给企业发展带来不可挽回的损失。另外,信息管理中管理人员作用的发挥也非常重要。部分企业没有重视到这一点,管理人员的管理能力提升速度较慢,导致安全隐患的存在。
二、对企业信息管理安全产生影响的主要因素分析
(一)环境因素的影响
由于市场竞争比较激烈,许多企业将管理重心放在了市场拓展与产品优化等方面,出现了先重视产品与业务,再考虑信息安全的现象,导致信息安全管理滞后于业务的进行,产生一定的安全隐患。这是外部环境的影响,内部环境对企业的信息管理也有着一定的影响。企业的业务流程对信息管理体系的设置与实施有着一定的影响。此外,部分企业虽然重视对信息安全的管理,但由于防范体系的不够完善等原因,使得安全责任没有落实到具体,这些都是导致经济信息管理存在安全隐患的因素。
(二)人为因素的影响
人为因素的影响主要是指经济信息管理人员的工作能力与工作态度等因素的影响。一方面,安全管理人员是接触机密信息的直接人员,这部分工作人员若是出现刻意泄露或工作疏忽等现象,极易导致企业关键经济信息的泄露,给企业带来不可挽回的损失,影响企业的稳定发展。另一方面,技术人员也是人为因素中的重要部分,技术人员主要对相关设备进行管理与维护,也能够直接接触到关键信息。需要维护的设备较多,但部分企业为了节约人力成本,让同一个技术人员负责多个设备的维护,导致技术人员的工作难度增加,进而影响其工作效率。
(三)技术因素的影响
信息安全技术是保证信息安全的重要因素,也是企业在这方面管理中比较重视的一部分。具体来说,技术因素对信息安全的影响主要体现在以下两个方面:一是软件方面影响,包含了设计漏洞或技术缺陷,以及杀毒软件更新较慢或临时发生的运行故障等问题,这些都是对信息安全管理产生影响的因素。二是信息管理体系的设计方面,包含了风险评估数据、业务流程数据、测试数据、访问权限设置以及对信息资产的保护程度等。这些因素导致信息管理体系存在必然的安全隐患或漏洞,而这些漏洞将会为整个企业管理带来严重的不利影响。
三、强化企业经济信息管理中信息安全的必要性
(一)企业信息管理的主要特征
企业信息管理的特征主要包括三个内容:第一是具有保密性,这是信息管理的基本特征,也是信息管理的基本要求。各个部门负责的事项不同,部门人员只能获取应当了解的信息,而不能越权了解其他私密信息。第二是完整性。保证经济信息的完整是企业信息管理的基本原则,只有保证信息具有基本的完整性,才能更加精准地获得数据价值,从而发挥其作用。第三是可用性。只有具有较强的可用价值与企业的私密信息,才具有一定的安全保护价值,才能在企业发展中发挥其本身的作用。
(二)强化信息管理安全的必要性
正是由于经济信息具有的这些特征,才使其有了明确的强化必要性。首先,强化信息安全的管理有助于保证数据的保密性与完整性。只有保证信息的完整与私密,才能促使其在企业竞争中充分发挥价值。其次,信息的高效运用与价值发挥的实现,本身就需要一定的网络条件,而网络环境比较复杂,所以对数据的安全保护就显得十分关键。例如,不法分子的信息盗取、网路黑客的恶意攻击等,都是影响信息安全的因素。所以,对信息安全管理进行加强,是企业实现进一步发展的重要手段。
四、提高企业经济信息管理安全性的建议
(一)健全经济信息体系的安全保障
构建健全的经济信息体系的安全保障,是实现高效经济信息管理的重要前提,也是实现信息管理制度能够稳定发展的重要条件。在健全管理体系的保障过程中,最为首要的任务,即是在系统设计过程中就强调安全性。从目前来看,由于市场的宽容度逐渐升高,越来越多的企业参与到市场竞争中。由于部分企业对信息安全的认知不够明确,或者管理制度不够合理等因素,导致其经济信息管理制度本身就存在一定的安全隐患,不利于企业的发展。因此,企业需充分明确自身实力与发展情况,确定当前发展中的关键,设计针对性的安全管理制度。具体来说,企业可加强对进入内部信息系统的准入设置与权限、增加必要的保护屏障技术等。另外,还可借助科学技术与计算机技术,将指纹识别等运用到信息管理中,以保障管理制度的安全性。
(二)提高工作人员的工作能力
企业重要的经济信息泄露,其中一个关键的原因,即是工作人员的刻意为之或工作疏忽导致的。因此,在企业的经济信息管理中,提升工作人员的工作能力与安全意识是十分有必要的一项措施。一方面,企业可加强对管理人员的培训,促使其对信息安全有明确的认识;同时,还可借助培训,提升管理人员的管理能力与风险意识。另一方面,管理责任的落实也十分重要。企业的经济信息涉及到许多企业的重要信息,要在日常管理者中将管理责任落实到具体,进而提高工作人员的管理责任心。此外,提高管理人员的职业道德以及综合素质等,也是一个比较有效的方式,能够在一定程度上提高企业的经济信息管理效率。
(三)强调对硬件的安全管理
在信息安全这个问题上,管理设备与硬件条件的强化是必不可少的一部分。可以说,硬件设备是高效的信息安全管理中的重要基础。首先,针对企业的实际情况,可淘汰一部分功能比较传统的设备,购进更先进、安全保障程度更高的设备,进而促使设备在信息安全管理中充分发挥作用。其次,在运用过程中,随着运用时间的增长硬件设备的损耗程度也更大,所以对硬件设备的维护工作必须得到重视。企业可安排专门的维护人员,定期对设备进行检查或零件更换,避免因硬件系统而导致的信息泄露等问题。同时,还可对维护人员进行培训,以提高其技术水平。此外,合理的安全屏障与接入控制、禁止未授权访问或下载文件等措施都是硬件强化中的重要方法,能够在一定程度上加强对经济信息的安全保障。
(四)健全企业信息安全管理制度
企业信息安全管理制度的完善,是保证企业经济信息管理安全性的重要因素。从企业管理的角度来讲,企业对经济信息进行的管理是根据本身的信息安全需要、业务分析以及风险预测等的结果,并结合科学技术与计算机技术实现的信息管理。构建完善的信息管理制度,能够为信息管理提供包括设计、运行等各个方面的安全保障,并有效避免因安全隐患导致的各类安全事故。一方面,企业可建立起相关的安全管理体系与防范制度,加强对关键数据的保存与备份,以保证在发生安全事故时能够及时进行弥补,避免业务受到影响,进而将企业的损失降到最小程度;另一方面,还可建立起集中的管理控制体系,将经济信息进行综合管理,并借助企业内部的管理平台对其进行管理。
结语
据上述的分析可知,强化企业经济信息管理中的信息安全,不仅是推动企业不断发展的重要方法,更是推进我国企业管理理念不断完善的重要手段。通过健全经济信息体系的安全保障、提高工作人员的工作能力、强调对硬件的安全管理,以及健全企业信息安全管理制度等方式,从企业管理的各个角度强调了信息安全的重要性,在一定程度上提高了企业信息管理中的信息安全。
参考文献:
[1]马志程,张磊,王琼.基于ISO/IEC17799标准体系的企业信息安全管理新模式[J].电力信息与通信技术,2016,(1):80-83.
[2]梁俊荣.基于信息安全的企业经济信息管理探讨[J].信息化建设,2016,(5):335.
[3]刘晓松,郭玲玲.基于管理因素的企业信息安全事故分析[J].企业经济,2013,(1):55-58.
[4]孙波.基于现代网络信息安全的信息管理分析[J].信息通信,2013,(2):134-135.
第5篇:企业信息安全管理体系范文
企业要想在市场当中生存并发展,不仅仅要提升企业竞争力,还需要时时刻刻关注企业的信息安全。现代市场竞争十分激烈,只有做好企业的信息安全管理,才能避免企业因为信息管理的疏漏造成相关的损失。
近十年来,企业的生产经营越来越离不开网络,离不开计算机,企业的每一项活动都需要计算机与网络的参与,企业的管理需要借助相关的计算机软件,企业的销售需要运用到电子商务,企业的仓储管理需要数据库系统的支持,在企业感受到计算机带来生产经营便利的同时,企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企业信息安全管理的相关资料,可以发现我国企业在信息安全管理上所做的努力显然无法与西方企业相比,我国企业在信息安全管理这条路上还有很长的路要走。
我国企业在信息管理上起步较晚,同时受制于观念,技术,人力等各个方面的因素,我国企业在信息安全管理上存在十分严重的漏洞。不仅如此,企业信息安全管理受到各方面的威胁,各类病毒层出不穷,钓鱼软件,木马也防不胜防,我国企业信息安全管理所面临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事,企业是我国经济发展最重要的角色,倘若我国企业在信息安全管理上存在漏洞,这也将直接影响我国的经济发展,这并不是危言耸听。
因此,加强我国企业信息安全管理势在必行,必须采取有效的举措提升我国企业信息安全管理水平。开展我国企业信息安全管理工作不仅仅需要政府的支持,企业自身也应当充分认识到企业信息安全管理对于企业自身的重要性,企业信息安全管理并不是一件小事,理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素,结合各种影响我国企业信息安全的几点因素展开探讨,在此基础上,分析我国企业在信息安全管理中常用的手段,并通过借鉴国外优秀企业在信息安全管理的经验,对更好地完善我国企业信息安全管理提出几点意见与建议。
二、企业面临的信息安全管理风险
1.企业内部管理缺陷
企业要想提升信息安全管理的水平,其中很重要的一个步骤在于完善企业的管理制度。企业的信息安全管理会受到许许多多的因数影响,但是做好企业信息安全管理的基础在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面,倘若企业在内部管理制度上存在缺陷,那么做好企业的信息安全管理也就无从谈起了。常见的影响企业信息安全管理的制度缺陷有以下几个方面。第一,企业对于企业内部信息安全管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知履行职责,规范操作的基础上,倘若企业对于信息安全管理的工作人员缺乏监督,那么久很难保证企业整个信息安全管理系统的行之有效。第二,企业对于企业内部信息安全管理工作人员缺乏培训,企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的信息安全管理,就必须做到对企业内部信息安全管理的每一个环节都一丝不苟,对每一个可能存在信息安全漏洞的地方都要严格管理,对每一项信息安全管理的工作步骤都做明确要求。要想确保企业内部信息安全管理系统的平稳运行,只有从规范企业内部信息安全管理的行为规范上着手。第三,企业内部信息安全管理系统投入不足。这一点在我国大型企业上并不存在,我国大型企业拥有足够的资金,足够的人力资本,足够技术投入,相比较于我国中小型企业,在信息安全管理工作上具有较大的优势。可是,我国大型企业毕竟是少数,我国中小企业的数量十分巨大,中小企业并没有相应的资金,人员,技术投入,中小企业受制于现实条件,在信息安全管理系统上所做的工作严重不足,我国中小企业在信息安全上所面临的风险十分巨大。
2.影响企业信息安全管理的外部因素
影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理的外部因素包括病毒,木马,钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息安全,较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑客的攻击时往往处于较为被动的局面,一方面,黑客属于主动攻击,主动攻击的前提在于对于企业的内部信息安全管理系统有着较为全面的了解,并且往往已经掌握了企业内部信息安全管理系统所存在的安全漏洞,另一方面,我国绝大多数企业在信息安全管理系统的投入有限,企业内部信息安全管理的工作人员在技术手段上与黑客比较并没有优势。即使企业内部信息安全管理的工作人员最终能够战胜黑客,但是,由于缺乏完善的信息安全手段,对企业内部重要的信息保护不足,黑客对企业的信息安全所造成的影响往往也是致命的。反击黑客的攻击行为往往具有滞后性,因此,即使战胜了黑客,但是黑客对企业信息安全的攻击行为往往已经发生,企业必然会因此造成相应的损失,在现代企业经营管理信息化的背景下,这样的攻击行为对企业造成的损失往往是企业不能够承担的,很有可能影响一个企业最基本的生存。
三、完善企业信息安全管理的几点建议
1.建立信息安全密码
密码技术近年来在应用中不断成熟,越来越多企业开始将密码技术应用到企业信息安全管理中去,这是一个十分正确的选择。企业内部信息具有重要价值,密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样,企业应当根据自身情况正确选择密码的形式,密码技术是一项十分成熟的技术,应当得到更多的关注,并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护,能够在企业内部信息不慎泄露后得到最大化的保护,对于企业内部信息的密码也应当严格保密,做好相关的密码保护工作。
2.建立安全管理制度
企业信息安全管理制度的建立需要多方面的配合,同时,企业信息安全管理制度的建立是一项十分复杂的工作,必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全,也对企业内部信息安全管理人员的工作内容,工作步骤做了明确规定,这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合,在尽可能不影响企业正常工作的前提下,对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查;对企业内部信息安全管理人员的工作做到全面监督,有效反馈等等。
3.建立数据库的备份与恢复机制
现如今,外界主动攻击企业信息安全的事件越来越频发,企业在被外界攻击信息安全后所造成的损失往往无法挽回,同时这些信息对于企业具有十分重要的价值,倘若能够及时恢复相关信息,能够在很大程度上减小企业所遭受的损失,因此,建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份,可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候,能够保证企业网络信息的正常运行。而恢复的理解,就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。
4.建立网络安全预警系统
一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上网络入侵监测体系,可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制,判断哪些系统是具有危害性的,但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为,确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示,使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时,在短时间内陆续产生通过快速扫描出来的网络日志和调查报告,为企业专业人员查找病毒具体来源提供便利条件。
第6篇:企业信息安全管理体系范文
[关键词]信息环境;企业管理;信息安全
[DOI]10.13939/ki.zgsc.2016.41.090
1 信息环境下的企业管理路径
1.1 完善管理信息化建设体制
企业要加快管理信息系统建设,规范信息化标准体系,提高管理的信息化水平。首先,企业要成立信息化管理部门,负责企业信息化建设项目的全面推进,并且结合企业信息环境和管理需求制定信息化工作管理制度、专项经费管理制度、信息化工作考核制度等,保障信息系统建设制度化开展。其次,明确管理信息系统建设重点,如生产指挥调度管理系统、资金管理系统、会计核算系统、移动办公系统、物资采购管理系统等,提高企业对各项经营活动的管控能力。最后,建立信息化标准体系,包括技术支撑、基础建设、安全保障、业务应用等方面的标准,从而确保企业管理信息系统建设项目的质量。
1.2 建设企业ERP系统
企业要结合经营管理实际情况,引入ERP系统,从供应链管理层面推动物流、资金流与信息流的有机整合,提高企业集成化、信息化管理水平,提升企业供应链运作效率。在ERP系统的支持下,企业要实现财务业务一体化管理,完善财务管理系统功能,促使业务产生的信息实时传递到财务部门进行处理,同时也将财务信息、财务报告及时提供给企业管理层进行查阅,并将其作为企业经营决策的可靠依据。
1.3 优化人力资源信息化管理
在信息环境下,为进一步提升企业的管理水平,应当在现有的基础上,对人力资源信息化管理进行优化。首先,企业应当建立起一个相对完善的且包含绩效考核、员工培训、人才能力管理的信息化系统,并通过对相关流程的梳理,促进企业管理规范化和标准化,从而全面提升企业的人力资源管理效率。其次,企业可将一些重要的项目作为契机,实现人力资源与企业管理要求的对接,遵循现代企业管理的思维方式,开展相关的人力资源信息化管理工作,如员工绩效考核、领导干部测评等,借助项目成果,提升企业人力资源的整体管理水平,由此能够推动企业在信息环境下的稳定、持续发展。
1.4 加强信息化建设中的风险管理
企业在建设信息化的过程中不可避免地会面临各种风险,为此,企业应当采取有效的方法和措施加强风险管理。企业应当建立相对完善的风险防范机制,在该机制建立的过程中,要对管理信息系统开发中的所有风险予以充分考虑,针对风险因素进行有效的管理。实践证明,大多数风险都可以通过相应的方法进行防控,其前提是需要对风险进行准确的识别,但必须指出的是,风险本身具有不确定性和随机性的特点,并且有些风险是很难进行预防和控制的,因此,企业在开发管理信息系统时,必须制订出一套能够应对突发意外事件的方案,从而在意外发生时,能够进行解决,避免造成损失。
2 保障企业信息安全的体系构建
在信息环境下,信息安全是企业开展管理信息化建设面临的重大问题之一,直接关系到企业管理信息化水平的提升。为此,企业要结合管理实际需求,构建起信息安全保障体系,具体实施措施如下。
2.1 加强网络安全管理
企业在加强网络安全管理的过程中,可采取如下技术措施。
2.1.1 对远程接入进行严格控制近年来,虚拟专用网络技术(VPN)获得了快速发展,由此大幅度降低了远程接入给企业带来的风险,与此同时,移动办公的出现,在一定程度上促进了远程接入的发展,为确保远程接入的安全性,企业可以应用USB KEY身份认证或是动态口令等方式,对远程接入进行安全控制。
2.1.2 IPSec企业内网中存在一些非受控终端,这些终端的存在给黑客提供了访问企业网络的路径,为确保网络信息的安全性,企业可以应用IPSec,由此能够对内部终端进行管理和控制。
2.1.3 入侵检测这是防火墙的一项补充技术,能够对网络传输进行实时监控,当检测到可疑的数据信息传输后,会自行发出报警。通过入侵检测,可以使企业对来自外部的恶意攻击进行有效的防范。
2.1.4 确保无线网络安全大部分企业的办公区域内都有无线网络覆盖,其在给企业和用户带来便利的同时,也给信息安全带来了一定的隐患。为确保无线网络安全,企业应当采用比较安全的协议,如WPA或WPA2等,也可借助EAP协议对无线网络进行访问控制。
2.2 加强访问控制
在信息环境下,企业可以通过加强访问控制,来确保网络信息安全,具体可采取如下技术措施。
2.2.1 密码策略相关研究结果表明,密码的强度等级越高,破解所需的时间越长,正因如此,使得提高企业用户的密码强度等级成为访问控制最为有效的手段之一,为此,企业应当制定合理可行的密码策略,并借助相关的技术措施确保策略的执行。
2.2.2 权限管理企业应当对身份管理平台进行完善,以此为依托对员工的权限进行管理,并实行企业内部网络应用单点登录的策略。
2.2.3 构建公匙系统该系统是访问控制的核心,通过它能够有效提高无线网络访问授权、VPN接入的安全水平。
2.3 加强信息安全监控与审计
企业在加强信息安全的监控与审计方面,可以采取如下技术措施。
2.3.1 扫描病毒这是一种较为有效的网络信息安全监控手段,通过防病毒软件系统,可以对病毒进行自动扫描,并针对操作系统存在的漏洞,自动进行相关“补丁”的更新,由此大幅度提升了桌面终端的安全性。这种技术措施需要将客户端安装在企业用户的终端设备上,当终端与企业内网进行连接时,病毒扫描软件便会启动,并对将要接入的终端设备进行评估,通过之后,才能与企业内网连接。
2.3.2 防控体系针对网络黑客的恶意攻击,企业应当构建相应的防控体系,该体系可由以下几个部分组成:能够实时更新的防病毒软件、可以过滤掉不安全信息、邮件及非法网页的网关、入侵检测系统等。
2.3.3 记录与审计企业应当配置日志审计系统,借助该系统对信息安全事件进行收集,进而生成审计记录,据此对安全事件进行分析,并采取有效的措施加以解决处理。
2.4 加强员工信息安全培训
在信息环境下,企业网络信息安全需要凭借全体员工来维护,为此,企业应当加强对员工信息安全方面的培训,借此来增强他们的信息安全意识。为使培训效果最大化,必须保证培训工作的实效性,首先,要做好网络管理人员的技术技能培训工作,可将培训的重点放在网络设备的安装与调试以及软件的配置上。其次,应加大对企业领导层的培训,通过培训使领导层认识到提高网络信息安全的重要性和安全管理体系建设的必要性,以便获得他们的支持,使信息安全管理工作的开展更加顺利。最后,应当加大对网络客户端上用户的培训,培训的重点为实际操作,并在培训完毕后,制定相关的管理制度,要求用户严格执行,从而确保网络信息的安全。
3 结 论
在信息环境下,企业要积极推动管理信息化建设,将其渗透到物流管理、人力资源管理、财务管理等多个管理领域,从而不断提高企业管理效率。与此同时,企业也要认清管理信息化建设带来的信息安全问题,针对信息安全管理的薄弱环节制定有效的管理措施,做好员工信息安全培训工作,保障企业管理信息系统建设的顺利实施,不断提高企业信息化管理水平。
参考文献:
[1]刘晓松,郭玲玲.基于管理因素的企业信息安全事故分析[J].企业经济,2013(1):66-67.
[2]吴志杰.组织环境对企业信息安全管理的影响路径研究[J].江苏商论,2014(7):88-89.
[3]董清.企业信息安全管理现状与管理对策探讨[J].网络安全技术与应用,2014(6):59-60.
[4]王静,郭大亮.集团型企业信息安全管理体系建设思路研究[J].信息安全与通信保密,2014(7):99-100.
第7篇:企业信息安全管理体系范文
【关键词】卷烟生产企业 预防型安全管理 安全管理信息系统
【中图分类号】TP311.52 【文献标识码】A 【文章编号】1672-5158(2013)04-0225-01
引言
目前,卷烟生产企业安全管理多为“事后型”管理,这种传统、被动管理,很难适应现代安全生产的要求。以系统论为指导思想的企业安全管理信息系统,通过快速和系统地收集安全相关信息而进行安全分析、评价、预测和控制,指导企业安全管理,为企业预防型安全管理提供了新的思路。
1、卷烟生产企业安全信息化存在的问题
截止2009年底,全国卷烟生产企业已全部实现企业局域网,多数企业开发应用了企业管理信息系统和ERP系统,但专业的安全管理信息系统开发应用仍不普及,企业安全管理的信息化相对滞后。认识不足、缺少资金、人才匮乏是推进卷烟生产企业安全信息化所要面对的三大主要问题。
1.1 卷烟生产企业对安全管理信息化认识不足
安全管理信息系统具有高效、准确、系统地处理安全信息的功能,能为领导提供具有价值的辅助安全决策信息,具有明显优于传统管理的高效、动态、系统和准确的优点。通过对部分卷烟生产企业从业人员调查表明,很少人能认识到这一点。多数人认为安全管理信息化只是增加工作量的摆设,不能增加管理的效率和安全绩效。
1.2 专业人才缺乏觖乏系统设计
安全管理信息系统是个专业性管理信息系统,系统的开发、运行和维护都需要相应专业技术和专业人才来支持,卷烟生产企业一般不具备技术能力和人才储备。目前,单一的安全管理信息系统在应用时出现诸多不协调情况,缺乏系统性,如安全教育管理信息系统、危险源安全管理系统等,系统开发作了大量工作,花费了大量的资金,在某个方面取得一定效果,但没有产生系统效益,相反地构筑了一个个“信息孤岛”,未能实现信息的流通和共享,系统的高效和准确性未得到体现。
1.3 安全资源有限,建设投入不足
安全管理信息系统开发和应用是一项涉及面广、周期长、风险大的系统工程,需要投入较大,动用的安全资源多,因此对企业有限的安全资源来说,开发和运行资金保障难以实现。企业基础薄弱,企业信息资源基础不统一,信息采集渠道单一,缺少灵活性,使得信息来源不系统,导致信息流通不畅,使得系统的高效性和准确性难以实现,而且安全信息的采集和录入是涉及到班组等一线员工的基础工作,一线员工对信息处理能力的差异,也影响系统正常运转和功能发挥。
2、卷烟生产企业安全管理信息化的构建
2.1 卷烟生产企业安全管理信息化综述
卷烟生产企业安全管理信息系统是基于卷烟生产企业安全生产管理特点,以安全系统理论、信息技术和网络技术为开发手段,将卷烟生产企业安全生产管理有关信息数字化,通过管理信息系统进行综合分析评价等处理,力求实现安全管理信息化、动态化和高效化,为企业提供更先进的安全管理手段。系统的工作程序为信息收集录入、信息存贮(记忆)、信息传输(信息流)信息加工(信息分析、危险评价和预警判断等)和信息反馈输出(安全状态信息、预警信息和控制措施)5个阶段,将人工安全管理转变为计算机信息管理,具有预防、高效、系统的动态的特点,以适应卷烟生产企业安全管理从“事后型”管理向“预防型”管理的要求。
2.2 卷烟生产企业安全管理信息系统组成
人类活动影响安全,安全状态又影响人类,这是人类与安全之间的物质运动和能量交换。安全管理信息系统不断获取安全状态和人类活动的数据,及时地综合分析加工出决策信息,指导人类的活动,造成新的安全状态,通过样本数据又反馈到安全管理信息系统,如此循环往复,使得人类一安全系统的有序化程度不断提高。
我们依据系统安全的思想,统一划为对人、对物和对环境的管理,结合信息系统的开发和运行要求,将卷烟生产企业安全管理信息系统的内部系统主要可分为4大部分:数据系统,评价系统,预测系统和决策系统。下面做一些简单介绍:
(1)数据系统。主要包括数据的获取系统和存贮系统。数据获取系统又包括安全监测系统、危险源辨识输入系统和安全工程技术经济输入系统等。在每种数据获取系统中都应有检验数据准确性的数据质量控制系统。生产过程中,安全信息在企业内部一般包括以下几种信息:①组织系统信息:②安全监测人员的监测信息;③人机系统信息:④机械、电气设备信息;⑤物流信息;⑥环境信息。
(2)评价系统。主要包括统计分析系统和安全评价系统。前者包括从样本数据到总体特征的各种随机和模糊统计软件,后者包括安全评价指标的结构软件和指标度量软件。
(3)预测系统。主要包括人类与安全系统相互影响关系的各种模型辨识系统,利用这些模型估计安全变化及其对人类影响的模拟预测软件。评价模型用于对预测结果的准确性做出评估,评价指标体系包括人的作业安全可靠性、设备安全可靠性和预测结果评价指标体系。
(4)决策系统。包括安全目标评定、安全规划和方案决策等系统。依据安全状况的反馈信息和人类本身的要求确定安全目标,然后通过各种规划软件制定达到目标的规划方案,这些方案又反馈到人类活动计划决策系统进行总体协调,最后通过方案决策系统决定控制策略,得出终用信息。
安全管理信息系统以大量安全基本信息作为主要数据基础,以安全信息的录入、查询、修改、打印、基于安全信息的安全分析、安全预测及安全评价为主要功能。划分为以下5个功能模块构成:安全基本信息数据库模块,安全数据分析模块,安全预测模块,安全评价模块,安全决策模块。其系统结构如下图所示:
第8篇:企业信息安全管理体系范文
关键词:企业信息安全管理;失误因素;对策
现代社会飞速发展的计算机及网络技术,尤其是以智能手机为载体的移动互联网的迅猛发展,为社会大众带来便利的同时,信息的安全逐渐摆在人们面前,各种软件账号和密码、操作系统漏洞、地理位置信息、病毒木马等等,都对当今企业的信息工作带来巨大挑战。为提升全集团信息安全防护管理水平,根据《建筑施工企业信息化评价标准》等国家标准和总公司相关信息安全文件要求,我单位信息安全管理工作必须按计划有序开展。
1 企业信息安全管理的失误因素分析
1.1 信息安全组织临时化
通常,企业只有在发生了信息泄露、病毒攻击、系统破坏等信息安全事件时,才会临时从信息技术部和业务部门抽调人手处理和解决信息安全事件。出现新的信息安全要求时,才会临时组建项目小组,根据新的信息安全要求制定解决方案并实施计划,项目完成后,临时小组就会解散,没有人会继续跟进和执行解决方案。由于没有定期的信息安全评估,安全计划不断地重复开始和结束,带来大量的人财物重复投入,这将导致安全计划成本不断增加,企业的工作效率不断降低,信息安全防护也未得到有效提升。
1.2 员工上网无限制
虽然企业为员工上网提供了用户名及密码,并且对其登录的网站进行了监测,但是员工在工作时间还是可以无设防地利用外网进行网页游览、网络社交等行为,并且使用一些网站的免费邮箱随意地接收和发送电子邮件,这些给黑客、病毒、钓鱼软件等创造了对企业内部网络攻击的机会。于是,员工在不了解原因的情况下,使得企业的信息被泄露或者内部网络瘫痪,从而影响企业的正常工作,造成企业资产的损失。
1.3 个人移动设备(BYOD)使用泛滥
在企业的办公场合,员工会携带个人移动设备(BYOD)如笔记本电脑、平板电脑、智能手机、移动硬盘等进行办公。企业员工可以较为随意地使用这些移动存储设备对内部文件进行拷贝,并且可以使用移动设备接入企业内网的无线Wi-Fi,并拥有一定程度的内网数据读取权限,这样做虽然节约了企业的办公成本,提高了办公的效率,但是也增加了企业内网病毒感染及遭受黑客恶意入侵的风险。
1.4 信息安全防护水平有限
出于性能、技术等因素的考虑,加之国内自主研发的信息安全产品较少,目前进口的信息安全产品受到许多企业的广泛采用。尽管这些企业的信息安全需求以此得到了满足,但近几年来,进口产品设备故障的频繁发生也对企业的业务带来了不同程度的影响。同时,进口信息安全产品已经占据了这些企业信息系统的关键节点,这使得企业的商业机密时刻处于高危状态。不仅如此,部分企业仍旧停留在使用免费的个人版杀毒软件阶段,而这些软件不仅无法解决病毒交叉感染的问题,也没有统一的管理平台对企业内网的安全系统进行统一的升级与维护。
1.5 信息安全事件处理不及时
企业在发生信息安全事件时,即使有相关的信息安全管理产品,但无法迅速定位安全事件,更无法快速进行安全事件响应处理,常处于混乱、无序的运维管理状态。由于企业的安全管理人员无法全面了解整个企业网络中正在发生的内部越权访问和外部攻击,出现问题时,他们多表现得无从下手或者手忙脚乱。而且,企业各部门各自为政,对发生信息安全事件无法进行统一规范的快速处理。
2 改进企业信息安全管理的对策
2.1 建立健全的信息安全组织层级结构
企业信息安全组织架构的建立是围绕企业信息安全管理的战略目标,对企业的信息资源、人力资源、安全技术产品等进行合理安排和配置,构成相互协作的有机整体,使企业的信息安全活动协调有效地运行。企业通过建立多层次、跨部门的信息安全决策委员会、信息安全工作部、信息安全执行部层级结构,不仅能在企业中形成一张网,覆盖企业的各个部门,有利于信息安全措施的实施和针对信息安全事件的快速响应,而且还能为后续建立信息安全管理体系提供组织上的保证。信息安全决策委员会主要负责制定信息安全制度和策略、明确各部门信息安全职责、协调各部门实施信息安全控制措施以及信息安全活动的实施等。
2.2 加强人员教育培训和规范管理
信息安全最大的威胁不是来自于企业外部的攻击或是企业信息安全技术的缺陷,而是企业人员缺乏信息安全意识。为了能够有效地提高企业员工的信息安全意识,企业需要对员工进行完善的信息安全教育培训,这不仅能提高员工的信息安全保护技能,还能更好地保护企业的信息安全。企业在制定信息安全教育培训内容时,可以根据员工在企业中所处的职位高低和工作性质的不同有针对性地制定。对于企业管理者而言,教育培训以信息安全核心知识、风险管理、信息安全政策等为主;企业的信息技术人员,则是以信息安全技术教育培训为主;一般员工结合所在部门的业务特点以信息安全意识培训为主。除了对企业的人员进行教育培训,还需对其进行规范化管理。对掌握产品生产、原材料采购等核心信息的管理者实施更加严格的信息安全监督管理制度;对负责计算机系统及日常维护的人员界定其工作权限;规范化管理员工的上网行为,合理利用网络资源,避免人为的网络安全隐患。
2.3 完善信息安全技术体系
一是保障并完善数据安全,企业需通过加密的手段保护企业系统中数据的机密性和完整性,从而提高数据访问的抗抵赖性,同时加强数据的异地灾难恢复机制,实现本地数据的实时远程复制与备份,避免本地系统遭受灾难性破坏导致企业系统中数据的遗失。
二是保障并完善终端安全,企业除了要采用全面可靠的防病毒体系和防火墙技术外,还需制定严格的移动终端设备使用制度,一方面是为了避免内部员工利用移动终端设备随意拷贝企业内部文件,导致企业内部信息向外泄露,另一方面是为了防止移动终端设备携带的病毒漏过企业系统设置的防火墙而直接在系统内部传播。
三是保障和完善应用安全,除了提供用户名和口令外其他身份验证机制,必要时还需支持双因素认证和具备登录控制模块,同时在日常工作不受影响的情况下,控制员工访问权限,减少越权操作的现象,最大限度地保障个人系统的安全。
四是保障和完善网络安全,企业还需通过内外部署相应的网络与信息安全设施使计算机设备的物理管理得到加强,并对入侵检测系统和漏洞扫描系统进行内外部攻击和误操作的实时保护的安全设计,使系统免于网络攻击的同时,也提升了系统管理人员的安全管理水平。
3 结语
综上所述,企业要充分考虑安全失误因素,并分析出改进企业信息安全管理的措施。随着计算机及网络技术的发展,信息安全管理也会取得更多的发展。
参考文献
第9篇:企业信息安全管理体系范文
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准bs7799与信息安全管理标准is013335是目前通用的信息安全管理的标准:
(1)bs7799:bs7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:bs7799-1;1999《信息安全管理实施细则》;bs7799-2:1999((信息安全管理体系规范》。
(2)is013335:is013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:cso是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。cso需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的cio和cso,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的ti’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当cso了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
