探討企業(yè)的信息安全

　　企業(yè)信息安全是一個(gè)多點(diǎn)因素的難題，涉及技術(shù)、管理、應用等方面，下面是小編搜集整理的一篇探究企業(yè)信息安全的論文范文，歡迎閱讀查看。

　　摘 要：企業(yè)信息化程度發(fā)展到一定水平，從防火墻、入侵檢測等安全硬件到文檔防泄密、行為管理等安全軟件，技術(shù)上都比較成熟且大部分企業(yè)都已實(shí)施部分安全項目。但實(shí)施安全項目之后并不是高枕無(wú)憂(yōu)，管理是否到位及企業(yè)員工安全意識成為企業(yè)信息安全的短板，如何從管理角度提高企業(yè)的信息安全水平，已成為一個(gè)重要的課題。

　　關(guān)鍵詞：信息安全;管理;意識

　　從安全軟硬件出發(fā)，大多安全實(shí)施廠(chǎng)家已有較成熟的方案，一旦項目實(shí)施完成后，企業(yè)往往容易忽略人員意識、IT審計、后續管理等因素對信息安全的影響。本文就如何解決企業(yè)信息安全短板，從管理角度進(jìn)行探討。

　　1 管理安全的含義和IT審計的特點(diǎn)

　　從大的方面來(lái)說(shuō)，信息安全是指信息網(wǎng)絡(luò )的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務(wù)不中斷。直接反映到企業(yè)來(lái)說(shuō)，就是要通過(guò)實(shí)施一整套適當的控制措施實(shí)現企業(yè)各業(yè)務(wù)系統正常運行，確保安全目標的實(shí)現。本文從管理角度探討企業(yè)的信息安全，可以簡(jiǎn)稱(chēng)為管理安全，它是指建立并有效落實(shí)企業(yè)規章制度、安全管理規定等，來(lái)保證系統安全生存與運行。

　　企業(yè)安全管理的規章制度是否運行有效直接關(guān)系到企業(yè)安全目標能否保障，在此管理過(guò)程中需要引入IT審計。IT審計重點(diǎn)內容之一就是發(fā)現信息系統的潛在風(fēng)險，可以說(shuō)企業(yè)信息中心對潛在的IT風(fēng)險是比較重視的。IT審計相對技術(shù)而言，更多側重于管理，比如在安全策略方面更側重于訪(fǎng)問(wèn)授權的控制，以及定期核查是否按相關(guān)信息化制度辦事，還有就是有無(wú)進(jìn)行過(guò)適當的滲透去檢驗系統的可靠性等。實(shí)施IT審計能夠提高企業(yè)信息系統的安全性，能夠客觀(guān)評價(jià)信息系統安全現狀。

　　2 從管理角度看企業(yè)中存在的主要信息安全威脅

　　1)企業(yè)日常信息化管理中，會(huì )碰到以下一些現象，如：明知計算機病毒無(wú)孔不入，卻不安裝殺毒軟件;個(gè)人認證的物品(如員工門(mén)禁卡)隨意借用他人;進(jìn)入門(mén)禁系統之后，對他人尾隨不理不問(wèn);移動(dòng)存儲介質(zhì)外借他人，卻不知可能造成感染病毒或泄密;打印服務(wù)器、掃描服務(wù)器等公用電腦臨時(shí)存放許多信息卻不刪除。

　　從上述現象中可以得知，企業(yè)員工信息安全意識淡薄會(huì )產(chǎn)生較多安全漏洞。據《2011年度中國企業(yè)員工信息安全意識調查報告》顯示，30%的受訪(fǎng)者從來(lái)沒(méi)有接受過(guò)信息安全培訓，只有30%的企業(yè)會(huì )進(jìn)行定期的信息安全培訓[1];

　　2)企業(yè)信息安全項目做的深度是與企業(yè)信息化發(fā)展水平相關(guān)的，一般企業(yè)會(huì )根據本身的信息化水平發(fā)展程度分步驟進(jìn)行。企業(yè)初始階段會(huì )通過(guò)封USB端口，不配置光驅等形式防止電子文檔傳播至外界�，F階段已有部分企業(yè)關(guān)注電子文檔防泄密的軟件，同時(shí)配以相應的制度，從一定程度上能達到預期的效果。項目實(shí)施后往往會(huì )發(fā)現效果難以保持，因為企業(yè)缺少相關(guān)的信息安全審計人員，在審計工作不到位的情況下，安全軟件的審計功能無(wú)法體現其價(jià)值;

　　3)企業(yè)通過(guò)安全軟件對電子文檔進(jìn)行管理，在實(shí)物管理方面缺乏措施。辦公室文印區域是企業(yè)信息泄密的源頭之一，外單位人員進(jìn)入企業(yè)進(jìn)行交流時(shí)，通常會(huì )經(jīng)過(guò)辦公室文印區域，員工打印文件后如不及時(shí)拿取，容易將技術(shù)資料留在在打印機上，給有心之人獲取，容易造成泄密。計算機、筆記本等辦公設備故障外移送修，送修前未經(jīng)過(guò)審核批準，不對硬盤(pán)做處理，上述這些日常辦公現象存在著(zhù)信息安全漏洞[2]。

　　3 信息安全短板的對策措施——強管理

　　盡管企業(yè)防火墻、防毒墻等安全硬件設施或安全軟件都較齊全，但是采取恰當的管理措施也能有效的提高信息安全水平，最終有效地保護企業(yè)信息資產(chǎn)。本文總結了以下幾種管理方法并加以說(shuō)明。

　　1)提高員工安全意識，關(guān)鍵是做好培訓。一方面企業(yè)信息中心要組織好講師及培訓素材。培訓素材可結合生活中的信息安全案例或者通過(guò)動(dòng)畫(huà)情景介紹等較生動(dòng)的方式，寓教于樂(lè )，讓每個(gè)企業(yè)員工明白數據等無(wú)形資產(chǎn)的重要性，理解數據信息安全是企業(yè)的生存發(fā)展壯大的法寶。在培訓方式上，可采用循序漸進(jìn)的培訓方式，不急于求全，可從最基本的啟用標準的計算機密碼(如大小寫(xiě)字母+數字)、離開(kāi)座位時(shí)使用屏保等開(kāi)始培養。后續可陸續完善公司涉密規章制度，同時(shí)認真落實(shí)，要讓員工真正懂得防止泄密的辦法;

　　2)通過(guò)IT審計嚴把信息安全管理關(guān)。企業(yè)做好IT審計，從以下幾方面入手：一方面是人才培養，企業(yè)審計部門(mén)需要引入類(lèi)似IT審計師的角色，盡管現階段大部分中小企業(yè)未能做到這一點(diǎn)，但可參照國際上通用的認證培訓——國際信息系統審計師，把企業(yè)信息管理人員送出外培，提高兼職型IT審計人員的技術(shù)水平及能力;另一方面是IT審計人員職責要明確，從實(shí)踐上看，IT審計人員工作內容包括查看企業(yè)人員是否按照已有的涉密規章制度進(jìn)行審批手續、定期將審計報表反饋給高層，監督整改落實(shí)的情況及效果驗證，使企業(yè)自上而下重視信息安全管理;

　　3)讓安全軟件的審計功能發(fā)揮作用。市場(chǎng)上的電子文檔防泄密系統提供日志審計功能。日志系統主要用來(lái)跟蹤和記錄用戶(hù)對受控文件的操作、記錄管理員設定的策略和操作。企業(yè)系統管理員要對文件日志、部門(mén)日志、計算機日志、申請審批日志等進(jìn)行定期檢查，同時(shí)發(fā)揮IT審計人員的監督作用，才可讓安全軟件的審計記錄發(fā)揮作用;

　　4)利用刷卡認證方式管理文檔輸出。辦公類(lèi)信息安全管理方面，涉及到各類(lèi)業(yè)務(wù)系統的賬戶(hù)管理、文檔輸出管理、存儲設備管理等�，F有企業(yè)一般是通過(guò)制度約束，但效果不明顯，這里結合新的管理方式對文檔輸出管理進(jìn)行說(shuō)明。一般我們不會(huì )一直等在打印機旁，沒(méi)有把打印好的資料及時(shí)拿走。而所打印的資料大多是技術(shù)圖紙、商務(wù)合同、計劃等資料，讓人不經(jīng)意地看到相關(guān)內容及敏感信息。要減少因遺忘而將已輸出的文檔滯留在文印設備上，可結合IC刷卡認證的方式，企業(yè)通過(guò)為文印設備配備一些讀卡器，只有當刷員工卡時(shí)，文檔才從文印設備輸出，員工可即刻拿走。

　　總之，企業(yè)信息安全是一個(gè)多點(diǎn)因素的難題，涉及技術(shù)、管理、應用等方面，隨著(zhù)企業(yè)信息化的發(fā)展，各類(lèi)信息系統及軟件資產(chǎn)不斷增多，從管理角度保障信息安全，增強企業(yè)員工安全意識，成為企業(yè)成長(cháng)的重中之重。

　　參考文獻

　　[1]北京谷安天下科技有限公司.2011年度中國企業(yè)員工信息安全意識調查報告[R]，2012.

　　[2]楊鍇新、劉潔.關(guān)于企業(yè)信息安全管理的思考[J].經(jīng)管空間，2011，5.

【探討企業(yè)的信息安全】相關(guān)文章：

信息結構的企業(yè)組織效率探討03-18

企業(yè)空間信息化戰略探討03-21

對面向服務(wù)的企業(yè)信息構架探討03-20

企業(yè)信息資源開(kāi)發(fā)與利用探討03-24

信息與中小企業(yè)發(fā)展探討03-24

網(wǎng)絡(luò )信息安全概念探討論文11-13

企業(yè)信息化模式的概念和意義探討03-24

探討統計信息在企業(yè)經(jīng)濟管理中的應用03-21

企業(yè)營(yíng)銷(xiāo)倫理探討03-21