如今，信息已成為企業(yè)生產(chǎn)和發(fā)展的重要資源之一。它以多種形式存在，如被打印或?qū)懺诩埳�；以電子方式存儲；用郵寄或電子手段傳送；呈現(xiàn)在膠片上或用語言表達(dá)。無論信息以什么形式存在，用哪種方法存儲或共享，都應(yīng)對它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。否則，企業(yè)將面臨著較大的信息安全風(fēng)險，甚至給企業(yè)帶來不良的影響和后果。

　　1.燃?xì)馄髽I(yè)管理存在的信息安全問題

　　信息安全問題是企業(yè)的共性問題，企業(yè)規(guī)模越大，所擁有價值的信息量就越大；企業(yè)經(jīng)營性質(zhì)越特殊，受保護(hù)的信息量就越多。燃?xì)馄髽I(yè)是高危服務(wù)性行業(yè)，應(yīng)當(dāng)把燃?xì)膺\營安全放在首位，但是也不能忽視了企業(yè)的信息安全。信息安全問題在燃?xì)馄髽I(yè)普遍存在。

    1.1 缺乏系統(tǒng)的信息安全管理

　　網(wǎng)絡(luò)安全領(lǐng)域有一句至理名言“三分技術(shù)，七分管理”，這句話對于信息安全領(lǐng)域也同樣適用。安全與管理常常是密不可分的，很多企業(yè)對信息安全的認(rèn)識僅僅是依靠信息防護(hù)技術(shù)應(yīng)用，比如安裝防火墻，反病毒軟件等。但信息軟件技術(shù)只是信息安全的一部分，即便在安全設(shè)備與系統(tǒng)上做了很大的投入，缺乏完整、系統(tǒng)的安全管理方法及制度并貫徹實施，信息仍然得不到很好的保護(hù)。尤其是那些對于針對黑客攻擊還顯得相對脆弱的企業(yè)網(wǎng)絡(luò)，一旦遭遇惡意入侵，馬上便顯得不堪一擊，信息安全當(dāng)然就完全談不上。而現(xiàn)實情況是，許多燃?xì)馄髽I(yè)因為缺乏信息安全管理制度、方法和應(yīng)急預(yù)案，對于這種情況全然沒有有效的防備和事后補救措施，這樣災(zāi)難自然就是難免的了。

    1.2 信息安全意識有待提高

　　當(dāng)前，企業(yè)的信息載體日益電子化，信息系統(tǒng)、辦公電腦、移動存儲設(shè)備的不規(guī)范使用增加了電子信息的泄露發(fā)生率。在百度、谷歌、網(wǎng)絡(luò)文庫上稍加搜索就可以輕易的獲得某家燃?xì)饧瘓F或公司重要文件。這些重要信息資料被暴露在公眾中，正是由于燃?xì)馄髽I(yè)以及員工信息安全意識不強所造成的。而不少企業(yè)的領(lǐng)導(dǎo)者對于重要信息的保護(hù)意識不強，尤其是企業(yè)員工，從思想上就不重視企業(yè)的信息安全，信息傳遞和交接都帶有很大的隨意性，更有些“大嘴巴”事件，使得企業(yè)許多重要信息外流，如客戶信息、企業(yè)內(nèi)部信息，更有甚者，許多商業(yè)機密也輕易外泄，如燃?xì)馕ｋU源信息或燃?xì)獬杀镜取?/p>

　　1.3 缺乏信息安全技術(shù)人才

    在燃?xì)馄髽I(yè)，由于對企業(yè)信息安全的重要性認(rèn)識不足，普遍缺乏信息安全管理人員和信息系統(tǒng)安全技術(shù)人員。雖然近年來燃?xì)馄髽I(yè)各類信息系統(tǒng)不斷增多，如地理信息系統(tǒng)、客戶服務(wù)系統(tǒng)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)等，涌現(xiàn)出了一批信息化技術(shù)人才，但是要從安全角度出發(fā)，能夠進(jìn)行綜合信息安全管理的技術(shù)性人才在整個燃?xì)馄髽I(yè)員工的比例仍然相當(dāng)?shù)�。燃�(xì)馄髽I(yè)在信息安全人才和信息技術(shù)人才培養(yǎng)方面與企業(yè)快速發(fā)展帶來的信息化需求和信息安全需求顯然不能同步，這樣一來，對于信息外泄，信息安全防不勝防，便會出現(xiàn)“領(lǐng)導(dǎo)干瞪眼，群眾干著急”的局面。2 理解信息安全的基本內(nèi)容和信息安全建設(shè)的主要任務(wù)

　　2.1 什么是信息安全?

　　在GB/T2208l一2008中，信息安全被這樣定義：保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險最小化、投資回報和商業(yè)機遇最大化。其主要是指在企業(yè)信息安全管理中首先要最大限度的保護(hù)企業(yè)信息資產(chǎn)，保障業(yè)務(wù)持續(xù)穩(wěn)定運行，其次，一旦發(fā)生安全事故可以最大限度地挽回所造成的損失。

　　信息的安全風(fēng)險主要來自于信息的保密性、完整性和可用性。在企業(yè)中，信息可能會通過口頭、網(wǎng)絡(luò)、打印機、復(fù)印機、存儲設(shè)備等途徑不經(jīng)意地泄露。要避免重要信息的泄露，在信息的傳遞和保管過程中要把好關(guān)；然后，還要防止信息被誤變更或被惡意變更，做到保護(hù)信息的完整性；最后，要做好信息源頭的安全保障，即要保障信息處理設(shè)備和信息傳遞渠道的高可用性。制定清晰的信息處理流程，建立滿足服務(wù)的完善運維保障，以及設(shè)法保持業(yè)務(wù)連續(xù)性管理都是保證信息高可用的重要措施。正是信息的這3個屬性結(jié)合才形成了信息的安全性，如圖l所示：

圖1 安全屬性

　　2.2 信息安全建設(shè)的主要工作任務(wù)應(yīng)由以下幾方面構(gòu)成

　　即體系化的企業(yè)信息建設(shè)，信息安全風(fēng)險控制和確保企業(yè)信息的機密性、完整性和可用性。而對于不少燃?xì)馄髽I(yè)來說，卻常常是重視了第1點，而忽略第2和第3點。因此，有計劃的解決企業(yè)存在的信息安全風(fēng)險，以及可持續(xù)提高管理的有效性和不斷提高自身的信息安全管理水平是企業(yè)的當(dāng)務(wù)之急。

　　3.采用PDCA循環(huán)的方法建設(shè)企業(yè)信息安全

　　作為一項安全管理活動，信息安全建設(shè)應(yīng)該是符合一般管理活動的規(guī)律的。所以，用PDCA管理模式，即規(guī)劃(Plan)實施(Do)檢查(Check)處置(Act)的循環(huán)管理模式來指導(dǎo)燃?xì)馄髽I(yè)信息安全建設(shè)十分必要也非常合適。

　　PDCA的概念最早由美國質(zhì)量管理專家戴明提出來，起初用于質(zhì)量管理，后逐漸應(yīng)用于各行各業(yè)。通過PDCA方法管理能使信息安全建設(shè)有效的按照一種合乎邏輯的工作程序進(jìn)行。對其具體應(yīng)用，筆者結(jié)合自己所學(xué)的理論知識和工作經(jīng)驗進(jìn)行了總結(jié)。

　　3.1 P階段

　　(1)分析公司信息管理中存在的不安全因素，采用合理的風(fēng)險評估方法，確定風(fēng)險并對風(fēng)險進(jìn)行分級；

　　(2)找出不安全因素產(chǎn)生的原因，特別是在企業(yè)管理層面上存在原因和需要企業(yè)高層處理的問題；

　　(3)針對存在的問題，根據(jù)風(fēng)險等級對存在的隱患制訂措施計劃和解決方案，制定的措施方案要有較強的可操作性，便于執(zhí)行，并能收到較好的效果。對于整改資金必須從安全與生產(chǎn)發(fā)展的總體考慮，結(jié)合實際，因地制宜，合理投入。

　　3.2 D階段

　　(1)對風(fēng)險整改計劃進(jìn)行宣貫和指導(dǎo)，讓企業(yè)員工認(rèn)識到存在的安全現(xiàn)狀和不安全因素，以及怎樣去改進(jìn)。計劃要落實到人，整改的人要清楚的理解為什么要改進(jìn)和怎樣改進(jìn)；

　　(2)層層細(xì)化風(fēng)險改進(jìn)計劃，并與員工的工作實際相結(jié)合。計劃可以從企業(yè)管理層開始細(xì)化直至崗位上的每一個操作環(huán)節(jié)。如果細(xì)化不徹底，那么企業(yè)的總計劃中的方案措施再有可操作性，相對于班組、崗位都存在不同程度的粗放性，很難與基層實際吻合。

　　3.3 C階段

　　(1)開展企業(yè)各層級員工對自己工作進(jìn)展情況的自查，查找問題，分析原因，及時整改；

　　(2)開展信息安全專項檢查，定期和不定期檢查風(fēng)險改進(jìn)的執(zhí)行情況，階段性的總結(jié)和考評執(zhí)行效果。檢查最好能通過量化式檢查得出定性結(jié)論。這一方法的最大優(yōu)點就是對每一個PDCA循環(huán)層進(jìn)行橫向比較時，能得到較為準(zhǔn)確的評價，找準(zhǔn)薄弱點和工作漏洞；

　　(3)對檢查結(jié)果和現(xiàn)存信息風(fēng)險重新進(jìn)行總結(jié)和評估，并根據(jù)評估結(jié)果調(diào)整風(fēng)險級別和風(fēng)險值，找出重點關(guān)注環(huán)節(jié)。

　　3.4 A階段

　　(1)統(tǒng)計匯總信息安全風(fēng)險控制的成果，去除已經(jīng)解決的問題，制訂對新問題的改進(jìn)計劃；

　　(2)分清計劃未完成的原因并確立相關(guān)責(zé)任人，依據(jù)有關(guān)規(guī)定進(jìn)行嚴(yán)考核硬兌現(xiàn)；

　　(3)把遺留和新發(fā)現(xiàn)問題轉(zhuǎn)人下一個PDCA管理循環(huán)。

　　4.重點解決信息安全建設(shè)中的幾個關(guān)鍵問題

　　4.1 把握風(fēng)險評估尺寸。正確處理存在的風(fēng)險

　　風(fēng)險評估的實施方法有許多，在做信息安全風(fēng)險評估時，應(yīng)從企業(yè)整體出發(fā)，從企業(yè)需求出發(fā)。通過《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》(GB/T20984—2007)給出的風(fēng)險評估實施流程可以較為全面評估出企業(yè)存在的信息安全風(fēng)險。

圖2 風(fēng)險評估

    信息安全風(fēng)險識別出后，采用合理的處置辦法也非常重要。采用的處理方式主要有：①風(fēng)險減緩，即采用適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險。如對重要信息處理設(shè)備采用冗余配置措施以避免單點故障的發(fā)生；②風(fēng)險接受，在明顯滿足組織方針策略和接受風(fēng)險準(zhǔn)則的條件下，有意識地、客觀地接受風(fēng)險。特別是適當(dāng)接受那些“風(fēng)險級別低的風(fēng)險”，以確保高級別風(fēng)險能及時而有效地處置；③風(fēng)險規(guī)避，在可能的情況下，避免某些特殊風(fēng)險，如將重要信息文件進(jìn)行加密來避免未授權(quán)人獲得；④風(fēng)險轉(zhuǎn)移，將相關(guān)業(yè)務(wù)風(fēng)險轉(zhuǎn)移到其它地方，如將網(wǎng)站業(yè)務(wù)的維護(hù)托管到第三方專業(yè)維保單位管理，并與其簽訂信息安全保密協(xié)議等。

　　4.2 重視人在燃?xì)馄髽I(yè)信息安全管理中的作用

    在企業(yè)管理中，所有的管理活動離不開“人”。“人”是信息安全活動中最復(fù)雜、最難控制的對象，許多信息安全事件的發(fā)生是由人而起。要對企業(yè)中人的行為進(jìn)行約束，明確人的信息安全管理角色和管理職責(zé)；加強人的思想認(rèn)識，進(jìn)行信息安全的教育和培訓(xùn)，才能構(gòu)建良好的信息安全文化。

　　筆者所在公司在信息安全管理中，首先成立了信息安全小組，把企業(yè)的“一把手”作為推動信息安全的組長，把企業(yè)內(nèi)不同部門的人作為參與信息安全管理的對象，其中經(jīng)理層和關(guān)鍵崗位人員是安全小組組員，明確了組長和組員的信息安全責(zé)任和義務(wù)；然后把信息安全責(zé)任制落實到企業(yè)安全責(zé)任狀中，要求層層簽訂層層落實，通過與經(jīng)理層、關(guān)鍵崗位人員簽訂保密承諾書，來進(jìn)一步保障企業(yè)信息安全；最后注重培育企業(yè)自己的信息安全文化，特別是通過報紙、宣傳欄、企業(yè)OA系統(tǒng)向員工宣傳日常信息安全做法，從小事出發(fā)將注重信息安全形成習(xí)慣。例如，對電子文件進(jìn)行簡單加密，離開電腦時進(jìn)行鎖屏保護(hù)、給電腦打開設(shè)定密碼保護(hù)、重要文件不被設(shè)為共享，不把公司的文件傳送給第三方(其它公司、網(wǎng)上文庫)，及時粉碎重要紙質(zhì)文件，及時做好重要數(shù)據(jù)備份，及時更新殺毒軟件病毒庫等。

　　4.3 做好信息資產(chǎn)分類。把資產(chǎn)管理好

　　信息是一種對燃?xì)馄髽I(yè)具有價值的資產(chǎn)，但是要想把這種資產(chǎn)管好，必須做到以下幾點：第一，它有兩種存在形式，即有形和無形，要建立信息資產(chǎn)清單來管理，這樣在管理中才能做到“胸中有數(shù)”；第二，不同信息有著不同保護(hù)要求，要進(jìn)行信息分類管理，根據(jù)不同分類等級采取不同的保護(hù)措施。信息保護(hù)等級可分為：絕密、機密、秘密、受限、內(nèi)部公開、公開。在分類時特別要注意的是考慮共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影響，避免信息保護(hù)等級被設(shè)定過高，實際操作時影響到業(yè)務(wù)的開展；第三，信息的處理過程很難控制，需要對信息做好標(biāo)記，標(biāo)記的內(nèi)容要包括安全處理、存儲、傳輸、刪除、銷毀的處理程序，標(biāo)記的程序要涵蓋物理和電子格式的信息資產(chǎn)，不能有遺漏。特別是對報廢的存儲介質(zhì)處理，應(yīng)確保銷毀，因為以目前的數(shù)據(jù)恢復(fù)技術(shù)而言，采用格式化的方法來處理數(shù)據(jù)存儲的物理介質(zhì)很容易被恢復(fù)。因此，最好的辦法是物理銷毀、數(shù)據(jù)覆蓋或者利用不可逆專門工具處理。

　　4.4 合理規(guī)劃信息安全區(qū)域。做好信息處理設(shè)備的安全管理

    在燃?xì)獍踩�生產(chǎn)建設(shè)中分清防爆區(qū)域非常重要，其實信息安全管理中也要分清信息安全區(qū)域，通常在實際應(yīng)用中將總經(jīng)理室、財務(wù)部門、人力資源部門、檔案部門、圖紙設(shè)計部門、信息化部門、信息系統(tǒng)機房等具有敏感信息的部門劃定在安全區(qū)域內(nèi)，并在物理邊界上加以防護(hù)，防止未授權(quán)的人員進(jìn)入損壞、盜竊、截取。如在財務(wù)部門、信息化機房入口安裝門禁、視頻監(jiān)控、圍欄、紅外報警器等。

　　此外，還要考慮安全區(qū)域內(nèi)的信息安全。筆者發(fā)現(xiàn)在日常工作中設(shè)備故障所造成的信息處理過程不安全最為常見。因此，對提供信息處理支持性設(shè)施要格外關(guān)注，要加強設(shè)施的運維管理，建立運維管理制度，安排專人定期巡檢設(shè)備運行情況。條件允許下，還可以配置冗余的硬件設(shè)備，雙回路的供電電源，應(yīng)急電源等。

　　4.5 加強信息安全事件管理，預(yù)防信息安全事件發(fā)生

　　據(jù)燃?xì)馄髽I(yè)發(fā)生的各種信息安全事件的統(tǒng)計結(jié)果，最典型的有有害程序、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件等。其中，帶來的損失最嚴(yán)重的是有害程序、網(wǎng)絡(luò)攻擊事件。針對這些事件，可以采取相應(yīng)的技術(shù)防范措施，如安裝反病毒產(chǎn)品、防火墻產(chǎn)品、人侵檢測與入侵防御產(chǎn)品，對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行脆弱性掃描等，同時做好定期設(shè)備的巡查，及時更換失效的產(chǎn)品。另一方面，根據(jù)本企業(yè)自身情況建立信息安全應(yīng)急預(yù)案，搭建應(yīng)急組織機構(gòu)，對信息安全事件分級，并制定應(yīng)急響應(yīng)機制、應(yīng)急處置流程(即事故上報流程)以及恢復(fù)程序。每年開展一次應(yīng)急演練，提高信息安全應(yīng)急預(yù)案的可操作性以及相關(guān)人員對信息安全事件響應(yīng)的熟練程度，可以提高信息安全事件的預(yù)防和處置能力。

　　5.未來持續(xù)性做好信息安全工作的幾點探索

　　“發(fā)展”和“變化”始終是未來信息安全的重要特征，只有緊緊抓住這個特征才能正確地處理和對待信息安全問題。筆者認(rèn)為燃?xì)馄髽I(yè)未來應(yīng)從如下兩個方面持續(xù)做好信息安全管理。

　　5.1 正確面對新技術(shù)的應(yīng)用

　　隨著無線技術(shù)、物聯(lián)網(wǎng)技術(shù)、“云”技術(shù)等新技術(shù)在企業(yè)中應(yīng)用，企業(yè)在信息應(yīng)用上取得很大突破，新的信息技術(shù)為企業(yè)發(fā)展來了新的機遇。但是不斷革新的技術(shù)就像一把“雙刃劍”，一方面它促成了企業(yè)的新發(fā)展，而另一方面也會為企業(yè)帶來新的信息安全問題。因此，企業(yè)應(yīng)正確的面對新技術(shù)，在新技術(shù)應(yīng)用同時，重視加強入侵檢測技術(shù)、RFID(射頻識別)技術(shù)、數(shù)字認(rèn)證加密技術(shù)、災(zāi)難備份技術(shù)等安全防護(hù)技術(shù)的應(yīng)用，以保障企業(yè)在新形勢下的信息安全。與此同時，通過實踐我們也應(yīng)該提高防范意識，謹(jǐn)防別有用心之人利用信息新技術(shù)來造成信息破壞或信息安全事故。

　　5.2 大力發(fā)揮人才的優(yōu)勢

　　信息安全管理離不開人，信息技術(shù)的應(yīng)用和維護(hù)更離不開人。筆者認(rèn)為持續(xù)性做好信息安全管理的另一突破點在人才管理上。燃?xì)馄髽I(yè)應(yīng)著力培養(yǎng)一批懂信息技術(shù)、懂安全、懂燃?xì)獾木C合性人才，大力發(fā)揮人才優(yōu)勢，才能使得信息安全保護(hù)持續(xù)性得到有力支撐。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：淺析燃?xì)馄髽I(yè)的信息安全管理

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839313463.html