據美國媒體報道，名列《財富》全球1000強的大公司，平均每年發(fā)生2．45次的商業(yè)間諜事件，損失總額高達450億美元。世界上每2分鐘就有1個企業(yè)因為信息安全問題倒閉，有11個企業(yè)因為信息安全問題造成大約800多萬美元的直接經濟損失。在所有的信息安全事故中，由于內部員工的疏忽或有意泄密所造成的約占70％。全面開展保密工作，保護商業(yè)秘密安全，應成為企業(yè)的首要工作。忽視那些不易被察覺的小問題，我們的企業(yè)極可能會陷入困境，面臨“末日”。我們急需的是找到為企業(yè)安全擺脫困境的高效可行的方法策略，構筑令其逃脫劫難的“諾亞方舟”。

    筆者認為，企業(yè)經營者在信任技術的同時，也應當從企業(yè)信息本身的內容和性質上來思考企業(yè)的信息安全這一問題。企業(yè)信息紛繁多樣，無論企業(yè)規(guī)模大小，每天都在產生著很多信息，一張報表、一份訂單、一項計劃、一次人事變動，一項研發(fā)成果等等，都是企業(yè)所產生的信息。其中很多信息常常被忽略，但不可否認的是，它們都存在或多或少的價值。

1 企業(yè)信息安全的基本內容

    我們都知道，企業(yè)管理中最重要的“3M”理論，即企業(yè)管理主要是對人(man)、物(material)、財(money)的管理n1。在對這三者進行管理的過程中必然產生大量的信息，這些都是企業(yè)的核心信息，對企業(yè)的經營成敗具有關鍵的作用。因此，筆者認為，企業(yè)信息安全的基本內容包括人的信息安全、物的信息安全和財的信息安全。

    1．1人的信息安全

    眾所周知，企業(yè)中最為活躍的主體是人，現代社會企業(yè)的競爭，從根本上說是人才的競爭，誰能擁有高素質的人才，誰就能在現代社會的激烈競爭中站穩(wěn)腳跟。一個企業(yè)想要留住員工，除了有豐厚的報酬以外，還要尊重員工。其中對員工個人信息的尊重就是其中重要的內容。大部分員工信息都涉及到個人的隱私，是需要保密的。由于員工的信息是動態(tài)的、累加的，并且可能會涉及多個部門，因此也是最容易發(fā)生泄漏的，不注意保密就有可能對相關者產生危害，從而危及企業(yè)的發(fā)展，所以說員工的信息安全是企業(yè)信息安全的重要組成部分。

    1．2物的信息安全

    企業(yè)的價值創(chuàng)造離不開物的基礎，創(chuàng)造本身又表現為物的創(chuàng)新。這些物的因素包括廠房等基礎設施設備、產品以及網絡系統(tǒng)，它們的產生過程包括了設計開發(fā)和創(chuàng)造智慧，對其管理離不開產生、開發(fā)、維護、創(chuàng)造這些物的信息。這些信息是企業(yè)最為重要的信息資源，它直接關系到企業(yè)的知識管理、知識產權維護和創(chuàng)新機制。

    1．3財的信息安全

    當今世界，無論企業(yè)屬于何種類型，從事哪種行業(yè)，規(guī)模大小如何，都會擁有自己的財務，這是一個企業(yè)作為獨立法人所必須具備的必不可少的條件。企業(yè)在財務管理的過程中必然會產生大量的財務信息。它是企業(yè)財政預算的權威數據材料，是企業(yè)經濟決策的信息支撐，是企業(yè)成本控制的重要依據，是企業(yè)一切經濟活動的過程控制和憑證呈現。企業(yè)的財務信息如果被窺視竊取，就會給這個企業(yè)的經營管理帶來重大的損失。

2 威脅企業(yè)信息安全的因素

    造成企業(yè)信息泄露的原因是多種多樣的，我們要有效地治理企業(yè)信息的泄密，就必須了解到哪些環(huán)節(jié)哪些方面是最可能造成泄密的，然后找準方向，重點推進，集中主要力量來解決。筆者認為，造成企業(yè)信息泄露主要有以下四種原因。

    2．1企業(yè)信息管理機制不健全

    首先，企業(yè)檔案部門作為企業(yè)的重要信息部門，其重要的意義在于積累和保存能為企業(yè)所用的記錄和信息，是企業(yè)信息控制的有效機制。而且企業(yè)的檔案也是企業(yè)信息的重要載體，企業(yè)的各種信息，例如人的信息、財的信息、物的信息都是以檔案的形式存在的，由此出現了大量的企業(yè)人事檔案、會計檔案以及設備、科技、產品檔案。由于各方面的原因，到目前為止，很多企業(yè)，特別是中小型企業(yè)還沒有意識到檔案管理的重要性，也沒有給予足夠的重視。導致檔案被分散在各個部門而且沒有專人管理，這不僅影響到企業(yè)檔案信息的完整性，而且還使得這些信息更容易丟失，給想要竊取企業(yè)信息的人提供了很好的契機，在很大程度上威脅到了企業(yè)的信息安全。與此同時，由于企業(yè)沒有樹立檔案異地保存的意識，這就使得在重大自然災害發(fā)生時，企業(yè)的信息安全遭遇毀滅性的破壞。例如，2008年的汶川地震，很多企業(yè)因為沒有對本公司的重要數據信息進行備份異地保存，造成了企業(yè)數據資料的丟失，使得企業(yè)在恢復重建上遇到了前所未有的阻力。

    其次，關于企業(yè)信息安全也沒有專門的管理方法，管理人員專注的只是企業(yè)產品的生產經營，對企業(yè)信息安全無暇顧及。

    2．2移動存儲設備利用不當

    科技高度發(fā)展的今天，電子產品日新月異，光盤、U盤、移動硬盤，mp3等可移動存儲的磁介質越來越小，裝載的信息量越來越多，使用越來越方便，這就給企業(yè)信息安全造成了一個潛在的威脅。例如，某大型油井鉆頭生產企業(yè)就由于公司的一位高工利用隨身攜帶的U盤拷貝了只有該公司才有的設備工藝圖紙，并將其賣給了對手企業(yè)，使該公司一年直接損失了2000萬元。

    2．3企業(yè)內部人員泄露

    內部員工信息安全意識不強，以及各種商業(yè)間諜的出現，使得員工在不經意或是故意間將企業(yè)的重要信息泄露出去�，F在職工辭職后為謀取個人自身利益，將企業(yè)的重要信息帶出變賣的案例時有發(fā)生。

    2．4網絡威脅

    現在基本上已是互聯(lián)網絡時代，互聯(lián)網的發(fā)展為病毒、木馬、黑客等的發(fā)展提供了最好的溫床。通過電子郵件，或者即時通訊軟件，幾個G的文件很容易被轉移到外部。同時網絡中也存在著木馬威脅，頑強的木馬可使整個公司網絡癱瘓．造成的經濟損失數額巨大。成為一段時間以來危害網絡安全的罪魁禍首。

3 構筑企業(yè)信息安全的“諾亞方舟”

    分析威脅企業(yè)信息安全的因素，我們就應該有針對性地采取措施，為企業(yè)信息安全擺脫困境提供高效可行的方法策略，構筑令其逃脫劫難的“諾亞方舟”。

    3．1構筑企業(yè)信息安全“諾亞方舟”的第一步——制度

    3．1．1完善企業(yè)信息管理體制

    1、完善企業(yè)信息安全管理制度

    信息安全防護應是“三分技術，七分管理”，可見，管理對于企業(yè)信息安全防范確實很重要。當前，不少企業(yè)信息安全體制(包括管理、培訓等)和制度還不健全，信息安全防護措施還不科學、系統(tǒng)，更不能嚴格執(zhí)行。普遍存在“重建設，輕管理”思想，在安全防護實踐中重視對信息防護系統(tǒng)中軟硬件購置和建設，忽視信息系統(tǒng)操作人員信息安全行為管理，導致軟硬件系統(tǒng)防護起不到應有的作用。

    為了維護信息安全，首先企業(yè)可以引進信息安全風險評估機制，定期進行風險評估，同時加大對企業(yè)信息安全的投入，將信息安全技術新技術應用的于生產實踐。其次，企業(yè)可以對不同部門的信息安全進行等級劃分，參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)等級保護安全設計技術要求》等國家標準為企業(yè)建立系統(tǒng)的信息安全保障體系，建立完整的信息管理機制，提升信息安全組織管理能力、風險控制能力、技術設施水平和服務能力，逐步建成先進實用、完整可靠的信息安全體系。

    2、完善企業(yè)檔案管理制度

    首先在企業(yè)檔案管理工作中需要分工協(xié)作，在職務范圍、責任、權利方面形成一定合理的結構體系。形成一個包括檔案工作分管領導、檔案部門、職能部門、項目負責人在內的自上而下的層層網絡，各部門各施其職，各負其責，共同促進本企業(yè)檔案工作的正常開展，保障企業(yè)的信息安全。

    其次，構建企業(yè)檔案工作管理制度，例如檔案管理、利用、備份恢復，特別是檔案的保密制度。威脅企業(yè)信息安全的主要原因就是對企業(yè)關系重大的檔案材料由于各種原因泄密，因此，有必要建立企業(yè)檔案工作保密管理制度，對泄密的人員給予嚴重的處罰，杜絕類似問題的再現。

    3．1．2完善企業(yè)信息安全的法律監(jiān)督機制

    我國現有的與信息安全有關的法律法規(guī)數量不少，但彼此之間缺乏聯(lián)系，難以組成統(tǒng)一的體系。對于同一問題，在多部法律當中都有規(guī)定，但這些規(guī)定不盡相同，甚至彼此矛盾。而對同一行為，則有多個行政處罰主體。同時法律法規(guī)建設滯后，在我國，法律的修改十分遲緩。如《中華人民共和國保護國家秘密法》己實施10多年了，當時制訂的時候互聯(lián)網技術并沒有普及。與此同時，企業(yè)內部關于信息安全的規(guī)章制度也很少，這就使得很多人鉆法律的空子，企業(yè)在發(fā)生信息安全事故時沒有相應的法律規(guī)章可以遵循，使得這些人從中謀取了暴利。因此，要想保障企業(yè)的信息安全，我們必須完善相應的法律制度，對哪些行為屬于違法犯罪以及怎樣處置給予明確的界定，讓人們有法可依。

    市場經濟是法治經濟，只有在法治的框架下市場才能有序運行。在法治的有效保障下，企業(yè)才能安全、高效的發(fā)展。因此，守法經營是對企業(yè)自身的最有效的保護。將企業(yè)的經營管理以及處理對內對外的各種關系完全納入法制軌道，是企業(yè)安全、有序發(fā)展的可靠保證。

    3．2構筑企業(yè)信息安全“諾亞方舟”的第二步——人

    以人為本是實現企業(yè)信息安全的保障。企業(yè)為了在當今這個信息化的世界獲得成功．使員工、客戶和合作伙伴通過信息化的方式高效地獲取信息，這樣同時也增加了信息安全的復雜性。企業(yè)實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。令人吃驚的是信息安全最大的威脅不是來自于技術，而是來自于人。CSI和FBI關于計算機犯罪和信息安全的做了一次調查，調查報告中指出，38％的受訪者表示信息安全事件主要來自于企業(yè)內部。

    入侵者往往是企業(yè)的合法用戶，他們有意或無意的闖入企業(yè)系統(tǒng)，并且造成某種商業(yè)影響的意外事件。大多數信息安全的漏洞源自人們有意或無意地濫用企業(yè)的信息。例如許多企業(yè)的員工隨意的泄露他們的密碼或者把它記在電腦旁的便簽上，為入侵者打開了方便之門。

    因此，在維護企業(yè)信息安全時，捌門首先需要對企業(yè)員工經常進行企業(yè)信息安全方面的培訓，做到警鐘長鳴，讓員工建立起信息安全意識哺’，告訴員工保護企業(yè)信息的措施方法，例如要求用戶在離開電腦時注銷他們的電腦系統(tǒng)，要求員工不要將公司系統(tǒng)的密碼泄露給其他外部人員，或者是要求系統(tǒng)用戶每一個月更新一次電腦密碼，要求他們能熟練安裝殺毒軟件和入侵檢測系統(tǒng)；另外，企業(yè)可以與員工簽訂保密協(xié)議，明確當信息泄露時相關人員的責任，讓員工了解到信息安全對企業(yè)的重要性，例如讓員工知道如果他們將企業(yè)信息置于安全威脅之中，企業(yè)所受到的損失以及由此帶來的一系列毀滅性的災害。

    3.3 構筑企業(yè)信息安全“諾亞方舟”的第三步——技術

    首先，由于認識能力和技術發(fā)展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，由此可能造成網絡的安全隱患。其次，網絡硬件、軟件產品多數依靠進口，如全球90％的微機都安裝微軟的Windows操作系統(tǒng)，許多網絡黑客就是通過微軟操作系統(tǒng)的漏洞和后門而進入網絡的。企業(yè)應當根據自己對信息安全的要求選擇合適的操作系統(tǒng)和應用軟件。目前可供企業(yè)選擇的防止信息安全漏洞的技術很多，例如防火墻技術、信息隱藏技術、密碼術、入侵檢測技術、身份認證技術、云安全等等，因此，在企業(yè)的運行中，我們應當結合企業(yè)身的狀況，選擇合適的安全技術，保障企業(yè)的信息安全。

4 結論

    隨著我國企業(yè)信息化建設的不斷推進，企業(yè)對信息的依存度越來越高，保證企業(yè)的信息安全是信息化的首要和核心任務。有了上述的防護措施，并不意味著我們的信息已經安全了。信息安全靠的是企業(yè)上下全體人員的努力。木桶原理用在這兒非常合適。企業(yè)信息安全的最終水準．是由最薄弱的那一環(huán)來決定的。所以，企業(yè)信息安全需要全體動員，共同建設。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.oesoe.com/

本文標題：構筑企業(yè)信息安全的“諾亞方舟”

本文網址：http://www.oesoe.com/html/support/1112189489.html