據美國媒體報道,名列《財富》全球1000強的大公司,平均每年發(fā)生2.45次的商業(yè)間諜事件,損失總額高達450億美元。世界上每2分鐘就有1個企業(yè)因為信息安全問題倒閉,有11個企業(yè)因為信息安全問題造成大約800多萬美元的直接經濟損失。在所有的信息安全事故中,由于內部員工的疏忽或有意泄密所造成的約占70%。全面開展保密工作,保護商業(yè)秘密安全,應成為企業(yè)的首要工作。忽視那些不易被察覺的小問題,我們的企業(yè)極可能會陷入困境,面臨“末日”。我們急需的是找到為企業(yè)安全擺脫困境的高效可行的方法策略,構筑令其逃脫劫難的“諾亞方舟”。
筆者認為,企業(yè)經營者在信任技術的同時,也應當從企業(yè)信息本身的內容和性質上來思考企業(yè)的信息安全這一問題。企業(yè)信息紛繁多樣,無論企業(yè)規(guī)模大小,每天都在產生著很多信息,一張報表、一份訂單、一項計劃、一次人事變動,一項研發(fā)成果等等,都是企業(yè)所產生的信息。其中很多信息常常被忽略,但不可否認的是,它們都存在或多或少的價值。
1 企業(yè)信息安全的基本內容
我們都知道,企業(yè)管理中最重要的“3M”理論,即企業(yè)管理主要是對人(man)、物(material)、財(money)的管理n1。在對這三者進行管理的過程中必然產生大量的信息,這些都是企業(yè)的核心信息,對企業(yè)的經營成敗具有關鍵的作用。因此,筆者認為,企業(yè)信息安全的基本內容包括人的信息安全、物的信息安全和財的信息安全。
1.1人的信息安全
眾所周知,企業(yè)中最為活躍的主體是人,現代社會企業(yè)的競爭,從根本上說是人才的競爭,誰能擁有高素質的人才,誰就能在現代社會的激烈競爭中站穩(wěn)腳跟。一個企業(yè)想要留住員工,除了有豐厚的報酬以外,還要尊重員工。其中對員工個人信息的尊重就是其中重要的內容。大部分員工信息都涉及到個人的隱私,是需要保密的。由于員工的信息是動態(tài)的、累加的,并且可能會涉及多個部門,因此也是最容易發(fā)生泄漏的,不注意保密就有可能對相關者產生危害,從而危及企業(yè)的發(fā)展,所以說員工的信息安全是企業(yè)信息安全的重要組成部分。
1.2物的信息安全
企業(yè)的價值創(chuàng)造離不開物的基礎,創(chuàng)造本身又表現為物的創(chuàng)新。這些物的因素包括廠房等基礎設施設備、產品以及網絡系統(tǒng),它們的產生過程包括了設計開發(fā)和創(chuàng)造智慧,對其管理離不開產生、開發(fā)、維護、創(chuàng)造這些物的信息。這些信息是企業(yè)最為重要的信息資源,它直接關系到企業(yè)的知識管理、知識產權維護和創(chuàng)新機制。
1.3財的信息安全
當今世界,無論企業(yè)屬于何種類型,從事哪種行業(yè),規(guī)模大小如何,都會擁有自己的財務,這是一個企業(yè)作為獨立法人所必須具備的必不可少的條件。企業(yè)在財務管理的過程中必然會產生大量的財務信息。它是企業(yè)財政預算的權威數據材料,是企業(yè)經濟決策的信息支撐,是企業(yè)成本控制的重要依據,是企業(yè)一切經濟活動的過程控制和憑證呈現。企業(yè)的財務信息如果被窺視竊取,就會給這個企業(yè)的經營管理帶來重大的損失。
2 威脅企業(yè)信息安全的因素
造成企業(yè)信息泄露的原因是多種多樣的,我們要有效地治理企業(yè)信息的泄密,就必須了解到哪些環(huán)節(jié)哪些方面是最可能造成泄密的,然后找準方向,重點推進,集中主要力量來解決。筆者認為,造成企業(yè)信息泄露主要有以下四種原因。
2.1企業(yè)信息管理機制不健全
首先,企業(yè)檔案部門作為企業(yè)的重要信息部門,其重要的意義在于積累和保存能為企業(yè)所用的記錄和信息,是企業(yè)信息控制的有效機制。而且企業(yè)的檔案也是企業(yè)信息的重要載體,企業(yè)的各種信息,例如人的信息、財的信息、物的信息都是以檔案的形式存在的,由此出現了大量的企業(yè)人事檔案、會計檔案以及設備、科技、產品檔案。由于各方面的原因,到目前為止,很多企業(yè),特別是中小型企業(yè)還沒有意識到檔案管理的重要性,也沒有給予足夠的重視。導致檔案被分散在各個部門而且沒有專人管理,這不僅影響到企業(yè)檔案信息的完整性,而且還使得這些信息更容易丟失,給想要竊取企業(yè)信息的人提供了很好的契機,在很大程度上威脅到了企業(yè)的信息安全。與此同時,由于企業(yè)沒有樹立檔案異地保存的意識,這就使得在重大自然災害發(fā)生時,企業(yè)的信息安全遭遇毀滅性的破壞。例如,2008年的汶川地震,很多企業(yè)因為沒有對本公司的重要數據信息進行備份異地保存,造成了企業(yè)數據資料的丟失,使得企業(yè)在恢復重建上遇到了前所未有的阻力。
其次,關于企業(yè)信息安全也沒有專門的管理方法,管理人員專注的只是企業(yè)產品的生產經營,對企業(yè)信息安全無暇顧及。
2.2移動存儲設備利用不當
科技高度發(fā)展的今天,電子產品日新月異,光盤、U盤、移動硬盤,mp3等可移動存儲的磁介質越來越小,裝載的信息量越來越多,使用越來越方便,這就給企業(yè)信息安全造成了一個潛在的威脅。例如,某大型油井鉆頭生產企業(yè)就由于公司的一位高工利用隨身攜帶的U盤拷貝了只有該公司才有的設備工藝圖紙,并將其賣給了對手企業(yè),使該公司一年直接損失了2000萬元。
2.3企業(yè)內部人員泄露
內部員工信息安全意識不強,以及各種商業(yè)間諜的出現,使得員工在不經意或是故意間將企業(yè)的重要信息泄露出去,F在職工辭職后為謀取個人自身利益,將企業(yè)的重要信息帶出變賣的案例時有發(fā)生。
2.4網絡威脅
現在基本上已是互聯(lián)網絡時代,互聯(lián)網的發(fā)展為病毒、木馬、黑客等的發(fā)展提供了最好的溫床。通過電子郵件,或者即時通訊軟件,幾個G的文件很容易被轉移到外部。同時網絡中也存在著木馬威脅,頑強的木馬可使整個公司網絡癱瘓.造成的經濟損失數額巨大。成為一段時間以來危害網絡安全的罪魁禍首。
3 構筑企業(yè)信息安全的“諾亞方舟”
分析威脅企業(yè)信息安全的因素,我們就應該有針對性地采取措施,為企業(yè)信息安全擺脫困境提供高效可行的方法策略,構筑令其逃脫劫難的“諾亞方舟”。
3.1構筑企業(yè)信息安全“諾亞方舟”的第一步——制度
3.1.1完善企業(yè)信息管理體制
1、完善企業(yè)信息安全管理制度
信息安全防護應是“三分技術,七分管理”,可見,管理對于企業(yè)信息安全防范確實很重要。當前,不少企業(yè)信息安全體制(包括管理、培訓等)和制度還不健全,信息安全防護措施還不科學、系統(tǒng),更不能嚴格執(zhí)行。普遍存在“重建設,輕管理”思想,在安全防護實踐中重視對信息防護系統(tǒng)中軟硬件購置和建設,忽視信息系統(tǒng)操作人員信息安全行為管理,導致軟硬件系統(tǒng)防護起不到應有的作用。
為了維護信息安全,首先企業(yè)可以引進信息安全風險評估機制,定期進行風險評估,同時加大對企業(yè)信息安全的投入,將信息安全技術新技術應用的于生產實踐。其次,企業(yè)可以對不同部門的信息安全進行等級劃分,參照《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)等級保護安全設計技術要求》等國家標準為企業(yè)建立系統(tǒng)的信息安全保障體系,建立完整的信息管理機制,提升信息安全組織管理能力、風險控制能力、技術設施水平和服務能力,逐步建成先進實用、完整可靠的信息安全體系。
2、完善企業(yè)檔案管理制度
首先在企業(yè)檔案管理工作中需要分工協(xié)作,在職務范圍、責任、權利方面形成一定合理的結構體系。形成一個包括檔案工作分管領導、檔案部門、職能部門、項目負責人在內的自上而下的層層網絡,各部門各施其職,各負其責,共同促進本企業(yè)檔案工作的正常開展,保障企業(yè)的信息安全。
其次,構建企業(yè)檔案工作管理制度,例如檔案管理、利用、備份恢復,特別是檔案的保密制度。威脅企業(yè)信息安全的主要原因就是對企業(yè)關系重大的檔案材料由于各種原因泄密,因此,有必要建立企業(yè)檔案工作保密管理制度,對泄密的人員給予嚴重的處罰,杜絕類似問題的再現。
3.1.2完善企業(yè)信息安全的法律監(jiān)督機制
我國現有的與信息安全有關的法律法規(guī)數量不少,但彼此之間缺乏聯(lián)系,難以組成統(tǒng)一的體系。對于同一問題,在多部法律當中都有規(guī)定,但這些規(guī)定不盡相同,甚至彼此矛盾。而對同一行為,則有多個行政處罰主體。同時法律法規(guī)建設滯后,在我國,法律的修改十分遲緩。如《中華人民共和國保護國家秘密法》己實施10多年了,當時制訂的時候互聯(lián)網技術并沒有普及。與此同時,企業(yè)內部關于信息安全的規(guī)章制度也很少,這就使得很多人鉆法律的空子,企業(yè)在發(fā)生信息安全事故時沒有相應的法律規(guī)章可以遵循,使得這些人從中謀取了暴利。因此,要想保障企業(yè)的信息安全,我們必須完善相應的法律制度,對哪些行為屬于違法犯罪以及怎樣處置給予明確的界定,讓人們有法可依。
市場經濟是法治經濟,只有在法治的框架下市場才能有序運行。在法治的有效保障下,企業(yè)才能安全、高效的發(fā)展。因此,守法經營是對企業(yè)自身的最有效的保護。將企業(yè)的經營管理以及處理對內對外的各種關系完全納入法制軌道,是企業(yè)安全、有序發(fā)展的可靠保證。
3.2構筑企業(yè)信息安全“諾亞方舟”的第二步——人
以人為本是實現企業(yè)信息安全的保障。企業(yè)為了在當今這個信息化的世界獲得成功.使員工、客戶和合作伙伴通過信息化的方式高效地獲取信息,這樣同時也增加了信息安全的復雜性。企業(yè)實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。令人吃驚的是信息安全最大的威脅不是來自于技術,而是來自于人。CSI和FBI關于計算機犯罪和信息安全的做了一次調查,調查報告中指出,38%的受訪者表示信息安全事件主要來自于企業(yè)內部。
入侵者往往是企業(yè)的合法用戶,他們有意或無意的闖入企業(yè)系統(tǒng),并且造成某種商業(yè)影響的意外事件。大多數信息安全的漏洞源自人們有意或無意地濫用企業(yè)的信息。例如許多企業(yè)的員工隨意的泄露他們的密碼或者把它記在電腦旁的便簽上,為入侵者打開了方便之門。
因此,在維護企業(yè)信息安全時,捌門首先需要對企業(yè)員工經常進行企業(yè)信息安全方面的培訓,做到警鐘長鳴,讓員工建立起信息安全意識哺’,告訴員工保護企業(yè)信息的措施方法,例如要求用戶在離開電腦時注銷他們的電腦系統(tǒng),要求員工不要將公司系統(tǒng)的密碼泄露給其他外部人員,或者是要求系統(tǒng)用戶每一個月更新一次電腦密碼,要求他們能熟練安裝殺毒軟件和入侵檢測系統(tǒng);另外,企業(yè)可以與員工簽訂保密協(xié)議,明確當信息泄露時相關人員的責任,讓員工了解到信息安全對企業(yè)的重要性,例如讓員工知道如果他們將企業(yè)信息置于安全威脅之中,企業(yè)所受到的損失以及由此帶來的一系列毀滅性的災害。
3.3 構筑企業(yè)信息安全“諾亞方舟”的第三步——技術
首先,由于認識能力和技術發(fā)展的局限性,在硬件和軟件設計過程中,難免留下技術缺陷,由此可能造成網絡的安全隱患。其次,網絡硬件、軟件產品多數依靠進口,如全球90%的微機都安裝微軟的Windows操作系統(tǒng),許多網絡黑客就是通過微軟操作系統(tǒng)的漏洞和后門而進入網絡的。企業(yè)應當根據自己對信息安全的要求選擇合適的操作系統(tǒng)和應用軟件。目前可供企業(yè)選擇的防止信息安全漏洞的技術很多,例如防火墻技術、信息隱藏技術、密碼術、入侵檢測技術、身份認證技術、云安全等等,因此,在企業(yè)的運行中,我們應當結合企業(yè)身的狀況,選擇合適的安全技術,保障企業(yè)的信息安全。
4 結論
隨著我國企業(yè)信息化建設的不斷推進,企業(yè)對信息的依存度越來越高,保證企業(yè)的信息安全是信息化的首要和核心任務。有了上述的防護措施,并不意味著我們的信息已經安全了。信息安全靠的是企業(yè)上下全體人員的努力。木桶原理用在這兒非常合適。企業(yè)信息安全的最終水準.是由最薄弱的那一環(huán)來決定的。所以,企業(yè)信息安全需要全體動員,共同建設。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.oesoe.com/
本文標題:構筑企業(yè)信息安全的“諾亞方舟”