導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇企業(yè)信息安全規(guī)劃，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

中圖分類號：TP309.2文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據(jù)來自eWeek 的消息，市場研究機(jī)構(gòu)Gartner 研究報告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務(wù)的壓力為主，因此他們對安全技術(shù)和服務(wù)的選擇和使用仍停留在一個相對較低的水平。尤其對于機(jī)構(gòu)構(gòu)成方式為分布式的企業(yè)而言，因?yàn)樾畔踩枨蠛筒渴鹣鄬Ω訌?fù)雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據(jù)這類分布式企業(yè)的特點(diǎn)提出了一種符合該類企業(yè)實(shí)際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標(biāo)

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風(fēng)險；突出重點(diǎn)，分級保護(hù)；統(tǒng)籌安排，分步實(shí)施；分級管理，責(zé)任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據(jù)分布式企業(yè)的實(shí)際機(jī)構(gòu)構(gòu)成情況、人員素質(zhì)情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標(biāo)

信息系統(tǒng)安全規(guī)劃的方法可以不同、側(cè)重點(diǎn)可以不同，但是需要圍繞組織安全、管理安全、技術(shù)安全進(jìn)行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應(yīng)該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護(hù)上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術(shù)規(guī)劃分別進(jìn)行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實(shí)施起到保駕護(hù)航的作用。信息系統(tǒng)安全規(guī)劃的目標(biāo)應(yīng)該與企業(yè)信息化的目標(biāo)是一致的，而且應(yīng)該比企業(yè)信息化的目標(biāo)更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標(biāo)展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標(biāo)

組織建設(shè)是信息安全建設(shè)的基本保證，信息安全組織的目標(biāo)是：

1）完善和形成一個獨(dú)立的、完整的、動態(tài)的、開放的信息安全組織架構(gòu)，達(dá)到國際國內(nèi)標(biāo)準(zhǔn)的要求；

2）打造一支具有專業(yè)水準(zhǔn)的、過硬本領(lǐng)的信息安全隊(duì)伍。對內(nèi)可以保障企業(yè)內(nèi)部網(wǎng)安全，對外可以向社會提供高品質(zhì)的安全服務(wù)；

3）建設(shè)一個 “信息安全運(yùn)維中心（SOC）”，能夠滿足當(dāng)前和未來的業(yè)務(wù)發(fā)展及信息安全組織運(yùn)轉(zhuǎn)的支撐系統(tǒng)，能夠?qū)ν馓峁┌踩?wù)平臺。

3.2 組織規(guī)劃實(shí)施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實(shí)現(xiàn)，其主要是在具體人事機(jī)制、管理機(jī)制和培訓(xùn)機(jī)制上做工作。對于分布式企業(yè)而言，需要主導(dǎo)部門從上層著手，建章立制，強(qiáng)化安全教育，加大基礎(chǔ)人力、財(cái)力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標(biāo)

信息安全管理規(guī)劃的目標(biāo)是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標(biāo)，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓(xùn)體系，一套信息安全風(fēng)險監(jiān)管機(jī)制，一套信息安全績效考核指標(biāo)?！捌咛仔畔踩洿胧标P(guān)系如圖1所示。

4.2 信息安全管理設(shè)計(jì)

基于對管理目標(biāo)的分析，信息安全管理的原則以風(fēng)險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風(fēng)險、保護(hù)措施組成。

4.2.1 信息安全等級劃分指標(biāo)

信息安全等級保護(hù)是國家在國民經(jīng)濟(jì)和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關(guān)于保護(hù)對象說明、保護(hù)必要性描述、保護(hù)責(zé)任人、保護(hù)對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產(chǎn)的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關(guān)于信息安全工作應(yīng)達(dá)到的要求，在信息安全規(guī)范方面，根據(jù)調(diào)查，建立信息安全管理規(guī)范、信息安全技術(shù)規(guī)范。其中，安全管理規(guī)范主要針對人員、團(tuán)隊(duì)、制度和資源管理提供參照性準(zhǔn)則；信息安全技術(shù)規(guī)范主要針對安全設(shè)計(jì)、施工、維護(hù)和操作提供技術(shù)性指導(dǎo)建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應(yīng)遵循的信息安全程序，其目的是減少安全隱患，降低風(fēng)險。

4.2.6 信息安全績效考核指標(biāo)

信息安全績效考核指標(biāo)是指針對信息安全工作的質(zhì)量和態(tài)度而給出的評價依據(jù)，其目的是增強(qiáng)信息安全責(zé)任意識，提高信息安全工作質(zhì)量。

4.2.7 信息安全監(jiān)管機(jī)制

信息安全監(jiān)管機(jī)制是指有關(guān)信息安全風(fēng)險的識別、分析和控制的措施總和。其主要目的加強(qiáng)信息安全風(fēng)險的控制，做到“安全第一，預(yù)防為主”。

4.2.8 信息安全教育培訓(xùn)體系

其主要目的加強(qiáng)的信息安全人才隊(duì)伍的建設(shè)，提高企業(yè)人員的信息安全意識和技能，增強(qiáng)企業(yè)信息安全能力。

5 信息安全技術(shù)規(guī)劃

5.1 技術(shù)規(guī)劃目標(biāo)

信息安全技術(shù)規(guī)劃目標(biāo)簡言之是：給業(yè)務(wù)運(yùn)營提供信息安全環(huán)境，為企業(yè)轉(zhuǎn)型提供契機(jī)，構(gòu)建信息安全服務(wù)支撐系統(tǒng)。具體目標(biāo)如下：

1）打造信息安全基礎(chǔ)環(huán)境，調(diào)整和優(yōu)化IT基礎(chǔ)設(shè)施，建立安全專網(wǎng)，設(shè)置兩個中心（信息安全運(yùn)維中心、災(zāi)備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調(diào)度、安全巡檢、認(rèn)證授權(quán)、安全防護(hù)、安全監(jiān)控、安全審計(jì)、應(yīng)急響應(yīng)、安全服務(wù)、安全測試、安全培訓(xùn)等功能，實(shí)現(xiàn)的集中安全管理控制，快速安全事件響應(yīng)，高可信的安全防護(hù)，拓展企業(yè)業(yè)務(wù)，開辟信息安全服務(wù)新領(lǐng)域。

5.2 信息安全運(yùn)維中心(SOC)

SOC 是信息安全體系建設(shè)的基礎(chǔ)性工作，SOC 承載用于監(jiān)控第一生產(chǎn)網(wǎng)的安全專網(wǎng)核心基礎(chǔ)設(shè)施，提供信息安全中心技術(shù)人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應(yīng)用服務(wù),提供實(shí)時監(jiān)控、遠(yuǎn)程入侵發(fā)現(xiàn)、事件響應(yīng)、安全更新與升級等業(yè)務(wù)，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設(shè)、基礎(chǔ)工程外，SOC 的技術(shù)性工作還要做以下幾個方面：

1）硬件基礎(chǔ)建設(shè)，主要內(nèi)容是SOC 的選址、布局、布線、系統(tǒng)集成，實(shí)現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎(chǔ)建設(shè)，包括SSS 系統(tǒng)、機(jī)房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關(guān)系

圖2 信息安全總體框架

圖3 資產(chǎn)、組織、管理和安全措施的關(guān)系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產(chǎn)品和應(yīng)用系統(tǒng)，為了保障安全，必須對這些IT 系統(tǒng)和產(chǎn)品做入網(wǎng)前安全檢查，消除安全隱患?；诖耍C合測試環(huán)境建設(shè)的內(nèi)容包括：安全測試網(wǎng)絡(luò)；測試系統(tǒng)設(shè)備；安全測試工具；安全測試分析系統(tǒng)；安全測試知識庫。

其中，安全測試網(wǎng)絡(luò)要求能夠模擬企業(yè)網(wǎng)絡(luò)真實(shí)的帶寬；測試系統(tǒng)設(shè)備能夠提供典型的網(wǎng)絡(luò)服務(wù)流量模擬、典型的應(yīng)用系統(tǒng)流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應(yīng)急恢復(fù)類、管理類等，并提供使用說明、漏洞掃描、應(yīng)用安全分析；安全測試分析系統(tǒng)能夠提供統(tǒng)計(jì)分析、圖表展現(xiàn)功能；安全知識庫包含以下內(nèi)容：漏洞知識庫，補(bǔ)丁信息庫，安全標(biāo)準(zhǔn)知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產(chǎn)品知識庫，安全概念和術(shù)語知識庫。

5.4 安全平臺建設(shè)規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設(shè)計(jì)如圖2所示。

主要目的，以資產(chǎn)為核心，通過安全組織實(shí)現(xiàn)資產(chǎn)保護(hù)，以安全管理來約束組織的行為，以技術(shù)手段輔助安全管理。其中，資產(chǎn)、組織、管理、安全措施的關(guān)系如圖3所示，核心為資產(chǎn)，圍繞資產(chǎn)是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機(jī)制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認(rèn)證授權(quán)；信息安全防護(hù)；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應(yīng)急響應(yīng)；信息安全教育培訓(xùn)；信息安全服務(wù)。

6 信息安全服務(wù)業(yè)務(wù)規(guī)劃

6.1 服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)

信息安全服務(wù)業(yè)務(wù)規(guī)劃目標(biāo)簡言之是：以信息安全服務(wù)為切入點(diǎn)，充分發(fā)揮企業(yè)優(yōu)勢資源，引領(lǐng)信息安全市場，為企業(yè)轉(zhuǎn)型創(chuàng)造時機(jī)。具體目標(biāo)如下：

1）推出面向客戶安全（檢查、教育、配置）產(chǎn)品；2）推出面向大型企業(yè)的信息安全咨詢產(chǎn)品；3）推出面向家庭安全上網(wǎng)產(chǎn)品；4）推出面向企業(yè)安全運(yùn)維產(chǎn)品；5）推出面向企業(yè)災(zāi)害恢復(fù)產(chǎn)品。

6.2 服務(wù)業(yè)務(wù)規(guī)劃設(shè)計(jì)

服務(wù)業(yè)務(wù)規(guī)劃主要針對具體業(yè)務(wù)而言，在此列舉信息類分布式企業(yè)業(yè)務(wù)作為示例：

1）信息安全咨詢類產(chǎn)品，其服務(wù)功能主要有：信息安全風(fēng)險評估；信息安全規(guī)劃設(shè)計(jì)；信息安全產(chǎn)品顧問。

2）信息安全教育培訓(xùn)類產(chǎn)品，其服務(wù)功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運(yùn)維教育。

3）家庭類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：推出“家庭綠色上網(wǎng)”安全服務(wù)；家庭上網(wǎng)防病毒服務(wù)；家庭上網(wǎng)機(jī)器安全檢查服務(wù)；家庭上網(wǎng)機(jī)數(shù)據(jù)備份服務(wù)。

4）企業(yè)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：企業(yè)安全上網(wǎng)控制服務(wù)；企業(yè)安全專網(wǎng)服務(wù)；安全信息通告；企業(yè)運(yùn)維服務(wù)。

5）容災(zāi)類安全服務(wù)產(chǎn)品，其服務(wù)功能主要有：面向政府?dāng)?shù)據(jù)災(zāi)備服務(wù)；面向政府信息系統(tǒng)災(zāi)備服務(wù)；面向企業(yè)數(shù)據(jù)災(zāi)備服務(wù)；面向企業(yè)信息系統(tǒng)災(zāi)備服務(wù)。

7 結(jié)束語

通過結(jié)合分布式企業(yè)的具體實(shí)際，按照信息安全體系結(jié)構(gòu)相關(guān)標(biāo)準(zhǔn)，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標(biāo)。并依據(jù)次原則與目標(biāo)，按照組織、管理和技術(shù)三個方面提出了具體的實(shí)現(xiàn)與設(shè)計(jì)規(guī)范原則。最后，依據(jù)服務(wù)規(guī)劃目標(biāo)，提出了信息類分布式企業(yè)的信息安全服務(wù)規(guī)劃設(shè)計(jì)實(shí)例。

參考文獻(xiàn)：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網(wǎng)絡(luò)信息安全防御體系探討[J].河北省科學(xué)院學(xué)報，2006,23,(1):25～28.

[4] 張慶華. 信息網(wǎng)絡(luò)動態(tài)安全體系模型綜述[J].計(jì)算機(jī)應(yīng)用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術(shù)安全評估的系列標(biāo)準(zhǔn)[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標(biāo)準(zhǔn)[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

篇2

一、前言

隨著金川集團(tuán)公司跨國經(jīng)營戰(zhàn)略的實(shí)施，企業(yè)信息化進(jìn)程不斷深入，企業(yè)信息安全己經(jīng)引起公司領(lǐng)導(dǎo)的的高度重視，但依然存在不少問題。調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的原因有很多，一是安全技術(shù)保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達(dá)不到預(yù)想的目標(biāo);二是應(yīng)急反應(yīng)體系沒有經(jīng)?；?、制度化;三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。其中，由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的80%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。近年來，雖然使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，但是，很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平還比較低。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。

二、企業(yè)信息資源安全管理體系構(gòu)建

1、企業(yè)信息安全組織管理

企業(yè)信息安全組織體系定義為一個三層的組織，組織架構(gòu)如圖所示:

企業(yè)信息安全組織

l)總經(jīng)理通過總經(jīng)辦負(fù)責(zé)企業(yè)信息、安全的決策事項(xiàng)。2)總經(jīng)理任命一名信息安全主管負(fù)責(zé)企業(yè)信息安全的風(fēng)險管理，該主管領(lǐng)導(dǎo)一個有各個部門主要負(fù)責(zé)人參加的信息安全管理小組維護(hù)企業(yè)信息安全管理體系、管理企業(yè)信息安全風(fēng)險。3)總經(jīng)理任命一名信息安全審計(jì)師，負(fù)責(zé)企業(yè)信息安全活動的審計(jì)。4)行政部門、業(yè)務(wù)部門和分支機(jī)構(gòu)執(zhí)行信息安全管理體系中的相應(yīng)安全政策，并在信息安全管理主管的領(lǐng)導(dǎo)下，實(shí)施風(fēng)險管理計(jì)劃。各個部門負(fù)責(zé)人有義務(wù)向信息安全主管報告所管轄部門的信息安全狀況，信息安全主管應(yīng)定期在組織范圍內(nèi)和向上級機(jī)關(guān)報告企業(yè)信息安全狀況。

2、企業(yè)信息安全政策管理

根據(jù)企業(yè)信息安全風(fēng)險分析的結(jié)果和信息安全政策制定的原則，設(shè)計(jì)信息安全政策體系包括以下幾點(diǎn)：（1）企業(yè)信息安全風(fēng)險管理政策：a)信息安全風(fēng)險定義，包括風(fēng)險等級定義和安全類別定義;b)信息安全風(fēng)險評估執(zhí)行要求，包括時問周期要求、范圍要求、基于事件的風(fēng)險評估要求:c)信息安全風(fēng)險評估責(zé)任，包括信息安全管理人員責(zé)任和業(yè)務(wù)部門責(zé)任。（2）企業(yè)信息安全體系管理政策：a)管理體系的規(guī)劃，包括規(guī)劃的時機(jī)、規(guī)劃的內(nèi)容、規(guī)劃的依據(jù)、規(guī)劃的責(zé)任人:b)管理體系的實(shí)施，包括、培訓(xùn)、執(zhí)行獎懲。c)管理體系的驗(yàn)證，包括周期管理評審、安全審計(jì)、事件評審、殘留風(fēng)險評估。d)管理體系的改進(jìn)，包括分析和變更控制。（3）病毒抵御安全政策：a)操作程序一運(yùn)行網(wǎng)絡(luò)管理人員日常工作的程序。這部分安全政策主要控制的風(fēng)險是不規(guī)范的管理活動造成無效或低效的管理。b)關(guān)鍵資源監(jiān)控一識別出關(guān)鍵設(shè)備并對關(guān)鍵設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控。這部分安全政策主要控制的風(fēng)險是關(guān)鍵資源異常情況不能被及時發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護(hù)一對軟件系統(tǒng)及時地升級和打補(bǔ)丁。這部分安全政策主要控制的風(fēng)險是軟件系統(tǒng)未及時升級和/或打補(bǔ)丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業(yè)務(wù)進(jìn)行過程中產(chǎn)生的敏感信息的存放管理。這部分安全政策主要控制的風(fēng)險是由于對敏感資料存儲不當(dāng)導(dǎo)致資料的丟失或泄漏。

3、企業(yè)信息安全事件管理

目前，沒有任何一種具有代表性的信息安全策略或防護(hù)措施可對信息、信息系統(tǒng)、服務(wù)或網(wǎng)絡(luò)提供絕對的保護(hù)。即使采取了防護(hù)措施，仍可能存在殘留的弱點(diǎn)，使得信息安全防護(hù)變得無效，從而導(dǎo)致信息安全事件發(fā)生，并對企業(yè)的業(yè)務(wù)運(yùn)行直接或間接地產(chǎn)生負(fù)面影響。此外，以前未被認(rèn)識到的威脅也將會不可避免地發(fā)生。企業(yè)如果對如何應(yīng)對這些事件沒有作好充分準(zhǔn)備，其任何實(shí)際響應(yīng)的效率都會大打折扣，甚至還可能增加潛在的業(yè)務(wù)負(fù)面影響。因此，企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應(yīng)著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括：（1）發(fā)現(xiàn)和報告發(fā)生的信息安全事態(tài)，無論是由企業(yè)人員／顧客引起的還是自動發(fā)生的（如防火墻警報）。（2）收集有關(guān)信息安全事態(tài)的信息，由企業(yè)的運(yùn)行支持組人員進(jìn)行評估，確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報。確認(rèn)該事態(tài)是否屬于信息安全事件，如果是，則立即作出響應(yīng)，同時啟動必要的法律取證分析、溝通活動。（3）進(jìn)行評審以確定該信息安全事件是否處于控制下。（4）如果處于控制下，則啟動任何所需要的進(jìn)一步的后續(xù)響應(yīng)，以確保所有相關(guān)信息準(zhǔn)備完畢，供事件解決后評審所用。（5）如果不在控制下，則采取“危機(jī)求助”活動并召集相關(guān)人員，如企業(yè)中負(fù)責(zé)業(yè)務(wù)連續(xù)性的管理者和工作組。（6）在整個階段按要求進(jìn)行上報，以便進(jìn)一步評估和決策。（7）確保所有相關(guān)人員，正確記錄所有活動以備后面分析所用。（8）確保對電子證據(jù)進(jìn)行收集和安全保存，同時確保電子證據(jù)的安全保存得到持續(xù)監(jiān)視，以備法律起訴或內(nèi)部處罰所需。（9）確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護(hù)，從而使得信息安全事態(tài)／事件數(shù)據(jù)庫保持最新。

4、企業(yè)信息安全技術(shù)管理

我們所構(gòu)建的信息安全管理體系中，不能忽視技術(shù)的作用，雖然只使用技術(shù)控制不能保證一個信息安全環(huán)境，但是在通常情況下，它是信息安全項(xiàng)目的基礎(chǔ)部分。（1）密碼服務(wù)技術(shù)。密碼服務(wù)技術(shù)為密碼的有效應(yīng)用提供技術(shù)支持。通常密碼服務(wù)系統(tǒng)由密碼芯片、密碼模塊、密碼機(jī)或軟件，以及密碼服務(wù)接口構(gòu)成。通常，企業(yè)會涉及以下幾個方面的密碼應(yīng)用：數(shù)字證書運(yùn)算、密鑰加密運(yùn)算、數(shù)據(jù)傳輸、數(shù)據(jù)儲存、數(shù)字簽名、數(shù)字信封。（2）故障恢復(fù)技術(shù)。故障恢復(fù)的主要措施有：群集配置，由多臺計(jì)算機(jī)組成群集結(jié)構(gòu)，盡可能消除整個系統(tǒng)可能存在的單點(diǎn)故障；雙機(jī)熱備份，在任何一臺設(shè)備失效的情況下，按照預(yù)先定義的規(guī)則快速切換至相應(yīng)的備份設(shè)備，維持業(yè)務(wù)的正常運(yùn)行；故障恢復(fù)管理，由專門的集群軟件進(jìn)行管理和監(jiān)控，使應(yīng)用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時，能夠根據(jù) 故障情況重新分配任務(wù)。（3）惡意代碼防范技術(shù)：惡意代碼防范技術(shù)包括四大系統(tǒng)：病毒查殺系統(tǒng)、網(wǎng)關(guān)防毒系統(tǒng)、群件防毒系統(tǒng)、集中管理系統(tǒng)。（4）入侵檢測技術(shù)。入侵檢測系統(tǒng)是實(shí)現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統(tǒng)以實(shí)時方式監(jiān)測網(wǎng)絡(luò)通信，對其進(jìn)行分析并實(shí)時安全預(yù)警，從而使企業(yè)能夠有效管理內(nèi)部人員和資源，并對外部攻擊進(jìn)行早期預(yù)警和跟蹤，有效保障系統(tǒng)安全?；谥鳈C(jī)的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。通過比較這些審計(jì)記錄文件與攻擊簽名是否匹配，如果匹配立即報警采取行動.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。它是利用網(wǎng)絡(luò)適配器來實(shí)時監(jiān)視并分析通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。（5）掃描與分析技術(shù)。端口掃描工具能識別網(wǎng)絡(luò)上活動的計(jì)算機(jī)，同樣也可以識別這些計(jì)算機(jī)上的活動端口和服務(wù)?？梢話呙杼囟愋偷挠?jì)算機(jī)、協(xié)議和資源，也可進(jìn)行普遍掃描。漏洞掃描可以掃描網(wǎng)絡(luò)并得到非常詳細(xì)的信息?？梢宰R別暴露的用戶名和組，顯示開放的網(wǎng)絡(luò)共享，并暴露配置問題和其他服務(wù)器漏洞。內(nèi)容過濾器也能有效地保護(hù)機(jī)構(gòu)系統(tǒng)，使其不受誤用和無意的拒絕服務(wù)。

5、企業(yè)信息安全培訓(xùn)的必要性

公司目前很多崗位和部門的員工都從事涉密數(shù)據(jù)相關(guān)工作，有很多數(shù)據(jù)和信息涉及到公司的機(jī)密和知識產(chǎn)權(quán)，但是大多數(shù)員工信息安全意識差，在平時的工作中在意識上和實(shí)際工作中存在很多問題，導(dǎo)致涉密數(shù)據(jù)的外漏，給公司的生產(chǎn)經(jīng)營造成不可挽回的損失。在有管理組織、政策制度和技術(shù)保障的情況下，通過對涉密數(shù)據(jù)相關(guān)工作人員的信息安全意識和信息安全操作培訓(xùn)是非常必要的。

三、結(jié)語

總之，企業(yè)信息安全管理體系是一個企業(yè)日常經(jīng)營和持續(xù)發(fā)展的基本保證，也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風(fēng)險對企業(yè)的危害。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個技術(shù)問題，而更多的是商業(yè)、管理和法律問題。實(shí)現(xiàn)信息安全不僅僅需要采用技術(shù)措施，還需要更多地借助于技術(shù)以外的其他手段。

篇3

在煙草行業(yè)運(yùn)營與生產(chǎn)管理活動中，信息化工具發(fā)揮著較為重要的作用，已初步搭建了較為完善的網(wǎng)絡(luò)架構(gòu)與內(nèi)部信息系統(tǒng)環(huán)境，成為煙草行業(yè)提升核心競爭力的重要基礎(chǔ)。與此同時，信息安全問題也日益突出，已成為導(dǎo)致煙草行業(yè)數(shù)據(jù)丟失等的關(guān)鍵因素。因而，深入分析煙草行業(yè)信息安全風(fēng)險與防控策略至關(guān)重要。

1煙草行業(yè)信息安全風(fēng)險

煙草行業(yè)在信息化建設(shè)中，主要具有如下幾個方面的信息安全問題。

1.1缺乏信息安全整體規(guī)劃

整體而言，相比于西方等經(jīng)濟(jì)發(fā)達(dá)國家，國內(nèi)信息安全技術(shù)發(fā)展相對滯后于網(wǎng)絡(luò)技術(shù)，這必然會造成煙草行業(yè)在應(yīng)用新型網(wǎng)絡(luò)技術(shù)產(chǎn)品時，信息安全技術(shù)顯得稍落后，難以保障煙草行業(yè)的信息安全。比如，部分煙草企業(yè)可能會選擇使用PS防御系統(tǒng)，但是在綜合權(quán)衡經(jīng)濟(jì)預(yù)算、信息安全實(shí)際應(yīng)用需求等后，最終并沒有決定使用性能最佳的信息安全產(chǎn)品，最終導(dǎo)致硬件難以滿足信息安全風(fēng)險防控的要求，這些均與煙草企業(yè)未制訂積極有效的信息安全整體規(guī)劃有較為緊密的關(guān)系。

1.2面臨外部信息安全威脅攻擊

在煙草企業(yè)經(jīng)營管理活動中，為了便于管理員工高效工作，允許企業(yè)員工在外網(wǎng)通過VPN的方式訪問煙草企業(yè)內(nèi)部的信息系統(tǒng)。另外，在煙草企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用過程中會有信息設(shè)備供應(yīng)商以及其他信息系統(tǒng)服務(wù)商等第三方的介入，這也會導(dǎo)致煙草企業(yè)在網(wǎng)絡(luò)應(yīng)用中會頻繁進(jìn)行內(nèi)外網(wǎng)連接，這給木馬、黑客等攻擊煙草企業(yè)網(wǎng)絡(luò)架構(gòu)以可乘之機(jī)。當(dāng)煙草企業(yè)網(wǎng)絡(luò)遭受攻擊后，很有可能會導(dǎo)致煙草行業(yè)信息系統(tǒng)無法正常應(yīng)用，致使煙草企業(yè)面臨來自外部的信息安全風(fēng)險。

1.3內(nèi)部信息安全控制不力

信息技術(shù)在持續(xù)發(fā)展，可供煙草企業(yè)選擇的信息設(shè)備以及信息系統(tǒng)也越來越多，大多數(shù)煙草企業(yè)已搭建起相對較為完整的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)以及應(yīng)用系統(tǒng)服務(wù)群，包括生產(chǎn)銷售管理平臺、OA辦公平臺、綜合服務(wù)管理平臺等，這對于煙草企業(yè)正常的經(jīng)營管理以及決策管理起到關(guān)鍵的作用，大大提升了煙草企業(yè)的辦公效率。然而，煙草企業(yè)在利用信息技術(shù)獲得便利的同時，也面臨著來自內(nèi)部信息安全控制不力的風(fēng)險，包括不良網(wǎng)絡(luò)信息沖擊員工正確價值觀，以及煙草企業(yè)內(nèi)部員工較大的流動性給信息安全風(fēng)險防控所帶來的負(fù)面影響。

1.4員工信息安全意識薄弱

較強(qiáng)的員工信息安全意識，是提升煙草行業(yè)信息安全等級的重要渠道。在信息技術(shù)應(yīng)用持續(xù)深化的情況下，傳統(tǒng)的管理人員已難以滿足信息時代下企業(yè)發(fā)展的需求。另外，當(dāng)前部分煙草企業(yè)信息安全管理團(tuán)隊(duì)不完善，以及管理人員自身的信息安全意識較為薄弱，領(lǐng)導(dǎo)對信息安全管理工作不重視，或者員工存在僥幸心理，都會致使煙草企業(yè)產(chǎn)生不同程度的信息安全事故。

2煙草行業(yè)信息安全防控策略

針對當(dāng)前煙草企業(yè)所面臨的信息安全風(fēng)險，建議從如下幾個方面制定防范策略。

2.1科學(xué)高效地開展信息安全規(guī)劃

科學(xué)、合理地規(guī)劃煙草企業(yè)信息安全架構(gòu)，是煙草企業(yè)防范信息安全風(fēng)險的重要基礎(chǔ)。首先，應(yīng)根據(jù)信息安全的未來發(fā)展方向制訂煙草企業(yè)的信息安全發(fā)展規(guī)劃，以確保煙草企業(yè)所采取的防范措施符合整體發(fā)展方向，避免走錯方向、浪費(fèi)資金投入。其次，應(yīng)緊密結(jié)合煙草企業(yè)的信息化建設(shè)現(xiàn)狀與存在的問題規(guī)劃信息安全發(fā)展方向。煙草企業(yè)的不同發(fā)展規(guī)劃，對信息安全的管理需求有所不同，這就要求煙草企業(yè)緊密結(jié)合自身的信息安全發(fā)展需求，制定更具針對性的信息安全風(fēng)險防控策略，以更高效地規(guī)避內(nèi)部隱患、外部攻擊。

2.2完善加密手段，構(gòu)建加密渠道

在制訂了科學(xué)合理的信息安全防范規(guī)劃后，就應(yīng)采取加密信息的手段，構(gòu)建更為合理的加密渠道。比如，煙草企業(yè)在信息化建設(shè)中應(yīng)要求信息技術(shù)人員研發(fā)信息加密的多樣化手段，構(gòu)建更為豐富的加密渠道，從而提升煙草信息平臺的安全性。同時，還應(yīng)加強(qiáng)煙草企業(yè)內(nèi)部應(yīng)用系統(tǒng)以及數(shù)據(jù)庫的備份工作。再如，在實(shí)際管理中，煙草企業(yè)可以要求信息技術(shù)人員通過訪問控制、數(shù)字簽名、身份認(rèn)證多種方式，以達(dá)到煙草企業(yè)防范信息安全風(fēng)險的要求，還可以要求各個信息系統(tǒng)使用方妥善保管各個信息系統(tǒng)的登錄密碼，不允許使用復(fù)雜度過低的密碼，應(yīng)根據(jù)信息安全規(guī)范要求制定密碼復(fù)雜度規(guī)則，以提升信息系統(tǒng)訪問安全性。同時，還應(yīng)定期提醒或要求用戶更改密碼，以達(dá)到安全管控的目的。

2.3做好企業(yè)內(nèi)部數(shù)據(jù)備份與恢復(fù)工作

內(nèi)部數(shù)據(jù)丟失風(fēng)險，是當(dāng)前煙草企業(yè)信息安全風(fēng)險之一。積極做好企業(yè)內(nèi)部數(shù)據(jù)備份與恢復(fù)工作，是規(guī)避數(shù)據(jù)丟失風(fēng)險的重要方式之一。首先，應(yīng)做好內(nèi)部數(shù)據(jù)備份工作。比如，積極搭建異地?cái)?shù)據(jù)災(zāi)備中心，選擇一個相對安全的地方進(jìn)行數(shù)據(jù)備份。選擇性能更為強(qiáng)大、安全等級更高的備份系統(tǒng)，以更高效地執(zhí)行數(shù)據(jù)備份，并且不影響其他應(yīng)用系統(tǒng)的正常使用。其次，定期執(zhí)行數(shù)據(jù)模擬恢復(fù)操作。部分煙草企業(yè)認(rèn)為，只要定期完成內(nèi)部數(shù)據(jù)備份工作便可確保煙草企業(yè)數(shù)據(jù)安全，忽視了備份數(shù)據(jù)的有效性。而積極開展模擬恢復(fù)操作，是確保所備份數(shù)據(jù)有效性的重要方法。因而，煙草企業(yè)應(yīng)定期開展積極有效的模擬恢復(fù)操作，以確保所備份的數(shù)據(jù)是可用的，切實(shí)保護(hù)煙草企業(yè)的信息安全。

2.4重視培訓(xùn)提升員工信息安全意識

員工較高的信息安全意識，是煙草企業(yè)防范各種信息安全風(fēng)險的重要保障。首先，應(yīng)重視員工信息安全意識培訓(xùn)工作。煙草企業(yè)信息主管部門，在實(shí)際信息管理活動中，應(yīng)定期或者不定期組織員工參與安全培訓(xùn)，或者通過微課的方式向員工們宣傳信息安全知識。其次，應(yīng)重視網(wǎng)絡(luò)使用規(guī)范或者應(yīng)用系統(tǒng)應(yīng)用規(guī)范，以在規(guī)范員工信息行為的同時提升所有員工的信息安全意識，從而更為有效地規(guī)避信息安全風(fēng)險。對于員工使用基礎(chǔ)網(wǎng)絡(luò)或系統(tǒng)過程中所存在的信息安全隱患，信息主管部門應(yīng)針對這些案例進(jìn)行整理，形成宣傳文案，以提高所有員工的警惕性。

3結(jié)語

煙草業(yè)在信息建設(shè)中將面臨著各種信息安全隱患，這要求信息建設(shè)管理人員從制訂信息安全建設(shè)規(guī)劃、完善加密手段、做好內(nèi)部數(shù)據(jù)備份工作以及提升員工安全意識等方面入手，切實(shí)提升信息安全等級，保護(hù)信息建設(shè)成果。

作者:毛紀(jì)輝 單位:遼寧省煙草公司丹東市公司

參考文獻(xiàn)

篇4

【中圖分類號】F270.7【文獻(xiàn)標(biāo)識碼】A【文章編號】1006-4222（2016）01-0247-02

新時期下，信息化技術(shù)在各行業(yè)中運(yùn)用日漸深入，給企業(yè)現(xiàn)代化建設(shè)與快速發(fā)展帶來了無限動力。企業(yè)信息化建設(shè)已成為我國經(jīng)濟(jì)信息化建設(shè)能否成功的關(guān)鍵所在，也是提升企業(yè)自身市場競爭力與企業(yè)升級進(jìn)步的重要保證和標(biāo)志[1]。但是，企業(yè)信息化建設(shè)過程中不可避免的出現(xiàn)信息安全問題，給企業(yè)正常生產(chǎn)經(jīng)營帶來諸多不利影響。因此，加強(qiáng)企業(yè)信息化建設(shè)中信息安全管理，已成為現(xiàn)代企業(yè)經(jīng)營管理的一個至關(guān)重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實(shí)現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網(wǎng)絡(luò)化管理，實(shí)行企業(yè)運(yùn)行的自動化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設(shè)涉及了企業(yè)生產(chǎn)經(jīng)營中的各個部門，其主要利用現(xiàn)代化信息技術(shù)，通過完善企業(yè)內(nèi)外網(wǎng)絡(luò)信息系統(tǒng)，實(shí)現(xiàn)對企業(yè)內(nèi)外知識與信息資源的開發(fā)?？梢?，建設(shè)企業(yè)信息化體系，不但可以及時有效的提供各種數(shù)據(jù)信息給企業(yè)決策層，也為企業(yè)未來規(guī)劃設(shè)計(jì)提供參考依據(jù)，而且還有利于企業(yè)滿足瞬息萬變的市場需求，為企業(yè)市場核心競爭力的提升帶來動力。

2當(dāng)前企業(yè)信息化建設(shè)中信息安全問題

企業(yè)信息化建設(shè)與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當(dāng)前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導(dǎo)致企業(yè)內(nèi)部使用的信息系統(tǒng)易遭受外部網(wǎng)絡(luò)系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設(shè)施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運(yùn)行，而且其內(nèi)部機(jī)密信息易發(fā)生泄漏，造成企業(yè)嚴(yán)重的社會經(jīng)濟(jì)損失。（2）針對郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內(nèi)部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機(jī)密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴(yán)重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機(jī)制方面存在的諸多漏洞問題導(dǎo)致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對自身信息系統(tǒng)缺乏成熟的漏洞檢測手段和能力，往往事發(fā)后才采取補(bǔ)救措施。（4）是Web服務(wù)安全問題突出，根據(jù)Web服務(wù)流程，其發(fā)生安全問題的主要組成包括Web服務(wù)端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務(wù)端安全問題主要是企業(yè)Web主機(jī)遭受外部不法分子侵入，導(dǎo)致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機(jī)密信息與數(shù)據(jù)遭竊等。

3導(dǎo)致企業(yè)信息化建設(shè)中信息安全問題因素

企業(yè)信息化建設(shè)中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設(shè)過程中，對于信息安全問題重視度嚴(yán)重不足。一方面，受傳統(tǒng)經(jīng)營觀念影響，企業(yè)管理層偏重于對企業(yè)生產(chǎn)經(jīng)營中的有形資產(chǎn)給予關(guān)注與重視，而忽略了企業(yè)知識與信息資料等無形資源，導(dǎo)致在企業(yè)信息安全管理方面各項(xiàng)投入嚴(yán)重不足，進(jìn)而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對信息安全問題時，存在著盲目樂觀現(xiàn)象，認(rèn)為信息安全問題不至于導(dǎo)致企業(yè)正常生產(chǎn)經(jīng)營，使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進(jìn)而造成信息安全問題得不到及時有效解決。（2）由于企業(yè)信息化建設(shè)在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設(shè)中信息安全問題一方面無法得到有效的預(yù)防措施，另一方面是一旦發(fā)生信息安全問題，無法采取及時有效的補(bǔ)救與解決對策。同時，由于缺乏科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，使得企業(yè)信息管理人員缺乏必要的安全防護(hù)意識與業(yè)務(wù)素質(zhì)能力，致使企業(yè)信息安全防護(hù)軟硬件工作質(zhì)量與效率明顯不足。上述兩個因素，導(dǎo)致企業(yè)無論是從人員配置，還是資金與技術(shù)投入方面都嚴(yán)重不足，受企業(yè)信息管理人員業(yè)務(wù)素質(zhì)能力不足、信息安全技術(shù)方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護(hù)的措施、手段偏低，造成企業(yè)信息化建設(shè)存在著嚴(yán)重安全隱患。

4提升企業(yè)信息化建設(shè)中信息安全對策

針對當(dāng)前企業(yè)信息化建設(shè)中存在的信息安全問題，為加強(qiáng)企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉(zhuǎn)變傳統(tǒng)企業(yè)信息化建設(shè)觀念，在企業(yè)內(nèi)部管理層從上至下加強(qiáng)對企業(yè)信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓(xùn)等，增強(qiáng)全體企業(yè)員工信息安全意識，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設(shè)中信息安全管理各項(xiàng)資金、技術(shù)、人力投入，并建立科學(xué)、合理、有效的企業(yè)信息安全防護(hù)策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進(jìn)網(wǎng)絡(luò)信息技術(shù)的發(fā)展與運(yùn)用，促進(jìn)企業(yè)組織結(jié)構(gòu)網(wǎng)絡(luò)化的實(shí)現(xiàn)，同時引進(jìn)先進(jìn)的安全防護(hù)技術(shù)，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運(yùn)行。任何網(wǎng)絡(luò)信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關(guān)鍵方法就是安全防護(hù)技術(shù)的運(yùn)用。通過選用先進(jìn)的安全防護(hù)技術(shù)，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結(jié)合企業(yè)信息化建設(shè)實(shí)際情況，建立健全企業(yè)內(nèi)部信息系統(tǒng)管理體制。一方面，針對信息安全問題，應(yīng)建立科學(xué)、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運(yùn)行；另一方面，建立健全企業(yè)安全風(fēng)險評估機(jī)制，針對不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業(yè)信息安全風(fēng)險；此外，加強(qiáng)相應(yīng)的網(wǎng)絡(luò)管理，防止外來不法分子通過網(wǎng)絡(luò)侵入企業(yè)信息系統(tǒng)。（4）根據(jù)新時期企業(yè)信息化建設(shè)需要，加強(qiáng)企業(yè)信息技術(shù)人才、信息管理人才隊(duì)伍建設(shè)，為企業(yè)信息安全管理奠定堅(jiān)實(shí)的人才基礎(chǔ)。一方面，在企業(yè)內(nèi)部，加強(qiáng)信息技術(shù)人才培訓(xùn)，提高企業(yè)內(nèi)部相關(guān)人才業(yè)務(wù)素質(zhì)能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進(jìn)具有先進(jìn)信息技術(shù)型人才；此外，建立健全企業(yè)信息安全管理用人機(jī)制，激發(fā)員工工作積極性，提高工作質(zhì)量與效率。

5小結(jié)

總而言之，企業(yè)信息安全事關(guān)企業(yè)信息化建設(shè)是否成功，對于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關(guān)重要的作用。因此，應(yīng)提高企業(yè)信息安全管理意識，增強(qiáng)企業(yè)信息安全管理機(jī)制，促進(jìn)企業(yè)信息安全管理工作質(zhì)量與效率，保障企業(yè)信息化建設(shè)順利開展。

參考文獻(xiàn)

[1]毛志勇.企業(yè)信息化建設(shè)的信息安全形勢與對策研究[J].科技與產(chǎn)業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設(shè)的意義、問題與對策[J].吉林省經(jīng)濟(jì)管理干部學(xué)院學(xué)報，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設(shè)中的信息安全問題研究[J].企業(yè)導(dǎo)報，2014（06）：132~133.

篇5

在燃?xì)馄髽I(yè)中應(yīng)用GIS系統(tǒng)，既能對燃?xì)夤芫€進(jìn)行電子化圖檔管理，也能實(shí)時監(jiān)控天然氣管網(wǎng)規(guī)劃、搶修等情況。GIS通過將現(xiàn)有的管網(wǎng)及周邊地理狀況、管線、設(shè)備等信息，集成為管線集輸?shù)木C合信息，然后，實(shí)時傳輸和展現(xiàn)給燃?xì)馄髽I(yè)相關(guān)管理人員，從而為燃?xì)夤芫€運(yùn)行、設(shè)備維護(hù)和安全管理，提供全面、準(zhǔn)確的參考依據(jù)。

1．1．1．?dāng)?shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)

SCADA系統(tǒng)是燃?xì)夤艿缿?yīng)急系統(tǒng)的重要組成部分，是一項(xiàng)集實(shí)時工控與調(diào)度信息管理為一體的大型的計(jì)算機(jī)應(yīng)用系統(tǒng)。可以遠(yuǎn)程監(jiān)控與管理各門站、調(diào)壓站等站點(diǎn)，確保燃?xì)庀到y(tǒng)運(yùn)行高效、安全、經(jīng)濟(jì)運(yùn)行。

1．2事故處理方案決策優(yōu)化與管網(wǎng)風(fēng)險評價

1．2．1事故處理方案優(yōu)化決策

在燃?xì)庑袠I(yè)的日常工作中，如遇管網(wǎng)故障，發(fā)生危險，必須快速、有效的進(jìn)行應(yīng)急處置和救援。其具體流程一般如下:接獲任務(wù)并了解現(xiàn)場情況，相關(guān)人員迅速召開會議或電話、電視會議，制定搶修、救援方案，然后進(jìn)行搶修和救援。但是，搶修時間緊迫，這種處置流程不僅浪費(fèi)寶貴的時間和資源，也會受到人為主觀因素的影響，例如，意見不統(tǒng)一或決策失誤等，不僅延誤搶修和救援，甚至可能會導(dǎo)致二次事故。采用模糊評價法對燃?xì)夤芫W(wǎng)事故的解決方案進(jìn)行對比和遴選，通過定性和定量分析選擇最優(yōu)方案。首先利用模糊關(guān)鍵詞，采用定性和定量方法分析事故，然后以技術(shù)打分分配各因素權(quán)重，最后通過決策軟件實(shí)現(xiàn)方案的最優(yōu)選擇?？梢詫?shí)現(xiàn)在事故發(fā)生時，提供關(guān)鍵詞，即可獲得最佳的搶修方案，以排除人為主觀因素的干擾，更科學(xué)、更理性。

1．2．2管網(wǎng)風(fēng)險評價

不少燃?xì)馄髽I(yè)對管網(wǎng)安全評價重視不足，尤其缺乏對現(xiàn)役管線的風(fēng)險評價。對燃?xì)夤芫€的管理，僅僅做到定期運(yùn)行和巡檢是不夠的，還要更多的考慮到未來規(guī)劃的問題。例如，分幾期對管線進(jìn)行改造，改造又分為幾步，如何開展等等。通過建立管網(wǎng)仿真及安全評價系統(tǒng)，結(jié)合各管線屬性信息，例如腐蝕程度、第三方破壞程度、維檢修情況、壓力檢測等等，建立一個龐大的數(shù)據(jù)信息庫，全面考察管線危險性，得到危險等級排序，預(yù)測管線使用壽命，對未來管線更新及改造規(guī)劃提供理論指導(dǎo)。

2城市燃?xì)馄髽I(yè)信息安全探索

2．1信息安全的概念

根據(jù)GB/T22081－2008，所謂的信息安全就是通過采取有效策略，確保信息免受各種威脅、損害，從而保證業(yè)務(wù)連續(xù)性，并達(dá)到風(fēng)險最小、投資回報最優(yōu)。燃?xì)馄髽I(yè)信息安全，就是指燃?xì)馄髽I(yè)信息資產(chǎn)安全可靠，業(yè)務(wù)穩(wěn)定開展，不會受到系統(tǒng)自身和外來網(wǎng)絡(luò)病毒、黑客等的攻擊，如果出現(xiàn)安全事故，其損失可以降到最低。

2．2燃?xì)馄髽I(yè)管理存在的信息安全問題

2．2．1信息安全意識淡薄

當(dāng)代社會，信息載體多樣化，辦公電腦、存儲設(shè)備以及系統(tǒng)軟件使用不規(guī)范都容易導(dǎo)致信息泄露，在常見的搜索引擎上可以輕易的查詢到某燃?xì)馄髽I(yè)或大型公司企業(yè)的內(nèi)部文件，這些情況的發(fā)生，正是由于企業(yè)信息安全意識淡薄，對信息的傳播安全管理重視不夠?qū)е碌摹?/p>

2．2．2信息安全管理機(jī)制不健全

在網(wǎng)絡(luò)信息安全管理中，一般都強(qiáng)調(diào)“三分技術(shù)，七分管理”。由此可見，信息安全最重要的是管理的安全。安全與管理是密不可分的，信息防護(hù)技術(shù)只是信息安全的一部分，僅僅將投入放在這一方面是遠(yuǎn)遠(yuǎn)不夠的，缺乏完整、規(guī)范以及系統(tǒng)化的信息安全管理制度，將無法從根本上實(shí)現(xiàn)信息安全。

2．2．3信息安全技術(shù)人才缺乏

在燃?xì)馄髽I(yè)中，受傳統(tǒng)管理理念的影響，不少企業(yè)管理人員對于信息安全認(rèn)識及其重要性認(rèn)識不足，不注重企業(yè)信息安全管理人員和技術(shù)配備，導(dǎo)致企業(yè)信息安全管理水平不高。雖然最近幾年來，燃?xì)馄髽I(yè)信息化建設(shè)水平不斷提高，吸納了許多信息化技術(shù)人才，但是專業(yè)從事綜合性的信息安全管理工作人員比例仍然較低。

2．3信息安全建設(shè)中的關(guān)鍵問題分析

2．3．1準(zhǔn)確評估風(fēng)險大小，正確處置安全風(fēng)險

風(fēng)險評估的方法很多，燃?xì)馄髽I(yè)進(jìn)行信息安全風(fēng)險評估時，需要立足企業(yè)實(shí)際，根據(jù)GB/T20984－2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》，制定科學(xué)、合理的風(fēng)險評估流程，辨識完畢企業(yè)的信息安全風(fēng)險之后，要采取科學(xué)、合理的處置辦法:風(fēng)險接受、風(fēng)險規(guī)避、風(fēng)險減緩以及風(fēng)險轉(zhuǎn)移。

2．3．2重視人在燃?xì)馄髽I(yè)信息安全管理中的作用

企業(yè)管理中，最重要的因素就是人，人是信息安全的管理者，也是信息安全危險事件的誘發(fā)者，由于人為因素導(dǎo)致的信息安全事件不在少數(shù)。若要對企業(yè)職工進(jìn)行約束，首先要明確職工的信息安全管理職責(zé)，加強(qiáng)人員思想教育，通過教育和培訓(xùn)，在企業(yè)內(nèi)建立起良好的信息安全文化氛圍。

2．3．3細(xì)化信息資產(chǎn)分類，提高資產(chǎn)管理水平

在當(dāng)今，信息無疑是燃?xì)馄髽I(yè)寶貴的資源和資產(chǎn)，信息資產(chǎn)的管理應(yīng)當(dāng)做到:建立信息資產(chǎn)清單并規(guī)范管理;設(shè)定信息分類、等級并區(qū)分保存;信息標(biāo)記，并明確標(biāo)記內(nèi)容。尤其大量存儲數(shù)據(jù)信息的移動硬盤、廢舊電腦，簡單的格式化處理后，數(shù)據(jù)信息極易被還原，必須要通過物理銷毀、數(shù)據(jù)覆蓋或者不可逆專門處理工具進(jìn)行銷毀。

2．3．4加強(qiáng)信息安全事件管理，預(yù)防信息安全事件發(fā)生

通過有效的技術(shù)防范措施，比如在系統(tǒng)中安裝防火墻軟件、反病毒產(chǎn)品、定期備份數(shù)據(jù)等，對設(shè)備、網(wǎng)絡(luò)進(jìn)行定期檢查，及時處理過期、失效產(chǎn)品。同時，燃?xì)馄髽I(yè)還要建立完善的信息安全應(yīng)急處置預(yù)案，明確處置程序及各部門的職責(zé)，定期開展應(yīng)急演練，以提高信息安全應(yīng)急處置水平。

2．4燃?xì)馄髽I(yè)做好信息安全工作的幾點(diǎn)探索

2．4．1加強(qiáng)新型技術(shù)的應(yīng)用

如今，無線技術(shù)、互聯(lián)網(wǎng)技術(shù)、云技術(shù)等先進(jìn)的科學(xué)技術(shù)，已經(jīng)日益廣泛地融入企業(yè)日常工作，通過技術(shù)更新，企業(yè)信息技術(shù)應(yīng)用，也需要隨之而變。企業(yè)推進(jìn)新技術(shù)應(yīng)用的同時，應(yīng)當(dāng)加強(qiáng)入侵檢測、加密認(rèn)證、災(zāi)難備份技術(shù)等信息安全防護(hù)技術(shù)，確保企業(yè)在新的信息技術(shù)環(huán)境中實(shí)現(xiàn)信息安全建設(shè)。

篇6

中圖分類號：F840文獻(xiàn)標(biāo)識碼：A文章編號：1009-2374（2009）05-0072-02

當(dāng)前IT已成為企業(yè)業(yè)務(wù)發(fā)展和管理不可或缺的組成部分，其作用和影響力已從單一的業(yè)務(wù)部門擴(kuò)散到企業(yè)與組織的每一個領(lǐng)域。在IT系統(tǒng)給企業(yè)帶來活力、利潤和競爭力的同時，也給企業(yè)增加了風(fēng)險。因此如何充分利用IT系統(tǒng)獲得企業(yè)價值的最大化，并且最大限度地降低利用IT技術(shù)而帶來的風(fēng)險，成為每個企業(yè)都必須要真接面對的問題。本文從企業(yè)信息安全的需求為出發(fā)點(diǎn)，構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的企業(yè)信息安全管理體系，最終實(shí)現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

一、信息安全管理體系

從企業(yè)的內(nèi)部分析，搭建一套完整的安全架構(gòu)首先要做的就是根據(jù)企業(yè)能夠承受的風(fēng)險水平編寫企業(yè)安全規(guī)范。編寫企業(yè)的安全規(guī)范首先要遵循BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險管理的方法、控制目標(biāo)及控制方式和需要的保證程度。

BS 7799-2：2002所采用的過程模式如：“計(jì)劃－實(shí)施－檢查－措施”四個步驟，可簡單描述如下：

計(jì)劃：依照組織整個方針和目標(biāo)，建立與控制風(fēng)險、提高信息安全有關(guān)的安全方針、目標(biāo)、指標(biāo)、過程和程序。

實(shí)施：實(shí)施和運(yùn)作方針（過程和程序）。

檢查：依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測量，評估過程業(yè)績，并向決策者報告結(jié)果。

措施：采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績。

以上四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績效（Performance）螺旋上升。

二、企業(yè)信息安全體系架構(gòu)

根據(jù)BS 7799-2信息安全管理體系的標(biāo)準(zhǔn)，不同的企業(yè)對信息的安全需求不同，因此每個企業(yè)都要制定切實(shí)可行的信息安全架構(gòu)，不是照搬照抄其他企業(yè)的模式，或是把各種安全產(chǎn)品進(jìn)行堆砌，說到底企業(yè)的信息安全問題不只是技術(shù)上的問題，它是一個極其復(fù)雜的系統(tǒng)工程。要實(shí)施一個完整信息安全管理體系，至少應(yīng)包括三類措施：一是社會的法律政策、企業(yè)的規(guī)章制度以及信息安全教育等外部軟環(huán)境；二是信息安全的技術(shù)措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信、身份認(rèn)證、授權(quán)等；三是審計(jì)和管理措施，該方面措施同時包含了技術(shù)與社會措施。這些措施應(yīng)該均衡考慮企業(yè)在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且從應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全和物理安全等六大安全領(lǐng)域全面系統(tǒng)地實(shí)現(xiàn)企業(yè)的這些安全需求，從而構(gòu)建安全技術(shù)、管理和人員三個方面有機(jī)結(jié)合的企業(yè)信息安全保障體系如圖1所示：

該模型是一種從企業(yè)信息安全的需求（保密性、完整性、可用性）為出發(fā)點(diǎn)，以應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、桌面安全、物理安全為關(guān)注重點(diǎn)，層層剖析全面深入地挖掘企業(yè)的信息安全需求，構(gòu)建以管理、技術(shù)和人員三者有機(jī)結(jié)合的立體的企業(yè)信息安全保障體系。

這種企業(yè)信息安全管理架構(gòu)的規(guī)劃融合了管理和技術(shù)為核心的全面分析方法，以安全需求為焦點(diǎn)，從管理現(xiàn)狀、技術(shù)現(xiàn)狀和人員狀況三個維度，綜合采用調(diào)查問卷、人員訪談、現(xiàn)場察看、資料分析、技術(shù)檢測等多種手段，全面深入地挖掘需求。在明確需求的前提下，還要借鑒同類企業(yè)成功經(jīng)驗(yàn)，再規(guī)劃出符合企業(yè)實(shí)情的信息安全保障體系。

當(dāng)然該安全體系架構(gòu)的具體實(shí)施還要綜合考慮如下問題：成長型企業(yè)一方面要節(jié)約成本，一方面要把安全風(fēng)險降到最低。從這兩個出發(fā)點(diǎn)出發(fā)才能夠建立適合成長型企業(yè)的信息安全體系；計(jì)劃階段要評估自己的信息資產(chǎn)，自己的信息資產(chǎn)的價值有多大，現(xiàn)有的安全手段是什么，根據(jù)評估結(jié)果確立安全戰(zhàn)略；開始建立和實(shí)施自己的信息安全體系，擬定自己的戰(zhàn)略流程；對員工和合作伙伴的培訓(xùn)，建立信息監(jiān)測和安全的手段。

三、實(shí)施信息安全架構(gòu)的常規(guī)操作

在保證物理安全、桌面安全、網(wǎng)絡(luò)安全、主機(jī)安全的基礎(chǔ)上，信息安全架構(gòu)的常規(guī)操作包括數(shù)據(jù)層保護(hù)、應(yīng)用程序?qū)颖Ｗo(hù)、事件應(yīng)對檢查和安全操作。

數(shù)據(jù)層保護(hù)包括用EFS對文件進(jìn)行加密；用訪問控制列表限制數(shù)據(jù)；從默認(rèn)位置移動文件；創(chuàng)建數(shù)據(jù)備份和恢復(fù)；用Windows Rights Management Services保護(hù)文檔和電子文件等等。

應(yīng)用程序?qū)颖Ｗo(hù)包括只啟動必需的服務(wù)和功能；配置應(yīng)用程序安全設(shè)置；安裝應(yīng)用程序的安全更新程序；安裝和更新防病毒軟件；以最低權(quán)限運(yùn)行應(yīng)用程序等等。

事件應(yīng)對檢查包括確定正在遭受攻擊；確定攻擊類型；發(fā)出有關(guān)攻擊通知；遏制攻擊；采取預(yù)防性措施；將攻擊情況記錄存檔等等。

安全最佳做法包括深層防御；設(shè)計(jì)時考慮安全；最低權(quán)限；從過去的錯誤中學(xué)習(xí)；維持安全級別；加強(qiáng)用戶的安全意識；開發(fā)和測試事件應(yīng)對計(jì)劃和過程等等。

四、結(jié)論

綜上所述，企業(yè)要做到以信息為中心的安全，必須做到管理層面、組織層面和操作層面的有機(jī)結(jié)合，這樣才能建立有效的安全體系，從而實(shí)現(xiàn)企業(yè)安全建設(shè)的最終目標(biāo)。

參考文獻(xiàn)

[1]梁永生．電子商務(wù)安全技術(shù)[M]．大連理工大學(xué)出版社，2008，（4）．

[2]Mark Rhodes-Ousley，等．網(wǎng)絡(luò)安全完全手冊[M]．北京：電子工業(yè)出版社，2005，（10）．

篇7

引言：

計(jì)算機(jī)和網(wǎng)絡(luò)通信相結(jié)合的信息技術(shù)，是促進(jìn)當(dāng)代社會信息化發(fā)展的主要力量，為社會上各行各業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境。許多企業(yè)在經(jīng)營與管理中已經(jīng)引用現(xiàn)代信息技術(shù)，從而使經(jīng)營與管理更為科學(xué)，工作效率更高，獲得的經(jīng)濟(jì)效益也越多。然而現(xiàn)代信息技術(shù)是一把雙刃劍，信息化的程度越高，由它帶來的風(fēng)險也越大。當(dāng)前，企業(yè)的信息安全風(fēng)險評估工作存在著一些問題，這些問題對企業(yè)的發(fā)展造成很多不利的影響。

一、企業(yè)信息安全風(fēng)險概述

對企業(yè)來說，信息是維持企業(yè)正常運(yùn)作的必要資源。企業(yè)的信息包括重要的數(shù)據(jù)、企業(yè)的發(fā)展規(guī)劃、保密性文件、知識產(chǎn)權(quán)等。這些信息一旦被泄露，那么企業(yè)將面臨著或大或小的經(jīng)濟(jì)損失，更嚴(yán)重的還會使企業(yè)面臨破產(chǎn)的危險。所謂的企業(yè)信息安全就是指信息在其生命周期中，它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障，那么信息的安全性就高；如果其中的某個特性被破壞，那么信息的安全性就低。而信息安全風(fēng)險就是指信息在特定的環(huán)境與特定的時間里可能遭遇的安全威脅。

信息安全風(fēng)險可以分為可控性風(fēng)險與不可控風(fēng)險、可接受風(fēng)險與不可接受風(fēng)險、自然風(fēng)險與人為風(fēng)險等[1]，這些風(fēng)險給企業(yè)的信息安全管理工作帶來了更多的不確定因素，加深了工作難度。

二、企業(yè)信息安全風(fēng)險評估的現(xiàn)狀與問題

當(dāng)前，我國企業(yè)的信息安全風(fēng)險評估工作存在著許多問題，給企業(yè)的日常經(jīng)營與管理帶來了許多不利的影響。

首先，企業(yè)沒有樹立正確的信息安全觀。很多企業(yè)的管理者在信息安全問題上會走向兩個極端，一種是認(rèn)為只要加大信息建設(shè)的投入，信息就存在絕對安全的可能；另一種是忽視信息安全建設(shè)，信息安全風(fēng)險意識淡薄。很多企業(yè)的管理層對信息資產(chǎn)的重要性認(rèn)識不夠，因而他們在保護(hù)信息安全方面幾乎是無作為。

其次，企業(yè)在具體的信息安全風(fēng)險評估工作中，表現(xiàn)出重安全技術(shù)而輕安全管理的思想與行為方式。這些企業(yè)在工作過程當(dāng)中，不論是在心理還是在行為上都過分依賴安全技術(shù)，甚至認(rèn)為只要安全技術(shù)過硬，信息安全就一定能夠得到保證，為此，企業(yè)普遍采用現(xiàn)代通信技術(shù)、計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)信息安全系統(tǒng)。而在安全管理上，出現(xiàn)了管理措施不到位，員工在信息保密上不夠嚴(yán)肅等問題，造成信息安全技術(shù)做無用功。

此外，企業(yè)信息安全風(fēng)險評估工作還存在著管理制度不夠完善、責(zé)任劃分不夠明確等問題。信息安全風(fēng)險的評估工作需要收集各方面的大量的信息，如此才能增強(qiáng)評估的有效性。而企業(yè)由于管理制度不完善、職責(zé)劃分不明確等問題，造成各部門的工作不配合、不協(xié)調(diào)。信息技術(shù)部門被孤立，信息安全的風(fēng)險評估工作也就不能得到及時有效的完成。

最后，我國有些企業(yè)在信息安全風(fēng)險評估的技術(shù)與方法上落后于時代?，F(xiàn)代信息系統(tǒng)越往后發(fā)展，結(jié)構(gòu)就越復(fù)雜。這要求企業(yè)要根據(jù)不斷變化的信息技術(shù)來改進(jìn)自己的風(fēng)險管理理念和手段，同時也要吸收國際上的先進(jìn)信息安全風(fēng)險評估技術(shù)，保障自身的信息安全。

三、企業(yè)信息安全風(fēng)險的控制

企業(yè)信息安全問題對企業(yè)來說是不應(yīng)該被忽視的部分，企業(yè)應(yīng)該在經(jīng)營與管理的每個環(huán)節(jié)做好信息安全風(fēng)險的控制工作，使企業(yè)的重要信息能夠得到充分的保護(hù)。企業(yè)信息安全風(fēng)險的控制可以從風(fēng)險分析、管理控制、技術(shù)控制三個方面來進(jìn)行。

（一）風(fēng)險分析

在進(jìn)行信息安全風(fēng)險控制之前，先對風(fēng)險進(jìn)行分析可以使風(fēng)險控制工作更加具有針對性，能夠提高風(fēng)險控制工作的效率。對風(fēng)險的分析可以從信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)等方面來進(jìn)行[2]。在風(fēng)險分析工作中，要明確以下幾點(diǎn)：首先是信息安全風(fēng)險控制工作中需要保護(hù)哪些信息，這些信息具有什么樣的價值；信息資產(chǎn)面臨著哪些潛在的威脅，導(dǎo)致這些威脅產(chǎn)生的根源是什么，威脅發(fā)生的幾率有多大；信息資產(chǎn)中是否具有漏洞，這些漏洞是否會被人威脅利用；信息資產(chǎn)發(fā)生威脅之后，企業(yè)會面臨多大的損失；企業(yè)該采取什么樣的措施來應(yīng)對風(fēng)險帶來的損失，等等。

（二）管理控制

企業(yè)信息安全風(fēng)險控制工作主要從組織管理、人員管理、政策實(shí)施等幾個方面來進(jìn)行。首先，企業(yè)應(yīng)該建立信息安全組織機(jī)構(gòu)，吸收組織成員，協(xié)調(diào)企業(yè)內(nèi)部的各項(xiàng)資源，制定信息安全控制的目標(biāo)并通過組織成員履行職責(zé)來達(dá)到目標(biāo)。其次，企業(yè)要培養(yǎng)素質(zhì)高、責(zé)任心強(qiáng)、原則性強(qiáng)，能夠遵守企業(yè)政策的人員。企業(yè)信息安全風(fēng)險的控制不僅與強(qiáng)大的技術(shù)力量有關(guān)，而且還有賴于執(zhí)行人員對信息安全工作的支持與參與。此外，在政策實(shí)施上，企業(yè)要嚴(yán)格執(zhí)行相關(guān)的信息安全保護(hù)政策，比如目前國際通用的《信息技術(shù)―信息安全管理實(shí)施細(xì)則》[1]，為企業(yè)執(zhí)行信息安全保護(hù)工作提供一個統(tǒng)一的標(biāo)準(zhǔn)，從而使工作能夠有序地展開。

（三）技術(shù)控制

技術(shù)對信息安全控制的影響力是比較大的，它在很大程度上決定了信息安全風(fēng)險的大小、范圍，同時它也決定了修補(bǔ)信息安全漏洞的方式和方法。因此，在技術(shù)方面對信息安全風(fēng)險進(jìn)行控制是非常有必要的。首先，技術(shù)構(gòu)架的設(shè)計(jì)應(yīng)該遵循系統(tǒng)性原則、技術(shù)先進(jìn)性原則、可控性原則、適度性原則等，使技術(shù)能夠更好地服務(wù)于風(fēng)險控制；其次，要做好安全域的信息安全保障工作，根據(jù)不同的安全域所面臨的不同風(fēng)險來進(jìn)行信息安全保護(hù)工作；最后，要提高信息安全保障技術(shù)。目前而言，我國的信息安全保障技術(shù)與國際上的相比明顯處于落后狀態(tài)，因此，企業(yè)要引進(jìn)先進(jìn)的技術(shù)力量，加強(qiáng)信息安全風(fēng)險的控制力度。

四、結(jié)語

在這個信息化高度發(fā)展的社會，任何企業(yè)與個人在享受信息化帶來的便利的同時，也要承擔(dān)信息化帶來的風(fēng)險。我國企業(yè)在激烈的市場競爭中，不可避免會遇到信息安全上的威脅。因此每個企業(yè)都應(yīng)該做好信息安全的管控工作，認(rèn)真、嚴(yán)肅地對待當(dāng)前網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題。

參考文獻(xiàn)：

篇8

（1）房地產(chǎn)政務(wù)信息化成效顯著。

許多城市利用信息技術(shù)開發(fā)了房地產(chǎn)政務(wù)管理軟件，有效地改進(jìn)了行政管理，提高了工作效率，完善了政府對房地產(chǎn)市場的監(jiān)控和預(yù)測能力。

（2）房地產(chǎn)企業(yè)信息化取得長足進(jìn)展。

房地產(chǎn)經(jīng)營方式開始打上信息時代的烙印。一些房地產(chǎn)企業(yè)建立了企業(yè)內(nèi)部網(wǎng)站，提高了信息傳輸速度，加快了企業(yè)決策速度，提高了辦事效率。此外，各種針對房地產(chǎn)企業(yè)的計(jì)算機(jī)軟件，如房屋銷售軟件、物業(yè)管理軟件、租賃軟件、房地產(chǎn)可行性分析軟件、房地產(chǎn)開發(fā)管理軟件等，也得到了廣泛的開發(fā)和應(yīng)用。

（3）初步建立了房地產(chǎn)宏觀監(jiān)測系統(tǒng)。

為適應(yīng)我國房地產(chǎn)業(yè)發(fā)展的內(nèi)在要求，針對市場信息零散、盲目投資行為大量存在等狀況，我國已建立包括中房預(yù)警系統(tǒng)、中房指數(shù)、國房景氣指數(shù)等在內(nèi)的房地產(chǎn)宏觀監(jiān)測系統(tǒng)。

（4）智能化小區(qū)和網(wǎng)絡(luò)小區(qū)建設(shè)步伐加快。

近年來，住宅的智能化功能被列為評價樓盤綜合性能的不可缺少的一個重要指標(biāo)，智能化住宅已逐步進(jìn)入普通人的生活。社區(qū)提供與外界進(jìn)行數(shù)據(jù)交換的軟硬件設(shè)施和服務(wù)是家居功能向外拓展的必要條件。智能化的物業(yè)管理深入到各單位住宅，真正實(shí)現(xiàn)建筑智能化到社區(qū)管理的智能化。

（5）房地產(chǎn)網(wǎng)站發(fā)展迅速。

由于房地產(chǎn)業(yè)自身的行業(yè)特點(diǎn)，使其在網(wǎng)上具有更大的優(yōu)勢，房地產(chǎn)業(yè)各界都以最快的速度建立或準(zhǔn)備建立自己的網(wǎng)站，將網(wǎng)絡(luò)作為房地產(chǎn)信息的主要渠道。房地產(chǎn)網(wǎng)站建設(shè)提供了全天候、全方位市場服務(wù)的新模式，建立房地產(chǎn)在線咨詢服務(wù)系統(tǒng)，引入城市電子地圖，實(shí)現(xiàn)網(wǎng)上售樓，改變了傳統(tǒng)的購房方式。同國外相比，我國房地產(chǎn)信息化整體水平較低，地區(qū)差異較大，東西部發(fā)展不平衡，仍存在諸多制約因素，還有很長的路要走。但是，房地產(chǎn)業(yè)唯有實(shí)現(xiàn)信息化，唯有與網(wǎng)絡(luò)結(jié)合，才能煥發(fā)出新的活力。建立和完善房地產(chǎn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)總公司與下屬子公司之間的雙向溝通和信息共享。通過信息平臺的整合，為企業(yè)管理決策提供全方位、完整的信息數(shù)據(jù)，使企業(yè)的管理逐步走向信息化，建立企業(yè)網(wǎng)站，使其向房地產(chǎn)行業(yè)和管理信息服務(wù)方向轉(zhuǎn)化，加強(qiáng)與員工的溝通，將信息化手段應(yīng)用于具體管理工作的流程中。以國家信息化工作的指導(dǎo)方針“統(tǒng)一規(guī)劃、聯(lián)合建設(shè)、推廣應(yīng)用、發(fā)展產(chǎn)業(yè)、資源共享”為房地產(chǎn)企業(yè)信息化工作的指導(dǎo)思想，將房地產(chǎn)企業(yè)的管理全部數(shù)字化，充分利用先進(jìn)的信息技術(shù)，使本企業(yè)集團(tuán)形成一個管理對象數(shù)字化、管理專業(yè)網(wǎng)絡(luò)化、數(shù)據(jù)動態(tài)實(shí)時化、管理決策科學(xué)化的現(xiàn)代企業(yè)，走一條結(jié)合自身特點(diǎn)，依托信息技術(shù)發(fā)展房地產(chǎn)信息化產(chǎn)業(yè)的振興之路。

二、企業(yè)信息安全防范

隨著企業(yè)信息化的發(fā)展，辦公自動化、財(cái)務(wù)管理系統(tǒng)，企業(yè)相關(guān)業(yè)務(wù)系統(tǒng)等生產(chǎn)經(jīng)營方面的重要系統(tǒng)投入在線運(yùn)行，越來越多的重要數(shù)據(jù)和機(jī)密信息都通過企業(yè)內(nèi)外部網(wǎng)絡(luò)來傳輸。這在提高生產(chǎn)效率和管理水平的同時，也帶來了不同以往的安全風(fēng)險和問題。通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)信息如被非法用戶截取，導(dǎo)致泄露企業(yè)機(jī)密；如被非法篡改，造成數(shù)據(jù)混亂，信息錯誤，造成工作失誤等。另一方面，病毒感染造成網(wǎng)絡(luò)通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù)，特別是系統(tǒng)中多年積累的重要數(shù)據(jù)丟失，對企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失。因此，如何保護(hù)企業(yè)機(jī)密，保障企業(yè)信息安全，成為企業(yè)信息化發(fā)展中需要面臨和解決的問題，提上了企業(yè)的議事日程。企業(yè)信息安全管理即針對當(dāng)前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用環(huán)境制定相應(yīng)的防御措施，保護(hù)企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實(shí)性、可用性、不可否認(rèn)。企業(yè)信息安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進(jìn)行把握。首先，企業(yè)必須根據(jù)實(shí)際情況全面做好安全風(fēng)險評估。第二，采用信息安全新技術(shù)，建立信息安全防護(hù)體系。綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)等綜合起來，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。企業(yè)根據(jù)自身信息系統(tǒng)建設(shè)和應(yīng)用的步伐，建立完整的信息安全防護(hù)體系，統(tǒng)籌規(guī)劃，分步實(shí)施。第三，管理和技術(shù)并重，技術(shù)與措施結(jié)合。根據(jù)信息安全策略，建立健全企業(yè)信息安全管理制度，制定相應(yīng)的安全標(biāo)準(zhǔn)，建立備份和恢復(fù)機(jī)制，提高安全管理水平。第四，充分利用企業(yè)網(wǎng)絡(luò)條件，提供全面，及時和快捷的信息安全服務(wù)。第五，信息安全是一個動態(tài)過程，需要定期對信息安全狀況進(jìn)行評估，不斷改進(jìn)完善安全方案，調(diào)整安全策略。

篇9

中圖分類號：F208 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-291X（2017）08-0147-02

高效的經(jīng)濟(jì)信息管理是企業(yè)不斷發(fā)展的重要保障，而要想實(shí)現(xiàn)高效的信息管理，對信息安全性的管理與控制是十分重要的一個因素。近年來，隨著科技與管理理念的不斷豐富，對信息管理中的信息安全性控制也在不斷強(qiáng)化并起到了一定的作用。但是，由于企業(yè)信息管理涉及的因素較多，導(dǎo)致目前仍舊存在一定的安全隱患。因此，有必要對企業(yè)的經(jīng)濟(jì)信息管理中的信息安全進(jìn)行分析與探討。

一、企業(yè)經(jīng)濟(jì)信息管理的信息安全存在的問題

（一）企業(yè)管理力度不足

企業(yè)管理力度不足是信息管理目前存在的普遍問題，也是導(dǎo)致企業(yè)信息管理存在安全隱患的主要原因之一。一方面，部分企業(yè)將管理重點(diǎn)放在了人員管理與財(cái)務(wù)控制方面，忽視了對經(jīng)濟(jì)信息安全的管理與控制；另一方面，部分企業(yè)的管理人員由于專業(yè)素質(zhì)與工作經(jīng)驗(yàn)的缺乏，對信息安全管理沒有采取科學(xué)的方式方法，導(dǎo)致信息安全管理難以充分發(fā)揮其作用與價值，進(jìn)而導(dǎo)致信息管理存在一定的安全隱患。總之，管理人員與管理制度是導(dǎo)致企業(yè)管理力度不足的重要因素。

（二）缺乏總體規(guī)劃

在企業(yè)管理中，對經(jīng)濟(jì)信息的管理涉及到許多因素，所以高效的管理需要一個科學(xué)的總體規(guī)劃。對于企業(yè)來說，經(jīng)濟(jì)信息管理不是單個部門或人員的工作，而是需要整個企業(yè)人員都具有信息保護(hù)的意識。但在實(shí)際工作中，由于工作內(nèi)容具有一定的差異性或工作重點(diǎn)不同等原因，使得不同的員工與信息安全的意識程度不同，所以管理效果也難以達(dá)到最佳狀態(tài)。考慮到這些問題，企業(yè)在進(jìn)行經(jīng)濟(jì)信息管理時就需要制定一個整體規(guī)劃，但許多企業(yè)在這方面的工作力度仍有不足。

（三）對信息安全不夠重視

隨著我國經(jīng)濟(jì)的不斷發(fā)展，市場競爭也越來越激烈，此時保證企業(yè)的經(jīng)濟(jì)信息安全是管理中十分重要的一部分。但是，在實(shí)際競爭中，許多企業(yè)對經(jīng)濟(jì)信息的安全保障意識不夠強(qiáng)烈。只是單一的對市場信息進(jìn)行分析，而沒有完善的管理系統(tǒng)，難免會導(dǎo)致信息儲存或管理出現(xiàn)一定的問題，甚至造成企業(yè)關(guān)鍵經(jīng)濟(jì)信息的泄露，給企業(yè)發(fā)展帶來不可挽回的損失。另外，信息管理中管理人員作用的發(fā)揮也非常重要。部分企業(yè)沒有重視到這一點(diǎn)，管理人員的管理能力提升速度較慢，導(dǎo)致安全隱患的存在。

二、對企業(yè)信息管理安全產(chǎn)生影響的主要因素分析

（一）環(huán)境因素的影響

由于市場競爭比較激烈，許多企業(yè)將管理重心放在了市場拓展與產(chǎn)品優(yōu)化等方面，出現(xiàn)了先重視產(chǎn)品與業(yè)務(wù)，再考慮信息安全的現(xiàn)象，導(dǎo)致信息安全管理滯后于業(yè)務(wù)的進(jìn)行，產(chǎn)生一定的安全隱患。這是外部環(huán)境的影響，內(nèi)部環(huán)境對企業(yè)的信息管理也有著一定的影響。企業(yè)的業(yè)務(wù)流程對信息管理體系的設(shè)置與實(shí)施有著一定的影響。此外，部分企業(yè)雖然重視對信息安全的管理，但由于防范體系的不夠完善等原因，使得安全責(zé)任沒有落實(shí)到具體，這些都是導(dǎo)致經(jīng)濟(jì)信息管理存在安全隱患的因素。

（二）人為因素的影響

人為因素的影響主要是指經(jīng)濟(jì)信息管理人員的工作能力與工作態(tài)度等因素的影響。一方面，安全管理人員是接觸機(jī)密信息的直接人員，這部分工作人員若是出現(xiàn)刻意泄露或工作疏忽等現(xiàn)象，極易導(dǎo)致企業(yè)關(guān)鍵經(jīng)濟(jì)信息的泄露，給企業(yè)帶來不可挽回的損失，影響企業(yè)的穩(wěn)定發(fā)展。另一方面，技術(shù)人員也是人為因素中的重要部分，技術(shù)人員主要對相關(guān)設(shè)備進(jìn)行管理與維護(hù)，也能夠直接接觸到關(guān)鍵信息。需要S護(hù)的設(shè)備較多，但部分企業(yè)為了節(jié)約人力成本，讓同一個技術(shù)人員負(fù)責(zé)多個設(shè)備的維護(hù)，導(dǎo)致技術(shù)人員的工作難度增加，進(jìn)而影響其工作效率。

（三）技術(shù)因素的影響

信息安全技術(shù)是保證信息安全的重要因素，也是企業(yè)在這方面管理中比較重視的一部分。具體來說，技術(shù)因素對信息安全的影響主要體現(xiàn)在以下兩個方面：一是軟件方面影響，包含了設(shè)計(jì)漏洞或技術(shù)缺陷，以及殺毒軟件更新較慢或臨時發(fā)生的運(yùn)行故障等問題，這些都是對信息安全管理產(chǎn)生影響的因素。二是信息管理體系的設(shè)計(jì)方面，包含了風(fēng)險評估數(shù)據(jù)、業(yè)務(wù)流程數(shù)據(jù)、測試數(shù)據(jù)、訪問權(quán)限設(shè)置以及對信息資產(chǎn)的保護(hù)程度等。這些因素導(dǎo)致信息管理體系存在必然的安全隱患或漏洞，而這些漏洞將會為整個企業(yè)管理帶來嚴(yán)重的不利影響。

三、強(qiáng)化企業(yè)經(jīng)濟(jì)信息管理中信息安全的必要性

（一）企業(yè)信息管理的主要特征

企業(yè)信息管理的特征主要包括三個內(nèi)容：第一是具有保密性，這是信息管理的基本特征，也是信息管理的基本要求。各個部門負(fù)責(zé)的事項(xiàng)不同，部門人員只能獲取應(yīng)當(dāng)了解的信息，而不能越權(quán)了解其他私密信息。第二是完整性。保證經(jīng)濟(jì)信息的完整是企業(yè)信息管理的基本原則，只有保證信息具有基本的完整性，才能更加精準(zhǔn)地獲得數(shù)據(jù)價值，從而發(fā)揮其作用。第三是可用性。只有具有較強(qiáng)的可用價值與企業(yè)的私密信息，才具有一定的安全保護(hù)價值，才能在企業(yè)發(fā)展中發(fā)揮其本身的作用。

（二）強(qiáng)化信息管理安全的必要性

正是由于經(jīng)濟(jì)信息具有的這些特征，才使其有了明確的強(qiáng)化必要性。首先，強(qiáng)化信息安全的管理有助于保證數(shù)據(jù)的保密性與完整性。只有保證信息的完整與私密，才能促使其在企業(yè)競爭中充分發(fā)揮價值。其次，信息的高效運(yùn)用與價值發(fā)揮的實(shí)現(xiàn)，本身就需要一定的網(wǎng)絡(luò)條件，而網(wǎng)絡(luò)環(huán)境比較復(fù)雜，所以對數(shù)據(jù)的安全保護(hù)就顯得十分關(guān)鍵。例如，不法分子的信息盜取、網(wǎng)路黑客的惡意攻擊等，都是影響信息安全的因素。所以，對信息安全管理進(jìn)行加強(qiáng)，是企業(yè)實(shí)現(xiàn)進(jìn)一步發(fā)展的重要手段。

四、提高企業(yè)經(jīng)濟(jì)信息管理安全性的建議

（一）健全經(jīng)濟(jì)信息體系的安全保障

構(gòu)建健全的經(jīng)濟(jì)信息體系的安全保障，是實(shí)現(xiàn)高效經(jīng)濟(jì)信息管理的重要前提，也是實(shí)現(xiàn)信息管理制度能夠穩(wěn)定發(fā)展的重要條件。在健全管理體系的保障過程中，最為首要的任務(wù)，即是在系統(tǒng)設(shè)計(jì)過程中就強(qiáng)調(diào)安全性。

從目前來看，由于市場的寬容度逐漸升高，越來越多的企業(yè)參與到市場競爭中。由于部分企業(yè)對信息安全的認(rèn)知不夠明確，或者管理制度不夠合理等因素，導(dǎo)致其經(jīng)濟(jì)信息管理制度本身就存在一定的安全隱患，不利于企業(yè)的發(fā)展。因此，企業(yè)需充分明確自身實(shí)力與發(fā)展情況，確定當(dāng)前發(fā)展中的關(guān)鍵，設(shè)計(jì)針對性的安全管理制度。具體來說，企業(yè)可加強(qiáng)對進(jìn)入內(nèi)部信息系統(tǒng)的準(zhǔn)入設(shè)置與權(quán)限、增加必要的保護(hù)屏障技術(shù)等。另外，還可借助科學(xué)技術(shù)與計(jì)算機(jī)技術(shù)，將指紋識別等運(yùn)用到信息管理中，以保障管理制度的安全性。

（二）提高工作人員的工作能力

企業(yè)重要的經(jīng)濟(jì)信息泄露，其中一個關(guān)鍵的原因，即是工作人員的刻意為之或工作疏忽導(dǎo)致的。因此，在企業(yè)的經(jīng)濟(jì)信息管理中，提升工作人員的工作能力與安全意識是十分有必要的一項(xiàng)措施。一方面，企業(yè)可加強(qiáng)對管理人員的培訓(xùn)，促使其對信息安全有明確的認(rèn)識；同時，還可借助培訓(xùn)，提升管理人員的管理能力與風(fēng)險意識。另一方面，管理責(zé)任的落實(shí)也十分重要。企業(yè)的經(jīng)濟(jì)信息涉及到許多企業(yè)的重要信息，要在日常管理者中將管理責(zé)任落實(shí)到具體，進(jìn)而提高工作人員的管理責(zé)任心。此外，提高管理人員的職業(yè)道德以及綜合素質(zhì)等，也是一個比較有效的方式，能夠在一定程度上提高企業(yè)的經(jīng)濟(jì)信息管理效率。

（三）強(qiáng)調(diào)對硬件的安全管理

在信息安全這個問題上，管理設(shè)備與硬件條件的強(qiáng)化是必不可少的一部分?？梢哉f，硬件設(shè)備是高效的信息安全管理中的重要基礎(chǔ)。

首先，針對企業(yè)的實(shí)際情況，可淘汰一部分功能比較傳統(tǒng)的設(shè)備，購進(jìn)更先進(jìn)、安全保障程度更高的設(shè)備，進(jìn)而促使設(shè)備在信息安全管理中充分發(fā)揮作用。

其次，在運(yùn)用過程中，隨著運(yùn)用時間的增長硬件設(shè)備的損耗程度也更大，所以對硬件設(shè)備的維護(hù)工作必須得到重視。企業(yè)可安排專門的維護(hù)人員，定期對設(shè)備進(jìn)行檢查或零件更換，避免因硬件系統(tǒng)而導(dǎo)致的信息泄露等問題。同時，還可對維護(hù)人員進(jìn)行培訓(xùn)，以提高其技術(shù)水平。此外，合理的安全屏障與接入控制、禁止未授權(quán)訪問或下載文件等措施都是硬件強(qiáng)化中的重要方法，能夠在一定程度上加強(qiáng)對經(jīng)濟(jì)信息的安全保障。

（四）健全企業(yè)信息安全管理制度

企業(yè)信息安全管理制度的完善，是保證企業(yè)經(jīng)濟(jì)信息管理安全性的重要因素。從企業(yè)管理的角度來講，企業(yè)對經(jīng)濟(jì)信息進(jìn)行的管理是根據(jù)本身的信息安全需要、業(yè)務(wù)分析以及風(fēng)險預(yù)測等的結(jié)果，并結(jié)合科學(xué)技術(shù)與計(jì)算機(jī)技術(shù)實(shí)現(xiàn)的信息管理。構(gòu)建完善的信息管理制度，能夠?yàn)樾畔⒐芾硖峁┌ㄔO(shè)計(jì)、運(yùn)行等各個方面的安全保障，并有效避免因安全隱患導(dǎo)致的各類安全事故。一方面，企業(yè)可建立起相關(guān)的安全管理w系與防范制度，加強(qiáng)對關(guān)鍵數(shù)據(jù)的保存與備份，以保證在發(fā)生安全事故時能夠及時進(jìn)行彌補(bǔ)，避免業(yè)務(wù)受到影響，進(jìn)而將企業(yè)的損失降到最小程度；另一方面，還可建立起集中的管理控制體系，將經(jīng)濟(jì)信息進(jìn)行綜合管理，并借助企業(yè)內(nèi)部的管理平臺對其進(jìn)行管理。

結(jié)語

據(jù)上述的分析可知，強(qiáng)化企業(yè)經(jīng)濟(jì)信息管理中的信息安全，不僅是推動企業(yè)不斷發(fā)展的重要方法，更是推進(jìn)我國企業(yè)管理理念不斷完善的重要手段。通過健全經(jīng)濟(jì)信息體系的安全保障、提高工作人員的工作能力、強(qiáng)調(diào)對硬件的安全管理，以及健全企業(yè)信息安全管理制度等方式，從企業(yè)管理的各個角度強(qiáng)調(diào)了信息安全的重要性，在一定程度上提高了企業(yè)信息管理中的信息安全。

參考文獻(xiàn)：

[1] 馬志程，張磊，王瓊.基于ISO/IEC17799標(biāo)準(zhǔn)體系的企業(yè)信息安全管理新模式[J].電力信息與通信技術(shù)，2016，（1）：80-83.

[2] 梁俊榮.基于信息安全的企業(yè)經(jīng)濟(jì)信息管理探討[J].信息化建設(shè)，2016，（5）：335.

篇10

一、電信企業(yè)信息管理的現(xiàn)狀與作用

(一)電信企業(yè)信息管理體系的現(xiàn)狀

隨著社會的發(fā)展，無論是個人還是企業(yè)，都越來越離不開科學(xué)技術(shù)。這也導(dǎo)致科技所引發(fā)的信息安全管理體系的問題出現(xiàn)。1、針對信息安全管理體系的建設(shè)沒有創(chuàng)建出專門的管理機(jī)構(gòu)由于在信息管理方面，企業(yè)沒有一個系統(tǒng)的較為權(quán)威的管理部門及相關(guān)組織，其管理權(quán)限分散在建設(shè)、運(yùn)維、系統(tǒng)支撐、市場等部門，在很大程度上致使企業(yè)信息管理中的相關(guān)法規(guī)得不到正常有效的運(yùn)行。2、未能充分的考慮企業(yè)相關(guān)管理部門與信息安全管理體系的建設(shè)完善由于電信企業(yè)的特殊性，在具體的信息安全建設(shè)管理中，信息體系建設(shè)和信息安全管理的工作不夠協(xié)調(diào)，使得企業(yè)在信息安全管理的相關(guān)工作上沒法進(jìn)行積極主動實(shí)施，導(dǎo)致了企業(yè)信息安全管理體系建設(shè)工作的沒能與相關(guān)體系升級換代同步進(jìn)行。3、企業(yè)信息管理建設(shè)滯后對于相關(guān)部門而言，信息安全管理常常局限于使用比較局部的安全產(chǎn)品進(jìn)行保障，這樣就容易形成被動的使用相關(guān)辦法來應(yīng)對信息安全的漏洞風(fēng)險，導(dǎo)致此類方法嚴(yán)重缺乏科學(xué)性，而且由于使用范圍的局限，從而也不完全能夠抵御安全問題給企業(yè)所帶來的運(yùn)營風(fēng)險。

(二)企業(yè)信息安全管理的作用

信息安全管理體系的建設(shè)是對企業(yè)來說非常重要，尤其是電信企業(yè)，通過信息安全管理體系的建設(shè)，不僅有利于提高相關(guān)部門的工作人員的信息安全意識，而且還能夠加強(qiáng)對信息安全的管理組織的規(guī)范管理，通過充分有效的安全信息維護(hù)，能夠幫助企業(yè)在信息管理受到嚴(yán)重威脅時可以及時消除風(fēng)險，從而維護(hù)國家、企業(yè)、廣大用戶的切身利益，確保電信企業(yè)在國家信息建安全戰(zhàn)略中的中流砥柱作用。

二、電信企業(yè)信息管理建設(shè)的有效方法

(一)制定有效的信息管理計(jì)劃

在企業(yè)管理中，有效的信息安全管理，是企業(yè)發(fā)展的前提；信息管理建設(shè)需要有效的策劃：1、教育培訓(xùn)在企業(yè)管理中，做好教育培訓(xùn)工作是非常重要的，通過相關(guān)培訓(xùn)，不但能夠提高相關(guān)人員的安全信息管理意識，強(qiáng)化相關(guān)人員實(shí)際操作能力，而且還可以為信息管理體系吸引大量的相關(guān)人才。2、制定信息安全管理計(jì)劃制定管理的相關(guān)計(jì)劃是企業(yè)發(fā)展中的關(guān)鍵環(huán)節(jié)，所以，為了企業(yè)的可持續(xù)發(fā)展，相關(guān)部門需要制定信息管理體系建設(shè)的標(biāo)準(zhǔn)，擬定相關(guān)計(jì)劃。

(二)電信企業(yè)信息管理建設(shè)的范圍

對于一個企業(yè)來說，確定信息管理體系的范圍是非常重要的，其需要相關(guān)部門人員根據(jù)實(shí)際情況來進(jìn)行重點(diǎn)有效的管理，這個管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個別信息安全管理范圍，通過不同的部門可對管理組織進(jìn)行劃分，并在一定的程度上進(jìn)行不同力度的管理。就電信企業(yè)而言，主要涉及企業(yè)信息管理和用戶信息管理，其安全體系建設(shè)貫穿在企業(yè)運(yùn)行的全過程。

(三)建立企業(yè)信息管理框架

對一個企業(yè)而言，企業(yè)的信息管理必須建立起一個嚴(yán)格的管理模式。具體步驟如下：1、信息安全管理體制的計(jì)劃在規(guī)劃信息安全管理體系時，首先的一個步驟就是對企業(yè)的信息安全管理有一個明確的計(jì)劃。這樣一來不僅能夠?qū)罄m(xù)工作做了一個提前的準(zhǔn)備，有利于建立管理機(jī)構(gòu)，而且還能夠?qū)芾淼呢?zé)任做出明確的規(guī)定，能夠更好的確立管理目標(biāo)，評估管理風(fēng)險。2、企業(yè)信息安全管理的實(shí)施有了一定的企業(yè)信息安全管理體系的計(jì)劃，接下來的一個重要步驟就是計(jì)劃的實(shí)施過程，過程主要有信息安全管理方法應(yīng)用和相關(guān)措施落實(shí)等。3、企業(yè)信息安全管理體制的檢查這個階段的工作開展要做好充分的準(zhǔn)備，因?yàn)檫@一階段是整個計(jì)劃的關(guān)鍵階段，主要通過審計(jì)、自我評估或借助第三方審核等方法來對計(jì)劃實(shí)施的效果進(jìn)行審查。

三、結(jié)束語

綜上所述，“我國電信運(yùn)營企業(yè)的信息安全風(fēng)險無處不在，安全形勢日益嚴(yán)峻，迫切需要系統(tǒng)、科學(xué)、有效的信息安全風(fēng)險管理體系理論指導(dǎo)管理工作實(shí)踐?！蓖ㄟ^本文，我們了解到我國電信企業(yè)的信息安全管理體系方面的現(xiàn)狀以及信息安全管理的重要性，通過相關(guān)部門的共同努力，切實(shí)提高信息安全管理水平，維護(hù)好國家安全和公共利益安全，為建設(shè)信息化強(qiáng)國做出應(yīng)有的貢獻(xiàn)。

參考文獻(xiàn):

[1]鄭敏.關(guān)于信息安全管理體系建設(shè)的研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014