如今，信息已成為企業(yè)生產(chǎn)和發(fā)展的重要資源之一。它以多種形式存在，如被打印或?qū)懺诩埳�；以電子方式存�?chǔ)；用郵寄或電子手段傳送；呈現(xiàn)在膠片上或用語(yǔ)言表達(dá)。無(wú)論信息以什么形式存在，用哪種方法存儲(chǔ)或共享，都應(yīng)對(duì)它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。否則，企業(yè)將面臨著較大的信息安全風(fēng)險(xiǎn)，甚至給企業(yè)帶來(lái)不良的影響和后果。

　　1.燃?xì)馄髽I(yè)管理存在的信息安全問(wèn)題

　　信息安全問(wèn)題是企業(yè)的共性問(wèn)題，企業(yè)規(guī)模越大，所擁有價(jià)值的信息量就越大；企業(yè)經(jīng)營(yíng)性質(zhì)越特殊，受保護(hù)的信息量就越多。燃?xì)馄髽I(yè)是高危服務(wù)性行業(yè)，應(yīng)當(dāng)把燃?xì)膺\(yùn)營(yíng)安全放在首位，但是也不能忽視了企業(yè)的信息安全。信息安全問(wèn)題在燃?xì)馄髽I(yè)普遍存在。

    1.1 缺乏系統(tǒng)的信息安全管理

　　網(wǎng)絡(luò)安全領(lǐng)域有一句至理名言“三分技術(shù)，七分管理”，這句話對(duì)于信息安全領(lǐng)域也同樣適用。安全與管理常常是密不可分的，很多企業(yè)對(duì)信息安全的認(rèn)識(shí)僅僅是依靠信息防護(hù)技術(shù)應(yīng)用，比如安裝防火墻，反病毒軟件等。但信息軟件技術(shù)只是信息安全的一部分，即便在安全設(shè)備與系統(tǒng)上做了很大的投入，缺乏完整、系統(tǒng)的安全管理方法及制度并貫徹實(shí)施，信息仍然得不到很好的保護(hù)。尤其是那些對(duì)于針對(duì)黑客攻擊還顯得相對(duì)脆弱的企業(yè)網(wǎng)絡(luò)，一旦遭遇惡意入侵，馬上便顯得不堪一擊，信息安全當(dāng)然就完全談不上。而現(xiàn)實(shí)情況是，許多燃?xì)馄髽I(yè)因?yàn)槿狈π畔�安全管理制度、方法和�?yīng)急預(yù)案，對(duì)于這種情況全然沒(méi)有有效的防備和事后補(bǔ)救措施，這樣災(zāi)難自然就是難免的了。

    1.2 信息安全意識(shí)有待提高

　　當(dāng)前，企業(yè)的信息載體日益電子化，信息系統(tǒng)、辦公電腦、移動(dòng)存儲(chǔ)設(shè)備的不規(guī)范使用增加了電子信息的泄露發(fā)生率。在百度、谷歌、網(wǎng)絡(luò)文庫(kù)上稍加搜索就可以輕易的獲得某家燃?xì)饧瘓F(tuán)或公司重要文件。這些重要信息資料被暴露在公眾中，正是由于燃?xì)馄髽I(yè)以及員工信息安全意識(shí)不強(qiáng)所造成的。而不少企業(yè)的領(lǐng)導(dǎo)者對(duì)于重要信息的保護(hù)意識(shí)不強(qiáng)，尤其是企業(yè)員工，從思想上就不重視企業(yè)的信息安全，信息傳遞和交接都帶有很大的隨意性，更有些“大嘴巴”事件，使得企業(yè)許多重要信息外流，如客戶信息、企業(yè)內(nèi)部信息，更有甚者，許多商業(yè)機(jī)密也輕易外泄，如燃?xì)馕ｋU(xiǎn)源信息或燃?xì)獬杀镜取?/p>

　　1.3 缺乏信息安全技術(shù)人才

    在燃?xì)馄髽I(yè)，由于對(duì)企業(yè)信息安全的重要性認(rèn)識(shí)不足，普遍缺乏信息安全管理人員和信息系統(tǒng)安全技術(shù)人員。雖然近年來(lái)燃?xì)馄髽I(yè)各類信息系統(tǒng)不斷增多，如地理信息系統(tǒng)、客戶服務(wù)系統(tǒng)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)等，涌現(xiàn)出了一批信息化技術(shù)人才，但是要從安全角度出發(fā)，能夠進(jìn)行綜合信息安全管理的技術(shù)性人才在整個(gè)燃?xì)馄髽I(yè)員工的比例仍然相當(dāng)?shù)汀Ｈ細(xì)馄髽I(yè)在信息安全人才和信息技術(shù)人才培養(yǎng)方面與企業(yè)快速發(fā)展帶來(lái)的信息化需求和信息安全需求顯然不能同步，這樣一來(lái)，對(duì)于信息外泄，信息安全防不勝防，便會(huì)出現(xiàn)“領(lǐng)導(dǎo)干瞪眼，群眾干著急”的局面。2 理解信息安全的基本內(nèi)容和信息安全建設(shè)的主要任務(wù)

　　2.1 什么是信息安全?

　　在GB/T2208l一2008中，信息安全被這樣定義：保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險(xiǎn)最小化、投資回報(bào)和商業(yè)機(jī)遇最大化。其主要是指在企業(yè)信息安全管理中首先要最大限度的保護(hù)企業(yè)信息資產(chǎn)，保障業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行，其次，一旦發(fā)生安全事故可以最大限度地挽回所造成的損失。

　　信息的安全風(fēng)險(xiǎn)主要來(lái)自于信息的保密性、完整性和可用性。在企業(yè)中，信息可能會(huì)通過(guò)口頭、網(wǎng)絡(luò)、打印機(jī)、復(fù)印機(jī)、存儲(chǔ)設(shè)備等途徑不經(jīng)意地泄露。要避免重要信息的泄露，在信息的傳遞和保管過(guò)程中要把好關(guān)；然后，還要防止信息被誤變更或被惡意變更，做到保護(hù)信息的完整性；最后，要做好信息源頭的安全保障，即要保障信息處理設(shè)備和信息傳遞渠道的高可用性。制定清晰的信息處理流程，建立滿足服務(wù)的完善運(yùn)維保障，以及設(shè)法保持業(yè)務(wù)連續(xù)性管理都是保證信息高可用的重要措施。正是信息的這3個(gè)屬性結(jié)合才形成了信息的安全性，如圖l所示：

圖1 安全屬性

　　2.2 信息安全建設(shè)的主要工作任務(wù)應(yīng)由以下幾方面構(gòu)成

　　即體系化的企業(yè)信息建設(shè)，信息安全風(fēng)險(xiǎn)控制和確保企業(yè)信息的機(jī)密性、完整性和可用性。而對(duì)于不少燃?xì)馄髽I(yè)來(lái)說(shuō)，卻常常是重視了第1點(diǎn)，而忽略第2和第3點(diǎn)。因此，有計(jì)劃的解決企業(yè)存在的信息安全風(fēng)險(xiǎn)，以及可持續(xù)提高管理的有效性和不斷提高自身的信息安全管理水平是企業(yè)的當(dāng)務(wù)之急。

　　3.采用PDCA循環(huán)的方法建設(shè)企業(yè)信息安全

　　作為一項(xiàng)安全管理活動(dòng)，信息安全建設(shè)應(yīng)該是符合一般管理活動(dòng)的規(guī)律的。所以，用PDCA管理模式，即規(guī)劃(Plan)實(shí)施(Do)檢查(Check)處置(Act)的循環(huán)管理模式來(lái)指導(dǎo)燃?xì)馄髽I(yè)信息安全建設(shè)十分必要也非常合適。

　　PDCA的概念最早由美國(guó)質(zhì)量管理專家戴明提出來(lái)，起初用于質(zhì)量管理，后逐漸應(yīng)用于各行各業(yè)。通過(guò)PDCA方法管理能使信息安全建設(shè)有效的按照一種合乎邏輯的工作程序進(jìn)行。對(duì)其具體應(yīng)用，筆者結(jié)合自己所學(xué)的理論知識(shí)和工作經(jīng)驗(yàn)進(jìn)行了總結(jié)。

　　3.1 P階段

　　(1)分析公司信息管理中存在的不安全因素，采用合理的風(fēng)險(xiǎn)評(píng)估方法，確定風(fēng)險(xiǎn)并對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)；

　　(2)找出不安全因素產(chǎn)生的原因，特別是在企業(yè)管理層面上存在原因和需要企業(yè)高層處理的問(wèn)題；

　　(3)針對(duì)存在的問(wèn)題，根據(jù)風(fēng)險(xiǎn)等級(jí)對(duì)存在的隱患制訂措施計(jì)劃和解決方案，制定的措施方案要有較強(qiáng)的可操作性，便于執(zhí)行，并能收到較好的效果。對(duì)于整改資金必須從安全與生產(chǎn)發(fā)展的總體考慮，結(jié)合實(shí)際，因地制宜，合理投入。

　　3.2 D階段

　　(1)對(duì)風(fēng)險(xiǎn)整改計(jì)劃進(jìn)行宣貫和指導(dǎo)，讓企業(yè)員工認(rèn)識(shí)到存在的安全現(xiàn)狀和不安全因素，以及怎樣去改進(jìn)。計(jì)劃要落實(shí)到人，整改的人要清楚的理解為什么要改進(jìn)和怎樣改進(jìn)；

　　(2)層層細(xì)化風(fēng)險(xiǎn)改進(jìn)計(jì)劃，并與員工的工作實(shí)際相結(jié)合。計(jì)劃可以從企業(yè)管理層開(kāi)始細(xì)化直至崗位上的每一個(gè)操作環(huán)節(jié)。如果細(xì)化不徹底，那么企業(yè)的總計(jì)劃中的方案措施再有可操作性，相對(duì)于班組、崗位都存在不同程度的粗放性，很難與基層實(shí)際吻合。

　　3.3 C階段

　　(1)開(kāi)展企業(yè)各層級(jí)員工對(duì)自己工作進(jìn)展情況的自查，查找問(wèn)題，分析原因，及時(shí)整改；

　　(2)開(kāi)展信息安全專項(xiàng)檢查，定期和不定期檢查風(fēng)險(xiǎn)改進(jìn)的執(zhí)行情況，階段性的總結(jié)和考評(píng)執(zhí)行效果。檢查最好能通過(guò)量化式檢查得出定性結(jié)論。這一方法的最大優(yōu)點(diǎn)就是對(duì)每一個(gè)PDCA循環(huán)層進(jìn)行橫向比較時(shí)，能得到較為準(zhǔn)確的評(píng)價(jià)，找準(zhǔn)薄弱點(diǎn)和工作漏洞；

　　(3)對(duì)檢查結(jié)果和現(xiàn)存信息風(fēng)險(xiǎn)重新進(jìn)行總結(jié)和評(píng)估，并根據(jù)評(píng)估結(jié)果調(diào)整風(fēng)險(xiǎn)級(jí)別和風(fēng)險(xiǎn)值，找出重點(diǎn)關(guān)注環(huán)節(jié)。

　　3.4 A階段

　　(1)統(tǒng)計(jì)匯總信息安全風(fēng)險(xiǎn)控制的成果，去除已經(jīng)解決的問(wèn)題，制訂對(duì)新問(wèn)題的改進(jìn)計(jì)劃；

　　(2)分清計(jì)劃未完成的原因并確立相關(guān)責(zé)任人，依據(jù)有關(guān)規(guī)定進(jìn)行嚴(yán)考核硬兌現(xiàn)；

　　(3)把遺留和新發(fā)現(xiàn)問(wèn)題轉(zhuǎn)人下一個(gè)PDCA管理循環(huán)。

　　4.重點(diǎn)解決信息安全建設(shè)中的幾個(gè)關(guān)鍵問(wèn)題

　　4.1 把握風(fēng)險(xiǎn)評(píng)估尺寸。正確處理存在的風(fēng)險(xiǎn)

　　風(fēng)險(xiǎn)評(píng)估的實(shí)施方法有許多，在做信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)從企業(yè)整體出發(fā)，從企業(yè)需求出發(fā)。通過(guò)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984—2007)給出的風(fēng)險(xiǎn)評(píng)估實(shí)施流程可以較為全面評(píng)估出企業(yè)存在的信息安全風(fēng)險(xiǎn)。

圖2 風(fēng)險(xiǎn)評(píng)估

    信息安全風(fēng)險(xiǎn)識(shí)別出后，采用合理的處置辦法也非常重要。采用的處理方式主要有：①風(fēng)險(xiǎn)減緩，即采用適當(dāng)?shù)目刂拼胧﹣?lái)降低風(fēng)險(xiǎn)。如對(duì)重要信息處理設(shè)備采用冗余配置措施以避免單點(diǎn)故障的發(fā)生；②風(fēng)險(xiǎn)接受，在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)準(zhǔn)則的條件下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn)。特別是適當(dāng)接受那些“風(fēng)險(xiǎn)級(jí)別低的風(fēng)險(xiǎn)”，以確保高級(jí)別風(fēng)險(xiǎn)能及時(shí)而有效地處置；③風(fēng)險(xiǎn)規(guī)避，在可能的情況下，避免某些特殊風(fēng)險(xiǎn)，如將重要信息文件進(jìn)行加密來(lái)避免未授權(quán)人獲得；④風(fēng)險(xiǎn)轉(zhuǎn)移，將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其它地方，如將網(wǎng)站業(yè)務(wù)的維護(hù)托管到第三方專業(yè)維保單位管理，并與其簽訂信息安全保密協(xié)議等。

　　4.2 重視人在燃?xì)馄髽I(yè)信息安全管理中的作用

    在企業(yè)管理中，所有的管理活動(dòng)離不開(kāi)“人”。“人”是信息安全活動(dòng)中最復(fù)雜、最難控制的對(duì)象，許多信息安全事件的發(fā)生是由人而起。要對(duì)企業(yè)中人的行為進(jìn)行約束，明確人的信息安全管理角色和管理職責(zé)；加強(qiáng)人的思想認(rèn)識(shí)，進(jìn)行信息安全的教育和培訓(xùn)，才能構(gòu)建良好的信息安全文化。

　　筆者所在公司在信息安全管理中，首先成立了信息安全小組，把企業(yè)的“一把手”作為推動(dòng)信息安全的組長(zhǎng)，把企業(yè)內(nèi)不同部門的人作為參與信息安全管理的對(duì)象，其中經(jīng)理層和關(guān)鍵崗位人員是安全小組組員，明確了組長(zhǎng)和組員的信息安全責(zé)任和義務(wù)；然后把信息安全責(zé)任制落實(shí)到企業(yè)安全責(zé)任狀中，要求層層簽訂層層落實(shí)，通過(guò)與經(jīng)理層、關(guān)鍵崗位人員簽訂保密承諾書(shū)，來(lái)進(jìn)一步保障企業(yè)信息安全；最后注重培育企業(yè)自己的信息安全文化，特別是通過(guò)報(bào)紙、宣傳欄、企業(yè)OA系統(tǒng)向員工宣傳日常信息安全做法，從小事出發(fā)將注重信息安全形成習(xí)慣。例如，對(duì)電子文件進(jìn)行簡(jiǎn)單加密，離開(kāi)電腦時(shí)進(jìn)行鎖屏保護(hù)、給電腦打開(kāi)設(shè)定密碼保護(hù)、重要文件不被設(shè)為共享，不把公司的文件傳送給第三方(其它公司、網(wǎng)上文庫(kù))，及時(shí)粉碎重要紙質(zhì)文件，及時(shí)做好重要數(shù)據(jù)備份，及時(shí)更新殺毒軟件病毒庫(kù)等。

　　4.3 做好信息資產(chǎn)分類。把資產(chǎn)管理好

　　信息是一種對(duì)燃?xì)馄髽I(yè)具有價(jià)值的資產(chǎn)，但是要想把這種資產(chǎn)管好，必須做到以下幾點(diǎn)：第一，它有兩種存在形式，即有形和無(wú)形，要建立信息資產(chǎn)清單來(lái)管理，這樣在管理中才能做到“胸中有數(shù)”；第二，不同信息有著不同保護(hù)要求，要進(jìn)行信息分類管理，根據(jù)不同分類等級(jí)采取不同的保護(hù)措施。信息保護(hù)等級(jí)可分為：絕密、機(jī)密、秘密、受限、內(nèi)部公開(kāi)、公開(kāi)。在分類時(shí)特別要注意的是考慮共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)的業(yè)務(wù)影響，避免信息保護(hù)等級(jí)被設(shè)定過(guò)高，實(shí)際操作時(shí)影響到業(yè)務(wù)的開(kāi)展；第三，信息的處理過(guò)程很難控制，需要對(duì)信息做好標(biāo)記，標(biāo)記的內(nèi)容要包括安全處理、存儲(chǔ)、傳輸、刪除、銷毀的處理程序，標(biāo)記的程序要涵蓋物理和電子格式的信息資產(chǎn)，不能有遺漏。特別是對(duì)報(bào)廢的存儲(chǔ)介質(zhì)處理，應(yīng)確保銷毀，因?yàn)橐阅壳暗臄?shù)據(jù)恢復(fù)技術(shù)而言，采用格式化的方法來(lái)處理數(shù)據(jù)存儲(chǔ)的物理介質(zhì)很容易被恢復(fù)。因此，最好的辦法是物理銷毀、數(shù)據(jù)覆蓋或者利用不可逆專門工具處理。

　　4.4 合理規(guī)劃信息安全區(qū)域。做好信息處理設(shè)備的安全管理

    在燃?xì)獍踩�生產(chǎn)建設(shè)中分清防爆區(qū)域非常重要，其實(shí)信息安全管理中也要分清信息安全區(qū)域，通常在實(shí)際應(yīng)用中將總經(jīng)理室、財(cái)務(wù)部門、人力資源部門、檔案部門、圖紙?jiān)O(shè)計(jì)部門、信息化部門、信息系統(tǒng)機(jī)房等具有敏感信息的部門劃定在安全區(qū)域內(nèi)，并在物理邊界上加以防護(hù)，防止未授權(quán)的人員進(jìn)入損壞、盜竊、截取。如在財(cái)務(wù)部門、信息化機(jī)房入口安裝門禁、視頻監(jiān)控、圍欄、紅外報(bào)警器等。

　　此外，還要考慮安全區(qū)域內(nèi)的信息安全。筆者發(fā)現(xiàn)在日常工作中設(shè)備故障所造成的信息處理過(guò)程不安全最為常見(jiàn)。因此，對(duì)提供信息處理支持性設(shè)施要格外關(guān)注，要加強(qiáng)設(shè)施的運(yùn)維管理，建立運(yùn)維管理制度，安排專人定期巡檢設(shè)備運(yùn)行情況。條件允許下，還可以配置冗余的硬件設(shè)備，雙回路的供電電源，應(yīng)急電源等。

　　4.5 加強(qiáng)信息安全事件管理，預(yù)防信息安全事件發(fā)生

　　據(jù)燃?xì)馄髽I(yè)發(fā)生的各種信息安全事件的統(tǒng)計(jì)結(jié)果，最典型的有有害程序、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件等。其中，帶來(lái)的損失最嚴(yán)重的是有害程序、網(wǎng)絡(luò)攻擊事件。針對(duì)這些事件，可以采取相應(yīng)的技術(shù)防范措施，如安裝反病毒產(chǎn)品、防火墻產(chǎn)品、人侵檢測(cè)與入侵防御產(chǎn)品，對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行脆弱性掃描等，同時(shí)做好定期設(shè)備的巡查，及時(shí)更換失效的產(chǎn)品。另一方面，根據(jù)本企業(yè)自身情況建立信息安全應(yīng)急預(yù)案，搭建應(yīng)急組織機(jī)構(gòu)，對(duì)信息安全事件分級(jí)，并制定應(yīng)急響應(yīng)機(jī)制、應(yīng)急處置流程(即事故上報(bào)流程)以及恢復(fù)程序。每年開(kāi)展一次應(yīng)急演練，提高信息安全應(yīng)急預(yù)案的可操作性以及相關(guān)人員對(duì)信息安全事件響應(yīng)的熟練程度，可以提高信息安全事件的預(yù)防和處置能力。

　　5.未來(lái)持續(xù)性做好信息安全工作的幾點(diǎn)探索

　　“發(fā)展”和“變化”始終是未來(lái)信息安全的重要特征，只有緊緊抓住這個(gè)特征才能正確地處理和對(duì)待信息安全問(wèn)題。筆者認(rèn)為燃?xì)馄髽I(yè)未來(lái)應(yīng)從如下兩個(gè)方面持續(xù)做好信息安全管理。

　　5.1 正確面對(duì)新技術(shù)的應(yīng)用

　　隨著無(wú)線技術(shù)、物聯(lián)網(wǎng)技術(shù)、“云”技術(shù)等新技術(shù)在企業(yè)中應(yīng)用，企業(yè)在信息應(yīng)用上取得很大突破，新的信息技術(shù)為企業(yè)發(fā)展來(lái)了新的機(jī)遇。但是不斷革新的技術(shù)就像一把“雙刃劍”，一方面它促成了企業(yè)的新發(fā)展，而另一方面也會(huì)為企業(yè)帶來(lái)新的信息安全問(wèn)題。因此，企業(yè)應(yīng)正確的面對(duì)新技術(shù)，在新技術(shù)應(yīng)用同時(shí)，重視加強(qiáng)入侵檢測(cè)技術(shù)、RFID(射頻識(shí)別)技術(shù)、數(shù)字認(rèn)證加密技術(shù)、災(zāi)難備份技術(shù)等安全防護(hù)技術(shù)的應(yīng)用，以保障企業(yè)在新形勢(shì)下的信息安全。與此同時(shí)，通過(guò)實(shí)踐我們也應(yīng)該提高防范意識(shí)，謹(jǐn)防別有用心之人利用信息新技術(shù)來(lái)造成信息破壞或信息安全事故。

　　5.2 大力發(fā)揮人才的優(yōu)勢(shì)

　　信息安全管理離不開(kāi)人，信息技術(shù)的應(yīng)用和維護(hù)更離不開(kāi)人。筆者認(rèn)為持續(xù)性做好信息安全管理的另一突破點(diǎn)在人才管理上。燃?xì)馄髽I(yè)應(yīng)著力培養(yǎng)一批懂信息技術(shù)、懂安全、懂燃?xì)獾木C合性人才，大力發(fā)揮人才優(yōu)勢(shì)，才能使得信息安全保護(hù)持續(xù)性得到有力支撐。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.lukmueng.com/

本文標(biāo)題：淺析燃?xì)馄髽I(yè)的信息安全管理

本文網(wǎng)址：http://m.lukmueng.com/html/consultation/10839313463.html