企業(yè)信息安全管理體系構(gòu)建的要點(diǎn)與策略,信息管理論文

企業(yè)信息安全管理體系構(gòu)建的重點(diǎn)與策略,信息管理論文摘要：互聯(lián)網(wǎng)時(shí)代，信息技術(shù)全面發(fā)展。信息技術(shù)的普及方便了企業(yè)的信息獲取，但也給企業(yè)的信息管理帶來了宏大的風(fēng)險(xiǎn)。信息分享時(shí)代，構(gòu)建一個(gè)安全的信息管理體系，對(duì)于企業(yè)的發(fā)展有著重要的作用。加強(qiáng)企業(yè)的信息管理，不僅能夠提升企業(yè)的競(jìng)爭(zhēng)力，還能夠推動(dòng)企業(yè)的可持續(xù)發(fā)展。主要對(duì)企業(yè)信息安全的現(xiàn)在狀況進(jìn)行分析，并提出企業(yè)信息安全管理體系構(gòu)建的有效策略。本文關(guān)鍵詞語:企業(yè)信息;信息技術(shù);安全管理體系;在經(jīng)濟(jì)全面發(fā)展的趨勢(shì)下，信息化和工業(yè)化不斷融合，企業(yè)的信息管理已經(jīng)成為企業(yè)經(jīng)營(yíng)的重要部分，對(duì)于企業(yè)的設(shè)計(jì)研發(fā)、生產(chǎn)制造、業(yè)務(wù)銷售等都有著重要的影響。數(shù)據(jù)時(shí)代，企業(yè)對(duì)于信息的應(yīng)用越廣泛，對(duì)信息體系的依靠就越強(qiáng)，企業(yè)所面臨的信息風(fēng)險(xiǎn)越高。企業(yè)在發(fā)展的經(jīng)過中，既要發(fā)揮信息化的優(yōu)勢(shì)和價(jià)值，也要做好信息的管理工作。要構(gòu)建安全的信息管理體系，僅僅依靠技術(shù)是不夠的，必需要將技術(shù)和管理進(jìn)行有效的結(jié)合，只要這樣，才能構(gòu)建一個(gè)完好的安全體系，進(jìn)而推動(dòng)企業(yè)發(fā)展。1.企業(yè)信息安全管理的現(xiàn)在狀況1.1、信息安全管理體系缺乏總體性的規(guī)劃和策略企業(yè)對(duì)于信息的安全管理，通常都交由IT部門管理，很多管理人員會(huì)覺得信息管理就是IT部門的事情。在這個(gè)基礎(chǔ)上，企業(yè)的其他部門對(duì)于企業(yè)的信息安全建設(shè)，很少會(huì)關(guān)注，這是影響安全體系完好性的重要因素。IT部門的網(wǎng)絡(luò)技術(shù)對(duì)于信息的保衛(wèi)有一定效果，但卻缺乏管理作用。企業(yè)信息牽涉到的人員包含各個(gè)部門，除了IT部門，很多部門的人員都會(huì)接觸到企業(yè)的信息，IT部門只能從技術(shù)上對(duì)信息和數(shù)據(jù)進(jìn)行保存，但內(nèi)部的信息保衛(wèi)，IT部門是沒有辦法完成的，這個(gè)環(huán)節(jié)需要專業(yè)的管理人員來規(guī)劃和管理。安全體系缺乏完好性和總體性的規(guī)劃，會(huì)讓企業(yè)的信息建設(shè)過于零散，也沒有辦法對(duì)信息資源的提供方進(jìn)行有效的防護(hù)。1.2、企業(yè)員工的信息安全意識(shí)薄弱，專業(yè)性人才缺乏重技術(shù)、輕管理。這是所有企業(yè)發(fā)展中普遍存在的問題，關(guān)于企業(yè)的信息安全問題，很多管理人員缺乏正確的認(rèn)識(shí)，甚至有管理人員以為信息安全就是殺毒和安裝防火墻。這樣的認(rèn)知不僅片面，還會(huì)讓企業(yè)員工的安全意識(shí)變得薄弱。企業(yè)在發(fā)展的經(jīng)過中，出于經(jīng)濟(jì)利益的考慮，都會(huì)讓系統(tǒng)的管理人員承當(dāng)管理和系統(tǒng)配置的雙重責(zé)任，安全系統(tǒng)的設(shè)計(jì)和審核都是一人完成。要真正完成這兩項(xiàng)工作，需要非常專業(yè)的信息安全管理人員，但大部分企業(yè)的系統(tǒng)管理人員都不是專業(yè)人員，所以很難將安全管理的工作進(jìn)行到位，這會(huì)給企業(yè)的安全管理造成嚴(yán)重的隱患，也容易讓企業(yè)信息處于失控的局面。1.3、信息安全缺乏體系化的管理要對(duì)信息安全進(jìn)行有效的關(guān)系，需要一個(gè)完好的體系，但實(shí)際管理工作開展的經(jīng)過中，很多企業(yè)的管理方式都是零散和傳統(tǒng)的。傳統(tǒng)的管理方式是彌補(bǔ)，卻沒有查缺。基本都是管理經(jīng)過中出了問題，再進(jìn)行彌補(bǔ)，但沒有出現(xiàn)問題之前，企業(yè)很少會(huì)進(jìn)行預(yù)防。這種管理形式已經(jīng)適應(yīng)不了當(dāng)代市場(chǎng)經(jīng)濟(jì)的發(fā)展了，對(duì)于信息安全的管理也不夠全面。要對(duì)信息安全進(jìn)行體系化管理，管理工作需要全面。預(yù)防、控制、改良、評(píng)估等環(huán)節(jié)缺一不可。2.企業(yè)信息安全管理體系構(gòu)建的重點(diǎn)2.1、完善信息安全管理的組織機(jī)構(gòu)要構(gòu)建一個(gè)完好的管理體系，企業(yè)必須對(duì)管理的組織機(jī)構(gòu)進(jìn)行完善，組建一個(gè)專門的管理機(jī)制。管理工作開展的經(jīng)過中，要明確各個(gè)人員的職責(zé)，這樣確保分工明確，職責(zé)到位。假如組織的機(jī)構(gòu)不明確，安全管理工作開展的經(jīng)過中，會(huì)出現(xiàn)人手缺乏的情況，對(duì)于管理工作的開展，也沒有辦法進(jìn)行深切進(jìn)入，這會(huì)降低管理工作的質(zhì)量和力度。組織機(jī)構(gòu)不夠完善，也會(huì)讓管理制度缺乏，這樣容易造成信息安全事件，所以企業(yè)構(gòu)建管理體系的時(shí)候，一定要加強(qiáng)管理機(jī)制的完善，如此圖1所示。圖1CISP知識(shí)體系構(gòu)造2.2、對(duì)物理環(huán)境進(jìn)行有效的管理安全管理的經(jīng)過中，環(huán)境管理也是工作的重要組成部分。安全管理中的物理環(huán)境主要是指機(jī)房、設(shè)備、消防等，物理環(huán)境管理中，支持設(shè)備的管理尤為重要，信息技術(shù)不斷發(fā)展的經(jīng)過中，對(duì)于計(jì)算機(jī)設(shè)備的要求也越來越高，所以安全管理工作開展的經(jīng)過中，一定要加強(qiáng)對(duì)設(shè)備的管理。對(duì)于機(jī)房，企業(yè)能夠根據(jù)業(yè)務(wù)發(fā)展的實(shí)際情況進(jìn)行劃分和評(píng)審，根據(jù)設(shè)備的系統(tǒng)模塊建立相對(duì)應(yīng)的管理制度。機(jī)房的消防管理也是安全重點(diǎn)，一定要構(gòu)建消防系統(tǒng)，系統(tǒng)構(gòu)建的經(jīng)過中，要根據(jù)規(guī)定的消防要求。這個(gè)經(jīng)過中，還要對(duì)工作人員進(jìn)行消防知識(shí)的培訓(xùn)，和應(yīng)急演練。定期檢查消防設(shè)施安全，對(duì)于不符合規(guī)定的消防設(shè)施，及時(shí)更換和維護(hù)。對(duì)消防秩序進(jìn)行監(jiān)督和巡查，支持性的設(shè)備一定要建立監(jiān)控系統(tǒng)，對(duì)于設(shè)備的資產(chǎn)管理、維護(hù)管理、系統(tǒng)應(yīng)急等，一定要進(jìn)行有效的管理，物理環(huán)境的管理是管理工作的基礎(chǔ)，也是開展工作的前提。2.3、用戶和操作管理對(duì)所有設(shè)備的運(yùn)行施行網(wǎng)絡(luò)監(jiān)控，要做到這一點(diǎn)，能夠啟動(dòng)設(shè)備的日志功能。對(duì)于重要設(shè)備，能夠構(gòu)建集中日志管理服務(wù)器，這樣能夠?qū)θ罩镜膶彶檫M(jìn)行分析。對(duì)設(shè)備進(jìn)行定期維護(hù)，能夠根據(jù)設(shè)備的重要性制定相對(duì)應(yīng)的備份策略，對(duì)于設(shè)備的備份數(shù)據(jù)進(jìn)行測(cè)試，這樣能夠保障數(shù)據(jù)的完好性和可用性。設(shè)置用戶權(quán)限，遵循最小受權(quán)和權(quán)限分割的原則。所有賬號(hào)開通之后，要對(duì)初始口令進(jìn)行修改采用高級(jí)密碼策略。對(duì)于密碼的變更，要建立嚴(yán)格的管理流程，對(duì)于影響安全組織和信息處理設(shè)施的系統(tǒng)變更，要加以控制，嚴(yán)格規(guī)定操作流程，這樣能夠減少誤用系統(tǒng)帶來的風(fēng)險(xiǎn)。2.4、信息系統(tǒng)的開發(fā)、維護(hù)和獲取管理信息系統(tǒng)的獲取和維護(hù)經(jīng)過，也是安全管理的重要內(nèi)容，使用安全系統(tǒng)和工具的經(jīng)過中，要對(duì)內(nèi)部的應(yīng)用系統(tǒng)和工具提出安全需求，這個(gè)經(jīng)過中，需要在開發(fā)需求文件中對(duì)安全需求定義。假如軟件的開發(fā)經(jīng)過中需要測(cè)試數(shù)據(jù)，一定要對(duì)數(shù)據(jù)進(jìn)行選擇、保衛(wèi)和控制。對(duì)于個(gè)人信息和敏感信息一定要進(jìn)行處理，嚴(yán)格控制訪問的流程和相關(guān)資料。對(duì)于非受權(quán)的功能一定要進(jìn)行控住，這樣能夠減少應(yīng)用故障。2.5、業(yè)務(wù)連續(xù)性管理對(duì)安全體系內(nèi)的系統(tǒng)和設(shè)施進(jìn)行業(yè)務(wù)連續(xù)性管理分析，分析管理體系中可能會(huì)面臨的風(fēng)險(xiǎn)和故障，對(duì)風(fēng)險(xiǎn)進(jìn)行等級(jí)評(píng)估。假如是不可接受的風(fēng)險(xiǎn)，能夠采取降低風(fēng)險(xiǎn)措施，并構(gòu)建應(yīng)急方案。假如系統(tǒng)的運(yùn)行環(huán)境發(fā)生了重大變化，要對(duì)系統(tǒng)的風(fēng)險(xiǎn)等級(jí)進(jìn)行二次評(píng)估，根據(jù)應(yīng)急的系統(tǒng)現(xiàn)在狀況和需求，制定連續(xù)性計(jì)劃。通過模擬測(cè)試的方式方法對(duì)計(jì)劃進(jìn)行評(píng)估和審查，假如系統(tǒng)出現(xiàn)危機(jī)，業(yè)務(wù)連續(xù)性管理特別重要，不僅提高了企業(yè)風(fēng)險(xiǎn)防備的能力，還降低了業(yè)務(wù)中斷做帶來的損失。3.構(gòu)建企業(yè)信息安全管理的有效策略3.1、信息安全管理體系模型現(xiàn)前階段，對(duì)于信息安全管理的標(biāo)準(zhǔn)，最具代表性和權(quán)威性的是ISO/IEC27000系列標(biāo)準(zhǔn)，信息安全的管理主要建立在風(fēng)險(xiǎn)管理上，采用風(fēng)險(xiǎn)分析的形式，降低風(fēng)險(xiǎn)發(fā)生的概率，所以信息安全管理的體系模型能夠從下面幾分方面入手。首先，計(jì)劃和施行，對(duì)安全體系的計(jì)劃階段，主要是用來保證管理體系的構(gòu)建，而施行是保障體系的內(nèi)容和范圍。其次，檢查和改良。這一階段主要是對(duì)信息的安全辨別和改良方案的施行。安全管理體系中，檢查是一個(gè)非常重要的環(huán)節(jié)，不僅能判定安全管理能否科學(xué)，還能夠檢查其安全措施能否有效。通過改良計(jì)劃，能夠?qū)ο到y(tǒng)進(jìn)行完善。3.2、信息安全管理體系構(gòu)建的經(jīng)過安全管理體系的構(gòu)建是一個(gè)系統(tǒng)的工程，企業(yè)要構(gòu)建一個(gè)完好的體系，必需要得到企業(yè)領(lǐng)導(dǎo)的許可，只要這樣，才能保障安全體系構(gòu)建的資源支持。但安全體系的運(yùn)行需要各個(gè)部門的介入，所以企業(yè)對(duì)體系機(jī)構(gòu)要進(jìn)行重新設(shè)置。安全管理不僅僅僅是IT部門的事情，而是整個(gè)企業(yè)部門共同介入的管理工作，要構(gòu)建一個(gè)完好的安全管理體系，需要整個(gè)企業(yè)的工作人員共同介入和協(xié)作。企業(yè)的信息安全組織機(jī)構(gòu)包含決策層、管理層、執(zhí)行層。要確保管理體系的正常運(yùn)行，這三個(gè)組織機(jī)構(gòu)必需要發(fā)揮各自的作用。決策層通常都是企業(yè)信息安全管理的最高管理機(jī)構(gòu)，需要為企業(yè)的安全管理提供各類的必要資源。管理層負(fù)責(zé)的是信息安全的管理和監(jiān)督、教育和考核。中小型企業(yè)以IT部門承當(dāng)這一職責(zé)，但要確保安全管理體系正常運(yùn)行，需要設(shè)立專門的管理部門。執(zhí)行層是策略和計(jì)劃落實(shí)額的人員，所以執(zhí)行人員一定要加強(qiáng)本身的專業(yè)素質(zhì)和水平。3.3、建立管理體系一個(gè)完好體系的建立需要涵蓋多個(gè)方面，能夠從下面幾點(diǎn)入手。首先，制定信息安全的方針和策略。關(guān)于信息的安全管理，企業(yè)在發(fā)展的經(jīng)過中應(yīng)該制定一個(gè)總體的方針。根據(jù)企業(yè)的發(fā)展方向和實(shí)際情況，制定對(duì)應(yīng)的策略。其次，對(duì)安全管理體系的范圍進(jìn)行定義，任何一個(gè)企業(yè)的資源都是有限的，所以構(gòu)建管理體系的時(shí)候，對(duì)管理范圍的定義很重要。要做出準(zhǔn)確的定義，能夠從組織、人員、技術(shù)和設(shè)備等方面考慮，這樣能夠構(gòu)成完好的管理體系。在體系構(gòu)建的經(jīng)過中，風(fēng)險(xiǎn)的評(píng)估是不可缺少的一個(gè)環(huán)節(jié)，企業(yè)需要對(duì)現(xiàn)有的信息框架進(jìn)行評(píng)估，在現(xiàn)有的基礎(chǔ)上進(jìn)行完善和補(bǔ)充，并產(chǎn)生新的評(píng)估數(shù)據(jù)。最后，制定處理計(jì)劃。對(duì)企業(yè)所面臨的風(fēng)險(xiǎn)，管理體系需要制定專門的處理計(jì)劃，對(duì)于不可控制的風(fēng)險(xiǎn)，能夠采取轉(zhuǎn)移和降低的方式方法進(jìn)行處理，處理計(jì)劃施行的經(jīng)過中，一定要落實(shí)相關(guān)責(zé)任。對(duì)信息安全管理體系進(jìn)行編寫的經(jīng)過中，其內(nèi)容要符合企業(yè)的發(fā)展現(xiàn)在狀況，操作方式方法具有實(shí)用性。4.結(jié)束語對(duì)于企業(yè)信息的管理，沒有絕對(duì)的安全性可言，企業(yè)構(gòu)建安全管理體系之后，并不代表企業(yè)的信息管理就沒有了風(fēng)險(xiǎn)，管理體系只是對(duì)企業(yè)的信息風(fēng)險(xiǎn)進(jìn)行預(yù)防、降低和處理。這樣能夠減少企業(yè)的經(jīng)濟(jì)損失，也能保障企業(yè)的可持續(xù)發(fā)展。但企業(yè)要落實(shí)管理體系，需要對(duì)管理體系中出現(xiàn)的問題進(jìn)行分析、總結(jié)和改良，只要這樣，才能真正發(fā)揮管理體系的作用。以下為參考文獻(xiàn)[1]戴海斌當(dāng)代企業(yè)信息安全防控策略研究[J]黑龍江科學(xué).202