企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,以下是小編搜集整理的一篇關於企業信息安全管理因素探究的論文範文,歡迎閱讀查看。
現代社會飛速發展的計算機及網絡技術,尤其是以智慧型手機為載體的移動網際網路的迅猛發展,為社會大眾帶來便利的同時,信息的安全逐漸擺在人們面前,各種軟體賬號和密碼、作業系統漏洞、地理位置信息、病毒木馬等等,都對當今企業的信息工作帶來巨大挑戰。為提升全集團信息安全防護管理水平,根據《建築施工企業信息化評價標準》等國家標準和總公司相關信息安全文件要求,我單位信息安全管理工作必須按計劃有序開展。
1 企業信息安全管理的失誤因素分析
1.1 信息安全組織臨時化
通常,企業只有在發生了信息泄露、病毒攻擊、系統破壞等信息安全事件時,才會臨時從信息技術部和業務部門抽調人手處理和解決信息安全事件。出現新的信息安全要求時,才會臨時組建項目小組,根據新的信息安全要求制定解決方案並實施計劃,項目完成後,臨時小組就會解散,沒有人會繼續跟進和執行解決方案。由於沒有定期的信息安全評估,安全計劃不斷地重複開始和結束,帶來大量的人財物重複投入,這將導致安全計劃成本不斷增加,企業的工作效率不斷降低,信息安全防護也未得到有效提升。
1.2 員工上網無限制
雖然企業為員工上網提供了用戶名及密碼,並且對其登錄的網站進行了監測,但是員工在工作時間還是可以無設防地利用外網進行網頁遊覽、網絡社交等行為,並且使用一些網站的免費郵箱隨意地接收和發送電子郵件,這些給黑客、病毒、釣魚軟體等創造了對企業內部網絡攻擊的機會。於是,員工在不了解原因的情況下,使得企業的信息被泄露或者內部網絡癱瘓,從而影響企業的正常工作,造成企業資產的損失。
1.3 個人移動設備(BYOD)使用泛濫
在企業的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智慧型手機、移動硬碟等進行辦公。企業員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,並且可以使用移動設備接入企業內網的無線Wi-Fi,並擁有一定程度的內網數據讀取權限,這樣做雖然節約了企業的辦公成本,提高了辦公的效率,但是也增加了企業內網病毒感染及遭受黑客惡意入侵的風險。
1.4 信息安全防護水平有限
出於性能、技術等因素的考慮,加之國內自主研發的信息安全產品較少,目前進口的信息安全產品受到許多企業的廣泛採用。儘管這些企業的信息安全需求以此得到了滿足,但近幾年來,進口產品設備故障的頻繁發生也對企業的業務帶來了不同程度的影響。同時,進口信息安全產品已經占據了這些企業信息系統的關鍵節點,這使得企業的商業機密時刻處於高危狀態。不僅如此,部分企業仍舊停留在使用免費的個人版殺毒軟體階段,而這些軟體不僅無法解決病毒交叉感染的問題,也沒有統一的管理平台對企業內網的安全系統進行統一的升級與維護。
1.5 信息安全事件處理不及時
企業在發生信息安全事件時,即使有相關的信息安全管理產品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處於混亂、無序的運維管理狀態。由於企業的安全管理人員無法全面了解整個企業網絡中正在發生的內部越權訪問和外部攻擊,出現問題時,他們多表現得無從下手或者手忙腳亂。而且,企業各部門各自為政,對發生信息安全事件無法進行統一規範的快速處理。
2 改進企業信息安全管理的對策
2.1 建立健全的信息安全組織層級結構
企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,對企業的信息資源、人力資源、安全技術產品等進行合理安排和配置,構成相互協作的有機整體,使企業的信息安全活動協調有效地運行。企業通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執行部層級結構,不僅能在企業中形成一張網,覆蓋企業的各個部門,有利於信息安全措施的實施和針對信息安全事件的快速響應,而且還能為後續建立信息安全管理體系提供組織上的保證。信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協調各部門實施信息安全控制措施以及信息安全活動的實施等。
2.2 加強人員教育培訓和規範管理
信息安全最大的威脅不是來自於企業外部的攻擊或是企業信息安全技術的缺陷,而是企業人員缺乏信息安全意識。為了能夠有效地提高企業員工的信息安全意識,企業需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業的信息安全。企業在制定信息安全教育培訓內容時,可以根據員工在企業中所處的職位高低和工作性質的不同有針對性地制定。對於企業管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業務特點以信息安全意識培訓為主。除了對企業的人員進行教育培訓,還需對其進行規範化管理。對掌握產品生產、原材料採購等核心信息的管理者實施更加嚴格的信息安全監督管理制度;對負責計算機系統及日常維護的人員界定其工作權限;規範化管理員工的上網行為,合理利用網絡資源,避免人為的網絡安全隱患。
2.3 完善信息安全技術體系
一是保障並完善數據安全,企業需通過加密的手段保護企業系統中數據的機密性和完整性,從而提高數據訪問的抗抵賴性,同時加強數據的異地災難恢復機制,實現本地數據的實時遠程複製與備份,避免本地系統遭受災難性破壞導致企業系統中數據的遺失。
二是保障並完善終端安全,企業除了要採用全面可靠的防病毒體系和防火牆技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業內部文件,導致企業內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業系統設置的防火牆而直接在系統內部傳播。
三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現象,最大限度地保障個人系統的安全。
四是保障和完善網絡安全,企業還需通過內外部署相應的網絡與信息安全設施使計算機設備的物理管理得到加強,並對入侵檢測系統和漏洞掃描系統進行內外部攻擊和誤操作的實時保護的安全設計,使系統免於網絡攻擊的同時,也提升了系統管理人員的安全管理水平。
3 結語
綜上所述,企業要充分考慮安全失誤因素,並分析出改進企業信息安全管理的措施。隨著計算機及網絡技術的發展,信息安全管理也會取得更多的發展。
現代社會飛速發展的計算機及網絡技術,尤其是以智慧型手機為載體的移動網際網路的迅猛發展,為社會大眾帶來便利的同時,信息的安全逐漸擺在人們面前,各種軟體賬號和密碼、作業系統漏洞、地理位置信息、病毒木馬等等,都對當今企業的信息工作帶來巨大挑戰。為提升全集團信息安全防護管理水平,根據《建築施工企業信息化評價標準》等國家標準和總公司相關信息安全文件要求,我單位信息安全管理工作必須按計劃有序開展。
1 企業信息安全管理的失誤因素分析
1.1 信息安全組織臨時化
通常,企業只有在發生了信息泄露、病毒攻擊、系統破壞等信息安全事件時,才會臨時從信息技術部和業務部門抽調人手處理和解決信息安全事件。出現新的信息安全要求時,才會臨時組建項目小組,根據新的信息安全要求制定解決方案並實施計劃,項目完成後,臨時小組就會解散,沒有人會繼續跟進和執行解決方案。由於沒有定期的信息安全評估,安全計劃不斷地重複開始和結束,帶來大量的人財物重複投入,這將導致安全計劃成本不斷增加,企業的工作效率不斷降低,信息安全防護也未得到有效提升。
1.2 員工上網無限制
雖然企業為員工上網提供了用戶名及密碼,並且對其登錄的網站進行了監測,但是員工在工作時間還是可以無設防地利用外網進行網頁遊覽、網絡社交等行為,並且使用一些網站的免費郵箱隨意地接收和發送電子郵件,這些給黑客、病毒、釣魚軟體等創造了對企業內部網絡攻擊的機會。於是,員工在不了解原因的情況下,使得企業的信息被泄露或者內部網絡癱瘓,從而影響企業的正常工作,造成企業資產的損失。
1.3 個人移動設備(BYOD)使用泛濫
在企業的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智慧型手機、移動硬碟等進行辦公。企業員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,並且可以使用移動設備接入企業內網的無線Wi-Fi,並擁有一定程度的內網數據讀取權限,這樣做雖然節約了企業的辦公成本,提高了辦公的效率,但是也增加了企業內網病毒感染及遭受黑客惡意入侵的風險。
1.4 信息安全防護水平有限
出於性能、技術等因素的考慮,加之國內自主研發的信息安全產品較少,目前進口的信息安全產品受到許多企業的廣泛採用。儘管這些企業的信息安全需求以此得到了滿足,但近幾年來,進口產品設備故障的頻繁發生也對企業的業務帶來了不同程度的影響。同時,進口信息安全產品已經占據了這些企業信息系統的關鍵節點,這使得企業的商業機密時刻處於高危狀態。不僅如此,部分企業仍舊停留在使用免費的個人版殺毒軟體階段,而這些軟體不僅無法解決病毒交叉感染的問題,也沒有統一的管理平台對企業內網的安全系統進行統一的升級與維護。
1.5 信息安全事件處理不及時
企業在發生信息安全事件時,即使有相關的信息安全管理產品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處於混亂、無序的運維管理狀態。由於企業的安全管理人員無法全面了解整個企業網絡中正在發生的內部越權訪問和外部攻擊,出現問題時,他們多表現得無從下手或者手忙腳亂。而且,企業各部門各自為政,對發生信息安全事件無法進行統一規範的快速處理。
2 改進企業信息安全管理的對策
2.1 建立健全的信息安全組織層級結構
企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,對企業的信息資源、人力資源、安全技術產品等進行合理安排和配置,構成相互協作的有機整體,使企業的信息安全活動協調有效地運行。企業通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執行部層級結構,不僅能在企業中形成一張網,覆蓋企業的各個部門,有利於信息安全措施的實施和針對信息安全事件的快速響應,而且還能為後續建立信息安全管理體系提供組織上的保證。信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協調各部門實施信息安全控制措施以及信息安全活動的實施等。
2.2 加強人員教育培訓和規範管理
信息安全最大的威脅不是來自於企業外部的攻擊或是企業信息安全技術的缺陷,而是企業人員缺乏信息安全意識。為了能夠有效地提高企業員工的信息安全意識,企業需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業的信息安全。企業在制定信息安全教育培訓內容時,可以根據員工在企業中所處的職位高低和工作性質的不同有針對性地制定。對於企業管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業務特點以信息安全意識培訓為主。除了對企業的人員進行教育培訓,還需對其進行規範化管理。對掌握產品生產、原材料採購等核心信息的管理者實施更加嚴格的信息安全監督管理制度;對負責計算機系統及日常維護的人員界定其工作權限;規範化管理員工的上網行為,合理利用網絡資源,避免人為的網絡安全隱患。
2.3 完善信息安全技術體系
一是保障並完善數據安全,企業需通過加密的手段保護企業系統中數據的機密性和完整性,從而提高數據訪問的抗抵賴性,同時加強數據的異地災難恢復機制,實現本地數據的實時遠程複製與備份,避免本地系統遭受災難性破壞導致企業系統中數據的遺失。
二是保障並完善終端安全,企業除了要採用全面可靠的防病毒體系和防火牆技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業內部文件,導致企業內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業系統設置的防火牆而直接在系統內部傳播。
三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現象,最大限度地保障個人系統的安全。
四是保障和完善網絡安全,企業還需通過內外部署相應的網絡與信息安全設施使計算機設備的物理管理得到加強,並對入侵檢測系統和漏洞掃描系統進行內外部攻擊和誤操作的實時保護的安全設計,使系統免於網絡攻擊的同時,也提升了系統管理人員的安全管理水平。
3 結語
綜上所述,企業要充分考慮安全失誤因素,並分析出改進企業信息安全管理的措施。隨著計算機及網絡技術的發展,信息安全管理也會取得更多的發展。
收藏