企業(yè)管理信息系統(tǒng)安全性探討
作者:孫瑋
評論: 更新日期:2014年07月19日
3、前企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在的問題
當前我國很多企業(yè)都建立了管理信息系統(tǒng)����,但是不可否認一些企業(yè)管理信息系統(tǒng)的安全性建設(shè)還存在不少問題,幾乎很少有企業(yè)能夠從管理的角度以及人員管理的角度來進行管理信息系統(tǒng)安全建設(shè)�。下面筆者以北京xx公司為例就當前企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在問題作一番說明。北京xx公司成立于1998年���,注冊資本文伍百萬元人民幣��,目前有員工200人�,主要從事房屋裝修業(yè)務(wù)����。該公司2001年進行了信息化建設(shè),并建立了自己的網(wǎng)站�����,網(wǎng)站成立6年來,多次發(fā)生網(wǎng)絡(luò)癱瘓事件�,曾經(jīng)給公司造成了很大的損失。
分析公司造成損失的原因��,我們可以發(fā)現(xiàn)該公司管理信息系統(tǒng)的安全建設(shè)存在以下問題:
3.1.管理
往往由于管理手段不到位��,導致先進的技術(shù)無法發(fā)揮應(yīng)有的效能����。企業(yè)管理信息系統(tǒng)安全問題的解決需要技術(shù)�,但又不能單純依靠技術(shù),信息化的過程其實是人與技術(shù)相互融合的過程�����,如何使管理與技術(shù)相得益彰十分重要����。安全是一個交互的過程,“三分技術(shù)����,七分管理”闡述了企業(yè)管理信息系統(tǒng)安全的本質(zhì)。
3.2.體上���、有計劃地考慮企業(yè)管理信息系統(tǒng)安全問題
企業(yè)各部門�����、各下屬機構(gòu)也存在“各自為政”的局面�,缺少統(tǒng)一規(guī)劃、設(shè)計和管理���。企業(yè)管理信息系統(tǒng)安全強調(diào)的是整體上的管理信息安全性����,而不僅是某一個部門或公司的管理信息安全����。而各部門又確實存在個體差異,對于不同業(yè)務(wù)領(lǐng)域來說����,管理信息安全具有不同的涵義和特征,企業(yè)管理信息系統(tǒng)安全保障體系的戰(zhàn)略性必須涵蓋各部門和各下屬機構(gòu)的管理信息安全保障體系的相關(guān)內(nèi)容�。
3.3.層對企業(yè)管理信息系統(tǒng)安全的認識不夠
企業(yè)管理高層對企業(yè)管理信息系統(tǒng)安全的認識不夠,缺少信息安全管理配套的人力�、物力和財力。人才是管理信息安全保障工作的關(guān)鍵。管理信息安全保障工作的專業(yè)性�����、技術(shù)性很強����,沒有一批業(yè)務(wù)能力強,且具有信息網(wǎng)絡(luò)知識����、信息安全技術(shù)、法律知識和管理能力的復合型人才和專門人才����,就不可能做好信息安全保障工作����。應(yīng)該從信息安全建設(shè)和管理對信息安全人才的實際需求出發(fā),加快信息安全人才的培養(yǎng)��。
3.4.工的管理信息安全教育不夠
員工的管理信息安全意識薄弱�����,90%的安全事故是由于人為疏忽所造成�����。如:有些企業(yè)不限制內(nèi)部人員使用高科技信息載體(U盤、移動硬盤等)����,以及筆記本電腦等移動辦公設(shè)備。缺少管理信息安全的監(jiān)督審計機制����,導致安全項目實施完后無法發(fā)揮長期效能,安全策略無法持續(xù)性改進���。缺少監(jiān)督審計���,就會使得管理制度流于形式,變得空洞����。必須建立安全審計機制,定期對安全制度和安全策略進行審計�,對安全管理工作進行核查,找出安全管理中的問題和漏洞����,并制定相應(yīng)的解決方案進行安全加固�。
缺少完整的信息安全策略��,信息安全管理沒有形成標準和規(guī)范�,沒有形成一套體系。為了更好地加強和規(guī)范計算機信息安全工作�����,還需要進行更加細致和系統(tǒng)的工作�����,通過引進國際先進的安全管理方法和理念I(lǐng)SMS (Information security Management System)���,幫助企業(yè)根據(jù)自身特點建立起適合于業(yè)務(wù)發(fā)展的信息安全管理系統(tǒng)��。
從原因上來看,我國企業(yè)管理信息系統(tǒng)安全性建設(shè)存在上述問題�����,主要在于人們對網(wǎng)絡(luò)安全問題認識上的缺陷���。通常人們將網(wǎng)絡(luò)作為一項純粹的工程來實施�����,缺乏統(tǒng)一的安全管理策略和專門的網(wǎng)絡(luò)維護人員����,另外,企業(yè)缺乏應(yīng)有的信息保密知識�����,被動的使用一些技術(shù)措施來進行防御�����,因此�,在信息管理過程中出現(xiàn)的突發(fā)性事件往往造成很大的經(jīng)濟損失。現(xiàn)實中沒有一個系統(tǒng)是完美的����,不安全因素隨時存在。因此�,安全措施必須滲透到系統(tǒng)的每一個環(huán)節(jié)中的同時,最重要的是要滲透到企業(yè)的每一個層面中����。從管理人的角度來建設(shè)和提高企業(yè)管理信息系統(tǒng)安全 ���。
4、高企業(yè)管理信息系統(tǒng)的安全性的措施探討
企業(yè)管理信息系統(tǒng)安全性建設(shè)是一項系統(tǒng)工程�,不僅涉及到組織架構(gòu)、信息技術(shù)�、人員素質(zhì)等各個方面,還牽扯到國家法律和商業(yè)規(guī)則��。從管理角度探討企業(yè)管理信息系統(tǒng)安全則認為企業(yè)管理信息系統(tǒng)安全本身含義是多樣化的 �。企業(yè)內(nèi)部存在著諸多影響信息安全的因素;改變IT系統(tǒng)不等于改變企業(yè)的管理信息系統(tǒng)安全管理,要使企業(yè)的管理信息盡可能的安全����,必須在技術(shù)投入的基礎(chǔ)上融入人在管理方面的智慧;同時,不僅要防外���,更要防內(nèi)�,即對組織內(nèi)部人員的管理�����。因為�����,除了網(wǎng)上黑客入侵和犯罪�����、網(wǎng)上病毒泛濫和蔓延��、信息間諜的潛入和竊密�����、網(wǎng)絡(luò)恐怖集團的攻擊和破壞以外����,內(nèi)部人員的違規(guī)和違法操作同樣是企業(yè)管理信息系統(tǒng)安全的一大隱患。
針對存在的問題��,筆者認為可以從以下幾個方面來進一步加強企業(yè)管理信息系統(tǒng)安全建設(shè)��。
4.1.安全防范意識
現(xiàn)在許多企業(yè)沒有意識到互聯(lián)網(wǎng)的易受攻擊性���,盲目相信國外的加密軟件����,對于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理。這樣的企業(yè)管理信息系統(tǒng)一旦受到攻擊將變得十分脆弱����,其中的機密數(shù)據(jù)得不到應(yīng)有的保護。尤其是某些企業(yè)信息管理員甚至認為其公司規(guī)模較小��,不會成為黑客的攻擊目標��,如此態(tài)度����,企業(yè)管理信息系統(tǒng)安全更是無從談起。只有提高網(wǎng)絡(luò)安全防范意識����,才能有效的減少信息安全事故的發(fā)生。
4.2.信息安全管理組織體系
一個完整的企業(yè)管理信息系統(tǒng)安全管理體系首先應(yīng)建立完善的組織體系�����。即建立由行政領(lǐng)導���、IT技術(shù)主管��、信息安全主管��、本系統(tǒng)用戶代表和安全顧問組成的安全決策機構(gòu) ����。其職責是建立管理框架����,組織審批安全策略、安全管理制度���,指派安全角色�����,分配安全職責����,并檢查安全職責是否已被正確履行���,核準新信息處理設(shè)施的啟用�、組織安全管理專題會等�。還應(yīng)建立由網(wǎng)絡(luò)管理員、系統(tǒng)管理員��、安全管理員、用戶管理員等組成的安全執(zhí)行機構(gòu)���。該機構(gòu)負責起草網(wǎng)絡(luò)系統(tǒng)的安全策略����、執(zhí)行批準后的安全策略����、日常的安全運行和維護、定期的培訓和安全檢查等�����。
4.3.企業(yè)管理信息安全需求的信息安全策略
安全執(zhí)行機構(gòu)應(yīng)根據(jù)本企業(yè)管理信息系統(tǒng)安全的實際情況制定相應(yīng)的信息安全策略����,策略中應(yīng)明確安全的定義、目標��、范圍和管理責任���,并制定安全策略的實施細則;安全策略文檔要由安全決策機構(gòu)審查�����、批準���,并發(fā)布和傳達給所有的人:安全策略還應(yīng)由安全決策機構(gòu)定期進行有效性審查和評估;在發(fā)生重大的安全事故�����、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時����,應(yīng)重新進行安全策略的審查和評估。
4.4.安全的管理和培訓
參與企業(yè)管理信息系統(tǒng)的管理人員在很大程度上支配著企業(yè)管理信息系統(tǒng)的命運��,因而����,加強對有關(guān)人員的管理變得十分重要。
4.4.1.人員鑒別;
別內(nèi)容應(yīng)包括:個人品質(zhì)和個人業(yè)績的審查�����,申請人履歷的核查(針對完整性和準確性);專業(yè)資格證書的證實;身份證件核查(身份證或護照)等�����。人員錄用或人員職位調(diào)整時,一般要簽署保密協(xié)議���。當人員到期離開或協(xié)議到期��、工作終止時��,要審查保密協(xié)議��。
4.4.2. 對有關(guān)人員進行上崗培訓��,建立人員培訓計劃��,定期組織安全策略和規(guī)程方面的培訓�。
培訓內(nèi)容包括:安全要求�����、崗位職責��、業(yè)務(wù)控制�、事故報告規(guī)程和事故響應(yīng)規(guī)程以及如何正確使用信息處理設(shè)施等;
4.4.3落實工作責任制,在崗位職責中明確本崗位執(zhí)行安全政策的常規(guī)職責和本崗位保護特定資產(chǎn)��、執(zhí)行特定安全過程或活動的特別職責,對違反網(wǎng)上交易安全規(guī)定的人員要進行及時的處理�����。
4.4.4. 管理信息分類并實行等級安全保護����。
根據(jù)信息的性質(zhì)和重要程度劃分為三級:A級,機密信息��,實行強制安全保護;B級����,內(nèi)部信息��,實行自主安全保護:C級���,公共信息�,實行一般安全保護��。
結(jié)語
企業(yè)信息安全管理工作需要形成體系���,才能保證信息安全管理的規(guī)范和長效����。而建立一個有效的企業(yè)信息安全管理體系首先需要在好的企業(yè)信息安全管理的基礎(chǔ)上,要制定出相關(guān)的管理策略和規(guī)章制度�,然后才是在安全產(chǎn)品的幫助下搭建起整個架構(gòu),在運行過程中還需要根據(jù)變化的環(huán)境不斷改進�,并將這種改進寫入信息安全管理方法及策略中。
當然��,由于企業(yè)信息安全系統(tǒng)設(shè)計到很多方面的問題�,本身也是一個復雜系統(tǒng),因此完善企業(yè)信息安全系統(tǒng)仍然需要做出很大努力���。由于本人水平以及資料收集問題�,本文還有一些需要進一步探討的地方��。比如如何結(jié)合具體的企業(yè)進行具體的新息安全設(shè)計以及出現(xiàn)了安全事故如何進一步采取措施來減少損失等等���,都需要進一步加以探討���。筆者今后仍將進一步關(guān)注企業(yè)信息安全系統(tǒng)建設(shè)。
參考文獻:
1.1. 徐緒松.管理信息系統(tǒng).武漢大學出版社.2005年4月版.第76頁
2.2. 王眾托.信息化與管理變革的系統(tǒng)觀.載于.系統(tǒng)工程理論與實踐.2004年第3期
3.3. 薛華成.管理信息系統(tǒng).清華大學出版社.2004年5月版.第56頁
?
