摘要：本文以XX的信息管理為研究對(duì)象,對(duì)信息安全現(xiàn)狀進(jìn)行調(diào)研和分析,并對(duì)未來(lái)的信息安全建設(shè)將會(huì)遇到的主要問(wèn)題做了深入研究。從目前信息建設(shè)、人員配置、機(jī)制流程等方面進(jìn)行了差距分析與對(duì)比,結(jié)合本企業(yè)的實(shí)際情況,制定出了符合本企業(yè)的信息安全管理策略的基本框架和指導(dǎo)建議,并提供了信息安全管理體系實(shí)施的搭建方案,最終對(duì)該信息安全體系實(shí)施進(jìn)行了總結(jié)評(píng)價(jià)與未來(lái)展望。在企業(yè)信息化大規(guī)模發(fā)展的形勢(shì)下,如何有效地減少或避免因信息安全事故而帶來(lái)的企業(yè)經(jīng)濟(jì)損失,是亟需解決的、具有重大戰(zhàn)略意義的研究課題。本論文的研究是為了保障企業(yè)信息安全建設(shè)目標(biāo)達(dá)成,并最大化地保障企業(yè)利益,并取得良好的管理效果。

關(guān)鍵詞：信息管理;信息安全系統(tǒng); 信息安全管理體系;一、前言
北京XX有限公司（簡(jiǎn)稱BSMC）的前身是首鋼日電電子有限公司（SGNEC），成立于1991年12月。由首鋼總公司和日本NEC電子株式會(huì)社，致力于半導(dǎo)體集成電路制造和銷售的生產(chǎn)廠商。公司擁有半導(dǎo)體集成電路生產(chǎn)的完整生產(chǎn)線(包括晶圓制造和IC封裝)，主要產(chǎn)品品種有MCU(微機(jī)控制單元)電路、遙控電路、顯示驅(qū)動(dòng)電路、通用LIC等。公司主要負(fù)責(zé)ＮＥＣ電子及美國(guó)的客戶，同時(shí)面向國(guó)內(nèi)客戶，開展Foundry產(chǎn)品的代研。是我國(guó)最早從事大規(guī)模集成電路設(shè)計(jì)、制造、封裝和測(cè)試的高科技企業(yè)之一。由于技術(shù)合同到期，2013年12月，成為首鋼總公司旗下的全資子公司。
該公司依托日本先進(jìn)的半導(dǎo)體企業(yè)管理模式，嚴(yán)控制、高效率，建立了較為完備的生產(chǎn)管理系統(tǒng)。但企業(yè)信息系統(tǒng)的建設(shè)并不完善，還存在著各種問(wèn)題。尤其是在制造業(yè)企業(yè)信息化的發(fā)展過(guò)程中，企業(yè)信息安全建設(shè)存在與企業(yè)發(fā)展不符的現(xiàn)象，有待于針對(duì)這些問(wèn)題認(rèn)真剖析展開調(diào)查進(jìn)而解決，希望能夠?qū)ζ髽I(yè)今后的持續(xù)發(fā)展帶來(lái)幫助。
二、企業(yè)信息管理的現(xiàn)狀
隨著知識(shí)經(jīng)濟(jì)的到來(lái)以及信息化網(wǎng)絡(luò)技術(shù)的快速發(fā)展,信息系統(tǒng)網(wǎng)絡(luò)信息化管理模式已經(jīng)在XX公司中廣泛應(yīng)用,很多的日常工作都必須要依靠信息系統(tǒng)來(lái)完成,比如03系統(tǒng)（產(chǎn)品投入履歷跟蹤）、AMS系統(tǒng)（設(shè)備和產(chǎn)品異常處理）、PMS系統(tǒng)（業(yè)務(wù)訂單投入出荷）、VISDA系統(tǒng)（產(chǎn)品生產(chǎn)信息跟蹤分析）。本司以“確保產(chǎn)品質(zhì)量、滿足顧客要求第一”為質(zhì)量方針，通過(guò)各信息系統(tǒng)竭誠(chéng)為廣大客戶提供一流產(chǎn)品和服務(wù)。
然而,信息系統(tǒng)的高效與便利在提高XX公司工作效率的同時(shí),由于缺乏先進(jìn)的管理經(jīng)驗(yàn)以及技術(shù)支持,在實(shí)際的運(yùn)行過(guò)程中,仍然存在一定的管理問(wèn)題,例如:網(wǎng)絡(luò)信息的安全威脅等。當(dāng)下，是信息的時(shí)代，安全性關(guān)系到企業(yè)的健康發(fā)展。就當(dāng)前企業(yè)信息安全管理的現(xiàn)狀及策略問(wèn)題進(jìn)行分析闡述。分別從策略，組織，管理三個(gè)方面進(jìn)行了研究，并分析安全管理現(xiàn)狀,指出本企業(yè)在大數(shù)據(jù)安全管理方面存在不足，結(jié)合實(shí)際給出了具體建議和方法，及具體的實(shí)施方案。
1、信息管理制度不完善
對(duì)內(nèi)部和外部網(wǎng)絡(luò)使用管理混亂，缺少正確的信息化觀念。公司目前有500來(lái)臺(tái)計(jì)算機(jī)，中級(jí)管理層以上人員可以隨意使用外部網(wǎng)絡(luò)，個(gè)別人上班時(shí)間進(jìn)行網(wǎng)絡(luò)購(gòu)物；容易造成網(wǎng)絡(luò)病毒的攻擊，存在安全隱患。
2、企業(yè)管理落后，缺少信息安全意識(shí)
信息安全源于每一個(gè)員工，達(dá)到每一層的安全保護(hù)，管理架構(gòu)的信息安全保護(hù)意識(shí)不足，全員沒(méi)有受到教育和培訓(xùn)。生產(chǎn)過(guò)程中就出現(xiàn)過(guò)由于違規(guī)操作，導(dǎo)致設(shè)備軟件系統(tǒng)癱瘓，使設(shè)備不能正常運(yùn)行的嚴(yán)重問(wèn)題。由于作業(yè)者上班時(shí)間，利用生產(chǎn)設(shè)備的計(jì)算機(jī)玩游戲，誤操作，刪除了生產(chǎn)程序系統(tǒng)內(nèi)容，備份軟件和現(xiàn)有技術(shù)力量無(wú)法恢復(fù)，必須聘請(qǐng)廠家技術(shù)解決，導(dǎo)致了嚴(yán)重的經(jīng)濟(jì)損失。
3、上層管理不重視，重要性被弱化。
管理者戰(zhàn)略對(duì)信息建設(shè)認(rèn)識(shí)不足。沒(méi)有投入更多的人力和物力來(lái)保障信息安全，技術(shù)人員能力不足或身兼數(shù)職等現(xiàn)象，對(duì)信息安全的管理工作造成了極大的安全隱患。
4、信息系統(tǒng)陳舊低端。
信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)不匹配。生產(chǎn)車間使用O3系統(tǒng)還是2010年開發(fā)的，后繼無(wú)更新；異常系統(tǒng)AMS不能添加附件，office不兼容。一是由于不匹配，系統(tǒng)過(guò)時(shí)，使安全風(fēng)險(xiǎn)加大；二是沒(méi)有及時(shí)更新信息系統(tǒng)，安全問(wèn)題薄弱；三是安全漏洞防范不健全、沒(méi)針對(duì)性地做出預(yù)防處理及緊急事故預(yù)案。
三、信息的安全管理策略及措施
為謀求企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展，企業(yè)信息安全必須體現(xiàn)在企業(yè)經(jīng)營(yíng)戰(zhàn)略層次。管理者必須以預(yù)防為主、綜合管理、人員防范和技術(shù)防范相結(jié)合，逐級(jí)建立多層次的安全防護(hù)體系，綜全防范實(shí)現(xiàn)一體化的安全系統(tǒng)。鑒于此，該公司應(yīng)制定相應(yīng)的信息安全管理策略及實(shí)施措施如下。
（一）信息安全管理策略
1、構(gòu)建并完善信息管理制度。
必須進(jìn)行統(tǒng)一規(guī)劃和分工。指定管理保障責(zé)任部門，分工明確，各司其職。保障管理的效率性，防止多頭控制和執(zhí)行不力的現(xiàn)象出現(xiàn)，保障權(quán)責(zé)統(tǒng)一。設(shè)定使用權(quán)限，未簽訂允許授權(quán)單不得進(jìn)入計(jì)算機(jī)信息網(wǎng)絡(luò)或者使用計(jì)算機(jī)信息網(wǎng)絡(luò)資源，將安全信息工作落到實(shí)處。
2、提升全員信息安全意識(shí)。
建立信息安全培訓(xùn)教育制度。組織全體工作人員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，提高自上而下工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺(jué)性。一旦發(fā)現(xiàn)從事危害計(jì)算機(jī)信息網(wǎng)絡(luò)安全的操作活動(dòng)的，承擔(dān)相應(yīng)的處罰責(zé)任，簽訂安全信息保密承諾書。從各部門級(jí)出發(fā)，針對(duì)這些信息隱患制訂安全防范措施。
3、建立信息中心，加強(qiáng)管理和維護(hù)。
信息安全問(wèn)題需要從技術(shù)、運(yùn)行環(huán)境與異常突發(fā)事件的保障三方面解決。①技術(shù)控制層，即在計(jì)算機(jī)系統(tǒng)及其程序設(shè)計(jì)中加以安全控制。?使用正版軟件，保護(hù)運(yùn)行環(huán)境，管理者必須以預(yù)防為主、綜合管理、人員防范和技術(shù)防范相結(jié)合，逐級(jí)建立多層次的安全防護(hù)體系，綜全防范實(shí)現(xiàn)分級(jí)阻止違規(guī)行為，實(shí)現(xiàn)一體化的安全系統(tǒng)。?確保在停電后，業(yè)務(wù)應(yīng)用的安全管理。信管部在接到停電通知時(shí)，應(yīng)設(shè)置便簽提醒自己具體要停電的時(shí)間，若停電時(shí)間在上班時(shí)間，則提前發(fā)出通知給生產(chǎn)現(xiàn)場(chǎng)，避免在停電時(shí)出現(xiàn)文件損壞或資料丟失；若停電時(shí)間發(fā)生在下班時(shí)間，則在下班時(shí)通知所有人關(guān)閉電源，同時(shí)信管部及時(shí)關(guān)閉服務(wù)器，以免停電損壞主機(jī)電源。停電結(jié)束后，打開各應(yīng)用服務(wù)器，并謹(jǐn)記要打開視頻監(jiān)控服務(wù)器，恢復(fù)閉路監(jiān)控系統(tǒng)正常工作。
4、定期評(píng)估，不斷的改進(jìn)。
安全的需求也是逐步變化的，新的安全問(wèn)題也不斷產(chǎn)生，原來(lái)建設(shè)的防護(hù)系統(tǒng)可能不滿足新形勢(shì)下的安全需求，這些都決定了信息安全是一個(gè)動(dòng)態(tài)過(guò)程，需要定期對(duì)信息網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估。
5、及時(shí)改進(jìn)安全方案，調(diào)整安全策略。
完善企業(yè)的信息化應(yīng)用，是隨著企業(yè)的發(fā)展而不斷發(fā)展的。信息技術(shù)更是日新月異的發(fā)展，安全防護(hù)軟件系統(tǒng)由于技術(shù)復(fù)雜，在研制開發(fā)過(guò)程中不可避免的會(huì)出現(xiàn)這樣或者那樣的問(wèn)題，這勢(shì)必決定了安全防護(hù)系統(tǒng)和設(shè)備不可能百分百的防御各種已知的，未知的信息安全威脅。不是所有的信息安全問(wèn)題可以一次解決，人們對(duì)信息安全問(wèn)題的認(rèn)識(shí)是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的，不可能一次就發(fā)現(xiàn)所有的安全問(wèn)題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備，也僅僅是滿足某一些方面的安全需求，不是企業(yè)有某一方面的信息安全需求，市場(chǎng)上就有對(duì)應(yīng)的成熟產(chǎn)品，因此不是所有的安全問(wèn)題都可以找到有效的解決方案。
（二）信息安全管理措施
一是明確責(zé)任，統(tǒng)一由信管部負(fù)責(zé)，統(tǒng)籌安排，協(xié)調(diào)配合。二是建立應(yīng)急小組，規(guī)范突發(fā)事件上報(bào)程序，及時(shí)掌控突發(fā)信息安全事件，及時(shí)協(xié)調(diào)各部門、各事業(yè)部、各專業(yè)力量，將突發(fā)事件的危害影響降至最低點(diǎn)。應(yīng)急處置應(yīng)遵循“依靠技術(shù)、加強(qiáng)管理、預(yù)防為主、快速響應(yīng)、及時(shí)恢復(fù)”的總原則。三是宣傳普及信息安全防范知識(shí)，做好應(yīng)對(duì)信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機(jī)制準(zhǔn)備和工作準(zhǔn)備，提高公共防范意識(shí)以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平。
四、綜述
信息安全是一個(gè)伴隨著企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。所以必須制定有效的管理策略與措施，建立健全企業(yè)信息安全事件工作機(jī)制尤為重要。應(yīng)對(duì)信息安全事件的應(yīng)急處置能力，維護(hù)基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)和重要控制系統(tǒng)的安全，保障公司各項(xiàng)科研生產(chǎn)經(jīng)營(yíng)活動(dòng)安全的順利開展。企業(yè)信息安全的建設(shè)將使得企業(yè)管理水平與國(guó)際先進(jìn)水平接軌，從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展的有力支撐。

參考文獻(xiàn)
[1]劉永華.計(jì)算機(jī)網(wǎng)絡(luò)信息安全[M]. 清華大學(xué)出版社 .? 2014
[2]唐馮慧.信息安全管理現(xiàn)狀及策略研究[J]. 科技風(fēng).2012(13)
[3]成 華.信息安全工程與管理[M]. 西安電子科技大學(xué)出版社 .2012

?