導言：作為寫作愛好者，不可錯過為您精心挑選的10篇企業(yè)信息安全規(guī)劃，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

中圖分類號：TP309.2文獻標識碼：A 文章編號：1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

據來自eWeek 的消息，市場研究機構Gartner 研究報告稱，很對企業(yè)目前仍缺乏完整的信息安全規(guī)劃和規(guī)范。盡管目前很多企業(yè)在信息安全方面的投入每年都在緩慢增長，但由于推動力以外部法律法規(guī)的約束和商業(yè)業(yè)務的壓力為主，因此他們對安全技術和服務的選擇和使用仍停留在一個相對較低的水平。尤其對于機構構成方式為分布式的企業(yè)而言，因為信息安全需求和部署相對更加復雜，投入更多，因此這類企業(yè)的信息安全規(guī)劃就更加缺乏。

本文根據這類分布式企業(yè)的特點提出了一種符合該類企業(yè)實際的信息安全規(guī)劃方案。

2 總體規(guī)劃原則和目標

2.1 總體規(guī)劃原則

對于分布式企業(yè)的信息安全規(guī)劃，要遵守如下原則：適度集中，控制風險；突出重點，分級保護；統(tǒng)籌安排，分步實施；分級管理，責任到崗；資源優(yōu)化，注重效益。

這個原則的制定主要是根據分布式企業(yè)的實際機構構成情況、人員素質情況以及資源配置情況來制定的。

2.2 總體規(guī)劃目標

信息系統(tǒng)安全規(guī)劃的方法可以不同、側重點可以不同，但是需要圍繞組織安全、管理安全、技術安全進行全面的考慮。信息系統(tǒng)安全規(guī)劃的最終效果應該體現(xiàn)在對信息系統(tǒng)與信息資源的安全保護上，下面將分別對組織規(guī)劃、管理規(guī)劃和技術規(guī)劃分別進行闡述。信息安全規(guī)劃依托企業(yè)信息化戰(zhàn)略規(guī)劃，對信息化戰(zhàn)略的實施起到保駕護航的作用。信息系統(tǒng)安全規(guī)劃的目標應該與企業(yè)信息化的目標是一致的，而且應該比企業(yè)信息化的目標更具體明確、更貼近安全。信息系統(tǒng)安全規(guī)劃的一切論述都要圍繞著這個目標展開和部署。

3 信息安全組織規(guī)劃

3.1 組織規(guī)劃目標

組織建設是信息安全建設的基本保證，信息安全組織的目標是：

1）完善和形成一個獨立的、完整的、動態(tài)的、開放的信息安全組織架構，達到國際國內標準的要求；

2）打造一支具有專業(yè)水準的、過硬本領的信息安全隊伍。對內可以保障企業(yè)內部網安全，對外可以向社會提供高品質的安全服務；

3）建設一個 “信息安全運維中心（SOC）”，能夠滿足當前和未來的業(yè)務發(fā)展及信息安全組織運轉的支撐系統(tǒng)，能夠對外提供安全服務平臺。

3.2 組織規(guī)劃實施

對于組織規(guī)劃這個方面，是屬于一個企業(yè)信息安全規(guī)劃的上層建筑，需要用一種由上而下的方法來實現(xiàn)，其主要是在具體人事機制、管理機制和培訓機制上做工作。對于分布式企業(yè)而言，需要主導部門從上層著手，建章立制，強化安全教育，加大基礎人力、財力和物力的投入。

4 信息安全管理規(guī)劃

4.1 管理規(guī)劃目標

信息安全管理規(guī)劃的目標是，完善和形成“七套信息安全軟措施”，具體包括：一套等級劃分指標，一套信息安全策略，一套信息安全制度，一套信息安全流程規(guī)范，一套信息安全教育培訓體系，一套信息安全風險監(jiān)管機制，一套信息安全績效考核指標?！捌咛仔畔踩洿胧标P系如圖1所示。

4.2 信息安全管理設計

基于對管理目標的分析，信息安全管理的原則以風險管理為主，集中安全控制。管理要素由管理對象、安全威脅、脆弱性、風險、保護措施組成。

4.2.1 信息安全等級劃分指標

信息安全等級保護是國家在國民經濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化健康發(fā)展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是關于保護對象說明、保護必要性描述、保護責任人、保護對策以及意外處理方法的總和。

4.2.3 信息安全制度

信息安全制度是指為信息資產的安全而制定的行為約束規(guī)則。

4.2.4 信息安全規(guī)范

信息安全規(guī)范是關于信息安全工作應達到的要求，在信息安全規(guī)范方面，根據調查，建立信息安全管理規(guī)范、信息安全技術規(guī)范。其中，安全管理規(guī)范主要針對人員、團隊、制度和資源管理提供參照性準則；信息安全技術規(guī)范主要針對安全設計、施工、維護和操作提供技術性指導建議。

4.2.5 信息安全管理流程

信息安全流程是指工作中應遵循的信息安全程序，其目的是減少安全隱患，降低風險。

4.2.6 信息安全績效考核指標

信息安全績效考核指標是指針對信息安全工作的質量和態(tài)度而給出的評價依據，其目的是增強信息安全責任意識，提高信息安全工作質量。

4.2.7 信息安全監(jiān)管機制

信息安全監(jiān)管機制是指有關信息安全風險的識別、分析和控制的措施總和。其主要目的加強信息安全風險的控制，做到“安全第一，預防為主”。

4.2.8 信息安全教育培訓體系

其主要目的加強的信息安全人才隊伍的建設，提高企業(yè)人員的信息安全意識和技能，增強企業(yè)信息安全能力。

5 信息安全技術規(guī)劃

5.1 技術規(guī)劃目標

信息安全技術規(guī)劃目標簡言之是：給業(yè)務運營提供信息安全環(huán)境，為企業(yè)轉型提供契機，構建信息安全服務支撐系統(tǒng)。具體目標如下：

1）打造信息安全基礎環(huán)境，調整和優(yōu)化IT基礎設施，建立安全專網，設置兩個中心（信息安全運維中心、災備中心）；

2）建立一體化信息安全平臺，綜合集成安全決策調度、安全巡檢、認證授權、安全防護、安全監(jiān)控、安全審計、應急響應、安全服務、安全測試、安全培訓等功能，實現(xiàn)的集中安全管理控制，快速安全事件響應，高可信的安全防護，拓展企業(yè)業(yè)務，開辟信息安全服務新領域。

5.2 信息安全運維中心(SOC)

SOC 是信息安全體系建設的基礎性工作，SOC 承載用于監(jiān)控第一生產網的安全專網核心基礎設施，提供信息安全中心技術人員的辦公場所，提供“7×24”小時連續(xù)不斷的安全應用服務,提供實時監(jiān)控、遠程入侵發(fā)現(xiàn)、事件響應、安全更新與升級等業(yè)務，SOC 要求具有充分保障自身的安全措施。除了SOC 的組織建設、基礎工程外，SOC 的技術性工作還要做以下幾個方面：

1）硬件基礎建設，主要內容是SOC 的選址、布局、布線、系統(tǒng)集成，實現(xiàn)SOC 自身的防火、防潮、防電、防塵、安全監(jiān)控功能；

2）軟件基礎建設，包括SSS 系統(tǒng)、機房監(jiān)控子系統(tǒng)、功能小組及中心組劃分。

圖1 信息安全軟措施關系

圖2 信息安全總體框架

圖3 資產、組織、管理和安全措施的關系

5.3 信息安全綜合測試環(huán)境

隨著分布式企業(yè)信息化程度的日也加深，需要部署到大量IT 產品和應用系統(tǒng)，為了保障安全，必須對這些IT 系統(tǒng)和產品做入網前安全檢查，消除安全隱患?；诖?，綜合測試環(huán)境建設的內容包括：安全測試網絡；測試系統(tǒng)設備；安全測試工具；安全測試分析系統(tǒng)；安全測試知識庫。

其中，安全測試網絡要求能夠模擬企業(yè)網絡真實的帶寬；測試系統(tǒng)設備能夠提供典型的網絡服務流量模擬、典型的應用系統(tǒng)流量模擬；安全測試工具覆蓋防范類、檢測類、評估類、應急恢復類、管理類等，并提供使用說明、漏洞掃描、應用安全分析；安全測試分析系統(tǒng)能夠提供統(tǒng)計分析、圖表展現(xiàn)功能；安全知識庫包含以下內容：漏洞知識庫，補丁信息庫，安全標準知識庫，威脅場景視頻庫，攻擊特征知識庫，信息安全解決案例庫，安全產品知識庫，安全概念和術語知識庫。

5.4 安全平臺建設規(guī)劃

參照國際上PDRR 模型和國家信息安全方面規(guī)范，建議信息安全總體框架設計如圖2所示。

主要目的，以資產為核心，通過安全組織實現(xiàn)資產保護，以安全管理來約束組織的行為，以技術手段輔助安全管理。其中，資產、組織、管理、安全措施的關系如圖3所示，核心為資產，圍繞資產是組織，組織是管理，最外層是安全措施。

在平臺中集成十個安全機制，它們分別是：信息安全集中管理；信息安全巡檢；信息安全認證授權；信息安全防護；信息安全監(jiān)控；信息安全測試；信息安全審核；信息安全應急響應；信息安全教育培訓；信息安全服務。

6 信息安全服務業(yè)務規(guī)劃

6.1 服務業(yè)務規(guī)劃目標

信息安全服務業(yè)務規(guī)劃目標簡言之是：以信息安全服務為切入點，充分發(fā)揮企業(yè)優(yōu)勢資源，引領信息安全市場，為企業(yè)轉型創(chuàng)造時機。具體目標如下：

1）推出面向客戶安全（檢查、教育、配置）產品；2）推出面向大型企業(yè)的信息安全咨詢產品；3）推出面向家庭安全上網產品；4）推出面向企業(yè)安全運維產品；5）推出面向企業(yè)災害恢復產品。

6.2 服務業(yè)務規(guī)劃設計

服務業(yè)務規(guī)劃主要針對具體業(yè)務而言，在此列舉信息類分布式企業(yè)業(yè)務作為示例：

1）信息安全咨詢類產品，其服務功能主要有：信息安全風險評估；信息安全規(guī)劃設計；信息安全產品顧問。

2）信息安全教育培訓類產品，其服務功能主要有：提供信息安全操作環(huán)境；提供信息安全知識教育；提供信息安全運維教育。

3）家庭類安全服務產品，其服務功能主要有：推出“家庭綠色上網”安全服務；家庭上網防病毒服務；家庭上網機器安全檢查服務；家庭上網機數(shù)據備份服務。

4）企業(yè)類安全服務產品，其服務功能主要有：企業(yè)安全上網控制服務；企業(yè)安全專網服務；安全信息通告；企業(yè)運維服務。

5）容災類安全服務產品，其服務功能主要有：面向政府數(shù)據災備服務；面向政府信息系統(tǒng)災備服務；面向企業(yè)數(shù)據災備服務；面向企業(yè)信息系統(tǒng)災備服務。

7 結束語

通過結合分布式企業(yè)的具體實際，按照信息安全體系結構相關標準，提出了分布式企業(yè)的信息安全規(guī)劃原則和目標。并依據次原則與目標，按照組織、管理和技術三個方面提出了具體的實現(xiàn)與設計規(guī)范原則。最后，依據服務規(guī)劃目標，提出了信息類分布式企業(yè)的信息安全服務規(guī)劃設計實例。

參考文獻：

[1] 周曉梅. 論企業(yè)信息安全體系的建立[J]. 網絡安全技術與應用，2006，3：62～64，57.

[2] Harold F. Tipton，Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US：Auerbach Publications，2004.

[3] 魏永紅,李天智,張志. 網絡信息安全防御體系探討[J].河北省科學院學報，2006,23,(1):25～28.

[4] 張慶華. 信息網絡動態(tài)安全體系模型綜述[J].計算機應用研究，2002,10:5～7.

[5] ISO/IEC 15408，13335，15004，14598，信息技術安全評估的系列標準[S].

[6] BS7799-1，7799-2，ISO/IEC 17799，信息安全管理系列標準[S].

[7] BS7799-2，Information Security Management Systems-Specification With Guidance for use[S].

篇2

一、前言

隨著金川集團公司跨國經營戰(zhàn)略的實施，企業(yè)信息化進程不斷深入，企業(yè)信息安全己經引起公司領導的的高度重視，但依然存在不少問題。調查結果表明，造成網絡安全事件發(fā)生的原因有很多，一是安全技術保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設備，但是技術保障不成體系，達不到預想的目標;二是應急反應體系沒有經?；?、制度化;三是企業(yè)信息安全的標準、制度建設滯后。其中，由于未修補或防范軟件漏洞導致發(fā)生安全事件的占安全事件總數(shù)的80%，登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%。近年來，雖然使用單位對信息網絡安全管理工作的重視程度普遍提高，80%的被調查單位有專職或兼職的安全管理人員，但是，很多企業(yè)存在安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題，也說明目前安全管理水平還比較低。因此現(xiàn)代企業(yè)迫切需要建立信息資源安全管理體系。

二、企業(yè)信息資源安全管理體系構建

1、企業(yè)信息安全組織管理

企業(yè)信息安全組織體系定義為一個三層的組織，組織架構如圖所示:

企業(yè)信息安全組織

l)總經理通過總經辦負責企業(yè)信息、安全的決策事項。2)總經理任命一名信息安全主管負責企業(yè)信息安全的風險管理，該主管領導一個有各個部門主要負責人參加的信息安全管理小組維護企業(yè)信息安全管理體系、管理企業(yè)信息安全風險。3)總經理任命一名信息安全審計師，負責企業(yè)信息安全活動的審計。4)行政部門、業(yè)務部門和分支機構執(zhí)行信息安全管理體系中的相應安全政策，并在信息安全管理主管的領導下，實施風險管理計劃。各個部門負責人有義務向信息安全主管報告所管轄部門的信息安全狀況，信息安全主管應定期在組織范圍內和向上級機關報告企業(yè)信息安全狀況。

2、企業(yè)信息安全政策管理

根據企業(yè)信息安全風險分析的結果和信息安全政策制定的原則，設計信息安全政策體系包括以下幾點：（1）企業(yè)信息安全風險管理政策：a)信息安全風險定義，包括風險等級定義和安全類別定義;b)信息安全風險評估執(zhí)行要求，包括時問周期要求、范圍要求、基于事件的風險評估要求:c)信息安全風險評估責任，包括信息安全管理人員責任和業(yè)務部門責任。（2）企業(yè)信息安全體系管理政策：a)管理體系的規(guī)劃，包括規(guī)劃的時機、規(guī)劃的內容、規(guī)劃的依據、規(guī)劃的責任人:b)管理體系的實施，包括、培訓、執(zhí)行獎懲。c)管理體系的驗證，包括周期管理評審、安全審計、事件評審、殘留風險評估。d)管理體系的改進，包括分析和變更控制。（3）病毒抵御安全政策：a)操作程序一運行網絡管理人員日常工作的程序。這部分安全政策主要控制的風險是不規(guī)范的管理活動造成無效或低效的管理。b)關鍵資源監(jiān)控一識別出關鍵設備并對關鍵設備的運行狀態(tài)進行監(jiān)控。這部分安全政策主要控制的風險是關鍵資源異常情況不能被及時發(fā)現(xiàn)和處理。c)軟件系統(tǒng)維護一對軟件系統(tǒng)及時地升級和打補丁。這部分安全政策主要控制的風險是軟件系統(tǒng)未及時升級和/或打補丁而造成的信息故障或者安全事故。d)敏感資料存儲一對在業(yè)務進行過程中產生的敏感信息的存放管理。這部分安全政策主要控制的風險是由于對敏感資料存儲不當導致資料的丟失或泄漏。

3、企業(yè)信息安全事件管理

目前，沒有任何一種具有代表性的信息安全策略或防護措施可對信息、信息系統(tǒng)、服務或網絡提供絕對的保護。即使采取了防護措施，仍可能存在殘留的弱點，使得信息安全防護變得無效，從而導致信息安全事件發(fā)生，并對企業(yè)的業(yè)務運行直接或間接地產生負面影響。此外，以前未被認識到的威脅也將會不可避免地發(fā)生。企業(yè)如果對如何應對這些事件沒有作好充分準備，其任何實際響應的效率都會大打折扣，甚至還可能增加潛在的業(yè)務負面影響。因此，企業(yè)應著重做好信息安全事件管理工作。信息安全事件管理方案的必企業(yè)應著重做好信息安全事件管理工作。信息安全事件管理方案的必要過程包括：（1）發(fā)現(xiàn)和報告發(fā)生的信息安全事態(tài)，無論是由企業(yè)人員／顧客引起的還是自動發(fā)生的（如防火墻警報）。（2）收集有關信息安全事態(tài)的信息，由企業(yè)的運行支持組人員進行評估，確定該事態(tài)屬于信息安全事件還是發(fā)生了誤報。確認該事態(tài)是否屬于信息安全事件，如果是，則立即作出響應，同時啟動必要的法律取證分析、溝通活動。（3）進行評審以確定該信息安全事件是否處于控制下。（4）如果處于控制下，則啟動任何所需要的進一步的后續(xù)響應，以確保所有相關信息準備完畢，供事件解決后評審所用。（5）如果不在控制下，則采取“危機求助”活動并召集相關人員，如企業(yè)中負責業(yè)務連續(xù)性的管理者和工作組。（6）在整個階段按要求進行上報，以便進一步評估和決策。（7）確保所有相關人員，正確記錄所有活動以備后面分析所用。（8）確保對電子證據進行收集和安全保存，同時確保電子證據的安全保存得到持續(xù)監(jiān)視，以備法律起訴或內部處罰所需。（9）確保包括信息安全事件追蹤和事件報告更新的變更控制制度得到維護，從而使得信息安全事態(tài)／事件數(shù)據庫保持最新。

4、企業(yè)信息安全技術管理

我們所構建的信息安全管理體系中，不能忽視技術的作用，雖然只使用技術控制不能保證一個信息安全環(huán)境，但是在通常情況下，它是信息安全項目的基礎部分。（1）密碼服務技術。密碼服務技術為密碼的有效應用提供技術支持。通常密碼服務系統(tǒng)由密碼芯片、密碼模塊、密碼機或軟件，以及密碼服務接口構成。通常，企業(yè)會涉及以下幾個方面的密碼應用：數(shù)字證書運算、密鑰加密運算、數(shù)據傳輸、數(shù)據儲存、數(shù)字簽名、數(shù)字信封。（2）故障恢復技術。故障恢復的主要措施有：群集配置，由多臺計算機組成群集結構，盡可能消除整個系統(tǒng)可能存在的單點故障；雙機熱備份，在任何一臺設備失效的情況下，按照預先定義的規(guī)則快速切換至相應的備份設備，維持業(yè)務的正常運行；故障恢復管理，由專門的集群軟件進行管理和監(jiān)控，使應用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時，能夠根據 故障情況重新分配任務。（3）惡意代碼防范技術：惡意代碼防范技術包括四大系統(tǒng)：病毒查殺系統(tǒng)、網關防毒系統(tǒng)、群件防毒系統(tǒng)、集中管理系統(tǒng)。（4）入侵檢測技術。入侵檢測系統(tǒng)是實現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合。入侵檢測系統(tǒng)以實時方式監(jiān)測網絡通信，對其進行分析并實時安全預警，從而使企業(yè)能夠有效管理內部人員和資源，并對外部攻擊進行早期預警和跟蹤，有效保障系統(tǒng)安全?；谥鳈C的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應用程序日志等審計記錄文件作為數(shù)據源。通過比較這些審計記錄文件與攻擊簽名是否匹配，如果匹配立即報警采取行動.基于網絡的入侵檢測系統(tǒng)把原始的網絡數(shù)據包作為數(shù)據源。它是利用網絡適配器來實時監(jiān)視并分析通過網絡進行傳輸?shù)乃型ㄐ艠I(yè)務。（5）掃描與分析技術。端口掃描工具能識別網絡上活動的計算機，同樣也可以識別這些計算機上的活動端口和服務?？梢話呙杼囟愋偷挠嬎銠C、協(xié)議和資源，也可進行普遍掃描。漏洞掃描可以掃描網絡并得到非常詳細的信息?？梢宰R別暴露的用戶名和組，顯示開放的網絡共享，并暴露配置問題和其他服務器漏洞。內容過濾器也能有效地保護機構系統(tǒng)，使其不受誤用和無意的拒絕服務。

5、企業(yè)信息安全培訓的必要性

公司目前很多崗位和部門的員工都從事涉密數(shù)據相關工作，有很多數(shù)據和信息涉及到公司的機密和知識產權，但是大多數(shù)員工信息安全意識差，在平時的工作中在意識上和實際工作中存在很多問題，導致涉密數(shù)據的外漏，給公司的生產經營造成不可挽回的損失。在有管理組織、政策制度和技術保障的情況下，通過對涉密數(shù)據相關工作人員的信息安全意識和信息安全操作培訓是非常必要的。

三、結語

總之，企業(yè)信息安全管理體系是一個企業(yè)日常經營和持續(xù)發(fā)展的基本保證，也是企業(yè)戰(zhàn)略和管理的重要環(huán)節(jié)。建立信息安全管理體系的目的就是降低信息風險對企業(yè)的危害。并將企業(yè)信息系統(tǒng)投資和商業(yè)利益最大化。信息安全不只是個技術問題，而更多的是商業(yè)、管理和法律問題。實現(xiàn)信息安全不僅僅需要采用技術措施，還需要更多地借助于技術以外的其他手段。

篇3

在煙草行業(yè)運營與生產管理活動中，信息化工具發(fā)揮著較為重要的作用，已初步搭建了較為完善的網絡架構與內部信息系統(tǒng)環(huán)境，成為煙草行業(yè)提升核心競爭力的重要基礎。與此同時，信息安全問題也日益突出，已成為導致煙草行業(yè)數(shù)據丟失等的關鍵因素。因而，深入分析煙草行業(yè)信息安全風險與防控策略至關重要。

1煙草行業(yè)信息安全風險

煙草行業(yè)在信息化建設中，主要具有如下幾個方面的信息安全問題。

1.1缺乏信息安全整體規(guī)劃

整體而言，相比于西方等經濟發(fā)達國家，國內信息安全技術發(fā)展相對滯后于網絡技術，這必然會造成煙草行業(yè)在應用新型網絡技術產品時，信息安全技術顯得稍落后，難以保障煙草行業(yè)的信息安全。比如，部分煙草企業(yè)可能會選擇使用PS防御系統(tǒng)，但是在綜合權衡經濟預算、信息安全實際應用需求等后，最終并沒有決定使用性能最佳的信息安全產品，最終導致硬件難以滿足信息安全風險防控的要求，這些均與煙草企業(yè)未制訂積極有效的信息安全整體規(guī)劃有較為緊密的關系。

1.2面臨外部信息安全威脅攻擊

在煙草企業(yè)經營管理活動中，為了便于管理員工高效工作，允許企業(yè)員工在外網通過VPN的方式訪問煙草企業(yè)內部的信息系統(tǒng)。另外，在煙草企業(yè)內部網絡應用過程中會有信息設備供應商以及其他信息系統(tǒng)服務商等第三方的介入，這也會導致煙草企業(yè)在網絡應用中會頻繁進行內外網連接，這給木馬、黑客等攻擊煙草企業(yè)網絡架構以可乘之機。當煙草企業(yè)網絡遭受攻擊后，很有可能會導致煙草行業(yè)信息系統(tǒng)無法正常應用，致使煙草企業(yè)面臨來自外部的信息安全風險。

1.3內部信息安全控制不力

信息技術在持續(xù)發(fā)展，可供煙草企業(yè)選擇的信息設備以及信息系統(tǒng)也越來越多，大多數(shù)煙草企業(yè)已搭建起相對較為完整的基礎網絡架構以及應用系統(tǒng)服務群，包括生產銷售管理平臺、OA辦公平臺、綜合服務管理平臺等，這對于煙草企業(yè)正常的經營管理以及決策管理起到關鍵的作用，大大提升了煙草企業(yè)的辦公效率。然而，煙草企業(yè)在利用信息技術獲得便利的同時，也面臨著來自內部信息安全控制不力的風險，包括不良網絡信息沖擊員工正確價值觀，以及煙草企業(yè)內部員工較大的流動性給信息安全風險防控所帶來的負面影響。

1.4員工信息安全意識薄弱

較強的員工信息安全意識，是提升煙草行業(yè)信息安全等級的重要渠道。在信息技術應用持續(xù)深化的情況下，傳統(tǒng)的管理人員已難以滿足信息時代下企業(yè)發(fā)展的需求。另外，當前部分煙草企業(yè)信息安全管理團隊不完善，以及管理人員自身的信息安全意識較為薄弱，領導對信息安全管理工作不重視，或者員工存在僥幸心理，都會致使煙草企業(yè)產生不同程度的信息安全事故。

2煙草行業(yè)信息安全防控策略

針對當前煙草企業(yè)所面臨的信息安全風險，建議從如下幾個方面制定防范策略。

2.1科學高效地開展信息安全規(guī)劃

科學、合理地規(guī)劃煙草企業(yè)信息安全架構，是煙草企業(yè)防范信息安全風險的重要基礎。首先，應根據信息安全的未來發(fā)展方向制訂煙草企業(yè)的信息安全發(fā)展規(guī)劃，以確保煙草企業(yè)所采取的防范措施符合整體發(fā)展方向，避免走錯方向、浪費資金投入。其次，應緊密結合煙草企業(yè)的信息化建設現(xiàn)狀與存在的問題規(guī)劃信息安全發(fā)展方向。煙草企業(yè)的不同發(fā)展規(guī)劃，對信息安全的管理需求有所不同，這就要求煙草企業(yè)緊密結合自身的信息安全發(fā)展需求，制定更具針對性的信息安全風險防控策略，以更高效地規(guī)避內部隱患、外部攻擊。

2.2完善加密手段，構建加密渠道

在制訂了科學合理的信息安全防范規(guī)劃后，就應采取加密信息的手段，構建更為合理的加密渠道。比如，煙草企業(yè)在信息化建設中應要求信息技術人員研發(fā)信息加密的多樣化手段，構建更為豐富的加密渠道，從而提升煙草信息平臺的安全性。同時，還應加強煙草企業(yè)內部應用系統(tǒng)以及數(shù)據庫的備份工作。再如，在實際管理中，煙草企業(yè)可以要求信息技術人員通過訪問控制、數(shù)字簽名、身份認證多種方式，以達到煙草企業(yè)防范信息安全風險的要求，還可以要求各個信息系統(tǒng)使用方妥善保管各個信息系統(tǒng)的登錄密碼，不允許使用復雜度過低的密碼，應根據信息安全規(guī)范要求制定密碼復雜度規(guī)則，以提升信息系統(tǒng)訪問安全性。同時，還應定期提醒或要求用戶更改密碼，以達到安全管控的目的。

2.3做好企業(yè)內部數(shù)據備份與恢復工作

內部數(shù)據丟失風險，是當前煙草企業(yè)信息安全風險之一。積極做好企業(yè)內部數(shù)據備份與恢復工作，是規(guī)避數(shù)據丟失風險的重要方式之一。首先，應做好內部數(shù)據備份工作。比如，積極搭建異地數(shù)據災備中心，選擇一個相對安全的地方進行數(shù)據備份。選擇性能更為強大、安全等級更高的備份系統(tǒng)，以更高效地執(zhí)行數(shù)據備份，并且不影響其他應用系統(tǒng)的正常使用。其次，定期執(zhí)行數(shù)據模擬恢復操作。部分煙草企業(yè)認為，只要定期完成內部數(shù)據備份工作便可確保煙草企業(yè)數(shù)據安全，忽視了備份數(shù)據的有效性。而積極開展模擬恢復操作，是確保所備份數(shù)據有效性的重要方法。因而，煙草企業(yè)應定期開展積極有效的模擬恢復操作，以確保所備份的數(shù)據是可用的，切實保護煙草企業(yè)的信息安全。

2.4重視培訓提升員工信息安全意識

員工較高的信息安全意識，是煙草企業(yè)防范各種信息安全風險的重要保障。首先，應重視員工信息安全意識培訓工作。煙草企業(yè)信息主管部門，在實際信息管理活動中，應定期或者不定期組織員工參與安全培訓，或者通過微課的方式向員工們宣傳信息安全知識。其次，應重視網絡使用規(guī)范或者應用系統(tǒng)應用規(guī)范，以在規(guī)范員工信息行為的同時提升所有員工的信息安全意識，從而更為有效地規(guī)避信息安全風險。對于員工使用基礎網絡或系統(tǒng)過程中所存在的信息安全隱患，信息主管部門應針對這些案例進行整理，形成宣傳文案，以提高所有員工的警惕性。

3結語

煙草業(yè)在信息建設中將面臨著各種信息安全隱患，這要求信息建設管理人員從制訂信息安全建設規(guī)劃、完善加密手段、做好內部數(shù)據備份工作以及提升員工安全意識等方面入手，切實提升信息安全等級，保護信息建設成果。

作者:毛紀輝 單位:遼寧省煙草公司丹東市公司

參考文獻

篇4

【中圖分類號】F270.7【文獻標識碼】A【文章編號】1006-4222（2016）01-0247-02

新時期下，信息化技術在各行業(yè)中運用日漸深入，給企業(yè)現(xiàn)代化建設與快速發(fā)展帶來了無限動力。企業(yè)信息化建設已成為我國經濟信息化建設能否成功的關鍵所在，也是提升企業(yè)自身市場競爭力與企業(yè)升級進步的重要保證和標志[1]。但是，企業(yè)信息化建設過程中不可避免的出現(xiàn)信息安全問題，給企業(yè)正常生產經營帶來諸多不利影響。因此，加強企業(yè)信息化建設中信息安全管理，已成為現(xiàn)代企業(yè)經營管理的一個至關重要的工作。

1企業(yè)信息化概述

所謂的企業(yè)信息化，指的是實現(xiàn)企業(yè)的資金流、物流、作業(yè)流、信息流的數(shù)字化、網絡化管理，實行企業(yè)運行的自動化和企業(yè)制度的現(xiàn)代化[2]。企業(yè)信息化建設涉及了企業(yè)生產經營中的各個部門，其主要利用現(xiàn)代化信息技術，通過完善企業(yè)內外網絡信息系統(tǒng)，實現(xiàn)對企業(yè)內外知識與信息資源的開發(fā)?？梢姡ㄔO企業(yè)信息化體系，不但可以及時有效的提供各種數(shù)據信息給企業(yè)決策層，也為企業(yè)未來規(guī)劃設計提供參考依據，而且還有利于企業(yè)滿足瞬息萬變的市場需求，為企業(yè)市場核心競爭力的提升帶來動力。

2當前企業(yè)信息化建設中信息安全問題

企業(yè)信息化建設與發(fā)展為企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展發(fā)揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當前，絕大多數(shù)企業(yè)缺乏完善的安全防御系統(tǒng)，導致企業(yè)內部使用的信息系統(tǒng)易遭受外部網絡系統(tǒng)的攻擊，引發(fā)企業(yè)信息資料被他人截獲、篡改與偽造等問題，甚至企業(yè)信息系統(tǒng)中出現(xiàn)通信線路、硬盤設施以及其他文件系統(tǒng)遭惡意破壞現(xiàn)象，上述問題的發(fā)生不但致使企業(yè)信息系統(tǒng)無法正常運行，而且其內部機密信息易發(fā)生泄漏，造成企業(yè)嚴重的社會經濟損失。（2）針對郵件系統(tǒng)攻擊防不甚防。在企業(yè)信息系統(tǒng)中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業(yè)內部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業(yè)信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴重。按照漏洞問題發(fā)生原因可分為軟件漏洞和協(xié)議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業(yè)信息泄露等問題；而協(xié)議漏洞則主要是由于TCP/IP協(xié)議自身在安全機制方面存在的諸多漏洞問題導致，外部不法人員通過攻擊TCP/IP協(xié)議漏洞，致使企業(yè)信息系統(tǒng)遭受破壞。目前情況，很多企業(yè)對自身信息系統(tǒng)缺乏成熟的漏洞檢測手段和能力，往往事發(fā)后才采取補救措施。（4）是Web服務安全問題突出，根據Web服務流程，其發(fā)生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務端安全問題主要是企業(yè)Web主機遭受外部不法分子侵入，導致企業(yè)保密信息遭竊或者企業(yè)部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業(yè)瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數(shù)據遭竊等。

3導致企業(yè)信息化建設中信息安全問題因素

企業(yè)信息化建設中信息安全問題發(fā)生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數(shù)企業(yè)在信息化建設過程中，對于信息安全問題重視度嚴重不足。一方面，受傳統(tǒng)經營觀念影響，企業(yè)管理層偏重于對企業(yè)生產經營中的有形資產給予關注與重視，而忽略了企業(yè)知識與信息資料等無形資源，導致在企業(yè)信息安全管理方面各項投入嚴重不足，進而造成信息安全問題日益凸顯；另一方面，多數(shù)企業(yè)在面對信息安全問題時，存在著盲目樂觀現(xiàn)象，認為信息安全問題不至于導致企業(yè)正常生產經營，使得信息安全管理無法上升至企業(yè)發(fā)展規(guī)劃戰(zhàn)略之中，進而造成信息安全問題得不到及時有效解決。（2）由于企業(yè)信息化建設在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業(yè)信息安全管理體制。受此影響，企業(yè)信息化建設中信息安全問題一方面無法得到有效的預防措施，另一方面是一旦發(fā)生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學、合理、有效的企業(yè)信息安全防護策略，使得企業(yè)信息管理人員缺乏必要的安全防護意識與業(yè)務素質能力，致使企業(yè)信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素，導致企業(yè)無論是從人員配置，還是資金與技術投入方面都嚴重不足，受企業(yè)信息管理人員業(yè)務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響，企業(yè)信息安全防護的措施、手段偏低，造成企業(yè)信息化建設存在著嚴重安全隱患。

4提升企業(yè)信息化建設中信息安全對策

針對當前企業(yè)信息化建設中存在的信息安全問題，為加強企業(yè)信息安全管理，提升企業(yè)信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉變傳統(tǒng)企業(yè)信息化建設觀念，在企業(yè)內部管理層從上至下加強對企業(yè)信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓等，增強全體企業(yè)員工信息安全意識，確保企業(yè)保密信息不外漏；另一方面，逐步加大企業(yè)信息化建設中信息安全管理各項資金、技術、人力投入，并建立科學、合理、有效的企業(yè)信息安全防護策略，保障企業(yè)信息系統(tǒng)安全穩(wěn)定。（2）不斷的推進網絡信息技術的發(fā)展與運用，促進企業(yè)組織結構網絡化的實現(xiàn)，同時引進先進的安全防護技術，確保企業(yè)信息化系統(tǒng)安全穩(wěn)定運行。任何網絡信息系統(tǒng)都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術，可以有效的提高企業(yè)信息系統(tǒng)抵抗外來攻擊，避免企業(yè)信息遭受竊取、篡改甚至破壞等，對于保障企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有顯著作用。（3）結合企業(yè)信息化建設實際情況，建立健全企業(yè)內部信息系統(tǒng)管理體制。一方面，針對信息安全問題，應建立科學、合理、規(guī)范的信息安全管理體制，保證企業(yè)信息系統(tǒng)安全運行；另一方面，建立健全企業(yè)安全風險評估機制，針對不同系統(tǒng)找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業(yè)信息安全風險；此外，加強相應的網絡管理，防止外來不法分子通過網絡侵入企業(yè)信息系統(tǒng)。（4）根據新時期企業(yè)信息化建設需要，加強企業(yè)信息技術人才、信息管理人才隊伍建設，為企業(yè)信息安全管理奠定堅實的人才基礎。一方面，在企業(yè)內部，加強信息技術人才培訓，提高企業(yè)內部相關人才業(yè)務素質能力；另一方面，在企業(yè)外部，采取有效措施，積極招聘人才，引進具有先進信息技術型人才；此外，建立健全企業(yè)信息安全管理用人機制，激發(fā)員工工作積極性，提高工作質量與效率。

5小結

總而言之，企業(yè)信息安全事關企業(yè)信息化建設是否成功，對于企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展具有至關重要的作用。因此，應提高企業(yè)信息安全管理意識，增強企業(yè)信息安全管理機制，促進企業(yè)信息安全管理工作質量與效率，保障企業(yè)信息化建設順利開展。

參考文獻

[1]毛志勇.企業(yè)信息化建設的信息安全形勢與對策研究[J].科技與產業(yè)，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業(yè)信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報，2001，3：24~28.

[3]謝志宏.企業(yè)信息化建設中的信息安全問題研究[J].企業(yè)導報，2014（06）：132~133.

篇5

在燃氣企業(yè)中應用GIS系統(tǒng)，既能對燃氣管線進行電子化圖檔管理，也能實時監(jiān)控天然氣管網規(guī)劃、搶修等情況。GIS通過將現(xiàn)有的管網及周邊地理狀況、管線、設備等信息，集成為管線集輸?shù)木C合信息，然后，實時傳輸和展現(xiàn)給燃氣企業(yè)相關管理人員，從而為燃氣管線運行、設備維護和安全管理，提供全面、準確的參考依據。

1．1．1．數(shù)據采集與監(jiān)控系統(tǒng)(SCADA)

SCADA系統(tǒng)是燃氣管道應急系統(tǒng)的重要組成部分，是一項集實時工控與調度信息管理為一體的大型的計算機應用系統(tǒng)?？梢赃h程監(jiān)控與管理各門站、調壓站等站點，確保燃氣系統(tǒng)運行高效、安全、經濟運行。

1．2事故處理方案決策優(yōu)化與管網風險評價

1．2．1事故處理方案優(yōu)化決策

在燃氣行業(yè)的日常工作中，如遇管網故障，發(fā)生危險，必須快速、有效的進行應急處置和救援。其具體流程一般如下:接獲任務并了解現(xiàn)場情況，相關人員迅速召開會議或電話、電視會議，制定搶修、救援方案，然后進行搶修和救援。但是，搶修時間緊迫，這種處置流程不僅浪費寶貴的時間和資源，也會受到人為主觀因素的影響，例如，意見不統(tǒng)一或決策失誤等，不僅延誤搶修和救援，甚至可能會導致二次事故。采用模糊評價法對燃氣管網事故的解決方案進行對比和遴選，通過定性和定量分析選擇最優(yōu)方案。首先利用模糊關鍵詞，采用定性和定量方法分析事故，然后以技術打分分配各因素權重，最后通過決策軟件實現(xiàn)方案的最優(yōu)選擇?？梢詫崿F(xiàn)在事故發(fā)生時，提供關鍵詞，即可獲得最佳的搶修方案，以排除人為主觀因素的干擾，更科學、更理性。

1．2．2管網風險評價

不少燃氣企業(yè)對管網安全評價重視不足，尤其缺乏對現(xiàn)役管線的風險評價。對燃氣管線的管理，僅僅做到定期運行和巡檢是不夠的，還要更多的考慮到未來規(guī)劃的問題。例如，分幾期對管線進行改造，改造又分為幾步，如何開展等等。通過建立管網仿真及安全評價系統(tǒng)，結合各管線屬性信息，例如腐蝕程度、第三方破壞程度、維檢修情況、壓力檢測等等，建立一個龐大的數(shù)據信息庫，全面考察管線危險性，得到危險等級排序，預測管線使用壽命，對未來管線更新及改造規(guī)劃提供理論指導。

2城市燃氣企業(yè)信息安全探索

2．1信息安全的概念

根據GB/T22081－2008，所謂的信息安全就是通過采取有效策略，確保信息免受各種威脅、損害，從而保證業(yè)務連續(xù)性，并達到風險最小、投資回報最優(yōu)。燃氣企業(yè)信息安全，就是指燃氣企業(yè)信息資產安全可靠，業(yè)務穩(wěn)定開展，不會受到系統(tǒng)自身和外來網絡病毒、黑客等的攻擊，如果出現(xiàn)安全事故，其損失可以降到最低。

2．2燃氣企業(yè)管理存在的信息安全問題

2．2．1信息安全意識淡薄

當代社會，信息載體多樣化，辦公電腦、存儲設備以及系統(tǒng)軟件使用不規(guī)范都容易導致信息泄露，在常見的搜索引擎上可以輕易的查詢到某燃氣企業(yè)或大型公司企業(yè)的內部文件，這些情況的發(fā)生，正是由于企業(yè)信息安全意識淡薄，對信息的傳播安全管理重視不夠導致的。

2．2．2信息安全管理機制不健全

在網絡信息安全管理中，一般都強調“三分技術，七分管理”。由此可見，信息安全最重要的是管理的安全。安全與管理是密不可分的，信息防護技術只是信息安全的一部分，僅僅將投入放在這一方面是遠遠不夠的，缺乏完整、規(guī)范以及系統(tǒng)化的信息安全管理制度，將無法從根本上實現(xiàn)信息安全。

2．2．3信息安全技術人才缺乏

在燃氣企業(yè)中，受傳統(tǒng)管理理念的影響，不少企業(yè)管理人員對于信息安全認識及其重要性認識不足，不注重企業(yè)信息安全管理人員和技術配備，導致企業(yè)信息安全管理水平不高。雖然最近幾年來，燃氣企業(yè)信息化建設水平不斷提高，吸納了許多信息化技術人才，但是專業(yè)從事綜合性的信息安全管理工作人員比例仍然較低。

2．3信息安全建設中的關鍵問題分析

2．3．1準確評估風險大小，正確處置安全風險

風險評估的方法很多，燃氣企業(yè)進行信息安全風險評估時，需要立足企業(yè)實際，根據GB/T20984－2007《信息安全技術信息安全風險評估規(guī)范》，制定科學、合理的風險評估流程，辨識完畢企業(yè)的信息安全風險之后，要采取科學、合理的處置辦法:風險接受、風險規(guī)避、風險減緩以及風險轉移。

2．3．2重視人在燃氣企業(yè)信息安全管理中的作用

企業(yè)管理中，最重要的因素就是人，人是信息安全的管理者，也是信息安全危險事件的誘發(fā)者，由于人為因素導致的信息安全事件不在少數(shù)。若要對企業(yè)職工進行約束，首先要明確職工的信息安全管理職責，加強人員思想教育，通過教育和培訓，在企業(yè)內建立起良好的信息安全文化氛圍。

2．3．3細化信息資產分類，提高資產管理水平

在當今，信息無疑是燃氣企業(yè)寶貴的資源和資產，信息資產的管理應當做到:建立信息資產清單并規(guī)范管理;設定信息分類、等級并區(qū)分保存;信息標記，并明確標記內容。尤其大量存儲數(shù)據信息的移動硬盤、廢舊電腦，簡單的格式化處理后，數(shù)據信息極易被還原，必須要通過物理銷毀、數(shù)據覆蓋或者不可逆專門處理工具進行銷毀。

2．3．4加強信息安全事件管理，預防信息安全事件發(fā)生

通過有效的技術防范措施，比如在系統(tǒng)中安裝防火墻軟件、反病毒產品、定期備份數(shù)據等，對設備、網絡進行定期檢查，及時處理過期、失效產品。同時，燃氣企業(yè)還要建立完善的信息安全應急處置預案，明確處置程序及各部門的職責，定期開展應急演練，以提高信息安全應急處置水平。

2．4燃氣企業(yè)做好信息安全工作的幾點探索

2．4．1加強新型技術的應用

如今，無線技術、互聯(lián)網技術、云技術等先進的科學技術，已經日益廣泛地融入企業(yè)日常工作，通過技術更新，企業(yè)信息技術應用，也需要隨之而變。企業(yè)推進新技術應用的同時，應當加強入侵檢測、加密認證、災難備份技術等信息安全防護技術，確保企業(yè)在新的信息技術環(huán)境中實現(xiàn)信息安全建設。

篇6

中圖分類號：F840文獻標識碼：A文章編號：1009-2374（2009）05-0072-02

當前IT已成為企業(yè)業(yè)務發(fā)展和管理不可或缺的組成部分，其作用和影響力已從單一的業(yè)務部門擴散到企業(yè)與組織的每一個領域。在IT系統(tǒng)給企業(yè)帶來活力、利潤和競爭力的同時，也給企業(yè)增加了風險。因此如何充分利用IT系統(tǒng)獲得企業(yè)價值的最大化，并且最大限度地降低利用IT技術而帶來的風險，成為每個企業(yè)都必須要真接面對的問題。本文從企業(yè)信息安全的需求為出發(fā)點，構建以管理、技術和人員三者有機結合的立體的企業(yè)信息安全管理體系，最終實現(xiàn)企業(yè)安全建設的最終目標。

一、信息安全管理體系

從企業(yè)的內部分析，搭建一套完整的安全架構首先要做的就是根據企業(yè)能夠承受的風險水平編寫企業(yè)安全規(guī)范。編寫企業(yè)的安全規(guī)范首先要遵循BS 7799-2信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系；體系一旦建立組織應按體系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應形成一定的文件，即組織應建立并保持一個文件化的信息安全管理體系，其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。

BS 7799-2：2002所采用的過程模式如：“計劃－實施－檢查－措施”四個步驟，可簡單描述如下：

計劃：依照組織整個方針和目標，建立與控制風險、提高信息安全有關的安全方針、目標、指標、過程和程序。

實施：實施和運作方針（過程和程序）。

檢查：依據方針、目標和實際經驗測量，評估過程業(yè)績，并向決策者報告結果。

措施：采取糾正和預防措施進一步提高過程業(yè)績。

以上四個步驟成為一個閉環(huán)，通過這個環(huán)的不斷運轉，使信息安全管理體系得到持續(xù)改進，使信息安全績效（Performance）螺旋上升。

二、企業(yè)信息安全體系架構

根據BS 7799-2信息安全管理體系的標準，不同的企業(yè)對信息的安全需求不同，因此每個企業(yè)都要制定切實可行的信息安全架構，不是照搬照抄其他企業(yè)的模式，或是把各種安全產品進行堆砌，說到底企業(yè)的信息安全問題不只是技術上的問題，它是一個極其復雜的系統(tǒng)工程。要實施一個完整信息安全管理體系，至少應包括三類措施：一是社會的法律政策、企業(yè)的規(guī)章制度以及信息安全教育等外部軟環(huán)境；二是信息安全的技術措施，如防火墻技術、網絡防毒、信息加密存儲通信、身份認證、授權等；三是審計和管理措施，該方面措施同時包含了技術與社會措施。這些措施應該均衡考慮企業(yè)在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且從應用安全、數(shù)據安全、主機安全、網絡安全、桌面安全和物理安全等六大安全領域全面系統(tǒng)地實現(xiàn)企業(yè)的這些安全需求，從而構建安全技術、管理和人員三個方面有機結合的企業(yè)信息安全保障體系如圖1所示：

該模型是一種從企業(yè)信息安全的需求（保密性、完整性、可用性）為出發(fā)點，以應用安全、數(shù)據安全、主機安全、網絡安全、桌面安全、物理安全為關注重點，層層剖析全面深入地挖掘企業(yè)的信息安全需求，構建以管理、技術和人員三者有機結合的立體的企業(yè)信息安全保障體系。

這種企業(yè)信息安全管理架構的規(guī)劃融合了管理和技術為核心的全面分析方法，以安全需求為焦點，從管理現(xiàn)狀、技術現(xiàn)狀和人員狀況三個維度，綜合采用調查問卷、人員訪談、現(xiàn)場察看、資料分析、技術檢測等多種手段，全面深入地挖掘需求。在明確需求的前提下，還要借鑒同類企業(yè)成功經驗，再規(guī)劃出符合企業(yè)實情的信息安全保障體系。

當然該安全體系架構的具體實施還要綜合考慮如下問題：成長型企業(yè)一方面要節(jié)約成本，一方面要把安全風險降到最低。從這兩個出發(fā)點出發(fā)才能夠建立適合成長型企業(yè)的信息安全體系；計劃階段要評估自己的信息資產，自己的信息資產的價值有多大，現(xiàn)有的安全手段是什么，根據評估結果確立安全戰(zhàn)略；開始建立和實施自己的信息安全體系，擬定自己的戰(zhàn)略流程；對員工和合作伙伴的培訓，建立信息監(jiān)測和安全的手段。

三、實施信息安全架構的常規(guī)操作

在保證物理安全、桌面安全、網絡安全、主機安全的基礎上，信息安全架構的常規(guī)操作包括數(shù)據層保護、應用程序層保護、事件應對檢查和安全操作。

數(shù)據層保護包括用EFS對文件進行加密；用訪問控制列表限制數(shù)據；從默認位置移動文件；創(chuàng)建數(shù)據備份和恢復；用Windows Rights Management Services保護文檔和電子文件等等。

應用程序層保護包括只啟動必需的服務和功能；配置應用程序安全設置；安裝應用程序的安全更新程序；安裝和更新防病毒軟件；以最低權限運行應用程序等等。

事件應對檢查包括確定正在遭受攻擊；確定攻擊類型；發(fā)出有關攻擊通知；遏制攻擊；采取預防性措施；將攻擊情況記錄存檔等等。

安全最佳做法包括深層防御；設計時考慮安全；最低權限；從過去的錯誤中學習；維持安全級別；加強用戶的安全意識；開發(fā)和測試事件應對計劃和過程等等。

四、結論

綜上所述，企業(yè)要做到以信息為中心的安全，必須做到管理層面、組織層面和操作層面的有機結合，這樣才能建立有效的安全體系，從而實現(xiàn)企業(yè)安全建設的最終目標。

參考文獻

[1]梁永生．電子商務安全技術[M]．大連理工大學出版社，2008，（4）．

[2]Mark Rhodes-Ousley，等．網絡安全完全手冊[M]．北京：電子工業(yè)出版社，2005，（10）．

篇7

引言：

計算機和網絡通信相結合的信息技術，是促進當代社會信息化發(fā)展的主要力量，為社會上各行各業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境。許多企業(yè)在經營與管理中已經引用現(xiàn)代信息技術，從而使經營與管理更為科學，工作效率更高，獲得的經濟效益也越多。然而現(xiàn)代信息技術是一把雙刃劍，信息化的程度越高，由它帶來的風險也越大。當前，企業(yè)的信息安全風險評估工作存在著一些問題，這些問題對企業(yè)的發(fā)展造成很多不利的影響。

一、企業(yè)信息安全風險概述

對企業(yè)來說，信息是維持企業(yè)正常運作的必要資源。企業(yè)的信息包括重要的數(shù)據、企業(yè)的發(fā)展規(guī)劃、保密性文件、知識產權等。這些信息一旦被泄露，那么企業(yè)將面臨著或大或小的經濟損失，更嚴重的還會使企業(yè)面臨破產的危險。所謂的企業(yè)信息安全就是指信息在其生命周期中，它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障，那么信息的安全性就高；如果其中的某個特性被破壞，那么信息的安全性就低。而信息安全風險就是指信息在特定的環(huán)境與特定的時間里可能遭遇的安全威脅。

信息安全風險可以分為可控性風險與不可控風險、可接受風險與不可接受風險、自然風險與人為風險等[1]，這些風險給企業(yè)的信息安全管理工作帶來了更多的不確定因素，加深了工作難度。

二、企業(yè)信息安全風險評估的現(xiàn)狀與問題

當前，我國企業(yè)的信息安全風險評估工作存在著許多問題，給企業(yè)的日常經營與管理帶來了許多不利的影響。

首先，企業(yè)沒有樹立正確的信息安全觀。很多企業(yè)的管理者在信息安全問題上會走向兩個極端，一種是認為只要加大信息建設的投入，信息就存在絕對安全的可能；另一種是忽視信息安全建設，信息安全風險意識淡薄。很多企業(yè)的管理層對信息資產的重要性認識不夠，因而他們在保護信息安全方面幾乎是無作為。

其次，企業(yè)在具體的信息安全風險評估工作中，表現(xiàn)出重安全技術而輕安全管理的思想與行為方式。這些企業(yè)在工作過程當中，不論是在心理還是在行為上都過分依賴安全技術，甚至認為只要安全技術過硬，信息安全就一定能夠得到保證，為此，企業(yè)普遍采用現(xiàn)代通信技術、計算機和網絡技術來構建企業(yè)信息安全系統(tǒng)。而在安全管理上，出現(xiàn)了管理措施不到位，員工在信息保密上不夠嚴肅等問題，造成信息安全技術做無用功。

此外，企業(yè)信息安全風險評估工作還存在著管理制度不夠完善、責任劃分不夠明確等問題。信息安全風險的評估工作需要收集各方面的大量的信息，如此才能增強評估的有效性。而企業(yè)由于管理制度不完善、職責劃分不明確等問題，造成各部門的工作不配合、不協(xié)調。信息技術部門被孤立，信息安全的風險評估工作也就不能得到及時有效的完成。

最后，我國有些企業(yè)在信息安全風險評估的技術與方法上落后于時代?，F(xiàn)代信息系統(tǒng)越往后發(fā)展，結構就越復雜。這要求企業(yè)要根據不斷變化的信息技術來改進自己的風險管理理念和手段，同時也要吸收國際上的先進信息安全風險評估技術，保障自身的信息安全。

三、企業(yè)信息安全風險的控制

企業(yè)信息安全問題對企業(yè)來說是不應該被忽視的部分，企業(yè)應該在經營與管理的每個環(huán)節(jié)做好信息安全風險的控制工作，使企業(yè)的重要信息能夠得到充分的保護。企業(yè)信息安全風險的控制可以從風險分析、管理控制、技術控制三個方面來進行。

（一）風險分析

在進行信息安全風險控制之前，先對風險進行分析可以使風險控制工作更加具有針對性，能夠提高風險控制工作的效率。對風險的分析可以從信息資產面臨的威脅、存在的弱點等方面來進行[2]。在風險分析工作中，要明確以下幾點：首先是信息安全風險控制工作中需要保護哪些信息，這些信息具有什么樣的價值；信息資產面臨著哪些潛在的威脅，導致這些威脅產生的根源是什么，威脅發(fā)生的幾率有多大；信息資產中是否具有漏洞，這些漏洞是否會被人威脅利用；信息資產發(fā)生威脅之后，企業(yè)會面臨多大的損失；企業(yè)該采取什么樣的措施來應對風險帶來的損失，等等。

（二）管理控制

企業(yè)信息安全風險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進行。首先，企業(yè)應該建立信息安全組織機構，吸收組織成員，協(xié)調企業(yè)內部的各項資源，制定信息安全控制的目標并通過組織成員履行職責來達到目標。其次，企業(yè)要培養(yǎng)素質高、責任心強、原則性強，能夠遵守企業(yè)政策的人員。企業(yè)信息安全風險的控制不僅與強大的技術力量有關，而且還有賴于執(zhí)行人員對信息安全工作的支持與參與。此外，在政策實施上，企業(yè)要嚴格執(zhí)行相關的信息安全保護政策，比如目前國際通用的《信息技術―信息安全管理實施細則》[1]，為企業(yè)執(zhí)行信息安全保護工作提供一個統(tǒng)一的標準，從而使工作能夠有序地展開。

（三）技術控制

技術對信息安全控制的影響力是比較大的，它在很大程度上決定了信息安全風險的大小、范圍，同時它也決定了修補信息安全漏洞的方式和方法。因此，在技術方面對信息安全風險進行控制是非常有必要的。首先，技術構架的設計應該遵循系統(tǒng)性原則、技術先進性原則、可控性原則、適度性原則等，使技術能夠更好地服務于風險控制；其次，要做好安全域的信息安全保障工作，根據不同的安全域所面臨的不同風險來進行信息安全保護工作；最后，要提高信息安全保障技術。目前而言，我國的信息安全保障技術與國際上的相比明顯處于落后狀態(tài)，因此，企業(yè)要引進先進的技術力量，加強信息安全風險的控制力度。

四、結語

在這個信息化高度發(fā)展的社會，任何企業(yè)與個人在享受信息化帶來的便利的同時，也要承擔信息化帶來的風險。我國企業(yè)在激烈的市場競爭中，不可避免會遇到信息安全上的威脅。因此每個企業(yè)都應該做好信息安全的管控工作，認真、嚴肅地對待當前網絡環(huán)境下的企業(yè)信息安全問題。

參考文獻：

篇8

（1）房地產政務信息化成效顯著。

許多城市利用信息技術開發(fā)了房地產政務管理軟件，有效地改進了行政管理，提高了工作效率，完善了政府對房地產市場的監(jiān)控和預測能力。

（2）房地產企業(yè)信息化取得長足進展。

房地產經營方式開始打上信息時代的烙印。一些房地產企業(yè)建立了企業(yè)內部網站，提高了信息傳輸速度，加快了企業(yè)決策速度，提高了辦事效率。此外，各種針對房地產企業(yè)的計算機軟件，如房屋銷售軟件、物業(yè)管理軟件、租賃軟件、房地產可行性分析軟件、房地產開發(fā)管理軟件等，也得到了廣泛的開發(fā)和應用。

（3）初步建立了房地產宏觀監(jiān)測系統(tǒng)。

為適應我國房地產業(yè)發(fā)展的內在要求，針對市場信息零散、盲目投資行為大量存在等狀況，我國已建立包括中房預警系統(tǒng)、中房指數(shù)、國房景氣指數(shù)等在內的房地產宏觀監(jiān)測系統(tǒng)。

（4）智能化小區(qū)和網絡小區(qū)建設步伐加快。

近年來，住宅的智能化功能被列為評價樓盤綜合性能的不可缺少的一個重要指標，智能化住宅已逐步進入普通人的生活。社區(qū)提供與外界進行數(shù)據交換的軟硬件設施和服務是家居功能向外拓展的必要條件。智能化的物業(yè)管理深入到各單位住宅，真正實現(xiàn)建筑智能化到社區(qū)管理的智能化。

（5）房地產網站發(fā)展迅速。

由于房地產業(yè)自身的行業(yè)特點，使其在網上具有更大的優(yōu)勢，房地產業(yè)各界都以最快的速度建立或準備建立自己的網站，將網絡作為房地產信息的主要渠道。房地產網站建設提供了全天候、全方位市場服務的新模式，建立房地產在線咨詢服務系統(tǒng)，引入城市電子地圖，實現(xiàn)網上售樓，改變了傳統(tǒng)的購房方式。同國外相比，我國房地產信息化整體水平較低，地區(qū)差異較大，東西部發(fā)展不平衡，仍存在諸多制約因素，還有很長的路要走。但是，房地產業(yè)唯有實現(xiàn)信息化，唯有與網絡結合，才能煥發(fā)出新的活力。建立和完善房地產企業(yè)的網絡系統(tǒng)，實現(xiàn)總公司與下屬子公司之間的雙向溝通和信息共享。通過信息平臺的整合，為企業(yè)管理決策提供全方位、完整的信息數(shù)據，使企業(yè)的管理逐步走向信息化，建立企業(yè)網站，使其向房地產行業(yè)和管理信息服務方向轉化，加強與員工的溝通，將信息化手段應用于具體管理工作的流程中。以國家信息化工作的指導方針“統(tǒng)一規(guī)劃、聯(lián)合建設、推廣應用、發(fā)展產業(yè)、資源共享”為房地產企業(yè)信息化工作的指導思想，將房地產企業(yè)的管理全部數(shù)字化，充分利用先進的信息技術，使本企業(yè)集團形成一個管理對象數(shù)字化、管理專業(yè)網絡化、數(shù)據動態(tài)實時化、管理決策科學化的現(xiàn)代企業(yè)，走一條結合自身特點，依托信息技術發(fā)展房地產信息化產業(yè)的振興之路。

二、企業(yè)信息安全防范

隨著企業(yè)信息化的發(fā)展，辦公自動化、財務管理系統(tǒng)，企業(yè)相關業(yè)務系統(tǒng)等生產經營方面的重要系統(tǒng)投入在線運行，越來越多的重要數(shù)據和機密信息都通過企業(yè)內外部網絡來傳輸。這在提高生產效率和管理水平的同時，也帶來了不同以往的安全風險和問題。通過網絡傳輸?shù)臄?shù)據信息如被非法用戶截取，導致泄露企業(yè)機密；如被非法篡改，造成數(shù)據混亂，信息錯誤，造成工作失誤等。另一方面，病毒感染造成網絡通信阻塞，系統(tǒng)數(shù)據和文件系統(tǒng)破壞，系統(tǒng)無法提供服務甚至破壞后無法恢復，特別是系統(tǒng)中多年積累的重要數(shù)據丟失，對企業(yè)的生產管理以及經濟效益等造成不可估量的損失。因此，如何保護企業(yè)機密，保障企業(yè)信息安全，成為企業(yè)信息化發(fā)展中需要面臨和解決的問題，提上了企業(yè)的議事日程。企業(yè)信息安全管理即針對當前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復雜的應用環(huán)境制定相應的防御措施，保護企業(yè)信息和企業(yè)信息系統(tǒng)不被未經授權的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實性、可用性、不可否認。企業(yè)信息安全是一項復雜的系統(tǒng)工程，涉及技術、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。首先，企業(yè)必須根據實際情況全面做好安全風險評估。第二，采用信息安全新技術，建立信息安全防護體系。綜合各種計算機網絡信息系統(tǒng)安全技術，將安全操作系統(tǒng)技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來，形成一套完整的、協(xié)調一致的網絡安全防護體系。企業(yè)根據自身信息系統(tǒng)建設和應用的步伐，建立完整的信息安全防護體系，統(tǒng)籌規(guī)劃，分步實施。第三，管理和技術并重，技術與措施結合。根據信息安全策略，建立健全企業(yè)信息安全管理制度，制定相應的安全標準，建立備份和恢復機制，提高安全管理水平。第四，充分利用企業(yè)網絡條件，提供全面，及時和快捷的信息安全服務。第五，信息安全是一個動態(tài)過程，需要定期對信息安全狀況進行評估，不斷改進完善安全方案，調整安全策略。

篇9

中圖分類號：F208 文獻標志碼：A 文章編號：1673-291X（2017）08-0147-02

高效的經濟信息管理是企業(yè)不斷發(fā)展的重要保障，而要想實現(xiàn)高效的信息管理，對信息安全性的管理與控制是十分重要的一個因素。近年來，隨著科技與管理理念的不斷豐富，對信息管理中的信息安全性控制也在不斷強化并起到了一定的作用。但是，由于企業(yè)信息管理涉及的因素較多，導致目前仍舊存在一定的安全隱患。因此，有必要對企業(yè)的經濟信息管理中的信息安全進行分析與探討。

一、企業(yè)經濟信息管理的信息安全存在的問題

（一）企業(yè)管理力度不足

企業(yè)管理力度不足是信息管理目前存在的普遍問題，也是導致企業(yè)信息管理存在安全隱患的主要原因之一。一方面，部分企業(yè)將管理重點放在了人員管理與財務控制方面，忽視了對經濟信息安全的管理與控制；另一方面，部分企業(yè)的管理人員由于專業(yè)素質與工作經驗的缺乏，對信息安全管理沒有采取科學的方式方法，導致信息安全管理難以充分發(fā)揮其作用與價值，進而導致信息管理存在一定的安全隱患?？傊?，管理人員與管理制度是導致企業(yè)管理力度不足的重要因素。

（二）缺乏總體規(guī)劃

在企業(yè)管理中，對經濟信息的管理涉及到許多因素，所以高效的管理需要一個科學的總體規(guī)劃。對于企業(yè)來說，經濟信息管理不是單個部門或人員的工作，而是需要整個企業(yè)人員都具有信息保護的意識。但在實際工作中，由于工作內容具有一定的差異性或工作重點不同等原因，使得不同的員工與信息安全的意識程度不同，所以管理效果也難以達到最佳狀態(tài)。考慮到這些問題，企業(yè)在進行經濟信息管理時就需要制定一個整體規(guī)劃，但許多企業(yè)在這方面的工作力度仍有不足。

（三）對信息安全不夠重視

隨著我國經濟的不斷發(fā)展，市場競爭也越來越激烈，此時保證企業(yè)的經濟信息安全是管理中十分重要的一部分。但是，在實際競爭中，許多企業(yè)對經濟信息的安全保障意識不夠強烈。只是單一的對市場信息進行分析，而沒有完善的管理系統(tǒng)，難免會導致信息儲存或管理出現(xiàn)一定的問題，甚至造成企業(yè)關鍵經濟信息的泄露，給企業(yè)發(fā)展帶來不可挽回的損失。另外，信息管理中管理人員作用的發(fā)揮也非常重要。部分企業(yè)沒有重視到這一點，管理人員的管理能力提升速度較慢，導致安全隱患的存在。

二、對企業(yè)信息管理安全產生影響的主要因素分析

（一）環(huán)境因素的影響

由于市場競爭比較激烈，許多企業(yè)將管理重心放在了市場拓展與產品優(yōu)化等方面，出現(xiàn)了先重視產品與業(yè)務，再考慮信息安全的現(xiàn)象，導致信息安全管理滯后于業(yè)務的進行，產生一定的安全隱患。這是外部環(huán)境的影響，內部環(huán)境對企業(yè)的信息管理也有著一定的影響。企業(yè)的業(yè)務流程對信息管理體系的設置與實施有著一定的影響。此外，部分企業(yè)雖然重視對信息安全的管理，但由于防范體系的不夠完善等原因，使得安全責任沒有落實到具體，這些都是導致經濟信息管理存在安全隱患的因素。

（二）人為因素的影響

人為因素的影響主要是指經濟信息管理人員的工作能力與工作態(tài)度等因素的影響。一方面，安全管理人員是接觸機密信息的直接人員，這部分工作人員若是出現(xiàn)刻意泄露或工作疏忽等現(xiàn)象，極易導致企業(yè)關鍵經濟信息的泄露，給企業(yè)帶來不可挽回的損失，影響企業(yè)的穩(wěn)定發(fā)展。另一方面，技術人員也是人為因素中的重要部分，技術人員主要對相關設備進行管理與維護，也能夠直接接觸到關鍵信息。需要S護的設備較多，但部分企業(yè)為了節(jié)約人力成本，讓同一個技術人員負責多個設備的維護，導致技術人員的工作難度增加，進而影響其工作效率。

（三）技術因素的影響

信息安全技術是保證信息安全的重要因素，也是企業(yè)在這方面管理中比較重視的一部分。具體來說，技術因素對信息安全的影響主要體現(xiàn)在以下兩個方面：一是軟件方面影響，包含了設計漏洞或技術缺陷，以及殺毒軟件更新較慢或臨時發(fā)生的運行故障等問題，這些都是對信息安全管理產生影響的因素。二是信息管理體系的設計方面，包含了風險評估數(shù)據、業(yè)務流程數(shù)據、測試數(shù)據、訪問權限設置以及對信息資產的保護程度等。這些因素導致信息管理體系存在必然的安全隱患或漏洞，而這些漏洞將會為整個企業(yè)管理帶來嚴重的不利影響。

三、強化企業(yè)經濟信息管理中信息安全的必要性

（一）企業(yè)信息管理的主要特征

企業(yè)信息管理的特征主要包括三個內容：第一是具有保密性，這是信息管理的基本特征，也是信息管理的基本要求。各個部門負責的事項不同，部門人員只能獲取應當了解的信息，而不能越權了解其他私密信息。第二是完整性。保證經濟信息的完整是企業(yè)信息管理的基本原則，只有保證信息具有基本的完整性，才能更加精準地獲得數(shù)據價值，從而發(fā)揮其作用。第三是可用性。只有具有較強的可用價值與企業(yè)的私密信息，才具有一定的安全保護價值，才能在企業(yè)發(fā)展中發(fā)揮其本身的作用。

（二）強化信息管理安全的必要性

正是由于經濟信息具有的這些特征，才使其有了明確的強化必要性。首先，強化信息安全的管理有助于保證數(shù)據的保密性與完整性。只有保證信息的完整與私密，才能促使其在企業(yè)競爭中充分發(fā)揮價值。其次，信息的高效運用與價值發(fā)揮的實現(xiàn)，本身就需要一定的網絡條件，而網絡環(huán)境比較復雜，所以對數(shù)據的安全保護就顯得十分關鍵。例如，不法分子的信息盜取、網路黑客的惡意攻擊等，都是影響信息安全的因素。所以，對信息安全管理進行加強，是企業(yè)實現(xiàn)進一步發(fā)展的重要手段。

四、提高企業(yè)經濟信息管理安全性的建議

（一）健全經濟信息體系的安全保障

構建健全的經濟信息體系的安全保障，是實現(xiàn)高效經濟信息管理的重要前提，也是實現(xiàn)信息管理制度能夠穩(wěn)定發(fā)展的重要條件。在健全管理體系的保障過程中，最為首要的任務，即是在系統(tǒng)設計過程中就強調安全性。

從目前來看，由于市場的寬容度逐漸升高，越來越多的企業(yè)參與到市場競爭中。由于部分企業(yè)對信息安全的認知不夠明確，或者管理制度不夠合理等因素，導致其經濟信息管理制度本身就存在一定的安全隱患，不利于企業(yè)的發(fā)展。因此，企業(yè)需充分明確自身實力與發(fā)展情況，確定當前發(fā)展中的關鍵，設計針對性的安全管理制度。具體來說，企業(yè)可加強對進入內部信息系統(tǒng)的準入設置與權限、增加必要的保護屏障技術等。另外，還可借助科學技術與計算機技術，將指紋識別等運用到信息管理中，以保障管理制度的安全性。

（二）提高工作人員的工作能力

企業(yè)重要的經濟信息泄露，其中一個關鍵的原因，即是工作人員的刻意為之或工作疏忽導致的。因此，在企業(yè)的經濟信息管理中，提升工作人員的工作能力與安全意識是十分有必要的一項措施。一方面，企業(yè)可加強對管理人員的培訓，促使其對信息安全有明確的認識；同時，還可借助培訓，提升管理人員的管理能力與風險意識。另一方面，管理責任的落實也十分重要。企業(yè)的經濟信息涉及到許多企業(yè)的重要信息，要在日常管理者中將管理責任落實到具體，進而提高工作人員的管理責任心。此外，提高管理人員的職業(yè)道德以及綜合素質等，也是一個比較有效的方式，能夠在一定程度上提高企業(yè)的經濟信息管理效率。

（三）強調對硬件的安全管理

在信息安全這個問題上，管理設備與硬件條件的強化是必不可少的一部分?？梢哉f，硬件設備是高效的信息安全管理中的重要基礎。

首先，針對企業(yè)的實際情況，可淘汰一部分功能比較傳統(tǒng)的設備，購進更先進、安全保障程度更高的設備，進而促使設備在信息安全管理中充分發(fā)揮作用。

其次，在運用過程中，隨著運用時間的增長硬件設備的損耗程度也更大，所以對硬件設備的維護工作必須得到重視。企業(yè)可安排專門的維護人員，定期對設備進行檢查或零件更換，避免因硬件系統(tǒng)而導致的信息泄露等問題。同時，還可對維護人員進行培訓，以提高其技術水平。此外，合理的安全屏障與接入控制、禁止未授權訪問或下載文件等措施都是硬件強化中的重要方法，能夠在一定程度上加強對經濟信息的安全保障。

（四）健全企業(yè)信息安全管理制度

企業(yè)信息安全管理制度的完善，是保證企業(yè)經濟信息管理安全性的重要因素。從企業(yè)管理的角度來講，企業(yè)對經濟信息進行的管理是根據本身的信息安全需要、業(yè)務分析以及風險預測等的結果，并結合科學技術與計算機技術實現(xiàn)的信息管理。構建完善的信息管理制度，能夠為信息管理提供包括設計、運行等各個方面的安全保障，并有效避免因安全隱患導致的各類安全事故。一方面，企業(yè)可建立起相關的安全管理w系與防范制度，加強對關鍵數(shù)據的保存與備份，以保證在發(fā)生安全事故時能夠及時進行彌補，避免業(yè)務受到影響，進而將企業(yè)的損失降到最小程度；另一方面，還可建立起集中的管理控制體系，將經濟信息進行綜合管理，并借助企業(yè)內部的管理平臺對其進行管理。

結語

據上述的分析可知，強化企業(yè)經濟信息管理中的信息安全，不僅是推動企業(yè)不斷發(fā)展的重要方法，更是推進我國企業(yè)管理理念不斷完善的重要手段。通過健全經濟信息體系的安全保障、提高工作人員的工作能力、強調對硬件的安全管理，以及健全企業(yè)信息安全管理制度等方式，從企業(yè)管理的各個角度強調了信息安全的重要性，在一定程度上提高了企業(yè)信息管理中的信息安全。

參考文獻：

[1] 馬志程，張磊，王瓊.基于ISO/IEC17799標準體系的企業(yè)信息安全管理新模式[J].電力信息與通信技術，2016，（1）：80-83.

[2] 梁俊榮.基于信息安全的企業(yè)經濟信息管理探討[J].信息化建設，2016，（5）：335.

篇10

一、電信企業(yè)信息管理的現(xiàn)狀與作用

(一)電信企業(yè)信息管理體系的現(xiàn)狀

隨著社會的發(fā)展，無論是個人還是企業(yè)，都越來越離不開科學技術。這也導致科技所引發(fā)的信息安全管理體系的問題出現(xiàn)。1、針對信息安全管理體系的建設沒有創(chuàng)建出專門的管理機構由于在信息管理方面，企業(yè)沒有一個系統(tǒng)的較為權威的管理部門及相關組織，其管理權限分散在建設、運維、系統(tǒng)支撐、市場等部門，在很大程度上致使企業(yè)信息管理中的相關法規(guī)得不到正常有效的運行。2、未能充分的考慮企業(yè)相關管理部門與信息安全管理體系的建設完善由于電信企業(yè)的特殊性，在具體的信息安全建設管理中，信息體系建設和信息安全管理的工作不夠協(xié)調，使得企業(yè)在信息安全管理的相關工作上沒法進行積極主動實施，導致了企業(yè)信息安全管理體系建設工作的沒能與相關體系升級換代同步進行。3、企業(yè)信息管理建設滯后對于相關部門而言，信息安全管理常常局限于使用比較局部的安全產品進行保障，這樣就容易形成被動的使用相關辦法來應對信息安全的漏洞風險，導致此類方法嚴重缺乏科學性，而且由于使用范圍的局限，從而也不完全能夠抵御安全問題給企業(yè)所帶來的運營風險。

(二)企業(yè)信息安全管理的作用

信息安全管理體系的建設是對企業(yè)來說非常重要，尤其是電信企業(yè)，通過信息安全管理體系的建設，不僅有利于提高相關部門的工作人員的信息安全意識，而且還能夠加強對信息安全的管理組織的規(guī)范管理，通過充分有效的安全信息維護，能夠幫助企業(yè)在信息管理受到嚴重威脅時可以及時消除風險，從而維護國家、企業(yè)、廣大用戶的切身利益，確保電信企業(yè)在國家信息建安全戰(zhàn)略中的中流砥柱作用。

二、電信企業(yè)信息管理建設的有效方法

(一)制定有效的信息管理計劃

在企業(yè)管理中，有效的信息安全管理，是企業(yè)發(fā)展的前提；信息管理建設需要有效的策劃：1、教育培訓在企業(yè)管理中，做好教育培訓工作是非常重要的，通過相關培訓，不但能夠提高相關人員的安全信息管理意識，強化相關人員實際操作能力，而且還可以為信息管理體系吸引大量的相關人才。2、制定信息安全管理計劃制定管理的相關計劃是企業(yè)發(fā)展中的關鍵環(huán)節(jié)，所以，為了企業(yè)的可持續(xù)發(fā)展，相關部門需要制定信息管理體系建設的標準，擬定相關計劃。

(二)電信企業(yè)信息管理建設的范圍

對于一個企業(yè)來說，確定信息管理體系的范圍是非常重要的，其需要相關部門人員根據實際情況來進行重點有效的管理，這個管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個別信息安全管理范圍，通過不同的部門可對管理組織進行劃分，并在一定的程度上進行不同力度的管理。就電信企業(yè)而言，主要涉及企業(yè)信息管理和用戶信息管理，其安全體系建設貫穿在企業(yè)運行的全過程。

(三)建立企業(yè)信息管理框架

對一個企業(yè)而言，企業(yè)的信息管理必須建立起一個嚴格的管理模式。具體步驟如下：1、信息安全管理體制的計劃在規(guī)劃信息安全管理體系時，首先的一個步驟就是對企業(yè)的信息安全管理有一個明確的計劃。這樣一來不僅能夠對后續(xù)工作做了一個提前的準備，有利于建立管理機構，而且還能夠對管理的責任做出明確的規(guī)定，能夠更好的確立管理目標，評估管理風險。2、企業(yè)信息安全管理的實施有了一定的企業(yè)信息安全管理體系的計劃，接下來的一個重要步驟就是計劃的實施過程，過程主要有信息安全管理方法應用和相關措施落實等。3、企業(yè)信息安全管理體制的檢查這個階段的工作開展要做好充分的準備，因為這一階段是整個計劃的關鍵階段，主要通過審計、自我評估或借助第三方審核等方法來對計劃實施的效果進行審查。

三、結束語

綜上所述，“我國電信運營企業(yè)的信息安全風險無處不在，安全形勢日益嚴峻，迫切需要系統(tǒng)、科學、有效的信息安全風險管理體系理論指導管理工作實踐。”通過本文，我們了解到我國電信企業(yè)的信息安全管理體系方面的現(xiàn)狀以及信息安全管理的重要性，通過相關部門的共同努力，切實提高信息安全管理水平，維護好國家安全和公共利益安全，為建設信息化強國做出應有的貢獻。

參考文獻:

[1]鄭敏.關于信息安全管理體系建設的研究[J].計算機光盤軟件與應用,2014