前言:中文期刊网精心挑选了企业信息安全管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业信息安全管理范文1
信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏,主要指未经授权的访问者无法使用访问数据和修改数据,而只给授权的用户提供数据服务和可信信息服务,并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统,涉及用电客户和公司内部员工及第三方托管服务公司,系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性,针对安全风险进行分析,最后制订供电公司信息安全的策略非常重要,也是至关重要的。
2供电企业信息安全的影响因素
尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。
2.1不可抗拒因素
所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。
2.2计算机网络设备因素
供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。
2.3数据库安全因素
供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。
2.4管理因素
供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。
3供电企业加强信息安全管理的对策
3.1提升员工信息安全防患意识
开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。
3.2采用知识型管理
传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。
3.3设置系统用户权限
为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.4防范计算机病毒攻击
加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。
3.5完善信息安全应急预案
严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
3.6建立信息安全保密机制
加强信息安全保密措施的落实,禁止将计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好文档的登记、存档和解密等环节的工作。
4结束语
企业信息安全管理范文2
自20世纪80年代以来,随着信息技术迅速渗透到社会经济的各个领域,尤其是Internet/Intranet技术和电子商务(Ecommerce)的广泛应用,推动着人类社会从工业经济时代向网络经济时代和信息化社会的方向前进。在这个动态演进的过程中,经济发展越来越需要信息的支持,信息已成为经济发展的战略资源和社会管理的基本要素。
企业的信息化建设对于企业发展具有重要的战略意义。对信息的采集、共享、利用和传播成为决定企业竞争力的关键因素。只有实现信息化,企业才可能实现企业生产经营活动的运营自动化、管理网络化、决策智能化,从而理顺和提高企业的管理水平,提高设计效率,降低企业的库存,节约占用资金,降低生产成本,改善职工的工作环境,缩短企业的服务时间和提高企业的客户满意度,并可及时地获取客户需求,实现按订单生产。
但是,信息化也使企业同时承受着巨大的信息安全的风险。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。我国公安机关2002年共受理各类信息网络违法犯罪案件6633起,与上年相比增长45.9%,其中利用计算机实施的违法犯罪5301起,占案件总数的79.9%.而病毒的泛滥,更让国内众多企业蒙受了巨额经济损失。加强信息安全建设,已成了目前国内外企业迫在眉睫的大事。
二、信息安全和信息安全管理
根据国际标准化组织(ISO)的定义,信息安全是“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。
信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。信息安全的目标就是要保证敏感数据的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)[1].为了达到这个目的,人们建立起信息安全管理体系(InformationSecurityManagementSystems)。它是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的系统,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
在信息安全管理体系中,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等建立起信息安全管理框架。在该体系中,人们在技术层面作了许多卓越而富有成效的工作来保障企业信息安全,如密码学和访问控制等。但仅仅依靠技术手段不可能彻底解决信息安全问题。这是因为,信息以及信息用户的社会属性决定了信息安全中存在非技术因素,而从属于非技术因素的问题,无法依靠单纯的技术手段加以解决[2].非技术手段主要包括法律手段、经济手段和行政手段等,在市场经济环境中,企业应首选法律和经济手段来保护信息安全。
三、法务会计师在企业信息安全管理中的作用
信息及信息用户的社会属性使得法务会计师为企业提供专业服务成为必要,而法务会计师独特的知识结构和专业经验使得其在企业信息安全管理发挥其独特作用提供了可能。根据信息安全风险的成因,法务会计师可以因地制宜地制定相关对策。当前威胁企业信息安全的主要成因是:
1.技术风险。主要包括信息电磁化风险和系统及软件风险。在网络环境下,企业的各种票证和帐单等以人眼无法直接辨别的电磁信息的形式在网上传递并存储于磁性介质中,在传递及存储过程中均有被攻击者篡改或截获的可能。
2.人员风险。由于企业中负责具体业务的人员并不一定熟悉计算机操作,因此在系统使用过程中极有可能出现由于人员操作不当而造成的意外损失。而由于系统管理涉及企业重要机密,操作人员是否会利用职权之便对信息进行破坏或剽窃也是企业管理者应该关注的重要问题。
3.法律风险。网络的出现和广泛应用对传统社会产生了强烈的冲击,旧有的法律法规体系已不能完全适应、指导和规范网络安全的实践。网络本身的虚拟性、实时性、广泛性要求更加切实可行,更加完备的标准准则和法律法规的出现。
现阶段,面对信息安全的威胁,企业缺乏有力的系统性的对应措施和策略,基本处于“头痛医头、脚痛医脚”的状态,解决方案手段单一,缺乏多种手段的共同治理。很多组织已经越来越意识到要真正达到信息安全的目标仅仅通过信息安全技术和产品是不可能实现的,结合法律、制度等社会性手段的信息安全管理体系(ISMS)的搭建才能实现信息系统的整体安全保障。因为,很多企业信息资产安全管理方面除了存在信息安全技术薄弱方面的原因外,还存在如下一些问题如,信息安全管理制度过于简单,内容不全;交叉重复,混乱无章;求大求全,无针对性;锁在柜中,无人问津;以及制度执行中的人为破坏等等。
建立包含技术和法律等手段的多层面的信息安全管理体系可以强化员工的信息安全意识,规范组织的信息安全行为,对组织的关键信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;使组织的商业伙伴和客户对组织充满信心,提高组织的知名度与信任度。因为信息安全事关企业信息资产和业务安全,需要通过法制渠道满足企业在电子商务和管理环境中维护竞争优势的需要,法务会计师可以充分利用其在法律和会计信息管理方面的优势,为企业建立有效的信息资产保护计划提供有价值的服务,并依法追究相关组织和人员的责任。
企业信息安全管理范文3
【关键词】 电力企业 信息安全 管理 问题 完善措施
1 前言
电力企业信息技术的发展起始于20世纪90年代,最早的计算机应用开始于财务管理、营销管理等办公业务,随着信息技术的不断深入发展,信息技术在电力企业的应用范围也日益扩大和深化,目前已经渗透入电力企业运营管理的全过程,信息技术也渐渐从开始的“配角”提升为电力企业运营管理的“主角”。在电力企业信息化技术应用日趋成熟、重要程度日益上升的今天,企业对信息化的管理和关注重点也在不停的发生变化,一方面信息化成果已成为企业甚至社会的重要资源,在整个企业的生产运行、电网调度、办公管理等各个方面发挥着重要的作用;另一方面由于信息技术的迅猛发展而带来的信息安全事故、事件屡见不鲜,信息安全问题与矛盾日益显著。而信息安全工程是一个多层面、多因素的、综合的、动态的系统工程。企业要实现信息安全管理,就必须不断完善和建立一套行之有效的信息安全管理与技术有机结合的安全防范体系。
2 我国电力企业信息安全管理存在的问题
2.1 电力企业普遍存在重技术、轻管理的问题
信息安全是“三分技术、七分管理”,但是现在许多电力企业任普遍存在重技术、轻管理的问题,甚至很多电力企业根本没有完善的安全管理制度,并且管理人员信息安全意识普遍不高,这也就在一定程度上加深了企业信息安全风险。要知道再好的技术在其运行的过程中管理才是第一位的,比如在实际工作中,有最好的技术,但是如果管理不到位,系统的运行、维护和开发等岗位分配不清,职责划分不明,存在一人身兼多职的现象,再先进的技术也不可能发挥其应有的效力,一样不具备竞争力、防御力。又如,企业在管理过程中对网络工作人员的基本技能和素质要求把关不严格,极易造成因网络工作人员因操作不当而造成硬件或者软件出现漏洞,使恶意份子有机可乘,同样影响网络信息安全。
2.2 电力企业对员工的信息安全意识宣传不到位
随着信息安全地位的不断攀升,电力企业对信息安全也越来越重视,但是,企业对于信息安全的培训力度仍显不够,电力企业员工信息安全意识仍非常低。如,一些电力员工在离开办公场所时,没有意识主动关闭电脑或锁定屏幕,因此容易造成企业数据的丢失及客户信息的泄漏。又如,一些员工为了贪图方便省事,直接将系统账号交给第三方人员进行操作,容易造成系统数据的错失遗漏,或者出现未授权的审批等等。再如,还有一些员工对于未确定安全性的文件防范意识不够,一旦点击打开后,就容易造成木马的植入或者病毒的扩散,从而造成数据的泄漏或丢失破坏。
2.3 电力企业信息安全技术不够完善
首先,在计算机的使用方面,有很多的办公计算机还是内网与外网混合使用的状态。虽然公司已经做出了相应的规定,要求内网与外网进行分开使用。但是,内外网混用情况仍十分严重,这就会给安全问题带来极大的隐患。其次,一些电力企业对移动介质的使用管理比较松散。如:一些企业的移动介质不需授权就能直接接入办公电脑中,容易让别有用心的人加以利用,从而拷贝了公司的内部资料,造成企业损失。又如,一些员工在未确保外来移动介质正常的情况下就接入内部网络,容易造成病毒的传入,从而影响内部网络的正常以及数据的安全。最后,部分电力企业数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。
3 完善电力企业信息安全管理的具体措施
3.1 完善电力企业安全风险的评估
电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑,技术是安全的主体,但是却不能成为安全的灵魂,而管理才是安全的灵魂。首先电力企业必须做好安全状况评估分析,评估应聘请专业权威的信息安全专家或者咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的危害和影响,针对评估出来的风险制定详细的解决预防方案并认真实施,实施完成后还要定期对其进行评估和不断改进完善。其次,网络安全离不开各种安全技术的具体实施以及各种安全产品的部署,但是现在市面上安全技术及产品种类繁多,让人眼花缭乱,难以进行抉择,我们信息安全系统建设中心内容是安全和稳定,所以我们企业应尽量采用成熟的技术和产品,不能过分求全求新。最后,培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
3.2 不断完善电力企业信息安全管理制度
首先,构建良好的管理体制,在网络系统管理中,要做到管业务不管系统,管系统不管业务,如果二者混淆,就容易将所有权限落入一人之手,若该员工,同样造成网络信息安全的极大威胁。其次,数据安全管理制度,即确保数据存储介质(设备)的安全;定时进行数据备份,备份数据必须异地存放;对数据的操作需经主管部门的审批、同意方可进行;数据的清除、整理工作需两人或两人以上在场,并由相关部门进行监督、记录。最后,准入管理制度。准入管理又称密码、权限管理,通过准入系统可以判断请求登录的用户是否是合法的、值得信任的。
3.3 加强对电力企业全员信息安全的教育及培训,提升全员信息安全意识
对于企业信息安全工作的开展不是一个部门一个人的事,而是我们电力公司全体员工的事情,所以必须提高企业全体员工的信息安全意识。通过开展多种形式的信息安全知识培训,可以提高员工的警惕性以及养成良好的计算机使用习惯。在不定时开展信息安全教育和培训的时候应注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。另外,我们企业还可以采取一些考核奖罚措施,去激励和约束全员认真进行信息安全培训,认真落实信息安全操作,从而有效提高我们电力企业整体信息安全水平,提高信息安全意识,最终有效避免信息安全问题或失泄密事件的发生。
3.4 不断完善和提升电力企业信息安全技术
第一,对电力企业内部和外部网络进行物理隔离。采用最高效的解决信息网络安全问题的办法:将局域网与外网物理隔离,使局域网内的用户只能访问内网资源,外网计算机无法与内网相连接。通过这种方法可以很大程度地防止互联网上的病毒、流氓软件等的入侵,避免企业及用户个人的重要信息与数据的失窃,进而可以控制可能由此造成的无法估计的损失。其次,对于移动介质,应加入认证管理,只有被预先授权的介质才能接入内网,对于数据的拷贝,只能通过加密形式处理。第三,数据与系统备份技术。供电企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。计算机病毒传播广,破坏力大,会严重影响电力企业网络系统的安全运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。最后,建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁,需建立有效的信息安全身份认证体系,实现网络危险过滤、终端准入、用户识别、上网授权等功能,最终实现企业内网用户终端安全性的提升,达成企业整网上网安全性的保障。
参考文献:
[1]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术,2011(4).
[2]冯慧昌.信息安全管理现状与研究策略[J].科技风,2012(7).
[3]姚军.中科网威助力工业网络信息安全[J].企业研究,2O12(12).
[4]胡国胜,张迎春.信息安全基础[M].北京:电子工业出版社,2011.
[5]胡泉军,王以群,张延芝.企业信息安全管理中组织管理失误因素分析[J].工业工程,2009(2).
企业信息安全管理范文4
【 关键词 】 信息安全;电力企业;风险评估;管理模式
1 引言
在如今的信息化社会中,信息通过共享传递实现其价值。在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。尤其是电力,是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。
2 电力企业信息管理体系建设的依据
关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件,里面有10大管理项、36个执行的目标和127种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。
国际标准化组织也了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851―1995。
关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。
3 信息安全管理体系里的重要环节
3.1 硬件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
3.2 软件环境要求
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3 企业员工管理
尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。
另外,电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。
3.4 信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。
企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。还有,之所以要建立信息安全管理体系,其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。
为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式,来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业,应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。
3.5 信息安全管理体系的管理模式
文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。
4 重要技术及展望
4.1 安全隔离技术
电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。
4.2 数据加密技术
企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。
4.3 终端弱口令监控技术
终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。
电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。
智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。
5 防病毒软件部署
电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。
杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一立的服务器作为防病毒软件专用的服务器。
服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。
电力企业内网可能是禁止接入外网的,这样的话,防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图,如果电力企业的内网规模很大的话,还可以更多级地分布部署。
6 结束语
电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。
参考文献
[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3):26-29.
[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.
[3] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.
[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术,2013,11(8):103-108.
[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密,2010,01(10):68-71.
[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术,2005(29).
[7] 曹鸣鹏, 赵伟, 许林英. J2EE技术及其实现[J]. 计算机应用,2001, 21(10): 20-23.
[8] 江和平.浅谈网络信息安全技术[J].现代情报学,2004(14):125-127.
作者简介:
崔阿军(1984-),男,甘肃平凉人,硕士研究生,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
张驯(1984-),男,江苏扬州人,本科,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
李志茹(1984-),女,山东平度人,硕士研究生,工程师;主要研究方向和关注领域:信息化建设及安全技术。
龚波(1981-),男,湖南新邵人,本科,工程师;主要研究方向和关注领域:电力信息化建设及安全技术。
企业信息安全管理范文5
(一)信息化安全认知匮乏
在我国,大多数中小企业信息建设管理中存在着明显的认知不足,全球联系的增强和市场的激烈竞争促使中小企业认识到了信息化建设的重要性,但是缺少足够的信息安全管理认知,日常安全管理工作过于疏忽,没有形成科学有效地安全管理体制,作为重要保护对象。中小企业内部不同的信息需要不同的方式进行安全管理,由于企业对于信息安全管理的重视程度不够,针对安全管理投入力度难以形成有效的安全体系,无法保证信息安全。
(二)信息化安全管理制度不够完善
由于我国信息化建设起步较晚,我国中小企业相较于西方发达国家信息建设程度还有所欠缺。企业内部对于信息安全管理缺乏科学的规章制度,难以做到信息合理有效的安全防护。安全管理制度的不完善导致了各项制度之间出现混淆,安全职责定位不够明确,安全问题出现无从追求,这种现象在中小企业信息泄露中时有发生。
(三)缺乏相关技术人才
大部分中小企业由于对信息安全管理重视程度不够,投入力度较轻,导致安全管理出现盲区。信息安全建设过程中对于相关人才的培养力度不够,企业内部缺少专门的技术人才对安全管理盲区予以修复,进而导致信息泄露。
二、中小企业信息化安全管理完善措施
(一)强化信息安全意识
企业信息安全是企业健康平稳发展的基础,由此中小企业内部每个员工都应该予以承担相应的义务和责任。强化员工对于信息安全的意识,相比于技术安全更值得重视。所以,企业内部必须强化员工信息安全意识,营造内部良好的安全意识氛围,提升员工信息安全防护能力。
(二)完善安全管理制度
有效地安全措施离不开科学的安全管理制度,企业需要强化制度建设力度,做到安全管理有章可循,对于企业内部用户相关信息权限予以限制,明确,减少个人操作可能引发的信息泄露风险。在企业不断发展的过程中,制度应随着企业发展而创新升级,以满足企业发展的需要。
(三)重点培养信息安全管理人才
任何一个企业发展的根本动力都是人才的支持,优秀的人才能够促进企业内部稳定,工作效率提升,企业发展收益增强。在企业发展过程中,安全管理盲区需要相应的技术人员进行定期检查,维护,针对存在的安全隐患及时有效地解决,规避风险的发生。
三、结论
企业信息安全管理范文6
[关键词]企业安全;信息管理;设计;实现
doi:10.3969/j.issn.1673-0194.2015.08.057
[中图分类号]TP311.52 [文献标识码]A [文章编号]1673-0194(2015)08-0075-02
近年来,企业安全事故层出不穷,信息安全引起了越来越多企业管理者的重视,成为各个企业不容忽视的关键问题。为了加强企业信息安全,不少企业开始设立独立部门对企业的信息安全进行专业管理,并开始培养专业的信息安全管理人才。
1 企业安全信息管理平台的问题
1.1 安全意识不强
企业要重视信息安全并实施管控,信息安全管理的成败取决于员工的安全意识。人员安全意识欠缺,导致政令不通,监督不力,执行不畅,往往导致信息外泄、系统故障等安全事故。只有树立直接执行人员牢固的信息安全意识,形成企业安全文化,企业信息安全才能真正长治久安。员工信息安全意识的提升并非一日之功,也不是通过简单的一两次培训就能奏效,而是一项持续的、长期的、有计划的、多种方式并用的综合性工作。信息安全意识提升面向企业广泛的受众,其内容涵盖信息安全相关各个领域,重点针对员工日常工作和个人行为,关注各种可能因个人行为不当或警惕性不强而引发的信息安全隐患和事故。由于目标对象的不同,信息安全意识提升内容会呈现出不同的形式、程度,从简洁明了的宣传语,到浅显易懂的安全提示,再到全面具体的安全手册,建立企业专门的信息安全知识库,满足不同方面和不同层次的需要。
1.2 缺乏专业人才
随着经济社会的不断发展,企业对于信息安全管理人才的需求也越来越大。任何组织都是由人组成的,没有人才,组织就不能取得长远发展,更谈不上不断进步和自我完善。企业的发展需要不断补充新的人才。对于多数企业来说,信息安全管理人员的素质决定了单位能否长远发展。信息安全管理是最近几年才兴起的,很多企业还没有配备相关人才,不少高校也尚未开展相关专业,培养信息安全管理方面的人才,国家对于信息安全管理专业的投入也不够。社会整体尚未形成重视信息安全管理的氛围。目前,不少企业的信息安全管理人员十分匮乏,很多企业没有专门的信息安全管理机构,因此也没有配备相应的信息安全管理人员。只有少数企业认识到信息安全管理的重要性,设立了相应的信息安全管理机构。但在这些企业当中,多数企业的信息安全管理机构十分简陋,相关设备也不够健全,专业人员的配备也存在缺失,有的企业虽然配备有信息安全管理人员,但这些人员多数没有接受过系统的知识培训,经验不够丰富,责任心不强,不能履行信息安全管理人员的基本职责。信息安全管理人员素质不高和专业人才的缺失,是企业的发展的阻碍,严重影响了企业的长远发展。
1.3 监管制度缺失
完善、科学的信息安全监管制度对于企业的发展具有十分重要的意义和作用。行为规范制度是指导工作人员进行相关操作的准则和办法,只有建立一套系统的信息安全监管制度,才能规范信息安全管理人员的行为,使操作有据可依,信息安全管理人员对自身行为负起责任。目前我国信息安全管理制度仍不健全,不少企业没有建立起一套完善的内部控制制度,使得很多行为没有操作依据,信息安全管理人员的行为无法有效约束,出现了许多不负责任的行为。这些行为不仅阻碍了企业的发展,也影响了企业的声誉,不利于后续工作的开展。因此,必须建立健全企业信息安全监管制度,为企业后续活动的开展提供保障。
1.4 管理技术落后
信息安全管理需要先进的管理技术和安全技术,为信息安全管理提供有力的技术支持。企业在发展过程中,开发了一系列信息安全管理技术和管理技巧,发挥了一定的作用。但随着经济社会的发展和科技的日新月异,不少技术已经无法跟上时代步伐,很多技术面临淘汰。这些管理技巧不但不能给企业带来益处,反而有可能影响企业的信息安全。因此必须紧跟时代步伐,了解最新的信息安全管理技巧,结合企业实际情况,开发符合时代要求的管理技巧。同时,积极了解最新科技动态,将适合于本企业的技术运用到企业的信息安全管理过程中。
2 如何完善企业安全信息管理平台设计
2.1 增强信息安全管理意识
提高信息安全管理意识是完善企业信息安全管理的重要前提和关键因素。只要具备良好的内部安全控制意识,才能顺利开展后续工作。企业管理者必须深切意识到信息安全管理对于企业发展的重要性和必要性,加大投资力度,及时发现企业信息安全管理中存在的问题和不足。必须加强对企业信息安全管理的重视,切实意识到信息安全管理对于企业发展的重要性,加大资金投入,确保企业信息安全管理良好运作。
2.2 加强人员的素质培训
人才对于企事业单位的发展具有不容忽视的作用。单位的竞争归根结底是人才的竞争。信息安全管理人员的素质对于企业的发展具有重要作用,具有良好素质的信息安全管理人员可以促进企业的快速发展。企业必须重视对信息安全管理人员的培训和投资。信息安全管理人员的投资包括设备的更新,资金的投入和专业教育的提升。同时,要鼓励信息安全管理人员学习最新的信息安全知识,不断更新已有知识,紧跟时代的步伐。企业不仅要注重提高信息安全管理人员的专业素养,也要重视对企业信息安全管理人员的道德培养。只有专业知识而缺乏道德素养的工作人员,不仅不能给企业带来效益,反而会危害企业发展,因此必须重视企业信息安全管理人员的道德素养。信息安全必须不断加强对信息安全管理人员的培训,切实全面提高信息安全管理人员素质,增强信息安全管理人员灵活处理各项事务的能力,不断巩固自身基础知识,培养信息安全管理人员的责任心和创新精神,真正做到与时俱进。只有不断提升企业的信息安全管理人员素质,才能从整体上提升企事业单位的安全管理工作效率,促进企业的长远发展。
2.3 强化信息安全监督管理
监督工作对于企业的发展具有重要作用和意义。良好的监督是企事业单位正常活动的前提。没有完善的监督体系,企事业单位很难确保业务的正常开展。企事业单位应强化信息安全监督工作,建立相应的监督管理机构,对企业内部各项经济活动进行有计划地控制,及时发现企事业单位存在的问题,同时应加强信息安全管理工作,不断提升工作效率。凡事预则立,不预则废。除了做好信息安全管理的内部监督工作外,不断加强信息安全管理的外部监督工作也是十分重要的环节。外部监督主要包括新闻媒体监督和社会大众监督。企事业单位管理者要认识到内部管理的不足之处,认真改正有缺陷的地方,不断完善内部控制建设。同时,也要不断加强新闻媒体的监督作用,发挥舆论的监督作用。内部控制是一项巨大的完整的工程,具有完善的体系和结构,必须保证每个环节落实到位,才能确保整个体系的良性运行,从而发挥出最大的效益。
2.4 提高信息安全管理技巧
除此之外,信息安全管理技巧对于企事业单位的发展具有重要意义。不同的控制技巧适用于不同的企事业单位,也会产生不同的效果。企事业单位采取适合本单位的内部控制技巧,可以提高企事业单位的行政效率。随着时代的发展和进步,传统的信息安全管理技巧已经不适用于现代企业。因此,企业必须根据时代的发展,提升自身信息安全管理技巧,摒弃旧有落后工作模式。另外,在实施信息安全管理技巧时,必须考虑到事业单位的实际运作情况,切忌生搬硬套。应根据企事业单位的具体情况,有针对性地提高信息安全管理的技巧,逐步解决企事业单位在实施信息安全管理时遇到的难题。
主要参考文献
[1]侯卫超.企业信息安全现状分析与管理对策[J].科技信息:科学教研,2007(28).
[2]王超,林峰.高校校园网络安全管理策略[J].科技资讯,2007(20).
