前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业信息安全形势范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:新形势;石化企业;安全管理
近年来随着国际局势的不断恶化,国际油价也产生了剧烈的变化,这对我国石油化工企业的正常经营与发展带来了很不利的影响。在市场经济下,我国的石油化工企业以利益的最大化为指导思想,这就对石油化工企业的安全管理提出了更高层次的要求。为了石油化工企业在新形势下正常生产的展开,石油化工企业必须防范于未然,采取新的手段保证石油化工企业在安全生产中获得更多的经济效益。
1新形势下石化企业安全管理的指导思想
在我国国内石油化工企业生产中,安全是居于一切之上的头等大事,为了在新形势下进一步推进我国石油化工企业安全化程度的提高,我国石油化工企业应以过去的成熟理论与成功经验为基础,参考国际上较为成熟的安全生产标准,用以促进我国石油化工企业安全化程度的提高。在这个过程中,石油化工企业需要提出符合国际惯例、标准运作,符合中国国情并以创造最大化生产效益为目标的相关石油化工企业安全管理的指导思想,只有这样才能保证新形势下石油化工企业的安全管理及正常发展的有序开展,促进我国石油化工相关行业的再次进步。在石油化工企业加强自身安全管理的过程中,要正确处理好实际国情与国际惯例之间的矛盾,不能在安全管理的加强中全盘西化,认为国际上规定的就是符合中国的。石油化工企业在安全管理的加强中需要明确我国实际国情,尽可能在国家可以接受的范围内与世界接轨,提高我国石油化工行业的国际化程度。
2新形势下石化企业安全管理的具体措施
2.1建立安全生产风险评估与控制相关组织想要在新形势下提升我国石油化工企业的安全管理,这份工作不是一两个人拍拍脑子就能解决的,而是必须由一支专业的安全生产风险评估与控制的团队进行全面的研究、系统的协作。如果石油化工企业只靠几个人就妄想提高石油化工的安全管理程度,很容易出现风险辨识不全不准、评估结果不符合实际、风险控制措施使用不当等情况的发生,对我国石油化工安全化程度的提高将带来很不利的影响。我国的三家石油公司:“中石油、中石化、中国海洋石油”在安全管理方面存在很大的共性,虽然它们之间既有合作也有竞争,但事关国家石油安全生产方面的重大问题,国家有必要派出相关部门的专业人员督促三大石油企业共同组织石油化工安全管理风险评估与控制的相关组织,各个石油公司在组织中分享彼此的安全管理经验,共同商讨石油市场中的相关安全对策,通过取长补短,各个石油公司能够在不断交流中提高自身石油化工生产中的安全化程度,这些在不创建三大石油企业联合的相关组织前是很难做到的。
2.2建立一支专业化高素质的安全管理队伍想要提高石油化工企业的安全管理程度,保证石油化工企业各安全工作的落实到位,就必须拥有一支高素质的安全管理团队。在对自身安全管理程度的提高中,石油化工企业必须转变自身的传统观念,运用先进的国际石油生产安全理论与成果进行自身企业的安全管理创新。在这个过程中,一些文化水平较低、缺乏相关安全生产观念的管理人员很难适应企业安全化程度的提升,这就需要企业对相关员工进行安全教育培训,将对相关员工安全素质的培养放在企业运营的重点环节,只有通过安全教育,培训出高素质的安全管理团队,才能从根本上提高石油化工企业的安全管理水平。
2.3对员工进行更全面专业的员工安全培训只有让企业中每一名员工清楚认识到我国石油化工企业遭受的国际、国内形势冲击,认清当前新形势下石油化工企业面临的机遇和挑战,才能从根本上提高员工的危机意识,并以此提高我国石油化工企业的安全管理程度。石油化工企业在培养员工危机意识中,可以采取印发相关资料、召开专题讲座、外出培训等多种形式,将国内新形势下国家倡导的法制观念、生命价值观念灌输到每一名员工的脑海中,将国际中流行的HSE体系的理念和方法落实到实处,以此杜绝石油化工企业生产中重大恶性事故的发生。
2.4坚持走可持续发展的社会主义发展道路石油化工企业在自身发展中,必须走在国家规定的可持续发展的道路上,实现石油化工企业创造的经济效益与社会效益相协调、相均衡的发展,并在发展中注重资源配置与投入产出之间的最大效益,以质量为长远发展的重点关注对象。石油化工企业在具体生产中,不可以只追求生产速度,而忽视了对生产安全的相关要求,石油化工企业应该加大对企业生产中的安全、卫生等设施的资金投入力度,虽然这会造成企业生产成品的增加,但从长远角度考虑,相关建设能够大大降低石油化工企业生产中出现重大恶性事故的几率,使员工工作的安全性大大提高,员工工作安全有了保障,自然就会提升其劳动效率,石油化工企业也能因此得到进一步发展。
3结语
在新形势下,国家对石油化工企业的安全管理提出了新的要求,石油化工企业必须通过对自身安全化程度的全面提升,才能适应如今国际、国内市场竞争的加剧,促进我国石油化工行业的可持续发展。
参考文献:
[1]高贡林.新形势下石油化工企业安全管理新举措[J].石油天然气学报,2009,04:412~414.
[2]常云海.石油化工企业安全文化建设体系构建与应用研究[D].首都经济贸易大学,2014.
【关键词】 新形势;电力企业;安全保卫;对策
近些年来,为了加快我国社会主义经济建设的顺利进行,并且保证我国的国民经济的又好又快的发展,国家加大了对电力发展的投资,让电力设备遍布城乡,给人民带来真正的实惠。当然这些政策的落实,也就让电力企业不得不面对新的形势。由于电网系统规模的不断扩大以及范围的不断广阔,也就让电力企业的管理更加的复杂。特别是对于电力设备以及电力系统的安全保卫也就提出了更高的要求。
一、新形势下电力企业安全保卫工作面临的问题
随着改革的不断推进以及国家对电力企业资金的不断投入,电力企业也面临着一个新的政策形势以及社会形势。在新的形势下虽然电力企业得到了长足的发展,但是也不可避免的出现了一些安全保卫工作方面的问题。
(一)电力企业安全保卫工作体制存在问题:在电力企业中,虽然已经确立了市场经济体系,但是由于长期受到计划经济模式的影响,在企业的安全保卫工作中还是存在着一些问题。总体来讲,我国的电力企业在安全保卫工作中还没有形成一个相对独立、完整并且充分的体系,并且安全保卫工作所要参照的制度也由于企业管理的局限性存在着一定的问题,电力企业安全保卫部门还与地方的公检法等部门在具体的保卫工作实施并未完全的协调统一。
(二)电力设备设施偷窃以及损害问题严重:在近些年来国际钢铁市场以及有色金属市场异常活跃,价格也在不断的上涨。并且我国废旧物品的收购市场又还处于一个不规范的阶段,这就导致有些人在利益的驱动之下去向我国的电力设备以及一些电力设施下手。对一些电力的塔材以及电线、变压器等设备进行拆割偷窃,从而造成了我国电力企业资源的损失以及电力企业正常供电的难以运行。
(三)窃电现象以及违法输电现象存在:电力是一种特殊的商品,对于国民生产以及建设来说异常重要。但是有的企业为了降低生产的成本进行集体窃电、合伙窃电等,严重的损害了电力企业的正常运行,也在一定的程度上对国家的资源造成了损害。
二、加强电力企业安全保卫工作的必要性
在电力企业中安全保卫方面存在的问题,导致电力企业利益的损失,并且也在一定程度上造成了电力企业不能够正常进行供电。所以说,加强电力企业安全保卫工作对于国民经济的发展以及供电的可靠性等都有着重要的意义。
(一)有助于电力企业的持续发展:强化电力企业的电力保卫工作,是电力改革以及发展的必然要求,也是电力企业持续发展的重要保障。因为电力企业是国家的支柱产业,如果电力企业发生问题,那么就会影响到经济的正常运行以及国家建设的顺利实施。所以加强对电力企业的安全保卫工作,是电力企业持续发展的关键,也是电力行业改革与发展的要求,更是保障国民经济正常运行,国家建设顺利实施的重要保障。
(二)有助于维护国家安全以及人民利益:电力是一种特殊的商品,做好其安全防卫工作是维护国家安全以及人民利益的根本需要。因为电力始终与国家的安全和利益联系在一起,也在一定的程度上与社会的稳定以及人民群众的切身利益相关。所以加强电力企业的安全保卫工作,是国家安全的需要,也是维护国家以及人民群众的利益的需要,具有着深刻的现实以及社会意义。
(三)有助于经济的健康稳定发展:电力企业的正常运行与经济发展有着密切的关系。因为我们处于现代化的社会之中,不管是生产还是工作、生活都离不开电力。如果电力系统遭到破坏,或者是电力企业的安全受到威胁,同样的我们的工作以及生活都会受到威胁,都会出现不稳定。所以加强对电力企业安全保卫工作的进行,是我国经济建设的需要,是经济健康稳定运行的需要。
三、新形势下电力企业安全保卫工作的对策
电力企业安全保卫工作关乎到国家经济建设正常运行以及人民生活的安全稳定。所以作为电力企业的领导部门,应该加大对安全保卫工作的重视,制定可行性的安全保卫措施来保障自身的正常安全运行。具体来说,保障措施表现在下面的几个方面:
(一)完善电力企业安全保卫规章制度:任何一项保障工作的顺利进行都离不开规章制度作为保障。在电力企业的安全保卫工作中叶是如此。电力企业应该根据自身的特点,制定更为详细细致并且能够涉及到企业全部的保卫业务的有针对性的管理制度。在制度中明确的规定各个工作人员所承担的保卫责任以及需要进行的工作。
(二)加强电力设备以及设施的保护:针对电力企业中对电力设备以及设施的失窃损坏现象,电力企业应该加强安全防范,并且做好对各种违法犯罪活动的打击,及时的排除那些干扰电力企业正常生产运行的外部因素,采取积极的保护措施。在具体的操作中,可以加大对电力有关法规等方面的宣传,让电力保护深入人心,深入到员工的实际行动之中。
(三)加强管理杜绝窃电以及违法输电现象的发生:在企业内部要加大窃电工作的力度,加强管理,规范供电的秩序,并且要积极的配合公安等法务工作人员对于窃电等违法行为的打击以及整治行动,将电力偷窃的实际情况告知执法人员,让其掌握更多的材料来进行案件的侦破,从而打击那些窃电以及违法输电的犯罪行为。并且对于那些比较偏远的地区进行供电,企业要制定基层的站所,进行定人定位的进行电力设施的巡查以及对供电情况的掌控,从而杜绝窃电及违法输电现象的发生。
(四)提高安全保卫人员的专业素养落实保卫工作:加强电力企业的安全保卫工作还需要提高安全保卫人员的专业素养,落实其保卫工作。因为在电力的保卫系统中,整个操作过程是由电力系统的专业保卫人员来进行的,所以加强对保卫人员的安全知识以及安全技能的培训,提升他们的职业素养是加强电力企业安全保卫工作效率的关键。在电力企业中,要落实责任制,对于那些犯有严重错误的员工以及管理者要追究其职责,从而保证整个电力保卫工作的透明化以及科学性。
四、结束语
在电力企业中安全保卫工作的顺利进行是电力企业持续健康发展的关键,也是国民经济正常运行以及人民群众利益得到有效维护的关键。所以在电力企业中,作为管理者应该加强对安全保卫工作的管理,制定好切实可行的安全保卫措施,促进保卫工作水平的提高,从而让电力企业能够在安全有效的环境中正常运行,为国民经济稳步发展提供有力的电力保障。
参考文献
[1]宋英杰,加强电力企业保卫工作的思考[J],中小企业管理与科技,2011
关键词:信息安全;影响因素;管理措施
中图分类号:TP393.08
信息技术的飞速发展在给社会经济带来巨大便利性的同时,也带来了巨大的风险,信息的安全已成为国际社会经济发展亟待解决的问题。现代企业在日常业务运营、行政管理、档案管理、数据交换等方面都离不开信息网络技术,然而,部分企业对自身信息安全的不重视以及在管理机制上的欠缺,致使社会重大信息安全事故频发,给社会与企业带来了不可估量的损失及危害。当然,企业的信息安全是一项艰巨的工作,它涉及到企业组织结构的各个方面,是一项系统的工程,无论是网络技术还是管理组织体系,或者企业信息硬件设备,都会影响到企业信息的安全,要保障企业信息的安全,就必须从信息技术安全以及信息管理制度两大方面入手,不断完善信息保密措施,如此,方可有效控制企业信息泄露。
1 企业信息安全风险的现状
企业在信息化建设的过程中,对信息安全的理解与重视并不相同,部分企业的对自身信息安全的防护级别较低,难以有效抵御外部信息窃取以及内部泄密。当前,我国企业在信息安全建设中主要存在如下三个问题:
1.1 企业信息安全管理机制不健全。信息安全是一个全新的领域,在过去,企业管理者对于自身信息的安全并没有高度重视,而在现代社会中,企业之间的竞争越来越激烈,任何有价值的信息泄露都可能会造成企业的重大损失,甚至破产倒闭,这也使得企业管理者不得不重视信息安全问题。然而,在社会法律法规、技术监管、安全标准等方面还存在诸多的不完善之处,同时,由于企业信息管理是一个不断发展的动态过程,企业的网络安全软硬件技术、管理人员的保密意识以及对商业间谍的防范措施等都会影响到企业的信息安全。从总体上来讲,信息安全管理机制的缺失是企业信息安全面临的最大问题。
1.2 企业信息安全技术不足。信息安全是当前社会共同面临的重大问题,企业的信息系统构建离不开计算机系统以及网络系统的支持,而通过网络传播的数据将面临极大的技术风险。现代信息安全技术是以密码技术、病毒技术、数据恢复技术、操作系统维护技术、数据库技术以及网络技术等所组成的系统技术。而由于企业对相关技术的认识和技术管理人才培养的局限性,导致在计算机信息应用过程中难免会出现一些漏洞缺陷。另外,在面对外部信息窃取攻击行为时,部分安全技术管理人员防范能力较弱,不能从根本上抵御黑客的攻击,这就导致企业的信息安全完面临严重的泄密危险。
1.3 企业员工缺乏安全管理的责任心和防范意识。企业的信息安全并不只是管理人员的责任,而是全体员工共同的责任,不过在企业信息安全建设过程中,往往忽略了企业员工环节,导致信息安全建设难以达到预期的目的。目前,企业信息安全事件最突出的便是信息泄密,其主要表现为员工的无意泄密、故意泄密以及离职后信息资源的自我利用,可以说,企业内部的信息安全风险远远大于外部风险。然而,针对内部信息安全问题,企业却并无一个全面、系统、有效的保障体系,尤其是在员工责任心建设以及信息安全防范意识建设方面,一直是企业信息安全体系建设的弱点所在。
2 影响企业信息安全的主要因素分析
企业的信息安全一直是现代企业管理中的难点,尤其是通信类企业以及严重依赖网络的电子商务类企业,其在信息安全环节的投入往往最大,但仍然是面临风险最大的环节。根据美国FBI以及CSI对其国内部分企业的调查显示,信息安全内部威胁占85%,外部入侵占15%,专利信息被窃取占14%,内部人员的财务欺骗占12%,资料或网络数据的破坏占11%。由此可见,企业内部信息安全已成为企业信息安全管理的重中之重,其泄密的途径主要包括互联网泄密,如电子邮件、即时通讯工具、网页空间、ftp、病毒黑客攻击等方式;局域网络泄密,包括内网与外网的连通、私人电脑与内部电脑的连接等;终端设备的泄密等等。企业信息安全是企业稳定与发展的基础,但是,企业信息安全形势却不容乐观,在现实中,影响企业信息安全的因素较多,其主要包括如下几种:
2.1 实体环境安全因素。(1)信息技术承载硬件安全。信息网络技术的硬件设备是支撑企业信息安全建设的基础,包括硬盘设备、内存设备、I/O控制器、电源等。(2)机房环境安全。机房是企业信息网络的管理中枢,其环境的好坏将直接影响企业信息的安全。一般来说,机房管理必须要专人专管,对于出入人员应该有记录,并且,机房应具有防火、防水、防静电、防鼠害、防雷击等设施,还要安装空调设备,以确保机房运行温度和湿度的稳定。(3)传输线路安全。网络线路以及电缆线路在传输过程中都具有一定的辐射性,其对信息具有一定的干扰,我们在安装时要采用屏蔽布线或者光缆传输,并采取技术手段,阻止线路对信息的干扰,以确保传输线路的安全。
2.2 内部环境因素。影响企业信息安全的内部因素主要包括:(1)软件因素。软件是企业信息化建设的重要工具,但同时也是信息安全风险较大的环节,它包括系统软件和应用软件。系统软件的是信息系统的运行平台,其本身就存在漏洞,若系统软件遭到攻击,将极可能导致信息的损坏或者泄密。而应用软件在设计过程中的不周全以及对数据校验的不完善,都将威胁到企业的信息安全。(2)人为因素。企业内部人的因素是影响信息安全的最大部分,员工对数据的操作或者对相关威胁处理的不合理、不及时都会直接影响信息的可靠性。(3)网络因素。企业的一切信息交换几乎都是通过网络来实现的,包括外部网络和局域网,而由于网络故障所导致的信息丢失情况比比皆是,另外,网络中一些非授权访问行为也容易造成敏感数据的泄密或者丢失。(4)硬件因素。硬件主要是指存储设备以及电源、显示设备、网络设备等,其中储存硬件设备对企业信息安全影响最大,我们在硬件储存设备的管理中要注重防霉变、防辐射、防雷击等等,及时做好数据备份和数据恢复。
2.3 外部环境因素。现代企业信息安全不仅面临着内部安全风险,还遭受着严重的外部隐患,其主要包括病毒风险、黑客攻击风险以及意外事故,如火灾、爆炸、水灾等,其对企业的信息安全影响甚大。
3 加强企业信息安全防范的措施
面对着如此众多的信息安全隐患,企业的信息安全管理形势十分严峻,要想真正做好信息的安全管理,保障信息安全,那么企业必须系统地进行改革,从根本上阻止信息的泄漏。
3.1 建立健全信息安全管理制度。企业必须根据内部信息的安全级别,建立一套适合其技术规范的管理标准,尤其注重在人员组织结构以及培训,要建立完善的信息安全管理制度规范,并严格执行。
3.2 采取新型网络安全技术,及时更新软硬件系统。企业要对内部计算机及服务器系统进行及时更新换代,尤其是其软硬件系统,要做好防病毒措施,并及时做好数据备份,加强网络密码建设以及入侵检测技术建设,为信息安全上一把“锁”。
3.3 加强内部信息的监管,对非授权访问以及敏感接入进行严格的控制。企业必须加强对内部数据的有效监管,在与外界进行数据交换过程中,有必要对敏感数据或者有威胁的行为进行干预、阻止、监控等措施,控制非法接入与攻击行为。
3.4 定期巡查与评估,不断改善和调整安全防护策略。企业的信息安全管理是一个动态的过程,我们的信息安全防范也必须做好及时的评估和调整,对计算机硬件设备、机房环境等定期进行巡查,发现并及时解决潜在的安全威胁,并根据最新的信息安全形势来调整防护策略,未雨绸缪,做好信息安全的预防工作。
参考文献:
[1]罗庆云,赵巾帼.企业网信息安全的探讨[J].网络安全技术与应用,2005.
[2]姜桦,郭永利.企业信息安全策略研究[J].焦作大学学报,2009.
关键词:电信企业;信息安全;风险防控;管理体系;建设;研究
一、电信企业信息管理的现状与作用
(一)电信企业信息管理体系的现状
随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。
(二)企业信息安全管理的作用
信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。
二、电信企业信息管理建设的有效方法
(一)制定有效的信息管理计划
在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。
(二)电信企业信息管理建设的范围
对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。
(三)建立企业信息管理框架
对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。
三、结束语
综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。
参考文献:
[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014
[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016
Abstract: With the advent of the information age, information technology plays an increasingly important role in the enterprise, and in the current network environment, a large number of virus frequently attacks the enterprise's information system, and even cause system cannot deal with the attacks. Therefore, the enterprise information security should change passive treatment into active defense, establish risk management framework in the information system, rationally use internal resources, and improve enterprise information system security. In this paper, the framework of enterprise information security risk management is studied, and the requirements, process and implementation of enterprise information security risk management are discussed.
关键词:信息安全;风险管理;框架探究
Key words: information security;risk management;framework research
中图分类号:F270 文献标识码:A 文章编号:1006-4311(2017)18-0053-03
0 引言
在社会不断发展的同时,信息化技术也获得了长足的进步,并且已经广泛地应用到人们的生活与工作中。对于企业单位而言,信息资源是保证正常运营的关键因素,企业运营的重要数据、客户资料以及知识产权等信息都是重要的信息资源,这些资源一旦泄露或丢失,会对企业造成极大的影响。因此,企业必须重视自身信息系统安全风险管理的框架的建设,有效防止来自网络的恶意攻击,防止内部重要信息泄露或丢失,保证企业信息安全。
1 企业信息安全实践的需求分析
在信息时代的大背景下,企业的信息化程度是衡量其发展水平的重要因素。但是,我国的信息安全形势不容乐观,大部分企业没有树立信息安全风险管理概念,企业的信息安全无法得到良好的保障。信息安全是一项综合性的工程,不能仅凭企业短期内需要就采取某些措施,无法从根本上提高信息安全水平。想要做好企业信息安全实践工作,必须事先做好企业对信息安全的需求分析,形成全面的分析报告,并根据报告中的内容采取相应的措施,改善企业信息安全现状。但是,需求分析的具体过程也不是始终不变的,而是会根据企业的发展与信息技术的进步发生改变的。信息安全风险的独特性必须在框架中体现出来。信息安全风险源于信息,信息本身具有不断发生变化的特性,从其以数据的形势出现开始,直至在各项功能中发挥相关的作用,这个周期内的每个阶段都有相的价值。信息安全管理就是要对企业的信息资源进行全面的保护,避免因这些资源受到损失而对企业的运营造成影响。企业信息安全风险管理框架中,必须能够发现信息资源即将受到的威胁,评估这些威胁会对信息资源造成的后果,以确定应对这些威胁的顺序。在制定风险计划时,需要明确对于风险的应对方式以及合理的控制措施。在风险的监督与改进过程中,需要根据这些风险采取适当的监控手段。总之,在此过程框架每个过程要素的分析中,都必须体现信息安全风险的独特性。
2 企业信息安全风险的类型及内容
一般来说,在企业运营过程中,信息安全系统通常面临以下风险因素:
①因线路故障、停电、网络通信设备损坏等导致网络突然中断。
②网站遭到非法攻击,主页被恶意篡改或者被非法植入煽动国家分裂或抗拒法律法规、歪曲事实、散布谣言的言论,以及破坏社会稳定、损害公司名誉的不当言论等。
③公司内部网络服务器或他服务器被非法入侵,相关网络设置被非法拷贝、修改、删除,发生泄密事件。
④公司内外网终端混用,被国网公司信息管理部门查处,造成公司信息泄露、丢失事件。
信息系统是企业正常开展生产运营工作的基本前提,信息管理系统一旦出现问题,轻则影响企业内部业务项目的正常进行,重则导致企业蒙受巨大的经济亏损。因此,针对信息安全风险加强管控对企业来说意义重大。
3 企业信息安全风险管理方案
3.1 建立信息安全风险管理流程
企业信息安全风险管理工作可按照图1所示流程逐步展开。
3.2 完善信息安全风险管理措施
对信息安全风险的管理可以以阶段化的管理模式逐步展开,具体措施如下:
3.2.1 实施准备阶段
信息安全风险管理实施的准备阶段主要包括管理开端的建立、风险评估以及制定行动方案三个步骤。第一,在管理开端的建立中,首先要获得企业管理部门与业务部门的支持,并且建立完善的管理质素,明确参与到管理过程中的工作人员的职责;第二,在风险评估步骤中,首先,确定风险评估对象的范围,其次,确定评估小组的成员,并且制定评估方案;最后,对评估小组成员进行与评估方案有关的培训。在这些准备工作结束后,评估人员就可以开始通过访谈或调查的形式来确定公司信息资源的具体情况,明确用户对信息安全的需求。再通过对风险进行识别与分析,发现企业信息系统中存在的风险。第三,在制定行动方案的步骤中,需要完成保护方案的制定以及确定风险处理方式两部分工作。通常情况下,保护方案就是需要企业长期持续执行,能够帮助企业保证自身信息安全的方案,但不足以满足企业在短期内提高信息安全性的需求。因此,企业必须对所有控制措施制定相应的处理方式,在短期内解决企业最需要解决的问题。
3.2.2 部署与执行阶段
行动的部署与执行阶段主要有计划的部署与安全培训两方面工作组成。第一,行动计划部署。在这个过程中,安全风险管理计划中的所有措施都必须被执行,需要对具体行动方案进行必要的理解并执行。首先,要与企业中的员工进行事先沟通,防止在实施中遇到反对或抵触的情绪。其次,确保被安排到行动计划的员工能够把握这些工作的优先级。此外,必须制定行动执行保障制度,为计划执行准备足够的资源,以保证计划顺利执行。第二,安全培训工作的实施。在企业内部,从事安全风险管理工作的员工有时会将普通工作人员视为技术人员,显然这种想法是有问题的,并不是企业内的所有员工都了解信息安全风险管理。所以,我们必须了解企业中大部分员工知识利用信息系统完成自己的工作任务,信息安全的保护是需要专业的信息安全人员进行的。所以,企业必须组织安全培训,通过培训提高员工安全意识,保证他们在信息系统遇到危险时能够采取一些有效的行动,对系统进行适当的保护。
3.2.3 风险监督检查阶段
在信息安全风险管理团队中,必须组建风险监督小组,在风险管理的整个过程中对其进行监督与检查,小组应由小组负责人与检查人员组成。实施风险监督检查的目的就是为了掌握企业信息安全的实际状态,并且收集信息安全环境变更信息,方便对未来的风险进行预测。风险监督小组在获得这些信息后,必须及时向风险管理团队反馈,确保他们能够掌握企业最近的信息安全状态。
3.2.4 风险改进阶段
在这一阶段,我们必须做好以下工作:制定详细的风险改进措施。风险管理团队需要根据企业的信息安全状态制定详细的风险改进措施。通过对监督检查过程中发现的问题进行分析,可以找出导致问题产生的原因,制定相应的改进措施并限期完成,检查人员则要负责对具体的实施情况进行检查。在改进过程中,需要注意的是,改进措施必须获得最高管理者的批准,特别是关系到整个企业或大多数部门的改进措施。风险监督小组必须随时跟踪纠正措施实施情况,验证改进措施的执行是否符合标准。
3.3 建立企业信息安全风险评估体系,促进信息管理工作不断优化改进
3.3.1 明_信息安全风险评估流程
企业信息安全风险评估工作可以参照图2逐步实行。
3.3.2 信息安全风险的计算及处理措施
企业的风险可以通过多种计算方法得到,但通常资产的风险值可以定义为:风险值=f(安全事件发生的可能性,安全事件发生的危害性)=g(资产,威胁,脆弱性,已实施的控制措施)。评估人员根据这样的函数形式,可以采用一种类似5×5形式的矩阵来计算风险,其中行和列分别代表了安全事件发生的可能性或发生的危害性等级。当然,评估人员为了细化这些风险可以采用维数更多(更细)的矩阵。
4 结论及建议
企业通过信息安全风险管理的实施,能够确定长时间的安全风险管理计划,并且可以有效地缓解企业信息系统中的安全风险,提高工作人员对与信息安全风险的认识,建立健康的安全风险管理氛围,推动企业信息化发展。
另外,建议企业在实施信息风险管理的同时,及时建立信息安全风险预警系统,特别要加强网络与信息系统安全管理,充分发挥技术支撑、机制保障作用,不断完善预防与抢险相结合,有效地预防和减少信息系统安全事故的发生,保障信息安全稳定运行。
参考文献:
[1]王淳萱.大数据环境下国有企业的信息安全探析[J].冶金经济与管理,2016(02).