企业信息安全管理
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业信息安全管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业信息安全管理范文第1篇
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
三、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
四、信息安全前景:
在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展,电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上,还要及时关注新技术,不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。
企业信息安全管理范文第2篇
关键词:信息安全;现状;策略
信息安全管理已经成为企业加强信息化进程以及提高企业管理水平的一项重要内容,它是确保企业信息管理系统高效运行,促进企业健康、稳定发展的一个重要前提。近几年来,随着ERP在企业中的投入使用,使企业的信息化工作内容得以拓展,企业对信息系统的安全性也日益关注,怎样保证信息系统的安全、高效,已经成为摆在各个企业面前的一项重要课题。
1.信息安全管理意义
1.1信息安全是企业实现可持续发展的需要
随着计算机网络技术的普及应用,如何确保涉及到企业经营发展的各种信息、资料的安全性,已经成为企业必须要解决的一个问题。现阶段,大多数企业的数据信息,甚至是关系到企业战略规划的重要信息,都是以电子文件的形式进行保存的,对于企业来说,这些信息如果泄露、丢失或者遭到恶意破坏,其后果是不堪设想的。因此,企业必须要具有预见性与前瞻性,要站在战略发展的高度来看待信息安全问题,必须建立起一套操作性强的防范机制,要从操作系统、芯片技术以及网络建设等方面入手,就安全保障体系进行积极构建。
1.2信息安全是实现企业平稳、健康发展的前提
现阶段,我国企业的信息安全建设,还没有形成一个成熟,可供广泛借鉴的安全体系,同时基础也相对薄弱,这些问题都亟待解决。而且信息安全已经成为关系企业未来发展的一个重要问题,我们必须要认清加强企业信息安全建设的紧迫性,要从维护企业利益的角度来看待信息安全建设问题,做好基础设施的建设工作,以及信息安全体系的构建工作,实现企业的平稳、健康发展。
1.3信息安全是知识经济时展的需要
计算机网络技术的普及应用,使得企业内部各部门之间的信息交换,以及企业对外部信息的获取日益频繁,这也令企业对网络技术愈加依赖,计算机网络技术对整个商业运作方式也带来了巨大的影响,从而出现了电子商务,也对企业生产方式、经营理念,产生了巨大的冲击,推动了企业发展以及现代经营理念的构建。但是,信息的安全问题也日益突出,比如信息在存储、处理以及传输过程中经常存在着被非法截取、恶意破坏以及篡改的现象。所以,信息安全是知识经济时代这一大背景下,企业发展必须要解决的问题。
2.信息安全管理的现状
2.1信息管理的安全意识方面
人员、机器设备、原材料、制度是一个企业在进行生产经营时不可缺少的几个基本要素,随着知识经济的到来,信息的重要性日益受到企业管理界的认同,信息也理所当然的成为生产经营过程中,不可或缺的一个非常重要的因素。但是就目前的企业对信息安全管理的重视程度来看,远远还不够,忽视对企业内部各种信息资产的保护,其结果必然会为企业带来无法估计的损失,因此,企业必须要提高对信息管理安全系统的认识,积极构建、完善这一系统,保证企业信息的安全。
2.2网络协议方面
我们在对计算机信息系统进行安全维护时,保证网络协议的安全是维护系统安全的一个重要问题,但是计算机系统的部分协议,比如TCP/IP 协议,这部分协议以及其构架通常也是在因特网上进行共享的,这样必然会为系统的安全埋下隐患。而且这也是计算机信息系统安全构成威胁的一个主要来源,而它对计算机系统的破坏是巨大的。所以,我们在对计算机信息系统进行维护时,必须要关注到这一点,杜绝类似事件的发生。现阶段,注意网络不明信息、非法访问以及网络协议等对系统安全构成威胁的问题,是确保信息传送过程安全性的重要前提,是我们在构建企业信息网络系统时,必须要考虑的问题。
2.3信息安全产品本身存在的问题
通常情况下,多数企业在建设信息管理系统的同时,也采用了相关的信息安全产品。如果信息安全产品本身存在着漏洞的话,这必然会直接导致企业信息系统安全机制的失效。但是计算机系统的安全隐患绝不局限于产品本身存在的缺陷,如果信息安全产品本身是完善的,不存在着任何缺陷与隐患,但是我们在使用产品的过程中,会因为用户配置、操作上的失误,或者对产品安全性能不够了解,使其性能降低,而起不到保护系统安全的作用也是有可能的。
2.4资金投入不够
我国企业想要对信息安全系统进行构建,就必须投入大量的资金,同时还要吸引IT人才,加入到信息安全系统建设团队。但是就目前我国信息安全系统构建的现状来看,还有很多不如人意的在方,尤其是在资金投入方面,一个项目如果缺少资金投入,那么一切都是空谈。笔者在实际工作中发现,有些企业非常重视硬件设备的投入,但软件投入比较滞后,这就使硬件部分强大的功能无法得到充分发挥。
3.加强信息安全管理的策略
3.1提高信息管理的安全意识
随着计算机网络技术的快速发展,网络犯罪有逐年上升的趋势,电脑病毒、网络黑客对计算机系统的攻击与日俱增,企业必须出于自身利益的考虑,来加强信息安全管理方面的建设,首先要从加大宣传,提高安全意识方面入手。企业可以定期举行有关信息管理安全意识方面的讲座、报告以及相关的培训教育工作,使领导干部、普通员工提高对信息管理安全的重视程度,使安全防范意识深入人心,这样有利于加强信息安全管理工作的全面展开。
3.2设计加密体制对系统进行保护
当今社会是一个信息化程度高度发达的社会,人们利用互联网对信息进行收集、整理、分析、处理的程度越来越高,这样必然会导致信息安全方面存在着一定的隐患,如果我们不采取有效措施加以防范,一旦发生问题,对企业造成的危害是无法想象的。针对网络所存在的安全隐患,我们可以采用加密系统对网内数据、文档以及口令进行保护。如此一来,我们在网上进行数据传送的过程,也更具针对性。加密管理过程,通常分为链路加密、节点加密与端点加密三个种类,我们可以根据企业的实际需求进行选择。
3.3加强系统软件方面的建设
一般来说,计算机无论使用哪一种版本的操作系统,都会存在着一定的安全隐患,这个世界没有十全十美的东西,我们对操作系统也不能苛求太多。因此,这就需要我们采取积 极、有效的措施来提高系统的安全性,以期对操作系统进行很好的维护。比如对数据库软件、计算信息管理软件进行更新,终端操作系统要与数据库操作系统在版本上要统一,这样可以便于管理,提高信息管理系统的防御能力。
3.4增加企业信息安全建设的投入
信息化已经成为社会发展的一个主流趋势,企业必须要借助好这个“东风”,来加强自身的信息安全建设。任何一个项目的启动,都离不开资金的投入,企业必须为信息安全建设提供物质基础,比如购置专用服务器、软件以及将IT资产外包等等,保证信息安全建设的顺利完成。
4.总结:
综上所述,信息安全对企业的发展有着非常重大的意义,它不但是企业自身实现可持续发展的需要,也是知识经济时代背景下,企业的必然选择,我们可以从提高信息管理的安全意识;设计加密体制对系统进行保护;加强系统软件方面的建设;增加企业信息安全建设的投入等方面入手,加强企业信息安全管理方面的建设。
参考文献:
[1]姜桦,郭永利.企业信息安全策略研究[J].焦作大学学报,2009,(01) .
企业信息安全管理范文第3篇
关键词:网络环境;企业信息;安全管理
随着网络的普及和广泛应用,人类生活办公都越来越离不开网络,在信息全球化的影响下,网络已经对人们的生活产生出了极为深刻的影响。因此,人们对网络环境下的信息安全问题也开始更加关注。在企业中运用网络,在促进企业发展的同时,也很容易造成企业中的信息出现泄漏的现象,且一旦信息泄漏,就会造成严重的影响。企业内部也是这样,与此同时网络安全问题却逐渐浮出水面,严重威胁到了网络健康和正常运行。所以采取相关安全管理与防范措施很有必要。网络化的社会可以让天下事尽收眼底,极其方便快捷。企业内部利用网络这一优势将其应用到实处,让网络在企业运营中发挥着重要作用。而有好处的同时往往也会存在着坏处这一对立面,安全隐患就是很棘手的一个问题。文章就是基于此来分析出切实可行的安全管理与防范对策,从而能够解决这一问题。
1信息安全与信息安全管理
(1)信息安全的根本目的是保障企业内部信息不受任何因素的威胁,确保系统能够连续可靠正常地运行,现代企业的信息安全是指企业为确保信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性不因偶然或恶意原因遭受破坏、更改和泄露而在计算机管理和技术上对数据处理系统进行的安全保护,保护企业的生产运营安全。(2)一般来说,存储设备配置和信息安全管理中的漏洞、网络环境和企业内部局域网潜在的危险是企业信息安全的主要隐患。结合企业实际特点和需要,构建企业信息安全管理体系,避免企业机密资料外泄,保护企业的生产运营安全是企业信息安全管理研究的重要课题。企业信息安全管理是企业为实现安全目标进行的信息安全风险相互协调活动,其目的在于通过制定信息安全政策、风险评估等系列工作尽量做到在有限的成本下保证资产的安全,维护信息的机密性、完整性和可用性。(3)随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。
2网络环境下企业信息安全管理存在的问题
2.1计算机自身的不确定性
网络时代,人人都可以成为信息的制造者、传播者和接受者,但由于网络的开放性、匿名性以及网民素质的良莠不齐,不仅导致网络产生许多虚假信息、表述不明确信息,来混淆视听。甚至误导网民,引发,而且还为不法分子盗取企业信息提供了便利条件。加之,网络资源的共享性为网络系统安全的攻击者提供了破坏企业信息安全的机会,给企业信息资源带来大量的安全漏洞,给企业发展带来不利的影响。
2.2安全软件设计滞后
进入信息化时代,计算机在企业发展过程中扮演着极为重要的角色,而随着计算机与互联网技术的融合,网络不仅为企业提供了极为丰富的信息资源,拓宽了企业获取信息的渠道,而且还极大地提高了工作效率,提升了企业经济效益和社会效益。但拓扑结构的设计和各种网络设备的选择容易感染病毒或被黑客侵略的问题,给企业信息安全带来直接的安全隐患。而相关病毒查杀软件都是为应对问题而设计的,也就是说,病毒查杀软件是针对病毒研发的一种“见招拆招”的软件,具有严重的滞后性。合理的安全软件设计能够为企业信息安全提供较好的保护,不合理的安全软件设计则会成为企业信息安全的隐患。此外,由于安全软件设计不合理或维护工作不完备,也极易造成病毒入侵、系统瘫痪等状况,影响企业正常运转。
2.3网络操作系统的漏洞
随着网络技术的发展,作为网络服务得以实现的载体,网络操作系统不可避免地会存在一些漏洞,这些漏洞作为一种伴生性漏洞不仅一直存在,而且还为病毒的滋生和入侵提供了机会。不断更新换代的网络软件在设计时考虑到便于软件的扩展和维护,常会为编程人员设置后门,但网络协议实现的复杂性使得操作系统的缺陷和漏洞成为网络安全的硬伤,这些后门一旦被不法分子发现,会对企业信息安全造成很大的威胁。如黑客攻击就是基于网络操作系统漏洞而产生的一种难以防范的、人为恶意攻击,对企业造成无法弥补的损失。
2.4人为因素造成的安全问题
随着市场经济体制的不断完善,企业之间的竞争日趋激烈,很多企业只重视利益的发展,将全部精力集中于企业生产经营,并没有认识到企业信息保护的重要性,造成企业信息在存储过程中没有适当的制约机制,造成企业信息安全保障系统存在漏洞和隐患。加之网络作为一种新生事物,企业对信息安全管理投入不足,员工普遍安全意识缺乏,信息安全管理规章制度不完善,这不仅浪费了企业的网络资源,而且还极易出现安全隐患和漏洞。
3网络环境下企业信息安全管理建设的措施
3.1通过对目前的应用系统进行分析与评估等工作是实际
可行的办法安全风险评估。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。
3.2要做好技术上的创新。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。将监督检查机制落实到实际中去。时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。同时还要保证财力上的支持,实现技术的改进与创新。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。
3.3充分运用防火墙技术
在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。防火墙能够有效防止黑客访问用户的及其,以此来组织黑客拷贝篡改用户的信息,以此来保证信息的安全。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。
4结语
总之,想要保证企业中的信息安全,就要坚持从信息安全技术与做好内部管理工作上出发,企业网络办公不仅可以将各个部门紧密联系在一起,工作沟通起来还可以更方便,极大地提高了工作效率,创造了更多的经济效益。这是新时代、网络时期给企业带来的难得一遇的机会和福音。通过安全技术的支撑来提高内部管理工作的效果,同时还要落实管理与监控工作,加强信息安全教育,建立出完善的管理制度,提高安全管理的水平。还竭尽全力做好企业内部网络的安全管理和防范对策,两者结合、相辅相成,这样一来企业的发展会更美好,更有希望。
作者:于倩 单位:淄博信息工程学校 淄博建筑工程学校
参考文献:
企业信息安全管理范文第4篇
【关键词】企业 信息安全管理 应急响应、
一、引言
计算机的不断发展和广泛应用,使得人们对它的依赖性越来越强。在今后的科技发展中,计算机的影响必将是最强最大的。但同时,各种隐患也相继出现,网络安全威胁开始泛滥,严重影响了人们的日常生活和社会安全。对企业而言,大多都实现了信息化管理,一旦信息系统遭到破坏,企业的信息安全得不到保障,则重要文件或其他关键数据可能会随之丢失,给企业带来巨大损失。
二、影响企业信息安全的因素
(一)自然灾害
目前大多数计算机信息系统比较容易受自然环境的影响,包括湿度、温度、冲击、振动等诸多因素。而不少计算机房常忽视防震、防火、防电磁泄漏等方面的工作,接地系统也考虑的不够周到,抵御自然灾害的能力还有待加强。
(二)软件漏洞
黑客对计算机发动攻击往往把网络软件的漏洞当成最好的利用条件,此外,还有软件“后门”的问题,这些“后门”都是软件设计编程人员为了自己方便才进行设置的,通常情况下,外人难以得知,而一旦“后门”洞开,其后果和造成的损失不可估量。
(三)黑客的攻击和威胁
在当前的计算机网络上,黑客攻击事件频频发生,愈演愈烈,已成为具有一定技术和经济条件的各种各样的攻击者活动的舞台。之所以会出现黑客,大多情况下,并非黑客本身有随意入侵的本事,往往只是因为他们善于发现并利用漏洞。信息网络具有缺陷和不完善性,这正好成了黑客或病毒进行攻击的绝佳途径,信息网络的脆弱,引起了不少信息社会的脆弱和安全问题,对人们和社会构成了极大威胁。
三、应急响应
(一)定义
在企业的信息化管理中,很容易因某方面的失误导致安全事件出现,应急响应指的是为防止各种事故发生而提前做好的防御准备,并在事故发生后采取相应的解决措施,尽量将事故带来的损失降到最低,同时对事故原因进行分析,做好详细记录,确保信息的完整性和安全性。在处理安全事故时,一般应遵循分级响应及处理的原则,从实际出发,对企业信息系统的具体状况进行预测分析,按照系统的破坏程度或后果的严重程度将事件划分成若干等级,依次拟出相适应的应急方案。
(二)流程
在发生信息安全事故时,为防止破坏扩散,首先应进行封锁,尤其是蔓延较快或危害巨大的事件,必须在第一时间内切断和网络的连接,保证危害一时不会扩散,从而确保整个信息系统的安全。接下来是缓解,即采取有效措施,缓解安全事故带来的影响,尽快恢复系统的正常运行,将损失降至最低。然后是消除,对事故的特点加以分析,采用科学手段将事件消除。当信息系统安全后,应展开追踪,信息安全多由黑客入侵造成,根据破坏的信息,采取合理可行的方法对事件原因进行追踪分析,发现有用信息后,将其交予公安机关处理。最后的工作是恢复,在消除事件后,应全面检查信息系统,将隐藏的安全隐患彻底消灭,以免此类事件再次发生,将遭受破坏的系统恢复后,系统能够正常上线工作。此时,处置方案实施完毕。
四、建立企业信息安全管理中的应急响应体系
(一)相关制度的贯彻落实
从当前状况来看,许多企业都积极引进了信息化管理,并制定了与之相适应的管理制度,但在实际中很难落实。不少用户的思想较为松懈,缺乏信息安全意识,经常麻痹大意,也没有采取任何防范性的措施,这就给黑客提供了进攻的机会,一旦不法分子施放病毒,很快就会导致安全事故发生。因此,企业应加大执行力度的,将制度落实。具体来说,可在平时通过会议、讲座等形式宣传信息安全等相关知识,或定期展开培训,使广大用户认识到信息安全管理的重要意义,加强用户的安全意识;同时应发挥管理制度的权威性,在制度面前,人人平等。此外,现代化时代复杂多变,管理制度应结合企业具体情况,并随着变化而做出适当调整,不断完善细化,使业务流程越来越规范。绩效考核制度意义重大,与员工的切身利益相连,应不断完善。
(二)制定应急响应方案,整合安全系统
信息资源对企业意义重大,应对其做好风险评估工作,按照重要性将信息财产进行分级,对各自的特点、潜在危害及所遭受危害的程度做综合考虑,确定中断影响以及允许的中断时间,对监控体系、应急处理等基础设施加以合理利用,使其作用得到充分发挥,最终选择最佳方法,制定合理的应急响应方案。
此外,现在不少企业都采取的是分散管理的模式,安全信息因各自分散而互不相通,加大了风险预测的难度,一旦出现安全事件,不方便定位,极易耽误应急响应的时机,再加上安全策略不统一,极有可能会加重后果。因此,企业需对各安全产品进行整合,通过整合,可将分散的信息资源进行统一分析,形成统一的安全对策,为响应处理提供前提条件。
(三)建立备份系统,做好备份工作
由于企业信息量大,管理起来较难,而且很容易出现误删或其他情况,导致信息的丢失,所以,在企业管理中务必要建立安全的备份系统。按照一定的标准将多种备份对象进行分类,并结合各自特点和需要采取相适应的策略,严格按照操作规程,完成备份恢复工作。数据备份管理者应注重备份的灵活性,根据具体的需求做出适当调整。
五、结束语
在当前信息化时代,信息资源对企业的发展意义重大,在计算机的大力普及下,信息安全管理系统成了企业的重要组成部分,对企业的经济效益有着深远影响。由于黑客、病毒等因素,容易破坏信息管理系统,从而给企业带来巨大损失。为解决这一问题,必须建立起应急响应体系,提前做好准备,制定合理的应急预案,将损失降到最低。
参考文献:
[1] 刘剑.石化企业信息安全管理中的应急响应研究[J].计算机光盘软件与应用,2012,24(16):163-165
企业信息安全管理范文第5篇
关键词:信息完全;技术;体系
一、前言
随着金川集团公司跨国经营战略的实施,企业信息化进程不断深入,企业信息安全己经引起公司领导的的高度重视,但依然存在不少问题。调查结果表明,造成网络安全事件发生的原因有很多,一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标;二是应急反应体系没有经常化、制度化;三是企业信息安全的标准、制度建设滞后。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的80%,登录密码过于简单或未修改密码导致发生安全事件的占19%。近年来,虽然使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,但是,很多企业存在安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平还比较低。因此现代企业迫切需要建立信息资源安全管理体系。
二、企业信息资源安全管理体系构建
1、企业信息安全组织管理
企业信息安全组织体系定义为一个三层的组织,组织架构如图所示:
企业信息安全组织
l)总经理通过总经办负责企业信息、安全的决策事项。2)总经理任命一名信息安全主管负责企业信息安全的风险管理,该主管领导一个有各个部门主要负责人参加的信息安全管理小组维护企业信息安全管理体系、管理企业信息安全风险。3)总经理任命一名信息安全审计师,负责企业信息安全活动的审计。4)行政部门、业务部门和分支机构执行信息安全管理体系中的相应安全政策,并在信息安全管理主管的领导下,实施风险管理计划。各个部门负责人有义务向信息安全主管报告所管辖部门的信息安全状况,信息安全主管应定期在组织范围内和向上级机关报告企业信息安全状况。
2、企业信息安全政策管理
根据企业信息安全风险分析的结果和信息安全政策制定的原则,设计信息安全政策体系包括以下几点:(1)企业信息安全风险管理政策:a)信息安全风险定义,包括风险等级定义和安全类别定义;b)信息安全风险评估执行要求,包括时问周期要求、范围要求、基于事件的风险评估要求:c)信息安全风险评估责任,包括信息安全管理人员责任和业务部门责任。(2)企业信息安全体系管理政策:a)管理体系的规划,包括规划的时机、规划的内容、规划的依据、规划的责任人:b)管理体系的实施,包括、培训、执行奖惩。c)管理体系的验证,包括周期管理评审、安全审计、事件评审、残留风险评估。d)管理体系的改进,包括分析和变更控制。(3)病毒抵御安全政策:a)操作程序一运行网络管理人员日常工作的程序。这部分安全政策主要控制的风险是不规范的管理活动造成无效或低效的管理。b)关键资源监控一识别出关键设备并对关键设备的运行状态进行监控。这部分安全政策主要控制的风险是关键资源异常情况不能被及时发现和处理。c)软件系统维护一对软件系统及时地升级和打补丁。这部分安全政策主要控制的风险是软件系统未及时升级和/或打补丁而造成的信息故障或者安全事故。d)敏感资料存储一对在业务进行过程中产生的敏感信息的存放管理。这部分安全政策主要控制的风险是由于对敏感资料存储不当导致资料的丢失或泄漏。
3、企业信息安全事件管理
目前,没有任何一种具有代表性的信息安全策略或防护措施可对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护变得无效,从而导致信息安全事件发生,并对企业的业务运行直接或间接地产生负面影响。此外,以前未被认识到的威胁也将会不可避免地发生。企业如果对如何应对这些事件没有作好充分准备,其任何实际响应的效率都会大打折扣,甚至还可能增加潜在的业务负面影响。因此,企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必要过程包括:(1)发现和报告发生的信息安全事态,无论是由企业人员/顾客引起的还是自动发生的(如防火墙警报)。(2)收集有关信息安全事态的信息,由企业的运行支持组人员进行评估,确定该事态属于信息安全事件还是发生了误报。确认该事态是否属于信息安全事件,如果是,则立即作出响应,同时启动必要的法律取证分析、沟通活动。(3)进行评审以确定该信息安全事件是否处于控制下。(4)如果处于控制下,则启动任何所需要的进一步的后续响应,以确保所有相关信息准备完毕,供事件解决后评审所用。(5)如果不在控制下,则采取“危机求助”活动并召集相关人员,如企业中负责业务连续性的管理者和工作组。(6)在整个阶段按要求进行上报,以便进一步评估和决策。(7)确保所有相关人员,正确记录所有活动以备后面分析所用。(8)确保对电子证据进行收集和安全保存,同时确保电子证据的安全保存得到持续监视,以备法律起诉或内部处罚所需。(9)确保包括信息安全事件追踪和事件报告更新的变更控制制度得到维护,从而使得信息安全事态/事件数据库保持最新。
4、企业信息安全技术管理
我们所构建的信息安全管理体系中,不能忽视技术的作用,虽然只使用技术控制不能保证一个信息安全环境,但是在通常情况下,它是信息安全项目的基础部分。(1)密码服务技术。密码服务技术为密码的有效应用提供技术支持。通常密码服务系统由密码芯片、密码模块、密码机或软件,以及密码服务接口构成。通常,企业会涉及以下几个方面的密码应用:数字证书运算、密钥加密运算、数据传输、数据储存、数字签名、数字信封。(2)故障恢复技术。故障恢复的主要措施有:群集配置,由多台计算机组成群集结构,尽可能消除整个系统可能存在的单点故障;双机热备份,在任何一台设备失效的情况下,按照预先定义的规则快速切换至相应的备份设备,维持业务的正常运行;故障恢复管理,由专门的集群软件进行管理和监控,使应用系统在任何软硬件组成单元发生故障时,能够根据 故障情况重新分配任务。(3)恶意代码防范技术:恶意代码防范技术包括四大系统:病毒查杀系统、网关防毒系统、群件防毒系统、集中管理系统。(4)入侵检测技术。入侵检测系统是实现入侵检测功能的一系列的软件、硬件的组合。入侵检测系统以实时方式监测网络通信,对其进行分析并实时安全预警,从而使企业能够有效管理内部人员和资源,并对外部攻击进行早期预警和跟踪,有效保障系统安全。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较这些审计记录文件与攻击签名是否匹配,如果匹配立即报警采取行动.基于网络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络适配器来实时监视并分析通过网络进行传输的所有通信业务。(5)扫描与分析技术。端口扫描工具能识别网络上活动的计算机,同样也可以识别这些计算机上的活动端口和服务。可以扫描特定类型的计算机、协议和资源,也可进行普遍扫描。漏洞扫描可以扫描网络并得到非常详细的信息。可以识别暴露的用户名和组,显示开放的网络共享,并暴露配置问题和其他服务器漏洞。内容过滤器也能有效地保护机构系统,使其不受误用和无意的拒绝服务。
5、企业信息安全培训的必要性
公司目前很多岗位和部门的员工都从事涉密数据相关工作,有很多数据和信息涉及到公司的机密和知识产权,但是大多数员工信息安全意识差,在平时的工作中在意识上和实际工作中存在很多问题,导致涉密数据的外漏,给公司的生产经营造成不可挽回的损失。在有管理组织、政策制度和技术保障的情况下,通过对涉密数据相关工作人员的信息安全意识和信息安全操作培训是非常必要的。
三、结语
总之,企业信息安全管理体系是一个企业日常经营和持续发展的基本保证,也是企业战略和管理的重要环节。建立信息安全管理体系的目的就是降低信息风险对企业的危害。并将企业信息系统投资和商业利益最大化。信息安全不只是个技术问题,而更多的是商业、管理和法律问题。实现信息安全不仅仅需要采用技术措施,还需要更多地借助于技术以外的其他手段。
参考文献:
