在线黄色毛片,美女视频黄色网址,国产超级乱婬av片,2022年精品国产福利在线,色五月激情五月,激情视频网站,亚洲视频欧美

安全管理網(wǎng)

企業(yè)管理信息系統(tǒng)安全性探討

作者:孫瑋  
評論: 更新日期:2014年07月19日

3、前企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在的問題
當(dāng)前我國很多企業(yè)都建立了管理信息系統(tǒng),但是不可否認(rèn)一些企業(yè)管理信息系統(tǒng)的安全性建設(shè)還存在不少問題,幾乎很少有企業(yè)能夠從管理的角度以及人員管理的角度來進(jìn)行管理信息系統(tǒng)安全建設(shè)。下面筆者以北京xx公司為例就當(dāng)前企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在問題作一番說明。北京xx公司成立于1998年,注冊資本文伍百萬元人民幣,目前有員工200人,主要從事房屋裝修業(yè)務(wù)。該公司2001年進(jìn)行了信息化建設(shè),并建立了自己的網(wǎng)站,網(wǎng)站成立6年來,多次發(fā)生網(wǎng)絡(luò)癱瘓事件,曾經(jīng)給公司造成了很大的損失。
分析公司造成損失的原因,我們可以發(fā)現(xiàn)該公司管理信息系統(tǒng)的安全建設(shè)存在以下問題:
3.1.管理
往往由于管理手段不到位,導(dǎo)致先進(jìn)的技術(shù)無法發(fā)揮應(yīng)有的效能。企業(yè)管理信息系統(tǒng)安全問題的解決需要技術(shù),但又不能單純依靠技術(shù),信息化的過程其實是人與技術(shù)相互融合的過程,如何使管理與技術(shù)相得益彰十分重要。安全是一個交互的過程,“三分技術(shù),七分管理”闡述了企業(yè)管理信息系統(tǒng)安全的本質(zhì)。
3.2.體上、有計劃地考慮企業(yè)管理信息系統(tǒng)安全問題
企業(yè)各部門、各下屬機構(gòu)也存在“各自為政”的局面,缺少統(tǒng)一規(guī)劃、設(shè)計和管理。企業(yè)管理信息系統(tǒng)安全強調(diào)的是整體上的管理信息安全性,而不僅是某一個部門或公司的管理信息安全。而各部門又確實存在個體差異,對于不同業(yè)務(wù)領(lǐng)域來說,管理信息安全具有不同的涵義和特征,企業(yè)管理信息系統(tǒng)安全保障體系的戰(zhàn)略性必須涵蓋各部門和各下屬機構(gòu)的管理信息安全保障體系的相關(guān)內(nèi)容。
3.3.層對企業(yè)管理信息系統(tǒng)安全的認(rèn)識不夠
企業(yè)管理高層對企業(yè)管理信息系統(tǒng)安全的認(rèn)識不夠,缺少信息安全管理配套的人力、物力和財力。人才是管理信息安全保障工作的關(guān)鍵。管理信息安全保障工作的專業(yè)性、技術(shù)性很強,沒有一批業(yè)務(wù)能力強,且具有信息網(wǎng)絡(luò)知識、信息安全技術(shù)、法律知識和管理能力的復(fù)合型人才和專門人才,就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對信息安全人才的實際需求出發(fā),加快信息安全人才的培養(yǎng)。
3.4.工的管理信息安全教育不夠
員工的管理信息安全意識薄弱,90%的安全事故是由于人為疏忽所造成。如:有些企業(yè)不限制內(nèi)部人員使用高科技信息載體(U盤、移動硬盤等),以及筆記本電腦等移動辦公設(shè)備。缺少管理信息安全的監(jiān)督審計機制,導(dǎo)致安全項目實施完后無法發(fā)揮長期效能,安全策略無法持續(xù)性改進(jìn)。缺少監(jiān)督審計,就會使得管理制度流于形式,變得空洞。必須建立安全審計機制,定期對安全制度和安全策略進(jìn)行審計,對安全管理工作進(jìn)行核查,找出安全管理中的問題和漏洞,并制定相應(yīng)的解決方案進(jìn)行安全加固。
缺少完整的信息安全策略,信息安全管理沒有形成標(biāo)準(zhǔn)和規(guī)范,沒有形成一套體系。為了更好地加強和規(guī)范計算機信息安全工作,還需要進(jìn)行更加細(xì)致和系統(tǒng)的工作,通過引進(jìn)國際先進(jìn)的安全管理方法和理念I(lǐng)SMS (Information security Management System),幫助企業(yè)根據(jù)自身特點建立起適合于業(yè)務(wù)發(fā)展的信息安全管理系統(tǒng)。
從原因上來看,我國企業(yè)管理信息系統(tǒng)安全性建設(shè)存在上述問題,主要在于人們對網(wǎng)絡(luò)安全問題認(rèn)識上的缺陷。通常人們將網(wǎng)絡(luò)作為一項純粹的工程來實施,缺乏統(tǒng)一的安全管理策略和專門的網(wǎng)絡(luò)維護人員,另外,企業(yè)缺乏應(yīng)有的信息保密知識,被動的使用一些技術(shù)措施來進(jìn)行防御,因此,在信息管理過程中出現(xiàn)的突發(fā)性事件往往造成很大的經(jīng)濟損失。現(xiàn)實中沒有一個系統(tǒng)是完美的,不安全因素隨時存在。因此,安全措施必須滲透到系統(tǒng)的每一個環(huán)節(jié)中的同時,最重要的是要滲透到企業(yè)的每一個層面中。從管理人的角度來建設(shè)和提高企業(yè)管理信息系統(tǒng)安全 。
4、高企業(yè)管理信息系統(tǒng)的安全性的措施探討
企業(yè)管理信息系統(tǒng)安全性建設(shè)是一項系統(tǒng)工程,不僅涉及到組織架構(gòu)、信息技術(shù)、人員素質(zhì)等各個方面,還牽扯到國家法律和商業(yè)規(guī)則。從管理角度探討企業(yè)管理信息系統(tǒng)安全則認(rèn)為企業(yè)管理信息系統(tǒng)安全本身含義是多樣化的 。企業(yè)內(nèi)部存在著諸多影響信息安全的因素;改變IT系統(tǒng)不等于改變企業(yè)的管理信息系統(tǒng)安全管理,要使企業(yè)的管理信息盡可能的安全,必須在技術(shù)投入的基礎(chǔ)上融入人在管理方面的智慧;同時,不僅要防外,更要防內(nèi),即對組織內(nèi)部人員的管理。因為,除了網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團的攻擊和破壞以外,內(nèi)部人員的違規(guī)和違法操作同樣是企業(yè)管理信息系統(tǒng)安全的一大隱患。
針對存在的問題,筆者認(rèn)為可以從以下幾個方面來進(jìn)一步加強企業(yè)管理信息系統(tǒng)安全建設(shè)。
4.1.安全防范意識
現(xiàn)在許多企業(yè)沒有意識到互聯(lián)網(wǎng)的易受攻擊性,盲目相信國外的加密軟件,對于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理。這樣的企業(yè)管理信息系統(tǒng)一旦受到攻擊將變得十分脆弱,其中的機密數(shù)據(jù)得不到應(yīng)有的保護。尤其是某些企業(yè)信息管理員甚至認(rèn)為其公司規(guī)模較小,不會成為黑客的攻擊目標(biāo),如此態(tài)度,企業(yè)管理信息系統(tǒng)安全更是無從談起。只有提高網(wǎng)絡(luò)安全防范意識,才能有效的減少信息安全事故的發(fā)生。
4.2.信息安全管理組織體系
一個完整的企業(yè)管理信息系統(tǒng)安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)、IT技術(shù)主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機構(gòu) 。其職責(zé)是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責(zé),并檢查安全職責(zé)是否已被正確履行,核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會等。還應(yīng)建立由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、用戶管理員等組成的安全執(zhí)行機構(gòu)。該機構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運行和維護、定期的培訓(xùn)和安全檢查等。
4.3.企業(yè)管理信息安全需求的信息安全策略
安全執(zhí)行機構(gòu)應(yīng)根據(jù)本企業(yè)管理信息系統(tǒng)安全的實際情況制定相應(yīng)的信息安全策略,策略中應(yīng)明確安全的定義、目標(biāo)、范圍和管理責(zé)任,并制定安全策略的實施細(xì)則;安全策略文檔要由安全決策機構(gòu)審查、批準(zhǔn),并發(fā)布和傳達(dá)給所有的人:安全策略還應(yīng)由安全決策機構(gòu)定期進(jìn)行有效性審查和評估;在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時,應(yīng)重新進(jìn)行安全策略的審查和評估。
4.4.安全的管理和培訓(xùn)
參與企業(yè)管理信息系統(tǒng)的管理人員在很大程度上支配著企業(yè)管理信息系統(tǒng)的命運,因而,加強對有關(guān)人員的管理變得十分重要。
4.4.1.人員鑒別;
別內(nèi)容應(yīng)包括:個人品質(zhì)和個人業(yè)績的審查,申請人履歷的核查(針對完整性和準(zhǔn)確性);專業(yè)資格證書的證實;身份證件核查(身份證或護照)等。人員錄用或人員職位調(diào)整時,一般要簽署保密協(xié)議。當(dāng)人員到期離開或協(xié)議到期、工作終止時,要審查保密協(xié)議。
4.4.2. 對有關(guān)人員進(jìn)行上崗培訓(xùn),建立人員培訓(xùn)計劃,定期組織安全策略和規(guī)程方面的培訓(xùn)。
培訓(xùn)內(nèi)容包括:安全要求、崗位職責(zé)、業(yè)務(wù)控制、事故報告規(guī)程和事故響應(yīng)規(guī)程以及如何正確使用信息處理設(shè)施等;
4.4.3落實工作責(zé)任制,在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護特定資產(chǎn)、執(zhí)行特定安全過程或活動的特別職責(zé),對違反網(wǎng)上交易安全規(guī)定的人員要進(jìn)行及時的處理。
4.4.4. 管理信息分類并實行等級安全保護。
根據(jù)信息的性質(zhì)和重要程度劃分為三級:A級,機密信息,實行強制安全保護;B級,內(nèi)部信息,實行自主安全保護:C級,公共信息,實行一般安全保護。
結(jié)語
企業(yè)信息安全管理工作需要形成體系,才能保證信息安全管理的規(guī)范和長效。而建立一個有效的企業(yè)信息安全管理體系首先需要在好的企業(yè)信息安全管理的基礎(chǔ)上,要制定出相關(guān)的管理策略和規(guī)章制度,然后才是在安全產(chǎn)品的幫助下搭建起整個架構(gòu),在運行過程中還需要根據(jù)變化的環(huán)境不斷改進(jìn),并將這種改進(jìn)寫入信息安全管理方法及策略中。
當(dāng)然,由于企業(yè)信息安全系統(tǒng)設(shè)計到很多方面的問題,本身也是一個復(fù)雜系統(tǒng),因此完善企業(yè)信息安全系統(tǒng)仍然需要做出很大努力。由于本人水平以及資料收集問題,本文還有一些需要進(jìn)一步探討的地方。比如如何結(jié)合具體的企業(yè)進(jìn)行具體的新息安全設(shè)計以及出現(xiàn)了安全事故如何進(jìn)一步采取措施來減少損失等等,都需要進(jìn)一步加以探討。筆者今后仍將進(jìn)一步關(guān)注企業(yè)信息安全系統(tǒng)建設(shè)。


參考文獻(xiàn):

1.1. 徐緒松.管理信息系統(tǒng).武漢大學(xué)出版社.2005年4月版.第76頁
2.2. 王眾托.信息化與管理變革的系統(tǒng)觀.載于.系統(tǒng)工程理論與實踐.2004年第3期
3.3. 薛華成.管理信息系統(tǒng).清華大學(xué)出版社.2004年5月版.第56頁
?

網(wǎng)友評論 more
創(chuàng)想安科網(wǎng)站簡介會員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們