摘要:本文以XX的信息管理為研究對象,對信息安全現(xiàn)狀進行調(diào)研和分析,并對未來的信息安全建設(shè)將會遇到的主要問題做了深入研究。從目前信息建設(shè)、人員配置、機制流程等方面進行了差距分析與對比,結(jié)合本企業(yè)的實際情況,制定出了符合本企業(yè)的信息安全管理策略的基本框架和指導(dǎo)建議,并提供了信息安全管理體系實施的搭建方案,最終對該信息安全體系實施進行了總結(jié)評價與未來展望。在企業(yè)信息化大規(guī)模發(fā)展的形勢下,如何有效地減少或避免因信息安全事故而帶來的企業(yè)經(jīng)濟損失,是亟需解決的、具有重大戰(zhàn)略意義的研究課題。本論文的研究是為了保障企業(yè)信息安全建設(shè)目標(biāo)達成,并最大化地保障企業(yè)利益,并取得良好的管理效果。
關(guān)鍵詞:信息管理;信息安全系統(tǒng); 信息安全管理體系;一、前言
北京XX有限公司(簡稱BSMC)的前身是首鋼日電電子有限公司(SGNEC),成立于1991年12月。由首鋼總公司和日本NEC電子株式會社,致力于半導(dǎo)體集成電路制造和銷售的生產(chǎn)廠商。公司擁有半導(dǎo)體集成電路生產(chǎn)的完整生產(chǎn)線(包括晶圓制造和IC封裝),主要產(chǎn)品品種有MCU(微機控制單元)電路、遙控電路、顯示驅(qū)動電路、通用LIC等。公司主要負(fù)責(zé)NEC電子及美國的客戶,同時面向國內(nèi)客戶,開展Foundry產(chǎn)品的代研。是我國最早從事大規(guī)模集成電路設(shè)計、制造、封裝和測試的高科技企業(yè)之一。由于技術(shù)合同到期,2013年12月,成為首鋼總公司旗下的全資子公司。
該公司依托日本先進的半導(dǎo)體企業(yè)管理模式,嚴(yán)控制、高效率,建立了較為完備的生產(chǎn)管理系統(tǒng)。但企業(yè)信息系統(tǒng)的建設(shè)并不完善,還存在著各種問題。尤其是在制造業(yè)企業(yè)信息化的發(fā)展過程中,企業(yè)信息安全建設(shè)存在與企業(yè)發(fā)展不符的現(xiàn)象,有待于針對這些問題認(rèn)真剖析展開調(diào)查進而解決,希望能夠?qū)ζ髽I(yè)今后的持續(xù)發(fā)展帶來幫助。
二、企業(yè)信息管理的現(xiàn)狀
隨著知識經(jīng)濟的到來以及信息化網(wǎng)絡(luò)技術(shù)的快速發(fā)展,信息系統(tǒng)網(wǎng)絡(luò)信息化管理模式已經(jīng)在XX公司中廣泛應(yīng)用,很多的日常工作都必須要依靠信息系統(tǒng)來完成,比如03系統(tǒng)(產(chǎn)品投入履歷跟蹤)、AMS系統(tǒng)(設(shè)備和產(chǎn)品異常處理)、PMS系統(tǒng)(業(yè)務(wù)訂單投入出荷)、VISDA系統(tǒng)(產(chǎn)品生產(chǎn)信息跟蹤分析)。本司以“確保產(chǎn)品質(zhì)量、滿足顧客要求第一”為質(zhì)量方針,通過各信息系統(tǒng)竭誠為廣大客戶提供一流產(chǎn)品和服務(wù)。
然而,信息系統(tǒng)的高效與便利在提高XX公司工作效率的同時,由于缺乏先進的管理經(jīng)驗以及技術(shù)支持,在實際的運行過程中,仍然存在一定的管理問題,例如:網(wǎng)絡(luò)信息的安全威脅等。當(dāng)下,是信息的時代,安全性關(guān)系到企業(yè)的健康發(fā)展。就當(dāng)前企業(yè)信息安全管理的現(xiàn)狀及策略問題進行分析闡述。分別從策略,組織,管理三個方面進行了研究,并分析安全管理現(xiàn)狀,指出本企業(yè)在大數(shù)據(jù)安全管理方面存在不足,結(jié)合實際給出了具體建議和方法,及具體的實施方案。
1、信息管理制度不完善
對內(nèi)部和外部網(wǎng)絡(luò)使用管理混亂,缺少正確的信息化觀念。公司目前有500來臺計算機,中級管理層以上人員可以隨意使用外部網(wǎng)絡(luò),個別人上班時間進行網(wǎng)絡(luò)購物;容易造成網(wǎng)絡(luò)病毒的攻擊,存在安全隱患。
2、企業(yè)管理落后,缺少信息安全意識
信息安全源于每一個員工,達到每一層的安全保護,管理架構(gòu)的信息安全保護意識不足,全員沒有受到教育和培訓(xùn)。生產(chǎn)過程中就出現(xiàn)過由于違規(guī)操作,導(dǎo)致設(shè)備軟件系統(tǒng)癱瘓,使設(shè)備不能正常運行的嚴(yán)重問題。由于作業(yè)者上班時間,利用生產(chǎn)設(shè)備的計算機玩游戲,誤操作,刪除了生產(chǎn)程序系統(tǒng)內(nèi)容,備份軟件和現(xiàn)有技術(shù)力量無法恢復(fù),必須聘請廠家技術(shù)解決,導(dǎo)致了嚴(yán)重的經(jīng)濟損失。
3、上層管理不重視,重要性被弱化。
管理者戰(zhàn)略對信息建設(shè)認(rèn)識不足。沒有投入更多的人力和物力來保障信息安全,技術(shù)人員能力不足或身兼數(shù)職等現(xiàn)象,對信息安全的管理工作造成了極大的安全隱患。
4、信息系統(tǒng)陳舊低端。
信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)不匹配。生產(chǎn)車間使用O3系統(tǒng)還是2010年開發(fā)的,后繼無更新;異常系統(tǒng)AMS不能添加附件,office不兼容。一是由于不匹配,系統(tǒng)過時,使安全風(fēng)險加大;二是沒有及時更新信息系統(tǒng),安全問題薄弱;三是安全漏洞防范不健全、沒針對性地做出預(yù)防處理及緊急事故預(yù)案。
三、信息的安全管理策略及措施
為謀求企業(yè)的長遠(yuǎn)發(fā)展,企業(yè)信息安全必須體現(xiàn)在企業(yè)經(jīng)營戰(zhàn)略層次。管理者必須以預(yù)防為主、綜合管理、人員防范和技術(shù)防范相結(jié)合,逐級建立多層次的安全防護體系,綜全防范實現(xiàn)一體化的安全系統(tǒng)。鑒于此,該公司應(yīng)制定相應(yīng)的信息安全管理策略及實施措施如下。
(一)信息安全管理策略
1、構(gòu)建并完善信息管理制度。
必須進行統(tǒng)一規(guī)劃和分工。指定管理保障責(zé)任部門,分工明確,各司其職。保障管理的效率性,防止多頭控制和執(zhí)行不力的現(xiàn)象出現(xiàn),保障權(quán)責(zé)統(tǒng)一。設(shè)定使用權(quán)限,未簽訂允許授權(quán)單不得進入計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源,將安全信息工作落到實處。
2、提升全員信息安全意識。
建立信息安全培訓(xùn)教育制度。組織全體工作人員認(rèn)真學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》,提高自上而下工作人員的維護網(wǎng)絡(luò)安全的警惕性和自覺性。一旦發(fā)現(xiàn)從事危害計算機信息網(wǎng)絡(luò)安全的操作活動的,承擔(dān)相應(yīng)的處罰責(zé)任,簽訂安全信息保密承諾書。從各部門級出發(fā),針對這些信息隱患制訂安全防范措施。
3、建立信息中心,加強管理和維護。
信息安全問題需要從技術(shù)、運行環(huán)境與異常突發(fā)事件的保障三方面解決。①技術(shù)控制層,即在計算機系統(tǒng)及其程序設(shè)計中加以安全控制。?使用正版軟件,保護運行環(huán)境,管理者必須以預(yù)防為主、綜合管理、人員防范和技術(shù)防范相結(jié)合,逐級建立多層次的安全防護體系,綜全防范實現(xiàn)分級阻止違規(guī)行為,實現(xiàn)一體化的安全系統(tǒng)。?確保在停電后,業(yè)務(wù)應(yīng)用的安全管理。信管部在接到停電通知時,應(yīng)設(shè)置便簽提醒自己具體要停電的時間,若停電時間在上班時間,則提前發(fā)出通知給生產(chǎn)現(xiàn)場,避免在停電時出現(xiàn)文件損壞或資料丟失;若停電時間發(fā)生在下班時間,則在下班時通知所有人關(guān)閉電源,同時信管部及時關(guān)閉服務(wù)器,以免停電損壞主機電源。停電結(jié)束后,打開各應(yīng)用服務(wù)器,并謹(jǐn)記要打開視頻監(jiān)控服務(wù)器,恢復(fù)閉路監(jiān)控系統(tǒng)正常工作。
4、定期評估,不斷的改進。
安全的需求也是逐步變化的,新的安全問題也不斷產(chǎn)生,原來建設(shè)的防護系統(tǒng)可能不滿足新形勢下的安全需求,這些都決定了信息安全是一個動態(tài)過程,需要定期對信息網(wǎng)絡(luò)安全狀況進行評估。
5、及時改進安全方案,調(diào)整安全策略。
完善企業(yè)的信息化應(yīng)用,是隨著企業(yè)的發(fā)展而不斷發(fā)展的。信息技術(shù)更是日新月異的發(fā)展,安全防護軟件系統(tǒng)由于技術(shù)復(fù)雜,在研制開發(fā)過程中不可避免的會出現(xiàn)這樣或者那樣的問題,這勢必決定了安全防護系統(tǒng)和設(shè)備不可能百分百的防御各種已知的,未知的信息安全威脅。不是所有的信息安全問題可以一次解決,人們對信息安全問題的認(rèn)識是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的,不可能一次就發(fā)現(xiàn)所有的安全問題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備,也僅僅是滿足某一些方面的安全需求,不是企業(yè)有某一方面的信息安全需求,市場上就有對應(yīng)的成熟產(chǎn)品,因此不是所有的安全問題都可以找到有效的解決方案。
(二)信息安全管理措施
一是明確責(zé)任,統(tǒng)一由信管部負(fù)責(zé),統(tǒng)籌安排,協(xié)調(diào)配合。二是建立應(yīng)急小組,規(guī)范突發(fā)事件上報程序,及時掌控突發(fā)信息安全事件,及時協(xié)調(diào)各部門、各事業(yè)部、各專業(yè)力量,將突發(fā)事件的危害影響降至最低點。應(yīng)急處置應(yīng)遵循“依靠技術(shù)、加強管理、預(yù)防為主、快速響應(yīng)、及時恢復(fù)”的總原則。三是宣傳普及信息安全防范知識,做好應(yīng)對信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機制準(zhǔn)備和工作準(zhǔn)備,提高公共防范意識以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平。
四、綜述
信息安全是一個伴隨著企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。所以必須制定有效的管理策略與措施,建立健全企業(yè)信息安全事件工作機制尤為重要。應(yīng)對信息安全事件的應(yīng)急處置能力,維護基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)和重要控制系統(tǒng)的安全,保障公司各項科研生產(chǎn)經(jīng)營活動安全的順利開展。企業(yè)信息安全的建設(shè)將使得企業(yè)管理水平與國際先進水平接軌,從而成長為企業(yè)向國際化發(fā)展的有力支撐。
參考文獻
[1]劉永華.計算機網(wǎng)絡(luò)信息安全[M]. 清華大學(xué)出版社 .? 2014
[2]唐馮慧.信息安全管理現(xiàn)狀及策略研究[J]. 科技風(fēng).2012(13)
[3]成 華.信息安全工程與管理[M]. 西安電子科技大學(xué)出版社 .2012
?