突破信息安全潛規(guī)則

申請免費(fèi)試用、咨詢電話：400-8352-114

【泛普軟件時(shí)代，泛普軟件辦公系統(tǒng)，泛普軟件OA，OA辦公系統(tǒng)獨(dú)家】在解決信息安全的道路上，管理是根本，技術(shù)是保障。只有從管理、制度、技術(shù)等多方面保障信息安全，才能充分發(fā)揮企業(yè)信息資產(chǎn)的最大價(jià)值。

信息化在一定程度上是企業(yè)信息由過去的傳統(tǒng)紙介質(zhì)走向電子化的過程，從而方便于企業(yè)信息共享、統(tǒng)計(jì)分析，最終成為企業(yè)運(yùn)營管理決策的依據(jù)。信息安全就是在保障企業(yè)信息秘密的前提下，讓信息發(fā)揮出最大化的效益。為此，要在信息安全和信息效益兩者中找到平衡點(diǎn)。

理性對待信息安全

在企業(yè)的實(shí)際運(yùn)營過程中，對待信息安全有兩種現(xiàn)象：一是高層管理者談安全色變，認(rèn)為信息一旦電子化后，信息的安全性得不到保障。這已經(jīng)成為阻礙信息化實(shí)施的一個(gè)“潛規(guī)則”；二是IT人員簡單地認(rèn)為，信息安全就是技術(shù)層次的問題，可以通過技術(shù)手段（例如防火墻、入侵檢測等）解決，偏重于考慮網(wǎng)絡(luò)安全，而沒有真正領(lǐng)會到領(lǐng)導(dǎo)的痛處。

筆者認(rèn)為，在對待信息安全方面，有以下幾點(diǎn)需要明確：

1． 持續(xù)性：要求我們關(guān)注技術(shù)的發(fā)展，關(guān)注傳統(tǒng)信息安全與非傳統(tǒng)信息安全的演變；

2． 全面性：企業(yè)信息涵蓋企業(yè)經(jīng)營的方方面面，如產(chǎn)品配方、制造流程、生產(chǎn)工藝等，要關(guān)注信息流動(dòng)的各個(gè)環(huán)節(jié)；

3． 復(fù)雜性：持續(xù)性、全面性的特點(diǎn)也恰恰決定了信息安全的復(fù)雜性。運(yùn)用社會工程學(xué)，從技術(shù)體系的運(yùn)用到改進(jìn)管理體制的不足，可以徹底解決信息安全的被動(dòng)局面；

4． 戰(zhàn)略性：管理者對信息安全的認(rèn)識與理解是解決信息安全問題的根本動(dòng)力，對企業(yè)信息安全的實(shí)施要上升到企業(yè)競爭情報(bào)與企業(yè)商業(yè)秘密保護(hù)的高度。

在解決信息安全的道路上，管理是根本，技術(shù)是保障。企業(yè)應(yīng)該從管理與技術(shù)兩個(gè)層面來考慮信息安全問題。首先，應(yīng)該從管理的戰(zhàn)略高度上重視信息安全，把信息安全提高到企業(yè)商業(yè)秘密保護(hù)的高度上，例如在企業(yè)審計(jì)過程中進(jìn)行信息安全的審計(jì)。在國際注冊內(nèi)部審計(jì)師認(rèn)證考試中，信息系統(tǒng)的安全審計(jì)就是重要的一部分，包括對系統(tǒng)資源的管理和信息資源分級分類管理、信息系統(tǒng)賬戶的管理、安全事件的管理等。

其次，在技術(shù)層面，要利用相應(yīng)的安全技術(shù)解決信息安全問題，這樣才能讓信息安全落地，如防火墻、入侵檢測、傳輸安全、數(shù)據(jù)庫安全、內(nèi)部用戶的上網(wǎng)行為管理等，并且需要?jiǎng)討B(tài)地跟蹤技術(shù)的進(jìn)步。但技術(shù)不是目的，圍繞業(yè)務(wù)保障應(yīng)用安全，再進(jìn)一步促進(jìn)應(yīng)用的拓展才是目的。

構(gòu)建企業(yè)信息安全管理體系

在充分認(rèn)識管理與技術(shù)關(guān)系的基礎(chǔ)上，就需要從制度、流程、人三個(gè)方面構(gòu)建企業(yè)信息安全管理體系。

1． 加強(qiáng)信息安全意識的培訓(xùn)，首先是企業(yè)領(lǐng)導(dǎo)要認(rèn)識到信息安全的重要性，還要對技術(shù)人員加強(qiáng)培訓(xùn)，統(tǒng)一認(rèn)識。

2． 配合著商業(yè)秘密保護(hù)，成立相應(yīng)的專業(yè)機(jī)構(gòu)，納入公司整體的商業(yè)秘密保護(hù)工作中，同集團(tuán)的管理機(jī)構(gòu)相結(jié)合。

3． 在具體工作上明確信息安全等級，根據(jù)各個(gè)應(yīng)用系統(tǒng)的不同特點(diǎn)來定位需要哪種安全服務(wù)種類。并不是所有信息都要嚴(yán)格地實(shí)時(shí)傳輸，比如郵箱的信息在傳輸過程中可以有幾個(gè)小時(shí)的中斷，這就不一定都要采用最高安全級別，這樣劃分等級的話也可以降低企業(yè)在信息安全上的投資。

4． 制定信息安全的管理制度。比如在為用戶分配賬戶、密碼的同時(shí)，可以再加上令牌、鑰匙盤、key等硬件方面的認(rèn)證手段，甚至配合級別更高的虛擬認(rèn)證。另外，要制定健全的信息安全管理制度，為用戶設(shè)置不同的權(quán)限，用戶的賬戶密碼必須在使用一定時(shí)間后進(jìn)行修改。

5． 在前面的基礎(chǔ)上做好人員和技術(shù)上的預(yù)防措施。人員是實(shí)施信息安全的操作者，對人員的預(yù)防措施更要考慮周到；同時(shí)，還不能完全信賴技術(shù)，在采用一些技術(shù)手段的同時(shí)，還要做好最壞的打算，防患于未然。

由于缺乏專業(yè)的信息安全知識，企業(yè)的管理者與信息化部門不了解信息安全的威脅在哪里，所以就產(chǎn)生了信息安全風(fēng)險(xiǎn)評估的潛在需求，風(fēng)險(xiǎn)評估的必要性已經(jīng)具備。對于信息安全風(fēng)險(xiǎn)評估的可行性，還需要在國家政策、行業(yè)標(biāo)準(zhǔn)、關(guān)鍵技術(shù)以及秘密保護(hù)（商業(yè)誠信）等方面進(jìn)行推動(dòng)。

企業(yè)信息安全管理體制的建立歸根結(jié)底是要根據(jù)企業(yè)的應(yīng)用需求，企業(yè)財(cái)務(wù)、銷售、生產(chǎn)等不同流程的不同要求才是信息安全體制建立的最根本動(dòng)力和目的。

督導(dǎo)落實(shí)信息安全

信息安全工作是企業(yè)商業(yè)秘密保護(hù)的重要組成部分，是一個(gè)涉及每個(gè)公司、每個(gè)部門甚至每個(gè)員工的系統(tǒng)工程。企業(yè)在制定完備的制度時(shí)，應(yīng)加強(qiáng)對企業(yè)信息安全的督導(dǎo)和落實(shí)，根據(jù)企業(yè)各部門職責(zé)將專業(yè)指導(dǎo)分工與監(jiān)督落實(shí)相結(jié)合。

根據(jù)各公司、各部門的職責(zé)分工為企業(yè)落實(shí)信息安全保護(hù)措施提供專業(yè)性指導(dǎo)，形成完整的商業(yè)秘密保護(hù)體系；與商業(yè)秘密保護(hù)相關(guān)的專業(yè)機(jī)構(gòu)要加強(qiáng)監(jiān)督檢查，及時(shí)發(fā)現(xiàn)和分析企業(yè)商業(yè)秘密保護(hù)工作中出現(xiàn)的問題，對信息安全工作進(jìn)行補(bǔ)充完善，并總結(jié)、推廣先進(jìn)的做法和成功的經(jīng)驗(yàn)，努力探索企業(yè)商業(yè)秘密保護(hù)的有效途徑。

審計(jì)部門要把信息安全工作（商業(yè)秘密保護(hù)工作）審計(jì)作為日常審計(jì)工作的內(nèi)容之一，形成正式的審計(jì)報(bào)告，提交公司決策層、管理層，促進(jìn)信息安全工作。