浅议企业信息安全管理

摘 要：随着改革开放的不断深入以及经济的不断发展，市场上各类企业的竞争越来越激烈，同时，近年来，企业的生产经营与计算机网络的联系越来越紧密，企业的每一项业务都越来越离不开信息技术的支持。因此，在企业不断提升竞争力的同时，越来越多的企业开始关注企业信息安全管理的工作，认识到企业信息安全管理工作的重要性，并采取了一系列的措施维护企业的信息安全，但是经过调查分析发现我国企业在信息安全管理工作上仍然存在较为严重的不足。为了更好地帮助我国企业实现科学的信息安全管理，本文首先分析威胁企业信息安全的几点因素，并介绍了企业信息安全管理中常用的办法，在此基础上，对更好地实现企业信息安全管理提出几点意见与建议。

关键词：企业；信息管理；对策

一、引言

企业要想在市场当中生存并发展，不仅仅要提升企业竞争力，还需要时时刻刻关注企业的信息安全。现代市场竞争十分激烈，只有做好企业的信息安全管理，才能避免企业因为信息管理的疏漏造成相关的损失。

近十年来，企业的生产经营越来越离不开网络，离不开计算机，企业的每一项活动都需要计算机与网络的参与，企业的管理需要借助相关的计算机软件，企业的销售需要运用到电子商务，企业的仓储管理需要数据库系统的支持，在企业感受到计算机带来生产经营便利的同时，企业也不得不重视由计算机网络所带来的信息安全问题。通过分析我国企业信息安全管理的相关资料，可以发现我国企业在信息安全管理上所做的努力显然无法与西方企业相比，我国企业在信息安全管理这条路上还有很长的路要走。

我国企业在信息管理上起步较晚，同时受制于观念，技术，人力等各个方面的因素，我国企业在信息安全管理上存在十分严重的漏洞。不仅如此，企业信息安全管理受到各方面的威胁，各类病毒层出不穷，钓鱼软件，木马也防不胜防，我国企业信息安全管理所面临的考验十分严峻。企业的信息安全管理不仅仅是企业自身的事，企业是我国经济发展最重要的角色，倘若我国企业在信息安全管理上存在漏洞，这也将直接影响我国的经济发展，这并不是危言耸听。

因此，加强我国企业信息安全管理势在必行，必须采取有效的举措提升我国企业信息安全管理水平。开展我国企业信息安全管理工作不仅仅需要政府的支持，企业自身也应当充分认识到企业信息安全管理对于企业自身的重要性，企业信息安全管理并不是一件小事，理应得到足够的重视。下面本文将首先介绍影响我国企业信息安全管理的几点因素，结合各种影响我国企业信息安全的几点因素展开探讨，在此基础上，分析我国企业在信息安全管理中常用的手段，并通过借鉴国外优秀企业在信息安全管理的经验，对更好地完善我国企业信息安全管理提出几点意见与建议。

二、企业面临的信息安全管理风险

1.企业内部管理缺陷

企业要想提升信息安全管理的水平，其中很重要的一个步骤在于完善企业的管理制度。企业的信息安全管理会受到许许多多的因数影响，但是做好企业信息安全管理的基础在于提升企业的内部管理水平。企业内部管理的制度涉及到企业生产经营的方方面面，倘若企业在内部管理制度上存在缺陷，那么做好企业的信息安全管理也就无从谈起了。常见的影响企业信息安全管理的制度缺陷有以下几个方面。第一，企业对于企业内部信息安全管理的工作人员缺乏监督。企业信息安全管理必须建立在企业信息安全管理工作人员认知履行职责，规范操作的基础上，倘若企业对于信息安全管理的工作人员缺乏监督，那么久很难保证企业整个信息安全管理系统的行之有效。第二，企业对于企业内部信息安全管理工作人员缺乏培训，企业内部并没有指定相关的信息安全管理规章制度。要想完善企业的信息安全管理，就必须做到对企业内部信息安全管理的每一个环节都一丝不苟，对每一个可能存在信息安全漏洞的地方都要严格管理，对每一项信息安全管理的工作步骤都做明确要求。要想确保企业内部信息安全管理系统的平稳运行，只有从规范企业内部信息安全管理的行为规范上着手。第三，企业内部信息安全管理系统投入不足。这一点在我国大型企业上并不存在，我国大型企业拥有足够的资金，足够的人力资本，足够技术投入，相比较于我国中小型企业，在信息安全管理工作上具有较大的优势。可是，我国大型企业毕竟是少数，我国中小企业的数量十分巨大，中小企业并没有相应的资金，人员，技术投入，中小企业受制于现实条件，在信息安全管理系统上所做的工作严重不足，我国中小企业在信息安全上所面临的风险十分巨大。

2.影响企业信息安全管理的外部因素

影响我国企业信息安全管理的外部因素有许多。常见的影响我国企业信息安全管理的外部因素包括病毒，木马，钓鱼网站等等。不论是谁出于怎么样的目的破坏企业的信息安全，较为常见的手段也就是通过黑客攻击企业的信息安全管理系统。我国企业在应对黑客的攻击时往往处于较为被动的局面，一方面，黑客属于主动攻击，主动攻击的前提在于对于企业的内部信息安全管理系统有着较为全面的了解，并且往往已经掌握了企业内部信息安全管理系统所存在的安全漏洞，另一方面，我国绝大多数企业在信息安全管理系统的投入有限，企业内部信息安全管理的工作人员在技术手段上与黑客比较并没有优势。即使企业内部信息安全管理的工作人员最终能够战胜黑客，但是，由于缺乏完善的信息安全手段，对企业内部重要的信息保护不足，黑客对企业的信息安全所造成的影响往往也是致命的。反击黑客的攻击行为往往具有滞后性，因此，即使战胜了黑客，但是黑客对企业信息安全的攻击行为往往已经发生，企业必然会因此造成相应的损失，在现代企业经营管理信息化的背景下，这样的攻击行为对企业造成的损失往往是企业不能够承担的，很有可能影响一个企业最基本的生存。

三、完善企业信息安全管理的几点建议

1.建立信息安全密码

密码技术近年来在应用中不断成熟，越来越多企业开始将密码技术应用到企业信息安全管理中去，这是一个十分正确的选择。企业内部信息具有重要价值，密码技术是企业信息安全最为关键的一道屏障。密码的形式十分多样，企业应当根据自身情况正确选择密码的形式，密码技术是一项十分成熟的技术，应当得到更多的关注，并且将这项技术全面应用到企业内部信息安全管理当中去。企业内部信息得到密码的保护，能够在企业内部信息不慎泄露后得到最大化的保护，对于企业内部信息的密码也应当严格保密，做好相关的密码保护工作。

2.建立安全管理制度

企业信息安全管理制度的建立需要多方面的配合，同时，企业信息安全管理制度的建立是一项十分复杂的工作，必须在实践的过程中不断完善。建立企业内部信息安全管理制度是为了更加规范地保证企业内部信息的安全，也对企业内部信息安全管理人员的工作内容，工作步骤做了明确规定，这对于企业内部形成信息安全管理的长效机制具有重要价值。企业信息安全管理制度应当与企业的实际生产经营情况相结合，在尽可能不影响企业正常工作的前提下，对企业的信息安全作出明确规定。常见的规定包括定期组织企业内部信息安全管理工作人员进行信息安全的例行检查；对企业内部信息安全管理人员的工作做到全面监督，有效反馈等等。

3.建立数据库的备份与恢复机制

现如今，外界主动攻击企业信息安全的事件越来越频发，企业在被外界攻击信息安全后所造成的损失往往无法挽回，同时这些信息对于企业具有十分重要的价值，倘若能够及时恢复相关信息，能够在很大程度上减小企业所遭受的损失，因此，建立一套基于数据库信息备份与还原的信息安全管理机制十分重要。企业内部信息系统数据库的备份，可以有效保障企业信息系统非法入侵后的系统恢复工作。备份是对数据库内容保护最为稳定和容易的一种方法。当不稳定因素发生的时候，能够保证企业网络信息的正常运行。而恢复的理解，就是在不限定因素发展之后利用网络技术的备份功能用来对数据库内容进行重新恢复并正常使用的功能。

4.建立网络安全预警系统

一般这种情况可以分为人为预警和病毒预警两个方面。 在电脑中的重要位置安装上网络入侵监测体系，可以便于对电脑的技术和安全性在发展危害行为或改变。入侵监测体系还能通过设立在固定时间对制定要求的位置进行监督和控制，判断哪些系统是具有危害性的，但是防火墙还不能够准确判断的系统。主要针对的是从企业内部管理出现漏洞后对自身安全系统的“侵略”行为。而病毒预警系统通常是采用对企业内部网络的全部数据进行监督监控的行为，确保在一天每个时间段内都对数据包传送扫描一旦发展病毒就要马上进行危险信息提示，使得相关工作人员可以很快的通过定位查找的方法找到病毒的发出地。同时，在短时间内陆续产生通过快速扫描出来的网络日志和调查报告，为企业专业人员查找病毒具体来源提供便利条件。

5.建立信息安全风险评估机制

建立企业内部的信息安全风险评估机制对于完善企业内部信息安全管理工作同样具有重要意义。定期对企业内部信息安全进行风险评估，能够帮助企业更好地做好企业内部信息安全的预防工作，能够帮助企业更准备地了解企业经营管理过程中信息安全管理存在疏漏的地方。通过建立企业内部的信息安全风险评估机制，对于帮助企业从制度与技术两方面完善企业内部信息安全管理制度具有重要意义。具体而言，建立企业内部信息安全风险评估机制需要做到以下两个方面的工作。一方面，在企业各个层次建立一个风险指标系统，设计一个风险计算模型来计算出企业的基本风险值，通过对企业各个层次上的风险评估来对企业整体固定的风险状况进行反映。另一方面，主要针对业务操作过程中风险因素的复杂情况，在业务操作方面也建立一个风险指标系统、同样用设计的风险计算模型来计算出该企业的实时风险值，该方面的风险评估测试主要是为了对业务部门运行过程反映。由于业务活动操作面临的风险是动态的且是复杂的，因此对其进行W金评估的操作频率要高，只要通过这套风险评估体系的实施，企业就可以清楚掌握和及时了解企业自身的整体信息安全风险程度，从而提高企业的信息安全管理的水平。

参考文献：

[1]焦洪涛.中小企业信息安全管理策略研究[D].西安理工大学，2009.

[2]李慧.信息安全管理体系研究[D].西安电子科技大学，2005.

[3]梁军.湖南电信公司内网信息安全体系建设的研究[D].湖南大学，2007.

[4]陈科.信息系统安全风险评估研究[D].华东师范大学，2009.

[5]韩颖.国税部门信息系统网络安全分析与策略[D].北京邮电大学，2010.

[6]崔健，李冰.基于企业社会责任视角的日本企业信息安全分析[J].现代日本经济，2011.