企业信息论文范文

企业信息论文范文第1篇

公司信息化建设经过几年的高速发展，取得了长足的进步。取得成绩的同时我们也在思考，未来的信息化的发展方向，以及现有信息化建设瓶颈，最突出就是信息化推进过程中的系统应用深度与广度不够，各系统尚未实现全面系统地集成，还没有发挥整体的协同效益等问题。首先从理论上分析，哈佛大学的理查德?诺兰教授于上世纪80年代提出了企业信息化发展的阶段理论，被称为“诺兰模型”，将一个组织信息化的过程分为“起步”、“扩展”、“控制”“集成”“数据管理”和“成熟”6个阶段，控制阶段是实现从计算机管理为主到数据管理为主的转换关键，一般发展较缓慢。目前公司处于控制到集成的过渡阶段，而这个阶段正是企业“信息化悖论”显现期，所谓信息化悖论,就是指信息化建设的投入不再产生直接的经济效益,甚至出现局部领域技术效率下降的现象，信息化悖论是信息化建设过程中的必然现象,是由于信息技术的发展与企业运作机制缺乏进一步的深度融合所致。从业务角度来分析信息化建设与业务融合，目前公司的业务阶段总体处在“可控的业务流”向“聚焦的业务流”迈进的过程中，业务处于“有限业务/IT的认识、功能层面的成本效益分析、可操作的流程”的初步阶段，实现我们既定的目标，需要跨越式发展。其次，从公司实际需求出发，我们要理解为什么要推进信息化建设，就是要提升企业经济效益、竞争能力，这里的经济效益不是当前的效益，要着眼于潜在的经济效益，这需要一个积累过程，而且是一个痛苦的信息积累过程，最终才能提高产品的质量、降低生产成本，实现竞争力的提升。

2公司信息化管理思路

2.1管理思路的转变

企业信息化建设过程是规范业务流程与管理流程，推动企业管理提升的过程，基于这样的认识，公司信息化管理团队以全局及全价值链的角度去统筹，提升信息化整体应用能力为目地，理顺了信息化管理思路。出台相关“办法”，明确提出聚焦公司战略、业务与信息化深度融合的信息化战略目标，规定了业务系统的信息化建设主导地位，从企业制度上保障了有效推进信息系统应用广度与深度的管理环境。2.1.1认识的转变提升信息化管理的站位。信息化管理是企业管理的一部分，理解信息化不单单是软件的使用、系统的开发，它是业务管理模式变革的工程，可以理解为企业架构的搭建也不为过。要在信息化建设中体现管理思想，应用业务管理流程，开展所管理的业务，最终提升业务管理水平，使信息化与业务实现无缝连接，有效的促进公司信息化建设的发展。2.1.2管理职责的转变信息化主导角色的转变。按照公司领导层的信息化业务主导思路，转变了公司整体信息化管理模式，信息化管理部门提纲挈领，紧握公司战略，统筹信息化规划，促进信息化与各业务体系的深度融合，各业务系统需要拓展信息系统的应用，承担起信息化建设的担子，这与之前的信息化管理思路是不一样的，需要各部门主导与业务相关的信息系统建设与深入应用，实现“业务主导、信息化引领”的管理原则。2.1.3管理过程的转变主要体现在信息化项目实施过程的规范化。以项目管理的全生命周期管理为思路，吸收国内外成熟应用的软件成熟度（CMM）管理理念，从项目启动、计划、实施、验收及应用维护的管控，规范项目实施过程的每一个工作节点，为公司信息化项目推进提供了详尽的指导，具有很强的实用性。

2.2正确处理业务与信息化的关系

正确处理好业务与信息化的关系，是从操作层面上保证信息化与业务融合过程得以较好实现的关键因素。坚持“规划引领、系统统筹、业务主导、协同融合”的原则，业务主导是“融合”效果的基础，只有业务部门积极主动地在信息化建设和应用全过程中的主导，才有可能使信息化和业务结合得更加紧密，更能承载业务的需求，保证融合的效果。

3信息化建设推进方法

3.1信息化规划与业务融合

在信息化规划中体现出信息化与业务融合的理念与目标。信息化与业务的融合理念体现在建立起支持信息化航空的信息化战略愿景。通过信息技术支撑和实现全产业链在组织、流程和技术上的整合，支持企业高效、可持续、快速、健康地发展，进而加速中航工业发展成为国际一流的航空制造企业。总的来说就是从源头上奠定“融合”的基础。

3.2信息化管理模式与业务融合

在搭建信息化管理体系时，人才要素是第一位的，专职信息化管理、技术支持岗位的建设和业务部门的信息化岗位的建设同步进行，对于优秀人才给予信息化专家岗位。业务部门的信息化岗位（人员）虽然受业务部门的领导，但也可以看成是信息化部门在业务部门职能的延伸；业务部门的信息化管理岗位（人员）一方面熟悉本部门的业务，是业务需求沟通的桥梁，另一方面对信息系统的建设和应用特点比较熟悉，能够使信息系统的建设和应用更加符合业务的需要。

3.3信息化建设过程与业务融合

主要体现在信息化项目的组织和实施过程中的融合。通过信息化管理办法的规定，采用均衡矩阵式组织管理和职能分工相结合的项目管理推进模式来实施业务信息化项目建设。这种模式强调业务部门对系统的需求、建设、应用全面负责，管理与创新部及数据中心从实现需求的方案、技术实现上予以全力支持。使得信息系统在建设、应用的过程中更具有生命力；同时还便于实现在系统应用架构上的融合，如业务流程融合、数据标准统一、分析口径统一等。

3.4信息化应用过程与业务融合

在公司应用层面上推动信息化与业务深入融合，重点是要推动信息系统与研发设计、生产制造、经营管理等方面紧密结合、融为一体，从而提升企业的可持续发展能力和自主创新能力。在信息化应用层面上进行信息化与业务的融合时，一定要考虑从专业的角度，必须使用统一的或可扩展、可集成的信息系统；真正解决业务上的需求，支持业务数据分析和生产经营决策；系统要得到业务人员的认同，才能在应用中取得较好的效果。

4结束语

信息化和其他社会进化一样，都是由人去做的，只有组织起来的人的活动才能实现信息化进程，而且需要科学的、强有力的系统方法保证，才能推进信息化与业务的融合，实现企业的战略目标。

企业信息论文范文第2篇

网络安全是门户安全的基础，系统在整个生命周期过程中的流转都离不开网络的传输。（1）电力企业网络需实行内、外网物理隔离；不具备隔离条件的，要在内、外网之间部署逻辑强隔离装置，实行“双网双机、分区分域、等级防护、多层防御”的信息系统安全防护策略。（2）在网络边界部署防火墙、入侵防御等系统，对进入内部网络的数据包进行过滤，能够根据IP地址、用户、访问类型等方式进行访问限制，发现潜在的入侵或攻击行为，及时进行阻断并报警；提供地址翻译功能，屏蔽网络内部细节，防止黑客攻击。（3）对各子网间或远程用户传输中的数据进行安全保护，利用加密等方式保证数据不被非法截获，保证数据的机密性、完整性和可用性，并提供用户的身份认证、授权等功能。（4）通信链路采取双链路方式，关键网络节点设备应有备份措施。

2应用安全

门户系统开发工具例如OraclePortal等，可以采用多种手段展示应用系统信息，并对展现形式进行安全控制。（1）企业门户系统对用户访问采用分组机制，用户首先被分配到组，然后对不同角色的人员分配不同的可见性。通过配置，任何人不能直接访问数据展示界面，只能通过门户的显示单元才能看到所需的内容，而门户的显示内容严格受到门户安全系统控制，保证了只有被授权的人才能看到业务数据，实现了从根源上对用户的访问进行控制。（2）门户系统使用“用户名＋静态口令”的鉴别方式，禁止鉴别前匿名执行操作，保证了仅具备合法身份的用户才能进入系统执行授权操作；门户系统还可以对提交数据的长度、类型、非空等属性进行合法性验证，并能在验证不能通过时返回相应的错误信息。（3）门户系统对外部数据接口采取数据库直连和文件传输两种方式，数据库直连是指建立接口数据的只读权限并授权给某个特定的用户供外部系统抽取；文件传输方式可采用文件加密技术或专业的传输通道传输数据。

3系统安全

主要是指对门户及业务系统服务器、客户机的要求。（1）限制用户访问主机资源，不同部门或类型的用户只能访问相应的文件或应用，防止对电网信息系统资源的非法、非授权访问。（2）客户机开启补丁管理、防病毒，网络准入管理等基线策略；采用用户密码检测策略，如使用强壮的密码、设定账户锁定策略，定期变更口令等。（3）定期对服务器、客户机等进行漏洞扫描，发现系统存在的安全隐患并及时整改。（4）开启系统审计功能，对系统的访问和操作行为等情况进行详细记录，并根据需要进行查阅。

4存储安全

在需要保护的信息资产中，数据是最重要的，因此门户系统的存储安全在整个系统中也占有非常重要的地位。（1）为了保证企业门户系统的高可用性，系统组件应分别部署在不同物理服务器的不同逻辑分区上，服务间采用集群方式运行，实现负载均衡；门户系统除生产环境外还应在相同机型和操作系统平台上建立测试环境，在硬件上达到多冗余效果，当生产系统发生故障，短时间内无法恢复的时候，可以在测试平台上完成恢复，缩短宕机时间。（2）使用磁盘阵列作为存储设备，支持RAID0＋1；备份采用存储区域网（SAN）方案，通过光纤交换机连接存储设备和备份带库，使用专业备份软件进行统一管理；专人负责定时检查备份日志，进行恢复测试，确保备份介质的有效性和恢复流程的有效性。（3）设置数据库对象访问权限，数据库对象包括数据库中的表空间、表、视图等，访问权限包括对数据库对象的增加、删除、修改等方面的功能限制，可以根据数据的敏感性和重要性划分不同的访问权限给不同的用户，保证数据只提供给有权限的用户访问和操作。

5运维安全

指为门户系统应用提供日常的安全运行维护支持。（1）在整个系统的开发、测试和执行环节中，需要对各类人员所具有的职责进行分离操作，确保其仅能进行其职责允许的操作，并为不同操作人员分配相应的权限。（2）在运维安全过程中，应制定面向运维人员的技能和安全意识培训计划，并定期按阶段组织和执行培训，提高运维人员素质。

企业信息论文范文第3篇

（1）调研现状在系统开发前，需要协同软件开发公司本单位的管理现状、现有信息系统的应用情况及水平等进行充分的调查研究，并进行多个管理层次调研，包括执行层、主责层、管控层、指导层。如某公司财务信息系统已在公司应用多年，较为成熟，基本满足其业务与核算需求，因此新建信息平台在开发的时，只需要建立与原财务系统的接口，并补充完善原财务系统中对客户的支付控制功能，这样即避免了重复开发，充分利用原有资源，又补充完善了原财务系统所缺失的部分功能。（2）总结在其他软件开发过程中的经验教训许多单位早意识到信息建设的重要性与必要性，早就着手了项目管理软件的开发，但由于软件开发的工程量和技术难度都较大，虽然仍没有十分成熟的软件，但仍积累了许多经验与教训。因此在开发之初，需要对本系统、本行业的信息系统总体开发、运用情况进行一定程度的调查与分析，总结其他单位软件系统开发的经验教训。如某单位某子公司与某软件公司协同开发的项目综合管理软件，针对需求调研时的管理水平与要求设计，业务范围涵盖公司业务管理的所有模块，历经数年，经过数个项目的现场验证，终于从功能角度、技术角度满足了该公司几年前研时的需求，然而在正式推广时，遇到以下问题：①系统开发时，求大求全，正式应用时，项目部业务部门水差参差不齐，难以同时齐头并进，推广人员精力有限，难以顾及全部的专业；②系统对设计了对业务流程的审批，但涉及人员太多，如验工结算流程，从架子队至执行层至主责层多达十几个人需要进行审批，加上工地网络不畅等原因，经实际测算一份验工结算工作流程，从发起到全部审批完成，需要四个工作日，将影响项目的进度款支付，同时这些基础流程对系统中设计的统计分析功能影响巨大，因此流程过长、限制过死成了系统无法顺利推广的最重要的原因。③系统设计的流程、表格较为固化，系统从需求调研到开发完成具体推广应用的条件，历时四年，但是公司的管理水平与要求跟四年前已不在一个水平线上，也就是软件开发的灵活性不足，适应性不强，使开发出来的系统不符合日新月异的管理需求。④系统开发时基于的平台落后，界面不友好，升级困难。（3）需求准确定位在充分调研的基础上，管理者提出当前状态下急需依靠系统解决的关键问题，即不能及时准确的取得项目成本管理的核心数据，基础数据多次采用，时点不同造成数据间相互冲突。在总结其他单位经验教训的基础上，确定本公司信息系统开发“核心模块先行，基础表单固化，流程由使用单位自行设计，平台先进升级方便”等原则，决定以成本管理为核心，基础数据“一次录入、多次利用”，各个管理层级所需统计分析报表自动生成，通过业务流程的设置加强后台对项目的管控力度，由项目经理管项目转变为法人和项目经理共管项目的模式。

二、确定核心模块及开发的分阶段目标

项目管理包括财务管理、合同管理、物资管理、设备管理、进度管理、安全质量和环境保护管理等，信息系统的首要任务为解决对项目各成本要素的管控，因此核心模块确定为财务管理、工程数量管理、合同管理、物资管理、设备管理等，即对人工费、材料费、机械费、间接费的管控。系统开发的第一阶段以财务倒逼机制为手段，以项目的收入清单为依据，以工程、物资、设备总控数量为基础，签订承包合同，按时结算，按时支付，实现执行层与主责层对项目的共管，以及管控层对项目的监管。系统开发的第二阶段为依据企业各个管理层级对信息的不同需要，实现核心模块数据从的数据库中自动生成各管理层级需要的各类数据。减少重复工作量，提高统计报表的准确性。加强各类成本要素数据的管控、纵横向比较与分析、预警等。系统开发的第三阶段为将项目管理的其它模块陆续加入，包括安全与质量管理、进度管理、试验管理、党群工作等等。使项目管理系统成为全员、全过程、全方位的系统工程。

三、建筑施工企业的信息系统推广及应用

目前，经过上述定位的信息系统已经在某单位得以全面应用，成为了该单位实现“法人和项目经理共管项目”和落实精细化管理最佳工具。综合该单位在短期内得以全面推广该项目信息系统的经验如下：1.领导团队的高度重视和必用不可的决心可操作性强、可以解决实际问题的信息平台开发完成后，能得以顺利的推行一个关键因素就是领导团队对系统的高度认可、高度重视。某企业采用了由总经理亲自带队，各单位第一行政领导及技术负责人、部门负责人参加的片区现场推进会，宣传信息系统推行的重要性、必要性，传达了领导团队全面推广使用系统的决心与信心。必须使用信息系统的理念与领导层决心的传达与展示是系统得以顺利推行的基础与前提。2.培养强有力的推广与应用核心团队为顺利推广应用本系统，应成立由软件公司系统开发人员与公司负责协作开发人员、系统管理员等共同组建的核心团队，负责系统的操作培训、技术问题的解决、后台硬件的维护、数据安全等工作，作为系统有效运行提供有效的技术支持与技术保障。由系统开发人员对各级子公司的关键业务人员（包括核心模块相关人员与系统管理员）进行现场培训与实战演习演练，掌握了系统的使用与流程的设计等技能，并对系统使用时存在的常规问题有一定的解决能力，再由各级关键业务人员对本公司的项目人员进行培训与数据录入的现场指导。事实证明，分层级的培训与推广应用在实践中取得了良好的成效，一般项目提交的在各公司关键业务人员能力范围内无法解决再提交核心团队，大大提高了系统运行的效率。3.切实可行的阶段性目标系统推行时，应制定阶段性目标，分阶段确定各项目数据录入的要求。4.奖罚分明的考核兑现制度为提高各级公司、各项目推行信息系统的积极性，建立奖罚分明、可量化的考核标准，对信息系统数据录入的准确性、及时性等建立奖罚标准，并及时考核兑现，对相关人员进行适度的奖罚，将对提高系统数据录入的质量、进度有一定程度的帮助。

四、结束语

总之，项目管理系统的开发与应用，在这个掌握信息就掌握了胜利机会的年代，对施工企业来说，是必要的、必须的、必然的方向，开发具有系统性、可操作性、适应性的系统，并切实可行的措施进行推广与应用，使之真正成为施工企业管理的最有效工具，最有力武器；从而达到提高企业的核心竞争力，实现企业长远发展。

企业信息论文范文第4篇

就我所在石化企业而言，首先是中国石油化工协会经常一些权威的行业报告。其次是通过购买，即通过预定的方式来获得信息，如预定行业网站、行业电子期刊以及行业杂志等。与石油石化行业密切相关网站有卓创资讯，隆重石化商务网，中国化纤信息网，东方油气网等，订阅电子期刊有《安邦每日经济》、《原油报告》、《原油成品油价格表》等，杂志如《当代石油石化》，《石化行业信息》，《石油化工要闻》以及其它相关的专业杂志等，这些都是有价值信息的重要来源。这类网站、期刊与杂志中通常及时准确的包含了与企业产品息息相关的市场分析、预测、走势以及行业中相关的统计数据、技术资料等。这些信息对于企业的经营决策有着极其重要的作用。直接影响整个公司的生产布局。

二、市场信息采集的原则

1.信息筛选的目的。信息筛选指的一是从众多信息中选出符合需要的信息，剔除虚假、无用、重复的信息。二是要对选定的信息进行评估，确定其质量。将大量与需求无关的信息淘汰，使人能集中精力对重要的有价值的信息加以分析、利用。例如我们订阅的安邦《每日经济》会涉及很多方面的内容，包括国家相关政策法规，能源资讯，经济走势的展望，以及国内外形势等。与我行业密切相关就是能源资讯，首选石油，煤炭等信息，再从中选出最有价值的内容加工至本部门负责编辑出版的电子期刊《每日要闻》。

2.信息筛选的方法。要有针对性，信息采集就是对信息摘选的一个过程，要做到收集到手的信息不是整个信息收集的最终目的，它只是整个过程中一个环节而已。为了能让所收集到的信息得到有效的利用，还要对其进行科学的分析、整理、评价。市场信息的分析评价，就是把采集到的市场信息归纳为相对独立的部分，然后分析各部分之间的相互关系并评价信息的可靠度，以便于信息的应用。分析评价市场信息的标准是：（1）市场信息的准确性。准确性即市场信息是否真是反映了市场的客观实际。（2）市场信息的及时性。在市场竞争条件下，市场信息生成速度快，更新频繁，时效性很强。因而要求市场信息应该是最新的，最及时的。（3）市场信息的适用性。市场信息是为企业经营服务的，因而要考虑市场信息对企业经营工作的相关性，相关性越强，信息的价值就越大。这一环节要求长期以来训练有素的市场信息工作人员必须本着科学严谨的态度，严格按照分析评价市场信息标准来分析评价所收集到的市场信息。因为只有对市场信息经过科学的分析评价、处理加工，并从中提炼出反映市场和营销活动特性、规律的信息，才能真正的为企业所用，真正的实现它的自身价值，在企业的经营决策中发挥指导和参考作用，才能发现潜在的商机并为企业创造良好的经济效益和社会效益，使企业在激烈的市场竞争中立于不败之地。这个环节上的市场信息工作人员起了绝对重要的作用，需要他们具备多方面的素质。

三、市场信息在企业的经营活动中具有重要的作用

现代市场经济和信息是天然联系在一起的，信息是企业的灵魂，是企业的生命。现代企业就是信息的综合加工厂，信息对于企业犹如空气中的氧，其价值比黄金还贵重。

1.市场信息是企业经营的动力。企业经营是一个开放系统，与其所处的外部环境息息相关。人们处在一个信息的海洋里，企业经营的外部市场瞬息万变，时刻都在传播着大量有价值的市场信息。及时捕捉、获取、利用这些市场信息，就是给企业经营注入了活力。

2.市场信息是企业经营的导向。企业在实现商品从生产领域向消费领域的转移过程中，同时发生着四种流动。即商流、物流、资金流、信息流。信息流与商流、物流、资金流关系十分密切，在经营过程中起导向作用。

3.市场信息是企业经营决策的依据。现代企业经营依靠科学决策。当前市场瞬息万变，企业的发展方向、生产目标、计划安排、市场开拓、畅通销路等各项工作都必须能适应客观情况的变化。企业领导必须在全面准确掌握这些信息的基础上，制定经营决策不断提高自己的经营能力和竞争实力。这说明了解市场信息对胜战和决策的重要作用。所以企业决策要在全面深刻，准确及时地掌握市场信息的基础上进行。

4.信息是企业开发利用新技术、新工艺的前提。企业要有远大而健康的生命力，就必须强化新工艺、新产品、新技术开发，必须密切注意国内外市场动向，引进、开发利用外来新技术、新工艺。而开发、引进先进技术，必须以信息为先导，综合考虑各方面因素，才能避免盲目引进，才能使引进的技术适应国内外市场的发展变化，保持优势。

5.信息是企业走向市场的关键。企业要在竞争激烈的市场中求得生存和发展，就必须开拓和占有市场，必须通过多种渠道广泛搜集各类信息，包括科技信息、市场信息、行业信息等。市场信息犹如“粘合剂“与催化剂”，使企业生产要素优化组合，发挥更大合力，生产出价廉质优量多的产品。

四、企业信息工作现状

在网络经济时代，收集网络信息是石化企业了解市场需求，开展营销活动，参与市场竞争并取得优势的前提和基础。广泛地收集市场信息资料，并有针对性地做好市场调查研究，通过科学分析，就能把握市场脉搏，做到知己知彼。目前，各石化企业对收集信息工作都有了新的认识，有的企业还成立了信息部门，建立了信息网站，加大了信息的重视程度。以我所在公司的信息工作为例，目前公司的市场信息工作主要有以下几个部分：（1）为公司局域网提品市场信息。目前公司建有专门的信息网站，在信息门户上有6个栏目需要我室每日、每周或定期地提供信息。（2）在首页应用系统里设置了信息数据库专栏的链接。信息量大而新。

1.《每日要闻》共设置了以下几个栏目：综合新闻栏目报道最新的国际国内能源行业、国内相关部门等的有关宏观经济、石油石化等方面的新闻；经济信息栏目从目前国内规模最大、最富影响力的信息咨询研究机构安邦编辑的电子版刊物《每日经济》中选取相关的宏观经济信息；国际原油市场动态栏目信息来源于目前国内知名度最高，最专业的石化财经信息资讯提供商，也是美国道琼斯(DOWJONES)集团在中国的战略合作伙伴的金凯讯。化工市场动态栏目提供前一日安讯思中国市场纯苯、甲苯、混合二甲苯日度评估价格。化纤市场动态栏目提供当日山东、河北地区涤短市场行情动态、当日江浙市场聚酯切片行情动态信息。另外，还可以点击链接查看相关产品相关市场的历史数据及曲线。

2.《经济技术信息》每月3期，结合公司的生产经营情况并在信息提供上与《每日要闻》实现互补，共设置了以下栏目：要闻简讯栏目提供国际能源机构（IEA)、央行、国资委、发改委等国际权威机构和国内相关部门的有关宏观经济、石油石化等方面的权威观点、最新政策等；技术进展栏目信息来源于中石化经济技术研究院，报道国外先进的石化生产技术进展，包括石油石化加工技术和化工技术；新能源技术进展；国际市场栏目报道国际原油期货一周综述；亚洲PTA、乙二醇等与天津石化相关产品的周评；国内市场栏目：报道华北成品油、华北燃气等一周评述；统计数据栏目报道世界石油、石化行业备受关注的重要统计数据。信息来源于中石化经济技术研究院和中石油经济技术研究院。该刊物紧密跟踪石油化工化纤技术与市场动向，同时提供专业人士的市场预测，对公司的生产决策有着建设性的作用。

3.信息门户相关栏目信息的搜集、上传。综合新闻栏目每日从中国石化新闻网搜集有关国内要闻、炼化企业方面的新闻，并上传；每日价格栏目每日提供国际原油市场价格；国际成品油市场价格；国内汽、柴油产品出厂价等；原油油品市场栏目每周提供C5与C9等市场周报；化工市场栏目每周提供硫磺、苯酚等市场周报；中石化电子期刊栏目定期上传中国石化出版社和《中外能源》杂志社翻译出版的电子版刊物《烃加工》和由他们从国外专业报纸期刊上搜集翻译并编辑而成的电子版刊物《寰球能源资讯》；技术进展栏目报道国外先进的石化生产技术进展，包括石油石化加工技术和化工技术。我部门负责提供信息的四个模块：国际炼化最新动态模块信息来源于中石化经济技术研究院，报道国外先进的石化生产技术进展，包括石油石化加工技术和化工技术；国内炼化最新动态模块提供石油化工专业期刊上刊登的与公司生产经营相关的最新文章；国内各大石油公司简介模块报道中石油、中石化、中海油三大石油公司各分、子公司的概况；国际各大石油公司简介模块报道世界知名大石油公司的发展简史、组织机构、经营战略等。这些信息同报纸一样，设有各种专栏，或每日更新，或形成一定的累积更新，而在其幕后工作的信息工作者，通过不断的收集、整理、编排，达到一种资源共享，快捷服务的效果。就信息工作人员而言，要掌握良好的计算机操作性能，懂石油化工专业，会文字处理，敏锐地扑捉技术动向，才能把这项工作做好做新，才能真正的起到为企业服务的作用。

五、结语

利用市场信息为企业进行生产介绍和科学技术成果推荐，探讨科研成果在生产中应用的可能性和条件；市场信息又把生产实践中出现的问题提交给企业领导集团去研究解决企业的生产成果。正是通过市场信息之桥，走向社会应用以后，才得以转化为巨大的物质财富和精神时富。

企业信息论文范文第5篇

（1）根本导向问题。在企业信息化建设项目开发和实施过程中，如果内部协调不力、没有形成合力，则最终很难完成信息化建设项目。这就必须要求项目管理组织必须明确工作基本准则和导向，在项目管理全过程都必需加以强调，否则，对项目管理的进度和成效将有极大的影响。（2）组织结构上的问题及其解决。作为项目管理的组织保证，项目组的组织机构对项目的成败起着关键作用，组织结构是项目管理的骨架，其功能是沟通信息、协调矛盾、控制进度、维持运转和指挥决策等。作为一个日常生产经营工作任务较重的农业企业，不可能成立项目式的项目管理组织，该项目的管理组织成员是由各部门抽调搭建成的，项目的项目组是矩阵式的组织构架，矩阵式组织构架既有项目组织注重项目的特点，而项目成员又是某一职能部门的成员，从而造成协调上的不利因素。

二、信息化建设项目进度控制的管理保障措施

1.农业企业必须做好业务流程的再造和完善。（1）流程重组的三个阶段：初始阶段、分析设计阶段及实施阶段。首先是项目的初始阶段。这时应明确项目的内涵及意义，并由项目团队将需要改进的流程与企业的经营结果如提高利润率、降低成本等直接联系起来，使企业认识到改进流程的意义。然后，正式进入流程的分析及设计阶段。先对现有流程进行分析，可采用头脑风暴法，列出现有流程中存在的问题。其次找出现状与理想之间的差距，并在其中架设桥梁。然后据此设计出流程的各个步骤及衡量的标准。最后，提出从现状转化到理想状态的实施计划。最后，是流程的实施阶段。设计完流程并非万事大吉，实施阶段是关键。在这一阶段，要先定义实施的组织结构，与相关部门及员工沟通，并提供培训。（2）在流程改造的过程中，有几点关键因素必须注意：一是必须有高级管理层的支持，二是最好是由相关部门的代表设计，而不是完全依靠外力，这样才能保证新流程容易被接受、可实施性强。

2.组织结构上的问题及其解决。（1）在企业内部必须明确信息化建设项目负责人与企业职能部门负责人的职责，确保项目负责人与职能部门负责人之间的权利平衡。在矩阵式项目组织结构中，项目组成员一般接受两方面的领导：项目组负责人和原所属部门负责人，一般情况下，成员对所属部门负责人的忠诚度更高，因此，必须明确项目组成员在项目组内部的汇报关系，这样有助于项目组成员对项目责任心的建立。（2）有效沟通和调节双方矛盾。为了确保项目在时间、资源、效能上的合理平衡，项目组负责人必须与相关职能部门负责人充分沟通，除了让职能部门负责人站在公司全局的高度上理解和认识企业信息化建设项目的重要性，项目组更必须帮助职能部门负责人充分了解项目各阶段所处的环境、工作任务、对资源的需求、项目进展等等，从而使职能部门对项目组和项目有充分的认识，了解项目的资源需求，从而帮助项目组的工作顺利进行。（3）确立项目管理工作的优先机制。在项目管理的实际工作中，随时都会遇到项目组和职能部门之间的矛盾，要注意到，不是所有的矛盾都是容易解决的，或者说不是所有矛盾都是可以通过沟通解决的。当两者的矛盾难以解决时，必须有一个机制来保证项目管理工作的优先性，这就从机制上确保了项目管理工作的优先性，从而保证项目管理工作的顺利进行。

三、结论

农业企业信息化建设项目，虽然有种种的困难和不利因素，但是只要从项目管理组织上重视，确保项目管理组织的合理性和有效性，以及项目管理机制的科学性，并根据农业企业信息化建设的项目特点，充分做好企业流程再造和项目需求分析，科学编制项目进度，就能最终保证农业企业信息化建设项目的进度和成效。

企业信息论文范文第6篇

综上所述，数据库过载是造成门户系统访问瓶颈的主要原因，因此，采取针对性的数据库优化策略，减少SharePoint对内容数据库频繁交互次数，成为解决以上问题首选手段。优化措施一：采用SharePointServer2010中的远程BLOB存储（RBS）功能，用于解决在SharePoint内容库中存储的文档越来越多，存储的媒体文档越来越大的问题，它能够将原BLOB非结构数据（文档、媒体文件）存储在内容数据库中，转移到在内容数据库外部的某个位置。使得原内容数据库大小大大减少，减少百分比在95％以上，以帮助解决由SharePoint内容库增长引起的问题。优化措施二：采用Nginx缓存技术，使用Nginx作为Web服务器，缓存一些静态文件，如css，js，htm，html，jpg，gif，png，flv，swf，这些文件都不是经常更新，便于缓存以减轻数据库服务器的压力。Nginx主要是处理静态页面效率较高，具有比较好的处理高并发性能，因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。优化措施三：拆分内容数据库及创建标准化的采编中心，以此拆分与网站集关联的内容数据库。在拆分内容数据库时，需将网站集移到其他内容数据库中，并将原来由多个网站集关联一个内容数据库，拆分为一个网站集关联一个内容数据库。与此同时，将现各网站采编结构，按新的网站采编结构创建，并将原频道和新闻迁移到各单位新的采编中心下（如图1、图2所示）。

2应用

2．1远程BLOB存储（RBS）应用

通过在SharePoint的PowerShell中启用RBS，并用以下的步骤实现将SharePoint中的BLOB文件存于文件系统的功能：（1）在数据库服务器上启用FILESTREA；（2）为每个内容数据库设置BLOB存储，设置数据存储的卷＼目录；（3）在第一台Web服务器上安装RBS客户端库；（4）在所有其他Web服务器和应用程序服务器上安装RBS客户端库；（5）单独为每个关联的内容数据库配置RBS；（6）为每个内容数据库启用RBS；（7）迁移内容库大文件到BLOB文件存储。

2．2Nginx缓存技术应用

Nginx门户系统部署，如图3所示拟将2台服务器用于Nginx服务器，Nginx服务器运行和配置于Linux环境下。安装在Nginx服务器上，并在Nginx服务器上对Nginx进行配置，Nginx由内核和模块组成，Nginx配置就是对模块功能的配置，配置指令写在nginx．conf文件中，即以下文件路径c：＼nginx＼conf＼nginx．conf。

2．3内容数据库拆分与迁移应用

按以下步骤完成数据库拆分及数据迁移：第一步：梳理门户系统网站集信息以及数据库实例信息；第二步：规划网站集一对一内容数据库名称、多对一内容数据库名称以及分配部署内容数据库所在实例；第三步：根据规划的内容数据库名称及其所在的实例，在SharePoint管理中心创建添加内容数据库；第四步：按规划使用SharePoint2010ManagementShell命令行拆分内容库，操作命令：Move－SPSite网站集URL－DestinationDatabase数据库名称－Confirm：￥false第五步：在现运行的各单位网站集上创建采编中心，采编中心结构按新的标准化采编结构创建；第六步：将现运行的采编中心频道及新闻，迁移至各单位新创建的采编中心；第七步：修复所有显示页面，将原采编新闻地址修改为新的采编地址；第八步：根据服务器数量重新规划数据库实例数量，并将内容库均衡分配到各实例上。

3结束语

信息门户系统性能优化要综合考虑解决，而通过采用调整内容数据库大小、数据缓存技术以及调整SharePoint网站集结构等手段，可化解因数据库瓶颈引起的问题，而缓存技术的使用可大幅减少SharePoint对数据库的读取，改由内存来提供数据。实际上就是在WebServer、DBServer之间增加一个数据缓存层，在内存中建立被频繁请求对象的副本，如此一来，不访问数据库也可提供数据。同时将内容数据库与SharePoint平台资源限制作为整体，进行统一规划，合理调整、分配数据库大小，消除大容量数据库，实现了均衡数据库压力；并且利用现有的信息门户系统生产场环境资源，在不增加硬件资源设备的情况下，通过SQLServer数据库群集技术扩展了信息门户系统数据库实例，充分利用现有资源，对所有内容数据库进行了重新规划分配，使各个数据库实例均衡负载，充分发掘各服务器的性能资源。综上所述，将信息门户系统整体设计结构与数据库技术、数据缓存技术、数据库群集技术相结合，消除SharePoint信息门户系统平台与内容数据库之间信息瓶颈，达到提高页面访问速度的目的，同时，规范网站结构也为日后信息门户系统升级改造提供有力保障。

企业信息论文范文第7篇

企业要做好信息员的培训工作，就应转变观念，从培训需求分析入手，积极构建长效的培训机制，采取灵活有效的培训方式，并做好培训考核工作，提高培训效果。

1.定岗定员定机构，构建有效工作机制。

企业应根据自身实际情况做好下属单位信息化组织机构及信息员岗位的设定工作。专门组织机构有利于信息化项目的实施和推广。不能设定专职信息员也要做好兼职人员的岗位说明，使得信息化工作能够深入到企业的最底层，也让信息员得到应有的保障，解除其后顾之忧。

2.做好培训的形式、方法和方案设计。

根据需求分析，结合企业实际，找出培训所要解决的问题及欠缺的技术或者需要注意的问题，采取有针对性的、重点突出的培训形式。把讲授、实例、上机操作、答疑互动等培训方法结合使用。同时在方案设计上也要充分考虑信息员的可接受性、知识的适用性及普及性。

3.明确培训目标和培训内容。

根据企业自身信息化项目进展以及信息化进程，大体将信息培训内容分为四类：实施类、应用类、综合类和提高类。

3.1实施类培训主要是指企业实施新的项目或者推广使用新的应用系统，需要信息员参与培训做好后续实施配合工作。这类培训主要是将信息项目或者应用系统的实施目的、意义、应用效果、实施过程、工作原理、注意事项等知识对信息员进行讲解并要求其掌握，特别是信息员应配合做的事情要对其解释清楚。

3.2应用类培训主要是针对最终用户进行的培训，此类培训重在对用户实际上机操作，要求其掌握使用方法。

3.3综合类培训主要是对信息知识进行的全面培训，也是一般企业定期开展的基础培训。这类培训主要是对其进行信息安全、应用系统运维流程、常用软件使用等方面进行讲解。对于用户账号密码命名规则、局域网设置、操作系统的使用等基础知识也需要信息员掌握。

3.4提高类培训主要是针对信息技术某一方面进行的培训，重在加强信息员能力与技巧方面的培训。

4.建立培训考核和激励机制，确保培训效果。

企业应建立和完善培训制度，并对培训情况进行检查与指导。培训后对信息工作扎实开展成绩显著的单位或部门应该予以奖励；对工作落实不到位或者滞后的单位要予以批评；将培训的考核情况及结果计入业绩考核，与单位和员工的奖金挂钩，从而提高单位和员工参加培训积极性。

5.加大信息化宣传力度，做好培训后跟踪反馈。

通过培训问卷让信息员填写对于培训内容、老师讲解、能力互动表现等方面信息进行培训评估。综合类和提高类的培训可以通过组织学员考试，通过成绩可判断学员对培训知识的掌握程度。实施类的培训通过电话询问了解用户实际解决能力。同时，要加强宣传让员工认识到信息化给企业带来的变化、起到的作用，让其充分享受企业信息化的成果，使其自觉主动参与培训。

二、结语

做好企业信息员培训工作，对于企业和员工来说都至关重要。随着信息技术的发展，企业信息培训工作将更加需要不断地总结、研究和探索，大力培养信息人才，通过信息化促进企业长远发展。

企业信息论文范文第8篇

文件化是有效沟通方式的一种，尤其是在一对多的模式中。在中小企业，文件沟通不见得是最好的方式，当面沟通可能更有效。但是在大型集团企业中，甚至一国政府，当面沟通不但低效，而且存在诸多弊端，例如，信息传递过程中的失真。几乎所有的大型组织最终都会选择文件作为主要的沟通载体之一，由此便导致了“文山会海”的弊端。因此，对于文件化的信息安全管理体系设计应该遵循以下两个原则：

（一）按照组织的最小需求设计文件，降低文件数目

制度是一个广泛的概念，其中包括了明确的或隐含的规则，实际上对于制度而言，表现形式是最次要的一部分。在实践中，更表现出了这样的特点，许多法律法规文件可能效力远不如某些潜规则。组织追求庞大的文件体系，原因可能有很多。例如，主管部门为了追求“尽职，免责”。由于立法、执法和监督部门往往都是分离的1，组织内部不免会陷入相互推诿。信息安全事件发生后，负责执行的部门往往会归结为由于缺乏相应的立法，导致“无法可依”。在这种情况下，立法部门往往会尽量设计更全面的制度。但立法部门最关注的不是制度的可实施性，换句话说，他们最关心的是“有法可依”，而不是“有法必依”。国家的法律虽然繁杂，但是有专业的律师提供服务，普通人不需要了解其中的细节。但是一个组织的制度则不同，组织内部不可能提供类似律师一样的专业服务。每一个制度，原则上员工都需要了解。显然，员工不可能花太多的精力去学习更多的文件。所以，过多庞大的制度体系不但不会提升组织的正规化，反而使组织落入“制度在墙”的尴尬境界。

（二）可以由上级统一文件化的，下面不再文件化

许多制度的关键点不在于好或坏，而在于能够被统一的执行，例如，左侧行驶或者右侧行驶，没有本质的区别，重要的是，在特定的范围内能够被统一的，无差别的执行。组织内部的制度也遵循同样的道理。在大型集团企业内，如果某个制度能够被统一，应该尽量由上级统一文件化，下级机构可以据此执行，或者适当修改后执行。这样做的目的是形成统一的规则，降低不确定性带来的成本。综上所述，以上两个原则应该贯穿信息安全管理制度文件架构的始终，即（1）只在必要的时候才单独成文；（2）尽量在全集团内设计推行统一的制度文件。

二、集团企业信息安全管控模式设计

大型集团企业的整体管控模式，按照母子公司的集权分权程度，可以划分为财务管控、战略管控和运营管控三种。信息安全管控模式首先要适应整体的集团管控模式，如上所述，ISO/IEC27001:2013默认部署的范围是一个组织或者组织的一部分，并没有考虑集团企业的情况。集团企业往往是由诸多独立运营的公司所组成，这就关系到管控问题，信息安全管控模式的本质是信息安全管理制度的顶层设计。我们以大都控股集团2的组织结构为例设计管控模式，大都控股集团的组织机构如图1所示。根据《信息安全管理体系实施指南》的文件架构设计，我们将大都控股集团的文件分为四级。

三、结语

虽然ISO/IEC27001:2013强调了适用于所有的组织，但是并没有专门对大型集团企业或小型组织3做相应的指导，本文针对这种不足，设计了一种适合大型集团企业的信息安全管控模式，保留了实践中较为通用的ISO/IEC27001:2013的四级文件架构，但是按照集团企业的母子公司进行了重新划分，使得一级文件与二级文件“对事不对人”，三级文件“对事也对人”，但尽量保证“一个角色，一件事，只对应一个文件”，从而降低了员工阅读文件的负担，最大限度的避免了文件与实际执行存在的“两层皮”现象，提高了文件的可实施性。

企业信息论文范文第9篇

1．1企业网络区域边界划分状况及风险

企业网络边界布局:

(1)以企业机关为核心层和其生产厂为汇聚层构成的局域网(Intranet)，部署了大量用户计算机和应用服务器;

(2)与企业上级总部主干网连通的远程SDH数字光纤专线，主要承载着视频会议数据、电子邮件和总部信息门户访问等;

(3)供企业内用户访问互联网(Internet)的电信运营商出口;

(4)供企业外部用户访问位于DMZ内的服务器和进行VPN访问企业网的联通运营商入口。

1．2对企业网络可采取的安全措施

(1)防火墙。在所有互联网(Internet)及专线出入口处安装防火墙。可选择FortiGate系列的防火墙产品，它集成了IPSec/SSLVPN、入侵防护、反病毒、反垃圾邮件和Web过滤等安全功能，将应用控制策略与身份认证策略相结合，设置了ACL，在高速交换的情况下提供防火墙和VPN流量的深度安全内容检查。可自动下载并按时升级过滤库，保护企业不会受到最新病毒、网络漏洞、蠕虫、垃圾邮件、网络钓鱼及恶意站点的侵害［1］。

(2)加密机与防毒墙。总部与企业的连接通过两端的加密机实现链路层的数据流加密。在企业的边界路由器和防火墙的内部可加装瑞星RSW－9300防毒墙。它兼具防火墙与杀毒功能，支持网页脚本以及控件的过滤，支持所有常见文件格式的查杀，杀毒时延迟更低，用户体验更好。安全策略支持多种协议的数据包过滤，可以检测当前流行的蠕虫病毒使用的系统漏洞，并对其数据流进行自动拦截。

(3)上网行为管理器。由于企业内部员工上网行为不当引起安全与管理隐患，应控制员工在上班时间上网做非工作需要事情，从而保障工作效率;对外发信息进行监控审计，避免企业机密信息泄露;有效阻止、限制严重消耗带宽的应用，使企业的核心业务带宽得以保障。可选择网康ICGNI－5000系上网行为管理产品，它基于用户准入、时间流量、应用控制、内容审计、带宽管理、协议端口等元素对员工的上网行为进行全面而灵活的策略设置，把网络风险管理提升为主动式预警控制管理。管理员可在远端利用浏览器登陆ICG管理平台查询统计与报表分析［2］。

(4)虚拟专用网(VPN)。VPN被定义为通过互联网(Internet)建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展，可以帮助远程用户、企业外部分支机构、商业伙伴及供应商与企业内部网(Intranet)建立可信的安全连接，并保证数据的安全传输。SSL－VPN是一个基于SSL协议的远程访问企业资源的安全方案，它采用标准的SSL对传输中的数据包进行加密，从而在应用层保护了数据的安全性。SSL协议是运行在TCP/IP协议栈中TCP之上的，协议已被集成入大部分的浏览器中，在Internet上，有企业网接入准许的计算机上都可以通过浏览器经SSL－VPN接入设备对企业资源进行安全访问。可选择美国Juniper网络公司的SA4500系列SSLVPN产品。它拥有应用层的资源访问控制，当一个用户登入之后，他不能自由的访问内网的所有资源，而必须接受SSLVPN的策略设定，有限制的访问内网资源。这样提高了VPN网络的安全性和稳定性。它的日志系统分别是用户日志、管理员日志和系统日志，都有非常详尽的记录供管理员分析。

2设施安全风险

2．1应用服务器部署状况及风险

企业核心应用系统服务器主要集中部署在机关数据中心，在做好Internet网络安全防范的基础上，还应考虑局域网内的防病毒、防攻击工作。企业内部员工试图尝试获取未授权的企业内部资源，同时随着安全漏洞不断被发现，入侵者的技巧和破坏能力不断提高，而且入侵者在实施入侵或攻击时往往同时采取多种入侵的手段。这些威胁会对企业造成很大的损失。

2．2针对服务器系统可采取的安全措施

(1)防病毒系统。可部署包括SymantecSEP11服务器(SEPM管理器及数据库)和安装在各个应用服务器的SEP11客户端。SEP11有三大部分:防病毒及防间谍软件模块、网络威胁防护模块、主动性威胁防护模块。模块可自动清除病毒;强化了对间谍软件的防护;对漏洞利用攻击的一般性拦截(主动防护技术);基于包或流的IPS(入侵防御系统);恶意软件检测和拦截;拦截外设和其读写行为;增强了对本地文件系统和应用的保护。实际中可为应用服务器启用下列防护策略:防病毒策略:启用查杀各种病毒、黑客工具、间谍软件、跟踪软件、木马程序。防火墙策略:使无法运行下载类、股票类、网络游戏类、即时通信类、在线视频类、服务器类软件。入侵防护策略:启用拒绝服务攻击、端口扫描、缓冲区溢出。外设控制策略:禁用USB存储类、3G/CDMA/GPRS接入卡、红外、蓝牙设备。

(2)入侵检测系统(IDS)。可选择天阗入侵检测与管理系统。作为风险管理类安全产品，其主要作用是协助用户了解网络的内部状况，在此主要针对数据中心服务器网络安全。它通过旁路方式部署在网络中，可将探测引擎硬件联到交换机端口，这个交换机与重要应用服务器相连，利用超级终端对探测引擎进行基本设置。使用端口流量映射方式实时抓取分析网络数据，可监控蠕虫攻击、IM/P2P事件、网络病毒、攻击事件等。依据所定策略判断是否有违规或者是恶意行为发生并告知网络管理员。所谓策略，就是告诉探测引擎，什么样的网络事件执行什么动作，包括报警、日志、发送邮件、复位TCP连接、通知进行联动的防火墙阻断等。控制中心每隔一段时间从探测引擎查询最新的事件信息供管理员分析［3］。

3应用系统安全

3．1应用运行状况及风险

随着信息化建设的不断深入发展，计算机使用范围更加普及，终端用户计算机安全问题凸现。系统漏洞、安全措施裸机运行、非法外联网络出口等成为引入病毒和黑客攻击的跳板，导致组织内部重要信息泄露或毁灭，造成不可弥补的损失。网络设备及链路是否正常也直接影响到应用系统的安全使用。

3．2针对用户系统可采取的安全措施

(1)桌面管理系统。可选择BigFix企业管理套件(BES)。在中心机房安装一台BESServer，在所有终端计算机及服务器上安装BESClient，并根据计算机终端数量设置中继BESRelay。系统采用了BigFix公司Fixlet专利技术，可自动收集所辖范围内的计算机的软硬件和联网的交换机、路由器和网络打印机等设备信息。应用功能包括:资产管理，软件分发管理，远程协助管理，补丁下发管理，漏洞扫描管理，终端安全管理，报表管理等。企业桌面计算机资产信息及安全状况数据，通过FTP的方式传送到总部的数据汇总服务器，总部可对其进行查询分析统计，并形成报表［4］。

(2)网络管理系统。可选择BrightView系列产品。它是在OpenView产品基础上的丰富和补充。配有Windows2003系统上的ORACLE9i数据库+Web服务器;SUNSolaris9系统上的HPOpenView后台进程服务器。网管系统提供网络拓扑、告警、性能分析、IP地址管理、流量管理等功能。系统采用SNMP协议进行网络管理，查看若干跳数的网络拓扑图;查看某个交换机设备的配置、性能以及每个端口下连用户计算机等情况;检查是否存在采集不到数据的设备，以在拓扑图上每一个节点状态颜色显示来分析网络设备的通断状况;通过网络异常流量的监视来捕捉和定位来自终端用户的非法行为或病毒迹象，保障网络的安全;通过IP地址统计分析，可供IT工程师全面掌握网段内的IP的在线使用状态，成为日常查找网络故障的有力诊断工具．

(3)网络杀毒系统。可选择瑞星网络版杀毒软件产品。它能及时升级，定时查杀用户计算机上的病毒木马。

4物理环境安全

物理环境安全包括在信息安全的整体框架下，是信息安全保障体系的基础和底层的支持。信息系统所在区域的物理环境安全是保护区域内计算机相关设备免遭环境事故以及周围环境因素影响。应加强不间断供电系统、温度和湿度、消防、自然灾害防御、门禁摄像监控等安全管理。

5结语

在对上述几个方面加强了信息安全防护措施后，基础设施安全条件会得到很大改善，管理更加精细到位。对于安全管理者来说，各个安全设备策略的制定，要平衡好用户便利与信息安全之间的关系。虽着日志记录的大量增加，分析工作量也会加大。另外，现在很多安全产品趋向多功能化，实际应用中要根据需解决的问题，分清主次，有针对性地选择部署。企业信息安全除了建立策略体系、技术体系之外，还应建立组织体系和建设与运行体系，这涉及管理职责落实、人员保障和培训、财力物力投入等多个层面。体系应符合企业自身特点，只有做到覆盖全面、重点突出、持续改进，抑制风险的综合效益才能最大化。

企业信息论文范文第10篇

1、企业信息安全管理要素构成对于企业信息安全管理要素的构成，国际上普遍遵循的是ISO17799:2005标准的分类方法。ISO17799将企业信息安全管理实施分为11个方面，分别是物理和环境安全、信息安全事件管理、人力资源安全、安全政策、组织信息安全、资产管理、通信与操作管理、访问控制、业务连续性管理、信息系统获取开发和维护、符合性。这其中，除了与技术关系较为紧密的访问控制、信息系统获取开发和维护、通信与操作管理这3个方面外，其他信息安全管理要素更侧重于组织整体的运营管理，在实施企业信息安全管理过程中有较高的参考意义。为了实证分析中数据测量方便，本文参考该标准，从企业的角度，按照各要素属性及控制措施的相似性，将ISO17799标准中的11个要素整合为6个要素，分别为组织环境（符合性、安全政策、组织信息安全）、人力资源安全、资产设备安全（资产管理、物理和环境安全）、操作管理（通信与操作管理、访问控制）、应急响应机制（信息安全事件管理、业务连续性管理）和信息系统开发与维护。

2、研究假设

（1）组织环境。

本文中的组织环境侧重于企业中的政策制度、人文环境等软环境，主要指所有潜在影响信息安全管理活动的因素或力量，在企业的信息安全管理中起导向性的作用，具体包括企业的安全政策方针、安全文化氛围和业务符合性等。企业信息安全管理成功的实现离不开组织环境的支持，良好的组织环境对企业的信息安全管理有重要的推动作用，它有助于企业各项安全政策、安全策略的实施。组织的安全政策是组织实施信息安全活动的战略导向。完备的安全政策、方针可以为企业的每一个员工提供基本的行为准则、指南，使得企业信息安全管理的各项活动都有章可循，促进信息安全管理进程的实施。齐晓云（2011）通过实证验证了企业信息系统的失败与缺乏相应的制度与机制保障之间存在强相关关系，制度与机制保障对信息系统成功有正向的影响作用。企业的安全文化氛围等人文环境是组织环境的一个重要组成部分，它是企业的一种无形的管理思想。相关研究表明，环境对人的安全行为习惯养成有着较大的影响。其中，人文环境的影响尤为明显。VanNiekerk（2010）指出，导致信息安全事故的主要因素是企业信息安全文化氛围的减少。良好的安全文化氛围可以提高员工的安全意识，不单能避免由员工的不安全行为所产生的风险，更能促进全体员工参与到保障组织信息安全的行动中来，最大程度消除事故隐患，有效预防和减少各类事故的发生。Herath（2009）通过问卷调研的实证研究验证了惩罚力度是企业员工的安全行为重要影响因素之一，说明企业的政策制度对人力资源安全有着正向的影响。

（2）人力资源安全。

人在企业信息安全管理活动中不仅是主体，也是客体。主体是指许多信息安全控制措施实施的实现是由“人”来完成的；客体是指“人”也是信息安全管理中所要管理的对象。据有关统计表明，在所有的信息安全事故中，约有52%是人为因素造成的，因此，人力资源安全管理显得十分重要。在企业中，高层领导轻视信息安全是导致企业信息安全文化欠缺和员工信息安全意识薄弱的主要因素。中层管理者是衔接企业高层与基层的桥梁，企业信息安全管理实施的效果直接取决于中层管理者对上级决策的执行力度。Ashenden（2008）通过实证研究发现中层管理者的执行力度不足会造成高层管理者和员工之间对信息安全管理存在理解上的差异，这种差异会对企业的信息安全管理产生不利影响。普通员工对信息安全管理的参与配合不够会导致各项安全政策、方针不能准确落实，继而影响到信息安全管理的其他方面。

二、研究过程

1、研究设计与样本

（1）研究设计。

本文在借鉴国内外现有成果的基础上，结合企业信息安全管理的实施程序，设计预测试问卷。问卷采用Likert5点量表对各个项目加以度量，1表示“非常不符合”，5表示“非常符合”，根据答题者对每一项目的打分来判断企业对某一现象表述的态度或看法，若分数越高，认同度越高。

（2）调查样本。

本文采取简单随机抽样的方式形成样本，面向长三角发放调查问卷200份（其中150份通过电子邮件发放，50份通过实地走访企业完成），最终收回155份，有效问卷率为69.5%。调查企业均为中小型企业。

2、测量工具及其信度和效度检验

（1）信度检验。

本研究首先对量表进行信度检验。信度检验采用了学术界普遍使用的Cronbach''''sα系数来衡量数据的内在一致性信度。一般情况下，若Cronbach''''sα系数小于0.35为低信度，在0.35到0.5之间勉强可信，0.5到0.7之间信度较好，大于0.7则属于高信度。本文通过对6个维度进行信度检验，发现6个维度的Cronbach''''sα系数最小值是0.669，其余都大于0.7，量表总体的Cronbach''''sα系数未0.897，表明此量表的可靠性较高，量表选项设计是合理有效的。

（2）效度检验。

首先采用了KMO度量和Bartlett球形度检验对量表的内容效度进行检验。各维度的KMO度量介于0.638到0.907之间，总体样本KMO度量达到0.833，所有的显著性系数均趋近于0，低于设定的显著性水平（p<0.01），表明量表的内容效度较高。从探索性因子分析结果看，信息安全管理量表的每一项目的因子载荷均大于0.55，大于前人所建议的社会科学量表因子载荷0.55的临界值。从验证性因子分析的结果看，除GFI和NFI没有通过检验外，其他统计检验量全部通过检验，整体通过率为77.7%，见表4，因此可以判定量表与数据之间具有不错的拟合性，量表整体结构效度较好。

3、结构方程模型构建

在理论模型的基础上，运用结构方程软件AMOS7.0构建了初始结构方程模型，并进行拟合优度检验。根据运行结果，GFI值（0.884）、NFI值（0.736）、CFI值（0.899）小于0.9的参考值，PNFI值（0.448）小于0.5的参考值，未能通过检验，说明结构模型与数据的拟合程度处于不可接受的状态，因此需要对初始模型进行一定的修正。另外，运行结果表明，组织环境对资产设备安全和应急响应机制的影响路径系数未达显著性水平，因此在修正时将这两条路径删除。修正后的指数均达到模型可以接受的标准，即修正后的结构模型与实际数据可以适配。

4、研究结果

将AMOS输出的路径系数进行整理，其中，直接效应是指潜在自变量到结果变量的直接影响，用潜在自变量到结果变量的路径系数来衡量直接效应的大小。间接效应是指潜在自变量通过影响一个或多个中介变量，而对结果变量的间接影响。在本研究中，组织环境是潜在自变量，它对其余五个结果变量有直接或间接影响。同时，组织环境通过影响人力资源安全，从而对其余四个结果变量产生间接影响，因此人力资源安全是模型的中介变量。上述实证结果表明，组织环境主要通过人力资源安全间接影响资产设备安全和应急响应机制。间接效应系数均为正，分别为0.121和0.27，研究结果对假设H4、假设H5呈现弱支持。总的来说，组织环境对信息安全管理的各个要素有着不同程度的直接或间接的影响，这也验证了组织环境在企业信息安全管理中的中心地位，对企业的信息安全管理有着决定性的影响，企业应该首要考虑如何完善这一要素。人力资源安全对其余四个要素的作用均为正，且四条路径系数都达到了显著性水平，假设H6-H9得到了支持。在这四条路径中，人力资源安全是组织环境和其余四个要素的中介变量，通过该中介变量的间接效应，组织环境对四个潜在变量的总效应系数明显增大。可见，人力资源安全在信息安全管理中发挥中介作用，组织环境通过人力资源安全部分中介作用于信息安全管理其他要素，对其他因素产生关联性影响。因此，企业在信息安全管理活动应充分发挥人力资源安全的中介作用，使各项安全政策、规章制度的实施达到事半功倍的效果。

三、结语

本文将企业信息安全管理要素分为组织环境、人力资源安全、资产设备安全、操作管理、信息系统开发与维护和应急响应机制六个方面，通过对139家中小企业的调查研究发现，组织环境对人力资源安全、操作管理、信息系统开发与维护有着显著的正向影响，对资产设备安全和应急响应机制有着一定的正向影响。人力资源安全在信息安全管理中发挥中介作用，组织环境通过人力资源安全部分中介作用于信息安全管理其他要素，验证了本文所提出的假设。启示企业管理者必须重视组织环境和人力资源安全，促进企业信息安全管理的长远发展。