企業(yè)信息安全管理體系構建的要點與策略論文

　　在社會的各個領域，大家或多或少都會接觸過論文吧，通過論文寫作可以培養(yǎng)我們獨立思考和創(chuàng)新的能力。寫起論文來就毫無頭緒？下面是小編為大家整理的企業(yè)信息安全管理體系構建的要點與策略論文，歡迎閱讀，希望大家能夠喜歡。

　　摘要：

　　互聯(lián)網(wǎng)時代，信息技術全面發(fā)展。信息技術的普及方便了企業(yè)的信息獲取，但也給企業(yè)的信息管理帶來了巨大的風險。信息共享時代，構建一個安全的信息管理體系，對于企業(yè)的發(fā)展有著重要的作用。加強企業(yè)的信息管理，不僅可以提升企業(yè)的競爭力，還可以推動企業(yè)的可持續(xù)發(fā)展。主要對企業(yè)信息安全的現(xiàn)狀進行分析，并提出企業(yè)信息安全管理體系構建的有效策略。

　　關鍵詞:

　　企業(yè)信息；信息技術；安全管理體系；

　　引言：

　　在經(jīng)濟全面發(fā)展的趨勢下，信息化和工業(yè)化不斷融合，企業(yè)的信息管理已經(jīng)成為企業(yè)經(jīng)營的重要部分，對于企業(yè)的設計研發(fā)、生產(chǎn)制造、業(yè)務銷售等都有著重要的影響。數(shù)據(jù)時代，企業(yè)對于信息的應用越廣泛，對信息體系的依賴就越強，企業(yè)所面臨的信息風險越高。企業(yè)在發(fā)展的過程中，既要發(fā)揮信息化的優(yōu)勢和價值，也要做好信息的管理工作。要構建安全的信息管理體系，僅僅依靠技術是不夠的，必須要將技術和管理進行有效的結合，只有這樣，才能構建一個完整的安全體系，從而推動企業(yè)發(fā)展。

　　1.企業(yè)信息安全管理的現(xiàn)狀

　　1.1、信息安全管理體系缺乏總體性的規(guī)劃和策略

　　企業(yè)對于信息的安全管理，通常都交由IT部門管理，許多管理人員會覺得信息管理就是IT部門的事情。在這個基礎上，企業(yè)的其他部門對于企業(yè)的信息安全建設，很少會關注，這是影響安全體系完整性的重要因素。IT部門的網(wǎng)絡技術對于信息的保護有一定效果，但卻缺乏管理作用。企業(yè)信息涉及到的人員包含各個部門，除了IT部門，許多部門的人員都會接觸到企業(yè)的信息，IT部門只能從技術上對信息和數(shù)據(jù)進行保存，但內(nèi)部的信息保護，IT部門是沒有辦法完成的，這個環(huán)節(jié)需要專業(yè)的管理人員來規(guī)劃和管理。安全體系缺乏完整性和總體性的規(guī)劃，會讓企業(yè)的信息建設過于零散，也沒有辦法對信息資源的提供方進行有效的防護。

　　1.2、企業(yè)員工的信息安全意識薄弱，專業(yè)性人才缺乏

　　“重技術、輕管理�！边@是所有企業(yè)發(fā)展中普遍存在的問題，關于企業(yè)的信息安全問題，許多管理人員缺乏正確的認識，甚至有管理人員認為信息安全就是殺毒和安裝防火墻。這樣的認知不僅片面，還會讓企業(yè)員工的安全意識變得薄弱。企業(yè)在發(fā)展的過程中，出于經(jīng)濟利益的考慮，都會讓系統(tǒng)的管理人員承擔管理和系統(tǒng)配置的雙重責任，安全系統(tǒng)的設計和審核都是一人完成。要真正完成這兩項工作，需要非常專業(yè)的信息安全管理人員，但大部分企業(yè)的系統(tǒng)管理人員都不是專業(yè)人員，所以很難將安全管理的工作進行到位，這會給企業(yè)的安全管理造成嚴重的隱患，也容易讓企業(yè)信息處于失控的局面。

　　1.3、信息安全缺乏體系化的管理

　　要對信息安全進行有效的關系，需要一個完整的體系，但實際管理工作開展的過程中，許多企業(yè)的管理方式都是零散和傳統(tǒng)的。傳統(tǒng)的管理方式是補救，卻沒有查缺�；�本都是管理過程中出了問題，再進行補救，但沒有出現(xiàn)問題之前，企業(yè)很少會進行預防。這種管理模式已經(jīng)適應不了現(xiàn)代市場經(jīng)濟的發(fā)展了，對于信息安全的管理也不夠全面。要對信息安全進行體系化管理，管理工作需要全面。預防、控制、改進、評估等環(huán)節(jié)缺一不可。

　　2.企業(yè)信息安全管理體系構建的要點

　　2.1、完善信息安全管理的組織機構

　　要構建一個完整的管理體系，企業(yè)必須對管理的組織機構進行完善，組建一個專門的管理機制。管理工作開展的過程中，要明確各個人員的職責，這樣確保分工明確，職責到位。如果組織的機構不明確，安全管理工作開展的過程中，會出現(xiàn)人手不足的情況，對于管理工作的開展，也沒有辦法進行深入，這會降低管理工作的質量和力度。組織機構不夠完善，也會讓管理制度缺乏，這樣容易造成信息安全事件，所以企業(yè)構建管理體系的時候，一定要加強管理機制的完善，如圖1所示。

　　2.2、對物理環(huán)境進行有效的管理

　　安全管理的過程中，環(huán)境管理也是工作的重要組成部分。安全管理中的物理環(huán)境主要是指機房、設備、消防等，物理環(huán)境管理中，支持設備的管理尤為重要，信息技術不斷發(fā)展的過程中，對于計算機設備的要求也越來越高，所以安全管理工作開展的過程中，一定要加強對設備的管理。對于機房，企業(yè)可以根據(jù)業(yè)務發(fā)展的實際情況進行劃分和評審，根據(jù)設備的系統(tǒng)模塊建立相對應的管理制度。機房的消防管理也是安全重點，一定要構建消防系統(tǒng)，系統(tǒng)構建的過程中，要按照規(guī)定的消防要求。這個過程中，還要對工作人員進行消防知識的培訓，和應急演練。定期檢查消防設施安全，對于不符合規(guī)定的消防設施，及時更換和維護。對消防秩序進行監(jiān)督和巡查，支持性的設備一定要建立監(jiān)控系統(tǒng)，對于設備的資產(chǎn)管理、維護管理、系統(tǒng)應急等，一定要進行有效的管理，物理環(huán)境的管理是管理工作的基礎，也是開展工作的前提。

　　2.3、用戶和操作管理

　　對所有設備的運行實施網(wǎng)絡監(jiān)控，要做到這一點，可以啟動設備的日志功能。對于重要設備，可以構建集中日志管理服務器，這樣可以對日志的審查進行分析。對設備進行定期維護，可以根據(jù)設備的重要性制定相對應的備份策略，對于設備的備份數(shù)據(jù)進行測試，這樣可以保障數(shù)據(jù)的完整性和可用性。設置用戶權限，遵循最小授權和權限分割的原則。所有賬號開通之后，要對初始口令進行修改采用高級密碼策略。對于密碼的變更，要建立嚴格的管理流程，對于影響安全組織和信息處理設施的系統(tǒng)變更，要加以控制，嚴格規(guī)定操作流程，這樣可以減少誤用系統(tǒng)帶來的風險。

　　2.4、信息系統(tǒng)的開發(fā)、維護和獲取管理

　　信息系統(tǒng)的獲取和維護過程，也是安全管理的重要內(nèi)容，使用安全系統(tǒng)和工具的過程中，要對內(nèi)部的應用系統(tǒng)和工具提出安全需求，這個過程中，需要在開發(fā)需求文件中對安全需求定義。如果軟件的開發(fā)過程中需要測試數(shù)據(jù)，一定要對數(shù)據(jù)進行選擇、保護和控制。對于個人信息和敏感信息一定要進行處理，嚴格控制訪問的流程和相關資料。對于非授權的功能一定要進行控住，這樣可以減少應用故障。

　　2.5、業(yè)務連續(xù)性管理

　　對安全體系內(nèi)的系統(tǒng)和設施進行業(yè)務連續(xù)性管理分析，分析管理體系中可能會面臨的風險和故障，對風險進行等級評估。如果是不可接受的風險，可以采取降低風險措施，并構建應急方案。如果系統(tǒng)的運行環(huán)境發(fā)生了重大變化，要對系統(tǒng)的風險等級進行二次評估，根據(jù)應急的系統(tǒng)現(xiàn)狀和需求，制定連續(xù)性計劃。通過模擬測試的方法對計劃進行評估和審查，如果系統(tǒng)出現(xiàn)危機，業(yè)務連續(xù)性管理十分重要，不僅提高了企業(yè)風險防范的能力，還降低了業(yè)務中斷做帶來的損失。

　　3.構建企業(yè)信息安全管理的有效策略

　　3.1、信息安全管理體系模型

　　現(xiàn)階段，對于信息安全管理的標準，最具代表性和權威性的是ISO/IEC27000系列標準，信息安全的管理主要建立在風險管理上，采用風險分析的模式，降低風險發(fā)生的概率，所以信息安全管理的體系模型可以從以下幾分方面入手。首先，計劃和實施，對安全體系的計劃階段，主要是用來保證管理體系的構建，而實施是保障體系的內(nèi)容和范圍。其次，檢查和改進。這一階段主要是對信息的安全識別和改進方案的實施。安全管理體系中，檢查是一個非常重要的環(huán)節(jié)，不僅能判斷安全管理是否科學，還可以檢查其安全措施是否有效。通過改進計劃，可以對系統(tǒng)進行完善。

　　3.2、信息安全管理體系構建的過程

　　安全管理體系的構建是一個系統(tǒng)的工程，企業(yè)要構建一個完整的體系，必須要得到企業(yè)領導的許可，只有這樣，才能保障安全體系構建的資源支持。但安全體系的運行需要各個部門的參與，所以企業(yè)對體系機構要進行重新設置。安全管理不僅僅是IT部門的事情，而是整個企業(yè)部門共同參與的管理工作，要構建一個完整的安全管理體系，需要整個企業(yè)的工作人員共同參與和協(xié)作。企業(yè)的信息安全組織機構包含決策層、管理層、執(zhí)行層。要確保管理體系的正常運行，這三個組織機構必須要發(fā)揮各自的作用。決策層通常都是企業(yè)信息安全管理的最高管理機構，需要為企業(yè)的安全管理提供各類的必要資源。管理層負責的是信息安全的管理和監(jiān)督、教育和考核。中小型企業(yè)以IT部門承擔這一職責，但要確保安全管理體系正常運行，需要設立專門的管理部門。執(zhí)行層是策略和計劃落實額的人員，所以執(zhí)行人員一定要加強自身的專業(yè)素質和水平。

　　3.3、建立管理體系

　　一個完整體系的建立需要涵蓋多個方面，可以從以下幾點入手。首先，制定信息安全的方針和策略。關于信息的安全管理，企業(yè)在發(fā)展的過程中應該制定一個總體的方針。根據(jù)企業(yè)的發(fā)展方向和實際情況，制定對應的策略。其次，對安全管理體系的范圍進行定義，任何一個企業(yè)的資源都是有限的，所以構建管理體系的時候，對管理范圍的定義很重要。要做出準確的定義，可以從組織、人員、技術和設備等方面考慮，這樣可以形成完整的管理體系。在體系構建的過程中，風險的評估是不可缺少的一個環(huán)節(jié)，企業(yè)需要對現(xiàn)有的信息框架進行評估，在現(xiàn)有的基礎上進行完善和補充，并產(chǎn)生新的評估數(shù)據(jù)。最后，制定處理計劃。對企業(yè)所面臨的風險，管理體系需要制定專門的處理計劃，對于不可控制的風險，可以采取轉移和降低的方法進行處理，處理計劃實施的過程中，一定要落實相關責任。對信息安全管理體系進行編寫的過程中，其內(nèi)容要符合企業(yè)的發(fā)展現(xiàn)狀，操作方法具有實用性。

　　4.結語

　　對于企業(yè)信息的管理，沒有絕對的安全性可言，企業(yè)構建安全管理體系之后，并不代表企業(yè)的信息管理就沒有了風險，管理體系只是對企業(yè)的信息風險進行預防、降低和處理。這樣可以減少企業(yè)的經(jīng)濟損失，也能保障企業(yè)的可持續(xù)發(fā)展。但企業(yè)要落實管理體系，需要對管理體系中出現(xiàn)的問題進行分析、總結和改進，只有這樣，才能真正發(fā)揮管理體系的作用。

　　參考文獻

　　[1]戴海斌現(xiàn)代企業(yè)信息安全防控策略研究[J]黑龍江科學.2021,12(04):130-131.

　　[2]呂云.企業(yè)信息安全管理問題及對策[J].網(wǎng)絡安全技術與應用,2020(04):122-123.

　　[3]陳曉飛企業(yè)信息安全管理體系建設[J]信息與電腦(理論版),2017(03):194-196.

　　[4]張宏飛.S企業(yè)信息安全管理的策略和實施[D].北京交通大學2015.

　　[5]陳慧勤.企業(yè)信息安全風險管理的框架研究[D]-上海:同濟大學,2006.

　　拓展：企業(yè)信息安全管理對策

　　網(wǎng)絡管理

　　一般企業(yè)網(wǎng)與互聯(lián)網(wǎng)物理隔離，因而與互聯(lián)網(wǎng)相比，其安全性較高，但在日常運行管理中我們?nèi)匀幻媾R網(wǎng)絡鏈路維護、違規(guī)使用網(wǎng)絡事件等問題，具體而言:

　　(1)在IP資源管理方面，采用IPMAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這分兩種情況實現(xiàn)，第一種情況是如果客戶機連在支持網(wǎng)管的交換機上的，可以通過網(wǎng)管中心的管理軟件，對該交換機遠程實施PortSecurity策略，將客戶端網(wǎng)卡MAC地址固定綁在相應端口上。第二種情況是如果客戶機連接的交換機或集線器不支持網(wǎng)管，則可以通過Web網(wǎng)頁調(diào)用一個程序，通過該程序把MAC地址和IP地址捆綁在一起。這樣，就不會出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡的情況。

　　(2)在網(wǎng)絡流量監(jiān)測方面，可使用網(wǎng)絡監(jiān)測軟件對網(wǎng)絡傳輸數(shù)據(jù)協(xié)議類型進行分類統(tǒng)計，查看數(shù)據(jù)、視頻、語音等各種應用的利用帶寬，防止頻繁進行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉移及傳播方向。

　　服務器管理

　　常見應用服務器安裝的操作系統(tǒng)多為Windows系列，服務器的管理包括服務器安全審核、組策略實施、服務器的備份策略。

　　服務器安全審核是網(wǎng)管日常工作項目之一，審核的范圍包括安全漏洞檢查、日志分析、補丁安裝情況檢查等，審核的對象可以是DC、ExchangeServer、SQLServer、IIS等。

　　在組策略實施時，如果想使用軟件限制策略，即哪些客戶不能使用哪個軟件，則需要把操作系統(tǒng)升級到Windows2003Server。服務器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分，系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序，制定一個合理的備份策略，如每周日晚上做一次完全備份，然后周一到周五晚上做增量備份或差額備份;定期對服務器備份工作情況等。

　　客戶端管理

　　對大多數(shù)單位的網(wǎng)管來說，客戶端的管理都是最頭痛的問題，只

　　有得力的措施才能解決這個問題，這里介紹以下幾種方法:

　　(1)將客戶端都加入到域中，這一點很重要，因為只有這樣，客戶端才能納入管理員集中管理的范圍。

　　(2)只給用戶以普通域用戶的身份登錄到域，因為普通域用戶不屬于本地Administrators和PowerUsers組，這樣就可以限制他們在本地計算機上安裝大多數(shù)軟件(某些軟件普通用戶也可以安裝)。當然為了便于用戶工作，應通過本地安全策略，授予他們“關機”和“修改系統(tǒng)時間”等權利。

　　(3)實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。

　　(4)實現(xiàn)客戶端防病毒軟件的自動更新。

　　(5)利用SMS對客戶端進行不定期監(jiān)控，發(fā)現(xiàn)不正常情況及時處理。

　　數(shù)據(jù)備份與數(shù)據(jù)加密

　　由于應用系統(tǒng)的加入，各種數(shù)據(jù)庫日趨增長，如何確保數(shù)據(jù)在發(fā)生故障或災難性事件情況下不丟失，是當前面臨的一個難題。這里介紹四種解決方法:第一種解決辦法是用磁帶機或硬盤進行數(shù)據(jù)備份。該辦法價格最低，保存性最強，不足之處是備份的只是某個時間點。第二種方案是采用本地磁盤陣列來分別實現(xiàn)各服務器的本地硬盤數(shù)據(jù)冗余。第三種方案是采用雙機容錯方式，兩臺機器系統(tǒng)相互備份，應用層數(shù)據(jù)全部放在共享的磁盤陣列柜中，這種方式能解決單機故障或宕機的問題，同時又能防止單個硬盤故障導致的數(shù)據(jù)丟失，但前期投資較大。第四種方案是采用NAS或SAN來實現(xiàn)各服務器的集中區(qū)域存儲，實現(xiàn)較高級別的磁盤等硬件故障的數(shù)據(jù)備份，但是成本較高，一般不能防止系統(tǒng)層的故障，如感染病毒或系統(tǒng)崩潰。

　　考慮到網(wǎng)絡上非認證用戶可能試圖旁路系統(tǒng)的情況，如物理地“取走”數(shù)據(jù)庫，在通信線路上竊聽截獲。對這樣的威脅最有效的解決方法就是數(shù)據(jù)加密，即以加密格式存儲和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰，通過加密設備或算法，將信息加密后發(fā)送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復為明文。如果傳輸中有人竊取，他只能得到無法理解的密文，從而對信息起到保密作用。

　　病毒防治

　　對防病毒軟件的要求是:能支持多種平臺，至少是在Windows系列操作系統(tǒng)上都能運行;能提供中心管理工具，對各類服務器和工作站統(tǒng)一管理和控制;在軟件安裝、病毒代碼升級等方面，可通過服務器直接進行分發(fā)，盡可能減少客戶端維護工作量;病毒代碼的升級要迅速有效。在實施過程中，本單位以一臺服務器作為中央控制一級服務器，實現(xiàn)對網(wǎng)絡中所有計算機的保護和監(jiān)控，并使用其中有效的管理功能，如:管理員可以向客產(chǎn)端發(fā)送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產(chǎn)端等。正常情況下，一級服務器病毒代碼庫升級后半分鐘內(nèi)，客戶端的病毒代碼庫也進行了同步更新。

【企業(yè)信息安全管理體系構建的要點與策略論文】相關文章：

論文：企業(yè)薪酬管理策略要點12-09

民航空管網(wǎng)絡與信息安全管理體系的構建論文11-14

企業(yè)信息安全管理的論文11-05

構建班級民主管理體系教育論文11-15

企業(yè)信用管理體系中工商管理構建策略03-26

企業(yè)信息數(shù)據(jù)安全的研究論文11-16

高中物理解題方法的策略構建的論文11-20

電力企業(yè)信息安全管理體系分析研究12-01

高校內(nèi)部審計信息化管理體系構建論文11-15

鋼結構建筑的防腐除銹及防火策略論文10-31