企業(yè)信息安全管理體系構建的要點(diǎn)與策略論文

　　在社會(huì )的各個(gè)領(lǐng)域，大家或多或少都會(huì )接觸過(guò)論文吧，通過(guò)論文寫(xiě)作可以培養我們獨立思考和創(chuàng )新的能力。寫(xiě)起論文來(lái)就毫無(wú)頭緒？下面是小編為大家整理的企業(yè)信息安全管理體系構建的要點(diǎn)與策略論文，歡迎閱讀，希望大家能夠喜歡。

　　摘要：

　　互聯(lián)網(wǎng)時(shí)代，信息技術(shù)全面發(fā)展。信息技術(shù)的普及方便了企業(yè)的信息獲取，但也給企業(yè)的信息管理帶來(lái)了巨大的風(fēng)險。信息共享時(shí)代，構建一個(gè)安全的信息管理體系，對于企業(yè)的發(fā)展有著(zhù)重要的作用。加強企業(yè)的信息管理，不僅可以提升企業(yè)的競爭力，還可以推動(dòng)企業(yè)的可持續發(fā)展。主要對企業(yè)信息安全的現狀進(jìn)行分析，并提出企業(yè)信息安全管理體系構建的有效策略。

　　關(guān)鍵詞:

　　企業(yè)信息；信息技術(shù)；安全管理體系；

　　引言：

　　在經(jīng)濟全面發(fā)展的趨勢下，信息化和工業(yè)化不斷融合，企業(yè)的信息管理已經(jīng)成為企業(yè)經(jīng)營(yíng)的重要部分，對于企業(yè)的設計研發(fā)、生產(chǎn)制造、業(yè)務(wù)銷(xiāo)售等都有著(zhù)重要的影響。數據時(shí)代，企業(yè)對于信息的應用越廣泛，對信息體系的依賴(lài)就越強，企業(yè)所面臨的信息風(fēng)險越高。企業(yè)在發(fā)展的過(guò)程中，既要發(fā)揮信息化的優(yōu)勢和價(jià)值，也要做好信息的管理工作。要構建安全的信息管理體系，僅僅依靠技術(shù)是不夠的，必須要將技術(shù)和管理進(jìn)行有效的結合，只有這樣，才能構建一個(gè)完整的安全體系，從而推動(dòng)企業(yè)發(fā)展。

　　1.企業(yè)信息安全管理的現狀

　　1.1、信息安全管理體系缺乏總體性的規劃和策略

　　企業(yè)對于信息的安全管理，通常都交由IT部門(mén)管理，許多管理人員會(huì )覺(jué)得信息管理就是IT部門(mén)的事情。在這個(gè)基礎上，企業(yè)的其他部門(mén)對于企業(yè)的信息安全建設，很少會(huì )關(guān)注，這是影響安全體系完整性的重要因素。IT部門(mén)的網(wǎng)絡(luò )技術(shù)對于信息的保護有一定效果，但卻缺乏管理作用。企業(yè)信息涉及到的人員包含各個(gè)部門(mén)，除了IT部門(mén)，許多部門(mén)的人員都會(huì )接觸到企業(yè)的信息，IT部門(mén)只能從技術(shù)上對信息和數據進(jìn)行保存，但內部的信息保護，IT部門(mén)是沒(méi)有辦法完成的，這個(gè)環(huán)節需要專(zhuān)業(yè)的管理人員來(lái)規劃和管理。安全體系缺乏完整性和總體性的規劃，會(huì )讓企業(yè)的信息建設過(guò)于零散，也沒(méi)有辦法對信息資源的提供方進(jìn)行有效的防護。

　　1.2、企業(yè)員工的信息安全意識薄弱，專(zhuān)業(yè)性人才缺乏

　　“重技術(shù)、輕管理�！边@是所有企業(yè)發(fā)展中普遍存在的問(wèn)題，關(guān)于企業(yè)的信息安全問(wèn)題，許多管理人員缺乏正確的認識，甚至有管理人員認為信息安全就是殺毒和安裝防火墻。這樣的認知不僅片面，還會(huì )讓企業(yè)員工的安全意識變得薄弱。企業(yè)在發(fā)展的過(guò)程中，出于經(jīng)濟利益的考慮，都會(huì )讓系統的管理人員承擔管理和系統配置的雙重責任，安全系統的設計和審核都是一人完成。要真正完成這兩項工作，需要非常專(zhuān)業(yè)的信息安全管理人員，但大部分企業(yè)的系統管理人員都不是專(zhuān)業(yè)人員，所以很難將安全管理的工作進(jìn)行到位，這會(huì )給企業(yè)的安全管理造成嚴重的隱患，也容易讓企業(yè)信息處于失控的局面。

　　1.3、信息安全缺乏體系化的管理

　　要對信息安全進(jìn)行有效的關(guān)系，需要一個(gè)完整的體系，但實(shí)際管理工作開(kāi)展的過(guò)程中，許多企業(yè)的管理方式都是零散和傳統的。傳統的管理方式是補救，卻沒(méi)有查缺�；�本都是管理過(guò)程中出了問(wèn)題，再進(jìn)行補救，但沒(méi)有出現問(wèn)題之前，企業(yè)很少會(huì )進(jìn)行預防。這種管理模式已經(jīng)適應不了現代市場(chǎng)經(jīng)濟的發(fā)展了，對于信息安全的管理也不夠全面。要對信息安全進(jìn)行體系化管理，管理工作需要全面。預防、控制、改進(jìn)、評估等環(huán)節缺一不可。

　　2.企業(yè)信息安全管理體系構建的要點(diǎn)

　　2.1、完善信息安全管理的組織機構

　　要構建一個(gè)完整的管理體系，企業(yè)必須對管理的組織機構進(jìn)行完善，組建一個(gè)專(zhuān)門(mén)的管理機制。管理工作開(kāi)展的過(guò)程中，要明確各個(gè)人員的職責，這樣確保分工明確，職責到位。如果組織的機構不明確，安全管理工作開(kāi)展的過(guò)程中，會(huì )出現人手不足的情況，對于管理工作的開(kāi)展，也沒(méi)有辦法進(jìn)行深入，這會(huì )降低管理工作的質(zhì)量和力度。組織機構不夠完善，也會(huì )讓管理制度缺乏，這樣容易造成信息安全事件，所以企業(yè)構建管理體系的時(shí)候，一定要加強管理機制的完善，如圖1所示。

　　2.2、對物理環(huán)境進(jìn)行有效的管理

　　安全管理的過(guò)程中，環(huán)境管理也是工作的重要組成部分。安全管理中的物理環(huán)境主要是指機房、設備、消防等，物理環(huán)境管理中，支持設備的管理尤為重要，信息技術(shù)不斷發(fā)展的過(guò)程中，對于計算機設備的要求也越來(lái)越高，所以安全管理工作開(kāi)展的過(guò)程中，一定要加強對設備的管理。對于機房，企業(yè)可以根據業(yè)務(wù)發(fā)展的實(shí)際情況進(jìn)行劃分和評審，根據設備的系統模塊建立相對應的管理制度。機房的消防管理也是安全重點(diǎn)，一定要構建消防系統，系統構建的過(guò)程中，要按照規定的消防要求。這個(gè)過(guò)程中，還要對工作人員進(jìn)行消防知識的培訓，和應急演練。定期檢查消防設施安全，對于不符合規定的消防設施，及時(shí)更換和維護。對消防秩序進(jìn)行監督和巡查，支持性的設備一定要建立監控系統，對于設備的資產(chǎn)管理、維護管理、系統應急等，一定要進(jìn)行有效的管理，物理環(huán)境的管理是管理工作的基礎，也是開(kāi)展工作的前提。

　　2.3、用戶(hù)和操作管理

　　對所有設備的運行實(shí)施網(wǎng)絡(luò )監控，要做到這一點(diǎn)，可以啟動(dòng)設備的日志功能。對于重要設備，可以構建集中日志管理服務(wù)器，這樣可以對日志的審查進(jìn)行分析。對設備進(jìn)行定期維護，可以根據設備的重要性制定相對應的備份策略，對于設備的備份數據進(jìn)行測試，這樣可以保障數據的完整性和可用性。設置用戶(hù)權限，遵循最小授權和權限分割的原則。所有賬號開(kāi)通之后，要對初始口令進(jìn)行修改采用高級密碼策略。對于密碼的變更，要建立嚴格的管理流程，對于影響安全組織和信息處理設施的系統變更，要加以控制，嚴格規定操作流程，這樣可以減少誤用系統帶來(lái)的風(fēng)險。

　　2.4、信息系統的開(kāi)發(fā)、維護和獲取管理

　　信息系統的獲取和維護過(guò)程，也是安全管理的重要內容，使用安全系統和工具的過(guò)程中，要對內部的應用系統和工具提出安全需求，這個(gè)過(guò)程中，需要在開(kāi)發(fā)需求文件中對安全需求定義。如果軟件的開(kāi)發(fā)過(guò)程中需要測試數據，一定要對數據進(jìn)行選擇、保護和控制。對于個(gè)人信息和敏感信息一定要進(jìn)行處理，嚴格控制訪(fǎng)問(wèn)的流程和相關(guān)資料。對于非授權的功能一定要進(jìn)行控住，這樣可以減少應用故障。

　　2.5、業(yè)務(wù)連續性管理

　　對安全體系內的系統和設施進(jìn)行業(yè)務(wù)連續性管理分析，分析管理體系中可能會(huì )面臨的風(fēng)險和故障，對風(fēng)險進(jìn)行等級評估。如果是不可接受的風(fēng)險，可以采取降低風(fēng)險措施，并構建應急方案。如果系統的運行環(huán)境發(fā)生了重大變化，要對系統的風(fēng)險等級進(jìn)行二次評估，根據應急的系統現狀和需求，制定連續性計劃。通過(guò)模擬測試的方法對計劃進(jìn)行評估和審查，如果系統出現危機，業(yè)務(wù)連續性管理十分重要，不僅提高了企業(yè)風(fēng)險防范的能力，還降低了業(yè)務(wù)中斷做帶來(lái)的損失。

　　3.構建企業(yè)信息安全管理的有效策略

　　3.1、信息安全管理體系模型

　　現階段，對于信息安全管理的標準，最具代表性和權威性的是ISO/IEC27000系列標準，信息安全的管理主要建立在風(fēng)險管理上，采用風(fēng)險分析的模式，降低風(fēng)險發(fā)生的概率，所以信息安全管理的體系模型可以從以下幾分方面入手。首先，計劃和實(shí)施，對安全體系的計劃階段，主要是用來(lái)保證管理體系的構建，而實(shí)施是保障體系的內容和范圍。其次，檢查和改進(jìn)。這一階段主要是對信息的安全識別和改進(jìn)方案的實(shí)施。安全管理體系中，檢查是一個(gè)非常重要的環(huán)節，不僅能判斷安全管理是否科學(xué)，還可以檢查其安全措施是否有效。通過(guò)改進(jìn)計劃，可以對系統進(jìn)行完善。

　　3.2、信息安全管理體系構建的過(guò)程

　　安全管理體系的構建是一個(gè)系統的工程，企業(yè)要構建一個(gè)完整的體系，必須要得到企業(yè)領(lǐng)導的許可，只有這樣，才能保障安全體系構建的資源支持。但安全體系的運行需要各個(gè)部門(mén)的參與，所以企業(yè)對體系機構要進(jìn)行重新設置。安全管理不僅僅是IT部門(mén)的事情，而是整個(gè)企業(yè)部門(mén)共同參與的管理工作，要構建一個(gè)完整的安全管理體系，需要整個(gè)企業(yè)的工作人員共同參與和協(xié)作。企業(yè)的信息安全組織機構包含決策層、管理層、執行層。要確保管理體系的正常運行，這三個(gè)組織機構必須要發(fā)揮各自的作用。決策層通常都是企業(yè)信息安全管理的最高管理機構，需要為企業(yè)的安全管理提供各類(lèi)的必要資源。管理層負責的是信息安全的管理和監督、教育和考核。中小型企業(yè)以IT部門(mén)承擔這一職責，但要確保安全管理體系正常運行，需要設立專(zhuān)門(mén)的管理部門(mén)。執行層是策略和計劃落實(shí)額的人員，所以執行人員一定要加強自身的專(zhuān)業(yè)素質(zhì)和水平。

　　3.3、建立管理體系

　　一個(gè)完整體系的建立需要涵蓋多個(gè)方面，可以從以下幾點(diǎn)入手。首先，制定信息安全的方針和策略。關(guān)于信息的安全管理，企業(yè)在發(fā)展的過(guò)程中應該制定一個(gè)總體的方針。根據企業(yè)的發(fā)展方向和實(shí)際情況，制定對應的策略。其次，對安全管理體系的范圍進(jìn)行定義，任何一個(gè)企業(yè)的資源都是有限的，所以構建管理體系的時(shí)候，對管理范圍的定義很重要。要做出準確的定義，可以從組織、人員、技術(shù)和設備等方面考慮，這樣可以形成完整的管理體系。在體系構建的過(guò)程中，風(fēng)險的評估是不可缺少的一個(gè)環(huán)節，企業(yè)需要對現有的信息框架進(jìn)行評估，在現有的基礎上進(jìn)行完善和補充，并產(chǎn)生新的評估數據。最后，制定處理計劃。對企業(yè)所面臨的風(fēng)險，管理體系需要制定專(zhuān)門(mén)的處理計劃，對于不可控制的風(fēng)險，可以采取轉移和降低的方法進(jìn)行處理，處理計劃實(shí)施的過(guò)程中，一定要落實(shí)相關(guān)責任。對信息安全管理體系進(jìn)行編寫(xiě)的過(guò)程中，其內容要符合企業(yè)的發(fā)展現狀，操作方法具有實(shí)用性。

　　4.結語(yǔ)

　　對于企業(yè)信息的管理，沒(méi)有絕對的安全性可言，企業(yè)構建安全管理體系之后，并不代表企業(yè)的信息管理就沒(méi)有了風(fēng)險，管理體系只是對企業(yè)的信息風(fēng)險進(jìn)行預防、降低和處理。這樣可以減少企業(yè)的經(jīng)濟損失，也能保障企業(yè)的可持續發(fā)展。但企業(yè)要落實(shí)管理體系，需要對管理體系中出現的問(wèn)題進(jìn)行分析、總結和改進(jìn)，只有這樣，才能真正發(fā)揮管理體系的作用。

　　參考文獻

　　[1]戴海斌現代企業(yè)信息安全防控策略研究[J]黑龍江科學(xué).2021,12(04):130-131.

　　[2]呂云.企業(yè)信息安全管理問(wèn)題及對策[J].網(wǎng)絡(luò )安全技術(shù)與應用,2020(04):122-123.

　　[3]陳曉飛企業(yè)信息安全管理體系建設[J]信息與電腦(理論版),2017(03):194-196.

　　[4]張宏飛.S企業(yè)信息安全管理的策略和實(shí)施[D].北京交通大學(xué)2015.

　　[5]陳慧勤.企業(yè)信息安全風(fēng)險管理的框架研究[D]-上海:同濟大學(xué),2006.

　　拓展：企業(yè)信息安全管理對策

　　網(wǎng)絡(luò )管理

　　一般企業(yè)網(wǎng)與互聯(lián)網(wǎng)物理隔離，因而與互聯(lián)網(wǎng)相比，其安全性較高，但在日常運行管理中我們仍然面臨網(wǎng)絡(luò )鏈路維護、違規使用網(wǎng)絡(luò )事件等問(wèn)題，具體而言:

　　(1)在IP資源管理方面，采用IPMAC捆綁的技術(shù)手段防止用戶(hù)隨意更改IP地址和隨意更換交換機上的端口。這分兩種情況實(shí)現，第一種情況是如果客戶(hù)機連在支持網(wǎng)管的交換機上的，可以通過(guò)網(wǎng)管中心的管理軟件，對該交換機遠程實(shí)施PortSecurity策略，將客戶(hù)端網(wǎng)卡MAC地址固定綁在相應端口上。第二種情況是如果客戶(hù)機連接的交換機或集線(xiàn)器不支持網(wǎng)管，則可以通過(guò)Web網(wǎng)頁(yè)調用一個(gè)程序，通過(guò)該程序把MAC地址和IP地址捆綁在一起。這樣，就不會(huì )出現IP地址被盜用而不能正常使用網(wǎng)絡(luò )的情況。

　　(2)在網(wǎng)絡(luò )流量監測方面，可使用網(wǎng)絡(luò )監測軟件對網(wǎng)絡(luò )傳輸數據協(xié)議類(lèi)型進(jìn)行分類(lèi)統計，查看數據、視頻、語(yǔ)音等各種應用的利用帶寬，防止頻繁進(jìn)行大文件的傳輸，甚至發(fā)現病毒的轉移及傳播方向。

　　服務(wù)器管理

　　常見(jiàn)應用服務(wù)器安裝的操作系統多為Windows系列，服務(wù)器的管理包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略。

　　服務(wù)器安全審核是網(wǎng)管日常工作項目之一，審核的范圍包括安全漏洞檢查、日志分析、補丁安裝情況檢查等，審核的對象可以是DC、ExchangeServer、SQLServer、IIS等。

　　在組策略實(shí)施時(shí)，如果想使用軟件限制策略，即哪些客戶(hù)不能使用哪個(gè)軟件，則需要把操作系統升級到Windows2003Server。服務(wù)器的備份策略包括系統軟件備份和數據庫備份兩部分，系統軟件備份擬利用現有的專(zhuān)用備份程序，制定一個(gè)合理的備份策略，如每周日晚上做一次完全備份，然后周一到周五晚上做增量備份或差額備份;定期對服務(wù)器備份工作情況等。

　　客戶(hù)端管理

　　對大多數單位的網(wǎng)管來(lái)說(shuō)，客戶(hù)端的管理都是最頭痛的問(wèn)題，只

　　有得力的措施才能解決這個(gè)問(wèn)題，這里介紹以下幾種方法:

　　(1)將客戶(hù)端都加入到域中，這一點(diǎn)很重要，因為只有這樣，客戶(hù)端才能納入管理員集中管理的范圍。

　　(2)只給用戶(hù)以普通域用戶(hù)的身份登錄到域，因為普通域用戶(hù)不屬于本地Administrators和PowerUsers組，這樣就可以限制他們在本地計算機上安裝大多數軟件(某些軟件普通用戶(hù)也可以安裝)。當然為了便于用戶(hù)工作，應通過(guò)本地安全策略，授予他們“關(guān)機”和“修改系統時(shí)間”等權利。

　　(3)實(shí)現客戶(hù)端操作系統補丁程序的自動(dòng)安裝。

　　(4)實(shí)現客戶(hù)端防病毒軟件的自動(dòng)更新。

　　(5)利用SMS對客戶(hù)端進(jìn)行不定期監控，發(fā)現不正常情況及時(shí)處理。

　　數據備份與數據加密

　　由于應用系統的加入，各種數據庫日趨增長(cháng)，如何確保數據在發(fā)生故障或災難性事件情況下不丟失，是當前面臨的一個(gè)難題。這里介紹四種解決方法:第一種解決辦法是用磁帶機或硬盤(pán)進(jìn)行數據備份。該辦法價(jià)格最低，保存性最強，不足之處是備份的只是某個(gè)時(shí)間點(diǎn)。第二種方案是采用本地磁盤(pán)陣列來(lái)分別實(shí)現各服務(wù)器的本地硬盤(pán)數據冗余。第三種方案是采用雙機容錯方式，兩臺機器系統相互備份，應用層數據全部放在共享的磁盤(pán)陣列柜中，這種方式能解決單機故障或宕機的問(wèn)題，同時(shí)又能防止單個(gè)硬盤(pán)故障導致的數據丟失，但前期投資較大。第四種方案是采用NAS或SAN來(lái)實(shí)現各服務(wù)器的集中區域存儲，實(shí)現較高級別的磁盤(pán)等硬件故障的數據備份，但是成本較高，一般不能防止系統層的故障，如感染病毒或系統崩潰。

　　考慮到網(wǎng)絡(luò )上非認證用戶(hù)可能試圖旁路系統的情況，如物理地“取走”數據庫，在通信線(xiàn)路上竊聽(tīng)截獲。對這樣的威脅最有效的解決方法就是數據加密，即以加密格式存儲和傳輸敏感數據。發(fā)送方用加密密鑰，通過(guò)加密設備或算法，將信息加密后發(fā)送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復為明文。如果傳輸中有人竊取，他只能得到無(wú)法理解的密文，從而對信息起到保密作用。

　　病毒防治

　　對防病毒軟件的要求是:能支持多種平臺，至少是在Windows系列操作系統上都能運行;能提供中心管理工具，對各類(lèi)服務(wù)器和工作站統一管理和控制;在軟件安裝、病毒代碼升級等方面，可通過(guò)服務(wù)器直接進(jìn)行分發(fā)，盡可能減少客戶(hù)端維護工作量;病毒代碼的升級要迅速有效。在實(shí)施過(guò)程中，本單位以一臺服務(wù)器作為中央控制一級服務(wù)器，實(shí)現對網(wǎng)絡(luò )中所有計算機的保護和監控，并使用其中有效的管理功能，如:管理員可以向客產(chǎn)端發(fā)送病毒警報、強制對遠程客戶(hù)端進(jìn)行病毒掃描、鎖定遠程客產(chǎn)端等。正常情況下，一級服務(wù)器病毒代碼庫升級后半分鐘內，客戶(hù)端的病毒代碼庫也進(jìn)行了同步更新。

【企業(yè)信息安全管理體系構建的要點(diǎn)與策略論文】相關(guān)文章：

論文：企業(yè)薪酬管理策略要點(diǎn)12-09

民航空管網(wǎng)絡(luò )與信息安全管理體系的構建論文11-14

企業(yè)信息安全管理的論文11-05

構建班級民主管理體系教育論文11-15

企業(yè)信用管理體系中工商管理構建策略03-26

企業(yè)信息數據安全的研究論文11-16

高中物理解題方法的策略構建的論文11-20

電力企業(yè)信息安全管理體系分析研究12-01

高校內部審計信息化管理體系構建論文11-15

鋼結構建筑的防腐除銹及防火策略論文10-31