企业信息安全管理问题分析
2021-03-27
(中国核能电力股份有限公司,北京 100097)
一、信息安全管理概述
从客观角度来看,信息是企业的一种资本,需要得到充分保护。信息安全主要是指保护信息以及信息系统免受未得到授权的访问、应用、披露、更改以及破坏。信息安全的核心任务在于通过相关技术以及管理措施,防止信息资产受到威胁,尽最大可能降低信息安全风险。信息安全管理本质上是一种保护信息机密性的方法,其主要目标在于保障信息安全、信息系统集成度以及优化数据管理[1]。信息安全管理是企业信息安全系统重要的构成部分信息安全管理涉及面较广,主要包括信息安全策略制定、风险识别、合理设置控制目标、构建标准化操作流程以及信息安全培训等。通过上述一系列举措,逐渐形成一个完整的信息安全保障体系,以降低信息风险,为延续企业稳定发展状态奠定良好基础。
二、企业信息安全管理常见问题
在信息化时代下,企业信息安全管理愈来愈受到重视,很多企业在信息安全管理也加大了投入力度,获得了一定程度,但在部分环节上依然暴露了一定问题,主要体现为以下几个方面。第一,管理机制不够完善。科学健全的信息安全管理机制是企业落实信息安全管理工作的基本保障,但部分企业,特别是中小企业在相关管理机制方面存在一定缺陷。一些企业在发展过程中会注重短期经济效益,而忽视长远战略发展目标,在信息安全管理机制上不能及时更新内容,细节有所缺失。例如,在员工信息安全意识培养、计算机操作、软件管理等方面,并未作出详细规定,再加上软硬件设施管理不到位,容易出现信息安全缺陷,为非法网络入侵提供漏洞[2]。第二,技术相对落后。一些企业在信息安全管理过程中主要依托传统防火墙、杀毒软件以及简单的加密技术来构建防御体系。然而随着网络技术的快速发展,黑客、木马病毒等也在不断升级,传统技术形成的单一安全防御结构可能无法应对新型非法侵入,容易出现安全漏洞,信息安全形势愈来愈严峻,相关风险愈来愈大。第三,专业人才相对匮乏。部分企业在信息安全管理方面缺乏专业复合型人才支持,导致相关工作“捉襟见肘”。部分信息技术专业人员虽然具备一定程度的信息技术知识储备,但在管理能力方面存在不足;有些管理人员虽然具备较为丰富的管理经验,但在信息技术能力方面有所欠缺。事实上,企业信息安全人员不仅需要在纵向上对信息技术领域具有精深的理解,而且横向上需要对信息系统的整体逻辑乃至企业业务逻辑要有深刻认知,这样才能将信息安全管理与企业整体运营充分关联起来。目前来看,部分企业在专业复合型人才储备方面有所不足,必然会影响信息安全管理实际效能。
三、优化企业信息安全管理的相关策略
1.优化信息安全管理制度
企业在信息安全管理工作开展过程中要推陈出,紧跟时代步伐,除了应用传统技术外,要从源头上对相关信息数据进行保护。企业要重视信息安全监督,构建信息通道快速响应机制、信息应急备份机制以及访问控制信息安全管理机制,实现信息安全立体化管理。在部分重要安全信息方面,要尽可能控制相关人员接触范围,设置级别权限,避免过多人员接触或掌握企业关键信息或核心信息。企业高层要善于利用大数据技术,加强顶层设计,并完善信息安全管理制度内容细节,逐渐形成一个完整的信息安全生态体系。同时,企业要建立有效的责任机制,从管理层逐级向下至普通员工,明确各岗位在信息安全管理方面的责任,做到“责任到人”。一旦出现信息安全管理问题,严格追责,并要求及时整改,不断提升信息安全管理质量[3]。在电子文件安全存储管理方面,要求重要文件或工作资料不得保存在C盘(系统盘),并定期做好备份工作,防止意外丢失;不得进行与工作无关的下载以及游戏行为;所有拷贝至公共计算机上资料,使用完毕后必须删除;各部门安排专人对存在于企业服务器的信息数据进行审核以及安全管理;所有涉密文件或信息,相关人员需要进行有效加密并妥善保管,防止信息外泄。
2.加大基础设施、技术投入力度
企业要及时更新信息安全管理技术,除了完善防火墙、杀毒软件等传统技术外,还要应用复杂加密技术,并将大数据技术融入信息安全管理当中,实现信息安全全方位管理。与此同时,企业要及时更新陈旧设备,加大相关设施、技术投入力度,设置专项资金,从硬件出发,构筑信息安全体系。对于中小企业而言,可与外部第三方专业机构合作,在专业机构协助下对企业内部数据库、信息安全架构进行优化,及时更新技术,不断提升信息安全防御能力。
3.加强专业人才引入及培训
一方面,企业要提高信息安全管理重视程度,从外部引入部分专业复合型人才,对现有信息安全管理人才队伍进行适当补充。另一方面,企业要重视信息安全人才队伍建设,建立一个健全的培训体系。对于信息安全人才而言,可定期聘请外部专家或对其进行针对性指导,或采取外派方式,不断提升其专业业务能力以及岗位胜任力,确保信息安全管理工作落实到位。对于其他岗位员工也要开展信息安全培训,使其树立信息安全意识,让每一位员工有意识地做好本职工作,规范信息操作,避免出现意外信息安全问题,形成良好的信息安全管理氛围。
结语
对于企业而言,信息安全管理是日常管理工作的重要环节之一。为进一步提升信息安全管理效能,企业需要优化信息安全管理制度,加大基础设施、技术投入力度,并加强专业人才引入及培训,构建出一个相对健全的信息安全管理体系,为企业持续稳定发展奠定良好基础。
