突破信息安全潛規(guī)則

申請免費試用、咨詢電話：400-8352-114

【泛普軟件時代，泛普軟件辦公系統(tǒng)，泛普軟件OA，OA辦公系統(tǒng)獨家】在解決信息安全的道路上，管理是根本，技術(shù)是保障。只有從管理、制度、技術(shù)等多方面保障信息安全，才能充分發(fā)揮企業(yè)信息資產(chǎn)的最大價值。

信息化在一定程度上是企業(yè)信息由過去的傳統(tǒng)紙介質(zhì)走向電子化的過程，從而方便于企業(yè)信息共享、統(tǒng)計分析，最終成為企業(yè)運營管理決策的依據(jù)。信息安全就是在保障企業(yè)信息秘密的前提下，讓信息發(fā)揮出最大化的效益。為此，要在信息安全和信息效益兩者中找到平衡點。

理性對待信息安全

在企業(yè)的實際運營過程中，對待信息安全有兩種現(xiàn)象：一是高層管理者談安全色變，認為信息一旦電子化后，信息的安全性得不到保障。這已經(jīng)成為阻礙信息化實施的一個“潛規(guī)則”；二是IT人員簡單地認為，信息安全就是技術(shù)層次的問題，可以通過技術(shù)手段（例如防火墻、入侵檢測等）解決，偏重于考慮網(wǎng)絡(luò)安全，而沒有真正領(lǐng)會到領(lǐng)導(dǎo)的痛處。

筆者認為，在對待信息安全方面，有以下幾點需要明確：

1． 持續(xù)性：要求我們關(guān)注技術(shù)的發(fā)展，關(guān)注傳統(tǒng)信息安全與非傳統(tǒng)信息安全的演變；

2． 全面性：企業(yè)信息涵蓋企業(yè)經(jīng)營的方方面面，如產(chǎn)品配方、制造流程、生產(chǎn)工藝等，要關(guān)注信息流動的各個環(huán)節(jié)；

3． 復(fù)雜性：持續(xù)性、全面性的特點也恰恰決定了信息安全的復(fù)雜性。運用社會工程學(xué)，從技術(shù)體系的運用到改進管理體制的不足，可以徹底解決信息安全的被動局面；

4． 戰(zhàn)略性：管理者對信息安全的認識與理解是解決信息安全問題的根本動力，對企業(yè)信息安全的實施要上升到企業(yè)競爭情報與企業(yè)商業(yè)秘密保護的高度。

在解決信息安全的道路上，管理是根本，技術(shù)是保障。企業(yè)應(yīng)該從管理與技術(shù)兩個層面來考慮信息安全問題。首先，應(yīng)該從管理的戰(zhàn)略高度上重視信息安全，把信息安全提高到企業(yè)商業(yè)秘密保護的高度上，例如在企業(yè)審計過程中進行信息安全的審計。在國際注冊內(nèi)部審計師認證考試中，信息系統(tǒng)的安全審計就是重要的一部分，包括對系統(tǒng)資源的管理和信息資源分級分類管理、信息系統(tǒng)賬戶的管理、安全事件的管理等。

其次，在技術(shù)層面，要利用相應(yīng)的安全技術(shù)解決信息安全問題，這樣才能讓信息安全落地，如防火墻、入侵檢測、傳輸安全、數(shù)據(jù)庫安全、內(nèi)部用戶的上網(wǎng)行為管理等，并且需要動態(tài)地跟蹤技術(shù)的進步。但技術(shù)不是目的，圍繞業(yè)務(wù)保障應(yīng)用安全，再進一步促進應(yīng)用的拓展才是目的。

構(gòu)建企業(yè)信息安全管理體系

在充分認識管理與技術(shù)關(guān)系的基礎(chǔ)上，就需要從制度、流程、人三個方面構(gòu)建企業(yè)信息安全管理體系。

1． 加強信息安全意識的培訓(xùn)，首先是企業(yè)領(lǐng)導(dǎo)要認識到信息安全的重要性，還要對技術(shù)人員加強培訓(xùn)，統(tǒng)一認識。

2． 配合著商業(yè)秘密保護，成立相應(yīng)的專業(yè)機構(gòu)，納入公司整體的商業(yè)秘密保護工作中，同集團的管理機構(gòu)相結(jié)合。

3． 在具體工作上明確信息安全等級，根據(jù)各個應(yīng)用系統(tǒng)的不同特點來定位需要哪種安全服務(wù)種類。并不是所有信息都要嚴格地實時傳輸，比如郵箱的信息在傳輸過程中可以有幾個小時的中斷，這就不一定都要采用最高安全級別，這樣劃分等級的話也可以降低企業(yè)在信息安全上的投資。

4． 制定信息安全的管理制度。比如在為用戶分配賬戶、密碼的同時，可以再加上令牌、鑰匙盤、key等硬件方面的認證手段，甚至配合級別更高的虛擬認證。另外，要制定健全的信息安全管理制度，為用戶設(shè)置不同的權(quán)限，用戶的賬戶密碼必須在使用一定時間后進行修改。

5． 在前面的基礎(chǔ)上做好人員和技術(shù)上的預(yù)防措施。人員是實施信息安全的操作者，對人員的預(yù)防措施更要考慮周到；同時，還不能完全信賴技術(shù)，在采用一些技術(shù)手段的同時，還要做好最壞的打算，防患于未然。

由于缺乏專業(yè)的信息安全知識，企業(yè)的管理者與信息化部門不了解信息安全的威脅在哪里，所以就產(chǎn)生了信息安全風險評估的潛在需求，風險評估的必要性已經(jīng)具備。對于信息安全風險評估的可行性，還需要在國家政策、行業(yè)標準、關(guān)鍵技術(shù)以及秘密保護（商業(yè)誠信）等方面進行推動。

企業(yè)信息安全管理體制的建立歸根結(jié)底是要根據(jù)企業(yè)的應(yīng)用需求，企業(yè)財務(wù)、銷售、生產(chǎn)等不同流程的不同要求才是信息安全體制建立的最根本動力和目的。

督導(dǎo)落實信息安全

信息安全工作是企業(yè)商業(yè)秘密保護的重要組成部分，是一個涉及每個公司、每個部門甚至每個員工的系統(tǒng)工程。企業(yè)在制定完備的制度時，應(yīng)加強對企業(yè)信息安全的督導(dǎo)和落實，根據(jù)企業(yè)各部門職責將專業(yè)指導(dǎo)分工與監(jiān)督落實相結(jié)合。

根據(jù)各公司、各部門的職責分工為企業(yè)落實信息安全保護措施提供專業(yè)性指導(dǎo)，形成完整的商業(yè)秘密保護體系；與商業(yè)秘密保護相關(guān)的專業(yè)機構(gòu)要加強監(jiān)督檢查，及時發(fā)現(xiàn)和分析企業(yè)商業(yè)秘密保護工作中出現(xiàn)的問題，對信息安全工作進行補充完善，并總結(jié)、推廣先進的做法和成功的經(jīng)驗，努力探索企業(yè)商業(yè)秘密保護的有效途徑。

審計部門要把信息安全工作（商業(yè)秘密保護工作）審計作為日常審計工作的內(nèi)容之一，形成正式的審計報告，提交公司決策層、管理層，促進信息安全工作。