企业信息安全管理体系构建的要点与策略论文
在社会的各个领域,大家或多或少都会接触过论文吧,通过论文写作可以培养我们独立思考和创新的能力。写起论文来就毫无头绪?下面是小编为大家整理的企业信息安全管理体系构建的要点与策略论文,欢迎阅读,希望大家能够喜欢。
摘要:
互联网时代,信息技术全面发展。信息技术的普及方便了企业的信息获取,但也给企业的信息管理带来了巨大的风险。信息共享时代,构建一个安全的信息管理体系,对于企业的发展有着重要的作用。加强企业的信息管理,不仅可以提升企业的竞争力,还可以推动企业的可持续发展。主要对企业信息安全的现状进行分析,并提出企业信息安全管理体系构建的有效策略。
关键词:
企业信息;信息技术;安全管理体系;
引言:
在经济全面发展的趋势下,信息化和工业化不断融合,企业的信息管理已经成为企业经营的重要部分,对于企业的设计研发、生产制造、业务销售等都有着重要的影响。数据时代,企业对于信息的应用越广泛,对信息体系的依赖就越强,企业所面临的信息风险越高。企业在发展的过程中,既要发挥信息化的优势和价值,也要做好信息的管理工作。要构建安全的信息管理体系,仅仅依靠技术是不够的,必须要将技术和管理进行有效的结合,只有这样,才能构建一个完整的安全体系,从而推动企业发展。
1.企业信息安全管理的现状
1.1、信息安全管理体系缺乏总体性的规划和策略
企业对于信息的安全管理,通常都交由IT部门管理,许多管理人员会觉得信息管理就是IT部门的事情。在这个基础上,企业的其他部门对于企业的信息安全建设,很少会关注,这是影响安全体系完整性的重要因素。IT部门的网络技术对于信息的保护有一定效果,但却缺乏管理作用。企业信息涉及到的人员包含各个部门,除了IT部门,许多部门的人员都会接触到企业的信息,IT部门只能从技术上对信息和数据进行保存,但内部的信息保护,IT部门是没有办法完成的,这个环节需要专业的管理人员来规划和管理。安全体系缺乏完整性和总体性的规划,会让企业的信息建设过于零散,也没有办法对信息资源的提供方进行有效的防护。
1.2、企业员工的信息安全意识薄弱,专业性人才缺乏
“重技术、轻管理。”这是所有企业发展中普遍存在的问题,关于企业的信息安全问题,许多管理人员缺乏正确的认识,甚至有管理人员认为信息安全就是杀毒和安装防火墙。这样的认知不仅片面,还会让企业员工的安全意识变得薄弱。企业在发展的过程中,出于经济利益的考虑,都会让系统的管理人员承担管理和系统配置的双重责任,安全系统的设计和审核都是一人完成。要真正完成这两项工作,需要非常专业的信息安全管理人员,但大部分企业的系统管理人员都不是专业人员,所以很难将安全管理的工作进行到位,这会给企业的安全管理造成严重的隐患,也容易让企业信息处于失控的局面。
1.3、信息安全缺乏体系化的管理
要对信息安全进行有效的关系,需要一个完整的体系,但实际管理工作开展的过程中,许多企业的管理方式都是零散和传统的。传统的管理方式是补救,却没有查缺。基本都是管理过程中出了问题,再进行补救,但没有出现问题之前,企业很少会进行预防。这种管理模式已经适应不了现代市场经济的发展了,对于信息安全的管理也不够全面。要对信息安全进行体系化管理,管理工作需要全面。预防、控制、改进、评估等环节缺一不可。
2.企业信息安全管理体系构建的要点
2.1、完善信息安全管理的组织机构
要构建一个完整的管理体系,企业必须对管理的组织机构进行完善,组建一个专门的管理机制。管理工作开展的过程中,要明确各个人员的职责,这样确保分工明确,职责到位。如果组织的机构不明确,安全管理工作开展的过程中,会出现人手不足的情况,对于管理工作的开展,也没有办法进行深入,这会降低管理工作的质量和力度。组织机构不够完善,也会让管理制度缺乏,这样容易造成信息安全事件,所以企业构建管理体系的时候,一定要加强管理机制的完善,如图1所示。
2.2、对物理环境进行有效的管理
安全管理的过程中,环境管理也是工作的重要组成部分。安全管理中的物理环境主要是指机房、设备、消防等,物理环境管理中,支持设备的管理尤为重要,信息技术不断发展的过程中,对于计算机设备的要求也越来越高,所以安全管理工作开展的过程中,一定要加强对设备的管理。对于机房,企业可以根据业务发展的实际情况进行划分和评审,根据设备的系统模块建立相对应的管理制度。机房的消防管理也是安全重点,一定要构建消防系统,系统构建的过程中,要按照规定的消防要求。这个过程中,还要对工作人员进行消防知识的培训,和应急演练。定期检查消防设施安全,对于不符合规定的消防设施,及时更换和维护。对消防秩序进行监督和巡查,支持性的设备一定要建立监控系统,对于设备的资产管理、维护管理、系统应急等,一定要进行有效的管理,物理环境的管理是管理工作的基础,也是开展工作的前提。
2.3、用户和操作管理
对所有设备的运行实施网络监控,要做到这一点,可以启动设备的日志功能。对于重要设备,可以构建集中日志管理服务器,这样可以对日志的审查进行分析。对设备进行定期维护,可以根据设备的重要性制定相对应的备份策略,对于设备的备份数据进行测试,这样可以保障数据的完整性和可用性。设置用户权限,遵循最小授权和权限分割的原则。所有账号开通之后,要对初始口令进行修改采用高级密码策略。对于密码的变更,要建立严格的管理流程,对于影响安全组织和信息处理设施的系统变更,要加以控制,严格规定操作流程,这样可以减少误用系统带来的`风险。
2.4、信息系统的开发、维护和获取管理
信息系统的获取和维护过程,也是安全管理的重要内容,使用安全系统和工具的过程中,要对内部的应用系统和工具提出安全需求,这个过程中,需要在开发需求文件中对安全需求定义。如果软件的开发过程中需要测试数据,一定要对数据进行选择、保护和控制。对于个人信息和敏感信息一定要进行处理,严格控制访问的流程和相关资料。对于非授权的功能一定要进行控住,这样可以减少应用故障。
2.5、业务连续性管理
对安全体系内的系统和设施进行业务连续性管理分析,分析管理体系中可能会面临的风险和故障,对风险进行等级评估。如果是不可接受的风险,可以采取降低风险措施,并构建应急方案。如果系统的运行环境发生了重大变化,要对系统的风险等级进行二次评估,根据应急的系统现状和需求,制定连续性计划。通过模拟测试的方法对计划进行评估和审查,如果系统出现危机,业务连续性管理十分重要,不仅提高了企业风险防范的能力,还降低了业务中断做带来的损失。
3.构建企业信息安全管理的有效策略
3.1、信息安全管理体系模型
现阶段,对于信息安全管理的标准,最具代表性和权威性的是ISO/IEC27000系列标准,信息安全的管理主要建立在风险管理上,采用风险分析的模式,降低风险发生的概率,所以信息安全管理的体系模型可以从以下几分方面入手。首先,计划和实施,对安全体系的计划阶段,主要是用来保证管理体系的构建,而实施是保障体系的内容和范围。其次,检查和改进。这一阶段主要是对信息的安全识别和改进方案的实施。安全管理体系中,检查是一个非常重要的环节,不仅能判断安全管理是否科学,还可以检查其安全措施是否有效。通过改进计划,可以对系统进行完善。
3.2、信息安全管理体系构建的过程
安全管理体系的构建是一个系统的工程,企业要构建一个完整的体系,必须要得到企业领导的许可,只有这样,才能保障安全体系构建的资源支持。但安全体系的运行需要各个部门的参与,所以企业对体系机构要进行重新设置。安全管理不仅仅是IT部门的事情,而是整个企业部门共同参与的管理工作,要构建一个完整的安全管理体系,需要整个企业的工作人员共同参与和协作。企业的信息安全组织机构包含决策层、管理层、执行层。要确保管理体系的正常运行,这三个组织机构必须要发挥各自的作用。决策层通常都是企业信息安全管理的最高管理机构,需要为企业的安全管理提供各类的必要资源。管理层负责的是信息安全的管理和监督、教育和考核。中小型企业以IT部门承担这一职责,但要确保安全管理体系正常运行,需要设立专门的管理部门。执行层是策略和计划落实额的人员,所以执行人员一定要加强自身的专业素质和水平。
3.3、建立管理体系
一个完整体系的建立需要涵盖多个方面,可以从以下几点入手。首先,制定信息安全的方针和策略。关于信息的安全管理,企业在发展的过程中应该制定一个总体的方针。根据企业的发展方向和实际情况,制定对应的策略。其次,对安全管理体系的范围进行定义,任何一个企业的资源都是有限的,所以构建管理体系的时候,对管理范围的定义很重要。要做出准确的定义,可以从组织、人员、技术和设备等方面考虑,这样可以形成完整的管理体系。在体系构建的过程中,风险的评估是不可缺少的一个环节,企业需要对现有的信息框架进行评估,在现有的基础上进行完善和补充,并产生新的评估数据。最后,制定处理计划。对企业所面临的风险,管理体系需要制定专门的处理计划,对于不可控制的风险,可以采取转移和降低的方法进行处理,处理计划实施的过程中,一定要落实相关责任。对信息安全管理体系进行编写的过程中,其内容要符合企业的发展现状,操作方法具有实用性。
4.结语
对于企业信息的管理,没有绝对的安全性可言,企业构建安全管理体系之后,并不代表企业的信息管理就没有了风险,管理体系只是对企业的信息风险进行预防、降低和处理。这样可以减少企业的经济损失,也能保障企业的可持续发展。但企业要落实管理体系,需要对管理体系中出现的问题进行分析、总结和改进,只有这样,才能真正发挥管理体系的作用。
参考文献
[1]戴海斌现代企业信息安全防控策略研究[J]黑龙江科学.2021,12(04):130-131.
[2]吕云.企业信息安全管理问题及对策[J].网络安全技术与应用,2020(04):122-123.
[3]陈晓飞企业信息安全管理体系建设[J]信息与电脑(理论版),2017(03):194-196.
[4]张宏飞.S企业信息安全管理的策略和实施[D].北京交通大学2015.
[5]陈慧勤.企业信息安全风险管理的框架研究[D]-上海:同济大学,2006.
拓展:企业信息安全管理对策
网络管理
一般企业网与互联网物理隔离,因而与互联网相比,其安全性较高,但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题,具体而言:
(1)在IP资源管理方面,采用IPMAC捆绑的技术手段防止用户随意更改IP地址和随意更换交换机上的端口。这分两种情况实现,第一种情况是如果客户机连在支持网管的交换机上的,可以通过网管中心的管理软件,对该交换机远程实施PortSecurity策略,将客户端网卡MAC地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管,则可以通过Web网页调用一个程序,通过该程序把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常使用网络的情况。
(2)在网络流量监测方面,可使用网络监测软件对网络传输数据协议类型进行分类统计,查看数据、视频、语音等各种应用的利用带宽,防止频繁进行大文件的传输,甚至发现病毒的转移及传播方向。
服务器管理
常见应用服务器安装的操作系统多为Windows系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。
服务器安全审核是网管日常工作项目之一,审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等,审核的对象可以是DC、ExchangeServer、SQLServer、IIS等。
在组策略实施时,如果想使用软件限制策略,即哪些客户不能使用哪个软件,则需要把操作系统升级到Windows2003Server。服务器的备份策略包括系统软件备份和数据库备份两部分,系统软件备份拟利用现有的专用备份程序,制定一个合理的备份策略,如每周日晚上做一次完全备份,然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。
客户端管理
对大多数单位的网管来说,客户端的管理都是最头痛的问题,只
有得力的措施才能解决这个问题,这里介绍以下几种方法:
(1)将客户端都加入到域中,这一点很重要,因为只有这样,客户端才能纳入管理员集中管理的范围。
(2)只给用户以普通域用户的身份登录到域,因为普通域用户不属于本地Administrators和PowerUsers组,这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作,应通过本地安全策略,授予他们“关机”和“修改系统时间”等权利。
(3)实现客户端操作系统补丁程序的自动安装。
(4)实现客户端防病毒软件的自动更新。
(5)利用SMS对客户端进行不定期监控,发现不正常情况及时处理。
数据备份与数据加密
由于应用系统的加入,各种数据库日趋增长,如何确保数据在发生故障或灾难性事件情况下不丢失,是当前面临的一个难题。这里介绍四种解决方法:第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低,保存性最强,不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式,两台机器系统相互备份,应用层数据全部放在共享的磁盘阵列柜中,这种方式能解决单机故障或宕机的问题,同时又能防止单个硬盘故障导致的数据丢失,但前期投资较大。第四种方案是采用NAS或SAN来实现各服务器的集中区域存储,实现较高级别的磁盘等硬件故障的数据备份,但是成本较高,一般不能防止系统层的故障,如感染病毒或系统崩溃。
考虑到网络上非认证用户可能试图旁路系统的情况,如物理地“取走”数据库,在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密,即以加密格式存储和传输敏感数据。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
病毒防治
对防病毒软件的要求是:能支持多种平台,至少是在Windows系列操作系统上都能运行;能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。在实施过程中,本单位以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如:管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。
【企业信息安全管理体系构建的要点与策略论文】相关文章:
企业信息安全构建分析09-08
民航空管网络与信息安全管理体系的构建论文07-31
构建内科护理临床管理体系的论文07-04
选煤厂机电设备安全管理体系的构建论文07-13
探究企业全面预算管理体系构建的论文10-13
国际财务管理体系构建的设想论文08-11
浅谈企业税务风险管理体系构建论文06-17
企业信息安全管理的论文07-02