企業信息安全形勢
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇企業信息安全形勢范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
企業信息安全形勢范文第1篇
關鍵詞:新形勢;石化企業;安全管理
近年來隨著國際局勢的不斷惡化,國際油價也產生了劇烈的變化,這對我國石油化工企業的正常經營與發展帶來了很不利的影響。在市場經濟下,我國的石油化工企業以利益的最大化為指導思想,這就對石油化工企業的安全管理提出了更高層次的要求。為了石油化工企業在新形勢下正常生產的展開,石油化工企業必須防范于未然,采取新的手段保證石油化工企業在安全生產中獲得更多的經濟效益。
1新形勢下石化企業安全管理的指導思想
在我國國內石油化工企業生產中,安全是居于一切之上的頭等大事,為了在新形勢下進一步推進我國石油化工企業安全化程度的提高,我國石油化工企業應以過去的成熟理論與成功經驗為基礎,參考國際上較為成熟的安全生產標準,用以促進我國石油化工企業安全化程度的提高。在這個過程中,石油化工企業需要提出符合國際慣例、標準運作,符合中國國情并以創造最大化生產效益為目標的相關石油化工企業安全管理的指導思想,只有這樣才能保證新形勢下石油化工企業的安全管理及正常發展的有序開展,促進我國石油化工相關行業的再次進步。在石油化工企業加強自身安全管理的過程中,要正確處理好實際國情與國際慣例之間的矛盾,不能在安全管理的加強中全盤西化,認為國際上規定的就是符合中國的。石油化工企業在安全管理的加強中需要明確我國實際國情,盡可能在國家可以接受的范圍內與世界接軌,提高我國石油化工行業的國際化程度。
2新形勢下石化企業安全管理的具體措施
2.1建立安全生產風險評估與控制相關組織想要在新形勢下提升我國石油化工企業的安全管理,這份工作不是一兩個人拍拍腦子就能解決的,而是必須由一支專業的安全生產風險評估與控制的團隊進行全面的研究、系統的協作。如果石油化工企業只靠幾個人就妄想提高石油化工的安全管理程度,很容易出現風險辨識不全不準、評估結果不符合實際、風險控制措施使用不當等情況的發生,對我國石油化工安全化程度的提高將帶來很不利的影響。我國的三家石油公司:“中石油、中石化、中國海洋石油”在安全管理方面存在很大的共性,雖然它們之間既有合作也有競爭,但事關國家石油安全生產方面的重大問題,國家有必要派出相關部門的專業人員督促三大石油企業共同組織石油化工安全管理風險評估與控制的相關組織,各個石油公司在組織中分享彼此的安全管理經驗,共同商討石油市場中的相關安全對策,通過取長補短,各個石油公司能夠在不斷交流中提高自身石油化工生產中的安全化程度,這些在不創建三大石油企業聯合的相關組織前是很難做到的。
2.2建立一支專業化高素質的安全管理隊伍想要提高石油化工企業的安全管理程度,保證石油化工企業各安全工作的落實到位,就必須擁有一支高素質的安全管理團隊。在對自身安全管理程度的提高中,石油化工企業必須轉變自身的傳統觀念,運用先進的國際石油生產安全理論與成果進行自身企業的安全管理創新。在這個過程中,一些文化水平較低、缺乏相關安全生產觀念的管理人員很難適應企業安全化程度的提升,這就需要企業對相關員工進行安全教育培訓,將對相關員工安全素質的培養放在企業運營的重點環節,只有通過安全教育,培訓出高素質的安全管理團隊,才能從根本上提高石油化工企業的安全管理水平。
2.3對員工進行更全面專業的員工安全培訓只有讓企業中每一名員工清楚認識到我國石油化工企業遭受的國際、國內形勢沖擊,認清當前新形勢下石油化工企業面臨的機遇和挑戰,才能從根本上提高員工的危機意識,并以此提高我國石油化工企業的安全管理程度。石油化工企業在培養員工危機意識中,可以采取印發相關資料、召開專題講座、外出培訓等多種形式,將國內新形勢下國家倡導的法制觀念、生命價值觀念灌輸到每一名員工的腦海中,將國際中流行的HSE體系的理念和方法落實到實處,以此杜絕石油化工企業生產中重大惡性事故的發生。
2.4堅持走可持續發展的社會主義發展道路石油化工企業在自身發展中,必須走在國家規定的可持續發展的道路上,實現石油化工企業創造的經濟效益與社會效益相協調、相均衡的發展,并在發展中注重資源配置與投入產出之間的最大效益,以質量為長遠發展的重點關注對象。石油化工企業在具體生產中,不可以只追求生產速度,而忽視了對生產安全的相關要求,石油化工企業應該加大對企業生產中的安全、衛生等設施的資金投入力度,雖然這會造成企業生產成品的增加,但從長遠角度考慮,相關建設能夠大大降低石油化工企業生產中出現重大惡性事故的幾率,使員工工作的安全性大大提高,員工工作安全有了保障,自然就會提升其勞動效率,石油化工企業也能因此得到進一步發展。
3結語
在新形勢下,國家對石油化工企業的安全管理提出了新的要求,石油化工企業必須通過對自身安全化程度的全面提升,才能適應如今國際、國內市場競爭的加劇,促進我國石油化工行業的可持續發展。
參考文獻:
[1]高貢林.新形勢下石油化工企業安全管理新舉措[J].石油天然氣學報,2009,04:412~414.
[2]常云海.石油化工企業安全文化建設體系構建與應用研究[D].首都經濟貿易大學,2014.
企業信息安全形勢范文第2篇
【關鍵詞】 新形勢;電力企業;安全保衛;對策
近些年來,為了加快我國社會主義經濟建設的順利進行,并且保證我國的國民經濟的又好又快的發展,國家加大了對電力發展的投資,讓電力設備遍布城鄉,給人民帶來真正的實惠。當然這些政策的落實,也就讓電力企業不得不面對新的形勢。由于電網系統規模的不斷擴大以及范圍的不斷廣闊,也就讓電力企業的管理更加的復雜。特別是對于電力設備以及電力系統的安全保衛也就提出了更高的要求。
一、新形勢下電力企業安全保衛工作面臨的問題
隨著改革的不斷推進以及國家對電力企業資金的不斷投入,電力企業也面臨著一個新的政策形勢以及社會形勢。在新的形勢下雖然電力企業得到了長足的發展,但是也不可避免的出現了一些安全保衛工作方面的問題。
(一)電力企業安全保衛工作體制存在問題:在電力企業中,雖然已經確立了市場經濟體系,但是由于長期受到計劃經濟模式的影響,在企業的安全保衛工作中還是存在著一些問題。總體來講,我國的電力企業在安全保衛工作中還沒有形成一個相對獨立、完整并且充分的體系,并且安全保衛工作所要參照的制度也由于企業管理的局限性存在著一定的問題,電力企業安全保衛部門還與地方的公檢法等部門在具體的保衛工作實施并未完全的協調統一。
(二)電力設備設施偷竊以及損害問題嚴重:在近些年來國際鋼鐵市場以及有色金屬市場異常活躍,價格也在不斷的上漲。并且我國廢舊物品的收購市場又還處于一個不規范的階段,這就導致有些人在利益的驅動之下去向我國的電力設備以及一些電力設施下手。對一些電力的塔材以及電線、變壓器等設備進行拆割偷竊,從而造成了我國電力企業資源的損失以及電力企業正常供電的難以運行。
(三)竊電現象以及違法輸電現象存在:電力是一種特殊的商品,對于國民生產以及建設來說異常重要。但是有的企業為了降低生產的成本進行集體竊電、合伙竊電等,嚴重的損害了電力企業的正常運行,也在一定的程度上對國家的資源造成了損害。
二、加強電力企業安全保衛工作的必要性
在電力企業中安全保衛方面存在的問題,導致電力企業利益的損失,并且也在一定程度上造成了電力企業不能夠正常進行供電。所以說,加強電力企業安全保衛工作對于國民經濟的發展以及供電的可靠性等都有著重要的意義。
(一)有助于電力企業的持續發展:強化電力企業的電力保衛工作,是電力改革以及發展的必然要求,也是電力企業持續發展的重要保障。因為電力企業是國家的支柱產業,如果電力企業發生問題,那么就會影響到經濟的正常運行以及國家建設的順利實施。所以加強對電力企業的安全保衛工作,是電力企業持續發展的關鍵,也是電力行業改革與發展的要求,更是保障國民經濟正常運行,國家建設順利實施的重要保障。
(二)有助于維護國家安全以及人民利益:電力是一種特殊的商品,做好其安全防衛工作是維護國家安全以及人民利益的根本需要。因為電力始終與國家的安全和利益聯系在一起,也在一定的程度上與社會的穩定以及人民群眾的切身利益相關。所以加強電力企業的安全保衛工作,是國家安全的需要,也是維護國家以及人民群眾的利益的需要,具有著深刻的現實以及社會意義。
(三)有助于經濟的健康穩定發展:電力企業的正常運行與經濟發展有著密切的關系。因為我們處于現代化的社會之中,不管是生產還是工作、生活都離不開電力。如果電力系統遭到破壞,或者是電力企業的安全受到威脅,同樣的我們的工作以及生活都會受到威脅,都會出現不穩定。所以加強對電力企業安全保衛工作的進行,是我國經濟建設的需要,是經濟健康穩定運行的需要。
三、新形勢下電力企業安全保衛工作的對策
電力企業安全保衛工作關乎到國家經濟建設正常運行以及人民生活的安全穩定。所以作為電力企業的領導部門,應該加大對安全保衛工作的重視,制定可行性的安全保衛措施來保障自身的正常安全運行。具體來說,保障措施表現在下面的幾個方面:
(一)完善電力企業安全保衛規章制度:任何一項保障工作的順利進行都離不開規章制度作為保障。在電力企業的安全保衛工作中葉是如此。電力企業應該根據自身的特點,制定更為詳細細致并且能夠涉及到企業全部的保衛業務的有針對性的管理制度。在制度中明確的規定各個工作人員所承擔的保衛責任以及需要進行的工作。
(二)加強電力設備以及設施的保護:針對電力企業中對電力設備以及設施的失竊損壞現象,電力企業應該加強安全防范,并且做好對各種違法犯罪活動的打擊,及時的排除那些干擾電力企業正常生產運行的外部因素,采取積極的保護措施。在具體的操作中,可以加大對電力有關法規等方面的宣傳,讓電力保護深入人心,深入到員工的實際行動之中。
(三)加強管理杜絕竊電以及違法輸電現象的發生:在企業內部要加大竊電工作的力度,加強管理,規范供電的秩序,并且要積極的配合公安等法務工作人員對于竊電等違法行為的打擊以及整治行動,將電力偷竊的實際情況告知執法人員,讓其掌握更多的材料來進行案件的偵破,從而打擊那些竊電以及違法輸電的犯罪行為。并且對于那些比較偏遠的地區進行供電,企業要制定基層的站所,進行定人定位的進行電力設施的巡查以及對供電情況的掌控,從而杜絕竊電及違法輸電現象的發生。
(四)提高安全保衛人員的專業素養落實保衛工作:加強電力企業的安全保衛工作還需要提高安全保衛人員的專業素養,落實其保衛工作。因為在電力的保衛系統中,整個操作過程是由電力系統的專業保衛人員來進行的,所以加強對保衛人員的安全知識以及安全技能的培訓,提升他們的職業素養是加強電力企業安全保衛工作效率的關鍵。在電力企業中,要落實責任制,對于那些犯有嚴重錯誤的員工以及管理者要追究其職責,從而保證整個電力保衛工作的透明化以及科學性。
四、結束語
在電力企業中安全保衛工作的順利進行是電力企業持續健康發展的關鍵,也是國民經濟正常運行以及人民群眾利益得到有效維護的關鍵。所以在電力企業中,作為管理者應該加強對安全保衛工作的管理,制定好切實可行的安全保衛措施,促進保衛工作水平的提高,從而讓電力企業能夠在安全有效的環境中正常運行,為國民經濟穩步發展提供有力的電力保障。
參考文獻
[1]宋英杰,加強電力企業保衛工作的思考[J],中小企業管理與科技,2011
企業信息安全形勢范文第3篇
關鍵詞:信息安全;影響因素;管理措施
中圖分類號:TP393.08
信息技術的飛速發展在給社會經濟帶來巨大便利性的同時,也帶來了巨大的風險,信息的安全已成為國際社會經濟發展亟待解決的問題。現代企業在日常業務運營、行政管理、檔案管理、數據交換等方面都離不開信息網絡技術,然而,部分企業對自身信息安全的不重視以及在管理機制上的欠缺,致使社會重大信息安全事故頻發,給社會與企業帶來了不可估量的損失及危害。當然,企業的信息安全是一項艱巨的工作,它涉及到企業組織結構的各個方面,是一項系統的工程,無論是網絡技術還是管理組織體系,或者企業信息硬件設備,都會影響到企業信息的安全,要保障企業信息的安全,就必須從信息技術安全以及信息管理制度兩大方面入手,不斷完善信息保密措施,如此,方可有效控制企業信息泄露。
1 企業信息安全風險的現狀
企業在信息化建設的過程中,對信息安全的理解與重視并不相同,部分企業的對自身信息安全的防護級別較低,難以有效抵御外部信息竊取以及內部泄密。當前,我國企業在信息安全建設中主要存在如下三個問題:
1.1 企業信息安全管理機制不健全。信息安全是一個全新的領域,在過去,企業管理者對于自身信息的安全并沒有高度重視,而在現代社會中,企業之間的競爭越來越激烈,任何有價值的信息泄露都可能會造成企業的重大損失,甚至破產倒閉,這也使得企業管理者不得不重視信息安全問題。然而,在社會法律法規、技術監管、安全標準等方面還存在諸多的不完善之處,同時,由于企業信息管理是一個不斷發展的動態過程,企業的網絡安全軟硬件技術、管理人員的保密意識以及對商業間諜的防范措施等都會影響到企業的信息安全。從總體上來講,信息安全管理機制的缺失是企業信息安全面臨的最大問題。
1.2 企業信息安全技術不足。信息安全是當前社會共同面臨的重大問題,企業的信息系統構建離不開計算機系統以及網絡系統的支持,而通過網絡傳播的數據將面臨極大的技術風險。現代信息安全技術是以密碼技術、病毒技術、數據恢復技術、操作系統維護技術、數據庫技術以及網絡技術等所組成的系統技術。而由于企業對相關技術的認識和技術管理人才培養的局限性,導致在計算機信息應用過程中難免會出現一些漏洞缺陷。另外,在面對外部信息竊取攻擊行為時,部分安全技術管理人員防范能力較弱,不能從根本上抵御黑客的攻擊,這就導致企業的信息安全完面臨嚴重的泄密危險。
1.3 企業員工缺乏安全管理的責任心和防范意識。企業的信息安全并不只是管理人員的責任,而是全體員工共同的責任,不過在企業信息安全建設過程中,往往忽略了企業員工環節,導致信息安全建設難以達到預期的目的。目前,企業信息安全事件最突出的便是信息泄密,其主要表現為員工的無意泄密、故意泄密以及離職后信息資源的自我利用,可以說,企業內部的信息安全風險遠遠大于外部風險。然而,針對內部信息安全問題,企業卻并無一個全面、系統、有效的保障體系,尤其是在員工責任心建設以及信息安全防范意識建設方面,一直是企業信息安全體系建設的弱點所在。
2 影響企業信息安全的主要因素分析
企業的信息安全一直是現代企業管理中的難點,尤其是通信類企業以及嚴重依賴網絡的電子商務類企業,其在信息安全環節的投入往往最大,但仍然是面臨風險最大的環節。根據美國FBI以及CSI對其國內部分企業的調查顯示,信息安全內部威脅占85%,外部入侵占15%,專利信息被竊取占14%,內部人員的財務欺騙占12%,資料或網絡數據的破壞占11%。由此可見,企業內部信息安全已成為企業信息安全管理的重中之重,其泄密的途徑主要包括互聯網泄密,如電子郵件、即時通訊工具、網頁空間、ftp、病毒黑客攻擊等方式;局域網絡泄密,包括內網與外網的連通、私人電腦與內部電腦的連接等;終端設備的泄密等等。企業信息安全是企業穩定與發展的基礎,但是,企業信息安全形勢卻不容樂觀,在現實中,影響企業信息安全的因素較多,其主要包括如下幾種:
2.1 實體環境安全因素。(1)信息技術承載硬件安全。信息網絡技術的硬件設備是支撐企業信息安全建設的基礎,包括硬盤設備、內存設備、I/O控制器、電源等。(2)機房環境安全。機房是企業信息網絡的管理中樞,其環境的好壞將直接影響企業信息的安全。一般來說,機房管理必須要專人專管,對于出入人員應該有記錄,并且,機房應具有防火、防水、防靜電、防鼠害、防雷擊等設施,還要安裝空調設備,以確保機房運行溫度和濕度的穩定。(3)傳輸線路安全。網絡線路以及電纜線路在傳輸過程中都具有一定的輻射性,其對信息具有一定的干擾,我們在安裝時要采用屏蔽布線或者光纜傳輸,并采取技術手段,阻止線路對信息的干擾,以確保傳輸線路的安全。
2.2 內部環境因素。影響企業信息安全的內部因素主要包括:(1)軟件因素。軟件是企業信息化建設的重要工具,但同時也是信息安全風險較大的環節,它包括系統軟件和應用軟件。系統軟件的是信息系統的運行平臺,其本身就存在漏洞,若系統軟件遭到攻擊,將極可能導致信息的損壞或者泄密。而應用軟件在設計過程中的不周全以及對數據校驗的不完善,都將威脅到企業的信息安全。(2)人為因素。企業內部人的因素是影響信息安全的最大部分,員工對數據的操作或者對相關威脅處理的不合理、不及時都會直接影響信息的可靠性。(3)網絡因素。企業的一切信息交換幾乎都是通過網絡來實現的,包括外部網絡和局域網,而由于網絡故障所導致的信息丟失情況比比皆是,另外,網絡中一些非授權訪問行為也容易造成敏感數據的泄密或者丟失。(4)硬件因素。硬件主要是指存儲設備以及電源、顯示設備、網絡設備等,其中儲存硬件設備對企業信息安全影響最大,我們在硬件儲存設備的管理中要注重防霉變、防輻射、防雷擊等等,及時做好數據備份和數據恢復。
2.3 外部環境因素。現代企業信息安全不僅面臨著內部安全風險,還遭受著嚴重的外部隱患,其主要包括病毒風險、黑客攻擊風險以及意外事故,如火災、爆炸、水災等,其對企業的信息安全影響甚大。
3 加強企業信息安全防范的措施
面對著如此眾多的信息安全隱患,企業的信息安全管理形勢十分嚴峻,要想真正做好信息的安全管理,保障信息安全,那么企業必須系統地進行改革,從根本上阻止信息的泄漏。
3.1 建立健全信息安全管理制度。企業必須根據內部信息的安全級別,建立一套適合其技術規范的管理標準,尤其注重在人員組織結構以及培訓,要建立完善的信息安全管理制度規范,并嚴格執行。
3.2 采取新型網絡安全技術,及時更新軟硬件系統。企業要對內部計算機及服務器系統進行及時更新換代,尤其是其軟硬件系統,要做好防病毒措施,并及時做好數據備份,加強網絡密碼建設以及入侵檢測技術建設,為信息安全上一把“鎖”。
3.3 加強內部信息的監管,對非授權訪問以及敏感接入進行嚴格的控制。企業必須加強對內部數據的有效監管,在與外界進行數據交換過程中,有必要對敏感數據或者有威脅的行為進行干預、阻止、監控等措施,控制非法接入與攻擊行為。
3.4 定期巡查與評估,不斷改善和調整安全防護策略。企業的信息安全管理是一個動態的過程,我們的信息安全防范也必須做好及時的評估和調整,對計算機硬件設備、機房環境等定期進行巡查,發現并及時解決潛在的安全威脅,并根據最新的信息安全形勢來調整防護策略,未雨綢繆,做好信息安全的預防工作。
參考文獻:
[1]羅慶云,趙巾幗.企業網信息安全的探討[J].網絡安全技術與應用,2005.
[2]姜樺,郭永利.企業信息安全策略研究[J].焦作大學學報,2009.
企業信息安全形勢范文第4篇
關鍵詞:電信企業;信息安全;風險防控;管理體系;建設;研究
一、電信企業信息管理的現狀與作用
(一)電信企業信息管理體系的現狀
隨著社會的發展,無論是個人還是企業,都越來越離不開科學技術。這也導致科技所引發的信息安全管理體系的問題出現。1、針對信息安全管理體系的建設沒有創建出專門的管理機構由于在信息管理方面,企業沒有一個系統的較為權威的管理部門及相關組織,其管理權限分散在建設、運維、系統支撐、市場等部門,在很大程度上致使企業信息管理中的相關法規得不到正常有效的運行。2、未能充分的考慮企業相關管理部門與信息安全管理體系的建設完善由于電信企業的特殊性,在具體的信息安全建設管理中,信息體系建設和信息安全管理的工作不夠協調,使得企業在信息安全管理的相關工作上沒法進行積極主動實施,導致了企業信息安全管理體系建設工作的沒能與相關體系升級換代同步進行。3、企業信息管理建設滯后對于相關部門而言,信息安全管理常常局限于使用比較局部的安全產品進行保障,這樣就容易形成被動的使用相關辦法來應對信息安全的漏洞風險,導致此類方法嚴重缺乏科學性,而且由于使用范圍的局限,從而也不完全能夠抵御安全問題給企業所帶來的運營風險。
(二)企業信息安全管理的作用
信息安全管理體系的建設是對企業來說非常重要,尤其是電信企業,通過信息安全管理體系的建設,不僅有利于提高相關部門的工作人員的信息安全意識,而且還能夠加強對信息安全的管理組織的規范管理,通過充分有效的安全信息維護,能夠幫助企業在信息管理受到嚴重威脅時可以及時消除風險,從而維護國家、企業、廣大用戶的切身利益,確保電信企業在國家信息建安全戰略中的中流砥柱作用。
二、電信企業信息管理建設的有效方法
(一)制定有效的信息管理計劃
在企業管理中,有效的信息安全管理,是企業發展的前提;信息管理建設需要有效的策劃:1、教育培訓在企業管理中,做好教育培訓工作是非常重要的,通過相關培訓,不但能夠提高相關人員的安全信息管理意識,強化相關人員實際操作能力,而且還可以為信息管理體系吸引大量的相關人才。2、制定信息安全管理計劃制定管理的相關計劃是企業發展中的關鍵環節,所以,為了企業的可持續發展,相關部門需要制定信息管理體系建設的標準,擬定相關計劃。
(二)電信企業信息管理建設的范圍
對于一個企業來說,確定信息管理體系的范圍是非常重要的,其需要相關部門人員根據實際情況來進行重點有效的管理,這個管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個別信息安全管理范圍,通過不同的部門可對管理組織進行劃分,并在一定的程度上進行不同力度的管理。就電信企業而言,主要涉及企業信息管理和用戶信息管理,其安全體系建設貫穿在企業運行的全過程。
(三)建立企業信息管理框架
對一個企業而言,企業的信息管理必須建立起一個嚴格的管理模式。具體步驟如下:1、信息安全管理體制的計劃在規劃信息安全管理體系時,首先的一個步驟就是對企業的信息安全管理有一個明確的計劃。這樣一來不僅能夠對后續工作做了一個提前的準備,有利于建立管理機構,而且還能夠對管理的責任做出明確的規定,能夠更好的確立管理目標,評估管理風險。2、企業信息安全管理的實施有了一定的企業信息安全管理體系的計劃,接下來的一個重要步驟就是計劃的實施過程,過程主要有信息安全管理方法應用和相關措施落實等。3、企業信息安全管理體制的檢查這個階段的工作開展要做好充分的準備,因為這一階段是整個計劃的關鍵階段,主要通過審計、自我評估或借助第三方審核等方法來對計劃實施的效果進行審查。
三、結束語
綜上所述,“我國電信運營企業的信息安全風險無處不在,安全形勢日益嚴峻,迫切需要系統、科學、有效的信息安全風險管理體系理論指導管理工作實踐。”通過本文,我們了解到我國電信企業的信息安全管理體系方面的現狀以及信息安全管理的重要性,通過相關部門的共同努力,切實提高信息安全管理水平,維護好國家安全和公共利益安全,為建設信息化強國做出應有的貢獻。
參考文獻:
[1]鄭敏.關于信息安全管理體系建設的研究[J].計算機光盤軟件與應用,2014
[2]曾劍秋,程廣煥,楊萌柯.電信運營企業信息安全風險管理體系研究[J].科技管理研究,2016
企業信息安全形勢范文第5篇
Abstract: With the advent of the information age, information technology plays an increasingly important role in the enterprise, and in the current network environment, a large number of virus frequently attacks the enterprise's information system, and even cause system cannot deal with the attacks. Therefore, the enterprise information security should change passive treatment into active defense, establish risk management framework in the information system, rationally use internal resources, and improve enterprise information system security. In this paper, the framework of enterprise information security risk management is studied, and the requirements, process and implementation of enterprise information security risk management are discussed.
關鍵詞:信息安全;風險管理;框架探究
Key words: information security;risk management;framework research
中圖分類號:F270 文獻標識碼:A 文章編號:1006-4311(2017)18-0053-03
0 引言
在社會不斷發展的同時,信息化技術也獲得了長足的進步,并且已經廣泛地應用到人們的生活與工作中。對于企業單位而言,信息資源是保證正常運營的關鍵因素,企業運營的重要數據、客戶資料以及知識產權等信息都是重要的信息資源,這些資源一旦泄露或丟失,會對企業造成極大的影響。因此,企業必須重視自身信息系統安全風險管理的框架的建設,有效防止來自網絡的惡意攻擊,防止內部重要信息泄露或丟失,保證企業信息安全。
1 企業信息安全實踐的需求分析
在信息時代的大背景下,企業的信息化程度是衡量其發展水平的重要因素。但是,我國的信息安全形勢不容樂觀,大部分企業沒有樹立信息安全風險管理概念,企業的信息安全無法得到良好的保障。信息安全是一項綜合性的工程,不能僅憑企業短期內需要就采取某些措施,無法從根本上提高信息安全水平。想要做好企業信息安全實踐工作,必須事先做好企業對信息安全的需求分析,形成全面的分析報告,并根據報告中的內容采取相應的措施,改善企業信息安全現狀。但是,需求分析的具體過程也不是始終不變的,而是會根據企業的發展與信息技術的進步發生改變的。信息安全風險的獨特性必須在框架中體現出來。信息安全風險源于信息,信息本身具有不斷發生變化的特性,從其以數據的形勢出現開始,直至在各項功能中發揮相關的作用,這個周期內的每個階段都有相的價值。信息安全管理就是要對企業的信息資源進行全面的保護,避免因這些資源受到損失而對企業的運營造成影響。企業信息安全風險管理框架中,必須能夠發現信息資源即將受到的威脅,評估這些威脅會對信息資源造成的后果,以確定應對這些威脅的順序。在制定風險計劃時,需要明確對于風險的應對方式以及合理的控制措施。在風險的監督與改進過程中,需要根據這些風險采取適當的監控手段。總之,在此過程框架每個過程要素的分析中,都必須體現信息安全風險的獨特性。
2 企業信息安全風險的類型及內容
一般來說,在企業運營過程中,信息安全系統通常面臨以下風險因素:
①因線路故障、停電、網絡通信設備損壞等導致網絡突然中斷。
②網站遭到非法攻擊,主頁被惡意篡改或者被非法植入煽動國家分裂或抗拒法律法規、歪曲事實、散布謠言的言論,以及破壞社會穩定、損害公司名譽的不當言論等。
③公司內部網絡服務器或他服務器被非法入侵,相關網絡設置被非法拷貝、修改、刪除,發生泄密事件。
④公司內外網終端混用,被國網公司信息管理部門查處,造成公司信息泄露、丟失事件。
信息系統是企業正常開展生產運營工作的基本前提,信息管理系統一旦出現問題,輕則影響企業內部業務項目的正常進行,重則導致企業蒙受巨大的經濟虧損。因此,針對信息安全風險加強管控對企業來說意義重大。
3 企業信息安全風險管理方案
3.1 建立信息安全風險管理流程
企業信息安全風險管理工作可按照圖1所示流程逐步展開。
3.2 完善信息安全風險管理措施
對信息安全風險的管理可以以階段化的管理模式逐步展開,具體措施如下:
3.2.1 實施準備階段
信息安全風險管理實施的準備階段主要包括管理開端的建立、風險評估以及制定行動方案三個步驟。第一,在管理開端的建立中,首先要獲得企業管理部門與業務部門的支持,并且建立完善的管理質素,明確參與到管理過程中的工作人員的職責;第二,在風險評估步驟中,首先,確定風險評估對象的范圍,其次,確定評估小組的成員,并且制定評估方案;最后,對評估小組成員進行與評估方案有關的培訓。在這些準備工作結束后,評估人員就可以開始通過訪談或調查的形式來確定公司信息資源的具體情況,明確用戶對信息安全的需求。再通過對風險進行識別與分析,發現企業信息系統中存在的風險。第三,在制定行動方案的步驟中,需要完成保護方案的制定以及確定風險處理方式兩部分工作。通常情況下,保護方案就是需要企業長期持續執行,能夠幫助企業保證自身信息安全的方案,但不足以滿足企業在短期內提高信息安全性的需求。因此,企業必須對所有控制措施制定相應的處理方式,在短期內解決企業最需要解決的問題。
3.2.2 部署與執行階段
行動的部署與執行階段主要有計劃的部署與安全培訓兩方面工作組成。第一,行動計劃部署。在這個過程中,安全風險管理計劃中的所有措施都必須被執行,需要對具體行動方案進行必要的理解并執行。首先,要與企業中的員工進行事先溝通,防止在實施中遇到反對或抵觸的情緒。其次,確保被安排到行動計劃的員工能夠把握這些工作的優先級。此外,必須制定行動執行保障制度,為計劃執行準備足夠的資源,以保證計劃順利執行。第二,安全培訓工作的實施。在企業內部,從事安全風險管理工作的員工有時會將普通工作人員視為技術人員,顯然這種想法是有問題的,并不是企業內的所有員工都了解信息安全風險管理。所以,我們必須了解企業中大部分員工知識利用信息系統完成自己的工作任務,信息安全的保護是需要專業的信息安全人員進行的。所以,企業必須組織安全培訓,通過培訓提高員工安全意識,保證他們在信息系統遇到危險時能夠采取一些有效的行動,對系統進行適當的保護。
3.2.3 風險監督檢查階段
在信息安全風險管理團隊中,必須組建風險監督小組,在風險管理的整個過程中對其進行監督與檢查,小組應由小組負責人與檢查人員組成。實施風險監督檢查的目的就是為了掌握企業信息安全的實際狀態,并且收集信息安全環境變更信息,方便對未來的風險進行預測。風險監督小組在獲得這些信息后,必須及時向風險管理團隊反饋,確保他們能夠掌握企業最近的信息安全狀態。
3.2.4 風險改進階段
在這一階段,我們必須做好以下工作:制定詳細的風險改進措施。風險管理團隊需要根據企業的信息安全狀態制定詳細的風險改進措施。通過對監督檢查過程中發現的問題進行分析,可以找出導致問題產生的原因,制定相應的改進措施并限期完成,檢查人員則要負責對具體的實施情況進行檢查。在改進過程中,需要注意的是,改進措施必須獲得最高管理者的批準,特別是關系到整個企業或大多數部門的改進措施。風險監督小組必須隨時跟蹤糾正措施實施情況,驗證改進措施的執行是否符合標準。
3.3 建立企業信息安全風險評估體系,促進信息管理工作不斷優化改進
3.3.1 明_信息安全風險評估流程
企業信息安全風險評估工作可以參照圖2逐步實行。
3.3.2 信息安全風險的計算及處理措施
企業的風險可以通過多種計算方法得到,但通常資產的風險值可以定義為:風險值=f(安全事件發生的可能性,安全事件發生的危害性)=g(資產,威脅,脆弱性,已實施的控制措施)。評估人員根據這樣的函數形式,可以采用一種類似5×5形式的矩陣來計算風險,其中行和列分別代表了安全事件發生的可能性或發生的危害性等級。當然,評估人員為了細化這些風險可以采用維數更多(更細)的矩陣。
4 結論及建議
企業通過信息安全風險管理的實施,能夠確定長時間的安全風險管理計劃,并且可以有效地緩解企業信息系統中的安全風險,提高工作人員對與信息安全風險的認識,建立健康的安全風險管理氛圍,推動企業信息化發展。
另外,建議企業在實施信息風險管理的同時,及時建立信息安全風險預警系統,特別要加強網絡與信息系統安全管理,充分發揮技術支撐、機制保障作用,不斷完善預防與搶險相結合,有效地預防和減少信息系統安全事故的發生,保障信息安全穩定運行。
參考文獻:
[1]王淳萱.大數據環境下國有企業的信息安全探析[J].冶金經濟與管理,2016(02).
