導(dǎo)語：企業(yè)信息安全管理現(xiàn)狀與策略一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著互聯(lián)網(wǎng)、移動(dòng)應(yīng)用等信息化管理技術(shù)的發(fā)展與普及，企業(yè)面臨的信息安全問題也日趨嚴(yán)峻，信息安全風(fēng)險(xiǎn)已滲透到企業(yè)經(jīng)營管理的各個(gè)方面。通過對企業(yè)信息安全現(xiàn)狀的分析，結(jié)合ISO27001信息安全管理體系模型，提出運(yùn)用“技術(shù)+管理”的方法去解決企業(yè)所面臨的信息安全問題，旨在為企業(yè)的信息安全管理提供幫助和指導(dǎo)。

關(guān)鍵詞：信息安全；ISO27001；信息安全管理體系；管理

1企業(yè)信息安全管理現(xiàn)狀

1.1信息安全技術(shù)問題

信息安全包括應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、安全審計(jì)和安全管理等六個(gè)方面。因技術(shù)發(fā)展和資金投入的局限性，在企業(yè)信息系統(tǒng)設(shè)計(jì)開發(fā)過程中難免存在缺陷與漏洞，從而造成企業(yè)的信息安全隱患。此外，企業(yè)未成立專業(yè)部門、團(tuán)隊(duì)去開發(fā)、維護(hù)、更新企業(yè)信息系統(tǒng)，部分企業(yè)甚至無專業(yè)IT安全管理人員等，都會(huì)導(dǎo)致信息安全事件頻發(fā)問題。

1.2信息安全管理問題

1.2.1缺乏統(tǒng)籌規(guī)劃企業(yè)未根據(jù)自身的需求制定長遠(yuǎn)的信息安全管理規(guī)劃。公司領(lǐng)導(dǎo)對信息安全規(guī)劃參與度有限或受專業(yè)能力的限制，不能有效提出指導(dǎo)意見與發(fā)展方向。如安全目標(biāo)不清晰、管理職責(zé)不明確、重要信息資產(chǎn)未管控等問題，都會(huì)引發(fā)企業(yè)的信息安全危機(jī)。1.2.2缺少信息安全管理制度在國家層面，因信息安全屬于較新領(lǐng)域，政府已發(fā)布的信息安全法律法規(guī)并不完善，處罰力度與管制范圍不能滿足當(dāng)前企業(yè)安全要求。在企業(yè)層面，多數(shù)企業(yè)尚未制定適宜本企業(yè)的信息安全管理制度，導(dǎo)致企業(yè)對信息安全管控薄弱，容易出現(xiàn)不安全事件。1.2.3員工安全意識(shí)薄弱員工不知曉自身在工作中所承擔(dān)的信息安全職責(zé)，普遍認(rèn)為信息安全是IT部門或系統(tǒng)管理員的事，不清楚企業(yè)的信息安全還包含人員信息、存儲(chǔ)介質(zhì)、應(yīng)用系統(tǒng)、文件等多方面。據(jù)統(tǒng)計(jì)，多數(shù)企業(yè)出現(xiàn)信息安全問題的主要原因并不來自外界攻擊，而是企業(yè)內(nèi)部員工有意或無意間的信息泄漏。員工安全意識(shí)的薄弱，也是企業(yè)信息安全受到威脅的主要原因。1.2.4缺乏安全風(fēng)險(xiǎn)防控能力在現(xiàn)實(shí)中，部分企業(yè)在經(jīng)營管理過程中缺乏安全風(fēng)險(xiǎn)防控意識(shí)，未建立“事故、事件”應(yīng)急處置方案。對重要信息系統(tǒng)和資料未制定備份策略與恢復(fù)措施。一旦出現(xiàn)信息安全事件，只能被動(dòng)接受或補(bǔ)救。不能做到“事前預(yù)防、事中控制、事后改進(jìn)”的風(fēng)險(xiǎn)防控管理，嚴(yán)重影響了企業(yè)業(yè)務(wù)運(yùn)行的連續(xù)性與可靠性。

2企業(yè)信息安全問題的應(yīng)對策略

2.1加強(qiáng)基礎(chǔ)設(shè)施建設(shè)，采用先進(jìn)的安全技術(shù)手段

為保障企業(yè)的信息安全建設(shè)，最基本的條件是要提高企業(yè)安全技術(shù)能力與基礎(chǔ)設(shè)施建設(shè)。企業(yè)應(yīng)增加安全投入，購置性能較高的安全設(shè)備，采用先進(jìn)信息安全技術(shù)手段來防止安全漏洞的產(chǎn)生。從技術(shù)角度，企業(yè)可從信息安全的三個(gè)主要領(lǐng)域“驗(yàn)證與授權(quán)、預(yù)防與防范、檢測與響應(yīng)”來開展工作。驗(yàn)證與授權(quán)，“驗(yàn)證”指系統(tǒng)要先確定用戶的身份，再根據(jù)身份設(shè)置訪問權(quán)限進(jìn)行“授權(quán)”。驗(yàn)證與授權(quán)可采用：令牌、智能卡、指紋、人臉和聲音等相關(guān)產(chǎn)品。預(yù)防與防范，指企業(yè)采用內(nèi)容過濾、加密與防火墻等措施，防止非法入侵與非法訪問系統(tǒng)，這也是企業(yè)必須加強(qiáng)的關(guān)鍵安全防御環(huán)節(jié)。檢測與響應(yīng)，是企業(yè)信息安全的最后一道防線，常用的檢測與響應(yīng)技術(shù)如殺毒軟件等。

2.2引入ISO27001標(biāo)準(zhǔn)，構(gòu)建信息安全管理體系

單純依靠技術(shù)手段是無法有效保障企業(yè)的信息安全。因?yàn)槠髽I(yè)的信息安全不是一個(gè)技術(shù)過程，而是一個(gè)管理過程。企業(yè)可結(jié)合目前國際上應(yīng)用較廣的ISO27001標(biāo)準(zhǔn)[1]，搭建信息安全管理體系模型（如圖1）。通過風(fēng)險(xiǎn)分析的方法，找出企業(yè)所面臨的安全風(fēng)險(xiǎn)，制定相關(guān)管理要求或采用適宜的技術(shù)手段進(jìn)行管控，來幫助企業(yè)有效的規(guī)避、降低風(fēng)險(xiǎn)，定期開展內(nèi)外部審核監(jiān)控活動(dòng)，使體系實(shí)現(xiàn)PDCA持續(xù)改進(jìn)循環(huán)，進(jìn)而提升企業(yè)的信息安全保障能力。針對企業(yè)所面臨的主要風(fēng)險(xiǎn)，借鑒ISO27001標(biāo)準(zhǔn)，從以下幾個(gè)方面提出解決企業(yè)安全管理的相關(guān)措施。2.2.1加強(qiáng)統(tǒng)籌規(guī)劃，健全信息安全組織架構(gòu)為保障企業(yè)的信息安全目標(biāo)能夠?qū)崿F(xiàn)，信息資源能夠得到保障。企業(yè)領(lǐng)導(dǎo)應(yīng)根據(jù)自身業(yè)務(wù)的發(fā)展需求，制定信息安全目標(biāo)，搭建信息安全組織架構(gòu)，明確相關(guān)職責(zé)和權(quán)限。決策層：由企業(yè)主抓信息安全工作的領(lǐng)導(dǎo)組成，負(fù)責(zé)企業(yè)信息安全規(guī)劃、策略以及重大安全事件的審批，并提供相應(yīng)信息資源支持。管理層：由企業(yè)的信息安全主管部門或IT部門承擔(dān)，負(fù)責(zé)企業(yè)日常的信息安全管理、監(jiān)督、考核與培訓(xùn)。執(zhí)行層：由IT部門的技術(shù)人員與其它部門的專、兼職信息安全人員構(gòu)成。負(fù)責(zé)落實(shí)安全措施，消除安全風(fēng)險(xiǎn)，以及安全事件發(fā)生后的應(yīng)急響應(yīng)和處理。2.2.2完善制度建設(shè)，規(guī)范安全管理流程企業(yè)管理離不開制度建設(shè)，全面、適宜的制度，會(huì)幫助企業(yè)快速、有效地落實(shí)安全職責(zé)。ISO27001標(biāo)準(zhǔn)附錄A中[1-2]，提出了企業(yè)在信息安全建設(shè)中主要涉及的14個(gè)管理領(lǐng)域與控制策略，企業(yè)可根據(jù)上述控制策略建立管理制度，從而完善企業(yè)的信息安全管理要求，可參考表1。2.2.3重視安全教育培訓(xùn)、培養(yǎng)安全責(zé)任意識(shí)“人”是企業(yè)在開展信息安全管理過程中最重要的因素。ISO27001標(biāo)準(zhǔn)中要求企業(yè)應(yīng)對做好人員的安全審查與教育培訓(xùn)工作。在任用前，應(yīng)進(jìn)行員工背景調(diào)查，聘用合同中應(yīng)列明員工需遵守的信息安全責(zé)任。在任用中，應(yīng)定期舉辦信息安全教育培訓(xùn)類活動(dòng)，將企業(yè)的信息安全管理要求對全員、外包人員，以及利益相關(guān)方人員知曉并遵守。在任用終止或變更時(shí)，應(yīng)告之員工仍需遵守的信息安全責(zé)任及職責(zé)。2.2.4加強(qiáng)風(fēng)險(xiǎn)防控意識(shí)、建立應(yīng)急保障機(jī)制企業(yè)可參考ISO27001標(biāo)準(zhǔn)中信息安全事件管理部分要求，建立并完善“事故、事件”應(yīng)急處置流程，對安全事件進(jìn)行分級、分類。企業(yè)應(yīng)重視應(yīng)急預(yù)案的制定與演練，對重要的信息系統(tǒng)與資料應(yīng)制定備份策略與恢復(fù)措施，使企業(yè)真正實(shí)現(xiàn)“事前預(yù)防、事中控制、事后改進(jìn)”的全面風(fēng)險(xiǎn)管理。

3結(jié)語

企業(yè)的信息安全離不開“技術(shù)”與“管理”，二者相融相依，共同促進(jìn)。ISO27001標(biāo)準(zhǔn)的引入，可幫助企業(yè)從技術(shù)管理、風(fēng)險(xiǎn)管理、職責(zé)落實(shí)、制度建設(shè)、意識(shí)提升和應(yīng)急響應(yīng)等各個(gè)方面不斷加強(qiáng)，有助于企業(yè)持續(xù)提升信息安全管理水平。

參考文獻(xiàn)

[1]國際標(biāo)準(zhǔn)ISO/IEC27001：2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求[S].

[2]國際標(biāo)準(zhǔn)ISO/IEC27002：2013信息技術(shù)-安全技術(shù)-信息安全控制實(shí)用規(guī)則[S].

作者：張婉妮 單位：石化盈科信息技術(shù)有限責(zé)任公司