林振森

【摘 要】當今社會，在經(jīng)營管理中采用現(xiàn)代通信技術(shù)實現(xiàn)信息的高效、準確、互聯(lián)互通的流通，已經(jīng)是大多數(shù)企業(yè)的選擇，信息化已經(jīng)逐步向企業(yè)滲透。目前而言，企業(yè)的信息安全形勢嚴峻，亟需建立自己的信息安全風險管理機制，以應(yīng)對企業(yè)信息化帶來的一系列問題。本文從分析企業(yè)信息安全風險評估現(xiàn)狀出發(fā)，探討如何加強企業(yè)信息安全控制。

【關(guān)鍵詞】企業(yè)； 信息安全； 風險評估； 風險控制

引言：

計算機和網(wǎng)絡(luò)通信相結(jié)合的信息技術(shù)，是促進當代社會信息化發(fā)展的主要力量，為社會上各行各業(yè)的發(fā)展創(chuàng)造了良好的環(huán)境。許多企業(yè)在經(jīng)營與管理中已經(jīng)引用現(xiàn)代信息技術(shù)，從而使經(jīng)營與管理更為科學(xué)，工作效率更高，獲得的經(jīng)濟效益也越多。然而現(xiàn)代信息技術(shù)是一把雙刃劍，信息化的程度越高，由它帶來的風險也越大。當前，企業(yè)的信息安全風險評估工作存在著一些問題，這些問題對企業(yè)的發(fā)展造成很多不利的影響。

一、企業(yè)信息安全風險概述

對企業(yè)來說，信息是維持企業(yè)正常運作的必要資源。企業(yè)的信息包括重要的數(shù)據(jù)、企業(yè)的發(fā)展規(guī)劃、保密性文件、知識產(chǎn)權(quán)等。這些信息一旦被泄露，那么企業(yè)將面臨著或大或小的經(jīng)濟損失，更嚴重的還會使企業(yè)面臨破產(chǎn)的危險。所謂的企業(yè)信息安全就是指信息在其生命周期中，它的完整性、保密性和可用性這三個特性的保留情況。如果這三個特性都得到了保障，那么信息的安全性就高；如果其中的某個特性被破壞，那么信息的安全性就低。而信息安全風險就是指信息在特定的環(huán)境與特定的時間里可能遭遇的安全威脅。

信息安全風險可以分為可控性風險與不可控風險、可接受風險與不可接受風險、自然風險與人為風險等[1]，這些風險給企業(yè)的信息安全管理工作帶來了更多的不確定因素，加深了工作難度。

二、企業(yè)信息安全風險評估的現(xiàn)狀與問題

當前，我國企業(yè)的信息安全風險評估工作存在著許多問題，給企業(yè)的日常經(jīng)營與管理帶來了許多不利的影響。

首先，企業(yè)沒有樹立正確的信息安全觀。很多企業(yè)的管理者在信息安全問題上會走向兩個極端，一種是認為只要加大信息建設(shè)的投入，信息就存在絕對安全的可能；另一種是忽視信息安全建設(shè)，信息安全風險意識淡薄。很多企業(yè)的管理層對信息資產(chǎn)的重要性認識不夠，因而他們在保護信息安全方面幾乎是無作為。

其次，企業(yè)在具體的信息安全風險評估工作中，表現(xiàn)出重安全技術(shù)而輕安全管理的思想與行為方式。這些企業(yè)在工作過程當中，不論是在心理還是在行為上都過分依賴安全技術(shù)，甚至認為只要安全技術(shù)過硬，信息安全就一定能夠得到保證，為此，企業(yè)普遍采用現(xiàn)代通信技術(shù)、計算機和網(wǎng)絡(luò)技術(shù)來構(gòu)建企業(yè)信息安全系統(tǒng)。而在安全管理上，出現(xiàn)了管理措施不到位，員工在信息保密上不夠嚴肅等問題，造成信息安全技術(shù)做無用功。

此外，企業(yè)信息安全風險評估工作還存在著管理制度不夠完善、責任劃分不夠明確等問題。信息安全風險的評估工作需要收集各方面的大量的信息，如此才能增強評估的有效性。而企業(yè)由于管理制度不完善、職責劃分不明確等問題，造成各部門的工作不配合、不協(xié)調(diào)。信息技術(shù)部門被孤立，信息安全的風險評估工作也就不能得到及時有效的完成。

最后，我國有些企業(yè)在信息安全風險評估的技術(shù)與方法上落后于時代?，F(xiàn)代信息系統(tǒng)越往后發(fā)展，結(jié)構(gòu)就越復(fù)雜。這要求企業(yè)要根據(jù)不斷變化的信息技術(shù)來改進自己的風險管理理念和手段，同時也要吸收國際上的先進信息安全風險評估技術(shù)，保障自身的信息安全。

三、企業(yè)信息安全風險的控制

企業(yè)信息安全問題對企業(yè)來說是不應(yīng)該被忽視的部分，企業(yè)應(yīng)該在經(jīng)營與管理的每個環(huán)節(jié)做好信息安全風險的控制工作，使企業(yè)的重要信息能夠得到充分的保護。企業(yè)信息安全風險的控制可以從風險分析、管理控制、技術(shù)控制三個方面來進行。

（一）風險分析

在進行信息安全風險控制之前，先對風險進行分析可以使風險控制工作更加具有針對性，能夠提高風險控制工作的效率。對風險的分析可以從信息資產(chǎn)面臨的威脅、存在的弱點等方面來進行[2]。在風險分析工作中，要明確以下幾點：首先是信息安全風險控制工作中需要保護哪些信息，這些信息具有什么樣的價值；信息資產(chǎn)面臨著哪些潛在的威脅，導(dǎo)致這些威脅產(chǎn)生的根源是什么，威脅發(fā)生的幾率有多大；信息資產(chǎn)中是否具有漏洞，這些漏洞是否會被人威脅利用；信息資產(chǎn)發(fā)生威脅之后，企業(yè)會面臨多大的損失；企業(yè)該采取什么樣的措施來應(yīng)對風險帶來的損失，等等。

（二）管理控制

企業(yè)信息安全風險控制工作主要從組織管理、人員管理、政策實施等幾個方面來進行。首先，企業(yè)應(yīng)該建立信息安全組織機構(gòu)，吸收組織成員，協(xié)調(diào)企業(yè)內(nèi)部的各項資源，制定信息安全控制的目標并通過組織成員履行職責來達到目標。其次，企業(yè)要培養(yǎng)素質(zhì)高、責任心強、原則性強，能夠遵守企業(yè)政策的人員。企業(yè)信息安全風險的控制不僅與強大的技術(shù)力量有關(guān)，而且還有賴于執(zhí)行人員對信息安全工作的支持與參與。此外，在政策實施上，企業(yè)要嚴格執(zhí)行相關(guān)的信息安全保護政策，比如目前國際通用的《信息技術(shù)—信息安全管理實施細則》[1]，為企業(yè)執(zhí)行信息安全保護工作提供一個統(tǒng)一的標準，從而使工作能夠有序地展開。

（三）技術(shù)控制

技術(shù)對信息安全控制的影響力是比較大的，它在很大程度上決定了信息安全風險的大小、范圍，同時它也決定了修補信息安全漏洞的方式和方法。因此，在技術(shù)方面對信息安全風險進行控制是非常有必要的。首先，技術(shù)構(gòu)架的設(shè)計應(yīng)該遵循系統(tǒng)性原則、技術(shù)先進性原則、可控性原則、適度性原則等，使技術(shù)能夠更好地服務(wù)于風險控制；其次，要做好安全域的信息安全保障工作，根據(jù)不同的安全域所面臨的不同風險來進行信息安全保護工作；最后，要提高信息安全保障技術(shù)。目前而言，我國的信息安全保障技術(shù)與國際上的相比明顯處于落后狀態(tài)，因此，企業(yè)要引進先進的技術(shù)力量，加強信息安全風險的控制力度。

四、結(jié)語

在這個信息化高度發(fā)展的社會，任何企業(yè)與個人在享受信息化帶來的便利的同時，也要承擔信息化帶來的風險。我國企業(yè)在激烈的市場競爭中，不可避免會遇到信息安全上的威脅。因此每個企業(yè)都應(yīng)該做好信息安全的管控工作，認真、嚴肅地對待當前網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題。

參考文獻：

[1]谷田.網(wǎng)絡(luò)環(huán)境下的企業(yè)信息安全問題研究[D].鄭州大學(xué)2012

[2]易新明.某大型工礦企業(yè)信息系統(tǒng)安全測評與漏洞分析及其改進[D].湖南大學(xué)2013

[3]沈軍.企業(yè)信息安全管控平臺的設(shè)計與實現(xiàn)[D].電子科技大學(xué)2013