（中國(guó)核能電力股份有限公司，北京 100097）

一、信息安全管理概述

從客觀角度來(lái)看，信息是企業(yè)的一種資本，需要得到充分保護(hù)。信息安全主要是指保護(hù)信息以及信息系統(tǒng)免受未得到授權(quán)的訪問(wèn)、應(yīng)用、披露、更改以及破壞。信息安全的核心任務(wù)在于通過(guò)相關(guān)技術(shù)以及管理措施，防止信息資產(chǎn)受到威脅，盡最大可能降低信息安全風(fēng)險(xiǎn)。信息安全管理本質(zhì)上是一種保護(hù)信息機(jī)密性的方法，其主要目標(biāo)在于保障信息安全、信息系統(tǒng)集成度以及優(yōu)化數(shù)據(jù)管理[1]。信息安全管理是企業(yè)信息安全系統(tǒng)重要的構(gòu)成部分信息安全管理涉及面較廣，主要包括信息安全策略制定、風(fēng)險(xiǎn)識(shí)別、合理設(shè)置控制目標(biāo)、構(gòu)建標(biāo)準(zhǔn)化操作流程以及信息安全培訓(xùn)等。通過(guò)上述一系列舉措，逐漸形成一個(gè)完整的信息安全保障體系，以降低信息風(fēng)險(xiǎn)，為延續(xù)企業(yè)穩(wěn)定發(fā)展?fàn)顟B(tài)奠定良好基礎(chǔ)。

二、企業(yè)信息安全管理常見問(wèn)題

在信息化時(shí)代下，企業(yè)信息安全管理愈來(lái)愈受到重視，很多企業(yè)在信息安全管理也加大了投入力度，獲得了一定程度，但在部分環(huán)節(jié)上依然暴露了一定問(wèn)題，主要體現(xiàn)為以下幾個(gè)方面。第一，管理機(jī)制不夠完善?？茖W(xué)健全的信息安全管理機(jī)制是企業(yè)落實(shí)信息安全管理工作的基本保障，但部分企業(yè)，特別是中小企業(yè)在相關(guān)管理機(jī)制方面存在一定缺陷。一些企業(yè)在發(fā)展過(guò)程中會(huì)注重短期經(jīng)濟(jì)效益，而忽視長(zhǎng)遠(yuǎn)戰(zhàn)略發(fā)展目標(biāo)，在信息安全管理機(jī)制上不能及時(shí)更新內(nèi)容，細(xì)節(jié)有所缺失。例如，在員工信息安全意識(shí)培養(yǎng)、計(jì)算機(jī)操作、軟件管理等方面，并未作出詳細(xì)規(guī)定，再加上軟硬件設(shè)施管理不到位，容易出現(xiàn)信息安全缺陷，為非法網(wǎng)絡(luò)入侵提供漏洞[2]。第二，技術(shù)相對(duì)落后。一些企業(yè)在信息安全管理過(guò)程中主要依托傳統(tǒng)防火墻、殺毒軟件以及簡(jiǎn)單的加密技術(shù)來(lái)構(gòu)建防御體系。然而隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，黑客、木馬病毒等也在不斷升級(jí)，傳統(tǒng)技術(shù)形成的單一安全防御結(jié)構(gòu)可能無(wú)法應(yīng)對(duì)新型非法侵入，容易出現(xiàn)安全漏洞，信息安全形勢(shì)愈來(lái)愈嚴(yán)峻，相關(guān)風(fēng)險(xiǎn)愈來(lái)愈大。第三，專業(yè)人才相對(duì)匱乏。部分企業(yè)在信息安全管理方面缺乏專業(yè)復(fù)合型人才支持，導(dǎo)致相關(guān)工作“捉襟見肘”。部分信息技術(shù)專業(yè)人員雖然具備一定程度的信息技術(shù)知識(shí)儲(chǔ)備，但在管理能力方面存在不足；有些管理人員雖然具備較為豐富的管理經(jīng)驗(yàn)，但在信息技術(shù)能力方面有所欠缺。事實(shí)上，企業(yè)信息安全人員不僅需要在縱向上對(duì)信息技術(shù)領(lǐng)域具有精深的理解，而且橫向上需要對(duì)信息系統(tǒng)的整體邏輯乃至企業(yè)業(yè)務(wù)邏輯要有深刻認(rèn)知，這樣才能將信息安全管理與企業(yè)整體運(yùn)營(yíng)充分關(guān)聯(lián)起來(lái)。目前來(lái)看，部分企業(yè)在專業(yè)復(fù)合型人才儲(chǔ)備方面有所不足，必然會(huì)影響信息安全管理實(shí)際效能。

三、優(yōu)化企業(yè)信息安全管理的相關(guān)策略

1.優(yōu)化信息安全管理制度

企業(yè)在信息安全管理工作開展過(guò)程中要推陳出，緊跟時(shí)代步伐，除了應(yīng)用傳統(tǒng)技術(shù)外，要從源頭上對(duì)相關(guān)信息數(shù)據(jù)進(jìn)行保護(hù)。企業(yè)要重視信息安全監(jiān)督，構(gòu)建信息通道快速響應(yīng)機(jī)制、信息應(yīng)急備份機(jī)制以及訪問(wèn)控制信息安全管理機(jī)制，實(shí)現(xiàn)信息安全立體化管理。在部分重要安全信息方面，要盡可能控制相關(guān)人員接觸范圍，設(shè)置級(jí)別權(quán)限，避免過(guò)多人員接觸或掌握企業(yè)關(guān)鍵信息或核心信息。企業(yè)高層要善于利用大數(shù)據(jù)技術(shù)，加強(qiáng)頂層設(shè)計(jì)，并完善信息安全管理制度內(nèi)容細(xì)節(jié)，逐漸形成一個(gè)完整的信息安全生態(tài)體系。同時(shí)，企業(yè)要建立有效的責(zé)任機(jī)制，從管理層逐級(jí)向下至普通員工，明確各崗位在信息安全管理方面的責(zé)任，做到“責(zé)任到人”。一旦出現(xiàn)信息安全管理問(wèn)題，嚴(yán)格追責(zé)，并要求及時(shí)整改，不斷提升信息安全管理質(zhì)量[3]。在電子文件安全存儲(chǔ)管理方面，要求重要文件或工作資料不得保存在C盤（系統(tǒng)盤），并定期做好備份工作，防止意外丟失；不得進(jìn)行與工作無(wú)關(guān)的下載以及游戲行為；所有拷貝至公共計(jì)算機(jī)上資料，使用完畢后必須刪除；各部門安排專人對(duì)存在于企業(yè)服務(wù)器的信息數(shù)據(jù)進(jìn)行審核以及安全管理；所有涉密文件或信息，相關(guān)人員需要進(jìn)行有效加密并妥善保管，防止信息外泄。

2.加大基礎(chǔ)設(shè)施、技術(shù)投入力度

企業(yè)要及時(shí)更新信息安全管理技術(shù)，除了完善防火墻、殺毒軟件等傳統(tǒng)技術(shù)外，還要應(yīng)用復(fù)雜加密技術(shù)，并將大數(shù)據(jù)技術(shù)融入信息安全管理當(dāng)中，實(shí)現(xiàn)信息安全全方位管理。與此同時(shí)，企業(yè)要及時(shí)更新陳舊設(shè)備，加大相關(guān)設(shè)施、技術(shù)投入力度，設(shè)置專項(xiàng)資金，從硬件出發(fā)，構(gòu)筑信息安全體系。對(duì)于中小企業(yè)而言，可與外部第三方專業(yè)機(jī)構(gòu)合作，在專業(yè)機(jī)構(gòu)協(xié)助下對(duì)企業(yè)內(nèi)部數(shù)據(jù)庫(kù)、信息安全架構(gòu)進(jìn)行優(yōu)化，及時(shí)更新技術(shù)，不斷提升信息安全防御能力。

3.加強(qiáng)專業(yè)人才引入及培訓(xùn)

一方面，企業(yè)要提高信息安全管理重視程度，從外部引入部分專業(yè)復(fù)合型人才，對(duì)現(xiàn)有信息安全管理人才隊(duì)伍進(jìn)行適當(dāng)補(bǔ)充。另一方面，企業(yè)要重視信息安全人才隊(duì)伍建設(shè)，建立一個(gè)健全的培訓(xùn)體系。對(duì)于信息安全人才而言，可定期聘請(qǐng)外部專家或?qū)ζ溥M(jìn)行針對(duì)性指導(dǎo)，或采取外派方式，不斷提升其專業(yè)業(yè)務(wù)能力以及崗位勝任力，確保信息安全管理工作落實(shí)到位。對(duì)于其他崗位員工也要開展信息安全培訓(xùn)，使其樹立信息安全意識(shí)，讓每一位員工有意識(shí)地做好本職工作，規(guī)范信息操作，避免出現(xiàn)意外信息安全問(wèn)題，形成良好的信息安全管理氛圍。

結(jié)語(yǔ)

對(duì)于企業(yè)而言，信息安全管理是日常管理工作的重要環(huán)節(jié)之一。為進(jìn)一步提升信息安全管理效能，企業(yè)需要優(yōu)化信息安全管理制度，加大基礎(chǔ)設(shè)施、技術(shù)投入力度，并加強(qiáng)專業(yè)人才引入及培訓(xùn)，構(gòu)建出一個(gè)相對(duì)健全的信息安全管理體系，為企業(yè)持續(xù)穩(wěn)定發(fā)展奠定良好基礎(chǔ)。