亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        企業(yè)信息安全管理體系分析

        2021-06-04 09:23:54王德正
        科技經(jīng)濟(jì)導(dǎo)刊 2021年14期
        關(guān)鍵詞:管理體系信息安全管理工作

        王德正

        (上海東方怡動(dòng)信息技術(shù)有限公司,上海 201210)

        在經(jīng)濟(jì)全面發(fā)展的趨勢(shì)下,信息化和工業(yè)化不斷融合,企業(yè)的信息管理已經(jīng)成為企業(yè)經(jīng)營的重要部分,對(duì)于企業(yè)的設(shè)計(jì)研發(fā)、生產(chǎn)制造、業(yè)務(wù)銷售等都有著重要的影響。數(shù)據(jù)時(shí)代,企業(yè)對(duì)于信息的應(yīng)用越廣泛,對(duì)信息體系的依賴就越強(qiáng),企業(yè)所面臨的信息風(fēng)險(xiǎn)越高。企業(yè)在發(fā)展的過程中,既要發(fā)揮信息化的優(yōu)勢(shì)和價(jià)值,也要做好信息的管理工作。要構(gòu)建安全的信息管理體系,僅僅依靠技術(shù)是不夠的,必須要將技術(shù)和管理進(jìn)行有效的結(jié)合,只有這樣,才能構(gòu)建一個(gè)完整的安全體系,從而推動(dòng)企業(yè)發(fā)展。

        1. 企業(yè)信息安全管理的現(xiàn)狀

        1.1 信息安全管理體系缺乏總體性的規(guī)劃和策略

        企業(yè)對(duì)于信息的安全管理,通常都交由IT部門管理,許多管理人員會(huì)覺得信息管理就是IT部門的事情。在這個(gè)基礎(chǔ)上,企業(yè)的其他部門對(duì)于企業(yè)的信息安全建設(shè),很少會(huì)關(guān)注,這是影響安全體系完整性的重要因素。IT部門的網(wǎng)絡(luò)技術(shù)對(duì)于信息的保護(hù)有一定效果,但卻缺乏管理作用。企業(yè)信息涉及到的人員包含各個(gè)部門,除了IT部門,許多部門的人員都會(huì)接觸到企業(yè)的信息,IT部門只能從技術(shù)上對(duì)信息和數(shù)據(jù)進(jìn)行保存,但內(nèi)部的信息保護(hù),IT部門是沒有辦法完成的,這個(gè)環(huán)節(jié)需要專業(yè)的管理人員來規(guī)劃和管理。安全體系缺乏完整性和總體性的規(guī)劃,會(huì)讓企業(yè)的信息建設(shè)過于零散,也沒有辦法對(duì)信息資源的提供方進(jìn)行有效的防護(hù)。

        1.2 企業(yè)員工的信息安全意識(shí)薄弱,專業(yè)性人才缺乏

        “重技術(shù)、輕管理?!边@是所有企業(yè)發(fā)展中普遍存在的問題,關(guān)于企業(yè)的信息安全問題,許多管理人員缺乏正確的認(rèn)識(shí),甚至有管理人員認(rèn)為信息安全就是殺毒和安裝防火墻。這樣的認(rèn)知不僅片面,還會(huì)讓企業(yè)員工的安全意識(shí)變得薄弱。企業(yè)在發(fā)展的過程中,出于經(jīng)濟(jì)利益的考慮,都會(huì)讓系統(tǒng)的管理人員承擔(dān)管理和系統(tǒng)配置的雙重責(zé)任,安全系統(tǒng)的設(shè)計(jì)和審核都是一人完成。要真正完成這兩項(xiàng)工作,需要非常專業(yè)的信息安全管理人員,但大部分企業(yè)的系統(tǒng)管理人員都不是專業(yè)人員,所以很難將安全管理的工作進(jìn)行到位,這會(huì)給企業(yè)的安全管理造成嚴(yán)重的隱患,也容易讓企業(yè)信息處于失控的局面。

        1.3 信息安全缺乏體系化的管理

        要對(duì)信息安全進(jìn)行有效的關(guān)系,需要一個(gè)完整的體系,但實(shí)際管理工作開展的過程中,許多企業(yè)的管理方式都是零散和傳統(tǒng)的。傳統(tǒng)的管理方式是補(bǔ)救,卻沒有查缺?;径际枪芾磉^程中出了問題,再進(jìn)行補(bǔ)救,但沒有出現(xiàn)問題之前,企業(yè)很少會(huì)進(jìn)行預(yù)防。這種管理模式已經(jīng)適應(yīng)不了現(xiàn)代市場(chǎng)經(jīng)濟(jì)的發(fā)展了,對(duì)于信息安全的管理也不夠全面。要對(duì)信息安全進(jìn)行體系化管理,管理工作需要全面。預(yù)防、控制、改進(jìn)、評(píng)估等環(huán)節(jié)缺一不可。

        2. 企業(yè)信息安全管理體系構(gòu)建的要點(diǎn)

        2.1 完善信息安全管理的組織機(jī)構(gòu)

        要構(gòu)建一個(gè)完整的管理體系,企業(yè)必須對(duì)管理的組織機(jī)構(gòu)進(jìn)行完善,組建一個(gè)專門的管理機(jī)制。管理工作開展的過程中,要明確各個(gè)人員的職責(zé),這樣確保分工明確,職責(zé)到位。如果組織的機(jī)構(gòu)不明確,安全管理工作開展的過程中,會(huì)出現(xiàn)人手不足的情況,對(duì)于管理工作的開展,也沒有辦法進(jìn)行深入,這會(huì)降低管理工作的質(zhì)量和力度。組織機(jī)構(gòu)不夠完善,也會(huì)讓管理制度缺乏,這樣容易造成信息安全事件,所以企業(yè)構(gòu)建管理體系的時(shí)候,一定要加強(qiáng)管理機(jī)制的完善,如圖1所示。

        圖1 CISP知識(shí)體系結(jié)構(gòu)

        2.2 對(duì)物理環(huán)境進(jìn)行有效的管理

        安全管理的過程中,環(huán)境管理也是工作的重要組成部分。安全管理中的物理環(huán)境主要是指機(jī)房、設(shè)備、消防等,物理環(huán)境管理中,支持設(shè)備的管理尤為重要,信息技術(shù)不斷發(fā)展的過程中,對(duì)于計(jì)算機(jī)設(shè)備的要求也越來越高,所以安全管理工作開展的過程中,一定要加強(qiáng)對(duì)設(shè)備的管理。對(duì)于機(jī)房,企業(yè)可以根據(jù)業(yè)務(wù)發(fā)展的實(shí)際情況進(jìn)行劃分和評(píng)審,根據(jù)設(shè)備的系統(tǒng)模塊建立相對(duì)應(yīng)的管理制度。機(jī)房的消防管理也是安全重點(diǎn),一定要構(gòu)建消防系統(tǒng),系統(tǒng)構(gòu)建的過程中,要按照規(guī)定的消防要求。這個(gè)過程中,還要對(duì)工作人員進(jìn)行消防知識(shí)的培訓(xùn),和應(yīng)急演練。定期檢查消防設(shè)施安全,對(duì)于不符合規(guī)定的消防設(shè)施,及時(shí)更換和維護(hù)。對(duì)消防秩序進(jìn)行監(jiān)督和巡查,支持性的設(shè)備一定要建立監(jiān)控系統(tǒng),對(duì)于設(shè)備的資產(chǎn)管理、維護(hù)管理、系統(tǒng)應(yīng)急等,一定要進(jìn)行有效的管理,物理環(huán)境的管理是管理工作的基礎(chǔ),也是開展工作的前提。

        2.3 用戶和操作管理

        對(duì)所有設(shè)備的運(yùn)行實(shí)施網(wǎng)絡(luò)監(jiān)控,要做到這一點(diǎn),可以啟動(dòng)設(shè)備的日志功能。對(duì)于重要設(shè)備,可以構(gòu)建集中日志管理服務(wù)器,這樣可以對(duì)日志的審查進(jìn)行分析。對(duì)設(shè)備進(jìn)行定期維護(hù),可以根據(jù)設(shè)備的重要性制定相對(duì)應(yīng)的備份策略,對(duì)于設(shè)備的備份數(shù)據(jù)進(jìn)行測(cè)試,這樣可以保障數(shù)據(jù)的完整性和可用性。設(shè)置用戶權(quán)限,遵循最小授權(quán)和權(quán)限分割的原則。所有賬號(hào)開通之后,要對(duì)初始口令進(jìn)行修改采用高級(jí)密碼策略。對(duì)于密碼的變更,要建立嚴(yán)格的管理流程,對(duì)于影響安全組織和信息處理設(shè)施的系統(tǒng)變更,要加以控制,嚴(yán)格規(guī)定操作流程,這樣可以減少誤用系統(tǒng)帶來的風(fēng)險(xiǎn)。

        2.4 信息系統(tǒng)的開發(fā)、維護(hù)和獲取管理

        信息系統(tǒng)的獲取和維護(hù)過程,也是安全管理的重要內(nèi)容,使用安全系統(tǒng)和工具的過程中,要對(duì)內(nèi)部的應(yīng)用系統(tǒng)和工具提出安全需求,這個(gè)過程中,需要在開發(fā)需求文件中對(duì)安全需求定義。如果軟件的開發(fā)過程中需要測(cè)試數(shù)據(jù),一定要對(duì)數(shù)據(jù)進(jìn)行選擇、保護(hù)和控制。對(duì)于個(gè)人信息和敏感信息一定要進(jìn)行處理,嚴(yán)格控制訪問的流程和相關(guān)資料。對(duì)于非授權(quán)的功能一定要進(jìn)行控住,這樣可以減少應(yīng)用故障。

        2.5 業(yè)務(wù)連續(xù)性管理

        對(duì)安全體系內(nèi)的系統(tǒng)和設(shè)施進(jìn)行業(yè)務(wù)連續(xù)性管理分析,分析管理體系中可能會(huì)面臨的風(fēng)險(xiǎn)和故障,對(duì)風(fēng)險(xiǎn)進(jìn)行等級(jí)評(píng)估。如果是不可接受的風(fēng)險(xiǎn),可以采取降低風(fēng)險(xiǎn)措施,并構(gòu)建應(yīng)急方案。如果系統(tǒng)的運(yùn)行環(huán)境發(fā)生了重大變化,要對(duì)系統(tǒng)的風(fēng)險(xiǎn)等級(jí)進(jìn)行二次評(píng)估,根據(jù)應(yīng)急的系統(tǒng)現(xiàn)狀和需求,制定連續(xù)性計(jì)劃。通過模擬測(cè)試的方法對(duì)計(jì)劃進(jìn)行評(píng)估和審查,如果系統(tǒng)出現(xiàn)危機(jī),業(yè)務(wù)連續(xù)性管理十分重要,不僅提高了企業(yè)風(fēng)險(xiǎn)防范的能力,還降低了業(yè)務(wù)中斷做帶來的損失。

        3. 構(gòu)建企業(yè)信息安全管理的有效策略

        3.1 信息安全管理體系模型

        現(xiàn)階段,對(duì)于信息安全管理的標(biāo)準(zhǔn),最具代表性和權(quán)威性的是ISO/IEC 27000系列標(biāo)準(zhǔn),信息安全的管理主要建立在風(fēng)險(xiǎn)管理上,采用風(fēng)險(xiǎn)分析的模式,降低風(fēng)險(xiǎn)發(fā)生的概率,所以信息安全管理的體系模型可以從以下幾分方面入手。首先,計(jì)劃和實(shí)施,對(duì)安全體系的計(jì)劃階段,主要是用來保證管理體系的構(gòu)建,而實(shí)施是保障體系的內(nèi)容和范圍。其次,檢查和改進(jìn)。這一階段主要是對(duì)信息的安全識(shí)別和改進(jìn)方案的實(shí)施。安全管理體系中,檢查是一個(gè)非常重要的環(huán)節(jié),不僅能判斷安全管理是否科學(xué),還可以檢查其安全措施是否有效。通過改進(jìn)計(jì)劃,可以對(duì)系統(tǒng)進(jìn)行完善。

        3.2 信息安全管理體系構(gòu)建的過程

        安全管理體系的構(gòu)建是一個(gè)系統(tǒng)的工程,企業(yè)要構(gòu)建一個(gè)完整的體系,必須要得到企業(yè)領(lǐng)導(dǎo)的許可,只有這樣,才能保障安全體系構(gòu)建的資源支持。但安全體系的運(yùn)行需要各個(gè)部門的參與,所以企業(yè)對(duì)體系機(jī)構(gòu)要進(jìn)行重新設(shè)置。安全管理不僅僅是IT部門的事情,而是整個(gè)企業(yè)部門共同參與的管理工作,要構(gòu)建一個(gè)完整的安全管理體系,需要整個(gè)企業(yè)的工作人員共同參與和協(xié)作。企業(yè)的信息安全組織機(jī)構(gòu)包含決策層、管理層、執(zhí)行層。要確保管理體系的正常運(yùn)行,這三個(gè)組織機(jī)構(gòu)必須要發(fā)揮各自的作用。決策層通常都是企業(yè)信息安全管理的最高管理機(jī)構(gòu),需要為企業(yè)的安全管理提供各類的必要資源。管理層負(fù)責(zé)的是信息安全的管理和監(jiān)督、教育和考核。中小型企業(yè)以IT部門承擔(dān)這一職責(zé),但要確保安全管理體系正常運(yùn)行,需要設(shè)立專門的管理部門。執(zhí)行層是策略和計(jì)劃落實(shí)額的人員,所以執(zhí)行人員一定要加強(qiáng)自身的專業(yè)素質(zhì)和水平。

        3.3 建立管理體系

        一個(gè)完整體系的建立需要涵蓋多個(gè)方面,可以從以下幾點(diǎn)入手。首先,制定信息安全的方針和策略。關(guān)于信息的安全管理,企業(yè)在發(fā)展的過程中應(yīng)該制定一個(gè)總體的方針。根據(jù)企業(yè)的發(fā)展方向和實(shí)際情況,制定對(duì)應(yīng)的策略。其次,對(duì)安全管理體系的范圍進(jìn)行定義,任何一個(gè)企業(yè)的資源都是有限的,所以構(gòu)建管理體系的時(shí)候,對(duì)管理范圍的定義很重要。要做出準(zhǔn)確的定義,可以從組織、人員、技術(shù)和設(shè)備等方面考慮,這樣可以形成完整的管理體系。在體系構(gòu)建的過程中,風(fēng)險(xiǎn)的評(píng)估是不可缺少的一個(gè)環(huán)節(jié),企業(yè)需要對(duì)現(xiàn)有的信息框架進(jìn)行評(píng)估,在現(xiàn)有的基礎(chǔ)上進(jìn)行完善和補(bǔ)充,并產(chǎn)生新的評(píng)估數(shù)據(jù)。最后,制定處理計(jì)劃。對(duì)企業(yè)所面臨的風(fēng)險(xiǎn),管理體系需要制定專門的處理計(jì)劃,對(duì)于不可控制的風(fēng)險(xiǎn),可以采取轉(zhuǎn)移和降低的方法進(jìn)行處理,處理計(jì)劃實(shí)施的過程中,一定要落實(shí)相關(guān)責(zé)任。對(duì)信息安全管理體系進(jìn)行編寫的過程中,其內(nèi)容要符合企業(yè)的發(fā)展現(xiàn)狀,操作方法具有實(shí)用性。

        4. 結(jié)語

        對(duì)于企業(yè)信息的管理,沒有絕對(duì)的安全性可言,企業(yè)構(gòu)建安全管理體系之后,并不代表企業(yè)的信息管理就沒有了風(fēng)險(xiǎn),管理體系只是對(duì)企業(yè)的信息風(fēng)險(xiǎn)進(jìn)行預(yù)防、降低和處理。這樣可以減少企業(yè)的經(jīng)濟(jì)損失,也能保障企業(yè)的可持續(xù)發(fā)展。但企業(yè)要落實(shí)管理體系,需要對(duì)管理體系中出現(xiàn)的問題進(jìn)行分析、總結(jié)和改進(jìn),只有這樣,才能真正發(fā)揮管理體系的作用。

        猜你喜歡
        管理體系信息安全管理工作
        對(duì)質(zhì)量管理體系不符合項(xiàng)整改的理解與實(shí)施
        青脆李、脆紅李周年管理工作歷
        建筑施工管理工作探討
        基于KPI的績效管理體系應(yīng)用研究
        活力(2021年4期)2021-07-28 05:35:18
        當(dāng)代經(jīng)濟(jì)管理體系中的會(huì)計(jì)與統(tǒng)計(jì)分析
        控制系統(tǒng)價(jià)格管理體系探索與實(shí)踐
        做好初中班級(jí)管理工作的幾點(diǎn)思考
        甘肅教育(2020年20期)2020-04-13 08:04:38
        保護(hù)信息安全要滴水不漏
        高校信息安全防護(hù)
        保護(hù)個(gè)人信息安全刻不容緩
        亚洲成av人片在线观看ww| 久久久精品人妻一区二区三区妖精 | 曰本无码人妻丰满熟妇5g影院| 人妻中出精品久久久一区二| 亚洲中文字幕日本日韩| 欧美亚洲国产丝袜在线| 日本国产一区二区在线观看| 亚洲国产婷婷香蕉久久久久久| 亚洲性啪啪无码av天堂| 在线观看无码一区二区台湾| 青青草视频在线播放81| 国产综合精品久久99之一| 亚洲成a v人片在线观看| 亚洲婷婷丁香激情| 亚洲全国最大的人成网站| 亚洲中文字幕人妻av在线| 国产suv精品一区二区883| 中文不卡视频| 国产精品美女主播在线| 国产麻豆精品精东影业av网站| 中文人妻熟妇乱又伦精品| 无码AV高潮喷水无码专区线| 淫欲一区二区中文字幕| 久久99精品国产麻豆| 亚洲av乱码一区二区三区林ゆな| 亚洲av中文无码乱人伦在线r▽| 在线天堂中文一区二区三区| 国产免费人成视频在线观看播放播| 在线免费观看黄色国产强暴av| 人人妻人人爽人人澡人人| 极品美女高潮喷白浆视频| 国成成人av一区二区三区| 激情内射亚洲一区二区三区| 精品久久久无码中文字幕| 日本在线免费精品视频| av网站在线观看大全| 麻豆果冻传媒在线观看| 亚洲精品成人av一区二区| 自拍偷区亚洲综合第一页| 国产精品美女久久久久av福利 | 久久免费国产精品|