導語：企業(yè)信息安全管理現(xiàn)狀與策略一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著互聯(lián)網(wǎng)、移動應用等信息化管理技術的發(fā)展與普及，企業(yè)面臨的信息安全問題也日趨嚴峻，信息安全風險已滲透到企業(yè)經(jīng)營管理的各個方面。通過對企業(yè)信息安全現(xiàn)狀的分析，結合ISO27001信息安全管理體系模型，提出運用“技術+管理”的方法去解決企業(yè)所面臨的信息安全問題，旨在為企業(yè)的信息安全管理提供幫助和指導。

關鍵詞：信息安全；ISO27001；信息安全管理體系；管理

1企業(yè)信息安全管理現(xiàn)狀

1.1信息安全技術問題

信息安全包括應用安全、數(shù)據(jù)安全、主機安全、網(wǎng)絡安全、安全審計和安全管理等六個方面。因技術發(fā)展和資金投入的局限性，在企業(yè)信息系統(tǒng)設計開發(fā)過程中難免存在缺陷與漏洞，從而造成企業(yè)的信息安全隱患。此外，企業(yè)未成立專業(yè)部門、團隊去開發(fā)、維護、更新企業(yè)信息系統(tǒng)，部分企業(yè)甚至無專業(yè)IT安全管理人員等，都會導致信息安全事件頻發(fā)問題。

1.2信息安全管理問題

1.2.1缺乏統(tǒng)籌規(guī)劃企業(yè)未根據(jù)自身的需求制定長遠的信息安全管理規(guī)劃。公司領導對信息安全規(guī)劃參與度有限或受專業(yè)能力的限制，不能有效提出指導意見與發(fā)展方向。如安全目標不清晰、管理職責不明確、重要信息資產(chǎn)未管控等問題，都會引發(fā)企業(yè)的信息安全危機。1.2.2缺少信息安全管理制度在國家層面，因信息安全屬于較新領域，政府已發(fā)布的信息安全法律法規(guī)并不完善，處罰力度與管制范圍不能滿足當前企業(yè)安全要求。在企業(yè)層面，多數(shù)企業(yè)尚未制定適宜本企業(yè)的信息安全管理制度，導致企業(yè)對信息安全管控薄弱，容易出現(xiàn)不安全事件。1.2.3員工安全意識薄弱員工不知曉自身在工作中所承擔的信息安全職責，普遍認為信息安全是IT部門或系統(tǒng)管理員的事，不清楚企業(yè)的信息安全還包含人員信息、存儲介質(zhì)、應用系統(tǒng)、文件等多方面。據(jù)統(tǒng)計，多數(shù)企業(yè)出現(xiàn)信息安全問題的主要原因并不來自外界攻擊，而是企業(yè)內(nèi)部員工有意或無意間的信息泄漏。員工安全意識的薄弱，也是企業(yè)信息安全受到威脅的主要原因。1.2.4缺乏安全風險防控能力在現(xiàn)實中，部分企業(yè)在經(jīng)營管理過程中缺乏安全風險防控意識，未建立“事故、事件”應急處置方案。對重要信息系統(tǒng)和資料未制定備份策略與恢復措施。一旦出現(xiàn)信息安全事件，只能被動接受或補救。不能做到“事前預防、事中控制、事后改進”的風險防控管理，嚴重影響了企業(yè)業(yè)務運行的連續(xù)性與可靠性。

2企業(yè)信息安全問題的應對策略

2.1加強基礎設施建設，采用先進的安全技術手段

為保障企業(yè)的信息安全建設，最基本的條件是要提高企業(yè)安全技術能力與基礎設施建設。企業(yè)應增加安全投入，購置性能較高的安全設備，采用先進信息安全技術手段來防止安全漏洞的產(chǎn)生。從技術角度，企業(yè)可從信息安全的三個主要領域“驗證與授權、預防與防范、檢測與響應”來開展工作。驗證與授權，“驗證”指系統(tǒng)要先確定用戶的身份，再根據(jù)身份設置訪問權限進行“授權”。驗證與授權可采用：令牌、智能卡、指紋、人臉和聲音等相關產(chǎn)品。預防與防范，指企業(yè)采用內(nèi)容過濾、加密與防火墻等措施，防止非法入侵與非法訪問系統(tǒng)，這也是企業(yè)必須加強的關鍵安全防御環(huán)節(jié)。檢測與響應，是企業(yè)信息安全的最后一道防線，常用的檢測與響應技術如殺毒軟件等。

2.2引入ISO27001標準，構建信息安全管理體系

單純依靠技術手段是無法有效保障企業(yè)的信息安全。因為企業(yè)的信息安全不是一個技術過程，而是一個管理過程。企業(yè)可結合目前國際上應用較廣的ISO27001標準[1]，搭建信息安全管理體系模型（如圖1）。通過風險分析的方法，找出企業(yè)所面臨的安全風險，制定相關管理要求或采用適宜的技術手段進行管控，來幫助企業(yè)有效的規(guī)避、降低風險，定期開展內(nèi)外部審核監(jiān)控活動，使體系實現(xiàn)PDCA持續(xù)改進循環(huán)，進而提升企業(yè)的信息安全保障能力。針對企業(yè)所面臨的主要風險，借鑒ISO27001標準，從以下幾個方面提出解決企業(yè)安全管理的相關措施。2.2.1加強統(tǒng)籌規(guī)劃，健全信息安全組織架構為保障企業(yè)的信息安全目標能夠實現(xiàn)，信息資源能夠得到保障。企業(yè)領導應根據(jù)自身業(yè)務的發(fā)展需求，制定信息安全目標，搭建信息安全組織架構，明確相關職責和權限。決策層：由企業(yè)主抓信息安全工作的領導組成，負責企業(yè)信息安全規(guī)劃、策略以及重大安全事件的審批，并提供相應信息資源支持。管理層：由企業(yè)的信息安全主管部門或IT部門承擔，負責企業(yè)日常的信息安全管理、監(jiān)督、考核與培訓。執(zhí)行層：由IT部門的技術人員與其它部門的專、兼職信息安全人員構成。負責落實安全措施，消除安全風險，以及安全事件發(fā)生后的應急響應和處理。2.2.2完善制度建設，規(guī)范安全管理流程企業(yè)管理離不開制度建設，全面、適宜的制度，會幫助企業(yè)快速、有效地落實安全職責。ISO27001標準附錄A中[1-2]，提出了企業(yè)在信息安全建設中主要涉及的14個管理領域與控制策略，企業(yè)可根據(jù)上述控制策略建立管理制度，從而完善企業(yè)的信息安全管理要求，可參考表1。2.2.3重視安全教育培訓、培養(yǎng)安全責任意識“人”是企業(yè)在開展信息安全管理過程中最重要的因素。ISO27001標準中要求企業(yè)應對做好人員的安全審查與教育培訓工作。在任用前，應進行員工背景調(diào)查，聘用合同中應列明員工需遵守的信息安全責任。在任用中，應定期舉辦信息安全教育培訓類活動，將企業(yè)的信息安全管理要求對全員、外包人員，以及利益相關方人員知曉并遵守。在任用終止或變更時，應告之員工仍需遵守的信息安全責任及職責。2.2.4加強風險防控意識、建立應急保障機制企業(yè)可參考ISO27001標準中信息安全事件管理部分要求，建立并完善“事故、事件”應急處置流程，對安全事件進行分級、分類。企業(yè)應重視應急預案的制定與演練，對重要的信息系統(tǒng)與資料應制定備份策略與恢復措施，使企業(yè)真正實現(xiàn)“事前預防、事中控制、事后改進”的全面風險管理。

3結語

企業(yè)的信息安全離不開“技術”與“管理”，二者相融相依，共同促進。ISO27001標準的引入，可幫助企業(yè)從技術管理、風險管理、職責落實、制度建設、意識提升和應急響應等各個方面不斷加強，有助于企業(yè)持續(xù)提升信息安全管理水平。

參考文獻

[1]國際標準ISO/IEC27001：2013信息技術-安全技術-信息安全管理體系-要求[S].

[2]國際標準ISO/IEC27002：2013信息技術-安全技術-信息安全控制實用規(guī)則[S].

作者：張婉妮 單位：石化盈科信息技術有限責任公司