前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全重要性范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全重要性范文第1篇

【關(guān)鍵詞】企業(yè)；計(jì)算機(jī)網(wǎng)絡(luò)信息；安全管理

中圖分類號(hào)： F279 文獻(xiàn)標(biāo)識(shí)碼： A

前言

文章對(duì)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題進(jìn)行了介紹，對(duì)影響企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素進(jìn)行了闡述，通過(guò)分析，并結(jié)合自身實(shí)踐經(jīng)驗(yàn)和相關(guān)理論知識(shí)，對(duì)加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理措施進(jìn)行了探討。

二、企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題

1.安全意識(shí)淡薄

在企業(yè)網(wǎng)絡(luò)系統(tǒng)中，每一臺(tái)計(jì)算機(jī)的安全性都會(huì)影響整個(gè)系統(tǒng)的安全性能，網(wǎng)絡(luò)安全與每個(gè)用戶息息相關(guān)。內(nèi)部員工了解公司的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點(diǎn)甚至掌握業(yè)務(wù)系統(tǒng)的密碼。在具有嚴(yán)格訪問(wèn)權(quán)限的系統(tǒng)中，使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷，甚至有些人隨意改動(dòng)系統(tǒng)注冊(cè)表，使得整個(gè)網(wǎng)絡(luò)安全系統(tǒng)失效。

2.網(wǎng)絡(luò)安全體系不健全

當(dāng)前很多企業(yè)盡管采取了一些安全措施，但安全保護(hù)措施較為零散，缺乏整體性與系統(tǒng)性，對(duì)于企業(yè)網(wǎng)絡(luò)信息安全保護(hù)缺乏統(tǒng)一的、明確的指導(dǎo)思想，沒(méi)有建立一個(gè)完善的安全體系，這是引發(fā)安全問(wèn)題的主要源頭。

3.網(wǎng)絡(luò)黑客攻擊

黑客肆意妄為，破壞的手段也越來(lái)越多樣化。企業(yè)的內(nèi)部資料對(duì)于整個(gè)企業(yè)經(jīng)營(yíng)來(lái)說(shuō)相當(dāng)重要，因?yàn)樗P(guān)系到整個(gè)企業(yè)的生死存亡。企業(yè)存放信息會(huì)因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密。

4.來(lái)自企業(yè)外部的感染

來(lái)自企業(yè)外部的計(jì)算機(jī)病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發(fā)性等特點(diǎn)，通過(guò)入侵網(wǎng)絡(luò)系統(tǒng)和設(shè)備，對(duì)數(shù)據(jù)進(jìn)行破壞，使網(wǎng)絡(luò)癱瘓，不能正常運(yùn)作。網(wǎng)絡(luò)蠕蟲由于不需要用戶干預(yù)就能觸發(fā)，因而其傳播速度要遠(yuǎn)遠(yuǎn)大于計(jì)算機(jī)病毒，其對(duì)網(wǎng)絡(luò)性能產(chǎn)生的影響也更為顯著和嚴(yán)重。木馬是指附著在應(yīng)用程序中或者單獨(dú)存在的一些惡意程序，它可以利用網(wǎng)絡(luò)遠(yuǎn)程控制安裝有服務(wù)端程序的主機(jī)，實(shí)現(xiàn)對(duì)主機(jī)的控制或者竊取主機(jī)上的機(jī)密信息。

5.來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部的攻擊

企業(yè)防護(hù)重點(diǎn)是對(duì)外，往往忽視對(duì)內(nèi)部防護(hù)的重視。利用企業(yè)內(nèi)部計(jì)算機(jī)對(duì)企業(yè)局域網(wǎng)絡(luò)進(jìn)行攻擊，企業(yè)局域網(wǎng)絡(luò)也會(huì)受到嚴(yán)重攻擊，當(dāng)前企業(yè)內(nèi)部攻擊行為大大加強(qiáng)了企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。

三、影響企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的因素

1.病毒攻擊

目前，計(jì)算機(jī)病毒的制造者大多利用Internet網(wǎng)絡(luò)進(jìn)行傳播，因中小企業(yè)防范薄弱管理規(guī)范性有待提高，所以他們很大可能要遭到病毒的攻擊。病毒可能會(huì)感染大量的機(jī)器系統(tǒng)，也可能會(huì)大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，如：發(fā)送垃圾郵件的病毒，從而影響企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。

2.軟件漏洞

任何軟件都有漏洞，這是客觀事實(shí)。而同時(shí)中小企業(yè)在軟件采用上大都以節(jié)約為本，不注重也不舍得花銷來(lái)進(jìn)行軟件更新的后期升級(jí)服務(wù)，以至于非法用戶正好通過(guò)這些需要升級(jí)的漏洞竊取用戶信息和破壞信息，針對(duì)固有的安全漏洞進(jìn)行攻擊。

3.職員不當(dāng)操作

中小企業(yè)計(jì)算機(jī)管理人員配置少，監(jiān)督管理都難以細(xì)致，其它職工在信息化系統(tǒng)操作中容易出現(xiàn)工作馬虎，不細(xì)心，不按成型的規(guī)范操作，不遵守制定的相應(yīng)規(guī)章制度。中小企業(yè)中很多職工信息安全意識(shí)不強(qiáng)，將自己的生日或工號(hào)作為系統(tǒng)口令，或?qū)挝坏馁~號(hào)隨意轉(zhuǎn)借他人使用，從而造成信息的丟失或篡改。

四、加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理措施

1.要加大對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全工作的投入。信息技術(shù)進(jìn)步神速，我國(guó)在這一領(lǐng)域同發(fā)達(dá)國(guó)家比，并沒(méi)有優(yōu)勢(shì)。因此我國(guó)更應(yīng)加大投入，刻苦攻關(guān)，掌握一些關(guān)鍵的信息技術(shù)，以確保我國(guó)在信息安全方面的自主能力?？梢院敛豢鋸埖卣f(shuō)，今年安全方面的自主能力，將制約我國(guó)的綜合國(guó)力和國(guó)防實(shí)力，因此，我國(guó)應(yīng)當(dāng)像五六十年展“兩彈一星”一樣，集中力量，加大投入，迎接信息技術(shù)革命的挑戰(zhàn)，保衛(wèi)國(guó)家安全。這一點(diǎn)，我們不能幻想通過(guò)進(jìn)口來(lái)解決問(wèn)題。在信息安全技術(shù)方面，發(fā)達(dá)國(guó)家一方面極為重視研究開(kāi)發(fā)，美國(guó)政府曾為了改進(jìn)美國(guó)政府的計(jì)算機(jī)安全系統(tǒng)，投入巨大的資金；另一方面，又嚴(yán)格控制信息安全技術(shù)的出口。以美國(guó)為代表的發(fā)達(dá)國(guó)家，對(duì)信息安全產(chǎn)品出口，已作出許多嚴(yán)格限制，以維護(hù)其在信息技術(shù)領(lǐng)域的絕對(duì)優(yōu)勢(shì)。

2.關(guān)鍵數(shù)據(jù)采用加密手段。在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中關(guān)于數(shù)據(jù)安全的隱患無(wú)處不在。尤其是一些機(jī)密數(shù)據(jù)庫(kù)、商業(yè)數(shù)據(jù)等一定要保證它的安全性，這時(shí)一般會(huì)采取對(duì)數(shù)據(jù)加密的手段，它是一種保護(hù)數(shù)據(jù)在存儲(chǔ)和傳遞過(guò)程中不被竊取或修改的一種手段，該數(shù)據(jù)加密系統(tǒng)在使用的過(guò)程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。

3.加強(qiáng)安全管理力度健全管理制度。首先，加強(qiáng)信息安全管理力度應(yīng)積極采取宏觀管理與重點(diǎn)監(jiān)控相結(jié)合的方式，保證信息化項(xiàng)目的安全性。系統(tǒng)的實(shí)施及管理部門應(yīng)該全面掌握各單位的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的相關(guān)情況，為企業(yè)統(tǒng)一管理提供可靠依據(jù)。同時(shí)，對(duì)重點(diǎn)工程實(shí)地考察，對(duì)信息安全進(jìn)行檢查，發(fā)現(xiàn)問(wèn)題及時(shí)解決。

4.事務(wù)管理和故障恢復(fù)。事務(wù)管理和故障恢復(fù)主要是對(duì)付系統(tǒng)內(nèi)發(fā)生的自然因素故障，保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復(fù)的主要措施是進(jìn)行日志記錄和數(shù)據(jù)復(fù)制。計(jì)算機(jī)同其他設(shè)備一樣，都可能發(fā)生各種各樣的故障，比如電源故障、軟件故障、災(zāi)害故障以及人為破壞等，這些故障可能會(huì)造成數(shù)據(jù)庫(kù)的數(shù)據(jù)丟失，因此為了保證計(jì)算機(jī)的安全運(yùn)行，必須在發(fā)生故障時(shí)采取必要的措施恢復(fù)數(shù)據(jù)庫(kù)，事務(wù)管理和故障恢復(fù)就是這個(gè)作用，它能夠保障數(shù)據(jù)庫(kù)在出現(xiàn)故障時(shí)，仍可以把數(shù)據(jù)庫(kù)系統(tǒng)還原到正常狀態(tài)。

五、企業(yè)信息安全新形勢(shì)

網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一，具有長(zhǎng)期性、復(fù)雜性和艱巨性的特點(diǎn)。2010年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展，三網(wǎng)融合開(kāi)始實(shí)施操作，云計(jì)算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾，需求的個(gè)性化、數(shù)字的海量化、業(yè)務(wù)的復(fù)雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來(lái)了新的更大的挑戰(zhàn)，行業(yè)中企業(yè)要進(jìn)一步提高對(duì)網(wǎng)絡(luò)信息安全重要性的認(rèn)識(shí)，發(fā)展與管理并重，加強(qiáng)部門協(xié)調(diào)配合，加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)管理工作，加強(qiáng)網(wǎng)絡(luò)信息安全保障能力建設(shè)，特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化，通過(guò)核心技術(shù)掌握自主知識(shí)產(chǎn)權(quán)，加快發(fā)展自主可控的信息安全產(chǎn)業(yè)，建設(shè)新時(shí)期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長(zhǎng)城。

從國(guó)際國(guó)內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā)，應(yīng)對(duì)多種復(fù)雜的安全新問(wèn)題，應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù)，并通過(guò)極主動(dòng)地建立網(wǎng)絡(luò)與信息安全的保障體系，技術(shù)和管理并重，加強(qiáng)立法建設(shè)、政策制訂、技術(shù)研究、標(biāo)準(zhǔn)制訂、隊(duì)伍建設(shè)、人才培養(yǎng)、市場(chǎng)服務(wù)、宣傳教育等多方面的工作，通過(guò)產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個(gè)全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境，來(lái)共同改善全球的網(wǎng)絡(luò)與信息安全問(wèn)題。

結(jié)束語(yǔ)

隨著科技的發(fā)展，一些不法份子和黑客通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)竊取企業(yè)商業(yè)機(jī)密的現(xiàn)象越來(lái)越多，因此，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理應(yīng)該予以高度重視，否則可能對(duì)企業(yè)造成不可預(yù)估的損失。

參考文獻(xiàn)

[1]林延君.局域網(wǎng)企業(yè)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].大連理工大學(xué)，2006年.

[2]陽(yáng)威特.Web應(yīng)用程序的安全維護(hù)[J].計(jì)算機(jī)應(yīng)用，2000（05）.

企業(yè)信息安全重要性范文第2篇

【關(guān)鍵詞】信息化建設(shè)；安全管理；授權(quán)

【中圖分類號(hào)】TU714 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672—5158（2012）08—0255-02

0.引言

隨著信息技術(shù)的不斷發(fā)展以及市場(chǎng)競(jìng)爭(zhēng)的不斷激烈，企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競(jìng)爭(zhēng)力的重要途徑，杜絕信息泄露可以避免巨大的經(jīng)濟(jì)損失。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施，但是信息安全問(wèn)題仍然頻發(fā)，對(duì)于企業(yè)的經(jīng)營(yíng)活動(dòng)帶來(lái)巨大的損失。加強(qiáng)企業(yè)內(nèi)部的計(jì)算機(jī)管理，提高對(duì)于信息安全的認(rèn)識(shí)程度，保證信息數(shù)據(jù)庫(kù)的安全，避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問(wèn)題。

1.企業(yè)信息化建設(shè)信息安全影響因素分析

（1）信息系統(tǒng)實(shí)體安全。信息實(shí)體主要包括用于企業(yè)信息化建設(shè)的計(jì)算機(jī)、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施，對(duì)于信息實(shí)體安全影響因素主要包括火災(zāi)、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞，從而造成企業(yè)信息庫(kù)數(shù)據(jù)安全出現(xiàn)問(wèn)題。

（2）信息系統(tǒng)運(yùn)行安全。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫(kù)的安全，采取各種措施對(duì)系統(tǒng)運(yùn)行進(jìn)行安全保護(hù)。由于信息數(shù)據(jù)庫(kù)有可能受到非授權(quán)的訪問(wèn)、泄露、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅，因此確保信息系統(tǒng)運(yùn)行安全主要是保證信息數(shù)據(jù)庫(kù)的完整、保密以及時(shí)時(shí)可用性。

（3）信息系統(tǒng)管理人員安全責(zé)任意識(shí)。管理人員在日常工作中的安全管理意識(shí)、專業(yè)操作水平以及法律意識(shí)等均會(huì)對(duì)企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法，對(duì)于保證信息數(shù)據(jù)庫(kù)的安全十分重要。

2.企業(yè)信息安全管理問(wèn)題分析

目前由于管理制度以及軟硬件設(shè)施等一系列的問(wèn)題，企業(yè)數(shù)據(jù)庫(kù)破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時(shí)有發(fā)生，嚴(yán)重影響了企業(yè)的正常生產(chǎn)經(jīng)營(yíng)活動(dòng)，通過(guò)分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問(wèn)題主要由以下幾方面：

（1）企業(yè)內(nèi)部移動(dòng)存儲(chǔ)設(shè)備管理疏松，缺乏安全保密管理制度。由于許多企業(yè)在日常管理過(guò)程中，移動(dòng)存儲(chǔ)設(shè)備使用較多，員工可以隨意對(duì)企業(yè)內(nèi)部的各種信息資料進(jìn)行備份，企業(yè)用于經(jīng)營(yíng)活動(dòng)的客戶信息、產(chǎn)品設(shè)計(jì)、財(cái)務(wù)管理等各項(xiàng)信息極易造成泄漏，帶來(lái)巨大的信息安全損失。部分企業(yè)由于對(duì)于信息安全管理認(rèn)識(shí)程度不足，企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度，安全管理職責(zé)權(quán)限不清，信息安全漏洞較多。

（2）對(duì)于內(nèi)部信息共享控制不嚴(yán)格，信息安全管理權(quán)限混亂。由于企業(yè)在生產(chǎn)經(jīng)營(yíng)過(guò)程中為了提高生產(chǎn)經(jīng)營(yíng)效率以及加強(qiáng)企業(yè)內(nèi)部各部門之間的溝通聯(lián)系，對(duì)于一些設(shè)計(jì)企業(yè)銷售計(jì)劃、客戶信息以及生產(chǎn)計(jì)劃等文件采取共享的措施，因此企業(yè)員工的流動(dòng)或者其他管理不當(dāng)均會(huì)造成企業(yè)信息的泄露。

（3）信息權(quán)限管理混亂，企業(yè)的中介服務(wù)體系穩(wěn)定性較差。對(duì)于加密的授權(quán)訪問(wèn)，權(quán)限管理則成為保護(hù)企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過(guò)程中體系混亂，操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問(wèn)。而且對(duì)于部分中小企業(yè)由于信息化建設(shè)采取對(duì)外委托的方式，而中介第三方由于穩(wěn)定性難以保證，隨時(shí)更換或者退出的第三方極易造成企業(yè)有價(jià)值信息的泄漏，影響企業(yè)信息安全建設(shè)。

（4）信息管理安全防范體系不健全，缺乏針對(duì)信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認(rèn)識(shí)到信息化管理的重要性，并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備。但是缺乏一系列的安全管理機(jī)制，在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實(shí)措施。此外，由于大部分企業(yè)在信息安全管理工作中將重點(diǎn)放在軟硬件設(shè)施上，而忽略了對(duì)于信息安全技術(shù)人員的培養(yǎng)，而且為了減少人力資源支出成本，信息安全管理人員少工作任務(wù)重，管理權(quán)限集中化程度高，影響了信息化建設(shè)的安全管理。

3.企業(yè)信息建設(shè)信息安全管理措施

（1）加強(qiáng)對(duì)于信息庫(kù)硬件設(shè)備的保護(hù)管理。首先應(yīng)保證計(jì)算機(jī)等硬件設(shè)備具有安全的工作環(huán)境，做好計(jì)算機(jī)設(shè)備的防火、防潮、防盜措施，并避免強(qiáng)磁環(huán)境對(duì)信息數(shù)據(jù)可能造成的損壞。其次，在對(duì)各種硬件設(shè)備進(jìn)行檢修時(shí)，硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進(jìn)行監(jiān)督管理，對(duì)于需要外送檢修的設(shè)備，則應(yīng)提前進(jìn)行數(shù)據(jù)加密處理。

（2）提高企業(yè)內(nèi)部的信息安全管理意識(shí)。企業(yè)信息安全管理對(duì)于提高企業(yè)競(jìng)爭(zhēng)力，避免企業(yè)經(jīng)濟(jì)損失具有重要的意義。在企業(yè)的正常管理過(guò)程中，加強(qiáng)信息安全宣傳工作，使員工充分認(rèn)識(shí)到企業(yè)信息安全管理的重要性，并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度，提高企業(yè)的整體信息安全防范水平。

（3）加強(qiáng)信息安全操作管理人員的管理。在企業(yè)信息日常管理過(guò)程中，應(yīng)加強(qiáng)對(duì)于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過(guò)企業(yè)管理者授權(quán)，系統(tǒng)管理人員在進(jìn)行企業(yè)相關(guān)信息數(shù)據(jù)庫(kù)的整理以及維護(hù)過(guò)程中，必須通過(guò)授權(quán)進(jìn)行。系統(tǒng)管理人員離開(kāi)工作崗位后，相關(guān)責(zé)任人應(yīng)及時(shí)更換管理員操作代碼。

（4）加強(qiáng)企業(yè)信息數(shù)據(jù)庫(kù)的密碼與權(quán)限管理。對(duì)于涉及到企業(yè)信息數(shù)據(jù)庫(kù)安全的密碼，應(yīng)分別設(shè)置用戶密碼以及操作密碼，并提高密碼的安全程度，及時(shí)定期更換登陸操作密碼。對(duì)于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器、路由器等設(shè)施的設(shè)置管理工作，應(yīng)嚴(yán)格按照相關(guān)管理規(guī)定進(jìn)行設(shè)置。

（5）明確企業(yè)信息數(shù)據(jù)庫(kù)管理制度。對(duì)于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù)，并采取異地存放的方式對(duì)備份數(shù)據(jù)庫(kù)進(jìn)行管理。對(duì)于廢棄或者需要銷毀的數(shù)據(jù)信息，應(yīng)嚴(yán)格依照程序采取逐級(jí)審批的方式，避免數(shù)據(jù)信息的泄露。需要進(jìn)行數(shù)據(jù)恢復(fù)工作時(shí)，應(yīng)嚴(yán)格按照相關(guān)技術(shù)手冊(cè)，并對(duì)恢復(fù)的數(shù)據(jù)進(jìn)行驗(yàn)證確認(rèn)數(shù)據(jù)的完整可用。

（6）加強(qiáng)企業(yè)信息數(shù)據(jù)機(jī)房的管理。相關(guān)人員出入信息數(shù)據(jù)庫(kù)機(jī)房進(jìn)行數(shù)據(jù)查閱以及提取工作時(shí)，應(yīng)經(jīng)由相關(guān)主管人員的授權(quán)，并登記進(jìn)入。在日常管理過(guò)程中，定期對(duì)硬件設(shè)備進(jìn)行保養(yǎng)，同時(shí)研究違章操作在信息數(shù)據(jù)機(jī)房安裝外部其他軟件。

參考文獻(xiàn)

[1]沈路鐵路信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J]-鐵路計(jì)算機(jī)應(yīng)用2011（6）

企業(yè)信息安全重要性范文第3篇

關(guān)鍵詞：信息化；信息安全；安全管理

1企業(yè)信息安全現(xiàn)狀

近幾年，隨著行業(yè)信息化建設(shè)逐步深入，伴隨著OA辦公自動(dòng)化、ERP、卷煙生產(chǎn)經(jīng)營(yíng)決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用，與生產(chǎn)經(jīng)營(yíng)息息相關(guān)的關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高，企業(yè)也逐步認(rèn)識(shí)到信息安全的重要性，企業(yè)員工的安全意識(shí)也都得到逐步提高。行業(yè)也相繼出臺(tái)了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度，并通過(guò)這幾年信息安全檢查工作，促進(jìn)企業(yè)的信息安全水平得到了進(jìn)一步提高。由于企業(yè)信息安全意識(shí)不斷提高，企業(yè)不斷加大信息安全方面的投入，如建立標(biāo)準(zhǔn)化的機(jī)房、購(gòu)買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計(jì)算機(jī)技術(shù)的發(fā)展不斷更新，攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對(duì)外部的攻擊，也要應(yīng)對(duì)來(lái)自于企業(yè)內(nèi)部的信息安全威脅，安全形勢(shì)不容樂(lè)觀。企業(yè)的信息安全已不僅僅是技術(shù)問(wèn)題，還需要借助管理手段來(lái)保障。企業(yè)如果不能正確樹(shù)立信息風(fēng)險(xiǎn)導(dǎo)向意識(shí)，一味注重“技術(shù)”的作用，忽略“管理”的重要性，就很難發(fā)揮信息安全技術(shù)的作用，無(wú)法把企業(yè)的各項(xiàng)信息安全措施落到實(shí)處，企業(yè)的信息安全也就無(wú)從談起。只有切實(shí)發(fā)揮管理作用，企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時(shí)，大多數(shù)剛接觸的人都比較疑惑，都說(shuō)保障信息安全十分重要，那到底什么是信息安全呢？下面就簡(jiǎn)單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對(duì)企業(yè)來(lái)說(shuō)，信息是一種無(wú)形資產(chǎn)，具有一定商業(yè)價(jià)值，以電子、影像、話語(yǔ)等多種形式存在，必須進(jìn)行保護(hù)。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識(shí)與控制，避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過(guò)程中，信息安全技術(shù)是保障信息安全的重要手段。通過(guò)上文對(duì)企業(yè)信息安全現(xiàn)狀的分析，不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個(gè)重要體系，進(jìn)一步細(xì)分則涉及安全運(yùn)維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過(guò)部署信息安全產(chǎn)品，合理制定安全策略，實(shí)現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實(shí)現(xiàn)信息安全的工具平臺(tái)，如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等，而信息安全技術(shù)則是指實(shí)現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機(jī)構(gòu)、制度，細(xì)化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度有效執(zhí)行，最大程度發(fā)揮信息安全技術(shù)體系作用，確保信息安全相關(guān)保護(hù)措施有效執(zhí)行。通過(guò)上文簡(jiǎn)單介紹，對(duì)信息安全以及信息安全系統(tǒng)有了大概了解?？梢钥闯鰡渭兘柚夹g(shù)或管理無(wú)法保障企業(yè)信息安全，因此，建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運(yùn)用技術(shù)、管理手段，做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制，確保實(shí)現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素，而管理體系則是建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo)，采取或運(yùn)用方法的體系。作為管理活動(dòng)最終結(jié)果，包含方針、原則、目標(biāo)、方法、過(guò)程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個(gè)子體系，目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機(jī)構(gòu)。明確職責(zé)分工，確保信息安全工作組織與落實(shí)。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過(guò)程、程序和其他必需的文件等。3.5.3資源。提供體系運(yùn)轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機(jī)構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前，如果沒(méi)有設(shè)置相應(yīng)的信息安全組織機(jī)構(gòu)，那么建立體系所需要的資源（資金、人員等）就無(wú)法得到保障，企業(yè)的信息安全制度和策略也就無(wú)法貫徹落實(shí)，企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此，企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機(jī)構(gòu)，機(jī)構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個(gè)層次。4.1信息安全決策機(jī)構(gòu)。信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個(gè)層次，是本單位信息安全工作的最高管理機(jī)構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé)，對(duì)信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進(jìn)行審批，并為企業(yè)信息安全工作提供各類必要資源。4.2管理機(jī)構(gòu)。處于安全組織機(jī)構(gòu)的第二個(gè)層次，在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下，主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作，此類工作大部分都由企業(yè)的信息化部門承擔(dān)。4.3執(zhí)行機(jī)構(gòu)。處于信息安全組織機(jī)構(gòu)的第三個(gè)層次，在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下，負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù)，通過(guò)具體技術(shù)手段落實(shí)安全策略，消除安全風(fēng)險(xiǎn)，以及發(fā)生安全事件后的具體響應(yīng)和處理，執(zhí)行機(jī)構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中，已明確了信息安全管理體系建立的10項(xiàng)強(qiáng)制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實(shí)際情況，遵照這些內(nèi)容和步驟，建立自己的信息安全管理體系，并形成相應(yīng)的體系文件。5.1建立的步驟。（1）結(jié)合企業(yè)實(shí)際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構(gòu)建目標(biāo)框架、風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等，形成方針文件。（3）確定風(fēng)險(xiǎn)評(píng)估方法。（4）識(shí)別信息安全風(fēng)險(xiǎn)，主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。（5）進(jìn)行安全風(fēng)險(xiǎn)分析評(píng)價(jià)，編制評(píng)估報(bào)告，確定信息安全資產(chǎn)保護(hù)清單。（6）明確安全保護(hù)措施，編制風(fēng)險(xiǎn)處理計(jì)劃。（7）制定工作目標(biāo)、措施。（8）管理者審核、批準(zhǔn)所有殘余風(fēng)險(xiǎn)。（9）經(jīng)管理層授權(quán)實(shí)施和運(yùn)行安全體系。（10）準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致，同時(shí)也要結(jié)合企業(yè)實(shí)際，確保員工遵照要求嚴(yán)格執(zhí)行。而且也要符合企業(yè)的實(shí)際情況和信息安全需要。在實(shí)際工作中，企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針，涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問(wèn)控制等；程序類主要是指“過(guò)程文件”，涉及輸入、處理與輸出三個(gè)環(huán)節(jié)，結(jié)果常以“記錄”形式出現(xiàn)；記錄類主要是記錄程序文件結(jié)果，常以是表格形式出現(xiàn)。至于適用性聲明文件，企業(yè)應(yīng)結(jié)合自身情況，參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險(xiǎn)評(píng)估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測(cè)量、管理評(píng)審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對(duì)自身業(yè)務(wù)、管理與信息系統(tǒng)等情況，制定自己獨(dú)有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實(shí)際要求，保證與企業(yè)其他體系文件協(xié)調(diào)一致，避免沖突，同時(shí)在文字描述準(zhǔn)確且無(wú)二義。

6體系實(shí)施與運(yùn)行

主要包括策略控制措施、過(guò)程和程序，涉及制定和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、選擇控制措施與驗(yàn)證有效性、安全教育培訓(xùn)、運(yùn)行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評(píng)審

主要指對(duì)照策略、目標(biāo)與實(shí)際運(yùn)行情況，監(jiān)控與評(píng)審運(yùn)行狀態(tài)，主要涉及有效性評(píng)審、控制措施測(cè)試驗(yàn)證、風(fēng)險(xiǎn)評(píng)估、內(nèi)部審核、管理評(píng)審等環(huán)節(jié)，并根據(jù)評(píng)審結(jié)果編制與完善安全計(jì)劃。

8體系的保持和改進(jìn)

主要是依據(jù)監(jiān)視與評(píng)審結(jié)果，有針對(duì)性地持續(xù)改進(jìn)。主要包括改進(jìn)措施、制定完善措施、整改總結(jié)等，同時(shí)需相關(guān)方進(jìn)行溝通，確保達(dá)到預(yù)計(jì)改進(jìn)標(biāo)準(zhǔn)。

9結(jié)語(yǔ)

企業(yè)信息安全重要性范文第4篇

[關(guān)鍵詞]電力企業(yè)；信息安全；運(yùn)行維護(hù)

doi：10.3969/j.issn.1673 - 0194.2016.16.000

[中圖分類號(hào)]TM73；TP309 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2016）16-00-02

1 我國(guó)電力企業(yè)的信息系統(tǒng)存在的問(wèn)題

1.1 電力企業(yè)的信息安全意識(shí)比較差

信息化給企業(yè)帶來(lái)的各方面積極作用已經(jīng)被人們熟知和認(rèn)可，然而，信息技術(shù)的作用在被人們關(guān)注的同時(shí)，信息化安全方面的問(wèn)題層出不窮。安全問(wèn)題出現(xiàn)的原因主要是由電力企業(yè)基層員工的安全意識(shí)較差造成的。近幾年來(lái)，隨著信息安全事件的不斷出現(xiàn)，電力企業(yè)的管理者加大了對(duì)安全問(wèn)題的重視，其安全意識(shí)不斷提高，但是電力企業(yè)的基層員工對(duì)于信息安全的重要性認(rèn)識(shí)還不足，造成了企業(yè)的信息安全問(wèn)題依然不斷出現(xiàn)。一方面，電力企業(yè)信息安全問(wèn)題直接影響企業(yè)的管理，對(duì)于基礎(chǔ)員工的直接影響較小，因此，對(duì)于信息安全問(wèn)題電力企業(yè)的管理者比較敏感，電力企業(yè)的基層員工的安全意識(shí)比較差。另一方面，電力企業(yè)的管理層雖然提高了對(duì)信息安全問(wèn)題的重視，但是卻很少有企業(yè)制定切實(shí)可行的規(guī)章制度或者解決措施，更沒(méi)有把相關(guān)的規(guī)章制度有效的執(zhí)行下去，落實(shí)到企業(yè)每個(gè)員工的身上，因此，電力企業(yè)的基層員工對(duì)于信息安全的認(rèn)識(shí)不足，安全意識(shí)相對(duì)較差。

1.2 電力企業(yè)信息系統(tǒng)的技術(shù)性較差

信息技術(shù)隨著社會(huì)的進(jìn)步在不斷的革新。因此電力企業(yè)的信息系統(tǒng)必須要隨著信息技術(shù)的進(jìn)步不斷的變化，由此可知，電力企業(yè)的信息系統(tǒng)是動(dòng)態(tài)的發(fā)展過(guò)程，因此，電力企業(yè)在應(yīng)用全新的信息系統(tǒng)的過(guò)程中難免存在技術(shù)缺陷，這就為電力企業(yè)日常的經(jīng)營(yíng)與管理埋下了安全隱患，一旦出現(xiàn)安全問(wèn)題，企業(yè)的重要信息資源可能被盜取，直接影響企業(yè)的經(jīng)濟(jì)利益以及長(zhǎng)期穩(wěn)定的發(fā)展。例如：TCP/IP協(xié)議設(shè)計(jì)如果不夠全面、科學(xué)就會(huì)直接導(dǎo)致信息系統(tǒng)的軟件和硬件存在安全隱患，嚴(yán)重時(shí)會(huì)導(dǎo)致企業(yè)的軟件崩潰，企業(yè)的重要信息資源也將瞬間化為烏有，影響企業(yè)的日常管理，對(duì)于企業(yè)長(zhǎng)期穩(wěn)定的發(fā)展非常不利。

1.3 信息系統(tǒng)的管理水平相對(duì)較低

信息系統(tǒng)安全問(wèn)題給電力企業(yè)帶來(lái)的危害是巨大的，這一點(diǎn)已經(jīng)引起了電力企業(yè)管理層的高度重視，然而，目前電力企業(yè)的信息系統(tǒng)管理水平不是很高，企業(yè)管理中的漏洞給信息系統(tǒng)帶來(lái)了很多問(wèn)題；部分管理人員在管理信息系統(tǒng)的過(guò)程中疏忽大意，增加了企業(yè)信息系統(tǒng)安全問(wèn)題發(fā)生率；信息操作人員的操作程序不規(guī)范，一旦信息系統(tǒng)出現(xiàn)問(wèn)題，企業(yè)的管理者不能第一時(shí)間知道是哪個(gè)程序出現(xiàn)了問(wèn)題，從而不能及時(shí)解決信息安全問(wèn)題，最終可能影響到企業(yè)的信息安全，給企業(yè)帶來(lái)巨大的損失。

1.4 電力企業(yè)信息系統(tǒng)集成性低

電力企業(yè)的業(yè)務(wù)部門相對(duì)較多，各個(gè)部門之間缺乏必要的溝通和有效的滲透，因此，企業(yè)信息系統(tǒng)的集成性較低。企業(yè)的信息系統(tǒng)中，各個(gè)部門的相關(guān)業(yè)務(wù)相互獨(dú)立，相互之間缺乏聯(lián)系，使得企業(yè)的信息系統(tǒng)中各個(gè)部門之間的數(shù)據(jù)信息存在很大的差距，各種信息的相關(guān)性不高，數(shù)據(jù)信息之間的聯(lián)系非常小，信息數(shù)據(jù)不能有效地銜接在一起。最終使企業(yè)信息化缺乏整體性，信息化應(yīng)用的最終目的不能實(shí)現(xiàn)，電力企業(yè)及時(shí)信息化程度非常高，難以實(shí)現(xiàn)信息化給企業(yè)帶來(lái)的優(yōu)勢(shì)。

2 加強(qiáng)電力信息安全運(yùn)行維護(hù)與管理的措施

2.1 提高企業(yè)信息安全意識(shí)，不斷完善企業(yè)的安全管理制度

電力企業(yè)必須認(rèn)識(shí)到應(yīng)用信息技術(shù)的前提就是要保證企業(yè)信息的安全性，如果不能有效地保證企業(yè)信息的安全，那么電力企業(yè)應(yīng)用信息技術(shù)的初衷將不能很好的實(shí)現(xiàn)。為了有效提高企業(yè)的安全意識(shí)，首先，電力企業(yè)的管理者人員應(yīng)該加強(qiáng)對(duì)企業(yè)員工信息安全知識(shí)的教育，讓每個(gè)工作人員都能意識(shí)到信息安全的重要性，積極地為企業(yè)提高信息安全出謀劃策。其次，電力企業(yè)應(yīng)該積極地學(xué)習(xí)西方先進(jìn)的安全防范措施，根據(jù)自身的實(shí)際情況制定有效的措施。最后，電力企業(yè)應(yīng)該制定完善的安全管理制度，合理保證企業(yè)信息的安全性。在制定安全管理制度的過(guò)程中一定要保證責(zé)任到人，一旦出現(xiàn)信息安全問(wèn)題，電力企業(yè)能夠第一時(shí)間找到問(wèn)題的所在，及時(shí)解決相關(guān)問(wèn)題，同時(shí)還能追究直接責(zé)任人的相關(guān)責(zé)任，保證企業(yè)安全制度落實(shí)到實(shí)處。

2.2 提高信息系統(tǒng)技術(shù)水平

面對(duì)技術(shù)缺陷，電力企業(yè)應(yīng)該積極的提高信息系統(tǒng)的技術(shù)水平，采取有效措施避免系統(tǒng)缺陷導(dǎo)致的安全問(wèn)題。首先，電力企業(yè)應(yīng)該設(shè)置有效的應(yīng)急措施，一旦信息系統(tǒng)出現(xiàn)技術(shù)上的問(wèn)題，必須要保證信息的完整性，防止不法分子利用技術(shù)缺陷來(lái)危害企業(yè)的信息系統(tǒng)。例如：企業(yè)可以安裝自動(dòng)報(bào)警系統(tǒng)，一旦發(fā)現(xiàn)有人利用技術(shù)缺陷盜取企業(yè)的數(shù)據(jù)信息，第一時(shí)間報(bào)警，讓相關(guān)人員采取應(yīng)急措施防止企業(yè)信息泄露。其次，電力企業(yè)應(yīng)該不斷提升信息系統(tǒng)的技術(shù)水平，加強(qiáng)對(duì)信息技術(shù)的研究與探索，利用高級(jí)、精密、尖端的技術(shù)來(lái)規(guī)避企業(yè)信息系統(tǒng)中的技術(shù)缺陷，保證企業(yè)信息的安全。再次，電力企業(yè)要加強(qiáng)網(wǎng)絡(luò)防護(hù)技術(shù)在信息系統(tǒng)中的應(yīng)用，安裝IDS以及IPS技術(shù)系統(tǒng)加強(qiáng)企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)防護(hù)能力。最后，電力企業(yè)應(yīng)該啟動(dòng)安全審計(jì)系統(tǒng)，對(duì)企業(yè)信息系統(tǒng)進(jìn)行嚴(yán)格的審計(jì)，一方面，企業(yè)能夠第一時(shí)間發(fā)現(xiàn)信息系統(tǒng)的問(wèn)題，及時(shí)解決相關(guān)問(wèn)題；另一方面，通過(guò)審計(jì)系統(tǒng)的分析，企業(yè)能夠全面了解信息系統(tǒng)的運(yùn)行情況，幫助企業(yè)更好地查看信息系統(tǒng)的運(yùn)行狀況。

2.3 提高信息管理的水平

電力企業(yè)的管理者在重視信息安全問(wèn)題的同時(shí)，必須加強(qiáng)對(duì)信息的管理，提升企業(yè)的信息管理水平。制定嚴(yán)格的工作責(zé)任制，一旦發(fā)現(xiàn)信息安全問(wèn)題，做到責(zé)任到人，防止管理人員由于麻痹大意而導(dǎo)致的信息安全問(wèn)題。作為信息管理人員，如果自身的管理范圍內(nèi)出現(xiàn)了信息安全問(wèn)題，企業(yè)一定會(huì)追究其管理責(zé)任，這對(duì)于提高管理人員的警惕性，減少其麻痹大意的作用非常有效。電力企業(yè)對(duì)于信息系統(tǒng)的操作人員要進(jìn)行定期培訓(xùn)，強(qiáng)調(diào)信息操作標(biāo)準(zhǔn)的重要性，對(duì)于不嚴(yán)格按照信息操作標(biāo)準(zhǔn)操作的工作人員進(jìn)行嚴(yán)厲處罰，情節(jié)嚴(yán)重的給予開(kāi)除。另外，電力企業(yè)要加強(qiáng)對(duì)信息系統(tǒng)的維護(hù)，及時(shí)修復(fù)信息系統(tǒng)的漏洞，提高企業(yè)的信息管理水平。

2.4 提升電力企業(yè)信息系統(tǒng)的集成水平

信息系統(tǒng)的集成性是指企業(yè)在一定的技術(shù)指導(dǎo)下，能夠?qū)崿F(xiàn)對(duì)企業(yè)各個(gè)部門的有效調(diào)配，從整體上掌握企業(yè)日常運(yùn)行情況以及企業(yè)在日常管理中存在的問(wèn)題，滿足客戶對(duì)于企業(yè)的不同需求，在提高企業(yè)管理水平的同時(shí)，實(shí)現(xiàn)企業(yè)的高速發(fā)展。電力企業(yè)針對(duì)目前集成水平低的問(wèn)題，必須要引起高度重視，采取有效措施提高企業(yè)集成水平。首先，電力企業(yè)應(yīng)該加強(qiáng)各個(gè)部門之間的溝通與聯(lián)系，保證企業(yè)各個(gè)部門數(shù)據(jù)信息的銜接度。其次，電力企業(yè)應(yīng)該加強(qiáng)企業(yè)信息系統(tǒng)的一體化建設(shè)，站在企業(yè)的高度對(duì)企業(yè)中的財(cái)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)以及辦公系統(tǒng)進(jìn)行統(tǒng)一的管理與應(yīng)用，提升企業(yè)信息系統(tǒng)的集成水平。

3 結(jié) 語(yǔ)

電力是我國(guó)經(jīng)濟(jì)發(fā)展的基礎(chǔ)。電力企業(yè)必須擁有足夠的安全意識(shí)，保證企業(yè)長(zhǎng)期穩(wěn)定的發(fā)展。我國(guó)電力企業(yè)采用信息技術(shù)來(lái)幫助企業(yè)更好的運(yùn)營(yíng)和管理是很有必要的，其出發(fā)點(diǎn)與落腳點(diǎn)都非常符合我國(guó)市場(chǎng)經(jīng)濟(jì)發(fā)展的要求。然而，如果電力企業(yè)的安全防范不能及時(shí)地跟上企業(yè)信息技術(shù)的應(yīng)用步伐，那么電力企業(yè)應(yīng)用信息技術(shù)的目的不但不能實(shí)現(xiàn)，很可能會(huì)適得其反，使電力企業(yè)降低經(jīng)濟(jì)效益。

主要參考文獻(xiàn)

企業(yè)信息安全重要性范文第5篇

關(guān)鍵詞 信息安全事故；安全管理；事故致因理論

中圖分類號(hào) F49

文獻(xiàn)標(biāo)識(shí)碼 A

文章編號(hào) 1006-5024（2013）01-0055-04

一、引言

在信息化浪潮席卷全球的今天，信息的重要性不言而喻。我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化建設(shè)進(jìn)程全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息技術(shù)在提高企業(yè)服務(wù)水平、促進(jìn)業(yè)務(wù)創(chuàng)新、提升核心競(jìng)爭(zhēng)力等方面發(fā)揮了重要作用。但是，在進(jìn)行信息化建設(shè)的同時(shí)，各種信息安全事故卻頻繁發(fā)生。據(jù)普華永道2010年度全球信息安全調(diào)查報(bào)告顯示，中國(guó)企業(yè)信息安全事故發(fā)生率遠(yuǎn)遠(yuǎn)高于世界平均水平。網(wǎng)絡(luò)事故、數(shù)據(jù)事故及系統(tǒng)事故是中國(guó)企業(yè)常見(jiàn)的三大信息安全事故，發(fā)生率分別為51%、45%和40%，而相同事故在全球范圍內(nèi)的發(fā)生率則為25%、27%與23%。

大量文獻(xiàn)和事實(shí)表明，信息的特殊性決定了信息安全事故的高發(fā)性。信息具有易傳播、易擴(kuò)散、易毀損的特點(diǎn)，信息資產(chǎn)比傳統(tǒng)的實(shí)物資產(chǎn)更加脆弱，而其運(yùn)作的風(fēng)險(xiǎn)、收益和機(jī)會(huì)卻比實(shí)物資產(chǎn)大得多。企業(yè)對(duì)信息系統(tǒng)不斷增強(qiáng)的依賴性也增大了重要信息受到嚴(yán)重侵?jǐn)_和破壞的風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)常導(dǎo)致企業(yè)資產(chǎn)受損或業(yè)務(wù)中斷。

目前，對(duì)于信息安全的研究大多集中于技術(shù)層面，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測(cè)、身份認(rèn)證等，而從管理方面和流程優(yōu)化方面研究的較少。Ross Anderson（2001）認(rèn)為，信息安全的經(jīng)濟(jì)管理研究在某種程度上比技術(shù)研究更為重要。傅毓敏（2010）認(rèn)為，中國(guó)企業(yè)對(duì)信息安全管理人員和流程的重視不足是導(dǎo)致相關(guān)安全事故率居高不下的主要原因。因此，有必要系統(tǒng)分析企業(yè)信息安全事故發(fā)生的機(jī)理，以管理因素研究為核心，找出事故發(fā)生的根本原因。通過(guò)控制事故致因因素預(yù)防企業(yè)信息安全事故的發(fā)生，將對(duì)企業(yè)的信息安全管理有一定的指導(dǎo)意義。

本文將生產(chǎn)領(lǐng)域的事故致因理論應(yīng)用到信息安全事故分析中，系統(tǒng)分析企業(yè)信息安全事故的形成機(jī)理，將信息安全事故致因因素分為四部分，即環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素，分析各因素對(duì)信息安全事故的影響，構(gòu)建信息安全事故致因因素魚刺圖，并提出針對(duì)性的防范措施。

二、理論基礎(chǔ)

（一）國(guó)內(nèi)外從管理角度對(duì)信息安全事故的研究

國(guó)內(nèi)外的學(xué)者從不同角度對(duì)信息安全事故原因進(jìn)行了研究。Van Niekerk（2010）認(rèn)為企業(yè)信息安全文化氛圍是減少人為因素所導(dǎo)致的信息安全事故的關(guān)鍵；Knapp（2009）等先后對(duì)信息安全政策和信息安全事故之間的關(guān)系進(jìn)行了研究；Herath（2009）通過(guò)問(wèn)卷調(diào)研的實(shí)證研究驗(yàn)證了懲罰力度、壓力和員工的效果認(rèn)知會(huì)對(duì)其安全行為產(chǎn)生影響；Albrechtsen（2010）發(fā)現(xiàn)員工參與、集體反思和群體作用可以提高員工的信息安全意識(shí)，并改善其安全行為；Stanton（2005）研究發(fā)現(xiàn)終端用戶的安全行為會(huì)對(duì)企業(yè)信息安全管理產(chǎn)生影響；Ashenden（2008）通過(guò)實(shí)證研究發(fā)現(xiàn)信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝，雙方在理解上的差異會(huì)對(duì)企業(yè)的信息安全管理產(chǎn)生不利影響，增加了信息安全事故發(fā)生的幾率。此外，Vroom（2004）、Flowerday（2005）等學(xué)者也先后對(duì)此進(jìn)行了研究。

與國(guó)外相比，國(guó)內(nèi)對(duì)于信息安全的研究多集中于技術(shù)層面，涉及管理層面的研究較少。沈昌祥、張煥國(guó)、馮登國(guó)（2007）系統(tǒng)地闡述了信息安全理論及相關(guān)技術(shù)的發(fā)展；官巍、胡若（2007）從社會(huì)環(huán)境、商業(yè)、組織和個(gè)人的角度分析了電子商務(wù)的信息安全問(wèn)題；劉福來(lái)（2010）對(duì)中小企業(yè)信息化管理中存在的安全隱患和原因進(jìn)行了分析。

通過(guò)閱讀文獻(xiàn)發(fā)現(xiàn)，國(guó)外學(xué)者大多通過(guò)實(shí)證研究驗(yàn)證了一個(gè)或幾個(gè)因素對(duì)信息安全事故的影響，但是缺乏對(duì)信息安全事故的系統(tǒng)分析。國(guó)內(nèi)的研究多用于構(gòu)建信息安全管理體系，對(duì)信息安全事故的分析則鮮有研究。

（二）事故致因理論

在信息安全事故分析方法的選擇上，本文選擇了在生產(chǎn)領(lǐng)域廣泛應(yīng)用的事故致因理論。事故致因理論是研究分析導(dǎo)致事故發(fā)生原因因素的科學(xué)理論。它是描述事故成因、經(jīng)過(guò)和后果的理論，是研究人、物、環(huán)境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。

在早期的事故致因理論中，海因里希（W.H.Heinrich）的事故因果連鎖論最具代表性，它最先提出了物的不安全狀態(tài)和人的不安全行為是導(dǎo)致傷亡事故發(fā)生的兩個(gè)直接因素。在海因里希事故因果連鎖論的基礎(chǔ)上，博德（F.Bird）等又進(jìn)一步提出了把安全管理作為背后深層次的間接事故致因因素的現(xiàn)代安全科學(xué)觀點(diǎn)，認(rèn)為任何安全事故發(fā)生的深層次原因，都可以歸結(jié)為管理的失誤，人的不安全行為或物的不安全狀態(tài)不過(guò)是其背后的深層原因的征兆和管理失誤的反映。

本文依據(jù)博德（F.Bird）的現(xiàn)代安全科學(xué)觀點(diǎn)，提出如圖1所示的信息安全事故模型。信息安全事故的發(fā)生是由于人的不安全行為和物的不安全狀態(tài)作用在能量物質(zhì)/載體上的結(jié)果，而企業(yè)的管理因素是導(dǎo)致物的不安全狀態(tài)和人的不安全行為發(fā)生作用的直接因素。

三、信息安全事故分析

通過(guò)對(duì)各類型信息安全事故致因因素的分析，企業(yè)信息安全事故的致因因素大體可分為兩類，即人的因素和物的因素。其中，物的因素可進(jìn)一步分為環(huán)境因素、技術(shù)因素、設(shè)備因素等。根據(jù)實(shí)地調(diào)研和文獻(xiàn)梳理可以得出，企業(yè)文化的缺失、安全規(guī)章制度的不完善等環(huán)境因素是造成事故的深層原因。因此，本文將企業(yè)信息安全事故的可控致因因素整理歸納后分為四類，即環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素，并構(gòu)建了信息安全事故魚刺圖（見(jiàn)圖2）。

（一）環(huán)境因素分析

在信息化建設(shè)過(guò)程中，很多企業(yè)由于急需開(kāi)展業(yè)務(wù)，往往出現(xiàn)“先業(yè)務(wù)，后安全”的現(xiàn)象，安全管理嚴(yán)重滯后于業(yè)務(wù)的發(fā)展。在企業(yè)的內(nèi)部環(huán)境中，企業(yè)業(yè)務(wù)的符合性直接決定了信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、試用和管理是否超出法律規(guī)定和合同規(guī)定的安全要求的約束范圍。另外，很多企業(yè)安裝了一定的安全設(shè)備，但缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機(jī)制，企業(yè)安全責(zé)任不明確，這些都大大增加了信息安全事故發(fā)生的風(fēng)險(xiǎn)。由于缺乏業(yè)務(wù)連續(xù)性計(jì)劃和事故處理機(jī)制，發(fā)生信息安全事故之后，企業(yè)的業(yè)務(wù)往往會(huì)出現(xiàn)中斷，此時(shí)，信息管理人員又變成“救火員”恢復(fù)業(yè)務(wù)，最終信息安全建設(shè)變成一種“頭痛醫(yī)頭，腳痛醫(yī)腳”的亡羊補(bǔ)牢式的行為。此外，企業(yè)懲戒措施和審計(jì)機(jī)制的缺乏也是導(dǎo)致信息安全事故頻繁發(fā)生或重復(fù)發(fā)生的重要因素。

在信息安全管理的外部環(huán)境中，與企業(yè)密切相關(guān)的是第三方服務(wù)機(jī)構(gòu)或個(gè)人。企業(yè)選擇第三方服務(wù)機(jī)構(gòu)為企業(yè)提供服務(wù)，就意味著將企業(yè)的部分信息轉(zhuǎn)移至第三方。企業(yè)與第三方的外包合約不完善、第三方的服務(wù)質(zhì)量不高以及對(duì)第三方數(shù)據(jù)訪問(wèn)權(quán)限的不明確易導(dǎo)致企業(yè)關(guān)鍵數(shù)據(jù)的泄露，容易引發(fā)外部攻擊。

（二）人員因素分析

人員是信息安全管理中最為活躍的因素，不同類別的人員對(duì)信息安全事故的影響不盡相同。（1）管理人員。高層管理者是企業(yè)資源投入的決策者，也是企業(yè)信息安全管理的核心，高層對(duì)信息安全的支持和重視不夠是導(dǎo)致企業(yè)信息安全文化欠缺和員工信息安全意識(shí)淡漠的關(guān)鍵因素。中層管理者作為銜接企業(yè)高層和基層的橋梁，其對(duì)上級(jí)決策的執(zhí)行力度直接決定了企業(yè)信息安全管理實(shí)施的效果。（2）技術(shù)人員。在企業(yè)中，技術(shù)人員可以保證企業(yè)信息系統(tǒng)的日常運(yùn)營(yíng)和維護(hù)。但大多數(shù)企業(yè)，尤其是中小企業(yè)缺乏信息技術(shù)人才和安全監(jiān)察、審計(jì)人員。由于受人員及技術(shù)的限制，往往一個(gè)管理員既要負(fù)責(zé)系統(tǒng)的配置，又要負(fù)責(zé)系統(tǒng)的安全管理，安全設(shè)置和安全監(jiān)督都是“一肩挑”。這種情況使得管理權(quán)限過(guò)于集中，一旦管理員的權(quán)限失控，極易導(dǎo)致重要信息泄露。（3）基層人員。目前，我國(guó)企業(yè)的基層員工普遍缺乏信息安全的教育、培訓(xùn)，對(duì)信息安全意識(shí)淡漠，每天都在以不安全的方式處理著企業(yè)的大量重要信息，如隨意使用移動(dòng)設(shè)備、上網(wǎng)不限制等，這些不安全的行為都對(duì)企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。

（三）技術(shù)因素分析

信息安全技術(shù)是企業(yè)防范信息安全事故的基本因素，也是我國(guó)企業(yè)在信息安全管理中投入較多的一部分。具體而言，導(dǎo)致信息安全事故技術(shù)方面的因素可以分為兩大類：（1）軟件因素，包括軟件設(shè)計(jì)缺陷或存在技術(shù)漏洞、殺毒軟件不及時(shí)更新以及突發(fā)的軟件故障等。（2）信息系統(tǒng)設(shè)計(jì)因素，包括信息系統(tǒng)設(shè)計(jì)時(shí)沒(méi)有以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)、業(yè)務(wù)流程描述錯(cuò)誤或遺漏、前期測(cè)試不充分、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒(méi)有備份、信息資產(chǎn)安全等級(jí)不明確以及信息資產(chǎn)沒(méi)有保護(hù)措施等因素。這些不安全的技術(shù)因素導(dǎo)致了信息安全漏洞存在的必然性和普遍性。在目前互聯(lián)網(wǎng)普及的開(kāi)放網(wǎng)絡(luò)環(huán)境中，這些漏洞無(wú)疑會(huì)給外部攻擊者留下可乘之機(jī)，導(dǎo)致信息安全事故的發(fā)生。

（四）設(shè)備因素分析

企業(yè)信息安全管理的設(shè)備主要包括中心機(jī)房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路等方面，這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)。由于設(shè)備因素引起的信息安全事故包括硬件自身故障、保障設(shè)施故障、人為破壞事故、其他設(shè)備設(shè)施故障等四種，其致因因素可以歸納為三類：（1）物理安全方面，包括物理安全邊界不明確、非授權(quán)的物理訪問(wèn)、設(shè)備或存儲(chǔ)介質(zhì)缺乏安全措施、設(shè)施設(shè)備的非授權(quán)使用或移動(dòng)、硬件失效等。（2）保障設(shè)施方面，包括供電或空調(diào)中斷、電氣故障、電纜損壞等。（3）外界不可抗力，包括水災(zāi)、臺(tái)風(fēng)、地震等自然災(zāi)害和恐怖襲擊、戰(zhàn)爭(zhēng)等外界不可抗力因素。這些因素往往會(huì)造成設(shè)施設(shè)備硬件的損壞，導(dǎo)致存儲(chǔ)于設(shè)備上的數(shù)據(jù)受到干擾和破壞，容易引發(fā)企業(yè)業(yè)務(wù)的中斷。

四、防范措施

針對(duì)上述造成信息安全事故的因素分析，可以從人員培訓(xùn)、制度完善以及硬件改進(jìn)三個(gè)方面進(jìn)行防范。具體而言：

（一）建立有效的“人力防火墻”，減少人為因素導(dǎo)致的信息安全事故

信息安全是企業(yè)每個(gè)員工都要面對(duì)的問(wèn)題，通過(guò)建立“人力防火墻”能真正調(diào)動(dòng)企業(yè)實(shí)現(xiàn)長(zhǎng)治久安的內(nèi)在動(dòng)力。因此，必須加強(qiáng)信息安全宣傳工作，增強(qiáng)所有員工對(duì)信息安全重要性的認(rèn)識(shí)。通過(guò)增強(qiáng)管理人員對(duì)信息安全的重視，營(yíng)造企業(yè)的安全文化氛圍，提高企業(yè)員工的信息安全意識(shí)；通過(guò)對(duì)員工進(jìn)行安全教育與培訓(xùn)，增強(qiáng)員工的安全技能；通過(guò)法律法規(guī)、安全政策、訪問(wèn)權(quán)限與懲戒措施來(lái)約束員工的行為，減少不安全行為的發(fā)生。最終在企業(yè)內(nèi)部形成一種“信息安全，人人有責(zé)”的企業(yè)文化氛圍，減少人為因素導(dǎo)致的信息安全事故。

（二）完善企業(yè)信息安全管理體系，減少由于環(huán)境、技術(shù)因素導(dǎo)致的信息安全事故

信息安全管理體系是依據(jù)企業(yè)信息安全需求、業(yè)務(wù)流程分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果，綜合利用各種信息安全技術(shù)與產(chǎn)品，在統(tǒng)一的綜合管理平臺(tái)上建立的信息安全管理機(jī)制和防范體系。建立并完善信息安全管理體系，可以為企業(yè)的信息管理提供來(lái)自策略、設(shè)計(jì)以及運(yùn)行等各個(gè)層面和階段的安全保障，有效減少由于環(huán)境因素和技術(shù)因素引起的信息安全事故。建立災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃，強(qiáng)化重要信息數(shù)據(jù)備份，在信息安全事故發(fā)生時(shí)能確保業(yè)務(wù)持續(xù)開(kāi)展，將損失降到最低程度；建立集中化的管理控制機(jī)制，將數(shù)據(jù)安全控制進(jìn)行集中化管理，建立一個(gè)具有全局性的網(wǎng)絡(luò)管理平臺(tái)，以確保安全防范策略能夠由上至下全面貫徹執(zhí)行，減少數(shù)據(jù)安全風(fēng)險(xiǎn)；以“適度防范”為原則，選擇合適的安全技術(shù)與產(chǎn)品，制定相應(yīng)的訪問(wèn)控制策略，在考慮成本和投資回報(bào)的基礎(chǔ)上滿足企業(yè)業(yè)務(wù)安全的需求。