前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全調(diào)查報告范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

信息安全調(diào)查報告范文第1篇

根據(jù)市人民政府辦公室《關(guān)于開展政府信息系統(tǒng)安全的檢查的通知》(天政電[2010]52號)文件精神。我鎮(zhèn)對本鎮(zhèn)信息系統(tǒng)安全情況進行了自查，現(xiàn)匯報如下：

一、自查情況

(一)安全制度落實情況

1、成立了安全小組。明確了信息安全的主管領(lǐng)導和具體負責管護人員,安全小組為管理機構(gòu)。

2、建立了信息安全責任制。按責任規(guī)定:保密小組對信息安全負首責，主管領(lǐng)導負總責，具體管理人負主責。

3、制定了計算機及網(wǎng)絡(luò)的保密管理制度。鎮(zhèn)網(wǎng)站的信息管護人員負責保密管理，密碼管理，對計算機享有獨立使用權(quán)，計算機的用戶名和開機密碼為其專有，且規(guī)定嚴禁外泄。

(二)安全防范措施落實情況

1、計算機經(jīng)過了保密技術(shù)檢查，并安裝了防火墻。同時配置安裝了專業(yè)殺毒軟件，加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。

2、計算機都設(shè)有開機密碼，由專人保管負責。同時，計算機相互共享之間沒有嚴格的身份認證和訪問控制。

3、網(wǎng)絡(luò)終端沒有違規(guī)上國際互聯(lián)網(wǎng)及其他的信息網(wǎng)的現(xiàn)象，沒有安裝無線網(wǎng)絡(luò)等。

4、安裝了針對移動存儲設(shè)備的專業(yè)殺毒軟件。

(三)應急響應機制建設(shè)情況

1、制定了初步應急預案，并隨著信息化程度的深入，結(jié)合我鎮(zhèn)實際，處于不斷完善階段。

2、堅持和計算機系統(tǒng)定點維修單位聯(lián)系機關(guān)計算機維修事宜，并商定其給予鎮(zhèn)應急技術(shù)以最大程度的支持。

3、嚴格文件的收發(fā)，完善了清點、修理、編號、簽收制度，并要求信息管理員每天下班前進行系統(tǒng)備份。

(四)信息技術(shù)產(chǎn)品和服務國產(chǎn)化情況

1、終端計算機的保密系統(tǒng)和防火墻、殺毒軟件等，皆為國產(chǎn)產(chǎn)品。

2、公文處理軟件具體使用金山軟件的wps系統(tǒng)。

3、工資系統(tǒng)、年報系統(tǒng)等皆為市政府、市委統(tǒng)一指定產(chǎn)品系統(tǒng)。

(五)安全教育培訓情況

1、派專人參加了市政府組織的網(wǎng)絡(luò)系統(tǒng)安全知識培訓，并專門負責我鎮(zhèn)的網(wǎng)絡(luò)安全管理和信息安全工作。

2、安全小組組織了一次對基本的信息安全常識的學習活動。

二、自查中發(fā)現(xiàn)的不足和整改意見

根據(jù)《通知》中的具體要求，在自查過程中我們也發(fā)現(xiàn)了一些不足，同時結(jié)合我鎮(zhèn)實際，今后要在以下幾個方面進行整改。

1、安全意識不夠。要繼續(xù)加強對機關(guān)干部的安全意識教育，提高做好安全工作的主動性和自覺性。

2、設(shè)備維護、更新及時。要加大對線路、系統(tǒng)等的及時維護和保養(yǎng)，同時，針對信息技術(shù)的飛快發(fā)展的特點，要加大更新力度。

信息安全調(diào)查報告范文第2篇

根據(jù)BSA|軟件聯(lián)盟的一項調(diào)查顯示，全球范圍內(nèi)，每7分鐘就有一家企業(yè)遭到惡意攻擊。而根據(jù)普華永道的一項調(diào)查，2015年在中國內(nèi)地和香港企業(yè)監(jiān)測到的信息安全事件比2014年上升了5倍之多。僅在2015年，網(wǎng)絡(luò)攻擊給全球經(jīng)濟造成損失超過4000億美元，同時，超過4910億美元用于解決與非授權(quán)軟件相關(guān)的惡意軟件問題；全球31%的高管表示他們的品牌或聲譽因為安全事件而受到損害。而在這些觸目驚心的數(shù)字中，金融等關(guān)鍵行業(yè)更是重點攻擊和侵擾目標。

軟件資產(chǎn)管理（SAM）：超互聯(lián)時代信息安全的重要防線

超互聯(lián)環(huán)境下，信息安全建設(shè)是一個巨大的系統(tǒng)工程，需要整體調(diào)研、布局、部署、實施與維護，步步為營，方能將威脅與漏洞拒之于外。而在這個巨大的系統(tǒng)工程中，軟件資產(chǎn)管理（SAM）占據(jù)著極其重要地位。

但實際上，不少企業(yè)并沒有高度重視這自我檢查和管理的過程，導致企業(yè)信息系統(tǒng)面臨病毒和網(wǎng)絡(luò)攻擊等各種安全隱患。據(jù)BSA|軟件聯(lián)盟今年5月的一個軟件調(diào)查報告顯示，在全球所有已經(jīng)安裝的軟件當中，39%的軟件沒有經(jīng)過授權(quán)，而在金融、證券、保險等關(guān)鍵行業(yè)中，高達25%的軟件未經(jīng)過授權(quán)；全球49%的CIO意識到安全威脅來自于未經(jīng)許可的軟件，但是僅35%的企業(yè)制定了相關(guān)的書面政策。

對于金融證券業(yè)來說，如果不能合理有效的管理軟件資產(chǎn)，不能確保網(wǎng)絡(luò)中運行的軟件100%合法或已經(jīng)得到充分授權(quán)，無疑于是“引狼入室”般的行為――雖然金融證券業(yè)的正版軟件使用率一直領(lǐng)先于各行業(yè)，但25%的缺漏仍是讓人觸目驚心：這25%的背后更代表著軟件資產(chǎn)管理的巨大缺失與不足。當企業(yè)無法對與自身核心業(yè)務水融的軟件資產(chǎn)實現(xiàn)100%正版化時，這說明企業(yè)未能完全了解自身所面臨的各種安全風險，更未從軟件的采購、授權(quán)、部署、維護到回收的全生命周期管理著手，未雨綢繆，未能將這種風險防范于未然。

如何筑就網(wǎng)絡(luò)安全的重要防線

一般來說，僅需四步即可初步創(chuàng)建一個有效的軟件資產(chǎn)管理體系：

首先，需要對企業(yè)現(xiàn)有軟件資產(chǎn)進行審計，對所有的軟件及其合法性了然在胸，并確認這些軟件是否應該安裝，所有用戶是否都擁有適當許可。

第二步即是確定企業(yè)需要什么樣的軟件資產(chǎn)，這是對未來軟件資產(chǎn)布局的一個瞻望與部署。在了解企業(yè)已擁有什么樣的軟件資產(chǎn)之后，需要預測未來的需求，從這樣的執(zhí)行步驟中，或能發(fā)現(xiàn)可能的成本節(jié)約途徑，并更好地利用軟件許可協(xié)議中的維護條款。

第三步是制定健全的軟件政策和管理流程，涵蓋企業(yè)的IT前沿與核心部分，從采購流程開始，管理軟件資產(chǎn)的全生命周期。

而最后一步則是讓軟件資產(chǎn)管理成為企業(yè)的一個工作流程，必須監(jiān)控并確保企業(yè)始終遵守自己的軟件政策，并對員工開展持續(xù)的培訓。

信息安全調(diào)查報告范文第3篇

中小企業(yè)數(shù)量和信息化的程度越高，尾巴就越長；針對中小企業(yè)的攻擊越多，尾巴的厚度也就越大。

簡單來講，安全中的長尾現(xiàn)象是由信息安全攻守雙方的交錯制衡而產(chǎn)生的，具體表現(xiàn)有兩個：安全風險長尾和安全市場長尾。

安全風險長尾

2011年工信部的《“十二五”中小企業(yè)的成長規(guī)劃》中表明，到2010年末我國的中小企業(yè)數(shù)量是1100萬家，如果再加上個體工商戶，總共會達到4500萬家，這些中小企業(yè)在國家的國民生產(chǎn)總值，包括就業(yè)崗位累計起來已經(jīng)超過了大型企業(yè)。另據(jù)CNNIC的調(diào)查報告，中小企業(yè)使用計算機的比例在90%以上，使用互聯(lián)網(wǎng)的比例在85%以上。而這些中小企業(yè)目前的信息安全防范手段非常薄弱。國內(nèi)曾經(jīng)有一家公司做過調(diào)查，問中小企業(yè)安裝企業(yè)級殺毒軟件的比例有多少？調(diào)查結(jié)果是只有20%的中小企業(yè)用了企業(yè)級的殺毒軟件。而企業(yè)殺毒軟件僅僅是企業(yè)安全防御最基本的一種，由此可見國內(nèi)中小企業(yè)的安全防范水平非常低下，導致了廣泛存在的安全風險。

 

簡單講，中小企業(yè)面臨的風險有三種：第一、顯性風險，指安全問題會導致這個企業(yè)發(fā)生的直接損失，包括經(jīng)濟損失、名譽受損等。第二、隱性風險，指由于產(chǎn)業(yè)鏈條上不同企業(yè)具有的安全問題給鏈條之上其它企業(yè)帶來的安全風險。第三、社會風險，是指由于中小企業(yè)自身的計算機等設(shè)備被黑客控制后可能對社會造成的潛在風險。如果我們按照風險大小作為縱軸，將企業(yè)按照規(guī)模大小排列在橫軸上，因為在中國的中小企業(yè)數(shù)量非常巨大，所以橫軸就會非常長，并且形成了一個風險的長尾。中小企業(yè)數(shù)量和信息化的程度越高，尾巴就越長；針對中小企業(yè)的攻擊越多，尾巴的厚度也就越大，而這些就是目前的趨勢。我們有理由相信，位于長尾部分的中小企業(yè)的安全風險隨著目前這種趨勢會越來越大，甚至累加起來的總和會超過大型企業(yè)的累積風險。如果針對這部分安全風險長尾我們沒有進行適當?shù)目刂?，它對我們整個國家的社會環(huán)境和經(jīng)濟環(huán)境就可能會造成直接影響。

 

2011年CNCERT中國網(wǎng)絡(luò)安全狀況報告，表示經(jīng)抽樣調(diào)查發(fā)現(xiàn)在中國網(wǎng)絡(luò)中有890萬臺計算機是僵尸計算機，就是已經(jīng)被人惡意控制了。2012年，CDN廠商Akamai全球互聯(lián)網(wǎng)狀況分析報告，表示全球網(wǎng)絡(luò)攻擊來源地區(qū)第一名是中國。來源于中國的攻擊未必是中國人在背后操控，但是這樣會給人一種印象，認為中國的互聯(lián)網(wǎng)環(huán)境是不安全的。

 

安全市場長尾

既然中小企業(yè)數(shù)量這么大、風險這么高，那么為什么他們沒有實現(xiàn)有效的信息安全防護呢？其主要原因非常簡單，第一是沒有錢，第二是沒有人。即使企業(yè)規(guī)模很小，按照傳統(tǒng)的建設(shè)方式，企業(yè)也往往要一次性投入幾萬、幾十萬才可能建立相對完備的信息安全體系。此外，信息安全維護需要緊跟安全威脅的趨勢，但是中小企業(yè)很難有合適的安全技術(shù)人才對這些安全產(chǎn)品進行維護。中小企業(yè)自身沒有條件，那么安全廠商為什么不把這個目標瞄準這幾千萬家中小企業(yè)這個非常巨大的市場呢？作為一個安全廠商或安全集成商，給企業(yè)提供安全的產(chǎn)品和服務是有成本曲線的，包括推廣成本、銷售成本、運營成本。這些成本不隨著中小企業(yè)服務對象規(guī)模的縮小而降低為零，這個成本是相對固定的，而且在一定程度下會超過目標企業(yè)的預算。成本曲線和企業(yè)的預算曲線有一個交叉點，這個交叉點右側(cè)這部分對于安全從業(yè)者來講就無利可圖了。

 

下面，我們分析為什么我們可以利用云安全服務這種新興的安全建設(shè)方式來解決這個問題，將眾多中小企業(yè)原來由于成本問題而制約的需求釋放出來，形成一個新的安全長尾市場。首先從用戶投資角度分析，他們只需要按需租用云安全服務，而且可以根據(jù)公司規(guī)模進行彈性地租用。從用戶維護來講，是不需要企業(yè)客戶來費心的，基本所有維護都是由云安全服務商進行，這樣，困擾中小企業(yè)的錢和人的問題就解決了。從云安全服務商來講，采用SaaS這種模式的安全服務非常類似于互聯(lián)網(wǎng)產(chǎn)品，它的渠道建設(shè)、銷售、服務等都可以采用在線的方式，因此成本曲線會下降，從而降低到了中小企業(yè)客戶可以承擔的程度，這樣就形成了一個巨大的新的安全市場。

 

目前越來越多的安全廠商和服務商開始在云安全服務市場發(fā)力。McAfee在全球聯(lián)合很多運營商和服務合作伙伴企業(yè)提供多種類型的云安全服務，在這個領(lǐng)域具有超過十年的經(jīng)驗，在中國也聯(lián)合國內(nèi)的合作伙伴落地了部分云安全服務。之前數(shù)月內(nèi)，中國電信安全服務中心了網(wǎng)站保護“安全云服務”，進入了這個廣闊的市場。安全行業(yè)先驅(qū)、原Netscreen創(chuàng)始人鄧峰先生投資了云安全服務企業(yè)安全寶，為這個市場添加了濃墨重彩的一筆。

 

信息安全調(diào)查報告范文第4篇

關(guān)鍵詞：云；云計算；云安全

中圖分類號：TP393.01

自2006年谷歌公司提出云、云計算概念、理論及推出的“云計劃”，世界上各大IT公司陸續(xù)推出自己的“云計劃”。由于云計算，以其低成本 、高度自動化、無限存儲擴展性、高度靈活性、無需基建投資等等的巨大優(yōu)勢，迅速成為IT行業(yè)發(fā)展的方向，并成為各國最優(yōu)先發(fā)展的技術(shù)之一。隨著云計算技術(shù)的發(fā)展，各種云計算應用，諸如：云辦公、云安全、云存儲、云打印、云通訊等等相繼推出。特別是在大眾消費電子、信息技術(shù)產(chǎn)品上諸如：“云手機”、“云電視”、“云殺毒”、“云游戲”……各種“云概念”產(chǎn)品和服務急劇增加，似乎世界一下進入到“云計算時代”。

然而，在人們享用云計算的好處的同時，云的安全和風險日益成為阻礙云計算發(fā)展的現(xiàn)實問題。也就是說，云安全日益成為阻礙云計算產(chǎn)業(yè)發(fā)展的瓶頸。進而影響到整個信息產(chǎn)業(yè)的發(fā)展。

1 在我們探討云安全之前，我們先來了解下，什么是云？什么是云計算？

云，這個概念由谷歌公司提出。因其無邊的擴展性而形象的取名。實際上，云指的是一些可以自我維護和管理的虛擬計算資源，通常為一些大型服務器集群，包括計算服務器、存儲服務器、寬帶資源等等。

云計算，也由谷歌公司提出。是將所有的計算資源（云）集中起來，并由軟件實現(xiàn)自動管理。是一種基于互聯(lián)網(wǎng)的計算方式，通過這種方式，共享的軟硬件資源和信息可以按需提供給計算機和其他設(shè)備。具體說，是指建立功能強大的數(shù)據(jù)中心，用戶最大程度簡化個人客戶端，接入數(shù)據(jù)中心進行存儲和運算。就像過去打井取水，現(xiàn)在則從自來水公司購買水喝。簡單說，云計算，就是非本地計算。

對于用戶而言，云安全問題的解決是關(guān)系到云服務能否得到認可的關(guān)鍵因素。對于云計算的應用而言，云安全也是云計算應用的主要障礙之一。比如：計算資源的系統(tǒng)發(fā)生故障，缺乏統(tǒng)一的安全標準、安全法規(guī)，以及隱私保護、數(shù)據(jù)屬權(quán)、遷移、傳輸、安全、災備等問題如何有效的解決。

2 目前，云安全主要體現(xiàn)在用戶數(shù)據(jù)的隱私保護和傳統(tǒng)互聯(lián)網(wǎng)、硬件設(shè)備的安全這兩方面

（1）用戶數(shù)據(jù)的隱私保護。在云計算出來之前，用戶信息存儲于自己的電腦中，是受法律保護的，任何人不經(jīng)許可是不能查看、使用這些信息的。

但是當用戶信息成為云計算的資源儲存在云上時，任何人使用這些信息，導致隱私泄漏，尚沒有法律依據(jù)如何進行處罰。

另外云服務提供商對登記注冊管理不嚴格，也極有可能造成不良分子注冊成功并對云服務進行攻擊，造成云的濫用、惡用以及對云服務的破壞。

（2）互聯(lián)網(wǎng)、硬件設(shè)備的安全。云中可能存在不安全的接口和API，且用戶數(shù)據(jù)集中在此，更容易受到黑客攻擊和病毒感染。當遇到重大事故時，云系統(tǒng)將可能面臨崩潰的危險。

2.1 那么如何才能實現(xiàn)云安全？

必須解決以下幾個問題：首先，健全法律法規(guī)，保障云計算用戶象相信銀行一樣，相信云服務提供商，樹立云服務提供商的公信力，使用戶象在銀行存錢一樣，把數(shù)據(jù)存在云服務提供商那里。其次，保障不同用戶之間相互隔離，互不影響，防治用戶“串門”。第三，租用第三方的云平臺，必須考慮解決云服務提供商管理人員權(quán)限的問題。第四，傳統(tǒng)互聯(lián)網(wǎng)服務為避免單點故障，使用了雙機備份：主服務器停止服務，備用服務器隨即啟動提供服務。但是在云環(huán)境下，一旦云服務提供商的服務停止了，將會影響到一大片用戶，其損失很可能是巨大的。因此必須解決云服務突然終止所帶來的風險問題。

2.2 那么如何實施應用具體的云安全技術(shù)解決云安全問題？

云中數(shù)據(jù)安全：目前，云中數(shù)據(jù)安全防護技術(shù)主要有：增強加密技術(shù)、密鑰管理、數(shù)據(jù)隔離、數(shù)據(jù)殘留等，用這些技術(shù)來解決用戶數(shù)據(jù)在云端計算、存儲及數(shù)據(jù)的歸屬權(quán)、管理權(quán)相分離，帶來的數(shù)據(jù)安全問題。

云計算的虛擬化安全：云計算的特征之一是虛擬化。虛擬化的安全直接關(guān)系到云計算的安全。虛擬化技術(shù)雖然加強了基礎(chǔ)設(shè)施、軟件平臺、業(yè)務系統(tǒng)的擴展能力，但卻使傳統(tǒng)物理安全邊界逐漸缺失，使基于以往的安全域/安全邊界的防護機制不能滿足虛擬化環(huán)境下的多租戶應用模式。

云環(huán)境中存在著虛擬化軟件安全和虛擬服務器安全兩方面問題。虛擬環(huán)境中的安全機制與傳統(tǒng)物理環(huán)境中的安全措施相比，仍有差距。因此，在云計算環(huán)境下，用戶需要了解用戶及云服務提供商雙方所要承擔的安全責任，只有用戶與云服務提供商共同承擔安全責任，才能保證云計算環(huán)境的安全。

云終端的安全：目前可以從云終端的基礎(chǔ)設(shè)施、硬件芯片可信技術(shù)、操作系統(tǒng)安全機制、應用安全更新機制等四個方面進行云終端安全防護。

云計算的應用安全：由于云環(huán)境的靈活性、開放性以及公眾可用性等特性，給應用安全帶來很大挑戰(zhàn)。云服務提供商在部署應用程序時應當充分考慮可能引發(fā)的安全風險。對于使用云服務的用戶而言，應提高安全意識，采取必要措施，保證云終端的安全。如用戶在處理敏感數(shù)據(jù)的應用程序與服務器之間通信時采用加密技術(shù)。用戶應建立定期更新機制，及時為使用云服務的應用打補丁或更新版本。

云計算產(chǎn)業(yè)發(fā)展的核心是服務，因此，為保證云計算服務的可靠性、易用性、可操作性、安全性和穩(wěn)定性，必須在數(shù)據(jù)遷移、備份、加密以及位置控制方面深入探索、研究。同時，要不斷完善云計算相關(guān)的法律法規(guī)，讓用戶象在銀行存錢那樣對使用云計算有信心。但無可否認，除了不斷探索、研究、推廣成熟的云計算安全技術(shù)之外，用戶的自我防護意識也需要加強。

當然，在相關(guān)云計算技術(shù)和標準尚未成熟的今天。若想解決云計算的安全問題，需要政府大力支持和業(yè)界的廣泛聯(lián)合，組成一個完整的生態(tài)系統(tǒng)，共同實現(xiàn)云計算的安全。

附錄一：《2010中國云計算調(diào)查報告》關(guān)于云安全在中國應用狀況調(diào)查的主要結(jié)論：

（1）針對云安全的三種說法，都有相當?shù)挠脩粽J可（三種提法：1、云安全是利用云計算技術(shù)提升信息安全；2、云安全是安全即服務；3、云安全是解決云計算技術(shù)本身安全的問題）。

（2）在安全即服務廠商認知度調(diào)查中，奇虎360、瑞星、卡巴斯基等廠商表現(xiàn)較突出。

（3）企業(yè)用戶對數(shù)據(jù)安全與隱私關(guān)注度最高。

（4）不同規(guī)模企業(yè)對于云殺毒的價值訂可度存在差異。

（5）用戶對云安全的發(fā)展趨勢持樂觀態(tài)度。

附錄二：《2012年中國云計算安全調(diào)查報告》調(diào)查結(jié)果：

（1）在云計算部署模型中，企業(yè)認為私有云是最安全的，其次為基礎(chǔ)設(shè)施即服務（IaaS），平臺即服務（PaaS）位居第三。

（2）在云計算部署模型中，企業(yè)認為軟件即服務（SaaS）是最不安全的，其次為混合式（有的是內(nèi)部管理資源，有的是來自于IaaS/PaaS/SaaS廠商）。

（3）企業(yè)表示永遠不會遷移到云端的特殊類型數(shù)據(jù)依次為信用卡數(shù)據(jù)、商業(yè)或者合作伙伴的財務數(shù)據(jù)和客戶身份信息。

（4）對于云計算/云服務，企業(yè)最關(guān)心的三個主要的安全問題是賬戶劫持、云數(shù)據(jù)訪問以及特定云攻擊/威脅（非目標性的）。

參考文獻：

[1]薄明霞.淺談云計算的安全隱患及防護策略[J].信息安全與技術(shù)，2011，9.

[2]TechTarget中國.2012年中國云計算安全調(diào)查報告.

[3]盛拓-SEQUEL[J].云計算在中國的應用，2010-9.

信息安全調(diào)查報告范文第5篇

2013年中國網(wǎng)民遇到的各種安全問題的整體發(fā)生率如圖1所示。與2012年相比，2013年個人信息泄漏的比例有大幅的上升。從上圖也可看出，雖然個人信息泄漏被作為一個單獨項進行統(tǒng)計，但排在前三位的安全事件也是由個人信息的泄漏造成的。所以，綜合來看，個人的信息泄漏事件不容小覷。在這些事件的背后我們看到的是人員信息安全意識的缺失，企業(yè)信息安全管理的不足。為了幫助企業(yè)和個人提高信息安全意識水平，2012年底某IT企業(yè)了《2012年度中國企業(yè)員工信息安全意識調(diào)查報告》，經(jīng)過對被調(diào)查企業(yè)的管理層人員及普通員工的大量數(shù)據(jù)分析和統(tǒng)計，參與本次接受調(diào)查訪問者的信息安全意識評價平均得分為77.48分。其中，受訪者在移動存儲介質(zhì)安全方面的得分最高，為96.1分；在社會工程學信息安全方面的得分最低，為49.6分。因此，中國企業(yè)的信息安全意識依然有較大的提升空間。很多企業(yè)為保障企業(yè)數(shù)據(jù)信息安全，不惜花巨資投資購進防火墻、入侵檢測、防病毒等網(wǎng)絡(luò)安全產(chǎn)品。然而，企業(yè)內(nèi)的安全事件遠比管理者的預想更為復雜、更為寬泛，人員的誤操作或無作為也會使這些工具失去其應有的作用。只有提高人員的安全意識和技能，才能真正使企業(yè)的信息安全設(shè)備發(fā)揮應有的作用。

2目前企業(yè)人員的信息安全管理主要存在的問題

（1）全體工作人員的信息安全意識不高；

（2）信息安全專業(yè)人員數(shù)量較少，工作流程不清晰；

（3）信息安全崗位職責劃分模糊；

（4）管理層不重視；

（5）信息安全管理工作缺乏有效的考核和監(jiān)管機制。上述幾個問題看似不會影響正常的企業(yè)運作，但長期持續(xù)則會給企業(yè)的信息安全帶來巨大的隱患，存在較高的風險。有調(diào)查顯示，企業(yè)的信息泄漏事件70%-80%都由內(nèi)部人員造成。對于一些關(guān)系國計民生的企業(yè)，如電力、通信等，企業(yè)的信息一旦泄漏，將會產(chǎn)生巨大的社會影響，同時也會給企業(yè)造成巨大的損失。但是我們?nèi)匀豢梢酝ㄟ^對知悉或掌握企業(yè)核心資產(chǎn)和數(shù)據(jù)的人員加強信息安全管理與監(jiān)督，來提高信息安全整體水平。

3加強人員信息安全管理的具體措施

對于企業(yè)人員的安全管理措施有很多，國內(nèi)外的相關(guān)標準中都有相應的描述，如《薩班斯法案》《信息安全技術(shù)信息系統(tǒng)安全管理要求》ISO27000系列等，不同的標準要求亦有不同，但總體來說不外乎以下幾點。

（1）加強人員的信息安全保密意識與責任。任何企業(yè)的信息安全與保密都離不開人，信息安全每個步驟的操作與執(zhí)行都是由人來完成與實現(xiàn)的。如果企業(yè)內(nèi)相關(guān)人員的信息安全與保密意識薄弱，不小心造成某些敏感信息泄露，則比其他安全不足問題導致的損失更大。因此必須要不斷對相關(guān)崗位人員的信息安全意識、責任和職業(yè)道德進行培訓、指導與監(jiān)督。

（2）管理層重視。企業(yè)人員的信息安全管理是管理層的職責，所有的措施和方法都需要得到管理層的支持才能實施，否則再完美的方法也是毫無意義的。隨著各類信息安全事件的曝光，信息泄漏事件的頻發(fā)，特別是國家推行信息系統(tǒng)的等級保護政策以后，越來越多的管理層開始重視信息安全問題。

（3）明確本單位的核心信息安全資產(chǎn)。我們要對企業(yè)的核心信息安全資產(chǎn)加強保護，即主要是對企業(yè)內(nèi)部最核心的信息資產(chǎn)進行有效的保護，這對企業(yè)的信息安全尤為重要且非常有效。任何一個企業(yè)的資源都有限，信息安全工作相對于業(yè)務工作的投入來說一定較小一些，因此對核心的信息資產(chǎn)保護才是企業(yè)真正關(guān)心的內(nèi)容和工作。核心信息資產(chǎn)主要指價值比較高，一旦泄露可能會對企業(yè)造成比較大損失的資產(chǎn)，如企業(yè)的重要或敏感數(shù)據(jù)、存有重要敏感數(shù)據(jù)的紙質(zhì)和電子類的載體等企業(yè)的核心資產(chǎn)。明確核心資產(chǎn)信息安全也是對人員進行職責劃分的基礎(chǔ)。

（4）清楚劃分人員職責，嚴格進行權(quán)限分離。人員職責和權(quán)限對應組織的信息資產(chǎn)，一定程度上也決定了該人員在組織中的安全地位，職責不明確往往導致人員的無作為或誤操作，很多的信息安全隱患無法消除。如果明確了單位的核心資產(chǎn)，而人員的職責劃分不清晰，那也等于是無用功。很多單位由于信息安全人員數(shù)量有限，存在一人多崗的情況，很多核心的敏感的信息或功能掌握在一個人的手中，這就使得某個人或某幾個人的權(quán)限過大，導致內(nèi)部舞弊的風險增加。因此，首先要明確本單位需要設(shè)置的信息技術(shù)類崗位，并設(shè)置相應的人員，確保人員的配備遵循三權(quán)分離的原則，敏感的功能或較高的權(quán)限不能放在一個人手上，關(guān)鍵性的操作甚至需要多人同時在場，只有這樣才能最大限度地避免人員的內(nèi)部舞弊。

（5）嚴格選拔新進人員，考核在崗人員，審查離崗人員。選拔人員是人員信息安全管理的第一步，對人員進行嚴格的背景審查和技能考核是保障企業(yè)信息安全人員執(zhí)業(yè)技能和職業(yè)道德的重要措施。重要敏感崗位的人員應盡量從內(nèi)部進行選拔，避免直接任用外聘的人員；對于在崗的信息安全人員應定期進行考核和檢查，保證所有的工作都按正常的操作規(guī)程執(zhí)行，避免簡化流程的事情發(fā)生；對于離崗的人員應與之簽訂相關(guān)的協(xié)議說明，并立即更換其所掌握的關(guān)鍵認證信息，避免由于人員的流失導致信息的泄漏。

（6）建立信息安全管理工作的日常監(jiān)管和考核機制。信息安全管理執(zhí)行的主體是人，人的操作難免會有失誤或不當?shù)牡胤?，這些都是信息安全的風險隱患。所以應對人員的日常工作需建立考核和監(jiān)管機制，對人員的日常安全管理工作進行監(jiān)督并提前發(fā)現(xiàn)潛在風險，及時消除隱患，降低由于人員操作不當或惡意操作帶來的信息安全風險。

4結(jié)語