突破信息安全潛規(guī)則

申請免費試用、咨詢電話：400-8352-114

【泛普軟件時代，泛普軟件辦公系統(tǒng)，泛普軟件OA，OA辦公系統(tǒng)獨家】在解決信息安全的道路上，管理是根本，技術是保障。只有從管理、制度、技術等多方面保障信息安全，才能充分發(fā)揮企業(yè)信息資產的最大價值。

信息化在一定程度上是企業(yè)信息由過去的傳統(tǒng)紙介質走向電子化的過程，從而方便于企業(yè)信息共享、統(tǒng)計分析，最終成為企業(yè)運營管理決策的依據(jù)。信息安全就是在保障企業(yè)信息秘密的前提下，讓信息發(fā)揮出最大化的效益。為此，要在信息安全和信息效益兩者中找到平衡點。

理性對待信息安全

在企業(yè)的實際運營過程中，對待信息安全有兩種現(xiàn)象：一是高層管理者談安全色變，認為信息一旦電子化后，信息的安全性得不到保障。這已經(jīng)成為阻礙信息化實施的一個“潛規(guī)則”；二是IT人員簡單地認為，信息安全就是技術層次的問題，可以通過技術手段（例如防火墻、入侵檢測等）解決，偏重于考慮網(wǎng)絡安全，而沒有真正領會到領導的痛處。

筆者認為，在對待信息安全方面，有以下幾點需要明確：

1． 持續(xù)性：要求我們關注技術的發(fā)展，關注傳統(tǒng)信息安全與非傳統(tǒng)信息安全的演變；

2． 全面性：企業(yè)信息涵蓋企業(yè)經(jīng)營的方方面面，如產品配方、制造流程、生產工藝等，要關注信息流動的各個環(huán)節(jié)；

3． 復雜性：持續(xù)性、全面性的特點也恰恰決定了信息安全的復雜性。運用社會工程學，從技術體系的運用到改進管理體制的不足，可以徹底解決信息安全的被動局面；

4． 戰(zhàn)略性：管理者對信息安全的認識與理解是解決信息安全問題的根本動力，對企業(yè)信息安全的實施要上升到企業(yè)競爭情報與企業(yè)商業(yè)秘密保護的高度。

在解決信息安全的道路上，管理是根本，技術是保障。企業(yè)應該從管理與技術兩個層面來考慮信息安全問題。首先，應該從管理的戰(zhàn)略高度上重視信息安全，把信息安全提高到企業(yè)商業(yè)秘密保護的高度上，例如在企業(yè)審計過程中進行信息安全的審計。在國際注冊內部審計師認證考試中，信息系統(tǒng)的安全審計就是重要的一部分，包括對系統(tǒng)資源的管理和信息資源分級分類管理、信息系統(tǒng)賬戶的管理、安全事件的管理等。

其次，在技術層面，要利用相應的安全技術解決信息安全問題，這樣才能讓信息安全落地，如防火墻、入侵檢測、傳輸安全、數(shù)據(jù)庫安全、內部用戶的上網(wǎng)行為管理等，并且需要動態(tài)地跟蹤技術的進步。但技術不是目的，圍繞業(yè)務保障應用安全，再進一步促進應用的拓展才是目的。

構建企業(yè)信息安全管理體系

在充分認識管理與技術關系的基礎上，就需要從制度、流程、人三個方面構建企業(yè)信息安全管理體系。

1． 加強信息安全意識的培訓，首先是企業(yè)領導要認識到信息安全的重要性，還要對技術人員加強培訓，統(tǒng)一認識。

2． 配合著商業(yè)秘密保護，成立相應的專業(yè)機構，納入公司整體的商業(yè)秘密保護工作中，同集團的管理機構相結合。

3． 在具體工作上明確信息安全等級，根據(jù)各個應用系統(tǒng)的不同特點來定位需要哪種安全服務種類。并不是所有信息都要嚴格地實時傳輸，比如郵箱的信息在傳輸過程中可以有幾個小時的中斷，這就不一定都要采用最高安全級別，這樣劃分等級的話也可以降低企業(yè)在信息安全上的投資。

4． 制定信息安全的管理制度。比如在為用戶分配賬戶、密碼的同時，可以再加上令牌、鑰匙盤、key等硬件方面的認證手段，甚至配合級別更高的虛擬認證。另外，要制定健全的信息安全管理制度，為用戶設置不同的權限，用戶的賬戶密碼必須在使用一定時間后進行修改。

5． 在前面的基礎上做好人員和技術上的預防措施。人員是實施信息安全的操作者，對人員的預防措施更要考慮周到；同時，還不能完全信賴技術，在采用一些技術手段的同時，還要做好最壞的打算，防患于未然。

由于缺乏專業(yè)的信息安全知識，企業(yè)的管理者與信息化部門不了解信息安全的威脅在哪里，所以就產生了信息安全風險評估的潛在需求，風險評估的必要性已經(jīng)具備。對于信息安全風險評估的可行性，還需要在國家政策、行業(yè)標準、關鍵技術以及秘密保護（商業(yè)誠信）等方面進行推動。

企業(yè)信息安全管理體制的建立歸根結底是要根據(jù)企業(yè)的應用需求，企業(yè)財務、銷售、生產等不同流程的不同要求才是信息安全體制建立的最根本動力和目的。

督導落實信息安全

信息安全工作是企業(yè)商業(yè)秘密保護的重要組成部分，是一個涉及每個公司、每個部門甚至每個員工的系統(tǒng)工程。企業(yè)在制定完備的制度時，應加強對企業(yè)信息安全的督導和落實，根據(jù)企業(yè)各部門職責將專業(yè)指導分工與監(jiān)督落實相結合。

根據(jù)各公司、各部門的職責分工為企業(yè)落實信息安全保護措施提供專業(yè)性指導，形成完整的商業(yè)秘密保護體系；與商業(yè)秘密保護相關的專業(yè)機構要加強監(jiān)督檢查，及時發(fā)現(xiàn)和分析企業(yè)商業(yè)秘密保護工作中出現(xiàn)的問題，對信息安全工作進行補充完善，并總結、推廣先進的做法和成功的經(jīng)驗，努力探索企業(yè)商業(yè)秘密保護的有效途徑。

審計部門要把信息安全工作（商業(yè)秘密保護工作）審計作為日常審計工作的內容之一，形成正式的審計報告，提交公司決策層、管理層，促進信息安全工作。