引言
在企业里,企业管理者对企业信息安全的要求决定了企业信息安全管理的深度。同时,信息管理部门对信息系统的管理和维护也决定了企业能否达到信息安全管理的设定目标。
1、企业管理者对企业信息安全管理的目标和责任
1.1企业管理者有责任推动企业信息管理的运行
企业管理者要确保企业信息安全,首先做到以下几个方面:第一,管理者要建立企业信息管理机构,创建企业信息管理框架,并且推动信息管理制度的建立。第二,企业管理者需要确保第三方合同的安全性,定义第三方合同的安全等级,尤其要控制第三方合同中要求访问企业信息系统的条款。
1.2企业管理者有责任对企业信息进行分类
企业管理者根据企业情况,对企业信息进行分类有助于实施企业信息安全管理策略并且保护企业资产。同时,这种合理的分类能使企业可以及时调整适当的财力、物力来对企业主要的信息数据及系统实施重点保护。但是,过度的保护不但浪费企业资源,还在很大程度上影响企业的正常经营;而如果保护不足,更有可能致使企业主要的信息数据以及系统产生巨大的安全隐患。根据对企业信息的分类,企业管理者可以对企业中的信息数据和系统指定相应的责任人,并要求落实登记。只有这样才可以对信息系统实行分级保护,实现有序、高效的安全管理。
1.3企业管理者有责任管理员工的信息安全
企业管理者必须要在企业员工中普及有关信息安全知识,同时强化信息安全意识,从而降低有意或无意的人为风险;要求所有员工能够理解企业信息安全的责任;要求所有员工阅读保密制度并签汀保密协议;根据企业处罚条例,对违反企业信息安全管理要求的员工进行处罚。
1.4企业管理者对信息访问权限的管理
企业管理者要确保完善可行的信息安全管理措施,针对企业实际情况确立角色、授权、访问控制的分配流程,根据流程对信息系统访问实行管理,能够有效阻止非授权人员访问信息系统,从而保证企业信息的保密性、完整性和可用性。
1.5企业管理者对业务连续性的管理
企业管理者应该制汀业务连续性计划,保证企业重要信息系统(包括硬件、软件、数据、物理环境及其基础设施)受到偶然的或者恶意的原因而遭到破坏、更改、泄露时能够快速反应,保持系统连续、可靠、正常地运行,信息服务不中断,最终实现企业的信息安全。
1.6企业管理者确保企业守法
作为企业管理者,应该学习、遵守国家关于信息安全相关的政策和法规,确保企业信息安全制度符合法律框架;遵守国家法律,实施版权保护措施,禁止企业内部非法使用拷贝版权产品;保护企业内部重要文档,防止出现丢失、篡改及破坏行为;当企业发生信息安全事故以及疑似信息安全事故时能够及时上报相关部门,并通过正确的渠道进行处理。
2、企业信息管理部门的安全责任
2.1企业信息管理部门需要保障环境和设备安全
企业信息管理部门必须确保信息设备存放在安全区域,如企业机房、机柜、档案室、机要室等,并制定严格的出入制度,保证访问处于可控状态。同时信息管理部门在选择设备存放地点时,必须保证设备环境安全,避免受水、电、雷击、电磁干扰、被盗等事件破坏;对于企业重要设备必须安装不间断电源(UPS)等防止设备出现突然断电;电气、网络的布线应符合国家安全规范,同时对信息管理部门等与设备接触的员工进行安全授权和相关知识培训;建立设备报废流程,确保报废设备内存储的企业信息及时彻底地清除。
2.2企业信息管理部门需要保证信息数据的安全
1)操作人员安全管理;信息管理部门根据需求对操作人员进行分级管理,通过各级账号权限的控制来实现对信息系统访问的安全控制。同时保证在操作人员变动等情况下及时更新访问权限。要求各级账号使用强密码,并通过安全的准入系统对登录请求进行验证。一是验证请求方式,当同一网段在单位时间内出现多次登录用户及密码错误时,应封闭其所在网段的数据请求并发出报警;二是验证系统安全,当操作人员登录系统后,对其使用的操作系统进行安全验证,并要求针对存在的安全隐患进行修复操作;三是检测登录用户操作是否影响信息系统的安全,防止非法操作;四是检测信息系统自身数据是否被篡改,并对所有登录用户的数据操作进行记录”。
2)数据安全管理;根据企业安全管理制度,保证数据存储设备(介质)的安全;针对企业重要数据进行硬件加密保护,对数据的操作需经主管领导审批通过后方可进行;定期进行数据备份,同时对备份数据通过多种方式存储,并异地存放。对企业重要信息系统必须进行内外网的物理分隔,对接入设备严格控制;互联网接口必须配置硬件防火墙,接入互联网的信息系统均要安装软件防火墙或杀毒软件,并定期对所有软件进行补丁更新;企业的硬件设备和软件提供商需要进行远程服务的,在工作结束后应立即断开连接,并且这种接入必须通过日志文件进行记录;所有与分支机构、客户、供应商等第三方的联网连接必须使用VPN,以防止信息被泄露、篡改和复制;在使用无线网络接入时必须通过企业信息管理部门的评估和企业管理者的批准,同时必须经过加密认证和访问控制;此外,企业信息管理部门有必要定期对信息系统的互联网接入进行审查。
2.3企业信息管理部门对信息系统开发和维护的管理
企业信息管理部门对信息系统开发和维护的管理主要是依据信息系统及软件安全的需求,依据新系统对企业数据的保密性、完整性和可用性需求,建立企业信息安全管理制度,建立用户分级管理标准;并对信息系统开发及支撑环境的安全提供保障,同时建立信息系统开发流程和软件升级的安全准则。
3、结语
综上所述,在企业信息安全管理过程中,企业管理者应该全面履行企业信息安全管理责任;企业员工应该积极落实企业制定的信息安全管理制度;信息管理部门应该依据企业制定的信息安全管理规划,实施和完善信息安全管理制度,只有同时做到这三个方面,才能有效地保证企业信息安全。
参考文献:
[1]谢芳,杨翠萍.信息技术安全策略的分析和研究田.现代电子技术,2009(14):109-111.
[2]孙博.企业信息安全及相关技术概述叶科技创新导报,2009(4):211.
[3]梅培.信息安全工程的经济分析模型叶中南财经政法大学研究生学报,2007(4): 41-44.