企业信息安全管理现状与策略

时间:2022-02-24 09:01:38

导语:企业信息安全管理现状与策略一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

企业信息安全管理现状与策略

摘要:随着互联网、移动应用等信息化管理技术的发展与普及,企业面临的信息安全问题也日趋严峻,信息安全风险已渗透到企业经营管理的各个方面。通过对企业信息安全现状的分析,结合ISO27001信息安全管理体系模型,提出运用“技术+管理”的方法去解决企业所面临的信息安全问题,旨在为企业的信息安全管理提供帮助和指导。

关键词:信息安全;ISO27001;信息安全管理体系;管理

1企业信息安全管理现状

1.1信息安全技术问题

信息安全包括应用安全、数据安全、主机安全、网络安全、安全审计和安全管理等六个方面。因技术发展和资金投入的局限性,在企业信息系统设计开发过程中难免存在缺陷与漏洞,从而造成企业的信息安全隐患。此外,企业未成立专业部门、团队去开发、维护、更新企业信息系统,部分企业甚至无专业IT安全管理人员等,都会导致信息安全事件频发问题。

1.2信息安全管理问题

1.2.1缺乏统筹规划企业未根据自身的需求制定长远的信息安全管理规划。公司领导对信息安全规划参与度有限或受专业能力的限制,不能有效提出指导意见与发展方向。如安全目标不清晰、管理职责不明确、重要信息资产未管控等问题,都会引发企业的信息安全危机。1.2.2缺少信息安全管理制度在国家层面,因信息安全属于较新领域,政府已发布的信息安全法律法规并不完善,处罚力度与管制范围不能满足当前企业安全要求。在企业层面,多数企业尚未制定适宜本企业的信息安全管理制度,导致企业对信息安全管控薄弱,容易出现不安全事件。1.2.3员工安全意识薄弱员工不知晓自身在工作中所承担的信息安全职责,普遍认为信息安全是IT部门或系统管理员的事,不清楚企业的信息安全还包含人员信息、存储介质、应用系统、文件等多方面。据统计,多数企业出现信息安全问题的主要原因并不来自外界攻击,而是企业内部员工有意或无意间的信息泄漏。员工安全意识的薄弱,也是企业信息安全受到威胁的主要原因。1.2.4缺乏安全风险防控能力在现实中,部分企业在经营管理过程中缺乏安全风险防控意识,未建立“事故、事件”应急处置方案。对重要信息系统和资料未制定备份策略与恢复措施。一旦出现信息安全事件,只能被动接受或补救。不能做到“事前预防、事中控制、事后改进”的风险防控管理,严重影响了企业业务运行的连续性与可靠性。

2企业信息安全问题的应对策略

2.1加强基础设施建设,采用先进的安全技术手段

为保障企业的信息安全建设,最基本的条件是要提高企业安全技术能力与基础设施建设。企业应增加安全投入,购置性能较高的安全设备,采用先进信息安全技术手段来防止安全漏洞的产生。从技术角度,企业可从信息安全的三个主要领域“验证与授权、预防与防范、检测与响应”来开展工作。验证与授权,“验证”指系统要先确定用户的身份,再根据身份设置访问权限进行“授权”。验证与授权可采用:令牌、智能卡、指纹、人脸和声音等相关产品。预防与防范,指企业采用内容过滤、加密与防火墙等措施,防止非法入侵与非法访问系统,这也是企业必须加强的关键安全防御环节。检测与响应,是企业信息安全的最后一道防线,常用的检测与响应技术如杀毒软件等。

2.2引入ISO27001标准,构建信息安全管理体系

单纯依靠技术手段是无法有效保障企业的信息安全。因为企业的信息安全不是一个技术过程,而是一个管理过程。企业可结合目前国际上应用较广的ISO27001标准[1],搭建信息安全管理体系模型(如图1)。通过风险分析的方法,找出企业所面临的安全风险,制定相关管理要求或采用适宜的技术手段进行管控,来帮助企业有效的规避、降低风险,定期开展内外部审核监控活动,使体系实现PDCA持续改进循环,进而提升企业的信息安全保障能力。针对企业所面临的主要风险,借鉴ISO27001标准,从以下几个方面提出解决企业安全管理的相关措施。2.2.1加强统筹规划,健全信息安全组织架构为保障企业的信息安全目标能够实现,信息资源能够得到保障。企业领导应根据自身业务的发展需求,制定信息安全目标,搭建信息安全组织架构,明确相关职责和权限。决策层:由企业主抓信息安全工作的领导组成,负责企业信息安全规划、策略以及重大安全事件的审批,并提供相应信息资源支持。管理层:由企业的信息安全主管部门或IT部门承担,负责企业日常的信息安全管理、监督、考核与培训。执行层:由IT部门的技术人员与其它部门的专、兼职信息安全人员构成。负责落实安全措施,消除安全风险,以及安全事件发生后的应急响应和处理。2.2.2完善制度建设,规范安全管理流程企业管理离不开制度建设,全面、适宜的制度,会帮助企业快速、有效地落实安全职责。ISO27001标准附录A中[1-2],提出了企业在信息安全建设中主要涉及的14个管理领域与控制策略,企业可根据上述控制策略建立管理制度,从而完善企业的信息安全管理要求,可参考表1。2.2.3重视安全教育培训、培养安全责任意识“人”是企业在开展信息安全管理过程中最重要的因素。ISO27001标准中要求企业应对做好人员的安全审查与教育培训工作。在任用前,应进行员工背景调查,聘用合同中应列明员工需遵守的信息安全责任。在任用中,应定期举办信息安全教育培训类活动,将企业的信息安全管理要求对全员、外包人员,以及利益相关方人员知晓并遵守。在任用终止或变更时,应告之员工仍需遵守的信息安全责任及职责。2.2.4加强风险防控意识、建立应急保障机制企业可参考ISO27001标准中信息安全事件管理部分要求,建立并完善“事故、事件”应急处置流程,对安全事件进行分级、分类。企业应重视应急预案的制定与演练,对重要的信息系统与资料应制定备份策略与恢复措施,使企业真正实现“事前预防、事中控制、事后改进”的全面风险管理。

3结语

企业的信息安全离不开“技术”与“管理”,二者相融相依,共同促进。ISO27001标准的引入,可帮助企业从技术管理、风险管理、职责落实、制度建设、意识提升和应急响应等各个方面不断加强,有助于企业持续提升信息安全管理水平。

参考文献

[1]国际标准ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求[S].

[2]国际标准ISO/IEC27002:2013信息技术-安全技术-信息安全控制实用规则[S].

作者:张婉妮 单位:石化盈科信息技术有限责任公司