企业信息安全管理体系构建的要点与策略,信息管理论文.docx

企业信息安全管理体系构建的重点与策略,信息管理论文摘 要： 互联网时代，信息技术全面发展。信息技术的普及方便了企业的信息获取，但也给企业的信息管理带来了宏大的风险。信息分享时代，构建一个安全的信息管理体系，对于企业的发展有着重要的作用。加强企业的信息管理，不仅能够提升企业的竞争力，还能够推动企业的可持续发展。主要对企业信息安全的现在状况进行分析，并提出企业信息安全管理体系构建的有效策略。 本文关键词语 : 企业信息;信息技术;安全管理体系; 在经济全面发展的趋势下，信息化和工业化不断融合，企业的信息管理已经成为企业经营的重要部分，对于企业的设计研发、生产制造、业务销售等都有着重要的影响。数据时代，企业对于信息的应用越广泛，对信息体系的依靠就越强，企业所面临的信息风险越高。企业在发展的经过中，既要发挥信息化的优势和价值，也要做好信息的管理工作。要构建安全的信息管理体系，仅仅依靠技术是不够的，必需要将技术和管理进行有效的结合，只要这样，才能构建一个完好的安全体系，进而推动企业发展。 1. 企业信息安全管理的现在状况 1.1、 信息安全管理体系缺乏总体性的规划和策略 企业对于信息的安全管理，通常都交由IT部门管理，很多管理人员会觉得信息管理就是IT部门的事情。在这个基础上，企业的其他部门对于企业的信息安全建设，很少会关注，这是影响安全体系完好性的重要因素。IT部门的网络技术对于信息的保卫有一定效果，但却缺乏管理作用。企业信息牵涉到的人员包含各个部门，除了IT部门，很多部门的人员都会接触到企业的信息，IT部门只能从技术上对信息和数据进行保存，但内部的信息保卫，IT部门是没有办法完成的，这个环节需要专业的管理人员来规划和管理。安全体系缺乏完好性和总体性的规划，会让企业的信息建设过于零散，也没有办法对信息资源的提供方进行有效的防护。 1.2 、企业员工的信息安全意识薄弱，专业性人才缺乏 重技术、轻管理。 这是所有企业发展中普遍存在的问题，关于企业的信息安全问题，很多管理人员缺乏正确的认识，甚至有管理人员以为信息安全就是杀毒和安装防火墙。这样的认知不仅片面，还会让企业员工的安全意识变得薄弱。企业在发展的经过中，出于经济利益的考虑，都会让系统的管理人员承当管理和系统配置的双重责任，安全系统的设计和审核都是一人完成。要真正完成这两项工作，需要非常专业的信息安全管理人员，但大部分企业的系统管理人员都不是专业人员，所以很难将安全管理的工作进行到位，这会给企业的安全管理造成严重的隐患，也容易让企业信息处于失控的局面。 1.3、 信息安全缺乏体系化的管理 要对信息安全进行有效的关系，需要一个完好的体系，但实际管理工作开展的经过中，很多企业的管理方式都是零散和传统的。传统的管理方式是弥补，却没有查缺。基本都是管理经过中出了问题，再进行弥补，但没有出现问题之前，企业很少会进行预防。这种管理形式已经适应不了当代市场经济的发展了，对于信息安全的管理也不够全面。要对信息安全进行体系化管理，管理工作需要全面。预防、控制、改良、评估等环节缺一不可。 2. 企业信息安全管理体系构建的重点 2.1、 完善信息安全管理的组织机构 要构建一个完好的管理体系，企业必须对管理的组织机构进行完善，组建一个专门的管理机制。管理工作开展的经过中，要明确各个人员的职责，这样确保分工明确，职责到位。假如组织的机构不明确，安全管理工作开展的经过中，会出现人手缺乏的情况，对于管理工作的开展，也没有办法进行深切进入，这会降低管理工作的质量和力度。组织机构不够完善，也会让管理制度缺乏，这样容易造成信息安全事件，所以企业构建管理体系的时候，一定要加强管理机制的完善，如此图1所示。 图1 CISP知识体系构造 2.2、 对物理环境进行有效的管理 安全管理的经过中，环境管理也是工作的重要组成部分。安全管理中的物理环境主要是指机房、设备、消防等，物理环境管理中，支持设备的管理尤为重要，信息技术不断发展的经过中，对于计算机设备的要求也越来越高，所以安全管理工作开展的经过中，一定要加强对设备的管理。对于机房，企业能够根据业务发展的实际情况进行划分和评审，根据设备的系统模块建立相对应的管理制度。机房的消防管理也是安全重点，一定要构建消防系统，系统构建的经过中，要根据规定的消防要求。这个经过中，还要对工作人员进行消防知识的培训，和应急演练。定期检查消防设施安全，对于不符合规定的消防设施，及时更换和维护。对消防秩序进行监督和巡查，支持性的设备一定要建立监控系统，对于设备的资产管理、维护管理、系统应急等，一定要进行有效的管理，物理环境的管理是管理工作的基础，也是开展工作的前提。 2.3、 用户和操作管理 对所有设备的运行施行网络监控，要做到这一点，能够启动设备的日志功能。对于重要设备，能够构建集中日志管理服务器，这样能够对日志的审查进行分析。对设备进行定期维护，能够根据设备的重要性制定相对应的备份策略，对于设备的备份数据进行测试，这样能够保障数据的完好性和可用性。设置用户权限，遵循最小受权和权限分割的原则。所有账号开通之后，要对初始口令进行修改采用高级密码策略。对于密码的变更，要建立严格的管理流程，对于影响安全组织和信息处理设施的系统变更，要加以控制，严格规定操作流程，这样能够减少误用系统带来的风险。 2.4 、信息系统的开发、维护和获取管理 信息系统的获取和维护经过，也是安全管理的重要内容，使用安全系统和工具的经过中，要对内部的应用系统和工具提出安全需求，这个经过中，需要在开发需求文件中对安全需求定义。假如软件的开发经过中需要测试数据，一定要对数据进行选择、保卫和控制。对于个人信息和敏感信息一定要进行处理，严格控制访问的流程和相关资料。对于非受权的功能一定要进行控住，这样能够减少应用故障。 2.5、 业务连续性管理 对安全体系内的系统和设施进行业务连续性管理分析，分析管理体系中可能会面临的风险和故障，对风险进行等级评估。假如是不可接受的风险，能够采取降低风险措施，并构建应急方案。假如系统的运行环境发生了重大变化，要对系统的风险等级进行二次评估，根据应急的系统现在状况和需求，制定连续性计划。通过模拟测试的方式方法对计划进行评估和审查，假如系统出现危机，业务连续性管理特别重要，不仅提高了企业风险防备的能力，还降低了业务中断做带来的损失。 3. 构建企业信息安全管理的有效策略 3.1 、信息安全管理体系模型 现前阶段，对于信息安全管理的标准，最具代表性和权威性的是ISO/IEC 27000系列标准，信息安全的管理主要建立在风险管理上，采用风险分析的形式，降低风险发生的概率，所以信息安全管理的体系模型能够从下面几分方面入手。首先，计划和施行，对安全体系的计划阶段，主要是用来保证管理体系的构建，而施行是保障体系的内容和范围。其次，检查和改良。这一阶段主要是对信息的安全辨别和改良方案的施行。安全管理体系中，检查是一个非常重要的环节，不仅能判定安全管理能否科学，还能够检查其安全措施能否有效。通过改良计划，能够对系统进行完善。 3.2、 信息安全管理体系构建的经过 安全管理体系的构建是一个系统的工程，企业要构建一个完好的体系，必需要得到企业领导的许可，只要这样，才能保障安全体系构建的资源支持。但安全体系的运行需要各个部门的介入，所以企业对体系机构要进行重新设置。安全管理不仅仅仅是IT部门的事情，而是整个企业部门共同介入的管理工作，要构建一个完好的安全管理体系，需要整个企业的工作人员共同介入和协作。企业的信息安全组织机构包含决策层、管理层、执行层。要确保管理体系的正常运行，这三个组织机构必需要发挥各自的作用。决策层通常都是企业信息安全管理的最高管理机构，需要为企业的安全管理提供各类的必要资源。管理层负责的是信息安全的管理和监督、教育和考核。中小型企业以IT部门承当这一职责，但要确保安全管理体系正常运行，需要设立专门的管理部门。执行层是策略和计划落实额的人员，所以执行人员一定要加强本身的专业素质和水平。 3.3、 建立管理体系 一个完好体系的建立需要涵盖多个方面，能够从下面几点入手。首先，制定信息安全的方针和策略。关于信息的安全管理，企业在发展的经过中应该制定一个总体的方针。根据企业的发展方向和实际情况，制定对应的策略。其次，对安全管理体系的范围进行定义，任何一个企业的资源都是有限的，所以构建管理体系的时候，对管理范围的定义很重要。要做出准确的定义，能够从组织、人员、技术和设备等方面考虑，这样能够构成完好的管理体系。在体系构建的经过中，风险的评估是不可缺少的一个环节，企业需要对现有的信息框架进行评估，在现有的基础上进行完善和补充，并产生新的评估数据。最后，制定处理计划。对企业所面临的风险，管理体系需要制定专门的处理计划，对于不可控制的风险，能够采取转移和降低的方式方法进行处理，处理计划施行的经过中，一定要落实相关责任。对信息安全管理体系进行编写的经过中，其内容要符合企业的发展现在状况，操作方式方法具有实用性。 4. 结束语 对于企业信息的管理，没有绝对的安全性可言，企业构建安全管理体系之后，并不代表企业的信息管理就没有了风险，管理体系只是对企业的信息风险进行预防、降低和处理。这样能够减少企业的经济损失，也能保障企业的可持续发展。但企业要落实管理体系，需要对管理体系中出现的问题进行分析、总结和改良，只要这样，才能真正发挥管理体系的作用。 以下为参考文献 1戴海斌当代企业信息安全防控策略研究J黑龙江科学.2021,12(04):130-131. 2吕云.企业信息安全管理问题及对策J.网络安全技术与应用,2020(04):122-123. 3陈晓飞企业信息安全管理体系建设J信息与电脑(理论版),2021(03):194-196. 4张宏飞. S企业信息安全管理的策略和施行D.北京交通大学2021. 5陈慧勤.企业信息安全风险管理的框架研究D-上海:同济大学,2006.