个人信息安全管理篇1
在网络环境下,个人信息的安全管理成为一个重要的社会问题。虽然公众对个人信息管理的重要性有一定认识,但主动加以保护的意识并不高,有关机构在处理个人信息时,也未能尽职尽责。由于个人信息主体保密意识淡薄,个人信息受到其他主体的过失侵权,甚至受到诈骗和敲诈勒索等恶意侵权的情况时有发生,严重威胁到个人信息的安全。个人信息频频受到侵犯的现象已引起广大民众的极大反感,因此,深入研究个人信息利用的安全管理势在必行。
一、个人信息概述
所谓个人信息,“是指自然人的姓名、性别、出生时间、像貌特征、身份证号、指纹、婚姻、家庭、住址、学历、职业、职务、职称、健康、病历、财务情况、社会活动及其他足以用来识别该个人的信息总和”[1]。个人基本信息主要有:一是个人的自然情况,包括姓名、性别、民族、出生时间、身高、体重、血型、身份证号码、社会保险卡号码、家庭电话号码、医疗记录、财务信息、人事档案、可识别个人的图像或声音等;二是与个人相关的社会背景,包括受教育程度、工作经历、宗教及其他信仰、政治观点和倾向、社会关系等;三是家庭基本情况,包括婚姻状况、配偶、父母、子女等;四是其他,如计算机储存的个人资料等。
在网络环境下,“个人信息利用就是在尊重信息所有人的信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权和报酬请求权的前提下,在信息收集过程中做到限制收集、保持完整正确以及目的明确的限制利用,同时要采用各种措施,在保证个人信息安全这一前提下对个人信息进行充分的利用”[2]。个人信息利用主要涉及到提供、委托、交易三个方面的内容:①提供。在个人信息提供中,存在三方相互制约的关系,包括个人信息主体、个人信息管理者和第三方个人信息管理者。个人信息提供是个人信息管理者将合法拥有的个人信息主体的个人信息,以各种形式提交、供给第三方使用。个人信息管理者对合法拥有的个人信息主体的个人信息负有管理的责任和义务,因而,提供第三方使用时,附带相应的责任和义务。②委托。在委托合同关系中,接受委托方称受托方,委托处理事务方称为委托方。在服务外包中,发包方可以称为委托方,承包方可以称为受托方。个人信息管理者在特定、明确、合法的目的范围内,经个人信息主体同意,委托第三方处理、使用个人信息。个人信息委托包括三种形式:一是委托第三方收集、处理个人信息,二是在委托业务中涉及相关个人信息,三是受托方接受委托后(与个人信息相关)的再委托行为。个人信息委托同样附带相应的责任和义务。③交易。个人信息交易是以个人信息为标的物的交易,交易双方必须存在权利、义务关系,即必须履行个人信息管理者的责任和义务,保证个人信息的安全。个人信息交易行为包括:基于某种利益关系的个人信息交换行为和基于某种利益关系的个人信息买卖行为。
二、个人信息利用的不安全因素
(一)个人信息主体保密意识淡薄
存在个人信息主体保密意识淡薄的因素主要表现在以下五个方面:一是密码和用户名设置不当。密码给信息提供了最基本也是最重要的保护,但一些网民用自己的生日、电话号码或只用单一的数字等作为密码,这会给不法分子带来可乘之机,对个人信息的保护非常不利。除了密码之外,很多人习惯在所有的网站用同一用户名,使得自己在各个网站的信息有了一个紧密的联系,别人可以通过该用户名将这些分散的、零星的信息综合起来,得到原本无法获得的新信息。二是个人信息存储空间选择不当。相对于传统的信息存储载体来说,人们越来越习惯利用网络进行个人信息的管理,但应注意的是,有些网站并不规范、合法,在进行存储空间的选择时应该谨慎,避免进入一些陷阱。例如,一些网站正是通过出售网民的资料获利,他们将网民的资料出售给交友网站、广告公司、中介所等。三是个人信息空间访问权限设置不当。访问权限一般有完全私密、仅对好友公开、对所有人公开等选择,但用户往往忽略该项设置,而默认的情况下一般是对所有人公开。等到信息通过网络传播开来的时候,用户才想起来去更改权限或删除消息,但已是亡羊补牢了。四是对电子邮件来源不加确认。有一种网络诈骗叫“网络钓鱼”,这些通常伪装成金融服务供应商的邮件会让人们更新账户号或密码,甚至是冒充人们的某个朋友要求更新联系方式。绝大多数人往往会直接回复这类邮件,其结果就是邮箱被蜂拥而至的大量广告邮件填满,而重要的邮件却被淹没或覆盖。五是忽略网站的隐私保护条款。网民们常常忽略阅读网站上的一些隐私条款,有些网站会非常坦诚地告诉你,他们会在你默认的情况下与保险公司、旅行社、百货商场共享你的资料,你可以选择不共享或者只与其中的部分机构共享。
管理视界每个栏目名称贺洪明:基于个人信息利用的安全管理研究(二)个人信息受到其他主体的过失侵权
相比较个人信息主体自身的疏忽大意来说,其他主体的行为更加难以控制。首先是亲友疏忽大意泄密。以开心网为代表的社交型类网站越来越受到年轻网民的欢迎。可见想要在网络上获取他人的信息并不难,这就意味着信息很容易由于朋友、亲人、同事等关系密切的人的疏于防范而被泄漏出去。其次是相关机构未尽妥善保管义务。很多时候用户在网上信息是基于某一目的只向特定的主体的,但实际情况往往是,用户在网上信息之后,这些信息就处于失控状态,用户无法按照自己的意愿去管控它们。如果登录—些招聘、交友、购物等信息类网站,就能看到需求者留下的联系方式,这些网站并不会为你的信息保密,相反,公开用户的这些信息就是他们的活广告。还有政府机关因为工作关系,也经常大量持有人们的个人信息,因为信息社会和服务型政府的建设,离不开各种数据的收集、统计、分析,这些信息有助于政府了解社会、管理社会和服务社会。但是,目前政府对这些信息的保护还不尽完善,往往没有人告知这些个人信息的留存期限、保护政策、适用范围、如何更新、权利和相关责任人是谁。
(三)不法分子恶意侵权
网络信息技术的发展,使人们管理个人信息的方法越来越多,但也使人们的个人信息变得越来越不安全。网络出现的各种数据窃取恶意型软件让人胆战心惊,它会通过网络入侵个人计算机,不知不觉地窃取他人的隐私信息,如网上银行证书、信用卡号码、社会安全号码、各种密码,然后将这些信息转入地下市场中倒卖,或用于从事其他违法活动。“根据趋势科技trendlabs的调查数据显示,木马是数据窃取恶意型软件中发展速度最快的软件”[3]。木马中的信息反馈机制会将被感染的网络和个人电脑里的信息通过电子邮件、iCQ等方式告知控制端用户,使人们的个人信息处于不法分子的控制之中。这种侵权行为常常表现为:未经个人信息主体同意或授权,擅自在网上公开、宣扬、散布、泄漏、转让他人的或与他人之间的个人信息;窃取、复制、收集他人传递过程中的电子信息;擅自侵入他人的电子邮箱,发送垃圾邮件、邮件炸弹、恶意病毒等;擅自侵入他人的个人信息系统,收集、破坏、窃取他人的个人信息等。
三、加强个人信息安全管理的对策
(一)坚持个人信息管理安全原则
个人信息安全意识是个人信息素养的重要组成部分,也是个人信息管理活动的重要内容。它既包括保护自己不受侵害,也包括让自己不要侵害他人。因此,在实际的管理活动中应坚持三项原则:①熟悉原则。尽量选择以前用过的比较熟悉的或是很多人都在使用的信息来源。对于那些不熟悉的东西,如邮箱中出现的来历不明的邮件、从某个不知名网站上下载的程序或是别人发给你的陌生网址等,需要提高警惕。建议在确定安全性之前,不要去碰它们。②谨慎原则。对于信息安全问题,没有有效的、通用的解决办法,但个人的信息安全意识和习惯无疑非常重要,而且有些信息安全问题是软件不能解决的,如网上需要你填写个人信息,就需要谨慎。填写之前思考一下,为什么网站需要我的这些信息?与网站为我提供的服务有关系吗?对于可选的项目,尽量选择不填。③保护原则。并不是所有的个人信息都需要小心保护的。对于一些核心的重要信息,如身份证号码、银行账号和密码、手机号码等信息,建议无论在何种情况下,都不要轻易透露;对于一些不重要的信息就不需要小心谨慎。
(二)做到自我保护与技术支撑相结合
哈佛法学院宪法学教授CharlesFeied指出,“信息隐私的理念,似乎不应该只局限于不让他人取得人们的个人信息,而是应该扩展到由人们自己来控制个人信息的使用与流向。因此,做好网络个人信息保护工作不能依赖于他人的道德或者法律的救济,必须要从源头抓起——要提高网络用户自身的信息保护意识,从日常的个人信息管理习惯着手,控制好个人信息的使用和流向,做好自我保护。”[4]因此,个人信息应从以下几方面做好自我保护:一是对重要信息加密,不访问存在不安全因素的网站;二是不与来历不明的人共享信息,重视网站的隐私保护条款和设置个人信息的访问权限;三是勤于给自己的计算机更新杀毒软件的病毒库和安装系统补丁,防止邮件炸弹或恶意病毒的侵入而使个人信息受到破坏、窃取。在做好自我保护的前提下,建议国家应该支持和鼓励信息技术行业研发出既简单又安全、易操作的大众化软件,在软件的安装方面采用自动化操作;成立公益性的、专门的个人信息安全咨询服务组织,为公众提供技术支持服务。这样就能使众多非计算机专业的用户也能拥有保护网络个人信息的武器,自我保护个人信息才能在广大民众中普遍实现。
(三)完善个人信息保护立法与行业自律相结合
目前,在我国个人信息缺乏有效的立法保护的情况下,行业自律自然就成为一种有效的保护模式,行业自律在实现个人信息的保护上,不但比法律来得更为便捷、迅速,而且成本低廉、保护面又广泛。只有在相关行业自律加以救济下,个人信息用户的权利才能全面、及时地得到维护。但是,仅仅靠行业自律加以救济是不够的,必须要有法律来作保障。笔者建议加快我国《个人信息保护法》立法的进程,该法的基本原则应该是平衡个人信息权与国家利益、行业利益之间的关系,即既要考虑到个人信息安全又要保障信息的正常利用;政府在立法时,不但要制定相关的保证公众知情权的配套法律,还应在司法实践中与网络个人信息保护相制衡,逐渐达到一个既不背离原则又不脱离现实的平衡,真正达到个人信息保护法律的不断完善。
(四)制定个人信息物理安全防护措施
个人信息安全管理与整体信息安全防护体系是密不可分的,在建立整体信息安全防护体系时,要从物理、技术、管理等角度采取相应的个人信息安全保护措施。一是环境安全。在环境安全中不但要加强环境安全设施(如门禁系统、监控系统、消防设施、员工个人工作场所及与之相关的周边环境的物理设施等),还要善于防备环境安全的不利因素(包括防火、防盗及自然灾害、意外事故、人为因素等)。二是与管理措施结合。保证个人信息的物理安全,应建立相应的管理机制,如制定安全策略、安全管理规范、人员约束机制等。三是技术保障。保证个人信息的物理安全,应利用相关的技术保障。物理安全保障需要将安全管理与安全技术有效衔接,强调人、技术和管理的有机结合。
(五)建立个人信息安全管理机制
在制定个人信息物理防护措施的基础上,应从两个方面来建立个人信息安全管理机制。一是完善管理机构。为保证个人信息保护体系的正常运行,约束个人信息管理行为,需要建立相应的个人信息管理机构,赋予相应的职能、所需资源和一定的职权。政府部门、事业单位应由分管人事机要的领导负责,企业、公司由总经理任命一名副总经理,全面负责个人信息管理机构的工作,包括个人信息保护体系的构建、实施和运行。管理机构工作人员必须明确职责,清晰理解并实践所负责的个人信息安全的相关活动,保证个人信息安全相关活动的质量和效果。二是健全各项管理制度。注意工作环境内所有与个人信息相关的资料的保护,防止未经授权的、无意的、恶意的使用、泄漏、损毁、丢失;出入工作场所时,对可能通过电子设备、资料文件等电子、纸质文档携带的个人信息,可以采取出入登记制度,并说明保密规定;与个人信息相关的资料的使用、借阅,应采取登记备案制度;对含有个人信息的各类电子、纸质文件及计算机系统中的文件夹等应采取相应的防护措施;在与外部网络、电子邮件等的信息交换过程中,应特别制定强有力安全措施;应明确与个人信息相关人员的权限、责任,加强人员管理,防止未经授权的对个人信息的访问;涉及个人信息处理的计算机系统,对使用权限、启动设置等使用功能应注意采取安全措施。
个人信息安全管理篇2
关键词:电信企业;信息安全;风险防控;管理体系;建设;研究
一、电信企业信息管理的现状与作用
(一)电信企业信息管理体系的现状
随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。
(二)企业信息安全管理的作用
信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。
二、电信企业信息管理建设的有效方法
(一)制定有效的信息管理计划
在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。
(二)电信企业信息管理建设的范围
对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。
(三)建立企业信息管理框架
对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。
三、结束语
综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。
参考文献:
[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014
[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016
个人信息安全管理篇3
【关键词】计算机信息;安全管理;问题;对策
1计算机信息安全的特点
计算机信息安全有五个标志:
第一,完整性。信息在传输、交换、存储和编辑处理的过程中可以保持原样,不会随意为他人所破坏,这是计算机信息安全的最基本特征。
第二,保密性。信息的传递中不会随意为第三方所截获,信息一路畅通无阻的从传送方发送到接收方。要想实现保密性,在信息的传递中就需要采取一定的措施,比方说:使用加密技术。
第三,可用性。在企业日常生活中,员工可以利用信息系统来获取相关信息,当系统遭受破坏时,系统能够在管理人员的维护中迅速恢复运行,尽量不影响企业生产经营活动的正常开展。可用性充分体现了计算机信息系统面向用户的安全性能。
第四,不可否认性。在信息的交互过程中,参与者需要确保本人身份信息以及所提供的信息是真实的。
第五,可控性。对流通中的信息可以实现有效控制,比方说,信息的传输范围和信息的存放位置可控。
企业在建设信息系统时,需要充分考虑到网络环境下的计算机信息的安全性,尽量避免安全隐患,保证计算机信息安全。在信息系统的运行中要有专门人员进行管理,为企业发展提供安全可靠的计算机信息系统,促进企业的可持续健康发展。
2计算机信息安全管理中存在的问题
计算机信息安全管理直接关系到企业的生死存亡,关系到信息系统积极作用的发挥。而网络背景下计算机信息安全面临较大的挑战,因此要做好安全管理。那么,目前的计算机信息安全管理又存在哪些方面的问题呢?
2.1忽视信息系统安全管理
许多企业重视信息系统的安全建设,也就是在建设信息系统的过程中努力减少安全隐患,提高信息系统的安全性能。但是,在信息系统运行之后,企业却忽视了安全管理。而社会是不断发展的,信息系统的安全性能也在不断降低,于是出现了越来越多的安全隐患,不做好安全管理就会导致计算机信息安全得不到保证,不利于企业经济建设。
2.2管理人员素质有待提高
很多企业的管理人员都只是进行一般的技术维护工作,没有对系统进行软件开发和改进。而社会的不断发展使得信息系统的管理任务越来越重,这样就需要管理人员不断提高自身素质,不断解决计算机信息安全管理中出现的新问题,保证信息安全。
2.3缺乏定期审计
信息安全管理需要有专业的专项审计才能发现其技术问题。许多企业并没有审计部门,或是没有高素质的专业审计人员来对计算机信息安全管理开展审计工作,因而计算机信息安全管理还存在很大缺陷。
2.4信息安全管理缺乏针对性
计算机安全管理的基础是风险评估,运用科学的方法和手段来系统分析计算机信息所面临的风险以及信息系统的脆弱性,进而形成与之相适应的安全管理方法制度,提出有针对性的安全管理措施,有效防范风险。但是,我国计算机信息安全管理中很多都没有开展风险评估,甚至有的企业直接借用了他人安全管理的方法,没有根据自身的特点来开展针对性风险防御,所以计算机信息安全管理的效果不佳。而且风险评估还需要定期进行,比如说:每隔三个月开展一次系统的风险评估,从而调整安全管理措施。
3计算机信息安全管理的对策
计算机信息安全直接关系到企业的健康发展,关系到企业内部信息交流沟通的顺畅,因而企业要提高思想认识,注重信息安全管理。具体来说,可以从以下几个方面来开展安全管理:
3.1提高管理人员的素质
安全管理中需要管理人员有比较高的计算机技术,能及时修正信息系统出现的问题,能进行软件开发,不断促进信息系统的进步,提高信息系统的安全性能。因此,企业要对管理人员进行定期培训再教育,促进管理人员学习最新技术知识,提高他们的技能水平,从而更好的开展信息系统的安全管理工作。与此同时,企业还要利用企业文化来促进企业内部形成学习型组织,促进每个员工都能自主提高素质,不断提高工作效率,促进企业竞争力的提高。
3.2注重操作人员技能水平的提高
据调查,在信息安全事故中,有20%~30%的事故是由于黑客入侵或网络病毒等外在因素引起的;有70%~80%是人为操作失误或主观泄露造成的。因此,计算机信息安全管理中要注重对人的管理,首先要提高操作人员的思想认识水平。其次要提高操作人员的技能水平,尽量减少操作失误带来的信息安全事故,保证信息安全。
3.3落实检查责任,开展定期审计
在计算机信息安全管理中,将责任分割落实到每个员工身上,建立完善的责任制度,将责任制度与业绩考核制度有机结合起来,促使每一个工作人员都能在规章制度要求下开展安全管理工作,促进安全管理水平的提高。同时,定期审计也是安全管理中不可或缺的一部分,企业要聘请专业审计人员来壮大计算机信息安全管理队伍,及时发现安全管理的问题并解决。
3.4动态式的计算机信息安全管理
企业在发展,社会在进步,信息也在时时更新。因此,信息安全管理就应该依据企业信息的特点来开展动态式的安全管理。随着科学技术的发展,不断对原有的安全管理方法进行改进,提高信息系统的安全性能。
4结束语
信息安全管理除了要做好前面几项任务外,还需要在安全管理制度、安全管理保障体系、系统安全、网络安全、协议安全等方面不断创新,不断进行软件开发,促进安全管理水平的提高,真正做到多措并举、不留丝毫安全隐患。
参考文献:
[1]邓娟.计算机信息安全问题研究[J].科技资讯,2009(8).
[2]寇书华,何国伟.计算机信息安全管理探究[J].计算机安全,2013(3).
[3]韩明.计算机信息安全管理建设浅议[J].中小企业管理与科技,2012(21).
个人信息安全管理篇4
【关键词】信息安全;电力企业;防护措施
前言
当前,电力企业在生产运行过程中离不开信息技术的支持,尤其是电力企业在建立了复杂的数据网和信息网后,信息技术的在电力企业中的地位日益提高,同时,信息安全也影响着电力企业的生产经营。
1电力网络和信息安全管理的主要内容
电力网络和信息安全管理主要包括三方面的内容:①安全策略;②风险管理;③安全教育。具体浅析如下:
1.1安全策略
信息安全策略根据企业规模、安全需求和业务发展的不同而不同,但是都具有简单易懂、清晰通俗的特点,由高级管理部门制定并形成书面文字,属于企业安全的最高方针,广泛到企业所有员工手中。
1.2风险管理
评估威胁企业信息资产的风险,首先事先假定风险可能会给企业带来的风险和损失,然后再通过各种手段,如:风险的规避、风险的转嫁、降低风险和接受风险等多种方法为相关部门提供网络和信息安全的对策建议。
1.3安全教育
所谓安全教育,就是对直接关联企业安全生产的人员进行的教育活动,其对象是安全策略执行人员,具体来说就是与安全工作相关的技术人员、管理人员和客户,并对其进行安全培训,让其了解和掌握信息安全对策。安全管理是企业管理的重要内容,必须引起企业领导层的高度重视,切实将安全相关教育纳入到企业文化的组成中,确保信息安全管理的有效执行。
2电力企业信息化发展的特征
随着我国电力企业信息化的发展,与其他企业相比,在网络信息安全方面具有以下优势特征。
2.1信息化基础设施完善
经过多年的发展,电力企业的信息化建设与其他行业的信息化建设水平相比,具有明显的比较优势,进程相对领先,各个部门工作中计算机的使用率为100%,电力企业局域网覆盖率90%以上。
2.2营销管理系统广泛应用
电力企业的营销管理系统经过多年的研究探索已基本建成,实现了用电管理信息化、业务受理计算机化,并建立了相应的客户服务中心。
2.3生产、调度自动化系统应用熟练
电力企业信息化建设的重点是提高电网运行质量和电力调度的自动化水平,现阶段,从电力企业发展的自动化水平上来看,其生产已基本达到国际先进水平。
2.4管理信息系统的建设逐步推进
电力企业积极建设管理信息系统,开发了设备、生产、电力负荷、安全监督、营销管理等信息系统,并将企业信息化建设放到重要位置,利用信息化推动企业现代化发展。
3电力企业网络和信息安全管理中存在的问题
电力企业网络和信息安全管理虽然具有以上优势特征,但同样还是存在一定的问题,具体如下:
3.1信息化机构建设不完善
部分电力企业还未设置专门的信息部门,信息科室有的在科技部门下,有的在综合部门下,缺乏规范的制度与岗位设置,这种情况下,势必会影响到网络和信息安全的管理工作。
3.2网络信息安全管理未成为企业文化的一部分
电力网络信息贯穿于生产的全过程,涉及到电力生产的各层面,但是仍然处于从属地,没有纳入电力企业安全文化建设中,进而影响到安全管理的实施力度。
3.3企业管理革新跟不上信息化发展的步伐
电力企业管理革新与信息技术的发展与应用相比还较为滞后,企业不能及时的引入先进的管理与业务系统,导致企业信息系统不能发挥预期的作用。
3.4网络信息安全存在风险
电力企业网络信息安全与一般企业网络信息相比,有共同点,也有自自身的特殊性,实践中必须认真分析研究,具体表现为:①网络的结构不够合理,电力网络建设要求,网络建设要区分外网和内网,且内外部网络要保持物理隔离,但是部分电力企业的核心交换机选择不合理,导致在网络中所有网络用户的地位是平等的,因而很容易出现安全问题。②企业内部风险,由于企业内部网络管理人员对于企业的网络信息结构与系统应用十分熟悉,一旦泄漏重要信息,就会带来致命的信息安全威胁。③现阶段互联网使用存在的风险,目前很多电力企业的网络已经与互联网发生了关系,一些客户甚至可以直接访问电力系统的网络资源,在提供方便之门的同时也要高度关注其可能带来的信息安全和计算软硬件安全风险。④网络管理专业技术人员带来的风险,主要是网络管理人员的素质风险,现阶段电力企业的网络建设还存在重建轻管,重技轻管的问题。出现了诸如专业技术人员综合素质不高,一些安全管理制度不健全、落实不够有力、安全意识不强、管理员配备不当等威胁到电力企业网络信息安全性的问题。⑤计算机病毒侵害,计算机病毒的扩散速度快,网络一旦感染病毒,整个电力网络系统就会处于崩溃的状况。⑥系统出现的安全风险,这方面主要指操作系统、数据库系统以及内部各种应用软件系统等存在的风险,这些系统很容易导致外界的攻击,一些黑客采取专业手段可以很轻易获取管理员权限,实施拒绝服务攻击。
4电力企业网络和信息安全管理对策
4.1建立健全网络和信息安全管理组织架构
网络和信息安全管理实行统一领导、分级管理原则,企业的决策层组成领导小组,由企业各部门的管理者作为安全小组的管理层。网络和信息安全管理实行专业化管理,包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组。
4.2构建网络和信息安全管理体系框架
在网络信息安全模型与电力信息化的基础上,科学构建网络和信息安全管理体系框架,主要区分信息安全策略、安全运行、安全管理、安全技术措施四个模块,
4.3建立网络信息安全防护对策,合理划分安全域
网络信息安全防护实行双网双机管理,分为信息内网和信息外网,内外网采用独立的服务器及桌面终端,通过逻辑强隔离装置隔离内外网。按照业务类型进行安全区域划分为边界、网络、主机、应用四个层次,实现不同区域防护的差异化及独立性。对于网络安全的核心区域必须实施重点安全防范,比如该区域的服务器、重要数据、数据库服务器,一般用户无法直接访问,安全级别高。电力企业内部计算机和网络技术的应用,划分为管理信息区和生产控制区,建立电力调度数据网专用网络,采用不同强度的安全设备隔离各安全区,数据的远方安全传输采取加密、认证、访问控制等技术手段,实现纵向边界的整体安全防护。
4.4网络信息安全管理制度建设
为确保电力企业网络信息安全,必须做好网络信息安全管理制度建设,具体要做好以下几个方面的内容:①建立计算机资产管理制度、网络使用管理制度、健全变更管理制度,对资产进行标识和管理,执行密码使用管理制度。②实施信息的安全分级保护举措,依据国家相关规定,开展网络信息系统审批、定级、备案工作,严格执行等级保护制度,严格保密核心程序和数据。③做好网络信息安全运行保障管理,对信息系统设备实行规范化管理,及时升级防病毒软件,严格系统变更,及时报告信息系统事故情况,分析原因并落实整改。④建立病毒防护体系,安装的防病毒软件必须具有远程安装、远程报警、集中管理等多种功能,不可将来历不明或是随意从互联网上下载的数据在联网计算机上使用,一旦发现病毒的存在,员工应熟练掌握发现病毒后的处置办法。
4.5信息安全技术保障举措
为切实有效的落实信息安全防护要求,必须根据信息安全等级防护制度落实好“分级、分区、分域”的防护策略,从而更有效的落实信息安全防护预案,根据信息系统定级水平,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。
4.6规范企业人员的管理
规范人员管理首要的是用制度管好人:①企业高层应以身作则,这样员工才可以遵循信息安全管理的要求,由于高层掌握着企业更多的信息资源,密级也高,一旦出现泄漏,会给企业带来更大的损失。②对于关键岗位人员管理要尤其重视,比如:开发源代码人员,直接接触商业机密的人员,从事信息安全管理的人员,需要进行严格管理,定期检查,避免出现“堡垒从内部突破”的机会。③对于离职人员这个群体也不可忽视,必须做好离职人员信息安全审计工作,离职前,必须要求其变更其访问权限,与接手人员一起清点和交接好信息资产,避免信息泄漏事件的发生。④加强与供应商和合作伙伴信息安全的管理,在日常的交流中严格遵守规定,不得随意公开和透露相关信息。
4.7做好对企业信息资产管理分析
依据信息资产价值,实现根据载体性质不同、形式不同、来源不同做好资产的识别,提高企业劳动生产率,强化信息资产观念,树立企业良好形象。全面、系统、科学的管理信息资产,完善资产管理手段。利用信息资产资源使生产力要素保值增值,推动信息资产共享共建,实现实现外源信息资产的再增值,信息资产的再创新。4.8建立信息安全应急保障机制有风险的地方就要有应急预案,对于电力企业网络信息安全尤其应该如此,要不断健全电力企业信息安全预案,确保设备、人力、技术等应急保障资源切实可用,要加强系统的容灾建设,建立恢复和备份管理制度,妥善保存相关的备份记录。
5结束语
电力网络信息安全与企业的生产经营管理密切相关,电力企业网络信息安全涉及到技术与管理,无论是硬件还是软件出现问题都会威胁到整个网络系统,电力企业网络信息安全管理涉及到人、硬件设备、软件、数据等多个环节,所以其必须着眼整个电力企业的网络信息系统加强顶层建设,实施统一规划,搞好统筹兼顾,建立一套完整的信息安全管理体系,切实做好安全防范工作,解决电力企业信息安全管理问题,才能确保电力信息系统安全、稳定、可靠、高效地运行,有效避免安全问题的存在,保证电力企业的正常生产经营。
参考文献
[1]何隽文.电力企业网络和信息安全管理策略思考[J].中国高新技术企业,2016,28.
[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013,01.
[3]牛斐.电力企业网络信息安全的防范措施[J].科技传播,2012,16.
[4]吴青.浅析网络信息安全管理在电力企业中的应用[J].中国新通信,2013,23.
[5]向继东,黄天戊,孙东.电力企业信息网络安全管理[J].电力系统自动化,2003,15.
个人信息安全管理篇5
国家、省市已经颁布各种法律法规,各大单位也根据自己的具体情况,建立了自己的规章制度,维护信息安全已经有法可依。但是信息安全管理工作涉及的知识面非常广,需要了解国家信息安全管理法规,需要学习信息技术一般理论,需要知道信息安全漏洞知识,需要明白信息安全禁令范畴。为提高学习效率和质量,全面掌握信息安全理论和方法,按照信息安全管理知识体系,建设信息安全管理教学系统,提供学习信息安全管理的教学条件,从而为各方面人员学习和执行各种规章制度提供依据。相比其他管理工作,信息安全管理工作需要比较多的理工专业基础和比较高的电脑技术要求,在实际的信息安全管理工作中,需要灵活的信息安全管理处置能力,更多的是判断信息安全问题、识别信息安全陷阱、规范信息安全管理。由于知识背景和工作性质特点,管理干部需要花费更多的时间和精力学习信息安全管理知识和技术,才能具备基本的信息安全防范技能。为帮助他们更好地独立处置信息安全管理问题,掌握发现问题解决问题技能,依据现代教育理念和方法,不仅需要提供深入浅出、知识完备的知识体系学习训练系统,而且需要信息安全管理能力训练系统。
二、信息安全管理培训思路
为满足信息安全管理工作在人员培训方面的需要,需要依托各级培训学校,按照国家和省市地方的制度法规,借助现代教育思想,借助现代教育技术,明确符合实际需要的功能定位,建设信息安全管理复合应用型人才培训体系,实现信息安全管理工作对培训教育、终身教育的培训要求。
1.培训依据
(1)依据各种信息安全管理制度法规。信息安全人员在履行工作职责的时候,必须按照各种信息安全管理法规、制度和要求实施,制订人才培养方案和教学计划必须依据国家、省市和本部门的信息安全管理的相关规定,这样的教学内容才能保证人才培养的针对性和实用性,保证管理干部履行信息安全管理职责的有效性。涉及信息安全制度法规的相关文件很多,有的是专门为信息安全制订的,有的制度和法规散落在各个业务管理制度中。在建设信息安全管理知识体系时,必须将业务部门的相关规定融入知识体系中,使得管理干部在处理具体业务中的信息安全管理工作具有针对性和有效性。
(2)符合培训教育特点规律。信息安全管理技能是从事管理工作人员的基本技能,属于岗位专业培训或专业技能培训,属于培训教育培训。受训人员专业背景不同,理论基础不同,学习能力不同,必须避免材、统一授课、统一训练、和统一考核的传统教学模式,采取因人而异、因材施教的有针对性的教学方式,强调个性化学习,将不同层次受训者的信息安全管理能力达到信息安全管理工作所需要的水平上来。
(3)遵循现代教育思想。在实施教育训练过程中,现代教育思想要求采取“学为主体、教为主导”的教学理念,学员能够方便地获得完整的知识体系和解决问题的技能和方法,自主学习,开放学习,自主理解、掌握知识和技能。为实现教学目的,需要分析信息安全管理技能特点,需要分析管理干部学习动力,结合教学目标,设计学员学习和训练的教育训练环境,提供完整的知识体系、丰富的教学资源、模拟的问题情况、交互的学习平台和方便的使用途径,提供与培训教育特点规律和技能训练要求相适应的培训条件。
2.信息安全管理培训目标
按照信息安全管理工作的实际情况,培养信息安全管理工作中管理、业务和技术三支人才队伍,突出业务和管理人才需要,兼顾信息安全技术人员的人才培养,以现代教育思想为指导,以信息技术为核心支持技术,建设满足信息安全人才培养的现代培训条件。信息安全管理培训以管理干部为培训对象,以信息安全管理工作为培训内容,区分信息安全管理人员、业务干部和信息技术专门人员等不同层次,跟踪信息安全管理形势,实行阶段反复轮训,以适应信息安全管理不断发展的需要,确保信息安全管理工作的正常开展。
三、信息安全管理培训环境构建
为适应信息安全管理培训需要,适应管理干部培训教育需要,必须构建遵循信息安全管理规定、符合现代教育思想、依托信息技术手段、瞄准复合型适用人才培养的教育环境。信息安全管理培训条件涉及面很广,包括组织机构、舍堂馆所、师资队伍、后勤保障等等,这里我们更关心符合培训思路的培训模式和教学支持。从知识体系、学习途径、训练场所和训练系统多方面着手,构建信息安全管理训练体系,构建管理人员信息安全人才培养条件。依据教育信息化研究成果和培训教育教学特点,需要建立完整的信息安全管理知识体系,建立开放式、自主式教育网络平台,建立强时效性的教学资源体系,建立信息安全管理知识测试系统,建立信息安全管理能力训练系统,等等。
1.构建信息安全管理知识体系
培训教育的一个特点就是受训对象知识背景和技能掌握程度千差万别,必须首先建立完整的知识体系,以满足不同基础、不同需求受训者对知识掌握和能力训练的要求。知识体系必须建立覆盖学科知识和管理手段的所有内容,包括理论体系和教学资源两部分,其中理论体系包括基础知识、安全理论、规范制度、管理方法、历史沿革、防范手段和操作方法,教学资源包括现状分析、经典案例、技术讲解、训练题库和数据模型,适应和满足每个受训对象的需求。为满足个性化服务需要,可以按照知识点建设模块化框架结构,设计具备菜单选择功能的专家系统,允许受训者建立适合自己的个性化教学计划和实施方案,确保受训者完成培训任务后胜任安全管理的岗位需要。可以建立智能教学计划生成系统,系统对每位受训者进行知识和技能测试,按照教学目标,根据测试结果,将该学员没有掌握或掌握不够的知识内容和技能形成列表,从知识体系中搜寻相关知识和技能的概念、理论、技术和操作技能,形成该受训者个性化的教学计划。随着信息技术的发展和信息安全管理需求的变化,信息安全管理知识体系应该是动态更新的,剔除修改陈旧的,充实替换实用的。
2.搭建开放、共享和交流的网络平台
网络平台是信息资源共享的基础,是交流互动的基础。按照学科专业建设与管理规范建设知识体系,以数字化形式在互联网,实现信息安全管理教育资源共享。作为资源共享平台的网络平台,不仅为建设者资源共享提供平台,而且可以为学习者提供资源上传服务,成为学习者之间相互交流资源的共享平台,更为信息资源积累提供了很好的机制和存储条件。网络具有两个特点,一是允许网络用户365天24小时使用,可以提供受训者随时学习和训练,二是允许网络用户在任何有信息覆盖的地方登录,可以提供受训者随地学习和训练,这两个特点打破了传统教学时空的限制,为学员自主学习、教师开放教学、师生互动交流提供了可能,也为实施现代教育思想提供了条件。
3.建立虚拟讲堂
优秀教师的讲授可以将学习效果演绎得趣味精彩,可以将学习内容组织得明白易懂,可以将现实运用解析得透彻自然。为更多学员获得完美的教学体验,为积累并共享优秀教学资源,为学员快捷准确全面理解知识运用知识提供帮助,记录、整理并优秀教师或专家授课录像,供更多受训者学习参考。教学录像在网上成为虚拟讲堂,成为不同专业不同时期受训者良好的教学资源,目前全球风行的慕课,可以成为这种培训目的的教学模式,成本低,效益好。因为技术层面的因素,信息安全管理知识体系在理论基础和原理解释有大量不易理解的知识点和疑难问题,学习时需要佐证的理论和严谨的逻辑,需要传授者环环相扣的谨密推演,因此针对重要知识点和疑难杂诊的讲授片段是受训者自主式学习时需要的重要教学参考资料。各个大学基本都建设了网络课堂,为虚拟讲堂建设提供了很好的技术平台。依据此平台,建设信息安全管理和教学资源和网络课程,可以构筑完整的知识体系,为培训教育自主式学习提供了很好的学习资源。
4.建设信息安全管理实验室
培训教育能力训练是教学环节中的主要部分,验证理论、观摩操作方法和训练技能需要包括场所、设备和软件等实验条件,实验室是完成实验任务和检验方法效果必须具备的教学条件。理论、方法和技能的实验和训练是信息安全管理培训需要完成的教学环节,这些需要信息安全专业实验室的支持。信息技术具有可设计、可复制、可重用的特点,使得基于信息技术的教育训练条件具备降低训练费用、提高学员学习自主性、提供学员反复学习等长处,结合音频处理技术、视频处理技术、三维动画技术,可以为学员学习提供强烈逼真的感官刺激、美轮美奂的艺术表现和自主操控的虚幻体验。从训练目的而言,实验室可以分为虚拟实验室和能力训练场两部分。
(1)虚拟实验室。信息安全管理涉及大量技术手段,信息安全技术攻击和防范具有不可见、不易理解的特点,需要显而易见、通俗易懂的形象展示。虚拟实验室是依托信息技术按照实验室运行规律、要求和任务,以网页形式在计算机网络上建立的可以模拟实验室运行的软件系统。虚拟实验室内设信息安全管理所需要的各种理论、方法和技能引擎,可以多维形象地反复演示信息安全管理的理论、方法和技能,可以允许受训者以第一人称介入并依据受训者干预情况展示相应信息安全分析结果,虚拟实验室可以记录并考核受训者实验过程和成绩。
个人信息安全管理篇6
论文关键词:信息安全外包风险管理
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准iS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)iS013335:iS013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSo是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSo需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的Cio和CSo,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的ti’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSo了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
个人信息安全管理篇7
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、pKi基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
个人信息安全管理篇8
关键词SmS信息;数据资源库;国际民航组织
中图分类号tp368文献标识码a文章编号1674-6708(2011)37-0229-02
自2008年以来,在国际民航组织的积极推荐和中国民航局的明确要求下,国内各航空企业及相关专业系统均逐步开始推进本单位的现代安全管理体系(SmS)建设工作,期望通过构建和推广SmS体系建设,能够有力促进中国民航在企业内部建设完成一个动态循环、不断自我完善的安全管理模式;期望通过推广和使用SmS体系先进的安全管理理念和安全管理模式,为中国民航安全管理工作带来新的思路和方法,有效提升企业整体安全管理水平,确保航空安全目标顺利实现。
1建设信息数据库的重要性
SmS体系建设是以系统工程的理论来综合管理航空安全运行,通过构建系统化的预防管理机制,运用系统的分析方法来实现对安全风险的有效预防、有效遏制,确保安全目标顺利实现。SmS体系是目前世界上公认的最先进的安全管理方法。
在国际民航公布的SmS建设指导中,安全管理体系(SmS)建设主要包括安全政策和目标、安全风险管理、安全保证、安全促进四个方面内容,其中风险管理是SmS体系的理论核心,而要实现风险管理的根本要求,有效推动企业内部安全管理的动态循环和风险预防、风险遏制,就必须有一个数据详尽、内容客观真实的安全信息数据资源库,作为开展风险管理、进行危险源辨识和风险评估活动必要的数据驱动。因此,是否具有一个畅通无阻的安全信息收集渠道,能否通过安全信息收集渠道建设拥有一个数据翔实的信息资源库,是SmS体系建设是否完善、能否发挥其杰出功效、实现预期安全目标的重要条件。从某种意义上讲,一个单位是否建设完成一个来源广泛、数据翔实的信息资源库,是提升整体安全管理水平,有效预防、遏制运行风险,推动企业持续安全发展的关键。
2采用的技术手段和总体思路
安全信息管理工作的基本要求,就是希望在inteR网络平台上,通过建立通畅、快捷、安全、全面的信息收集渠道,实现信息的有效流转和资源共享;通过及时详实的信息汇总,进行归纳分析,评估安全状态、查找风险源和提出安全建议,为决策层和管理机构实施有效的安全管理提供可靠的数据信息和安全建议;通过开放的inter网络平台,实现企业内部的信息流转;充分利用已发生的不安全事件信息,作为其他单位或个人安全管理的反面教材,从他人的教训中吸取经验,避免类似问题的重复发生。因此,要实现上述目的,在建设SmS体系安全信息数据资源库时,首先应确定网络开发的原则,在inteR平台上进行功能开发,才能有效实现安全信息快速流转和资源共享的目的。其次,由于安全信息数据库是一个企业的核心机密,为防止安全信息泄露,对单位产生不利影响,在建设过程中应严格限制进入数据库访问人员的权限;三是信息资源数据库建设的目的是为了单位更有效实施安全管理服务,因此资源数据库的建设要按照相关法规要求进行建设。事件性质的划分、机型类别、故障原因、应对措施、吸取的教训等应尽量按照相关规定要求进行设置,便于后续开展安全分析和安全评估使用;四是在数据库建设过程中,必须考虑到性能稳定和使用维护方便。一个系统,如果构建过于复杂,只有程序开发者才明白程序结构和功能设置,那么,在后续的使用过程中,软件的升级维护必将遇到难以预测的困难,甚或被后继者抛弃,造成工作的被动和不应有的浪费;五是需要实现库内资源息的快速查找和统计功能。尽量使用模糊字段查询,实现快速查找和类似字段查询。六是在严格权限的前提下,实现企业内部安全信息资源共享。如笔者所在的中国民航飞行学院安运办,在建设单位的安全信息数据库的过程中,首先就考虑校园网络环境中已有的航空安全信息网上建设成库,使用目前通俗易懂的HiweB软件,利用hiweb软件强大的管理、查询和表单功能,实现了数据的分类存储和信息查询;并通过后台控制,设置外访人员权限,实现信息资源共享。
3如何有效构建安全信息资源库
3.1有效构建安全信息数据库
首先要确保能够源源不断的获取信息,要实现源源不断获取信息,就必须:1)运用规章制度和管理手段,在企业内部建立起一个要求明确、职责分明、通畅无阻的信息上报和收集渠道,确保必要信息的有效获取;2)持续开展相关信息管理知识的普及,积极倡导企业内部安全文化建设,鼓励员工自觉参与企业安全管理进程,形成一种人人讲安全、人人关心安全的全员安全文化氛围,全员关注安全管理、全员重视安全信息上报;3)在企业内部营造一种宽松的人文环境,鼓励员工自愿上报各种安全信息,对上报人员进行奖励、对上报的当事人免于处罚,从自愿的角度弥补信息资源收集的不完善性。
3.2在实用的框架内构建资源库
1)贴合安全管理实际需要,为便于信息的统计、分析和归类存档,就应该严格按照民航航空安全信息管理的相关规定进行数据库构建,使存储名称、性质划分、故障类别、原因分析、经验教训等均与实际工作需要一一相符;2)为充分利用使数据资源,有效实现安全统计、分析、评估等功能,应在信息数据库基础上积极开发各种功能软件,实现自动分析、自动评估、提出安全建议等功能。
3.3为实现通过信息的流转和共享
达到相互学习、相互借鉴、共同提高的目的,切实提高单位整体安全管理水平、积极防范不安全事件的重复发生。1)出于安全信息的核心性和敏感性考虑,首先应在严格限制访问者权限的前提下,才能实现网络环境中有限的安全信息资源共享;2)根据数据资源,定期或不定期进行安全评估和统计分析,针对阶段安全工作难点和安全突发性、重复性问题,适时提出安全建议,及时为领导层和安全管理机构进行安全决策提供信息支撑。
个人信息安全管理篇9
【关键词】企业信息安全管理对策
信息安全管理是指通过保证信息资产的机密性、完整性和可用性来保护和维护企业所有信息资产的一系列管理活动,是完整的企业组织管理体系的重要组成部分。其主要包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。
知识经济时代,企业内部各部门之间以及企业与外部之间的交流与合作日益频繁,且对计算机信息技术的依赖也日益明显,使得信息安全问题成为众多企业的关注焦点。
企业的许多信息,包括一些战略规划的重要信息,均以电子文件形式存储,而这些信息在存储、处理以及传输过程中都有可能被非法截取、恶意破坏以及篡改,损失难以想象。保障信息系统的安全在企业的建设和发展当中具有重要的作用。信息安全管理是确保信息系统顺利运行的有力武器。通过建立信息安全体系及相应的规范机制,如加强对人员的管理、提升人员安全意识、促进软件和操作系统的操作及建设相关网络等,就可以建立起完善的信息安全系统,促进企业在知识经济时代平稳、快速和健康的发展。
一 目前信息安全管理中存在的隐患
1.信息管理的安全意识方面
在传统的企业生产中,企业所应具有的基本生产要素主要有设备、原材料、人员和制度几个方面。但随着信息技术的发展,信息的重要性也日益突显,从而也成为企业发展的基本要素之一。根据以往经验来看,企业对信息安全的重视程度还远远不够,表现在对企业信息的安全保护很不到位,这无疑给企业带来了很大的损失。所以,企业必须要加强对信息安全的保护,建立起一套完善的信息安全体系来保证企业的信息安全。
2.缺乏统一的安全体系规划和安全防范机制
目前,“头痛医头、脚痛医脚”的现象十分普遍,原因在于眼于局部而忽视整体。企业只是在网络中安装了一些安全设备,却未形成统一的安全策略及相关规划方案。企业在建设信息化的过程中通常采取先开展业务,后关注安全的策略,使得安全的管理远远落后于开展业务发展。而由于缺少整体性的规划,使得企业在问题已经出现时才去弥补,对于安全建设只能用“亡羊补牢”来形容。
3.信息安全产品本身存在的问题
大多数企业通常在建设信息安全系统的过程中就采用了一些保证信息安全的产品。但并不是说使用了相关安全产品信息系统就安全了,因为计算机系统所存在的一些安全隐患除了是由信息安全产品本身所具有的漏洞引起的之外,人员在使用信息安全产品的过程中所造成的操作失误及用户配置的错误也会对其产生影响。所以企业不仅要重视安全产品自身的问题,也要重视系统的操作与应用过程。
4.资金投入不够,缺乏安全技术人才
要想建构起完善的信息安全体系,企业不仅要投入大量的资金,而且同时要引进一批高端的it人才,组建一支专业建设信息安全的团队。但遗憾的是,很多企业并未意识到信息安全的重要性,所以在资金投入方面很是不足,比如说,使用的电子邮箱和杀毒软件等往往都是免费的,也没有构建防火墙,这使得企业的信息安全得不到充分地保障。此外,虽然一些企业投资引进了一些硬件设施,但对软件的重视不足,表现为投入的滞后性,从而阻碍了硬件设施发挥应有的功能。
还有一个问题,大部分企业在加强信息安全建设的过程中,通常都把注意力集中在搭建网络平台及硬件的选择上了,却忽视了对人才的引入和培养。具体表现在许多企业缺乏信息技术人才,而相关专业人才更是不足。按照要求,一个信息系统的运作应该由几个技术人才相互配合、共同操作,但实际上却恰恰相反,企业中的一个信息管理人员往往负责大量的操作,不仅要负责配置系统,还要负责管理系统的安全,导致对安全的设置和监督由一个人负责,任务繁重。
二 加强企业信息安全管理的途径
1.注重人员安全管理,提升信息安全意识
具体的操作人员在信息系统的建设和运行过程中必不可少,人既是管理者又是被管理者,因为他们不仅要建设和应用计算机系统,而且也信息管理的对象。所以在信息安全系统的管理中,最重要的就是对人员的安全管理,做到这一点要从以下几个方面来进行:要建立一个安全的组织结构,对安全职能加以确认,审查人员的安全状况,和安全人员签订相关的保密合同,加强离职人员的安全管理等。
企业要对员工加强有关信息安全的教育,增强他们的安全意识。保障企业的信息安全是每个职工应尽的义务。信息安全不是一种技术而是一种意识,所以仅从技术层面是无法保证企业的信息安全的。加强安全教育要企业要做到以下几个方面,首先,加强员工的教育培训、普及互联网和信息安全的相关知识、提升员工的安全意识并增强其防范能力,使整体员工都有一种为企业信息安全负责的意识。其次通过定期举行有关信息安全的报告和讲座等,使企业自上而下都形成安全意识并铭记于心。通过上述两种途径可以使企业的信息安全工作顺利的开展。
2.建立、健全信息安全防范体系
对于企业中信息安全的管理机制及防护规范的发展和完善,可以使企业中的那些至关重要的信息得到很好的保护。即使信息系统遭到入侵也能够保证企业业务的顺利进行,可以极大地降低企业的损失。
第一,提高安全系统的应急能力,这就要求建立和完善相应的应急管理机制,并制定应急预案。
第二,企业要建立起一个网络和信息安全管理的平台,在网络内外部署相关的信息安全设施,比如要加强网络的安全性管理,在网络中设置一些控制访问的策略,并对网络的安全使用加以规范,具体来说就是要安装避免病毒入侵的软件,对网络经常进行检测,提高防火墙的性能等。
第三,建立机制对信息安全进行集中化管理。如数据安全控制和加密密钥的集中化管理,前者可以做到自上而下的全面执行企业的安全防范策略,后者可以降低人为原因导致的数据安全的风险,并可以保证不与其他的加密策略发生冲突,实现兼容。
第四,企业还要重视对于异地数据的备份工作及当遇到意外情况时可以实现信息恢复的机制设计,因为这可以保障信息系统的安全运行。
第五,重视风险评估工作。这要求企业在平时要对信息系统的安全性进行定期的评估,以提高企业抵御风险的能力。
3.健全用户权限和上网管理制度
企业信息安全管理工作的一个重点就是要建立并完善用户浏览的权限及网上管理的制度设计,并使之得到严格地执行。同时随着企业的发展和业务系统的完善要不断对其补充和修正。
首先,对用户权限的管理加以完善。这就要求企业改变以往把每个员工都当成管理员可以随意浏览信息的状况,要将每个员工的权限加以明确并保证最小,减少他们对信息系统的操作从而在最大程度上保证系统的安全。
其次,要限制员工的上网行为。在信息化时代,要想控制众多员工上网的行为,就必须要从管理和技术两个方面来实现。此外,要严格检测和控制那些从外部传来的文件,防止它们给企业内部的网络带来病毒。
4.进一步健全、监管第三方服务体系
由于对信息安全的担忧和对服务质量的怀疑,大部分企业都不愿意采取第三方提供的服务体系。在企业中,信息安全工作至关重要,如果不小心泄露了企业的重要资料,就会给企业带来致命的打击。
政府应发挥作用加强有关第三方的法律法规建设并制定行业标准,排除企业对第三方的疑虑。企业应加强与第三方的合作,双方共同努力建设起符合企业特点的信息安全体系,使得企业的信息安全能够获得最有力的保证。企业应设立专门的监察职位,主要负责监督、检查企业管理信息系统的运行情况并直接向企业总经理负责。因其“第三者”的角色,可更加客观、公正对企业信息安全以及业务流程进行监察,及时发现信息安全隐患。
5.加大建设资金投入,完善软件硬件建设
要想顺利建成企业的信息安全体系,大量的资金投入是必不可少的。企业应投入足够的资金来购买相应的设备,如相关软件和服务器等,同时企业也可以采取外包的形式。
首先,在加强硬件设施方面,企业可以应用加密系统来保护有关的口令、文档及网内的重要数据。这样我们就可以更有针对性的在网上传输数据。加密管理有三种类型,即端点、节点和链路加密,企业可以根据自己的实际情况从其中进行选择。特别是在控制信息系统开发的过程中就应渗透信息安全保护机制,从根本上预防信息安全隐患。
其次,加强软件建设,最主要的就是采取积极有效的措施使操作系统的安全性得到最大程度的保护。具体来说就是要对有关信息管理的各种软件定期加以更新,保证数据库和终端的操作系统的版本保持一致,这不仅有利于加强管理,而且可以提高系统的防御功能
此外,要做到经常性的数据备份,选用高强度口令保护账号安全,针对不同账号设定不同密令,经常更新杀毒软件及补丁以及在局域网与互联网之间安装防火墙,并周期性的对文件进行排查,及时发现已感染病毒的文件以及信息丢失的现象。
企业的信息安全管理是一个动态的过程,要随时代的发展而不断加以创新。因此,我们必须不断探索加强信息安全管理的思路和方法,并对逐步构建起相对完善、高效、可靠的信息安全管理体系,定期对企业的信息安全风险和信息安全管理水平进行评估。
参考文献
个人信息安全管理篇10
关键词:信息安全管理;信息资产;模型;推广方案
中图分类号:tp309文献标识码:a文章编号:1674-7712(2013)02-0175-01
所谓的信息安全就是指信息的可用性、完整性、安全性以及保密性。信息安全管理主要是指组织为了确保信息的安全而进行的控制、领导、组织、计划的相关过程。随着企业的飞速发展以及信息技术的不断完善,各类企业的信息化程度也在不断地提高,信息安全已经成为了企业发展过程中的核心内容之一。
一、企业信息安全管理的现状
目前,绝大部分企业在发展的过程中已经开始对企业的信息安全工作制定出了一系列的管理措施,不过,企业在对那些信息进行安全管理的过程中,基本上是部署或购买信息安全产品。而这些产品基本上是为了达到某项安全功能而研发生产的、针对性较强的硬件或软件产品。当前市场上所出售的信息安全产品主要有四个层次:系统安全设备、网络安全设备、终端安全设备、基础安全设备。
企业通过这些信息安全产品虽然在某些方面具有一定的安全效果,不过企业自身的信息安全度仍没有得到提高。所谓的企业信息安全管理就是指针对当前企业所面临的信息失控、恶意软件、人为因素等复杂环境给予相应的防护,确保企业的信息系统以及相关信息不会被非授权使用、访问、中断或修改。这样做的目的主要是对企业的信息安全进行适当的保护,并确保其具有可用性、真实性、完整性以及保密性。就目前的情况而言,绝大部分企业的信息安全管理存在下列问题:(1)缺乏足够的安全防护意识,员工的信息安全教育力度较为薄弱;(2)管理过程中对于人为因素的管理较为缺乏;(3)只重视技术而忽略了管理;(4)缺乏系统性的管理方案;(5)缺乏专业的信息安全管理人员。
二、企业信息资产的安全管理方式
一般情况下,企业的信息资产具有以下三个重要属性:即可用性、完整性以及保密性。在对企业的信息进行管理的过程中,这三者缺一不可。在企业发展的不同时期以及不同阶段,这三者的属性以及地位也大不相同。对于绝大部分企业而言,对企业信息进行安全管理的主要目的就是确保企业的信息资产具有较好的保密性,因此,信息的可用性以及完整性在信息安全管理过程中基本上就成为了附属品。由此可见,对于绝大多数企业来说,信息的保密性更为重要。
由于企业的信息安全管理活动通常会涉及到企业的所有员工以及各个管理阶层,因此,企业在开展此项活动的过程中,一定要注重全员参与的重要性,让企业的各项工作以及每个员工都对企业的信息安全引起高度重视,并将企业的信息安全管理与企业文化融为一体,以便于从根本上实现企业的信息安全管理目标。不过对于绝大部分企业而言,经济指标才是员工以及管理层关注的重点内容,而信息安全管理需要投入大量的人力、物力以及财力方能实现,因此,这对于大部分企业来说其操作性相对较低。由此可见,在对企业的信息安全进行管理的过程中,一定要尽最大可能确保信息安全管理的简洁性。
三、企业在进行信息安全管理时所涵盖的具体内容
目前,信息安全管理过程中的内容经简化和提炼后主要有“执行力”、“堵”、“护”,在不同企业或同一企业发展过程中的不同阶段,信息安全管理的计划实施先后顺序以及侧重点也会有所不同。对于企业的普通员工以及管理人员而言,通过简单地宣传教育就很容易让他们牢记“执行力”、“堵”、“护”,而对于专业的信息安全管理人员则必须从以下几个方面着手。
(一)构建与企业文化相符合的安全体系
企业在构建信息安全管理体系的过程中,它与企业文化的适应程度有着十分密切的联系,不同的企业有着不同的企业文化,因此,在进行信息安全管理的过程中,其管理思路以及管理方法也会大不相同。一些执行力较强的单位,通常会采用强制手段来进行管理,且管理的效果相对较好,而对于执行力相对较差的单位,通过制定出科学合理的管理方法,并加以相应的监控管理、审计以及技术支持也会取得相对较好的效果。
(二)对信息传递渠道进行严格的管理
企业在对信息资产进行安全管理时,一定要强化对信息传递渠道的管理,对信息资产的各个传输渠道进行严格的分析,严禁出现非授权或授权范围外的传递或访问。在此过程中,“堵”的核心内容就是人员的安全管理,这主要是因为企业的信息资产都是通过人来进行控制、管理的。在所有的信息安全管理过程中,对人的管理难度最大,因此,在开展信息安全管理活动时,一定要对员工的调动以及离职情况进行严格的审计,以此来防止信息资产的不合理传递。
(三)核心信息资产的保护
所谓的核心信息资产的保护主要是指对企业的核心信息资产进行科学有效的保护,这对于企业的发展有着至关重要的作用,同时它还是企业进行信息资产安全管理的有效手段。由于企业的资源具有一定的有限性,因此,企业的信息安全也具有一定的相对性,基于此,在对企业的信息资产进行安全管理的过程中,对核心信息资产进行保护就显得尤为重要了。所谓的核心信息资产就是指一旦泄露就有可能对企业造成严重的损失,或者是价值相对较高的信息。
四、结束语
随着市场经济的不断发展以及信息技术的日渐完善,企业在发展过程中的信息资产保护所面临的形式也变得越来越严峻。为此,企业在发展的过程中,一定要根据自身的实际情况,建立相应的管理体系,并将其纳入企业的风险管理中,尽量降低信息泄露对企业发展所造成的影响。
参考文献:
[1]齐峰.CoBit在企业信息安全管理中的应用实践[J].计算机应用与软件,2009,26(10):282-285.
[2]伏原.网络信息安全管理在电力企业中的应用[J].中华民居,2011,(8):385-386.
[3]孟洁.国有企业中的信息安全管理和应用[J].科技信息,2012,(2):252.