引言
在企业里,企业管理者对企业信息安全的要求决定了企业信息安全管理的深度。同时,信息管理部门对信息系统的管理和维护也决定了企业能否达到信息安全管理的设定目标。
1、企业管理者对企业信息安全管理的目标和责任
1.1企业管理者有责任推动企业信息管理的运行
企业管理者要确保企业信息安全,首先做到以下几个方面:第一,管理者要建立企业信息管理机构,创建企业信息管理框架,并且推动信息管理制度的建立。第二,企业管理者需要确保第三方合同的安全性,定义第三方合同的安全等级,尤其要控制第三方合同中要求访问企业信息系统的条款。
1.2企业管理者有责任对企业信息进行分类
企业管理者根据企业情况,对企业信息进行分类有助于实施企业信息安全管理策略并且保护企业资产。同时,这种合理的分类能使企业可以及时调整适当的财力、物力来对企业主要的信息数据及系统实施重点保护。但是,过度的保护不但浪费企业资源,还在很大程度上影响企业的正常经营;而如果保护不足,更有可能致使企业主要的信息数据以及系统产生巨大的安全隐患。根据对企业信息的分类,企业管理者可以对企业中的信息数据和系统指定相应的责任人,并要求落实登记。只有这样才可以对信息系统实行分级保护,实现有序、高效的安全管理。
1.3企业管理者有责任管理员工的信息安全
企业管理者必须要在企业员工中普及有关信息安全知识,同时强化信息安全意识,从而降低有意或无意的人为风险;要求所有员工能够理解企业信息安全的责任;要求所有员工阅读保密制度并签汀保密协议;根据企业处罚条例,对违反企业信息安全管理要求的员工进行处罚。
1.4企业管理者对信息访问权限的管理
企业管理者要确保完善可行的信息安全管理措施,针对企业实际情况确立角色、授权、访问控制的分配流程,根据流程对信息系统访问实行管理,能够有效阻止非授权人员访问信息系统,从而保证企业信息的保密性、完整性和可用性。
1.5企业管理者对业务连续性的管理
企业管理者应该制汀业务连续性计划,保证企业重要信息系统(包括硬件、软件、数据、物理环境及其基础设施)受到偶然的或者恶意的原因而遭到破坏、更改、泄露时能够快速反应,保持系统连续、可靠、正常地运行,信息服务不中断,最终实现企业的信息安全。
1.6企业管理者确保企业守法
作为企业管理者,应该学习、遵守国家关于信息安全相关的政策和法规,确保企业信息安全制度符合法律框架;遵守国家法律,实施版权保护措施,禁止企业内部非法使用拷贝版权产品;保护企业内部重要文档,防止出现丢失、篡改及破坏行为;当企业发生信息安全事故以及疑似信息安全事故时能够及时上报相关部门,并通过正确的渠道进行处理。
2、企业信息管理部门的安全责任
2.1企业信息管理部门需要保障环境和设备安全
企业信息管理部门必须确保信息设备存放在安全区域,如企业机房、机柜、档案室、机要室等,并制定严格的出入制度,保证访问处于可控状态。同时信息管理部门在选择设备存放地点时,必须保证设备环境安全,避免受水、电、雷击、电磁干扰、被盗等事件破坏;对于企业重要设备必须安装不间断电源(UPS)等防止设备出现突然断电;电气、网络的布线应符合国家安全规范,同时对信息管理部门等与设备接触的员工进行安全授权和相关知识培训;建立设备报废流程,确保报废设备内存储的企业信息及时彻底地清除。
2.2企业信息管理部门需要保证信息数据的安全
1)操作人员安全管理;信息管理部门根据需求对操作人员进行分级管理,通过各级账号权限的控制来实现对信息系统访问的安全控制。同时保证在操作人员变动等情况下及时更新访问权限。要求各级账号使用强密码,并通过安全的准入系统对登录请求进行验证。一是验证请求方式,当同一网段在单位时间内出现多次登录用户及密码错误时,应封闭其所在网段的数据请求并发出报警;二是验证系统安全,当操作人员登录系统后,对其使用的操作系统进行安全验证,并要求针对存在的安全隐患进行修复操作;三是检测登录用户操作是否影响信息系统的安全,防止非法操作;四是检测信息系统自身数据是否被篡改,并对所有登录用户的数据操作进行记录”。
2)数据安全管理;根据企业安全管理制度,保证数据存储设备(介质)的安全;针对企业重要数据进行硬件加密保护,对数据的操作需经主管领导审批通过后方可进行;定期进行数据备份,同时对备份数据通过多种方式存储,并异地存放。对企业重要信息系统必须进行内外网的物理分隔,对接入设备严格控制;互联网接口必须配置硬件防火墙,接入互联网的信息系统均要安装软件防火墙或杀毒软件,并定期对所有软件进行补丁更新;企业的硬件设备和软件提供商需要进行远程服务的,在工作结束后应立即断开连接,并且这种接入必须通过日志文件进行记录;所有与分支机构、客户、供应商等第三方的联网连接必须使用VPN,以防止信息被泄露、篡改和复制;在使用无线网络接入时必须通过企业信息管理部门的评估和企业管理者的批准,同时必须经过加密认证和访问控制;此外,企业信息管理部门有必要定期对信息系统的互联网接入进行审查。
2.3企业信息管理部门对信息系统开发和维护的管理
企业信息管理部门对信息系统开发和维护的管理主要是依据信息系统及软件安全的需求,依据新系统对企业数据的保密性、完整性和可用性需求,建立企业信息安全管理制度,建立用户分级管理标准;并对信息系统开发及支撑环境的安全提供保障,同时建立信息系统开发流程和软件升级的安全准则。
3、结语
综上所述,在企业信息安全管理过程中,企业管理者应该全面履行企业信息安全管理责任;企业员工应该积极落实企业制定的信息安全管理制度;信息管理部门应该依据企业制定的信息安全管理规划,实施和完善信息安全管理制度,只有同时做到这三个方面,才能有效地保证企业信息安全。
参考文献:
[1]谢芳,杨翠萍.信息技术安全策略的分析和研究田.现代电子技术,2009(14):109-111.
[2]孙博.企业信息安全及相关技术概述叶科技创新导报,2009(4):211.
[3]梅培.信息安全工程的经济分析模型叶中南财经政法大学研究生学报,2007(4): 41-44.
1、引言物联网的本质是传感、通信和IT技术在各行业的应用,它包含终端、网络、应用三个部分。物联网本身不是新事物,目前国外尤其欧美地区发展M2M已经有6、7年的时间,形成了比较成熟的产业链,并应用到了各行各业中。物联网已经在在各行各业得到广泛应...
物流简单来讲就是物品从供应地向接收地流动的过程,其属于供应链的一部分,包括了运输、贮存、保管、包装、流通加工以及物流信息处理等大量的活动,是以满足社会需求为目的的一种经济活动。市场经济体制的确立和逐步完善,带动了物流市场需求的变化,对于现代...
加强中小企业的信息化建设,能引导和促进中小企业加快发展方式的转变,有利于创新和完善中小企业内部管理体系建设.在中小企业的运行管理中,合同管理问题尤为突出.1系统设计的背景和目标目前,大多数中小企业的合同管理还依赖人工来进行,通过Word、Excel等办...
银行传统时代,由于资金匮乏,管理人员对信息整合与利用的重视程度不够,信息支持不到位,信息发展相对落后。自20世纪60年代以来,以“客户导向”为中心的经营理念已经在我国金融市场逐渐兴起,各金融机构逐步通过信息管理加强对客户的服务。但是目前,商业银...
题目:现代企业制度与IT管理制度的完善目录摘要(详见正文)一、现代企业制度的概述(一)现代企业制度的特征(二)现代企业制度的主要内容二、现代企业制度与IT管理制度的完善(一)现代企与IT管理模式的三个发展阶段(二)现代企业IT管理发展的三个阶段三、...
在国家指导层面,《2011-2015年建筑业信息化发展纲要》(以下简称《纲要》)中指出:工程总承包类,进一步优化业务流程,整合信息资源,完善提升设计集成、项目管理、企业运营管理等应用系统,构建基于网络的协同工作平台,提高集成化、智能化与自动化程度,推进设计...
建筑企业的信息化管理就是指将建筑企业在施工生产当中的各个环节,然后用计算机来进行即时的信息处理,并且在建筑企业的内部形成网络,以此做到建筑企业物资流及资金流等,来采用计算机系统管理物资,这样可以降低工程的成本,本文通过对建筑企业信息化管理...
引言在电力企业中,基于COBIT5建立信息治理与管理体系,不仅可以实现企业信息管理水平的提升,也可以更好地使企业信息化建设与业务目标达成一致,具有实际应用价值.1当前电力企业治理、管理现状对于当前我国电力企业发展中,在企业信息治理及管理方面还存在...
1引言近年来,随着数字化技术的迅猛发展和网络技术的日益成熟,医院信息管理系统(hospitalinformationsystem,HIS)得到飞速的发展,将远程(网络)心电图诊断系统应用于临床已成为可能[1].心电信息平台使社区卫生服务机构得到了优质医疗资源的保证和技术支...
1前言对于制药企业而言,产品质量始终是一把悬在头顶的达摩克利斯之剑。从原材料进厂到产品生产出来并经检验合格,中间牵涉到生产工艺及质量检验的诸多环节,只要其中有一个环节出现疏漏,都可能给药品质量造成严重影响。制药企业产品质量的保证依赖于...