基層企業的信息安全管理探索

韋會琪 周曉梅

（國網樂山供電公司，四川樂山 614000）

基層企業的信息安全管理探索

韋會琪 周曉梅

（國網樂山供電公司，四川樂山 614000）

隨著科學技術的不斷發展，辦公自動化的應用已普及到各行各業，本文主要分析了在信息社會里加強基層企業信息安全管理工作的必要性，結合基層企業辦公自動化的實際，對基層企業信息安全工作進行探索，望能更好地推進基層的信息安全管理工作。

辦公自動化 基層企業 信息安全管理

信息技術的發展改變了我們的生活，計算機或平板電腦早已成為我們的辦公伴侶，甚至智能化手機等通信產品有時也成為我們信息通訊和辦公不可缺少的工具。隨著信息技術的進一步推廣應用，信息數據的安全和保密變得越來越重要，形勢也越來越嚴峻。目前我國的信息安全管理工作還存在法制不健全、員工信息安全意識淡薄、管理手段缺乏等諸多問題，各行各業都有必要加強信息安全管理工作。

1 加強信息安全的必要性

現代信息技術的迅猛發展，計算機信息系統的廣泛應用已與我們基層企業每位員工的日常辦公、工作效率息息相關。隨著各集成業務系統的推廣應用，在業務數據的采集、存儲、處理、傳輸等環節中，如不加強信息安全管理，未對辦公終端和網絡進行合理的配置或采取有效的防護技術，泄密和竊密現象難免會發生。

計算機終端、移動存儲介質等辦公自動化設備存在使用人員多、設備數量大、管理分散，信息數據存在傳輸環節繁雜、傳輸過程監管難等因素，已對信息數據的安全和保密工作構成了極大威脅。如計算機終端的安全配置低、系統沒有及時打補丁、殺毒軟件未及時升級病毒庫代碼、員工隨意安裝來歷不明的軟件等，辦公設備均可能會遭受木馬病毒感染、非法訪問、敏感或涉密信息的泄密等嚴重后果；如缺乏嚴格的設備接入、啟停管理，非授權終端可能會隨意接入，給企業的辦公網絡和信息安全帶來的安全隱患，可能造成極大的負面影響和經濟損失。

承載在網絡上的數據信息正在受到嚴重的安全影響和威脅，傳統的信息安全和保密管理模式缺乏現代的技術手段和防護思想，已不能適應現代的信息安全管理。從近幾年發生的計算機病毒感染、黑客入侵、商業秘密失竊等事件的調查中，我們不難看出信息安全隱患已危及到企業的正常經營秩序，甚至影響到國家或企業的聲譽，嚴重的已造成經濟損失。因此，在信息技術飛速發展的新形勢下，強化信息的安全和保密管理工作有著充分的必要性。

2 信息安全的管理途徑

2.1 建立健全信息安全組織，強化信息安全保密意識

各單位要堅持“誰主管誰負責、誰使用誰負責”的原則，信息安全是安全生產工作的必要組成部分，基層單位要成立信息安全管理組織機構。“一把手”堅持親自抓，花大力氣抓，要將信息安全管理的工作日程與生產經營工作同步部署、同步落實、同步考核。基層要組織廣大員工學習《中華人民共和國保守國家秘密法》、《中國計算機信息網絡國際聯網安全保護管理辦法》等相關信息安全管理法律法規，增強所有員工的信息安全和保密意識，做到企業各環節人員都知法、守法、護法。

2.2 完善保密制度，簽訂保密承諾

公司要制定和完善信息安全管理相關制度，將信息安全責任落實到每位員工。基層（部門）主要負責人與公司保密委員會簽訂《保密工作責任書》，員工與各單位（部門）負責人簽訂《員工保密承諾書》，涉密人員與公司保密委員會簽訂《涉密人員保證書》，涉密人員離崗時與公司保密委員會簽訂《涉密人員離崗保密保證書》。責任書和承諾書中應對業務數據的采集、處理、傳輸等行為進行必要的規范，增強廣大員工的信息安全責任和意識感。

2.3 加強涉密設備的管理，確保涉密設備安全

辦公自動化設備的接入、啟停必須嚴格遵守信息設備接入管理規定，實行接入和啟停審批制度，采取將設備的MAC地址在網絡參數配置中進行綁定、認證，避免非法設備的接入；與底層操作系統軟件商合作，辦公設備務必安裝專業的信息安全監控管理軟件，系統具備拒絕非法移動存儲設備的接入、強制規范系統的必要安全策略配置等相關功能；移動存儲介質的使用均要進行認證管理制度，存儲設備認證到人，使信息數據在采集、處理、傳輸、拷貝的過程中均能有痕跡可查證。

2.4 加強內、外網管理，杜絕內、外網互聯

當前在外部網絡上，惡意軟件、計算機病毒、信息發布監管難等安全隱患越來越多，建議將企業的內部辦公網絡與互聯網進行物理隔離，不能進行互聯。加強外部互聯網出口管理，統一互聯網出口，與企業內部網路進行同安全級別的管理和認證。如公司因營業需要，外部互聯網站確需訪問內部的營業數據時，可考慮建立中間數據庫加防火墻、網絡隔離器方式，配置專用的、單向的數據通道訪問策略，避免內部網絡遭受黑客攻擊和非法訪問。公司應將可能造成非法外連、非法拷貝數據的行為列舉出來，避免員工誤操作造成內、外網互聯，并制定相應的管理制度，對違規互聯行為進行必要的安全處罰和教育。

2.5 自查與檢查結合

公司應加強信息安全的檢查和督導作用，加強信息設備接入與啟用、停用管理，把控信息傳輸和信息發布的各個管理環節。基層單位每季度應至少進行一次信息安全的自查活動，對自查出來的違規行為、隱患點進行排查、糾正，總結信息安全相關經驗和教訓，杜絕信息安全事件發生。

3 結語

基層企業要保證信息安全，不僅要求在系統建設、終端設備接入、信息數據傳輸等相關環節加強管理，還要求全體員工在日常工作和生活中時刻牢記信息安全責任，規范上網行為，杜絕違規外聯、非法拷貝、非法信息發布等行為。企業要建立和完善全過程的信息安全長效管理機制，切實消除信息安全隱患，才能持續改進信息安全管理工作。

［1］國家電網公司辦公計算機信息安全和保密管理規定（國家電網信息【2009】434號）.

［2］關于加強信息安全管理和內外網隔離管理的通知（樂電安監〔2010〕23號文件）.

［3］施峰.信息安全保密基礎教程.北京理工大學出版社出版，2008.

［4］韓祖德.計算機信息安全基礎教程.人民郵電出版社，2008.9.1.