淺議企業信息安全管理與風險控制

孫天天

摘 要：企業信息安全管理從本質上來說是企業風險控制的重要內容，企業信息安全管理是企業風險控制中十分重要的一項工作，企業的信息安全關系到企業的發展與生存，所以，企業只有真正認識到信息安全管理的重要性，將企業信息安全管理作為企業風險控制工作開展開來，通過各種各樣的體制建設與技術指導，保障企業信息安全管理的科學性和規范性、穩定性。本文首先介紹了企業信息安全管理的內容，并闡明了企業信息安全管理與企業風險控制之間的聯系，在此基礎上，為了更好地規避企業的經營風險，優化企業信息安全管理水平提出若干意見與建議。

關鍵詞：企業；信息安全；風險控制

一、引言

企業經營信息對于企業來說是一種資源，對于企業自身來說具有重要意義，企業需要妥善管理自身企業的信息。近年來，企業的各項經營活動都逐漸開始通過計算機，網絡開展，因此，企業的信息安全管理對于企業越來越重要。許多企業開始通過各種技術手段以及制度改革，把更多的注意力放在企業內部的信息安全管理工作，同時將企業信息安全管理與風險控制結合起來，這是一個正確的選擇，能夠幫助企業實現穩定經營。在介紹企業信息安全管理以及風險控制前必須厘清企業信息安全管理的概念與企業風險控制定義，因此，本節將著重介紹企業信息安全管理的概念以及企業風險控制的定義。

企業的信息安全管理包含十分豐富的內容，簡單來說是指企業通過各種手段來保護企業硬件和軟件，保護網絡存儲中的各種數據不受偶然因素的破壞或者惡意的原因被攻擊。對于信息安全的認定通過包括4個指標，即保證信息數據的完整，保證信息數據不被泄露，保證信息數據能夠正常使用，保證信息數據能夠控制管理。要想做好企業的信息安全管理，首先需要了解的是關于信息的傳輸方式。隨著信息技術的不斷普及，信息傳遞的方式越來越多，常見的信息傳遞方式主要有互聯網傳播，局域網傳播，硬件傳播等等。要想實現企業的信息安全管理，其中很重要的一項工作在于保護信源、信號以及信息。信息安全管理是一項需要綜合學科知識基礎的工作，從事企業信息安全管理工作的人員通過需要具有網絡安全技術、計算機技術、密碼技術、通信技術。從企業的信息安全管理來講，最為關鍵的一項工作時保護企業內部經營信息數據的完整。經過近十年來的企業信息安全管理工作經驗總結，企業信息安全不僅僅需要信息技術的支持，更需要通過建立完善的企業風險控制體系來幫助企業實現更好地保護企業信息安全的目標。

所以，怎樣把企業信息安全管理與風險控制融合起來就是擺在企業經營管理者面前的一道難題。企業的信息安全風險控制必須通過企業建立完善的企業信息安全風險體系實現。企業的信息安全風險控制是指企業在企業信息安全遭遇威脅之前，提前對企業的信息進行風險預估，并采取一系列的有針對性的活動降低企業面臨的信息安全風險，從而盡可能減少因為企業本身信息安全管理中存在漏洞給企業帶來不必要的損失。常見的企業信息安全風險體系建立主要包含以下幾個方面的內容。第一，建立企業信息安全風險管理制度，明確企業信息安全管理的責任分配機制，明確企業各個部門對各自信息安全所應承擔的責任，并建立相應的問責機制。第二，設置規范的企業信息安全風險管理指標，對企業存在的可能威脅企業信息安全管理的漏洞予以風險定級，方便企業管理者對不同的信息安全管理漏洞采取有區別的對策。第三，企業要加強對信息安全管理人員的培訓，提高企業信息安全管理工作人員的風險意識，讓企業內部從事信息安全管理工作人員認識到自身工作的重要性，讓企業內部從事信息安全管理工作人員了解到規范自身行為，正確履行職責的重要性。第四，將企業信息安全管理與風險控制有效融合，重視企業信息安全管理工作，通過風險控制對企業內部信息安全的管理方式進行正確評估，找出現行的企業內部信息安全管理手段中存在容易忽視的地方。

二、企業信息安全管理與風險控制存在的不足

1.企業信息安全管理工作人員素質不高

對于企業來說，企業信息安全管理工作是一項極為重要而隱秘的工作，因此，必須增強對企業信息安全管理工作人員的素質要求。但是根據調查統計，目前很多企業對信息安全工作的管理僅僅停留在對企業信息安全管理工作人員的技術要求上，對企業信息安全管理工作人員的道德素養，職業素養，風險意識并沒有嚴格要求。此外，絕大多數企業并沒有意識開展對企業信息安全管理工作的道德素質的教育培訓，并沒有通過建立相關管理制度以及問責機制對企業信息安全管理工作人員實行監督，這無疑給別有用心或者立場不堅定的企業信息安全管理工作人員留下了危害企業信息安全的可乘之機。

2.企業信息安全管理技術不過關

企業信息安全管理工作涉及多許多技術，包括信息技術，計算機技術，密碼技術，網絡應用技術等等，應當說成熟的計算機應用技術是做好企業信息安全管理的基礎，但是，現實是許多企業的信息安全管理技術并不過關，一方面企業的信息安全管理硬件并不過關，在物理層面對企業信息缺乏保護，另一方面，企業信息安全管理工作的專業技術沒有及時更新，一些企業信息安全管理工作人員缺乏企業信息安全管理的實踐經驗，企業信息安全管理的知識也并沒有及時更新，從而導致企業的信息安全管理理論嚴重滯后，這種技術的落后很容易讓企業成為不法分子的攻擊對象。近年來網絡病毒的傳播越來越猖狂，很多服務器、系統提示安全補丁的下載更新以及客戶端的時常更新成為一個惱人的問題。作為一個行業中的大中型企業，企業內部設備數量比較多，尤其是客戶端數量占了較大比重，僅僅靠少數幾個管理員進行管理是難以承擔如此大量的工作量。另外，企業信息安全管理系統不成熟也是一個重大的隱患。

3.企業信息安全管理制度不健全

企業信息安全管理制度不僅僅需要理論制度的完善，更加需要一系列配套監督機制保障企業信息安全管理的有效執行。通過調查分析，許多企業雖然建立了企業信息安全管理制度，但是通常情況下，這些制度只能流于形式，企業信息安全管理工作缺少有效的制約和監督，企業信息安全管理工作人員缺乏執行力。企業信息安全管理制度不健全，企業信息安全管理工作缺乏執行力常常體現在以下幾個方面。第一，企業員工對于信息安全管理的認識嚴重不足，對企業信息安全管理工作不重視。企業內部計算機系統安全的計算機防病毒軟件并沒有及時更新，使用，甚至企業內部計算機的防病毒軟件還被企業員工卸載了。部分企業員工認為自己的工作與企業信息安全管理不相關，認為做好企業信息安全管理工作僅僅是企業信息安全部門的事。第二，企業內部信息安全管理制度并沒有形成聯動機制，企業信息安全管理工作僅僅由企業信息安全部門“一人包干”，企業信息安全反映的問題并沒有得到積極的反饋，一些企業領導對企業信息安全現狀所了解的少之又少。

三、企業信息安全管理常見的技術手段

1.OSI安全體系結構

OSI概念化的安全體系結構是一個多層次的結構，它的設計初衷是面向客戶的，提供給客戶各種安全應用，安全應用必須依靠安全服務來實現，而安全服務又是由各種安全機制來保障的。所以，安全服務標志著一個安全系統的抗風險的能力，安全服務數量越多，系統就越安全。

2.P2DR模型

P2DR模型包含四個部分：響應、安全策略、檢測、防護。安全策略是信息安全的重點，為安全管理提供管理途徑和保障手段。因此，要想實施動態網絡安全循環過程，必須制定一個企業的安全模式。在安全策略的指導下實施所有的檢測、防護、響應，防護通常是通過采用一些傳統的靜態安全技術或者方法來突破的，比如有防火墻、訪問控制、加密、認證等方法，檢測是動態響應的判斷依據，同時也是有力落實安全策略的實施工具，通過監視來自網絡的入侵行為，可以檢測出騷擾行為或錯誤程序導致的網絡不安全因素；經過不斷地監測網絡和系統來發現新的隱患和弱點。在安全系統中，應急響應占有重要的地位，它是解決危險潛在性的最有效的辦法。

3.HTP模型

HTP最為強調企業信息安全管理工作人員在整個系統中的價值。企業信息安全工作人員企業信息安全最為關鍵的參與者，企業信息安全工作人員直接主導企業信息安全管理工作，企業信息安全工作人員不僅僅是企業信息安全的保障者，也是企業信息安全管理的威脅者。因此，HTP模型最為強調對企業信息安全管理工作人員的管理與監督。另外，HTP模式同樣是建立在企業信心安全體系，信息安全技術防范的基礎上，HTP模式采取了豐富的安全技術手段確保企業的信息安全。最后，HTP強調動態管理，動態監督，對于企業信息安全管理工作始終保持高強度的監督與管理，在實際工作中，通過HTP模型的應用，找出HTP模型中的漏洞并不斷完善。

四、完善企業信息安全管理與降低風險的建議

1.建設企業信息安全管理系統

（1）充分調查和分析企業的安全系統，建立一個全面合理的系統模型，安全系統被劃分成各個子系統，明確實施步驟和功能摸塊，將企業常規管理工作和安全管理聯動協議相融合，實現信息安全監控的有效性和高效性。

（2）成立一個中央數據庫，整合分布式數據庫里的數據，把企業的所有數據上傳到中央數據庫，實現企業數據信息的集中管理與有效運用。

（3）設計優良的人機界面，通過對企業數據信息進行有效的運用，為企業管理階層人員、各級領導及時提供各種信息，為企業領導的正確決策提供數據支持，根本上提高信息數據的管理水平。

（4）簡化企業內部的信息傳輸通道，對應用程序和數據庫進行程序化設計，加強對提高企業內部信息處理的規范性和準確性。

2.設計企業信息安全管理風險體系

（1）確定信息安全風險評估的目標

在企業信息安全管理風險體系的設計過程中，首要工作是設計企業信息安全風險評估的目標，只有明確了企業信息安全管理的目標，明確了企業信息安全管理的要求和工作能容，才能建立相關圍繞信息安全風險控制為目標的信息安全管理工作制度，才能順利通過對風險控制的結果的定量考核，檢測企業信息安全管理的風險，定性定量地企業信息安全管理工作進行分析，找準企業信息安全管理的工作辦法。

（2）確定信息安全風險評估的范圍

不同企業對于風險的承受能力是有區別的，因此，對于不同的企業的特殊性應該采取不同的風險控制辦法，其中，不同企業對于能夠承受的信息安全風范圍有所不同，企業的信息安全風險承受范圍需要根據企業的實際能力來制定。不僅如此，企業的信息安全風險評估范圍也應當根據企業的實際經營情況變化采取有針對性的辦法。

（3）組建適當的評估管理與實施團隊

企業信息安全風險控制體系的建立需要企業內部各個部門的參與，因為各個部門工作人員對于企業風險的認是有所不同的，企業要想了解企業承擔的經營管理風險，就必須讓企業各個部門工作人員共同參與進來。

參考文獻：

[1]焦洪濤.中小企業信息安全管理策略研究[D].西安理工大學，2009.

[2]李慧.信息安全管理體系研究[D].西安電子科技大學，2005.

[3]梁軍.湖南電信公司內網信息安全體系建設的研究[D].湖南大學，2007.

[4]陳科.信息系統安全風險評估研究[D].華東師范大學，2009.

[5]韓穎.國稅部門信息系統網絡安全分析與策略[D].北京郵電大學，2010.