企業網絡信息安全管理體系規劃與建設分析

張瑋 山東省濱州市煙草專賣局

科學技術的不斷進步，促進了信息化產業的不斷發展。網絡信息安全系統被有效的應用在當前一體化的商業領域和政府的政務服務工作中，得到了認可和重視。但隨著大多數企業或個人對于網絡信息系統依賴性的不斷提高，以及網絡信息系統中存在的一定網絡信息安全問題，成為現階段諸多企業急需解決的管理問題。

尤其是近段時間網絡上經常報道的信息泄露問題（例如，信用卡賬戶信息的泄露、購房者信息、移動通訊人員使用信息以及新生兒出生信息的泄露等），牽扯內容比較廣泛，涉及的人員和企業也比較多，信息泄露的途徑也是多種多樣，引起了社會的高度關注與討論，加強對企業網絡信息安全管理體系的規劃與建設已是未來網絡信息管理體系可持續發展的重要問題。

一、企業網絡信息安全管理體系的現狀及成因分析

隨著企業現代化、信息化的不斷發展，企業信息化水平得到了不斷的提升，企業的正常運營越來越依賴于信息化的管理系統。因此，企業為了進一步保障網絡信息管理系統能夠安全、穩定的工作，大部分企業都設置了防火墻、病毒入侵檢測系統、病毒預測系統以及網絡安全管理等軟硬件安全管理設備，希望借助高科技技術手段對黑客的不法入侵以及病毒對信息系統的干擾起到一定的阻擋作用。但現實卻給了我們一個“響亮的耳光”，現有的網絡信息安全管理系統仍存在一定的危險因素，企業信息管理系統遭到病毒感染、黑客攻擊導致信息泄露、網絡攻擊等安全事件時有發生。根據我國計算機病毒疫情調查分析報告數據統計，每年都會有一部分網絡信息系統用戶遭受一些網絡病毒的攻擊導致系統癱瘓，無法正常使用，并出現逐漸遞增的趨勢，給各個領域的企業造成了嚴重的經濟損失。出現這種情況的主要原因是：

第一，網絡信息安全系統在構建的過程中缺乏總體的規劃與策略分析。以往網絡信息安全系統的構建企業管理者都是遵循“木桶理論”的原理，認為運用各種技術只要將信息系統圍個水泄不通，信息安全就得到了保障，但事實證明這是行不通的。

第二，信息安全意識薄弱，信息安全人員數量不足。大部分企業管理人員認為信息安全是公司技術部的問題，只要建立了防火墻，安裝了殺毒軟件，信息系統記得到了保障，在職員工安全信息管理意識較低。其次，人員配備不足，大多數的系統管理人員既要維護好信息的安全管理、設置、審計等工作，又要負責信息系統的配置，專業技術能力不到位也是影響信息系統安全的重要因素。

第三，信息安全管理系統缺少科學性與規范性。目前還有許多企業延用傳統的信息管理模式，對信息安全管理規劃缺乏系統的科學性與規范性，只是單一的進行修補，很容易出現漏洞，導致信息安全問題發生。

二、企業網絡信息安全管理體系的規劃與建立具體實施方案

（一）具體的實施方案

一是調研階段，通過對企業相關人員的問題提問、文檔查閱等，對部分企業內部組織體系架構、業務和網絡體系以及信息安全管理情況進行深入的了解，參照信息系統等級保護相關檢測標準對其進行安全數據分析，對找出的差距和問題進行整合，為企業今后網絡信息安全管理系統的建立提供可靠的數據參考。

二是策劃階段，根據對目前企業信息體系現狀及問題的分析，結合上述整合出來的差距分析結果，對企業網絡信息安全管理體制建設方案進行重新的編制，并聽取內外部專家的評審建議，敲定最終的建設方案。

三是實施階段，對企業組織、管控模式以及管理制度之間的結合方式進行有效的研究，并構建網絡信息安全管理組織責任體系與工作機制；其次，對企業整體信息安全管理策略以及信息安全河西業務規范和標準進行深入的研究制定。

（二）建立安全的信息管理體系

首先，良好的網絡信息安全管理系統的建立離不開企業相關管理人員的認可與支持，為信息安全管理體系的建立提供重要的資源保障。但是只有企業領導人員的支持，缺少相關業務部門的認可，信息安全管理體系還是無法正常的運作，所以，企業管理者必須明確好企業全體人員的工作責任，讓他們充分意識到網絡信息安全管理的重要性，并積極到參與到信息安全管理體系建設工作中去，從而推動網絡信息管理體系建設的順利進行。

其次，建設網絡信息安全制度體系。通過對國內外信息安全管理體系標準要求、政策以及等級保護體系的參照，結合現階段企業管理制度和管理現狀，建立自上而下，逐層遞進的信息安全管理制度體系，對信息安全制度進行有效的匯總統計。其涉及的管理領域可分為制度管理、人員管理、系統建設管理、組織管理以及系統運營維護管理等五大方面。具體的信息安全管理制度結構可分為信息安全管理辦法，對信息安全管理范圍、依據、目標、組織以及責任體系和整體安全管理進行編制；信息安全管理細則或章程，科學的規范安全管理活動和具體的操作流程。

三、結語

網絡信息安全管理系統的建立不僅為每個企業提供了良好的信息網絡環境，還為企業提供了重要的信息安全體系保障，最大程度的幫助企業降低了信息安全風險，提升了企業收益，同時為企業提供了大量的技術安全保障，對信息安全風險的出現起到了預防的作用，對企業現階段的信息安全管理體系發展現狀和出現的問題起到一定的改善作用。