企業信息安全管理現狀與策略研究

張婉妮

（石化盈科信息技術有限責任公司， 北京 100007）

1 企業信息安全管理現狀

1.1 信息安全技術問題

信息安全包括應用安全、數據安全、主機安全、網絡安全、安全審計和安全管理等六個方面。因技術發展和資金投入的局限性，在企業信息系統設計開發過程中難免存在缺陷與漏洞，從而造成企業的信息安全隱患。此外，企業未成立專業部門、團隊去開發、維護、更新企業信息系統，部分企業甚至無專業IT安全管理人員等，都會導致信息安全事件頻發問題。

1.2 信息安全管理問題

1.2.1 缺乏統籌規劃

企業未根據自身的需求制定長遠的信息安全管理規劃。公司領導對信息安全規劃參與度有限或受專業能力的限制，不能有效提出指導意見與發展方向。如安全目標不清晰、管理職責不明確、重要信息資產未管控等問題，都會引發企業的信息安全危機。

1.2.2 缺少信息安全管理制度

在國家層面，因信息安全屬于較新領域，政府已發布的信息安全法律法規并不完善，處罰力度與管制范圍不能滿足當前企業安全要求。在企業層面，多數企業尚未制定適宜本企業的信息安全管理制度，導致企業對信息安全管控薄弱，容易出現不安全事件。

1.2.3 員工安全意識薄弱

員工不知曉自身在工作中所承擔的信息安全職責，普遍認為信息安全是IT 部門或系統管理員的事，不清楚企業的信息安全還包含人員信息、存儲介質、應用系統、文件等多方面。據統計，多數企業出現信息安全問題的主要原因并不來自外界攻擊，而是企業內部員工有意或無意間的信息泄漏。員工安全意識的薄弱，也是企業信息安全受到威脅的主要原因。

1.2.4 缺乏安全風險防控能力

在現實中，部分企業在經營管理過程中缺乏安全風險防控意識，未建立“事故、事件”應急處置方案。對重要信息系統和資料未制定備份策略與恢復措施。一旦出現信息安全事件，只能被動接受或補救。不能做到“事前預防、事中控制、事后改進”的風險防控管理，嚴重影響了企業業務運行的連續性與可靠性。

2 企業信息安全問題的應對策略

2.1 加強基礎設施建設，采用先進的安全技術手段

為保障企業的信息安全建設，最基本的條件是要提高企業安全技術能力與基礎設施建設。企業應增加安全投入，購置性能較高的安全設備，采用先進信息安全技術手段來防止安全漏洞的產生。從技術角度，企業可從信息安全的三個主要領域“驗證與授權、預防與防范、檢測與響應”來開展工作。

驗證與授權，“驗證”指系統要先確定用戶的身份，再根據身份設置訪問權限進行“授權”。驗證與授權可采用：令牌、智能卡、指紋、人臉和聲音等相關產品。

預防與防范，指企業采用內容過濾、加密與防火墻等措施，防止非法入侵與非法訪問系統，這也是企業必須加強的關鍵安全防御環節。

檢測與響應，是企業信息安全的最后一道防線，常用的檢測與響應技術如殺毒軟件等。

2.2 引入ISO27001 標準，構建信息安全管理體系

單純依靠技術手段是無法有效保障企業的信息安全。因為企業的信息安全不是一個技術過程，而是一個管理過程。企業可結合目前國際上應用較廣的ISO27001 標準[1]，搭建信息安全管理體系模型（如圖1）。通過風險分析的方法，找出企業所面臨的安全風險，制定相關管理要求或采用適宜的技術手段進行管控，來幫助企業有效的規避、降低風險，定期開展內外部審核監控活動，使體系實現PDCA 持續改進循環，進而提升企業的信息安全保障能力。

針對企業所面臨的主要風險，借鑒ISO27001 標準，從以下幾個方面提出解決企業安全管理的相關措施。

2.2.1 加強統籌規劃，健全信息安全組織架構

為保障企業的信息安全目標能夠實現，信息資源能夠得到保障。企業領導應根據自身業務的發展需求，制定信息安全目標，搭建信息安全組織架構，明確相關職責和權限。

決策層：由企業主抓信息安全工作的領導組成，負責企業信息安全規劃、策略以及重大安全事件的審批，并提供相應信息資源支持。

管理層：由企業的信息安全主管部門或IT 部門承擔，負責企業日常的信息安全管理、監督、考核與培訓。

執行層：由IT 部門的技術人員與其它部門的專、兼職信息安全人員構成。負責落實安全措施，消除安全風險，以及安全事件發生后的應急響應和處理。

2.2.2 完善制度建設，規范安全管理流程

企業管理離不開制度建設，全面、適宜的制度，會幫助企業快速、有效地落實安全職責。ISO27001標準附錄A 中[1-2]，提出了企業在信息安全建設中主要涉及的14 個管理領域與控制策略，企業可根據上述控制策略建立管理制度，從而完善企業的信息安全管理要求，可參考表1。

表1 信息安全管理領域與控制策略

2.2.3 重視安全教育培訓、培養安全責任意識

“人”是企業在開展信息安全管理過程中最重要的因素。ISO27001 標準中要求企業應對做好人員的安全審查與教育培訓工作。

在任用前，應進行員工背景調查，聘用合同中應列明員工需遵守的信息安全責任。

在任用中，應定期舉辦信息安全教育培訓類活動，將企業的信息安全管理要求對全員、外包人員，以及利益相關方人員知曉并遵守。

在任用終止或變更時，應告之員工仍需遵守的信息安全責任及職責。

2.2.4 加強風險防控意識、建立應急保障機制

企業可參考ISO27001 標準中信息安全事件管理部分要求，建立并完善“事故、事件”應急處置流程，對安全事件進行分級、分類。企業應重視應急預案的制定與演練，對重要的信息系統與資料應制定備份策略與恢復措施，使企業真正實現“事前預防、事中控制、事后改進”的全面風險管理。

3 結語

企業的信息安全離不開“技術”與“管理”，二者相融相依，共同促進。ISO27001 標準的引入，可幫助企業從技術管理、風險管理、職責落實、制度建設、意識提升和應急響應等各個方面不斷加強，有助于企業持續提升信息安全管理水平。