企业信息安全管理现状与策略

摘要：随着互联网、移动应用等信息化管理技术的发展与普及，企业面临的信息安全问题也日趋严峻，信息安全风险已渗透到企业经营管理的各个方面。通过对企业信息安全现状的分析，结合ISO27001信息安全管理体系模型，提出运用“技术+管理”的方法去解决企业所面临的信息安全问题，旨在为企业的信息安全管理提供帮助和指导。

关键词：信息安全；ISO27001；信息安全管理体系；管理

1企业信息安全管理现状

1.1信息安全技术问题

信息安全包括应用安全、数据安全、主机安全、网络安全、安全审计和安全管理等六个方面。因技术发展和资金投入的局限性，在企业信息系统设计开发过程中难免存在缺陷与漏洞，从而造成企业的信息安全隐患。此外，企业未成立专业部门、团队去开发、维护、更新企业信息系统，部分企业甚至无专业IT安全管理人员等，都会导致信息安全事件频发问题。

1.2信息安全管理问题

1.2.1缺乏统筹规划企业未根据自身的需求制定长远的信息安全管理规划。公司领导对信息安全规划参与度有限或受专业能力的限制，不能有效提出指导意见与发展方向。如安全目标不清晰、管理职责不明确、重要信息资产未管控等问题，都会引发企业的信息安全危机。1.2.2缺少信息安全管理制度在国家层面，因信息安全属于较新领域，政府已的信息安全法律法规并不完善，处罚力度与管制范围不能满足当前企业安全要求。在企业层面，多数企业尚未制定适宜本企业的信息安全管理制度，导致企业对信息安全管控薄弱，容易出现不安全事件。1.2.3员工安全意识薄弱员工不知晓自身在工作中所承担的信息安全职责，普遍认为信息安全是IT部门或系统管理员的事，不清楚企业的信息安全还包含人员信息、存储介质、应用系统、文件等多方面。据统计，多数企业出现信息安全问题的主要原因并不来自外界攻击，而是企业内部员工有意或无意间的信息泄漏。员工安全意识的薄弱，也是企业信息安全受到威胁的主要原因。1.2.4缺乏安全风险防控能力在现实中，部分企业在经营管理过程中缺乏安全风险防控意识，未建立“事故、事件”应急处置方案。对重要信息系统和资料未制定备份策略与恢复措施。一旦出现信息安全事件，只能被动接受或补救。不能做到“事前预防、事中控制、事后改进”的风险防控管理，严重影响了企业业务运行的连续性与可靠性。

2企业信息安全问题的应对策略

2.1加强基础设施建设，采用先进的安全技术手段

为保障企业的信息安全建设，最基本的条件是要提高企业安全技术能力与基础设施建设。企业应增加安全投入，购置性能较高的安全设备，采用先进信息安全技术手段来防止安全漏洞的产生。从技术角度，企业可从信息安全的三个主要领域“验证与授权、预防与防范、检测与响应”来开展工作。验证与授权，“验证”指系统要先确定用户的身份，再根据身份设置访问权限进行“授权”。验证与授权可采用：令牌、智能卡、指纹、人脸和声音等相关产品。预防与防范，指企业采用内容过滤、加密与防火墙等措施，防止非法入侵与非法访问系统，这也是企业必须加强的关键安全防御环节。检测与响应，是企业信息安全的最后一道防线，常用的检测与响应技术如杀毒软件等。

2.2引入ISO27001标准，构建信息安全管理体系

单纯依靠技术手段是无法有效保障企业的信息安全。因为企业的信息安全不是一个技术过程，而是一个管理过程。企业可结合目前国际上应用较广的ISO27001标准[1]，搭建信息安全管理体系模型（如图1）。通过风险分析的方法，找出企业所面临的安全风险，制定相关管理要求或采用适宜的技术手段进行管控，来帮助企业有效的规避、降低风险，定期开展内外部审核监控活动，使体系实现PDCA持续改进循环，进而提升企业的信息安全保障能力。针对企业所面临的主要风险，借鉴ISO27001标准，从以下几个方面提出解决企业安全管理的相关措施。2.2.1加强统筹规划，健全信息安全组织架构为保障企业的信息安全目标能够实现，信息资源能够得到保障。企业领导应根据自身业务的发展需求，制定信息安全目标，搭建信息安全组织架构，明确相关职责和权限。决策层：由企业主抓信息安全工作的领导组成，负责企业信息安全规划、策略以及重大安全事件的审批，并提供相应信息资源支持。管理层：由企业的信息安全主管部门或IT部门承担，负责企业日常的信息安全管理、监督、考核与培训。执行层：由IT部门的技术人员与其它部门的专、兼职信息安全人员构成。负责落实安全措施，消除安全风险，以及安全事件发生后的应急响应和处理。2.2.2完善制度建设，规范安全管理流程企业管理离不开制度建设，全面、适宜的制度，会帮助企业快速、有效地落实安全职责。ISO27001标准附录A中[1-2]，提出了企业在信息安全建设中主要涉及的14个管理领域与控制策略，企业可根据上述控制策略建立管理制度，从而完善企业的信息安全管理要求，可参考表1。2.2.3重视安全教育培训、培养安全责任意识“人”是企业在开展信息安全管理过程中最重要的因素。ISO27001标准中要求企业应对做好人员的安全审查与教育培训工作。在任用前，应进行员工背景调查，聘用合同中应列明员工需遵守的信息安全责任。在任用中，应定期举办信息安全教育培训类活动，将企业的信息安全管理要求对全员、外包人员，以及利益相关方人员知晓并遵守。在任用终止或变更时，应告之员工仍需遵守的信息安全责任及职责。2.2.4加强风险防控意识、建立应急保障机制企业可参考ISO27001标准中信息安全事件管理部分要求，建立并完善“事故、事件”应急处置流程，对安全事件进行分级、分类。企业应重视应急预案的制定与演练，对重要的信息系统与资料应制定备份策略与恢复措施，使企业真正实现“事前预防、事中控制、事后改进”的全面风险管理。

3结语

企业的信息安全离不开“技术”与“管理”，二者相融相依，共同促进。ISO27001标准的引入，可帮助企业从技术管理、风险管理、职责落实、制度建设、意识提升和应急响应等各个方面不断加强，有助于企业持续提升信息安全管理水平。

参考文献

[1]国际标准ISO/IEC27001：2013信息技术-安全技术-信息安全管理体系-要求[S].

[2]国际标准ISO/IEC27002：2013信息技术-安全技术-信息安全控制实用规则[S].

作者：张婉妮 单位：石化盈科信息技术有限责任公司