企业在随着互联网发展的步伐不断加快时,持续对信息资源进行深度开发和广泛利用,耳熟能详的业务管理系统(如ERP)、办公协同系统(如OA)、辅助决策系统等信息化产品在企业信息化建设中站稳了脚步。企业在信息化中如饮甘露尝到了十足的甜头,从管理角度,优化工作效率、提升运营成本;从员工角度,发挥自身积极性,消除信息孤岛;从企业角度,加强整体的凝聚力,让其在竞争日趋激烈的时代获胜。
但是这些先进的科学技术给我们带来效益和效率的同时,也带来了一个副产品,即企业信息化建设的安全问题。
信息现在于企业中的地位已经等同于机密,以前是纸质文档储存重要信息,现在都以电子文档数据为形式活跃于硬件中、系统中、服务器中和交互通道中,无论是占据市场地位的前沿技术、参与竞争的竞标方案文档、覆盖核心业务的客户资料、年底策划的商业计划书等等机密资料都在企业内部任意流转,企业在提升信息化建设中往往忽略了对这些信息的特殊保护措施。这些不受保护的信息在企业中将面临各种遭到破坏、更改、泄露的隐患,无论是决策者的疏忽、管理行为的滞后、内部人员的恶意造成企业信息的泄露,还是黑客、病毒以及来自企业外部的攻击造成企业系统的瘫痪,都让疏于信息安全建设的企业处于防不胜防的状态。调查显示,全国有78%的中小型企业局域网中都存在病毒威胁,其中最重要的攻击来自于企业内部的威胁,比例高达85%。
如此风险之大、威胁之深的信息安全现状必让企业管理者们在信息化建设中视安全为重中之重。因为研发源代码、电子设计图稿、客户名单文档等信息一旦受到威胁,轻则导致企业运营紊乱,丧失市场先机,损失市场份额,撼动市场地位,影响企业的长远发展战略,重则将给企业带来毁灭性的打击甚至倒闭死亡。谁都想让自己在信息化中被助推一把,绝不想不小心因信息泄露而撞断了腰!
因此,相比较于业务管理平台、办公系统平台、辅助决策平台的信息化建设,如何保护企业内部信息的安全才是确保企业信息化成果得以实现和维护的根本,是成就企业稳步发展的关键环节。要想获得长足的核心竞争力,企业在信息化航行时,面对错综复杂的环境,必须根本保证自身的安全,仅仅是为了赶潮流的倾向而购买一大堆信息化硬件、软件来增加信息化建设的重量,误以为这便是让自己发展更快的筹码,那就真的要埋下诸多隐患,日后后悔莫及。
无论是已经深度实施信息化建设的成熟企业还是刚进行信息化试水的创新企业,无疑都想在信息化的海洋中快速、平稳地航行,办公信息安全平台作为企业整体信息化体系中最重要的一环,必将让企业管理者全面受益,让成长型的企业实现管理转型,让成熟型的企业基业长青。但是若未提前进行安全评估和部署建设,迟早会像泰坦尼克号一样即使前期心血投入最终由于与危机的一吻而前功尽弃。安全不容忽视,企业只有意识先行,提前进行信息安全平台建设,让安全护航,方能驶向成功的彼岸!
针对上述情况,企业建立完善的信息安全体系,可以从以下几方面考虑:
1、加强信息化安全管理教育,提高信息安全意识
“信息化安全管理是企业及每个员工都要面对的问题,信息安全,人人有责”。真正的安全是一种意识,并非技术,不存在一种技术能真正保证绝对的安全。因此,必须加强信息安全宣传工作,营造安全风险防范从我做起的氛围,增强所有员工对信息安全重要性的认识,“信息安全不重要”扭转的错误认识。要把信息化安全教育列入企业员工教育培训计划,加强互联网和信息安全知识的普及工作,增强员工信息安全意识,提高员工的信息安全防范能力。
2、健全用户权限和上网管理制度,加强制度执行监控力度
建立健全用户权限和上网管理制度并严格执行,是信息化安全管理的重点工作,并且,随着业务系统的发展,还要不断补充和修改相关制度。
(1)完善用户权限管理。要改变个个员工都是管理员的现状,在不影响工作的情况下,要把员工权限设置成最小,最大限度地保障个人操作系统的安全性,以减少越权操作的现象。
(2)加强上网限制与管理。在信息化管理工作中,通过技术与管理两个方面手段,加强众多员工上网行为的控制。同时,对于外部传来的文件要严格控制,以防止携带病毒进入企业内部网络。
3、建立、健全信息安全防范体系
完善信息安全管理机制和防范体系,可以提高企业对关键信息资产的防护能力,在信息系统受到侵袭时,确保业务持续开展,并将损失降到最低程度。
(1)建立安全事件应急管理机制,制订信息化安全应急预案,提高信息安全应急响应速度。
(2)建立网络与信息安全管理平台,在内外网部署一系列网络与信息安全设施,加强计算机场所的安全管理,制定相应的访问控制策略,规范网络应用安全,如:网络防病毒软件、入侵检测系统、高性能防火墙等。
(3)建立集中化管理控制机制。将数据安全控制进行集中化管理,以确保安全防范策略能够由上至下全面贯彻执行。将加密密钥进行集中化管理,可以防止由于人为错误而造成加密密钥的丢失带来的数据安全风险,也可防止与其他的加密策略相互冲突和不兼容。
(4)强化重要信息异地数据备份与灾难恢复机制,为信息系统的安全可靠运行提供保障。
(5)加强信息安全风险评估工作,定期对信息系统进行安全风险评估,提高安全风险预防能力。
4、健全、监管第三方服务体系
众多企业难以下决心选择第三方服务体系的重要原因是对信息安全及服务质量的担忧,信息安全关系到企业的生存,重要资料的泄露将会给企业带来灾难性的破坏,政府必须完善信息技术第三方服务市场的法律、法规及行业标准,用法律体系来规避风险,解除企业选择第三方服务体系的种种安全顾虑与隐患。同时,企业和服务商必须在安全体系社会化服务进程中共同努力,建立起社会化的一套安全服务体系,以便使企业依托有限的资源去享受有效的安全保障。
|
