企業信息安全重要性范例6篇

前言：中文期刊網精心挑選了企業信息安全重要性范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

企業信息安全重要性范文1

1企業管理中信息化安全的基本概述

所謂企業管理信息化指的是企業將計算機和互聯網作為管理平臺，在此基礎上進行開發、生產等控制性的活動，旨在提升企業的運作效率和生產進度，從而提高企業內部的核心競爭力。雖然信息化在企業的管理上占有一定的優勢，但是隨著計算機病毒和互聯網黑客的大肆盛行，在信息化大環境下的企業管理難免會出現一定的數據安全問題。信息化企業管理平臺的安全與否直接關系到企業機密數據的安全問題。對于部分與外界互聯網有鏈接的企業信息化管理平臺，甚至可能會造成企業核心機密文件的丟失，從而給企業自身帶來不可估量的損失。

2企業管理中信息化安全的重要方面

完善和健全企業管理的信息化平臺是確保企業運行順暢非常重要的一個關鍵性因素。相關企業信息化的管理層領導要切實從企業信息化的核心層面保障企業管理的信息化安全，這是非常重要和必要的。而在企業管理中信息化安全的重要方面主要分為三個方面。分別是運行管理小組、服務管理小組和用戶管理小組。第一個是運行管理小組，所謂的運行管理小組，指得是要得以保證網絡的順暢運行，因此就要對企業網絡上出現的以及即將出現的安全隱患要做到及時解決，從而保證企業網不間斷的運行。面對十分嚴苛的企業信息化環境，運行小組要及時的對企業管理的網絡平臺進行監督和保護，并實時保證企業管理網絡平臺的運行順暢，從而切實保障企業管理的順利進行。第二個是服務管理小組，所謂的服務管理小組，指的是對企業管理網絡平臺服務層面上的管理，即對信息化服務中相關服務的運行、服務器硬件系統的運行以及安全事件進行統計分析。第三個是用戶管理小組，負責企業管理網絡平臺的用戶監控和管理，對網絡平臺上的用戶行為進行合理的統計和分析，并對外來訪客的身份進行識別和確認，從而進一步保證企業管理網絡平臺的信息化安全。企業管理網絡平臺作為企業信息化管理的基礎性工具，是企業內部所建立的計算機互聯網絡。如果企業自身遍布世界各地，那么企業管理網絡平臺也會根據企業實際所在的地點形成不同的局域網。這些不同地區的局域網相互連接從而形成真正完整的企業管理網絡平臺。但這些連接也在無形之中給企業管理的信息化安全造成了一定的威脅。如果未經企業允許，私自接入企業網絡的終端，便會對對企業網構成安全威脅。同時，網絡平臺的穩定性也會對企業數據的安全傳輸構成潛在威脅。

3企業管理中信息化安全的重要性

企業管理中信息化安全是企業網絡安全穩定運行的重要基礎，在企業管理的網絡運行當中，無論是網絡連接線路還是網絡傳輸設備出現問題都會有備用的線路或者設備馬上投入運行，從而確保企業管理核心數據的安全。再者，企業管理中的信息化安全能夠對實時接入企業網絡的用戶進行實時的監督和控制，并且采用相關的網絡技術手段防止不明身份訪客的非法鏈接，對于未經允許進入的用戶要能及時發現，并對其行為進行監測和控制，這也在一定程度上保證了企業管理中的信息化安全?？傊?，企業管理的信息化平臺是企業的門戶，因此要切實保證企業管理的信息化安全是十分重要和必要的。為此要做到以下幾個方面：（1）對企業內部用戶進行實時的監督和管理，對企業外網用戶的進入行為進行實時監控和分析，一旦發現存有異常的非法違法行為要及時和制止和處理；（2）對病毒和非法內容要及時的進行過濾；（3）對異常的網絡破壞行為，如黑客非法入侵、異常發送或接收相關數據等等，要及時進行相關的檢測和控制。

4結束語

企業信息安全重要性范文2

信息時代的到來，給現代企業的發展注入了新的發展元素，強化信息化建設成為企業內部控制管理的重要內容。但是，企業具有趨利的天性，強調經濟效益為導向下的企業發展模式，進而對信息安全建設落實不到位。首先，企業缺乏信息安全防范意識，主觀能動性相對比較欠缺；其次，企業信息安全宣傳教育工作疏于開展，導致企業職工在網絡操作中，出現不規范的違法行為，進而為黑客及病毒的攻擊創造了機會；再次，企業缺乏信息安全風險管理制度的建立，導致信息風險管理流于形式，無法滿足企業信息安全發展的需求。

2應用系統安全性不高

企業信息化建設的實現，依托于各種應用系統的有效應用。但應用系統安全性不高等問題，在很大程度上影響了企業的信息安全。一方面，應用系統設計本身存在不足或安全漏洞，如數據傳輸、存儲采用明文的方式。這樣一來，數據極易被惡意軟件、木馬所竊取，實現非法訪問，進而造成企業信息丟失或泄露等安全風險；另一方面，企業應用系統的安全防范模式相對比較單一，通過“口令”的認證模式，難以構建完備的安全防范。并且，企業職工在密碼設置上，過于簡單，且操作行為不規范，這也造成應用系統安全風險增加的重要因素。

3企業信息安全風險的控制策略

企業信息安全風險的控制，關鍵在于如何營造安全的信息環境、強化安全技術體系的構建，以及風險控制的制度建設，從本質上優化企業信息安全的內外環境。因此，企業可著力于以下幾個方面，優化與調整企業信息風險控制的有效性。

3.1注重信息安全建設，設置安全管理機構

信息安全是企業信息化建設的重要基礎，注重信息安全建設的狠抓落實，是企業強化內部控制管理的必然需求。當前，企業疏于信息安全管理工作的落實，導致企業所處于的信息環境“危機四伏”。因此，首先，企業應加信息安全納入到安全管理之中，夯實信息安全建設管理的重要地位。其次，建立健全的安全責任制度，并逐步形成聯動的信息安全管理機制，提高信息安全管理的有效性；再次，設置安全管理機構，負責企業信息安全的建設、管理，以及信息安全人員的教育培訓等工作，為企業信息安全風險的控制創造良好的內部環境。

3.2強化防火墻設計，提高信息安全防范能力

當前，黑客攻擊、木馬入侵等在很大程度上增加了企業信息安全風險，不利于企業信息化建設的推進。因此，強化防火墻設計是提高企業信息安全防范能力的重要舉措。一些企業在信息安全設備的應用過程中，存在不規范、錯誤使用的問題。不同功能、品牌的安全設備由于兼容性差，導致安全設備的安全防范能力下降。這就強調，企業在安全防范體系的構建中，要注重科學合理原則，針對企業信息安全建設的需求，做到體系的完備性與安全性。例如，企業在信息安全風險防范體系的構建中，可以引入終端安全管理系統。在這方面，殺毒軟件公司瑞星是典型的案例。瑞星公司在其終端安全管理體系的構建中，使用了“統一系統平臺+獨立功能模塊”的設計理念，具體如圖2所示。這樣一來，不僅提高了企業信息安全防范體系的構建，而且優化了企業信息系統運行的環境。

3.3提高信息安全意識，規范操作行為

良好的主觀能動性是提高企業信息安全風險控制的重要基礎。首先，企業要強化安全管理人員的安全意識，規范并引導其管理工作的有效落實。尤其是在管理工作中，嚴格依照相關的規章制度進行，避免人為管理或操作不當，而造成信息安全問題；其次，積極推進企業安全文化建設，為信息安全風險控制的落實創造良好的內部環境。企業職工認識到信息安全的重要性，潛移默化中規范并引導職工規范信息操作；再次，做好信息設備的維護與保護等工作。一方面，要對企業的電腦等設備進行防雷、防磁等保護，讓機械設備處于良好的環境下運行；另一方面，不定期開展設備維護工作，以便于及時發現問題、解決問題。

4結束語

企業信息安全重要性范文3

1企業信息安全相關概述

1.1信息安全的含義

迄今為止，對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看，對其主要存在2種說法：一種指的是具體信息安全技術系統的安全；而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面，但是信息系統和網絡的影響決定了信息安全是一個動態的改變，其主要是防止企業信息遭到惡意泄露、破壞、更改［1］。信息安全的最終目的是向合法的對象提供安全、可靠的信息。

1.2信息安全在企業中發揮的重要作用

企業信息作為企業的寶貴資源，保證企業信息的安全性對企業的生存和發展具有重要作用，主要體現在以下3個方面：一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下，企業信息安全的內容更廣泛，再加上現代企業制度的不斷建立和完善，越來越多的企業依靠信息數據庫開展各項工作，例如：對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善，企業面臨的競爭也越來越激烈，在這種形勢下，企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分，而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的，這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來，因此，如果企業的信息安全無法得到保障，那么企業要實施各項戰略難度也很大。

2網絡時代下企業信息安全風險分析

2.1缺乏高度的信息安全風險意識

在網絡時代的浪潮下，很多企業都在逐步加強自身信息安全的建設，通過加大資金投入、創新技術等措施來保障自身的信息安全，然而，對信息風險的控制并非僅僅依靠技術就可以實現，更重要的是人們要樹立起信息安全的風險意識。但是從當前來看，還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視，主要表現在：個別人甚至片面地認為信息安全僅僅是網絡部門的責任，跟自身沒有多大關系；二是有個別企業領導者認為對信息安全的宣傳過度夸張，遭受網絡攻擊的概率小，一般不會發生在自己身上；三是個別企業沒有建立信息安全風險管理體系，再加上企業缺乏具體的故障系統，導致企業信息安全遭到風險時，員工往往手足無措，雖說有些企業針對自身的信息安全制定了一系列規章和制度，但是由于缺乏針對性和操作性，導致這些制度無法得到真正落實。

2.2應用系統的安全性不高

企業要實現信息化建設的目的，少不了各種應用系統作支撐，但是從實際情況來看，很多企業還存在著應用系統的安全性不高等問題，進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取，實現非法訪問，進而引發企業信息丟失或者泄露等安全風險。另外，很多企業應用系統的安全方模式也較為單一，絕大部分主要是采用“口令”的方式進行認證，無法實現對信息安全全方位的防范。另外，企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。

2.3技術設備和設施的作用發揮不足

個別企業為了防范信息安全風險，針對一些重要信息設置了安全設備，但是由于操作條件和參數設施不夠合理，無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控，進而不能根據企業的經營情況對信息安全進行風險控制，更無法采取有效措施保障企業風險管理。

3網絡時代下控制企業信息安全風險途徑分析

3.1加強信息安全教育，提高信息安全風險意識

由于在企業信息安全控制中，提高員工的信息安全意識是保證企業信息安全的決定性因素，因此，企業應該加強對員工的信息安全教育，幫助員工樹立起信息安全風險意識，例如：企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽，也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識，進而提高自身的信息安全風險防范意識和觀念。

3.2加強信息化建設，設置信息安全管理部門

在企業信息化建設中，信息安全作為重要的基礎，企業要強化自身的內部控制，就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內，進而突出信息安全建設管理的重要地位；然后不斷健全信息安全的責任制度，爭取形成信息安全聯動管理機制，確保信息安全管理的有效性；最后，在企業中設置信息安全管理機構，該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等，從而為企業的信息安全風險控制創建一個良好的內部環境［2］。

3.3運用新技術，加強信息安全風險防范

當前控制信息安全風險常見的主要有VPN技術和防火墻技術：（1）VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接，在通常情況下，對VPN內部進行擴展可以實現遠程操作，建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系，從而確保信息交換的安全性，保證數據傳輸的安全性。（2）防火墻技術。防火墻也被稱為訪問控制系統，主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占，并阻斷非法訪問的外部網絡進入企業內部網絡，保證企業信息和資源的安全。

4結語

企業信息安全重要性范文4

[關鍵詞]企業安全；信息管理；設計；實現

doi：10.3969/j.issn.1673-0194.2015.08.057

[中圖分類號]TP311.52 [文獻標識碼]A [文章編號]1673-0194（2015）08-0075-02

近年來，企業安全事故層出不窮，信息安全引起了越來越多企業管理者的重視，成為各個企業不容忽視的關鍵問題。為了加強企業信息安全，不少企業開始設立獨立部門對企業的信息安全進行專業管理，并開始培養專業的信息安全管理人才。

1 企業安全信息管理平臺的問題

1.1 安全意識不強

企業要重視信息安全并實施管控，信息安全管理的成敗取決于員工的安全意識。人員安全意識欠缺，導致政令不通，監督不力，執行不暢，往往導致信息外泄、系統故障等安全事故。只有樹立直接執行人員牢固的信息安全意識，形成企業安全文化，企業信息安全才能真正長治久安。員工信息安全意識的提升并非一日之功，也不是通過簡單的一兩次培訓就能奏效，而是一項持續的、長期的、有計劃的、多種方式并用的綜合性工作。信息安全意識提升面向企業廣泛的受眾，其內容涵蓋信息安全相關各個領域，重點針對員工日常工作和個人行為，關注各種可能因個人行為不當或警惕性不強而引發的信息安全隱患和事故。由于目標對象的不同，信息安全意識提升內容會呈現出不同的形式、程度，從簡潔明了的宣傳語，到淺顯易懂的安全提示，再到全面具體的安全手冊，建立企業專門的信息安全知識庫，滿足不同方面和不同層次的需要。

1.2 缺乏專業人才

隨著經濟社會的不斷發展，企業對于信息安全管理人才的需求也越來越大。任何組織都是由人組成的，沒有人才，組織就不能取得長遠發展，更談不上不斷進步和自我完善。企業的發展需要不斷補充新的人才。對于多數企業來說，信息安全管理人員的素質決定了單位能否長遠發展。信息安全管理是最近幾年才興起的，很多企業還沒有配備相關人才，不少高校也尚未開展相關專業，培養信息安全管理方面的人才，國家對于信息安全管理專業的投入也不夠。社會整體尚未形成重視信息安全管理的氛圍。目前，不少企業的信息安全管理人員十分匱乏，很多企業沒有專門的信息安全管理機構，因此也沒有配備相應的信息安全管理人員。只有少數企業認識到信息安全管理的重要性，設立了相應的信息安全管理機構。但在這些企業當中，多數企業的信息安全管理機構十分簡陋，相關設備也不夠健全，專業人員的配備也存在缺失，有的企業雖然配備有信息安全管理人員，但這些人員多數沒有接受過系統的知識培訓，經驗不夠豐富，責任心不強，不能履行信息安全管理人員的基本職責。信息安全管理人員素質不高和專業人才的缺失，是企業的發展的阻礙，嚴重影響了企業的長遠發展。

1.3 監管制度缺失

完善、科學的信息安全監管制度對于企業的發展具有十分重要的意義和作用。行為規范制度是指導工作人員進行相關操作的準則和辦法，只有建立一套系統的信息安全監管制度，才能規范信息安全管理人員的行為，使操作有據可依，信息安全管理人員對自身行為負起責任。目前我國信息安全管理制度仍不健全，不少企業沒有建立起一套完善的內部控制制度，使得很多行為沒有操作依據，信息安全管理人員的行為無法有效約束，出現了許多不負責任的行為。這些行為不僅阻礙了企業的發展，也影響了企業的聲譽，不利于后續工作的開展。因此，必須建立健全企業信息安全監管制度，為企業后續活動的開展提供保障。

1.4 管理技術落后

信息安全管理需要先進的管理技術和安全技術，為信息安全管理提供有力的技術支持。企業在發展過程中，開發了一系列信息安全管理技術和管理技巧，發揮了一定的作用。但隨著經濟社會的發展和科技的日新月異，不少技術已經無法跟上時代步伐，很多技術面臨淘汰。這些管理技巧不但不能給企業帶來益處，反而有可能影響企業的信息安全。因此必須緊跟時代步伐，了解最新的信息安全管理技巧，結合企業實際情況，開發符合時代要求的管理技巧。同時，積極了解最新科技動態，將適合于本企業的技術運用到企業的信息安全管理過程中。

2 如何完善企業安全信息管理平臺設計

2.1 增強信息安全管理意識

提高信息安全管理意識是完善企業信息安全管理的重要前提和關鍵因素。只要具備良好的內部安全控制意識，才能順利開展后續工作。企業管理者必須深切意識到信息安全管理對于企業發展的重要性和必要性，加大投資力度，及時發現企業信息安全管理中存在的問題和不足。必須加強對企業信息安全管理的重視，切實意識到信息安全管理對于企業發展的重要性，加大資金投入，確保企業信息安全管理良好運作。

2.2 加強人員的素質培訓

人才對于企事業單位的發展具有不容忽視的作用。單位的競爭歸根結底是人才的競爭。信息安全管理人員的素質對于企業的發展具有重要作用，具有良好素質的信息安全管理人員可以促進企業的快速發展。企業必須重視對信息安全管理人員的培訓和投資。信息安全管理人員的投資包括設備的更新，資金的投入和專業教育的提升。同時，要鼓勵信息安全管理人員學習最新的信息安全知識，不斷更新已有知識，緊跟時代的步伐。企業不僅要注重提高信息安全管理人員的專業素養，也要重視對企業信息安全管理人員的道德培養。只有專業知識而缺乏道德素養的工作人員，不僅不能給企業帶來效益，反而會危害企業發展，因此必須重視企業信息安全管理人員的道德素養。信息安全必須不斷加強對信息安全管理人員的培訓，切實全面提高信息安全管理人員素質，增強信息安全管理人員靈活處理各項事務的能力，不斷鞏固自身基礎知識，培養信息安全管理人員的責任心和創新精神，真正做到與時俱進。只有不斷提升企業的信息安全管理人員素質，才能從整體上提升企事業單位的安全管理工作效率，促進企業的長遠發展。

2.3 強化信息安全監督管理

監督工作對于企業的發展具有重要作用和意義。良好的監督是企事業單位正?；顒拥那疤帷]有完善的監督體系，企事業單位很難確保業務的正常開展。企事業單位應強化信息安全監督工作，建立相應的監督管理機構，對企業內部各項經濟活動進行有計劃地控制，及時發現企事業單位存在的問題，同時應加強信息安全管理工作，不斷提升工作效率。凡事預則立，不預則廢。除了做好信息安全管理的內部監督工作外，不斷加強信息安全管理的外部監督工作也是十分重要的環節。外部監督主要包括新聞媒體監督和社會大眾監督。企事業單位管理者要認識到內部管理的不足之處，認真改正有缺陷的地方，不斷完善內部控制建設。同時，也要不斷加強新聞媒體的監督作用，發揮輿論的監督作用。內部控制是一項巨大的完整的工程，具有完善的體系和結構，必須保證每個環節落實到位，才能確保整個體系的良性運行，從而發揮出最大的效益。

2.4 提高信息安全管理技巧

除此之外，信息安全管理技巧對于企事業單位的發展具有重要意義。不同的控制技巧適用于不同的企事業單位，也會產生不同的效果。企事業單位采取適合本單位的內部控制技巧，可以提高企事業單位的行政效率。隨著時代的發展和進步，傳統的信息安全管理技巧已經不適用于現代企業。因此，企業必須根據時代的發展，提升自身信息安全管理技巧，摒棄舊有落后工作模式。另外，在實施信息安全管理技巧時，必須考慮到事業單位的實際運作情況，切忌生搬硬套。應根據企事業單位的具體情況，有針對性地提高信息安全管理的技巧，逐步解決企事業單位在實施信息安全管理時遇到的難題。

主要參考文獻

[1]侯衛超.企業信息安全現狀分析與管理對策[J].科技信息：科學教研，2007（28）.

[2]王超，林峰.高校校園網絡安全管理策略[J].科技資訊，2007（20）.

企業信息安全重要性范文5

【關鍵詞】 信息系統； 審計； 審計目標

2007年2月國務院國有資產監督管理委員會和國務院信息化工作辦聯合印發了《關于加強中央企業信息化工作的指導意見》，加快了國有企業信息化建設的步伐。國有企業審計是中國特色社會主義國家審計的重要組成部分。由于企業與公共部門在內部控制、管理和治理方面的差異，導致了企業信息系統審計與公共部門信息系統審計的不同特點。

一、增強國有企業信息系統的可信性

審計機關的審計目標取決于法定要求。根據《中華人民共和國審計法》的規定，審計機關對國有企業財務收支的真實、合法、效益，依法進行審計監督。顯然，真實性是國有企業審計的目標之一。信息系統審計是國有企業審計的重要組成部分。國有企業審計的總體目標，決定了國有企業信息系統審計的目標。國有企業審計的真實性目標，必然要求國有企業信息系統提供真實性的信息，這意味著，審計機關的國有企業信息系統審計必須把真實性作為審計目標之一。

根據相關法律的規定，注冊會計師也可以對國有企業進行審計。根據我國公司法第165條的規定，“公司應當在每一會計年度終了時編制財務會計報告，并依法經會計師事務所審計。”而且，2008年10月通過的《中華人民共和國企業國有資產法》第六十七條明確規定，“履行出資人職責的機構根據需要，可以委托會計師事務所對國有獨資企業、國有獨資公司的年度財務會計報告進行審計，或者通過國有資本控股公司的股東會、股東大會決議，由國有資本控股公司聘請會計師事務所對公司的年度財務會計報告進行審計，維護出資人權益?！贝蠹抑溃罁詴嫀焾虡I審計準則的規定，會計師事務所對企業財務報表審計的目的是“提高財務報表預期使用者對財務報表的信賴程度?！雹龠@說明，注冊會計師國有企業審計的目標是要求財務報表提供的信息具有可信性。注冊會計師所審計的國有企業財務報表中的信息是由國有企業的信息系統產生形成的，因而必須對信息系統進行審計。注冊會計師對國有企業財務報表審計的可信性目標，決定了注冊會計師對國有企業信息系統審計的可信性目標。

同樣的審計對象，不同的審計主體，導致了兩種不同的國有企業信息系統審計目標。從上述分析不難發現，無論是審計機關還是注冊會計師對國有企業進行審計，其中對企業信息系統的審計都是不可或缺的重要組成部分。根據審計法的規定，審計機關對國有企業信息系統審計的目標是真實性。而根據注冊會計師執業審計準則，對國有企業信息系統審計的目標是可信性。那么，什么是真實性？什么是可信性？這兩種目標之間有什么樣的聯系和區別？為什么說審計機關應當把增強國有企業信息系統可信性作為審計目標呢？

（一）真實性與可信性的基本涵義

我國審計法強調真實性，根據2010年9月頒布的中華人民共和國國家審計準則（以下簡稱國家審計準則）的規定，“真實性是指反映財政收支、財務收支以及有關經濟活動的信息與實際情況相符合的程度。”那么，什么是真實性呢？真實性只是對財政財務收支及有關經濟活動信息質量的最低要求。如果會計信息是真實的，但是不夠完整或者披露不及時，仍然不能滿足信息使用者的需要，甚至會導致錯誤的投資決策。事實上，就真實性本身而言，由于會計估計、核算方法等因素的影響，會計信息的真實性也只是相對的，而不是絕對的。所以，把真實性作為審計目標，具有一定的局限性。所謂可信性，從國際審計準則第200號（ISA200）可以看出，當編制的財務報表公允表達（presented fairly）或真實公允（true and fair）時，它才是可信性的。從字面上講，公允（fair）或公平的要求，強調了財務報表各種使用者之間的利益平衡。從理論上講，公允表達或真實公允的概念比真實性概念具有更多的內涵，涉及會計適當性、適當披露及審計責任等概念。在國際審計準則第200號（ISA200）中，公允表達是指財務報表是否在所有重大方面按照適用的財務報告框架編制，“公允”還意味著超出財務報告框架所要求披露范圍的必要性，以及在極端情況下必須偏離財務報告框架的可能性。適用的財務報告框架，主要是指適用的會計法律法規、會計準則、會計制度等。大家知道，我國會計法強調“保證會計資料真實、完整”。根據會計法的要求，我國的財務報表不僅要具有真實性，而且還要具有完整性。總的來說，可信性并不否認真實性，真實性是可信性的必要前提之一，但真實的并不一定是可信的，可信性的內涵更加豐富，真實性是對財務信息質量的最低要求，可信性反映了對財務信息質量更高的要求。

（二）可信性目標反映了注冊會計師審計發展的新階段

一般認為，受社會需求變化、自身技術手段及審計風險等因素的影響，注冊會計師審計目標的發展演變至今經歷了四個階段，即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段，及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標，然而從歷史發展演變的角度看，真實性只是注冊會計師審計的早期目標，當前注冊會計師審計準則中的可信性目標反映了注冊會計師審計的最新發展，是更高級發展階段的目標。

（三）可信性目標比“真實公允”具有更加廣泛的適用性

20世紀90年代后期，傳統的財務報表審計成為更為廣義的概念――“保證業務”（Assurance Service）的一個組成部分。我國注冊會計師協會譯為“鑒證業務”②。2004年國際會計師聯合會了《國際保證業務框架》，2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業務基本準則》，2007年1月1日起施行。鑒證業務是指注冊會計師對鑒證對象信息提出結論，以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業務。鑒證對象與鑒證對象信息具有多種形式，主要包括：當鑒證對象為財務業績或狀況時（如歷史或預測的財務狀況、經營成果和現金流量），鑒證對象信息是財務報表；當鑒證對象為非財務業績或狀況時（如企業的運營情況），鑒證對象信息可能是反映效率或效果的關鍵指標；當鑒證對象為物理特征時（如設備的生產能力），鑒證對象信息可能是有關鑒證對象物理特征的說明文件；當鑒證對象為某種系統和過程時（如企業的內部控制或信息技術系統），鑒證對象信息可能是關于其有效性的認定；當鑒證對象為一種行為時（如遵守法律法規的情況），鑒證對象信息可能是對法律法規遵守情況或執行效果的聲明。不難看出，傳統的財務報表審計只是鑒證業務中的一種。鑒證標準隨著鑒證對象的不同，也從財務報表審計中按照適用的財務報表編制框架，如編制財務報表所使用的會計準則和相關會計制度，擴展到單位內部制定的行為準則、績效水平等方面。從其定義看，鑒證業務的目的在于增強除責任方之外的預期使用者對鑒證對象信息的信任程度。真實公允目標是針對財務報表審計的審計目標，可信性目標在概念外延上具有更加廣泛的適用性。可信性目標不僅適用于對財務信息的可信性，而且還適用于非財務信息（績效信息）的可信性。對財務報表來說，如果它是真實公允的，即在所有重大方面是按照適用的財務報表框架編制的，它就是可信性；對于其他鑒證信息來說，如果它是符合適用的鑒證標準，就是可信性的。企業內部的信息系統，現在已不僅僅是財務信息系統，還包括各種業務和管理信息系統。與此同時，為滿足企業的業務需求，信息系統所提供的信息也不局限于財務信息，而且還包括許多非財務信息。所以，在國有企業信息系統審計中，把可信性作為國有企業信息系統審計的目標比真實性目標更加符合企業信息化發展的客觀要求。

（四）可信性目標反映了審計理論的深化和發展

可信性不是一個孤立的術語，它是新審計理論（或一組新的相互聯系的審計概念）中的一個關鍵性概念。隨著注冊會計師的業務從傳統的財務報表審計發展到鑒證業務，傳統的審計理論也得到了深化和發展。大家知道，審計三方關系是指審計人、被審計人、審計授權或委托人之間的關系。傳統的受托責任論，即審計動因論，是建立在傳統的審計三方關系之上的。然而，在我國現行的《注冊會計師鑒證業務基本準則》中給出了一種新的審計三方關系，即注冊會計師、責任方和預期使用者。在新的審計三方關系中，被審計人與審計授權或委托人之間責任關系的含義更加豐富，除傳統的受托責任關系外還有其他種類不帶委托性質的責任關系③。在新的審計三方關系中，預期使用者應包括企業所有的利益相關者，除了傳統受托責任關系中的股東外，還應包括經營者、員工、顧客、供應商、債權人、潛在的投資者、監管層、競爭者等。聘請注冊會計師的通常是預期使用者或其代表，但也可能是責任方。責任方、預期使用者和注冊會計師三方之間的關系，可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關系④。增強信息的可信性，實際上是減少了信息提供者與預期使用者之間的信息不對稱，鑒于預期使用者的廣泛性，在市場經濟條件下，將有利于完善市場機制，提高市場資源配置效率，從而拓展了審計的社會功能?？尚判圆皇且粋€空洞的概念，鑒證對象信息是否具有可信性，需要執行一定的業務程序。審計師在收集證據的基礎上，依據一定的標準，檢查責任方的鑒證對象信息在所有重大方面是否符合適當的標準后，才能為鑒證對象信息的可信性提供一定程度的保證，從而提供給預期使用者。鑒證業務的保證程度被細分為合理保證和有限保證，鑒證對象信息被劃分為財務信息和非財務信息，其中財務信息被進一步細分為歷史財務信息和預測性財務信息?？尚判愿拍钍沁@些新審計理論中的關鍵性概念之一，相比之下，真實性概念在新的審計理論中卻沒有相應的理論地位。

（五）可信性目標反映了國家審計的發展趨勢

在世界審計組織（INTOSAI）的道德準則（Code of Ethics）中，強調了信賴（trust）、信任（confidence）、信譽（credibility）對于審計機關的至關重要性。在南非審計署1911至2011年百年紀念的紀念品和網站首頁上有一句格言：“Auditing to build public confidence”，即“審計旨在建立公共信任”。我國審計署2011年7月15日印發的《審計署關于深化經濟責任審計工作的指導意見》中提出，要確保經濟責任審計結果的可信、可靠和可用。劉家義審計長提出，國家審計是國家治理的一個組成部分?？鬃釉唬骸白闶?，足兵，民信之矣”，“民無信不立”，說明了信任、守信在國家治理中的重要性。我們知道，“誠信友愛”是構建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力，增強整個社會的誠信。從國家治理的角度看，可信性目標比真實性目標更好地體現了國家審計在國家治理中的作用。

經過上述真實性和可信性兩種審計目標含義的對比，不難發現，雖然真實性目標是國有企業審計的傳統目標之一，但是可信性比真實性的涵義更為豐富，可信性目標中不但包含了真實性目標，而且可信性目標要求信息系統提供更高質量的信息。兩種目標都對信息系統提供的信息質量提出了要求，國家審計對信息質量的要求不應低于注冊會計師審計。因此，筆者認為，盡管現行的審計法規定了國有企業信息系統審計的真實性目標，但是，從理論上講以及從未來發展趨勢看，審計機關應當選擇可信性作為國有企業信息系統審計的目標，即國有企業信息系統審計應當促進企業信息系統提供可信的信息。

二、促進國有企業信息系統的遵循性

最高審計機關國際組織（INTOSAI）在審計基本原則（ISSAI-100）中，把政府審計業務分為兩大類，即合規審計（regularity audit）和績效審計（performance audit），并制定了相應的審計執行指南，即財務審計執行指南（Implementation Guidelines on Financial Audit）、遵循審計執行指南（implementation guidelines on compliance audit）和績效審計執行指南（Implementation Guidelines on Performance Audit）。在這個準則指南框架中，合規性審計包括了財務審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關法律法規及授權要求相一致的審計。在《國際審計準則第250號――財務報表審計中對法律法規的考慮》（ISA250）中，非遵循（non-compliance），是指被審計單位不履行法律法規責任或者違反法律法規的犯罪，故意地或者非故意地，與執行的法律或法規對立的行為。在COSO內部控制框架中，遵循性（compliance）作為內部控制的目標之一，是指符合適用的法律法規。由此看來，在上述準則指南中，遵循性，就是我國國家審計中的合法性。但是，在本文中，作為國有企業信息系統審計的目標之一，遵循性與合法性不同。

為滿足業務需求，對信息系統提供的信息有一般性的要求，在IT治理框架COBIT4.1中，這些要求也被稱之為信息標準（information criteria）。遵循性（compliance）作為其中的標準之一，是指“涉及業務流程與所需遵守的法律、法規及合同約定之間的符合程度的屬性，即外部的強制要求和內部政策的遵循性?！雹菰诒疚闹?，遵循性作為國有企業信息系統審計的目標之一，采用COBIT4.1中遵循性的概念，即國有企業信息系統的設計、建設、運行和監控不僅要符合來自企業外部的強制性要求（合法性），而且還應符合國有企業內部制定的各種規定的要求。

我國審計機關對國有企業的財務收支的真實、合法和效益，依法進行審計監督。合法性是國有企業審計的審計目標之一。作為國有企業審計的重要內容，信息系統審計應當促進國有企業信息系統的合法性。那么，為什么我們要把國有企業內部制定的各種規定同時也納入國有企業信息系統審計的目標呢？企業內部如何制定關于其信息系統的規定是企業自己的事情，似乎審計機關不應干預，但是，效益性也是國有企業審計的審計目標之一。當信息系統不符合國有企業某些內部規定的要求時就會影響到企業效益，這些內部規定，如內部控制、管理和治理等，也應納入國有企業信息系統審計的遵循性目標范圍。

三、改善國有企業信息系統的績效性

績效性目標是企業信息化不斷發展的產物。我國企業信息化建設已經發展到了關注績效性的階段。績效性目標也是IT管理和IT治理的重要內容。IT管理和IT治理的國際標準或良好實務，為開展信息系統績效審計提供了審計標準。

（一）企業信息系統績效性的概念

當企業信息化發展水平達到一定程度后，信息系統的績效問題逐漸引起了人們的關注。在企業信息化的早期階段，信息系統主要應用于企業的財務會計領域，這時人們對信息系統關注的焦點主要是信息系統的可信性和遵循性問題，相應的措施主要集中在內部控制方面，強調信息系統的一般控制和應用控制。隨著企業信息化水平的不斷提高，信息系統在企業中的應用范圍逐漸從財務會計領域擴展到整個業務領域和管理領域，與此同時，信息系統的建設投入和運行成本顯著提高。這時人們發現，大量的信息化投入并不一定能夠帶來預期的收益，而且還帶來巨大的潛在風險，個別企業甚至因高投入造成利潤下降或財務危機，有的企業因業務流程改造滯后，還會導致管理混亂。在這種情況下，人們對信息系統關注的焦點，逐漸從“投入”轉向“產出”，從技術和內部控制問題轉向管理和治理問題，在企業內部出現了專門的IT管理部門，IT管理和IT治理逐漸從企業的一般管理和治理中獨立出來，而“績效”是描述信息系統投入產出、管理和治理的核心概念。

信息系統的績效性是指利用IT資源提供企業信息服務的經濟性、效率性和效果性。為它的利益相關者提供價值是企業存在的基本前提。企業信息系統的目的在于利用IT資源，通過IT流程，提供企業信息服務，以滿足業務需求。信息系統要實現的績效目標必須與企業的業務需求或業務目標相一致。

（二）績效性目標的可行性

從我國企業信息化發展階段看，目前信息系統的績效問題已經成為關注的焦點。2011年2月，工信部電子一所和用友軟件股份有限公司聯合了《2010年中國企業信息化指數調研報告》。該報告將中國企業的信息技術應用分為四個階段，分別為基礎應用階段、關鍵應用階段、擴展整合及優化升級應用階段以及戰略應用階段，如圖1所示。

該報告認為，目前我國企業信息化總體上處于由基礎應用和關鍵應用向擴展整合與優化升級過渡階段。報告的主要結論之一是，2010年“信息技術應用范圍的變化主要體現在應用廣度和深度兩方面，企業基本完成了信息技術在各業務領域的應用覆蓋，已逐漸開始深度關注企業業務發展需求，著力提升信息技術的應用價值?！碧岣咝畔⑾到y的績效，也已經成為我國企業信息化深度發展的方向。把績效性作為國有企業信息系統審計的目標，符合我國企業信息化發展的現狀，在現實中具有可行性。

（三）績效性是IT管理和IT治理的重要內容

IT管理目的在于如何降低成本，以更好的彈性及更快的響應速度，向組織內外部顧客提供高質量的IT服務，提供顧客的滿意度。IT管理的目標就是要追求信息系統的績效性，即經濟性、效率性和效果性。

信息系統的績效性也是IT治理追求的目標之一。在IT治理國際標準ISO/IEC38500（組織的信息技術治理）中規定了“績效”原則，即IT應適合于支持組織的目的并提供服務，服務等級和服務質量應滿足當前和將來的業務要求。IT治理框架COBIT4.1有四個基本特征：以業務為中心、以流程為導向、以控制為基礎、以績效測評為驅動。在該框架中，績效測評是IT治理的關鍵，并且指出，“多項調研已經表明，IT成本、價值和風險管理缺乏透明是驅動IT治理最重要的一個因素。相對于其他關注的領域，提高透明度主要通過績效測評來實現?！雹?/p>

（四）績效審計的參照標準

IT管理和IT治理從企業管理和治理中獨立出來，為開展單獨立項的信息系統績效審計創造了條件。就像企業審計要關注被審計單位的管理和治理那樣，企業信息系統審計要關注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標準或良好實務，則為開展信息系統績效審計提供了審計標準，也可以作為向被審計單位提出改進建議的參照標準。常見的IT管理和IT治理國際標準有：ISO/1EC20000（信息技術――服務管理）、ITIL（信息技術基礎庫）、ISO/IEC38500（組織的信息技術治理）、COBIT4.1（信息及其相關技術控制目標）等。

四、維護國有企業信息系統的安全性

維護國有企業信息系統的安全，對于維護國家經濟安全至關重要。隨著信息技術的發展和應用，人們對信息系統安全性的認識也不斷深化。正確理解信息安全的涵義，對于開展信息系統安全性審計具有重要的意義。

（一）安全性目標的重要性

根據1994年我國頒布的《中華人民共和國計算機信息系統安全保護條例》，維護計算機信息系統的安全性，就是要保障計算機及其相關的和配套的設備、設施（含網絡）的安全，運行環境的安全，保障信息的安全，保障計算機功能的正常發揮，以維護計算機信息系統的安全運行⑦。從這里可以看出，信息系統的安全包括：信息本身的安全、系統設施設備的安全和系統運行環境的安全三個層面。就三個層面的關系而言，信息是核心，系統設施設備及其運行環境是保障，信息本身的安全是目的，系統設施設備的安全及其運行環境的安全是手段。

國有企業信息系統安全是國家信息安全和經濟安全的重要組成部分。為了保護中央企業信息系統的安全穩定運行，2010年12月，公安部和國務院國有資產監督管理委員會聯合頒布了《關于進一步推進中央企業信息安全等級保護工作的通知》。據統計，截至2010年5月，已有89.6%的中央企業開展了信息安全等級保護工作，中央企業總計建成投入使用的信息系統有16 092個，已定級14 539個，占比90.3%；應向公安機關備案的系統（二級及以上）有11 370個，已備案8 113個，占應備案系統的71.4%；列入2010年定級計劃的有1 598個。中央企業在公安機關備案的信息系統總數約占全國信息系統備案總數的21%，第三、四級重要系統約占全國重要信息系統備案總數的30%⑧。這些數據表明，國有企業信息系統已成為國家信息安全的重要組成部分?！吨腥A人民共和國企業國有資產法》第七條規定，“國家采取措施，推動國有資本向關系國民經濟命脈和國家安全的重要行業和關鍵領域集中，優化國有經濟布局和結構，推進國有企業的改革和發展，提高國有經濟的整體素質，增強國有經濟的控制力、影響力?！庇捎趪衅髽I集中在國民經濟命脈和國家安全的重要行業和關鍵領域，如電信、電力、石油、石化等重要行業，其重要信息系統已成為國家關鍵基礎設施，是國民經濟命脈之命脈，保護國有企業信息系統的安全穩定運行，對于維護國家經濟安全和社會穩定具有重要的意義。

（二）信息安全概念的演變

根據我國計算機信息系統安全保護條例中的定義，計算機信息系統的安全性，包括信息本身的安全、系統設施設備的安全和支撐環境的安全。其中，信息本身的安全，即信息安全，是信息系統安全的核心和目的。那么，究竟什么是信息安全呢？

人們對信息系統安全性的認識經歷了一個不斷深化的發展過程。20世紀80年代美國國防部制定的《可信計算機系統評估準則TCSEC》把保密性當作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術安全評估準則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此，信息安全的概念，即信息的保密性、完整性和可用性，逐漸被普遍接受。在2002年的國際標準ISO/IEC17799：2000《信息技術――信息安全管理業務規范》中明確規定，信息安全，是指保護：“保密性（confidentiality），即確保信息只能夠由獲得授權的人訪問；完整性（integrity），即保護信息的正確性和完整性以及信息處理方法；可用性（availability），即保證經授權的用戶可以訪問到信息，如果需要的話，還能夠訪問相關資產?！比欢?，在2005年的該國際標準修訂版即ISO/IEC17799：2005中，信息安全的定義，包括了七種安全特性：信息的保密性（confidentiality）、完整性（integrity）、可用性（availability）及其他屬性，如真實性（authenticity）、責任性（accountability）、不可抵賴性（non-repudiation）、可靠性（reliability）等，而且，這種修訂后的信息安全定義，被2007年的國際標準ISO/IEC27001（《信息安全管理體系――規范與使用指南》）引用。在學術界，有人認為，信息安全的特性還應進一步包括可控性（controllability）、可預測性（predictability）、可審計性（auditability）、遵循性（compliance）等。

隨著信息技術的發展與應用，信息安全的內涵越來越豐富，從最初的信息保密性發展到保密性、完整性和可用性，進而又發展到相關的真實性、責任性、抗抵賴性、可靠性等。相應地，對企業信息安全的考慮，也從最初關注企業信息安全技術層面，發展到關注企業信息安全控制、管理和治理等層面。

（三）正確理解信息安全涵義需要注意的幾個問題

1.信息安全與信息保密不同。從信息安全概念的涵義可以看出，信息保密與信息安全是兩個不同的概念，信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統的保密問題作出了規定，但是保密法不能代替信息安全法。目前，我國對信息安全的立法仍然比較滯后，尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。

2.微觀信息安全與宏觀信息安全的聯系。企業信息系統的安全離不開系統運行環境的支撐，系統環境包括物理環境和社會環境。從社會環境看，主要是指有關信息安全法律法規、安全意識、人才培養等。這就是說，微觀層面單個組織的信息系統安全，還離不開宏觀層面國家信息安全保障體系的構建。與此同時，微觀層面的信息安全是基礎，沒有微觀層面的信息安全，也就沒有宏觀層面的信息安全。

3.授權管理的重要性。信息安全的概念有三個核心涵義：保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素，即“授權”。保密性意味著只有獲得授權才能訪問；完整性意味著沒有授權不得對信息進行刪除或修改；可用性意味著擁有授權者隨時可以使用。這表明，授權管理是信息安全管理的一項關鍵內容。信息系統是一種人機系統，授權管理主要涉及對人員行為的安全管理。

4.安全性目標與遵循性、績效性、可信性目標的聯系。從信息安全的涵義可以看出，信息系統的安全性目標不同于其遵循性、績效性和可信性目標，但是，安全性與它們之間又是相互聯系的。首先，安全性必須滿足遵循性的要求，信息系統的設計、運行、使用和管理可能要置于法律規定的和合同約定的安全要求的約束之下，特別是各種信息安全法律法規、保密法，以及知識產權、個人隱私權方面的法律法規；其次，信息安全沒有絕對的安全，所有的信息安全都是風險可接受條件下的安全，高水平的安全保護需要大量的投入成本，因而需要在成本、收益、風險和安全之間進行權衡，即安全性與績效性的聯系；最后，在信息安全技術層面，可信計算技術是信息安全技術的一個重要研究領域，從而表明安全性與可信性之間也有內在的聯系。

筆者認為，目前國際上制定的有關信息安全等級評估、信息安全風險評估、信息安全管理體系等方面的國際標準，無論是在理論概念還是在操作實務方面，對于我國審計機關開展信息系統審計都具有重要的借鑒價值。這些國際標準或良好實務可以作為審計的參照標準，同時也可以作為審計機關向被審計單位提出改進信息系統安全性建議的依據。同時，在對國有企業信息系統的安全性進行審計時，還要立足我國實際，由于我國國有企業信息系統是國民經濟命脈之命脈，事關國家經濟安全和社會穩定，在重視企業本身信息系統安全的同時，還應當從宏觀上揭示國有企業信息系統的安全風險，維護國家經濟安全。

最后應當指出的是，在審計實踐中，根據具體情況，單個審計項目可以選取上述可信性、績效性和安全性目標中的一個或多個作為審計目標。

企業信息安全重要性范文6

關鍵詞：信息安全；現狀；策略

     信息安全管理已經成為企業加強信息化進程以及提高企業管理水平的一項重要內容，它是確保企業信息管理系統高效運行，促進企業健康、穩定發展的一個重要前提。近幾年來，隨著ERP在企業中的投入使用，使企業的信息化工作內容得以拓展，企業對信息系統的安全性也日益關注，怎樣保證信息系統的安全、高效，已經成為擺在各個企業面前的一項重要課題。

1.信息安全管理意義

1.1信息安全是企業實現可持續發展的需要

隨著計算機網絡技術的普及應用，如何確保涉及到企業經營發展的各種信息、資料的安全性，已經成為企業必須要解決的一個問題。現階段，大多數企業的數據信息，甚至是關系到企業戰略規劃的重要信息，都是以電子文件的形式進行保存的，對于企業來說，這些信息如果泄露、丟失或者遭到惡意破壞，其后果是不堪設想的。因此，企業必須要具有預見性與前瞻性，要站在戰略發展的高度來看待信息安全問題，必須建立起一套操作性強的防范機制，要從操作系統、芯片技術以及網絡建設等方面入手，就安全保障體系進行積極構建。

1.2信息安全是實現企業平穩、健康發展的前提

現階段，我國企業的信息安全建設，還沒有形成一個成熟，可供廣泛借鑒的安全體系，同時基礎也相對薄弱，這些問題都亟待解決。而且信息安全已經成為關系企業未來發展的一個重要問題，我們必須要認清加強企業信息安全建設的緊迫性，要從維護企業利益的角度來看待信息安全建設問題，做好基礎設施的建設工作，以及信息安全體系的構建工作，實現企業的平穩、健康發展。

1.3信息安全是知識經濟時展的需要

計算機網絡技術的普及應用，使得企業內部各部門之間的信息交換，以及企業對外部信息的獲取日益頻繁，這也令企業對網絡技術愈加依賴，計算機網絡技術對整個商業運作方式也帶來了巨大的影響，從而出現了電子商務，也對企業生產方式、經營理念，產生了巨大的沖擊，推動了企業發展以及現代經營理念的構建。但是，信息的安全問題也日益突出，比如信息在存儲、處理以及傳輸過程中經常存在著被非法截取、惡意破壞以及篡改的現象。所以，信息安全是知識經濟時代這一大背景下，企業發展必須要解決的問題。

2.信息安全管理的現狀

2.1信息管理的安全意識方面

人員、機器設備、原材料、制度是一個企業在進行生產經營時不可缺少的幾個基本要素，隨著知識經濟的到來，信息的重要性日益受到企業管理界的認同，信息也理所當然的成為生產經營過程中，不可或缺的一個非常重要的因素。但是就目前的企業對信息安全管理的重視程度來看，遠遠還不夠，忽視對企業內部各種信息資產的保護，其結果必然會為企業帶來無法估計的損失，因此，企業必須要提高對信息管理安全系統的認識，積極構建、完善這一系統，保證企業信息的安全。

2.2網絡協議方面

我們在對計算機信息系統進行安全維護時，保證網絡協議的安全是維護系統安全的一個重要問題，但是計算機系統的部分協議，比如TCP/IP 協議，這部分協議以及其構架通常也是在因特網上進行共享的，這樣必然會為系統的安全埋下隱患。而且這也是計算機信息系統安全構成威脅的一個主要來源，而它對計算機系統的破壞是巨大的。所以，我們在對計算機信息系統進行維護時，必須要關注到這一點，杜絕類似事件的發生?，F階段，注意網絡不明信息、非法訪問以及網絡協議等對系統安全構成威脅的問題，是確保信息傳送過程安全性的重要前提，是我們在構建企業信息網絡系統時，必須要考慮的問題。

2.3信息安全產品本身存在的問題

通常情況下，多數企業在建設信息管理系統的同時，也采用了相關的信息安全產品。如果信息安全產品本身存在著漏洞的話，這必然會直接導致企業信息系統安全機制的失效。但是計算機系統的安全隱患絕不局限于產品本身存在的缺陷，如果信息安全產品本身是完善的，不存在著任何缺陷與隱患，但是我們在使用產品的過程中，會因為用戶配置、操作上的失誤，或者對產品安全性能不夠了解，使其性能降低，而起不到保護系統安全的作用也是有可能的。

2.4資金投入不夠

我國企業想要對信息安全系統進行構建，就必須投入大量的資金，同時還要吸引IT人才，加入到信息安全系統建設團隊。但是就目前我國信息安全系統構建的現狀來看，還有很多不如人意的在方，尤其是在資金投入方面，一個項目如果缺少資金投入，那么一切都是空談。筆者在實際工作中發現，有些企業非常重視硬件設備的投入，但軟件投入比較滯后，這就使硬件部分強大的功能無法得到充分發揮。

3.加強信息安全管理的策略

3.1提高信息管理的安全意識

隨著計算機網絡技術的快速發展，網絡犯罪有逐年上升的趨勢，電腦病毒、網絡黑客對計算機系統的攻擊與日俱增，企業必須出于自身利益的考慮，來加強信息安全管理方面的建設，首先要從加大宣傳，提高安全意識方面入手。企業可以定期舉行有關信息管理安全意識方面的講座、報告以及相關的培訓教育工作，使領導干部、普通員工提高對信息管理安全的重視程度，使安全防范意識深入人心，這樣有利于加強信息安全管理工作的全面展開。

3.2設計加密體制對系統進行保護

當今社會是一個信息化程度高度發達的社會，人們利用互聯網對信息進行收集、整理、分析、處理的程度越來越高，這樣必然會導致信息安全方面存在著一定的隱患，如果我們不采取有效措施加以防范，一旦發生問題，對企業造成的危害是無法想象的。針對網絡所存在的安全隱患，我們可以采用加密系統對網內數據、文檔以及口令進行保護。如此一來，我們在網上進行數據傳送的過程，也更具針對性。加密管理過程，通常分為鏈路加密、節點加密與端點加密三個種類，我們可以根據企業的實際需求進行選擇。

3.3加強系統軟件方面的建設

一般來說，計算機無論使用哪一種版本的操作系統，都會存在著一定的安全隱患，這個世界沒有十全十美的東西，我們對操作系統也不能苛求太多。因此，這就需要我們采取積 極、有效的措施來提高系統的安全性，以期對操作系統進行很好的維護。比如對數據庫軟件、計算信息管理軟件進行更新，終端操作系統要與數據庫操作系統在版本上要統一，這樣可以便于管理，提高信息管理系統的防御能力。

3.4增加企業信息安全建設的投入

信息化已經成為社會發展的一個主流趨勢，企業必須要借助好這個“東風”，來加強自身的信息安全建設。任何一個項目的啟動，都離不開資金的投入，企業必須為信息安全建設提供物質基礎，比如購置專用服務器、軟件以及將IT資產外包等等，保證信息安全建設的順利完成。

4.總結：

綜上所述，信息安全對企業的發展有著非常重大的意義，它不但是企業自身實現可持續發展的需要，也是知識經濟時代背景下，企業的必然選擇，我們可以從提高信息管理的安全意識；設計加密體制對系統進行保護；加強系統軟件方面的建設；增加企業信息安全建設的投入等方面入手，加強企業信息安全管理方面的建設。

參考文獻：

[1]姜樺,郭永利.企業信息安全策略研究[J].焦作大學學報,2009,(01) .