前言:中文期刊網精心挑選了企業信息安全規劃范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
企業信息安全規劃范文1
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4結束語
企業信息安全規劃范文2
【 關鍵詞 】 信息安全;安全治理;框架;風險管理
1 引言
隨著企業的信息化建設,企業信息系統在縱、橫向的耦合程度日益加深,系統間的聯系也日益緊密,因此企業的信息安全影響著企業信息系統的安全、持續、可靠和穩定運行。此外,美國明尼蘇達大學Bush-Kugel的研究報告指出企業在沒有信息資料可用的情況下,金融業至多只能運作2天,商業則為3天,工業則為5天。而從經濟情況來看,25%的企業由于數據損毀可能隨即破產,40%會在兩年內破產,而僅有7%不到的企業在5年后繼續存活。伴隨著監管機構對信息安全日趨嚴格的要求,企業對信息安全的關注逐漸提高,并對信息安全投入的資源不斷增加,從而使得信息安全越來越為公司高級管理層所關注。
2 信息安全問題
目前企業信息安全問題主要包括幾個方面。
(1)信息質量底下:無用信息、有害信息或劣質信息滲透到企業信息資源中, 對信息資源的收集、開發和利用造成干擾。
(2)信息泄漏:網絡信息泄漏和操作泄漏是目前企業普遍存在的信息安全困擾。網絡信息泄漏是信息在獲取、存儲、使用或傳播的時候被其他人非法取得的過程。而操作泄漏則是由于不正當操作或者未經授權的訪問、蓄意攻擊等行為,從而使企業信息泄漏。
(3)信息破壞:指內部員工或者外部人員制造和傳播惡意程序, 破壞計算機內所存儲的信息和程序, 甚至破壞計算機硬件。
(4)信息侵權:指對信息產權的侵犯?,F代信息技術的發展和應用, 導致了信息載體的變化、信息內容的擴展、信息傳遞方式的增加, 一方面實現了信息的全球共享, 但同時也帶來了知識產權難以解決的糾紛。
3 信息安全治理的困惑
基于信息安全的重要性,企業在信息安全治理方面投入了諸多資源,但是在信息安全治理成效方面仍不盡如人意,主要問題在于幾個方面。
(1)信息安全治理的范圍不明確:目前企業都在盡力實現良好的信息安全治理,但是由于無法正確理解信息安全治理和信息安全管理的區別,導致了信息安全治理無法與企業的安全規劃和企業戰略形成一致性。表1從工作內容、執行主體和技術深度三個層面分析了兩者的區別。
從表1中可以明確:信息安全治理是為組織機構的信息安全定義一個戰略性的框架,指明了具體安全管理工作的目標和權責范圍,使信息系統安全專業人員能夠準確地按照企業高層管理人員的要求開展工作。
(2)企業信息安全治理路徑的錯誤理解:企業在信息安全治理的過程中,最常用的手法是采用信息安全的技術措施,如使用加密和防偽技術、認證技術、防病毒技術、防火墻技術等方式來進行,但是往往企業投入很多,卻沒有達到預想的效果,問題在于,信息安全治理并不單單是技術問題,信息安全治理也包含了安全戰略、風險管理、績效評估、層級報告以及職責明確等方面。
4 信息安全治理關注的領域
(1)戰略一致性:信息安全治理需與企業的發展戰略和業務戰略相一致,建立相互協作的解決方案。
(2)價值交付:衡量信息安全治理價值交付的基準是信息安全戰略能否按時、按質并在預算內實現預期的價值目標。因此需要設計明確的價值目標,對信息安全治理的交付價值進行評估。
(3)資源管理:實現對支持信息運行的關鍵資源進行最優化投資和最佳管理。
(4)風險管理:企業管理層應具備足夠的風險意識,明確企業風險容忍度,制定風險管理策略,將風險管理融入到企業的日常運營中。
(5)績效度量:利用科學的管理方法,將信息安全治理轉換為可評價的目標的行動,便于對信息安全各項工作的績效進行有效管理。
5 信息安全治理框架
通過良好的信息安全治理, 可以保護企業的信息資產,避免遭受各種威脅,降低對企業之傷害,確保企業的永續經營,以及提升企業投資回報率及競爭優勢。
通過長期的實踐經驗以及結合COBIT標準和GB/T 22080-2008,總結出信息安全治理的框架主要由四部分組成,如圖1所示。
(1)信息安全戰略:結合企業的整體信息技術戰略規劃和信息安全治理現狀,制定信息安全戰略。
(2)信息安全組織架構:根據企業層面在決策、管理和執行機制對組織結構的要求,建立信息安全治理框架和決策溝通機制,明確公司各級管理層及相關部門在信息安全組織架構中的工作職責與角色定位。
(3)信息安全職責:根據公司信息安全組織架構,進一步明確信息安全相關崗位的工作職責、分工界面和匯報路徑等。
(4)信息安全管理制度:信息安全管理制度通過建立一個層次化的制度體系,針對不同的需求方(管理者、執行者、檢查者等)從政策、制度、流程、規范和記錄等方面進行信息安全活動相關的規定,實現信息安全的功能和管理目標。
6 信息安全治理評估
企業信息安全治理評估有助于提高信息安全治理投資的效益和效果。企業的最高管理層和管理執行層可以使用信息安全治理成熟度模型建立企業的安全治理級別。該模型,如表2所示,被應用為幾個方面。
(1)在市場環境中,相對于國際信息安全治理標準、行業最佳實踐,以及直接競爭對手,了解企業在信息安全治理上的級別。
(2)進行差距分析,為改進措施提供明確的路徑。
(3)了解企業的競爭優勢和劣勢。
(4)有利于對信息安全治理進行績效評估。
7 結束語
本文從企業信息安全治理的實踐出發,概述了目前企業信息安全治理存在的問題和困惑,總結了企業實現有效的信息治理的關注領域和實施內容,為企業建立良好的信息安全治理提供了基本框架。
參考文獻
[1] 馬峰輝,劉壽強.企業信息安全治理的經濟性探析.計算機安全,2003:70-71.
[2] 婁策群,范昊,王菲.現代信息技術環境中的信息安全問題及其對策.中國圖書館學報,2000(11):33-37.
[3] 劉金鎖,李筱煒,楊維永.企業實現有效的信息安全治理之路.中國管理信息化,2012(11):37-39.
[4] 黃華軍,錢亮,王耀鈞.基于異常特征的釣魚網站URL檢測技術[J].信息網絡安全,2012,(01):23-25.
[5] 黃世中.GF(2m)域SM2算法的實現與優化[J].信息網絡安全,2012,(01):36-39.
企業信息安全規劃范文3
【關鍵詞】企業 信息安全管理 對策
信息安全管理是指通過保證信息資產的機密性、完整性和可用性來保護和維護企業所有信息資產的一系列管理活動,是完整的企業組織管理體系的重要組成部分。其主要包括制定信息安全政策、風險評估、控制目標與方式選擇、制定規范的操作流程、對人員進行安全意識培訓等一系列工作。
知識經濟時代,企業內部各部門之間以及企業與外部之間的交流與合作日益頻繁,且對計算機信息技術的依賴也日益明顯,使得信息安全問題成為眾多企業的關注焦點。
企業的許多信息,包括一些戰略規劃的重要信息,均以電子文件形式存儲,而這些信息在存儲、處理以及傳輸過程中都有可能被非法截取、惡意破壞以及篡改,損失難以想象。保障信息系統的安全在企業的建設和發展當中具有重要的作用。信息安全管理是確保信息系統順利運行的有力武器。通過建立信息安全體系及相應的規范機制,如加強對人員的管理、提升人員安全意識、促進軟件和操作系統的操作及建設相關網絡等,就可以建立起完善的信息安全系統,促進企業在知識經濟時代平穩、快速和健康的發展。
一 目前信息安全管理中存在的隱患
1.信息管理的安全意識方面
在傳統的企業生產中,企業所應具有的基本生產要素主要有設備、原材料、人員和制度幾個方面。但隨著信息技術的發展,信息的重要性也日益突顯,從而也成為企業發展的基本要素之一。根據以往經驗來看,企業對信息安全的重視程度還遠遠不夠,表現在對企業信息的安全保護很不到位,這無疑給企業帶來了很大的損失。所以,企業必須要加強對信息安全的保護,建立起一套完善的信息安全體系來保證企業的信息安全。
2.缺乏統一的安全體系規劃和安全防范機制
目前,“頭痛醫頭、腳痛醫腳”的現象十分普遍,原因在于眼于局部而忽視整體。企業只是在網絡中安裝了一些安全設備,卻未形成統一的安全策略及相關規劃方案。企業在建設信息化的過程中通常采取先開展業務,后關注安全的策略,使得安全的管理遠遠落后于開展業務發展。而由于缺少整體性的規劃,使得企業在問題已經出現時才去彌補,對于安全建設只能用“亡羊補牢”來形容。
3.信息安全產品本身存在的問題
大多數企業通常在建設信息安全系統的過程中就采用了一些保證信息安全的產品。但并不是說使用了相關安全產品信息系統就安全了,因為計算機系統所存在的一些安全隱患除了是由信息安全產品本身所具有的漏洞引起的之外,人員在使用信息安全產品的過程中所造成的操作失誤及用戶配置的錯誤也會對其產生影響。所以企業不僅要重視安全產品自身的問題,也要重視系統的操作與應用過程。
4.資金投入不夠,缺乏安全技術人才
要想建構起完善的信息安全體系,企業不僅要投入大量的資金,而且同時要引進一批高端的IT人才,組建一支專業建設信息安全的團隊。但遺憾的是,很多企業并未意識到信息安全的重要性,所以在資金投入方面很是不足,比如說,使用的電子郵箱和殺毒軟件等往往都是免費的,也沒有構建防火墻,這使得企業的信息安全得不到充分地保障。此外,雖然一些企業投資引進了一些硬件設施,但對軟件的重視不足,表現為投入的滯后性,從而阻礙了硬件設施發揮應有的功能。
還有一個問題,大部分企業在加強信息安全建設的過程中,通常都把注意力集中在搭建網絡平臺及硬件的選擇上了,卻忽視了對人才的引入和培養。具體表現在許多企業缺乏信息技術人才,而相關專業人才更是不足。按照要求,一個信息系統的運作應該由幾個技術人才相互配合、共同操作,但實際上卻恰恰相反,企業中的一個信息管理人員往往負責大量的操作,不僅要負責配置系統,還要負責管理系統的安全,導致對安全的設置和監督由一個人負責,任務繁重。
二 加強企業信息安全管理的途徑
1.注重人員安全管理,提升信息安全意識
具體的操作人員在信息系統的建設和運行過程中必不可少,人既是管理者又是被管理者,因為他們不僅要建設和應用計算機系統,而且也信息管理的對象。所以在信息安全系統的管理中,最重要的就是對人員的安全管理,做到這一點要從以下幾個方面來進行:要建立一個安全的組織結構,對安全職能加以確認,審查人員的安全狀況,和安全人員簽訂相關的保密合同,加強離職人員的安全管理等。
企業要對員工加強有關信息安全的教育,增強他們的安全意識。保障企業的信息安全是每個職工應盡的義務。信息安全不是一種技術而是一種意識,所以僅從技術層面是無法保證企業的信息安全的。加強安全教育要企業要做到以下幾個方面,首先,加強員工的教育培訓、普及互聯網和信息安全的相關知識、提升員工的安全意識并增強其防范能力,使整體員工都有一種為企業信息安全負責的意識。其次通過定期舉行有關信息安全的報告和講座等,使企業自上而下都形成安全意識并銘記于心。通過上述兩種途徑可以使企業的信息安全工作順利的開展。
2.建立、健全信息安全防范體系
對于企業中信息安全的管理機制及防護規范的發展和完善,可以使企業中的那些至關重要的信息得到很好的保護。即使信息系統遭到入侵也能夠保證企業業務的順利進行,可以極大地降低企業的損失。
第一,提高安全系統的應急能力,這就要求建立和完善相應的應急管理機制,并制定應急預案。
第二,企業要建立起一個網絡和信息安全管理的平臺,在網絡內外部署相關的信息安全設施,比如要加強網絡的安全性管理,在網絡中設置一些控制訪問的策略,并對網絡的安全使用加以規范,具體來說就是要安裝避免病毒入侵的軟件,對網絡經常進行檢測,提高防火墻的性能等。
第三,建立機制對信息安全進行集中化管理。如數據安全控制和加密密鑰的集中化管理,前者可以做到自上而下的全面執行企業的安全防范策略,后者可以降低人為原因導致的數據安全的風險,并可以保證不與其他的加密策略發生沖突,實現兼容。
第四,企業還要重視對于異地數據的備份工作及當遇到意外情況時可以實現信息恢復的機制設計,因為這可以保障信息系統的安全運行。
第五,重視風險評估工作。這要求企業在平時要對信息系統的安全性進行定期的評估,以提高企業抵御風險的能力。
3.健全用戶權限和上網管理制度
企業信息安全管理工作的一個重點就是要建立并完善用戶瀏覽的權限及網上管理的制度設計,并使之得到嚴格地執行。同時隨著企業的發展和業務系統的完善要不斷對其補充和修正。
首先,對用戶權限的管理加以完善。這就要求企業改變以往把每個員工都當成管理員可以隨意瀏覽信息的狀況,要將每個員工的權限加以明確并保證最小,減少他們對信息系統的操作從而在最大程度上保證系統的安全。
其次,要限制員工的上網行為。在信息化時代,要想控制眾多員工上網的行為,就必須要從管理和技術兩個方面來實現。此外,要嚴格檢測和控制那些從外部傳來的文件,防止它們給企業內部的網絡帶來病毒。
4.進一步健全、監管第三方服務體系
由于對信息安全的擔憂和對服務質量的懷疑,大部分企業都不愿意采取第三方提供的服務體系。在企業中,信息安全工作至關重要,如果不小心泄露了企業的重要資料,就會給企業帶來致命的打擊。
政府應發揮作用加強有關第三方的法律法規建設并制定行業標準,排除企業對第三方的疑慮。企業應加強與第三方的合作,雙方共同努力建設起符合企業特點的信息安全體系,使得企業的信息安全能夠獲得最有力的保證。企業應設立專門的監察職位,主要負責監督、檢查企業管理信息系統的運行情況并直接向企業總經理負責。因其“第三者”的角色,可更加客觀、公正對企業信息安全以及業務流程進行監察,及時發現信息安全隱患。
5.加大建設資金投入,完善軟件硬件建設
要想順利建成企業的信息安全體系,大量的資金投入是必不可少的。企業應投入足夠的資金來購買相應的設備,如相關軟件和服務器等,同時企業也可以采取外包的形式。
首先,在加強硬件設施方面,企業可以應用加密系統來保護有關的口令、文檔及網內的重要數據。這樣我們就可以更有針對性的在網上傳輸數據。加密管理有三種類型,即端點、節點和鏈路加密,企業可以根據自己的實際情況從其中進行選擇。特別是在控制信息系統開發的過程中就應滲透信息安全保護機制,從根本上預防信息安全隱患。
其次,加強軟件建設,最主要的就是采取積極有效的措施使操作系統的安全性得到最大程度的保護。具體來說就是要對有關信息管理的各種軟件定期加以更新,保證數據庫和終端的操作系統的版本保持一致,這不僅有利于加強管理,而且可以提高系統的防御功能
此外,要做到經常性的數據備份,選用高強度口令保護賬號安全,針對不同賬號設定不同密令,經常更新殺毒軟件及補丁以及在局域網與互聯網之間安裝防火墻,并周期性的對文件進行排查,及時發現已感染病毒的文件以及信息丟失的現象。
企業的信息安全管理是一個動態的過程,要隨時代的發展而不斷加以創新。因此,我們必須不斷探索加強信息安全管理的思路和方法,并對逐步構建起相對完善、高效、可靠的信息安全管理體系,定期對企業的信息安全風險和信息安全管理水平進行評估。
參考文獻
企業信息安全規劃范文4
a)IT技術應用程度的評價。通過IT技術的評價,可以得知信息技術在多大程度上支持管理系統的功能,更多得熟悉系統采用的技術先進性和可靠性,在用戶體檢界面和系統運維等方面也可以有更多了解。b)數據應用程度的評價。信息系統的運行要靠數據的開發和利用來支持,數據是信息系統的血液,對數據應用程度的評價,主要包括評估數據應用水平以及企業知識管理水平,主要通過數據的收集、加工、報表展示等方面進行評價。c)信息安全的評價。當前,利用相應的信息系統竊取、擾亂信息系統中的信息內容的惡意事件逐漸增多。2014年,國家成立網絡語信息安全工作領導小組,從國家層面高度功重視信息安全問題,企業也同樣面臨著嚴峻的信息安全形勢,因此,企業信息化安全的評價應當作為信息化建設評價的重要組成部分,引起足夠的重視。d)人力資源的評價。系統需求方、系統開發商、系統運維團隊、系統用戶等都是信息化建設過程的重要參與者,是信息化建設和應用的主體。人力資源評價,應重點考察系統開發和運維人員的計算機軟件設計開發能力,以及軟件技術與應用需求的結合能力;其他人員應側重于員工執行力的提高和員工參與信息化程度的評價。e)信息化組織和控制的評價。企業比如利用完善的制度體系、通過制定嚴格的信息化相關標準,頒布企業內部控制制度,保障信息建設過程管控以及信息系統的正常運行。該項工作主要評價信息化規劃、組織與控制機制與企業日常管理的融合程度。f)效益的評價。信息化的本質是投資,投資必須要有產出。信息化的效益評價包括管理效益和經濟效益兩種。常見的如減少人工時、加速資金周轉、降低庫存等。通過效益評價,可以讓管理層對信息化的資本投入有清晰的概念,也是通常信息化項目立項時的重點考慮因素。
2某企業信息化評價整改措施及效果
筆者所在企業,在近年開展以ERP為建設重點,覆蓋全產業鏈的大規模信息化建設后,采取專項工作,對企業信息化水平進行全面的評價,內容涵蓋信息技術水平、信息\數據資源利用、信息安全、信息化隊伍建設、信息化組織和管控、信息化效益等主要方面。通過該項工作,筆者所在企業找到了制約其信息化建設發展和管理水平提升的嚴重問題,針對這些問題制定了如下具體改進措施:a)針對發現信息技術的問題,以公司發展戰略為基礎,一是統一規劃了信息化建設藍圖,實施一個基礎網絡平臺的網絡拓撲改造、應用系統分層以及和一致的信息化管控體系,二是統一基礎設施標準和規范,三是拓寬網絡主鏈路、建設備份鏈路、保障通訊暢通。b)針對發現的信息資源問題,公司首先確立信息化愿景:一是建立健全信息共享平臺,確保公司信息安全,支持公司戰略目標的實現;二是確立“統一規劃、統一管理、統一標準、統一建設”的四統一原則;三是確立“IT是技術的提供者、業務的支持者”的定位;四是加強信息化建設項目的立項論證和建設過程管控。c)針對發現的信息安全問題,公司首先建立信息安全管理制度和規范;其次,快速實施統一身份認證的準入控制系統,實施強制密碼策略;第三,每年定期開展計網絡安全大檢查和培訓;第四,每年對網絡和信息系統進行安全測評和整改;第五,建設災備中心。d)針對發現的人力資源問題,公司一是建立IT崗位序列,明確人員晉升標準;二是引進社會成品人才;三是組織技術交流、培訓和認證;四是加強信息化專、兼職機構建設。e)針對發現的組織和控制問題,公司首先編制、頒布信息化規劃;其次,理順管理流程,明確以CIO制度為核心的信息化管理組織架構;第三,全面建立健全信息化內控制度體系。f)針對發現的經濟效益評價問題,公司建立了信息化立項論證和評價體系,頒布信息化后評價辦法和指標。對重點項目進行立項時的定量或定性效益評價,完工驗收滿一年后開展后評價。
企業信息安全規劃范文5
1.1系統結構。
大型企業的網絡系統構成是一個復雜、綜合的內容,它包含了內部局域網、各地子公司的局域網以及廣域網連接等復雜內容。在工作中,總部的局域網一般都是和電信公司的因特網相連接,同時還和下轄子公司、其單位連接,是通過信息技術、網絡技術連接形成的一個綜合信息平臺。
1.2系統功能。
在功能上分析,大型國有企業的信息系統涵蓋業務范圍廣、內容復雜、布局合理,主要業務系統包含了ERP系統、OA系統以及財務系統等,這些系統涉及到局域網、廣域網以及企業自身發展的特征,因此在連接的時候往往都是根據企業業務開展需要和內部經營管理需要聯系的。
1.3系統用戶。
大型企業的信息系統是一個復雜、繁瑣、綜合的內容,其用戶類型十分的廣泛和復雜,簡單的將其進行劃分主要可以劃分為系統管理用戶和系統應用用戶兩種。首先,系統管理用戶主要包含了管理員、指揮部、網絡管理員、安全管理員以及應用程序管理員等。其次,系統應用用戶包含了內部應用用戶和外部應用用戶兩方面。其中內部的應用用戶主要指的是企業員工、辦公用戶、生產系統用戶和分公司辦事處的員工等。外部應用用戶主要指的是用戶方位的企業網站。
2信息系統的安全環境
2.1系統安全現狀。
目前,我國大型企業信息系統對于安全防范認識還較為欠缺,各種防范措施的應用較少,主要安全防范措施的應用主要是防火墻、防病毒以及數據備份等手段,這些技術的應用基本上都偏重于安全設備的提前預防,而對于那些專業、專門的管理制度和管理策略并沒有得到重視,同時對國家有關信息安全的法律和法規沒有從根本上重視,錯誤認為這是一些不必要、不科學的內容。雖然目前大部分企業的信息系統在技術和管理上已經采取了初步的安全管理措施,但是從綜合管理方面分析其中還存在著較多的不足,更沒有專業的崗位和安全管理,缺乏嚴格、一致的管理控制機制。
2.2系統安全威脅。
威脅是造成系統安全的主要潛在原因,它的存在極大的限制了企業信息系統功能的發揮,甚至是導致企業信息和經濟損失。在目前工作中,系統安全威脅的斷定往往都是根據企業業務信息系統的存在進行分析的,它可謂是一個不可消滅的問題和事物,無論企業系統多么的先進和完善,這種潛在威脅都是存在的。
3信息系統安全規劃分析
3.1總體規劃概述。
在計算機網絡信息安全服務的設計與實施過程中,安全服務提供商的整體安全意識及安全體系模型極為重要,只有具有清晰的模型構建,才能夠從根本上有效地對客戶所需要的安全服務進行分類和設計。在ISO7498-2中描述了開放系統互聯安全的體系結構,提出設計安全的信息系統的基礎架構中應該包含:a.五類安全服務(安全功能);b.能夠對這五類安全服務提供支持的八類安全機制;c.需要進行的三種OSI安全管理方式。在上述國際標準的指導下,綠盟科技提出了一套適合于大型企業信息系統的信息安全體系框架(NSFocusInformationSecurityFramework,簡稱NISF),以指導信息系統的安全建設。NISF將整個安全體系規劃為三個部分,分別是組織體系、管理體系和技術體系,全面地涵蓋了大型企業企業信息系統規劃和建設的安全要求。NISF的最上層為大型企業信息系統的安全目標,任何階段的安全設計和實施都是為了完成這些目標而進行的,其下是支持實現這個目標的三部分安全體系:a.安全組織體系主要包括機構建設和人員管理兩方面內容,對企業內部的安全機構建設和人員崗位、安全培訓等方面提出了要求。b.安全管理體系主要包括制度管理、資產管理、物理管理、技術管理和風險管理等方面內容。它與安全組織體系共同依據了國際信息安全管理標準ISO17799的要求,涵蓋了該標準中的每一類規范。
3.2整體安全體系建設工期劃分。
為了盡快地實現上述大型企業信息系統整體安全體系的建設,更好地實現企業的高層安全目標,有效地降低大型各層面的安全風險,綠盟科技建議大型企業信息系統的整體安全體系建設劃分為三期工程,以最終建立大型企業安全計劃(搭建ESP安全管理平臺)成功為結束標志。
3.3一期安全規劃內容。
本階段主要是在大型企業建立初步的信息安全組織體系和管理體系,通過實施部分關鍵的安全技術產品建立企業基本的安全預警、防護、監控和響應體系,目標是滿足信息系統的最高安全需求,安全等級達到初級。
3.4二期安全規劃內容。
本階段將全企業范圍內的組織管理體系進一步建立健全,使安全管理流程合理化,安全技術產品進一步分布實施,采用專業的安全服務對系統進一步加強,使得企業整體安全性得到大幅度提升,通過配套的安全事故處理體系的建設,使企業面對安全事件的響應速度大大加快。目標是將整個信息系統的安全水平提高到中級。
4結束語
企業信息安全規劃范文6
摘 要:在現階段的發展中,已經完全進入到網絡時代,幾乎所有的工作實施,都是依靠網絡設備、網絡技術來進行實施的。為了能夠在今后的網絡環境下,實現工作水平的大幅度提升,必須將企業信息安全管理更好的鞏固,要求在管理的策略和具體手段上,告別既往的多項不足,要創造出較高的價值。文章就此展開討論,并提出合理化建議。
關鍵詞:網絡環境;企業;信息安全;管理
從客觀的角度來分析,企業信息安全管理在開展的過程中,有很多工作的實施,都不能利用單一的手段來完成?,F如今的信息安全,已經成為了全社會都非常矚目的內容,如果在最終的工作上表現為缺失現象,不僅容易造成強烈的隱患和沖突,還會對很多領域的發展構成嚴重的威脅,這是需要在日后工作中積極面對的,不能有任何的嚴重損失。
一、網絡環境下企業信息安全管理現狀
1.建立信息安全管理體系框架
從已經掌握的情況來看,很多地方的企業信息安全管理,都在不斷的建立信息安全管理w系框架,希望由此來對網絡環境做出更好的優化處理,實現企業信息安全管理的更大進步。我國在現階段的發展中,正處于一個非常重要的階段,企業更加是國家的核心組成部分,為了更好應對網絡環境所帶來的挑戰,在相關的政策、規范頒布上是比較突出的。例如,國務院辦公廳在現下的工作中,對于網絡環境開展了深入的分析,同時先后頒布了特別多的政策、法令,對于信息安全等級評估保護的具體措施、檢查核實方法等,都做出了明確的規范;對于使用單位信息安全管理制度,做出了進一步的深化處理;直接引導、推進了信息安全系統的持續應用,在發展空間上得到了明顯的擴大。
2.信息安全管理體系的審核
企業信息安全管理在開展的過程中,必須在網絡環境方面深入的關注,絕對不能有任何的違背現象發生。從既往的工作來看,有些企業對于信息安全管理,總是追求短期上的效果,對長期的規劃表現不足,雖然很大程度上對網絡環境做出了充分的利用,但實際上創造的價值,還是有待提升的。鑒于這種現象的發生,網絡環境下的企業信息安全管理,開始不斷的做出變革,特別是在信息安全管理體系的審核上,基本上是按照最嚴格的方法來完成的。例如,在ISMS審核過程中,其主要指的是,機構為驗證所有安全程序,采用的系統的、獨立的檢查和評價。通過開展ISMS審核處理,能夠對申請認證的單位,提供較多的支持與幫助,在企業信息安全管理方面有綜合的判定與分析。除此之外,ISMS審核工作的開展,還表現為突出的自我保證手段,其能夠將多項問題做出一個明確的分析,無論是在波及范圍上,還是在具體的處理方式上,都能夠給予較多的參考和指導,很少出現嚴重的偏差。
二、網絡環境下企業信息安全管理的對策
1.物理安全管理
在現階段的發展中,網絡環境已經成為了不可扭轉的趨勢,想要在今后的企業信息安全管理中取得理想的效果,必須將網絡環境有效的利用,在硬性規范下,針對物理安全管理持續的加強,這是實踐方面的工作,不能有任何的忽視。簡單而言,物理安全管理在開展的過程中,會將信息系統開展全面的檢查分析,包括信息系統的保密性、完整性、可用性等等,會在相關的硬件設施上、線路上,都做出詳細的分析,而后提交相應的物理安全管理報告。企業根據這份報告,再結合客觀實際以后,決定具體的改善辦法。在除此之外,物理安全管理在開展的過程中,對于企業網絡工程的設計、施工等,都會產生較大的幫助。現下的很多企業信息安全管理,都會在網絡工程方面投入較多的努力,為了更好的協調網絡工程的硬件設備、網絡體系等,必須在網絡設備的安全性、可靠性方面提升。例如,通過物理安全管理的實施,能夠針對網絡設備、系統的運作空間做出分析,在溫度、濕度等物理因素上積極的把控,避免造成嚴重的損失。
2.人員安全管理
在企業信息安全管理當中,網絡環境下的誘惑較多,同時在相關的影響因素上,也在不斷的增加。為了確保在企業信息安全管理方面,能夠按照科學的方向來前進,有必要將人員安全管理更好的改善,針對多項工作的實施,都要從長遠的角度來出發,這樣才能更好的提高管理水平。首先,所有的工作人員,在相應的權限上都要積極的設定,要避免企業信息安全管理的員工權限混亂現象,達到相互之間的制衡效果,避免在信息方面出現嚴重的泄漏。其次,對于人員安全管理,有必要開展技術性的專業培訓,要求列舉大量的技術案例分析,讓所有的工作人員意識到,錯誤的工作方法,以及某些極端的行為,會給企業帶來嚴重的損失,部分情況下,甚至會產生法律上的責任和問題,要求員工在態度上,以及工作實踐上,都可以嚴格的要求自己,而后對將來的工作負責。第三,必須積極的招聘、引進網絡人才,將企業信息安全管理的體系不斷健全,尤其是在網絡平臺的打造、客戶端的建設、日常信息管理措施的實施上,都要形成良性工作循環。
3.軟件應用和系統安全管理
網絡環境下的企業信息安全管理,表現為持續進步的特點,根本不可能長久維持在固有的水平上。我們在實施企業信息安全管理的過程中,對于軟件應用和系統安全管理,必須不斷的加深研討,要從多個角度出發,創造出較高的價值。首先,軟件應用上,企業必須根據自身的需求,為不同層級、不同部門的員工,選定差異化的工作軟件,要提高工作質量和工作效率。同時,對于軟件本身的分析要不斷的拓展,從是否付費、是否存在軟件沖突、是否具備較高的兼容性等方面,均要進行大量的探討,要防止造成工作上的嚴重疏漏,提高工作效率。其次,對于系統安全管理而言,必須堅持定期維護、更新,要求從外部聘請專業人員,進行系統的積極分析和測試,發現問題后,及時的采用網絡技術來彌補,同時增加相應的軟件防護和程序補丁,促使系統的日常運營,能夠達到更加穩定的目標。
4.設備的運行與安全管理
除了上述的幾項工作內容外,企業信息安全管理在實施的過程中,還需要在設備的運行與安全管理上投入較多的努力。當下的設備研究力度有所加深,特別是在重要元件上,市場上的更新換代速度不斷的加快,企業必須對設備本身、設備元件開展積極的分析,不能盲目的跟風更換,也不能長久的維持在既有的水準上,要確保設備的運行,能夠長期保持在高效狀態,可以將安全管理工作更好的改善,減少矛盾。網絡系統穩定高效的運行,對于企業來說是非常重要的。企業要加強對網絡的科學管理,及時排除網絡故障,對設備、運行安全進行全方位管理,是保障信息系統安全的重要前提。設備、運行安全管理包括設備的選型、檢測、安裝、登記、使用、維修、儲存以及故障管理、性能管理、變更管理和排障工具等。隨著網絡普及和企業信息化業務的不斷拓展,信息成為一種重要的戰略資源,信息安全保障能力成為一個企業綜合能力的重要組成部分。
三、總結
本文對網絡環境下企業信息安全管理展開討論,現階段的工作實施中,整體上得到的效果比較顯著,未表現出嚴重的隱患。日后,應該在網絡環境方面不斷的優化,將企業信息安全管理的體系不斷的健全。除此之外,在開展企業信息安全管理時,一定要持續性的實施,要不斷的跟隨國家倡導內容,對社會潮流做出把控,在重點工作上積極的提升。
參考文獻:
[1]于倩,李靈君.網絡環境下企業信息安全管理的對策分析[J].網絡安全技術與應用,2017,(01):16-17.
[2]錢濃林,洪芳華,朱利軍,肖鋒,徐F欣.”互聯網+“環境下企業信息安全管理策略[J].經營與管理,2017,(01):128-130.
[3]張黎明.網絡環境下企業信息安全管理的對策分析[J].商,2016,(19):2.
[4]宋晴.網絡環境下企業信息安全管理對策研究[J].通訊世界,2015,(14):256.