企業(yè)信息安全管理體系構(gòu)建的要點與策略論文

企業(yè)信息安全管理體系構(gòu)建的要點與策略論文企業(yè)信息安全管理體系構(gòu)建的要點與策略論文在社會的各個領(lǐng)域，大家或多或少都會接觸過論文吧，通過論文寫作能夠培養(yǎng)我們獨立考慮和創(chuàng)新的能力。寫起論文來就毫無眉目？下面是我為大家整理的企業(yè)信息安全管理體系構(gòu)建的要點與策略論文，歡迎閱讀，希望大家能夠喜歡。摘要：互聯(lián)網(wǎng)時代，信息技術(shù)全面發(fā)展。信息技術(shù)的普及方便了企業(yè)的信息獲取，但也給企業(yè)的信息管理帶來了宏大的風(fēng)險。信息分享時代，構(gòu)建一個安全的信息管理體系，對于企業(yè)的發(fā)展有著重要的作用。加強企業(yè)的信息管理，不僅能夠提升企業(yè)的競爭力，還能夠推動企業(yè)的可持續(xù)發(fā)展。主要對企業(yè)信息安全的現(xiàn)狀進行分析，并提出企業(yè)信息安全管理體系構(gòu)建的有效策略。關(guān)鍵詞:企業(yè)信息；信息技術(shù)；安全管理體系；引言：在經(jīng)濟全面發(fā)展的趨勢下，信息化和工業(yè)化不斷融合，企業(yè)的信息管理已經(jīng)成為企業(yè)經(jīng)營的重要部分，對于企業(yè)的設(shè)計研發(fā)、生產(chǎn)制造、業(yè)務(wù)銷售等都有著重要的影響。數(shù)據(jù)時代，企業(yè)對于信息的應(yīng)用越廣泛，對信息體系的依靠就越強，企業(yè)所面臨的信息風(fēng)險越高。企業(yè)在發(fā)展的經(jīng)過中，既要發(fā)揮信息化的優(yōu)勢和價值，也要做好信息的管理工作。要構(gòu)建安全的信息管理體系，僅僅依靠技術(shù)是不夠的，必需要將技術(shù)和管理進行有效的結(jié)合，只要這樣，才能構(gòu)建一個完好的安全體系，進而推動企業(yè)發(fā)展。1.企業(yè)信息安全管理的現(xiàn)狀1.1、信息安全管理體系缺乏總體性的規(guī)劃和策略企業(yè)對于信息的安全管理，通常都交由IT部門管理，很多管理人員會覺得信息管理就是IT部門的事情。在這個基礎(chǔ)上，企業(yè)的其他部門對于企業(yè)的信息安全建設(shè)，很少會關(guān)注，這是影響安全體系完好性的重要因素。IT部門的網(wǎng)絡(luò)技術(shù)對于信息的保護有一定效果，但卻缺乏管理作用。企業(yè)信息涉及到的人員包含各個部門，除了IT部門，很多部門的人員都會接觸到企業(yè)的信息，IT部門只能從技術(shù)上對信息和數(shù)據(jù)進行保存，但內(nèi)部的信息保護，IT部門是沒有辦法完成的，這個環(huán)節(jié)需要專業(yè)的管理人員來規(guī)劃和管理。安全體系缺乏完好性和總體性的規(guī)劃，會讓企業(yè)的信息建設(shè)過于零散，也沒有辦法對信息資源的提供方進行有效的防護。1.2、企業(yè)員工的信息安全意識薄弱，專業(yè)性人才缺乏“重技術(shù)、輕管理。〞這是所有企業(yè)發(fā)展中普遍存在的問題，關(guān)于企業(yè)的信息安全問題，很多管理人員缺乏正確的認(rèn)識，甚至有管理人員以為信息安全就是殺毒和安裝防火墻。這樣的認(rèn)知不僅片面，還會讓企業(yè)員工的安全意識變得薄弱。企業(yè)在發(fā)展的經(jīng)過中，出于經(jīng)濟利益的考慮，都會讓系統(tǒng)的管理人員承當(dāng)管理和系統(tǒng)配置的雙重責(zé)任，安全系統(tǒng)的設(shè)計和審核都是一人完成。要真正完成這兩項工作，需要非常專業(yè)的信息安全管理人員，但大部分企業(yè)的系統(tǒng)管理人員都不是專業(yè)人員，所以很難將安全管理的工作進行到位，這會給企業(yè)的安全管理造成嚴(yán)重的隱患，也容易讓企業(yè)信息處于失控的局面。1.3、信息安全缺乏體系化的管理要對信息安全進行有效的關(guān)系，需要一個完好的體系，但實際管理工作開展的經(jīng)過中，很多企業(yè)的管理方式都是零散和傳統(tǒng)的。傳統(tǒng)的管理方式是彌補，卻沒有查缺?；径际枪芾斫?jīng)過中出了問題，再進行彌補，但沒有出現(xiàn)問題之前，企業(yè)很少會進行預(yù)防。這種管理形式已經(jīng)適應(yīng)不了當(dāng)代市場經(jīng)濟的發(fā)展了，對于信息安全的管理也不夠全面。要對信息安全進行體系化管理，管理工作需要全面。預(yù)防、控制、改良、評估等環(huán)節(jié)缺一不可。2.企業(yè)信息安全管理體系構(gòu)建的要點2.1、完善信息安全管理的組織機構(gòu)要構(gòu)建一個完好的管理體系，企業(yè)必須對管理的組織機構(gòu)進行完善，組建一個專門的管理機制。管理工作開展的經(jīng)過中，要明確各個人員的職責(zé)，這樣確保分工明確，職責(zé)到位。假如組織的機構(gòu)不明確，安全管理工作開展的經(jīng)過中，會出現(xiàn)人手缺乏的情況，對于管理工作的開展，也沒有辦法進行深化，這會降低管理工作的質(zhì)量和力度。組織機構(gòu)不夠完善，也會讓管理制度缺乏，這樣容易造成信息安全事件，所以企業(yè)構(gòu)建管理體系的時候，一定要加強管理機制的完善，如圖1所示。2.2、對物理環(huán)境進行有效的管理安全管理的經(jīng)過中，環(huán)境管理也是工作的重要組成部分。安全管理中的物理環(huán)境主要是指機房、設(shè)備、消防等，物理環(huán)境管理中，支持設(shè)備的管理尤為重要，信息技術(shù)不斷發(fā)展的經(jīng)過中，對于計算機設(shè)備的要求也越來越高，所以安全管理工作開展的經(jīng)過中，一定要加強對設(shè)備的管理。對于機房，企業(yè)能夠根據(jù)業(yè)務(wù)發(fā)展的實際情況進行劃分和評審，根據(jù)設(shè)備的系統(tǒng)模塊建立相對應(yīng)的管理制度。機房的消防管理也是安全重點，一定要構(gòu)建消防系統(tǒng)，系統(tǒng)構(gòu)建的經(jīng)過中，要根據(jù)規(guī)定的消防要求。這個經(jīng)過中，還要對工作人員進行消防知識的培訓(xùn)，和應(yīng)急演練。定期檢查消防設(shè)施安全，對于不符合規(guī)定的消防設(shè)施，及時更換和維護。對消防秩序進行監(jiān)督和巡查，支持性的設(shè)備一定要建立監(jiān)控系統(tǒng)，對于設(shè)備的資產(chǎn)管理、維護管理、系統(tǒng)應(yīng)急等，一定要進行有效的管理，物理環(huán)境的管理是管理工作的基礎(chǔ)，也是開展工作的前提。2.3、用戶和操作管理對所有設(shè)備的運行施行網(wǎng)絡(luò)監(jiān)控，要做到這一點，能夠啟動設(shè)備的日志功能。對于重要設(shè)備，能夠構(gòu)建集中日志管理服務(wù)器，這樣能夠?qū)θ罩镜膶彶檫M行分析。對設(shè)備進行定期維護，能夠根據(jù)設(shè)備的重要性制定相對應(yīng)的備份策略，對于設(shè)備的備份數(shù)據(jù)進行測試，這樣能夠保障數(shù)據(jù)的完好性和可用性。設(shè)置用戶權(quán)限，遵循最小受權(quán)和權(quán)限分割的原則。所有賬號開通之后，要對初始口令進行修改采用高級密碼策略。對于密碼的變更，要建立嚴(yán)格的管理流程，對于影響安全組織和信息處理設(shè)施的系統(tǒng)變更，要加以控制，嚴(yán)格規(guī)定操作流程，這樣能夠減少誤用系統(tǒng)帶來的`風(fēng)險。2.4、信息系統(tǒng)的開發(fā)、維護和獲取管理信息系統(tǒng)的獲取和維護經(jīng)過，也是安全管理的重要內(nèi)容，使用安全系統(tǒng)和工具的經(jīng)過中，要對內(nèi)部的應(yīng)用系統(tǒng)和工具提出安全需求，這個經(jīng)過中，需要在開發(fā)需求文件中對安全需求定義。假如軟件的開發(fā)經(jīng)過中需要測試數(shù)據(jù)，一定要對數(shù)據(jù)進行選擇、保護和控制。對于個人信息和敏感信息一定要進行處理，嚴(yán)格控制訪問的流程和相關(guān)資料。對于非受權(quán)的功能一定要進行控住，這樣能夠減少應(yīng)用故障。2.5、業(yè)務(wù)連續(xù)性管理對安全體系內(nèi)的系統(tǒng)和設(shè)施進行業(yè)務(wù)連續(xù)性管理分析，分析管理體系中可能會面臨的風(fēng)險和故障，對風(fēng)險進行等級評估。假如是不可接受的風(fēng)險，能夠采取降低風(fēng)險措施，并構(gòu)建應(yīng)急方案。假如系統(tǒng)的運行環(huán)境發(fā)生了重大變化，要對系統(tǒng)的風(fēng)險等級進行二次評估，根據(jù)應(yīng)急的系統(tǒng)現(xiàn)狀和需求，制定連續(xù)性計劃。通過模擬測試的方法對計劃進行評估和審查，假如系統(tǒng)出現(xiàn)危機，業(yè)務(wù)連續(xù)性管理特別重要，不僅提高了企業(yè)風(fēng)險防備的能力，還降低了業(yè)務(wù)中斷做帶來的損失。3.構(gòu)建企業(yè)信息安全管理的有效策略3.1、信息安全管理體系模型現(xiàn)階段，對于信息安全管理的標(biāo)準(zhǔn)，最具代表性和權(quán)威性的是ISO/IEC27000系列標(biāo)準(zhǔn)，信息安全的管理主要建立在風(fēng)險管理上，采用風(fēng)險分析的形式，降低風(fēng)險發(fā)生的概率，所以信息安全管理的體系模型能夠從下面幾分方面入手。首先，計劃和施行，對安全體系的計劃階段，主要是用來保證管理體系的構(gòu)建，而施行是保障體系的內(nèi)容和范圍。其次，檢查和改良。這一階段主要是對信息的安全識別和改良方案的施行。安全管理體系中，檢查是一個非常重要的環(huán)節(jié)，不僅能判定安全管理能否科學(xué)，還能夠檢查其安全措施能否有效。通過改良計劃，能夠?qū)ο到y(tǒng)進行完善。3.2、信息安全管理體系構(gòu)建的經(jīng)過安全管理體系的構(gòu)建是一個系統(tǒng)的工程，企業(yè)要構(gòu)建一個完好的體系，必需要得到企業(yè)領(lǐng)導(dǎo)的許可，只要這樣，才能保障安全體系構(gòu)建的資源支持。但安全體系的運行需要各個部門的介入，所以企業(yè)對體系機構(gòu)要進行重新設(shè)置。安全管理不僅僅是IT部門的事情，而是整個企業(yè)部門共同介入的管理工作，要構(gòu)建一個完好的安全管理體系，需要整個企業(yè)的工作人員共同介入和協(xié)作。企業(yè)的信息安全組織機構(gòu)包含決策層、管理層、執(zhí)行層。要確保管理體系的正常運行，這三個組織機構(gòu)必需要發(fā)揮各自的作用。決策層通常都是企業(yè)信息安全管理的最高管理機構(gòu)，需要為企業(yè)的安全管理提供各類的必要資源。管理層負(fù)責(zé)的是信息安全的管理和監(jiān)督、教育和考核。中小型企業(yè)以IT部門承當(dāng)這一職責(zé)，但要確保安全管理體系正常運行，需要設(shè)立專門的管理部門。執(zhí)行層是策略和計劃落實額的人員，所以執(zhí)行人員一定要加強本身的專業(yè)素質(zhì)和水平。3.3、建立管理體系一個完好體系的建立需要涵蓋多個方面，能夠從下面幾點入手。首先，制定信息安全的方針和策略。關(guān)于信息的安全管理，企業(yè)在發(fā)展的經(jīng)過中應(yīng)該制定一個總體的方針。根據(jù)企業(yè)的發(fā)展方向和實際情況，制定對應(yīng)的策略。其次，對安全管理體系的范圍進行定義，任何一個企業(yè)的資源都是有限的，所以構(gòu)建管理體系的時候，對管理范圍的定義很重要。要做出準(zhǔn)確的定義，能夠從組織、人員、技術(shù)和設(shè)備等方面考慮，這樣能夠構(gòu)成完好的管理體系。在體系構(gòu)建的經(jīng)過中，風(fēng)險的評估是不可缺少的一個環(huán)節(jié)，企業(yè)需要對現(xiàn)有的信息框架進行評估，在現(xiàn)有的基礎(chǔ)上進行完善和補充，并產(chǎn)生新的評估數(shù)據(jù)。最后，制定處理計劃。對企業(yè)所面臨的風(fēng)險，管理體系需要制定專門的處理計劃，對于不可控制的風(fēng)險，能夠采取轉(zhuǎn)移和降低的方法進行處理，處理計劃施行的經(jīng)過中，一定要落實相關(guān)責(zé)任。對信息安全管理體系進行編寫的經(jīng)過中，其內(nèi)容要符合企業(yè)的發(fā)展現(xiàn)狀，操作方法具有實用性。4.結(jié)語對于企業(yè)信息的管理，沒有絕對的安全性可言，企業(yè)構(gòu)建安全管理體系之后，并不代表企業(yè)的信息管理就沒有了風(fēng)險，管理體系只是對企業(yè)的信息風(fēng)險進行預(yù)防、降低和處理。這樣能夠減少企業(yè)的經(jīng)濟損失，也能保障企業(yè)的可持續(xù)發(fā)展。但企業(yè)要落實管理體系，需要對管理體系中出現(xiàn)的問題進行分析、總結(jié)和改良，只要這樣，才能真正發(fā)揮管理體系的作用。參考文獻[1]戴海斌當(dāng)代企業(yè)信息安全防控策略研究[J]黑龍江科學(xué).2021,12(04):130-131.[2]呂云.企業(yè)信息安全管理問題及對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020(04):122-123.[3]陳曉飛企業(yè)信息安全管理體系建設(shè)[J]信息與電腦(理論版),2017(03):194-196.[4]張宏飛.S企業(yè)信息安全管理的策略和施行[D].北京交通大學(xué)2015.[5]陳慧勤.企業(yè)信息安全風(fēng)險管理的框架研究[D]-上海:同濟大學(xué),2006.拓展：企業(yè)信息安全管理對策網(wǎng)絡(luò)管理一般企業(yè)網(wǎng)與互聯(lián)網(wǎng)物理隔離，因此與互聯(lián)網(wǎng)相比，其安全性較高，但在日常運行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護、違規(guī)使用網(wǎng)絡(luò)事件等問題，詳細而言:(1)在IP資源管理方面，采用IPMAC捆綁的技術(shù)手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這分兩種情況實現(xiàn)，第一種情況是假如客戶機連在支持網(wǎng)管的交換機上的，能夠通過網(wǎng)管中心的管理軟件，對該交換機遠程施行PortSecurity策略，將客戶端網(wǎng)卡MAC地址固定綁在相應(yīng)端口上。第二種情況是假如客戶機連接的交換機或集線器不支持網(wǎng)管，則能夠通過Web網(wǎng)頁調(diào)用一個程序，通過該程序把MAC地址和IP地址捆綁在一起。這樣，就不會出現(xiàn)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況。(2)在網(wǎng)絡(luò)流量監(jiān)測方面，可使用網(wǎng)絡(luò)監(jiān)測軟件對網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進行分類統(tǒng)計，查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬，防止頻繁進行大文件的傳輸，甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。服務(wù)器管理常見應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為Windows系列，服務(wù)器的管理包括服務(wù)器安全審核、組策略施行、服務(wù)器的備份策略。服務(wù)器安全審核是網(wǎng)管日常工作項目之一，審核的范圍包括安全漏洞檢查、日志分析、補丁安裝情況檢查等，審核的對象能夠是DC、ExchangeServer、SQLServer、IIS等。在組策略施行時，假如想使用軟件限制策略，即哪些客戶不能使用哪個軟件，則需要把操作系統(tǒng)升級到Windows2003Server。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分，系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序，制定一個合理的備份策略，如每周日晚上做一次完全備份，然后周一到周五晚上做增量備份或差額備份;定期對服務(wù)器備份工作情況等?？蛻舳斯芾韺Υ蠖鄶?shù)單位的網(wǎng)管來講，客戶端的管理都是最頭痛的問題，只有得力的措施才能解決這個問題，這里介紹下面幾種方法:(1)將客戶端都參加到域中，這一點很重要，由于只要這樣，客戶端才能納入管理員集中管理的范圍。(2)只給用戶以普通域用戶的身份登錄到域，由于普通域用戶不屬于本地Administrators和PowerUsers組，這樣就能夠限制他們在本地計算機上安裝大多數(shù)軟件(某些軟件普通用戶可以以安裝)。當(dāng)然為了便于用戶工作，應(yīng)通過本地安全策略，授予他們“關(guān)機〞和“修改系統(tǒng)時間〞等權(quán)利。(3)實現(xiàn)客戶端操作系統(tǒng)補丁程序的自動安裝。(4)實現(xiàn)客戶端防病毒軟件的自動更新。(5)利用SMS對客戶端進行不定期監(jiān)控，發(fā)現(xiàn)不正常情況及時處理。數(shù)據(jù)備份與數(shù)據(jù)加密由于應(yīng)用系統(tǒng)的參加，各種數(shù)據(jù)庫日趨增長，怎樣確保數(shù)據(jù)在發(fā)生故障或災(zāi)難性事件情況下不丟失，是當(dāng)前面臨的一個難題。這里介紹四種解決方法:第一種解決辦法是用磁帶機或硬盤進行數(shù)據(jù)備份。該辦法價格最低，保存性最強，缺乏之處是備份的只是某個時間點。第二種方案是采用本地磁盤陣列來分別實現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余。第三種方案是采用雙機容錯方式，兩臺機器系統(tǒng)互相備份，應(yīng)用層數(shù)據(jù)全部放在分享的磁盤陣列