企業信息安全的管理活動和管理策略
【摘要】伴隨著企業信息化的發展,信息安全越來越受到重視。針對當前信息安全存在的問題,作者進行了調查,分析了其中的原因,最后從管理學的角度提出了相關的策略和建議。【關鍵詞】信息化 信息安全管理 企業
【摘要】伴隨著企業信息化的發展,信息安全越來越受到重視。針對當前信息安全存在的問題,作者進行了調查,分析了其中的原因,最后從管理學的角度提出了相關的策略和建議。
【關鍵詞】信息化 信息安全管理 企業管理
1、引言
隨著信息技術的發展和網絡化應用的普遍推廣,各機關組織和企事業單位都開展各類管理業務的信息化建設。企業的發展運作離不開信息系統的安全運行。信息安全通過保護企業信息的機密性、完整性和可用性,不僅保護了企業各類信息資產的安全,還能增強企業的核心競爭力,維護企業的形象和信譽。信息安全對企業的生存和發展而言是至關重要的,需要從戰略的高度對信息安全進行規劃和管理。
2、企業中信息安全管理經常存在的問題
日常安全管理中存在的主要問題,首先是用戶安全意識和觀念薄弱,占58%;第二位的是網絡安全管理人員缺乏培訓,占39%;其后,依次是保障經費投入不足、缺乏安全信息共享和安全產品不能滿足要求。
不僅在日常管理中,在技術管理方面也存在一定的問題。在CSDN泄密門事件中,專業IT博客“月光博客”撰文表示,“整個事件最不可思議的地方在于,像CSDN這樣的以程序員和開發為核心的大型網站,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道,為了用戶的安全,應該在數據庫里保存用戶密碼的加密信息,這樣黑客即使下載了數據庫,破解用戶密碼也不是一件容易的事情”。可見,有些涉及技術方面的問題,也并不是單純的技術問題,而是與技術人員安全意識不強、責任心不到位有關。
為了了解企業內部員工在信息安全問題上的看法及所做的努力,我們對一家電子商務企業和一家銀行的部分工作人員進行了問卷和訪談調查,發現在企業員工中存在如下一些問題:
信息安全意識方面,被調查者認為信息安全對企業和個人都非常重要。但大多數受訪者對信息安全的問題了解很少。
很多受訪者認為信息安全屬于技術人員的事情,與技術人員的交流非常少,且忙于業務,沒有時間去處理。
用戶認為信息安全管理措施效果不好。有些信息安全行為的規范標準雖然掛在網上或貼在墻上,很少有人去關注;公司發動的信息安全的培訓活動沒有收到好的效果。
3、信息安全問題的根源
通過對調查的結果進行深入分析,發現導致信息安全事件頻發、風險損失嚴重的原因從根本上來說,有以下幾個方面:
信息安全是一個多維問題,涉及到企業管理的方方面面。企業在信息安全問題上往往涉及多個部門。有些情況下,無法明確責任,使得信息安全得不到應有的重視以及有效的管理。
風險平衡理論認為,人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以達到絕對安全的狀態,由于人性的緣故,也不會那樣去做。
信息安全與效率和便利性本身是矛盾的。信息安全加強了,受到的約束也就多了,相應的效率也就降低了。比如簡單規律的密碼,可以不必費力去記;插入U盤時進行殺毒,必然要耽誤時間;沒有接入網絡,不可能受到網絡攻擊,但也就失去了網上瀏覽所需信息、網絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網絡的那臺計算機”。
由于某些緣故,網絡中總是存在黑客,專門竊取信息或破壞網絡系統。他們的水平都非常專業,一般的用戶難以預防。所謂“道高一尺,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進步的。
信息安全問題的不確定性。信息安全問題的不確定性主要指是否發生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發生所帶來損失的難以把握。
所有這一切因素,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免。這也是導致信息安全事件發生頻率居高不下,風險損失較大的主要原因。
4. 相關的建議和策略
針對企業信息安全的問題,文章運用管理學的理論進行論述。企業管理涉及四個功能:計劃、組織、領導、控制。
從計劃的角度來看:企業應當確立信息安全的發展戰略,從戰略的高度來對待和管理信息安全,確保信息安全所引發的風險達到可以接受的范圍之內。從全局角度制定信息安全的策略,確立信息安全的目標,以及實現目標需要的行動方案。
從組織的角度來看:人力資源管理的觀點認為,企業的組織結構,取決于組織戰略。在許多企業組織結構中,只有技術部門,沒有信息安全管理部門。有專家曾討論過,技術管理與安全管理兩個部門必須設置成為兩個獨立的部門,否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門,這個部門并不負責具體的技術,但是要懂技術,主要是開展企業的安全培訓和日常的安全管理工作,及對存在的風險進行評估,最大限度地降低安全風險。
從領導的角度來看:根據wilde的風險平衡理論,一個人會愿意承擔一定程度的風險。“風險平衡”觀念會讓整個機構處于盲目樂觀的狀態,不管是企業的員工還是管理者都傾向于追求效率,從而忽視信息安全的投入。
在企業的管理過程中,應當加強信息安全、風險意識方面的培訓和教育,增進員工與技術人員面對面的溝通與交流,開展有效的安全意識活動。
從控制的角度來看:對風險的控制要求企業對自己的安全狀況不斷評估,時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作。
5. 結語
文章從管理學的角度來分析信息安全風險管理,對信息安全問題做了實地調查,分析了目前信息安全存在的一些問題,并對存在問題的根源進行了深入分析,最后文章運用管理學的理論,從計劃、組織、領導、控制四個角度給出了相應的建議和策略。
【關鍵詞】信息化 信息安全管理 企業管理
1、引言
隨著信息技術的發展和網絡化應用的普遍推廣,各機關組織和企事業單位都開展各類管理業務的信息化建設。企業的發展運作離不開信息系統的安全運行。信息安全通過保護企業信息的機密性、完整性和可用性,不僅保護了企業各類信息資產的安全,還能增強企業的核心競爭力,維護企業的形象和信譽。信息安全對企業的生存和發展而言是至關重要的,需要從戰略的高度對信息安全進行規劃和管理。
2、企業中信息安全管理經常存在的問題
日常安全管理中存在的主要問題,首先是用戶安全意識和觀念薄弱,占58%;第二位的是網絡安全管理人員缺乏培訓,占39%;其后,依次是保障經費投入不足、缺乏安全信息共享和安全產品不能滿足要求。
不僅在日常管理中,在技術管理方面也存在一定的問題。在CSDN泄密門事件中,專業IT博客“月光博客”撰文表示,“整個事件最不可思議的地方在于,像CSDN這樣的以程序員和開發為核心的大型網站,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道,為了用戶的安全,應該在數據庫里保存用戶密碼的加密信息,這樣黑客即使下載了數據庫,破解用戶密碼也不是一件容易的事情”。可見,有些涉及技術方面的問題,也并不是單純的技術問題,而是與技術人員安全意識不強、責任心不到位有關。
為了了解企業內部員工在信息安全問題上的看法及所做的努力,我們對一家電子商務企業和一家銀行的部分工作人員進行了問卷和訪談調查,發現在企業員工中存在如下一些問題:
信息安全意識方面,被調查者認為信息安全對企業和個人都非常重要。但大多數受訪者對信息安全的問題了解很少。
很多受訪者認為信息安全屬于技術人員的事情,與技術人員的交流非常少,且忙于業務,沒有時間去處理。
用戶認為信息安全管理措施效果不好。有些信息安全行為的規范標準雖然掛在網上或貼在墻上,很少有人去關注;公司發動的信息安全的培訓活動沒有收到好的效果。
3、信息安全問題的根源
通過對調查的結果進行深入分析,發現導致信息安全事件頻發、風險損失嚴重的原因從根本上來說,有以下幾個方面:
信息安全是一個多維問題,涉及到企業管理的方方面面。企業在信息安全問題上往往涉及多個部門。有些情況下,無法明確責任,使得信息安全得不到應有的重視以及有效的管理。
風險平衡理論認為,人會愿意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以達到絕對安全的狀態,由于人性的緣故,也不會那樣去做。
信息安全與效率和便利性本身是矛盾的。信息安全加強了,受到的約束也就多了,相應的效率也就降低了。比如簡單規律的密碼,可以不必費力去記;插入U盤時進行殺毒,必然要耽誤時間;沒有接入網絡,不可能受到網絡攻擊,但也就失去了網上瀏覽所需信息、網絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網絡的那臺計算機”。
由于某些緣故,網絡中總是存在黑客,專門竊取信息或破壞網絡系統。他們的水平都非常專業,一般的用戶難以預防。所謂“道高一尺,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進步的。
信息安全問題的不確定性。信息安全問題的不確定性主要指是否發生風險的不確定性、無法精確地評估當前所面臨的風險以及風險發生所帶來損失的難以把握。
所有這一切因素,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免。這也是導致信息安全事件發生頻率居高不下,風險損失較大的主要原因。
4. 相關的建議和策略
針對企業信息安全的問題,文章運用管理學的理論進行論述。企業管理涉及四個功能:計劃、組織、領導、控制。
從計劃的角度來看:企業應當確立信息安全的發展戰略,從戰略的高度來對待和管理信息安全,確保信息安全所引發的風險達到可以接受的范圍之內。從全局角度制定信息安全的策略,確立信息安全的目標,以及實現目標需要的行動方案。
從組織的角度來看:人力資源管理的觀點認為,企業的組織結構,取決于組織戰略。在許多企業組織結構中,只有技術部門,沒有信息安全管理部門。有專家曾討論過,技術管理與安全管理兩個部門必須設置成為兩個獨立的部門,否則無法保證安全評估的客觀性。因此有必要設置一個專門負責信息安全管理的部門,這個部門并不負責具體的技術,但是要懂技術,主要是開展企業的安全培訓和日常的安全管理工作,及對存在的風險進行評估,最大限度地降低安全風險。
從領導的角度來看:根據wilde的風險平衡理論,一個人會愿意承擔一定程度的風險。“風險平衡”觀念會讓整個機構處于盲目樂觀的狀態,不管是企業的員工還是管理者都傾向于追求效率,從而忽視信息安全的投入。
在企業的管理過程中,應當加強信息安全、風險意識方面的培訓和教育,增進員工與技術人員面對面的溝通與交流,開展有效的安全意識活動。
從控制的角度來看:對風險的控制要求企業對自己的安全狀況不斷評估,時時防范。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作。
5. 結語
文章從管理學的角度來分析信息安全風險管理,對信息安全問題做了實地調查,分析了目前信息安全存在的一些問題,并對存在問題的根源進行了深入分析,最后文章運用管理學的理論,從計劃、組織、領導、控制四個角度給出了相應的建議和策略。
責任編輯:葉雨田
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
現貨模式下谷電用戶價值再評估
2020-10-10電力現貨市場,電力交易,電力用戶 -
PPT | 高校綜合能源服務有哪些解決方案?
2020-10-09綜合能源服務,清潔供熱,多能互補 -
深度文章 | “十三五”以來電力消費增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量
-
PPT | 高校綜合能源服務有哪些解決方案?
2020-10-09綜合能源服務,清潔供熱,多能互補 -
深度文章 | “十三五”以來電力消費增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量 -
我國電力改革涉及的電價問題
-
貴州職稱論文發表選擇泛亞,論文發表有保障
2019-02-20貴州職稱論文發表 -
《電力設備管理》雜志首屆全國電力工業 特約專家征文
2019-01-05電力設備管理雜志 -
國內首座蜂窩型集束煤倉管理創新與實踐
-
人力資源和社會保障部:電線電纜制造工國家職業技能標準
-
人力資源和社會保障部:變壓器互感器制造工國家職業技能標準
-
《低壓微電網并網一體化裝置技術規范》T/CEC 150
2019-01-02低壓微電網技術規范
-
現貨模式下谷電用戶價值再評估
2020-10-10電力現貨市場,電力交易,電力用戶 -
建議收藏 | 中國電價全景圖
2020-09-16電價,全景圖,電力 -
一張圖讀懂我國銷售電價附加
2020-03-05銷售電價附加
-
電氣工程學科排行榜發布!華北電力大學排名第二
-
國家電網61家單位招聘畢業生
2019-03-12國家電網招聘畢業生 -
《電力設備管理》雜志讀者俱樂部會員招募
2018-10-16電力設備管理雜志
