【摘要】伴隨著企業(yè)信息化的發(fā)展，信息安全越來(lái)越受到重視。針對(duì)當(dāng)前信息安全存在的問(wèn)題，作者進(jìn)行了調(diào)查，分析了其中的原因，最后從管理學(xué)的角度提出了相關(guān)的策略和建議。
【關(guān)鍵詞】信息化　信息安全管理　企業(yè)管理
1、引言
隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣，各機(jī)關(guān)組織和企事業(yè)單位都開(kāi)展各類管理業(yè)務(wù)的信息化建設(shè)。企業(yè)的發(fā)展運(yùn)作離不開(kāi)信息系統(tǒng)的安全運(yùn)行。信息安全通過(guò)保護(hù)企業(yè)信息的機(jī)密性、完整性和可用性，不僅保護(hù)了企業(yè)各類信息資產(chǎn)的安全，還能增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力，維護(hù)企業(yè)的形象和信譽(yù)。信息安全對(duì)企業(yè)的生存和發(fā)展而言是至關(guān)重要的，需要從戰(zhàn)略的高度對(duì)信息安全進(jìn)行規(guī)劃和管理。
2、企業(yè)中信息安全管理經(jīng)常存在的問(wèn)題
日常安全管理中存在的主要問(wèn)題，首先是用戶安全意識(shí)和觀念薄弱，占58%；第二位的是網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn)，占39%；其后，依次是保障經(jīng)費(fèi)投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。
不僅在日常管理中，在技術(shù)管理方面也存在一定的問(wèn)題。在CSDN泄密門事件中，專業(yè)IT博客“月光博客”撰文表示，“整個(gè)事件最不可思議的地方在于，像CSDN這樣的以程序員和開(kāi)發(fā)為核心的大型網(wǎng)站，居然采用明文存儲(chǔ)密碼”，“稍微懂一點(diǎn)編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫(kù)里保存用戶密碼的加密信息，這樣黑客即使下載了數(shù)據(jù)庫(kù)，破解用戶密碼也不是一件容易的事情”。可見(jiàn)，有些涉及技術(shù)方面的問(wèn)題，也并不是單純的技術(shù)問(wèn)題，而是與技術(shù)人員安全意識(shí)不強(qiáng)、責(zé)任心不到位有關(guān)。
為了了解企業(yè)內(nèi)部員工在信息安全問(wèn)題上的看法及所做的努力，我們對(duì)一家電子商務(wù)企業(yè)和一家銀行的部分工作人員進(jìn)行了問(wèn)卷和訪談?wù){(diào)查，發(fā)現(xiàn)在企業(yè)員工中存在如下一些問(wèn)題：
信息安全意識(shí)方面，被調(diào)查者認(rèn)為信息安全對(duì)企業(yè)和個(gè)人都非常重要。但大多數(shù)受訪者對(duì)信息安全的問(wèn)題了解很少。
很多受訪者認(rèn)為信息安全屬于技術(shù)人員的事情，與技術(shù)人員的交流非常少，且忙于業(yè)務(wù)，沒(méi)有時(shí)間去處理。
用戶認(rèn)為信息安全管理措施效果不好。有些信息安全行為的規(guī)范標(biāo)準(zhǔn)雖然掛在網(wǎng)上或貼在墻上，很少有人去關(guān)注；公司發(fā)動(dòng)的信息安全的培訓(xùn)活動(dòng)沒(méi)有收到好的效果。
3、信息安全問(wèn)題的根源
通過(guò)對(duì)調(diào)查的結(jié)果進(jìn)行深入分析，發(fā)現(xiàn)導(dǎo)致信息安全事件頻發(fā)、風(fēng)險(xiǎn)損失嚴(yán)重的原因從根本上來(lái)說(shuō)，有以下幾個(gè)方面：
信息安全是一個(gè)多維問(wèn)題，涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問(wèn)題上往往涉及多個(gè)部門。有些情況下，無(wú)法明確責(zé)任，使得信息安全得不到應(yīng)有的重視以及有效的管理。
風(fēng)險(xiǎn)平衡理論認(rèn)為，人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。這與你采用多少的安全防護(hù)措施無(wú)關(guān)。有時(shí)即使有條件可以達(dá)到絕對(duì)安全的狀態(tài)，由于人性的緣故，也不會(huì)那樣去做。
信息安全與效率和便利性本身是矛盾的。信息安全加強(qiáng)了，受到的約束也就多了，相應(yīng)的效率也就降低了。比如簡(jiǎn)單規(guī)律的密碼，可以不必費(fèi)力去記；插入U(xiǎn)盤時(shí)進(jìn)行殺毒，必然要耽誤時(shí)間；沒(méi)有接入網(wǎng)絡(luò)，不可能受到網(wǎng)絡(luò)攻擊，但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡(luò)交流的自由，因此有人半開(kāi)玩笑地說(shuō)：“最安全的計(jì)算機(jī)是拔掉網(wǎng)絡(luò)的那臺(tái)計(jì)算機(jī)”。
由于某些緣故，網(wǎng)絡(luò)中總是存在黑客，專門竊取信息或破壞網(wǎng)絡(luò)系統(tǒng)。他們的水平都非常專業(yè)，一般的用戶難以預(yù)防。所謂“道高一尺，魔高一丈”，信息安全的水平總是在這種攻擊與防守中進(jìn)步的。
信息安全問(wèn)題的不確定性。信息安全問(wèn)題的不確定性主要指是否發(fā)生風(fēng)險(xiǎn)的不確定性、無(wú)法精確地評(píng)估當(dāng)前所面臨的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生所帶來(lái)?yè)p失的難以把握。
所有這一切因素，都使得信息安全無(wú)法得到有效的關(guān)注和重視，無(wú)法采用有效的措施來(lái)預(yù)防和避免。這也是導(dǎo)致信息安全事件發(fā)生頻率居高不下，風(fēng)險(xiǎn)損失較大的主要原因。
4. 相關(guān)的建議和策略
針對(duì)企業(yè)信息安全的問(wèn)題，文章運(yùn)用管理學(xué)的理論進(jìn)行論述。企業(yè)管理涉及四個(gè)功能：計(jì)劃、組織、領(lǐng)導(dǎo)、控制。
從計(jì)劃的角度來(lái)看：企業(yè)應(yīng)當(dāng)確立信息安全的發(fā)展戰(zhàn)略，從戰(zhàn)略的高度來(lái)對(duì)待和管理信息安全，確保信息安全所引發(fā)的風(fēng)險(xiǎn)達(dá)到可以接受的范圍之內(nèi)。從全局角度制定信息安全的策略，確立信息安全的目標(biāo)，以及實(shí)現(xiàn)目標(biāo)需要的行動(dòng)方案。
從組織的角度來(lái)看：人力資源管理的觀點(diǎn)認(rèn)為，企業(yè)的組織結(jié)構(gòu)，取決于組織戰(zhàn)略。在許多企業(yè)組織結(jié)構(gòu)中，只有技術(shù)部門，沒(méi)有信息安全管理部門。有專家曾討論過(guò)，技術(shù)管理與安全管理兩個(gè)部門必須設(shè)置成為兩個(gè)獨(dú)立的部門，否則無(wú)法保證安全評(píng)估的客觀性。因此有必要設(shè)置一個(gè)專門負(fù)責(zé)信息安全管理的部門，這個(gè)部門并不負(fù)責(zé)具體的技術(shù)，但是要懂技術(shù)，主要是開(kāi)展企業(yè)的安全培訓(xùn)和日常的安全管理工作，及對(duì)存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，最大限度地降低安全風(fēng)險(xiǎn)。
從領(lǐng)導(dǎo)的角度來(lái)看：根據(jù)wilde的風(fēng)險(xiǎn)平衡理論，一個(gè)人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。“風(fēng)險(xiǎn)平衡”觀念會(huì)讓整個(gè)機(jī)構(gòu)處于盲目樂(lè)觀的狀態(tài)，不管是企業(yè)的員工還是管理者都傾向于追求效率，從而忽視信息安全的投入。
在企業(yè)的管理過(guò)程中，應(yīng)當(dāng)加強(qiáng)信息安全、風(fēng)險(xiǎn)意識(shí)方面的培訓(xùn)和教育，增進(jìn)員工與技術(shù)人員面對(duì)面的溝通與交流，開(kāi)展有效的安全意識(shí)活動(dòng)。
從控制的角度來(lái)看：對(duì)風(fēng)險(xiǎn)的控制要求企業(yè)對(duì)自己的安全狀況不斷評(píng)估，時(shí)時(shí)防范。這就要求安全管理部門每隔一定時(shí)間向上匯報(bào)信息安全的進(jìn)展情況，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。
5. 結(jié)語(yǔ)
文章從管理學(xué)的角度來(lái)分析信息安全風(fēng)險(xiǎn)管理，對(duì)信息安全問(wèn)題做了實(shí)地調(diào)查，分析了目前信息安全存在的一些問(wèn)題，并對(duì)存在問(wèn)題的根源進(jìn)行了深入分析，最后文章運(yùn)用管理學(xué)的理論，從計(jì)劃、組織、領(lǐng)導(dǎo)、控制四個(gè)角度給出了相應(yīng)的建議和策略。