浅议企业信息安全管理与风险控制

浅议企业信息安全管理与风险控制浅议企业信息平安管理与风险控制

一、引言

企业经营信息对于企业来说是一种资源，对于企业自身来说具有重要意义，企业需要妥善管理自身企业的信息。近年来，企业的各项经营活动都逐渐开始通过计算机，网络发展，因此，企业的信息平安管理对于企业越来越重要。许多企业开始通过各种技术伎俩以及制度改革，把更多的注意力放在企业内部的信息平安管理工作，同时将企业信息平安管理与风险控制结合起来，这是一个正确的选择，能够帮忙企业实现稳定经营。在介绍企业信息平安管理以及风险控制前必须厘清企业信息平安管理的概念与企业风险控制定义，因此，本节将着重介绍企业信息平安管理的概念以及企业风险控制的定义。

企业的信息平安管理包含十分丰盛的内容，简单来说是指企业通过各种伎俩来爱护企业硬件和软件，爱护网络存储中的各种数据不受偶然因素的破坏或者歹意的原因被攻击。对于信息平安的认定通过包括4个指标，即保证信息数据的完整，保证信息数据不被泄露，保证信息数据能够正常使用，保证信息数据能够控制管理。要想做好企业的信息平安管理，首先需要了解的是关于信息的传输方式。随着信息技术的不断遍及，信息传递的方式越来越多，常见的信息传递方式主要有互联网传播，局域网传播，硬件传播等等。要想实现企业的信息平安管理，其中很重要的一项工作在于爱护信源、信号以及信息。信息平安管理是一项需要综合学科知识根底的工作，从事企业信息平安管理工作的人员通过需要具有网络平安技术、计算机技术、密码技术、通信技术。从企业的信息平安管理来讲，最为关键的一项工作时爱护企业内部经营信息数据的完整。经过近十年来的企业信息平安管理工作经验总结，企业信息平安不仅仅需要信息技术的支持，更需要通过建立完善的企业风险控制体系来帮忙企业实现更好地爱护企业信息平安的目标。

所以，怎样把企业信息平安管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息平安风险控制必须通过企业建立完善的企业信息平安风险体系实现。企业的信息平安风险控制是指企业在企业信息平安遭遇威胁之前，提前对企业的信息进行风险预估，并采取一系列的有针对性的活动降低企业面临的信息平安风险，从而尽可能减少因为企业本身信息平安管理中存在漏洞给企业带来不必要的损失。常见的企业信息平安风险体系建立主要包含下列几个方面的内容。第一，建立企业信息平安风险管理制度，明确企业信息平安管理的责任分配机制，明确企业各个部门对各自信息平安所应承当的责任，并建立相应的问责机制。第二，设置标准的企业信息平安风险管理指标，对企业存在的可能威胁企业信息平安管理的漏洞予以风险定级，方便企业管理者对不同的信息平安管理漏洞采取有区别的对策。第三，企业要加强对信息平安管理人员的培训，提高企业信息平安管理工作人员的风险意识，让企业内部从事信息平安管理工作人员认识到自身工作的重要性，让企业内部从事信息平安管理工作人员了解到标准自身行为，正确履行职责的重要性。第四，将企业信息平安管理与风险控制有效融合，重视企业信息平安管理工作，通过风险控制对企业内部信息平安的管理方式进行正确评估，找出现行的企业内部信息平安管理伎俩中存在容易无视的地方。

二、企业信息平安管理与风险控制存在的缺乏

1.企业信息平安管理工作人员素质不高

对于企业来说，企业信息平安管理工作是一项极为重要而隐秘的工作，因此，必须增强对企业信息平安管理工作人员的素质要求。但是根据调查统计，目前很多企业对信息平安工作的管理仅仅停留在对企业信息平安管理工作人员的技术要求上，对企业信息平安管理工作人员的道德素养，职业素养，风险意识并没有严格要求。此外，绝大多数企业并没有意识发展对企业信息平安管理工作的道德素质的教育培训，并没有通过建立相关管理制度以及问责机制对企业信息平安管理工作人员实行监督，这无疑给别有用心或者立场不坚决的企业信息平安管理工作人员留下了危害企业信息平安的可乘之机。

2.企业信息平安管理技术不过关

企业信息平安管理工作波及多许多技术，包括信息技术，计算机技术，密码技术，网络应用技术等等，应当说成熟的计算机应用技术是做好企业信息平安管理的根底，但是，现实是许多企业的信息平安管理技术并不过关，一方面企业的信息平安管理硬件并不过关，在物理层面对企业信息不足爱护，另一方面，企业信息平安管理工作的专业技术没有及时更新，一些企业信息平安管理工作人员不足企业信息平安管理的实践经验，企业信息平安管理的知识也并没有及时更新，从而导致企业的信息平安管理理论严重滞后，这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂，很多效劳器、系统提示平安补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业，企业内部设备数量比拟多，尤其是客户端数量占了较大比重，仅仅靠少数几个管理员进行管理是难以承当如此大量的工作量。另外，企业信息平安管理系统不成熟也是一个重大的隐患。

3.企业信息平安管理制度不健全

企业信息平安管理制度不仅仅需要理论制度的完善，更加需要一系列配套监督机制保障企业信息平安管理的有效执行。通过调查分析，许多企业虽然建立了企业信息平安管理制度，但是通常情况下，这些制度只能流于形式，企业信息平安管理工作短少有效的制约和监督，企业信息平安管理工作人员不足执行力。企业信息平安管理制度不健全，企业信息平安管理工作不足执行力常常体现在下列几个方面。第一，企业员工对于信息平安管理的认识严重缺乏，对企业信息平安管理工作不重视。企业内部计算机系统平安的计算机防病毒软件并没有及时更新，使用，甚至企业内部计算机的防病毒软件还被企业员工卸载了。局部企业员工认为自己的工作与企业信息平安管理不相关，认为做好企业信息平安管理工作仅仅是企业信息平安部门的事。第二，企业内部信息平安管理制度并没有形成联动机制，企业信息平安管理工作仅仅由企业信息平安部门“一人包干〞，企业信息平安反映的问题并没有得到积极的反应，一些企业领导对企业信息平安现状所了解的少之又少。三、企业信息平安管理常见的技术伎俩

1.OSI平安体系结构

OSI概念化的平安体系结构是一个多层次的结构，它的设计初衷是面向客户的，提供应客户各种平安应用，平安应用必须依靠平安效劳来实现，而平安效劳又是由各种平安机制来保障的。所以，平安效劳标志着一个平安系统的抗风险的能力，平安效劳数量越多，系统就越平安。

2.P2DR模型

P2DR模型包含四个局部：响应、平安策略、检测、防护。平安策略是信息平安的重点，为平安管理提供管理途径和保障伎俩。因此，要想实施动态网络平安循环过程，必须制定一个企业的平安模式。在平安策略的指导下实施所有的检测、防护、响应，防护通常是通过采用一些传统的静态平安技术或者办法来突破的，比方有防火墙、访问控制、加密、认证等办法，检测是动态响应的判断依据，同时也是有力落实平安策略的实施工具，通过监视来自网络的入侵行为，可以检测出骚扰行为或错误程序导致的网络不平安因素；经过不断地监测网络和系统来发现新的隐患和弱点。在平安系统中，应急响应占有重要的地位，它是解决危险潜在性的最有效的方法。

3.HTP模型

HTP最为强调企业信息平安管理工作人员在整个系统中的价值。企业信息平安工作人员企业信息平安最为关键的参与者，企业信息平安工作人员直接主导企业信息平安管理工作，企业信息平安工作人员不仅仅是企业信息平安的保障者，也是企业信息平安管理的威胁者。因此，HTP模型最为强调对企业信息平安管理工作人员的管理与监督。另外，HTP模式同样是建立在企业信心平安体系，信息平安技术防备的根底上，HTP模式采取了丰盛的平安技术伎俩确保企业的信息平安。最后，HTP强调动态管理，动态监督，对于企业信息平安管理工作始终保持高强度的监督与管理，在实际工作中，通过HTP模型的应用，找出HTP模型中的漏洞并不断完善。

四、完善企业信息平安管理与降低风险的倡议

1.建设企业信息平安管理系统

〔1〕充沛调查和分析企业的平安系统，建立一个全面合理的系统模型，平安系统被划分成各个子系统，明的确施步骤和功能摸块，将企业常规管理工作和平安管理联动协议相融合，实现信息平安监控的有效性和高效性。

〔2〕成立一个中央数据库，整合分布式数据库里的数据，把企业的所有数据上传到中央数据库，实现企业数据信息的集中管理与有效运用。

〔3〕设计优良的人机界面，通过对企业数据信息进行有效的运用，为企业管理阶层人员、各级领导及时提供各种信息，为企业领导的正确决策提供数据支持，基本上提高信息数据的管理水平。

〔4〕简化企业内部的信息传输通道，对应用程序和数据库进行程序化设计，加强对提高企业内部信息处理的标准性和准确性。

2.设计企业信息平安管理风险体系

〔1〕确定信息平安风险评估的目标

在企业信息平安管理风险体系的设计过程中，首要工作是设计企业信息平安风险评估的目标，只有明确了企业信息平安管理的目标，明确了企业信息平安管理的要求和工作能容，才能建立相关围绕信息平安风险控制为目标的信息平安管理工作制度，才能顺利通过对风险控制的结果的定量考核，检测企业信息平安管理的风险，定性定量地企业信息平安管理工作进行分析，找准企业信息平安管理的工作方法。

〔2〕确定信息平安风险评估的范围

不同企业对于风险的承受能力是有区别的，因此，对于不同的企业的特殊性应该采取不同的风险控制方法，其中，不同企业对于能够