【H企业信息安全管理对策7400字】

H企业信息安全管理对策摘要随着大数据和云计算等新兴技术的推广，日新月异的信息技术已全面渗透到当代生活，上至国家战略，下至个人隐私都受到了不同程度的影响。信息安全管理虽然不能产生直接的经济效益，但是如何保障企业信息资安全产，尽可能降低所面临的信息安全风险，是每一名企业高层管理者都必须解决的问题。本文首先介绍了信息安全管理的学术背景，并提出所研究的问题、目的和意义、思路和方法，对国内外学者或组织所提出的相关理论知识体系进行研究并阐述；其次以H企业作为研究对象，根据其运行的信息安全管理体系阐述了信息安全建设的内容，从企业信息安全管理的角度出发，对其信息安全管理现状进行剖析，发现存在的信息安全管理问题，并归纳分析原因；再次针对问题提出相应的改善措施，帮助H企业完善信息安全管理，强化信息安全监管责任，提高信息安全水平，并举例说明了H企业实施信息安全管理改善措施后预期达到的的成效；最后对公司实施信息安全管理进行了总结评价和未来展望。本文研究的目的在于改善H企业的信息安全管理，对其他大中型制造业和船舶制造上下游供应商公司的信息安全管理有一定的参考和借鉴价值。关键字：信息安全；安全管理；信息系统目录TOC\o"1-3"\h\u609引言 1500一、信息安全管理相关理论 114550（一）信息安全 112746（二）信息安全管理 129394（三）信息安全管理的相关标准与体系 224062二、H公司信息安全管理现状 315324（一）H公司及信息化概况 31421（二）H公司信息安全管理问题分析 331305（三）问题分析 429593三、H公司信息安全管理改善方案 623115（一）信息安全管理的组织与职责改善 625279（二）信息安全管理的安全意识改善 613946（三）信息安全管理的安全技术设施与手段改善 719449四、结论 74506参考文献 8引言企业信息安全需要大量的人力和物力投入，以便可以更充分地进行研究。关于安全技术和管理的问题是每个人的关注和人们一直在讨论的话题。实际上，我们无法进入难以回答的讨论，但我们应该分析企业的安全需求。根据需要，制定相应的技术和管理方案，在此阶段，网络安全不再是单个组织或个人的预防措施，而是随着整个社会对信息安全意识的觉醒而形成的完整的网络安全产业。随着企业网络安全意识的增强，网络安全市场的规模也在逐年增加，安全产品和安全解决方案也正在陆续出现。作为一般企业，如何根据企业的需求建立全面的网络安全策略并形成自我整合网络安全解决方案是本文的重点。一、信息安全管理相关理论（一）信息安全信息安全是指保护信息网络及其系统中的软件和硬件中的数据和信息，以防被意外，恶意的原因篡改。信息安全主要包括机密性，真实性和完整性三个方面，称为CIA。完整性是指确保在数据的传输和存储过程中不会对数据进行未经授权的篡改，或者确保可以在篡改之后及时发现数据。机密性是指未经授权的用户未使用的信息；真实性是指原始数据信息的准确性和一致性。未经授权的复制意味着未经信息所有者的授权，不得复制和传播信息，它们之间的关系是互补和必不可少的。（二）信息安全管理信息安全管理主要是对信息系统的数据进行整合分析并管理控制，以达到信息安全的实现。信息的完整性、保密性以及可用性在不同的企业或是企业的不同阶段占有不同的地位，信息安全的三大属性缺一不可。对于大多数企业而言，信息安全管理则注重信息资产的保密性，即是保证信息的使用权限。而信息的完整性以及可用性则作为信息安全管理的次要属性。对于企业而言，除了商业固定和非固定资产，大量生产、经营和交易过程中产生的记录和信息，也是一种有价值的资产。这些信息以纸张文档的形式或以电子信息的形式存储下来，作为企业的信息资产，同样需要得到重视和保护。信息安全管理是保护信息资产的基础。为了保障信息系统的安全稳定运行，需要对信息系统和企业组织进行综合思考和统一规划，通过一系列管理措施，实现信息安全目标的相互关联与作用。因此，企业的信息安全管理不仅仅是单纯的技术活动，也是企业管理的核心组成部分。信息安全管理的目标是对信息风险实施合理风险评估，采取恰当的预防手段避免信息风险，尽量消除信息漏洞，以确保业务连续性，最小化业务风险，最大化投资回报。我国公安部发布的《计算机信息系统安全等级保护网络技术要求》中指出信息安全管理包括:落实安全组织及安全管理人员；制定业务持续性计划和灾难恢复计划；明确角色与职责的界定；以安全意识与安全教育为中心的人员安全管理制定符合企业战略的安全规划；积极开发安全策略；妥善实施信息安全风险管控；定期进行安全审计；选择与落实安全策略；保证软硬件配置、变更的正确与安全:保证和维护支持；全面监控、检查，处理安全事件等诸多方面。综上所述，信息安全管理是以科学管理的理念为主，信息技术的手段为辅，对信息系统及信息数据的整合管理，以此来控制企业的商业运营过程，并保证信息的完整性、可用性和机密性的一项体制。信息安全管理的内涵包括技术、管理和人的因素，以及与人相关的其他因素。从法律的高度看，有各种信息安全相关的法规政策等；从组织的角度考虑，有安全管理组织文化，安全教育与培训，安全应急计划和安全业务管理等；从个人的视角观察，有文化水平，法律意识，职业素质，个人行为，心理因素等。以上这些都是建立信息安全体系的基础。（三）信息安全管理的相关标准与体系信息安全管理体系（InformationSecurityManagementSystem.ISMS）是一种管理体系（ManagementSystem），国际信息安全标准BS7799最早提出了这个概念，认为信息安全管理体系可以看作为一个集合，这个集合涵盖了一切信息安全所面临的的风险。为了降低信息安全风险至可以接受范围内的最低水平，企业应设计与自身情况相符合的政策、流程和系统并有效实施和管理，最大限度地减少企业信息资产所受威胁。信息安全管理体系是在组织的整体或特定范围内，首先制定与企业战略规划一致的信息安全方针和安全目标，其次确立管理组织架构并明确各个职能部门或人员的管理职责，再次通过信息安全风险评估明确所有安全要素与控制目标，并制定相应控制策略和防护措施，最后完成信息安全体系的建立并实现信息安全目标而采取的一些具体组织管理活动的集合。在体系建成后，组织应严格执行体系流程与规定，并将体系的运行过程文件化。具体的体系文件是体系正常运行的有效依据，通过将被保护的信息资产、控制目标、风险评估方法和对应策略和技术保障文件化，形成了高效稳定的信息安全管理制度。信息安全管理体系从人的行为、技术和流程三个角度出发，系统化管理和保护企业的信息资产，从而保障企业业务持续稳定运行、有效减少企业面临的信息安全威胁并控制信息安全事件发生后所影响的范围。信息安全管理体系不仅仅是具体的数据体现，也可以通过集成所有的方案进而升华为企业文化的一部分。与质量管理、环境管理等所有的管理活动类似，信息安全管理是一个持续改进的过程，因此体系需要不断自我完善以适应组织的内外环境变化，从而保持在长时间范围的一致性和有效性的。二、H公司信息安全管理现状（一）H公司及信息化概况1、H公司概况N公司是一家大型中外合资船舶制造公司，是在我国成长起来的本土“中国制造”公司，也是外资股东在海外参与投资最成功的项目之一。公司主要从事中、高端船舶的研发和建造，产品类型涵盖各型散货船、大型集装箱船、超级油轮、矿砂船、汽车滚装船等主流船型，以及多用途船、双燃料动力船、LNG船等特种船。通过高起点引进先进的造船技术和生产管理模式，结合中方的经营管理经验，持续实施创新驱动发展策略。公司成功实现了从4.7万吨散货轮→5400TEU集装箱船→30万吨VLCC油轮→SOOOPCC滚装船→6200PCC滚装船→30万吨VLOC矿砂船→10000TEU集装箱船→13386TEU集装箱船的跨越，取得了令造船业界所瞩目的成绩。随着重吊船、4000PCTC双燃料船舶运输船以及20000TEU集装箱船的成功建造，公司又迈上一个新台阶。2、H公司信息安全管理主要内容N公司信息安全管理的主要范围涉及为设计、营业、采购、制造、人事、事务、安全、工务、质量保证、财务等与造船相关的全部业务。受保护的核心技术有:船舶设计和建造，包括:引进的ERP系统、数字化设计系统、OA办公自动化系统以及自主开发系统包括:备件管理系统、售后服务微信系统、业务数据维护系统以及用户管理系统及与上述服务相关的基础设施和人员。（二）H公司信息安全管理问题分析1、部分岗位职责说明不完全对于制造业来说，大量的设计图纸作为重要的数据必须被妥善的处理和保护。图纸是船舶产生的第一步，也是船舶制造业核心数据最重要的部分。图纸是公司重要的信息资产，对于图纸数据的保护成为信息时代保护船舶制造业数据安全重要的课题之一。H企业目前虽然在设计阶段实现了电子化，但是在设计阶段之后的部分环节仍然使用纸质图纸。图纸作为企业生产的核心内容，会被发放至相关的领导，管理、生产、供应等部门。各个相关部门都配备了图纸管理员，负责技术纸质图纸的接收、入柜储存、发放，但是没有明确制定图纸管理员的岗位职责，对接收的纸面信息资产没有很好的管理。2、信息安全意识薄弱根据“人机料法环”的管理理念，信息安全管理工作的重要组成部分之一就是对人员的管理，安全意识又是人员管理的重心。在H企业日常运营中，我们发现了很多人员信息安全意识薄弱而导致的不安全行为。这些行为不仅会直接带来信息安全威胁、间接影响公司盈利，特别恶劣的甚至会带来名誉上不可估量的损失。这些不安全行为主要包括:工作人员在离开座位时没有对计算机进行锁屏而任由其自动进入屏幕保护状态；下班后电脑没有及时关闭，常常连续开机一周；各部门内部公用的计算机出于方便共享的目的，将用户名和开机密码放置在桌面上或其他显眼处；保密类资料的打印与放置非常随意，没有及时放置到指定保险柜中；虽然公司设置了下载权限，但还是有员工通过各种渠道安装未经过安全检测的应用软件；现如今自媒体的传播力量不可小觑，在未经公司审核授权的情况下将与公司有关的信息发布在微信、微博等自媒体上同样容易导致信息泄露。3、数据备份能力亟待提高H企业建立后，主要通过光盘、磁带、移动硬盘完成重要系统和数据的备份。由于各系统数据采用不同的介质和设备进行备份，备份数据的管理、安全性和完整性有所欠缺。因此公司于2012年开始，通过导入COMMVAULT软件和存储设备实现了本地数据的集中存储备份，通过合理的备份策略保障系统数据的安全性和完整性。随着信息系统的不断更新和发展，特别是公司大力推进智能制造项目后，公司对信息系统数据的依赖性不断提高，目前备份技术己不足以应对。上级公司在采购行为专项审计时，也提出这方面的担忧。为避免重大灾害后无法恢复重要数据，公司需要及时地提高数据备份的能力。（三）问题分析1、信息安全管理的组织与职责方面管理层次受到组织规模和管理幅度的影响。它与组织规模成正比:组织规模越大，包括的成员越多，则层次越多；在组织规模己定的条件下，它与管理幅度成反比:主管直接控制的下属越多，管理层次越少，相反，管理幅度减小，管理层次则增加。管理层次较多管理幅度较小的组织结构称之为锥形结构，管理层次较少管理幅度较大的组织结构称之为扁平结构形态管，这是两种基本的管理组织结构形态。组织结构扁平化是当代企业组织机构变化的趋势，旨在通过精简职能部门和机构、减少管理层级，从而加快信息的流通速度、提高管理层的决策效率。扁平化管理的确能够提高企业的经营效率，但一味追求先进而不考虑组织的实际情况，结果往往会事与愿违。组织结构的扁平化需要相应的技术和人才，对组织所处的外部环境也有一定的要求。如果组织的实际情况和客观实力无法达到要求，则不能盲目追求扁平化的管理组织结构形态。首先上文提到的H企业管理者代表管理幅度不合理就意味着公司管理层次不合理。其次从信息安全管理组织架构图业不难发现，H企业在信息安全管理工作中采用的是典型的扁平化管理模式。最后，H企业信息安全管理代表的管理幅度不合理并非管理者代表个人的原因。因此造成该问题的根本原因是H企业管理层次过少，信息安全组织架构过于扁平化。2、信息安全管理的人员意识方面信息安全管理工作是无法直接产生经济效益的，因此很多企业的高层管理者不但自身缺乏信息安全意识，而且对信息安全管理的工作多是抱着应付上级检查的态度，重视程度严重不足。当前全球造船业整体表现依旧低迷，H企业的工作重心更多的是围绕如何降本增效从而维持公司正常运行这些方面。部分高层管理人员自身对信息安全及其管理理念理解不够透彻，因此非但不能给予信息安全管理工作足够的重视，甚至认为花费大量的人力物力维护信息系统的安全性反而增加了企业的运营成本。他们认为信息安全管理就如同买保险，只有当信息安全事件发生时才能体现其工作价值，但这种情况毕竟很少发生，因此减少对信息安全管理的投入对公司也不一定会造成不良影响。为公司降本增效并展现成本效益的最优配置本无可厚非，但秉持这种理念就很难将信息安全管理工作做到实处。3、信息安全管理的技术方案方面H企业目前使用的均是本地保存备份介质的数据备份手段。事实上，本地备份系统可以满足大多数情况完整备份数据的需求。一旦故障发生，依靠本地联接线路的高速运转，信息系统便可及时恢复常运行。由于只能处理单点故障，因此一旦遭遇毁灭性的灾难，本地备份技术就毫无作用，丝毫不具备灾难后恢复重要数据的能力。与之相对的异地备份技术就具备应对毁灭性灾难的能力，因此能更有效的保障重要数据的安全性，并提升灾难后数据恢复的能力。当毁灭性灾难降临时，通过将数据备份副本存放至异地，进而保护数据的完整性不被破坏，并维持重要业务事项的连续性。异地备份技术能够使信息系统在在灾难发生后的一定时间内迅速恢复正常运行，将损失降到最小程度。为避免重大灾害后无法恢复重要数据，公司需要进行重要数据的异地备份。三、H公司信息安全管理改善方案（一）信息安全管理的组织与职责改善目前将企业的内部管理组织架构分为三个层次的管理理念较为普遍，这三个层次分别为决策层，管理层和执行层。决策层处于组织的顶端，是组织的最高层，一般由企业的最高领导担当。管理层处于决策层之下，执行层之上，一般是组织内部各职能部门的主管，负责各部门具体的管理工作。执行层顾名思义，主要负责监督与执行具体工作。虽然三个层次的工作内容相对独立，但是层次之间的关联又十分紧密，这种组织架构是由高到低呈金字塔式的架构。H企业信息安全组织架构总共分为三个层次:决策层即信息安全管理总负责人:管理层即信息安全管理代表；执行层:各部门信息安全管理担当。为解决管理者代表管理幅度不足，必须改善管理层的组织架构。由于管理者代表在对上即管理总负责人的工作不存在问题，管理者代表管理幅度不足的问题只是针对向下即各部门信息安全担当，故只需在管理者代表与执行层中再增加一层即可。（二）信息安全管理的安全意识改善为完善信息安全管理，除了采取有效的技术措施和安全策略之外，强化员工信息安全意识，树立良好的安全行为规范也是至关重要的。本次改善方案计划从以下几个方面着手解决当前员工信息安全意识薄弱的问题:（1）完善全员信息安全培训机制目前公司涉及到全员的信息安全培训主要集中在新员工入司时与其他项目一起进行的统一培训，入司后如果不是与信息安全管理工作有直接接触的人员往往不再接受相关培训。因此完善培训制度并丰富培训形式，是全员信息安全意识提高的奠基石。具体可采取以下措施:制订全员的定期培训计划；培训后召开交流会，鼓励不同部门员工之间就信息安全展开讨论；有计划性地定期通过信息安全调查问卷等形式，对所培训的信息安全知识进行考核；针对IT部专业人员开设相应的培训课程，加强重要管理岗位的信息安全意识与业务能力。（2）宣传先进的信息安全知识信息安全意识的培养往往是从信息安全知识的宣讲开始的，因此定期普及最新的信息安全知识十分必要。具体可以采取以下措施:定期邀请国内外信息安全专家举行知识讲座，介绍国内外最新态势，普及新型的信息安全知识和技术；一旦国内外发生最新的信息安全事件，及时通过公司电子邮件或公司微信公众号向员工发布相关信息，确保员工在第一时间内掌握信息；由IT部订阅专业的信息安全研究杂志，学习最新知识后通过通俗易懂的方式向全员传达。通过学习先进的信息安全相关知识，认识到企业一旦发生信息安全事件的严重性，从而自发的树立维护信息安全的责任意识并了解自己岗位所担负的信息安全职责。（三）信息安全管理的安全技术设施与手段改善为满足上级公司要求和提高公司信息备份能力，公司于2018年上半年开展远程异地数据备份项目。鉴于H企业和附属公司M公司距离遥远，符合异地备份的地理条件，且H企业和M公司间己部署两条专线，具备数据传输的线路条件。公司计划购置存储设备分别部署到NM两地，运用COMMVAULT软件的备份功能实现异地的重要数据备份。一方面通过备份软件、本地存储设备、磁带库完成对信息系统数据的本地备份，确保各信息系统在发生故障时及时有效的恢复数据。另一方面充分利用H企业和M公司间已有的互联网专线，通过软件实现H企业和M公司重要数据的互相备份。四、结论随着信息技术的飞速发展，各种网络病毒和黑客程序的传播大大提高了企业的安全意识。从最初的读写保护和传输保护