| 在信息化管理体系建立的过程中,信息安全管理体制的建设成为其中的关键一环。信息化为我们提供了科学、便捷、智能化的管理工具和手段,但在实际的操作过程中却出现了一系列问题,给信息的拥有者、管理者造成了巨大的困扰,特别是对于企业来讲,必须通过提高管理者对这一问题的认识,规范监督使用者的操作行为,用相应的制度去约束成果共享、数据共享、信息共享的行为,杜绝数据信息使用的随意性。 我国企业信息安全管理存在的问题 电子商务政务信息安全的问题相对突出。目前对电子商务政务信息系统进行侵害的主要方式有:偷窃、分析、冒充、篡改等。我国企业的信息网络系统存在着突出的安全隐患,网络犯罪与信息犯罪情况日益增多。近年,金融机构内部利用计算机犯罪的个案大幅度增加,机密文件在网上泄露的案件屡有发生,造成了重大的损失。 我国企业网络安全管理的主要问题大致分为三类:一类是缺乏基本的企业防毒知识,购买一些单机版防毒产品来防护整个企业网络的安全,二是采购了并不适合自身网络系统的企业防毒产品,因此留下许多安全隐患,三是技术力量薄弱,虽然部署了企业防毒产品,但是这些产品操作难度大、使用复杂,最终导致很难全面发挥效用,甚至成了摆设。 之所以出现这种现象,主要在于目前许多企业单位在防毒和安全产品的选择上,出于节约采购费用和使用成本等方面的考虑,企业在选择防毒和安全产品等方面没有选择到真正适合企业自身网络环境的产品,而自身的技术操作水平往往又制约了软件功能的发挥。“三分技术,七分管理”是信息安全领域的至理名言。在采购和使用安全产品时,既要重视产品的管理功能、解决方案,还要关注部署和使用时对企业安全管理人员的技术水平的要求。 现有解决方案及存在问题 为了抵御目前复杂的安全威胁,多数《财富》(Fortune) 1000 强企业为此而付出的年均成本高达500万~1000万美元。多数企业都是通过投资购置防病毒软件、防火墙、公钥基础设施(PKI)以及入侵检测系统(IDS),由安全操作员监控整个企业中的活动来揭示网络攻击或漏洞而进行外围防护的。他们以手工方式来处理每台安全设备中所包含的极大量信息,并创建关于正在发生事件的全面视图。这些设备的数量每年都会大幅增加。外围防御战略的最显著特征之一就在于安全基础设施中每台设备会产生极大量的事件数据。在一个一般的企业中,一台设备每一天都会产生多达10亿字节的告警信息。同样,一个IDS检测器每一天也可产生50多万条消息。这就表明了安全管理的一个首要问题:安全设备所产生的数据量实在太多,导致安全团队无法有效监控。 以安全分析方法为基础建立法律分析系统的过程既耗费时间又代价高昂,而且还会占用本可用于其他更有价值的运营或安全活动的专家资源。此外,传统的安全数据分析方法需要若干天或若干周来执行。到分析结束时,网络也许已经遭到了若干次攻击,并可因数据盗窃、客户和合作伙伴失去服务或机构生产效率降低等而导致重大损失。 不难看出,企业信息化发展到一定阶段,建设重点就会从系统实施转向以应用提升为主,运维保障、安全机制变得重要起来,这时除了技术的保障以外,制度保障越显得重要。信息管理制度是使信息系统正常运行和推广应用公司正规化文件发布的规章制度,它涉及计算机系统的使用、计算机机房的管理、计算机网络管理、信息系统的使用和推广等。它通过公司规章化和内部法律化形式,来建立信息系统稳定、有效运行的运行机制。加强制度建设和科学规范的管理,是信息系统能够正常运转、有效应用和推广的保证。 从我国企业信息化工作发展的现状看,虽然各企业在信息管理方面都有一些初步制度,但是由于这项工作在企业中并不受重视,且缺乏系统性研究,面临着很多问题,企业的信息管理制度的不完善,造成企业信息化发展不均衡和高失败率高,也是企业信息化不能深入开展的重要原因之一。 企业信息化管理制度的内容一般包括:制定本项制度的目的,制度适用范围、制度涉及的人、部门的任务、职责以及要约束的具体内容,对违反和维护制度的人、部门的奖励和惩罚的具体内容等。企业信息化制度类型和有关内容要根据企业的自身情况而设定,要基本履盖企业的信息管理内容。目前,企业的信息管理制度主要存在两方面的问题:一是企业信息化管理制度的内容不完整、制定的方法不科学,企业信息化制度制定工作缺乏科学、规范、合理、全面的方法。从总体上看,目前企业信息化管理制度内容,侧重硬件和网络方面的制度管理,而缺乏对软件、IT流程管理、IT资源的内容管理,企业信息化制度不能科学全面地覆盖各项信息管理工作,造成信息管理上的漏洞;二是企业信息化制度流于形式,缺乏必要的约束力。由于企业信息化管理制度体系不健全,企业信息化制度多数成为企业项目建设档案保存或作为应付对企业相关检查的材料,信息化制度只是形式,对于违反制度行为和相关人员的并没有任何直接约束,影响到企业信息化制度工作的权威性,制约着企业信息化工作的深入开展。 今天,信息安全已经正式成为我国一个产业。目前,我国的信息安全产品市场规模已经超过7亿元人民币,专门从事信息安全产品生产的企业已超过1000家。安全管理是现代企业管理的一个重要组成部分,随着传统企业向现代企业的转型,安全管理在企业的整体管理活动中也将占据越来越重要的地位。 附录:最近2年媒体公开披露的部分企业信息危机案例 2008年3月,央视3·15晚会惊爆全国一半手机用户信息泄露。 2008年3月,青岛2.6万个车主私人信息泄露,包括家庭住址、车牌号、车型等。 2007年9月,美国交易公司的经济公司被披露,有人入侵了他们其中一个系统,窃取了超过6200万零售业和公共团体用户的合同信息,诸如名称、地址和电话号码。 2007年8月,Monster.com大约有1600万求职者的姓名、电子邮件地址、邮箱地址、电话号码和简历ID通过访问了Monster.com的简历数据库泄露。 2007年7月,富达国民信息服务公司一家子公司Certegy Check Services的资深数据库管理员非法下载数据并将其出卖给经纪人,导致超过8500万个人信息泄露。 2007年5月,惠普把一封内部电子邮件意外地发给了外部人员泄露了财务信息,被迫在美国股票市场当期开盘之前公布最新的财报指南。 2007年4月,麦肯锡证实利用Google提供的搜索功能可以很容易得到麦肯锡公司内部通信会议的拨号号码和口令。 2007年2月,全美第二大的超市连锁公司Supervalu被钓鱼者伪造的两家公司验证供应商银行账户的电子邮件所欺骗,向这两个账户汇入1000万美元。 2007年,Gary Min在离职杜邦前5个月秘密下载和访问公司机密文件(价值约4亿美元),此事件直至他投奔竞争对手后才被披露。 2007年,曾担任洛杉矶3G通讯公司安全顾问的John Schiefer在25万台pc上大规模运行僵尸网络,并进一步感染到其他的机器。他还利用间谍软件窃取银行和Pay Pal账户信息。 2007年,美国TJX零售公司发生4500多万客户的信息卡及保密资料丢失事件,导致客户和银行业对其提起诉讼,最终TJX公司向客户赔付1.01亿美元,并承受严重的企业声誉损失。 更多资讯请关注销售与市场微信公众号。  责任编辑: 赵艳丽 责任校对: 肖亚超 审核:徐昊晨 免责声明:本网部分文章来源于第三方平台,不代表本网观点,如有侵权请联系我们删除! |
销售与市场官方网站
( 豫ICP备19000188号-5 ) 
GMT+8, 2026-3-8 07:18 , Processed in 0.038316 second(s), 19 queries .
