企業信息安全管理問題分析

（中國核能電力股份有限公司，北京 100097）

一、信息安全管理概述

從客觀角度來看，信息是企業的一種資本，需要得到充分保護。信息安全主要是指保護信息以及信息系統免受未得到授權的訪問、應用、披露、更改以及破壞。信息安全的核心任務在于通過相關技術以及管理措施，防止信息資產受到威脅，盡最大可能降低信息安全風險。信息安全管理本質上是一種保護信息機密性的方法，其主要目標在于保障信息安全、信息系統集成度以及優化數據管理[1]。信息安全管理是企業信息安全系統重要的構成部分信息安全管理涉及面較廣，主要包括信息安全策略制定、風險識別、合理設置控制目標、構建標準化操作流程以及信息安全培訓等。通過上述一系列舉措，逐漸形成一個完整的信息安全保障體系，以降低信息風險，為延續企業穩定發展狀態奠定良好基礎。

二、企業信息安全管理常見問題

在信息化時代下，企業信息安全管理愈來愈受到重視，很多企業在信息安全管理也加大了投入力度，獲得了一定程度，但在部分環節上依然暴露了一定問題，主要體現為以下幾個方面。第一，管理機制不夠完善。科學健全的信息安全管理機制是企業落實信息安全管理工作的基本保障，但部分企業，特別是中小企業在相關管理機制方面存在一定缺陷。一些企業在發展過程中會注重短期經濟效益，而忽視長遠戰略發展目標，在信息安全管理機制上不能及時更新內容，細節有所缺失。例如，在員工信息安全意識培養、計算機操作、軟件管理等方面，并未作出詳細規定，再加上軟硬件設施管理不到位，容易出現信息安全缺陷，為非法網絡入侵提供漏洞[2]。第二，技術相對落后。一些企業在信息安全管理過程中主要依托傳統防火墻、殺毒軟件以及簡單的加密技術來構建防御體系。然而隨著網絡技術的快速發展，黑客、木馬病毒等也在不斷升級，傳統技術形成的單一安全防御結構可能無法應對新型非法侵入，容易出現安全漏洞，信息安全形勢愈來愈嚴峻，相關風險愈來愈大。第三，專業人才相對匱乏。部分企業在信息安全管理方面缺乏專業復合型人才支持，導致相關工作“捉襟見肘”。部分信息技術專業人員雖然具備一定程度的信息技術知識儲備，但在管理能力方面存在不足；有些管理人員雖然具備較為豐富的管理經驗，但在信息技術能力方面有所欠缺。事實上，企業信息安全人員不僅需要在縱向上對信息技術領域具有精深的理解，而且橫向上需要對信息系統的整體邏輯乃至企業業務邏輯要有深刻認知，這樣才能將信息安全管理與企業整體運營充分關聯起來。目前來看，部分企業在專業復合型人才儲備方面有所不足，必然會影響信息安全管理實際效能。

三、優化企業信息安全管理的相關策略

1.優化信息安全管理制度

企業在信息安全管理工作開展過程中要推陳出，緊跟時代步伐，除了應用傳統技術外，要從源頭上對相關信息數據進行保護。企業要重視信息安全監督，構建信息通道快速響應機制、信息應急備份機制以及訪問控制信息安全管理機制，實現信息安全立體化管理。在部分重要安全信息方面，要盡可能控制相關人員接觸范圍，設置級別權限，避免過多人員接觸或掌握企業關鍵信息或核心信息。企業高層要善于利用大數據技術，加強頂層設計，并完善信息安全管理制度內容細節，逐漸形成一個完整的信息安全生態體系。同時，企業要建立有效的責任機制，從管理層逐級向下至普通員工，明確各崗位在信息安全管理方面的責任，做到“責任到人”。一旦出現信息安全管理問題，嚴格追責，并要求及時整改，不斷提升信息安全管理質量[3]。在電子文件安全存儲管理方面，要求重要文件或工作資料不得保存在C盤（系統盤），并定期做好備份工作，防止意外丟失；不得進行與工作無關的下載以及游戲行為；所有拷貝至公共計算機上資料，使用完畢后必須刪除；各部門安排專人對存在于企業服務器的信息數據進行審核以及安全管理；所有涉密文件或信息，相關人員需要進行有效加密并妥善保管，防止信息外泄。

2.加大基礎設施、技術投入力度

企業要及時更新信息安全管理技術，除了完善防火墻、殺毒軟件等傳統技術外，還要應用復雜加密技術，并將大數據技術融入信息安全管理當中，實現信息安全全方位管理。與此同時，企業要及時更新陳舊設備，加大相關設施、技術投入力度，設置專項資金，從硬件出發，構筑信息安全體系。對于中小企業而言，可與外部第三方專業機構合作，在專業機構協助下對企業內部數據庫、信息安全架構進行優化，及時更新技術，不斷提升信息安全防御能力。

3.加強專業人才引入及培訓

一方面，企業要提高信息安全管理重視程度，從外部引入部分專業復合型人才，對現有信息安全管理人才隊伍進行適當補充。另一方面，企業要重視信息安全人才隊伍建設，建立一個健全的培訓體系。對于信息安全人才而言，可定期聘請外部專家或對其進行針對性指導，或采取外派方式，不斷提升其專業業務能力以及崗位勝任力，確保信息安全管理工作落實到位。對于其他崗位員工也要開展信息安全培訓，使其樹立信息安全意識，讓每一位員工有意識地做好本職工作，規范信息操作，避免出現意外信息安全問題，形成良好的信息安全管理氛圍。

結語

對于企業而言，信息安全管理是日常管理工作的重要環節之一。為進一步提升信息安全管理效能，企業需要優化信息安全管理制度，加大基礎設施、技術投入力度，并加強專業人才引入及培訓，構建出一個相對健全的信息安全管理體系，為企業持續穩定發展奠定良好基礎。