欢迎来到学术参考网

浅析公司信息安全体系的建立

发布时间:2016-08-29 17:13

  现代科技的快速发展的今天,网络的运用成为了公司运营不可缺少的部分。即使网络为公司运营管理带来了很多的便利,但是我们不能忽略网络安全威胁的存在,病毒、木马以及黑客的出现,时时刻刻提醒着我们要对公司信息做到周详的保护。网络的技术的运用只有在安全可靠的前提下才能发挥其最大的功效,否则,会对公司的利益获取带来无法弥补的后果。笔者结合自身的工作经验,以及对当下公司信息安全状况的详尽分析,进一步综合并阐述公司信息安全体系的建立原因和过程。

 

  一、引言

 

  时代的发展和科技的进步,使得互联网信息技术被迅速普及,作为需要保持与时俱进思想的公司管理阶层,毫无疑问地将网络技术的高效和便利进行了充分利用,许多公司的业务发展也交由网络全权处理。这无疑是公司运营的一项革新,为公司带来了极大的便利,既然网络应用受到如此器重,更是提醒了我们要对公司的信息安全做到万全的保障。

 

  信息网络存在有终端分布不均、开放程度较大、相互链接用户多一级连接形式多元化等特性,并且在面对日趋增长的网络攻击和数据入侵现象时,公司的网络安全保障显得分外重要。对此,我们应该加强相关的管理力度,除了更好的预防经济损失以外,也使得人力物力资源方面得以节省。下面,笔者就公司网络运营的风险分析和如何提高公司网络系统的安全性,建立相应的安全保障体系做详细的介绍。

 

  二、当下公司信息安全体系中较为常见的管理问题

 

  作为一个新生名词,公司信息安全体系的定义还不被大众所知。所谓公司信息安全体系,其所包括的内容有:信息安全组织、信息安全策略、信息技术安全以及相关安全管理的构建及管理。它是公司内部信息不被人侵盗取或恶意泄露的基本安全保障措施,上述四项内容是公司安全体系的重要组成部分,它们既是彼此关联的也是彼此支撑的。据笔者对当下公司信息安全体系建立情况的了解,普遍存在有以下问题。

 

  2.1 信息安全网络建设规划不够全面

 

  信息安全网络的建设存在一定的缺陷,其中,当下的公司信息的安全网络中,既没有较为完善的管理制度,相关部门也没有岗位职责的明确划分,从而使得相关信息安全工作的开展和施行难以落实到位;同时,公司职员中懂得信息安全管理的人数并不多,甚至是十分匮乏,以至于公司内部没有建立相关的安全管理制度,公司成员也没有信息安全保护的意识。信息安全网络建设的到位是公司信息安全保障的基础,而当下所反映的情况看来,其建设构架还是不够全面。

 

  2.2 信息安全技术不够完善

 

  现阶段的公司信息安全技术没有一个统一的运行标准。而信息网络自其诞生以来,就在安全管理方面存在有许多不足之处,这些不足对于信息数据库系统、操作系统以及应用软件等关键的公司内部资料掌控部分存在着致命的潜在威胁。恶意用户可以通过这些系统漏洞进行系统入侵,从而引发公司的信息危机。相对而言,依照当下的信息安全技术,公司信息安全运行体系的构建不全面的情况下,相关的安全保障决策并没有被组织并颁布,从而在贯彻实施方面不够彻底。

 

  2.3 网络安全管理存在有一定的风险

 

  大部分公司的网络用户认证的强度都是比较薄弱的,而公司业务不断拓展的过程中,数据和信息之间的交换是其网络技术所依附的基本形式,为了信息获取与交换之间的便利,公司的网络联接关系变得十分复杂,而当下的网络安全管理中,公司没有意识到网络技术防范措施实行的必要性,这样的思想对公司的信息安全存在一定的威胁。不管是应用系统的安全功能管理还是用户认证的强度,都是现阶段公司网络技术管理需要注意的方面,针对一些必要的信息系统审计和监控,都需要给予高度重视。

 

  2.4 信息安全管理的不足

 

  关于IT项目安全管理体系的建设,现阶段仍是不完善的,由于相关的应用系统进行建设时没有考虑到信息安全的同步要求,所以存在有一定的安全漏洞。而且据笔者了解,公司的信息安全管理并没有成立具体的职责部门,并且对于其安全管理的制度不够完善,导致其贯彻落实的不到位。

 

浅析公司信息安全体系的建立


  三、从管理角度探讨如何构建公司信息安全体系

 

  信息安全的保障不仅仅是依靠于一些基础的信息技术,现阶段所迫切需要的是高效的管理制度。某一体系从构建到运行再到发展性的保持,技术层面所占有的运用比例为百分之三十,发挥其持久性作用的主要支撑力量还是有效的管理。只有进行了恰当的管理措施,才能保障其技术的有效发挥,从而控制住公司信息安全管理的局面。下面,笔者主要就动态闭环管理的过程的建立和信息安全管理的加强来谈谈自己的看法。

 

  3.1 动态闭环管理方式的建立

 

  现阶段的公司信息网络仍然处于一个不稳定的阶段,基本的建设和调整还在进行当中。安全漏洞的出现总是接连不断的,传统的静态管理方式已经不能满足当下的安全管理需求。因此,动态闭环的管理是应该受到大力推广的管理方式。直白的说,采取了这样的管理方式后,以公司的安全决策和控制体系为依据,经过相关的审核评测工具来排除信息网络中存在的安全隐患和问题,并就此结果制定出一系列的建设规划和维护方案,使得信息安全系统处于较为稳定的状态。在这个过程中,还有以下两点需要予以注意:

 

  3.1.1 信息安全评测的施行

 

  信息安全体系的构建和相关安全决策的制定,必须要对公司内部的信息安全情况有较为全面的了解和掌握,即施行信息安全评测。公司信息资产的安全技术和现阶段的管理状况是安全评测的主要内容,这两点是公司所要弄清的潜在安全问题,通过测评使得公司管理层面对其安全隐患有所了解以后,方能制定出适宜公司的安全决策。

 

  3.1.2 适宜的安全决策制定

 

  就公司的信息安全而言,其相关决策的制定是体系构建的关键所在。明确、清晰、高效是公司安全决策制定的标准,公司的安全组织部门能够依据该决策的方向确立规划信息安全规章制度、相关测评标准以及信息安全体系构建方案等,进一步保障了公司内部信息安全规章制度实行落实,就此保护公司不受到由于信息泄露而造成的经济损失。

 

  3.2 安全管理过程的加强

 

  3.2.1 加强安全建设及管理规划

 

  信息安全体系在构建的过程中,公司应该充分考虑到内部信息安全体系构建的要求和标准,规划人力、物力、财力的投入力度,做到有条理、有思路的完成安全体系的构建。不管公司规模的大小,其安全体系的构建都是逐步发展的过程,阶段性目标的实现是达成稳定信息安全体系的基础。

 

  3.2.2 构建阶段的管理

 

  信息安全体系构建的过程中,内部信息的安全要求、需要加强巩固的安全性能以及保护措施的检测试验都是安全管理部门所要考虑全面的安全构建基础。需要给予注意的就是技术开发的内部资料、技术人员的保密管理,同时不能松懈对于技术施行环境、用户认证、内部网络、管理资源以及核心代码的加强管理。

 

  公司的安全体系构建是一个漫长且系统的工作过程,本文结合笔者的实际工作经验,简单的就公司的安全体系构建进行了阐述。总而言之,公司信息安全的管理和加强所依附的安全体系构建,是保障公司信息安全的基础,我们必须对其管理加以重视并付出努力。

 

  作者:王方超 来源:中国信息化·学术版 201212

上一篇:网络信息安全威胁与防范措施

下一篇:省级电网公司信息安全技术监督体系设计与实现