如今，信息已成為企業(yè)生產(chǎn)和發(fā)展的重要資源之一。它以多種形式存在，如被打印或寫在紙上；以電子方式存儲；用郵寄或電子手段傳送；呈現(xiàn)在膠片上或用語言表達。無論信息以什么形式存在，用哪種方法存儲或共享，都應對它進行適當?shù)乇Ｗo。否則，企業(yè)將面臨著較大的信息安全風險，甚至給企業(yè)帶來不良的影響和后果。

　　1.燃氣企業(yè)管理存在的信息安全問題

　　信息安全問題是企業(yè)的共性問題，企業(yè)規(guī)模越大，所擁有價值的信息量就越大；企業(yè)經(jīng)營性質越特殊，受保護的信息量就越多。燃氣企業(yè)是高危服務性行業(yè)，應當把燃氣運營安全放在首位，但是也不能忽視了企業(yè)的信息安全。信息安全問題在燃氣企業(yè)普遍存在。

    1.1 缺乏系統(tǒng)的信息安全管理

　　網(wǎng)絡安全領域有一句至理名言“三分技術，七分管理”，這句話對于信息安全領域也同樣適用。安全與管理常常是密不可分的，很多企業(yè)對信息安全的認識僅僅是依靠信息防護技術應用，比如安裝防火墻，反病毒軟件等。但信息軟件技術只是信息安全的一部分，即便在安全設備與系統(tǒng)上做了很大的投入，缺乏完整、系統(tǒng)的安全管理方法及制度并貫徹實施，信息仍然得不到很好的保護。尤其是那些對于針對黑客攻擊還顯得相對脆弱的企業(yè)網(wǎng)絡，一旦遭遇惡意入侵，馬上便顯得不堪一擊，信息安全當然就完全談不上。而現(xiàn)實情況是，許多燃氣企業(yè)因為缺乏信息安全管理制度、方法和應急預案，對于這種情況全然沒有有效的防備和事后補救措施，這樣災難自然就是難免的了。

    1.2 信息安全意識有待提高

　　當前，企業(yè)的信息載體日益電子化，信息系統(tǒng)、辦公電腦、移動存儲設備的不規(guī)范使用增加了電子信息的泄露發(fā)生率。在百度、谷歌、網(wǎng)絡文庫上稍加搜索就可以輕易的獲得某家燃氣集團或公司重要文件。這些重要信息資料被暴露在公眾中，正是由于燃氣企業(yè)以及員工信息安全意識不強所造成的。而不少企業(yè)的領導者對于重要信息的保護意識不強，尤其是企業(yè)員工，從思想上就不重視企業(yè)的信息安全，信息傳遞和交接都帶有很大的隨意性，更有些“大嘴巴”事件，使得企業(yè)許多重要信息外流，如客戶信息、企業(yè)內(nèi)部信息，更有甚者，許多商業(yè)機密也輕易外泄，如燃氣危險源信息或燃氣成本等。

　　1.3 缺乏信息安全技術人才

    在燃氣企業(yè)，由于對企業(yè)信息安全的重要性認識不足，普遍缺乏信息安全管理人員和信息系統(tǒng)安全技術人員。雖然近年來燃氣企業(yè)各類信息系統(tǒng)不斷增多，如地理信息系統(tǒng)、客戶服務系統(tǒng)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)等，涌現(xiàn)出了一批信息化技術人才，但是要從安全角度出發(fā)，能夠進行綜合信息安全管理的技術性人才在整個燃氣企業(yè)員工的比例仍然相當?shù)汀Ｈ細馄髽I(yè)在信息安全人才和信息技術人才培養(yǎng)方面與企業(yè)快速發(fā)展帶來的信息化需求和信息安全需求顯然不能同步，這樣一來，對于信息外泄，信息安全防不勝防，便會出現(xiàn)“領導干瞪眼，群眾干著急”的局面。2 理解信息安全的基本內(nèi)容和信息安全建設的主要任務

　　2.1 什么是信息安全?

　　在GB/T2208l一2008中，信息安全被這樣定義：保護信息免受各種威脅的損害，以確保業(yè)務連續(xù)性、業(yè)務風險最小化、投資回報和商業(yè)機遇最大化。其主要是指在企業(yè)信息安全管理中首先要最大限度的保護企業(yè)信息資產(chǎn)，保障業(yè)務持續(xù)穩(wěn)定運行，其次，一旦發(fā)生安全事故可以最大限度地挽回所造成的損失。

　　信息的安全風險主要來自于信息的保密性、完整性和可用性。在企業(yè)中，信息可能會通過口頭、網(wǎng)絡、打印機、復印機、存儲設備等途徑不經(jīng)意地泄露。要避免重要信息的泄露，在信息的傳遞和保管過程中要把好關；然后，還要防止信息被誤變更或被惡意變更，做到保護信息的完整性；最后，要做好信息源頭的安全保障，即要保障信息處理設備和信息傳遞渠道的高可用性。制定清晰的信息處理流程，建立滿足服務的完善運維保障，以及設法保持業(yè)務連續(xù)性管理都是保證信息高可用的重要措施。正是信息的這3個屬性結合才形成了信息的安全性，如圖l所示：

圖1 安全屬性

　　2.2 信息安全建設的主要工作任務應由以下幾方面構成

　　即體系化的企業(yè)信息建設，信息安全風險控制和確保企業(yè)信息的機密性、完整性和可用性。而對于不少燃氣企業(yè)來說，卻常常是重視了第1點，而忽略第2和第3點。因此，有計劃的解決企業(yè)存在的信息安全風險，以及可持續(xù)提高管理的有效性和不斷提高自身的信息安全管理水平是企業(yè)的當務之急。

　　3.采用PDCA循環(huán)的方法建設企業(yè)信息安全

　　作為一項安全管理活動，信息安全建設應該是符合一般管理活動的規(guī)律的。所以，用PDCA管理模式，即規(guī)劃(Plan)實施(Do)檢查(Check)處置(Act)的循環(huán)管理模式來指導燃氣企業(yè)信息安全建設十分必要也非常合適。

　　PDCA的概念最早由美國質量管理專家戴明提出來，起初用于質量管理，后逐漸應用于各行各業(yè)。通過PDCA方法管理能使信息安全建設有效的按照一種合乎邏輯的工作程序進行。對其具體應用，筆者結合自己所學的理論知識和工作經(jīng)驗進行了總結。

　　3.1 P階段

　　(1)分析公司信息管理中存在的不安全因素，采用合理的風險評估方法，確定風險并對風險進行分級；

　　(2)找出不安全因素產(chǎn)生的原因，特別是在企業(yè)管理層面上存在原因和需要企業(yè)高層處理的問題；

　　(3)針對存在的問題，根據(jù)風險等級對存在的隱患制訂措施計劃和解決方案，制定的措施方案要有較強的可操作性，便于執(zhí)行，并能收到較好的效果。對于整改資金必須從安全與生產(chǎn)發(fā)展的總體考慮，結合實際，因地制宜，合理投入。

　　3.2 D階段

　　(1)對風險整改計劃進行宣貫和指導，讓企業(yè)員工認識到存在的安全現(xiàn)狀和不安全因素，以及怎樣去改進。計劃要落實到人，整改的人要清楚的理解為什么要改進和怎樣改進；

　　(2)層層細化風險改進計劃，并與員工的工作實際相結合。計劃可以從企業(yè)管理層開始細化直至崗位上的每一個操作環(huán)節(jié)。如果細化不徹底，那么企業(yè)的總計劃中的方案措施再有可操作性，相對于班組、崗位都存在不同程度的粗放性，很難與基層實際吻合。

　　3.3 C階段

　　(1)開展企業(yè)各層級員工對自己工作進展情況的自查，查找問題，分析原因，及時整改；

　　(2)開展信息安全專項檢查，定期和不定期檢查風險改進的執(zhí)行情況，階段性的總結和考評執(zhí)行效果。檢查最好能通過量化式檢查得出定性結論。這一方法的最大優(yōu)點就是對每一個PDCA循環(huán)層進行橫向比較時，能得到較為準確的評價，找準薄弱點和工作漏洞；

　　(3)對檢查結果和現(xiàn)存信息風險重新進行總結和評估，并根據(jù)評估結果調整風險級別和風險值，找出重點關注環(huán)節(jié)。

　　3.4 A階段

　　(1)統(tǒng)計匯總信息安全風險控制的成果，去除已經(jīng)解決的問題，制訂對新問題的改進計劃；

　　(2)分清計劃未完成的原因并確立相關責任人，依據(jù)有關規(guī)定進行嚴考核硬兌現(xiàn)；

　　(3)把遺留和新發(fā)現(xiàn)問題轉人下一個PDCA管理循環(huán)。

　　4.重點解決信息安全建設中的幾個關鍵問題

　　4.1 把握風險評估尺寸。正確處理存在的風險

　　風險評估的實施方法有許多，在做信息安全風險評估時，應從企業(yè)整體出發(fā)，從企業(yè)需求出發(fā)。通過《信息安全技術信息安全風險評估規(guī)范》(GB/T20984—2007)給出的風險評估實施流程可以較為全面評估出企業(yè)存在的信息安全風險。

圖2 風險評估

    信息安全風險識別出后，采用合理的處置辦法也非常重要。采用的處理方式主要有：①風險減緩，即采用適當?shù)目刂拼胧﹣斫档惋L險。如對重要信息處理設備采用冗余配置措施以避免單點故障的發(fā)生；②風險接受，在明顯滿足組織方針策略和接受風險準則的條件下，有意識地、客觀地接受風險。特別是適當接受那些“風險級別低的風險”，以確保高級別風險能及時而有效地處置；③風險規(guī)避，在可能的情況下，避免某些特殊風險，如將重要信息文件進行加密來避免未授權人獲得；④風險轉移，將相關業(yè)務風險轉移到其它地方，如將網(wǎng)站業(yè)務的維護托管到第三方專業(yè)維保單位管理，并與其簽訂信息安全保密協(xié)議等。

　　4.2 重視人在燃氣企業(yè)信息安全管理中的作用

    在企業(yè)管理中，所有的管理活動離不開“人”。“人”是信息安全活動中最復雜、最難控制的對象，許多信息安全事件的發(fā)生是由人而起。要對企業(yè)中人的行為進行約束，明確人的信息安全管理角色和管理職責；加強人的思想認識，進行信息安全的教育和培訓，才能構建良好的信息安全文化。

　　筆者所在公司在信息安全管理中，首先成立了信息安全小組，把企業(yè)的“一把手”作為推動信息安全的組長，把企業(yè)內(nèi)不同部門的人作為參與信息安全管理的對象，其中經(jīng)理層和關鍵崗位人員是安全小組組員，明確了組長和組員的信息安全責任和義務；然后把信息安全責任制落實到企業(yè)安全責任狀中，要求層層簽訂層層落實，通過與經(jīng)理層、關鍵崗位人員簽訂保密承諾書，來進一步保障企業(yè)信息安全；最后注重培育企業(yè)自己的信息安全文化，特別是通過報紙、宣傳欄、企業(yè)OA系統(tǒng)向員工宣傳日常信息安全做法，從小事出發(fā)將注重信息安全形成習慣。例如，對電子文件進行簡單加密，離開電腦時進行鎖屏保護、給電腦打開設定密碼保護、重要文件不被設為共享，不把公司的文件傳送給第三方(其它公司、網(wǎng)上文庫)，及時粉碎重要紙質文件，及時做好重要數(shù)據(jù)備份，及時更新殺毒軟件病毒庫等。

　　4.3 做好信息資產(chǎn)分類。把資產(chǎn)管理好

　　信息是一種對燃氣企業(yè)具有價值的資產(chǎn)，但是要想把這種資產(chǎn)管好，必須做到以下幾點：第一，它有兩種存在形式，即有形和無形，要建立信息資產(chǎn)清單來管理，這樣在管理中才能做到“胸中有數(shù)”；第二，不同信息有著不同保護要求，要進行信息分類管理，根據(jù)不同分類等級采取不同的保護措施。信息保護等級可分為：絕密、機密、秘密、受限、內(nèi)部公開、公開。在分類時特別要注意的是考慮共享或限制信息的業(yè)務需求以及與這種需求相關的業(yè)務影響，避免信息保護等級被設定過高，實際操作時影響到業(yè)務的開展；第三，信息的處理過程很難控制，需要對信息做好標記，標記的內(nèi)容要包括安全處理、存儲、傳輸、刪除、銷毀的處理程序，標記的程序要涵蓋物理和電子格式的信息資產(chǎn)，不能有遺漏。特別是對報廢的存儲介質處理，應確保銷毀，因為以目前的數(shù)據(jù)恢復技術而言，采用格式化的方法來處理數(shù)據(jù)存儲的物理介質很容易被恢復。因此，最好的辦法是物理銷毀、數(shù)據(jù)覆蓋或者利用不可逆專門工具處理。

　　4.4 合理規(guī)劃信息安全區(qū)域。做好信息處理設備的安全管理

    在燃氣安全生產(chǎn)建設中分清防爆區(qū)域非常重要，其實信息安全管理中也要分清信息安全區(qū)域，通常在實際應用中將總經(jīng)理室、財務部門、人力資源部門、檔案部門、圖紙設計部門、信息化部門、信息系統(tǒng)機房等具有敏感信息的部門劃定在安全區(qū)域內(nèi)，并在物理邊界上加以防護，防止未授權的人員進入損壞、盜竊、截取。如在財務部門、信息化機房入口安裝門禁、視頻監(jiān)控、圍欄、紅外報警器等。

　　此外，還要考慮安全區(qū)域內(nèi)的信息安全。筆者發(fā)現(xiàn)在日常工作中設備故障所造成的信息處理過程不安全最為常見。因此，對提供信息處理支持性設施要格外關注，要加強設施的運維管理，建立運維管理制度，安排專人定期巡檢設備運行情況。條件允許下，還可以配置冗余的硬件設備，雙回路的供電電源，應急電源等。

　　4.5 加強信息安全事件管理，預防信息安全事件發(fā)生

　　據(jù)燃氣企業(yè)發(fā)生的各種信息安全事件的統(tǒng)計結果，最典型的有有害程序、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障、災害性事件等。其中，帶來的損失最嚴重的是有害程序、網(wǎng)絡攻擊事件。針對這些事件，可以采取相應的技術防范措施，如安裝反病毒產(chǎn)品、防火墻產(chǎn)品、人侵檢測與入侵防御產(chǎn)品，對系統(tǒng)和網(wǎng)絡進行脆弱性掃描等，同時做好定期設備的巡查，及時更換失效的產(chǎn)品。另一方面，根據(jù)本企業(yè)自身情況建立信息安全應急預案，搭建應急組織機構，對信息安全事件分級，并制定應急響應機制、應急處置流程(即事故上報流程)以及恢復程序。每年開展一次應急演練，提高信息安全應急預案的可操作性以及相關人員對信息安全事件響應的熟練程度，可以提高信息安全事件的預防和處置能力。

　　5.未來持續(xù)性做好信息安全工作的幾點探索

　　“發(fā)展”和“變化”始終是未來信息安全的重要特征，只有緊緊抓住這個特征才能正確地處理和對待信息安全問題。筆者認為燃氣企業(yè)未來應從如下兩個方面持續(xù)做好信息安全管理。

　　5.1 正確面對新技術的應用

　　隨著無線技術、物聯(lián)網(wǎng)技術、“云”技術等新技術在企業(yè)中應用，企業(yè)在信息應用上取得很大突破，新的信息技術為企業(yè)發(fā)展來了新的機遇。但是不斷革新的技術就像一把“雙刃劍”，一方面它促成了企業(yè)的新發(fā)展，而另一方面也會為企業(yè)帶來新的信息安全問題。因此，企業(yè)應正確的面對新技術，在新技術應用同時，重視加強入侵檢測技術、RFID(射頻識別)技術、數(shù)字認證加密技術、災難備份技術等安全防護技術的應用，以保障企業(yè)在新形勢下的信息安全。與此同時，通過實踐我們也應該提高防范意識，謹防別有用心之人利用信息新技術來造成信息破壞或信息安全事故。

　　5.2 大力發(fā)揮人才的優(yōu)勢

　　信息安全管理離不開人，信息技術的應用和維護更離不開人。筆者認為持續(xù)性做好信息安全管理的另一突破點在人才管理上。燃氣企業(yè)應著力培養(yǎng)一批懂信息技術、懂安全、懂燃氣的綜合性人才，大力發(fā)揮人才優(yōu)勢，才能使得信息安全保護持續(xù)性得到有力支撐。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：淺析燃氣企業(yè)的信息安全管理

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839313463.html