石化銷售企業(yè)信息安全的風險來源主要有：

    1．自然災(zāi)害。例如水災(zāi)、火災(zāi)、地震等天災(zāi)，會造成信息基礎(chǔ)設(shè)施的損害，進而影響企業(yè)信息本身。

    2．技術(shù)災(zāi)害。一旦發(fā)生軟硬件故障或網(wǎng)絡(luò)入侵等行為，可能對企業(yè)信息安全造成嚴重損害。

    3．人為災(zāi)害。內(nèi)部員工故意或無意間泄漏企業(yè)信息造成的損失常常是難以估量的，外部人員的惡意人侵也會使企業(yè)遭受風險。

    經(jīng)過多年的信息化建設(shè)，公司的經(jīng)營、管理對信息技術(shù)的依賴程度越來越高，目前在石化銷售企業(yè)應(yīng)用的信息系統(tǒng)主要有：

    ERP系統(tǒng)、ERP報表管理系統(tǒng)、EHR人力資源系統(tǒng)、加油卡系統(tǒng)、零售管理系統(tǒng)、便利店管理系統(tǒng)、電子提油卡系統(tǒng)、物流信息系統(tǒng)、辦公自動化系統(tǒng)等等。隨著公司的不斷發(fā)展，信息化建設(shè)對公司發(fā)展的作用越來越重要，對信息數(shù)據(jù)的安全、完整和可用性要求也越來越高，因此信息化建設(shè)中及時構(gòu)建信息安全體系對企業(yè)的穩(wěn)定發(fā)展意義重大。

一、石化銷售企業(yè)信息安全建設(shè)中存在的主要問題

    1．沒有信息安全的標準和規(guī)范，建設(shè)沒有依據(jù)，信息安全建設(shè)還處于摸索中。

    2．公司信息安全設(shè)備和系統(tǒng)建設(shè)嚴重不足，目前只應(yīng)用了低端的億陽防火墻，入侵檢測系統(tǒng)、行為管理系統(tǒng)、網(wǎng)管系統(tǒng)、數(shù)據(jù)備份系統(tǒng)等都沒有使用。

    3．實施安全系統(tǒng)和技術(shù)后，會使網(wǎng)絡(luò)行為受到一定的約束和限制，給日常工作帶來不便，個別員工存在抵觸心理或不支持。

    4．通過操作系統(tǒng)管理或桌面安全管理系統(tǒng)可以很好控制USB設(shè)備和網(wǎng)絡(luò)行為的開放，為數(shù)據(jù)安全提供一定保障，但以工作不便等為由，通過審批，導(dǎo)致開放數(shù)量越來越多。加密系統(tǒng)建設(shè)方面，考慮可能會給大家的工作帶來更多不便，將會受到更多和更嚴重的用戶抵制和不支持，導(dǎo)致無法實施。

    5．企業(yè)信息安全與工作方便是一對矛盾體，日常工作中不重視或忽視安全的重要性，只考慮方便性，將會影響信息安全建設(shè)的效果，給信息安全帶來一定隱患，同時會嚴重影響整個體系建設(shè)。

    6．信息安全技術(shù)人員數(shù)量嚴重不足，缺少對應(yīng)的組織機構(gòu)，缺乏激勵機制吸引人才。

    7．個別領(lǐng)導(dǎo)或員工對信息安全的重視不夠，信息安全意識急需加強。

    8．信息安全投資效益不能直接顯現(xiàn)，很難評估，不容易引起領(lǐng)導(dǎo)重視，人員價值也很難體現(xiàn)。

二、石化銷售企業(yè)信息安全建設(shè)的基本原則

    信息安全建設(shè)的思路應(yīng)該遵循“以應(yīng)用為龍頭，以管理為核心，以技術(shù)和產(chǎn)品為手段”的基本原則。做到統(tǒng)一規(guī)劃，分步實施，按照信息系統(tǒng)的安全需求統(tǒng)一規(guī)劃，有重點，分步實施，最終建立一個全面的信息安全體系；對于重要的信息系統(tǒng)，不應(yīng)僅僅依靠一項預(yù)防措施， 而應(yīng)建立一個多層次的積極主動的防范體系；由于石化銷售企業(yè)信息系統(tǒng)的嚴密性、等級性，系統(tǒng)劃分的復(fù)雜性，權(quán)限設(shè)置的全面性，信息安全建設(shè)也要體現(xiàn)多層次、多等級的原則；信息技術(shù)飛速發(fā)展，因此為確保安全技術(shù)的先進性，信息安全的措施必須及時更新，以適應(yīng)不斷變化的威脅環(huán)境；信息安全技術(shù)和管理手段應(yīng)相結(jié)合，任何信息系統(tǒng)的應(yīng)用都離不開人和物，所以信息系統(tǒng)的安全方案必須充分考慮對人和物的約束和監(jiān)管，單靠技術(shù)或單靠管理都不能真正解決安全問題；應(yīng)實現(xiàn)先進性和可行性相結(jié)合，任何安全措施我們既要保持它的系統(tǒng)先進性，同時還要確保它的可操作性。

三、石化銷售企業(yè)信息安全體系建設(shè)要素

    1．在企業(yè)信息安全行為中，對所有信息系統(tǒng)、信息數(shù)據(jù)應(yīng)采用分級管理、多重防護的管理原則，根據(jù)不同的業(yè)務(wù)重要性，設(shè)定不同的信息安全等級，實施信息安全保護。

    2．管理安全在企業(yè)中的實施是企業(yè)信息得以安全的關(guān)鍵，應(yīng)建立健全規(guī)范化的信息安全管理辦法、法律法規(guī)制度，加強內(nèi)部和外部的安全管理、安全審計和信息跟蹤。同時為在企業(yè)內(nèi)貫徹制定的信息安全方針和政策，確保整個企業(yè)信息安全控制措施的實施，需要構(gòu)建有效的信息安全組織架構(gòu)。

    3．企業(yè)信息的安全離不開人，如果相關(guān)人員的安全意識薄弱，則比其他任何安全不足帶來的損失會更大。安全意識和安全技能的培訓是安全管理的重要組成部分，培訓效果將直接影響信息安全的執(zhí)行結(jié)果，因此需要不斷開展企業(yè)員工的信息安全意識、信息安全技能和職業(yè)道德培訓。

    4．信息的使用需要借助于一定的物理資源，所以信息安全的保護也離不開各種物理資源(如移動硬盤、光盤)的管理。因此，需要對各種物理資源加以控制，落到實處。

    5．制定信息安全應(yīng)急制度，完善應(yīng)急體系。成立由領(lǐng)導(dǎo)者、管理者、應(yīng)用者以及各方面專家為成員的信息安全應(yīng)急團隊，定期組織信息安全培訓，制定嚴格的、準確的、可操作的應(yīng)急響應(yīng)辦法，對信息安全事故做出快速、及時、準確、合理的響應(yīng)，將企業(yè)的風險和損失降到最低點。

    6．為確保信息安全，必須合理的應(yīng)用信息安全技術(shù)，因為，信息技術(shù)安全是實現(xiàn)企業(yè)信息安全的核心。必須應(yīng)用成熟的防火墻技術(shù)，控制訪問權(quán)限，實現(xiàn)網(wǎng)絡(luò)集中管理，實施網(wǎng)絡(luò)準入，拒絕或限制任何不符合安全策略的設(shè)備或信息進入內(nèi)部網(wǎng)絡(luò)；應(yīng)用網(wǎng)絡(luò)行為管理系統(tǒng)，強化員工網(wǎng)上行為管理，避免人為的信息安全隱患；為了保證網(wǎng)絡(luò)不會受到外來人侵的攻擊，應(yīng)規(guī)劃部署網(wǎng)絡(luò)入侵防御系統(tǒng)和漏洞掃描系統(tǒng)；加強桌面安全管理系統(tǒng)和補丁管理系統(tǒng)的推廣使用；強化網(wǎng)絡(luò)防病毒系統(tǒng)的管理、應(yīng)用；構(gòu)建、應(yīng)用一套強大的網(wǎng)絡(luò)管理系統(tǒng)；部署信息安全審計及日志管理系統(tǒng)；創(chuàng)建企業(yè)內(nèi)部虛擬專用網(wǎng)(VPN)。

    7．完善備份策略，建立可靠的災(zāi)備系統(tǒng)。按照數(shù)據(jù)重要程度制定不同的備份策略，該策略應(yīng)包含詳細的數(shù)據(jù)備份和恢復(fù)的操作程序和制度。目前公司對員工的個人資料和信息還沒有進行統(tǒng)一的備份，當出現(xiàn)計算機軟硬件故障時，往往會導(dǎo)致許多重要信息和數(shù)據(jù)丟失，因此，必須建立統(tǒng)一的個人數(shù)據(jù)備份管理系統(tǒng)，對個人數(shù)據(jù)進行統(tǒng)一管理和集中備份。

    總的來說，沒有絕對的安全技術(shù)、標準和規(guī)范，石化銷售企業(yè)信息安全是一個動態(tài)的概念，需要不斷改進，要靠“三分技術(shù)，七分管理”。建立企業(yè)信息安全整體架構(gòu)，必須以技術(shù)作支撐，管理為手段，管理與技術(shù)并重；必須以企業(yè)具體需求為前提，選擇適合企業(yè)的技術(shù)產(chǎn)品；必須成立一個健全的管理機構(gòu)，制定完善的管理制度，并嚴格執(zhí)行；必須不斷修正信息安全體系，才能真；正保障企業(yè)的信息安全。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：淺析石化銷售企業(yè)信息安全體系建設(shè)

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/1083959372.html