1 企業(yè)的核心數(shù)據(jù)面臨內(nèi)外兩方面的安全保密隱患
1.1 缺乏統(tǒng)一管理
組織里某人或某些人起草的重要文件缺乏集中統(tǒng)一管理:企業(yè)員工的離職,電腦的丟失,有意或無(wú)意的刪除操作,或病毒的侵襲造成文件丟失。傳統(tǒng)上,像含有機(jī)密財(cái)務(wù)數(shù)據(jù)的投融資報(bào)告,月度、季度、年度銷售分析報(bào)告,財(cái)務(wù)分析報(bào)告,商業(yè)往來(lái)文件和合同,重要內(nèi)部會(huì)議的會(huì)議紀(jì)要等。這些對(duì)一個(gè)組織來(lái)講非常重要的文件大多是由組織里的某個(gè)人或某些人撰寫,保留在個(gè)人的電腦里,容易由于有意或者無(wú)意的原因造成文件丟失。
1.2 缺乏有效加密
很多企業(yè)在文檔和核心數(shù)據(jù)資產(chǎn)的加密方面意識(shí)不強(qiáng),并且沒有有效的加密手段:文件在員工的電腦里可以輕松地通過(guò)電子郵箱、移動(dòng)存儲(chǔ)設(shè)備、通信工具、打印設(shè)備等將文檔原文直接拷貝出來(lái),最終導(dǎo)致信息的泄露。
2 加強(qiáng)文檔數(shù)據(jù)管理的手段
2.1 建立組織級(jí)文檔保護(hù)機(jī)制
一個(gè)組織中最難管理的是人員,要管理好企業(yè)的核心文檔首先要管理好這些文檔的管理者。建立一套合理而健全的機(jī)制,是具有關(guān)鍵意義的做法。組織內(nèi)信息安全制度的建立,往往比購(gòu)買設(shè)備、提高技術(shù)還重要。國(guó)外信息安全管理的經(jīng)驗(yàn)表明,大多數(shù)的攻擊來(lái)自系統(tǒng)內(nèi)部,并且外部可利用內(nèi)部進(jìn)行攻擊。而對(duì)內(nèi)部攻擊的防范比對(duì)外部攻擊的防范更困難。防范內(nèi)部的安全攻擊,管理措施(行政的和法律的)顯得更為重要。建立并執(zhí)行一整套科學(xué)、合理、嚴(yán)密的管理制度,從每一個(gè)環(huán)節(jié)堵塞電子文檔信息安全的漏洞,這些環(huán)節(jié)包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔,到電子檔案的保管、提供利用的全過(guò)程,即要進(jìn)行全過(guò)程管理,任何一個(gè)環(huán)節(jié)疏于管理,都有可能導(dǎo)致電子文檔信息的丟失或失真。加強(qiáng)對(duì)電子文件制作人員和管理人員的管理;電子文件制作過(guò)程要職責(zé)分明;電子文件形成后要及時(shí)積累;建立和執(zhí)行科學(xué)的歸檔制度;制定和嚴(yán)格執(zhí)行電子文檔的鑒定、保管制度和標(biāo)準(zhǔn);加強(qiáng)對(duì)電子文檔利用活動(dòng)的管理;建立電子文檔管理的記錄系統(tǒng)等。
2.2 利用數(shù)據(jù)安全保護(hù)軟件加強(qiáng)文檔管理
(1)加強(qiáng)訪問控制
訪問控制是網(wǎng)絡(luò)環(huán)境下電子文檔信息安全防范和保護(hù)的主要措施和手段,它的主要任務(wù)是保證包括電子文檔信息在內(nèi)的網(wǎng)絡(luò)資源不被非法訪問和非法使用。具體措施包括:入網(wǎng)訪問控制,控制組織內(nèi)的用戶是否用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶的訪問時(shí)間和準(zhǔn)入范圍;權(quán)限控制,控制用戶允許訪問哪些目錄、子目錄、文件和其他資源;指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作,如只讀、改寫、創(chuàng)建、刪除、查找、存取控制等,而最基本的控制是防止電子文檔的拷貝篡改和打。
(2)數(shù)據(jù)加密
信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息的傳輸,確保不宜公開的電子文檔的非公開性。在多數(shù)情況下,信息加密是保證電子文檔機(jī)密性的唯一方法。如果有權(quán)使用受控文件的內(nèi)部人士將受控文件通過(guò)郵件,聊天工具,u盤等任何方式傳遞給第三者,第三者打開文件看到的是亂碼,確保信息不被泄露。
(3)文檔備份
由于網(wǎng)絡(luò)的不安全性,導(dǎo)致電子文檔信息易丟失或失真,給信息安全帶來(lái)嚴(yán)重威脅。盡管可以采取各種各樣的技術(shù)和方法來(lái)保證網(wǎng)絡(luò)的安全,但客觀地說(shuō),任何一個(gè)網(wǎng)絡(luò)都不能確保萬(wàn)無(wú)一失,信息丟失和失真的現(xiàn)象難免不會(huì)發(fā)生。如果建立備份與恢復(fù)系統(tǒng),即使信息丟失和失真,也能夠做到有備無(wú)患,只要啟動(dòng)該系統(tǒng),丟失或失真的信息就會(huì)重新恢復(fù)原來(lái)的面貌。
(4)事后跟蹤
企業(yè)在加強(qiáng)管控的同時(shí)還應(yīng)注意文檔泄露后的跟蹤管理。應(yīng)該準(zhǔn)備好正常的事件報(bào)告和分類程序,這類程序用來(lái)報(bào)告可能對(duì)機(jī)構(gòu)的財(cái)產(chǎn)安全造成影響的不同種類的事件和弱點(diǎn),所有的員工、合同方和第三方用戶都應(yīng)該知曉這套報(bào)告程序。他們需要盡可能快地將文檔泄露事件和弱點(diǎn)報(bào)告給指定的聯(lián)系方。組織應(yīng)明確信息安全事故報(bào)告的方式、報(bào)告的內(nèi)容、報(bào)告的受理部門, 即安全事件應(yīng)在被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)氖芾硗緩竭M(jìn)行通報(bào)。應(yīng)當(dāng)盡可能快速地通過(guò)適當(dāng)管理渠道來(lái)報(bào)告安全事故。組織的普通員工通常是安全事件的最早發(fā)現(xiàn)者,如果安全事件能及時(shí)發(fā)現(xiàn)并報(bào)告相應(yīng)的主管部門,作出及時(shí)的處理,能使組織的經(jīng)濟(jì)損失及聲譽(yù)損失降到最低。為及時(shí)發(fā)現(xiàn)安全事件,組織應(yīng)建立正式的報(bào)告程序,分別對(duì)安全事故的報(bào)告作出明確規(guī)定。應(yīng)當(dāng)讓所有員工和第三方的簽約人都了解報(bào)告程序并鼓勵(lì)他們?cè)诎踩录l(fā)生的第一時(shí)間就盡快報(bào)告。還應(yīng)當(dāng)建立起事故反應(yīng)機(jī)制,以便在接到事故報(bào)告時(shí),有關(guān)部門能及時(shí)采取措施。應(yīng)當(dāng)建立適當(dāng)?shù)姆答仚C(jī)制,確保在處理完事故之后,使員工能夠知道所報(bào)告事故的處理結(jié)果。同時(shí)可以用這些事故來(lái)提高用戶的安全意識(shí),使他們了解發(fā)生了什么情況、對(duì)這種情況怎樣做出反應(yīng)并且將來(lái)如何避免這些事故。針對(duì)不同的類型的安全事件,作出相應(yīng)的應(yīng)急計(jì)劃,規(guī)定事件處理步驟。
3 結(jié)論
企業(yè)核心文檔的安全保密工作關(guān)系到企業(yè)的核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展水平,加強(qiáng)保密工作、建立有效的防范機(jī)制、提高員工的保密意識(shí)、利用系統(tǒng)手段進(jìn)行文檔管理是全面提高保密管理能力的有效途徑。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:淺析企業(yè)核心文檔保密管理
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112152525.html