據(jù)美國(guó)媒體報(bào)道,名列《財(cái)富》全球1000強(qiáng)的大公司,平均每年發(fā)生2.45次的商業(yè)間諜事件,損失總額高達(dá)450億美元。世界上每2分鐘就有1個(gè)企業(yè)因?yàn)樾畔踩珕栴}倒閉,有11個(gè)企業(yè)因?yàn)樾畔踩珕栴}造成大約800多萬美元的直接經(jīng)濟(jì)損失。在所有的信息安全事故中,由于內(nèi)部員工的疏忽或有意泄密所造成的約占70%。全面開展保密工作,保護(hù)商業(yè)秘密安全,應(yīng)成為企業(yè)的首要工作。忽視那些不易被察覺的小問題,我們的企業(yè)極可能會(huì)陷入困境,面臨“末日”。我們急需的是找到為企業(yè)安全擺脫困境的高效可行的方法策略,構(gòu)筑令其逃脫劫難的“諾亞方舟”。
筆者認(rèn)為,企業(yè)經(jīng)營(yíng)者在信任技術(shù)的同時(shí),也應(yīng)當(dāng)從企業(yè)信息本身的內(nèi)容和性質(zhì)上來思考企業(yè)的信息安全這一問題。企業(yè)信息紛繁多樣,無論企業(yè)規(guī)模大小,每天都在產(chǎn)生著很多信息,一張報(bào)表、一份訂單、一項(xiàng)計(jì)劃、一次人事變動(dòng),一項(xiàng)研發(fā)成果等等,都是企業(yè)所產(chǎn)生的信息。其中很多信息常常被忽略,但不可否認(rèn)的是,它們都存在或多或少的價(jià)值。
1 企業(yè)信息安全的基本內(nèi)容
我們都知道,企業(yè)管理中最重要的“3M”理論,即企業(yè)管理主要是對(duì)人(man)、物(material)、財(cái)(money)的管理n1。在對(duì)這三者進(jìn)行管理的過程中必然產(chǎn)生大量的信息,這些都是企業(yè)的核心信息,對(duì)企業(yè)的經(jīng)營(yíng)成敗具有關(guān)鍵的作用。因此,筆者認(rèn)為,企業(yè)信息安全的基本內(nèi)容包括人的信息安全、物的信息安全和財(cái)?shù)男畔踩?/p>
1.1人的信息安全
眾所周知,企業(yè)中最為活躍的主體是人,現(xiàn)代社會(huì)企業(yè)的競(jìng)爭(zhēng),從根本上說是人才的競(jìng)爭(zhēng),誰能擁有高素質(zhì)的人才,誰就能在現(xiàn)代社會(huì)的激烈競(jìng)爭(zhēng)中站穩(wěn)腳跟。一個(gè)企業(yè)想要留住員工,除了有豐厚的報(bào)酬以外,還要尊重員工。其中對(duì)員工個(gè)人信息的尊重就是其中重要的內(nèi)容。大部分員工信息都涉及到個(gè)人的隱私,是需要保密的。由于員工的信息是動(dòng)態(tài)的、累加的,并且可能會(huì)涉及多個(gè)部門,因此也是最容易發(fā)生泄漏的,不注意保密就有可能對(duì)相關(guān)者產(chǎn)生危害,從而危及企業(yè)的發(fā)展,所以說員工的信息安全是企業(yè)信息安全的重要組成部分。
1.2物的信息安全
企業(yè)的價(jià)值創(chuàng)造離不開物的基礎(chǔ),創(chuàng)造本身又表現(xiàn)為物的創(chuàng)新。這些物的因素包括廠房等基礎(chǔ)設(shè)施設(shè)備、產(chǎn)品以及網(wǎng)絡(luò)系統(tǒng),它們的產(chǎn)生過程包括了設(shè)計(jì)開發(fā)和創(chuàng)造智慧,對(duì)其管理離不開產(chǎn)生、開發(fā)、維護(hù)、創(chuàng)造這些物的信息。這些信息是企業(yè)最為重要的信息資源,它直接關(guān)系到企業(yè)的知識(shí)管理、知識(shí)產(chǎn)權(quán)維護(hù)和創(chuàng)新機(jī)制。
1.3財(cái)?shù)男畔踩?/strong>
當(dāng)今世界,無論企業(yè)屬于何種類型,從事哪種行業(yè),規(guī)模大小如何,都會(huì)擁有自己的財(cái)務(wù),這是一個(gè)企業(yè)作為獨(dú)立法人所必須具備的必不可少的條件。企業(yè)在財(cái)務(wù)管理的過程中必然會(huì)產(chǎn)生大量的財(cái)務(wù)信息。它是企業(yè)財(cái)政預(yù)算的權(quán)威數(shù)據(jù)材料,是企業(yè)經(jīng)濟(jì)決策的信息支撐,是企業(yè)成本控制的重要依據(jù),是企業(yè)一切經(jīng)濟(jì)活動(dòng)的過程控制和憑證呈現(xiàn)。企業(yè)的財(cái)務(wù)信息如果被窺視竊取,就會(huì)給這個(gè)企業(yè)的經(jīng)營(yíng)管理帶來重大的損失。
2 威脅企業(yè)信息安全的因素
造成企業(yè)信息泄露的原因是多種多樣的,我們要有效地治理企業(yè)信息的泄密,就必須了解到哪些環(huán)節(jié)哪些方面是最可能造成泄密的,然后找準(zhǔn)方向,重點(diǎn)推進(jìn),集中主要力量來解決。筆者認(rèn)為,造成企業(yè)信息泄露主要有以下四種原因。
2.1企業(yè)信息管理機(jī)制不健全
首先,企業(yè)檔案部門作為企業(yè)的重要信息部門,其重要的意義在于積累和保存能為企業(yè)所用的記錄和信息,是企業(yè)信息控制的有效機(jī)制。而且企業(yè)的檔案也是企業(yè)信息的重要載體,企業(yè)的各種信息,例如人的信息、財(cái)?shù)男畔ⅰ⑽锏男畔⒍际且詸n案的形式存在的,由此出現(xiàn)了大量的企業(yè)人事檔案、會(huì)計(jì)檔案以及設(shè)備、科技、產(chǎn)品檔案。由于各方面的原因,到目前為止,很多企業(yè),特別是中小型企業(yè)還沒有意識(shí)到檔案管理的重要性,也沒有給予足夠的重視。導(dǎo)致檔案被分散在各個(gè)部門而且沒有專人管理,這不僅影響到企業(yè)檔案信息的完整性,而且還使得這些信息更容易丟失,給想要竊取企業(yè)信息的人提供了很好的契機(jī),在很大程度上威脅到了企業(yè)的信息安全。與此同時(shí),由于企業(yè)沒有樹立檔案異地保存的意識(shí),這就使得在重大自然災(zāi)害發(fā)生時(shí),企業(yè)的信息安全遭遇毀滅性的破壞。例如,2008年的汶川地震,很多企業(yè)因?yàn)闆]有對(duì)本公司的重要數(shù)據(jù)信息進(jìn)行備份異地保存,造成了企業(yè)數(shù)據(jù)資料的丟失,使得企業(yè)在恢復(fù)重建上遇到了前所未有的阻力。
其次,關(guān)于企業(yè)信息安全也沒有專門的管理方法,管理人員專注的只是企業(yè)產(chǎn)品的生產(chǎn)經(jīng)營(yíng),對(duì)企業(yè)信息安全無暇顧及。
2.2移動(dòng)存儲(chǔ)設(shè)備利用不當(dāng)
科技高度發(fā)展的今天,電子產(chǎn)品日新月異,光盤、U盤、移動(dòng)硬盤,mp3等可移動(dòng)存儲(chǔ)的磁介質(zhì)越來越小,裝載的信息量越來越多,使用越來越方便,這就給企業(yè)信息安全造成了一個(gè)潛在的威脅。例如,某大型油井鉆頭生產(chǎn)企業(yè)就由于公司的一位高工利用隨身攜帶的U盤拷貝了只有該公司才有的設(shè)備工藝圖紙,并將其賣給了對(duì)手企業(yè),使該公司一年直接損失了2000萬元。
2.3企業(yè)內(nèi)部人員泄露
內(nèi)部員工信息安全意識(shí)不強(qiáng),以及各種商業(yè)間諜的出現(xiàn),使得員工在不經(jīng)意或是故意間將企業(yè)的重要信息泄露出去,F(xiàn)在職工辭職后為謀取個(gè)人自身利益,將企業(yè)的重要信息帶出變賣的案例時(shí)有發(fā)生。
2.4網(wǎng)絡(luò)威脅
現(xiàn)在基本上已是互聯(lián)網(wǎng)絡(luò)時(shí)代,互聯(lián)網(wǎng)的發(fā)展為病毒、木馬、黑客等的發(fā)展提供了最好的溫床。通過電子郵件,或者即時(shí)通訊軟件,幾個(gè)G的文件很容易被轉(zhuǎn)移到外部。同時(shí)網(wǎng)絡(luò)中也存在著木馬威脅,頑強(qiáng)的木馬可使整個(gè)公司網(wǎng)絡(luò)癱瘓.造成的經(jīng)濟(jì)損失數(shù)額巨大。成為一段時(shí)間以來危害網(wǎng)絡(luò)安全的罪魁禍?zhǔn)住?/p>
3 構(gòu)筑企業(yè)信息安全的“諾亞方舟”
分析威脅企業(yè)信息安全的因素,我們就應(yīng)該有針對(duì)性地采取措施,為企業(yè)信息安全擺脫困境提供高效可行的方法策略,構(gòu)筑令其逃脫劫難的“諾亞方舟”。
3.1構(gòu)筑企業(yè)信息安全“諾亞方舟”的第一步——制度
3.1.1完善企業(yè)信息管理體制
1、完善企業(yè)信息安全管理制度
信息安全防護(hù)應(yīng)是“三分技術(shù),七分管理”,可見,管理對(duì)于企業(yè)信息安全防范確實(shí)很重要。當(dāng)前,不少企業(yè)信息安全體制(包括管理、培訓(xùn)等)和制度還不健全,信息安全防護(hù)措施還不科學(xué)、系統(tǒng),更不能嚴(yán)格執(zhí)行。普遍存在“重建設(shè),輕管理”思想,在安全防護(hù)實(shí)踐中重視對(duì)信息防護(hù)系統(tǒng)中軟硬件購(gòu)置和建設(shè),忽視信息系統(tǒng)操作人員信息安全行為管理,導(dǎo)致軟硬件系統(tǒng)防護(hù)起不到應(yīng)有的作用。
為了維護(hù)信息安全,首先企業(yè)可以引進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,同時(shí)加大對(duì)企業(yè)信息安全的投入,將信息安全技術(shù)新技術(shù)應(yīng)用的于生產(chǎn)實(shí)踐。其次,企業(yè)可以對(duì)不同部門的信息安全進(jìn)行等級(jí)劃分,參照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo)準(zhǔn)為企業(yè)建立系統(tǒng)的信息安全保障體系,建立完整的信息管理機(jī)制,提升信息安全組織管理能力、風(fēng)險(xiǎn)控制能力、技術(shù)設(shè)施水平和服務(wù)能力,逐步建成先進(jìn)實(shí)用、完整可靠的信息安全體系。
2、完善企業(yè)檔案管理制度
首先在企業(yè)檔案管理工作中需要分工協(xié)作,在職務(wù)范圍、責(zé)任、權(quán)利方面形成一定合理的結(jié)構(gòu)體系。形成一個(gè)包括檔案工作分管領(lǐng)導(dǎo)、檔案部門、職能部門、項(xiàng)目負(fù)責(zé)人在內(nèi)的自上而下的層層網(wǎng)絡(luò),各部門各施其職,各負(fù)其責(zé),共同促進(jìn)本企業(yè)檔案工作的正常開展,保障企業(yè)的信息安全。
其次,構(gòu)建企業(yè)檔案工作管理制度,例如檔案管理、利用、備份恢復(fù),特別是檔案的保密制度。威脅企業(yè)信息安全的主要原因就是對(duì)企業(yè)關(guān)系重大的檔案材料由于各種原因泄密,因此,有必要建立企業(yè)檔案工作保密管理制度,對(duì)泄密的人員給予嚴(yán)重的處罰,杜絕類似問題的再現(xiàn)。
3.1.2完善企業(yè)信息安全的法律監(jiān)督機(jī)制
我國(guó)現(xiàn)有的與信息安全有關(guān)的法律法規(guī)數(shù)量不少,但彼此之間缺乏聯(lián)系,難以組成統(tǒng)一的體系。對(duì)于同一問題,在多部法律當(dāng)中都有規(guī)定,但這些規(guī)定不盡相同,甚至彼此矛盾。而對(duì)同一行為,則有多個(gè)行政處罰主體。同時(shí)法律法規(guī)建設(shè)滯后,在我國(guó),法律的修改十分遲緩。如《中華人民共和國(guó)保護(hù)國(guó)家秘密法》己實(shí)施10多年了,當(dāng)時(shí)制訂的時(shí)候互聯(lián)網(wǎng)技術(shù)并沒有普及。與此同時(shí),企業(yè)內(nèi)部關(guān)于信息安全的規(guī)章制度也很少,這就使得很多人鉆法律的空子,企業(yè)在發(fā)生信息安全事故時(shí)沒有相應(yīng)的法律規(guī)章可以遵循,使得這些人從中謀取了暴利。因此,要想保障企業(yè)的信息安全,我們必須完善相應(yīng)的法律制度,對(duì)哪些行為屬于違法犯罪以及怎樣處置給予明確的界定,讓人們有法可依。
市場(chǎng)經(jīng)濟(jì)是法治經(jīng)濟(jì),只有在法治的框架下市場(chǎng)才能有序運(yùn)行。在法治的有效保障下,企業(yè)才能安全、高效的發(fā)展。因此,守法經(jīng)營(yíng)是對(duì)企業(yè)自身的最有效的保護(hù)。將企業(yè)的經(jīng)營(yíng)管理以及處理對(duì)內(nèi)對(duì)外的各種關(guān)系完全納入法制軌道,是企業(yè)安全、有序發(fā)展的可靠保證。
3.2構(gòu)筑企業(yè)信息安全“諾亞方舟”的第二步——人
以人為本是實(shí)現(xiàn)企業(yè)信息安全的保障。企業(yè)為了在當(dāng)今這個(gè)信息化的世界獲得成功.使員工、客戶和合作伙伴通過信息化的方式高效地獲取信息,這樣同時(shí)也增加了信息安全的復(fù)雜性。企業(yè)實(shí)施信息化為其帶來便利的同時(shí)也產(chǎn)生了巨大的信息安全風(fēng)險(xiǎn)。令人吃驚的是信息安全最大的威脅不是來自于技術(shù),而是來自于人。CSI和FBI關(guān)于計(jì)算機(jī)犯罪和信息安全的做了一次調(diào)查,調(diào)查報(bào)告中指出,38%的受訪者表示信息安全事件主要來自于企業(yè)內(nèi)部。
入侵者往往是企業(yè)的合法用戶,他們有意或無意的闖入企業(yè)系統(tǒng),并且造成某種商業(yè)影響的意外事件。大多數(shù)信息安全的漏洞源自人們有意或無意地濫用企業(yè)的信息。例如許多企業(yè)的員工隨意的泄露他們的密碼或者把它記在電腦旁的便簽上,為入侵者打開了方便之門。
因此,在維護(hù)企業(yè)信息安全時(shí),捌門首先需要對(duì)企業(yè)員工經(jīng)常進(jìn)行企業(yè)信息安全方面的培訓(xùn),做到警鐘長(zhǎng)鳴,讓員工建立起信息安全意識(shí)哺’,告訴員工保護(hù)企業(yè)信息的措施方法,例如要求用戶在離開電腦時(shí)注銷他們的電腦系統(tǒng),要求員工不要將公司系統(tǒng)的密碼泄露給其他外部人員,或者是要求系統(tǒng)用戶每一個(gè)月更新一次電腦密碼,要求他們能熟練安裝殺毒軟件和入侵檢測(cè)系統(tǒng);另外,企業(yè)可以與員工簽訂保密協(xié)議,明確當(dāng)信息泄露時(shí)相關(guān)人員的責(zé)任,讓員工了解到信息安全對(duì)企業(yè)的重要性,例如讓員工知道如果他們將企業(yè)信息置于安全威脅之中,企業(yè)所受到的損失以及由此帶來的一系列毀滅性的災(zāi)害。
3.3 構(gòu)筑企業(yè)信息安全“諾亞方舟”的第三步——技術(shù)
首先,由于認(rèn)識(shí)能力和技術(shù)發(fā)展的局限性,在硬件和軟件設(shè)計(jì)過程中,難免留下技術(shù)缺陷,由此可能造成網(wǎng)絡(luò)的安全隱患。其次,網(wǎng)絡(luò)硬件、軟件產(chǎn)品多數(shù)依靠進(jìn)口,如全球90%的微機(jī)都安裝微軟的Windows操作系統(tǒng),許多網(wǎng)絡(luò)黑客就是通過微軟操作系統(tǒng)的漏洞和后門而進(jìn)入網(wǎng)絡(luò)的。企業(yè)應(yīng)當(dāng)根據(jù)自己對(duì)信息安全的要求選擇合適的操作系統(tǒng)和應(yīng)用軟件。目前可供企業(yè)選擇的防止信息安全漏洞的技術(shù)很多,例如防火墻技術(shù)、信息隱藏技術(shù)、密碼術(shù)、入侵檢測(cè)技術(shù)、身份認(rèn)證技術(shù)、云安全等等,因此,在企業(yè)的運(yùn)行中,我們應(yīng)當(dāng)結(jié)合企業(yè)身的狀況,選擇合適的安全技術(shù),保障企業(yè)的信息安全。
4 結(jié)論
隨著我國(guó)企業(yè)信息化建設(shè)的不斷推進(jìn),企業(yè)對(duì)信息的依存度越來越高,保證企業(yè)的信息安全是信息化的首要和核心任務(wù)。有了上述的防護(hù)措施,并不意味著我們的信息已經(jīng)安全了。信息安全靠的是企業(yè)上下全體人員的努力。木桶原理用在這兒非常合適。企業(yè)信息安全的最終水準(zhǔn).是由最薄弱的那一環(huán)來決定的。所以,企業(yè)信息安全需要全體動(dòng)員,共同建設(shè)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:構(gòu)筑企業(yè)信息安全的“諾亞方舟”
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112189489.html