構筑企業信息安全的“諾亞方舟”

    據美國媒體報道，名列《財富》全球1000強的大公司，平均每年發生2．45次的商業間諜事件，損失總額高達450億美元。世界上每2分鐘就有1個企業因為信息安全問題倒閉，有11個企業因為信息安全問題造成大約800多萬美元的直接經濟損失。在所有的信息安全事故中，由于內部員工的疏忽或有意泄密所造成的約占70％。全面開展保密工作，保護商業秘密安全，應成為企業的首要工作。忽視那些不易被察覺的小問題，我們的企業極可能會陷入困境，面臨“末日”。我們急需的是找到為企業安全擺脫困境的高效可行的方法策略，構筑令其逃脫劫難的“諾亞方舟”。

    筆者認為，企業經營者在信任技術的同時，也應當從企業信息本身的內容和性質上來思考企業的信息安全這一問題。企業信息紛繁多樣，無論企業規模大小，每天都在產生著很多信息，一張報表、一份訂單、一項計劃、一次人事變動，一項研發成果等等，都是企業所產生的信息。其中很多信息常常被忽略，但不可否認的是，它們都存在或多或少的價值。

1 企業信息安全的基本內容

    我們都知道，企業管理中最重要的“3M”理論，即企業管理主要是對人(man)、物(material)、財(money)的管理n1。在對這三者進行管理的過程中必然產生大量的信息，這些都是企業的核心信息，對企業的經營成敗具有關鍵的作用。因此，筆者認為，企業信息安全的基本內容包括人的信息安全、物的信息安全和財的信息安全。

    1．1人的信息安全

    眾所周知，企業中最為活躍的主體是人，現代社會企業的競爭，從根本上說是人才的競爭，誰能擁有高素質的人才，誰就能在現代社會的激烈競爭中站穩腳跟。一個企業想要留住員工，除了有豐厚的報酬以外，還要尊重員工。其中對員工個人信息的尊重就是其中重要的內容。大部分員工信息都涉及到個人的隱私，是需要保密的。由于員工的信息是動態的、累加的，并且可能會涉及多個部門，因此也是最容易發生泄漏的，不注意保密就有可能對相關者產生危害，從而危及企業的發展，所以說員工的信息安全是企業信息安全的重要組成部分。

    1．2物的信息安全

    企業的價值創造離不開物的基礎，創造本身又表現為物的創新。這些物的因素包括廠房等基礎設施設備、產品以及網絡系統，它們的產生過程包括了設計開發和創造智慧，對其管理離不開產生、開發、維護、創造這些物的信息。這些信息是企業最為重要的信息資源，它直接關系到企業的知識管理、知識產權維護和創新機制。

    1．3財的信息安全

    當今世界，無論企業屬于何種類型，從事哪種行業，規模大小如何，都會擁有自己的財務，這是一個企業作為獨立法人所必須具備的必不可少的條件。企業在財務管理的過程中必然會產生大量的財務信息。它是企業財政預算的權威數據材料，是企業經濟決策的信息支撐，是企業成本控制的重要依據，是企業一切經濟活動的過程控制和憑證呈現。企業的財務信息如果被窺視竊取，就會給這個企業的經營管理帶來重大的損失。

2 威脅企業信息安全的因素

    造成企業信息泄露的原因是多種多樣的，我們要有效地治理企業信息的泄密，就必須了解到哪些環節哪些方面是最可能造成泄密的，然后找準方向，重點推進，集中主要力量來解決。筆者認為，造成企業信息泄露主要有以下四種原因。

    2．1企業信息管理機制不健全

    首先，企業檔案部門作為企業的重要信息部門，其重要的意義在于積累和保存能為企業所用的記錄和信息，是企業信息控制的有效機制。而且企業的檔案也是企業信息的重要載體，企業的各種信息，例如人的信息、財的信息、物的信息都是以檔案的形式存在的，由此出現了大量的企業人事檔案、會計檔案以及設備、科技、產品檔案。由于各方面的原因，到目前為止，很多企業，特別是中小型企業還沒有意識到檔案管理的重要性，也沒有給予足夠的重視。導致檔案被分散在各個部門而且沒有專人管理，這不僅影響到企業檔案信息的完整性，而且還使得這些信息更容易丟失，給想要竊取企業信息的人提供了很好的契機，在很大程度上威脅到了企業的信息安全。與此同時，由于企業沒有樹立檔案異地保存的意識，這就使得在重大自然災害發生時，企業的信息安全遭遇毀滅性的破壞。例如，2008年的汶川地震，很多企業因為沒有對本公司的重要數據信息進行備份異地保存，造成了企業數據資料的丟失，使得企業在恢復重建上遇到了前所未有的阻力。

    其次，關于企業信息安全也沒有專門的管理方法，管理人員專注的只是企業產品的生產經營，對企業信息安全無暇顧及。

    2．2移動存儲設備利用不當

    科技高度發展的今天，電子產品日新月異，光盤、U盤、移動硬盤，mp3等可移動存儲的磁介質越來越小，裝載的信息量越來越多，使用越來越方便，這就給企業信息安全造成了一個潛在的威脅。例如，某大型油井鉆頭生產企業就由于公司的一位高工利用隨身攜帶的U盤拷貝了只有該公司才有的設備工藝圖紙，并將其賣給了對手企業，使該公司一年直接損失了2000萬元。

    2．3企業內部人員泄露

    內部員工信息安全意識不強，以及各種商業間諜的出現，使得員工在不經意或是故意間將企業的重要信息泄露出去�，F在職工辭職后為謀取個人自身利益，將企業的重要信息帶出變賣的案例時有發生。

    2．4網絡威脅

    現在基本上已是互聯網絡時代，互聯網的發展為病毒、木馬、黑客等的發展提供了最好的溫床。通過電子郵件，或者即時通訊軟件，幾個G的文件很容易被轉移到外部。同時網絡中也存在著木馬威脅，頑強的木馬可使整個公司網絡癱瘓．造成的經濟損失數額巨大。成為一段時間以來危害網絡安全的罪魁禍首。

3 構筑企業信息安全的“諾亞方舟”

    分析威脅企業信息安全的因素，我們就應該有針對性地采取措施，為企業信息安全擺脫困境提供高效可行的方法策略，構筑令其逃脫劫難的“諾亞方舟”。

    3．1構筑企業信息安全“諾亞方舟”的第一步——制度

    3．1．1完善企業信息管理體制

    1、完善企業信息安全管理制度

    信息安全防護應是“三分技術，七分管理”，可見，管理對于企業信息安全防范確實很重要。當前，不少企業信息安全體制(包括管理、培訓等)和制度還不健全，信息安全防護措施還不科學、系統，更不能嚴格執行。普遍存在“重建設，輕管理”思想，在安全防護實踐中重視對信息防護系統中軟硬件購置和建設，忽視信息系統操作人員信息安全行為管理，導致軟硬件系統防護起不到應有的作用。

    為了維護信息安全，首先企業可以引進信息安全風險評估機制，定期進行風險評估，同時加大對企業信息安全的投入，將信息安全技術新技術應用的于生產實踐。其次，企業可以對不同部門的信息安全進行等級劃分，參照《信息系統安全等級保護實施指南》、《信息系統等級保護安全設計技術要求》等國家標準為企業建立系統的信息安全保障體系，建立完整的信息管理機制，提升信息安全組織管理能力、風險控制能力、技術設施水平和服務能力，逐步建成先進實用、完整可靠的信息安全體系。

    2、完善企業檔案管理制度

    首先在企業檔案管理工作中需要分工協作，在職務范圍、責任、權利方面形成一定合理的結構體系。形成一個包括檔案工作分管領導、檔案部門、職能部門、項目負責人在內的自上而下的層層網絡，各部門各施其職，各負其責，共同促進本企業檔案工作的正常開展，保障企業的信息安全。

    其次，構建企業檔案工作管理制度，例如檔案管理、利用、備份恢復，特別是檔案的保密制度。威脅企業信息安全的主要原因就是對企業關系重大的檔案材料由于各種原因泄密，因此，有必要建立企業檔案工作保密管理制度，對泄密的人員給予嚴重的處罰，杜絕類似問題的再現。

    3．1．2完善企業信息安全的法律監督機制

    我國現有的與信息安全有關的法律法規數量不少，但彼此之間缺乏聯系，難以組成統一的體系。對于同一問題，在多部法律當中都有規定，但這些規定不盡相同，甚至彼此矛盾。而對同一行為，則有多個行政處罰主體。同時法律法規建設滯后，在我國，法律的修改十分遲緩。如《中華人民共和國保護國家秘密法》己實施10多年了，當時制訂的時候互聯網技術并沒有普及。與此同時，企業內部關于信息安全的規章制度也很少，這就使得很多人鉆法律的空子，企業在發生信息安全事故時沒有相應的法律規章可以遵循，使得這些人從中謀取了暴利。因此，要想保障企業的信息安全，我們必須完善相應的法律制度，對哪些行為屬于違法犯罪以及怎樣處置給予明確的界定，讓人們有法可依。

    市場經濟是法治經濟，只有在法治的框架下市場才能有序運行。在法治的有效保障下，企業才能安全、高效的發展。因此，守法經營是對企業自身的最有效的保護。將企業的經營管理以及處理對內對外的各種關系完全納入法制軌道，是企業安全、有序發展的可靠保證。

    3．2構筑企業信息安全“諾亞方舟”的第二步——人

    以人為本是實現企業信息安全的保障。企業為了在當今這個信息化的世界獲得成功．使員工、客戶和合作伙伴通過信息化的方式高效地獲取信息，這樣同時也增加了信息安全的復雜性。企業實施信息化為其帶來便利的同時也產生了巨大的信息安全風險。令人吃驚的是信息安全最大的威脅不是來自于技術，而是來自于人。CSI和FBI關于計算機犯罪和信息安全的做了一次調查，調查報告中指出，38％的受訪者表示信息安全事件主要來自于企業內部。

    入侵者往往是企業的合法用戶，他們有意或無意的闖入企業系統，并且造成某種商業影響的意外事件。大多數信息安全的漏洞源自人們有意或無意地濫用企業的信息。例如許多企業的員工隨意的泄露他們的密碼或者把它記在電腦旁的便簽上，為入侵者打開了方便之門。

    因此，在維護企業信息安全時，捌門首先需要對企業員工經常進行企業信息安全方面的培訓，做到警鐘長鳴，讓員工建立起信息安全意識哺’，告訴員工保護企業信息的措施方法，例如要求用戶在離開電腦時注銷他們的電腦系統，要求員工不要將公司系統的密碼泄露給其他外部人員，或者是要求系統用戶每一個月更新一次電腦密碼，要求他們能熟練安裝殺毒軟件和入侵檢測系統；另外，企業可以與員工簽訂保密協議，明確當信息泄露時相關人員的責任，讓員工了解到信息安全對企業的重要性，例如讓員工知道如果他們將企業信息置于安全威脅之中，企業所受到的損失以及由此帶來的一系列毀滅性的災害。

    3.3 構筑企業信息安全“諾亞方舟”的第三步——技術

    首先，由于認識能力和技術發展的局限性，在硬件和軟件設計過程中，難免留下技術缺陷，由此可能造成網絡的安全隱患。其次，網絡硬件、軟件產品多數依靠進口，如全球90％的微機都安裝微軟的Windows操作系統，許多網絡黑客就是通過微軟操作系統的漏洞和后門而進入網絡的。企業應當根據自己對信息安全的要求選擇合適的操作系統和應用軟件。目前可供企業選擇的防止信息安全漏洞的技術很多，例如防火墻技術、信息隱藏技術、密碼術、入侵檢測技術、身份認證技術、云安全等等，因此，在企業的運行中，我們應當結合企業身的狀況，選擇合適的安全技術，保障企業的信息安全。

4 結論

    隨著我國企業信息化建設的不斷推進，企業對信息的依存度越來越高，保證企業的信息安全是信息化的首要和核心任務。有了上述的防護措施，并不意味著我們的信息已經安全了。信息安全靠的是企業上下全體人員的努力。木桶原理用在這兒非常合適。企業信息安全的最終水準．是由最薄弱的那一環來決定的。所以，企業信息安全需要全體動員，共同建設。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：構筑企業信息安全的“諾亞方舟”

本文網址：http://m.hanmeixuan.com/html/support/1112189489.html