理性對待信息安全
在企業的實際運營過程中,對待信息安全有兩種現象:壹是高層管理者談安全色變,認為信息壹旦電子化後,信息的安全性得不到保障。這已經成為阻礙信息化實施的壹個“潛規則”;二是IT人員簡單地認為,信息安全就是技術層次的問題,可以通過技術手段(例如防火墻、入侵檢測等)解決,偏重於考慮網絡安全,而沒有真正領會到領導的痛處。
筆者認為,在對待信息安全方面,有以下幾點需要明確:
1. 持續性:要求我們關註技術的發展,關註傳統信息安全與非傳統信息安全的演變;
2. 全面性:企業信息涵蓋企業經營的方方面面,如產品配方、制造流程、生產工藝等,要關註信息流動的各個環節;
3. 復雜性:持續性、全面性的特點也恰恰決定了信息安全的復雜性。運用社會工程學,從技術體系的運用到改進管理體制的不足,可以徹底解決信息安全的被動局面;
4. 戰略性:管理者對信息安全的認識與理解是解決信息安全問題的根本動力,對企業信息安全的實施要上升到企業競爭情報與企業商業秘密保護的高度。
在解決信息安全的道路上,管理是根本,技術是保障。企業應該從管理與技術兩個層面來考慮信息安全問題。首先,應該從管理的戰略高度上重視信息安全,把信息安全提高到企業商業秘密保護的高度上,例如在企業審計過程中進行信息安全的審計。在國際註冊內部審計師認證考試中,信息系統的安全審計就是重要的壹部分,包括對系統資源的管理和信息資源分級分類管理、信息系統賬戶的管理、安全事件的管理等。
其次,在技術層面,要利用相應的安全技術解決信息安全問題,這樣才能讓信息安全落地,如防火墻、入侵檢測、傳輸安全、數據庫安全、內部用戶的上網行為管理等,並且需要動態地跟蹤技術的進步。但技術不是目的,圍繞業務保障應用安全,再進壹步促進應用的拓展才是目的。
構建企業信息安全
管理體系
在充分認識管理與技術關系的基礎上,就需要從制度、流程、人三個方面構建企業信息安全管理體系。
1. 加強信息安全意識的培訓,首先是企業領導要認識到信息安全的重要性,還要對技術人員加強培訓,統壹認識。
2. 配合著商業秘密保護,成立相應的專業機構,納入公司整體的商業秘密保護工作中,同集團的管理機構相結合。
3. 在具體工作上明確信息安全等級,根據各個應用系統的不同特點來定位需要哪種安全服務種類。並不是所有信息都要嚴格地實時傳輸,比如郵箱的信息在傳輸過程中可以有幾個小時的中斷,這就不壹定都要采用最高安全級別,這樣劃分等級的話也可以降低企業在信息安全上的投資。
4. 制定信息安全的管理制度。比如在為用戶分配賬戶、密碼的同時,可以再加上令牌、鑰匙盤、key等硬件方面的認證手段,甚至配合級別更高的虛擬認證。另外,要制定健全的信息安全管理制度,為用戶設置不同的權限,用戶的賬戶密碼必須在使用壹定時間後進行修改。
5. 在前面的基礎上做好人員和技術上的預防措施。人員是實施信息安全的操作者,對人員的預防措施更要考慮周到;同時,還不能完全信賴技術,在采用壹些技術手段的同時,還要做好最壞的打算,防患於未然。
由於缺乏專業的信息安全知識,企業的管理者與信息化部門不了解信息安全的威脅在哪裏,所以就產生了信息安全風險評估的潛在需求,風險評估的必要性已經具備。對於信息安全風險評估的可行性,還需要在國家政策、行業標準、關鍵技術以及秘密保護(商業誠信)等方面進行推動。
企業信息安全管理體制的建立歸根結底是要根據企業的應用需求,企業財務、銷售、生產等不同流程的不同要求才是信息安全體制建立的最根本動力和目的。
督導落實信息安全
信息安全工作是企業商業秘密保護的重要組成部分,是壹個涉及每個公司、每個部門甚至每個員工的系統工程。企業在制定完備的制度時,應加強對企業信息安全的督導和落實,根據企業各部門職責將專業指導分工與監督落實相結合。
根據各公司、各部門的職責分工為企業落實信息安全保護措施提供專業性指導,形成完整的商業秘密保護體系;與商業秘密保護相關的專業機構要加強監督檢查,及時發現和分析企業商業秘密保護工作中出現的問題,對信息安全工作進行補充完善,並總結、推廣先進的做法和成功的經驗,努力探索企業商業秘密保護的有效途徑。
審計部門要把信息安全工作(商業秘密保護工作)審計作為日常審計工作的內容之壹,形成正式的審計報告,提交公司決策層、管理層,促進信息安全工作。