1. 信息安全管理制度不完善
公司對信息化重視程序不夠,內外部的網絡使用管理比較混亂,普遍缺少正確的信息化觀念。很多公司只配備了壹個網絡管理員的崗位,負責簡單的桌面運維和IT設備維護等工作,更別提建立壹套信息安全管理制度了。對於員工的上網行為也極少有效管控,容易造成網絡病毒的攻擊,存在安全隱患。
2. 缺乏信息安全意識
信息安全不光是由IT部門來制定實施的,而是源於每壹個員工、每壹臺設備、每壹臺終端、每壹個系統,只有控制到最細小的顆粒度,安全保護才能達到最大化,達到每壹層的安全保護。大部分企業管理架構的信息安全保護意識不足,全員沒有進行相關的安全教育和培訓。
3. 太過重視項目建設,忽略安全建設
很多企業經營者認為,只要建設了幾個項目,企業就有了信息化。這也是長期存在企業主大腦中的固有思維,都太過於重視單個信息系統的項目建設,而忽略整體IT戰略的規劃,更沒有信息安全建設壹說。
4. 信息系統陳舊落後
過於陳舊的系統設備、過於老化的系統軟件、不及時的補丁更新等都會導致信息安全漏洞,使安全風險加大。安全漏洞防範機制不健全、對於緊急事故處理不及時,還有壹個就是企業舍不得投資花錢,最終壹旦出了安全事故,會付出比設備和系統本身更昂貴的成本。
因此,為了謀求企業的長遠發展,企業應該在經營層面制定信息安全體系。企業IT部門要建立多層次的安全防護體系,制定和完善相應的信息安全管理策略,要以預防為主、綜合管理、人員防範和技術防範相結合的原則,具體措施建議以下:
1. 構建並完善信息安全管理制度
重視IT部門的建設,將IT部門的定位由服務部門轉為業務部門,對IT部門的崗位職責必須進行統壹規劃和分工,分工明確,各司其職。保障管理的效率性,防止多頭控制和執行不力的現象出現,保障權責統壹。設定使用權限,未簽訂允許授權單不得進入計算機信息網絡或者使用計算機信息網絡資源,將安全信息工作落到實處。
2. 提升全員信息安全意識
建立信息安全培訓教育制度,定期培訓,開展講座。組織全體工作人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》,提高自上而下工作人員的維護網絡安全的警惕性和自覺性。壹旦發現從事危害計算機信息網絡安全的操作活動的,承擔相應的處罰責任,簽訂安全信息保密承諾書。從各部門級出發,針對這些信息隱患制訂安全防範措施。
3. 及時改進安全方案,調整安全策略
隨著信息技術的不斷進步和發展,企業的信息安全策略也要因時而變。面對各種新的未知技術和威脅,不是所有的信息安全問題都可以壹次性解決,人們對信息安全問題的認識是隨著技術和應用的發展而逐步提高的,不可能壹次就發現所有的安全問題。
綜上,信息安全是相對的,不是絕對的,是壹個伴隨著企業信息化應用發展而發展的永恒課題。所以要以戰略的角度來考慮,從信息建設、人員配置、機制流程等方面入手,制定有效的管理策略與措施,加強應對信息安全事件的應急處置能力,維護基礎信息網絡、重要信息系統和重要控制系統的安全,保障公司各項生產經營活動安全的順利開展。