据美国媒体报道,名列《财富》全球1000强的大公司,平均每年发生2.45次的商业间谍事件,损失总额高达450亿美元。世界上每2分钟就有1个企业因为信息安全问题倒闭,有11个企业因为信息安全问题造成大约800多万美元的直接经济损失。在所有的信息安全事故中,由于内部员工的疏忽或有意泄密所造成的约占70%。全面开展保密工作,保护商业秘密安全,应成为企业的首要工作。忽视那些不易被察觉的小问题,我们的企业极可能会陷入困境,面临“末日”。我们急需的是找到为企业安全摆脱困境的高效可行的方法策略,构筑令其逃脱劫难的“诺亚方舟”。
笔者认为,企业经营者在信任技术的同时,也应当从企业信息本身的内容和性质上来思考企业的信息安全这一问题。企业信息纷繁多样,无论企业规模大小,每天都在产生着很多信息,一张报表、一份订单、一项计划、一次人事变动,一项研发成果等等,都是企业所产生的信息。其中很多信息常常被忽略,但不可否认的是,它们都存在或多或少的价值。
1 企业信息安全的基本内容
我们都知道,企业管理中最重要的“3M”理论,即企业管理主要是对人(man)、物(material)、财(money)的管理n1。在对这三者进行管理的过程中必然产生大量的信息,这些都是企业的核心信息,对企业的经营成败具有关键的作用。因此,笔者认为,企业信息安全的基本内容包括人的信息安全、物的信息安全和财的信息安全。
1.1人的信息安全
众所周知,企业中最为活跃的主体是人,现代社会企业的竞争,从根本上说是人才的竞争,谁能拥有高素质的人才,谁就能在现代社会的激烈竞争中站稳脚跟。一个企业想要留住员工,除了有丰厚的报酬以外,还要尊重员工。其中对员工个人信息的尊重就是其中重要的内容。大部分员工信息都涉及到个人的隐私,是需要保密的。由于员工的信息是动态的、累加的,并且可能会涉及多个部门,因此也是最容易发生泄漏的,不注意保密就有可能对相关者产生危害,从而危及企业的发展,所以说员工的信息安全是企业信息安全的重要组成部分。
1.2物的信息安全
企业的价值创造离不开物的基础,创造本身又表现为物的创新。这些物的因素包括厂房等基础设施设备、产品以及网络系统,它们的产生过程包括了设计开发和创造智慧,对其管理离不开产生、开发、维护、创造这些物的信息。这些信息是企业最为重要的信息资源,它直接关系到企业的知识管理、知识产权维护和创新机制。
1.3财的信息安全
当今世界,无论企业属于何种类型,从事哪种行业,规模大小如何,都会拥有自己的财务,这是一个企业作为独立法人所必须具备的必不可少的条件。企业在财务管理的过程中必然会产生大量的财务信息。它是企业财政预算的权威数据材料,是企业经济决策的信息支撑,是企业成本控制的重要依据,是企业一切经济活动的过程控制和凭证呈现。企业的财务信息如果被窥视窃取,就会给这个企业的经营管理带来重大的损失。
2 威胁企业信息安全的因素
造成企业信息泄露的原因是多种多样的,我们要有效地治理企业信息的泄密,就必须了解到哪些环节哪些方面是最可能造成泄密的,然后找准方向,重点推进,集中主要力量来解决。笔者认为,造成企业信息泄露主要有以下四种原因。
2.1企业信息管理机制不健全
首先,企业档案部门作为企业的重要信息部门,其重要的意义在于积累和保存能为企业所用的记录和信息,是企业信息控制的有效机制。而且企业的档案也是企业信息的重要载体,企业的各种信息,例如人的信息、财的信息、物的信息都是以档案的形式存在的,由此出现了大量的企业人事档案、会计档案以及设备、科技、产品档案。由于各方面的原因,到目前为止,很多企业,特别是中小型企业还没有意识到档案管理的重要性,也没有给予足够的重视。导致档案被分散在各个部门而且没有专人管理,这不仅影响到企业档案信息的完整性,而且还使得这些信息更容易丢失,给想要窃取企业信息的人提供了很好的契机,在很大程度上威胁到了企业的信息安全。与此同时,由于企业没有树立档案异地保存的意识,这就使得在重大自然灾害发生时,企业的信息安全遭遇毁灭性的破坏。例如,2008年的汶川地震,很多企业因为没有对本公司的重要数据信息进行备份异地保存,造成了企业数据资料的丢失,使得企业在恢复重建上遇到了前所未有的阻力。
其次,关于企业信息安全也没有专门的管理方法,管理人员专注的只是企业产品的生产经营,对企业信息安全无暇顾及。
2.2移动存储设备利用不当
科技高度发展的今天,电子产品日新月异,光盘、U盘、移动硬盘,mp3等可移动存储的磁介质越来越小,装载的信息量越来越多,使用越来越方便,这就给企业信息安全造成了一个潜在的威胁。例如,某大型油井钻头生产企业就由于公司的一位高工利用随身携带的U盘拷贝了只有该公司才有的设备工艺图纸,并将其卖给了对手企业,使该公司一年直接损失了2000万元。
2.3企业内部人员泄露
内部员工信息安全意识不强,以及各种商业间谍的出现,使得员工在不经意或是故意间将企业的重要信息泄露出去。现在职工辞职后为谋取个人自身利益,将企业的重要信息带出变卖的案例时有发生。
2.4网络威胁
现在基本上已是互联网络时代,互联网的发展为病毒、木马、黑客等的发展提供了最好的温床。通过电子邮件,或者即时通讯软件,几个G的文件很容易被转移到外部。同时网络中也存在着木马威胁,顽强的木马可使整个公司网络瘫痪.造成的经济损失数额巨大。成为一段时间以来危害网络安全的罪魁祸首。
3 构筑企业信息安全的“诺亚方舟”
分析威胁企业信息安全的因素,我们就应该有针对性地采取措施,为企业信息安全摆脱困境提供高效可行的方法策略,构筑令其逃脱劫难的“诺亚方舟”。
3.1构筑企业信息安全“诺亚方舟”的第一步——制度
3.1.1完善企业信息管理体制
1、完善企业信息安全管理制度
信息安全防护应是“三分技术,七分管理”,可见,管理对于企业信息安全防范确实很重要。当前,不少企业信息安全体制(包括管理、培训等)和制度还不健全,信息安全防护措施还不科学、系统,更不能严格执行。普遍存在“重建设,轻管理”思想,在安全防护实践中重视对信息防护系统中软硬件购置和建设,忽视信息系统操作人员信息安全行为管理,导致软硬件系统防护起不到应有的作用。
为了维护信息安全,首先企业可以引进信息安全风险评估机制,定期进行风险评估,同时加大对企业信息安全的投入,将信息安全技术新技术应用的于生产实践。其次,企业可以对不同部门的信息安全进行等级划分,参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》等国家标准为企业建立系统的信息安全保障体系,建立完整的信息管理机制,提升信息安全组织管理能力、风险控制能力、技术设施水平和服务能力,逐步建成先进实用、完整可靠的信息安全体系。
2、完善企业档案管理制度
首先在企业档案管理工作中需要分工协作,在职务范围、责任、权利方面形成一定合理的结构体系。形成一个包括档案工作分管领导、档案部门、职能部门、项目负责人在内的自上而下的层层网络,各部门各施其职,各负其责,共同促进本企业档案工作的正常开展,保障企业的信息安全。
其次,构建企业档案工作管理制度,例如档案管理、利用、备份恢复,特别是档案的保密制度。威胁企业信息安全的主要原因就是对企业关系重大的档案材料由于各种原因泄密,因此,有必要建立企业档案工作保密管理制度,对泄密的人员给予严重的处罚,杜绝类似问题的再现。
3.1.2完善企业信息安全的法律监督机制
我国现有的与信息安全有关的法律法规数量不少,但彼此之间缺乏联系,难以组成统一的体系。对于同一问题,在多部法律当中都有规定,但这些规定不尽相同,甚至彼此矛盾。而对同一行为,则有多个行政处罚主体。同时法律法规建设滞后,在我国,法律的修改十分迟缓。如《中华人民共和国保护国家秘密法》己实施10多年了,当时制订的时候互联网技术并没有普及。与此同时,企业内部关于信息安全的规章制度也很少,这就使得很多人钻法律的空子,企业在发生信息安全事故时没有相应的法律规章可以遵循,使得这些人从中谋取了暴利。因此,要想保障企业的信息安全,我们必须完善相应的法律制度,对哪些行为属于违法犯罪以及怎样处置给予明确的界定,让人们有法可依。
市场经济是法治经济,只有在法治的框架下市场才能有序运行。在法治的有效保障下,企业才能安全、高效的发展。因此,守法经营是对企业自身的最有效的保护。将企业的经营管理以及处理对内对外的各种关系完全纳入法制轨道,是企业安全、有序发展的可靠保证。
3.2构筑企业信息安全“诺亚方舟”的第二步——人
以人为本是实现企业信息安全的保障。企业为了在当今这个信息化的世界获得成功.使员工、客户和合作伙伴通过信息化的方式高效地获取信息,这样同时也增加了信息安全的复杂性。企业实施信息化为其带来便利的同时也产生了巨大的信息安全风险。令人吃惊的是信息安全最大的威胁不是来自于技术,而是来自于人。CSI和FBI关于计算机犯罪和信息安全的做了一次调查,调查报告中指出,38%的受访者表示信息安全事件主要来自于企业内部。
入侵者往往是企业的合法用户,他们有意或无意的闯入企业系统,并且造成某种商业影响的意外事件。大多数信息安全的漏洞源自人们有意或无意地滥用企业的信息。例如许多企业的员工随意的泄露他们的密码或者把它记在电脑旁的便签上,为入侵者打开了方便之门。
因此,在维护企业信息安全时,捌门首先需要对企业员工经常进行企业信息安全方面的培训,做到警钟长鸣,让员工建立起信息安全意识哺’,告诉员工保护企业信息的措施方法,例如要求用户在离开电脑时注销他们的电脑系统,要求员工不要将公司系统的密码泄露给其他外部人员,或者是要求系统用户每一个月更新一次电脑密码,要求他们能熟练安装杀毒软件和入侵检测系统;另外,企业可以与员工签订保密协议,明确当信息泄露时相关人员的责任,让员工了解到信息安全对企业的重要性,例如让员工知道如果他们将企业信息置于安全威胁之中,企业所受到的损失以及由此带来的一系列毁灭性的灾害。
3.3 构筑企业信息安全“诺亚方舟”的第三步——技术
首先,由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,由此可能造成网络的安全隐患。其次,网络硬件、软件产品多数依靠进口,如全球90%的微机都安装微软的Windows操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门而进入网络的。企业应当根据自己对信息安全的要求选择合适的操作系统和应用软件。目前可供企业选择的防止信息安全漏洞的技术很多,例如防火墙技术、信息隐藏技术、密码术、入侵检测技术、身份认证技术、云安全等等,因此,在企业的运行中,我们应当结合企业身的状况,选择合适的安全技术,保障企业的信息安全。
4 结论
随着我国企业信息化建设的不断推进,企业对信息的依存度越来越高,保证企业的信息安全是信息化的首要和核心任务。有了上述的防护措施,并不意味着我们的信息已经安全了。信息安全靠的是企业上下全体人员的努力。木桶原理用在这儿非常合适。企业信息安全的最终水准.是由最薄弱的那一环来决定的。所以,企业信息安全需要全体动员,共同建设。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:构筑企业信息安全的“诺亚方舟”
相关文章
