浅谈某公司的信息安全建设与管理(通用版)

浅谈某公司的信息安全建设与

管理(通用版)

Safety work has only a starting point and no end. Only the leadership can really pay attention to it, measures are implemented, and assessments are in place.

( 安全管理 )

单位：______________________

姓名：______________________

日期：______________________

编号：AQ-SN-0439

浅谈某公司的信息安全建设与管理(通用

版)

摘要：本文以XX的信息管理为研究对象,对信息安全现状进行调研和分析,并对未来的信息安全建设将会遇到的主要问题做了深入研究。从目前信息建设、人员配置、机制流程等方面进行了差距分析与对比,结合本企业的实际情况,制定出了符合本企业的信息安全管理策略的基本框架和指导建议,并提供了信息安全管理体系实施的搭建方案,最终对该信息安全体系实施进行了总结评价与未来展望。在企业信息化大规模发展的形势下,如何有效地减少或避免因信息安全事故而带来的企业经济损失,是亟需解决的、具有重大战略意义的研究课题。本论文的研究是为了保障企业信息安全建设目标达成,并最大化地保障企业利益,并取得良好的管理效果。

关键词：信息管理;信息安全系统;信息安全管理体系;一、前言

北京XX有限公司（简称BSMC）的前身是首钢日电电子有限公司（SGNEC），成立于1991年12月。由首钢总公司和日本NEC电子株式会社，致力于半导体集成电路制造和销售的生产厂商。公司拥有半导体集成电路生产的完整生产线(包括晶圆制造和IC封装)，主要产品品种有MCU(微机控制单元)电路、遥控电路、显示驱动电路、通用LIC等。公司主要负责ＮＥＣ电子及美国的客户，同时面向国内客户，开展Foundry产品的代研。是我国最早从事大规模集成电路设计、制造、封装和测试的高科技企业之一。由于技术合同到期，2013年12月，成为首钢总公司旗下的全资子公司。

该公司依托日本先进的半导体企业管理模式，严控制、高效率，建立了较为完备的生产管理系统。但企业信息系统的建设并不完善，还存在着各种问题。尤其是在制造业企业信息化的发展过程中，企业信息安全建设存在与企业发展不符的现象，有待于针对这些问题认真剖析展开调查进而解决，希望能够对企业今后的持续发展带来帮助。

二、企业信息管理的现状

随着知识经济的到来以及信息化网络技术的快速发展,信息系

统网络信息化管理模式已经在XX公司中广泛应用,很多的日常工作都必须要依靠信息系统来完成,比如03系统（产品投入履历跟踪）、AMS系统（设备和产品异常处理）、PMS系统（业务订单投入出荷）、VISDA系统（产品生产信息跟踪分析）。本司以“确保产品质量、满足顾客要求第一”为质量方针，通过各信息系统竭诚为广大客户提供一流产品和服务。

然而,信息系统的高效与便利在提高XX公司工作效率的同时,由于缺乏先进的管理经验以及技术支持,在实际的运行过程中,仍然存在一定的管理问题,例如:网络信息的安全威胁等。当下，是信息的时代，安全性关系到企业的健康发展。就当前企业信息安全管理的现状及策略问题进行分析阐述。分别从策略，组织，管理三个方面进行了研究，并分析安全管理现状,指出本企业在大数据安全管理方面存在不足，结合实际给出了具体建议和方法，及具体的实施方案。

1、信息管理制度不完善

对内部和外部网络使用管理混乱，缺少正确的信息化观念。公

司目前有500来台计算机，中级管理层以上人员可以随意使用外部网络，个别人上班时间进行网络购物；容易造成网络病毒的攻击，存在安全隐患。

2、企业管理落后，缺少信息安全意识

信息安全源于每一个员工，达到每一层的安全保护，管理架构的信息安全保护意识不足，全员没有受到教育和培训。生产过程中就出现过由于违规操作，导致设备软件系统瘫痪，使设备不能正常运行的严重问题。由于作业者上班时间，利用生产设备的计算机玩游戏，误操作，删除了生产程序系统内容，备份软件和现有技术力量无法恢复，必须聘请厂家技术解决，导致了严重的经济损失。

3、上层管理不重视，重要性被弱化。

管理者战略对信息建设认识不足。没有投入更多的人力和物力来保障信息安全，技术人员能力不足或身兼数职等现象，对信息安全的管理工作造成了极大的安全隐患。

4、信息系统陈旧低端。

信息系统、网络系统不匹配。生产车间使用O3系统还是2010

年开发的，后继无更新；异常系统AMS不能添加附件，office不兼容。一是由于不匹配，系统过时，使安全风险加大；二是没有及时更新信息系统，安全问题薄弱；三是安全漏洞防范不健全、没针对性地做出预防处理及紧急事故预案。

三、信息的安全管理策略及措施

为谋求企业的长远发展，企业信息安全必须体现在企业经营战略层次。管理者必须以预防为主、综合管理、人员防范和技术防范相结合，逐级建立多层次的安全防护体系，综全防范实现一体化的安全系统。鉴于此，该公司应制定相应的信息安全管理策略及实施措施如下。

（一）信息安全管理策略

1、构建并完善信息管理制度。

必须进行统一规划和分工。指定管理保障责任部门，分工明确，各司其职。保障管理的效率性，防止多头控制和执行不力的现象出现，保障权责统一。设定使用权限，未签订允许授权单不得进入计算机信息网络或者使用计算机信息网络资源，将安全信息工作落到

实处。

2、提升全员信息安全意识。

建立信息安全培训教育制度。组织全体工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高自上而下工作人员的维护网络安全的警惕性和自觉性。一旦发现从事危害计算机信息网络安全的操作活动的，承担相应的处罚责任，签订安全信息保密承诺书。从各部门级出发，针对这些信息隐患制订安全防范措施。

3、建立信息中心，加强管理和维护。

信息安全问题需要从技术、运行环境与异常突发事件的保障三方面解决。①技术控制层，即在计算机系统及其程序设计中加以安全控制。使用正版软件，保护运行环境，管理者必须以预防为主、综合管理、人员防范和技术防范相结合，逐级建立多层次的安全防护体系，综全防范实现分级阻止违规行为，实现一体化的安全系统。确保在停电后，业务应用的安全管理。信管部在接到停电通知时，应设置便签提醒自己具体要停电的时间，若停电时间在上班时间，则提前发出通知给生产现场，避免在停电时出现文件损坏或资料丢