中小企业信息安全管理模型
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中小企业信息安全管理模型
摘要:一个组织内部的信息系统安全如何解决是一个非常重要的问题,许多企业不知道如何解决本公司的信息安全问题,当提到信息安全问题时就想到:防火墙、入侵检测和防病毒等技术方法,而不知道如何从组织上和管理上解决信息安全问题。特别是对于中小企业的信息安全对于自身的发展有着举足轻重的意义,由于中小企业规模小,资金少对于信息安全技术的投入有限,就更加应该从组织上和管理上来解决信息安全问题。
关键词:信息安全;管理;中小企业
1中小企业信息安全现状
在当今经济全球化、竞争自热化和信息技术应用飞速发展的时代,信息化已经成为改善企业管理水平、提高劳动生产率、增强企业核心竞争力的有力武器,企业信息化的核心是企业的各种网络基础没施以及办公、应用系统。大体可以分为生产网,办公网,以及合作伙伴、远程接人、移动办公接入网络等等几个部分。中小企业网络面临的安全威胁主要来自外部和内部人员的恶意攻击和入侵。在网络安全方面,防止内部人员窃取和攻击,以及因其它原因造成企业信息失密,还没有得到中小企业的足够重视。有关调查显示,中小企业从事计算机工作的员工60%以上利用网络处理私人事务。对网络的不正当使用,一方面降低了生产率、阻碍了电脑网络、消耗了企业网络资源,容易引入病毒和间谍,另一方面也使得个别不法员工可以通过网络泄漏企业机密,从而导致企业受到损失。
如何能够满足中小企业信息安全要求,最大限度的保证信息安全,这是很多中小企业必须面对的问题。大多数中小企业对员工的泄密行为,所采取的措施大致有:禁止网络联接;禁止可移动存储器使用;强行拆除光驱、软驱,采购计算机时不采购光驱、软驱等设备;贴封条,定期检查等。或者纯粹依靠员工的责任心、自觉性。通过人治的方法,人为地控制、监督管理,堵住可能泄密的途径和漏洞。这是一种比较传统的保护方式,还不能从本质上解决内部失泄密的问题,早已不能满足企业信息保密的要求。
2中小企业信息安全管理模型的构建
本文希望能够在研究国内外信息安全理论,模型和框架的基础上,结合中小
企业自身的特点为中小企业设计符合它自身的信息安全管理模式。把中小企业的组织体系作为中小企业信息安全研究的出发点,考虑中小企业的管理体系和信息安全技术在信息安全管理中的作用。
由于任何安全管理或者技术手段都离不开人员的实施和组织,因此组织体系是信息安全管理的核心,特别是对于中小企业来说,在有限的技术投资的前提下,在组织体系上保障信息安全尤为重要。管理体系是组织体系进行技术体系实施和管理的具体操作,因此管理体系是中小企业信息安全管理中承上启下的环节。缺乏良好的安全管理结构体系,即使有了构建优秀的技术结构,仍然会面对无法有效管理使用的境地。从而造成大量的资源浪费,也达不到既定的安全目标。技术结构是具体的各种安全功能和需求的技术实现。如防火墙、入侵检测技术和防病毒技术等都是通过不同方式满足技术结构的要求。
2.1组织体系
中小企业由于行业的不同或生产类型不同的企业,其组织机构是不一样的。但总体上中小企业的组织机构是比较简单的,典型的中小企业的结构一般由采购部、财务部、销售部、仓库部、生产部、质量部、人力资源部组成,不同部门有不同的职责。部门内部都存在着各种各样交错的信息流动。对于信息安全组织来说,必须由管理者通过清晰的说明、可证实的承诺、明确的信息安全职责分配和确认,来积极支持组织内的安全。这些职责可以由专门的小组完成,也可以由已经存在的机构来兼职完成。对于中小企业来说可能没有专门的信息安全管理的机构,那么上述的措施应由其他合适或者相近的机构或者单独的管理人员实施。
组织体系没有专门的信息管理机构,可以由总经理直接管理实施,或者财务部门是比较容易实施信息化的部门,该部门对信息安全的重要性的认识更加深刻点,那么也可以有财务部门实施信息安全的职责。
2.2管理体系
信息安全的实施应该是“三分技术,七分管理”,必须做到技术和管理并重,两者都重视才有可能解决好这一问题。信息安全管理主要包括:人力资源安全管理、资产管理、信息安全事故管理和业务连续性管理。
根据信息系统规定的安全等级要求和涉及的信息密级对人员进行审查。所有人员应明确其在安全系统中的职责和权限。信息系统的关键岗位人选:安全负责人、安全管理员、网络管理员、系统管理员、系统分析员等必须经过严格的政审并要考核其业务能力。相关联的关键岗位人员不能兼职。应定期对从事操作和维护信息系统的人员进行培训,成绩合格者才能上岗。对安全负责人和安全管理员要进行高级安全培训,成绩合格者才能上岗。签订保密合同关键岗位人员和涉密
人员要与企业签订保密合同,承诺其对系统应尽的安全保密义务。关键岗位人员调离必须严格办理调离手续,必须及时更换其在各信息系统中的口令和密钥,撤消或冻结其用过的所有账户。
资产管理主要有包括场地设施管理、设备管理和软件管理。建立机房出入登记管理制度,无关人员限制进入机房。建立值班和交接班管理制度。建立机房主要设备维护记录文档圾时检查机房主要设备,确保设备处于正常状态。记录信息系统在不同时点的运行状况,特别是资源开销是否出现异常或超出系统设计指标。对所有设备均应建立项目齐全、管理严格的购置、移交、使用、维护、维修和报废等登记制度,并认真做好登记及检查工作保证设备管理
工作正规化。由专人负责进行设备的日常清洗及定期保养维护,保证设备处于完好状态。一旦设备出现故障,及时修复。应保证设备在出厂标称的使用环境(如温度、湿度、电压、电磁干扰、粉尘等)下工作。软件管理软件管理的范围包括操作系统、应用软件、数据库、安全软件和工具软件等的采购、安装、使用、更新和维护。
无论采取什么样的控制措施,都不可能达到百分之百的安全,总有可能发生信息安全事故,因此亡羊补牢的信息安全的管理成了管理体系中的重要环节。信息安全事件犹如信息安全管理系统总的不合格品,必须采取措施加以预防。这就要求尽可能快地按照正式的事件报告和上报,以便尽早采取措施,降低信息安全事件的危害。
业务连续性管理是一项重要的、综合的管理,涉及企业的诸多方面。防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们即使恢复。
2.3技术体系
目前的信息安全技术主要有数据加密、数字签名、身份认证、防火墙、病毒查杀和人侵检测等。
数据加密是通过对信息的重新组合,使得只有收发双方才能解码并还原信息的一种手段。随着相关技术的发展,加密正逐步被集成到系统和网络中。硬件方面,已经在研制用于Pc机和服务器主板的加密协处理器。
身份认证有多种方法来鉴别一个用户的合法性,如密码技术、利用人体生理特征(入如指纹)进行识别、智能卡等。身份认证技术主要包括身份验证和数字证明。身份识别是指用户向系统出示自己身份证明的过程,主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。