1. <tt id="5hhch"><source id="5hhch"></source></tt>
    1. <xmp id="5hhch"></xmp>

  2. <xmp id="5hhch"><rt id="5hhch"></rt></xmp>

    <rp id="5hhch"></rp>
        <dfn id="5hhch"></dfn>

      1. 企業信息安全管理體系構建的要點與策略論文

        時間:2023-06-29 01:02:42 管理畢業論文 我要投稿
        • 相關推薦

        企業信息安全管理體系構建的要點與策略論文

          在社會的各個領域,大家或多或少都會接觸過論文吧,通過論文寫作可以培養我們獨立思考和創新的能力。寫起論文來就毫無頭緒?下面是小編為大家整理的企業信息安全管理體系構建的要點與策略論文,歡迎閱讀,希望大家能夠喜歡。

        企業信息安全管理體系構建的要點與策略論文

          摘要:

          互聯網時代,信息技術全面發展。信息技術的普及方便了企業的信息獲取,但也給企業的信息管理帶來了巨大的風險。信息共享時代,構建一個安全的信息管理體系,對于企業的發展有著重要的作用。加強企業的信息管理,不僅可以提升企業的競爭力,還可以推動企業的可持續發展。主要對企業信息安全的現狀進行分析,并提出企業信息安全管理體系構建的有效策略。

          關鍵詞:

          企業信息;信息技術;安全管理體系;

          引言:

          在經濟全面發展的趨勢下,信息化和工業化不斷融合,企業的信息管理已經成為企業經營的重要部分,對于企業的設計研發、生產制造、業務銷售等都有著重要的影響。數據時代,企業對于信息的應用越廣泛,對信息體系的依賴就越強,企業所面臨的信息風險越高。企業在發展的過程中,既要發揮信息化的優勢和價值,也要做好信息的管理工作。要構建安全的信息管理體系,僅僅依靠技術是不夠的,必須要將技術和管理進行有效的結合,只有這樣,才能構建一個完整的安全體系,從而推動企業發展。

          1.企業信息安全管理的現狀

          1.1、信息安全管理體系缺乏總體性的規劃和策略

          企業對于信息的安全管理,通常都交由IT部門管理,許多管理人員會覺得信息管理就是IT部門的事情。在這個基礎上,企業的其他部門對于企業的信息安全建設,很少會關注,這是影響安全體系完整性的重要因素。IT部門的網絡技術對于信息的保護有一定效果,但卻缺乏管理作用。企業信息涉及到的人員包含各個部門,除了IT部門,許多部門的人員都會接觸到企業的信息,IT部門只能從技術上對信息和數據進行保存,但內部的信息保護,IT部門是沒有辦法完成的,這個環節需要專業的管理人員來規劃和管理。安全體系缺乏完整性和總體性的規劃,會讓企業的信息建設過于零散,也沒有辦法對信息資源的提供方進行有效的防護。

          1.2、企業員工的信息安全意識薄弱,專業性人才缺乏

          “重技術、輕管理!边@是所有企業發展中普遍存在的問題,關于企業的信息安全問題,許多管理人員缺乏正確的認識,甚至有管理人員認為信息安全就是殺毒和安裝防火墻。這樣的認知不僅片面,還會讓企業員工的安全意識變得薄弱。企業在發展的過程中,出于經濟利益的考慮,都會讓系統的管理人員承擔管理和系統配置的雙重責任,安全系統的設計和審核都是一人完成。要真正完成這兩項工作,需要非常專業的信息安全管理人員,但大部分企業的系統管理人員都不是專業人員,所以很難將安全管理的工作進行到位,這會給企業的安全管理造成嚴重的隱患,也容易讓企業信息處于失控的局面。

          1.3、信息安全缺乏體系化的管理

          要對信息安全進行有效的關系,需要一個完整的體系,但實際管理工作開展的過程中,許多企業的管理方式都是零散和傳統的。傳統的管理方式是補救,卻沒有查缺。基本都是管理過程中出了問題,再進行補救,但沒有出現問題之前,企業很少會進行預防。這種管理模式已經適應不了現代市場經濟的發展了,對于信息安全的管理也不夠全面。要對信息安全進行體系化管理,管理工作需要全面。預防、控制、改進、評估等環節缺一不可。

          2.企業信息安全管理體系構建的要點

          2.1、完善信息安全管理的組織機構

          要構建一個完整的管理體系,企業必須對管理的組織機構進行完善,組建一個專門的管理機制。管理工作開展的過程中,要明確各個人員的職責,這樣確保分工明確,職責到位。如果組織的機構不明確,安全管理工作開展的過程中,會出現人手不足的情況,對于管理工作的開展,也沒有辦法進行深入,這會降低管理工作的質量和力度。組織機構不夠完善,也會讓管理制度缺乏,這樣容易造成信息安全事件,所以企業構建管理體系的時候,一定要加強管理機制的完善,如圖1所示。

          2.2、對物理環境進行有效的管理

          安全管理的過程中,環境管理也是工作的重要組成部分。安全管理中的物理環境主要是指機房、設備、消防等,物理環境管理中,支持設備的管理尤為重要,信息技術不斷發展的過程中,對于計算機設備的要求也越來越高,所以安全管理工作開展的過程中,一定要加強對設備的管理。對于機房,企業可以根據業務發展的實際情況進行劃分和評審,根據設備的系統模塊建立相對應的管理制度。機房的消防管理也是安全重點,一定要構建消防系統,系統構建的過程中,要按照規定的消防要求。這個過程中,還要對工作人員進行消防知識的培訓,和應急演練。定期檢查消防設施安全,對于不符合規定的消防設施,及時更換和維護。對消防秩序進行監督和巡查,支持性的設備一定要建立監控系統,對于設備的資產管理、維護管理、系統應急等,一定要進行有效的管理,物理環境的管理是管理工作的基礎,也是開展工作的前提。

          2.3、用戶和操作管理

          對所有設備的運行實施網絡監控,要做到這一點,可以啟動設備的日志功能。對于重要設備,可以構建集中日志管理服務器,這樣可以對日志的審查進行分析。對設備進行定期維護,可以根據設備的重要性制定相對應的備份策略,對于設備的備份數據進行測試,這樣可以保障數據的完整性和可用性。設置用戶權限,遵循最小授權和權限分割的原則。所有賬號開通之后,要對初始口令進行修改采用高級密碼策略。對于密碼的變更,要建立嚴格的管理流程,對于影響安全組織和信息處理設施的系統變更,要加以控制,嚴格規定操作流程,這樣可以減少誤用系統帶來的風險。

          2.4、信息系統的開發、維護和獲取管理

          信息系統的獲取和維護過程,也是安全管理的重要內容,使用安全系統和工具的過程中,要對內部的應用系統和工具提出安全需求,這個過程中,需要在開發需求文件中對安全需求定義。如果軟件的開發過程中需要測試數據,一定要對數據進行選擇、保護和控制。對于個人信息和敏感信息一定要進行處理,嚴格控制訪問的流程和相關資料。對于非授權的功能一定要進行控住,這樣可以減少應用故障。

          2.5、業務連續性管理

          對安全體系內的系統和設施進行業務連續性管理分析,分析管理體系中可能會面臨的風險和故障,對風險進行等級評估。如果是不可接受的風險,可以采取降低風險措施,并構建應急方案。如果系統的運行環境發生了重大變化,要對系統的風險等級進行二次評估,根據應急的系統現狀和需求,制定連續性計劃。通過模擬測試的方法對計劃進行評估和審查,如果系統出現危機,業務連續性管理十分重要,不僅提高了企業風險防范的能力,還降低了業務中斷做帶來的損失。

          3.構建企業信息安全管理的有效策略

          3.1、信息安全管理體系模型

          現階段,對于信息安全管理的標準,最具代表性和權威性的是ISO/IEC27000系列標準,信息安全的管理主要建立在風險管理上,采用風險分析的模式,降低風險發生的概率,所以信息安全管理的體系模型可以從以下幾分方面入手。首先,計劃和實施,對安全體系的計劃階段,主要是用來保證管理體系的構建,而實施是保障體系的內容和范圍。其次,檢查和改進。這一階段主要是對信息的安全識別和改進方案的實施。安全管理體系中,檢查是一個非常重要的環節,不僅能判斷安全管理是否科學,還可以檢查其安全措施是否有效。通過改進計劃,可以對系統進行完善。

          3.2、信息安全管理體系構建的過程

          安全管理體系的構建是一個系統的工程,企業要構建一個完整的體系,必須要得到企業領導的許可,只有這樣,才能保障安全體系構建的資源支持。但安全體系的運行需要各個部門的參與,所以企業對體系機構要進行重新設置。安全管理不僅僅是IT部門的事情,而是整個企業部門共同參與的管理工作,要構建一個完整的安全管理體系,需要整個企業的工作人員共同參與和協作。企業的信息安全組織機構包含決策層、管理層、執行層。要確保管理體系的正常運行,這三個組織機構必須要發揮各自的作用。決策層通常都是企業信息安全管理的最高管理機構,需要為企業的安全管理提供各類的必要資源。管理層負責的是信息安全的管理和監督、教育和考核。中小型企業以IT部門承擔這一職責,但要確保安全管理體系正常運行,需要設立專門的管理部門。執行層是策略和計劃落實額的人員,所以執行人員一定要加強自身的專業素質和水平。

          3.3、建立管理體系

          一個完整體系的建立需要涵蓋多個方面,可以從以下幾點入手。首先,制定信息安全的方針和策略。關于信息的安全管理,企業在發展的過程中應該制定一個總體的方針。根據企業的發展方向和實際情況,制定對應的策略。其次,對安全管理體系的范圍進行定義,任何一個企業的資源都是有限的,所以構建管理體系的時候,對管理范圍的定義很重要。要做出準確的定義,可以從組織、人員、技術和設備等方面考慮,這樣可以形成完整的管理體系。在體系構建的過程中,風險的評估是不可缺少的一個環節,企業需要對現有的信息框架進行評估,在現有的基礎上進行完善和補充,并產生新的評估數據。最后,制定處理計劃。對企業所面臨的風險,管理體系需要制定專門的處理計劃,對于不可控制的風險,可以采取轉移和降低的方法進行處理,處理計劃實施的過程中,一定要落實相關責任。對信息安全管理體系進行編寫的過程中,其內容要符合企業的發展現狀,操作方法具有實用性。

          4.結語

          對于企業信息的管理,沒有絕對的安全性可言,企業構建安全管理體系之后,并不代表企業的信息管理就沒有了風險,管理體系只是對企業的信息風險進行預防、降低和處理。這樣可以減少企業的經濟損失,也能保障企業的可持續發展。但企業要落實管理體系,需要對管理體系中出現的問題進行分析、總結和改進,只有這樣,才能真正發揮管理體系的作用。

          參考文獻

          [1]戴海斌現代企業信息安全防控策略研究[J]黑龍江科學.2021,12(04):130-131.

          [2]呂云.企業信息安全管理問題及對策[J].網絡安全技術與應用,2020(04):122-123.

          [3]陳曉飛企業信息安全管理體系建設[J]信息與電腦(理論版),2017(03):194-196.

          [4]張宏飛.S企業信息安全管理的策略和實施[D].北京交通大學2015.

          [5]陳慧勤.企業信息安全風險管理的框架研究[D]-上海:同濟大學,2006.

          拓展:企業信息安全管理對策

          網絡管理

          一般企業網與互聯網物理隔離,因而與互聯網相比,其安全性較高,但在日常運行管理中我們仍然面臨網絡鏈路維護、違規使用網絡事件等問題,具體而言:

          (1)在IP資源管理方面,采用IPMAC捆綁的技術手段防止用戶隨意更改IP地址和隨意更換交換機上的端口。這分兩種情況實現,第一種情況是如果客戶機連在支持網管的交換機上的,可以通過網管中心的管理軟件,對該交換機遠程實施PortSecurity策略,將客戶端網卡MAC地址固定綁在相應端口上。第二種情況是如果客戶機連接的交換機或集線器不支持網管,則可以通過Web網頁調用一個程序,通過該程序把MAC地址和IP地址捆綁在一起。這樣,就不會出現IP地址被盜用而不能正常使用網絡的情況。

          (2)在網絡流量監測方面,可使用網絡監測軟件對網絡傳輸數據協議類型進行分類統計,查看數據、視頻、語音等各種應用的利用帶寬,防止頻繁進行大文件的傳輸,甚至發現病毒的轉移及傳播方向。

          服務器管理

          常見應用服務器安裝的操作系統多為Windows系列,服務器的管理包括服務器安全審核、組策略實施、服務器的備份策略。

          服務器安全審核是網管日常工作項目之一,審核的范圍包括安全漏洞檢查、日志分析、補丁安裝情況檢查等,審核的對象可以是DC、ExchangeServer、SQLServer、IIS等。

          在組策略實施時,如果想使用軟件限制策略,即哪些客戶不能使用哪個軟件,則需要把操作系統升級到Windows2003Server。服務器的備份策略包括系統軟件備份和數據庫備份兩部分,系統軟件備份擬利用現有的專用備份程序,制定一個合理的備份策略,如每周日晚上做一次完全備份,然后周一到周五晚上做增量備份或差額備份;定期對服務器備份工作情況等。

          客戶端管理

          對大多數單位的網管來說,客戶端的管理都是最頭痛的問題,只

          有得力的措施才能解決這個問題,這里介紹以下幾種方法:

          (1)將客戶端都加入到域中,這一點很重要,因為只有這樣,客戶端才能納入管理員集中管理的范圍。

          (2)只給用戶以普通域用戶的身份登錄到域,因為普通域用戶不屬于本地Administrators和PowerUsers組,這樣就可以限制他們在本地計算機上安裝大多數軟件(某些軟件普通用戶也可以安裝)。當然為了便于用戶工作,應通過本地安全策略,授予他們“關機”和“修改系統時間”等權利。

          (3)實現客戶端操作系統補丁程序的自動安裝。

          (4)實現客戶端防病毒軟件的自動更新。

          (5)利用SMS對客戶端進行不定期監控,發現不正常情況及時處理。

          數據備份與數據加密

          由于應用系統的加入,各種數據庫日趨增長,如何確保數據在發生故障或災難性事件情況下不丟失,是當前面臨的一個難題。這里介紹四種解決方法:第一種解決辦法是用磁帶機或硬盤進行數據備份。該辦法價格最低,保存性最強,不足之處是備份的只是某個時間點。第二種方案是采用本地磁盤陣列來分別實現各服務器的本地硬盤數據冗余。第三種方案是采用雙機容錯方式,兩臺機器系統相互備份,應用層數據全部放在共享的磁盤陣列柜中,這種方式能解決單機故障或宕機的問題,同時又能防止單個硬盤故障導致的數據丟失,但前期投資較大。第四種方案是采用NAS或SAN來實現各服務器的集中區域存儲,實現較高級別的磁盤等硬件故障的數據備份,但是成本較高,一般不能防止系統層的故障,如感染病毒或系統崩潰。

          考慮到網絡上非認證用戶可能試圖旁路系統的情況,如物理地“取走”數據庫,在通信線路上竊聽截獲。對這樣的威脅最有效的解決方法就是數據加密,即以加密格式存儲和傳輸敏感數據。發送方用加密密鑰,通過加密設備或算法,將信息加密后發送出去。接收方在收到密文后,用解密密鑰將密文解密,恢復為明文。如果傳輸中有人竊取,他只能得到無法理解的密文,從而對信息起到保密作用。

          病毒防治

          對防病毒軟件的要求是:能支持多種平臺,至少是在Windows系列操作系統上都能運行;能提供中心管理工具,對各類服務器和工作站統一管理和控制;在軟件安裝、病毒代碼升級等方面,可通過服務器直接進行分發,盡可能減少客戶端維護工作量;病毒代碼的升級要迅速有效。在實施過程中,本單位以一臺服務器作為中央控制一級服務器,實現對網絡中所有計算機的保護和監控,并使用其中有效的管理功能,如:管理員可以向客產端發送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產端等。正常情況下,一級服務器病毒代碼庫升級后半分鐘內,客戶端的病毒代碼庫也進行了同步更新。

        【企業信息安全管理體系構建的要點與策略論文】相關文章:

        論文:企業薪酬管理策略要點12-09

        民航空管網絡與信息安全管理體系的構建論文11-14

        企業信息安全管理的論文11-05

        構建班級民主管理體系教育論文11-15

        企業信用管理體系中工商管理構建策略03-26

        企業信息數據安全的研究論文11-16

        高中物理解題方法的策略構建的論文11-20

        電力企業信息安全管理體系分析研究12-01

        高校內部審計信息化管理體系構建論文11-15

        鋼結構建筑的防腐除銹及防火策略論文10-31

        国产高潮无套免费视频_久久九九兔免费精品6_99精品热6080YY久久_国产91久久久久久无码

        1. <tt id="5hhch"><source id="5hhch"></source></tt>
          1. <xmp id="5hhch"></xmp>

        2. <xmp id="5hhch"><rt id="5hhch"></rt></xmp>

          <rp id="5hhch"></rp>
              <dfn id="5hhch"></dfn>