淺談如何加強企業信息安全風險管理

　　評論：　 ? 收藏本頁

摘要：隨著全球信息化程度的提高，企業信息化程度也隨之提高，企業信息安全風險管理也顯得越發重要。企業網絡的安全防范對于企業來說也是不容忽視的。本課題研究了企業所面臨的信息安全風險，試圖從企業管理的各個主要環節入手進行分析，認為可以構建一個安全的企業網絡。
        關鍵詞：企業、信息安全、風險、管理
        前言
        隨著國內經濟建設的持續發展和知識經濟模式的到來，企業得以高速發展，企業管理水平也亟待提高，不少企業也正以一種前所未有的熱情來致力于企業內部管理素質與效率的提高；信息化的管理手段在網絡經濟迅速發展的時代顯得尤為重要。
        第一章:企業信息安全管理的重要性
        信息化已經成為一個大型企業的發展戰略，只有實現信息化,企業才有可能抓住機遇，實現企業的快速、健康發展。信息在企業的經營和發展中的作用由此可窺一斑，有時候信息甚至可以左右一個企業的存亡。如今，企業之間以及企業內部的信息傳遞越來越依賴于網絡。在寬帶網絡建設得到飛速發展，信息得到快速傳遞的同時，因為企業信息安全問題而倒閉或蒙受巨大經濟損失的案例也不勝枚舉。2010年1月12日， baidu.com域名被劫持，此次網站被“黑”事件創下了百度創建以來最大的一次斷網事故，也給民眾和各企業敲響了警鐘：網絡信息安全問題不可忽視。
        隨著互聯網的發展和網絡技術的不斷進步，企業信息安全問題已經成為每一個企業面對生死存亡必須要考慮的一個問題。由于互聯網的開放性和通信協議原始設計的局限性的影響，企業信息因為諸多方面的原因容易造成外泄，給公司的正常運營帶來安全隱患。企業在充分利用網絡資源，享受信息傳遞的方便快捷的同時，降低企業安全信息管理風險顯得尤為重要。
        第二章：企業信息安全面對的風險
        一、企業外部人員的信息竊取；內部服務器被非法訪問，破壞傳輸信息的完整性。
        黑客、木馬的破壞性，相信很多企業的CTO都感受頗深。很多企業的局域網設計、辦公自動化（OA）系統都存在著或多或少的漏洞。網絡布線之后，局域網沒有經過深思熟慮的規劃，路由器密碼為空或者沒有經過修改，網關設置過于簡單等等。辦公自動化（OA）系統方面，權限管理過于簡單或者基本沒有，用戶名及密碼明文傳輸等等，都會給日后的使用，埋下隱患的種子。
        二、企業內部人員的故意或過錯而造成的商業機密泄漏。
        黑客的攻擊，或許只會對企業的局域網、以及辦公系統帶來破壞，很少能夠有目的地，如其所愿地獲取所希望的信息。企業核心信息的泄露，很大一部分，要歸咎于企業內部管理的不規范，或者內部員工的有目的的向競爭對手提供企業重要信息。
        企業的核心數據，也就是所謂的商業機密，一定要保證，除了核心管理層之外的人員，其他員工無權獲取。對商業機密的保護不夠重視，或者對企業信息訪問權限缺乏強有力的約束，以及權限管理不健全，都會帶來企業核心數據信息的外泄，無論是有意還是無意，都會給企業帶來無法估計的損失。
        因此，面對企業信息安全所面臨的威脅，企業必須把信息安全風險降到最低，避免因企業信息外泄或被竊而給企業帶來不可估量的損失。對當今的企業而言，必須通過加強企業信息安全風險管理，對可預見的風險加強防范，維護企業信息安全，避免造成不必要的損失，在保證企業信息正常流轉的同時，保障企業的正常運行。
        企業信息化建設的概念是發展的，它隨著管理理念、實現手段等因素的發展而發展。因而管理也是企業信息安全得到保證的重要組成部分，也是防止來自內部網絡入侵必需的重要部分。管理混亂、安全管理制度不健全等都可能引起企業信息安全風險。即除了從技術下功夫外，還得依靠管理來實現。
        應對企業信息安全風險不只是給電腦設置密碼，安裝殺毒軟件那么簡單，這需要企業的每一位員工以每一件小事，每一個細節為出發點，從工作的方方面面加強防范。加強企業信息安全風險管理，要求企業每位員工提高安全防范意識。
        第三章：如何降低企業信息安全的風險
        一、制定企業信息安全規范，并嚴格加以執行。
        企業要重視局域網規劃，完善網絡設計、建設，首先從網絡層面規范信息安全要求。企業內部的網絡使用方面，要求員工不要隨意到網上下載軟件、不要打開不明郵件附件等等。企業內部管理人員或員工應該設置用戶口令，并且保證該口令不會因為過于簡單而容易破解，并明確權限管理，把責任落實到個人，禁止信息泄密。
        二、警惕對企業內部不滿的員工和已離職員工。
        員工離職之后及時更換管理員用戶名及口令等信息。防止員工在把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險而造成經濟損失。
        三、加強對員工企業信息安全方面的培訓。
        提升安全技能，并通過運用企業信息方面危機的事例分析，逐步培養企業人員信息安全意識，使員工充分認識企業信息安全風險防范的必要性和重要性，并注重提高處理計算機系統安全問題的能力。
        四、提高對計算機安全的重視程度。
        企業網絡管理人員應定期對計算機進行安全檢查，并選擇最適合自己公司需要的管理軟件。
        加強企業信息安全風險管理還要求企業員工從身邊的細節加強防范，在日常工作中對辦公郵箱加強管理，經常更換登錄密碼，并對重要數據進行備份。打印紙不隨意丟棄，過期文件及時銷毀。
        結論
        通過以上措施，我們基本上可以從里到外，從上級管理者到普通員工之間，形成一個立體的信息防護網，保護企業的重要信息不外泄，形成了企業信息安全的立體化防護。