企業(yè)信息安全的管理活動(dòng)和管理策略

劉文臣

摘要：伴隨著企業(yè)信息化的發(fā)展，信息安全越來越受到重視。針對(duì)當(dāng)前信息安全存在的問題，作者進(jìn)行了調(diào)查，分析了其中的原因，最后從管理學(xué)的角度提出了相關(guān)的策略和建議。

關(guān)鍵詞：信息化；信息安全管理；企業(yè)管理

中圖分類號(hào)：F279.23文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1001-828X（2012）03-00-01

隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣，各機(jī)關(guān)組織和企事業(yè)單位都開展各類管理業(yè)務(wù)的信息化建立。企業(yè)的發(fā)展運(yùn)作離不開信息系統(tǒng)的安全運(yùn)行。信息安全通過保護(hù)企業(yè)信息的機(jī)密性、完整性和可用性，不僅保護(hù)了企業(yè)各類信息資產(chǎn)的安全，還能增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力，維護(hù)企業(yè)的形象和信譽(yù)。信息安全對(duì)企業(yè)的生存和發(fā)展的是至關(guān)重要的，需要從戰(zhàn)略的高度對(duì)信息安全進(jìn)行規(guī)劃和管理。

一、企業(yè)中信息安全管理經(jīng)常存在的問題

日常安全管理中存在的主要問題，首先是用戶安全意識(shí)和觀念薄弱的占58%，第二位的是網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn)，占39%；其后，依次是保障經(jīng)費(fèi)投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。

不僅在日常管理中，在技術(shù)管理方面也存在一定的問題。在CSDN泄密門事件中，專業(yè)IT博客“月光博客”撰文表示“整個(gè)事件最不可思議的地方在于，像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站，居然采用明文存儲(chǔ)密碼”，“稍微懂一點(diǎn)編程的程序員都知道，為了用戶的安全，應(yīng)該在數(shù)據(jù)庫(kù)里保存用戶密碼的加密信息，這樣黑客即使下載了數(shù)據(jù)庫(kù)，破解用戶密碼也不是一件容易的事情” ?？梢姡行┥婕凹夹g(shù)方面的問題，也并不是單純的技術(shù)問題，而是與技術(shù)人員安全意識(shí)不強(qiáng)、責(zé)任心不到位有關(guān)。

為了了解企業(yè)內(nèi)部員工在信息安全問題上的看法及所做的努力，我們對(duì)一家電子商務(wù)企業(yè)和一家銀行的部分工作人員進(jìn)行了問卷和訪談?wù){(diào)查，發(fā)現(xiàn)在企業(yè)員工中存在如下一些問題：

1.是信息安全意識(shí)方面，被調(diào)查者認(rèn)為信息安全對(duì)企業(yè)和個(gè)人都非常重要。但大多數(shù)受訪者對(duì)信息安全的問題了解很少等。

2.很多受訪者認(rèn)為信息安全屬于技術(shù)人員的事情；與技術(shù)人員的交流非常少；忙于業(yè)務(wù)，沒有時(shí)間去處理。

3.是用戶認(rèn)為信息安全管理措施效果不好。有些信息安全行為的規(guī)范標(biāo)準(zhǔn)雖然掛在網(wǎng)上或貼在墻上，很少有人去關(guān)注；公司發(fā)動(dòng)的信息安全的培訓(xùn)活動(dòng)沒有收到好的效果。

二、信息安全問題的根源

通過對(duì)調(diào)查的結(jié)果進(jìn)行深入分析，發(fā)現(xiàn)導(dǎo)致信息安全事件頻發(fā)、風(fēng)險(xiǎn)損失嚴(yán)重的原因從根本上來說，有以下幾個(gè)方面：

1.信息安全是一個(gè)多維問題，涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問題上往往涉及多個(gè)部門。有些情況下，無法明確責(zé)任，使得信息安全得不到應(yīng)有的重視以及有效的管理。

2.風(fēng)險(xiǎn)平衡理論認(rèn)為，人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。這與你采用多少的安全防護(hù)措施無關(guān)。有時(shí)即使有條件可以到達(dá)絕對(duì)安全的狀態(tài)，由于人性的緣故，也不會(huì)那樣去做。

3.信息安全與效率和便利性本身是矛盾的。信息安全加強(qiáng)了，受到的約束也就多了，相應(yīng)地效率也就降低了。比如簡(jiǎn)單規(guī)律地密碼，可以不必費(fèi)力去記；插入U(xiǎn)盤時(shí)進(jìn)行殺毒，必然要耽誤時(shí)間；沒有接入網(wǎng)絡(luò)，不可能受到網(wǎng)絡(luò)攻擊，但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡(luò)交流的自由，因此有人半開玩笑地說：“最安全的計(jì)算機(jī)是拔掉網(wǎng)絡(luò)的那臺(tái)計(jì)算機(jī)”。

4.由于某些緣故，網(wǎng)絡(luò)中總是存在黑客，專門竊取信息或破壞網(wǎng)絡(luò)系統(tǒng)。他們的水平都非常專業(yè)，一般的用戶難以預(yù)防。所謂“道高一尺，魔高一丈”，信息安全的水平總是在這種攻擊與防守中進(jìn)步的。

5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發(fā)生風(fēng)險(xiǎn)的不確定性、無法精確地評(píng)估當(dāng)前所面臨的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生所帶來的損失的難以把握。

所有這一切因素，都使得信息安全無法得到有效的關(guān)注和重視，無法采用有效的措施來預(yù)防和避免。這也是導(dǎo)致信息安全事件發(fā)生頻率居高不下，風(fēng)險(xiǎn)損失較大的主要原因。

三、相關(guān)的建議和策略

針對(duì)企業(yè)信息安全的問題，文章運(yùn)用管理學(xué)的理論進(jìn)行論述。企業(yè)管理涉及四個(gè)功能：計(jì)劃、組織、領(lǐng)導(dǎo)、控制 。

1.從計(jì)劃的角度來看：企業(yè)應(yīng)當(dāng)確立信息安全的發(fā)展戰(zhàn)略，從戰(zhàn)略的高度來對(duì)待和管理信息安全，確保信息安全所引發(fā)的風(fēng)險(xiǎn)達(dá)到可以接受的范圍之內(nèi)。從全局角度制定信息安全的策略，確立信息安全的目標(biāo)，以及實(shí)現(xiàn)目標(biāo)需要的行動(dòng)方案。

2.從組織的角度來看：人力資源的管理的觀點(diǎn)認(rèn)為，企業(yè)的組織結(jié)構(gòu)，取決于組織戰(zhàn)略 。在許多企業(yè)組織結(jié)構(gòu)中，只有技術(shù)部門，沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過，技術(shù)管理與安全管理兩個(gè)部門必須設(shè)置成為兩個(gè)獨(dú)立的部門，否則無法保證安全評(píng)估的客觀性。因此有必要設(shè)置一個(gè)專門負(fù)責(zé)信息安全管理的部門，這個(gè)部門并不負(fù)責(zé)具體的技術(shù)，但是要懂技術(shù)，主要是開展企業(yè)的安全培訓(xùn)工作、日常的安全管理工作、對(duì)存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，最大限度地降低安全風(fēng)險(xiǎn)。

3.從領(lǐng)導(dǎo)的角度來看：根據(jù)wilde的風(fēng)險(xiǎn)平衡理論，一個(gè)人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。 “風(fēng)險(xiǎn)平衡”觀念會(huì)讓整個(gè)機(jī)構(gòu)處于盲目樂觀的過度自信狀態(tài)，不管是企業(yè)的員工還是管理者都傾向于追求效率 ，從而忽視信息安全的投入。

在企業(yè)的管理過程中，應(yīng)當(dāng)加強(qiáng)信息安全、風(fēng)險(xiǎn)意識(shí)方面的培訓(xùn)和教育，增進(jìn)員工與技術(shù)人員的面對(duì)面的溝通與交流，開展有效的安全意識(shí)活動(dòng)。

4.從控制的角度來看：對(duì)風(fēng)險(xiǎn)的控制要求企業(yè)對(duì)自己的安全狀況不斷評(píng)估，時(shí)時(shí)防范。這就要求安全管理部門每隔一定時(shí)間向上匯報(bào)信息安全的進(jìn)展情況，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。

文章從管理學(xué)的角度來分析信息安全風(fēng)險(xiǎn)管理，對(duì)信息安全問題做了實(shí)地調(diào)查，分析了目前信息安全存在的一些問題，并對(duì)存在的問題的根源進(jìn)行了深入的分析，最后文章運(yùn)用管理學(xué)的理論，從計(jì)劃、組織、領(lǐng)導(dǎo)、控制四個(gè)角度出了相應(yīng)的建議和策略。

參考文獻(xiàn)：

[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.

[2]秦志華.企業(yè)管理[M].大連:東北財(cái)經(jīng)大學(xué)出版社,2011,1.

[3]廖三余,曹會(huì)勇.人力資源管理[M].北京:清華大學(xué)出版社,2011,9.

[4]S.H.(basie) von Solms Information Security Governance-Compliance management vs operational management Computer&Security(2005):24,443-447.

[5]Eirik Albrechtsen A qualitative study of users view on information security computers&security 26(2007):276-289.