劉文臣
摘要:伴隨著企業(yè)信息化的發(fā)展,信息安全越來越受到重視。針對(duì)當(dāng)前信息安全存在的問題,作者進(jìn)行了調(diào)查,分析了其中的原因,最后從管理學(xué)的角度提出了相關(guān)的策略和建議。
關(guān)鍵詞:信息化;信息安全管理;企業(yè)管理
中圖分類號(hào):F279.23文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1001-828X(2012)03-00-01
隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)化應(yīng)用的普遍推廣,各機(jī)關(guān)組織和企事業(yè)單位都開展各類管理業(yè)務(wù)的信息化建立。企業(yè)的發(fā)展運(yùn)作離不開信息系統(tǒng)的安全運(yùn)行。信息安全通過保護(hù)企業(yè)信息的機(jī)密性、完整性和可用性,不僅保護(hù)了企業(yè)各類信息資產(chǎn)的安全,還能增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力,維護(hù)企業(yè)的形象和信譽(yù)。信息安全對(duì)企業(yè)的生存和發(fā)展的是至關(guān)重要的,需要從戰(zhàn)略的高度對(duì)信息安全進(jìn)行規(guī)劃和管理。
一、企業(yè)中信息安全管理經(jīng)常存在的問題
日常安全管理中存在的主要問題,首先是用戶安全意識(shí)和觀念薄弱的占58%,第二位的是網(wǎng)絡(luò)安全管理人員缺乏培訓(xùn),占39%;其后,依次是保障經(jīng)費(fèi)投入不足、缺乏安全信息共享和安全產(chǎn)品不能滿足要求。
不僅在日常管理中,在技術(shù)管理方面也存在一定的問題。在CSDN泄密門事件中,專業(yè)IT博客“月光博客”撰文表示“整個(gè)事件最不可思議的地方在于,像CSDN這樣的以程序員和開發(fā)為核心的大型網(wǎng)站,居然采用明文存儲(chǔ)密碼”,“稍微懂一點(diǎn)編程的程序員都知道,為了用戶的安全,應(yīng)該在數(shù)據(jù)庫(kù)里保存用戶密碼的加密信息,這樣黑客即使下載了數(shù)據(jù)庫(kù),破解用戶密碼也不是一件容易的事情” ??梢姡行┥婕凹夹g(shù)方面的問題,也并不是單純的技術(shù)問題,而是與技術(shù)人員安全意識(shí)不強(qiáng)、責(zé)任心不到位有關(guān)。
為了了解企業(yè)內(nèi)部員工在信息安全問題上的看法及所做的努力,我們對(duì)一家電子商務(wù)企業(yè)和一家銀行的部分工作人員進(jìn)行了問卷和訪談?wù){(diào)查,發(fā)現(xiàn)在企業(yè)員工中存在如下一些問題:
1.是信息安全意識(shí)方面,被調(diào)查者認(rèn)為信息安全對(duì)企業(yè)和個(gè)人都非常重要。但大多數(shù)受訪者對(duì)信息安全的問題了解很少等。
2.很多受訪者認(rèn)為信息安全屬于技術(shù)人員的事情;與技術(shù)人員的交流非常少;忙于業(yè)務(wù),沒有時(shí)間去處理。
3.是用戶認(rèn)為信息安全管理措施效果不好。有些信息安全行為的規(guī)范標(biāo)準(zhǔn)雖然掛在網(wǎng)上或貼在墻上,很少有人去關(guān)注;公司發(fā)動(dòng)的信息安全的培訓(xùn)活動(dòng)沒有收到好的效果。
二、信息安全問題的根源
通過對(duì)調(diào)查的結(jié)果進(jìn)行深入分析,發(fā)現(xiàn)導(dǎo)致信息安全事件頻發(fā)、風(fēng)險(xiǎn)損失嚴(yán)重的原因從根本上來說,有以下幾個(gè)方面:
1.信息安全是一個(gè)多維問題,涉及到企業(yè)管理的方方面面。企業(yè)在信息安全問題上往往涉及多個(gè)部門。有些情況下,無法明確責(zé)任,使得信息安全得不到應(yīng)有的重視以及有效的管理。
2.風(fēng)險(xiǎn)平衡理論認(rèn)為,人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。這與你采用多少的安全防護(hù)措施無關(guān)。有時(shí)即使有條件可以到達(dá)絕對(duì)安全的狀態(tài),由于人性的緣故,也不會(huì)那樣去做。
3.信息安全與效率和便利性本身是矛盾的。信息安全加強(qiáng)了,受到的約束也就多了,相應(yīng)地效率也就降低了。比如簡(jiǎn)單規(guī)律地密碼,可以不必費(fèi)力去記;插入U(xiǎn)盤時(shí)進(jìn)行殺毒,必然要耽誤時(shí)間;沒有接入網(wǎng)絡(luò),不可能受到網(wǎng)絡(luò)攻擊,但也就失去了網(wǎng)上瀏覽所需信息、網(wǎng)絡(luò)交流的自由,因此有人半開玩笑地說:“最安全的計(jì)算機(jī)是拔掉網(wǎng)絡(luò)的那臺(tái)計(jì)算機(jī)”。
4.由于某些緣故,網(wǎng)絡(luò)中總是存在黑客,專門竊取信息或破壞網(wǎng)絡(luò)系統(tǒng)。他們的水平都非常專業(yè),一般的用戶難以預(yù)防。所謂“道高一尺,魔高一丈”,信息安全的水平總是在這種攻擊與防守中進(jìn)步的。
5.信息安全問題的不確定性。信息安全問題的不確定性主要指是否發(fā)生風(fēng)險(xiǎn)的不確定性、無法精確地評(píng)估當(dāng)前所面臨的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生所帶來的損失的難以把握。
所有這一切因素,都使得信息安全無法得到有效的關(guān)注和重視,無法采用有效的措施來預(yù)防和避免。這也是導(dǎo)致信息安全事件發(fā)生頻率居高不下,風(fēng)險(xiǎn)損失較大的主要原因。
三、相關(guān)的建議和策略
針對(duì)企業(yè)信息安全的問題,文章運(yùn)用管理學(xué)的理論進(jìn)行論述。企業(yè)管理涉及四個(gè)功能:計(jì)劃、組織、領(lǐng)導(dǎo)、控制 。
1.從計(jì)劃的角度來看:企業(yè)應(yīng)當(dāng)確立信息安全的發(fā)展戰(zhàn)略,從戰(zhàn)略的高度來對(duì)待和管理信息安全,確保信息安全所引發(fā)的風(fēng)險(xiǎn)達(dá)到可以接受的范圍之內(nèi)。從全局角度制定信息安全的策略,確立信息安全的目標(biāo),以及實(shí)現(xiàn)目標(biāo)需要的行動(dòng)方案。
2.從組織的角度來看:人力資源的管理的觀點(diǎn)認(rèn)為,企業(yè)的組織結(jié)構(gòu),取決于組織戰(zhàn)略 。在許多企業(yè)組織結(jié)構(gòu)中,只有技術(shù)部門,沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過,技術(shù)管理與安全管理兩個(gè)部門必須設(shè)置成為兩個(gè)獨(dú)立的部門,否則無法保證安全評(píng)估的客觀性。因此有必要設(shè)置一個(gè)專門負(fù)責(zé)信息安全管理的部門,這個(gè)部門并不負(fù)責(zé)具體的技術(shù),但是要懂技術(shù),主要是開展企業(yè)的安全培訓(xùn)工作、日常的安全管理工作、對(duì)存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估,最大限度地降低安全風(fēng)險(xiǎn)。
3.從領(lǐng)導(dǎo)的角度來看:根據(jù)wilde的風(fēng)險(xiǎn)平衡理論,一個(gè)人會(huì)愿意承擔(dān)一定程度的風(fēng)險(xiǎn)。 “風(fēng)險(xiǎn)平衡”觀念會(huì)讓整個(gè)機(jī)構(gòu)處于盲目樂觀的過度自信狀態(tài),不管是企業(yè)的員工還是管理者都傾向于追求效率 ,從而忽視信息安全的投入。
在企業(yè)的管理過程中,應(yīng)當(dāng)加強(qiáng)信息安全、風(fēng)險(xiǎn)意識(shí)方面的培訓(xùn)和教育,增進(jìn)員工與技術(shù)人員的面對(duì)面的溝通與交流,開展有效的安全意識(shí)活動(dòng)。
4.從控制的角度來看:對(duì)風(fēng)險(xiǎn)的控制要求企業(yè)對(duì)自己的安全狀況不斷評(píng)估,時(shí)時(shí)防范。這就要求安全管理部門每隔一定時(shí)間向上匯報(bào)信息安全的進(jìn)展情況,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。
文章從管理學(xué)的角度來分析信息安全風(fēng)險(xiǎn)管理,對(duì)信息安全問題做了實(shí)地調(diào)查,分析了目前信息安全存在的一些問題,并對(duì)存在的問題的根源進(jìn)行了深入的分析,最后文章運(yùn)用管理學(xué)的理論,從計(jì)劃、組織、領(lǐng)導(dǎo)、控制四個(gè)角度出了相應(yīng)的建議和策略。
參考文獻(xiàn):
[1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
[2]秦志華.企業(yè)管理[M].大連:東北財(cái)經(jīng)大學(xué)出版社,2011,1.
[3]廖三余,曹會(huì)勇.人力資源管理[M].北京:清華大學(xué)出版社,2011,9.
[4]S.H.(basie) von Solms Information Security Governance-Compliance management vs operational management Computer&Security(2005):24,443-447.
[5]Eirik Albrechtsen A qualitative study of users view on information security computers&security 26(2007):276-289.