企業(yè)網(wǎng)絡(luò)信息安全管理體系規(guī)劃與建設(shè)分析

張瑋 山東省濱州市煙草專賣局

科學(xué)技術(shù)的不斷進(jìn)步，促進(jìn)了信息化產(chǎn)業(yè)的不斷發(fā)展。網(wǎng)絡(luò)信息安全系統(tǒng)被有效的應(yīng)用在當(dāng)前一體化的商業(yè)領(lǐng)域和政府的政務(wù)服務(wù)工作中，得到了認(rèn)可和重視。但隨著大多數(shù)企業(yè)或個(gè)人對(duì)于網(wǎng)絡(luò)信息系統(tǒng)依賴性的不斷提高，以及網(wǎng)絡(luò)信息系統(tǒng)中存在的一定網(wǎng)絡(luò)信息安全問題，成為現(xiàn)階段諸多企業(yè)急需解決的管理問題。

尤其是近段時(shí)間網(wǎng)絡(luò)上經(jīng)常報(bào)道的信息泄露問題（例如，信用卡賬戶信息的泄露、購(gòu)房者信息、移動(dòng)通訊人員使用信息以及新生兒出生信息的泄露等），牽扯內(nèi)容比較廣泛，涉及的人員和企業(yè)也比較多，信息泄露的途徑也是多種多樣，引起了社會(huì)的高度關(guān)注與討論，加強(qiáng)對(duì)企業(yè)網(wǎng)絡(luò)信息安全管理體系的規(guī)劃與建設(shè)已是未來(lái)網(wǎng)絡(luò)信息管理體系可持續(xù)發(fā)展的重要問題。

一、企業(yè)網(wǎng)絡(luò)信息安全管理體系的現(xiàn)狀及成因分析

隨著企業(yè)現(xiàn)代化、信息化的不斷發(fā)展，企業(yè)信息化水平得到了不斷的提升，企業(yè)的正常運(yùn)營(yíng)越來(lái)越依賴于信息化的管理系統(tǒng)。因此，企業(yè)為了進(jìn)一步保障網(wǎng)絡(luò)信息管理系統(tǒng)能夠安全、穩(wěn)定的工作，大部分企業(yè)都設(shè)置了防火墻、病毒入侵檢測(cè)系統(tǒng)、病毒預(yù)測(cè)系統(tǒng)以及網(wǎng)絡(luò)安全管理等軟硬件安全管理設(shè)備，希望借助高科技技術(shù)手段對(duì)黑客的不法入侵以及病毒對(duì)信息系統(tǒng)的干擾起到一定的阻擋作用。但現(xiàn)實(shí)卻給了我們一個(gè)“響亮的耳光”，現(xiàn)有的網(wǎng)絡(luò)信息安全管理系統(tǒng)仍存在一定的危險(xiǎn)因素，企業(yè)信息管理系統(tǒng)遭到病毒感染、黑客攻擊導(dǎo)致信息泄露、網(wǎng)絡(luò)攻擊等安全事件時(shí)有發(fā)生。根據(jù)我國(guó)計(jì)算機(jī)病毒疫情調(diào)查分析報(bào)告數(shù)據(jù)統(tǒng)計(jì)，每年都會(huì)有一部分網(wǎng)絡(luò)信息系統(tǒng)用戶遭受一些網(wǎng)絡(luò)病毒的攻擊導(dǎo)致系統(tǒng)癱瘓，無(wú)法正常使用，并出現(xiàn)逐漸遞增的趨勢(shì)，給各個(gè)領(lǐng)域的企業(yè)造成了嚴(yán)重的經(jīng)濟(jì)損失。出現(xiàn)這種情況的主要原因是：

第一，網(wǎng)絡(luò)信息安全系統(tǒng)在構(gòu)建的過(guò)程中缺乏總體的規(guī)劃與策略分析。以往網(wǎng)絡(luò)信息安全系統(tǒng)的構(gòu)建企業(yè)管理者都是遵循“木桶理論”的原理，認(rèn)為運(yùn)用各種技術(shù)只要將信息系統(tǒng)圍個(gè)水泄不通，信息安全就得到了保障，但事實(shí)證明這是行不通的。

第二，信息安全意識(shí)薄弱，信息安全人員數(shù)量不足。大部分企業(yè)管理人員認(rèn)為信息安全是公司技術(shù)部的問題，只要建立了防火墻，安裝了殺毒軟件，信息系統(tǒng)記得到了保障，在職員工安全信息管理意識(shí)較低。其次，人員配備不足，大多數(shù)的系統(tǒng)管理人員既要維護(hù)好信息的安全管理、設(shè)置、審計(jì)等工作，又要負(fù)責(zé)信息系統(tǒng)的配置，專業(yè)技術(shù)能力不到位也是影響信息系統(tǒng)安全的重要因素。

第三，信息安全管理系統(tǒng)缺少科學(xué)性與規(guī)范性。目前還有許多企業(yè)延用傳統(tǒng)的信息管理模式，對(duì)信息安全管理規(guī)劃缺乏系統(tǒng)的科學(xué)性與規(guī)范性，只是單一的進(jìn)行修補(bǔ)，很容易出現(xiàn)漏洞，導(dǎo)致信息安全問題發(fā)生。

二、企業(yè)網(wǎng)絡(luò)信息安全管理體系的規(guī)劃與建立具體實(shí)施方案

（一）具體的實(shí)施方案

一是調(diào)研階段，通過(guò)對(duì)企業(yè)相關(guān)人員的問題提問、文檔查閱等，對(duì)部分企業(yè)內(nèi)部組織體系架構(gòu)、業(yè)務(wù)和網(wǎng)絡(luò)體系以及信息安全管理情況進(jìn)行深入的了解，參照信息系統(tǒng)等級(jí)保護(hù)相關(guān)檢測(cè)標(biāo)準(zhǔn)對(duì)其進(jìn)行安全數(shù)據(jù)分析，對(duì)找出的差距和問題進(jìn)行整合，為企業(yè)今后網(wǎng)絡(luò)信息安全管理系統(tǒng)的建立提供可靠的數(shù)據(jù)參考。

二是策劃階段，根據(jù)對(duì)目前企業(yè)信息體系現(xiàn)狀及問題的分析，結(jié)合上述整合出來(lái)的差距分析結(jié)果，對(duì)企業(yè)網(wǎng)絡(luò)信息安全管理體制建設(shè)方案進(jìn)行重新的編制，并聽取內(nèi)外部專家的評(píng)審建議，敲定最終的建設(shè)方案。

三是實(shí)施階段，對(duì)企業(yè)組織、管控模式以及管理制度之間的結(jié)合方式進(jìn)行有效的研究，并構(gòu)建網(wǎng)絡(luò)信息安全管理組織責(zé)任體系與工作機(jī)制；其次，對(duì)企業(yè)整體信息安全管理策略以及信息安全河西業(yè)務(wù)規(guī)范和標(biāo)準(zhǔn)進(jìn)行深入的研究制定。

（二）建立安全的信息管理體系

首先，良好的網(wǎng)絡(luò)信息安全管理系統(tǒng)的建立離不開企業(yè)相關(guān)管理人員的認(rèn)可與支持，為信息安全管理體系的建立提供重要的資源保障。但是只有企業(yè)領(lǐng)導(dǎo)人員的支持，缺少相關(guān)業(yè)務(wù)部門的認(rèn)可，信息安全管理體系還是無(wú)法正常的運(yùn)作，所以，企業(yè)管理者必須明確好企業(yè)全體人員的工作責(zé)任，讓他們充分意識(shí)到網(wǎng)絡(luò)信息安全管理的重要性，并積極到參與到信息安全管理體系建設(shè)工作中去，從而推動(dòng)網(wǎng)絡(luò)信息管理體系建設(shè)的順利進(jìn)行。

其次，建設(shè)網(wǎng)絡(luò)信息安全制度體系。通過(guò)對(duì)國(guó)內(nèi)外信息安全管理體系標(biāo)準(zhǔn)要求、政策以及等級(jí)保護(hù)體系的參照，結(jié)合現(xiàn)階段企業(yè)管理制度和管理現(xiàn)狀，建立自上而下，逐層遞進(jìn)的信息安全管理制度體系，對(duì)信息安全制度進(jìn)行有效的匯總統(tǒng)計(jì)。其涉及的管理領(lǐng)域可分為制度管理、人員管理、系統(tǒng)建設(shè)管理、組織管理以及系統(tǒng)運(yùn)營(yíng)維護(hù)管理等五大方面。具體的信息安全管理制度結(jié)構(gòu)可分為信息安全管理辦法，對(duì)信息安全管理范圍、依據(jù)、目標(biāo)、組織以及責(zé)任體系和整體安全管理進(jìn)行編制；信息安全管理細(xì)則或章程，科學(xué)的規(guī)范安全管理活動(dòng)和具體的操作流程。

三、結(jié)語(yǔ)

網(wǎng)絡(luò)信息安全管理系統(tǒng)的建立不僅為每個(gè)企業(yè)提供了良好的信息網(wǎng)絡(luò)環(huán)境，還為企業(yè)提供了重要的信息安全體系保障，最大程度的幫助企業(yè)降低了信息安全風(fēng)險(xiǎn)，提升了企業(yè)收益，同時(shí)為企業(yè)提供了大量的技術(shù)安全保障，對(duì)信息安全風(fēng)險(xiǎn)的出現(xiàn)起到了預(yù)防的作用，對(duì)企業(yè)現(xiàn)階段的信息安全管理體系發(fā)展現(xiàn)狀和出現(xiàn)的問題起到一定的改善作用。