發布時間:2023-08-20 14:58:16
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的企業信息化安全管理樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
[摘 要]隨著網絡信息技術和計算機技術的發展,我國眾多的企業開始進行信息化建設,以提高企業運營管理的質量和水平。基于此,本文主要對我國企業在信息化建設中存在的網絡安全管理問題、解決的方法進行論述,以提高企業信息化的建設。
[關鍵詞]企業;信息化建設;網絡安全管理
doi:10.3969/j.issn.1673 - 0194.2017.10.040
[中圖分類號]F270.7 [文獻標識碼]A [文章編號]1673-0194(2017)10-00-01
0 引 言
在互聯網時代,企業應用網絡信息技術和計算機技術,逐步建立了網絡信息化平臺,以對海量信息數據進行有效收集,為企業的運行和發展提供有效依據。但是企業在信息化建設中還存在一些問題,其中一個嚴重的問題就是,企業信息數據容易遭受到網絡攻擊或竊取,即網絡安全問題。這些問題的存在,非常不利于企業的信息化建設,不利于企業的進一步發展。因此,相關人員需要對企業在信息化建設中存在的網絡安全管理問題以及解決方法進行研究和分析,以全面提高企業信息化建設的質量和水平,更好地推進企業的進步與發展。
1 企業在信息化建設中存在的網絡安全管理問題
1.1 外部因素
時代的發展和社會的進步使網絡信息安全問題日益嚴重。例如,企業在進行市場競爭時,需要獲得大量準確的信息并保證其安全,但一些不法分子應用網絡攻擊和非法鏈接等方式@取企業內部大量信息,并將此類信息在市場中出售牟利,這種情況的出現加劇了企業網絡信息安全問題的程度。
1.2 內部因素
企業在信息化的建設過程中,沒有對自身的網絡信息安全問題給予足夠的重視,因此,沒有采用高質量的信息安全管理模式,進行有效的網絡信息防護,使網絡黑客應用網絡病毒和信息竊取手段,輕易獲取企業內部的各種信息數據。同時,企業內部工作人員也沒有受過良好的網絡信息安全培訓,在應用中存在操作不規范等問題,導致企業的信息安全受到嚴重威脅。
2 提高企業網絡安全管理水平的方法
2.1 加強企業信息化系統的管理
企業需要在信息化建設中加強對信息化系統的管理質量和水平,提升企業網絡安全管理的效率。具體來講,首先,企業需要樹立起網絡安全管理的意識,對工作中存在的網絡安全問題及時處理,建立完備的網絡安全管理平臺,對企業運行發展中的重要信息數據進行集中性保存。其次,定期對企業員工開展網絡安全培訓工作,提升員工信息化系統規范操作的能力,對重要信息進行加密處理,并做好多重備份工作。最后,企業員工應定期使用網絡安全軟件對操作環境進行檢查,有效處理和抵御各類網絡病毒的攻擊和入侵。
2.2 應用有效的數據信息加密技術
企業需要應用有效的數據加密技術,提升網絡信息管理質量和水平,保障網絡信息的安全,更好的開展企業信息化建設工作,為企業的進步和發展打好基礎。第一,企業需要有效的應用鏈路加密、節點加密、端對端加密等多種技術,提高企業網絡信息加密的強度,為重要的業務數據和信息做好保護。第二,企業需要在應用網絡信息數據加密技術的同時,對重要數據信息進行切實有效的存儲,使其具有完整性,為提升企業數據信息安全水平打好基礎。
2.3 部署高質量的安全防護軟件
企業需要合理應用各類的防護軟件,提升自身網絡信息安全的強度。例如現在已經普遍應用的360安全衛士、騰訊電腦管家、金山毒霸等,合理應用可以提高企業整個網絡信息安全管理的質量,同時對外部的非法鏈接進行有效抵制,對網絡病毒攻擊和入侵進行有效預防。
2.4 設置必要的安全管理權限
企業需要依據自身的需求,建立嚴密、分層的安全管理權限系統,對登錄到系統中的用戶進行嚴格的管理權限設定。通過這種方式,使操作系統或應用系統的用戶,需要掌握不同的權限密碼才能進行不同權限的操作、進行數據信息的獲得,然后進行這些數據信息的應用。
2.5 配置防火墻和訪問控制模式
企業在信息化建設中需建立高效的防火墻系統,設置專業化訪問控制模式,提升網絡信息安全能力,有效抵御各種網絡風險,保障企業的內部網絡安全。
2.6 信息隱藏模式的有效應用
企業可以有效應用信息隱藏技術,提高網絡信息安全質量和水平,保障信息及數據安全。例如,采用高效的編碼修改方法進行數據嵌入,如矩陣編碼,其可減少修改幅度;擴頻嵌入,其使編碼更加專業化、高級化、復雜化,很難進行破譯,降低密文信號的能量,使其不易被檢測到,增強信息的安全性和保密性。這些模式有利于企業對各種網絡攻擊進行有效抵御,保障企業信息化建設的穩定性和安全性,實現企業應有的經濟效益和社會價值。
3 結 語
對企業信息化建設中網絡安全管理問題進行分析,有利于企業應用各種有效的方法,提高企業網絡安全管理的質量和水平,保障企業網絡和信息管理的安全性,最終為企業實現良好的信息化建設做出重要貢獻。
主要參考文獻
[1]程華.對企業信息化建設中的網絡安全管理問題探討[J].民營科技,2016(1).
[2]李永湘.企業信息化建設中的網絡安全問題研究[J].科技資訊,2016(8).
關鍵詞 : 企業信息化;犯罪特征;控制防范;
一、一般而言,企業在實施信息化以前,數據資料往往分散在各個分離的業務部門,以紙張的形式記錄保存
企業通過實施信息化建設,利用信息系統把企業的數據資料集中在計算機系統中進行管理和維護,企業中的各個部門和很多的人員甚至企業以外的組織或者個人可以訪問、使用企業信息系統中的數據。因此,企業實施信息化建設以后,其數據資料如果得不到妥善的管理,更容易被破壞和濫用。
隨著計算機技術在各個領域的廣泛應用,計算機犯罪已經成為了一個非常突出的問題。從20世紀90年代以來,計算機犯罪已經嚴重影響了企業也及其他組織的信息資源的安全,有些已經造成了重大的損失。可以說,計算機犯罪已經成為信息時代企業所面臨的一個重要挑戰。
計算機犯罪是隨著計算機的產生和發展而產生的,它和其他的犯罪相比,具有獨有的特征:
(一)犯罪手段比較新
企業信息化的成果是企業信息系統。企業信息系統由地理上比較分散的計算機以及通信設施等構成,這樣就為犯罪分子提供了多個途徑和目標。而計算機既是犯罪的手段和工具,又是犯罪攻擊的目標對象。對著計算機和電信技術的快速發展,近些年來,許多犯罪分子往往采用先進的電子跟蹤技術和電子掃描技術等進行犯罪活動。計算機犯罪的手段具有多種形式,但大多采用技術手段而非暴力手段,非法訪問和使用是目前計算機犯罪分子常常采用的形式。信息已經成為企業的重要資源,而且某些關鍵的商業機密對于企業而言可能是生死攸關的。如果系統采取的安全措施不當,企業的信息很可能就會被非法訪問和使用。
(二)受空間限制下
由于計算機網絡已經成為企業信息管理的基礎設施,而且許多企業的網絡和企業外部的網絡以及互聯網連接,所以計算機犯罪在一定程度上根本不受時間和空間的限制,犯罪分子幾乎可以在任何時候、在任何一個和企業網絡相同的計算機終端上從事計算機犯罪活動,從遠程對目標進行攻擊或者非法竊取數據。
(三)多利用管理制度和技術漏洞
計算機犯罪的客體往往是計算機系統中以電子形式存在的數據和信息,而對信息系統中的數據的存取控制和相應的管理制度是防止系統中的數據和信息被竊取和破壞的重要屏障。不管是分取技術還是管理制度,只要兩者之一存在漏洞,就會給不法分子提供機會,會給企業的安全帶來威脅。
(四)系統內部人員犯罪較多
和傳統的犯罪形式不大一樣,計算機犯罪人員往往是系統內部人員,這些人員還往往是精通計算機技術、熟知系統的功能并且具有合法身份或者便利條件的高智商員工。當然,目前隨著互聯網的快速發展,外部人員通過遠程方式從事計算機犯罪活動的現象也越來越多。據有關數據表明,在過去,接近80%的違反信息安全的記錄都有來自于企業或者組織內部。但是,現在看來,來自外部黑客攻擊的數量基本趕上了內部違規的數量。
二、 計算機的防控
與傳統犯罪一樣,法律手段是非常重要的算然國家已經制定了相關的法律和政策,但除了依靠法律的威懾力之外,企業更要從管理和技術上入手,在各個環節加強企業資源的安全管理。為了最大限度地減少計算機的破壞,企業必須把專門的政策和步驟融合到信息資源的管理中,做好管理好控制工作。控制是保證企業信息管理安全最根本的手段。所謂控制是根據信息管理標準,為保證企業信息系統的安全運行而進行的人工與自動化相結合的方法。
企業信息資源是犯罪分子的目標,所以管理和控制企業系統的信息資源是至關重要的。要做好系統信息資源的控制,必須做好以下幾點:
(一)同一性檢查
所謂同一性監察是指用戶在使用系統的資源時,要事先檢查該用戶是否具備訪問系統資源的權限。它要求不僅僅要檢查用戶的代碼,還要監察用戶的口令,這兩者都和系統中設置的代碼完全匹配時,才能夠使用系統的資源。這樣,可以阻止未被授權的人員訪問系統資源。而且,用戶的代碼和口令不應該長期不變,應該經常變更,防止用戶代碼和口令被破譯。
(二)用戶使用權限分配和檢測
企業信息系統具有很多的用戶,實際上這些用戶對于企業資源的訪問和使用權限是不同的。所以說,企業系統資源的管理人員必須授予相應的用戶一個適當的權限。有些用戶可能只具有閱讀企業系統的某個子系統中的某些數據資源的資格,而有些高級別的用戶可能具有改寫系統數據的權限。所以說,在設置權限控制清單時,不能夠有半點的模糊,而且要給用戶規定實際需要的最小權限。
(三)必須建立系統運行日志。
建立系統運行日志的目的是確認、跟蹤與系統數據資源的處理和使用等相關的事物,它可以提供檢察系統的具體使用情況等信息,可以幫助發現權限問題、系統的故障等。
參考文獻:
[1](美)MichaelE.Whitman,(美)HerbertJ.Mattord著,齊立博譯.信息安全原理[M].清華大學出版社,2006.
[2]鄭志彬,吳昊,辛陽.建立產學研結合的信息安全人才培養道路[J].北京電子科技學院學報.2006(01).
在民營企業發展中,為了實現檔案信息的數字化管理,需要領導提高安全意識。在一些企業中,受思想觀念的制約,一些管理人員還在使用傳統的方式。工作人員未掌握先進文化知識,導致安全管理工作面對較大問題。為了制約該現象的產生,在民營企業發展過程中,需要做好積極宣傳與引導工作。如:利用電視、講座、廣播等方式實現教育宣傳工作,為企業員工傳授相關的法制知識。通過檔案信息安全管理工作的數字化宣傳工作,能夠讓企業人員增強安全意識,構建堅固的思想防線。在宣傳工作中,還要將利益發展和安全作為主體,保證能夠將數字化檔案信息安全管理工作完好發展。在工作具體執行期間,還需要根據數字化檔案信息安全工作執行期間的實際情況,實現統籌性規劃,分項目實施。在企業積極引導下,明確人員的責任和意識,保證專業人員都能積極參與到檔案信息安全管理工作中,從而實現民營企業數字化檔案信息的安全發展。
二、健全法律法規
加強法律法規的完善性,保證數字化檔案信息安全管理工作的規范執行。在該執行期間,需要從法律法規角度對其進行研究,基于信息化時展需要,為民營企業的檔案信息安全管理工作營造良好的發展氛圍。執行過程中,需要根據信息化發展要求、檔案信息的主要特征,為其制定完善的法律法規。在該體系執行時,不僅能加強民營企業數字化檔案信息管理工作的?范化,實現信息的開放性發展,還能保證民營企業檔案信息完整、真實使用。在現代化發展背景下,民營企業面臨較大的挑戰,為了提高檔案信息管理能力,還需要建立完善的管理制度,分析數字化檔案信息安全管理工作中存在的一些影響因素,保證制度的有效執行,保證在具體實施工作中,能夠將安全理念滲透到企業檔案信息管理工作中去。在實施工作中,還要為數字化檔案信息管理工作提供備份制度,其中,需要包括登記、異地使用制度等。不僅如此,還要促進數字化檔案開放工作的執行期間,保證能夠開放一些信息。還需要為檔案信息的數字化管理建立維護制度,促進管理工作流程的規范發展,保證工作中各個環節的人員職責都能充分落實,實現任務分布明確,職責合理等,在不同崗位上,遵循不同的工作事項和流程,這樣才能使檔案信息管理工作符合新時期的發展要求,維持民營企業的健康進步。
三、利用先進手段
在民營企業不斷進步與發展的背景下,為了提升數字化檔案信息安全管理水平,需要引進先進執行手段。先進手段的引入能夠為民營企業的檔案信息管理工作提供有效保障,在內部管理工作中,需要相關部門根據自身的發展條件,借鑒一些成功經歷,引入有效的數字化檔案信息安全軟件,促進信息安全設備的有效配置,保證企業在數字化檔案管理工作中,提高其中的技術含量。不僅如此,在具體執行期間,還需要根據企業建立的數字化管理系統化,分析運行的實際情況,對計算機的硬件和軟件進行優化選擇,提高其使用性能。在對計算機軟件與硬件進行選擇過程中,要重視計算機的品牌和服務器,以全方位的角度對計算機硬件的兼容性、可擴展性進行思考、嚴格審核,在該工作中,不僅能避免產生數據丟失現象,還能實現計算機系統的優化升級。并且,還需要為其設置信息訪問認證工作,開發防病毒軟件,為數字化檔案信息執行加密工作,這樣不僅能防止數據信息被非法侵入,還能促進數字化檔案信息的安全管理。
四、提高人員素質
提高工作人員的自身素質,增強工作人員的業務能力,能夠為數字化檔案信息安全管理工作提供保障。保障信息安全使用的主要因素是人,所以,提高工作人員的綜合素質與業務水平十分重要。在當前網絡發展環境下,為了促進數字化檔案信息管理工作的有效執行,工作人員的能力高低與其存在較大關系,因此,需要提高管理工作人員的文化知識,引導他們掌握先進技術的利用方式,學會對計算機進行熟練使用。還要認識到檔案信息管理知識的重要性,尤其在數字化發展趨勢下,要實現理論與實踐的充分結合,提高自身的安全意識,在工作中具備警惕意識,這樣才能對安全風險進行有效防范。基于該情況的分析,在民營企業逐漸發展時期,提高工作人員與管理人員的業務能力和自身素質十分重要。尤其在數字化發展趨勢下,不僅能為檔案信息管理工作提供保障,維護執行工作的安全性,還能提升民營企業的地位,進而使其獲得更高效益。
論文關鍵詞:檔案;信息化;保密;原則
隨著信息網絡技術在電力企業規劃、建設、生產、經營、科研等方面的應用,企業大量檔案信息通過網絡傳輸、應用和存儲,對電力企業黨政綜合管理部門的信息安全保密工作提出了新的挑戰。因此,在充分發揮檔案信息網絡在企業管理中快速、高效、方便等優勢的同時,深入研究信息化條件下電力企業黨政綜合管理部門保密工作的措施和方法,是電力企業黨政綜合部門必須高度重視、認真解決的一個新課題。企業管理實踐證明,只有加強檔案信息安全保密工作,才能保障電力企業實現科學發展、安全發展、和諧發展的目標。
一、新形勢下,企業檔案信息管理仍不失其保密原則
1.信息化是檔案管理呈現出來的新特征
檔案是直接形成的歷史記錄,是再現歷史真實面貌的原始文獻。其實,檔案管理絕不是今日才有,它在我國已有悠久的歷史,過去檔案管理是政府部門即所謂“官家”的職責,近代工業革命以來,檔案管理才逐漸走進企業。在現代化工業建設中,檔案管理的重要地位越發突顯,成為整個企業管理鏈中不可或缺的一環。以往,檔案通常是紙質的文件形式,而隨著技術的發展與進步,檔案管理步入了信息化管理狀態,即將文字(圖表、圖紙、照片等)檔案轉化為數字化狀態,經過發達的信息傳播媒體,直接用以查閱、利用和存儲。毫無疑義,這種檔案管理信息化的新特征是時代的巨大進步,自然是一種不可阻擋的潮流。
2.走出檔案管理的神秘化并不是完全的公開化
在一個很長的時期,檔案管理被罩上一層神秘化的色彩,成為一般人不可逾越的禁區,保守檔案的機密更成為檔案管理人員天經地義的職責。改革開放后,尤其是隨著各項新興技術的飛躍發展,檔案管理也經歷了開拓性的轉變,其宗旨是為了更好地利用檔案,讓檔案活起來用起來,為企業的中心工作服務,為企業的發展服務,為廣大職工服務,這就使得檔案信息訣別神秘化,而在一定程度上公開化。從現實看來,檔案信息的公開范圍越來越廣泛,以往只可讓少數人知道的檔案信息,現在可以掛在網上,一點鍵盤,盡可知曉。如政府下發的文件,通過網站一般都可以查閱到。過去中央的涉農“1號文件”也被定為“秘密”,只發到縣團級,致使意在給農民實惠的文件,農民卻看不到,現在則是做到家喻戶曉人人皆知。但是,檔案管理工作畢竟是一項政策性、機密性、專業性較強的工作,任何企業的檔案信息管理,都不會達到完全公開的程度,起碼在一定程度上要做到內外有別。在檔案信息的公開和保密兩者的關系上,應當從傳統上保密主導下的公開,邁向公開主導下的保密。特別是涉及到敏感性的商業機密的檔案信息,更是有著嚴格的保密規定,泄密不僅是工作的失職,嚴重狀態的還要根據具體情節追究其法律責任。
3.黨政綜合管理部門做好檔案信息保密工作是義不容辭的職責
電力企業從機構設置上劃分,檔案管理一般歸口于黨政綜合管理部門。基于此,電力企業黨政綜合管理部門是企業的神經中樞,是企業經營管理的各類信息的集散地,是保證企業各個系統正常運行的指揮部,是開展各項接待服務工作的窗口,也是做好檔案信息安全保密工作的前哨陣地。每一名工作人員在完成正常工作業務的同時,也肩負著重要的檔案信息安全保密工作責任。當然,做好檔案信息保密工作同樣是“黨政工團齊抓共管”的系統工程,需要在企業黨政領導的具體安排下,以黨政綜合管理部門為主導,做到各部門相互協調、相互配合,如此才能取得行之有效的結果。
二、深刻認識電力企業黨政綜合管理部門信息安全工作的重要意義
1.電力企業在國民經濟發展中具有極其重要的地位
當今時代下,電力是社會和經濟運行的總開關,沒有電,一切就會迅速陷入全面癱瘓。2008年初,南方數省所發生的雨雪冰凍災害,把中國“煤電運”這種資源依賴性的弱點暴露無遺,充分體現出缺了電就沒有正常的社會生活。在現代化戰爭中摧毀電網就是克敵制勝的法寶,這絕非危言聳聽。因此,電力行業始終是國內外敵對勢力窺視的重點,近年來,針對電力企業的檔案信息安全攻擊的案例越來越多,這就要求我們切實增強檔案信息安全保密的自覺性,時刻保持警惕性。
2.電力企業在市場經濟條件下必須保守商業秘密
多年以來,電力行業始終不渝地進行體制改革,電力企業作為競爭的主體逐步走向市場,以此來煥發企業的生命力。在全球經濟一體化的形勢下,市場經濟的主要特征之一就是優勝劣汰,而競爭的手段是五花八門眼花繚亂的,其中千方百計地獲取競爭對手的信息則是其中的主要手段之一。近年來,電力企業的國內外競爭對手出于各方面的考慮,特別是在經濟利益的驅使下,利用檔案信息管理工作的漏洞及失誤,竊取電力企業的一些商業信息。事實證明,保護檔案信息安全就是保護自己企業的利益。
3.保護知識產權及技術創新成果需要保護檔案信息安全
眾所周知,電力企業是技術資金密集型企業,擁有較強的專業技術人才隊伍和先進的科研設施。結合電力安全運行和規劃建設,每年都要開發研制一批原始創新、集成創新和引進吸收消化再創新的科研成果,并形成一定數量的知識產權。通過信息網絡,某些競爭對手可以獲得電力企業的知識產權和技術創新方面的信息,使電力企業的某些核心技術泄密或為對手掌握。保護檔案信息安全,堅持檔案信息的保密原則,就是保護企業的技術領先地位與核心競爭力。
4.維護企業和諧穩定局面必須堅持檔案信息的保密原則
當我們進入了經濟社會發展的寶貴機遇期時,同樣也進入了各類矛盾的凸顯期,電力企業日益成為社會關注的重點。電力企業經營中一些不宜公開的檔案信息,如果通過網絡外泄,很容易被外界誤讀,更容易被別有用心的人添枝加葉,乃至加以歪曲妖化,給電力企業造成不良的甚至是惡劣的影響。如電力行業具有自然壟斷的屬性,近來來社會對壟斷企業的攻擊越發強烈,如果不加強檔案信息管理,勢必為攻擊者制造事端而推波助瀾。實際上,這樣的例子絕非鮮見。電力企業也需要維護其和諧穩定的局面,為此必須在檔案信息前嚴格把關,防止某些檔案信息可能產生的負面作用。
三、黨政綜合管理部門如何加強檔案信息的保密工作
1.增強對檔案信息安全工作的憂患意識和責任意識
作為電力企業黨政綜合管理部門工作人員,要加強對國家保密政策法規和上級有關檔案信息安全工作的部署,學習時事政治,把握國際和國內形勢,把握行業改革發展趨勢和市場競爭的規律,增強憂患意識,對國內外敵對勢力利用信息網絡竊取電力信息保持高度警惕。增強責任意識,把做好電力企業黨政綜合部門檔案信息安全工作,與提升企業核心競爭力、維護企業形象結合起來,積極探索研究檔案信息化條件下做好保密工作的規律,通過管理創新和技術創新,不斷應對和解決電力企業檔案信息安全工作遇到的新課題,推動檔案信息安全工作與時俱進,不斷適應建設“三集五大”體系和“一強三優”目標的新要求。
2.逐步建立健全檔案信息安全工作的規章制度
電力企業要根據黨政綜合部門檔案信息管理工作新形勢新任務,建立健全各類保密制度,對原有的保密制度進行必要的修訂,保留其合理合法的部分,淘汰其落后于形勢發展的部分,總之要消除檔案信息安全管理工作的制度空白地帶。要進一步建立健全檔案信息安全的責任體系,把檔案信息安全工作列入企業經營者(集團)經營責任制的考核目標,根據履行責任情況進行獎懲,加強對涉外人員的檔案信息安全的教育與管理工作的力度,做好對外接待工作中的檔案信息安全工作。加強對檔案信息安全制度執行情況的日常監督檢查,加大對違反制度造成后果的當事人的問責。
3.采取技術手段防止企業檔案信息泄密事件的發生
落實“積極防范、突出重點、技管并重、保障發展”的方針,規范和加強電力企業黨政綜合管理部門檔案信息和信息設備的保密管理。重點做好涉密檔案信息系統、涉密計算機、涉密移動存儲介質、涉密電子文檔及涉密載體銷毀等環節上的保密管理。真正做到“涉密不上網,上網不涉密”。作為企業黨政綜合管理部門,要加強企業檔案信息網站信息的管理。對的信息事先嚴格把關,防止包含企業商業機密、知識產權的信息上網,防止對本企業和用戶造成不良影響的信息上網。
[關鍵詞] 全球生產網絡;企業檔案;信息化管理
[中圖分類號] C931.9 G271 [文獻標識碼] A [文章編號] 1671-6639(2013)02-0036-05
隨著信息化時代的來臨,對企業檔案進行信息化管理是時代必然的要求。在國家檔案局了《關于加強企業檔案信息化建設的意見》之后,不少學者對企業檔案信息化管理進行了相應的研究。經濟全球化促進了生產與信息技術的進步,國際生產網絡逐漸形成,為了獲得全面可持續競爭優勢,跨國企業需要進行知識創新、機制創新,這對承載著大量信息資源的檔案管理也提出了新的挑戰。但迄今為止,很少有學者結合全球生產網絡這一背景,對企業檔案信息化管理進行具體闡述。因此,本文根據全球生產網絡的特點,剖析企業檔案信息化管理對全球生產網絡的重要性,并對如何構建全球生產網絡條件下的企業檔案信息化管理系統提出了自己的看法,從而為企業檔案信息化管理提供一定的理論與現實意義。
一、企業檔案信息化管理概述及問題提出
企業檔案信息化管理是指在企業檔案管理活動中,以給企業發展提供更便捷有效的服務為目的,充分利用現代信息、網絡等技術,對企業檔案信息資源進行有效的管理和開發。它是基于計算機網絡技術的快速發展而形成的檔案管理的一種新模式,可以及時、準確地為企業各部門提供有效的檔案利用服務。自2000年邰曉彤、王玉霞在機電兵船檔案發表的《淺談企業檔案信息化管理》一文中,首次提出企業檔案信息化管理這個話題后,企業檔案信息化開始受到了廣大學者及企業界人士的關注[1]。例如,唐超嫦、張曼琴等人基于企業經營行業的不同,對其進行了分析[2][3];宋奇芳、黃榮等人對企業如何實施檔案信息化管理提供了建議[4][5];金楠、徐茹民等人針對企業檔案信息化管理中存在的問題進行了分析,并提出了相應的解決思路[6][7]。然而,縱觀企業檔案信息化管理相關的文獻,關于其在全球生產網絡下如何實施的研究卻比較匱乏。
全球生產網絡是當今經濟形態發展的產物,是指跨國企業將產品價值鏈分割為若干個獨立的模塊,把每個模塊都置于全球范圍內能夠以最低成本完成生產的國家和地區,進而形成的多個國家參與產品價值鏈的不同階段的國際分工體系。這種不斷細化的分工體系也給企業檔案管理帶來了全新的挑戰。因此,在全球生產網絡條件下,如何滿足企業對檔案信息化管理的需求,是當今企業面臨的一個重要問題。
二、企業檔案信息化管理在全球生產網絡中的必要性
在全球生產網絡中,信息的及時獲取與傳遞是企業有序運行的保障。作為企業日常經營活動信息的載體,企業檔案實現從實體管理向信息化管理的轉變是推動全球生產網絡運行的前提條件,其具體作用有以下幾點。
(一)加速信息流動,促進全球生產網絡資源共享
隨著經濟一體化的深入發展,市場競爭日益激烈,面對全球生產網絡中各個研發、生產、銷售機構的全球性分布特征,相關信息的及時獲取是其取得成功的首要條件,而傳統的企業檔案管理模式無法滿足這一點,因此,對其進行信息化管理是時代必然的趨勢。
其一,企業檔案信息化管理擴大了信息的接收范圍。借助信息化管理系統的構建,企業能夠迅速地從分布在世界各地的網絡成員中采集信息,突破了地理上的限制。
其二,加快信息傳遞速度,實現信息資源及時共享。實行企業檔案信息化管理,可以將捕捉于全球各地的信息及時地錄入檔案系統,供全球生產網絡中有相關需求的成員共享。這種自動化、數字化的檔案管理方式為全球生產網絡構建了一個資源快速共享的平臺。
(二)促進企業檔案管理規范性,降低管理成本
企業檔案管理涉及企業日常的一系列活動,包括檔案采集、整理、保管、利用等多個環節。全球生產網絡中的成員分布在不同地區,難免會受到當地社會制度、管理文化、語言文字等因素影響,導致企業總部與成員機構之間的檔案管理產生差別[8]。這不僅增大了檔案統一管理的難度,也限制了檔案資源在全球生產網絡各個機構間的共享,而檔案信息化管理系統的構建則能有效解決以上問題。
一方面,企業檔案信息化管理系統通過電子技術的采用,設定錄入、整理、查詢等模塊,形成一個規范統一的檔案管理模式,可以自動對錄入信息進行歸類整理,提高了企業檔案管理的專業化、規范化程度,方便企業總部與各機構之間的統一管理。
另一方面,傳統的檔案管理模式不僅需要耗費大量的人力成本,而且利用檔案的效率低下。而信息化的企業檔案管理依托網絡技術的進步,在企業總部形成檔案數據庫,網絡成員通過權限驗證便可自行登錄系統查閱, 從而提升了企業檔案利用率,也大大降低了人力成本。
(三)實現檔案管理轉型,提供科學決策
傳統的企業檔案管理主要是關注企業發展歷史,進行檔案存儲工作。而日新月異的市場動態以及全球生產網絡特有的需求,都迫切需要檔案管理進行轉型,從而為企業決策提供科學依據。在2010年企業檔案國際研討會上,瑞士的羅氏集團、丹麥的馬士基都提出了檔案管理由面向過去,轉為面向現在和未來的必要性[9]。而這種轉型目標的成功實現,離不開對企業檔案實行信息化管理。
首先,通過企業檔案信息化管理系統,可以及時采集整個生產網絡的動態信息,為企業總部迅速把握市場動態、進行戰略規劃提供了依據。
其次,實行企業檔案信息化管理,可以隨時向全球生產網絡中的成員展示關乎企業文化的檔案,有助于形成統一的企業價值觀,為企業樹立良好的形象。
三、企業檔案信息化管理系統在全球生產網絡中的應用
從上文分析中可見,實現企業檔案信息化管理可以為全球生產網絡帶來更大的協調效應。本節根據全球生產網絡的職能結構,提出了企業檔案信息化管理相應的功能模塊圖,并以用例圖的形式構建了面向全球生產網絡的企業檔案信息化管理系統。
(一)全球生產網絡職能結構
全球生產網絡是一種靈活的新型組織形式,在全球生產網絡中,企業不再是簡單的層級關系,而是表現為體系內部國際分工[10]。其職能結構的一般模式如下圖:
圖1 全球生產網絡職能結構圖
(注:圖中P1,P2,Pi表示全球生產網絡中分布在全球各地的生產機構,D1,D2,Di,S1,S2……Si分別表示各地的研發和營銷機構。)
(二)全球生產網絡下企業檔案信息化管理系統模塊
根據前面小節分析的全球生產網絡對企業檔案資源的需求,企業檔案信息化管理系統需要包含以下功能模塊,如下圖。
圖2 企業檔案信息化管理功能模塊圖
1.檔案錄入
處于生產網絡中的各個機構,需要及時地把信息錄入檔案系統。若信息以紙質形式出現時,可以通過電子掃描儀轉成電子檔案再導入系統,這將實現檔案資料按統一的格式錄入。需要注意的一點是,在這個模塊的設定中,應該遵循“唯一性”原則,即每份檔案只能對應一個主題詞。應該根據企業需要,按主題、部門等具體條目進行分類設定。如此一來,每份錄入的檔案信息都能準確地歸類到所屬的條目之下,方便之后的檔案查閱。
2.檔案更新
這一模塊主要是面向企業檔案的及時性與準確性。一方面,當全球生產網絡中的某些成員將新的檔案信息錄入系統之后,需要及時將其保存到數據庫中,更新之前的數據庫,從而能為網絡中其他成員及時提供最新信息,為檔案更新流動提供保障。另一方面,若有些錄入系統的檔案信息出現錯誤或偏差,需要將其改正或刪除。企業總部在對錄入的檔案信息進行審核之后,若發現有錯誤,需及時對信息進行改正,然后再反饋給全球成員。
3.檔案查詢
這一模塊是檔案管理的主要目的,是指對檔案的有效利用。通過前面兩個模塊的設定,形成了檔案信息數據庫,當全球生產網絡中的成員需要相應的檔案信息時,檔案查詢功能能夠幫助他們及時獲取所需的資料。在這一模塊中,需要注意以下兩點:一,設定檔案查詢的檢索模式,例如分為高級查詢和簡單查詢,從而更利于使用者快速查閱到所需檔案;二,若有些檔案涉及到機密,應該根據用戶權限管理的設定,對不同級別的用戶公開不同密級的檔案資料。
4.系統管理與維護
這一模塊是針對系統管理員而設定的,主要是檔案管理系統的日常維護工作,包括用戶管理、系統設置以及安全維護三個方面。
首先,用戶管理。用戶管理主要涉及權限控制和身份驗證。對訪問權限進行控制,主要是對系統的用戶及其權限進行管理。一般系統默認創建兩個用戶組,一個是管理員用戶組,可以擁有系統的任何權限,對系統進行統籌協調。另一個用戶組是公共用戶組,可以使用系統提供給他們的相應功能。在權限控制設定中,還需要設定權限使用的有效期,從而達到自動管理用戶的目的[11]。身份驗證是指對用戶權限的承認與允許。用戶在進入檔案管理系統之前,都需要進行身份驗證,只有與系統中的身份數據相匹配時,才能進入檔案系統,進行檔案查詢等活動。
其次,系統設置。在系統設置中,需要設定系統日志,通過日志管理,可以自動對訪問過系統的所有用戶的訪問情況進行如實記錄。同時,需要設定系統日志子系統,可以日志文件的保存時間視企業情況而定,一般不少于六個月[12]。
最后,安全維護。檔案信息化管理有利于全球生產網絡的良好運行,但也帶來了檔案管理的安全問題。因為企業檔案囊括了企業所有的信息,其中有些資料是企業的機密,如果管理不當,導致被他人竊取機密,將給企業帶來巨大的損失。因此,安全中心這個模塊是企業檔案信息化管理系統的重要組成部分。應該根據不同級別的用戶,對一些機密檔案進行密級劃分。同時,在這個模塊中,需要進行數據備份,這主要是為了防止由一些意外突發事件引起的檔案文件丟失問題。
5.檔案分析
檔案分析是針對企業總部而設定的模塊,主要是為了發揮檔案信息的“面向未來”的作用。在前文中也已經分析到,我們不應僅把企業檔案看作是企業的歷史,還應該充分發揮它的歸納預測功能。通過這一模塊的設立,企業高層能夠對檔案資料進行統計匯總,并根據相應軟件,對歷史資料進行分析,為企業當前乃至未來的活動提供參考。如此一來,企業檔案信息化管理能夠有助于企業及時地把握市場形勢。
(三)面向全球生產網絡的企業檔案信息化管理系統構建
前面小節已經對全球生產網絡下的企業檔案信息化管理所需的功能模塊進行了具體介紹,為了更清楚地認識企業檔案信息化管理系統在全球生產網絡中的作用,本節構建了一個面向全球生產網絡的企業檔案信息化管理系統,如下圖所示。
四、企業檔案信息化管理需要注意的問題
在前文中,我們分析了實行企業檔案信息化管理對于全球生產網絡的重要意義,并構建了一個面向全球生產網絡的檔案信息化管理系統。通過對當今一些企業檔案管理的研究,筆者認為有效地應用全球生產網絡下的企業檔案信息化管理系統,還需要解決以下一些問題。
(一)創新培訓手段,完善檔案管理員工知識結構
如今,企業對檔案資源信息化管理的認識逐步提高,逐漸增加了對企業檔案基礎設施建設的投入。然而,企業檔案實現信息化管理的關鍵在于人才,面向全球生產網絡的企業檔案信息化管理系統對檔案管理人員提出了新的要求,檔案管理人員不僅需要具備一定的業務操作能力,還需要擁有對檔案信息的分析和開發利用能力。傳統的檔案管理人員由于知識結構老化等原因,不能較好地勝任檔案信息化管理工作。目前為止,既具有較強的計算機應用能力,又熟悉全球生產網絡管理的檔案管理人員還比較缺乏。因此,在對檔案管理人員的培訓上,企業應改變傳統單一的業務知識培訓模式,以培養員工的信息分析利用能力、計算機軟硬件開發能力、網絡環境下系統運行維護能力為目標,探索綜合性的培訓機制,完善檔案管理人員的知識結構。同時, 還可以通過建立一套激勵機制, 如支持檔案管理創新的獎勵機制或用人機制,來激發檔案管理人員工作的主動性以及創造性。
(二)健全管理制度,提高檔案資料安全系數
實行企業檔案信息化管理有效地促進了檔案資料在全球生產網絡中作用的發揮,然而,這同時也引發了檔案管理的安全問題。若檔案管理系統受到不法分子的攻擊,導致部分關乎企業機密的檔案信息泄露,將會給企業帶來巨大的損失。同時,近年來,企業員工流失率比較高,跳槽現象非常頻繁,這也帶來了企業商業機密的泄露問題。因此,一方面,亟需建立起一套完整的現代檔案管理體系,健全新形式下的檔案管理制度,推動檔案管理的法制化、規范化。另一方面,企業應該從內部管理入手,加強員工的職業道德培訓,采取一切可利用的手段來防止檔案資料的泄露。
五、結束語
本文主要分析了在全球生產網絡中實行企業檔案信息化管理的積極意義,并探討了一個面向全球生產網絡的企業檔案信息化管理系統的構建。通過分析可以看到,在全球生產網絡中,企業檔案信息化管理有助于企業總部對整條價值鏈的控制,發揮檔案資料的動態預測作用,同時,也促進了信息在全球生產網絡中的及時傳遞,形成檔案信息共享平臺。全面實行企業檔案信息化管理是一個需要長期探索的問題,如何結合具體實踐,實現檔案信息化管理在全球生產網絡中的效用最大化,還有待于進一步的研究。
[參考文獻]
[1]邰曉彤,王玉霞.淺談企業檔案信息化管理[J].機電兵船檔案,2000(2):p35~36.
[2]唐超嫦.企業檔案管理工作淺析[J].建材與裝飾,2009(10):p33.
[3]張曼琴.檔案信息化標準研究綜述[J].辦公自動化,2011(16):p27~28.
[4]宋奇芳.淺談企業檔案的信息化管理[J].企業管理,2010(18):p169.
[5]黃榮.淺談企業檔案的信息化管理[J].南方論刊,2012(8):p84~86.
[6]金楠.淺析企業檔案信息化建設存在的問題及對策[J].黑龍江教育學院學報,2011(9): p199 ~200.
[7]徐茹民.建筑施工企業檔案信息化管理中的問題及解決思路[J].城建檔案,2012(12): p36~38.
[8]韓晶.試論經濟全球化背景下企業檔案管理工作的改革和創新[J].中國行政管理, 2005(5):p86~88.
[9]王嵐.經濟全球化條件下跨國公司檔案管理新理念[J].機電兵船檔案,2011(1):p6~8.
[10]劉春生.全球生產網絡中跨國公司組織結構的變化[J].軟件工程師,2007(7):p36~37.
【關鍵詞】企業信息化;信息安全問題;原因;對策
【中圖分類號】F270.7【文獻標識碼】A【文章編號】1006-4222(2016)01-0247-02
新時期下,信息化技術在各行業中運用日漸深入,給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在,也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是,企業信息化建設過程中不可避免的出現信息安全問題,給企業正常生產經營帶來諸多不利影響。因此,加強企業信息化建設中信息安全管理,已成為現代企業經營管理的一個至關重要的工作。
1企業信息化概述
所謂的企業信息化,指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理,實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門,其主要利用現代化信息技術,通過完善企業內外網絡信息系統,實現對企業內外知識與信息資源的開發。可見,建設企業信息化體系,不但可以及時有效的提供各種數據信息給企業決策層,也為企業未來規劃設計提供參考依據,而且還有利于企業滿足瞬息萬變的市場需求,為企業市場核心競爭力的提升帶來動力。
2當前企業信息化建設中信息安全問題
企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用,但同時也存在著諸多信息安全問題,具體分析主要有以下幾方面[3]:(1)當前,絕大多數企業缺乏完善的安全防御系統,導致企業內部使用的信息系統易遭受外部網絡系統的攻擊,引發企業信息資料被他人截獲、篡改與偽造等問題,甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象,上述問題的發生不但致使企業信息系統無法正常運行,而且其內部機密信息易發生泄漏,造成企業嚴重的社會經濟損失。(2)針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用,通過電子郵件接收與傳送,極大的方便了企業內部間與外部間信息交流與溝通。然而,電子郵件安全問題也日益突出,典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等,給企業信息傳輸帶來了巨大安全隱患。因此,電子郵件安全問題不可忽視。(3)漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種,其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞,造成企業信息泄露等問題;而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致,外部不法人員通過攻擊TCP/IP協議漏洞,致使企業信息系統遭受破壞。目前情況,很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力,往往事發后才采取補救措施。(4)是Web服務安全問題突出,根據Web服務流程,其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中,Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入,導致企業保密信息遭竊或者企業部分信息遭受非法篡改等;瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入,致使部分機密信息與數據遭竊等。
3導致企業信息化建設中信息安全問題因素
企業信息化建設中信息安全問題發生受諸多因素影響,具體分析主要有以下幾方面[4]:(1)目前,絕大多數企業在信息化建設過程中,對于信息安全問題重視度嚴重不足。一方面,受傳統經營觀念影響,企業管理層偏重于對企業生產經營中的有形資產給予關注與重視,而忽略了企業知識與信息資料等無形資源,導致在企業信息安全管理方面各項投入嚴重不足,進而造成信息安全問題日益凸顯;另一方面,多數企業在面對信息安全問題時,存在著盲目樂觀現象,認為信息安全問題不至于導致企業正常生產經營,使得信息安全管理無法上升至企業發展規劃戰略之中,進而造成信息安全問題得不到及時有效解決。(2)由于企業信息化建設在我國尚處于起步階段,各方面配套管理制度不夠完善,特別是缺乏健全的企業信息安全管理體制。受此影響,企業信息化建設中信息安全問題一方面無法得到有效的預防措施,另一方面是一旦發生信息安全問題,無法采取及時有效的補救與解決對策。同時,由于缺乏科學、合理、有效的企業信息安全防護策略,使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力,致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素,導致企業無論是從人員配置,還是資金與技術投入方面都嚴重不足,受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響,企業信息安全防護的措施、手段偏低,造成企業信息化建設存在著嚴重安全隱患。
4提升企業信息化建設中信息安全對策
針對當前企業信息化建設中存在的信息安全問題,為加強企業信息安全管理,提升企業信息安全保障,可通過采取以下幾方面對策,具體有[5]:(1)轉變傳統企業信息化建設觀念,在企業內部管理層從上至下加強對企業信息安全的重視,并樹立正確的安全意識。一方面,通過組織各種信息安全管理培訓等,增強全體企業員工信息安全意識,確保企業保密信息不外漏;另一方面,逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入,并建立科學、合理、有效的企業信息安全防護策略,保障企業信息系統安全穩定。(2)不斷的推進網絡信息技術的發展與運用,促進企業組織結構網絡化的實現,同時引進先進的安全防護技術,確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題,而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術,可以有效的提高企業信息系統抵抗外來攻擊,避免企業信息遭受竊取、篡改甚至破壞等,對于保障企業持續、健康、穩定發展具有顯著作用。(3)結合企業信息化建設實際情況,建立健全企業內部信息系統管理體制。一方面,針對信息安全問題,應建立科學、合理、規范的信息安全管理體制,保證企業信息系統安全運行;另一方面,建立健全企業安全風險評估機制,針對不同系統找出影響其安全的因素和漏洞,并制定出最佳的對策,降低企業信息安全風險;此外,加強相應的網絡管理,防止外來不法分子通過網絡侵入企業信息系統。(4)根據新時期企業信息化建設需要,加強企業信息技術人才、信息管理人才隊伍建設,為企業信息安全管理奠定堅實的人才基礎。一方面,在企業內部,加強信息技術人才培訓,提高企業內部相關人才業務素質能力;另一方面,在企業外部,采取有效措施,積極招聘人才,引進具有先進信息技術型人才;此外,建立健全企業信息安全管理用人機制,激發員工工作積極性,提高工作質量與效率。
5小結
總而言之,企業信息安全事關企業信息化建設是否成功,對于企業持續、健康、穩定發展具有至關重要的作用。因此,應提高企業信息安全管理意識,增強企業信息安全管理機制,促進企業信息安全管理工作質量與效率,保障企業信息化建設順利開展。
參考文獻
[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業,2008,8,(1):43~45.
[2]纂振法,徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報,2001,3:24~28.
[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報,2014(06):132~133.
[4]秦海峰.企業信息化建設中信息安全問題的分析研究[J].中國信息界,2012(05):61~62.
1、 引言
隨著信息化建設的發展,信息安全越來越多的受到人們的重視,企業信息安全重點面臨的問題主要表現在[1]:1)網絡受到外部的惡意攻擊,部分單位無終端接入控制措施,使企業的正常業務無法開展或相關重要數據被盜取;2)網站受到黑客攻擊,由于部分掌握網絡技術的不法人員查詢到破解網站所存在的漏洞,加以利用并篡改網站信息及獲取網站管理權限,使得網站陷入癱瘓;3)信息的監管不利產生不良的影響,通常情況下信息沒有主管部門負責審核導致監管不到位,那么不良信息就可能由于工作人員的疏忽而上傳到網站上,造成不良影響;4)計算機病毒的危害,相關系統不及時更新補丁和升級,受到病毒入侵并加以利用,篡改應用系統信息或獲取管理權限,使得應用系統丟失重要信息。
當前,有關信息系統的安全評價雖然存在著多種多樣的具體實踐方式,但在目前還沒有形成系統化和形式化的評價理論和方法。評價模型基本是基于灰色理論(Gray Theory)或者模糊(Fuzzy)數學,而評價方法基本上用層次分析法AHP[2](Analytic Hierarchy Process)或模糊層次分析法Fuzzy AHP[3]將定性因素與定量參數結合,建立了安全評價體系,并運用隸屬函數和隸屬度確定待評對象的安全狀況。上述各種安全評估思想都是從信息系統安全的某一個方面出發,如技術、管理、過程、人員等,著重于評估網絡系統安全某一方面的實踐規范。在操作上主觀隨意性較強,其評估過程主要依靠測試者的技術水平和對網絡系統的了解程度,缺乏統一的、系統化的安全評估框架,很多評估準則和指標沒有與被評價對象的實際運行情況和信息安全保障的效果結合起來。
大型企業信息安全管理體系的研究,就是為了尋找一個科學、合理的管理體系,并根據該體系和方法對大型企業的信息安全狀況和水平進行評價,對信息安全管理績效進行考核。
2、 大型企業信息安全管理體系的內涵
通過管理體系的應用,將對大型企業信息安全產生非常重要的作用。一是可以對企業信息安全的水平做出客觀的反應,認識企業信息安全存在的不足之處,發揮考評體系的指導作用,引導企業“信息安全”工作健康科學發展;二是可以為企業信息安全的建設指明方向,為信息安全的發展提供有力支撐;三是可以幫助企業管理者建立起一套科學的信息安全管理系統,有效控制信息化活動的進程,提高信息安全級別,減少因信息安全事件引起的損失,有利于正確引導和規范企業的信息化建設,指導企業科學發展具有重要的意義。
3、 大型企業信息安全管理體系的主要做法
為了大型企業信息安全管理體系的建立,提出了管理體系的目標:對于信息安全方面出現的問題,達到防范目的;對于信息安全工作進行查漏補缺,加強管理;通過評估體系的考核,落實相關信息安全文件、推進信息安全工作,為企業信息安全的建設指明方向,同時注重管理體系整體的時效性,根據信息安全發展的不同階段進行及時更新。
1) 建立大型企業信息安全體系
信息安全體系總體設計。信息安全體系設計共分為三級,包含9個一級指標,14個二級指標,27個三級指標。一級指標和二級指標為共性指標,三級指標為數據采集項。一級指標包括:網絡安全管理、環境安全管理、應用系統安全管理、數據安全管理、終端安全管理、操作安全管理、網絡信息安全、移動信息化安全、服務器掃描情況。一級和二級指標結構圖如下:
2)信息安全考評指標的權重設計
指標權重理論思路。具體權重根據德爾菲法[4]、層次分析法,結合政策導向確定。
管理體系的指標權重確定方法設計過程中,選取兩組技術、管理等方面的專家,其中一組專家根據各指標在企業信息化中的重要程度,確定各指標的相對重要性,采用層次分析法確定各指標的權重。另外一組專家根據各指標在企業信息化中的重要程度,對各指標按百分制進行賦值,確定各指標的權重。綜合兩組專家的意見,初步確定各指標的權重,再組織專家研討會,最終確定各指標的權重。
企業信息安全考評指標總分計算方法:
I=Σ(Pi*Wi) (1)
I表示指標體系的總得分;Pi表示第i個指標的得分,各指標得滿分都是100分;Wi表示第i個指標的權重,所有指標權重的和為100%。
3)建設大型企業信息化評價管理系統
為了實施信息安全措施體系,以信息安全體系、信息安全文件和考評制度為基礎,研發包括信息安全在內的大型企業信息化評價管理系統。通過使用該系統,將減輕信息化管理部門的負擔,填報和匯總數據的效率顯著提高,最為突出的是以上報數據為基礎,可以自動、實時地形成各種統計、分析圖表,從而完成以往需要信息化管理人員幾天才能完成的大量統計工作,大大減輕了信息化管理部門的工作強度,增加了信息化管理部門對新情況快速反應能力。
系統整體架構由數據庫層、框架服務層、應用邏輯層、界面表現層組成,系統部署了tomcat下運行的I@Report和BI@Report作為框架服務層,并在此基礎上開發了業務系統。
系統主要實現了如下功能:
編碼同步、基層權限管理、評價初始化、基層初評、數據提交、部門權限管理(含單位、指標項)、管理部門復評、信息稽核、數據計算、統計管理、查詢管理、決策模型。
建立統一的數據報送平臺,提高企業信息整合水平。
建立在線交流及公告平臺。
系統根據建立的數學模型進行綜合分析,可自動、實時地形成各種統計分析圖表、報告等,例如:信息化評級、信息化水平評測報告。
4、 結束語
通過大型企業信息安全管理體系的實施,使企業信息化水平評估體系更加完善,在考評信息化建設水平的同時,又對信息安全水平等級有所提升。
【關鍵詞】 企業 信息化建設 信息安全
前言
當前,信息化建設已經成為了各類企業建設和發展的重點內容,企業通過信息化建設的方式,讓自身生產與流通工作可以更順利地進行,并利用互聯網,創造出現代企業新型發展模式。但是,就實際情況而言,企業的信息化建設并不是一直處于一個平穩的發展狀態,在其發展的過程中也會受到諸多內部或外部因素的影響和束縛,在信息的安全方面也存在許多的問題,如黑客入侵或是病毒入侵。如果企業信息存在的安全問題比較嚴重,不僅會給企業信息化建設造成不利影響,還有可能會影響到企業的正常運營和發展。
一、造成企業信息化建設中的信息安全問題的原因
1.1內部原因
①企業內部的信息安全意識缺乏,目前,雖然很多的企業都提倡建設企業內部信息化,但是大部分企業過于注重信息化建設過程中得到的利益和優勢,卻忽略了信息化建設中信息的安全問題。
②軟件安裝的技術比較落后,黑客與病毒的發展速度比軟件技術更新速度快。
③管理操作不得當,在對信息系統進行管理與操作的過程中過于粗心大意,給黑客與不法分子和黑客制造了入侵的機會,對企業的信息安全造成威脅。
④專業的管理人才缺乏,沒有對企業的信息安全系統定制出合理的安全管理策略,且沒有讓專業的操作人員對統系統進行維護和升級,致使企業信息系存在信息安全隱患[1]。
1.2外部原因
對于大多數企業而言,信息系統中存在的安全威脅大部分來自于外部因素,隨著社會的不斷發展,信息建設在各類企業市場競爭中的地位和作用日益提高,許多的不法分子想盡辦法對各類企業的信息進行竊取和破壞,以此來獲得自身的利益。還有一部分企業為了得到競爭對手企業的各類商業信息,采用不正當的手段破壞或是入侵對手企業的信息系統,竊取對方企業的商業機密,以此來打倒對方。
二、企業信息化建設中存在的信息安全問題
2.1企業不夠重視信息系統的安全問題
就目前而言,國內的大部分企業都沒有給予信息系統安全問題足夠的重視,沒有意識到信息系統安全的重要性。近年來,雖然國內信息化建設得到了快速的發展,國內企業的信息安全程度也有所提高,但是大部分的企業還是沒有意識到信息安全問題對企業的重要性,只看到了信息化建設給企業創造的短暫利益,而忽視了信息化建設信息安全的長遠發展,未針對信息安全問題采取適當的防范措施,致使企業信息化的發展存在較多的安全隱患。
2.2企業信息化操作管理不到位
在企業進行信息化建設的過程中,大多數的企業沒有認識到對企業信息進行科學管理和操作的重要性。相關的操作和管理人員在信息化建設的管理和操作中缺少合理性,導致黑客與入侵者有機可乘,造成企業信息外泄。企業的信息化建設是一個全新的的概念,其中的信息系統管理,信息安全系統的維護與升級都必須由專業的操作人員進行操作和管理,因此,專業技術人員專業技能的缺乏和個人的素質對企業的信息安全有著直接的影響。
2.3可用于信息化建設的軟件較少
近年來,市場上各種類型的系統軟件越來越多,但是能夠真正用到企業信息化建設的系統軟件卻比較缺乏,特別是相較于國際市場,國內的軟件無論是在適用范圍,還是技術水平方面都比較落后,這也是給企業數據安全帶來隱患的一大重要原因。
企業信息化建設使用的軟件安全性能較低,很容易被病毒或是黑客入侵,從而對企業的信息安全造成威脅,雖然大部分的企業在商業機密信息方面設置了一定的操作權限,但是在企業的實際管理中,比較容易出現員工操作權限重復的情況,操作人員的責任不夠明確,從而導致企業信息外泄或是數據丟失[2]。
三、企業提高信息化建設中的信息安全性的對策
3.1企業需樹立正確安全意識
在企業信息化的發展進程中,企業應該充分了解企業信息安全問題和企業發展之間的關系。意識到一旦企業的重要機密發生外泄或者是被竊取,將會給企業造成不可估量的損失,并給競爭對手提供有利的機會。
因此,企業應該采取適當有效的措施,防止信息安全問題的產生,樹立正確的信息安全意識,以便為企業未來的信息化發展打下更好的基礎。
3.2加強企業內部信息系統管理
①正常來說,企業信息的系統使用任何的安全軟件都有可能被攻擊或被破解。在信息的安全防御過程中,最重要的并不只是信息技術,管理對于企業的信息安全系統來說也非常重要,只有對企業的信息進行合理、規范的管理,才能更有效提升企業信息系統的安全性。因此,合理的對信息安全管理體系進行規范化建設,對于企業的信息安全管理至關重要。
②完善企業安全的風險評估機制。企業信息系統的建設,并非是利用一種技術在短時間內能夠完成,在平常的操作與管理中,所有的系統都有自己的優勢與缺點,因此,企業應該針對本身信息系統的優勢和缺點建立相關的安全風險評估機制,找到對信息系統安全造成影響的漏洞和原因,并及時地進行處理,以有效降低企業信息系統被攻擊的可能性。
3.3運用安全性較高的防護軟件
盡管所有的防護軟件都有辦法破解,但是安全性越高的防護軟件,破解的難度就越大,企業信息被竊取或是泄露的可能性也就越低。因此,企業在對安全防護軟件進行選擇時,不應該為了節省企業的成本,而在信息系統中使用一些安全性較低的防護軟件,應該選技安全系數較高的防護軟件,防止信息系統出現安全問題,給企業帶來更大的經濟損失。
3.4加強企業的網絡管理
大多數的不法分子都是通過網絡對各個企業的信息進行竊取和破壞,因此,企業需要加強企業的網絡管理,以確保企業信息系統的運行可以在安全的狀態下進行。企業應該依據信息安全的等級、種類制定出相關的防護措施和方案,并提前制定好信息安全事故發生之后,企業應該采取的解決措施[3]。在企業的信息安全受到威脅時,企業應該及時成立起危機處理小組,讓該小組依據信息安全危機處理的步驟與預案,進行危機處理,防止危機處理不當而出現更加嚴重的連鎖危機。此外,企業應該對內部的員工進行信息安全培訓與教育,提升員工信息安全管理意識和安全危機事件的處理能力,從而有效防止企業自身失誤而造成的信息安全問題。
四、結束語
總之,在這個信息化的時代,企業進行信息化建設是其發展和生存的重要途徑。但就目前而言,我國大部分的企業都只看到了信息化建設的優勢,沒有意識到信息系統安全問題的重要性,信息系統還處在一個長期不設防的狀態當中,這一情況直接影響了企業信息系統的安全性。因此,為了提高現代企業信息系統的安全性,企業就應該重視信息系統的安全問題,樹立正確的信息安全意識,采取有效的防范措施、不斷完善企業的信息管理體系,在企業信息化建設過程中,對可能會影響信息系統安全的因素進行全面考慮,以確保企業信息系統建設的安全性。
參 考 文 獻
[1]艾戩.企業信息化建設中的信息安全探究[J].網絡安全技術與應用,2015,9(3):101-102.
