前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)信息安全重要性范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

企業(yè)信息安全重要性范文第1篇

【關(guān)鍵詞】企業(yè)；計算機網(wǎng)絡(luò)信息；安全管理

中圖分類號： F279 文獻標(biāo)識碼： A

前言

文章對企業(yè)計算機網(wǎng)絡(luò)安全存在的問題進行了介紹，對影響企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)安全的因素進行了闡述，通過分析，并結(jié)合自身實踐經(jīng)驗和相關(guān)理論知識，對加強企業(yè)網(wǎng)絡(luò)安全管理措施進行了探討。

二、企業(yè)計算機網(wǎng)絡(luò)安全存在的問題

1.安全意識淡薄

在企業(yè)網(wǎng)絡(luò)系統(tǒng)中，每一臺計算機的安全性都會影響整個系統(tǒng)的安全性能，網(wǎng)絡(luò)安全與每個用戶息息相關(guān)。內(nèi)部員工了解公司的網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)存放方式和地點甚至掌握業(yè)務(wù)系統(tǒng)的密碼。在具有嚴格訪問權(quán)限的系統(tǒng)中，使用弱密碼的用戶有可能成為安全系統(tǒng)中的缺陷，甚至有些人隨意改動系統(tǒng)注冊表，使得整個網(wǎng)絡(luò)安全系統(tǒng)失效。

2.網(wǎng)絡(luò)安全體系不健全

當(dāng)前很多企業(yè)盡管采取了一些安全措施，但安全保護措施較為零散，缺乏整體性與系統(tǒng)性，對于企業(yè)網(wǎng)絡(luò)信息安全保護缺乏統(tǒng)一的、明確的指導(dǎo)思想，沒有建立一個完善的安全體系，這是引發(fā)安全問題的主要源頭。

3.網(wǎng)絡(luò)黑客攻擊

黑客肆意妄為，破壞的手段也越來越多樣化。企業(yè)的內(nèi)部資料對于整個企業(yè)經(jīng)營來說相當(dāng)重要，因為它關(guān)系到整個企業(yè)的生死存亡。企業(yè)存放信息會因網(wǎng)絡(luò)黑客攻擊而造成資料的泄密。

4.來自企業(yè)外部的感染

來自企業(yè)外部的計算機病毒具有傳播性、破壞性、隱蔽性、潛伏性和可觸發(fā)性等特點，通過入侵網(wǎng)絡(luò)系統(tǒng)和設(shè)備，對數(shù)據(jù)進行破壞，使網(wǎng)絡(luò)癱瘓，不能正常運作。網(wǎng)絡(luò)蠕蟲由于不需要用戶干預(yù)就能觸發(fā)，因而其傳播速度要遠遠大于計算機病毒，其對網(wǎng)絡(luò)性能產(chǎn)生的影響也更為顯著和嚴重。木馬是指附著在應(yīng)用程序中或者單獨存在的一些惡意程序，它可以利用網(wǎng)絡(luò)遠程控制安裝有服務(wù)端程序的主機，實現(xiàn)對主機的控制或者竊取主機上的機密信息。

5.來自企業(yè)網(wǎng)絡(luò)內(nèi)部的攻擊

企業(yè)防護重點是對外，往往忽視對內(nèi)部防護的重視。利用企業(yè)內(nèi)部計算機對企業(yè)局域網(wǎng)絡(luò)進行攻擊，企業(yè)局域網(wǎng)絡(luò)也會受到嚴重攻擊，當(dāng)前企業(yè)內(nèi)部攻擊行為大大加強了企業(yè)網(wǎng)絡(luò)安全的風(fēng)險。

三、影響企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)安全的因素

1.病毒攻擊

目前，計算機病毒的制造者大多利用Internet網(wǎng)絡(luò)進行傳播，因中小企業(yè)防范薄弱管理規(guī)范性有待提高，所以他們很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統(tǒng)，也可能會大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，如：發(fā)送垃圾郵件的病毒，從而影響企業(yè)計算機網(wǎng)絡(luò)的正常運行。

2.軟件漏洞

任何軟件都有漏洞，這是客觀事實。而同時中小企業(yè)在軟件采用上大都以節(jié)約為本，不注重也不舍得花銷來進行軟件更新的后期升級服務(wù)，以至于非法用戶正好通過這些需要升級的漏洞竊取用戶信息和破壞信息，針對固有的安全漏洞進行攻擊。

3.職員不當(dāng)操作

中小企業(yè)計算機管理人員配置少，監(jiān)督管理都難以細致，其它職工在信息化系統(tǒng)操作中容易出現(xiàn)工作馬虎，不細心，不按成型的規(guī)范操作，不遵守制定的相應(yīng)規(guī)章制度。中小企業(yè)中很多職工信息安全意識不強，將自己的生日或工號作為系統(tǒng)口令，或?qū)挝坏馁~號隨意轉(zhuǎn)借他人使用，從而造成信息的丟失或篡改。

四、加強企業(yè)網(wǎng)絡(luò)安全管理措施

1.要加大對計算機網(wǎng)絡(luò)與信息安全工作的投入。信息技術(shù)進步神速，我國在這一領(lǐng)域同發(fā)達國家比，并沒有優(yōu)勢。因此我國更應(yīng)加大投入，刻苦攻關(guān)，掌握一些關(guān)鍵的信息技術(shù)，以確保我國在信息安全方面的自主能力?？梢院敛豢鋸埖卣f，今年安全方面的自主能力，將制約我國的綜合國力和國防實力，因此，我國應(yīng)當(dāng)像五六十年展“兩彈一星”一樣，集中力量，加大投入，迎接信息技術(shù)革命的挑戰(zhàn)，保衛(wèi)國家安全。這一點，我們不能幻想通過進口來解決問題。在信息安全技術(shù)方面，發(fā)達國家一方面極為重視研究開發(fā)，美國政府曾為了改進美國政府的計算機安全系統(tǒng)，投入巨大的資金；另一方面，又嚴格控制信息安全技術(shù)的出口。以美國為代表的發(fā)達國家，對信息安全產(chǎn)品出口，已作出許多嚴格限制，以維護其在信息技術(shù)領(lǐng)域的絕對優(yōu)勢。

2.關(guān)鍵數(shù)據(jù)采用加密手段。在企業(yè)計算機網(wǎng)絡(luò)中關(guān)于數(shù)據(jù)安全的隱患無處不在。尤其是一些機密數(shù)據(jù)庫、商業(yè)數(shù)據(jù)等一定要保證它的安全性，這時一般會采取對數(shù)據(jù)加密的手段，它是一種保護數(shù)據(jù)在存儲和傳遞過程中不被竊取或修改的一種手段，該數(shù)據(jù)加密系統(tǒng)在使用的過程中需要綜合考慮執(zhí)行效率與安全性之間的平衡。

3.加強安全管理力度健全管理制度。首先，加強信息安全管理力度應(yīng)積極采取宏觀管理與重點監(jiān)控相結(jié)合的方式，保證信息化項目的安全性。系統(tǒng)的實施及管理部門應(yīng)該全面掌握各單位的計算機網(wǎng)絡(luò)系統(tǒng)的相關(guān)情況，為企業(yè)統(tǒng)一管理提供可靠依據(jù)。同時，對重點工程實地考察，對信息安全進行檢查，發(fā)現(xiàn)問題及時解決。

4.事務(wù)管理和故障恢復(fù)。事務(wù)管理和故障恢復(fù)主要是對付系統(tǒng)內(nèi)發(fā)生的自然因素故障，保證數(shù)據(jù)和事務(wù)的一致性和完整性。故障恢復(fù)的主要措施是進行日志記錄和數(shù)據(jù)復(fù)制。計算機同其他設(shè)備一樣，都可能發(fā)生各種各樣的故障，比如電源故障、軟件故障、災(zāi)害故障以及人為破壞等，這些故障可能會造成數(shù)據(jù)庫的數(shù)據(jù)丟失，因此為了保證計算機的安全運行，必須在發(fā)生故障時采取必要的措施恢復(fù)數(shù)據(jù)庫，事務(wù)管理和故障恢復(fù)就是這個作用，它能夠保障數(shù)據(jù)庫在出現(xiàn)故障時，仍可以把數(shù)據(jù)庫系統(tǒng)還原到正常狀態(tài)。

五、企業(yè)信息安全新形勢

網(wǎng)絡(luò)信息安全工作始終是通信行業(yè)最為關(guān)鍵的工作之一，具有長期性、復(fù)雜性和艱巨性的特點。2010年3G及寬帶網(wǎng)絡(luò)蓬勃發(fā)展，三網(wǎng)融合開始實施操作，云計算和物聯(lián)網(wǎng)產(chǎn)業(yè)方興未艾，需求的個性化、數(shù)字的海量化、業(yè)務(wù)的復(fù)雜化給通信行業(yè)網(wǎng)絡(luò)信息安全帶來了新的更大的挑戰(zhàn)，行業(yè)中企業(yè)要進一步提高對網(wǎng)絡(luò)信息安全重要性的認識，發(fā)展與管理并重，加強部門協(xié)調(diào)配合，加強網(wǎng)絡(luò)基礎(chǔ)管理工作，加強網(wǎng)絡(luò)信息安全保障能力建設(shè)，特別是要加快網(wǎng)絡(luò)信息安全關(guān)鍵基礎(chǔ)產(chǎn)業(yè)的研發(fā)應(yīng)用和產(chǎn)業(yè)化，通過核心技術(shù)掌握自主知識產(chǎn)權(quán)，加快發(fā)展自主可控的信息安全產(chǎn)業(yè)，建設(shè)新時期通信行業(yè)網(wǎng)絡(luò)安全、信息安全長城。

從國際國內(nèi)出現(xiàn)的安全現(xiàn)象出發(fā)，應(yīng)對多種復(fù)雜的安全新問題，應(yīng)該借助于RFID等物聯(lián)網(wǎng)新技術(shù)，并通過極主動地建立網(wǎng)絡(luò)與信息安全的保障體系，技術(shù)和管理并重，加強立法建設(shè)、政策制訂、技術(shù)研究、標(biāo)準(zhǔn)制訂、隊伍建設(shè)、人才培養(yǎng)、市場服務(wù)、宣傳教育等多方面的工作，通過產(chǎn)業(yè)鏈各方的緊密合作共同構(gòu)造一個全方位多層次的網(wǎng)絡(luò)與信息安全環(huán)境，來共同改善全球的網(wǎng)絡(luò)與信息安全問題。

結(jié)束語

隨著科技的發(fā)展，一些不法份子和黑客通過計算機網(wǎng)絡(luò)竊取企業(yè)商業(yè)機密的現(xiàn)象越來越多，因此，對于計算機網(wǎng)絡(luò)信息安全管理應(yīng)該予以高度重視，否則可能對企業(yè)造成不可預(yù)估的損失。

參考文獻

[1]林延君.局域網(wǎng)企業(yè)信息安全系統(tǒng)的設(shè)計與實現(xiàn)[D].大連理工大學(xué)，2006年.

[2]陽威特.Web應(yīng)用程序的安全維護[J].計算機應(yīng)用，2000（05）.

企業(yè)信息安全重要性范文第2篇

【關(guān)鍵詞】信息化建設(shè)；安全管理；授權(quán)

【中圖分類號】TU714 【文獻標(biāo)識碼】A 【文章編號】1672—5158（2012）08—0255-02

0.引言

隨著信息技術(shù)的不斷發(fā)展以及市場競爭的不斷激烈，企業(yè)信息安全建設(shè)已經(jīng)成為提高企業(yè)競爭力的重要途徑，杜絕信息泄露可以避免巨大的經(jīng)濟損失。雖然大多數(shù)企業(yè)在信息安全管理方面采取了較多的措施，但是信息安全問題仍然頻發(fā)，對于企業(yè)的經(jīng)營活動帶來巨大的損失。加強企業(yè)內(nèi)部的計算機管理，提高對于信息安全的認識程度，保證信息數(shù)據(jù)庫的安全，避免信息泄露的發(fā)生已經(jīng)成為現(xiàn)階段企業(yè)信息化建設(shè)亟待解決的管理問題。

1.企業(yè)信息化建設(shè)信息安全影響因素分析

（1）信息系統(tǒng)實體安全。信息實體主要包括用于企業(yè)信息化建設(shè)的計算機、網(wǎng)絡(luò)連接、服務(wù)器等媒介硬件設(shè)施，對于信息實體安全影響因素主要包括火災(zāi)、水災(zāi)、失竊或者是其他事故造成設(shè)備硬件的損壞，從而造成企業(yè)信息庫數(shù)據(jù)安全出現(xiàn)問題。

（2）信息系統(tǒng)運行安全。信息系統(tǒng)的安全是指為了保證企業(yè)信息數(shù)據(jù)庫的安全，采取各種措施對系統(tǒng)運行進行安全保護。由于信息數(shù)據(jù)庫有可能受到非授權(quán)的訪問、泄露、數(shù)據(jù)纂改或者是被其他非法程序控制的威脅，因此確保信息系統(tǒng)運行安全主要是保證信息數(shù)據(jù)庫的完整、保密以及時時可用性。

（3）信息系統(tǒng)管理人員安全責(zé)任意識。管理人員在日常工作中的安全管理意識、專業(yè)操作水平以及法律意識等均會對企業(yè)信息數(shù)據(jù)的安全產(chǎn)生影響。信息安全管理人員的日常管理工作責(zé)任心以及工作方式方法，對于保證信息數(shù)據(jù)庫的安全十分重要。

2.企業(yè)信息安全管理問題分析

目前由于管理制度以及軟硬件設(shè)施等一系列的問題，企業(yè)數(shù)據(jù)庫破壞以及重要數(shù)據(jù)信息泄漏的現(xiàn)象時有發(fā)生，嚴重影響了企業(yè)的正常生產(chǎn)經(jīng)營活動，通過分析發(fā)現(xiàn)影響企業(yè)信息化建設(shè)信息安全的問題主要由以下幾方面：

（1）企業(yè)內(nèi)部移動存儲設(shè)備管理疏松，缺乏安全保密管理制度。由于許多企業(yè)在日常管理過程中，移動存儲設(shè)備使用較多，員工可以隨意對企業(yè)內(nèi)部的各種信息資料進行備份，企業(yè)用于經(jīng)營活動的客戶信息、產(chǎn)品設(shè)計、財務(wù)管理等各項信息極易造成泄漏，帶來巨大的信息安全損失。部分企業(yè)由于對于信息安全管理認識程度不足，企業(yè)內(nèi)部信息安全管理缺乏必要的規(guī)章制度，安全管理職責(zé)權(quán)限不清，信息安全漏洞較多。

（2）對于內(nèi)部信息共享控制不嚴格，信息安全管理權(quán)限混亂。由于企業(yè)在生產(chǎn)經(jīng)營過程中為了提高生產(chǎn)經(jīng)營效率以及加強企業(yè)內(nèi)部各部門之間的溝通聯(lián)系，對于一些設(shè)計企業(yè)銷售計劃、客戶信息以及生產(chǎn)計劃等文件采取共享的措施，因此企業(yè)員工的流動或者其他管理不當(dāng)均會造成企業(yè)信息的泄露。

（3）信息權(quán)限管理混亂，企業(yè)的中介服務(wù)體系穩(wěn)定性較差。對于加密的授權(quán)訪問，權(quán)限管理則成為保護企業(yè)信息安全的重要因素。但是由于企業(yè)在信息安全管理過程中體系混亂，操作權(quán)限不清晰導(dǎo)致經(jīng)常出現(xiàn)影響信息安全的非授權(quán)訪問。而且對于部分中小企業(yè)由于信息化建設(shè)采取對外委托的方式，而中介第三方由于穩(wěn)定性難以保證，隨時更換或者退出的第三方極易造成企業(yè)有價值信息的泄漏，影響企業(yè)信息安全建設(shè)。

（4）信息管理安全防范體系不健全，缺乏針對信息安全管理的專業(yè)技術(shù)人才。雖然部分企業(yè)已經(jīng)認識到信息化管理的重要性，并在企業(yè)網(wǎng)絡(luò)內(nèi)設(shè)置了必要的安全設(shè)備。但是缺乏一系列的安全管理機制，在信息安全管理方面缺乏行之有效的整體規(guī)劃與具體落實措施。此外，由于大部分企業(yè)在信息安全管理工作中將重點放在軟硬件設(shè)施上，而忽略了對于信息安全技術(shù)人員的培養(yǎng)，而且為了減少人力資源支出成本，信息安全管理人員少工作任務(wù)重，管理權(quán)限集中化程度高，影響了信息化建設(shè)的安全管理。

3.企業(yè)信息建設(shè)信息安全管理措施

（1）加強對于信息庫硬件設(shè)備的保護管理。首先應(yīng)保證計算機等硬件設(shè)備具有安全的工作環(huán)境，做好計算機設(shè)備的防火、防潮、防盜措施，并避免強磁環(huán)境對信息數(shù)據(jù)可能造成的損壞。其次，在對各種硬件設(shè)備進行檢修時，硬組織企業(yè)內(nèi)部相關(guān)技術(shù)人員進行監(jiān)督管理，對于需要外送檢修的設(shè)備，則應(yīng)提前進行數(shù)據(jù)加密處理。

（2）提高企業(yè)內(nèi)部的信息安全管理意識。企業(yè)信息安全管理對于提高企業(yè)競爭力，避免企業(yè)經(jīng)濟損失具有重要的意義。在企業(yè)的正常管理過程中，加強信息安全宣傳工作，使員工充分認識到企業(yè)信息安全管理的重要性，并熟悉企業(yè)相關(guān)信息數(shù)據(jù)保密的規(guī)則制度，提高企業(yè)的整體信息安全防范水平。

（3）加強信息安全操作管理人員的管理。在企業(yè)信息日常管理過程中，應(yīng)加強對于業(yè)務(wù)操作以及數(shù)據(jù)存取控制代碼的管理。系統(tǒng)管理操作代碼的獲得應(yīng)經(jīng)過企業(yè)管理者授權(quán)，系統(tǒng)管理人員在進行企業(yè)相關(guān)信息數(shù)據(jù)庫的整理以及維護過程中，必須通過授權(quán)進行。系統(tǒng)管理人員離開工作崗位后，相關(guān)責(zé)任人應(yīng)及時更換管理員操作代碼。

（4）加強企業(yè)信息數(shù)據(jù)庫的密碼與權(quán)限管理。對于涉及到企業(yè)信息數(shù)據(jù)庫安全的密碼，應(yīng)分別設(shè)置用戶密碼以及操作密碼，并提高密碼的安全程度，及時定期更換登陸操作密碼。對于組成企業(yè)內(nèi)部局域網(wǎng)絡(luò)的服務(wù)器、路由器等設(shè)施的設(shè)置管理工作，應(yīng)嚴格按照相關(guān)管理規(guī)定進行設(shè)置。

（5）明確企業(yè)信息數(shù)據(jù)庫管理制度。對于企業(yè)重要的數(shù)據(jù)應(yīng)存放備份數(shù)據(jù)，并采取異地存放的方式對備份數(shù)據(jù)庫進行管理。對于廢棄或者需要銷毀的數(shù)據(jù)信息，應(yīng)嚴格依照程序采取逐級審批的方式，避免數(shù)據(jù)信息的泄露。需要進行數(shù)據(jù)恢復(fù)工作時，應(yīng)嚴格按照相關(guān)技術(shù)手冊，并對恢復(fù)的數(shù)據(jù)進行驗證確認數(shù)據(jù)的完整可用。

（6）加強企業(yè)信息數(shù)據(jù)機房的管理。相關(guān)人員出入信息數(shù)據(jù)庫機房進行數(shù)據(jù)查閱以及提取工作時，應(yīng)經(jīng)由相關(guān)主管人員的授權(quán)，并登記進入。在日常管理過程中，定期對硬件設(shè)備進行保養(yǎng)，同時研究違章操作在信息數(shù)據(jù)機房安裝外部其他軟件。

參考文獻

[1]沈路鐵路信息系統(tǒng)安全風(fēng)險評估研究[J]-鐵路計算機應(yīng)用2011（6）

企業(yè)信息安全重要性范文第3篇

關(guān)鍵詞：信息化；信息安全；安全管理

1企業(yè)信息安全現(xiàn)狀

近幾年，隨著行業(yè)信息化建設(shè)逐步深入，伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用，與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，企業(yè)也逐步認識到信息安全的重要性，企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度，并通過這幾年信息安全檢查工作，促進企業(yè)的信息安全水平得到了進一步提高。由于企業(yè)信息安全意識不斷提高，企業(yè)不斷加大信息安全方面的投入，如建立標(biāo)準(zhǔn)化的機房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機技術(shù)的發(fā)展不斷更新，攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊，也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅，安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題，還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風(fēng)險導(dǎo)向意識，一味注重“技術(shù)”的作用，忽略“管理”的重要性，就很難發(fā)揮信息安全技術(shù)的作用，無法把企業(yè)的各項信息安全措施落到實處，企業(yè)的信息安全也就無從談起。只有切實發(fā)揮管理作用，企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時，大多數(shù)剛接觸的人都比較疑惑，都說保障信息安全十分重要，那到底什么是信息安全呢？下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對企業(yè)來說，信息是一種無形資產(chǎn)，具有一定商業(yè)價值，以電子、影像、話語等多種形式存在，必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制，避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中，信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析，不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系，進一步細分則涉及安全運維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品，合理制定安全策略，實現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺，如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等，而信息安全技術(shù)則是指實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機構(gòu)、制度，細化職責(zé)分工，制定執(zhí)行標(biāo)準(zhǔn)，確保日常管理、檢查等制度有效執(zhí)行，最大程度發(fā)揮信息安全技術(shù)體系作用，確保信息安全相關(guān)保護措施有效執(zhí)行。通過上文簡單介紹，對信息安全以及信息安全系統(tǒng)有了大概了解?？梢钥闯鰡渭兘柚夹g(shù)或管理無法保障企業(yè)信息安全，因此，建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運用技術(shù)、管理手段，做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制，確保實現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素，而管理體系則是建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo)，采取或運用方法的體系。作為管理活動最終結(jié)果，包含方針、原則、目標(biāo)、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系，目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構(gòu)。明確職責(zé)分工，確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前，如果沒有設(shè)置相應(yīng)的信息安全組織機構(gòu)，那么建立體系所需要的資源（資金、人員等）就無法得到保障，企業(yè)的信息安全制度和策略也就無法貫徹落實，企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此，企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機構(gòu)，機構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個層次。4.1信息安全決策機構(gòu)。信息安全決策機構(gòu)處于安全組織機構(gòu)的第一個層次，是本單位信息安全工作的最高管理機構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負責(zé)，對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進行審批，并為企業(yè)信息安全工作提供各類必要資源。4.2管理機構(gòu)。處于安全組織機構(gòu)的第二個層次，在決策機構(gòu)的領(lǐng)導(dǎo)下，主要負責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作，此類工作大部分都由企業(yè)的信息化部門承擔(dān)。4.3執(zhí)行機構(gòu)。處于信息安全組織機構(gòu)的第三個層次，在管理機構(gòu)的領(lǐng)導(dǎo)下，負責(zé)保證信息安全技術(shù)體系的有效運行及日常維護，通過具體技術(shù)手段落實安全策略，消除安全風(fēng)險，以及發(fā)生安全事件后的具體響應(yīng)和處理，執(zhí)行機構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中，已明確了信息安全管理體系建立的10項強制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實際情況，遵照這些內(nèi)容和步驟，建立自己的信息安全管理體系，并形成相應(yīng)的體系文件。5.1建立的步驟。（1）結(jié)合企業(yè)實際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構(gòu)建目標(biāo)框架、風(fēng)險評價的準(zhǔn)則等，形成方針文件。（3）確定風(fēng)險評估方法。（4）識別信息安全風(fēng)險，主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。（5）進行安全風(fēng)險分析評價，編制評估報告，確定信息安全資產(chǎn)保護清單。（6）明確安全保護措施，編制風(fēng)險處理計劃。（7）制定工作目標(biāo)、措施。（8）管理者審核、批準(zhǔn)所有殘余風(fēng)險。（9）經(jīng)管理層授權(quán)實施和運行安全體系。（10）準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致，同時也要結(jié)合企業(yè)實際，確保員工遵照要求嚴格執(zhí)行。而且也要符合企業(yè)的實際情況和信息安全需要。在實際工作中，企業(yè)員工應(yīng)按照文件要求嚴格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針，涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等；程序類主要是指“過程文件”，涉及輸入、處理與輸出三個環(huán)節(jié)，結(jié)果常以“記錄”形式出現(xiàn)；記錄類主要是記錄程序文件結(jié)果，常以是表格形式出現(xiàn)。至于適用性聲明文件，企業(yè)應(yīng)結(jié)合自身情況，參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況，制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實際要求，保證與企業(yè)其他體系文件協(xié)調(diào)一致，避免沖突，同時在文字描述準(zhǔn)確且無二義。

6體系實施與運行

主要包括策略控制措施、過程和程序，涉及制定和實施風(fēng)險處理計劃、選擇控制措施與驗證有效性、安全教育培訓(xùn)、運行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評審

主要指對照策略、目標(biāo)與實際運行情況，監(jiān)控與評審運行狀態(tài)，主要涉及有效性評審、控制措施測試驗證、風(fēng)險評估、內(nèi)部審核、管理評審等環(huán)節(jié)，并根據(jù)評審結(jié)果編制與完善安全計劃。

8體系的保持和改進

主要是依據(jù)監(jiān)視與評審結(jié)果，有針對性地持續(xù)改進。主要包括改進措施、制定完善措施、整改總結(jié)等，同時需相關(guān)方進行溝通，確保達到預(yù)計改進標(biāo)準(zhǔn)。

9結(jié)語

企業(yè)信息安全重要性范文第4篇

[關(guān)鍵詞]電力企業(yè)；信息安全；運行維護

doi：10.3969/j.issn.1673 - 0194.2016.16.000

[中圖分類號]TM73；TP309 [文獻標(biāo)識碼]A [文章編號]1673-0194（2016）16-00-02

1 我國電力企業(yè)的信息系統(tǒng)存在的問題

1.1 電力企業(yè)的信息安全意識比較差

信息化給企業(yè)帶來的各方面積極作用已經(jīng)被人們熟知和認可，然而，信息技術(shù)的作用在被人們關(guān)注的同時，信息化安全方面的問題層出不窮。安全問題出現(xiàn)的原因主要是由電力企業(yè)基層員工的安全意識較差造成的。近幾年來，隨著信息安全事件的不斷出現(xiàn)，電力企業(yè)的管理者加大了對安全問題的重視，其安全意識不斷提高，但是電力企業(yè)的基層員工對于信息安全的重要性認識還不足，造成了企業(yè)的信息安全問題依然不斷出現(xiàn)。一方面，電力企業(yè)信息安全問題直接影響企業(yè)的管理，對于基礎(chǔ)員工的直接影響較小，因此，對于信息安全問題電力企業(yè)的管理者比較敏感，電力企業(yè)的基層員工的安全意識比較差。另一方面，電力企業(yè)的管理層雖然提高了對信息安全問題的重視，但是卻很少有企業(yè)制定切實可行的規(guī)章制度或者解決措施，更沒有把相關(guān)的規(guī)章制度有效的執(zhí)行下去，落實到企業(yè)每個員工的身上，因此，電力企業(yè)的基層員工對于信息安全的認識不足，安全意識相對較差。

1.2 電力企業(yè)信息系統(tǒng)的技術(shù)性較差

信息技術(shù)隨著社會的進步在不斷的革新。因此電力企業(yè)的信息系統(tǒng)必須要隨著信息技術(shù)的進步不斷的變化，由此可知，電力企業(yè)的信息系統(tǒng)是動態(tài)的發(fā)展過程，因此，電力企業(yè)在應(yīng)用全新的信息系統(tǒng)的過程中難免存在技術(shù)缺陷，這就為電力企業(yè)日常的經(jīng)營與管理埋下了安全隱患，一旦出現(xiàn)安全問題，企業(yè)的重要信息資源可能被盜取，直接影響企業(yè)的經(jīng)濟利益以及長期穩(wěn)定的發(fā)展。例如：TCP/IP協(xié)議設(shè)計如果不夠全面、科學(xué)就會直接導(dǎo)致信息系統(tǒng)的軟件和硬件存在安全隱患，嚴重時會導(dǎo)致企業(yè)的軟件崩潰，企業(yè)的重要信息資源也將瞬間化為烏有，影響企業(yè)的日常管理，對于企業(yè)長期穩(wěn)定的發(fā)展非常不利。

1.3 信息系統(tǒng)的管理水平相對較低

信息系統(tǒng)安全問題給電力企業(yè)帶來的危害是巨大的，這一點已經(jīng)引起了電力企業(yè)管理層的高度重視，然而，目前電力企業(yè)的信息系統(tǒng)管理水平不是很高，企業(yè)管理中的漏洞給信息系統(tǒng)帶來了很多問題；部分管理人員在管理信息系統(tǒng)的過程中疏忽大意，增加了企業(yè)信息系統(tǒng)安全問題發(fā)生率；信息操作人員的操作程序不規(guī)范，一旦信息系統(tǒng)出現(xiàn)問題，企業(yè)的管理者不能第一時間知道是哪個程序出現(xiàn)了問題，從而不能及時解決信息安全問題，最終可能影響到企業(yè)的信息安全，給企業(yè)帶來巨大的損失。

1.4 電力企業(yè)信息系統(tǒng)集成性低

電力企業(yè)的業(yè)務(wù)部門相對較多，各個部門之間缺乏必要的溝通和有效的滲透，因此，企業(yè)信息系統(tǒng)的集成性較低。企業(yè)的信息系統(tǒng)中，各個部門的相關(guān)業(yè)務(wù)相互獨立，相互之間缺乏聯(lián)系，使得企業(yè)的信息系統(tǒng)中各個部門之間的數(shù)據(jù)信息存在很大的差距，各種信息的相關(guān)性不高，數(shù)據(jù)信息之間的聯(lián)系非常小，信息數(shù)據(jù)不能有效地銜接在一起。最終使企業(yè)信息化缺乏整體性，信息化應(yīng)用的最終目的不能實現(xiàn)，電力企業(yè)及時信息化程度非常高，難以實現(xiàn)信息化給企業(yè)帶來的優(yōu)勢。

2 加強電力信息安全運行維護與管理的措施

2.1 提高企業(yè)信息安全意識，不斷完善企業(yè)的安全管理制度

電力企業(yè)必須認識到應(yīng)用信息技術(shù)的前提就是要保證企業(yè)信息的安全性，如果不能有效地保證企業(yè)信息的安全，那么電力企業(yè)應(yīng)用信息技術(shù)的初衷將不能很好的實現(xiàn)。為了有效提高企業(yè)的安全意識，首先，電力企業(yè)的管理者人員應(yīng)該加強對企業(yè)員工信息安全知識的教育，讓每個工作人員都能意識到信息安全的重要性，積極地為企業(yè)提高信息安全出謀劃策。其次，電力企業(yè)應(yīng)該積極地學(xué)習(xí)西方先進的安全防范措施，根據(jù)自身的實際情況制定有效的措施。最后，電力企業(yè)應(yīng)該制定完善的安全管理制度，合理保證企業(yè)信息的安全性。在制定安全管理制度的過程中一定要保證責(zé)任到人，一旦出現(xiàn)信息安全問題，電力企業(yè)能夠第一時間找到問題的所在，及時解決相關(guān)問題，同時還能追究直接責(zé)任人的相關(guān)責(zé)任，保證企業(yè)安全制度落實到實處。

2.2 提高信息系統(tǒng)技術(shù)水平

面對技術(shù)缺陷，電力企業(yè)應(yīng)該積極的提高信息系統(tǒng)的技術(shù)水平，采取有效措施避免系統(tǒng)缺陷導(dǎo)致的安全問題。首先，電力企業(yè)應(yīng)該設(shè)置有效的應(yīng)急措施，一旦信息系統(tǒng)出現(xiàn)技術(shù)上的問題，必須要保證信息的完整性，防止不法分子利用技術(shù)缺陷來危害企業(yè)的信息系統(tǒng)。例如：企業(yè)可以安裝自動報警系統(tǒng)，一旦發(fā)現(xiàn)有人利用技術(shù)缺陷盜取企業(yè)的數(shù)據(jù)信息，第一時間報警，讓相關(guān)人員采取應(yīng)急措施防止企業(yè)信息泄露。其次，電力企業(yè)應(yīng)該不斷提升信息系統(tǒng)的技術(shù)水平，加強對信息技術(shù)的研究與探索，利用高級、精密、尖端的技術(shù)來規(guī)避企業(yè)信息系統(tǒng)中的技術(shù)缺陷，保證企業(yè)信息的安全。再次，電力企業(yè)要加強網(wǎng)絡(luò)防護技術(shù)在信息系統(tǒng)中的應(yīng)用，安裝IDS以及IPS技術(shù)系統(tǒng)加強企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)防護能力。最后，電力企業(yè)應(yīng)該啟動安全審計系統(tǒng)，對企業(yè)信息系統(tǒng)進行嚴格的審計，一方面，企業(yè)能夠第一時間發(fā)現(xiàn)信息系統(tǒng)的問題，及時解決相關(guān)問題；另一方面，通過審計系統(tǒng)的分析，企業(yè)能夠全面了解信息系統(tǒng)的運行情況，幫助企業(yè)更好地查看信息系統(tǒng)的運行狀況。

2.3 提高信息管理的水平

電力企業(yè)的管理者在重視信息安全問題的同時，必須加強對信息的管理，提升企業(yè)的信息管理水平。制定嚴格的工作責(zé)任制，一旦發(fā)現(xiàn)信息安全問題，做到責(zé)任到人，防止管理人員由于麻痹大意而導(dǎo)致的信息安全問題。作為信息管理人員，如果自身的管理范圍內(nèi)出現(xiàn)了信息安全問題，企業(yè)一定會追究其管理責(zé)任，這對于提高管理人員的警惕性，減少其麻痹大意的作用非常有效。電力企業(yè)對于信息系統(tǒng)的操作人員要進行定期培訓(xùn)，強調(diào)信息操作標(biāo)準(zhǔn)的重要性，對于不嚴格按照信息操作標(biāo)準(zhǔn)操作的工作人員進行嚴厲處罰，情節(jié)嚴重的給予開除。另外，電力企業(yè)要加強對信息系統(tǒng)的維護，及時修復(fù)信息系統(tǒng)的漏洞，提高企業(yè)的信息管理水平。

2.4 提升電力企業(yè)信息系統(tǒng)的集成水平

信息系統(tǒng)的集成性是指企業(yè)在一定的技術(shù)指導(dǎo)下，能夠?qū)崿F(xiàn)對企業(yè)各個部門的有效調(diào)配，從整體上掌握企業(yè)日常運行情況以及企業(yè)在日常管理中存在的問題，滿足客戶對于企業(yè)的不同需求，在提高企業(yè)管理水平的同時，實現(xiàn)企業(yè)的高速發(fā)展。電力企業(yè)針對目前集成水平低的問題，必須要引起高度重視，采取有效措施提高企業(yè)集成水平。首先，電力企業(yè)應(yīng)該加強各個部門之間的溝通與聯(lián)系，保證企業(yè)各個部門數(shù)據(jù)信息的銜接度。其次，電力企業(yè)應(yīng)該加強企業(yè)信息系統(tǒng)的一體化建設(shè)，站在企業(yè)的高度對企業(yè)中的財務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)以及辦公系統(tǒng)進行統(tǒng)一的管理與應(yīng)用，提升企業(yè)信息系統(tǒng)的集成水平。

3 結(jié) 語

電力是我國經(jīng)濟發(fā)展的基礎(chǔ)。電力企業(yè)必須擁有足夠的安全意識，保證企業(yè)長期穩(wěn)定的發(fā)展。我國電力企業(yè)采用信息技術(shù)來幫助企業(yè)更好的運營和管理是很有必要的，其出發(fā)點與落腳點都非常符合我國市場經(jīng)濟發(fā)展的要求。然而，如果電力企業(yè)的安全防范不能及時地跟上企業(yè)信息技術(shù)的應(yīng)用步伐，那么電力企業(yè)應(yīng)用信息技術(shù)的目的不但不能實現(xiàn)，很可能會適得其反，使電力企業(yè)降低經(jīng)濟效益。

主要參考文獻

企業(yè)信息安全重要性范文第5篇

關(guān)鍵詞 信息安全事故；安全管理；事故致因理論

中圖分類號 F49

文獻標(biāo)識碼 A

文章編號 1006-5024（2013）01-0055-04

一、引言

在信息化浪潮席卷全球的今天，信息的重要性不言而喻。我國國民經(jīng)濟和社會信息化建設(shè)進程全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強，信息技術(shù)在提高企業(yè)服務(wù)水平、促進業(yè)務(wù)創(chuàng)新、提升核心競爭力等方面發(fā)揮了重要作用。但是，在進行信息化建設(shè)的同時，各種信息安全事故卻頻繁發(fā)生。據(jù)普華永道2010年度全球信息安全調(diào)查報告顯示，中國企業(yè)信息安全事故發(fā)生率遠遠高于世界平均水平。網(wǎng)絡(luò)事故、數(shù)據(jù)事故及系統(tǒng)事故是中國企業(yè)常見的三大信息安全事故，發(fā)生率分別為51%、45%和40%，而相同事故在全球范圍內(nèi)的發(fā)生率則為25%、27%與23%。

大量文獻和事實表明，信息的特殊性決定了信息安全事故的高發(fā)性。信息具有易傳播、易擴散、易毀損的特點，信息資產(chǎn)比傳統(tǒng)的實物資產(chǎn)更加脆弱，而其運作的風(fēng)險、收益和機會卻比實物資產(chǎn)大得多。企業(yè)對信息系統(tǒng)不斷增強的依賴性也增大了重要信息受到嚴重侵擾和破壞的風(fēng)險，而這些風(fēng)險常導(dǎo)致企業(yè)資產(chǎn)受損或業(yè)務(wù)中斷。

目前，對于信息安全的研究大多集中于技術(shù)層面，從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認證等，而從管理方面和流程優(yōu)化方面研究的較少。Ross Anderson（2001）認為，信息安全的經(jīng)濟管理研究在某種程度上比技術(shù)研究更為重要。傅毓敏（2010）認為，中國企業(yè)對信息安全管理人員和流程的重視不足是導(dǎo)致相關(guān)安全事故率居高不下的主要原因。因此，有必要系統(tǒng)分析企業(yè)信息安全事故發(fā)生的機理，以管理因素研究為核心，找出事故發(fā)生的根本原因。通過控制事故致因因素預(yù)防企業(yè)信息安全事故的發(fā)生，將對企業(yè)的信息安全管理有一定的指導(dǎo)意義。

本文將生產(chǎn)領(lǐng)域的事故致因理論應(yīng)用到信息安全事故分析中，系統(tǒng)分析企業(yè)信息安全事故的形成機理，將信息安全事故致因因素分為四部分，即環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素，分析各因素對信息安全事故的影響，構(gòu)建信息安全事故致因因素魚刺圖，并提出針對性的防范措施。

二、理論基礎(chǔ)

（一）國內(nèi)外從管理角度對信息安全事故的研究

國內(nèi)外的學(xué)者從不同角度對信息安全事故原因進行了研究。Van Niekerk（2010）認為企業(yè)信息安全文化氛圍是減少人為因素所導(dǎo)致的信息安全事故的關(guān)鍵；Knapp（2009）等先后對信息安全政策和信息安全事故之間的關(guān)系進行了研究；Herath（2009）通過問卷調(diào)研的實證研究驗證了懲罰力度、壓力和員工的效果認知會對其安全行為產(chǎn)生影響；Albrechtsen（2010）發(fā)現(xiàn)員工參與、集體反思和群體作用可以提高員工的信息安全意識，并改善其安全行為；Stanton（2005）研究發(fā)現(xiàn)終端用戶的安全行為會對企業(yè)信息安全管理產(chǎn)生影響；Ashenden（2008）通過實證研究發(fā)現(xiàn)信息安全管理人員、高層管理者和終端用戶之間存在信息鴻溝，雙方在理解上的差異會對企業(yè)的信息安全管理產(chǎn)生不利影響，增加了信息安全事故發(fā)生的幾率。此外，Vroom（2004）、Flowerday（2005）等學(xué)者也先后對此進行了研究。

與國外相比，國內(nèi)對于信息安全的研究多集中于技術(shù)層面，涉及管理層面的研究較少。沈昌祥、張煥國、馮登國（2007）系統(tǒng)地闡述了信息安全理論及相關(guān)技術(shù)的發(fā)展；官巍、胡若（2007）從社會環(huán)境、商業(yè)、組織和個人的角度分析了電子商務(wù)的信息安全問題；劉福來（2010）對中小企業(yè)信息化管理中存在的安全隱患和原因進行了分析。

通過閱讀文獻發(fā)現(xiàn)，國外學(xué)者大多通過實證研究驗證了一個或幾個因素對信息安全事故的影響，但是缺乏對信息安全事故的系統(tǒng)分析。國內(nèi)的研究多用于構(gòu)建信息安全管理體系，對信息安全事故的分析則鮮有研究。

（二）事故致因理論

在信息安全事故分析方法的選擇上，本文選擇了在生產(chǎn)領(lǐng)域廣泛應(yīng)用的事故致因理論。事故致因理論是研究分析導(dǎo)致事故發(fā)生原因因素的科學(xué)理論。它是描述事故成因、經(jīng)過和后果的理論，是研究人、物、環(huán)境、管理及事故處置等基本因素如何起作用而形成事故并造成損失的理論。

在早期的事故致因理論中，海因里希（W.H.Heinrich）的事故因果連鎖論最具代表性，它最先提出了物的不安全狀態(tài)和人的不安全行為是導(dǎo)致傷亡事故發(fā)生的兩個直接因素。在海因里希事故因果連鎖論的基礎(chǔ)上，博德（F.Bird）等又進一步提出了把安全管理作為背后深層次的間接事故致因因素的現(xiàn)代安全科學(xué)觀點，認為任何安全事故發(fā)生的深層次原因，都可以歸結(jié)為管理的失誤，人的不安全行為或物的不安全狀態(tài)不過是其背后的深層原因的征兆和管理失誤的反映。

本文依據(jù)博德（F.Bird）的現(xiàn)代安全科學(xué)觀點，提出如圖1所示的信息安全事故模型。信息安全事故的發(fā)生是由于人的不安全行為和物的不安全狀態(tài)作用在能量物質(zhì)/載體上的結(jié)果，而企業(yè)的管理因素是導(dǎo)致物的不安全狀態(tài)和人的不安全行為發(fā)生作用的直接因素。

三、信息安全事故分析

通過對各類型信息安全事故致因因素的分析，企業(yè)信息安全事故的致因因素大體可分為兩類，即人的因素和物的因素。其中，物的因素可進一步分為環(huán)境因素、技術(shù)因素、設(shè)備因素等。根據(jù)實地調(diào)研和文獻梳理可以得出，企業(yè)文化的缺失、安全規(guī)章制度的不完善等環(huán)境因素是造成事故的深層原因。因此，本文將企業(yè)信息安全事故的可控致因因素整理歸納后分為四類，即環(huán)境因素、人員因素、技術(shù)因素和設(shè)備因素，并構(gòu)建了信息安全事故魚刺圖（見圖2）。

（一）環(huán)境因素分析

在信息化建設(shè)過程中，很多企業(yè)由于急需開展業(yè)務(wù)，往往出現(xiàn)“先業(yè)務(wù)，后安全”的現(xiàn)象，安全管理嚴重滯后于業(yè)務(wù)的發(fā)展。在企業(yè)的內(nèi)部環(huán)境中，企業(yè)業(yè)務(wù)的符合性直接決定了信息系統(tǒng)的設(shè)計、運行、試用和管理是否超出法律規(guī)定和合同規(guī)定的安全要求的約束范圍。另外，很多企業(yè)安裝了一定的安全設(shè)備，但缺乏統(tǒng)一的安全體系規(guī)劃和安全防范機制，企業(yè)安全責(zé)任不明確，這些都大大增加了信息安全事故發(fā)生的風(fēng)險。由于缺乏業(yè)務(wù)連續(xù)性計劃和事故處理機制，發(fā)生信息安全事故之后，企業(yè)的業(yè)務(wù)往往會出現(xiàn)中斷，此時，信息管理人員又變成“救火員”恢復(fù)業(yè)務(wù)，最終信息安全建設(shè)變成一種“頭痛醫(yī)頭，腳痛醫(yī)腳”的亡羊補牢式的行為。此外，企業(yè)懲戒措施和審計機制的缺乏也是導(dǎo)致信息安全事故頻繁發(fā)生或重復(fù)發(fā)生的重要因素。

在信息安全管理的外部環(huán)境中，與企業(yè)密切相關(guān)的是第三方服務(wù)機構(gòu)或個人。企業(yè)選擇第三方服務(wù)機構(gòu)為企業(yè)提供服務(wù)，就意味著將企業(yè)的部分信息轉(zhuǎn)移至第三方。企業(yè)與第三方的外包合約不完善、第三方的服務(wù)質(zhì)量不高以及對第三方數(shù)據(jù)訪問權(quán)限的不明確易導(dǎo)致企業(yè)關(guān)鍵數(shù)據(jù)的泄露，容易引發(fā)外部攻擊。

（二）人員因素分析

人員是信息安全管理中最為活躍的因素，不同類別的人員對信息安全事故的影響不盡相同。（1）管理人員。高層管理者是企業(yè)資源投入的決策者，也是企業(yè)信息安全管理的核心，高層對信息安全的支持和重視不夠是導(dǎo)致企業(yè)信息安全文化欠缺和員工信息安全意識淡漠的關(guān)鍵因素。中層管理者作為銜接企業(yè)高層和基層的橋梁，其對上級決策的執(zhí)行力度直接決定了企業(yè)信息安全管理實施的效果。（2）技術(shù)人員。在企業(yè)中，技術(shù)人員可以保證企業(yè)信息系統(tǒng)的日常運營和維護。但大多數(shù)企業(yè)，尤其是中小企業(yè)缺乏信息技術(shù)人才和安全監(jiān)察、審計人員。由于受人員及技術(shù)的限制，往往一個管理員既要負責(zé)系統(tǒng)的配置，又要負責(zé)系統(tǒng)的安全管理，安全設(shè)置和安全監(jiān)督都是“一肩挑”。這種情況使得管理權(quán)限過于集中，一旦管理員的權(quán)限失控，極易導(dǎo)致重要信息泄露。（3）基層人員。目前，我國企業(yè)的基層員工普遍缺乏信息安全的教育、培訓(xùn)，對信息安全意識淡漠，每天都在以不安全的方式處理著企業(yè)的大量重要信息，如隨意使用移動設(shè)備、上網(wǎng)不限制等，這些不安全的行為都對企業(yè)的信息系統(tǒng)構(gòu)成了潛在的威脅。

（三）技術(shù)因素分析

信息安全技術(shù)是企業(yè)防范信息安全事故的基本因素，也是我國企業(yè)在信息安全管理中投入較多的一部分。具體而言，導(dǎo)致信息安全事故技術(shù)方面的因素可以分為兩大類：（1）軟件因素，包括軟件設(shè)計缺陷或存在技術(shù)漏洞、殺毒軟件不及時更新以及突發(fā)的軟件故障等。（2）信息系統(tǒng)設(shè)計因素，包括信息系統(tǒng)設(shè)計時沒有以風(fēng)險評估為基礎(chǔ)、業(yè)務(wù)流程描述錯誤或遺漏、前期測試不充分、數(shù)據(jù)訪問權(quán)限設(shè)置不清晰、關(guān)鍵數(shù)據(jù)沒有備份、信息資產(chǎn)安全等級不明確以及信息資產(chǎn)沒有保護措施等因素。這些不安全的技術(shù)因素導(dǎo)致了信息安全漏洞存在的必然性和普遍性。在目前互聯(lián)網(wǎng)普及的開放網(wǎng)絡(luò)環(huán)境中，這些漏洞無疑會給外部攻擊者留下可乘之機，導(dǎo)致信息安全事故的發(fā)生。

（四）設(shè)備因素分析

企業(yè)信息安全管理的設(shè)備主要包括中心機房、服務(wù)器、網(wǎng)絡(luò)設(shè)備、線路等方面，這些是企業(yè)信息安全保障系統(tǒng)的基礎(chǔ)。由于設(shè)備因素引起的信息安全事故包括硬件自身故障、保障設(shè)施故障、人為破壞事故、其他設(shè)備設(shè)施故障等四種，其致因因素可以歸納為三類：（1）物理安全方面，包括物理安全邊界不明確、非授權(quán)的物理訪問、設(shè)備或存儲介質(zhì)缺乏安全措施、設(shè)施設(shè)備的非授權(quán)使用或移動、硬件失效等。（2）保障設(shè)施方面，包括供電或空調(diào)中斷、電氣故障、電纜損壞等。（3）外界不可抗力，包括水災(zāi)、臺風(fēng)、地震等自然災(zāi)害和恐怖襲擊、戰(zhàn)爭等外界不可抗力因素。這些因素往往會造成設(shè)施設(shè)備硬件的損壞，導(dǎo)致存儲于設(shè)備上的數(shù)據(jù)受到干擾和破壞，容易引發(fā)企業(yè)業(yè)務(wù)的中斷。

四、防范措施

針對上述造成信息安全事故的因素分析，可以從人員培訓(xùn)、制度完善以及硬件改進三個方面進行防范。具體而言：

（一）建立有效的“人力防火墻”，減少人為因素導(dǎo)致的信息安全事故

信息安全是企業(yè)每個員工都要面對的問題，通過建立“人力防火墻”能真正調(diào)動企業(yè)實現(xiàn)長治久安的內(nèi)在動力。因此，必須加強信息安全宣傳工作，增強所有員工對信息安全重要性的認識。通過增強管理人員對信息安全的重視，營造企業(yè)的安全文化氛圍，提高企業(yè)員工的信息安全意識；通過對員工進行安全教育與培訓(xùn)，增強員工的安全技能；通過法律法規(guī)、安全政策、訪問權(quán)限與懲戒措施來約束員工的行為，減少不安全行為的發(fā)生。最終在企業(yè)內(nèi)部形成一種“信息安全，人人有責(zé)”的企業(yè)文化氛圍，減少人為因素導(dǎo)致的信息安全事故。

（二）完善企業(yè)信息安全管理體系，減少由于環(huán)境、技術(shù)因素導(dǎo)致的信息安全事故

信息安全管理體系是依據(jù)企業(yè)信息安全需求、業(yè)務(wù)流程分析和風(fēng)險評估的結(jié)果，綜合利用各種信息安全技術(shù)與產(chǎn)品，在統(tǒng)一的綜合管理平臺上建立的信息安全管理機制和防范體系。建立并完善信息安全管理體系，可以為企業(yè)的信息管理提供來自策略、設(shè)計以及運行等各個層面和階段的安全保障，有效減少由于環(huán)境因素和技術(shù)因素引起的信息安全事故。建立災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃，強化重要信息數(shù)據(jù)備份，在信息安全事故發(fā)生時能確保業(yè)務(wù)持續(xù)開展，將損失降到最低程度；建立集中化的管理控制機制，將數(shù)據(jù)安全控制進行集中化管理，建立一個具有全局性的網(wǎng)絡(luò)管理平臺，以確保安全防范策略能夠由上至下全面貫徹執(zhí)行，減少數(shù)據(jù)安全風(fēng)險；以“適度防范”為原則，選擇合適的安全技術(shù)與產(chǎn)品，制定相應(yīng)的訪問控制策略，在考慮成本和投資回報的基礎(chǔ)上滿足企業(yè)業(yè)務(wù)安全的需求。