3、前企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在的問題
當(dāng)前我國很多企業(yè)都建立了管理信息系統(tǒng)，但是不可否認(rèn)一些企業(yè)管理信息系統(tǒng)的安全性建設(shè)還存在不少問題，幾乎很少有企業(yè)能夠從管理的角度以及人員管理的角度來進(jìn)行管理信息系統(tǒng)安全建設(shè)。下面筆者以北京xx公司為例就當(dāng)前企業(yè)管理信息系統(tǒng)的安全性建設(shè)存在問題作一番說明。北京xx公司成立于1998年，注冊(cè)資本文伍百萬元人民幣，目前有員工200人，主要從事房屋裝修業(yè)務(wù)。該公司2001年進(jìn)行了信息化建設(shè)，并建立了自己的網(wǎng)站，網(wǎng)站成立6年來，多次發(fā)生網(wǎng)絡(luò)癱瘓事件，曾經(jīng)給公司造成了很大的損失。
分析公司造成損失的原因，我們可以發(fā)現(xiàn)該公司管理信息系統(tǒng)的安全建設(shè)存在以下問題：
3．1.管理
往往由于管理手段不到位，導(dǎo)致先進(jìn)的技術(shù)無法發(fā)揮應(yīng)有的效能。企業(yè)管理信息系統(tǒng)安全問題的解決需要技術(shù)，但又不能單純依靠技術(shù)，信息化的過程其實(shí)是人與技術(shù)相互融合的過程，如何使管理與技術(shù)相得益彰十分重要。安全是一個(gè)交互的過程，“三分技術(shù)，七分管理”闡述了企業(yè)管理信息系統(tǒng)安全的本質(zhì)。
3.2.體上、有計(jì)劃地考慮企業(yè)管理信息系統(tǒng)安全問題
企業(yè)各部門、各下屬機(jī)構(gòu)也存在“各自為政”的局面，缺少統(tǒng)一規(guī)劃、設(shè)計(jì)和管理。企業(yè)管理信息系統(tǒng)安全強(qiáng)調(diào)的是整體上的管理信息安全性，而不僅是某一個(gè)部門或公司的管理信息安全。而各部門又確實(shí)存在個(gè)體差異，對(duì)于不同業(yè)務(wù)領(lǐng)域來說，管理信息安全具有不同的涵義和特征，企業(yè)管理信息系統(tǒng)安全保障體系的戰(zhàn)略性必須涵蓋各部門和各下屬機(jī)構(gòu)的管理信息安全保障體系的相關(guān)內(nèi)容。
3.3.層對(duì)企業(yè)管理信息系統(tǒng)安全的認(rèn)識(shí)不夠
企業(yè)管理高層對(duì)企業(yè)管理信息系統(tǒng)安全的認(rèn)識(shí)不夠，缺少信息安全管理配套的人力、物力和財(cái)力。人才是管理信息安全保障工作的關(guān)鍵。管理信息安全保障工作的專業(yè)性、技術(shù)性很強(qiáng)，沒有一批業(yè)務(wù)能力強(qiáng)，且具有信息網(wǎng)絡(luò)知識(shí)、信息安全技術(shù)、法律知識(shí)和管理能力的復(fù)合型人才和專門人才，就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對(duì)信息安全人才的實(shí)際需求出發(fā)，加快信息安全人才的培養(yǎng)。
3.4.工的管理信息安全教育不夠
員工的管理信息安全意識(shí)薄弱，90%的安全事故是由于人為疏忽所造成。如:有些企業(yè)不限制內(nèi)部人員使用高科技信息載體(U盤、移動(dòng)硬盤等)，以及筆記本電腦等移動(dòng)辦公設(shè)備。缺少管理信息安全的監(jiān)督審計(jì)機(jī)制，導(dǎo)致安全項(xiàng)目實(shí)施完后無法發(fā)揮長(zhǎng)期效能，安全策略無法持續(xù)性改進(jìn)。缺少監(jiān)督審計(jì)，就會(huì)使得管理制度流于形式，變得空洞。必須建立安全審計(jì)機(jī)制，定期對(duì)安全制度和安全策略進(jìn)行審計(jì)，對(duì)安全管理工作進(jìn)行核查，找出安全管理中的問題和漏洞，并制定相應(yīng)的解決方案進(jìn)行安全加固。
缺少完整的信息安全策略，信息安全管理沒有形成標(biāo)準(zhǔn)和規(guī)范，沒有形成一套體系。為了更好地加強(qiáng)和規(guī)范計(jì)算機(jī)信息安全工作，還需要進(jìn)行更加細(xì)致和系統(tǒng)的工作，通過引進(jìn)國際先進(jìn)的安全管理方法和理念I(lǐng)SMS (Information security Management System)，幫助企業(yè)根據(jù)自身特點(diǎn)建立起適合于業(yè)務(wù)發(fā)展的信息安全管理系統(tǒng)。
從原因上來看，我國企業(yè)管理信息系統(tǒng)安全性建設(shè)存在上述問題，主要在于人們對(duì)網(wǎng)絡(luò)安全問題認(rèn)識(shí)上的缺陷。通常人們將網(wǎng)絡(luò)作為一項(xiàng)純粹的工程來實(shí)施，缺乏統(tǒng)一的安全管理策略和專門的網(wǎng)絡(luò)維護(hù)人員，另外，企業(yè)缺乏應(yīng)有的信息保密知識(shí)，被動(dòng)的使用一些技術(shù)措施來進(jìn)行防御，因此，在信息管理過程中出現(xiàn)的突發(fā)性事件往往造成很大的經(jīng)濟(jì)損失?，F(xiàn)實(shí)中沒有一個(gè)系統(tǒng)是完美的，不安全因素隨時(shí)存在。因此，安全措施必須滲透到系統(tǒng)的每一個(gè)環(huán)節(jié)中的同時(shí)，最重要的是要滲透到企業(yè)的每一個(gè)層面中。從管理人的角度來建設(shè)和提高企業(yè)管理信息系統(tǒng)安全 。
4、高企業(yè)管理信息系統(tǒng)的安全性的措施探討
企業(yè)管理信息系統(tǒng)安全性建設(shè)是一項(xiàng)系統(tǒng)工程，不僅涉及到組織架構(gòu)、信息技術(shù)、人員素質(zhì)等各個(gè)方面，還牽扯到國家法律和商業(yè)規(guī)則。從管理角度探討企業(yè)管理信息系統(tǒng)安全則認(rèn)為企業(yè)管理信息系統(tǒng)安全本身含義是多樣化的 。企業(yè)內(nèi)部存在著諸多影響信息安全的因素;改變IT系統(tǒng)不等于改變企業(yè)的管理信息系統(tǒng)安全管理，要使企業(yè)的管理信息盡可能的安全，必須在技術(shù)投入的基礎(chǔ)上融入人在管理方面的智慧;同時(shí)，不僅要防外，更要防內(nèi)，即對(duì)組織內(nèi)部人員的管理。因?yàn)?，除了網(wǎng)上黑客入侵和犯罪、網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞以外，內(nèi)部人員的違規(guī)和違法操作同樣是企業(yè)管理信息系統(tǒng)安全的一大隱患。
針對(duì)存在的問題，筆者認(rèn)為可以從以下幾個(gè)方面來進(jìn)一步加強(qiáng)企業(yè)管理信息系統(tǒng)安全建設(shè)。
4.1.安全防范意識(shí)
現(xiàn)在許多企業(yè)沒有意識(shí)到互聯(lián)網(wǎng)的易受攻擊性，盲目相信國外的加密軟件，對(duì)于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理。這樣的企業(yè)管理信息系統(tǒng)一旦受到攻擊將變得十分脆弱，其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)。尤其是某些企業(yè)信息管理員甚至認(rèn)為其公司規(guī)模較小，不會(huì)成為黑客的攻擊目標(biāo)，如此態(tài)度，企業(yè)管理信息系統(tǒng)安全更是無從談起。只有提高網(wǎng)絡(luò)安全防范意識(shí)，才能有效的減少信息安全事故的發(fā)生。
4.2.信息安全管理組織體系
一個(gè)完整的企業(yè)管理信息系統(tǒng)安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)、IT技術(shù)主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機(jī)構(gòu) 。其職責(zé)是建立管理框架，組織審批安全策略、安全管理制度，指派安全角色，分配安全職責(zé)，并檢查安全職責(zé)是否已被正確履行，核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會(huì)等。還應(yīng)建立由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、用戶管理員等組成的安全執(zhí)行機(jī)構(gòu)。該機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運(yùn)行和維護(hù)、定期的培訓(xùn)和安全檢查等。
4.3.企業(yè)管理信息安全需求的信息安全策略
安全執(zhí)行機(jī)構(gòu)應(yīng)根據(jù)本企業(yè)管理信息系統(tǒng)安全的實(shí)際情況制定相應(yīng)的信息安全策略，策略中應(yīng)明確安全的定義、目標(biāo)、范圍和管理責(zé)任，并制定安全策略的實(shí)施細(xì)則;安全策略文檔要由安全決策機(jī)構(gòu)審查、批準(zhǔn)，并發(fā)布和傳達(dá)給所有的人:安全策略還應(yīng)由安全決策機(jī)構(gòu)定期進(jìn)行有效性審查和評(píng)估;在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時(shí)，應(yīng)重新進(jìn)行安全策略的審查和評(píng)估。
4.4.安全的管理和培訓(xùn)
參與企業(yè)管理信息系統(tǒng)的管理人員在很大程度上支配著企業(yè)管理信息系統(tǒng)的命運(yùn)，因而，加強(qiáng)對(duì)有關(guān)人員的管理變得十分重要。
4.4.1.人員鑒別;
別內(nèi)容應(yīng)包括:個(gè)人品質(zhì)和個(gè)人業(yè)績(jī)的審查，申請(qǐng)人履歷的核查(針對(duì)完整性和準(zhǔn)確性);專業(yè)資格證書的證實(shí);身份證件核查(身份證或護(hù)照)等。人員錄用或人員職位調(diào)整時(shí)，一般要簽署保密協(xié)議。當(dāng)人員到期離開或協(xié)議到期、工作終止時(shí)，要審查保密協(xié)議。
4.4.2. 對(duì)有關(guān)人員進(jìn)行上崗培訓(xùn)，建立人員培訓(xùn)計(jì)劃，定期組織安全策略和規(guī)程方面的培訓(xùn)。
培訓(xùn)內(nèi)容包括:安全要求、崗位職責(zé)、業(yè)務(wù)控制、事故報(bào)告規(guī)程和事故響應(yīng)規(guī)程以及如何正確使用信息處理設(shè)施等;
4.4.3落實(shí)工作責(zé)任制，在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護(hù)特定資產(chǎn)、執(zhí)行特定安全過程或活動(dòng)的特別職責(zé)，對(duì)違反網(wǎng)上交易安全規(guī)定的人員要進(jìn)行及時(shí)的處理。
4.4.4. 管理信息分類并實(shí)行等級(jí)安全保護(hù)。
根據(jù)信息的性質(zhì)和重要程度劃分為三級(jí):A級(jí)，機(jī)密信息，實(shí)行強(qiáng)制安全保護(hù);B級(jí)，內(nèi)部信息，實(shí)行自主安全保護(hù):C級(jí)，公共信息，實(shí)行一般安全保護(hù)。
結(jié)語
企業(yè)信息安全管理工作需要形成體系，才能保證信息安全管理的規(guī)范和長(zhǎng)效。而建立一個(gè)有效的企業(yè)信息安全管理體系首先需要在好的企業(yè)信息安全管理的基礎(chǔ)上，要制定出相關(guān)的管理策略和規(guī)章制度，然后才是在安全產(chǎn)品的幫助下搭建起整個(gè)架構(gòu)，在運(yùn)行過程中還需要根據(jù)變化的環(huán)境不斷改進(jìn)，并將這種改進(jìn)寫入信息安全管理方法及策略中。
當(dāng)然，由于企業(yè)信息安全系統(tǒng)設(shè)計(jì)到很多方面的問題，本身也是一個(gè)復(fù)雜系統(tǒng)，因此完善企業(yè)信息安全系統(tǒng)仍然需要做出很大努力。由于本人水平以及資料收集問題，本文還有一些需要進(jìn)一步探討的地方。比如如何結(jié)合具體的企業(yè)進(jìn)行具體的新息安全設(shè)計(jì)以及出現(xiàn)了安全事故如何進(jìn)一步采取措施來減少損失等等，都需要進(jìn)一步加以探討。筆者今后仍將進(jìn)一步關(guān)注企業(yè)信息安全系統(tǒng)建設(shè)。

參考文獻(xiàn)：

1.1. 徐緒松．管理信息系統(tǒng)．武漢大學(xué)出版社．2005年4月版．第76頁
2.2. 王眾托．信息化與管理變革的系統(tǒng)觀．載于．系統(tǒng)工程理論與實(shí)踐．2004年第3期
3.3. 薛華成．管理信息系統(tǒng)．清華大學(xué)出版社．2004年5月版．第56頁
?