(宁夏信通网络科技有限公司 宁夏银川 750000)
摘要:随着信息化程度的不断提高,信息安全已经成为企业最关注的问题之一,企业信息安全管理体系的构建也变得至关重要。通过对企业信息安全管理体系的发展现状、影响因素等方面进行分析,结合企业现阶段的经营模式,构建了与企业的整体经营体系相结合的信息安全管理体系,并提出了保障安全体系最佳运行的关键对策。该成果对于企业建立既符合国际标准要求又符合企业发展需要的信息安全管理体系具有指导意义。
关键词:信息安全;信息安全管理体系;影响因素
随着网络信息技术与企业管理现代化的不断发展,企业中的信息安全问题变得极为重要。为保障企业信息安全,不仅要有安全技术策略,还要有安全管理举措,只有技术与管理并重,方能保证企业的信息安全,实现企业的安全目标,提供可靠的信息服务,保障企业的正常运行,因此,加强企业信息安全管理体系建设的研究刻不容缓。
1 信息安全管理的影响因素分析
1.1信息安全管理的影响因素
企业的信息安全受各类因素的影响,这些影响因素从不同的程度、不同的角度影响着企业的信息安全,因此,在构建信息安全管理体系时,必须充分掌握企业生产经营活动中影响到企业自身信息安全的各类影响因素,从宏观上对我国企业目前所处的信息安全环境有一个整体的监控,并有针对性的构建企业的信息安全管理体系。
1.2 环境层面的影响因素
从企业的外部环境来看,企业在发生重大的信息安全事故时若有相关的法律法规来维护自身的权力,可以减少企业信息安全问题的发生,提高企业的信息安全水平。另外,国家或者有关组织对全体企业所制定的信息安全战略目标、全行业的信息安全状况、为企业提供信息服务的企业的信息安全状况等都会影响企业的信息安全。
1.3领导者层面的影响因素
有效的领导是企业或组织取得成功的一个重要条件。从信息安全管理的要求来说,企业或者组织的领导者对信息安全管理的认识、态度和行为是搞好信息安全管理的关键因素。同时,领导者最重要的任务是为企业的信息安全制定目标,领导者若有较丰富的技术和知识储备,制定出的信息安全目标将更有利于信息安全的实现,企业将能更有效的降低信息安全风险。
1.4资源层面的影响因素
在企业的信息化工作中,与信息安全有关的资源主要包括人力资源、技术资源、信息资源、财务资源、基础设施、相关方关系等,其中较为重要的是人力资源和技术资源。从人力来讲,与核心业务有着直接关联的无疑是一线的操作人员。这些人员在工作过程中会产生信息、使用信息并对信息进行管理,企业信息安全的状况在很大程度上取决于能否对该类员工进行有效、规范的管理。
2 信息安全管理体系的构建
2.1信息安全管理体系的构建
根据信息安全管理的各类影响因素之间的联系,从信息安全管理的环境、领导者、战略和规划、运行与支持资源、信息风险管理和信息安全结果六个方面去构建信息安全管理体系,为了将信息安全管理体系更好的结合在企业的在经营体系中,本文利用绩效管理和测量分析将整个过程进行了整合,最终形成了与企业的经营体系相融合的信息安全管理体系。“运行与支持资源”、“信息风险管理架构”、“信息安全管理结果”三个模块构成了以“信息安全结果”为中心的三角循环,具有从动的性质。
2.2信息安全管理体系的模块内涵
信息安全管理体系八个主要功能模块的内容,分别是领导、战略与规划、信息安全管理的环境、运行与支持资源、信息风险管理架构、信息安全管理结果、绩效指标分解和测量、分析、评价、改进。每个模块都有其独特的作用,并且各个模块之间密切相关,相辅相成。以“领导”为中心的三角循环中“领导”是指高层领导者应确定企业未来的发展方向,并在此基础上确定信息化的发展方向,进而做出信息安全管理的总体规划;“战略与规划”模块主要是指战略与规划的制定,主要包括企业战略的制定、信息化发展战略的制定和企业信息安全管理的总体规划的制定。
3 信息安全管理体系构建的关键对策
3.1信息与知识资源的全面融合
信息安全管理不仅仅是对已有信息进行的风险识别、控制及处置,还应该从信息源开始抓起,在制定战略时收集和分析有关的数据和信息,并从源头开始控制数据和信息的安全性,形成包括信息识别、收集信息、传递信息、应用信息和信息安全管理在内的信息管理过程,并将其作为一个链条纳入到信息安全管理体系中,为战略管理形成一个基础。
3.2 战略管理和绩效管理的全面融合
企业在制定企业战略后,应基于战略及其实施计划,开展信息化需求调查和分析,制定长短期的信息化发展战略,再根据信息安全的要求制定信息安全规划,形成各方面的战略在整体上的完美衔接。企业要在制定总体战略的基础上制定企业的信息化发展方向,进而制定企业的信息安全规划,并根据信息安全规划来设计战略关键绩效指标,将战略关键绩效指标转化为部门绩效指标,再将部门绩效指标转化为信息安全管理绩效指标,形成战略绩效——部门绩效——信息安全管理绩效的全面绩效体系。
3.3信息安全风险管理体系与企业的风险管理体系的融合
企业要持续提升竞争力,并取得持续成功,风险管理是重要的途径。企业应培育和增强风险意识,才能保持企业持续经营且基业常青。ISO27000 系列标准是建立在风险管理的基础上,风险管理是 ISO27000 系列标准的一大特色,ISO27000 系列标准着眼于组织的整体业务风险,通过对业务进行风险评估来建立、实施、运行、监视、评审、保持和改进信息安全管理体系,确保其信息资产的保密性、可用性和完整性,所以可以考虑将信息安全管理体系中的风险管理融合到企业整体的而风险管理中去。
3.4 提升人力资源的素质和能力
人力资源是资源中最重要的一个要素,也是影响信息安全的一个重要因素。任何企业要取得成功,必须建立一支高水平的员工队伍。企业构建信息安全管理体系也需要一支强大的人才队伍,需要努力提高员工的信息安全技能和信息安全素养。实际工作中提高员工的信息安全素质除了要求企业在日常工作中营造良好的信息安全文化氛围之外还需要定期对员工的信息安全素质的培训。
3.5 持续改进思想的全面融合
企业管理提倡的是追求卓越,持续改进,信息安全管理更应如此。本文所构建信息安全管理体系中测量、分析与改进是贯穿于其他各个模块之中的,高层领导应该积极营造信息安全防护的企业文化环境,不断寻找改进计划和创新点,战略模块中,部门人员应注意收集内外部信息,并持续改进。
结 语
随着企业信息化程度越来越高,在企业经营活动的每个阶段,都有可能存在对信息的保密性、完整性和可用性产生影响的因素,做好信息安全管理体系的效果的测量,将信息安全风险管理纳入到企业的风险管理体系中去,同时要提升人力资源的素质与能力,重视持续改进的思想。
参考文献:
[1]顾穗珊, 刘姗姗. 信息安全管理体系构建与对策研究[J]. 情报科学, 2019, 037(008):108-113,151.
[2]王忠柱. 农商行信息安全管理体系的效益分析[J]. 时代金融, 2018, No.690(08):116+118.
[3]随煊. 浅谈大型电子通讯企业信息安全管理体系建设[J]. 科技传播, 2018, 010(024):112-113.
[4]周佳, 牟元恩, 张营. 基于"木桶式"的市县一体化信息安全管理体系构建与实施[C]// 2017年中国电力企业管理创新实践——2017年度中国电力企业管理创新实践优秀论文大赛论文集(下册). 2018.
[5]刘振. 高校实验室安全信息化管理体系的构建路径探析[J]. 才智, 2018, 000(010):190.
[6]梅春霖. 应用动态安全模型构建信息安全管理体系[J]. 中国传媒科技, 2018, No.300(03):48-50.