金雪
大连中车柴油机有限公司 辽宁大连 116052
简要:安全管理信息化是新时期企业面向未来发展的必然需求,也是优化与调整安全管理的重要举措。本文立足于企业安全管理存在的不足,论述了现代企业安全管理信息系统的构建。
关键词:安全管理;企业;构建
一 中小企业安全管理信息系统选择
这一部分要回答几个问题:为什么要做安全信息系统?之前有哪些问题和风险?我们现在的安全信息管理水平如何?可以参考27000、COBIT等评价标准,进行打分评估,或者跟行业内做的比较好的公司进行对比。这样可以对公司所处的位置有一个认识。同时,在这部分还特别需要关注领导层对信息安全工作的想法,对大多数企业来说,只有领导层尤其是最高层的重视,才能推动工作的有效开展和落地。
首先明确下,选择信息系统的目的是什么,对于企业来说,上系统是规范业务,积淀数据,并能快速拿到报表,为日常决策做参考;从另外一个意义上来说,是为了更好的分工和协作。举个简单的例子,原先用excel做的手工表,当日的数据,要经过多部门汇总校验,然后逐级上报,安全管理部门拿到数据需要很长时间,而且准确性还不一定保证。那么上安全管理系统,录入数据后,系统会做汇总和上报,可以动态即时获得数据,时效性和准确性都有很大的提升。换言之,如果是软件选型,以前可能只能考虑ERP或者OA之类的,联系这些企业做蓝图规划,安装部署,上线验收。成熟的ERP交付体系基本都是一致的。现在可以考虑现在的互联网表单工具,完全可以满足企业的需求,关键使用门槛低,成本比传统ERP低很多。而且自己有技术力量的话,完全可以自己来做定制,不需要软件供应商。ERP只是企业信息化软件的代称,可以包含人事,财务,供应链以及其他的定制化模块,可以与第三方系统做集成。
二 企业信息安全管理中存在的不足
1.配置管理不到位,例如 IE 的安全级别被随意修改,使之极易被攻击。
2.企业内部员工信息安全意识薄弱,例如企业员工泄露企业内部信息、员工用户无意识使用带有病毒、木马或者企业禁止的程序,危害到企业安全。企业本身对安全意识普遍较低,国家对互联网产品的安全方面的监管力度不足,对互联网导致的安全问题的处罚制度也不完善,使得安全问题对公司造成的损失不是很大这就使得企业对产品安全不重视,在安全投入方面大打折扣。
3.密码安全意识低,例如大多体现在员工使用弱口令、密码共享、账号密码长期不修改等方面。对网络安全威害没有意识,或者不了解这一块。在没有遭受安全攻击前没有人关注。即使受到攻击,可能损失小,也没人关注。
4.内部访问权限问题,例如最高权限组用户设置永久权限、离职员工账户未能及时注销以及分散管理与授权等权限问题。
三 企业安全管理系统构建
首先要先关注产品数据管理,尤其是工艺环节多,物料庞杂的产品,产品数据是ERP将来运行的重要基础数据,即便是大企业在上ERP时也难以绕过产品数据管理混乱的坑,所以从一开始规范这个是有必要的,但是没必要买PDM系统,如果没有软件时管不好,买了软件大概率也是—锅粥,零件号和版本号管住就是成功。现在的PDM产品可集成性较低,企业还是应该重点关注怎么编写宏来从制图软件导数据,或者找制图软件的供应商寻找相关方案。
关于ERP,它具有完整封闭的数据库结构,模块儿间有无法割裂的联系,它有自己的内生逻辑,是随着管理理论—起进化的系统,而不是—个杂集,但模块儿间又保持了一定的独立性,在一个完整的业务流程里,任何人为的切入都不会导致系统失效,只是它客观记录的业务结果不好看罢了。
关于如何形成企业自己的安全信息管理体系,很多企业可以根据情况启动一个咨询规划项目,找专业的安全信息化咨询团队来帮助企业理清现状、建立安全管理信息体系和规划。企业安全管理信息系统要做成什么样子?这个问题其实很多企业并没有深入思考,经常都是领导发现一个安全问题,IT就针对这个问题去解决,而缺少一个全盘的考虑和规划。要避免这种情况,一方面需要安全负责人向领导灌输全盘规划的理念,另一方面要多参考一些成熟的标准和最佳实践,吸收借鉴形成适合企业的安全管理信息体系。要注意,这并不是要把领导说的安全问题放在一边,而是把解决这个问题的方案融入到整个安全信息体系去考虑。实际上,领导层特别关心的问题,其优先级相应可以提高,可以先解决。
差距分析和规划:经过上面两个阶段,我们就比较容易去发现当前企业距离目标的差距,可以列出一个工作清单,然后根据工作重要性、难易度,结合企业资源、IT规划、领导意见等等排布优先级,制定一个定期规划去落地执行。后面就是不断滚动执行、修正的过程了。
如果直接购买信息安全管理系统,需要注意4点:1.避开复杂功能,缩短实施周期。如果希望为企业量身定制oa管理系统,就要避开复杂的功能。因为很多oa管理系统功能强大而繁琐,就会导致实施困难加大,这样就会延长实施周期,或许到最后出现“无疾而终”的情况;2.重视易用性和易维护。管理系统产品的差异化还是要几种在用户的体验上。如果oa管理系统在实施过程中的耐用性不高,又或者是维护困难,那么就陷入了一个无比巨大的深坑之中。不仅浪费时间,还会负担高额的维护成本;3.功能泛化不可取。oa管理系统的功能是不是越多就越好呢?实际上,够用、合适才是最好的选择。满足需求就行了,如果很多功能从来没用过,那就是白白的浪费掉了。确切来说,oa管理系统中的很多功能在日后办公中是会被闲置的,只有在需要的时候才会发挥出它的价值。需求引导性的oa管理系统才能做到量体裁衣,真正的为企业带来实用价值;4.系统价格透明化。有些开发商会在初期将价格调的很低,等部署完成后,在后续的版本升级和维护中就会产生高额的费用。这点也是很多企业很难看到的盲区。
四 结语
综上所述,新时期下企业安全管理仍存在诸多不足,弱化了安全管理工作的有效性。大中型企业应该注意这一点,加大对信息安全方面的投入,保护自己企业的信息安全。
参考文献
[1]周坤.企业管理信息系统建设的密码安全策略[J].山东电力技术,2010,(06):61-63.
[2]郑丹青.企业管理信息系统中数据安全策略策划[J].吉林师范大学学报,2009,(02):25-28.
[3]魏斐翡.管理信息系统的安全策略研究[D].武汉理工大学,2004:23-28.