临同信息带你-浅谈某公司的信息安全建设与管理
摘要:本文以XX的信息管理为研究对象,对信息安全现状进行调研和分析,并对未来的信息安全建设将会遇到的主要问题做了深入研究。从目前信息建设、人员配置、机制流程等方面进行了差距分析与对比,结合本企业的实际情况,制定出了符合本企业的信息安全管理策略的基本框架和指导建议,并提供了信息安全管理体系实施的搭建方案,最终对该信息安全体系实施进行了总结评价与未来展望。在企业信息化大规模发展的形势下,如何有效地减少或避免因信息安全事故而带来的企业经济损失,是亟需解决的、具有重大战略意义的研究课题。本论文的研究是为了保障企业信息安全建设目标达成,并最大化地保障企业利益,并取得良好的管理效果。
关键词:信息管理;信息安全系统; 信息安全管理体系;一、前言
北京XX有限公司(简称BSMC)的前身是首钢日电电子有限公司(SGNEC),成立于1991年12月。由首钢总公司和日本NEC电子株式会社,致力于半导体集成电路制造和销售的生产厂商。公司拥有半导体集成电路生产的完整生产线(包括晶圆制造和IC封装),主要产品品种有MCU(微机控制单元)电路、遥控电路、显示驱动电路、通用LIC等。公司主要负责NEC电子及美国的客户,同时面向国内客户,开展Foundry产品的代研。是我国最早从事大规模集成电路设计、制造、封装和测试的高科技企业之一。由于技术合同到期,2013年12月,成为首钢总公司旗下的全资子公司。
该公司依托日本先进的半导体企业管理模式,严控制、高效率,建立了较为完备的生产管理系统。但企业信息系统的建设并不完善,还存在着各种问题。尤其是在制造业企业信息化的发展过程中,企业信息安全建设存在与企业发展不符的现象,有待于针对这些问题认真剖析展开调查进而解决,希望能够对企业今后的持续发展带来帮助。
二、企业信息管理的现状
随着知识经济的到来以及信息化网络技术的快速发展,信息系统网络信息化管理模式已经在XX公司中广泛应用,很多的日常工作都必须要依靠信息系统来完成,比如03系统(产品投入履历跟踪)、AMS系统(设备和产品异常处理)、PMS系统(业务订单投入出荷)、VISDA系统(产品生产信息跟踪分析)。本司以“确保产品质量、满足顾客要求第一”为质量方针,通过各信息系统竭诚为广大客户提供一流产品和服务。
然而,信息系统的高效与便利在提高XX公司工作效率的同时,由于缺乏先进的管理经验以及技术支持,在实际的运行过程中,仍然存在一定的管理问题,例如:网络信息的安全威胁等。当下,是信息的时代,安全性关系到企业的健康发展。就当前企业信息安全管理的现状及策略问题进行分析阐述。分别从策略,组织,管理三个方面进行了研究,并分析安全管理现状,指出本企业在大数据安全管理方面存在不足,结合实际给出了具体建议和方法,及具体的实施方案。
1、信息管理制度不完善
对内部和外部网络使用管理混乱,缺少正确的信息化观念。公司目前有500来台计算机,中级管理层以上人员可以随意使用外部网络,个别人上班时间进行网络购物;容易造成网络病毒的攻击,存在安全隐患。
2、企业管理落后,缺少信息安全意识
信息安全源于每一个员工,达到每一层的安全保护,管理架构的信息安全保护意识不足,全员没有受到教育和培训。生产过程中就出现过由于违规操作,导致设备软件系统瘫痪,使设备不能正常运行的严重问题。由于作业者上班时间,利用生产设备的计算机玩游戏,误操作,删除了生产程序系统内容,备份软件和现有技术力量无法恢复,必须聘请厂家技术解决,导致了严重的经济损失。
3、上层管理不重视,重要性被弱化。
管理者战略对信息建设认识不足。没有投入更多的人力和物力来保障信息安全,技术人员能力不足或身兼数职等现象,对信息安全的管理工作造成了极大的安全隐患。
4、信息系统陈旧低端。
信息系统、网络系统不匹配。生产车间使用O3系统还是2010年开发的,后继无更新;异常系统AMS不能添加附件,office不兼容。一是由于不匹配,系统过时,使安全风险加大;二是没有及时更新信息系统,安全问题薄弱;三是安全漏洞防范不健全、没针对性地做出预防处理及紧急事故预案。
三、信息的安全管理策略及措施
为谋求企业的长远发展,企业信息安全必须体现在企业经营战略层次。管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现一体化的安全系统。鉴于此,该公司应制定相应的信息安全管理策略及实施措施如下。
(一)信息安全管理策略
1、构建并完善信息管理制度。
必须进行统一规划和分工。指定管理保障责任部门,分工明确,各司其职。保障管理的效率性,防止多头控制和执行不力的现象出现,保障权责统一。设定使用权限,未签订允许授权单不得进入计算机信息网络或者使用计算机信息网络资源,将安全信息工作落到实处。
2、提升全员信息安全意识。
建立信息安全培训教育制度。组织全体工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高自上而下工作人员的维护网络安全的警惕性和自觉性。一旦发现从事危害计算机信息网络安全的操作活动的,承担相应的处罚责任,签订安全信息保密承诺书。从各部门级出发,针对这些信息隐患制订安全防范措施。
3、建立信息中心,加强管理和维护。
信息安全问题需要从技术、运行环境与异常突发事件的保障三方面解决。①技术控制层,即在计算机系统及其程序设计中加以安全控制。使用正版软件,保护运行环境,管理者必须以预防为主、综合管理、人员防范和技术防范相结合,逐级建立多层次的安全防护体系,综全防范实现分级阻止违规行为,实现一体化的安全系统。确保在停电后,业务应用的安全管理。信管部在接到停电通知时,应设置便签提醒自己具体要停电的时间,若停电时间在上班时间,则提前发出通知给生产现场,避免在停电时出现文件损坏或资料丢失;若停电时间发生在下班时间,则在下班时通知所有人关闭电源,同时信管部及时关闭服务器,以免停电损坏主机电源。停电结束后,打开各应用服务器,并谨记要打开视频监控服务器,恢复闭路监控系统正常工作。
4、定期评估,不断的改进。
安全的需求也是逐步变化的,新的安全问题也不断产生,原来建设的防护系统可能不满足新形势下的安全需求,这些都决定了信息安全是一个动态过程,需要定期对信息网络安全状况进行评估。
5、及时改进安全方案,调整安全策略。
完善企业的信息化应用,是随着企业的发展而不断发展的。信息技术更是日新月异的发展,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。不是所有的信息安全问题可以一次解决,人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
(二)信息安全管理措施
一是明确责任,统一由信管部负责,统筹安排,协调配合。二是建立应急小组,规范突发事件上报程序,及时掌控突发信息安全事件,及时协调各部门、各事业部、各专业力量,将突发事件的危害影响降至最低点。应急处置应遵循“依靠技术、加强管理、预防为主、快速响应、及时恢复”的总原则。三是宣传普及信息安全防范知识,做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。
四、综述
信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。所以必须制定有效的管理策略与措施,建立健全企业信息安全事件工作机制尤为重要。应对信息安全事件的应急处置能力,维护基础信息网络、重要信息系统和重要控制系统的安全,保障公司各项科研生产经营活动安全的顺利开展。企业信息安全的建设将使得企业管理水平与国际先进水平接轨,从而成长为企业向国际化发展的有力支撑。
参考文献
[1]刘永华.计算机网络信息安全[M]. 清华大学出版社 . 2014
[2]唐冯慧.信息安全管理现状及策略研究[J]. 科技风.2012(13)
[3]成 华.信息安全工程与管理[M]. 西安电子科技大学出版社 .2012
