企業(yè)管理者和信息管理部門在企業(yè)信息安全管理中的作用_第1頁
企業(yè)管理者和信息管理部門在企業(yè)信息安全管理中的作用_第2頁
企業(yè)管理者和信息管理部門在企業(yè)信息安全管理中的作用_第3頁
企業(yè)管理者和信息管理部門在企業(yè)信息安全管理中的作用_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、企業(yè)管理者和信息管理部門在企業(yè)信息安全管理中的作用引言在企業(yè)里,企業(yè)管理者對(duì)企業(yè)信息安全的要求決定了企業(yè)信息安全管理的深度。同時(shí),信息管理部門對(duì)信息系統(tǒng)的管理和維護(hù)也決定了企業(yè)能否達(dá)到信息安全管理的設(shè)定目標(biāo)。1、企業(yè)管理者對(duì)企業(yè)信息安全管理的目標(biāo)和責(zé)任1.1企業(yè)管理者有責(zé)任推動(dòng)企業(yè)信息管理的運(yùn)行企業(yè)管理者要確保企業(yè)信息安全,首先做到以下幾個(gè)方面:第一,管理者要建立企業(yè)信息管理機(jī)構(gòu),創(chuàng)建企業(yè)信息管理框架,并且推動(dòng)信息管理制度的建立。第二,企業(yè)管理者需要確保第三方合同的安全性,定義第三方合同的安全等級(jí),尤其要控制第三方合同中要求訪問企業(yè)信息系統(tǒng)的條款。1.2企業(yè)管理者有責(zé)任對(duì)企業(yè)信息進(jìn)行分類企業(yè)管

2、理者根據(jù)企業(yè)情況,對(duì)企業(yè)信息進(jìn)行分類有助于實(shí)施企業(yè)信息安全管理策略并且保護(hù)企業(yè)資產(chǎn)。同時(shí),這種合理的分類能使企業(yè)可以及時(shí)調(diào)整適當(dāng)?shù)呢?cái)力、物力來對(duì)企業(yè)主要的信息數(shù)據(jù)及系統(tǒng)實(shí)施重點(diǎn)保護(hù)。但是,過度的保護(hù)不但浪費(fèi)企業(yè)資源,還在很大程度上影響企業(yè)的正常經(jīng)營;而如果保護(hù)不足,更有可能致使企業(yè)主要的信息數(shù)據(jù)以及系統(tǒng)產(chǎn)生巨大的安全隱患。根據(jù)對(duì)企業(yè)信息的分類,企業(yè)管理者可以對(duì)企業(yè)中的信息數(shù)據(jù)和系統(tǒng)指定相應(yīng)的責(zé)任人,并要求落實(shí)登記。只有這樣才可以對(duì)信息系統(tǒng)實(shí)行分級(jí)保護(hù),實(shí)現(xiàn)有序、高效的安全管理。1.3企業(yè)管理者有責(zé)任管理員工的信息安全企業(yè)管理者必須要在企業(yè)員工中普及有關(guān)信息安全知識(shí),同時(shí)強(qiáng)化信息安全意識(shí),從而降

3、低有意或無意的人為風(fēng)險(xiǎn);要求所有員工能夠理解企業(yè)信息安全的責(zé)任;要求所有員工閱讀保密制度并簽汀保密協(xié)議;根據(jù)企業(yè)處罰條例,對(duì)違反企業(yè)信息安全管理要求的員工進(jìn)行處罰。1.4企業(yè)管理者對(duì)信息訪問權(quán)限的管理企業(yè)管理者要確保完善可行的信息安全管理措施,針對(duì)企業(yè)實(shí)際情況確立角色、授權(quán)、訪問控制的分配流程,根據(jù)流程對(duì)信息系統(tǒng)訪問實(shí)行管理,能夠有效阻止非授權(quán)人員訪問信息系統(tǒng),從而保證企業(yè)信息的保密性、完整性和可用性。1.5企業(yè)管理者對(duì)業(yè)務(wù)連續(xù)性的管理企業(yè)管理者應(yīng)該制汀業(yè)務(wù)連續(xù)性計(jì)劃,保證企業(yè)重要信息系統(tǒng)(包括硬件、軟件、數(shù)據(jù)、物理環(huán)境及其基礎(chǔ)設(shè)施)受到偶然的或者惡意的原因而遭到破壞、更改、泄露時(shí)能夠快速反應(yīng)

4、,保持系統(tǒng)連續(xù)、可靠、正常地運(yùn)行,信息服務(wù)不中斷,最終實(shí)現(xiàn)企業(yè)的信息安全。1.6企業(yè)管理者確保企業(yè)守法作為企業(yè)管理者,應(yīng)該學(xué)習(xí)、遵守國家關(guān)于信息安全相關(guān)的政策和法規(guī),確保企業(yè)信息安全制度符合法律框架;遵守國家法律,實(shí)施版權(quán)保護(hù)措施,禁止企業(yè)內(nèi)部非法使用拷貝版權(quán)產(chǎn)品;保護(hù)企業(yè)內(nèi)部重要文檔,防止出現(xiàn)丟失、篡改及破壞行為;當(dāng)企業(yè)發(fā)生信息安全事故以及疑似信息安全事故時(shí)能夠及時(shí)上報(bào)相關(guān)部門,并通過正確的渠道進(jìn)行處理。2、企業(yè)信息管理部門的安全責(zé)任2.1企業(yè)信息管理部門需要保障環(huán)境和設(shè)備安全企業(yè)信息管理部門必須確保信息設(shè)備存放在安全區(qū)域,如企業(yè)機(jī)房、機(jī)柜、檔案室、機(jī)要室等,并制定嚴(yán)格的出入制度,保證訪問處

5、于可控狀態(tài)。同時(shí)信息管理部門在選擇設(shè)備存放地點(diǎn)時(shí),必須保證設(shè)備環(huán)境安全,避免受水、電、雷擊、電磁干擾、被盜等事件破壞;對(duì)于企業(yè)重要設(shè)備必須安裝不間斷電源(UPS)等防止設(shè)備出現(xiàn)突然斷電;電氣、網(wǎng)絡(luò)的布線應(yīng)符合國家安全規(guī)范,同時(shí)對(duì)信息管理部門等與設(shè)備接觸的員工進(jìn)行安全授權(quán)和相關(guān)知識(shí)培訓(xùn);建立設(shè)備報(bào)廢流程,確保報(bào)廢設(shè)備內(nèi)存儲(chǔ)的企業(yè)信息及時(shí)徹底地清除。2.2企業(yè)信息管理部門需要保證信息數(shù)據(jù)的安全1)操作人員安全管理;信息管理部門根據(jù)需求對(duì)操作人員進(jìn)行分級(jí)管理,通過各級(jí)賬號(hào)權(quán)限的控制來實(shí)現(xiàn)對(duì)信息系統(tǒng)訪問的安全控制。同時(shí)保證在操作人員變動(dòng)等情況下及時(shí)更新訪問權(quán)限。要求各級(jí)賬號(hào)使用強(qiáng)密碼,并通過安全的準(zhǔn)入

6、系統(tǒng)對(duì)登錄請(qǐng)求進(jìn)行驗(yàn)證。一是驗(yàn)證請(qǐng)求方式,當(dāng)同一網(wǎng)段在單位時(shí)間內(nèi)出現(xiàn)多次登錄用戶及密碼錯(cuò)誤時(shí),應(yīng)封閉其所在網(wǎng)段的數(shù)據(jù)請(qǐng)求并發(fā)出報(bào)警;二是驗(yàn)證系統(tǒng)安全,當(dāng)操作人員登錄系統(tǒng)后,對(duì)其使用的操作系統(tǒng)進(jìn)行安全驗(yàn)證,并要求針對(duì)存在的安全隱患進(jìn)行修復(fù)操作;三是檢測(cè)登錄用戶操作是否影響信息系統(tǒng)的安全,防止非法操作;四是檢測(cè)信息系統(tǒng)自身數(shù)據(jù)是否被篡改,并對(duì)所有登錄用戶的數(shù)據(jù)操作進(jìn)行記錄;。2)數(shù)據(jù)安全管理;根據(jù)企業(yè)安全管理制度,保證數(shù)據(jù)存儲(chǔ)設(shè)備(介質(zhì))的安全;針對(duì)企業(yè)重要數(shù)據(jù)進(jìn)行硬件加密保護(hù),對(duì)數(shù)據(jù)的操作需經(jīng)主管領(lǐng)導(dǎo)審批通過后方可進(jìn)行;定期進(jìn)行數(shù)據(jù)備份,同時(shí)對(duì)備份數(shù)據(jù)通過多種方式存儲(chǔ),并異地存放。對(duì)企業(yè)重要信息

7、系統(tǒng)必須進(jìn)行內(nèi)外網(wǎng)的物理分隔,對(duì)接入設(shè)備嚴(yán)格控制;互聯(lián)網(wǎng)接口必須配置硬件防火墻,接入互聯(lián)網(wǎng)的信息系統(tǒng)均要安裝軟件防火墻或殺毒軟件,并定期對(duì)所有軟件進(jìn)行補(bǔ)丁更新;企業(yè)的硬件設(shè)備和軟件提供商需要進(jìn)行遠(yuǎn)程服務(wù)的,在工作結(jié)束后應(yīng)立即斷開連接,并且這種接入必須通過日志文件進(jìn)行記錄;所有與分支機(jī)構(gòu)、客戶、供應(yīng)商等第三方的聯(lián)網(wǎng)連接必須使用VPN,以防止信息被泄露、篡改和復(fù)制;在使用無線網(wǎng)絡(luò)接入時(shí)必須通過企業(yè)信息管理部門的評(píng)估和企業(yè)管理者的批準(zhǔn),同時(shí)必須經(jīng)過加密認(rèn)證和訪問控制;此外,企業(yè)信息管理部門有必要定期對(duì)信息系統(tǒng)的互聯(lián)網(wǎng)接入進(jìn)行審查。2.3企業(yè)信息管理部門對(duì)信息系統(tǒng)開發(fā)和維護(hù)的管理企業(yè)信息管理部門對(duì)信息系統(tǒng)開發(fā)和維護(hù)的管理主要是依據(jù)信息系統(tǒng)及軟件安全的需求,依據(jù)新系統(tǒng)對(duì)企業(yè)數(shù)據(jù)的保密性、完整性和可用性需求,建立企業(yè)信息安全管理制度,建立用戶分級(jí)管理標(biāo)準(zhǔn);并對(duì)信息系統(tǒng)開發(fā)及支撐環(huán)境的安全提供保障,同時(shí)建立信息系統(tǒng)開發(fā)流程和軟件升級(jí)的安全準(zhǔn)則。3、結(jié)語綜上所述,在企業(yè)信息安全管理過程中,企業(yè)管理者應(yīng)該全面履行企業(yè)信息安全管理責(zé)任;企業(yè)員工應(yīng)該積極落實(shí)企業(yè)制定的信息安全管理制度;信息管理部門應(yīng)該依據(jù)企業(yè)制定的信息安全管理規(guī)劃,實(shí)施和完善信息安全管理制度,只有同時(shí)做到這三個(gè)方面,才能有效地保證企業(yè)信息安全。參考文獻(xiàn):1謝芳,楊翠萍.

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論