摘要:本文以XX的信息管理為研究對象,對信息安全現(xiàn)狀進行調(diào)研和分析,并對未來的信息安全建設(shè)將會遇到的主要問題做了深入研究。從目前信息建設(shè)�����、人員配置�、機制流程等方面進行了差距分析與對比,結(jié)合本企業(yè)的實際情況,制定出了符合本企業(yè)的信息安全管理策略的基本框架和指導(dǎo)建議,并提供了信息安全管理體系實施的搭建方案,最終對該信息安全體系實施進行了總結(jié)評價與未來展望�����。在企業(yè)信息化大規(guī)模發(fā)展的形勢下,如何有效地減少或避免因信息安全事故而帶來的企業(yè)經(jīng)濟損失,是亟需解決的���、具有重大戰(zhàn)略意義的研究課題�����。本論文的研究是為了保障企業(yè)信息安全建設(shè)目標達成,并最大化地保障企業(yè)利益,并取得良好的管理效果�。
關(guān)鍵詞:信息管理;信息安全系統(tǒng); 信息安全管理體系;一��、前言
北京XX有限公司(簡稱BSMC)的前身是首鋼日電電子有限公司(SGNEC)����,成立于1991年12月。由首鋼總公司和日本NEC電子株式會社���,致力于半導(dǎo)體集成電路制造和銷售的生產(chǎn)廠商�。公司擁有半導(dǎo)體集成電路生產(chǎn)的完整生產(chǎn)線(包括晶圓制造和IC封裝),主要產(chǎn)品品種有MCU(微機控制單元)電路��、遙控電路�、顯示驅(qū)動電路、通用LIC等����。公司主要負責NEC電子及美國的客戶,同時面向國內(nèi)客戶��,開展Foundry產(chǎn)品的代研�。是我國最早從事大規(guī)模集成電路設(shè)計、制造��、封裝和測試的高科技企業(yè)之一�。由于技術(shù)合同到期,2013年12月�����,成為首鋼總公司旗下的全資子公司����。
該公司依托日本先進的半導(dǎo)體企業(yè)管理模式�,嚴控制��、高效率���,建立了較為完備的生產(chǎn)管理系統(tǒng)。但企業(yè)信息系統(tǒng)的建設(shè)并不完善�,還存在著各種問題。尤其是在制造業(yè)企業(yè)信息化的發(fā)展過程中�����,企業(yè)信息安全建設(shè)存在與企業(yè)發(fā)展不符的現(xiàn)象����,有待于針對這些問題認真剖析展開調(diào)查進而解決,希望能夠?qū)ζ髽I(yè)今后的持續(xù)發(fā)展帶來幫助���。
二���、企業(yè)信息管理的現(xiàn)狀
隨著知識經(jīng)濟的到來以及信息化網(wǎng)絡(luò)技術(shù)的快速發(fā)展,信息系統(tǒng)網(wǎng)絡(luò)信息化管理模式已經(jīng)在XX公司中廣泛應(yīng)用,很多的日常工作都必須要依靠信息系統(tǒng)來完成,比如03系統(tǒng)(產(chǎn)品投入履歷跟蹤)、AMS系統(tǒng)(設(shè)備和產(chǎn)品異常處理)�、PMS系統(tǒng)(業(yè)務(wù)訂單投入出荷)、VISDA系統(tǒng)(產(chǎn)品生產(chǎn)信息跟蹤分析)�。本司以“確保產(chǎn)品質(zhì)量��、滿足顧客要求第一”為質(zhì)量方針���,通過各信息系統(tǒng)竭誠為廣大客戶提供一流產(chǎn)品和服務(wù)。
然而,信息系統(tǒng)的高效與便利在提高XX公司工作效率的同時,由于缺乏先進的管理經(jīng)驗以及技術(shù)支持,在實際的運行過程中,仍然存在一定的管理問題,例如:網(wǎng)絡(luò)信息的安全威脅等��。當下�,是信息的時代,安全性關(guān)系到企業(yè)的健康發(fā)展����。就當前企業(yè)信息安全管理的現(xiàn)狀及策略問題進行分析闡述。分別從策略���,組織��,管理三個方面進行了研究��,并分析安全管理現(xiàn)狀,指出本企業(yè)在大數(shù)據(jù)安全管理方面存在不足���,結(jié)合實際給出了具體建議和方法,及具體的實施方案��。
1、信息管理制度不完善
對內(nèi)部和外部網(wǎng)絡(luò)使用管理混亂����,缺少正確的信息化觀念。公司目前有500來臺計算機�����,中級管理層以上人員可以隨意使用外部網(wǎng)絡(luò)�����,個別人上班時間進行網(wǎng)絡(luò)購物�����;容易造成網(wǎng)絡(luò)病毒的攻擊�����,存在安全隱患�����。
2����、企業(yè)管理落后,缺少信息安全意識
信息安全源于每一個員工���,達到每一層的安全保護���,管理架構(gòu)的信息安全保護意識不足,全員沒有受到教育和培訓(xùn)�����。生產(chǎn)過程中就出現(xiàn)過由于違規(guī)操作�,導(dǎo)致設(shè)備軟件系統(tǒng)癱瘓,使設(shè)備不能正常運行的嚴重問題�����。由于作業(yè)者上班時間�����,利用生產(chǎn)設(shè)備的計算機玩游戲�,誤操作,刪除了生產(chǎn)程序系統(tǒng)內(nèi)容����,備份軟件和現(xiàn)有技術(shù)力量無法恢復(fù)�����,必須聘請廠家技術(shù)解決��,導(dǎo)致了嚴重的經(jīng)濟損失����。
3��、上層管理不重視���,重要性被弱化。
管理者戰(zhàn)略對信息建設(shè)認識不足�。沒有投入更多的人力和物力來保障信息安全,技術(shù)人員能力不足或身兼數(shù)職等現(xiàn)象�,對信息安全的管理工作造成了極大的安全隱患。
4�����、信息系統(tǒng)陳舊低端�。
信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)不匹配。生產(chǎn)車間使用O3系統(tǒng)還是2010年開發(fā)的���,后繼無更新�����;異常系統(tǒng)AMS不能添加附件�����,office不兼容����。一是由于不匹配���,系統(tǒng)過時���,使安全風險加大;二是沒有及時更新信息系統(tǒng)��,安全問題薄弱�;三是安全漏洞防范不健全、沒針對性地做出預(yù)防處理及緊急事故預(yù)案��。
三、信息的安全管理策略及措施
為謀求企業(yè)的長遠發(fā)展�����,企業(yè)信息安全必須體現(xiàn)在企業(yè)經(jīng)營戰(zhàn)略層次�����。管理者必須以預(yù)防為主����、綜合管理、人員防范和技術(shù)防范相結(jié)合�����,逐級建立多層次的安全防護體系���,綜全防范實現(xiàn)一體化的安全系統(tǒng)。鑒于此���,該公司應(yīng)制定相應(yīng)的信息安全管理策略及實施措施如下�。
(一)信息安全管理策略
1��、構(gòu)建并完善信息管理制度。
必須進行統(tǒng)一規(guī)劃和分工�����。指定管理保障責任部門��,分工明確����,各司其職。保障管理的效率性����,防止多頭控制和執(zhí)行不力的現(xiàn)象出現(xiàn),保障權(quán)責統(tǒng)一�。設(shè)定使用權(quán)限,未簽訂允許授權(quán)單不得進入計算機信息網(wǎng)絡(luò)或者使用計算機信息網(wǎng)絡(luò)資源�����,將安全信息工作落到實處����。
2、提升全員信息安全意識�����。
建立信息安全培訓(xùn)教育制度。組織全體工作人員認真學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》����,提高自上而下工作人員的維護網(wǎng)絡(luò)安全的警惕性和自覺性。一旦發(fā)現(xiàn)從事危害計算機信息網(wǎng)絡(luò)安全的操作活動的�,承擔相應(yīng)的處罰責任,簽訂安全信息保密承諾書���。從各部門級出發(fā)��,針對這些信息隱患制訂安全防范措施�����。
3���、建立信息中心,加強管理和維護���。
信息安全問題需要從技術(shù)、運行環(huán)境與異常突發(fā)事件的保障三方面解決�。①技術(shù)控制層����,即在計算機系統(tǒng)及其程序設(shè)計中加以安全控制�。?使用正版軟件,保護運行環(huán)境����,管理者必須以預(yù)防為主、綜合管理�����、人員防范和技術(shù)防范相結(jié)合�,逐級建立多層次的安全防護體系,綜全防范實現(xiàn)分級阻止違規(guī)行為�����,實現(xiàn)一體化的安全系統(tǒng)����。?確保在停電后,業(yè)務(wù)應(yīng)用的安全管理�。信管部在接到停電通知時,應(yīng)設(shè)置便簽提醒自己具體要停電的時間�����,若停電時間在上班時間,則提前發(fā)出通知給生產(chǎn)現(xiàn)場�,避免在停電時出現(xiàn)文件損壞或資料丟失;若停電時間發(fā)生在下班時間���,則在下班時通知所有人關(guān)閉電源�����,同時信管部及時關(guān)閉服務(wù)器��,以免停電損壞主機電源�����。停電結(jié)束后���,打開各應(yīng)用服務(wù)器,并謹記要打開視頻監(jiān)控服務(wù)器��,恢復(fù)閉路監(jiān)控系統(tǒng)正常工作����。
4�、定期評估�,不斷的改進�����。
安全的需求也是逐步變化的�,新的安全問題也不斷產(chǎn)生,原來建設(shè)的防護系統(tǒng)可能不滿足新形勢下的安全需求���,這些都決定了信息安全是一個動態(tài)過程��,需要定期對信息網(wǎng)絡(luò)安全狀況進行評估�����。
5����、及時改進安全方案���,調(diào)整安全策略���。
完善企業(yè)的信息化應(yīng)用�,是隨著企業(yè)的發(fā)展而不斷發(fā)展的���。信息技術(shù)更是日新月異的發(fā)展��,安全防護軟件系統(tǒng)由于技術(shù)復(fù)雜�����,在研制開發(fā)過程中不可避免的會出現(xiàn)這樣或者那樣的問題�����,這勢必決定了安全防護系統(tǒng)和設(shè)備不可能百分百的防御各種已知的�����,未知的信息安全威脅�����。不是所有的信息安全問題可以一次解決��,人們對信息安全問題的認識是隨著技術(shù)和應(yīng)用的發(fā)展而逐步提高的����,不可能一次就發(fā)現(xiàn)所有的安全問題。信息安全生產(chǎn)廠家所生產(chǎn)的系統(tǒng)和設(shè)備�����,也僅僅是滿足某一些方面的安全需求�,不是企業(yè)有某一方面的信息安全需求��,市場上就有對應(yīng)的成熟產(chǎn)品�����,因此不是所有的安全問題都可以找到有效的解決方案�����。
(二)信息安全管理措施
一是明確責任���,統(tǒng)一由信管部負責�����,統(tǒng)籌安排����,協(xié)調(diào)配合。二是建立應(yīng)急小組���,規(guī)范突發(fā)事件上報程序����,及時掌控突發(fā)信息安全事件�����,及時協(xié)調(diào)各部門����、各事業(yè)部、各專業(yè)力量��,將突發(fā)事件的危害影響降至最低點�。應(yīng)急處置應(yīng)遵循“依靠技術(shù)、加強管理�、預(yù)防為主、快速響應(yīng)�、及時恢復(fù)”的總原則。三是宣傳普及信息安全防范知識�����,做好應(yīng)對信息安全突發(fā)事件的思想準備、預(yù)案準備�����、機制準備和工作準備����,提高公共防范意識以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平。
四���、綜述
信息安全是一個伴隨著企業(yè)信息化應(yīng)用發(fā)展而發(fā)展的永恒課題。所以必須制定有效的管理策略與措施���,建立健全企業(yè)信息安全事件工作機制尤為重要�。應(yīng)對信息安全事件的應(yīng)急處置能力���,維護基礎(chǔ)信息網(wǎng)絡(luò)�、重要信息系統(tǒng)和重要控制系統(tǒng)的安全�����,保障公司各項科研生產(chǎn)經(jīng)營活動安全的順利開展。企業(yè)信息安全的建設(shè)將使得企業(yè)管理水平與國際先進水平接軌�����,從而成長為企業(yè)向國際化發(fā)展的有力支撐��。
參考文獻
[1]劉永華.計算機網(wǎng)絡(luò)信息安全[M]. 清華大學(xué)出版社 .? 2014
[2]唐馮慧.信息安全管理現(xiàn)狀及策略研究[J]. 科技風.2012(13)
[3]成 華.信息安全工程與管理[M]. 西安電子科技大學(xué)出版社 .2012
?
