試析企業信息安全的管理活動和管理策略

論文類別:工商管理論文 > 企業研究論文
論文作者: 劉文臣
上傳時間:2012/5/23 11:12:00

  論文關鍵詞:信息化 信息安全管理 企業管理
  论文摘要:伴隨著企業信息化的發展,信息安全越來越受到重視。針對當前信息安全存在的問題,作者進行了調查,分析了其中的原因,最後從管理學的角度提出了相關的策略和建議。
  
  隨着信息技術的發展和网絡化應用的普遍推广,各機關組織和企事業单位都開展各類管理業務的信息化建立。企業的發展運作離不開信息系統的安全運行。信息安全通過保護企業信息的機密性、完整性和可用性,不僅保護了企業各類信息資產的安全,還能增強企業的核心竞爭力,維護企業的形象和信譽。信息安全對企業的生存和发展的是至關重要的,需要从戰略的高度對信息安全進行規劃和管理。
  一、企业中信息安全管理經常存在的问題
  日常安全管理中存在的主要問題,首先是用戶安全意識和觀念薄弱的占58%,第二位的是网絡安全管理人員缺乏培訓,占39%;其後,依次是保障經费投入不足、缺乏安全信息共享和安全產品不能滿足要求。
  不僅在日常管理中,在技術管理方面也存在一定的問題。在CSDN泄密門事件中,專業IT博客“月光博客”撰文表示“整个事件最不可思議的地方在于,像CSDN這樣的以程序員和開發為核心的大型網站,居然采用明文存儲密碼”,“稍微懂一點編程的程序員都知道,為了用戶的安全,應該在數據庫裏保存用戶密码的加密信息,這樣黑客即使下載了數據庫,破解用戶密碼也不是一件容易的事情” 。可見,有些涉及技術方面的問題,也並不是單純的技術問題,而是與技術人員安全意識不強、責任心不到位有關。
  為了了解企業內部員工在信息安全問題上的看法及所做的努力,我們對一家電子商务企業和一家銀行的部分工作人員進行了問卷和訪談調查,發現在企業員工中存在如下一些问題:
  1.是信息安全意識方面,被調查者認為信息安全對企業和个人都非常重要。但大多數受访者對信息安全的問題了解很少等。
  2.很多受訪者认為信息安全屬於技术人員的事情;與技術人員的交流非常少;忙於業務,没有時間去處理。
  3.是用戶認為信息安全管理措施效果不好。有些信息安全行為的規範標準雖然掛在網上或貼在墻上,很少有人去關注;公司發動的信息安全的培训活動沒有收到好的效果。
  二、信息安全問題的根源
  通過對調查的結果進行深入分析,發現導致信息安全事件頻發、風險損失嚴重的原因從根本上來說,有以下幾個方面:
  1.信息安全是一個多維問题,涉及到企業管理的方方面面。企業在信息安全問題上往往涉及多個部門。有些情况下,無法明確責任,使得信息安全得不到應有的重視以及有效的管理。
  2.风險平衡理論認為,人會願意承擔一定程度的風險。這與你采用多少的安全防護措施無關。有時即使有條件可以到达絕對安全的狀態,由於人性的缘故,也不會那樣去做。
  3.信息安全与效率和便利性本身是矛盾的。信息安全加強了,受到的约束也就多了,相應地效率也就降低了。比如簡單規律地密码,可以不必費力去記;插入U盤時進行殺毒,必然要耽誤时間;沒有接入網絡,不可能受到網絡攻擊,但也就失去了網上瀏览所需信息、網絡交流的自由,因此有人半開玩笑地說:“最安全的計算機是拔掉網絡的那臺計算機”。
  4.由於某些缘故,網絡中總是存在黑客,專門竊取信息或破坏網絡系統。他們的水平都非常专業,一般的用戶難以预防。所謂“道高一尺,魔高一丈”,信息安全的水平总是在這種攻擊與防守中進步的。
  5.信息安全問題的不確定性。信息安全問題的不确定性主要指是否發生風險的不確定性、無法精確地評估當前所面臨的风險以及風險發生所帶來的損失的難以把握。
  所有這一切因素,都使得信息安全無法得到有效的關注和重視,無法采用有效的措施來預防和避免。這也是導致信息安全事件發生頻率居高不下,風險损失較大的主要原因。 轉贴於 免費論文下載中心 http://www.hi138.com   三、相關的建議和策略
  針對企业信息安全的問題,文章運用理學的理論進行論述。企業管理涉及四個功能:計劃、組織、领導、控制 。
  1.從計划的角度來看:企業應當確立信息安全的發展戰略,從戰略的高度來對待和管理信息安全,確保信息安全所引發的風險達到可以接受的範圍之內。從全局角度制定信息安全的策略,確立信息安全的目標,以及实現目標需要的行動方案。
  2.從組織的角度來看:人力資源的管理的觀点認為,企業的組織結構,取決於組织戰略 。在許多企业組織結構中,只有技術部門,沒有信息安全管理部門。S.H.(basie) von Solms 曾討論過,技術管理與安全管理兩個部門必須設置成為兩个獨立的部門,否則無法保證安全评估的客觀性。因此有必要設置一个專門負責信息安全管理的部門,這個部門并不負責具體的技術,但是要懂技術,主要是開展企業的安全培訓工作、日常的安全管理工作、對存在的風險進行評估,最大限度地降低安全風險。
  3.從領導的角度來看:根據wilde的風险平衡理論,一個人會愿意承擔一定程度的風險。 “風險平衡”觀念會让整個機構處於盲目樂觀的過度自信狀態,不管是企業的員工還是管理者都傾向於追求效率 ,從而忽視信息安全的投入。
  在企業的管理过程中,應當加強信息安全、风險意識方面的培訓和教育,增進員工與技術人員的面對面的溝通與交流,開展有效的安全意識活動。
  4.從控制的角度來看:对風險的控制要求企業對自己的安全狀況不斷評估,時時防範。這就要求安全管理部門每隔一定時間向上匯報信息安全的進展情況,定期進行風險評估工作。
  文章從管理學的角度來分析信息安全风險管理,對信息安全问題做了實地調查,分析了目前信息安全存在的一些問題,並對存在的問題的根源進行了深入的分析,最後文章運用管理学的理論,從計劃、组織、領導、控制四個角度出了相應的建議和策略。
  
  

參考文獻


  [1]Wilde GJS.The theory of risk homeostasis: implications for safety and health. Risk Analysis 1982;2(04):209-25.
  [2]秦誌華.企業管理[M].大連:東北財經大學出版社,2011,1.
  [3]廖三余,曹會勇.人力資源管理[M].北京:清華大学出版社,2011,9.
  [4]S.H.(basie) von Solms Information Security Governance-Compliance management vs operational management Computer&Security(2005):24,443-447.
  [5]Eirik Albrechtsen A qualitative study of users’ view on information security computers&security 26(2007):276-289. 免費論文下載中心 http://www.hi138.com
下载论文

論文《試析企業信息安全的管理活動和管理策略》其它版本

企業研究論文服務

網站聲明 | 聯系我們 | 網站地圖 | 論文下載地址 | 代寫論文 | 作者搜索 | 英文版 | 手機版 CopyRight@2008 - 2017 免費論文下載中心 京ICP备17062730号