【关键词】企业,信息,安全
【中图分类号】F270.7 【文献标识码】A 【文章编号】1672-5158(2012)11-0130-02
一、企业信息安全现状
近年来,随着企业信息化进程的不断推进,许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统,内容覆盖了硬件网络平台建设、办公自动化(OA)、企业资源计划(ERP)、对基础网络、过程自动化进行升级改造等,企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。
当前企业信息可能面临的安全威胁、存在的安全隐患。
1.可能面临的安全威胁
物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事故及不法分子通过物理手段进行的违法犯罪等威胁;网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪,内部攻击,冲突域造成网络风暴,黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。
数据安全威胁主要表现在:数据库数据丢失,财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。
内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
2.可能存在的安全隐患
网络规划不完善。信息网络建设的初期,没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施,缺乏整体性和系统性。目前从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等。每一项新技术,每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。
技术设计不完善。随着电脑技术的不断发展,一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。
安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。
为了防止信息安全事件的发生,通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而,此类技术手段,却无法阻止人为因素导致的破坏。
针对上述分析,笔者认为,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化,同时针对信息系统的“弱点”进行改进,以此降低潜在的安全危险。
二、加强信息安全工作的途径
1.建立安全体系结构框架
俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范的作用。为此,管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度,建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训,提高员工的信息化应用水平。其次,技术部门要加强物理场所的安全管理,制定相应的访问控制策略规范网络应用安全,整合现有资源实现能够支撑边界安全和访问控制的要件,同时实现从终端行为一主机全过程的完整安全,实现公司业务正常有序的运行。
2.通过实施信息安全管理体系提升管理水平
信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统,其依据是信息安全管理体系标准-IS027001。IS027001清晰地定义了ISMS是什么,并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针,信息安全组织,资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护,信息安全事故管理、业务连续性,符合性(IS027002要求的各个控制域)11个方面的处置,来建立企业信息安全管理体系。ISMS建设分为五个阶段,有准备阶段、风险评估阶段、实施阶段,运行阶段和持续改进阶段。
2.1 准备现状调研阶段
现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查,以了解组织业务,挖掘组织中存在的安全问题,分析组织内可能存在的信息安全风险,参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。
2.2 风险评估阶段
在准备阶段工作的基础上,根据IS027001标准的要求,对企业目前的信息安全现状进行风险评估,通过风险评估确定风险管理计划以及需要采取的控制措施。此外,通过风险评估,还可以了解到目前企业信息安全管理的现状,为下一步编写ISMS文件准备基础资料。
2.3 架构设计阶段
架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。
2.4 实施阶段
实施阶段将进行ISMS文件体系的策划和编写,确定需要编写的文件数量以及各文件需要包括的控制措施。同时,将已有的操作规程、规范文件整理为具体操作手册,作为三级文件,以指导信息安全管理体系项目的后继实施,最终形成一整套符合企业信息安全管理现状的、可实施的.文件化的信息安全管理体系。
2.5 运行阶段
运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后,将通过内部审核的方式评审企业信息安全管理体系运行的符合性。
2.6 持续改进阶段
项目的完成只是企业ISMS建立和完善的一个首要步骤。要通过内审与管理评审等持续改进活动,使企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对企业重要信息资产产生破坏,所以必须要有能够进行持续改善的绩效管理。
3.实施、运行ISMS需要注意的问题
4.1 提高风险意识,加强安全组织建设工作;以风险评估为基础,提高风险管理的有效性;队总体经营目标为核心,制定科学的安全管理策略;通过对企业安全管理流程及标准的建立,完善企业的安全运维体系及响应机制。
4.2 提高行业信息化管理水平,信息安全体系框架构建是关键。而信息安全体系框架构建必须管理、技术两者双管齐下。
4.3 循序渐进,动态管理。信息安全体系建设并不是一蹴而就的,是分步实施、循序渐进的过程。定期进行相关的安全评估,注重各层次、各方面、各时期的相互协调、匹配和衔接。根据当前的技术环境和安全意识的深化及时排查、修改、调整相关的安全策略。
关键词:云计算;电力企业信息;安全技术
伴随着我国电力行业的迅速发展,特别是南网、国网、华电等大型的电力企业,它们的发展速度更是非常迅速的,目前,电力行业在我国经济的发展当中发挥着中流砥柱的作用,并且是确保整个社会稳定剂经济健康迅速发展的根本性要素,可是,最近几年随着先进科学技术的不断研发,电力企业信息开始面临着泄漏、不可掌控等一系列的安全性威胁,并且,自云计算出现,其依赖于自身优质的性能与全新的有效计算、存储模式受到了各行各业的喜爱,云计算电力与以往的电力企业信息储存系统及运行性能相比具备非常明显的优势。为此,云计算环境下电力企业信息安全是目前整个电力行业急需探究的重要问题。
1云计算的概念与基本原理
在分布式处理、并行式处理及先进网络计算科学技术不断发展的基本前提下形成的一种新型计算模式即云计算,其面对的是超大规模的分布式氛围,主要发挥着将供应数据储存及网络服务的作用,并且具体的实现平台、服务于应用程序都是在整个云计算环境下得以实现的。云计算能够把全部的计算资源融合在一起,通过具体软件促使自动化管理、无人为参与,并且能够提供各种各样的认为服务。云计算的基本原理是把相关的计算逐一分布在多个分布式计算机当中,在远程服务器的具体计算当中可以促使电力企业信息处于正常的运行状态,有利于企业将资源更改为具体的需求得以运用,并且能够按照实际需求对计算机进行访问。云计算基本原理为一场历史性的转变创举。
2目前我国电力企业信息安全结构状况
2.1电力企业信息网络结构
随着电力企业逐渐进入网络自动化及智能化阶段,为此,目前电力企业信息安全结构一般是以公共网络与专用网络有效综合的一种网络结构形式,其中,专用电力信息网络指的是在因特网进行连接的基础上形成的一种电力企业信息网络及调度信息网络相互综合的形式。
2.2电力信息安全系统结构
以信息中的信息性能及信息业务为出发点将电力企业信息划分为三种层面:自动化、生产管理、办公室自动化及电力企业信息管理。其中,办公室自动化及电力企业信息管理是与电力企业信息网络结构紧密联系在一起的,形成的是一个安全工作区域,在这个安全区域当中SPDnet支撑的一种自动化,可具备监控性能的实时监控,譬如,配电自动化、调度自动化、变电站自动化等,同时,安全生产管理区域同样也是SPDnet来作为基本支撑的。
3云计算环境下电力企业信息安全技术的运用
3.1数据传输-存储安全技术
在整个电力企业信息当中,涵盖了大量的有关电力企业发展的资料及所有数据信息,譬如:电力企业的财务信息、用户信息、经营管理信息等等,所以,对于整个电力企业而言,数据的传输-存储安全技术在其中发挥着极为重要的作用。一般情况下,云计算环境下,严格加密技术可促使电力企业信息数据在具体的传输过程中将会处于非常安全的一种状态下,主要是由于云计算能够利用加密技术将那些潜存的非法访客完全的拒之门外,预防数据传输过程中发生窃取的事件。从电力企业信息数据存储技术的角度进行分析,其涵盖了数据恢复、数据分离、数据备份、数据存贮位置的选择等几方面内容,而云计算环境下,电力企业便能够利用私有云这一高度集中的存储技术把相关的数据信息以基本性能、重要系数为依据来选择不同的存贮方位,这样可以促使不同种类数据间隔离的实现,并且可起到预防数据信息泄露的作用。云计算的运用可促使电力企业信息能够实现实时备份,使得电力企业信息在有突况出现的时候能够在第一时间达到相关数据的及时恢复。
3.2权限认证及身份管理安全技术
云计算能够成功的预防非工作人员使用非法用户对电力企业信息系统进行访问,这主要是由于在私有云的内部全部的企业信息都能够实现禁止访问技术,电力企业信息管理工作者能够通过私有云进行身份管理、权限认证技术的相关设置,按照企业工作人员的级别及具体的规定对于相关数据及应用业务作出明确的规定及权限的划分,这样可成功的预防了非法访问的事件发生,同时实现合法用户根据个人权限来进行企业信息的具体操作。
3.3网络安全隔离技术
对于整个电力企业信息来讲,云计算实则是互联网当中的一种内部性系统,通常情况下,电力企业信息网络能够从网络安全的被动保护层面来促使入侵检验技术、防火墙设置等安全防火技术得以实现,可是,云计算环境下,电力企业信息安全采用的是防火墙技术、物理隔离技术、协议隔离技术等先进的科学技术,其中,防火墙技术是对于企业外部网络及电力企业信息网络而创建的一道安全性保护屏障,通过对个人信息的严格检测、审核,将具有破坏性入侵的访客实施的一种有效防护,能够最大限度上将那些越过防火墙对电力企业信息安全网络及正常运行造成破坏的数据流进行完全性的屏蔽;物理隔离技术指的是在云计算环境下对于电力企业内外部网络实施的一种分割,这样能够有效的将内外部网络系统的连接状态完全阻断;协议隔离技术指的是在云计算环境下利用网络配置隔离器对内外部网络进行的一种隔离,在协议隔离技术的支撑下,内外部网络是完全分离的一种状态,而唯有云计算环境下的电力企业信息进行相互交换的过程当中,内外部网络才能够通过协议由隔离的状态转变为正常连接状态。
4结语
通过上文针对云计算环境下电力企业信息安全的浅析,我们从当前电力企业信息安全的状况进行分析,云计算环境下用户信息安全依然是一个较为严峻的问题,一部分问题并未得到根本性的解决,在今后的工作当中,需要针对云计算环境下用户信息安全供应相应的帮助,这样才能够促使用户信息安全水平得到较为显著的提高。我们坚信,在未来的工作当中,云计算环境下的电力企业信息将会更加安全,用户信息的安全性能将会得到最大程度上的保障。
参考文献
[1]曹勇,王口品,牒亮等.试析电力企业信息安全保障体系建设原则及思路[J].信息通信,2013(04).
[2]陈宇丹.电力企业信息信息安全关键技术研究[J].中国科技信息,2013(23).
【关键词】桌面安全管理;信息建设;桌面终端;应用
在信息技术飞速发展的大背景下,桌面终端已经成为企业生产运营的重要组成部分并被广泛应用于企业之中。但是受到种种原因的影响,桌面终端增多带来了许多安全问题,威胁着企业的信息安全。基于此,桌面安全管理系统应运而生。桌面安全管理系统简称BES,是一种基于企业桌面客户端内网安全管理系统,对客户端系统安全漏洞和安全隐患进行评估的管理控制平台。本文简要分析了目前我国企业桌面计算机系统的安全现状,主要研究桌面安全管理系统在企业信息建设中的应用,这对于企业的信息建设而言具有重要现实意义。
1目前企业桌面计算机系统的安全状况
桌面终端系统因为操作方便等优点而被广泛应用,但由于计算机数目过多过杂、内部员工的不当操作等因素导致目前企业桌面计算机系统存在着许多问题:(1)没有严格对待外网接入工作,容易让外网接入盗取企业信息。很多企业为了更好地管理,便将许多电脑连成一个整体来进行高效运营。但是这么做也存在一个弊端:给外网入侵带来可乘之机,由于计算机管理人员不能使每台计算机都能得到合理配置,因此容易让外网接入,造成企业信息泄露等损失。(2)缺乏有序规划,设备配置良莠不齐。现阶段我国很多企业计算机系统设备配置混乱且质量参差不齐,给维修以及耗材的配备增加了成本。(3)随着信息技术的飞速发展,涌现出来的许多操作系统以及软件给企业系统安全管理带来巨大的压力。(4)缺乏统一的手段统计分析桌面运行状况,缺乏跟踪监督桌面设备受到侵害的状况,缺乏跟踪监测安全漏洞的修复状况。(5)一些企业的网络结构复杂,十分难管理。加上一些内部员工的不良操作以及对移动存储介质使用的随意性容易导致企业信息泄露。基于目前企业桌面计算机系统的安全现状,企业需要实施桌面安全管理系统来解决桌面终端存在的问题,有效地保护企业的信息安全。
2桌面安全管理系统在企业信息建设中的具体应用
2.1系统补丁管理
目前我国很多企业操作人员在应用桌面安全管理系统过程中会出现安装完系统后就没有再打过补丁的现象,很多用户也缺乏系统升级的意识,对数据库系统以及应用程序不打补丁升级。桌面安全管理系统的补丁管理是及时地更新系统漏洞的特征以及系统补丁源,保证补丁服务器能够及时获取新的系统漏洞特征和补丁源。桌面安全管理系统自动地收集、统计以及检测所管理桌面终端系统的漏洞信息和补丁安装进度,随后根据每一台桌面终端操作系统以及已经安装的补丁情况,打包、分配、安装所需要的补丁。桌面安全管理系统可以自动对漏洞进行及时检测修复,保障系统的安全。
2.2IT资产管理
桌面安全管理系统根据所管理范围的桌面终端系统的软件和硬件资产变更进行管理,以小时、天、周为周期通过软件或者人工只能收集资产信息,然后再将所收集的信息纳入资产信息库。桌面安全管理人员根据资产编号、资产所归属部门、资产使用人等信息进行查询和管理,最后定时生成资产信息报表。在桌面安全管理系统控制台管理中,管理人员可以清楚地了解有多少计算机没有安装桌面安全管理系统,利于管理人员掌握网络资产数据。
2.3软件分发
在安装软件时,很多企业用户因为计算机水平良莠不齐等原因无法自行完成。一些通用软件或者专业软件覆盖范围广,因此利用软件分发功能便可以自动化部署网络客户机的各个软件,确保版本软件以及配置保持同一性。桌面安全系统维护人员还要根据企业的实际需要来研究分析桌面安全管理系统的软件开发功能,编写包含工具软件、系统软件、补丁等常用软件的自动安装包以及自动卸载包,最后根据客户的实际需要进行软件分发,这极大地降低了管理人员的工作强度,提高了工作效率。
2.4外接设备的管理
统一管理所有安装了客户端主机的外接设备,管理人员只要在控制中心进行相应配置后便可以控制是否允许USB接口、光驱、串口等外接设备的接入。同时值得注意的是,在管理人员对USB接口进行管理时,用户使用USB键盘、鼠标不会受到限制,只有当使用USB硬盘等存储设备时才会受到限制。
2.5病毒防护管理
桌面安全管理系统可以很好地对客户机的病毒防护情况进行监控,包括是否安装了病毒防护软件、是否将病毒代码库升级为最新等。在系统控制台上,所有客户机的信息都集合在一起,管理人员可以更好地管理。一些客户机违规安装了某些病毒防护软件,或者是同时安装了两种病毒防护软件,可能会导致系统运行速度缓慢,增加了管理人员和维护人员的工作负担。针对这种情况,桌面安全管理系统可以识别计算机属性,统计违规客户机信息,并采取限制使用网络资源等方法来使用户卸载违规安装的病毒防护软件,促进病毒防护管理的规范化、合理化。
2.6远程维护
桌面安全管理系统的远程维护有两种方式,分别是远程桌面查看以及远程桌面控制,通过远程维护方式,管理维护人员可以进行远程诊断以及修复,极大提高了工作效率。与此同时,远程维护还支持客户端确认的过程,如遇客户没有确认就不能接管客户终端。终端远程维护服务只在需要时开启,此外使用动态密码可以确保远程维护服务的安全性。
3结语
综上所述,桌面安全管理系统充分运用了信息安全管理技术来提高企业信息建设水平和安全管理效率,加强对网络客户端的控制并进行实时监控,集成其他网络安全设备为可靠的、安全的局域网络,极大地巩固加强了对企业信息安全的保障。此外,桌面安全管理系统虽然越来越受到重视,但其在应用领域仍处于比较不成熟状态,需要企业进行进一步探究。
参考文献
[1]卢绪平.桌面安全管理系统在企业信息建设中的应用研究[J].化工管理,2015(11).
关键词 食品安全 可追溯系统 应用前景 企业战略选择
质量安全可追溯系统的定义是一种有效的保证食品质量安全的系统方法和手段,通过这一系统能对问题产品快速定位并准确隔离,最后实施快速召回,降低质量安全的风险,保护公众健康。本文从应用前景研究视角,探索食品安全可追溯系统的推广与现实意义。
一、国内外理论研究状
(一)国外理论研究状况
国外对食品安全问题重视较早,因此食品可追溯技术的理论也较为丰富,研究也较为全面。认知和支付意愿是影响该体系推广的重要原因,理论研究显示不同的消费者对食品可追溯体系的认知有概念的差异。社会最优供给的可追溯食品所额外增加的成本与生产者出于收益考虑所能够承担的额外成本间存在着差异。
(二)国内理论研究状况
相对于国外的研究,国内研究起步较晚,理论也较少。国内很多学者也借鉴国外的研究方式,对国内的食品安全可追溯体系进行了研究。为了百姓饮食安全,国家积极鼓励建立食品安全追溯系统,然而,我国食品可追溯开展较晚,普及面较窄,现在还处于初期摸索阶段,食品安全观念落后,生产规模小,技术兼容性差,操作成本高等迫切需要解决的问题限制了食品安全追溯系统的推广和建立。
二、我国的食品安全现状
近几年,我国食品安全状况令人担忧,食品安全问题层出不穷,很多食品暴露出不同程度的安全问题和安全隐患,给消费者带来了很大的伤害。究其根本原因不外乎以下两个方面:
(一)食品企业与消费者之间的信息严重不对称
在食品市场上,很多食品企业法律意识淡薄、不注重食品安全、无视消费者的健康,致使消费者对有害食品在并不知情的情况下实施购买行为。部分生产单位申报安全证书时,一般能较好地执行相关的食品安全标准,但是在获得证书后,在利益驱使下,往往会生产低质量的产品。信息不对称,使得劣质产品驱逐优质产品,进而占领整个市场。
(二)食品安全法律体系不完善、内容比较单薄,无法满足食品安全的新情况、新问题
我国的食品安全法较为笼统,不具体明确,责任主体也不明确,有些条款已经不能适应新时期市场经济体系的需要,也不能应对新的食品安全问题。
三、消费者食品安全可追溯的态度
(一)食品安全性是影响消费者的主要因素
随着人们收入的增加,人们的饮食不再仅仅关注温饱问题,而更多的是安全健康问题。食品的价格不再是影响人们消费的主要因素,食品是否安全则是人们首要考虑的。
(二)消费者的支付意愿
支付意愿可以理解为消费者愿意为某种消费支付的资金,可追溯商品的价格会随着成本的上升而上涨,由此可能会导致消费者剩余的减少。食品可追溯系统为消费者提供生产地和加工流程等信息,监控食品生产过程与流向,成为食品供应链系统中各个主体信息交流的重要工具,由此被认为是从根本上预防食品安全风险的主要工具之一。
四、企业战略选择
(一)食品安全问题对企业影响
食品企业的形象最主要的就是安全,一旦食品企业出现食品安全问题就会在消费者心目中产生很大的阴影,影响企业的销售量,品牌价值和股票的价格,甚至致使企业倒闭破产。
(二)食品企业建立追溯体系的理论依据
我们知道市场的一个重要缺陷就是信息不对称。在食品供应链中,生产者、加工者、销售者、消费者之间由于客观的原因必然有着信息不对称,这严重损害消费者和生产高质量食品企业的利益。食品安全可追溯技术很好地解决了信息不对称的问题,从而实现企业的差异化战略和品牌战略。
(三)企业的长远利益分析
(1)实现企业差异化战略。食品是生活必需品,弹性小、替代品多。因此,食品企业要想在食品行业长远发展,不仅要满足消费者基本要求,还要有着创意,有着自己特色,争取有利的竞争优势地位。因此,企业应用新的科技实现差异化是企业实现长远发展的较好途径。可追溯体系能成功传递消费者所需的各种信息,满足消费者安全需要,实现产品特性、实现差异化。(2)提高产品的安全性与质量控制能力。近年来,人们对食品的质量安全也在发生改变,正由量到质的飞跃。因此,食品企业要长远发展,就必须注重食品的安全问题。而食品可追溯体系正好符合这个质量控制的总体思路,它可以保证食品的安全性,食品万一发生安全问题时,能第一时间追溯到问题责任方,最大程度减少损失和召回成本。(3)提高供应链管理效率。食品可追溯体系为食品生产商、加工商、物流商和销售商等构建了一个信息平台,通过这个信息平台,各个企业能了解到各个环节的信息。这些信息不单为消费者提供,也为食品企业提供了了解产品的渠道,各个厂商不但能清楚了解本环节的信息,还能清楚了解供应链上其他环节的信息,他们能更有计划的安排生产,生产更有市场的产品,提高资源的利用率,减少产品库存,所以必能使企业利润最大化。
五、对政府建议
第一,支持建立个民间的食品安全基金,这部分资金可以用于支持企业建立食品安全追溯体系,一旦企业出现食品安全问题,基金就减少该企业的基金收益,减少的部分用于奖励给安全性好的食品企业。第二,使用有安全等级的企业标识,各类食品企业名字后面必须加上等级标识,由权威机构对国内的食品企业做好食品安全等级评级,安全系数最高的企业定为A级,然后依次是B、C、D、E。该标识随着企业的安全性而改变,每年对食品企业做一次食品安全等级评估,若企业的产品出现食品安全事故,其安全等级会相应下降,有利于加强企业的对食品安全问题的重视。第三,完善相关的法律法规,对出现安全问题的企业严惩不贷。借鉴国外的食品安全风险评价制度、应急处理机制、信用制度和信息制度,做好安全事故的预防和处理。加大处罚力度,明确责任主体,依法从重从严惩罚。
六、前景展望
随着我国信息可追溯系统的建立和相关政策的推出,我国国内食品安全发展要求,顺应国际发展潮流,食品安全可追溯体系有着较好的前景。我们企业要走出去开拓海外市场,也必须广泛的建立起信息可追溯体系。然后,随着智能信息技术的进步,企业建立食品安全可追溯体系的成本不断地下降,便宜且方便的追溯方式将成为居民生活的一部分。综合上述探讨,食品安全可追溯系统能够为消费者、食品企业、国家带来很大效益,将会在食品领域得到广泛的应用,拥有极其广阔的应用前景。
(作者单位为贵州大学)
[基金项目:本文系“大学生创新创业训练计划”项目(201310657038),部级,项目编号:贵大国创字(2013)002,项目负责人:裴伟康(1991―),男,本科,研究方向:金融学。]
参考文献
关键词:电信企业;信息安全;风险防控;管理体系;建设;研究
一、电信企业信息管理的现状与作用
(一)电信企业信息管理体系的现状
随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。
(二)企业信息安全管理的作用
信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。
二、电信企业信息管理建设的有效方法
(一)制定有效的信息管理计划
在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。
(二)电信企业信息管理建设的范围
对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。
(三)建立企业信息管理框架
对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。
三、结束语
综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。
参考文献:
[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014
[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016
关键词:烟草行业;信息安全;安全管理
随着网络技术的日趋成熟,烟草行业的信息安全问题日益凸显,网络非法攻击对烟草行业的发展造成了重大威胁,因此维护烟草行业信息安全管理工作具有重大意义。本文从烟草行业信息安全管理的现状入手,对加强烟草行业信息安全管理,推进信息安全体系建设提出一些可行性建议。
一、烟草行业信息安全管理概述
信息安全是指对网络的硬件、软件以及系统中储存的数据进行一定的保护。避免它们受到恶意的攻击、恶意篡改或者泄露。对于一个网络系统而言,其安全维护系统是非常重要的,信息安全管理是信息安全的关键。随着烟草行业并入经济全球化的格局,我国的烟草行业竞争日益增大。为了使其发展更好,烟草行业开始在制造环节及销售环节引入信息化建设管理。而随着对信息化管理的依赖程度的日益增加,信息安全对整个烟草行业具有决定性的影响。信息安全管理主要包括信息的私密性、保密性、真实性以及完整性。任何一个信息方面的安全漏洞都有可能对烟草行业安全造成灭顶之灾。然而烟草行业的网络拓扑结构复杂,其信息化结构也不完善,因此难以实现对整个行业的集成管理,这为烟草行业的安全造成了巨大威胁。在当前的烟草行业网络系统中,本身存在许多设计的薄弱环节,这将造成一些不法分子通过信息系统的漏洞攻入信息安全系统,从而使得重要的信息数据丢失,并造成整个管理系统瘫痪等问题。这些都对烟草行业的发展埋下了重大隐患。
二、当前烟草行业信息安全管理现状与问题
(一)网络技术设施不完善。近年来,尽管烟草行业已经意识到安全管理的重要性,但是烟草行业的内部网络是极其不完善的,因此信息网络容易遭受攻击。这是由于信息网络过于脆弱时会产生大量的安全漏洞。而且,信息网络管理人员对企业的信息网络安全防范意识过于薄弱,当内部网络的应用程序越来越多时,系统的终端将存在大量安全问题。除此之外,信息网络的操作系统安全问题也值得重视。而且操作系统可以通过建立远程链接进行控制,这也给外部入侵提供了一个缺口,许多黑客就通过建立远程服务终端来窃取企业信息。
(二)缺乏整体防护措施。由于对于信息网络的不够重视以及建立信息网络时间过短,因此缺乏相应的信息网络安全管理意识,管理松散。同时由于过于注重对网络相应硬件设备的维护,缺乏对软件资源的管理意识。甚至没有意识到信息网络安全的重要性,因此造成管理规章制度不够完善,管理力度不够,这些都不利于维护信息网络安全。而且由于不同用户拥有不同的信息网络使用权限,难以实现对整体进行统一管理。除此之外,由于使用人员的不同,造成数据存储较为分散,从而无法将其统一存储在同一服务器内。因此无法对其进行统一的管理,使得信息的泄露风险大大增加。一些人员在工作时,对于传递的数据往往没有加密意识,这也给窃取机密的不法分子提供了攻击的机会。
(三)信息安全管理难以贯彻落实。当前,为了维护烟草行业的健康稳定发展,我国的烟草管理部门颁布了一系列的关于建设烟草行业信息安全管理的制度以及企业的信息安全管理制度。这些制度规划了烟草行业的最佳实践效果蓝图,然而烟草行业现状还远不能达到这些要求。我国当前的行业现状与最佳实践对比图如图1所示。这些制度对于维护烟草行业信息安全是十分有效的。然而从当前的执行力度来看,其效果不容乐观。一些烟草行业的规模较小,缺乏对信息安全的了解,因此往往这些信息安全管理制度流于形式,对于安全信息的存储也极其随意。另外,烟草行业的信息具有一定的流动性。因此对于维护信息安全的管理人员的技术要求较高。但是在大多数的烟草企业中,这一点并没有得到重视,因此操作人员的技术和素质都难以使信息安全得到保证。同时企业管理系统的落后也导致烟草企业的信息化发展难以适应企业发展,因此难以进行信息安全维护。
三、新形势下烟草行业信息安全管理的要点与措施
(一)管理层面。对于信息安全而言,黑客及病毒对其产生的不良后果是巨大的,因此烟草企业必须使用最为安全可靠的防火墙技术,使信息网络隔离开来,减少外来攻击。同时,企业应当根据国家制定的相应规范来制定适用于企业本身的网络安全制度规范,使得信息网络的安全程度和保密程度都大大增强。
(二)重视安全防范的日志功能和审查制度。在大多数烟草企业中,由于缺乏对于信息网络使用的日志记录,对信息网络使用监测不到位,这一方面导致信息网络出现安全事故时,企业难以找到事故发生的原因,从而不能快速解决问题,也难以追回损失的资料;另一方面也造成企业难以找到事故的责任人。因此,在信息网络中,必须做好信息使用的安全记录,同时要对企业中使用网络的人员进行详细的数据库登记,对于每一用户登录或退出网络都进行详细的记载,当发现可疑的登录人员时,应立即采取相应的安全防控措施,以减少企业的损失。
(三)确保终端用户合法操作。在企业中,不同人员对于信息网络的使用权限不同。因此为了统一管理信息网络用户,需要对一些拥有极大权限的账号进行相应的权限分割以及监测。这些用户在登录时必须设置相应的安全措施,例如安全卡和电子证书等。这些用户在登录时,如果发生密码多次输入错误等情况,应立即启动相应安全措施,如限制登录等,从而杜绝超级权限用户泄密。必要时启动相应的审计功能,使网络监控人员了解跟踪所有对系统进行的操作。网络设备系统、服务器系统、数据输入、输出系统、机密数据系统、网络设备间等重要房间都配备有磁卡门,磁卡门上配多个磁卡阅读器,这样必须多个人同时进入房间才可允许进入,进行正常操作。
四、结语
对于烟草行业而言,充分利用网络的优势,同时避免网络带来的威胁是非常必要的。网络安全与烟草行业发展息息相关,因此烟草行业信息的安全防控不可忽视,随着科学技术的发展,烟草行业的安全防控措施也会逐渐增强,这将极大促进烟草行业的稳定发展。
作者:宋朋飞 单位:安徽省烟草公司宿州市公司
参考文献:
[1]杨欣.烟草行业信息安全应对策略探讨[J].中小企业管理与科技,2013,5
[2]陈宇明.烟草行业信息安全管理的研究与探索[J].计算机安全,2011,9
词】网络 财务 现状 安全
在当今社会网络极大普及的背景下,国内各财务软件厂商开发了各类基于互联网的财务软件,并逐步深化到每个企业的业务管理、物流管理、供应链、客户关系管理等方方面面,已形成了构架在因特网上的全面管理信息系统。在如此形势下,如何做好财务工作并在实际应用中给予关注,成为各企业财务部门面临的一个新的课题。笔者拟从信息的应用和处理、人员要求及网络安全工作三方面进行初步的探讨。
一、信息的应用和处理
基于现行的财务处理平台,根据用户的使用范围及企业的保密程度进行划分,把各类信息分为三种:公开信息、半公开信息和保密信息。其中公开信息是应当向市场主体、市场运营机构和公众公开提供的数据和信息,主要是企业自我宣传、介绍的资料以及向股东等人员披露的财务信息等等,把它们放置在企业的主页等公共栏目上,这样任何人可以通过公共的渠道获得;半公开信息指被企业控制在一定的范围内,主要是用于企业内部或者特定人员使用的,不便或不必向外界披露的一些资料信息;保密信息则是事关企业的经营计划、重大决策、资金状况等重要的信息。财务工作中产生的绝大部分数据属于后两者。
按照信息的保密程度的不同,财务部门对数据的处理和传播方式上也必须有不同的要求。公开的信息资料可直接放置在企业的主页和公开宣传网页上,并形成系统的文字性资料,方便所有公众知道与了解。半公开的资料则是涉及企业其他相关部门,如物资、人事等部门,需要共同处理的一些资料,这只能通过企业内部的网络、内部文件、内部资料等方式进行信息传递,并需要办理相关资料的交接和加密手续,尽量控制信息的传播范围。保密信息则涉及企业的重大机密,对于保密的资料信息一方面需要进行加密存放,同时需要严格控制知情人员的范围,确保数据本身的安全;另一方面在信息的传递上也要保证路径的安全,防止信息的被窃和毁损,还要制定相关的保密制度与措施。以上就是在财务网络上需要进行处理的信息状况。
按照上述分析,企业得财务网应是企业信息网络系统的一个子系统,由于其自身的财务特殊性,相对于其他的子系统,它又应具有很强的相对独立地位,在硬件和软件方面务必进行隔离,并且严格控制信息的输入和输出。
二、对财务人员的要求
在会计信息网络化的背景下,随着市场竞争的日益激烈,各企事业单位财务人员工作特点和方式,正在不断的发生变化,财务人员的重要性已经被越来越多的企业家和事业管理人员所认同。此外,各项新制度的不断出台和会计电算化的发展,对财务人员的素质要求也愈来愈高,这就要求会计人员,一方面需要转变观念,树立现代会计理论和方法,通过各种后续教育,掌握计算机技能及网络应用知识,以适应工作的需要;另一方面,会计人员的数量将大量减少,会计核算变得更加程序化、系统化,人在其中的作用更多的是控制和处理信息,使用经提炼的信息。这就需要企业从以下几个方面对财会人员进行管理与培训:
(一)加强各种业务的学习,不断丰富更新自身知识
新形势下的经营模式和管理方式,既要求软件的开发者具有很高的会计知识,同时还要有较高的企业管理、计算机和网络技术等交叉学科的理论知识,对于财会人员要掌握这些知识,能够在复杂的软硬件环境中有效地应用和完善系统,就必须努力学习相关的专业知识,这样才能完成各种经济业务的核算和管理工作。
(二)财会人员要转变传统观念,既要关注信息的处理,还要把注意力向信息的使用和分析上转变,发挥会计的管理职能,参与企业的经营决策,为企业的发展壮大提供可靠的信息
(三)财会人员还应当具备一定的工作创新能力
创新能力是网络环境下经济、社会发展对各企业财务管理人员的客观要求。广博浩瀚的信息是人们创新的源泉,创新意识具有开拓性、独创性、联想性等特征。只有不断创新,企业才有活力。具有创新意识的人,能够脱离传统习惯势力和世俗偏见的束缚,敢于开拓创新,提出新颖且独到的建议,勤于联想,从而开辟出新的思维空间。创新是提高各企业财务人员工作能力的不竭的源泉。
(四)培养财务人员良好的职业道德和自律性
在当今的网络时代,财会 人员要面对各种数据信息,并对其进行主观的处理,而这些数据信息反映的是企业的财务状况和经营成果,是具有实际价值的。财会人员必须对这些数据信息的合法和安全负责任,同时财会人员还要具备很好的自律意识和职业道德,保证不会危害企业数据处理及企业的经济信息安全。 三、网络安全 网络安全从其本 质上来讲就是网络上的
信息安全。凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都属于网络安全。现今的网络,给企业生产经营、人员管理、财务管理等等方面都提高了效率,起到了重要的作用,但是在给企业财会系统带来质的变革的同时,也增加了对某些或有价值的数据被滥用、盗用的风险,所以安全性是网上信息的关键所在。目前基于网络基础上的财会系统所面对的突出问题就是安全问题,企业需要从内部制度和技术方面采取有效措施,从软硬件管理和维护控制、组织机构和人员的管理和控制、系统环境和操作的管理和控制、文档资料的保护和控制、计算机病毒的预防与消除等多个方面建立行之有效的制度,从而保证整个财务网络系统安全运行。此外,企业为了保护资产的安全、会计信息的准确性和可靠性,还应在内部采取一系列奖励与惩罚机制,避免由内部人员的道德风险、系统资源风险所造成的损失。
财务网络化的有一个很大的优势在于用户可以通过因特网实现财务与业务协同、远程报表、远程报账、远程查账以及远程审计等远程处理和其他各种电子商务,电子商务和远程处理要求财务系统的开放和数据的共享,这又增加了提高安全性的要求,安全性又成为内部控制的重点。
财务网络安全要从以下几方面实现内部控制:1.对远程操作实施控制,即实现对远程记账、报账、查账、制表、审核、网上报税等操作实施安全控制。2.对网上支付实施控制,即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及可操作性,实现安全支付。3.对电子凭证实施控制,即控制电子凭证的正确收发、真伪确认、格式转换和安全传递等等。可以说,没有网络安全,也就没有网络财务。
参考文献
[1]刘港.企业网络信息安全实现.《数字技术与应用》,2011年08期.
1.信息化发展与ITIL引入。由于企业在运维工作中存在“重建设、轻维护”、“重技术、轻管理”等现象日益凸显,信息系统业务也变得更为快捷和动态。其灵活性和复杂度要求IT信息系统自身规模越来越大、集成度越来越高、业务逻辑也越加复杂。因此,IT日常运维管理工作常常处于“救火”状态,工程师更是非常被动地处理各种故障,以“救火队”式的工作模式已经无法满足企业信息化建设发展。完全依赖人工完成IT信息系统的运行维护保障几乎成为不可能完成的任务。ITIL是一个基于流程的方法论,是一套被广泛承认的用于有效IT服务管理的实践准则,还是一个基于最佳实践的IT管理框架。基于ITIL的IT服务管理以流程为向导,以客户为中心,强调IT和业务需求的有效融合,把不同层次的IT信息系统管理人员组建起一支担有共同责任和义务的、多技能的、跨组织的合作团队,整体提升对IT运维事件管理系统的分析、处理能力,甚至实现故障预报,将IT信息系统运行维护从“救火队”改造成“保健医生”。目前全球已经有超过10,000个公司采用了ITIL,如世界500强中包括宝洁、因特尔及波音、通用公司等的很多跨国大公司[2]。自2002年前后,ITIL在中国也被企业所接受并采纳。在很多雄踞领先地位的国企、外资企业企业都在一定程度上基于ITIL进行了IT服务管理的实践。
2.IT建设和运维现状。卷烟企业是以烟草原料制成各类烟制品的生产制造企业。近年来随着烟草行业信息化建设蓬勃发展,经过多年信息化建设,卷烟企业在管控层和执行层分别部署了众多的信息化系统,取得了很大的成绩。经过数次ERP项目建设,全面覆盖了卷烟企业生产经营全过程,使卷烟企业信息化建设工作得到进一步落实[3],促进了卷烟企业管理水平的进一步提升,实现了业务流程标准化和规范化,实现了卷烟企业生产管理、财务业务工作一体化,实现了项目及预算管理有效监管与控制,实现了物流、资金流、信息流集成和统一,基本形成了计划—运营—总结与反馈—提升的闭环,全面提升了卷烟企业管控能力,为提升以管理竞争力为中心的卷烟企业核心竞争力打下坚实基础。卷烟企业引入ITIL管理方法,通过分析IT运维现状,梳理IT维护服务流程、完善运维管理制度等措施,加强IT运维管理,有效地保障了卷烟企业信息化业务的正常运行。但是ITIL实践仍处于探索阶段,且理论的实践不单是技术的层面,更需要结合卷烟企业文化和管理方法进行开展。因此需要充分分析现行卷烟企业信息化建设现状和IT运维管理存在的问题,逐步实施,达到ITIL思想与卷烟企业信息运维工作的有效融合。
3.信息化面临的挑战。在烟草行业处于迅猛的发展时期,业务的多变性导致信息体系运维建设也不可避免会出现一些问题主要表现如下:应用系统功能定位不够清晰:部分系统基于业务部门的自主需求建设,在建设前,缺少统一的规划,例如市场调研系统、工商协同平台、营销信息采集系统、产销协同等,导致部分功能重叠、信息孤岛现象出现、信息资源利用不充分[4]。应用系统功能覆盖不够全面:目前在各业务管理系统中还缺乏对采购、物流前期监管、招标及其客商、消费者等方面的管理功能;在电子政务系统中缺少对法律、审计、知识、标准、流程、党务等事务信息化功能及信息系统等业务支持不足等。应用系统之间缺乏有效集成:由于缺乏统一软件平台标准和集成管理规范等原因,各系统供应商提供的系统相对独立,存在数据不能被充分利用、数据接口、数据转换困难的现象。如:ERP系统中产、供、销在计划层面的联动不够;部分采购业务与供应商评估没有集成;ERP、MES、产品研发、办公协同系统(OA)等系统之间也存在相当一部分业务数据重叠,需要进一步集成。由于缺少对IT系统的有效管理,加上自动化系统具有复杂性、综合性及连续性等特点,使得传统的卷烟企业信息运维管理处于被动、孤立的状态。如何确保这些系统始终处于最佳运行状态,并使之能根据需求的变化及时进行相应的调整,已成为卷烟企业高度关注的问题。越来越多的卷烟企业信息部门开始反思如何更好地实现IT系统的价值,提供更好的系统维护手段和方法来支撑业务的稳定、高效及安全发展。通过进一步总结信息系统运维经验,认为提高整体工作质量、减少各类技术故障,提高IT服务和运维管理已成为此项工作亟待研究的新课题,这也是卷烟企业迫在眉睫需要解决的问题。
二、基于ITIL方法的运维应用研究
1.IT运维管理应用的探讨
卷烟企业综合信息化中既有流程性的内容,又有离散系统的特点,在整体的信息化系统建设和应用中涉及采购、运输、存储、调度、生产、计划及验收等诸多卷烟企业业务,内容从烟叶购进、仓储醇化到制丝、卷包;从MES数据采集到ERP数据对接、BI数据挖掘,其IT服务、运维管理配置,网络覆盖,IT运维管理总体要求更高,而借鉴ITIL方法论对构建卷烟企业综合信息化运维管理具有。ITIL内容宽泛,侧重于IT系统的运维,目标是通过有效的流程管理达到提高IT部门服务质量。从卷烟企业IT运维管理的现状来看,ITIL已经成为推进IT运维体系建设和日常操作管理的首要标准和最佳实践参照。卷烟企业应重点地应用ITIL核心思想方法,建立适合卷烟企业特色的IT运维管理体系,提高IT运维管理的效率和规范性,保障卷烟企业IT系统和设备的持续稳定运行[5]。
2.设计符合卷烟企业特点的运维管理平台
全面探索“设计符合卷烟企业特点的运维管理平台,参照戴明环PDCA在运维过程中制定有计划、有执行、有绩效、有改进的日常运维操作手册,其内容涵盖定期进行运维风险管理,日常运维管理及运维故障响应管理三大部分,形成事前
有预防,事中有监控,事后有补救位于执行层的详细工作指南。同时在伴随着信息技术发展和实际应用需求的提高,对原有单纯对底层信息基础设施的运维、管理的模式进行改造建设。在确立信息化工作向服务模式转变后,探索新形势下的IT保障体系,以运维和安全为两个着力点,为飞速增长的业务提供稳固的支撑。以“提升服务、规范管理”为目标,建立卷烟企业IT运维管理平台,提升运维服务水平。运维管理平台整体架构分为三层:IT监控层、运维管理层和综合展示层。IT监控层包括集中监控中心、安全管理中心和呼叫中心,主要目标是对业务应用(OA、生产系统、行业系统、业务用户等)、基础架构设施和安全设备的集中监控与分析实现IT运维可视化;运维管理层包括服务流程管理、业务资源管理和安全管理,主要目标是对运维日常工作流程、IT资源进行管控实现IT运维规范化;综合展现层包括综合管理中心,具体提供统一事件管理、网络状态监控、系统运行状态监控、业务状态监控、拓扑管理、趋势预警分析、服务管理、系统维护、权限管理、报表管理、知识管理、故障管理、告警管理、质量评价等功能实现IT运维可控化。
3.落实卷烟企业IT服务管理的关键因素
(1)运维中心组织架构的建立。IT运维能力提升目标:建设统一管理体系:即基于ISO20000标准与ITIL最佳实践,结合企业现有的信息化管控体系建设内容建立一套符合企业的标准运维服务管理体系与流程,规范与标准化IT服务,确保有效提升服务水平与服务质量。将从人员、流程、技术三方面进行建设:运维服务层面:结合宁波卷烟企业现状,组成由信息化部门、专业运维厂商、应用开发商的三级IT运维管理团队。管理体系建设层面:梳理IT运维服务流程,建设符合ITIL规范的流程体系,细化IT运维规范和操作安全规范,建设IT服务管理体系[6]。运维管理平台建设层面:通过建设运维管理平台,从技术上实现运维故障主动告警,运维事件自动派单,运维流程全面管控。针对企业已有的IT基础架构及业务应用系统,进行企业IT运维体系设计,分步实施并部署适用于企业的IT运维管理系统,实现对IT资源集中化、统一化、一体化的管理,实现IT服务的有效配置以及利用运维工具对应用系统的主动管理,保障企业拥有高效、稳定、可靠、安全的信息化运行环境。ITSM作为ITIL的具体实现形式体现。管控层:在管控层面主要建立管理计划、执行控制、定期检查、绩效考核等内容,确保IT运维管理可控。执行层:在执行层面主要建立主动监控、定期检查、事件处理、供应商协调、报告及分析,确保IT运维执行有序。
(2)建设运维服务团队。运维服务层面,打造由卷烟企业信息中心、专业运维厂商、应用开发商组成三级运维管理团队,建立规范的信息运维体系,创建面向客户的信息化服务模式,提供有价值的信息化专业服务,整体提高信息化管理水平,更好地服务于企业生产、经营活动。信息中心需要确保运维所需的过程得到建立、实施和保持,并且能够履行决策、协调、指挥、控制、监督、指导等职责。从这个角度出发,运维服务需要在信息中心的统筹运营管理下,通过建立运维管控层和运维执行层,来实现对所有应用系统服务需求的受理、派工、追踪、反馈和考核。通过建设IT运维管理团队,通过设立统一服务台,细化运维专业分工,实现运维与开发的分离,实现运维团队专业化。通过梳理IT服务流程,细化IT运维规范,建设IT服务管理体系,实现运维流程规范化。通过建设IT服务管理系统及IT集中监控系统,从技术上实现运维管理的可视、可管、可控,实现运维技术自动化。以此,在满足对信息资源进行统一管理、完善应急能力、降低运行成本、提高服务质量和效率的同时,更需要在保障所有业务应用系统正常运行的情况下开展工作,体现信息相关投资的价值,保障信息系统的可用性、可靠性,及信息应用系统自身的持续发展[7]。
(3)运维管理体系制度建设。运维管理层面上,将建设集运维预防控制体系、运维事中操作控制体系和运维事后恢复控制体系为一体的运维管理制度体系,从组织、流程与规范三方面保障全区运维服务。运维安全管理制度体系:建立一套运维安全保障体系制度,该制度是《运维安全体系制度》和《运维管理体系制度》二套体系的整合。其主要目标是确保运维体系在战术层上的正确性。实现运维预防体系中建设的运维管理体系建设运维安全管理制度体系采用“三个层面,四级文件”的制度制定方式,根据信息化建设的现状和未来的发展趋势,结合ITIL、COBIT、等级保护的理念和精髓,对原制度的缺陷进行完善和改进,给出科学的管理建议。
三、结束语
【 关键词 】 企业信息;信息安全;风险管理;框架探究
1 引言
人类社会在不断发展,信息化逐渐融入人们生活。信息资源对于现代企业来讲,是每时每刻都存在的运转载体,各种重要数据、企业的知识产权等这些都是企业的内部信息,除这些信息外,其他相关方面的数据也被企业所利用,例如合作伙伴、客户、员工等资料,尤其是一些服务性企业,比如网商、快递公司、金融公司、通信公司、航空公司等,这些企业更需要以信息系统作为支撑,信息资源成为企业不可或缺的重要组成部分。
2 新形势下我国信息安全面临的问题
2.1 风险意识在主观上的淡薄
在我国信息安全上面,思想认识面临高风险的形势,大部分企业的管理高层对信息资产的认识严重不足。或者局限在IT的安全方面,没有合理的安全观念引导企业在信息安全管理方面的工作。信息安全管理制度的完整性缺乏,规范安全风险和安全法律法规对员工的培训缺乏,很多信息安全事故的发生都是因为安全意识的薄弱造成的。
2.2 缺乏信息安全管理系统的思想
大部分企业仍是将传统的管理方法用在安全管理模式中,这种出现问题再去想弥补的方法是静态的管理,不能在提前进行信息安全风险评估上做更有效的信息系统管理。
2.3 信息安全不仅仅是技术部门的事
多数企业认为信息安全的责任和义务都是IT部门的,造成信息技术部门无法和企业内部其他部门互动,进而形成孤立的局面。但是,信息安全的实现需要各个部门的全员行动,特别是规范标准以及规章制度的贯彻落实,更牵涉到企业的每一名员工,全员行动的要求更是不能缺少。
2.4 存在重视安全技术而轻视安全管理的情况
现今为止,仍有很多企业仅仅依赖产品安全,认为信息安全就是信息产品安全。一般企业现在都会采用计算机和网络技术来构建企业的信息系统,但是没有把相应的管理措施开展到位。信息安全问题应该加强做好管理工作,不能单从技术方面着手。
2.5 现代管理手段与理论欠缺
日益庞大的现代化信息规模与越来越复杂的网络结构,让现有的风险管理手段和理论都不足以让企业信息安全得到完全的满足,企业应该结合实际情况和需要,把国际上优异的信息安全风险管理理论以及先进的最佳实践用作指导,以此达到信息安全的目的。
3 企业信息安全风险管理的框架探究
企业信息安全风险管理的框架包括两个部分,一是企业信息安全风险管理的过程,二是企业信息安全风险管理的实施。其中,实施是过程的保障,整合各种资源要通过实施才能达到;过程是实施的前提,对过程的清楚有利于建立企业信息安全风险管理的统一理解,以此逐渐实现信息安全风险管理。企业信息安全风险管理包括风险分析、风险计划、风险识别、风险监督、计划实施、风险改进六个动态过程。
信息安全风险管理是动态、持续性过程,信息安全通过潜在的风险识别、分析,同时进行计划、实施、监督、改善,然后再进入到下一个循环里,通过持续不断的循环活动进行有计划、持续的控制,不断改进。
参照戴明的PDCA质量管理模式,把安全项目实施划分为四个阶段,分别是准备和策划、执行和部署、监控和检查、评价和改进,实施阶段有几个工作步骤:(1)准备和策划工作阶段,首先调研信息安全风险管理现状,接着进行风险评估,然后编制信息安全风险管理方案;(2)执行和部署工作阶段,进行部署安排,按计划执行,接着进行安全培训;(3)监控和检查工作阶段,做好企业安全现状检查,预测未来的变化;(4)评价和改进工作阶段,制定改善措施,响应紧急事件。
4 企业信息安全风险管理的实施
在风险管理中人、过程、基础结构和实施是四大影响风险管理能力的关键因素,企业的信息安全风险管理能力同时也受着这四个因素制约,所以企业信息安全管理中十分重要的就是人通过各类资源和企业基础结构达到信息安全风险管理过程的实施活动。
企业在开始尝试安全风险管理实施之前,很重要的一点是应该检验现有安全风险管理的完善度。假如企业在安全风险管理上没有规范的流程和正式的策略,就会出现框架的实施非常艰难。换句话说让企业有一些正式的策略和明确的指导,将避免大多数员工都在工作中不知所措。假如在安全风险管理上发现企业相对不够成熟,则可以采取试点的形式,把安全风险管理实施到单个业务单元中,直到通过试运行在框架中显示有效以后,再考虑将其他业务单元导入至整个企业框架中。
框架实践需要以最优实践的经验为基准,必须有利于企业确定安全现状,同时按照需要的安全方向进行改进,企业的安全风险管理能力通过不断的提高,就能逐渐努力向着安全的目标前进。
5 结束语
进入信息化时代,企业已经把信息系统的高效、互联、精确的特征当作赖以生存和发展的必要条件。因此所伴随产生的信息安全风险就成了企业关注的重点问题。在此情况之下,企业建立信息安全风险管理机制,利用科学的方法和手段控制各种风险的发生显得尤为重要。动态循环是企业信息安全风险管理的一个过程,在风险评估的前提下,要落实对风险控制措施。同时对过程的实施要进行有效的控制和监督,这就需要一个明确清晰并且具有可操作性的信息安全风险框架来指导。还有需要探究的工作在信息安全风险管理领域里,但愿本文能引来更多这一领域探究,从而做出保障企业信息安全的贡献。
参考文献
[1] 陈慧勤.企业信息安全风险管理的框架研究[J].2011,21(40):42-46.
[2] 惠志斌.企业IT风险管理的体系构建与实现路径[J].科技管理研究,2014,34(2):36-55.
[3] 叶铭.企业动态信息安全风险控制系统的研究[J].2012,08(11):81-85.
购物车(0)