摘要:本文以XX的信息管理為研究對象,對信息安全現狀進行調研和分析,并對未來的信息安全建設將會遇到的主要問題做了深入研究。從目前信息建設��、人員配置、機制流程等方面進行了差距分析與對比,結合本企業的實際情況,制定出了符合本企業的信息安全管理策略的基本框架和指導建議,并提供了信息安全管理體系實施的搭建方案,最終對該信息安全體系實施進行了總結評價與未來展望�����。在企業信息化大規模發展的形勢下,如何有效地減少或避免因信息安全事故而帶來的企業經濟損失,是亟需解決的���、具有重大戰略意義的研究課題�����。本論文的研究是為了保障企業信息安全建設目標達成,并最大化地保障企業利益,并取得良好的管理效果��。
關鍵詞:信息管理;信息安全系統; 信息安全管理體系;一、前言
北京XX有限公司(簡稱BSMC)的前身是首鋼日電電子有限公司(SGNEC)�,成立于1991年12月���。由首鋼總公司和日本NEC電子株式會社����,致力于半導體集成電路制造和銷售的生產廠商。公司擁有半導體集成電路生產的完整生產線(包括晶圓制造和IC封裝),主要產品品種有MCU(微機控制單元)電路��、遙控電路��、顯示驅動電路、通用LIC等����。公司主要負責NEC電子及美國的客戶����,同時面向國內客戶���,開展Foundry產品的代研����。是我國最早從事大規模集成電路設計、制造�����、封裝和測試的高科技企業之一����。由于技術合同到期,2013年12月��,成為首鋼總公司旗下的全資子公司���。
該公司依托日本先進的半導體企業管理模式�����,嚴控制���、高效率,建立了較為完備的生產管理系統�����。但企業信息系統的建設并不完善����,還存在著各種問題。尤其是在制造業企業信息化的發展過程中,企業信息安全建設存在與企業發展不符的現象�����,有待于針對這些問題認真剖析展開調查進而解決�����,希望能夠對企業今后的持續發展帶來幫助�。
二�、企業信息管理的現狀
隨著知識經濟的到來以及信息化網絡技術的快速發展,信息系統網絡信息化管理模式已經在XX公司中廣泛應用,很多的日常工作都必須要依靠信息系統來完成,比如03系統(產品投入履歷跟蹤)、AMS系統(設備和產品異常處理)��、PMS系統(業務訂單投入出荷)�����、VISDA系統(產品生產信息跟蹤分析)����。本司以“確保產品質量���、滿足顧客要求第一”為質量方針����,通過各信息系統竭誠為廣大客戶提供一流產品和服務。
然而,信息系統的高效與便利在提高XX公司工作效率的同時,由于缺乏先進的管理經驗以及技術支持,在實際的運行過程中,仍然存在一定的管理問題,例如:網絡信息的安全威脅等。當下,是信息的時代,安全性關系到企業的健康發展��。就當前企業信息安全管理的現狀及策略問題進行分析闡述�。分別從策略,組織,管理三個方面進行了研究��,并分析安全管理現狀,指出本企業在大數據安全管理方面存在不足����,結合實際給出了具體建議和方法,及具體的實施方案。
1��、信息管理制度不完善
對內部和外部網絡使用管理混亂����,缺少正確的信息化觀念。公司目前有500來臺計算機����,中級管理層以上人員可以隨意使用外部網絡����,個別人上班時間進行網絡購物�;容易造成網絡病毒的攻擊,存在安全隱患����。
2�����、企業管理落后,缺少信息安全意識
信息安全源于每一個員工,達到每一層的安全保護��,管理架構的信息安全保護意識不足����,全員沒有受到教育和培訓���。生產過程中就出現過由于違規操作����,導致設備軟件系統癱瘓,使設備不能正常運行的嚴重問題�����。由于作業者上班時間���,利用生產設備的計算機玩游戲��,誤操作�,刪除了生產程序系統內容����,備份軟件和現有技術力量無法恢復,必須聘請廠家技術解決��,導致了嚴重的經濟損失����。
3、上層管理不重視���,重要性被弱化。
管理者戰略對信息建設認識不足�。沒有投入更多的人力和物力來保障信息安全��,技術人員能力不足或身兼數職等現象,對信息安全的管理工作造成了極大的安全隱患����。
4��、信息系統陳舊低端����。
信息系統、網絡系統不匹配。生產車間使用O3系統還是2010年開發的,后繼無更新��;異常系統AMS不能添加附件,office不兼容�����。一是由于不匹配��,系統過時����,使安全風險加大�;二是沒有及時更新信息系統,安全問題薄弱��;三是安全漏洞防范不健全��、沒針對性地做出預防處理及緊急事故預案�。
三���、信息的安全管理策略及措施
為謀求企業的長遠發展���,企業信息安全必須體現在企業經營戰略層次�����。管理者必須以預防為主���、綜合管理��、人員防范和技術防范相結合��,逐級建立多層次的安全防護體系�,綜全防范實現一體化的安全系統。鑒于此���,該公司應制定相應的信息安全管理策略及實施措施如下�����。
(一)信息安全管理策略
1����、構建并完善信息管理制度�。
必須進行統一規劃和分工。指定管理保障責任部門�����,分工明確�����,各司其職��。保障管理的效率性,防止多頭控制和執行不力的現象出現,保障權責統一。設定使用權限,未簽訂允許授權單不得進入計算機信息網絡或者使用計算機信息網絡資源�,將安全信息工作落到實處��。
2、提升全員信息安全意識。
建立信息安全培訓教育制度。組織全體工作人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》��,提高自上而下工作人員的維護網絡安全的警惕性和自覺性�����。一旦發現從事危害計算機信息網絡安全的操作活動的�,承擔相應的處罰責任�,簽訂安全信息保密承諾書�����。從各部門級出發����,針對這些信息隱患制訂安全防范措施���。
3、建立信息中心,加強管理和維護�����。
信息安全問題需要從技術���、運行環境與異常突發事件的保障三方面解決��。①技術控制層����,即在計算機系統及其程序設計中加以安全控制����。?使用正版軟件,保護運行環境,管理者必須以預防為主、綜合管理�����、人員防范和技術防范相結合�����,逐級建立多層次的安全防護體系,綜全防范實現分級阻止違規行為�����,實現一體化的安全系統�����。?確保在停電后�,業務應用的安全管理�。信管部在接到停電通知時,應設置便簽提醒自己具體要停電的時間�,若停電時間在上班時間�����,則提前發出通知給生產現場,避免在停電時出現文件損壞或資料丟失�;若停電時間發生在下班時間���,則在下班時通知所有人關閉電源���,同時信管部及時關閉服務器��,以免停電損壞主機電源。停電結束后���,打開各應用服務器,并謹記要打開視頻監控服務器����,恢復閉路監控系統正常工作���。
4、定期評估���,不斷的改進。
安全的需求也是逐步變化的���,新的安全問題也不斷產生,原來建設的防護系統可能不滿足新形勢下的安全需求�����,這些都決定了信息安全是一個動態過程�����,需要定期對信息網絡安全狀況進行評估��。
5、及時改進安全方案,調整安全策略���。
完善企業的信息化應用�,是隨著企業的發展而不斷發展的�。信息技術更是日新月異的發展,安全防護軟件系統由于技術復雜��,在研制開發過程中不可避免的會出現這樣或者那樣的問題��,這勢必決定了安全防護系統和設備不可能百分百的防御各種已知的��,未知的信息安全威脅。不是所有的信息安全問題可以一次解決��,人們對信息安全問題的認識是隨著技術和應用的發展而逐步提高的���,不可能一次就發現所有的安全問題����。信息安全生產廠家所生產的系統和設備,也僅僅是滿足某一些方面的安全需求�,不是企業有某一方面的信息安全需求����,市場上就有對應的成熟產品��,因此不是所有的安全問題都可以找到有效的解決方案。
(二)信息安全管理措施
一是明確責任��,統一由信管部負責����,統籌安排,協調配合。二是建立應急小組�,規范突發事件上報程序���,及時掌控突發信息安全事件�����,及時協調各部門、各事業部、各專業力量,將突發事件的危害影響降至最低點。應急處置應遵循“依靠技術��、加強管理���、預防為主����、快速響應、及時恢復”的總原則�����。三是宣傳普及信息安全防范知識�����,做好應對信息安全突發事件的思想準備、預案準備����、機制準備和工作準備��,提高公共防范意識以及基礎網絡和重要信息系統的信息安全綜合保障水平。
四�、綜述
信息安全是一個伴隨著企業信息化應用發展而發展的永恒課題����。所以必須制定有效的管理策略與措施��,建立健全企業信息安全事件工作機制尤為重要���。應對信息安全事件的應急處置能力����,維護基礎信息網絡���、重要信息系統和重要控制系統的安全����,保障公司各項科研生產經營活動安全的順利開展����。企業信息安全的建設將使得企業管理水平與國際先進水平接軌����,從而成長為企業向國際化發展的有力支撐。
參考文獻
[1]劉永華.計算機網絡信息安全[M]. 清華大學出版社 .? 2014
[2]唐馮慧.信息安全管理現狀及策略研究[J]. 科技風.2012(13)
[3]成 華.信息安全工程與管理[M]. 西安電子科技大學出版社 .2012
?
