科研企业信息安全管理现况 本文关键词:现况,企业信息,安全管理,科研
科研企业信息安全管理现况 本文简介:【摘要】信息安全对企业,尤其是科研企业来说极其重要。如何进行企业信息安全评价,并做好信息安全持续改进,是一般科研企业面临的普遍问题。本文结合AHP层次分析法确定本单位信息安全评价体系,再结合PDCA循环法,做好信息安全管理的策划、实施、检查、改进工作,给出了持续改进提升科研企业安全管理的很好的思路。
科研企业信息安全管理现况 本文内容:
【摘要】信息安全对企业,尤其是科研企业来说极其重要。如何进行企业信息安全评价,并做好信息安全持续改进,是一般科研企业面临的普遍问题。本文结合AHP层次分析法确定本单位信息安全评价体系,再结合PDCA循环法,做好信息安全管理的策划、实施、检查、改进工作,给出了持续改进提升科研企业安全管理的很好的思路。
【关键词】PDCA;科研企业;信息安全;管理;规范
1引言
科研企业除了企业普遍拥有的商业秘密、人才秘密等,还具有投入大、自主创新能力强、产品拥有较高附加值等特点,一旦信息安全泄露,容易产生重大损失。因此,企业采取必要的制度规范和技术手段来确保企业各类信息和技术不被有意或无意泄露,以保护企业经营各个环节免受信息泄密引起的伤害。一个看似细微的泄密事件,都有可能给企业造成不可估量的损失。那么,科研企业应该怎样加强信息安全管理呢?引入AHP层次分析法确定企业内部信息安全评价体系,评估当前现状,并在此基础上,采用PDCA改进循环,持续改进,提升企业信息安全管理水平,具有较好的理论意义及实践价值。
2企业信息安全现状评估
(1)应建立企业信息安全管理评估层次结构模型。构建评估模型的目的是识别企业信息安全管理现状,识别重要影响因素,确定需要解决的问题和解决方案,为决策提供支撑。(2)应该构造判断矩阵,确定各个影响因素的权重。可以检查相关制度的完备性、执行力、实际有效性,并按照对信息安全风险发生概率、风险发生造成的损失、风险可防范性等多个维度对比分析,按其重要性程度评定等级。通过一致性检验和综合权重计算,确定评估等级。为了简便起见,可以将评估等级设定为5级:A级-信息安全管理优秀,B级-信息安全管理良好,C级-信息安全管理一般,D级-信息安全管理较低,E级-信息安全管理风险较大。也可以设定量化评价分,每一等级对应一定分值。其目的是在后续的持续改进中能够设定目标,并不断评估。
3企业信息安全管理策划
有了企业信息安全管理评估模型和评估结果,就可以为下一步改进启动方案。改善活动可以采用PDCA循环法。PDCA循环是美国质量管理专家休哈特博士首先提出的,由戴明采纳、宣传,获得普及,所以又称戴明环。PDCA循环最初应用于全面质量管理,但后来逐步成为项目管理、问题处理等的一项基本方法。PDCA循环的含义为计划(Plan)、执行(Do)、检查(Check)、处理(Act),也可以称为策划、实施、检查、改进,这样更符合中文的理解。企业信息安全管理策划活动主要是要制定企业信息安全方针、目标、组织和计划。企业信息安全目标,是要确保企业经营活动中各类信息的安全,不被使用在不恰当的地方,不被泄露到不该知晓的人员,不对企业运作形成隐患,建立防护墙,杜绝信息安全事故的发生。为了更好地落实企业信息安全目标,必须在企业内建立相应的组织保障,并制定明确的行动计划。首先,要运用信息安全现代化管理方法和手段,识别、分析各种安全风险因素。其次,运用正确的评估方法,对风险等级进行评估确认。然后,针对各项风险因素,制定风险控制目标。最后,根据不同风险类型和风险等级,从技术、组织和管理等多个方面采取有力的手段,规避、解决、消除和降低各种安全隐患。企业信息安全管理的重点是识别信息安全风险,预防性消除信息安全隐患,使信息安全事故消除在萌芽状态中,起到预防的作用。
4企业信息安全管理实施
企业信息安全管理实施,可以从以下几个方面来落实:(1)建立企业信息安全组织,并制定领导挂帅。企业管理,只有领导重视,基层管理者和员工才会真正重视。也只有企业领导重视,才能有足够的资源来保证落实到位。信息安全管理工作也如此。企业应设立有高层参与或亲自挂帅的信息安全委员会。谁对企业负责,谁就对信息安全负责;谁对经营负责,谁就对信息安全负责。各级业务单位行政领导是个业务模块信息安全第一责任人。(2)制定企业安全管理章程,建立健全信息安全管理制度、流程和规范。要把安全贯穿到每一个业务活动中去,针对每个岗位,建立作业指导书,形成安全指导文件,以流程来保障落实。(3)提升员工信息安全意识。企业应制定相应的计划,通过培训、宣传、座谈、学习、研讨、评审、决策等方式,不断培养和提升广大员工的信息安全意识。要形成人人关注信息安全,明确涉密信息是公司最重要资产。消除对于信息安全的认识误区,消除观念障碍、技术障碍、资金障碍等。(4)提供必要信息安全管理资源,包括组织、人员和资金。信息安全不是一句空话,必须要有相应的投入保障,才能切实把相关要求贯彻下去。(5)落实安全管理方法和技术,通过技术促使管理水平上台阶。任何一项管理的落地,除了流程规范、组织团队和人才,还需要有方法和工具,要形成系统方法论,并用技术手段使其自动化、规范化。如,针对信息安全风险评估,评估方法就有很多,下面简单介绍两种常用方法:①定性评价法采用对信息安全不同类型的风险发生概率和影响程度进行定性评估,以确定行动的优先级和资源投入,见表1。②综合评价法综合评价法,又包括主成分分析法、数据模型分析法、模糊评价法等。也可以结合AHP进行多层次分析法综合评价。其中关键是建立评价模型,确定评价指标和权重系数,抽象-定性-量化-评价,多指标加权计算形成综合评价值。对于信息安全评价,可以参考信息安全风险识别能力、风险预防能力、安全预警能力、应急处理能力、责任防护能力、组织结构能力、规章制度、资源投入、教育培训、文化建设、事故处理等多个维度建立模型。具体因素的判定,可以采用德尔菲法、头脑风暴法等进行操作,以求获得相对客观、准确的判定。(6)落实具体举措企业信息安全管理要做好物理保安工作,设立保密区,通过保安、监控等手段确保物理区域安全,防止外人侵入。制定涉密信息控制、传递流程和制度,加强涉密信息管理。更要通过技术手段做好信息安保工作,做好网络隔离,防范黑客入侵,杜绝信息泄露。涉密信息和企业经营的各个方面都密切相关,包括财务状况、客户关系、组织人事、发展战略、技术工艺、营销策略、产品方案、关键技术等方方面面,要做到无死角不遗漏。俗话说,商场如战场。在激烈竞争的环境下,受利益的驱动,各种入侵、窃密层出不穷,企业需未雨绸缪、预防为先,扎好篱笆,做好防范。
5企业信息安全管理检查
针对相应的制度、流程和规范,要定期检查有效性。针对设定的目标,要定期检查达成度。检查应涵盖以下几个方面:定期检查相关信息安全管理制度、规范,是否适应当前发展需要,是否存在漏洞,是否被得到有效执行。定期检查、巡检物理区域,相关保护设备、设置是否存在老化、失灵。是否确实起到了安全保护作用。定期检查各项技术措施是否得到有效应用,各类涉密信息是否存在不恰当处理货不规范应用,定期检查举报通道是否畅通,各类防护功能是否切实发挥作用。定期进行事故演练,识别风险,提升应对能力。检查各类事故是否得到有效处理,上报、处罚、预防及改进措施落实是否到位等。可以采取不预先通知、改变行程、微服私访等各种方式,避免检查流于形式。要从检查中切实发现问题,找出原因。
6企业信息安全管理改进
可以通过根因分析法、5Why法等工具,针对检查发现的问题,逐一分析,挖掘深层次根因,在治标的同时,落实治本的举措。要多问为什么,不断追问。如:问题为什么会发生,为什么会形成这个原因?为什么没有被发现?为什么没有预警?为什么没有拦截?为什么没有从系统上得到预防?找出所有的原因,识别最关键的因素,寻求改进的机会。这个时候How就很重要,如何改善和防范,是我们的目的。最终一定要上升到系统和机制的高度,在流程的各个环节实施改进,做到防微杜渐,有效预防,以避免问题的重复发生。
7结束语
企业信息安全建设是一项长期持续的工作。通过持续的PDCA改进,可以使企业能够系统化、结构化构建企业信息安全管理系统。坚持常抓不懈,从制度和规范入手,抓好信息安全文化和专业队伍建设,建立企业信息安全管理长效机制。树立信息安全人人有责,做好信息安全工作,就是保护企业家园,要形成全员参与,齐抓共管,恒久坚持,为企业安全经营提供坚实保障。
参考文献
[1]杨利刚.探讨企业信息安全体系的建设[J].中国有色金属,2017(2):218-221.
[2]刘昆,范恭园,黎源,等.内部网信息安全的建设策略与防范对策探讨[J].通讯世界,2019(3):9-10.
[3]胡云强,谢宗晓.企业信息安全规划方法及其介绍[J].大众用电,2017(1):98-102.
[4]杨曙光,刘松.信息安全体系建设探讨[J].中国新通信,2016(17):74.
[5]习敏.军工企业信息安全保密工作的创新实践[J].电子技术与软件工程,2017(24):201.
[6]刘宏岭,汪江.电力企业信息安全等级保护定级分析[J].大众用电,2016(2):210-211.
作者:张小慧 单位:中国电子科技集团公司第二十八研究所
科研企业信息安全管理现况 来源:网络整理
免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
