浅谈制造企业日常信息安全管理的必要性与对策
来源:用户上传
作者: 戴 川 叶春明
摘要:企业信息安全已经成为企业经营成败的重要内容。文章以制造企业为研究对象,涉及企业员工日常行为应注意的相关事项,剖析企业信息安全事故的原因,并提出解决信息安全的相应对策。
关键词:制造企业;日常行为;信息安全
当今时代,随着市场经济和全球商业一体化发展,经济趋e(信息技术)化,信息的运用成为关系企业经营成败的重要因素。正因如此,技术信息的外流、个人信息的泄露、病毒和黑客网络犯罪肆虐,使得信息安全问题已成为全球性的、亟待优先处理的课题。
一、信息安全的必要性
伴随着当前信息化、社会化的发展,信息已经成为一项重要的经营资源。由于电子化、网络化的发展,人们可以将大量的数据简单地通过网络发送,或者将大量的数据保存在一枚存储卡上,携带出去。与此相对应,窃取信息的诱因也增大,由于过失而导致信息泄露的可能性也增加了。同时,随着人才的流动不断发展,公司的员工,因各种原因常会流动到其它竞争对手企业中去工作。另外,企业业务一体化的不断发展,对外派遣员工成了企业常见的现象,与各种各样的人共享信息以及和他们在同一场所工作的情况增加,从而可能发生各种信息资产的对外泄露,导致公司的商业信用丧失,大批客户流失,无疑这对企业经营会造成重大的影响(参见图1)。因此,不管是外在因素还是内在因素,都增加了企业信息资产外流的风险,所以加强企业信息安全管理是必要的,迫在眉睫。
二、信息安全事故的原因
(一)对信息价值的认识存在着差距
1、由于对信息认识的不足。外部恶意攻击、木马及病毒感染,这是被最多人所关注的信息安全问题,大部分人所认为的信息安全问题其实也就是这个问题;内部泄漏,这是被大多数人容易忽视的信息安全问题,因为这类威胁大部分不会造成数据的破坏,而是敏感信息的泄漏,所以也是最难防备的问题。
2、对个人信息保护意识的低下。S银行的顾客数据,Q百货商品的会员卡会员数据,Y网络服务商的会员数据,这些个人信息竟然也成为T网站明码标价的商品,这给那些不法分子造成了可趁之机。据了解,犯罪分子根据不正当的途径得到的信用卡,会员卡资料很容易制造出伪卡、伪证件,其背后是利润可观的黑市。
(二)人才的流动化
退职的从业人员从事竞争对手企业的经营工作;退职的干部携带部下,到竞争对手企业工作;公司管理人员跳槽到竞争对手公司,将供应商清单等携带出去等都会给公司的经营带来及大的困难。
(三)IT化的进展
1、来自外部的非法侵入、盗听。上世纪九十年代信息安全隐患主要集中在业余黑客不定期的无商业目的的侵害,如:散发病毒、涂改网站等。而如今已演变成带有商业目的频繁犯罪,如:窃取IP地址和身份信息等。因此,信息安全问题不仅仅是IT部门的技术风险,更是触及到了业务生命线。
2、内部人员对数据没有处理好,对网络的滥用、误用。由于未将在公司内使用的过PC机的硬盘上的数据删去,有关内容被转售到二手市场中去,从而导致信息流出;将公司内电脑携带到外部而导致遗失、被盗;电脑失窃时,与电脑本身的价值相比,在电脑中保存的信息的泄露所造成的损失更大;向公司内部转送带有病毒的邮件,带有病毒的邮件的转送,并不是因为发送邮件者故意转送,而且由于没有更新病毒对策软件,所以造成病毒被随意地转送。在这种的病毒中,有些是转送电子文件的病毒,这不只是给对方添加麻烦,还将导致信息的泄露。
3、技术缺陷。由于认识能力和技术发展的局限性,公司在硬件和软件设计过程中,难免留下技术缺陷,由此可造成网络的安全隐患。网络硬件、软件产品多数依靠进口,如全球90%的微机都装微软的Windows操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门而进入公司网络破坏重要数据,这方面的报道经常见诸于报端。
三、信息安全的对策
(一)加强信息安全教育,提高员工对信息安全的认识
“信息安全就是经营质量本身”,是非常重要的事项,也可以说是经营的根本。关于信息安全,有必要在各种各样的局面中进行教育,教育的对象,不只是针对公司员工,对于派遣员工以及外部作业者,同样要进行彻底的信息安全教育。教育是对全体员工的意识及风气进行改革,提高员工的信息安全意识。
(二)提交保守机密誓约书
员工在进入公司、晋升以及退职时,必须提交誓约书。其目的在于:再次彻底贯彻保守机密的重要性。必要时能通过法律的手段来追究泄密员工的行为,维护公司的利益。
(三)保护好个人信息安全
个人信息是客户和员工托管的重要信息,需慎重的处理,如果因为盗窃、散失等导致个人信息泄露,将会造成重大不良后果,从而失去信信任度。怎么保护好个人信息安全呢?首先,要正确理解个人信息,在本公司工作的所有人的相关个人信息,不管其是否与本公司业务直接相关,只要在某一过程中,公司获取了个人信息,就必须像对待客户一样加以管理;其次,要管理好个人信息,确保安全,可以采取如下措施:客户个人信息保管在带锁的柜子里,并限定可打开的柜子的人数,记录日志,实行电子化、设定开启密码等,发送邮件时要仔细检查,确保地址准确无误,以免把个人信息错发给他人;最后,对于个人信息废弃处理时要确保彻底,对于纸质媒质,要用碎纸机作破碎处理,对于电子媒质,要把数据彻底清除干净。总之对于个人信息,从获取到废弃,在整个生命周期中,都有必要进行严格的处理。
(四)利用网络、以及电子化信息时的注意点
公司应对下列行为做出明确规范,作为公司管理规章的一部分。(1)不要擅自从公司直接连接到外部网络中去,也不要随意拨号上网。如果擅自进行连接,就有可能出现病毒侵入的情况,成为黑客的切入口;(2)将防止病毒软件更新为最新版,每天都有新的病毒种类出现。如果感染上的话,就会给公司的业务带来障碍,除了将公司的信息泄露出去之外,还会向公司外的人发送病毒,给别人增添麻烦;(3)INTERNET出入口设置硬件放火墙,安装硬件防火墙,只开放企业内部应用所需要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。防火墙软件应及时升级,同时经常扫描整个内部网络,以发现任何安全隐患并及时更改,做到有备无患;(4)由于在公司的电脑上保存有公司的信息,原则上禁止携带外出。在业务上,不得不携带外出时,应遵守规定的规则签订有关协议;(5)原则上,请不要将数据保存在电脑上,而是保存在服务器上;(6)不应该只是将数据删除在垃圾箱中,还有必要对其进行物理性的破坏,或者使用专用软件完全地加以删除,使之无法复原。
(五)日常行为中的信息安全注意点
不管你是有意识还是无意识的,信息也很可能会从你的日常的行为中泄露出去。因此要养成好的习惯,以免从日常生活中泄露公司信息。(1)在公司会客厅里与来访客人会面,在进入工作单位(职场)时,一定陪同行动。对于搬运业者,请不要让其进入工作单位,而在指定的场所接收所搬运的物品;(2)虽然回收再利用是很重要的,但是不应该使用机密文件及限定公开对象的文件的背面来书写;(3)在会议室里,有时上一次会议的记载内容还留在写字板上。特别是对写字板的背面,也要加以注意;(4)复印的原件一定要收回,打印完毕之后,应该立即去取;(5)在餐饮店及电车里说话时要加以注意。特别是在喝了酒之后,精神容易放松,声音也变得大起来了,像这种场所,是调查公司收集信息的场所。
(六)对公司管理者的期望
管理者应重视信息安全,以身作则,自觉遵守公司信息安全规章制度,负责公司信息安全的推进与实施。对从业人员彻底地进行教育,防止事故于未然。在接收到事故报告时,应立即进行适当的处理,并向公司上一级信息安全推进负责人报告。作为管理者要强化信息安全的应用管理,信息安全就是经营质量本身,“认识的不足”、“觉得麻烦的心态”是致命伤,都会给公司经营带来困难。信息安全管理者应对所有员工的信息安全意识、风气进行改革负责,以使公司信息安全达到国家、国际标准。
总之,一套完善、合理的信息安全策略对于企业信息安全管理必定是益处多多。通过为企业的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工不安全行为的引入风险。安全策略也为企业进一步制定控制规则、安全程序等奠定了必要的基础。信息安全策略还能够帮助信息管理部门在信息安全事件中减轻应承担的责任,提高信息安全保障,与企业的日常实践息息相关的。
参考文献:
1、林东岱.企业信息系统安全:威协与对策[M].电子工业出版社,2004.
2、范红.信息安全风险评估方法[M].清华大学出版社,2006.
3、安源.企业信息安全的新问题及对策[J].天然气与石油,2006(10).
4、潘爱武.浅议企业网络信息安全威胁与防范[J].科教文汇,2006(8).
*上海市重点学科建设项目,T0502
(作者单位:上海理工大学管理学院,其中作者叶春明为副院长、教授、博导)
转载注明来源:https://www.xzbu.com/2/view-431418.htm