企業信息安全評估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的企業信息安全評估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：企業信息安全評估范文

【關鍵詞】云計算 電力企業 信息安全 風險評估

為提升電力企業的信息化建設和管理水平，引入云計算技術是大勢所趨。云計算以其在虛擬化、負載均衡、并行計算等方面的獨特優勢，自2006年提出伊始便廣受關注。但基于云計算的信息安全事件屢有發生。因此必須對云計算環境下的電力企業信息安全作準確評估并提出針解決措施。

1 云計算概述

云計算就是基于Internet的計算方式，其核心思想是依托互聯網將大量計算機組成可控資源池，然后用該資源池響應任何計算任務。其框架見圖1所示。

顯然，云計算具有可擴展性強、服務能力彈性大等優勢，但也存在基于互聯網的信息安全風險，主要包括虛擬化環境安全風險、數據訪問權限風險、數據存儲與傳輸安全風險等方面。

就電力企業來說，云計算需完成的任務包括電力營銷、用戶個人信息管理、電力數據仿真、用戶信息及智能儀表數據處理等層面，涵蓋IaaS、PaaS和SaaS三個云服務層次。

2 電力云使用中的信息安全風險表現

根據云計算服務性質的差異，可以將云計算分為公有云、私有云和混合云。當前電力企業的云計算既涉及公有云、又包含私有云，但主要是私有云。電力私有云指電力企業為提升系統內整個IT架構而單獨構建的云計算。與公有云相比，服務質量與安全性得到明顯改善，但仍存在以下安全風險：

2.1 訪問權限風險

即由于所有的業務系統都部署在“云”中，若無合理的身份認證方式，任何人都能接觸重要數據，可能帶來泄密風險。

2.2 邊界風險

由于云計算基于虛擬化架構，安全邊界比較模糊，傳統的安全域劃分機制難以保障云計算安全需求。

2.3 數據恢復風險

在系統范圍內，所有數據和程序都部署在云計算中心，必須要有應對災難的數據恢復措施。

2.4 資源共享風險

在電力云計算各種資源與服務被眾多用戶和終端安全共享的過程中，涉及數據和應用的隔離考慮等。

3 云計算環境下的電力信息安全評估方法

3.1 信息安全風險評估理論

信息安全風險評估是指根據有關安全標準對信息系統運作各過程中信息的機密性、完整性和可用性等安全屬性進行評價。其目的是達成風險可控。信息安全風險評估的4個階段：

（1）評估準備階段。包括明確目標、確定范圍、初步調研等；

（2）要素識別階段。即對資產的威脅和脆弱性進行辨識；

（3）風險分析階段。主要確定風險等級；

（4）匯報驗收階段。

3.2 基于云計算環境的電力企業信息安全評估

根據以上關于信息安全評估理論，結合電力云計算的互聯網特性，勾畫出如圖2所示的云計算環境下電力信息安全評估流程。

（1）若被評估對象沒有使用云計算服務，那么其評估方法沿襲傳統的信息安全風險評估方法，詳見文獻。

（2）若被評估對象采用了云計算，則應依據Gartner提出的云計算安全風險分析方法，從四個角度進行測評。

① 資產識別。包括資產分類和資產賦值。資產分類是對所有納入云計算的資產進行列表；資產賦值是分別對資產的機密性、完整性和可用性3個安全屬性進行打分，分值可取5/4/3/2/1（分值越高表示越重要），然后取3個屬性中最高值作為該資產賦值，記作Asi。

② 威脅識別。包括威脅分類和威脅賦值。對于威脅i，用ProbT{i}表示其“爆發”可能性。

③ 脆弱性識別。首先根據云計算平臺的可審查性、數據位置、數據隔離措施、數據恢復措施及長期生存性等特性識別可能引發安全事件的脆弱性；其次對特定脆弱性，用0-1變量表示存在與否，記為PV{i}。

④ 風險評估與分析。即通過對威脅和脆弱性之間關聯性的解析，得到安全問題發生可能性L（ProbT，PV），并計算損失量（因損失與資產價值和安全事件可能性正相關，因此可用函數F（As，L（ProbT，PV表示），最后估測風險值R（L，F）。：

4 應對措施

在完成對電力企業信息安全評估后，就應制定針對性措施。一般來說，有以下幾項可供參考：

（1）建立私有云“4A”統一安全管理平臺，強化身份管理、安全認證、訪問權限控制及審計機制，達成訪問可溯源。

（2）建立安全事件應急響應機制及處理流程，完善安全審計機制。

（3）采用全同態數據加密技術，保障數據的傳輸安全。

5 結束語

通過介紹云計算架構、電力云組建方式，明確云計算環境下電力企業信息安全所面臨的新挑戰。以信息安全風險評估的相關理論為鋪墊，結合電力企業信息管理的實際，提出了基于云計算的電力信息安全評估方法。該方法具有一定前瞻性。

參考文獻

[1]張偉.電力企業云計算信息安全風險評估探討[J].廣東科技，2013，133（20）：48-50.

[2]魏亮.云計算安全風險及對策研究[J].郵電設計技術，2011，18（01）：26-28.

[3]佟得天，劉旭東.云計算信息安全與實踐[J].電信科學，2013，19（02）：136-139.

作者簡介

湯杰（1985-），男，湖南省常寧市人。畢業于中國石油大學（華東）計算機科學與技術專業，獲得大學本科學歷。現為神華國華九江發電有限責任公司助理工程師，主要從事公司網絡及信息化建設、運維工作。

第2篇：企業信息安全評估范文

隨著信息化進程的發展，信息技術與網絡技術的高度融合，現代企業對信息系統的依賴性與信息系統本身的動態性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯，如何有效防護信息安全成為了企業亟待解決的問題之一。目前國內企業在信息安全方面仍側重于技術防護和基于傳統模式下的靜態被動管理，尚未形成與動態持續的信息安全問題相適應的信息安全防護模式，企業信息安全管理效益低下；另一方面，資源約束性使企業更加關注信息安全防護的投入產出效應，最大程度上預防信息安全風險的同時節省企業安全建設、維護成本，需要從管理角度上更深入地整合和分配資源。

本文針對現階段企業信息安全出現的問題，結合項目管理領域的一般過程模型，從時間、任務、邏輯方面界定了系統的霍爾三維結構，構建了標準化的ISM結構模型及動態運行框架，為信息網絡、信息系統、信息設備以及網絡用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護，并從企業、政府兩個層面提出了提高整體信息安全防護水平的相關建議。

1 企業信息安全立體防護體系概述

1.1 企業信息安全立體防護體系概念

信息安全立體防護體系是指為保障企業信息的有效性、保密性、完整性、可用性和可控性，提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業信息安全防護的一般步驟、具體階段及其任務范圍。

1.2 企業信息安全立體防護體系環境分析

系統運行離不開環境。信息產業其爆炸式發展的特性使企業信息安全的防護環境也相對復雜多變，同時，多樣性的防護需求要求有相適應的環境與之配套。

企業信息安全立體防護體系的運行環境主要包括三個方面，即社會文化環境、政府政策環境、行業技術環境。社會文化環境主要指在企業信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環境是指國家和政府針對于企業信息安全防護出臺的一系列政策和措施。行業技術環境是指信息行業為支持信息安全防護所開發的一系列技術與相匹配的管理體制。

1.3 企業信息安全立體防護體系霍爾三維結構

為平衡信息安全防護過程中的時間性、復雜性和主觀性，本文從時間、任務、邏輯層面建立了企業信息安全立體防護體系的三維空間結構，如圖1所示。

時間維是指信息安全系統從開始設計到最終實施按時間排序的全過程，由分析建立、實施運行、監視評審、保持改進四個基本時間階段組成，并按PDCA過程循環[5]。邏輯維是指時間維的每一個階段內所應該遵循的思維程序，包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務維是指在企業信息安全防護的具體內容，如網絡安全、系統安全、數據安全、應用安全等。該霍爾三維結構中任一階段和步驟又可進一步展開，形成分層次的樹狀體系。

2 企業信息安全立體防護體系解釋結構模型

2.1 ISM模型簡介

ISM（Interpretation Structural Model）技術，是美國J·N·沃菲爾德教授于1973年為研究復雜社會經濟系統問題而開發的結構模型化技術。該方法通過提取問題的構成要素，并利用矩陣等工具進行邏輯運算，明確其間的相互關系和層次結構，使復雜系統轉化成多級遞階形式。

2.2 企業信息安全立體防護體系要素分析

本文根據企業信息安全的基本內容，將立體防護體系劃分為如下15個構成要素：

（1） 網絡安全：網絡平臺實現和訪問模式的安全；

（2） 系統安全：操作系統自身的安全；

（3） 數據安全：數據在存儲和應用過程中不被非授權用戶有意破壞或無意破壞；

（4） 應用安全：應用接入、應用系統、應用程序的控制安全；

（5） 物理安全：物理設備不受物理損壞或損壞時能及時修復或替換；

（6） 用戶安全：用戶被正確授權，不存在越權訪問或多業務系統的授權矛盾；

（7） 終端安全：防病毒、補丁升級、桌面終端管理系統、終端邊界等的安全；

（8） 信息安全風險管理：涉及安全風險的評估、安全代價的評估等；

（9） 信息安全策略管理：包括安全措施的制定、實施、評估、改進；

（10） 信息安全日常管理：巡視、巡檢、監控、日志管理等；

（11） 標準規范體系：安全技術、安全產品、安全措施、安全操作等規范化條例；

（12） 管理制度體系：包括配套規章制度，如培訓制度、上崗制度；

（13） 評價考核體系：指評價指標、安全測評；

（14） 組織保障：包括安全管理員、安全組織機構的配備；

（15） 資金保障：指建設、運維費用的投入。

2.3 ISM模型計算

根據專家對企業信息安全立體防護體系中15個構成要素邏輯關系的分析，可得要素關系如表1所示。

對可達矩陣進行區域劃分和級位劃分，確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R（Si），前因集A（Si）以及可達集R（Si）與前因集A（Si）的交集R（Si）∩A（Si），得到第一級的可達集與前因集（見表2）。

2.4 企業信息安全立體防護結構

結合信息安全防護的特點，企業信息安全立體防護體系15個要素相互聯系、相互作用，有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素，雙向箭頭表示同級影響。

從圖2可以看出，企業信息安全防護體系內容為四級遞階結構。從下往上，第一層因素從制度層面闡述了企業信息安全防護，該層的五個因素處于ISM結構的最基層且相互獨立，構成了企業信息安全立體防護的基礎。第二層因素在基于保障的前提下，確定了企業為確保信息安全進行管理活動，是進行立體防護的方法和手段；第三層因素是從物理條件、傳輸過程方面揭示了企業進行信息安全防護可控點，其中物理安全是控制基礎。第四層要素是企業信息安全的直接需求，作為信息的直接表現形式，數據是企業信息安全立體防護的核心。企業信息安全防護體系的四級遞階結構充分體現了企業信息安全防護體系的整體性、層級性、交互性。

圖2 企業信息安全防護解釋結構模型

2.5 企業信息安全立體防護過程

企業信息安全立體防護是一個多層次的動態過程，它隨著環境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業信息安全防護結構進行擴展，構建了整體運行框架（見圖3）。

從圖3 中可以看出，企業信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行，充分體現出時間維度上的動態性。具體步驟如下：

（1） 綜合分析現行的行業標準規范體系，企業內部管理流程、人員組織結構和企業資金實力，建立企業信息安全防護目標，并根據需要將安全防護內容進行等級劃分。

（2） 對防護內容進行日常監測（包括統計分析其他公司近期發生的安全事故），形成預警，進而對公司信息系統進行入侵監測，判斷其是否潛在威脅。

（3） 若存在威脅，則進一步確定威脅來源，并對危險性進行評估，判斷其是否能通過現有措施解決。

（4） 平衡控制成本和實效性，采取防范措施，并分析其效用，最終形成內部信息防護手冊。

3 分析及對策

3.1 企業層面

（1） 加強系統整體性。企業信息安全防護體系的15個構成要素隸屬于一個共同區域，在同一系統大環境下運作。資源受限情況下要最大程度地保障企業信息安全，就必須遵循一切從整體目標出發的原則，加強信息安全防護的整體布局，在對原有產品升級和重新部署時，應統一規劃，統籌安排，追求整體效能和投入產出效應。

（2） 明確系統層級性。企業信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業信息安全防護涉及技術層面防護、策略層面防護、制度層面防護，三個層面互相依存、互相作用，其中制度和保障是基礎，策略是支撐，技術是手段。要有效維護企業信息安全，企業就必須正確處理好體系間的縱向關系，在尋求技術支撐的同時，更要立足于管理，加強工作間的協調，避免重復投入、重復建設。

（3） 降低系統交互性。在企業信息安全防護體系同級之間，相關要素呈現出了強連接關系，這種交互式的影響，使得系統運行更加復雜。因此需要加快企業內部規章制度和技術規范的建設，界定好每個工作環節的邊界，準確定位風險源，并確保信息安全策略得到恰當的理解和有效執行，防止在循環狀態下風險的交叉影響使防范難度加大。

（4） 關注系統動態性。信息安全防護是一個動態循環的過程，它隨著信息技術發展而不斷發展。因此，企業在進行信息安全防護時，應在時間維度上對信息安全有一個質的認識，準確定位企業信息安全防護所處的工作階段，限定處理信息安全風險的時間界限，重視不同時間段上的延續性，并運用恰當的工具方法來對風險加以識別，辨別風險可能所帶來的危險及其危害程度，做出防范措施，實現企業信息安全的全過程動態管理。

3.2 政府層面

企業信息安全防護不是一個孤立的系統，它受制于環境的變化。良好的社會文化環境有助于整體安全防護能力主動性的提高，有力的政策是推動企業信息安全防護發展的前提和條件，高效的行業技術反應機制是信息安全防護的推動力。因此在注重企業層面的管理之外，還必須借助于政府建立一個積極的環境。

（1） 加強信息安全防護方面的文化建設。一方面，政府應大力宣傳信息安全的重要性及相關政策，提高全民信息安全素質，從道德層面上防止信息安全事故的發生；另一方面，政府應督促企業加強信息安全思想教育、職能教育、技能教育、法制教育，從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

（2） 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規、行業標準，建立多元監管模式和長效監管機制，保證各項法律、法規和標準得到公平、公正、有效的實施，為企業信息安全創造有力的支持。

（3） 加大信息安全產業投入。政府應高度重視技術人才的培養，加快信息安全產品核心技術的自主研發和生產，支持信息安全服務行業的發展。

4 結 語

本文從企業信息安全防護的實際需求出發，構建企業信息安全防護基本模型，為企業信息安全防護工作的落實提供有效指導，節省企業在信息安全防護體系建設上的投入。同時針對現階段企業信息安全防護存在的問題從企業層面和政府層面提出相關建議。

參考文獻

[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京：人民郵電出版社，2003.

[2] 汪應洛.系統工程[M].3版.北京：高等教育出版社，2003.

[3] 齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件，2009，26（10）：282?285.

[4] 肖餛.淺議網絡環境下的企業信息安全管理[J].標準科學，2010（8）：20?23.

第3篇：企業信息安全評估范文

科技是一把雙刃劍，科技發展帶來的不全是益處，也會有各種各樣的麻煩。大數據技術在提升對數據洞察力的同時，也同樣提升了破壞信息安全的能力。

首先，數據價值提升推高了數據保有成本。隨著信息化程度的不斷提升，數據價值也在大幅提升，企業的經營行為被越來越多地數字化，財務信息、人事信息、知識產權等這些企業最重要的信息都在被匯聚成為企業信息大數據，若這些數據被泄漏，再基于此類數據開展大數據分析，企業信息將毫無秘密可言。因此，數據價值的提升必然要推高信息安全方面的投入，來確保企業信息的安全。

其次，黑客破壞信息安全的能力在增強。數據的大量匯集，使得黑客成功攻擊的收益在增加，“激勵”了黑客的網絡攻擊行為。大數據技術本身也在成為黑客攻擊的有力武器，黑客通過大數據分析，可以得到更多的有用信息，制定更加有效的攻擊策略，改進傳統攻擊手段，提高了信息安全防護成本。尤其是進入“云時代”后，數據在云端，云安全就更加重要，而遺憾的是，近幾年，一些大型云平臺數據泄漏事件更加劇了人們對于信息安全的擔心。

最后，信息安全意識尚需提高。外在信息安全并不是企業面臨的唯一危險，企業內部安全意識不強同樣威脅巨大。員工由于安全意識單薄，或者企業內部信息安全體系不夠完善導致信息泄漏的情況也在不斷增加。據一項有關企業信息安全的調查結果發現，有近四成的受訪者認為造成企業信息安全風險加劇的很大部分原因在于缺乏信息安全保護意識。盡管外部攻擊和內部數據泄露的安全事故數量在增加，但多數企業并未給予足夠重視。

因此，大數據時代信息價值在增加，企業信息安全的形勢在惡化，而由此帶來的損失將成倍放大。

對于我國企業信息安全體系建設而言，需要做到以下幾點。做好安全評估，企業在構建信息安全體系之初，要先對企業自身信息安全體系進行梳理，摸清企業信息安全的薄弱環節，做好安全風險的評估，通過評估制定出合理完善的整體防護安全策略。建立標準體系，我國一直重視信息安全體系的標準工作，也推出了一系列相關政策和標準，企業可以參照相關標準，建立完整的信息安全管理制度，使企業有章可依。同時，在日常工作中要明確各風險點的負責人，責任劃分明確。

第4篇：企業信息安全評估范文

當今是一個網絡時代，也是一個科技化快速高速發展的時代。特別是對于電子科技企業來說，信息就成為了一個企業成敗的關鍵。只有通過有效信息的掌握，才能讓企業未來的道路越走越好。隨著這樣的趨勢，企業信息化的進程也在不斷的發展，信息不僅是在一定程度上掌握了企業未來的命運，同時對于企業管理水平的提高也起到了非常重要的作用。有一些企業的商務活動基本上都是通過電子商務的形式來完成的，還有一些生產運作、運輸以及管理都離不開信息化的建設。還有一些電子科技企業為了企業未來的發展，要進行企業形象的宣傳，產品以及服務信息很大程度上都要依賴于信息化的建設。如今，信息化的時代已經到來，信息化的建設對于電子科技企業來說具有至關重要的作用，因此電子科技企業應該加快信息化建設的步伐，這樣才能促進電子科技企業進一步的發展。

2電子科技企業安全技術的闡述

2.1電子信息的加密技術

所謂電子信息的加密技術也就是對于所傳送的電子信息能夠起到一定的保密作用，也能夠使信息、數據的傳遞變得更加安全和完整。電子信息的加密技術是保障電子科技企業信息安全的重要保證。加密技術也主要分為對稱以及非對稱兩類，對稱的加密技術一般都是通過序列密碼或是分組機密的方式來實現的。這其中還包括了明文、密鑰、加密算法以及解密算法五個基本的組成部分。而非對稱加密與對稱加密也存在一定的差異，非對稱加密必須要具備公開密鑰和私有密鑰兩個密鑰，同時，這兩種密鑰只有配對使用，這樣才能解密。因此加密技術對于電子信息的安全具有很大的保障。如果在發送電子信息的時候，發送人是使用加密技術來發送郵件的，那么有人竊取信息的時候，也只能夠得到密文，不能得到具體的信息。這樣就大大加強了信息傳送的安全性。加快推進國內關鍵行業領域信息系統的安全評估測試。在安全評估方面，主要針對主機安全保密檢查與信息監管，采取文件內容檢索、惡意代碼檢查、數據恢復技術、網絡漏洞掃描、互聯網網站檢測、語意分析等技術，評估分析重要信息是否發生泄漏，并找出泄漏的原因和渠道。

2.2防火墻技術

隨著網絡技術的不斷發展，雖然對于信息安全問題已經不斷的得到加強，但是一些信息的不安全因素也在逐級的提高。有一些黑客或者是病毒木馬也在不斷的入侵，而這些不安全的因素會極大的威脅到電子科技企業信息的安全。而針對這種情況，一種比較有效的防護措施就是防火墻技術的使用。這種技術可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發生。這樣就能夠有效的保障電子科技企業信息的安全。加強企業信息基礎設施和重要信息系統建設，建設面向企業的信息安全專業服務平臺。重點開展等級保護設計咨詢、風險評估、安全咨詢、安全測評、快速預警響應、第三方資源共享的容災備份、標準驗證等服務；建設企業信息安全數據庫，為廣大企業提供快速、高效的信息安全咨詢、預警、應急處理等服務，實現企業信息安全公共資源的共享共用，提高信息安全保障能力。

3解決電子科技企業信息安全問題的方法

3.1構建電子科技企業信息安全的管理體系

如果要想有效的保障電子科技企業的信息安全，除了要不斷的提高安全技術水平，還要建立起一套比較完善的信息安全管理體系。這樣才能使整個信息安全工作更加有條不紊的進行。在很多電子科技企業當中，最初所建立的相關信息制度在很大程度上都制約著信息系統的安全性。如果一旦安全管理制度出現了問題，那么一系列的安全技術都無法發揮出來。很多信息安全工作也無法正常進行下去。因此，嚴格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當信息安全管理形成了一個完善的體系，那么信息安全工作才能夠更加順利的進行，同時也能夠大大的提升信息安全的系數。

3.2利用電子科技企業自身的網絡條件來提供

信息安全服務一般來說，電子科技企業都擁有自己的局域網，很多企業也可以通過局域網來相互連通。因此，電子科技企業應該充分的利用這一特點為自身的企業提供良好地信息安全服務。通過局域網的連通，不僅能夠在這個平臺上及時的公布一些安全公告以及安全法規，同時還可以進行一些安全軟件的下載，為員工提供一些關于信息安全的培訓。這樣不僅能夠為企業之間的員工提供一個安全的互相交流的平臺，同時還能夠很好的保障企業信息安全。針對企業主機安全保密檢查與信息監管，采取文件內容檢索、惡意代碼檢查、數據恢復技術、網絡漏洞掃描、互聯網網站檢測、語意分析等技術，評估分析重要信息是否發生泄漏，并找出泄漏的原因和渠道。

3.3定期對信息安全防護軟件進行及時的更新

第5篇：企業信息安全評估范文

關鍵詞：企業信息安全；信息安全體系；IT技術

中圖分類號：F840文獻標識碼：A文章編號：1009-2374（2009）05-0072-02

當前IT已成為企業業務發展和管理不可或缺的組成部分，其作用和影響力已從單一的業務部門擴散到企業與組織的每一個領域。在IT系統給企業帶來活力、利潤和競爭力的同時，也給企業增加了風險。因此如何充分利用IT系統獲得企業價值的最大化，并且最大限度地降低利用IT技術而帶來的風險，成為每個企業都必須要真接面對的問題。本文從企業信息安全的需求為出發點，構建以管理、技術和人員三者有機結合的立體的企業信息安全管理體系，最終實現企業安全建設的最終目標。

一、信息安全管理體系

從企業的內部分析，搭建一套完整的安全架構首先要做的就是根據企業能夠承受的風險水平編寫企業安全規范。編寫企業的安全規范首先要遵循BS 7799-2信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系；體系一旦建立組織應按體系規定的要求進行運作，保持體系運作的有效性；信息安全管理體系應形成一定的文件，即組織應建立并保持一個文件化的信息安全管理體系，其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。

BS 7799-2：2002所采用的過程模式如：“計劃－實施－檢查－措施”四個步驟，可簡單描述如下：

計劃：依照組織整個方針和目標，建立與控制風險、提高信息安全有關的安全方針、目標、指標、過程和程序。

實施：實施和運作方針（過程和程序）。

檢查：依據方針、目標和實際經驗測量，評估過程業績，并向決策者報告結果。

措施：采取糾正和預防措施進一步提高過程業績。

以上四個步驟成為一個閉環，通過這個環的不斷運轉，使信息安全管理體系得到持續改進，使信息安全績效（Performance）螺旋上升。

二、企業信息安全體系架構

根據BS 7799-2信息安全管理體系的標準，不同的企業對信息的安全需求不同，因此每個企業都要制定切實可行的信息安全架構，不是照搬照抄其他企業的模式，或是把各種安全產品進行堆砌，說到底企業的信息安全問題不只是技術上的問題，它是一個極其復雜的系統工程。要實施一個完整信息安全管理體系，至少應包括三類措施：一是社會的法律政策、企業的規章制度以及信息安全教育等外部軟環境；二是信息安全的技術措施，如防火墻技術、網絡防毒、信息加密存儲通信、身份認證、授權等；三是審計和管理措施，該方面措施同時包含了技術與社會措施。這些措施應該均衡考慮企業在保密性（C）、完整性（I）和可用性（A）三方面的安全需求，并且從應用安全、數據安全、主機安全、網絡安全、桌面安全和物理安全等六大安全領域全面系統地實現企業的這些安全需求，從而構建安全技術、管理和人員三個方面有機結合的企業信息安全保障體系如圖1所示：

該模型是一種從企業信息安全的需求（保密性、完整性、可用性）為出發點，以應用安全、數據安全、主機安全、網絡安全、桌面安全、物理安全為關注重點，層層剖析全面深入地挖掘企業的信息安全需求，構建以管理、技術和人員三者有機結合的立體的企業信息安全保障體系。

這種企業信息安全管理架構的規劃融合了管理和技術為核心的全面分析方法，以安全需求為焦點，從管理現狀、技術現狀和人員狀況三個維度，綜合采用調查問卷、人員訪談、現場察看、資料分析、技術檢測等多種手段，全面深入地挖掘需求。在明確需求的前提下，還要借鑒同類企業成功經驗，再規劃出符合企業實情的信息安全保障體系。

當然該安全體系架構的具體實施還要綜合考慮如下問題：成長型企業一方面要節約成本，一方面要把安全風險降到最低。從這兩個出發點出發才能夠建立適合成長型企業的信息安全體系；計劃階段要評估自己的信息資產，自己的信息資產的價值有多大，現有的安全手段是什么，根據評估結果確立安全戰略；開始建立和實施自己的信息安全體系，擬定自己的戰略流程；對員工和合作伙伴的培訓，建立信息監測和安全的手段。

三、實施信息安全架構的常規操作

在保證物理安全、桌面安全、網絡安全、主機安全的基礎上，信息安全架構的常規操作包括數據層保護、應用程序層保護、事件應對檢查和安全操作。

數據層保護包括用EFS對文件進行加密；用訪問控制列表限制數據；從默認位置移動文件；創建數據備份和恢復；用Windows Rights Management Services保護文檔和電子文件等等。

應用程序層保護包括只啟動必需的服務和功能；配置應用程序安全設置；安裝應用程序的安全更新程序；安裝和更新防病毒軟件；以最低權限運行應用程序等等。

事件應對檢查包括確定正在遭受攻擊；確定攻擊類型；發出有關攻擊通知；遏制攻擊；采取預防性措施；將攻擊情況記錄存檔等等。

安全最佳做法包括深層防御；設計時考慮安全；最低權限；從過去的錯誤中學習；維持安全級別；加強用戶的安全意識；開發和測試事件應對計劃和過程等等。

四、結論

綜上所述，企業要做到以信息為中心的安全，必須做到管理層面、組織層面和操作層面的有機結合，這樣才能建立有效的安全體系，從而實現企業安全建設的最終目標。

參考文獻

[1]梁永生．電子商務安全技術[M]．大連理工大學出版社，2008，（4）．

[2]Mark Rhodes-Ousley，等．網絡安全完全手冊[M]．北京：電子工業出版社，2005，（10）．

[3]卿斯漢．密碼學與計算機網絡安全[M]．北京：清華大學出版社，2001．

第6篇：企業信息安全評估范文

    解決信息系統安全要有以下幾點認識:要解決信息系統要有統籌全局的觀念。解決信息系統的安全問題要樹立系統觀念,不能光靠一個面。從系統的角度分析信息系統是由用戶和計算機系統兩者組成,這包括人和技術兩點因素。使用和維護計算機安全信息系統可以根據信息系統具有動態性和變化性等特點進行調整。信息系統是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞。企業信息系統安全可以采取的策略是采用一套先進、科學及適用的安全技術系統,在對系統進行監控和防護,及時適當的分析信息系統的安全因素,使這套系統具有靈敏性和迅速性等響應機制,配合智能型動態調整功能體系。需要緊記的是系統安全來自于風險評估、安全策略、自我防御、實時監測、恢復數據、動態調整七個方面。其中,通過風險評估可以找出影響信息系統安全存在的技術和管理等因素產生的問題。在經過分析對即將產生問題的信息系統進行報告。

    安全策略體現著系統安全的總體規劃指導具體措施的進行。是保障整個安全體系運行的核心。防御體系根據系統中出現的問題采用相關的技術防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監測系統實時檢測運行各種情況。在安全防護機制下及時發現并且制止各種對系統攻擊的可能性,假設安全防護機制失效必須進行應急處理,立刻實現數據恢復。盡量縮小計算機系統被攻擊破壞的程度。可以采取自主備份,數據恢復,確保恢復,快速恢復等手段。并且分析和審理安全數據,適時跟蹤,排查系統有可能出現的違歸行為,檢查企業信息系統的安全保障體系是否超出違反規定。

    通過改善系統性能引入一套先進的動態調整智能反饋機制,可以促進系統自動產生安全保護,取得良好的安全防護效果。可以對一臺安全體系模型進行分析,在管理方面,對安全策略和風險評估進行測評,在技術層面,實時監測和數據恢復形成一套防御體系。在制度方面,結合安全跟蹤進行系統排查工作。系統還應具備一套完整的完整的動態自主調整的反饋機制,促進該體系模型更好的與系統動態性能結合。

    信息安全管理在風險評估和安全策略中均有體現,將這些管理因素應用與安全保障體系保護信息安全系統十分重要。企業必須設立專門的信息系統安全管理部門,保障企業信息系統的安全。由企業主要領導帶頭,組織信息安全領導小組,專門負責企業的信息安全實行總體規劃及管理。在設立信息主管部門實施具體的管理步驟。企業應該制訂關于保證信息系統安全管理的標準。標準中應該明確規定信息系統中各類用戶的職責和權限、必須嚴格遵守操作系統過程中的規范、信息安全事件的報告和處理流程、對保密信息進行嚴格存儲、系統的帳號及密碼管理、數據庫中信息管理、中心機房設備維護、檢查與評估信息安全工作等等信息安全的相關標準。而且在實際運用過程中不斷地總結及完善信息系統安全管理的標準。

    相關部門應該積極開展信息風險評估工作。通過維護信息網的網絡基礎設施有拓撲、網絡設備和安全設備,對系統安全定期的進行評估工作,主動發現系統存在的安全問題。主要針對企業支撐的信息網和應用IT系統資產進行全方位檢查,對管理存在的弱點進行技術識別。對于企業的信息安全現狀進行全面的評估,可以制作一張風險視圖表現企業全面存在的問題。為安全建設提供指導方向和參考價值。為企業信息安全建設打下堅實的基礎。

    最后,加強信息系統的運行管理。可以通過以下措施進行:規范系統電子臺帳、設備的軟件及硬件配置管理、建立完善的設備以及相關的技術文檔。系統日常各項工作進行閉環管理,系統安裝、設備運營管理等。還要對用戶工作進行規范管理,分配足夠的資源和應用權限。防御體系、實時檢測和數據恢復三方面都體現了技術因素,信息安全管理系統技術應用于安全保障體系中。在建設和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮。采用分步實施,逐步實現的手法。在信息安全方面采取必要的技術手段,加強系統采取冗余的配置,提高系統的安全性。

    對中心數據庫系統、核心交換機、數據中心的存儲系統、關鍵應用系統服務器等。為了避免重要系統的單點故障可以采取雙機甚至群集的配置。另外,加強對網絡系統的管理。企業信息系統安全的核心內容之一是網絡系統。同樣也是影響系統安全因素最多的環節。網絡系統的不安全給系統安全帶來風險。接下來重點談網絡安全方面需要采取的技術手段。網絡安全的最基礎工作,是加強網絡的接入管理。

    與公用網絡系統存在區別的是,企業在網絡系統中有專門的網絡,系統只準許規定的用戶接入,因此必須實現管理接入。在實際操作過程中,可以采取邊緣認證的方式。筆者在實際工作經驗總結出公司的網絡系統是通過對網絡系統進行改造實現支持802.1X或MAC地址兩種安全認證的方式。不斷實現企業內網絡系統的安全接入管理。網絡端口接入網絡系統時所有的工作站設備必須經過安全認證,從而保證只有登記的、授權記錄在冊的設備才能介入企業的網絡系統,從而保證系統安全。根據物理分布可以利用VLAN技術及使用情況劃分系統子網。這樣的劃分有以下益處:首先,隔離了網絡廣播流量,整個系統避免被人為或者系統故障引起的網絡風暴。其次是提高系統的管理性。通過劃分子網可以實現對不同子網采取不同安全策略,可以將故障縮小到最低范圍。根據一些應用的需要實現某些應用系統中的相對隔離。

第7篇：企業信息安全評估范文

關鍵詞：企業管理　企業信息管理　安全措施

全球經濟一體化趨勢的不斷增強，使得企業之間的競爭日益激烈，企業之間的空間也越來越小，在這種競爭形勢下，企業的經營方式和管理方式也隨之發生了變化。同時，我們也應當意識到，這種個變革促進了企業的信息化管理的進程，同時也使得企業與外部信息網絡的溝通方式得到了拓寬，企業內部的人與人、人與物的溝通方式也得到了優化，與此同時，企業信息管理的安全問題也逐漸受到了越來越多的重視。

一、企業信息管理

企業信息管理指的就是通過現代化的信息技術和設備，以網絡技術和網絡設備實現企業管理的自動化，進而對企業進行全方位和多角度的管理，以此來促進企業物流和能源流的優化配置，進而通過企業資源的開發和信息技術的有效利用來提高企業的管理水平，增強企業的核心競爭力。企業信息管理的主要內容，一般包括企業未來的經濟形勢分析、預測資料、資源的可獲量、市場和競爭對手的發展動向，以及政府政策與政治情況的環境變化等等。企業信息管理與制訂企業發展戰略、制訂規劃、合理地分配資源是密切相關的。同時，企業的信息管理也應當包括企業內部的信息資源，如財務管理信息、庫存、產品設計、職工檔案管理等多方面的內容，并且促進企業的全面發展。

二、企業信息安全管理的必要性

企業信息的存在方式有著多樣性，而進行企業安全信息管理的主要目的，在于保護企業的信息安全，保證企業能夠順利的參與到市場經濟活動中，進而提高企業的經濟效益和社會效益。企業信息安全管理主要有三個特點：

1.保密性

企業安全信息只有被授權的人才能夠進行訪問，具有較強的保密性。

2.完整性

信息本身和信息處理方法具有一定的準確性和完整性，才能夠確保企業信息管理的有效性。

3.可用性

企業安全信息具有一定的可用性，需要時可以通過授權用戶實現對信息的訪問。企業的安全信息管理能夠通過有效的控制措施來實現，前提是充分認識到企業信息安全管理的必要性。第一，企業管理的信息具有很強的保密性和完整性的特點，因此其對于企業的資金流動、企業的綜合競爭力等多方面都有著重要的影響，同時對于企業的商業形象與合法經營也至關重要，因此加強企業信息安全管理是必要的。第二，由于網絡自身所具有的開放性特性，決定了企業信息管理也面臨著來自各方面的安全威脅，比如計算機病毒、黑客等，以及計算機詐騙、泄密等問題，也說明了加強企業信息安全管理勢在必行。第三，企業對于信息系統產生的依賴也從另一方面暴露出了信息管理系統的脆弱，公共網絡與私人網絡的連接增強了信息的控制難度，使得信息在分散化的管理模式下，集中、專業控制的有效性大大的減弱。另外，由于很多信息管理系統設計的缺陷，其自身就存在著不合理之處，這對于信息安全管理也帶來了一定的難度。基于此，對于企業信息管理的安全性也成為了當前企業管理面臨的一個重大課題。

三、企業信息管理的安全防范措施

1.不斷完善的信息管理系統

信息管理系統的投入和使用，是建立在充分的實踐經驗的基礎上，通過一段時間的運行和觀察，才能夠投入使用。在不同的部門進行信息系統的引入時，應當按照部門的實際情況，通過多方引進，使用統一的信息管理系統。對于信息安全來說，首先要解決的就是系統是否能夠通過安全驗證對用戶進行有效的管理，并且賦予不同等級的用戶不同的使用權限，這樣則能夠有效的防止無權訪問信息的用戶對核心區域的訪問，保證信息不會被盜用。

2.有效的設備管理

對于管理系統中使用的設備品牌、機型、內部配置以及使用時間等信息都要進行專門的記錄，通過這些記錄，定期對設備進行維護，同時也能夠通過這些信息判斷出信息的使用效率以及運行情況，對于設備的損壞或者是丟失情況都能夠及時的了解。

3.加強對人員的監督與管理

人是設備的主要操作者，因此對于信息的安全管理，就需要加強對人的管理，這就需要操作人員具有足夠的安全意識，對于每一位操作人員都應當進行相關的培訓，對于唯一的用戶名和密碼等信息要進行妥善額保管，同時讓操作人員了解到泄密會導致的嚴重后果，增強責任意識。同時，要加強對各種票據的管理，對于票據的領用，相關人員要做好登記，同時要保留相吻合的票據號碼，用來存檔。通過不斷的加強過程管理，通過對每個細節的嚴密審查，能夠有效的減少渾水摸魚的現象，同時通過科學的評價機制和激勵機制，刺激人員工作的積極性，加強自身的責任意識。

4.多方研發和推廣網絡信息處理系統

網絡信息處理系統是在網絡計算技術的基礎上， 結合實現電子商務管理為方向。在可以提供互聯網環境下的管理方式、信息處理模式和別的各種功能的信息處理系統。網絡管理作為INTERNET與電子商務環境下信息處理系統的主流發展方向。跟傳統信息處理系統相比， 網絡系統還要有著各類輔助作用。

四、結束語

在現代市場經濟條件下，企業能夠對信息實施有效的安全管理，對于企業的綜合競爭力，有著重要的影響。而企業信息管理的安全性，主要與企業的信息安全管理體制是否完善、是否具有與企業文化相符合的信息安全管理辦法以及科學的評估方法等因素有著直接的關系，因此，企業應當不斷的加強對信息的安全管理，不斷提高企業的管理效率，以此促進企業實現持續、穩定的發展。

參考文獻

[1]黃國忠.企業信息安全風險自評估模型研究[D].浙江大學管理學院 浙江大學：管理科學與工程,2008.

[2]陳麗霞,楊超.基于Web的企業信息管理系統安全方案[J].電腦知識與技術,2008(25).

[3]翟俊.企業信息管理系統建設的現存問題與對策簡析[J].計算機光盤軟件與應用,2011(17).

第8篇：企業信息安全評估范文

(一)信息安全組織臨時化

通常,制造型企業只有在發生了信息泄露、病毒攻擊、系統破壞等信息安全事件時,才會臨時從信息技術部和業務部門抽調人手處理和解決信息安全事件.出現新的信息安全要求時,才會臨時組建項目小組,根據新的信息安全要求制定解決方案并實施計劃,項目完成后,臨時小組就會解散,沒有人會繼續跟進和執行解決方案.由于沒有定期的信息安全評估,安全計劃不斷地重復開始和結束,帶來大量的人財物重復投入,這將導致安全計劃成本不斷增加,企業的工作效率不斷降低,信息安全防護也未得到有效提升.

(二)員工上網無限制

雖然制造型企業為員工上網提供了用戶名及密碼,并且對其登錄的網站進行了監測,但是員工在工作時間還是可以無設防地利用外網進行網頁游覽、網絡社交等行為,并且使用一些網站的免費郵箱隨意地接收和發送電子郵件,這些給黑客、病毒、釣魚軟件等創造了對企業內部網絡攻擊的機會.于是,員工在不了解原因的情況下,使得企業的信息被泄露或者內部網絡癱瘓,從而影響企業的正常工作,造成企業資產的損失.

(三)個人移動設備(BYOD)使用泛濫

在制造型企業的辦公場合,員工會攜帶個人移動設備(BYOD)如筆記本電腦、平板電腦、智能手機、移動硬盤等進行辦公.企業員工可以較為隨意地使用這些移動存儲設備對內部文件進行拷貝,并且可以使用移動設備接入企業內網的無線WiGFi,并擁有一定程度的內網數據讀取權限,這樣做雖然節約了企業的辦公成本,提高了辦公的效率,但是也增加了企業內網病毒感染及遭受黑客惡意入侵的風險.

(四)信息安全防護水平有限

出于性能、技術等因素的考慮,加之國內自主研發的信息安全產品較少,目前進口的信息安全產品受到許多制造型企業的廣泛采用.盡管這些企業的信息安全需求以此得到了滿足,但近幾年來,進口產品設備故障的頻繁發生也對制造型企業的業務帶來了不同程度的影響.同時,進口信息安全產品已經占據了這些企業信息系統的關鍵節點,這使得企業的商業機密時刻處于高危狀態.不僅如此,部分制造型企業仍舊停留在使用免費的個人版殺毒軟件階段,而這些軟件不僅無法解決病毒交叉感染的問題,也沒有統一的管理平臺對企業內網的安全系統進行統一的升級與維護.另外,信息安全產品在企業內的無序堆疊不僅使得各安全產品存在兼容性問題,同時也使得各產品廠商只能提供與自己產品有關的技術支持,導致企業對問題很難進行跟蹤和排查.最后,企業電腦終端上的防毒程序未開啟或者未升級至最新版本,以及系統漏洞修補的不及時都造成了多病毒大面積入侵企業內網.

(五)信息安全事件處理不及時

制造型企業在發生信息安全事件時,即使有相關的信息安全管理產品,但無法迅速定位安全事件,更無法快速進行安全事件響應處理,常處于混亂、無序的運維管理狀態.由于企業的安全管理人員無法全面了解整個企業網絡中正在發生的內部越權訪問和外部攻擊,出現問題時,他們多表現得無從下手或者手忙腳亂.而且,企業各部門各自為政,對發生信息安全事件無法進行統一規范的快速處理.

二、制造型企業信息安全薄弱的原因

(一)員工信息安全意識淡薄

制造型企業員工信息安全意識比較淡薄,主要表現為企業管理層沒有充分認識到信息安全的重要性,沒有將信息安全管理工作與企業生產安全管理工作放在同等重要的高度來對待,更沒有把它作為日常管理工作的一部分.管理層之所以沒有信息安全意識主要是因為信息安全不會直接為企業帶來經濟效益,反而需要投入大量的時間和資源,尤其是對于受部門業績壓力和資源限制的業務部門來說,他們不愿意把時間和資源放在信息安全防護工作上,并且他們還認為不采取安全防護措施不一定會造成損失.普通員工則表現在他們不了解什么信息安全,不知道遵守和執行信息安全制度對自己及企業帶來的影響,缺少必要的信息安全教育與培訓,有意或無意地導致信息安全事件的發生.

(二)信息安全技術體系不完善

信息安全防護水平受到限制除了受上述因素影響外,還有就是沒有完善的物理安全、運行安全和數據安全相統一的信息安全技術體系,具體體現在企業使用的軟件設計存在缺陷或者技術漏洞、殺毒軟件不及時更新;信息系統設計沒有以風險評估為基礎、業務流程描述錯誤或漏洞、數據訪問權限設置不清晰、關鍵數據沒有備份等因素;物理安全邊界不明確、設備或存儲介質缺乏安全措施、電纜損壞、不可抗力的自然災害等.

(三)信息安全事件應急響應機制缺失

信息安全事件處理不及時很大程度上是因為沒有建立信息安全事件應急響應機制.制造型企業沒有對信息安全事件進行分級響應與處置,也沒有結合企業的實際情況通過預測、評估和分析安全事件對企業造成的后果程度進行等級劃分,并針對不同的安全事件制定相應的應急預案.同時,大部分制造型企業在處理信息安全事件時更多依靠的是人的經驗和責任心,缺少標準化的信息安全事件處理流程,以及必要的審核和工具支撐.

三、改進制造型企業信息安全的對策

通過上述分析可知,信息安全問題不僅出現在技術方面,還更多地出現在管理方面.因此,為了保障企業的業務持續運行,加強企業的股東、客戶以及服務提供商對企業信息安全的信任,增強企業的核心競爭能力,制造型企業可以將管理、技術和運維三方面有效地結合起來,促進企業的可持續發展.

(一)建立健全的信息安全組織層級結構

企業信息安全組織架構的建立是圍繞企業信息安全管理的戰略目標,對企業的信息資源、人力資源、安全技術產品等進行合理安排和配置,構成相互協作的有機整體,使企業的信息安全活動協調有效地運行.制造型企業通過建立多層次、跨部門的信息安全決策委員會、信息安全工作部、信息安全執行部的層級結構,不僅能在企業中形成一張網,覆蓋企業的各個部門,有利于信息安全措施的實施和針對信息安全事件的快速響應,而且還能為后續建立信息安全管理體系提供組織上的保證.信息安全決策委員會主要負責制定信息安全制度和策略、明確各部門信息安全職責、協調各部門實施信息安全控制措施以及信息安全活動的實施等.信息安全工作部由各部門負責信息安全管理的工作人員構成,實施決策委員會制定的信息安全策略、制度和方針,并負責各部門的信息安全管理工作.信息安全執行部具體有三個部門,即信息安全規劃部、信息安全監督審計部、信息安全運行保障部,并且由各部門進行業務支撐。

(二)加強人員教育培訓和規范管理

信息安全最大的威脅不是來自于企業外部的攻擊或是企業信息安全技術的缺陷,而是企業人員缺乏信息安全意識.為了能夠有效地提高企業員工的信息安全意識,企業需要對員工進行完善的信息安全教育培訓,這不僅能提高員工的信息安全保護技能,還能更好地保護企業的信息安全.制造型企業在制定信息安全教育培訓內容時,可以根據員工在企業中所處的職位高低和工作性質的不同有針對性地制定.對于企業管理者而言,教育培訓以信息安全核心知識、風險管理、信息安全政策等為主;企業的信息技術人員,則是以信息安全技術教育培訓為主;一般員工結合所在部門的業務特點以信息安全意識培訓為主.除了對企業的人員進行教育培訓,還需對其進行規范化管理.對掌握產品生產、原材料采購等核心信息的管理者實施更加嚴格的信息安全監督管理制度;對負責計算機系統及日常維護的人員界定其工作權限;規范化管理員工的上網行為,合理利用網絡資源,避免人為的網絡安全隱患.同時在規范管理中引入績效考核機制,這樣不僅使信息安全管理的指標量化,而且,通過信息安全監督審計工作組對員工信息安全工作進行考核,使員工更加重視企業信息安全.因此,加強企業員工的教育培訓和規范化管理,不僅可以營造企業信息安全文化氛圍,還可以約束員工的行為,減少人為因素導致的信息安全事件發生.

(三)完善信息安全技術體系

信息安全技術是企業信息安全的保障,完善的信息安全技術體系可以防止由于技術因素導致的信息安全漏洞,避免給外部攻擊者留下可乘之機,從而減少技術因素導致的信息安全事件發生.制造型企業需從以下六個方面去建立完善的信息安全技術體系,并采用“適度防御”的原則,選擇合適的安全技術與產品,形成企業適用的安全技術防線.一是保障并完善數據安全,制造型企業需通過加密的手段保護企業系統中數據的機密性和完整性,從而提高數據訪問的抗抵賴性,同時加強數據的異地災難恢復機制,實現本地數據的實時遠程復制與備份,避免本地系統遭受災難性破壞導致企業系統中數據的遺失.二是保障并完善終端安全,制造型企業除了要采用全面可靠的防病毒體系和防火墻技術外,還需制定嚴格的移動終端設備使用制度,一方面是為了避免內部員工利用移動終端設備隨意拷貝企業內部文件,導致企業內部信息向外泄露,另一方面是為了防止移動終端設備攜帶的病毒漏過企業系統設置的防火墻而直接在系統內部傳播.三是保障和完善應用安全,除了提供用戶名和口令外其他身份驗證機制,必要時還需支持雙因素認證和具備登錄控制模塊,同時在日常工作不受影響的情況下,控制員工訪問權限,減少越權操作的現象,最大限度地保障個人系統的安全.四是保障和完善網絡安全,制造型企業還需通過內外部署相應的網絡與信息安全設施使計算機設備的物理管理得到加強,并對入侵檢測系統和漏洞掃描系統進行內外部攻擊和誤操作的實時保護的安全設計,使系統免于網絡攻擊的同時,也提升了系統管理人員的安全管理水平.五是保障主機安全,除了采用系統掃描技術對操作系統層設備和系統進行智能化檢測來幫助網絡管理人員高效地完成定期檢測和操作系統安全漏洞修復的工作,還應采用系統實時入侵探測技術來監控主機系統事件,檢測攻擊的可疑特征,并給予響應和處理.六是保證物理安全,制造型企業需要保證機房與設施的安全,針對環境的物理災害、自然災害和人為的蓄意破壞采取安全措施,并通過防盜、防毀、防電磁干擾來保證設備的安全.

(四)建立信息安全事件應急響應機制

第9篇：企業信息安全評估范文

【關鍵詞】企業信息化；信息安全問題；原因；對策

新時期下，信息化技術在各行業中運用日漸深入，給企業現代化建設與快速發展帶來了無限動力。企業信息化建設已成為我國經濟信息化建設能否成功的關鍵所在，也是提升企業自身市場競爭力與企業升級進步的重要保證和標志[1]。但是，企業信息化建設過程中不可避免的出現信息安全問題，給企業正常生產經營帶來諸多不利影響。因此，加強企業信息化建設中信息安全管理，已成為現代企業經營管理的一個至關重要的工作。

1企業信息化概述

所謂的企業信息化，指的是實現企業的資金流、物流、作業流、信息流的數字化、網絡化管理，實行企業運行的自動化和企業制度的現代化[2]。企業信息化建設涉及了企業生產經營中的各個部門，其主要利用現代化信息技術，通過完善企業內外網絡信息系統，實現對企業內外知識與信息資源的開發。可見，建設企業信息化體系，不但可以及時有效的提供各種數據信息給企業決策層，也為企業未來規劃設計提供參考依據，而且還有利于企業滿足瞬息萬變的市場需求，為企業市場核心競爭力的提升帶來動力。

2當前企業信息化建設中信息安全問題

企業信息化建設與發展為企業持續、健康、穩定發展發揮了顯著作用，但同時也存在著諸多信息安全問題，具體分析主要有以下幾方面[3]：（1）當前，絕大多數企業缺乏完善的安全防御系統，導致企業內部使用的信息系統易遭受外部網絡系統的攻擊，引發企業信息資料被他人截獲、篡改與偽造等問題，甚至企業信息系統中出現通信線路、硬盤設施以及其他文件系統遭惡意破壞現象，上述問題的發生不但致使企業信息系統無法正常運行，而且其內部機密信息易發生泄漏，造成企業嚴重的社會經濟損失。（2）針對郵件系統攻擊防不甚防。在企業信息系統中電子郵件具有重要的作用，通過電子郵件接收與傳送，極大的方便了企業內部間與外部間信息交流與溝通。然而，電子郵件安全問題也日益突出，典型的如電子郵件病毒、垃圾郵件、機密信息泄露以及電子郵件炸彈等，給企業信息傳輸帶來了巨大安全隱患。因此，電子郵件安全問題不可忽視。（3）漏洞攻擊日益嚴重。按照漏洞問題發生原因可分為軟件漏洞和協議漏洞兩種，其中軟件漏洞主要是受外部不法分子攻擊軟件自身存在的漏洞，造成企業信息泄露等問題；而協議漏洞則主要是由于TCP/IP協議自身在安全機制方面存在的諸多漏洞問題導致，外部不法人員通過攻擊TCP/IP協議漏洞，致使企業信息系統遭受破壞。目前情況，很多企業對自身信息系統缺乏成熟的漏洞檢測手段和能力，往往事發后才采取補救措施。（4）是Web服務安全問題突出，根據Web服務流程，其發生安全問題的主要組成包括Web服務端安全問題、瀏覽器客戶端安全問題兩種。其中，Web服務端安全問題主要是企業Web主機遭受外部不法分子侵入，導致企業保密信息遭竊或者企業部分信息遭受非法篡改等；瀏覽器客戶端安全問題則是企業瀏覽器客戶端遭外部非法分子侵入，致使部分機密信息與數據遭竊等。

3導致企業信息化建設中信息安全問題因素

企業信息化建設中信息安全問題發生受諸多因素影響，具體分析主要有以下幾方面[4]：（1）目前，絕大多數企業在信息化建設過程中，對于信息安全問題重視度嚴重不足。一方面，受傳統經營觀念影響，企業管理層偏重于對企業生產經營中的有形資產給予關注與重視，而忽略了企業知識與信息資料等無形資源，導致在企業信息安全管理方面各項投入嚴重不足，進而造成信息安全問題日益凸顯；另一方面，多數企業在面對信息安全問題時，存在著盲目樂觀現象，認為信息安全問題不至于導致企業正常生產經營，使得信息安全管理無法上升至企業發展規劃戰略之中，進而造成信息安全問題得不到及時有效解決。（2）由于企業信息化建設在我國尚處于起步階段，各方面配套管理制度不夠完善，特別是缺乏健全的企業信息安全管理體制。受此影響，企業信息化建設中信息安全問題一方面無法得到有效的預防措施，另一方面是一旦發生信息安全問題，無法采取及時有效的補救與解決對策。同時，由于缺乏科學、合理、有效的企業信息安全防護策略，使得企業信息管理人員缺乏必要的安全防護意識與業務素質能力，致使企業信息安全防護軟硬件工作質量與效率明顯不足。上述兩個因素，導致企業無論是從人員配置，還是資金與技術投入方面都嚴重不足，受企業信息管理人員業務素質能力不足、信息安全技術方法落后以及配套的資金缺乏等影響，企業信息安全防護的措施、手段偏低，造成企業信息化建設存在著嚴重安全隱患。

4提升企業信息化建設中信息安全對策

針對當前企業信息化建設中存在的信息安全問題，為加強企業信息安全管理，提升企業信息安全保障，可通過采取以下幾方面對策，具體有[5]：（1）轉變傳統企業信息化建設觀念，在企業內部管理層從上至下加強對企業信息安全的重視，并樹立正確的安全意識。一方面，通過組織各種信息安全管理培訓等，增強全體企業員工信息安全意識，確保企業保密信息不外漏；另一方面，逐步加大企業信息化建設中信息安全管理各項資金、技術、人力投入，并建立科學、合理、有效的企業信息安全防護策略，保障企業信息系統安全穩定。（2）不斷的推進網絡信息技術的發展與運用，促進企業組織結構網絡化的實現，同時引進先進的安全防護技術，確保企業信息化系統安全穩定運行。任何網絡信息系統都存在著或大或小的安全漏洞問題，而保證其不受外部不法分子侵入的一個關鍵方法就是安全防護技術的運用。通過選用先進的安全防護技術，可以有效的提高企業信息系統抵抗外來攻擊，避免企業信息遭受竊取、篡改甚至破壞等，對于保障企業持續、健康、穩定發展具有顯著作用。（3）結合企業信息化建設實際情況，建立健全企業內部信息系統管理體制。一方面，針對信息安全問題，應建立科學、合理、規范的信息安全管理體制，保證企業信息系統安全運行；另一方面，建立健全企業安全風險評估機制，針對不同系統找出影響其安全的因素和漏洞，并制定出最佳的對策，降低企業信息安全風險；此外，加強相應的網絡管理，防止外來不法分子通過網絡侵入企業信息系統。（4）根據新時期企業信息化建設需要，加強企業信息技術人才、信息管理人才隊伍建設，為企業信息安全管理奠定堅實的人才基礎。一方面，在企業內部，加強信息技術人才培訓，提高企業內部相關人才業務素質能力；另一方面，在企業外部，采取有效措施，積極招聘人才，引進具有先進信息技術型人才；此外，建立健全企業信息安全管理用人機制，激發員工工作積極性，提高工作質量與效率。

5小結

總而言之，企業信息安全事關企業信息化建設是否成功，對于企業持續、健康、穩定發展具有至關重要的作用。因此，應提高企業信息安全管理意識，增強企業信息安全管理機制，促進企業信息安全管理工作質量與效率，保障企業信息化建設順利開展。

作者:吳捷 單位:中海石油氣電集團有限責任公司

參考文獻

[1]毛志勇.企業信息化建設的信息安全形勢與對策研究[J].科技與產業，2008，8，（1）：43~45.

[2]纂振法，徐福緣.淺析企業信息化建設的意義、問題與對策[J].吉林省經濟管理干部學院學報，2001，3：24~28.

[3]謝志宏.企業信息化建設中的信息安全問題研究[J].企業導報，2014（06）：132~133.