企業人員信息安全管理探討

前言：本站為你精心整理了企業人員信息安全管理探討范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1信息安全事件回顧

2013年中國網民遇到的各種安全問題的整體發生率如圖1所示。與2012年相比，2013年個人信息泄漏的比例有大幅的上升。從上圖也可看出，雖然個人信息泄漏被作為一個單獨項進行統計，但排在前三位的安全事件也是由個人信息的泄漏造成的。所以，綜合來看，個人的信息泄漏事件不容小覷。在這些事件的背后我們看到的是人員信息安全意識的缺失，企業信息安全管理的不足。為了幫助企業和個人提高信息安全意識水平，2012年底某IT企業了《2012年度中國企業員工信息安全意識調查報告》，經過對被調查企業的管理層人員及普通員工的大量數據分析和統計，參與本次接受調查訪問者的信息安全意識評價平均得分為77.48分。其中，受訪者在移動存儲介質安全方面的得分最高，為96.1分；在社會工程學信息安全方面的得分最低，為49.6分。因此，中國企業的信息安全意識依然有較大的提升空間。很多企業為保障企業數據信息安全，不惜花巨資投資購進防火墻、入侵檢測、防病毒等網絡安全產品。然而，企業內的安全事件遠比管理者的預想更為復雜、更為寬泛，人員的誤操作或無作為也會使這些工具失去其應有的作用。只有提高人員的安全意識和技能，才能真正使企業的信息安全設備發揮應有的作用。

2目前企業人員的信息安全管理主要存在的問題

（1）全體工作人員的信息安全意識不高；

（2）信息安全專業人員數量較少，工作流程不清晰；

（3）信息安全崗位職責劃分模糊；

（4）管理層不重視；

（5）信息安全管理工作缺乏有效的考核和監管機制。上述幾個問題看似不會影響正常的企業運作，但長期持續則會給企業的信息安全帶來巨大的隱患，存在較高的風險。有調查顯示，企業的信息泄漏事件70%-80%都由內部人員造成。對于一些關系國計民生的企業，如電力、通信等，企業的信息一旦泄漏，將會產生巨大的社會影響，同時也會給企業造成巨大的損失。但是我們仍然可以通過對知悉或掌握企業核心涉密資產和數據的人員加強信息安全管理與監督，來提高信息安全整體水平。

3加強人員信息安全管理的具體措施

對于企業人員的安全管理措施有很多，國內外的相關標準中都有相應的描述，如《薩班斯法案》《信息安全技術信息系統安全管理要求》ISO27000系列等，不同的標準要求亦有不同，但總體來說不外乎以下幾點。

（1）加強人員的信息安全保密意識與責任。任何企業的信息安全與保密都離不開人，信息安全每個步驟的操作與執行都是由人來完成與實現的。如果企業內相關人員的信息安全與保密意識薄弱，不小心造成某些敏感信息泄露，則比其他安全不足問題導致的損失更大。因此必須要不斷對相關崗位人員的信息安全意識、責任和職業道德進行培訓、指導與監督。

（2）管理層重視。企業人員的信息安全管理是管理層的職責，所有的措施和方法都需要得到管理層的支持才能實施，否則再完美的方法也是毫無意義的。隨著各類信息安全事件的曝光，信息泄漏事件的頻發，特別是國家推行信息系統的等級保護政策以后，越來越多的管理層開始重視信息安全問題。

（3）明確本單位的核心信息安全資產。我們要對企業的核心信息安全資產加強保護，即主要是對企業內部最核心的信息資產進行有效的保護，這對企業的信息安全尤為重要且非常有效。任何一個企業的資源都有限，信息安全工作相對于業務工作的投入來說一定較小一些，因此對核心的信息資產保護才是企業真正關心的內容和工作。核心信息資產主要指價值比較高，一旦泄露可能會對企業造成比較大損失的資產，如企業的重要或敏感數據、存有重要敏感數據的紙質和電子類的載體等企業的核心資產。明確核心資產信息安全也是對人員進行職責劃分的基礎。

（4）清楚劃分人員職責，嚴格進行權限分離。人員職責和權限對應組織的信息資產，一定程度上也決定了該人員在組織中的安全地位，職責不明確往往導致人員的無作為或誤操作，很多的信息安全隱患無法消除。如果明確了單位的核心資產，而人員的職責劃分不清晰，那也等于是無用功。很多單位由于信息安全人員數量有限，存在一人多崗的情況，很多核心的敏感的信息或功能掌握在一個人的手中，這就使得某個人或某幾個人的權限過大，導致內部舞弊的風險增加。因此，首先要明確本單位需要設置的信息技術類崗位，并設置相應的人員，確保人員的配備遵循三權分離的原則，敏感的功能或較高的權限不能放在一個人手上，關鍵性的操作甚至需要多人同時在場，只有這樣才能最大限度地避免人員的內部舞弊。

（5）嚴格選拔新進人員，考核在崗人員，審查離崗人員。選拔人員是人員信息安全管理的第一步，對人員進行嚴格的背景審查和技能考核是保障企業信息安全人員執業技能和職業道德的重要措施。重要敏感崗位的人員應盡量從內部進行選拔，避免直接任用外聘的人員；對于在崗的信息安全人員應定期進行考核和檢查，保證所有的工作都按正常的操作規程執行，避免簡化流程的事情發生；對于離崗的人員應與之簽訂相關的協議說明，并立即更換其所掌握的關鍵認證信息，避免由于人員的流失導致信息的泄漏。

（6）建立信息安全管理工作的日常監管和考核機制。信息安全管理執行的主體是人，人的操作難免會有失誤或不當的地方，這些都是信息安全的風險隱患。所以應對人員的日常工作需建立考核和監管機制，對人員的日常安全管理工作進行監督并提前發現潛在風險，及時消除隱患，降低由于人員操作不當或惡意操作帶來的信息安全風險。

4結語

企業信息安全是技術安全和管理安全相互作用的結果，而人員的安全是整體安全的第一步。只有保障了人員的絕對安全，才能在技術安全與管理安全中找到符合企業自身的信息安全定位，真正讓企業的信息安全措施為企業業務保駕護航。

作者：王雷單位：江蘇國瑞信安科技有限公司