文档介绍：东方企业文化·远见 2011 年 7 月
企业信息安全控制研究
杨柳
(苏州大学东吴商学院,苏州,215021)
摘要:在信息社会这种大环境下,企业对信息安全的控制就凸现其必要性。本文首先简单介绍了信息安
全的定义、内容及必要性,然后通过阅读相关的统计资料指出我国企业在信息安全控制方面的不足之处,最后
提出了一些改善信息安全控制管理的建议。
关键词:企业信息安全信息管理安全体系信息安全意识
中图分类号:TP391 文献标识码:A 文章编号:1672—7355(2011)07—0105—01
一、企业信息安全政策的缺失,会导致对信息系统的使用和维护行为时
,易导致信息处理设备的滥用、误
到目前为止,信息安全还没有一个公认、统一的定义。用等事件的发生,对信息的安全造成危害。
国际、国内对信息安全的论述大致分为两大类:一类是指
具体的信息安全技术系统的安全;另一类是指某些特定的技术上安全指的是信息在产生、存储、处理、传输和
信息体系(如银行系统、军事指挥系统)的安全。但也有使用各个环节中所涉及到的物理设备及这些设备所在的环
人认为这两种定义也不能完全概括信息安全问题。境的安全。物理环境是信息的载体,离开了物理环境、信
,也就无从谈起安全的问题了。温度、湿
(1)企业信息安全的特征度、电磁等环境因素,水灾、火灾、地震等自然因素,偷
信息入侵者不管怀有什么用意,采用什么手段,他们盗、损毁等人员行为因素都会威胁到技术安全。而目前,
都要通过攻击信息的 4 安全特征来达到目的。这 4 个安全我国许多企业在这方面的重视程度还远远不够,信息丢失
特征是:完整性、可用性、保密性、可控性。在技术上, 较为普遍。
信息安全就是保证在客观上杜绝对信息的 4 种特征的安全三、我国企业信息安全控制改进的措施
威胁,使信息的所有者在主观上对其信息的本源性放心。
(2)企业信息安全的基本内容企业可以按照“诱因一行为一后果”三级控制思想,
信息安全的基本内容包括:实体安全、运行安全、信构建由观念、策略、组织、制度、技术诸多方而构成的全
息资产安全和人员安全等内容。实体安全指环境安全、设方位、立体化的信息安全管理体系。首先,就是要强化信
备安全和媒体安全;运行安全是为了保障系统功能的安全息安全意识;其次,制定“分级、分域管理、权衡安全、
实现,提供的一套安全措施来保护信息处理过程的安全。成木和效率”是信息安全管理的基本策略。可以将信息分
信息资产安全是防止信息资产被故意的或偶然的非授权泄为核心机密、一般机密、非机密等级别。信息安全管理是
露、更改、破坏或使信息被非法的系统辨识、控制,即确有很大成本的,采用与信息机密等级相匹配的安全管理等
保信息的完整性、可用性、保密性和可控性。人员安全主级才能做到以合理的成本满足信息安全的要求;再者,构
要是指信息系统使用人员的安全意识、法律意识、安全技建完整的信息安全管理机构,主要安全机构有:企业信息
能等。安全管理领导小组、企业信息安全领导小组办公室、部门