试论企业信息安全的管理活动和管理策略

　　论文关键词：信息化　信息安全管理　企业管理
　　论文摘要：伴随着企业信息化的发展，信息安全越来越受到重视。针对当前信息安全存在的问题，作者进行了调查，分析了其中的原因，最后从管理学的角度提出了相关的策略和建议。  
　　 
　　随着信息技术的发展和网络化应用的普遍推广，各机关组织和企事业单位都开展各类管理业务的信息化建立。企业的发展运作离不开信息系统的安全运行。信息安全通过保护企业信息的机密性、完整性和可用性，不仅保护了企业各类信息资产的安全，还能增强企业的核心竞争力，维护企业的形象和信誉。信息安全对企业的生存和发展的是至关重要的，需要从战略的高度对信息安全进行规划和管理。 
　　一、企业中信息安全管理经常存在的问题 
　　日常安全管理中存在的主要问题，首先是用户安全意识和观念薄弱的占58%，第二位的是网络安全管理人员缺乏培训，占39%；其后，依次是保障经费投入不足、缺乏安全信息共享和安全产品不能满足要求。 
　　不仅在日常管理中，在技术管理方面也存在一定的问题。在CSDN泄密门事件中，专业IT博客“月光博客”撰文表示“整个事件最不可思议的地方在于，像CSDN这样的以程序员和开发为核心的大型网站，居然采用明文存储密码”，“稍微懂一点编程的程序员都知道，为了用户的安全，应该在数据库里保存用户密码的加密信息，这样黑客即使下载了数据库，破解用户密码也不是一件容易的事情” 。可见，有些涉及技术方面的问题，也并不是单纯的技术问题，而是与技术人员安全意识不强、责任心不到位有关。 
　　为了了解企业内部员工在信息安全问题上的看法及所做的努力，我们对一家电子商务企业和一家银行的部分工作人员进行了问卷和访谈调查，发现在企业员工中存在如下一些问题： 
　　1.是信息安全意识方面，被调查者认为信息安全对企业和个人都非常重要。但大多数受访者对信息安全的问题了解很少等。 
　　2.很多受访者认为信息安全属于技术人员的事情；与技术人员的交流非常少；忙于业务，没有时间去处理。 
　　3.是用户认为信息安全管理措施效果不好。有些信息安全行为的规范标准虽然挂在网上或贴在墙上，很少有人去关注；公司发动的信息安全的培训活动没有收到好的效果。 
　　二、信息安全问题的根源 
　　通过对调查的结果进行深入分析，发现导致信息安全事件频发、风险损失严重的原因从根本上来说，有以下几个方面： 
　　1.信息安全是一个多维问题，涉及到企业管理的方方面面。企业在信息安全问题上往往涉及多个部门。有些情况下，无法明确责任，使得信息安全得不到应有的重视以及有效的管理。 
　　2.风险平衡理论认为，人会愿意承担一定程度的风险。这与你采用多少的安全防护措施无关。有时即使有条件可以到达绝对安全的状态，由于人性的缘故，也不会那样去做。 
　　3.信息安全与效率和便利性本身是矛盾的。信息安全加强了，受到的约束也就多了，相应地效率也就降低了。比如简单规律地密码，可以不必费力去记；插入U盘时进行杀毒，必然要耽误时间；没有接入网络，不可能受到网络攻击，但也就失去了网上浏览所需信息、网络交流的自由，因此有人半开玩笑地说：“最安全的计算机是拔掉网络的那台计算机”。 
　　4.由于某些缘故，网络中总是存在黑客，专门窃取信息或破坏网络系统。他们的水平都非常专业，一般的用户难以预防。所谓“道高一尺，魔高一丈”，信息安全的水平总是在这种攻击与防守中进步的。 
　　5.信息安全问题的不确定性。信息安全问题的不确定性主要指是否发生风险的不确定性、无法精确地评估当前所面临的风险以及风险发生所带来的损失的难以把握。 
　　所有这一切因素，都使得信息安全无法得到有效的关注和重视，无法采用有效的措施来预防和避免。这也是导致信息安全事件发生频率居高不下，风险损失较大的主要原因。