基层企业的信息安全管理探索

【摘 要】 随着科学技术的不断发展，办公自动化的应用已普及到各行各业，本文主要分析了在信息社会里加强基层企业信息安全管理工作的必要性，结合基层企业办公自动化的实际，对基层企业信息安全工作进行探索，望能更好地推进基层的信息安全管理工作。

【关键词】 办公自动化 基层企业 信息安全管理

信息技术的发展改变了我们的生活，计算机或平板电脑早已成为我们的办公伴侣，甚至智能化手机等通信产品有时也成为我们信息通讯和办公不可缺少的工具。随着信息技术的进一步推广应用，信息数据的安全和保密变得越来越重要，形势也越来越严峻。目前我国的信息安全管理工作还存在法制不健全、员工信息安全意识淡薄、管理手段缺乏等诸多问题，各行各业都有必要加强信息安全管理工作。

1 加强信息安全的必要性

现代信息技术的迅猛发展，计算机信息系统的广泛应用已与我们基层企业每位员工的日常办公、工作效率息息相关。随着各集成业务系统的推广应用，在业务数据的采集、存储、处理、传输等环节中，如不加强信息安全管理，未对办公终端和网络进行合理的配置或采取有效的防护技术，泄密和窃密现象难免会发生。

计算机终端、移动存储介质等办公自动化设备存在使用人员多、设备数量大、管理分散，信息数据存在传输环节繁杂、传输过程监管难等因素，已对信息数据的安全和保密工作构成了极大威胁。如计算机终端的安全配置低、系统没有及时打补丁、杀毒软件未及时升级病毒库代码、员工随意安装来历不明的软件等，办公设备均可能会遭受木马病毒感染、非法访问、敏感或涉密信息的泄密等严重后果;如缺乏严格的设备接入、启停管理，非授权终端可能会随意接入，给企业的办公网络和信息安全带来的安全隐患，可能造成极大的负面影响和经济损失。

承载在网络上的数据信息正在受到严重的安全影响和威胁，传统的信息安全和保密管理模式缺乏现代的技术手段和防护思想，已不能适应现代的信息安全管理。从近几年发生的计算机病毒感染、黑客入侵、商业秘密失窃等事件的调查中，我们不难看出信息安全隐患已危及到企业的正常经营秩序，甚至影响到国家或企业的声誉，严重的已造成经济损失。因此，在信息技术飞速发展的新形势下，强化信息的安全和保密管理工作有着充分的必要性。

2 信息安全的管理途径

2.1 建立健全信息安全组织，强化信息安全保密意识

各单位要坚持“谁主管谁负责、谁使用谁负责”的原则，信息安全是安全生产工作的必要组成部分，基层单位要成立信息安全管理组织机构。“一把手”坚持亲自抓，花大力气抓，要将信息安全管理的工作日程与生产经营工作同步部署、同步落实、同步考核。基层要组织广大员工学习《中华人民共和国保守国家秘密法》、《中国计算机信息网络国际联网安全保护管理办法》等相关信息安全管理法律法规，增强所有员工的信息安全和保密意识，做到企业各环节人员都知法、守法、护法。

2.2 完善保密制度，签订保密承诺

公司要制定和完善信息安全管理相关制度，将信息安全责任落实到每位员工。基层（部门）主要负责人与公司保密委员会签订《保密工作责任书》，员工与各单位（部门）负责人签订《员工保密承诺书》，涉密人员与公司保密委员会签订《涉密人员保证书》，涉密人员离岗时与公司保密委员会签订《涉密人员离岗保密保证书》。责任书和承诺书中应对业务数据的采集、处理、传输等行为进行必要的规范，增强广大员工的信息安全责任和意识感。

2.3 加强涉密设备的管理，确保涉密设备安全

办公自动化设备的接入、启停必须严格遵守信息设备接入管理规定，实行接入和启停审批制度，采取将设备的MAC地址在网络参数配置中进行绑定、认证，避免非法设备的接入;与底层操作系统软件商合作，办公设备务必安装专业的信息安全监控管理软件，系统具备拒绝非法移动存储设备的接入、强制规范系统的必要安全策略配置等相关功能;移动存储介质的使用均要进行认证管理制度，存储设备认证到人，使信息数据在采集、处理、传输、拷贝的过程中均能有痕迹可查证。

2.4 加强内、外网管理，杜绝内、外网互联

当前在外部网络上，恶意软件、计算机病毒、信息发布监管难等安全隐患越来越多，建议将企业的内部办公网络与互联网进行物理隔离，不能进行互联。加强外部互联网出口管理，统一互联网出口，与企业内部网路进行同安全级别的管理和认证。如公司因营业需要，外部互联网站确需访问内部的营业数据时，可考虑建立中间数据库加防火墙、网络隔离器方式，配置专用的、单向的数据通道访问策略，避免内部网络遭受黑客攻击和非法访问。公司应将可能造成非法外连、非法拷贝数据的行为列举出来，避免员工误操作造成内、外网互联，并制定相应的管理制度，对违规互联行为进行必要的安全处罚和教育。

2.5 自查与检查结合

公司应加强信息安全的检查和督导作用，加强信息设备接入与启用、停用管理，把控信息传输和信息发布的各个管理环节。基层单位每季度应至少进行一次信息安全的自查活动，对自查出来的违规行为、隐患点进行排查、纠正，总结信息安全相关经验和教训，杜绝信息安全事件发生。

3 结语

基层企业要保证信息安全，不仅要求在系统建设、终端设备接入、信息数据传输等相关环节加强管理，还要求全体员工在日常工作和生活中时刻牢记信息安全责任，规范上网行为，杜绝违规外联、非法拷贝、非法信息发布等行为。企业要建立和完善全过程的信息安全长效管理机制，切实消除信息安全隐患，才能持续改进信息安全管理工作。

参考文献：

[3]施峰.信息安全保密基础教程.北京理工大学出版社出版，2008.

[4]韩祖德.计算机信息安全基础教程.人民邮电出版社，2008.9.1.